CN108599937B - 一种多关键字可搜索的公钥加密方法 - Google Patents

Abstract

本发明提出了一种支持多关键字搜索的公钥加密方法用于解决现有多关键字可搜索的公钥加密方法中存在的密文关键字计算过程复杂的技术问题，实现步骤包括：(1)可信第三方设定公共参数；(2)数据拥有者设置存储文件的关键字字段、关键字向量和查询格式；(3)可信第三方计算云存储服务器和数据共享者的密钥并分发；(4)数据拥有者对明文关键字向量中的明文关键字进行加密并发送；(5)数据共享者计算明文关键字向量中的明文关键字的陷门信息并发送；(6)云存储服务器搜索密文集合中的密文关键字，并将搜索到的密文关键字发送给数据共享者。本发明可在公开信道下传输关键字的密文信息和陷门信息，且抵抗关键字猜测攻击。

Description

一种多关键字可搜索的公钥加密方法

技术领域

本发明属于数据加密技术领域，具体涉及一种多关键字可搜索的公钥加密方法，可用于在云存储环境中实现高效密文检索。

背景技术

随着云计算技术的出现，计算机以及互联网技术已经达到了新的高度，人们在享受互联网在数据存储、数据传输带来便捷的同时也在担心着数据遭受窃取泄露的风险。近些年来云计算技术得到了迅速发展，云计算的种种安全性问题也不断涌现，存储在云端的数据经常遭到来自服务器内部以及外部恶意攻击者的攻击，尽管许多安全专家提供了保护数据隐私的措施，但是存储数据量的逐渐增大，数据类型逐渐变多对数据的保护以及数据安全搜索提出了更高的要求，因此必须将隐私数据进行加密处理后存储在云平台，然而对数据加密后使得在海量密文文件中搜索特定的文件变得极为困难。根据使用密码体制的不同，可搜索加密分为基于对称密码体制加密和公钥密码体制加密，基于公钥的可搜索加密中使用到了数据共享者的公钥，数据拥有者不需要与数据共享者协商密钥。与基于对称密码体制的可搜索加密，应用场景更为广阔。

现有的技术方案中，授权公告号为CN104852801B名称为“一种可搜索的公钥加密方法”，公开了一种支持多个接收者的公钥加密方案，其实现步骤是：初始化数据拥有者、接收者和云服务器运行环境；数据拥有者定义一个接收者集合，并为选取数据文件的关键字加密；对数据文件加密与加密的关键字存放在云服务器上；数据拥有者为接收者发送一个保密陷门；接收者利用关键字陷门生成算法将关键字陷门发送给云服务器；服务器根据接收者提供的关键字陷门使用测试算法找出相应的关键字密文。该方法支持多个接收者进行可搜索公钥加密，保护指定接收者的成员隐私，但对于一个包含m个关键字的文件，必须计算2^m-1个密文关键字才能满足数据共享者的搜索需求，由于关键字密文的数量呈指数级增长，使得密文关键字计算过程复杂，并且需要更大的存储空间来存储密文关键字。

发明内容

本发明的目的在于克服上述技术中存在的缺陷，提出了一种多关键字可搜索的公钥加密方法，用于解决现有多关键字可搜索的公钥加密方法中存在的密文关键字计算过程复杂的技术问题。

本发明的技术思路是：可信第三方为云存储服务器以及数据共享者分发密钥，并计算公共参数；数据拥有者对文件的明文关键字加密并上传云存储服务器；云服务器存储数据拥有者存储的文件密文以及关键字密文集合；数据共享者根据关键字生成陷门信息发送给云存储服务器；云存储服务器收到陷门信息后对存储在其中的密文进行搜索，只有当数据共享者搜索的关键字与服务器存储的关键字密文匹配时才能返回相应的密文关键字。

根据上述技术思路，实现本发明目的采取的技术方案包含步骤如下：

(1)可信第三方设定公共参数cp：

可信第三方设定公共参数cp，包括群G₁、G₁的生成元为P、G₁的阶为q、群G₂、群G₁的双线性映射e、哈希函数H₁和哈希函数H₂；

(2)数据拥有者设置存储文件的关键字字段、关键字向量和查询格式：

数据拥有者设置存储文件的关键字字段Att_m以及与Att_m对应的明文关键字向量

并根据Att_m和

设置存储文件的查询格式QU；

(3)可信第三方计算云存储服务器和数据共享者的密钥并分发：

(3a)可信第三方通过公共参数cp中群G₁、G₁的生成元P和G₁的阶q，计算云存储服务器的公钥pk_S和私钥sk_S，并将sk_S发送给云存储服务器，同时将pk_S发送给数据拥有者和数据共享者；

