徐 潛 譚成翔 樊志杰 馮 俊 朱文燁 校 婭

(同濟大學(xué)電子與信息工程學(xué)院 上海 201804) (1062842783@qq.com)

電子健康記錄系統(tǒng)(electronic health record, EHR)為用戶提供了存儲和管理個人健康記錄的功能，輔助醫(yī)生為病人制定合理的醫(yī)療方案[1].在EHR系統(tǒng)中，用戶將自身的病例數(shù)據(jù)外包到服務(wù)器端，不同的醫(yī)院和醫(yī)生可以與用戶一起分享健康數(shù)據(jù)，從而為用戶提供更加準確和優(yōu)質(zhì)的服務(wù).目前已經(jīng)有許多較為成熟的EHR系統(tǒng)，例如微軟公司推出的Microsoft Medical Vault以及谷歌的Google Health等.

由于外包到服務(wù)端的數(shù)據(jù)可能包含有用戶的敏感隱私信息，而服務(wù)端的非完全可信狀態(tài)可能導(dǎo)致隱私數(shù)據(jù)發(fā)生泄漏.因此，在數(shù)據(jù)外包前進行加密處理就成為防止其被非法訪問的一種有效的途徑.但是，其他合法的數(shù)據(jù)使用者也需要獲得數(shù)據(jù)的訪問權(quán)，例如EHR系統(tǒng)中的醫(yī)院或者醫(yī)生就需要在特定的環(huán)境下訪問病人的病例數(shù)據(jù)從而做出正確的診斷.最直接的方法就是將用戶的全部加密數(shù)據(jù)下載到本地，然后利用共享的密鑰進行解密并執(zhí)行數(shù)據(jù)的訪問操作.然而由于數(shù)據(jù)量可能非常龐大，全部下載會給本地的計算資源帶來難以承受的負荷[2].所以，依賴于用戶提交的關(guān)鍵詞并有選擇地返回使用者所需要的數(shù)據(jù)，就成為一種有效可行的解決方法.但是，由于用戶數(shù)據(jù)在服務(wù)器端是以密文的形式存儲，傳統(tǒng)的明文關(guān)鍵詞搜索方案并不適用.因此，研究高效的可搜索加密方案就對密文環(huán)境下用戶隱私數(shù)據(jù)的安全訪問控制產(chǎn)生重要的意義.

可搜索加密方案(searchable encryption, SE)可以在保證數(shù)據(jù)隱私性和安全性的基礎(chǔ)上提供密文檢索等操作.目前已有許多可搜索加密策略，例如文獻[3-5].Liu等人[4]利用從明文中提取出的關(guān)鍵詞組成詞典設(shè)計了密文檢索策略；He等人[5]基于雙線性對提出了一種較文獻[4]更加高效的支持模糊關(guān)鍵字查詢的方案.總體來說，目前已有的SE加密策略可以分成2類：1)對稱的可搜索加密策略(sear-chable symmetric encryption, SSE)，這類策略要求在數(shù)據(jù)訪問者之間共享密鑰；2)非對稱的可搜索加密策略(searchable asymmetric encryption, SAE)，也稱為公鑰可搜索加密策略(public key encryption scheme with keyword search, PEKS).在公鑰可搜索加密研究領(lǐng)域，已有一些研究成果，如文獻[6-8].其中，Zhang等人[8]提出了一種支持合取關(guān)鍵詞搜索的PEKS方案；而Shen等人[9]則在PEKS策略的基礎(chǔ)上提出了支持內(nèi)積運算的謂詞加密(predi-cate encryption, PE)方案.較之傳統(tǒng)的PEKS方案，PE方案可以提供更加細粒度的密文訪問控制.同時，謂詞加密也可以引申出很多高效可行的加密策略，這其中就包括隱藏向量加密(hidden vector encryption, HVE)方案.與傳統(tǒng)的PEKS加密方案一樣，在HVE加密方案中，數(shù)據(jù)的發(fā)送者Bob與數(shù)據(jù)的接收者Alice是不同的實體.只有當(dāng)數(shù)據(jù)使用者依據(jù)關(guān)鍵詞生成的訪問令牌(token)與數(shù)據(jù)擁有者定義的數(shù)據(jù)關(guān)聯(lián)屬性(attribute)匹配時，檢索操作才可以順利執(zhí)行[10].較之一般的PEKS方案或者PE方案，HVE加密策略可以更加有效地支持關(guān)鍵詞的合取和范圍搜索等集合操作，因此可以被應(yīng)用在諸如EHR系統(tǒng)等敏感數(shù)據(jù)檢索領(lǐng)域.

目前已有許多關(guān)于HVE加密方案的研究成果，例如文獻[11-13].其中，Mitsuhiro等人[13]設(shè)計的HVE加密策略引入了代理重加密的概念，但是代理者的訪問權(quán)限無法變更；同時，文獻[11-13]的方案均無法抵御離線關(guān)鍵詞測試攻擊(off-line keyword guessing attack, KG).在EHR系統(tǒng)中，檢索關(guān)鍵詞一般均取自范圍較小的特定醫(yī)學(xué)術(shù)語集合，這就給了攻擊者實施離線關(guān)鍵詞測試攻擊的機會.同時，數(shù)據(jù)擁有者需要授權(quán)醫(yī)生對其敏感的病例數(shù)據(jù)進行訪問，而訪問權(quán)限應(yīng)該可以由患者進行細粒度的管控，當(dāng)患者不希望醫(yī)生再執(zhí)行訪問操作，或者當(dāng)患者更改了醫(yī)院或醫(yī)生時，之前的訪問權(quán)限能夠被及時地撤銷.一種可行的方法是當(dāng)訪問權(quán)限發(fā)生改變時，數(shù)據(jù)擁有者重新加密所有敏感數(shù)據(jù)，但這會帶來很大的計算負荷.針對加密方案中數(shù)據(jù)訪問權(quán)的細粒度可控問題，文獻[14-17]均提出了相應(yīng)的解決方案.其中Yang等人[14]提出了基于時間控制的代理重加密PEKS方案.通過引入可信的時間服務(wù)器生成時間戳，并將時間戳嵌入到搜索令牌中來實現(xiàn)代理訪問權(quán)的控制.但是，文獻[14]的驗證操作需要O(l)次的雙線性對運算(l為查詢向量的維數(shù))，重加密操作需要額外的O(l)次的指數(shù)運算，令牌的空間復(fù)雜度也是O(l)，因此方案在實際應(yīng)用時效率較低.

綜上所述，目前公鑰可搜索加密或HVE加密的研究領(lǐng)域尚存在3點可以改進的地方：

1) 已有的HVE方案尚未考慮離線關(guān)鍵詞測試攻擊問題.

2) 已有的支持代理重加密的HVE方案不具有細粒度的代理權(quán)限管控的能力.

