CN111541535B - 一种可验证搜索结果的布尔检索属性基加密方法 - Google Patents

Abstract

本发明公开了一种可验证搜索结果的布尔检索属性基加密方法，采用密文策略的属性基算法和线性秘密分享LSSS结构，将关键词看作其中的参与者，由用户制定搜索策略，匹配过程中通过计算恢复LSSS秘密值，实现布尔检索。本发明的方法具有较高的计算效率，兼顾了灵活的搜索语句和效率，在实现布尔检索的同时，实现了高效的搜索结果验证，算法表达灵活、安全性高。

Description

一种可验证搜索结果的布尔检索属性基加密方法

技术领域

本发明属于数据安全技术领域，具体涉及一种可验证搜索结果的布尔检索属性基加密方法。

背景技术

云存储作为一种全新的信息存储技术，因其存储容量大和价格低廉等优点，越来越多的用户将数据存储在云端。用户在享受云存储带来的便捷服务的同时，也承担着数据的安全风险。传统的加密技术虽然能够保证数据的机密性，却降低了数据的可用性。可搜索加密技术在保障数据安全性的同时支持对加密数据进行检索，极大的提高了数据的可用性。早期的可搜索加密方案仅支持单关键词或多关键词等值搜索，搜索语句表达形式单一，用户体验差。基于以上情况，本发明提出了一种可验证搜索结果的布尔检索属性基加密方法。

发明内容

本发明的目的是为了解决布尔检索属性基加密的问题，提出了一种可验证搜索结果的布尔检索属性基加密方法。

本发明的技术方案是：一种可验证搜索结果的布尔检索属性基加密方法包括以下步骤：

S1：对密钥生成中心、可信第三方和云服务器分别进行初始化，完成***初始化；

S2：利用初始化后的密钥生成中心生成用户属性私钥；

S3：通过颁发属性私钥后的用户，利用初始化后的可信第三方为密文生成相关数据；

S4：基于生成相关数据后的密文，利用初始化后的可信第三方生成搜索请求；

S5：利用初始化后的云服务器，通过搜索请求执行搜索操作，将搜索匹配成功的密文返回给数据用户；

S6：通过数据用户检验搜索结果，完成布尔检索属性基加密。

进一步地，密钥生成中心的初始化包括以下子步骤：

A11：利用密钥生成中心选择两个p阶循环群，即第一循环群G和第二循环群G_T；

A12：利用密钥生成中心选择第一循环群G上的生成元g和双线性映射e:G×G→G_T；

A13：基于生成元和双线性映射，利用密钥生成中心选择第一抗碰撞哈希函数H:{0,1}^*→G、第二抗碰撞哈希函数H':{0,1}^*→Z_p、安全参数λ'和全体属性集合U，其中，Z_p为有限域；

A14：根据全体属性集合，利用密钥生成中心随机选择第一随机数

和第二随机数

其中Z_p ^*为不含有零元素的有限域，i∈U；

A15：根据生成元和第二随机数计算***属性的公开承诺T_i，其计算公式为：

其中，g表示生成元，s_i表示第二随机数；

A16：根据双线性映射、第一循环群、第二循环群、生成元、第一随机数、第一抗碰撞哈希函数、第二抗碰撞哈希函数和全体属性集合，公开***参数PM和***主密钥MSK，完成密钥生成中心的初始化，其表达式分别为：

MSK＝{g^α,α}

其中，e表示双线性映射；G表示第一循环群，G_T表示第二循环群，p表示循环群阶数，g表示生成元，α表示第一随机数，e()表示双线性映射运算，T_i表示***属性的公开承诺，H表示第一抗碰撞哈希函数，H'表示第二抗碰撞哈希函数，i表示全体属性集合的每个属性，U表示全体属性集合。

进一步地，可信第三方的初始化包括以下子步骤：

B11：利用可信第三方随机选择第三随机数

第四随机数

第五随机数

和第六随机数

其中Z_p ^*为不含有零元素的有限域；

B12：根据生成元、第三随机数、第四随机数、第五随机数和第六随机数，公开可信第三方参数PK_t和可信第三方私钥SK_t，完成可信第三方的初始化，其表达式分别为：

PK_t＝{g^f,g^x,g^y,e(g,g)^d}

SK_t＝{d,f,x,y}

其中，g表示生成元，d表示第三随机数，f表示第四随机数，x表示第五随机数，y表示第六随机数，e()表示双线性映射运算。

进一步地，云服务器的初始化包括以下子步骤：

C11：利用云服务器随机选择第七随机数

其中Z_p ^*为不含有零元素的有限域；

C12：根据第七随机数公开云服务器公钥PK_s和云服务器私钥SK_s，完成可信第三方的初始化，其计算公式分别为：

PK_s＝g^b

SK_s＝b

其中，b表示第七随机数，g表示生成元。

进一步地，步骤S2包括以下子步骤：

S21：利用初始化后的密钥生成中心随机选取第八随机数

其中Z_p ^*为不含有零元素的有限域；

S22：根据第一随机数、第八随机数和生成元计算用户第一私钥K、用户第二私钥K₀和用户第三私钥K_i，其计算公式分别为：

K＝g^αg^αt

K₀＝g^t

其中，g表示生成元，α表示第一随机数，t表示第八随机数，ξ表示用户属性集合，T_i表示***属性的公开承诺，i表示全体属性集合的每个属性，U表示全体属性集合；

S23：根据用户第一私钥、用户第二私钥和用户第三私钥为用户颁发属性私钥SK，其表达式为：

进一步地，步骤S3包括以下子步骤：

S31：通过数据拥有者DO制定线性秘密分享LSSS授权搜索访问结构(M,ρ)，其中，M表示L×N的矩阵，ρ表示属性映射函数，L表示矩阵M的行数，N表示矩阵M的列数；

S32：根据线性秘密分享LSSS授权搜索访问结构，利用初始化后的***随机选择第一向量V＝(s,v'₂,...,v'_m)∈Z_p，其中，s表示秘密分享值，v'₂,...,v'_m表示有限域Z_p中的m-1个随机数，Z_p为有限域；

