CN109902501B - 一种基于云服务平台进行相等性测试的结构化加密方法及系统 - Google Patents

Abstract

本发明公开一种基于云服务平台进行相等性测试的结构化加密方法及系统，方法为：系统初始化，生成系统参数，将系统参数公开；用户根据系统参数生成自身密钥，包括公钥和私钥；消息发送者利用系统参数和目标用户的公钥对结构化消息进行结构化加密，生成结构化消息的密文，将密文上传至云服务器；当需要对密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户利用自身的私钥对密文中待测试的字段进行结构化授权，生成对密文中该字段的授权陷门，将授权陷门上传至云服务器；云服务器收到来自不同用户的密文和授权陷门后，在不恢复明文信息的前提下，根据不同用户的授权陷门，提取用户密文中待测试的字段所对应的消息进行相等性测试。

Description

一种基于云服务平台进行相等性测试的结构化加密方法及 系统

技术领域

本发明涉及数据加密技术领域，更具体地，涉及一种基于云服务平台进行相等性测试的结构化加密方法及系统。

背景技术

目前，云计算通过将计算任务分配在由大量计算机构成的资源池上，来为用户提供所需的计算服务，从而成为了一种新兴的商业计算模式。在云计算的催化下，越来越多的云服务平台开始为企业、服务商等提供广泛的全球计算、数据存储、分析、部署和应用服务，来帮助用户节约IT成本、提高运作效率。但随着大数据挖掘等数据分析技术的发展，用户向云服务平台上传的数据中所含的个人医疗信息、企业商业机密、个人行为习惯等用户隐私也存在了潜在的泄露风险。因此，用户应在上传数据到云端之前先采用密码体制对数据进行加密。然而,由于密文失去了数据的结构性，如何在不恢复明文的前提下对加密数据进行处理，以便云服务平台在保护用户数据隐私的前提下为用户提供高效的服务成为了一个亟待解决的问题。可搜索加密技术的提出，让用户可以在不知明文的前提下对密文进行关键字检索,快速定位云服务器中包含相应关键字的文档，但是该方案只适用于对同一公钥加密的密文进行检索，这极大的局限了方案的实际应用。针对这一问题，Yang等人提出了一个新的密码原语---支持相等性测试的公钥加密技术,该方案可以使云服务器在不解密密文的情况下，判断两个用不同公钥加密的密文是否包含相同的明文。对于同一公钥加密的密文而言，支持相等性测试的公钥加密技术可以实现可搜索加密技术的全部功能，可视为对可搜索加密技术的一种扩展。但在该方案中任意用户都可对密文进行相等性测试，缺乏相应的授权机制，这在一定意义上泄露了用户隐私，因此，一系列带有授权机制的支持相等性测试的公钥加密方案相继被提出。然而,在云服务平台的实际应用场景下,用户数据的来源不同、结构多样，对于由多个字段和相应的字段值构成的结构化消息而言,不同结构的消息中所含的字段不同或字段排列顺序不同。目前现有的支持相等性测试的公钥加密方案皆未考虑结构化消息，仅将消息作为整体进行相等性测试。但在大数据时代，医疗、金融等行业的数据皆具有结构，仅将其数据即结构化消息作为整体进行比对是不切实际的。然而，在现有的支持相等性测试的公钥加密方法中，针对结构化消息，不能在保护消息机密性的同时对结构化消息进行相等性测试，即无法在不解密密文的前提下，对不同公钥加密的密文中特定字段的字段值进行相等性测试，不适用于云服务平台的实际应用场景。

为此，需要一种技术，以实现基于云服务平台进行相等性测试的结构化加密技术。

发明内容

本发明技术方案提供一种基于云服务平台进行相等性测试的结构化加密方法及系统，借助密码学方法,对用户的结构化消息进行加密，在保护消息机密性的同时对结构化消息进行相等性测试，以解决在不解密密文的前提下对用不同用户公钥加密的密文中特定字段的字段值进行相等性测试的问题。

本发明提供了一种基于云服务平台进行相等性测试的结构化加密方法，所述方法包括：

系统初始化，生成系统参数，并将所述系统参数公开；

用户根据所述系统参数生成自身密钥，所述密钥包括公钥和私钥；

消息发送者利用所述系统参数和目标用户的公钥对结构化消息进行结构化加密，生成结构化消息的密文，将所述密文上传至云服务器；

当需要对所述密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户利用自身的私钥对所述密文中待测试的字段进行结构化授权，生成对密文中该字段的授权陷门，将所述授权陷门上传至云服务器；

云服务器收到来自不同用户的密文和授权陷门后，在不恢复明文信息的前提下，根据不同用户的所述授权陷门，提取用户密文中待测试的字段所对应的消息进行相等性测试。

优选地，当需要解密所述密文中某个字段的值时，用户利用自身的私钥对所述密文中待解密的字段进行解密，获取所述字段的明文信息且不泄露其它字段的信息。

优选地，还包括：

运行初始化算法Setup(λ)，输入安全参数λ，生成公开的系统参数PP；

用户运行密钥生成算法KeyGen(PP)，输入系统参数PP，生成自身的公私钥对(PK，SK)，PK为用户的公钥，SK为用户的私钥。

优选地，消息发送者运行结构化加密算法Encrypt(PP，PK，M)对结构化消息进行结构化加密，输入所述系统参数PP、目标用户的公钥PK和结构化消息M＝V₁||V₂||...||V_l，其中V_i(i＝1，...，l)表示字段Field_i对应的字段值，l为结构化消息M所含字段的个数；生成结构化消息的密文C后，将密文C上传至云服务器。

优选地，当需要解密所述密文中某个字段的值时，用户运行结构化解密算法Decrypt(PP，C，SK，Field_i)，输入所述系统参数PP、密文C、自身的私钥SK和待解密字段名Field_i，解密得到所述密文中字段Field_i的字段值V_i且不泄露其他字段的信息。

优选地，还包括：

当需要对所述密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户通过运行授权算法Auth(PP，C，SK，Field_i)，输入所述系统参数PP、密文C、自身的私钥SK和待测试字段名Field_i，生成对密文C中字段Field_i的授权陷门td_i，并将所述授权陷门td_i发送给云服务器；

云服务器收到来自不同用户的所述密文和所述授权陷门后，运行相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，j)，输入所述系统参数PP、用户A的密文C_A和字段Field_i的授权陷门td_A，i以及用户B的密文C_B和字段Field_j的授权陷门td_B，j；若两者所述密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，测试算法返回1；否则返回0。

