孫瑩瑩，劉曉光，，刁穎穎，譙小康

(1.西南民族大學(xué)計算機科學(xué)與工程學(xué)院，四川 成都 610041；2.廣西密碼學(xué)與信息安全重點實驗室，廣西 桂林 541004；3.西南民族大學(xué)數(shù)學(xué)學(xué)院，四川 成都 610041)

眾所周知，加密技術(shù)可以增強數(shù)據(jù)的安全性，卻限制了用戶對數(shù)據(jù)的高效搜索和共享.一個不理想的解決方案是用戶首先下載所有加密數(shù)據(jù)，待全部解密后進行搜索操作.但隨著數(shù)據(jù)規(guī)模的不斷增大，計算和通信成本會呈指數(shù)級增加.為解決這個問題，基于對稱加密的可搜索方案首先被提出[1].然而，一個棘手問題是如何秘密地將密鑰分發(fā)給授權(quán)用戶[2].此外，該類方案不可避免地會消耗大量的計算和通信成本.

2004 年，Boneh 等人[3]給出了第一個PEKS 方案.此方案實現(xiàn)了Bob 通過云服務(wù)器向Alice 發(fā)送文檔，具體過程如下:Bob 首先從文檔中提取關(guān)鍵字，并用Alice 的公鑰加密，生成關(guān)鍵字密文并上傳至服務(wù)器.Alice 使用其私鑰加密關(guān)鍵字生成陷門，并將生成的陷門發(fā)送至服務(wù)器.最后，服務(wù)器對接收到的關(guān)鍵字密文和陷門進行測試.如果二者包含的關(guān)鍵字相同，服務(wù)器將把包含該關(guān)鍵字的文檔發(fā)送給Alice.然而，Baek 等人[4]指出方案[3]為了保證陷門的安全性，需要通過高消耗的安全信道將陷門傳輸至服務(wù)器.因此，他們提出了一個無安全信道的PEKS 方案(SCF-PEKS).該方案中，云服務(wù)器的公、私鑰分別參與密文的生成與測試算法.Yau 等人[5]指出方案[4]容易受到離線關(guān)鍵字猜測攻擊.這是因為用戶通常使用常見的關(guān)鍵字來進行搜索操作，關(guān)鍵字是在一個很小的空間中選擇的[6].Rhee 等人[7]設(shè)計了一個增強的SCF -PEKS 方案，但此方案只考慮了外部關(guān)鍵字猜測攻擊(OKGA)，卻不能抵抗內(nèi)部關(guān)鍵字猜測攻擊(IKGA).Xu 等人[8]提出了模糊關(guān)鍵字PEKS 方案.在該方案中，每個關(guān)鍵字對應(yīng)一個精確的關(guān)鍵字搜索陷門和一個模糊的關(guān)鍵字搜索陷門，但該方案也只能抵抗OKGA.

Lu 等人[9]提出了一個基于證書的SCF-PEKS 方案.此方案可有效抵抗IKGA，卻引入了繁瑣的證書管理問題.Li 等人[10]提出了一個基于身份的SCF-PEKS 方案.該方案解決了證書管理問題，卻存在密鑰托管問題.Pakniat[11]提出了一個無證書的SCF-PEKS 方案，有效地解決了證書管理和密鑰托管問題.然而，Miao 等人[12]指出，大多數(shù)現(xiàn)有的PEKS 方案仍然容易受到IKGA 攻擊，這意味著內(nèi)部敵手可以成功地猜測出候選關(guān)鍵字.2019年，Zhang 等人[13]提出了無證書公鑰認證的SCF-PEKS 方案.2021 年，Lu 等人[14]提出了輕量級公鑰認證PEKS方案.此類基于認證的方案通過驗證發(fā)送者的身份，可有效抵抗IKGA 和OKGA.

