CN115801397A - 一种抗合谋攻击的代理可搜索加密方法 - Google Patents

Abstract

本发明公开了一种抗合谋攻击的代理可搜索加密方法，首先，服务器和数据使用者生成各自的公私密钥对；服务器包括主服务器和时间服务器；然后，数据产生者对第一关键字列表进行加密生成第一密文；第一数据使用者基于第一数据使用者公钥和第二数据使用者公钥生成重加密密钥，并重加密密钥和有效代理时间发送给主服务器；主服务器基于重加密密钥、时间陷门、时间服务器公钥及有效代理时间，生成与第一关键词列表对应的第二密文；第二数据使用者基于第三关键字列表生成第二可搜索陷门，主服务器使用第二可搜索陷门对第二密文进行搜索并返回搜索结果。本发明可以对存储到云端的密文进行搜索，实现访问数据权限授权的代理，解决代理可搜索加密体系中的合谋攻击问题。

Description

一种抗合谋攻击的代理可搜索加密方法

技术领域

本发明属于云计算安全技术领域，涉及支持代理重加密技术，具体涉及一种抗合谋攻击的代理可搜索加密方法。

背景技术

目前，云端存储的广泛应用使得对数据的安全性和效率有着更高的要求，可搜索加密技术以支持对加密数据进行关键字搜索的方式加密数据来实现上述要求。可搜索加密服务包含三种类型的实体：数据产生者(数据拥有者)、数据使用者(授权用户)和不受信任的云(密文搜索的执行者)。

代理可搜索加密是可搜索加密中的一种应用场景，它能够在数据产生者无法直接授权的情况下，让已授权的使用者将数据的使用权限代理给其他未授权用户。但在现有的代理可搜索加密方法中，代理重密钥是由授权者与代理重加密服务器共同生成。在此过程中，若代理者是半诚实的，将会与受权者合谋获取授权者的私钥，导致授权者私钥的泄露。此外，若搜索服务器是不受信任的，也会导致离线关键字攻击。

发明内容

针对目前代理可搜索加密方法中存在因不可信代理重加密服务器而导致的受权者私钥和授权者私钥易被泄露的合谋攻击问题，本发明的目的旨在提供一种抗合谋攻击的代理可搜索加密方法，能够实现抗合谋攻击，进而提高代理可搜索加密的安全性。

为实现上述目的，本发明采用以下技术方案来实现。

本发明提供的抗合谋攻击的代理可搜索加密方法，包括以下步骤：

S1：服务器和数据使用者生成各自的公私密钥对；所述服务器包括主服务器和时间服务器；所述主服务器用于存储加密数据，并依据来自数据使用者的请求对加密数据搜索或重加密；所述数据使用者包括第一数据使用者和第二数据使用者；

S2：数据产生者对第一关键字列表进行加密生成第一密文；

S3：当第一数据使用者搜索数据时，第一数据使用者基于第二关键字列表生成第一可搜索陷门，主服务器使用第一可搜索陷门对第一密文进行搜索并返回搜索结果；

S4：当第一数据使用者授权第二数据使用者代理时，第一数据使用者基于第一数据使用者公钥和第二数据使用者公钥生成重加密密钥，并代理有效时间和重加密密钥发送给主服务器和时间服务器；

S5：时间服务器基于时间服务器私钥生成时间陷门，并发送给主服务器；

S6：主服务器基于步骤S4得到的重加密密钥、步骤S5得到的时间陷门、时间服务器公钥及代理有效时间，生成与第一关键词列表对应的第二密文；

S7：第二数据使用者基于第三关键字列表生成第二可搜索陷门，主服务器使用第二可搜索陷门对第二密文进行搜索并返回搜索结果。

上述步骤S1，首先运行Init(κ)算法，设置加密方法相关参数。然后服务器和数据使用者分别运用KeyGen算法，生成各自的公私密钥对，具体操作为：

(1)主服务器选取一个随机数

作为其私钥sk_V＝ε，并计算PK_V＝εP作为其公钥，得到对应公私密钥对(sk_V，PK_V)；

(2)时间服务器选取一个随机数

作为其私钥sk_TS＝τ，并计算PK_TS＝τP作为其公钥，得到对应公私密钥对(sk_TS，PK_TS)；

(3)第一数据使用者随机选取一个随机数

作为其私钥sk_I＝x_I，并计算PK_I＝x_IP作为其公钥，得到对应公私密钥(sk_I，PK_I)；同理，第二数据使用者得到对应的公私钥为(sk_J，PK_J)，sk_J＝x_J，PK_J＝x_JP；

