摘要：隨著云存儲與云計算的不斷發(fā)展，越來越多的組織和個人選擇將隱私數(shù)據(jù)存放到云環(huán)境中，這可能面臨不可信的云存儲服務(wù)器或者路由服務(wù)器竊取用戶隱私的問題?？伤阉骷用芗夹g(shù)是一種用戶隱私保護技術(shù)，它允許合法用戶在密文狀態(tài)下進行搜索和查詢數(shù)據(jù)?？伤阉骷用芗夹g(shù)包括對稱可搜索加密技術(shù)與非對稱可搜索加密技術(shù)，也包括諸如同態(tài)加密技術(shù)與可搜索加密相結(jié)合的加密技術(shù)。在未來面對更復(fù)雜的應(yīng)用場景，諸如云環(huán)境、跨域、數(shù)據(jù)量的增大或者是查詢方式的改變，傳統(tǒng)的可搜索加密技術(shù)將面臨巨大挑戰(zhàn)。量子加密是基于量子不可克隆定理及量子不確定性原理等基礎(chǔ)物理知識而發(fā)展起來的，它在更好地保護用戶數(shù)據(jù)隱私的情況下也可以做到搜索與查詢。在原有可搜索加密技術(shù)的基礎(chǔ)之上，結(jié)合量子技術(shù)，預(yù)測了量子可搜索加密技術(shù)的發(fā)展方向，并分析了量子技術(shù)的安全優(yōu)勢。

關(guān) 鍵 詞：可搜索加密； 對稱加密； 非對稱加密； 同態(tài)加密； 量子糾纏氧化鈷; 納米結(jié)構(gòu); 電容器; 電催化

中圖分類號：TP319

文獻標(biāo)志碼：A

doi：10.3969/j.issn.1673-5862.2024.04.007

Research on quantization strategies for searchable encryption systems

CUI Song^1，2， LYU Yan^1，2， CHEN Lanfeng^1，2

ZHU Hongfeng， SUN Yan， FAN Shuguo， SUN Ke， DONG Baiqiang， SUN Ziyi

（1. College of Physical Science and Technology， Shenyang Normal University， Shenyang 110034， China）（Software College， Shenyang Normal University， Shenyang 110034， China）

Abstract：With the continuous development of cloud storage and cloud computing， more and more organizations and individuals choose to store private data in the cloud environment. However， they may face the risk of untrusted cloud storage servers or routing servers stealing user privacy. Searchable encryption technology is a user privacy protection technology that allows legitimate users to search and query data in a ciphertext state. Searchable encryption techniques include symmetric searchable encryption and asymmetric searchable encryption， as well as homomorphic encryption techniques that can be combined with searchable encryption. In the future， facing more complex application scenarios such as cloud environments， cross domain， increasing data volume， or changes in query methods， traditional searchable encryption faces enormous challenges. Quantum encryption is developed based on fundamental physical knowledge such as quantum non cloning theorem and quantum uncertainty principle. It can also achieve search and query while better protecting user data privacy. This article， based on the existing searchable encryption technology and combined with quantum technology， envisions the development direction of quantum searchable encryption technology and analyzes the security advantages of quantum technology.

Key words：searchable encryption; symmetric encryption; asymmetric encryption; homomorphic encryption; quantum entanglement

可搜索加密（searchable encryption，SE）旨在將數(shù)據(jù)文件加密后存儲到云端，在密文狀態(tài)下對數(shù)據(jù)進行搜索。用戶為節(jié)省自身的存儲資源開銷，選擇將數(shù)據(jù)存儲到云端，但是又不想服務(wù)器知道存儲數(shù)據(jù)內(nèi)容，因此需要對數(shù)據(jù)進行加密后存儲。當(dāng)用戶需要對文件內(nèi)容進行查詢時，只有經(jīng)過認(rèn)證的合法用戶才可通過關(guān)鍵詞檢索對應(yīng)的密文數(shù)據(jù)^［1］。

現(xiàn)如今有很多企業(yè)提供云存儲服務(wù)，企業(yè)為了吸引更多的用戶會盡可能地保證數(shù)據(jù)的安全性。隨著云存儲服務(wù)用戶的增加，其數(shù)據(jù)本身的價值便會超過竊取數(shù)據(jù)造成損失的價值，于是云服務(wù)器可能會竊取用戶數(shù)據(jù)秘密^［2-4］。傳統(tǒng)的可搜索加密中還可能面臨惡意服務(wù)器返回給用戶不完整或者不正確的信息，因此驗證搜索結(jié)果是否正確也是需要解決的問題。

在量子力學(xué)中，當(dāng)幾個粒子在彼此相互作用之后，由于各個粒子所擁有的特性已成為整體性質(zhì)，無法單獨描述各個粒子的性質(zhì)，只能描述整體系統(tǒng)的性質(zhì)，則稱這現(xiàn)象為量子糾纏^［5］。自量子糾纏被發(fā)現(xiàn)以來，科學(xué)家們經(jīng)過努力，不斷發(fā)展了對量子糾纏態(tài)的制備、操作和測量等一系列技術(shù)。2022年諾貝爾物理學(xué)獎由John Clauser，Alain Aspect，Anton Zeilinger三位科學(xué)家獲得，以表彰他們在量子力學(xué)中做出的杰出貢獻。依托量子基礎(chǔ)知識發(fā)展出來的量子技術(shù)有量子安全直接通信^［6-7］、量子密鑰分發(fā)^［8-9］、量子秘密共享^［10-11］等。

