郎曉麗，曹素珍，劉祥震，張玉磊，王 斐

(西北師范大學(xué)計算機(jī)科學(xué)與工程學(xué)院，甘肅 蘭州 730070)

1 引言

云計算技術(shù)[1]作為目前發(fā)展最快的技術(shù)，已經(jīng)逐步普及了云存儲服務(wù)。但是，考慮到數(shù)據(jù)的保密性問題，數(shù)據(jù)用戶首先將加密后的密文數(shù)據(jù)存儲到云服務(wù)器，當(dāng)數(shù)據(jù)用戶下載某1模塊的數(shù)據(jù)時，若將全部密文數(shù)據(jù)下載之后再解密是極其費(fèi)時的?；诖诵枨螅?000年，Song等人[2]提出了可搜索加密技術(shù)。2004年，Boneh等人[3]設(shè)計出了公鑰可搜索加密方案，但是該方案通信代價較大。2005年，Boneh等人[4]設(shè)計出了基于身份的可搜索加密方案模型，并在此模型上構(gòu)造了2個方案。但是，在身份密碼體制[5]中，數(shù)據(jù)用戶的密鑰完全是由私鑰生成中心PKG(Private Key Generator)生成的，雖然不存在公鑰證書[6]管理，但出現(xiàn)了密鑰托管問題。2003年，Al-Riyami等人[7]設(shè)計了無證書公鑰密碼體制，解決了密鑰托管問題。

2005年，Baek等人[8]首次提出了基于無證書的可搜索加密方案，但是該方案的計算效率不高。許多基于無證書的可搜索加密方案[9-11]在此后被提出。2017年，He等人[12]設(shè)計出一個基于數(shù)據(jù)屬主認(rèn)證的無證書公鑰可搜索加密方案。2018年，Ma等人[13]設(shè)計了工業(yè)物聯(lián)網(wǎng)下基于無證書的可搜索加密方案。

基于授權(quán)的公鑰可搜索加密方案[14]，授權(quán)服務(wù)器可以對云服務(wù)器返回的密文進(jìn)行有效性驗(yàn)證。2015年，Tang等人[15]提出了可拓展公鑰的授權(quán)可搜索加密方案。2018年，Qu等人[16]設(shè)計出等價測試的無證書公鑰加密方案，但是該方案中數(shù)據(jù)屬主與數(shù)據(jù)用戶為同一用戶。

本文給出了一個高效授權(quán)的無證書公鑰認(rèn)證可搜索加密方案的形式化定義，設(shè)計了相應(yīng)的安全模型，并提出了具體的方案。該方案中云服務(wù)器利用了數(shù)據(jù)屬主對密文索引的簽名，從而可以驗(yàn)證數(shù)據(jù)屬主的身份；數(shù)據(jù)屬主和用戶利用云服務(wù)器的公鑰進(jìn)行加密算法和陷門生成算法，可以防止云服務(wù)器的內(nèi)部猜測攻擊。在加密算法中，數(shù)據(jù)屬主對關(guān)鍵詞進(jìn)行簽名，能夠保證數(shù)據(jù)屬主身份的真實(shí)性。雖然加密算法效率不是很高，但是本文方案中的陷門生成算法與授權(quán)算法以及驗(yàn)證算法的效率均高于比較方案的，因此本文方案的總體效率較高。

2 背景知識

3 方案描述

3.1 系統(tǒng)模型

該系統(tǒng)主要包括5個實(shí)體：密鑰生成中心KGC(Key Generation Center)、數(shù)據(jù)屬主、數(shù)據(jù)用戶、云服務(wù)器和授權(quán)服務(wù)器。系統(tǒng)模型圖如圖1所示。

Figure 1 System model圖1 系統(tǒng)模型圖

(1)KGC：為數(shù)據(jù)屬主、數(shù)據(jù)用戶、云服務(wù)器和授權(quán)服務(wù)器生成部分私鑰。

(2)數(shù)據(jù)屬主：對關(guān)鍵詞進(jìn)行加密生成關(guān)鍵詞密文索引C，將分享的密文S和關(guān)鍵詞密文索引C上傳到云服務(wù)器。

