智能合約輔助下滿足前后向安全的動態可搜索加密方案

丁曉暉，曹素珍，王彩芬

（1.西北師范大學 計算機科學與工程學院，蘭州 730070；2.深圳技術大學 大數據與互聯網學院，廣東 深圳 518118）

0 概述

隨著云計算技術的發展［1-3］，越來越多的數據用戶（Data User，DU）選擇將數據存儲在云服務器（Cloud Server，CS）上。但由于云服務器是半可信的，因此不能保證上傳數據的機密性與完整性。雖然數據屬主（Data Owner，DO）可以先將數據進行加密再上傳到云服務器以保證數據的機密性，但數據用戶如何從云服務器處搜索密文是一大難題。使用既可保證數據機密性又具有良好密文檢索性的可搜索加密技術，能夠有效解決這一問題［4-5］。在現有的可搜索加密研究中，搜索云服務器通常被認為是誠實且好奇的［6-7］，然而在現實生活中，搜索云服務器可能會因為商業利益等原因返回部分搜索結果，存在不誠實行為，而且由于搜索云服務器可以無限制地執行密文搜索陷門的匹配測試，因此許多可搜索加密方案無法抵抗內部關鍵字猜測攻擊。研究者考慮到智能合約（Smart Contract，SC）技術具有透明性以及不可修改性，陸續提出一些基于智能合約的可搜索加密方案用來抵抗內部關鍵字猜測攻擊。然而，智能合約技術的透明性對用戶隱私構成了較大威脅。例如，文獻［8］提出的方案在運行智能合約時可能會泄露關鍵字搜索密鑰，這就導致了攻擊者可以獲取數據用戶所進行的查詢信息，甚至可以根據泄露的關鍵字信息獲得加密數據的部分信息，造成嚴重的信息泄露。在可搜索加密中，信息泄露通常會引發一系列的安全問題［9］。2012 年，ISIAM等［10］分析了在可搜索解密中信息泄露可能帶來的后果，并指出即使是很小的泄露也可能會造成嚴重的安全隱患。2016 年，ZHANG等［11］指出，即便是泄漏率很低的可搜索加密方案，也可以通過簡單的文件注入攻擊來完整地揭示用戶在客戶端的查詢。因此，為了抵抗泄露濫用攻擊以及文件注入攻擊，近年來提出的可搜索加密方案強調前向安全與后向安全［12］這2 種新的安全屬性。

文獻［13］基于對稱密碼體制提出了一個滿足前向安全的可搜索加密方案，該方案相對于文獻［14］提出的方案具有更高的輸入輸出效率。文獻［15］等基于鍵控區塊鏈技術構造了具有前向安全性的可搜索加密方案，該方案在搜索階段和更新及陷門生成階段的效率分別是文獻［14］方案的4 倍和300 倍。多數方案往往會忽略后向安全對一個動態可搜索加密方案的重要性，直到2017 年BOST 等在ACM SIGSAC 會議上給出了關于動態可搜索加密后向安全的正式定義［16］，其將后向安全的等級分為3 類，分別是插入模式下的后向安全、更新模式下的后向安全和弱后向安全。基于文獻［16］的工作，文獻［12，17］等分別提出了滿足后向安全的動態可搜索加密方案，其在構造方式上較文獻［16］有一定的改進。然而，以上提出的這些具有前向或者后向安全性的方案大多是基于對稱密碼體制的，而對稱密碼體制在部分實際應用環境中存在密鑰管理的局限性。2004 年，BONEH等［18］提出了基于公鑰密碼體制的可搜索加密方案，此后，很多公鑰可搜索加密方案陸續被提出［19-20］。然而，上述這些公鑰可搜索加密方案均不滿足前后向安全性。2016 年，BOST等［14］在CCS 會議上提出了一個滿足前向安全的公鑰可搜索加密方案，但該方案涉及大量的雙線性對運算操作，方案效率較低。文獻［21］提出的公鑰可搜索加密方案雖然效率較文獻［14］提出的方案有所提高，但其僅僅滿足前向安全性。由此可見，設計可抵抗內部關鍵字猜測攻擊且滿足前后向安全性的動態公鑰可搜索加密方案是很有必要的。

現有多數可搜索加密方案主要存在以下3 個方面的缺陷：首先，由于搜索服務器可以無限制地執行搜索陷門匹配測試，導致大部分方案不能抵抗內部關鍵字猜測攻擊；其次，為了提高密文檢索的效率，動態的可搜索加密方案或多或少都會泄露一定的數據信息，但過多的信息泄露會導致信息泄露濫用攻擊以及文件注入攻擊，應在滿足密文檢索效率的基礎上盡可能地減少數據信息的泄露，實現前向安全與后向安全；最后，基于公鑰密碼體制構造的可搜索加密方案往往涉及大量的雙線性對運算操作，從而導致方案效率較低，不適用于大數據通信的現實環境。

