0 概述

云计算技术为当今大量数据的存储、处理与传输提供了便利与保障。云存储对云计算进行延伸与发展, 使数据具有高效可用性、易访问性, 并通过将数据外包到远程服务器来降低基础架构的成本。云存储技术因便捷的存储功能而得到广大用户的青睐, 成为目前主流的数据存储方式, 用户可以随时随地访问数据而无需使用专用机器。

云存储技术的快速发展也带来各种安全问题。目前, 用户的大量数据均以明文的形式呈现, 当用户将其数据外包给远程服务器时, 对数据的物理访问将丢失, 且数据委托给服务器进行管理后, 云端服务器可以查看、篡改甚至删除数据。对明文数据进行搜索时, 用户将查询关键词发送给服务器以便检索相应的文档。在搜索结束后, 服务器将搜索结果返回给用户。但是, 在搜索过程中, 存储在服务器上的数据内容和查询关键词都会呈现给半可信服务器, 这将大幅降低用户数据的私密性。因此, 保护用户敏感数据的隐私成为亟需解决的问题。实现数据隐私的最常见方式是用户在外包数据给云端服务器之前对其进行加密, 一旦这些加密数据离开用户, 将受到一个端对端的数据隐私保护。虽然这种解决方案保证了敏感数据的隐私, 但它加大了服务器对加密数据进行有效操作的难度。

为解决上述问题, 可搜索加密技术应用而生, 其不仅是一种加密方案, 而且支持对加密数据进行关键词搜索。通过可搜索加密技术, 用户可以提供与搜索关键词相对应的陷门给云端服务器, 服务器将该陷门与密文文件进行匹配, 从而检索包含特定关键词的文件, 并将其返回给用户。通过这种方式, 用户可以直接在云端进行搜索, 从而提高了搜索效率, 降低了不包含搜索关键词的文件的存储空间。此外, 服务器除能够猜测到任意2个搜索文件是否包含相同关键词以外, 不会获知关于云中原始文件的任何信息, 使得该技术具有更高的安全性。

文献[1]利用基于身份的加密(Identity-Based Encryption, IBE)构造公钥可搜索加密方案PEKS。该方案允许多个用户利用公钥进行加密, 但仅拥有相应私钥的用户才能搜索加密数据。文献[2]提出一种可搜索加密审计日志的方案, 该方案可以与任何数量的现有方法相结合以创建防篡改日志。此外, 其为数据库查询设置一个审计日志, 该日志通过哈希链实现其完整性以及IBE, 以便在加密日志上进行搜索。文献[3]设计2种可搜索加密方案。第1种方案可以保证在非自适应性安全下, 使用链表、数组和表格数据结构来连接不同的关键词, 从而提高搜索性能。第2种方案为一种广播加密方式, 其用户能够共享密文数据。文献[4]提出一种基于配对的PEKS方案, 并进一步从PEKS中去除安全信道, 提出一种高效的非安全信道下的PEKS方案。文献[5]提出带有注册关键词搜索的公钥加密方案。该方案为底层应用程序提供额外的功能, 并在打击垃圾邮件方面发挥重要作用。文献[6-7]设计一种有效的可搜索加密方案。文献[8]提出非安全信道下的PEKS方案(SCF-PEKS)。文献[9]构建一种基于分组的结构概念, 将现有可搜索加密方案转变为隐藏搜索模式的新型可搜索方案。文献[10]提出端对端的基于身份的可搜索加密方案。文献[11]提出基于混沌映射的具有指定服务器的时间感知多关键词可搜索加密方案。文献[12]提出云存储中高效安全的数据检索方案。文献[13]提出一种能够抵抗内部关键词猜测攻击的公钥可搜索加密方案。近年来, 支持更多功能并具有更高安全性的可搜索加密方案相继被提出, 如可验证的公钥可搜索加密方案^[14]、支持非对称排序的可搜索加密方案^[15]等。

本文提出一种信息检索方案, 以实现云端数据的安全存储。已有可搜索加密方案需要终止条件, 为解决该问题, 设计一种在合数阶群上的双系统可搜索加密数据检索方案^[16], 并提供将该双系统加密方案转换到非安全信道下的双系统可搜索加密方案的一般方法。

1 相关知识 1.1 PEKS方案

定义1  带关键词的公钥可搜索加密方案PEKS^[1]包含以下6个多项式时间算法:

