CN105007161A - 一种陷门无法识别的模糊关键字公钥搜索加密方案 - Google Patents

Abstract

本发明公开了一种陷门无法识别的模糊关键字公钥加密搜索方案，该方案用服务器的公钥来加密关键字和数据文件，外部攻击者没有服务器密钥就不能从中得到任何信息，也就可以不用安全信道来传输；同时也是一种陷门无法识别性的方案，这样外部攻击者不能用关键字猜测攻击来攻击陷门；方案不仅支持精确关键字搜索加密，当输入的关键字有任何拼写错误或格式不一致的情况时，该方案也支持搜索，这大大提高了系统的可用性。

Description

一种陷门无法识别的模糊关键字公钥搜索加密方案

技术领域

本发明涉及云计算及密码学领域，具体讲的是一种在云环境下进行公钥加密文件的搜索方案，该方案不仅支持模糊关键字的搜索，而且也支持精确关键字的搜索，同时可以抵抗关键字猜测攻击，满足陷门无法识别性。

背景技术

最早的公钥加密系统是在2004年被Boneh等人中提出来的，用户可以发送给服务器一个密钥，使服务器可以识别包含被搜索关键字所有的数据文件，而且服务器不能识别有关数据文件的任何信息，但是这个搜索加密方案是必须建立在安全信道里面的，而且这个搜索加密方案只允许精确关键字的搜索加密。

在2008年，Baek等人提出了一种无安全信道的方案，这个方案里的基本观点就是服务器有自己的公私钥，数据拥有者使用服务器的公钥和自己的公钥加密创建一个PEKS密文，数据拥有者就可以通过公共传输信道直接将陷门发送给服务器，即使外部攻击者截获了该密文，没有服务器的密钥，它也不能获得该密文任何相关的信息，但是Rhee等人指出这个无安全信道的公钥加密搜索方案容易遭到关键字的猜测攻击，他们提出了一个方案满足陷门无法识别的性质，但是必须靠安全信道支撑。

Zhu hui等人中提出了一种全新的陷门无法识别性的方案，这个方案也不需要安全信道，但是只能支持精确关键字的搜索。

在2010年，Wang等人提出了一种模糊关键字的搜索方案，用通配符的方法建立模糊关键字集合这样能大大节约存储空间，这个方案里，用编辑距离来量化关键字的相似度，通过关键字的索引比较来返回相似关键字的文件ID，从而恢复文件，但是这个模糊关键字搜索方案里的陷门是不安全的，容易遭受到关键字猜测攻击。

发明内容

为了克服上述现有公钥加密搜索方案技术的不足，本发明提供了一种陷门无法识别的模糊关键字公钥加密搜索方案，满足三个要求，一是利用服务器的公钥来加密关键字和数据文件，外部攻击者没有服务器密钥就不能从中得到任何信息，也就可以不用安全信道来传输；二是提出了一种陷门无法识别性的方案，这样外部攻击者不能用关键字猜测攻击来攻击陷门；三是方案不仅支持精确关键字搜索加密，当输入的关键字有任何拼写错误或格式不一致的情况时，该方案也支持搜索。

本发明所采用的技术方案是：使用通配符技术和编辑距离生成模糊关键字集合，然后用公钥加密方案(数据拥有者和服务器的公钥)加密模糊关键字集合里的每一个关键字，接着用数据拥有着的私钥生成陷门后发送给服务器，服务器来进行匹配。

与现有技术相比，本发明的有益效果是方案里面构建对于关键字w的搜索请求是用了公钥关键字加密方法进行的，搜索请求是一个基于S_w，k的陷门集，而不是像精确关键字搜索的单一的一个关键字陷门，这些陷门是不可分辨的，一个外部攻击者，给予BDH问题的困难性，他不能计算出的值，所以这就是说只有服务器才能执行以上的算法，而且根据字符z选择的不同，所以h₁(z)是时刻更新的，外部攻击者不会知道PEKS()算法是加密的哪一个关键字，最后这个方案加密关键字时用了服务器的公钥，数据拥有者就可以通过公共传输信道直接将该密文寄给服务器，即使外部攻击者截获了该密文，没有服务器的密钥，它也不能获得该密文任何相关的信息，而且该方案不仅支持精确关键字的搜索，同时也支持模糊关键字的搜索。

