CN112118257A - 一种安全增强的基于公钥加密的关键词搜索方法 - Google Patents

Abstract

一种安全增强的基于公钥加密的关键词搜索方法。本发明公开了一种安全增强的基于公钥加密的关键词搜索系统，其包括：密钥管理机构、数据拥有者、数据访问者和搜索服务器，所述密钥管理机构负责生成全局参数、搜索服务器密钥和数据访问者密钥，搜索服务器负责存储数据拥有者的加密密文和搜索密文，并接收数据访问者的搜索密钥后进行数据搜索。本发明通过改进现有的身份加密方案，实现IBE方案的匿名性，并基于该匿名性的IBE方案，提出一个无需安全信道的能够实现关键词搜索的公钥加密方案，该方案在标准模型下基于确定性的双线性Diffie‑Hellman假设进行安全性证明。最后，本发明给出了所提方案的正确性和计算一致性验证，并进行了具体的功能性和性能分析。

Description

一种安全增强的基于公钥加密的关键词搜索方法

技术领域

本发明属于数据加密处理技术领域，涉及一种安全增强的基于公钥加密的关键词搜索方法。

背景技术

在云存储、日志存储和邮件处理系统中，为了保护存储数据，系统大都采用加密算法对数据进行加密保护。但是，加密后的数据以密文的形式存在，无法对数据进行搜索，解决该问题的主要技术是采用实现关键词搜索的加密方案。

能够实现关键词搜索的加密方案可以分为：实现关键词搜索的对称加密方案(Symmetric Encryption Scheme with Keyword Search，SEKS)和实现关键词搜索的公钥加密方案(Public Key Encryption Scheme with Keyword Search，PEKS)。在SEKS技术方案中，数据发送者和数据访问者需要共享相同的对称密钥，密钥的管理和分发非常复杂，不够安全。在进行数据搜索前，数据拥有者和数据访问者必须提前协商好密钥，而任何一方的密钥被泄露，都会导致加密信息的不安全。因此，PEKS技术成为密文存储环境下解决关键词搜索的首选方案。

在PEKS技术方案中，若数据拥有者Alice想要与数据访问者Bob共享数据M，那么Alice首先使用某个标准加密算法E(·)加密数据M，然后，附加一系列的PEKS密文，即E(M)||PEKS(w₁,pk_B)||...||PEKS(w_n,pk_B)，其中pk_B表示Bob的公钥，w₁,w₂,...,w_n表示搜索关键词。若Bob想要访问数据，那么他必须向搜索服务器提供与关键词w′有关的搜索密钥T_w′，而且满足存在与数据M有关的某个关键词w∈{w₁,w₂,...,w_n}等于关键词w′。即给定PEKS(w,pk_B)和T_w′，搜索服务器能够成功地测试w是否和w′相等。

Boneh等人在2004年基于公钥加密技术，提出了第一个PEKS方案，该方案能够在不泄露原始数据的情况下实现关键词搜索，但是该方案需要提前构建安全的通信信道，浪费大量的计算和通信资源。为了解决这一问题，Baek等人对PEKS方案进行了改进，提出了一个无需提前构建安全通信信道的PEKS(secure channel free PEKS，SCF-PEKS)方案。随后，几个相关的SCF-PEKS方案相继提出，但是这些方案仅在随机预言模型下被证明是安全的，而随机预言模型为理想的假设模型，其安全性有待进一步验证。因此，Fang等人继续对SCF-PEKS方案进行改进，并在2009年基于Gentry的身份加密方案(identity basedencryption，IBE)，提出了一个安全增强的SCF-PEKS方案，该方案在标准模型下被证明是安全的，但是，该方案基于Decisional q-Augmented Bilinear Diffie-Hellman Exponent(q-ABDHE)这一复杂的安全性假设，而q-ABDHE为强假设，其安全性仍受到质疑。

发明内容

(一)发明目的

本发明的目的是：提供一种安全增强的基于公钥加密的关键词搜索方法，利用非对称双向性群的特性对Water提出的IBE方案进行改进，实现接收者匿名性，并基于匿名性的IBE方案进行本发明方案构造。

