0 概述

随着大数据和云计算的迅速发展, 越来越多的组织和个人倾向于将数据迁移到云服务器, 以便节省本地资源^[1-2]。然而数据拥有者一旦将敏感数据上传到云服务器, 将会失去对数据的完全控制, 从而导致未授权用户和云服务器提供商访问或恶意窃取用户的敏感数据。因此, 数据的安全性是云计算亟待解决的关键问题之一^[3-4]。为实现数据的机密性, 数据拥有者通常在数据外包之前对其进行加密, 但面临加密数据有效检索的问题^[5-6]。可搜索加密技术具有密文的关键字搜索等功能, 能保障加密数据的安全性和隐私性, 已成为近年来云计算安全领域的一个研究热点^[7]。

自可搜索加密思想^[8]被提出后, 一些具有特殊性质的可搜索加密方案相继出现^[9-10]。2004年, 文献[11]提出了公钥可搜索加密方案, 但需要在安全信道中传输关键字陷门。此后, 文献[12]提出了无安全信道的公钥可搜索加密方案, 但加密数据文件时需要访问用户和服务器的公钥。文献[13]提出了基于证书的可搜索加密方案, 但只满足选择明文安全性。文献[14]提出了另一个基于证书加密方案, 通过引入第三方经理减轻了云计算的负担。然而, 文献[13-14]提出的可搜索加密方案都面临复杂的证书管理开销问题。对此, 文献[15-16]分别提出了基于身份的可搜索加密方案, 但依然只满足选择明文攻击下的不可区分性, 并且需要一个可信的密钥生成中心(Key Generation Center, KGC)生成用户的私钥。文献[17-18]提出的基于无证书密码体制的密文检索方案, 有效解决了密钥托管问题, 但都只适用于单用户的密文数据检索, 在实际应用中具有一定的局限性。

针对有可搜索加密方案计算开销大和安全性现低^[19-20]的问题, 本文提出一种多用户密文检索方案。该方案采用无证书密码体制生成关键字陷门, 避免使用公钥证书, 支持多用户的密文检索, 并可通过访问用户授权列表实现访问用户的加入与撤销等功能。同时, 在关键字加密阶段, 数据拥有者无须指定访问用户的身份, 由此提高计算性能, 使方案适用于云存储环境。

1 预备知识 1.1 双线性映射

给定相同素数阶p的2个循环群G₁和G₂, 双线性映射e:G₁×G₁→G₂满足以下性质:

1) 双线性:对于∀u, v∈G₁, a, b∈${{\mathbb{Z}}_{p}}$, e(u^a, v^b)=e(u, v)^ab成立。

2) 非退化性:e(g, g)≠1, 其中, g是G₁的一个生成元。

3) 可计算性:对于∀u, v∈G₁, e(u, v)是有效可计算的。

1.2 困难问题假设

给定一个四元组(g, g^a, g^b, g^c), 其中, a, b, c∈$\mathbb{Z}_{p}^{*}$, g∈G₁, 双线性Diffie-Hellman(Bilinear Diffie-Hellman, BDH)问题是计算e(g, g)^abc∈G₂。

定义1 (BDH假设)  如果没有一个多项式时间算法能以不可忽略的概率解决BDH问题, 则称BDH问题是困难的。

给定一个五元组(g, g^α, g^β, g^1/α, R), 其中, α, β∈$\mathbb{Z}_{p}^{*}$, g, R∈G₁, 修改的判定性Diffie-Hellman(modified Decisional Diffie-Hellman, mDDH)问题是区分R是g^α/β还是G₁中的一个随机元素。

定义2 (mDDH假设)  如果没有一个多项式时间算法能以不可忽略的概率解决mDDH问题, 则称mDDH问题是困难的。

1.3 可搜索加密方案

一个公钥可搜索加密方案由以下9个多项式时间算法组成:

1) Setup(1^λ):输入安全参数λ, KGC生成主密钥msk和系统公共参数param。

2) PatialKeyGen(param, msk, id):输入param、msk以及某个实体的身份id, KGC生成相应的部分私钥psk。

3) KeyGen(param, psk):输入param以及psk, 该算法输出对应的公钥pk以及完整私钥sk。

4) Enc(param, pk, W, F):输入param、服务器公钥pk、关键字集W和数据文件F, 输出数据文件密文CT以及密文索引C_F。

5) Auth(param, pk_idi, k):输入param、访问用户公钥pk_idi以及文档密钥k, 输出授权用户授权列表L_F。

6) Trapdoor(param, pk_ids, sk_idi, w′):输入param、服务器公钥pk_ids、数据拥有者私钥sk_idi以及查询关键字w′, 输出搜索陷门T_w′。

7) Search(param, sk_ids, T_w′, I):输入param、服务器私钥sk_ids、T_w′以及C_i, 输出相关数据文件密文。

8) Add(param, k, L_F, pk_idi):输入k、授权列表L_F以及待授权访问用户公钥pk_idi, 将新用户添加到授权列表中, 输出更新成功。

9) Revoke(L_F, U_i):输入授权列表L_F以及待撤销授权用户U_i, 将用户从授权列表中删除, 输出撤销成功。

一个公钥可搜索加密方案的安全模型^[7]主要从密文索引不可区分性和陷门不可区分性两方面进行安全性定义, 但在定义陷门不可区分性时, 关键字攻击只考虑外部敌手而不考虑服务器猜测攻击。

2 本文方案 2.1 系统模型

本文方案的系统模型如图 1所示, 其中包括KGC、数据拥有者(Data Owner, DO)、n个访问用户{U₁, U₂, …, U_n}以及云服务提供商(Cloud Server Provider, CSP)。其中:KGC主要负责生成系统参数和每个实体的部分私钥; DO主要负责生成数据文件密文、关键字密文索引和访问用户的授权列表; 访问用户U_i生成关键字陷门, 并解密CSP返回的数据文件密文; CSP主要负责存储数据文件密文、关键字索引和访问用户的授权列表, 并响应访问用户的搜索请求。

2.2 方案描述

本文方案中各算法的描述如下:

1) Setup算法。KGC选择2个阶为素数p的乘法循环群G₁和G₂, 1个群G₁的生成元g, 1个双线性映射e:G₁×G₁→G₂, 3个防碰撞哈希函数H:{0, 1}^*→G₁, H₁:{0, 1}^*→G₁和H₂:G₂→{0, 1}^log_ap; 随机选取x∈$\mathbb{Z}_{p}^{*}$, 保存主密钥msk=x, 并发布系统公共参数param=(g, G₁, G₂, e, p, H, H₁, H₂, g^x)。

2) PatialKeyGen算法。KGC为收到的每个访问用户身份id_i计算生成部分私钥psk_idi=H(id_i)^x, 并将部分私钥psk_idi通过安全信道发送给访问用户; 类似地, 身份为id_s的CSP获得部分私钥psk_ids=H(id_s)^x。

3) KeyGen算法。每个访问用户U_i随机选取s_i∈$\mathbb{Z}_{p}^{*}$, 计算公钥pk_idi=g^s_i, 并设置自己的完整私钥sk_idi=(s_i, psk_idi)=(s_i, H(id_i)^x); 类似地, CSP随机选取t∈$\mathbb{Z}_{p}^{*}$, 设置自己的完整私钥sk_ids=(t, psk_ids)=(t, H(id_s)^x)和公钥pk_ids=g^t。

4) Enc算法。DO首先从数据文件F中提取关键字w_i∈ψ(1≤i≤m), 此处ψ是所有关键字集合, 然后随机选取文档密钥k∈$\mathbb{Z}_{p}^{*}$和一个随机元素r_i∈$\mathbb{Z}_{p}^{*}$, 计算关键词w_i的加密密文C_i=(C_i1, C_i2, C_i3)=(B_i, D_i, r_i), 其中, B_i=H₂(e(H₁(w_i)^k·r_i, pk_ids)), D_i=g^x·k, 并利用对称加密算法(如AES算法等)加密数据文件F得到相应的数据文件密文CT, 最后将关键字密文索引C_F=(C₁, C₂, …, C_m)和CT发送至CSP。