S33：基于第一向量，通过数据拥有者DO为矩阵M的每一行随机选择第九随机数

其中，Z_p ^*为不含有零元素的有限域；

S34：根据第九随机数计算秘密分享值的第一公开承诺C'、秘密分享值的第二公开承诺C″和子秘密密文

其计算公式分别为：

C'＝g^s

C″＝g^αs

其中，s表示秘密分享值，α表示第一随机数，η_l表示第九随机数，g表示生成元，V表示第一向量，ρ(l)表示线性秘密分享LSSS授权搜索访问结构的属性，T表示属性公钥，

表示授权搜索访问结构属性的随机化公开承诺；

S35：根据LSSS授权搜索访问结构、秘密分享值的第一公开承诺和秘密分享值的第二公开承诺生成搜索权限sp，其表达式为

S36：基于搜索权限，利用初始化后的***提取关键词集合W，其表达式为W＝{N_a:w_a}，其中，N_a表示第a个关键字名，w_a表示第a个关键字值；

S37：根据关键词集合，将数据拥有者DO和初始化后的可信第三方进行交互，生成关键词索引Index；

S38：基于关键词索引，通过数据拥有者DO生成验证标签Tag，其计算公式为：

其中，

表示文件密文的哈希值，

表示密文，g表示生成元，α表示第一随机数，e()表示双线性映射运算，t₁表示第十随机数，H₀表示关键字集合的哈希值，H'()表示第二碰撞哈希函数运算；

S39：将搜索权限sp、关键词索引Index和验证标签Tag作为相关数据。

进一步地，步骤S37包括以下子步骤：

S371：通过数据拥有者DO选择第十随机数

和第十一随机数

其中，Z_p ^*为不含有零元素的有限域；

S372：根据第十随机数和第十一随机数计算文件关键词盲化信息，其表达式为

其中，g表示生成元，H₀表示关键字集合的哈希值，α表示第一随机数，t₁表示第十随机数，t₂表示第十一随机数，w_a表示第a个关键字值，W表示关键词集合，H()表示第一碰撞哈希函数运算；

S373：将文件关键词盲化信息发送给初始化后的可信第三方；

S374：向初始化后的可信第三方输入可信第三方私钥并计算关键子集合哈希值密文

第十随机数和第十一随机数的密文I和文件关键词密文I_a，其计算公式分别为：

其中，g表示生成元，d表示第三随机数，f表示第四随机数，x表示第五随机数，y表示第六随机数，H₀表示关键字集合的哈希值，w_a表示第a个关键字值，W表示关键词集合；

S375：将关键子集合哈希值密文、第十随机数和第十一随机数的密文和文件关键词密文发送给数据拥有者DO；

S376：向数据拥有者DO输入云服务器公钥，计算第十随机数的随机化保护I'、第十一随机数的随机化保护I″和关键字集合的随机化保护I₀，其计算公式分别为：

其中，g表示生成元，d表示第三随机数，x表示第五随机数，y表示第六随机数，t₁表示第十随机数，t₂表示第十一随机数，H₀表示关键字集合的哈希值；

S377：根据第十随机数的随机化保护、第十一随机数的随机化保护和关键字集合的随机化保护生成关键词索引Index，其表达式为

进一步地，步骤S4包括以下子步骤：

S41：通过数据用户DU选择想要搜索的关键词集合W'，其表达式为W'＝{N'_a:w'_a}，其中，N'_a表示想要搜索的第a个关键字名，w'_a表示想要搜索的第a个关键字值；

S42：基于想要搜索的关键词集合，通过数据用户DU制定LSSS搜索策略结构

其中，

表示E×k的矩阵，

表示关键词映射函数，E表示矩阵

的行数，k表示矩阵

的列数；

S43：通过数据用户DU为矩阵

的每一行选择第十二随机数

第十三随机数

和第十四随机数

其中，Z_p ^*为不含有零元素的有限域，i∈U，i表示全体属性集合的每个属性，U表示全体属性集合；

S44：根据第十二随机数、第十三随机数和第十四随机数计算第十四随机数的第一公开承诺g^θ、第十四随机数的第二公开承诺g^αθ和随机化请求关键词值

其中，α表示第一随机数，γ_e'表示第十二随机数，g表示生成元，θ表示第十四随机数，H()表示第一碰撞哈希函数运算，W'表示想要搜索的关键词集合，e表示双线性映射，

表示对想要搜索的关键词集合的隐藏，

表示根据关键词映射函数确定想要搜索的关键词集合；

S45：将第十四随机数的第一公开承诺、第十四随机数的第二公开承诺和随机化请求关键词值发送给初始化后的可信第三方；

S46：向初始化后的可信第三方输入可信第三方私钥并计算第十四随机数的第一密文T_v、第十四随机数的第二密文T″和请求关键词密文T_e″_,1，其计算公式分别为：

T_v＝g^xyθ

T″＝g^αdθ

其中，g表示生成元，α表示第一随机数，d表示第三随机数，x表示第五随机数，y表示第六随机数，θ表示第十四随机数，W'表示想要搜索的关键词集合，e表示双线性映射，

表示对想要搜索的关键词集合的隐藏，

表示LSSS搜索策略结构的属性；

S47：将第十四随机数的第一密文、第十四随机数的第二密文和请求关键词密文发送给数据用户DU；

S48：通过数据用户DU随机选择第二向量

其中，θ表示第十四随机数，v₂,...,v_z表示有限域Z_p中的z-1个随机数；

S49：根据第二向量计算秘密值的公开承诺T'、密文T₀、想要搜索的关键词集合的密文T_e',1、第十二随机数的公开承诺T_e',2、数据用户第一转换密钥K'、数据用户第二转换密钥K'₀和数据用户第三转换密钥K_i'，其计算公式分别为：

T'＝g^θ

K'＝K^z′＝g^αz′g^αtz′

其中，g表示生成元，e()表示双线性映射运算，α表示第一随机数，d表示第三随机数，f表示第四随机数，γ_e'表示第十二随机数，θ表示第十四随机数，z'表示第十三随机数，H()表示第一抗碰撞哈希函数运算，ξ表示用户属性集合，i表示全体属性集合的每个属性，

