宋文帥，鄧淼磊，馬米米，李昊宸

（河南工業(yè)大學(xué) 信息科學(xué)與工程學(xué)院，鄭州 450001）

0 引言

隨著互聯(lián)網(wǎng)用戶數(shù)量的增加以及云計(jì)算技術(shù)的不斷成熟，全球數(shù)據(jù)量呈爆炸式增長(zhǎng)趨勢(shì)。在當(dāng)下大數(shù)據(jù)的時(shí)代背景下，云存儲(chǔ)服務(wù)［1］因具有數(shù)據(jù)的可伸縮性、共享性、可訪問性和高效備份性等特點(diǎn)而被廣泛應(yīng)用。近年來，眾多云服務(wù)提供商紛紛涌現(xiàn)，從最初的亞馬遜、谷歌到現(xiàn)在的百度云、阿里云等。云服務(wù)器在給人們帶來便利的同時(shí)，云上數(shù)據(jù)安全［2］和用戶隱私也面臨極大挑戰(zhàn)。加密能夠有效保護(hù)數(shù)據(jù)安全和隱私，但數(shù)據(jù)被加密后，原有的結(jié)構(gòu)將發(fā)生改變，已有的針對(duì)明文數(shù)據(jù)的檢索算法將不再適用，如何在密文數(shù)據(jù)上進(jìn)行檢索成為亟待解決的難題。一種簡(jiǎn)單的方法是用戶先下載全部數(shù)據(jù)，解密后再在明文數(shù)據(jù)上檢索。然而，下載全部數(shù)據(jù)一方面將占用大量網(wǎng)絡(luò)帶寬，另一方面將造成本地資源浪費(fèi)。為實(shí)現(xiàn)對(duì)密文數(shù)據(jù)的高效檢索，可搜索加密技術(shù)被提出?？伤阉骷用艿墓ぷ髁鞒倘缦拢?）數(shù)據(jù)擁有者首先對(duì)數(shù)據(jù)和關(guān)鍵詞加密并上傳到云服務(wù)器；2）數(shù)據(jù)使用者使用私鑰產(chǎn)生關(guān)鍵詞搜索陷門并發(fā)送給云服務(wù)器；3）云服務(wù)器進(jìn)行檢索匹配，匹配成功后把密文返回給數(shù)據(jù)使用者；4）數(shù)據(jù)使用者對(duì)密文進(jìn)行解密。

2000 年，Song等［3］首次提出可搜索對(duì)稱加密概念。但基于對(duì)稱密碼體制的加密技術(shù)需要使用同一個(gè)密鑰進(jìn)行加密和解密，不適合復(fù)雜的多用戶應(yīng)用場(chǎng)景。為了解決該問題，Boneh等［4］首次提出可搜索公鑰加密（Public-key Encryption with Keyword Search，PEKS）并應(yīng)用在郵件路由場(chǎng)景中。發(fā)送方通過接收方的公鑰對(duì)數(shù)據(jù)集和關(guān)鍵詞信息進(jìn)行加密；接收方利用自身的私鑰產(chǎn)生關(guān)鍵詞搜索陷門并發(fā)送給服務(wù)器；服務(wù)器對(duì)關(guān)鍵詞進(jìn)行檢索并返回包含關(guān)鍵詞的加密數(shù)據(jù)給接收方；接收方利用私鑰對(duì)密文進(jìn)行解密。PEKS 通過公私鑰對(duì)實(shí)現(xiàn)明文的加密和密文檢索功能，適用場(chǎng)景比可搜索對(duì)稱加密更多、前景也更廣闊［5-8］。

本文關(guān)注近幾年P(guān)EKS 技術(shù)研究現(xiàn)狀，探討可搜索公鑰加密技術(shù)的安全性和擴(kuò)展性，并進(jìn)行各方案的安全和性能的對(duì)比分析，最后對(duì)未來可搜索公鑰加密技術(shù)領(lǐng)域進(jìn)行展望。

1 可搜索公鑰加密定義

加密技術(shù)的本質(zhì)是破解某個(gè)“極微本源”，即破解某個(gè)數(shù)學(xué)困難問題，分析算法構(gòu)造時(shí)所用的數(shù)學(xué)知識(shí)和嵌入的困難問題。本章給出PEKS 的多項(xiàng)式時(shí)間算法構(gòu)造、算法一致性描述和安全模型。

1.1 形式化定義

定義1PEKS 算法描述［9］。PEKS 方案一般由4 個(gè)概率多項(xiàng)式時(shí)間算法構(gòu)成：

PEKS=(KeyGen，Encrypt，Trapdoor，Test)

KeyGen(λ)=(pk，sk)：輸入安 全參數(shù)λ，輸出公 私鑰對(duì)(pk，sk)。

Encrypt(pk，w)=Cw：輸入公鑰pk和關(guān)鍵詞w，輸出關(guān)鍵詞密文Cw。

Trapdoor(sk，w′)=Tw′：輸入私鑰sk和用戶感興趣的關(guān)鍵詞w′，輸出用戶關(guān)鍵詞搜索陷門Tw′。

Test(pk，Cw，Tw′)=0/1：輸入公鑰pk，關(guān)鍵詞密文Cw，用戶搜索陷門Tw′。若w=w′，輸出“1”；若w≠w′，則輸出“0”。

PEKS 系統(tǒng)模型如圖1 所示。

圖1 PEKS系統(tǒng)模型Fig.1 PEKS system model

定義2雙線性對(duì)［4］。設(shè)G1、G2是以素?cái)?shù)q為階的循環(huán)群，g是G1的一個(gè)生成元。若映射e：G1×G2→G2滿足下列性質(zhì)，則稱e為雙線性對(duì)。

2）非退化性：?g，?G1，使e(g，g)≠1。

3）可計(jì)算 性：對(duì)任意u，v∈G1，存在有 效的算法可計(jì)算e(u，v)。

定義3計(jì)算雙線性Diffie-Hellman（Computation Bilinear Diffie-Hellman，CBDH）困難問題［10］。給定g，ga，gb，gc∈G1，其中：a、b、c是屬于的隨機(jī)數(shù)，計(jì)算e(g，g)abc∈G2是困難的。

