Public Key Encryption with Conjunctive Field Keyword Search Dong Jin Park, Kihyun Kim, and Pil Joong Lee Presenter: 陳陳陳 2008/10/8
Public Key Encryption with Conjunctive Field Keyword Search
Feb 02, 2016
Public Key Encryption with Conjunctive Field Keyword Search. Dong Jin Park, Kihyun Kim, and Pil Joong Lee Presenter: 陳昱圻 2008/10/8. Outline. Introduction Preliminary CFKS scheme Proposed scheme 1 Proposed scheme 2 Security proof. Introduction. 將文件預先存放在伺服器. 搜尋文件. Alice. 傳回 Alice 的文件. - PowerPoint PPT Presentation
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Public Key Encryption with Conjunctive Field Keyword Search
Dong Jin Park, Kihyun Kim, and Pil Joong Lee
Presenter: 陳昱圻2008/10/8
Outline
• Introduction• Preliminary• CFKS scheme• Proposed scheme 1• Proposed scheme 2• Security proof
Introduction
Alice
誠實卻好奇的伺服器
將文件預先存放在伺服器
搜尋文件
傳回 Alice 的文件
Introduction – 2000 Song
• 首推 2000年 Song 等人提出的方法。• 採用對稱式加密法。• 加密的文件跟欲搜尋的暗門有關。• 優點 : 非常節省空間 ( 文件大小為 m 則放
入伺服器大小也是 m)• 缺點 : 很多…
Introduction – 2004 Goh
• 繼 Song 等人的方法之後, Goh 提出 index的概念,加快了搜尋的效率。
• 使用了加密文件與可搜尋的密文分開儲存• 優點 : 搜尋效率較快 ( 使用雜湊函數 )• 缺點 : 碰撞 搜尋錯誤• 假設文件中總共有 m 的文字,訂定 n 個關
鍵字。則上傳給伺服器的加密文件大小為m ,可搜尋的密文為 n ,空間使用為 m+n
IntroductionUser1(Alice)
User2(Bob)
receive
send
Untrusted mail server
No interactive
Introduction
• Boneh 等人提出的 public key encryption with keyword search scheme 即為使用公開金鑰的搜尋機制,主要利用在 email 系統上。[EApub[M], PEKS(Apub, W1),…,PEKS(Apub, Wm)]M 為整篇 eamilW1…Wm 為關鍵字
Introduction
• Golle 等人提出的 Secure Conjunctive Keyword Search Over Encrypted Data主要集中在多關鍵字的搜尋方式。
• 根據上述兩種方法,希望可以做到多關鍵字的公開金鑰加密搜尋系統。
Outline
• Introduction• Preliminary
BDHBDHI
• CFKS scheme• Proposed scheme 1• Proposed scheme 2• Security proof
Preliminary
• 首先定義兩個困難的假設。 BDH 以及 BDHI ,基於這些安全假設上,可以證明提出的機制是安全的。
• 定義以下提到的 G1 為加法群, G2 為乘法群。
Preliminary-BDH
• 給一組數• 輸出• 一個攻擊者 A 可解 BDH 的能力為 ε
• 即為給 A看其是否能解
1,,, GPPPP 2),( GPPe
]),(),,,(Pr[ PPePPPPA
1,,, GPPPP 2),( GPPe
Preliminary-BDH
• 在 A 隨機挑選 • 一個攻擊者 B 輸出 ,且有能力 ε 去解 DBDH 問題
• R為 G2 內隨機選擇的數• 定義 1: 假如在沒有 t-time 的演算法有能力
ε 去解 BDH ,則 (t,ε)BDH 為困難的假設。
*,, PZ1,0b
|]0),,,,(Pr[]0)),(,,,,(Pr[| RPPPPBPPePPPPB
