0 概述

近年来, 随着云计算技术^[1]的迅速发展, 基于网上在线存储的云存储服务得到广泛关注。将本地数据迁移到云端服务器可以节省本地数据管理开销、降低系统开发及维护成本^[2], 但同时也产生了数据泄露、个人隐私信息无法得到有效保护等安全问题。此外, 为了确保数据的机密性, 数据拥有者在上传数据至云端服务器前会对其进行加密, 导致数据使用者难以在加密文件中快速查找信息。

为解决上述问题, 研究人员提出可搜索加密(Searchable Encryption, SE)技术^[3-5]。可搜索加密体制分为对称可搜索加密体制和公钥可搜索加密体制^[3]。文献[4]提出对称可搜索加密方案, 随后文献[6]提出公钥关键字搜索加密(Public Key Encryption with Keyword Search, PEKS)概念, 并结合公钥加密技术设计出基于双线性对的构造方案。该方案以邮件路由为应用场景以便邮件服务器对邮件进行分发, 数据发送者从待发送的电子邮件中通过检索关键字与使用数据接收者公钥对关键字和电子邮件进行加密, 数据接收者生成陷门并向邮件存储服务器发送相应陷门, 邮件存储服务器搜索与其匹配的关键字密文, 并将包含关键字的邮件密文返回给数据接收者^[3]。

在加密的电子邮件系统中, 带关键字搜索的公钥加密方案是在不解密情况下搜索加密邮件的有效手段, 但是其存在安全问题。文献[7]指出PEKS方案和结合域关键字搜索的公钥加密(Public Key Encryption with Conjunctive Field Keyword Search, PECKS)方案^[8]中存在离线关键字猜测攻击(Keyword Guessing Attack, KGA)风险。恶意敌手能在离线状态下采用穷举法搜索候选关键字^[9], 并分别对其进行验证。研究人员通过实验发现, 该攻击具有可行性。如果邮件服务器变得恶意, 其可以通过离线启动KGA从用户邮件中恢复信息^[10]。文献[11]研究了基于身份的关键字搜索加密(Identity Based Encryption with Keyword Search, IBEKS)方案, 并对IBEKS方案进行定义。该文献指出, 数据发送者使用基于身份的加密(Identity-Based Encryption, IBE)方法对电子邮件进行加密, 并使用IBEKS方案加密关键字, 然后将加密的电子邮件和关键字上传到邮件存储服务器^[12-13], 数据接收者为检索包含某个关键字的电子邮件, 委托邮件服务器提供陷门搜索加密的关键字, 邮件服务器将与加密关键字关联的电子邮件返回给数据接收者作为搜索结果。但是由于IBEKS方案无法抵抗内部离线关键字猜测攻击^[14], 同时还隐藏了外部敌手搜索模式, 因此文献[15]提出一种指定服务器的基于身份关键字搜索加密(designated Server Identity-Based Encryption with Keyword Search, dIBEKS)方案, 然而文献[16]指出该方案不能满足关键字密文的不可区分性。

为提高dIBEKS方案的安全性, 本文提出一种指定邮件服务器的基于身份认证关键字搜索加密(designated Server Identity-Based Authenticated Encryption with Keyword Search, dIBAEKS)方案。在未知数据发送者私钥的情况下, 攻击者难以伪造数据发送者加密的关键字, 从而无法进行离线关键字猜测攻击, 对该方案适应性选择消息攻击的关键字密文不可区分性、陷门不可区分性和离线猜测攻击的安全性进行验证。

1 基础知识 1.1 双线性对

令(G₁, +)和(G₂, ×)为2个阶均为大素数q的循环群, p是群G₁的生成元。

定义1(双线性对^[17])  循环群上线性映射e:G₁×G₁→G₂具有以下性质:

1) 双线性。对任意P, Q∈G₁和a, b∈$\mathbb{Z}_{q}^{*}$, e(aP, bP)=e(abP, Q)=e(P, abQ)=e(P, Q)^ab。

