CN109740378A - 一种抗关键词隐私泄露的安全对索引构造及其检索方法 - Google Patents

Abstract

本发明涉及一种抗关键词隐私泄露的安全对索引构造及其检索方法，包括以下步骤：安全对索引构造和安全对索引检索，安全对索引构造包括以下步骤：S1：数据拥有者根据待上传数据文档，计算出每个关键词相对于的相关分数，并计算真实索引、加密访问关键词对集；S2：数据拥有者通过真实索引计算假索引以及混合索引，使用授权秘钥对假索引和混合索引进行加密处理，并结合访问关键词对集得到安全对索引；S3：数据拥有者将待上传数据文档加密，得到密文文档集；S4：数据拥有者上传安全对索引、密文文集给云服务器；本发明可以抵抗基于关键词的存取模式和搜索模式所导致的关键词隐私泄露。

Description

一种抗关键词隐私泄露的安全对索引构造及其检索方法

技术领域

本发明属于云计算安全中的可搜索加密技术领域，具体为一种抗关键词隐私泄露的安全对索引构造及其检索方法。

背景技术

在大数据时代的背景下，不管是个人用户还是大型机构，所拥有的数据也越来越多，如医疗智能设备每日24小时不间断产生的医疗数据或某大型全国连锁超市各分店每日进货情况记录和销售情况记录，导致用户自己本地的存储空间严重不足。基于云计算技术和网络通信技术，云服务提供商集中了大量的计算资源与存储资源。资源受限的用户只需要缴纳一定的费用给云服务提供商，就可以很方便地使用云服务提供商提供的计算服务与存储服务。

由于云存储服务所带来的存储资源廉价性、不受地域限制的灵活性，这使得用户更趋向于将本地数据存储在云端，自己只要借助网络随时随地都登陆下载，同时也方便这些医疗健康数据、日常销售数据用于合法用户之间的数据共享，达到挖掘数据价值和互惠互利的效果。然而，不论是共享场景还是独享场景，这些上传的数据或是敏感或需保密。

因此，如果不对这些数据采取一定的保护措施，是很容易遭受那些可以从这些数据非法获利的公司的恶意窃取。例如，2018年3月英国数据分析公司Cambridge analytica公司以一种不正当的手段获取Facebook用户的数据并从中获利。该数据泄露事件涉及全球8700万Facebook用户，这对以后的数据用户使用Facebook服务造成了巨大影响。因此，数据的隐私保护成为了云存储平台进一步推广的最大障碍。

通常，对数据加密是对数据隐私和机密性的一种有效方式。可是，当数据以密文的形式存在云服务器时，数据用户是很难用传统的搜索技术检索到自己想要查询的数据。除非数据用户下载所有的自己可解密的密文数据，然后一一解密实现检索，显然，这样会造成巨大的计算资源与通信资源的浪费，从而导致效率低下。

为了能够在密文数据中方便高效地找到自己想要的数据，可搜索加密技术应用而生。该技术可以使得用户通过用户自己设计的陷门或搜索凭证来得到自己搜索的目标密文，并可自行解密。目前，可搜索加密技术在学术界与工业界均得到了广泛的研究。尤其是受明文搜索引擎中关键词搜索的启发，基于关键词搜索的可搜索加密技术成为了一种主流技术，同时兼有许多性能。如排名搜索、访问控制搜索等。

表1加密关键词-文档索引

基于关键词的可搜索加密技术，通过数据拥有者(拥有大量数据的实体机构，例如医疗机构、学校等)设计加密的关键词－文档索引结构(表1)来指明关键词在文档中的包含关系，这样方便服务器通过数据用户(访问数据的组织或者个体)所产生的访问关键词陷门(陷门是在某个系统或某个文件中设置的“机关”，使得在提供特定的输入数据时，允许违反安全策略)与索引结构中的关键词进行匹配来精确找到用户所需的目标文档。一般情况下，数据用户所使用的访问关键词直接反映数据用户的隐私信息。因此，即使对索引结构中的关键词进行了加密操作以及关键词陷门进行了加密操作，但是基于关键词的搜索方案中，数据拥有者、数据用户仍易遭受关键词隐私泄露的威胁。攻击者主要通过关键词猜测攻击、统计攻击来获得相应的隐私信息，将这些隐私信息泄露给第三方谋取不正当利益。

基于索引的关键词搜索方案就易受关键词隐私泄露的威胁，索引，又称为全局索引，是一种映射关系，该关系表明的是关键词与存储数据文档之间的一种包含关系。并且单词－文件矩阵或者单词－文件列表是索引最简单、最常用的表现形式。如所示表1，就是一个索引的表现形式，反映了6个加密关键词在6篇文档中的包含关系。这里的索引是由数据拥有者(data owner,DO)秘密设置，之后通过加密关键词来生成一个加密的安全索引。

文献E.Goh.Secure indexes.Cryptology eprint Archive.2003首次提出了关于关键词索引的定义及其相应的安全要求，并且给出了一个基于布隆过滤器的Z-IDX索引，该索引满足文章作者所提出的两种安全模型，即适应性不可区分选择关键词攻击(IND-CKA)与强适应性不可区分选择关键词攻击(IND2-CKA)；

之后，文献Chang,Y C,and Mitzenmacher M.Privacy preserving keywordsearches on remote encrypted data[C].International Conference on AppliedCryptography and Network Security Springer,Berlin,Heidelberg,vol.3531,pp.442-455,2005.在前文的基础上新增了一个安全性要求，即用户在进行搜索时，用户所产生的陷门是不可以泄露用户访问关键词的任何信息的；进一步的，文献Curtmola R,Garay J,Kamara S,et al.Searchable symmetric encryption:improved definitions andefficient constructions[J].Journal of Computer Security,vol.19,no.5,pp.895-934,2011.提出除了文档标识符、文档大小、存取模式与搜索模式外，任何其他内容均不可泄露关键词隐私。显然，该安全性要求并未解决由于存取模式与搜索模式所产生的关键词隐私泄露问题。存取模式反映的是索引中哪些文档包含了哪些访问关键词，当数据用户在进行数据访问时，如果索引不进行一定的隐藏处理，除了可以直接得到关键词在文档中的包含关系(表1中，关键词w₁包含在f₁,f₂,f₄,f₅,f₆中)，攻击者还可利用统计攻击找到文档中所包含的高频词汇(表1中，有5篇文档包含w₁)，进一步利用现有的背景知识以及人们的搜索习惯，极大可能找到有价值的信息，例如在世界艾滋病日，w₁被高频率匹配到，那么这个词很有可能与艾滋病有关，进一步地，包含关键词w₁的文档也很可能是关于艾滋病的文档。因此，攻击者可以利用存取模式使得关键词隐私得以泄露；

