CN107491497B - 支持任意语言查询的多用户多关键词排序可搜索加密*** - Google Patents

Abstract

本发明涉及一种支持任意语言查询的多用户多关键词排序可搜索加密***，密钥生成中心

，为***中的每个实体生成密钥；云平台

，以加密形式存储用户的文档，响应用户的数据检索请求；计算服务提供商

，提供在线计算的在线计算服务器；数据拥有者，对关键词和文档加密，并将其发送到所述云平台

进行存储；用户，生成关键词陷门向所述云平台

发起数据检索请求。本发明所提出的一种支持任意语言查询的多用户多关键词排序可搜索加密***，存储开销小，支持任意语言，灵活的授权机制和基于时间的用户撤销机制，同时搜索多个数据拥有者的数据，灵活的关键词权重和偏好分数设置，保护用户隐私。

Description

支持任意语言查询的多用户多关键词排序可搜索加密***

技术领域

本发明涉及一种支持任意语言查询的多用户多关键词排序可搜索加密***。

背景技术

云计算提供了丰富的计算和存储资源，吸引越来越多的个人和企业将数据外包存储到云服务器中。数据加密算法可以将数据转换成不可读的密文，但是如何搜索和共享加密数据是一个具有挑战性的问题。可搜索加密(SE)是对加密数据进行关键词搜索的一种有效方法，在医疗、智能电网、物联网等领域有广泛的用途。为了通过SE来实现对加密文档的搜索，数据拥有者需要首先从文档中提取出一组关键词，并将其加密为加密索引。然后，数据拥有者将加密索引和加密文档上传到云服务器进行存储。在数据查询阶段，用户生成关键词陷门，并将陷门提交给云服务器。云服务器使用匹配算法来测试陷门和加密索引之间的关联关系，之后把含有关键词的加密文档返回给用户。

很多现有的SE***只支持单一关键词搜索或联结关键词查询，不能根据相关度分数对搜索到的文档进行排序。为了改善搜索体验，有人提出了多关键词排序可搜索加密机制(MRSE)，使得云服务器返回前k篇具有最高相关度分数的文档，而不是所有文档给用户。然而大多数现有的MRSE***都是基于特殊的k-最近邻(KNN)算法设计的,这类***架构简称为KNN-SE。现有的基于KNN-SE架构的MRSE***有许多缺点，具有较大局限性。在保证方案效率和安全性的前提下，需要设计新的MRSE***来克服这些缺陷。

2000年，Song等人首次提出安全可搜索加密的概念。Boneh等人提出了公钥加密和关键词搜索方案。Curtmola和Cash等人利用可搜索对称加密方案来实现高可扩展性的***。2011年，Cao等人提出了支持单用户的MRSE方案，它基于KNN-SE架构。KNN-SE是一种对称加密***，它利用“内积相似度”来量化相似度并对结果进行排序。KNN-SE的安全密钥由两个k×k的矩阵M₁、M₂和向量S∈{0,1}^k组成(k是***建立时预定义的关键词数量)。对于每篇文档，提取的关键词被映射到向量I∈{0,1}^k，向量中的每一位都表示预定义的关键词是否存在于文档中。接着根据指示向量S，向量I***成两个向量I'和I”。I'、I”分别与

相乘来生成加密索引。生成陷门与生成加密索引的过程是类似的，不同之处在于***的查询向量I'和I”分别与

相乘。在查询阶段，利用内积来计算相关度分数。

大多数的MRSE***都是基于KNN-SE架构设计的。Yu等人提出了两轮可搜索加密***来实现排序多关键词搜索。他们使用KNN-SE架构和保序加密技术来保证***的安全性。Fu等人提出了支持同义词查询的多关键词排序搜索***，它也基于KNN-SE架构.***支持同义词查询并且在数据检索过程中允许同义词替换。我们在提取关键词时利用了TF-IDF(词频-逆文档频率)作为关键词权重。数据拥有者必须构造索引树来加速搜索算法，这消耗了很多存储空间。后来，他们提出了可验证的基于关键词的语义搜索***，支持搜索结果的可验证性；设计了一个基于符号的索引树来存储“路径”信息，可以使用该索引树来验证搜索结果。

