安全数据存储系统的设计与实现

《安全数据存储系统的设计与实现》由会员分享，可在线阅读，更多相关《安全数据存储系统的设计与实现（48页珍藏版）》请在装配图网上搜索。

1、-毕 业 论 文(设 计)论文设计题目: 平安数据存储系统的设计与实现姓 名学 号学 院 软件学院 专业 软件工程 年 级 2010级 指导教师2011年 5月22日*大学毕业设计论文成绩评定表学院：软件学院 专业：软件工程 年级：2010级*设计论文成绩设计论文题目平安数据存储系统的设计与实现指 导 教 师 评 语评定成绩： 签名： 年 月 日评 阅 人 评 语评定成绩： 签名： 年 月 日答 辩 小 组 评 语辩论成绩： 组长签名： 年 月 日注：设计论文成绩=指导教师评定成绩30%评阅人评定成绩30%辩论成绩40% 目录摘要4第一章绪论61.1研究背景61.2数据平安保护现状61.3 数

2、据平安和信息平安开展趋势71.4目的和意义8第二章数据平安保护的主要应用技术102.1加密算法10对称加密10非对称加密112.2 带关键词搜索的公钥加密算法PEKS132.3 基于双线性对的PEKS方案132.4 PBC库14第三章数据平安存储系统设计153.1系统设计总体要求153.2系统设计总体目标15数据存储功能153.2.2 数据的关键词15系统初始化163.2.4 基于PEKS的加密设计16数据的检索173.3系统整体设计模块18第四章数据平安存储系统设计194.1 系统初始化19构造体定义194.1.2 PEKS系统初始化194.1.3 RSA加密系统初始化214.2 数据存储的

3、实现224.2.1 数据存储界面22数据检索流程实现224.2.3 PEKS系统实现234.3数据检索的实现254.3.1 数据检索界面25数据检索流程实现25数据检索中的PEKS实现26第四章系统测试28第五章完毕语29致谢30参考文献31附录1 英文文献32附录2 中文译文36摘要科学技术的开展和时代进步，从蒸汽机的创造开场，近代工业的突飞猛进，新兴产业的遍地开花都展现出蓬勃的生机，尤其是近三十年间，电子信息技术产业的开展更是展现了其实力和前景。纵观当今社会，信息的存储逐渐取代了传统的纸质形式，转而大多是以电子形式进展的。因为s电子存储介质容量大体积小，快速便捷，不易受损的性质成为了存储界

4、的宠儿，然而衍生出的平安问题也同样值得关注。电子存储介质一旦受损，则信息的平安何以保障，在信息化的当今时代，一旦信息泄露引发的问题可能足以致命。在这种形式下，基于数据的平安存储系统的设计与研究就显得极其必要。随着互联网的高速开展,众多企业和个人己经把大量数据交给第三方效劳器存储,如何保证私有数据的*性和隐私成为急需解决的问题。加密技术是保护数据*性和隐私的一种较为有效的手段,然而对加密后的数据进展检索却是一项非常困难的工作。特别是在非可信环境的情况下,如何对加密数据进展高效地查询引起了人们普遍的关注。因此,可搜索加密成为了近几年的研究热点之一。可搜索加密分为带关键词检索的对称加密和带关键词检索

5、的公钥加密。带关键词检索的对称加密有着简单、高效的优点,但无法实现对第三方数据的秘密检索。现有的带关键词检索公钥加密虽然可以实现对第三方数据的秘密检索,但效率不高。本文主要研究可搜索加密技术,针对现有的带关键词检索公钥加密方案中大量对运算需要消耗较多时间、效率不高等问题,提出了一种高效的带关键词检索的公钥加密方案。该方案既具备带关键词检索的对称加密简单、高效的优点关键词:可搜索加密; 公钥加密; 带关键词检索的公钥加密ABSTRACTWith the rapid development of puter Science, electronic data Storage is being mor

6、e popular. Most of data was stored as Electronic documents. It arouses wide concern of how to prove data Security. In the information systems, if storages were out of control, all the sensitive information and important data will be stolen, which Result in heavy losses. Therefore, to efficiently sec

7、ure the data, its Necessary to research data security system based on encryption.With the rapid development of internet, a number of panies and individuals have stored data on a third Party server. How to ensure the confidentiality and Privacy of Private data has bee an urgent Problem. Encryption is

8、 an effective means of Protecting the confidentiality and Privacy of data, but retrieval on the encrypted data is a very difficult task. Particularly due to non-trusted environment, how to search on encrypted data efficiently caused widespread concern. Thus, searchable encryption has bee a hot topic