1) Setup(λ):输入安全参数λ, 算法生成一个公共参数cp。

2) KeyGen_Server:输入公共参数cp, 算法生成服务器的公私钥对(pk_S, sk_S)。

3) KeyGen_Receiver:输入公共参数cp, 算法生成接受者的公私钥对(pk_R, sk_R)。

4) PEKS:输入公共参数cp、服务器的公钥pk_S、接受者的公钥pk_R和一个关键词W, 算法生成关键词W的一个可搜索密文S。

5) Trapdoor:输入公共参数cp、接受者的私钥sk_R和一个关键词W′, 算法生成一个陷门T_W′。

6) Verify:输入接受者的公钥pk_R、可搜索密文S=PEKS(pk_R, W)和陷门T_W′=Trapdoor(sk_R, W′), 如果W=W′, 输出1;否则, 输出0。

1.2 安全模型

基于文献[8]的安全模型, 本文从语义安全的角度定义SCF-PEKS方案的安全性, 以确保未获得给定关键词陷门的服务器不能分辨PEKS密文包含哪些关键词, 同时确保未获得服务器私钥的外部攻击者(Outside Attacker, OA)即使获得了关键词的所有陷门, 也无法对PEKS密文进行区分(这种情况称为IND-SCF-CKA)。在下文中, 将上述2种类型的攻击者分别称为Game_Server和Game_outside。

定义2 (IND-SCF-CKA) 令λ为安全参数, A为敌手, 考虑敌手A与挑战者B之间的2个游戏:

游戏1 假设敌手A是一个服务器。游戏分为以下阶段:

1) 开始:运行公共参数生成算法Setup(λ)、公私钥对生成算法KeyGen_Server和KeyGen_Receiver。生成公共参数cp、服务器的公私钥对(pk_S, sk_S)和接受者的公私钥对(pk_R, sk_R)。发送cp、sk_S、pk_R给A, 其中, sk_R保持私密。

2) 阶段1:对于任意关键词W, 敌手A适应性地对B进行陷门询问, B对该询问生成T_W′=Trapdoor(sk_R, W′)并发送给A。

3) 挑战:一旦阶段1的适应性询问结束, A发送2个挑战关键词W₀、W₁(限制条件是A没有事先对W₀、W₁进行陷门询问得到T_W0、T_W1)。挑战者B挑选一个随机数b∈{0, 1}, 并计算C^*=PEKS(pk_S, pk_R, W_b)作为挑战密文发送给A。

4) 阶段2:与阶段1相同, 对于除关键词W₀、W₁以外的任意关键词W, A继续对B进行陷门询问, B对其作出回应。

5) 猜测:A输出b′∈{0, 1}, 如果b′=b, 则A赢得游戏。

A赢得游戏1的优势是:

$ Adv_A^{{\rm{Gam}}{{\rm{e}}_{{\rm{Server}}}}}(\lambda ) = \left| {\Pr \left[ {b' = b} \right] - \frac{1}{2}} \right| $

游戏2 假设敌手A是一个OA(包括接受者)。游戏分为以下阶段:

1) 开始:运行公共参数生成算法Setup(λ)、公私钥对生成算法KeyGen_Server和KeyGen_Receiver, 生成公共参数cp、服务器的公私钥对(pk_S, sk_S)和接受者的公私钥对(pk_R, sk_R)。发送cp、sk_S、pk_R给A, 其中, sk_R保持私密。

2) 阶段1:对于任意关键词W, 敌手A适应性地对B进行陷门询问, B对该询问生成T_W′=Trapdoor(sk_R, W′)并发送给A。

3) 挑战:一旦阶段1的适应性询问结束, A发送2个挑战关键词W₀、W₁(限制条件是A没有事先对W₀、W₁进行陷门询问得到T_W0、T_W1)。挑战者B挑选一个随机数b∈{0, 1}, 并计算C^*=PEKS(pk_S, pk_R, W)作为挑战密文发送给A。

4) 阶段2:与阶段1相同, 对于除关键词W₀、W₁以外的任意关键词W, A继续对B进行陷门询问, B对其作出回应。

5) 猜测:A输出b′∈{0, 1}, 如果b′=b, 则A赢得游戏。

A赢得游戏2的优势是:

$ Adv_A^{{\rm{Gam}}{{\rm{e}}_{{\rm{Outside}}}}}(\lambda ) = \left| {\Pr \left[ {{b^\prime } = b} \right] - \frac{1}{2}} \right| $

