CN108256348B - 一种密文搜索结果验证方法及其系统 - Google Patents

Abstract

本发明适用于在移动医疗网络中支持搜索结果验证的密文搜索领域，提供了一种密文搜索结果验证方法及其系统，该方法包括：系统初始化步骤：根据输入的系统安全参数生成系统的公钥和私钥；索引生成和验证信息生成步骤：利用公钥加密算法对从健康记录提取的关键字建立索引，利用可逆的布隆查找表和Merkle哈希树生成验证信息；生成陷门步骤：根据输入的私钥和待搜索关键字生成陷门TD；搜索匹配步骤：根据陷门TD并利用搜索算法搜索匹配的健康记录；搜索结果验证步骤：根据验证信息检查搜索结果的完整性。

Description

一种密文搜索结果验证方法及其系统

技术领域

本发明属于数据处理领域，尤其涉及在移动医疗网络中支持搜索结果验证的密文搜索领域。

背景技术

基于物联网、云计算、可穿戴技术的快速发展，由可穿戴设备、接入设备、云服务器所组成的移动医疗网络逐渐形成，将极大地提升现有的医疗水平与效率。可穿戴设备附着在人体将采集用户的健康数据，包括血压、心率等，健康数据通过接入设备上传到云服务器，医生等通过云服务器搜索或下载用户健康数据，进而实时监控到用户的健康状况。

然而，由于健康数据属于用户隐私，云服务器也是不完全可信的，任何健康数据的泄露将影响到用户财产甚至生命状况。数据加密是保障用户隐私的最直接方式之一，但与此同时健康数据的灵活性受到影响，因此，医生如何对加密数据进行高效的搜索操作一直是业界亟需解决的问题。

发明内容

本发明所要解决的技术问题为提高对加密数据进行搜索操作的效率，既保证用户健康数据的隐私，又能对用户健康数据进行高效处理。

为解决上述技术问题，本发明是这样实现的，一种密文搜索结果验证方法，其中，所述方法包括：

系统初始化步骤：根据输入的系统安全参数κ生成系统的公钥PK和私钥SK；

索引生成和验证信息生成步骤：利用公钥加密算法对从健康记录提取的关键字建立索引，利用可逆的布隆查找表和Merkle哈希树生成验证信息；

生成陷门步骤：根据输入的所述私钥SK和待搜索关键字生成陷门TD；

搜索匹配步骤：根据所述陷门TD并利用搜索算法搜索匹配的健康记录；

搜索结果验证步骤：根据验证信息检查搜索结果的完整性。

优选的，所述系统初始化步骤包括：

输入系统安全参数κ，选择一个阶为素数p、生成元为g的双线性群G₀，其中，e:G₀×G₀→G_T表示双线性映射；

定义两个哈希函数H₁:{0，1}^*→G₀和H₂:G_T→{0，1}^p；

随机选择α∈Z_p ^*，计算A＝g^α；

生成系统的公钥PK＝{G₀,H₁,H₂,g,A＝g^α}和私钥SK＝{α}。

优选的，所述索引生成和验证信息生成步骤包括：

在将l个用户健康记录D＝{d₁,…,d_l}上传到医疗健康服务器之前，向每个记录d_j分配一个标识符id_j(j＝1,…,l)，并从D中提取t个关键字W＝{w₁,…,w_t}，然后使用对称加密算法对上传的用户健康记录进行加密，加密的健康记录表示为C＝{c₁,…,c_l}，其中c_i是d_i的密文，i＝1,…,l，令表示与关键词w_j相关联的标识符集，CD(w_j)表示与存储在D(w_j)中的标识符相关的密文，对于每个关键字w_j∈W，数据属主将D(w_j)添加到对应于w_j的密文的桶b_j；

构造可逆的布隆查找表(IBLT)和Merkle哈希树(MHT)以实现搜索结果的可验证性，定义以下抗碰撞的哈希函数：(1)h₀:{0,1}^*→[1,l]将任何用二进制表示的关键字映射到[1,l]；(2)h₁,…,h_k:[1,l]→[1,m]将[1,l]中的任一整数映射到IBLT中的k个不同区域，其中m是IBLT的长度；(3)h:[1,l]→[1,l²]；(4)h′:{0,1^*}→{0,1}²⁵⁶，另外，IBLT将(x,y)映射到其单元格上，这些单元格包括以下四个域，这些域都被初始化为0：

·count域，用于对映射到该单元格的条目数进行计数；

·keySum域，存储映射到该单元格的x的总和；

·valueSum域，存储映射到该单元格的y的总和；

·hashvalueSum域，用于存储映射到该单元格的所有h(y)之和；

其中，count域也称为计数布隆滤波器(CBF)；

该步骤包括两个子算法：索引生成子算法IndGen和验证信息生成子算法VerInfGen：

IndGen(PK,W)→CI，索引生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入，对每个关键字w_i，随机选择s_i∈Z_p，计算

