可撤銷的多關鍵字公鑰可搜索加密方案

摘 要：在云計算應用中，為保證隱私數(shù)據(jù)安全，用戶需要將數(shù)據(jù)在本地加密后再上傳至云服務器?？伤阉骷用芗夹g允許用戶直接檢索服務器上的加密數(shù)據(jù)，獲得檢索權限的用戶往往可以無限制地檢索密文。在現(xiàn)實應用中，用戶密鑰的丟失及惡意攻擊容易對隱私數(shù)據(jù)產(chǎn)生安全威脅，用戶不應該持續(xù)保持對數(shù)據(jù)的檢索能力。為此，提出了一個支持用戶檢索權限撤銷的公鑰可搜索加密方案。將系統(tǒng)的整個生命周期劃分為不同時段，下個時段的密文由上個時段的密文進化而來，通過密文進化及時間密鑰的分發(fā)控制實現(xiàn)用戶權限的撤銷。方案在支持多關鍵字檢索的同時降低方案的計算開銷，并且撤銷用戶對此前時刻所有密文的檢索能力，保證密文的前向安全性。

關鍵詞：云計算；可搜索加密；公鑰加密；權限控制；前向安全

中圖分類號：TP393.08

文獻標志碼：A

文章編號：1001-3695（2023）07-039-2179-05

doi：10.19734/j.issn.1001-3695.2022.10.0522

Multi-keyword public key searchable encryption

scheme with keyword revocation

Zheng Dong，He Junjie，Qin Baodong^?，Chen Congzheng

（Cyberspace Security Academy，Xi’an University of Posts amp; Telecommunications，Xi’an 710061，China）

Abstract：In cloud computing applications，users need to encrypt data locally before uploading it to the cloud server to ensure the security of private data.Searchable encryption technology allows users to directly search encrypted data on the server.Users with search permission can search ciphertext without limitation.In practical applications，the loss of user key and malicious attacks are easy to cause security threats to private data，and users should not keep the ability to retrieve data.This paper proposed a public-key searchable encryption scheme that supported the revocation of user retrieval rights.It divided the whole life cycle of the system into different periods.The ciphertext in the next period was evolved from the ciphertext in the last period.It revoked the user permission through the ciphertext evolution and time key distribution control.The scheme supports multi-keyword retrieval，reduces the computing cost，and cancels the search ability of all ciphertexts at the previous time to ensure the forward security of ciphertexts.

Key words：cloud computing；searchable encryption；public key encryption；access control；forward security

在云計算技術的發(fā)展及應用下，越來越多的數(shù)據(jù)用戶選擇將本地數(shù)據(jù)存儲在云服務器上以便節(jié)省管理及維護本地數(shù)據(jù)的開銷。用戶以明文形式將數(shù)據(jù)上傳至服務器容易導致數(shù)據(jù)泄露問題，因此數(shù)據(jù)用戶在將數(shù)據(jù)上傳云服務器前需要對數(shù)據(jù)進行加密處理，以確保服務器不知道原始數(shù)據(jù)的任何信息，即使這部分加密數(shù)據(jù)被非法用戶或惡意服務器泄露，也不會對用戶原始數(shù)據(jù)造成安全隱患。同時，為了利用服務器強大的計算能力而非用戶對加密數(shù)據(jù)的自行檢索，本文希望服務器能通過用戶提供的關鍵字進行密文檢索。然而，傳統(tǒng)的數(shù)據(jù)加密技術及檢索方案無法滿足數(shù)據(jù)用戶對云存儲服務器的需求?，F(xiàn)有的加密方案只能保證加密數(shù)據(jù)的安全特性，無法直接對密文進行檢索操作，因此用戶只能將所有密文從云端下載、解密之后才能檢索到自己需要的數(shù)據(jù)，這種方式不僅使檢索效率極低還浪費網(wǎng)絡資源。