上述

表示素数p构成的域，P表示系统生成元。

初始化包括：假设循环群G₁，G₂的阶都为p；e:G₁×G₁→G₂是一个可容许的双线性映射，P∈G₁是任一生成元；哈希函数H₀:{0,1}^*→G₁,H₁:{0,1}^*→G₁,

则系统参数params＝{G₁,G₂,P,e,H₀,H₁,H₂,H₃}；映射函数为maps；

maps映射构造方法为：选取

个不相同的数

可以构建

个

次多项式

可知

在f_i(z)函数的基础上构造两个映射

和

其中映射的具体计算方式为：

上述步骤S2，第一关键字列表是指数据产生者产生数据的关键字列表。数据产生者运行PECKS算法，以第一数据使用者作为授权对象将其产生的数据对应的关键字进行加密。PECKS算法的输入包括：关键字列表

(l表示第一关键字数量)，系统参数params和第一数据使用者的公钥PK_I。PECKS算法为：首先计算

构造maps:

从

到

其中

然后随机选取

计算A＝rP,B＝sP+PK_I，

设

最后输出第一关键字列表

对应的第一密文C_I＝(A,B,K₁,…,K_l,M₁,…,M_l)。第一数据使用者将第一密文C_I发送给主服务器。

上述步骤S3和步骤S4，主要是依据第一数据使用者的操作目的来执行。当第一数据使用者的操作目的为搜索数据时，进入步骤S3即可。当第一数据使用者的操作目的为将其权限授权给第二数据使用者代理时，进入步骤S4，按照其相关操作执行。

上述步骤S3，第二关键字列表是指数据使用者所选的关键字列表。第一数据使用者使用运行Trapdoor算法，基于第二关键字列表生成第一可搜索陷门。具体实现方式中，第一数据使用者利用第二关键字列表

(m表示第二关键字数量)，系统参数params，其自身私钥sk_I和主服务器公钥PK_V；选取随机数

计算L_μ＝χ_μPK_V，

计算N＝αP，L₀＝χ₀PK_V，

生成第二关键字列表的第一可搜索陷门

主服务器收到第一可搜索陷门后，计算

验证

是否成立；如果成立，返回检索到的关键字，否则返回未检索到关键字。

上述步骤S4-S6，目的是第一数据使用者作为输出产生者的代理，生成重加密密钥，再经主服务器进行重加密得到第二密文，从而使第一数据使用者作为授权者，将自己所拥有的搜索权限在代理有效时间内授权给其他数据使用者。

上述步骤S4，第一数据使用者选取随机数

计算

生成重加密密钥

并将代理有效时间和重加密密钥其发送给主服务器和时间服务器。

上述步骤S5，时间服务器基于其自身私钥，按照S_T＝sk_TSH₀(T)计算，得到时间陷门S_T，并将其发送给主服务器。

上述步骤S6，目的是基于第一数据使用者生成的重加密密钥和第二数据使用者公钥对第一密文进行重加密，提升代理重加密的安全性。主服务器收到

和第一数据使用者发送的有效时间T以及时间服务器生成的时间陷门S_T后，计算

然后选取随机数

计算σ₁＝e(H₀(T),PK_TS)^u，σ₂＝uP，结合前面得到的第一密文，最后生成与第一关键词列表对应的第二密文

上述步骤S7，目的是第二数据使用者基于第三关键字列表对密文进行搜索。第三关键字列表是指第二数据使用者所使用的关键字列表。第二数据使用者运行Trapdoor_Del算法，基于第三关键字列表生成第二可搜索陷门。具体实现方式中，第二数据使用者利用第三关键字列表

(n表示第三关键字数量)，系统参数params，其自身的私钥sk_J和主服务器的公钥PK_V；选取随机数

计算

θ₀＝t₀PK_V，

计算θ_v＝t_vPK_V，

生成第二关键字列表的第二可搜索陷门

主服务器收到第二可搜索陷门后，计算

通过验证

是否成立；如果成立，返回检索到的关键字，否则返回未检索到关键字。

与现有技术相比，本发明的有益效果是：

(1)本发明可在代理可搜索加密过程中抵抗合谋攻击，通过让授权者使用受权者的公钥独自生成代理重加密密钥，主服务器使用代理重加密密钥对密文进行加密；在此过程中，主服务器无法同授权者合谋获取未授权用户的私钥；同时，主服务器也无法同未授权用户合谋获取授权者的私钥；本发明能够解决传统代理重加密存在的不可信代理重加密服务器导致的合谋攻击问题，其安全性较高；

