CN112733193B - 基于时间控制可审计匿名的谓词检索系统及方法 - Google Patents

Abstract

本发明涉及一种基于时间控制可审计匿名的谓词检索系统及方法，包括可信机构、时间服务器、陷门生产中心、云服务、数据拥有者端、数据使用者端；所述可信机构与间服务器、陷门生产中心和数据拥有者端分别连接；所述云服务与数据拥有者端、数据使用者端分别连接。本发明基于时间的访问控制授权机制，并构造了一个具体的时间控制的表达性谓词查询系统，实现高效的谓词搜索、搜索关键词集隐私、匿名时间控制的授权、可审计的匿名性、无密钥托管以及时间令牌的不可转让性。

Description

基于时间控制可审计匿名的谓词检索系统及方法

技术领域

本发明涉及数据检索领域，具体涉及一种基于时间控制可审计匿名的谓词检索系统及方法。

背景技术

云计算的出现为信息技术和商业领域带来了深刻变革。个人、组织和企业可以将数据资源或服务外包给云服务器，按需使用云服务器的数据存储能力和计算能力，以减轻本地负担。在一个基于云平台的电子健康(e-health)系统中，往往存放着来自不同医疗机构的大量健康记录数据。为了保护用户隐私，这些医疗记录在外包到云服务器存储和计算之前都进行过加密。从方便数据和服务使用的角度来说，在电子健康系统中实现可搜索加密功能是很有必要的，这样授权用户才能在加密的医疗数据和服务上进行搜索，检索自己感兴趣的信息。一般来说，可搜索加密算法可以分为对称加密方式和公钥加密方式。前者也被称为隐私信息检索(PIR)，因为加密后的数据只能由数据所有者自己搜索，或与数据共享者分享私钥；后者也被称为带关键词搜索的公钥加密(PEKS)，数据所有者和数据使用者可以是不同的实体，他们之间无需共享私钥。

对于基于云的电子健康系统来说，使用公钥加密方式的可搜索加密方案更适合于多所有者、多用户之间的医疗资源共享。但是，现有的许多PEKS方案只支持单关键字搜索，不能满足检索需求。为了适应实际应用的需要，需要给用户提供能够实现灵活搜索的谓词检索方式(expressive search predicates)，例如合取(conjunctive)/析取(disjunctive)关键字搜索和布尔搜索。例如，为了研究疾病、药物和治疗之间的关联关系，医生可以使用如下谓词搜索表达式：(疾病＝高血压)AND((药物＝ARBs)OR(治疗＝运动疗法))。

发明内容

有鉴于此，本发明的目的在于提供一种基于时间控制可审计匿名的谓词检索系统及方法，实现基于时间的访问控制授权机制，并构造了一个具体的时间控制的表达性谓词查询系统。

为实现上述目的，本发明采用如下技术方案：

一种基于时间控制可审计匿名的谓词检索系统，包括可信机构

时间服务器

陷门生产中心

云服务

数据拥有者端

数据使用者端

所述可信机构与间服务器、陷门生产中心和数据拥有者端分别连接；所述云服务与数据拥有者端、数据使用者端分别连接。

一种基于时间控制可审计匿名的谓词检索系统的检索方法，包括以下步骤：

可信机构初始化系统；

时间服务器、陷门生成中心和数据使用者分别在可信机构注册并生成其公私钥对；

数据拥有者加密自己的数据并将加密数据外包给云服务器；

根据数据使用者预设要求获取授权，在授权时间内从时间服务器处获取时间令牌；

陷门生成中心验证数据使用者提交的时间令牌的合法性，并确保该令牌还未过期，验证通过后，陷门生成中心会同数据用户交互以共同生成一个支持表达性谓词检索的陷门，通过将该陷门提交给云服务器，数据用户就能获得相应的检索服务。

