張嘉懿

（同濟(jì)大學(xué)電子與信息工程學(xué)院，上海 201804）

無線體域網(wǎng)中公鑰可搜索加密方案

張嘉懿

（同濟(jì)大學(xué)電子與信息工程學(xué)院，上海 201804）

無線體域網(wǎng)和云平臺的結(jié)合使得數(shù)字化醫(yī)療和遠(yuǎn)程醫(yī)療成為可能，其隱私保護(hù)是十分重要的研究內(nèi)容。針對無線體域網(wǎng)中加密數(shù)據(jù)的檢索問題，提出使用可多關(guān)鍵詞搜索的公鑰加密算法，并通過讓云服務(wù)商參與部分解密減輕移動設(shè)備的計(jì)算壓力。用戶可以在不泄露隱私的情況下對云端存儲的加密數(shù)據(jù)進(jìn)行搜索，且該方案適用于體域網(wǎng)設(shè)備運(yùn)算能力不足的場景。從正確性、安全性和計(jì)算效率對方案進(jìn)行分析。

無線體域網(wǎng)；公鑰可搜索加密；隱私保護(hù)；云計(jì)算

0 引言

隨著電子醫(yī)療技術(shù)和互聯(lián)網(wǎng)的發(fā)展，云計(jì)算[1]在無線體域網(wǎng)領(lǐng)域獲得越來越多的使用。其相比傳統(tǒng)的自建服務(wù)器，擁有低成本、維護(hù)簡單、按需付費(fèi)等優(yōu)勢，另外，云計(jì)算高可用、高性能、易擴(kuò)展的特點(diǎn)也解決了當(dāng)前移動設(shè)備數(shù)據(jù)共享困難、計(jì)算能力不足等問題。因此，吸引了眾多企業(yè)和個(gè)人將大量數(shù)據(jù)放到第三方云存儲中心存放，其中就包括了無線體域網(wǎng)設(shè)備。然而，便捷的服務(wù)同時(shí)也帶來了相應(yīng)的安全問題。由于用戶存放的數(shù)據(jù)中包含大量隱私，一旦服務(wù)商遭到攻擊或數(shù)據(jù)被服務(wù)商非法讀取，就會造成用戶隱私被泄漏。如何保護(hù)用戶數(shù)據(jù)隱私一直是無線體域網(wǎng)的重要研究課題之一。

為了更好地保護(hù)敏感信息，當(dāng)前最有效的方案是在本地對用戶信息進(jìn)行加密，然后上傳到第三方云服務(wù)器。這樣雖然有效地保證了數(shù)據(jù)的機(jī)密性和安全性，但是也給用戶檢索數(shù)據(jù)以及數(shù)據(jù)的共享帶來了困難。由于加密后的數(shù)據(jù)無異于亂碼，因此云服務(wù)提供商無法對存儲的數(shù)據(jù)進(jìn)行關(guān)鍵詞搜索。而為了保證用戶的隱私，在普通加密策略下，用戶只能將自己所有的數(shù)據(jù)都下載到本地，全部解密出明文，然后才能夠?qū)γ魑倪M(jìn)行搜索。這一方案對無線體域網(wǎng)環(huán)境中移動設(shè)備有限的網(wǎng)絡(luò)帶寬、計(jì)算資源和存儲資源是完全無法接受的。然而，目前對于無線體域網(wǎng)中數(shù)據(jù)加密的研究主要集中于對加密數(shù)據(jù)的訪問控制上，在電子醫(yī)療系統(tǒng)迅速發(fā)展的當(dāng)前，研究適合在無線體域網(wǎng)環(huán)境中應(yīng)用的可搜索加密機(jī)制是十分迫切的。

