王元昊，李宏博，崔鈺釗，郭慶文，黃瓊

?

具有密文等值測(cè)試功能的公鑰加密技術(shù)綜述

王元昊，李宏博，崔鈺釗，郭慶文，黃瓊

（華南農(nóng)業(yè)大學(xué)數(shù)學(xué)與信息學(xué)院，廣東 廣州 510642）

作為解決云環(huán)境中多公鑰加密計(jì)算問題的重要方法之一，密文等值測(cè)試技術(shù)可以實(shí)現(xiàn)對(duì)不同公鑰加密的數(shù)據(jù)進(jìn)行比較，使測(cè)試者在不對(duì)密文進(jìn)行解密的前提下判斷密文對(duì)應(yīng)的明文是否相同。首先介紹了密文等值測(cè)試概念及其安全模型，總結(jié)了目前提出的6種授權(quán)模式所適用的場(chǎng)景以及對(duì)應(yīng)的輸入與輸出；然后對(duì)比了密文等值測(cè)試技術(shù)與公鑰可搜索加密技術(shù)的異同，闡述并分析了包括公鑰、基于身份和基于屬性在內(nèi)的若干典型密文等值測(cè)試方案；最后討論了密文等值測(cè)試的應(yīng)用場(chǎng)景并對(duì)來來的研究進(jìn)行展望。

等值測(cè)試；基于身份加密；可搜索加密；云計(jì)算

1 引言

隨著信息技術(shù)的飛速發(fā)展，云計(jì)算技術(shù)從實(shí)驗(yàn)室普及到了社會(huì)大眾。云存儲(chǔ)是云計(jì)算的一項(xiàng)主要服務(wù)，它能方便地對(duì)數(shù)據(jù)進(jìn)行備份與分享，并能有效降低用戶的存儲(chǔ)成本，帶來便捷。近年來，國(guó)內(nèi)外也涌現(xiàn)了Amazon、Dropbox、百度、360等云存儲(chǔ)服務(wù)供應(yīng)商。

云計(jì)算的發(fā)展使用戶對(duì)數(shù)據(jù)安全性越來越重視。企業(yè)用戶在使用云存儲(chǔ)時(shí)，很有可能上傳敏感數(shù)據(jù)，如企業(yè)人事檔案、患者醫(yī)療數(shù)據(jù)、環(huán)境監(jiān)測(cè)數(shù)據(jù)等。然而，近年來數(shù)據(jù)泄露事故頻發(fā)，用戶可能會(huì)擔(dān)心云存儲(chǔ)服務(wù)供應(yīng)商在用戶不知情的情況下非法販賣數(shù)據(jù)給第三方；再者，若遭到黑客入侵，以明文形式存儲(chǔ)的數(shù)據(jù)將完全暴露給黑客。針對(duì)該問題，一種有效的辦法是用戶先將數(shù)據(jù)進(jìn)行加密再上傳數(shù)據(jù)，確保在不泄露密鑰的情況下，任何人都無法在較短時(shí)間內(nèi)解密數(shù)據(jù)，從而保護(hù)用戶的隱私。然而，數(shù)據(jù)在加密后會(huì)失去原本的特點(diǎn)與結(jié)構(gòu)，使在明文上的各種運(yùn)算難以在密文上實(shí)施，導(dǎo)致原有的搜索算法不再奏效。

為了實(shí)現(xiàn)對(duì)加密數(shù)據(jù)搜索的需求，Boneh等[1]提出了公鑰可搜索加密（PEKS, public key encryption with keyword search），引起了研究人員的廣泛興趣，也為后繼研究提供了指導(dǎo)。但該技術(shù)只能對(duì)使用了相同公鑰加密的數(shù)據(jù)進(jìn)行操作，考慮到云環(huán)境中用戶可能會(huì)使用不同的公鑰對(duì)數(shù)據(jù)進(jìn)行加密，服務(wù)器不能直接對(duì)不同公鑰加密的數(shù)據(jù)進(jìn)行比較，使公鑰可搜索加密技術(shù)存在一定的局限性。

因此，Yang等[2]首次提出了密文等值測(cè)試公鑰加密技術(shù)（PKEET, public key encryption with equality test）。該技術(shù)用于解決多公鑰加密數(shù)據(jù)比較問題，即使加密時(shí)所使用的公鑰不同，用戶也可以在不進(jìn)行解密的前提下，比較兩段密文對(duì)應(yīng)的明文是否相同。

密文等值測(cè)試技術(shù)有著廣闊的應(yīng)用場(chǎng)景，如過濾與歸檔電子郵件、根據(jù)標(biāo)簽對(duì)加密數(shù)據(jù)進(jìn)行歸類、實(shí)現(xiàn)數(shù)據(jù)庫(kù)加密字段的連接操作等。傳統(tǒng)方法難以對(duì)不同公鑰加密的數(shù)據(jù)進(jìn)行有效的歸類，而使用密文等值測(cè)試技術(shù)則可以有效解決這個(gè)問題，具有重要研究意義和實(shí)用價(jià)值。