(3)數(shù)據(jù)用戶：對要搜索的關(guān)鍵詞Ωwj生成搜索憑證Tw，發(fā)送給云服務(wù)器進(jìn)行陷門匹配驗(yàn)證；對授權(quán)服務(wù)器進(jìn)行授權(quán)，以驗(yàn)證云服務(wù)器返回的密文有效性。

(4)云服務(wù)器：存儲數(shù)據(jù)屬主上傳的(S,C)，對數(shù)據(jù)屬主身份進(jìn)行驗(yàn)證；對數(shù)據(jù)用戶上傳的陷門搜索憑證Tw進(jìn)行搜索驗(yàn)證。

(5)授權(quán)服務(wù)器：利用數(shù)據(jù)用戶的授權(quán)信息對數(shù)據(jù)用戶的身份進(jìn)行驗(yàn)證，其次協(xié)助數(shù)據(jù)用戶對云服務(wù)器返回的密文進(jìn)行有效性檢測。

3.2 安全模型

無證書密碼體制下存在2類敵手AⅠ和AⅡ[17]。本文方案的安全性主要從密文索引不可區(qū)分性和陷門不可區(qū)分性這2個方面進(jìn)行考慮。

3.2.1 密文索引不可區(qū)分性

定義1具有高效授權(quán)的無證書公鑰認(rèn)證可搜索加密方案中，若AⅠ與AⅡ能以不可忽略的優(yōu)勢分別贏得Game 1與Game 2，則稱該方案的密文索引不可區(qū)分是安全的。

Game1敵手AⅠ與挑戰(zhàn)者F之間的交互如下所示：

(1)Setup：給定安全參數(shù)λ，F(xiàn)執(zhí)行Setup算法輸出系統(tǒng)參數(shù)，這里F不知道主密鑰s。

(2)階段1：AⅠ可以適應(yīng)性地進(jìn)行以下詢問：

①Hash-Query：AⅠ可以對算法中的哈希詢問，并獲得相應(yīng)的回答。

②Extract-Partial-Private-Key-Query：AⅠ給定身份IDi，F(xiàn)計算對應(yīng)的部分私鑰Di,并將其發(fā)送給AⅠ。

③Set-Public-Key-Query：AⅠ給定身份IDi，F(xiàn)計算相應(yīng)的公鑰Pki,并將其發(fā)送給AⅠ。

④Replace-Public-Key-Query：AⅠ可以替換任何用戶的公鑰。

⑤Delegate-Query：AⅠ對授權(quán)進(jìn)行請求詢問時，F(xiàn)計算授權(quán)信息,并將其發(fā)送給AⅠ。

⑥CLC-PEKS-Query：輸入關(guān)鍵詞w，F(xiàn)計算對應(yīng)的關(guān)鍵詞密文索引C={C1,C2,C3},并將其發(fā)送給AⅠ。

⑦Trapdoor-Query：輸入關(guān)鍵詞w，F(xiàn)計算對應(yīng)的陷門憑證Tw={T1,T2},并將其發(fā)送給AⅠ。

(5)Guess：AⅠ輸出β′∈{0,1}作為猜測值。若b′=b，則AⅠ在Game 1獲勝。

Game2敵手AⅡ與挑戰(zhàn)者F之間的交互如下所示：

(1)Setup：給定參數(shù)λ，F(xiàn)執(zhí)行Setup算法輸出公開參數(shù)和主密鑰s。

(2)階段1：AⅡ可以適應(yīng)性地進(jìn)行Hash-Query、Extract-Partial-Private-Key-Query、 Delegate-Query、CLC-PEKS-Query和Trapdoor-Query。