5) Auth算法。DO初始化数据文件F的访问用户授权列表L_F=Ø。对于每个访问用户, 首先利用其公钥pk_idi和文档密钥k计算授权信息Δ_F→Ui=(pk_idi)^k=g^s_ik, 然后在L_F中添加(pk_idi, Δ_F→Ui), 最后将更新后的访问用户授权列表L_F发送至CSP。

6) Trapdoor算法。访问用户U_i首先选取搜索关键字w′∈ψ, 然后随机选取r′∈$\mathbb{Z}_{p}^{*}$, 计算T₁=(pk_ids)^r′=g^tr′, T₂=(H₁(w′)·H(id_i)^x)^1/s_i·g^r′和T₃=H(id_s)^s_i, 最后将搜索陷门T_w′=(T₁, T₂, T₃)发送给CSP。

7) Search算法。当收到访问用户Ui的搜索请求后, CSP首先计算σ1=e(T2t/T1, ΔF→Ui)e(H(ids)x, gsi), σ2=e(T3, gx)·e(H(idi), Ci2t)和σ3=σ1/σ2, 然后利用每个关键字wi(1≤i≤m)的密文Ci=(Ci1, Ci2, Ci3)来验证等式H2(σCi33)=Ci1是否成立, 若该等式成立, 则说明关键字匹配成功, 并将匹配成功的所有文档返回给Ui; 否则将匹配失败的信息发送给Ui。

8) Add算法。当收到访问用户U_j对数据文件F的授权请求后, DO利用其公钥pk_idj和文档密钥k计算Δ_F→Ui=(pk_idi)^k=g^s_ik, 将(pk_idj, Δ_F→uj)提交给CSP, 并请求更新文档F的授权列表, 同时将授权成功的信息发送给访问用户U_j。

9) Revoke算法。若DO想撤销访问用户U_i对数据文件F的访问授权, 则将U_i的公钥pk_idi发送给CSP。收到DO的撤销请求后, CSP在L_F中查找对应条目(pk_idi, Δ_F→Ui), 并将其从L_F中删除。

对本文方案进行正确性分析:

CSP收到正确的关键字密文C_i=(C_i1, C_i2, C_i3)=(H₂(e(H₁(w_i)^k·r_i, pk_ids)), g^x·k, r_i)和搜索陷门T_w′=(T₁, T₂, T₃)=(g^tr′, (H₁(w′)·H(id_i)^x)^1/s_i·g^r′, H(id_s)^s_i)后, 计算:

$ \begin{aligned} \sigma_{1}=& e\left(T_{2}^{t} / T_{1}, \Delta_{F \rightarrow u_{i}}\right) e\left(H\left(i d_{s}\right)^{x}, g^{s_{i}}\right)=\\ & e\left(H_{1}\left(w^{\prime}\right), g\right)^{t k} e\left(H\left(i d_{i}\right), g\right)^{t x k} e\left(H\left(i d_{s}\right), g\right)^{s_{i} x} \\ \sigma_{2}=& e\left(T_{3}, g^{x}\right) \cdot e\left(H\left(i d_{i}\right), C_{i 2}^{t}\right)=\\ & e\left(H\left(i d_{s}\right), g\right)^{s_{i} x} \cdot e\left(H\left(i d_{i}\right), g\right)^{t x k} \\ \sigma_{3}=& \sigma_{1} / \sigma_{2}=e\left(H_{1}\left(w^{\prime}\right), g\right)^{t k} \end{aligned} $

由于H2(σCi33)=H2(e(H1(w′), g)t·k·ri)=H2(e(H1(w′)k·ri, pkids))=Ci1, 因此当关键字w′=wi时, H2(σCi33)=Ci1成立, 即CSP能成功匹配到访问用户请求的数据文件。

