CN110457915B - 高效且具有前后向安全性的可搜索对称加密方法及系统 - Google Patents

Abstract

本发明公开了高效且具有前后向安全性的可搜索对称加密方法及系统，属于云存储安全领域，包括：检索客户端生成密文后并发送至检索服务器，以将该密文存储于密文数据库中；所生成的密文包括密文索引、随机比特串、密文元信息以及加密后的文件标识；密文元信息包括该密文的操作符，上一操作的密文索引和检索陷门，以及待删除的密文索引；进行关键字检索时，检索客户端从私有状态表获取与该关键字相关的文件标识和操作符，以生成密文索引和检索陷门，并发送到检索服务器；检索服务器从密文数据库获得与该关键字相关的所有密文，删除需要删除的密文后获得结果集合，并发送给检索客户端。本发明实现了对可搜索密文的高效检索并同时保证了前后向安全性。

Description

高效且具有前后向安全性的可搜索对称加密方法及系统

技术领域

本发明属于云存储安全领域，更具体地，涉及一种高效且具有前后向安全性的可搜索对称加密方法及系统。

背景技术

随着云计算与云存储技逐渐成熟，成本逐渐下降，用户更加倾向于将自己的文件等数据保存在云端，也就是数据的外包存储。外包存储技术使得用户不必担心自己的本地设备损坏或丢失所带来的数据失效问题，并且释放了用户本地设备有限的存储空间。但是这也带来了一个问题，就是用户如何保护自己数据中的隐私信息不被服务器获取。解决外包存储技术中数据隐私保护问题的主要方法就是在上传数据前先对数据进行加密。而为了在加密数据后，让数据依然具有良好的可用性，便于用户检索与取用，可搜索加密技术应运而生。可搜索加密技术分为可搜索对称加密与可搜索公钥加密，其中可搜索公钥加密技术主要应用在加密文件分享的场景中，并且检索效率低下。因此，可搜索对称加密技术在外包存储技术中应用更为广泛。

对于实用化的可搜索对称加密方法来说，检索效率和前、后向安全性都是非常重要的。所谓前向安全，是指云存储系统中，检索服务器无法使用用户在前面提交的检索陷门去对用户在后面上传的可搜索密文进行检索；所谓后向安全，是指检索服务器无法获取用户已经删除的密文中保存的文件标识。如果可搜索对称加密方法不够高效，那么检索服务器在进行检索时就需要花费更多的时间和资源，降低效率；如果可搜索对称加密方法不能同时实现前向安全和后向安全，那么用户上传检索陷门之后，与该陷门相关的可搜索密文，以及已经被用户删除的可搜索密文，都将与其他可搜索密文具有可区分性，降低了算法的安全性。

传统的可搜索对称加密方法中，为了保证后向安全性，往往依赖于ORAM(Oblivious Random Access Machine，不经意随机访问机)或者puncturable encryption(穿刺加密)，这两种机制开销极大，这使得具有前、后向安全的可搜索对称加密方法往往不够高效，而高效的可搜索对称加密方法往往不具有前、后向安全性。总的来说，现有的可搜索对称加密方法无法同时获得高检索效率和前后向安全性(前向安全性和后向安全性)。

发明内容

针对现有技术的缺陷和改进需求，本发明提供了一种高效且具有前后向安全性的可搜索对称加密方法及系统，旨在解决现有的可搜索对称加密方法无法同时获得高检索效率和前后向安全性的问题。

为实现上述目的，按照本发明的第一方面，提供了一种高效且具有前后向安全性的可搜索对称加密方法，包括：密文生成步骤和关键字检索步骤；

检索服务器和检索客户端中分别初始化了密文数据库EDB和私有状态表LastOp；密文数据库EDB用于存储检索客户端上传的密文，密文与关键字、文件标识以及操作符相关；私有状态表LastOp用于存储关键字及与该关键字相关的最近一次操作所对应的文件标识和操作符，私有状态表LastOp对外不可访问；操作符用于指示密文操作类型；

密文生成步骤包括：

(a1)在检索客户端，对于当前操作，根据待操作的关键字w、文件标识id以及相应的操作符op分别计算当前操作对应的密文索引L和检索陷门T，对文件标识id进行加密以得到加密后的文件标识C，并随机生成二进制长度为λ的比特串R；λ为预先定义的安全参数，检索陷门T和比特串R用于在检索服务器端解析密文；

(a2)生成当前操作所对应的密文元信息D，密文元信息D由检索陷门T和比特串R加密生成，并包含操作符op；

若能够从私有状态表LastOp中成功查询到与关键字w相关的上一个操作相对应的文件标识id′和操作符op′，则密文元信息D中还包含与关键字w相关的上一个操作所对应的密文索引L′和检索陷门T′；检索陷门T′根据关键字w、文件标识id′和操作符op′计算得到；检索陷门T′用于在检索服务器端解析密文；能够从私有状态表LastOp中成功查询到与关键字w相关的上一个操作相对应文件标识和操作符，说明此前已经通过添加密文操作或者删除密文操作将与关键字w相关的密文存储到了密文数据库中，此时将上一个操作相对应的密文索引L′和检索陷门T′加密到当前操作对应的密文元信息中，L′和T′只有在检索服务器检索到对应的密文时，才会被解密并暴露给服务器，用于继续对前一条可搜索密文进行检索，由此能够在密文数据中维护密文间的隐藏关系链，并且在密文索引和检索陷门发生改变的情况下，仍然维持密文间隐藏关系的完整性；