优选地，还包括：

所述初始化算法Setup(λ)具体过程如下：

Setup(λ)→PP：随机选择阶为素数q的循环群

在循环群

中选择生成元g，选取抗碰撞哈希函数

其中d为

中元素的比特长度；随机选取η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d；设置公开的系统参数为

优选地，还包括：

所述密钥生成算法KeyGen(PP)具体过程如下：

KeyGen(PP)→(PK，SK)：在q阶素域

中选取随机数x、y，设置用户公钥为PK＝(X，Y)＝(g^x，g^y)，设置用户私钥为SK＝(x，y)，其中g为公开的系统参数PP中q阶循环群

的生成元。

优选地，还包括：

所述结构化加密算法Encrypt(PP，PK，M)具体过程如下：

Encrypt(PP，PK，M)→C，其中，公开的系统参数

g为阶为素数q的循环群

的生成元，

为抗碰撞哈希函数，其中d为

中元素的比特长度，η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d；用户公钥PK＝(X，Y)＝(g^x，g^y)；结构化消息M＝V₁||V₂||...||V_l，V_i(i＝1，...，l)表示字段Field_i对应的字段值，

l为结构化消息M所含字段的个数：

选取随机数

计算C₀＝g^r；

计算点：D₀＝(H₁(X^r)，H₂(C₀，X^r))；

对结构化消息M中的每个字段Field_i及相应的字段值V_i(i＝1，...，l)，分别计算点：D_i＝(H₃(X^r，Field_i)，V_i)；

利用Shamir秘密共享，过l+1个点：D₀，D₁，...，D_l构造一个l次插值多项式F_E(x)；

随机选取x_i∈{0，1}^d，i＝1，...，l，计算F_E(x)上的l个点

对结构化消息M中的每个字段值V_i(i＝1，...，l)，构造一个二次插值多项式f_i(u)，并随机选取u_i，1，u_i，2∈{0，1}^d，计算f_i(u)上的两个点(u_i，1，v_i，1)和(u_i，2，v_i，2)；

最终，计算密文C为：

优选地，还包括：

所述对结构化消息M中的每个字段值V_i(i＝1，...，l)构造一个二次插值多项式f_i(u)的方法为：

利用系统参数PP，计算三个点：

利用Shamir秘密共享，过点Q_i，1，Q_i，2，Q_i，3构造一个二次插值多项式f_i(u)。

优选地，还包括：

所述结构化解密算法Decrypt(PP，C，SK，Field_i)具体过程如下：

Decrypt(PP，C，SK，Field_i)→V_i，其中公开的系统参数

g为阶为素数q的循环群

的生成元，

为抗碰撞哈希函数，η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d，其中d为

中元素的比特长度；密文C＝(C₀，C₁，C₂)；用户私钥SK＝(x，y)：

计算点：

使用Shamir秘密共享，经过l+1个点：

构造l次插值多项式F′_E(x)；

计算

恢复V_i；

对于字段值V_i，计算三个点：

利用Shamir秘密共享，过点Q′_i.1，Q′_i.2，Q′_i.3构造一个二次插值多项式f′_i(u)；

用户计算

恢复u_i，1||u_i，2||v_i，1||v_i，2；

若f′_i(u_i，1)＝v_i，1，f′_i(u_i，2)＝v_i，2皆成立，则用户解密成功，输出字段Field_i的字段值V_i；否则用户解密失败，输出⊥。

优选地，还包括：

所述授权算法Auth(PP，C，SK，Field_i)具体过程如下：

Auth(PP，C，SK，Field_i)→td_i：用户根据私钥SK＝(x，y)生成密文C＝(C₀，C₁，C₂)中字段Field_i的授权陷门

其中，H₄为公开的系统参数PP中的抗碰撞哈希函数

为阶为素数q的循环群，d为

中元素的比特长度。

优选地，还包括：

所述相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，j)具体过程如下：

Test(PP，C_A，td_A，i，C_B，td_B，j)→{0，1}：

计算

使用Shamir秘密共享，经过三点(u_A，i，1，v_A，i，1)，(u_A，i，2，v_A，i，2)，(u_B，j，1，v_B，j，1)重构用户A的二次插值多项式f_A，i(u)的秘密值

经过三点(u_B，j，1，v_B，j，1)，(u_B，j，2，v_B，j，2)，(u_A，i，1，v_A，i，1)重构用户B的二次插值多项式f_B，j(u)的秘密值

即计算：

其中，q为公开的系统参数PP中的素数q；

检查

是否成立，若成立，则两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，返回1；否则，两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值不同，返回0。

基于本发明的另一方面，提供一种基于云服务平台进行相等性测试的结构化加密系统，所述系统包括：

初始单元，用于进行系统初始化，生成系统参数，并将所述系统参数公开；

生成单元，用于所述用户根据公开的所述系统参数生成自身密钥，所述密钥包括公钥和私钥；

加密单元，用于所述消息发送者利用所述系统参数和目标用户的公钥对结构化消息进行结构化加密，生成结构化消息的密文，将所述密文上传至云服务器；

授权单元，用于所述用户利用自身的私钥对所述密文中待测试的字段进行结构化授权，生成对密文中该字段的授权陷门，将所述授权陷门上传至云服务器；

测试单元，用于所述云服务器收到来自不同用户的密文和授权陷门后，在不恢复明文信息的前提下，根据不同用户的所述授权陷门，提取用户密文中待测试字段所对应的消息进行相等性测试。

优选地，还包括解密单元，用于所述用户利用自身的私钥对所述密文中待解密的字段进行解密，获取所述字段的明文信息且不泄露其它字段的信息；

优选地，还包括：

所述初始单元还用于：运行初始化算法Setup(λ)，输入安全参数λ，生成公开的系统参数PP；

所述生成单元还用于：用户运行密钥生成算法KeyGen(PP)，输入系统参数PP，生成自身的公私钥对(PK，SK)，PK为用户的公钥，SK为用户的私钥。

优选地，所述加密单元还用于：

消息发送者运行结构化加密算法Encrypt(PP，PK，M)对结构化消息进行结构化加密，输入所述系统参数PP、目标用户的公钥PK和结构化消息M＝V₁||V₂||...||V_l，其中V_i(i＝1，...，l)表示字段Field_i对应的字段值，l为结构化消息M所含字段的个数；生成结构化消息的密文C后，将密文C上传至云服务器。

优选地，所述解密单元还用于：

当需要解密所述密文中某个字段的值时，用户运行结构化解密算法Decrypt(PP，C，SK，Field_i)，输入所述系统参数PP、密文C、自身的私钥SK和待解密字段名Field_i，解密得到所述密文中字段Field_i的字段值V_i且不泄露其他字段的信息。

