CN112118104A - 一种安全增强的基于公钥加密的连接关键词搜索方法 - Google Patents

Abstract

本发明公开了一种安全增强的基于公钥加密的连接关键词搜索系统，其参与实体主要包括：密钥管理机构、数据拥有者、数据访问者和搜索服务器，其中密钥管理机构负责全局公开参数的生成发布、搜索服务器公私钥的生成和数据访问者公私钥的生成；搜索服务器负责存储数据拥有者的加密密文和搜索密文，并接收数据访问者的搜索密钥后进行数据搜索。本发明利用非对称双线性对的特性，不需要提前构建安全的通信信道，节省了大量的计算和通信资源，并且可以有效抵抗关键词猜测攻击。本方明在标准模型下基于确定性的DBDH假设对所提方案进行了安全性证明。最后，本发明给出了方案的正确性和计算一致性验证，并进行了具体的功能性和性能分析。

Description

一种安全增强的基于公钥加密的连接关键词搜索方法

技术领域

本发明属于数据加密搜索处理技术领域，涉及一种安全增强的基于公钥加密的连接关键词搜索方法。

背景技术

当前，我们正处在一个经济和技术快速发展的信息时代，其中越来越多的人选择将自己的私密数据存储在未必可信的云存储中心。但是，由于数据脱离了用户的实际控制，其安全性将得不到有效保证。为了解决这一问题，用户往往选择将数据加密后以密文的形式进行存储，这样即使用户的数据被泄露，仍然可以保证数据的安全性。密码学作为信息安全的基础和核心技术，可以提供数据的机密性、完整性以及不可抵赖性，因此，密码学成为解决当前云存储数据安全问题的关键技术。搜索加密技术是当前密码学领域的研究热点，该技术可以在不泄露原始数据任何信息的前提下实现数据在密文状态下的可搜索。能够实现关键词搜索的加密方案主要分为两类：实现关键词搜索的对称加密方案(Symmetric KeyEncryption Scheme with Keyword Search，SEKS)和实现关键词搜索的公钥加密方案(Public Key Encryption Scheme with Keyword Search，PEKS)。在SEKS方案中，密钥的管理和分发非常复杂，使用不便且造成了极大的资源浪费，并且在进行数据搜索前，数据双方必须提前协商好密钥，而任何一方的密钥被泄露，都会导致加密信息的不安全。因此，PEKS技术成为密文存储环境下解决关键词搜索的首选方案。

在PEKS技术方案中，若数据拥有者Alice想要与数据访问者Bob共享数据M，那么Alice首先使用某个标准加密算法E(·)加密数据M，然后，附加一系列的PEKS密文，即E(M)||PEKS(w₁,pk_B)||...||PEKS(w_n,pk_B)，其中pk_B表示Bob的公钥，w₁,w₂,...,w_n表示搜索关键词。若Bob想要访问数据，那么他必须向搜索服务器提供与关键词w′有关的搜索密钥T_w′，而且满足存在与数据M有关的某个关键词w∈{w₁,w₂,...,w_n}等于关键词w′。即给定PEKS(w,pk_B)和T_w′，搜索服务器能够成功地测试w和w′是否相等。

但是，PEKS方案只实现了单关键词搜索，限制了方案的广泛应用。而当前提出的能够实现连接关键词搜索的公钥加密方案(Public Encryption with Conjunctive KeywordSearch,PECKS)或者需要提前构建安全的通信信道，造成使用不便和资源浪费，或者未实现标准模型下的可证明安全性和抵抗关键词猜测攻击(Keyword Guessing Attack,KGA)，安全性较低。为了同时解决这两个问题，本方明基于非对称双线性群的特性，构建了一个无需安全通信通道的能够实现连接关键词搜索的公钥加密方案(secure channel free PECKS,SCF-PECKS)，在标准模型下基于DBDH假设证明了该方案的安全性，并给出了方案抵抗KGA的安全性分析。然后，本方明给出了方案的正确性和计算一致性证明。最后，本发明将方案与几个经典的PECKS方案进行了功能和性能比较。