本文是對(duì)密文等值測(cè)試技術(shù)的研究進(jìn)展進(jìn)行歸納與總結(jié)，簡(jiǎn)述該技術(shù)的定義、安全模型與授權(quán)模式，并將部分典型的密文等值測(cè)試技術(shù)的方案進(jìn)行分析與對(duì)比，最后對(duì)密文等值測(cè)試技術(shù)進(jìn)行展望，期望能對(duì)國(guó)內(nèi)的密文等值測(cè)試技術(shù)的研究起到推動(dòng)作用。

2 密文等值測(cè)試技術(shù)介紹

公鑰加密密文等值測(cè)試技術(shù)由Yang等[2]在CT-RSA 2010上首次提出，對(duì)公鑰加密進(jìn)行了拓展，增加了測(cè)試算法，可以對(duì)不同公鑰加密的數(shù)據(jù)進(jìn)行比較，受到廣泛關(guān)注與研究。

密文等值測(cè)試技術(shù)中生成的密文通常可以分成兩部分：一部分用于給接收者解密獲取明文，而另一部分專門用于等值測(cè)試?；陔p線性對(duì)的特性可以構(gòu)造出特定的算法，使即使兩份密文所使用的公鑰不同，也可以進(jìn)行判斷兩者所對(duì)應(yīng)的明文是否相等。值得一提的是，密文等值測(cè)試是直接對(duì)密文進(jìn)行比較，并不會(huì)對(duì)明文進(jìn)行泄露，可以確保數(shù)據(jù)的保密性。具體流程如圖1所示。

圖1 密文等值測(cè)試流程

密文等值測(cè)試技術(shù)的提出在一定程度上解決了對(duì)多公鑰加密數(shù)據(jù)計(jì)算的難題，豐富了云環(huán)境下公鑰加密數(shù)據(jù)的檢索方式，為公鑰加密提出了新的研究方向。

2.1 方案描述

此外，對(duì)算法一致性進(jìn)行了定義。

2.2 安全模型

一個(gè)安全的密文等值測(cè)試方案應(yīng)考慮如下2種類型的敵手。

1) Type-I 敵手：在獲取挑戰(zhàn)密文所對(duì)應(yīng)的陷門后，試圖猜出挑戰(zhàn)密文所對(duì)應(yīng)的明文。

2) Type-II 敵手：沒有獲得挑戰(zhàn)密文所對(duì)應(yīng)的陷門，但試圖區(qū)分挑戰(zhàn)密文對(duì)應(yīng)哪個(gè)明文。

對(duì)于一個(gè)密文等值測(cè)試方案，若敵手獲得了挑戰(zhàn)密文所對(duì)應(yīng)的陷門，顯然敵手可以直接運(yùn)行Test算法對(duì)挑戰(zhàn)密文進(jìn)行區(qū)分，從而挑戰(zhàn)成功。因此，需要對(duì)敵手的能力進(jìn)行限制。

對(duì)Type-I敵手的攻擊，定義了選擇密文攻擊下單向安全性（OW-CCA, one-wayness under chosen ciphertext attacks）；對(duì)Type-II敵手的攻擊，定義了選擇密文攻擊下不可區(qū)分安全性（IND-CCA, indistinguishability under chosen ciphertext attacks）。

為了方便形式化證明，本文用以下游戲定義安全模型。

②詢問階段1：敵手A1被允許在多項(xiàng)式時(shí)間內(nèi)對(duì)預(yù)言機(jī)進(jìn)行下列3種詢問。

定義4 若一個(gè)密文等值測(cè)試方案能夠抵擋任意多項(xiàng)式時(shí)間Type-I 敵手，即

則稱該方案是OW-CCA安全的。

①初始化階段：挑戰(zhàn)者C執(zhí)行與游戲1的初始化階段相同的操作。

②詢問階段1：敵手A2被允許在多項(xiàng)式時(shí)間內(nèi)對(duì)預(yù)言機(jī)進(jìn)行游戲1的詢問階段1中的3種詢問，并被加以相同的限制。

定義5 若一個(gè)密文等值測(cè)試方案能夠抵擋任意多項(xiàng)式時(shí)間Type-II 敵手，即

則稱該方案是IND-CCA安全的。

2.3 密文等值測(cè)試與公鑰可搜索加密的區(qū)別

密文等值測(cè)試技術(shù)可以看成是公鑰可搜索加密的一種變體，是公鑰加密中一類新型密文搜索機(jī)制。兩者均包含加密和陷門/授權(quán)生成算法，可用于搜索關(guān)鍵字。PKEET還可比較密文是否包含相同關(guān)鍵字，而PEKS則不適合。