尽管文献O.Goldreich and R.Ostrovsky.Software protection andsimulation on oblivious RAMs[J].JACM:Journal of the ACM,vol.43,pp.431-473,1996.提出了RAM技术解决了关键词隐私泄露问题，但是该技术所需要的计算量太大，这增加了技术实现的难度；之后，文献M.S.Islam,M.Kuzu,and M.Kantarcioglu.Accesspattern disclosure on searchable encryption:Ramification.Attack andmitigation[C].In Network and Distributed System Security Symposium(NDSS'12),2012.研究了存取模式上关键词的信息泄露问题，并且给出了解决方案，但是该方案只能保证每两次的搜索结果不会泄露关键词隐私，使得该方案美中不足。进一步地，文献NaveedM,Prabhakaran M,and Gunter C.Dynamic searchable encryption via blind storage[C].IEEE Symposium on Security&Privacy IEEE Computer Society.pp.639-654,2014.提出了一种盲化索引来阻止关键词信息在存取模式上的泄露，但是该方案却从搜索模式上容易泄露用户的访问关键词信息。搜索模式反映的是数据用户每两次的搜索结果是否是对同一关键词的访问，因为搜索结果与访问关键词之间具有一一对应的确定关系，不同的搜索结果则对应的访问关键词一定不同。攻击者利用用户的搜索模式来获得数据用户的访问关键词信息(例如，在每年的世界艾滋病日，数据用户的搜索结果均相同，则攻击者即可判断该数据用户很可能与艾滋病有关)。

尽管方案Huang Q,Li H B.An Efficient Public-Key Searchable EncryptionScheme Secure against Inside Keyword Guessing Attacks[J].InformationSciences403-404.pp.1-14,2017.提出了对关键词采用随机化加密的方案，即对同一关键词进行搜索访问时，产生不同的关键词密文信息，该方案从关键词密文不可区分以及陷门不可区分性方面做到了关键词隐私的保护。但是搜索结果的确定性本质上仍不能阻止攻击者利用数据用户的搜索模式来获取访问关键词的信息。

目前，文献Liu C,Zhu L H,Wang M,and Tan Y-a.Search pattern leakage insearchable encryption:Attacks and new construction[J].Information Sciences,vol.265,pp.176-188,2014.正式提出了搜索模式的具体攻击模型，并给出了两种具体的解决方案(RDBC与RSBC)，但是该方案中的分割因子l越大，方案的效率反而越低，并且该方案从存取模式的角度上仍会泄露关键词隐私。

因此，目前基于关键词的大部分可搜索加密方案出于搜索效率的考虑，主要从从密文不可区分性以及陷门不可区分性的角度来抵抗关键词隐私泄露，但是这些方案未同时结合存取模式、搜索模式两方面考虑关键词隐私泄露，使得这些方案的安全性得到了很大限制。

发明内容

为了进一步解决基于关键词的可搜索加密技术中关键词隐私泄露的安全威胁，综合考虑存取模式和搜索模式两个方面，我们提出了一种“安全对索引”构造方法，从而使得基于关键词的可搜索加密技术从存取模式、搜索模式两个方面均可以抵抗关键词隐私泄露；

为了解决现有技术中存在的上述问题，本发明提供了一种抗关键词隐私泄露的安全对索引构造及其检索方法；

本发明要解决的技术问题通过以下技术方案实现：

一种抗关键词隐私泄露的安全对索引构造方法，包括以下步骤：

S1：数据拥有者DO根据待上传数据文档f_i，利用k-邻近距离模型计算出每个关键词w_j相对于f_i的相关分数Score(w_j,f_i)，并计算真实索引以及加密的访问关键词对集E；

S2:通过真实索引计算假索引以及混合索引P，使用授权秘钥K对假索引和混合索引P进行加密处理，并结合访问关键词对集E得到安全对索引γ；

S3：数据拥有者DO将待上传数据文档加密，得到密文文档集C；

S4：上传I_tag＝(γ,C)给云服务器CSP。

进一步地，所述S1包括以下具体步骤：

S1.1：假设待上传数据文档集F＝{f₁,f₂,…,f_i,…,f_N}，其中，f_i为文档标识符，i∈[1,N]；

S1.2：根据系统关键词集M，提取待上传数据文档集F中的关键词w_j组成关键词集M'，其中M′＝{w₁,w₂,…,w_j,…,w_m′}，j为大于零的自然数，m'为M'中关键词的个数；

S1.3：通过计算，产生密钥K＝{S,M₁,M₂}，其中S为一个N维列分割比特向量，M₁,M₂为两个m′×m′的可逆矩阵；

S1.4：通过所述待上传数据文档集F、关键词集M'计算关键词w_j相对于f_i的相关分数Score(w_j,f_i)，并计算真实索引

S1.5：通过关键词集M'计算加密的访问关键词对集E。

进一步地所述S1.4包括以下具体步骤：

数据拥有者DO组合每一个真索引行向量根据真索引行向量计算真实索引其中，T表示矩阵转置。

进一步地，在S1.5中，数据拥有者DO通过授权值b，利用可信任中心TA公开的三个密码学hash函数对关键词集M'中的每个关键词w_j进行加密，其中，hash函数的具体表达式分别为：

