紀(jì)里城，張亦辰，李繼國

(福建師范大學(xué)計算機(jī)與網(wǎng)絡(luò)空間安全學(xué)院，福建 福州 350117)

隨著互聯(lián)網(wǎng)的發(fā)展和大數(shù)據(jù)時代的到來，生活中產(chǎn)生的數(shù)據(jù)量正在以前所未有的速度增長。產(chǎn)生的數(shù)據(jù)包含了大量的個人信息和敏感信息，如何保護(hù)數(shù)據(jù)的安全和隱私，成為一個亟待解決的問題[1-14]。為了保證數(shù)據(jù)的機(jī)密性，越來越多的公司和個人用戶選擇對數(shù)據(jù)進(jìn)行加密，并將數(shù)據(jù)以密文形式存儲在云端服務(wù)器，但是當(dāng)用戶需要尋找包含某個關(guān)鍵詞的相關(guān)文件時，將會遇到如何在云端服務(wù)器的密文中進(jìn)行搜索操作的難題。一種最簡單的方法是將所有密文數(shù)據(jù)下載到本地進(jìn)行解密，然后在明文上進(jìn)行搜索，但是該方法不僅會因?yàn)榇罅坎恍枰臄?shù)據(jù)而浪費(fèi)龐大的網(wǎng)絡(luò)開銷和存儲開銷，而且用戶也因?yàn)樾枰饷芎退阉鞑僮鞲冻鼍薮蟮挠嬎汩_銷。另一種極端的方法是將密鑰發(fā)給云端服務(wù)器，讓云端服務(wù)器解密密文數(shù)據(jù)，并進(jìn)行明文上的搜索操作。但是這種方法嚴(yán)重威脅到數(shù)據(jù)的安全和用戶的個人隱私?？伤阉骷用苁墙鉀Q云計算環(huán)境下密文檢索、保護(hù)用戶數(shù)據(jù)安全與隱私的有效方法?？伤阉骷用馨凑账阉鲿r使用的密碼算法可分為兩類：公鑰可搜索加密(public key encryption with keyword search，PKES)和對稱可搜索加密(searchable symmetric encryption，SSE)。在電子商務(wù)的背景環(huán)境下，將關(guān)鍵詞進(jìn)行加密來搜索信息可以進(jìn)一步保護(hù)用戶的安全和隱私，減少大量廣告推送消息的植入。因此，可搜索加密具有廣泛的應(yīng)用前景。

本文分析了公鑰可搜索加密和對稱可搜索加密的國內(nèi)外研究背景與現(xiàn)狀，給出了公鑰可搜索加密面臨的挑戰(zhàn)及解決思路與方法，梳理了對稱可搜索加密方案的安全模型、攻擊方法和防御方法，最后討論了可搜索加密需進(jìn)一步研究的問題和未來發(fā)展方向。

1 公鑰可搜索加密

1.1 研究背景與現(xiàn)狀

2004年，Boneh等[15]首次提出公鑰可搜索加密概念，并構(gòu)造了相應(yīng)的公鑰可搜索加密方案。該方案主要用于解決“多對一”的郵件過濾問題。在該問題中，多個發(fā)送者都希望向Alice發(fā)送電子郵件。電子郵件首先會發(fā)送到郵件網(wǎng)關(guān)，然后由郵件網(wǎng)關(guān)轉(zhuǎn)發(fā)給Alice。Alice希望郵件網(wǎng)關(guān)根據(jù)電子郵件中的關(guān)鍵詞將電子郵件發(fā)送到適當(dāng)?shù)脑O(shè)備，比如將帶有“緊急”的關(guān)鍵詞發(fā)送到Alice的手機(jī)上，以便Alice能夠迅速查看。為了保護(hù)電子郵件的內(nèi)容，發(fā)送者需使用Alice的公鑰對電子郵件內(nèi)容和關(guān)鍵詞進(jìn)行加密。但是，郵件網(wǎng)關(guān)無法直接看到關(guān)鍵詞，從而無法作出路由和轉(zhuǎn)發(fā)決策。公鑰可搜索加密允許Alice將某個關(guān)鍵詞的陷門發(fā)送給郵件網(wǎng)關(guān)，然后郵件網(wǎng)關(guān)可以使用陷門搜索包含該關(guān)鍵詞的加密電子郵件，并將結(jié)果返回給Alice。上述方式既保護(hù)了電子郵件的隱私，又使郵件網(wǎng)關(guān)能夠根據(jù)關(guān)鍵詞作出智能的路由和轉(zhuǎn)發(fā)決策。

早期的PKES方案[16-19]大多采用“多對一”的郵件過濾模型。之后，PKES方案[20-23]主要應(yīng)用于“一對多”的多用戶文件共享系統(tǒng)模型。該模型的執(zhí)行過程如圖1所示。數(shù)據(jù)擁有者的目的是共享一些文件，但需要防止服務(wù)器知道其中的敏感信息，希望只有授權(quán)的數(shù)據(jù)用戶才能了解共享文件的內(nèi)容。為了實(shí)現(xiàn)目標(biāo)，數(shù)據(jù)擁有者首先需要從原始文件中提取一些關(guān)鍵詞，然后使用一些特殊的加密算法對關(guān)鍵詞進(jìn)行加密，生成關(guān)鍵詞密文。原始文件則通過對稱加密算法生成加密文件。最后數(shù)據(jù)擁有者將加密文件和關(guān)鍵詞密文一起上傳給服務(wù)器。授權(quán)的數(shù)據(jù)用戶如果希望獲取共享文件的內(nèi)容，則通過陷門生成算法將查詢關(guān)鍵詞轉(zhuǎn)化為搜索陷門并將其發(fā)送給服務(wù)器。服務(wù)器在收到搜索陷門后開始執(zhí)行搜索操作，并最終將搜索到的加密文件返回給授權(quán)的數(shù)據(jù)用戶。

圖1 “一對多”的公鑰可搜索加密Fig.1 “One-to-many”public key encryption with keyword search

1.2 問題與挑戰(zhàn)