进一步的，所述系统初始化具体为：

以安全参数1^κ为输入，输出系统公共参数params和主密钥MSK；

首先，生成一个包含双线性映射e:G G G_T的双线性群(G,G_T,e,p,g)，并选取群G的一个生成元g；

接着，

随机选取g₀,h,h₀,u,w∈_R G，

并计算X＝g^δ,X′＝g^λ；

此外，

还会选取两个抗碰撞哈希函数

和H₂:{0,1}*→G，并公开参数params＝(g₀,h,h₀,u,w,X,X′,H₁,H₂)；系统的主密钥MSK＝(δ,λ)则由

保密。

进一步的，所述时间服务器在可信机构注册并生成其公私钥对，具体为：以公开参数params为输入，输出

的私钥SK_TS和公钥PK_TS，

首先随机选取

并计算

将其私钥-公钥对设置为(SK_TS,PK_TS)＝(x_t,Y_TS)；随后，

将公钥Y_TS发送各

以注册成为一个合法的时间服务器。

进一步的，所述陷门生成中心在可信机构注册并生成其公私钥对，具体为：以公开参数params为输入，以

的私钥SK_TGC和公钥PK_TGC为输出。

首先随机选取随机数

计算

和

的公钥PK_TGC＝(g,g₁,g₂,e(g₁,g₂)^α)，私钥SK_TGC＝(α,d₁,d₂)。

进一步的，所述数据使用者在可信机构注册并生成其公私钥对，具体为：

(1)

选取

计算

设置其私钥-公钥对为(SK_U,PK_U)＝(x_u,Y_U)，并利用零知识证明技术生成证明

然后u将ID_U,PK_U,

发给

(2)

验证

后，选取

利用主密钥δ,λ计算

和

得到匿名凭证σ_U＝(σ_U,1,σ_U,2)；TA将(ID_U,PK_U,VP_U,(r_u,s_u,σ_u))存入本地列表

中，并将r_u,s_u,σ_U,VP_U发送给

(3)

在接收后验证等式

和

是否成立；如果成功验证，

就保存匿名证书σ_U＝(σ_U,1,σ_U,2)和证书有效期VP_U。

进一步的，所述数据拥有者采用Encrypt算法加密自己的数据，具体为：

以关键词集合KW＝(W₁,…,W_m)和公共参数PP为输入，输出密文CT；选取随机数

分别计算C₀＝e(g₁,g₂)^αs,

C_x＝H(W_x)^sg^s，最终得到密文CT＝(C₀,F₁,F₂,F₃,{C_x}_x∈[1,m])。

进一步的，所述时间令牌获取，具体为：

(1)

利用零知识证明技术生成证明

在不泄露x_t的前提下证明其拥有私钥SK_TS＝x_t；

(2)数据使用者

需要使用其密钥SK_U＝x_u和匿名证书σ_U生成假名Ps_U；首先，

随机选取

然后分别计算

(c_u＝s_uc_u,ψ_u＝s_uψ_u)，ξ_u＝H₁(c_u,ID_TGC)，

通过上述计算，u得到假名Ps_U＝(P_U,Q_U,R_U)；

同时还生成了如下的零知识证明

将ID_TGC,Ps_U,

VP_U发送给

(3)在成功验证

后，

利用BBS+签名技术为

生成时间令牌

时间令牌中的元素z_u＝H₁(ID_TGC,VP_T,Ps_U)，这是时间令牌的序列号标识，包含了ID_TGC、Ps_U和令牌有效期VP_T；

(4)在收到时间令牌后，

对如下等式进行验证：

如果验证通过，

就接受该时间令牌Tok_U。

进一步的，所述时间令牌验证，具体为：

(1)

首先选取一个随机数N_u并发送给

(2)随后，

随机选取

计算

和

此时，时间令牌Tok_U由

进行盲化处理；接着，

生成如下零知识证明

作为其拥有合法时间令牌的证据：

将(D_U,E_U,F_U,z_u,VP_T,Ps_U)整合成证明Proof_T；完成上述计算后，

将Tok_U和Proof_T发送给

(3)接收到

发送的数据后,

检查证明

是否通过验证以及等式

是否成立；

在该过程中，随机数N_u被包含在零知识证明

的生成和验证中以抵抗重放攻击。

进一步的，所述支持表达性谓词检索的陷门生成，具体包括如下步骤:

(1)

首先生成随机值

并发送l×n的矩阵

给

在收到矩阵

后，

生成随机数

和一个随机向量

并计算秘密值α的秘密份额(secret shares)

接着，

和

执行了一个被称为TTP-ModuloArithmetics的两方协议；协议执行后，

获取

其中

(2)

利用随机值φ_i,3计算

以此隐藏查询关键词集合{W_ρ(i)}；同时

生成对应的零知识证明

将{Γ_i}_i∈[1,l]和零知识证明

发送给

(3)

