基于區塊鏈的公鑰可搜索加密方案

杜瑞忠，譚艾倫，田俊峰

（1.河北大學網絡空間安全與計算機學院，河北 保定 071002；2.河北省高可信信息系統重點實驗室，河北 保定 071002）

1 引言

云存儲是當下一種主流的在線存儲方式，在免去用戶本地存儲的硬件與管理開銷的同時，使數據脫離了用戶的物理控制，因此數據的安全受到了巨大威脅。為了解決云存儲的數據安全問題，一般采用數據加密的方式，但是加密后的數據在云服務器中會面臨檢索困難的問題。

安全搜索通常指對加密數據的有效搜索，為了解決加密數據存儲在云端時，服務器在不完全可信的前提條件下如何利用服務器來完成安全的關鍵字搜索問題，學者們提出了將可搜索加密作為安全搜索的核心技術。

可搜索加密是一種支持用戶在密文中進行關鍵字檢索的新技術，主要解決云存儲環境下如何利用不可信服務器實現基于關鍵字的安全搜索，使用戶能夠將加密的數據存儲到云中，并通過密文域來執行關鍵字搜索，有選擇地從云中檢索感興趣的文檔。

2 相關工作

2000 年，Dawn 等[1]為了增強數據在服務器上的安全性，提出一對一模式的可搜索加密方案，從此引發人們對可搜索加密的研究。由于一對一的模式不能滿足人們的需求，Boneh 等[2]于2004 年提出多對一的模式可搜索加密模型，給出了基于公鑰的可搜索加密（PEKS,public key encryption with keyword search）的概念，并定義了公鑰加密下可搜索加密的安全性。但在某些特性的環境下，多對一模式并不實用。2011 年，Curtmola 等[3]基于Naor 廣播加密技術構造出一對多的可搜索加密模型，但是該模型中用戶密鑰更換時需要極大的開銷。在大型網絡環境中，數據的傳輸是復雜的，Wang 等[4]基于Shamir 的秘密共享技術和文獻[2]中基于身份的加密技術構造了多對多模式的加密方案，實現了多用戶在服務器中的交互式檢索。Yuan 等[5]為了有效地解決多接收者時變密文的檢索問題，提出了一種一對多公鑰密文時間釋放可搜索加密（PKTRSE_(OM)）的密碼模型，在PKTRSE_(OM)模型中，發送方將加密消息發送給云服務器，只有預定的授權用戶組成員才能搜索到包含指定關鍵字的目標密文，但是直到將來發布時才能解密。Zhong 等[6]提出一種多對一的同態加密方案，克服了傳統同態加密一對一的局限性。

在可搜索加密方案的安全性方面，Boneh 等[2]證明了公鑰可搜索加密是基于語義安全的，但卻不能抵御關鍵字猜測攻擊（KGA,keyword guess attack）。2009 年，Tang 等[7]提出了一種基于公鑰加密的注冊關鍵字搜索方案，該方案可以抵御KGA，但是必須預先注冊關鍵字，這使方案性能并不高。2013 年，Fang 等[8]提出一種可以抵御關鍵字攻擊的公鑰加密方案，該方案定義了一個公鑰可搜索加密模型和2 個重要的安全概念。這2 個安全概念中，一個針對內部攻擊，另一個針對外部攻擊，但是大量的雙線性配對計算導致Fang 等[8]方案的效率較低。

近年來，在內部攻擊方面，學者們進行了很多研究。2013 年，Xu 等[9]提出了帶有2 個陷門（模糊陷門和精確陷門）的方案，并稱該方案可以抵抗內部KGA。在該方案中，敵手只能獲得模糊陷門，因此無法提取關于陷門對應關鍵字的確切信息，受到了安全性和效率方面的限制。2015 年，Chen 等[10]引入了一種新的框架以防止內部KGA，該框架使用2 個服務器，并要求2 個服務器不能相互“勾結”。但是，任何人都可以生成關鍵字的合法陷門，這將影響數據的隱私安全。Shao 等[11]提出并解決了服務器進行離線 KGA 的問題，重新定義了 dPEKS（designated tester public key encryption with keyword search）對KGA 的安全性并提出了IND-KGASERVER 安全性，根據公鑰基礎設施證書頒發機構和確定性數字簽名的存在情況，演示當KGA 攻擊者是服務器時如何構造安全的dPEKS。2016 年，Chen 等[12]提出一種使用2 個云服務器的方案來抵御內部KGA，并且方案具有較高的效率，但是由于假設條件中要求2 個云服務器不能串聯，這在實踐中很難實現。2017 年，Huang 等[13]基于關鍵字搜索提出了一個公鑰認證加密方案，該方案的密文生成過程中需要數據所有者的密鑰，雖然方案可以抵抗內部KGA，但無法實現所選關鍵字密文的不可區分性。Kang 等[14]提出一種利用雙線性對和TF/IDF（term frequency/inverse document frequency）算法構成的完全安全的公鑰加密方案，該方案在靜態假設條件下達到了安全，與傳統的可搜索加密方案相比，該方案在可搜索效率、密文完整性和安全性方面有較好的性能。2018 年，Wu 等[15]提出了一種高效安全的、具有隱私保護的可搜索公鑰加密方案，該方案使用了Diffie-Hellman 共享密鑰，并被證明能夠抵抗KGA。