在云環(huán)境中，由于用戶數(shù)量眾多，單用戶的公鑰加密方案實(shí)用性不高。部分可搜索加密方案[3-6]實(shí)現(xiàn)了多用戶在密文上進(jìn)行關(guān)鍵字檢索的功能，但由于機(jī)制限制，只能對(duì)同一公鑰所加密的密文進(jìn)行檢索，多公鑰的場(chǎng)景下則未能很好地處理。

文獻(xiàn)[2]中提出可以將密文等值測(cè)試方案轉(zhuǎn)化為公鑰可搜索加密方案。在文獻(xiàn)[7]的工作基礎(chǔ)上，Huang等[8]則將標(biāo)準(zhǔn)模型下的密文等值測(cè)試方案拓展為公鑰可搜索加密方案，將密文等值測(cè)試技術(shù)與可搜索加密技術(shù)進(jìn)行結(jié)合。

表1 密文等值測(cè)試技術(shù)與公鑰可搜索加密比較

圖2 密文等值測(cè)試支持的6種授權(quán)模式

兩者具體區(qū)別如表1所示。密文等值測(cè)試技術(shù)支持對(duì)不同公鑰加密的數(shù)據(jù)進(jìn)行等值測(cè)試或關(guān)鍵字搜索，但公鑰可搜索加密技術(shù)只能處理單公鑰加密的數(shù)據(jù)。

2.4 授權(quán)模式

Yang等[2]的密文等值測(cè)試方案中，所有的輸入都是公開的，沒有授權(quán)生成算法（），使任何人都可進(jìn)行等值測(cè)試?，F(xiàn)實(shí)生活中的關(guān)鍵字?jǐn)?shù)量有限，這導(dǎo)致攻擊者可能采取生成大量密文執(zhí)行等值測(cè)試的方式來進(jìn)行猜測(cè)攻擊。因此，許多學(xué)者[9-13]對(duì)密文等值測(cè)試方案進(jìn)行拓展，提出了支持授權(quán)的密文等值測(cè)試方案，要求測(cè)試者要得到授權(quán)才可進(jìn)行等值測(cè)試。

Ma等[14]歸納了密文等值測(cè)試技術(shù)支持的4種類型的授權(quán)模式，并提出了支持靈活授權(quán)的方案。Xu等在文獻(xiàn)[15]中提出了另外2種不同類型的授權(quán)模式。

如圖2所示，密文等值測(cè)試技術(shù)具體包含6種類型的授權(quán)模式。為了方便對(duì)授權(quán)模式進(jìn)行說明，設(shè)定如下場(chǎng)景：假設(shè)Alice、Bob、Cindy等均為有特殊癥狀的病人，每個(gè)人都持有多份使用各自公鑰進(jìn)行加密的病歷。醫(yī)療機(jī)構(gòu)希望在不泄露病人隱私的前提下查找有相同癥狀的病人，則可根據(jù)病人所允許的授權(quán)類型級(jí)別進(jìn)行病歷匹配（即等值測(cè)試）。

1) 用戶級(jí)別授權(quán)（多對(duì)多）

2) 密文級(jí)別授權(quán)（一對(duì)一）

3) 密文—用戶級(jí)別授權(quán)（一對(duì)多）

4) 用戶指定級(jí)別授權(quán)（指定多對(duì)多）

5) 密文指定級(jí)別授權(quán)（指定一對(duì)一）

6) 密文—用戶指定級(jí)別授權(quán)（指定一對(duì)多）

在不同的授權(quán)模式下，授權(quán)生成算法的輸入會(huì)略有不同，但生成的陷門均為密文等值測(cè)試算法的輸入。顯然，獲得相應(yīng)的陷門，才可進(jìn)行相應(yīng)授權(quán)模式下的等值測(cè)試。

本文對(duì)若干典型密文等值測(cè)試方案進(jìn)行了比較，其中包括指出各個(gè)方案所對(duì)應(yīng)的授權(quán)模式。詳細(xì)見第4節(jié)。

3 典型密文等值測(cè)試方案介紹

現(xiàn)有的密文等值測(cè)試方案針對(duì)用戶密鑰的管理方式可分為公鑰加密的方案、基于身份的方案（IBEET方案）與基于屬性的方案（ABEET方案）。此外，考慮到等值測(cè)試的現(xiàn)實(shí)使用場(chǎng)景，著重對(duì)支持授權(quán)與安全性提升進(jìn)行研究。本節(jié)對(duì)若干典型密文等值測(cè)試方案進(jìn)行介紹。

3.1 支持授權(quán)的密文等值測(cè)試方案

考慮到Y(jié)ang等[2]的方案存在未對(duì)等值測(cè)試進(jìn)行授權(quán)的問題，任何人都可以對(duì)加密信息進(jìn)行等值測(cè)試，存在一定的安全風(fēng)險(xiǎn)，Tang[9]提出了支持細(xì)粒度授權(quán)的密文等值測(cè)試（FG-PKEET），使用戶通過可信第三方進(jìn)行等值測(cè)試的授權(quán)控制。該方案中，授權(quán)陷門由等值測(cè)試的雙方共同協(xié)商后產(chǎn)生，只有持有該陷門才可以運(yùn)行等值測(cè)試算法。

