一种支持联合搜索的多用户动态对称可搜索加密方案.docx

? ? 一种支持联合搜索的多用户动态对称可搜索加密方案 ? ? 张蓝蓝 曹卫东 王怀超 (中国民航大学计算机科学与技术学院 天津 300300) 随着云计算技术的发展，越来越多的公司和个人会将自己的数据存储到第三方服务器.这样服务器就具有完全访问客户端数据的权限(如数据库查询)，并且会按照客户端的指示将数据的一部分以明文形式显示出来.当客户端的数据包含高度敏感的信息(例如生物医学记录)且服务器不完全可信时，就会暴露出许多隐私问题. 可搜索加密因其能够以密文形式查询数据而一直备受关注.理想情况下，客户端在查询加密数据时可以不向服务器透露任何敏感信息.不过目前只有完全同态加密可能实现这种构想，但由于其性能开销大，不适合实际部署[1-2].对称可搜索加密(symmetric searchable encryption, SSE)[3]是基于对称加密算法设计的一种计算效率高、安全性相对较好的可搜索加密方案，它的目标是在尽可能减少敏感信息泄露的情况下通过查询Key与文档间的索引来查找加密文档. 与SSE相关的早期研究工作主要集中在对静态数据的安全搜索上.为了支持加密数据的更新，Kamara等人[4]提出了动态对称可搜索加密(dynamic symmetric searchable encryption, DSSE)技术，该技术允许数据拥有者对自己的数据进行加密存储，而且之后可以对加密数据进行搜索和动态更新.然而，更新操作可能会导致严重的额外信息泄露问题.为了解决更新时出现的额外隐私泄露问题，Stefanov等人[5]提出了前向安全和后向安全的概念，Bost等人[6-7]给出了这2个概念的正式定义.前向安全可确保未来的更新不会与以前的搜索相关联，这有助于抵抗强大的文件注入攻击；后向安全保证了后续搜索不会与过去删除的文档相关联. 目前的研究工作中已经存在许多同时满足前向安全和后向安全的DSSE方案，但大部分仅支持单个Key搜索.因此，尽管它们的效率和安全性很高，但支持的查询在表达能力方面往往受到严重限制，例如查询远程存储的大型电子邮件数据库，单个Key查询可能会返回大量匹配记录，但数据使用者想要的最终结果只占其中的一小部分，这不仅降低了查询效率，还浪费了许多计算资源[8-9]. 为了解决单Key搜索效率低的问题，Patranabis等人[10]最近提出了一种支持多Key查询且满足前后向安全的动态可搜索加密方案，即不经意动态交叉索引(oblivious dynamic cross tags, ODXT)，该方案通过引入不经意交叉索引[11]来存储每次更新的状态信息，在查询时将交叉索引返回给客户端作为判断文档是否包含所有Key的主要依据，从而实现联合查询.不过，通过大量实验结果可以得出，ODXT方案在查询有删除的记录时，在某些情况下存在查询结果不准确的问题.这是由于在查询阶段计算交叉索引时，未考虑更新的操作类型，导致算法无法区分索引是被插入还是被删除；另外，该方案仅支持单个用户查询，这大大限制了数据的使用范围，降低了数据的利用率.例如在医疗系统中，许多部门都需要查询患者的电子病历，如果使用仅支持单个用户查询的动态可搜索加密方案来保护电子病历，则会给患者诊断带来层层阻碍. 针对这些问题，本文提出了一个满足前后向安全且支持多Key查询和多用户查询的DSSE方案. 本文的主要贡献包括3个方面： 1)通过将ODXT方案中的查询令牌改成插入与删除的查询令牌对，来区分交叉索引对应的更新操作类型，从而使查询结果始终与实际结果一致，且其查询的复杂度仅与更新次数最低的Key的更新次数有关. 2)提出了一种支持联合搜索的多用户动态可搜索加密方案，即多用户不经意动态交叉索引(multi-client oblivious dynamic cross tags, MC-ODXT)，利用有限域内元素具有乘法逆元的性质，引入了一次性盲因子来生成查询令牌，并用数字信封进行授权验证，实现用户授权与查询. 3)对所提方案进行了安全性分析与性能分析，结果表明本文方案满足前向安全与后向安全，既解决了ODXT方案查询结果不准确的问题，又在搜索类型、适用场景等功能方面更加灵活全面，且计算时间复杂度与ODXT方案相同. 1 相关工作 1.1 动态可搜索加密 可搜索加密能够支持用户远程访问加密数据，在工业界具有广泛的应用前景[9].与公钥可搜索加密方案相比，使用对称密码原语的SSE方案在效率上拥有更突出的优势. 为了使可搜索加密支持更新，Kamara等人[4,10]引入了DSSE方案，不仅可以查询数据，还支持添加和删除数据.不过，这些方案在更新过程中会泄露额外的数据信息，一旦被恶意敌手滥用将导致严重的后果.因此，2013年Stefanov等人[5]提出了前向安全和后向安全的概念；之后