云端技术的发展为用户带来了很多方便,但同时也出现了许多安全风险,而加密就是保护数据安全的直接方法。但数据在加密后以密文形式储存在云服务器时,用户很难使用传统的搜索技术检索到自己想要查询的数据。所以,为了能够在密文数据中安全、高效地检索数据,可搜索加密技术应运而生。下面我们就以来了解一下可搜索加密技术。

可搜索加密技术简介

可搜索加密技术英文为Searchable Encryption,简称SE。它是指无需从云存储服务器上下载所有密文文件,当用户需要搜索某个关键词时,可以将该关键词的搜索凭证发给云存储服务器;在接收到搜索凭证之后,云存储服务器试探性地将其与每个文件进行匹配,如果匹配成功,则说明该文件中包含该关键词;最后,云端将所有匹配成功的文件返回给用户。

可搜索加密技术

可搜索加密技术的基本过程

首先,数据拥有者把加密的数据以及相关的关键词密文发送到云端的服务器,然后用户利用私钥生成搜索陷门,并把该陷门信息发送给云服务器,云服务器通过使用该陷门信息搜索到用户感兴趣的数据,并把数据发回给用户。该技术实现了用户在不可信赖云服务器环境下进行快速有效的密文关键词检索,同时不泄露任何关于数据的信息。

可搜索加密技术

可搜索加密技术的分类

常见的可搜索加密中一般涉及四个实体,分别是可信任认证中心(TA)、云服务提供商(CSP)、数据拥有者(DO)和数据用户(US)。

对称密钥可搜索加密

对称密钥可搜索加密(简称SSE)采用密码学中的对称密码体制,在该方案的构造过程中,明文加密、索引加密、关键词搜索陷门的生成、密文检索、以及最后关于检索到的密文解密操作都采用同一密钥。因此,SSE非常适合于数据独享场景,即用户自己上传隐私数据,然后自己解密查询。

SSE的过程

  1. TA负责相关系数参数的建立、DO与DU的身份认证及密钥的生成,为DO与DU提供安全可信的系统环境;
  2. DO是数据拥有者,一方面,负责将自己所拥有的共享数据加密,然后上传给云服务器,另一方面,负责为DU进行密钥传送;
  3. CSP是云服务提供商,主要为DO提供数据存储服务、为DU提供数据检索服务;
  4. DU就是数据用户,为了得到自己想要的数据,DU首先在本地利用自己所掌握的密钥信息,生成搜索陷门,并将相对应的搜索陷门提交给CSP,之后CSP通过相应的检索操作,返回DU所需的数据。

可搜索加密技术

公钥可搜索加密

公钥可搜索加密也称为非对称可搜索加密(简称 PEKS),它在确保数据机密性的同时,允许用户搜索包含某些特定关键词的加密数据。PEKS利用密码学的公钥密码体制中公钥与私钥分离的优良特性,不需要数据拥有者提前与数据用户进行密钥协商,就可以安全地将可搜索加密技术应用于数据共享场景。

与对称可搜索加密体制不同,大部分的非对称可搜索加密体制是通过双线性映射构造实现的,因此其运算效率比对称可搜索加密方案要低不少。但是由于非对称可搜索加密方案使用了数据拥有者的公钥对数据进行加密,因此在整个加密过程中,数据加密者不需要与数据共享者进行密钥协商,这使得该方案更适合于多用户的数据共享等领域,其应用场景比对称可搜索加密更为广阔。

PEKS的过程

  1. TA负责相关参数的建立、DO与DU的身份认证以及公钥、私钥的生成;
  2. DO是数据拥有者,负责将自己所拥有的共享数据利用数据用户的公钥加密,然后上传给云服务提供商,这里,DO不再提前与DU进行密钥协商,从而极大提高了数据共享的效率;
  3. CSP是云服务提供商,主要为DO提供数据存储服务、为DU提供数据检索服务;
  4. DU就是数据用户,为了得到自己想要的数据,DU首先在本地利用自己的私钥信息,生成搜索陷门,并将相应的陷门提交给CSP,之后CSP通过相应的检索操作,返回DU所需的数据,最后DU利用自己的私钥查看返回的密文数据。

可搜索加密技术

基于排序的可搜索加密

基于排序的可搜索加密是在传统的可搜索加密的基础上添加支持排序的功能。传统可搜索加密返回的结果是无差别的,用户需要对所有接收到的结果进行解密才能知晓自己所需的文件。而基于排序的可搜索加密搜索结果可以直观显示与查询关键词密文的相关性,从而减少了用户的通信和计算开销。

可搜索加密技术的优缺点

可搜索加密技术可以在保护数据隐私的同时,实现高效的数据搜索和管理。但与此同时,可搜索加密会加大云端数据储存的难度,并降低云服务器的性能和验证效率。

免责声明:素材源于网络,如有侵权,请联系删稿。