进一步地，所述步骤1.5具体包括以下步骤：

S1.5.1：为每个关键词w_j绑定一个“假词”，组成明文访问关键词对其中，是系统关键词集M中存在的任意一个关键词；

S1.5.2：通过hash函数H(x)给每个关键词对加密后获得加密的访问关键词对

并通过hash函数计算加密关键词对的键值

其中,

S1.5.3：对每一对中的e_j、的先后顺序进行随机调换，得到加密的访问关键词对集E。

进一步地，所述S2包括以下具体步骤：

S2.1：计算假索引以及关于假索引行向量的密文

对应于真索引行向量根据分割比特向量S计算得到假索引行向量其中，1≤j≤m′；

根据假索引行向量计算得到假索引其中，1≤i≤N，T表示矩阵转置；

对应于假索引通过矩阵乘法计算关于假索引行向量的密文

S2.2：计算混合索引行向量P_i以及关于混合索引行向量P_i的密文I_i：

对应于真索引行向量计算混合索引行向量P_i，并通过混合索引行向量P_i得到混合索引P＝(P₁ P₂ … P_i … P_N)^T，T表示矩阵转置；具体地：

对应于混合索引行向量P_i，执行矩阵乘法运算得到混合索引行向量P_i的密文I_i＝(I_i1 I_i2 … I_ij … I_im')；

S2.3：对应于混合索引行向量P_i的密文I_i＝(I_i1 I_i2 … I_ij … I_im')与假索引行向量的密文根据访问关键词对集E计算得到安全对索引γ，具体地：

根据加密关键词对的键值的顺序，组合并令文档标识符f_i与对应：则最终的安全对索引γ为：

其中，在γ中，行条目真列条目v_j与假列条目组成列条目对V_j；

一种抗关键词隐私泄露的安全对索引检索方法，包括以下步骤：

1)：合法用户DU产生访问关键词集

2)：合法用户DU通过访问关键词集计算访问关键词秘密t_tk和访问关键词搜索陷门f_tk，并将访问关键词秘密t_tk本地保存，将访问关键词搜索陷门f_tk提交给云服务器CSP，其中：

其中，公式(5)、(6)中的w_s表示访问关键词；

3)：云服务器CSP根据合法用户DU提供的访问关键词搜索陷门f_tk获得询问索引集q₁，并将询问索引集q₁反馈给合法用户DU；

4)：合法用户根据自身密钥设置秘密常数d，并对询问索引集q₁解密，得到符合访问关键词集的D个文档标识符，并将D个文档标识符上传至CSP；

5)：CSP根据D个文档标识符返回相应的D篇密文，用户DU本地解密D-d篇密文来查看相关明文文档内容。

进一步地，所述步骤3)的具体步骤为：

云服务器CSP根据合法用户DU提交的访问关键词搜索陷门f_tk执行关键词检索操作获得询问索引集q₁；

依次识别安全对索引γ中的每个列条目对V_j，如果则V_j被提取组合成q₁；其中，1≤j≤m'，q₁的具体表达式如下：

进一步地，所述步骤4)的具体步骤为：

数据用户DU收到询问索引集q₁后，根据自身秘钥设置秘密常数d，d∈Z^*，对q₁进行解密搜索，得到符合访问关键词集的k+d个文档标识符，令D＝k+d；

4.1)：DU获取安全对索引γ中的前k个文档标识符并将其本地保存；

4.1.1)：DU根据访问关键词秘密t_tk从q₁中提取真列条目v_j用于产生真索引集q₂，具体地，依次识别每个列条目对V_j中的v_j，如果则v_j被提取用于形成真索引集q₂，其中，

4.1.2)：对应于真索引集q₂，合法用户DU根据分割比特向量S生成真询问索引集q₃；

4.1.3)：对应于真询问索引集q₃，DU利用k-邻近距离模型得到前k个文档标识符，具体的：

设置一个y维的访问行向量Q＝(1 1 … 1)，并对访问行向量Q和真询问索引集q₃执行矩阵乘法得到在真询问索引集q₃下f_i与Q的值Score(f_i,Q)；

根据f_i与Q的值Score(f_i,Q)进行降序排名提取安全对索引γ中的前k个文档标识符；

4.2)：获取前d个文档标识符。

进一步地，所述步骤4.2)的具体步骤为：

4.2.1)：DU提取步骤4.1.1)中V_j的剩余用于形成剩余索引集q₄，通过将剩余索引集q₄与一个N维访问行向量Q＝(1 1 … 1)进行矩阵乘法运算得到在剩余索引集q₄下，f_i与Q的值Score′(f_i,Q)；

4.2.2)：DU根据f_i与Q的值Score′(f_i,Q)进行降序排名，提取安全对索引γ中的前d个文档标识符。

与现有技术相比，本发明的有益效果：

1、存取模式安全：相比于传统索引构建过程中只是简单的对关键词进行加密，本方案给出了一个简洁的“安全对索引”构建方法，通过k-邻近距离模型计算关键词w_j相对于f_i的相关分数Score(w_j,f_i)，并计算真实索引访问关键词对集E，通过真实索引计算假索引将真实索引与假索引混合形成混合索引P；将混合索引与假索引进行加密，并结合访问关键词对集E得到安全对索引γ；对于敌手而言本方案产生的效果有：首先，通过计算假索引、混合索引，使得文档与关键词的包含关系得到了隐藏，这样使得攻击者简单通过索引中的存取模式来判别真实文档与关键词的包含关系变得困难，进一步地，攻击者也不可能成功求解线性方程组来得到混合索引，进一步地，攻击者得不到真实索引，也就同样得不到文档与关键词的包含关系，这就消除了高频关键词与低频关键词的区别，很好地阻止了攻击者通过统计攻击以及用户的搜索习惯来获得高频关键词的信息；

综合地，本技术方案中“安全对索引”的构造方法很好地阻止了攻击者通过存取模式与统计分析方式找到关键词与文档的包含关系以及高频率词汇等信息来使得关键词隐私泄露，这样很好地保护了数据上传者的数据隐私信息不被泄露，达到存取模式安全的目的。

2、搜索模式安全：本方案的检索过程通过密文访问关键词对集E、安全对索引γ很好地保护了用户的搜索模式不被泄露，进一步地，攻击者也不能利用搜索结果的确定性来获得用户的搜索模式，进一步地，攻击者不能利用搜索用户的搜索模式获取有关访问关键词的信息。因此，攻击者不能利用搜索模式来使得关键词隐私泄露，达到搜索模式安全的目的。

