本公开涉及数据安全技术,尤其涉及一种防范恶意数据发布的加密方法、装置及存储介质。
背景技术:
1、可搜索加密技术是支持多用户和大规模数据处理的一种有效方式,可以在保护数据安全的同时允许用户对其进行数据处理操作。为了同时实现系统的细粒度访问控制和可搜索性,目前的方案大多将属性基加密机制和可搜索加密机制结合实现云上数据共享。数据共享技术为保证数据的安全性需要在密文的基础上检索,并为用户设置访问权限。数据用户将加密文件上传到服务器端存储,当检索文件时服务器端需要在密文的基础上确定查询文件,因为服务器端是半诚实的,所以在这个过程应尽量控制信息的泄露。针对这一问题可采用可搜索加密技术解决。可搜索加密技术分为:(1)对称可搜索加密(sse),使用伪随机函数,哈希算法以及对称加密算法等工具,优势在于算法加密效率高,运算速度更快;(2)公钥可搜索加密(peks)适用于多用户体制下,加密算法通常较为复杂,但避免了在发送者与接收者之间建立安全通道,具有较高的实用性。用户权限的细粒度访问控制通常使用属性基加密实现,属性基加密分为:(1)基于密钥策略的属性基加密(kp-abe),将策略嵌入到密钥中而属性嵌入到密文中;(2)基于密文策略的属性基加密(cp-abe),将策略嵌入到密文中而属性嵌入到密钥中。
技术实现思路
1、提供一种缓解、减轻或甚至消除上述问题中的一个或多个的机制将是有利的。
2、根据本公开的一方面,提供了一种防范恶意数据发布的加密方法,应用于加密系统,加密系统包括一个或多个客户端、服务器端、消毒器和第三方服务器,加密方法包括:系统确定配对群、多个群元素、伪随机生成器和随机指数;系统基于配对群、多个群元素、伪随机生成器和随机指数生成主公钥和主私钥;系统初始化多个列表,多个列表包括:用于记录在特定权限下的关键词对应的关键词密钥以及相应的查询次数的第一列表、用于记录所访问的用户相应权限下的关键词对应的陷门函数的公私钥对的第二列表、用于记录访问策略和用户权限密钥之间的对应关系的第三列表、用于记录在特定权限下关键词对应的被添加的文档数量以及相应的搜索令牌的第四列表、用于记录在特定权限下关键词对应的被删除的文档数量以及相应的搜索令牌的第五列表、用于记录关键词和被添加文件的标识符之间的关系的第六列表、用于记录关键词和被删除文件的标识符之间的关系的第七列表以及用于记录文件的标识符和净化文件密文之间的关系的第八列表,其中,第一列表、第二列表、第三列表、第四列表和第五列表存储在一个或多个客户端,第六列表、第七列表和第八列表存储在服务器端;第三方服务器获取多个属性集,多个属性集分别为多个用户自身满足的属性集;第三方服务器随机生成多个随机数,并基于多个属性集、多个随机数、主公钥和主私钥,生成每个用户的用户私钥,并发送用户私钥至用户私钥对应的用户的客户端;一个或多个客户端中的第一客户端获取第一用户输入的第一文件、第一关键词、第一访问策略、主公钥、第一用户私钥和第一数据库存储文件,其中,第一访问策略和第一关键词嵌入在第一文件中;第一客户端基于第一文件的内容主体部分、第一访问策略、主公钥和加密算法得到第一文件的内容主体部分对应的第一密文;消毒器确定第一文件是否为恶意数据;响应于消毒器确定第一文件不是恶意数据:第一客户端基于第一密文、第一关键词、第一访问策略、主公钥、第一用户私钥、第一数据库存储文件和多个列表生成第一标识符、第一净化密文、更新后的第一文件搜索令牌、第一文件更新令牌、第一标识符密文和更新后的第一文档数量;第一客户端将更新后的第一文件搜索令牌和更新后的第一文档数量存储到第一客户端的第四列表中;第一客户端将第一标识符、第一净化密文、第一文件更新令牌和第一标识符密文发送到服务器端;以及服务器将第一标识符和第一净化密文存储到第八列表中,并且将第一文件更新令牌和第一标识符密文存储到第六列表中。