和

其中，i＝1,2,…,t，输出索引密文CI＝{C′_i,C_i}i＝1,2,…,t。

VerInfGen(PK,W)→VI，验证信息生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入；

对于每个w_i，计算ζ_i＝h₀(w_i)，并将所有(ζ_i,id_j)(id_j∈D(w_i))对插入IBLT，其中i＝1,…,t，为每个w_i计算

，其中

υ是CD(w_i)中加密的健康记录的数量；

以及i＝1,…,t，所有的m_i(i＝1,…,t)被视为叶子节点来创建MHT，MHT的根表示为m_R；

然后通过运行BLS短签名算法对m_R进行签名，选择随机数τ∈Z_p并计算φ＝g^τ，然后生成MHT签名σ_MHT为σ_MHT＝H₁(m_R)^τ；

最后生成的验证信息VI为

VI＝{CBF,m₁,m₂,…,m_t,φ,σ_MHT}；

并将所述验证信息VI与索引密文CI一起发送给医疗保健服务器，同时，将IBLT发送到仲裁中心。

优选的，所述生成陷门步骤包括：

输入所述私钥SK以及待搜索关键字

，其中，所述关键字w表示用户想要搜索包含关键字w的加密健康记录；生成陷门

。

优选的，所述搜索匹配步骤包括：

以索引密文CI、验证信息VI和所述陷门TD作为输入以检验等式H₂(e(TD,C′_i))＝C_i(i＝1,2,…,t)是否成立；

若成立，则搜索到与所述陷门TD相匹配的桶b_i以及相应的用户健康记录CD(w_i)，并返回搜索结果{b_i,CD(w_i)}以及验证信息{φ，CBF,σ_MHT}给用户；

若不成立，则没有找到匹配的健康记录，仅返回验证信息{φ，CBF}给用户。

优选的，所述搜索结果验证步骤包括：

当搜索结果为空集合时，返回验证信息{φ，CBF}给用户作为证明，用户使用CBF验证搜索结果的完全性；检查是否存在至少一个等式

如果是，则验证过程终止并输出0；否则，用户向仲裁中心发送

由仲裁中心决定

是否属于IBLT，如果IBLT中没有包含

仲裁中心返回null，否则发送(count,valueSum,hashvalueSum)给用户；

当搜索结果不为空集合时，首先检查搜索结果的完全性以确保所有匹配的用户健康记录已被返回，计算

并检查所有相应位置的最小计数是否等于返回的个数；如果是，则验证搜索结果的正确性，其中，首先，用户检查等式

是否成立，如果没有，则该过程终止，否则使用

的哈希链生成m_R，然后，计算e(σ_MHT,g)＝e(H₁(m_R),φ)以检查m_R的正确性，从而验证了搜索结果的正确性；

如果相应位置的最低计数不等于返回的个数，则需要仲裁中心的介入，用户向仲裁中心发送

仲裁中心返回(count,valueSum,hashvalueSum)给用户，用户检查返回的个数是否等于count，返回的标识符的总和是否等于valueSum，返回的标识符的哈希值的和是否等于hashvalueSum，如果等于，那么医疗健康服务器返回正确的结果。

本发明还提供了一种密文搜索结果验证系统，其中，所述系统包括：

系统初始化模块，用于根据输入的系统安全参数κ生成系统的公钥PK和私钥SK；

索引生成和验证信息生成模块，利用公钥加密算法对从健康记录提取的关键字建立索引，利用可逆的布隆查找表和Merkle哈希树生成验证信息；

生成陷门模块，用于根据输入的所述私钥SK和待搜索关键字生成陷门TD；

搜索匹配模块，用于根据所述陷门TD并利用搜索算法搜索匹配的健康记录；

搜索结果验证模块，用于根据验证信息检查搜索结果的完整性。

优选的，所述系统初始化模块具体用于：

输入系统安全参数κ，并选择一个阶为素数p、生成元为g的双线性群G₀，其中，e:G₀×G₀→G_T表示双线性映射；

定义两个哈希函数H₁:{0，1}^*→G₀和H₂:G_T→{0，1}^p；

随机选择

计算A＝gα；

生成系统的公钥PK＝{G₀,H₁,H₂,g,A＝g^α}和私钥SK＝{α}。

优选的，所述索引生成和验证信息生成模块具体用于：

在将l个用户健康记录D＝{d₁,…,d_l}上传到医疗健康服务器之前，向每个记录d_j分配一个标识符id_j(j＝1,…,l)，并从D中提取t个关键字W＝{w₁,…,w_t}，然后使用对称加密算法对上传的用户健康记录进行加密，加密的健康记录表示为C＝{c₁,…,c_l}，其中c_i是d_i的密文，i＝1,…,l，令表示与关键词w_j相关联的标识符集，CD(w_j)表示与存储在D(w_j)中的标识符相关的密文，对于每个关键字w_j∈W，数据属主将D(w_j)添加到对应于w_j的密文的桶b_j；

构造可逆的布隆查找表(IBLT)和Merkle哈希树(MHT)以实现搜索结果的可验证性，定义以下抗碰撞的哈希函数：(1)h₀:{0,1}^*→[1,l]将任何用二进制表示的关键字映射到[1,l]；(2)h₁,…,h_k:[1,l]→[1,m]将[1,l]中的任一整数映射到IBLT中的k个不同区域，其中m是IBLT的长度；(3)h:[1,l]→[1,l²]；(4)h′:{0,1^*}→{0,1}²⁵⁶，另外，IBLT将(x,y)映射到其单元格上，这些单元格包括以下四个域，这些域都被初始化为0：

·count域，用于对映射到该单元格的条目数进行计数；

·keySum域，存储映射到该单元格的x的总和；

·valueSum域，存储映射到该单元格的y的总和；

·hashvalueSum域，用于存储映射到该单元格的所有h(y)之和；

其中，count域也称为计数布隆滤波器(CBF)；

该步骤包括两个子算法：索引生成子算法IndGen和验证信息生成子算法VerInfGen：

IndGen(PK,W)→CI，索引生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入，对每个关键字w_i，随机选择s_i∈Z_p，计算