隨后，Tang還提出了支持用戶指定授權(quán)的密文等值測(cè)試（AoN-PKEET）[10]與支持不同粒度授權(quán)的密文等值測(cè)試（ADG-PKEET）[11]，前者可以進(jìn)行粗粒度控制，授權(quán)陷門與用戶綁定，得到授權(quán)后可以對(duì)該用戶的所有密文進(jìn)行等值測(cè)試，且等值測(cè)試只用到指數(shù)運(yùn)算，所設(shè)計(jì)的方案不需要雙線性運(yùn)算（Paring）。后者則是對(duì)FG-PKEET的拓展，使用雙代理抵抗離線消息恢復(fù)攻擊（offline message recovery attack），但需要協(xié)議使雙代理進(jìn)行交互，且計(jì)算開銷較高。

Ma等[12]提出支持多用戶授權(quán)的密文等值測(cè)試（PKE-DET），采取了委托第三方進(jìn)行等值測(cè)試的方式，授權(quán)陷門生成時(shí)需要用到服務(wù)器的公鑰，以確保只有指定服務(wù)器才能使用該陷門進(jìn)行等值測(cè)試。

Huang等[13]提出授權(quán)密文等值測(cè)試（PKE- AET），方案中包含用戶級(jí)別授權(quán)與密文級(jí)別授權(quán)2種模式，不同模式生成的陷門不同，分別可以對(duì)用戶的所有密文或特定密文進(jìn)行等值測(cè)試。授權(quán)陷門的生成同樣需要用到第三方服務(wù)器的公鑰。隨后，Ma等[14]提出支持靈活授權(quán)的密文等值測(cè)試（PKEET-FA），包含4種類型授權(quán)模式的密文等值測(cè)試方案。Xu等[15]提出一種可驗(yàn)證的密文等值測(cè)試方案（V-PKEET），其中包含另外2種不同于文獻(xiàn)[14]的授權(quán)模式。上述3個(gè)方案都只需進(jìn)行一次加密，便可給各個(gè)測(cè)試者（如不同的第三方服務(wù)器）分發(fā)特定授權(quán)模式的授權(quán)陷門，測(cè)試者使用相應(yīng)的測(cè)試算法進(jìn)行等值測(cè)試。

3.2 基于身份的和無證書的密文等值測(cè)試方案

部分授權(quán)模式需要用到對(duì)方的公鑰，在執(zhí)行密文等值測(cè)試方案之余還需要進(jìn)行用戶身份認(rèn)證，驗(yàn)證公鑰的真?zhèn)涡?。在云環(huán)境中，隨著用戶增多，CA管理工作的負(fù)擔(dān)也不斷加重。

為解決證書管理問題，使密文等值測(cè)試適用于云計(jì)算環(huán)境，Ma在文獻(xiàn)[16]首次提出基于身份的密文等值測(cè)試（IBEET, identity-based encryption with equality test），該方案將基于身份的加密（IBE, identity-based encryption）與密文等值測(cè)試技術(shù)進(jìn)行結(jié)合，用戶不用提前確認(rèn)彼此的公鑰，而是基于對(duì)方公開的ID（如身份證號(hào)、郵箱地址等）生成公鑰，進(jìn)一步方便等值測(cè)試。在此基礎(chǔ)上，Wu等[17]提出了新的IBEET方案，可在確保安全性前提下有效節(jié)省計(jì)算開銷。

為解決IBEET的密鑰托管問題，Qu等[18]提出無證書的密文等值測(cè)試（CL-PKEET），用戶使用自己選的一個(gè)秘密值生成公鑰，從KGC處得到私鑰，而授權(quán)陷門的生成需要用到私鑰與秘密值。

3.3 基于屬性的密文等值測(cè)試方案

為了實(shí)現(xiàn)更靈活的授權(quán)方式，有研究人員嘗試將基于屬性的加密（ABE, attribute-based encryption）與密文等值測(cè)試技術(shù)進(jìn)行結(jié)合，實(shí)現(xiàn)基于屬性的密文等值測(cè)試方案（ABEET, attribute-based encryption with equality test），如Zhu等[19]的KP-ABEET與Wang等[20]的CP-ABEET等。前者基于訪問樹，而后者基于訪問結(jié)構(gòu)，使某一群擁有特定屬性的測(cè)試者可以執(zhí)行測(cè)試算法，不再需要向測(cè)試者逐個(gè)分發(fā)授權(quán)陷門，也可以實(shí)現(xiàn)動(dòng)態(tài)授權(quán)。但Liao等在文獻(xiàn)[21]中提出前者的方案存在安全風(fēng)險(xiǎn)。隨后，Cui等[22]設(shè)計(jì)了一個(gè)新的CP-ABEET方案，具有更好的安全性以及更短的用戶私鑰。他們還設(shè)計(jì)了支持外包解密的屬性基等值測(cè)試加密方案（OCP-ABEET）[23]，利用外包解密技術(shù)，提高了客戶端進(jìn)行密文等值測(cè)試和解密算法的效率。

