CN103618728B

CN103618728B - 一种多机构中心的属性加密方法

Info

Publication number: CN103618728B
Application number: CN201310647570.5A
Authority: CN
Inventors: 陈丹伟; 汪晨; 王志伟; 荆晓远
Original assignee: Nanjing Post and Telecommunication University
Current assignee: Nanjing Post and Telecommunication University
Priority date: 2013-12-04
Filing date: 2013-12-04
Publication date: 2018-03-02
Anticipated expiration: 2033-12-04
Also published as: CN103618728A

Abstract

本发明公开了一种多机构中心的属性加密方法，该方法通过把CP‑ABE扩展到多个授权机构，将单授权机构的信任和工作量分散到系统所有授权机构上，提高了系统的安全性和解密效率；该方法包括：系统初始化:通过CA中心的身份验证后，初始化产生密钥；密钥计算：AA中心计算出用户的公私钥对，用于数据加密和解密运算；加密：数据属主执行加密操作后，将密文上传到云端；解密：用户端提交部分私钥后，执行预解密处理，处理后的密文发送到用户端，执行最终的解密运算；属性撤销：当某个用户的属性被撤销后，执行密钥更新以及数据重加密操作，确保数据不被非法获取。

Description

一种多机构中心的属性加密方法

技术领域

本发明涉及计算机安全技术领域，特别涉及一种多机构中心的属性加密方法。

背景技术

属性加密机制(Attribute-based Encryption,ABE)是近年来新兴的一种公钥加密机制，它是身份加密方法的延伸。在属性加密中，用户的身份通过一系列的属性来描述，只有当用户的身份属性满足系统定义的访问策略时，才能够解密得到明文。

当Sahai和Waters首次提出属性加密机制后，Goyal等人把ABE机制划分为密钥策略(Key-Policy Attribute-based Encryption,KP-ABE)和密文策略(Ciphertext-PolicyAttribute-based Encryption,CP-ABE)。在KP-ABE中，密文与属性集相关，用户密钥与访问树结构相关，消息发送方只对消息进行加密，授权用户可以根据自己的属性恢复出密钥，这个密钥只可以解密他有权访问的密文。CP-ABE机制正好相反，密文与访问树结构相关，而密钥与属性集相关，访问策略由消息发送方制定，数据加密之后就确定了哪些用户能够对它进行解密而不需要借助可信服务器实现访问控制。

CP-ABE凭借其优良特性，在组密钥管理和用户隐私保护等领域有着广泛应用。然而基本ABE属于单授权机构情形,不能满足大规模分布式应用对不同机构协作的需求，而且授权机构必须完全可信,违背了分布式应用要求信任分散的安全需求。授权机构管理系统中所有属性,为用户颁发密钥,工作量大,成为系统的性能瓶颈。多授权机构ABE(Multi-authority ABE,MA-ABE)不仅能够满足分布式应用的需求,而且可将单授权机构的信任和工作量分散到系统的所有授权机构上,故研究多机构情况下的ABE是必要的。

目前多机构ABE的工作都研究基本ABE，而围绕CP-ABE的工作并未展开，CP-ABE在现实应用中的重要性已经得到证明，在付费电视系统、组密钥管理、用户隐私保护等领域得到广泛应用，因而多机构CP-ABE的研究成为一个急切需求。

香港城市大学杨勘等人提出的多机构中心的属性加密方案可以很好的解决以上问题。但是，该方案中所有的解密操作都集中在用户端，这样会导致用户解密效率不高，尤其是当用户使用智能手持设备访问云端的时候。而本发明能够解决上面的问题。

发明内容

本发明目的是针对CP-ABE管理系统中所有属性、工作量大、易成为系统性能瓶颈的不足，通过把CP-ABE扩展到多个授权机构，将单授权机构的信任和工作量分散到系统所有授权机构上，提高了系统的安全性和解密效率。

本发明解决其技术问题所采取的技术方案是：本发明提出了一种多机构中心的属性加密方法，其包括如下步骤：

步骤1：系统初始化:通过CA中心的身份验证后，初始化产生密钥；

步骤2：密钥计算：AA中心计算出用户的公私钥对，用于数据加密和解密运算；

步骤3：加密：数据属主Owner执行加密操作后，将密文上传到云端；

步骤4：解密：用户端提交部分私钥后，执行预解密处理，处理后的密文发送到用户端，执行最终的解密运算；

步骤5：属性撤销：当某个用户的属性被撤销后，执行密钥更新以及数据重加密操作，确保数据不被非法获取。

其中，上述步骤1中恶意用户不会通过CA中心的身份验证；上述步骤2中传输密钥的通信信道是安全的，不会被恶意截取；上述步骤3中在用户端根据定义的访问控制结构执行数据加密操作；