和

其中，i＝1,2,…,t，输出索引密文CI＝{C′_i,C_i}i＝1,2,…,t；

VerInfGen(PK,W)→VI，验证信息生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入；

对于每个w_i，计算ζ_i＝h₀(w_i)，并将所有(ζ_i,id_j)(id_j∈D(w_i))对插入IBLT，其中i＝1,…,t，为每个w_i计算

，其中

υ是CD(w_i)中加密的健康记录的数量；

以及i＝1,…,t，所有的m_i(i＝1,…,t)被视为叶子节点来创建MHT，MHT的根表示为m_R；

然后通过运行BLS短签名算法对m_R进行签名，选择随机数τ∈Z_p并计算φ＝g^τ，然后生成MHT签名σ_MHT为σ_MHT＝H₁(m_R)^τ；

最后生成的验证信息VI为

VI＝{CBF,m₁,m₂,…,m_t,φ,σ_MHT}；

并将所述验证信息VI与索引密文CI一起发送给医疗保健服务器，同时，将IBLT发送到仲裁中心。

优选的，所述生成陷门模块具体用于：

输入所述秘钥SK以及待搜索关键字

，其中，所述关键字

表示用户想要搜索包含关键字

的加密健康记录；生成陷门

优选的，所述搜索匹配模块具体用于：

以索引密文CI、验证信息VI和所述陷门TD作为输入以检验等式H₂(e(TD,C′_i))＝C_i(i＝1,2,…,t)是否成立；

若成立，则搜索到与所述陷门TD相匹配的桶b_i以及相应的用户健康记录CD(w_i)，并返回搜索结果{b_i,CD(w_i)}以及验证信息{φ，CBF,σ_MHT}给用户；

若不成立，则没有找到匹配的用户健康记录，并仅返回验证信息{φ，CBF}给用户。

优选的，所述搜索结果验证模块具体用于：

当搜索结果为空集合时，返回验证信息{φ，CBF}给用户作为证明，用户使用CBF验证搜索结果的完全性；检查是否存在至少一个等式

如果是，则验证过程终止并输出0；否则，用户向仲裁中心发送

由仲裁中心决定

是否属于IBLT，如果IBLT中没有包含

仲裁中心返回null，否则发送(count,valueSum,hashvalueSum)给用户；

当搜索结果不为空集合时，首先检查搜索结果的完全性以确保所有匹配的用户健康记录已被返回，计算

并检查所有相应位置的最小计数是否等于返回的个数；如果是，则验证搜索结果的正确性，其中，首先，用户检查等式

是否成立，如果没有，则该过程终止，否则使用

的哈希链生成m_R，然后，计算e(σ_MHT,g)＝e(H₁(m_R),φ)以检查m_R的正确性，从而验证了搜索结果的正确性；

如果相应位置的最低计数不等于返回的个数，则需要仲裁中心的介入，用户向仲裁中心发送

仲裁中心返回(count,valueSum,hashvalueSum)给用户，用户检查返回的个数是否等于count，返回的标识符的总和是否等于valueSum，返回的标识符的哈希值的和是否等于hashvalueSum，如果等于，那么医疗健康服务器返回正确的结果。

本发明与现有技术相比，有益效果在于：本发明的技术方案支持搜索结果验证，能对搜索结果的完全性与正确性进行验证，本发明的技术方案既保证用户健康数据的隐私，又能对用户健康数据进行高效处理。

附图说明

图1是本发明实施例提供的密文搜索结果验证方法流程图；

图2是本发明实施例提供的密文搜索结果验证系统结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

请参阅图1，为本发明实施例提供的密文搜索结果验证方法流程图。

在步骤S1中，系统初始化步骤：根据输入的系统安全参数κ生成系统的公钥PK和私钥SK。

在本实施例中，令e:G₀×G₀→G_T表示一个双线性映射，其中G₀是素数p、生成元为g的双线性群，设H₁:{0，1}^*→G₀和H₂:G_T→{0，1}^p表示两个抗碰撞的哈希函数。

在本实施例中，所述系统初始化步骤S1为Setup(1^κ)→(PK,SK).，具体包括：

输入系统安全参数κ，选择一个阶为素数p、生成元为g的双线性群G₀，其中，e:G₀×G₀→G_T表示双线性映射；定义两个哈希函数H₁:{0，1}^*→G₀和H₂:G_T→{0，1}^p。

随机选择

计算A＝g^α；

生成系统的公钥PK＝{G₀,H₁,H₂,g,A＝g^α}和私钥SK＝{α}。

在步骤S2中，索引生成和验证信息生成步骤：利用公钥加密算法对从健康记录提取的关键字建立索引，利用可逆的布隆查找表和Merkle哈希树生成验证信息。

在本实施例中，所述索引生成和验证信息生成步骤S2包括：

数据属主要上传l个用户健康记录D＝{d₁,…,d_l}并存储到医疗健康服务器上，在上传这些记录之前，数据所有者向每个记录d_j分配一个标识符id_j(j＝1,…,l)，并从D中提取t个关键字W＝{w₁,…,w_t}，然后使用对称加密算法(例如AES算法)对上传的用户健康记录进行加密。其中，用户健康记录的数量远远大于关键字的数量，即l>>t。加密的用户健康记录表示为C＝{c₁,…,c_l}，其中c_i是d_i的密文，i＝1,…,l，令D(w_j)表示与关键字w_j相关联的标识符集，CD(w_j)表示与存储在D(w_j)中的标识符相关的密文，例如，如果D(w_j)＝{id₁,id₂}，则CD(w_j)＝{c₁,c₂}，对于每个关键字w_j∈W，数据属主将D(w_j)添加到对应于w_j的密文的桶b_j。