(二)技术方案

为了解决上述技术问题，本发明提供一种安全增强的基于公钥加密的关键词搜索系统，其包括：密钥管理机构、数据拥有者、数据访问者和搜索服务器，所述密钥管理机构负责生成全局参数、搜索服务器密钥和数据访问者密钥，搜索服务器负责存储数据拥有者的加密密文和搜索密文，并接收数据访问者的搜索密钥后进行数据搜索。

本发明还提供一种安全增强的基于公钥加密的关键词搜索方法，其包括以下步骤：

S1：生成全局参数；

S2：生成搜索服务器密钥；

S3：生成数据访问者密钥；

S4：生成加密密文和搜索密文；

S5：生成搜索密钥；

S6：数据搜索。

所述步骤S1中，生成全局参数的过程为：

密钥管理机构首先运行群生成函数G(λ)，该函数以安全参数λ为输入，得到群参数

其中，G₁、G₂和G_T表示阶为p的双线性群，e:G₁×G₂→G_T表示一个双线性映射，g∈G₁和

表示群G₁和G₂的生成元；然后，密钥管理机构随机选择一个单向哈希函数

并设置关键词域为

其中，关键词用一个n比特长的字符串表示。最后，密钥管理机构生成全局参数GP如下：

所述步骤S2中，生成搜索服务器密钥的过程为：

密钥管理机构以全局参数GP为输入，然后随机选择参数

和

并计算参数Q＝g^q；最后，密钥管理机构为搜索服务器生成公钥为

生成私钥为sk_S＝q。

所述步骤S3中，生成数据访问者密钥的过程为：

密钥管理机构以全局参数GP为输入，然后随机选择参数

i∈{1,2,...,n}，并计算参数g₂＝g^β,u′＝g^d,

最后，密钥管理机构为数据访问者生成公钥为

生成私钥为

所述步骤S4中，生成加密密文和搜索密文的过程为：

数据拥有者将数据M进行加密存储时，首先使用某个标准加密算法E(·)加密数据M生成加密密文C_M。然后，开始生成用于搜索该密文数据的搜索密文如下：以全局参数GP、搜索服务器公钥pk_S、数据访问者公钥pk_R和搜索关键词w为输入，其中关键词w用一个n比特长的字符串表示，w_i表示关键词w的第i个比特，

表示w_i＝1的所有索引i的集合。最后，数据拥有者随机选择参数

并生成与关键词w有关的搜索密文C_w如下：

数据拥有者设置密文为C＝C_M||C_w，并将C发送给搜索服务器进行存储。

所述步骤S5中，生成搜索密钥的过程为：

数据访问者对数据M进行搜索，首先生成搜索该数据的搜索密钥如下：以全局参数GP、数据访问者私钥sk_R和目标关键词w′为输入，关键词w′用一个n比特长的字符串表示，w′_i表示关键词w′的第i个比特，

表示w′_i＝1的所有索引i的集合，然后，数据访问者随机选择参数

并生成与关键词w′有关的搜索密钥T_w′如下：

所述步骤S6中，数据搜索的过程为：

搜索服务器接收到数据访问者的搜索密钥T_w′后，进行数据搜索如下：以全局参数GP、搜索服务器的私钥sk_S、数据访问者的搜索密钥T_w′和搜索服务器存储的一系列密文集合C_j(j＝1,2,...,m)为输入，其中m表示搜索服务器中的密文个数，且C_j＝C_jM||C_jw，C_jw＝(C_j1,C_j2,C_j3,C_j4)；搜索服务器首先计算参数

然后测试等式

是否成立，若成立，那么搜索服务器将返回该搜索密文对应的加密密文C_jM给数据访问者，否则继续搜索；最后，数据访问者将使用标准加密算法E(·)对应的解密算法D(·)解密C_jM得到明文数据M。

(三)有益效果

上述技术方案所提供安全增强的基于公钥加密的关键词搜索方法，通过改进现有的IBE方案，实现IBE方案的匿名性，并基于该匿名性的IBE方案，提出一个安全增强的SCP-PEKS方案，该方案在标准模型下基于DBDH弱假设进行安全性证明；随后，本发明给出了该方案的正确性和计算一致性验证；最后给出了方案的功能性和性能分析。