若当前操作为删除密文操作，则密文元信息D中还包含待删除密文的密文索引A；

(a3)由密文索引L、比特串R、密文元信息D和加密后的文件标识C构成当前操作所对应的密文(L,R,D,C)，并上传至检索服务器，以使得检索服务器根据密文索引L将该密文存储到密文数据库EDB中；由于所有可搜索密文中保存的文件标识都是加密的，因此检索服务器无法获得已经删除的可搜索密文中所保存的文件标识，由此保证了后向安全性；

(a4)将私有状态表LastOp中与关键字w相关的文件标识和操作符分别更新为文件标识id和操作符op；

关键字检索步骤包括：

(b1)在检索客户端，根据待检索的关键字w_s查询私有状态表LastOp，以获取与关键字w_s相关的最近一次操作所对应的文件标识id_s和操作符op_s，若获取失败，则操作结束；否则，转入步骤(b2)；

(b2)根据关键字w_s、文件标识id_s以及操作符op_s计算密文索引L_s和检索陷门T_s，并将密文索引L_s连同检索陷门T_s一起发送至检索服务器，以使得检索服务器开始执行针对关键字w_s的检索操作；

(b3)检索服务器根据密文索引L_s查询密文数据库EDB，以获得相应的密文，并从该密文开始依次向前检索，以获得与关键字w_s相关的所有密文并进行解析，将其中删除密文操作所对应的密文及待删除的密文均删除后，将剩余密文中的加密后的文件标识按照密文被检索的顺序组织为结果集合S；根据密文元信息中所包含的上一操作所对应的密文索引和检索陷门，能够在检索服务器端，将与同一个关键字相关联的所有可搜索密文连接起来，这使得检索服务器在检索时，所处理的所有可搜索密文都是关联于同一个关键字w_s的，由此实现了与同一个关键字w_s所对应检索密文数量线性相关的检索复杂度，也即是说，本发明将密文的检索时间复杂度降为了亚线性级，实现了高效检索；

(b4)由检索服务器将结果集合S返回给检索客户端，从而完成针对关键字w_s的检索操作；在每一次通过添加密文操作或删除密文操作更新密文数据库之后，更新私有状态表LastOp中与关键字w相关的文件标识和操作符，使得每一次针对关键字进行索引时，所生成的密文索引和检索陷门都会发生改变，从而检索客户端当前生成的检索陷门，只能对当前时刻以前上传的可搜索密文进行检索，而不能对该时刻之后生成并上传的可搜索密文进行检索，保证了前向安全性。

进一步地，关键字检索步骤还包括：

检索客户端接收到结果集合S后，若

则操作结束；

若

则依次获取其中的元素并解密，从而获得当前密文数据库EDB中与关键字w_s相关的所有文件标识{id₁,id₂,…id_n}，并在解密完成后，将私有状态表LastOp中与关键字w_s相关的文件标识和操作符分别更新为id₁和添加密文操作符；

其中，n为结果集合S中的元素个数，id_i表示根据结果集合S中第i个元素解密得到的文件标识，1≤i≤n。

进一步地，对于任意一个操作，相应的关键字、文件标识和操作符分别为w₀、id₀和op₀，该操作相对应的密文索引L₀的计算方法为：

L₀＝F(K₁,w₀||id₀||op₀)；

其中，F为预先设定的伪随机函数，其输出比特串的二进制长度为λ，K₁为从伪随机函数F的密钥空间中随机选取的密钥，||表示比特串连接操作。

进一步地，与密文索引L₀相对应的检索陷门T₀的计算方法为：

T₀＝F(K₂,w₀||id₀||op₀)；

其中，K₂为从伪随机函数F的密钥空间中随机选取的密钥，K₂≠K₁。

进一步地，步骤(a2)包括：

从私有状态表LastOp中查询与关键字w相关的上一个操作相对应的文件标识id′和操作符op′，若查询不成功，则生成当前操作所对应的密文元信息D为：

若查询成功，且当前操作为删除密文操作，则根据关键字w、文件标识id′和操作符op′计算与关键字w相关的上一个操作所对应的密文索引L′和检索陷门T′，并计算待删除密文的密文索引为A＝F(K₁,w||id||add)后，生成当前操作所对应的密文元信息D为：

若查询成功，且当前操作为添加密文操作，则根据关键字w、文件标识id′和操作符op′计算与关键字w相关的上一个操作所对应的密文索引L′和检索陷门T′后，生成当前操作所对应的密文元信息D为：