2) 非退化性。存在P, Q∈G₁, 满足e(P, Q)≠1。

3) 可计算性。对于任意P, Q∈G₁, 存在1个有效算法计算e(P, Q)。

1.2 困难性问题假设

本文方案采用双线性Diffie-Hellman计算(Computational Bilinear Diffie-Hellman, CBDH)假设^[18]。

定义2(CBDH假设)  给定三元组(P, aP, bP)∈G₁, 其中a, b∈$\mathbb{Z}_{q}^{*}$未知, 任意的多项式时间攻击者R根据(P, aP, bP)计算出e(P, P)^ab的概率优势如下:

$ {{\mathop{\rm Adv}\nolimits} _{{\rm{CBDH}}}}({\rm{R}}) = \Pr \left[ {{\rm{R}}(P, aP, bP) = e{{(P, P)}^{ab}}} \right] $

(1)

其中, e(P, P)^ab的概率优势可以忽略。

2 系统模型和安全模型 2.1 系统模型

图 1为dIBAEKS方案的电子邮件系统模型。该模型主要包括数据发送者A、数据接收者B、指定邮件服务器S^[19]以及可信任的密钥生成中心(Private Key Generator, PKG)4个实体。其中:数据发送者A对数据文件进行加密, 使用其私钥sk_A为加密的数据文件生成关键字索引C_w, 并将数据密文与关键字索引C_w共同上传到指定邮件服务器S; 数据接收者B用其私钥sk_B生成陷门T_w, 并将陷门T_w发送给指定邮件服务器S进行搜索服务请求; 指定邮件服务器S为加密的电子邮件提供存储服务并利用其私钥sk_s完成数据接收者B的搜索请求; 可信任的密钥生成中心PKG主要负责生成主密钥s和系统公共参数Params, 并根据用户身份信息生成用户密钥。

dIBAEKS方案由以下5个概率多项式时间算法组成:

1) 系统建立算法Setup(λ):给定1个安全参数λ, 产生PKG的主密钥s和系统公共参数Params。

2) 密钥生成算法KeyGen(Params, s, ID_A, ID_B, ID_S):输入系统公共参数Params、主密钥s和身份信息(ID_A、ID_B、ID_S), PKG生成各身份对应的密钥(pk_A, sk_A)、(pk_B, sk_B)和(pk_S, sk_S)。

3) 关键字加密算法dIBAEKS(Params, w, sk_A, ID_B, ID_S):对于关键字w, 数据发送者结合数据接收者的身份信息ID_B和指定邮件服务器的身份信息ID_S, 计算生成密文C_w。

4) 陷门生成函数dTrapdoor(Params, w′, ID_A, ID_S, sk_B):对于给定搜索的关键字w′, 数据接收者使用自身私钥sk_B、数据发送者身份信息ID_A以及指定邮件存储服务器身份信息ID_S, 生成相对应的搜索陷门T_w′, 然后数据接收者将T_w′发送给指定邮件服务器进行搜索请求。

5) 验证算法dTest(Params, sk_S, C_w, T_w′):指定邮件服务器利用自身私钥sk_S, 与接收的C_w和T_w′进行验证, 如果验证通过, 则输出“True”并返回给数据接收者C_w所对应的加密邮件; 否则, 输出“False”。

2.2 安全模型

dIBAEKS方案的安全性由关键字密文不可区分性、陷门不可区分性以及抗离线关键字猜测攻击构成。

2.2.1 关键字密文不可区分性

以敌手A₁和挑战者F的交互游戏1来定义dIBAEKS方案的关键字密文不可区分性。假设敌手A₁是外部攻击者。

1) 系统初始化。挑战者F执行Setup算法产生系统参数并发送给敌手A₁。

2) 询问1。外部攻击者A₁向挑战者F进行以下询问:

(1) 密钥询问。当敌手A₁向挑战者F进行密钥询问时, 挑战者F调用KeyGen算法并返回数据接收者私钥sk_B和指定邮件服务器私钥sk_S给敌手A₁。

(2) 陷门询问。敌手A₁将数据发送者身份信息ID_A、数据接收者身份信息ID_B和关键字w发送给挑战者F, 挑战者F调用dTrapdoor算法返回给敌手A₁搜索陷门T_w。

