(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111642128.4 (22)申请日 2021.12.2 9 (71)申请人 电子科技大 学广东电子信息 工程研 究院 地址 523000 广东省东莞 市松山湖高新 技 术产业开发区总部二路17号 (72)发明人 张宏莉　韩培义　叶麟　余翔湛　 李东　于海宁　方滨兴　黄常喜　 (74)专利代理 机构 天津市北洋 有限责任专利代 理事务所 12 201 代理人 潘俊达　郭宝煊 (51)Int.Cl. G06F 16/953(2019.01) G06F 21/62(2013.01) G06F 21/60(2013.01) (54)发明名称 一种基于安全网关的密文搜索方法、 装置及 其系统 (57)摘要 本发明公开了一种基于安全网关的密文搜 索方法、 装置及其系统， 该方法包括： 接收用户端 的上传请求； 对应用数据进行加密， 由第一应用 服务器存储加密密文， 并返回加密密文标识符； 提取应用数据的关键词， 并构建对应的索引并进 行加密， 由第二应用服务器存储索引密文， 并返 回索引密文标识符； 将索引与索引密文标识符以 及加密密文标识符进行关联； 接收用户端的查询 请求， 将搜索关键词变换为对应的索引密文， 并 向第二应用服务器发起查询请求； 根据第二应用 服务器返回对应的索引密文 标识符， 得到加密密 文标识符； 使用加密密文 标识符向第一应用服务 器发起请求， 得到对应的加密密文， 并将加密密 文返回用户端。 本发明解决了密文的可搜索性和 安全性问题。 权利要求书2页 说明书6页 附图2页 CN 114417109 A 2022.04.29 CN 114417109 A 1.一种基于安全网关的密文搜索方法， 其特 征在于， 包括如下步骤： 步骤1、 接收用户端的上传请求， 提取出应用数据的内容， 对所述应用数据进行加密， 并 将加密密文存储至第一应用服务器， 所述第一应用服务器接 收所述加密密文， 并返回加密 密文标识符； 步骤2、 提取所述应用数据的关键词， 并构建对应的索引， 将索引进行加密， 并将索引密 文存储至所述第二应用服务器， 所述第二应用服务器接 收所述索引密文， 并返回索引密文 标识符； 步骤3、 将所述索引与所述索引密文标识符以及所述加密 密文标识符进行关联； 步骤4、 接收所述用户端的查询请求， 将搜索关键词变换为对应的所述索引密文， 并向 所述第二应用服 务器发起搜索查询请求； 步骤5、 根据所述第二应用服务器返回对应的所述索引密文标识符， 得到对应的所述加 密密文标识符； 步骤6、 使用所述加密密文标识符向所述第一应用服务器发起请求， 得到对应的所述加 密密文， 并将所述加密 密文返回所述用户端。 2.根据权利要求1所述的基于安全 网关的密文搜索方法， 其特征在于， 在所述步骤1中， 根据预设加密规则， 获取所述应用数据对应的加密密钥组； 所述加密密钥组包括用于对所 述应用数据的一个或多个内容数据进行加密的一个或多个密钥； 根据预设加密规则， 使用 所述加密 密钥组对所述应用数据中的一个或多个内容数据进行加密得到所述加密 密文。 3.根据权利要求1所述的基于安全网关的密文搜索方法， 其特征在于， 输入搜索关键 词， 将所述搜索关键词变换为所述索引， 所述索引对应的所述索引密文存在， 则根据所述索 引密文与加密密文标识符之间的映射函数， 得到对应的加密密文标识符； 若输入所述搜索 关键词， 将所述搜索关键词变换为所述索引， 所述索引对应的所述索引密 文不存在， 则根据 所述搜索关键词与所述索引之间的映射 函数， 新增对应的所述索引与所述索引密文。 4.