CN114338025A - 一种云环境下密文等值测试方法 - Google Patents

Abstract

一种云环境下密文等值测试方法，包括如下步骤：S1、基于已有的安全参数λ生成公开参数pp；S2、基于公开参数pp生成公开密钥pk_i和私钥sk_i，其中公开密钥pk_i用于对明文消息进行加密得到密文消息，私钥sk_i用于对密文消息进行解密得到明文消息；S3、用户确定授权方式；S4、根据用户的等值测试请求以及授权方式对密文进行等值匹配，并且将结果返回给用户。本发明提供一种云环境下密文等值测试方法，安全性更好。

Description

一种云环境下密文等值测试方法

技术领域

本发明涉及密文等值测试技术领域，具体的说是一种云环境下密文等值测试方法。

背景技术

近年来，互联网和信息技术的迅猛发展为云计算应用打下了坚实的基础。伴随着云计算技术的广泛应用，越来越多的企业机构及个人更倾向于把数据外包到云服务器存储，用来减少本地计算机的存储空间，然而天下没有免费的午餐，用户在享用云服务器提供的便捷服务的同时，不得不重视云服务器带来的用户数据的安全和隐私以及用户身份信息安全等问题。云端存储的用户数据可能由于不完全可信的云服务器提供商的访问，导致用户隐私数据泄露，因此数据拥有者在上传或分享隐私文件前需要对敏感数据进行加密，然后再发送到云服务器端。传统的加密技术虽然可以保护数据隐私，但是不支持在加密数据上进行检索，且密文形式的文件使得文件操作变得比较困难，用户搜索需要的文件时，只能先将全部的密文下载到本地计算机，经过解密后再寻找自己需要的数据，然而这样做无疑占据了大量的带宽和本地的存储空间，显然是不合理的。

为了解决用户对密文实现可搜索操作的问题，等人提出了公钥可搜索加密方案，方案实现了用户在不对密文进行解密的条件下，仅通过用自己的私钥生成相应的查询陷门，便可以搜索自己想要的数据，并解密得到共享的数据。提出后引起了研究人员的广泛兴趣，Baek等人去除了Boneh等人在PEKS方案中假设的存在于服务器和用户之间的一条安全信道，提出了SCF-PEKS方案，但是该方案的用户不得不把自己的私钥暴露给第三方，存在安全风险。之后，Rhee等人对Baek等人提出的方案进行了改进，使用更复杂的公钥结构，进而无需暴露用户的私钥，加强了安全性。然而，PEKS不支持在多用户环境下对不同公钥加密的数据进行搜索，存在一定的局限性。因此，Yang等人首次提出多用户环境下公钥加密等值匹配方案，该方案可以在不进行解密的前提下，通过利用双线性对的性质测试不同的公钥加密的两段密文是否是同一明文生成的，但该方案缺乏授权机制，导致任何人都能对密文进行等值匹配，存在一定的安全隐患。之后的研究着重在提供授权机制上，研究人员相继提出了不同的 PKEET方案。Tang提出了支持用户级授权的FG-PKEET方案，即只有当两个指定用户发送授权给测试者时，测试者才有权限对这两个用户的密文进行等值匹配。随后Huang等人提出了支持密文级授权的PKE-AET方案，测试者收到两个用户的指定授权后，可对两个用户指定的密文进行等值匹配。然而由于关键词空间远小于密钥空间，现有的各种关键词搜索方案大多都有潜在的KGA威胁，内部服务器与用户共谋获取陷门后，在辅助服务器离线的情况下，可以通过穷举猜测关键词从而猜测出陷门和关键词的信息，因此整体的安全性较差。

发明内容

为了解决现有技术中的不足，本发明提供一种云环境下密文等值测试方法，安全性更好。

为了实现上述目的，本发明采用的具体方案为：一种云环境下密文等值测试方法，包括如下步骤：

S1、基于已有的安全参数λ生成公开参数pp；

S2、基于公开参数pp生成公开密钥pk_i和私钥sk_i，其中公开密钥pk_i用于对明文消息进行加密得到密文消息，私钥sk_i用于对密文消息进行解密得到明文消息；

