CN106506155A - 公有云环境下的密文共享方法 - Google Patents

Abstract

本发明公开了一种公有云环境下的密文共享方法，包括初始化、生成用户私钥、加密以及解密。本发明提供的公有云环境下的密文共享方法，提出了一种面向公有云的文件共享框架。在该框架中，所有需要共享数据的数据加密密钥先要基于安全存储访问结构树在用户客户端进行加密。在本发明提供的面向公有云的文件共享方案中，由多个私钥子项组成的用户私钥全部由云服务器进行存储，用户只需要安全存储一个大小同于私钥子项的公钥密码体制中的私钥。进一步，本发明提供的公有云环境下的密文共享方法和经典的CP‑ABE具有相同的安全性，在计算量和存储量上对用户客户端要求很低，个人电脑和移动设备都完全能够胜任。

Description

公有云环境下的密文共享方法

技术领域

本发明涉及文件加密技术领域，具体涉及一种公有云环境下的密文共享方法。

背景技术

对于企业信息中心而言，如果想做到将数据存储外包给公有云并同时保证数据安全性和隐私性，做法很简单：将数据加密后再上传到云端。但如果企业信息中心还想再利用这种外包模式构建文件共享框架，问题就变得非常复杂。

解决外包云数据共享的一般方案是：用每个共享用户的公钥加密数据加密密钥，然后将加了密的数据加密密钥发送给共享者。显然，这种方法的代价过大：计算量和通信量都和共享用户的数量成正比，使得它难以实施。针对这个问题，现有技术中提出了一种基于属性的加密(CP-ABE，Cipher Policy Attribute Based Encryption)算法。该算法由于具有“一次加密，多人分享”的特点，因而在外包数据共享中具有可实施性。然而，该算法要求运算量较大的加解密运算都由用户客户端负责，并且由用户保管由较多私钥子项组成的用户私钥，这对其实施特别是在移动设备上的实施造成阻碍。

发明内容

本发明所要解决的是现有的密文共享方案存在客户端计算量过大、用户管理密钥过多、不支持个人共享的问题。

本发明通过下述技术方案实现：

一种公有云环境下的密文共享方法，包括：

初始化：设置安全参数d；授权中心选择一个阶为大素数p的双线性群G₀和G₁，记G₀的生成元为g，对应的双线性映射为e:G₀×G₀→G₁；定义系统所需的属性空间A＝{a₁,a₂,…,a_n}和用户身份空间A_ID＝{uid₀,uid₁,…,uid_i,…,uid_m}，其中，uid₀为授权中心标识符，uid_i为数据所有者标识符；定义一个哈希函数H:{0,1}^*→G₀，随机选择将系统公钥信息PK＝{G₀,g,g^β,e(g,g)^α}发往云服务器并公开，数据所有者秘密保存主私钥MK＝{g^α,β}，其中，为大素数p的剩余类集合中与大素数p互素的元素构成的集合；

生成用户私钥：授权中心为用户U_i分配一对公私钥将发往云服务器并公开，由用户秘密保存，其中，为用户U_i的公钥，为用户U_i的私钥；设用户U_i对应的属性集合为令w＝w'∪{uid₀,uid_i}，随机选择对于每个元素a_j∈w'，随机选择生成私钥 将私钥保存在云端的用户私钥表中，其中，授权中心标识符uid₀对应的私钥子项用用户U_i的公钥加密保存；

加密：包括对文件进行安全存储和密文共享；

解密：包括云服务器解密和用户客户端解密。

可选的，对文件进行安全存储包括：

用户客户端使用对称加密算法和数据加密密钥k_f加密文件获得数据密文其中，f为需要安全存储的文件；

为安全存储访问结构树T的根节点随机选择一个一元一次多项式Q_r(x)和使得s＝Q_r(0)，Q_r(1)为安全存储访问结构树T左子树根节点的取值，Q_r(2)为安全存储访问结构树T右子树根节点的取值；