3 安全性证明

定理1 在BDH假设下, 本文方案在随机预言机模型下满足密文索引不可区分性。

证明:假设多项式时间攻击者$\mathcal{A}$在进行了最多q_H2次H₂询问和q_T次陷门询问后(q_H2和q_T均为正整数), 能以不可忽略的概率ε攻破本文方案的密文索引不可区分性, 则存在一个算法$\mathcal{C}$能以不可忽略的概率ε′解决BDH问题。给定(g, u₁=g^α, u₂=g^β, u₃=g^γ), $\mathcal{C}$为了计算e(g, g)^αβγ, 与$\mathcal{A}$进行如下交互游戏:

1) 密钥生成。$\mathcal{C}$选择2个阶为素数p的乘法循环群G₁和G₂, 1个群G₁的生成元g, 1个双线性映射e:G₁×G₁→G₂, 3个防碰撞哈希函数:H:{0, 1}^*→G₁, H₁:{0, 1}^*→G₁和H₂:G₂→{0, 1}^log_ap; 随机选取x, k, s_i∈$\mathbb{Z}_{p}^{*}$, 设置主密钥msk=x, 数据文件F的密钥k, 计算访问用户U_i的公钥pk_idi=u₁^s_i和授权信息Δ_F→Ui=u₁^s_ik, CSP的公钥pk_ids=u₂, 并将Δ_F→Ui, pk_ids和{pk_idi}_i=1ⁿ发送给$\mathcal{A}$。特别地, 此处暗含U_i的私钥sk_idi=(s_iα, H(id_i)^x)和CSP的私钥sk_ids=(β, H(id_s)^x)。

2) 哈希询问。$\mathcal{A}$访问随机预言机H₁和H₂, 获取相应的哈希值。

3) H₁询问。$\mathcal{C}$建立一个元素形式为(w_i, h_i, a_i, c_i)的H₁-list列表, 初始为空。当$\mathcal{A}$发起关于关键字w_i∈{0, 1}^*的H₁询问时, $\mathcal{C}$进行如下的应答:若H₁-list中已有w_i的对应项(w_i, h_i, a_i, c_i), $\mathcal{C}$返回H₁(w_i)=h_i; 否则, 随机选择a_i∈$\mathbb{Z}_{p}^{*}$, c_i∈{0, 1}, 并设Pr[c_i=0]=1/(q_T+1)。若c_i=0, 计算h_i=u₃·g^a_i; 若c_i=1, 计算h_i=u₁^a_i, 将h_i返回给$\mathcal{A}$, 并在表中存储(w_i, h_i, a_i, c_i)。

4) H₂询问。$\mathcal{C}$建立一个元素形式为(t, V)的H₂-list列表, 初始为空。当A发起关于关键字索引t的H₂询问时, $\mathcal{C}$进行如下应答:

若H₂-list中已有t的对应项(t, V), $\mathcal{C}$返回对应V; 否则, $\mathcal{C}$为每一个未被询问过的t选择一个随机数V∈{0, 1}^log_ap, 令H₂(t)=V, 将V返回给$\mathcal{A}$, 并在表中存储(t, V)。

5) 陷门询问1。当收到$\mathcal{A}$选择的查询关键字w_i后, $\mathcal{C}$按以下方式生成相应的搜索陷门:

对w_i进行H₁询问, 以获取对应项(w_i, h_i, a_i, c_i)。判断c_i取值, 若c_i=0, 游戏终止并返回失败信息; 否则返回h_i, 随机选取r′_i∈$\mathbb{Z}_{p}^{*}$, 计算陷门T₁=u₂^r′_i, T₂=(h_i·H(id_i)^x)^1/s_iα·g^r′_i=H(id_i)^x/s_iαg^a_i/s_ig^r′_i和T₃=H(id_s)^s_iα, 并将T_w′=(T₁, T₂, T₃)发送至$\mathcal{A}$。