其中，H为预先设定的密码学哈希函数，其输出比特串的二进制长度为3λ+x，x为操作符的二进制长度，add表示添加密文操作的操作符，

表示异或操作，0^λ和0^3λ分别表示二进制长度为λ和3λ的全零比特串。

进一步地，步骤(b3)包括：

(b301)在检索服务器端，初始化5个初值为NULL临时变量(L^t,R^t,D^t,C^t,T^t)，以及两个空集S₁和S₂；

(b302)根据密文索引L_s查询密文数据库EDB，以获取到相应密文EDB[L_s]，并由

解析该密文；

R_s和D_s分别表示密文EDB[L_s]中的随机比特串和密文元信息，op_s、A_s、L_s′和T_s′分别表示从密文元信息D_s中解析出的操作符、待删除密文的密文索引、以及与待检索的关键字w_s相关的上一操作所对应的密文索引和检索陷门；

(b303)若op_s＝del且L^t≠NULL，则转入步骤(b304)；若op_s＝del且L^t＝NULL，则转入步骤(b305)；若op_s＝add且L_s∈S₂，则转入步骤(b306)；若op_s＝add且

则转入步骤(b308)；

(b304)更新临时变量D^t为

后，更新密文数据库EDB，使得密文EDB[L^t]＝(L^t,R^t,D^t,C^t)；

(b305)从密文数据库EDB中删除密文EDB[L_s]，并将密文索引A_s加入集合S₂，转入步骤(b309)；

(b306)若L^t≠NULL，则更新临时变量D^t为

后，更新密文数据库EDB，使得密文EDB[L^t]＝(L^t,R^t,D^t,C^t)，并转入步骤(b307)；否则，直接转入步骤(b307)；

(b307)从密文数据库EDB中删除密文EDB[L_s]后，转入步骤(b309)；

(b308)分别更新五个临时变量的值为：L^t＝L_s、R^t＝R_s、D^t＝D_s、C^t＝C_s、T^t＝T_s，并将加密后的文件标识C_s加入集合S₁；C_s表示密文EDB[L_s]中加密后的文件标识；

(b309)分别更新密文索引L_s和检索陷门为T_s：L_s＝L_s′，T_s＝T_s′；

(b310)若L_s＝0^λ且T_s＝0^λ，则将集合S₁作为结果集合S，操作结束；否则，转入步骤(b302)；

其中，del表示删除密文操作的操作符。

进一步地，步骤(a1)中，对文件标识id进行加密以得到加密后的文件标识C，其方法为：

C＝Enc_SE(K₃,id)；

其中，Enc_SE表示对称加密算法SE中的加密算法，K₃表示从加密算法SE的密钥空间中随机选取的密钥，其二进制长度大于或等于λ。

进一步地，检索客户端解密结果集合S中元素的方法为：

id_i＝Dec_SE(K₃,S[i])；

其中，Dec_SE表示称加密算法SE中的解密算法，S[i]表示结果集合S中的第i个元素。

按照本发明的第二方面，还提供了一种高效且具有前后向安全性的可搜索对称加密系统，包括：处理器和计算机可读存储介质；计算机可读存储介质存储有可执行程序代码；

处理器用于调用计算机可读存储介质中存储的可执行程序代码，执行本发明第一方面提供的高效且具有前后向安全性的可搜索对称加密方法。

总体而言，通过本发明所构思的以上技术方案，能够取得以下有益效果：

(1)本发明所提供的高效且具有前后向安全性的可搜索对称加密方法，在生成可搜索密文时，对其中的文件标识进行加密，使得检索服务器无法获得已经删除的可搜索密文中所保存的文件标识，由此保证了后向安全性；利用私有状态表LastOp保存最近添加或删除的关键字及对应的文件标识，并在更新密文数据库时实时更新该私有状态表，使得检索客户端当前生成的检索陷门，只能对当前时刻以前上传的可搜索密文进行检索，而不能对该时刻之后生成并上传的可搜索密文进行检索，保证了前向安全性；通过在密文中加密上一操作对应的文件标识和操作符，使得检索服务器在检索时，所处理的所有可搜索密文，都是关联于同一个关键字w_s的，由此将密文的检索时间复杂度降为了亚线性级，实现了高效检索。总体而言，本发明实现了对可搜索密文的高效检索并同时保证了前后向安全性。

(2)本发明所提供的高效且具有前后向安全性的可搜索对称加密方法，检索服务器能够支持用户添加新的可搜索密文到EDB中，并且在检索时可实现对指定可搜索密文的删除功能，因此本发明具有动态性。

附图说明

图1为现有的外包存储系统的架构示意图；

图2为本发明实施例提供的高效且具有前后向安全性的可搜索对称加密方法示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

在详细解释本发明的技术方案之前，先对外包存储系统的架构进行简要介绍。如图1所示，外包存储系统的共包括两个实体，检索客户端和检索服务器，检索客户端即数据拥有者，其主要功能是初始化整个系统并生成对称密钥，加密关键字与文件标识并生成可搜索密文，生成检索陷门并提交检索请求，接收检索结果并解密出检索内容；检索服务器负责保存检索客户端上传的可搜索密文，执行检索客户端发起的检索请求并返回检索结果。