S3、用户确定授权方式；

S4、根据用户的等值测试请求以及授权方式对密文进行等值匹配，并且将结果返回给用户。

作为上述云环境下密文等值测试方法的进一步优化：S1中，生成公开参数pp的具体方法为：

其中，e是双线性映射，G，G₁，G_T是以素数p为阶的三个乘法循环群，g，g₁分别是G，G₁的一个生成元，并且e：G×G₁→G_T为双线性映射，F_p为有限域，g^α，g₁ ^α为对于任意

时g，g₁的计算结果，

是模为p的剩余类环Z_p去除类[0]后的结果，l₁表示Z_p中元素的长度，H₁：

H₂：{0，1}^*→{0，1}l，H₃：

H₄：

H₅：Z_p ^*→G₁。

作为上述云环境下密文等值测试方法的进一步优化：S2中，生成公开密钥pk_i和私钥 sk_i的具体方法为：

S21、随机选取F_p上的一个n次不可约多项式f_i(x)和正整数a_i，a_i＜pⁿ-1；

S22、计算

其中x为一个纯变量符号；

S23、随机选取

并且计算

S24、生成公开密钥pk_i＝{X_i，Y_i，f_i(x)，g_i(x)，p}以及私钥sk_i＝{x_i，y_i，a_i}。

作为上述云环境下密文等值测试方法的进一步优化：基于公开密钥pk_i对明文消息进行加密的具体方法为：

S2E1、将需要加密的明文消息

表示为矩阵

Q中的元素q_i，j∈F_p，Q∈F_p ^n×n，有明文矩阵Q_i∈F_p ^n×n；

S2E2、用户U_i随机选择正整数b_i(b_i＜pⁿ-1)，在F_p上分别计算

和

S2E3、设B为f_i(x)的友矩阵，有

S2E4、计算C′_i＝R_i+Q_i，得到初级密文C″_i＝(v_i，C′_i)，v_i为v_i(x)的系数构成的n维向量，C′_i为一个n×n的矩阵，C′_i的每个元素都属于F_p，初级密文C″_i的密文空间为(F_p ⁿ，F_p ^n×n)；