Preliminary-BDHI
• Bilinear Diffie-Hellman Inversion• 給一組數• 計算• 一個攻擊者 A 可解 BDHI 的能力為 ε
• 即為給 A 看其是否能解
• 方法與 BDH 類似,攻擊者 B 亦類似
1*1
2 )(,...,,, qq GPxPxxPP*2
/1),( GPPe x
]),(),...,,,(Pr[ /12 xq PPePxPxxPPA1*
12 )(,...,,, qq GPxPxxPP
*2
/1),( GPPe x
Outline
• Introduction• Preliminary• PECK scheme• Proposed scheme 1• Proposed scheme 2• Security proof
PECK scheme
• Email 訊息的格式
• 並具有以下特色1. 在同一文件相同的 keyword 不會出現在兩個不同的 field 裡面。2. 對於每個文件,每個 keyword field 都被定義。
))],...,(,(],[[ 1 mpubA WWAPECKMEpub
PECK scheme - Example
From To Date Status
m fields
Alice Bob 06/01/2004 Urgent
Alice Charlie 05/28/2004 Secret
… … … …
Dave Alice 06/04/2004 Non-urgent
n docs
D1
D2
Dn
The documents are the rows of the matrix Di = (Wi, 1, …, Wi, m)
Model 1 2 3 4 5 …
D1 Kevin-Wang
PHD NULL NULL NULL …
D2 Noodle is a fat pig …
D3 Kevin-Wang
is not CM-Wang NULL …
D4 I saw a NULL NULL …
D5 AI-lab 922B NULL NULL NULL …
PECK scheme – Example 2D1: Kevin-Wang Kevin-Wang Kevin-Wang Kevin-Wang Kevin-Wang PHDD2: Noodle is a fat pigD3: Kevin-Wang is not CM-WangD4: I saw a saw, saw a sawD5: AI-lab 922B
PECK scheme - Definition
• PECK 機制由以下幾個 polynomial time randomized algorithm 所組成。
• 1. KeyGen(1k) 得到公鑰私鑰對• 2. PECK(Apub, D) 產生 D 的可共節搜尋的密文 S
• 3. Trapdoor(Apriv, Q) 利用欲搜尋的內容與私鑰產生暗門 TQ
• 4. Test(Apub, S, TQ) 伺服器利用暗門與密文以及工要做比對之動作
Outline
• Introduction• Preliminary• PECK scheme• Proposed scheme 1• Proposed scheme 2• Security proof
Proposed scheme 1
• 在大多數的機制中,只有 Test 步驟會用到一個 pairing operation 。
• 在 scheme 1 適用在 email 匝道上搜尋資料與路由上。
• 首先介紹此機制的一些參數雜湊函數 H: 0,1*→G1
size 為小 p 的兩個群 G1 G2
大 P為 G1之 generator
Proposed scheme 1 - work
• KeyGen(1k)→Apub=[P, Y1=s1P, Y2=s2P]Apriv=[s1, s2]其中 s1,s2為 Zp 中隨機選的兩個數
• PECK(Apub, D)→r 為屬於 Zp 隨機值 ,D=W1,W2,…,Wm
• Trapdoor(Apriv, Q)→TQ=[T1,T2,I1,…,It]I1,…,It 為欲搜尋的關鍵字之位置
],),),((),...,),(([ 2111 rPrYYWrHeYWrHe m
且隨機挑選
)(...)( mod
2
12
11
p
t
ZuT
HHpus
sT
size:mpr+2
size:2+ 欄位
size:2,3
Proposed scheme 1 - work
• Test(Apub, D, TQ): S=[A1, A2,…, Am, B=rY2, C=rP]驗證等式 AI1*AI2*…*AIt=e(T1,B+T2C)如果 WIi=Ωi(1≤i ≤t) 則輸出 yes 唯有搜尋到符合的 keyword ,驗證過程如下
),(
))),(...)(((
))),(...)(((
...