附图说明

图1是本发明的总流程图。

图2是本发明的系统模型图。

图3为本发明中真实索引构造流程图。

图4本发明访问关键词对集构造流程图。

图5本发明假索引构造及其加密流程图。

图6本发明真索引加密及安全对索引流程图。

图7本发明获取询问索引流程图。

图8获取k个文档标识符流程图。

图9获取d个文档标识符流程图。

具体实施方式

下面结合具体实施例对本发明做进一步详细的描述，但本发明的实施方式不限于此。

实施例1：

在详细叙述本实施例的方法之前，先对本方法的设计构思作以下说明：

本发明设计的系统模型包括两类用户以及云服务器，一类为数据拥有者(dataowner,DO)负责共享数据的上传；另一类为数据用户(data user,DU),主要体现为查询自己想要查询的数据，了解自己想要了解的信息；服务器为云服务提供商(cloud serviceprovider，CSP)，负责为数据拥有者DO存储数据、为合法用户DU检索数据。三方之间的关系如图2所示：

数据拥有者DO、合法用户DU均需要在一个可信的认证中心进行身份的认证，并从可信认证中心处获得授权值。对于相关密钥K，文档解密密钥，DO只需要将K中的列分割向量S以及文档解密密钥分享给DU，分享的方式可以以密码学中的秘密共享方式或者公钥密码体制方法来实现。本发明主要解决的是索引技术的构造以及如何成功检索用户所需的密文文档，故在本方案中，我们只简单提及身份认证，具体的认证过程已有许多密码学技术方案对此进行了广泛研究，因此本发明方案假设数据拥有者DO、合法用户DU均已从可信任中心处获得了授权值b且DU拥有列分割向量S；本方案的系统模型主要表现为：

①为了实现数据的合法共享，数据拥有者DO首先依据系统关键词集秘密设置安全索引，并对将要上传的文档进行加密处理，最后将密文数据及其安全索引上传给CSP；

②DU为搜索想要查看的数据，自己依据系统关键词在本地生成访问关键词搜索陷门，并将(访问关键词搜索)陷门提交给CSP；

③CSP收到DU的搜索请求后，通过DU提交的访问关键词搜索陷门以及存储在云上的索引进行密文数据检索，并将检索结果返回给DU；DU收到检索结果后，对检索结果自行解密得到自己想查看的东西。本发明主要对“索引”进行了设计、以及给出了如何在我们给出的索引上进行检索用户所需要的数据。

基于上述设计构思，提出一种如图1-图6所示的抗关键词隐私泄露的安全对索引构造方法，本方法包括以下步骤：

S1：数据拥有者DO根据待上传数据文档f_i，利用k-邻近距离模型计算出每个关键词w_j相对于f_i的相关分数Score(w_j,f_i)，并计算真实索引以及加密的访问关键词对集E；

S2:通过真实索引计算假索引以及混合索引P，使用授权秘钥K对假索引和混合索引P进行加密处理，并结合访问关键词对集E得到安全对索引γ；

S3：数据拥有者DO将待上传数据文档加密，得到密文文档集C；

S4：上传I_tag＝(γ,C)给云服务器CSP。

所述S1包括以下具体步骤，请参照图3、图4：

S1.1：假设待上传数据文档集F＝{f₁,f₂,…,f_i,…,f_N}，其中，f_i为文档标识符，i∈[1,N]；

S1.2：根据系统关键词集M，提取待上传数据文档集F中的关键词w_j组成关键词集M'，其中M′＝{w₁,w₂,…,w_j,…,w_m′}，j为大于零的自然数，m'为M'中关键词的个数；

S1.3：通过本地的计算机软件(如：Matlab软件)，产生密钥K＝{S,M₁,M₂}，其中，S为一个N维列分割比特向量，M₁,M₂为两个m′×m′的可逆矩阵；那么，S_i表示S的第i比特；

此外，可逆矩阵M₁为非单位矩阵且满足如下条件：

设M₁＝{a_st}_m′×m′,a_st∈R,1≤s,t≤m′，其中，M₁满足

S1.4：通过所述待上传数据文档集F、关键词集M′计算关键词w_j相对于f_i的相关分数Score(w_j,f_i)，并计算真实索引

相关分数Score(w_j,f_i)的具体表达式为：

Score(w_j,f_i)＝TF_ji×IDF_j (1)

其中，n_ji表示文档f_i包含关键词w_j的的词频。N_j表示包含关键词w_j的文档数目，且令IDF_j＝0，当N_j＝0时。

S1.4包括以下具体步骤：

数据拥有者DO组合每一个真索引行向量根据真索引行向量计算真实索引其中，T表示矩阵转置。

S1.4基于搜索引擎中的词频-逆文档(TF-IDF)模型，以及k-邻近距离模型用于给定数据用户的一组访问关键词，搜索服务器可以依据词频-逆文档(TF-IDF)模型计算每篇文档与该组访问关键词的总相关分数。总相关分数越高，说明该文档与访问关键词的相关性很高；否则，则说明文档与访问关键词的相关性不高。然后，搜索服务器依据文档与该组访问关键词的总相关分数排名降序返回前k篇文档；而这k篇文档与访问关键词均具有很高的相关性，因此，搜索服务器返回的这k篇文档就是用户想访问的。

具体地，公式(1)表示关键词w_j与文档f_i的相关分数；公式(2)中TF_ji(termfrequency)指的是词频，即表示关键词w_j在文档f_i中的频率，n_ji表示关键词w_j在文档f_i中的频数，n表示n_ji的最大值；公式(3)IDF_j(inverse document frequency)表示逆文档频率，反映了一个关键词在整个文档集的重要性以及区分度，具体地，N代表文档的总篇数，N_j表示包含关键词w_j的文档篇数；所以，当关键词w_j的词频很高(高TF_ji)，以及逆文档频率很高(w_j包含在少数文档中，因此w_j具有较好的重要性与区分度，高IDF_j)，则w_j与f_i的相关分数就很高(高Score(w_j,f_i))；当TF_ji一般高(低)或者IDF_j一般高(低)，则w_j与f_i的相关分数就一般。

S1中的k-邻近距离模型是搜索引擎技术中非常有用的数据检索模型，数据拥有者利用该模型预先计算关键词与文档的相关分数并将相关分数存入到索引当中，然后将索引以及文档数据上传到搜索服务器上，搜索服务器根据数据用户提供的一组访问关键词，将该组访问关键词与索引中的关键词进行匹配，进一步地，搜索服务器获取所有被匹配关键词与索引中文档标识符所对应的总相关分数，进一步地，搜索服务器根据总相关分数降序排名得到前k个文档标识符，进一步地，根据被提取的文档标识符提取前k篇文档并返回给数据用户。