S2E5、将v_i＝(a_i0，a_i1，…，a_i，n-1)^T转换为

S2E6、随机选取

得到次级密文C_i＝(C_i，1，C_i，2，C_i，3，C_i，4，C_i，5)：

S2E7、输出最终密文C″′_i＝(C_i，C′_i)。

作为上述云环境下密文等值测试方法的进一步优化：基于私钥sk_i对密文消息进行解密的具体方法为：

S2D1、输入用户U_i的私钥sk_i对C_i＝(C_i，1，C_i，2，C_i，3，C_i，4，C_i，5)进行处理，计算

如果

和C_i，5＝H₂(C_i，1 PC_i，2PC_i，3PC_i，4Pv′_i||r_i，1)均成立，则返回v′_i；否则返回错误符号⊥；

S2D2、将v_i′＝a_i0||a_i1||...||a_i，n-1转换为v_i＝(a_i0，a_i1，…，a_i，n-1)^T；

S2D3、由向量v_i构建出v_i(x)＝a_i，n-1x^n-1+…+a_i1x+a_i0modf_i(x)，并计算多项式

S2D4、由f_i(x)的友矩阵B，计算矩阵

S2D5、恢复出明文Q_i＝C′_i-R_i。

作为上述云环境下密文等值测试方法的进一步优化：S3中，用户能够选择用户级授权或者密文级授权；

用户级授权中该用户所有的密文均能够被测试，授权方法为输入用户U_i的私钥sk_i，输出一个陷门td_i＝y_i；

密文级授权中用户指定的密文能够被测试，授权方法为输入用户U_i的私钥sk_i和指定的密文 C″′_i，输出一个陷门

其中C″′_i＝(C_i，C′_i)。

作为上述云环境下密文等值测试方法的进一步优化：S4中，对于请求进行等值测试的用户U_i和用户U_j，根据用户的授权方式选择对应的等值匹配方法；

S4A1、当用户U_i和用户U_j均选择用户级授权时，基于陷门td_i＝y_i和td_j＝y_j计算

S4A2、判断e(K_i，C_j，1)＝e(K_j，C_i，1)是否成立，若不成立则输出结果0，若成立则输出结果1并且执行S4A3；

S4A3、判断

是否成立，若成立表示两个密文对应的明文消息相等，输出结果1；若不成立表示两个密文对应的明文消息不相等，输出结果0；

S4B1、当用户U_i和用户U_j均选择密文级授权时，基于陷门

和

计算

和

S4B2、判断

是否成立，若不成立输出结果0，若成立输出结果1并且执行S4B3；

S4B3、判断

是否成立，若成立表示两个密文对应的明文消息相等，输出结果1；若不成立表示两个密文对应的明文消息不相等，输出结果0；

S4C1、若用户U_i提交的是用户级授权，用户U_j提交的是密文级授权，基于陷门td_i＝y_i和

计算

S4C2、判断

是否成立，若不成立输出结果0，若成立输出结果1并且执行S4C3；

S4C3、判断

是否成立，若成立表示两个密文对应的明文消息相等，输出结果1；若不成立表示两个密文对应的明文消息不相等，输出结果0。

有益效果：本发明首先利用有限域F_p上的n次不可约多项式f(x)生成的有限域F_p[x]modf(x)与由f(x)导出的友矩阵为生成元形成的有限域同构的特性，将用户的消息进行加密，这相当于对关键词进行转换；再基于非对称双线性映射上的DLP假设，对加密后的消息进行二次加密，最后执行等值匹配。该方案使得多项式时间的敌手通过穷举法猜测出关键词的概率为可忽略的概率，这是因为在辅助服务器离线的情况下，即使敌手获得了合法的密文即转换后的关键词，但想由密文解密出对应的明文消息需要解决有限域F_p上的多项式离散对数问题，因此攻击者无法实施离线关键词猜测攻击。

附图说明

图1是本发明的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为便于论述，首先引入三个现有理论。

理论一：假设存在三个以素数p为阶的乘法循环群G，G₁和G_T，g和g₁分别是G和G₁的生成元，双线性映射e：G×G₁→G_T满足以下的条件：

(1)双线性：e(S^u，T^v)＝e(S，T)^uv，其中

(2)非退化性：存在S∈G，T∈G₁，使得e(S，T)≠1；

(3)可计算性：对于任意S∈G，T∈G₁，存在有效的算法计算e(S，T)。

理论二：设

若A的特征多项式

为有限域F_p上的不可约多项式，B为

的友矩阵，那么ord(B)＝pⁿ-1，且有限域F_p(B)与有限域

同构。

理论三：给定一个素数p和GF(p)上的一个本原元α，对y∈GF(p)\{0}，找唯一的整数x， 0≤x≤p-2，使得y＝α^xmodP成立。一般地，如果仔细选择p，那么认为该问题是困难的，即在计算上是不可行的。

请参阅图1，一种云环境下密文等值测试方法，包括S1至S4。

S1、基于已有的安全参数λ生成公开参数pp。

S1中，生成公开参数pp的具体方法为：

其中，e是双线性映射，G，G₁，G_T是以素数p为阶的三个乘法循环群，其中素数p基于安全参数λ生成，具体的生成方法属于本领域的常规技术，在此不再赘述，g，g₁分别是G，G₁的一个生成元，并且e：G×G₁→G_T为双线性映射，F_p为有限域，g^α，g₁ ^α为对于任意

时g，g₁的计算结果，

是模为p的剩余类环Z_p去除类[0]后的结果，l₁表示Z_p中元素的长度，H₁：

H₂：{0，1}^*→{0，1}^l，H₃：

H₄：

H₅：Z_p ^*→G₁。

S2、基于公开参数pp生成公开密钥pk_i和私钥sk_i，其中公开密钥pk_i用于对明文消息进行加密得到密文消息，私钥sk_i用于对密文消息进行解密得到明文消息。