发明内容

(一)发明目的

本发明的目的是：提供一种安全增强的基于公钥加密的连接关键词搜索方法，利用非对称双向性群的特性对Water提出的IBE方案[1]进行改进，实现接收者匿名性，并基于匿名性的IBE方案进行本发明方案构造。

(二)技术方案

为了解决上述技术问题，本发明提供一种安全增强的基于公钥加密的连接关键词搜索系统，其包括：密钥管理机构、数据拥有者、数据访问者和搜索服务器，所述密钥管理机构负责全局公开参数的生成发布、搜索服务器公私钥的生成和数据访问者公私钥的生成；搜索服务器负责存储数据拥有者的加密密文和搜索密文，并接收数据访问者的搜索密钥后进行数据搜索。

本发明提供了一种安全增强的基于公钥加密的连接关键词搜索方法，其包括以下步骤：

S1：生成全局参数；

S2：生成搜索服务器密钥；

S3：生成数据访问者密钥；

S4：生成加密密文和搜索密文；

S5：生成搜索密钥；

S6：数据搜索。

所述步骤S1中，生成全局参数的过程为：

密钥管理机构首先运行群生成函数G(λ)，该函数以安全参数λ为输入，得到群参数

其中，G₁、G₂和G_T表示阶为p的双线性群，e:G₁×G₂→G_T表示一个双线性映射，g∈G₁和

表示群G₁和G₂的生成元；然后，密钥管理机构随机选择一个单向哈希函数

生成并发布全局公开参数GP如下：

所述步骤S2中，生成搜索服务器密钥的过程为：

密钥管理机构以全局参数GP为输入，然后随机选择参数

并计算Q＝g^q和

最后，密钥管理机构为搜索服务器生成公钥为

生成私钥为sk_S＝(q,x)。

所述步骤S3中，生成数据访问者密钥的过程为：

密钥管理机构以全局参数GP为输入，然后随机选择参数

其中i∈{1,2,...,n}，j＝{1,2,...,m}，然后计算参数g₂＝g^β，u′＝g^d，

最后，密钥管理机构为数据访问者生成公钥为pk_R＝(g,g₂,u′,{u_i,j}_{1≤i≤n,1≤j≤m},Y)，生成私钥为

所述步骤S4中，生成加密密文和搜索密文的过程为：

数据拥有者将数据M进行加密存储时，首先使用某个标准加密算法E(·)加密数据M生成加密密文C_M。然后，开始生成用于搜索该密文数据的搜索密文如下：以全局参数GP、搜索服务器公钥pk_S、数据访问者公钥pk_R和关键词列表

为输入，其中1≤t_i≤m(1≤i≤n)。然后，数据拥有者随机选择参数

并生成与关键词列表P有关的搜索密文C_P如下：

最后，数据拥有者设置密文为C＝C_M||C_P，并将C发送给搜索服务器进行存储。

所述步骤S5中，生成搜索密钥的过程为：

数据访问者对数据M进行搜索，首先生成搜索该数据的搜索密钥如下：以全局参数GP、数据访问者私钥sk_R和关键词搜索列表

为输入，其中1≤t_i≤m(1≤i≤n)。然后，数据访问者随机选择参数

并生成与关键词搜索列表L有关的搜索密钥T_L如下：

所述步骤S6中，数据搜索的过程为：

搜索服务器接收到数据访问者的搜索密钥T_L后，进行数据搜索如下：以全局参数GP、搜索服务器的私钥sk_S、数据访问者的搜索密钥T_L和搜索服务器存储的一系列密文集合C_j(j＝1,2,...)为输入，其中C_j＝C_jM||C_jP，C_jP＝(C_j1,C_j2,C_j3,C_j4)；搜索服务器首先计算参数