具体实施方式

本发明的实施方案一共包括以下几个算法。

算法1：产生素数阶q≥2^k的一个群g₁，一个g₁的随机产生器P，构建双线性映射：g₁×g₁→g₂.指定哈希函数h₁：{0，1}*→g₁，h₂：g2→{0，1}^k，返回 $a=(q,g_1,g_2,\hat{e},P,h_1,h_2)$ 作为一个公共参数。

算法2：：随机选择然后计算X＝xP，随机选择返回公钥PS＝(cp，Q，X)和私钥SS＝(cp，x)作为服务器的公私钥对。

算法3：：随机选择然后计算Y＝yP，返回公钥PR＝(PR，Y）和私钥SR＝(cp，y)作为接收者的公私钥对。

假设编辑距离为数据拥有者为了对每一个关键字w₁建立一个索引，首先使用通配符技术建立一个模糊关键字的索引集c，前面已有介绍，这里不再赘述，索引集S_w，d里面每一个元素都是用通配符表示的关键字，其中每一个通配符表示一个编辑距离，然后数据拥有者就开始加密每一个

算法4：：随机选择数据拥有者计算R＝(D，N，s，m)＝(rP，rY，s，m)，其中这个算法返回R作为一个PEKS密文。

最后数据拥有者就可以把这个关键字密文和加密过的文件发送给服务器，数据接收者想要执行搜索就输入(w，k)，首先计算所有的陷门其中是w的基于通配符模糊关键字集合，以下是计算每个基于通配符关键字的陷门算法。

算法5：：随机选择z∈{0，1}^*，数据接收者陷门和陷门T_w′2＝yh₁(z)∈g₁，这个算法返回关键字w′陷门数据接收者执行模糊关键字搜索就把这些陷门集合发送给服务器，服务器就执行搜索，以下是服务器的匹配比较算法。

算法6：Test(cp，T_w，SS，R)：服务器首先计算 $s^{\′}=\hat{e}{(\mathrm{xQ},D)}^{-1},$ 最后计算接着测试 $h_2\left[\hat{e}(T_w,N)\right]=h_2(T\·S),$ 如果等式相等，返回E＝"Correct"，否则返回E＝"Incorrect"。

服务器接收到Test()算法返回的结果E,如果E＝"Correct"，则返回所有可能加密的文件识别号m＝Enc(PR，FID_w||w)；如果E＝"Incorrect"，则返回相关匹配失败的提示语，数据接收者可以用自己的密钥解密所有返回的结果查找恢复自己感兴趣的文件。

本发明的安全性分析如下。

理论本文的方案是满足陷门无法识别的性质的。

证明：首先因为z的选择不同，方案的陷门是时刻更新的，而且基于 计算的困难性，外部攻击者就算得到了陷门也不能得到里面的任何东西，假如说外部攻击者知道了这两个哈希函数的值，他就可以决定两个陷门里的关键词是不是相同的。

首先他可以通过这两个的值来计算T_w＝y^-1h₁(w)+h₁(z)，如果得到了服务器的公钥X＝xP和接收者的公钥Y＝yP，攻击者就可以通过Tw推导出两个陷门里的关键字是否是相等的；第一步先计算 $A=\hat{e}(y^{-1}{h}_1\left(w\right)+h_1\left(z_1\right),\mathrm{yP})=\hat{e}(y^{-1}{h}_1\left(w\right),\mathrm{yP})\hat{e}(y{h}_1\left(z_1\right),P),$ 第二步再计算 $B=\hat{e}{(y{h}_1\left(z_1\right),P)}^{-1},$ 最后计算 $C=\mathrm{AB}=\hat{e}(y^{-1}{h}_1\left(w\right),\mathrm{yP})=\hat{e}(h_1\left(w\right),P).$

所以如果两个陷门来自同一个关键字，通过比较和的大小就可以得到，但是基于BDH问题计算的困难性， 是不能被计算出来的，所以外部攻击者不能决定两个陷门是不是来自同一个关键字。

Claims (3)

1.一种陷门无法识别的模糊关键字公钥搜索加密方案,其特征在于,包括:

—用服务器的公钥来加密关键字和数据文件，外部攻击者没有服务器密钥就不能从中得到任何信息，也就可以不用安全信道来传输；

—提出了一种陷门无法识别性的方案，这样外部攻击者不能用关键字猜测攻击来攻击陷门；

—方案不仅支持精确关键字搜索加密，当输入的关键字有任何拼写错误或格式不一致的情况时，该方案也支持搜索，这大大提高了系统的可用性。

2.根据权利要求1所述的陷门无法识别的模糊关键字公钥搜索加密方案，其特征在于：该方案分为以下几个算法：

(1)、参数产生：为该算法产生必要的公共参数；

(2)、产生数据拥有者公私钥：为数据拥有者和数据使用者生成公钥和私钥；

(3)、产生服务器公私钥：为云服务器生成公钥和私钥；

(4)、加密关键字：用通配符和编辑距离的方法为每一个关键字产生一个模糊关键字集合，然后用服务器的公钥和数据拥拥有者的公钥共同加密模糊关键字集合里面每一个关键字；

(5)、陷门产生：用通配符和编辑距离的方法为输入搜索的关键字产生一个模糊关键字集合，然后用数据拥有者的私钥为每一个模糊关键字生成一个陷门；

(6)、关键字测试匹配：服务器匹配加密关键字和陷门里的关键字是否是相等的，如果相等就返回加密的数据文件。

3.根据权利要求1、2所述的陷门无法识别的模糊关键字加密方案，其特征在于，包括：具体算法实施方案如下：

算法1：KeyGen_Param(k)：产生素数阶q≥2^k的一个群g₁，一个g₁的随机产生器P，构建双线性映射指定哈希函数h₁：{0，1}^*→g₁，h₂：g₂→{0，1}^k，返回 $a=(q,g_1,g_2,\hat{e},P,h_1,h_2)$ 作为一个公共参数；

算法2：KeyGen_Server(cp)：随机选择然后计算X＝xP，随机选择返回公钥PS＝(cp，Q，X)和私钥SS＝(cp，x)作为服务器的公私钥对；

算法3：KeyGen_Pecdver(cp)：随机选择然后计算Y＝yP，返回公钥PR＝(PS，Y)和私钥SR＝(cp，y)作为接收者的公私钥对；

假设编辑距离为d，数据拥有者为了对每一个关键字W_l建立一个索引，首先使用通配符技术建立一个模糊关键字的索引集C，前面已有介绍，这里不再赘述，索引集里面每一个元素都是用通配符表示的关键字，其中每一个通配符表示一个编辑距离，然后数据拥有者就开始加密每一个

加密关键字算法如下：

算法4：PEKS(cp，PS，PR，w′₁，FID_w)：随机选择数据拥有者计算

R＝(D，N，s，m)＝(rP，rY，s，m)，其中 $s=\hat{e}(h_1\left(w_1^{\′}\right),\mathrm{\γP})\hat{e}(\mathrm{\γQ},X),m=\mathrm{Enc}(\mathrm{PR},{\mathrm{FID}}_{w_1}|\left|w_i\right),$ 这个算法返回R作为一个PEKS密文；

最后数据拥有者就可以把这个关键字密文和加密过的文件发送给服务器，数据接收者想要执行搜索就输入(w，k)，首先计算所有的陷门其中S_w，k是w的基于通配符模糊关键字集合，以下是计算每个基于通配符关键字的陷门算法：

算法5：Trapdoor(cp，SR，w′)：随机选择z∈{0，1}^*，数据接收者陷门 和陷门T_w′2＝yh₁(z)∈g₁，这个算法返回关键字w′陷门数据接收者执行模糊关键字搜索就把这些陷门集合发送给服务器，服务器就执行搜索，以下是服务器的匹配比较算法：

算法6：Test(cp，T_W，SS，R)：服务器首先计算 $s^{\′}=\hat{e}{(\mathrm{xQ},D)}^{-1},$ 最后计算 $T={\mathrm{ss}}^{\′}=\hat{e}(h_1\left(w_1^{\′}\right),\mathrm{\γP}),$ 接着测试 $h_2\left[\hat{e}(T_w,N)\right]=h_2(T\·S),$ 如果等式相等，返回E＝″Correct″，否则返回E＝″Incorrect″；

服务器接收到Test()算法返回的结果E,如果E＝″Correct″，则返回所有可能加密的文件识别号m＝Enc(PR，FID_w||w)；如果E＝″Incorrect″，则返回相关匹配失败的提示语，数据接收者可以用自己的密钥解密所有返回的结果查找恢复自己感兴趣的文件。