3) 已有的支持代理重加密的PEKS方案要么只能檢索單個關(guān)鍵詞，要么在令牌尺寸、解密和重加密的時間復(fù)雜度等方面線性依賴于查詢向量的維數(shù)，導(dǎo)致方案的實際應(yīng)用效率較低.

針對這些問題，本文基于HVE加密方案，提出了支持指定驗證者與可撤銷代理重加密的DT_aPRE_HVE加密策略.

本文的主要貢獻歸納為4個方面：

1) 提出的DT_aPRE_HVE方案是第1個支持基于時間的可撤銷代理重加密功能的HVE加密策略.與已有方案相比，本文將時間戳引入到重加密過程中，使數(shù)據(jù)擁有者可以為不同的數(shù)據(jù)訪問者指定不同的時間區(qū)間，彼此互不影響，從而達到細粒度權(quán)限控制的目的.相比于文獻[14]，本文方案不需要引入額外的時間服務(wù)器，降低了系統(tǒng)復(fù)雜度.同時，由于時間戳是嵌入到密文中的，即使數(shù)據(jù)擁有者處于離線狀態(tài)，數(shù)據(jù)的訪問權(quán)限也可以被自動管控.

2) 提出的DT_aPRE_HVE方案是首個通過引入指定驗證者來抵御離線關(guān)鍵詞測試攻擊的HVE加密策略.盡管有許多PEKS加密方案，如文獻[18-19]，通過指定驗證者來抵御KG攻擊，目前尚無HVE方案考慮KG攻擊這一問題.而由于在EHR系統(tǒng)中，關(guān)鍵詞集合可能只在特定的醫(yī)學(xué)術(shù)語中產(chǎn)生，因此，能夠抵御KG攻擊就對HVE方案在EHR系統(tǒng)中的應(yīng)用具有重要意義.

3) 與已有的支持指定驗證者或代理重加密功能的PEKS和HVE方案相比，本文方案的計算和通信復(fù)雜度均較低.具體地，本文方案的搜索令牌空間復(fù)雜度為O(1)，驗證算法的雙線性對運算次數(shù)為O(1)，重加密算法的時間復(fù)雜度也限定在O(1)常數(shù)上限內(nèi).

4) 本文提出的DT_aPRE_HVE方案在標準模型下面對選擇密文、選擇時間攻擊是可證明安全的.同時，基于擴展判定線性假設(shè)(augmented decision linear assumption)可以證明方案在標準模型下面對離線關(guān)鍵詞測試攻擊也是可證明安全的.

1 相關(guān)工作

1.1 謂詞加密PE與隱藏向量加密HVE

在謂詞加密方案中，主密鑰的擁有者可以為特定謂詞集合中的任意謂詞向量P生成相應(yīng)的解密密鑰skP.如果密文的關(guān)聯(lián)屬性為向量x，則當(dāng)且僅當(dāng)P(x)=1時，skP才可以解密密文.關(guān)于謂詞加密方案目前已經(jīng)有很多研究成果，如文獻[20-24].其中，Katz等人[20]提出的謂詞加密策略可以很好地支持關(guān)鍵詞合取、析取和內(nèi)積等操作.然而，所有這些謂詞加密策略均需要至少O(l)次的雙線性對運算來執(zhí)行一次解密或驗證操作，令牌的空間復(fù)雜度也為O(l)(l為查詢向量的維數(shù))，因此方案的效率較低.

HVE加密作為謂詞加密的一種，由Boneh和Waters[25]在2007年首次提出.在HVE加密策略中，密文關(guān)聯(lián)的屬性定義為字母表Σ上的向量x=(x1,x2,…,xl)，查詢向量定義為字母表Σ*=Σ∪{*}上的σ=(σ1,σ2,…,σl).當(dāng)且僅當(dāng)向量x與σ匹配時，才可以檢索密文.Boyen[26]基于合數(shù)階雙線性群假設(shè)證明了提出的HVE方案的安全性.然而，基于合數(shù)階雙線性群的HVE方案的漸進性復(fù)雜度較高.針對這一問題，Park等人[27-28]提出了2個HVE策略，將方案的雙線性對運算次數(shù)和搜索令牌的空間復(fù)雜度限定在了常數(shù)范圍內(nèi)，提高了HVE方案的執(zhí)行效率.文獻[29-30]也提出了同樣高效的HVE方案.然而，這些方案均無法在保證較低的漸進性復(fù)雜度的同時，有效地抵御離線關(guān)鍵詞測試攻擊并支持代理重加密功能，影響了方案的實際應(yīng)用性.

1.2 離線關(guān)鍵詞測試攻擊

離線關(guān)鍵詞測試攻擊KG，也稱為字典攻擊.當(dāng)關(guān)鍵詞取值集合的空間復(fù)雜度與搜索令牌的熵較小時，攻擊者就可以實施KG攻擊，而一旦攻擊者通過枚舉或猜測建立了令牌與關(guān)鍵詞之間的映射關(guān)系，就可以威脅整個加密方案的安全性.一種解決KG攻擊的方法是指定驗證者來執(zhí)行驗證算法，防止攻擊者直接判斷令牌和密文的匹配程度，如文獻[31-33].然而，這些方案均無法支持關(guān)鍵詞合取或集合運算，方案的計算復(fù)雜度也較高.

1.3 支持代理重加密功能的可搜索加密策略

代理重加密機制通過引入一個代理服務(wù)器，將原始密文轉(zhuǎn)化為代理者可以訪問的重加密密文.Shi與Waters在文獻[34]中考慮了如何將代理重加密機制與謂詞加密策略進行合并，并進而提出了支持代理重加密的HVE加密機制.在文獻[34]中，通過將搜索令牌經(jīng)代理服務(wù)器進行分發(fā)共享來賦予代理用戶訪問密文的權(quán)限.但是他們的方案依然基于合數(shù)階雙線性群，因此計算和存儲的開銷較大.而且令牌的共享機制除了需要額外的安全信道外，也難以及時的撤銷過期的訪問權(quán)限.同樣支持代理重加密功能的還有文獻[35-37]提出的PEKS方案，但這些方案均不能高效地撤銷代理權(quán)限，且不能支持多關(guān)鍵詞搜索.Wang等人[38]提出了支持關(guān)鍵詞合取搜索且具有代理重加密能力的PEKS方案，但是該方案僅在隨機預(yù)言模型下是可證明安全的.在實際應(yīng)用中，很難保證諸如Hash函數(shù)等對象可以按照在隨機預(yù)言證明中所假設(shè)的那樣，實現(xiàn)完全的隨機化，從而難以保證系統(tǒng)的實際安全性[39].文獻[10]利用授權(quán)矩陣方式動態(tài)地分配代理權(quán)限，然而方案無法支持多關(guān)鍵詞檢索，限制了方案的實用性.文獻[15-17]通過引入時間戳來實現(xiàn)細粒度的權(quán)限控制.與文獻[10,35-38]提出的方案相比，基于時間的代理訪問控制可以高效的實現(xiàn)代理權(quán)的撤銷，且不同代理者之間互不影響，達到了用戶級的權(quán)限管理.然而這些方案無法支持密文檢索.針對時間可控的代理訪問與可搜索加密結(jié)合的問題，Yang等人[14]基于PEKS方案，通過引入額外的時間服務(wù)器，使得數(shù)據(jù)擁有者可以更加自由地控制密文的訪問權(quán)限.同時，文獻[14]采用基于延遲加密的重加密策略[40]以減輕代理服務(wù)器的運行負荷.然而，額外的時間服務(wù)器會增加系統(tǒng)的復(fù)雜度，也帶來了更多的安全隱患.而且文獻[14]的方案的通信和計算復(fù)雜度均較高，需要至少O(l)次的雙線性對運算來執(zhí)行一次驗證操作，搜索令牌的大小也是O(l)，重加密過程也需要額外的O(l)次的指數(shù)運算.