傳統(tǒng)的可搜索加密通信模式往往是一對一的，在云計算系統(tǒng)中有很多局限性。隨著存儲在云端的數(shù)據(jù)越來越多，用戶提交的解密請求將會導(dǎo)致大量滿足訪問權(quán)限的密文被云端反饋給用戶，其中有相當(dāng)一部分內(nèi)容是用戶不想訪問的，面臨密文檢索問題[24-27]。通過引入關(guān)鍵詞搜索功能，大大提高了用戶訪問云數(shù)據(jù)的效率，減少了不必要的通訊開銷。云端只需要反饋滿足訪問權(quán)限且和關(guān)鍵詞相匹配的密文即可，屬性基加密(attribute based encryption，ABE)結(jié)合可搜索加密技術(shù)可以實(shí)現(xiàn)一對多的保密通信，因此，研究可搜索ABE方案是解決云計算環(huán)境下密文檢索的關(guān)鍵技術(shù)。現(xiàn)有的可搜索加密方案面臨著嚴(yán)峻的關(guān)鍵詞猜測攻擊問題，即惡意的檢索服務(wù)器獲取某關(guān)鍵詞檢索陷門后，可以通過窮舉所有可能的關(guān)鍵詞的方法，暴力測試出該檢索陷門所含的關(guān)鍵詞。雖然基于訪問控制策略的可搜索加密可以實(shí)現(xiàn)多用戶在密文上進(jìn)行關(guān)鍵詞搜索功能，但該類機(jī)制只能處理同一公鑰加密的密文，不能很好地對不同公鑰加密的密文進(jìn)行處理。因此，如何設(shè)計支持不同公鑰加密得到的密文直接比較、判斷是否包含相同的關(guān)鍵詞的公鑰可搜索加密是一個具有挑戰(zhàn)性的課題。

1.3 解決思路與方法

1.3.1 可搜索屬性基加密體系結(jié)構(gòu)

為了實(shí)現(xiàn)“一對多”的保密通信，Li等[28]提出可搜索ABE體系結(jié)構(gòu)，如圖2所示，其工作原理如下：數(shù)據(jù)擁有者首先提取數(shù)據(jù)明文的關(guān)鍵詞，然后使用數(shù)據(jù)用戶的公鑰對關(guān)鍵詞進(jìn)行加密生成關(guān)鍵詞密文(即索引)，并將關(guān)鍵詞密文和數(shù)據(jù)密文一起上傳給云存儲提供者；當(dāng)數(shù)據(jù)用戶需要搜索數(shù)據(jù)密文時，利用其私鑰生成待搜索關(guān)鍵詞的陷門信息，并將其發(fā)送給云存儲提供者；云存儲提供者收到數(shù)據(jù)用戶的關(guān)鍵詞陷門后，運(yùn)行測試算法將其與關(guān)鍵詞密文進(jìn)行匹配，如果測試算法成立說明該關(guān)鍵詞密文所關(guān)聯(lián)的數(shù)據(jù)密文中含有數(shù)據(jù)用戶搜索的關(guān)鍵詞信息；云存儲提供者將所有相匹配的數(shù)據(jù)密文返回給數(shù)據(jù)用戶，當(dāng)且僅當(dāng)數(shù)據(jù)用戶屬性列表與數(shù)據(jù)密文中嵌入的訪問策略相匹配時，才能使用自己的私鑰對數(shù)據(jù)密文解密得到相應(yīng)的數(shù)據(jù)明文。此外，為了支持屬性撤銷，可搜索ABE體系結(jié)構(gòu)采用懶散代理重加密技術(shù)，僅當(dāng)數(shù)據(jù)用戶訪問存儲在云端的數(shù)據(jù)時，相應(yīng)的數(shù)據(jù)才進(jìn)行更新，提高了系統(tǒng)的靈活性。

圖2 可搜索ABE體系結(jié)構(gòu)Fig.2 Searchable ABE system architecture

1.3.2 解決用戶隱私問題

為了解決用戶隱私問題，Li等[28]考慮了以下兩方面內(nèi)容：首先，利用通配符表示數(shù)據(jù)擁有者指定的訪問結(jié)構(gòu)中其不“關(guān)心”的那些屬性值。對數(shù)據(jù)用戶而言，訪問策略是部分隱藏的，數(shù)據(jù)用戶能夠成功解密，但無法知道訪問策略的具體內(nèi)容，保護(hù)了用戶的隱私信息。其次，即使云存儲提供者執(zhí)行相關(guān)檢索和測試，由于數(shù)據(jù)用戶提交的是搜索關(guān)鍵詞的陷門信息而不是明文關(guān)鍵詞，因此，云存儲提供者不能獲得關(guān)于所請求搜索關(guān)鍵詞內(nèi)容以及文件的明文信息，保護(hù)了用戶的隱私。

1.3.3 解決關(guān)鍵詞猜測攻擊問題

在公鑰可搜索加密方案設(shè)計中，密文關(guān)鍵詞和關(guān)鍵詞的陷門信息是需要重點(diǎn)考慮的問題。云存儲提供者在整個搜索的過程中猜測任意2個搜索語句是否包含相同的關(guān)鍵詞，并獲得相關(guān)搜索結(jié)果，可能影響系統(tǒng)安全性。因此，關(guān)鍵詞猜測攻擊是設(shè)計公鑰可搜索加密方案面臨的主要挑戰(zhàn)之一[29]。

從技術(shù)的視角，現(xiàn)有公鑰可搜索加密不能抵抗關(guān)鍵詞猜測攻擊的根本原因在于關(guān)鍵詞密文被攻擊者偽造。解決該問題的基本思路[30-31]是：使關(guān)鍵詞密文對敵手(包括外部攻擊者和云服務(wù)器)具有不可偽造性，即敵手無法產(chǎn)生其猜測的關(guān)鍵詞密文?；谏鲜鏊悸?，一種解決方案是：利用簽密的思想，數(shù)據(jù)擁有者使用自己的私鑰和接收者的公鑰產(chǎn)生關(guān)鍵詞的密文。由于簽密不僅滿足不可區(qū)分安全性而且滿足存在性不可偽造性，因此敵手無法偽造其猜測的關(guān)鍵詞的簽密，從而無法實(shí)施關(guān)鍵詞猜測攻擊。采用這種解決方案，接收者需使用數(shù)據(jù)擁有者的公鑰和自己的私鑰產(chǎn)生關(guān)鍵詞陷門。關(guān)鍵詞簽密和關(guān)鍵詞陷門匹配的同時，也完成了關(guān)鍵詞簽密的真實(shí)性驗(yàn)證。另一種解決方案是：在關(guān)鍵詞密文和關(guān)鍵詞陷門中嵌入數(shù)據(jù)擁有者和接收方共享的秘密值。數(shù)據(jù)擁有者和接收者首先使用兩方或多方安全計算協(xié)議建立共享的秘密值k；數(shù)據(jù)擁有者使用接收者的公鑰對關(guān)鍵詞w和共享的秘密值k的哈希值H(w，k)進(jìn)行加密產(chǎn)生關(guān)鍵詞密文；接收者則使用其私鑰產(chǎn)生關(guān)鍵詞w′和共享秘密值k的哈希值H(w′，k)的陷門。如果w=w′，則H(w，k)=H(w′，k)，因此H(w，k)的密文與H(w′，k)的陷門必然是匹配的。由于關(guān)鍵詞密文的產(chǎn)生使用了敵手未知的秘密值k，因此關(guān)鍵詞密文對于敵手具備了不可偽造安全性，進(jìn)而使得方案能夠有效抵抗關(guān)鍵詞猜測攻擊。易見，第二種解決方案具有一般性，能在已有可搜索公鑰加密方案的基礎(chǔ)上，將滿足相應(yīng)安全性要求的可搜索ABE方案通用地轉(zhuǎn)化為抗關(guān)鍵詞猜測攻擊的可搜索ABE方案。在上述2種解決方案中，由于關(guān)鍵詞對于敵手都是不可偽造的，敵手即使截獲了用戶的關(guān)鍵詞陷門也無法對其進(jìn)行關(guān)鍵詞猜測攻擊。此外，關(guān)鍵詞陷門可公開傳輸，也避免了關(guān)鍵詞陷門需要通過安全信道傳輸?shù)膯栴}。