在最新的研究成果中，公鑰可搜索加密被運用于各種環境，Wu 等[16]在物聯網環境中，提出了一種無證書的可搜索公鑰認證加密方案，在能抵御KGA 的同時，也具有較高的效率。Ma 等[17]設計了一種新的基于多關鍵字的無證書公鑰加密方案，用于IoT（Internet of things）部署。Lu 等[18]針對電子病歷系統，提出了2 種安全的無信道PEKS 方案，后來經過證明，2 種方案都存在由KGA 引起的安全漏洞。針對這一問題，Lu 等[18]又提出了一種新的PEKS 方案，該方案不僅能抵抗現有的3 種類型的關鍵字猜測攻擊，還改善了指定服務器的缺點。

隨著區塊鏈的發展，可搜索加密與區塊鏈技術相結合，解決了傳統方案中可信第三方的問題，極大地提高了可搜索加密的可實現性。Li 等[19]提出了一種基于區塊鏈的對稱可搜索加密方案，該方案不僅提出了基于區塊鏈的可搜索加密模型，還針對不同大小的數據提出了2種方案。2019年，Li 等[20]對文獻[19]的方案進行了改進，提高了可實現性。Chen 等[21]基于區塊鏈機制提出了一個用于電子醫療記錄分享的可搜索加密方案，該方案同樣通過對稱加密的方法，使用智能合約作為方案中的權威可信方，保證方案中服務器的可信度。

針對現有方案中第三方的可信問題，本文引入區塊鏈，構建區塊鏈環境下的公鑰可搜索加密方案，旨在解決私有云環境中一對多的數據分享問題。本文的主要貢獻如下。

1)在密文檢索方案中引入區塊鏈機制，利用區塊鏈解決傳統方案中第三方的可信問題；將檢索工作放到區塊鏈中進行計算，保證檢索結果的正確性；利用區塊鏈的不可篡改性，對文件進行編號，防止在云服務器錯誤時發送數據，或惡意發送錯誤的數據。

2)針對私有云環境，構造一對多的公鑰可搜索加密方案。該方案中使用DBDH（decisional bilinear Diffie-Hellman）困難問題的構建方式，使同一個關鍵字多次加密結果不同，可以有效抵御KGA，保證索引及陷門不會泄露關鍵字信息。

3)對所提方案進行安全性證明，驗證了方案可抵御KGA，同時分析區塊鏈的安全性在方案中的作用。本文基于PBC（pairing based cryptography）庫環境，在數據集上進行實驗，得出方案的索引與陷門構造以及查詢時間，證明了所提方案具有較高的效率。

3 預備知識

3.1 雙線性映射

假設群G與群GT是階為素數p的循環群，g是群G的生成元，存在雙線性映射并滿足以下性質。

1)雙線性。對任意的x,y∈G，a,b∈GT，存在。

2)非退化性。存在g∈G，使。

3)可計算性。對所有的x,y∈G，存在有效的算法來計算ê(x,y)。

3.2 判定性雙線性Diffie-Hellman 假設

設群G1、G2及雙線性映射，g是群G1的生成元，隨機生成(a,b,c,z)←RZp，生成2 個五元組T0=(g,A=ga,B=gb,C=gc,Z=e?(g,g)z)與T1=(g,A=ga,B=gb,C=gc,Z=e?(g,g)abc)。其中，a、b、c、z表示所生成的隨機數，RZp表示隨機的實數空間將2 個五元組分別記為