表示对想要搜索的关键词集合的隐藏，

表示第二向量，t表示第八随机数，H'表示第二抗碰撞哈希函数，K表示用户第一私钥，K₀表示用户第二私钥，K_i表示用户第三私钥；

S410：通过数据用户生成搜索请求和转换密钥TK，其表达式分别为

进一步地，步骤S5包括以下子步骤：

S51：利用初始化后的云服务器判断数据拥有者DO的属性集是否满足LSSS授权搜索访问结构(M,ρ)，若不满足则匹配失败，否则进入步骤S52；

S52：根据线性秘密分享LSSS授权搜索访问结构(M,ρ)定义Ω＝{l:ρ(l)∈L}，其中，L表示矩阵M的行数，ρ(l)表示线性秘密分享LSSS授权搜索访问结构的属性；

S53：计算满足∑_i∈Uλ_iM＝(1,0,...,0)的常数λ_i∈Z_p，其中，Z_p为有限域，M表示L×N的矩阵；

S54：基于常数，判断数据用户DU的关键词名是否满足线性秘密分享LSSS搜索策略结构

若不满足则匹配失败，否则进入步骤S55，其中，

表示E×k的矩阵，

表示关键词映射函数；

S55：计算满足LSSS搜索策略结构

的最小子集

S56：根据最小子集计算第一搜索匹配值R₁、第二搜索匹配值R₂、第三搜索匹配值E'和第四搜索匹配值

其计算公式分别为：

其中，g表示生成元，e()表示双线性映射运算，α表示第一随机数，d表示第三随机数，b表示第七随机数，t表示第八随机数，z'表示第十三随机数，θ表示第十四随机数，(C_l,D_l)表示子秘密密文，l∈{1,...,L}，L表示矩阵M的行数，H()表示第一碰撞哈希函数运算，H'()表示第二碰撞哈希函数运算，ρ(l)表示LSSS授权搜索访问结构的属性，I″表示第十一随机数的随机化保护，T″表示第二向量计算秘密值的公开承诺，K'₀表示数据用户第二转换密钥，λ_i表示常数，

表示最小子集，T_e',1表示想要搜索的关键词集合的密文，T_e',2表示第十二随机数的公开承诺，K'_ρ(l)表示用户第四转换密钥，I₀表示关键字集合的随机化保护，I_a表示文件关键词密文，μ_j表示常数，j表示最小子集的元素，I表示第十随机数和第十一随机数的密文，T₀表示密文；

S57：判断等式

是否成立，若不成立则匹配失败，否则进入步骤S58；

S58：利用初始化后的云服务器计算Compte＝(ver1,ver2)并返回给数据用户DU，Compte表示搜索计算证明，ver₁表示第一证明值，ver₂表示第二证明值，其计算公式分别为：

其中，K'表示数据用户第一转换密钥，g表示生成元，α表示第一随机数，d表示第三随机数，x表示第五随机数，y表示第六随机数，t₁表示第十随机数，θ表示第十四随机数，T'表示秘密值的公开承诺，R₂表示第二搜索匹配值，H₀表示关键字集合的哈希值，C'表示秘密分享值的第一公开承诺，s表示秘密分享值，I'表示第十随机数的随机化保护。

进一步地，步骤S6中，通过数据用户DU计算等式

是否成立，若成立则完成布尔检索属性基加密，否则拒绝搜索密文；其中T_v表示第十四随机数的第一密文。

本发明的有益效果是：

(1)本发明采用密文策略的属性基算法和线性秘密分享LSSS结构，将关键词看作其中的参与者，由用户制定搜索策略，匹配过程中通过计算恢复LSSS秘密值，实现布尔检索。本发明的方法具有较高的计算效率，在生成加密文件的过程中，引入关键词随机数，将关键词索引与加密文件绑定，保证密文与索引的关联性。

(2)本发明能够抵御服务器的离线关键词猜测攻击。通过可信第三方协助用户生成密文索引和关键词陷门，使得索引和陷门中含有可信第三方的私钥，从而可以抵抗一般恶意用户和指定云服务器的离线关键字猜测攻击。除此之外，方案还借助盲化的思想，使得关键词对于可信第三方而言也是不可见的。

(3)本发明能够对布尔检索的密文结果进行验证。利用属性基外包解密的思想，通过判断搜索服务器计算的结果是否能恢复LSSS秘密值，以此验证搜索结果的正确性与完整性。

(4)该方法兼顾了灵活的搜索语句和效率，在实现布尔检索的同时，实现了高效的搜索结果验证，算法表达灵活、安全性高。

附图说明

图1为布尔检索属性基加密方法的流程图。

具体实施方式

下面结合附图对本发明的实施例作进一步的说明。

如图1所示，本发明提供了一种可验证搜索结果的布尔检索属性基加密方法，包括以下步骤：

S1：对密钥生成中心、可信第三方和云服务器分别进行初始化，完成***初始化；

S2：利用初始化后的密钥生成中心生成用户属性私钥；

S3：通过颁发属性私钥后的用户，利用初始化后的可信第三方为密文生成相关数据；

S4：基于生成相关数据后的密文，利用初始化后的可信第三方生成搜索请求；

S5：利用初始化后的云服务器，通过搜索请求执行搜索操作，将搜索匹配成功的密文返回给数据用户；

S6：通过数据用户检验搜索结果，完成布尔检索属性基加密。

在本发明实施例中，如图1所示，密钥生成中心的初始化包括以下子步骤：

A11：利用密钥生成中心选择两个p阶循环群，即第一循环群G和第二循环群G_T；

A12：利用密钥生成中心选择第一循环群G上的生成元g和双线性映射e:G×G→G_T；

A13：基于生成元和双线性映射，利用密钥生成中心选择第一抗碰撞哈希函数H:{0,1}^*→G、第二抗碰撞哈希函数H':{0,1}^*→Z_p、安全参数λ'和全体属性集合U，其中，Z_p为有限域；

A14：根据全体属性集合，利用密钥生成中心随机选择第一随机数

和第二随机数

其中Z_p ^*为不含有零元素的有限域，i∈U；

A15：根据生成元和第二随机数计算***属性的公开承诺T_i，其计算公式为：

其中，g表示生成元，s_i表示第二随机数；

A16：根据双线性映射、第一循环群、第二循环群、生成元、第一随机数、第一抗碰撞哈希函数、第二抗碰撞哈希函数和全体属性集合，公开***参数PM和***主密钥MSK，完成密钥生成中心的初始化，其表达式分别为：

