構造適合云的公平交換協議

藍才會，王彩芬

（1. 西北師范大學 數學與信息科學學院，甘肅 蘭州730070；2. 蘭州城市學院 信息工程學院，甘肅 蘭州730070）

1 引言

云計算作為一項興起中的技術，以開放的標準和服務為基礎，以互聯網為中心，讓互聯網上的各種計算資源協同工作，共同組成數個龐大的數據中心和計算中心，為各類用戶提供安全、快速、便捷的數據存儲和網絡計算等特定服務。它預示著存儲信息和運行應用程序的方式將發生重大變化。程序和數據不再運行和存放在本地，相反，一切都托管到“云端”，這里的云端是指一個云狀的、可通過Internet訪問的、由個人計算機和服務器構成的集合。目前有些公司開已經通了云計算業務，如Google、亞馬遜和微軟[1~3]等。為解決數據隱私的保護問題，數據往往采用密文形式存放，這就需要對加密數據進行檢索，常見的有線性搜索[4]、基于關鍵字的公鑰搜索[5]和安全索引[6]等。

隨著云計算的不斷發展成熟，在其環境下的電子商務、電子政務等活動必將展開。和基于Internet的現代經濟活動一樣，需要保證商務活動的保密性、完整性、不可否認性、公平性等安全特性。公平交換協議作為一類重要的安全協議，公平性尤為重要。非形式上來說，公平性是指在交易的任何階段，交易的雙方都處在平等地位，即要么雙方都可以得到對方的信息，要么任何一方都得不到對方的信息。由于公平交換協議在密碼理論和應用領域的重要性，研究人員在 Internet環境下提出各種各樣的方案[7~11]。遺憾的是這些方案不能很好適應云模式的商務活動。究其主要原因是：在云計算中，用戶的私有數據不存放在本地計算機上，而是以密文形式存放在“云端”。一種天真的想法是交易方從云端取到數據，再利用已有的公平交換協議進行交換，這種做法需要多次數據傳輸和多次加解密，嚴重影響其性能且不符合云服務模式；另一種不切實際的想法是用已有的公平交換協議來交換雙方的解密鑰，這雖然可以減少數據傳輸和加解密的次數，但另一個更為嚴重的問題是泄露了彼此的密鑰，會造成雙方數據無秘密可言，所以這種做法只適合雙方無條件共享數據，但現實生活中這種情況幾乎沒有。

因此，相對于 Internet環境下的公平交換協議的構造，云環境下的公平交換協議需要考慮到數據不是存儲在本地，而是要以密文形式放在“云端”，并且只是交換其中部分數據，而不是所有。這就要求交換后得到的信息具有搜索功能，也就是能夠判斷出哪個密文是要被交換的，另外，交易雙方能夠使對方能且只能得到用于被交換的數據，對其他數據一無所知。這和條件代理重加密[12]的特點相似，在條件代理重加密方案中，一個半可信的Proxy（代理人）能夠利用額外信息（從授權人那里得到）將滿足條件(關鍵字)的Alice（授權人）的密文重加密成Bob（受理人）的密文。在條件代理重加密中，也需要代理人利用額外信息能夠判斷出那個密文滿足條件，以及授權人通過額外信息使得受理人能且只能解密滿足條件的密文。

本文假設用戶存放在云中的數據是采用基于關鍵字搜索的公鑰加密算法加密后的密文，用條件代理重加密方案構造了一個能夠運用在云環境下交換數據的公平交換協議。協議屬于離線的半可信第三方公平交換協議[10]。協議由交換協議、恢復協議和終止協議組成。

2 模型

在本文的模型中，包括了3個實體：交易雙方i, j和一個離線的半可信第三方（STTP）。但不像傳統的公平交換協議，在云計算中數據是以密文形式存放在“云端”。所以，雙方交換的不是數據本身，而是另外的信息 r kij, rkji。交易方i通過rkji能且只能得到 j用于交換的數據，同樣 j通過rkij能且只能得到i用于交換的數據。在協議運行前，發起人i需要到STTP處注冊獲取證書 C erti，證書可以讓響應方 j相信STTP擁有 r kij。具體交易過程如下。

