CN112270006A

CN112270006A - 电商平台中隐藏搜索模式和访问模式的可搜索加密方法

Info

Publication number: CN112270006A
Application number: CN202011201549.9A
Authority: CN
Inventors: 刘红; 李学琴; 肖云鹏; 李暾; 李茜; 卢星宇; 贾朝龙
Original assignee: Chongqing University of Post and Telecommunications
Current assignee: Chongqing University of Post and Telecommunications
Priority date: 2020-11-02
Filing date: 2020-11-02
Publication date: 2021-01-26

Abstract

本发明涉及云计算安全技术领域，具体涉及一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法，包括获取数据源、初始化阶段、密文检索。首先从公开数据集获取数据；初始化阶段包括提取关键字和文档的关系，构建索引矩阵和辅助数据结构，生成相关密钥。密文查询阶段包括：用户对待查询关键字生成搜索陷门，发送给服务器；服务器根据搜索陷门，检索二级映射，获得搜索范围，检索对应数据块序列；用户构造置换矩阵，并加密上传给服务器，在服务器端与索引矩阵执行同态计算，改变索引矩阵中数据的位置。本发明融合二级搜索和同态加密技术到可搜索加密领域中，保证用户隐私的同时实现高效的安全搜索，对用户隐私保护和信息检索有着重要的应用价值。

Description

电商平台中隐藏搜索模式和访问模式的可搜索加密方法

技术领域

本发明涉及云计算安全技术领域，具体涉及一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法。

背景技术

随着互联网时代的迅猛发展，人们的生活逐渐步入信息化时代，其中电子商务平台更是与现代生活不可分离。但与此同时，人们也面临着数据爆发式增长的问题。例如，电商平台在特殊时期(双十一，双十二等促销活动期间)的业务数据剧烈增长。虽然这些海量数据在分析用户行为等方面拥有许多隐藏价值，但同时也带来了信息泄露的安全问题。

云概念的提出对社会和IT行业提供了极大的好处。存储即服务(SaaS)是最常见的云服务，能够使用户远程存储数据并且可以随时随地的进行访问，从而减少了客户端的存储和计算开销。但是将数据以明文形式存储在云服务器上，易造成信息泄露，不利于用户隐私的保护。虽然将数据加密上传，能够保证数据的机密性，但是不利于用户的一些基本操作。可搜索加密技术解决了在密文域上检索的难题。可搜索加密技术是Song等人在2000年提出的，可以简单描述为：具备检索能力的用户利用生成的搜索陷门对服务器上的加密数据进行检索。

近年来，基于可搜索加密技术的方案层出不穷。从最初的静态方案逐步扩展到动态方案。但是众多研究表明，可搜索加密技术是以泄露部分信息为代价来提高搜索效率，这就导致了较为严重的安全性问题。一般的可搜索加密算法为了提高搜索效率，都以泄露一些关于文件或查询的信息给服务器为代价，比如搜索模式，访问模式等。搜索模式是指用户的历史查询，重复的查询容易由相同的搜索令牌识别出来；访问模式是指用户的访问路径，重复的查询容易由相同的访问路径识别出来。一般认为，可搜索加密方案除了泄露属性文件(Leakage Profile)披露的信息外，不揭示用户数据和查询信息，那么可搜索加密方案就被认为是安全的。但在现实世界中，攻击者却可以通过这些泄露信息发动统计攻击，恢复用户数据和查询信息。比如，Liu等人利用搜索模式泄露发动攻击,获取用户的查询信息。Zhang等人通过文件注入攻击能完整地揭露客户端的查询，恢复用户数据和查询信息。因此，已有的可搜索加密算法存在搜索模式和访问模式泄露的问题，但很少有同时解决这两个问题的方案。

