CN104022868A - 一种基于密文策略的属性基加密的外包解密方法 - Google Patents

Abstract

一种移动云计算环境下基于属性加密的高效安全外包解密方法，包括如下步骤：系统初始化；数据拥有者将文件加密并上传至于云服务商；授权机构生成密钥；第三方转换密文；移动终端用户文件解密。该方法针对移动云计算环境下，采用密文策略属性基加密共享数据的方法，根据移动终端运算和存储能力有限的需求，在保证数据安全的前提下，将部分复杂的解密任务外包给第三方，利用外包解密、密钥分解技术和匹配算法，减少不必要的双线性配对运算，为移动终端的快速解密提供一种可靠的方法。

Description

一种基于密文策略的属性基加密的外包解密方法

技术领域

本发明涉及一种移动云计算环境下基于属性加密的高效安全的外包解密方法，具体涉及利用属性基加密机制、密钥分解技术，针对云计算环境下基于属性加密的共享密文数据，通过将部分解密计算外包给第三方，从而在移动终端缩短密钥长度，减少解密时间的方法，属于云计算安全技术领域。

背景技术

随着移动终端的广泛使用和云计算技术的发展，用户使用移动终端在云存储环境下进行数据共享和处理的需求也越来越多。随之而来的数据安全、隐私泄露等问题也成为云计算发展的主要障碍之一。近年来，密文策略的基于属性加密机制（Ciphertext-Policy Attribute-Based Encryption,CP-ABE）将加密与共享巧妙的结合起来，被认为是云计算领域很有前景的加密方法之一。然而，在基于属性加密体制中，用户解密的时间与访问策略中属性的个数成线性相关。当属性个数较多时，这对于计算能力较弱，存储空间较小的移动终端来说，是个瓶颈问题。实验显示解密一个访问结构包含100个属性的ABE密文，较高性能的移动设备需要30秒。如何实现基于属性加密的安全高效解密成了亟待解决的问题。

Matthew Green等人于2011年在Proceeding of the20th Usenix Conference onSecurity（第20届计算机安全国际会议）上发表的论文《Outsourcing the decryptionof ABE ciphertexts（基于属性加密的外包解密）》中提到的外包解密主要使用的是密钥盲化技术，将用户私钥加入随机数作为转换密钥，随机数即为用户私钥。而本发明主要使用的是密钥分解技术，将主密钥分解为两部分，分别用于生成转换密钥和用户私钥。并且本发明通信模型中将转换密钥交由第三方保管，而上述文献中通信模型将转换密钥和用户私钥交由用户保管，使之占用了移动终端一定的资源。而且每次当有用户需要外包解密时需要向第三方传输转换密钥，当解密用户量大，解密需求频繁时，会占用大量的网络带宽资源。

发明内容

本发明的目的在于克服现有技术的不足，提供一种移动云计算环境下基于属性加密的高效安全外包解密方法。

为实现上述目的，首先本发明进行系统初始化，然后数据拥有者根据定义的线性秘密共享(Linear Secret-Sharing Schemes，LSSS)的访问策略将文件加密并上传到云服务商，授权机构根据用户所拥有的属性集生成转换密钥(TransformationKey,TK)和用户私钥(Security Key,SK)，转换密钥TK只存储在第三方。为了提高解密效率，本发明将复杂的线性配对操作外包给第三方。当用户通过移动终端向云服务商发送访问请求时，云服务商会把相应的密文传输给第三方。第三方收到密文后，先进行匹配运算，检查用户是否具有解密权限。当且仅当用户属性集满足线性秘密共享访问矩阵时，用户才能解密。若用户具有解密权限，则在保证数据安全的前提下，第三方根据转换密钥将密文转换为转换密文，并将其传输给用户。用户收到转换密文，只需要在移动终端利用私钥进行一次双线性配对运算就可以完成解密。本发明中，第三方是不完全可信的，它只执行用户委托的任务，不能通过转换密钥获知数据内容。