附图说明

图1为本发明安全增强的基于公钥加密的关键词搜索方法的组织架构图。图2为本发明安全增强的基于公钥加密的关键词搜索方法的组织流程图。

具体实施方式

为使本发明的目的、内容和优点更加清楚，下面结合附图，对本发明的具体实施方式作进一步详细描述。

本发明对SCF-PEKS方案的具体构造核心思想来源于Water提出的IBE方案，为了实现该方案的接收者匿名性，本发明利用非对称双向性群的特性对方案进行改进，并基于匿名性的IBE方案进一步构造一个SCF-PEKS方案，该方案在功能性、性能和安全方面都得到了较好的效果。

如附图1和图2所示，该方案主要包括四个组成部分：密钥管理机构、数据拥有者、数据访问者和搜索服务器，其中密钥管理机构负责生成全局参数、搜索服务器密钥和数据访问者密钥，搜索服务器负责存储数据拥有者的加密密文和搜索密文，并接收数据访问者的搜索密钥后进行数据搜索。

(1)方案构造

基于上述安全增强的基于公钥加密的关键词搜索系统，安全增强的基于公钥加密的关键词搜索方法包括生成全局参数、生成搜索服务器密钥、生成数据访问者密钥、生成加密密文和搜索密文、生成搜索密钥和数据搜索六个实施步骤，具体说明如下：

①生成全局参数。

密钥管理机构首先运行群生成函数G(λ)，该函数以安全参数λ为输入，得到群参数

其中，G₁、G₂和G_T表示阶为p的双线性群，e:G₁×G₂→G_T表示一个双线性映射，g∈G₁和

表示群G₁和G₂的生成元；然后，密钥管理机构随机选择一个单向哈希函数

并设置关键词域为

其中，关键词用一个n比特长的字符串表示。最后，密钥管理机构生成全局参数GP如下：

②生成搜索服务器密钥。

密钥管理机构以全局参数GP为输入，然后随机选择参数

和

并计算参数Q＝g^q；最后，密钥管理机构为搜索服务器生成公钥为

生成私钥为sk_S＝q。

③生成数据访问者密钥。

密钥管理机构以全局参数GP为输入，然后随机选择参数

i∈{1,2,...,n}，并计算参数g₂＝g^β,u′＝g^d,

最后，密钥管理机构为数据访问者生成公钥为

生成私钥为

④生成加密密文和搜索密文。

若数据拥有者将数据M进行加密存储时，首先使用某个标准加密算法E(·)加密数据M生成加密密文C_M。然后，开始生成用于搜索该密文数据的搜索密文如下：以全局参数GP、搜索服务器公钥pk_S、数据访问者公钥pk_R和搜索关键词w为输入，其中关键词w用一个n比特长的字符串表示，w_i表示关键词w的第i个比特，

表示w_i＝1的所有索引i的集合。最后，数据拥有者随机选择参数

并生成与关键词w有关的搜索密文C_w如下：

数据拥有者设置密文为C＝C_M||C_w，并将C发送给搜索服务器进行存储。

⑤生成搜索密钥。

若数据访问者对数据M进行搜索，首先生成搜索该数据的搜索密钥如下：以全局参数GP、数据访问者私钥sk_R和目标关键词w′为输入，关键词w′用一个n比特长的字符串表示，w′_i表示关键词w′的第i个比特，

表示w′_i＝1的所有索引i的集合，然后，数据访问者随机选择参数

并生成与关键词w′有关的搜索密钥T_w′如下：

⑥数据搜索。

搜索服务器接收到数据访问者的搜索密钥T_w′后，进行数据搜索如下：以全局参数GP、搜索服务器的私钥sk_S、数据访问者的搜索密钥T_w′和搜索服务器存储的一系列密文集合C_j(j＝1,2,...,m)为输入，其中m表示搜索服务器中的密文个数，且C_j＝C_jM||C_jw，C_jw＝(C_j1,C_j2,C_j3,C_j4)；搜索服务器首先计算参数

然后测试等式

是否成立，若成立，那么搜索服务器将返回该搜索密文对应的加密密文C_jM给数据访问者，否则继续搜索；最后，数据访问者将使用标准加密算法E(·)对应的解密算法D(·)解密C_jM得到明文数据M。