3.4 安全性提升的密文等值測(cè)試方案

絕大多數(shù)密文等值測(cè)試方案的安全性依賴于隨機(jī)預(yù)言機(jī)模型。因此，文獻(xiàn)[24]借助分層的基于身份的加密（hierarchical identity-based encryption）實(shí)現(xiàn)了新的PKEET與IBEET方案，并在標(biāo)準(zhǔn)模型下證明了方案的安全性。

考慮到對(duì)一些非法密文進(jìn)行等值測(cè)試可能會(huì)導(dǎo)致數(shù)據(jù)泄露，Huang等[7]提出了密文過濾等值測(cè)試方案（PKE-FET），對(duì)可以進(jìn)行測(cè)試的明文的數(shù)據(jù)域加以限制。在執(zhí)行等值測(cè)試前進(jìn)行范圍判斷，被加密的明文在設(shè)定的數(shù)據(jù)域內(nèi)才繼續(xù)進(jìn)行等值測(cè)試。該方案同樣在標(biāo)準(zhǔn)模型下證明了安全性。

吳黎兵等[25]指出目前的密文等值測(cè)試方案都基于單服務(wù)器，可能會(huì)遭受內(nèi)部關(guān)鍵字猜測(cè)攻擊，提出基于雙服務(wù)器的密文等值測(cè)試方案（DS-IBEET）來解決這一問題，并對(duì)計(jì)算性能與通信開銷進(jìn)行評(píng)估，確保能在資源受限的移動(dòng)設(shè)備上運(yùn)行。

3.5 功能拓展的密文等值測(cè)試方案

Huang等[8]在文獻(xiàn)[7]的基礎(chǔ)上，提出了標(biāo)準(zhǔn)模型下的PKE-FET方案，并將其拓展為多關(guān)鍵字的PEKS方案，實(shí)現(xiàn)密文等值測(cè)試技術(shù)與可搜索加密技術(shù)的結(jié)合。

Xu等[15]首次提出一種可驗(yàn)證的密文等值測(cè)試方案（V-PKEET），使用戶可以校驗(yàn)密文等值測(cè)試的結(jié)果?？紤]到某些云服務(wù)器可能是惡意的（如被植入木馬），從而返回了錯(cuò)誤的測(cè)試結(jié)果給用戶，在V-PKEET中，服務(wù)器在返回結(jié)果之余還需返回一個(gè)憑證（proof），以供用戶用于驗(yàn)證測(cè)試結(jié)果。

Lin等在文獻(xiàn)[26]中借助拉格朗日插值公式給出了密文等值測(cè)試方案的一般性構(gòu)造，并將密文等值測(cè)試進(jìn)行拓展，提出簽密等值測(cè)試（SCET, signcryption with equality test）。

表2 若干密文等值測(cè)試方案比較

Sec/wa：敵手獲得陷門后該方案能達(dá)到的安全性；Sec/woa：敵手未取得陷門時(shí)該方案能達(dá)到的安全性；OW：?jiǎn)蜗蛐裕╫ne-wayness）；IND：不可區(qū)分性（indistinguishability）；*-ID-CCA：選擇身份攻擊與選擇密文攻擊（chosen identity and chosen ciphertext attacks)；*-ID-CPA：選擇身份攻擊與選擇明文攻擊（chosen identity and chosen plaintext attacks)；SS-CKA：選擇關(guān)鍵字攻擊下的語義安全（semantic security under chosen keyword attacks）；T-CCA：選擇密文攻擊下可測(cè)試安全（testable against chosen ciphertext attacks）；ROM：隨機(jī)預(yù)言機(jī)模型；SM：標(biāo)準(zhǔn)模型。

4 密文等值測(cè)試方案的比較

表2從安全性、安全模型、授權(quán)模式以及密鑰的管理方式等方面給出了本文提到的若干典型密文等值測(cè)試方案的比較。

3.4節(jié)歸納總結(jié)了目前密文等值測(cè)試技術(shù)的6種授權(quán)類型，表中“授權(quán)”一欄中的數(shù)字是指該方案滿足的授權(quán)類型的序號(hào)，帶“#”表明還需要測(cè)試者（如服務(wù)器）的公鑰。

可見，目前已有滿足不同授權(quán)模式的PKEET方案，但只有用戶級(jí)別授權(quán)模式的IBEET與ABEET方案。需要注意的是，ABEET方案中用戶級(jí)別授權(quán)的陷門是與擁有特定屬性的一群用戶進(jìn)行綁定，測(cè)試者獲取陷門后，可以對(duì)擁有特定屬性的所有用戶的密文進(jìn)行等值測(cè)試，不同于PKEET方案與IBEET方案中用戶級(jí)別授權(quán)模式的陷門與用戶本人綁定，且只能對(duì)該用戶的密文進(jìn)行等值測(cè)試。