1.2 算法一致性描述

傳統(tǒng)PEKS 算法的一致性被定義為加密算法與解密算法互為逆過程。對(duì)PEKS 的完美一致性的定義描述為：隨機(jī)的任意兩個(gè)關(guān)鍵詞w1、w2，通過陷門生成關(guān)鍵詞w1的搜索陷門Tw1，由加密 算法生成關(guān)鍵詞w2的密文Cw2，如果w1≠w2，Pr[ Test(Cw2，Tw1)=1 ]=0。文獻(xiàn)［11］中指出PEKS 方案［4］只滿足計(jì)算一致性，并不滿足完美一致性和統(tǒng)計(jì)一致性，并給出三種一致性的定義。

定義4假設(shè)存在一名敵手A，定義算法一致性的安全游戲。

敵手A贏得上述游戲的優(yōu)勢(shì)為：AdvA(λ)=

當(dāng)任意的敵手A贏得上述安全游戲的概率AdvA(λ)=0，即視為該P(yáng)EKS 方案具有完美一致性。

當(dāng)任意的敵手A贏得上述安全游戲的概率AdvA(λ)關(guān)于ε可忽略，即視為該P(yáng)EKS 方案具有統(tǒng)計(jì)一致性。

對(duì)任意的敵手A在多項(xiàng)式時(shí)間內(nèi)贏得上述游戲的概率AdvA(λ)是關(guān)于ε可忽略的，即視為該P(yáng)EKS 方案滿足計(jì)算一致性。

1.3 安全模型

Boneh 基于身份加密（Identity-Based Encryption，IBE）［12］定義了PEKS 的安全性并提出了選擇關(guān)鍵詞攻擊下的不可區(qū)分性（INDistinguishability against Chosen Keyword Attack，INDCKA）安全模型，安全模型通過挑戰(zhàn)者C和敵手A之間的博弈游戲進(jìn)行定義［13］。

如圖2 所示：1）挑戰(zhàn)者C執(zhí)行KeyGen(λ)算法生成公鑰pk和私鑰sk，并把公鑰pk發(fā)送給敵手A。2）敵手A自適應(yīng)地查詢搜索陷門預(yù)言機(jī)OTrapdoor，獲得關(guān)鍵詞w∈{0，1}*的陷門Tw。3）敵手A隨機(jī)選取兩個(gè)關(guān)鍵詞w0、w1發(fā)送給挑戰(zhàn)者C，要求選取兩個(gè)未被詢問的關(guān)鍵詞。挑戰(zhàn)者C隨機(jī)選取一個(gè)比特b∈{0，1}，通過算法Encrypt(pk，wb)生成挑戰(zhàn)密文C并發(fā)送給敵手A。4）當(dāng)A再次詢問搜索陷門預(yù)言機(jī)OTrapdoor時(shí)不能詢問關(guān)鍵詞w0、w1的陷門信息。5）敵手A針對(duì)關(guān)鍵詞進(jìn)行猜測(cè)，選取一個(gè)比特b′∈{0，1}輸出：如果b=b′則敵手A攻擊成功；否則敵手A攻擊失敗。

圖2 PEKS安全模型中的博弈過程Fig.2 Game process in PEKS security model

敵手A贏得博弈游戲的攻擊優(yōu)勢(shì)為：AdvA(λ)=

定義5如果敵手A贏得博弈游戲的優(yōu)勢(shì)關(guān)于ε可忽略，即AdvA(λ) ＜negl(ε)，則PEKS 方案是語義安全的。

2 PEKS典型構(gòu)造方案

本章對(duì)三個(gè)具有代表性的PEKS 方案進(jìn)行分析陳述，列出它們的算法模型，最后對(duì)三者的通信量、服務(wù)端存儲(chǔ)量、性能效率以及安全性進(jìn)行對(duì)比分析。

2.1 BDOP-PEKS方案

2004 年Boneh等［4］基于BF-IBE（Boneh-Franklin IBE）系統(tǒng)構(gòu)造了適用于郵件路由系統(tǒng)的PEKS 方案BDOP-PEKS（Boneh-Di-Ostrovsky-Persiano PEKS），并在雙線性Diffie-Hellman（Bilinear Diffie-Hellman，BDH）困難問題假設(shè)下證明了方案的安全性。具體構(gòu)造如下：

1）KeyGen(λ)：輸入安 全參數(shù)λ，生成公鑰pk=[g，h=gα]和私鑰sk=α。其中是循環(huán)群；g是循環(huán)群G1的生成元。

2）PEKS(pk，w)：輸入公鑰pk和關(guān)鍵詞w，生成關(guān)鍵詞密文，其中；H為哈希函數(shù)。

3）Trapdoor(Sk，w′)：輸入私鑰sk和用戶待查詢的關(guān)鍵詞w′，輸出關(guān)鍵詞搜索陷門Tw′=H1(w′)α∈G1。

4）Test(pk，Tw′，Cw)：令Cw=[A，B]，驗(yàn)證H2(e(Tw′A))=B是否成立，成立則輸出1 并返回密文給用戶，否則輸出0。

BDOP-PEKS 方案存在一些缺點(diǎn)［13］：1）雙線性對(duì)運(yùn)算導(dǎo)致算法計(jì)算開銷大、效率低，不適合用于大批量加密數(shù)據(jù)的檢索查詢；2）需要建立安全信道來抵御網(wǎng)絡(luò)攻擊者獲取搜索陷門信息；3）由于搜索陷門生成算法不滿足陷門不可區(qū)分性，所以無法抵抗關(guān)鍵詞猜測(cè)攻擊。

2.2 KR-PEKS方案

2006 年，Khader等［14］基于BDOP-PEKS 方案進(jìn)行改進(jìn)，設(shè)計(jì)出基于K-Resilient IBE 的PEKS 方案（KR-PEKS），并在標(biāo)準(zhǔn)模型下證明了方案的安全性。具體構(gòu)造如下。

1）KeyGen。

步驟1 選取q階群G，其中：g1，g2∈G。

步驟4 隨機(jī)選取抗碰撞的哈希函數(shù)H：G→{0，1}λ和H′：G→{ 0，1}k。

步驟5 輸出公鑰PkR=(g1，g2，A0，…，Ak，B0，…，Bk，D0，…，Dk，H，H′)和私鑰SkR=(f1，f2，h1，h2，p1，p2)。

2）KR-PEKS。

KR-PEKS 方案避免了雙線性對(duì)的使用，顯著減小了計(jì)算開銷。但是此方案生成的搜索陷門數(shù)量不能大于K，所以K值的選取十分重要。

2.3 DS-PEKS方案

2007 年，Di Crescenzo等［15］基于二次剩余問題的變體構(gòu)造了DS-PEKS（Di-Saraswat PEKS）方案，具體構(gòu)造如下。