为了解决上述问题，出现了一些解决方案，但大多数研究集中在前向安全和后向安全，例如：不经意随机访问机制(基于ORAM的方案)虽然能够在一定程度上隐藏访问模式和搜索模式，但是其主要通过混淆每一次访问过程，使其与随机访问不可区分，因此需要执行额外的操作来保护访问模式，通常会带来极大的开销，并不适用于一般的云应用环境。原则上，不向服务器泄露任何信息的解决方案可以基于强大的技术构建，如：安全多方计算(例如PIR)和全同态加密等技术，但安全多方计算(例如PIR)和全同态加密等技术虽然可以解决信息泄露的问题，但是需要强大功能的外部设备并且这样的***非常昂贵，因此不适用于一般的云应用环境。最近的研究表明有些方案利用多服务器实现隐藏搜索模式，例如：公开号CN110427771A，专利名称为“一种检索模式隐藏的可搜索加密方法、云服务器”中公开了一种通过利用辅助服务器为云服务器提供协助，帮助云服务器执行检索，并且在检索过程中，利用加法同态性生成结果多项式，保证搜索结果除用户想要的信息外，不会泄露其他任何信息，不仅可以隐藏搜索模式，还能支持多关键字查询。Hoang等人发表的(T.Hoang,A.A.Yavuz,and J.Guajardo,“Practical and secure dynamic searchable encryptionvia oblivious access on distributed data structure,”in Proceedings of the32nd Annual Conference on Computer Security Applications,2016,pp.302–313.)公开了一种不经意访问加密的数据结构的算法，该算法基于分布式数据结构。上述利用多服务器实现隐藏搜索模式方法中，多服务器之间的数据交换会造成信息泄露，存在安全隐患；此外，无法避免恶意服务器之间相互串通带来的新的安全问题。

发明内容

为了解决上述问题，本发明提供一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法，该可搜索加密方法基于单服务器，结合二级搜索、1-out-of-n不经意传输协议和Paillier加密算法对用户信息进行隐私保护，可以实现在云服务器上进行安全高效地检索数据，同时最大程度地保护用户隐私的目的。

一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法，包括以下步骤：

S1、获取原始数据，对原始数据进行预处理，采用Porter词干算法对数据进行处理，删除重复数据和无效数据，使非结构化数据结构化，得到预处理后的数据并储存在本地；

S2、初始化阶段：用户生成所需对称密钥和非对称密钥；首先基于预处理后的数据，过滤掉文件中的无用数据，提取关键字和文件的关系，基于关键字和文档的关系构建索引矩阵，利用对称密钥对索引矩阵进行加密，生成安全索引；利用对称加密算法对文件进行加密，生成加密文件；构建辅助数据结构来满足用户的不经意访问；将生成的安全索引、加密文件以及辅助数据结构上传至服务器；

S3、密文检索：用户生成搜索陷门，对服务器发起搜索请求；服务器接收到用户的搜索请求后，服务器根据搜索陷门执行查询过程，完成搜索；搜索完成后，对服务器的索引矩阵进行混洗。

进一步的，对称密钥的生成包括：采用元组ε(Gen,Enc,Dec)加密算法生成对称密钥，元组ε(Gen,Enc,Dec)加密算法的实施过程包括：

密钥生成：输入安全参数κ，并输出密钥k，表达式为：k←ε.Gen(1^κ)；

根据密钥k加密：输入密钥k和明文信息m,输出加密密文c，表达式为：c←ε.Enc_k(m)；

解密：输入密钥k和密文c，输出明文信息m，表达式为：m←ε.Dec_k(c)。

进一步的，非对称密钥的生成采用Paillier加密算法实现，包括：随机选择两个使Paillier密码***在语义上安全的加密参数，分别为第一加密参数p和第二加密参数q，p和q确保给定明文的重复加密生成不同的密文，防止明文攻击，且p和q满足最大公约数gcd(pq,(p-1)(q-1))＝1，根据加密参数设置公钥PK＝(n,g)，私钥SK＝(λ,μ)；其中，gcd表示求最大公约数函数，n表示第一公钥参数，且n为两个加密参数p和q的乘积n＝pq，λ表示第一私钥参数，且λ是p-1和q-1的最小公倍数值λ＝lcm(p-1,q-1)，lcm表示求最小公倍数函数，g表示第二公钥参数，且g为随机选择的整数