密文檢索的主要實(shí)體包含數(shù)據(jù)擁有者、數(shù)據(jù)使用者和存儲服務(wù)提供商。密文檢索策略主要分為全文匹配檢索和建立索引檢索。對于全文匹配檢索，數(shù)據(jù)擁有者直接對數(shù)據(jù)明文進(jìn)行加密，然后將密文上傳到云服務(wù)中心。對于密文索引策略，數(shù)據(jù)擁有者先建立關(guān)鍵詞索引，然后根據(jù)特定的關(guān)鍵詞索引加密策略對數(shù)據(jù)明文和索引分別進(jìn)行加密，然后把加密后的密文和索引一起上傳到云服務(wù)中心。在搜索過程中，數(shù)據(jù)使用者將加密后的搜索關(guān)鍵詞上傳到云存儲中心，云服務(wù)中心根據(jù)不同的加密機(jī)制對密文或索引進(jìn)行搜索，返回匹配成功的密文數(shù)據(jù)。密文搜索的實(shí)體間交互流程如圖1所示。由于直接對密文進(jìn)行全文匹配搜索不但效率低下，還會暴露關(guān)鍵詞所處文章位置等重要信息[2]。針對這種情形，文獻(xiàn)[3]提出了一種基于關(guān)鍵詞索引的對稱密鑰可搜索加密機(jī)制，但其存在抗統(tǒng)計(jì)分析攻擊能力低的缺點(diǎn)，且對稱加密密鑰管理難度大、僅支持用戶搜索訪問自己上傳到第三方云平臺的數(shù)據(jù)的場景。因此，Boneh等人[4]提出了一種基于公鑰的可搜索加密算法，解決了第三方數(shù)據(jù)擁有者將數(shù)據(jù)上傳到云服務(wù)器上供數(shù)據(jù)使用者訪問的情況，并通過改進(jìn)基于身份的加密機(jī)制構(gòu)造了一種關(guān)鍵詞搜索的公鑰加密算法。在實(shí)際搜索時(shí)，單個(gè)關(guān)鍵詞的查詢往往不能滿足用戶實(shí)際需求，Dong等人[5]基于文獻(xiàn)[6]的模型，使用雙線性映射設(shè)計(jì)了一個(gè)支持多關(guān)鍵詞搜索的公鑰加密算法。然而，基于公鑰加密算法存在加密效率低的情況，考慮到移動設(shè)備上計(jì)算能力和網(wǎng)絡(luò)帶寬有限的問題，文獻(xiàn)[7]借鑒了部分解密的思路，通過讓云服務(wù)商執(zhí)行部分解密，在不損失安全性的情況下降低了客戶端的計(jì)算負(fù)載，適用于無線體域網(wǎng)環(huán)境。

圖1 密文搜索實(shí)體交互流程

本文將主要探討無線體域網(wǎng)環(huán)境中對密文隱私數(shù)據(jù)的安全檢索，將可搜索加密技術(shù)應(yīng)用到無線體域網(wǎng)環(huán)境中，并對方案的安全性和可行性進(jìn)行分析。

1 背景知識

1.1 雙線性映射

假設(shè)G1和G2是階數(shù)為素?cái)?shù)p的兩個(gè)循環(huán)群，g為G1的生成元，G1為p階加法循環(huán)群，G2為p階乘法循環(huán)群。假如映射e滿足下列性質(zhì)，則稱映射e:G1×G1→G2為雙線性映射[5]。

（1）雙線性

如果坌u，v∈G1，且坌x，y∈Zp*，都有e（ux，vy）=e（u，v）xy，那么我們就稱映射e:G1×G1→G2是雙線性的。

（2）非退化性

如果g為G1的一個(gè)生成元，那么e（g，g）為G2的一個(gè)生成元。

（3）可計(jì)算性

對于坌u，v∈G1，存在算法可以在多項(xiàng)式時(shí)間內(nèi)是計(jì)算出e（u，v）。

1.2 判定雙線性Diffie-Hellman假設(shè)（DBDH Assumption）

定義1（判定雙線性Diffie-Hellman問題[5]）：假設(shè)G1是一個(gè)素?cái)?shù)p階的循環(huán)群，g為循環(huán)群G1的一個(gè)生成元。給定元組（g，gα，gβ，gγ）∈G1，判定e（g，g）αβγ=R是否成立。其中α，β，γ∈Zp*，R∈G2*，且α，β，γ，R都為隨機(jī)選取。假設(shè)有一個(gè)算法A在e（g，g）αβγ=R時(shí)輸出1，否則輸出0。那么假如公式|Pr[A（g，gα，gβ，gγ，e（g，g）αβγ）=1]-Pr[A（g，gα，gβ，gγ，R）=1]|≥ε成立，我們說算法A在解決循環(huán)群G1內(nèi)的DBDH問題具有優(yōu)勢ε。