遺憾的是，現(xiàn)有的許多無安全通道PEKS 方案都依賴于高消耗的雙線性對.本文中，我們將提出一個無證書輕量級可認證的無安全信道PEKS 方案(SCF-PAEKS)，主要貢獻如下:1)方案基于無證書密碼學(xué)，不存在證書管理和密鑰托管問題；2)使用標量乘法代替高成本的雙線性對，具有更高的效率；3)為了增強方案的安全性，我們在加密方案中不僅輸入數(shù)據(jù)接受者的公鑰，還輸入數(shù)據(jù)擁有者的公鑰，使得數(shù)據(jù)接收者可以驗證數(shù)據(jù)擁有者的身份；4)對所推出的方案進行了性能分析，并在隨機預(yù)言模型下證明了方案的安全性.

1 預(yù)備知識

下面將給出本文算法安全性所基于的困難問題和基本系統(tǒng)模型.

1.1 橢圓曲線Diffie-Hellman 問題

設(shè)G是橢圓曲線上的點組成的加法循環(huán)群，其階數(shù)為素數(shù)q.P是G的生成元.下面將分別給出橢圓曲線Diffie-Hellman (CDH) 問題和決策Diffie-Hellman (DDH) 問題的定義.定義1 (CDH):給出三元組(P，aP，bP) ∈G，其中a，b∈Zp

*，計算abP是困難問題.定義2 (DDH):給出四元組(P，aP，bP，cP) ，其中a，b，c∈Zp

* ，確定c是否等于ab是困難問題.

1.2 系統(tǒng)模型

如圖1 所示，SCF-PAEKS 方案的系統(tǒng)模型主要由四個實體組成:密鑰生成中心(KGC)、云服務(wù)器、數(shù)據(jù)擁有者和數(shù)據(jù)接收者.每個實體的工作方式如下:

1) KGC:它是一個半可信的第三方，可以生成系統(tǒng)主密鑰以及數(shù)據(jù)擁有者、數(shù)據(jù)接收者和云服務(wù)器的部分私鑰.同時，KGC 負責公布系統(tǒng)參數(shù).

2)數(shù)據(jù)擁有者:他/她的加密信息分為兩部分.首先，他/她使用自己的私鑰加密數(shù)據(jù)并生成密文，同時從數(shù)據(jù)中提取關(guān)鍵詞.其次，數(shù)據(jù)擁有者使用提出的SCF-PAEKS 方案對關(guān)鍵字進行加密，生成關(guān)鍵字密文，并將密文上傳到云服器.

3)數(shù)據(jù)接收者:他/她使用其私鑰、數(shù)據(jù)擁有者的公鑰和云服務(wù)器的公鑰為他/她想要搜索的關(guān)鍵字生成陷門，并將陷門發(fā)送給云服務(wù)器.

4)云服務(wù)器:存儲和處理數(shù)據(jù)的半可信第三方.它利用自己的私鑰測試數(shù)據(jù)所有者發(fā)送的關(guān)鍵字密文與數(shù)據(jù)接收者發(fā)送的陷門.如果二者包含相同的關(guān)鍵字，它會將相應(yīng)的信息返回給數(shù)據(jù)接收者.

2 SCF-PAEKS 方案

該方案由以下八個多項式時間算法組成. 我們分別定義數(shù)據(jù)擁有者、數(shù)據(jù)接收者和云服務(wù)器的身份為IDO、IDR和IDS.算法中所使用的符號見表1.

表1 符號定義Table 1 Symbol definition

2.1 初始化

給定一個安全參數(shù)λ，KGC 選擇一個階為q的加法循環(huán)群G，P是G的生成元.KGC 選擇隨機值s∈Zq*作為系統(tǒng)主密鑰，并計算Ppub＝sP作為系統(tǒng)公鑰.KGC 選擇三個不同的哈希函數(shù):H1:{0，1}*×G→Zq*，H2:G × G ×G × G ×G→{0，1}*，H3:{0，1}*×{0，1}*→Zq*.KGC 保密系統(tǒng)主密鑰s，并公開系統(tǒng)參數(shù)params＝{λ，G，q，P，Ppub，H1，H2，H3} .