此外，多數(shù)方案是在隨機(jī)預(yù)言機(jī)模型下證明安全性，只有極少數(shù)方案[8, 20]在標(biāo)準(zhǔn)模型下得到證明。

5 密文等值測(cè)試技術(shù)應(yīng)用場(chǎng)景

密文等值測(cè)試在云環(huán)境中有廣泛應(yīng)用，以下總結(jié)了密文等值測(cè)試適用的若干場(chǎng)景。

1) 數(shù)據(jù)歸檔

在公司系統(tǒng)中，為了確保數(shù)據(jù)不泄露，發(fā)件人可能使用收件人的公鑰對(duì)數(shù)據(jù)進(jìn)行加密。若采用可搜索加密技術(shù)，系統(tǒng)受限于陷門生成方式，無法根據(jù)關(guān)鍵字對(duì)不同公鑰加密的數(shù)據(jù)進(jìn)行歸檔，但采用密文等值測(cè)試技術(shù)則可以給相同數(shù)據(jù)加上標(biāo)簽進(jìn)行歸檔。

2) 用戶數(shù)據(jù)刪除

歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）中再次提及“被遺忘權(quán)”，指用戶可以要求網(wǎng)站管理者刪除個(gè)人相關(guān)信息?？紤]到社交網(wǎng)絡(luò)中會(huì)出現(xiàn)涉及他人隱私信息的情況，基于密文等值測(cè)試技術(shù)可以將加密存儲(chǔ)在數(shù)據(jù)庫(kù)中他人提及自己的信息篩選以便刪除。

3) 醫(yī)療系統(tǒng)

在醫(yī)療系統(tǒng)中，病人的病歷或治療方案是病人的隱私，需要加密保護(hù)。某些疾病在前期難以被發(fā)現(xiàn)，若通過病癥比較，可能會(huì)發(fā)現(xiàn)潛在的疾病。由于使用的公鑰不同，病人的加密病歷無法進(jìn)行有效對(duì)比，但使用密文等值測(cè)試技術(shù)可以篩選出患有相同病癥的病人，而將治療手段與療效進(jìn)行對(duì)比也可以挑選出該疾病最合適的治療方案。此外，也可基于密文等值測(cè)試技術(shù)使有相同疾病的病人建立聯(lián)系，彼此之間可以交流病情或相互鼓勵(lì)。

4) 加密數(shù)據(jù)庫(kù)

密文等值測(cè)試技術(shù)在加密數(shù)據(jù)庫(kù)中也能發(fā)揮重要作用。在對(duì)數(shù)據(jù)檢索的過程中，連接（JOIN）與自然連接（NATURAL JOIN）是常用的操作，對(duì)兩張數(shù)據(jù)表中相同屬性的相同數(shù)值進(jìn)行操作。但當(dāng)數(shù)據(jù)被加密時(shí)，兩張數(shù)據(jù)表中同一個(gè)屬性值通常被加密成不同的密文，使查詢語句無法直接使用連接與自然連接操作。若結(jié)合密文等值測(cè)試技術(shù)，則可以實(shí)現(xiàn)加密數(shù)據(jù)庫(kù)的跨表查詢，在確保數(shù)據(jù)庫(kù)安全性的同時(shí)對(duì)數(shù)據(jù)進(jìn)行靈活操作。

6 結(jié)束語

目前密文等值測(cè)試技術(shù)已有不少研究成果，在醫(yī)療、商業(yè)等領(lǐng)域均有廣闊的應(yīng)用前景，但仍存在許多問題值得進(jìn)一步研究與完善。如何構(gòu)建安全高效且支持更多功能的密文等值測(cè)試方案仍是未來研究的重點(diǎn)與難點(diǎn)。

下面提出一些密文等值測(cè)試技術(shù)未來可研究的方向。

1) 批量進(jìn)行等值測(cè)試

高效地進(jìn)行批量等值測(cè)試算法是研究方向之一。目前的測(cè)試算法采取兩兩對(duì)比的形式，比較次數(shù)隨著密文數(shù)目增長(zhǎng)。目前的密文等值測(cè)試方案的比較算法計(jì)算量較大，在進(jìn)行海量密文比較時(shí)需要花費(fèi)大量時(shí)間。

2) 更多授權(quán)模式的IBEET方案

IBEET方案作為密文等值測(cè)試方案基于身份的拓展，具有較高的實(shí)用意義。然而，目前IBEET方案的授權(quán)模式均為用戶級(jí)別授權(quán)，暫時(shí)沒有其余5種級(jí)別授權(quán)的方案。支持靈活授權(quán)的IBEET方案可以使用戶根據(jù)實(shí)際情況進(jìn)行更加精確范圍的授權(quán)。