本发明的方法通过以下具体步骤实现：

1.系统初始化

系统（系统指密钥中心，也就是授权机构）输入安全参数和属性集合U，选择一个阶为素数p的双线性群g是群的生成元，从群中随机选择U个元素h₁，...，h_U，与系统中的U个属性相关。随机选择并使得α=(α₁+α₂)mod p。则系统公钥(Public Key,PK)由g，e(g，g)^α，g^α，h₁，...，h_U组成，而系统主密钥(Master Key,MK)由α₁，α₂，α组成。其中e(g，g)^α表示双线性配对运算。

2.数据拥有者将文件加密并上传至于云服务商

2.1数据拥有者选择需要加密的明文m。

2.2输入公共参数并选择l×n的线性秘密共享矩阵(M，ρ)。其中，函数ρ与矩阵M的行属性相关联；从中随机选择y₂，...，y_n得到向量v=(s，y₂，...，y_n)^T，用来共享秘密值s；对于矩阵M的每一行，从i=1到i=l，计算λ_i=M_iυ，其中M_i对应矩阵M的第i行向量。

2.3选择随机数得出密文(Ciphertext,CT)等于 $(C=\mathrm{me}{(g,g)}^{\mathrm{\αs}},$ $C^{\′}{=g}^s,(C_1=g^{{\mathrm{\β\λ}}_1}{h}_{\mathrm{\ρ}\left(1\right)}^{{-r}_1},D_1=g^{r_1}),\·\·\·,(C_l=g^{{\mathrm{\β\λ}}_l}{h}_{\mathrm{\ρ}\left(l\right)}^{{-r}_l},D_l=g^{r_l})).$ 数据拥有者将密文CT上传到远程云服务商。

3.授权机构生成密钥

输入主密钥MK和用户属性集S。选择一个随机数则生成的转换密钥TK由（任何属于属性集S的属性x）}组成，而用户私钥SK则等于。之后授权机构将转换密钥传输给第三方，将用户私钥传输给用户。

4.第三方转换密文

当用户向云服务商发送访问请求时，云服务商将相应的密文传输给第三方。当第三方收到密文后，将执行两个步骤。

4.1匹配运算：第三方根据转换密钥TK中的H’(ID)，对密文CT进行“匹配”测试，检查用户是否具备解密权限。当用户的属性S满足密文中的访问结构时，即在中存在这样的w_i能够使下面等式成立能够使下面等式成立，则继续进行4.2中的转换解密。若不成立，表明用户不具备解密权限，则不执行转换解密，返回⊥。

Σ_i∈IM_iw_i=(1，0，...0)

其中式中：I属于{1，2，...，l}，且I={i，ρ(i)属于S}。

4.2转换解密：第三方根据转换密钥TK，将密文进行如下转换，得到转换密文CT′。

$\begin{array}{c}{\mathrm{CT}}^{\′}=e(C^{\′},K_1)/{\left(\underset{i\∈I}{\mathrm{\Π}}\left(e(C_i,L)\right)e{(D_i,K_{\mathrm{\ρ}\left(i\right)}))}^{w_i}\right)}^2\\ =e(g^s,g^{{\mathrm{\α}}_1}{g}^{\mathrm{at}})/{\left(e{(g,g)}^{\mathrm{ats}}\right)}^2\\ =e{(g,g)}^{{\mathrm{\α}}_{1}s}/e{(g,g)}^{\mathrm{ats}}\end{array}$

并将CT′传给用户。

5.移动终端用户文件解密

5.1当用户得到转换密文CT′时，在移动终端用私钥SK对转换密文CT′进行解密得到明文。

$\begin{array}{c}e(\mathrm{SK},C^{\′}){\mathrm{CT}}^{\′}=e(g^{{\mathrm{\α}}_2}{g}^{\mathrm{at}},g^s)e{(g,g)}^{{\mathrm{\α}}_{1}s}/e{(g,g)}^{\mathrm{ats}}\\ =e{(g,g)}^{{\mathrm{\α}}_{2}s}e{(g,g)}^{\mathrm{ats}}e{(g,g)}^{{\mathrm{\α}}_{1}s}/e{(g,g)}^{\mathrm{ats}}\\ =e{(g,g)}^{\mathrm{\αs}}\end{array}$