針對上述問題，本文提出一種智能合約輔助的動態可搜索加密方案FBSEBS。該方案只根據輸入返回正確且不可變的結果，并使用智能合約代替搜索服務器進行關鍵字陷門匹配測試，可抵抗內部關鍵字猜測攻擊，并且其滿足前向安全性與后向安全性，能夠抵抗信息泄露濫用攻擊以及文件注入攻擊。在本文方案的構造過程中避免使用大量的雙線性對操作，從而提高搜索效率。

1 預備知識

1.1 符號說明

FBSEBS 方案中主要符號的說明如表1 所示。

表1 FBSEBS 方案中的符號說明Table 1 Symbol description in FBSEBS scheme

1.2 雙線性映射

設q為一個素數，G1、G2是階為q的兩個循環群。定義一個雙線性映射e：G1×G1→G2，其 具有以下性質：

1）雙線性性：對任意g?G1，a,b?有e(ga,gb)=e(g,g)ab。

2）非退化性：存在g?G1，使得e(g,g)≠1。

3）可計算性：對于每一個g?G1，存在一個有效的算法計算e(g,g)。

1.3 困難問題

本文方案存在的困難問題DBDH［22］描述如下：存在一個雙線性映射e：G1×G1→G2，g1為群G1的生成元，那么不存在概率多項式算法能夠以不可忽略的優勢ε區分給定的數組，其中，a、b、c、z隨機選擇于有限域中。

1.4 偽隨機置換函數

文獻［23］給出了偽隨機置換函數的概念，其為一個多項式時間的可計算函數，本文定義一個函數F：{0,1}L×{0,1}λ→{0,1}L是偽隨機置換函數，其滿足以下定義：1）對于任何的A←{0,1}λ，函數F是一個從{0,1}L到{0,1}L的映射；2）對于任何多項式時間內的敵手，都無法準確地區分偽隨機置換函數與隨機函數；3）對于任意的A←{0,1}λ，x←{0,1}L，存在一個有效的算法計算FA(x)：→{0,1}L。此外，如果一個函數滿足FA(x)=y，且則稱F-1為偽隨機置換函數F的逆函數。

1.5 泄露函數

為使動態可搜索加密方案具有更高的搜索效率，通常允許向云服務器泄露一定的信息。根據文獻［13］的工作，定義一個泄露函數L=(LSetup,LSearch,LUpdate)來說明允許向敵手泄露的信息。因此，一個動態可搜索加密方案的機密性可以表述為泄露的信息不多于泄露函數所允許泄露的信息。

1.6 前向安全性與后向安全性

1.6.1 前向安全性

前向安全性［16］是指在進行更新操作時不會泄露任何有關關鍵字的信息，或者舊的搜索陷門不能用于搜索更新后的文件，具體定義如下：

一個自適應安全的動態可搜索加密方案，如果其更新泄露函數可以寫為則其滿足前向安全性。其中是一個無狀態函數。

1.6.2 后向安全性

后向安全性是指搜索算法不應泄露已經刪除的文件標識符，即后續搜索不會泄露已刪除文件所對應的索引信息。本文方案滿足文獻［16］提出的第3 類后向隱私。在給出具體定義之前，首先定義以下函數：

1）TimeD(Wi)：返回已經添加到數據庫中且隨后沒有被刪除的關鍵字Wi的所有時間戳/文件標識符的集合。

其中：u表示時間戳。

2）DleHist(Wi)：向敵手返回所有已經刪除的歷史條目。條目中包含插入時間戳uadd和刪除時間戳udel，此外，明確表示哪個刪除對應哪個添加。

2 系統模型

在本文提出的FBSEBS 方案中，共存在5 個實體，分別是數據屬主（DO）、可信授權中心（Trusted Authorization，TA）、數據用戶（DU）、智能合約（SC）以及云服務器（CS）。DO 受限于自身的存儲及計算能力，首先會選擇將加密的文件索引集以及對應的關鍵字密文上傳到SC，然后將文件密文以及對應的文件索引集上傳到CS。當DU 想要從CS 處搜索準確有效的數據文件時，會使用自己的私鑰以及關鍵字構造關鍵字陷門上傳到SC 進行搜索，搜索完成后DU 會獲得相應的文件加密索引，利用自己的私鑰進行解密后便可根據文件索引從CS 中獲得DO 外包的加密數據文件。FBSEBS 系統模型架構如圖1 所示，具體步驟如下：