S1.5：通过关键词集M'计算加密的访问关键词对集E，请参照图4。

在S1.5中，数据拥有者DO通过授权值b，利用可信任中心TA公开的三个密码学hash函数对关键词集M'中的每个关键词w_j进行加密，其中，hash函数的具体表达式分别为：

所述步骤1.5具体包括以下步骤：

S1.5.1：为每个关键词w_j绑定一个“假词”，组成明文访问关键词对其中，是系统关键词集M中存在的任意一个关键词；

S1.5.2：通过hash函数H(x)给每个关键词对加密后获得加密的访问关键词对

并通过hash函数计算加密关键词对的键值

其中,

S1.5.3：对每一对中的e_j、的先后顺序进行随机调换，得到加密的密文访问关键词对集E；比如，密文访问关键词对集E可以是：

进一步地，所述S2包括以下具体步骤：

S2.1：计算假索引以及关于假索引行向量的密文请参照图5：

对应于真索引行向量根据分割比特向量S计算得到假索引行向量其中，1≤j≤m′；

具体地，DO根据分割比特向量S进行如下操作：

若S_i＝0，则若S_i＝1,则其中1≤i≤N,1≤j≤m′。

根据假索引行向量计算得到假索引其中，1≤i≤N，T表示矩阵转置；

对应于假索引通过矩阵乘法计算关于假索引行向量的密文具体地，DO进行如下操作：

S2.1.1：DO产生一辅助随机行向量其中(R表示正实数集合，且不超过的最大值)。

S2.1.2：DO进行如下操作来获得

S2.2：计算混合索引行向量P_i以及关于混合索引行向量P_i的密文I_i，请参照图6：：

对应于真索引行向量计算混合索引行向量P_i，并通过混合索引行向量P_i得到混合索引P＝(P₁ P₂ … P_i … P_N)^T，T表示矩阵转置；具体地：

对应于混合索引行向量P_i，执行矩阵乘法运算得到混合索引行向量P_i的密文I_i＝(I_i1 I_i2 … I_ij … I_im')；具体地：

S2.3：对应于混合索引行向量Pi的密文I_i＝(I_i1 I_i2 … I_ij … I_im')与假索引行向量的密文根据密文访问关键词对集E计算得到安全对索引γ，具体地：

根据加密关键词对的键值的顺序，组合并令文档标识符f_i与对应：则最终的安全对索引γ为：

其中，在γ中，行条目真列条目v_j与假列条目组成列条目对V_j；

S3：数据拥有者DO将待上传数据文档加密，得到密文文档集C；具体的数据拥有者DO可以利用高级数据加密标准AES(Advanced encrypted standard)算法来实现文档数据的加密。

进一步地，在上述的抗关键词隐私泄露的安全对索引构造方法的技术方案下，为了使合法用户DU获得想要查看的前k篇文档(k为秘密常数)，本实施例还提供一种抗关键词隐私泄露的安全对索引检索方法，包括以下步骤：

1)：合法用户DU产生访问关键词集

2)：合法用户DU通过访问关键词集计算访问关键词秘密t_tk和访问关键词搜索陷门f_tk，并将访问关键词秘密t_tk本地保存，将访问关键词搜索陷门f_tk提交给云服务器CSP，其中：

其中，公式(10)、(11)中的w_s表示访问关键词；

3)：云服务器CSP根据合法用户DU提供的访问关键词搜索陷门f_tk获得询问索引集q₁，并将询问索引集q₁反馈给合法用户DU；

4)：合法用户根据自身秘钥设置秘密常数d，并对询问索引集q₁解密，得到符合访问关键词集的D个文档标识符，并将D个文档标识符上传至CSP；

5)：CSP根据D个文档标识符返回相应的D篇密文，用户DU本地解密D-d篇密文来查看相关明文文档内容。

所述步骤3)的具体步骤为，请参照图7：

云服务器CSP根据合法用户DU提交的访问关键词搜索陷门f_tk执行关键词检索操作获得询问索引集q₁；

依次识别安全对索引γ中的每个列条目对V_j，如果则V_j被提取组合成q₁；其中，q₁的具体表达式如下：

所述步骤4)的具体步骤为,：

数据用户DU收到询问索引集q₁后，根据自身秘钥设置秘密常数d，d∈Z^*，对q₁进行解密搜索，得到符合访问关键词集的k+d个文档标识符，令D＝k+d；

4.1)：DU获取安全对索引γ中的前k个文档标识符并将其本地保存，请参照图8；

4.1.1)：DU根据访问关键词秘密t_tk从q₁中提取真列条目v_j用于产生真索引集q₂，具体地，依次识别每个列条目对V_j中的v_j，如果则v_j被提取用于形成真索引集q₂，其中，q₂具体表达式如下：

其中，

4.1.2)：对应于真索引集q₂，合法用户DU根据分割比特向量S生成真询问索引集q₃；具体的，：

若S_i＝0，其中，

若S_i＝1,其中，

q₃具体表达式如下：

4.1.3)：对应于真询问索引集q₃，DU利用k-邻近距离模型得到前k个文档标识符，具体的：

设置一个y维的访问行向量Q＝(1 1 … 1)，并对访问行向量Q和真询问索引集q₃执行矩阵乘法得到真询问索引集q₃的值Score(f_i,Q)；具体操作如下：

T表示矩阵的转置，DU根据f_i与Q的值Score(f_i,Q)进行降序排名提取前k个文档标识符；

步骤4.1.3)中Score(f_i,Q)表示文档f_i与Q的总相关分数，它间接反映了文档f_i与访问关键词集的相关性，即Score(f_i,Q)越高，则文档f_i与访问关键词集的相关性越好。

步骤4.1.3的正确性基于如下的理论：

假设有一矩阵M＝{a_ij}_m×m,a_ij∈R,1≤i,j≤m,满足以及假设三个m维行向量x₁＝(x₁₁x₁₂…x_1m)，x₂＝(x₂₁x₂₂…x_2m),Q＝(11…1).那么M是一个保序变换，即如果x₁Q^T≥x₂Q^T，那么x₁MQ^T≥x₂MQ^T,反之亦然。

