在信息时代,由于本地数据规模的快速增长,越来越多的用户选择将数据上传到云端,以此减轻本地存储负担。云存储技术作为满足这一需求的核心手段,近几年来得到业界的广泛关注。然而,在大数据潮流下,云存储的大量应用也带来了另一个核心问题
[1 ] :如果企业或者用户直接将明文数据存储在云端,那么恶意服务器极有可能试图获取并破坏用户存储在云端的数据,侵犯用户的隐私。因此,基于安全性考虑,大部分用户和企业在将数据上传到云服务器前,通常使用密码学手段对明文数据进行加密,随后再将密文上传到云服务器进行存储,以此来保护数据的隐私性。可搜索加密技术
[2 ] 的出现,实现了用户对云端密文数据的关键字检索功能。其基本原理
[3 ] 是用户为指定的关键字生成搜索陷门并发送给服务器,服务器将搜索陷门和密文索引进行匹配,根据匹配结果返回相应密文数据。针对不同的应用场景,可搜索加密技术在密码体制上可以分为可搜索对称加密技术
[4 ] 和公钥可搜索加密技术
[5 ] 。其中,文献[
6 ]于2012年首次正式提出了动态可搜索对称加密。
基于安全云存储技术,企业、组织和个人往往将大量重要敏感数据加密存储在云服务器中,加密数据的复制与分享成为云端数据使用全流程中的重要环节。这里列举两个典型场景:1)网盘文件分享。目前市面上百度网盘、腾讯微云等应用主要通过访问控制方式保护文件安全。此类应用提供了基于电子邮箱、分享链接等方式的文件转存功能,但上述转存工作通常在明文状态下进行,多数应用不支持对加密文件的分享和转存。对于隐形云和坚果云等数据加密存储的网盘类应用,由于未提供文件分享功能,用户想分享文件给其他用户,操作繁琐。2)商业数据备份。为了避免重要数据丢失、删除、损坏,企业通常会利用夜间或周末等用户数据低谷,使用数据复制技术对存储在服务器端的大规模重要数据进行备份。此举能够为企业提供有效的灾难恢复策略。此类云存储应用场景的关键是解决可搜索加密下的密文分享问题,从而实现安全、高效、准确的云端密文数据复制与分享。
针对此类问题,现有研究主要分为两类:1)基于密钥的分享。数据拥有者通过向数据使用者分享密钥,数据使用者可以在数据拥有者的加密数据库中进行关键字检索,即获得“查看”密文的能力。2013年,文献[
7 ]提出了一种多密钥可搜索加密方案(Multi Key Searchable Encryption, MKSE),数据拥有者为每个文件使用单独的文件密钥进行加密,并通过转换密钥实现文件密钥与用户查询密钥的转换,向用户分享关键字搜索能力。由于MKSE需要使用预置密钥的方式为每个文件预先生成对应的转换密钥,因此存在冗余的密钥管理问题。之后的许多工作在MKSE方案的基础上进行了新的讨论,例如文献[
8 ]提出了安全且可扩展的多方可搜索加密方案,文献[
9 ]利用同态技术构造了通用的多密钥可搜索加密模型。2018年,文献[
10 ]提出了一种针对MKSE的改进方案,在这个方案中,数据拥有者利用文件密钥加密数据,用户使用查询密钥生成关键字搜索陷门。与之前的MKSE相比,此方案在分享协议中额外增加了分享文件本身作为输入,以此可以提高分享的粒度。文献[
11 ]提出了新的解决方案,使用混淆布隆过滤器对原方案进行了增强,使其满足结果的可验证性。文献[
12 ]对MKSE方案中用户的分享和授权能力做了更严格的限定,实现了更高的分享安全等级。2)基于票据的分享。除了向数据使用者分享对密文索引的可搜索能力之外,数据拥有者还可以对可搜索密文索引进行分享和复制,数据使用者获得的是“使用”密文的能力。2023年,文献[
13 ]提出了支持密文分享的关键字可搜索加密(Keyword Search Shareable Encryption, KS
2 E)。该工作首次提出了分享票据的概念,使用双向索引链表的方式构造可搜索密文索引结构,通过链式结构实现快速高效的密文分享和关键字检索。
针对以上问题,设计了一种支持密文索引分享的可搜索加密系统,基于双线性映射方法构造密文索引,采用基于票据的分享方式实现细粒度的文件分享,使被分享者保有使用自己的私钥对分享文件进行长期关键字检索的能力,之后基于双线性(Decisional Bilinear Diffie-Hellman, DBDH)数学难题规约证明了系统的安全性,最后对系统的计算复杂度和通信复杂度进行了分析。
1 基础知识及系统模型
