彭紅艷，李 杰，石貞奎，李先賢

（1.廣西師范大學(xué) 計(jì)算機(jī)科學(xué)與信息工程學(xué)院，廣西 桂林 541004；2.廣西多源信息挖掘與安全重點(diǎn)實(shí)驗(yàn)室，廣西 桂林 541004）

0 概述

近年來(lái)，云服務(wù)中心遭受外部攻擊而丟失用戶(hù)數(shù)據(jù)的事故接連發(fā)生，為了確保圖像安全，用戶(hù)在將圖像外包到云服務(wù)器［1］之前會(huì)對(duì)數(shù)據(jù)進(jìn)行加密以防止隱私泄露，然而加密后的圖像數(shù)據(jù)失去了明文特征，使用戶(hù)無(wú)法高效地進(jìn)行圖像檢索，并且影響對(duì)圖像數(shù)據(jù)的管理。

在基于可搜索加密技術(shù)的圖像安全檢索方案中［2-3］，用戶(hù)事先構(gòu)造安全索引并將其與加密圖像一起存儲(chǔ)到云服務(wù)器中，通過(guò)安全索引實(shí)現(xiàn)了在不泄露用戶(hù)數(shù)據(jù)隱私的條件下完成對(duì)加密數(shù)據(jù)的搜索，從而保證圖像數(shù)據(jù)的安全性和可用性。但是目前多數(shù)加密圖像檢索方案［2-5］沒(méi)有足夠重視惡意云服務(wù)器問(wèn)題，可能返回給用戶(hù)錯(cuò)誤或不完整的檢索結(jié)果。

由于很難構(gòu)造通用的認(rèn)證結(jié)構(gòu)對(duì)圖像類(lèi)型數(shù)據(jù)的相似度計(jì)算過(guò)程進(jìn)行驗(yàn)證，因此加密圖像檢索結(jié)果驗(yàn)證面臨很大的挑戰(zhàn)。為準(zhǔn)確捕捉用戶(hù)真正的目標(biāo)與興趣點(diǎn)，本文通過(guò)使用區(qū)塊鏈技術(shù)［6］，提出一種基于區(qū)塊鏈可驗(yàn)證的加密圖像檢索（Blockchain-based Verifiable Encrypted Image Retrieval，BVEIR）方案。在智能合約上執(zhí)行圖像檢索任務(wù)時(shí)，借助區(qū)塊鏈的共識(shí)機(jī)制使每次搜索操作正確執(zhí)行，確保搜索結(jié)果的完整性和正確性。同時(shí)，為縮小圖像語(yǔ)義與其特征描述符之間的差距，設(shè)計(jì)一種利用視覺(jué)詞袋模型和simhash 的雙層索引結(jié)構(gòu)，實(shí)現(xiàn)精細(xì)化圖像分類(lèi)。該索引結(jié)構(gòu)的第1 層基于視覺(jué)詞袋模型，初步確定圖像的分類(lèi)以減少simhash 計(jì)算量，第2 層則利用simhash 進(jìn)行相似圖像檢索，以漢明距離作為判斷圖像之間相似性的指標(biāo)，通過(guò)相似性比較提高搜索效率和精度。

1 相關(guān)工作

1.1 加密圖像檢索

文獻(xiàn)［7］提出一種保護(hù)隱私的圖像檢索方案，通過(guò)提取特征向量來(lái)表示對(duì)應(yīng)的圖像，并利用LSH 算法和K 最近鄰算法提高搜索效率，確保圖像數(shù)據(jù)安全。文獻(xiàn)［8］提出一種基于內(nèi)容的加密圖像檢索方案，通過(guò)引入基于離散對(duì)數(shù)問(wèn)題的盲技術(shù)來(lái)保持特征向量的私密性，同時(shí)該方案支持模糊搜索。文獻(xiàn)［9］提出一種混沌加密方法用于保護(hù)圖像隱私，利用加速魯棒特征算法和詞袋模型來(lái)生成每個(gè)圖像的特征向量，并應(yīng)用局部敏感哈希算法構(gòu)造特征向量的可搜索索引。文獻(xiàn)［10］開(kāi)發(fā)一種基于加密指紋的生物特征識(shí)別系統(tǒng)，但該系統(tǒng)的搜索復(fù)雜度和數(shù)據(jù)庫(kù)大小呈線性關(guān)系。文獻(xiàn)［11］提出一種具有訪問(wèn)控制功能的加密域圖像檢索算法，該算法可以管理用戶(hù)對(duì)圖像的訪問(wèn)權(quán)限，實(shí)現(xiàn)不同用戶(hù)角色對(duì)圖像的訪問(wèn)。文獻(xiàn)［12］提出一種基于內(nèi)容的加密圖像檢索方案，通過(guò)加密圖像紋理和顏色信息來(lái)解決大規(guī)模圖像數(shù)據(jù)的隱私保護(hù)問(wèn)題，但該方案仍存在被惡意云服務(wù)器威脅的風(fēng)險(xiǎn)。

1.2 可搜索加密和區(qū)塊鏈

密碼學(xué)家提出對(duì)稱(chēng)可搜索加密（Searchable Symmetric Encryption，SSE）技術(shù)［13］，以實(shí)現(xiàn)對(duì)加密數(shù)據(jù)的亞線性搜索。SSE 不僅可以用于精確搜索文本類(lèi)型數(shù)據(jù)，同樣還能對(duì)圖像類(lèi)型數(shù)據(jù)進(jìn)行相似性檢索［2］。文獻(xiàn)［14］設(shè)計(jì)了基于局部敏感哈希的SSE方案，其不依賴(lài)同態(tài)加密，但是復(fù)雜的構(gòu)建搜索憑證過(guò)程導(dǎo)致整體效率較低。文獻(xiàn)［2，14］都是在云服務(wù)器環(huán)境下設(shè)計(jì)加密圖像檢索方案，將加密圖像和加密索引存儲(chǔ)在云服務(wù)器中。文獻(xiàn)［15］提出動(dòng)態(tài)身份驗(yàn)證器用于檢查結(jié)果的完整性，但不能阻止惡意服務(wù)器的重放攻擊。文獻(xiàn)［16］提出的方法可以提供前向或者后向的安全性，但是當(dāng)云服務(wù)器為惡意時(shí)，用戶(hù)仍無(wú)法簡(jiǎn)單有效地驗(yàn)證搜索結(jié)果。文獻(xiàn)［17-19］提出將區(qū)塊鏈技術(shù)融入到可搜索加密中實(shí)現(xiàn)去中心化、可靠、可驗(yàn)證的檢索方案：文獻(xiàn)［17-18］采用智能合約存儲(chǔ)加密索引并執(zhí)行搜索操作，解決了云服務(wù)器返回不正確結(jié)果的情況，但是方案不支持相似性檢索；文獻(xiàn)［19］將密文數(shù)據(jù)庫(kù)和加密索引均存儲(chǔ)于智能合約中，但導(dǎo)致了巨大的存儲(chǔ)成本，造成不必要的浪費(fèi)。