定义3 对于一个多项式时间敌手A, 如果Adv_A^Game_Server(λ)和Adv_A^Game_Outside(λ)是可忽略函数, 则SCF-PEKS方案在抵抗适应性选择关键词攻击下是语义安全的。

1.3 合数阶双线性群

令G、G_T表示2个合数阶为N的双线性群, 其中, N=p₁p₂…p_m, p₁、p₂、…、p_m是互不相同的素数。映射e:G×G→G_T满足以下性质:

1) 双线性:∀g、h∈G, a、b∈$\mathbb{Z}_{N}$, 有e(g^a, h^b)=e(g, h)^ab。

2) 非退化性:∀g∈G, e(g, g)≠1。

3) 可计算性:∀g∈G, e(g, g)可以有效地计算。

令G_p1、G_p2和G_p3分别表示G的阶为p₁、p₂和p₃的子群。选取h_i∈G_pi, h_j∈G_pj, 其中, i≤j, 则e(h_i, h_j)是G中的单位元。假设g是G的一个生成元, 则易知g^p₁p₂是G_p3的生成元, g^p₁p₃是G_p2的生成元, g^p₂p₃是G_p1的生成元。因此, 存在α₁、α₂, 使得h₁=(g^p₂p₃)^α₁, h₂=(g^p₁p₃)^α₂。此时有:

$ e\left( {{h_1},{h_2}} \right) = e\left( {{g^{{p_2}{p_3}{\alpha _1}}},{g^{{p_1}{p_3}{\alpha _2}}}} \right) = e{\left( {{g^{{\alpha _1}}},{g^{{p_3}{\alpha _2}}}} \right)^{{p_1}{p_2}{p_3}}} = 1 $

由此可知, G_p1、G_p2、G_p3相互正交, 这一性质是构造本文方案的重要依据。

假设1 给定一个群生成器G, 定义以下分布:

$ E: = \left( {N = {p_1}{p_2}{p_3},G,{G_T},e} \right)\mathop \leftarrow \limits^R G $

$ g \stackrel{R}\leftarrow G_{p_{1}}, X_{3} \stackrel{R}{\leftarrow} G_{p_{3}} $

$ D :=\left(G, g, X_{3}\right) $

$ T_{1} \stackrel{R}{\leftarrow} G_{p_{1} p_{2}}, T_{2} \stackrel{R}{\leftarrow} G_{p_{1}} $

敌手A攻破假设1的优势是:

$ \begin{aligned} A d v 1_{G, A} :=&\left|\operatorname{Pr}\left[A\left(D, T_{1}\right)=1\right]\right|-\\ &\left|\operatorname{Pr}\left[A\left(D, T_{2}\right)=1\right]\right| \end{aligned} $

定义4 对于任意的概率多项式时间敌手A, 如果Adv1_{G, A}(λ)是一个关于λ的可忽略函数, 则G满足假设1。

假设2 给定一个群生成器G, 定义以下分布:

$ E :=\left(N=p_{1} p_{2} p_{3}, G, G_{T}, e\right) \stackrel{R}{\leftarrow} G $

$ g, X_{1} \stackrel{R}{\leftarrow} G_{p_{1}} $

$ X_{2}, Y_{2} \stackrel{R}{\leftarrow} G_{p_{2}} $

$ X_{3}, Y_{3} \stackrel{R}{\leftarrow} G_{p_{3}} $

$ D :=\left(G, g, X_{1} X_{2}, X_{3}, Y_{2} Y_{3}\right) $

$ T_{1} \stackrel{R}{\leftarrow} G, T_{2} \stackrel{R}{\leftarrow} G_{p_{1} p_{3}} $

敌手A攻破假设2的优势是:

$ \begin{array}{l} Adv{2_{G,A}}: = |\Pr \left[ {A\left( {D,{T_1}} \right)} \right. = 1]| - \\ \;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\left| {\Pr \left[ {A\left( {D,{T_2}} \right) = 1} \right]} \right| \end{array} $

定义5 对于任意的概率多项式时间敌手A, 如果Adv2_{G, A}(λ)是一个关于λ的可忽略函数, 则G满足假设2。

假设3 给定一个群生成器G, 定义以下分布:

$ E :=\left(N=p_{1} p_{2} p_{3}, G, G_{T}, e\right) \stackrel{R}{\leftarrow} G $

$ \alpha ,\beta ,s\xleftarrow{R}{\mathbb{Z}_N},g\xleftarrow{R}{G_{{p_1}}} $

$ X_{2}, Y_{2}, Z_{2} \stackrel{R}{\leftarrow} G_{p_{2}}, X_{3} \stackrel{R}{\leftarrow} G_{p_{3}} $

