CN113434739A - 一种云环境下前向安全的多用户动态对称加密检索方法 - Google Patents

Abstract

本发明公开了一种云环境下具备前向安全的多用户动态对称加密检索方法，命名为MF‑DSSE方法，实现了对密文的高效安全检索功能。通过设计两种新的数据结构：私有状态链和公共搜索树，同时基于异或同态函数，本发明实现了多用户的数据共享，并且能够抵抗文件注入攻击，保证了文件更新的安全。此外，提出的MF‑DSSE方法仅使用对称加密技术，有效地降低了搜索和更新过程的计算开销。并通过安全证明，分析了提出的方法安全性。理论分析和实验对比表明，本发明更具高效性和实用性。

Description

一种云环境下前向安全的多用户动态对称加密检索方法

技术领域

本发明涉及外包数据对称加密检索相关技术领域，具体涉及一种云环境下前向安全的多用户动态对称加密检索方法。

背景技术

用户将数据外包存储到云服务器，可以有效节省本地存储开销、便捷访问等，但也带来了数据隐私的顾虑。为了保护数据隐私，用户将数据加密后上传到云服务器。然而，数据加密阻止了使用传统的关键字搜索方法对密文直接搜索。为了解决这个问题，对称加密检索由Song等人在文献《Practical Techniques for Searches on Encrypted Data》首次提出，随后很多学者研究对称加密检索技术，包括提升效率、增强安全和扩展功能等。然而很多对称加密检索方案仅考虑了静态数据库的场景，一旦数据库建立无法支持对文件的增加、删除和修改操作。在实际应用中，加密数据库时常更新，因此很多学者考虑构建动态对称加密检索方案。值得注意的是，动态对称加密检索方案在文件更新过程中可能面临文件注入攻击。为了抵抗以上攻击，具备前向安全的动态对称加密检索方案被提出，保证了新增加的文件不会泄漏以前查询的关键字信息。

2016年，Bost在文献《

Forward Secure Searchable Encryption》中提出一种有效的带前向安全的对称加密检索方案，命名为

，优化了搜索和更新的计算效率。该方案采用了陷门置换函数，使得新添加的文件的位置和查询陷门无法链接。为了提升该文献的效率，Song等人在文献《Forward Private Searchable Symmetric Encryptionwith Optimized I/O Efficiency》中基于单链表提出一种前向安全的对称加密检索方案，并扩展到一个具备I/O效率的对称加密检索方案。Wei等人在文献《FSSE:Forward SecureSearchable Encryption with Keyed-block Chains》中提出了一种基于密钥块的前向对称加密检索方案，具备O(1)的更新效率，实现了安全的文件插入删除操作。

然而，上述前向安全的对称加密检索协议仅支持单用户查询，限制了其应用场景。在实际应用中，需要考虑数据共享的需求，解决多用户访问数据库的问题。尽管有一些对称加密检索方案支持多用户搜索，但这些方案设定为静态数据库场景或者不具备前向安全。最近，Wang等人在文献《Multi-user Forward Secure Dynamic Searchable SymmetricEncryption》提出一种多用户前向安全的对称加密检索方案，具有优化的搜索时间复杂度。通过引入半可信代理服务器，该方案可以实现多个用户之间的密钥共享。然而，该方案需要使用双线性配对计算，带来了昂贵的计算开销。因此，在多用户场景下如何构造一种高效的前向安全的SSE方案是十分有必要的。

发明内容

本发明的目的是为了解决现有技术中的上述缺陷，提供一种云环境下前向安全的多用户动态对称加密检索方法。本发明通过引入私有状态链和公共搜索树，并结合异或同态函数，设计了一种支持多用户且具备前向安全的动态对称加密检索方法，命名为MF-DSSE方法，实现了高效的多用户数据共享和安全更新功能。

本发明的目的可以通过采取如下技术方案达到：

一种云环境下前向安全的多用户动态对称加密检索方法，所述多用户动态对称加密检索方法包括以下步骤：

S1、可信中心TC首先运行系统建立算法Setup(1^λ)，其中λ为安全参数，输出主密钥mk；随后，针对身份标识为ID_U的用户，可信中心TC生成用户私钥sk并发送给用户，用户初始化空表格W′，用于存储关键字w的状态值st和密钥k；同时，可信中心TC将用户参数par发送给云服务器，云服务器初始化空表格Σ₁用于存储用户参数par，初始化空的私有状态链Σ₂用于存储文件索引，初始化一棵空的公共搜索树T；

S2、通过用户和云服务器交互，执行更新协议Update(sk,q_u；EDB)，当用户需要更新一个包含关键字w且文件标识符为id的文件，用户输入私钥sk和更新请求q_u，其中更新请求q_u包含状态值st、操作类型op、关键字w和文件标识符id，输出一个新的头结点信息head^*和一个加密索引e，用户将(head^*,e)发送给云服务器；云服务器将(head^*,e)保存到加密数据库EDB，输出更新的加密数据库EDB*；