1 相關研究

為了在保證數(shù)據(jù)機密性的條件下使用戶檢索到正確的加密信息，2000年，Song等人^［1］第一次提出了可搜索加密技術。此后，根據(jù)方案使用的密碼體制的不同，將可搜索加密技術分成對稱可搜索加密（symmetric searchable encryption，SSE）和非對稱可搜索加密（asymmetric searchable encryption，ASE）。Song等人的方案采用了對稱加密算法為數(shù)據(jù)提供可證明的保密特性，增強了隱私數(shù)據(jù)在不可信服務器上存儲時的安全性；為用戶提供隱藏查詢，讓用戶在不透漏關鍵詞的情況下要求不可信服務器搜索關鍵詞，在保證數(shù)據(jù)安全的情況下實現(xiàn)對云端加密數(shù)據(jù)的檢索。2004年，Boneh等人^［2］采用公鑰密碼技術研究了加密數(shù)據(jù)的檢索問題，首次提出了公鑰關鍵字可搜索加密（PEKS）的概念，并構造了一個隨機預言機模型下安全的單關鍵字可搜索加密方案。然而該方案存在一個安全問題，即任何人只要獲得關于未知關鍵字的多個陷門信息，就可以將所有捕獲的加密數(shù)據(jù)與獲得的陷門信息區(qū)分開來。2006年，Byun等人^［3］提出了離線關鍵字猜測攻擊，并指出一些帶關鍵字檢索的可搜索加密方案對這種攻擊是不安全的。2007年，Bethencourt等人^［4］提出了一個基于屬性的可搜索加密方案（CP-ABE），數(shù)據(jù)擁有者通過自定義的訪問控制策略對數(shù)據(jù)進行加密，系統(tǒng)則為每個用戶分配一組屬性值，只有擁有對應訪問控制策略的一組屬性值的用戶才可以正確解密云服務器上返回的密文。此后，基于屬性的可搜索加密逐漸得到發(fā)展^［5～7］。同年，Boneh等人^［8］使用向量隱藏加密的方法構造了第一個公鑰多關鍵字聯(lián)合可搜索加密方案。相比于單關鍵字檢索的可搜索加密方案，支持多關鍵字檢索的方案^［9～11］提高了用戶的檢索效率，增強了方案實際應用的可行性。2008年，Baek等人^［12］構建了一個無安全信道的關鍵字可搜索加密方案，該方案在生成檢索陷門時加入服務器公鑰，保證陷門的安全。同年Bao等人^［13］也提出了一個適用于多用戶情景下的可搜索加密方案，方案在初始階段會為每個用戶分配一個私鑰，系統(tǒng)中的用戶可以用其自身的初始私鑰生成一個有效陷門發(fā)送給服務器。在現(xiàn)實中，多用戶情景下的可搜索加密系統(tǒng)在提高實用性的同時增加了密鑰中心存儲及維護用戶密鑰的花費。為減少密鑰存儲花費以及更好地保護陷門安全，研究者們構建了基于身份的公鑰關鍵字可搜索加密系統(tǒng)^{［14～16］}。頻繁發(fā)生的隱私數(shù)據(jù)泄露事件一直制約著可搜索加密技術的發(fā)展，用戶隱私數(shù)據(jù)的泄露多發(fā)生于數(shù)據(jù)存儲共享與數(shù)據(jù)通信活動中。