且满足n整除g的阶，μ表示第二私钥参数，且μ＝((g^λmodn²-1)/n)^-1modn，mod表示求余函数。

进一步的，索引矩阵I中关键字和文件的关系形式化为：

其中，I_ij表示索引矩阵中第i行第j列的元素，i，j分别表示索引矩阵的行和列，0≤i≤N，0≤j≤N，N表示关键字和文件数量的最大值，w_i表示第i个关键字，f_j表示第j个文件。

进一步的，所述辅助数据结构为二级映射表Ω(Mw,A)，二级映射表由一个地址映射表Mw(l,i)和一个数组A[i]构成，存于服务器，地址映射表Mw(l,i)存储键值对，键为关键字所属的块号l，值为i。

进一步的，用户生成搜索陷门包括：用户首次搜索时，根据关键字哈希表T_w确定待查询关键字的行号，并计算该关键字所属块号l，即搜索陷门，将l发送给服务器进行检索。用户若非首次查询，则查询字典D获取待查询关键字的行号，即x_i←D[w_i]，计算该关键字所属块号l，即搜索陷门，并将l发送给服务器进行检索，关键字所属块号l的计算表达式为：

其中ν表示数据块的大小，x表示行号。

进一步的，服务器根据搜索陷门执行查询过程包括：

S321：执行一级搜索：根据关键字所属块号l生成的搜索陷门查询二级映射Ω(Mw,A)中的地址映射表Mw(l,i)，根据i←Mw[l]可获得待查询关键字在数组A中的起始位置，此时再根据该起始位置顺序检索数组A，获得一个大小为ν的行号组row＝(r_i,...,r_i+v)；

S322：执行二级搜索：根据一级搜索获得的行号组row，检索加密索引矩阵，读取一个大小为ν的数据块B＝(b₁,..,b_ν)，该数据块为对称加密的密文；服务器与用户执行1-out-of-n不经意传输协议，在对称加密的密文基础上再进行一次加密，得到查询结果，并将查询结果发送给用户；

S323：用户解密：用户获得查询结果后，先根据1-out-of-n不经意传输协议进行第一次解密，即

获得对称加密的结果

再检索关键字哈希表T_w获得待查询关键字的初始行号，联合对称加密算法的解密密钥k对查询结果进行第二次解密，得到包含该待查询关键字的文件标识符集合，即

其中，γ_w表示包含该关键字的文件标识符集合。

进一步的，1-out-of-n不经意传输协议过程包括：服务器生成***参数(g,h,G(p))，p为公开的大素数，g,h为

的生成元，G(·)为有限域；用户根据字典D获取待检索关键字的行号x_i，即x_i←D[w_i]，随机选择r(r＜p)，计算用户发送给服务器的消息

将y发送给服务器；服务器接收到y后，计算(α₁,c₁),...,(α_ν,c_ν)，将(α₁,c₁),...,(α_ν,c_ν)发送给用户，其中

为辅助参数，c_ν为服务器发送给用户的消息密文，k_j为随机数。

进一步的，对服务器的索引矩阵进行混洗包括：用户构造置换矩阵、用户加密置换矩阵和服务器执行同态计算，具体包括：

S331、构造置换矩阵P，

S332、使用Paillier加密算法对置换矩阵P进行加密处理，得到加密的置换矩阵P'，将加密的置换矩阵P'发送给服务器；

S333、服务器对加密后的置换矩阵和加密后的索引矩阵执行同态计算，获得混洗过后的索引矩阵

即

进一步的，使用Paillier加密算法对置换矩阵P进行加密处理，得到加密的置换矩阵P'，具体实现方式包括：首先选择随机数

随机数满足0＜r＜n，最大公约数gcd(r,n)＝1，根据选择的随机数r，使用公钥PK对混淆矩阵M进行Paillier加密，得到加密的混淆矩阵P'＝PE.Enc_PK(P)，n表示第一公钥参数。

本发明的有益效果：

1.本发明以单服务器的角度出发，利用二级搜索和1-out-of-n不经意传输协议模糊搜索结果，并构建置换矩阵，利用Paillier加密算法对索引矩阵进行混洗，改变数据存放位置，进而改变用户的访问路径，从而实现对搜索模式和访问模式的隐藏，能够有效保护用户隐私数据。