1) 發起人傳遞證書 C erti給響應方。

2) 響應方驗證 C erti，若不成立，則協議自動停止，否則，用STTP的公鑰加密 r kji得到 Cj并發送給發起人。要保證發起人能夠驗證 Cj是 r kji在STTP公鑰下的密文。

3) 發起人驗證 Cj，若不成立，則執行終止子協議，否則，把 r kij發送給響應方。

4) 響應方驗證 r kij，若不成立，則執行恢復子協議，否則，把 r kji發送給發起人。這里的 r kij的驗證，可以通過隨機選擇消息m，并在發起人的公鑰下加密，再用 r kij和響應方得私鑰解密得到 m'，通過比較m和 m'來驗證。

5) 發起人驗證 r kji，不成立，執行恢復子協議，否則，交易完成。 r kji的驗證方法同上。

交易完成后，發起人把得到的 r kji給云服務提供商，讓他用 r kji完成數據的部分處理，并把處理后的數據傳輸給發起人。響應方同樣，與傳統的公平交換協議不一樣的地方是：交易完成后，雙方所得到的信息可以讓STTP和云服務商知道。所以，這里的數據隱私是指攻擊者知道信息 r kij, rkji，也不會知道交易雙方存儲在云中的數據，進一步，對于發起人來說，就算攻擊知道 r kij, rkji并控制了響應方，也只能得到被用于交換的數據。

這里引進數據私有性的攻擊模型，和條件代理重加密[12,13]很類似。具體就是在下面游戲中，不存在一個攻擊者A可借助一個挑戰者D以不可忽略的概率贏得游戲。

1) D生成公共參數，并送給A。

2) A可以要求詢問下列問題：

① 用戶的公鑰；

② 用戶的私鑰；

③ 兩用戶(i, j)的 r kij；

④ 云服務商利用 r kij處理的結果；

⑤ 密文解密。

3) A決定第一階段詢問結束，它輸出挑戰公鑰pk*和 2個長度相同的明文 m0, m1。D隨機選擇d∈ { 0,1}，生成 md的密文 C*。

4) A可以繼續發起剩余詢問，但要求不能詢問pk*的私鑰，也不能對 C*和云服務商對 C*處理后的結果進行解密詢問，以及在pk的私鑰被詢問后，不能進行③和④詢問。最后，A輸出 d'∈ { 0,1}，若d'= d ，則A贏得游戲。

公平性和傳統的公平交換協議要求一致，簡單地講要么交易雙方都能得到各自的數據，要么得不到任何數據。具體是：有一個攻擊者，還有一個誠實方B，和一個半可信方T，在開始時，選擇2組被交換的數據 MA, MB，以及對應 r kAB, rkBA。游戲如下。

1) 產生公共參數，A、B、T的公私鑰，以及用到驗證算法V，把公共參數，協議參與方的公鑰和A的私鑰給攻擊者。

2) 攻擊者可以進行如下活動：

① 和B的交互；

② 和T的交互；

③ 插入B和T的交互，但不能阻止。

3) 游戲結束后，以下概率

3 條件代理重加密

在Asia CCS09上，Weng等人[12]首次提出了條件代理重加密系統的定義，并構造了一個條件代理重加密方案。同年，該作者又提出了一個更為高效的代理重加密方案[13]。在2009年中國密碼學會上，周德華等人提出了一個基于身份的條件代理重加密方案[14]。但是這些方案有一個共同的缺陷是條件（關鍵字）是已知的，這不能應用于安全級別要求高的環境中，也不符合基于關鍵字的搜索公鑰加密的要求。而一旦匿名關鍵字，構造的方案就必須滿足：1) 授權人和受理人僅用自己的私鑰可以解密，和關鍵字無關；2) 半可信的代理人利用額外信息能夠判斷出那個密文滿足授權人給定的條件，這可以借助基于關鍵字的公鑰加密思想來實現（設置一個用于搜索的陷門值）；3) 授權人生成的重加密鑰可以使得受理人能且只能得到滿足條件的信息。