计算数据加密密钥的密文为

用户客户端将数据密文数据加密密钥的密文CT和安全存储访问结构树T左子树根节点的取值Q_r(1)上传到云端；

云服务器收到用户客户端上传的数据后，计算数据所有者标识符uid_i对应叶子节点的密文子项和并将数据密文和数据加密密钥k_f的所有密文子项和安全存储访问结构树T左子树根节点的取值Q_r(1)保存到对应于数据所有者的存储空间；

在文件安全存储而不共享的情况下，数据加密密钥k_f的完整密文为

可选的，安全存储访问结构树T的根节点操作符为AND，安全存储访问结构树T的左孩子节点代表数据所有者标识符uid_i，安全存储访问结构树T的右孩子节点代表授权中心标识符uid₀。

可选的，密文共享包括：

数据所有者根据访问逻辑表达式构建并上传文件共享访问结构树T'；

云服务器根据文件共享访问结构树T'将安全存储访问结构树T改造为云文件共享访问结构树；

为云文件共享访问结构树每个叶子节点赋值其中，L_T'表示文件共享访问结构树T'的叶子节点的集合：令文件共享访问结构树T'的根节点对应的秘密共享数为Q_r(1)；对于任意非根节点x且其父节点操作符为AND，Q_x(0)＝Q_parent(x)(index(x))，parent(x)为非根节点x的父节点，index(x)为非根节点x在兄弟节点中的排行序号；对于任意非根节点x且其父节点操作符为OR，Q_x(0)＝Q_parent(x)(0)；

计算文件共享访问结构树T'对应的密文子项为：

其中，att()用于求叶子节点对应的属性；

数据加密密钥k_f完整的共享密文为

可选的，云服务器根据文件共享访问结构树T'将安全存储访问结构树T改造为云文件共享访问结构树包括：

新建OR节点，用新建OR节点替代安全存储访问结构树T中数据所有者标识符uid_i对应的节点，数据所有者标识符uid_i对应的节点成为新建OR节点的左孩子，文件共享访问结构树T'成为新建OR节点的右子树。

可选的，云服务器解密包括：

对于叶子节点x，解密算法为

对于非叶子节点x，解密算法为

其中，s_x为非叶子节点x的所有孩子节点构成的集合，index(z)为叶子节点z在兄弟节点中的排行序号，parent(z)为叶子节点z的父节点，Q_x(0)为非叶子节点x对应多项式的常数项；

文件共享访问结构树T'的根节点的解密为其中，为文件共享访问结构树T'的根节点对应多项式的常数项。

可选的，用户客户端解密包括：

数据所有者或共享用户将密文子项C、解密得到的以及授权中心标识符uid₀对应的加了密的私钥子项和从云端下载到本地；

用私钥解密得到和

用和解密授权中心标识符uid₀对应叶子节点得到

利用非叶子节点解密算法解密云文件共享访问结构树的根节点：

其中，Q_r(0)为云文件共享访问结构树的根节点对应多项式的常数项；

解密数据加密密钥k_f的算法为：

用户再利用数据加密密钥k_f将文件密文进行解密以恢复文件f。

本发明与现有技术相比，具有如下的优点和有益效果：

本发明提供的公有云环境下的密文共享方法，提出了一种面向公有云的文件共享框架。在该框架中，所有需要共享数据的数据加密密钥先要基于安全存储访问结构树在用户客户端进行加密。共享时，由云服务器负责所有文件共享访问结构树对应密文子项的计算。访问结构树的叶子节点不仅可以对应属性，还可以直接对应用户标识符，使得该方案同时支持基于属性的共享和基于身份的共享。在本发明提供的面向公有云的文件共享方案中，由多个私钥子项组成的用户私钥全部由云服务器进行存储，用户只需要安全存储一个大小同于私钥子项的公钥密码体制中的私钥。进一步，本发明提供的公有云环境下的密文共享方法和经典的CP-ABE具有相同的安全性，在计算量和存储量上对用户客户端要求很低，个人电脑和移动设备都完全能够胜任。

