CN111913981A - 在线离线的基于属性的布尔关键字可搜索加密方法及系统 - Google Patents

Abstract

本发明公开了一种在线离线的基于属性的布尔关键字可搜索加密方法及系统，方法先是可信权威机构生成系统公开密钥、主密钥、ElGamal私钥和用户私钥，并将系统公开密钥公开并云公布，将ElGamal私钥、用户私钥送给数据使用者；然后数据拥有者生成中间关键字密文、将数据文档加密成数据密文、生成关键字密文，再将关键字密文和数据密文并云上传；数据使用者生成中间检索令牌，再生成检索令牌并云上传；云服务器根据检索令牌来判定数据使用者的访问权限，匹配检索令牌和关键字密文，将对应的数据密文发送给数据使用者；数据使用者使用ElGamal私钥解密数据密文得到原数据文档。本发明可同时支持布尔关键字搜索和访问控制，降低用户在线的计算量，提高搜索效率。

Description

在线离线的基于属性的布尔关键字可搜索加密方法及系统

技术领域

本发明涉及数据关键字检索和密码学技术领域，特别涉及一种在线离线的基于属性的布尔关键字可搜索加密方法及系统。

背景技术

随着互联网的普及以及大数据、云计算等技术的发展，越来越多的企业和个人开始选择将他们的数据存储到云中。在享受维护数据的成本降低等福利的同时，用户依旧可以随时随地地在云中存储数据、检索数据，分享数据。不可避免地，大数据和云计算等技术在给我们提供便利的同时，也存在着严重的安全隐患。当数据以明文的形式外包给云服务器时，可能会不经意地泄露给云服务提供商或遭到黑客的非法访问。通常来说，我们自然会选择对数据进行加密处理后再将密文数据存储在云服务器上，但这也导致传统的明文检索技术在外包的密文上失效。

为了使得用户能在外包密文数据上进行有效且高效地检索，可搜索加密(Searchable Encryption，简称SE)技术作为一种解决方案被提出。顾名思义，可搜索加密技术即为一种支持在密文数据上进行检索操作的技术。大多数可搜索加密方案采用以云作为服务器来为单个或者多个客户存储密文数据的这种服务器/客户端(Client/Server，简称“C/S”)形式，并且，在这种思想的指导下形成了多数据拥有者/多数据使用者(M/M)这种可搜索加密体系。M/M体系中所能实现的数据共享具有很大的实际意义。近年来，学者们对该领域进行了大量的研究且提出了许多PEKS方案。但基本的PEKS方案不能有效地应用在一些实际的应用场景中。比如，在医疗保健系统中，患者可能希望自己的个人健康记录只能由一部分得到授权的医生查看。在这种情况下，为了能在加密的数据上同时实现关键字搜索和访问控制，有研究者提出了基于属性的可搜索加密技术方案(Attribute-based KeywordSearch,简称ABKS)，每个数据都使用访问控制策略进行访问限制，当且仅当数据使用者的属性集合满足访问策略时，才能对该密文数据进行检索以及解密。

尽管现有的工作为基于属性的关键字搜索提供了解决方案，但面对基于属性的可搜索加密带来的计算成本，目前没有一个方案可以很好地提高效率和体验。现有的一些基于属性的可搜索加密仅支持单关键字的搜索，而支持多关键字搜索的基于属性的可搜索加密方案在一些计算过程上所需要的计算量又会随着属性集中属性的数目增加而成比例增加，庞大的计算量所带来的问题也使得ABKS方案较难应用于有功耗约束的移动设备中。

可见，如何在大数据和云存储背景下设计一个既能支持多关键字搜索，又能保证效率的基于属性的可搜索加密方法成为亟需解决的关键问题。

发明内容

本发明的第一目的在于克服现有技术的缺点与不足，提供一种在线离线的基于属性的布尔关键字可搜索加密方法，该方法可同时支持布尔关键字搜索和访问控制，降低用户在线的计算量，提高搜索效率。

本发明的第二目的在于提供一种在线离线的基于属性的布尔关键字可搜索加密系统。

本发明的第一目的通过下述技术方案实现：一种在线离线的基于属性的布尔关键字可搜索加密方法，步骤如下：

S1、可信权威机构TA先生成系统公开密钥PK、主密钥MK，以及用于解密数据的ElGamal私钥d，并将系统公开密钥PK公开发布于云服务器，将主密钥MK保存在可信权威机构TA，将ElGamal私钥d发送给每个数据使用者；

可信权威机构根据主密钥MK以及各个数据使用者的属性集S，生成各个数据使用者自己的用户私钥SK并发送给对应的数据使用者；

S2、离线加密：在数据使用者输入待加密的关键字集合W之前，数据拥有者先使用访问策略T生成中间关键字密文IC，并使用系统公开密钥PK将其数据文档加密成数据密文CD，然后将中间关键字密文IC和数据密文CD保留在数据拥有者端；

S3、在线加密：数据拥有者使用中间关键字密文IC以及关键字集合W生成关键字密文CT，并将关键字密文CT和数据密文CD上传至云服务器；

S4、生成离线检索令牌：在数据使用者输入布尔关键字值表达式B_V进行检索前，数据使用者根据用户私钥SK在本地服务器先生成中间检索令牌IT，并将中间检索令牌IT保留在本地服务器；

S5、生成在线检索令牌：在数据使用者输入布尔关键字值表达式B_V后，数据使用者在本地服务器上使用中间检索令牌IT与布尔关键字值表达式B_V生成检索令牌TK，并将检索令牌TK发送到云服务器；

S6、云服务器根据检索令牌TK来对数据使用者对每一个数据文档的访问权限进行判定，并将检索令牌TK和权限内对应数据密文CD的关键字密文CT进行匹配，并将在其访问权限内并满足搜索条件的数据密文CD发送给数据使用者；

S7、数据使用者从云服务器收到数据密文CD后，使用从可信权威机构TA中获得的ElGamal私钥d解密数据密文，最终得到原数据文档D。

优选的，在步骤S1中，可信权威机构TA生成系统公开密钥PK、主密钥MK，以及ElGamal私钥d的过程如下：

S11、可信权威机构TA使用群生成器Γ执行Γ(1^l)，生成(p,G,G_T,e)，其中，l为输入群生成器的安全参数，p是一个素数，G和G_T为p阶循环群，且e:G×G→G_T，e为双线性映射关系，表示将群G中的两个元素映射到群G_T中的一个元素；

S12、可信权威机构TA选择一个哈希函数H₁:{0，1}^*→G作为随机预言机，选择另一个哈希函数H₂:{0,1}^*→Z_p作为单向哈希函数，Z_p表示p阶加法循环群；

S13、可信权威机构TA随机选择元素g∈G，元素a,b,c∈Z_p，元素

是p-1阶乘法循环群；

S14、可信权威机构TA根据以上变量生成系统公开密钥PK＝(e,G,G_T,p,H₁,H₂,g,g^a,g^b,g^c,g^d,g^1/b)、主密钥MK＝(a,b,c)以及ElGamal私钥d；ElGamal私钥d具体是通过加密信道发送给数据使用者；