(5)Guess：AⅡ輸出β′∈{0,1}作為猜測值。若b′=b，則AⅡ在Game 2中獲勝。

3.2.2 陷門不可區(qū)分性

定義2具有高效授權(quán)的無證書公鑰認(rèn)證可搜索加密方案中，若敵手AⅠ與AⅡ能以不可忽略的優(yōu)勢分別贏得Game 3與Game 4，則稱該方案的陷門不可區(qū)分是安全的。

Game3敵手AⅠ與挑戰(zhàn)者F之間的交互如下所示：

(1)Setup：給定參數(shù)λ，F(xiàn)執(zhí)行Setup算法得到公開參數(shù)。

(2)階段1：AⅠ可以適應(yīng)性地進(jìn)行Hash-Query、Extract-Partial-Private-Key-Query、Set-Public-Key-Query、Replace-Public-Key-Query、Delegate-Query、CLC-PEKS-Query和Trapdoor-Query。

(5)猜測：AⅠ輸出β′∈{0,1}作為猜測值。若b′=b，則AⅠ在Game 3中獲勝。

Game4敵手AⅡ與挑戰(zhàn)者F之間的交互如下所示：

(1)Setup：給定參數(shù)λ，F(xiàn)執(zhí)行Setup算法輸出公開參數(shù)和主密鑰s。

(2)階段1：AⅡ可以適應(yīng)性地進(jìn)行Hash-Query、Extract-Partial-Private-Key-Query、 Delegate-Query、CLC-PEKS-Query和Trapdoor-Query。

(5)猜測：AⅡ輸出β′∈{0,1}作為猜測值。若b′=b，則AⅡ在Game 4中獲勝。

4 具體方案

4.1 方案構(gòu)造

(2)Extract-Partial-Private-Key：KGC執(zhí)行：

(4)Set-Private-Key：云服務(wù)器輸入秘密值xCS和部分私鑰DCS，設(shè)置其私鑰為SkCS=(xCS,DCS)；授權(quán)服務(wù)器輸入秘密值xDS和部分私鑰DDS，設(shè)置其私鑰SkDS=(xDS,DDS)；數(shù)據(jù)屬主輸入秘密值xDO和部分私鑰DDO，設(shè)置其私鑰SkDO=(xDO,DDO)；數(shù)據(jù)用戶輸入秘密值xUS和部分私鑰DUS，設(shè)置其私鑰SkUS=(xUS,DUS)。

(5)Set-Public-Key:

①云服務(wù)器計算公鑰PkCS=gxCS。

②授權(quán)服務(wù)器計算公鑰PkDS=gxDS。

③數(shù)據(jù)屬主計算公鑰PkDO=gxDO。

④數(shù)據(jù)用戶計算公鑰PkUS=gxUS。

(6)CLC-PEKS：輸入公共參數(shù)cp、數(shù)據(jù)用戶的公鑰PkUS、云服務(wù)器的公鑰PkCS、授權(quán)服務(wù)器的公鑰PkDS和明文關(guān)鍵詞w，數(shù)據(jù)屬主利用其私鑰SkDO執(zhí)行以下步驟(其中對關(guān)鍵詞wi(1≤i≤m)生成密文關(guān)鍵詞索引C)：

②將關(guān)鍵詞密文索引C={C1,C2,C3}上傳至云服務(wù)器。

(7)Trapdoor：輸入公共參數(shù)cp、數(shù)據(jù)用戶的私鑰SkUS、云服務(wù)器的公鑰PkCS、明文關(guān)鍵詞Ωwj(1≤j≤t)，數(shù)據(jù)用戶執(zhí)行以下步驟生成關(guān)鍵詞搜索憑證：

②將Tw=(T1,T2)發(fā)送給云服務(wù)器。

(8)Verify1：對收到的密文C和陷門信息Tw，云服務(wù)器首先利用自身秘密值xCS驗(yàn)證數(shù)據(jù)屬主的身份，若等式C3·e(T2xCS,C1)=e(T′1xCS,C1)成立，其中T′1=T1/T2xCS，則計算C′0=C2/C1xCS，返回(C′0,C1)給授權(quán)服務(wù)器；否則，返回“0”。