DBDH 假設指沒有多項式時間的敵手，能以不可忽略的優勢ε來區分五元組PBDH與RBDH。

3.3 智能合約

智能合約是一種旨在以數字方式執行合同談判的計算機程序。智能合約與傳統合同不一定相同，可以是任何類型的計算機程序，利用加密算法和各種安全協議，實現不同類型的智能合約。智能合約有助于交易的可靠執行，而不涉及某些第三方，并且所有交易都是可追蹤和不可逆轉的。換句話說，智能合約提供的安全性優于傳統的合同，并降低了與合同相關的交易成本。

以太坊是一個運行智能合約的分散式平臺。在以太坊中，智能合約用于在區塊鏈上執行一些通用計算。由于區塊鏈的特性，所有操作在以太坊中都是透明和可靠的，這意味著理論上可以使用以太坊智能合約來執行任何計算任務。

3.4 符號及其含義

本文的符號及其含義如下。

Cm：對明文m對稱加密后的密文。

H：哈希函數h對密文C與編號密文N的運算結果。

I：數據文件索引。

k：對稱加密密鑰。

N：私鑰加密后的文件編號。

Tw：關鍵字陷門。

Twi：索引中的關鍵字陷門。

w：文件中的關鍵字。

wi：用戶查詢的關鍵字，i=1,2,…,I。

$offer：檢索單價。

$user：用戶賬戶。

$deposit：押金賬戶。

4 系統模型

4.1 系統簡介

本文具體系統主要由4 個部分組成：數據擁有者（DO,data owner）、云服務器（CS,cloud server）、智能合約（smart contract）、用戶（U,user）。系統模型及其流程如圖1 所示。

1)數據擁有者。主要工作是計算索引和密文數據，然后將索引上傳給智能合約，將密文數據上傳給云服務器。

2)云服務器。主要工作是存儲由數據擁有者上傳的密文數據，接收由用戶上傳的數據下發請求，并與智能合約進行交互，得到下發驗證結果。

3)智能合約。主要工作是接收數據擁有者上傳的索引與用戶上傳的陷門，并且進行查詢，得到查詢結果，通過交易將結果下發給用戶。然后通過與服務器的交易，告知服務器是否下發密文。

4)用戶。主要工作是計算陷門，并上傳給智能合約，同時向服務器發送密文請求，最后得到數據并解密。

4.2 算法定義

1)setup(1λ)→par 。系統初始化由安全參數λ生成公開參數par。

2)Enc(n,m,w,k)→(CT,I,N)。該算法由數據擁有者計算，由明文數據m與對稱加密密鑰k，以及文件中的關鍵字w生成密文Cm與數據文件索引I。其中明文m與對稱加密密鑰k加密后得到密文Cm，加密關鍵字w時會將密鑰k一起加密，生成索引I。將明文進行編號，每個編號n使用對稱加密后得到密文狀態下的編號數據N。最后使用哈希函數對N和Cm進行計算得到結果H，將N、H打包后得到CT。

3)T(wi)→Twi。該算法由用戶進行計算，用戶選取文件中的關鍵字w，加密計算后得到關鍵字陷門Tw，并將Tw上傳給智能合約。

4)search(I,Twi)→(k,N,H)。該算法由智能合約進行計算，智能合約在接收到Tw與I后進行計算，若匹配成功，則得到明文的對稱加密密鑰k、編號密文N及哈希結果H。

5)verify(CT,N)→0或1。該算法由用戶進行計算。用戶收到服務器下發的密文CT以后，需要驗證服務器是否錯誤下發密文以及是否惡意破壞或者篡改密文數據。首先驗證CT中文件編號N與H是否同智能合約下發的一致，然后將Cm與N進行哈希運算，得到結果H1，若H=H1，則驗證成功，輸出1，否則輸出0。

4.3 安全模型

4.3.1 關鍵字隱私安全游戲

如果不存在敵手A 能夠在概率多項式時間內從密文關鍵字或陷門值推斷出關鍵字明文信息，則關鍵字的隱私安全可以得到保證。定義關鍵字隱私安全游戲如下。

1)初始化。給定安全參數λ，挑戰者C 執行初始化算法Init(lλ)，生成par。

2)階段1。敵手A 多次運行陷門生成算法。

3)挑戰。敵手A 從關鍵字空間隨機選取2 個關鍵字，發送給挑戰者，挑戰者執行陷門生成算法，然后隨機選取一個陷門發送給敵手A。

圖1 系統模型及其流程

4)猜測。敵手A 查詢了τ個不同的關鍵字后，進行分析猜測，如果敵手能夠猜對陷門，則敵手A在安全游戲中獲勝。

4.3.2 判定性雙線性Diffie-Hellman 假設困難問題規約證明

如果存在敵手A 能夠在多項式時間內以優勢б破解方案，則敵手A 能在多項式時間內以優勢б解決 DBDH 困難問題。定義判定性雙線性Diffie-Hellman 假設困難問題規約證明如下。

