CN106850656A - 一种云环境下多用户文件共享控制方法 - Google Patents

Abstract

本发明公开了一种云环境下多用户文件共享控制方法，此方法利用了NTRU算法和代理重加密技术，提出一种高效、安全的多用户共享文件控制方案，实现了文件拥有者对共享文件更细粒度的委托控制。方法主要由密钥生成、加密、代理重加密、解密几个部分组成。在减少密文存储空间的同时，方法只需要加、减、乘和模运算，文件加密和解密的计算量只与文件块数的乘法运算呈线性增长关系，经过文件拥有者授权后，共享文件用户可以访问各自不同的文件块内容。本发明具有抗量子计算攻击，计算成本低，通信量少的优点，更加适合客户端计算资源和通信资源受限的环境。

Description

一种云环境下多用户文件共享控制方法

技术领域

本发明具体涉及一种云环境下多用户文件共享控制方法。

背景技术

云存储服务已经被IT行业公认为最具有发展前景的数据存储方式，各个领域的用户都可以将海量数据存储在云服务器中，并可以让其他合法的用户共享这些数据，让这些数据产生更大的应用价值。例如，在医疗系统中，将病人的电子病历存放到云服务器中，并提供在线病历检索与调用，既可以减少病人体检费用，也可以帮助其他医生选择更好的医疗方案等。表1是经过简化的某医疗单位电子病例信息表，表的内容包括个人基本信息(姓名、性别、年龄)、病情陈述、病检数据、诊断结果、治疗，共7个字段。对统计部门来说，性别或年龄、诊断结果可以作为某种疾病的分析和预测。对某个医生来说，病情陈述、病检数据等可以作为诊断的依据。

表1 某医疗机构电子病历样本

Name

Age

Sex

病情陈述

病检数据

诊断结果

治疗

张三

20

男

偏头痛

CT未见异常

血管性头痛

天麻蜜环菌片

…

…

…

…

…

…

…

李四

50

女

咳嗽

X光照射，肺纹理增粗

肺炎

青霉素

当文件拥有者FO(File Owner)将文件加密后存储到云服务器中，并交给云服务提供商CSP(Cloud Service Provider)管理时，由于FO的文件不是对所有人开放的，包括CSP，只有经过FO授权的文件使用者FU(File User)才能共享文件中的内容，因此，这需要建立一个有效的安全机制来保护存储在云服务器中的共享数据不被非授权用户访问。例如医生只能看到属于本人专业下的病人病历，某个病人只能看到属于本人的病历，其他人的病例就成为了一种隐私，应该是保密的。

近年来，国内外学者利用代理重加密等技术，解决了上面多个文件使用者FU共享同一个文件的问题。1998年，Blaze等学者首次提出了代理重加密概念。在代理重加密方案中，文件拥有者FO先将明文加密，再用自己的私钥和文件使用者FU的公钥生成一个重加密密钥，接着FO将密文和重加密密钥存放到半可信的代理服务器中。当FU申请共享文件时，代理服务器用FU的重加密密钥对密文再加密，将重加密的密文发送给FU。FU只要用自己的私钥解密密文就可以直接得到明文了。在这个过程中，明文、FO和FU的私钥都不会暴露给代理服务器。在FU共享文件时，FO也不需要保持在线状态。通过代理重加密方案可以防止明文和用户的私钥泄露，同时也提高了共享文件的效率。

目前，在利用代理重加密技术实现文件的多个用户共享方案中，大都是使用Elgamal加密算法或RSA加密算法，以及双线性对运算。Elgamal加密算法和RSA加密算法主要使用的是有限域的模幂运算，计算成本高，不能抵抗量子计算攻击。随着智能手机、平板电脑等资源受限的移动终端在云计算环境中的广泛应用，针对云环境下多用户文件共享问题，现有方案中密文占用的存储空间、计算效率等方面还需要进一步改进。

发明内容

本发明的目的在于克服现有技术中的不足，提供了一种新的云环境下多用户文件共享控制方法，将文件分割成若干个文件块，为各FU建立各文件块的访问权限表，利用NTRU加密算法和代理重加密技术实现文件块共享，此方法能抗量子计算攻击，计算成本低，通信量少。