1）M-KeyGen(1m)：輸入一元參數(shù)1m，其中：m∈Z*，隨機(jī)選取長(zhǎng)度為2/m的素?cái)?shù)p、q，使p和q模4 同余3，令n=pq。生成公鑰ui∈，私鑰Apriv=(p，q)。

DS-PEKS 方案的構(gòu)造形式使關(guān)鍵詞密文長(zhǎng)度較短，提高了加密和查詢的效率，但該方案在服務(wù)器和用戶之間進(jìn)行通信時(shí)會(huì)占用大量帶寬。

以上三種方案都通過計(jì)算關(guān)鍵詞陷門對(duì)關(guān)鍵詞進(jìn)行匹配的基本PEKS 構(gòu)建策略，測(cè)試文件是否包含待查詢的關(guān)鍵字。表1 是三種方案的性能對(duì)比，其中：k為安全參數(shù)；|g|為G中元素所占用的存儲(chǔ)空間；p為循環(huán)群G的階；n為數(shù)據(jù)總數(shù)目；li為第i個(gè)數(shù)據(jù)中的關(guān)鍵詞個(gè)數(shù)；N為關(guān)鍵詞字典中的關(guān)鍵詞字?jǐn)?shù)。表中假設(shè)包括二次不可區(qū)分性問題（Quadratic Indistinguishability Problem，QIP）、BDH 與決策Diffie-Hellman（Decisional Diffie-Hellman，DDH）問題。

表1 PEKS典型方案對(duì)比Tab.1 Comparison of typical PEKS schemes

3 安全性擴(kuò)展研究

3.1 關(guān)鍵詞猜測(cè)攻擊

Byun等［16］指出當(dāng)用戶選取的關(guān)鍵詞是對(duì)自己有特殊意義的單詞時(shí)，關(guān)鍵詞信息熵就會(huì)變小，而用戶在實(shí)際應(yīng)用中大多會(huì)如此選擇，導(dǎo)致關(guān)鍵詞空間不夠大。當(dāng)關(guān)鍵詞字典的空間遠(yuǎn)小于密鑰空間且用戶喜歡用跟自己有關(guān)聯(lián)的關(guān)鍵詞進(jìn)行檢索時(shí)，攻擊者利用窮舉策略就能實(shí)現(xiàn)關(guān)鍵詞猜測(cè)攻擊（Keyword Guessing Attack，KGA）。外部攻擊者發(fā)起的攻擊稱為外部關(guān)鍵詞猜測(cè)攻擊，而由云服務(wù)器代理商或服務(wù)器中其他任意角色發(fā)起為內(nèi)部關(guān)鍵詞猜測(cè)攻擊。此外，惡意云服務(wù)器為識(shí)別陷門和關(guān)鍵字之間的關(guān)系，利用關(guān)鍵詞統(tǒng)計(jì)分布概率知識(shí)和常用謂詞進(jìn)行統(tǒng)計(jì)關(guān)鍵詞猜測(cè)攻擊也被包含在KGA 中。Jeong等［17］證明了在KGA 下不存在PEKS 方案滿足算法一 致性和 安全性。為了抵 抗KGA，Baek等［18］、Rhee等［19-20］先后進(jìn)行研究，證明了PEKS 方案抗擊KGA 的充分條件是關(guān)鍵詞搜索陷門的不可區(qū)分性。

Baek等［18］提出的指定服務(wù)器的PEKS（designated server PEKS，dPEKS）方案可以保證除用戶指定的服務(wù)器以外所有服務(wù)器都無法判斷關(guān)鍵詞密文和陷門是否匹配，但安全性提高甚微。隨后抗外部離線關(guān)鍵詞猜測(cè)攻擊的dPEKS 方案［21-25］陸續(xù)被提出。2011 年，Wang等［26］指出Rhee 的dPEKS方案只能抵抗從外部發(fā)起的關(guān)鍵詞猜測(cè)攻擊，無法抵抗從惡意服務(wù)器內(nèi)部引發(fā)的關(guān)鍵詞猜測(cè)攻擊。2014 年，Wang等［27］提出雙服務(wù)器概念模型以實(shí)現(xiàn)抵抗內(nèi)部關(guān)鍵詞猜測(cè)攻擊，但由于雙服務(wù)器的計(jì)算開銷非常大，所以沒有廣泛應(yīng)用。2016年，Chen等［28］提出DS-PEKS（Dual-Server PEKS）方案，由兩個(gè)獨(dú)立的服務(wù)器聯(lián)合執(zhí)行測(cè)試算法，能有效抵抗惡意的內(nèi)部關(guān)鍵詞猜測(cè)攻擊。Huang等［29］在2017 年設(shè)計(jì)出一種可認(rèn)證的PEKS 方案，采用發(fā)送方的私鑰和接收方的公鑰進(jìn)行關(guān)鍵詞加密，通過發(fā)送方的公鑰和接收方的私鑰生成關(guān)鍵詞搜索陷門，有效抵抗了內(nèi)部關(guān)鍵詞猜測(cè)攻擊。2019 年王少輝等［30］基于變形線性決策困難問題（modified Decisional LINinear assumption，mDLIN）構(gòu)建了滿足陷門和密文不可區(qū)分性的加密算法，并在隨機(jī)預(yù)言機(jī)模型下證明了方案的安全性。雖然文獻(xiàn)［30］的方案具有更小的開銷，但是不具有普適性，密文和搜索陷門生成算法一樣，即采用對(duì)稱雙線性對(duì)，被破解的概率增大，并且方案在標(biāo)準(zhǔn)模型下的安全性亟須解決。2018年，徐海琳等［31］構(gòu)造一個(gè)無安全信道的PEKS 方案，并在標(biāo)準(zhǔn)模型下證明了方案的安全性，但該方案基于雙線性，計(jì)算開銷很大，所以實(shí)用性不強(qiáng)。2020 年，Yu等［32］為抵御內(nèi)部KGA 提出了一種基于格的PEKS 方案，采用基于格的簽名技術(shù)對(duì)關(guān)鍵詞加密，以防止惡意服務(wù)器偽造有效密文。對(duì)于離線的內(nèi)部/外部KGA 已有大部分研究，但在線的KGA 卻較少，文獻(xiàn)［33］采用密文隨機(jī)化技術(shù)設(shè)計(jì)出可以抵抗在線和離線的KGA 方案，并在隨機(jī)模型下證明了方案的安全性。