6) 挑战。当收到$\mathcal{A}$选择的挑战关键字W₀和W₁后, $\mathcal{C}$按以下方式生成相应的关键字挑战密文:对W₀和W₁进行H₁询问, 以获取对应项(W₀, h₀, a₀, c₀)和(W₁, h₁, a₁, c₁)。判断c_i取值, 若c₀=1且c₁=1, 游戏终止并返回失败信息; 若c₀=0且c₁=0, 随机选取b∈{0, 1}, 令c_b=0;否则c₀和c₁至少有一个为0。随机选取r_b∈$\mathbb{Z}_{p}^{*}$, 定义kr_b=α, 从H₂-list中随机选取元组(t_b, V_b), 将V_b作为挑战密文发送给$\mathcal{A}$。特别地, 此处暗含t_b=e(H₁(w_b)^kr_b, pk_s)=e(H₁(u₃g^a_b)^α, u₂)=e(g, g)^αβ(γ+a_b)。

7) 陷门询问2。$\mathcal{A}$继续询问w_j的搜索陷门, 其过程与陷门询问1基本相同, 只要求w_j满足w_j≠W₀且w_j≠W₁。

8) 输出。$\mathcal{A}$输出对b的猜测b′∈{0, 1}, 若b′=b, 则$\mathcal{A}$攻击成功。

$\mathcal{A}$能成功猜测关键字密文的前提是向$\mathcal{C}$询问过H₂-list列表中的H₂(e(H₁(W₀)^α, u₂))或H₂(e(H₁(W₁)^α, u₂))。因此, H₂-list中存在一个元组左侧t=e(H₁(w_b)^kr_b, u₂)=e(g, g)^αβ(γ+a_b)的概率为1/2, 如果$\mathcal{C}$恰好在H₂-list中选取对应项(t_b, V_b), 那么t_b/e(u₁, u₂)^a_b就是期望输出结果。

下面分析$\mathcal{C}$成功解决BDH假设的概率ε′。首先分析模拟过程中游戏未终止的概率, 然后计算游戏未终止且$\mathcal{C}$能正确应答的概率, 最后可得概率ε′。由上述过程可知, 游戏在陷门询问阶段和挑战阶段都有终止情况, 此处分别用ε₁和ε₂表示C在陷门询问阶段和挑战阶段游戏未终止事件, 用ε₃表示$\mathcal{A}$未询问过H₂(e(H₁(W₀)^α, u₂))和H₂(e(H₁(W₁)^α, u₂))这一事件。

在陷门询问阶段, $\mathcal{A}$没有重复询问关键字, 当c_i=0时游戏终止。由H₁询问阶段可知c_i=0的概率为1/(q_T+1), $\mathcal{A}$最多可以进行q_T次陷门询问, 则陷门询问阶段游戏未终止的概率为Pr[ε₁]≥(1－(1/(q_T+1)))^q_T≥1/e。在挑战阶段, $\mathcal{A}$选择挑战关键字W₀和W₁, 当c₀=1且c₁=1时游戏终止。根据H₁询问阶段可知Pr[c_i=0]=1/(q_T+1)(i=0, 1), c₀和c₁相互独立, 因此, $\mathcal{C}$在挑战阶段游戏终止概率为Pr[c₀=c₁=1]=(1－1/(q_T+1))²≤1－1/q_T, 则挑战阶段游戏未终止的概率为Pr[ε₂]≥1/q_T。由于ε₁和ε₂相互独立, 因此ε₁和ε₂同时发生的概率为Pr[ε₁∧ε₂]=Pr[ε₁]·Pr[ε₂]=(1/e)·(1/q_T)=1/eq_T, 即$\mathcal{C}$在模拟过程中游戏未终止的概率为1/eq_T。由$\varepsilon \leqslant\left|\operatorname{Pr}\left(b^{\prime}=b\right)-\frac{1}{2}\right|$和Pr[b=b′]=$\operatorname{Pr}\left[b=b^{\prime} \mid \varepsilon_{3}\right] \operatorname{Pr}\left[\mid \varepsilon_{3}\right]+\operatorname{Pr}\left[b=b^{\prime} \mid \neg \varepsilon_{3}\right] \operatorname{Pr}\left[\neg \varepsilon_{3}\right] \leqslant$ $\frac{1}{2} \operatorname{Pr}\left[\varepsilon_{3}\right]+\operatorname{Pr}\left[\neg \varepsilon_{3}\right] \leqslant \frac{1}{2} \operatorname{Pr}\left[\varepsilon_{3}\right]+\operatorname{Pr}\left[\neg \varepsilon_{3}\right]=\frac{1}{2}+$ $\frac{1}{2} \operatorname{Pr}\left[\neg \varepsilon_{3}\right]$可以得到P$\operatorname{Pr}\left[\neg \varepsilon_{3}\right] \geqslant 2 \varepsilon$, 即$\mathcal{A}$询问过H₂(e(H₁(W₀)^α, u₂))或H₂(e(H₁(W₁)^α, u₂))的概率至少为2ε。