(3) 测试询问。敌手A₁将生成的密文C^*、指定邮件存储服务器的身份信息ID_S^*、数据接收者身份信息ID_B^*以及搜索陷门T_w^*发送给挑战者F。挑战者F调用dTest算法, 返回“True”或“False”给敌手A₁。

3) 挑战。当询问阶段1结束, 敌手A₁选择2个搜索关键字(w₀、w₁)和数据接收者身份信息ID_B^*发送给挑战者F。挑战者F随机选择猜测值b∈{0, 1}并调用dIBAEKS算法计算密文C^*=dIBAEKS(w_b, ID_S^*, ID_B^*, sk_A^*), 然后将密文C^*发送给敌手A₁。

4) 询问2。敌手A₁向挑战者F进行密钥询问, 除不能对指定邮件服务器身份信息ID_S进行公钥询问和测试询问以外, 其他与询问阶段1一致。

5) 猜测。敌手A₁输出猜测值b′∈{0, 1}, 如果b′=b, 则挑战成功, 敌手A₁赢得游戏1的胜利。

定义游戏1中敌手A₁赢得游戏的优势Adv_A1(λ)=$\left| {\Pr \left( {b = b'} \right) - \frac{1}{2}} \right|$。

2.2.2 陷门不可区分性

以敌手A₂和挑战者F的交互游戏2来定义dIBAEKS方案的陷门不可区分性。假设敌手A₂是外部攻击者。

1) 系统初始化。挑战者F执行Setup算法产生系统参数并发送给敌手A₂。

2) 询问1。外部攻击者A₂向挑战者F进行以下询问:

(1) 密钥询问。当敌手A₂向挑战者F进行密钥询问时, 挑战者F调用KeyGen算法并返回数据接收者的私钥sk_B和指定邮件存储服务器私钥sk_S给敌手A₂。

(2) 陷门询问。敌手A₂将数据发送者身份信息ID_A、数据接收者身份信息ID_B和关键字w发送给挑战者F, 并对其进行陷门询问。挑战者F调用dTrapdoor算法返回给敌手A₂搜索陷门T_w。

(3) 测试询问。敌手A₂将生成的密文C^*、指定邮件存储服务器的身份信息ID_S^*、数据接收者的身份信息ID_B^*以及陷门T_w^*发送给挑战者F。挑战者F调用dTest算法, 返回“True”或“False”给敌手A₂。

3) 挑战。当询问阶段1结束, 敌手A₂选择2个搜索关键字(w₀、w₁)、数据发送者身份信息ID_A^*和数据接收者身份信息ID_B^*发送给挑战者F。挑战者F随机选择猜测值b∈{0, 1}并调用dTrapdoor算法计算T_w^*=dTrapdoor(w_b, ID_A^*, ID_S^*, sk_B^*), 然后将密文T_w^*发送给敌手A₂。

4) 询问2。敌手A₂向挑战者F进行密钥询问, 除不能对指定邮件服务器身份信息ID_S、接收者的身份信息ID_B进行公钥询问和测试询问以外, 其他与询问阶段1一致。

5) 猜测。敌手A₂输出猜测值b′∈{0, 1}, 如果b′=b, 则挑战成功, 敌手A₂赢得游戏2的胜利。

定义游戏2中敌手A₂, 赢得游戏的优势Adv_A2(λ)=$\left| {\Pr \left( {b = b'} \right) - \frac{1}{2}} \right|$。

2.2.3 离线猜测关键字攻击

由于本文提出的dIBAEKS方案在满足适应性选择消息下的陷门不可区分性时, 可抵御离线关键字猜测攻击^[15], 因此dIBAEKS方案能够抵御离线关键字猜测攻击。

3 具体方案

dIBAEKS方案具体算法如下:

1) Setup算法。设G₁和G₂分别是2个阶为素数q的循环群, p是G₁的1个生成元, e:G₁×G₁→G₂是1个双线性映射。密钥生成中心PKG随机选取主密钥s∈$\mathbb{Z}_{q}^{*}$, 计算出P_pub=sp, 然后选择2个哈希函数H₁:{0, 1}^*→G₁和H₂:G₂×{0, 1}^*→$\mathbb{Z}_{q}^{*}$, 最后PKG公布系统参数Params={G₁, G₂, e, q, p, P_pub, H₁, H₂}。

2) KeyGen算法。以主密钥s和指定邮件服务器S的身份信息ID_s∈{0, 1}^*为输入, PKG生成指定邮件服务器S的私钥sk_S=sH₁(ID_S), 其中H₁(ID_S)为指定邮件服务器S的公钥。类似地, PKG根据数据发送者A身份信息ID_A∈{0, 1}^*和数据接收者B身份信息ID_B∈{0, 1}^*, 生成数据发送者A的私钥sk_A=sH₁(ID_A)和数据接收者B的私钥sk_B=sH₁(ID_B), 其中, H₁(ID_A)和H₁(ID_B)分别为数据发送者A和数据接收者B的公钥。

3) dIBAEKS算法。数据发送者A随机选取r∈$\mathbb{Z}_{q}^{*}$, 计算α₁=e(sk_A, H₁(ID_B)), 将关键字w与α₁进行哈希运算, 得到q₁=H₂(w, α₁), 并计算C₁=r·q₁、C₂=e(rH₁(ID_S), q₁·P_pub)。数据发送者A将生成的邮件密文与关键字密文C₁、C₂一起上传到指定邮件存储服务器S。

4) dTrapdoor算法。对于要检索的关键字w′, 数据接收者B随机选取t∈$\mathbb{Z}_{q}^{*}$, 计算陷门T₁=tp, α₂=e(sk_B, H₁(ID_A)), q₂=H₂(w′, α₂), 陷门T₂=q₂p, 陷门T₃=e((t+q₂)P_pub, H₁(ID_S))。数据接收者B将T₁、T₂和T₃发送给指定邮件服务器S完成搜索请求。

5) dTest算法。指定邮件服务器S利用自身私钥sk_S, 与接收的C₁、C₂、T₁、T₂、T₃进行验证, 判断C₂·T₃是否与e(C₁+T₁+T₂, sk_S)相等。若两者相等则输出“True”, 并将C_w所对应的加密邮件发送给数据接收者B, 否则输出“False”。

4 正确性、安全性证明与效率分析 4.1 正确性证明

本文方案的正确性证明如下:

$ \begin{array}{l} {C_2}{T_3} = e\left( {r{H_1}\left( {{\rm{I}}{{\rm{D}}_{\rm{S}}}} \right), {q_1} \cdot {P_{{\rm{pub}}}}} \right)e\left( {\left( {t + {q_2}} \right){P_{{\rm{pub}}}}, {H_1}\left( {{\rm{I}}{{\rm{D}}_{\rm{S}}}} \right)} \right) = \\ \;\;\;\;\;\;\;\;\;\;e\left( {r{H_1}\left( {{\rm{I}}{{\rm{D}}_{\rm{S}}}} \right), {q_1} \cdot sp} \right)e\left( {\left( {t + {q_2}} \right)sp, {H_1}\left( {{\rm{I}}{{\rm{D}}_{\rm{S}}}} \right)} \right) = \\ \;\;\;\;\;\;\;\;\;\;e\left( {rp{q_1}, s{H_1}\left( {{\rm{I}}{{\rm{D}}_{\rm{S}}}} \right)} \right)e\left( {\left( {t + {q_2}} \right)p, s{H_1}\left( {{\rm{I}}{{\rm{D}}_{\rm{S}}}} \right)} \right) = \\ \;\;\;\;\;\;\;\;\;\;e\left( {rp{q_1} + \left( {t + {q_2}} \right)p, s{H_1}\left( {{\rm{I}}{{\rm{D}}_{\rm{S}}}} \right)} \right) = \\ \;\;\;\;\;\;\;\;\;\;\;e\left( {rp{q_1} + tp + {q_2}p, s{H_1}\left( {{\rm{I}}{{\rm{D}}_{\rm{S}}}} \right)} \right) = \\ \;\;\;\;\;\;\;\;\;\;\;e\left( {{C_1} + {T_1} + {T_2}, {\rm{s}}{{\rm{k}}_{\rm{S}}}} \right) \end{array} $