Sun等人还提出了一种可验证的可搜索加密***来支持多关键词搜索和相似度排序。他们利用基于树的索引结构，多维算法和KNN-SE架构来提高搜索效率。Li等人将KNN-SE架构和盲存储方法相结合来设计MRSE***。然后，他们利用超递增序列来设计支持布尔查询的新型MRSE***，例如“AND”、“OR”和“NO”操作。他们还利用分类子字典方法来提高效率。Xia等人设计了基于树的索引结构和“贪心深度优先搜索”算法来提高搜索效率。他们还使用KNN-SE算法加密索引和查询。Chen等人设计了层次聚类方法来实现更多的搜索方式。分层方法是基于最小相关度阈值设计的，它能够聚合加密的文档，并将生成的分组划分为子集，从而实现更快的搜索速度。Fu等人使用局部敏感哈希函数、布隆过滤器和KNN-SE架构来实现多关键词模糊可搜索加密***。虽然大量的MRSE***是基于KNN-SE架构设计的，但是事实上该架构有几个明显的缺点。首先，在***建立阶段，KNN-SE需要预定义一组关键词集合，如果在***运行过程中需要定义新的关键词，整个***都需要重新构建。其次，KNN-SE架构是一种对称密钥加密***，因此，数据拥有者必须向用户透露其私钥从而授予查询权限。第三，为了支持任意语言的关键词检索，需要预定义的关键词数量和矩阵M₁、M₂的维度都将是天文数字，所以基于KNN-SE架构的MRSE***不能支持任意语言的关键词搜索。第四，计算出的文档相关度分数是明文，云服务器可以得到用户数据的统计信息，例如高度相关的文档和高频率的返回文档。这些信息会泄露用户的隐私。

发明内容

本发明的目的在于提供一种支持任意语言查询的多用户多关键词排序可搜索加密***，以克服现有技术中存在的缺陷。

为实现上述目的，本发明的技术方案是：一种支持任意语言查询的多用户多关键词排序可搜索加密***，包括：

密钥生成中心KGC，为***中的每个实体生成密钥；

云平台CP，以加密形式存储用户的文档，响应用户的数据检索请求；

计算服务提供商CSP，提供在线计算的在线计算服务器；

数据拥有者，对关键词和文档加密，并将其发送到所述云平台CP进行存储；

用户，生成关键词陷门向所述云平台CP发起数据检索请求。

在本发明一实施例中，所述密钥生成中心KGC通过具有门限解密功能的Paillier密码***的KeyGen算法，密钥生成中心KGC生成***公共参数PP＝(g,N)、主私钥MSK＝λ和用户A_i的公钥/私钥对

与

密钥生成中心KGC把私钥

发送给用户拥有者中的用户A_i，并公开公钥

密钥生成中心KGC计算主公钥MPK＝g^λ；密钥生成中心KGC存储主私钥MSK，并公开***公共参数PP；密钥生成中心KGC执行具有门限解密功能的Paillier密码***的主密钥***算法，生成部分密钥SK₁＝λ₁和SK₂＝λ₂，并分别秘密发送给所述云平台CP和所述计算服务提供商CSP。

在本发明一实施例中，一用户B将信息(B,AT₁)发送给所述数据拥有者A₁，申请在授权时间AT₁期间内，对数据拥有者A₁的数据进行搜索的授权；如果允许授权，所述数据拥有者A₁为用户B生成授权证书：

其中，

私钥sk_Σ被秘密发送给用户B；

被发送给所述密钥生成中心KGC、所述云平台CP、所述计算服务提供商CSP和用户B；当授权时间AT₁过期时，授权将自动失效；Sig/Verify是密码上安全的签名/验证算法，记哈希函数H₁:{0,1}*→Z_N和H₂:Z_N→K，K为对称密钥空间；

如果数据拥有者A₁在授权时间AT₁内撤销用户B的特权，则生成撤销证书：

其中，RT是撤销时间；撤销证书

被发送给所述密钥生成中心KGC、所述云平台CP、所述计算服务提供商CSP和用户B。

在本发明一实施例中，一用户B同时对多个数据拥有者(A₁,...,A_m)的文档进行查询，则从该多个数据拥有者(A₁,...,A_m)处得到授权证书

用户B向所述密钥生成中心KGC申请查询权限，在确认证书的有效性后，所述密钥生成中心KGC计算授权期限AT_Σ＝AT₁∩...AT_m，生成授权证书CER_Σ,B：

<cer＝(A₁,...,A_m,B,AT_Σ,pk_Σ),Sig(cer,MSK)>，

其中，

sk_Σ＝H₁(A₁,...,A_m,B,AT_Σ,MSK)；sk_Σ被发送给用户B，pk_Σ对所述云平台CP、所述计算服务提供商CSP和用户B公开；Sig/Verify是密码上安全的签名/验证算法，记哈希函数H₁:{0,1}*→Z_N和H₂:Z_N→K，K为对称密钥空间；