附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，并不构成对本发明实施例的限定。在附图中：

图1是本发明实施例的面向公有云的密文共享框架结构示意图；

图2是本发明实施例的安全存储访问结构树的示意图；

图3是本发明实施例的云文件共享访问结构树的示意图。

具体实施方式

针对用户客户端计算量过大、密钥存储量过多的问题，发明人提出将授权中心标识符作为特殊属性引入到用户属性中。为授权中心标识符生成密钥子项，该子项利用用户公钥加密后再上传到云端。引入授权中心标识符后，需要改造访问结构树。改造后，就可以将主要的计算和存储都移植到云端，所有用户属性对应的密钥子项都存储在云端，用户只需要保存好自己的私钥就可以了。加密和解密时，除数据密文子项和授权中心标识符属性对应的密文子项需要由用户客户端完成外，其它的加解密工作都外包给云服务器，密文子项也全部存储在云服务器上。由于缺少授权中心标识符对应的密钥子项这一关键数据，云服务器无法解密存放在其上的任何密文数据。

在用户私钥分配时，给用户身份标识符分配相应的密钥子项。在创建访问结构时，利用用户属性或身份标识符构建访问结构树。构建访问结构树时，如果只利用了用户属性，则和以前基于属性的密文共享方式一样，实现的是基于角色的访问控制；如果只利用了用户标识符属性，就属于基于个人身份的共享，实现的是基于身份的访问控制；如果既有用户属性又有个人属性，则属于既包含属性授权又包含个人授权的混合访问授权。

在面向公有云的的密文共享框架中，主要包括授权中心、云服务器、数据所有者和用户，如图1所示。授权中心位于企业可信域中，负责用户密钥的生成、分配、更新和撤销；云服务器位于云域，负责密文和用户私钥的存储；用户，可能在可信域中也可能在不可信域中，或作为数据所有者利用客户端加密数据后上传到云端保存，或作为数据共享者从云端读取并解密授权共享密文。

在已有的密文共享方案中，几乎都采取的是文件加密和密文共享同时在用户客户端进行的方式。而在实际的文件共享中，无论文件是否需要加密，都是先要将文件上传到存储服务器，再进行文件共享。基于此，本发明将文件共享分成前后相随的两个阶段：文件安全存储和密文共享。

文件安全存储。为确保文件数据的机密性，需要对数据进行加密。在本发明技术方案中，采用CP-ABE进行加密，访问结构如图2所示，uid_i和uid₀分别为数据所有者标识符和授权中心标识符。在文件共享前，由于能匹配密文访问结构树的只有数据所有者，故只有数据所有者能解密数据。

密文共享。为实现共享，数据所有者将文件共享访问结构树上传到云端。云服务器根据安全存储访问结构树和文件共享结构树构造云文件共享访问结构树，如图3所示。基于云文件共享访问结构树，利用存储在云端的用户身份标识符对应的秘密共享数计算文件共享访问结构树叶子节点对应的秘密共享数，进而计算出对应的密文子项。基于安全存储访问结构树和文件共享访问结构树，构造云文件访问结构树的具体过程为：新建OR节点，用新建OR节点替代安全存储访问结构树中数据所有者标识符uid_i对应的节点，数据所有者标识符uid_i对应的节点成为新建OR节点的左孩子，文件共享访问结构树成为新建OR节点的右子树。图3中的文件共享访问结构树表达的是能访问密文的用户：要么是计算机学院云计算实验室的教师(基于属性的访问控制)，要么是身份标识符UID的值为uid_j或uid_k的计算机学院教师(基于身份的访问控制)，而云文件共享访问结构树除包含文件共享访问结构树的逻辑外，还允许数据所有者访问自己以密文形式存储在云端的数据。

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

实施例

和一般的ABE方案一样，本发明提供的公有云环境下的密文共享方法也包括初始化、生成用户私钥、加密以及解密四个步骤。

初始化。设置安全参数d；授权中心选择一个阶为大素数p的双线性群G₀和G₁，记G₀的生成元为g，对应的双线性映射为e:G₀×G₀→G₁；定义系统所需的属性空间A＝{a₁,a₂,…,a_n}和用户身份空间A_ID＝{uid₀,uid₁,…,uid_i,…,uid_m}，其中，uid₀为授权中心标识符，uid_i为数据所有者标识符；定义一个哈希函数H:{0,1}^*→G₀，随机选择将系统公钥信息PK＝{G₀,g,g^β,e(g,g)^α}发往云服务器并公开，数据所有者秘密保存主私钥MK＝{g^α,β}，其中，为大素数p的剩余类集合中与大素数p互素的元素构成的集合。

