CN106921674B - 抗后量子攻击的代理重加密语义可搜索加密方法 - Google Patents

Abstract

本发明涉及一种抗后量子攻击的代理重加密语义可搜索加密方法。该方法通过对用户输入的搜索关键词进行同义词扩展，能够找到语义上类似于原始输入关键词的相关关键词，扩展查询有助于匹配更多相关文档，可有效增强搜索的灵活性；通过代理重加密机制，能够支持搜索权限代理；数据拥有者使用单向代理重加密将其搜索权限委托给另一个用户：受托者可以检索委托者的加密数据，而委托者无法对受托者的数据进行检索；利用基于格的密码技术实现了抵抗后量子攻击的功能，提高了云存储的安全性。本方案有效解决了目前可搜索方案中查询效率低、搜索权限受限、无法抵抗量子攻击等问题。

Description

抗后量子攻击的代理重加密语义可搜索加密方法

技术领域

本发明涉及一种抗后量子攻击的代理重加密语义可搜索加密方法。

背景技术

云计算可以提供灵活的和按需访问的共享计算资源服务。越来越多的企业和个人考虑将他们的信息和数据外包给云服务器。然而，云的特性决定了用户对数据存储位置和处理过程一无所知，这种不可控制性引起了用户对敏感信息安全性的担忧。对个人信息隐私的担忧成为人们广泛使用云存储的主要障碍之一。

“先加密后外包”机制是在半可信云服务器中保护用户数据隐私的最佳方法之一。当数据和信息被加密成不可读的密文时，云服务器无法恢复相应的明文。然而，密文的不可读性也妨碍了用户数据的可用性。可搜索加密是解决这个问题的重要方法，它可以通过关键词搜索密文文件，并保护数据隐私。尽管越来越多的现有工作研究了可搜索加密，但它们中的大多数只支持精确关键词搜索。在实际应用场景中，用户输入预定义关键词的同义词来进行查询是很常见的。在传统的搜索加密方案中，如果发生同义词替换，将不会返回匹配的文档。在这种情况下，数据可用性将受到影响。对于数据的高效利用来说，支持语义模糊搜索是非常重要的。

搜索权限管理是多用户可搜索加密***的另一个重要问题。代理重加密(PRE)机制允许用户通过对密文进行重加密，将搜索权利委托给其他用户。第三方代理服务器负责密文转换，并在重加密密钥(由委托者的私钥和受托者的公钥计算得出)的帮助下完成转换。

大多数现有的可搜索加密方案和PRE方案都是基于双线性对构造的。然而Shor等人已经证明：在后量子时代，双线性对相关的困难假设是不安全的。因此，为云存储安全设计后量子安全的代理重加密可搜索方案是一项紧迫的任务。

公钥可搜索加密(PEKS)的概念首先于2004年由Boneh等人提出，它允许用户搜索进行关键词查询，而不向存储服务器泄露任何明文信息。后来Xu等人引入模糊关键词搜索的概念，然而他们的方案只支持个别字母拼写错误的模糊搜索，没有实现语义模糊关键词搜索。Liang和Sun利用基于属性加密方法实现对加密数据的访问控制，然而他们的方案只考虑到单一关键词搜索而不支持模糊关键词搜索。Chen等人尝试使用双服务器机制提高***安全性，然而其设计的方案存在严重的安全漏洞。Yang等人通过引入时间服务器来在可搜索加密***中实现受时间控制的用户撤销。

在量子计算机时代，基于格的困难度问题仍然是安全的。Gu、Hou、Zhang等人构建了基于格的可搜索加密方案。然而，Zhang的方案是不安全的，而其他两种方案只能支持精确关键词搜索。

针对目前的可搜索加密方案中，存在检索方式不灵活、搜索权限受限、无法抵抗量子攻击等问题，本发明提出了一种能够代理搜索权限，并且能够抵抗后量子攻击的语义可搜索加密方案。