S3、由用户和服务器交互的方式执行搜索协议Search(sk,q_s；EDB)，当用户需要搜索包含关键字w的文件时，用户输入私钥sk和搜索请求q_s；云服务器输入加密数据库EDB执行搜索操作，根据搜索模式的不同，分为如下三种情况，其中head为头结点信息，st为状态值，deleg为授权信息，ID_U为用户的身份标识；

(1)当用户仅搜索私有状态链Σ₂时，将(head,st)提交给云服务器，云服务器搜索私有状态链Σ₂，并将搜索结果R返回给用户；

(2)当用户搜索私有状态链Σ₂并授权搜索公共搜索树T时，将(head,st,deleg,ID_U)提交给云服务器，云服务器首先搜索私有状态链Σ₂，得到搜索结果R；其次搜索并更新公共搜索树T，得到公共搜索树T的搜索结果R_T；云服务器将(R，R_T)发送给用户；

(3)当用户仅搜索公共搜索树T时，将(head,deleg,ID_U)发送给云服务器，提交给云服务器，云服务器搜索公共搜索树T，并将公共搜索树T的搜索结果R_T发送给用户。

进一步地，所述公共搜索树T由三个算法(TCon,TSrch,TUpdt)表示，其中TCon算法建立一棵空的公共搜索树T；TSrch算法输入搜索标签tag和公共搜索树T，输出包含查询关键字的文件标识符的树的搜索结果R_T；TUpdt算法输入树的更新请求(add,t)和公共搜索树T，输出更新的公共搜索树为T*，其中add是指增加操作，公共搜索树T的更新参数t包含搜索标签tag和搜索结果R；假设可信中心TC、云服务器和注册用户的身份标识分别为ID_T、ID_C、ID_U，定义两个哈希函数h、H:{0,1}^*→{0,1}^λ，表示哈希函数h、H将任意长度的字符串映射为长度为λ的字符串，其中{0,1}^*表示任意长度的字符串，{0,1}^λ表示长度为λ的字符串，λ为安全参数。

进一步地，所述系统建立算法Setup(1^λ)中，输入安全参数λ，实现过程如下：

T1、可信中心TC随机选取主密钥mk∈{0,1}^λ，并且定义一个异或同态哈希函数

即函数f将输入值

和密钥

映射为输出值

记为y＝f_k(x)，其中，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数；

T2、可信中心TC选取一个随机置换密钥

并计算私钥

可信中心TC将私钥sk发送给用户，用户初始化空表格W′，用于存储关键字w的状态值st和密钥k；

T3、可信中心TC计算用户参数

将(ID_U,par_U)发送给云服务器，云服务器初始化空表格Σ₁，存储用户参数par_U；初始化空的私有状态链Σ₂，用于存储文件索引；云服务器调用TCon算法来初始化一棵空的公共搜索树T；其中符号

表示字符串异或操作。

进一步地，所述更新协议Update(sk,q_u；EDB)中，由用户输入私钥sk和更新请求q_u，其中更新请求q_u包含状态值st、操作类型op、关键字w和文件标识符id，而云服务器输入加密数据库EDB；所述更新协议Update(sk,q_u；EDB)的实现过程如下：

D1、当用户需要更新一个包含关键字w且文件标识符为id的文件，该用户首先从本地保存的表格W′取出关键字w的状态值st和密钥k；如果(k,st)＝⊥，则设置头结点信息head＝⊥，否则计算

用户生成一个随机的新密钥k^*∈{0,1}^λ和一个随机的新状态值st^*∈{0,1}^λ，并使用私钥sk计算一个新的头结点信息

然后用户使用新的头结点信息head^*和新的状态值st^*，计算一个加密索引

其中符号“⊥”表示空值，符号

表示字符串异或操作，符号“||”表示字符串连接符，

为异或同态哈希函数，表示函数f将输入值

和密钥

映射为输出值

记为y＝f_k(x)；用户私钥

随机置换密钥

ID_U表示用户的身份标识,

表示模p的既约剩余系，p为λ位大素数，λ为安全参数；

D2、用户将(st^*,k^*)保存到本地表格W′，并将(head^*,e)发送给云服务器；云服务器将(head^*,e)保存到私有状态链Σ₂。

进一步地，所述搜索协议Search(sk,q_s；EDB)中，当用户需要搜索包含关键字w的文件时，用户输入私钥sk和搜索请求q_s，云服务器输入加密数据库EDB执行搜索操作，所述搜索协议Search(sk,q_s；EDB)根据用户是搜索私有状态链还是仅搜索公共搜索树，考虑以下三种情况：仅搜索私有状态链、搜索私有状态链并授权和搜索公共搜索树、仅搜索公共搜索树，各种情况具体如下：

(1)当用户仅搜索私有状态链时，用户首先从本地表格W′取出关键字w的状态值st和密钥k；如果(k,st)＝⊥，则表明搜索的关键字不存在，返回搜索结果为空；否则用户计算头结点信息