需要注意的是，本发明重点解决关键词搜索方法，其数据加密和解密不在本发明考虑范围内，可以选择标准的对称加密和非对称加密算法进行数据的加解密。

(2)方案正确性论述

本部分将对上述所提SCF-PEKS方案的正确性进行证明。令C_w＝(C₁,C₂,C₃,C₄)表示与搜索关键词w有关的密文，T_w′＝(D₁,D₂)表示与目标关键词w′有关的搜索密钥，那么可以得出：

(3)计算一致性论述

本部分将对上述所提SCF-PEKS方案的计算一致性进行证明。假设(w,w′)表示在计算一致性实验中由攻击者A提交的一个关键词对。不失一般性，本发明假设w≠w′。需要注意的是，由文献[2]得出如下结论：

那么以绝对性的概率得到Σ_i∈Wd_i≠Σ_i∈W′d_i。令C_w＝(C₁,C₂,C₃,C₄)表示密文，T_w′＝(D₁,D₂)表示陷门。若在w≠w′的情况下，A成功进行了搜索测试

那么可以得出A赢得了计算一致性实验。

因为r,t≠0，所以可以得出在w≠w′的情况下，A赢得计算一致性的概率为

(3)方案安全性论述

本发明将使用两个安全性游戏“安全游戏1”和“安全游戏2”在标准模型下对SCF-PEKS方案进行安全性证明。其中，在“安全游戏1”中，攻击者为恶意搜索服务器，而在“安全游戏2”中，攻击者为包括数据访问者的外部攻击者。

定理1.若(t+O(ε^-2ln(ε^-1)λ^-1ln(λ^-1)),ε/(32(n+1)))DBDH问题是困难的，那么可以得出本发明提出的SCF-PEKS方案是(t,q,ε)IND-SCF-CKA模型下可证明安全的，其中λ＝1/(8(n+1)q)，n表示关键词字符串的长度。

引理1.若(t+O(ε^-2ln(ε^-1)λ^-1ln(λ^-1)),ε/(32(n+1)))DBDH问题是困难的，那么可以得出本方明提出的SCF-PEKS方案在“安全游戏1”中是(t,q,ε)IND-SCF-CKA模型下可证明安全的。

证明：假设存在一个(t,q,ε)攻击者Α，该攻击者在“安全游戏1”中能够以不可忽略的优势攻破本发明提出的SCF-PEKS方案，那么本发明同样可以构造某个仿真者B，以不低于ε/(32(n+1))的概率攻破DBDH困难问题。

仿真者B首先设置阶为p的双线性群G₁、G₂和G_T，e则表示某个双线性映射，然后B分别选择G₁和G₂的生成元g∈G₁和

接下来，B以DBDH挑战

为输入来区分

和G_T下的某个随机元素

参数设置阶段。假设攻击者Α进行了q次陷门查询，令

表示证明中将用到的群参数，然后B选择单向哈希函数

并设置关键词域为

最后，B设置全局参数

然后，B设置整数m＝4q，并在0和n间随机选择某个整数k。然后，B在0和m-1间随机选择参数x′和一个n长度的向量

令X^*表示参数对

另外，B在

中随机选择参数y′和一个n长度的向量

需要注意的是，B将上述参数设置为私有参数。

接下来，B随机选择指数

计算参数Q＝g^q。然后，B选择某个随机元素

并设置搜索服务器的公钥为

搜索服务器的私钥为sk_S＝q。另外，B计算参数g₂＝g^b，

和

并设置接收者的公钥为

最后，B将参数(GP,pk_R,sk_S,pk_S)发送给攻击者Α。

另外，对于某个关键词w，令

表示所有满足w_i＝1的索引i的集合。接下来，定义三个函数，对于某个关键词列表L，定义三个函数，F(w)＝(p-mk)+x′+∑_i∈Wx_i，J(w)＝y′+∑_i∈Wy_i和二进制函数K(w)如下：

密钥查询阶段1：攻击者Α向仿真者B提交一系列的陷门查询。假设Α提交某个与关键词w有关的陷门查询。若K(w)＝0，那么B将终止实验，并随机选择一个猜测值。否则，B将随机选择参数