1.3.4 解決密文關(guān)鍵詞等值測試問題

可搜索ABE可以實(shí)現(xiàn)多用戶在密文上進(jìn)行關(guān)鍵詞搜索的功能，但是只能處理同一公鑰加密的密文，不能很好地解決不同公鑰加密的密文關(guān)鍵詞檢索問題。Ma等[32]結(jié)合可搜索ABE方案和等值測試方案，構(gòu)造出滿足不同公鑰加密的密文關(guān)鍵詞檢索的密文策略屬性基等值測試加密方案。進(jìn)一步將外包解密技術(shù)應(yīng)用于基本的屬性基等值測試加密方案，通過嵌入盲化因子和密鑰變換使密文能在解密過程中轉(zhuǎn)化為ElGamal型密文，在支持外包解密的同時，支持等值測試加密，提高了客戶端的解密效率。

2 對稱可搜索加密

2.1 研究背景和現(xiàn)狀

隨著云計算的發(fā)展，用戶希望將文件上傳至遠(yuǎn)端的服務(wù)器，但又擔(dān)心服務(wù)器泄漏自己的數(shù)據(jù)。為了保護(hù)個人隱私，2000年，Song等[33]首次提出可搜索加密的概念，并實(shí)現(xiàn)第一個對稱可搜索加密方案，該方案主要解決不可信賴的服務(wù)器存儲問題。用戶可以將文件加密之后再上傳。然而，當(dāng)用戶需要搜索服務(wù)器上的某個文件時，通常需要將所有的文件全部下載，解密后再進(jìn)行搜索。可搜索加密技術(shù)使用戶能直接搜索服務(wù)器上的某個加密文件，而無須下載所有文件。對稱可搜索加密過程如圖3所示。

圖3 對稱可搜索加密Fig.3 Searchable symmetric encryption

上述過程可以看出服務(wù)器只在加密索引上進(jìn)行搜索操作，而不在加密文件上進(jìn)行搜索操作。SSE方案主要由以下4個算法構(gòu)成。

(1)密鑰生成算法KenG(1k)→K：由客戶端執(zhí)行的概率算法，輸入安全參數(shù)k，輸出對稱密鑰K。

(2)構(gòu)建索引算法BuildIndex(K，D)→I：由客戶端執(zhí)行的概率算法，輸入對稱密鑰K和包含n個文件的文件集合D=(D1，…，Dn)，輸出加密索引I。

(3)陷門生成算法Trpdr(K，w)→t：由客戶端執(zhí)行的確定性算法，輸入對稱密鑰K以及查詢關(guān)鍵詞w，輸出搜索陷門t。

(4)搜索算法Search(I，t)→X：由服務(wù)器執(zhí)行的確定性算法，輸入加密索引I以及陷門t，輸出文件標(biāo)識符集合X。

由上述算法框架可觀察到，SSE在搜索操作中采用了對稱加密算法，帶來了顯著的搜索效率，適用于大數(shù)據(jù)的應(yīng)用場景，尤其是在云存儲系統(tǒng)中。因此，SSE成為密碼學(xué)領(lǐng)域的研究熱點(diǎn)[34-37]。

2.2 對稱可搜索加密安全模型

2.2.1 IND-CPA安全模型

Song等[33]在2000年首次提出可搜索加密概念，并使用偽隨機(jī)生成器，偽隨機(jī)函數(shù)和偽隨機(jī)置換實(shí)現(xiàn)了第一個可搜索加密方案，被稱為SWP方案，如圖4所示。SWP方案采用了順序掃描索引結(jié)構(gòu)，即將每個文件視為一個有序的關(guān)鍵詞排列。對于排列中的每個明文關(guān)鍵詞Wi，采用偽隨機(jī)置換E處理，然后使用流密碼對置換結(jié)果E(Wi)進(jìn)行異或，生成相應(yīng)的密文C。文件的所有密文構(gòu)成一個順序掃描加密索引。如圖4，Si表示一個偽隨機(jī)值，而F表示帶密鑰的偽隨機(jī)函數(shù)。當(dāng)客戶端需要查詢某個關(guān)鍵詞Wi時，使用偽隨機(jī)置換E生成搜索陷門E(Wi)，然后將其發(fā)送給服務(wù)器。服務(wù)器接收到陷門后，對所有存儲密文進(jìn)行異或。如果某個密文異或后的結(jié)果形如(s，F(xiàn)ki(s))，該密文對應(yīng)的加密文件就是搜索結(jié)果之一。

圖4 SWP方案[33]Fig.4 SWP scheme[33]

Song等[33]在其SSE方案中沒有提出安全定義，而是采用加密方案中的選擇明文攻擊下的不可區(qū)分性(indistinguishability under chosen plaintext attack，IND-CPA)安全模型證明SSE方案的安全性。IND-CPA安全模型保證了存儲在服務(wù)器上的加密索引不會泄漏明文信息。然而，IND-CPA安全模型并沒有保證陷門的信息泄漏，即不保證查詢關(guān)鍵詞的機(jī)密性。而搜索陷門的信息泄漏直接影響存儲在服務(wù)器上加密文件的安全性。因此IND-CPA安全模型并不能完整地表達(dá)SSE方案的安全性。