(2)本发明主服务器兼具代理和搜索功能，减少信息传输开销，提高数据安全性。

附图说明

图1为本发明的网络模型；

图2为本发明抗合谋攻击的代理可搜索加密方法的流程图。

具体实施方式

以下结合具体实施例对上述方案做进一步说明。本发明的实施方式包括但不限于下列实施例。

如图1所示，本发明定义了五种实体：数据产生者、数据授权者(即第一数据使用者)、数据受权者(即第二数据使用者)、时间服务器和主服务器。对于每种实体的具体说明在表1中列举。

表1主体解释

本实例中提供的抗合谋攻击的代理可搜索加密方法，如图2所示，包括以下步骤：

S1：服务器和数据使用者生成各自的公私密钥对；服务器包括主服务器和时间服务器；主服务器用于存储加密数据，并依据来自数据使用者的请求对加密数据搜索或重加密；数据使用者包括数据使用者I和数据使用者J。

本实施例中，数据使用者I作为数据授权者，数据使用者J作为数据受权者。

本实施例中运行Init(κ)算法，设置加密方法相关参数。输入安全参数κ，设置加密方法相关参数，输出公开系统参数params：初始化包括一个阶为p的加法群G₁，一个阶为p的乘法群G₂，e:G₁×G₁→G₂是一个可容许的双线性映射，P∈G₁是任一生成元。选择四个密码学哈希函数H₀:{0,1}^*→G₁,H₁:{0,1}^*→G₁,

设置映射函数maps。向全体使用者公开系统参数params＝{G₁,G₂,P,e,H₀,H₁,H₂,H₃}和映射maps。

maps映射构造方法为：选取

个不相同的数

可以构建

个

次多项式

可知

在f_i(x)函数的基础上构造两个映射

和

其中映射的具体计算方式为：

然后服务器和数据使用者分别运用KeyGen算法，生成各自的公私密钥对，具体操作为：

(1)主服务器运行KeyGen_V算法生成公私钥对(sk_V，PK_V)。KeyGen_V算法为：选取一个随机数

作为私钥sk_V＝ε，并计算PK_V＝εP作对应的公钥，得到对应公私密钥对(sk_V，PK_V)。

(2)时间服务器运行KeyGen_TS算法生成公私钥对(sk_TS，PK_TS)。KeyGen_TS算法为：选取一个随机数

作为私钥sk_TS＝τ，并计算PK_TS＝τP作对应的公钥，得到对应公私密钥对(sk_TS，PK_TS)。

(3)数据使用者I,J运行KeyGen_us算法成公私钥对。KeyGen_us算法为：随机选取随机数

数据使用者I的公私钥对(sk_I，PK_I)为sk_I＝x_I，PK_I＝x_IP，使用者J的公私钥对(sk_J，PK_J)为sk_J＝x_J，PK_J＝x_JP。

S2：数据产生者对第一关键字列表进行加密生成第一密文；

数据产生者运行PEDCKS算法，以数据使用者I作为授权对象将其产生的数据所对应的第一关键字列表进行加密。PEDCKS算法的输入包括：第一关键字列表

params和数据使用者I的公钥PK_I。PEDCKS算法为：首先计算

构造maps:

从

到

其中

然后随机选取

计算A＝rP,B＝sP+PK_I，

并利用

映射计算

最后输出第一关键字列表

对应的第一密文C_I＝(A,B,K₁,…,K_l,M₁,…,M_l)。将第一密文C_I发送给主服务器。

S3：当数据使用者I搜索数据时，数据使用者I基于第二关键字列表生成第一可搜索陷门，主服务器使用第一可搜索陷门对第一密文进行搜索并返回搜索结果。

数据使用者I运行Trapdoor算法产生针对其所选关键字的搜索陷门并将搜索陷门发送给主服务器。Trapdoor算法的输入包括：数据使用者I所选第二关键字列表

(m表示第二关键字数量)，系统参数params，数据使用者I的私钥sk_I和主服务器公钥PK_V，Trapdoor算法的输出为第一可搜索陷门

Trapdoor算法为：选取随机数

计算L_μ＝χ_μPK_V，

N＝αP，L₀＝χ₀PK_V，

数据使用者I生成的第一可搜索陷门为

主服务器接收到第一可搜索陷门

后运行Test算法对第一密文C_I是否包含第一数据使用者I所选关键词进行判断。Test算法的输入为公开参数params，密文C_I，搜索陷门

和私钥sk_V。Test算法为：首先计算

然后验证等式

是否成立，如果等式成立，将搜索到的关键字返回给数据使用者I，否则返回“未搜索到关键字”的提示。

S4：当数据使用者I授权数据使用者J代理时，数据使用者I基于数据使用者I公钥和数据使用者J公钥生成重加密密钥，并发送给主服务器。

数据使用者I欲将其搜索权限在有效时间T时段内由数据使用者J代理，数据使用者I运行代理重加密密钥生成算法DelkeyGen。DelkeyGen算法的输入为数据使用者I的公钥PK_I和数据使用者J的公钥PK_J。DelkeyGen算法为：首先选择随机数