优选地，还包括：

所述授权单元还用于：当需要对所述密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户通过运行授权算法Auth(PP，C，SK，Field_i)，输入所述系统参数PP、密文C、自身的私钥SK和待测试字段名Field_i，生成对密文C中字段Field_i的授权陷门td_i，并将所述授权陷门td_i发送给云服务器；

所述测试单元还用于：云服务器收到来自不同用户的所述密文和所述授权陷门后，运行相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，j)，输入所述系统参数PP、用户A的密文C_A和字段Field_i的授权陷门td_A，i以及用户B的密文C_B和字段Field_j的授权陷门td_B，j；若两者所述密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，测试算法返回1；否则返回0。

本发明技术方案提供了一种基于云服务平台进行相等性测试的结构化加密方法和系统，本发明技术方案借助密码学方法，对用户的结构化消息进行加密，在保护消息机密性的同时对结构化消息进行相等性测试，即实现在不解密密文的情况下对用不同用户公钥加密的密文中特定字段的字段值进行相等性测试。

附图说明

通过参考下面的附图，可以更为完整地理解本发明的示例性实施方式：

图1为根据本发明优选实施方式的基于云服务平台进行相等性测试的结构化加密方法流程图；

图2为根据本发明优选实施方式的基于云服务平台进行相等性测试的结构性加密方法系统模型图；

图3为根据本发明优选实施方式的基于云服务平台进行相等性测试的结构化加密系统结构图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

图1为根据本发明优选实施方式的基于云服务平台进行相等性测试的结构化加密方法流程图。本申请实施方式提供一种基于云服务平台进行相等性测试的结构化加密方法，方法包括：系统初始化，生成系统参数，并将系统参数公开；用户根据系统参数生成自身密钥，密钥包括公钥和私钥；消息发送者利用系统参数和目标用户的公钥对结构化消息进行结构化加密，生成结构化消息的密文，将密文上传至云服务器；当需要解密密文中某个字段的值时，用户利用自身的私钥对密文中待解密的字段进行解密，获取字段的明文信息且不泄露其它字段的信息；当需要对密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户利用自身的私钥对密文中待测试的字段进行结构化授权，生成对密文中该字段的授权陷门，将授权陷门上传至云服务器；云服务器收到来自不同用户的密文和授权陷门后，在不恢复明文信息的前提下，根据不同用户的授权陷门，提取用户密文中待测试的字段所对应的消息进行相等性测试。如图1所示，一种基于云服务平台进行相等性测试的结构化加密方法，方法包括：

优选地，在步骤101：系统初始化，生成系统参数，并将系统参数公开。

优选地，方法还包括：运行初始化算法Setup(λ)，输入安全参数λ，生成公开的系统参数PP；

优选地，方法还包括：

初始化算法Setup(λ)具体过程如下：

Setup(λ)→PP：随机选择阶为素数q的循环群

在循环群

中选择生成元g，选取抗碰撞哈希函数

其中d为

中元素的比特长度；随机选取η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d；设置公开的系统参数为

优选地，在步骤102：用户根据系统参数生成自身密钥，密钥包括公钥和私钥。

优选地，方法还包括：用户运行密钥生成算法KeyGen(PP)，输入系统参数PP，生成自身的公私钥对(PK，SK)，PK为用户的公钥，SK为用户的私钥。

优选地，方法还包括：

密钥生成算法KeyGen(PP)具体过程如下：

KeyGen(PP)→(PK，SK)：在q阶素域

中选取随机数x、y，设置用户公钥为PK＝(X，Y)＝(g^x，g^y)，设置用户私钥为SK＝(x，y)，其中g为公开的系统参数PP中q阶循环群

的生成元。

优选地，在步骤103：消息发送者利用系统参数和目标用户的公钥对结构化消息进行结构化加密，生成结构化消息的密文，将密文上传至云服务器。

优选地，方法还包括：消息发送者运行结构化加密算法Encrypt(PP，PK，M)对结构化消息进行结构化加密，输入系统参数PP、目标用户的公钥PK和结构化消息M＝V₁||V₂||...||V_l，其中V_i(i＝1，...，l)表示字段Field_i对应的字段值，l为结构化消息M所含字段的个数；生成结构化消息的密文C后，将密文C上传至云服务器。

优选地，方法还包括：

结构化加密算法Encrypt(PP，PK，M)具体过程如下：

Encrypt(PP，PK，M)→C，其中，公开的系统参数

g为阶为素数q的循环群

的生成元，

为抗碰撞哈希函数，其中d为

中元素的比特长度，η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d；用户公钥PK＝(X，Y)＝(g^x，g^y)；结构化消息M＝V₁||V₂||...||V_l，V_i(i＝1，...，l)表示字段Field_i对应的字段值，

l为结构化消息M所含字段的个数：

选取随机数

计算C₀＝g^r；

计算点：D₀＝(H₁(X^r)，H₂(C₀，X^r))；

对结构化消息M中的每个字段Field_i及相应的字段值V_i(i＝1，...，l)，分别计算点：D_i＝(H₃(X^r，Field_i)，V_i)；

利用Shamir秘密共享，过l+1个点：D₀，D₁，...，D_l构造一个l次插值多项式F_E(x)；

随机选取x_i∈{0，1}^d，i＝1，...，l，计算F_E(x)上的l个点

对结构化消息M中的每个字段值V_i(i＝1，...，l)，构造一个二次插值多项式f_i(u)，并随机选取u_i，1，u_i，2∈{0，1}^d，计算f_i(u)上的两个点(u_i，1，v_i，1)和(u_i，2，v_i，2)；

最终，计算密文C为：

优选地，方法还包括：

对结构化消息M中的每个字段值V_i(i＝1，...，l)构造一个二次插值多项式f_i(u)的方法为：

利用系统参数PP，计算三个点：

利用Shamir秘密共享，过点Q_i，1，Q_i，2，Q_i，3构造一个二次插值多项式f_i(u)。

优选地，在步骤104：当需要对密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户利用自身的私钥对密文中待测试的字段进行结构化授权，生成对密文中该字段的授权陷门，将授权陷门上传至云服务器。

优选地，方法还包括：当需要对密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户通过运行授权算法Auth(PP，C，SK，Field_i)，输入系统参数PP、密文C、自身的私钥SK和待测试字段名Field_i，生成对密文C中字段Field_i的授权陷门td_i，并将授权陷门td_i发送给云服务器。