1)初始化。給定群組G1、G2及映射。挑戰者C隨機生成（a,b,c,z）←RZp，生成2 個五元組T0、T1。

2)階段1。敵手A 多次運行加密算法。

3)挑戰。挑戰者C 隨機選取明文m，要求m在階段1 未被查詢，并生成密文Cm，將密文傳給敵手A。

4)猜測。敵手A 對密文Cm進行分析解密，如果敵手A 能夠解密密文Cm且得到正確的明文m，則敵手A 在游戲中獲勝。

5)證明。敵手A 能夠對密文進行解密，則敵手A 也能解決判定性雙線性Diffie-Hellman 假設困難問題。

5 具體系統描述

1)初始化階段

Setup(1λ)→par 。系統初始化，由安全參數λ生成公開參數par，其中包括循環群G、GT；g是群G的生成元，g1是群G的元素；哈希運算h，隨機參數a；計算得到g2=ga；雙線性映射。

智能合約初始化，數據擁有者設置檢索單價$offer。用戶使用ID 注冊賬戶$user 并存款，區塊鏈系統設置押金賬戶$deposit。

2)密文加密與上傳

Enc(m,w,k)→(Cm,I)。明文m由對稱加密密鑰k經過加密得到密文Cm，然后將對稱加密密鑰k加入索引I的計算過程中。首先選擇一個隨機數r←RZP，然后將文件的關鍵字w進行哈希運算得到H(w)，計算后得到

數據擁有者將加密后的密文Cm與索引I進行編號，并將編號使用私鑰進行加密，得到密文狀態的文件編號N，將文件編號N與密文Cm存儲在一起后進行哈希運算得到結果H，將文件編號N、結果H打包為密文CT。將文件編號N和密文Cm上傳給服務器進行存儲操作，將打包的密文CT與索引I上傳給智能合約進行查詢操作。

3)陷門加密與上傳

T(wi)→Twi。用戶計算得到索引文件中的關鍵字w的陷門Twi。首先將文件中的關鍵字進行哈希運算得到H(w)，再選擇一個隨機數t←RZP，計算得到

用戶上傳陷門到智能合約，并由自身賬戶余額向區塊鏈系統進行存款操作$user→$deposit。

4)查詢階段

search(I,Twi)→k。智能合約通過交易來接收用戶的索引I，檢查用戶ID 是否合法。然后系統檢查押金賬戶$deposit 中用戶預存的押金是否滿足一次搜索，當押金滿足時將陷門和數據文件索引進行計算，計算過程如下

如果w=wi，則最后的結果為對稱加密密鑰k，智能合約將會記下文件編號N，然后開始下一次的查詢，直到所有的文件都檢索完畢。

5)驗證階段

verify(CT,N)→ 0或者 1。智能合約在已經檢索出的文件集中進行下一個關鍵字的檢索操作，同時從押金賬戶中扣去對應的檢索單價$offer，直到押金賬戶$deposit 的金額不足以進行一次檢索，區塊鏈系統就會返回用戶押金不足信息：$deposit←$deposit-$offer。

如果押金賬戶中的金額能夠滿足用戶上傳的所有關鍵字的檢索操作，智能合約將所有滿足用戶關鍵字請求的文件編號N以及用戶ID 發送給云服務器，云服務器接收后，根據文件編號N將密文Cm下發給用戶。

同時在智能合約與用戶的數據交互過程中，智能合約檢索成功后得到密文CT與對稱加密密鑰k，然后發送給用戶，用戶驗證NBS=NCS。其中，NBS表示區塊鏈系統發送的文件編號，NCS表示云服務器發送的文件編號。