计算

即为代理重加密密钥。数据使用者I将代理有效时间T和

发送给主服务器以及时间服务器。

S6：时间服务器基于时间服务器私钥生成时间陷门，并发送给主服务器；

时间服务器运行Timetoken算法生成时间陷门。Timetoken算法为：首先计算S_T＝sk_TSH₀(T)，然后将时间陷门S_T发送给主服务器。

S6：主服务器基于步骤S4得到的重加密密钥、步骤S5得到的时间陷门、时间服务器公钥及有效代理时间，生成与第一关键词列表对应的第二密文。

主服务器收到

和数据使用者I发送的有效代理时间T以及时间陷门S_T后运行Re-encryption算法将第一密文C_I重加密为第二密文C_J。Re-encryption算法为：首先计算

然后选取随机数

计算σ₁＝e(H₀(T),PK_TS)^u，σ₁＝uP，结合前面得到的第一密文，最后生成与第一关键词列表对应的第二密文

S7：数据使用者J基于第三关键字列表生成第二可搜索陷门，主服务器使用第二可搜索陷门对第二密文进行搜索并返回搜索结果。

数据使用者J可以使用Trapdoor_Del算法生成对第三关键字列表

的第二可搜索陷门。Trapdoor_Del算法的输入为：第三关键字列表

系统参数params，私钥sk_J和主服务器公钥PK_V。Trapdoor_Del算法为：首先选取随机数

计算

θ₀＝t₀PK_V，

然后计算θ_v＝t_vPK_V，

最后生成第二可搜索陷门

并将第二可搜索陷门发送给主服务器。

主服务器接收到搜索陷门

后运行Test_Del算法对第二密文C_J是否包含数据使用者J所选关键词进行判断。Test_Del算法输入为系统参数params，第二可搜索陷门

和主服务器私钥sk_V。Test_Del算法为：首先计算

然后验证等式

是否成立，如果等式成立，将搜索到的关键字返回给数据使用者J，否则返回“未搜索到关键字”的提示。

综上所述，本发明提供的抗合谋攻击的代理可搜索加密方法可以对存储到云端(即主服务器)的密文进行搜索，实现访问数据权限授权的代理，并且解决了传统代理可搜索加密体系中的合谋攻击问题，可应用于存在不可信代理者和搜索服务器的场景中，此外，该方法还具有时间控制和抗离线关键字攻击的特性。

上述实例只为说明本发明的技术构思，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (10)

1.一种抗合谋攻击的代理可搜索加密方法，其特征在于，包括以下步骤：

S1：服务器和数据使用者生成各自的公私密钥对；所述服务器包括主服务器和时间服务器；所述主服务器用于存储加密数据，并依据来自数据使用者的请求对加密数据搜索或重加密；所述数据使用者包括第一数据使用者和第二数据使用者；

S2：数据产生者对第一关键字列表进行加密生成第一密文；

S3：当第一数据使用者搜索数据时，第一数据使用者基于第二关键字列表生成第一可搜索陷门，主服务器使用第一可搜索陷门对第一密文进行搜索并返回搜索结果；

S4：当第一数据使用者授权第二数据使用者代理时，第一数据使用者基于第一数据使用者公钥和第二数据使用者公钥生成重加密密钥，并将代理有效时间和重加密密钥发送给主服务器和时间服务器；

S5：时间服务器基于时间服务器私钥生成时间陷门，并发送给主服务器；

S6：主服务器基于步骤S4得到的重加密密钥、步骤S5得到的时间陷门、时间服务器公钥及代理有效时间，生成与第一关键词列表对应的第二密文；

S7：第二数据使用者基于第三关键字列表生成第二可搜索陷门，主服务器使用第二可搜索陷门对第二密文进行搜索并返回搜索结果。

2.根据权利要求1所述的抗合谋攻击的代理可搜索加密方法，其特征在于，所述步骤S1，首先运行Init(κ)算法，设置加密方法相关参数，然后服务器和数据使用者分别运用KeyGen算法，生成各自的公私密钥对。