S2中，生成公开密钥pk_i和私钥sk_i的具体方法为S21至S24。

S21、随机选取F_p上的一个n次不可约多项式f_i(x)和正整数a_i，a_i＜pⁿ-1。

S22、计算

其中x为一个纯变量符号。

S23、随机选取

并且计算

S24、生成公开密钥pk_i＝{X_i，Y_i，f_i(x)，g_i(x)，p}以及私钥sk_i＝{x_i，y_i，a_i}。

基于公开密钥pk_i对明文消息进行加密的具体方法为S2E1至S2E7。

S2E1、将需要加密的明文消息

表示为矩阵

Q中的元素q_i，j∈F_p，Q∈F_p ^n×n，有明文矩阵Q_i∈F_p ^n×n。

S2E2、用户U_i随机选择正整数b_i(b_i＜pⁿ-1)，在F_p上分别计算

和

S2E3、设B为f_i(x)的友矩阵，有

S2E4、计算C′_i＝R_i+Q_i，得到初级密文C″_i＝(v_i，C′_i)，v_i为v_i(x)的系数构成的n维向量，C′_i为一个n×n的矩阵，C′_i的每个元素都属于F_p，初级密文C_i″的密文空间为(F_p ⁿ，F_p ^n×n)。

S2E5、将v_i＝(a_i0，a_i1，…，a_i，n-1)^T转换为

S2E6、随机选取

得到次级密文C_i＝(C_i，1，C_i，2，C_i，3，C_i，4，C_i，5)：

S2E7、输出最终密文C″′_i＝(C_i，C′_i)。

基于私钥sk_i对密文消息进行解密的具体方法为S2D1至S2D5。

S2D1、输入用户U_i的私钥sk_i对C_i＝(c_i，1，C_i，2，C_i，3，C_i，4，C_i，5)进行处理，计算

如果

和C_i，5＝H₂(C_i，1PC_i，2PC_i，3PC_i，4Pv′_i||r_i，1)均成立，则返回v′_i，否则返回错误符号⊥。

S2D2、将v′_i＝a_i0||a_i1||…||a_i，n-1转换为v_i＝(a_i0，a_i1，…，a_i，n-1)^T。

S2D3、由向量v_i构建出v_i(x)＝a_i,n-1x^n-1+…+a_i1x+a_i0modf_i(x)，并计算多项式

S2D4、由f_i(x)的友矩阵B，计算矩阵

S2D5、恢复出明文Q_i＝C′_i-R_i。

S3、用户确定授权方式。S3中，用户能够选择用户级授权或者密文级授权。

用户级授权中该用户所有的密文均能够被测试，授权方法为输入用户U_i的私钥sk_i，输出一个陷门td_i＝y_i。

密文级授权中用户指定的密文能够被测试，授权方法为输入用户U_i的私钥sk_i和指定的密文C″′_i，输出一个陷门

其中C″′_i＝(C_i，C′_i)。

S4、根据用户的等值测试请求以及授权方式对密文进行等值匹配，并且将结果返回给用户。

S4中，对于请求进行等值测试的用户U_i和用户U_j，根据用户的授权方式选择对应的等值匹配方法。

S4A1、当用户U_i和用户U_j均选择用户级授权时，基于陷门td_i＝y_i和td_j＝y_j计算

S4A2、判断e(K_i，C_j，1)＝e(K_j，C_i，1)是否成立，若不成立则输出结果0，若成立则输出结果1并且执行S4A3。

S4A3、判断

是否成立，若成立表示两个密文对应的明文消息相等，输出结果1；若不成立表示两个密文对应的明文消息不相等，输出结果0。

S4B1、当用户U_i和用户U_j均选择密文级授权时，基于陷门

和

计算

和

S4B2、判断

是否成立，若不成立输出结果0，若成立输出结果1并且执行S4B3。

S4B3、判断

是否成立，若成立表示两个密文对应的明文消息相等，输出结果1；若不成立表示两个密文对应的明文消息不相等，输出结果0。

S4C1、若用户U_i提交的是用户级授权，用户U_j提交的是密文级授权，基于陷门td_i＝y_i和

计算

S4C2、判断

是否成立，若不成立输出结果0，若成立输出结果 1并且执行S4C3。

S4C3、判断

是否成立，若成立表示两个密文对应的明文消息相等，输出结果1；若不成立表示两个密文对应的明文消息不相等，输出结果0。

本发明可以依托于现有的云计算系统实现，云计算系统包括云服务器和用户终端，其中用户终端可以是计算机、智能手机或者平板电脑等设备，均属于成熟的现有技术，在此不再赘述。