优选地，方法还包括：

授权算法Auth(PP，C，SK，Field_i)具体过程如下：

Auth(PP，C，SK，Field_i)→td_i：用户根据私钥SK＝(x，y)生成密文C＝(C₀，C₁，C₂)中字段Field_i的授权陷门

其中，H₄为公开的系统参数PP中的抗碰撞哈希函数

为阶为素数q的循环群，d为

中元素的比特长度。

优选地，在步骤105：云服务器收到来自不同用户的密文和授权陷门后，在不恢复明文信息的前提下，根据不同用户的授权陷门，提取用户密文中待测试的字段所对应的消息进行相等性测试。

优选地，方法还包括：云服务器收到来自不同用户的密文和授权陷门后，运行相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，j)，输入系统参数PP、用户A的密文C_A和字段Field_i的授权陷门td_A，i以及用户B的密文C_B和字段Field_j的授权陷门td_B，j；若两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，测试算法返回1；否则返回0。

优选地，方法还包括：

相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，_j)具体过程如下：

Test(PP，C_A，td_A，i，C_B，td_B，j)→{0，1}：

计算

使用Shamir秘密共享，经过三点(u_A，i，1，v_A，i，1)，(u_A，i，2，v_A，i，2)，(u_B，j，1，v_B，j，1)重构用户A的二次插值多项式f_A，i(u)的秘密值

经过三点(u_B，j，1，v_B，j，1)，(u_B，j，2，v_B，j，2)，(u_A，i，1，v_A，i，1)重构用户B的二次插值多项式f_B，j(u)的秘密值

即计算：

其中，q为公开的系统参数PP中的素数q；

检查

是否成立，若成立，则两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，返回1；否则，两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值不同，返回0。

优选地，当需要解密密文中某个字段的值时，用户利用自身的私钥对密文中待解密的字段进行解密，获取字段的明文信息且不泄露其它字段的信息。

优选地，方法还包括：当需要解密密文中某个字段的值时，用户运行结构化解密算法Decrypt(PP，C，SK，Field_i)，输入系统参数PP、密文C、自身的私钥SK和待解密字段名Field_i，解密得到密文中字段Field_i的字段值V_i且不泄露其他字段的信息。

优选地，方法还包括：

结构化解密算法Decrypt(PP，C，SK，Field_i)具体过程如下：

Decrypt(PP，C，SK，Field_i)→V_i，其中公开的系统参数

g为阶为素数q的循环群

的生成元，

为抗碰撞哈希函数，η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d，其中d为

中元素的比特长度；密文C＝(C₀，C₁，C₂)；用户私钥SK＝(x，y)：

计算点：

使用Shamir秘密共享，经过l+1个点：

构造l次插值多项式F′_E(x)；

计算

恢复V_i；

对于字段值V_i，计算三个点：

利用Shamir秘密共享，过点Q′_i.1，Q′_i.2，Q′_i.3构造一个二次插值多项式f′_i(u)；

用户计算

恢复u_i，1||u_i，2||v_i，1||v_i，2；

若f′_i(u_i，1)＝v_i，1，f′_i(u_i，2)＝v_i，2皆成立，则用户解密成功，输出字段Field_i的字段值V_i；否则用户解密失败，输出⊥。

本申请基于Shamir秘密共享实现了对结构化消息的加密，在保护消息机密性的同时可对结构化消息进行相等性测试，即在不解密密文的情况下，可对用不同用户公钥加密的密文中特定字段的字段值进行相等性测试，且不会泄露该字段的任何明文信息。

本申请假设云服务器是诚实但好奇的，即云服务器诚实地执行数据存储和密文比对等操作，但有可能会对存储在云服务器中的密文数据进行分析来试图获取相关的明文信息。

本申请提出的基于云服务平台进行相等性测试的结构化加密方法主要实现以下目标：

支持结构化消息：实现对结构化消息的加密，使用户可解密密文中某个特定字段的字段值；并在保护消息机密性的同时，实现对结构化消息的相等性测试，可在不解密密文的情况下，对用不同用户公钥加密的密文中特定字段的字段值进行相等性测试。

高效率：对于结构化消息，利用Shamir秘密共享实现加密、解密和相等性测试算法，无需使用双线性映射，从而提高方案的运算效率，使之更加适用于实际应用场景。

安全性：对于云服务器中存储的密文，只有对应的用户才对该密文进行解密，且用户在解密密文中某个特定字段的字段值时不会泄露其它字段的任何信息；只有当收到用户的授权陷门后，云服务器才可根据用户发送的授权陷门，提取出用户密文中特定字段所对应的消息来进行相等性测试，且不会得知该字段的任何明文信息。

本申请中，使用到的密码学原语为Shamir秘密共享，其具体描述如下：

Shamir秘密共享将秘密y划分为n份，分发给n个成员

当且仅当用户拥有不少于t份子秘密时，可利用拉格朗日插值多项式重构出秘密值y。Shamir秘密共享的具体算法如下：

SS.Setup(λ)：该算法根据安全参数λ，输出一个随机大素数q。

SS.Generation(q，y)：该算法按以下步骤将秘密值

划分为n份子秘密：

1)随机产生一个t-1次多项式f(x)＝a₀+a₁x+...+a_t-1x^t-1(mod q)，其中秘密值y＝a₀＝f(0)，系数

2)随机选取

计算子秘密y_i＝f(x_i)(mod q)，并将y_i安全地发送给成员U_i。

该算法随机根据任意t个点

利用拉格朗日插值多项式重构秘密值y：y＝f(0)＝∑_i∈AΔ_iy_i(mod q)，其中

Δ_i为拉格朗日插值多项式的系数且

图2为根据本发明优选实施方式的基于云服务平台进行相等性测试的结构性加密方法系统模型图。如图2所示，本发明的支持相等性测试的结构化加密方法的系统模型为：

(1)系统初始化，运行初始化算法Setup(λ)，输入安全参数λ，生成公开的系统参数PP。

(2)密钥生成，用户运行密钥生成算法KeyGen(PP)，输入系统参数PP，生成自身的公私钥对(PK，SK)，PK为用户的公钥，SK为用户的私钥。

(3)结构加密，消息发送者运行结构化加密算法Encrypt(PP，PK，M)对结构化消息进行结构化加密，输入系统参数PP、目标用户的公钥PK和结构化消息M＝V₁||V₂||...||V_l，其中V_i(i＝1，...，l)表示字段Field_i对应的字段值，l为结构化消息M所含字段的个数；生成结构化消息的密文C后，将密文C上传至云服务器。