然后用户将(head,st)提交给云服务器；云服务器搜索私有状态链，当head≠⊥时，云服务器从私有状态链Σ₂中取出头结点信息head对应的加密索引e，并计算

得到(head,st,(id,op))，循环以上过程，直至head＝⊥；云服务器根据op＝”del”或者op＝”add”得到所有包含关键字w的文件标识符为id，作为搜索结果R，并将R返回给用户；其中符号“⊥”表示空值，符号

表示字符串异或操作，符号“||”表示字符串连接符，

为异或同态哈希函数，用户私钥

随机置换密钥

ID_U表示用户的身份标识,

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，op表示操作类型，操作类型包括增加操作add和删除操作del，id表示文件标识符，哈希函数h、H:{0,1}^*→{0,1}^λ，表示哈希函数h、H将任意长度的字符串映射为长度为λ的字符串，其中{0,1}^*表示任意长度的字符串，{0,1}^λ表示长度为λ的字符串，λ为安全参数；

(2)当搜索私有状态链并授权和搜索公共搜索树时，用户计算授权信息

将(head,st,deleg,ID_U)提交给云服务器；云服务器首先搜索私有状态链，与仅搜索私有状态链的操作一致，然后云服务器从表格Σ₁查找ID_U对应的用户参数par_U，计算搜索标签

并调用TSrch算法搜索公共搜索树T，得到公共搜索树的搜索结果R_T。令树的更新参数t＝(tag_U,R)，云服务器通过执行TUpdt算法将搜索结果从私有状态链附加到公共搜索树T，得到的公共搜索树为T*；最后，云服务器将(R，R_T)发送给用户；其中符号

表示字符串异或操作，

为异或同态哈希函数，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，ID_C表示云服务器的身份标识，ID_U表示用户的身份标识,st表示状态值，k表示密钥；

(3)当用户仅搜索公共搜索树时，用户首先选取两个随机数k_x,st_x∈{0,1}^λ，计算头结点信息

以及对应的授权信息

然后该用户将(head_x,deleg_x,ID_U)发送给云服务器；云服务器从表格Σ₁查找ID_U对应的用户参数par_U，计算搜索标签

并调用TSrch算法遍历公共搜索树T，获取公共搜索树的搜索结果R_T，将R_T发送给用户，其中符号

表示字符串异或操作，

为异或同态哈希函数，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，ID_C表示云服务器的身份标识；用户私钥

随机置换密钥

ID_U表示用户的身份标识。

本发明相对于现有技术具有如下的优点及效果：

(1)本发明公开的一种云环境下支持多用户且具备前向安全的对称加密检索方法，命名为MF-DSSE方法，实现了云环境下安全有效的动态加密检索。

(2)本发明通过构造两种新的数据结构：私有状态链和公共搜索树，并结合异或同态函数，能够有效抵抗文件注入攻击，保证了多用户的数据安全更新和搜索功能。本发明仅采用对称加密技术，有效地提升了关键字搜索效率和数据更新效率。

(3)通过安全证明，本发明提出的MF-DSSE方法是具备前向安全的特性。通过与已有方案对比，表明提出的MF-DSSE方法具有较低的搜索和更新操作计算开销。

附图说明

图1是本发明实施例公开的一种云环境下前向安全的的多用户动态对称加密检索方法中私有状态链的示意图；

图2是本发明实施例公开的一种云环境下前向安全的多用户动态对称加密检索方法中公共搜索树的示意图；

图3是本发明实施例公开的一种云环境下前向安全的多用户动态对称加密检索方法的应用系统设计图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例

随着云存储技术的发展，越来越多的用户将自己的数据存储在云服务端，由云服务提供商进行数据管理。由于在云计算环境下，云服务器并非完全可信的，因此用户采用加密技术将数据加密后上传，从而保证数据机密性和隐私，但这使数据检索变得异常困难。为了实现云存储的密文检索，对称加密检索技术被提出，实现了保护隐私的搜索。然而，当用户对加密数据进行搜索时，云服务商尝试获取用户的查询隐私，或者在文件更新过程中可能面临文件注入攻击。因此，如何对外包密文数据进行安全高效地搜索与更新操作，同时支持多用户搜索模式和数据共享，已成为亟待解决的研究问题。

本实施例针对以上问题，主要研究了云环境下安全高效的加密数据检索技术，设计了一种云环境下具备前向安全的多用户动态对称加密检索方法，命名为MF-DSSE方法，实现了对密文的高效安全检索功能。通过设计两种新的数据结构：私有状态链和公共搜索树，同时基于异或同态函数，本发明实现了多用户的数据共享，并且能够抵抗文件注入攻击，保证了文件更新的安全。此外，提出的MF-DSSE方法仅使用对称加密技术，有效地降低了搜索和更新过程的计算开销。