(3b)可信第三方通过公共参数cp中的群G₁的生成元P和G₁的阶q，计算数据共享者的公钥pk_R和私钥sk_R，并将sk_R发送给数据共享者，同时将pk_R发送给数据拥有者；

(4)数据拥有者对明文关键字向量

中的明文关键字进行加密并发送：

(4a)数据拥有者通过云存储服务器的公钥pk_S和数据共享者的公钥pk_R，对明文关键字向量

中的每一个明文关键字进行加密，得到密文关键字集{t₁,t₂,...t_m}；

(4b)数据拥有者通过数据共享者的公钥pk_R和群G₁的生成元P，计算密文关键字集的四个信息分量U、V、B和C，得到密文集合R＝{t₁,t₂,...t_m,U,V,B,C}，并将R发送给云存储服务器；

(5)数据共享者计算明文关键字向量

中的明文关键字的陷门信息Trap并发送：

(5a)数据共享者根据存储文件的关键字字段Att_m和查询格式QU的要求，从明文关键字向量

中选择n个明文关键字Ω₁,Ω₂,...Ω_n，并通过公共参数cp中的哈希函数H₁、双线性映射e、数据共享者的私钥sk_R、云存储服务器公钥pk_S和选择的随机数

计算n个明文关键字Ω₁,Ω₂,...Ω_n的陷门信息分量T_w1；

(5b)数据共享者通过自己的私钥sk_R、公共参数cp中的哈希函数H₁和选择的随机数

计算n个明文关键字Ω₁,Ω₂,...Ω_n的陷门信息分量T_w2，并将明文关键字Ω₁,Ω₂,...Ω_n在关键字字段中I₁,I₂,...I_n，以及T_w1和T_w2作为明文关键字Ω₁,Ω₂,...Ω_n的陷门信息Trap＝{T_w1,T_w2,I₁,I₂,...I_n}，发送给云存储服务器；

(6)云存储服务器搜索密文集合R中的密文关键字，并将搜索结果发送给数据共享者：

(6a)云存储服务器根据Trap中明文关键字Ω₁,Ω₂,...Ω_n在关键字字段中的位置信息I₁,I₂,...I_n，从密文集合R中搜索对应位置的n个密文关键字

并计算密文关键字

的验证中间值T′；

(6b)云存储服务器通过公钥pk_S、私钥sk_S、密文集合R中密文关键字集的信息分量C以及公共参数cp中的双线性映射e，计算n个密文关键字

的验证中间值t′；

(6c)云存储服务器通过验证中间值T′与验证中间值t′以及R中密文关键字集的信息分量U和V，验证H₂[e(T_w,V)]＝H₂[T″·e(T_w2,U)]是否成立，若是，则搜索成功，并将密文关键字

发送给数据共享者，否则搜索密文关键字失败。

本发明与现有技术相比，具有如下优点：

1.本发明中与现有技术相比，现有技术中一个包含m个关键字的文件，需要计算2^{m -1}个密文关键字才能满足数据共享者的搜索需求，密文关键字数量呈指数级增长，本发明中简化了密文关键字计算过程，只需要m个密文关键字就可以满足搜索需求。

2.本发明与现有技术相比，现有技术中向云存储服务器发送密文关键字和关键字陷门信息需要在安全信道下进行，本发明中数据拥有者在计算关键字密文时使用了云存储服务器的公钥，使得密文关键字以及关键字的陷门信息可以在公开信道下传输，由于无法获取云存储服务器的私钥，外部攻击者即使拥有密文关键字和陷门信息也不能执行检测算法。

3.本发明与现有技术相比，现有技术中同一个关键字的陷门信息是唯一确定的，攻击者统计关键字陷门信息并对陷门信息包含的关键字进行猜测，本发明中在数据拥有者计算关键字陷门信息时，使用了云存储服务器的公钥和随机数，使得陷门信息满足密文不可区分性，攻击者无法对陷门信息包含的关键字进行离线猜测攻击。

