CN117478329B - 基于身份密钥封装的多用户抗合谋密文检索方法及设备 - Google Patents

Abstract

本发明公开了一种基于身份密钥封装的多用户抗合谋密文检索方法及设备，包括了基于身份密钥封装方法和多用户抗合谋密文检索方法两部分；所述的一种基于用户身份密钥封装方法，解决了对称可搜索加密方案中对称密钥难分发问题，以及公钥分发策略开销大等问题，实现了常量级客户端存储开销，优化了数据拥有者的计算开销，使得***效率显著提升。所述的一种多用户抗合谋密文检索方法，解决了恶意用户与服务器合谋问题、前后向隐私泄露问题，设计了可计数更新模式来记录最新状态，保护了前后向隐私安全；设计了不可链接的密钥派生方法，实现了用户搜索信息的不可链接性，使得服务器无法捕获合法用户隐私信息，显著提高了***安全性。

Description

基于身份密钥封装的多用户抗合谋密文检索方法及设备

技术领域

本发明属于应用密码学中密文检索技术领域，涉及一种基于身份密钥封装的多用户抗合谋密文检索方法及设备，具体涉及一种基于用户身份密钥封装方法、基于用户身份密钥封装的多用户抗合谋的安全检索方法及设备。

背景技术

云存储服务促进了数据共享的蓬勃发展，但也带来了严重的数据安全和隐私风险。众所周知，数据加密可以很好地保护数据机密性，但是以损失数据可用性为代价，导致数据访问和检索困难。为了实现加密云数据的搜索，密文检索技术被提出，保证了用户数据的安全和隐私的同时又保证了可用性。起初学者们提出的密文检索方案都是针对静态数据库，对于加密上传到云服务器中的数据无法实现动态更新、添加和删除操作，这在实际场景中明显不适用。为了解决这一问题，各种动态密文检索方案被提出。但是上述的这些可搜索对称加密方案中都是针对“一对一”模式，即数据搜索用户就是上传密文索引的数据拥有者。

随着云存储和云计算的不断发展，实际中的外包云存储密文频繁与多个用户共享，因此实现数据安全共享成为必然选择。为打破传统的“一对一”检索模式，学者们提出了多用户动态可搜索对称加密技术，实现了“一对多”检索模式，即数据拥有者能够将数据外包至云服务器，其他用户来执行搜索请求。现有的实现多用户可搜索加密技术中公钥加密似乎是一种常规策略。然而，这些解决方案在授权过程中需要执行大量的双线性对运算和指数运算，给数据所有者带来了相当大的计算负担。此外，绝大多数方案都无法抵御腐败用户和云服务器之间的勾结，其中服务器可以根据腐败用户提供的检索信息进一步推断出合法用户发出的搜索请求，导致用户隐私信息的泄露。

针对上述的场景和实际应用需求，目前现存的设计难以兼顾效率和安全性。因此，考虑如何实现高效，安全抗合谋的检索方法及设备是本领域迫切需要解决的问题。

发明内容

鉴于以上对于数据共享需求，效率可用性，抗合谋安全等需求以及上述传统方案的弊端，本发明提供了一种基于身份密钥封装的多用户抗合谋密文检索方法及设备。

本发明的方法所采用的技术方案是：一种基于身份密钥封装的方法，应用于基于用户密钥封装下的多用户抗合谋密文检索***中；所述***参与实体包括数据拥有者，若干数据用户和云服务器；

所述方法具体包括以下步骤：

步骤A1：***初始化；

输入安全参数λ，初始化生成***公开参数par，主公钥mpk，主私钥msk，其中公开参数par包括生成元g，素数阶p，哈希函数H和双线性映射e，群G和G₁，并将公开参数提供给***参与实体；

