一种云存储环境下支持群组共享及密钥更新的加密图像搜索方法

摘要

本发明涉及一种云存储环境下支持群组共享及密钥更新的加密图像搜索方法，图像拥有者采用对称加密算法加密图像得到密文，用主密钥加密图像特征向量得到特征向量符，将两者上传到云端，图像拥有者向群组分发密钥进行搜索授权。授权用户利用提取的加密图像特征向量生成到搜索请求，可信中心处理该请求生成搜索陷门；云端比较搜索陷门与图像集中特征描述符距离大小并把最小距离的加密图像返回给用户。本发明构建可信中心管理群组密钥，当用户密钥异常时，可信中心只更新异常用户密钥与密钥附带信息对，而无需图像拥有者重加密密文。本发明能有效的降低计算开销，提高验证效率，保证隐私安全。

说明书

技术领域

本发明涉及图像搜索领域，特别的涉及到一种云存储环境下支持群组共享及密钥更新的加密图像搜索方法。

背景技术

在云计算存储图像搜索研究中，基于内容的加密图像搜索是云存储服务中重要的技术。即利用图像特征提取技术在加密条件下执行加密图像搜索操作。使得云服务端不接触任何明文，保证图像的安全性与可搜索性。云端通过计算比较加密图像之间全局特征向量的距离大小来确定图像搜索过程中加密图像的相似性。在社交群体中，图像拥有者分享图像的时需要同时向群组内用户分配响应的图像搜索密钥，若用户密钥异常或泄露时，则需要图像拥有者重新生成搜索密钥并同时更新加密图像，加大图像拥有者的计算开销，影响用户搜索效率。因而在降低图像拥有者的计算开销及时延、提高用户搜索效率、保证加密图像搜索过程中图像的安全性方面具有实际意义。

加密图像搜索方法中主要包括：(1)从图像的特征提取参量划分为基于局部特征的加密图像搜索方案和基于全局特征的加密图像搜索方案；(2)从加密图像特征距离公式来划分为基于汉明距离的加密图像搜索方案、基于欧式距离的加密图像搜索方案、基于余弦定理的加密图像搜索方案、基于编辑距离的加密图像搜索方案、基于地球移动距离的加密图像搜索方案等。

传统的加密图像搜索过程如下：

1.图像拥有者加密图像并上传到云端；

2.图像拥有者提取图像特征向量对其加密上传到云端；

3.图像拥有者为用户分发密钥，进行搜索授权；

4.授权用户提取特征向量生成搜索陷门并将其发送到云服务端；

5.云端返回与搜索陷门相似的加密图像。

从上述加密图像搜索过程可以看出，现有的加密图像搜索方法大多数没有提及密钥的管理问题。在密钥异常时，为保证加密图像安全，图像拥有者需要执行更新操作，这导致不仅密钥，相应的密文也需要同步更新，这样，会产生大量交互和计算。现有的更新操作方法都需要图像拥有者重新生成搜索密钥并同时更新密文，这样的方法适用于更新次数非常少的情况。另外，由于图像会表达更多的信息，尤其在不完全可信的云环境中，随着图像集的日益增加，加密图像搜索过程中存在庞大的密钥异常情况，同样会导致巨大的交互及计算开销。因此，加密图像的搜索效率亟待提高。

发明内容

为了解决上述技术问题，本发明的目的是：提供一种云存储环境下支持群组共享及密钥更新的加密图像搜索方法。它既支持群组共享又支持密钥更新。在本发明中，每个图像拥有者都有一个用于为用户产生搜索密钥的主密钥，并引入了一个可信中心来有效管理和更新用户密钥，通过这种方式，一旦发生密钥泄漏，图像拥有者和云服务提供商都不需要更新图像密文。

本发明解决其技术问题所采用的技术方案是：一种云存储环境下支持群组共享及密钥更新的加密图像搜索方法，该方法包括以下步骤：

步骤A，图像拥有者提取共享图像的局部特征向量，聚合计算得到图像的全局特征向量，图像拥有者使用自己的主密钥加密全局特征向量得到特征描述符，利用对称加密算法加密共享图像得到密文并将两者上传到云端，即将特征描述符和密文上传到云端；

步骤B，图像拥有者通过主密钥生成多个不同的用户密钥及密钥附带信息对，向用户分发密钥进行搜索授权，并上传用户密钥及密钥附带信息到可信中心,其中可信中心是根据加密图像的搜索技术在群组密钥共享及更新机制中构建的，所述可信中心用于管理群组密钥；当群组中用户密钥异常，即泄露或遭受攻击时，需要所述可信中心更新异常用户的用户密钥及密钥附带信息；