依托量子技術(shù)的可搜索加密方案可以解決眾多數(shù)據(jù)應(yīng)用的需求^［12］：

1）隱私保護的需求。個人數(shù)據(jù)牽涉?zhèn)€人隱私，企業(yè)和組織數(shù)據(jù)牽涉企業(yè)機密，敏感數(shù)據(jù)存放到云端時，使用密文存儲可以有效地防止隱私泄露。量子技術(shù)使加密技術(shù)不再依賴傳統(tǒng)的復(fù)雜數(shù)學(xué)計算，可以更好地保護隱私。

2）安全搜索需求。傳統(tǒng)的數(shù)據(jù)加密和存儲，需要將密文解密為明文才可進行搜索操作，但這可能會造成隱私泄露。量子技術(shù)保證了協(xié)議面對強大計算能力的攻擊者時，仍然可以保護數(shù)據(jù)隱私。

3）數(shù)據(jù)共享需求。云上的數(shù)據(jù)意味著接入互聯(lián)網(wǎng)的任何用戶在得到許可之后均可進行訪問，但是傳統(tǒng)的通信技術(shù)在分享密鑰時往往可能造成密鑰泄露。當(dāng)多個用戶共同進行搜索時，基于量子技術(shù)的可搜索加密便可實現(xiàn)多用戶的數(shù)據(jù)共享和協(xié)作。

綜上所述，可搜索加密技術(shù)能夠有效解決密文數(shù)據(jù)的搜索操作需求，量子技術(shù)可以有效解決密鑰的安全問題和擴大應(yīng)用場景。如圖1所示為本文整體架構(gòu)。隨著量子技術(shù)的成熟，量子計算的強大計算能力和傳統(tǒng)密碼學(xué)領(lǐng)域?qū)⒚媾R更多挑戰(zhàn)，將傳統(tǒng)的可搜索加密技術(shù)和量子技術(shù)相結(jié)合會發(fā)展出更安全有前景的方案。

1 基本原理

1.1 量子資源

GHZ態(tài)是一種常見的量子糾纏態(tài)^［13］，N粒子構(gòu)成的GHZ態(tài)可描述如下：

在本文中用到的是三粒子的GHZ態(tài)，最大糾纏三粒子GHZ態(tài)的具體形式可以表示為

將三粒子中的任何一個部分做求跡運算，剩下的兩粒子態(tài)是2個單體間的直積態(tài)，即糾纏態(tài)被破壞，這時測量后的粒子與塌縮后的粒子狀態(tài)是可推導(dǎo)的。本文利用量子糾纏的這種特性進行編碼傳遞信息。

1.2 可搜索加密過程

可搜索加密一般分為以下幾個步驟：

1）數(shù)據(jù)加密。在進行數(shù)據(jù)加密之前按情況需對數(shù)據(jù)進行預(yù)處理，這包括將數(shù)據(jù)歸類、劃分小塊、提取關(guān)鍵詞等。數(shù)據(jù)擁有者生成加密密鑰，使用加密密鑰將明文加密為密文，并將密文上傳至服務(wù)器，加密算法可為對稱或非對稱加密。

2）陷門生成。在可搜索加密中需要使用陷門進行搜索。陷門是一個特殊的“機關(guān)”，可用于數(shù)據(jù)匹配，陷門還被要求不能泄露關(guān)鍵詞等隱私信息。

3）檢索過程。用戶需要搜索特定關(guān)鍵詞時，將該關(guān)鍵詞生成特殊陷門。服務(wù)器將陷門作為輸入與索引結(jié)構(gòu)或關(guān)鍵詞等信息進行匹配，以達到搜索的目的，這一過程服務(wù)器僅知道是否匹配成功，除此之外并不會獲得任何私有數(shù)據(jù)。

4）數(shù)據(jù)解密。在解密過程中需要用到密文搜索結(jié)果和解密密鑰，以此獲得明文的搜索結(jié)果。

可搜索加密在執(zhí)行搜索和查詢?nèi)蝿?wù)的同時，要兼顧保護用戶隱私的功能?？伤阉骷用艿年P(guān)鍵不僅僅在于如何高效的實現(xiàn)陷門生成和構(gòu)建索引進而更好的完成搜索操作，安全的保護用戶數(shù)據(jù)隱私和抵御外部攻擊者同樣重要。本文將從基本概念和傳統(tǒng)的可搜索加密開始，進而提出本文的量子改進策略。2 基于對稱加密的量子可加密搜索

2.1 基本概念

對稱加密算法是一種常見的加密算法。雙方在通信之前，需要商定一個共享密鑰，彼此必須保密。若密鑰被未授權(quán)第三方或者云服務(wù)器獲取，便可以直接破解所有可獲得的密文，所以密鑰分發(fā)是一個明顯的弱點。密鑰在傳輸?shù)倪^程中可能會被竊取，在分發(fā)密鑰時和服務(wù)器端也容易出現(xiàn)密鑰泄露的問題，從而導(dǎo)致明文泄露。