3) 可撤銷的授權(quán)

如何進(jìn)行授權(quán)撤銷是密文等值測(cè)試技術(shù)的一個(gè)難題。在密文等值測(cè)試方案中，測(cè)試算法所使用的授權(quán)陷門生成后交給測(cè)試者。一旦獲取到授權(quán)陷門，測(cè)試者即可永久獲得該授權(quán)級(jí)別的測(cè)試權(quán)限，并沒有機(jī)制進(jìn)行授權(quán)撤銷。尤其是IBEET方案中，用戶私鑰基于用戶ID生成，往往固定且難以改變，撤銷機(jī)制更顯得重要。

4) 安全模型

目前，密文等值測(cè)試方案的安全性證明采取規(guī)約到困難問題的方式，但絕大多數(shù)方案的安全性依賴于隨機(jī)預(yù)言機(jī)模型。如何設(shè)計(jì)基于標(biāo)準(zhǔn)模型的密文等值測(cè)試方案是一個(gè)值得深入研究的問題。

5) 防止授權(quán)陷門泄露

授權(quán)陷門決定了測(cè)試者是否能進(jìn)行等值測(cè)試、能進(jìn)行什么授權(quán)級(jí)別的等值測(cè)試，若授權(quán)陷門被泄露顯然會(huì)造成一定程度的數(shù)據(jù)泄露。部分方案[12,13]在設(shè)計(jì)時(shí)考慮到該問題，授權(quán)陷門的生成需要用到測(cè)試者（如第三方服務(wù)器）的公鑰，但也增加了計(jì)算開銷。

6) 更便捷的驗(yàn)證方式

可考慮設(shè)計(jì)一種高效便捷的驗(yàn)證算法。由于測(cè)試算法涉及的運(yùn)算量較大，往往采用外包的形式。但測(cè)試服務(wù)器可能在用戶不知情的情況下被植入木馬，導(dǎo)致測(cè)試結(jié)果被篡改。文獻(xiàn)[15]中提出了一種可驗(yàn)證的密文等值測(cè)試方案，通過提供憑證的方式供用戶驗(yàn)證，但也增加了傳輸開銷與計(jì)算開銷。

[1] BONEH D, DI CRESCENZO G, OSTROVSKY R, et al. Public key encryption with keyword search[C]//International Conference on the Theory and Applications of Cryptographic Techniques. 2004: 506-522.

[2] YANG G, TAN C H, HUANG Q, et al. Probabilistic public key encryption with equality test[C]//Cryptographers’ Track at the RSA Conference. 2010: 119-131.

[3] YONG H H, LEE P J. Public key encryption with conjunctive keyword search and its extension to a multi-user system[C]//International Conference on Pairing-Based Cryptography. 2007: 2-22.

[4] ZHAO F, NISHIDE T, SAKURAI K. Multi-user keyword search scheme for secure data sharing with fine-grained access control[C]// International Conference on Information Security and Cryptology. 2011: 406-418.

[5] KIAYIAS A, OKSUZ O, RUSSELL A, et al. efficient encrypted keyword search for multi-user data sharing[M]// Computer Security-ESORICS 2016. 2016: 173-195.

[6] LI Z, ZHAO M, JIANG H, et al. Multi-user searchable encryption with a designated server[J]. Annals of Telecommunications, 2017, 72(9/10):1-13.

[7] HUANG K, CHEN Y C, TSO R. Semantic secure public key encryption with filtered equality test PKE-FET[C]//12th International Joint Conference on e-Business and Telecommunications (ICETE). 2015, 4: 327-334.

[8] HUANG K, TSO R, CHEN Y C. Somewhat semantic secure public key encryption with filtered-equality-test in the standard model and its extension to searchable encryption[J]. Journal of Computer and System Sciences, 2017, 89: 400-409.

[9] TANG Q. Towards public key encryption scheme supporting equality test with fine-grained authorization[C]//Australasian Conference on Information Security and Privacy. 2011: 389-406.

[10] TANG Q. Public key encryption supporting plaintext equality test and user specified authorization[J]. Security and Communication Networks, 2012, 5(12): 1351-1362.

[11] TANG Q. Public key encryption schemes supporting equality test with authorisation of different granularity[J]. International Journal of Applied Cryptography, 2012, 2(4): 304-321.

[12] MA S, ZHANG M, HUANG Q, et al. Public key encryption with delegated equality test in a multi-user setting[J]. The Computer Journal, 2015, 58(4): 986-1002.

[13] HUANG K, TSO R, CHEN Y C, et al. PKE-AET: public key encryption with authorized equality test[J]. The Computer Journal, 2015, 58(10): 2686-2697.

[14] MA S, HUANG Q, ZHANG M, et al. Efficient public key encryption with equality test supporting flexible authorization[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(3): 458-470.

[15] XU Y, WANG M, ZHONG H, et al. Verifiable public key encryption scheme with equality test in 5G networks[J]. IEEE Access, 2017, 5: 12702-12713.