设G 和GT 是两个阶为素数p 的乘法循环群,g e ^
1)双线性:对于任意的g , h ∈ G a , b ∈ Z e ^ e ^ g a , h b = e ^ g , h a b
2)非退化性:存在g , h ∈ G e ^ g , h ≠ 1 G T 1 G T GT 的生成元;
3)可计算性:对于任意的g , h ∈ G e ^ g , h ∈ G T
则称运算e ^ : G × G → G T
对于任意的概率多项式算法B ,敌手都只有可以忽略不计的优势去解决DBDH假设,即区分g , g x , g y , g z , e ^ g , g x y z g , g x , g y , g z , e ^ g , g t ( x , y , z , t )
A B D B D H = P [ B ( g , g x , g y , g z , e ^ ( g , g ) x y z ) = 1 ] - P [ B ( g , g x , g y , g z , e ^ ( g , g ) t ) = 1 ] ≤ ε (1)
式中,ε
1.3 系统模型
密文分享可搜索加密系统模型按照功能划分,包含3类角色,分别是数据拥有者(Owner)、数据使用者(User)和服务器(Server),如
图1 所示。
3类角色各自完成以下工作:
1)数据拥有者:负责更新密文索引和生成分享票据。在更新时,数据拥有者负责对明文关键字和文件标识加密,并将加密后的密文索引上传到云端的密文数据库中;在分享文件时,数据拥有者根据文件标识生成分享票据,并传递给数据使用者。
2)服务器:负责存储和维护各个用户的密文数据库、进行密文索引的匹配和检索关键字。在分享文件时,服务器根据票据进行匹配,找到待分享文件对应的密文索引,并将密文索引从数据拥有者的密文数据库复制到数据使用者的密文数据库中;在检索关键字时,服务器根据用户提供的关键字检索陷门对密文索引进行匹配,返回关键字检索结果。
3)数据使用者:负责处理分享票据和关键字检索。在分享文件时,数据使用者从数据拥有者处获取分享票据,在进行一定处理后,将票据传递给服务器进行文件分享;在关键字检索时,数据使用者根据待搜索的关键字信息生成检索陷门,发送给服务器。此外,数据使用者也能更新自身的密文数据库和分享自己拥有的文件,扮演数据拥有者的角色。
2 方案设计
借鉴KS
2 E方案中基于票据的分享方法,使用分享票据,使被分享者保有使用私钥对分享文件进行长期关键字检索的能力。为确保系统无法使用之前的票据匹配到新的索引,设置了计数器用以生成用户的状态变量参数。同时,区别于KS
2 E双向索引链表的可搜索密文索引结构,利用双线性映射的计算性质,用来判断关键字检索陷门是否与密文索引匹配。该密文索引分享可搜索加密系统由以下5个核心协议构成:系统初始化、密文索引更新、分享票据生成、密文索引分享和关键字检索。如
图2 所示。
2.1 初始化协议Initiate
该协议由数据拥有者(Owner)、数据使用者(User)和服务器(Server)协作完成。数据拥有者、数据使用者分别单独执行Initiate协议,初始化主密钥和内部状态变量,并将密文数据库发送给服务器。
以数据拥有者端为例,初始化协议I ( λ )
输入1个安全参数λ B ← p , G , G T , e ^ , g , g T H 1 : W × { 0 , 1 } λ → G H 2 : I I D × { 0 , 1 } λ → G F : { 0 , 1 } λ × { 0 , 1 } * → { 0 , 1 } λ K ← $ { 0 , 1 } λ c ← 0 T W , T I D ← ∅ E O ← ∅
2.2 密文索引更新协议Update
该协议由数据拥有者和服务器共同参与完成。数据拥有者根据关键字—文件标识对( w , i ) C w , i E O
数据拥有者端执行密文索引更新协议U K , w , i , c , E O
数据拥有者根据主密钥K 和计数器变量计算加密密钥k c ← F ( K , c ) k c w 和文件标识i 计算生成子密文c _ t 1 ← H 1 ( w , k c ) c _ t 2 ← H 2 ( i , k c ) c _ t 3 ← e ^ H 1 w , k c , H 2 ( i , k c ) k c T w [ i ] ← T w [ i ] ⋃ c T w [ w ] ← T w [ w ] ⋃ c c ← c + 1 C w , i ← ( c _ t 1 , c _ t 2 , c _ t 3 ) E O ← E O ⋃ C w , i