检索客户端的功能共包括以下四个方面：

(1)检索客户端在本地对系统进行初始化，生成对称密钥，本地状态，并初始化检索服务器上的加密数据库。

(2)检索客户端利用对称密钥，本地状态对指定的关键字-文件标识对以及操作类型进行加密，并将加密的结果上传给检索服务器保存；

(3)检索客户端利用对称密钥，本地状态对指定的关键字来生成密文索引和该索引对应的检索陷门，并提交给检索服务器来作为检索请求；

(4)检索客户端接收到检索服务器发送回来的检索结果，对检索结果进行解密并获取其中的文件标识，并以此为依据更新本地状态。

检索服务器的功能共包括以下两个方面：

(1)检索服务器接收到检索客户端提交的可搜索密文后，将其保存在加密数据库中；

(2)检索服务器接收到检索客户端提交的检索请求后，在加密数据库上执行检索或删除操作，并返回检索出的密文。

在本发明中，在初始化阶段需要根据应用需求预定义安全参数λ，并根据安全参数λ确定伪随机函数F、密码学哈希函数H，以及对称加密算法SE；λ是非零自然数，其数值越大，可搜索对称加密方法越安全，但相应的计算越复杂；各算法的基本原理及本发明对各算法的要求具体如下：

伪随机函数

其中

是伪随机函数F的密钥空间，

是F的数据空间，

是F的值空间，并且

即F的输出结果是二进制长度为λ的比特串；其中，F要求密钥空间中的密钥二进制长度足够长以保证安全，其长度应至少为安全参数λ；对数据空间中的数据长度，F没有要求；

密码学哈希函数H:{0,1}^*→{0,1}^3λ+x，即该哈希函数的输入是任意二进制长度的比特串，输出是二进制长度为3λ+x的比特串；x为操作符的二进制长度，操作符用于指示操作类型，在本发明中，支持添加密文操作和删除密文操作共两种操作，因此，在本发明中，可设置操作符的二进制长度为x＝1，例如，二进制1表示添加密文操作的操作符add，二进制0表示删除密文操作的操作符del，以下发明实施例中，均按照这种编码方式对操作符进行编码，相应地，密码学哈希函数H输出比特串的二进制长度为3λ+1；应当说明的是，在此所给出的操作符二进制长度及编码方式，仅为一种示例性的描述，不应理解为对本发明的唯一限定；

对称加密算法SE，其包含两个算法：加密算法Enc_SE和解密算法Dec_SE；C＝Enc_SE(K_SE,P)，P＝Dec_SE(K_SE,C)；其中密钥

为SE的密钥空间，其二进制长度至少为安全参数λ，P为数据明文，C为数据密文；

从F的密钥空间

中随机选取两个密钥K₁和K₂，K₁≠K₂，并从SE的密钥空间

中随机选择选取一个密钥K₃，由所选取的秘钥构成检索客户端的秘钥K_∑为(K₁,K₂,K₃)；

在初始化阶段，还要在检索服务器和检索客户端中分别初始化密文数据库EDB和私有状态表LastOp；密文数据库EDB用于存储检索客户端上传的密文，密文与关键字、文件标识以及操作符相关；私有状态表LastOp用于存储关键字及与该关键字相关的最近一次操作所对应的文件标识和操作符，私有状态表LastOp对外不可访问，即私有状态表LastOp由检索客户端秘密保存；操作符用于指示密文操作类型；具体可通过哈希表实现密文数据库EDB和私有状态表LastOp；

经过上述初始化之后，本发明所提供的高效且具有前后向安全性的可搜索对称加密方法，包括：密文生成步骤和关键字检索步骤；

密文生成步骤包括：

(a1)在检索客户端，对于当前操作，根据待操作的关键字w、文件标识id以及相应的操作符op分别计算当前操作对应的密文索引L和检索陷门T，对文件标识id进行加密以得到加密后的文件标识C，并随机生成二进制长度为λ的比特串R；λ为预先定义的安全参数，检索陷门T和比特串R用于在检索服务器端解析密文；

在一个可选的实施方式中，生成的密文索引L和检索陷门T分别为：L＝F(K₁,w||id||op)，T＝F(K₂,w||id||op)；加密后的文件标识C为：C＝Enc_SE(K₃,id)；

||表示比特串连接操作；

(a2)生成当前操作所对应的密文元信息D，密文元信息D由检索陷门T及比特串R加密生成，并包含操作符op；

若能够从私有状态表LastOp中成功查询到与关键字w相关的上一个操作相对应的文件标识id′和操作符op′，则密文元信息D中还包含与关键字w相关的上一个操作所对应的密文索引L′和检索陷门T′；检索陷门T′根据关键字w、文件标识id′和操作符op′计算得到；检索陷门T′用于在检索服务器端解析密文；能够从私有状态表LastOp中成功查询到与关键字w相关的上一个操作相对应文件标识和操作符，说明此前已经通过添加密文操作或者删除密文操作将与关键字w相关的密文存储到了密文数据库中，此时将上一个操作相对应的密文索引L′和检索陷门T′加密到当前操作对应的密文元信息中，L′和T′只有在检索服务器检索到对应的密文时，才会被解密并暴露给服务器，用于继续对前一条可搜索密文进行检索，由此能够在密文数据中维护密文间的隐藏关系链，并且在密文索引和检索陷门发生改变的情况下，仍然维持密文间隐藏关系的完整性；