步骤A2：用户密钥生成；

基于主私钥msk和用户身份标识符id，生成用户身份私钥sk_id；

步骤A3：基于用户身份封装；

基于用户身份标识符id和主公钥mpk，生成封装密文ε和封装密钥k；

步骤A4：解封装；

基于用户身份私钥sk_id和封装密文ε，最终输出封装密钥k，或解封装失败输出终止符号。

作为优选，步骤A1中，输入安全参数λ∈N，初始化生成***公开参数par＝{e,g,p,G,G₁,N,H,}，其中e:G×G→G₁为双线性映射，g为群G的生成元，p为群G的素数阶，N为正整数群，H:{0,1}*→G和G₁×N→K为两个哈希函数；主公钥mpk←g^s，其中/>为选择的随机数，定义msk←s为主私钥。

作为优选，步骤A2中，用户输入身份标识id_j∈{0,1}^*，以及密钥生成操作所需的主私钥msk←s，最终输出用户身份密钥并发送给用户进行本地保存。

作为优选，步骤A3中，数据拥有者输入多个用户身份标识id_j以及主公钥mpk←g^s，随机选择一个随机数然后计算密文/>以及密钥k_j←(e(H(id_j),(g^s)^r),j)，最终定义/>为封装密文，k_j为封装密钥。

作为优选，步骤A4中，数据用户输入自身保存的身份密钥以及封装密文/>最终用户输出被传输的封装密钥k_j←(e(H(id_j)^s,g^r),j)，或者解封装失败输出终止符号。

本发明提供的一种基于身份密钥封装的多用户抗合谋密文检索方法，应用于基于用户密钥封装下的多用户抗合谋密文检索***中；

所述方法具体包括以下步骤：

步骤B1：***初始化；

输入安全参数λ，以及多用户的身份标识符集合初始化生成***公开参数par，主公钥mpk，主私钥msk，用户的身份私钥信息sk，初始化最新状态信息st，以及空的加密数据库EDB；

步骤B2：加密索引更新；

数据拥有者对所有数据进行加密保护，生成密文索引；输入最新的状态信息st，动态更新操作类型op，其中包括了增加操作add和删除操作del，更新的明文关键词-文件标识符对(w,ind)，主密钥mpk，和用户身份标识符集合最终生成密文索引(addr，value)和基于身份密钥封装密文，并更新至加密数据库EDB中；

步骤B3：生成令牌搜索；

数据用户根据自身需要检索的关键词生成相应的搜索令牌token，并发送给云存储服务器；云存储服务器执行检索过程，并返回检索结果给数据用户；数据用户收到检索结果后，执行解密操作获得明文数据信息。

作为优选，步骤B1中，输入安全参数λ∈N，生成数据拥有者私钥k∈{0,1}^λ，最新状态信息st，以及初始化空的加密数据库EDB发送给服务器；

对于多个数据用户初始化过程，输入用户身份标识符集合执行初始化算法生成公开参数par＝{e,g,p,G,G₁,N,H,}，其中e:G×G→G₁为双线性映射，g为群G的生成元，p为群G的素数阶，N为正整数群，H:{0,1}*→G和/>G₁×N→K为两个哈希函数，主公钥mpk←g^s，其中/>为选择的随机数，定义msk←s为主私钥，和用户身份私钥

作为优选，步骤B2中，数据拥有者输入加密私钥k∈{0,1}^λ，用户的身份标识符集合待更新的明文关键词-文件标识符对(w,ind)，动态更新操作的类型op∈{add,del}；数据拥有者首先执行密钥封装操作生成封装密文ε_j和封装密钥k_j，授权关键词w给用户id_j访问时，生成对应的派生密钥k_w←F(k,w||id_j||t)，和k′_w←F(k,w||id_j||-1)，其中，t表示时间戳，派生密钥k_w和k′_w绑定了唯一的用户身份标识符id_j；然后执行索引加密操作，记录加密操作的时间戳t，计算密文索引地址addr←F(k_w,T_ct[w])，其中T_ct[w]为相应关键词w对应的文档标识符计数器，计算文件标识符的密文值/> 和e←DEM(k_j,ind)，其中DEM为对称加密算法；将相关授权信息添加到用户id_j可访问列表中Access.List[id_j]←(w,k_w,k′_w,T_ct[w])，并执行加密操作生成授权密文d_j←DEM(k_j,Access.List[id_j])；最终，将密文索引信息addr，value，e，以及封装密文ε_j和授权密文d_j一起发送至服务器中；服务器接收到密文索引信息之后，添加到密文数据库中EDB[addr]←(value,e)，并保存封装密文和授权密文信息(ε_j,d_j)，以供后续数据用户执行搜索操作。