將KGA 設(shè)計(jì)在內(nèi)已是現(xiàn)在PEKS 方案必須要考慮的內(nèi)容。從最初的使用雙服務(wù)器，指定服務(wù)器到使用私鑰和認(rèn)證聯(lián)合加密關(guān)鍵詞再到基于格和區(qū)塊鏈的技術(shù)，抵抗惡意關(guān)鍵詞猜測(cè)攻擊一直沒有得到有效解決。未來面對(duì)高性能計(jì)算機(jī)和龐大個(gè)人隱私數(shù)據(jù)，設(shè)計(jì)出通用并且可以抵抗全面KGA 的方案值得深究。

3.2 文件注入攻擊

文件注入攻擊（File-Injection Attack，F(xiàn)IA）是可搜索公鑰加密要面臨的另一個(gè)安全性挑戰(zhàn)。Zhang等［34］首次發(fā)現(xiàn)了可搜索加密中的文件注入攻擊形式，并對(duì)此展開研究。文件注入攻擊通過惡意服務(wù)器向客戶端注入一組文件以獲取關(guān)鍵詞的搜索陷門信息，文件注入攻擊會(huì)對(duì)數(shù)據(jù)隱私產(chǎn)生不可逆的破壞，攻擊者很容易獲取大量跟用戶相關(guān)的、特定的敏感 關(guān)鍵詞信息。Li等［35］為解決FIA 對(duì)保序加密（Order-Preserving Encryption，OPE）和逆序加密（Order-Revealing Encryption，ORE）的威脅，通過逆向思維首先針對(duì)兩類加密技術(shù)的FIA 方案進(jìn)行挑戰(zhàn)，敵手在只擁有明文空間和一些之前的加密順序或查詢范圍時(shí)實(shí)現(xiàn)了FIA，并由此提高加密算法的安全性。Huang等［36］就非自適應(yīng)文件注入攻擊（Non-Adaptive File Injection Attack，NAFIA）進(jìn)行研究，設(shè)計(jì)了一種新型文件更新模式，對(duì)文件存儲(chǔ)和關(guān)鍵詞索引進(jìn)行調(diào)整，采用隨機(jī)數(shù)異或的方法設(shè)計(jì)密鑰。該方法兼顧文件存儲(chǔ)和索引安全性，有效防止服務(wù)器識(shí)別文件插入的時(shí)間和位置，在抵抗FIA 的同時(shí)提高了通信效率。

4 應(yīng)用性擴(kuò)展性研究

4.1 查詢方式擴(kuò)展

關(guān)鍵詞查詢方式一直是重點(diǎn)問題，針對(duì)單關(guān)鍵詞不連續(xù)的問題，Boneh等［10］提出支持連接關(guān)鍵詞查詢和關(guān)鍵詞比較查詢的PEKS 方案，通過使用隱藏向量加密技術(shù)檢索關(guān)鍵詞密文。出現(xiàn)多關(guān)鍵詞查詢后，關(guān)鍵詞之間的聯(lián)系又出現(xiàn)一系列難題，如關(guān)鍵字之間的順序、多關(guān)鍵字存儲(chǔ)結(jié)構(gòu)、關(guān)鍵詞集合子集查詢等。為了提高用戶得到密文的正確率并提高云服務(wù)器的效率，Hu等［37］提出支持排序的多關(guān)鍵詞PEKS 方案，對(duì)查詢結(jié)果進(jìn)行排序，返回給用戶最相關(guān)的k個(gè)文件，節(jié)約了大量的計(jì)算開銷。但基于雙線性對(duì)的加密方案效率提升較小，楊寧濱等［38］提出一種無需雙線性對(duì)且無需安全信道的多關(guān)鍵詞可認(rèn)證PEKS 方案，在減少計(jì)算雙性對(duì)時(shí)產(chǎn)生的大量開銷的同時(shí)也省去了建設(shè)安全信道付出的通信代價(jià)，并證明了方案滿足密文不可區(qū)分性。

為了進(jìn)一步提高檢索能力，Li等［39］首次提出支持模糊關(guān)鍵詞查詢的可搜索加密方案，通過使用編輯距離測(cè)量關(guān)鍵詞的相似度并構(gòu)造模糊關(guān)鍵詞集合，使用戶在錯(cuò)誤拼寫或者相近單詞下也能搜索到想要的內(nèi)容。Liu等［40］在文獻(xiàn)［39］的基礎(chǔ)上進(jìn)一步減小索引空間的大小。Vaanchig等［41］基于模糊函數(shù)和加密樹技術(shù)提出一種支持模糊關(guān)鍵詞查詢的PEKS方案，并在隨機(jī)預(yù)言機(jī)模型下證明該方案可以抵抗關(guān)鍵詞猜測(cè)攻擊，保證了服務(wù)端和用戶端更高效的檢索操作。樹形結(jié)構(gòu)在檢索關(guān)鍵詞時(shí)能夠極大降低檢索時(shí)間，Shen等［42］為了實(shí)現(xiàn)多關(guān)鍵字搜索和搜索結(jié)果排序的目標(biāo)，采用B+樹的索引結(jié)構(gòu)，為關(guān)鍵詞集建立相似的集合作為樹的節(jié)點(diǎn)，與線性搜索相比效率更加出色。

除上述方式外，目前主流的檢索方式還有可驗(yàn)證關(guān)鍵詞搜索［43］、相似度關(guān)鍵詞搜索、語義關(guān)鍵詞搜索、范圍查詢、子集查詢［44］等高效的查詢方式。

4.2 結(jié)構(gòu)擴(kuò)展

云時(shí)代環(huán)境下，大量無接觸、便攜式物聯(lián)網(wǎng)設(shè)備與互聯(lián)網(wǎng)融合導(dǎo)致大量數(shù)據(jù)在云端存儲(chǔ)。傳統(tǒng)PEKS 方案在面對(duì)當(dāng)下熱點(diǎn)應(yīng)用場(chǎng)景如電子醫(yī)療、視頻直播、區(qū)塊鏈、元宇宙時(shí)，方案的效率以及適用性捉襟見肘。本節(jié)針對(duì)PEKS 方案在新背景下歸納出的三大熱點(diǎn)需求，即：用戶權(quán)限代理分發(fā)、密鑰管理問題、細(xì)粒度搜索和訪問控制能力，給出相應(yīng)功能擴(kuò)展方案介紹，并對(duì)列出的方案進(jìn)行性能和安全分析。