生成用户私钥。授权中心为用户U_i分配一对公私钥将发往云服务器并公开，由用户秘密保存。其中，为用户U_i的公钥，为用户U_i的私钥。设用户U_i对应的属性集合为令w＝w'∪{uid₀,uid_i}。随机选择对于每个元素a_j∈w'，随机选择生成的私钥如下： 将以上数据保存在云端的用户私钥表中，其中，授权中心标识符uid₀对应的私钥子项用用户U_i的公钥加密保存，即以形式保存。

加密。用户U_i构造安全存储访问结构树T如图2所示，安全存储访问结构树T的根节点操作符为AND，安全存储访问结构树T的左孩子节点代表数据所有者标识符uid_i，安全存储访问结构树T的右孩子节点代表授权中心标识符uid₀。在需要共享时，将安全存储访问结构树T改造为云文件共享访问结构树，如图3所示。

文件安全存储。设需要安全存储的文件为f，用户客户端使用对称加密算法(如AES)和数据加密密钥k_f加密文件获得数据密文为安全存储访问结构树T的根节点随机选择一个一元一次多项式Q_r(x)和使得s＝Q_r(0)且Q_r(1)和Q_r(2)分别为安全存储访问结构树T左右子树根节点的取值。然后计算数据加密密钥的密文如下：

用户客户端将数据密文数据加密密钥的密文CT和安全存储访问结构树T左子树根节点的取值Q_r(1)一起上传到云端。云服务器收到上传数据后，计算数据所有者标识符uid_i对应叶子节点的密文子项和云服务器将数据密文数据加密密钥k_f的所有密文子项和安全存储访问结构树T左子树根节点的取值Q_r(1)保存到对应于数据所有者的存储空间。在文件安全存储而不共享的情况下，数据加密密钥k_f的完整密文如下：

密文共享。在文件共享阶段，数据所有者根据访问逻辑表达式构建并上传文件共享访问结构树T'。云服务器先利用文件共享访问结构树T'将安全存储访问结构树T改造为云文件共享访问结构树。为在文件共享访问结构树T'中每个操作符为AND的非叶子节点x随机选择一个一元多项式函数Q_x(x)，令文件共享访问结构树T'的根节点对应的秘密共享数为Q_r(1)。对于任意非根节点x且其父节点操作符为AND，Q_x(0)＝Q_parent(x)(index(x))，parent(x)为非根节点x的父节点，index(x)为非根节点x在兄弟节点中的排行序号(从左往右进行编号)；对于任意非根节点x且父节点操作符为OR，Q_x(0)＝Q_parent(x)(0)。按照以上方式从上至下最终可以为云文件共享访问结构树每个叶子节点赋值L_T'表示文件共享访问结构树T'的叶子节点的集合。

计算文件共享访问结构树T'对应的密文子项如下：

其中，att()用于求叶子节点对应的属性。

数据加密密钥k_f完整的共享密文如下：

解密。解密时，先在云服务器上完成部分解密，再在用户客户端上完成最后的解密工作。

云服务器解密。共享情况下解密基于文件共享访问结构树T'，叶子节点和非叶子节点有着不同的解密算法。

对于叶子节点x，a_j＝att(x)，其解密算法为：

对于非叶子节点x，解密算法为：

其中，s_x为非叶子节点x的所有孩子节点构成的集合，index(z)为叶子节点z在兄弟节点中的排行序号，parent(z)为叶子节点z的父节点，Q_x(0)为非叶子节点x对应多项式的常数项。