数据使用者和服务器使用相似的方法,完成对数据使用者密文数据库的更新,即E U ← E U ⋃ C w , i
根据双线性映射的运算性质,密文索引C w , i
e ^ ( c _ t 1 , H 2 ( i , k c ) k c ) = e ^ ( H 1 ( w , k c ) k c , c _ t 2 ) = c _ t 3 (2)
利用这种对应关系,可以完成文件分享票据和关键字检索票据的匹配。
2.3 分享票据生成协议Token
该协议由数据拥有者执行。数据拥有者根据待分享文件的文件标识,结合自己的主密钥和本地存储的内部状态,生成文件分享票据,并通过安全信道传递给数据使用者。
数据拥有者端执行分享票据生成协议T ( K , c , i )
数据拥有者首先初始化空集合T i i T w [ i ] T w [ i ] i (i 实际对应了数据拥有者在不同状态下的计数器变量c k c ← F K , i T ← H 2 i , k c k c , H 2 i , k c , k c T T i T i ← T i ⋃ T T i
2.4 密文索引匹配协议Match
该协议由数据使用者和服务器共同参与执行。数据使用者解封装收到的票据集,使用自己的主密钥生成文件匹配票据发送给服务器。服务器根据文件匹配票据,在数据拥有者的密文数据库中找到待分享文件对应的密文索引,重加密后更新到数据使用者的密文数据库中。
数据使用者和服务器间执行密文索引匹配协议M T i , c ' , K ' ; E O , E U
数据使用者初始化空的集合M i T i T ← ( p 1 , p 2 , p 3 ) T ,数据使用者使用自己的主密钥K ' c ' k c ' ← F K ' , c ' ( c ' , p 3 ) T u I D T u I D ← T u I D ⋃ ( c ' , p 3 ) ( p 1 , p 2 k c ' ) M i M i ← M i ⋃ ( p 1 , p 2 k c ' ) c ' ← c ' + 1 M i
服务器对匹配票据集M i M ( d 1 , d 2 ) M E O C w , i ← c _ t 1 , c _ t 2 , c _ t 3 c _ t 3 = e ^ c _ t 1 , d 1 c _ t 3 ' = e ^ c _ t 1 , d 2 c _ t 1 c _ t 2 C w , i ' ← c _ t 1 ' , c _ t 2 ' , c _ t 3 ' C w , i ' E U E U ← E U ⋃ C w , i '
2.5 关键字检索协议Search
数据拥有者和数据使用者均可通过执行该协议进行关键字检索。以数据使用者为例,对于待检索关键字,数据使用者可恢复所有之前使用过的加密密钥,并生成检索陷门集。服务器读取数据使用者密文数据库中的密文索引,利用检索陷门对密文索引进行检索匹配,并将匹配结果返回给数据使用者。
以数据使用者为例,关键字检索协议S ( K ' , c ' , w ; E U )
数据使用者初始化空的集合S w T I D T u I D T I D [ w ] t (t 实际对应了数据使用者在不同状态下的计数器变量c ' K ' k c ' ← F K ' , t t 状态下计算得到的加密密钥记作k c - t ' H 1 w , k c - t k c - t ' S w S w ← S w ⋃ H 1 w , k c - t k c - t ' T u I D ( s , k c - s ) s 同样对应数据使用者在不同状态下的计数器变量c ' K ' k c ' ← F ( K ' , s ) s 状态下计算得到的加密密钥记作k c - s ' H 1 w , k c - s k c - s ' S w S w ← S w ⋃ H 1 w , k c - s k c - s ' S w