并计算陷门T_w如下：

令

那么可以得出：

挑战阶段：一旦Α决定密钥查询阶段1结束，Α将输出关键词对(w₀,w₁)。然后，仿真者B随机选择参数β∈{0,1}，并设置w^*＝w_β。接下来，B随机选择参数

并计算密文组件

需要注意的是，若x′+∑_i∈W*x_i≠km，那么B将放弃游戏并随机输出对参数β的猜测，其中

表示所有满足

的索引i的集合。否则，可以得出F(w^*)≡0(modp)，那么计算返回给Α的密文组件如下：

为了验证生成密文的正确性，假设B给定了某个DBDH元组，即

那么，可以得出如下结果：

最后，B将挑战密文设置为

并将C^*发送给攻击者Α。

密钥查询阶段2：类似密钥查询阶段1，Α继续进行一系列的陷门查询。

猜测阶段：Α输出对参数β的猜测值β′，若满足β′＝β，那么Α输出1表示

否则输出0表示Z为群G_T中的某个随机元素。

需要注意的是，如果两个q次陷门查询集合是不同的，那么B将以不同的概率终止游戏。因此，B无法完全利用攻击者Α的输出结果，因为Α成功的概率与B的终止概率有关。根据文献[2]的研究结论，可以得出B在“安全游戏1”中的优势至少为ε/(32(n+1))。

引理2.若(t+O(ε^-2ln(ε^-1)λ^-1ln(λ^-1)),ε/(32(n+1)))DBDH问题是困难的，那么可以得出本方明提出的SCF-PEKS方案在“安全游戏2”中是(t,q,ε)IND-SCF-CKA模型下可证明安全的。

证明：假设存在一个(t,q,ε)攻击者Α，该攻击者在“安全游戏2”中能够以不可忽略的优势攻破本发明提出的SCF-PEKS方案，那么本发明同样可以构造某个仿真者B，以不低于ε/(32(n+1))的概率攻破DBDH困难问题。

仿真者B首先设置阶为p的双线性群G₁、G₂和G_T，e则表示某个双线性映射，然后B分别选择G₁和G₂的生成元g∈G₁和

接下来，B以DBDH挑战

为输入来区分

和G_T下的某个随机元素

参数设置阶段。假设攻击者Α进行了q次陷门查询，令

表示证明中将用到的群参数，然后仿真者B选择单向哈希函数

并设置关键词域为

最后，B设置全局参数

接下来，B设置参数Q＝g^q和

并设置搜索服务器的公钥为

然后，B随机选择参数

i∈{1,2,...,n}，并计算g₂＝g^β，u′＝g^d，

和

因此，B设置接收者的公钥为pk_R＝(g,g₂,u′,{u_i,j}_{1≤i≤n,1≤j≤m},Y)，接收者的私钥为

最后，B将参数(GP,pk_R,sk_R,pk_S)发送给攻击者Α。

密钥查询阶段1：攻击者Α向仿真者B提交一系列的陷门查询。假设Α提交某个与关键词w有关的陷门查询。由于B拥有私钥sk_R，因此B可以随机选择参数

并计算陷门T_L如下：

挑战阶段：一旦Α决定密钥查询阶段1结束，Α将输出关键词对(w₀,w₁)。然后，仿真者B随机选择参数β∈{0,1}，设置参数w^*＝w_β和密文组件

并计算f^*＝H(Z)。接下来，B随机选择参数

并计算密文组件：

最后，B将挑战密文设置为

并将C^*发送给攻击者Α。

密钥查询阶段2：类似密钥查询阶段1，Α继续进行一系列的陷门查询。

猜测阶段：Α输出对参数β的猜测值β′，若满足β′＝β，那么Α输出1表示

否则输出0表示Z为群G_T中的某个随机元素。

需要注意的是，“安全游戏2”的概率和复杂度分析与“安全游戏1”类似，因此，同样得出B在“安全游戏2”中的优势至少为ε/(32(n+1))，证明完毕。

(4)方案功能性论述

本发明将对本发明所提SCF-PEKS方案和几个经典PEKS方案进行功能性对比分析，包括Boneh等人提出的PEKS方案[3]、Baek等人提出的SCF-PEKS方案[4]、Fang等人提出的标准模型下可证明安全的SCF-PEKS方案[5]以及Yang等人提出的简单假设下标准模型下可证明安全的SCF-PEKS方案[6]。

表1功能比较

功能性	Boneh方案<sup>[3]</sup>	Baek方案<sup>[4]</sup>	Fang方案<sup>[5]</sup>	Yang方案<sup>[6]</sup>	本发明方案
						随机预言模型	是	是	否	否	否
无需安全信道	否	是	是	是	是
						安全假设	BDH	BDH	DBDH，q-ABDHE	DBDH	DBDH