21
11
11
21
CTBTe
rPHHse
YWHWHre
AAA
t
II
III
t
t
Outline
• Introduction• Preliminary• PECK scheme• Proposed scheme 1• Proposed scheme 2• Security proof
Proposed scheme 2
• 在 scheme 1的 H function 中使用了所謂admissible encoding scheme (MapToPoint) ,這是一個負擔極大的計算。
• Scheme 2 不使用此方法。在 PECK 步驟的計算負擔較低。需要兩個雜湊函數
pHH 2log21 1,0*1,0:,
參照 Scheme 1的 H function
Proposed scheme 2 - work
• KeyGen(1k)→ Apub=[P, Y1=s1P,…, Ym+2=sm+2P, g=e(P,P)]Apriv=[s1,…,sm+2] P為 G1 生成元, sn為 Zp 中挑選的隨機數
• PECK(Apub,D)→ [r0(Y1+H1(W1)P)+r1P,…, r0(Ym+H1(Wm)P)+rmP,r1Ym+1,…, rmYm+1, r0Ym+2,H2(gr0) ]rn為 Zp 中挑選的隨機數
size:(m+2)+1+pr , m+2
size:2m+2
Proposed scheme 2 - work
• Trapdoor(Apriv,Q)→TQ=[T1,T2,T3,I1,…,It]
• Test(Apub, S, TQ): S=(A1,.., Am, B1,…, Bm, C, D)驗證
中的隨機數為 p3
11
2
21111
Z
1
)(...)(...
1
1
uT
Ts
T
PusHHss
T
m
mtII t
DTBBe
TCTAAeH
t
t
II
II
)
),...(
),...((
2
132
1
1
Outline
• Introduction• Preliminary• PECK scheme• Proposed scheme 1• Proposed scheme 2• Security proof
Security proof –game ICC
Adversary Challenger
選定 D0,D1
A 可以放資料或搜尋
Challenger 給予回應
A 可以再放資料或搜尋 而 challenger 持續做回應唯獨不能讓 A 去詢問 D0,D1 ,最後 A 要猜 b是 0或 1
傳回一 E(Db)
Security proof –game ICR
• 類似於 ICC• 唯有 D1=Rand(D0,T) T 為所有關鍵字的集合• A 目標也是分辨 D0&D1
• Proposition 1.If there is an adversary A that wins Game ICC with advantage ε, then there exists an adversary A’ that wins Game ICR with advantage ε/2.
Security proof –game ICLR
• 類似於 ICR• 唯有 D0=Rand(D,T) D1=Rand(D,T-t)
t 為關鍵字集合中的一個關鍵字• A 目標也是分辨 D0&D1
• Proposition 2.(Golle’s)If there is an adversary A that wins Game ICR with advantage ε, then there exists an adversary A’ that wins Game ICLR with advantage ε/m2
Security Proof –scheme 1
• 定義 scheme1 的安全性是架構在 ICLR game 中解 DBDH 問題是困難的假設上。
• 假設攻擊者 A在 game ICLR 擁有能力 ε 去破解scheme1 ,而 A 最多可做 qT 次詢問 Trapdoor 。
• 另外建立攻擊者 B有 ε’=ε/emqT 的能力解在 G1
的 DBDH 問題。 (執行時間與 A差不多 )• 當輸入 (P,αP,βP,γP,R) 攻擊者 B 的目標是如果
R=e(P,P)αβγ 輸出 1 ,若不是則輸出 0 。
Security Proof –scheme 1
• 證明的概念假設有攻擊者 A 可以破解scheme1 所以存在解 DBDH 的對手 B。因為 DBDH是 open problem ,所以 B 解不得 DBDH ,故推得存在攻擊者 A 是假設錯誤。
• 在 game ICLR ,攻擊者 B執行動作並持續與攻擊者 A互動,其過程步驟如下 :
Security Proof – KeyGen.
攻擊者 A 攻擊者 B
從 Zp 內選一隨機數 s
給 Apub=[P, Y1= αP, Y2=sP]
符合的 Apriv=[α,s]其中 α 值攻擊者 B 並不知道
Security Proof – Hash queries.