然后测试等式

是否成立，若成立，那么搜索服务器将返回该搜索密文对应的加密密文C_jM给数据访问者，否则继续搜索；最后，数据访问者将使用标准加密算法E(·)对应的解密算法D(·)解密C_jM得到明文数据M。

(三)有益效果

上述技术方案所提供的安全增强的基于公钥加密的连接关键词搜索方法，通过改进现有的IBE方案[1]，实现IBE方案的匿名性，并基于该匿名性的IBE方案，提出一个SCF-PECKS方案，给出了该方案的正确性和计算一致性证明。随后，本发明在标准模型下基于DBDH弱假设对SCF-PECKS方案进行了安全性证明以及给出了抵抗KGA的安全性分析。最后本发明给出了方案的功能性和性能分析。

附图说明

图1为本发明安全增强的基于公钥加密的连接关键词搜索方法的组织架构图。图2为本发明安全增强的基于公钥加密的连接关键词搜索方法的组织流程图。

具体实施方式

为使本发明的目的、内容和优点更加清楚，下面结合附图，对本发明的具体实施方式作进一步详细描述。

本发明对SCF-PECKS方案的具体构造核心思想来源于Water提出的IBE方案[1]，为了实现该方案的接收者匿名性，本发明利用非对称双向性群的特性对方案进行改进，并基于匿名性的IBE方案进一步构造一个SCF-PECKS方案，该方案在功能性、性能和安全方面都得到了较好的效果。

如附图1和图2所示，该方案主要包括四个组成部分：密钥管理机构、数据拥有者、数据访问者和搜索服务器，其中密钥管理机构负责生成全局参数、搜索服务器密钥和数据访问者密钥；搜索服务器负责存储数据拥有者的加密密文和搜索密文，并接收数据访问者的搜索密钥后进行数据搜索。

(1)方案构造

安全增强的基于公钥加密的连接关键词搜索方法包括生成全局参数、生成搜索服务器密钥、生成数据访问者密钥、生成加密密文和搜索密文、生成搜索密钥和数据搜索六个实施步骤，具体说明如下：

①生成全局参数。

密钥管理机构首先运行群生成函数G(λ)，该函数以安全参数λ为输入，得到群参数

其中，G₁、G₂和G_T表示阶为p的双线性群，e:G₁×G₂→G_T表示一个双线性映射，g∈G₁和

表示群G₁和G₂的生成元；然后，密钥管理机构随机选择一个单向哈希函数

生成并发布全局公开参数GP如下：

②生成搜索服务器密钥。

密钥管理机构以全局参数GP为输入，然后随机选择参数

并计算Q＝g^q和

最后，密钥管理机构为搜索服务器生成公钥为

生成私钥为sk_S＝(q,x)。

③生成数据访问者密钥。

密钥管理机构以全局参数GP为输入，然后随机选择参数

其中i∈{1,2,...,n}，j＝{1,2,...,m}，然后计算参数g₂＝g^β，u′＝g^d，

最后，密钥管理机构为数据访问者生成公钥为pk_R＝(g,g₂,u′,{u_i,j}_{1≤i≤n,1≤j≤m},Y)，生成私钥为

④生成加密密文和搜索密文。

数据拥有者将数据M进行加密存储时，首先使用某个标准加密算法E(·)加密数据M生成加密密文C_M。然后，开始生成用于搜索该密文数据的搜索密文如下：以全局参数GP、搜索服务器公钥pk_S、数据访问者公钥pk_R和关键词列表

为输入，其中1≤t_i≤m(1≤i≤n)。然后，数据拥有者随机选择参数

并生成与关键词列表P有关的搜索密文C_P如下：

最后，数据拥有者设置密文为C＝C_M||C_P，并将C发送给搜索服务器进行存储。

⑤生成搜索密钥。

数据访问者对数据M进行搜索，首先生成搜索该数据的搜索密钥如下：以全局参数GP、数据访问者私钥sk_R和关键词搜索列表

为输入，其中1≤t_i≤m(1≤i≤n)。然后，数据访问者随机选择参数

并生成与关键词搜索列表L有关的搜索密钥T_L如下：

⑥数据搜索。

搜索服务器接收到数据访问者的搜索密钥T_L后，进行数据搜索如下：以全局参数GP、搜索服务器的私钥sk_S、数据访问者的搜索密钥T_L和搜索服务器存储的一系列密文集合C_j(j＝1,2,...)为输入，其中C_j＝C_jM||C_jP，C_jP＝(C_j1,C_j2,C_j3,C_j4)；搜索服务器首先计算参数