若当前操作为删除密文操作，则密文元信息D中还包含待删除密文的密文索引A；

在本实施例中，若未查询到文件标识id′和操作符op′，则

若查询成功，且当前操作为删除密文操作，则

A为待删除密文的密文索引，A＝F(K₁,w||id||add)，L′和T′分别为上一个操作所对应的密文索引和检索陷门，具体计算方式可参考上述步骤(a2)中的描述；

若查询成功，且当前操作为添加密文操作，则

其中，

表示异或操作，0^λ和0^3λ分别表示二进制长度为λ和3λ的全零比特串；

(a3)由密文索引L、比特串R、密文元信息D和加密后的文件标识C构成当前操作所对应的密文(L,R,D,C)，并上传至检索服务器，以使得检索服务器根据密文索引L将该密文存储到密文数据库EDB中；由于所有可搜索密文中保存的文件标识都是加密的，因此检索服务器无法获得已经删除的可搜索密文中所保存的文件标识，由此保证了后向安全性；

(a4)将私有状态表LastOp中与关键字w相关的文件标识和操作符分别更新为文件标识id和操作符op；

关键字检索步骤包括：

(b1)在检索客户端，根据待检索的关键字w_s查询私有状态表LastOp，以获取与关键字w_s相关的最近一次操作所对应的文件标识id_s和操作符op_s，若获取失败，则操作结束；否则，转入步骤(b2)；

(b2)根据关键字w_s、文件标识id_s以及操作符op_s计算密文索引L_s和检索陷门T_s，并将密文索引L_s连同检索陷门T_s一起发送至检索服务器，以使得检索服务器开始执行针对关键字w_s的检索操作；在本发明中，密文操作、密文、密文索引、检索陷门存在一一对应的关系；

(b3)检索服务器根据密文索引L_s查询密文数据库EDB，以获得相应的密文，并从该密文开始依次向前检索，以获得与关键字w_s相关的所有密文并进行解析，将其中删除密文操作所对应的密文及待删除的密文均删除后，将剩余密文中的加密后的文件标识按照密文被检索的顺序组织为结果集合S；密文被检索的顺序实际上与密文被存储到密文数据库EDB中的顺序相反；根据密文元信息中所包含的上一操作所对应的密文索引和检索陷门，能够在检索服务器端将与同一个关键相关联的所有可搜索密文连接起来，这使得检索服务器在检索时，所处理的所有可搜索密文都是关联于同一个关键字w_s的，由此实现了与同一个关键字w_s所对应检索密文数量线性相关的检索复杂度，也即是说，本发明将密文的检索时间复杂度降为了亚线性级，实现了高效检索；

在本实施例中，步骤(b3)具体包括：

(b301)在检索服务器端，初始化5个初值为NULL临时变量(L^t,R^t,D^t,C^t,T^t)，以及两个空集S₁和S₂；这五个临时变量用于在检索过程中，保存隐藏关系链中当前被检索密文的下一个密文，若当前被检索密文位于隐藏关系链的链尾，则五个临时变量均为全零比特串；

(b302)根据密文索引L_s查询密文数据库EDB，以获取到相应密文EDB[L_s]，并由

解析该密文；

R_s和D_s分别表示密文EDB[L_s]中的随机比特串和密文元信息和加密后的文件标识，op_s、A_s、L_s′和T_s′分别表示从密文元信息D_s中解析出的操作符、待删除密文的密文索引、以及与待检索的关键字w_s相关的上一操作所对应的密文索引和检索陷门；

(b303)若op_s＝del且L^t≠NULL，即当前密文对应的操作为删除密文操作，且当前密文不在隐藏关系链的链尾，则转入步骤(b304)；若op_s＝del且L^t＝NULL，即当前密文对应的操作为删除密文操作，且当前密文位于隐藏关系链的链尾，则转入步骤(b305)；若op_s＝add且L_s∈S₂，即当前密文对应的操作为添加密文操作，且当前密文是待删除的密文，则转入步骤(b306)；若op_s＝add且

即当前密文对应的操作为添加密文操作，且当前密文不是待删除的密文，则转入步骤(b308)；

(b304)更新临时变量D^t为

后，更新密文数据库EDB，使得密文EDB[L^t]＝(L^t,R^t,D^t,C^t)；通过这一操作，使得隐藏关系链中，当前被检索密文的前一条密文的密文索引和检索陷门被加密到当前被检索密文的下一条密文的密文元信息中，由此在当前被检索密文被删除后，仍然能够维持隐藏关系链的完整性；

(b305)从密文数据库EDB中删除密文EDB[L_s]，并将密文索引A_s加入集合S₂，转入步骤(b309)；通过这一步骤，删除隐藏关系链中与关键字w_s相关，且与删除密文操作相对应的密文，并将待删除密文的密文索引记录到集合中S₂；

