最新论文笔记(+12)：Searching an Encrypted Cloud Meets Blockchain: A decentralized, Reliable and Fair Realiz

Searching an Encrypted Cloud Meets Blockchain：A decentralized, Reliable and Fair Realization(搜索加密云遇到区块链：去中心化、可靠和公平实现)

本篇论文是“最新论文笔记(+8)：Blockchain based searchable encryption … /FGCS2020”中的前身，那篇论文就是基于这篇论文而进一步的研究，大部分采用是类似的结构，只是应用场景不同。这篇是介绍可搜索加密与区块链结合的通用架构，而那篇是指在医疗记录中的应用，具有针对性。

因此，本篇论文通过结合区块链技术，设计的智能合约（SC）取代中心服务器，构建了一个去中心化的隐私保护搜索方案。在该方案中，数据所有者可以得到正确的搜索结果，而无需担心恶意服务器的潜在危险或错误。通过设计一个新的SC来为本方案引入公平性，在该合约中，每个参与者（特别是在多用户设置中）都被平等对待，并被激励去遵从正确的计算。这样，一个诚实的人总是能得到他应得的，而一个恶意的人什么也得不到。

• 原文链接：Searching an Encrypted Cloud Meets Blockchain：A decentralized, Reliable and Fair Realization

一、写作背景

论文名称	作者 / 单位	来源	年份	简要内容
Searching an Encrypted Cloud Meets Blockchain：A decentralized, Reliable and Fair Realization	Shengshan Hu et.al (Wuhan University)	IEEE INFOCOM	2018	通过智能合约取代中心服务器，引入公平性，构建了一个去中心化的隐私保护搜索方案

目前为止，大多数的可搜索加密解决方案都是只考虑了“诚实但好奇”的服务器，并未考虑到服务器还可能是恶意的情况。直到最近的一些工作才解决了可验证设计的问题，使得数据所有者能够验证搜索结果的完整性。但是，这种验证机制高度依赖于特定的加密搜索。另外，所有现有的可验证搜索方案都侧重于检测作弊行为，没有有效的应对对策（如惩罚作弊者）。因此，作者考虑到云存储与可搜索加密结合遇到的一些关键问题，需要一种可靠且公平的实现搜索功能，然后再根据区块链的去中心化特征，可以将中心节点数据存储进行分布式存储，从而有了这个标题。

二、主要内容

2.1 主要贡献

• 1）利用以太坊的SC，首次提出了去中心化隐私保护方案，保证了数据拥有者收到正确的搜索结果，面对敌手也无需进行验证。（当时是2018年，故是首次提出？后面才陆陆续续的提出相关方案）
• 2）新颖的引入公平的概念，并提出了一个公平的隐私保护搜索方案，使得每个参与者，尤其是在多用户环境中，都得到公平的对待和激励，以符合正确的计算。
• 3）用以太坊实现了方案的原型，并证明了分散搜索方案对加密数据的实用性。

2.2 体系结构

如下图为方案的结构设计，由三个算法构成：

• 1）$Setup(DB)$：数据库DB为输入，$(EDB,K,\delta )$作为输出。其中$EDB$为加密数据库，$K$为密钥，$\delta$为数据拥有者的状态。
• 2）$Search(K,\delta ,w;EDB)$：数据拥有者输入密钥$K$、状态为$\delta$、搜索关键字为 w ∈ { 0 , 1 } ∗ w\in \{0, 1\}^* w∈{0,1}∗和加密数据库$EDB$。智能合约输出一组标识符，而数据所有者没有输出。
• 3）$Update(K,\delta ,op,id,W_{id};EDB)$：数据拥有者DO输入密钥K，状态$\delta$、操作 o p ∈ { a d d , d e l } op\in \{add, del\} op∈{add,del}，文件身份$id$，和不同的关键字集合$W_{id}$，SC将其作为输入$EDB$。这些输入表示添加和删除带有标识符$id$的文件操作。