然后测试等式

是否成立，若成立，那么搜索服务器将返回该搜索密文对应的加密密文C_jM给数据访问者，否则继续搜索；最后，数据访问者将使用标准加密算法E(·)对应的解密算法D(·)解密C_jM得到明文数据M。

需要注意的是，本发明重点解决连接关键词搜索方法，其数据加密和解密不在本发明考虑范围内，可以选择标准的对称加密和非对称加密算法进行数据的加解密。

(2)方案正确性论述

本部分将对所提SCF-PECKS方案的正确性进行证明。令C_P＝(C₁,C₂,C₃,C₄)表示与搜索关键词列表P有关的密文，T_L＝(D₁,D₂)表示与目标关键词列表L有关的搜索密钥，那么可以得出：

(3)计算一致性论述

本部分将对所提SCF-PECKS方案的计算一致性进行证明。假设(L,P)表示在计算一致性实验中由攻击者Α提交的一个关键词列表对。不失一般性，本发明假设L≠P。由文献[2]可以得出如下结论：

那么可以绝对性的概率得到

令C_P＝(C₁,C₂,C₃,C₄)表示SCF-PECKS密文，T_L＝(D₁,D₂)表示搜索密钥。若在L≠P的情况下，Α能够成功地进行等式搜索测试

那么可以得出Α赢得了计算一致性实验。

因为r,x,t≠0，那么可以得出在L≠P的情况下，Α赢得计算一致性的概率为

(3)方案安全性论述

本发明将使用两个安全性游戏“安全游戏1”和“安全游戏2”在标准模型下对SCF-PECKS方案进行安全性证明。其中，在“安全游戏1”中，攻击者为恶意搜索服务器，而在“安全游戏2”中，攻击者为包括数据访问者的外部攻击者。

定理1.若(t+O(ε^-2ln(ε^-1)λ^-1ln(λ^-1)),((1-mⁿ/p)ε)/(32(n+1)q))DBDH问题是困难的，那么可以得出本发明提出的SCF-PECKS方案是(t,q,ε)IND-SCF-CKA模型下可证明安全的，其中λ＝1/(8(n+1)q)，mⁿ表示所有可能的关键词列表。

引理1.若(t+O(ε^-2ln(ε^-1)λ^-1ln(λ^-1)),((1-mⁿ/p)ε)/(32(n+1)q))DBDH问题是困难的，那么可以得出本方明提出的SCF-PECKS方案在“安全游戏1”中是(t,q,ε)IND-SCF-CKA模型下可证明安全的。

证明：假设存在一个(t,q,ε)攻击者Α，该攻击者在“安全游戏1”中能够以不可忽略的优势攻破本发明提出的SCF-PECKS方案，那么本发明同样可以构造某个仿真者Β，以不低于((1-mⁿ/p)ε)/(32(n+1)q)的概率攻破DBDH困难问题。

仿真者Β首先设置阶为p的双线性群G₁、G₂和G_T，e表示某个双线性映射，然后Β分别选择G₁和G₂的生成元g∈G₁和

接下来，Β以DBDH挑战

为输入来区分

和G_T下的某个随机元素

参数设置阶段。假设攻击者Α进行了q次搜索密钥查询，令

表示证明中将用到的群参数，然后Β选择单向哈希函数

并设置关键词域为KS＝{ks₁,ks₂,...,ks_n}，其中对于每个关键词ks_i∈KS，S_i＝{v_i,1,v_i,2,...,v_i,m}表示关键词可能的取值。最后，Β设置全局参数