定義2（判定雙線性Diffie-Hellman假設(shè)）：如果任意時(shí)間t內(nèi)算法A在群（G1，G2）上的DBDH問題時(shí)具有的優(yōu)勢均小于ε，則稱群（G1，G2）上的（t，ε）-DBDH假設(shè)成立。

2 方案設(shè)計(jì)

適用于無線體域網(wǎng)環(huán)境的可搜索加密算法應(yīng)該具備安全性高，能夠保證用戶隱私不被泄漏；計(jì)算的時(shí)間和空間效率高，能夠在無線體域網(wǎng)的可穿戴設(shè)備上進(jìn)行加解密操作；可支持多關(guān)鍵詞檢索，且搜索過程中不會暴露用戶隱私信息三個(gè)特點(diǎn)。公鑰可搜索加密機(jī)制雖然便于解決密文數(shù)據(jù)共享的問題，但是其也存在加解密計(jì)算復(fù)雜度的缺點(diǎn)。本文借鑒了文獻(xiàn)7通過讓云服務(wù)提供商參與部分解密來降低移動設(shè)備運(yùn)算成本，并基于雙線性映射構(gòu)建一個(gè)多關(guān)鍵詞公鑰可搜索加密方案的思路。方案主要由以下六個(gè)算法構(gòu)成。

（1）密鑰生成

先以一個(gè)足夠大的正整數(shù)K作為輸入，得到素?cái)?shù)p，進(jìn)而計(jì)算兩個(gè)p階循環(huán)群G1和G2和一個(gè)雙線性對e:G1×G1→G2。然后隨機(jī)選擇函數(shù)F1，F(xiàn)2作為{0，1}*到G1*的映射，函數(shù)F3作為G2到{0，1}logp的映射，函數(shù)F4作為G2到{0，1}n的映射，其中n為明文二進(jìn)制形式長度。最后隨機(jī)選擇兩個(gè)整數(shù)x，y∈Zp*。假設(shè)g是循環(huán)群G1點(diǎn)一個(gè)生成元，得到用戶的公私鑰對即（gx，x），服務(wù)提供商的公私鑰對為（gy，y）。

（2）可搜索加密

隨機(jī)選擇r∈Zp*和t∈{0，1}n，使用用戶的公鑰gx和服務(wù)商的公鑰gy，對數(shù)據(jù)m進(jìn)行加密，得到密文Cm為（gr，F(xiàn)4（e（gx，gy）r）⊕t，F(xiàn)4（e（F2（t），gx）r）⊕m）。假設(shè)數(shù)據(jù)擁有者為文本設(shè)置了k個(gè)關(guān)鍵詞Wi，…，Wk。使用數(shù)據(jù)用戶的公鑰gx逐個(gè)對關(guān)鍵詞Wi進(jìn)行加密，加密后的每個(gè)關(guān)鍵詞索引CWi為F3（e（gx，F(xiàn)1（Wi））r）。最后將密文和加密后的索引一起上傳到第三方存儲中心。