上述步骤4中解密过程包括如下步骤：

1)用户上传属性的私钥到云端执行预解密处理，处理后的数据返回到用户端；

2)用户端通过自己的私钥对于预解密处理后的数据进行解密，得到想要的数据；

上述步骤5中属性撤销过程包括如下步骤：

1)密钥更新；

密钥的更新可以阻止被撤销权限的用户继续解密数据；

2)数据重加密；

数据重加密的过程可以保证新加入的用户可以访问在该用户加入之前的数据。

本发明涉及到的理论基础：

定义1.(双线性映射).设G₁,G₂,G_T是三个阶为素数p的群,若e:G₁×G₂→G_T是双线性映射则满足：

1)双线性：对于映射e:G₁×G₁→G₂,使得e(f^a,h^b)＝e(f,h)^ab。

2)非退化性：使得e(f,f)≠1。

3)可计算的：存在一个有效的方法计算e(f,h)。

其中，e(*,*)是对称操作，即e(f^a,h^b)＝e(f,h)^ab＝e(f^b,h^a)

定义2.(判定双线性Diffie-Hellman(DBDH)问题)

随机选择a,b,R∈G₂,给定元组(g,g^a,g^b,g^c,R),判定等式e(g,g)^abc＝R是否成立。

定义3.安全性假设：

在本发明中，假定云服务端是honest but curious：即云服务端会忠实的执行本方法模型以及和本发明相关的访问控制结构，但是又会根据接收到的信息尽可能的窥探用户的秘密信息，此外，本发明还假定owner与AA之间传输密钥的通信信道是安全的。因此，如何能够确保云服务端不会获取用户隐私显得尤为重要。

然后，本发明定义系统中包含的五种身份：

数据拥有者(owner)、云端(cloud server)、要访问数据的用户(user)、属性机构(attribute authoritie,AA)以及一个身份认证中心(certificate authority,CA)。其中数据拥有者定义数据的访问策略，通过访问策略把数据加密后上传到云端，云端存储密文以及为合法用户提供数据访问服务，每一个属性机构负责为自己所管理的属性分发密钥。

最后，本发明系统中的主要模块以及用到方法的具体定义。

本发明的模块主要分为系统初始化、密钥计算、加密、解密、属性撤销五个模块。下面为各个模块以及相应的方法。

一、系统初始化:

系统初始化时执行Setup()方法，通过CA中心的身份验证之后，给系统中的每个AA分配全局唯一的身份标识AID，给系统中的每个user分配全局唯一的身份标识UID，并且初始化产生密钥。

二、密钥计算：

本阶段由AA中心产生系统主密钥、密钥版本、属性的公钥以及属性加密过程中要用到的公私钥对，用于数据的加密和解密运算。主要方法如下：

OwnerGen():用于计算owner的主密钥MK_o以及私钥SK_o。

AAGen(AID):通过输入参数AID，计算得到密钥版本VK_AID和所有AA中心授权的(带有AID的)属性X的公共属性密钥{PK_x,AID}。

KeyGen(S,SK_o,VK_AID,PK_UID):计算用户公钥PK_o,AID给owner，私钥SK_UID,AID给user。

三、加密

本阶段通过属性公钥、用户公钥、以及访问控制结构对于用户数据进行加密，用户端执行加密操作后将密文上传至云服务端。方法如下：

A为定义的访问控制结构，方法执行后产生密文CT。

四、解密

本阶段对密文进行预解密处理，处理之后的数据仍为密文。

用户端提交部分私钥后，执行预解密处理，处理后的密文发送到用户端，执行最终的解密运算。

方法如下：

解密方法输入包含有访问控制结构的密文CT,以及来自不同AA的用户的私钥集合如果属性S满足访问控制结构A，方法会返回一个预解密后的密文，然后在user端对预解密后的密文执行二次解密：

m＝Decrypt(SK_o,M')

用户得到预解密的密文后，通过自己的私钥SK_o进行再次解密，得到数据。

五、属性撤销

当某个用户的属性被撤销后，执行密钥更新以及数据重加密操作，确保数据不被非法获取。

本阶段主要用于发生属性撤销后的密钥更新以及密文更新过程。方法如下：

ReKey(SK_UID,AID,{S'_UID,AID}):S'_UID,AID是属性变更后新的允许访问的属性的集合，输入SK_UID,AID和新的属性集合S'_UID,AID，计算出新的私钥SK'_UID,AID、密钥版本VK'_AID和更新之后的密钥UK_AID。