3.1 單向的匿名條件的代理重加密

定義 1 一個單向的代理重加密方案包括如下幾個算法。

SetUp(λ): 給定安全參數λ, 生成系統的全局參數param；

KeyGen( i): 為用戶 Ui產生公私鑰( p ki, s ki)；

RkeyGen( s k, p k,w*): 授權者 U 通過輸入自iji己的私鑰 s ki、關鍵字 w*以及受理人 Uj的 p kj, 產生代理重加密鑰

Trapdoor( s k , w*): 授權者 U 利用自己的私鑰iiski和關鍵字 w*，產生用于搜索的陷門 tkiw*；

Encrypt( p ki, m, w): 給定公鑰 p ki、關鍵字w和消息m, 輸出用戶 Ui的密文 C Ti；

1) 用陷門判斷密文 C Ti是否包括關鍵字 w*；

2) 如果不包括，輸出⊥，否則，把 C Ti重加密成受理人 Uj的密文 C Tj。

Decrypte( C T, s k): 輸入私鑰sk和密文CT，輸出消息m或⊥。

一個單向條件代理重加密是正確的，意味著對任意的關鍵字 w*、 任意的(m, w)、任意的(p ki, s ki) ← KeyGen( i )、(p kj,s kj) ← KeyGen( j)以及CTi←Encrypt( p ki, m, w),下面2個等式都成立：

1) Pr[D ecrypte( C Ti, s ki) = m ]=1

2) 若 w = w*, 有

否則，

一個匿名的條件代理重加密的安全性需要考慮關鍵字的私有性和消息的私有性。但在現實生活中，相同的消息應該具有相同的關鍵字，反過來說2個消息的關鍵字不同，意味著他們是不同的消息。若關鍵字的語義安全不滿足，則攻擊者可以通過關鍵字來判斷消息，顯然消息的私有性也不滿足。也就是說在一般情況下，消息滿足私有性，則關鍵字的私有性也是滿足的，所有本文只對消息的私有性進行了分析。相對于關鍵字已知的條件代理重加密，需要詢問陷門值。另外，攻擊者不允許訪問挑戰消息所對應的關鍵字的陷門值。

3.2 本文的構造

在這一節，利用雙線性對構造了一個匿名條件的代理重加密方案，具體如下。

SetUp(λ)：根據安全參數λ產生 ( p, G1, G2, e),G1, G2是2個相同階p的乘法群， e : G1×G1→G2是一個雙線性對；隨機選擇 g ∈G1, 并令Z = e ( g, g)；最后選擇3個散列函數：

KeyGen( i): 選擇隨機數 xi∈ zp,Ui生成公私鑰對(p ki, s ki) = ( gxi,xi)。

RkeyGen( s ki, p kj,w*):Ui計算代理重加密鑰

Trapdoor( s ki, w*) : Ui計算陷門連同代理重加密鑰發送給代理人。

Encrypt( p ki, m, w): 按下面3個步驟生成 Ui的密文。

1) 選擇一個強不可偽造的簽名方案Sig。假設簽名和驗證鑰為(s sk, s vk)，并令A = s vk。

2) 隨機選擇 r ∈zp并計算

3) 運行簽名算法 s = Sig( C, D, E)，最后輸出密文 C Ti=(A, B, C, D, E, s)。

ReEncrypt( C Ti, t kiw*,r ki→j)：按下面3個步驟把滿足條件 Ui的密文轉換成 Uj的密文。

1) 用驗證鑰A驗證s是否為消息(C, D, E)的簽名。

2) 用 D = H3[ e( B, t kiw*)e( C, g )]檢查 C Ti是否包含關鍵字 w*。

3) 若都成立，輸出 C Tj=(A, B', C, D', E, s), 否則，輸出⊥。這里 B'= e ( B, r k2ijw*)= e( g, g )xjr,

Decrypte( C T, s k )：按以下2種情況進行解密。

1)CT是原始密文

① 用驗證鑰A驗證s是否為消息(C, D, E)的簽名。

1

③ 驗證 D = H[ T e( W , g)R]。

33

2)CT為重加密后的密文，即 Uj解密過程如下。

3.3 安全性分析

定理1 如果在 (G1, G2)中，變形的判定性的雙線性對 Diffie-Hellman 問題 (DBDHP)是困難的，那么方案在隨機預言模型下是選擇密文安全的。