作为优选，步骤B3中，数据用户首先从服务器检索相关的封装密文和授权密文(ε_j,d_j)，输入用户身份私钥执行解封装算法/>和授权密文解密算法Access.List[id_j]←DEM^-1(k_j,d_j)，最终解析获得授权的访问列表Access.List[id_j]←(w,k_w,k′_w,T_ct[w])；数据用户发送搜索令牌(k_w,T_ct[w])给服务器，当服务器接收到搜索令牌后，首先计算搜索地址saddr←F(k_w,i)和哈希值hash←H₁(k_w,i)，其中i∈[1,T_ct[w]]，执行搜索操作(value,e)←EDB[saddr]，进一步计算/>当op＝del时，则不返回密文e；当op＝add时，将密文e返回给数据用户执行最终解密操作，获得与搜索的关键词w相匹配的文件标识符ind信息。

本发明的设备所采用的技术方案是：一种基于身份密钥封装下的多用户抗合谋密文检索设备，包括：一个或多个处理器；

存储装置，用于存储一个或者多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现所述的基于身份密钥封装下的多用户抗合谋密文检索方法。

本发明相比现有技术，其优点和积极效果主要体现在一下几个方面：

(1)本发明提出了一种基于身份的密钥封装方法，该方法解决了对称可搜索加密方案中对称密钥难分发问题，以及公钥密码算法分发策略开销大等问题，实现了常量级客户端存储开销，优化了数据拥有者的计算开销，显著提升了***效率。

(2)本发明提供的一种全动态安全的多用户抗合谋密文检索方法，该方法设计了不可链接的派生密钥生成方法，实现了用户搜索信息的不可链接性，使得服务器无发从恶意用户搜索的信息中推测其他合法用户隐私信息，同时考虑可计数更新模式来记录最新状态，保护了前后向隐私安全，显著提高了***的安全性。

附图说明

下面使用实施例，以及具体实施方式作进一步说明本文的技术方案。另外，在说明技术方案的过程中，也使用了一些附图。对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图以及本发明的意图。

图1为本发明实施例中***框架图；

图2为本发明实施例中加密索引更新过程原理图；

图3为本发明实施例中多用户抗合谋密文检索方法原理图。

具体实施方式

为了便于本领域普遍技术人员的理解和实施本发明，下面结合附图及实施例对本发明作为进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

本实施例提供的一种基于身份密钥封装的方法，应用于基于用户密钥封装下的多用户抗合谋密文检索***中；

请见图1，***参与实体包括数据拥有者，多个数据用户和云服务器；

本实施例的基于用户身份密钥封装方法的具体实现包括以下阶段：

在***初始化阶段，输入安全参数λ，初始化生成***公开参数par，主公钥mpk，主私钥msk相关信息，其中公开参数par包括生成元g，素数阶p，哈希函数H，和双线性映射e，群G和G₁，并将公开参数提供给***参与实体；

在一种实施方式中，安全参数λ∈N，初始化生成***公开参数 其中e:G×G→G₁为双线性映射，g为群G的生成元，p为群G的素数阶，N为正整数群，H:{0,1}*→G，和/>G₁×N→K为两个哈希函数，主公钥mpk←g^s，其中/>为选择的随机数，定义msk←s为主私钥。

在用户密钥生成阶段，输入主密钥msk，和用户身份标识符id，生成用户身份私钥sk_id用于后续执行解封装算法；

在一种实施方式中，用户输入身份标识id_j∈{0,1}^*，以及密钥生成操作所需的主密钥msk←s，最终输出用户身份密钥并发送给用户进行本地保存。该密钥也是后续解封装算法中的解封装密钥。