文件共享访问结构树T'的根节点的解密为：

其中，为文件共享访问结构树T'的根节点对应多项式的常数项。

安全存储情况下只对用户标识符uid_i对应的叶子节点解密，其解密算法同于上面叶子节点解密算法，解密结果为：

用户客户端解密。数据所有者或共享用户将密文子项C、 和解密得到的以及授权中心标识符uid₀对应的加了密的私钥子项和从云端下载到本地。用私钥解密得到和用它们解密授权中心标识符uid₀对应叶子节点得到再利用非叶子节点解密算法解密云文件共享访问结构树的根节点：其中，Q_r(0)为云文件共享访问结构树的根节点对应多项式的常数项。解密数据加密密钥k_f的算法如下：

用户再利用数据加密密钥k_f将文件密文进行解密以恢复文件f。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种公有云环境下的密文共享方法，其特征在于，包括：

初始化：设置安全参数d；授权中心选择一个阶为大素数p的双线性群G₀和G₁，记G₀的生成元为g，对应的双线性映射为e:G₀×G₀→G₁；定义系统所需的属性空间A＝{a₁,a₂,…,a_n}和用户身份空间A_ID＝{uid₀,uid₁,…,uid_i,…,uid_m}，其中，uid₀为授权中心标识符，uid_i为数据所有者标识符；定义一个哈希函数H:{0,1}^*→G₀，随机选择α,将系统公钥信息PK＝{G₀,g,g^β,e(g,g)^α}发往云服务器并公开，数据所有者秘密保存主私钥MK＝{g^α,β}，其中，为大素数p的剩余类集合中与大素数p互素的元素构成的集合；

生成用户私钥：授权中心为用户U_i分配一对公私钥将发往云服务器并公开，由用户秘密保存，其中，为用户U_i的公钥，为用户U_i的私钥；设用户U_i对应的属性集合为令w＝w'∪{uid₀,uid_i}，随机选择对于每个元素a_j∈w'，随机选择生成私钥 将私钥保存在云端的用户私钥表中，其中，授权中心标识符uid₀对应的私钥子项用用户U_i的公钥加密保存；

加密：包括对文件进行安全存储和密文共享；

解密：包括云服务器解密和用户客户端解密。

2.根据权利要求1所述的公有云环境下的密文共享方法，其特征在于，对文件进行安全存储包括：

用户客户端使用对称加密算法和数据加密密钥k_f加密文件获得数据密文其中，f为需要安全存储的文件；

为安全存储访问结构树T的根节点随机选择一个一元一次多项式Q_r(x)和使得s＝Q_r(0)，Q_r(1)为安全存储访问结构树T左子树根节点的取值，Q_r(2)为安全存储访问结构树T右子树根节点的取值；

计算数据加密密钥的密文为

用户客户端将数据密文数据加密密钥的密文CT和安全存储访问结构树T左子树根节点的取值Q_r(1)上传到云端；

云服务器收到用户客户端上传的数据后，计算数据所有者标识符uid_i对应叶子节点的密文子项和并将数据密文和数据加密密钥k_f的所有密文子项和安全存储访问结构树T左子树根节点的取值Q_r(1)保存到对应于数据所有者的存储空间；

在文件安全存储而不共享的情况下，数据加密密钥k_f的完整密文为C＝h^s，

3.根据权利要求2所述的公有云环境下的密文共享方法，其特征在于，安全存储访问结构树T的根节点操作符为AND，安全存储访问结构树T的左孩子节点代表数据所有者标识符uid_i，安全存储访问结构树T的右孩子节点代表授权中心标识符uid₀。

4.根据权利要求2所述的公有云环境下的密文共享方法，其特征在于，密文共享包括：

数据所有者根据访问逻辑表达式构建并上传文件共享访问结构树T'；

云服务器根据文件共享访问结构树T'将安全存储访问结构树T改造为云文件共享访问结构树；

为云文件共享访问结构树每个叶子节点赋值其中，L_T'表示文件共享访问结构树T'的叶子节点的集合：令文件共享访问结构树T'的根节点对应的秘密共享数为Q_r(1)；对于任意非根节点x且其父节点操作符为AND，Q_x(0)＝Q_parent(x)(index(x))，parent(x)为非根节点x的父节点，index(x)为非根节点x在兄弟节点中的排行序号；对于任意非根节点x且其父节点操作符为OR，Q_x(0)＝Q_parent(x)(0)；