因此，實現(xiàn)檢索權限撤銷的加密技術成為研究的重點?？沙蜂N檢索權限的可搜索加密一般分為基于用戶密鑰更新的撤銷方案以及基于屬性撤銷的方案。基于用戶密鑰更新的撤銷方案對分配給用戶的密鑰進行更新，使用戶原本持有的舊密鑰失效，用戶僅能用新密鑰生成相關密文的檢索陷門。屬性基撤銷將針對數(shù)據(jù)所對應的加密標簽進行更新，用新的屬性組替代掉原本生成加密標簽的屬性組，撤銷后的用戶將不能根據(jù)原有屬性生成檢索陷門。Yu等人^［17］提出了一種可撤銷可搜索加密方案的具體結構，在判定雙線性Diffie-Hellman假設下實現(xiàn)了密文對自適應選擇關鍵字攻擊的不可區(qū)分性，但是，該方案具有較高的計算成本和通信開銷。Zhang等人^［18］在此基礎上提出了一種結合哈希鏈的公鑰可撤銷加密方案來撤銷服務器的搜索能力，但是該方案在關鍵字加密階段需要連續(xù)多次的與系統(tǒng)時間有關的哈希鏈運算，計算花費較大。Wang等人^［19］引入時間周期構建出一個安全信道下的公鑰可搜索加密方案，在不同時間段選用不同隨機數(shù)來生成新的用戶密鑰，實現(xiàn)撤銷用戶檢索權限的功能。牛淑芬等人^［20］在加密郵件系統(tǒng)中提出了關鍵字以及關鍵字陷門不可區(qū)分的可搜索加密方案，該方案不能對惡意用戶實現(xiàn)檢索權限的限制，單關鍵字的檢索方式也不能滿足用戶對檢索效率的需求。Xu等人^［21］提出一種基于多服務器的可撤銷公鑰可搜索加密方案，但是單關鍵字檢索效率較低，多服務器也意味著額外的計算花費。黃保華等人^［22］提出屬性基撤銷的多關鍵詞可搜索加密方案，具有較高的存儲性能并且無須更新密鑰就能完成撤銷，然而該方案在加密及檢索階段的計算開銷較大。

此前的可撤銷方案忽略了被撤銷的用戶仍可以使用其私鑰來解密被撤銷前所訪問過的密文。如此，已撤銷的用戶可能惡意解密之前的密文，泄露數(shù)據(jù)擁有者的隱私。本文使用密文更新的方法構建了一個支持用戶檢索權限撤銷的公鑰可搜索加密方案（RPEKS）。本文作出了如下工作：a）通過時間密鑰加密及異或運算實現(xiàn)對原始密文的加密進化，上個時間段的密文將被下個時間段的密文代替，被撤銷的用戶將無法對任何時間段的密文進行檢索，保證了隱私數(shù)據(jù)的前向安全性；b）相比單關鍵字可搜索加密方案，RPEKS方案在提供撤銷功能的同時添加多關鍵字檢索能力，具有更高效的檢索效率；c）在隨機預言機模型下證明其能夠抵抗選擇關鍵字攻擊。此外，從功能特性、計算開銷及通信開銷方面對比RPEKS方案和其他方案^{［17，18，20，21］}的效率。理論分析和實驗仿真結果表明，RPEKS具有較好的計算效率和功能特性。

2 基礎知識及安全模型

2.1 雙線性對

設G₁與G₂分別為階為素數(shù)q的循環(huán)乘法群，P∈G₁為群G₁的生成元，則雙線性映射e：G₁×G₁→G₂成立滿足以下條件：

a）雙線性。對于a，b∈Z_q，有e（P^a，P^b）=e（P，P）^ab=e（P，P^ab）=e（P^ab，P）。

b）非退化性。任意的P，Q∈G₁，有e（P，Q）≠1。

c）可計算性。對于任意P，Q∈G₁，存在高效的算法計算e（P，Q）。

2.2 DBDH問題

本節(jié)給出相應的數(shù)學難題，方案的安全性正是建立在這一數(shù)學難題上的。

令e：G₁×G₁→G₂為一個雙線性映射，P∈G₁為群G₁的生成元。給定（P，P^a，P^b，P^c）∈G₁和R∈G₂，對于未知的a，b，c∈Z_q，判斷R=e（P，P）^abc是否成立是困難的。該問題稱為判定雙線性Diffie-Hellman問題，簡稱DBDH問題。