2.2 基于對稱加密的可搜索加密

對稱可搜索加密要保證明文在密文狀態(tài)下進行搜索匹配需要進行嚴(yán)格的流程定義，傳統(tǒng)的對稱可搜索加密算法包含5個部分，即：

1）K=KeyGen（λ）：輸入安全參數(shù)λ，生成加密密鑰K。

2）S=Encrypt（K，D）：數(shù)據(jù)擁有者使用密鑰K將明文D生成密文S。

3）T_W=Trapdoor（K，W）：檢索用戶依據(jù)密鑰K和自己想要檢索的關(guān)鍵詞W生成陷門T_W發(fā)送給服務(wù)器進行檢索。

4）S（W）=Search（T_W）：服務(wù)器根據(jù)陷門T_W與密文集合S進行匹配查找，若匹配成功，將密文S（W）發(fā)送給用戶。

5）D=Decrypt（K，S（W））：用戶使用密鑰K將服務(wù)器返回的密文S（W）解密得到明文D。

在典型的對稱可搜索加密方案中，Song等^［14］于2000年發(fā)表的論文中最早給出了具體的實現(xiàn)過程。其將明文文件劃分為“單詞”進行加密，并在搜索匹配時也使用“關(guān)鍵詞”進行搜索匹配，通過對整個密文文件的掃描和對密文單詞進行對比就可確認(rèn)關(guān)鍵詞是否存在，從而返回搜索結(jié)果。在Song等^［14］的研究成果中將整個流程分為數(shù)據(jù)處理和搜索數(shù)據(jù)2個過程進行。

1）數(shù)據(jù)處理。數(shù)據(jù)被用于搜索之前需要進行一系列操作，其目的是將數(shù)據(jù)轉(zhuǎn)化為適合加密和搜索的形式。在Song等^［14］的方案中，數(shù)據(jù)的處理分為數(shù)據(jù)預(yù)加密和數(shù)據(jù)整理。（1）數(shù)據(jù)預(yù)加密。在文件分割過程中會出現(xiàn)相似單元的情況，為了加強文件的保密性，Song等^［14］采取了雙重加密的策略。即便攻擊者能夠破譯加密密鑰K，預(yù)加密仍然能夠為文件提供一定的安全性，有效保護數(shù)據(jù)的機密性。（2）數(shù)據(jù)整理。在不可信的服務(wù)器存儲問題上，數(shù)據(jù)擁有者Alice需要在加密前將每個文件分割成單詞塊，然后這些單元被單獨加密。這使得服務(wù)器能夠在加密數(shù)據(jù)上執(zhí)行高效的關(guān)鍵詞搜索，而無須下載和解密整個文件。由于文件被分割并單獨加密，即使服務(wù)器被攻擊或存在安全漏洞，攻擊者也難以獲取文件的完整內(nèi)容，增強了數(shù)據(jù)的安全性，如圖2所示。

2）搜索數(shù)據(jù)。搜索數(shù)據(jù)需要關(guān)鍵詞對應(yīng)的陷門，有正確陷門的用戶能夠在密文中進行有條件的搜索匹配，而不必解密整個數(shù)據(jù)集，通過密文數(shù)據(jù)集和陷門可以找到關(guān)鍵詞對應(yīng)的密文，Alice可以通過發(fā)回的密文和對應(yīng)陷門得到預(yù)加密的明文信息，通過對稱解密可得到明文。陷門只能由Alice生成，這是通過將密鑰與函數(shù)參數(shù)結(jié)合來實現(xiàn)的，只有知道這個密鑰的用戶才能生成正確的函數(shù)值，由于陷門只能由特定的用戶生成，因此它可以用于防止數(shù)據(jù)被篡改或偽造。

2.3 使用量子技術(shù)的改進策略

2.3.1 面臨的威脅

傳統(tǒng)的對稱可搜索加密往往適用于單用戶模型，即用戶加密個人文件并將其存儲于不可信的外部服務(wù)器中，只有該用戶擁有檢索關(guān)鍵詞的能力，服務(wù)器無法獲取明文文件和關(guān)鍵詞信息。但是在實際中，往往會有信息共享需求的出現(xiàn)，即數(shù)據(jù)擁有者將文件加密存儲到服務(wù)器后，其他用戶擁有向數(shù)據(jù)所有者申請搜索的能力。在前文提到的方案中，其應(yīng)用往往局限于單用戶模型，便可以不考慮密鑰在傳輸過程中可能出現(xiàn)的密鑰泄露問題。而當(dāng)密鑰需要傳輸時，傳統(tǒng)的基于經(jīng)典信道的通信系統(tǒng)可能面對具有量子能力的攻擊者的威脅，密鑰一旦泄露便會造成隱私的泄露。