(2)

由于C₂T₃=e(C₁+T₁+T₂, sk_S)等式成立, 符合关键字w′等于w以及对数据接收者身份的验证, 因此证明了本文提出方案的正确性。

4.2 安全性证明

本节证明dIBAEKS方案能满足在随机预言模型适应性选择消息攻击下的关键字密文不可区分性和陷门不可区分性, 进而证明该方案可抵御离线关键字猜测攻击^{[11, 16]}。

4.2.1 关键字密文不可区分性的具体证明

定理1  在计算双线性Diffie-Hellman是困难问题的情况下, 对于游戏1的攻击者, dIBAEKS方案在随机预言模型下满足适应性选择关键字密文攻击时的不可区分性安全。

证明  假设存在敌手A₁能够以不可忽略的概率优势对关键字密文进行区分, 此时挑战者F获得CBDH实例(P, aP, bP), 其中a, b∈$\mathbb{Z}_{q}^{*}$。挑战者F通过与敌手A₁按照游戏1的定义进行交互, 最后输出e(p, p)^ab。

1) 系统初始化。挑战者F通过运行Setup算法产生系统参数Params={G₁, G₂, e, q, p, P_pub, H₁, H₂}并发送给敌手A₁, 设P_pub=ap。

2) 询问1。敌手A₁向挑战者F进行以下询问:

(1) H₁询问。为应答敌手A₁针对邮件服务器S、数据发送者A、数据接收者B这3个实体的H₁询问, 挑战者F需建立3个列表L_H1^S、L_H1^A、L_H1^B, 且上述列表初始状态为空。

当敌手A₁对邮件服务器ID_Si进行H₁询问时, 挑战者F查询ID_Si是否在列表L_H1^S中, 若存在, 则返回H₁(ID_Si)=pk_Si; 若不存在, 则挑战者F随机产生coin∈{0, 1}, 且coin以概率Pr(coin=0)=δ分布产生。如果coin=0, 则挑战者F随机选择v_i∈$\mathbb{Z}_{q}^{*}$并计算pk_Si=v_ip; 否则pk_Si=bp。挑战者F在列表L_H1^S中保存四元组(ID_Si, pk_Si, v_i, coin)并将pk_Si返回给敌手A₁。

当敌手A₁对数据发送者身份信息ID_Ai进行H₁询问时, 挑战者F需查看ID_Ai是否存在于列表L_H1^A中, 如果存在, 则返回H₁(ID_Ai)=pk_Ai, 否则挑战者F随机选择x_i∈$\mathbb{Z}_{q}^{*}$并计算pk_Ai=x_ip。挑战者F在列表L_H1^A中保存三元组(ID_Ai, pk_Ai, x_i), 同时将pk_Ai返回给敌手A₁。与此类似, 挑战者F在列表L_H1^B中保存三元组(ID_Bi, pk_Bi, u_i), 并将pk_Bi返回给敌手A₁。

(2) H₂询问。为应答敌手A₁针对的H₂询问, 挑战者F需要建立列表L_H2, 且列表初始状态为空。当敌手A₁对(w_i, α_i)进行H₂询问时, 挑战者F查看(w_i, α_i)是否存在于列表L_H2中, 如果存在, 则返回H₂(w_i, α_i)=Y_i, 否则挑战者F随机选择Y_i∈$\mathbb{Z}_{q}^{*}$, 且Y_i=H₂(w_i, α_i)。挑战者F在列表L_H2中保存三元组(w_i, α_i, Y_i), 并将Y_i返回给敌手A₁。

