基于区块链的动态可验证对称可搜索加密方案

对称可搜索加密(symmetric searchable encryption,SSE)能实现密文数据的检索而不泄露用户隐私,在云存储领域得到了广泛的研究与应用.然而,在SSE方案中,半诚实或者不诚实的服务器可能篡改文件中的数据,返回给用户不可信的文件,因此对这些文件进行验证是十分必要的.现有的可验证SSE方案大多是用户本地进行验证,恶意用户可能会伪造验证结果,无法保证验证的公平性.基于以上考虑,提出一种基于区块链的动态可验证对称可搜索加密方案(verifiable dynamic symmetric searchable encryption,VDSSE);VDSSE采用对称加密实现动态更新过程中的前向安全;在此基础上,利用区块链实现搜索结果的验证,验证过程中,提出一种新的验证标签——Vtag,利用Vtag的累积性实现验证信息的压缩存储,降低验证信息在区块链上的存储开销,并能够有效支持SSE方案的动态验证.由于区块链具有不可篡改的性质,验证的公平性得以保证.最后,对VDSSE进行实验评估和安全性分析,验证方案的可行性和安全性.

支持语义扩展的动态多关键词密文排序检索

针对云存储环境下已有的动态多关键词密文排序检索方案不支持关键词语义扩展、不具备前向安全和后向安全的问题,提出一种支持语义检索且具备前向安全和后向安全的动态多关键词密文排序检索方案。该方案通过构建语义关系图实现查询关键词的语义扩展;使用树索引结构实现数据的检索和动态更新;利用向量空间模型实现多关键词排序搜索;基于安全K近邻算法对维度扩展后的索引和查询向量进行加密。安全性分析表明,该方案在已知密文模型下是安全的且具有动态更新时的前向安全和后向安全。效率分析及仿真实验结果表明,该方案在服务器检索效率方面优于目前同类型具有相同安全性或相同功能的方案。

一种增强的多用户前向安全动态对称可搜索加密方案

动态对称可搜索加密由于其具有良好的动态密文数据搜索功能而在云存储中得到了广泛的应用,但最近研究表明,动态可搜索加密很容易遭受文件注入攻击.为了抵抗这种攻击,前向安全的对称可搜索加密方案被相继提出.可是,现有的前向安全对称可搜索方案大多只支持单用户.最近,Wang等人在NSS 2018上提出了多用户环境下的前向安全动态可搜索加密方案(multi-user forward secure dynamic searchable encryption scheme,MFS),通过引入一个半诚实且不与云服务器合谋的代理服务器,解决了多用户查询的问题.但是,发现敌手可以通过窃听攻击或重放攻击找出更新文件与旧的搜索令牌之间的关联,从而破坏MFS方案的前向安全性.为了解决这个问题,提出了一个增强的多用户前向安全动态可搜索加密方案EMFS,通过去除用户和代理服务器之间的状态值传递和用户身份验证来抵抗窃听攻击和重放攻击.该方案采用了一个新的索引结构,能够有效地提升删除效率.最后,给出了形式化的安全证明,证明了EMFS方案在保证前向安全同时,能够抵抗上述2种攻击,并且把删除的复杂度从O(nw)降低到O(1),其中nw表示匹配关键字w的文件个数.

基于差分隐私的多模式隐藏动态对称可搜索加密方案

动态对称可搜索加密(dynamic symmetric searchable encryption,DSSE)在近年来已经成为数据隐私保护方面至关重要的原语,它能够允许客户端对保存于云服务器的加密数据执行高效的检索和更新操作,而仅向服务器泄露少量经过严格定义的信息,如搜索模式、访问模式、更新模式和容量泄露.然而,越来越多的研究发现,一些强大的敌手能够利用DSSE的泄露执行特定攻击,从而破坏数据和检索的隐私性.以往方案往往利用隐私数据查询,茫然随机存取器和存储补齐等技术来压缩甚至消除泄露信息,这些技术能够提供较好的安全性,但是存在计算、通信和存储复杂度过高的问题,难以实用.为了实现更好的安全和效率平衡,提出想法:首先引入差分隐私这一安全概念,提出了一种新的填充方法-差分隐私填充(differential privacy padding,DPP),在保证安全性的同时降低了存储负载.随后在多服务器模式下提出了一种称为“MDSSE”(multi dynamic searchable symmetric encryption)的动态搜索更新方案,通过对DPP的动态运用实现容量、更新以及搜索模式隐藏,保证了前向安全和后向安全.对于方案的安全性证明,扩展了对于更新历史的定义,提出了适用于方案的差分更新历史DP-Update.实验表明:方案可以抵御泄露滥用攻击,并具有较高的存储与通信效率.