2.3 可撤銷的多關鍵字公鑰可搜索加密（RPEKS）

本文方案是一個多元組的多項式時間算法，以下是本文方案的形式化構造。假設關鍵字域為KS_w，時間段域為τ，被撤銷用戶列表為RL。

a）Setup（λ）：該算法由PKG運行。輸入安全參數(shù)λ，輸出主私鑰msk和公共參數(shù)GP。

b）DO-KeyGen（GP）：該算法由PKG運行，輸入公共參數(shù)GP，輸出數(shù)據(jù)擁有者的公私鑰對（pk_o，sk_o），并通過安全信道發(fā)送給數(shù)據(jù)擁有者。

c）DU-KeyGen（GP）：該算法由PKG運行。輸入公共參數(shù)GP，輸出數(shù)據(jù)使用者的公私鑰對（pk_u，sk_u），并通過安全信道發(fā)送給數(shù)據(jù)使用者。

d）TimeKeyGen（GP，t，RL）：該算法由PKG運行。輸入公共參數(shù)GP，更新時刻t∈τ，輸出時間密鑰對（pk_t，sk_t），并將更新密鑰發(fā)送給未撤銷用戶。

e）PEKS（GP，pk_u，pk_t，sk_o，w）：該算法由數(shù)據(jù)擁有者運行。輸入公共參數(shù)GP、數(shù)據(jù)使用者的公鑰pk_u、數(shù)據(jù)擁有者的私鑰sk_o、時間公鑰pk_t以及關鍵字w∈KS_w，返回一個t時刻的關鍵字密文C_w。

f）Trapdoor（w，sk_u，pk_o，sk_t）：該算法由數(shù)據(jù)使用者運行。輸入關鍵字w、數(shù)據(jù)使用者私鑰sk_u、數(shù)據(jù)擁有者公鑰pk_o、時間私鑰sk_t，輸出檢索陷門T_w。

g）Test（GP，C_w，T_w）：該算法由云服務器運行。輸入公共參數(shù)GP、密文C_w和檢索陷門T_w，如果w=w′，則輸出1；否則輸出0。

h）Revoke（t，RL）：該算法由PKG運行。輸入時間t和撤銷列表RL，PKG將t時刻被撤銷用戶的身份添加到撤銷列表RL中。

i）Evolve（GP，C_w，t′，sk_t′）：該算法由云服務器執(zhí)行。輸入公共參數(shù)GP、t時刻的關鍵字密文C_w、更新時間t′及t′時刻的時間私鑰sk_t′，云服務器將密文C_w更新為t′時刻的密文C_w，t′。

2.4 安全模型

本文方案的安全性滿足RPEKS對選擇關鍵字攻擊（IND-CKA）的不可區(qū)分性。IND-CKA的安全概念保證了未獲得當前檢索權限的攻擊者，在當前時間段內(nèi)無法區(qū)分兩個RPEKS密文加密的關鍵字。這里通過以下游戲的方式來定義IND-CKA安全性的概念。

IND-CKA游戲：設置攻擊者是外部攻擊者。

1）建立系統(tǒng) 執(zhí)行公共參數(shù)生成算法Setup（λ），產(chǎn)生公共參數(shù)GP，初始狀態(tài)st∈τ，空的撤銷列表RL，執(zhí)行數(shù)據(jù)擁有者密鑰生成算法DO-KeyGen（GP），數(shù)據(jù)使用者密鑰生成算法DU-KeyGen（GP），產(chǎn)生擁有者和使用者的公私鑰對（pk_o，sk_o）、（pk_u，sk_u），挑戰(zhàn)者C把（pk_u，sk_u）和pk_o發(fā)送給攻擊者A。

2）查詢階段1 攻擊者A可以向挑戰(zhàn)者C進行時間密鑰查詢和檢索陷門查詢。

3）挑戰(zhàn)階段 一旦攻擊者A決定查詢階段1結束。攻擊者選擇一個挑戰(zhàn)時間t^*以及該時間段內(nèi)的兩個待查詢關鍵詞w₀和w₁，將這兩個關鍵詞和時間段t^*發(fā)送給挑戰(zhàn)者C。在接收到（w₀，w₁）和t^*后，挑戰(zhàn)者隨機選擇β∈{0，1}并計算C_w=PEKS（GP，pk_u，pk_t，sk_o，wβ），返回密文C_w給攻擊者A。