MSK＝{g^α,α}

其中，e表示双线性映射；G表示第一循环群，G_T表示第二循环群，p表示循环群阶数，g表示生成元，α表示第一随机数，e()表示双线性映射运算，T_i表示***属性的公开承诺，H表示第一抗碰撞哈希函数，H'表示第二抗碰撞哈希函数，i表示全体属性集合的每个属性，U表示全体属性集合。

在本发明实施例中，如图1所示，可信第三方的初始化包括以下子步骤：

B11：利用可信第三方随机选择第三随机数

第四随机数

第五随机数

和第六随机数

其中Z_p ^*为不含有零元素的有限域；

B12：根据生成元、第三随机数、第四随机数、第五随机数和第六随机数，公开可信第三方参数PK_t和可信第三方私钥SK_t，完成可信第三方的初始化，其表达式分别为：

PK_t＝{g^f,g^x,g^y,e(g,g)^d}

SK_t＝{d,f,x,y}

其中，g表示生成元，d表示第三随机数，f表示第四随机数，x表示第五随机数，y表示第六随机数，e()表示双线性映射运算。

在本发明实施例中，如图1所示，云服务器的初始化包括以下子步骤：

C11：利用云服务器随机选择第七随机数

其中Z_p ^*为不含有零元素的有限域；

C12：根据第七随机数公开云服务器公钥PK_s和云服务器私钥SK_s，完成可信第三方的初始化，其计算公式分别为：

PK_s＝g^b

SK_s＝b

其中，b表示第七随机数，g表示生成元。

在本发明实施例中，如图1所示，步骤S2包括以下子步骤：

S21：利用初始化后的密钥生成中心随机选取第八随机数

其中Z_p ^*为不含有零元素的有限域；

S22：根据第一随机数、第八随机数和生成元计算用户第一私钥K、用户第二私钥K₀和用户第三私钥K_i，其计算公式分别为：

K＝g^αg^αt

K₀＝g^t

其中，g表示生成元，α表示第一随机数，t表示第八随机数，ξ表示用户属性集合，T_i表示***属性的公开承诺，i表示全体属性集合的每个属性，U表示全体属性集合；

S23：根据用户第一私钥、用户第二私钥和用户第三私钥为用户颁发属性私钥SK，其表达式为：

在本发明实施例中，如图1所示，步骤S3包括以下子步骤：

S31：通过数据拥有者DO制定线性秘密分享LSSS授权搜索访问结构(M,ρ)，其中，M表示L×N的矩阵，ρ表示属性映射函数，L表示矩阵M的行数，N表示矩阵M的列数；

S32：根据线性秘密分享LSSS授权搜索访问结构，利用初始化后的***随机选择第一向量V＝(s,v'₂,...,v'_m)∈Z_p，其中，s表示秘密分享值，v'₂,...,v'_m表示有限域Z_p中的m-1个随机数，Z_p为有限域；

S33：基于第一向量，通过数据拥有者DO为矩阵M的每一行随机选择第九随机数

其中，Z_p ^*为不含有零元素的有限域；

S34：根据第九随机数计算秘密分享值的第一公开承诺C'、秘密分享值的第二公开承诺C″和子秘密密文

其计算公式分别为：

C'＝g^s

C″＝g^αs

其中，s表示秘密分享值，α表示第一随机数，η_l表示第九随机数，g表示生成元，V表示第一向量，ρ(l)表示线性秘密分享LSSS授权搜索访问结构的属性，T表示属性公钥，

表示授权搜索访问结构属性的随机化公开承诺；

S35：根据LSSS授权搜索访问结构、秘密分享值的第一公开承诺和秘密分享值的第二公开承诺生成搜索权限sp，其表达式为

S36：基于搜索权限，利用初始化后的***提取关键词集合W，其表达式为W＝{N_a:w_a}，其中，N_a表示第a个关键字名，w_a表示第a个关键字值；

S37：根据关键词集合，将数据拥有者DO和初始化后的可信第三方进行交互，生成关键词索引Index；

S38：基于关键词索引，通过数据拥有者DO生成验证标签Tag，其计算公式为：

其中，

表示文件密文的哈希值，

表示密文，g表示生成元，α表示第一随机数，e()表示双线性映射运算，t₁表示第十随机数，H₀表示关键字集合的哈希值，H'()表示第二碰撞哈希函数运算；

S39：将搜索权限sp、关键词索引Index和验证标签Tag作为相关数据。

在本发明实施例中，如图1所示，步骤S37包括以下子步骤：

S371：通过数据拥有者DO选择第十随机数

和第十一随机数

其中，Z_p ^*为不含有零元素的有限域；

S372：根据第十随机数和第十一随机数计算文件关键词盲化信息，其表达式为

其中，g表示生成元，H₀表示关键字集合的哈希值，α表示第一随机数，t₁表示第十随机数，t₂表示第十一随机数，w_a表示第a个关键字值，W表示关键词集合，H()表示第一碰撞哈希函数运算；

S373：将文件关键词盲化信息发送给初始化后的可信第三方；

S374：向初始化后的可信第三方输入可信第三方私钥并计算关键子集合哈希值密文

第十随机数和第十一随机数的密文I和文件关键词密文I_a，其计算公式分别为：

其中，g表示生成元，d表示第三随机数，f表示第四随机数，x表示第五随机数，y表示第六随机数，H₀表示关键字集合的哈希值，w_a表示第a个关键字值，W表示关键词集合；

S375：将关键子集合哈希值密文、第十随机数和第十一随机数的密文和文件关键词密文发送给数据拥有者DO；

S376：向数据拥有者DO输入云服务器公钥，计算第十随机数的随机化保护I'、第十一随机数的随机化保护I″和关键字集合的随机化保护I₀，其计算公式分别为：

其中，g表示生成元，d表示第三随机数，x表示第五随机数，y表示第六随机数，t₁表示第十随机数，t₂表示第十一随机数，H₀表示关键字集合的哈希值；

S377：根据第十随机数的随机化保护、第十一随机数的随机化保护和关键字集合的随机化保护生成关键词索引Index，其表达式为

在本发明实施例中，如图1所示，步骤S4包括以下子步骤：

S41：通过数据用户DU选择想要搜索的关键词集合W'，其表达式为W'＝{N'_a:w'_a}，其中，N'_a表示想要搜索的第a个关键字名，w'_a表示想要搜索的第a个关键字值；