2 BVEIR 系統(tǒng)模型

2.1 系統(tǒng)結(jié)構(gòu)

本文提出的BVEIR 方案中包含以下實(shí)體：圖像擁有者（Image Owner，IO），服務(wù)提供 者（Service Provider，SP），圖像使用者（Image User，IU），智能合約，云服務(wù)器即云平臺(tái)（Cloud Platform，CP），系統(tǒng)模型如圖1 所示。

圖1 BVEIR 系統(tǒng)模型Fig.1 BVEIR system model

1）IO 即擁有圖像數(shù)據(jù)的人，為了得到圖像SP 的服務(wù)，其自愿將圖像數(shù)據(jù)上傳給SP，但不愿將這種信任延伸到外包的CP 上。

2）SP 從圖像數(shù)據(jù)集中通過(guò)SIFT 提取特征，最終生成加密的圖像索引存儲(chǔ)到區(qū)塊鏈上。SP 還使用對(duì)稱(chēng)加密算法對(duì)圖像進(jìn)行加密，然后將加密圖像外包給CP。此外，SP 還會(huì)將解密密鑰指定樹(shù)形訪問(wèn)結(jié)構(gòu)，從而實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制。SP 部署用于搜索與更新的智能合約，當(dāng)IU 發(fā)出搜索請(qǐng)求后，SP 認(rèn)證用戶(hù)的身份并為用戶(hù)相應(yīng)屬性集合attr_list 生成屬性私鑰，通過(guò)安全信道將屬性私鑰和搜索密鑰頒發(fā)給IU。

3）在搜索請(qǐng)求之前，IU 必須在智能合約中存入足夠的搜索費(fèi)（包括消息費(fèi)和服務(wù)費(fèi)）。如果IU 存入了足夠的搜索費(fèi)并且被SP 驗(yàn)證為授權(quán)用戶(hù)，那么IU 可以將生成的搜索令牌以交易的方式發(fā)送到搜索智能合約進(jìn)行搜索。IU 從搜索智能合約接收到結(jié)果后，到CP 上下載相應(yīng)的加密圖像數(shù)據(jù)進(jìn)行解密。

4）區(qū)塊鏈記錄從SP 得到的加密圖像索引，通過(guò)智能合約對(duì)IU 提供搜索服務(wù)以保證搜索結(jié)果的正確性和完整性。本文部署2 個(gè)智能合約（分別為搜索智能合約與更新智能合約）以支持整個(gè)系統(tǒng)的工作流程。

5）為避免CP 返回錯(cuò)誤或者不完整結(jié)果對(duì)用戶(hù)搜索造成威脅，本文僅將加密后的圖像數(shù)據(jù)外包到云服務(wù)器中，搜索過(guò)程需要在區(qū)塊鏈上完成，甚至還可將云服務(wù)器進(jìn)一步替換為分布式存儲(chǔ)服務(wù)器，例如IPFS［20］。

2.2 系統(tǒng)工作流程

系統(tǒng)工作流程包括以下步驟：

1）IO 將圖像數(shù)據(jù)上傳給SP。

2）SP 生成系統(tǒng)參數(shù)k和密鑰。SP通過(guò)SIFT 從圖像數(shù)據(jù)集中提取圖像特征，然后對(duì)提取的整個(gè)SIFT 局部特征描述因子進(jìn)行K-Means 聚類(lèi)，得到k個(gè)聚類(lèi)中心作為視覺(jué)單詞表（或者說(shuō)是詞典），這樣每一幅圖像就變成了一個(gè)與視覺(jué)詞關(guān)聯(lián)或者說(shuō)圖像包含在一個(gè)聚類(lèi)中心中，最后根據(jù)每一幅圖像所提取到的特征構(gòu)建其單獨(dú)的simhash 指紋，形成最終的索引結(jié)構(gòu)，同時(shí)SP 將加密索引以及智能合約部署到區(qū)塊鏈上。索引結(jié)構(gòu)如表1 所示，為了方便展示，表中并沒(méi)有體現(xiàn)加密情況。

表1 索引示例Table 1 Example of index

3）SP 同樣利用對(duì)稱(chēng)加密算法對(duì)圖像數(shù)據(jù)進(jìn)行加密并且外包到CP 中。

IO 要查詢(xún)圖像數(shù)據(jù)，執(zhí)行以下流程：

4）IO 要進(jìn)行查詢(xún)并將查詢(xún)請(qǐng)求提交到SP。

5）SP 根據(jù)IO 查詢(xún)圖像生成search token，然后發(fā)送到搜索智能合約。

6）搜索智能合約收到search token 后進(jìn)行相應(yīng)的搜索，并把結(jié)果在區(qū)塊鏈中進(jìn)行廣播，這樣SP 將會(huì)得到結(jié)果。

7）SP 從區(qū)塊鏈上查詢(xún)到圖像ID 信息，在CP 中下載與之對(duì)應(yīng)的加密圖像并解密。

8）SP 返回給IO 最初查詢(xún)的圖像結(jié)果。

IO 查詢(xún)圖像數(shù)據(jù)，執(zhí)行以下流程：

9）IU 將自己相應(yīng)的屬性集合attr_list 發(fā)送到SP請(qǐng)求搜索授權(quán)。

10）SP 認(rèn)證IU 的身份，并為IU 所具有的屬性生成屬性私鑰，根據(jù)查詢(xún)圖像的請(qǐng)求頒發(fā)搜索密鑰。

11）IU 利用步驟10 中得到的搜索密鑰將查詢(xún)圖像生成的search token 發(fā)送到搜索智能合約中。

12）搜索智能合約收到search token 后進(jìn)行相應(yīng)的搜索并把結(jié)果在區(qū)塊鏈中進(jìn)行廣播，這樣IU 將會(huì)得到結(jié)果。