服务器首先初始化空的集合R 用于存放检索结果,之后服务器解封装检索陷门集S w s w E U C w , i ' C w , i ' s w e ^ s w , c _ t 2 ' = c _ t 3 ' C w , i ' R R
3 正确性、安全性及性能分析
3.1 正确性分析
方案的正确性可以评价为文件分享正确性和关键字检索正确性。
1)文件分享正确性。服务器能够使用匹配票据正确地匹配到待分享文件所对应的可搜索密文索引。在文件分享过程中,服务器对匹配票据集M i d 1 , d 2 E O C w , i ← c _ t 1 , c _ t 2 , c _ t 3 e ^ c _ t 1 , d 1 e ^ ( c _ t 1 , d 1 )
e ^ ( c _ t 1 , d 1 ) = e ^ ( H 1 ( w , k c ) , H 2 ( i , k c ) k c ) = e ^ ( H 1 ( w , k c ) , H 2 ( i , k c ) ) k c = c _ t 3 (3)
当密文索引C w , i c _ t 1 c _ t 3 d 1 C w , i i
2)关键字检索正确性。服务器可以使用检索陷门正确进行关键字检索。以数据使用者检索为例,在检索过程中,服务器对检索陷门集解封装,得到检索陷门s w ← H 1 w , k c k c ' E U C w , i ' ← c _ t 1 ' , c _ t 2 ' , c _ t 3 ' e ^ s w , c _ t 2 ' e ^ s w , c _ t 2 '
e ^ s w , c _ t 2 ' = e ^ H 1 ( w , k c ) k c ' , H 2 ( i , k c ) = e ^ H 1 ( w , k c ) , H 2 ( i , k c ) k c ' = e ^ H 1 ( w , k c ) , H 2 ( i , k c ) k c ' = e ^ c _ t 1 , d 2 = c _ t 3 ' (4)
当密文索引C w , i ' c _ t 2 ' c _ t 3 ' s w w , i w ,从而保证了关键字检索的正确性。
3.2 安全性证明
将密文索引C w , i GT 中完全随机选择的字符串。那么敌手A 能够准确区分真实密文和随机密文的优势,相当于敌手可以通过构造模拟算法B 来解决公认的决策性双线性迪菲—赫尔曼假设难题。将敌手A 区分真实密文和随机密文的优势表示为A B W i n ( λ ) A 通过执行模拟算法B 破解DBDH难题的优势表示为A B D B D H ( λ ) O T O S O C H 1 H 2 O H 1 O H 2
给出模拟算法B 的描述。算法B 以一个DBDH假设的实例G , G T , e ^ , g , g x , g y , g z , t , Z x , y , z , t Z 的取值从Z = e ^ g , g x y z Z = e ^ g , g t c ← { 0 , 1 } d ← { 0 , 1 } B 会根据抛硬币的结果决定随机预言机O H 1 O H 2 P c = 0 = δ P d = 0 = θ
敌手A 将参加如下游戏:敌手A 首先会查询随机预言机O T B 会返回对应于所查询关键字w 的模拟的关键字检索陷门;之后敌手A 查询随机预言机O S i A 还会对随机预言机O C B 会返回对应于所查询w , i A 随机选择未查询过的挑战关键字w * i * B 会随机选择参数Z 并计算挑战密文索引C b * ← ( c _ t 1 * , c _ t 2 * , c _ t 3 * ) C b * A 。敌手A 根据接收的挑战密文索引C b * b ' ϵ { 0 , 1 } B 选用的参数值Z 的猜测。若b ' = b A 赢得游戏。
下面讨论敌手A 能够解决DBDH难题并赢得游戏的概率。记算法B 在上述游戏中不发生中止为事件r ¯ r ¯ P r ¯ A 解决DBDH难题并赢得游戏的优势可以表示为A B D B D H ( λ )
在算法B 执行过程中,存在两种情况会使算法B 执行中止,这里分别用事件r 1 r 2
对于第1种情形,当敌手A 在查询随机预言机O T O S O C c = 0 d = 0 B 执行中断,这里记事件r 1 r 1 ¯ r 1 ¯