證明 算法 D收到一個隨機實例(g, ga,gb,gc,Q)，它的目標是確定是否等于Q。在游戲中D扮演挑戰者，而A作為攻擊者。D需要維護 3個初始化為空的散列表 H1_list、 H2_list和H3_list。游戲開始，D把系統參數 p aram = (g,G1, G2, e, H1, H2, H3)給A。

Hash詢問：在任何時候 A可以詢問散列函數H1, H2, H3。

H1( w)詢問：若 ( w, h1, r)已經在 H1_list, 則返回先前值 h1。否則，D隨機選擇 r ∈Zp， 返回且把 ( w, h, r)寫入 H _list。

11

H2(t, T(2))詢問：若已存在 H _list,2則輸出 h2。否則，選擇 h2∈Zp*, 把加入H2_list并返回 h2。

H3( T(3))詢問：若已在則返回 h3。否則，選擇 h3∈ { 0,1}*，把 ( T(3),h3)寫入H3_list并輸出 h3。

階段 1 在這一階段，A可以發起一系列以下詢問。

公鑰產生詢問：D首先定義了一個有偏的隨機數 c oin∈ { 0,1}，令Pr[c oin=0]=δ。若(coin= 0 ),D選擇隨機數 xi∈Zp*并計算pki=gxi，否則計算pki= gbxi。D把 p ki給A并把增加到k _ list。

私鑰產生詢問：D從 k _ list找(p ki, xi, c oini),若(c oini= 1 ), 返回⊥并終止，表示未腐化不能回答這次詢問。否則，返回 xi。

代理重加密詢問(p ki, p kj,w)：D首先從 k _ list取得( p ki, xi, c oini)和(p kj, xj, c oinj)，然后，根據以下情形為A計算

1) 若(c oini= 0 ), 表示知道 s ki= xi。從 H1_list取得 h1并計算最后返回并把寫到 r k _ list。

2) 若(c oini= 1 ? c oinj= 1 ),表 示 ski= b xi和skj= b xj。取得 h1, r從列表 H1_list中，返回并把寫到rk _ list。

3) 若(c oini=1 ? c oinj= 0 )，表示 s ki= b xi和skj= xj。從 H1_list中獲得 h1, r，返回并把加到 r k _ list。

陷門詢問(p ki, w)：D從 k _ list獲得(p ki,xi, c oini)并根據以下情形計算 tkiw。

1) If(c oini= 0 )，表示 s ki= xi.從 H1_list獲得h1，計算并返回。最后把(p ki, w, t kiw)寫到 tk _ list。

2) If(c oini= 1 )，表示 s ki= b xi.從 H1_list獲得h1和r，計算并返回。最后，把(p ki, w, t kiw)加到 tk _ list。

解密詢問(p ki, C Ti)：D首先從 k _ list取得(p ki,xi, c oini)。若 c oini= 0 ，返回 D ecrypte( C Ti, xi) , 否則, 按下面2種情況處理。

1) C Ti為原始密文，按下列步驟處理。

① 驗證s是否為(C, D, E )的簽名。 若不是, 輸出⊥并終止。

② D連續查找 H3_list、 H1_list和 H2_list，看是夠存在 (T(3),h3)、 ( h1, r)和 (T(2),h2)滿足等式：若不存在,輸出⊥并終止, 否則返回m= E/[ T(2)T(3)/

2) C Tj為轉換后的密文，按下列步驟處理。

①驗證s是否 ( C, D = D'e( C, g),E)的簽名。不是，輸出⊥并終止。

②D 連續從 H1_list找 ( h1, r)，從 H2_list找，看是否滿足等式：和如果不存在, 輸出⊥并終止，否則返回

代理重加密詢問(p ki, p kj, C Ti) ：D首先從k _ list取得 c oini和 c oinj。若(c oini= 1 ? c oinj= 0 ),輸出⊥并終止，否則，按如下步驟處理。