2.3.2 改進策略

利用量子技術(shù)進行密鑰分發(fā)以避免經(jīng)典的加密算法分發(fā)密鑰可能存在的密鑰泄露風(fēng)險。量子密鑰分發(fā)在需要量子信道的同時，同樣需要經(jīng)典信道的支持，以便傳遞正確的量子序列信息。本文提出使用量子資源分發(fā)密鑰，使用n粒子GHZ態(tài)序列作為糾纏資源進行密鑰的分發(fā)，可以實現(xiàn)多用戶進行密鑰的共享。n粒子GHZ態(tài)的最大糾纏態(tài)可以表示為如下形式：

n粒子GHZ態(tài)3個粒子間的狀態(tài)是可推導(dǎo)的，即其中一個粒子進行單比特測量之后，其余n-1個粒子的狀態(tài)也是相同的，可以借此進行密鑰分配。當(dāng)數(shù)據(jù)擁有者手中的x個n粒子GHZ態(tài)序列被分發(fā)給n-1個用戶之后，便對x個量子比特逐一進行單量子比特測量，若測量結(jié)果是|0〉，則其余用戶測量結(jié)果也是|0〉，反之亦然。數(shù)據(jù)擁有者和用戶可以借此經(jīng)由可信的經(jīng)典信道傳遞粒子序列位置信息，以此傳遞密鑰。量子信息在傳遞過程中可能遭受擁有量子能力的攻擊者的襲擊，即攻擊者可能實施截取-重發(fā)攻擊、糾纏測量攻擊等攻擊方式。由于生成的x個量子序列信息中摻雜有誘騙粒子，但是攻擊者在攻擊時無法獲知誘騙粒子的位置信息，便會將誘騙粒子當(dāng)作正常信息竊取。當(dāng)粒子傳遞完成之后，數(shù)據(jù)擁有者會公布誘騙粒子的位置信息，用戶經(jīng)過單比特測量之后發(fā)現(xiàn)錯誤閾值超出上限便會得知通信過程受到攻擊，從而重新申請分發(fā)密鑰。過程如圖3所示。

量子密鑰分發(fā)的安全性和可行性已經(jīng)被證明^［15］，即在量子信道上通過通信達成密鑰協(xié)商，并且該證明是通用的，因此適用于已知的協(xié)議，如BB84和B92。此外，該文獻中還指出量子密鑰分發(fā)協(xié)議生成的密鑰可以安全地用于任何應(yīng)用。本改進策略使用的是基于GHZ態(tài)的量子密鑰分發(fā)，適用上述證明，其量子電路和實驗均可以實現(xiàn)。

2.3.3 安全分析

使用量子資源分發(fā)密鑰，是利用量子力學(xué)的物理學(xué)特性來保證通信安全性。使用量子資源分發(fā)密鑰擁有一個無可替代的優(yōu)勢：當(dāng)攻擊者試圖竊聽密碼時，由于誘騙粒子的存在，通信的雙方會察覺。這種性質(zhì)基于量子力學(xué)的基本原理：任何對量子系統(tǒng)的測量都會對系統(tǒng)產(chǎn)生干擾。通過量子疊加態(tài)或量子糾纏態(tài)來傳輸信息，通信系統(tǒng)便可以檢測是否存在竊聽。由于量子計算機的發(fā)展，面對未來日益復(fù)雜的網(wǎng)絡(luò)環(huán)境和日益增強的計算能力，使用量子資源分發(fā)密鑰無疑可以更好地保證通信的安全性。而且，受限于單用戶模型的應(yīng)用場景，量子改進策略在拓展了對稱搜索加密應(yīng)用場景的同時更好地保證了其安全性。

3 基于非對稱加密的量子可搜索加密

3.1 基本概念

1）非對稱加密。也叫公鑰加密（公共密鑰加密），指的是由對應(yīng)的一對唯一性的密鑰組成的加密方法。在公鑰加密體制中，公開的是公鑰，它用于加密數(shù)據(jù)，沒有公開的是私鑰，用于解密數(shù)據(jù)。公鑰加密技術(shù)允許任何人對信息進行加密處理后將它發(fā)送給另一個人，而不需要預(yù)先交換密鑰。

2）非對稱可搜索加密。即公鑰可搜索加密（public key encryption with keyword search，PEKS），是由Boneh等^［16］于2004年提出。當(dāng)收件人Alice需要郵件服務(wù)器提供過濾郵件的服務(wù)時，Alice希望立即得到含有相關(guān)關(guān)鍵詞的郵件，但又不希望暴露自己期望關(guān)鍵詞的明文。在這種情況下便需要用到可搜索加密，Alice將期望關(guān)鍵詞的陷門傳輸給服務(wù)器，服務(wù)器在接收到來自發(fā)件人Bob的密文郵件時會對關(guān)鍵詞進行匹配，若含有特定關(guān)鍵詞便進行“緊急”傳輸。

3.2 基于非對稱加密的可搜索加密

在可搜索加密體制下，往往要確保各種隱私信息的安全，需要引入密鑰生成算法生成密鑰、使用加密算法對明文進行加密、通過陷門生成算法匹配關(guān)鍵詞等。非對稱可搜索加密過程包含：密鑰生成、明文加密、生成陷門、搜索匹配4個過程，過程如圖4和下列1）、2）、3）、4）所示，這一方案由Boneh等^［16］給出。

1）KeyGen（s）：接收方設(shè)置一個安全參數(shù)s，生成公鑰pk和私鑰sk。

2）PEKS（pk，W）：發(fā)送方輸入公鑰pk和關(guān)鍵詞W生成密文S。

3）Trapdoor（sk，W）：接收方輸入私鑰sk和關(guān)鍵詞W生成檢索需要的陷門T_W。

4）Test（pk，S，T_W）：服務(wù)器輸入公鑰pk、關(guān)鍵詞密文S=PEKS（pk，W′）和陷門T_W=Trapdoor（sk，W），當(dāng)W=W′時輸出“yes”，否則輸出“no”。