1.4 系統(tǒng)模型

在傳統(tǒng)的PEKS系統(tǒng)中，一般定義4種類型的通信實體:1)可信的第三方服務(wù)器(trusted third party, TTP)為各方實體生成密鑰;2)數(shù)據(jù)擁有者(data owner)將數(shù)據(jù)與關(guān)鍵詞集合分別加密后上傳到服務(wù)器;3)數(shù)據(jù)訪問者(data user)生成搜索令牌并發(fā)起搜索請求;4)半誠實的服務(wù)器執(zhí)行令牌與密文的匹配驗證操作，返回相應(yīng)的密文搜索結(jié)果.

本文在傳統(tǒng)的PEKS系統(tǒng)的基礎(chǔ)上增加了代理服務(wù)器(proxy server, PS)，如圖1所示：

Fig. 1 DT_aPRE_HVE system model圖1 DT_aPRE_HVE系統(tǒng)模型

與文獻[14]中的方案不同，本文方案不需要額外的時間服務(wù)器來生成時間戳，而是在授權(quán)過程中嵌入時間戳.具體地，在文獻[14]中，當(dāng)數(shù)據(jù)擁有者發(fā)起授權(quán)操作時，需要同時給代理服務(wù)器和時間服務(wù)器發(fā)送通知，時間服務(wù)器根據(jù)數(shù)據(jù)擁有者的要求，利用自身的密鑰生成時間戳，并將時間戳發(fā)送給代理者以供其生成合法的搜索令牌.額外的時間服務(wù)器不僅增加了系統(tǒng)的復(fù)雜度，也增加了安全風(fēng)險.然而在本文方案中，時間戳被封裝在授權(quán)密鑰中，由TTP生成.在授權(quán)階段，數(shù)據(jù)擁有者為TTP生成一份代理人和時間區(qū)間的列表，而TTP通過特定的授權(quán)算法為列表中的每個代理者生成包含各自時間區(qū)間的授權(quán)密鑰.在重加密階段，代理服務(wù)器依據(jù)數(shù)據(jù)擁有者指定的時間區(qū)間重加密密文.代理者利用自身的密鑰以及TTP發(fā)送的授權(quán)密鑰生成搜索令牌.當(dāng)服務(wù)器驗證查詢向量與密文屬性相匹配，且搜索令牌與重加密密文中的時間區(qū)間相匹配時，返回相應(yīng)檢索結(jié)果.

本文系統(tǒng)的安全性基于2個假設(shè)：1)服務(wù)器不會實施離線關(guān)鍵詞測試攻擊；2)服務(wù)器不會與外部攻擊者進行合謀攻擊.事實上，文獻[14,31-33]等方案的安全性也基于這2個前提.本文考慮2種類型的敵手模型:1)半誠實的服務(wù)器端，其會在誠實的執(zhí)行搜索操作的同時，試圖獲取用戶的敏感數(shù)據(jù)；2)外部攻擊者，通過竊聽通信信道上的傳輸數(shù)據(jù)來試圖分析用戶的私有信息.與文獻[14-17]中的安全模型不同的是，本文在安全游戲的挑戰(zhàn)階段之后，允許敵手進行關(guān)于挑戰(zhàn)密文的重加密問詢(顯然重加密的目標身份不可以是敵手自己)，并證明了重加密密文依然滿足屬性隱藏性，因此方案的安全性更高.與此同時，本文也考慮了離線關(guān)鍵詞測試攻擊問題，并在安全分析中證明了搜索令牌可以完全隱藏查詢向量的信息，從而使敵手無法建立關(guān)鍵詞與令牌之間的映射關(guān)系，達到抵御離散關(guān)鍵詞測試攻擊的目的.

2 DT_aPRE_HVE的形式化定義與安全模型

2.1 預(yù)備知識

標識與記號：設(shè)q為正素數(shù)，q表示范圍內(nèi)的整數(shù)，*q=q{0}.‖v‖2表示向量v的l2范數(shù).|S|表示集合S中元素個數(shù).本文中使用標準的O記號表示函數(shù)的復(fù)雜度上界，即g(n)=(f(n))當(dāng)且僅當(dāng)存在正常數(shù)c和n0，使得對任意的n≥n0有|g(n)|≤c|f(n)|成立.相應(yīng)地，定義下界復(fù)雜度記號ω，即g(n)=ω(f(n))當(dāng)且僅當(dāng)存在正常數(shù)c和n0，使得對任意的n≥n0有|g(n)|≥c|f(n)|成立.表示x隨機取自集合S.定義關(guān)于n的可忽略函數(shù)negl(n)，使得對任意多項式g(n)，當(dāng)n足夠大時都有如果概率p=1-negl(n)則稱概率是壓倒性成立的，若p=negl(n)，則稱概率是可忽略的.對于向量xb∈{0,1}l，記xbi∈{0,1}為xb的第i位.

當(dāng)且僅當(dāng)fσ(x)=1時，稱x與σ匹配.

定義2. 雙線性映射[14].設(shè)G與GT分別為階為素數(shù)p的循環(huán)群，g∈G為群G的生成元.則雙線性映射e:G×G→GT成立當(dāng)且僅當(dāng)：

1) 雙線性性.對任意u,v∈G，a,b∈，有e(ua,vb)=e(u,v)ab.

2) 非退化性.e(g,g)≠1.

3) 可計算性.存在有效的多項式時間算法計算映射e.

定義3. 復(fù)雜性假設(shè)[27]：

2.2 DT_aPRE_HVE的形式化定義

本文提出的支持指定驗證者和可撤銷代理重加密的DT_aPRE_HVE方案包含11個多項式時間算法:

1) 系統(tǒng)建立Setup(k).由TTP執(zhí)行，輸入安全參數(shù)k，輸出主公鑰Mpk與主密鑰Msk.