在基于用户身份封装阶段中，输入用户身份标识符id，输入主密钥mpk，该算法生成封装密文ε和封装密钥k；

在一种实施方式中，数据拥有者输入多个用户身份表示id_j以及主公钥mpk←g^s，随机选择一个随机数然后计算密文/>以及密钥k_j←(e(H(id_j),(g^s)^r),j)，最终定义/>为封装密文，k_j为封装密钥。

在解封装阶段中，输入用户身份私钥sk_id和封装密文ε，该算法最终输出封装密钥k，或者解封装失败输出终止符号；

在一种实施方式中，数据用户输入自身保存的身份密钥以及封装密文/>最终用户输出被传输的封装密钥k_j←(e(H(id_j)^s,g^r),j)，或者解封装失败输出终止符号。

请见图2和图3，本实施例提供的一种基于身份密钥封装下的多用户抗合谋密文检索方法，具体实现包括以下阶段：

在***初始化阶段，输入安全参数λ，以及多用户的身份标识符集合初始化生成***公开参数par，主公钥mpk，主私钥msk，用户的身份私钥信息sk，初始化最新状态信息st，以及空的加密数据库EDB；

在一种实施方式中，输入安全参数λ∈N，生成数据拥有者私钥k∈{0,1}^λ，最新状态信息st，以及初始化空的加密数据库EDB发送给服务器。对于多个数据用户初始化过程，输入用户身份标识符集合执行初始化算法生成公开参数其中e:G×G→G₁为双线性映射，g为群G的生成元，p为群G的素数阶，N为正整数群，H:{0,1}*→G，和/>G₁×N→K为两个哈希函数，主公钥mpk←g^s，其中为选择的随机数，定义msk←s为主私钥，和用户身份私钥/>

在加密索引更新阶段，数据拥有者对所有数据进行加密保护，生成密文索引。输入最新的状态信息st，动态更新操作类型op，其中包括了增加操作add和删除操作del，更新的明文关键词-文件标识符对(w,ind)，主密钥mpk，和用户身份标识符集合最终生成密文索引(addr，value)和封装密文，并更新至加密数据库EDB中；

在一种实施方式中，数据拥有者输入加密私钥k∈{0,1}^λ，用户的身份标识符集合待更新的明文关键词-文件标识符对(w,ind)，动态更新操作的类型op∈{add,del}。数据拥有者首先执行密钥封装操作生成封装密文ε_j和封装密钥k_j，授权关键词w给用户id_j访问时，生成对应的派生密钥k_w←F(k,w||id_j||t)，和k′_w←F(k,w||id_j||-1)，其中派生密钥k_w和k′_w绑定了唯一的用户身份标识符id_j，因此在后续执行搜索时，即使不同用户搜索相同关键词时，服务器也不能从中获取隐私信息，从而实现了抗合谋。然后执行索引加密操作，记录加密操作的时间戳t，计算密文索引地址addr←F(k_w,T_ct[w])，其中T_ct[w]为相应关键词w对应的文档标识符计数器，计算文件标识符的密文值/> 和e←DEM(k_j,ind)，其中DEM可以视为对称加密算法。进一步地，将相关授权信息添加到用户id_j可访问列表中Access.List[id_j]←(w,k_w,k′_w,T_ct[w])，并执行加密操作生成授权密文d_j←DEM(k_j,Access.List[id_j])。最终，将密文索引信息addr，value，e，以及封装密文ε_j和授权密文d_j一起发送至服务器中。服务器接收到密文索引信息之后，添加到密文数据库中EDB[addr]←(value,e)，并保存封装密文和授权密文信息(ε_j,d_j)，以供后续数据用户执行搜索操作。

在生成令牌搜索阶段，数据用户根据自身需要检索的关键词生成相应的搜索令牌token，并发送给云存储服务器；云存储服务器执行检索过程，并返回检索结果给数据用户。数据用户收到检索结果后，执行解密操作获得明文数据信息；