发明内容

本发明的目的在于提供一种抗后量子攻击的代理重加密语义可搜索加密方法，该方法有效解决了目前可搜索方案中查询效率低、搜索权限受限、无法抵抗量子攻击等问题。

为实现上述目的，本发明的技术方案是：一种抗后量子攻击的代理重加密语义可搜索加密方法，包括四个实体：云服务器、代理服务器、委托者和受托者，所述方法具体实现如下，

S1、新用户注册：当新用户加入***时，可信第三方TTP将验证用户的身份；若身份为假，TTP将拒绝该请求；否则，TTP运行以下密钥生成算法为用户生成公钥和私钥对；

KeyGen(κ)→(pk,sk)：以安全参数κ作为输入，执行TrapGen算法生成随机矩阵和格的基T∈Z^m×m，格集T满足秘钥生成算法输出用户的公钥pk＝A，私钥sk＝T；

S2、重加密密钥生成：若委托者需将加密数据的搜索权授权给其他用户，则采用ReKeyGen算法生成重加密密钥，并将重加密密钥发送到代理服务器进行密文转换；

S3、生成关键词陷门：若用户要查找包含关键词KW或者其同义关键词的加密文件，用户需要使用其私钥生成关键词陷门，并发送给云服务器；

S4、生成加密数据：在文件外包到云服务器之前，数据所有者首先将从文件中提取关键词，使用Enc加密算法加密关键词KW；

S5、生成重加密数据：代理服务器负责把委托者用户i的密文转换成受托者用户j的密文；

S6、检索匹配文件：在接收用户关键词陷门后，云服务器将搜索加密文件找到包含搜索关键词或其同义词的文件。

在本发明一实施例中，所述步骤S2采用ReKeyGen算法生成重加密密钥的具体过程如下：

以用户i的公私钥对(pk_i＝A_i,sk_i＝T_i)和用户j的公钥pk_j＝A_j作为输入；

S21、用户j的公钥pk_j＝A_j＝(a_j，1,...a_j,m)^T，其中1≤k≤m；

S22、对于每个1≤k≤m，执行算法SamplePre(A_i,T_i,a_2,k,σ₁)生成向量r_k；生成的向量r_k满足A_ir_k＝a_2,k(modq)，并且则R满足A_iR＝A_j(modq)，并且

S23、输出重加密密钥rk_i→j＝R。

在本发明一实施例中，所述步骤S3采用Trapdoor算法实现，具体实现过程如下：

以用户i的公私钥对(pk_i＝A_i,sk_i＝T_i)和关键词KW作为输入；

S31、通过使用WordNet对关键词KW进行扩展得到同义词集合Γ_KW；

S32、计算U＝H(Γ_KW),并令U＝(u₁,...u_m)^T；

S33、对于于每个1≤k≤m，执行算法SamplePre(A_i,T_i,u_k,σ₂)生成向量e_k，因此向量e_k满足A_ie_k＝u_k(modq)，并且

S34、算法返回关键词KW的陷门T_KW,i＝(e₁,...,e_m)。

在本发明一实施例中，所述步骤S4具体实现过程如下：

以用户i的公钥pk_j和关键词KW∈{0,1}^*作为输入；

S41、使用WordNet构造关键词KW的同义词集Γ_KW，并且Γ_KW中的关键词按字典顺序排列；

S42、计算U＝H(Γ_KW)，随机选取x₁∈χ^m,y∈χ^m；

S43、计算

S44、输出密文CT_i＝(C₁,C₂)。

在本发明一实施例中，所述步骤S5采用ReEnc转换算法实现，具体实现过程如下：

以重加密密钥rk_i→j和用户的密文CT_i作为输入；

S51、随机选取x₂∈χ^m，计算C₁'＝R^TC₁+x₂,C₂'＝C₂；

S52、输出受托者用户j的密文CT_j＝(C₁',C₂')。

在本发明一实施例中，所述步骤S6采用Test算法实现，具体实现过程如下：

以pk,CT,T_KW作为输入；

S61、令C₂＝(c₂，₁,...,c_2,m)，其中c_2,k∈Z_q，1≤k≤m；

S62、计算

S63、对于所有1≤k≤m，若η_k|＜q/4，输出1，否则输出0。

相较于现有技术，本发明具有以下有益效果：

(1)语义关键词搜索：通过关键词的同义词扩展，本方案可以找到一些语义上类似于原始输入关键词的相关关键词，扩展查询有助于查找更多相关结果，因此增强了搜索***的灵活性；