非對稱可搜索加密研究還包含一致性。一致性是指解密與加密互為逆過程，即存在隨機2個關(guān)鍵詞W₁和W₂，通過陷門生成算法生成T_W1，由加密算法生成關(guān)鍵詞密文S_W2，如果W₁≠W₂，則Pr［Test（pk，PEKS（pk，W₁），Trapdoor（sk，W₂））=1］=0。以往的研究中普遍認(rèn)為Boneh等^［16］的研究只滿足計算一致性，缺少完美一致性和統(tǒng)計一致性。對于缺少的一致性，以往的研究中已經(jīng)給予了補充^［17］，在以往的研究綜述中也給予了簡要說明^{［12，18-19］}。

Boneh等^［16］的方案存在一些缺點：算法計算開銷大，效率低，不適合傳輸大批量加密數(shù)據(jù)的檢索查詢；陷門與關(guān)鍵詞嚴(yán)格綁定，攻擊者可以通過網(wǎng)絡(luò)攻擊獲取陷門信息；需要面對關(guān)鍵詞猜測攻擊等。隨著量子技術(shù)的發(fā)展，依靠復(fù)雜數(shù)學(xué)計算的經(jīng)典非對稱可搜索加密系統(tǒng)面臨巨大安全威脅，依靠物理特性的量子技術(shù)與非對稱可搜索加密相結(jié)合可以更好的促進雙方共同發(fā)展。

3.3 使用量子技術(shù)的改進策略

3.3.1 面臨威脅

關(guān)鍵詞猜測攻擊是一種針對密碼或加密密鑰的攻擊方法。用戶在選取關(guān)鍵詞時往往傾向于選擇對自己有意義的關(guān)鍵詞，會導(dǎo)致關(guān)鍵詞空間較小，從而給攻擊者提供遍歷關(guān)鍵詞空間的可能。外部攻擊者發(fā)出的攻擊稱為外部關(guān)鍵詞攻擊^［19］，由服務(wù)器發(fā)起的攻擊稱為內(nèi)部關(guān)鍵詞攻擊。內(nèi)部關(guān)鍵詞攻擊通常不會造成隱私信息被惡意攻擊者獲得，因為內(nèi)部關(guān)鍵詞攻擊往往是服務(wù)器出于“好奇”而嘗試獲取秘密信息。

3.3.2 改進策略

本文提出用量子技術(shù)改進非對稱可搜索加密協(xié)議。明文中關(guān)鍵詞集合信息往往是比較小的，將關(guān)鍵詞信息量子化，配合量子糾纏技術(shù)可以完美地傳輸關(guān)鍵詞信息。改進方案中，發(fā)送者的明文信息仍然使用公鑰加密技術(shù)加密，關(guān)鍵詞信息使用公鑰和量子技術(shù)共同傳輸。信息傳輸時不需要全部節(jié)點擁有量子能力，只需要部分節(jié)點擁有量子能力即可。具體描述如下所示，具體流程如圖5所示。

1）KeyGen（s）：接收方設(shè)置一個安全參數(shù)s，生成公鑰pk和私鑰sk。

2）PEKS（pk，W）：發(fā)送方輸入公鑰pk和關(guān)鍵詞W生成密文S，發(fā)送方生成雙量子糾纏態(tài)序列，Bell態(tài)|B〉=1/√ˉ2（|00〉+|11〉），并準(zhǔn)備單量子比特測量門。

3）QGate（M）：接收方依據(jù)選擇的關(guān)鍵詞W₀進行加密處理，M=PEKS（sk，W₀）。根據(jù)M進行量子編碼生成量子測量門集合Q_G，并將量子測量門集合發(fā)送給服務(wù)器。

4）Test（Q_G，P₁）：發(fā)送方將雙粒子糾纏態(tài)序列中的一個粒子序列P₁發(fā)送給服務(wù)器，自己保留粒子序列P₂。發(fā)送方與服務(wù)器會協(xié)商進行量子編碼傳遞關(guān)鍵詞信息，服務(wù)器利用Q_G測量P₁獲取關(guān)鍵詞信息并進行匹配，當(dāng)W₀=W時，輸出“yes”，否則輸出“no”

利用量子電路來實現(xiàn)Bell態(tài)的制備和測量，何業(yè)鋒等^［20］已經(jīng)給出具體線路圖，在其方案中給出了基于Bell態(tài)的兩方互認(rèn)證半量子密鑰協(xié)商協(xié)議。該協(xié)議同樣是使用半量子能力的參與方進行通信，降低了對參與方的要求，在實際應(yīng)用中便于協(xié)議的實現(xiàn)。