如表1所示，Boneh等人提出的PEKS方案和Baek等人提出的SCF-PEKS方案只能实现随机预言模型下的安全性，而随机预言模型下可证明安全的密码学方案，在实际应用中往往是不安全的。因此，本节重点分析Fang等人提出的SCF-PEKS方案和Yang等人提出的SCF-PEKS方案，这两个方案都是标准模型下可证明安全的。另外，在Fang等人提出方案的安全性证明中，除了依赖于q这一附加因子外，仿真者与攻击者拥有相同的成功概率和时间复杂度，因此可以得出结论：Fang等人提出的SCF-PEKS方案拥有紧安全性规约。但是，Fang等人所提方案的安全性证明基于确定性的q-ABDHE假设，其主要缺点如下：(1)q-ABDHE假设与本发明方案证明所基于的DBDH假设相比为强假设，安全性较低；(2)其紧驰度依赖于参数q，会随着q的变大而降低，因此未必优于本发明方案证明所基于的DBDH假设。另外，Yang等人未给出所提SCF-PEKS方案的安全性证明，因此无法获得其方案的紧驰度。

表1功能比较

(5)方案性能论述

本发明将对本发明所提SCF-PEKS方案和几个经典PEKS方案进行性能对比分析，包括Boneh等人提出的PEKS方案[3]、Baek等人提出的SCF-PEKS方案[4]、Fang等人提出的标准模型下可证明安全的SCF-PEKS方案[5]以及Yang等人提出的简单假设下标准模型下可证明安全的SCF-PEKS方案[6]。

令|Z_p|、|G₁|、|G₂|、和|G_T|表示Z_p、G₁、G₂和G_T中元素的长度，kG₁、kG₂和kG_T表示群G₁、G₂和G_T下进行k次指数运算的计算成本，BM表示进行一次双线性计算的成本，λ表示安全参数，p表示双线性群的阶。

表2性能比较

性能	Boneh方案<sup>[3]</sup>	Baek方案<sup>[4]</sup>	Fang方案<sup>[5]</sup>	Yang方案<sup>[6]</sup>	本发明方案
						陷门长度	|G<sub>1</sub>|	|G<sub>1</sub>|	|Z<sub>p</sub>|+|G<sub>1</sub>|	3|G<sub>1</sub>|	2|G<sub>2</sub>|
密文长度	|G<sub>1</sub>|+lo<sub>gp</sub>	|G<sub>1</sub>|+λ	2|G<sub>1</sub>|+2|G<sub>T</sub>|	4|G<sub>1</sub>|+|G<sub>T</sub>|	3|G<sub>1</sub>|+|G<sub>T</sub>|
						陷门计算成本	G<sub>1</sub>	G<sub>1</sub>	2G<sub>1</sub>	7G<sub>1</sub>	3G<sub>2</sub>
密文计算成本	2G<sub>1</sub>+BM	G<sub>1</sub>+G<sub>T</sub>+BM	3G<sub>1</sub>+3G<sub>T</sub>	6G<sub>1</sub>+G<sub>T</sub>	3G<sub>1</sub>+2G<sub>T</sub>
						搜索测试成本	BM	G<sub>1</sub>+BM	G<sub>1</sub>+2G<sub>T</sub>+2BM	G<sub>1</sub>+G<sub>T</sub>+4BM	G<sub>1</sub>+2G<sub>T</sub>+3BM

从表2可以看出，本发明所提SCF-PEKS方案与Fang等人提出的SCF-PEKS方案相比，除搜索测试成本略高外，其陷门长度、密文长度、陷门计算成本和密文计算成本性能相近。但是，Fang等人基于q-ABDEH假设对方案进行了安全性证明，而本发明方案基于弱DBDH假设对方案进行了安全性证明，安全性高。另外，虽然Yang等人提出的方案同样基于弱DBDH假设进行了安全性证明，但是其陷门和密文更长，陷门计算成本、密文计算成本和搜索测试成本更高，性能较差。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims (8)