1) 從 t k _ list找滿足 H3( e( t kiw, Bi) e( Ci, g ) )=Di的 tkiw，然后從 tk _ list取得。若找不到，可以通過解密詢問(p ki, C Ti)取得w。

2) tkiw和 r ki—w—→j可 以 通 過 查 找 t k _ list和rk _ list, 或者是通過陷門詢問(p ki, w)和重加密密鑰詢問(p ki, p kj,w)得到。

3) 返回 C Tj= ReEncrypt( C Ti, r ki—w—→j)。

挑戰階段：當A決定階段 1 結束, 它輸出挑戰公鑰 p k*和 2個長度相同的明文 M0=(m0, w0),M1= ( m1, w1)。D從 k _list獲得 ( p k*, x*, c oin*)。若coin*= 0 , 輸出⊥并終止，否則，隨機選擇 d ∈{0,1}和一個強的一次簽名方Sig。(s s k, s v k)為簽名的簽名鑰和驗證鑰, 然后返回如下數據。

這里的 r = H1( wd)，可以通過 H1_list得到。

階段2 A像階段1一樣發起剩余的詢問, 但要滿足文獻[12]中安全游戲的限制，另外攻擊者不允許訪問挑戰消息所對應的關鍵字的陷門值。D像階段1一樣回答這些詢問。

猜測 最后，A輸出一個猜測值 d'∈ { 0,1}。若d'= d ，D輸出1，否則，輸出0。

為了看清 D攻破變形的判定性的雙線性Diffie-Hellman問題。把 a c/ b堪稱加密過程的隨機數 r*，并考慮 C T*為 md在公鑰下的密文。很顯然，若 Q = e ( g, g)r*=e( g, g )ac/b,R*= H (A*,

2Q)，則 C T*是關于 md在下的合法密文。這樣，D可以根據A回答來判斷，即可以解決變形的判定性的雙線性Diffie-Hellman問題。

為了完成證明，用 qH1, qH2, qH3,qpk,qsk,qrk,qre和 qde分別表示 H1詢問， H2詢問,H3詢問, 公鑰產生詢問，私鑰產生詢問，代理重加密鑰詢問, 重加密詢問和解密詢問的次數。e表示自然對數的底數。

分析D可能失敗的(⊥)的情形：在私鑰產生詢問階段，若 c oin=1，則D失敗；在重加密密鑰詢問( p ki, p kj,w)階段和重加密詢問(p ki, p kj, C Ti) 階段，若(c oini=1 ? c oinj= 0 )，則D失敗；在解密詢問( p ki, C Ti)，若 A攻破Sig，則 D失敗，并令β=Pr[AbreaksSig]；在挑戰階段，若 c oin= 0 ，則D失敗。令 qmax=max(qsk,qrk,qre)。很容易知道，在模擬過程中，D沒有失敗的概率至少為

基于Boneh D等[15]的結果： δqmax(1 - δ)最大為，并有 q 充分大時， (1 - ( 1 - δ ) δ)2qmax的值

max接近因此，有 δqsk(1 - (1 - δ) δ)qrk+qre(1-β)

另外，在模擬過程中，在 A詢問 H1時，返回概率至多有公鑰產生詢問時詢問了概率至多有，并且在私鑰產生詢問時返回概率至多因此，D的優勢至少有證畢。

4 協議

基于上述的匿名條件的代理重加密方案，筆者將構造一個公平交換協議。協議屬于離線的半可信第三方（STTP）公平交換協議，由交換協議、恢復協議和終止協議組成。在正常情況下，交易雙方能夠得到對方的條件代理重加密鑰和搜索陷門。交易方得到對方信息后，可以把信息提供給云服務提供商，讓提供商執行搜索和重加密，這樣可以防止多次傳輸和加解密數據，提高了性能。同時，由條件重加密的特點可知，能夠保證提供商得不到任何有關明文的信息，以及交易方只能得到滿足條件的信息。