首先要验证

是否成立；如果验证未通过，陷门生成算法就此中止；然后

计算盲陷门{D_i,1,D_i,2,E_i′}_i∈[1,l]并发送给u；在收到盲陷门后，

可以用其生成合法陷门TD＝{D_i,1,D_i,2,E_i}_i∈[1,l]。

进一步的，还设置有加密数据匹配测试，所述加密数据匹配测试具体如下：

以CT、TD和params作为输入，

调用测试算法Test获得匹配结果。如果KW和搜索谓词

匹配，算法输出1，否则算法输出0；

算法Test以安全参数PP、密文CT＝(C,F₁,F₂,F₃,{C_x}_x∈[1,m])和一个谓词陷门

作为输入，输出0或1表示匹配结果，即1表示匹配，0表示不匹配。其中，密文CT对应明文关键词集合KW＝(W₁,…,W_m)；陷门TD则与搜索谓词

相对应。算法从

中计算

是满足

的[1,l]最小子集)。然后算法检查是否存在集合

使其对于常量{ω_i}_i∈I满足

如果不存在这样的集合I，算法输出0表示KW和搜索谓词

不匹配；否则，算法输出1。

进一步的，

使用User-Trace算法来实现可审计性。

可以利用其主密钥MSK来从时间令牌证明Proof_T中获取证明的生产者

的公钥PK_U和身份ID_U。给定一个时间令牌证明Proof_T，

可以实施如下操作：

(1)验证下列等式是否成立：

(2)如果任一等式不成立，算法输出⊥，表明Proof_T不是一个合法的时间令牌证明。否则，

计算

并在列表

中查找(PK_U,ID_U)来获取

的身份ID_U

本发明与现有技术相比具有以下有益效果：

本发明基于时间的访问控制授权机制，并构造了一个具体的时间控制的表达性谓词查询系统，实现高效的谓词搜索、搜索关键词集隐私、匿名时间控制的授权、可审计的匿名性、无密钥托管以及时间令牌的不可转让性。

附图说明

图1是本发明系统原理图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

请参照图1，本发明提供一种基于时间控制可审计匿名的谓词检索系统，包括可信机构

时间服务器

陷门生产中心

云服务

数据拥有者端

数据使用者端

所述可信机构与间服务器、陷门生产中心和数据拥有者端分别连接；所述云服务与数据拥有者端、数据使用者端分别连接。

是一个可信的实体，负责系统初始化(system setup)、其他实体的公私钥生成、匿名凭证发行以及恶意用户审计和恢复；

首先需要到

注册以生成其公私钥对。当收到数据使用者的请求时，

会根据数据使用者的订单为其生成时间令牌(。

生成的令牌与一个特定期限绑定，只有在有效期限内，数据使用者才能使用检索服务。

同样需要到

注册以生成其公私钥对。

负责验证数据用户提交的时间令牌的合法性，并确保该令牌还未过期。验证通过后，

会同数据用户交互以生成检索陷门。本系统能够保证在交互过程中，用户的搜索谓词对

保密。

负责存储加密数据并运行测试算法以响应检索请求

加密自己的数据并将加密数据外包给云服务器

需要到

注册以生成其公私钥对。

根据按需付费的商业模式支付检索服务费用后，能在授权时间内从时间服务器

处获取时间令牌。接着，数据用户可以与陷门生成中心

进行交互，共同生成一个支持表达性谓词检索的陷门。通过将该陷门提交给云服务器，数据用户就能获得相应的检索服务。

在本实施例中，变量符合定义如表1所示：

表1：符号变量

在本实施例中，还提供一种基于时间控制可审计匿名的谓词检索系统的检索方法，包括以下步骤：

可信机构初始化系统；

时间服务器、陷门生成中心和数据使用者分别在可信机构注册并生成其公私钥对；

数据拥有者加密自己的数据并将加密数据外包给云服务器；

根据数据使用者预设要求获取授权，在授权时间内从时间服务器处获取时间令牌；

陷门生成中心验证数据使用者提交的时间令牌的合法性，并确保该令牌还未过期，验证通过后，陷门生成中心会同数据用户交互以共同生成一个支持表达性谓词检索的陷门，通过将该陷门提交给云服务器，数据用户就能获得相应的检索服务。

优选的，本实施例中系统中包含以下算法：系统建立算法Setup，时间服务器注册算法TS-Reg，陷门生成中心注册算法TGC-Reg，用户注册算法User-Reg，加密算法Encrypt，时间令牌生成算法Time-Token-Gen，时间令牌验证算法Time-Token-Verify，盲化陷门生成算法Blind-Trapdoor-Gen，测试算法Test，用户追踪算法User-Trace。

1.Setup(1^κ)→(params,MSK).