3.3.3 安全分析

加密后的關(guān)鍵詞信息使用量子技術(shù)傳輸，發(fā)送方需要擁有量子生成能力，而服務(wù)器方僅需要擁有單量子比特測量能力即可。在量子力學(xué)中，微觀粒子具有疊加態(tài)，也就是說一個粒子可以同時處于2種狀態(tài)。量子的這種特性也就決定了量子疊加態(tài)無法被克隆復(fù)制，被觀測后塌縮，這就相當(dāng)于處于量子糾纏態(tài)中的粒子一旦被竊取便會立即被發(fā)現(xiàn)。當(dāng)面臨關(guān)鍵詞攻擊時，挑戰(zhàn)者返回給攻擊者的不再是陷門，而是加密后的關(guān)鍵詞信息對應(yīng)的量子測量門。當(dāng)攻擊者仍然想通過遍歷推測關(guān)鍵詞信息時，就算攻擊者擁有量子能力，因為對應(yīng)的關(guān)鍵詞信息是加密后的密文，破解后也沒有意義。

4 基于同態(tài)加密的量子可搜索加密

4.1 基本概念

1）同態(tài)加密。同態(tài)加密是一種基于數(shù)學(xué)難題的計算復(fù)雜性理論的密碼學(xué)技術(shù)，該技術(shù)允許在未解密的前提下，對密文進行一些有意義的運算，使得解密后的結(jié)果等同于對明文直接作運算得出的結(jié)果。如圖6（a）所示，Alice擁有數(shù)據(jù)文件m和密鑰k，她將加密后的數(shù)據(jù)存儲到服務(wù)器中。當(dāng)Alice想要對數(shù)據(jù)進行運算時，對服務(wù)器輸入操作f，服務(wù)器會將f和加密后的數(shù)據(jù)E（k，m）作為輸入進行運算，這種運算相當(dāng)于直接在原文E（k，m）上進行運算。運算完成之后，服務(wù)器會將輸出結(jié)果傳送給Alice，擁有解密密鑰的Alice對密文E（k，f（m））進行解密后便可直接獲得計算結(jié)果。同態(tài)加密保證了在任何計算過程中，云服務(wù)器都無法獲得Alice的數(shù)據(jù)。若操作f只能由加法構(gòu)成，則稱為加同態(tài)，如Paillier算法；若f只能由乘法構(gòu)成，則稱為乘同態(tài)，如RSA算法；加同態(tài)和同態(tài)均稱為部分同態(tài)加密^［21-22］。

2）基于同態(tài)加密的量子可搜索加密。數(shù)據(jù)擁有者Alice可以將數(shù)據(jù)的搜索權(quán)限發(fā)放給合法的用戶，（User），User的搜索過程相當(dāng)于直接作用在明文中進行搜索，不合法的攻擊者無法進行搜索。借助于量子糾纏技術(shù)，對數(shù)據(jù)進行加密和解密的密鑰可實現(xiàn)共享。如圖6（b）所示，服務(wù)器在運算過程中無法解密，攻擊者由于無法獲得Alice的承認(rèn)也無法進行搜索，合法的用戶進行搜索后可根據(jù)k進行解密。

4.2 基于同態(tài)加密的可搜索加密

在以往關(guān)于可搜索加密的研究中^［22］，出于對數(shù)據(jù)隱私的保護或者對密文搜索的輔助，往往都會引入一個可信的第三方幫助協(xié)議運行?？尚欧?wù)器往往會負責(zé)密鑰分發(fā)或者更新，以及協(xié)助用戶驗證搜索結(jié)果等。在本節(jié)中介紹的協(xié)議可信第三方負責(zé)對搜索結(jié)果的檢驗。本節(jié)方案的參與方有：數(shù)據(jù)擁有者（data owner，DO）、云服務(wù)器（sever，S）、數(shù)據(jù)用戶（data user，DU），可信第三方（trusted third party，TP）。DO負責(zé)生成加密密鑰以及一些數(shù)據(jù)的預(yù)處理，DU作為執(zhí)行搜索需求的用戶無須承擔(dān)多余的責(zé)任，S忠實地執(zhí)行自己承擔(dān)的存儲責(zé)任及搜索過程，TP則要負責(zé)生成陷門等一些工作，陷門指在某系統(tǒng)中滿足一定條件便會觸發(fā)的“機關(guān)”?？伤阉骷用芟到y(tǒng)的構(gòu)建包括DO隨機生成密鑰、提取關(guān)鍵詞生成安全索引和加密文件。如圖7所示。

1）生成密鑰：DO的加密組件生成加密密鑰、公鑰ak和私鑰bk。

2）提取關(guān)鍵詞生成安全索引：DO將數(shù)據(jù)文件分塊，并將之編號F_i（0≤i≤n，n=max（File/Fsize）），在每塊文件中提取關(guān)鍵詞，每塊文件中關(guān)鍵詞可以有多個，不同塊文件中關(guān)鍵詞可以重復(fù)。提取完關(guān)鍵詞后，將關(guān)鍵詞統(tǒng)一排序使用密鑰ak進行加密生成安全索引w_i=H（ak，Keyword_i），0≤i≤m，m=KeywordGen（F）。具體的索引向量表見表1，表中文件塊F可以含有多個關(guān)鍵詞，若含有關(guān)鍵詞，則對應(yīng)為1，若無則為0。

3）加密文件：加密文件使用加密密鑰ak對分塊之后的文件分別進行加密H（ak，F(xiàn)ile），其中塊號與對應(yīng)的文件存在索引I（F，H（ak，F(xiàn)ile））。