1）密鑰生成：如圖1 中第①步所示，TA 會計算生成系統的主公私鑰對以及DU 的公私鑰對，DU 在收到公私鑰對后，會秘密保存自己的私鑰，并將自己的公鑰公開。

2）生成關鍵字密文：如圖1 中第②步所示，DO會生成關鍵字密文及其對應的加密文件索引集，并將他們上傳到SC 供DU 搜索。

3）加密的數據文件外包：如圖1 中第③步所示，DO 將加密的文件密文以及對應的文件索引集外包給CS。本文方案主要側重于通過文件索引的構建來實現前向與后向安全性，因此，對于文件的加密與解密沒有進行詳細的描述。

4）關鍵字搜索：如圖1 中第④步所示，DU 使用自身私鑰以及關鍵字生成關鍵字陷門，并將其上傳到SC 進行搜索，搜索完成后SC 返回加密的文件索引集給DU。

5）請求與返回數據：如圖1 中第⑤步所示，DU解密由第④步獲得的加密文件索引集，并根據文件索引集從CS 處獲得對應的由DO 外包的加密文件。

圖1 FBSEBS 系統模型架構Fig.1 Structure of FBSEBS system model

3 算法描述

FBSEBS 方案由以下6 個算法構成：

1）系統建立算法Setup(λ)：該算法由TA 執行，TA輸入系統安全參數λ，計算得出系統參數para。

2）密鑰生成算法KeyGen(para)：該算法由TA 執行，TA 輸入系統參數，計算得出系統的主公私鑰對(s,PK)以及DU 的公私鑰對(PKdu,SKdu)。

3）數據更新階段算法Update(para,D,PKdu,Wi)：該算法由DO 執行，DO 輸入系統參數para、數據庫D、DU 公鑰PKdu以及關鍵字Wi，輸出一個加密的數據庫ED。

4）陷門生成算法Trapdoor(para,SKdu,Wi)：該算法由DU 執行，DU 輸入系統參數para、自己的私鑰SKdu以及關鍵字Wi，生成關鍵字陷門

6）解密階段算法Decrypt(para,SKdu,Wi,EI)：該算法由DU 執行，DU 輸入系統參數para、自己的私鑰SKdu、關鍵字Wi以及加密的文件索引集EI，輸出解密的文件索引集。

本文方案主要側重于通過文件索引的構建來實現前向與后向安全性，因此，對于文件的加密與解密沒有進行詳細的描述。

3.1 系統建立算法

系統建立算法表示為Setup(λ)→para，具體描述如下：

TA 輸入一個系統安全參數λ，并建立兩個循環群G1、G2，其階均為素數q。定義雙線性映射e：G1×G1→G2，P為群G1的生成元。選取9個安全的哈希函數選取一個偽隨機置換函數：F：{0,1}λ×{0,1}λ→{0,1}λ，并且F-1是函數F的逆運算。選取兩個鍵值函數：G[key]=value，T[key]=value，其中，G[key]=value 用于存儲關鍵字的狀態，T[key]=value 在數據屬主更新數據庫時使用。隨后，TA 公開系統參數：para=(λ,q,G1,G2,P,e,H1,H2,H3,H4,H5,h1,h2,h3,h4,F,F-)。

3.2 密鑰生成算法

密鑰生成算法表示為 KeyGen(para) →(PKdu,SKdu)，具體描述如下：

3.3 數據更新階段算法

數據更新階段算法表示為Update(para,D,PKdu,Wi)→ED，具體描述如下：

DO 執行此算法，輸入系統參數para、DU 的公鑰PKdu以及數據庫D。其中：D：{O,FC,W}；O：{add,del}表示加入和刪除操作；FC：{FC1,FC2,…,FCj,…}表示文件集合；W：{W1,W2,…,Wi,…}表示文件包含的關鍵字集合；?FC 表示所有包含關鍵字Wi的文件索引的集合。隨后，DO 通過以下步驟來生成一個加密的數據庫：