步骤C，授权用户从云端的图像集中提取全局特征向量生成搜索请求；所述可信中心处理该搜索请求生成搜索陷门；

步骤D，云端通过计算搜索陷门与特征描述符的距离来确定两张加密图像的相似性，并返回用户距离最小的加密图像，完成加密图像搜索。

进一步的，该加密图像搜索方法是基于对图像内容的加密。

进一步的，所述可信中心还用于执行群组密钥的更新操作。

进一步的，所述步骤A具体包括以下步骤：

A1，图像拥有者提取共享图像的局部特征向量，聚合计算得到图像的全局特征向量I；

A2，图像拥有者运行密钥生成算法KeyGen(·)→mk生成主密钥mk，用于加密全局图像特征向量I；

A3，图像拥有者运行加密算法DescEnc(mk,I)→CI，图像拥有者使用主密钥mk加密已提取图像的全局特征向量I得到特征描述符CI，利用对称加密算法加密明文图像得到密文图像CT，并将特征描述符CI以及密文图像CT上传到云端。

进一步的，所述步骤B具体包括以下步骤：

B1，图像拥有者运行共享算法Share(mk)→uk,σ，图像拥有者通过自己的主密钥mk生成多个不同的用户密钥uk及用户密钥附带信息σ对，向用户分发密钥uk，同时向可信中心TC发送用户密钥uk及用户密钥附带信息σ对；

B2，可信中心TC保存用户密钥uk及密钥附带信息σ对，通过运行更新算法Updata(uk,σ)→uk',σ'执行用户密钥更新操作,生成新的用户密钥uk'及密钥附带信息σ'对。

进一步的，所述步骤B2具体包括以下步骤：

B21，所述可信中心TC保存每一个用户密钥uk及密钥的附带信息σ对，并标记用户密钥uk授权的图像拥有者信息；

B22，当群组中某个用户密钥uk异常时，所述可信中心TC运行更新算法Updata(uk,σ)→uk',σ'执行异常用户密钥及密钥附带信息对的更新操作，生成新的密钥uk'及密钥信息σ'对。

进一步的，所述步骤C具体包括以下步骤：

C1，授权用户运行搜索算法Query(uk,I)→Q生成搜索请求Q，授权用户从图像集中提取图像全局特征向量I，利用合法密钥uk生成搜索请求Q；

C2，可信中心TC运行陷门生成函数TpdrGen(Q,σ)→Tr，可信中心TC接收搜索请求Q并匹配授权用户密钥的附带信息σ，生成搜索陷门Tr。

进一步的，所述步骤D具体为：云端C运行检测算法Test(Tr,CI)→rst，计算搜索陷门Tr与图像集中特征描述符CI的距离来确定两张图像的相似性，并返回结果rst；其中，rst为布尔函数即搜索成功为1，否则为0。

进一步的，所述图像拥有者加密共享图像采用加密算法是AES对称加密算法。

本发明相对于现有技术具有如下的优点及效果：

(1)降低计算开销：在传统的加密图像搜索系统，当用户密钥异常时，需要图像拥有者重新分发用户密钥并同步更新密文。本发明构建可信中心执行群组密钥更新操作，无需更新密文，大大减少图像拥有者的计算开销。

(2)提高验证效率：本发明确保云端在计算搜索陷门与特征描述符距离安全的前提下采用从高维随机映射到低维的方法，对计算加密图像的特征向量距离更加高效，提高云端验证图像的相似性的效率。

(3)保证隐私安全：本发明构建可信中心更新群组密钥，每个用户拥有自己专属密钥，单个用户密钥失效不影响其他用户的密钥，确保加密图像的搜索安全。

附图说明

图1为本发明中支持群组共享及密钥更新的加密图像搜索方法的流程图。

图2为本发明中可信中心管理密钥及密钥更新的结构示意图

图3为本发明中加密图像搜索系统示意图。

图4为本发明中可信中心处理密钥异常情况的流程图。

图5为本发明中可信中心存储群组中用户密钥及密钥附带信息对的结构图。

具体实施方式

附图仅用于示例性说明，不能理解为对本专利的限制；下面结合附图和实施例对本发明的技术方案做进一步的说明。

一种云存储环境下支持群组共享及密钥更新的加密图像搜索方法，参见附图1，方法包括以下步骤：

步骤A，图像拥有者提取共享图像的局部特征向量，聚合计算得到图像的全局特征向量，图像拥有者使用自己的主密钥加密全局特征向量得到特征描述符，利用对称加密算法加密共享图像得到密文并将两者上传到云端，即将特征描述符和密文上传到云端；