以安全参数1^κ为输入，生成公共参数params和主密钥MSK。

2.TS-Reg(params)→(SK_TS,PK_TS).

以公共参数params为输入，生成其私钥SK_TS和公钥PK_TS。

3.TGC-Reg(params)→(SK_TGC,PK_TGC).

以公共参数params为输入，生成其私钥SK_TGC和公钥PK_TGC。

4.

(SK_U,PK_U,σ_U,VP_U).该算法通过

和

的交互实现。

以主密钥MSK和公开参数params作为输入，

以其的身份ID_U和公开参数params作为输入。算法输出ID_U对应的私钥SK_U、公钥PK_U、匿名凭证σ_U和匿名凭证的有效期VP_U。

5.

该算法由

执行。算法通过输入关键词集合KW和公开参数params，能够生成关键词集合对应的密文CT

6.

该算法由

和

的交互实现。在该算法中，

以其私钥SK_TS、公钥PK_TS和公开参数params为输入，

以其私钥SK_U、公钥PK_U、匿名凭证σ_U、有效期VP_U、

的身份ID_TGC和公开参数params为输入。算法输出

的加密Ps_U、时间令牌Tok_U及时间令牌的有效期VP_T。

7.

该算法由

和

之间的交互所实现。

以其私钥SK_TGC、公钥PK_TGC和公开参数params为输入，

以其私钥SK_U、公钥PK_U、匿名凭证σ_U、有效期VP_U、时间令牌Tok_U及其有效期VP_T和公开参数params为输入。当Tok_U和Proof_T分别为合法的时间令牌和证明时，算法输出1。否则，算法将输出0.

8.

如果上一个算法Time-Token-Verify输出1，

和

会继续执行Blind-Trapdoor-Gen算法来生成一个查询陷门。

该算法由

和

之间的交互所实现。

以其私钥SK_TGC和公开参数params作为输入，

以关键词集合

和公开参数params为输入。算法最终生成

的查询陷门TD。

9.

该算法由

执行。算法输入密文CT、查询陷门TD和公开参数params。如果密文和陷门的关键词集合匹配，算法将输出1，否则算法输出0。

该算法由

执行。通过输入主密钥MSK、时间令牌证明Proof_T和公开参数params，

能够还原出用户

(即Proof_T的生成者)的公钥PK_U和身份ID_U。如果Proof_T不是一个合法的时间令牌证明，算法将输出⊥。

系统初始化具体为：Setup(1^κ)→(params,MSK)

以安全参数1^κ为输入，输出系统公共参数params和主密钥MSK；

首先，算法生成一个包含双线性映射e:G G G_T的双线性群(G,G_T,e,p,g)，并选取群G的一个生成元g。接着，

随机选取g₀,h,h₀,u,w∈_R G，δ，

并计算X＝g^δ,X′＝g^λ。此外，

还会选取两个抗碰撞哈希函数

和H₂:{0,1}*→G，并公开参数params＝(g₀,h,h₀,u,w,X,X′,H₁,H₂)。系统的主密钥MSK＝(δ,λ)则由

保密。

时间服务器在可信机构注册并生成其公私钥对，具体为：以公开参数params为输入，输出

的私钥SK_TS和公钥PK_TS，

首先随机选取

并计算

将其私钥-公钥对设置为(SK_TS,PK_TS)＝(x_t,Y_TS)；随后，

将公钥Y_TS发送各

以注册成为一个合法的时间服务器。

在本实施例中，时间服务器

陷门生成中心

和数据使用者

都需要向

注册后才能执行后续操作

TS-Reg(params)→(SK_TS,PK_TS)

该算法由

调用，以公开参数params为输入，输出

的私钥SK_TS和公钥PK_TS。在该算法中，

首先随机选取

并计算

将其私钥-公钥对设置为(SK_TS,PK_TS)＝(x_t,Y_TS)。随后，

将公钥Y_TS发送各

以注册成为一个合法的时间服务器

TGC-Reg(params)→(SK_TGC,PK_TGC)

该算法由

调用，以公开参数params为输入，以

的私钥SK_TGC和公钥PK_TGC为输出。

首先运行EPQ.Setup来生成其私钥SK_TGC＝(α,d₁,d₂)和公钥PK_TGC＝(g,g₁,g₂,e(g₁,g₂)^α)。然后

将其公钥Y_TGC发送给

注册。EPQ.Setup(1^λ)→(PP,MSK)