S42：基于想要搜索的关键词集合，通过数据用户DU制定LSSS搜索策略结构

其中，

表示E×k的矩阵，

表示关键词映射函数，E表示矩阵

的行数，k表示矩阵

的列数；

S43：通过数据用户DU为矩阵

的每一行选择第十二随机数

第十三随机数

和第十四随机数

其中，Z_p ^*为不含有零元素的有限域，i∈U，i表示全体属性集合的每个属性，U表示全体属性集合；

S44：根据第十二随机数、第十三随机数和第十四随机数计算第十四随机数的第一公开承诺g^θ、第十四随机数的第二公开承诺g^αθ和随机化请求关键词值

其中，α表示第一随机数，γ_e'表示第十二随机数，g表示生成元，θ表示第十四随机数，H()表示第一碰撞哈希函数运算，W'表示想要搜索的关键词集合，e表示双线性映射，

表示对想要搜索的关键词集合的隐藏，

表示根据关键词映射函数确定想要搜索的关键词集合；

S45：将第十四随机数的第一公开承诺、第十四随机数的第二公开承诺和随机化请求关键词值发送给初始化后的可信第三方；

S46：向初始化后的可信第三方输入可信第三方私钥并计算第十四随机数的第一密文T_v、第十四随机数的第二密文T″和请求关键词密文T_e″_,1，其计算公式分别为：

T_v＝g^xyθ

T″＝g^αdθ

其中，g表示生成元，α表示第一随机数，d表示第三随机数，x表示第五随机数，y表示第六随机数，θ表示第十四随机数，W'表示想要搜索的关键词集合，e表示双线性映射，

表示对想要搜索的关键词集合的隐藏，

表示LSSS搜索策略结构的属性；

S47：将第十四随机数的第一密文、第十四随机数的第二密文和请求关键词密文发送给数据用户DU；

S48：通过数据用户DU随机选择第二向量

其中，θ表示第十四随机数，v₂,...,v_z表示有限域Z_p中的z-1个随机数；

S49：根据第二向量计算秘密值的公开承诺T'、密文T₀、想要搜索的关键词集合的密文T_e',1、第十二随机数的公开承诺T_e',2、数据用户第一转换密钥K'、数据用户第二转换密钥K'₀和数据用户第三转换密钥K_i'，其计算公式分别为：

T'＝g^θ

K'＝K^z′＝g^αz′g^αtz′

其中，g表示生成元，e()表示双线性映射运算，α表示第一随机数，d表示第三随机数，f表示第四随机数，γ_e'表示第十二随机数，θ表示第十四随机数，z'表示第十三随机数，H()表示第一抗碰撞哈希函数运算，ξ表示用户属性集合，i表示全体属性集合的每个属性，

表示对想要搜索的关键词集合的隐藏，

表示第二向量，t表示第八随机数，H'表示第二抗碰撞哈希函数，K表示用户第一私钥，K₀表示用户第二私钥，K_i表示用户第三私钥；

S410：通过数据用户生成搜索请求和转换密钥TK，其表达式分别为

在本发明实施例中，如图1所示，步骤S5包括以下子步骤：

S51：利用初始化后的云服务器判断数据拥有者DO的属性集是否满足LSSS授权搜索访问结构(M,ρ)，若不满足则匹配失败，否则进入步骤S52；

S52：根据线性秘密分享LSSS授权搜索访问结构(M,ρ)定义Ω＝{l:ρ(l)∈L}，其中，L表示矩阵M的行数，ρ(l)表示线性秘密分享LSSS授权搜索访问结构的属性；

S53：计算满足∑_i∈Uλ_iM＝(1,0,...,0)的常数λ_i∈Z_p，其中，Z_p为有限域，M表示L×N的矩阵；

S54：基于常数，判断数据用户DU的关键词名是否满足线性秘密分享LSSS搜索策略结构

若不满足则匹配失败，否则进入步骤S55，其中，

表示E×k的矩阵，

表示关键词映射函数；

S55：计算满足LSSS搜索策略结构

的最小子集

S56：根据最小子集计算第一搜索匹配值R₁、第二搜索匹配值R₂、第三搜索匹配值E'和第四搜索匹配值

其计算公式分别为：

其中，g表示生成元，e()表示双线性映射运算，α表示第一随机数，d表示第三随机数，b表示第七随机数，t表示第八随机数，z'表示第十三随机数，θ表示第十四随机数，(C_l,D_l)表示子秘密密文，l∈{1,...,L}，L表示矩阵M的行数，H()表示第一碰撞哈希函数运算，H'()表示第二碰撞哈希函数运算，ρ(l)表示LSSS授权搜索访问结构的属性，I″表示第十一随机数的随机化保护，T″表示第二向量计算秘密值的公开承诺，K'₀表示数据用户第二转换密钥，λ_i表示常数，

表示最小子集，T_e',1表示想要搜索的关键词集合的密文，T_e',2表示第十二随机数的公开承诺，K'_ρ(l)表示用户第四转换密钥，I₀表示关键字集合的随机化保护，I_a表示文件关键词密文，μ_j表示常数，j表示最小子集的元素，I表示第十随机数和第十一随机数的密文，T₀表示密文；

S57：判断等式

是否成立，若不成立则匹配失败，否则进入步骤S58；

S58：利用初始化后的云服务器计算Compte＝(ver1,ver2)并返回给数据用户DU，Compte表示搜索计算证明，ver₁表示第一证明值，ver₂表示第二证明值，其计算公式分别为：

其中，K'表示数据用户第一转换密钥，g表示生成元，α表示第一随机数，d表示第三随机数，x表示第五随机数，y表示第六随机数，t₁表示第十随机数，θ表示第十四随机数，T'表示秘密值的公开承诺，R₂表示第二搜索匹配值，H₀表示关键字集合的哈希值，C'表示秘密分享值的第一公开承诺，s表示秘密分享值，I'表示第十随机数的随机化保护。