4.本发明与现有技术相比，现有技术中当云服务器收到关键字陷门信息时，才执行关键字搜索过程，本发明中当数据共享者离线不进行搜索时，云存储服务器可以预先计算搜索需要的匹配中间值，当云存储服务器收到陷门信息时，通过匹配中间值简化了计算过程提高了搜索运算效率。

附图说明

图1是本发明适用的公钥加密系统的结构图；

图2是本发明的实现流程图。

具体实施方式

下面结合附图和具体实施例，对本发明作进一步详细描述；

参照图1，本发明适用的多关键字搜索的公钥加密方法的系统，包括云存储服务器、可信第三方、数据拥有者、数据共享者；其中可信第三方为云存储服务器以及数据共享者分发密钥，并计算公共参数；数据拥有者对文件的明文关键字加密并上传云存储服务器；云存储服务器用于存储数据拥有者上传的文件以及关键字密文集合，以及执行密文搜索过程；数据共享者根据关键字生成陷门信息发送给云存储服务器，云存储服务器在密文环境下进行搜索关键字；

参照图2，一种多关键字可搜索的公钥加密方法，包括如下步骤：

步骤1)可信第三方设定公共参数：

步骤1a)可信第三方设定群G₁、G₁的阶q和群G₁的生成元P：

步骤1a1)选择不小于2^k的最小的素数q，k为大于等于1的自然数；

步骤1a2)选择长度大于k、值大于q且与q互素的最小素数p，构成循环群

步骤1a3)选择

中所有满足式α^q≡1modp的元素α，构成群G₁；；

步骤1a4)可信第三方选择群G₁的生成元P：从循环群

随机选取元素β，若β满足式

则将β作为群G₁的生成元P；否则重新选取

中另一个元素，直到式

成立为止；

步骤1b)可信第三方选择双线性映射e：选择一个满足双线性、非退化性和可计算性的双线性映射；

步骤1b1)双线性指对任意P,Q,R∈G₁和a,b∈Z，满足式e(aP,bQ)＝e(P,Q)^ab或满足式e(P+Q,R)＝e(P,R)·e(Q,R)和式e(P,Q+R)＝e(P,Q)·e(P,R)；

步骤1b2)非退化性指当群G₁和群G₂的阶数为素数时，若G₁的生成元是P，则G₂的生成元可由e(P,P)计算得到；

步骤1b3)可计算性指对任意的P,Q∈G₁，在多项式时间内可以计算得到结果e(P,Q)；

步骤1c)可信第三方设定群G₂：

步骤1c1)使用群G₁的生成元P，并根据双线性映射e性质中的的可计算性和非退化性，计算得到群G₂的生成元e(P,P)，表示为g＝e(P,P)；

步骤1c2)计算生成元g的幂次方g^a，所有满足式g^a≡1modp的g^a构成群G₂，其中1≤a≤q；

步骤1d)可信第三方选择哈希函数H₁：选择映射过程为{0,1}^*→G₁的哈希函数；

步骤1e)可信第三方选择哈希函数H₂：选择映射过程为G₂→{0,1}^k的哈希函数。

步骤2)数据拥有者设置存储文件的关键字字段、关键字向量和查询格式：

关键字字段Att_m包括m个关键字字段，每个关键字字段包含一个明文关键字；

关键字向量

包括与Att_m中m个关键字字段对应的明文关键字W_i,1,W_i,2,...W_i,m，其中i表示第i个存储文件；

查询格式QU包括明文关键字W_i,1,W_i,2,...W_i,m中的待搜索明文关键字以及待搜索明文关键字在关键字字段Att_m中的位置信息I₁,I₂.,..I_m，且1≤I₁,I₂,...I_m≤m。

步骤3)可信第三方计算云存储服务器和数据共享者的密钥并分发：

步骤3a1)可信第三方将公共参数cp作为作为云存储服务器的第一个私钥分量，选择一个小于群G₁阶q的正随机数x，将x作为云存储服务器的第二个私钥分量，将cp和x构成的元组作为云存储服务器的私钥sk_S＝{cp,x}；

步骤3a2)可信第三方将公共参数cp作为云存储服务器的第一个公钥分量，去除群G₁中的零元，得到群

从

中选择随机数Q，将Q作为云存储服务器的第二个公钥分量，并通过私钥分量x和G₁的生成元P，计算云存储服务器的第三个公钥分量X，将cp、Q和X构成的元组作为云存储服务器的公钥pk_S＝{cp,Q,X}，