则明文为m＝C/e(g，g)^αs

本发明的显著效果在于：

本发明针对移动云计算环境下，采用密文策略的属性基加密的共享数据，移动终端运算和存储能力有限的需求，在保证数据安全的前提下，利用外包解密、密钥分解技术和匹配算法，减少不必要的双线性配对运算，从而使移动终端用户能高效安全地解密。由于本发明的转换密钥存储于第三方，因此能够在一定程度上减轻用户端的资源开销；同时也可以改善在向第三方传输转换密钥时占用带宽的情况，减轻带宽负担；并且可以直接通过第三方变更密钥来管理用户属性与权限，减少了第三方的负担。

本发明的优点是：易于实现、数据保护性强、资源开销小、解密速度快等优点。该发明适用于移动云计算环境，可用于企业级数据共享平台中移动终端的安全接入。

附图说明

图1是本发明的系统结构图

图2是本发明的系统流程图

具体实施方法

以下结合附图和实施例对本发明的技术方案作进一步详细说明。以下实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和过程，但本发明的保护范围不限于下述的实施例。

为了更好地理解本实施例提出的方法，选取一次公司加密文件共享事件。事件中存在一个数据拥有者、两个访问用户（用户A具有“技术部、“经理”属性；用户B具有“人事部”、“主管”属性）和一份共享文件m。

如本发明方法结构图（图1）所示，本实施例具体实施步骤如下：

1.系统初始化

系统（系统指密钥中心，也就是授权机构）输入安全参数和属性集合U，选择一个阶为素数p的双线性群g是群的生成元，从群中随机选择U个元素h₁，....，h_U，与系统中的U个属性相关。随机选择并使得α＝(α₁+α₂)mod p。则系统公钥(Public Key,PK)由g，e(g，g)^α，g^a，h₁，...，h_U组成，而系统主密钥(Master Key,MK)由α₁，α₂，α组成。其中e(g，g)^α表示双线性配对运算。

2.数据拥有者将文件加密并上传至云服务商

2.1数据拥有者选择需要加密的消息m。

2.2输入公共参数PK并生成l×n的访问结构为“技术部and经理”的线性秘密共享矩阵(M，ρ)。其中，函数ρ与矩阵M的行属性相关联；从中随机选择y₂，...，y_n得到向量v=(s,y₂，...，y_n)^T，用来共享秘密值s；对于矩阵M的每一行，从i＝1到i＝l，计算λ_i＝M_iυ其中M_i对应矩阵M的第i行向量。

2.3选择随机数得出密文(Ciphertext,CT)等于 $(C=\mathrm{me}{(g,g)}^{\mathrm{\αs}},C^{\′}$ $=g^s,(C_1=g^{{\mathrm{\β\λ}}_1}{h}_{\mathrm{\ρ}\left(1\right)}^{{-r}_1},D_1=g^{r_1}),\·\·\·,(C_l=g^{{\mathrm{\β\λ}}_l}{h}_{\mathrm{\ρ}\left(l\right)}^{{-r}_l},D_l=g^{r_l})).$ 数据拥有者将密文CT上传到远程云服务商。

3.授权机构生成密钥

输入“技术部、经理”属性和主密钥MK。选择一个随机数则该用户的转换密钥和私钥为：

${\mathrm{TK}}_1:(K_1=g^{{\mathrm{\α}}_1}{g}^{\mathrm{at}},L=g^t,\∀\mathrm{\χ}\∈S:K_{\mathrm{\χ}}=h_{\mathrm{\χ}}^t)$