2) 用戶密鑰生成KGuser(Mpk,Msk).設(shè)用戶集user={user0,user1,…,usern},n為用戶數(shù).由TTP執(zhí)行，輸入Mpk和Msk，生成用戶密鑰對[pkuser,skuser].

3) 服務(wù)器密鑰生成KGserver(Mpk,Msk).由TTP執(zhí)行，輸入Mpk和Msk，生成服務(wù)器密鑰對[pkserver,skserver].

4) 令牌生成算法Trap(pkserver,pkuser,skuser,Mpk,σ).由數(shù)據(jù)訪問者執(zhí)行，輸入pkserver,pkuser,skuser,Mpk以及查詢向量σ，輸出查詢令牌TKσ.

5) 加密算法Enc(pkserver,pkuser,skuser,Mpk,x).由數(shù)據(jù)擁有者執(zhí)行，輸入pkserver,pkuser,skuser,Mpk以及屬性向量x，輸出密文CT.

6) 驗證算法Test(CT,TKσ,skserver).由服務(wù)器執(zhí)行，輸入CT,TKσ,skserver，若fσ(x)=1，輸出1，否則輸出0.

7) 授權(quán)算法Autuser0→user1(skserver,pkuser0,skuser0,pkuser1,skuser1,T).由TTP執(zhí)行，輸入skserver,pkuser0,skuser0,pkuser1,skuser1以及時間區(qū)間T，其中pkuser0,skuser0與pkuser1,skuser1分別為用戶user0與user1的密鑰對，且user0作為數(shù)據(jù)擁有者向代理者user1授權(quán).輸出授權(quán)密鑰akuser0→user1.

9) 重加密密鑰生成算法Re_KGuser0→user1(skserver,pkuser0,skuser0,pkuser1,skuser1).由TTP執(zhí)行，輸入skserver,pkuser0,skuser0,pkuser1,skuser1，輸出重加密密鑰rkuser0→user1.

10) 重加密算法Re_Enc(rkuser0→user1,CT,T).由代理服務(wù)器執(zhí)行，輸入rkuser0→user1,CT,T，輸出重加密密文CTRe.

2.3 安全模型

定義4. 選擇消息、選擇時間攻擊的不可區(qū)分性(indistinguishable against chosen keyword chosen time attack, IND-CKCTA).如果概率多項式時間(probabilistic polynomial time, PPT)的敵手A贏得以下游戲Game的概率是可忽略的，則稱本文提出的DT_aPRT_HVE方案是IND -CKCTA安全的.

2) 系統(tǒng)建立Setup.輸入安全參數(shù)k，挑戰(zhàn)者C運行方案的Setup(k)算法生成主密鑰對Mpk,Msk，同時運行KGuser(Mpk,Msk)和KGserver(Mpk,Msk)生成用戶和服務(wù)器的密鑰對.若b=1，C將{Mpk,pkuser,pkserver,skserver}發(fā)送給AServer；否則，C將{Mpk,pkuser,skuser,pkserver}發(fā)送給Ae.

3) 敵手適應(yīng)性的進行如下問詢.

Ae由于擁有自己的密鑰因此不需要進行令牌或代理令牌問詢.

③ 授權(quán)密鑰問詢.當(dāng)b=2時，Ae提交身份對user0,user1，時間區(qū)間T，C返回授權(quán)密鑰akuser0→user1.

④ 重加密密鑰問詢.敵手A提交身份對user0,user1，C返回重加密密鑰rkuser0→user1.

⑤ 重加密問詢.敵手A提交身份對user0,user1，原始密文CT，時間區(qū)間T，C返回重加密密文CTRe.

定義5. 針對離線關(guān)鍵詞測試攻擊的不可區(qū)分性(indistinguishable against keyword guessing attack, IND-KGA).如果PPT敵手A贏得以下游戲Game3的概率是可忽略的，則稱本文方案面對離線關(guān)鍵詞測試攻擊是IND-KGA安全的.

Game3：

2) 系統(tǒng)建立Setup.輸入安全參數(shù)k，挑戰(zhàn)者C運行方案的Setup(k)算法生成主密鑰對Mpk,Msk，同時運行KGuser(Mpk,Msk)和KGserver(Mpk,Msk)生成用戶和服務(wù)器的密鑰對.C將{Mpk,pkuser,pkserver}發(fā)送給A.

3) 敵手適應(yīng)性的進行如下問詢.

3 DT_aPRE_HVE方案的具體實現(xiàn)

本節(jié)給出DT_aPRE_HVE方案的具體實現(xiàn).方案包括11個多項式時間算法.

1) 系統(tǒng)建立Setup(k).由TTP執(zhí)行.設(shè)g∈G為循環(huán)群G的生成元，算法隨機取整數(shù)v1,v2,…,vl;t1,t2,…,tl∈p.算法隨機選取群元素a1,a2,…,al;b1,b2,…,bl;c1,c2,…,cl∈G.對每個i∈{1,2,…,l}，設(shè)Vi=gvi，Ti=gti.H:{0,1}*→p為TTP任意選定的抗碰撞Hash函數(shù).算法輸出主密鑰對：

2) 用戶密鑰生成KGuser(Mpk,Msk).由TTP執(zhí)行.算法隨機選取y1,y2,α,β,ε∈p，設(shè)Y1=gy1,Y2=gy2，輸出用戶的密鑰對：pkuser={Y1,Y2,Ω,gε}，skuser={y1,y2,α,β,ε}，其中Ω=e(gα,Y1)e(gβ,Y2).

3) 服務(wù)器密鑰生成KGserver(Mpk,Msk).由TTP執(zhí)行.設(shè)s,τ∈輸出服務(wù)器密鑰對pkserver=gs，skserver=s,τ.

4) 令牌生成算法Trap(pkserver,pkuser,skuser,Mpk,σ).由數(shù)據(jù)訪問者執(zhí)行，設(shè)S(σ)={i|σi≠*}，算法隨機選擇A,B,C∈p，(ri,ki),(ηi,τi),(mi,ni)∈p，且對于i∈S(σ)均有riy1+kiy2=A，ηiy1+τiy2=B，miy1+niy2=C，則算法輸出搜索令牌如下：

其中,Δ=|S(σ)|.

5) 加密算法Enc(pkserver,pkuser,skuser,Mpk,x).由數(shù)據(jù)擁有者執(zhí)行，x=(x1,x2,…,xl)∈(Σ)l為密文關(guān)聯(lián)的關(guān)鍵詞屬性，算法隨機選取s1,s2∈p，輸出密文：

因此，若fσ(x)=1，Test(CT,TKσ,skserver)=1，否則算法輸出0.