X的计算公式为：

X＝xP

步骤3a3)将sk_S发送给云存储服务器，同时将pk_S发送给数据拥有者和数据共享者；

步骤3b1)可信第三方将cp作为数据共享者的第一个私钥分量，并选择两个小于群G₁阶q的正随机数s₁和s₂，分别作为数据共享者的第二个私钥分量和第三个私钥分量，将cp、s₁和s₂构成的元组作为数据共享者的私钥sk_R＝{cp,s₁,s₂}；

步骤3b2)可信第三方通过s₁、s₂和群G₁的生成元P，计算数据共享者的第一个公钥分量Y₁、第二个公钥分量Y₂和第三个公钥分量Y₃，取值1,2,...P构成群Z_P＝{1,2,...P}，从Z_P选择随机数Y₄，并将Y₄作为数据共享者的第四个公钥分量，将云存储服务器的公钥pk_S作为数据共享者的第五个公钥分量，将Y₁、Y₂、Y₃、Y₄和pk_S构成的元组作为数据共享者的公钥pk_R＝{Y₁,Y₂,Y₃,Y₄,pk_S}，Y₄∈Z_P，Y₁、Y₂和Y₃计算分别公式为：

Y₁＝s₁P

Y₂＝s₂P

Y₃＝s₁s₂P

步骤3b3)将sk_R发送给数据共享者，同时将pk_R发送给数据拥有者；

步骤4)数据拥有者对关键字向量

中的明文关键字加密并发送：

步骤4a)数据拥有者通过云存储服务器的公钥pk_S中公钥分量Q和X、数据共享者的公钥pk_R中公钥分量Y₁，对向量

中的每一个明文关键字进行加密，得到密文关键字集{t₁,t₂,...t_m}；计算公式为：

t_j＝e(H₁(W_i,j),rY₁)e(rQ,X)

其中，e表示公共参数cp中的双线性映射，H₁表示公共参数cp中的哈希函数，W_i,j表示第i个存储文件中的第j个明文关键字，r表示一个小于群G₁阶q的正随机数。

步骤4b)数据拥有者通过数据共享者的公钥pk_R中的公钥分量Y₁、Y₂、Y₃和Y₄以及群G₁的生成元P，计算密文关键字集的四个信息分量U、V、B和C，并将密文集合R＝{t₁,t₂,...t_m,U,V,B,C}发送给云存储服务器，计算公式分别为：

B＝rY₂

C＝rP

U＝rY₂+rPY₄

V＝rY₃+rY₁Y₄

其中，r表示一个小于群G₁阶q的正随机数；

步骤5)数据共享者计算明文关键字的陷门信息并发送：

步骤5a1)数据共享者根据存储文件的关键字字段Att_m和查询格式QU的要求，从明文关键字向量

中选择n个明文关键字Ω₁,Ω₂,...Ω_n，并通过公共参数cp中的哈希函数H₁、数据共享者的私钥sk_R中的第二个私钥分量s₁和第三个私钥分量s₂、云存储服务器公钥pk_S中的第四个公钥分量Y₄计算n个明文关键字Ω₁,Ω₂,...Ω_n的陷门信息中间值T₁，计算公式为：

其中，p是大于群G₁阶数q的最小素数，mod表示取模运算；

步骤5a2)数据共享者通过公共参数cp中的哈希函数H₁、双线性映射e、私钥sk_R中的第二个私钥分量s₁、云存储服务器的公钥pk_S的第二个公钥分量Q和第三个公钥分量X以及T₁，计算n个明文关键字Ω₁,Ω₂,...Ω_n的陷门信息分量T_w1；计算公式为：

其中，

表示s₁的乘法逆元，

表示任意长度的二进制随机数，

示异或运算。

步骤5b)数据共享者通过私钥sk_R的第二个私钥分量s₁、公共参数cp中的哈希函数H₁和a～计算得到陷门信息分量T_w2，并将明文关键字Ω₁,Ω₂,...Ω_n在关键字字段中位置信息I₁,I₂,...I_n，以及T_w1和T_w2作为明文关键字的陷门信息Trap＝{T_w1,T_w2,I₁,I₂,...I_n}发送给云存储服务器，计算公式为：