根据权利要求1所述的基于安全 网关的密文搜索方法， 其特征在于， 构建支持多关键 词排序功能的所述索引， 具体步骤为： 步骤101、 将应用数据集进行分词， 得到包 含所有关键词的字典集 合； 步骤102、 计算任意 一个所述应用数据中每一个词出现的频率； 步骤103、 计算所述应用数据的逆文档频率； 步骤104、 根据 所述关键词得到对应的倒排表， 计算各个所述应用数据与搜索关键词的 相关性分数； 步骤105、 选择若干个高相关性分数对应的所述应用数据作为多关键词排序加密 密文。 5.根据权利要求4所述的基于安全 网关的密文搜索方法， 其特征在于， 利用以所述应用 数据为目录的应用数据索引构造以所述关键 字为目录的倒排索引， 包括： 步骤201、 遍历应用数据链 表， 获取每 个所述应用数据对应的关键 字集合； 步骤202、 针对每 个所述关键 字， 构造关键 字链表； 步骤203、 针对每个所述关键字， 获取其对应的应用数据集合， 存入相应的所述关键字 链表。 6.根据权利要求1所述的基于安全 网关的密文搜索方法， 其特征在于， 构建支持模糊关 键词搜索的所述索引， 具体步骤为：权　利　要　求　书 1/2 页 2 CN 114417109 A 2步骤301、 基于有限状态自动机， 使用编辑距离判断所述搜索关键词与所述索引关键词 是否相似， 得到编辑距离小于n的相似关键词集合， 其中， 所述编辑距离是指搜索关键词到 索引关键词所需最少的编辑操作次数； 步骤302、 使用 所述相似关键词集合对本地索引进行查询， 得到对应的加密密文标识 符。 7.根据权利要求1所述的基于安全 网关的密文搜索方法， 其特征在于， 在所述步骤4中， 接收所述用户端发送的查询请求之后， 解析所述查询请求得到用户身份信息， 根据所述用 户身份信息验证所述用户端是否具有访问权限； 若所述用户端具有访问权限， 将所述查询 请求发送至所述第二应用服 务器。 8.一种基于安全网关的密文搜索装置， 其特 征在于， 包括： 接收模块， 被配置为接收用户端发送的应用数据上传请求； 接收所述用户端发送的数 据搜索请求； 接 收第一应用服务器返回的加密密文标识符； 接 收所述第二应用服务器返回 的索引密文标识符； 接收所述第一应用服 务器返回的加密 密文； 解析模块， 被 配置为解析所述应用数据上传请求得到应用数据； 第一加密模块， 被配置为对所述应用数据进行加密得到所述加密密文， 并将所述加密 密文发送至所述第一应用服 务器； 索引构建模块， 被 配置为从所述应用数据中提取 出关键词， 并构建对应的索引； 第二加密模块， 被配置为对所述索引进行加密得到索引密文， 并将所述索引密文发送 给第二应用服 务器； 关联模块， 被配置为将所述索引与 所述索引密文标识符以及所述加密密文标识符进行 关联； 搜索模块， 被配置为解析数据搜索请求得到搜索关键词， 将所述搜索关键词变换为对 应的所述索引密文， 向所述第二应用服 务器发起搜索查询请求； 转发请求模块， 被 配置为使用所述索引密文标识符向所述第一应用服 务器发起请求； 第一返回模块， 被 配置为将所述加密 密文返回至所述用户端。 9.根据权利要求8所述的基于安全网关的密文搜索装置， 其特征在于， 还包括验证模 块， 所述验证模块被配置为解析所述应用数据获取请求得到用户身份信息， 根据所述用户 身份信息验证所述用户端是否具有访问权限。 10.一种基于安全 网关的密文搜索系统， 其特征在于， 包括用户端、 第 一应用服务器、 第 二应用服务器与如权利要求8 至9任意一项 所述的密 文搜索装置， 所述用户端与所述密 文搜 索装置通信连接， 所述密 文搜索装置分别通信连接所述第一应用服务器与所述第二应用服 务器。权　利　要　求　书 2/2 页 3 CN 114417109 A 3