(b306)若L^t≠NULL，即当前被检索密文不在隐藏关系链的链尾，则更新临时变量D^t为

后，更新密文数据库EDB，使得密文EDB[L^t]＝(L^t,R^t,D^t,C^t)，通过这一操作，使得隐藏关系链中，当前被检索密文的前一条密文的密文索引和检索陷门被加密到当前被检索密文的下一条密文的密文元信息中，由此在当前被检索密文被删除后，仍然能够维持隐藏关系链的完整性，更新完成后转入步骤(b307)；否则，即当前被检索密文位于隐藏关系链的链尾，直接转入步骤(b307)；

(b307)从密文数据库EDB中删除密文EDB[L_s]后，转入步骤(b309)；通过这一步骤，删除隐藏关系链中待删除的密文；

(b308)分别更新五个临时变量的值为：L^t＝L_s、R^t＝R_s、D^t＝D_s、C^t＝C_s、T^t＝T_s，并将加密后的文件标识C_s加入集合S₁；C_s表示密文EDB[L_s]中加密后的文件标识；通过这一步骤，在密文数据库中保留当前被检索的密文，并将其中加密后的文件标识加入到了集合S₁中；

(b309)分别更新密文索引L_s和检索陷门为T_s：L_s＝L_s′，T_s＝T_s′；通过这一步骤，检索服务器会沿着隐藏关系链继续向前检索；

(b310)若L_s＝0^λ且T_s＝0^λ，则将集合S₁作为结果集合S，操作结束；否则，转入步骤(b302)；L_s和T_s均为全零比特串时，说明当前被检索的密文位于隐藏关系链的链头，与关键字w_s相关的所有密文均以被检索已到；

(b4)由检索服务器将结果集合S返回给检索客户端，从而完成针对关键字w_s的检索操作；在每一次通过添加密文操作或删除密文操作更新密文数据库之后，更新私有状态表LastOp中与关键字w相关的文件标识和操作符，使得每一次针对关键字进行索引时，所生成的密文索引和检索陷门都会发生改变，从而检索客户端当前生成的检索陷门，只能对当前时刻以前上传的可搜索密文进行检索，而不能对该时刻之后生成并上传的可搜索密文进行检索，保证了前向安全性。

在本实施例中，关键字检索步骤还包括：

检索客户端接收到结果集合S后，若

则操作结束；

若

则依次获取其中的元素并解密，从而获得当前密文数据库EDB中与关键字w_s相关的所有文件标识{id₁,id₂,…id_n}，并在解密完成后，将私有状态表LastOp中与关键字w_s相关的文件标识和操作符分别更新为id₁和添加密文操作符；对结果集合中第i个元素S[i]进行解密的方式具体为：id_i＝Dec_SE(K₃,S[i])；

其中，n为结果集合S中的元素个数，id_i表示根据结果集合S中第i个元素解密得到的文件标识，1≤i≤n；由于在检索服务器端，密文被检索的顺序与密文被存储到密文数据库EDB中的顺序相反，文件标识id₁所对应的密文，即为密文数据库EDB中最近上传的密文。

本发明还提供了一种高效且具有前后向安全性的可搜索对称加密系统，包括：处理器和计算机可读存储介质；计算机可读存储介质存储有可执行程序代码；

处理器用于调用计算机可读存储介质中存储的可执行程序代码，执行上述高效且具有前后向安全性的可搜索对称加密方法；

在本发明实施例中，系统的具体实施方式可参考上述方法实施例中的描述，在此将不作复述。

应用实例：

基于上述方法，本发明实现了多个子过程，分别用于执行上述方法中的步骤，具体为：

Setup(λ)：输入安全参数λ，初始化(K_∑,σ,EDB)，其中K_∑是客户端对称密钥，σ是客户端的本地状态，即私有状态表LastOp，EDB是存储在检索服务器的加密数据库；

Update(K_∑,σ,op,(w,id))：根据密钥K_∑，本地状态σ，操作类型op∈{add,del}，和一个关键字-文件标识对(w,id)，输出一个对应的可搜索密文；

Trapdoor(K_∑,σ,w)：根据密钥K_∑，本地状态σ和关键字w，生成本次检索开始的密文索引L以及对应的检索陷门T；执行完成后，(L,T)将被提交给检索服务器以执行检索；

Search((L,T),EDB)：检索服务器根据(L,T)在EDB上执行用户指定的检索请求；执行完成后，服务器会将检索出的密文结果集合S返回给检索客户端，并删除EDB中与删除请求相对应的密文，包括删除密文操作相对应的密文以及待删除的密文；

Decrypt(K_∑,σ,S,w)：检索客户端根据密钥K_∑和本地状态σ解密检索服务器返回的结果集合S，以得到检索到的文件标识明文，并根据解密的结果更新本地状态。

根据所设计的上述子过程，本发明的执行过程具体如图2所示，包括：

步骤1：检索客户端输入安全参数λ，执行Setup(λ)，在本地对系统进行初始化，生成对称密钥K_∑，本地状态σ，并初始化检索服务器上的加密数据库EDB；

步骤2：检索客户端输入对称密钥K_∑，本地状态σ，指定的关键字-文件标识对(w,id)以及操作类型op，运行算法Update(K_∑,σ,op,(w,id))对关键字w及其对应的文件标识id进行加密，生成加密结果(L,R,D,C)，并将(L,R,D,C)上传给检索服务器保存；