然后，Β设置整数d＝4q，并在0和mⁿ间随机选择某个整数k。然后，Β在0和d-1间随机选择参数x′和一个n×m阶长度的向量

令X^*表示参数对

另外，Β在

中随机选择参数y′和一个n×m阶长度的向量

需要注意的是，Β将上述参数设置为私有参数。

接下来，Β随机选择指数

计算参数Q＝g^q和

并设置搜索服务器的公钥为

搜索服务器的私钥为sk_S＝(q,x)。另外，Β计算参数g₂＝g^b，

和

并设置数据访问者的公钥为

最后，Β将参数(GP,pk_R,sk_S,pk_S)发送给攻击者Α。

另外，对于某个关键词列表L，定义三个函数，

和二进制函数K(L)如下：

密钥查询阶段1：攻击者Α向仿真者Β提交一系列的搜索密钥查询。假设Α提交某个与关键词列表

有关的搜索密钥查询，其中t_i∈{1,2,...,m}(1≤i≤n)。若K(L)＝0，那么Β将终止实验，并随机选择一个猜测值。否则，Β将随机选择参数

并计算搜索密钥T_L如下：

令

那么可以得出：

挑战阶段：一旦Α决定密钥查询阶段1结束，Α将输出关键词列表对(P₀,P₁)。然后，仿真者Β随机选择参数β∈{0,1}，并设置P^*＝P_β。接下来，Β随机选择参数

并计算密文组件

需要注意的是，若

那么Β将放弃游戏并随机输出对参数β的猜测。否则，可以得出F(P^*)≡0mod p，那么计算返回给Α的密文组件如下：

为了验证生成密文的正确性，假设Β给定了某个DBDH元组，即

那么，可以得出如下结果：

最后，Β将挑战密文设置为

并将C^*发送给攻击者Α。

密钥查询阶段2：类似密钥查询阶段1，Α继续进行一系列的搜索密钥查询。

猜测阶段：Α输出对参数β的猜测值β′，若满足β′＝β，那么Α输出1表示

否则输出0表示Z为群G_T中的某个随机元素。

需要注意的是，如果两个q次搜索密钥查询集合是不同的，那么Β将以不同的概率终止游戏。因此，Β无法完全利用攻击者Α的输出结果，因为Α成功的概率与Β的终止概率有关。根据文献[2]的研究结论，可以得出Β在“安全游戏1”中的优势至少为((1-mⁿ/p)ε)/(32(n+1)q))。

引理2.若(t+O(ε^-2ln(ε^-1)λ^-1ln(λ^-1)),((1-mⁿ/p)ε)/(32(n+1)q))DBDH问题是困难的，那么可以得出本方明提出的SCF-PECKS方案在“安全游戏2”中是(t,q,ε)IND-SCF-CKA模型下可证明安全的。

证明：假设存在一个(t,q,ε)攻击者Α，该攻击者在“安全游戏2”中能够以不可忽略的优势攻破本发明提出的SCF-PECKS方案，那么本发明同样可以构造某个仿真者Β，以不低于((1-mⁿ/p)ε)/(32(n+1)q)的概率攻破DBDH困难问题。

仿真者Β首先设置阶为p的双线性群G₁、G₂和G_T，e则表示某个双线性映射，然后Β分别选择G₁和G₂的生成元g∈G₁和

接下来，Β以DBDH挑战

为输入来区分

和G_T下的某个随机元素

参数设置阶段。假设攻击者Α进行了q次搜索密钥查询，令表示证明中将用到的群参数，然后仿真者Β选择单向哈希函数

并设置关键词域为KS＝{ks₁,ks₂,...,ks_n}，其中对于每个关键词ks_i∈KS，S_i＝{v_i,1,v_i,2,...,v_i,m}表示关键词可能的取值。最后，Β设置全局参数