1）DO 隨機選取隨機數r,u←，計算當前的數據庫狀態CDV=r?P，并將其公布。

2）對于每個關鍵字Wi?W：

3.4 陷門生成算法

陷門生成算法表示為Trapdoor(para,SKdu,Wi)→具體描述如下：

該算法由DU 執行，當輸入para、SKdu、Wi時，DU通過計算生成關鍵字陷門并將其上傳到SC。

3.5 搜索階段算法

該算法由SC 執行，當SC 接收到DU 上傳的關鍵字陷門后，輸入系統參數para、關鍵字陷門TWi以及加密的數據庫ED，進行以下計算獲得加密的文件索引集。

3.6 解密階段算法

解密階段算法表示為Decrypt(para,SKdu,Wi,EI)→RI，具體描述如下：

數據更新和搜索算法示意圖如圖2 所示。

圖2 更新與搜索算法示意圖Fig.2 Schematic diagram of update and search algorithms

3.7 智能合約設計

算法2 詳細地說明了智能合約的設計流程，智能合約包括插入和搜索兩個階段。在插入階段，DO將加密的數據庫ED上傳到智能合約。在搜索階段，DU 通過發送關鍵字陷門來調用搜索合約完成搜索。盡管理論上智能合約可以執行任何公鑰操作，例如雙線性對運算等，但操作以及計算的復雜性會給其實現以及應用帶來嚴重障礙。在本文方案中，智能合約只執行一些簡單的哈希操作，計算以及通信開銷極低，因此可以很好地保證實用性。

算法1數據屬主執行算法

4 安全性分析

4.1 正確性分析

4.2 前后向安全性分析

4.3 安全性證明

定義1如果F是一個安全的偽隨機置換函數，哈希函數是抗沖突的散列函數，且DBDH 困難問題是成立的，那么本文提出的方案是滿足自適應安全的公鑰可搜索加密方案。

定義2對于一個動態更新的公鑰可搜索加密方案，如果其泄露函數可以定義為：那么該公鑰可搜索加密方案滿足前向與后向安全性。

定理令F是一個安全的偽隨機置換函數，哈希函數是抗沖突的散列函數，且DBDH 困難問題是成立的。定義泄露函數那么稱方案是具有前向與后向安全性的L-adaptively-secure 的公鑰可搜索加密方案。

證明首先定義一個安全的偽隨機置換函數F，運行所有的哈希函數作為隨機預言機，每個哈希函數運行模式相同，區別在于輸出長度不同。每一個隨機預言機維護一個哈希鏈表存儲輸入輸出對。例如，對于h1預言機，輸入一個字符串x，預言機首先檢查h1-List 中是否存在x對應的值，若不存在，隨機選擇一個字符串y=h1(x)作為輸入輸出對(x,y)存儲在哈希鏈表h1-List 中。令S 作為一個模擬器，A 作為一個敵手，定義以下兩個游戲：

1）HybridG1。游 戲G1除了在生成狀態stc時不使用偽隨機置換函數F外，其余過程與游戲相同。游戲維護一個狀態列表stList[Wi,c]=stc，在數據更新階段，當需要使用stc時，會首先從stList 中檢索其是否存在，若存在，則返回相應的元組，否則，隨機選擇一個字符串stc←(0,1)λ并將其插入狀態列表stList 中，而不是通過偽隨機置換函數stc=F(sc,stc-1)計算得到狀態stc。因為偽隨機置換函數的安全性，所以無法區分偽隨機置換函數與隨機函數，因此，游戲G1與游戲是不可區分的。

4）HybridG4。在最后一個游戲G4中，模擬器S通過使用泄露函數生成一個視圖，而不是通過真實的更新和查詢。泄露函數包括搜索模式和更新歷史，搜索模式顯示過去哪些查詢是關于關鍵字Wi的查詢，更新歷史會顯示過去哪些查詢是關于關鍵字Wi的更新查詢，以及更新的類型和文檔標識符。在敵手看來，游戲G4與游戲G3的表現是完全一致的，它們是不可區分的所以有又因為在多項式時間內解決困難問題DBDH 的概率是可以忽略不計的，所以游戲RealΠA(λ)與是不可區分的。因此，可證明本文提出的方案是具有前向與后向安全性的L-adaptively-secure的公鑰可搜索加密方案。

5 性能分析

將本文方案與文獻［5，14，21］方案進行性能對比，其中符號說明如表2 所示，比較結果如表3 所示。

表2 性能對比中的符號說明Table 2 Symbol description in performance comparison

表3 各方案的計算開銷和安全性對比Table 3 Comparison of computing overhead and security of each scheme