(2)单向代理重加密：本***能够支持搜索权限代理，数据拥有者能够使用单向代理重加密将他的搜索权限委托给另一个用户；单向代理保证受托者的加密文件不能被授权者搜索；

(3)后量子安全结构：本方案是第一个提供后量子安全，并同时实现授权代理和可搜索加密的方案，它将极大地提高云存储的安全性；

(4)标准模型的安全性：本方案在标准模型中被证明是安全的；众所周知，标准模型的安全性是强于随机预言机模型的。

附图说明

图1为本发明方法采用的***框架架构。

图2为本发明方法中采用的陷门生成过程流程图。

图3为本发明方法中采用的数据加密过程流程图。

具体实施方式

下面结合附图，对本发明的技术方案进行具体说明。

如图1-3所示，本发明的一种抗后量子攻击的代理重加密语义可搜索加密方法，包括四个实体：云服务器、代理服务器、委托者和受托者，所述方法具体实现如下，

S1、新用户注册：当新用户加入***时，可信第三方TTP将验证用户的身份；若身份为假，TTP将拒绝该请求；否则，TTP运行以下密钥生成算法为用户生成公钥和私钥对；

KeyGen(κ)→(pk,sk)：以安全参数κ作为输入，执行TrapGen算法生成随机矩阵和格的基T∈Z^m×m，格集T满足秘钥生成算法输出用户的公钥pk＝A，私钥sk＝T；

S2、重加密密钥生成：若委托者需将加密数据的搜索权授权给其他用户，则采用ReKeyGen算法生成重加密密钥，并将重加密密钥发送到代理服务器进行密文转换；

ReKeyGen(sk_i，pk_i，pk_j)→(rk_i→j)：以用户i的公私钥对(pk_i＝A_i,sk_i＝T_i)和用户j的公钥pk_j＝A_j作为输入；

S21、用户j的公钥pk_j＝A_j＝(a_j，1,...a_j,m)^T，其中1≤k≤m；

S22、对于每个1≤k≤m，执行算法SamplePre(A_i,T_i,a_2,k,σ₁)生成向量r_k；生成的向量r_k满足A_ir_k＝a_2,k(modq)，并且令R＝(r₁,...r_m)，则R满足A_iR＝A_j(modq)，并且