Setup算法以安全参数1^λ为输入，输出公共参数PP和主密钥MSK。算法首先随机选取随机数

计算

和

算法同时也定义了一个抗冲突哈希函数H:{0,1}^*→G。系统的公开参数PP＝(g,g₁,g₂,e(g₁,g₂)^α,H)，主密钥MSK＝(α,d₁,d₂)

(SK_U,PK_U,σ_U,VP_U)

该算法由

和

联合执行，生成

的私钥SK_U、公钥PK_U、匿名凭证σ_U和匿名凭证的有效期VP_U。交互的具体过程如下所示。

(1)

选取

计算

设置其私钥-公钥对为(SK_U,PK_U)＝(x_u,Y_U)，并利用零知识证明技术生成证明

以便在不泄露私钥的同时证明其拥有私钥SK_U＝x_u。然后

将ID_U,PK_U,

发给

(2)

验证

后，选取

利用主密钥δ,λ计算

和

得到匿名凭证σ_U＝(σ_U,1,σ_U,2)。TA将(ID_U,PK_U,VP_U,(r_u,s_u,σ_u))存入本地列表

中，并将r_u,s_u,σ_U,VP_U发送给

(3)

在接收后验证等式

和

是否成立。如果成功验证，

就保存匿名证书σ_U＝(σ_U,1,σ_U,2)和证书有效期VP_U

在本实施例中，数据拥有者采用Encrypt算法加密自己的数据，具体为：

Encrypt算法以关键词集合KW＝(W₁,…,W_m)和公共参数PP为输入，输出密文CT。算法选取随机数

分别计算C₀＝e(g₁,g₂)^αs,

C_x＝H(W_x)^sg^s，最终得到密文CT＝(C₀,F₁,F₂,F₃,{C_x}_x∈[1,m])。

在本实施例中，时间令牌获取，具体为：数据使用者在付费后将获得相应数据使用授权。

时间服务器负责检查用户的授权情况，并在授权期限内向付费用户发放时间令牌。

(1)

利用零知识证明技术生成证明

在不泄露x_t的前提下证明其拥有私钥SK_TS＝x_t；

(2)数据使用者

需要使用其密钥SK_U＝x_u和匿名证书σ_U生成假名Ps_U；首先，

随机选取

然后分别计算

(c_u＝s_uc_u,ψ_u＝s_uψ_u)，ξ_u＝H₁(c_u,ID_TGC)，

通过上述计算，

得到假名Ps_U＝(P_U,Q_U,R_U)；

同时还生成了如下的零知识证明

将ID_TGC,Ps_U,

VP_U发送给

(3)在成功验证

后，

利用BBS+签名技术为

生成时间令牌

时间令牌中的元素z_u＝H₁(ID_TGC,VP_T,Ps_U)，这是时间令牌的序列号标识，包含了ID_TGC、Ps_U和令牌有效期VP_T；

(4)在收到时间令牌后，

对如下等式进行验证：

如果验证通过，

就接受该时间令牌Tok_U。

在本实施例中，时间令牌验证，具体为：在得到时间服务器

发行时间令牌后，数据使用者

就可以将时间令牌提交给陷门生成中心

以获取陷门生成服务。本系统保证了时间令牌的不可转让性，除非

的私钥泄露，否则其时间令牌无法被其他用户使用。为了满足上述不可转让性要求，在

对时间令牌的所有权进行验证的过程中，时间令牌是对

保密的。

(1)

首先选取一个随机数N_u并发送给

(2)随后，

随机选取

计算

和

此时，时间令牌Tok_U由

进行盲化处理；接着，

生成如下零知识证明

作为其拥有合法时间令牌的证据：

将(D_U,E_U,F_U,z_u,VP_T,Ps_U)整合成证明Proof_T；完成上述计算后，

将Tok_U和Proof_T发送给

(3)接收到

发送的数据后,

检查证明

是否通过验证以及等式

是否成立；

在该过程中，随机数N_u被包含在零知识证明

的生成和验证中以抵抗重放攻击。

在本实施例中，为了使用检索服务，数据使用者

需要为搜索谓词(searchpredicate)

生成查询陷门。本发明利用陷门生成中心

来为

生成陷门。为了实现隐私保护，设计了一种盲陷门生成算法。该算法能在不泄露查询内容的情况下，帮助数据使用者生成检索谓词陷门。如果

的时间令牌在之前的Time-Token-Verify算法中被成功验证，

和

就可以通过Blind-Trapdoor-Gen算法生成查询陷门，

具体包括如下步骤:

(1)

首先生成随机值

并发送l×n的矩阵

给

在收到矩阵

后，

生成随机数

和一个随机向量

并计算秘密值α的秘密份额(secret shares)

接着，

和

执行了一个被称为TTP-ModuloArithmetics的两方协议；协议执行后，

获取

其中

(2)

利用随机值φ_i,3计算

以此隐藏查询关键词集合{W_ρ(i)}；同时

生成对应的零知识证明

将{Γ_i}_i∈[1,l]和零知识证明

发送给

(3)

首先要验证

是否成立；如果验证未通过，陷门生成算法就此中止；然后

计算盲陷门{D_i,1,D_i,2,E_i′}_i∈[1,l]并发送给

在收到盲陷门后，

可以用其生成合法陷门TD＝{D_i,1,D_i,2,E_i}_i∈[1,l]。

在本实施例中，加密数据匹配测试具体如下：

该算法以CT、TD和params作为输入，

调用测试算法Test获得匹配结果。如果KW和搜索谓词

匹配，算法输出1，否则算法输出0。

算法Test以安全参数PP、密文CT＝(C,F₁,F₂,F₃,{C_x}_x∈[1,m])和一个谓词陷门

作为输入，输出0或1表示匹配结果，即1表示匹配，0表示不匹配。其中，密文CT对应明文关键词集合KW＝(W₁,…,W_m)；陷门TD则与搜索谓词

相对应。算法从

中计算

是满足

的[1,l]最小子集)。然后算法检查是否存在集合

使其对于常量{ω_i}_i∈I满足

如果不存在这样的集合I，算法输出0表示KW和搜索谓词

不匹配。否则，算法输出1。

在本实施例中，

使用User-Trace算法来实现可审计性。

可以利用其主密钥MSK来从时间令牌证明Proof_T中获取证明的生产者

的公钥PK_U和身份ID_U。给定一个时间令牌证明Proof_T，

可以实施如下操作：

(1)验证下列等式是否成立：

(2)如果任一等式不成立，算法输出⊥，表明Proof_T不是一个合法的时间令牌证明。否则，

计算

并在列表

中查找(PK_U,ID_U)来获取

的身份ID_U。

优选的，在本实施例中，定义G_p为一个以安全参数1^κ为输入的算法，算法输出素数阶双线性映射参数组(p,g,G,G_T,e)。其中G和G_T是两个阶为素数p的乘法循环群，g是G的随机生成元。映射e:G G G_T是一个双线性映射。双线性映射e有三个性质：(1)双线性性(bilinearity)：

和a,b∈Z_p，有e(u^a,v^b)＝e(uv)^ab。(2)非退化性：e(g,g)≠1。(3)可计算性：可以高效计算出e。

假设1(q-SDH假设)设G是阶为素数p的双线性群，g是G的一个生成元。G中的q-SDH(q-Strong Diffie-Hellman)问题定义如下：算法

以一个长度为(q+1)的元组

为输入，输出(c,g^1/(c+x))∈Z_p×G，如果

则算法能以∈的优势解决G中的q-SDH问题。

假设2(q-bilinear Diffie-Hellman exponent假设)设G是阶为素数p的双线性群，g是G的一个生成元，β,s∈Z_p是随机数。如果敌手

拥有向量

则敌手

难以区分

是否为一个从G_T中随机选取的元素。

在本实施例中，还设置有零知识证明，具体为：

零知识证明(ZKP)涉及证明者和验证者两个实体：证明者P知道一个秘密数据x，验证者V想要确保秘密数据x与公开数据w间满足关系R，即(w,x)∈R。

如果协议使得证明者P能够在说服验证者V的同时，保证V除了上述陈述外一无所知，则该协议被称为对知识的零知识证明zero-knowledge proof of knowledge(PoK)协议。一个典型的零知识证明实例如下所示。

其中，

是要证明的秘密值，g₁,g₂,Z₁,Z₂∈G是公开参数。按照Fiat-Shamir启发法(Fiat-Shamir heuristic)，该实例能以下列方式转换为非交互式零知识证明协议：(1)P随机选取

计算承诺

然后，P计算c＝H(Z₁,Z₂,U₁,U₂)，y₁＝u₁-cs₁和y₂＝u₂-cs₂。P将证明(U₁,U₂,y₁,y₂)发送给V。(2)在收到证明后，V计算c＝H(Z₁,Z₂,U₁,U₂)，并检查