此外，需要构造可逆的布隆查找表(IBLT)和Merkle哈希树(MHT)以实现搜索结果的可验证性。为了做到这一点，需要以下抗碰撞的哈希函数：(1)h₀:{0,1}^*→[1,l]将任何用二进制表示的关键字映射到[1,l]；(2)h₁,…,h_k:[1,l]→[1,m]将[1,l]中的任一整数映射到IBLT中的k个不同区域，其中m是IBLT的长度；(3)h:[1,l]→[1,l²]；(4)h′:{0,1^*}→{0,1}²⁵⁶。另外，IBLT将(x,y)映射到其单元格上，这些单元格包括以下四个域，这些域都被初始化为0：

·count域，用于对映射到该单元格的条目数进行计数；

·keySum域，存储映射到该单元格的x的总和；

·valueSum域，存储映射到该单元格的y的总和；

·hashvalueSum域，用于存储映射到该单元格的所有H(y)之和。

其中，count域也称为计数布隆滤波器(CBF)。

在本实施例中，以下加密算法包括两个子算法：索引生成子算法IndGen和验证信息生成子算法VerInfGen。

IndGen(PK,T,W)→CI。索引生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入。对每个关键字w_i，随机选择s_i∈Z_p，计算

和

其中，i＝1,2,…,t。输出索引密文CI＝{C′_i,C_i}_{i＝1,2,…,t}。

VerInfGen(PK,W)→VI。验证信息生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入。

对于每个w_i，计算ζ_i＝h₀(w_i)，并根据以下表一中的算法1将所有(ζ_i,id_j)(id_j∈D(w_i))对插入IBLT，其中i＝1,…,t。为每个w_i计算

υ是CD(w_i)中加密的健康记录的数量；

以及i＝1,…,t。所有的m_i(i＝1,…,t)被视为叶子节点来创建MHT，MHT的根表示为m_R。

然后，通过运行BLS短签名算法对m_R进行签名，选择随机数τ∈Z_p并计算φ＝g^τ，然后生成MHT签名σ_MHT为σ_MHT＝H₂(m_R)^τ。

最后，生成的验证信息VI为VI＝{CBF,m₁,m₂,…,m_t,φ,σ_MHT}并将其与索引密文CI一起发送给医疗健康服务器，同时，将IBLT发送到仲裁中心。

表一

算法1：
	输入：(x,y)
输出：IBLT
	对于i＝1,…,k
T[h<sub>i</sub>(x)].count+1
	T[h<sub>i</sub>(x)].keySum+x
T[h<sub>i</sub>(x)].valueSum+y
	T[h<sub>i</sub>(x)].hashvalueSum+h(y)
结束

在步骤S3中，生成陷门步骤：根据输入的所述私钥SK和待搜索关键字

生成陷门TD。

在本实施例中，如果用户想要搜索包含关键字

的加密健康记录，则运行以下算法来生成与

相关联的陷门。所述生成陷门步骤S3为

具体包括：

输入所述秘钥SK以及关键字

其中，所述关键字

表示用户想要搜索包含关键字

的加密健康记录；生成陷门

最后，用户向医疗健康服务器提交TD。

在步骤S4中，搜索匹配步骤：根据所述陷门TD并利用搜索算法搜索匹配的健康记录。

在本实施例中，接收到用户的陷门TD后，医疗健康服务器执行以下算法来搜索匹配的健康记录。所述搜索匹配步骤S4为Search(CI,VI,TD)→Search result，具体包括：

以索引密文CI、验证信息VI和所述陷门TD作为输入以检验等式H₂(e(TD,C′_i))＝C_i(i＝1,2,…,t)是否成立；

若成立，则说明医疗健康服务器搜索到与陷门相匹配的桶b_i以及相应的健康记录CD(w_i)，并返回搜索结果{b_i,CD(w_i)}以及验证信息{φ，CBF,σ_MHT}给用户；

若不成立，则意味着没有找到匹配的健康记录，医疗健康服务器仅返回验证信息{φ，CBF}给用户。

在步骤S5中，搜索结果验证步骤：根据验证信息检查搜索结果的完整性。

在本实施例中，所述搜索结果验证步骤S5包括：

当搜索结果为空集合时，返回验证信息{φ，CBF}给用户作为证明，用户使用CBF验证搜索结果的完全性；检查是否存在至少一个等式

如果是，则验证过程终止并输出0；否则，用户向仲裁中心发送

根据算法2，仲裁中心可以决定

是否属于IBLT。如果IBLT中没有包含

，仲裁中心返回null。否则，发送(count,valueSum,hashvalueSum)给用户。

当搜索结果不为空集合时，首先检查搜索结果的完全性以确保所有匹配的用户健康记录已被返回，计算

并检查所有相应位置的最小计数是否等于返回的个数，如果是，则验证搜索结果的正确性。首先，用户检查等式

是否成立；如果没有，则该过程终止。否则，可以应用从MHT中目标叶子节点到其根节点的路径上获得的兄弟节点重新生成m_R。也就是说，用户可以使用

的哈希链生成m_R。然后，计算e(σ_MHT,g)＝e(H₁(m_R),φ)以检查m_R的正确性，从而验证了搜索结果的正确性。

如果相应位置的最低计数不等于返回的个数，则需要仲裁中心的介入。用户向仲裁中心发送

仲裁中心运行算法2并返回(count,valueSum,hashvalueSum)给用户。用户检查返回的个数是否等于count，返回的标识符的总和是否等于valueSum，返回的标识符的哈希值的和是否等于hashvalueSum。如果是这样，那么医疗健康服务器返回正确的结果。