可信权威机构TA生成用户私钥的过程如下：

可信权威机构TA获取到数据使用者的属性集S后，随机选择元素r∈Z_p，并为每个属性j∈S随机选择对应的元素t_j∈Z_p，得到用户私钥：

生成的用户私钥SK具体是通过加密通道发送给数据使用者。

更进一步的，方法还包括数据使用者对新增数据使用者的授权操作，通过这种方式，密钥的分配便不需要所有都由可信权威机构TA来进行，过程如下：

当一个属性集为S的数据使用者需要对另一个属性集为

的数据使用者进行授权操作时，前者输入自己的用户私钥SK，随机选择

并对于每一个属性k∈S′，随机选择一个

从而得到分配给新增数据使用者的新的用户私钥：

更进一步的，在步骤S2中，中间关键字密文IC的离线加密过程如下：

S211、基于访问策略T具有访问树结构，表示的是能读取数据文档的数据使用者所必须满足的属性条件，这里用q_x表示访问策略T的节点x所拥有的多项式，用Y表示访问策略T的叶子集合，用y表示叶子节点，y∈Y，用attr(y)表示叶子节点y的属性值；

数据拥有者随机选择元素r₀∈Z_p作为被访问策略T的所有叶子分享的秘密值，即q_R(0)＝r₀；

S212、在数据文档的关键字个数为正整数m的情况下，数据拥有者随机选择m个元素r_i∈Z_p，i为序号，i∈{1,2,3,...,m}，计算

其中，br₀表示b*r₀，C′为一个与数据文档对应的加密值，用来参与搜索过程的最后一步的计算；

对于

其中，C_y代表叶子节点y通过访问树T分享到的秘密值的加密值，用于搜索过程中第一步的身份验证；C′_y代表使用访问树T将叶子节点y对应的属性值加密后得到的加密值，也用于搜索过程中第一步的身份验证；

计算

其中，cr_i表示c*r_i，C′_i与C_i作为中间量，用于参与后续使用中间关键字密文IC装配得到关键字密文CT的计算；

S213、数据拥有者根据上述变量计算出关键字中间关键字密文IC：

IC＝({r₁,r₂,...,r_m},T,C′,{C_y,C′_y}_y∈Y,{C_i,C′_i}_i＝1,2,...m)

数据密文CD的离线加密过程如下：

S221、数据拥有者随机生成多位的对称密钥ψ，使用AES算法对数据文档进行加密，从而得到密文CD_a；

S222、数据拥有者使用ElGamal算法，加密对称密钥ψ得到密文CD_b：

从群G中随机选择元素y，作为ElGamal算法的私钥，从系统公开密钥PK中获取g、g^d，计算得到c₁＝g^y，s＝(g^d)^y，其中，g、g^d作为公钥的一部分，是两个已经公开的量；c₁为ElGamal算法的公钥；s为ElGamal算法需要共享的秘密值；

然后将对称密钥ψ映射为群G的一个元素ψ′上，并计算得到c₂＝ψ′·s，作为共享秘密值的加密值，最后生成密文CD_b＝{c₁,c₂}；

S223、最后基于CD_a和CD_b得到数据密文CD＝{CD_a,CD_b}。

更进一步的，在步骤S3中，关键字密文CT的在线加密过程如下：

S31、用W_V＝w_v(1),w_v(2),...,w_v(m)表示关键字集合W＝w₁,w₂,...,w_m的属性值，用W_N＝w_n(1),w_n(2),...,w_n(m)表示关键字集合W＝w₁,w₂,...,w_m的属性名；

S32、对于每一个关键字的属性值w_v(i)∈W_V，计算

其中，

作为一个加密值，用来参与搜索过程的第二步的计算；

代表使用中间关键字密文中的C′_i与关键字值w_v(i)的加密值结合后得到的最终加密产物，用于搜索过程的第二步的计算；

S33、数据拥有者根据上述变量和中间关键字密文IC生成关键字密文：

更进一步的，步骤S4生成离线检索令牌的过程如下：

S41、随机选择一个元素t∈Z_p，计算

并对每一个属性j∈S，基于其随机选择对应的元素t_j∈Z_p，计算

其中，D^t代表对用户私钥中的D＝g^(ac-r)/b做一个幂运算，即D^t为D的t次方；D^t _j代表对用户私钥中的

做一个幂运算，即D^t _j为D_j的t次方；(D′_j)^t代表对用户私钥中的

做一个幂运算，即(D′_j)^t为D′_j的t次方；

为一个与令牌对应的加密值，用来参与搜索过程的最后一步的计算；

代表将参数t与用户私钥中的参数D_j结合，用于搜索过程中第一步的身份验证；

代表将参数t与用户私钥中的参数D′_j结合，也用于搜索过程中第一步的身份验证；

S42、数据使用者根据上述变量，生成中间检索令牌

更进一步的，步骤S5生成在线检索令牌的过程如下：

S51、基于布尔关键字值表达式B_V和布尔关键字名表达式B_N拥有相同的访问树结构，这里用

表示布尔关键字名表达式B_N的节点

所拥有的多项式，用

表示布尔关键字名表达式B_N的叶子集合，用attr(y)表示叶子节点y的属性值；

数据使用者将t作为被布尔关键字名表达式B_N的所有叶子分享的秘密值，即

S52、对于每个

计算

其中，b_n(i)为表示成访问树形式的布尔关键字名表达式的一个叶子节点；

为叶子节点b_n(i)所对应的关键字值的加密值；

代表叶子节点b_n(i)经过访问树分享得到的秘密值

与主密钥MK中的一个参数c结合后得到的加密值；

S53、数据使用者根据上述变量和中间检索令牌，生成检索令牌：

更进一步的，步骤S6过程如下：

S61、针对云服务器中的每个数据密文CD，云服务器从属性集S中选择满足访问策略T的最小属性集S′，从关键字名集合W_N中选择满足布尔关键字名表达式B_N的最小关键字名集合W′_N；

如果S′和W′_N不存在，则说明访问权限不够或者找不到匹配内容，故退出对该文件的检索；如果S′和W′_N存在，则进行步骤S62；

S62、如果节点y是访问策略T的一个叶子节点，令属性j＝attr(y)，对于每个j∈S′，云服务器计算：

其中，

对于每个

令E_y＝⊥，其中，E_y代表对加密值C_y、

C′_y和

经过双线性映射计算后得到的，叶子节点y由访问树T分享得到的秘密值的加密值；

S63、如果节点y是访问策略T的一个非叶子节点，若对节点y的所有子节点z，均有E_z＝⊥，则E_y＝⊥，其中，E_z代表节点z的加密值；

否则，云服务器通过多项式插值的方式计算出E_y：

式中，

表示拉格朗日系数，用于拉格朗日插值法这种多项式插值法，其中，这里i表示子节点z在父节点y中的顺位，S′_y表示节点y的所有在最小属性集合S′中的子节点组成的集合，在