4.2 方案的正確性

(1)通過數(shù)據(jù)屬主計算的對稱密鑰k，從而驗(yàn)證數(shù)據(jù)用戶計算的對稱密鑰k的正確性：

(2)云服務(wù)器利用自身秘密值驗(yàn)證數(shù)據(jù)屬主身份，通過數(shù)據(jù)屬主發(fā)送的密文索引與系統(tǒng)公開參數(shù)進(jìn)行身份驗(yàn)證：

e(T′1xCS,C1)=e(H(k,w)xCSgtxCS,gr)=

e(H(k,w)xCS,gr)e(gtxCS,gr)=

e(H(k,w),grxCS)e(gtxCS,gr)=

e(H(k,w),grxCS)e(gtxCS,gr)=C3·e(T2xCS,C1)

(3)授權(quán)服務(wù)器根據(jù)數(shù)據(jù)用戶的授權(quán)信息，利用自身秘密值對數(shù)據(jù)用戶進(jìn)行驗(yàn)證：

(4)驗(yàn)證關(guān)鍵詞的正確性：

①云服務(wù)器利用自身秘密值對數(shù)據(jù)屬主上傳的關(guān)鍵詞密文索引計算C′0：

5 安全性分析

5.1 密文索引不可區(qū)分性

定理1若敵手AⅠ與AⅡ在隨機(jī)預(yù)言模型下以不可忽略的優(yōu)勢分別贏得Game 1和Game 2，則挑戰(zhàn)者F就能以不可忽略的概率解決BDDH問題。

引理1若BDDH問題困難，則本文提出的方案就能抵擋AⅠ類敵手的攻擊，滿足密文不可區(qū)分性。

證明(1) 初始化：F執(zhí)行Setup算法生成公開參數(shù)cp={G1,GT,e,q,g,H,H1,H2,Ppub}，其中Ppub=ga。

(2)階段1：AⅠ可以進(jìn)行以下詢問：

①H-Query：F維護(hù)表LH，當(dāng)F接收AⅠ對H(k,w)的詢問時，F(xiàn)選取H∈G1作為回答的結(jié)果，并將該結(jié)果添加到表LH。

③H2-Query：F維護(hù)初始為空的表L2，當(dāng)AⅠ對關(guān)鍵詞w執(zhí)行H2詢問時，F(xiàn)隨機(jī)選擇h2∈G1作為回答結(jié)果。

⑥Replace-Public-Key-Query：對IDi的公鑰進(jìn)行更換詢問時，F(xiàn)把Pki換成Pk′i，并把表LP中的元組(IDi,xi,Pki)替換成(IDi,⊥,Pk′i)。

(4)階段2：AⅠ可以進(jìn)行如同階段1的多項式詢問。

(5)猜測：AⅠ輸出β′∈{0,1}作為猜測值。

□

引理2若BDDH問題困難，則本文提出的方案就能抵擋AⅡ類敵手的攻擊，滿足密文不可區(qū)分性。

證明(1)初始化：F運(yùn)行Setup算法，生成系統(tǒng)公開參數(shù)cp={G1,GT,e,q,g,H,H1,H2,Ppub}，其中Ppub=gs。

(2)階段1：AⅡ可以進(jìn)行以下詢問：

①H-Query：F維護(hù)初始為空的表LH，當(dāng)F收到AⅡ?qū)(k,w)的詢問時，F(xiàn)選取H∈G1作為回答結(jié)果，并將該結(jié)果添加到表LH。

③H2-Query：F維護(hù)初始為空的表L2，當(dāng)AⅡ?qū)﹃P(guān)鍵詞w執(zhí)行H2詢問時，F(xiàn)隨機(jī)選擇h2∈G1作為回答結(jié)果。

(4)階段2：AⅡ可以進(jìn)行如同階段1的多項式詢問。

(5)猜測：AⅡ輸出β′∈{0,1}作為猜測值。

□

5.2 陷門不可區(qū)分性

定理2若敵手AⅠ與AⅡ在隨機(jī)預(yù)言模型下以不可忽略的優(yōu)勢分別贏得Game 3和Game 4，則挑戰(zhàn)者F就能以不可忽略的概率解決BDDH問題。