（3）陷門生成

數(shù)據(jù)用戶輸入查詢關(guān)鍵詞W'，算法使用數(shù)據(jù)用戶的私鑰x生成陷門TW'為F1（W'）x。

（4）關(guān)鍵詞匹配

根據(jù)用戶上傳的陷門TW'，計(jì)算F3（e（gr，TW'））并與CWi逐一匹配，如果匹配成功返回true，否則返回false。

（5）服務(wù)器部分解密

云服務(wù)器使用私鑰y和數(shù)據(jù)用戶者的公鑰gx計(jì)算Ct為e（F2（t），gr），并將Ct與Cm一起返回給查詢者。

（6）用戶解密

數(shù)據(jù)查詢者使用私鑰x，計(jì)算Cm3⊕F4（Ctx）得到明文m。

3 方案分析

3.1 正確性

（1）關(guān)鍵詞匹配階段

這里使用反證法對關(guān)鍵詞匹配的正確性進(jìn)行證明。在關(guān)鍵詞匹配算法中，假設(shè)F3（e（gr，TW'））=CWi時(shí)，W≠W'。則根據(jù)1.1節(jié)中雙線性映射的定義，可以得到F3（e（gr，TW'））=F3（e（gr，F(xiàn)1（W'）x））=F3（e（g，F(xiàn)1（W'））rx）=F3（e（gx，F(xiàn)1（W'）r））≠F3（e（gx，F(xiàn)1（Wi））r）。這與F3（e（gr，TW'））=CWi矛盾，因此，得證關(guān)鍵詞匹配算法是正確的。

（2）解密階段

本節(jié)逐步對解密過程的正確性進(jìn)行推導(dǎo)。首先，在服務(wù)器端的部分解密過程中的隨機(jī)數(shù)t可以通過使用數(shù)據(jù)用戶公鑰、服務(wù)器私鑰和密文計(jì)算得到。根據(jù)1.1節(jié)中雙線性映射的定義可得，隨機(jī)數(shù)t=t⊕F4（e（gx，gy）r）⊕F4（e（gx，gy）r）=t⊕F4（e（gx，gy）r）⊕F4（e（g，g）xyr）=t⊕F4（e（gx，gy）r）⊕F4（e（gx，gy）y）=Cm2⊕F4（e（gx，Cm1）y）。服務(wù)器在計(jì)算得到t后，就能對密文進(jìn)行部分解密操作。在客戶端解密操作中，客戶端使用用戶私鑰x對部分解密結(jié)果進(jìn)行運(yùn)算，計(jì)算Cm3⊕F4（Ctx）=F4（e（F2（t），gx）r）⊕m⊕F4（Ctx）=F4（e（F2（t），gx）r）⊕F4（e（F2（t），gr）x）⊕m= F4（e（F2（t），gx）r）⊕F4（e（F2（t），gx）r）⊕m=m。因此，最后通過抑或運(yùn)算可以得到最終的明文m，解密階段的算法是正確的。

不難看出，最后用戶在本地解密數(shù)據(jù)的時(shí)候?qū)嶋H用到的Cm只有后面的Cm3部分，因此，為了節(jié)省移動設(shè)備有限的網(wǎng)絡(luò)帶寬和存儲資源可以僅回傳Cm3和Ct。

3.2 安全性

服務(wù)器端得知g，gx，gy，gr，根據(jù)1.2節(jié)中DBDH假設(shè)的定義，可知服務(wù)器端無法區(qū)分出e（g，g）αβγ和隨機(jī)選取的隨機(jī)數(shù)R，計(jì)算出e（g，g）xyr是困難問題。因此，攻擊方在選擇明文攻擊中企圖計(jì)算e（g，g）xyr時(shí)是困難的，該加密方案在關(guān)鍵詞搜索和部分解密操作中都是安全的，由于操作中的四個(gè)映射函數(shù)都是基于隨機(jī)預(yù)言模型的，本方案在隨機(jī)預(yù)言模型下是選擇明文攻擊安全。

3.3 計(jì)算效率

運(yùn)行效率方面，這里只考慮在客戶端體域網(wǎng)設(shè)備上執(zhí)行的加解密操作。假設(shè)雙線性映射運(yùn)算的時(shí)間為tp，指數(shù)運(yùn)算的時(shí)間為te，一般雙線性映射的運(yùn)算時(shí)間為指數(shù)運(yùn)算的數(shù)倍。因此，在加密階段客戶端所需要的運(yùn)算時(shí)間為3tp+8te，運(yùn)算時(shí)間隨關(guān)鍵詞索引數(shù)量增加。而解密階段客戶端所需要的運(yùn)算時(shí)間僅為te?？梢姡ㄟ^讓云服務(wù)提供商參與部分解密，大大降低了客戶端在解密階段的運(yùn)算量。但是，在加密過程中，客戶端仍然需要執(zhí)行許多計(jì)算，考慮到無線體域網(wǎng)中數(shù)據(jù)一次加密多次查詢的場景，加密的時(shí)間消耗可以被均攤。因此，本算法的計(jì)算效率是可行的，后續(xù)可以在加密效率上對算法做進(jìn)一步的優(yōu)化。