ReEncrypt(CT,UI_AID,UK_AID):重加密方法输入密文CT，更新信息UI_AID以及更新密钥UK_AID，计算出新的密文CT'。

有益效果：

1、本发明提高了系统的安全性和解密效率。

2、本发明把CP-ABE扩展到多个授权机构，将单授权机构的信任和工作量分散到系统所有授权机构上。

附图说明

图1是本发明的系统交互图。

图2是本发明的方法流程图。

具体实施方式

下面通过结合说明书附图，进一步说明本发明的技术方案。

实施例1

如图1所示，本发明的模块主要分为系统初始化、密钥计算、加密、解密、属性撤销五个模块，其具体实施步骤如下：

一、系统初始化

1)CA中心初始化。

用户user和AA通过CA的身份验证之后，会收到由CA颁发的全局唯一的身份标识UID和AID，然后随机选取u∈Z_p，为用户生成公钥以及私钥SK_UID＝Z_UID，其中Z_UID,u_UID∈Z_P。

2)每个AA初始化。

每个AA通过AAGen()方法为自己计算一个密钥版本号VK_AID＝α_AID，然后为AA所管理的属性X计算公钥属性X的公钥可以被owner获取。

3)数据属主owner初始化。

数据属主owner随机选取β,r∈Z_p生成主密钥MK_o＝{β,r}，然后计算出owner的私钥通过安全途径发送给AA。

二、密钥计算

AA中心通过KeyGen()方法计算出用户的公私钥对，用户的公钥用于数据加密，私钥用于数据解密。

1)计算公钥。

AA将公钥发送给owner，需要注意，owner当前的公钥是和密钥版本号VK_AID相关的。

此时，用到了密钥版本α_AID,然后AA把PK_o,AID发送给owner。

2)计算私钥。

AA中心首先需要确定某个用户是否具有由该认证中心所认证的某个属性，确认之后，该认证中心会给该用户制定一系列的属性集合S_UID,AID,然后AA中心根据此属性集合计算出私钥SK_UID,AID。

三、加密

数据在上传到云端之前，由owner执行加密操作。加密方法如下：

owner端需要输入的参数有：AA所颁发的公钥集合、不同属性的公钥集合、系统主密钥MK_o、需要加密的数据以及用户定义的访问控制结构。

对于加密过程，首先要选一个随机加密指数s∈Z_p,以及一个随机向量其中y₂,···,y_n用于共享加密指数s。λ_i＝v·M_i,其中i＝1 to L，M_i是与M第i行相对应的向量。然后计算密文如下：

四、解密

在解密阶段，考虑到用户自身的解密计算能力可能不强，解密花费时间过长，尤其是当用户使用智能手持设备接入云服务端的情况下。因此，user可以申请云端对于数据进行预解密处理，预解密处理后的数据M'仍为密文，当user接收到预解密处理的数据后，再利用自己的私钥执行此次解密操作。

用户收到server端发送的数据之后，使用私钥运行解密方法对密文进行解密，只有当用户所拥有的属性满足密文中所定义的访问控制树的时候，用户才能够从密文中得到对称加密密钥。

解密方法如下：

解密方法输入密文CT，用户的公钥PK_UID以及用户私钥属性集合就会得到一个预解密后的密文M'。

预解密过程如下：

将上式结果记为Ⅰ式。

预解密完成后的结果传送到user，user在用户端执行最后的解密操作，即：

m＝Decrypt(SK_o,M')

从而得到数据明文。

最终的解密过程如下：

然后计算能够得到密钥。再利用密钥对数据进行解密操作。

五、属性撤销

假设用户UID'的某个属性被撤销(此属性来源于标识为AID的授权中心)，此时属性撤销包括两个过程：密钥更新和数据重加密。

密钥的更新可以阻止被撤销权限的用户继续解密数据，数据重加密的过程可以保证新加入的用户可以访问在该用户加入之前的数据。

1)密钥更新

AA通过ReKey()方法给用户UID'计算出新的私钥SK'_UID',AID',新的密钥版本VK'_AID'以及更新密钥UK'_AID'。

①对于用户UID'进行私钥更新。

密钥生成方法输入SK_UID'AID'和新的属性集合S'_UID',AID',编号为AID'的AA中心随机选取α'_AID'∈Z_P作为新的版本密钥，α'_AID'和之前的α_AID是不同的,从而为UID'计算出新的私钥SK'_UID',AID'

然后使用新的密钥版本VK'_AID'计算更新密钥编号为AID'的AA把私钥SK'_UID',AID'发送给编号为UID'的用户。

②对于其它有用此属性的用户进行私钥更新。

密钥计算之后，AA中心把更新密钥UK_AID'＝(UK1_AID',UK2_AID')发送给除了UID'之外的其它用户,当用户收到更新密钥之后就会对自己的私钥进行更新：

③对数据拥有者owner进行公钥更新。

AA中心把更新密钥UK_AID'＝(UK1_AID',UK2_AID')发送给owner用于更新公钥，owner收到更新密钥之后，会把自己的公钥由PK_o,AID'更新到当前最新版本并且把每一个属性密钥更新到当前最新版本