2.2 設(shè)置部分私鑰

KGC 將執(zhí)行以下步驟:

1)輸入數(shù)據(jù)擁有者的身份IDO∈{0，1}*.KGC 選擇隨機值rIDO∈Zq*計算，并計算QIDO＝rIDOP，μIDO＝H1(IDO，QIDO) ，和dIDO＝rIDO ＋sμIDO(modq) .KGC 返回QIDO，μIDO和dIDO給數(shù)據(jù)擁有者.

2)輸入數(shù)據(jù)接收者的身份IDR∈{0，1}*. KGC 選擇隨機值rIDR∈Zq*，并計算QIDR＝rIDRP，μIDR＝H1(IDR，QIDR) 和dIDR＝rIDR ＋sμIDR(modq) .KGC 返回QIDR，μIDR和dIDR給數(shù)據(jù)接收者.

3)輸入云服務(wù)器的身份IDS∈{0，1}*.KGC 選擇隨機值rIDS∈Zq*，并計算QIDS＝rIDSP，μIDS＝H1(IDS，QIDS) 和dIDS＝rIDS ＋sμIDS(modq) .KGC 返回QIDS，μIDS和dIDS給云服務(wù)器.

2.3 設(shè)置秘密值

輸入IDO∈ {0，1}*，IDR∈ {0，1}*和IDS∈ {0，1}*.

1)數(shù)據(jù)擁有者選擇隨機值xIDO∈Zq*作為自己的秘密值.

2)數(shù)據(jù)接收者選擇隨機值xIDR∈Zq*作為自己的秘密值.

3)云服務(wù)器選擇隨機值xIDS∈Zq*作為自己的秘密值.

2.4 設(shè)置私鑰

1)數(shù)據(jù)擁有者設(shè)置SKIDO＝(SKIDO1，SKIDO2) ＝(xIDO，dIDO) 作為自己的私鑰.

2)數(shù)據(jù)接收者設(shè)置SKIDR＝(SKIDR1，SKIDR2) ＝(xIDR，dIDR) 作為自己的私鑰.

3)云服務(wù)器設(shè)置SKIDS＝(SKIDS1，SKIDS2) ＝(xIDS，dIDS) 作為自己的私鑰.

2.5 設(shè)置公鑰

輸入系統(tǒng)參數(shù)params，并分別輸入數(shù)據(jù)擁有者的秘密值，數(shù)據(jù)接收者的秘密值和云服務(wù)器的秘密值xIDO，xIDR和xIDS.

1)數(shù)據(jù)擁有者計算YIDO＝xIDOP，將PKIDO＝(PKIDO1，PKIDO2) ＝(YIDO，QIDO) 設(shè)置為自己的公鑰.

2)數(shù)據(jù)接收者計算YIDR＝xIDRP，將PKIDR＝(PKIDR1，PKIDR2)＝(YIDR，QIDR) 設(shè)置為自己的公鑰.

3)云服務(wù)器計算YIDS＝xIDSP，將PKIDS＝(PKIDS1，PKIDS2)＝(YIDS，QIDS) 設(shè)置為自己的公鑰.

2.6 SCF-PAEKS 方案

輸入params，SKIDO，PKIDR和PKIDS.數(shù)據(jù)擁有者按照下列步驟加密關(guān)鍵字w:

1)數(shù)據(jù)擁有者選擇隨機值r1∈Zq*.

2)數(shù)據(jù)擁有者計算:

數(shù)據(jù)擁有者返回C ＝(C1，C2，C3) .

2.7 陷門

輸入params，SKIDR，PKIDO和PKIDS.數(shù)據(jù)接收者按照如下步驟生成陷門Tw:

1)數(shù)據(jù)接收者選擇隨機值r2∈Zq*.

2)數(shù)據(jù)接收者計算:

數(shù)據(jù)接收者返回陷門Tw'＝(T1，T2，T3) .

2.8 測試

輸入params，Tw'， SKIDS和關(guān)鍵字密文C. 云服務(wù)器驗證等式C2(xIDS ＋dIDS)- C3＝T2(xIDS ＋dIDS)＋T3((xIDS ＋dIDS)-1-1)- T1是否成立.如果成立，輸出1，否則，輸出0.

