云计算技术的广泛应用推动了云存储服务的高效部署，海量数据以加密形式集中托管于云端服务器，显著提升了资源利用率和跨域协作能力。然而，云存储的开放性与数据所有权的分离特性，使得数据的隐私保护面临严峻挑战。随着数据共享场景的复杂化，如何在多用户协作环境下实现安全高效的密文检索成为亟待突破的挑战。云存储环境下，多用户协同场景对可搜索加密（SE）技术提出了更高的动态访问控制需求。当前可搜索加密技术还面临内部关键字猜测攻击（IKGAs）的威胁。

鉴于此，我们提出了一种面向云数据访问控制的认证密文检索（ABASE）方案，实现云数据的密文检索与访问控制，并且抵抗IKGAs。

Boneh等首次提出公钥可搜索加密的概念，受到研究者的广泛关注。Zheng等设计可验证的密文策略属性基可搜索加密方案，通过引入验证机制确保云服务器搜索操作的可信执行。Yu等提出基于密钥策略的属性可搜索加密方案，其核心在于将访问策略嵌入加密索引。Miao等提出了一种多授权中心的属性可搜索加密（MABKS）方案，最大限度地减少云系统中资源有限设备的计算和存储开销。Miao等构建了面向多数据拥有者场景的属性可搜索加密（ABKSSM）方案，实现了选择安全性并且抵御离线关键字猜测攻击。Yang等提出了一种高效且安全的数据选择性共享与获取（DSA）方案，使用户能够在不暴露其利益的情况下完成数据获取。李红等借助线性秘密共享方案构建检索陷门生成机制，支持以任意单调布尔公式表达的复杂策略检索。刘晨旭等创新性地提出具有前向安全、后向安全与动态撤销能力的部分策略隐藏方案，同时优化了恶意用户撤销流程。张克君等实现数据读写权限的细粒度控制，并利用属性基加密实现陷门不可区分性。郭瑞等提出一种完全策略隐藏属性可搜索加密方案与外包解密机制，实现计算负载的分布式迁移。

Byun等揭示了可搜索加密方案的一种安全隐患，即攻击者可利用用户习惯性选取有限语义关键词的特性，对密文索引发起离线关键字猜测攻击（KGAs）。Huang等开创性提出公钥认证可搜索加密方案，确保密文关键词的真实性与来源可验证。张玉磊等构建多用户环境下抗IKGAs的可搜索加密方案，在随机预言模型下实现其选择密文安全性。胡震宇等构建了一种指定验证者的高效公钥认证可搜索加密方案，一定程度上避免了双线性配对操作，提升了计算效率。刘永志等引入可信执行环境，在云端部署飞地程序隔离关键字匹配过程，通过硬件级安全隔离抵御恶意服务器攻击。肖心雨等设计了具有严格陷门不可区分性的公钥认证密文检索方案，显著降低检索过程的信息泄露风险。Xu等提供了具有前向安全特性的公钥认证可搜索加密方案的一般结构，并提出了一个基于格密码的实现方式。蒲浪等将双线性映射运算等复杂操作迁移至云端，在抵抗IKGAs的同时优化用户端计算效率。

当前可搜索加密领域尚缺乏同时实现用户访问控制与抵抗内部关键字猜测攻击的可行架构，这一缺陷严重制约了该技术在云存储场景中的实际应用。

系统模型如图1所示，包含4个实体，分别是可信权威中心、数据拥有者、数据用户和云服务器，各个实体的主要功能如下。

图1 系统模型

1）可信权威中心：可信权威中心负责初始化整个系统，并为数据拥有者和数据用户生成执行算法所需的密钥。

2）数据拥有者：数据拥有者设定访问策略，并从数据中提取关键字，构建索引列表。随后，数据拥有者利用自己的私钥和预设的访问策略对关键字进行加密，生成关键字密文。最后，将关键字密文和数据密文上传至云服务器。