2.2.2 IND-CKA和IND2-CKA安全模型

2003年，Goh[38]提出第一個可搜索加密安全模型，稱為選擇關(guān)鍵詞下的不可區(qū)分性(indistinguishability under chosen keyword attack，IND-CKA)安全模型，并提出一個更強(qiáng)大的安全模型IND2-CKA。2個模型旨在確保敵手無法從加密索引推斷出加密文件中的內(nèi)容。具體而言，IND-CKA安全模型是一個安全游戲，包含以下4個階段和2個交互實(shí)體：挑戰(zhàn)者C和敵手A。

(1)設(shè)置階段：由挑戰(zhàn)者C選取q個關(guān)鍵詞組成一個集合S，將集合S發(fā)送給敵手A。敵手A從集合S中選取n個子集構(gòu)成一個集合S*，然后將其發(fā)送給挑戰(zhàn)者C。挑戰(zhàn)者C使用索引生成算法生成加密索引，最后將加密索引I發(fā)送給敵手A。

(2)查詢階段：敵手A想要查詢關(guān)鍵詞w，則需要向挑戰(zhàn)者發(fā)送關(guān)鍵詞w。挑戰(zhàn)者收到關(guān)鍵詞之后，使用陷門生成算法生成搜索陷門t，并返回給敵手A。敵手A使用搜索算法確定包含關(guān)鍵詞w的文檔。查詢階段允許敵手A執(zhí)行多項式次數(shù)的查詢。

(3)挑戰(zhàn)階段：敵手A首先從S*中選取一個非空元素V0，然后從S中選取一個子集V1并要求V0和V1具有相同的關(guān)鍵詞數(shù)量，且至少有一個關(guān)鍵詞是不相同的。之后，敵手A將2個集合V0和V1發(fā)送給挑戰(zhàn)者C。挑戰(zhàn)者C從V0和V1中隨機(jī)選取一個集合Vb，b∈{0，1}。挑戰(zhàn)者C使用索引生成算法生成加密索引I并將其返回給敵手A。此時，敵手A依然可以查詢關(guān)鍵詞，但是不允許查詢V0和V1之間不同的關(guān)鍵字。

(4)響應(yīng)階段：敵手A返回一個比特b′∈{0，1}，表示敵手猜測加密索引對應(yīng)的集合是Vb′。

敵手的優(yōu)勢定義為AdvA=|Pr[b=b′]-1/2|，其中Pr[b=b′]表示敵手猜測正確的概率，而1/2表示敵手隨機(jī)猜測的概率。如果任意敵手的優(yōu)勢是可忽略的，該方案是IND-CKA安全的。

從安全游戲可以看出，如果一個SSE方案是IND-CKA安全的，意味著敵手無法從加密索引I中找到有關(guān)V0和V1不同關(guān)鍵字的信息，也就表明加密索引I不會泄漏加密文件的內(nèi)容。IND2-CKA安全模型允許敵手在挑戰(zhàn)階段選取2個關(guān)鍵詞數(shù)量不同的集合增加敵手優(yōu)勢。因此安全模型IND2-CKA比IND-CKA更強(qiáng)大。雖然2種安全模型都防止SSE方案中加密索引的信息泄漏，但是都沒有考慮陷門的信息泄漏。換言之，即使一個SSE方案是IND-CKA安全的，但是該方案也有可能泄漏搜索陷門的信息，從而導(dǎo)致加密文件內(nèi)容的泄漏。因此IND-CKA和IND2-CKA安全模型也不能完整地表達(dá)SSE方案的安全性。

2.2.3 非適應(yīng)性和適應(yīng)性安全模型

2005 年，Chang等[39]提出了基于模擬IND-CKA的安全模型，其本質(zhì)上等價于IND2-CKA安全模型。2006年，Curtmola等[40]指出之前的安全模型[33，38-39]沒有考慮陷門的信息泄漏并構(gòu)造了2個實(shí)例，分別揭示了IND2-CKA和基于模擬的IND-CKA安全模型的缺陷。構(gòu)造的2個實(shí)例雖然滿足IND2-CKA安全和基于模擬的IND-CKA安全，但敵手卻能夠直接恢復(fù)客戶端搜索的關(guān)鍵詞。為了完整地表達(dá)SSE方案的安全性，Curtmola等[40]提出新的安全模型，其構(gòu)建在以下4個形式化概念上。

定義1(查詢歷史) 令△是一個關(guān)鍵詞集合，D是△上的文件集合。D上的一個q-查詢歷史是一個二元組H=(D，w)，其中D是文件集合，w=(w1，w2，…，wq)是一個查詢向量。

定義2(訪問模式) 令△是一個關(guān)鍵詞集合，D是△上的文件集合。對于一個D上的q-查詢歷史H=(D，w)，訪問模式是一組向量α(H)=(D(w1)，D(w2)，…，D(wq))，其中D(wi)表示包含關(guān)鍵詞wi的文件集合。

定義3(搜索模式) 令△是一個關(guān)鍵詞集合，D是△上的文件集合。對于一個D上的q-查詢歷史H=(D，w)，搜索模式是一個q×q的對稱二進(jìn)制矩陣σ(H)，當(dāng)?shù)趇個查詢關(guān)鍵詞和第j個查詢關(guān)鍵詞相同時，即wi=wj，則σ(H)的第i行第j列為0，否則為1。

定義 4(痕跡) 令△是一個關(guān)鍵詞集合，D是△上的文件集合。對于一個D上的q-查詢歷史H=(D，w)，痕跡τ(H)=(|D1|，…，|Dn|，α(H)，σ(H))，其中|Di|表示第i個文件的大小，α(H)表示訪問模式，σ(H)表示搜索模式。

對于以上定義，查詢歷史表明客戶端在q次查詢中分別查詢了哪些關(guān)鍵詞。訪問模式表示SSE方案泄漏了包含查詢關(guān)鍵詞的文件標(biāo)識符集合。搜索模式揭示了SSE方案泄漏了哪2次查詢關(guān)鍵詞是相同的。痕跡表示在q次查詢中服務(wù)器都知道了哪些信息。隨后，Curtmola等[40]借助上述概念提出4種安全模型：非適應(yīng)性不可區(qū)分安全模型、非適應(yīng)性語義安全模型、適應(yīng)性不可區(qū)分安全模型和適應(yīng)性語義安全模型。“非適應(yīng)性”要求所有的查詢只能一次性提出。相比之下，“適應(yīng)性”允許敵手根據(jù)先前的查詢和搜索結(jié)果，自適應(yīng)地提出新的查詢關(guān)鍵詞。非適應(yīng)性不可區(qū)分安全模型和非適應(yīng)性語義安全模型的形式化定義如下。