4.2.1 代理可搜索公鑰加密方案

當(dāng)用戶A給用戶B發(fā)送一個(gè)由用戶B公鑰加密的密文郵件，但是用戶B由于某種原因無法接收到密文郵件，于是B通過授權(quán)服務(wù)器把搜索和解密密文郵件的權(quán)限授權(quán)給用戶C，C就可以使用自己的私鑰進(jìn)行搜索和解密A發(fā)送給B的密文郵件。因此，數(shù)據(jù)之間的授權(quán)和共享功能在PEKS 方案中成為熱點(diǎn)。在過去共享數(shù)據(jù)明文信息時(shí)，需要授權(quán)服務(wù)器全程參與，導(dǎo)致效率低下?！按怼钡母拍钍状斡葿laze等［45］提出，代理指通過一個(gè)可信的代理服務(wù)器將數(shù)據(jù)所有者上傳至云服務(wù)器的密文運(yùn)用包含被授權(quán)用戶密鑰的信息進(jìn)行二次加密，數(shù)據(jù)所有者就可以授權(quán)給他想要分享的數(shù)據(jù)使用者，數(shù)據(jù)使用者可以通過自己私鑰產(chǎn)生搜索陷門。Shao等［46］在2010 年基于“代理”的概念首次結(jié)合PEKS 加密特性，提出可搜索代理重加密（Proxy Re-Encryption with Keyword Search，PREKS）概念，PREKS 模型如圖3 所示。與原始的代理重加密方案不同，PREKS 模型中被授權(quán)的數(shù)據(jù)使用者可以給云服務(wù)器提供關(guān)鍵詞搜索功能，發(fā)送關(guān)鍵詞陷門對(duì)重加密密文進(jìn)行關(guān)鍵詞檢索。文獻(xiàn)［46］中構(gòu)造了一種能夠從發(fā)送方到接收方和從接收方到發(fā)送方的雙向代理PREKS 方案，并在隨機(jī)預(yù)言機(jī)模型下證明了方案的安全性。

圖3 PREKS系統(tǒng)模型Fig.3 PREKS system model

Wang等［47］進(jìn)一步擴(kuò)展文獻(xiàn)［46］的研究，提出了支持連接關(guān)鍵詞搜索的受限單向代理重加密的方案，查詢能力顯著提高，并在隨機(jī)預(yù)言機(jī)模型下證明了方案的安全性。Guo等［48］又進(jìn)一步在標(biāo)準(zhǔn)模型而并非隨機(jī)預(yù)言機(jī)模型下設(shè)計(jì)了雙向的指定服務(wù)器代理重加密方案，該方案支持搜索結(jié)果正確性的驗(yàn)證。如今量子計(jì)算機(jī)的出現(xiàn)對(duì)密碼安全性產(chǎn)生極大挑戰(zhàn)，為進(jìn)一步提高方案安全性，能夠抵抗量子計(jì)算機(jī)攻擊，Yang等［49］也在標(biāo)準(zhǔn)模型下給出安全證明，提出一個(gè)新的抗量子的PREKS 方案。對(duì)以往只針對(duì)指定親近的單個(gè)用戶授權(quán)的場(chǎng)景下，Hong等［50］提出一種基于屬性的PREKS 方案，提高了在多用戶場(chǎng)景下的靈活性。牛淑芬等［51］和Xu等［52］就電子醫(yī)療應(yīng)用場(chǎng)景，提出了具有指定關(guān)鍵詞的代理重加密方案，數(shù)據(jù)方通過指定的關(guān)鍵詞進(jìn)行代理共享，而不是把權(quán)限全部移交給被授權(quán)用戶。在授權(quán)多用戶的同時(shí)還指定每個(gè)用戶的權(quán)限范圍，提高了密文數(shù)據(jù)的安全性。PREKS 中涉及到三個(gè)實(shí)體，構(gòu)造者通過實(shí)施不同目標(biāo)的安全模型以更好地抵御安全攻擊，但針對(duì)不同目標(biāo)的安全性缺少通用的方案。未來PREKS 的研究趨勢(shì)是設(shè)計(jì)一個(gè)通用的安全模型以抵抗現(xiàn)有的攻擊，并在不進(jìn)行重加密的模式下對(duì)被授權(quán)用戶撤銷權(quán)限。

表2 為比較有代表性的方案之間的性能對(duì)比。其中：E為模冪運(yùn)算時(shí)間；e為雙線性對(duì)運(yùn)算時(shí)間；h為一般哈希運(yùn)算時(shí)間；H為哈希到點(diǎn)運(yùn)算時(shí)間；l為關(guān)鍵詞數(shù)量；n為密文數(shù)量；m為用戶查詢關(guān)鍵詞數(shù)量。表中的假設(shè)包括：決策雙線性Diffie-Hellman（Decisional Bilinear Diffie-Hellman，DBDH）、q-雙線性Diffie-Hellman反演（q-Bilinear Diffie-Hellman Inversion，q-BDHI）、商決策 雙線性Diffie-Hellman（quotient Decisional Bilinear Diffie-Hellman，qDBDH）、哈 希Diffie-Hellman（Hash Diffie-Hellman，HDH）、改進(jìn)雙線性Diffie-Hellman（modified Bilinear Diffie-Hellman，mBDH）、qDBDHI（q-Decisional Bilinear Diffie-Hellman Inversion）、l-ABDHE（l-Augmented Bilinear Diffie-Hellman Exponent）、wIND-CCA（weakly IND Chosen Ciphertext Attack）。

表2 PREKS方案對(duì)比Tab.2 PREKS scheme comparison

4.2.2 基于身份的可搜索公鑰加密方案

基于身份加密（IBE）的概念最早由Shamir［53］在1984 年提出，“身份”的概念指加密公鑰中包含能夠證明用戶身份的信息，這些信息可以是電子郵箱、電話號(hào)碼、IP 地址、或者身份識(shí)別碼等，私鑰則可以通過密鑰生成中心根據(jù)用戶的身份信息生成?；谏矸莸目伤阉鞴€加密（PEKS based on Identity-Based Encryption，PEKS-IBE）解決了傳統(tǒng)的基于PKI（Public Key Infrastructure）加密中的證書管理問題。PEKSIBE 的基本模型如圖4 所示。