正確性驗證:Tw

′是關(guān)鍵字w′的陷門，w是密文C中的關(guān)鍵字.我們知道

和

由于θ1＝θ2，故若w ＝w′，則K1＝K2.因此有:

3 安全證明

在本節(jié)中，我們首先給出SCF-PAEKS 方案的安全模型.隨后對所提出方案進行安全性分析.分析結(jié)果表明，在隨機預(yù)言模型下，該方案可有效抵抗IKGA 且此方案滿足密文不可區(qū)分性.

3.1 安全模型

在無證書密碼系統(tǒng)的自適應(yīng)性選擇密文攻擊游戲中，我們定義了挑戰(zhàn)者C分別與外部敵手A1 ，內(nèi)部敵手A2 之間的攻擊博弈.外部敵手A1 可以任意替換用戶的公鑰，但不能獲取系統(tǒng)主密鑰.內(nèi)部敵手A2 ，通常指半可信云服務(wù)器.它可以獲得系統(tǒng)主密鑰，但不能替換用戶的公鑰.

游戲1:這是一個挑戰(zhàn)者C與外部敵手A1 之間的互動.

初始化:給定安全參數(shù)λ，C運行系統(tǒng)算法產(chǎn)生參數(shù)params和系統(tǒng)主密鑰s.C保密s，并把params發(fā)送給A1 .

哈希查詢:C允許A1 查詢哈希預(yù)言并返回哈希值.

部分私鑰查詢:A1 對身份ID 進行查詢，C計算該身份的部分私鑰dID并將其返回給A1 .

私鑰查詢:A1 對身份ID 進行查詢，C計算相應(yīng)的私鑰SKID返回給A1 .

公鑰查詢:A1 對身份ID 進行查詢，C將相應(yīng)的公鑰PKID返回給A1 .

替換公鑰查詢:A1 選擇新的公鑰PK ′ID用于替換原始公鑰PKID.

陷門查詢:A1 對身份IDO、IDS及關(guān)鍵字w進行查詢，C生成陷門Tw并返回給A1 .

挑戰(zhàn):A1 選擇未執(zhí)行過陷門查詢的w0和w1作為挑戰(zhàn)關(guān)鍵字.C隨機選擇b′∈{0，1} ，然后通過執(zhí)行算法生成關(guān)鍵字密文wb并發(fā)送給A1 .

更多查詢:A1 可繼續(xù)執(zhí)行以上階段查詢(w0和w1陷門查詢除外).

猜測:A1 給出猜測結(jié)果b′∈{0，1} .若b′ ＝b，則A1 挑戰(zhàn)成功.A1 挑戰(zhàn)成功的優(yōu)勢定義為:

游戲2:這是一個挑戰(zhàn)者C與內(nèi)部敵手A2 之間的互動.

初始化:給定安全參數(shù)λ，C運行系統(tǒng)算法產(chǎn)生參數(shù)params和系統(tǒng)主密鑰s，并把它們發(fā)送給A2 .查詢:除提取私鑰查詢和替換公鑰查詢外，A2 可執(zhí)行與游戲1 相同的查詢.

挑戰(zhàn):A2 選擇未執(zhí)行過陷門查詢的w0和w1作為挑戰(zhàn)關(guān)鍵字.C隨機選擇b′∈{0，1} ，然后通過執(zhí)行算法生成關(guān)鍵字密文wb并發(fā)送給A2 .

更多查詢:A2 可繼續(xù)執(zhí)行以上階段詢問(w0和w1陷門查詢除外).

猜測:A2 給出猜測結(jié)果b′∈{0，1} .若b′ ＝b，則A2 挑戰(zhàn)成功.A2 挑戰(zhàn)成功的優(yōu)勢定義為:

定義3:如果沒有敵手以不可忽略的優(yōu)勢Adv(A1) 和Adv(A2) 贏得游戲，說明所提出的SCF-PAEKS 方案在抵抗IKGA 時是語義安全的.

3.2 證明

定理1:假設(shè)CDH 是困難問題，則所提出的SCF-PAEKS 方案在隨機語言模型中是語義安全的.這個定理可由以下兩個引理證明.