13）IU 從區(qū)塊鏈上查詢(xún)到圖像ID 信息，在CP 中下載與之對(duì)應(yīng)的加密圖像并解密。

3 BVEIR 方案設(shè)計(jì)

3.1 算法形式定義

本文提出的BEVIR 方案包括以下算法（符號(hào)說(shuō)明見(jiàn)表2）：

表2 符號(hào)說(shuō)明Table 2 Symbol description

1）Setup（1λ）→（kabe，ks，kd）。給定一個(gè)安全參數(shù)λ，SP 隨機(jī)生成以下3 個(gè)密鑰：kabe=（pk，msk）用來(lái)進(jìn)行CP-ABE加密；ks用來(lái)進(jìn)行SSE方案；kd是對(duì)稱(chēng)加密密鑰，用于加密圖像。

2）KeyGen（pk，msk，attr_list）→sk。由SP執(zhí)行這個(gè)算法，輸入公共密鑰pk、主私鑰msk 以及用戶(hù)屬性集合attr_list，輸出屬性私鑰sk。SP 收到IU 的搜索請(qǐng)求后，返回給IU 相應(yīng)的密鑰ks和sk。

3）Enc（pk，G，W，S，policy_str，ks，kd）→（Ψ，C，Ckd）。SP 輸入公共密鑰pk、原始圖像數(shù)據(jù)集合G、視覺(jué)字典W、圖像的simhash 指紋集合S、訪問(wèn)策略policy_str、搜索密鑰ks、對(duì)稱(chēng)密鑰kd，輸出安全加密索引Ψ、加密圖像集合C、密鑰kd嵌入訪問(wèn)策略后的密文Ckd，SP將C 外包到CP，將加密索引Ψ 放入搜索智能合約中并將合約部署到區(qū)塊鏈上。

4）Trapdoor（pk，g，ks）→tokenq/tokenu。IU 向SP申請(qǐng)搜索/更新權(quán)限通過(guò)后，SP 通過(guò)安全信道將ks傳輸給IU，輸入公共密鑰pk、圖像g 和搜索密鑰ks，輸出搜索令牌tokenq，IU 將tokenq發(fā)送給搜索智能合約并在區(qū)塊鏈上完成搜索功能；或者輸出更新令牌tokenu，同樣IU 將tokenu發(fā)送給更新智能合約并在區(qū)塊鏈上完成動(dòng)態(tài)更新功能。

5）Search（Ψ，tokenq）→ID/⊥。搜索智能合約輸入安全加密索引Ψ、搜索令牌tokenq，輸出相似圖像的標(biāo)識(shí)符集合ID，之后IU 可以通過(guò)ID 到CP 中下載對(duì)應(yīng)的加密圖像。

6）Update（Ψ，tokenu）→Ψ’。更新智能合約輸入安全索引Ψ、更新令牌tokenu，輸出更新后的加密索引Ψ’。

7）Dec（sk，CID，Ckd）→DID/⊥。IU 輸入屬性私鑰sk、集合ID 對(duì)應(yīng)的相似加密圖像集合CID和對(duì)稱(chēng)密鑰kd嵌入訪問(wèn)策略后的密文Ckd，輸出解密后的相似圖像集合DID；否則，輸出⊥表示為空。

3.2 具體步驟

1）系統(tǒng)初始化階段Setup（1λ）→（kabe，ks，kd）。輸入安全參數(shù)λ，其中kabe=（pk，msk），SP 定義G0、G1是兩個(gè)階為素?cái)?shù)p的乘法循環(huán)群，階p是一個(gè)大的素?cái)?shù)，g是群G0的生成元，定義 雙線性映射e：G0×G0→G1，選取抗碰撞散列函數(shù)H1：｛0，1｝→G0，定義偽隨機(jī)函數(shù)H2：｛0，1｝k×｛0，1｝→｛0，1｝l，F(xiàn)：｛0，1｝k×｛0，1｝→｛0，1｝l，SP 隨機(jī)選α，β←?p，輸出公共參數(shù)pk=（G0，G1，p，g，h=gβ，e（g，g）α，F(xiàn)，H1，H2），主私鑰msk=（α，β）。其中，e（g，g）表示雙線性映射在群G1中的值。搜索密鑰ks=（k1，k2，k3），其中k1、k2、k3是偽隨機(jī)函數(shù)F、G、P 的參數(shù)，這些函數(shù)的參數(shù)設(shè)置細(xì)節(jié)內(nèi)容可參見(jiàn)文獻(xiàn)［13］。SP 隨機(jī)選取kd←｛0，1｝k作為原始圖像數(shù)據(jù)的對(duì)稱(chēng)加密密鑰。

2）用戶(hù) 屬性私 鑰生成階段KeyGen（pk，msk，attr_list）→sk，由SP 負(fù)責(zé)執(zhí)行。在一個(gè)用戶(hù)IU 發(fā)送搜索/更新權(quán)限申請(qǐng)后，SP 來(lái)認(rèn)證用戶(hù)的身份為用戶(hù)的相應(yīng)屬性集合attr_list 生成屬性私鑰，并通過(guò)安全通信信道將屬性私鑰以及在系統(tǒng)初始化階段生成的搜索密鑰ks返回給用戶(hù)IU。SP 隨機(jī)選擇r←?p，并且?j∈attr_list，SP 取rj←?p，計(jì) 算對(duì)于不同IU 而言，屬性私鑰是不同的。

3）加密階段Enc（pk，G，W，S，policy_str，ks，kd）→（Ψ，C，Ckd）。假設(shè)SP 有#G 個(gè)圖像數(shù)據(jù)集，即G=｛g1，g2，…，g#G｝，需要加密上傳到CP 中，同時(shí)加密索引Ψ和密鑰kd嵌入訪問(wèn)策略后的密文Ckd上傳部署到區(qū)塊鏈中。加密階段分為以下3 個(gè)步驟：