定義5(非適應(yīng)性不可區(qū)分) 令SSE=(KenG,BuildIndex,Trpdr,Search)是一個基于索引的SSE方案，A=(A1,A2)是非一致性敵手，考慮以下概率實(shí)驗(yàn)。

InDSSE,A(k)：

K←KenG(1k)

(stA,H0,H1)←A1(1k)

將Hb視為(Db,wb)

ib←BuildIndex(Db,K)

對于1≤i≤q,

tb,i←Trpdrk(wb,i)

令tb=(tb,1,…,tb,q)

b′←A2(stA,ib,tb)

如果b′=b,輸出1,否則輸出0。

上述概率實(shí)驗(yàn)中stA表示敵手A1狀態(tài)。此外,實(shí)驗(yàn)還要求H0和H1的痕跡是相同的,即τ(H0)=τ(H1),否則敵手A2可以直接區(qū)別兩個查詢歷史。如果對于所有多項式大小的敵手A=(A1,A2),都存在一個可忽略函數(shù)negl(k),使得

則一個SSE方案是非適應(yīng)性不可區(qū)分的。

由于查詢歷史包含q個查詢關(guān)鍵詞,因此敵手可以利用搜索陷門的信息泄漏區(qū)分2個查詢歷史。如果一個SSE方案是非適應(yīng)性不可分區(qū)的,也就意味著敵手無法利用搜索陷門區(qū)分2個查詢歷史,從而表明該SSE方案防止了搜索陷門的信息泄漏。因此與之前的安全模型[25,30-31]相比,非適應(yīng)性不可區(qū)分考慮了搜索陷門的信息泄漏。

定義 6(非適應(yīng)性語義安全) 令SSE=(KenG,BuildIndex,Trpdr,Search)是一個基于索引的SSE方案,A是一個敵手,S是一個模擬器,考慮以下2個概率實(shí)驗(yàn)。

RealSSE,A(k)：

K←KenG(1k)

(stA,H)←A(1k)

將H視為(D,w)

I←BuildIndex(D,K)

對于1≤i≤q,

ti←TrpdrK(wi)

令t=(t1,…,tq)

輸出V=(I,t)和stA

SimSSE,A,S(k)：

(stA,H)←A(1k)

V←S(τ(H))

輸出V和stA

如果對于所有多項式大小的敵手A,存在一個多項式大小的模擬器S,對于所有多項式大小的區(qū)分器D有|Pr[D(V,stA)=1：(V,stA)←RealSSE,A(k)]-Pr[D(V,stA)=1：(V,stA)←SimSSE,A,S(k)]|≤negl(k),則該SSE方案是非適應(yīng)性語義安全的。

非適應(yīng)性語義安全主要依靠模擬器S證明SSE方案的安全性。如果一個SSE方案是非適應(yīng)性語義安全的,存在一個模擬器S僅使用痕跡τ(H)就能生成原來SSE方案的加密索引和搜索陷門。而模擬器S并不知道查詢歷史H的信息,從而表明SSE方案只泄漏了痕跡τ(H)。因此非適應(yīng)性語義安全模型同時防止了加密索引和陷門的信息泄漏。適應(yīng)性語義安全模型擴(kuò)展了上述非適應(yīng)性語義安全模型,允許敵手可以根據(jù)先前的搜索結(jié)果提出下一次查詢關(guān)鍵字,增加了敵手的能力。

Curtmola等[40]證明了4種安全模型之間的關(guān)系,非適應(yīng)性不可區(qū)分安全模型與非適應(yīng)性語義安全模型等價,而適應(yīng)性語義安全模型包含適應(yīng)性不可區(qū)分安全模型。

2.2.4 L-適應(yīng)性安全模型

雖然Curtmola等[40]提出的安全模型較全面地表達(dá)了SSE方案的安全性,但是其安全模型必須使用查詢歷史、訪問模式、搜索模式、痕跡來描述SSE方案的安全性。而上述4個概念不能統(tǒng)一表達(dá)不同SSE方案中的信息泄漏。2010年,Chase等[41]引入泄漏函數(shù)(leakage function)概念用于描述SSE方案中的信息泄漏,使用L1描述加密索引的泄漏,L2描述搜索陷門的泄漏,并在此基礎(chǔ)上提出基于現(xiàn)實(shí)范式和理想范式的SSE安全模型。2012年,Kamara等[42]提出基于索引的動態(tài)對稱可搜索加密方案(dynamic SSE,DSSE),并將Chase等[41]的安全模型擴(kuò)展為動態(tài)SSE安全模型,使用4個泄漏函數(shù)描述動態(tài)SSE中信息泄漏。2013年,Cash等[43]結(jié)合適應(yīng)性語義安全模型和泄漏函數(shù),提出L-適應(yīng)性安全模型,其中L表示SSE整個方案的泄漏函數(shù)。Cash等[43]將所有靜態(tài)SSE方案都分解成一個設(shè)置算法和一個搜索協(xié)議。設(shè)置算法由客戶端執(zhí)行,包含密鑰生成算法和索引生成算法。搜索協(xié)議由客戶端和服務(wù)器共同執(zhí)行,包含陷門生成算法和搜索算法。下面是L-適應(yīng)性安全模型的形式化定義。

在上述形式化定義中L(D)表示設(shè)置算法的信息泄漏,而L(D,q)表示搜索協(xié)議的信息泄漏。因此泄漏函數(shù)L也可以表示為(LSetup,LSearch),其中泄漏函數(shù)LSetup描述設(shè)置算法的信息泄漏,泄漏函數(shù)LSearch描述搜索協(xié)議的信息泄漏。整個SSE方案的信息泄漏形式化重新表達(dá)為泄漏函數(shù)L=(LSetup,LSearch)。此外,上述定義表明敵手除了知道泄漏函數(shù)之外,其他有關(guān)SSE方案的信息一概不知,準(zhǔn)確地刻畫了SSE方案的信息泄漏。

相較于Curtmola等[40]提出的安全模型,上述定義較為簡潔,沒有使用煩瑣的概念表述SSE方案的信息泄漏,統(tǒng)一將SSE方案的信息泄漏形式化表達(dá)為一個泄漏函數(shù)。2014年,Cash等[44]為SSE方案添加了一個更新協(xié)議,并將靜態(tài)的L-適應(yīng)性安全模型擴(kuò)展為動態(tài)的L-適應(yīng)性安全模型。更新協(xié)議由客戶端和服務(wù)器共同執(zhí)行,并使用Lupdate描述更新階段時的SSE方案的信息泄漏。動態(tài)SSE方案信息泄漏的形式化表達(dá)為泄漏函數(shù)L=(LSetup,LSearch,Lupdate)。L-適應(yīng)性安全模型是目前公認(rèn)的SSE方案要滿足的安全模型。