9、 in recent years.Searchable encryption can be divided into symmetric encryption with keyword search and Public key Encryption with Keyword Search (PEKS). Symmetric encryption with keyword search is simple and has high efficiency, but cannot realize the Privatesearch for third-Party data. The Public

10、key Encryption with Keyword Search can realize the Private search for third-Party data, but is inefficient. This Paper Mainly studies searchable encryption. Since great putation of pairings in PEKS schemes are still time consuming and inefficient, this Paper proposes a more efficient PEKS scheme. Th

11、e new PEKS scheme not only retains the advantages of symmetric encryption with keyword search such as simple*es and high efficiency, but also can realize the private search for third一Party data.Keywords: Searchable encryption, Public key encryption; Public key Encryption with Keyword Search (PEKS)第一

12、章 绪论1.1研究背景随着时代的进步，我们已经进入了信息化社会，所以在这个时代信息是一切的根底，掌握信息才能掌握这个时代的脉搏，才能在这个信息时代取得自己的一片天。正是因为信息时代的到来，所以信息平安尤其显得重要。数据平安是信息平安中尤为重要的一环，也是具有决定意义的一环，对于信息平安的研究也是为了我们自身生活环境，国家开展的一项奉献。作为老百姓来说，信息平安也不可小视。举个例子来说，当购置了一套住房后，你的个人信息有可能会被无良商人泄露，从而一些建筑公司会主动打来询问户主是否需要装修等。这就是一种信息未得到平安保证的结果。现实生活中，计算机信息平安，网络信息平安都与我们自身息息相关。对于公司

13、业务来说，如何保障大规模的数据平安更是一件刻不容缓的事。存储介质随着办公自动化的开展变得越来越大，如果不伴以平安辅助，则一旦发生泄漏，损失难以估计即使在有防火墙，隔离装置等网络平安设备在阻止着基于网络的平安攻击，但是数据在存储中存在的漏洞和平安隐患却有可能在不经意间导致大规模的信息平安危害事故。从网上的调查数据可知，现如今大局部的信息泄露主要是内部人员所为，也就是说外来黑客的攻击只占小局部，大局部的信息泄露都是由于数据存储的管理制度不完善，内部人员随意窃取导致。在问题如此严重的当下，对于研发一个数据加密存储系统显得十分有必要。必须要保证在各种存储介质上的数据平安，以及在介质出现失控情况下的数据

14、平安问题在大多数重要业务部门的敏感数据的应用热点下，数据平安系统应当构建在现有的计算机，软件网络设施之上，并融合在各个应用中，形成高效便利的方式和系统。作为必要的根底环节，使得信息系统的运作更为平安和完善。1.2数据平安保护现状1.明文存储即使在强调信息平安的当今社会，也依然有单位或者个人对信息平安意识的缺乏，又或者对信息平安的不重视，他们将重要信息直接以明文的形式存储在介质中，包括移动硬盘或者计算机。然而一旦这些介质受到攻击，明文形式保存的信息就会遭到泄露，则所带来的后果将是十分严重的，轻则需要重新录入，重则面临巨大损失。2.适用面狭窄在我完成这篇论文之前，我对加密这一领域也不甚了解，第一可

15、能是我学艺不精，第二加密系统对个人用户似乎也没有很多的优化，一些优良的加密系统在大型设备上用的很广泛，而对个人用户来说操作不便，本钱太高可能也是造成这个方面的主要原因。3.网络防护和加密隐藏现有的加密系统的调查和分析可知，一些加密系统似乎对网络这一块做得工作甚少，而且似乎也不愿意在自动隐藏上下工夫。这导致了一个重要问题，就是在一些网络系统中，用户信息很可能被直接在网络中获取明文信息，导致信息泄露。而自动隐藏功能更是应该被广泛应用，当计算机失控时，经过加密自动隐藏的数据不能显现时，这样才会为数据不被泄露提供有力的保障4.加密等级过低加密技术的开展必然导致反加密技术的进步，一些加密系统的加密强度已

16、经不能满足现如今对加密系统的强度要求，效率和有效性应当逐步提升以满足用户的需求1.3 数据平安和信息平安开展趋势平安这个词不存在绝对性，任何一个系统都无法保证绝对的平安性。我们反复制定数据平安的需求和标准，正是由于这个原因，信息技术的提升，网络的日益完善与兴旺，都使得平安这个词的标准一再拔高，一再需要重新界定，一劳永逸解决这个问题显得多么的不切实际。所以要实现对数据的持续平安，就必须在这个信息高速开展的时代持续的关注和不断的解决。从整体来看，数据平安的趋势形成了如下四个方面1. 数据平安的重要性日渐增强。数据平安作为信息平安的核心组成局部，在信息平安中起着至关重要的作用。在当今这个时代，信息平