引理3若BDDH問題困難，則本文提出的方案就能抵擋AⅠ類敵手的攻擊，滿足陷門不可區(qū)分性。

證明(1)初始化：F運(yùn)行Setup算法，生成系統(tǒng)公開參數(shù)cp={G1,GT,e,q,g,H,H1,H2,Ppub}，其中Ppub=ga。

(2)階段1：AⅠ可以進(jìn)行以下詢問：

①H-Query：F維護(hù)初始為空的表LH，當(dāng)F接收AⅠ對H(k,w)的詢問時，F(xiàn)選取H∈G1作為回答結(jié)果，并將該結(jié)果添加到表LH。

③H2-Query：F維護(hù)初始為空的表L2，當(dāng)AⅠ對關(guān)鍵詞w執(zhí)行H2詢問時，F(xiàn)隨機(jī)選擇h2∈G1作為回答結(jié)果。

⑥Replace-Public-Key-Query：對IDi的公鑰進(jìn)行替代詢問時，F(xiàn)將Pki替換成Pk′i，同時將表LP中的元組(IDi,xi,Pki)替換成(IDi,⊥,Pk′i)。

(4)階段2：AⅠ可以進(jìn)行如同階段1的多項式詢問。

□

引理4若BDDH問題困難，則本文提出的方案就能抵擋AⅡ類敵手的攻擊，滿足陷門不可區(qū)分性。

證明(1)初始化：F運(yùn)行Setup算法，生成系統(tǒng)公開參數(shù)cp={G1,GT,e,q,g,H,H1,H2,Ppub}，其中Ppub=gs。

(2)階段1：AⅡ可以進(jìn)行以下詢問：

①H-Query：F維護(hù)初始為空的表LH，當(dāng)F接收AⅡ?qū)(k,w)的詢問時，F(xiàn)隨機(jī)選擇H∈G1作為結(jié)果，并將該結(jié)果添加到表LH。

③H2-Query：F維護(hù)初始為空的表L2，當(dāng)AⅡ?qū)﹃P(guān)鍵詞w執(zhí)行H2詢問時，F(xiàn)隨機(jī)選擇h2∈G1作為該詢問的回答結(jié)果值。

(4)階段2：AⅡ可以進(jìn)行如同階段1的多項式詢問。

□

6 性能分析

6.1 效率分析

首先對本文方案與文獻(xiàn)[12,15,17]的方案進(jìn)行功能對比，結(jié)果如表1所示。與文獻(xiàn)[12]的方案相比，本文方案在滿足數(shù)據(jù)用戶對授權(quán)服務(wù)器進(jìn)行授權(quán)以驗(yàn)證密文數(shù)據(jù)的有效性時，授權(quán)服務(wù)器通過授權(quán)信息可以驗(yàn)證數(shù)據(jù)用戶身份的真實(shí)性的情況下，同時支持密文索引和陷門搜索憑證在公開信道中傳輸。與文獻(xiàn)[15]的方案相比，本文方案滿足云服務(wù)器可以驗(yàn)證數(shù)據(jù)屬主的身份，授權(quán)服務(wù)器驗(yàn)證數(shù)據(jù)用戶身份的真實(shí)性，同時支持密文索引與陷門搜索憑證在公開信道中傳輸。相較于文獻(xiàn)[17]的方案，本文方案支持云服務(wù)器對數(shù)據(jù)屬主的身份驗(yàn)證。