4）查詢階段2 攻擊者按照階段1的方式向挑戰(zhàn)者C進行時間密鑰查詢和檢索陷門查詢，但是不能詢問t^*時刻的時間密鑰和挑戰(zhàn)關鍵字的檢索陷門。

5）猜測階段 攻擊者A輸出其猜測結果β′∈{0，1}，如果β=β′，攻擊者贏得勝利，反之挑戰(zhàn)者勝利。

定義游戲中攻擊者A的優(yōu)勢：

如果Adv^IND-CKA_A（λ）是可忽略的，則稱可撤銷的多關鍵字公鑰可搜索加密（RPKES）是IND-CKA安全的。

3 可撤銷的可搜索加密方案（RPEKS）

本章將提出一個具體的可撤銷的多關鍵字公鑰可搜索加密方案。方案的主要思想源于密鑰交換協(xié)議及密文進化。系統(tǒng)主要包括數(shù)據(jù)擁有者、數(shù)據(jù)使用者、云服務器、密鑰生成中心四個主體，如圖1所示。

4 方案分析

4.1 安全性分析

本節(jié)將討論所提出方案的安全性，并證明該方案在隨機預言模型中是可證明安全的。

4.2 效率分析

4.2.1 理論分析與比較

本節(jié)將對方案RPEKS在計算開銷和功能方面與其他方案^{［17，18，20，21］}進行比較。可搜索加密方案功能包括無安全通道傳輸（NoSec）、可撤銷關鍵字搜索（RKS）、多關鍵字檢索（MKS）、前向安全性（FoSec）等。無安全通道意味著用戶無須任何安全通道來從授權方獲取其查詢關鍵字的陷門；可撤銷關鍵字搜索意味著方案可實現(xiàn)對用戶檢索能力的權限控制；多關鍵字檢索意味著檢索效率的提高。由表1可知，在功能方面，文獻［21］不支持用戶撤銷功能及多關鍵字檢索能力。相比于文獻［20］利用授權機構對用戶的訪問權限進行認證，本文方案在支持對用戶檢索權限的控制及用戶自主計算檢索陷門的同時，支持多關鍵詞檢索，在陷門生成及測試方面計算效率更高。文獻［17，18］擁有與本文方案相同的功能，但在計算開銷上遠大于本文方案。本文方案可以通過密文進化保證數(shù)據(jù)的前向安全性，在面對密鑰泄露及惡意檢索時可以確保此前的加密數(shù)據(jù)不被檢索到。

為了評估計算性能，本文主要考慮幾種比較耗時的密碼運算，即指數(shù)運算Eg、乘法運算M、雙線性配對運算Pe以及對稱加解密運算Ek，其中雙線性配對運算Pe的計算開銷相近于Eg遠大于M，其他基本操作將被忽略。同時假定加密關鍵字個數(shù)為n?？伤阉骷用芊桨钢饕惴òǔ跏蓟A段Setup、密鑰生成階段KeyGen、加密關鍵字階段PEKS、陷門生成Trapdoor及密文測試Test。表2對各個方案在關鍵字加密、陷門生成及密文測試階段的計算開銷進行比較，其中文獻［20，21］為單關鍵字加密方案，文獻［17，18］是多關鍵字加密方案。由表可知，本文方案在加密階段擁有最小的計算開銷，在陷門生成及測試階段與文獻［18］基本持平，且比其他方案計算開銷要小。

為了評估通信性能，本文考慮密文消息長度，并定義以下符號：設|G₁|表示橢圓曲線群G₁中元素的長度，|Z_q|表示Z_q中一個元素的長度。同時，本文假設在對稱加密中密文長度為l bit，則本文方案的通信性能如表3所示。

