Page 436 - 《软件学报》2025年第8期
P. 436
张文琪 等: 鲁棒的前后向隐私联合对称可搜索加密方案 3859
schemes are not robust, which means that they cannot handle irrational update requests from a client, such as adding or deleting a certain
keyword/file identifier pair, or deleting non-existent keywords/file identifier pairs. To address these challenges, this study proposes a robust
scheme for conjunctive dynamic symmetric searchable encryption that preserves both forward and backward privacy, called RFBC. In this
scheme, the server constructs two Bloom filters for each keyword, which are used to store the relevant hash values of the keyword/file
identifier pair to be added and deleted, respectively. When the client sends update requests, the server uses the two Bloom filters to
determine and filter irrational update requests, so as to guarantee the robustness of the scheme. In addition, by combining the status
information of the lowest frequency keywords among multiple keywords, the Bloom filters, and the update counter, RFBC realizes
conjunctive search by filtering out file identifiers that do not contain the rest keywords. Finally, by defining the leakage function, RFBC is
proved to be forward private and Type-III backward private through a series of security analyses. Experimental results show that compared
with related schemes, RFBC greatly improves computation and communication efficiency. Specifically, the computational overhead of
update operations in RFBC is about 28% and 61.7% of that in ODXT and BDXT, respectively. The computational overhead of search
operations in RFBC is about 21.9% and 27.3% of that in ODXT and BDXT, respectively. The communication overhead of search
operations in RFBC is about 19.7% and 31.6% of that in ODXT and BDXT, respectively. Moreover, as the proportion of irrational
updates gradually increases, RFBC exhibits significantly higher improvement in search efficiency compared to both BDXT and ODXT.
Key words: symmetric searchable encryption (SSE); forward privacy; backward privacy; robustness; conjunctive search
1 引 言
1.1 研究背景及意义
云存储是一种由云计算服务商提供的在线数据存储服务. 利用云存储, 用户可以将数据存储在远程服务器上,
并通过网络进行在线访问. 云存储服务具有存储空间动态可扩展、数据访问方式灵活、低成本高效率和数据自动
化管理等优势. 然而, 云服务器往往并不是完全可信的, 云存储中用户数据控制权的减弱和数据访问的不透明使用
户难以对数据进行监管, 存在用户隐私数据泄露的风险. 为了保护用户的数据隐私, 一种解决办法是客户端对数据
加密处理后上传至服务器, 当用户使用数据时下载所有加密的文件, 但该方法通信和时间开销巨大.
[1]
对称可搜索加密 (symmetric searchable encryption, SSE) 是一种支持用户在密文上进行高效关键词查询的密
码学原语, 能够确保用户查询关键词和文件等数据的隐私. 传统的可搜索加密是静态的, 不支持文件增删, 更无法
保证更新时的安全性. 然而, 在工业互联网等实际应用中, 云服务器上的数据往往需要频繁更新. 针对静态对称可
搜索加密方案在实际应用中的局限性, 学者们提出了动态对称可搜索加密 (dynamic symmetric searchable encryption,
DSSE) . 然而, 一些 DSSE 方案存在隐私泄露风险. 具体来讲, 用户更新数据时, 可能会泄露关键词、操作类型 (添
[2]
加或删除) 及文件标识符等信息, 攻击者则可以利用这些信息实施文件注入等攻击 [3] , 造成安全威胁.
前向隐私 [4] 能够有效地抵抗文件注入攻击, 它能够防止搜索历史泄露未来的更新信息, 即使攻击者获取了过
去的加密搜索日志, 也无法确定之后新添加的数据. 此后, 为了更好地维护历史删除数据的机密性和完整性, 学者
们提出了后向隐私 [4] 的概念. 后向隐私能够确保后续的搜索无法检索到过去被删除的数据, 根据安全性的强度, 后
向隐私又被分为 Type-I、Type-II 和 Type-III 后向隐私这 3 个等级. 这两个安全性概念的提出, 使学者们逐渐关注
前后向隐私的可搜索加密方案.
许多前后向隐私可搜索加密方案着眼于保护用户和数据的隐私, 但大多方案不支持多关键词的联合搜索. 若
用户想要通过多个关键词精准搜索某个文件, 但方案仅支持单关键词查询, 则用户需要通过多次查询及筛选才能
获得想要的文件. 因此, 单关键词可搜索加密方案的搜索功能十分受限, 且效率低下.
此外, 现有的大多数 DSSE 方案都默认客户端提交的更新请求是合理的, 不会出现重复添加文件和删除不存
在的文件这两种情况. 当响应大量不合理更新请求时, 会导致服务器存储空间的浪费和性能的下降, 必然会降低系
统的鲁棒性, 甚至导致隐私泄露. 例如, 攻击者掌握某些文件信息, 那么它可以构造并上传大量无用文件, 以达到降
低系统搜索效率的目的. 可见, 方案的鲁棒性也是可搜索加密的重要特性之一.
据我们所知, 当前少有能在满足前后向隐私的同时, 实现多关键词联合查询和处理不合理的更新请求的对称
可搜索加密方案. 因此, 实现鲁棒的前后向隐私联合可搜索加密成为当前云计算安全领域的一个新的挑战. 针对可