S23、输出重加密密钥rk_i→j＝R。

S3、生成关键词陷门：若用户要查找包含关键词KW或者其同义关键词的加密文件，用户需要使用其私钥生成关键词陷门，并发送给云服务器；

Trapdoor(pki,ski,KW)→TKW,i：以用户i的公私钥对(pk_i＝A_i,sk_i＝T_i)和关键词KW作为输入；

S31、通过使用WordNet对关键词KW进行扩展得到同义词集合Γ_KW；

S32、计算U＝H(Γ_KW),并令U＝(u₁,...u_m)^T；

S33、对于于每个1≤k≤m，执行算法SamplePre(A_i,T_i,u_k,σ₂)生成向量e_k，因此向量e_k满足A_ie_k＝u_k(modq)，并且

S34、算法返回关键词KW的陷门T_KW,i＝(e₁,...,e_m)。

S4、生成加密数据：在文件外包到云服务器之前，数据所有者首先将从文件中提取关键词，使用Enc加密算法加密关键词KW；

Enc(pk_i,KW)→CT_i：以用户i的公钥pk_j和关键词KW∈{0,1}^*作为输入；

S41、使用WordNet构造关键词KW的同义词集Γ_KW，并且Γ_KW中的关键词按字典顺序排列；

S42、计算U＝H(Γ_KW)，随机选取x₁∈χ^m,y∈χ^m；

S43、计算

S44、输出密文CT_i＝(C₁,C₂)。

S5、生成重加密数据：代理服务器负责把委托者用户i的密文转换成受托者用户j的密文；

ReEnc(rk_i→j,CT_i)→CT_j：以重加密密钥rk_i→j和用户的密文CT_i作为输入；

S51、随机选取x₂∈χ^m，计算C₁'＝R^TC₁+x₂,C₂'＝C₂；

S52、输出受托者用户j的密文CT_j＝(C₁',C₂')。

S6、检索匹配文件：在接收用户关键词陷门后，云服务器将搜索加密文件找到包含搜索关键词或其同义词的文件；

Test(pk,CT,T_KW)→1/0：以pk,CT,T_KW作为输入；

S61、令C₂＝(c_2，1,...,c_2,m)，其中c_2,k∈Z_q，1≤k≤m；

S62、计算

S63、对于所有1≤k≤m，若η_k|＜q/4，输出1，否则输出0。

以下为本发明的具体实现过程。

本发明的一种抗后量子攻击的代理重加密语义可搜索加密方法，包括四个实体：云服务器、代理服务器、委托者和受托者，实现如下：

(1)新用户注册。当新用户加入***时，可信第三方(TTP)将验证用户的身份。如果身份是假的，TTP将拒绝该请求。否则，TTP运行以下密钥生成算法为用户生成公钥和私钥对。

KeyGen(κ)→(pk,sk)：以安全参数κ作为输入，执行TrapGen算法生成随机矩阵和格的基T∈Z^m×m，格集T满足秘钥生成算法输出用户的公钥pk＝A，私钥sk＝T。

(2)重加密密钥生成。如果委托者希望将加密数据的搜索权授权给其他用户，他需要使用下列算法生成重加密密钥，并将重加密密钥被发送到代理服务器进行密文转换。

ReKeyGen(sk_i,pk_i,pk_j)→(rk_i→j)：以用户i的公私钥对(pk_i＝A_i,sk_i＝T_i)和用户j的公钥pk_j＝A_j作为输入，算法生成重加密密钥rk_i→j。1.用户j的公钥pk_j＝A_j＝(a_j，1,...a_j,m)^T，其中1≤k≤m。2.对于每个1≤k≤m，执行算法SamplePre(A_i,T_i,a_2,k,σ₁)生成向量r_k。生成的向量r_k满足A_ir_k＝a_2,k(modq)，并且令R＝(r₁,...r_m)，则R满足A_iR＝A_j(modq)，并且3.算法输出重加密密钥rk_i→j＝R。

(3)生成关键词陷门。如果数据用户要查找包含关键词KW或者其同义关键词的加密文件，用户需要使用其私钥生成关键词陷门，并发送给云服务器。

Trapdoor(pk_i,sk_i,KW)→T_KW,i：算法以用户i的公私钥对(pk_i＝A_i,sk_i＝T_i)和关键词KW作为输入。1.通过使用WordNet对关键词KW进行扩展得到同义词集合Γ_KW。2.计算U＝H(Γ_KW),并令U＝(u₁,...u_m)^T。3.对于于每个1≤k≤m，执行算法SamplePre(A_i,T_i,u_k,σ₂)生成向量e_k，因此向量e_k满足A_ie_k＝u_k(modq)，并且4.算法返回关键词KW的陷门T_KW,i＝(e₁,...,e_m)。

(4)生成加密数据。在文件外包到云服务器之前，数据所有者首先将从文件中提取关键词，使用以下加密算法加密关键词KW。

Enc(pk_i,KW)→CT_i：加密算法以用户i的公钥pk_j和关键词KW∈{0,1}*作为输入。1.使用WordNet构造关键词KW的同义词集Γ_KW，并且Γ_KW中的关键词按字典顺序排列。2.计算U＝H(Γ_KW)，随机选取x₁∈χ^m,y∈χ^m。3.计算4.输出密文CT_i＝(C₁,C₂)。