为解决上述技术问题，本发明提供了一种云环境下多用户文件共享控制方法，其特征是，包括以下步骤：

步骤S1，FO首先将文件F分割成若干个文件块，利用NTRU加密算法生成自身的密钥对，利用公钥对各文件块进行加密获得原始密文传送至CSP；

步骤S2，FO为各FU分配一个身份标识，利用NTRU加密算法为各FU生成密钥对，然后将各密钥对和身份标识发送至对应的FU；为每个FU设定各文件块访问权限生成访问权限表，然后将各FU的身份标识和访问权限表发送至CSP；

步骤S3，FO为各FU生成重加密密钥；然后将各FU的重加密密钥发送至CSP；

步骤S4，当某FU访问共享文件时，首先向CSP发送身份标识和访问请求，CPS依据其身份标识查询访问权限表获取允许其访问的文件块，利用重加密密钥对允许访问的文件块的原始密文进行加密获得重加密密文，将重加密密文发送至此FU；

步骤S5，FU对获得对应其访问权限的重加密密文，利用其私钥进行解密获得最终明文。

进一步的，步骤S1中，FO在向云服务器上传文件F前，首先将文件F分割成不同的文件块，分割方法如下：

FO按记录的顺序，并以每个记录的属性值的个数为单位，将F分割成n*m个文件块，每个文件块用f_ij(1<＝i<＝n,1<＝j<＝m)表示，其中n表示文件共有n个记录，m表示每个记录共有m个属性值；把文件F看成是一个n*m二维矩阵，即：

FO先将文件F分割成若干个不同的文件块f_ij，将每个文件块f_ij看成一个单位元文件，这样每个FU访问F中的内容是由若干个文件块f_ij组成的新文件。

进一步的，利用公钥对各文件块进行加密过程为：文件拥有者FO选择任意填充值w∈R，方法如下：

r_ij＝H(f_ij||w)，E_ij＝pk_O*r_ij，

令文件块f_ij进行加密后密文cf_ij＝(E_ij,Y_ij)，则对文件F中各文件块加密后的矩阵CF为：

其中1<＝i<＝n,1<＝j<＝m，FO将CF发送至CPS中，以供不同的FU使用。

进一步的，在步骤S3中，访问权限表的建立过程如下：

FO将文件F分割成n*m个文件块，FO为第k个FU生成权限访问表T_Uk＝{t_k11,t_k12,…,t_kij,…,t_knm}，其中t_kij＝1时，表示第k个FU可以访问CF中第i行，第j列的元素，t_kij＝0时，表示第k个FU不可以访问CF中第i行，第j列的元素；已知有t个FU，用T表示FU访问权限表的集合，则T＝{T_U1,…,T_Uk,…T_Ut}

FO将访问权限表T发送给CSP。

进一步的，FO为第k个FU生成重加密密钥Rk_O→Uk的过程如下：

v_Uk＝H(id_Uk,pk_Uk)，V_Uk＝pk_Uk*v_Uk，hk_Uk＝H(V_Uk,pg_Uk*v_Uk)，rk_O→UK＝hk_Uk*sk_O

根据第k个FU的权限访问表T_Uk，当t_kij＝1时，计算：c_ij＝r_ij*hk_Uk。

令C_Uk＝{…,c_ij,…}，其中1<＝i<＝n,1<＝j<＝m。

针对FU的重加密密钥为Rk_O→Uk＝(rk_O→Uk,V_Uk,C_Uk)；

已知有t个FU，用Rk_O→U表示各FU重加密密钥的集合，则：RK_O→U＝{Rk_O→U1,…,Rk_O→Uk,…,Rk_O→Ut}

FO将RK_o→U发送给CSP。

进一步的，在步骤S4中，CSP完成代理重加密的过程以第k个FU向CSP请求共享文件为例，其具体重加密过程如下：

CSP在访问权限表集合T中查找第k个FU的访问权限T_Uk；根据T_Uk＝{t_k11,t_k12,…,t_kij,…,t_knm}，CSP逐一从CF中取出允许FU访问的文件块cf_ij，这里的i、j取决于T_Uk中的t_kij值，当t_kij＝1时，取出cf_ij，并对该cf_ij进行重加密，否则放弃该cf_ij；