(4)结构解密，当需要解密密文中某个字段的值时，用户运行结构化解密算法Decrypt(PP，C，SK，Field_i)，输入系统参数PP、密文C、自身的私钥SK和待解密字段名Field_i，解密得到密文中字段Field_i的字段值V_i且不泄露其他字段的信息。

(5)授权陷门生成，当需要对密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户通过运行授权算法Auth(PP，C，SK，Field_i)，输入系统参数PP、密文C、自身的私钥SK和待测试字段名Field_i，生成对密文C中字段Field_i的授权陷门td_i，并将授权陷门td_i发送给云服务器。

(6)密文比对，云服务器收到来自不同用户的密文和授权陷门后，运行相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，j)，输入系统参数PP、用户A的密文C_A和字段Field_i的授权陷门td_A，i以及用户B的密文C_B和字段Field_j的授权陷门td_B，j；若两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，测试算法返回1；否则返回0。

本申请中结构化消息表示为：M＝V₁||V₂||...||V_l，V_i(i＝1，...，l)表示字段Field_i对应的字段值，

l为结构化消息M中所含字段的个数。不同结构的消息中所含字段不同或字段相同但字段排列顺序不同。

初始化算法Setup(λ)具体过程如下：

Setup(λ)→PP：随机选择阶为素数q的循环群

在循环群

中选择生成元g，选取抗碰撞哈希函数

其中d为

中元素的比特长度，随机选取η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d，设置公开的系统参数为

密钥生成算法KeyGen(PP)具体过程如下：

KeyGen(PP)→(PK，SK)：在q阶素域

中选取随机数x、y，设置用户公钥为PK＝(X，Y)＝(g^x，g^y)，设置用户私钥为SK＝(x，y)，其中g为公开的系统参数PP中q阶循环群

的生成元。

结构化加密算法Encrypt(PP，PK，M)具体过程如下：

Encrypt(PP，PK，M)→C，其中，公开的系统参数

g为阶为素数q的循环群

的生成元，

为抗碰撞哈希函数，其中d为

中元素的比特长度，η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d；用户公钥PK＝(X，Y)＝(g^x，g^y)；结构化消息M＝V₁||V₂||...||V_l，V_i(i＝1，...，l)表示字段Field_i对应的字段值，

l为结构化消息M所含字段的个数：

选取随机数

计算C₀＝g^r；

计算点：D_o＝(H₁(X^r)，H₂(C₀，X^r))；

对结构化消息M中的每个字段Field_i及相应的字段值V_i(i＝1，...，l)，分别计算点：D_i＝(H₃(X^r，Field_i)，V_i)；

利用Shamir秘密共享，过l+1个点：D₀，D₁，...，D_l构造一个l次插值多项式F_E(x)；

随机选取x_i∈{0，1}^d，i＝1，...，l，计算F_E(x)上的l个点

对结构化消息M中的每个字段值V_i(i＝1，...，l)，利用系统参数PP，分别计算三个点：

利用Shamir秘密共享，过点Q_i，1，Q_i，2，Q_i，3构造一个二次插值多项式f_i(u)，并随机选取u_i，1，u_i，2∈{0，1}^d，计算f_i(u)上的两个点(u_i，1，v_i，1)和(u_i，2，v_i，2)；

最终，计算密文C为：

结构化解密算法Decrypt(PP，C，SK，Field_i)具体过程如下：

Decrypt(PP，C，SK，Field_i)→V_i，其中公开的系统参数

g为阶为素数q的循环群

的生成元，

为抗碰撞哈希函数，η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d，其中d为

中元素的比特长度；密文C＝(C₀，C₁，C₂)；用户私钥SK＝(x，y)：

计算点：

使用Shamir秘密共享，经过l+1个点：

构造l次插值多项式F′_E(x)；

计算

恢复V_i；

对于字段值V_i，计算三个点：

利用Shamir秘密共享，过点Q′_i.1，Q′_i.2，Q′_i.3构造一个二次插值多项式f_i(u)；

用户计算

恢复u_i，1||u_i，2||v_i，1||v_i，2；

若f′_i(u_i，1)＝v_i，1，f′_i(u_i，2)＝v_i，2皆成立，则用户解密成功，输出字段Field_i的字段值V_i；否则用户解密失败，输出⊥。

授权算法Auth(PP，C，SK，Field_i)具体过程如下：

Auth(PP，C，SK，Field_i)→td_i：用户根据私钥SK＝(x，y)生成密文C＝(C₀，C₁，C₂)中字段Field_i的授权陷门

其中，H₄为公开的系统参数PP中的抗碰撞哈希函数

为阶为素数q的循环群，d为

中元素的比特长度。

相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，_j)具体过程如下：

Test(PP，C_A，td_A，i，C_B，td_B，j)→{0，1}：

计算

使用Shamir秘密共享，经过三点(u_A，i，1，v_A，i，1)，(u_A，i，2，v_A，i，2)，(u_B，j，1，v_B，j，1)重构用户A的二次插值多项式f_A，i(u)的秘密值

经过三点(u_B，j，1，v_B，j，1)，(u_B，j，2，v_B，j，2)，(u_A，i，1，v_A，i，1)重构用户B的二次插值多项式f_B，j(u)的秘密值

即计算：

其中，q为公开的系统参数PP中的素数q；

检查

是否成立，若成立，则两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，返回1；否则，两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值不同，返回0。

正确性分析

1)本发明中数据解密过程的正确性证明如下：

对于任意结构化消息M＝V₁||V₂||...||V_l，V_i(i＝1，...，l)表示字段Field_i对应的字段值且

l为结构化消息M中所含字段的个数，应有以下公式成立：V_i＝Decrypt(PP，Encrypt(PP，PK，M)，SK，Field_i)。

给定结构化消息M的密文C＝Encrypt(PP，PK，M)＝(C₀，C₁，C₂)：

由于

是l次插值多项式FE(x)上的l个点，而F_E(x)是根据用户公钥PK＝(X，Y)＝(g^x，g^y)，利用Shamir秘密共享，经过l+1个点D₀，D₁，...，D_l构造的，其中，