圖4 PEKS-IBE系統(tǒng)模型Fig.4 PEKS-IBE system model

Boneh等［4］設(shè)計(jì)出BF-IBE 系統(tǒng)構(gòu)造了實(shí)用的PEKS-IBE方案，為證書管理提供了緩解方案；但該方案基于雙線性對(duì)構(gòu)造，在性能上達(dá)到實(shí)際生產(chǎn)比較困難。Di Crescenzo等［15］在文獻(xiàn)［54］的基礎(chǔ)上提出第一個(gè)不需要雙線性對(duì)的PEKSIBE 方案，并在隨機(jī)預(yù)言機(jī)模型下證明了方案的安全性。針對(duì)通信上帶來的開銷，Wang等［25］給出了無安全信道的PEKS-IBE，允許多用戶在點(diǎn)對(duì)點(diǎn)組中共享云服務(wù)器的數(shù)據(jù)，降低了網(wǎng)絡(luò)中的通信代價(jià)。Emura等［55］提出了一種支持關(guān)鍵詞可撤銷的匿名身份加密的PEKS 方案，在一定程度上抵抗陷門泄露帶來的安全隱患。Wu等［56］首先提出支持連接關(guān)鍵詞的PEKS-IBE，但該方案不滿足密文的不可區(qū)分性。王少輝等［57］基于文獻(xiàn)［56］提出了指定測(cè)試者的PEKS-IBE 方案，解決了不完全滿足密文不可區(qū)分性的問題，證明了抵抗離線關(guān)鍵詞猜測(cè)攻擊的充分條件是密文不可區(qū)分性。牛淑芬等［58］針對(duì)電子郵件加密系統(tǒng)中存在的離線關(guān)鍵詞猜測(cè)攻擊問題，采用加密關(guān)鍵詞和生成搜索陷門同時(shí)認(rèn)證的方式，提出了具有陷門和密文不可區(qū)分性安全的指定服務(wù)器的PEKS-IBE。IBE 對(duì)密鑰和證書管理提供解決策略，但目前PEKS-IBE 面對(duì)動(dòng)態(tài)更新的密鑰，如何設(shè)計(jì)出計(jì)算代價(jià)更小、更適合便攜式物聯(lián)網(wǎng)設(shè)備的方案成為新的需求。

表3 為上述幾種方案的計(jì)算開銷對(duì)比。其中：Tsm為標(biāo)量乘法運(yùn)算時(shí)間；l為關(guān)鍵詞數(shù)量；n為共享數(shù)據(jù)的用戶數(shù)；λ為安全參數(shù)；J為雅可比符號(hào)。表中假設(shè)包括：QIP、DBDH、BDH 和計(jì)算性Diffie-Hellman（Computational Diffie-Hellman，CDH）。

表3 PEKS-IBE方案對(duì)比Tab.3 PEKS-IBE scheme comparison

4.2.3 無證書可搜索公鑰加密方案

AI-Riyami等［59］在2003 年首次提出無證書公鑰密碼體制。在無證書公鑰密碼體制中，用戶私鑰由密鑰生成中心（Key Generate Center，KGC）和用戶共同生成，是另一種有效解決基于公鑰的密碼體制中存在的密鑰托管和證書管理問題的途徑。無證書PEKS 模型如圖5 所示，私鑰由KGC 和用戶共同生成，數(shù)據(jù)擁有者將密文上傳者至云中，擁有檢索權(quán)限的數(shù)據(jù)用戶根據(jù)想搜索的關(guān)鍵詞生成陷門，云服務(wù)器執(zhí)行匹配操作返回給數(shù)據(jù)用戶。

圖5 無證書PEKS系統(tǒng)模型Fig.5 Certificateless PEKS system model

Peng等［60］首次將無證書密碼體制引入PEKS 方案中，提出一種不需要安全信道的無證書PEKS 方案。Zheng等［61］基于線性決策問題提出一種高效的標(biāo)準(zhǔn)模型下可證明安全的無證書PEKS 方案。面對(duì)關(guān)鍵詞查詢功能的擴(kuò)展問題，Ma等［62］提出無安全信道的支持多關(guān)鍵詞的無證書可搜索加密方案，并在隨機(jī)預(yù)言機(jī)模型下證明了方案的安全性。隨后Ma等［63-64］在智慧醫(yī)療和移動(dòng)醫(yī)療背景下又提出兩種高效的無證書加密方案，解決了密鑰托管難題，并在隨機(jī)預(yù)言機(jī)模型下證明該方案可以抵抗關(guān)鍵詞猜測(cè)攻擊。Wu等［65］在醫(yī)療物聯(lián)網(wǎng)（medical Internet of Things，mIoT）應(yīng)用場(chǎng)景下，提出一種指定服務(wù)器的可認(rèn)證的無證書可搜索公鑰加密方案，在醫(yī)療云物聯(lián)場(chǎng)景下給出了密鑰和證書管理的新思路。Lu等［66］提出了一種無需雙線性對(duì)的無證書可搜索公鑰加密方案，極大提高了方案的計(jì)算效率，并在隨機(jī)預(yù)言機(jī)模型下證明了方案的安全性。張玉磊等［67］基于公鑰加密等值測(cè)試，實(shí)現(xiàn)密文的等值比較，提出支持關(guān)鍵詞搜索的無證書密文等值測(cè)試加密方案。方案在檢索時(shí)自動(dòng)判斷是否接收者需要的信息，根據(jù)判斷結(jié)果進(jìn)行等值測(cè)試，避免了無效測(cè)試，提高了檢索效率。

表4 給出了上述幾種無證書PEKS 方案的性能比較。其中：CI 是Ciphertext Indistinguishability假設(shè)，DLIN 是Decisional Linear 假設(shè)。

表4 無證書PEKS方案對(duì)比Tab.4 Certificateless PEKS scheme comparison

4.2.4 基于屬性的可搜索公鑰加密方案

Sahai等［68］在2005 年提出基于屬性的加密（Attribute-Based Encryption，ABE）概念，把用戶的信息元素作為屬性，形成一系列屬性集。PEKS 方案大多采用傳統(tǒng)公鑰加密實(shí)現(xiàn)，需要發(fā)送方使用每一個(gè)接收方的公鑰加密數(shù)據(jù)，生成多個(gè)密文，造成資源浪費(fèi)，如圖6（a）所示。在ABE 中，發(fā)送方將滿足所有用戶的訪問策略嵌入密鑰，然后通過滿足所有用戶的公共參數(shù)對(duì)數(shù)據(jù)加密生成唯一的密文，如圖6（b）所示。接收方私鑰和屬性相關(guān)聯(lián)形成新的私鑰，如果接收方的屬性與訪問策略集中的信息匹配時(shí)，就可以解密。根據(jù)與訪問策略集相關(guān)的是密文還是私鑰，基于屬性加密還可分為密鑰策略屬性基加密（Key-Policy Attribute-Based Encryption，KPABE）和密文策略屬性基加密（Ciphertext-Policy Attribute-Based Encryption，CP-ABE）兩種方式。