假设$\mathcal{C}$在模拟过程中没有终止, 当$\mathcal{A}$询问过H₂(e(H₁(W₀)^α, u₂))或H₂(e(H₁(W₁)^α, u₂))时, $\mathcal{C}$可以完美模拟真实的攻击游戏。由$\operatorname{Pr}\left[\neg \varepsilon_{3}\right] \geqslant 2 \varepsilon$可知$\mathcal{A}$询问过H₂(e(H₁(w_b)^α, u₂))的概率至少为ε, 即在H₂-list中存在一个元组左侧t_b=e(H₁(w_b)^α, u₂)的概率至少为ε。$\mathcal{A}$最多可以进行q_H2次H₂询问, $\mathcal{C}$恰好从H₂-list中选出对应项的概率至少为1/q_H2。因此, 模拟过程中游戏未终止且$\mathcal{C}$能正确应答的概率至少为ε/q_H2。

通过上述分析可知, 因为游戏不终止概率为1/eq_T, 所以$\mathcal{C}$成功输出e(g, g)^αβγ概率至少为ε′=(1/eq_T)·(ε/q_H2)=ε/eq_Tq_H2, 此处eq_Tq_H2是安全参数下的多项式。由BDH假设可知ε′是一个可忽略函数, 因此, 敌手$\mathcal{A}$攻破本文方案的优势ε也是一个可忽略的函数, 即没有敌手能在多项式时间内以不可忽略的优势攻破本文方案。

定理2 在mDDH假设下, 本文方案在随机预言机模型下对外部敌手满足陷门不可区分性。

证明:假设多项式时间攻击者$\mathcal{A}$在进行了最多q_T次(q_T为正整数)陷门询问后, 能以不可忽略的概率ε攻破本文方案的陷门不可区分性, 则存在一个算法$\mathcal{C}$能以不可忽略的概率ε′解决mDDH问题。给定(g, g^α, g^β, g^1/α, R), $\mathcal{C}$为了区分R是g^α/β还是G₁中的一个随机元素, 与$\mathcal{A}$进行如下交互游戏:

1) 密钥生成。$\mathcal{C}$选择2个阶为素数p的乘法循环群G₁和G₂, 1个群G₁的生成元g, 1个双线性映射e:G₁×G₁→G₂, 3个防碰撞哈希函数:H:{0, 1}^*→G₁, H₁:{0, 1}^*→G₁和H₂:G₂→{0, 1}^log_ap。随机选取x, s_i, s′∈$\mathbb{Z}_{p}^{*}$, 设置主密钥msk=x, 计算合法访问用户公钥pk_idi=u₁^s_i, 服务器公钥pk_ids=u₂^s′, 并将(pk_idi, pk_ids)发送给$\mathcal{A}$。特别地, 此处暗含合法访问用户私钥sk_idi=αs和服务器私钥sk_ids=βs′。