结论的证明如下：

当M为单位矩阵时，结论显然成立；当M不为单位矩阵时：

令P₁＝x₁Q^T,P₂＝x₂Q^T。

因此我们有：

进一步地，

所以

所以可得到：

因此

若x₁MQ^T≥x₂MQ^T，则

令因此M_max≥M_min＞0。

进一步地，

因此，

4.2)：参照图9，获取前d个文档标识符，并将提取的d个文档标识符标记本地保存。

所述步骤4.2)的具体步骤为：

4.2.1)：DU提取步骤4.1.1)中V_j的剩余用于形成剩余索引集q₄，通过将剩余索引集q₄与一个N维访问行向量Q＝(1 1 … 1)进行矩阵乘法运算得到剩余索引集q₄的值Score′(f_i,Q)，具体的：

剩余索引集q₄，DU产生一个N维访问行向量Q＝(1 1 … 1)，进一步地，DU执行矩阵乘法：

4.2.2)：DU根据f_i与Q的值Score′(f_i,Q)进行降序排名，提取安全对索引γ中的前d个文档标识符。

步骤4.2.2)中Score′(f_i,Q)不表示文档f_i与Q的总相关分数，它并不反映文档f_i与访问关键词集的相关性。

步骤5)中CSP返回D篇文档，合法用户DU根据本地存储的k个被标记的文档标识符，从D篇文档中提取并解密其中k篇文档，本步骤中的d篇文档主要起陪衬作用，任何攻击者(包括CSP)由于不知道(k,d)的值，进一步地，他们就不能区分出这D篇文档中，哪些文档是DU真正想访问的，哪些文档不是DU真正想访问的。进一步地，他们不能区分D中的每篇文档是否是DU真正想访问的。因此，攻击者不能在利用搜素结果与访问关键词的对应关系来得到数据用户的搜索模式，进一步地，攻击者也得不到访问关键词的隐私信息。

实施例2：

为了便于本发明的技术方案的理解，给出了一个具体实施例。

一、首先是一种抗关键词隐私泄露的安全对索引构造方法的具体实施例：

假设数据拥有者(DO)需上传10篇数据文档用于为其他的数据用户所共享。则数据拥有者(DO)进行如下的步骤：

I.索引建立(DO操作)

1、计算真实索引以及加密的访问关键词对集E。

1.1)确定待上传的数据文档为假设待上传数据文档集F＝{f₁,f₂,…,f_i,…,f₁₀}，其中，f_i为文档标识符，i∈[1,10]；

1.2)根据系统的预定义字典M，从待上传的数据文档集F中提取关键词集合M'，其中，假设提取的关键词集合M′＝{w₁,w₂,…,w_j,…,w₆}，j∈[1,6]；

1.3)通过Matlab软件计算，产生密钥K＝{S,M₁,M₂}，其中S为10维的列分割比特向量S_i表示S的第i比特，i∈[1,10]；M₁,M₂为两个6×6的可逆矩阵且M₁(不为单位矩阵)满足M₁＝{a_st}_6×6,a_st∈R,1≤s,t≤6，且则给出的S,M₁,M₂如下：

S＝(1 0 1 0 1 1 0 0 0 1)

1.4)通过所述待上传数据文档集F、关键词集M'利用公式(1)-(3)计算关键词w_j相对于f_i的相关分数Score(w_j,f_i)，j∈[1,6],i∈[1,10]来产生真实索引

Score(w_j,f_i)＝TF_ji×IDF_j (1)

进一步地，数据拥有者DO组合每一个真索引行向量其中，进一步地，数据拥有者DO生成真索引T表示矩阵转置。进一步地，根据公式(1)-(3)给出真索引如下所示：

1.5)通过关键词集M'生成加密的访问关键词对集E；

进一步地，数据拥有者DO通过授权值b，利用可信任中心TA公开的三个密码学hash函数：

对关键词集M'中的每个关键词w_j进行加密，M′＝{w₁,w₂,…,w_j,…,w₆}，j∈[1,6]：

1.5.1)：为每个关键词w_j绑定一个“假词”，组成明文访问关键词对

其中，可以是现实中存在的任意一个关键词。

1.5.2)：通过hash函数H(x)给每个关键词对加密后获得加密的访问关键词对

并通过hash函数计算加密关键词对的键值

其中,假设所产生的6个键值对如下：

1.5.3)：对每一对中的e_j、的先后顺序进行随机调换，得到加密的访问关键词对集E：

E＝(＜1,1,2＞＜2,1,2＞＜4,3,4＞＜3,3,4＞＜6,5,6＞＜5,5,6＞＜7,7,8＞＜8,7,8＞＜9,9,10＞＜10,9,10＞＜11,11,12＞＜12,11,12＞)

2、使用授权秘钥K对真实索引进行加密处理生成安全对索引γ；

2.1)计算假索引以及关于假索引行向量的密文

对应于生成假索引行向量具体地，DO根据分割比特向量S进行如下操作：

若S_i＝0，若S_i＝1,1≤i≤10,1≤j≤6。

进一步地，组合假索引T表示矩阵转置。结合步骤1.3)中的数据，

对应于通过矩阵乘法，生成关于假索引行向量的密文具体地，DO进行如下操作：

DO产生一辅助随机行向量其中(R表示正实数集合，且不超过的最大值，即1.1427)。进一步地，如下所示：

DO进行如下操作来获得关于假索引行向量的密文

具体地，如下所示：

2.2)：计算混合索引行向量P_i以及关于混合索引行向量P_i的密文I_i：

对应于真索引行向量DO生成混合索引行向量

P＝(P₁ P₂ … P_i … P₁₀)^T。具体地，DO进行如下操作：

进一步地，P_i,i∈[1,10]如下所示：

对应于混合索引行向量P_i，DO执行矩阵乘法运算得到混合索引行向量P_i的密文I_i＝(I_i1 I_i2 … I_im')。具体地，DO进行如下操作：

进一步地，

2.3)：对应于混合索引行向量P_i的密文I_i＝(I_i1 I_i2 … I_i6)与假索引行向量的密文DO根据访问关键词对集E产生安全对索引γ；

具体地，DO进行如下操作：

根据的顺序，组合并令文档标识符f_i与进行对应：

DO组合最终的安全对索引γ：

3、将步骤1、步骤2计算的安全对索引γ、文档密文C打包并上传至服务器CSP。

二、其次是一种抗关键词隐私泄露的安全对索引检索方法的具体实施例：

II.陷门生成(DU操作)

设合法用户DU从可信中心(TA)处获得授权值b以及拥有相应的列分割比特向量S。并且数据用户根据预定义字典产生的访问关键词集合为那么数据用户通过如下步骤产生访问陷门：

1)计算

2)计算得到{(0001,1),(1100,11)}，设置t_tk＝{0001,1100}，f_tk＝{1,11}，本地保存t_tk.