设计目标：

• 1）Fairness：公平性是隐私保护搜索的关键属性，保证DO只要支付给worker搜索的费用，就能获得正确的结果，而worker只要诚实地遵守协议就能获利；多用户设置也一样。
• 2）Soundness：该属性表明若服务器不按协议进行，它将被抓获。通常，现有的工作是通过让DO进行一系列验证来实现这一目标。本文中，声明接收到的搜索结果一定是可靠和正确的，故无需对DO进行验证。
  取决于以太坊上的安全性而实现Soundness，只要SC在以太坊上正确执行，就可以保证Soundness。
• 3）Confidentiality：需要保护数据文件和关键字的机密性不被敌手攻击。因此提供了一个强大的安全概念，前向隐私（Forward privacy）指明敌手不知道新添加的文档是否包含以前搜索过的关键字。
  证明Confidentiality，作者使用了real-ideal仿真范式[1]，定义了三个状态泄露函数$L=(L_1,L_2,L_3)$，然后定理假设进行证明。（可证明安全）

[1] D. Cash, J. Jaeger, S. Jarecki, C. S. Jutla, H. Krawczyk, M.-C. Rosu, and M. Steiner, “Dynamic searchable encryption in very-large databases: Data structures and implementation.” in Proc. of NDSS, vol. 14. Citeseer, 2014, pp. 23–26.

2.3 去中心化结构

• 1）基本结构：给定两个伪随机函数 F ： { 0 , 1 } λ × { 0 , 1 } ∗ → { 0 , 1 } λ F：\{0, 1\}^{\lambda}\times \{0, 1\}^{*}\to\{0, 1\}^{\lambda} F：{0,1}λ×{0,1}∗→{0,1}λ， G ： { 0 , 1 } λ × { 0 , 1 } λ → { 0 , 1 } ∗ G：\{0, 1\}^{\lambda}\times \{0, 1\}^{\lambda}\to\{0, 1\}^{*} G：{0,1}λ×{0,1}λ→{0,1}∗，其中$||$表示连接操作等,…。然后，按照算法结构一一介绍，这里就不细讲，直接看伪代码或者最新论文笔记(+8)中有介绍，包括$Setup(DB)$、$Search(K,K^A,K^D,w)$、$Add(K,K^A,K^D,id,W_{id})$、$Delete(K^D,id,W_{id})$。

• 2）支持动态更新：在Add阶段，加密文件的id而不会打包。因为将几个明文加密成一个密文使得SC很难确定那个文件-关键字对已经被删除，也就无法确定它是否存在于$I{D}_{del}$集合中。此外，改变往往只发生在一个或几个文档上。对于SC上的协议，SC中的交易触发函数不反悔任何结果，任何函数的执行只会改变其存储在以太坊上的状态。
• 3）前向隐私（Forward Privacy）：前向隐私是一个重要的安全设计目标，意味着敌手不知道新添加的文档是否包含以前搜索过的关键字。实现前向隐私的关键思想使用陷门排列使搜索令牌无法连接到更新令牌。

2.4 性能评估

实验环境：Ubuntu 16.04.2的具有16GB RAM、4个Intel cores i7-3770的机器上实例化数据所有者。将SC部署到本地模拟网络TestRPC和以太坊测试网络Rinkeby。

上图显示了每个文档的搜索时间随匹配记录数的变化。从图可知，越大的结果集产生的搜索开销越低，数据集越大，搜索算法越慢。这是因为挖出的块数量越多，加载时间就越长。

上图显示了在给定搜索标记的情况下执行搜索所需的总时间。从图可知，搜索时间随着匹配文档数量的增加而增长，但急剧增长在于完成搜索步骤所需的交易数量增加。这表明挖掘每笔交易的时间成本支配了每次搜索的开销。搜索算法对效率影响不大。一般来说，挖掘过程的时间成本是动态可调的。当区块链环境扩展到允许更高的 gas 限制或更快的挖掘过程时，方案的搜索效率也会提高。

三、总结与思考

本文指出传统的隐私保护搜索方案依赖中央服务器来操作搜索。在本文中，作者使用区块链技术并构建了一个旨在解决恶意对手的去中心化设计方案。其搜索的结果是正确且不可变的，不需要数据所有者方面的验证。此外，利用智能合约构建了一个公平的隐私保护搜索方案，其中每一方，特别是在多用户环境中，都得到公平对待并激励他们进行正确的计算。

本文的方案总的来说还可以，毕竟是发表在2018年INFOCOM上的论文。其优点包括支持动态更新、多用户、公平性，以及防止恶意服务器作恶的情况。但是，同时，本文是把密文和索引都放在了区块链上，那可能导致SC承受不了如此大的计算量，且会变得非常的缓慢和昂贵。另外，从实验结果可分析出，在10万条数据中检索一次平均耗时为24分钟。不过，后面也有后来研究者对其进行了改进和提升。