(5)生成重加密数据。代理服务器负责把用户i(委托者)的密文转换成用户j(受托者)的密文。转换算法如下所示。

ReEnc(rk_i→j,CT_i)→CT_j：算法以重加密密钥rk_i→j和用户的密文CT_i作为输入，输出用户j的密文CT_j。1.随机选取x₂∈χ^m，计算C₁'＝R^TC₁+x₂,C₂'＝C₂。2.输出密文CT_j＝(C₁',C₂')。

(6)检索匹配文件：在接收用户关键词陷门后，云服务器将搜索加密文件找到包含搜索关键词或其同义词的文件。

Test(pk,CT,T_KW)→1/0：算法以pk,CT,T_KW作为输入。1.令C₂＝(c_2，1,...,c_2,m)，其中c_2,k∈Z_q，1≤k≤m。2.计算3.对于所有1≤k≤m，如果η_k|＜q/4，Test算法输出1，否则输出0。

上述方法中，涉及的WordNet、格及其相关内容的解释如下：

1、WordNet：

为了实现语义关键词搜索功能，利用WordNet构建语义关键词集。WordNet是由普林斯顿大学创建的大型英语词汇数据库，将名词、动词、形容词和副词划分为认知同义词集合，每个表达一个独特的概念。利用WordNet对一个关键词KW进行扩展得到其同义词集{KW,s₁,...s_n}，里面的元素s₁,...s_n是关键词KW的同义词。对同义词集进行重新排列可以得到其字典序记作Υ_KW。

2、格及其相关内容：

A＝[a₁,...,a_n]由n个线性无关向量组成，n维格由格基A生成，记作Λ＝{Ac＝∑_{i∈{1,...,n}}c_ia_i,c_i∈z}。给定矩阵和向量其中q为素数。两种满秩模格定义为和||A||代表A的最长列范数。表示A的Gram-Schmidt正交化矩阵。

定义Rⁿ上以c为中心的n维高斯函数为：ρ_σ,c(x)＝exp(-π||x-c||²/σ²)和ρ_σ,c(Λ)＝∑_xρ_σ,c(x)。以c为中心的离散高斯分布表示为：D_Λ,σ(x)＝ρ_σ,c(x)/ρ_σ,c(Λ)。

定理1：假设n,q,m(q≥3,m＝「6nlogq])是正整数。存在一个多项式时间算法TrapGen可以生成一对(A,T)，满足A在中服从均匀分布，T是格的基，并且||T||≤O(nlogq)，

Gentry等人提出了一种从离散高斯分布D_Λ,σ中进行抽样的SamplePre算法。

SamplePre(A,T,u,σ)：以矩阵格的短陷门基T，和高斯参数为输入，SamplePre算法输出并且e服从分布。

定义1(判定性LWE(差错学习)问题)：假设n,q,m为正整数，向量χ服从上的高斯分布。通过(a,a^Ts+x)计算分布A_s,χ。判定性LWE_q,χ问题是区分分布A_s,χ和上的随机样本。

本发明的用途在于：由于公有云服务器是不完全可信的实体，因此为了保障数据安全和个人隐私，用户会将部分敏感数据，例如私密邮件、个人电子医疗记录、公司财务报表等，加密后再存储到云服务器。当需要使用这些数据时，用户可以使用本发明对云端数据进行密文关键词检索。当授权用户希望搜索到查询关键词语义相关的文档，或者由于各种原因无法输入准确的关键词时，也可以匹配到语义相关的文档。数据拥有者能够使用单向代理重加密将其搜索权限委托给另一个用户，同时***能够抵抗量子攻击，保证了数据存储的安全性。

以上是本发明的较佳实施例，凡依本发明技术方案所作的改变，所产生的功能作用未超出本发明技术方案的范围时，均属于本发明的保护范围。

Claims (4)

1.一种抗后量子攻击的代理重加密语义可搜索加密方法，其特征在于：包括四个实体：云服务器、代理服务器、委托者和受托者，所述方法具体实现如下，

S1、新用户注册：当新用户加入***时，可信第三方TTP将验证用户的身份；若身份为假，TTP将拒绝新用户加入***；否则，TTP运行以下密钥生成算法为用户生成公钥和私钥对；