在檢索階段，用戶首先應(yīng)該獲取可以解密的密鑰bk和包含關(guān)鍵詞的安全索引文件w_i（0≤i≤m）。用戶使用密鑰bk解密安全索引獲得關(guān)鍵詞Keyword，DU根據(jù)Keyword文檔選取想要檢索的關(guān)鍵詞安全索引發(fā)送給TP，由TP生成搜索令牌交由S進行檢索。S在檢索過程中首先匹配安全索引w，根據(jù)索引向量表尋找對應(yīng)的文件塊，若文件塊中含有關(guān)鍵詞，則將其對應(yīng)的加密文件H（ak，F(xiàn)ile）逐一發(fā)送給TP。當(dāng)用戶可能面對多個搜索結(jié)果時，選擇將計算的過程交給可信第三方。TP需要將加密的數(shù)據(jù)進行計算，在計算之后直接將計算結(jié)果傳輸給DU，根據(jù)同態(tài)加密，H（ak，result）=H（ak，F(xiàn)ile₀）+H（ak，F(xiàn)ile₁）+…+H（ak，F(xiàn)ile_n）。

在用戶解密階段，用戶根據(jù)掌握的信息key和H（bk，result）進行同態(tài)解密，U只需從TP處得知密文狀態(tài)下的計算結(jié)果，根據(jù)同態(tài)加密算法，便可得知搜索結(jié)果result=File₀+File₁+L+File_n，其中包含搜索關(guān)鍵詞對應(yīng)的所有搜索結(jié)果計算后的明文。

4.3 使用量子技術(shù)的改進策略

4.3.1 面臨威脅

前面在4.1節(jié)中討論了傳統(tǒng)的基于同態(tài)加密的可搜索加密，其中關(guān)于同態(tài)加密的應(yīng)用是對于搜索結(jié)果的運算，可以替換成其他同態(tài)加密計算。但是這將面臨一個挑戰(zhàn)，即密鑰的安全性如何保證。同態(tài)加密算法的安全性及其密文計算結(jié)果對應(yīng)明文的計算結(jié)果不變是依賴于密鑰無法暴露的。如圖7所示，DO產(chǎn)生密鑰用于對關(guān)鍵詞和文件的加密，盡管這一過程中不會將密鑰泄露。但是DU獲取關(guān)鍵詞和解密搜索結(jié)果仍然需要密鑰的輔助，這一過程需要傳輸密鑰，傳統(tǒng)信道傳輸密鑰很有可能會造成密鑰泄露。TP需要基于密鑰進行同態(tài)計算，這一過程同樣需要傳輸密鑰，進而造成密鑰泄露。

4.3.2 改進策略

經(jīng)典信道通信的安全性依賴于復(fù)雜的數(shù)學(xué)計算，但隨著技術(shù)的提高，這些計算的難度降低，因此消息變得更容易被竊聽。與經(jīng)典信道通信不同，量子通信的安全性不依賴于復(fù)雜的數(shù)學(xué)計算，而是依賴于量子力學(xué)的基本知識和性質(zhì)。本文提出使用量子資源改造原有協(xié)議，使用三粒子GHZ態(tài)作為糾纏資源進行密鑰的分發(fā)。三粒子GHZ態(tài)的最大糾纏態(tài)如公式（2）所示。

如圖8所示，糾纏資源由可信第三方產(chǎn)生，為盡可能減少數(shù)據(jù)擁有者和用戶的計算需求，將粒子生成集中交給可信第三方，密鑰bk由DO和DU通過經(jīng)典信道公布位置信息得出。

在相關(guān)研究中^［21］，同樣是基于可信服務(wù)器的方案，杜娟等^［21］在IBM量子模擬器上構(gòu)建了可搜索加密的電路實現(xiàn)方案。該方案電路在模擬器上執(zhí)行了1 024次之后，搜索結(jié)果正確概率接近100%。本策略只需要用戶擁有半量子能力，量子的生成由可信第三方完成，使本策略擁有更好的適用性。

4.3.3 安全分析

作為可信第三方的TP會保留粒子序列P₃，但是它并不會去竊取DO和DU的協(xié)商結(jié)果。保留粒子的目的是用于竊聽檢測，TP在發(fā)送糾纏粒子時發(fā)送多于所需的糾纏粒子，選擇其中的部分粒子作為竊聽檢測粒子。假設(shè)存在攻擊者Eve竊取TP發(fā)送給DO的粒子序列P₁，Eve在竊取粒子后將隨機生成的粒子序列發(fā)送給DO，TP進行竊聽檢測后會公布規(guī)定位置上的測量結(jié)果，當(dāng)DO的測量錯誤率超于閾值，而DU的測量錯誤率正常時，便會得知攻擊者攻擊的是哪條信道。這便是截獲-重發(fā)攻擊。DO檢測時同理。

5 結(jié)論

傳統(tǒng)的可搜索加密技術(shù)的研究主要在對稱加密技術(shù)與非對稱加密技術(shù)的基礎(chǔ)之上進行，但也有基于其他加密技術(shù)的可搜索加密方案。本文首先對傳統(tǒng)的基于對稱加密技術(shù)的搜索加密方案機制進行介紹；其次分析了提出的基于非對稱加密技術(shù)的可搜索加密方案，介紹了其可能面臨的攻擊威脅；最后介紹了基于同態(tài)加密的可搜索加密方案，同態(tài)加密技術(shù)與可搜索加密技術(shù)有諸多共同點，其均是在密文上進行計算。簡而言之，可搜索加密技術(shù)允許用戶在保護數(shù)據(jù)隱私的同時，仍然可以對加密數(shù)據(jù)進行搜索和查詢?？伤阉骷用芸赡苊媾R諸如不可信任的存儲服務(wù)器、不可信任的路由服務(wù)器等問題。但是通過量子加密技術(shù)可以很好地解決這類問題，文中已經(jīng)分別對前面提到的3種方案提出了量子改進策略。