如果要在授权有效期AT_Σ内撤销

所述密钥生成中心KGC生成撤销证书：

RVK_Σ,B：<rvk＝(CER_Σ,B,revoke,RT),Sig(rvk,MSK)>；

其中，RT是撤销时间；所述密钥生成中心KGC把RVK_Σ,B发送给所述云平台CP、所述计算服务提供商CSP和用户B。

在本发明一实施例中，数据拥有者A_i按照以下步骤对文档

进行加密数据，上传到所述云平台CP：

步骤S11：数据拥有者A_i提取一组描述文档的关键词集合

并为关键词设置不同的权重

记哈希函数H₁:{0,1}^*→Z_N和

为对称密钥空间；

步骤S12：数据拥有者A_i通过关键词转化密文算法K2C加密关键词得到

通过具有门限解密功能的Paillier密码***加密关键词权重得到

关键词/关键词权重对表示为

步骤S13：通过具有门限解密功能的Paillier密码***算法加密文档身份

和文档加密密钥

得到

和

步骤S14：利用哈希函数

对

进行计算，得到

数据拥有者A_i利用对称加密算法SEnc加密文档

得到密文：

其中，SEnc/SDec是密码上安全的对称加密/解密算法；

步骤S15：数据拥有者A_i把加密索引

和密文

外包存储到云平台CP。

在本发明一实施例中，在查询阶段，用户B生成陷门进行查询：

步骤S21：用户B确定查询关键词

和查询关键词的偏好分数

偏好分数表示查询中关键词的重要性；

步骤S22：用户B通过关键词转化密文算法K2C加密查询关键词得到

利用通过具有门限解密功能的Paillier密码***加密偏好分数得到

令

步骤S23：用户B使用私钥sk_B对查询

进行签名并生成签名

步骤S24：用户B把加密的查询

签名

和身份User_B发送给云平台CP。

在本发明一实施例中，接收到关键词搜索请求后，云平台CP先核实用户B是否有权访问数据；如果用户B有权限，云平台CP使用用户B的公钥pk_B验证查询

的签名

如果签名

无效，云平台CP拒绝用户B查询请求；否则，云平台CP会对搜索请求做出响应，且云平台CP先为每篇文档计算加密查询

和加密索引的相关度分数；接着云平台CP返回相关度分数最高的前k篇文档。

在本发明一实施例中，通过采用跨域安全多关键词搜索协议MKS，为每篇文档计算加密查询

和加密索引的相关度分数。

在本发明一实施例中，所述云平台CP通过如下步骤返回相关度分数最高的前k篇文档：

步骤S31：通过采用跨域安全最大选取协议MAX，在两篇加密文档中选取出相关度分数最高的文档；

步骤S32：通过采用跨域安全最大n选取协议MAX_n，利用胡步骤S31的计算结果，在n篇文档中选取出相关度分数最高的文档；

步骤S33：通过采用跨域安全top-k数据检索协议Top-K，利用步骤S32的计算结果，选取出相关度分数最高的前k篇文档。

在本发明一实施例中，用户B接收到k篇加密文档后，通过公钥pk_Σ，恢复相关度分数I_i、文档号ID_i和文档加密密钥K_i，1≤i≤k；通过私有信息检索PIR或者不经意内存访问ORAM的方法，用户B从云平台CP处获得加密文件，而不会泄漏访问模式；用户B先恢复出文档加密密钥K，然后计算

并利用K'恢复出文档M，哈希函数H₁:{0,1}*→Z_N和

为对称密钥空间。

相较于现有技术，本发明具有以下有益效果：

1.存储开销小。在***生成阶段不需要预定义关键词集合，在运行过程中可以任意添加新的关键词。

2.支持任意语言。本发明使用Unicode对任意语言的关键词进行编码，并利用有效的方式将其转换为密文。

3.灵活的授权机制和基于时间的用户撤销机制。***允许数据拥有者在一个特定时间段内把搜索和解密权限授予给用户。当授权期限到期时，***会自动撤销这些用户的搜索权限。此外，***也为数据拥有者提供了在授权期限内进行权限撤销的有效方法。

4.同时搜索多个数据拥有者的数据。本发明中，用户只要使用一个陷门就能同时对多个数据拥有者的加密文档进行搜索。

5.灵活的关键词权重和偏好分数设置。在加密阶段，数据拥有者可以根据关键词的重要性来设置不同的关键词权重。在查询阶段，用户可以为查询的多个关键词设置不同的偏好分数。在搜索阶段，云服务器可以根据关键词权重和偏好分数计算得到加密形式的相关度分数，并将前k篇文档返回给数据用户

6.保护用户隐私。在现有的MRSE***中，云服务器能够获取每个搜索文档的相关度分数，并且知道哪些文档是最相关的。在本发明中，由于返回给用户的相关度分数是加密的，云服务器从搜索结果中获取不到任何明文和统计信息。

附图说明

图1为本发明一实施例中***框架图。

图2为本发明一实施例中K2C算法的实例示意图。

图3为本发明一实施例中加密过程示意图示意图。

图4为本发明一实施例中查询过程示意图。

图5为本发明一实施例中计算相关度分数示意图。

图6为本发明一实施例中MAX_n协议的示意图。

具体实施方式

下面结合附图，对本发明的技术方案进行具体说明。

本发明一种支持任意语言查询的多用户多关键词排序可搜索加密***，如图1为本发明的***架构，***包括以下几种实体：

密钥生成中心。密钥生成中心(KGC)是完全可信的，负责为***中的每个实体生成密钥。

云平台。云平台(CP)有着强大的存储和计算能力，并以加密形式存储用户的文档。CP还响应用户的数据检索请求。

计算服务提供商。计算服务提供商(CSP)是在线计算服务器，具有强大的计算能力。

数据拥有者。数据拥有者加密关键词和文档，并将其发送到CP进行存储。

用户。用户生成关键词陷门向CP发起数据检索请求。

进一步的，***在建立阶段不需要预定义关键词集合，在***运行过程中可以任意添加新的关键词，极大地降低了存储开销。利用Unicode对任意语言的关键词进行编码，并通过有效的方式将其转换为密文。允许用户使用一个陷门来同时搜索多个数据拥有者的文档。提供灵活的授权机制和基于时间的用户撤销机制。***允许数据拥有者在一个特定时间段内把搜索和解密权限授予给用户。当授权期限到期时，***会自动撤销这些用户的搜索权限。此外，***也为数据拥有者提供了在授权期限内进行权限撤销的有效方法。