引理1:假設(shè)有一個外部敵手A1 以不可忽略的優(yōu)勢ε贏得SCF-PAEKS 方案.我們必須構(gòu)造一個算法C以不可忽略優(yōu)勢:

來解決CDH 問題， 其中qH1，qE，qS，qT分別表示H1查詢，部分私鑰查詢，秘密值查詢，陷門查詢的最大查詢次數(shù).

證明:假設(shè)(P，aP，bP) 是CDH 問題隨機生成的一個實例，那么算法C通過與敵手A1 交互來模擬挑戰(zhàn)者.

初始化:C隨機選擇IDI( 1 ≤I≤qH1)作為挑戰(zhàn)者身份.然后C執(zhí)行算法計算系統(tǒng)公鑰Ppub＝aP和系統(tǒng)參params ＝{λ，G，q，P，Ppub，H1，H2，H3}.最后，C返回params給A1 .

H1查詢:C維護一張LH1列表(IDi，QIDi，μIDi) ，當收到A1 關(guān)于(IDi，QIDi) 的查詢時，若(IDi，QIDi，μIDi) 已存在于LH1，則C返回μIDi.否則，C選擇隨機值μIDi∈Zq*，將其返回給A1 ，并將(IDi，QIDi，μIDi) 加入LH1.

H2查詢:C維護一張LH2列表(SKIDj1·PKIDi1，PKIDj，PKIDi，θi) ，當收到A1 關(guān)于(SKIDj1·PKIDi1，PKIDj，PKIDi)的查詢時，若(SKIDj1·PKIDi1，PKIDj，PKIDi，θi) 已經(jīng)存在于LH2，則C返回θi.否則，C隨機選擇θi∈Zq*，將其返回給A1 ，并將(SKIDj1·PKIDi1，PKIDj，PKIDi，θi) 加入LH2.

H3查詢:C維護一張LH3列表(wi，θi，ki) ，當收到A1 關(guān)于(wi，θi) 的查詢時，若(wi，θi，ki) 已經(jīng)存在于LH3，則C返回ki.否則，C隨機選擇ki∈Zq*將其返回給A1 ，并將(wi，θi，ki) 加入LH3.部分私鑰查詢:C維護一張Lp1列表(IDi，QIDi，dIDi) .當收到A1 關(guān)于IDi的查詢時，若IDi ＝IDI，C終止算法(這個過程由E1表示).否則，C隨機選擇dIDi∈Zq*，將其返回給A1 ，并將(IDi，QIDi，dIDi) 加入Lp1.

秘密值查詢:C維護一張Lp2列表(IDi，xIDi) .當收到A1 關(guān)于IDi的查詢時，若IDi ＝IDI，C終止算法(這個過程由E2表示).否則，C隨機選擇xIDi∈Zq*，并查詢Lp1列表(IDi，QIDi，dIDi) .最后，C將SKIDi ＝(xIDi，dIDi)返回給A1 ，并將(IDi，xIDi) 加入Lp2.

提取公鑰查詢:C維護一張Lp3列表(IDi，QIDi，YIDi) .當收到A1 關(guān)于IDi的查詢時，若(IDi，QIDi，YIDi) 已經(jīng)存在于Lp3，C返回PKIDi ＝(QIDi，YIDi) .否則，C分別查詢LH1列表(IDi，QIDi，μIDi) 和Lp2列表(IDi，xIDi) ，并計算YIDi ＝xIDiP.最后，C返回PKIDi ＝(QIDi，YIDi) 給A1 ，并將(IDi，QIDi，YIDi) 加入Lp3.

公鑰替換查詢:當收到A1 關(guān)于(IDi，QIDi，YIDi) 查詢時，C分別用和去替換QIDi和YIDi，并更新Lp3列表(IDi，QIDi，YIDi) .