步驟1圖像加密，Enc（G，kd）→C。SP 使用kd加密圖像gi（i∈［1，#G］），得到ci=Enckd（gi）|i∈［1，#G］。最后SP 將加密圖像數(shù)據(jù)集C=｛c1，c2，…，c#G｝外包給CP。

步驟2對(duì)稱(chēng)密鑰加密，kenEnc（pk，kd，policy_str）→Ckd。對(duì)于對(duì)稱(chēng)密鑰kd，SP 定義加密策略policy_str并根據(jù)加密策略構(gòu)造訪問(wèn)樹(shù)T，首先從樹(shù)的根節(jié)點(diǎn)r 開(kāi)始為樹(shù)T 的每一個(gè)節(jié)點(diǎn)x分配一個(gè)階為dx的多項(xiàng)式qx（葉子節(jié)點(diǎn)的qx為常數(shù)），令kx表示節(jié)點(diǎn)的門(mén)限值，設(shè)置deg（qx）=dx=kx-1，從樹(shù)的根節(jié)點(diǎn)r 開(kāi)始，SP 隨機(jī)選擇s←?p，并設(shè)置qr（0）=s，接著從?p中選取deg（qr）個(gè)隨機(jī)系數(shù)來(lái)確定多項(xiàng)式qr；對(duì)于其他任意節(jié)點(diǎn)x，設(shè)置qx（0）=qparrent（x）（index（x）），并從?p中隨機(jī)選取deg（qx）系數(shù)來(lái)確定多項(xiàng)式qx。令Y表示樹(shù)T中所有葉子節(jié)點(diǎn)，?y∈Y，attr（y）表示葉子節(jié)點(diǎn)y對(duì)應(yīng)的屬性字符串，H（attr（y））將屬性字符串a(chǎn)ttr（y）散列成G0中的元素，SP 計(jì)算得到對(duì)稱(chēng)密鑰kd加密后密文：

步驟3建立加密索引，indexBuild（W，S，ks）→Ψ。SP 使用底層的SSE 方案，通過(guò)搜索密鑰ks=（k1，k2，k3）生成安全加密索引Ψ。本文系統(tǒng)的索引結(jié)構(gòu)采用了鏈表的形式，但可以很簡(jiǎn)單地看出也能用其他相似的數(shù)據(jù)結(jié)構(gòu)進(jìn)行動(dòng)態(tài)加密。例如，SP 首先從圖像集合G=｛g1，g2，…，g#G｝中提取gi（i∈［1，#G］）的SIFT 局部特征，然后對(duì)局部特征進(jìn)行k-Means 聚類(lèi)，得到用來(lái)表征圖像信息的視覺(jué)單詞wi（i∈［1，#W］），不同圖像的視覺(jué)單詞可能相同，同時(shí)還對(duì)提取到的SIFT 局部特征進(jìn)行哈希編碼生成相應(yīng)的simhash 指紋S=｛s1，s2，…，s#G｝，這樣就能獲得每幅圖像對(duì)應(yīng)的視覺(jué)單詞和simhash 指紋，整理成為如表1 所示的形式，并基于可搜索加密算法構(gòu)建加密索引。這樣構(gòu)建索引，能夠在查找圖像過(guò)程中先根據(jù)視覺(jué)單詞排除掉大部分不相關(guān)圖像，而只在同一個(gè)分類(lèi)下繼續(xù)根據(jù)simhash 進(jìn)行相似圖像的查詢(xún)，所對(duì)應(yīng)的現(xiàn)實(shí)世界中的場(chǎng)景就是胸外科醫(yī)生只能對(duì)關(guān)于胸部CT 的醫(yī)療圖像進(jìn)行搜索，而無(wú)權(quán)限搜索其他科室的圖像數(shù)據(jù)，這樣處理不僅實(shí)現(xiàn)了對(duì)圖像數(shù)據(jù)使用者細(xì)粒度的搜索權(quán)限管理，而且還進(jìn)一步縮小了搜索圖像的規(guī)模，縮短了搜索時(shí)間。其中，SP 初始化搜索數(shù)組As和查找字典Ts分別用來(lái)隨機(jī)存放每個(gè)鏈表的所有節(jié)點(diǎn)和每個(gè)鏈表的頭節(jié)點(diǎn)地址，ctr 是一個(gè)計(jì)數(shù)器，本文使用隨機(jī)函數(shù)π映射ctr 到數(shù)組As的一個(gè)隨機(jī)地址上。SP 計(jì)算是基于同一個(gè)視覺(jué)單詞w 建立的鏈表Lw中第i個(gè)節(jié)點(diǎn)，表示Lw中第i幅圖像的標(biāo)識(shí)符id，表示Lw中第i幅圖像的f-bit 的simhash指紋信息，π（ctr+1）表示在搜索數(shù)組As中下一個(gè)節(jié)點(diǎn)的地址，然后SP 通過(guò)哈希函數(shù)H對(duì)加密后存儲(chǔ)在As中的π（ctr）地址上。隨著計(jì)數(shù)器ctr 的增加，SP 可以得到鏈表Lw的第i+1 個(gè)節(jié)點(diǎn)并且像上述操作一樣對(duì)進(jìn)行加密。對(duì)于每條鏈表Lw而言，其頭結(jié)點(diǎn)地址還會(huì)被進(jìn)一步加密存儲(chǔ)在搜索字典Ts中。最終得到加密索引Ψ=｛As，Ts｝，并將其與步驟2 中得到的Ckd一同通過(guò)交易Tx 發(fā)送給搜索智能合約，調(diào)用智能合約的storeIndex（）函數(shù)存儲(chǔ)加密索引，如果SP 賬戶(hù)中沒(méi)有足夠的余額來(lái)支付$cost，系統(tǒng)回滾，其中，$cost 表示礦工收取的燃料費(fèi)。建立加密索引的具體過(guò)程如算法1 所示。