2.检索更加高效：本发明利用“倒排索引”思想的“关键字-文档对”来构建索引矩阵，通过该数据结构找到包含待检关键字的所有文件。索引的构建使得检索更加高效。

3.通信开销小：利用Paillier加密实现对索引矩阵数据的混洗，只需上传混淆矩阵，无须下载-解密-交换-重传数据块，因此降低了通信开销。

4.安全性更优：利用二级搜索，1-out-of-n不经意传输协议和Paillier加密算法不经意的访问索引结构，使得查询过程更加安全。

附图说明

下面结合附图和具体实施方式对本发明做进一步详细的说明。

图1为本发明实施例的一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法***模型图；

图2本发明实施例的一种倒排索引矩阵示意图；

图3本发明实施例的一种二级索引示意图；

图4本发明实施例的一种不经意传输协议示意图；

图5本发明实施例的一种混洗过程示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示为本发明实施例的一种隐藏搜索模式和访问模式的可搜索加密的***模型图。在该***模型中，隐藏搜索模式和访问模式的可搜索加密方案主要包括用户和服务器两个实体。本发明的整体思路包括：首先，初始化阶段：用户利用对称加密算法生成对称密钥，用于加密索引矩阵和文件。利用Paillier加密算法生成非对称密钥，用于加密置换矩阵。同时，提取关键字-文档对的关系，构建索引矩阵，此时采用特制的可搜索加密方案生成安全索引。密文检索阶段：用户利用可搜索加密方案生成搜索陷门，将其发送给服务器，服务器通过检索二级映射确定搜索关键字所在的块位置，并利用1-out-of-n不经意传输协议再次加密将结果返回给用户。最后，用户发送Paillier加密的置换矩阵给服务器，在服务器端与索引矩阵进行同态计算，改变索引矩阵中数据的位置。

本发明实施例的一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法包括但不限于以下实施过程：

S1：获取原始数据，对原始数据进行预处理，得到预处理后的数据。

本发明原始数据的获取可以直接从现有的网络公开数据集中获取，需要获取的原始数据包括关键字和文档的对应关系。具体地，包括以下实施过程：

S11：获取原始数据。本发明利用现有数据源获得原始的邮件数据集Enron。

S12：预处理：通常获取的原始数据都是非结构化的，不能直接用于构建索引，因此需要基于获取的原始数据进行简单的数据处理。本发明采用Porter词干算法对数据进行处理，删除重复数据和无效数据等，使大部分非结构化数据结构化，得到预处理后的数据。

S13：存储数据。将预处理后的数据存入本地，用于后续构建索引和加密操作。

S2、初始化阶段。用户调用对称加密算法生成对称密钥，用于在后续步骤中加密索引矩阵和文件，用户调用Paillier加密算法生成非对称密钥，用于在后续步骤中加密置换矩阵；基于预处理后的数据，过滤掉数据集中的无用数据，提取关键字-文档对的关系，并构建索引矩阵，调用对称加密算法对索引矩阵进行加密，生成安全索引；调用对称加密算法对预处理后的文件进行加密，生成加密文件；构建辅助数据结构来满足用户的不经意访问；将安全索引、加密文件以及辅助数据结构进行加密上传至服务器。

S21：生成密钥：本实施例中主要是用户执行密钥生成算法生成对称密钥和非对称密钥。

在一个实施例中，对称密钥的生成可以采用元组ε(Gen,Enc,Dec)加密算法实现，该算法是一个IND-CPA加密方案,主要用于加密索引矩阵和文件。具体地，采用元组ε(Gen,Enc,Dec)加密算法生成对称密钥的实施过程包括：