陷門查詢:當收到A1 關(guān)于IDi的陷門查詢時，若IDi ＝IDI，C終止算法(這個過程由E3表示).否則，C隨機選擇r2∈Zq*并計算T2＝r2P.然后，C查詢LH3列表(wi，θi，ki) 和LH2列表(SKIDj1·PKIDi1，PKIDj，PKIDi，θi) ，計算K2＝H3(ki，θi) 、T2＝(K2＋r2) SKIDi2-1(PKIDi2＋αIDiPpub) 和T3＝r1(YIDS ＋QIDS ＋μIDSPpub) .最后，C返回Tw'＝(T1，T2，T3) 給A1 .

挑戰(zhàn):A1 給出身份為ID*的挑戰(zhàn)關(guān)鍵字w0和w1.若ID*≠IDI，C終止算法(這個過程由E4表示).否則，C首先選擇隨機值r1∈Zq*并計算C1＝r1P.然后，C查詢LH3列表(wi，θi，ki) 和LH2列表(SKIDj1·PKIDi1，PKIDj，PKIDi，θi) ，計算K1＝H3(ki，θi)、C2＝C1＋K1·SKIDO2-1(PKIDO2＋μIDOPpub) 和C3＝r2(YIDS ＋QIDS ＋μIDSPpub) .最后，C返回C ＝(C1，C2，C3) 給A1 .

更多查詢:A1 可繼續(xù)執(zhí)行以上階段除挑戰(zhàn)關(guān)鍵字w0和w1之外(這個過程由E5表示)的自適應(yīng)查詢.

猜測:A1 給出猜測結(jié)果b′∈{0，1} .C設(shè)置C1＝bP，如果b((C2-T2＋T1)(xIDS ＋dIDS)-C1(xIDS ＋dIDS)＋Ppub)＝abP成立，則說明C可以解決CDH 問題.

只有當E1，E2，E3，E4，E5事件之一發(fā)生時，游戲才會中止.下面將對C解決CDH 問題的優(yōu)勢ε′進行分析.首先:

和

故有Pr[┐E5] ≥ 2Pr[b′ ＝b ｜-1≥2ε，因此:

引理2:假設(shè)有一個內(nèi)部敵手A2 以不可忽略的優(yōu)勢ε贏得SCF-PAEKS 方案.必須構(gòu)造一個算法C以不可忽視優(yōu)勢:

來解決CDH 問題，其中qH1，qE，qS，qT分別表示H1查詢，部分私鑰查詢，秘密值查詢，陷門查詢的最大查詢次數(shù).

證明:假設(shè)(P，aP，bP) 是CDH 問題隨機生成的一個實例，那么算法C通過與敵手A2 交互來模擬挑戰(zhàn)者.

初始化:C隨機選擇IDI( 1 ≤I≤qH1)作為挑戰(zhàn)身份.然后C執(zhí)行算法，隨機選擇s∈Zq*，并計算系統(tǒng)公鑰Ppub＝sP和系統(tǒng)參params ＝{λ，G，q，P，Ppub，H1，H2，H3} .最后，C返回s和params給A2 .

H1查詢:C維護一張LH1列表(IDi，QIDi，μIDi) ，當收到A2 關(guān)于(IDi，QIDi) 的查詢時，若(IDi，QIDi，μIDi) 已存在于LH1，則C返回μIDi.否則，C選擇隨機值μIDi∈Zq*將其返回給A2，并將(IDi，QIDi，μIDi) 加入LH1.

H2查詢:C維護一張LH2列表(SKIDj1·PKIDi1，PKIDj，PKIDi，θi) ，當收到A2 關(guān)于(SKIDj1·PKIDi1，PKIDj，PKIDi)的查詢時，若(SKIDj1·PKIDi1，PKIDj，PKIDi，θi) 已經(jīng)存在于LH2，則C返回θi.否則，C隨機選擇θi∈Zq*，將其返回給A2 ，并將(SKIDj1·PKIDi1，PKIDj，PKIDi，θi) 加入LH2.

H3查詢:C維護一張LH3列表(wi，θi，ki) ，當收到A2 關(guān)于(wi，θi) 的查詢時，若(wi，θi，ki) 已經(jīng)存在于LH3，則C返回ki.否則，C隨機選擇ki∈Zq*將其返回給A2 ，并將(wi，θi，ki) 加入LH3.