中，i∈Z_p，

j∈Z_p，最后得到

即为变量x取0时得到的式子；

最后，云服务器将计算出访问策略T的根节点的E_R值，其中，E_R代表本想要通过访问树T分享的秘密值r₀的加密值：

S64、定义

为布尔关键字名表达式B_N的叶节点，

为叶节点

代表的关键字名；

对于所有的b_n∈W′_N，云服务器计算

其中，

代表对加密值

和

经过双线性映射计算后得到的，叶子节点

由布尔关键字名表达式B_N表示成的访问树分享得到的秘密值的加密值：

其中，

S65、如果节点

是布尔关键字名表达式B_N的一个非叶子节点，若对节点

的所有子节点

均有

则

否则，则是用多项式插值法计算得到

最后，云服务器计算出布尔关键字名表达式B_N的根节点的

值：

S66、云服务器根据以上变量，确认以下等式是否成立：

若成立，说明数据文档访问权限在数据使用者权限内且与搜索条件匹配，则云服务器将对应的数据密文CD返回给数据使用者；

若不成立，说明数据文档访问权限在数据用户权限内但与搜索条件不匹配，退出检索。

优选的，在步骤S7中，数据使用者使用ElGamal算法对数据密文CD解密的过程如下：

使用ElGamal私钥d计算得到s＝c₁ ^d，随后计算ψ′＝c₂·s^-1，最后将ψ′映射回对称密钥ψ，其中，c₁为ElGamal算法的公钥，c₂为共享秘密值s的加密值；

基于对称密钥ψ，使用AES算法解密密文CD_a，得到原数据文档内容。

本发明的第二目的通过下述技术方案实现：一种在线离线的基于属性的布尔关键字可搜索加密系统，包括：运行于可信权威机构TA的初始化子系统、运行于数据拥有者端的加密子系统、运行于云服务器上的云存储及检索子系统、运行于数据使用者端的令牌生成及解密系统，其中，

运行于可信权威机构TA的初始化子系统包括初始化模块、主密钥存储模块和私钥生成模块：

初始化模块用于生成系统公开密钥PK、主密钥MK，以及ElGamal私钥d，并将系统公开密钥PK公开发布于云服务器，将主密钥保存至主密钥存储模块，将ElGamal私钥d发送给每个数据使用者；

主密钥存储模块用于存储主密钥，只允许可信权威机构TA访问；

私钥生成模块根据主密钥和系统中各个数据使用者的属性集S，生成属于数据使用者自己的私钥，并将数据使用者的私钥发往令牌生成及解密系统的私钥存储模块进行存储；

运行于数据拥有者端的加密子系统包括离线关键字加密模块、数据加密模块和在线关键字加密模块：

离线关键字加密模块用于在数据使用者输入待加密的关键字集合W之前，先使用访问策略T生成中间关键字密文IC；

数据加密模块用于从云服务器中获取系统公开密钥PK，然后使用系统公开密钥PK将数据使用者的数据文档加密成数据密文CD，并上传至云服务器；

在线关键字加密模块用于使用中间关键字密文IC以及关键字集合W生成关键字密文CT，并将关键字密文CT上传至云服务器；

运行于云服务器上的云存储及检索子系统包括系统公开密钥公开模块、存储模块和检索模块：

系统公开密钥公开模块用于将系统公开密钥PK公开发布；

存储模块用于存储数据拥有者加密后的数据密文CD和关键字密文CT；

检索模块用于根据令牌生成及解密子系统的检索令牌TK来对数据使用者的数据文档访问权限进行判定，并将检索令牌和权限内对应数据密文CD的关键字密文CT进行匹配运算，从存储模块中获取在数据使用者的访问权限内并满足搜索条件的数据密文CD发送给数据使用者；

运行于数据使用者端的令牌生成及解密系统包括私钥存储模块、离线令牌生成模块、在线令牌生成模块以及数据解密模块：

私钥存储模块用于对数据使用者的私钥进行保存，只有数据使用者自己能访问自己的私钥；

离线令牌生成模块用于根据用户私钥SK生成中间检索令牌IT；

在线令牌生成模块用于使用中间检索令牌IT与布尔关键字值表达式B_V生成检索令牌TK，并将检索令牌TK发送到云服务器；

数据解密模块用于在检索模块收到数据密文CD后，使用初始化模块获得的ElGamal私钥d解密数据密文，得到原数据文档D。

本发明相对于现有技术具有如下的优点及效果：

(1)本发明方法和系统在关键字检索上，可以支持AND、OR的布尔检索，通过使用访问树表示的布尔关键字搜索，在支持AND、OR等逻辑词嵌套的搜索策略的基础上，为数据用户在加密数据的搜索上带来了更大的灵活性。

(2)本发明在线离线的基于属性的布尔关键字可搜索加密方法具有灵活的访问策略，方法允许数据拥有者对其加密数据布置访问策略，其中访问策略的表示采用访问树的技术形式，支持AND、OR等逻辑词嵌套的布尔表达式，可帮助数据拥有者灵活地对数据进行控制和授权。

(3)本发明在线性访问树表示的访问策略中，通过键值对的表示形式，只有属性名的结构被包含在密文中，而属性值不会以明文形式被服务器感知，数据的隐蔽性和安全性更好。

(4)本发明划分了在线离线阶段(离线检索令牌生成阶段和在线检索令牌生成阶段)，使得离线阶段用户事先完成不需要关键字参与的操作，然后在线阶段能够在关键字被输入后快速结合中间件以完成关键字加密以及令牌生成的操作，对比现有的能实现布尔访问控制和布尔关键词检索的属性基加密方案，本发明使得在线阶段的计算量得到减少，有利于减少延迟并提升系统工作效率，同时也有利于减少将基于属性的可搜索加密技术应用于移动设备的限制条件。

附图说明

图1是本发明在线离线的基于属性的布尔关键字可搜索加密方法的流程图。

图2是本发明在线离线的基于属性的布尔关键字可搜索加密系统的结构框图。

图3是本发明在线离线的基于属性的布尔关键字可搜索加密系统的应用环境示意图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

实施例1

本实施例公开了一种在线离线的基于属性的布尔关键字可搜索加密方法，在云存储的背景下，本实施例利用访问树以及布尔关键字搜索，能够有效定位到用户权限范围内其感兴趣的数据；同时，本实施例将对加密阶段和令牌生成阶段进行在线/离线分离，使得大部分的计算转移到离线阶段，从而减少在线阶段所需要的计算量，从而提升系统效率，给予用户更快的反馈和更好的体验。如图1所示，所述方法应用于包含可信权威机构、数据使用者端、数据拥有者端、云服务器的应用系统中，比如医疗保健系统、学校教务系统，方法步骤如下：

S1、可信权威机构TA先生成系统公开密钥PK、主密钥MK，以及用于解密数据的ElGamal私钥d，并将系统公开密钥PK公开发布于云服务器，系统的所有用户(数据使用者)均有访问系统公开密钥PK的权限。主密钥MK妥善保存于可信权威机构TA中，只有可信权威机构TA具有访问主密钥MK的权限。可信权威机构TA通过加密通道将ElGamal私钥d发送给每个数据使用者。

可信权威机构根据主密钥MK以及各个数据使用者的属性集S，生成各个数据使用者自己的用户私钥SK，并通过加密通道发送给对应的数据使用者。

其中，上述可信权威机构TA为一个完全可信的第三方安全机构，负责生成系统公开密钥PK、主密钥MK、用户私钥SK以及ElGamal私钥d。系统公开密钥PK、主密钥MK、用户私钥SK以及ElGamal私钥d均是一定长度的二进制码。