计算文件共享访问结构树T'对应的密文子项为：

其中，att()用于求叶子节点对应的属性；

数据加密密钥k_f完整的共享密文为C＝h^s，

5.根据权利要求4所述的公有云环境下的密文共享方法，其特征在于，云服务器根据文件共享访问结构树T'将安全存储访问结构树T改造为云文件共享访问结构树包括：

新建OR节点，用新建OR节点替代安全存储访问结构树T中数据所有者标识符uid_i对应的节点，数据所有者标识符uid_i对应的节点成为新建OR节点的左孩子，文件共享访问结构树T'成为新建OR节点的右子树。

6.根据权利要求4所述的公有云环境下的密文共享方法，其特征在于，云服务器解密包括：

对于叶子节点x，解密算法为

$DecNode\left(x\right)=\frac{e({\mathrm{SK}}_{a_j},C_x)}{e({\mathrm{SK}}_{a_j}^{\′},C_x^{\′})}=\frac{e(g^r\·H{\left(a_j\right)}^{r_j},g^{s_x})}{e(g^{r_j}\·H{\left(att\right(x\left)\right)}^{s_x})}=e{(g,g)}^{{\mathrm{rs}}_x}=e{(g,g)}^{{\mathrm{rQ}}_x\left(0\right)};$

对于非叶子节点x，解密算法为

$\begin{array}{c}DecNode\left(x\right)=\underset{z\∈s_x}{\mathrm{\Π}}DecNode{\left(z\right)}^{{\mathrm{\Δ}}_{i,s_x^{\′}}\left(0\right)},{\mathrm{where}}_{s_x^{\′}=\{index\left(z\right):z\∈s_x\}}^{i=index\left(z\right)}\\ =\underset{z\∈s_x}{\mathrm{\Π}}{\left(e{(g,g)}^{r\·Q_z\left(0\right)}\right)}^{{\mathrm{\Δ}}_{i,s_x^{\′}}\left(0\right)}\\ =\underset{z\∈s_x}{\mathrm{\Π}}{\left(e{(g,g)}^{r\·Q_{parent\left(z\right)}\left(index\right(z))}\right)}^{{\mathrm{\Δ}}_{i,s_x^{\′}}\left(0\right)}\\ =\underset{z\∈s_x}{\mathrm{\Π}}e{(g,g)}^{r\·Q_x\left(i\right)\·{\mathrm{\Δ}}_{i,s_x^{\′}}\left(0\right)}\\ =e{(g,g)}^{r\·Q_x\left(0\right)}\end{array}$

其中，s_x为非叶子节点x的所有孩子节点构成的集合，index(z)为叶子节点z在兄弟节点中的排行序号，parent(z)为叶子节点z的父节点，Q_x(0)为非叶子节点x对应多项式的常数项；

文件共享访问结构树T'的根节点的解密为其中，为文件共享访问结构树T'的根节点对应多项式的常数项。

7.根据权利要求6所述的公有云环境下的密文共享方法，其特征在于，用户客户端解密包括：

数据所有者或共享用户将密文子项C、解密得到的以及授权中心标识符uid₀对应的加了密的私钥子项和从云端下载到本地；

用私钥解密得到和

用和解密授权中心标识符uid₀对应叶子节点得到

利用非叶子节点解密算法解密云文件共享访问结构树的根节点：

其中，Q_r(0)为云文件共享访问结构树的根节点对应多项式的常数项；

解密数据加密密钥k_f的算法为：

$Decrypt(CT,SK)=\frac{\tilde{C}\·DecNode\left(root\right)}{e(C,{\mathrm{SK}}_i^{\left(1\right)})}=\frac{k_f\·e{(g,g)}^{\mathrm{\α}s}\·e{(g,g)}^{rs}}{e(g^{\mathrm{\β}s},g^{\frac{\mathrm{\α}+r}{\mathrm{\β}}})}=k_f;$

用户再利用数据加密密钥k_f将文件密文进行解密以恢复文件f。