CN114726522A - 一种保护双方隐私的不经意可搜索加密方法 - Google Patents

Abstract

本发明公开了一种保护双方隐私的不经意可搜索加密方法，包括以下步骤：首先，提交处理器CP将每份文档的一组关键字编码为一个秘密多项式，然后利用伪随机生成器对文档进行加密，将加密后的文档传给下载处理器DP；然后DP对搜索关键词w进行盲化，传给CP；CP对盲化后的搜索关键词数据进行加密，并将相关结果传给DP；最后，由DP利用自己的私钥对CP传的数据进行解密，通过比对得到搜索结果。本发明的优点是：拥有较低的通信和计算花销；利用形式化的安全性模型来证明协议的安全性；适用于SR/MR(单读者和多读者)的场景。

Description

一种保护双方隐私的不经意可搜索加密方法

技术领域

本发明涉及信息安全技术领域，特别涉及一种基于离散对数问题(DLP)的不经意可搜索加密方法。

背景技术

目前，随着云存储技术的不断普及，人们把越来越多的数据存储到云端，其数据的安全与隐私受到了前所未有的关注。虽然利用传统的加密技术将文件加密存储于云端可有效地保证数据的安全性，但用户无法查询数据，当用户需要获得满足某个或某些属性的文件时，只能将全部密文数据下载并解密，然后进行查询，通信与计算代价较高。可搜索加密允许用户对密文进行搜索，只需下载满足查询要求的密文数据，提高了通信与计算效率。

可搜索加密协议主要有两种类型，一种是基于对称密码的可搜索加密(SSE)方案，另一种是基于非对称密码的可搜索加密(ASE)方案，二者因为不能隐藏关键词密文的统计特性，易遭受关键词猜测攻击(KGA)，都不能为用户提供很好的隐私保护，可应用的场景也有限。不经意关键词搜索(OKS)协议旨在隐藏关键词密文的统计特性，提供更好的隐私保护。

现有的OKS协议存在以下问题：

每个文件对应的密文数量等于该文件关键词的数量，当关键词集合比较大时，大量的文件密文副本会导致大量的加密运算和占用大量的存储空间；

对于一个文件，添加新的索引关键词时，需要额外生成对应该关键词的一个新的文件密文；

需要传送大量的密文副本，通信花销大，所需带宽高；

缺少涵盖攻击者真实能力的形式化安全模型来证明OKS协议的安全性。

发明内容

本发明针对现有技术的缺陷，提供了一种保护双方隐私的不经意可搜索加密方法。

为了实现以上发明目的，本发明采取的技术方案如下：

一种保护双方隐私的不经意可搜索加密方法，包括如下步骤：

可析取不经意关键词搜索(DOKS)架构主要包含两个部件：提交处理器CP和下载处理器DP；

S1准备阶段：CP和DP共同协商一个密钥生成算法KeyGen，DP生成公钥Y和私钥μ，公共伪随机数生成器G；

CP包含D＝{(Kset_i；c_i)}_{i∈[1,…,n]},c_i是第i个文档，Kset_i是第i个文档的关键词集合；DP包含搜索关键词w；

S2提交阶段：CP将每份文档的一组关键字编码为一个秘密多项式，然后利用伪随机数生成器对文档进行加密，将加密后的文档传给DP；

S3传送阶段：DP传送用户所要搜索的关键词，若有文档包含该关键词，则DP输出包含该关键词的所有文档，否则，DP输出一个错误消息。

进一步地，所述S1准备阶段包括如下步骤：

CP和DP共同协商一个密钥生成算法(KeyGen)，公共伪随机数生成器G，公共参数p和q，q能够整除p-1，DP生成公钥Y＝g^μ mod p和私钥μ；

CP包括n个文档，每个文档有m个关键词，即D＝{(Kset_i；c_i)}_{i∈[1,…,n]},其中c_i是第i个文档，Kset_i是第i个文档的关键词集合，Kset_i＝(w_i1,w_i2,…,w_im)。