圖6 傳統(tǒng)公鑰加密和ABE的對(duì)比Fig.6 Comparison of traditional public key encryption and ABE

Han等［69］基于弱匿名ABE 的概念設(shè)計(jì)了一個(gè)多用戶下的基于屬性公鑰可搜索加密（PEKS bsed on Attribute-Based Encryption，ABEKS）方案。Zheng等［70］引入可驗(yàn)證屬性基，設(shè)計(jì)了可以通過訪問策略進(jìn)行檢索外包數(shù)據(jù)和驗(yàn)證服務(wù)器是否進(jìn)行正確檢索的ABEKS。但是此方案需要建立安全信道，開銷成本較大。Li等［71］設(shè)計(jì)了將密鑰分發(fā)外包的ABEKS 方案，只有當(dāng)用戶的訪問策略滿足相應(yīng)的屬性時(shí)，用戶才能解密密文，減少了開銷成本。2017 年Zhu等［72］設(shè)計(jì)實(shí)現(xiàn)支持模糊關(guān)鍵詞搜索和密文策略屬性基的ABEKS 方案。Cao等［73］提出基于模糊密文策略屬性的可搜索加密方案，減小了抵抗服務(wù)器提供商和數(shù)據(jù)用戶之間碰撞攻擊程度，提高了安全性。Miao等［74］設(shè)計(jì)了可以抵抗離線關(guān)鍵詞猜測(cè)攻擊的ABEKS 方案。ABE 的引入給PEKS 方案提供了細(xì)粒度的訪問控制功能，在會(huì)員付費(fèi)頻道、用戶權(quán)限控制、移動(dòng)物聯(lián)網(wǎng)等場(chǎng)景都有很好的應(yīng)用前景。目前ABEKS 大多基于CPABE 提出，未來針對(duì)KP-ABE 的方案應(yīng)用也是一種趨勢(shì)。

表5 給出了上述方案的性能和安全性的分析比較。其中：BDH 是雙線性 Diffie-Hellman 假設(shè)；SeS 為Selective Security；N為數(shù)據(jù)所有者的訪問控制策略中涉及的屬性數(shù)量；S為數(shù)據(jù)用戶的屬性編號(hào)。

表5 ABEKS方案對(duì)比Tab.5 ABEKS schemes comparison

4.3 應(yīng)用領(lǐng)域擴(kuò)展

4.3.1 區(qū)塊鏈

由于區(qū)塊鏈的去中心化、透明、可溯源、不可篡改等特性，越來越多的學(xué)者將可搜索公鑰加密技術(shù)與區(qū)塊鏈技術(shù)結(jié)合以提高加密的安全性。2019 年，劉格昌等［75］提出一種基于可搜索加密的區(qū)塊鏈數(shù)據(jù)隱私保護(hù)機(jī)制，把加密數(shù)據(jù)放在鏈上，在交易單中增加關(guān)鍵詞的加密信息以進(jìn)行關(guān)鍵詞檢索，用戶使用私鑰生成關(guān)鍵詞搜索陷門。將此方案運(yùn)用到個(gè)人醫(yī)療數(shù)據(jù)區(qū)塊鏈系統(tǒng)的應(yīng)用場(chǎng)景中，解決了個(gè)人醫(yī)療隱私信息的泄露等問題。同年，高夢(mèng)婕等［76］也針對(duì)醫(yī)療場(chǎng)景提出了一種結(jié)合區(qū)塊鏈的可搜索加密方案，在密鑰分發(fā)時(shí)嵌入Shamir 秘密共享技術(shù)，利用智能合約技術(shù)進(jìn)行密鑰的驗(yàn)證和恢復(fù)，并給出了方案的安全性證明。牛淑芬等［77］針對(duì)密文檢索效率低的問題，提出一種基于B+樹結(jié)構(gòu)的密文排序可搜索加密方案。通過區(qū)塊鏈技術(shù)解決多方信任的問題，利用B+樹的索引結(jié)構(gòu)結(jié)合加權(quán)統(tǒng)計(jì)算法實(shí)現(xiàn)了多關(guān)鍵詞查詢結(jié)果的排序，提高了鏈上密文數(shù)據(jù)檢索的效率，并在隨機(jī)預(yù)言機(jī)模型下證明了該方案的安全性。

2020 年，杜瑞忠等［78］針對(duì)可搜索公鑰加密方案中常見的陷門安全問題，結(jié)合智能合約技術(shù)與PEKS 方案提出了基于區(qū)塊鏈的可搜索公鑰加密方案，解決了陷門不可區(qū)分性問題，證明了方案可以抵抗內(nèi)部關(guān)鍵詞猜測(cè)攻擊。同年，閆璽璽等［79］提出了基于區(qū)塊鏈的可驗(yàn)證的屬性基可搜索加密方案，實(shí)現(xiàn)了檢索結(jié)果的可驗(yàn)證性，并依據(jù)區(qū)塊鏈的不可篡改性，保證了用戶不需要額外的驗(yàn)證操作就可以得到正確結(jié)果，大幅提高檢索效率并降低計(jì)算開銷。Yang等［80］在加密文件上傳至云上的同時(shí)將加密索引放在區(qū)塊鏈中，保證了加密索引的防篡改、完整性和可追溯性；同時(shí)也保證了用戶在不需要任何第三方驗(yàn)證的情況下即可獲得準(zhǔn)確的搜索結(jié)果；此外，該方案在隨機(jī)預(yù)言機(jī)模型下證明可以抵抗內(nèi)部關(guān)鍵詞猜測(cè)攻擊。2021 年，Sun等［81］為了在保護(hù)物流信息隱私安全的同時(shí)快速查詢物流信息，提出了可搜索和加密的物流信息區(qū)塊鏈數(shù)據(jù)查詢算法，解決了在時(shí)間更新后無法查詢加密數(shù)據(jù)的問題。PEKS 方案將密文、公鑰、用戶關(guān)鍵詞集或關(guān)鍵詞陷門等內(nèi)容進(jìn)行上鏈，將它擴(kuò)展功能與區(qū)塊鏈領(lǐng)域技術(shù)相結(jié)合是當(dāng)下和未來研究的熱點(diǎn)之一［82-83］。

4.3.2 智能電網(wǎng)

