[发明专利]一种基于模糊关键字搜索的可撤销公钥加密方法

权利要求书

1.一种基于模糊关键字搜索的可撤销公钥加密方法，其特征在于所述方法主要包含以下步骤：

步骤S1、系统初始化：由可信认证机构执行Setup算法，生成公共参数GP，具体生成过程为：

①可信认证机构选取一个双线性映射e：

G1×G1→G2 (1)

其中G1是阶为素数p的循环群，p是一个与给定安全常数λ相关的大质数，g为G1中的生成元，G2是乘法循环群；

②由数据拥有者给定关键字域W＝(W₁,W₂,...,W_i,...)，可信认证机构选择一个单向哈希函数并执行Setup算法，得到公共参数GP＝(p,g,G₁,G₂,e,H)；

③由可信认证机构将系统初始状态定义为st，再为系统初始化一个空的撤销列表RL；

所述的可信认证机构指的是能被数据拥有者、服务器和解密用户完全信任的主要负责初始化系统以及为数据拥有者生成主公钥，为解密用户生成公私钥对，为服务器生成重加密密钥的权威机构；

步骤S2、可信认证机构执行三个密钥产生算法KenGen_A、KenGen_B和KenGen_C,为数据拥有者生成主公钥pk_A，为解密用户生成公私钥对(pk_B,sk_B)，为服务器生成重加密秘钥rk_C，具体过程如下：

①随机选择且h_A＝g^a，可信认证机构执行密钥产生算法KenGen_A(GP,h_A)，为数据拥有者生成主公钥pk_A；

②随机选择且h_B＝g^b，可信认证机构执行密钥产生算法KenGen_B(GP,h_B)，输出解密用户的公私钥对(pk_B,sk_B)；

③随机选择且h_C＝g^c，可信认证机构执行密钥产生算法KenGen_C(GP,h_C)，输出服务器的重加密密钥rk_C；

步骤S3、数据拥有者对其要发送的数据M进行加密，根据其待加密的关键字域W＝(W₁,W₂,...,W_i,...)和要发送的数据M，执行Enc(pk_A,pk_B,M,W₁,W₂,...)算法，得到加密后的密文C＝(C₁,C_2,i,C₃,C₄,C₅,C₆,C_7,i),并将得到的密文发送给服务器，数据拥有者对数据M进行加密的计算公式为：

C₁＝H(e(pk_A,h_A)^s) (2)

C₃＝e(g,g)^r (4)

C₄＝e(g,h_B)^r (5)

C₅＝mY^s (6)

C₆＝g^s (7)

C_7,i＝g^s.t.i (8)

式中，随机选取令h_A＝g^k，h_B＝g^z，Y＝e(g,g)^y，t＝H(e(C₆,h_A)^a)，其中，i为0到n的随机非负整数，根据数据拥有者给定的阈值d，选取一个q(i)的d-1阶多项式，并且令y＝q(0)；

步骤S4、解密用户根据要搜索的关键字域W'＝(W′₁,W′₂,...,W′_i,...)，执行KTrapdoor(GP,sk_B,W')算法生成初始陷门d_W'；执行UTrapdoor(GP,sk_B,T,st,RL)算法，生成更新陷门u_T；执行Revocation(GP,W”,T',RL,st)算法做撤销陷门操作，并发布更新的撤销列表RL，其中，T表示更新陷门的时间，T'表示撤销陷门时间，W”表示要撤销的关键字域；

步骤S5、服务器在解密用户执行撤销陷门操作后，对密文进行重加密，利用服务器重加密密钥rk_C，执行用户级的访问控制，采用数据重加密算法Encrypt，产生新的密文C'＝(C′₁,C′_2,i,C′₃,C′₄,C′₅,C′₆,C′_7,i)，并将得到的新密文发送给解密用户；

步骤S6、在测试阶段，解密用户输入私钥,密文C'和陷门u_T，服务器计算：

t＝H(e(C′₆,h_A)^a) (9)

如果W_i＝W′_i，则下式成立：

其中，表示第i个查询关键字对应的陷门，其中，i为0到n的随机非负整数，W表示数据拥有者给定的待加密的关键字域；

服务器再计算数据拥有者给定的关键字域W与解密用户要搜索的关键字域W'交集的值，数据拥有者定义阈值d，比较交集的值与数据拥有者定义的阈值d的关系，如果W∩W'≥d，服务器输出正确的数据给解密用户，否则服务器输出“不能解密”提示给解密用户。

2.如权利要求1所述的基于模糊关键字搜索的可撤销公钥加密方法，其特征在于，

所述步骤S4具体包含以下步骤：

步骤S4.1、查询初始陷门，由解密用户执行KTrapdoor(GP,sk_B,W')算法，输入公共参数GP，解密用户的私钥sk_B，用户要搜索的关键字域W'，生成初始陷门和更新的状态st，解密用户通过算法得到初始陷门的计算公式为：

其中，G1是阶为素数p的循环群；

步骤S4.2、更新陷门，由解密用户执行UTrapdoor(GP,sk_B,T,st,RL)算法，输入公共参数GP，解密用户的私钥sk_B，更新陷门的时间T，撤销列表RL和状态st，生成更新陷门

步骤S4.3、撤销陷门，解密用户执行Revocation(GP,W”,T',RL,st)算法，输入公共参数GP，将要撤销的关键字域W”和撤销陷门时间T'，输出更新的撤销列表RL和状态st；

在上述步骤中，如果解密用户在时间T进行更新陷门，则不允许在同一时间做撤销陷门操作。