協議中使用的記號如下。

Ui， Uj為交易雙方，且它們鑰交換的信息分別滿足條件 wi, wj；STTP為提供服務的半可信第三方；

Ui→ Uj:X 表示 Ui向 Uj發送信息X；

pk = gxs為STTP的公鑰；STTP

Sign表示安全的簽名算法。

在協議執行前，發起者 Ui需要到STTP處注冊，獲得證書 C erti，過程如下。

協議描述如下。

如果參與協議的每一方都是誠實的，則只要執行如下的交換子協議即可。

交換子協議如下。

Uj解密得到 m'，驗證 C A = m', CB=H1( wi),CC = H1( wj),σ是否為 STTP關于消息(C A, C B, C C, C D)。若都成立，執行步驟2，否則，協議自動終止。

Ui驗證等式和是否成立。若成立，執行步驟3，否則，執行終止協議。

Uj隨機選擇消息 mi，在關鍵字 wi下，用方案的加密算法生成 Ui的密文，并用 tkiwi去判斷密文是否包含了 wi。再用方案的重加密算法轉換成 Uj的密文，并用自己的私鑰解密得到。比較是否等于mi，若是，執行步驟4，否則，執行 Uj恢復協議。

Ui隨機選擇消息 mj，在關鍵字 wj下，用方案的加密算法生成 Uj的密文，并用 tkjwj去判斷密文是否包含了 wj。再用方案的重加密算法轉換成 Ui的密文，并通過自己的私鑰解密得到。比較是否等于 mj，若是，交換完成，否則，執行 Ui恢復協議。

Ui恢復協議如下。

STTP先檢查是否執行了終止協議和恢復協議，若已經執行，則終止。否則，驗證和是否成立，若成立，計算并執行步驟2。否則，拒絕做任何事。

Uj恢復協議如下。

STTP先檢查是否執行了終止協議和恢復協議，若已經執行，則終止。否則，驗證CE是否為STTP關于消息(C A, C B, C C, C D)簽名，以及等式e( r k1ijwj,p ki) = e( H1( wj),r k2ijwj)、

e( p kj, r k2ijwj) = e( p ki, g )和tkjwj= r k1ijwj。若都成立，執行步驟2，否則，拒絕做任何事。

終止協議（只是 Ui執行）如下。

Ui向STTP發送終止請求，STTP檢查是否執行了終止協議和恢復協議，若已經執行，則終止。否則，對終止標志簽名，并發送給交易雙方。

5 協議分析

本節證明協議滿足最主要和最基本的性質：即保密性和公平性。

1) 保密性：協議的目的是在云環境下2個交易方交換特定的數據，但在執行協議的過程中沒有交換數據，只是交換了各自的條件代理重加密鑰和陷門。根據定理1可以知道，即使STTP或其他攻擊者獲取了條件代理重加密鑰和陷門，沒有交易方的合作，不可能解密。也就是，本文構造的公平交換協議滿足保密性。

2) 公平性：所謂公平性，是指在協議執行的任何時刻，沒有哪個參與方處于有利地位。

證明 協議中 Ui條件代理重加密鑰和搜索陷門的驗證是通過 Uj隨機選擇消息 mi，在關鍵字 wi下，用方案的加密算法生成 Ui的密文，并用 tkiwi去判斷密文是否包含了 wi。再用方案的重加密算法轉換成 Uj的密文，并用自己的私鑰解密得到。比較是否等于 mi來完成。讓而轉換后的密文為

根據搜索的判定等式 D = H3[ e( B, t kiwi)e( C, g )]和散列函數的單向性，一定有 e( p ki, t kiwi)= e ( H1( wi), g)，從而進一步可以確定再根據加密、重加密和解密過程，有，從而有 r k2ijwi=

同樣，Uj的條件代理重加密密鑰和搜索陷門驗證過程一樣。

另外，Uj也不可能發送來欺騙 Ui，因為要通過驗證等式，就必須滿足

由此得出，交易雙方不可能通過發送錯誤的條件代理重加密密鑰和搜索陷門來欺騙對方。

1) 如果所有的參與方都是誠實的，在成功執行完交換協議后，交易的雙方都能收到對方所生產的條件代理重加密鑰和搜索陷門。

2) Ui試圖欺騙，Uj可以執行恢復協議；另外，Ui得到，也具有公平性，因為需要STTP幫助才能得到 r k1jiwj。只有 r k2jiwj，Ui根本求不出，從而無法計算即無法解密 Uj的密文。