$ D :=\left(G, g, g^{\alpha} X_{2}, X_{3}, g^{s} Y_{2}, Z_{2}\right) $

$ T_{1}=\left(e(g, g)^{\alpha} e(g, g)^{\beta}\right)^{s}, T_{2} \stackrel{R}{\leftarrow} G_{p_{1} p_{3}} $

敌手A攻破假设3的优势是:

$ \begin{aligned} A d v 3_{G, A} :=\left|\operatorname{Pr}\left[A\left(D, T_{1}\right)=1\right]\right|-\\\left|\operatorname{Pr}\left[A\left(D, T_{2}\right)=1\right]\right| \end{aligned} $

定义6 对于任意的多项式时间敌手A, 如果Adv3_{G, A}(λ)是一个关于λ的可忽略函数, 则G满足假设3。

2 非安全信道下的双系统可搜索加密方案 2.1 方案构建

本文方案包括以下算法:

1)Setup:选择一个阶为N=p₁p₂p₃的双线性群, 其中, p₁、p₂、p₃是不同的素数。令G_pi表示G的阶为p_i的子群, 随机选取u、g、h∈G_p1, 则公共参数表示为:

$ c p=\left\{G, G_{T}, e, N, u, g, h\right\} $

2) KeyGen_Server:随机均匀选取一个$\alpha \in \mathbb{Z}_{N}$, 计算e(g, g)^α, 返回pk_S=(cp, e(g, g)^α)和sk_S=α分别作为服务器的公私钥。

3) KeyGen_Receiver:随机均匀选取一个$\beta \in \mathbb{Z}_{N}$, 计算e(g, g)^β, 返回pk_R=(cp, e(g, g)^β)和sk_R=β分别作为服务器的公私钥。

4) PEKS:输入关键词$W \in \mathbb{Z}_{N}$、服务器的公钥pk_S和接受者的公钥pk_R, 随机选取一个$s \in \mathbb{Z}_{N}$, 计算密文:

$ \begin{aligned} C=&\left[\left(u^{W} h\right)^{s}, g^{s},\left(e(g, g)^{\alpha} e(g, g)^{\beta}\right)^{s}\right]=\\ &\left[C_{0}, C_{1}, C_{2}\right] \end{aligned} $

5) Trapdoor:输入搜索关键词$W^{\prime} \in \mathbb{Z}_{N}$、接受者的私钥sk_R, 随机选取一个$r \in \mathbb{Z}_{N}$和R₃、R₃′∈G_p3, 计算陷门:

$ T = \left[ {{g^\beta }{{\left( {{u^{W'}}h} \right)}^r}{{R'}_3},{g^r}{R_3}} \right] = \left[ {{T_0},{T_1}} \right] $

6) Verify:输入密文C、陷门T和服务器的私钥sk_S, 验证e(g^αT₀, C₁)/e(T₁, C₀)=C₂是否成立, 若等式成立, 输出1;否则, 输出0。

上述方案正确性验证如下:

如果W′=W, 则:

$ \begin{array}{l} \frac{{e\left( {{g^\alpha }{T_0},{C_1}} \right)}}{{e\left( {{T_1},{C_0}} \right)}} = \frac{{e\left( {{g^\alpha }{g^\beta }{{\left( {{u^{W'}}h} \right)}^r}{{R'}_3},{g^s}} \right)}}{{e\left( {{g^r}{R_3},{{\left( {{u^W}h} \right)}^s}} \right)}} = \\ \;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\frac{{e\left( {{g^\alpha }{g^\beta },{g^s}} \right)e\left( {{{\left( {{u^{W'}}h} \right)}^r}{{R'}_3},{g^s}} \right)}}{{e\left( {{g^r}{R_3},{{\left( {{u^W}h} \right)}^s}} \right)}} = \\ \;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\frac{{e{{\left( {g,g} \right)}^{\alpha s}}e{{\left( {g,g} \right)}^{\beta s}}e{{\left( {{u^{W'}}h,g} \right)}^{rs}}}}{{e{{\left( {{u^W}h,g} \right)}^{rs}}}} = \\ \;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;{\left( {e{{\left( {g,g} \right)}^\alpha }e{{\left( {g,g} \right)}^\beta }} \right)^s} = {C_2} \end{array} $

如果W′≠W, 则:

$ e\left(g^{\alpha} T_{0}, C_{1}\right) / e\left(T_{1}, C_{0}\right) \neq C_{2} $