下面结合图1对本实施例公开的一种云环境下前向安全的多用户动态对称加密检索方法的私有状态链进行详细说明。

首先，本发明构建了由状态块链接而成的私有状态链。新设计的私有状态链Σ₂关联两个因素：头结点信息head和状态值st。通过设置head和st两个参数，使得本发明满足前向安全的特性，并且实现多用户搜索模式。具体来说，私有状态链保存了关联到每个关键字的所有状态链，存储在云服务器。当用户需要搜索关键字w，该用户从本地保存的表格W′中找到当前状态值st和密钥k，计算一个head值，然后将head和st发送给云服务器。云服务器通过head搜索到私有状态链的当前状态块，并通过st链接到前一个状态块，最终得到完整的搜索结果。如果用户执行数据更新操作，并且尚未进行查询请求，那么云服务器无法将更新的状态块接入到私有状态链。也就是说，云服务器无法获取关于更新数据和以往查询之间的关联，并且也无法由以往的状态值生成下一个状态值，有效地抵抗文件注入攻击，保证了前向安全。

下面结合图2对本实施例公开的一种云环境下前向安全的多用户动态对称加密检索方法的公共搜索树进行详细说明。

对于多用户搜索方面，提出的MF-DSSE方法设计了一种基于异或同态函数的公共搜索树。每个用户可以选择搜索其私有状态链还是公共搜索树，或者两者都搜索。一旦用户将私有状态链授权给公共搜索树，其他注册用户将可以搜索到这些数据。当收到用户的授权信息后，云服务器利用表格Σ₁中存储的用户参数par，计算出搜索标签tag，实现了用户对私有状态链的授权及公共搜索树的搜索操作。设计的公共搜索树包含三个算法：TCon,TSrch,TUpdt。云服务器首先使用TCon算法建立一棵空的公共搜索树T。然后云服务器利用tag，调用TSrch算法搜索T并返回包含查询关键字的文件标识符的搜索结果R_T。最后，通过调用TUpdt算法更新公共搜索树。因此，公共搜索树的采用使得MF-DSSE方法的搜索和更新计算开销减少为O(d)，其中d表示搜索树的深度。

下面结合图3对本实施例公开的一种云环境下前向安全的多用户动态对称加密检索方法的具体过程进行详细说明。令公共搜索树由三个算法(TCon,TSrch,TUpdt)表示，其中TCon算法建立一棵空的公共搜索树T；TSrch算法输入搜索标签tag和公共搜索树T，输出包含查询关键字的文件标识符的树的搜索结果R_T；TUpdt算法输入树的更新请求(add,t)和公共搜索树T，输出更新的公共搜索树为T*。其中add是指增加操作，树的更新参数t包含搜索标签tag和搜索结果R。假设可信中心TC、云服务器和注册用户的身份标识分别为ID_T,ID_C,ID_U。定义两个哈希函数h、H:{0,1}^*→{0,1}^λ，表示哈希函数h、H将任意长度的字符串映射为长度为λ的字符串，其中{0,1}^*表示任意长度的字符串，{0,1}^λ表示长度为λ的字符串，λ为安全参数；

下面具体阐述一种云环境下前向安全的多用户动态对称加密检索方法包括如下步骤：

S1、可信中心TC首先运行系统建立算法Setup(1^λ)，其中λ为安全参数，输出主密钥mk。

其中，系统建立算法Setup(1^λ)的实现过程如下：

首先，可信中心TC随机选取主密钥mk∈{0,1}^λ，并且定义一个异或同态哈希函数

即函数f可以将输入值

和密钥

映射为输出值

记为y＝f_k(x)，其中，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数；

然后，可信中心TC选取一个随机置换密钥

并计算私钥

可信中心TC将私钥sk发送给用户，用户初始化空表格W′，用于存储关键字w的状态值st和密钥k；

最后，可信中心TC计算用户参数

将(ID_U,par_U)发送给云服务器，云服务器初始化空表格Σ₁，存储用户参数par_U；初始化空的私有状态链Σ₂，用于存储文件索引；云服务器调用TCon算法来初始化一棵空的公共搜索树T；其中符号

表示字符串异或操作。

S2、通过用户和云服务器交互，执行更新协议Update(sk,q_u；EDB)，当用户需要更新一个包含关键字w且文件标识符为id的文件，用户输入私钥sk和更新请求q_u，其中更新请求q_u包含状态值st、操作类型op、关键字w和文件标识符id，输出一个新的头结点信息head^*和一个加密索引e，用户将(head^*,e)发送给云服务器；云服务器将(head^*,e)保存到加密数据库EDB，输出更新的加密数据库EDB*。

其中，更新协议Update(sk,q_u；EDB)：由用户输入私钥sk和更新请求q_u，其中q_u包含状态值st，操作类型op，关键字w和文件标识符id；而云服务器输入加密数据库EDB；实现过程具体如下：

D1、当用户需要更新一个包含关键字w且文件标识符为id的文件，该用户首先从本地保存的表格W′取出关键字w的状态值st和密钥k。如果(k,st)＝⊥，则设置头结点信息head＝⊥，否则计算