3)上传f_tk到云服务提供商CSP。

III.搜索(CSP操作)：

云服务器CSP根据合法用户DU提供的访问关键词搜索陷门f_tk获得询问索引集q₁，并将询问索引集q₁反馈给合法用户DU。具体地进行如下步骤：

1)根据f_tk＝{1,11}，CSP从存储的“对索引γ”中识别含有{1,11}的列条目对，并依次提取被识别道的列条目对形成询问索引q₁。进一步地，CSP识别到的列条目对为V₁与V₆。进一步地，V₁与V₆将形成q₁：

2)合法用户DU收到询问索引集q₁后，设置秘密常数d，d∈Z^*。假设k＝3，d＝1进一步地，对q₁进行解密搜索，得到符合访问关键词集的4个文档标识符；进一步地，DU上传4个文档标识符到CSP；具体地，

2.1)：DU获取前3个文档标识符，将3个文档标识符标记并本地保存。具体地：

2.1.1)：DU根据关键词秘密t_tk从q₁中提取真列条目用于产生真索引集q₂，具体地，由于第1列中含有0001，第3列中含有1100。因此，第1列与第3列均被提取用于形成真索引集q₂。q₂如下：

2.1.2)：对应于q₂，生成真询问索引集q₃。具体地，DU根据分割比特向量S进行如下操作，其中S＝(1 0 1 0 1 1 0 0 0 1)：

若S_i＝0，则q₂的第i行的值扩大2倍；若S_i＝1,则q₂的第i行的值保持不变q₃如下展示：

2.1.3)：对应于真询问索引集q₃，DU利用k-邻近距离模型得到前3个文档标识符。具体地，DU产生一个2维访问行向量Q＝(11)，进一步地，DU执行矩阵乘法：

T表示矩阵的转置。

2.1.4)：DU根据f_i与Q的值Score(f_i,Q)进行降序排名，提取前3个文档标识符。依次为{f₇,f₂,f₉}。

2.2)：DU获取前2个文档标识符，将2个文档标识符标记并本地保存。具体地：

2.2.1)：DU提取步骤2.1.1)中剩余的第2列、第4列用于形成剩余索引集q₄；q₄如下：

2.2.2)：对应于剩余索引集q₄，DU产生一个2维访问行向量Q＝(11)，进一步地，DU执行矩阵乘法：

T表示矩阵的转置。

2.2.3)：DU根据f_i与Q的值Score′(f_i,Q)进行降序排名，提取前2个文档标识符。并且这2个文档标识符与前面的3个文档标识符不重复。因此，这2个文档标识符为{f₁₀,f₅}。

3)DU将5个文档标识符{f₂,f₅,f₇,f₉,f₁₀}上传CSP。

4)CSP根据接收到的5个文档标识符{f₂,f₅,f₇,f₉,f₁₀}返回给数据用户相应的密文{C₂,C₅,C₇,C₉,C₁₀}。

5)DU根据本地标记的3个文档标识符提取密文{C₂,C₇,C₉}并进行解密查看。

与现有技术相比，本发明的技术方案具有以下有益效果：

1、存取模式安全：相比于传统索引构建过程中只是简单的对关键词进行加密(表1)，本方案给出了一个简洁的“安全对索引”构建过程。通过利用k-邻近距离模型、TF-IDF模型、N维列分割比特向量产生了一个真实索引一个假索引进一步地，将真索引与假索引混合形成混合索引P。进一步地，将混合索引与假索引统一通过矩阵乘法进行了加密。进一步地，根据访问关键词对集E，产生最后的安全对索引γ。对于敌手而言这样产生的效果有：第一，假索引、混合索引通过矩阵乘法的计算，使得文档与关键词的包含关系得到了隐藏，这样使得攻击者简单通过索引中的存取模式来判别真实文档与关键词的包含关系变得困难，进一步地，攻击者也不可能成功求解线性方程组来得到混合索引，进一步地，攻击者得不到真索引，也就同样得不到文档与关键词的包含关系，进一步地，这就消除了高频关键词与低频关键词的区别，这样很好地阻止了攻击者通过统计攻击来获得高频关键词的信息。综合地，本技术方案中“安全对索引”的构造方法很好地阻止了攻击者通过存取模式与统计分析方式找到关键词与文档的包含关系以及高频率词汇等信息来使得关键词隐私泄露，这样很好地保护了数据上传者的数据隐私信息不被泄露，达到存取模式安全的目的。

2、搜索模式安全：本方案的检索过程通过访问关键词对集E、安全对索引γ很好地保护了用户的搜索模式不被泄露，进一步地，攻击者也不能利用搜索结果的确定性来获得用户的搜索模式，进一步地，攻击者不能利用搜索用户的搜索模式获取有关访问关键词的信息。因此，攻击者不能利用搜索模式来使得关键词隐私泄，达到搜索模式安全的目的。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (10)

1.一种抗关键词隐私泄露的安全对索引构造方法，其特征在于，包括以下步骤：

S1：数据拥有者DO根据待上传数据文档f_i，利用k-邻近距离模型计算出每个关键词w_j相对于f_i的相关分数Score(w_j,f_i)，并计算真实索引以及加密的访问关键词对集E；

S2:通过真实索引计算假索引以及混合索引P，使用授权秘钥K对假索引和混合索引P进行加密处理，并结合访问关键词对集E得到安全对索引γ；

S3：数据拥有者DO将待上传数据文档加密，得到密文文档集C；

S4：上传I_tag＝(γ,C)给云服务器CSP。

2.根据权利要求1所述的安全对索引构造方法，其特征在于，所述S1包括以下具体步骤：

S1.1：假设待上传数据文档集F＝{f₁,f₂,…,f_i,…,f_N}，其中，f_i为文档标识符，i∈[1,N]；

S1.2：根据系统关键词集M，提取待上传数据文档集F中的关键词w_j组成关键词集M'，其中M′＝{w₁,w₂,…,w_j,…,w_m′}，j为大于零的自然数，m'为M'中关键词的个数；