KeyGen(κ)→(pk,sk)：以安全参数κ作为输入，执行TrapGen算法生成随机矩阵和格的基T∈Z^m×m，格集T满足秘钥生成算法输出用户的公钥pk＝A，私钥sk＝T；

S2、重加密密钥生成：若委托者需将加密数据的搜索权授权给其他用户，则采用ReKeyGen算法生成重加密密钥，并将重加密密钥发送到代理服务器进行密文转换；

S3、生成关键词陷门：若用户要查找包含关键词KW或者其同义关键词的加密文件，用户需要使用其私钥生成关键词陷门，并发送给云服务器；

S4、生成加密数据：在文件外包到云服务器之前，数据所有者首先将从文件中提取关键词，使用Enc加密算法加密关键词KW；所述Enc加密算法具体实现如下：

以用户i的公钥pk_i和关键词KW∈{0,1}^*作为输入；

S41、使用WordNet构造关键词KW的同义词集Γ_KW，并且Γ_KW中的关键词按字典顺序排列；

S42、计算U＝H(Γ_KW)，随机选取x₁∈χ^m,y∈χ^m；

S43、计算

S44、输出密文CT_i＝(C₁,C₂)；

S5、生成重加密数据：代理服务器负责把委托者用户i的密文转换成受托者用户j的密文；

S6、检索匹配文件：在接收用户关键词陷门后，云服务器将搜索加密文件找到包含搜索关键词或其同义词的文件；

所述步骤S2采用ReKeyGen算法生成重加密密钥的具体过程如下：

以用户i的公私钥对(pk_i＝A_i,sk_i＝T_i)和用户j的公钥pk_j＝A_j作为输入；

S21、用户j的公钥pk_j＝A_j＝(a_j，1,...a_j,m)^T，其中1≤k≤m；

S22、对于每个1≤k≤m，执行算法SamplePre(A_i,T_i,a_2,k,σ₁)生成向量r_k；生成的向量r_k满足A_ir_k＝a_2,k(modq)，并且令R＝(r₁,...r_m)，则R满足A_iR＝A_j(modq)，并且

S23、输出重加密密钥rk_i→j＝R。

2.根据权利要求1所述的抗后量子攻击的代理重加密语义可搜索加密方法，其特征在于：所述步骤S3采用Trapdoor算法实现，具体实现过程如下：

以用户i的公私钥对(pk_i＝A_i,sk_i＝T_i)和关键词KW作为输入；

S31、通过使用WordNet对关键词KW进行扩展得到同义词集合Γ_KW；

S32、计算U＝H(Γ_KW),并令U＝(u₁,...u_m)^T；

S33、对于每个1≤k≤m，执行算法SamplePre(A_i,T_i,u_k,σ₂)生成向量e_k，因此向量e_k满足A_ie_k＝u_k(modq)，并且

S34、算法返回关键词KW的陷门T_KW,i＝(e₁,...,e_m)。

3.根据权利要求1所述的抗后量子攻击的代理重加密语义可搜索加密方法，其特征在于：所述步骤S5采用ReEnc转换算法实现，具体实现过程如下：

以重加密密钥rk_i→j和用户的密文CT_i作为输入；

S51、随机选取x₂∈χ^m，计算C₁'＝R^TC₁+x₂,C₂'＝C₂；

S52、输出受托者用户j的密文CT_j＝(C₁',C₂')。

4.根据权利要求2所述的抗后量子攻击的代理重加密语义可搜索加密方法，其特征在于：所述步骤S6采用Test算法实现，具体实现过程如下：

以CT,T_KW作为输入；

S61、令C₂＝(c_2，1,...,c_2,m)，其中c_2,k∈Z_q，1≤k≤m；

S62、计算

S63、对于所有1≤k≤m，若η_k＜q/4，输出1，否则输出0。