智能電網(wǎng)作為物聯(lián)網(wǎng)的新型應(yīng)用受到學(xué)術(shù)界的廣泛關(guān)注。智能電網(wǎng)系統(tǒng)不僅可以通過傳感器和智能電表測(cè)量和收集用戶用電量數(shù)據(jù)，還可以通過強(qiáng)大的云計(jì)算平臺(tái)存儲(chǔ)和利用能源使用數(shù)據(jù)。隨著電力信息上傳到云端，這些數(shù)據(jù)的安全性和隱私性至關(guān)重要，于是越來越多的公司選擇將數(shù)據(jù)加密后外包到云服務(wù)器。2013 年，Wen等［84］提出一種基于加密計(jì)量數(shù)據(jù)的隱私保護(hù)范圍查詢（Privacy-preserving Range Query，PaRQ）方案以解決智能電網(wǎng)財(cái)務(wù)審計(jì)中的隱私問題。PaRQ 構(gòu)造了基于隱藏向量加密的范圍查詢謂詞來加密數(shù)據(jù)的可搜索屬性和會(huì)話密鑰。2014 年，Li等［85］提出一種支持多關(guān)鍵詞范圍查詢的可搜索加密方案，解決了智能電網(wǎng)能源拍賣中買家和賣家的信息隱私和能源數(shù)據(jù)加密檢索的問題。2019 年Uwizeye等［86］為智能電網(wǎng)場(chǎng)景設(shè)計(jì)了一種新的連接關(guān)鍵詞搜索的無證書可搜索公鑰加密方案，降低了通信成本并在隨機(jī)預(yù)言機(jī)模型下證明了方案的安全性。同年，Eltayieb等［87］提出一種基于屬性的可搜索加密方案。此方案的加密階段和生成屬性控制策略階段均在離線狀態(tài)下執(zhí)行，并且證明了能夠抵抗關(guān)鍵詞猜測(cè)攻擊。2021 年，Tur等［88］將混沌密碼和搜索加密技術(shù)嵌入電力系統(tǒng)之間的通信指令，實(shí)現(xiàn)了在線抵御網(wǎng)絡(luò)攻擊和關(guān)鍵詞猜測(cè)攻擊。

5 結(jié)語

本文對(duì)現(xiàn)有PEKS 方案的典型構(gòu)造、安全問題、表達(dá)方式、功能擴(kuò)展和應(yīng)用領(lǐng)域展開敘述。在云計(jì)算和物聯(lián)網(wǎng)的時(shí)代大背景下，PEKS 的研究越來越成熟，但依然是學(xué)者們研究的熱點(diǎn)。各種PEKS 方案仍然有許多缺點(diǎn)或問題待解決。

1）搜索表達(dá)方式：在現(xiàn)有的PEKS 方案上構(gòu)造更加高效且復(fù)雜的搜索查詢方式，不僅支持單關(guān)鍵詞，還要支持多關(guān)鍵詞、字符串、模糊關(guān)鍵詞、語義關(guān)鍵詞、子集搜索等檢索方式。然而大多數(shù)搜索方式的改進(jìn)都是以效率和安全性為代價(jià)，致力于協(xié)調(diào)統(tǒng)一將是未來研究的重點(diǎn)之一。

2）安全性和效率：現(xiàn)有的PEKS 方案大都在隨機(jī)預(yù)言機(jī)模型下進(jìn)行安全性證明，具有局限性，在實(shí)際應(yīng)用中不一定安全。未來的PEKS 方案將著重在標(biāo)準(zhǔn)模型下給出安全性證明，不僅要求滿足離線關(guān)鍵詞猜測(cè)攻擊，還要滿足在線的關(guān)鍵詞猜測(cè)攻擊。同時(shí)，現(xiàn)有的大部分PEKS 方案都基于雙線性對(duì)困難問題設(shè)計(jì)，計(jì)算開銷較大，如何構(gòu)建一個(gè)高效的無雙線性對(duì)的PEKS 方案且在標(biāo)準(zhǔn)模型下給出普適的安全性證明仍是一個(gè)亟待解決的問題。

3）抗量子安全：隨著量子計(jì)算機(jī)的發(fā)展，許多基于傳統(tǒng)數(shù)學(xué)困難問題的PEKS 方案的安全性將受到威脅。如何設(shè)計(jì)能夠抵抗量子攻擊的PEKS 方案將是未來重點(diǎn)研究的方向。

面對(duì)中央處理器（Central Processing Unit，CPU）算力不斷提升和數(shù)據(jù)量飛速增長(zhǎng)，對(duì)PEKS 技術(shù)進(jìn)行幾個(gè)方面的展望。

1）多源數(shù)據(jù)：隨著多媒體信息以爆炸式的速度增長(zhǎng)，尤其是以視頻和圖像為代表的多媒體信息。為了保護(hù)數(shù)據(jù)隱私，包含敏感內(nèi)容的數(shù)據(jù)信息在上傳到云端之前需要進(jìn)行加密。然而，如何在加密數(shù)據(jù)上查詢所需的視頻或圖像成為一個(gè)棘手的問題，未來可以考慮應(yīng)用PEKS 處理此類問題。

2）基于格的PEKS：隨著量子計(jì)算的發(fā)展，傳統(tǒng)的密碼算法將面臨巨大的挑戰(zhàn)，很容易被量子計(jì)算機(jī)攻擊，因此，有必要設(shè)計(jì)一種能夠抵抗量子攻擊的密碼算法?；诟竦拿艽a系統(tǒng)由于效率和概念上的簡(jiǎn)單性，在后量子算法中變得越來越流行。學(xué)術(shù)界對(duì)此已有研究［89-90］，未來迫切需要構(gòu)建一種高效、安全的基于格的PEKS 方案。

3）輕量級(jí)的PEKS：在實(shí)際的工業(yè)物聯(lián)網(wǎng)應(yīng)用中，大多數(shù)的設(shè)備均為輕量級(jí)的物聯(lián)網(wǎng)設(shè)備，例如，傳感器、集線器或微型移動(dòng)設(shè)備等，這些設(shè)備大多僅具有有限的硬件計(jì)算能力和信號(hào)傳輸能力?？紤]到這些輕量級(jí)設(shè)備的計(jì)算能力，加入加密算法時(shí)必須采用輕量級(jí)的加密標(biāo)簽生成算法，使算法具備較低的計(jì)算開銷和通信開銷，從而達(dá)到降低能耗、延長(zhǎng)電池使用時(shí)間的目的。因此，設(shè)計(jì)出符合物聯(lián)網(wǎng)環(huán)境下的輕量級(jí)可搜索加密方案將是可搜索加密未來的研究任務(wù)之一。