算法1建立加密索引

4）令牌生成階段Trapdoor（pk，g，ks）→tokenq/tokenu。搜索/更新令牌由IU 生成。在IU 向SP 申請(qǐng)搜索/更新權(quán)限階段，IU 得到相應(yīng)的屬性私鑰sk 和搜索密鑰ks，通過(guò)特征提取器對(duì)要查詢(xún)的圖像g 計(jì)算出圖像的視覺(jué)單詞w 和simhash 指紋s，生成搜索令牌tokenq=（Fk1（wq），Gk2（wq），［sq］pk）或者更新 令牌。更新令牌又可以分為添加令牌和刪除令牌，如果需要添加一張圖片，添加令牌tokena=（（Fk1（wa），Gk2（wa），Pk3（wa），Na），其中Na=（（ida||0||［sa］pk||null）。而Ra是一串隨機(jī)數(shù)｛0，1｝λ。如果需要?jiǎng)h除一張圖片，需要SP在用戶(hù)屬性私鑰生成階段對(duì)IU 的身份審核更加嚴(yán)格才能得到id 進(jìn)而計(jì)算出tokend=（Fk1（wd），Gk2（wd），Pk3（idd），［sd］pk）。

5）搜索階段Search（Ψ，tokenq）→ID/⊥。IU 將搜索令牌tokenq通過(guò)交易Tx 發(fā)送到搜索智能合約的地址，調(diào)用搜索智能合約的search（）函數(shù)進(jìn)行搜索得到相似圖像的標(biāo)識(shí)符集合IDq，具體過(guò)程如算法2 所示。

算法2搜索

從算法2 中可以看出，當(dāng)判斷Σ=0 表示圖片存在并且在加密狀態(tài)下，計(jì)算得到τ3與解析到第j個(gè)節(jié)點(diǎn)的simhash 指紋的漢明距離為x，若x小于所定義的閾值z(mì)，則可認(rèn)為圖片是相似的，否則是不相似的。如果IU 賬戶(hù)中沒(méi)有足夠的余額來(lái)支付$cost，系統(tǒng)回滾。算法2 定義一個(gè)搜索字典Ts和一個(gè)搜索數(shù)組As，其中Ts中包含了#W 個(gè)條目，允許通過(guò)Fk1(w)高效定位包含視覺(jué)單詞w 的頭結(jié)點(diǎn)地址addr()，進(jìn)而在搜索數(shù)組As中遍歷鏈表Lw中所有的節(jié)點(diǎn)并且對(duì)節(jié)點(diǎn)中的加密simhash 指紋計(jì)算漢明距離x，在閾值z(mì)內(nèi)的為相似圖像，然后將id 添加進(jìn)集合ID 中，否則為不相似圖像。本文所設(shè)計(jì)的索引結(jié)構(gòu)優(yōu)點(diǎn)在于查找圖像的過(guò)程中能夠通過(guò)視覺(jué)單詞來(lái)排除不相關(guān)的圖片，縮小查找范圍和減少計(jì)算量，進(jìn)而提高檢索效率和精度。

6）更新階段Update（Ψ，tokenu）→Ψ’。IU 將更新令牌tokenu通過(guò)交易Tx 發(fā)送到更新智能合約的地址，調(diào)用搜索智能合約的add（）函數(shù)進(jìn)行添加圖片操作或者調(diào)用delete（）函數(shù)進(jìn)行刪除圖片操作，具體過(guò)程如算法3 所示。如果IU 賬戶(hù)中沒(méi)有足夠的余額來(lái)支付$cost，系統(tǒng)回滾。

算法3更新

7）解密階段Dec（sk，CID，Ckd）→DID/⊥。IU 從CP上將ID 對(duì)應(yīng)加密狀態(tài)下的相似圖像集合CID下載下來(lái)后，需要本地驗(yàn)證IU 是否具有解密權(quán)限。如果驗(yàn)證通過(guò)，則可以進(jìn)行解密Ckd得到kd進(jìn)而恢復(fù)出原始圖像；如果驗(yàn)證不通過(guò)，即使搜索到相應(yīng)的文檔也不具有解密權(quán)限，所以得不到原始圖像。解密階段的具體步驟如下：

步驟1驗(yàn)證密鑰VerifyKey（sk，Ckd）→kd/⊥。IU收到密文Ckd后，檢查屬性私鑰sk 和訪問(wèn)策略policy_str是否匹配，如果不匹配，返回⊥；否則，采用自下而上的遞歸算法得到由此IU 可以恢復(fù)出對(duì)稱(chēng)密鑰kd：

步驟2Dec（CID，kd）→DID。IU 利用解密得到的對(duì)稱(chēng)密鑰kd，對(duì)CID解密得到DID，其中ID 為查詢(xún)到的相似圖像標(biāo)識(shí)符集合。

3.3 智能合約設(shè)計(jì)

當(dāng)發(fā)送交易到區(qū)塊鏈上時(shí)，若滿足智能合約的觸發(fā)條件，將自動(dòng)執(zhí)行預(yù)先設(shè)定好的邏輯，待區(qū)塊鏈中多數(shù)驗(yàn)證節(jié)點(diǎn)達(dá)成共識(shí)后，智能合約將成功執(zhí)行。由于智能合約會(huì)被自動(dòng)觸發(fā)而不需要圖像服務(wù)提供商一直在線提供服務(wù)，因此用戶(hù)無(wú)須直接面對(duì)惡意服務(wù)器的威脅，保證了在圖像服務(wù)提供商、圖像用戶(hù)和圖像擁有者之間交易的公平性。本文方案利用搜索智能合約和更新智能合約分別完成搜索過(guò)程以及對(duì)加密索引的更新。