D₀＝(H₁(X^r)，H₂(C₀，X^r))＝(H₁(g^rx)，H₂(g^r，g^rx))，

D_i＝(H₃(X^r，Field_i)，V_i)＝(H₃(g^rx，Field_i)，V_i)(i＝1，...，l)。

所以根据以上l次插值多项式F_E(x)的构造方法可知，若用户使用私钥SK＝(x，y)计算出点

再使用Shamir秘密共享，经过l+1个点：

可重构出l次插值多项式F′_E(x)＝F_E(x)。随后计算

并利用系统参数

计算三点：

利用Shamir秘密共享，过点Q′_i.1，Q′_i.2，Q′_i.3可构造二次插值多项式f′_i(u)。

又由于

其中(u_i，1，v_i，1)、(u_i，2，v_i，2)是二次插值多项式f_i(u)上的点，而f_i(u)是根据系统参数PP，利用Shamir秘密共享，经过三点Q_i，1，Q_i，2，Q_i，3构造的，其中

所以根据以上二次插值多项式f′_i(u)、f_i(u)的构造方法可知，若V′_i＝V_i，则必有f′_i(u)＝f_i(u)成立。反之，若V′_i≠V_i，因为

匀抗碰撞哈希函数，所以Pr[f′_i(u)＝f_i(u)]可忽略不计。因此，若f′_i(u_i，1)＝v_i，1，f′_i(u_i，2)＝v_i，2皆成立，则V′_i＝V_i，用户解密成功，输出字段Field_i对应的字段值V′_i；否则用户解密失败，输出⊥。

2)本发明中相等性测试过程的正确性证明如下：

对于密文C_A＝Encrypt(PP，PK_A，M_A)、C_B＝Encrypt(PP，PK_B，M_B)和相应的陷门td_A，i＝Auth(PP，C_A，SK_A，Field_i)、td_B，j＝Auth(PP，C_B，SK_B，Field_j)而言，应有以下公式成立：

若V_A，i＝V_B，j，则有Test(PP，C_A，td_A，i，C_B，td_B，j)＝1；否则Pr[Test(PP，C_A，td_A，i，C_B，td_B，j)＝1]应可忽略不计。

首先计算：

同理，

由于

其中(u_A，i，1，v_A，i，1)、(u_A，i，2，v_A，i，2)是二次插值多项式f_A，i(u)上的点，而f_A，i(u)是根据系统参数PP，利用Shamir秘密共享，经过三点Q_A，i，1，Q_A，i，2，Q_A，i，3构造的，其中，

同理，C_B，2，j的二次插值多项式f_B，j(u)是根据系统参数PP，利用Shamir秘密共享，经过三点Q_B，j，1，Q_B，j，2，Q_B，j，3构造的，其中，

所以根据以上二次插值多项式f_A，i(u)，f_B，j(u)的构造方法可知，若V_A，i＝V_B，j，则必有f_A，i(u)＝f_B，j(u)成立。因此，对于f_A，i(u)上的点(u_A，i，1，v_A，i，1)、(u_A，i，2，v_A，i，2)和f_B，j(u)上的点(u_B，j，1，vB_，j，1)、(u_B，j，2，v_B，j，2)而言，若V_A，i＝V_B，j，则点(u_A，i，1，v_A，i，1)、(u_A，i，2，v_A，i，2)、(u_B，j，1，v_B，j，1)、(u_B，j，2，vB，_j，2)皆为二次插值多项式f_A，i(u)、f_B，j(u)上的有效点，那么根据Shamir秘密共享，利用三点(u_A，i，1，v_A，i，1)、(u_A，i，2，v_A，i，2)、(u_B，j，1，v_B，j，1)可重构出秘密值

同理，利用三个点(u_B，j，1，v_B，j，1)、(u_B，j，2，v_B，j，2)、(u_A，i，1，v_A，i，1)可重构出秘密值

因此，若V_A，i＝V_B，j，则

即Test(PP，C_A，td_A，i，C_B，td_B，j)＝1。

反之，若V_A，i≠V_B，j，因为

为抗碰撞哈希函数，所以Pr[f_A，i(u)＝f_B，j(u)]可忽略不计，故Pr[f_A，i(u_B，j，1)＝v_B，j，1]和Pr[f_B，j(u_A，i，1)＝v_A，i，1]可忽略不计。所以，若V_A，i≠V_B，j，则利用点(u_A，i，1，v_A，i，1)、(u_A，i，2，v_A，i，2)、(u_B，j，1，v_B，j，1)构造出正确的f_A，i(u)和利用点(u_B，j，1，v_B，j，1)、(u_B，j，2，v_B，j，2)、(u_A，i，1，v_A，i，1)构造出正确的f_B，j(u)的概率可忽略不计。因此，若V_A，i≠V_B，j，则

和

可忽略不计，即Pr[Test(PP，C_A，td_A，i，C_B，td_B，j)＝1]可忽略不计。

综上，对本发明的相等性测试过程而言：

若V_A，i＝V_B，j，则有Test(PP，C_A，td_A，i，C_B，td_B，j)＝1；否则，Pr[Test(PP，C_A，td_A，i，C_B，td_B，j)＝1]应可忽略不计。

本申请实现的技术效果与现有技术的对比如表1所示。

表1

其中，T_段表示一次幂运算的时间，T_息表示一次双线性映射(Pairing)的时间，T_m表示一次乘法运算的时间，T_I表示一次模逆运算的时间，l表示该结构化消息中字段的个数。与这些运算相比，其他运算例如哈希运算等速度较快，可以忽略不计。

本申请的优点及积极效果为：基于Shamir秘密共享实现了对结构化消息的加密，解密时用户可解密密文中某个特定字段的字段值，而不泄露其它字段的任何信息。本发明可在保护消息机密性的同时对结构化消息进行相等性测试，使用户在不解密密文的情况下，可对用不同用户公钥加密的密文中特定字段的字段值进行相等性测试，且不会得知该字段的任何明文信息。另外，本发明基于Shamir秘密共享的重构算法实现结构化加密和相等性测试，而无需使用双线性映射，进一步提高了方案的运算效率。

图3为根据本发明优选实施方式的基于云服务平台进行相等性测试的结构化加密系统结构图。如图3所示，一种基于云服务平台进行相等性测试的结构化加密系统，系统包括：

初始单元301，用于进行系统初始化，生成系统参数，并将系统参数公开。

生成单元302，用于用户根据公开的系统参数生成自身密钥，密钥包括公钥和私钥。

加密单元303，用于消息发送者利用系统参数和目标用户的公钥对结构化消息进行结构化加密，生成结构化消息的密文，将密文上传至云服务器。

授权单元304，用于用户利用自身的私钥对密文中待测试的字段进行结构化授权，生成对密文中该字段的授权陷门，将授权陷门上传至云服务器。

测试单元305，用于云服务器收到来自不同用户的密文和授权陷门后，在不恢复明文信息的前提下，根据不同用户的授权陷门，提取用户密文中待测试字段所对应的消息进行相等性测试。