2.2 semi-functional算法

为对方案的安全性进行证明, 本文引入2个新的数据结构:semi-functional陷门, semi-functional密文。2个数据结构的构造过程如下:

1) 令g₂是子群G_p2的一个生成元, semi-functional陷门构造过程如下:

(1) 运行Trapdoor生成算法生成正式陷门T=[T₀, T₁]。

(2) 随机选择2个元素γ、$z_{k} \in \mathbb{Z}_{N}$, 则semi-functional陷门为:

$ T' = \left( {{T_0}g_2^{\gamma {z_k}},{T_1}g_2^\gamma } \right) = \left( {{{T'}_1},{{T'}_2}} \right) $

2) semi-functional密文的构造方式如下:

(1) 运行PEKS生成算法生成正式密文C=[C₀, C₁, C₂]。

(2)随机选择2个元素x、$z_{c} \in \mathbb{Z}_{N}$, 则semi-functional密文为:

$ C' = \left( {{C_0}g_2^{x{z_c}},{C_1}g_2^x,{C_2}} \right) = \left( {{{C'}_0},{{C'}_1},{{C'}_2}} \right) $

如果一个semi-functional陷门用来搜索semi-functional密文, 致盲因子将被另外一个因子$e\left(g_{1}, g_{2}\right)^{x \gamma\left(z_{k}-z_{c}\right)}$所掩盖, 只有当z_k=z_c, 验证算法才有效。在这种情况下, 定义陷门名义上是semi-functional, 它有G_p2中的项, 但并不妨碍验证。

一个semi-functional陷门能够验证所有正式生成的密文, 却不能验证一个semi-functional密文。同样, 一个semi-functional密文只能由正式陷门进行验证。

3 安全性证明

本节在标准模型下, 使用Game_Server和Game_Outside中的如下2个命题对本文加密方案进行安全性证明。

命题1 在子群判定性问题下, 本文加密方案在标准模型的Game_Server抗适应性选择关键词攻击下是语义安全的。

命题1的证明主要依赖于第2节中的假设1、假设2、假设3这3个困难性假设, 其主要论点是以下所描述的4种游戏在已知的困难性假设下相互之间不可区分。

1) Game_Real:真实的安全性游戏。

2) Game_Restricted:与真实的安全性游戏相似, 除限制攻击者不能询问与挑战关键词相同的关键词陷门。

3) Game_k:与Game_Restricted相似, 除限制所有的可搜索密文以及前k个陷门由semi-functional算法生成。

4) Game_Final:与Game_k相似, 除限制挑战密文由semi-functional算法生成, 其中, 挑战密文用S_w^F表示。

设运行一个安全性游戏, 如果其中的挑战密文和陷门都是semi-functional的, 则此时验证效果将无效。一个概率多项式时间敌手A至多进行t次陷门询问, 用如下4个引理则能够证明上述游戏之间的不可区分性。

引理1 假设存在一个算法A, 满足Game_RealAdv_A－Game_RestrictedAdv_A=ε, 则存在一个算法B以大于ε/2的优势攻破假设1或者假设2。

证明 算法B初始化子群判定问题的元组$\left(N=p_{1} p_{2} p_{3}, G, G_{T}, e, g, X_{3}\right)$。B与A模拟Game_Real:A选择2个关键词W和W^*发送给B, 其中, W≠W^*, p₂|(W－W^*)。B计算a=gcd(W－W^*, N), 然后令b=N/a。因此, p₂|a, 又由N=ab=p₁p₂p₃, 考虑以下2种情况:

1) p₁|b。

2) a=p₁p₂, b=p₃。

在上述2种情况中, 必定有一种会以至少ε/2的概率出现。

情况1  B攻破假设1。因为B可以通过测试g^b是否为关键词来确定p₁|b, 从而测试T^b是否为关键词。若是, 则T∈G_p1; 否则, T∈G_p1p2。

情况2  B攻破假设2。因为B可以通过测试(X₁X₂)^a是否为关键词来确定a=p₁p₂, 从而测试e((Y₂Y₃)^b, T)是否为关键词。若是, 则T∈G_p1p3; 否则, T∈G。

引理2 假设存在一个算法A, 有Game_RestrictedAdv_A－Game₀Adv_A=ε, 则存在一个算法B以ε的优势攻破假设1。

证明  给定g、X₃、T, B与A模拟Game_Restricted或Game₀如下:

1) 开始。B随机选择$a, b \in \mathbb{Z}_{N}$, 令u=g^a, h=g^b, 公共参数cp=(N, u, g, h)。随机均匀选择α、β∈$\mathbb{Z}_{N}$, 计算e(g, g)^α, e(g, g)^β。令服务器的公私钥对为pk_S=(cp, e(g, g)^α), sk_S=α, 接受者的公私钥对为pk_R=(cp, e(g, g)^β), sk_R=β。然后发送pk_R、pk_S、sk_S给A。

2) 陷门询问阶段1。对于一个关键词W_i, 敌手A适应性地对B进行陷门询问。B随机选取r_i、t_i、W_i∈$\mathbb{Z}_{N}$, 计算$T_{0}=g^{\beta}\left(u^{W_{i}} h\right)^{r_{i}} X_{3}^{W_{i}}, T_{1}=g^{r_{i}} X_{3}^{t_{i}}$并作为询问陷门发送给A。

3) 挑战。一旦阶段1的适应性询问结束, A发送2个挑战关键词W₀、W₁(限制条件是A没有事先对W₀、W₁进行陷门询问得到T_W0、T_W1)。挑战者B挑选一个随机数t∈{0, 1}, 并计算C₀=T^aW_t+b, C₁=T, C₂=e(T, g)^αe(T, g)^β作为挑战密文发送给A。

4) 陷门询问阶段2。与阶段1相同, 对于除关键词W₀、W₁以外的任意关键词W, A继续对B进行陷门询问, B对其作出回应。

5) 猜测。假如T∈G_p1, 则上述密文是一个正式密文; 假如T∈G_p1G_p2, 则上述密文是一个semi-functional可搜索密文, 且z_c=αW_t+b。其中, z_cmod p₂与amodp₁和bmodp₁的值不相关, 则该semi-functional可搜索密文具有合理的分布。因此, 通过A的输出, B可以从这些可能性中区分T。

引理3 假设存在一个算法A, 且其满足$| {Game}_{k-1} A d v_{A}-{Game}_{k} A d v_{A} |=\varepsilon$, 则存在一个算法B以ε的优势攻破假设2。

证明 首先给定g、X₁、X₂、X₃、Y₂、Y₃、T, B与A模拟Game_k－1和Game_k, 此过程与引理2的证明过程相似, 此处不再赘述。

引理4 假设存在一个算法A, 且其满足$| {Game}_{k} A d v_{A}-{Game}_{\text { Final }} A d v_{A} |=\varepsilon$, 则存在一个算法B以ε的优势攻破假设3。

证明 首先给定g、g^αX₂、X₃、g^sY₂、Z₂、T, B与A模拟Game_k和Game_Final, 此过程与引理2的证明过程相似, 此处不再赘述。

命题2 在子群判定性问题中, 本文加密方案在标准模型的Game_Outside抗适应性选择关键词攻击下是语义安全的。

命题1的证明过程同样适用于命题2, 原因是本文加密方案的验证算法中g^α和g^β对称。命题2的引理分析与命题1类似。由以上命题证明可以得出, Game_Final与真实的安全性游戏Game_Real不可区分。因此, 得到如下定理:

定理1 在标准模型下, 若假设1、假设2和假设3同时成立, 则本文加密方案具有IND-SCF-CKA安全性。

4 效率对比

将本文加密方案与一些经典PEKS方案在效率方面进行比较分析。令|G|、|G_T|、$\left|\mathbb{Z}_{p}\right|$分别表示G、G_T、$\left|\mathbb{Z}_{p}\right|$中元素的大小, n_p、n_e、n_o分别表示双线性对运算、指数运算和其他运算, SCF和S-M分别表示非安全信道和标准模型。各数据检索方案的陷门、密文大小、验证复杂度以及可证明安全模型等信息对比如表 1所示。其中, yes表示该模型为可证明安全模型, no反之。表 1可以看出, 相对于素数阶的可搜索加密方案, 在合数阶双线性群下, 本文方案有较短的陷门和PEKS密文长度, 且其验证算法只需2次双线性配对运算, 因此, 该方案具有更高的计算效率与安全性。

5 结束语

本文提出一种非安全信道下的双系统可搜索加密方案, 以进行数据的安全存储。分析结果表明, 该方案在静态假设的标准模型下可抵抗非安全信道上的选择关键词攻击, 其计算效率与安全性高于经典PEKS方案。下一步将构造更有效的多关键词, 并探究能够抵抗关键词猜测攻击的加密方案。