支持动态更新的多关键词密文排序检索

针对云存储中加密数据的检索和安全问题,研究现有基于密文的对称可搜索加密方案,提出一种安全且高效的多关键词密文排序检索方案,同时支持动态更新和并行检索。利用向量空间模型实现多关键词排序检索,采用平衡二叉树作为索引结构,支持数据的动态更新和检索的并行执行。为保护数据的隐私性,利用安全k近邻(secure k-nearest neighbor,secure KNN)算法加密索引和查询向量。安全性和效率分析结果表明,与同样实现前向安全和后向安全的方案相比,该方法具有更高的检索效率。

一种支持联合搜索的多用户动态对称可搜索加密方案

近年来,满足前后向安全的动态对称可搜索加密(dynamic symmetric searchable encryption, DSSE)一直备受关注,它可以抵抗文件注入攻击,同时限制服务器学习已删除文档的相关信息.不过大多数满足前后向安全的DSSE方案仅支持单关键词搜索,Patranabis等人在NDSS 2021会议上提出了一种支持联合搜索且满足前后向安全的动态可搜索加密方案,但该方案在某些情况下不能得到准确的查询结果,同时不能支持多用户查询.针对以上问题,通过改进不经意交叉索引(oblivious cross tags, OXT)协议,提出了一种支持联合搜索的多用户动态对称可搜索加密方案.该方案利用有限域中元素具有乘法逆元的性质,引入了一次性盲因子,并结合数字信封技术实现了多客户端查询的功能.方案分析与实验表明,所提方案满足了前向安全与后向安全,不仅可以提供准确的联合查询功能,而且支持多客户端查询,同时计算效率仅与更新次数最低的关键词更新次数有关.

一种多访问级别的动态可搜索云存储方案

私人数据的云存储是近年来互联网发展的一个重要分支.但对于私人数据而言,将其加密后上传至云端可以保障数据的隐私性,但会降低搜索效率;直接上传则无法保障数据的安全性.对称可搜索加密技术的出现推动了云存储在安全性和效率之间的平衡发展,使得用户可以放心地将隐私数据存放到云上,同时保留可搜索性.但目前的对称可搜索加密技术功能还不够完善,存在没有划分数据文档的访问级别、用户权限单一等问题.本文结合对称可搜索加密与属性加密算法,提出了一种多访问级别的动态可搜索云存储方案,能够实现密文存储、关键字搜索、用户分级访问、基于属性解密文档、动态更新等功能.实验结果也表明本方案的搜索效率较高,能够有效满足应用需要.

一种基于动态索引表的对称可搜索加密方案

可搜索加密机制在现阶段的云端存储服务中有着广泛的应用,可以在保护用户数据隐私的情况下快速查询指定的加密数据。基于对称密钥加密的可搜索加密方案SSE计算开销小,效率高,特别适合个人用户的大规模数据块加密。针对传统SSE方案中BuildIndex算法的不足,提出了改进的索引表模型设计。实验证明,该算法建立索引表的时间花销更小,同时保留了查询速度快的特点,改善了SSE方案的动态性。