进一步地，所述S2提交阶段包括如下步骤：

S21编码：

CP对每个文档选择两个随机数

并计算每个关键词的哈希值H(w_ij)＝x_ij，利用随机数和哈希值对应n个文档生成n个m次多项式，公式如下：

S22加密：

CP对文档c_i进行加密：

其中

||代表连接；

CP发送E₁,E₂,…,E_n给DP。

进一步地，所述S3传送阶段包括如下步骤：

S31盲化：

DP对搜索关键词w进行盲化：首先，DP计算h_w＝H(w)；然后选择m个随机整数

计算

最后，DP发送(K₁,Enc₁),…,(K_m,Enc_m)给CP；

S32加密

CP利用ElGamal算法的同态性质将w对应文档的解密关键材料通过加密包含在密文中：计算

CP发送Enc(P₁(h_w)),…,Enc(P_n(h_w))以及共nm个A_ij给DP；

S33解密

DP拥有私钥μ且k_j(j＝1,2,…m)，利用ElGamal解密算法对Enc(P_i(h_w))(i＝1,2,…,n)进行解密，得

若文件c_i中包含搜索关键词w，则P_i(h_w)＝t_i，那么T′_i＝T_i；

S34解码

DP首先初始化

并计算

若b_i＝0^l，则说明文档c_i中包含查找关键词w，因此DP将(w,a_i)加入T中，遍历后，DP向用户输出最终的结果T＝search(w)，T中是所有包含搜索关键词w的文档；若T中为空，则说明搜索失败；否则，搜索结果为T。

与现有技术相比，本发明的优点在于：

适合新的密码学参数，使用了离散对数问题这样一个在密码学中被广泛使用，但在可搜索加密中并不常用的密码学假设，并且设计一个新的有效的不经意关键词搜索协议；

相对于只适合单读者场景的SSE，本发明适合SR/MR(单读者和多读者)的场景；

相较于OKS协议中密文数量等于关键词数量与文件数量的乘积，本发明密文数量与关键词数量无关，与包含关键词的文件数量相等，所需存储空间小；

本发明拥有较低的通信和计算花销；

利用形式化的安全性模型来证明协议的安全性，即利用随机预言模型模拟选择关键词攻击，证明协议的安全性。

附图说明

图1是本发明实施例方法中文档加密的流程图；

图2是本发明实施例方法中文档解密的流程图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下根据附图并列举实施例，对本发明做进一步详细说明。

图1为DOKS协议的计算模型，(a)服务器对文档包含的关键词进行编码以及对文档进行加密的过程，(b)对所要搜索的关键词进行加密提交给服务器后，用户对所获得的信息进行解密和解码，最终得到搜索结果的过程。

如图1和2所示，一种保护双方隐私的不经意可搜索加密方法，包括如下步骤：

DOKS架构主要包含两个部件：提交处理器CP和下载处理器DP。

准备阶段：CP和DP共同协商一个密钥生成算法(KeyGen)，CP生成公钥Y和私钥μ，公共伪随机数生成器G。

CP包含D＝{(Kset_i；c_i)}_{i∈[1,…,n]},c_i是第i个文档，Kset_i是第i个文档的关键词集合。DP包含搜索关键词w。

提交阶段：CP将每份文档的一组关键字编码为一个秘密多项式，然后利用伪随机生成器对文档进行加密，将加密后的文档传给DP。

传送阶段：DP处理用户所要搜索的关键词并在加密的文档中查找，若有文档包含该关键词，则DP输出包含该关键词的所有文档，否则，DP输出一个错误消息。

所述准备阶段包括如下步骤：

CP和DP共同协商一个密钥生成算法(KeyGen)，公共伪随机数生成器G，公共参数p和q，q能够整除p-1，DP生成公钥Y＝g^μ mod p和私钥μ。

CP包括n个文档，每个文档有m个关键词，即D＝{(Kset_i；c_i)}_{i∈[1,…,n]},其中c_i是第i个文档，Kset_i是第i个文档的关键词集合，Kset_i＝(w_i1,w_i2,…,w_im)