用户生成一个随机的新密钥k^*∈{0,1}^λ和一个随机的新状态值st^*∈{0,1}^λ，并使用私钥sk计算一个新的头结点信息

然后用户使用新的头结点信息head^*和新的状态值st^*，计算一个加密索引

其中符号“⊥”表示空值，符号

表示字符串异或操作，符号“||”表示字符串连接符，

为异或同态哈希函数，表示函数f将输入值

和密钥

映射为输出值

记为y＝f_k(x)；用户私钥

随机置换密钥

ID_U表示用户的身份标识,

表示模p的既约剩余系，p为λ位大素数，λ为安全参数。

D2、用户将(st^*,k^*)保存到本地表格W′，并将(head^*,e)发送给云服务器；云服务器将(head^*,e)保存到私有状态链Σ₂；注意到，只有当用户在更新后执行了关键字w查询，(head^*,e)才能链接到私有状态链的前一个状态块。

S3、由用户和服务器交互的方式执行搜索协议Search(sk,q_s；EDB)，当用户需要搜索包含关键字w的文件时，用户输入私钥sk和搜索请求q_s；云服务器输入加密数据库EDB执行搜索操作，根据搜索模式的不同，分为如下三种情况，其中head为头结点信息，st为状态值，deleg为授权信息，ID_U为用户的身份标识；

(1)当用户仅搜索私有状态链Σ₂时，用户首先从本地表格W取出关键字w的状态值st和密钥k；如果(k,st)＝⊥，则表明搜索的关键字不存在，返回搜索结果为空；否则用户计算头结点信息

然后用户将(head,st)提交给云服务器；云服务器搜索私有状态链，当head≠⊥时，云服务器从私有状态链Σ₂中取出头结点信息head对应的加密索引e，并计算

得到(head,st,(id,op))，循环以上过程，直至head＝⊥；云服务器根据op＝”del”或者op＝”add”得到所有包含关键字w的文件标识符为id，作为搜索结果R，并将R返回给用户；其中符号“⊥”表示空值，符号

表示字符串异或操作，符号“||”表示字符串连接符，

为异或同态哈希函数，用户私钥

随机置换密钥

ID_U表示用户的身份标识,

表示模p的既约剩余系，p为λ位大素数，λ为安全参数。op表示操作类型，包括增加操作add和删除操作del，id表示文件标识符，哈希函数h,H:{0,1}^*→{0,1}^λ，表示哈希函数h、H将任意长度的字符串映射为长度为λ的字符串，其中{0,1}^*表示任意长度的字符串，{0,1}^λ表示长度为λ的字符串，λ为安全参数；

(2)当用户搜索私有状态链Σ₂并授权搜索公共搜索树T时，用户计算授权信息

将(head,st,deleg,ID_U)提交给云服务器。云服务器首先搜索私有状态链，与仅搜索私有状态链的操作一致。然后云服务器从表格Σ₁查找ID_U对应的用户参数par_U，计算搜索标签

并调用TSrch算法搜索公共搜索树T，得到公共搜索树的搜索结果R_T。令树的更新参数t＝(tag_U,R)，云服务器通过执行TUpdt算法将搜索结果从私有状态链附加到公共搜索树T，得到的公共搜索树为T*，使得从可信中心TC注册过的用户均可以访问该数据；最后，云服务器将(R，R_T)发送给用户；其中符号

表示字符串异或操作，

为异或同态哈希函数，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，ID_C表示云服务器的身份标识，ID_U表示用户的身份标识,st表示状态值，k表示密钥；

(3)当用户仅搜索公共搜索树T时，用户首先选取两个随机数k_x,st_x∈{0,1}^λ，计算头结点信息

以及对应的授权信息

然后该用户将(head_x,deleg_x,ID_U)发送给云服务器。云服务器从表格Σ₁查找ID_U对应的用户参数par_U，计算搜索标签

并调用TSrch算法遍历公共搜索树T，获取公共搜索树的搜索结果R_T，将R_T发送给用户。其中符号

表示字符串异或操作，

为异或同态哈希函数，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，ID_C表示云服务器的身份标识；用户私钥

随机置换密钥

ID_U表示用户的身份标识。

云环境下前向安全的多用户动态对称加密检索方法中，对公共搜索树T进行搜索的正确性分析如下。

因此,任何向可信中心TC注册的用户，使用其授权私钥可以生成一个有效的头结点信息head和授权信息deleg。然后云服务器取出用户参数par，与head和deleg执行异或操作，得到搜索标签tag。异或同态函数的特性使得同一个关键字关联到同一个搜索标签tag，因此用户得以访问公共搜索树T。此外，主密钥mk是嵌在tag中并且仅可信中心TC持有mk，云服务器无法获知查询关键字的信息。

在云环境下，实现前向安全的多用户动态对称加密检索机制的具体例子如图3所示。该图由以下三个实体组成：用户(Client)，云服务器(Cloud Server)，可信中心(TrustCenter,TC)。