优选地，系统还包括解密单元，用于用户利用自身的私钥对密文中待解密的字段进行解密，获取字段的明文信息且不泄露其它字段的信息。

优选地，系统中：

初始单元301还用于：运行初始化算法Setup(λ)，输入安全参数λ，生成公开的系统参数PP。

生成单元302还用于：用户运行密钥生成算法KeyGen(PP)，输入系统参数PP，生成自身的公私钥对(PK，SK)，PK为用户的公钥，SK为用户的私钥。

优选地，系统加密单元303还用于：

消息发送者运行结构化加密算法Encrypt(PP，PK，M)对结构化消息进行结构化加密，输入系统参数PP、目标用户的公钥PK和结构化消息M＝V₁||V₂||...||V_l，其中V_i(i＝1，...，l)表示字段Field_i对应的字段值，l为结构化消息M所含字段的个数；生成结构化消息的密文C后，将密文C上传至云服务器。

优选地，系统还包括：

授权单元304还用于：当需要对密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户通过运行授权算法Auth(PP，C，SK，Field_i)，输入系统参数PP、密文C、自身的私钥SK和待测试字段名Field_i，生成对密文C中字段Field_i的授权陷门td_i，并将授权陷门td_i发送给云服务器；

测试单元305还用于：云服务器收到来自不同用户的密文和授权陷门后，运行相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，j)，输入系统参数PP、用户A的密文C_A和字段Field_i的授权陷门td_A，i以及用户B的密文C_B和字段Field_j的授权陷门td_B，j；若两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，测试算法返回1；否则返回0。

优选地，解密单元还用于：

当需要解密密文中某个字段的值时，用户运行结构化解密算法Decrypt(PP，C，SK，Field_i)，输入系统参数PP、密文C、自身的私钥SK和待解密字段名Field_i，解密得到密文中字段Field_i的字段值V_i且不泄露其他字段的信息。

本发明优选实施方式的基于云服务平台进行相等性测试的结构化加密系统300与本发明另一优选实施方式的用于云服务平台进行相等性测试的结构性加密方法100相对应，在此不再进行赘述。

已经通过参考少量实施方式描述了本发明。然而，本领域技术人员所公知的，正如附带的专利权利要求所限定的，除了本发明以上公开的其他的实施例等同地落在本发明的范围内。

通常地，在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释，除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例，除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行，除非明确地说明。

Claims (17)

1.一种基于云服务平台进行相等性测试的结构化加密方法，所述方法包括：

系统初始化，生成系统参数，并将所述系统参数公开；

用户根据所述系统参数生成自身密钥，所述密钥包括公钥和私钥；

消息发送者利用所述系统参数和目标用户的公钥对结构化消息进行结构化加密，生成结构化消息的密文，将所述密文上传至云服务器；

当需要对所述密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户利用自身的私钥对所述密文中待测试的字段进行结构化授权，生成对密文中该字段的授权陷门，将所述授权陷门上传至云服务器；

云服务器收到来自不同用户的密文和授权陷门后，在不恢复明文信息的前提下，根据不同用户的所述授权陷门，提取用户密文中待测试的字段所对应的消息进行相等性测试，包括：

当需要对所述密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户通过运行授权算法Auth(PP，C，SK，Field_i)，输入所述系统参数PP、密文C、自身的私钥SK和待测试字段名Field_i，生成对密文C中字段Field_i的授权陷门td_i，并将所述授权陷门td_i发送给云服务器；

云服务器收到来自不同用户的所述密文和所述授权陷门后，运行相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，j)，输入所述系统参数PP、用户A的密文C_A和字段Field_i的授权陷门td_A，i以及用户B的密文C_B和字段Field_j的授权陷门td_B，j；若两者所述密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，测试算法返回1；否则返回0。

2.根据权利要求1所述的方法，当需要解密所述密文中某个字段的值时，用户利用自身的私钥对所述密文中待解密的字段进行解密，获取所述字段的明文信息且不泄露其它字段的信息。

3.根据权利要求1所述的方法，还包括：

运行初始化算法Setup(λ)，输入安全参数λ，生成公开的系统参数PP；

用户运行密钥生成算法KeyGen(PP)，输入系统参数PP，生成自身的公私钥对(PK，SK)，PK为用户的公钥，SK为用户的私钥。

4.根据权利要求3所述的方法，还包括：

消息发送者运行结构化加密算法Encrypt(PP，PK，M)对结构化消息进行结构化加密，输入所述系统参数PP、目标用户的公钥PK和结构化消息M＝V₁||V₂||…||V_l，其中V_i(i＝1，...，l)表示字段Field_i对应的字段值，l为结构化消息M中所含字段的个数；生成结构化消息M的密文C后，将密文C上传至云服务器。

5.根据权利要求2所述的方法，还包括：

当需要解密所述密文中某个字段的值时，用户运行结构化解密算法Decrypt(PP，C，SK，Field_i)，输入所述系统参数PP、密文C、自身的私钥SK和待解密字段名Field_i，解密得到所述密文中字段Field_i的字段值V_i且不泄露其他字段的信息。

6.根据权利要求3所述的方法，还包括：

所述初始化算法Setup(λ)具体过程如下：

Setup(λ)→PP：随机选择阶为素数q的循环群

在循环群

中选择生成元g，选取抗碰撞哈希函数

其中d为

中元素的比特长度；随机选取η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d；设置公开的系统参数为

7.根据权利要求3所述的方法，还包括：

所述密钥生成算法KeyGen(PP)具体过程如下：

KeyGen(PP)→(PK，SK)：在q阶素域

中选取随机数x、y，设置用户公钥为PK＝(X，Y)＝(g^x，g^y)，设置用户私钥为SK＝(x，y)，其中g为公开的系统参数PP中q阶循环群

的生成元。

8.根据权利要求4所述的方法，还包括：

所述结构化加密算法Encrypt(PP，PK，M)具体过程如下：

Encrypt(PP，PK，M)→C，其中，公开的系统参数

g为阶为素数q的循环群

的生成元，

为抗碰撞哈希函数，其中d为

中元素的比特长度，η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d；用户公钥PK＝(X，Y)＝(g^x，g^y)；结构化消息M＝V₁||V₂||…||V_l，V_i(i＝1，...，l)表示字段Field_i对应的字段值，

l为结构化消息M所含字段的个数：

选取随机数

计算C₀＝g^r；

计算点：D₀＝(H₁(X^r)，H₂(C₀，X^r))；

对结构化消息M中的每个字段Field_i及相应的字段值V_i(i＝1，...，l)，分别计算点：D_i＝(H_a(X^r，Field_i)，V_i)；

利用Shamir秘密共享，过l+1个点：D₀，D₁，...，D_l构造一个l次插值多项式F_E(x)；

随机选取x_i∈{0，1}^d，i＝1，...，l，计算F_E(x)上的l个点

对结构化消息M中的每个字段值V_i(i＝1，...，l)，构造一个二次插值多项式r_i(u)，并随机选取u_i，1，u_i，2∈{0，1}^d，计算f_i(u)上的两个点(u_i，1，v_i，1)和(u_i，2，v_i，2)；