假设FU可以访问CF中文件块cf_ij，CSP用Rk_O→Uk的rk_O→Uk对每个文件块cf_ij进行重加密，重加密后的密文用Ck_e表示，CSP计算：

E′_ij＝E_ij*rk_O→Uk，Ck_e＝(E′_ij,Y_ij)

令FU可以访问CF中f个文件块cf_ij，针对f个文件块的重加密密文集合CK_Uk为：CK_Uk＝{Ck₁,…,Ck_e,…Ck_f}，其中1<＝e<＝f；CSP将(CK_Uk,V_Uk,C_Uk)发送给FU。

进一步的，在步骤S5中，第k个FU收到密文后解密过程如下：

FU收到CSP发送的Ck_Uk＝{Ck₁,…,Ck_e,…Ck_f},V_Uk和C_Uk后，用自己的私钥sk_Uk对Ck_Uk中的每个元素Ck_e＝(E′_ij,Y_ij)进行解密，解密后明文文件块f_ij的集合用F_Uk表示，FU计算：

hk′_Uk＝H(V_Uk,H(sk_Uk)*V_Uk)，

验证c_ij＝H(f′_ij||w')*hk'是否成立，如果成立，则有：(f′_ij||w')＝(f_ij||w)，除却w，FU获得自己所需要明文文件块f_ij；令第e个元素Ck_e解密后获得的明文记为f_ije；当FU对Ck_Uk中的f个元素解密后，最终获得明文文件块的集合F_Uk为：

F_Uk＝{f_ij1,…,f_ije,…f_ijf}，其中1<＝i<＝n,1<＝j<＝m,1<＝e<＝f。

与现有技术相比，本发明所达到的有益效果是：

1)提出一种在云环境下无双线性对、无模幂运算的多用户文件共享控制方法，减少计算量；

2)利用访问权限表，云服务提供商可以快速找到文件使用者所需要的文件块，减少因多用户因访问文件中相同内容产生的计算量、通信量和存储开销；

3)加密算法采用NTRU密码算法，具有抵抗量子攻击的优点，所以本方法安全性更好。

附图说明

图1是云环境下多用户文件共享应用场景图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

如图1所示为云环境下多用户文件共享的应用场景图。此应用场景中有文件拥有者FO、若干个文件使用者FU和云服务提供商CSP三个角色，它们之间的关系如图1所示，FO与多个FU共享文件F，由于FU的角色不同，每个FU可以访问F中的内容也不一定相同。本实施例中假设FO、FU、CSP之间的通信信道是安全，他们在通信时，不会发生文件块等信息丢失或泄漏等现象。

FO的任务是：将文件F分割成不同的文件块，并将各文件块进行加密后，上传到云服务器中，供不同的FU使用；为FU分发密钥和身份ID等授权信息，便于FU通过云服务器访问属于自己的文件块；为CSP提供每个FU的重加密密钥，用于重加密属于FU访问的文件块；为CSP提供每个FU的访问权限表，便于CSP在加密文件块中快速找到FU所需要的文件块。

FU的任务是：向FO提出共享文件申请；在获得FO授权后，FU可以按照自己身份角色，向CSP提交身份标识和访问请求等信息，经过CSP验证后，可以获得属于自己需要的加密文件块，并对加密文件块进行解密，得到明文文件块。

CSP的任务是：按照FO要求存储FO的文件块、FU的访问权限表、重加密密钥等信息；按照FU要求，用FU的重加密密钥，先加密FU所需要的文件块，然后再传送给FU。

本发明的云环境下多用户文件共享控制方法，包括以下步骤：

步骤S1，FO首先将文件F分割成若干个文件块，利用NTRU加密算法生成自身的密钥对，利用公钥对各文件块进行加密获得原始密文传送至CSP；

步骤S2，有若干个FU先向FO申请文件访问权限，FO为各FU分配一个身份标识，利用NTRU加密算法为各FU生成密钥对，并将各密钥对和身份标识发送至对应的FU，同时将各FU的身份标识发送至CSP；FO基于自身的私钥和FU的公钥为各FU生成重加密密钥，并将重加密密钥上传至CSP；