在一种实施方式中，数据用户首先从服务器检索相关的封装密文和授权密文(ε_j,d_j)，输入用户身份私钥执行解封装算法/>和授权密文解密算法Access.List[id_j]←DEM^-1(k_j,d_j)，最终解析获得授权的访问列表Access.List[id_j]←(w,k_w,k′_w,T_ct[w])。进一步地，数据用户发送搜索令牌(k_w,T_ct[w])给服务器。当服务器接收到搜索令牌后，首先计算搜索地址saddr←F(k_w,i)，和哈希值hash←H₁(k_w,i)，其中i∈[1,T_ct[w]]，执行搜索操作(value,e)←EDB[saddr]，进一步计算/> 当op＝del时，则不返回密文e；当op＝add时，将密文e返回给数据用户执行最终解密操作，获得与搜索的关键词w相匹配的文件标识符ind信息。

本发明解决了对称可搜索加密方法中多用户检索效率和安全性低的困难，设计了基于身份密钥封装下的多用户抗合谋密文检索方法，实现了常量级用户存储开销，优化了数据拥有者的计算开销，同时实现了可抵抗合谋和前后向安全性；此结构在密文检索领域的应用，显著提高***的安全性。

本发明能够在云存储，数据安全、区块链等更多领域，为使用者提供可靠、安全的搜索密文检索方法。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims (10)

1.一种基于身份密钥封装的方法，应用于基于用户密钥封装下的多用户抗合谋密文检索***中；所述***参与实体包括数据拥有者，若干数据用户和云服务器；

其特征在于，包括以下步骤：

步骤A1：***初始化；

输入安全参数λ，初始化生成***公开参数par，主公钥mpk，主私钥msk，其中公开参数par包括生成元g，素数阶p，哈希函数H和双线性映射e，群G和G₁，并将公开参数提供给***参与实体；

步骤A2：用户密钥生成；

基于主私钥msk和用户身份标识符id，生成用户身份私钥sk_id；

步骤A3：基于用户身份封装；

基于用户身份标识符id和主公钥mpk，生成封装密文ε和封装密钥k；

步骤A4：解封装；

基于用户身份私钥sk_id和封装密文ε，最终输出封装密钥k，或解封装失败输出终止符号。

2.根据权利要求1所述的基于身份密钥封装的方法，其特征在于：步骤A1中，输入安全参数λ∈N，初始化生成***公开参数其中e:G×G→G₁为双线性映射，g为群G的生成元，p为群G的素数阶，N为正整数群，H:{0,1}*→G和G₁×N→K为两个哈希函数；主公钥mpk←g^s，其中/>为选择的随机数，定义msk←s为主私钥。

3.根据权利要求2所述的基于身份密钥封装的方法，其特征在于：步骤A2中，用户输入身份标识id_j∈{0,1}^*，以及密钥生成操作所需的主私钥msk←s，最终输出用户身份密钥并发送给用户进行本地保存。

4.根据权利要求3所述的基于身份密钥封装的方法，其特征在于：步骤A3中，数据拥有者输入多个用户身份标识id_j以及主公钥mpk←g^s，随机选择一个随机数然后计算密文/>以及密钥k_j←(e(H(id_j),(g^s)^r),j)，最终定义/>为封装密文，k_j为封装密钥。

5.根据权利要求4所述的基于身份密钥封装的方法，其特征在于：步骤A4中，数据用户输入自身保存的身份密钥以及封装密文/>最终用户输出被传输的封装密钥k_j←(e(H(id_j)^s,g^r),j)，或者解封装失败输出终止符号。

6.一种基于身份密钥封装的多用户抗合谋密文检索方法，应用于基于用户密钥封装下的多用户抗合谋密文检索***中；

其特征在于，包括以下步骤：

步骤B1：***初始化；

输入安全参数λ，以及多用户的身份标识符集合初始化生成***公开参数par，主公钥mpk，主私钥msk，用户的身份私钥信息sk，初始化最新状态信息st，以及空的加密数据库EDB；