7) 授權(quán)算法Autuser0→user1(skserver,pkuser0,skuser0,pkuser1,skuser1,T).由TTP執(zhí)行，設(shè)pkuser0={Y0,1,Y0,2,Ω0,gε0}，skuser0={y0,1,y0,2,α0,β0,ε0}為用戶user0的密鑰對，pkuser1={Y1,1,Y1,2,Ω1,gε1}，skuser1={y1,1,y1,2,α1,β1,ε1}為用戶user1的密鑰對.設(shè)user0為數(shù)據(jù)擁有者，通過TTP向代理者user1發(fā)起授權(quán)，T由user0指定.則授權(quán)密鑰akuser0→user1為

8) 代理令牌生成算法Re_Trap(pkserver,pkuser1,skuser1,Mpk,σ,akuser0→user1).由代理數(shù)據(jù)訪問者user1執(zhí)行，算法隨機選擇A1,B1,C1∈p，(r1,i,k1,i),(η1,i,τ1,i),(m1,i,n1,i)∈p，且對于i∈S(σ)有r1,iy1,1+k1,iy1,2=A1，η1,iy1,1+τ1,iy1,2=B1，m1,iy1,1+n1,iy1,2=C1，算法輸出如下：

其中,Δ=|S(σ)|.

10) 重加密算法Re_Enc(rkuser0→user1,CT,Tc).由代理服務(wù)器執(zhí)行，時間區(qū)間為Tc(user0指定)，生成重加密密文：

同時有:

提出的DT_aPRE_HVE方案的驗證算法依賴于2個條件，分別是fσ(x)以及T,Tc是否匹配.數(shù)據(jù)擁有者通過授權(quán)密鑰的方式將T隱式地發(fā)送給代理者用于代理令牌的生成.在重加密過程中，可以將Tc嵌入到密文中，實現(xiàn)訪問控制.在fσ(x)=1的前提下，所有T=Tc的代理用戶都可以訪問密文，同時，數(shù)據(jù)擁有者也可以為不同時間區(qū)間的用戶，如T1,T2,…,Tn，分別生成對應(yīng)的時間區(qū)間為Tc1,Tc2,…,Tcn的重加密密文，且互不影響.即使數(shù)據(jù)擁有者處于離線模式，代理權(quán)限依然可控.同時，DT_aPRE_HVE方案的代理令牌生成和重加密算法只需要O(1)次指數(shù)運算，較之文獻[14]中O(l)次指數(shù)運算，可以更高效地支持這種細粒度的重加密策略.

4 DT_aPRE_HVE方案的安全證明

在證明IND-CKCTA安全性方面，首先定義一系列混合游戲如下：

在具體證明之前，定義3種類型的搜索令牌或代理令牌問詢，以及2種類型的授權(quán)密鑰問詢.

1) 搜索令牌或代理令牌問詢方面

2) 授權(quán)密鑰問詢方面

類型1. 此時Ae作為授權(quán)發(fā)起方，在授權(quán)密鑰問詢中作為user0.

類型2. 此時Ae作為被授權(quán)方，在授權(quán)密鑰問詢中作為user1.

定理1. 若BDH假設(shè)以及ADLP假設(shè)在循環(huán)群G中成立，則所提出的DT_aPRE_HVE方案在標準模型下是IND-CKCTA安全的.

定理1可以通過4個引理進行證明.引理1和引理2證明方案面對半誠實服務(wù)器的IND-CKCTA安全性.引理3和引理4證明方案面對惡意外部敵手的IND-CKCTA安全性.

證明. 設(shè)挑戰(zhàn)者為C，構(gòu)造C與Aserver之間的概率多項式時間算法B如下:

2) 系統(tǒng)建立Setup.算法隨機選取r1,r2,y1,y2,v1,v2,…,vl,t1,t2,…,tl,θ1,θ2,…,θl,φ1,φ2,…,φl,λ1,λ2,…,λl以及s,ε,τ∈p.若y1+y2=0，則重新選擇y1,y2.C設(shè)置Y1=gy1,Y2=gy2.對任意i∈[1,l]，設(shè)將參數(shù)集合給敵手Aserver，注意，對C與Aserver來說，α=ab+r1與β=ab+r2均是未知的.這里假設(shè)skuser={y1,y2,ε,α,β}是某個用戶userx的密鑰.

3) 敵手適應(yīng)性地進行如下問詢.

Ⅰ 若user0≠userx，C調(diào)用方案的KGuser(Mpk,Msk)算法生成user0和user1的密鑰，再調(diào)用方案的Autuser0→user1和Re_Trap算法正常生成代理令牌并發(fā)送給Aserver.

Ⅱ 若user0=userx，C回答敵手Aserver:

類型1. 與①一樣，B隨機輸出{0,1}并退出，此時Game0恰為Game1.

③ 重加密密鑰問詢.敵手Aserver提交身份對user0,user1，C調(diào)用KGuser(Mpk,Msk)算法生成user0和user1的密鑰，之后調(diào)用Re_KGuser0→user1算法返回重加密密鑰rkuser0→user1并發(fā)送給Aserver.

④ 重加密問詢.敵手Aserver提交身份對user0,user1以及原始密文CT，時間區(qū)間Tc，C首先進行重加密密鑰問詢獲得rkuser0→user1，之后調(diào)用方案的Re_Enc算法生成重加密密文CTRe.

6) 猜測Guess.敵手Aserver輸出猜測ε′，若ε′=ε，B輸出1，否則輸出0.

證畢.

證明. 設(shè)挑戰(zhàn)者為C，構(gòu)造C與Aserver之間的概率多項式時間算法B如下：

2) 系統(tǒng)建立Setup.設(shè)Dj+1=δ，算法隨機取r1,r2,y1,y2,v1,v2,…,vl,t1,t2,…,tl,θ1,θ2,…,θl,φ1,φ2,…,φl,λ1,λ2,…,λl以及s,τ,w∈p，且其中和對挑戰(zhàn)者C不可見，對任意i∈[1,l]且i≠δ，設(shè)對i=δ，有令Ω=e(gr1,Y1)e(gr2,Y2)，C將參數(shù)集合發(fā)送給敵手Aserver.

3) 敵手適應(yīng)性的進行如下問詢.

類型1. 此時δ?S(σ)，C隨機選擇A,B,C∈p，(ri,ki),(ηi,τi),(mi,ni)∈p，且對任意i∈S(σ)，riy1+kiy2=A，ηiy1+τiy2=B，miy1+niy2=C，C返回TKσ：

③ 重加密密鑰問詢.敵手Aserver提交身份對user0,user1，C調(diào)用KGuser(Mpk,Msk)算法生成user0和user1的密鑰，之后調(diào)用Re_KGuser0→user1算法返回重加密密鑰rkuser0→user1并發(fā)送給Aserver.

④ 重加密問詢.敵手Aserver提交身份對user0,user1以及原始密文CT，時間區(qū)間Tc，C首先進行重加密密鑰問詢獲得rkuser0→user1，之后調(diào)用方案的Re_Enc算法生成重加密密文CTRe.

6) 猜測Guess.敵手Aserver輸出猜測ε′，若ε′=ε，B輸出1，否則B輸出0.

證畢.