3.根据权利要求2所述的抗合谋攻击的代理可搜索加密方法，其特征在于，步骤S1具体操作为：

(1)主服务器选取一个随机数

作为其私钥sk_V＝ε，并计算PK_V＝εP作为其公钥，得到对应公私密钥对(sk_V，PK_V)；

(2)时间服务器选取一个随机数

作为其私钥sk_TS＝τ，并计算PK_TS＝τP作为其公钥，得到对应公私密钥对(sk_TS，PK_TS)；

(3)第一数据使用者随机选取一个随机数

作为其私钥sk_I＝x_I，并计算PK_I＝x_IP作为其公钥，得到对应公私密钥(sk_I，PK_I)；同理，第二数据使用者得到对应的公私钥为(sk_J，PK_J)，sk_J＝x_J，PK_J＝x_JP；

上述

表示素数p构成的域，P表示系统生成元。

4.根据权利要求3所述的抗合谋攻击的代理可搜索加密方法，其特征在于，假设循环群G₁，G₂的阶都为p；e:G₁×G₁→G₂是一个可容许的双线性映射，P∈G₁是任一生成元；哈希函数H₀:{0,1}^*→G₁,H₁:{0,1}^*→G₁,H₂:

H₃:

则系统参数params＝{G₁,G₂,P,e,H₀,H₁,H₂,H₃}；

映射函数为maps，maps映射构造方法为：选取

个不相同的数

可以构建

个

次多项式

可知

在f_i(z)函数的基础上构造两个映射

和

其中映射的具体计算方式为：

5.根据权利要求4所述的抗合谋攻击的代理可搜索加密方法，其特征在于，所述步骤S2，数据产生者运行PECKS算法，以第一数据使用者作为授权对象将其产生的数据所对应的关键字进行加密；PECKS算法的输入包括：第一关键字列表

l表示第一关键字数量，系统参数params和第一数据使用者的公钥PK_I；PECKS算法为：首先计算

构造maps:

从

到

其中

然后随机选取

计算A＝rP,B＝sP+PK_I，

设

最后输出第一关键字列表

对应的第一密文C_I＝(A,B,K₁,…,K_l,M₁,…,M_l)。第一数据使用者将第一密文C_I发送给主服务器。

6.根据权利要求4所述的抗合谋攻击的代理可搜索加密方法，其特征在于，所述步骤S3，第一数据使用者使用运行Trapdoor算法，基于第二关键字列表生成第一可搜索陷门；具体实现方式为：所述第一数据使用者利用第二关键字列表

m表示第二关键字数量，系统参数params，其自身私钥sk_I和主服务器公钥PK_V；选取随机数

计算L_μ＝χ_μPK_V，

计算N＝αP，L₀＝χ₀PK_V，

生成第二关键字列表的第一可搜索陷门

主服务器收到第一可搜索陷门后，计算

验证

是否成立；如果成立，返回检索到的关键字，否则返回未检索到关键字。

7.根据权利要求4所述的抗合谋攻击的代理可搜索加密方法，其特征在于，所述步骤S4，第一数据使用者选取随机数

计算

生成重加密密钥

并将代理有效时间和重加密密钥发送给主服务器和时间服务器。

8.根据权利要求4所述的抗合谋攻击的代理可搜索加密方法，其特征在于，所述步骤S5，时间服务器基于其自身私钥，按照S_T＝sk_TSH₀(T)计算，得到时间陷门S_T，并将其发送给主服务器。

9.根据权利要求3所述的抗合谋攻击的代理可搜索加密方法，其特征在于，所述步骤S6，主服务器收到

和第一数据使用者发送的有效时间T以及时间服务器生成的时间陷门S_T后，计算

然后选取随机数

计算σ₁＝e(H₀(T),PK_TS)^u，σ₂＝uP，结合前面得到的第一密文，最后生成与第一关键词列表对应的第二密文

10.根据权利要求9所述的抗合谋攻击的代理可搜索加密方法，其特征在于，所述步骤S7，第二数据使用者使用运行Trapdoor_Del算法，基于第三关键字列表生成第二可搜索陷门；具体实现方式中，第二数据使用者利用第三关键字列表

n表示第三关键字数量，系统参数params，其自身的私钥sk_J和主服务器的公钥PK_V；选取随机数

计算

θ₀＝t₀PK_V，

计算θ_v＝t_vPK_V，

生成第二关键字列表的第二可搜索陷门

主服务器收到第二可搜索陷门后，计算

通过验证

是否成立；如果成立，返回检索到的关键字，否则返回未检索到关键字。

Images