接下来，Β设置参数Q＝g^q和

并设置搜索服务器的公钥为

然后，Β随机选择参数

并计算g₂＝g^β，u′＝g^d，

和

因此，Β设置数据访问者的公钥为pk_R＝(g,g₂,u′,{u_i,j}_{1≤i≤n,1≤j≤m},Y)，数据访问者的私钥为

最后，Β将参数(GP,pk_R,sk_R,pk_S)发送给攻击者Α。

密钥查询阶段1：攻击者Α向仿真者Β提交一系列的搜索密钥查询。假设Α提交某个与关键词列表

有关的搜索密钥查询，其中t_i∈{1,2,...,m}(1≤i≤n)。由于Β拥有私钥sk_R，因此Β可以随机选择参数

并计算搜索密钥T_L如下：

挑战阶段：一旦Α决定密钥查询阶段1结束，Α将输出关键词列表对(P₀,P₁)。然后，仿真者Β随机选择参数β∈{0,1}，设置参数P^*＝P_β和密文组件

并计算f^*＝H(Z)。接下来，Β随机选择参数

并计算密文组件：

最后，Β将挑战密文设置为

并将C^*发送给攻击者Α。

密钥查询阶段2：类似密钥查询阶段1，Α继续进行一系列的搜索密钥查询。

猜测阶段：Α输出对参数β的猜测值β′，若满足β′＝β，那么Α输出1表示

否则输出0表示Z为群G_T中的某个随机元素。

需要注意的是，“安全游戏2”的概率和复杂度分析与“安全游戏1”类似，因此，同样得出Β在“安全游戏2”中的优势至少为((1-mⁿ/p)ε)/(32(n+1)q))，证明完毕。

(4)方案抵抗KGA安全性分析

定理2.本发明提出的SCF-PECKS方案能够有效抵抗KGA。

证明：若存在某个攻击者Α得到了与某个关键词列表L有关的搜索密钥T_L＝(D₁,D₂)。另外，全局参数GP、搜索服务器的公钥参数pk_S和数据访问者的公钥参数pk_R都是公开可获得的。为了猜测与搜索密钥T_L有关的关键词列表，攻击者Α首先选择某个猜测关键词列表L′，然后执行如下关键词猜测攻击来确定L′是否正确：

在上述关键词猜测攻击中，虽然攻击者Α可以得到参数

g^d和

但是得不到其具体的指数r、x、d和d_i,j，致使Α无法成功地计算参数g^xd、

和

因此，可以得出结论：攻击者Α通过实施KGA无法成功地攻破本发明提出的SCF-PECKS方案。

(5)方案功能性论述

本发明将对提出的SCF-PECKS方案和几个经典的PECKS方案进行功能性对比分析，包括Park等人提出的两个PECKS方案构造[3]、Hwang等人[4]提出的PECKS方案构造、Zhang等人[5]提出的PECKS方案构造、Hwang等人[6]提出的PECKS方案构造和Yang等人[7]提出的PECKS方案构造。

表1功能性对比

表1从随机预言假设、安全通信信道、抵抗KGA、安全假设、安全模型5个方面进行了功能性比较，可以看到，Park I方案^[3]、Park II方案^[3]、Hwang方案^[4]都需要提前构建安全的通信信道，既复杂又浪费了大量资源，并且都无法成功地抵抗KGA，安全性较低。Park I方案^[3]和Park II方案^[3]在ILCR模型下进行了安全性证明，但是正如文献[4]所指出，虽然ILCR模型看起来是合理的，但是基于该模型的安全性证明理论是不正确的，并证明Park I方案在真实的攻击环境下可以被攻破，同样Park II方案的安全性在真实环境下也无法得到保证。另外，Hwang方案^[4]在IND-CR-CKA模型下基于DLDH假设进行了安全性证明，但是该方案使用了随机预言假设，而随机预言假设是一个完美性假设，在该假设下可证明安全的密码学方案，在实际应用中往往是不安全的。Zhang方案^[5]只给出了所提方案的安全性分析，并未给出完整的安全性证明。Hwang方案^[6]在ICLR模型下进行了安全性证明，其与Park方案^[3]存在相同的安全性问题。Yang方案^[6]在IND-CKCTA模型下基于q-ABDHE和DBDH假设进行了安全性证明，但是q-ABDHE为强假设，安全性较低。