进一步的，提供灵活的关键词权重和偏好分数设置。在加密阶段，数据拥有者可以根据关键词的重要性来设置不同的关键词权重。在查询阶段，用户可以为查询的多个关键词设置不同的偏好分数。在搜索阶段，云服务器可以根据关键词权重和偏好分数计算得到加密形式的相关度分数，并将相关度最高的前k篇文档返回给数据用户。

在现有的MRSE***中，云服务器能够获取每个搜索文档的相关度分数。由于计算的相关度分数是加密的，云服务器从搜索结果中获取不到任何明文和统计信息，有效地保护了用户隐私。

为了让本领域技术人员进一步了解本发明所提出的***，下面结合具体实施例进行说明。

进一步，在本实施例中，采用具有门限解密功能的Paillier密码***(PCTD:Paillier Cryptosystem with Threshold Decryption)，实现了同态加密，可以在云平台中保护外包数据的隐私性。利用同态性质，无需对密文进行解密，就可以直接进行各种计算，从而就能实现安全的外包计算。此外，它的计算开销低于全同态加密***所需的计算开销。令

表示X的比特长度。

密钥生成：κ是安全参数，p和q是两个大素数，

计算N＝pq，λ＝lcm(p-1,q-1)/2(lcm表示两个数的最小公倍数)。定义函数

选择生成元g并且g的阶为ord(g)＝(p-1)(q-1)/2。***公共参数PP＝(g,N)，主私钥SK＝λ。***为每位用户i分配私钥sk_i∈Z_N和公钥

加密：对于输入的明文m∈Z_N，用户随机选择r∈[1,N/4]，使用其公钥pk_i将明文m加密成密文

其中

C₂＝g^r mod N²。

使用用户私钥sk_i解密：对于输入的密文

和私钥sk_i，我们通过计算能够得到明文

使用主私钥SK进行解密：利用***的主私钥SK＝λ，通过

计算就能对所有使用公钥加密生成的密文

进行解密。若gcd(λ,N)＝1(gcd表示两个数的最大公约数)成立，则有

主私钥***：主私钥SK＝λ可以随机***成两个部分SK₁＝λ₁和SK₂＝λ₂，使得λ₁+λ₂＝0modλ，λ₁+λ₂＝1modN²。

使用SK₁进行部分解密(PD1)：对于输入的密文

可以利用SK₁＝λ₁来计算

使用SK₂进行部分解密(PD2)：对于输入的密文

和

可以利用SK₂＝λ₂来计算

通过计算可以恢复出明文

密文更新(CR)：CR算法用于更新密文，将密文

转化成新的密文

且m＝m'。随机选择r'∈Z_N，计算

C₂'＝C₂·g^r'modN²。

PCTD具有同态性：对于随机的r∈Z_N，

本***使用了下述协议，这些协议都需要CP和CSP交互运算执行。pk_A和pk_B是用户A和B的公钥。pk_Σ是为用户A和B定义的联合公钥。

跨域安全加法协议(SAD)：对于给定的

和

计算得到

跨域安全乘法协议(SMD)：对于给定的

和

计算得到

进一步的，在本实施例中，为了把一个关键词编码成集合Z_N中的一个元素，首先把关键词中的每个字母转换成其ASCII码形式，接着把十六进制的ASCII码转化成十进制。根据每个字母在关键词中的位置，每个元素乘以一定的权重，将已加权的元素相加，然后使用PCTD算法对相加后的大整数进行加密。该算法称为关键词转化密文算法(K2C:keyword tociphertext algorithm)，如图3所示。

为了将任何语言中的任何关键词转换为密文，而无需预定义关键词集，本实施例提供了安全关键词转化密文算法(K2C)，主要包括以下步骤：

1.把关键词中的每个字符(包括特殊字符)都转化成其unicode形式(UTF-16：16位Unicode转换格式)。2.把每个十六进制unicode转换为十进制整数。3.根据每个字母在关键词中的位置，每个元素乘以一定的权重。4.把所有已加权的整数相加成大整数。5.使用PCTD算法和数据拥有者的公钥把关键词的大整数加密成密文。

进一步的，图2中给出了一个例子来说明如何使用K2C算法把英文、中文、韩文和日文的字符串“关键词”转换为密文。值得注意的是，K2C算法可以成功地把关键词转换为唯一的大整数，成功解决了其他可搜索加密算法中使用布隆过滤器所引起的错误概率问题。