生成系统公开密钥PK、主密钥MK，以及ElGamal私钥d的过程如下：

S11、可信权威机构TA使用群生成器Γ执行Γ(1^l)，生成(p,G,G_T,e)，其中，l为输入群生成器的安全参数，p是一个素数，G和G_T为p阶循环群，且e:G×G→G_T，e为双线性映射关系，表示将群G中的两个元素映射到群G_T中的一个元素；

S12、可信权威机构TA选择一个哈希函数H₁:{0，1}^*→G作为随机预言机，选择另一个哈希函数H₂:{0,1}^*→Z_p作为单向哈希函数，Z_p表示p阶加法循环群；

S13、可信权威机构TA随机选择元素g∈G，元素a,b,c∈Z_p，元素

是p-1阶乘法循环群；

S14、可信权威机构TA根据以上变量生成系统公开密钥PK＝(e,G,G_T,p,H₁,H₂,g,g^a,g^b,g^c,g^d,g^1/b)、主密钥MK＝(a,b,c)以及ElGamal加密算法的私钥d，称作ElGamal私钥d。

生成用户私钥的过程如下：

可信权威机构TA获取到数据使用者的属性集S后，随机选择元素r∈Z_p，并为每个属性j∈S随机选择对应的元素t_j∈Z_p，得到用户私钥：

另外，本实施例方法还包括数据使用者对新增数据使用者的授权操作，当系统新增数据使用者时，通过这种方式，用户私钥的分配便不需要所有都由可信权威机构TA来进行，过程如下：

当一个属性集为S的数据使用者需要对另一个属性集为

的数据使用者进行授权操作时，前者输入自己的用户私钥SK，随机选择

并对于每一个属性k∈S′，随机选择一个

从而得到分配给新增数据使用者的新的用户私钥：

由于授权的算法也重新随机化了用户私钥，所以这与直接在可信权威机构TA生成所达到的效果是一致的。

S2、离线加密：在数据使用者输入待加密的关键字集合W之前，数据拥有者先使用访问策略T生成中间关键字密文IC，并使用系统公开密钥PK将其数据文档加密成数据密文CD，然后将中间关键字密文IC和数据密文CD保留在数据拥有者端。

这里，关键字集合W中的元素表示为键值对的形式。关键字集合W中的所有元素的键组成关键字名集合W_N，所有元素的值组成关键字值集合W_V。比如，关键字集合W为【姓名：张三，性别：男】，则关键字名集合W_N为【姓名，性别】，关键字值集合W_V为【张三，男】。

访问策略T是一棵访问树，可看作是通过AND、OR等逻辑词连接而成的属性集，一颗访问树上的叶子与一个属性一一对应。访问策略用于表示能读取数据文档的数据使用者所必须满足的属性条件，比如，假定有一个文件的访问策略T为【9527OR(医院A AND骨科)】，则该访问策略T代表只有属性集中包含9527，或者同时包含医院A和骨科的数据使用者才能访问该文件。

中间关键字密文IC是在此阶段生成并用于后续在线加密阶段的一个中间量，其离线加密过程如下：

S211、用q_x表示访问策略T的节点x所拥有的多项式，用Y表示访问策略T的叶子集合，用y表示叶子节点，y∈Y，用attr(y)表示叶子节点y的属性值；

数据拥有者随机选择元素r₀∈Z_p作为被访问策略T的所有叶子分享的秘密值，即q_R(0)＝r₀；

S212、在数据文档的关键字个数为正整数m的情况下，数据拥有者随机选择m个元素r_i∈Z_p，i∈{1,2,3,...,m}，计算

其中，br₀表示b*r₀；C′作为一个与数据文档对应的加密值，将参数b和r₀带入到搜索公式中，用于与通过使用其它途径恢复得到的私密参数进行对比，换言之，即C′是用来参与搜索过程的最后一步的计算。

对于

其中，C_y代表叶子节点y通过访问树T分享到的秘密值的加密值，用于搜索过程中第一步的身份验证；C′_y代表使用访问树T将叶子节点y对应的属性值加密后得到的加密值，也用于搜索过程中第一步的身份验证。

计算

其中，cr_i表示c*r_i；C′_i与C_i作为中间量，参与后续使用中间关键字密文IC装配得到关键字密文CT的计算。

S213、数据拥有者根据上述变量计算出关键字中间关键字密文IC：

IC＝({r₁,r₂,...,r_m},T,C′,{C_y,C′_y}_y∈Y,{C_i,C′_i}_i＝1,2,...m)

数据密文CD是指加密之后的文档，用户经过搜索得到满足匹配条件的密文以后，可以使用ElGamal私钥d对数据密文CD进行解密，以还原原文档。数据密文CD的离线加密过程如下：

S221、数据拥有者随机生成多位的对称密钥ψ，使用AES算法对数据文档进行加密，从而得到密文CD_a；本实施例具体是生成256位的对称密钥ψ；

S222、数据拥有者使用ElGamal算法，加密对称密钥ψ得到密文CD_b，ElGamal算法是一个基于Diffie-Hellman密钥交换的非对称加密算法，加密过程如下：

从群G中随机选择元素y，作为ElGamal算法的私钥，从系统公开密钥PK中获取g、g^d，计算得到c₁＝g^y，s＝(g^d)^y，其中，g、g^d作为公钥的一部分，是两个已经公开的量；c₁为ElGamal算法的公钥；s为ElGamal算法需要共享的秘密值；

然后将对称密钥ψ映射为群G的一个元素ψ′上，并计算得到c₂＝ψ′·s，作为共享秘密值的加密值，最后生成密文CD_b＝{c₁,c₂}；

S223、最后基于CD_a和CD_b得到数据密文CD＝{CD_a,CD_b}。

S3、在线加密：数据拥有者使用中间关键字密文IC以及关键字集合W生成关键字密文CT，并将关键字密文CT和数据密文CD上传至云服务器，由云服务器对CD和CT进行妥善保管。

关键字密文CT用于后续的加密搜索，从而达到在云服务器无法理解搜索信息的前提下找到我们需要的文件的目的，其在线加密过程具体如下：

S31、用W_V＝w_v(1),w_v(2),...,w_v(m)表示关键字集合W＝w₁,w₂,...,w_m的属性值集合，用W_N＝w_n(1),w_n(2),...,w_n(m)表示关键字集合W＝w₁,w₂,...,w_m的属性名集合；

S32、对于每一个关键字的属性值w_v(i)∈W_V，计算

其中，

作为一个加密值，将参数c和r_i带入到搜索公式中，用于与通过使用其它途径恢复得到的私密参数进行对比，换言之，

用来参与搜索过程的第二步的计算；

代表使用中间关键字密文中的C′_i与关键字值w_v(i)的加密值结合后得到的最终加密产物，用于搜索过程的第二步的计算；

S33、数据拥有者根据上述变量和中间关键字密文IC生成关键字密文：

S4、生成离线检索令牌：在数据使用者输入布尔关键字值表达式B_V进行检索前，数据使用者根据用户私钥SK在本地服务器先生成中间检索令牌IT，并将中间检索令牌IT保留在本地服务器。