在本实施例中，用户根据验证信息检查搜索结果的完整性。该过程包括以下两种情况：

情况1：当搜索结果为空集合时，则医疗健康服务器声称没有与提交的陷门匹配的健康记录，并返回验证信息{φ，CBF}给用户作为证明。用户使用CBF验证搜索结果的完全性。检查是否存在至少一个等式

如果是，则验证过程终止并输出0；否则，用户向仲裁中心发送

根据以下表二中的算法2，仲裁中心可以决定

是否属于IBLT。如果IBLT中没有包含

仲裁中心返回null。否则发送(count,valueSum,hashvalueSum)给用户。

情况2：当搜索结果不为空时，用户首先检查结果的完全性，以确保所有匹配的健康记录已被返回。用户计算

并检查所有相应位置的最小计数是否等于返回的个数。如果是，用户则验证搜索结果的正确性。首先，用户检查等式

是否成立；如果没有，则该过程终止。否则，可以应用从MHT中目标叶子节点到其根节点的路径上获得的兄弟节点重新生成m_R。也就是说，用户可以使用

的哈希链生成m_R。然后，计算e(σ_MHT,g)＝e(H₁(m_R),φ)以检查m_R的正确性，从而验证了搜索结果的正确性。

如果相应位置的最低计数不等于返回的个数，则需要仲裁中心的介入。用户向仲裁中心发送

仲裁中心运行以下表二中的算法2并返回(count,valueSum,hashvalueSum)给用户。用户检查返回的个数是否等于count，返回的标识符的总和是否等于valueSum，返回的标识符的哈希值的和是否等于hashvalueSum。如果是这样，那么医疗健康服务器返回正确的结果。

表二

本发明提供的一种密文搜索结果验证方法，支持搜索结果验证，能对搜索结果的完全性与正确性进行验证，既保证用户健康数据的隐私，又能对用户健康数据进行高效处理。

请参阅图2，为本发明实施例提供的密文搜索结果验证系统结构示意图。

在本实施例中，密文搜索结果验证系统10具体包括系统初始化模块11、索引生成和验证信息生成12、生成陷门模块13、搜索匹配模块14、搜索结果验证模块15。

系统初始化模块11，用于根据输入的系统安全参数κ生成系统的公钥PK和私钥SK。

在本实施例中，所述系统初始化模块11具体用于：

输入系统安全参数κ，选择一个阶为素数p、生成元为g的双线性群G₀，其中，e:G₀×G₀→G_T表示双线性映射；定义两个哈希函数H₁:{0，1}^*→G₀和H₂:G_T→{0，1}^p；

随机选择

计算A＝gα；

生成系统的公钥PK＝{G₀,H₁,H₂,g,A＝g^α}和私钥SK＝{α}。

索引生成和验证信息生成模块12，利用公钥加密算法对从健康记录提取的关键字建立索引，利用可逆的布隆查找表和Merkle哈希树生成验证信息。

在本实施例中，所述索引生成和验证信息生成模块12具体用于：

在将l个用户健康记录D＝{d₁,…,d_l}上传到医疗健康服务器之前，向每个记录d_j分配一个标识符id_j(j＝1,…,l)，并从D中提取t个关键字W＝{w₁,…,w_t}，然后使用对称加密算法对上传的用户健康记录进行加密。加密的健康记录表示为C＝{c₁,…,c_l}，其中c_i是d_i的密文，i＝1,…,l。令表示与关键词w_j相关联的标识符集，CD(w_j)表示与存储在D(w_j)中的标识符相关的密文。对于每个关键字w_j∈W，数据属主将D(w_j)添加到对应于w_j的密文的桶b_j。

需要构造可逆的布隆查找表(IBLT)和Merkle哈希树(MHT)以实现搜索结果的可验证性。为了做到这一点，需定义以下抗碰撞的哈希函数：(1)h₀:{0,1}^*→[1,l]将任何用二进制表示的关键字映射到[1,l]；(2)h₁,…,h_k:[1,l]→[1,m]将[1,l]中的任一整数映射到IBLT中的k个不同区域，其中m是IBLT的长度；(3)h:[1,l]→[1,l²]；(4)h′:{0,1^*}→{0,1}²⁵⁶。另外，IBLT将(x,y)映射到其单元格上，这些单元格包括以下四个域，这些域都被初始化为0：

·count域，用于对映射到该单元格的条目数进行计数。

·keySum域，存储映射到该单元格的x的总和。

·valueSum域，存储映射到该单元格的y的总和。

·hashvalueSum域，用于存储映射到该单元格的所有h(y)之和。

其中，count域也称为计数布隆滤波器(CBF)。

此步骤包括两个子算法：索引生成子算法IndGen和验证信息生成子算法VerInfGen。

IndGen(PK,W)→CI。索引生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入。对每个关键字w_i，随机选择s_i∈Z_p，计算