2.2.5 UC安全模型

2012年,Kurosawa等[45]構(gòu)造了一個可驗(yàn)證對稱可搜索加密(verifiable searchable symmetric encryption,VSSE)方案抵抗惡意敵手,并將通用可組合(unersal composability,UC)安全模型引入到SSE方案中。UC安全模型是由Canetti[46]提出的一個基于模擬的安全范式,描述了一個由n個參與實(shí)體P1,P2,…,Pn共同交互執(zhí)行的協(xié)議Σ的安全性,其由環(huán)境機(jī)Z、理想世界和真實(shí)世界構(gòu)成。環(huán)境機(jī)Z生成所有參與實(shí)體的輸入以及讀取所有協(xié)議的輸出,并且在整個過程中能以任意方式與攻擊者A進(jìn)行交互。理想世界由一個理想函數(shù)F和一個模擬器S構(gòu)成,理想函數(shù)F需根據(jù)不同的協(xié)議具體定義,模擬器S模擬對理想函數(shù)F實(shí)行敵手A的等效攻擊。真實(shí)世界由協(xié)議Σ和一個敵手A構(gòu)成,協(xié)議Σ在真實(shí)世界中安全實(shí)現(xiàn)理想函數(shù)F,而敵手A與誠實(shí)的參與實(shí)體進(jìn)行交互,控制其余腐敗的參與實(shí)體,并且與協(xié)議自由交互。如果對于任意概率多項式時間敵手A,都存在一個模擬器S,使得對所有非一致環(huán)境機(jī)Z區(qū)分真實(shí)世界和理想世界的概率是可忽略的,則協(xié)議Σ安全實(shí)現(xiàn)了理想函數(shù)F。

Kurosawa等[45]為VSSE方案定義了一個理想函數(shù)FVSSE并證明構(gòu)造的方案是UC安全的,通過引入隱私性和可靠性2個概念重新定義了VSSE方案的安全性。隱私性要求服務(wù)器除文件大小、數(shù)量和訪問模式之外一無所知。相對于Curtmola等[40]提出的適應(yīng)性語義安全,Kurosawa等[45]定義的隱私性更嚴(yán)格。可靠性表明客戶端能夠檢測惡意的服務(wù)器是否正確地執(zhí)行搜索操作。最后,Kurosawa等[45]證明了一個VSSE方案在非適應(yīng)性UC安全性和滿足隱私性以及可靠性之間存在等價關(guān)系。2014年,Stefanov等[47]為動態(tài)SSE方案提出了抵抗半誠實(shí)敵手和惡意敵手的UC安全模型。2016年,Kurosawa等[48]將靜態(tài)VSSE方案的UC安全模型擴(kuò)展為動態(tài)VSSE方案的UC安全模型。

3 針對SSE方案的攻擊和防御方法

與公鑰可搜索加密方案可能面臨的關(guān)鍵詞猜測攻擊不同,大多數(shù)SSE方案通常不會受到關(guān)鍵詞猜測攻擊。因?yàn)榇蟛糠諷SE方案的搜索陷門FK(w)由偽隨機(jī)函數(shù)F、關(guān)鍵詞w以及對稱密鑰K構(gòu)成。攻擊者在不知道對稱密鑰的情況下,無法在多項式時間內(nèi)通過窮舉關(guān)鍵詞猜測搜索陷門對應(yīng)的關(guān)鍵詞。但是,近些年的研究提出了一系列攻擊方法,通過利用SSE方案的信息泄漏和已知數(shù)據(jù)集成功恢復(fù)了查詢關(guān)鍵詞。攻擊方法主要分成2類：針對被動敵手的泄漏濫用攻擊[49-55]和針對主動敵手的注入攻擊[56-59]。泄漏濫用攻擊允許攻擊者在連續(xù)的查詢周期內(nèi)觀察泄漏模式,然后將所觀察到的信息與已知的數(shù)據(jù)集結(jié)合以恢復(fù)查詢關(guān)鍵詞。具體的攻擊方案根據(jù)SSE方案的泄漏模式不同,而執(zhí)行不同的攻擊操作。注入攻擊允許攻擊者為客戶端生成一些包含已知關(guān)鍵詞的注入文件,然后客戶端將加密文件發(fā)送給服務(wù)器。之后,攻擊者觀察目標(biāo)查詢過程中的泄漏模式以恢復(fù)查詢關(guān)鍵詞。本節(jié)將重點(diǎn)介紹訪問模式泄漏攻擊[49]、搜索模式泄漏攻擊[50]和文件注入攻擊[56]。此外,還討論了一些相應(yīng)的防御方法。

3.1 訪問模式的攻擊方法：IKK攻擊和計數(shù)攻擊

大部分SSE方案都允許泄漏訪問模式,意味著攻擊者可以獲知每次搜索某個關(guān)鍵詞的文件標(biāo)識符集合。2012年,Islam等[49]提出了一種利用訪問模式的攻擊方法。在攻擊方法中,即使文件是加密的,攻擊者也可以通過分析訪問模式以及一些公開的數(shù)據(jù)庫而推斷出文件中的信息。具體的攻擊方法如下：假設(shè)攻擊者已經(jīng)截獲了由客戶端發(fā)送給服務(wù)器的l個查詢Q=〈Q1,…,Ql〉以及每次查詢的返回結(jié)果RQi。攻擊者根據(jù)公開的數(shù)據(jù)庫計算獲得一個m×m的概率矩陣M,其中m是總的關(guān)鍵詞數(shù)量。該矩陣的第i行第j列元素表示第i個關(guān)鍵詞和第j個關(guān)鍵詞同時出現(xiàn)在任意文件中的概率,即Mi,j=Pr[(Ki)∈d∧(Kj)∈d]。攻擊者的目標(biāo)是恢復(fù)l個查詢的底層明文關(guān)鍵詞KQ=〈Ka1,…,Kal〉?，F(xiàn)在攻擊者可以通過以下公式推測出最有可能的l個底層明文關(guān)鍵詞。