S1.3：通过计算，产生密钥K＝{S,M₁,M₂}，其中S为一个N维列分割比特向量，M₁,M₂为两个m′×m′的可逆矩阵；

S1.4：通过所述待上传数据文档集F、关键词集M′计算关键词w_j相对于f_i的相关分数Score(w_j,f_i)，并计算真实索引

S1.5：通过关键词集M'计算加密的访问关键词对集E。

3.根据权利要求2所述的安全对索引构造方法，其特征在于，所述S1.4包括以下具体步骤：

数据拥有者DO组合每一个真索引行向量根据真索引行向量计算真实索引其中，T表示矩阵转置。

4.权利要求3所述的安全对索引构造方法，其特征在于，在S1.5中，数据拥有者DO通过授权值b，利用可信任中心TA公开的三个密码学hash函数对关键词集M'中的每个关键词w_j进行加密，其中，hash函数的具体表达式分别为：

5.权利要求4所述的安全对索引构造方法，其特征在于，所述步骤1.5具体包括以下步骤：

S1.5.1：为每个关键词w_j绑定一个“假词”，组成明文访问关键词对其中，是系统关键词集M中存在的任意一个关键词；

S1.5.2：通过hash函数H(x)给每个关键词对加密后获得加密的访问关键词对

并通过hash函数计算加密关键词对的键值

其中,

S1.5.3：对每一对中的e_j、的先后顺序进行随机调换，得到加密的访问关键词对集E。

6.根据权利要求5所述的安全对索引构造方法，其特征在于，所述S2包括以下具体步骤：

S2.1：计算假索引以及关于假索引行向量的密文

对应于真索引行向量根据分割比特向量S计算得到假索引行向量其中，1≤j≤m′；

根据假索引行向量计算得到假索引其中，1≤i≤N，T表示矩阵转置；

对应于假索引通过矩阵乘法计算关于假索引行向量的密文

S2.2：计算混合索引行向量P_i以及关于混合索引行向量P_i的密文I_i：

对应于真索引行向量计算混合索引行向量P_i，并通过混合索引行向量P_i得到混合索引P＝(P₁ P₂ …P_i… P_N)^T，T表示矩阵转置；具体地：

对应于混合索引行向量P_i，执行矩阵乘法运算得到混合索引行向量P_i的密文I_i＝(I_i1I_i2 …I_ij… I_im')；

S2.3：对应于混合索引行向量P_i的密文I_i＝(I_i1 I_i2 …I_ij… I_im')与假索引行向量的密文根据访问关键词对集E计算得到安全对索引γ，具体地：

根据加密关键词对的键值的顺序组合并令文档标识符f_i与对应：则最终的安全对索引γ为：

其中，在γ中，行条目真列条目v_j与假列条目组成列条目对V_j；

7.一种抗关键词隐私泄露的安全对索引检索方法，其特征在于，包括以下步骤：

1)：合法用户DU产生访问关键词集

2)：合法用户DU通过访问关键词集计算访问关键词秘密t_tk和访问关键词搜索陷门f_tk，并将访问关键词秘密t_tk本地保存，将访问关键词搜索陷门f_tk提交给云服务器CSP，其中：

其中，公式(5)、(6)中的w_s表示访问关键词；

3)：云服务器CSP根据合法用户DU提供的访问关键词搜索陷门f_tk获得询问索引集q₁，并将询问索引集q₁反馈给合法用户DU；

4)：合法用户根据自身秘钥设置秘密常数d，并对询问索引集q₁解密，得到符合访问关键词集的D个文档标识符，并将D个文档标识符上传至CSP；

5)：CSP根据D个文档标识符返回相应的D篇密文，用户DU本地解密D-d篇密文来查看相关明文文档内容。

8.根据权利要求7所述的安全对索引检索方法，其特征在于，所述步骤3)的具体步骤为：

云服务器CSP根据合法用户DU提交的访问关键词搜索陷门f_tk执行关键词检索操作获得询问索引集q₁；

依次识别安全对索引γ中的每个列条目对V_j，如果则V_j被提取组合成q₁；其中，q₁的具体表达式如下：

9.根据权利要求8所述的安全对索引检索方法，其特征在于，所述步骤4)的具体步骤为：

数据用户DU收到询问索引集q₁后，根据自身密钥设置秘密常数d，d∈Z^*，对q₁进行解密搜索，得到符合访问关键词集的k+d个文档标识符，令D＝k+d；

4.1)：DU获取安全对索引γ中的前k个文档标识符并将其本地保存；

4.1.1)：DU根据访问关键词秘密t_tk从q₁中提取真列条目v_j用于产生真索引集q₂，具体地，依次识别每个列条目对V_j中的v_j，如果则v_j被提取用于形成真索引集q₂，其中，

4.1.2)：对应于真索引集q₂，合法用户DU根据分割比特向量S生成真询问索引集q₃；

4.1.3)：对应于真询问索引集q₃，DU利用k-邻近距离模型得到前k个文档标识符，具体的：

设置一个y维的访问行向量Q＝(1 1 … 1)，并对访问行向量Q和真询问索引集q₃执行矩阵乘法得到在真询问索引集q₃下f_i与Q的值Score(f_i,Q)；

根据f_i与Q的值Score(f_i,Q)进行降序排名，提取安全对索引γ中的前k个文档标识符；

4.2)：获取前d个文档标识符。

10.根据权利要求8所述的安全对索引检索方法，其特征在于，所述步骤4.2)的具体步骤为：

4.2.1)：DU提取步骤4.1.1)中V_j的剩余用于形成剩余索引集q₄，通过将剩余索引集q₄与一个N维访问行向量Q＝(1 1 … 1)进行矩阵乘法运算得到在剩余索引集q₄下，f_i与Q的值Score′(f_i,Q)；

4.2.2)：DU根据f_i与Q的值Score′(f_i,Q)进行降序排名，提取安全对索引γ中的前d个文档标识符。