部分私鑰查詢:C維護一張Lp1列表(IDi，YIDi，xIDi) ，當收到A2 關(guān)于IDi的查詢時，C隨機選擇xIDi∈Zq*并計算YIDi ＝rIDiP.然后，C查詢LH1列表(IDi，QIDi，μIDi) ，計算dIDi ＝rIDi ＋sμIDi，并將rIDi和dIDi返回給A2 .最后，C將(IDi，QIDi，dIDi) 加入Lp1.

提取公鑰查詢:C維護一張Lp2列表(IDi，QIDi，YIDi) .當收到A2 關(guān)于IDi的查詢時.若(IDi，QIDi，YIDi) 已經(jīng)存在于Lp2，則C返回PKIDi ＝(QIDi，YIDi) .否則，C查詢LH1列表(IDi，QIDi，μIDi) 和Lp1列表(IDi，YIDi，xIDi) .最后，C返回PKIDi ＝(QIDi，YIDi) 給A2 ，并將(IDi，QIDi，YIDi) 加入Lp3.

陷門查詢:當收到A2 關(guān)于IDi的陷門查詢時，若IDi ＝IDI，C終止算法(這個過程由E1表示).否則，C隨機選擇r2∈Zq*并計算T2＝r2P.然后，C查詢LH3列表(w，θ，k) 和LH2列表(SKIDj1·PKIDi1，PKIDj，PKIDi，θ) ，計算K2＝H3(k'，θ2) 、T2＝(K2＋r2) SKIDi2-1(PKIDi2＋αIDiPpub) 和T3＝r1(YIDS ＋QIDS ＋μIDSPpub).最后，C返回Tw'＝(T1，T2，T3) 給A2 .

挑戰(zhàn):A2 給出身份為ID*的挑戰(zhàn)關(guān)鍵字w0和w1.若ID*≠IDI，C終止算法(這個過程由E2表示).否則，C首先選擇隨機值r1∈Zq*并計算C1＝r1P.然后，C查詢LH3列表(wi，θi，ki) 和LH2列表(SKIDj1·PKIDi1，PKIDj，PKIDi，θ) ，計算K1＝H3(ki，θi)、C2＝C1＋K1·SKIDO2-1(PKIDO2＋μIDOPpub) 和C3＝r2(YIDS ＋QIDS ＋μIDSPpub) .最后，C返回C ＝(C1，C2，C3) 給A2 .

更多查詢:A2 可繼續(xù)執(zhí)行以上階段除挑戰(zhàn)關(guān)鍵字w0和w1之外(這個過程由E3表示)的自適應(yīng)查詢.

猜測:A2 給出猜測結(jié)果b′∈{0，1} .C設(shè)置QIDi ＝aP，C1＝bP.如果(C2-T2＋T1)(xIDS ＋dIDS)-b(YIDS＋μIDSPpub)＝abP成立，則說明C可以解決CDH 問題.

我們知道只有當E1，E2，E3事件之一發(fā)生時，游戲才會中止.下面我們將對C解決CDH 問題的優(yōu)勢ε′進行分析.首先:

接下來，我們將證明:Pr[┐E3] ≥2ε.由于

和

4 性能分析

在本節(jié)中，我們將所提出的SCF-PAEKS 方案分別與無安全通道的方案[9] ，[10]和[11]在安全性，計算成本和通信成本方面進行比較.

4.1 安全性能

在表2 中，分別給出了四種方案安全性能的比較.我們分別使用CL、AU、OK、IK 和BP 表示無證書、認證、OKGA、IKGA 和無雙線性對.從表2 中可以發(fā)現(xiàn)方案[9]是基于公鑰基礎(chǔ)設(shè)施的，存在證書管理問題.方案[10]是基于身份的加密體制，存在密鑰托管問題.方案[11]沒有對數(shù)據(jù)擁有者身份認證的功能，敵手可以冒充數(shù)據(jù)擁有者發(fā)起OKGA 和IKGA.此外，方案[9]，[10]和[11]都依賴于高消耗的雙線性對.