[16] MA S. Identity-based encryption with outsourced equality test in cloud computing[J]. Information Sciences, 2016, 328: 389-402.

[17] WU L, ZHANG Y, CHOO K K R, et al. Efficient and secure identity-based encryption scheme with equality test in cloud computing[J]. Future Generation Computer Systems, 2017, 73: 22-31.

[18] QU H, YAN Z, LIN X J, et al. Certificateless public key encryption with equality test[J]. Information Sciences, 2018, 462: 76-92.

[19] ZHU H, WANG L, AHMAD H, et al. Key-policy attribute-based encryption with equality test in cloud computing[J]. IEEE Access, 2017, 5: 20428-20439.

[20] WANG Q, PENG L, XIONG H, et al. Ciphertext-policy attribute-based encryption with delegated equality test in cloud computing[J]. IEEE Access, 2018, 6: 760-771.

[21] LIAO Y, CHEN H, LI F, et al. Insecurity of a key-policy attribute based encryption scheme with equality test[J]. IEEE Access, 2018, 6: 10189-10196.

[22] CUI Y, HUANG Q, HUANG J, et al. Ciphertext-policy attribute-based encrypted data equality test and classification[J]. Cryptology ePrint Archive, 2018.

[23] CUI Y, HUANG Q, HUANG J, et al. Outsourced ciphertext- policy attribute-based encryption with equality test[C]//Proceedings of Inscrypt, Lecture Notes in Computer Science. Springer. 2018.

[24] LEE H T, LING S, SEO J H, et al. Public key encryption with equality test in the standard model[J]. IACR Cryptology ePrint Archive, 2016: 1182.

[25] 吳黎兵, 張宇波, 何德彪. 云計(jì)算中基于身份的雙服務(wù)器密文等值判定協(xié)議[J]. 計(jì)算機(jī)研究與發(fā)展, 2017, 54(10): 2232-2243.

WU L B, ZHANG Y B, HE D B. Dual server identity-based encryption with equality test for cloud computing[J]. Journal of Computer Research and Development, 2017, 54(10): 2232-2243.

[26] LIN X J, SUN L, QU H. Generic construction of public key encryption, identity-based encryption and signcryption with equality test[J]. Information Sciences, 2018, 453: 111-126.

Survey on public key encryption with equality test

WANG Yuanhao, LI Hongbo, CUI Yuzhao, GUO Qingwen, HUANG Qiong

College of Mathematics and Informatics, South China Agricultural University, Guangzhou 510642, China

As one of the important methods of solving the problem of computation over encrypted data under multiple public keys in cloud environment, public key encryption with equality test (PKEET) supports to check whether two ciphertexts encrypted under (possibly) different public keys contain the same message without decrypting the ciphertexts. Definitions, security models and six types of authorization modes of PKEET are introduced and summarized. Besides, the relationship between PKEET and public key encryption with keyword search (PKES) is discussed. Several typical public-key, identity-based and attribute-based encryption with equality test schemes proposed recently are analyzed and compared. Furthermore, some application scenarios and research directions are discussed.

equality test, identity-based encryption, searchable encryption, cloud computing

TP391

A

10.11959/j.issn.2096-109x.2018094

王元昊（1994-），男，廣東潮州人，華南農(nóng)業(yè)大學(xué)碩士生，主要研究方向?yàn)樾畔踩⒖伤阉骷用堋?/p>

李宏博（1991-），男，山東青島人，華南農(nóng)業(yè)大學(xué)博士生，主要研究方向?yàn)榭伤阉骷用堋⒐€等值測(cè)試加密、基于身份加密。

崔鈺釗（1994-），男，河南商丘人，華南農(nóng)業(yè)大學(xué)碩士生，主要研究方向?yàn)樾畔踩?、?yīng)用密碼學(xué)、公鑰可搜索加密。

郭慶文（1993-），男，廣東揭陽(yáng)人，華南農(nóng)業(yè)大學(xué)碩士生，主要研究方向?yàn)樾畔踩?、?shù)字簽名、零知識(shí)證明。

黃瓊（1982-），男，江西南昌人，華南農(nóng)業(yè)大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)槊艽a學(xué)與信息安全。

2018-10-10；

2018-10-30

黃瓊，qhuang@scau.edu.cn

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61872152）；廣東省自然科學(xué)杰出青年基金資助項(xiàng)目（No.2014A030306021）；廣東省特支計(jì)劃基金資助項(xiàng)目（No.2015TQ01X796）；廣州市珠江科技新星專項(xiàng)基金資助項(xiàng)目（No.201610010037）

The National Natural Science Foundation of China (No.61872152), Guangdong Natural Science Funds for Distinguished Young Scholar (No.2014A030306021), Guangdong Program for Special Support of Top-notch Young Professionals (No.2015TQ01X796), Pearl River Nova Program of Guangzhou (No.201610010037)