3）数据用户：数据用户选取待检索关键字，通过私钥为其生成检索陷门，提交给云服务器。

4）云服务器：在接收到检索陷门后，云服务器对关键字密文进行逐一检索。

方案的威胁模型定义如下：

（1）可信权威中心被视作完全可信的，能够诚实地为各个实体生成所需要的参数，并通过安全保密的信道进行参数分发；

（2）数据拥有者是完全可信的，它能够生成有效的数据密文和关键字密文，上传至云服务器；

（3）数据用户被认为是恶意的，它会对存储在云服务器上的云数据进行未经授权的访问；

（4）云服务器是半诚实的，它会诚实地执行检索操作并向数据用户返回正确的结果，但它会尝试获取有关云数据和关键字的信息。

根据上述威胁模型，方案具有3个设计目标：

1）实现云数据密文检索；

2）支持用户访问控制；

3）抵抗内部关键字猜测攻击。

方案由6个算法组成，具体定义如下：

1）(pp,MSK) ← Setup(λ)

2）(PK_S ,SK_S) ← KeyGen_S (pp)

3）SK_R ← KeyGen_R (pp,R)

4）CT ← Encrypt(pp,ck,SK_S ,(W,t))

5）TD ← Trapdoor(pp,tk,PK_S ,SK_R,R)

6）CT_M/⊥ ← Search(pp,CT,TD,R,(W,t))

系统初始化算法Setup(λ)由可信权威中心执行，负责初始化整个系统，并生成公共参数和主私钥。

密钥生成算法KeyGen_S (pp)和KeyGen_R (pp,R)由可信权威中心执行，负责为数据拥有者和数据用户生成密钥。

密文计算算法Encrypt(pp,ck,SK_S,(W,t))旨在为关键字计算密文，由数据拥有者执行。

陷门生成算法Trapdoor(pp,tk,PK_S,SK_R,R)由数据用户调用。

云服务器接收到公共参数pp、关键字密文CT、检索陷门TD、访问策略(W,t)和用户属性R，将其输入到密文检索算法Search(pp,CT,TD,R,(W,t))中。

从计算开销和存储开销的角度对提出的方案进行性能分析。

表1展示了MABKS、ABKSSM、DSA和ABASE的理论计算开销对比。接下来，通过仿真这4个方案，对比了它们在密文计算、陷门生成和密文检索算法的计算开销。如图2所示，面对关键字的增长ABASE在密文计算过程中避免了冗余的双线性配对操作，其计算开销相对于 MABKS 具有优势，但没有 ABKSSM 和 DSA 高效。图3展示了4个方案陷门生成算法的计算开销对比，由于减少了陷门生成算法中模幂运算次数，ABASE的陷门生成时间始终低于另外3个方案，增长趋势平缓。

表1 理论计算开销

图2 密文计算算法开销对比

图3 陷门生成算法开销对比

在密文检索算法中，如图4所示，4个方案均呈现线性增长趋势。然而，由于ABASE在检索过程中所需的双线性配对操作的数量远高于MABKS，所以ABASE呈现了较高的计算开销，但相对于ABKSSM和DSA具有较为明显的优势。

图4 密文检索算法开销对比

提出的ABASE方案和其他3个方案的理论存储开销对比如表2所示，可见，ABASE在用户私钥的存储开销显著低于其他3个方案。

表2 理论存储开销

对于方案的通信开销对比，如图5所示，相对于MABKS、ABKSSM和DSA，ABASE在用户私钥的通信开销方面具有显著的优势，从而印证了表2中所得到的结论。

图5 用户私钥大小对比

图6展示了4个方案的关键字密文大小，可见DSA的密文大小与属性数量无关，ABASE的密文大小随着属性数量的增加而线性增大，显著低于MABKS和ABKSSM方案的开销。

图6 关键字密文大小对比

对于检索陷门大小，如图7所示，虽然ABASE方案的开销没有明显优势，但其具有关键字认证功能，可以抵御来自内部敌手的关键字猜测攻击，具有更高的安全性。

图7 检索陷门大小对比

我们提出了一种面向云数据访问控制的认证密文检索方案，有效解决了云存储环境下多用户安全检索的关键问题。通过将属性基加密与门限秘密共享技术相结合，构建了密文策略的细粒度访问控制机制，确保检索权限的精确管控。在关键字密文中嵌入数据所有者的私钥实现密文认证，从根本上阻断了云服务器发起内部关键字猜测攻击的途径。性能分析表明，我们提出方案的陷门生成算法相对于其他可搜索加密方案是高效的，同时具有较短的用户私钥大小，适用于云数据隐私保护。未来，本方案可进一步结合前向安全与后向安全机制以缓解密钥泄露问题，使得方案可以在保持密文检索效率的前提下，构建具有时序约束的动态访问控制体系，以适配更复杂的云存储需求。