具体来说，用户通常是企业或个人，会将数据加密后外包到云服务器，从而节省本地存储开销。之后，用户可以搜索或更新外包数据。在本发明中，搜索过程分为几种情况：仅搜索私有状态链、仅搜索公共搜索树以及两者都搜索。云服务器提供数据存储，当收到用户请求后，执行数据搜索或者更新操作。然而，云服务器是半可信的，会诚实执行操作，并尝试获取搜索和更新过程的隐私信息。可信中心是完全可信的，负责给多个用户分发私钥。

针对前向安全的多用户动态对称加密检索，首先用户需要向可信中心注册，可信中心调用系统建立算法Setup(1^λ)生成相应的密钥并发送给用户，使其成为合法用户。当需要对文件更新时，用户把关键字和文件分别加密为索引和密文，上传存储至云服务器；云服务器收到更新请求后，对数据进行更新操作。该过程需用户和云服务器运行更新协议Update(sk,q_u；EDB)，并且更新过程具备前向安全。当需要对文件查询时，用户和云服务器运行搜索协议Search(sk,q_s；EDB)，即用户向云服务器提交关键字的搜索请求；云服务器收到搜索请求后，对数据进行搜索匹配出对应关键字的文件，并将查询结果返回给用户，从而完成了支持多用户的密文检索操作。

在功能和计算开销方面，本实施例将提出的具备前向安全的多用户动态对称加密检索(MF-DSSE)方法与已有的对称加密检索方案进行对比，包括文献[1-5]。具体来说，本文重点比较是否支持前向安全和多用户，以及用户端Update算法的计算开销和服务器端Search算法的计算开销，比较结果如表1所示。其中，t_TP表示陷门置换算法的时间开销，t_P表示标准置换算法的时间开销，t_H表示哈希函数的时间开销，t_MH表示多重集哈希函数的时间开销，t_BP表示双线性配对运算的时间开销，t_E表示指数运算的时间开销。|U_w|表示关键字w的更新次数。注意到异或操作的计算开销可忽略，因此没有出现在该表中。

表1.本发明检索方案与相关方案的对比表

方案	前向安全	多用户	Update计算开销	Search计算开销
					文献[1]	√	×	t<sub>TP</sub>+2t<sub>H</sub>	|U<sub>w</sub>|(t<sub>TP</sub>+2t<sub>H</sub>)
文献[2]	√	×	t<sub>P</sub>+2t<sub>H</sub>	|U<sub>w</sub>|(t<sub>P</sub>+2t<sub>H</sub>)
					文献[3]	√	×	t<sub>MH</sub>+2t<sub>H</sub>	|U<sub>w</sub>|(2t<sub>H</sub>)
文献[4]	√	×	t<sub>H</sub>	|U<sub>w</sub>|(t<sub>H</sub>)
					文献[5]	√	√	t<sub>BP</sub>+t<sub>E</sub>+3t<sub>H</sub>	|U<sub>w</sub>|(t<sub>BP</sub>+t<sub>H</sub>)
本发明	√	√	2t<sub>H</sub>	|U<sub>w</sub>|(t<sub>H</sub>)

从表1可以看出，对比的所有方案都支持前向安全，但是仅文献[5]和本发明支持多用户加密检索。为了更新一个关键字-文件对，本文提出的MF-DSSE方法的Update算法需要两个哈希操作，和文献[1-3]计算开销基本相近。而对于Search算法，所有方案的搜索时间复杂度均为O(|U_w|)，与关键字w的更新操作的数目线性相关。本发明的MF-DSSE方法的搜索计算开销小于文献[1-3,5]，与文献[4]基本相同，但文献[4]不能支持多用户搜索模式。虽然文献[5]支持多用户搜索操作，然而，该方案在Update和Search算法均需要进行双线性对运算，带来了昂贵的计算开销。因此，本发明提出的MF-DSSE方法在同时满足前向安全和多用户的需求下还具有较高的效率。

其中，文献[1]的作者、文献名称和出处具体为Bost R.

Forward SecureSearchable Encryption.Proceedings of the 2016 ACM SIGSAC Conference onComputer and Communications Security.2016:1143-1154。

文献[2]的作者、文献名称和出处具体为Song X,Dong C,Yuan D,et al.ForwardPrivate Searchable Symmetric Encryption with Optimized I/O Efficiency.IEEETransactions on Dependable and Secure Computing,2020,17(5):912-927。

文献[3]的作者、文献名称和出处具体为Zhang Z,Wang J,Wang Y,et al.TowardsEfficient Verifiable Forward Secure Searchable SymmetricEncryption.Proceedings of the European Symposium on Research in ComputerSecurity.2019:304–321。

文献[4]的作者、文献名称和出处具体为Wei Y,Lv S,Guo X,et al.FSSE:ForwardSecure Searchable Encryption with Keyed-block Chains.Information Sciences,2019,500:113-126。