步骤6)云存储服务器执行验证过程并返回结果：

步骤6a)云存储服务器通过关键字陷门信息Trap和查询格式QU，从密文集合R中选择对应位置的密文关键字，计算得到第一个验证中间值T′，计算公式为：

其中，

表示从密文集合R中选择的n个密文关键字的乘积，e表示公共参数cp中的双线性映射，

表示存储文档的n个关键字，r表示一个小于群G₁阶q的正随机数，Y₁表示数据共享者的第一个公钥分量，Q表示云存储服务器的第二个公钥分量，X表示云存储服务器的第三个公钥分量；

步骤6b)云存储服务器根据关键字陷门信息Trap得到从密文集合R中选择的关键字的个数n，通过公钥pk_S中的公钥分量Q、私钥sk_S中第二个私钥分量s₁、密文集合R中密文关键字集的信息分量C和公共参数cp中的双线性映射e计算得到第二个验证中间值t′，计算公式为：

t′＝e(xQ,C)^-n

步骤6c1)云存储服务器计算验证中间值T′和t′，通过T′和t′计算第一个待验证值T″，计算公式为：

其中，e表示公共参数cp中的双线性映射，

表示存储文档的n个关键字，r表示一个小于群G₁阶q的正随机数，Y₁表示数据共享者的公钥分量；

步骤6c2)云存储服务器对第一个验证值T″的计算公式进行化简：

当n个明文关键字中的每个关键字Ω_i和存储文档中的对应位置的关键字

相等时，云存储服务器将待验证值T″的计算公式化简为：

其中，e表示公共参数cp中的双线性映射，H₁表示公共参数cp中的哈希函数，r表示一个小于群G₁阶q的正随机数，Y₁表示数据共享者的第一个公钥分量，s₁表示数据共享者的第二个私钥分量，P表示群G₁的生成元，T₁表示n个关键字Ω₁,Ω₂,...Ω_n的陷门信息中间值，B和C表示密文集合R中密文关键字集的信息分量，Y₄表示数据共享者的第四个公钥分量；

步骤6c3)云存储服务器计算第二个待验证值T_w，计算公式为：

其中，T_w1表示明文关键字的陷门信息Trap的陷门信息分量，

表示异或运算，H₁表示公共参数cp中的哈希函数，e表示公共参数cp中的双线性映射，x云存储服务器的第二个私钥分量，Q表示云存储服务器的第二个公钥分量，Y₁表示数据共享者的公钥分量；

步骤6c4)云存储服务器验证式H₂[e(T_w,V)]＝H₂[T″·e(T_w2,U)]是否成立：

云存储服务器计算H₂[e(T_w,V)]和H₂[T″·e(T_w2,U)]两个值，计算公式为：

并比较两个值是否相等；若式H₂[e(T_w,V)]＝H₂[T″·e(T_w2,U)]成立表示搜索成功，返回密文关键字

给数据共享者；

其中H₁和H₂分别表示公共参数cp中的哈希函数，e表示公共参数cp中的双线性映射，T_w2表示n个明文关键字Ω₁,Ω₂,...Ω_n的陷门信息分量，U、V、B和C表示密文集合R中密文关键字集的信息分量，

表示数据共享者的第二个私钥分量s₁的乘法逆元，r表示一个小于群G₁阶q的正随机数，

表示任意长度的二进制随机数，P表示群G₁的生成元，T₁表示n个关键字Ω₁,Ω₂,...Ω_n的陷门信息中间值，Y₁表示数据共享者的第一个公钥分量、Y₂表示数据共享者的第二个公钥分量、Y₃表示数据共享者的第三个公钥分量，Y₄表示数据共享者的第四个公钥分量。

Claims (10)

1.一种多关键字可搜索的公钥加密方法，其特征在于，包括以下步骤：

(1)可信第三方设定公共参数cp：

可信第三方设定公共参数cp，包括群G₁、G₁的生成元为P、G₁的阶为q、群G₂、群G₁的双线性映射e、哈希函数H₁和哈希函数H₂；

(2)数据拥有者设置存储文件的关键字字段、关键字向量和查询格式：

数据拥有者设置存储文件的关键字字段Att_m以及与Att_m对应的明文关键字向量

并根据Att_m和

设置存储文件的查询格式QU，其中，m表示关键字字段的个数，i表示第i个存储文件；

(3)可信第三方计算云存储服务器和数据共享者的密钥并分发：

(3a)可信第三方通过公共参数cp中群G₁、G₁的生成元P和G₁的阶q，计算云存储服务器的公钥pk_S和私钥sk_S，并将sk_S发送给云存储服务器，同时将pk_S发送给数据拥有者和数据共享者；