进一步的，在本实施例中，还提供一种加密关键词等价测试协议，该协议用于检测两个关键词密文是否包含相同的关键词。以两个由不同公钥加密的关键词

和

作为输入，加密关键词等价测试协议KET输出加密结果

来表示两个关键词是否相同。如果u^*＝1，表示两个关键词是相同的；否则u^*＝0。令

CP和CSP交互执行加密关键词等价测试协议KET。按照如下步骤实现：

步骤一：1.CP计算

2.CP随机选取r₁、r₂、r₃、r₄，使其满足

接着，CP随机掷硬币s₁,s₂∈{0,1}。

3.CP和CSP执行以下操作

如果s₁＝1，

如果s₁＝0，

如果s₂＝1，

如果s₂＝0，

4.CP计算

把(l₁,l₁',l₂,l₂')发送给CSP。

步骤二：CSP解密

如果

CSP设置u₁'＝0，否则u₁'＝1。如果

CSP设置u₂'＝0，否则u₂'＝1。接着CSP利用公钥pk_Σ把u₁'，u₂'加密成

并将其发送给CP。

步骤三：接收到

后，CP计算如下：

如果s₁＝1，CP计算

否则CP计算

如果s₂＝1，CP计算

否则CP计算

如果u₁＝1，表示X≥Y；否则u₁＝0。如果u₂＝1，表示Y≥X；否则u₂＝0。

接着CP和CSP计算

进一步的，在本实施例中，密钥生成算法采用通过运行PCTD的KeyGen算法，KGC生成***公共参数PP＝(g,N)、主私钥MSK＝λ和用户A_i的公钥/私钥对

KGC把

秘密发送给用户A_i而公开

KGC计算主公钥MPK＝g^λ。KGC秘密存储MSK，公开PP。接着KGC执行PCTD的主密钥***算法来生成部分密钥SK₁＝λ₁和SK₂＝λ₂，并分别把它们秘密发送给CP和CSP。

SEnc/SDec是密码上安全的对称加密/解密算法(对称密钥空间为

)，Sig/Verify是密码上安全的签名/验证算法(本发明不具体指定该算法)。定义哈希函数H₁:{0,1}*→Z_N和

进一步的，为了简化表示，利用将Z_N的元素作为Sig算法的私钥。在实际使用中，可以使用哈希函数从Z_N的元素中计算出签名密钥。

进一步的，在本实施例中，还提供用户授权和撤销算法。

当处于单个数据拥有者场景时：

假设用户B希望得到授权，能够在2016年1月1日至2017年1月1日(授权时间AT₁＝“20160101-20170101”)期间内对数据拥有者A₁的数据进行搜索，他必须把信息(B，AT₁)发送给数据拥有者A₁来申请授权。如果允许授权，A₁会为B生成授权证书。

其中

私钥sk_Σ被秘密发送给用户B。

被发送给KGC、CP、CSP和B。当AT₁过期时，授权将自动失效。

如果A₁想要在AT₁时间段内撤销B的特权，它必须生成撤销证书

其中RT是撤销时间。接着，

被发送给KGC、CP、CSP和B。

当处于多个数据拥有者场景时：

假设用户B想要同时对多个数据拥有者(A₁,...,A_m)的文档进行查询，他首先需要从(A₁,...,A_m)处得到授权证书

接着他向KGC申请查询权限。在确认证书的有效性后，KGC计算授权期限AT_Σ＝AT₁∩...AT_m。接着KGC生成授权证书CER_Σ,B：

<cer＝(A₁,...,A_m,B,AT_Σ,pk_Σ),Sig(cer,MSK)>，

其中

sk_Σ＝H₁(A₁,...,A_m,B,AT_Σ,MSK)。sk_Σ被秘密发送给用户B，pk_Σ对CP、CSP和B公开。

如果要在授权有效期AT_Σ内撤销

KGC生成撤销证书RVK_Σ,B：<rvk＝(CER_Σ,B,revoke,RT),Sig(rvk，MSK)>，其中RT是撤销时间。接着KGC把RVK_Σ,B发送给CP、CSP和B。

