张文琪 等: 鲁棒的前后向隐私联合对称可搜索加密方案                                                      3861


                 在  Bost 等人  [14] 方案的基础上, 设计了联合搜索方案, 虽然该方案能够支持联合查询, 但其使用的公钥密码原语仍
                 限制了其计算效率. 上述        DSSE  方案虽然能实现前向隐私, 但并没有考虑后向隐私. 因此, 仍会造成查询隐私的
                 泄露.
                    Stefanov  等人  [4] 最先引入了后向隐私的概念, 强调后续查询不能揭示先前已删除的文件信息, 但并未提供具
                 体的方案. 其后, Bost 等人    [25] 根据不同的安全层次, 利用泄露函数详细界定了              3  种类型的后向隐私, 即 Type-I、
                 Type-II 与  Type-III, 并以此构造相应的  DSSE  方案. 其中  Type-I 提供了最高等级的安全保障, 仅透露文件标识符、
                 其插入时间和关键词更新频次; Type-II 相比          Type-I 安全性较低, 额外暴露了关键词的所有更新时间; 而              Type-III
                 在  Type-II 的基础上, 进一步泄露了每个删除标识符对应的添加标识符及其更新时间. 此后, 后向隐私的                          DSSE  方
                 案相继问世. Sun   等人  [26] 构建了一个满足   Type-III 后向隐私  DSSE  方案  Janus++, 该方案利用对称穿刺加密技术来
                 提高通信效率, 但其计算开销与删除文件的数量成正比, 大量删除操作会造成开销陡增. Chamani 等人                            [27] 根据上
                 述  3  种不同的安全强度, 基于随机映射技术构造           Mitra、Orion  和  Horus 这  3  个方案. 其中  Mitra 满足  Type-II 后向
                 隐私, 但在 “清除” (客户端在经过一次搜索后需要对未删除过的关键词与文件进行重新加密) 阶段存在巨大计算
                 开销; Orion 满足最高安全等级的       Type-I 后向隐私, 但其搜索和更新效率较低; Horus 改善了          Orion  的通信效率, 但
                 该方案仅满足     Type-III 后向隐私, 并且存在较大计算开销. Hoang         等人  [28] 构造了  DSSE  方案  IM-DSSE I 和 I  IM-
                 DSSE I+II , 两者均支持  Type-III 后向隐私, 但均存在较大的计算与通信开销. He 等人         [29] 与  Demertzis 等人  [30] 着眼于
                 降低客户端的存储开销, 提出了具有常数级客户端存储开销的后向隐私                        DSSE  方案, 但两者更新过程中的通信开
                 销较大. Sun  等人  [31] 为了降低通信开销, 提出了一个满足前向隐私和            Type-II 后向隐私的  DSSE  方案  Aura, 仅需一
                 次客户端-服务器交互即可完成搜索, 但撤销密钥计算成本偏高. 此外, 一些研究探索了可信执行环境在实现后向
                 隐私中的应用     [32−35] . Zuo  等人  [36] 利用同态加法和位图索引的对称加密技术构造了         Type-I 后向隐私  DSSE  方案.
                 Wu  等人  [37] 利用  ORAM [38] 与  LL-tree 构造了一个前后向隐私  DSSE  方案, 但受  ORAM  结构限制, 计算与通信开销
                 较大. 现有  DSSE  方案大多依赖复杂的密码原语, 导致更新和搜索效率低下, 且局限于单关键词搜索, 缺乏联合搜
                 索能力. 此外, 研究者们也提出了支持更多功能的前后向隐私方案. Li 等人                   [39] 利用分区和隐藏指针技术, Xu 等人     [40]
                 利用可更新密钥的伪随机函数, 设计出支持更多功能的前后向隐私方案, 但分别面临计算开销与删除文件数量呈
                 线性关系和单关键词搜索局限性的问题.
                    Patranabis 等人  [20] 于  2021  年提出  BDXT  和  ODXT, 均为满足前后向隐私的联合可搜索加密方案, 其中       ODXT
                 基于  OXT [11] 的框架实现前后向隐私, OXT     架构包含“TSet” 与 “XSet” 两个加密数据库, 分别用于获取联合查询中
                 最低频关键词对应的文件标识符以及检测文件是否包含联合查询中的剩余关键词. 但是, Zuo                            等人  [41] 指出  OXT  结
                 构在联合查询的前向隐私方面存在一定缺陷, 进而揭示了                  ODXT [20] 在特定情况下也不支持联合查询的前向隐私.
                    大多数可搜索加密方案并未实现真删除, 仅在搜索时忽略特定文件标识符件. Chen                        等人  [42] 提出的  Bestie 方案
                 打破了这一局限, 实现了真正意义上的删除操作, 但该方案仅满足                    Type-III 后向隐私. Zuo  等人  [43] 基于二叉树结构
                 设计了一个实现范围查询的前后向隐私              DSSE  方案. Wang  等人  [44] 通过结合几何前缀编码的倒排索引技术和加密
                 位图技术, 提出了空间关键词查询的            DSSE  解决方案. Xu  等人  [45] 则利用局部差分隐私构造了一个能够抵抗泄露-
                 滥用攻击的    DSSE  方案. Chamani 等人  [46] 聚焦于不同删除比率下高效搜索的问题, 并提出了             OSSE  和  LLSE  两个
                 方案, 但这两个方案在更新文件时的多轮交互导致通信开销较大. Jiang 等人                   [47] 利用变长的布隆过滤器、matryoshka
                 过滤器以及在线密码提出了一个结果模式隐藏的联合查询方案. Xu                     等人  [48] 针对联合关键词搜索下的结果模式泄
                 露, 提出了一个强隐私保护的联合关键词搜索方案                 ESP-CKS. Jiang  等人  [47] 和  Xu  等人  [48] 分别通过创新的过滤器
                 技术和强隐私保护模型, 解决了联合查询中的结果模式隐藏问题. 尽管上述研究在前后向隐私的基础上实现了诸
                 多附加功能, 但普遍缺乏对客户端不合理更新请求的处理, 导致存储资源浪费的同时还影响了搜索效率. 其他方案
                 则不支持联合搜索, 极大限制了搜索功能的灵活性和实用性.
                    本文第   2  节介绍方案所涉及的基础知识. 第          3  节针对  RFBC  进行了详细分析, 介绍方案       RFBC  的安全目标、
                 主要思想、详细步骤以及安全性证明. 第             4  节分别从计算开销和通信开销两方面对方案               RFBC  的性能进行分析.
                 最后, 第  5  节总结全文.