步骤B，图像拥有者通过主密钥生成多个不同的用户密钥及密钥附带信息对，向用户分发密钥进行搜索授权，并上传用户密钥及密钥附带信息到可信中心,其中可信中心是根据加密图像的搜索技术在群组密钥共享及更新机制中构建的，所述可信中心用于管理群组密钥；当群组中用户密钥异常，即泄露或遭受攻击时，需要所述可信中心更新异常用户的用户密钥及密钥附带信息；

步骤C，授权用户从云端的图像集中提取全局特征向量生成搜索请求；所述可信中心处理该搜索请求生成搜索陷门；

步骤D，云端通过计算搜索陷门与特征描述符的距离来确定两张加密图像的相似性，并返回用户距离最小的加密图像，完成加密图像搜索。

在本实施例中，具体如下：

参照图2，对于步骤A中，具体的，步骤A1，图像拥有者Alice提取共享图像的局部特征向量，聚合计算得到图像的全局特征向量I；步骤A2，Alice运行密钥生成算法KeyGen(·)→mk生成主密钥mk，用于加密全局图像特征向量I；步骤A3，Alice运行加密算法DescEnc(mk,I)→CI，使用自己的主密钥mk加密已提取图像的全局特征向量I得到特征描述符CI，利用对称加密算法加密明文图像得到密文图像CT，并将特征描述符CI以及密文图像CT上传到云端。

进一步的，即步骤B1，Alice运行共享算法Share(mk)→uk,σ，同时Alice通过主密钥mk生成多个不同的用户密钥uk及用户密钥附带信息σ对，向用户Bob分发密钥uk进行搜索授权，并上传用户Bob的密钥uk及密钥附带信息σ对到可信中心TC。在B2步骤中，可信中心TC保存用户Bob的密钥uk及密钥附带信息σ对，通过运行更新算法Updata(uk,σ)→uk',σ'执行用户密钥更新操作,生成新的用户密钥uk'及密钥附带信息σ'对。

参照图3，即步骤C，用户Bob提取云端图像集中自己想搜索图像的全局特征向量I，根据自己有效的uk，运行搜索算法Query(uk,I)→Q生成搜索图像的请求Q，并向可信中心TC发送搜索请求Q；可信中心TC接收用户Bob的搜索请求Q并匹配Bob密钥的附带信息σ，运行陷门生成函数TpdrGen(Q,σ)→Tr，生成用户Bob的搜索陷门Tr，并向云端C发送搜索陷门Tr；

执行步骤D，云端C运行检测算法Test(Tr,CI)→rst，计算用户Bob的搜索陷门Tr与图像集中特征描述符CI的距离来确定两张图像的相似性，并返回结果rst。其中，rst为布尔函数，搜索成功为1，否者为0。

需要注意的是，可信中心TC保存每一个用户密钥uk及密钥的附带信息σ对，并标记用户密钥uk授权的图像拥有者信息，比如uk_Bob,Alice表示用户Bob获得图像拥有者Alice的搜索授权。参照图4，当用户Bob的密钥遭受泄露或攻击时，即秘钥异常时，可信中心TC运行更新算法Updata(uk,σ)→uk',σ'执行异常用户Bob的密钥uk及密钥附带信息σ对的更新操作，生成新的密钥uk'及密钥信息σ'对。密钥正常则执行步骤C，即授权用户运行搜索算法Query(uk,I)→Q生成搜索请求Q，授权用户从图像集中提取图像全局特征向量I，利用合法秘钥uk生成搜索请求Q；

关于密钥格式具体说明，参照图5，用户密钥的格式应包括授权用户密钥uk的图像拥有者信息。比如uk_Bob,Alice表示用户Bob获得图像拥有者Alice的搜索授权。可信中心TC对图像拥有者进行编号并标记图像拥有者信息，其中，Num是图像拥有者共享图像所在群组中的用户数，也就是授权用户的数量；σ是秘钥的附带信息；可信中心TC在群组用户区域存储用户密钥及密钥附带信息对信息。

在本发明中，所述图像拥有者共享图像的加密算法均是通过AES对称加密算法计算得到的，具体的在云存储环境下群组内进行共享图像时，图像拥有者采用AES对称加密算法加密图像得到密文,用主密钥加密图像特征向量得到特征向量符，将两者上传到云服务端，图像拥有者向群组分发密钥进行搜索授权。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。