(6)方案性能论述

本发明将对提出的SCF-PECKS方案和几个经典的PECKS方案进行性能对比分析，包括Park等人提出的两个PECKS方案构造[3]、Hwang等人[4]提出的PECKS方案构造、Zhang等人[5]提出的PECKS方案构造、Hwang等人[6]提出的PECKS方案构造和Yang等人[7]提出的PECKS方案构造。

令

|G₁|、|G₂|和|G_T|表示

G₁、G₂和G_T中元素的长度，e₁、e₂和e_T表示群G₁、G₂和G_T下进行一次指数运算的计算成本，P表示进行一次双线性运算的计算成本，l表示与SCF-PECKS密文有关的关键词数量，t表示与搜索密钥有关的关键词数量。为了进行比较分析，在使用非对称双线性群e:G₁×G₂→G_T的方案中假定G₁＝G₂。

表2性能对比

从表2可以得出，本发明所提SCF-PECKS方案的密文长度不依赖于与SCF-PECKS密文有关的关键词数量l，是一个常数。而Park I方案^[3]、Park II方案^[3]、Hwang方案^[4]、Zhang方案^[5]、Hwang方案^[6]和Yang方案^[7]的密文长度随着l的增大成线性增长，加重了搜索服务器的存储负担；Park I方案^[3]、Park II方案^[3]、Hwang方案^[4]、Hwang方案^[6]和本发明所提方案的搜索密钥长度基本类似，同为某个常数。而Zhang方案^[5]和Yang方案^[7]搜索密钥长度随着与搜索密钥有关的关键词数量t的增大成线性增长，加重了数据访问者的存储负担；本发明所提SCF-PECKS方案的加密计算量不依赖于与SCF-PECKS密文有关的关键词数量l，是一个常数。而Park I方案^[3]、Park II方案^[3]、Hwang方案^[4]、Zhang方案^[5]、Hwang方案^[6]和Yang方案^[7]的密文长度随着l的增大成线性增长，加重了数据拥有者的计算负担；Park I方案^[3]、Park II方案^[3]、Hwang方案^[4]、Hwang方案^[6]和本发明所提方案的搜索密钥计算量基本类似，同为某个常数。而Zhang方案^[5]和Yang方案^[7]搜索密钥计算量随着与搜索密钥有关的关键词数量t的增大成线性增长，加重了数据访问者的计算负担；Park I方案^[3]、Park II方案^[3]、Hwang方案^[4]、Hwang方案^[6]和本发明所提方案的搜索计算量基本类似，同为某个常数，而Zhang方案^[5]和Yang方案^[7]搜索计算量随着l的增大成线性增长，加重了搜索服务器的计算负担。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (9)

1.一种安全增强的基于公钥加密的连接关键词搜索系统，其特征在于，包括以下参与实体：密钥管理机构、数据拥有者、数据访问者和搜索服务器，所述密钥管理机构负责全局公开参数的生成发布、搜索服务器公私钥的生成和数据访问者公私钥的生成；搜索服务器负责存储数据拥有者的加密密文和搜索密文，并接收数据访问者的搜索密钥后进行数据搜索。

2.一种安全增强的基于公钥加密的连接关键词搜索系统，其特征在于，共存在n类关键词，关键词域表示为KS＝{ks₁,ks₂,...,ks_n}，对于每个关键词ks_i∈KS，S_i＝{v_i,1,v_i,2,...,v_i,m}表示每个关键词可能的取值；L＝{l₁,l₂,...,l_n}表示数据访问者需要搜索的关键词列表，其中l_i∈S_i；P＝{p₁,p₂,...,p_n}表示数据拥有者制定的搜索访问结构列表，其中p_i∈S_i。