文献[5]的作者、文献名称和出处具体为Wang Q,Guo Y,Huang H,et al.Multi-user Forward Secure Dynamic Searchable Symmetric Encryption.Proceedings ofthe International Conference on Network and System Security.2018:125-140。

综上所述，本实施例为了实现多用户场景下的搜索模式，同时抵抗数据动态更新时的文件注入攻击，设计了一种支持多用户且具备前向安全的对称加密检索方法，命名为MF-DSSE方法，实现了云环境下安全有效的动态加密检索。本发明通过构造两种新的数据结构：私有状态链和公共搜索树，并结合异或同态函数，能够有效抵抗文件注入攻击，保证了多用户的数据安全更新和搜索功能。此外，本发明仅采用对称加密技术，有效地提升了关键字搜索效率和数据更新效率。安全证明表明提出的MF-DSSE方法是具备前向安全的特性。通过与已有方案对比，表明提出的MF-DSSE方法具有较低的搜索和更新操作计算开销。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (5)

1.一种云环境下前向安全的多用户动态对称加密检索方法，其特征在于，所述多用户动态对称加密检索方法包括以下步骤：

S1、可信中心TC首先运行系统建立算法Setup(1^λ)，其中λ为安全参数，输出主密钥mk；随后，针对身份标识为ID_U的用户，可信中心TC生成用户私钥sk并发送给用户，用户初始化空表格W′，用于存储关键字w的状态值st和密钥k；同时，可信中心TC将用户参数par发送给云服务器，云服务器初始化空表格Σ₁用于存储用户参数par，初始化空的私有状态链Σ₂用于存储文件索引，初始化一棵空的公共搜索树T；

S2、通过用户和云服务器交互，执行更新协议Update(sk,q_u；EDB)，当用户需要更新一个包含关键字w且文件标识符为id的文件，用户输入私钥sk和更新请求q_u，其中更新请求q_u包含状态值st、操作类型op、关键字w和文件标识符id，输出一个新的头结点信息head^*和一个加密索引e，用户将(head^*,e)发送给云服务器；云服务器将(head^*,e)保存到加密数据库EDB，输出更新的加密数据库EDB*；

S3、由用户和服务器交互的方式执行搜索协议Search(sk,q_s；EDB)，当用户需要搜索包含关键字w的文件时，用户输入私钥sk和搜索请求q_s；云服务器输入加密数据库EDB执行搜索操作，根据搜索模式的不同，分为如下三种情况，其中head为头结点信息，st为状态值，deleg为授权信息，ID_U为用户的身份标识；

(1)当用户仅搜索私有状态链Σ₂时，将(head,st)提交给云服务器，云服务器搜索私有状态链Σ₂，并将搜索结果R返回给用户；

(2)当用户搜索私有状态链Σ₂并授权搜索公共搜索树T时，将(head,st,deleg,ID_U)提交给云服务器，云服务器首先搜索私有状态链Σ₂，得到搜索结果R；其次搜索并更新公共搜索树T，得到公共搜索树T的搜索结果R_T；云服务器将(R，R_T)发送给用户；

(3)当用户仅搜索公共搜索树T时，将(head,deleg,ID_U)发送给云服务器，提交给云服务器，云服务器搜索公共搜索树T，并将公共搜索树T的搜索结果R_T发送给用户。

2.根据权利要求1所述的一种云环境下前向安全的多用户动态对称加密检索方法，其特征在于，所述公共搜索树T由三个算法(TCon,TSrch,TUpdt)表示，其中TCon算法建立一棵空的公共搜索树T；TSrch算法输入搜索标签tag和公共搜索树T，输出包含查询关键字的文件标识符的树的搜索结果R_T；TUpdt算法输入树的更新请求(add,t)和公共搜索树T，输出更新的公共搜索树为T*，其中add是指增加操作，公共搜索树T的更新参数t包含搜索标签tag和搜索结果R；假设可信中心TC、云服务器和注册用户的身份标识分别为ID_T、ID_C、ID_U，定义两个哈希函数h、H:{0,1}^*→{0,1}^λ，表示哈希函数h、H将任意长度的字符串映射为长度为λ的字符串，其中{0,1}^*表示任意长度的字符串，{0,1}^λ表示长度为λ的字符串。

3.根据权利要求2所述的一种云环境下前向安全的多用户动态对称加密检索方法，其特征在于，所述系统建立算法Setup(1^λ)中，输入安全参数λ，实现过程如下：

T1、可信中心TC随机选取主密钥mk∈{0,1}^λ，并且定义一个异或同态哈希函数f:

即函数f将输入值

和密钥

映射为输出值

记为y＝f_k(x)，其中，

表示模p的既约剩余系，p为λ位大素数；

T2、可信中心TC选取一个随机置换密钥

并计算私钥

可信中心TC将私钥sk发送给用户，用户初始化空表格W′，用于存储关键字w的状态值st和密钥k；

T3、可信中心TC计算用户参数

将(ID_U,par_U)发送给云服务器，云服务器初始化空表格Σ₁，存储用户参数par_U；初始化空的私有状态链Σ₂，用于存储文件索引；云服务器调用TCon算法来初始化一棵空的公共搜索树T；其中符号