和

其中，i＝1,2,…,t。输出索引密文CI＝{C′_i,C_i}_{i＝1,2,…,t}。

VerInfGen(PK,W)→VI。验证信息生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入。

对于每个w_i，计算ζ_i＝h₀(w_i)，并根据算法1将所有(ζ_i,id_j)(id_j∈D(w_i))对插入IBLT，其中i＝1,…,t。为每个w_i计算

其中

υ是CD(w_i)中加密的健康记录的数量；

以及i＝1,…,t。所有的m_i(i＝1,…,t)被视为叶子节点来创建MHT，MHT的根表示为m_R。

然后，通过运行BLS短签名算法对m_R进行签名，选择随机数τ∈Z_p并计算φ＝g^τ，然后生成MHT签名σ_MHT为σ_MHT＝H₁(m_R)^τ。

最后，生成的验证信息VI为

VI＝{CBF,m₁,m₂,…,m_t,φ,σ_MHT}

并将其与索引密文CI一起发送给医疗保健服务器，同时，将IBLT发送到仲裁中心。

生成陷门模块13，用于根据输入的所述私钥SK和待搜索关键字

生成陷门TD。

在本实施例中，所述生成陷门模块13具体用于：

输入所述私钥SK以及待搜索关键字

其中，所述关键字

表示用户想要搜索包含关键字

的加密健康记录；生成陷门

搜索匹配模块14，用于根据所述陷门TD并利用搜索算法搜索匹配的健康记录。

在本实施例中，所述搜索匹配模块14具体用于：

以索引密文CI、验证信息VI和所述陷门TD作为输入以检验等式H₂(e(TD,C′_i))＝C_i(i＝1,2,…,t)是否成立；

若成立，则搜索到与所述陷门TD相匹配的桶b_i以及相应的用户健康记录CD(w_i)，并返回搜索结果{b_i,CD(w_i)}以及验证信息{φ，CBF,σ_MHT}给用户；

若不成立，则没有找到匹配的用户健康记录，并仅返回验证信息{φ，CBF}给用户。

搜索结果验证模块15，用于根据验证信息检查搜索结果的完整性。

在本实施例中，所述搜索结果验证模块15具体用于：

当搜索结果为空集合时，返回验证信息{φ，CBF}给用户作为证明，用户使用CBF验证搜索结果的完全性；检查是否存在至少一个等式

如果是，则验证过程终止并输出0；否则，用户向仲裁中心发送

根据算法2，仲裁中心可以决定

是否属于IBLT。如果IBLT中没有包含

仲裁中心返回null。否则，发送(count,valueSum,hashvalueSum)给用户。

当搜索结果不为空集合时，首先检查搜索结果的完全性以确保所有匹配的用户健康记录已被返回，计算

并检查所有相应位置的最小计数是否等于返回的个数，如果是，则验证搜索结果的正确性。首先，用户检查等式

是否成立；如果没有，则该过程终止。否则，可以应用从MHT中目标叶子节点到其根节点的路径上获得的兄弟节点重新生成m_R。也就是说，用户可以使用

的哈希链生成m_R。然后，计算e(σ_MHT,g)＝e(H₁(m_R),φ)以检查m_R的正确性，从而验证了搜索结果的正确性。

如果相应位置的最低计数不等于返回的个数，则需要仲裁中心的介入。用户向仲裁中心发送

仲裁中心运行算法2并返回(count,valueSum,hashvalueSum)给用户。用户检查返回的个数是否等于count，返回的标识符的总和是否等于valueSum，返回的标识符的哈希值的和是否等于hashvalueSum。如果是这样，那么医疗健康服务器返回正确的结果。

在本实施例中，各个模块中的处理流程分别和前述方法步骤中的步骤一一对应，在此不做重复描述。

本发明提供的一种密文搜索结果验证系统10，支持搜索结果验证，能对搜索结果的完全性与正确性进行验证，既保证用户健康数据的隐私，又能对用户健康数据进行高效处理。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种密文搜索结果验证方法，其特征在于，所述方法包括：

系统初始化步骤：根据输入的系统安全参数κ生成系统的公钥PK和私钥SK；

所述系统初始化步骤包括：输入系统安全参数κ，选择一个阶为素数p、生成元为g的双线性群G₀，其中，e:G₀×G₀→G_T表示双线性映射；

定义两个哈希函数H₁:{0，1}^*→G₀和H₂:G_T→{0，1}^p；

随机选择计算

计算A＝g^α；

生成系统的公钥PK＝{G₀,H₁,H₂,g,A＝g^α}和私钥SK＝{α}；

索引生成和验证信息生成步骤：利用公钥加密算法对从健康记录提取的关键字建立索引，利用可逆的布隆查找表和Merkle哈希树生成验证信息；

所述索引生成和验证信息生成步骤包括：

在将l个用户健康记录D＝{d₁,…,d_l}上传到医疗健康服务器之前，向每个记录d_j分配一个标识符id_j(j＝1,…,l)，并从D中提取t个关键字W＝{w₁,…,w_t}，然后使用对称加密算法对上传的用户健康记录进行加密，加密的健康记录表示为C＝{c₁,…,c_l}，其中c_i是d_i的密文，i＝1,…,l，令表示与关键词w_j相关联的标识符集，CD(w_j)表示与存储在D(w_j)中的标识符相关的密文，对于每个关键字w_j∈W，数据属主将D(w_j)添加到对应于w_j的密文的桶b_j；