相信在未來的研究中，可搜索加密技術(shù)和量子技術(shù)可以更好的融合發(fā)展，促進經(jīng)典密碼學(xué)和量子密碼學(xué)共同進步，更好的保護用戶隱私。

致謝 沈陽帝鉑建筑工程有限公司智能降水自動控制軟件平臺產(chǎn)品開發(fā)及實施項目（YF-DBZG-2023-003）的資助。

參考文獻：

［1］張藍藍，曹衛(wèi)東，王懷超.一種支持聯(lián)合搜索的多用戶動態(tài)對稱可搜索加密方案［J］.計算機研究與發(fā)展，2022，59（10）：2309-2322.

［2］WANG F，WU Y J，HUANG F Y.Rio：A personal storage system in multi-device and cloud［J］.J Super Comput，2020，76（4）：2315-2338.

［3］BEDI R K，SINGH J，GUPTA S K.MWC：An efficient and secure multi-cloud storage approach to leverage augmentation of multi-cloud storage services on mobile devices using fog computing［J］.J Super Comput，2019，75（6）：3264-3287.

［4］JASSEM Y，ABDULLAH A.Enhancement of quantum key distribution protocol for data security in cloud environment［J］.ICIC Exp Lett，2020，11（3）：279-288.

［5］EINSTEIN A，PODOLSKY B，ROSEN N.Can quantum-mechanical description of physical reality be considered complete？［J］.Phys Rev，1935，47：777-780.

［6］侯鑫.基于類GHZ態(tài)的受控量子安全直接通信協(xié)議的研究及仿真［D］.北京：北京郵電大學(xué)，2020.

［7］崔岑.基于三光子GHZ態(tài)與W態(tài)的量子信息傳送［D］.錦州：渤海大學(xué)，2020.

［8］BENNETT C H，BRASSARD G.Quantum cryptography：Public key distribution and coin tossing［J］.Theor Comput Sci，2014，560：7-11.

［9］BENNETT C H.Quantum cryptography using any two nonorthogonal states［J］.Phys Rev Lett，1992，68（21）：3121-3124.

［10］SUN Y，ZHANG L，ZHU H F.Quantum private comparison protocol based on multiple GHZ states in cross-domain environment［J］.Int J Theor Phys，2023，62（11）：232.

［11］TANG J，MA S Y，LI Q.Universal hierarchical quantum information splitting schemes of an arbitrary multi-qubit state［J］.Int J Theor Phys，2022，61（8）：209.

［12］李亞紅，李哲瑋，李強.可搜索加密研究綜述［J/OL］.（2023-10-18）［2024-03-08］.http：//kns.cnki.net/kcms/detail/13.1097.TN.20231018.0903.002.html.

［13］付方博.量子秘密共享協(xié)議的研究［D］.南昌：華東交通大學(xué)，2017.

［14］SONG D X D，WAGNER D，PERRIG A.Practical techniques for searches on encrypted data［C］//Proceedings of the Proceeding 2000 IEEE Symposium on Security and Privacy Samp;P 2000.Berkeley：IEEE，2000：14-17.

［15］RENNER R.Security of quantum key distribution［J］.Int J Quantum Inf，2008，6（1）：1-127.

［16］BONEH D，DI CRESCENZO G，OSTROVSKY R，et al.Public key encryption with keyword search［C］//Proceedings of the Advances in Cryptology-EUROCRYPT 2004.Heidelberg：Springer，2004：506-522.

［17］ABDALLA M，BELLARE M，CATALANO D，et al.Searchable encryption revisited：Consistency properties，relation to anonymous IBE，and extensions［J］.J Cytol，2008，21（3）：350-391.

［18］李經(jīng)緯，賈春福，劉哲理，等.可搜索加密技術(shù)研究綜述［J］.軟件學(xué)報，2015，26（1）：109-128.

［19］宋文帥，鄧淼磊，馬米米，等.可搜索公鑰加密研究進展［J］.計算機應(yīng)用，2023，43（3）：794-803.

［20］何業(yè)鋒，梁熙媛，蔡明月.基于Bell態(tài)的兩方互認(rèn)證半量子密鑰協(xié)商協(xié)議［J/OL］.（2024-01-12）［2024-05-08］.http：//kns.cnki.net/kcms/detail/31.1252.O4.20240111.0828.012.html.

［21］杜娟.基于量子同態(tài)加密的密文搜索研究［D］.沈陽：沈陽航空航天大學(xué)，2020.

［22］蔡玉涵，王靜宇.使用模糊關(guān)鍵字可搜索同態(tài)加密的區(qū)塊鏈隱私保護方案［J］.小型微型計算機系統(tǒng)，2022，43（11）：2406-2413.

【責(zé)任編輯：孫 可】