最终，计算密文C为：

9.根据权利要求8所述的方法，还包括：

所述对结构化消息M中的每个字段值V_i(i＝1，...，l)构造一个二次插值多项式f_i(u)的方法为：

利用系统参数PP，计算三个点：

利用Shamir秘密共享，过点Q_i，1，Q_i，2，Q_i，3构造一个二次插值多项式f_i(u)。

10.根据权利要求5所述的方法，还包括：

所述结构化解密算法Decrypt(PP，C，SK，Field_i)具体过程如下：

Decrypt(PP，C，SK，Field_i)→V_i，其中公开的系统参数

g为阶为素数q的循环群

的生成元，

为抗碰撞哈希函数，η₁，η₂，η₃，η₄，η₅，η₆∈{0，1}^d，其中d为

中元素的比特长度；密文C＝(C₀，C₁，C₂)；用户私钥SK＝(x，y)：

计算点：

使用Shamir秘密共享，经过l+1个点：

构造l次插值多项式F′_E(x)；

计算

恢复V_i；

对于字段值V_i，计算三个点：

利用Shamir秘密共享，过点Q′_i，1，Q′_i，2，Q′_i，3构造一个二次插值多项式f′_i(u)；

用户计算

恢复u_i，1||u_i，2||v_i，1||v_i，2；

若f′_i(u_i，1)＝v_i，1，f′_i(u_i，2)＝v_i，2皆成立，则用户解密成功，输出字段Field_i的字段值V_i；否则用户解密失败，输出⊥。

11.根据权利要求1所述的方法，还包括：

所述授权算法Auth(PP，C，SK，Field_i)具体过程如下：

Auth(PP，C，SK，Field_i)→td_i：用户根据私钥SE＝(x，y)生成密文C＝(C₀，C₁，C₂)中字段Field_i的授权陷门

其中，H₄为公开的系统参数PP中的抗碰撞哈希函数

为阶为素数q的循环群，d为

中元素的比特长度。

12.根据权利要求1所述的方法，还包括：

所述相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，j)具体过程如下：

Test(PP，C_A，td_A，i，C_B，td_B，j)→{0，1}：

计算

使用Shamir秘密共享，经过三点(u_A，i，1，v_A，i，1)，(u_A，i，2，v_A，i，2)，(u_B，j，1，v_B，j，1)重构用户A的二次插值多项式f_A，i(u)的秘密值

经过三点(u_B，j，1，v_B，j，1)，(u_B，j，2，v_B，j，2)，(u_A，i，1，v_A，i，1)重构用户B的二次插值多项式f_B，j(u)的秘密值

即计算：

其中，q为公开的系统参数PP中的素数q；

检查

是否成立，若成立，则两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，返回1；否则，两者密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值不同，返回0。

13.一种基于云服务平台进行相等性测试的结构化加密系统，所述系统包括：

初始单元，用于进行系统初始化，生成系统参数，并将所述系统参数公开；

生成单元，用于用户根据公开的所述系统参数生成自身密钥，所述密钥包括公钥和私钥；

加密单元，用于消息发送者利用所述系统参数和目标用户的公钥对结构化消息进行结构化加密，生成结构化消息的密文，将所述密文上传至云服务器；

授权单元，用于所述用户利用自身的私钥对所述密文中待测试的字段进行结构化授权，生成对密文中该字段的授权陷门，将所述授权陷门上传至云服务器；所述授权单元还用于：当需要对所述密文中某个字段的值同其它用户密文中相应字段的值做相等性测试时，用户通过运行授权算法Auth(PP，C，SK，Field_i)，输入所述系统参数PP、密文C、自身的私钥SK和待测试字段名Field_i，生成对密文C中字段Field_i的授权陷门td_i，并将所述授权陷门td_i发送给云服务器；

测试单元，用于所述云服务器收到来自不同用户的密文和授权陷门后，在不恢复明文信息的前提下，根据不同用户的所述授权陷门，提取用户密文中待测试字段所对应的消息进行相等性测试；所述测试单元还用于：云服务器收到来自不同用户的所述密文和所述授权陷门后，运行相等性测试算法Test(PP，C_A，td_A，i，C_B，td_B，j)，输入所述系统参数PP、用户A的密文C_A和字段Field_i的授权陷门td_A，i以及用户B的密文C_B和字段Field_j的授权陷门td_a，j；若两者所述密文中用户A的字段Field_i和用户B的字段Field_j所对应的字段值相同，测试算法返回1；否则返回0。

14.根据权利要求13所述的系统，还包括解密单元，用于所述用户利用自身的私钥对所述密文中待解密的字段进行解密，获取所述字段的明文信息且不泄露其它字段的信息。

15.根据权利要求13所述的系统，还包括

所述初始单元还用于：运行初始化算法Setup(λ)，输入安全参数λ，生成公开的系统参数PP；

所述生成单元还用于：用户运行密钥生成算法KeyGen(PP)，输入系统参数PP，生成自身的公私钥对(PK，SK)，PK为用户的公钥，SK为用户的私钥。

16.根据权利要求15所述的系统，所述加密单元还用于：

消息发送者运行结构化加密算法Encrypt(PP，PK，M)对结构化消息进行结构化加密，输入所述系统参数PP、目标用户的公钥PK和结构化消息M＝V₁||V₂||…||V_l，其中V_i(i＝1，...，l)表示字段Field_i对应的字段值，l为结构化消息M所含字段的个数；生成结构化消息的密文C后，将密文C上传至云服务器。

17.根据权利要求14所述的系统，所述解密单元还用于：

当需要解密所述密文中某个字段的值时，用户运行结构化解密算法Decrypt(PP，C，SK，Field_i)，输入所述系统参数PP、密文C、自身的私钥SK和待解密字段名Field_i，解密得到所述密文中字段Field_i的字段值V_i且不泄露其他字段的信息。

Images