进一步的，在本实施例中，在加密阶段，假设数据拥有者A_i想要把文档

上传到云服务器，按照以下步骤加密数据。图3是加密算法的示意图。

1.数据拥有者首先提取一组关键词集合

来描述文档。为了区分关键词的重要性，A_i为关键词设置不同的权重

有很多方法来计算关键词权重，例如TF-IDF(词频-逆文档频率)。数据拥有者选择一种定义关键词权重的方法(本发明不指定具体方法)。

2.A_i利用K2C算法加密关键词得到

利用PCTD算法加密关键词权重得到

关键词/关键词权重对表示为

3.利用PCTD算法加密文档身份

和文档加密密钥K_γj∈Z_N得到

和

4.利用哈希函数

对

进行计算得到

接着A_i利用对称加密算法SEnc加密文档

得到密文

5.A_i把加密索引

和加密文档

外包存储到云平台。

进一步的，如果关键词权重是小数(例如TF-IDF值)，数据拥有者可以用一个整数(10或者100)分别乘以各个关键词的权重，使得这些小数可以映射到Z_N中。

进一步的，在本实施例中，在查询阶段，用户B生成陷门进行查询，如图4所示。

1.B指定查询关键词

和查询关键词的偏好分数

偏好分数表示查询中关键词的重要性。

2.B利用K2C算法加密查询关键词得到

利用PCTD算法加密偏好分数得到

令

3.B使用私钥sk_B对查询

进行签名并生成签名

4.B把加密的查询

签名

和身份User_B发送给CP。

进一步的的，在本实施例中，在搜索阶段，接收到关键词搜索请求后，CP先核实用户B是否有权访问数据。如果B有权限，CP使用B的公钥pk_B验证查询

的签名

如果

无效，CP会拒绝查询请求。否则，CP会对搜索请求做出响应。

1.CP先为每篇文档计算加密查询

和加密索引的相关度分数。

2.接着CP会返回相关度分数较高的前k篇文档。

具体流程包括：

A.相关度分数计算。

为了计算查询和文档索引之间的相关度分数，本发明设计了跨域安全多关键词搜索协议(MKS:secure multiple keyword search protocol across domains)。

MKS协议的输入为加密索引

和加密查询

其中

输出为加密的相关度分数

对于每个查询关键词Y_j(1≤j≤n₂)，MKS协议计算它和加密索引的相关度分数。协议先计算Y_j和X_i(1≤i≤n₁)的相关度分数(第三行)。

1.第四行，利用KET算法检验X_i是否等于Y_j。如果X_i＝Y_j，输出

否则

2.第五行，将关键词权重α_i与偏好分数β_j相乘：

3.第六行，如果X_i＝Y_j，由于

X_i和Y_j的相关度分数

如果X_i≠Y_j，由于

则

4.第七行，把相关度分数s_i与I相加：

计算相关度分数后，把

转化为

如图5所示。

B.Top-k排序。

计算相关度分数后，根据相关度分数返回前k篇加密文档。Top-k排序的要求如下所示：在排序过程中，加密的相关度分数信息不能泄露给CP和CSP,即CP和CSP不知道返回给用户的是哪几篇文档。为了实现top-k排序，本发明设计了三个保护隐私的协议。

1.跨域安全最大选取协议(MAX)在两篇加密文档中选取出相关度分数最高的文档。

2.跨域安全最大n选取协议(MAX_n)使用MAX协议在n篇文档中选取出相关度分数最高的文档。

3.跨域安全top-k数据检索协议(Top-K)利用MAX_n协议选取出相关度分数最高的前k篇文档。

B.1跨域安全最大选取协议(MAX)

给定

和

(由不同密钥进行加密)，MAX协议输出

使得

ID_U，K_U分别对应其文档号和文档加密密钥。在协议中，CP和CSP不能够区分T_U的来源，即不能区分T_U来自于

或是

MAX协议有三个步骤，并且需要CP和CSP交互执行。

步骤一：CP计算

如果

且

则有

CP随机选取r₁,r₂,r₃,r₄∈Z_N，其中

接着CP随机掷硬币s₁,s₂∈{0,1}。

如果s＝1，CP和CSP计算

如果s＝0，CP和CSP计算

CP利用密钥SK₁计算

并把C₁'、C₁、C₂、C₃、C₄发送给CSP。

步骤二：CSP接收到C₁'、C₁、C₂、C₃、C₄后，利用密钥SK₂计算

如果

CSP设置α＝0，计算

如果

CSP设置α＝1，计算C₅＝CR(C₂)，C₆＝CR(C₃)，C₇＝CR(C₄)。

接着CSP加密

并把

发送给CP。

步骤三：CP接收到

后，会执行以下计算：

如果s＝1，CP和CSP计算

如果s＝0，CP和CSP计算

其中，I_U是

和

两个数中较大的数。

B.2：跨域安全最大n选取协议(MAX_n)。

输入n个加密的文档T₁,...,T_n，MAX_n协议输出

使得I_MAX＝max(I₁,...,I_n)，ID_MAX，K_MAX分别对应其文档号和文档加密密钥。在协议中，CP和CSP不能够识别T_MAX的来源，即不能区分T_MAX来自于T₁,...,T_n中的那个元组。

如图6所示，MAX_n协议需要

***作来找出最大元组。在每一轮，利用MAX协议对两个相邻的加密文档进行计算选取出它们中的最大元组。在

轮后，就能够得到最大元组T_MAX。

B.3：跨域安全top-k数据检索协议(Top-K)。

输入n个加密的文档T₁,...,T_n，Top-K协议输出相关度分数最高的k篇文档。

首先，初始化空集合S_a来存储k个结果和集合S_b＝{T₁,...,T_n}。Top-K协议需要k***作才能得到结果。每一轮，协议会找出最大元组。每一轮的操作如下所示。

