(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210410647.6 (22)申请日 2022.04.19 (71)申请人 浙江大学 地址 310027 浙江省杭州市西湖区浙大路 38号 (72)发明人 陈惠芳　杨金寰　谢磊　 (74)专利代理 机构 杭州君度专利代理事务所 (特殊普通 合伙) 33240 专利代理师 陈炜 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) G06F 16/13(2019.01) G06F 16/14(2019.01) (54)发明名称 抵抗内部关键字猜测攻击的并行可搜索加 密方法 (57)摘要 本发明公开了抵抗内部关键字猜测攻击的 并行可搜索加密方法。 当前并行搜索方法仅仅支 持单关键字搜索。 本发明方法是数据发送方将关 键字和文件加密， 加密关键字时添加自己的私 钥， 建立倒排索引表， 并将关键字映射到向量中， 一起上传到云服务器； 云服务器对关键字密文进 行预处理保留预处理后的关键字密文； 数据接收 方将一组查询关键字加密生 成陷门， 将关键字映 射到向量中， 设置匹配模式， 一起上传到云服务 器； 云服务器进行向量内积运算， 将关键字密文 和陷门进行匹配， 寻找对应的关键字密文。 本发 明方法能抵抗内部关键字猜测攻击和选择明文 攻击语义安全， 并行搜索效率高， 减小密文存储 空间， 能实现多关键字搜索和模糊匹配搜索， 支 持匹配模式变换。 权利要求书3页 说明书7页 附图1页 CN 114780979 A 2022.07.22 CN 114780979 A 1.抵抗内部关键 字猜测攻击的并行 可搜索加密方法， 其特 征在于： 步骤(1)建立 三方参数， 包括公共参数和私有参数； 具体如下： 根据设定的安全参数k初始化公共参数 根据k选择两个乘法循环群G1 和G2， 素数u为两个乘法循环群的阶， g为G1的生成元； 表示椭圆曲线的一个双线性 映射函 数G1×G1→G2， H表示抗碰撞哈希函数vh×1→G1，→表示函数将自变量的定义域映射成值域， vh×1表示h维向量， h设为关键 字个数的3 ‑4倍； 随机选择 和 表示自然数区间[0,u ‑1]， s和r为从中随机选择的两个整 数，←表示随机 选择； 由此确定数据发送者的一对公私钥(PKs,SKs)＝(gs,s)和数据接收者的一对公私钥 (PKr,SKr)＝(gr,r)， gs、 gr表示幂运算， s即为数据发送者的私有参数， r即为 数据接收者的私 有参数； 步骤(2)由数据发送者生成关键字的索引向量， 对索引向量加密， 对数据明文加密； 将 数据密文、 关键 字密文与文件编号对应表， 以及关键 字向量发给云服 务器； 步骤(3)对关键 字的密文预处 理； 具体如下： 云服务器收到关键字密文与文件编号对应表和关键字向量 后， 首先对每个密文 进行预处理， 生成新的关键字密文 将关键字密文与文件编号对应表中原始的密文C用C ′取代， 新的关键字密文的集合表示为 步骤(4)生成查询陷门， 将该组查询向量 和匹配模式变量x， 以及该组陷门发给云服务 器； 步骤(5)云服务器对关键字向量 和查询向量 进行内积运算， 获得本次查询的关键字 匹配的数量 根据N和陷门TW的数量NT分别执行： ①如果N＝0， 则表明本次查询的关键字不会有对应的密文， 服务器直接告诉数据接收 者没有想要查询的文件； ②如果0＜N＜NT且x＝1， 则表明本次查询的一组关键字只能实现部分匹配， 而数据接收 者想要完全匹配， 服 务器直接告诉数据接收者没有想要查询的文件； ③对于其他情况， 执 行步骤(6)； 步骤(6)云服务器搜索匹配的关键字密文， 将文件编号集合对应的数据密文发给数据 接收者； 步骤(7)数据接收者如果收到云服务器发送的数据密文， 则对数据密文解密， 即可得到 数据明文。 