(3b)可信第三方通过公共参数cp中的群G₁的生成元P和G₁的阶q，计算数据共享者的公钥pk_R和私钥sk_R，并将sk_R发送给数据共享者，同时将pk_R发送给数据拥有者；

(4)数据拥有者对明文关键字向量

中的明文关键字进行加密并发送：

(4a)数据拥有者通过云存储服务器的公钥pk_S和数据共享者的公钥pk_R，对明文关键字向量

中的每一个明文关键字进行加密，得到密文关键字集{t₁,t₂,...t_m}；

(4b)数据拥有者通过数据共享者的公钥pk_R和群G₁的生成元P，计算密文关键字集的四个信息分量U、V、B和C，得到密文集合R＝{t₁,t₂,...t_m,U,V,B,C}，并将R发送给云存储服务器；

(5)数据共享者计算明文关键字向量

中的明文关键字的陷门信息Trap并发送：

(5a)数据共享者根据存储文件的关键字字段Att_m和查询格式QU的要求，从明文关键字向量

中选择n个明文关键字Ω₁,Ω₂,...Ω_n，并通过公共参数cp中的哈希函数H₁、双线性映射e、数据共享者的私钥sk_R、云存储服务器公钥pk_S和选择的随机数

计算n个明文关键字Ω₁,Ω₂,...Ω_n的陷门信息分量T_w1；

(5b)数据共享者通过自己的私钥sk_R、公共参数cp中的哈希函数H₁和选择的随机数

计算n个明文关键字Ω₁,Ω₂,...Ω_n的陷门信息分量T_w2，并将明文关键字Ω₁,Ω₂,...Ω_n在关键字字段中的位置信息I₁,I₂,...I_n，以及T_w1和T_w2作为明文关键字Ω₁,Ω₂,...Ω_n的陷门信息Trap＝{T_w1,T_w2,I₁,I₂,...I_n}，发送给云存储服务器；

(6)云存储服务器搜索密文集合R中的密文关键字，并将搜索结果发送给数据共享者：

(6a)云存储服务器根据Trap中明文关键字Ω₁,Ω₂,...Ω_n在关键字字段中的位置信息I₁,I₂,...I_n，从密文集合R中搜索对应位置的n个密文关键字

并计算密文关键字

的验证中间值T′；

(6b)云存储服务器通过公钥pk_S、私钥sk_S、密文集合R中密文关键字集的信息分量C以及公共参数cp中的双线性映射e，计算n个密文关键字

的验证中间值t′；

(6c)云存储服务器通过验证中间值T′与验证中间值t′以及R中密文关键字集的信息分量U和V，验证H₂[e(T_w,V)]＝H₂[T″·e(T_w2,U)]是否成立，若是，则搜索成功，并将密文关键字

发送给数据共享者，否则搜索密文关键字失败，其中，T″和T_w分别表示云存储服务器计算的第一个待验证值和第二个验证值。

2.根据权利要求1所述的一种多关键字可搜索的公钥加密方法，其特征在于，步骤(1)所述的可信第三方设定公共参数cp，实现方法为；

(1a)可信第三方设定群G₁、G₁的阶q和群G₁的生成元P：选择一个长度为k的素数q作为群G₁的阶，选择大于q的最小素数p，取值1,2,...p-1构成循环群

选择

中所有满足式α^q≡1modp的元素α，构成群G₁，选择满足式

元素β，将β作为群G₁的生成元P，其中k表示大于1的自然数；

(1b)可信第三方设定双线性映射e：选择满足双线性、非退化性和可计算性的映射，作为群G₁的双线性映射e；

(1c)可信第三方设定群G₂：通过双线性映射e和G₁的生成元P，计算元素g＝e(P,P)作为群G₂的生成元，并计算g的幂次方g^a，所有满足式g^a≡1modp的g^a构成群G₂，其中1≤a≤q；