步骤3：检索服务器接收到检索客户端提交的可搜索密文(L,R,D,C)后，将其保存在加密数据库EDB中；

步骤4：检索客户端输入对称密钥K_∑，本地状态σ和指定的关键字w，执行Trapdoor(K_∑,σ,w)来生成开始执行检索的密文索引L和该索引对应的检索陷门T，并将(L,T)作为检索请求提交给检索服务器；

步骤5：检索服务器输入接收到的检索请求(L,T)和加密数据库EDB，执行Search((L,T),EDB)，并返回检索出的密文集合S；

步骤6：检索客户端输入检索服务器发送回来的检索结果S，对称密钥K_∑，本地状态σ和检索的关键字w，执行Decrypt(K_∑,σ,S,w)对检索结果进行解密并获取其中的文件标识明文，并以此为依据更新本地状态。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种高效且具有前后向安全性的可搜索对称加密方法，其特征在于，包括：密文生成步骤和关键字检索步骤；

检索服务器和检索客户端中分别初始化了密文数据库EDB和私有状态表LastOp；所述密文数据库EDB用于存储检索客户端上传的密文，密文与关键字、文件标识以及操作符相关；所述私有状态表LastOp用于存储关键字及与该关键字相关的最近一次操作所对应的文件标识和操作符，所述私有状态表LastOp对外不可访问；所述操作符用于指示密文操作类型；

所述密文生成步骤包括：

(a1)在所述检索客户端，对于当前操作，根据待操作的关键字w、文件标识id以及相应的操作符op分别计算当前操作对应的密文索引L和检索陷门T，对文件标识id进行加密以得到加密后的文件标识C，并随机生成二进制长度为λ的比特串R；λ为预先定义的安全参数，所述检索陷门T和所述比特串R用于在所述检索服务器端解析密文；

(a2)生成当前操作所对应的密文元信息D，所述密文元信息D由所述检索陷门T和所述比特串R加密生成，并包含所述操作符op；

若能够从所述私有状态表LastOp中成功查询到与关键字w相关的上一个操作相对应的文件标识id′和操作符op′，则所述密文元信息D中还包含与所述关键字w相关的上一个操作所对应的密文索引L′和检索陷门T′；所述检索陷门T′根据所述关键字w、所述文件标识id′和所述操作符op′计算得到；所述检索陷门T′用于在所述检索服务器端解析密文；

若当前操作为删除密文操作，则所述密文元信息D中还包含待删除密文的密文索引A；

(a3)由密文索引L、比特串R、密文元信息D和加密后的文件标识C构成当前操作所对应的密文(L,R,D,C)，并上传至所述检索服务器，以使得所述检索服务器根据所述密文索引L将该密文存储到所述密文数据库EDB中；

(a4)将所述私有状态表LastOp中与所述关键字w相关的文件标识和操作符分别更新为所述文件标识id和所述操作符op；

所述关键字检索步骤包括：

(b1)在所述检索客户端，根据待检索的关键字w_s查询所述私有状态表LastOp，以获取与所述关键字w_s相关的最近一次操作所对应的文件标识id_s和操作符op_s，若获取失败，则操作结束；否则，转入步骤(b2)；

(b2)根据所述关键字w_s、所述文件标识id_s以及所述操作符op_s计算密文索引L_s和检索陷门T_s，并将所述密文索引L_s连同所述检索陷门T_s一起发送至所述检索服务器，以使得所述检索服务器开始执行针对所述关键字w_s的检索操作；

(b3)所述检索服务器根据所述密文索引L_s查询所述密文数据库EDB，以获得相应的密文，并从该密文开始依次向前检索，以获得与所述关键字w_s相关的所有密文并进行解析，将其中删除密文操作所对应的密文及待删除的密文均删除后，将剩余密文中的加密后的文件标识按照密文被检索的顺序组织为结果集合S；

(b4)由所述检索服务器将所述结果集合S返回给所述检索客户端，从而完成针对所述关键字w_s的检索操作。

2.如权利要求1所述的高效且具有前后向安全性的可搜索对称加密方法，其特征在于，所述关键字检索步骤还包括：

所述检索客户端接收到所述结果集合S后，若

则操作结束；

若

则依次获取其中的元素并解密，从而获得当前所述密文数据库EDB中与所述关键字w_s相关的所有文件标识{id₁,id₂,…id_n}，并在解密完成后，将所述私有状态表LastOp中与所述关键字w_s相关的文件标识和操作符分别更新为id₁和添加密文操作符；

其中，n为所述结果集合S中的元素个数，id_i表示根据所述结果集合S中第i个元素解密得到的文件标识，1≤i≤n。

3.如权利要求1或2所述的高效且具有前后向安全性的可搜索对称加密方法，其特征在于，对于任意一个操作，相应的关键字、文件标识和操作符分别为w₀、id₀和op₀，该操作相对应的密文索引L₀的计算方法为：