P [ r 1 ¯ ] = 1 - δ q T + q C ⋅ ( 1 - θ ) q S + q C
式中,q T q S q C O T O S O C
对于第2种情形,当算法B 在计算挑战密文索引时,当随机硬币的取值满足c = 1 d = 1 B 执行中断,这里把不发生r 2 r 2 ¯ r 2 ¯
综合上述两种情形,记算法B 不发生执行中断为事件r ¯ r ¯
P [ r ¯ ] = δ 1 - δ q T + q C ⋅ θ ( 1 - θ ) q S + q C
当δ θ δ = 1 1 + q T + q C θ = 1 1 + q S + q C r ¯
P [ r ¯ ] ≈ 1 e 2 ( 1 + q T + q C ) ( 1 + q S + q C ) (5)
式中,e为自然常数。
因此,将敌手A 区分真实密文和随机密文的优势A B W i n ( λ ) A B D B D H ( λ )
A B D B D H ( λ ) = 1 e 2 1 + q T + q C 1 + q S + q C ⋅ A B W i n ( λ ) (6)
由于DBDH假设难题是公认在多项式时间内难以破解的,那么敌手A 能够破解DBDH难题的优势自然也是可以忽略不计的。因此,敌手A 区分真实密文和随机密文的优势A B W i n ( λ )
A B W i n ( λ ) = e 2 1 + q T + q C 1 + q S + q C ⋅ A B D B D H ( λ ) (7)
因此,敌手A 区分真实密文和随机密文的优势也是可以忽略不计的。
证明完毕。
3.3 性能分析
3.3.1 计算复杂度
本方案的计算开销主要集中于双线性映射运算和模幂运算。在初始化阶段,主要完成双线性映射系统基本参数、哈希函数及伪随机函数的初始化,计算复杂度为O (1);在密文索引更新阶段,对于每个关键字—文件标识对w , i k c ← F ( K , c ) c _ t 1 ← H 1 ( w , k c ) c _ t 2 ← H 2 ( i , k c ) c _ t 3 ← e ^ H 1 w , k c , H 2 i , k c k c n 个关键字—文件标识对w , i n 次模幂运算、n 次双线性运算、2n 次哈希运算和n 次伪随机函数运算;在分享票据生成阶段,对于每个待分享文件i ,数据拥有者分别使用伪随机函数生成分享密钥k c ← F K , i T ← H 2 i , k c k c , H 2 i , k c , k c T i m 个文件包含na 个关键字—文件标识对,则共计进行na 次模幂运算;在密文索引匹配阶段,对于数据使用者,其使用伪随机函数计算加密密钥k c ' ← F K ' , c ' p 1 , p 2 k c ' M i na 次模幂运算。对于服务器,其使用双线性映射计算c _ t 3 = e ^ ( c _ t 1 , d 1 ) c _ t 3 ' = e ^ ( c _ t 1 , d 2 ) n +1)×na 次双线性映射运算;在关键字检索阶段,数据使用者使用哈希函数和模幂运算生成检索陷门集S w e ^ s w , c _ t 2 ' E U C w , i ' w 的关键字—文件标识对w , i nb ,那么数据使用者共计执行nb 次模幂运算,服务器共计执行n ×nb 次双线性映射运算。
3.3.2 通信复杂度
对于分享和检索操作,需要数据拥有者与数据使用者之间进行票据传输,此过程通信量取决于分享文件或检索关键字对应关键字—文件标识对w , i n ,通信复杂度为O (n )。对于服务器与数据使用者之间的通信,服务器需要在收到检索票据后,返回对于每个检索关键字的检索结果,通信复杂度为O (n )。
4 结束语
针对聚焦云存储场景下云端加密数据在复制和分享过程中存在的困境,基于双线性映射、计数器和重加密技术,设计了一种支持密文索引分享的可搜索加密系统。该系统实现了文件标识粒度的文件分享和关键字粒度的密文索引检索,并基于DBDH假设难题证明了方案的安全性。在之后的方案改进中,可以考虑在密文索引结构设计上进行优化,对于双线性映射可能带来的巨大计算开销
[16 ] ,也可以考虑使用更轻量的运算方法生成密文。
京公网安备11010202008535号
PDF
(1114KB)