${\mathrm{SK}}_1:(K_2=g^{{\mathrm{\α}}_2}{g}^{\mathrm{at}})$

输入“人事部、主管”属性和主密钥MK。选择一个随机数则该用户的转换密钥和私钥为：

${\mathrm{TK}}_2:(K_1=g^{{\mathrm{\α}}_1}{g}^{\mathrm{at}},L=g^t,\∀\mathrm{\χ}\∈S:K_{\mathrm{\χ}}=h_{\mathrm{\χ}}^t)$

${\mathrm{SK}}_2:(K_2=g^{{\mathrm{\α}}_2}{g}^{\mathrm{at}})$

将包含“技术部”和“经理”属性的转换密钥TK₁传输给第三方，将包含“技术部”和“经理”属性的用户私钥传输给用户A。将包含“人事部”和“主管”属性的转换密钥TK₂传输给第三方，将包含“人事部”和“主管”属性的用户私钥传输给用户B。

4.第三方转换密文

当用户A和B向云服务商发送访问请求时，云服务商将相应的密文发送给第三方。当第三方收到密文后，将执行两个步骤。

4.1匹配运算:第三方分别根据用户A和用户B的转换密钥TK₁，TK₂的H’(ID)，对密文CT进行“匹配”测试，检查用户A和用户B是否具有解密权限。因为用户A具有的“技术部”和“经理”属性满足密文中的访问结构，即在中存在这样的w_i能够使下面等式成立，所以进行4.2中的转换解密。因为用户B具有的“人事部”和“主管”属性不满足密文中的访问结构，表明用户B不具备解密权限，所以不执行转换解密,返回⊥。

∑_i∈IM_iw_i＝(1，0，...0)

其中式中：I属于{1，2，...，l}，且I={i,ρ(i)属于S}。

4.2转换解密：第三方根据转换密钥TK，将密文CT进行如下转换，得到转换密文CT′。

$\begin{array}{c}{\mathrm{CT}}^{\′}=e(C^{\′},K_1)/{\left(\underset{i\∈I}{\mathrm{\Π}}\left(e(C_i,L)\right)e{(D_i,K_{\mathrm{\ρ}\left(i\right)}))}^{w_i}\right)}^2\\ =e(g^s,g^{{\mathrm{\α}}_1}{g}^{\mathrm{at}})/{\left(e{(g,g)}^{\mathrm{ats}}\right)}^2\\ =e{(g,g)}^{{\mathrm{\α}}_{1}s}/e{(g,g)}^{\mathrm{ats}}\end{array}$

并将CT′传给用户A。

5.移动终端用户文件解密

5.1用户A得到转换密文CT′后，在移动终端用私钥SK对转换密文CT′进行解密得到明文。 $\begin{array}{c}e(\mathrm{SK},C^{\′}){\mathrm{CT}}^{\′}=e(g^{{\mathrm{\α}}_2}{g}^{\mathrm{at}},g^s)e{(g,g)}^{{\mathrm{\α}}_{1}s}/e{(g,g)}^{\mathrm{ats}}\\ =e{(g,g)}^{{\mathrm{\α}}_{2}s}e{(g,g)}^{\mathrm{ats}}e{(g,g)}^{{\mathrm{\α}}_{1}s}/e{(g,g)}^{\mathrm{ats}}\\ =e{(g,g)}^{\mathrm{\αs}}\end{array}$

则明文为m＝C/e(g，g)^αs。

Claims (1)

1.一种移动云计算环境下基于属性加密的高效安全外包解密方法，包括如下步骤：

步骤一，系统初始化

系统指密钥中心，也就是授权机构；系统输入安全参数λ和属性集合U，选择一个阶为素数p的双线性群g是群的生成元，从群中随机选择U个元素h₁，...，h_U，与系统中的U个属性相关；随机选择并使得α＝(α₁+α₂)mod p；则系统公钥(Public Key,PK)由g，e(g，g)^α，g^a，h₁，...，h_U组成，而系统主密钥(Master Key,MK)由α₁，α₂，α组成；其中e(g，g)^α表示双线性配对运算；

