蒲浪 等: 基于国密    SM9  的公钥认证可搜索加密方案                                                 4273


                 多次耗时操作, 这导致检索效率不佳. SM9-PAEKS           方案通过重新设计算法结构, 将耗时运算转移至算力充足的云
                 端服务器, 大幅提升了用户端的检索效率, 更适用于物联网等领域的轻量级设备使用. 同时, 这也可为同类型方案
                 的性能优化提供新思路.
                    (4) 证明了  SM9-PAEKS  的安全性, 本文基于随机谕言模型给出了方案安全性的详细证明. 同时, 为模拟真实
                 环境中方案的应用效率, 本文开展了大量仿真测试, 理论结合实践地对方案进行评估. 实验结果表明, 与同类方案
                 中通信代价最优的方案相比, SM9-PAEKS         在仅增加    96 字节通信代价的情况下, 总计算开销可至少降低约               59.34%,
                 其中关键词陷门生成的计算开销降低约为               77.55%.
                    本文第   1  节对  PEKS  和  SM9  密码算法的相关工作进行介绍. 第       2  节对本文涉及的双线性对、安全假设、系
                 统模型、安全模型等预备知识进行介绍. 第              3  节详细介绍   SM9-PAEKS  的具体构造, 并对其正确性与安全性进行
                 分析. 第  4  节从理论分析和仿真实验测试两个角度对             SM9-PAEKS  进行评估. 最后, 第    5  节对全文工作进行总结,
                 并展望未来可继续开展的工作.

                 1   相关工作

                    2000  年, Song  等人  [5] 最早提出可搜索加密的概念, 并给出首个对称可搜索加密方案. 随后, 大量研究围绕可搜
                 索加密开展. 2004   年, Boneh  等人  [6] 结合可搜索加密与公钥密码学的特点, 最早提出了             PEKS  的概念并给出了首
                 个  PEKS  方案. 本节参考  PEKS  的重要研究成果, 从安全性和搜索模式两个角度论述                PEKS  的研究现状, 然后介绍
                 本文研究所基于国产       SM9  密码算法的研究现状.
                    安全性: 2003  年, Goh  等人  [7] 最早给出了可搜索加密的安全性定义. 2005       年, Abdalla 等人  [8] 出于隐私的考虑定
                 义了  PEKS  的搜索和访问模式, 并建议后续的研究中应确保两种模式的安全与隐私. 2006                     年, Byun  等人  [9] 提出抵
                 抗外部离线关键词猜测攻击的概念, 并对文献               [6,10] 的方案进行了攻击. 2010   年, Tang  等人  [11] 提出的方案可抵抗
                 此类攻击. 2008  年, Baek  等人  [12] 在不需要建立安全信道的前提下, 构建        PEKS  方案, 并在随机谕言模型下证明其
                 方案的安全性, 然而该模型下安全并不能保证真实世界中的安全. 2009                    年, Fang  等人  [13] 提出的方案在无需安全信
                 道的同时, 安全性证明也不需借助随机谕言模型. Jeong              等人  [4] 指出由于常用关键词空间较小, 传统         PEKS  方案无
                 法抵抗关键词猜测攻击. 2016       年, 为抵抗关键词猜测攻击, Chen       等人  [14]  利用双服务器模式, 匹配测试需由两个服
                 务器完成. 2017  年, Huang  等人  [15]  提出  PAEKS  方案, 通过为数据发送者分配密钥对的方式, 在关键词密文生成时
                 不仅需要接收方公钥还需发送方私钥, 在单服务器模式下就可抵抗关键词猜测攻击. 2019                          年, Chen  等人  [16]  提出基
                 于双服务器的     PAEKS  方案, 关键词匹配算法由两个服务器执行, 避免了单服务器权力集中导致的关键词猜测攻
                 击, 方案可达更高的安全性. 2020       年, Qin  等人  [17]  对  PAEKS  进行了安全性加强, 提出了多密文不可区分和多陷门
                 不可区分, 并给出了满足定义的方案. 2022          年, Li 等人  [18]  在电子医疗记录场景中提出公钥认证密文更新可搜索加
                 密, 引入可信代理将来自不同发送者的密文转换为同一形式, 从而支持常量关键词陷门检索, 降低系统通信开销.
                 2023  年, Liu  等人  [19]  基于无证书体系设计的方案避免了较高开销的双线性对映射, 提升效率的同时在陷门生成过
                 程中引入随机数, 可提升方案中关键词陷门的安全性. Cheng               等人  [20]  提出  PAEKS  没有考虑频率分析攻击, 易造成
                 用户关键词陷门中包含关键词信息泄露, 并在此基础上给出了可抵抗频率分析攻击的                            PAEKS  方案.
                    检索模式: 2004   年, Boneh  等人  [6] 提出首个支持单关键词检索的      PEKS  方案, 这是最基础的检索模式. 但由于
                 其检索时的精度不够高, 使用场景非常受限. 2005            年, Park  等人  [10] 提出支撑连接关键词的   PEKS  方案, 有效提升了
                 检索精度. 2007  年, Boneh  等人  [21]  提出支持范围查询的方案, Shi 等人   [22]  进一步地提出了支持多维度进行范围检
                 索的方案. 2013  年, Xu  等人  [23]  提出了支持模糊关键词查询的方案, 该模式下可检索无法精准确定的关键词. 2014
                 年, 李双等人   [24]  提出基于属性的  PEKS  方可适应群组, 扩大信息共享范围的同时节省云端存储空间. 2023 年, Chen
                 等人  [25]  利用区块链、哈希证明链等技术实现检索结果可验证和数据动态更新.
                    SM9  密码算法: SM9  密码算法是我国政府高度重视密码算法发展和应用的产物, 得到了国家标准层面的大力
                 支持, 是我国自主研发的首个标识密码算法. 该算法基于有限域椭圆曲线上的双线性对构建, 共包括数字签名、密
                 钥交换协议、密钥封装协议以及标识加密算法这                 4  个重要部分. 目前, SM9   密码算法的相关研究也取得了诸多成