1.第3-4行，执行MAX_n协议得到第i轮的最大元组

把

添加到集合S_a中。

2.第5-7行，对于S_b中每一个加密的元组，CP和CSP计算

如果

则有

否则

然后CP利用密钥SK₁对V_j部分解密得到

3.第8行，为了隐藏明文信息，CP利用π_i对(V_j,V_j')进行置换得到

并将其发送给CSP。

4.第9-14行，CSP对

进行解密得到β_j(1≤j≤n)。如果β_j＝0，CSP设置

否则

5.第15行，CP接收到

后，首先利用置换逆运算π_i ^-1恢复出原始序列(A₁,...A_n)。对于

的来源元组T_ζ，该协议计算出

对于其他元组，该协议计算出

6.第16-18行，更新

通过计算

的来源元组T_ζ中的

会被设置成

对于其他元组(1≤j≤n和j≠ζ)，通过计算

不会改变。在k***作后，S_a会包含k个相关度分数较高的元组。

进一步的，在本实施例中，在解密阶段，用户B接收到k篇加密文档后。利用公钥pk_Σ来恢复相关度分数I_i、文档号ID_i和密钥K_i(1≤i≤k)。接着利用私有信息检索(PIR)或者不经意内存访问(ORAM)的方法，用户从CP处安全地获得加密文件，而不会泄漏访问模式。用户B先恢复出文档加密密钥K，然后计算

并利用K'恢复出文档M。

进一步的，在本实施例中，在多关键词排序可搜索加密方案(MRSE)中，云服务器收到用户对加密数据进行多关键词搜索的请求后，可以返回相关度最高的前k篇文档。在保护数据可用性的前提下，提供了一种在云存储***中保护数据隐私的有效方式。许多现有的MRSE***是基于KNN-SE(可搜索加密的k最近邻算法)架构设计的。但是KNN-SE架构存在很多缺陷。本发明提出了一种新的MRSE***，克服了基于KNN-SE架构的MRSE***中存在的所有缺陷。新***不需要预定义关键词集合，它支持任意语言的关键词搜索，提供了灵活的搜索权限授予和基于时间控制的用户撤销机制。在本发明中，云服务器无法识别哪些文档是返回给用户的相关性最高的前k篇文档，因此它实现了更好的数据隐私保护。

以上是本发明的较佳实施例，凡依本发明技术方案所作的改变，所产生的功能作用未超出本发明技术方案的范围时，均属于本发明的保护范围。

Claims (9)

1.一种支持任意语言查询的多用户多关键词排序可搜索加密***，其特征在于，包括：

密钥生成中心KGC，为***中的每个实体生成密钥；

云平台CP，以加密形式存储用户的文档，响应用户的数据检索请求；

计算服务提供商CSP，提供在线计算的在线计算服务器；

数据拥有者，对关键词和文档加密，并将其发送到所述云平台CP进行存储；

用户，生成关键词陷门向所述云平台CP发起数据检索请求；所述密钥生成中心KGC通过具有门限解密功能的Paillier密码***的KeyGen算法，密钥生成中心KGC生成***公共参数PP＝(g,N)、主私钥MSK＝λ和用户A_i的公钥/私钥对

与

密钥生成中心KGC把私钥

发送给用户拥有者中的用户A_i，并公开公钥

密钥生成中心KGC计算主公钥MPK＝g^λ；密钥生成中心KGC存储主私钥MSK，并公开***公共参数PP；密钥生成中心KGC执行具有门限解密功能的Paillier密码***的主密钥***算法，生成部分密钥SK₁＝λ₁和SK₂＝λ₂，并分别秘密发送给所述云平台CP和所述计算服务提供商CSP。

2.根据权利要求1所述的支持任意语言查询的多用户多关键词排序可搜索加密***，其特征在于，一用户B将信息(B,AT₁)发送给所述数据拥有者A₁，申请在授权时间AT₁期间内，对数据拥有者A₁的数据进行搜索的授权；如果允许授权，所述数据拥有者A₁为用户B生成授权证书：

其中，

私钥sk_Σ被秘密发送给用户B；

被发送给所述密钥生成中心KGC、所述云平台CP、所述计算服务提供商CSP和用户B；当授权时间AT₁过期时，授权将自动失效；Sig/Verify是密码上安全的签名/验证算法，记哈希函数H₁:{0,1}*→Z_N和H₂:Z_N→K，K为对称密钥空间；

如果数据拥有者A₁在授权时间AT₁内撤销用户B的特权，则生成撤销证书：

其中，RT是撤销时间；撤销证书

被发送给所述密钥生成中心KGC、所述云平台CP、所述计算服务提供商CSP和用户B。

3.根据权利要求1所述的支持任意语言查询的多用户多关键词排序可搜索加密***，其特征在于，一用户B同时对多个数据拥有者(A₁,...,A_m)的文档进行查询，则从该多个数据拥有者(A₁,...,A_m)处得到授权证书