k←ε.Gen(1^κ):密钥生成算法。输入安全参数κ，并输出密钥k。

c←ε.Enc_k(m):加密算法。输入密钥k和明文信息m,输出加密密文c。

m←ε.Dec_k(c):解密算法。输入密钥k和密文c，输出明文信息m。

需要说明的是，对称密钥的生成还可以采用其他可以实现的加密方式。

在一个实施例中，非对称密钥的生成可以采用Paillier加密算法实现，主要用于加密置换矩阵和进行同态计算。具体地，采用Paillier加密算法生成非对称密钥的实施过程包括：随机选择两个使Paillier密码***在语义上安全的加密参数，分别为第一加密参数p和第二加密参数q，p和q确保给定明文的重复加密生成不同的密文，防止明文攻击，且p和q满足最大公约数gcd(pq,(p-1)(q-1))＝1，根据加密参数设置公钥PK＝(n,g)，私钥SK＝(λ,μ)。其中，gcd表示求最大公约数函数，n表示第一公钥参数，且n为两个加密参数p和q的乘积n＝pq，λ表示第一私钥参数，且λ是p-1和q-1的最小公倍数值，λ＝lcm(p-1,q-1)，lcm表示求最小公倍数函数，g表示第二公钥参数，且g为随机选择的整数

且满足n整除g的阶，μ表示第二私钥参数，且μ＝((g^λmodn²-1)/n)^-1modn，mod表示求余函数。因此Paillier加密算法可形式化为PE＝(Gen,Enc,Dec)，Paillier加密算法的整个加密解密过程具体为：

(PK,SK)←PE.Gen(p,q)：密钥生成算法。输入两个大的质数，输出公钥PK，私钥SK。

c←PE.Enc_PK(m)：加密算法。输入明文消息m，输出密文c，其中c＝rⁿg^mmodn²。

m←PE.Dec_SK(c)：解密算法。输入密文c，输出明文消息m，其中

需要说明的是，非对称密钥的生成还可以采用其他可以实现的加密方式。

S22：构建索引矩阵。本实施例中构建一个“关键字-文档”的倒排索引(如图2所示)。

首先构建索引矩阵：对处理过后的数据集进行关键字提取，利用两个哈希表T_f,T_w来确定关键字和文件在索引矩阵中的行号和列号，其中，T_f为文件哈希表，T_w为关键字哈希表。再根据关键字和文件的对应关系构成一个索引矩阵I。在该索引矩阵中，行表示关键字，列表示文件，若某个文件包含了该关键字，则索引矩阵的对应位置记为1，否则记为0。索引矩阵I中关键字和文件的关系形式化为：

构建好索引矩阵I后，利用对称密钥加密索引矩阵，得到生成安全索引，即加密后的索引矩阵I'[i,j]。加密过程包括：利用生成的对称密钥k联合行号依次加密索引矩阵的每一行，即I'[i,j]←ε.Enc_k||i(I[i,j])，其中，I'[i,j]表示加密后的索引矩阵。

在用户进行数据访问时，由于访问时间的随机性和不确定性，除了主要的索引矩阵外，还需要构建辅助数据结构来实现用户的不经意访问。辅助数据结构可以是一个二级映射表，构建二级映射表的目的是确定用户的搜索范围，模糊搜索结果。如图3所示，二级映射表Ω(Mw,A)主要由一个地址映射表Mw(l,i)和一个数组A[i]构成，存于服务器。其中，地址映射表Mw(l,i)存储键值对，键为关键字所属的块号l，值为i。数组A[i]存储索引矩阵的行号(1,...,m)。地址映射表Mw(l,i)为块级索引，对数组A中的元素进行分块检索，因此，i为数组A中每一个数据块的起始位置。

在客户端维护一个字典D。每次混洗之后，关键字在索引矩阵中的位置会发生改变，因此字典D用于存储每个关键字的新位置。字典D的表达形式为：D[w]＝x，其中，w表示关键字，x表示行号。

S23：上传加密信息。用户将初始化阶段生成的加密文件、加密后的索引矩阵(安全索引)以及二级映射表上传给服务器，以供后期的密文检索阶段。

S3、密文检索阶段。本实施例中密文检索主要包括三个阶段：

第一阶段，用户构造搜索陷门发起查询。用户首次搜索时，根据关键字哈希表T_w确定待查询关键字的行号，并计算该关键字所属块号l，即搜索陷门，将l发送给服务器进行检索。用户若非首次查询，则查询字典D获取待查询关键字的行号，即x_i←D[w_i]，计算该关键字所属块号l，即搜索陷门，并将l发送给服务器进行检索。关键字所属块号l的计算表达式为：