表示字符串异或操作。

4.根据权利要求3所述的一种云环境下前向安全的多用户动态对称加密检索方法，其特征在于，所述更新协议Update(sk,q_u；EDB)中，由用户输入私钥sk和更新请求q_u，其中更新请求q_u包含状态值st、操作类型op、关键字w和文件标识符id，而云服务器输入加密数据库EDB；所述更新协议Update(sk,q_u；EDB)的实现过程如下：

D1、当用户需要更新一个包含关键字w且文件标识符为id的文件，该用户首先从本地保存的表格W′取出关键字w的状态值st和密钥k；如果(k,st)＝⊥，则设置头结点信息head＝⊥，否则计算

用户生成一个随机的新密钥k^*∈{0,1}^λ和一个随机的新状态值st^*∈{0,1}^λ，并使用私钥sk计算一个新的头结点信息

然后用户使用新的头结点信息head^*和新的状态值st^*，计算一个加密索引

其中符号“⊥”表示空值，符号

表示字符串异或操作，符号“||”表示字符串连接符，f:

为异或同态哈希函数，表示函数f将输入值

和密钥

映射为输出值

记为y＝f_k(x)；用户私钥

随机置换密钥

ID_U表示用户的身份标识,

表示模p的既约剩余系，p为λ位大素数；

D2、用户将(st^*,k^*)保存到本地表格W′，并将(head^*,e)发送给云服务器；云服务器将(head^*,e)保存到私有状态链Σ₂。

5.根据权利要求3所述的一种云环境下前向安全的多用户动态对称加密检索方法，其特征在于，所述搜索协议Search(sk,q_s；EDB)中，当用户需要搜索包含关键字w的文件时，用户输入私钥sk和搜索请求q_s，云服务器输入加密数据库EDB执行搜索操作，所述搜索协议Search(sk,q_s；EDB)根据用户是搜索私有状态链还是仅搜索公共搜索树，考虑以下三种情况：仅搜索私有状态链、搜索私有状态链并授权和搜索公共搜索树、仅搜索公共搜索树，各种情况具体如下：

(1)当用户仅搜索私有状态链时，用户首先从本地表格W′取出关键字w的状态值st和密钥k；如果(k,st)＝⊥，则表明搜索的关键字不存在，返回搜索结果为空；否则用户计算头结点信息

然后用户将(head,st)提交给云服务器；云服务器搜索私有状态链，当head≠⊥时，云服务器从私有状态链Σ₂中取出头结点信息head对应的加密索引e，并计算

得到(head,st,(id,op))，循环以上过程，直至head＝⊥；云服务器根据op＝”del”或者op＝”add”得到所有包含关键字w的文件标识符为id，作为搜索结果R，并将R返回给用户；其中符号“⊥”表示空值，符号

表示字符串异或操作，符号“||”表示字符串连接符，f:

为异或同态哈希函数，用户私钥

随机置换密钥

ID_U表示用户的身份标识,

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，op表示操作类型，操作类型包括增加操作add和删除操作del，id表示文件标识符，哈希函数h、H:{0,1}^*→{0,1}^λ，表示哈希函数h、H将任意长度的字符串映射为长度为λ的字符串，其中{0,1}^*表示任意长度的字符串，{0,1}^λ表示长度为λ的字符串，λ为安全参数；

(2)当搜索私有状态链并授权和搜索公共搜索树时，用户计算授权信息

将(head,st,deleg,ID_U)提交给云服务器；云服务器首先搜索私有状态链，与仅搜索私有状态链的操作一致，然后云服务器从表格Σ₁查找ID_U对应的用户参数par_U，计算搜索标签

并调用TSrch算法搜索公共搜索树T，得到公共搜索树的搜索结果R_T，令树的更新参数t＝(tag_U,R)，云服务器通过执行TUpdt算法将搜索结果从私有状态链附加到公共搜索树T，得到的公共搜索树为T*；最后，云服务器将(R，R_T)发送给用户；其中符号

表示字符串异或操作，f:

为异或同态哈希函数，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，ID_C表示云服务器的身份标识，ID_U表示用户的身份标识,st表示状态值，k表示密钥；

(3)当用户仅搜索公共搜索树时，用户首先选取两个随机数k_x,st_x∈{0,1}^λ，计算头结点信息

以及对应的授权信息

然后该用户将(head_x,deleg_x,ID_U)发送给云服务器；云服务器从表格Σ₁查找ID_U对应的用户参数par_U，计算搜索标签

并调用TSrch算法遍历公共搜索树T，获取公共搜索树的搜索结果R_T，将R_T发送给用户，其中符号

表示字符串异或操作，f:

为异或同态哈希函数，

表示模p的既约剩余系，p为λ位大素数，λ为安全参数，ID_C表示云服务器的身份标识；用户私钥

随机置换密钥

ID_U表示用户的身份标识。

Images