若從服務器與智能合約接收的文件編號相同，則證明服務器沒有錯誤下發數據，然后驗證

將密文Cm與文件編號N進行哈希運算，若得到的結果H1與CT中的H相等，則證明服務器沒有對密文數據進行篡改，最后用密鑰k對密文Cm進行解密，得到明文m。

6 安全性分析

將檢索過程放在區塊鏈系統中運行，可以保證以下幾個方面的安全。

1)公正性。由于區塊鏈與每個用戶進行交互時都在基于交易的基礎上，每次交易都是透明的，那么可以保證每次查詢的結果是正確的，且不會存在惡意篡改結果的情況。同時由于每次交易需要一定的費用，可以有效地防止惡意用戶破壞方案正常工作的情況。

2)可信性。區塊鏈給出的檢索結果一定是誠實可信的，同時也能以這個結果為基準，有效地防止惡意服務器對本文方案造成的威脅。用戶可以有效地驗證服務器操作的正確性，從而獲得正確的檢索文件。

3)安全性。本文方案能夠保證關鍵字的安全性，由于關鍵字陷門是隨機加密的，因此滿足IND-KGA安全。此外，由于關鍵的數據文件索引I的構造是按照判定性雙線性Diffie-Hellman 假設困難問題中的五元組的構造方式來進行的，密文的安全性可以規約為判定性雙線性Diffie-Hellman 假設困難問題。

定理1基于一般的雙線性群，本文方案在隨機預言模型下是滿足 IND-KGA（indistinguish keyword guess attack）安全的。

初始化挑戰者C 生成隨機數a,b←RZP，公開參數。

1)階段1。敵手選取關鍵字集合(w1,w2,…,wn)，發送給挑戰者C，挑戰者輸出關鍵字集合生成的陷門集合，并發送給敵手A。

2)挑戰1。敵手A 隨機選取2 個關鍵字w0、w1，并要求w0、w1沒有在第一階段被查詢過。然后將2 個關鍵字發給挑戰者。挑戰者選擇隨機數p，運行陷門生成算法，計算，然后選取隨機數μ←(0,1)λ，將Twμ發送給敵手A。

3)猜測。敵手A 對階段1 與階段2 中查詢的關鍵字陷門進行分析，輸出μ'，如果μ'=μ，則敵手A 贏得游戲。

證明本文方案是支持關鍵字隱私安全的，由于關鍵字陷門在加密時引入了隨機數，導致同一個關鍵字生成的陷門不同，可有效抵御統計分析攻擊。敵手 A 在安全游戲中獲勝的概率最多是。其中，n表示關鍵字集的個數，ε表示在安全參數λ下可以忽略的概率，Ψ表示關鍵字的空間。

證畢。

定理2基于一般的雙線性群，本文方案的安全性可以規約到判定性雙線性Diffie-Hellman 假設困難問題。如果敵手A 能夠在多項式時間內以優勢б破解方案，則敵手A 能在多項式時間內解決DBDH 困難問題。

初始化建立系統，生成安全參數λ，然后運行算法setup(1λ)，得到安全參數par。

1)階段1。敵手A 多次運行索引加密算法。

2)挑戰1。挑戰者C 選取2個密鑰k1和k2，要求它們在階段1 不能被敵手A 查詢。運行加密算法，同時生成隨機數t，計算得到。然后挑戰者C 隨機發送一個索引I*給敵手A。

3)猜測。敵手A 收到索引I*以后，對密文進行分析解算。然后敵手輸出猜測的結果I'，如果I'=I*，則敵手A 贏得游戲。如果敵手A 能夠對密文I'進行正確解密，那么敵手A 就能區分密文I'中的。

4)階段2。敵手A 嘗試破解判定性雙線性Diffie-Hellman 假設中的2 個五元組。敵手A 多次運行算法計算這2 個五元組。

5)挑戰2。挑戰者C 隨機選擇(a,b,c,z)←RZP，生成2 個五元組，T0是BHD 五元組，T1是隨機五元組，具體如下。

挑戰者C 隨機生成μ←R{0,1}，若μ=0，則輸出T0，若μ=1，則輸出T1。挑戰者將得到的五元組發送給敵手A。組T*進行分析，然后輸出μ′，如果μ′=μ，則敵手A 在游戲中獲勝。

6)猜測。敵手A接收到挑戰者C發出的五元

證明敵手A 能夠對索引I進行解密，則敵手A能夠解決判定性雙線性Diffie-Hellman 假設困難問題。綜上所述，方案的密文安全性可以規約到判定性雙線性Diffie-Hellman 假設困難問題。