17、安所涉及的领域包括国防，国民经济建立，企业开展，个人事业，这些大都与我们的生活开展息息相关，因此，信息平安显得尤为重要2. 数据平安概念的开展，平安手段的不断强化。平安这个词从诞生起就在不断的开展和深化。信息平安的特性如下，*性，完整性，可用性，可控性，不可否认性。信息化时代进步的日益加快，信息在这几个特性下的开展也在逐步进展，并且在基于这几个方面上研究和开展。3. 数据平安系统的复杂性。现代信息系统开展带来了生活的便利，同时也带来了数据平安这一重大课题。可以看出，这个问题的解决必然会基于现代高新技术的支持，传统的方法是无法满足要求的。由此，各种新技术便应运而生。4. 数据平安涉及的面增广。从

18、传统的实体化平安例如上锁，到现在的网络平安，存储平安等，同时一些加密技术如指纹识别，虹膜识别等1.4目的和意义1.为信息平安增添一道防护措施现在数据平安的概念已得到了广泛的普及，征服部门和企业都开场逐步增加了对信息平安的重视，虽说在很大一局部上是通过行政手段来提供的保障，但是在系统失效的情况下如何保护重要敏感的数据可谓重中之重。应运而生的数据平安系统可以对存储介质提供加密保护，即使系统出现失控或别的一些故障，数据平安系统依旧为数据平安提供者保障。由此可见，数据平安存储系统和行政管理的相互补充，有效的保护了数据平安2.增加普适性，为用户提供简单便捷的操作以及全面的数据保护在计算机技术与信息技术高

19、速开展的今天，电子文档已经在大规模上取代了传统纸质介质，而且存储介质的容量的不断扩增，导致了现在用户会将大局部的资料存储在一个介质中，一旦该介质出现故障等问题足以致命。3.*性网络中的一些数据是存在极高的*性的，例如账号密码等一系列数据。这些数据让工作本身就成为了一种秘密性的行为。所以要实时确保该类信息的*，确保信息即使在不被授权的情况下不会被第三方获得4.完整性数据平安中的重要一环就是要保障数据传输中的完整性，以防止数据的错序，丧失，重复等行为。保证信息的完整性是保障数据平安的根底，也是前提5.对于*数据的访问必须经过身份验证数据的存储时运行在一个大的并且是实时开放的网络中的，所以对于*数据

20、的访问是必须要经过身份验证，以确保信息是来自真实身份的发送方。以防止在一方进展越权操作时，保证*数据的完整6.不可抵赖性信息一旦存储，其不可抵赖性是毋容置疑的。很多信息平安的工程涉及到责任权利等问题，所以信息的不可抵赖性的作用表达的极为明显。信息既已操作，其操作行为会随之记录，这是基于公平公正性进展考虑的，所以必须要满足这一点第二章 数据平安保护的主要应用技术2.1加密算法本文主要涉及的是数据平安，所以各种加密算法是重中之重。根据加密算法中秘钥类型的不同，可以将加密算法分为两类，对称加密和非对称加密。2.1.1对称加密采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密

21、方法称为对称加密，也称为单密钥加密。需要对加密和解密使用一样密钥的加密算法。由于其速度快，对称性加密通常在消息发送方需要加密大量数据时使用。对称性加密也称为密钥加密。所谓对称，就是采用这种加密方法的双方使用方式用同样的密钥进展加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则，规定如何进展加密和解密。因此加密的平安性不仅取决于加密算法本身，密钥管理的平安性更是重要。因为加密和解密都使用同一个密钥，如何把密钥平安地传递到解密者手上就成了必须要解决的问题。常用对称加密算法DES：使用一个 56 位的密钥以及附加的 8 位奇偶校验位每组的第8位作为奇偶校验位，产生最大 64 位的分组大小。这

22、是一个迭代的分组密码，使用称为 Feistel 的技术，其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能，然后将输出与另一半进展“异或运算；接着交换这两半，这一过程会继续下去，但最后一个循环不交换。DES 使用 16 轮循环，使用异或，置换，代换，移位操作四种根本运算。3DES：3DES即Triple DES是DES向AES过渡的加密算法1999年，NIST将3-DES指定为过渡的加密标准，加密算法，其具体实现如下：设Ek()和Dk()代表DES算法的加密和解密过程，K代表DES算法使用的密钥，P代说明文，C代表密文，这样：3DES加密过程为：C=Ek3(Dk2(Ek1(P)，3D