构造可逆的布隆查找表(IBLT)和Merkle哈希树(MHT)以实现搜索结果的可验证性，定义以下抗碰撞的哈希函数：(1)h₀:{0,1}^*→[1,l]将任何用二进制表示的关键字映射到[1,l]；(2)h₁,…,h_k:[1,l]→[1,m]将[1,l]中的任一整数映射到IBLT中的k个不同区域，其中m是IBLT的长度；(3)h:[1,l]→[1,l²]；(4)h′:{0,1^*}→{0,1}²⁵⁶，另外，IBLT将(x,y)映射到其单元格上，这些单元格包括以下四个域，这些域都被初始化为0：

·count域，用于对映射到该单元格的条目数进行计数；

·keySum域，存储映射到该单元格的x的总和；

·valueSum域，存储映射到该单元格的y的总和；

·hashvalueSum域，用于存储映射到该单元格的所有h(y)之和；

其中，count域也称为计数布隆滤波器(CBF)；

该步骤包括两个子算法：索引生成子算法IndGen和验证信息生成子算法VerInfGen：

IndGen(PK,W)→CI，索引生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入，对每个关键字w_i，随机选择s_i∈Z_p，计算

和

其中，i＝1,2,…,t，输出索引密文CI＝{C_i′,C_i}_{i＝1,2,…,t}；

VerInfGen(PK,W)→VI，验证信息生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入；

对于每个w_i，计算ζ_i＝h₀(w_i)，并将所有(ζ_i,id_j)(id_j∈D(w_i))对插入IBLT，其中i＝1,…,t，为每个w_i计算

其中υ是CD(w_i)中加密的健康记录的数量；

以及i＝1,…,t，所有的m_i(i＝1,…,t)被视为叶子节点来创建MHT，MHT的根表示为m_R；

然后通过运行BLS短签名算法对m_R进行签名，选择随机数τ∈Z_p并计算φ＝g^τ，然后生成MHT签名σ_MHT为σ_MHT＝H₁(m_R)^τ；

最后生成的验证信息VI为VI＝{CBF,m₁,m₂,…,m_t,φ,σ_MHT}；

并将所述验证信息VI与索引密文CI一起发送给医疗保健服务器，同时，将IBLT发送到仲裁中心；

生成陷门步骤：根据输入的所述私钥SK和待搜索关键字生成陷门TD；

所述生成陷门步骤包括：输入所述私钥SK以及待搜索关键字

其中，所述关键字

表示用户想要搜索包含关键字

的加密健康记录；

搜索匹配步骤：根据所述陷门TD并利用搜索算法搜索匹配的健康记录；

搜索结果验证步骤：根据验证信息检查搜索结果的完整性；

当搜索结果不为空集合时，首先检查搜索结果的完全性以确保所有匹配的用户健康记录已被返回，计算

并检查所有相应位置的最小计数是否等于返回的个数；如果是，则验证搜索结果的正确性，其中，首先，用户检查等式h′

是否成立，如果没有，则该过程终止，否则使用

的哈希链生成m_R，然后，计算e(σ_MHT,g)＝e(H₁(m_R),φ)以检查m_R的正确性，从而验证了搜索结果的正确性；

如果相应位置的最小计数不等于返回的个数，则需要仲裁中心的介入，用户向仲裁中心发送

仲裁中心返回(count,valueSum,hashvalueSum)给用户，用户检查返回的个数是否等于count，返回的标识符的总和是否等于valueSum，返回的标识符的哈希值的和是否等于hashvalueSum，如果等于，那么医疗健康服务器返回正确的结果。

2.如权利要求1所述的密文搜索结果验证方法，其特征在于，所述生成陷门步骤还包括：

生成陷门

3.如权利要求2所述的密文搜索结果验证方法，其特征在于，所述搜索匹配步骤包括：

以索引密文CI、验证信息VI和所述陷门TD作为输入以检验等式H₂(e(TD,C_i′))＝C_i(i＝1,2,…,t)是否成立；

若成立，则搜索到与所述陷门TD相匹配的桶b_i以及相应的用户健康记录CD(w_i)，并返回搜索结果{b_i,CD(w_i)}以及验证信息{φ，CBF,σ_MHT}给用户；

若不成立，则没有找到匹配的健康记录，仅返回验证信息{φ，CBF}给用户。

4.如权利要求3所述的密文搜索结果验证方法，其特征在于，所述搜索结果验证步骤包括：

当搜索结果为空集合时，返回验证信息{φ，CBF}给用户作为证明，用户使用CBF验证搜索结果的完全性；检查是否存在至少一个等式

如果是，则验证过程终止并输出0；否则，用户向仲裁中心发送

由仲裁中心决定

是否属于IBLT，如果IBLT中没有包含

仲裁中心返回null，否则发送(count,valueSum,hashvalueSum)给用户。

5.一种密文搜索结果验证系统，其特征在于，所述系统包括：

系统初始化模块，用于根据输入的系统安全参数κ生成系统的公钥PK和私钥SK；

所述系统初始化模块具体用于：输入系统安全参数κ，选择一个阶为素数p、生成元为g的双线性群G₀，其中，e:G₀×G₀→G_T表示双线性映射；

定义两个哈希函数H₁:{0，1}^*→G₀和H₂:G_T→{0，1}^p；

随机选择计算

计算A＝g^α；

生成系统的公钥PK＝{G₀,H₁,H₂,g,A＝g^α}和私钥SK＝{α}；

索引生成和验证信息生成模块，利用公钥加密算法对从健康记录提取的关键字建立索引，利用可逆的布隆查找表和Merkle哈希树生成验证信息；

所述索引生成和验证信息生成模块具体用于：

在将l个用户健康记录D＝{d₁,…,d_l}上传到医疗健康服务器之前，向每个记录d_j分配一个标识符id_j(j＝1,…,l)，并从D中提取t个关键字W＝{w₁,…,w_t}，然后使用对称加密算法对上传的用户健康记录进行加密，加密的健康记录表示为C＝{c₁,…,c_l}，其中c_i是d_i的密文，i＝1,…,l，令表示与关键词w_j相关联的标识符集，CD(w_j)表示与存储在D(w_j)中的标识符相关的密文，对于每个关键字w_j∈W，数据属主将D(w_j)添加到对应于w_j的密文的桶b_j；