在本发明实施例中，如图1所示，步骤S6中，通过数据用户DU计算等式

是否成立，若成立则完成布尔检索属性基加密，否则拒绝搜索密文；其中T_v表示第十四随机数的第一密文。

验证过程的推导如下：

验证阶段，搜索服务器将部分计算结果ver₁和ver₂返回给数据用户DU，只有当文件的关键词索引满足数据用户DU制定的搜索策略时，ver₂的值才等于

其中θ为DU选择的秘密随机数值，而t₁,H₀只有文件上传者才知道，所以当某份文件的索引并不满足数据用户DU的搜索策略时，服务器无法通过***息计算出

同理，关于计算结果ver₁，只有当数据用户DU的属性满足文件的授权搜索策略时，其值才为e(g,g)^αsz，其中s，z分别为DO、DU所选的秘密随机值，在用户属性不满足文件访问策略时，搜索服务器无法通过***息计算出e(g,g)^αsz。由于

其中

为加密文件，搜索服务器无法通过篡改加密文件而伪造一个合法的标签。从而还可以实现对文件的完整性保护。

因此，当搜索服务器返回的加密文件符合用户的搜索要求时，有

本发明的工作原理及过程为：本发明提供的一种可验证搜索结果的布尔检索属性基加密方法，涉及数据安全领域，其包括***初始化，生成***的公开参数PM和主密钥MSK，以及云服务器和可信第三方的公私钥对；为用户颁发属性私钥SK；生成文件密文

的相关数据：搜索权限sp、验证标签Tag以及与可信第三方联合计算的关键词索引Index，将生成的数据组

上传至云服务器；提出搜索请求，计算转换密钥TK，选择关键词并制定由逻辑“与”“或”连接的关键词搜索策略，联合可信第三方计算搜索陷门Trapdoor，将生成的TK和Trapdoor发送给云服务器；权限验证和执行搜索运算，根据TK、Trapdoor和文件密文及索引进行权限验证和搜索匹配计算；如果匹配成功，则返回相应的密文文件

的Tag给用户；用户做最后的相关性与完整性验证，决定是否解密该文件。

本发明的有益效果为：(1)本发明采用密文策略的属性基算法和线性秘密分享LSSS结构，将关键词看作其中的参与者，由用户制定搜索策略，匹配过程中通过计算恢复LSSS秘密值，实现布尔检索。本发明的方法具有较高的计算效率，在生成加密文件的过程中，引入关键词随机数，将关键词索引与加密文件绑定，保证密文与索引的关联性。

(2)本发明能够抵御服务器的离线关键词猜测攻击。通过可信第三方协助用户生成密文索引和关键词陷门，使得索引和陷门中含有可信第三方的私钥，从而可以抵抗一般恶意用户和指定云服务器的离线关键字猜测攻击。除此之外，方案还借助盲化的思想，使得关键词对于可信第三方而言也是不可见的。

(3)本发明能够对布尔检索的密文结果进行验证。利用属性基外包解密的方法，通过判断搜索服务器计算的结果是否能恢复LSSS秘密值，以此验证搜索结果的正确性与完整性。

(4)该方法兼顾了灵活的搜索语句和效率，在实现布尔检索的同时，实现了高效的搜索结果验证，算法表达灵活、安全性高。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。

Claims (9)

1.一种可验证搜索结果的布尔检索属性基加密方法，其特征在于，包括以下步骤：

S1：对密钥生成中心、可信第三方和云服务器分别进行初始化，完成***初始化；

S2：利用初始化后的密钥生成中心为用户颁发属性私钥；

S3：通过颁发属性私钥后的用户，利用初始化后的可信第三方为密文生成相关数据；

所述步骤S3包括以下子步骤：

S31：通过数据拥有者DO制定线性秘密分享LSSS授权搜索访问结构(M,ρ)，其中，M表示L×N的矩阵，ρ表示属性映射函数，L表示矩阵M的行数，N表示矩阵M的列数；

S32：根据线性秘密分享LSSS授权搜索访问结构，利用初始化后的***随机选择第一向量V＝(s,v'₂,...,v'_m)∈Z_p，其中，s表示秘密分享值，v'₂,...,v'_m表示有限域Z_p中的m-1个随机数，Z_p为有限域；

S33：基于第一向量，通过数据拥有者DO为矩阵M的每一行随机选择第九随机数

其中，Z_p ^*为不含有零元素的有限域；

S34：根据第九随机数计算秘密分享值的第一公开承诺C'、秘密分享值的第二公开承诺C”和子秘密密文

其计算公式分别为：

C'＝g^s

C”＝g^αs

其中，s表示秘密分享值，α表示第一随机数，η_l表示第九随机数，g表示生成元，V表示第一向量，ρ(l)表示线性秘密分享LSSS授权搜索访问结构的属性，T表示属性公钥，

表示授权搜索访问结构属性的随机化公开承诺；

S35：根据线性秘密分享LSSS授权搜索访问结构、秘密分享值的第一公开承诺和秘密分享值的第二公开承诺生成搜索权限sp，其表达式为

S36：基于搜索权限，利用初始化后的***提取关键词集合W，其表达式为W＝{N_a:w_a}，其中，N_a表示第a个关键字名，w_a表示第a个关键字值；

S37：根据关键词集合，将数据拥有者DO和初始化后的可信第三方进行交互，生成关键词索引Index；

S38：基于关键词索引，通过数据拥有者DO生成验证标签Tag，其计算公式为：

其中，

表示文件密文的哈希值，

表示密文，g表示生成元，α表示第一随机数，e()表示双线性映射运算，t₁表示第十随机数，H₀表示关键字集合的哈希值，H'()表示第二碰撞哈希函数运算；

S39：将搜索权限sp、关键词索引Index和验证标签Tag作为相关数据；

S4：基于生成相关数据后的密文，利用初始化后的可信第三方生成搜索请求；

S5：利用初始化后的云服务器，通过搜索请求执行搜索操作，将搜索匹配成功的密文返回给数据用户；

S6：通过数据用户检验搜索结果，完成布尔检索属性基加密。

2.根据权利要求1所述的可验证搜索结果的布尔检索属性基加密方法，其特征在于，所述密钥生成中心的初始化包括以下子步骤：

A11：利用密钥生成中心选择两个p阶循环群，即第一循环群G和第二循环群G_T；

A12：利用密钥生成中心选择第一循环群G上的生成元g和双线性映射e:G×G→G_T；

A13：基于生成元和双线性映射，利用密钥生成中心选择第一抗碰撞哈希函数H:{0,1}^*→G、第二抗碰撞哈希函数H':{0,1}^*→Z_p、安全参数λ'和全体属性集合U，其中，Z_p为有限域；