1.一种安全增强的基于公钥加密的关键词搜索系统，其特征在于，包括以下参与实体：密钥管理机构、数据拥有者、数据访问者和搜索服务器，所述密钥管理机构负责生成全局参数、搜索服务器密钥和数据访问者密钥，搜索服务器负责存储数据拥有者的加密密文和搜索密文，并接收数据访问者的搜索密钥后进行数据搜索。

2.一种安全增强的基于公钥加密的关键词搜索方法，其特征在于，包括以下步骤：

S1：生成全局参数；

S2：生成搜索服务器密钥；

S3：生成数据访问者密钥；

S4：生成加密密文和搜索密文；

S5：生成搜索密钥；

S6：数据搜索。

3.如权利要求2所述的安全增强的基于公钥加密的关键词搜索方法，其特征在于，所述步骤S1中，生成全局参数的过程为：

密钥管理机构首先运行群生成函数G(λ)，该函数以安全参数λ为输入，得到群参数

其中，G₁、G₂和G_T表示阶为p的双线性群，e:G₁×G₂→G_T表示一个双线性映射，g∈G₁和

表示群G₁和G₂的生成元；然后，密钥管理机构随机选择一个单向哈希函数H:

并设置关键词域为

其中，关键词用一个n比特长的字符串表示；最后，密钥管理机构生成全局参数GP如下：

4.如权利要求3所述的安全增强的基于公钥加密的关键词搜索方法，其特征在于，所述步骤S2中，生成搜索服务器密钥的过程为：

密钥管理机构以全局参数GP为输入，然后随机选择参数

和

并计算参数Q＝g^q；最后，密钥管理机构为搜索服务器生成公钥为

生成私钥为sk_S＝q。

5.如权利要求4所述的安全增强的基于公钥加密的关键词搜索方法，其特征在于，所述步骤S3中，生成数据访问者密钥的过程为：

密钥管理机构以全局参数GP为输入，然后随机选择参数α,β,d,

i∈{1,2,...,n}，并计算参数g₂＝g^β,u′＝g^d,

最后，密钥管理机构为数据访问者生成公钥为

生成私钥为

6.如权利要求5所述的安全增强的基于公钥加密的关键词搜索方法，其特征在于，所述步骤S4中，生成加密密文和搜索密文的过程为：

数据拥有者将数据M进行加密存储时，首先使用某个标准加密算法E(·)加密数据M生成加密密文C_M；然后，开始生成用于搜索该密文数据的搜索密文如下：以全局参数GP、搜索服务器公钥pk_S、数据访问者公钥pk_R和搜索关键词w为输入，其中关键词w用一个n比特长的字符串表示，w_i表示关键词w的第i个比特，

表示w_i＝1的所有索引i的集合；最后，数据拥有者随机选择参数s,

并生成与关键词w有关的搜索密文C_w如下：

数据拥有者设置密文为C＝C_M||C_w，并将C发送给搜索服务器进行存储。

7.如权利要求6所述的安全增强的基于公钥加密的关键词搜索方法，其特征在于，所述步骤S5中，生成搜索密钥的过程为：

数据访问者对数据M进行搜索，首先生成搜索该数据的搜索密钥如下：以全局参数GP、数据访问者私钥sk_R和目标关键词w′为输入，关键词w′用一个n比特长的字符串表示，w′_i表示关键词w′的第i个比特，

表示w′_i＝1的所有索引i的集合，然后，数据访问者随机选择参数

并生成与关键词w′有关的搜索密钥T_w′如下：

8.如权利要求7所述的安全增强的基于公钥加密的关键词搜索方法，其特征在于，所述步骤S6中，数据搜索的过程为：搜索服务器接收到数据访问者的搜索密钥T_w′后，进行数据搜索如下：以全局参数GP、搜索服务器的私钥sk_S、数据访问者的搜索密钥T_w′和搜索服务器存储的一系列密文集合C_j(j＝1,2,...,m)为输入，其中m表示搜索服务器中的密文个数，且C_j＝C_jM||C_jw，C_jw＝(C_j1,C_j2,C_j3,C_j4)；搜索服务器首先计算参数

然后测试等式

是否成立，若成立，那么搜索服务器将返回该搜索密文对应的加密密文C_jM给数据访问者，否则继续搜索；最后，数据访问者将使用标准加密算法E(·)对应的解密算法D(·)解密C_jM得到明文数据M。

Images