步骤二，数据拥有者将文件加密并上传至于云服务商

2.1数据拥有者选择需要加密的明文m；

2.2输入公共参数并选择l×n的线性秘密共享矩阵(M，ρ)；其中，函数ρ与矩阵M的行属性相关联；从中随机选择y₂，...，yⁿ得到向量v＝(s,y₂，...，y_n)^T，用来共享秘密值s；对于矩阵M的每一行，从i＝1到i＝l，计算λ_i＝M_iυ，其中M_i对应矩阵M的第i行向量；

2.3选择随机数 得出密文(Ciphertext，CT)等于 $(C=\mathrm{me}{(g,g)}^{\mathrm{\αs}},$ $C^{\′}{=g}^s,(C_1=g^{{\mathrm{\β\λ}}_1}{h}_{\mathrm{\ρ}\left(1\right)}^{{-r}_1},D_1=g^{r_1}),\·\·\·,(C_l=g^{{\mathrm{\β\λ}}_l}{h}_{\mathrm{\ρ}\left(l\right)}^{{-r}_l},D_l=g^{r_l}));$ 数据拥有者将密文CT上传到远程云服务商；

步骤三，授权机构生成密钥

输入主密钥MK和用户属性集S；选择一个随机数则生成的转换密钥TK由(任何属于属性集S的属性x)}组成，而用户私钥SK则等于之后授权机构将转换密钥传输给第三方，将用户私钥传输给用户；

步骤四，第三方转换密文

当用户向云服务商发送访问请求时，云服务商将相应的密文传输给第三方；当第三方收到密文后，将执行两个步骤；

4.1匹配运算：第三方根据转换密钥TK中的H’(ID)，对密文CT进行“匹配”测试，检查用户是否具备解密权限；当用户的属性S满足密文中的访问结构时，在中存在这样的w_i能够使下面等式成立，则继续进行4.2中的转换解密；若不成立，表明用户不具备解密权限，则不执行转换解密，返回⊥；

∑_i∈IM_iw_i＝(1，0，..0)

其中式中：I属于{1，2，...，l}，且I＝{i，ρ(i)属于S}；

4.2转换解密：第三方根据转换密钥TK，将密文CT进行如下转换，得到转换密文CT′；

$\begin{array}{c}{\mathrm{CT}}^{\′}=e(C^{\′},K_1)/{\left(\underset{i\∈I}{\mathrm{\Π}}\left(e(C_i,L)\right)e{(D_i,K_{\mathrm{\ρ}\left(i\right)}))}^{w_i}\right)}^2\\ =e(g^s,g^{{\mathrm{\α}}_1}{g}^{\mathrm{at}})/{\left(e{(g,g)}^{\mathrm{ats}}\right)}^2\\ =e{(g,g)}^{{\mathrm{\α}}_{1}s}/e{(g,g)}^{\mathrm{ats}}\end{array}$

并将CT′传给用户；

步骤五，移动终端用户文件解密

5.1当用户得到转换密文CT′时，在移动终端用私钥SK对转换密文CT′进行解密得到明文； $\begin{array}{c}e(\mathrm{SK},C^{\′}){\mathrm{CT}}^{\′}=e(g^{{\mathrm{\α}}_2}{g}^{\mathrm{at}},g^s)e{(g,g)}^{{\mathrm{\α}}_{1}s}/e{(g,g)}^{\mathrm{ats}}\\ =e{(g,g)}^{{\mathrm{\α}}_{2}s}e{(g,g)}^{\mathrm{ats}}e{(g,g)}^{{\mathrm{\α}}_{1}s}/e{(g,g)}^{\mathrm{ats}}\\ =e{(g,g)}^{\mathrm{\αs}}\end{array}$

则明文为m＝C／e(g，g)^αs。