證明. 設(shè)挑戰(zhàn)者為C，構(gòu)造C與Ae之間的概率多項式時間算法B.

2) 系統(tǒng)建立Setup.算法隨機選取整數(shù)r,αe,βe,r1,r2,y1,y2,ye,1,ye,2，v1,v2,…,vl,t1,t2,…,tl,以及θ1,θ2,…,θl,φ1,φ2,…,φl,λ1,λ2,…,λl∈p，s,εe,ε,τ∈p，若y1+y2=0或ye,1+ye,2=0，則重新選擇y1,y2或ye,1,ye,2.設(shè)Y1=gy1,Y2=gy2,Ye,1=gye,1,Ye,2=gye,2，對任意i∈[1,l]，設(shè)將參數(shù)ye,1,ye,2以及集合發(fā)送給Ae.相當(dāng)于pkAe={Ye,1,Ye,2,Ωe,gεe}，skAe={ye,1,ye,2,αe,βe,εe}.

3) 敵手適應(yīng)性地進行如下問詢.

① 授權(quán)密鑰問詢.Ae提交身份對user0,user1與時間區(qū)間T.若user0≠Ae且user1≠Ae，算法直接調(diào)用KGuser(Mpk,Msk)生成user0,user1的密鑰并調(diào)用Autuser0→user1生成授權(quán)密鑰akuser0→user1返回敵手.否則.

② 重加密密鑰問詢.敵手Ae提交身份對user0,user1，C調(diào)用KGuser(Mpk,Msk)算法生成user0和user1的密鑰，之后調(diào)用Re_KGuser0→user1算法返回重加密密鑰rkuser0→user1并發(fā)送給Ae.

③ 重加密問詢.敵手Ae提交身份對user0,user1以及原始密文CT，時間區(qū)間Tc，C首先進行重加密密鑰問詢獲得rkuser0→user1，之后調(diào)用方案的Re_Enc算法生成重加密密文CTRe.

6) 猜測Guess.敵手Ae輸出猜測ε′，若ε′=ε，B輸出1，否則輸出0.

證畢.

證明. 設(shè)挑戰(zhàn)者為C，構(gòu)造C與Ae之間的概率多項式時間算法B如下：

2) 系統(tǒng)建立Setup.設(shè)Dj+1=δ，算法隨機取r,y1,y2,αe,βe,r1,r2,ye,1,ye,2,v1,v2,…,vl，t1,t2,…,tl以及θ1,θ2,…,θl,φ1,φ2,…,φl,λ1,λ2,…,λl，s,w,εe,τ∈p.設(shè)對任意i∈[1,l]且設(shè)將參數(shù)ye,1,ye,2以及集合發(fā)送給Ae.相當(dāng)于pkAe={Ye,1,Ye,2,Ωe,gεe}，skAe={ye,1,ye,2,αe,βe,εe}.

3) 敵手適應(yīng)性的進行如下問詢.

① 授權(quán)密鑰問詢.與引理3中的授權(quán)密鑰問詢一樣.

② 重加密密鑰問詢.與引理3中的重加密密鑰問詢一樣.

③ 重加密問詢.與引理3中的重加密問詢一樣.

6) 猜測Guess.敵手Ae輸出猜測ε′，若ε′=ε，B輸出1，否則輸出0.

證畢.

定理2. 設(shè)ADLP假設(shè)在循環(huán)群G中成立，則所提出的DT_aPRE_HVE方案在標準模型下是IND-KGA安全的.

證明. 設(shè)挑戰(zhàn)者為C，構(gòu)造C與A之間的概率多項式時間算法B如下：

2) 系統(tǒng)建立Setup.算法隨機選取r1,r2,y1,y2,φ1,φ2,…,φl,λ1,λ2,…,λl,τ∈p，設(shè)由此可知隱式成立.對于任意將參數(shù)集合發(fā)送給敵手A.

3) 敵手適應(yīng)性的進行如下問詢.

4) 挑戰(zhàn)階段Challenge.挑戰(zhàn)者輸出挑戰(zhàn)令牌：

且同理：

6) 猜測Guess.敵手猜測輸出ε′，若ε′=ε，B輸出1，否則輸出0.

證畢.

5 DT_aPRE_HVE方案的效率分析

本節(jié)將所提出的DT_aPRE_HVE方案與其他典型的PEKS或HVE方案，如文獻[13-17,21-24,27-33,35-38]進行安全性、漸進性復(fù)雜度(時間和空間復(fù)雜度)以及算法執(zhí)行效率等方面的對比.

方案的安全性對比如表1所示：

Table 1 Comparison of Security of PEKS and HVE Schemes表1 PEKS方案與HVE方案的安全性對比

由表1可以看出，本文提出的DT_aPRE_HVE方案是第1個具有可撤銷重加密代理功能并抵御KG攻擊的HVE方案.盡管有許多PEKS方案可以支持代理重加密功能，但這些方案只能進行單關(guān)鍵詞查詢，這在實際應(yīng)用中，尤其是EHR等環(huán)境下并不可行.文獻[14，38]支持合取關(guān)鍵詞查詢與可控的代理重加密功能，然而文獻[14]無法支持范圍查詢，文獻[38]則只在隨機預(yù)言模型下是可證明安全的.其余的HVE方案基本沒有考慮到KG攻擊問題，而在EHR環(huán)境中，由于關(guān)鍵詞集合較小，抵御KG攻擊的能力對于方案的應(yīng)用具有重要意義.因此，本文方案的實際應(yīng)用安全性更高.

設(shè)te為一次指數(shù)運算的時間，tp為一次雙線性對運算的時間，l為查詢向量的維數(shù)，|S(σ)|為S(σ)集合的大小.s1,s2分別為群G,GT中元素的大小.忽略整數(shù)的空間占用、乘法運算和Hash函數(shù)運算時間.方案的空間和時間復(fù)雜度對比分別如表2和表3所示.

由表2和表3可以看出，只有本文提出的DT_aPRE_HVE方案的原始令牌或代理令牌的空間復(fù)雜度均為O(1).盡管文獻[15,17]以及文獻[27-30,32-33,35-37]的令牌尺寸也為O(1)，但是其要么無法支持合取關(guān)鍵詞搜索，要么無法撤銷代理者權(quán)限.在公鑰或私鑰尺寸方面，盡管文獻[14-17,31,33,35-37]優(yōu)于本文方案,但是文獻[14]的令牌尺寸為O(l)，私鑰尺寸與本文一樣也為O(l)，且文獻[15-17,31,33]無法支持代理重加密，文獻[31,33,35-37]只允許單個關(guān)鍵詞搜索.在加密算法、重加密算法、令牌生成算法和驗證算法方面，本文的時間復(fù)雜度優(yōu)于文獻[13-14]提出的方案.與文獻[15,17,27,32-33,35-37]相比，本文的加密算法時間復(fù)雜度較高，這主要是由于文獻[15,17,27,32-33]不需要支持代理重加密，而文獻[35-37]不需要支持多關(guān)鍵詞檢索且代理權(quán)限不可撤銷，從而減少了額外的計算開銷.綜合來看，本文方案在實現(xiàn)了合取關(guān)鍵詞檢索和可撤銷的代理重加密的基礎(chǔ)上，保證了較低的漸進性復(fù)雜度，具有更好的實用性.