(3) 密钥询问。敌手A₁向挑战者F进行3个实体的密钥询问。当敌手A₁对邮件服务器身份ID_Si进行询问时, 挑战者F查询列表L_H1^S中四元(ID_Si, pk_Si, v_i, coin), 如果coin=1, 则挑战者F输出⊥, 游戏1结束, 否则挑战者F返回邮件服务器S的私钥sk_Si=v_iP_pub。当敌手A₁对数据发送者身份ID_Ai进行询问时, 挑战者F查看列表L_H1^A中三元组(ID_Ai, pk_Ai, x_i), 并返回数据发送者A的私钥sk_Ai=x_iP_pub。与此类似, 挑战者F返回数据接收者B的私钥sk_Bi=u_iP_pub。

(4) 陷门询问。敌手A₁向挑战者F询问w_i的陷门。挑战者F随机选择t∈$\mathbb{Z}_{q}^{*}$, 计算T₁=tp并调用H₂询问得到三元组(w_i, α_i, Y_i), 进而计算出T₂=Y_ip, 同时调用公钥询问得到H₁(ID_S)的值pk_Si和T₃=e((t+Y_i)P_pub, pk_Si), 最后挑战者F将T₁、T₂、T₃发送给敌手A₁。

3) 挑战。当询问1结束后, 敌手A₁选择2个搜索关键字(w₀, w₁)和数据接收者身份信息ID_B^*发送给挑战者F, 挑战者F随机选择μ∈{0, 1}和r^*∈$\mathbb{Z}_{q}^{*}$, 并进行H₂询问得到Y^*=H₂(w_μ, α), 计算C₁^*=r^*Y^*p和C₂^*=e(r^*bp, Y^*ap), 最终将关键字密文C₁^*和C₂^*发送给敌手A₁。

4) 询问2。敌手A₁进行询问, 除了不能对ID_S^*、ID_B^*进行公钥询问以及对四元组(C_w^*, ID_S^*, ID_B^*, T_w′^*)测试询问以外(w′={w₀, w₁}), 其他同询问与询问1一致。

5) 猜测。敌手A₁输出猜测值μ′∈{0, 1}, 如果μ′=μ, 则挑战成功, 敌手A₁赢得游戏1的胜利。

4.2.2 陷门不可区分性的具体证明

定理2  在计算双线性Diffie-Hellman是困难问题的情况下, 对于游戏2的攻击者, dIBAEKS方案在随机预言模型下满足适应性选择消息攻击时的陷门不可区分性。

证明  假设存在敌手A₂能够以不可忽略的概率优势搜索陷门并进行区分, 这时挑战者F获得CDH实例(P, aP, bP), 其中a, b∈$\mathbb{Z}_{q}^{*}$。挑战者F通过与敌手A₂按照游戏2的定义进行交互, 最后输出e(p, p)^ab。

1) 系统初始化。挑战者F通过运行Setup算法产生系统参数Params={G₁, G₂, e, q, p, P_pub, H₁, H₂}并发送给敌手A₂, 设P_pub=ap。

2) 询问1。敌手A₂向挑战者F进行以下询问:

(1) H₁询问。为应答敌手A₂针对3个实体的H₁询问, 挑战者F需建立3个列表L_H1^S、L_H1^A、L_H1^B, 上述列表初始状态为空。当敌手A₂对邮件服务器ID_Si进行H₁询问时, 挑战者F需要查询ID_Si是否在列表L_H1^S中, 若存在, 则返回H₁(ID_Si)=pk_Si; 若不存在, 则挑战者F随机选择v_i∈$\mathbb{Z}_{q}^{*}$并计算pk_Si=v_ip。然后在列表L_H1^S中保存三元组(ID_Si, pk_Si, v_i), 并将pk_Si返回给敌手A₂。与此类似, 挑战者F在列表L_H1^A中保存三元组(ID_Ai, pk_Ai, x_i), 并将pk_Ai返回给敌手A₂, 在列表L_H1^B中保存三元组(ID_Bi, pk_Bi, u_i), 并将pk_Bi返回给敌手A₂。