23、ES解密过程为：P=Dk1(EK2(Dk3(C)AES：密码学中的高级加密标准Advanced Encryption Standard，AES，又称Rijndael 加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES，已经被多方分析且广为全世界所使用。2.1.2非对称加密非对称加密算法需要两个密钥：公开密钥public key和私有密钥private key。公开密钥与私有密钥是一对，如果用公开密钥对数据进展加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进展加密，则只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算

24、法。 非对称加密算法实现*信息交换的根本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对*信息进展加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进展解密。常用非对称加密算法1.RSA：RSA算法是一种非对称密码算法，所谓非对称，就是指该算法需要一对密钥，使用其中一个加密，则需要用另一个才能解密。RSA的算法涉及三个参数，n、e1、e2。其中，n是两个大质数p、q的积，n的二进制表示时所占用的位数，就是所谓的密钥长度。e1和e2是一对相关的值，e1可以任意取，但要求e1与(p-1*(q-1互质；再选择e2，要求e2*e1mod(

25、p-1*(q-1=1。n，e1,(n，e2就是密钥对。其中(n，e1为公钥，(n，e2为私钥。1RSA加解密的算法完全一样，设A为明文，B为密文，则：A=Be2 mod n；B=Ae1 mod n；公钥加密体制中，一般用公钥加密，私钥解密e1和e2可以互换使用，即：A=Be1 mod n；B=Ae2 mod n;RSA的平安性依赖于大数分解，但是否等同于大数分解一直未能得到理论上的证明，因为没有证明破解RSA就一定需要作大数分解。假设存在一种无须分解大数的算法，那它肯定可以修改成为大数分解算法。 RSA 的一些变种算法已被证明等价于大数分解。不管怎样，分解n是最显然的攻击方法。人们已能分解多个

26、十进制位的大素数。因此，模数n必须选大一些，因具体适用情况而定。2. Diffie-Hellman密钥交换一种确保共享KEY平安穿越不平安网络的方法，它是OAKLEY的一个组成局部。Whitefield与Martin Hellman在1976年提出了一个奇妙的密钥交换协议，称为Diffie-Hellman密钥交换协议/算法(Diffie-Hellman Key E*change/Agreement Algorithm).这个机制的巧妙在于需要平安通信的双方可以用这个方法确定对称密钥。然后可以用这个密钥进展加密和解密。但是注意，这个密钥交换协议/算法只能用于密钥的交换，而不能进展消息的加密和解密

27、。双方确定要用的密钥后，要使用其他对称密钥操作加密算法实际加密和解密消息。基于原根的定义及性质，可以定义Diffie-Hellman密钥交换算法.该算法描述如下： 1.有两个全局公开的参数，一个素数q和一个整数a,a是q的一个原根. 2.假设用户A和B希望交换一个密钥，用户A选择一个作为私有密钥的随机数*A(*Aq)，并计算公开密钥YA=a*A mod q。A对*A的值*存放而使YA能被B公开获得。类似地，用户B选择一个私有的随机数*Bg, param-pairing);element_init_G1(pk-h, param-pairing);element_init_Zr(sk-alpha,

28、 param-pairing);element_random(pk-g); element_random(sk-alpha); element_pow_zn(pk-h, pk-g, sk-alpha);return 0;4.1.3 RSA加密系统初始化public class RSA /创立密钥对生成器，指定加密和解密算法为RSA public String Skey_RSA(int keylen)/输入密钥长度 String output = new String5; /用来存储密钥的e n d p q try KeyPairGenerator kpg = KeyPairGenerator.

29、getInstance(RSA); kpg.initialize(keylen); /指定密钥的长度，初始化密钥对生成器 KeyPair kp = kpg.generateKeyPair(); /生成密钥对 RSAPublicKey puk = (RSAPublicKey)kp.getPublic(); RSAPrivateCrtKey prk = (RSAPrivateCrtKey)kp.getPrivate(); BigInteger e = puk.getPublicE*ponent(); BigInteger n = puk.getModulus(); BigInteger d = p

30、rk.getPrivateE*ponent(); BigInteger p = prk.getPrimeP(); BigInteger q = prk.getPrimeQ(); output0=e.toString(); output1=n.toString(); output2=d.toString(); output3=p.toString(); output4=q.toString(); catch (NoSuchAlgorithmE*ception e*) Logger.getLogger(RSA.class.getName().log(Level.SEVERE, null, e*);