Table 2 Comparison of Space Complexity of PEKS and HVE Schemes表2 PEKS方案與HVE方案的空間復(fù)雜度對比

Table 3 Comparison of Time Complexity of PEKS and HVE Schemes表3 PEKS方案與HVE方案的時間復(fù)雜度對比

在效率對比方面，本文只選取了文獻[13-14]作為對比對象，主要原因是文獻[13]與本文方案均基于HVE方案，對比度較高，而文獻[14]同樣支持可撤銷的代理重加密功能.雖然文獻[38]也支持代理重加密，但是由于其既不支持合取關(guān)鍵詞搜索，也無法撤銷代理權(quán)限，因此不作為對比對象.本文主要對比Enc,Trap,Test等算法以及針對代理者的Re_Enc,Re_Trap,TestRe算法.本文選擇了與文獻[14]一樣的模擬環(huán)境，利用PBC(pair-based cryptography Library)函數(shù)庫，群G,GT的階也為160 b，仿真對比結(jié)果如圖2所示:

Fig. 2 Comparison of Efficiency of the Proposed Scheme and the Schemes in Ref [13] and Ref [14]圖2 本文方案與文獻[13]、文獻[14]的算法效率對比

從圖2可以看出，本文方案在算法的執(zhí)行效率上優(yōu)于文獻[13-14]的方案.主要原因是本文方案在Test,TestRe算法中只需要O(1)次雙線性對運算，而文獻[13-14]均需要O(l)次.本文方案的Test,TestRe算法依然依賴于查詢向量維數(shù)l，需要O(|S(σ)|)次的乘法運算，但對比O(l)次的雙線性對運算，時間有所降低，且文獻[103-14]同樣需要額外O(l)次的乘法運算.在加密算法Enc中，DT_aPRE_HVE方案不需要雙線性對運算，而文獻[13]需要額外1次雙線性對運算.在重加密算法Re_Enc方面，文獻[13-14]均需要額外的O(l)次指數(shù)運算，本文方案只需要4次指數(shù)運算.在令牌生成算法Trap,Re_Trap方面，本文方案依賴于O(|S(σ)|)，顯然有O(|S(σ)|)≤O(l)≤O(l2).因此，本文方案在應(yīng)用效率方面較文獻[13-14]有所提高.

6 結(jié)束語

本文基于隱藏向量加密(HVE)提出了支持指定驗證者與可撤銷代理重加密的加密搜索方案DT_aPRE_HVE.在安全性方面，本文方案可以有效地抵御外部攻擊者實施的離線關(guān)鍵詞測試攻擊.同時，本文采用將時間戳嵌入到授權(quán)密鑰中的方法，在不需要額外的時間服務(wù)器的基礎(chǔ)上實現(xiàn)了用戶級的細粒度的代理權(quán)限管理.在效率方面，本文方案搜索令牌的空間復(fù)雜度、重加密算法和驗證算法的雙線性對運算次數(shù)均限定在了常數(shù)上限內(nèi).因此，較之已有的具有多關(guān)鍵詞搜索和代理重加密功能的可搜索加密方案，本文方案具有較好的實用價值.

本文方案存在2點可以改進的地方:1)在密文空間復(fù)雜度和加密算法的時間復(fù)雜度方面，本文方案線性依賴于查詢向量的維數(shù).2)在驗證算法中，雖然雙線性對運算次數(shù)為常數(shù)，但需要O(|S(σ)|)次的乘法運算，盡管相比于O(l)次的雙線性對運算，效率有所提高，但依然可以改進優(yōu)化.此外，目前的謂詞加密策略和隱藏向量加密策略還無法有效的支持排序搜索.一種解決方法是將關(guān)鍵詞和密文的詞頻、逆詞頻關(guān)系嵌入到驗證算法中，在驗證查詢向量和屬性向量是否匹配的同時計算匹配程度，進而實現(xiàn)排序檢索.然而由于驗證算法大多數(shù)基于雙線性對運算，較難構(gòu)造具有單調(diào)性的函數(shù)，導(dǎo)致驗證結(jié)果的比較成為一個研究難點.因此，下一步的研究重點將集中在構(gòu)建具有排序檢索功能的隱藏向量加密方面，進一步提高隱藏向量加密的安全性與實用性.

[1]Wang Jie, Yu Xiao, Zhao Ming. Privacy-preserving ranked multi-keyword fuzzy search on cloud encrypted data supporting range query[J]. Arabian Journal for Science and Engineering, 2015, 40(8): 2375-2388

[2]Xu Qunqun, Shen Hong, Sang Yingpeng, et al. Privacy-preserving ranked fuzzy keyword search over encrypted cloud data[C] //Proc of the 14th Int Conf on Parallel & Distributed Computing, Application and Technologies. Los Alamitos, CA: IEEE Computer Society, 2013: 239-245

[3]Li Jin, Wang Qian, Wang Cong, et al. Fuzzy keyword search over encrypted data in cloud computing[C] //Proc of the 29th IEEE INFOCOM 2010. Piscataway, NJ: IEEE, 2010: 1-5

[4]Liu Chang, Zhu Liehuang, Li Longyi, et al. Fuzzy keyword search on encrypted cloud storage data with small index[C] //Proc of the 1st IEEE Int Conf on Cloud Computing and Intelligence Systems. Piscataway, NJ: IEEE, 2011: 269-273

[5]He Tuo, Ma Wenping. An efficient fuzzy keyword search scheme in cloud computing[C] //Proc of the 2nd Int Conf on Intelligent Networking and Collaborative Systems. Piscataway, NJ: IEEE, 2013: 786-789

[6]Park D J, Kim K, Lee P J. Public key encryption with conjunctive field keyword search[G] //LNCS 3325: Information Security Applications. Berlin: Springer, 2005: 73-86

[7]Hwang Y H, Lee P J. Public key encryption with conjunctive keyword search and its extension to a multi-user system[G] //LNCS 4575: Proc of the 1st Int Conf on Pairing-Based Cryptography. Berlin: Springer, 2007: 2-22

[8]Zhang Bo, Zhang Fangguo. An efficient public key encryption with conjunctive-subset keywords search[J]. Journal of Network and Computer Applications, 2011, 34(1): 262-267

[9]Shen E, Shi E, Waters B. Predicate privacy in encryption systems[G] //LNCS 5444: Theory of Cryptography Conference. Berlin: Springer, 2009: 457-473