和

如果上述两个等式成立，V则接受该证明。

优选的，本实施例还设置有承诺方案，具体为：一个密码学承诺方案允许某一方提交一个秘密值，同时使该值对其他参与者保密。提交者能够在之后公开(open)所提交的值。承诺方案的目的是保证承诺方不改变承诺值，这是被用于零知识证明、安全计算等技术中的一个重要工具。本系统采用Pedersen承诺方案。对于一个秘密值

方案随机选取

输出承诺

Pedersen承诺方案是基于离散对数困难问题的完美隐藏与绑定(binding)。

优选的，在本实施例中，还设置有匿名凭证，具体为：

在匿名证书系统中，用户能够从证书发行者处获得凭证并以匿名方式证明其拥有凭证。这是为用户提供隐私的最佳方法之一，对于许多实际应用来说至关重要。许多匿名证书方案使用匿名签名技术(例如BBS+签名和零知识签名)来构造匿名凭证。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。

Claims (6)

1.一种基于时间控制可审计匿名的谓词检索系统的检索方法，其特征在于，所述系统包括可信机构

时间服务器

陷门生产中心

云服务

数据拥有者端

数据使用者端

所述可信机构与间服务器、陷门生产中心和数据拥有者端分别连接；所述云服务与数据拥有者端、数据使用者端分别连接

具体包括以下步骤：

可信机构初始化系统；

时间服务器、陷门生成中心和数据使用者分别在可信机构注册并生成其公私钥对；

数据拥有者加密自己的数据并将加密数据外包给云服务器；

根据数据使用者预设要求获取授权，在授权时间内从时间服务器处获取时间令牌；

陷门生成中心验证数据使用者提交的时间令牌的合法性，并确保该令牌还未过期，验证通过后，陷门生成中心会同数据用户交互以共同生成一个支持表达性谓词检索的陷门，通过将该陷门提交给云服务器，数据用户就能获得相应的检索服务；

所述时间令牌获取，具体为：

(1)

利用零知识证明技术生成证明

在不泄漏x_t的前提下证明其拥有私钥SK_TS＝x_t；

(2)数据使用者

需要使用其密钥SK_U＝x_u和匿名证书σ_U生成假名Ps_U；首先，

随机选取

然后分别计算

c′_u＝s_uc_u，ψ′_u，s_uψ_u，ξ_u＝H₁(c_u,ID_TGC)，

通过上述计算，

得到假名Ps_U＝(P_U,Q_U,R_U)；

同时还生成了如下的零知识证明

将ID_TGC,Ps_U,

VP_U发送给

(3)在成功验证

后，

利用BBS+签名技术为

生成时间令牌

时间令牌中的元素z_u＝H₁(ID_TGC,VP_T,Ps_U)，这是时间令牌的序列号标识，包含了ID_TGC、Ps_U和令牌有效期VP_T；

(4)在收到时间令牌后，

对如下等式进行验证：

如果验证通过，

就接受该时间令牌Tok_U；

所述时间令牌验证，具体为：

(1)

首先选取一个随机数N_u并发送给u

(2)随后，

随机选取

计算

和

η′_u＝η_ut_u，ζ′_u＝ζ_ut_u；此时，时间令牌Tok_U由

进行盲化处理；接着，

生成如下零知识证明

作为其拥有合法时间令牌的证据：

将(D_U,E_U,F_U,z_u,VP_T,Ps_U)整合成证明Proo f_T；完成上述计算后，

将Tok_U和Proo f_T发送给

(3)接收到

发送的数据后,

检查证明

是否通过验证以及等式

是否成立；

在该过程中，随机数N_u被包含在零知识证明

的生成和验证中以抵抗重放攻击；

所述支持表达性谓词检索的陷门生成，具体包括如下步骤:

(1)

首先生成随机值

并发送l′n的矩阵

给

在收到矩阵

后，

生成随机数

和一个随机向量

并计算秘密值α的秘密份额

接着，

和

执行了一个被称为TTP-ModuloArithmetics的两方协议；协议执行后，

获取

其中

(2)u利用随机值φ_i,3计算

以此隐藏查询关键词集合{W_ρ(i)}；同时u生成对应的零知识证明

将{Γ_i}_i∈[1,l]和零知识证明

发送给

(3)