3) Uj試圖欺騙， Ui可以執行終止協議和恢復協議；并且 Uj執行恢復協議，需要提供自己的條件代理重加密和搜索陷門，STTP恢復 Ui的給 Uj，同時把 Uj的也給 Ui。

綜上所述，協議能滿足公平性。

6 結束語

本文構造了一個匿名條件的代理重加密方案，并在隨機預言模型下證明是安全的。由于現有的公平交換協議在云環境中不能很好應用，所以，作者在所構造的條件代理重加密的基礎上設計了一個適合云環境的公平交換協議，協議屬于離線的半可信第三方公平交換協議，由交換協議、恢復協議和終止協議組成。分析了協議的機密性和公平性。

[1] Google docs- online documents, spreadsheets, present[EB/OL]. http://docs.google.com. 2009.

[2] Windows Azure platform[EB/OL]. http:// www.mirosoft.com/ windows sazure/, 2009.

[3] Amazon elastic compute cloud[EB/OL]. http:// aws.amzaon.con/ec2, 2009.

[4] SONG D, WAGNER D, PERRIG A. Practical techniques for searches on encrypted data[A]. Proceedings of the IEEE Symposium on Security and Privacy(S&P’00)[C]. Berkeley, CA,USA. 2000. 44-55.

[5] BONEH D, CRESCENZO G, OSTROVSKYET R, et al. Public key encryption with keyword search[A]. Proceedings of the 23rd Annual International Conference on the Theory and Applications Cryptographic Techniques[C]. Interlaken, Switzerland, 2004. 506-522.

[6] PARK D, KIM K, LEE P. Public key encryption with conjunctive field keyword search[A]. Proceedings of the 2004 Workshop on Information Security Applications (WISA’04)[C]. Wuhan, China. 2004. 73-86.

[7] ZHOU J, GOLLMANN D. A faire non-repudiation protocol[A]. Proc of the 1996 IEEE Symp on Security and Privacy[C]. Oakland: IEEE Computer Press, 1996. 55-61.

[8] FRANKLIN M K, REITER M K. Faire exchange with a semi-trusted third party[A]. Proc of the 4th ACM Conf on Computer and Communications Security[C]. Zurich, Switzerland, 1997. 1-5.

[9] 孫艷賓, 谷利澤, 孫燕等. 基于并發簽名的公平交易協議的分析與改進[J]. 通信學報, 2010, 31(9):146-150.SUN Y B, GU L Z, SUN Y, et al. Analysis and improvement of the CS-based fair exchange protocol[J]. Journal on Communications, 2010,31(9):146-150.

[10] ASOKAN N, SCHUNTER M, WAIDNER M. Optimistic protocols for fair exchange[A]. Tsutomu Matsumoto, Editor, 4th ACM Conference on Computer and Communications security[C]. Switzerland, 1997. 6-17.

[11] 劉景偉, 孫蓉, 郭慶燮. 公平交換簽名方案[J]. 中國科學: 信息科學, 2010, 40(6): 786-795.LIU J W, SUN R, GUO Q X. Fair exchange signature scheme[J].Science in China: Information Science, 2010, 40(6): 786-795.

[12] WENG J, DENG R H, DING X, et al. Conditional proxy re-encrytion secure against chosen-ciphertext attack[A]. Proc of ASIACCS’09[C].Sydney, Australia, 2009. 322-332.

[13] WENG J, YANG Y, TANG Q, et al. Efficient conditional proxy re-encryption with chosen-ciphertext security[A]. Proc of ISC’09[C]. 2009.151-166.

[14] ZHOU D H, CHEN K F, LIU S L. Identity-based conditional proxy re-encryption[A]. Proc of CHINACRYPT’09[C]. 2009. 85-97.

[15] BONEH D, FRANKLIN M. Identity-based encryption from the weil pairing[J]. SIAM Journal of Computing, 32(3):586-615.