生成中间检索令牌的过程如下：

S41、随机选择一个元素t∈Z_p，计算

并对每一个属性j∈S，基于其随机选择对应的元素t_j∈Z_p，计算

其中，D^t代表对用户私钥中的D＝g^(ac-r)/b做一个幂运算，即D^t为D的t次方。D^t _j代表对用户私钥中的

做一个幂运算，即D^t _j为D_j的t次方。(D′_j)^t代表对用户私钥中的

做一个幂运算，即(D′_j)^t为D′_j的t次方。

作为一个与令牌对应的加密值，将参数a、b、c、t和r带入到搜索公式中，用于与通过使用其它途径恢复得到的私密参数进行对比，换言之，

用来参与搜索过程的最后一步的计算。

代表将参数t与用户私钥中的参数D_j结合，用于搜索过程中第一步的身份验证。

代表将参数t与用户私钥中的参数D′_j结合，也用于搜索过程中第一步的身份验证。

S42、数据使用者根据上述变量，生成中间检索令牌

S5、生成在线检索令牌：在数据使用者输入布尔关键字值表达式B_V后，数据使用者在本地服务器上使用中间检索令牌IT与布尔关键字值表达式B_V生成检索令牌TK，并将检索令牌TK发送到云服务器。

生成检索令牌的过程如下：

S51、用

表示布尔关键字名表达式B_N的节点

所拥有的多项式，用

表示布尔关键字名表达式B_N的叶子集合，用attr(y)表示叶子节点y的属性值；

数据使用者将t作为被布尔关键字名表达式B_N的所有叶子分享的秘密值，即

这里，布尔关键字值表达式B_V和布尔关键字名表达式B_N拥有相同的访问树结构，并且拥有类似键值对的一一对应形式。布尔关键字值表达式B_V与布尔关键字名表达式B_N一起组成布尔关键字表达式B。布尔关键字表达式B可看作是通过AND、OR等逻辑词连接而成的关键字集，用于表示数据用户想要查询何种数据，即搜索条件。比如，假定有一个布尔关键字表达式B为【(编号＝“9527”AND疾病＝“糖尿病”)OR姓名＝“李华”】，则布尔关键字名表达式B_N为【(编号AND疾病)OR姓名】，布尔关键字值表达式B_V为【(9527AND糖尿病)OR李华】。该布尔关键字表达式B代表用户想搜索编号为9527且疾病为糖尿病，或姓名为李华的所有文档。在读取布尔关键字名表达式中“编号”对应的值时，返回的结果为布尔关键字值表达式中的“9527”。

S52、对于每个

计算

其中，b_n(i)为表示成访问树形式的布尔关键字名表达式的一个叶子节点。

为叶子节点b_n(i)所对应的关键字值的加密值，参与搜索过程的第二步，用于验证用户令牌与加密关键字密文是否匹配。

代表叶子节点b_n(i)经过访问树分享得到的秘密值

与主密钥MK中的一个参数c结合后得到的加密值，同样参与搜索过程的第二步，用于验证用户令牌与加密关键字密文是否匹配；

S53、数据使用者根据上述变量和中间检索令牌，生成检索令牌：

S6、云服务器根据检索令牌TK来对数据使用者对每一个数据文档的访问权限进行判定，并将检索令牌TK和权限内对应数据密文CD的关键字密文CT进行匹配，并将在其访问权限内并满足搜索条件的数据密文CD发送给数据使用者，过程如下：

S61、针对云服务器中的每个数据密文CD，云服务器从属性集S中选择满足访问策略T的最小属性集S′，从关键字名集合W_N中选择满足布尔关键字名表达式B_N的最小关键字名集合W′_N；

如果S′和W′_N不存在，则说明访问权限不够或者找不到匹配内容，故退出对该文件的检索；如果S′和W′_N存在，则进行步骤S62。

S62、如果节点y是访问树T的一个叶子节点，令属性j＝attr(y)，对于每个j∈S′，云服务器计算：

对于每个

令E_y＝⊥。其中E_y代表对加密值C_y、

C′_y和

经过双线性映射计算后得到的，叶子节点y由访问树T分享得到的秘密值的加密值，它将用于在访问树中通过多项式插值的方式恢复秘密值，以得到原本想要通过访问树T分享的秘密值r₀的加密值E_R。

S63、如果节点y是访问策略T的一个非叶子节点，若对节点y的所有子节点z，均有E_z＝⊥，则E_y＝⊥。其中，E_z与E_y一样，也是加密值，代表节点z的加密值；

否则，云服务器通过多项式插值的方式计算出E_y：

式中，

表示拉格朗日系数，用于拉格朗日插值法这种多项式插值法，其中，这里i表示子节点z在父节点y中的顺位，S′_y表示节点y的所有在最小属性集合S′中的子节点组成的集合。在

中，i∈Z_p，

j∈Z_p，最后得到

即为变量x取0时得到的式子。例如，集合S′_y中有三个元素{x₀,x₁,x₂}，当i＝0,则

进一步，当x＝0时，

最后，云服务器将计算出访问策略T的根节点的E_R值，其中，E_R代表本想要通过访问树T分享的秘密值r₀的加密值：

S64、定义

为布尔关键字名表达式B_N的叶节点，

为叶节点

代表的关键字名；

对于所有的b_n∈W′_N，云服务器计算

其中，

代表对加密值

和

经过双线性映射计算后得到的，叶子节点

由布尔关键字名表达式B_N表示成的访问树分享得到的秘密值的加密值，它将用于在访问树中通过多项式插值的方式恢复秘密值，以得到原本想要通过访问树分享的秘密值t的加密值

S65、如果节点

是布尔关键字名表达式B_N的一个非叶子节点，若对节点

的所有子节点

均有

则

否则，则是用多项式插值法计算得到

最后，云服务器计算出布尔关键字名表达式B_N的根节点的

值：

S66、云服务器根据以上变量，确认以下等式是否成立：

若成立，说明数据文档访问权限在数据使用者权限内且与搜索条件匹配，则云服务器将对应的数据密文CD返回给数据使用者；

若不成立，说明数据文档访问权限在数据用户权限内但与搜索条件不匹配，退出检索。

S7、数据使用者从云服务器收到数据密文CD后，使用从可信权威机构TA中获得的ElGamal私钥d解密数据密文，最终得到原数据文档D。

解密的过程如下：

使用ElGamal私钥d计算得到s＝c₁ ^d，随后计算ψ′＝c₂·s^-1，最后将ψ′映射回对称密钥ψ；

基于对称密钥ψ，使用AES算法解密密文CD_a，得到原数据文档内容。

实施例2

本实施例公开了一种在线离线的基于属性的布尔关键字可搜索加密系统，如图2所示，包括：运行于可信权威机构TA的初始化子系统、运行于数据拥有者端的加密子系统、运行于云服务器上的云存储及检索子系统、运行于数据使用者端的令牌生成及解密系统。所述系统可执行实施例1中所述的在线离线的基于属性的布尔关键字可搜索加密方法，方法步骤S4和S5中的本地服务器即为数据使用者端，数据使用者可通过具有运算处理能力的终端设备，例如智能手机、平板、电脑等计算设备连接本地服务器。