(1d)可信第三方设定哈希函数H₁：选择映射过程为{0,1}^*→G₁的哈希函数H₁；

(1e)可信第三方设定哈希函数H₂：选择映射过程为G₂→{0,1}^k的哈希函数H₂。

3.根据权利要求1所述的一种多关键字可搜索的公钥加密方法，其特征在于，步骤(2)中所述的存储文件关键字的字段、关键字向量和查询格式，其中：

关键字字段Att_m包括m个关键字字段，每个关键字字段包含一个明文关键字；

关键字向量

包括与Att_m中m个关键字字段对应的明文关键字W_i,1,W_i,2,...W_i,m，其中i表示第i个存储文件；

查询格式QU包括明文关键字W_i,1,W_i,2,...W_i,m中的待搜索明文关键字以及待搜索明文关键字在关键字字段Att_m中的位置信息I₁,I₂.,..I_m，且1≤I₁,I₂,...I_m≤m。

4.根据权利要求1所述的一种多关键字可搜索的公钥加密方法，其特征在于，步骤(3a)所述的计算云存储服务器的公钥pk_S和私钥sk_S，实现步骤为：

(3a1)可信第三方将公共参数cp作为作为云存储服务器的第一个私钥分量，并选择一个小于群G₁阶q的正随机数x，将x作为云存储服务器的第二个私钥分量，将cp和x构成的元组作为云存储服务器的私钥sk_S＝{cp,x}；

(3a2)可信第三方将公共参数cp作为云存储服务器的第一个公钥分量，去除群G₁中的零元，得到群

并将从

中选择随机数Q作为云存储服务器的第二个公钥分量，通过私钥分量x和G₁的生成元P，计算云存储服务器的第三个公钥分量X，将cp、Q和X构成的元组作为云存储服务器的公钥pk_S＝{cp,Q,X}，

X的计算公式为：

X＝xP。

5.根据权利要求1所述的一种多关键字可搜索的公钥加密方法，其特征在于，步骤(3b)中所述的计算数据共享者的公钥pk_R和私钥sk_R，实现步骤为：

(3b1)可信第三方将cp作为数据共享者的第一个私钥分量，并选择两个小于群G₁阶q的正随机数s₁和s₂，分别作为数据共享者的第二个私钥分量和第三个私钥分量，将cp、s₁和s₂构成的元组作为数据共享者的私钥sk_R＝{cp,s₁,s₂}；

(3b2)可信第三方通过s₁、s₂和群G₁的生成元P，计算数据共享者的第一个公钥分量Y₁、第二个公钥分量Y₂和第三个公钥分量Y₃，取值1,2,...P构成群Z_P＝{1,2,...P}，并将从Z_P选择随机数Y₄作为数据共享者的第四个公钥分量，将云存储服务器的公钥pk_S作为数据共享者的第五个公钥分量，将Y₁、Y₂、Y₃、Y₄和pk_S构成的元组作为数据共享者的公钥pk_R＝{Y₁,Y₂,Y₃,Y₄,pk_S}，Y₄∈Z_P，Y₁、Y₂和Y₃计算分别公式为：

Y₁＝s₁P

Y₂＝s₂P

Y₃＝s₁s₂P。

6.根据权利要求1所述的一种多关键字可搜索的公钥加密方法，其特征在于，步骤(4a)中所述的对明文关键字向量

中的每一个明文关键字进行加密，计算公式为：

t_j＝e(H₁(W_i,j),rY₁)e(rQ,X)

其中，e表示公共参数cp中的双线性映射，H₁表示公共参数cp中的哈希函数，W_i,j表示第i个存储文件中的第j个明文关键字，r表示一个小于群G₁阶q的正随机数，Y₁表示数据共享者的第一个公钥分量，Q表示云存储服务器的第二个公钥分量，X表示云存储服务器的第三个公钥分量。

7.根据权利要求1所述的一种多关键字可搜索的公钥加密方法，其特征在于，步骤(4b)中所述的计算密文关键字集的四个信息分量U、V、B和C，计算公式分别为：

B＝rY₂

C＝rP

U＝rY₂+rPY₄

V＝rY₃+rY₁Y₄

其中，r表示一个小于群G₁阶q的正随机数，Y₁表示数据共享者的第一个公钥分量，Y₂表示数据共享者的第二个公钥分量，Y₃表示数据共享者的第三个公钥分量，Y₄表示数据共享者的第四个公钥分量，P表示公共参数cp中群G₁的生成元。

8.根据权利要求1所述的一种多关键字可搜索的公钥加密方法，其特征在于，步骤(5a)中所述的计算n个明文关键字Ω₁,Ω₂,...Ω_n的陷门信息分量T_w1，实现步骤为：