3、根据本公开的另一方面,提供了一种防范恶意数据发布的加密装置,应用于加密系统,加密系统包括一个或多个客户端、服务器端、消毒器和第三方服务器,加密装置包括:第一模块,被配置为确定配对群、多个群元素、伪随机生成器和随机指数;第二模块,被配置为基于配对群、多个群元素、伪随机生成器和随机指数生成主公钥和主私钥;第三模块,被配置为初始化多个列表,多个列表包括:用于记录在特定权限下的关键词对应的关键词密钥以及相应的查询次数的第一列表、用于记录所访问的用户相应权限下的关键词对应的陷门函数的公私钥对的第二列表、用于记录访问策略和用户权限密钥之间的对应关系的第三列表、用于记录在特定权限下关键词对应的被添加的文档数量以及相应的搜索令牌的第四列表、用于记录在特定权限下关键词对应的被删除的文档数量以及相应的搜索令牌的第五列表、用于记录关键词和被添加文件的标识符之间的关系的第六列表、用于记录关键词和被删除文件的标识符之间的关系的第七列表以及用于记录文件的标识符和净化文件密文之间的关系的第八列表,其中,第一列表、第二列表、第三列表、第四列表和第五列表存储在一个或多个客户端,第六列表、第七列表和第八列表存储在服务器端;第四模块,被配置为获取多个属性集,多个属性集分别为多个用户自身满足的属性集;第五模块,被配置为随机生成多个随机数,并基于多个属性集、多个随机数、主公钥和主私钥,生成每个用户的用户私钥,并发送用户私钥至用户私钥对应的用户的客户端;第六模块,被配置为获取第一用户输入的第一文件、第一关键词、第一访问策略、主公钥、第一用户私钥和第一数据库存储文件,其中,第一访问策略和第一关键词嵌入在第一文件中;第七模块,被配置为基于第一文件的内容主体部分、第一访问策略、主公钥和加密算法得到第一文件的内容主体部分对应的第一密文;第八模块,被配置为确定第一文件是否为恶意数据;第九模块,被配置为响应于第八模块确定第一文件不是恶意数据:基于第一密文、第一关键词、第一访问策略、主公钥、第一用户私钥、第一数据库存储文件和多个列表生成第一标识符、第一净化密文、更新后的第一文件搜索令牌、第一文件更新令牌、第一标识符密文和更新后的第一文档数量;将更新后的第一文件搜索令牌和更新后的第一文档数量存储到第一客户端的第四列表中;将第一标识符、第一净化密文、第一文件更新令牌和第一标识符密文发送到服务器端;以及将第一标识符和第一净化密文存储到第八列表中,并且将第一文件更新令牌和第一标识符密文存储到第六列表中。
4、根据本公开的又另一方面,提供了一种计算机可读存储介质,其上存储有指令,指令当被包括一个或多个客户端、服务器端、消毒器和第三方服务器的加密系统的一个或多个处理器执行时,使加密系统执行以上所述的方法。
5、根据在下文中所描述的实施例,本公开的这些和其它方面将是清楚明白的,并且将参考在下文中所描述的实施例而被阐明。
1.一种防范恶意数据发布的加密方法,应用于加密系统,所述加密系统包括一个或多个客户端、服务器端、消毒器和第三方服务器,所述加密方法包括:
2.如权利要求1所述的方法,还包括:
3.如权利要求2所述的方法,其中,所述第一客户端基于所述第一密文、所述第一关键词、所述第一访问策略、所述主公钥、所述第一用户私钥、所述第一数据库存储文件和所述多个列表生成所述第一标识符、所述第一净化密文、所述更新后的第一文件搜索令牌、所述第一文件更新令牌、所述第一标识符密文和所述更新后的第一文档数量包括:
4.如权利要求3所述的方法,其中,所述第一客户端基于所述第一密文、所述第一关键词、所述第一访问策略、所述主公钥、所述第一用户私钥、所述第一数据库存储文件和所述多个列表生成所述第一标识符、所述第一净化密文、所述更新后的第一文件搜索令牌、所述第一文件更新令牌、所述第一标识符密文和所述更新后的第一文档数量还包括:
5.如权利要求3或4所述的方法,所述第一客户端基于所述第一净化密文和第一用户权限密钥生成所述第一标识符、所述更新后的第一文件搜索令牌、所述第一文件更新令牌、所述第一标识符密文和所述更新后的第一文档数量包括:
6.如权利要求1-4中任一项所述的方法,还包括:
7.如权利要求1-4中任一项所述的方法,还包括:
8.如权利要求7所述的方法,还包括:
9.一种防范恶意数据发布的加密装置,应用于加密系统,所述加密系统包括一个或多个客户端、服务器端、消毒器和第三方服务器,所述加密装置包括:
10.一种计算机可读存储介质,其上存储有指令,所述指令当被包括一个或多个客户端、服务器端、消毒器和第三方服务器的加密系统的一个或多个处理器执行时,使所述加密系统执行权利要求1至8中任一项所述的方法。