其中，运行于可信权威机构TA的初始化子系统包括初始化模块、主密钥存储模块和私钥生成模块：

初始化模块用于生成系统公开密钥PK、主密钥MK，以及ElGamal私钥d，并将系统公开密钥PK公开发布于云服务器，将主密钥保存至主密钥存储模块，将ElGamal私钥d发送给每个数据使用者；

主密钥存储模块用于存储主密钥，只允许可信权威机构TA访问；

私钥生成模块根据主密钥和系统中各个数据使用者的属性集S，生成属于数据使用者自己的私钥，并将数据使用者的私钥发往令牌生成及解密系统的私钥存储模块进行存储；

运行于数据拥有者端的加密子系统包括离线关键字加密模块、数据加密模块和在线关键字加密模块：

离线关键字加密模块用于在数据使用者输入待加密的关键字集合W之前，先使用访问策略T生成中间关键字密文IC；

数据加密模块用于从云服务器中获取系统公开密钥PK，然后使用系统公开密钥PK将数据使用者的数据文档加密成数据密文CD，并上传至云服务器；

在线关键字加密模块用于使用中间关键字密文IC以及关键字集合W生成关键字密文CT，并将关键字密文CT上传至云服务器；

运行于云服务器上的云存储及检索子系统包括系统公开密钥公开模块、存储模块和检索模块：

系统公开密钥公开模块用于将系统公开密钥PK公开发布；

存储模块用于存储数据拥有者加密后的数据密文CD和关键字密文CT；

检索模块用于根据令牌生成及解密子系统的检索令牌TK来对数据使用者的数据文档访问权限进行判定，并将检索令牌和权限内对应数据密文CD的关键字密文CT进行匹配运算，从存储模块中获取在数据使用者的访问权限内并满足搜索条件的数据密文CD发送给数据使用者；

运行于数据使用者端的令牌生成及解密系统包括私钥存储模块、离线令牌生成模块、在线令牌生成模块以及数据解密模块：

私钥存储模块用于对数据使用者的私钥进行保存，只有数据使用者自己能访问自己的私钥；

离线令牌生成模块用于根据用户私钥SK生成中间检索令牌IT；

在线令牌生成模块用于使用中间检索令牌IT与布尔关键字值表达式B_V生成检索令牌TK，并将检索令牌TK发送到云服务器；

数据解密模块用于在检索模块收到数据密文CD后，使用初始化模块获得的ElGamal私钥d解密数据密文，得到原数据文档D。

如图3所示，将本实施例系统应用于医疗场景中，系统具体可为医疗保健系统。该系统具有多位数据使用者(数据使用者1，数据使用者2，……，数据使用者n)，可存储多位数据拥有者(数据拥有者1，数据拥有者2，……，数据拥有者n)的数据文档。这里设定数据文档的搜索关键字个数m＝4，每个关键字的关键字名分别是姓名、年龄、性别、疾病。

系统的工作过程具体如下：

首先，可信权威机构TA运行初始化子系统：初始化和私钥生成模块生成系统公开密钥PK、主密钥MK、ElGamal私钥d，为各个数据使用者生成用户私钥SK，并将系统公开密钥PK公开发布于云服务器，将ElGamal私钥d和对应的用户私钥SK发送给数据使用者，将主密钥MK保存至主密钥存储模块。在用户私钥中，SK数据使用者的用户属性个数n＝3，每个属性的属性名分别是姓名、编号、科室。

设定数据拥有者1拥有三个数据文档1、2、3。其中：

数据文档1各个关键字名对应的关键字值依次是：【姓名＝“张三”、年龄＝“53”、性别＝“男”、疾病＝“心脏病”】，实施的访问策略为T₁：【9527OR心内科】；

数据文档2各个关键字名对应的关键字值依次是：【姓名＝“李四”、年龄＝“47”、性别＝“男”、疾病＝“气管炎”】，实施的访问策略为T₂：【7348OR呼吸内科】；

数据文档3各个关键字名对应的关键字依次是：【姓名＝“王五”、年龄＝“20”、性别＝“男”、疾病＝“肩周炎”】，实施的访问策略为T₃：【8370OR(李冬兰AND骨科)】。

为加密以上文档，数据拥有者1运行加密子系统，数据加密模块从云服务器取得系统公开密钥PK，然后使用系统公开密钥PK以及访问策略T，依次生成三个文档的中间关键字密文[IC₁,IC₂,IC₃]，并加密文档，得到文档密文[CD₁,CD₂,CD₃]。之后，在线关键字加密模块根据三个文档的关键字集合[W₁,W₂,W₃]，一一将IC_i与W_i，(i＝1,2,3)结合，得到关键字密文[CT₁,CT₂,CT₃]，最后将关键字密文[CT₁,CT₂,CT₃]与文档密文[CD₁,CD₂,CD₃]一起上传至云服务器。

云服务器接收数据拥有者1的密文集后，将CT_i与CD_i一一绑定并存储在云存储子系统的存储模块中。为简化说明，这里假定当前存储模块只存储了数据拥有者1的上述三个关键字密文[CT₁,CT₂,CT₃]和文档密文[CD₁,CD₂,CD₃]。

假设数据使用者1的各个属性的属性值依次是：【“李冬兰”、“2543”、“骨科”】。若该数据使用者1想查询提供者姓名为王五且患有肩周炎的病人的有关文档，则运行令牌生成及解密系统的离线令牌生成模块，该模块在检索关键字向量【姓名＝“王五”AND疾病＝“肩周炎”】也就是布尔关键字表达式B输入前，根据用户私钥SK中包含的用户属性集S【“李冬兰”、“2543”、“骨科”】生成中间检索令牌IT。之后，在线令牌生成模块利用中间检索令牌IT与检索关键字向量【姓名＝“王五”AND疾病＝“肩周炎”】生成检索令牌TK，并发送至云服务器。

云服务器接收到数据使用者1的检索令牌后，运行检索模块，逐一用存储模块中的关键字密文[CT₁,CT₂,CT₃]中的访问策略[T₁,T₂,T₃]与检索令牌TK中的属性集S【“李冬兰”、“2543”、“骨科”】判断数据使用者1的权限，并判断每一个加密关键字CT_i的关键字集合W是否能满足搜索关键字名B_N【姓名AND疾病】，是则说明匹配得上，从而初步判断出云存储及检索子系统中是否有存在满足匹配条件的加密数据文档。

这里假定数据文档3满足匹配条件，运算完成后，云服务器将符合条件的数据密文CD₃返回至数据使用者1。数据使用者1接收到返回的数据密文CD₃后，运行令牌生成及解密系统的数据解密模块，即可将CD₃恢复成数据文档3的明文内容。

在此需要说明的是，本实施例的系统仅以上述各功能模块的划分进行举例说明，在实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (10)

1.一种在线离线的基于属性的布尔关键字可搜索加密方法，其特征在于，步骤如下：

S1、可信权威机构TA先生成系统公开密钥PK、主密钥MK，以及用于解密数据的ElGamal私钥d，并将系统公开密钥PK公开发布于云服务器，将主密钥MK保存在可信权威机构TA，将ElGamal私钥d发送给每个数据使用者；

可信权威机构根据主密钥MK以及各个数据使用者的属性集S，生成各个数据使用者自己的用户私钥SK并发送给对应的数据使用者；

S2、离线加密：在数据使用者输入待加密的关键字集合W之前，数据拥有者先使用访问策略T生成中间关键字密文IC，并使用系统公开密钥PK将其数据文档加密成数据密文CD，然后将中间关键字密文IC和数据密文CD保留在数据拥有者端；