4.2.2 實驗分析與比較

為評估方案實際效率，本文通過一系列仿真實驗，分析對比了本文方案和表1中文獻［17，18］在等量多關鍵字檢索時的實際性能，以及與文獻［20，21］方案在進行單關鍵字檢索時的實際性能，實驗仿真基于Java語言配對的密碼學庫（Java pairing-based cryptography，JPBC）中的A類橢圓曲線，采用Java語言編寫程序，在IntelliJ IDEA下運行。實驗平臺為Windows操作系統(tǒng)，Intel Core^TM i5-7300HQ CPU@2.50 GHz處理器，8.00 GB內(nèi)存。為了展示不同多關鍵字數(shù)量下與文獻［17，18］在各算法下的計算開銷，實驗選擇100個關鍵字并計算不同關鍵字數(shù)下各算法執(zhí)行所需時間，測試結果如圖2所示。文獻［17，18］在關鍵字密文生成階段的計算花費隨著關鍵字數(shù)量的增加迅速增長，而本文方案在關鍵字加密階段具有明顯的優(yōu)勢，不會隨關鍵字數(shù)目的增加大幅度提高計算開銷。圖2（b）（c）分別表示方案在陷門生成階段及密文測試階段所需計算時間。由圖可知，三個方案在陷門生成階段效率相當。在測試階段，本文方案與文獻［18］的檢索時間固定與密文中關鍵詞數(shù)量無關，而文獻［17］的檢索時間隨密文中關鍵詞數(shù)量呈線性增長。因此，本文方案的整體效率要優(yōu)于文獻［17，18］。

為比較方案與文獻［20，21］在單關鍵詞下各個階段算法的計算開銷，圖3對仿真結果進行統(tǒng)計。由圖可知，本文方案在對單關鍵字進行密文生成、密文檢索及陷門生成階段的時間花費均明顯小于文獻［20，21］。

5 結束語

本文以云服務器上的隱私數(shù)據(jù)保護為背景，提出了基于密文進化的可撤銷的多關鍵字公鑰可搜索加密方案。該方案結合可搜索加密技術和權限控制技術，在多用戶場景下有效地對原有密文進行更新，對待撤銷用戶的檢索能力進行控制，保證已撤銷用戶無法檢索到此前能檢索到的密文，實現(xiàn)密文的前向安全性。相比于之前的方案，RPEKS方案在前向安全的情況下大幅度提高了關鍵字加密階段的效率。然而，傳統(tǒng)的公鑰可搜索加密方案會消耗計算資源在用戶證書的驗證和管理方面。RPEKS方案在這一方面存在不足。因此，下一步的工作將聚焦于身份基加密與可撤銷的可搜索加密方案的結合，設計出基于身份的可撤銷公鑰可搜索加密方案，進一步降低方案的計算開銷。

參考文獻：

［1］Song D X，Wagner D，Perrig A.Practical techniques for searches on encrypted data［C］//Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ：IEEE Press，2000：44-55.

［2］Boneh D，Crescenzo G D，Ostrovsky R，et al.Public key encryption with keyword search［C］//Proc of International Conference on the Theory and Applications of Cryptographic Techniques.Berlin：Sprin-ger，2004：506-522.

［3］Byun J W，Rhee H S，Park H A，et al.Off-line keyword guessing attacks on recent keyword search schemes over encrypted data［C］//Proc of Workshop on Secure Data Management.Berlin：Springer，2006：75-83.

［4］Bethencourt J，Sahai A，Waters B.Ciphertext-policy attribute-based encryption［C］//Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ：IEEE Press，2007：321-334.

［5］Su Jian，Zhang Leyou，Mu Yi.BA-RMKABSE：blockchain-aided ranked multi-keyword attribute-based searchable encryption with hi-ding policy for smart health system［J］.Future Generation Compu-ter Systems，2022，132：299-309.

［6］Zarezadeh M，Mala H，Ashouri M.Multi-keyword ranked searchable encryption scheme with access control for cloud storage［J］.Peer-to-Peer Networking and Applications，2020，13（1）：207-218.

［7］高詩堯，陳燕俐，許玉嵐.云環(huán)境下基于屬性的多關鍵字可搜索加密方案［J］.計算機科學，2022，49（3）：313-321.（Gao Shiyao，Chen Yanli，Xu Yulan.Attribute-based multi-keyword searchable encryption scheme in cloud environment［J］.Computer Science，2022，49（3）：313-321.）

［8］Boneh D，Waters B.Conjunctive，subset，and range queries on encryp-ted data［C］//Proc of Theory of Cryptography Conference.Berlin：Springer，2007：535-554.