攻擊者 A 攻擊者 B
任何時候 A 可對 RO的 H 做詢問
其根據 B他手上的 H-list < Wi, hi, ai, ci >回應 H quries
H-list初始是空的,當 A 詢問 Wi的 H, B 回應如下。
Security Proof – Hash queries.攻擊者 A 攻擊者 B
跟 B 詢問 Wi的 H
步驟 1B看 H-list 內是否有出現過 Wi
如果有 <Wi, hi, ai, ci>
回傳 H(Wi)=hi
沒有在 H-list 內,則跳步驟 2
H-list
Security Proof – Hash queries.攻擊者 A 攻擊者 B
跟 B 詢問 Wi的 H
步驟 2B 產生一個隨機 0,1的 ci
Pr[ci=0]=1/qt
步驟 3B 選一 Zp 隨機 ai ,當ci=0則 B 計算 hi←ai(βP)ci=1則 B 計算 hi←aiP
步驟 4B增加 <Wi, hi, ai, ci>到 H-list 中並回應 H(Wi)=hi
回傳 H(Wi)=hi
H-list
Security Proof – Trapdoor queries.攻擊者 A 攻擊者 B
當 A 要做一個多關鍵字搜尋Qi=(Ii,1,…Ii,t,Ωi,1,… Ωi,t)
步驟 1 攻擊者 B執行上述演算法對於回應 H queries去取得 hi,j H(Ωi,j)=hi,j 且讓 <Ωi,j, hi,j, ai,j, ci,j> 為對應的 H-list如果 ci,j 沒有全部都是 1 ,則 B 會失敗。
步驟 2 我們知道 ci,j=1則 hi,j=ai,jP 定義 Ei=(ai,1+…+ai,t)Y1 Fi=(1/(s+ui)mod p)Ei 其中 ui是 Zp 隨機數Fi 對於欲查詢的 Q在 Apub 下是正確的暗門。
)(...)( ,1, tiii
i HHus
F
傳回 [Fi,ui,Ii,1,…,Ii,t]
Go back
Security Proof – Challenge.攻擊者 A 攻擊者 B
產生一關鍵字 W 以及位置 z希望來被 challenge
W,z步驟 1 B取得 H(W)=h且 <W,h,a,c> 符合 H-list如果 c=1則 B失敗
步驟 2 攻擊者 B 選多個隨機 Wi,j i為 0,1 j 介於 1~m除了 W0,z=WB 產生 Di=(Wi,1,…,Wi,m) 兩隨機文件限制先前的 Trapdoor 不能分辨此兩給W0,j讓 <W0,j,h0,j,a0,j,c0,j> 為符合的 H-list
步驟 3 B 回應 challenge[A1,…Am,B,C] 以及D0,D1 計算 challenge value 如下如果 c0,j=0, Aj=Ra0,j 否則 Aj=e(a0,j(γP),αP)- B=s(γP). C=γP.
回應 challenge 以及 D0,D1
Go back
Security Proof – Challenge.
• 如果 R為 e(P,P)αβγ 此 challenge 等於
這會是 D0 可用的 PECK],),),((),...,),(([ 21,011,0 PYYWHeYWHe m
Security Proof – More queries.
攻擊者 A 攻擊者 B
可以持續做詢問動作唯獨不能詢問有關 D0,D1
針對 A 的詢問作回應
Security Proof – Output.
• 最後 A 要輸出 b’為 0或 1 去分辨 challenge是 D0還是 D1 。如果 b’=0則 B 輸出 yes 表示R=e(P,P)αβγ ,否則輸出 no 。
Security Proof
• 以上完成描述了攻擊者 B 。而 B 可能失敗在 Trapdoor queries 以及準備 challenge 之時。
• 定義兩個事件E1: B 回應所有 A的 Trapdoor queries 不失敗E2: B準備挑戰給 A時也不會失敗
• 假設 qt足夠大 ,則 E1 的機率 而 E2 的機率 ,故 B
破解 DBDH 問題的能力為
eq tqt /1/11
meE /1]Pr[ 1 tqE /1]Pr[ 2 t
mqe/'
Security Proof
• 假設 DBDH 問題是棘手的, Scheme 1 在抵擋 adaptive chosen keyword attack 符合semantically secure 。
Conclusion
• 利用 bilinear map ,在共節搜尋上提出了兩個更有效率的機制。
• 在 scheme1 中,在 Test 用了一個 pairing operation ,但這也是常受到質疑的一個步驟。此機制是用在搜尋已儲存的資料,其安全性架構在 DBDH 問題上
Related Documents
![Enabling Fine-grained Multi-keyword Search Supporting ......search query. Yu et al. [14] propose a multi-keyword top-k retrieval scheme which uses fully homomorphic encryption to encrypt](https://static.cupdf.com/doc/110x72/5f08699a7e708231d421e27b/enabling-fine-grained-multi-keyword-search-supporting-search-query-yu-et.jpg)