31、 return output; 4.2 数据存储的实现4.2.1 数据存储界面4.2.2数据检索流程实现在主界面点击储存按钮后，程序会跳转至数据存储界面，在关键字一栏输入关键字，在数据栏输入数据完成后，点击保存按钮后，会实现事件响应，系统会将数据content和关键字keyword发送至PEKS系统中进展后续的操作，PEKS系统在承受关键词和数据后会在系统内进展加密操作，并返回密文cipher，系统会将cipher发送至存储系统SaveImpl，调用.save 函数进展存储，具体代码实现如下save1.addActionListener(new ActionListener() public

32、void actionPerformed(ActionEvent e) String keyword1 = keyword.getTe*t(); String content1 = content.getTe*t(); PEKSSystem peksSys = new PEKSSystem(); String cipher = peksSys.save(keyword1, content1); SaveImpl si = new SaveImpl(cipher);si.save();4.2.3 PEKS系统实现(1)生成密钥后，对即将进展加密存储的数据的关键进展PEKS加密，其中pk为公钥，k

33、eyword为关键词，keywordlen为关键词长度，cipher为密文，具体实现代码如下：int PEKS(sysparams *param, pubkey *pk, unsigned char *keyword, int keywordLen, PEKSCipher *cipher) /PEKS密文生成函数element_t r, tmp1, tmp2;element_init_G1(cipher-c1,param-pairing);element_init_GT(cipher-c2,param-pairing);element_init_Zr(r, param-pairing);ele

34、ment_random(r); element_pow_zn(cipher-c1, pk-g, r);element_init_G1(tmp1, param-pairing);element_from_hash(tmp1,keyword,keywordLen);element_init_G1(tmp2, param-pairing);element_pow_zn(tmp2, pk-h, r);element_pairing(cipher-c2, tmp1, tmp2);return 0;(2) 使用RSA加密算法对数据进展加密，具体代码实现如下，content为输入PEKS系统中的明文publ

35、ic String Enc_RSA(String content,String eStr,String nStr) String cipher = new String(); try BigInteger e = new BigInteger(eStr); BigInteger n = new BigInteger(nStr); byte pte*t = mingwen.getBytes(UTF8); BigInteger m = new BigInteger(pte*t); BigInteger c = m.modPow(e, n); cipher = c.toString(); catch

36、 (UnsupportedEncodingE*ception e*) Logger.getLogger(RSA.class.getName().log(Level.SEVERE, null, e*); return cipher; （3） PEKS系统在加密完数据和关键词后会将两个密文一起发送给存储模块进展存储，存储模块调用IO输出流，将密文写入文件中实现存储，具体代码实现如下FileOutputStream fos = new FileOutputStream(current);char chardata = content.toCharArray();for(int a=0;apairin

37、g);element_from_hash(tmp,keyword,keywordLen);element_init_G1(tw-t, param-pairing);element_pow_zn(tw-t, tmp, sk-alpha); return 0;（2） 在PEKS系统中生成陷门函数后，系统会将陷门函数生成的加密后的关键词密文发送至存储系统中的关键词检索算法中，当该算法返回TRUE时，即找到该数据，具体的实现代码如下，其中tw为陷门函数中生成的加密后的关键词密文，cipher为存储在系统中的密文int test(sysparams *param, Trapdoor *tw, PEKSC

38、ipher *cipher) element_t tmp;element_init_GT(tmp, param-pairing);element_pairing(tmp, cipher-c1, tw-t);if (element_cmp(tmp, cipher-c2)=0)return 0;elsereturn -1;（3） 使用RSA解密密文，具体代码实现如下，其中cipher为存储系统输出的密文，content为解密后输出的明文 public String Dec_RSA(String cipher,String dStr,String nStr) StringBuffer content

39、= new StringBuffer(); BigInteger d=new BigInteger(dStr);/获取私钥的参数d,n BigInteger n=new BigInteger(nStr); BigInteger c=new BigInteger(miwen); BigInteger m=c.modPow(d,n);/解密明文 byte mt=m.toByteArray();/计算明文对应的字符串并输出 for(int i=0;imt.length;i+) content.append(char)mti); return content.toString(); 第四章 系统测试测试内容测试方法测试结果备注数据存储启动系统，进展操作测试通过10台计算机，每台不少于50次数据加密强度对数据加密强度进展破解通过对两组数据进展破解，失败数据检索启动系统，进展操作测试通过稳定些兼容性通过第五章 完毕语数据平安与信息系统的稳定可靠息息相关,因此,数据平安问题得到了越来越广泛的关注。本文设计和实现了数据平安存储系统,使用密码技术和手段对信息系统内部的数据进展透明加密保护,成功到达了信息系统等级保护中有关数据平安保护的根本要求和目标。本系统是基于PE