［9］楊小東，田甜，王嘉琪，等.基于云邊協(xié)同的無證書多用戶多關鍵字密文檢索方案［J］.通信學報，2022，43（5）：144-154.（Yang Xiaodong，Tian Tian，Wang Jiaqi，et al.Certificateless multi-user multi-keyword ciphertext retrieval scheme based on cloud edge colla-boration［J］.Journal of Communications，2022，43（5）：144-154.）

［10］閆璽璽，趙強，湯永利，等.支持靈活訪問控制的多關鍵字搜索加密方案［J］.西安電子科技大學學報，2022，49（1）：55-66.（Yan Xixi，Zhao Qiang，Tang Yongli，et al.Multi-keyword search encryption scheme supporting flexible access control［J］.Journal of Xidian University，2022，49（1）：55-66.）

［11］Srivani P，Ramachandram S，Sridevi R.Multi-key searchable encryption technique for index-based searching［J］.International Journal of Advanced Intelligence Paradigms，2022，22（1-2）：84-98.

［12］Baek J，Safavi R，Susilo W.Public key encryption with keyword search revisited［C］//Proc of International Conference on Computational Science and Its Applications.Berlin：Springer，2008：1249-1259.

［13］Bao Feng，Deng Xuhua，Yang Yanjiang.Private query on encrypted data in multi-user settings［C］//Proc of International Conference on Information Security Practice and Experience.Berlin：Springer，2008：71-85.

［14］Liu Ziyuan，Zeng Yifan，Cao Leilin，et al.Identity-certifying authority-aided identity-based searchable encryption framework in cloud systems［J］.IEEE Systems Journal，2022，16（3）：4629-4640.

［15］曹素珍，丁賓賓，丁曉暉，等.基于身份的具有否認認證的關鍵字可搜索加密方案［J］.電子與信息學報，2022，44（3）：1086-1092.（Cao Suzhen，Ding Binbin，Ding Xiaohui，et al.Identity-based keyword searchable encryption scheme with denial authentication［J］.Journal of Electronics and Information Technology，2022，44（3）：1086-1092.）

［16］鄭東，朱天澤，郭瑞.基于區(qū)塊鏈的多用戶環(huán)境中公鑰可搜索加密方案［J］.通信學報，2021，42（10）：140-152.（Zheng Dong，Zhu Tianze，Guo Rui.Public key searchable encryption scheme in multi-user environment based on blockchain［J］.Journal of Communications，2021，42（10）：140-152.）

［17］Yu Yong，Ni Jianbin，Yang Haomiao，et al.Efficient public key encryption with revocable keyword search［J］.Security and Communication Networks，2014，7（2）：466-472.

［18］Zhang Jianhong，Mao Jian.Efficient public key encryption with revocable keyword search in cloud computing［J］.Cluster Computing，2016，19（3）：1211-1217.

［19］Wang Xiaofen，Mu Yi，Chen Rongmao，et al.Secure channel free ID-based searchable encryption for peer-to-peer group［J］.Journal of Computer Science and Technology，2016，31（5）：1012-1027.

［20］牛淑芬，謝亞亞，楊平平，等.加密郵件系統(tǒng)中基于身份的可搜索加密方案［J］.電子與信息學報，2020，42（7）：1803-1810.（Niu Shufen，Xie Yaya，Yang Pingping，et al.Identity-based searchable encryption scheme in encrypted email system［J］.Journal of Electro-nics and Information Technology，2020，42（7）：1803-1810.）

［21］Xu Lingling，Li Wanhua，Zhang Fangguo，et al.Authorized keyword searches on public key encrypted data with time controlled keyword privacy［J］.IEEE Trans on Information Forensics and Security，2019，15：2096-2109.

［22］黃保華，黃丕榮，趙偉宏，等.云存儲中支持屬性撤銷的多關鍵詞可搜索加密方案［J］.計算機工程，2021，47（11）：29-36.（Huang Baohua，Huang Pirong，Zhao Weihong，et al.Multi-keyword searchable encryption scheme supporting attribute revocation in cloud storage［J］.Computer Engineering，2021，47（11）：29-36.）