1）搜索合約初始由SP 部署，之后在加密索引更新時(shí)IU 重新部署，這是因?yàn)橹悄芎霞s中的代碼和執(zhí)行過(guò)程是提前制定的，一旦在區(qū)塊鏈上部署完成后其中的內(nèi)容無(wú)法修改且無(wú)法干預(yù)合約的執(zhí)行，所以只能以重新部署的方式完成迭代更新。合約結(jié)構(gòu)如圖2 所示，其中主要展示了搜索合約中的變量和函數(shù)。addr_owner 和addr_UC 分別表示合約創(chuàng)建者的地址和更新合約的地址，定義了數(shù)組類(lèi)型變量store_EI 用于存儲(chǔ)加密索引和數(shù)組類(lèi)型變量ID 表示搜索結(jié)果。此外，搜索合約包含存儲(chǔ)索引函數(shù)storeIndex（），SP 調(diào)用該函數(shù)并輸入加密索引Ψ，將其存儲(chǔ)到變量store_EI 當(dāng)中。search（）為搜索函數(shù)，IU 調(diào)用該函數(shù)并傳入搜索令牌token，輸出搜索結(jié)果ID，同時(shí)更新合約調(diào)用getIndex（）函數(shù)得到加密索引Ψ。

圖2 搜索合約結(jié)構(gòu)Fig.2 Structure of search contract

2）更新合約完全由SP 部署，合約結(jié)構(gòu)如圖3 所示，其中主要展示了更新合約中的變量和函數(shù)。變量addr_SP 表示合約創(chuàng)建者SP 的地址。更新合約包含添加函數(shù)add（），IU 調(diào)用該函數(shù)并傳入添加令牌，添加函數(shù)add（）則調(diào)用搜索合約中的getIndex（）得到變量store_EI，并根據(jù)添加令牌對(duì)store_EI 進(jìn)行修改并重新部署搜索合約，以達(dá)到添加新索引的目的。delete（）為刪除函數(shù)，IU 調(diào)用該函數(shù)并傳入刪除令牌，刪除函數(shù)delete（）同樣調(diào)用搜索合約中的getIndex（）得到變量store_EI，同時(shí)根據(jù)刪除令牌對(duì)store_EI 進(jìn)行修改并重新部署搜索合約，以達(dá)到刪除索引目的，更新合約通過(guò)添加函數(shù)和刪除函數(shù)來(lái)完成加密索引的更新功能。

圖3 更新合約結(jié)構(gòu)Fig.3 Structure of update contract

4 實(shí)驗(yàn)評(píng)估與安全性分析

本節(jié)通過(guò)Ganache在本地構(gòu)建一個(gè)模擬的以太坊網(wǎng)絡(luò)，并通過(guò)分析建立加密索引、在智能合約上存儲(chǔ)、搜索和更新所消耗的時(shí)間，對(duì)本文方案進(jìn)行實(shí)驗(yàn)評(píng)估。實(shí)驗(yàn)環(huán)境為8 GB 內(nèi)存Intel?CoreTMi7-7700 3.20 Hz，操作系統(tǒng) 是Microsoft Windows 10 64 位。數(shù)據(jù)集為3 個(gè)真實(shí)數(shù)據(jù)集Holiday、Oxford5k 和Ukbench。最后對(duì)方案進(jìn)行安全性分析并與現(xiàn)有方案功能進(jìn)行對(duì)比。

4.1 數(shù)據(jù)集

實(shí)驗(yàn)使用3 個(gè)著名的經(jīng)常用于人工智能領(lǐng)域的真實(shí)數(shù)據(jù)集，分別為Holiday、Oxford5k 和Ukbench。Holiday 包含個(gè)人度假時(shí)拍攝的圖片，以風(fēng)景為主，有1 491 張圖。Oxford5k 數(shù)據(jù)集包含針對(duì)11 個(gè)不同的地標(biāo)landmarks 共5 062 張圖，每個(gè)地標(biāo)有5 個(gè)可能的查詢(xún)表示。Ukbench 數(shù)據(jù)集包含2 550 個(gè)不同場(chǎng)景下的10 200 張圖。

4.2 加密索引建立（鏈下）

建立加密索引過(guò)程在鏈下進(jìn)行，包含兩個(gè)階段：第一階段是對(duì)圖片預(yù)處理得到每張圖片的視覺(jué)單詞和simhash，本文使用python 來(lái)進(jìn)行這一系列工作，包括提取所有圖像的SIFT 特征向量生成每張圖片的視覺(jué)單詞和他們的simhash 指紋；第二階段利用所有圖像的視覺(jué)單詞和simhash 建立加密索引，并將索引上傳到區(qū)塊鏈的智能合約，同時(shí)，將加密圖像存儲(chǔ)在云服務(wù)器中。

本文設(shè)定不同的聚類(lèi)中心點(diǎn)個(gè)數(shù)k，通過(guò)聚類(lèi)中心形成最后的視覺(jué)字典來(lái)建立索引。從圖4 中可以看出，聚類(lèi)中心數(shù)量k不是特別影響索引生成的時(shí)間，但是有助于在智能合約上快速檢索。圖4 顯示了在3 個(gè)數(shù)據(jù)集上建立加密索引所需時(shí)間，可以看出，隨著數(shù)據(jù)集規(guī)模的變大，建立索引的時(shí)間也相應(yīng)增多。Holiday 數(shù)據(jù)集耗時(shí)約為20 s，Oxford5k 數(shù)據(jù)集約為61 s，Ukbench 數(shù)據(jù)集約為140 s。此處取20 次實(shí)驗(yàn)結(jié)果的平均值為最后的結(jié)果，對(duì)于大規(guī)模圖像數(shù)據(jù)而言在可接受的范圍內(nèi)，因?yàn)榻⑺饕罂梢詣?dòng)態(tài)修改無(wú)需重新建立一次索引。

圖4 不同聚類(lèi)中心建立索引耗時(shí)Fig.4 Time consuming of indexing by different clustering centers