用户B向所述密钥生成中心KGC申请查询权限，在确认证书的有效性后，所述密钥生成中心KGC计算授权期限AT_Σ＝AT₁∩...AT_m，生成授权证书CER_Σ,B：

<cer＝(A₁,...,A_m,B,AT_Σ,pk_Σ),Sig(cer,MSK)>，

其中，

sk_Σ＝H₁(A₁,...,A_m,B,AT_Σ,MSK)；sk_Σ被发送给用户B，pk_Σ对所述云平台CP、所述计算服务提供商CSP和用户B公开；Sig/Verify是密码上安全的签名/验证算法，记哈希函数H₁:{0,1}*→Z_N和H₂:Z_N→K，K为对称密钥空间；

如果要在授权有效期AT_Σ内撤销

所述密钥生成中心KGC生成撤销证书：

RVK_Σ,B：〈rvk＝(CER_Σ,B,revoke,RT),Sig(rvk,MSK)>；

其中，RT是撤销时间；所述密钥生成中心KGC把RVK_Σ,B发送给所述云平台CP、所述计算服务提供商CSP和用户B。

4.根据权利要求1所述的支持任意语言查询的多用户多关键词排序可搜索加密***，其特征在于，数据拥有者A_i按照以下步骤对文档

进行加密数据，上传到所述云平台CP：

步骤S11：数据拥有者A_i提取一组描述文档的关键词集合

并为关键词设置不同的权重

记哈希函数H₁:{0,1}*→Z_N和H₂:Z_N→K，K为对称密钥空间；

步骤S12：数据拥有者A_i通过关键词转化密文算法K2C加密关键词得到

通过具有门限解密功能的Paillier密码***加密关键词权重得到

关键词/关键词权重对表示为

步骤S13：通过具有门限解密功能的Paillier密码***算法加密文档身份

和文档加密密钥

得到

和

步骤S14：利用哈希函数H₂:Z_N→K对

进行计算，得到

数据拥有者A_i利用对称加密算法SEnc加密文档

得到密文：

其中，SEnc/SDec是密码上安全的对称加密/解密算法；

步骤S15：数据拥有者A_i把加密索引

和密文

外包存储到云平台CP。

5.根据权利要求1所述的支持任意语言查询的多用户多关键词排序可搜索加密***，其特征在于，在查询阶段，用户B生成陷门进行查询：

步骤S21：用户B确定查询关键词

和查询关键词的偏好分数

偏好分数表示查询中关键词的重要性；

步骤S22：用户B通过关键词转化密文算法K2C加密查询关键词得到

利用通过具有门限解密功能的Paillier密码***加密偏好分数得到

令

步骤S23：用户B使用私钥sk_B对查询Q进行签名并生成签名S_Q＝Sig(Q,sk_B)；

步骤S24：用户B把加密的查询Q，签名S_Q和身份User_B发送给云平台CP。

6.根据权利要求1所述的支持任意语言查询的多用户多关键词排序可搜索加密***，其特征在于，接收到关键词搜索请求后，云平台CP先核实用户B是否有权访问数据；如果用户B有权限，云平台CP使用用户B的公钥pk_B验证查询Q的签名S_Q；如果签名S_Q无效，云平台CP拒绝用户B查询请求；否则，云平台CP会对搜索请求做出响应，且云平台CP先为每篇文档计算加密查询Q和加密索引的相关度分数；接着云平台CP返回相关度分数最高的前k篇文档。

7.根据权利要求6所述的支持任意语言查询的多用户多关键词排序可搜索加密***，其特征在于，通过采用跨域安全多关键词搜索协议MKS，为每篇文档计算加密查询Q和加密索引的相关度分数。

8.根据权利要求7所述的支持任意语言查询的多用户多关键词排序可搜索加密***，其特征在于，所述云平台CP通过如下步骤返回相关度分数最高的前k篇文档：

步骤S31：通过采用跨域安全最大选取协议MAX，在两篇加密文档中选取出相关度分数最高的文档；

步骤S32：通过采用跨域安全最大n选取协议MAX_n，利用步骤S31的计算结果，在n篇文档中选取出相关度分数最高的文档；

步骤S33：通过采用跨域安全top-k数据检索协议Top-K，利用步骤S32的计算结果，选取出相关度分数最高的前k篇文档。

9.根据权利要求1所述的支持任意语言查询的多用户多关键词排序可搜索加密***，其特征在于，用户B接收到k篇加密文档后，通过公钥pk_Σ，恢复相关度分数I_i、文档号ID_i和文档加密密钥K_i，1≤i≤k；通过私有信息检索PIR或者不经意内存访问ORAM的方法，用户B从云平台CP处获得加密文件，而不会泄漏访问模式；用户B先恢复出文档加密密钥K，然后计算K'＝H₂(K_i)∈K，并利用K'恢复出文档M，哈希函数H₁:{0,1}*→Z_N和H₂:Z_N→K，K为对称密钥空间。

Images