(5a1)数据共享者计算n个关键字Ω₁,Ω₂,...Ω_n的陷门信息中间值T₁，计算公式为：

其中，s₁表示数据共享者的第二个私钥分量，s₂表示数据共享者的第三个私钥分量，Y₄表示数据共享者的第四个公钥分量，p表示大于群G₁阶数q的最小素数，mod表示取模运算，H₁是公共参数cp中的哈希函数，Ω₁,Ω₂,...Ω_n表示数据共享者选取的n个明文关键字；

(5a2)数据共享者计算n个关键字Ω₁,Ω₂,...,Ω_n的陷门信息分量T_w1，计算公式为：

其中，s₁表示数据共享者的第二个私钥分量，

表示s₁的乘法逆元，H₁表示公共参数cp中的哈希函数，

表示任意长度的二进制随机数，

表示异或运算，e表示公共参数cp中的双线性映射，Q表示云存储服务器的第二个公钥分量，X表示云存储服务器的第三个公钥分量。

9.根据权利要求1所述的一种多关键字可搜索的公钥加密方法，其特征在于，步骤(5b)中所述的计算n个明文关键字Ω₁,Ω₂,...Ω_n的陷门信息分量T_w2，计算公式为：

其中，s₁表示数据共享者的第二个私钥分量，H₁表示公共参数cp中的哈希函数，

表示任意长度的二进制随机数。

10.根据权利要求1所述的一种多关键字可搜索的公钥加密方法，其特征在于，步骤(6c)中所述的验证H₂[e(T_w,V)]＝H₂[T″·e(T_w2,U)]是否成立，实现步骤如下：

(6c1)云存储服务器计算第一个待验证值T″，计算公式为：

t′＝e(xQ,C)^-n

其中，T′表示第一个验证中间值，t′表示第二个验证中间值，

表示从密文集合R中选择的n个密文关键字的乘积，e表示公共参数cp中的双线性映射，

表示存储文档的n个关键字，r表示一个小于群G₁阶q的正随机数，Y₁表示数据共享者的第一个公钥分量，Q表示云存储服务器的第二个公钥分量，X表示云存储服务器的第三个公钥分量，s₁表示数据共享者的第二个私钥分量，C表示密文集合R中密文关键字集的信息分量；

(6c2)云存储服务器对第一个验证值T″的计算公式进行化简：

当n个明文关键字中的每个关键字Ω_i和存储文档中的对应位置的关键字

相等时，云存储服务器将待验证值T″的计算公式化简为：

其中，e表示公共参数cp中的双线性映射，H₁表示公共参数cp中的哈希函数，r表示一个小于群G₁阶q的正随机数，Y₁表示数据共享者的第一个公钥分量，s₁表示数据共享者的第二个私钥分量，P表示群G₁的生成元，T₁表示n个关键字Ω₁,Ω₂,...Ω_n的陷门信息中间值，B和C表示密文集合R中密文关键字集的信息分量，Y₄表示数据共享者的第四个公钥分量；

(6c3)云存储服务器计算第二个待验证值T_w，计算公式为：

其中，T_w1表示明文关键字的陷门信息Trap的陷门信息分量，

表示异或运算，H₁表示公共参数cp中的哈希函数，e表示公共参数cp中的双线性映射，x云存储服务器的第二个私钥分量，Q表示云存储服务器的第二个公钥分量，Y₁表示数据共享者的公钥分量；

(6c4)云存储服务器验证式H₂[e(T_w,V)]＝H₂[T″·e(T_w2,U)]是否成立：

云存储服务器计算H₂[e(T_w,V)]和H₂[T″·e(T_w2,U)]两个值，并比较两个值是否相等，计算公式分别为：

其中H₁和H₂分别表示公共参数cp中的哈希函数，e表示公共参数cp中的双线性映射，T_w2表示n个明文关键字Ω₁,Ω₂,...Ω_n的陷门信息分量，U、V、B和C表示密文集合R中密文关键字集的信息分量，

表示数据共享者的第二个私钥分量s₁的乘法逆元，r表示一个小于群G₁阶q的正随机数，

表示任意长度的二进制随机数，P表示群G₁的生成元，T₁表示n个关键字Ω₁,Ω₂,...Ω_n的陷门信息中间值，Y₁表示数据共享者的第一个公钥分量、Y₂表示数据共享者的第二个公钥分量、Y₃表示数据共享者的第三个公钥分量，Y₄表示数据共享者的第四个公钥分量。

Images