其中ν表示数据块的大小，x表示行号。

第二阶段，服务器根据搜索陷门执行查询过程，主要包括查询二级映射表，确定搜索范围后再检索索引矩阵，最后检索数据块并返回给客户端。

服务器执行查询过程包括：

S321：执行一级搜索。根据关键字所属块号l生成的搜索陷门查询二级映射Ω(Mw,A)中的地址映射表Mw(l,i)，根据i←Mw[l]可获得待查询关键字在数组A中的起始位置，此时再根据该起始位置顺序检索数组A，获得一个大小为ν的行号组row＝(r_i,...,r_i+v)。

S322：执行二级搜索。根据一级搜索获得的行号组row，检索加密索引矩阵，读取一个大小为ν的数据块B＝(b₁,..,b_ν)，注意，该数据块为对称加密的密文。

S323：执行1-out-of-n不经意传输协议：不经意传输协议是指协议参与方以一种模糊化的方式传递信息，从而有效保护参与方的隐私。如图4所示，1-out-of-n不经意传输协议主要的性质为：若发送者拥有n则消息m₁,m₂,...,m_n∈G(p)，要求接收方最后只能得到所选择消息m_σ，其中(1≤σ≤n)，而无法获得其他n-1则消息。

1-out-of-n不经意传输协议过程如下：服务器生成***参数(g,h,G(p))，p为公开的大素数，g,h为

的生成元，G(·)为有限域。用户根据字典D获取待检索关键字的行号x_i，即x_i←D[w_i]，随机选择r(r＜p)，计算用户发送给服务器的消息

将y发送给服务器；服务器接收到y后，计算(α₁,c₁),...,(α_ν,c_ν)，并将(α₁,c₁),...,(α_ν,c_ν)发送给用户。其中

α_ν为辅助参数，c_ν为服务器发送给用户的消息密文，k_j为随机数。注意，该加密过程是在对称加密的密文基础上再进行一次加密。

S323：用户解密。用户需要进行两次解密。用户获得查询结果(即上述不经意传输的结果(α₁,c₁),...,(α_ν,c_ν))后，先根据1-out-of-n不经意传输协议进行第一次解密，由1-out-of-n不经意传输协议的性质可知，我们只能解密我们所选择的消息，即

获得对称加密的结果

此时再检索关键字哈希表T_w获得待查询关键字的初始行号，联合对称加密算法的解密密钥k对查询结果进行第二次解密，得到包含该待查询关键字的文件标识符集合，即

其中γ_w表示包含该待查询关键字的文件标识符集合。此时，除了待查询关键字所在行被解密之外，该数据块中其余多余的数据将不会被解密。这不仅降低了解密时的计算开销，同时非查询关键字的相关信息也得到保护。

第三阶段，服务器进行索引矩阵混洗，改变索引矩阵中行的位置。搜索结束后，为了隐藏搜索模式和访问模式，保护用户隐私，需要对服务器的索引矩阵进行混洗。混洗过程如图5所示，混洗的具体过程主要包括：用户构造置换矩阵、用户加密置换矩阵，服务器执行同态计算。

本实施例中给出一种矩阵变换形式，用于理解混洗过程的计算方式。混洗过程可以采用基于矩阵的数据置换方式实现，具体描述如下：

置换矩阵的构造阶段：给一个数据序列B＝(B₁,...,B_n)，和一个n×n置换矩阵π，矩阵的点乘运算B·π可以对数据序列进行置换。比如，给一个数据序列

和一个置换矩阵

可以改变数据序列中数据的位置，计算表达式如下所示：

在一个实施例中，置换矩阵P的实现如下：用π_i＝i'表示一个随机置换函数，其中i＝1,...,2n。通过从集合{1,...,2n}中随机均匀的选择来生成一个置换π。让p_i,j表示置换矩阵P中第i行j列的值，可以实现一个置换矩阵P表示为