3.一种安全增强的基于公钥加密的连接关键词搜索方法，其特征在于，包括以下步骤：

S1：生成全局参数；

S2：生成搜索服务器密钥；

S3：生成数据访问者密钥；

S4：生成加密密文和搜索密文；

S5：生成搜索密钥；

S6：数据搜索。

4.如权利要求2所述的安全增强的基于公钥加密的连接关键词搜索方法，其特征在于，所述步骤S1中，生成全局参数的过程为：

密钥管理机构首先运行群生成函数G(λ)，该函数以安全参数λ为输入，得到群参数

其中，G₁、G₂和G_T表示阶为p的双线性群，e:G₁×G₂→G_T表示一个双线性映射，g∈G₁和

表示群G₁和G₂的生成元；然后，密钥管理机构随机选择一个单向哈希函数H:

生成并发布全局公开参数GP如下：

5.如权利要求3所述的安全增强的基于公钥加密的连接关键词搜索方法，其特征在于，所述步骤S2中，生成搜索服务器公钥和私钥的过程为：

密钥管理机构以全局参数GP为输入，然后随机选择参数

并计算Q＝g^q和

最后，密钥管理机构为搜索服务器生成公钥为

生成私钥为sk_S＝(q,x)。

6.如权利要求4所述的安全增强的基于公钥加密的连接关键词搜索方法，其特征在于，所述步骤S3中，生成数据访问者公钥和私钥的过程为：

密钥管理机构以全局参数GP为输入，然后随机选择参数

其中i∈{1,2,...,n}，j＝{1,2,...,m}，然后计算参数g₂＝g^β，u′＝g^d，

最后，密钥管理机构为数据访问者生成公钥为pk_R＝(g,g₂,u′,{u_i,j}_{1≤i≤n,1≤j≤m},Y)，生成私钥为

7.如权利要求5所述的安全增强的基于公钥加密的连接关键词搜索方法，其特征在于，所述步骤S4中，生成加密密文和搜索密文的过程为：

数据拥有者将数据M进行加密存储时，首先使用某个标准加密算法E(·)加密数据M生成加密密文C_M；然后，开始生成用于搜索该密文数据的搜索密文如下：以全局参数GP、搜索服务器公钥pk_S、数据访问者公钥pk_R和关键词列表

为输入，其中1≤t_i≤m(1≤i≤n)；然后，数据拥有者随机选择参数

并生成与关键词列表P有关的搜索密文C_P如下：

最后，数据拥有者设置密文为C＝C_M||C_P，并将C发送给搜索服务器进行存储。

8.如权利要求6所述的安全增强的基于公钥加密的连接关键词搜索方法，其特征在于，所述步骤S5中，生成搜索密钥的过程为：

数据访问者对数据M进行搜索，首先生成搜索该数据的搜索密钥如下：以全局参数GP、数据访问者私钥sk_R和关键词搜索列表

为输入，其中1≤t_i≤m(1≤i≤n)；然后，数据访问者随机选择参数

并生成与关键词搜索列表L有关的搜索密钥T_L如下：

9.如权利要求7所述的安全增强的基于公钥加密的连接关键词搜索方法，其特征在于，所述步骤S6中，数据搜索的过程为：搜索服务器接收到数据访问者的搜索密钥T_L后，进行数据搜索如下：以全局参数GP、搜索服务器的私钥sk_S、数据访问者的搜索密钥T_L和搜索服务器存储的一系列密文集合C_j(j＝1,2,...)为输入，其中C_j＝C_jM||C_jP，C_jP＝(C_j1,C_j2,C_j3,C_j4)；搜索服务器首先计算参数

然后测试等式

是否成立，若成立，那么搜索服务器将返回该搜索密文对应的加密密文C_jM给数据访问者，否则继续搜索。最后，数据访问者将使用标准加密算法E(·)对应的解密算法D(·)解密C_jM得到明文数据M。

Images