以下对本发明的正确性进行验证。

解密正确性：对任意的明文消息

有Dec(Enc(Q_i，pk_i)，sk_i)＝Q_i。

测试一致性：对任意

如果Q_i＝Q_j，且 td_i，←Aut(sk_i，·)，td_j，←Aut(sk_j，·)，那么Pr[Test(Enc(Q_i，pk_i)，td_i，，Enc(Q_j，pk_j)，td_j，)＝1]＝1。

测试可靠性：对任意

如果Q_i≠Q_j，且 td_i，j←Aut(sk_i，·)，td_j，←Aut(sk_j，·)，那么Pr[Test(Enc(Q_i，pk_i)，td_i，，Enc(Q_j，pk_j)，td_j，)＝1]≤negl(λ)。

对任意的密文C_i＝(C_i，1，C_i，2，C_i，3，C_i，4，C_i，5)，v′_i可以被恢复：

由方案的构造过程可以推出一个逻辑上的等值表达式：

给定密文C″′_i＝(C_i，C′_i)，C″′_j＝(C_j，C′_j)，分三种情况计算。

第一种情况，对于用户级授权陷门td_i＝y_i，td_j＝y_j，计算：

如果e(K_i，C_j，1)＝e(K_j，C_i，1)，那么

再计算：

如果

那么C′_i＝C′_j。因此由C′_i-R_i＝C′_j-R_j得Q_i＝Q_j，即Test(C_i，td_i，C_j，td_j)＝1成立。

第二种情况，对于密文级授权陷门

计算：

如果

那么

再计算：

如果

那么C′_i＝C′_j。因此由C′_i-R_i＝C′_j-R_j得Q_i＝Q_j，即

成立。

第三种情况，对于两个不同类型的授权，其中一个是用户级授权，另一个是密文级授权(不妨设用户U_i提交用户级授权陷门td_i＝y_i，用户U_j提交密文级授权陷门

)，计算：

如果

那么

再计算：

如果

那么C′_i＝C′_j。因此由C′_i-R_i＝C′_j-R_j得Q_i＝Q_j，即

成立。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (7)

1.一种云环境下密文等值测试方法，其特征在于：包括如下步骤：

S1、基于已有的安全参数λ生成公开参数pp；

S2、基于公开参数pp生成公开密钥pk_i和私钥sk_i，其中公开密钥pk_i用于对明文消息进行加密得到密文消息，私钥sk_i用于对密文消息进行解密得到明文消息；

S3、用户确定授权方式；

S4、根据用户的等值测试请求以及授权方式对密文进行等值匹配，并且将结果返回给用户。

2.如权利要求1所述的一种云环境下密文等值测试方法，其特征在于：S1中，生成公开参数pp的具体方法为：

其中，e是双线性映射，G，G₁，G_T是以素数p为阶的三个乘法循环群，g，g₁分别是G，G₁的一个生成元，并且e：G×G₁→G_T为双线性映射，F_p为有限域，g^α，g₁ ^α为对于任意