證畢。

7 實驗分析

實驗環境為64 bit Windows 操作系統、Intel?Core(TM)i5-4570 CPU 3.20 GHz、內存16 GB，本文實驗主要利用本地的虛擬機VMware 加載開源項目OpenStack 來進行性能測試，使用C++語言，加密函數由PBC 函數庫提供。

本節實驗將本文方案與文獻[12-13,15]這3 種方案進行對比，分別對比了陷門生成時間、索引生成時間和關鍵字檢索時間。實驗中的關鍵字數量以50 為步長，從50 依次遞增到500，對每一個關鍵字數量進行50 次反復實驗，求出時間開銷的平均值，保證實驗結果的有效性。同時進行字符串字符數量與時間開銷關系的實驗，得到字符串的數據復雜度與時間開銷無關的結論，本文實驗選取8 個字母的單詞作為關鍵字。

本文使用的數據集由復旦大學國際數據庫中心自然語言處理小組提供，其中測試語料共有9 833篇文檔，訓練語料共有9 804 篇文檔。

本節還將本文方案在區塊鏈引入之前和引入之后進行對比實驗。利用testrpc 軟件進行本地以太坊網絡環境的搭建，然后將本文方案編寫為智能合約，并設置挖礦時間為0，以排除其他時間對結果的影響。

7.1 陷門生成時間

將本文方案與 DS-PEKS[12]、PAEKS[13]和SPE-PP[15]這3 種方案進行對比，由圖2 可知，在陷門計算過程中，隨著關鍵字數量的增加，陷門的生成時間也隨之增加。對比后發現，本文方案在陷門生成時間上比其他3 個方案都有一定的優勢，并且隨著關鍵字數量的增加，優勢越來越大。本文方案中的陷門生成時間不會隨著關鍵字包含的字母數量的增多而增多，這對于查詢復雜的字符串有一定的優勢。同時在第6 節已經得到驗證，本文方案構造的陷門滿足IND-KGA 安全，關鍵字的安全性能夠得到保障。

圖2 陷門生成時間

7.2 索引生成時間

由圖3 可知，本文方案與DS-PEKS 和PAEKS方案相比有很大優勢，與SPE-PP 方案相比略有優勢。造成這個結果的主要原因是本文方案中索引的計算只需要進行一次雙線性計算和一次哈希計算，相比其他3 種方案，本文方案是具有更簡單的構造方案。與DS-PEKS 和PAEKS 方案相比，隨著關鍵字的增多，本文方案的優勢會越來越大。

7.3 關鍵字檢索時間

本文方案在進行關鍵字檢索時一共進行了3次雙線性對計算，相比于其他3 種方案，計算開銷較小。由圖4 可知，在關鍵字數量為500 個時，本文方案比PAEKS 和SPE-PP 方案的效率大約高25%。

圖3 索引生成時間

圖4 關鍵字檢索時間

7.4 區塊鏈引入前后對比實驗

區塊鏈引入之后會導致檢索時間的增加，但是增強了安全性。由圖5 可知，隨著關鍵字數量的增多，引入區塊鏈方案的檢索時間增長量逐漸減少。

圖5 關鍵字檢索時間

8 結束語

本文提出一種基于區塊鏈的公鑰可搜索加密方案，這是一種一對多的可搜索加密方案，主要應用于搭載在公共平臺上的私有云環境。方案主要解決2 個方面的問題：1)保證陷門的安全性，利用DBDH 困難問題構造原則使生成索引添加的隨機數與生成陷門時添加的隨機數不必相同，減少了用戶與數據擁有者的通信資源開銷，也預防了由信道安全引起的數據泄露問題；2)利用區塊鏈技術解決了傳統方案中第三方的可信問題，同時利用區塊鏈系統的公平公正特點，限制了服務器產生的惡意行為。安全性分析和挑戰者游戲證明了本文方案的安全性。針對方案中索引生成時間、陷門生成時間、關鍵字檢索時間進行了實驗，關鍵字數量由50增大到500，并對每個關鍵字數量各進行50次實驗，對得到的時間開銷取平均值，與文獻[12-13,15]中的方案進行對比，證明了本文方案具有較高的效率。

接下來的工作將針對可搜索加密，利用區塊鏈技術在公有環境中進行多對多模型的研究，雖然本文能夠利用區塊鏈的高可信度，扮演權威可信機構的角色，限制服務器的惡意行為，但是在安全性與效率方面還需要進行更深入的研究。