2.如权利要求1所述的抵抗内部关键字猜测攻击的并行可搜索加密方法， 其特征在于： 步骤(2)具体如下： (2‑1)数据发送者为每个数据文件编号， 并从中提取关键字， 记录包含这个关键字的文 件编号ID， 将 每个关键字w通过哈希函数映射到二元语法向量中， 再将二元语法向量用局部 敏感哈希函数映射到布隆滤波器中， 生成用布隆滤波器表示的关键字索引向量I， 一个关键 字对应一个关键 字索引向量；权　利　要　求　书 1/3 页 2 CN 114780979 A 2(2‑2)数据发送者用数据接收者公钥PKr和自己的私钥SKs加密每个关键字的索引向量 I， 随机选择整数 生成每个关键字的密文 建立关键字密文与文 件编号对应表， 表中包含所有关键字密文， 以及每个关键字密文与形成该密文的关键字对 应的文件编号 ID； (2‑3)数据发送者完成对所有关键字的索引向量加密后， 初始化一个零向量p， 设置p的 长度为关键字个数的3 ‑4倍， 将每个关键字通过抗碰撞哈希函数映射到p中， 每个关键字对 应位置设为1， 得到关键 字向量 (2‑4)对数据明文 进行加密； (2‑5)数据发送者将数据密文、 关键字密文与文件编号对应表， 以及关键字向量 发给 云服务器。 3.如权利要求2所述的抵抗内部关键字猜测攻击的并行可搜索加密方法， 其特征在于： 步骤(4)具体如下： (4‑1)数据接收者将待搜索的一组关键字W0中的每一个关键字映射到二元语法向量中， 再映射到布隆滤波器中， 生 成用布隆滤波器表示的待查询关键字向量T， 用数据接收者自己 的私钥SKr和数据发送者的公钥PKs作为输入对每一个T进行加密， 生成陷门 该组每个关键字生成的陷门集 合表示为 (4‑2)数据接收者初始化另一个零向量q， 设置q的长度等于p的长度， 将W0中的每一个关 键字通过抗碰撞哈希函数映射到q中， 每 个关键字对应位置设为1， 得到查询向量 (4‑3)设置匹配模式变量x∈{0,1}， x＝0表示希望 部分匹配， x＝1表示希望 完全匹配； (4‑4)将该组查询向量 和匹配模式变量x， 以及该组陷门发给云服 务器。 4.如权利要求3所述的抵抗内部关键字猜测攻击的并行可搜索加密方法， 其特征在于： (4‑3)中所述的完全匹配是指存在某个文件包含这组查询关键字中的所有关键字， 部分匹 配是指不存在某个文件包含这组查询关键字中的所有关键字， 只包含了其中一部分关键 字。 5.如权利要求3所述的抵抗内部关键字猜测攻击的并行可搜索加密方法， 其特征在于： 步骤(6)具体如下： (6‑1)依次将 中的每个陷门， 依次与 中的每个新的关键字 密文进行匹配搜索： 设定n条并行搜索线， n≤N， 若计算资源足够， 设定n＝N， 若计算资源受 限， 设定n＜N； 对于任意 一条搜索线i， 其中i ＝1,2,…,n， 设置增量j初始值 为0； (6‑2)设置m＝ i+n·j； (6‑3)如果m≤NT， 依次与 中的每个新 的关键字密文进行匹配搜索， 若新 的关键字密文等于 则将该新的关键字密文对应的文件编号的集合添加到结果R中， 设 置j＝j+1， 返回执行(6 ‑2)； 如果m＞NT， 则该条搜索线停止搜索， 所有搜索线停止搜索后执 行(6‑4)； (6‑4)若匹配模式变量x＝0， 则将结果R中的所有集合取并集， 作为最终的文件编号集 合； 若匹配模式变量x＝1， 则将结果 R中的所有集合取交集， 作为最 终的文件编号集合； 最后权　利　要　求　书 2/3 页 3 CN 114780979 A 3