置换矩阵的加密处理阶段：使用Paillier加密算法对置换矩阵P进行加密处理，得到加密的置换矩阵P'。具体实现方式包括：首先选择随机数

随机数满足0＜r＜n，最大公约数gcd(r,n)＝1，根据选择的随机数r，使用公钥PK对置换矩阵P进行Paillier加密，得到加密的置换矩阵P'＝PE.Enc_PK(P)，将加密的置换矩阵P'发送给服务器。

由于Paillier加密中采用的随机数r是随机生成数，对于相同的明文，随机数r改变则密文也会相应的发生变化，因此Paillier加密满足语义安全性。

执行同态计算：本实施例中，服务器对加密后的置换矩阵P'和加密后的索引矩阵I'[i,j]执行同态计算，获得混洗过后的索引矩阵

即

由于执行同态计算之后，获得的结果是同态加密的结果，不利于下一次的数据混洗，所以在下一次搜索之前，需要使用私钥SK对该结果进行同态解密，即

其中，I″表示解密后的结果。对同态加密的结果进行同态解密后，进行下一次索引矩阵的混洗过程，索引矩阵混洗的次数由用户确定。

本发明以单服务器的角度出发，利用二级搜索模糊搜索结果，利用Paillier加密算法对索引矩阵进行混洗，改变数据存放位置，进而改变用户的访问路径，从而实现对搜索模式和访问模式的隐藏。本发明综合考虑了用户隐私在网络中遭到不稳定因素的巨大威胁，因此该发明对用户隐私数据保护有应用价值，可应用于医疗数据，财务安全等隐私数据的保护领域中。

需要说明的是，本领域普通技术人员可以理解实现上述方法实施例中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法实施例的流程。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(Read-0nly Memory，ROM)或随机存储记忆体(RandomAccess Memory，RAM)等。

以上所述仅是本申请的具体实施方式，应当指出，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims

1.一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法，其特征在于，对称密钥的生成包括：采用元组ε(Gen,Enc,Dec)加密算法生成对称密钥，元组ε(Gen,Enc,Dec)加密算法的实施过程包括：

3.根据权利要求1所述的一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法，其特征在于，非对称密钥的生成采用Paillier加密算法实现，包括：随机选择两个使Paillier密码***在语义上安全的加密参数，分别为第一加密参数p和第二加密参数q，p和q确保给定明文的重复加密生成不同的密文，防止明文攻击，且p和q满足最大公约数gcd(pq,(p-1)(q-1))＝1，根据加密参数设置公钥PK＝(n,g)，私钥SK＝(λ,μ)；其中，gcd表示求最大公约数函数，n表示第一公钥参数，且n为两个加密参数p和q的乘积n＝pq，λ表示第一私钥参数，且λ是p-1和q-1的最小公倍数值，λ＝lcm(p-1,q-1)，lcm表示求最小公倍数函数，g表示第二公钥参数，且g为随机选择的整数

且满足n整除g的阶，μ表示第二私钥参数，且μ＝((g^λmod n²-1)/n)^-1mod n，mod表示求余函数。

4.根据权利要求1所述的一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法，其特征在于，索引矩阵I中关键字和文件的关系形式化为：

5.根据权利要求1所述的一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法，其特征在于，所述辅助数据结构为二级映射表Ω(Mw,A)，二级映射表由一个地址映射表Mw(l,i)和一个数组A[i]构成，存于服务器，地址映射表Mw(l,i)存储键值对，键为关键字所属的块号l，值为i。

6.根据权利要求1所述的一种电商平台中隐藏搜索模式和访问模式的可搜索加密方法，其特征在于，用户生成搜索陷门包括：用户首次搜索时，根据关键字哈希表T_w确定待查询关键字的行号，并计算该关键字所属块号l，即搜索陷门，将l发送给服务器进行检索。用户若非首次查询，则查询字典D获取待查询关键字的行号，即x_i←D[w_i]，计算该关键字所属块号l，即搜索陷门，并将l发送给服务器进行检索，关键字所属块号l的计算表达式为：