S3、在线加密：数据拥有者使用中间关键字密文IC以及关键字集合W生成关键字密文CT，并将关键字密文CT和数据密文CD上传至云服务器；

S4、生成离线检索令牌：在数据使用者输入布尔关键字值表达式B_V进行检索前，数据使用者根据用户私钥SK在本地服务器先生成中间检索令牌IT，并将中间检索令牌IT保留在本地服务器；

S5、生成在线检索令牌：在数据使用者输入布尔关键字值表达式B_V后，数据使用者在本地服务器上使用中间检索令牌IT与布尔关键字值表达式B_V生成检索令牌TK，并将检索令牌TK发送到云服务器；

S6、云服务器根据检索令牌TK来对数据使用者对每一个数据文档的访问权限进行判定，并将检索令牌TK和权限内对应数据密文CD的关键字密文CT进行匹配，并将在其访问权限内并满足搜索条件的数据密文CD发送给数据使用者；

S7、数据使用者从云服务器收到数据密文CD后，使用从可信权威机构TA中获得的ElGamal私钥d解密数据密文，最终得到原数据文档D。

2.根据权利要求1所述的在线离线的基于属性的布尔关键字可搜索加密方法，其特征在于，在步骤S1中，可信权威机构TA生成系统公开密钥PK、主密钥MK，以及ElGamal私钥d的过程如下：

S11、可信权威机构TA使用群生成器Γ执行Γ(1^l)，生成(p,G,G_T,e)，其中，l为输入群生成器的安全参数，p是一个素数，G和G_T为p阶循环群，且e:G×G→G_T，e为双线性映射关系，表示将群G中的两个元素映射到群G_T中的一个元素；

S12、可信权威机构TA选择一个哈希函数H₁:{0，1}^*→G作为随机预言机，选择另一个哈希函数H₂:{0,1}^*→Z_p作为单向哈希函数，Z_p表示p阶加法循环群；

S13、可信权威机构TA随机选择元素g∈G，元素a,b,c∈Z_p，元素

是p-1阶乘法循环群；

S14、可信权威机构TA根据以上变量生成系统公开密钥PK＝(e,G,G_T,p,H₁,H₂,g,g^a,g^b,g^c,g^d,g^1/b)、主密钥MK＝(a,b,c)以及ElGamal私钥d；ElGamal私钥d具体是通过加密信道发送给数据使用者；

可信权威机构TA生成用户私钥的过程如下：

可信权威机构TA获取到数据使用者的属性集S后，随机选择元素r∈Z_p，并为每个属性j∈S随机选择对应的元素t_j∈Z_p，得到用户私钥：

生成的用户私钥SK具体是通过加密通道发送给数据使用者。

3.根据权利要求2所述的在线离线的基于属性的布尔关键字可搜索加密方法，其特征在于，方法还包括数据使用者对新增数据使用者的授权操作，通过这种方式，密钥的分配便不需要所有都由可信权威机构TA来进行，过程如下：

当一个属性集为S的数据使用者需要对另一个属性集为S′,

的数据使用者进行授权操作时，前者输入自己的用户私钥SK，随机选择

并对于每一个属性k∈S′，随机选择一个

从而得到分配给新增数据使用者的新的用户私钥：

4.根据权利要求2所述的在线离线的基于属性的布尔关键字可搜索加密方法，其特征在于，在步骤S2中，中间关键字密文IC的离线加密过程如下：

S211、基于访问策略T具有访问树结构，表示的是能读取数据文档的数据使用者所必须满足的属性条件，这里用q_x表示访问策略T的节点x所拥有的多项式，用Y表示访问策略T的叶子集合，用y表示叶子节点，y∈Y，用attr(y)表示叶子节点y的属性值；

数据拥有者随机选择元素r₀∈Z_p作为被访问策略T的所有叶子分享的秘密值，即q_R(0)＝r₀；

S212、在数据文档的关键字个数为正整数m的情况下，数据拥有者随机选择m个元素r_i∈Z_p，i为序号，i∈{1,2,3,...,m}，计算

其中，br₀表示b*r₀，C′为一个与数据文档对应的加密值，用来参与搜索过程的最后一步的计算；

对于

其中，C_y代表叶子节点y通过访问树T分享到的秘密值的加密值，用于搜索过程中第一步的身份验证；C′_y代表使用访问树T将叶子节点y对应的属性值加密后得到的加密值，也用于搜索过程中第一步的身份验证；

计算

其中，cr_i表示c*r_i，C′_i与C_i作为中间量，用于参与后续使用中间关键字密文IC装配得到关键字密文CT的计算；

S213、数据拥有者根据上述变量计算出关键字中间关键字密文IC：

IC＝({r₁,r₂,...,r_m},T,C′,{C_y,C′_y}_y∈Y,{C_i,C′_i}_i＝1,2,...m)

数据密文CD的离线加密过程如下：

S221、数据拥有者随机生成多位的对称密钥ψ，使用AES算法对数据文档进行加密，从而得到密文CD_a；

S222、数据拥有者使用ElGamal算法，加密对称密钥ψ得到密文CD_b：

从群G中随机选择元素y，作为ElGamal算法的私钥，从系统公开密钥PK中获取g、g^d，计算得到c₁＝g^y，s＝(g^d)^y，其中，g、g^d作为公钥的一部分，是两个已经公开的量；c₁为ElGamal算法的公钥；s为ElGamal算法需要共享的秘密值；

然后将对称密钥ψ映射为群G的一个元素ψ′上，并计算得到c₂＝ψ′·s，作为共享秘密值的加密值，最后生成密文CD_b＝{c₁,c₂}；

S223、最后基于CD_a和CD_b得到数据密文CD＝{CD_a,CD_b}。

5.根据权利要求4所述的在线离线的基于属性的布尔关键字可搜索加密方法，其特征在于，在步骤S3中，关键字密文CT的在线加密过程如下：

S31、用W_V＝w_v(1),w_v(2),...,w_v(m)表示关键字集合W＝w₁,w₂,...,w_m的属性值，用W_N＝w_n(1),w_n(2),...,w_n(m)表示关键字集合W＝w₁,w₂,...,w_m的属性名；