A14：根据全体属性集合，利用密钥生成中心随机选择第一随机数

和第二随机数

其中Z_p ^*为不含有零元素的有限域，i∈U；

A15：根据生成元和第二随机数计算***属性的公开承诺T_i，其计算公式为：

其中，g表示生成元，s_i表示第二随机数；

A16：根据双线性映射、第一循环群、第二循环群、生成元、第一随机数、第一抗碰撞哈希函数、第二抗碰撞哈希函数和全体属性集合，公开***参数PM和***主密钥MSK，完成密钥生成中心的初始化，其表达式分别为：

MSK＝{g^α,α}

其中，e表示双线性映射；G表示第一循环群，G_T表示第二循环群，p表示循环群阶数，g表示生成元，α表示第一随机数，e()表示双线性映射运算，T_i表示***属性的公开承诺，H表示第一抗碰撞哈希函数，H'表示第二抗碰撞哈希函数，i表示全体属性集合的每个属性，U表示全体属性集合。

3.根据权利要求2所述的可验证搜索结果的布尔检索属性基加密方法，其特征在于，所述可信第三方的初始化包括以下子步骤：

B11：利用可信第三方随机选择第三随机数

第四随机数

第五随机数

和第六随机数

其中Z_p ^*为不含有零元素的有限域；

B12：根据生成元、第三随机数、第四随机数、第五随机数和第六随机数，公开可信第三方参数PK_t和可信第三方私钥SK_t，完成可信第三方的初始化，其表达式分别为：

PK_t＝{g^f,g^x,g^y,e(g,g)^d}

SK_t＝{d,f,x,y}

其中，g表示生成元，d表示第三随机数，f表示第四随机数，x表示第五随机数，y表示第六随机数，e()表示双线性映射运算。

4.根据权利要求3所述的可验证搜索结果的布尔检索属性基加密方法，其特征在于，所述云服务器的初始化包括以下子步骤：

C11：利用云服务器随机选择第七随机数

其中Z_p ^*为不含有零元素的有限域；

C12：根据第七随机数公开云服务器公钥PK_s和云服务器私钥SK_s，完成可信第三方的初始化，其计算公式分别为：

PK_s＝g^b

SK_s＝b

其中，b表示第七随机数，g表示生成元。

5.根据权利要求4所述的可验证搜索结果的布尔检索属性基加密方法，其特征在于，所述步骤S2包括以下子步骤：

S21：利用初始化后的密钥生成中心随机选取第八随机数

其中Z_p ^*为不含有零元素的有限域；

S22：根据第一随机数、第八随机数和生成元计算用户第一私钥K、用户第二私钥K₀和用户第三私钥K_i，其计算公式分别为：

K＝g^αg^αt

K₀＝g^t

其中，g表示生成元，α表示第一随机数，t表示第八随机数，ξ表示用户属性集合，T_i表示***属性的公开承诺，i表示全体属性集合的每个属性，U表示全体属性集合；

S23：根据用户第一私钥、用户第二私钥和用户第三私钥为用户颁发属性私钥SK，其表达式为：

6.根据权利要求5所述的可验证搜索结果的布尔检索属性基加密方法，其特征在于，所述步骤S37包括以下子步骤：

S371：通过数据拥有者DO选择第十随机数

和第十一随机数

其中，Z_p ^*为不含有零元素的有限域；

S372：根据第十随机数和第十一随机数计算文件关键词盲化信息，其表达式为

其中，g表示生成元，H₀表示关键字集合的哈希值，α表示第一随机数，t₁表示第十随机数，t₂表示第十一随机数，w_a表示第a个关键字值，W表示关键词集合，H()表示第一碰撞哈希函数运算；

S373：将文件关键词盲化信息发送给初始化后的可信第三方；

S374：向初始化后的可信第三方输入可信第三方私钥并计算关键子集合哈希值密文

第十随机数和第十一随机数的密文I和文件关键词密文I_a，其计算公式分别为：

其中，g表示生成元，d表示第三随机数，f表示第四随机数，x表示第五随机数，y表示第六随机数，H₀表示关键字集合的哈希值，w_a表示第a个关键字值，W表示关键词集合；

S375：将关键子集合哈希值密文、第十随机数和第十一随机数的密文和文件关键词密文发送给数据拥有者DO；

S376：向数据拥有者DO输入云服务器公钥，计算第十随机数的随机化保护I'、第十一随机数的随机化保护I”和关键字集合的随机化保护I₀，其计算公式分别为：

其中，g表示生成元，d表示第三随机数，x表示第五随机数，y表示第六随机数，t₁表示第十随机数，t₂表示第十一随机数，H₀表示关键字集合的哈希值，b表示第七随机数；

S377：根据第十随机数的随机化保护、第十一随机数的随机化保护和关键字集合的随机化保护生成关键词索引Index，其表达式为

7.根据权利要求6所述的可验证搜索结果的布尔检索属性基加密方法，其特征在于，所述步骤S4包括以下子步骤：

S41：通过数据用户DU选择想要搜索的关键词集合W'，其表达式为W'＝{N'_a:w'_a}，其中，N'_a表示想要搜索的第a个关键字名，w'_a表示想要搜索的第a个关键字值；