2)数据重加密

通过使用代理重加密的方式，把密文转换成可以由更新后的密钥解密的密文。对于数据的重加密部分，owner首先计算出更新信息UI_AID'

然后将和更新密钥UK_AID'＝(UK1_AID',UK2_AID')发送到云端进行数据重加密的工作。当云端接收到更新信息之后，通过使用重加密方法ReEncrypt()执行重加密的工作。

新产生的密文如下：

CT'＝(C'＝C·e(UK1_AID',C'),C'＝g^βs,

C′_i＝C_i·UI_ρ(i),AID',if_ρ(i)∈S_AID')

本发明与现有方法的时间复杂度对比图

其中，t_c：密文中所包含的属性的数量；t_u：解密时所需要的user的属性的数量；n_c,x：包含被撤销属性的密文的数量；n_non,x：拥有被撤销属性的用户的数量；now:香港城市大学等人提出的方法；our:本发明对于方法的改进。

实施例2

如图2所示，本发明提出了一种多机构中心的属性加密方法，其包括如下步骤：

步骤3：加密：数据属主执行加密操作后，将密文上传到云端；

上述步骤4中解密过程包括如下步骤：

上述步骤5中属性撤销过程包括如下步骤：

1)密钥更新；

密钥的更新可以阻止被撤销权限的用户继续解密数据；

2)数据重加密；

Claims

1.一种多机构中心的属性加密方法，其特征在于，包括如下步骤：

步骤5：属性撤销：当某个用户的属性被撤销后，执行密钥更新以及数据重加密操作，确保数据不被非法获取；

所述系统初始化包括：

系统初始化时执行Setup()方法，通过CA中心的身份验证之后，给系统中的每个AA分配全局唯一的身份标识AID，给系统中的每个user分配全局唯一的身份标识UID，并且初始化产生密钥；

所述密钥计算包括:

本阶段由AA中心产生系统主密钥、密钥版本、属性的公钥以及属性加密过程中要用到的公私钥对，用于数据的加密和解密运算，该方法包括：

OwnerGen():用于计算owner的主密钥MK_o以及私钥SK_o；

AAGen(AID):通过输入参数AID，计算得到密钥版本VK_AID和所有AA中心授权的带有AID的属性X的公共属性密钥{PK_x,AID}；

KeyGen(S,SK_o,VK_AID,PK_UID):计算用户公钥PK_o,AID给owner，私钥SK_UID,AID给user，S表示用户属性；

所述加密包括：

本阶段通过属性公钥、用户公钥、以及访问控制结构对于用户数据进行加密，用户端执行加密操作后将密文上传至云服务端，该方法包括：

A为定义的访问控制结构，方法执行后产生密文CT，MK_o为系统主密钥；

所述解密包括：

本阶段对密文进行预解密处理，处理之后的数据仍为密文；

用户端提交部分私钥后，执行预解密处理，处理后的密文发送到用户端，执行最终的解密运算；

方法如下：

m＝Decrypt(SK_o,M')

用户得到预解密的密文后，通过自己的私钥SK_o进行再次解密，得到数据；

所述属性撤销包括：

当某个用户的属性被撤销后，执行密钥更新以及数据重加密操作，确保数据不被非法获取；

本阶段用于发生属性撤销后的密钥更新以及密文更新过程，该方法包括：

ReKey(SK_UID,AID,{S'_UID,AID}):S'_UID,AID是属性变更后新的允许访问的属性的集合，输入SK_UID,AID和新的属性集合S'_UID,AID，计算出新的私钥SK'_UID,AID、密钥版本VK'_AID和更新之后的密钥UK_AID；

2.根据权利要求1所述的一种多机构中心的属性加密方法，其特征在于：所述方法的步骤1中恶意用户不会通过CA中心的身份验证。

3.根据权利要求1所述的一种多机构中心的属性加密方法，其特征在于：所述方法的步骤2中传输密钥的通信信道是安全的，不会被恶意截取。

4.根据权利要求1所述的一种多机构中心的属性加密方法，其特征在于：所述方法的步骤3中在用户端根据定义的访问控制结构执行数据加密操作。

5.根据权利要求1所述的一种多机构中心的属性加密方法，其特征在于：所述方法的步骤4中解密过程包括如下步骤：

2)用户端通过自己的私钥对于预解密处理后的数据进行解密，得到想要的数据。

6.根据权利要求1所述的一种多机构中心的属性加密方法，其特征在于：所述方法的步骤5中属性撤销过程包括如下步骤：

1)密钥更新；

密钥的更新可以阻止被撤销权限的用户继续解密数据；

2)数据重加密；

数据重加密的过程保证新加入的用户访问在该用户加入之前的数据。