首先要验证

是否成立；如果验证未通过，陷门生成算法就此中止；然后

计算盲陷门{D_i,1,D_i,2,E_i′}_i∈[1,l]并发送给

在收到盲陷门后，

用其生成合法陷门TD＝{D_i,1,D_i,2,E_i}_i∈[1,l]。

2.根据权利要求1所述的基于时间控制可审计匿名的谓词检索系统的检索方法，其特征在于，所述系统初始化具体为：

以安全参数1^κ为输入，输出系统公共参数params和主密钥MSK；

首先，生成一个包含双线性映射e：G×G→G_T的双线性群(G,G_T,e,p,g)，并选取群G的一个生成元g；

接着，

随机选取g₀,h,h₀,u,w∈_RG，

并计算X＝g^δ,X′＝g^λ；

此外，

还会选取两个抗碰撞哈希函数

和H₂:{0,1}*→G，并公开参数params＝(g₀,h,h₀,u,w,X,X′,H₁,H₂)；系统的主密钥MSK＝(δ,λ)则由

保密。

3.根据权利要求1所述的基于时间控制可审计匿名的谓词检索系统的检索方法，其特征在于，所述时间服务器在可信机构注册并生成其公私钥对，具体为：以公开参数params为输入，输出

的私钥SK_TS和公钥PK_TS，

首先随机选取

并计算

将其私钥-公钥对设置为(SK_TS,PK_TS)＝(x_t,Y_TS)；随后，

将公钥Y_TS发送各

以注册成为一个合法的时间服务器；

所述陷门生成中心在可信机构注册并生成其公私钥对，具体为：以公开参数params为输入，以

的私钥SK_TGC和公钥PK_TGC为输出；

首先随机选取随机数

计算

和

的公钥PK_TGC＝(g,g₁,g₂,e(g₁,g₂)^α)，私钥SK_TGC＝(α,d₁,d₂)；

所述数据使用者在可信机构注册并生成其公私钥对，具体为：

(1)

选取

计算

设置其私钥-公钥对为(SK_U,PK_U)＝(x_u,Y_U)，并利用零知识证明技术生成证明

然后

将ID_U,PK_U,

发给

(2)

验证

后，选取

利用主密钥δ,λ计算

和

得到匿名凭证σ_U＝(σ_U,1,σ_U,2)；TA将(ID_U,PK_U,VP_U,(r_u,s_u,σ_u))存入本地列表

中，并将r_u,s_u,σ_U,VP_U发送给

(3)

在接收后验证等式

和

是否成立；如果成功验证，

就保存匿名证书σ_U＝(σ_U,1,σ_U,2)和证书有效期VP_U。

4.根据权利要求1所述的基于时间控制可审计匿名的谓词检索系统的检索方法，其特征在于，所述数据拥有者采用Encrypt算法加密自己的数据，具体为：

以关键词集合KW＝(W₁,…,W_m)和公共参数PP为输入，输出密文CT；选取随机数

分别计算C₀＝e(g₁,g₂)^αs,

C_x＝H(W_x)^sg^s，最终得到密文CT＝(C₀,F₁,F₂,F₃,{C_x}_x∈[1,m])。

5.根据权利要求1所述的基于时间控制可审计匿名的谓词检索系统的检索方法，其特征在于，还设置有加密数据匹配测试，所述加密数据匹配测试具体如下：

以CT、TD和params作为输入，

调用测试算法Test获得匹配结果；如果KW和搜索谓词

匹配，算法输出1，否则算法输出0；

算法Test以安全参数PP、密文CT＝(C,F₁,F₂,F₃,{C_x}_x∈[1,m])和一个谓词陷门

作为输入，输出0或1表示匹配结果，即1表示匹配，0表示不匹配；其中，密文CT对应明文关键词集合KW＝(W₁,…,W_m)；陷门TD则与搜索谓词

相对应；算法从

中计算

是满足

的[1,l]最小子集；然后算法检查是否存在集合

使其对于常量{ω_i}_i∈I满足

如果不存在这样的集合I，算法输出0表示KW和搜索谓词

不匹配；否则，算法输出1。

6.根据权利要求1所述的基于时间控制可审计匿名的谓词检索系统的检索方法，其特征在于，

所述

使用User-Trace算法来实现可审计性：

利用其主密钥MSK来从时间令牌证明Proof_T中获取证明的生产者u的公钥PK_U和身份ID_U；给定一个时间令牌证明Proof_T，

实施如下操作：

(1)验证下列等式是否成立：

(2)如果任一等式不成立，算法输出⊥，表明Proof_T不是一个合法的时间令牌证明；否则，

计算

并在列表

中查找(PK_U,ID_U)来获取

的身份ID_U。

Images