数据安全是大数据和网络与信息安全领域可控有序发展的基石。随着云计算的发展与普及,数据的安全管理被广泛的外包给第三方云服务提供商,从而为用户提供不间断的、按需定制的、高效的数据安全服务。然而,不论第三方云服务提供商如何渲染其美好的前景,由于其的不可信和盈利本性,遭到敏感机构或组织的普遍质疑。事实上,第三方云服务器中的数据安全事故时有发生,数据的安全性问题仍日益突出,并得到越来越广泛的关注。密文数据上的安全查询是数据安全管理中的核心技术,可以用于保障数据的可用性、可控性及机密性。因此,云计算环境下密文数据安全查询研究日趋重要。为了应对密文数据查询的安全挑战,论文主要面向基于公钥的关键词可搜索加密、安全近似最近邻查询、安全范围查询和多功能密文计算等核心领域存在的问题进行研究并设计解决方案,攻克了一部分密文数据安全查询中亟待解决的问题。具体如下:·现有的基于公钥的关键词可搜索加密(PEKS:public key encryption with keyword search)方案存在严重的密钥托管(Key Escrow)问题,即相应的系统需要可信第三方管理和发布用户公钥,以确认用户身份。针对此问题,首先,结合无证书公钥密码(CLPKC:Certificateless public key cryptography)系统的特点,建立了基于无证书公钥密码系统的关键词可搜索加密(CLPEKS:CLPKC with key word search)系统的基本模型;然后,以双线性对(Bilinear pairing)工具建立具体的CLPEKS加密方案,并给出严格的正确性和安全性证明;最后,在Enron电子邮件数据集上进行仿真,证明方案的有效性。·针对目前的安全查询方案在高维结构化数据查询方面存在效率低、安全性差的弊端,首先,基于位置敏感哈希(LSH:Locality sensitive hashing)将原始高维数据映射为一维线序数据,为安全索引和安全划分打下基础。然后,重点针对安全近似最近邻(SANN:Secure approximate k-nearest neighbor)查询问题做了两方面的工作:-基于可比较加密(Comparable encryption)和B+树设计适用于高维结构化数据的安全索引Bc树,并在此安全索引基础上构建了可重复使用的安全相似最近邻查询方案;紧接着,设计了多索引策略(Multi-index strategy)和逐步精炼策略(Boosting refine strategy)用于分别提升安全相似最近邻查询方案的精度和降低方案对带宽的依赖性;最后,通过在四个真实和合成数据集上的实验验证,该方案提供的精确性与传统的非安全方案相当,并且效率的退化控制在一定的范围内。-在线序数据的基础上,设计了一个新型的支持高维数据的贪心划分算法(Greedy partition method),并建立数据集的安全划分;然后,在基于划分的安全近似最近邻查询框架的基础上,通过恰当的对称密码(Symmetric cryptography)算法隐藏可能泄露的数据和查询信息,从而保障其安全性并给出安全性证明;最后,通过在大量的真实和合成数据集上进行仿真,实验结果表明该方案能够在保障安全的同时高效的返回搜索结果,并显著降低第三方云服务提供商的计算开销。·现有的安全范围查询(Secure range query)方案对第三方云服务提供商的计算资源利用率较低,为了解决这一问题,首先,基于可比较加密和k-d树(k-dimensionaltree)构建了一个安全k-d树,即SKD树;然后,在SKD树的基础上构建了一个实例化的安全范围查询方案,并给出了安全性分析和复杂性分析;最后,通过大量的真实数据集上的实验仿真,基于SKD树的安全方案将通信开销显著降低,并同时极大的减少了用户与第三方云服务提供商的通信轮数。·通过对现有的密文数据上的大规模索引进行深入分析发现,其不仅需要密文的保序性,也需要密文的可计算性(如加法、乘法等)实现索引中度量机制的计算。然而,现有的密文计算方案要么保障密文的保序性,要么保障密文的加法和乘法的可计算性,因为二者密文的语义鸿沟,导致二者不可兼得。针对此问题,首先,以保序加密(OPE:Order preserving encryption)的安全模型为切入点,通过同态计算属性的引入设计了恰当的安全模型,即可操作且保序的选择明文攻击下的不可区分性(IND-O2CPA:Indistinguishability under operated and ordered chosen-plaintext attack)的安全模型,并给出该安全模型的合理性证明;然后,以加法保序表(Addition preserving lookup table)、乘法保序表(Product preserving lookup table)和编码树为工具,设计了同时支持密文保序、密文加法计算和密文乘法计算的同态保序加密(hOPE:Homomorphic order preserving encryption)方案;此外,通过引入可信第三方,在不影响安全性的前提下进一步降低了密码方案的计算开销,提升了方案效率。最后,基于所提出的hOPE方案在理论上实现了一些度量机制的密文计算,从而说明了方案的有效性。