S32、对于每一个关键字的属性值w_v(i)∈W_V，计算

其中，

作为一个加密值，用来参与搜索过程的第二步的计算；

代表使用中间关键字密文中的C′_i与关键字值w_v(i)的加密值结合后得到的最终加密产物，用于搜索过程的第二步的计算；

S33、数据拥有者根据上述变量和中间关键字密文IC生成关键字密文：

6.根据权利要求2所述的在线离线的基于属性的布尔关键字可搜索加密方法，其特征在于，步骤S4生成离线检索令牌的过程如下：

S41、随机选择一个元素t∈Z_p，计算

并对每一个属性j∈S，基于其随机选择对应的元素t_j∈Z_p，计算

其中，D^t代表对用户私钥中的D＝g^(ac-r)/b做一个幂运算，即D^t为D的t次方；D^t _j代表对用户私钥中的

做一个幂运算，即D^t _j为D_j的t次方；(D′_j)^t代表对用户私钥中的

做一个幂运算，即(D′_j)^t为D′_j的t次方；

为一个与令牌对应的加密值，用来参与搜索过程的最后一步的计算；

代表将参数t与用户私钥中的参数D_j结合，用于搜索过程中第一步的身份验证；

代表将参数t与用户私钥中的参数D′_j结合，也用于搜索过程中第一步的身份验证；

S42、数据使用者根据上述变量，生成中间检索令牌

7.根据权利要求6所述的在线离线的基于属性的布尔关键字可搜索加密方法，其特征在于，步骤S5生成在线检索令牌的过程如下：

S51、基于布尔关键字值表达式B_V和布尔关键字名表达式B_N拥有相同的访问树结构，这里用

表示布尔关键字名表达式B_N的节点

所拥有的多项式，用

表示布尔关键字名表达式B_N的叶子集合，用attr(y)表示叶子节点y的属性值；

数据使用者将t作为被布尔关键字名表达式B_N的所有叶子分享的秘密值，即

S52、对于每个

计算

其中，b_n(i)为表示成访问树形式的布尔关键字名表达式的一个叶子节点；

为叶子节点b_n(i)所对应的关键字值的加密值；

代表叶子节点b_n(i)经过访问树分享得到的秘密值

与主密钥MK中的一个参数c结合后得到的加密值；

S53、数据使用者根据上述变量和中间检索令牌，生成检索令牌：

8.根据权利要求2所述的在线离线的基于属性的布尔关键字可搜索加密方法，其特征在于，步骤S6过程如下：

S61、针对云服务器中的每个数据密文CD，云服务器从属性集S中选择满足访问策略T的最小属性集S′，从关键字名集合W_N中选择满足布尔关键字名表达式B_N的最小关键字名集合W′_N；

如果S′和W′_N不存在，则说明访问权限不够或者找不到匹配内容，故退出对该文件的检索；如果S′和W′_N存在，则进行步骤S62；

S62、如果节点y是访问策略T的一个叶子节点，令属性j＝attr(y)，对于每个j∈S′，云服务器计算：

其中，

对于每个

令E_y＝⊥，其中，E_y代表对加密值C_y、

C′_y和

经过双线性映射计算后得到的，叶子节点y由访问树T分享得到的秘密值的加密值；

S63、如果节点y是访问策略T的一个非叶子节点，若对节点y的所有子节点z，均有E_z＝⊥，则E_y＝⊥，其中，E_z代表节点z的加密值；

否则，云服务器通过多项式插值的方式计算出E_y：

式中，

表示拉格朗日系数，用于拉格朗日插值法这种多项式插值法，其中，这里i表示子节点z在父节点y中的顺位，S′_y表示节点y的所有在最小属性集合S′中的子节点组成的集合，在

中，i∈Z_p，

j∈Z_p，最后得到

即为变量x取0时得到的式子；

最后，云服务器将计算出访问策略T的根节点的E_R值，其中，E_R代表本想要通过访问树T分享的秘密值r₀的加密值：

S64、定义

为布尔关键字名表达式B_N的叶节点，

为叶节点

代表的关键字名；

对于所有的b_n∈W_N′，云服务器计算

其中，

代表对加密值

和

经过双线性映射计算后得到的，叶子节点

由布尔关键字名表达式B_N表示成的访问树分享得到的秘密值的加密值：

其中，

S65、如果节点

是布尔关键字名表达式B_N的一个非叶子节点，若对节点

的所有子节点

均有

则

否则，则是用多项式插值法计算得到

最后，云服务器计算出布尔关键字名表达式B_N的根节点的

值：

S66、云服务器根据以上变量，确认以下等式是否成立：

若成立，说明数据文档访问权限在数据使用者权限内且与搜索条件匹配，则云服务器将对应的数据密文CD返回给数据使用者；

若不成立，说明数据文档访问权限在数据用户权限内但与搜索条件不匹配，退出检索。

9.根据权利要求1所述的在线离线的基于属性的布尔关键字可搜索加密方法，其特征在于，在步骤S7中，数据使用者使用ElGamal算法对数据密文CD解密的过程如下：

使用ElGamal私钥d计算得到s＝c₁ ^d，随后计算ψ′＝c₂·s^-1，最后将ψ′映射回对称密钥ψ，其中，c₁为ElGamal算法的公钥，c₂为共享秘密值s的加密值；

基于对称密钥ψ，使用AES算法解密密文CD_a，得到原数据文档内容。

10.一种在线离线的基于属性的布尔关键字可搜索加密系统，其特征在于，包括：运行于可信权威机构TA的初始化子系统、运行于数据拥有者端的加密子系统、运行于云服务器上的云存储及检索子系统、运行于数据使用者端的令牌生成及解密系统，其中，

运行于可信权威机构TA的初始化子系统包括初始化模块、主密钥存储模块和私钥生成模块：

初始化模块用于生成系统公开密钥PK、主密钥MK，以及ElGamal私钥d，并将系统公开密钥PK公开发布于云服务器，将主密钥保存至主密钥存储模块，将ElGamal私钥d发送给每个数据使用者；

主密钥存储模块用于存储主密钥，只允许可信权威机构TA访问；

私钥生成模块根据主密钥和系统中各个数据使用者的属性集S，生成属于数据使用者自己的私钥，并将数据使用者的私钥发往令牌生成及解密系统的私钥存储模块进行存储；

运行于数据拥有者端的加密子系统包括离线关键字加密模块、数据加密模块和在线关键字加密模块：

离线关键字加密模块用于在数据使用者输入待加密的关键字集合W之前，先使用访问策略T生成中间关键字密文IC；

数据加密模块用于从云服务器中获取系统公开密钥PK，然后使用系统公开密钥PK将数据使用者的数据文档加密成数据密文CD，并上传至云服务器；

在线关键字加密模块用于使用中间关键字密文IC以及关键字集合W生成关键字密文CT，并将关键字密文CT上传至云服务器；

运行于云服务器上的云存储及检索子系统包括系统公开密钥公开模块、存储模块和检索模块：

系统公开密钥公开模块用于将系统公开密钥PK公开发布；

存储模块用于存储数据拥有者加密后的数据密文CD和关键字密文CT；

检索模块用于根据令牌生成及解密子系统的检索令牌TK来对数据使用者的数据文档访问权限进行判定，并将检索令牌和权限内对应数据密文CD的关键字密文CT进行匹配运算，从存储模块中获取在数据使用者的访问权限内并满足搜索条件的数据密文CD发送给数据使用者；

运行于数据使用者端的令牌生成及解密系统包括私钥存储模块、离线令牌生成模块、在线令牌生成模块以及数据解密模块：

私钥存储模块用于对数据使用者的私钥进行保存，只有数据使用者自己能访问自己的私钥；

离线令牌生成模块用于根据用户私钥SK生成中间检索令牌IT；

在线令牌生成模块用于使用中间检索令牌IT与布尔关键字值表达式B_V生成检索令牌TK，并将检索令牌TK发送到云服务器；

数据解密模块用于在检索模块收到数据密文CD后，使用初始化模块获得的ElGamal私钥d解密数据密文，得到原数据文档D。

Images