表2 安全屬性比較Table 2 Comparison of security attributes

4.2 計算成本

在本節(jié)中，我們將使用方案[14]中的測試結(jié)果來估計四種方案的計算成本.在方案[14]中，性能的評估是在配備有Ubuntu 16.04 操作系統(tǒng)的電腦上進行的，使用MIRACL 庫，配備了I5 -4210U 1.7 GHz 處理器和4 G字節(jié)內(nèi)存.這里Thm，Tsa，Tb，Tsp，Th分別表示哈希映射到點的執(zhí)行時間4.362 ms，標量加法的執(zhí)行時間0.013 ms，雙線性對的執(zhí)行時間4.154 ms，標量乘法的執(zhí)行時間1.631 ms，一般哈希函數(shù)的執(zhí)行時間0.004 ms.

如表3 和圖2 所示，我們分別從密鑰算法、加密算法、陷門算法和測試算法給出了這四3 個方案的計算成本.實驗結(jié)果表明，在密鑰算法中，所提出的SCF-PAEKS 方案的計算成本比方案[9]，[10]和[11]分別降低了33.42%，61.73%和18.25%.在加密算法中，所提出的SCF -PAEKS 方案的計算成本比方案[9]，[10]和[11]分別降低了22.88%，55.33%和75.33%.在陷門算法中，所提出的SCF -PAEKS 方案的計算成本比方案[9]，[10]和[11]分別降低了24.1%，39.32%和64.86%.在測試算法中，所提出的SCF-PAEKS 方案的計算成本比方案[9]高出17.97%，與[10]和[11]相比分別降低了64.86%和77.2%. 可見所提出的SCF -PAEKS 方案的計算成本在各算法中基本均為最低.這是因為我們的方案使用了標量乘法而不是高消耗的雙線性對.因此，與其他方案相比，我們的方案具有更高的效率.

表3 計算成本比較(ms)Table 3 The comparison of computation cost (ms)

圖2 計算成本比較Fig 2 The comparison of computation cost

4.3 通信成本

下面，我們將分別從公鑰、加密、陷門的大小(分別用PK、 EN 和TD 表示)來比較四種方案的通信成本.另外，我們假設(shè)點G、G1、G2和Zq*的大小分別為320 位、512 位、1 024 位、和160 位.表4 和圖3 顯示，所提出的SCF-PAEKS 方案中PK 的通信成本比[9]，[10]和[11]均高出25%.所提出的SCF-PAEKS 方案中EN 的通信成本與方案[9]，[10]和[11]相比分別降低了19%、53%和19%.此外，所提出的SCF -PAEKS 方案中TD的通信成本比方案[9]和[10]略低，但與方案[11]相比降低了38%.

表4 通信成本比較Table 4 The comparison of communication cost

圖3 通信成本比較Fig 3 The comparison of communication cost

由上述結(jié)果表明，所提出的SCF-PAEKS 方案中公鑰的通信成本相對其他方案略高.但方案[9]存在證書管理問題，方案[10]是基于身份的加密，無法避免密鑰托管問題.方案[11]容易受到關(guān)鍵字猜測攻擊.特別地，上述三個方案均不可避免雙線性對，導(dǎo)致其計算和通信成本都較高.因此，本文推出的方案更安全、更高效.

5 結(jié)論

云服務(wù)的出現(xiàn)給數(shù)據(jù)隱私帶來了一些挑戰(zhàn).為了確保數(shù)據(jù)安全和對加密數(shù)據(jù)的高效搜索，一些SCF-PEKS方案被提出.然而，這些方案均存在一定的不足.在本文中，我們提出了一個無雙線性對的SCF -PAEKS 方案.它不僅解決了加密數(shù)據(jù)的安全存儲和檢索問題，而且不存在證書管理和密鑰托管問題.新穎的是，該方案不依賴于高消耗的雙線性對且可有效抵抗IKGA.分析結(jié)果表明，SCF-PAEKS 具有較好的綜合性能.