构造可逆的布隆查找表(IBLT)和Merkle哈希树(MHT)以实现搜索结果的可验证性，定义以下抗碰撞的哈希函数：(1)h₀:{0,1}^*→[1,l]将任何用二进制表示的关键字映射到[1,l]；(2)h₁,…,h_k:[1,l]→[1,m]将[1,l]中的任一整数映射到IBLT中的k个不同区域，其中m是IBLT的长度；(3)h:[1,l]→[1,l²]；(4)h′:{0,1^*}→{0,1}²⁵⁶，另外，IBLT将(x,y)映射到其单元格上，这些单元格包括以下四个域，这些域都被初始化为0：

·count域，用于对映射到该单元格的条目数进行计数；

·keySum域，存储映射到该单元格的x的总和；

·valueSum域，存储映射到该单元格的y的总和；

·hashvalueSum域，用于存储映射到该单元格的所有h(y)之和；

其中，count域也称为计数布隆滤波器(CBF)；

所述索引生成与验证信息模块包括两个子算法：索引生成子算法IndGen和验证信息生成子算法VerInfGen：

IndGen(PK,W)→CI，索引生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入，对每个关键字w_i，随机选择s_i∈Z_p，计算

和

其中，i＝1,2,…,t，输出索引密文CI＝{C_i′,C_i}_{i＝1,2,…,t}；

VerInfGen(PK,W)→VI，验证信息生成算法将公钥PK和关键字集合W＝{w₁,…,w_t}作为输入；

对于每个w_i，计算ζi＝h₀(w_i)，并将所有(ζ_i,id_j)(id_j∈D(w_i))对插入IBLT，其中i＝1,…,t，为每个w_i计算

其中υ是CD(w_i)中加密的健康记录的数量；

以及i＝1,…,t，所有的m_i(i＝1,…,t)被视为叶子节点来创建MHT，MHT的根表示为m_R；

然后通过运行BLS短签名算法对m_R进行签名，选择随机数τ∈Z_p并计算φ＝g^τ，然后生成MHT签名σ_MHT为σ_MHT＝H₁(m_R)^τ；

最后生成的验证信息VI为VI＝{CBF,m₁,m₂,…,m_t,φ,σ_MHT}；

并将所述验证信息VI与索引密文CI一起发送给医疗保健服务器，同时，将IBLT发送到仲裁中心；

生成陷门模块，用于根据输入的所述私钥SK和待搜索关键字生成陷门TD；

所述生成陷门模块具体用于：输入所述私钥SK以及待搜索关键字

其中，所述关键字

表示用户想要搜索包含关键字

的加密健康记录；

搜索匹配模块，用于根据所述陷门TD并利用搜索算法搜索匹配的健康记录；

搜索结果验证模块，用于根据验证信息检查搜索结果的完整性；

当搜索结果不为空集合时，首先检查搜索结果的完全性以确保所有匹配的用户健康记录已被返回，计算

并检查所有相应位置的最小计数是否等于返回的个数；如果是，则验证搜索结果的正确性，其中，首先，用户检查等式

是否成立，如果没有，则该过程终止，否则使用

的哈希链生成m_R，然后，计算e(σ_MHT,g)＝e(H₁(m_R),φ)以检查m_R的正确性，从而验证了搜索结果的正确性；

如果相应位置的最小计数不等于返回的个数，则需要仲裁中心的介入，用户向仲裁中心发送

仲裁中心返回(count,valueSum,hashvalueSum)给用户，用户检查返回的个数是否等于count，返回的标识符的总和是否等于valueSum，返回的标识符的哈希值的和是否等于hashvalueSum，如果等于，那么医疗健康服务器返回正确的结果。

6.如权利要求5所述的密文搜索结果验证系统，其特征在于，所述生成陷门模块具体还用于：

生成陷门

7.如权利要求6所述的密文搜索结果验证系统，其特征在于，所述搜索匹配模块具体用于：

以索引密文CI、验证信息VI和所述陷门TD作为输入以检验等式H₂(e(TD,C_i′))＝C_i(i＝1,2,…,t)是否成立；

若成立，则搜索到与所述陷门TD相匹配的桶b_i以及相应的用户健康记录CD(w_i)，并返回搜索结果{b_i,CD(w_i)}以及验证信息{φ，CBF,σ_MHT}给用户；

若不成立，则没有找到匹配的健康记录，仅返回验证信息{φ，CBF}给用户。

8.如权利要求7所述的密文搜索结果验证系统，其特征在于，所述搜索结果验证模块具体用于：

当搜索结果为空集合时，返回验证信息{φ，CBF}给用户作为证明，用户使用CBF验证搜索结果的完全性；检查是否存在至少一个等式

如果是，则验证过程终止并输出0；否则，用户向仲裁中心发送

由仲裁中心决定

是否属于IBLT，如果IBLT中没有包含

仲裁中心返回null，否则发送(count,valueSum,hashvalueSum)给用户。

Images