所述提交阶段包括如下步骤：

(1)编码：

CP对每个文档选择两个随机数

并计算每个关键词的哈希值H(w_ij)＝x_ij，利用随机数和哈希值对应n个文档生成n个m次多项式，公式如下：

(2)加密：

CP对文档c_i进行加密：

其中

||代表连接。

CP发送E₁,E₂,…,E_n给DP。

所述传送阶段包括如下步骤：

(1)盲化：

DP对搜索关键词w进行盲化。首先，DP计算h_w＝H(w)，然后选择m个随机整数

计算

最后，DP发送(K₁,Enc₁),…,(K_m,Enc_m)给CP。

(2)加密

CP利用ElGamal算法的同态性质将w对应文档的解密关键材料通过加密包含在密文中。计算

CP发送Enc(P₁(h_w)),…,Enc(P_n(h_w))以及共nm个A_ij给DP。

(3)解密

DP拥有私钥μ和k_j(j＝1,2,…m)，利用ElGamal解密算法对Enc(P_i(h_w))(i＝1,2,…,n)进行解密，得

若文件c_i中包含搜索关键词w，则P_i(h_w)＝t_i，那么T′_i＝T_i。

(4)解码

DP首先初始化

并计算

若b_i＝0^l，则说明文档c_i中包含查找关键词w，因此DP将(w,a_i)加入T中，遍历后，DP向用户输出最终的结果T＝search(w)，T中是所有包含搜索关键词w的文档。若T中为空，则说明搜索失败；否则，搜索结果为T。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的实施方法，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。

Claims (4)

1.一种保护双方隐私的不经意可搜索加密方法，其特征在于，包括如下步骤：

可析取不经意关键词搜索(DOKS)架构主要包含两个部件：提交处理器CP和下载处理器DP；

S1准备阶段：CP和DP共同协商一个密钥生成算法KeyGen，DP生成公钥Y和私钥μ，公共伪随机数生成器G；

CP包含D＝{(Kset_i；c_i)}_{i∈[1,…,n]},c_i是第i个文档，Kset_i是第i个文档的关键词集合；DP包含搜索关键词w；

S2提交阶段：CP将每份文档的一组关键字编码为一个秘密多项式，然后利用伪随机生成器对文档进行加密，将加密后的文档传给DP；

S3传送阶段：DP传送用户所要搜索的关键词，若有文档包含该关键词，则DP输出包含该关键词的所有文档，否则，DP输出一个错误消息。

2.根据权利要求1所述的一种保护双方隐私的不经意可搜索加密方法，其特征在于：所述S1准备阶段包括如下步骤：

CP和DP共同协商一个密钥生成算法(KeyGen)，公共伪随机数生成器G，公共参数p和q，q能够整除p-1，DP生成公钥Y＝g^μmod p和私钥μ；

CP包括n个文档，每个文档有m个关键词，即D＝{(Kset_i；c_i)}_{i∈[1,…,n]},其中c_i是第i个文档，Kset_i是第i个文档的关键词集合，Kset_i＝(w_i1,w_i2,…,w_im)。

3.根据权利要求1所述的一种保护双方隐私的不经意可搜索加密方法，其特征在于：所述S2提交阶段包括如下步骤：

S21编码：

CP对每个文档选择两个随机数

并计算每个关键词的哈希值H(w_ij)＝x_ij，利用随机数和哈希值对应n个文档生成n个m次多项式，公式如下：

S22加密：

CP对文档c_i进行加密：

E_i＝G(T_i||i)⊕(c_i||0^l)

其中

||代表连接；

CP发送E₁,E₂,…,E_n给DP。

4.根据权利要求1所述的一种保护双方隐私的不经意可搜索加密方法，其特征在于：所述S3传送阶段包括如下步骤：

S31盲化：

DP对搜索关键词w进行盲化：首先，DP计算h_w＝H(w)，然后选择m个随机整数

计算

最后，DP发送(K₁,Enc₁),…,(K_m,Enc_m)给CP；

S32加密

CP利用ElGamal算法的同态性质将w对应文档的解密关键材料通过加密包含在密文中：计算

CP发送Enc(P₁(h_w)),…,Enc(P_n(h_w))以及共nm个A_ij给DP；

S33解密

DP拥有私钥μ和k_j(j＝1,2,…m)，利用ElGamal解密算法对Enc(P_i(h_w))(i＝1,2,…,n)进行解密，得

若文件c_i中包含搜索关键词w，则P_i(h_w)＝t_i，那么T′_i＝T_i；

S34解码

DP首先初始化

并计算

(a_i||b_i)＝G(T_i′||i)⊕E_i(i＝1,2,…,n)

若b_i＝0^l，则说明文档c_i中包含查找关键词w，因此DP将(w,a_i)加入T中，遍历后，DP向用户输出最终的结果T＝search(w)，T中是所有包含搜索关键词w的文档。若T中为空，则说明搜索失败；否则，搜索结果为T。

Images