2) 哈希询问。此过程与定理1的H₁询问基本相同, 只要求若c_i=0, 计算h_i=u₁^a_i∈G₁; 若c_i=1, 计算h_i=g^a_i∈G₁。

3) 陷门询问1。其过程与定理1的陷门询问1相同。

4) 挑战。此过程与定理1的挑战阶段基本相同, 只要求r_b=α/β, 计算T₁^*=g^{βs′·α/β}=g^αs′=u₁^s′, T₂^*=(h_i·H(id_i)^x)^1/sα·g^r′_i=H(id_i)^x/sα·g^a_b/s·g^α/β, T₃^*=H(id_u)^x/sα·H(id_s)^1/sα, 定义T₂^*=H(id_u)^x/sα·g^a_b/s·R, 将挑战陷门T_wb=(T₁^*, T₂^*, T₃^*)发送给$\mathcal{A}$。

5) 陷门询问2。此过程与定理1的陷门询问2相同。

6) 输出。$\mathcal{A}$输出对b的猜测b′∈{0, 1}, 若b′=b, 则A攻击成功。

分析$\mathcal{C}$能解决mDDH问题的概率ε′。首先计算游戏未终止概率, 在陷门询问阶段和挑战阶段都有终止情况。通过上述分析可知, 游戏终止条件与定理1相同, 终止概率也应相同, 即$\mathcal{C}$在游戏过程中未终止概率为1/eq_T。然后计算$\mathcal{C}$在游戏过程中未终止, $\mathcal{A}$成功攻破本文方案的概率ε′=ε/eq_T。最后, 由mDDH假设是公认困难问题可得ε′是一个可忽略函数, 那么$\mathcal{A}$攻破方案的概率ε=ε′eq_T也应该是一个可忽略函数, 即没有敌手能在多项式时间内以不可忽略的优势攻破方案。

4 性能分析

将本文方案与文献[7, 18]提出可搜索加密方案进行计算开销的比较, 如表 1所示。为便于表述, 用E₁表示G₁上的一次指数运算, h₁和h₂分别表示哈希函数H₁和H₂的一次运算, P表示一次双线性配对运算。可以看出:在密钥生成阶段, 本文方案较文献[18]方案减少了5次指数运算, 但较文献[7]增加了2次指数运算; 在关键字加密阶段, 本文方案较文献[18]减少了6次指数运算, 但增加了1次H₂运算以及1次配对运算; 在陷门生成阶段, 本文方案较文献[18]减少了3次指数运算, 但较文献[7]增加了1次指数运算; 在搜索验证阶段, 本文方案较文献[18]减少了1次指数运算, 增加了1次H₂运算, 较文献[7]减少了1次指数运算, 增加了3次配对运算。由于文献[7]方案面临证书的管理开销问题, 而文献[18]方案仅支持单用户的密文检索, 因此本文方案具有较高的计算效率和安全性能。

利用PBC库对3种方案进行仿真实验, 如图 2和图 3所示。硬件环境为:3.1 GHz英特尔酷睿i5-2400处理器, 4 GB内存, 512 GB硬盘空间。软件环境为:64位Windows 10操作系统, 密码库PBC-0.4.7 -VC。

图 2所示为单个关键字情况下3种方案密钥生成、关键字加密、关键字陷门生成以及搜索阶段的计算开销。同时, 从数据集中分别选取10个、20个、50个、100个关键字对3种方案的关键字加密算法、陷门生成算法以及搜索算法进行计算开销分析, 如图 3所示。其中, 图 3(a)反映了关键字加密时间随关键字数量的变化, 图 3(b)反映了陷门生成时间随关键字数量的变化, 图 3(c)反映了搜索时间随关键字个数的变化。由图 2和图 3可知, 本文方案在密钥生成、关键字加密、关键字陷门生成以及搜索阶段具有一定的计算优越性。

5 结束语

本文基于无证书密码体制提出一种新的公钥可搜索加密方案, 其安全性依赖于BDH假设和mDDH假设, 并且在关键字加密阶段无需指定用户访问权限, 支持多用户密文检索, 可通过授权列表实现了用户的加入与撤销等功能。分析结果表明, 与文献[7, 18]提出的可搜索加密方案相比, 该方案具有较高的计算性能, 适用于多用户的云端密文检索环境。本文方案在随机预言模型下是可证明安全的, 下一步将在本文标准模型下设计基于无证书的多用户密文检索方案。