计算机技术与网络安全研究
             Computer Technology and Cyber Security Research



            可区分的，使其丧失了语义信息。为了保证数据可用性，能够对密文进行有效地
            检索，研究人员提出了可搜索加密。虽然本质上可搜索加密是函数加密的一种，
            但是由于其应用和研究的广泛性，密码学界已将其作为独立的密码学元语进行研
            究，将在本章中对其进行单独讨论。
                 常见的可搜索加密方案的功能是搜索包含特定关键词（集合）的加密文件。

            其典型系统结构中，参与者为数据贡献（写）者、数据使用（读）者和云服务器。
            其中，数据贡献者负责将加密数据和加密索引上传到云服务器上，一般地，加密
            数据的算法是高效的对称加密算法，如 AES、3DES 等，而索引则按照应用场景

            的不同使用对应的可搜索加密方案的加密算法。云服务器负责对上传数据进行存
            储和管理并在数据使用者进行查询时按照查询请求返回相应的加密文件，数据使
            用者在客户端对文件解密。可搜索加密方案按照应用场景的不同可以分为对称密
            钥可搜索加密和非对称密钥可搜索加密（公钥可搜索加密）。在对称密钥可搜索
            加密中，数据的贡献者和数据的使用者为同一实体；在非对称密钥可搜索加密中，

            数据贡献者和数据使用者为不同实体。
                 对称密钥可搜索加密的优点在于其使用对称加密，效率较高但可扩展性差，
            应用场景有限。非对称密钥可搜索加密的优点在于其更适用于多用户的场景，但

            是由于大多使用运算速度较慢的双线性对来构造方案，所以造成整个方案的效率
            较低。
                 1. 安全定义
                 在大多数可搜索加密方案的威胁模型中，云服务器都被假定为半可信的
            （semi-honest)，即云服务器会诚实地执行预定的协议和步骤，但是会被动地试

            图对能够接触到的数据结合相应的背景知识进行分析以获取额外的信息。为了保
            护数据隐私，研究人员对可搜索加密方案提出了以下三方面的安全要求：
                 关键词机密性（confidentiality)。索引密文和搜索令牌是可搜索加密中关键词

            机密性的泄露源头，尽管它们都是被加密的，但是云服务器可以通过其他方式获
            取有关关键词的信息，如下面提到的词频分析攻击。
                 搜索令牌不可关联性（unlinkability)。令牌生成算法能够保护数据使用者感
            兴趣的关键词的机密性，但是云服务提供商可以通过侧信道攻击的方式获取该信
            息。例如当搜索令牌是由确定型算法生成时，云服务器可以根据背景知识建立词

            频统计表，并累加不同搜索请求中的关键词出现频率，通过逆向工程的方式恢复


             158
             158