(2) H₂询问。具体过程与定理1一致。

(3) 密钥询问。敌手A₂向挑战者F进行3个实体的密钥询问。当敌手A₂对邮件服务器身份ID_Si进行询问时, 挑战者F查看列表L_H1^S中三元组(ID_Si, pk_Si, v_i), 并返回邮件服务器S的私钥sk_Si=v_iP_pub。与此类似, 挑战者F查看列表L_H1^A和L_H1^B并返回数据发送者A的私钥sk_Ai=x_iP_pub和数据接收者B的私钥sk_Bi=u_iP_pub。

(4) 陷门询问。具体过程与定理1一致。

3) 挑战。当询问1结束后, 敌手A₂选择2个搜索关键字(w₀, w₁)和数据发送者身份信息ID_A^*发送给挑战者F, 挑战者F随机选择μ∈{0, 1}和t^*∈$\mathbb{Z}_{q}^{*}$, 计算T₁=t^*p并调用H₂询问得到Y^*=H₂(w_μ, α), 从而计算出T₂=Y^*p和T₃=e((t^*+Y^*)ap, bp)。

4) 询问2。敌手A₂进行询问, 除了不能对ID_S^*、ID_B^*进行密钥钥询问以及对四元组(C_w′^*, ID_S^*, ID_B^*, T_w′^*)测试询问以外(w′={w₀, w₁}), 其他与询问1一致。

5) 猜测。敌手A₂输出猜测值μ′∈{0, 1}, 如果μ′=μ, 则挑战成功, 敌手A₂赢得游戏2的胜利。

4.3 效率分析

本节通过理论对比和数值实验对dIBAEKS方案进行效率分析。

4.3.1 理论对比

将采用dIBAEKS方案与dIBEKS方案的关键字加密算法、陷门生成算法以及验证算法的计算效率进行对比, 并以点乘运算(P_M)、双线性运算(P_B)和哈希运算(P_H)的数量作为评估指标, 结果如表 1所示。可以看出:在关键字加密算法中, dIBAEKS方案比dIBEKS方案少1个点乘运算和2个哈希运算; 在陷门生成算法中, dIBAEKS方案比dIBEKS方案多1个双线性运算和1个哈希运算; 在验证算法中, dIBAEKS方案比dIBEKS方案少3个双线性运算和2个哈希运算。由上述可知, 在关键字加密算法和验证算法中, dIBAEKS方案的计算效率均优于dIBEKS方案, 因此从总体来看, dIBAEKS方案的计算效率更高。

4.3.2 数值实验分析

本文采用数值实验对dIBAEKS方案与dIBEKS方案在关键字加密和验证阶段的计算效率进行对比分析。实验环境如下:ASUS A455L型计算机, Inter^® Core^TMi5-4210U处理器, 4 GB内存, Win10操作系统, Linux虚拟机。使用C语言基于配对的密码学(Pairing-Based Cryptography, PBC)库^[20], 群G₁、G₂的长度为1 024 bit, 利用A型椭圆曲线y²=x³+xmod q进行计算, 且用户身份和关键字随机产生, 实验参数设置如表 2所示。

关键字数量决定dIBAEKS方案的执行时间。在数值实验中, 关键字数量分别取100、200、300、400、500、600、700、800、900和1 000, 取50次运算结果的平均值作为最终实验结果。图 2和图 3分别为2种方案在关键字加密和验证阶段的执行时间随关键字数量的变化情况。由图 2和图 3可以看出, 随着当关键字数量的增加, dIBAEKS方案与dIBEKS方案的执行时间均延长; 在关键字加密阶段, dIBAEKS方案的执行时间增幅略低于dIBEKS方案, 其计算效率略高; 在验证阶段, dIBAEKS方案和dIBEKS方案执行时间的增幅分别为0.9%和1.3%, dIBAEKS方案的计算效率明显高于dIBEKS方案。

5 结束语

本文提出一种指定服务器的身份认证邮件关键字加密方案, 通过在指定服务器上进行陷门搜索, 并由指定数据发送者发出关键字密文, 可避免离线关键字猜测攻击。理论分析和数值实验结果表明, 该方案具有较高的计算效率和安全性。下一步将在本文工作的基础上, 增加数据接收者对返回加密电子邮件的验证, 以更准确地分辨服务器返回结果的真实性。