S42：基于想要搜索的关键词集合，通过数据用户DU制定线性秘密分享LSSS搜索策略结构

其中，

表示E×k的矩阵，

表示关键词映射函数，E表示矩阵

的行数，k表示矩阵

的列数；

S43：通过数据用户DU为矩阵

的每一行选择第十二随机数

第十三随机数

和第十四随机数

其中，Z_p ^*为不含有零元素的有限域；

S44：根据第十二随机数、第十三随机数和第十四随机数计算第十四随机数的第一公开承诺g^θ、第十四随机数的第二公开承诺g^αθ和随机化请求关键词值

其中，α表示第一随机数，γ_e'表示第十二随机数，g表示生成元，θ表示第十四随机数，H()表示第一碰撞哈希函数运算，W'表示想要搜索的关键词集合，e表示双线性映射，

表示对想要搜索的关键词集合的隐藏，

表示根据关键词映射函数确定想要搜索的关键词集合；

S45：将第十四随机数的第一公开承诺、第十四随机数的第二公开承诺和随机化请求关键词值发送给初始化后的可信第三方；

S46：向初始化后的可信第三方输入可信第三方私钥并计算第十四随机数的第一密文T_v、第十四随机数的第二密文T”和请求关键词密文T′_e′,1，其计算公式分别为：

T_v＝g^xyθ

T”＝g^αdθ

其中，g表示生成元，α表示第一随机数，d表示第三随机数，x表示第五随机数，y表示第六随机数，θ表示第十四随机数，W'表示想要搜索的关键词集合，e表示双线性映射，

表示对想要搜索的关键词集合的隐藏，

表示线性秘密分享LSSS搜索策略结构的属性，f表示第四随机数；

S47：将第十四随机数的第一密文、第十四随机数的第二密文和请求关键词密文发送给数据用户DU；

S48：通过数据用户DU随机选择第二向量

其中，θ表示第十四随机数，v₂,...,v_z表示有限域Z_p中的z-1个随机数；

S49：根据第二向量计算秘密值的公开承诺T'、密文T₀、想要搜索的关键词集合的密文T_e',1、第十二随机数的公开承诺T_e',2、数据用户第一转换密钥K'、数据用户第二转换密钥K'₀和数据用户第三转换密钥K′_i，其计算公式分别为：

T'＝g^θ

K'＝K^z′＝g^αz′g^αtz′

其中，g表示生成元，e()表示双线性映射运算，α表示第一随机数，d表示第三随机数，f表示第四随机数，γ_e'表示第十二随机数，θ表示第十四随机数，z'表示第十三随机数，H()表示第一抗碰撞哈希函数运算，ξ表示用户属性集合，i表示全体属性集合的每个属性，

表示对想要搜索的关键词集合的隐藏，

表示第二向量，t表示第八随机数，H'表示第二抗碰撞哈希函数，K表示用户第一私钥，K₀表示用户第二私钥，K_i表示用户第三私钥；

S410：通过数据用户生成搜索请求trapdoor和转换密钥TK，其表达式为

8.根据权利要求7所述的可验证搜索结果的布尔检索属性基加密方法，其特征在于，所述步骤S5包括以下子步骤：

S51：利用初始化后的云服务器判断数据拥有者DO的属性集是否满足线性秘密分享LSSS授权搜索访问结构(M,ρ)，若不满足则匹配失败，否则进入步骤S52；

S52：根据线性秘密分享LSSS授权搜索访问结构(M,ρ)定义Ω＝{l:ρ(l)∈L}，其中，L表示矩阵M的行数，ρ(l)表示线性秘密分享LSSS授权搜索访问结构的属性；

S53：计算满足∑_i∈Uλ_iM＝(1,0,...,0)的常数λ_i∈Z_p，其中，Z_p为有限域，M表示L×N的矩阵；

S54：基于常数，判断数据用户DU的关键词名是否满足线性秘密分享LSSS搜索策略结构

若不满足则匹配失败，否则进入步骤S55，其中，

表示E×k的矩阵，

表示关键词映射函数；

S55：计算满足线性秘密分享LSSS搜索策略结构

的最小子集

S56：根据最小子集计算第一搜索匹配值R₁、第二搜索匹配值R₂、第三搜索匹配值E'和第四搜索匹配值

其计算公式分别为：

其中，g表示生成元，e()表示双线性映射运算，α表示第一随机数，d表示第三随机数，b表示第七随机数，t表示第八随机数，z'表示第十三随机数，θ表示第十四随机数，(C_l,D_l)表示子秘密密文，l∈{1,...,L}，L表示矩阵M的行数，H()表示第一碰撞哈希函数运算，H'()表示第二碰撞哈希函数运算，ρ(l)表示线性秘密分享LSSS授权搜索访问结构的属性，I”表示第十一随机数的随机化保护，T”表示第二向量计算秘密值的公开承诺，K'₀表示数据用户第二转换密钥，λ_i表示常数，

表示最小子集，T_e',1表示想要搜索的关键词集合的密文，T_e',2表示第十二随机数的公开承诺，K'_ρ(l)表示用户第四转换密钥，I₀表示关键字集合的随机化保护，I_a表示文件关键词密文，μ_j表示常数，j表示最小子集的元素，I表示第十随机数和第十一随机数的密文，T₀表示密文；

S57：判断等式

是否成立，若不成立则匹配失败，否则进入步骤S58，其中，C”表示秘密分享值的第二公开承诺；

S58：利用初始化后的云服务器计算Compte＝(ver1,ver2)并返回给数据用户DU，Compte表示搜索计算证明，ver₁表示第一证明值，ver₂表示第二证明值，其计算公式分别为：

其中，K'表示数据用户第一转换密钥，g表示生成元，α表示第一随机数，d表示第三随机数，x表示第五随机数，y表示第六随机数，t₁表示第十随机数，θ表示第十四随机数，T'表示秘密值的公开承诺，R₂表示第二搜索匹配值，H₀表示关键字集合的哈希值，C'表示秘密分享值的第一公开承诺，s表示秘密分享值，I'表示第十随机数的随机化保护。

9.根据权利要求8所述的可验证搜索结果的布尔检索属性基加密方法，其特征在于，所述步骤S6中，通过数据用户DU计算等式

是否成立，若成立则完成布尔检索属性基加密，否则拒绝搜索密文；其中T_v表示第十四随机数的第一密文，其中，e()表示双线性映射运算，Tag表示验证标签，ver₂表示第二证明值，

表示文件密文的哈希值。

Images