Table 1 Comparison of functions表1 功能比較

通過數(shù)值理論分析，將本文方案與文獻(xiàn)[15,17]的方案在加密時間、陷門生成時間、測試階段進(jìn)行比較，結(jié)果如表2所示。

Table 2 Comparison of computational of efficiency表2 計算效率比較

表2中，P為雙線性對運(yùn)算,E為指數(shù)運(yùn)算,M為點(diǎn)乘運(yùn)算。本文方案與文獻(xiàn)[15,17]的方案相比，在加密算法中，文獻(xiàn)[15,17]的方案計算效率高于本文方案的，但是本文方案數(shù)據(jù)屬主需要對密文索引進(jìn)行簽名，可以防止數(shù)據(jù)屬主的抵賴行為；在陷門生成算法中，本文方案在滿足陷門搜索憑證在公開信道中傳輸?shù)耐瑫r計算效率較高；在測試1算法中，本文方案在滿足云服務(wù)器可以對數(shù)據(jù)屬主身份驗(yàn)證的同時計算效率較高；在測試2算法中，本文方案在滿足授權(quán)服務(wù)器對數(shù)據(jù)用戶身份真實(shí)性驗(yàn)證的同時計算效率較高。

6.2 實(shí)驗(yàn)?zāi)M

利用雙線性對包PBC(Pairing-Based Cryptography library)對本文所提方案在加密算法和陷門生成算法與文獻(xiàn)[15,17]的方案進(jìn)行實(shí)驗(yàn)驗(yàn)證。加密算法中取關(guān)鍵詞個數(shù)分別為1,50,100,300,500,700,900,1000進(jìn)行加密，仿真結(jié)果如圖2所示；陷門算法中，取關(guān)鍵詞個數(shù)為1,5,10,20,40,60,80,100進(jìn)行陷門搜索憑證生成，仿真結(jié)果如圖3所示。

在加密算法中，本文方案的計算效率不高，但是數(shù)據(jù)屬主需要對密文索引進(jìn)行簽名，可以讓云服務(wù)器驗(yàn)證數(shù)據(jù)屬主的身份，從而保證數(shù)據(jù)屬主身份的真實(shí)性。在陷門生成算法中，本文方案在滿足陷門不可區(qū)分性的同時，計算效率高于文獻(xiàn)[15，17]的方案。

Figure 2 Experimental results of encryption algorithms圖2 加密算法實(shí)驗(yàn)結(jié)果

Figure 3 Experimental results of trapdoor generation algorithm圖3 陷門生成算法實(shí)驗(yàn)結(jié)果

7 結(jié)束語

本文提出了具有高效授權(quán)的無證書公鑰認(rèn)證可搜索加密方案，該方案中數(shù)據(jù)屬主利用自身私鑰對上傳的關(guān)鍵詞進(jìn)行簽名，將簽名與關(guān)鍵詞密文索引上傳到云服務(wù)器，云服務(wù)器利用數(shù)據(jù)屬主的簽名可以驗(yàn)證數(shù)據(jù)屬主的身份；數(shù)據(jù)用戶對授權(quán)服務(wù)器授權(quán)，授權(quán)服務(wù)器利用數(shù)據(jù)用戶的授權(quán)信息驗(yàn)證數(shù)據(jù)用戶身份真實(shí)性的同時對密文執(zhí)行有效驗(yàn)證。數(shù)據(jù)屬主與數(shù)據(jù)用戶利用云服務(wù)器的公鑰生成密文索引和陷門搜索憑證，可以保證密文索引和陷門搜索憑證在公開信道中的傳輸安全。數(shù)據(jù)屬主采用對稱密鑰對關(guān)鍵詞加密，合法的數(shù)據(jù)用戶在生成搜索憑證時，利用自身私鑰也可以計算出相同的對稱密鑰，因此，數(shù)據(jù)用戶可以對文件進(jìn)行解密。由于本文方案的加密算法中數(shù)據(jù)屬主需對上傳的關(guān)鍵詞進(jìn)行簽名，增加了加密算法的計算開銷，但是，本文方案中的陷門算法以及測試算法比文獻(xiàn)[15,16]方案的高效，同時本文方案還可以驗(yàn)證數(shù)據(jù)屬主的身份。因此，下一步的研究重點(diǎn)是在滿足各種功能的同時，提高加密算法的計算效率。