时g，g₁的计算结果，

是模为p的剩余类环Z_p去除类[0]后的结果，l₁表示Z_p中元素的长度，

H₂：{0，1}^*→{0，1}^l，

H₅：Z_p ^*→G₁。

3.如权利要求2所述的一种云环境下密文等值测试方法，其特征在于：S2中，生成公开密钥pk_i和私钥sk_i的具体方法为：

S21、随机选取F_p上的一个n次不可约多项式f_i(x)和正整数a_i，a_i＜pⁿ-1；

S22、计算

其中x为一个纯变量符号；

S23、随机选取

并且计算

S24、生成公开密钥pk_i＝{X_i，Y_i，f_i(x)，g_i(x)，p}以及私钥sk_i＝{x_i，y_i，a_i}。

4.如权利要求3所述的一种云环境下密文等值测试方法，其特征在于：基于公开密钥pk_i对明文消息进行加密的具体方法为：

S2E1、将需要加密的明文消息

表示为矩阵

Q中的元素q_i，j∈F_p，g∈F_p ^n×n，有明文矩阵Q_i∈F_p ^n×n；

S2E2、用户U_i随机选择正整数b_i(b_i＜pⁿ-1)，在F_p上分别计算

和

S2E3、设B为f_i(x)的友矩阵，有

S2E4、计算C′_i＝R_i+Q_i，得到初级密文C″_i＝(v_i，C′_i)，v_i为v_i(x)的系数构成的n维向量，C′_i为一个n×n的矩阵，C′_i的每个元素都属于F_p，初级密文C″_i的密文空间为(F_p ⁿ，F_p ^n×n)；

S2E5、将v_i＝(a_i0，a_i1，…，a_i，n-1)^T转换为

S2E6、随机选取

得到次级密文C_i＝(C_i，1，C_i，2，C_i，3，C_i，4，C_i，5)：

S2E7、输出最终密文C″′_i＝(C_i，C′_i)。

5.如权利要求4所述的一种云环境下密文等值测试方法，其特征在于：基于私钥sk_i对密文消息进行解密的具体方法为：

S2D1、输入用户U_i的私钥sk_i对C_i＝(C_i，1，C_i，2，C_i，3，C_i，4，C_i，5)进行处理，计算

如果

和C_i，5＝H₂(C_i，1PC_i，2PC_i，3PC_i，4Pv′_i||r_i，1)均成立，则返回v′_i；否则返回错误符号⊥；

S2D2、将v′_i＝a_i0||a_i1||…||a_i，n-1转换为v_i＝(a_i0，a_i1，…，a_i，n-1)^T；

S2D3、由向量v_i构建出v_i(x)＝a_i，n-1 x^n-1+…+a_i1x+a_i0mod f_i(x)，并计算多项式

S2D4、由f_i(x)的友矩阵B，计算矩阵

S2D5、恢复出明文Q_i＝C′_i-R_i。

6.如权利要求5所述的一种云环境下密文等值测试方法，其特征在于：S3中，用户能够选择用户级授权或者密文级授权；

用户级授权中该用户所有的密文均能够被测试，授权方法为输入用户U_i的私钥sk_i，输出一个陷门td_i＝y_i；

密文级授权中用户指定的密文能够被测试，授权方法为输入用户U_i的私钥sk_i和指定的密文C″′_i，输出一个陷门

其中C″′_i＝(C_i，C′_i)。

7.如权利要求6所述的一种云环境下密文等值测试方法，其特征在于：S4中，对于请求进行等值测试的用户U_i和用户U_j，根据用户的授权方式选择对应的等值匹配方法；

S4A1、当用户U_i和用户U_j均选择用户级授权时，基于陷门td_i＝y_i和td_j＝y_j计算

S4A2、判断e(K_i，C_j，1)＝e(K_j，C_i，1)是否成立，若不成立则输出结果0，若成立则输出结果1并且执行S4A3；

S4A3、判断

是否成立，若成立表示两个密文对应的明文消息相等，输出结果1；若不成立表示两个密文对应的明文消息不相等，输出结果0；

S4B1、当用户U_i和用户U_j均选择密文级授权时，基于陷门

和

计算

和

S4B2、判断

是否成立，若不成立输出结果0，若成立输出结果1并且执行S4B3；

S4B3、判断

是否成立，若成立表示两个密文对应的明文消息相等，输出结果1；若不成立表示两个密文对应的明文消息不相等，输出结果0；

S4C1、若用户U_i提交的是用户级授权，用户U_j提交的是密文级授权，基于陷门td_i＝y_i和

计算

S4C2、判断

是否成立，若不成立输出结果0，若成立输出结果1并且执行S4C3；

S4C3、判断

是否成立，若成立表示两个密文对应的明文消息相等，输出结果1；若不成立表示两个密文对应的明文消息不相等，输出结果0。

Images