L₀＝F(K₁,w₀||id₀||op₀)；

其中，F为预先设定的伪随机函数，其输出比特串的二进制长度为λ，K₁为从所述伪随机函数F的密钥空间中随机选取的密钥，||表示比特串连接操作。

4.如权利要求3所述的高效且具有前后向安全性的可搜索对称加密方法，其特征在于，与所述密文索引L₀相对应的检索陷门T₀的计算方法为：

T₀＝F(K₂,w₀||id₀||op₀)；

其中，K₂为从所述伪随机函数F的密钥空间中随机选取的密钥，K₂≠K₁。

5.如权利要求4所述的高效且具有前后向安全性的可搜索对称加密方法，其特征在于，所述步骤(a2)包括：

从所述私有状态表LastOp中查询与关键字w相关的上一个操作相对应的文件标识id′和操作符op′，若查询不成功，则生成当前操作所对应的密文元信息D为：

若查询成功，且当前操作为删除密文操作，则根据所述关键字w、所述文件标识id′和所述操作符op′计算与所述关键字w相关的上一个操作所对应的密文索引L′和检索陷门T′，并计算待删除密文的密文索引为A＝F(K₁,w||id||add)后，生成当前操作所对应的密文元信息D为：

若查询成功，且当前操作为添加密文操作，则根据所述关键字w、所述文件标识id′和所述操作符op′计算与所述关键字w相关的上一个操作所对应的密文索引L′和检索陷门T′后，生成当前操作所对应的密文元信息D为：

其中，H为预先设定的密码学哈希函数，其输出比特串的二进制长度为3λ+x，x为操作符的二进制长度，add表示添加密文操作的操作符，

表示异或操作，0^λ和0^3λ分别表示二进制长度为λ和3λ的全零比特串。

6.如权利要求5所述的高效且具有前后向安全性的可搜索对称加密方法，其特征在于，所述步骤(b3)包括：

(b301)在所述检索服务器端，初始化5个初值为NULL临时变量(L^t,R^t,D^t,C^t,T^t)，以及两个空集S₁和S₂；

(b302)根据所述密文索引L_s查询所述密文数据库EDB，以获取到相应密文EDB[L_s]，并由

解析该密文；

R_s和D_s分别表示密文EDB[L_s]中的随机比特串和密文元信息和加密后的文件标识，op_s、A_s、L_s′和T_s′分别表示从所述密文元信息D_s中解析出的操作符、待删除密文的密文索引、以及与待检索的关键字w_s相关的上一操作所对应的密文索引和检索陷门；

(b303)若op_s＝del且L^t≠NULL，则转入步骤(b304)；若op_s＝del且L^t＝NULL，则转入步骤(b305)；若op_s＝add且L_s∈S₂，则转入步骤(b306)；若op_s＝add且

则转入步骤(b308)；

(b304)更新临时变量D^t为

后，更新所述密文数据库EDB，使得密文EDB[L^t]＝(L^t,R^t,D^t,C^t)；

(b305)从所述密文数据库EDB中删除密文EDB[L_s]，并将密文索引A_s加入集合S₂，转入步骤(b309)；

(b306)若L^t≠NULL，则更新临时变量D^t为

后，更新所述密文数据库EDB，使得密文EDB[L^t]＝(L^t,R^t,D^t,C^t)，并转入步骤(b307)；否则，直接转入步骤(b307)；

(b307)从所述密文数据库EDB中删除密文EDB[L_s]后，转入步骤(b309)；

(b308)分别更新五个临时变量的值为：L^t＝L_s、R^t＝R_s、D^t＝D_s、C^t＝C_s、T^t＝T_s，并将加密后的文件标识C_s加入集合S₁；C_s表示密文EDB[L_s]中加密后的文件标识；

(b309)分别更新密文索引L_s和检索陷门为T_s：L_s＝L_s′，T_s＝T_s′；

(b310)若L_s＝0^λ且T_s＝0^λ，则将集合S₁作为所述结果集合S，操作结束；否则，转入步骤(b302)；

其中，del表示删除密文操作的操作符。

7.如权利要求1或2所述的高效且具有前后向安全性的可搜索对称加密方法，其特征在于，所述步骤(a1)中，对文件标识id进行加密以得到加密后的文件标识C，其方法为：

C＝Enc_SE(K₃,id)；

其中，Enc_SE表示对称加密算法SE中的加密算法，K₃表示从所述加密算法SE的密钥空间中随机选取的密钥，其二进制长度大于或等于λ。

8.如权利要求7所述的高效且具有前后向安全性的可搜索对称加密方法，其特征在于，所述检索客户端解密结果集合S中元素的方法为：

id_i＝Dec_SE(K₃,S[i])；

其中，Dec_SE表示称加密算法SE中的解密算法，S[i]表示所述结果集合S中的第i个元素。

9.一种高效且具有前后向安全性的可搜索对称加密系统，包括：处理器和计算机可读存储介质；其特征在于，所述计算机可读存储介质存储有可执行程序代码；

所述处理器用于调用所述计算机可读存储介质中存储的所述可执行程序代码，执行权利要求1-8任一项所述的高效且具有前后向安全性的可搜索对称加密方法。

Images