4 結(jié)語

隨著無線體域網(wǎng)和云計(jì)算的發(fā)展，將移動設(shè)備采集到的數(shù)據(jù)上傳到云端進(jìn)行分析成為主流。由于這些數(shù)據(jù)包含了大量的用戶敏感信息，在上傳到第三方云存儲中心后，如何在保證用戶數(shù)據(jù)隱私的前提下對數(shù)據(jù)進(jìn)行方便快速地進(jìn)行檢索，同時(shí)還要兼容移動設(shè)備計(jì)算和存儲能力相對較弱的運(yùn)行環(huán)境就成為了一個(gè)重要課題。

本文將可搜索加密技術(shù)運(yùn)用到無線體域網(wǎng)環(huán)境中，討論了其安全性和適用性。在保證安全性的同時(shí)，提供了對密文的多關(guān)鍵詞搜索功能，并且通過讓云服務(wù)提供商參與部分解密，降低了可穿戴設(shè)備的計(jì)算壓力。該算法的安全性建立在隨機(jī)預(yù)言模型下，且由于體域網(wǎng)的搜索場景中還存在大量對數(shù)據(jù)進(jìn)行范圍搜索的情況，后續(xù)的研究工作將致力于改進(jìn)算法能夠在標(biāo)準(zhǔn)模型中結(jié)合對密文的范圍搜索功能。

[1]Armbrust M,Fox A,Griffith R.Above the Clouds:a Berkeley View of Cloud Computing[EB/OL].http://www.eecs.berkeley.edu/Pubs/ TechRpts/2009/EECS-2009-28.html,2009.

[2]項(xiàng)菲,劉川意,方濱興,等.云計(jì)算環(huán)境下密文搜索算法的研究[J].通信學(xué)報(bào),2013,34（7）:143-153.

[3]Song D X,Wagner D,Perrig A.Practical Techniques for Searches on Encrypted data[C]//Security and Privacy,2000.S&P 2000.Proceedings.2000 IEEE Symposium on.IEEE,2000:44-55.

[4]Boneh D,Di Crescenzo G,Ostrovsky R,et al.Public Key Encryption with Keyword Search[C].International Conference on the Theory and Applications of Cryptographic Techniques.Springer Berlin Heidelberg,2004:506-522.

[5]Park D J,Kim K,Lee P J.Public Key Encryption with Conjunctive Field Keyword Search[C].International Workshop on Information Security Applications.Springer Berlin Heidelberg,2004:73-86.

[6]Golle P,Staddon J,Waters B.Secure Conjunctive Keyword Search Over Encrypted Data[C].International Conference on Applied Cryptography and Network Security.Springer Berlin Heidelberg,2004:31-45.

[7]Liu Q,Wang G,Wu J.An Efficient Privacy Preserving Keyword Search Scheme in Cloud Computing[C].Computational Science and Engineering,2009.CSE'09.International Conference on.IEEE,2009,2:715-720.

Public Key Encryption with Keyword Search in Wireless Body Area Network

ZHANG Jia-yi
（College of Electronics and Information Engineering，Tongji University，Shanghai 201804）

The combination of wireless body area network(WBAN)and cloud computing makes digital health and remote treatment possible.Privacy protection is a major concern.Proposes to use a public key encryption with conjunctive keyword search scheme,which reduces the computational overhead of WBAN devices by enabling service provider to participate in partial decipherment.This scheme protects user data privacy during the search process,and it is suitable for the WBAN device.Analyzes the scheme in correctness,security and efficiency.

WBAN;PEKS;Privacy Protection;Cloud Computing

1007-1423（2017）05-0014-04

10.3969/j.issn.1007-1423.2017.05.004

張嘉懿（1991-），男，上海人，在讀碩士研究生，研究方向云計(jì)算與可搜索加密

2016-12-06

2017-02-07