在本文方案中，更新階段主要分為3 個部分，分別為生成狀態密文、生成索引密文以及生成授權密文。在生成狀態密文時，方案需要維護一個映射以及運算偽隨機置換函數和哈希函數，該階段的計算開銷為Tmtp+F+2Th，同理可計算出在生成索引密文時的計算開銷為N×2Th+Tsm，生成授權密文的計算開銷為Te+2Th+Tsm，因此，整個更新階段的計算開銷為Tmtp+F+4Th+Te+N×2Th+2Tsm。同理可得，文獻［5］方案加密階段的計算開銷為文獻［14］方案加密階段的計算開銷為Th+N×(2Th+T)，文獻［21］方案加密階段的計算開銷為N×F+在陷門生成階段，本文方案的計算開銷為Tmtp+Tsm+Te，文獻［5，14，21］方案的計算開銷分別為Tmtp+Tsm、Th、Tsm。在搜索階段，本文方案避免了諸如雙線性映射等復雜計算操作，具有較高的搜索效率，計算開銷為N×2Th+4Th，文獻［5，14，21］方案的計算開銷分別為

在安全性方面：文獻［5］方案雖然基于公鑰密碼體制提出了一個輕量化的可搜索加密方案，但該方案的安全性明顯不足，不滿足前后向安全性，無法很好地抵抗文件注入攻擊；文獻［14］提出的對稱可搜索加密方案滿足前向安全性，且在陷門生成階段具有良好的效率，但是由于該方案基于對稱密碼體制，因此不適用于現實生活中大多數的應用環境，如車聯網環境等；文獻［21］基于公鑰密碼體制提出了一個具有前向安全性的可搜索加密方案，解決了文件注入攻擊問題；本文方案在搜索效率以及后向安全性上，相較于文獻［21］方案均有一定的優勢。

為更清楚地對比各方案的計算效率，在配備Intel Core i5-7500處理器、3.0 GHz主頻，以及8 GB的內存環境下進行模擬實驗，將本文方案同文獻［5，14，21］方案進行計算效率對比，結果如圖3～圖5所示，結果表明，本文方案在加密算法階段效率要高于文獻［5］提出的輕量化公鑰可搜索加密方案以及文獻［14］提出的具有前向安全的對稱可搜索加密方案，與文獻［21］方案基本相當。在陷門生成階段，本文方案的計算效率要略差與其他方案。在搜索算法階段，由于本文方案避免了大量的雙線性對計算操作，因此計算效率遠高于其他方案，且隨著索引數量的不斷增加，其在搜索階段的計算效率優勢會更加明顯。綜上所述，本文提出的公鑰可搜索加密方案在加密階段以及搜索階段的計算效率表現是比較有優勢的，雖然在陷門生成算法階段的計算效率略低于其他方案，但作為安全性的折中，這是可以接受的。此外，由于本文方案在搜索算法階段避免了大量的雙線性對運算操作，因此搜索效率要遠高于其他方案，這也使得本文方案更適用于大數據通信環境。

圖3 更新（加密）算法消耗時間Fig.3 Time consuming of updating（encryption）algorithm

圖4 陷門生成算法消耗時間Fig.4 Time consuming of trapdoor generation algorithm

圖5 搜索算法消耗時間Fig.5 Time consuming of search algorithm

設置安全參數為λ=128 bit 且|G1|=512 bit，|G2|=1 536 bit，通過比較索引密文生成階段以及陷門生成階段的通信開銷大小來衡量本文方案在通信開銷上面的表現，比較結果如表3 所示。由表3 可知，本文方案在計算索引密文時，主要的計算開銷為N×2Th+4Th，因此，其主要通信開銷為2Nλ+4λ，其中N為加密索引的個數。同理可知，文獻［5，14，21］方案的通信開銷分別為2Nλ、N(λ+|G2|)、N(λ+|G1|+|G2|)。此外，本文生成一個搜索陷門的最小通信開銷為λ，相對應的文獻［5，14，21］方案的通信開銷為2λ、|G1|、|G1|，如圖6、圖7 所示。

圖6 索引密文生成階段通信開銷對比Fig.6 Comparison of communication overhead during index ciphertext generation

圖7 陷門生成階段通信開銷對比Fig.7 Comparison of communication overhead during trapdoor generation

6 結束語

在云計算環境下，采用可搜索加密技術能夠在保證數據機密性的同時實現高效的密文檢索，但當前多數動態可搜索加密方案因不滿足前后向安全性導致難以抵抗泄露濫用攻擊以及文件注入攻擊。本文設計一個新的動態公鑰可搜索加密方案，其在智能合約的輔助下滿足前后向安全性，可抵抗內部關鍵字猜測攻擊，并避免使用大量的雙線性對運算操作，解決了現有公鑰可搜索加密方案計算開銷較大的問題。分析結果表明，本文方案在計算開銷以及安全性上的表現優于文獻［5，14，21］方案。然而，本文構造的動態可搜索加密方案僅支持單關鍵字搜索，下一步將構造一個支持多關鍵字搜索，同時滿足前后向安全性的動態可搜索加密方案。