圖5 展示了BVEIR 方案與SEIR 方案［2］建立索引耗時(shí)的對(duì)比，可以看出，BVEIR 方案在建立索引方面耗時(shí)較少。

圖5 不同方案建立索引耗時(shí)Fig.5 Time consuming of indexing by different schemes

4.3 屬性私鑰生成（鏈下）

BVEIR 方案還支持對(duì)圖像數(shù)據(jù)的細(xì)粒度訪問(wèn)控制策略。選取pbc 庫(kù)中提供的A 類(lèi)橢圓曲線，對(duì)稱(chēng)加密算法采用AES-256 來(lái)對(duì)圖像進(jìn)行加密。本文采用密文策略的屬性加密機(jī)制完成對(duì)稱(chēng)密鑰的加密，這實(shí)現(xiàn)了細(xì)粒度訪問(wèn)控制，不滿足策略的用戶(hù)將無(wú)法完成對(duì)圖像的解密。本文所加密的是用來(lái)加密圖像的對(duì)稱(chēng)加密密鑰，用戶(hù)只有在得到授權(quán)后才能恢復(fù)出原始的對(duì)稱(chēng)加密密鑰，進(jìn)而完成對(duì)加密圖像的解密工作。換言之，非授權(quán)用戶(hù)是無(wú)法解密出原始圖像的，從而實(shí)現(xiàn)了對(duì)數(shù)據(jù)擁有者圖像的隱私保護(hù)。如圖6 所示，隨著訪問(wèn)策略授權(quán)的屬性個(gè)數(shù)增多，生成時(shí)間屬性私鑰的時(shí)間變長(zhǎng)。當(dāng)屬性個(gè)數(shù)為20 時(shí)，所需時(shí)間約為0.24 s，當(dāng)屬性個(gè)數(shù)為60 時(shí)，所需時(shí)間約為0.5 s，即使當(dāng)授權(quán)的屬性個(gè)數(shù)達(dá)到100 個(gè)時(shí)，所需時(shí)間也只需約1.6 s。而在實(shí)際應(yīng)用中，一般授權(quán)的屬性數(shù)量在10 個(gè)左右，所以，這個(gè)細(xì)粒度的訪問(wèn)控制方案所需時(shí)間是可行的。

圖6 生成屬性私鑰耗時(shí)Fig.6 Time consuming of generating attribute private key

在后續(xù)工作中，將考慮利用屬性加密技術(shù)來(lái)約束用戶(hù)的搜索權(quán)限，與原先的構(gòu)建索引過(guò)程最大的優(yōu)勢(shì)在于可以對(duì)圖像數(shù)據(jù)使用者進(jìn)行細(xì)粒度的搜索授權(quán)，用戶(hù)只能在得到授權(quán)后才能通過(guò)陷門(mén)函數(shù)生成搜索憑證來(lái)完成后續(xù)的搜索操作，以此實(shí)現(xiàn)對(duì)搜索范圍的權(quán)限管理。當(dāng)數(shù)據(jù)使用者的屬性滿足數(shù)據(jù)擁有者預(yù)先設(shè)定的訪問(wèn)結(jié)構(gòu)時(shí)才能解密出對(duì)應(yīng)的搜索密鑰，這里提到的訪問(wèn)結(jié)構(gòu)指的是被授權(quán)的屬性集合的結(jié)構(gòu)。

4.4 BVEIR 檢索的可靠性、效率與精度（鏈上）

使用Ganache 在本地構(gòu)建一個(gè)模擬的以太坊網(wǎng)絡(luò)，驗(yàn)證智能合約實(shí)現(xiàn)鏈上各個(gè)功能所需消耗的時(shí)間。智能合約采用solidity 語(yǔ)言，并通過(guò)javascript 編寫(xiě)的腳本與智能合約交互實(shí)現(xiàn)存儲(chǔ)、搜索、更新功能。Ganache 與真實(shí)的以太坊環(huán)境非常相似，不同之處在于其默認(rèn)的挖礦時(shí)間為0，即發(fā)起的交易立即可以得到確認(rèn)上鏈，從而可以專(zhuān)注于智能合約的調(diào)試去分析是否實(shí)現(xiàn)了預(yù)定的邏輯處理。

在本文研究中，對(duì)檢索結(jié)果的性能評(píng)價(jià)使用精確率P與召回率R。由圖7 和圖8 可以看出。雖然本文提出的索引結(jié)構(gòu)BSEI 在隨著圖像數(shù)量增長(zhǎng)的同時(shí)檢索精確率有所回落，但當(dāng)圖像數(shù)量為10 000 時(shí)檢索仍然不低于30%。此外，從圖8 中還可以看出，3 個(gè)方案的召回率隨著圖像數(shù)量的增長(zhǎng)而增長(zhǎng)，但在圖像數(shù)量保持相同時(shí)，本文方案的召回率相比于EHD［21］和SIM［22］方案要好。通過(guò)精確率與召回率指標(biāo)可以看出，本文提出的加密索引方案是可行的，并且檢索的效果符合預(yù)期。

圖7 不同索引結(jié)構(gòu)精確率對(duì)比Fig.7 Accuracy comparison between different index structures

圖8 不同索引結(jié)構(gòu)召回率對(duì)比Fig.8 Recall rate comparison between different index structures

本文方案的主要貢獻(xiàn)是在區(qū)塊鏈上進(jìn)行加密圖像的檢索，通過(guò)區(qū)塊鏈的共識(shí)機(jī)制來(lái)保證圖像檢索結(jié)果的完備性。從圖9 中可以看出智能合約的各主要功能存儲(chǔ)、搜索和更新操作的耗時(shí)。存儲(chǔ)耗時(shí)最多，是因?yàn)榧用芩饕枰ㄟ^(guò)交易的方式發(fā)送給智能合約。具體而言，為了避免超過(guò)gaslimit，本文在把加密索引存儲(chǔ)到智能合約階段將其分為n個(gè)子集，再以n次交易的形式發(fā)送到智能合約，加密索引的存儲(chǔ)大小、存儲(chǔ)上鏈需要的交易次數(shù)#Tx 和存儲(chǔ)到智能合約所消耗的時(shí)間在表3 中列出，可以看出，最小的數(shù)據(jù)集Holiday 需要的存儲(chǔ)時(shí)間約為55 s，最大的數(shù)據(jù)集Ukbench 需要的存儲(chǔ)時(shí)間約為876 s。通過(guò)多次交易的方式將加密索引分批存儲(chǔ)到智能合約當(dāng)中，平均每筆交易需要約4 s 進(jìn)行操作。這是與在云服務(wù)器上檢索方案最大的不同。此外，本文沒(méi)有考慮共識(shí)機(jī)制（挖礦）過(guò)程對(duì)效率的影響。