步骤B2：加密索引更新；

数据拥有者对所有数据进行加密保护，生成密文索引；输入最新的状态信息st，动态更新操作类型op，其中包括了增加操作add和删除操作del，更新的明文关键词-文件标识符对(w,ind)，主密钥mpk，和用户身份标识符集合最终生成密文索引(addr，value)和基于身份密钥封装密文，并更新至加密数据库EDB中；

步骤B3：生成令牌搜索；

数据用户根据自身需要检索的关键词生成相应的搜索令牌token，并发送给云存储服务器；云存储服务器执行检索过程，并返回检索结果给数据用户；数据用户收到检索结果后，执行解密操作获得明文数据信息。

7.根据权利要求6所述的基于身份密钥封装的方法，其特征在于：步骤B1中，输入安全参数λ∈N，生成数据拥有者私钥k∈{0,1}^λ，最新状态信息st，以及初始化空的加密数据库EDB发送给服务器；

对于多个数据用户初始化过程，输入用户身份标识符集合执行初始化算法生成公开参数/>其中e:G×G→G₁为双线性映射，g为群G的生成元，p为群G的素数阶，N为正整数群，H:{0,1}*→G和/>G₁×N→K为两个哈希函数，主公钥mpk←g^s，其中/>为选择的随机数，定义msk←s为主私钥，和用户身份私钥

8.根据权利要求7所述的基于身份密钥封装的方法，其特征在于：步骤B2中，数据拥有者输入加密私钥k∈{0,1}^λ，用户的身份标识符集合待更新的明文关键词-文件标识符对(w,ind)，动态更新操作的类型op∈{add,del}；数据拥有者首先执行密钥封装操作生成封装密文ε_j和封装密钥k_j，授权关键词w给用户id_j访问时，生成对应的派生密钥k_w←F(k,w||id_j||t)，和k′_w←F(k,w||id_j||-1)，其中，t表示时间戳，派生密钥k_w和k′_w绑定了唯一的用户身份标识符id_j；然后执行索引加密操作，记录加密操作的时间戳t，计算密文索引地址addr←F(k_w,T_ct[w])，其中T_ct[w]为相应关键词w对应的文档标识符计数器，计算文件标识符的密文值/>和e←DEM(k_j,ind)，其中DEM为对称加密算法；将相关授权信息添加到用户id_j可访问列表中Access.List[id_j]←(w,k_w,k′_w,T_ct[w])，并执行加密操作生成授权密文d_j←DEM(k_j,Access.List[id_j])；最终，将密文索引信息addr，value，e，以及封装密文v_j和授权密文d_j一起发送至服务器中；服务器接收到密文索引信息之后，添加到密文数据库中EDB[addr]←(value,e)，并保存封装密文和授权密文信息(ε_j,d_j)，以供后续数据用户执行搜索操作。

9.根据权利要求8所述的基于身份密钥封装的方法，其特征在于：步骤B3中，数据用户首先从服务器检索相关的封装密文和授权密文(ε_j,d_j)，输入用户身份私钥执行解封装算法/>和授权密文解密算法Access.List[id_j]←DEM^-1(k_j,d_j)，最终解析获得授权的访问列表Access.List[id_j]←(w,k_w,k′_w,T_ct[w])；数据用户发送搜索令牌(k_w,T_ct[w])给服务器，当服务器接收到搜索令牌后，首先计算搜索地址saddr←F(k_w,i)和哈希值hash←H₁(k_w,i)，其中i∈[1,T_ct[w]]，执行搜索操作(value,e)←EDB[saddr]，进一步计算/>当op＝del时，则不返回密文e；当op＝add时，将密文e返回给数据用户执行最终解密操作，获得与搜索的关键词w相匹配的文件标识符ind信息。

10.一种基于身份密钥封装下的多用户抗合谋密文检索设备，其特征在于，包括：一个或多个处理器；

存储装置，用于存储一个或者多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求2至9中任一项所述的基于身份密钥封装下的多用户抗合谋密文检索方法。