[10]Li Zhen, Jiang Han, Zhao Minghao. A discretionary searchable encryption scheme in multi-user settings[J]. Journal of Computer Research and Development, 2015, 52(10): 2313-2322 (in Chinese)

(李真, 蔣瀚, 趙明昊. 一個自主授權(quán)的多用戶可搜索加密方案[J]. 計算機研究與發(fā)展, 2015, 52(10): 2313-2322)

[11]Caro A D, Iovino V, Persiano G. Fully secure hidden vector encryption[G] //LNCS 7708: Proc of the 5th Int Conf on Pairing-Based Cryptography. Berlin: Springer, 2012: 102-121

[12]Iovino V, Persiano G. Hidden-vector encryption with groups of prime order[G] //LNCS 5209: Proc of Int Conf on Pairing-Based Cryptography. Berlin: Springer, 2008: 75-88

[13]Mitsuhiro H, Takato H, Takashi I, et al. Ciphertext-policy delegatable hidden vector encryption and its application to searchable encryption in multi-user setting[G] //LNCS 7089: Proc of the 13th IMA Int Conf on Cryptography and Coding. Berlin: Springer, 2011: 190-209

[14]Yang Yang, Mao Maode. Conjunctive keyword search with designated tester and timing enabled proxy re-encryption function for e-health clouds[J]. IEEE Trans on Information Forensics and Security, 2016, 11(4): 746-759

[15]Keita E, Atsuko M, Kazumasa O. A timed-release proxy re-encryption scheme and its application to fairly-opened multicast communication[G] //LNCS 6402: Proc of the 4th Int Conf on Provable Security. Berlin: Springer, 2010: 200-213

[16]Liu Qin, Wang Guojun, Wu Jie. Time-based proxy re-encryption scheme for secure data sharing in a cloud environment[J]. Information Sciences, 2014, 258(3): 355-370

[17]Liang Kaitai, Huang Qiong, Roman S, et al. A conditional proxy broadcast re-encryption scheme supporting timed-release[G] //LNCS 7863: Information Security Practice and Experience. Berlin: Springer, 2013: 132-146

[18]Rhee H S, Park J H, Lee D H. Generic construction of designated tester public-key encryption with keyword search[J]. Information Sciences, 2012, 205(1): 93-109

[19]Rhee H S, Susilo W, KiM H J. Secure searchable public key encryption scheme against keyword guessing attacks[J]. IEICE Electronics Express, 2009, 6(5): 237-243

[20]Katz J, Sahai A, Waters B. Predicate encryption supporting disjunctions, polynomial equations, and inner products[G] //LNCS 4965: Proc of the EUROCRYPT 2008. Berlin: Springer, 2008: 146-162

[21]Lewko A, Okamoto T, Sahai A, et al. Fully secure functional encryption: Attribute-based encryption and (hierarchical) inner product encryption[G] //LNCS 6110: Advances in Cryptology-EUROCRYPT 2010. Berlin: Springer, 2010: 62-91

[22]Okamoto T, Takashima K. Adaptively attribute-hiding (hierarchical) inner product encryption[G] //LNCS 7237: Advances in Cryptology-EUROCRYPT 2012. Berlin: Springer, 2012: 591-608

[23]Okamoto T, Takashima K. Fully secure functional encryption with general relations from the decisional linear assumption[G] //LNCS 6223: Advances in Cryptology-CRYPTO 2010. Berlin: Springer, 2010: 191-208

[24]Park J H. Inner-product encryption under standard assumptions[J]. Designs, Codes and Cryptology, 2011, 58(3): 235-257

[25]Boneh D, Waters B. Conjunctive, subset, and range queries on encrypted data[G] //LNCS 4392: Proc of the 4th Int Conf on Theory of Cryptology. Berlin: Springer, 2007: 535-554

[26]Boyen X. A tapestry of identity-based encryption: practical frameworks compared[J]. International Journal of Applied Cryptography, 2008, 1(1): 3-21

[27]Park J H. Efficient hidden vector encryption for conjunctive queries on encrypted data[J]. IEEE Trans on Knowledge and Data Engineering, 2011, 23(10): 1483-1497

[28]Park J H, Lee K S, Susilo W, et al. Fully secure hidden vector encryption under standard assumptions[J]. Information Sciences, 2013, 232(5): 188-207

[29]Park J H, Lee D H. A hidden vector encryption scheme with constant-size tokens and pairing computations[J]. IEICE Trans on Fundamentals of Electronics Communications & Computer Sciences, 2010, 93-A(9): 1620-1631

[30]Lee K, Lee D H. Improved hidden vector encryption with short ciphertext and tokens[J]. Designs, Codes and Cryptology, 2011, 58(3): 297-319

[31]Baek J, Nani R S, Susilo W. Public key encryption with keyword search revisited[G] //LNCS 5072: Proc of 2008 Int Conf on Computational Science and Its Applications. Berlin: Springer, 2008: 1249-1259

[32]Guo Lifeng, Yau Weichuen. Efficient secure-channel free public key encryption with keyword search for EMRs in cloud storage[J]. Journal of Medical Systems, 2015, 39(2): 1-11

[33]Rhee H S, Park J H, Susilo W, et al. Trapdoor security in a searchable public-key encryption scheme with a designated tester[J]. Journal of Systems and Software, 2010, 83(5): 763-771

[34]Shi E, Waters B. Delegating capabilities in predicate encryption systems[G] //LNCS 5126: Proc of the 35th Int Colloquium on Automata, Languages, and Programming. Berlin: Springer, 2008: 560-578

[35]Shao Jun, Cao Zhenfu, Liang XIaohui, et al. Proxy re-encryption with keyword search[J]. Information Sciences, 2010, 180(13): 2576-2587

[36]Yau W C, Phan C W, Heng S H, et al. Proxy re-encryption with keyword search: New definitions and algorithms[G] //LNCS 122: Security Technology, Disaster Recovery and Business Continuity. Berlin: Springer, 2010: 149-160

[37]Fang Liming, Susilo W, Ge Chunpeng, et al. Chosen-ciphertext secure anonymous conditional proxy re-encryption with keyword search[J]. Theoretical Computer Science, 2012, 462(1): 39-58

[38]Wang Xuan, Huang Xinyi, Yang Xiaoyuan, et al. Further observation on proxy re-encryption with keyword search[J]. Journal of Systems and Software, 2012, 85(3): 643-654

[39]Bellare M, Boldyreva A, Palacio A. An uninstantiable random oracle-model scheme for a hybrid-encryption problem[G] //LNCS 3027: Proc of the EUROCRYPT 2004. Berlin: Springer, 2004: 171-188

[40]Li Jiguo, Shi Yuerong, Zhang Yichen. Searchable ciphertext-policy attribute-based encryption with revocation in cloud storage[OL]. [2015-02-19]. https://www.infona.pl/resource/bwmeta1.element.wiley-dac-v-30-i-1-dac2942