在SSE方案中,上述攻擊方法稱為IKK攻擊。實(shí)驗(yàn)結(jié)果表明,在關(guān)鍵詞數(shù)量小于2 500個,查詢的關(guān)鍵詞為150個時,IKK攻擊的恢復(fù)底層明文關(guān)鍵詞的準(zhǔn)確率高達(dá)60%～80%。當(dāng)關(guān)鍵詞數(shù)量為1 500個,查詢關(guān)鍵詞數(shù)量為150個以及已知關(guān)鍵詞數(shù)量小于25個時,恢復(fù)底層明文關(guān)鍵詞的準(zhǔn)確率高達(dá)80%。值得注意的是,攻擊者還可以借助猜測得到的關(guān)鍵詞對概率矩陣進(jìn)一步調(diào)整,以達(dá)到更好的攻擊效果。

IKK攻擊針對較少的關(guān)鍵詞數(shù)量能夠達(dá)到相對較高的恢復(fù)準(zhǔn)確率,一旦關(guān)鍵詞數(shù)量增加,其恢復(fù)的準(zhǔn)確率就明顯降低。然而,2015年,Cash等[51]在IKK攻擊的基礎(chǔ)上提出了計數(shù)攻擊,該攻擊即使在關(guān)鍵詞數(shù)量較多時依然保持較高的恢復(fù)準(zhǔn)確率。計數(shù)攻擊要求攻擊者除了能夠知道概率矩陣M外,還要知道每次查詢返回的文件數(shù)量。圖5直觀地展示了計數(shù)攻擊與IKK攻擊之間的差異,表明即使在關(guān)鍵詞數(shù)量較多的情況下,計數(shù)攻擊依然能保持較高的恢復(fù)準(zhǔn)確率。

圖5 IKK攻擊和計數(shù)攻擊比較[51]Fig.5 Comparison between IKK attack and Counting attack[51]

為了抵抗IKK攻擊和計數(shù)攻擊,SSE方案需要保護(hù)其訪問模式或隱藏搜索返回結(jié)果的大小。目前存在許多技術(shù)可用于保護(hù)SSE方案中的訪問模式,包括不經(jīng)意隨機(jī)訪問、盲存儲和差分隱私等。不經(jīng)意隨機(jī)訪問是Goldreich等[60]于1996年提出的一項技術(shù),旨在保護(hù)軟件訪問過程,至今仍然是一個備受關(guān)注的研究方向。盡管不經(jīng)意隨機(jī)訪問為SSE方案提供了高級別的安全性和較小的信息泄漏,但也伴隨著過大的計算復(fù)雜度、帶寬開銷以及較低的搜索效率。2014年,Naveed等[61]提出一種被稱為盲存儲的新密碼原語用于保護(hù)SSE方案的訪問模式。該技術(shù)使得服務(wù)器不知道客戶端存儲了多少個文件以及單個文件的大小。當(dāng)某個文件被搜索時,服務(wù)器只知道該文件存在,而不了解文件的標(biāo)識符和內(nèi)容。另一方面,2018年,Chen等[62]引入差分隱私作為保護(hù)SSE方案中訪問模式的手段,并提出了適用于通用對稱可搜索加密的d-隱私訪問模式混淆機(jī)制。該機(jī)制使用糾刪碼和差分隱私實(shí)現(xiàn)對訪問模式的保護(hù)。實(shí)驗(yàn)結(jié)果表明,該機(jī)制能有效防止IKK攻擊,當(dāng)允許的最大泄漏值為200時,IKK攻擊的準(zhǔn)確率僅為0.1。

在隱藏搜索返回結(jié)果的大小方面,文件填充是一種常見的通用方法,通過為單個關(guān)鍵詞添加虛擬文件,確保每個關(guān)鍵詞返回的搜索結(jié)果大小相同。此外,還有一些隱藏返回結(jié)果大小的其他方法。例如,2018年,Lai等[63]使用隱藏向量加密構(gòu)造一個支持聯(lián)合關(guān)鍵詞查詢且隱藏搜索結(jié)果大小的SSE方案。

3.2 搜索模式的攻擊方法

2014年,Liu等[50]提出一種新的攻擊方法,攻擊者通過利用搜索模式統(tǒng)計用戶在一段時間內(nèi)發(fā)出特定搜索陷門的次數(shù),從而獲得該搜索陷門的頻率。攻擊者通過公開的單詞頻率數(shù)據(jù)推測與該搜索陷門對應(yīng)的查詢關(guān)鍵詞。為了更好地理解該攻擊方法,通過以下例子說明。假設(shè)某個SSE方案存在搜索模式泄漏,攻擊者可以知道用戶查詢某個關(guān)鍵詞的頻率。攻擊者會在一個月的時間內(nèi)每天都統(tǒng)計該用戶某個搜索陷門出現(xiàn)的頻率,并將結(jié)果繪制成折線圖。隨后,攻擊者從公開數(shù)據(jù)庫(例如在谷歌搜索中獲取)中獲得相同時間內(nèi)一些關(guān)鍵詞的搜索頻率折線圖。攻擊者將自己統(tǒng)計的頻率與公開的搜索頻率進(jìn)行對比,如果2條折線相似,則某個搜索陷門對應(yīng)的明文關(guān)鍵詞很有可能是那個公開的關(guān)鍵詞。比如,用戶可能在感恩節(jié)頻繁搜索某個關(guān)鍵詞。如果該關(guān)鍵詞對應(yīng)的搜索陷門頻率與從谷歌搜索獲取的“感恩節(jié)”搜索頻率相似,則用戶很可能正在對“感恩節(jié)”進(jìn)行搜索。

一種防止搜索模式攻擊的通用方法是將生成搜索陷門的確定性算法改為概率性算法。對于相同的查詢關(guān)鍵詞,每次生成的搜索陷門都是不同的,從而使得攻擊者無法知道2次搜索是否為相同的關(guān)鍵詞,進(jìn)而無法統(tǒng)計搜索陷門的頻率。例如2020年Wang等[64]使用了一種帶雙陷門的加法同態(tài)加密算法來保護(hù)搜索模式。

除了訪問模式和搜索模式的泄漏濫用攻擊,還有一些其他信息泄漏濫用攻擊。例如Pouliot等[53]和Ning等[54]利用Cash等[51]提出的泄漏模式和已知部分?jǐn)?shù)據(jù)集來攻擊高效可部署的可搜索加密方案[65]。