改进的高效动态可搜索加密方案

为解决云存储环境下加密数据的安全检索问题,对现有算法进行改进,提出一种高效且安全的可搜索加密方案。该方案利用哈希链表构建三个索引表:文件索引表γf、搜索索引表γw、删除索引表γd,后两者是在每次搜索过程中根据搜索凭证和访问格式逐渐建立的,有效分摊了总的搜索时间,且关键词二次搜索的时间消耗为常量。为提高更新效率,与原算法相比,增加了删除索引表,测试结果表明,改进后的方案删除操作的时间消耗一般可减少30%~60%。通过泄露函数证明在更新过程中不会泄露访问格式外的更多信息,安全性较高。

基于双向索引的高效连接关键字查询动态可搜索加密方案

为了解决现有动态可搜索加密方案更新过程操作复杂、信息泄露以及查询方式单一等问题,提出了一种前向安全和后向安全的高效连接关键字查询动态可搜索加密方案--BPC-DSSE方案。该方案利用位图索引构建了双向索引结构来简化动态更新过程,并通过具有加法同态性质的对称加密隐藏访问模式。同时,由于添加和删除操作均通过模加法完成,可通过隐藏更新类型减少更新过程的泄露。此外,为了解决现有方案查询方式不灵活的问题,引入内积匹配算法实现了高效的连接关键字查询。安全分析表明,BPC-DSSE方案实现了前向安全以及Type-I-的后向安全。仿真结果表明,相对于其他连接关键字查询的方案,BPC-DSSE方案具有更高的更新、查询效率。

基于循环加密链的高效动态可搜索对称加密方案

前向安全是设计动态对称可搜索加密方案的必要条件之一,为了构建一个满足前向安全的高效动态可搜索对称加密方案,本文提出一种名为循环加密链的密码学原语及其通用构造方法,并基于该构造方法设计满足隐藏响应结果的前向安全动态可搜索对称加密方案.相比于大部分现有的动态可搜索加密方案,该方案在保证前向安全的前提下,优化了通信和搜索效率,减少了客户端存储开销,并且实现了搜索结果的加密隐藏.实验结果表明本文提出的方案是高效且实用的.

Towards privacy-preserving dynamic deep packet inspection over outsourced

The prosperity of network function virtualization(NFV)pushes forward the paradigm of migrating in-house middleboxes to third-party providers,i.e.,software(virtualized)middlebox services.A lot of enterprises have outsourced traffic processing such as deep packet inspection(DPI),traffic classification,and load balancing to middleboxes provided by cloud providers.However,if the traffic is forwarded to the cloud provider without careful processing,it will cause privacy leakage,as the cloud provider has all the rights to access the data.To solve the security issue,recent efforts are made to design secure middleboxes that can directly conduct network functions over encrypted traffic and middlebox rules.However,security concerns from dynamic operations like dynamic DPI and rule updates are still not yet fully addressed.In this paper,we propose a privacy-preserving dynamic DPI scheme with forward privacy for outsourced middleboxes.Our design can enable cloud side middlebox to conduct secure packet inspection over encrypted traffic data.Besides,the middlebox providers cannot analyze the relationship between the newly added rules and the previous data.Several recent papers have proven that it is a strong property that resist adaptive attacks.Furthermore,we design a general method to inspect stateful packets while still ensuring the state privacy protection.We formally define and prove the security of our design.Finally,we implement a system prototype and analyze the performance from experimental aspects.The evaluation results demonstrate our scheme is effective and efficient.

基于椭圆曲线加密的多用户可搜索对称加密方案

可搜索加密(searchable encryption,SE)是数据安全检索环节的关键技术之一,它允许服务器在不解密的情况下直接搜索加密数据.为解决云存储环境下数据安全共享时面临的密文检索问题,对现有单用户场景下的动态可搜索对称加密(searchable symmetric encryption,SSE)方案进行多用户拓展,提出一种高效、安全且客户端无存储的多用户动态可搜索对称加密方案.该方案创新性地采用椭圆曲线加密系统实现多用户间的密钥管理和访问密钥的分发,有效避免了传统多用户解决方案中的密钥共享问题和双线性对操作,且同时满足查询隐私、搜索不可伪造性和用户可撤销性.此外,经过多用户拓展后的可搜索对称加密方案依然保持了原单用户方案泄露信息少、文档搜索高效、文档删除高效且客户端无存储等优点.