圖9 智能合約耗時(shí)Fig.9 Time consuming of smart contract

表3 加密索引存儲(chǔ)耗時(shí)Table 3 Time consuming of storing encrypted index

本文BVEIR 方案在搜索與更新時(shí)，需要在本地生成token 并通過(guò)交易的方式發(fā)送給智能合約以觸發(fā)對(duì)應(yīng)的功能，一次交易就能完成。3 個(gè)數(shù)據(jù)集的搜索時(shí)間都在10 s 以下，在可接受的時(shí)間范圍內(nèi)普通用戶(hù)進(jìn)行常規(guī)搜索并能得到可靠的數(shù)據(jù)，而SHEN 等［23］的圖像檢索時(shí)間平均為14.65 s，需要注意的是，可以通過(guò)調(diào)整聚類(lèi)中心k的個(gè)數(shù)進(jìn)一步優(yōu)化檢索效率。同時(shí)最大不同之處在于本文方案并不需要?jiǎng)h除字典，而是類(lèi)似搜索一樣去找到需要?jiǎng)h除的圖像將其中的Σ置1 代表刪除，雖然這樣會(huì)導(dǎo)致刪除一張圖片時(shí)間要比增加一張圖片時(shí)間要多，原因是增加一張圖片只需要對(duì)搜索字典查找并將其加入到對(duì)應(yīng)的鏈表的頭節(jié)點(diǎn)，而刪除一張圖片不僅要找到對(duì)應(yīng)的鏈表，還需要對(duì)搜索數(shù)組查到找需要?jiǎng)h除圖像的id。普遍來(lái)說(shuō)，遇到增加一張圖片比刪除一張圖片的情況要多，雖然一定程度上造成了更新階段比搜索階段消耗更多的時(shí)間，但是從區(qū)塊鏈存儲(chǔ)成本角度來(lái)分析，省去了刪除字典，降低了存儲(chǔ)到智能合約當(dāng)中的成本。此外，本文提出的在區(qū)塊鏈上進(jìn)行的加密圖像檢索方案產(chǎn)生的檢索成本相比于傳統(tǒng)的云服務(wù)器略顯高昂，但是帶來(lái)的優(yōu)勢(shì)是其無(wú)法比擬的，也提供了一種新的思路解決搜索結(jié)果的驗(yàn)證問(wèn)題。

圖10 中展示了部分檢索結(jié)果（山、帆船、金字塔、浮冰），可以看出，根據(jù)查詢(xún)圖像可以檢索到多張與其相似度很高的匹配圖像，從而說(shuō)明BVEIR 具有可靠性和較高的檢索效率與精度，同時(shí)具有良好的隱私保護(hù)效果。

圖10 BVEIR 方案檢索結(jié)果Fig.10 Search results of BVEIR scheme

4.5 安全性分析

對(duì)BEVIR 方案的安全性分析如下：

1）完備性。一旦觸發(fā)智能合約中的條件并執(zhí)行預(yù)先設(shè)定好的邏輯（代碼），智能合約就會(huì)將運(yùn)行后的結(jié)果永久保存在智能合約的狀態(tài)中，在以太坊上，這種結(jié)果是對(duì)所有人公開(kāi)的。以太坊的共識(shí)機(jī)制保證了智能合約上的操作都能得到正確執(zhí)行，并且每個(gè)礦工可以對(duì)結(jié)果進(jìn)行驗(yàn)證，也就意味者通過(guò)搜索智能合約進(jìn)行搜索可以得到正確的結(jié)果，無(wú)需用戶(hù)驗(yàn)證結(jié)果，從而避免惡意云服務(wù)器所帶來(lái)的威脅。

2）機(jī)密性。為了證明本文方案π的機(jī)密性，遵循real-ideal simulation paradigm，首先在構(gòu)造中定義以下3 個(gè)泄露函數(shù)：（1）泄露函數(shù)L1（G）=｛|G|，｛|gi|，id（gi）｝，i∈［1，#G］｝，其中，id（gi）是第i幅圖像的唯一標(biāo)識(shí)符。（2）泄露函 數(shù)L2（w，s）=｛SP（w，s），tokenq｝，其中，w 是圖像的視覺(jué)單詞，s 是圖像的simhash 指紋，SP（w，s）表示搜索模式。（3）泄露函數(shù)L3（w，s，id）=｛add/del，UP（w，s，id），tokenu｝，其中，add/del 作為區(qū)分輸入的目的（增加或刪除），UP（w，s，id）表示更新（增加或刪除）模式。

定理1如果F、G、P是偽隨機(jī)函數(shù)，那么本文方案π是適應(yīng)性選擇關(guān)鍵詞安全的。

證明：如果對(duì)于任意敵手A 存在一個(gè)模擬器S，模擬器S 根據(jù)泄露函數(shù)L回答敵手A 的詢(xún)問(wèn)。敵手A 識(shí)圖通過(guò)分析加密圖像、加密索引與搜索令牌來(lái)贏得游戲但由可忽略函數(shù)negl（λ）定義可知，任意多項(xiàng)式時(shí)間敵手A 在不具備對(duì)稱(chēng)加密密鑰kd以及搜索密鑰ks（F，G，P）的情況下，對(duì) 于和的輸出結(jié)果在計(jì)算上不可區(qū)分的，滿足條件那么本文方案π是適應(yīng)性選擇關(guān)鍵詞安全的。

5 結(jié)束語(yǔ)

本文提出一種基于區(qū)塊鏈的加密圖像檢索方案，通過(guò)在智能合約上進(jìn)行檢索，避免云服務(wù)器返回錯(cuò)誤或不完整的搜索結(jié)果。此外，設(shè)計(jì)一種利用視覺(jué)詞袋模型和simhash 的雙層索引結(jié)構(gòu)，提高圖像檢索的效率和精度。本文方案的索引生成過(guò)程也可以模塊化換為其他可搜索加密方案。后續(xù)將研究可信執(zhí)行環(huán)境TEE、同態(tài)加密、安全多方計(jì)算SMC、零知識(shí)證明ZKP 等技術(shù)，在不泄露圖像隱私的情況下進(jìn)一步降低檢索成本，增強(qiáng)方案的實(shí)用性。同時(shí)，還將在建立索引的過(guò)程融入卷積神經(jīng)網(wǎng)絡(luò)和主成分分析，獲得更好的相似圖像匹配效果。