3.3 文件注入攻擊

2016年,Zhang等[56]提出一種針對動態(tài)對稱可搜索加密的文件注入攻擊。在該攻擊中,服務(wù)器向用戶發(fā)送文件,用戶使用SSE方案中的構(gòu)建索引算法生成加密索引,并將其上傳給服務(wù)器。通過這種攻擊方式,惡意的服務(wù)器只需向用戶發(fā)送極少量的文件,然后觀察SSE方案的信息泄漏,就能恢復(fù)用戶的搜索關(guān)鍵詞。下面通過一個簡單例子說明文件注入攻擊。假設(shè)從k0到k7共有8個關(guān)鍵詞。如圖6所示,服務(wù)器構(gòu)建了3份包含特殊關(guān)鍵詞的文件。第1份文件包含k4,k5,k6,k74個關(guān)鍵詞,第2份文件包含k2,k3,k6,k74個關(guān)鍵詞,第3份文件包含k1,k3,k5,k74個關(guān)鍵詞。然后,服務(wù)器將3份文件發(fā)送給用戶,用戶使用構(gòu)建索引算法生成的索引返回給服務(wù)器。服務(wù)器利用之前用戶的搜索陷門對3份文件進(jìn)行搜索。如果搜索結(jié)果是第2份文件,則意味著用戶該搜索陷門對應(yīng)的底層明文關(guān)鍵詞是k2。因?yàn)榈?份文件包含k2,k3,k6,k74個關(guān)鍵詞,而k3,k6,k73個關(guān)鍵詞包含在第1份文件或者第3份文件。如果底層明文關(guān)鍵詞對應(yīng)的是k3,k6,k7中的一個,搜索結(jié)果必然會是第1份或者第3份文件。因此,用戶之前的搜索陷門對應(yīng)的底層明文關(guān)鍵詞為k2。上述確定搜索陷門對應(yīng)明文關(guān)鍵詞的方法也稱為二分法。文件注入攻擊簡單高效,惡意服務(wù)器可以任意設(shè)定關(guān)鍵詞數(shù)量,如果事先了解到用戶的搜索習(xí)慣,可以構(gòu)建包含較少關(guān)鍵詞的文件,以確定之前用戶的陷門對應(yīng)的明文關(guān)鍵詞。對于m個關(guān)鍵詞,只需構(gòu)造log2m個文件就能百分百確定之前搜索陷門對應(yīng)的明文關(guān)鍵詞。

圖6 文件注入攻擊[56]Fig.6 File injection attack[56]

文件注入攻擊的關(guān)鍵點(diǎn)在于惡意服務(wù)器需要利用之前的搜索陷門來搜索文件注入后的加密索引,即之前的搜索陷門泄漏了新添加文件。為了防止該攻擊,動態(tài)對稱可搜索加密方案需要達(dá)到前向安全。前向安全是由2014年Stefanov等[47]提出的動態(tài)SSE方案的安全概念,其保證了用戶添加的新文件不會被之前的陷門搜索到。如果一個動態(tài)SSE方案滿足前向安全,則上述的文件注入攻擊是無效的。因?yàn)榉?wù)器利用之前的陷門也無法搜索到注入的文件或稱為添加的文件,從而無法使用二分法確定明文關(guān)鍵詞。Stefanov等[47]雖然提出前向安全的概念,但是并沒有給出前向安全的形式化定義。直到2016年,Bost[66]首次給出前向安全的形式化定義,并精妙地構(gòu)造了一個滿足前向安全的動態(tài)SSE方案,該方案主要利用陷門置換函數(shù)來控制搜索陷門的有效搜索范圍。一旦有新的文件插入,客戶端就利用私鑰將搜索陷門向前置換。置換后的搜索令牌只能解密新插入的文件集合。而服務(wù)器可以利用公鑰對搜索陷門向后置換(直到初始令牌),以此來解密之前添加的文件。該方案通過一個遞歸調(diào)用即可解密包含某關(guān)鍵詞的所有文件。由于服務(wù)器無法向前置換,使得搜索陷門無法搜索新添加的文件,從而保證了前向安全。之后,各種構(gòu)建具有前向安全的動態(tài)SSE方案[67-70]層出不窮,并迅速成為研究熱點(diǎn)。

最近的研究提出體積注入攻擊[57-59]優(yōu)化文件注入攻擊。體積注入攻擊減少了攻擊者需要注入文件的數(shù)量,攻擊者通過已知的關(guān)鍵字并觀察搜索結(jié)果返回的加密文件數(shù)量而高效恢復(fù)查詢關(guān)鍵字。

4 結(jié)束語

本文從公鑰可搜索加密和對稱可搜索加密2個方面入手,著重探討了可搜索加密的安全性。關(guān)于公鑰可搜索加密的安全性,深入介紹了關(guān)鍵詞猜測攻擊和密文關(guān)鍵詞等值測試,并給出相應(yīng)的解決方法。在對稱可搜索加密方面,回溯了其常見安全模型,并深入介紹針對SSE方案的3種基本攻擊方法以及相應(yīng)的防御方法。當(dāng)前情況下,可搜索加密技術(shù)已經(jīng)初步完善,具備廣泛應(yīng)用的前景。然而,其安全性仍然是制約其應(yīng)用的主要挑戰(zhàn)之一。在此基礎(chǔ)上,本文思考可搜索加密在安全性方面的未來發(fā)展方向。

(1)迄今為止,許多公鑰可搜索加密方案依然未能有效地應(yīng)對關(guān)鍵詞猜測攻擊的潛在威脅。因此,將研究集中在構(gòu)建具有高效性的公鑰可搜索加密方案,以抵擋關(guān)鍵詞猜測攻擊。這不僅需要對目前技術(shù)進(jìn)行深入審視,還應(yīng)探索創(chuàng)新性的方法,以提高公鑰可搜索加密的安全性水平,確保用戶的數(shù)據(jù)隱私得到可靠保護(hù)。

(2)目前,大多數(shù)SSE方案并不能同時有效地防止多個方面的信息泄漏,例如訪問模式和搜索模式泄漏。即便有一些SSE方案能夠防止多個方面的信息泄漏,其搜索效率往往較低。因此關(guān)于SSE方案的安全性的研究應(yīng)該專注于構(gòu)建更安全的SSE方案,旨在實(shí)現(xiàn)最小化的信息泄漏的同時實(shí)現(xiàn)高效的搜索。

(3)近年來,同態(tài)加密和安全多方計算發(fā)展迅速,且二者都在隱私保護(hù)方面展現(xiàn)出強(qiáng)大的潛力。因此一個備受關(guān)注的未來研究方向是如何巧妙地結(jié)合同態(tài)加密[71]、量子密鑰協(xié)商[72]或安全多方計算,以設(shè)計一種既安全又高效的可搜索加密方案。該方向的研究旨在充分發(fā)揮同態(tài)加密的數(shù)據(jù)加密能力和安全多方計算的隱私保護(hù)機(jī)制,從而為構(gòu)建更加強(qiáng)大、全面的可搜索加密技術(shù)提供創(chuàng)新的解決思路。