步骤S3，FO为每个FU设定各文件块访问权限，建立访问权限表发送至CSP；

步骤S4，当某FU预访问共享文件时，首先向CSP发送身份ID和访问请求，CPS依据其身份ID查询访问权限表获取允许其访问的文件块，利用重加密密钥对允许访问的文件块的原始密文进行加密获得重加密密文，将重加密密文发送至此FU；

步骤S5，FU对获得对应其访问权限的重加密密文，利用其私钥进行解密获得最终明文。

实施例

本发明基于NTRU(Number Theory Research Unit)公开密钥加密算法和代理重加密技术，提出了一种高效、安全的多用户共享文件控制方法。

已知用Z表示整数环，用Z[X]表示在Z上的卷积多项式环，N次卷积多项式环可以表示为R＝Z[X]/(X^N-1)，模q的N次卷积多项式环可以表示为R_q＝Z_q[X]/(X^N-1)。

在NTRU算法中，D_f、D_g为私钥空间，分别表示一个多项式的集合，从这两个多项式集合中选择出私钥。D_r为眩值空间，是一个多项式集合，在NTRU算法加密时，从该集合中选择出临时眩值。

NTRU算法运行在多项式环R＝Z[X]/(X^N-1)上，所有多项式的次数等于N-1，所有多项式的系数为整数。NTRU算法需要初始化三个整数参数(N,p,q)和三个具有N-1阶多项式sk'∈D_sk、g∈D_g、r∈D_r。其中N为整数，p可以是多项式或整数，q通常为整数。NTRU算法产生密钥方法如下：

随机选择2个多项式sk'∈D_sk、g∈D_g，计算私钥sk：

sk＝1+p*sk',sk*sk_q＝1(modq) (1)

其中，sk_q表示sk的模q逆，*表示卷积运算；然后计算公钥pk：

pk＝p*g*sk_q(modq) (2)

得到NTRU算法的密钥对为(sk，pk)。

假设文件拥有者FO拥有文件F，多个FU共享文件F需完成的过程如下：

1)FO密钥生成

在满足应用场景安全的条件下，文件拥有者FO选择单向散列函数H、NTRU算法所需要的参数N、p、q。

FO随机选择2个多项式sk'_O∈D_sk,g_O∈D_g，根据以上公式(1)和(2)，计算密钥对(sk_O,pk_O)，并计算pk_O*sk_O＝pg_O，保留pg_O，公开pk_O；这里“保留”的意思是pg_O只供FO使用，对其他角色(如FU、CSP角色)是保密；“公开”的意思是pk_O对所有角色是公开的，不要保密。

2)分割文件

FO在向云服务器上传文件F前，首先将文件F分割成不同的文件块，分割方法如下：

FO按记录的顺序，并以每个记录的属性值的个数为单位，将F分割成n*m个文件块，每个文件块用f_ij(1<＝i<＝n,1<＝j<＝m)表示，其中n表示文件共有n个记录，m表示每个记录共有m个属性值。这样，就可以把文件F看成是一个n*m二维矩阵，即：

按照以上所述方法，将文件F按二维矩阵的方式组织起来。FO先将文件F分割成若干个不同的文件块f_ij，将每个文件块f_ij看成一个单位元文件，这样每个FU访问F中的内容是由若干个文件块f_ij组成的新文件。

3)加密文件块

然后采用NTRU加密算法对各文件块f_ij进行加密。加密文件块的目的是防止非法用户看到文件的内容，本过程由文件拥有者FO完成。

文件拥有者FO选择任意填充值w∈R，计算：

r_ij＝H(f_ij||w)，E_ij＝pk_O*r_ij，

令文件块f_ij进行加密后密文cf_ij＝(E_ij,Y_ij)，则对文件F中各文件块加密后的矩阵CF为：

其中1<＝i<＝n,1<＝j<＝m，FO将CF发送至CPS中，以供不同的FU使用。

4)FU密钥生成

文件使用者FU先要向文件拥有者FO申请文件访问权限，才可以通过云服务提供商CSP访问共享文件。本过程由FO完成，方法如下：

假设有t个FU，用ID表示FU的身份标识集合，则

ID＝{id_U1,…,id_Uk,…id_Ut}；其中1<＝k<＝t。

FO收到FU发出的文件访问申请消息后，FO为FU分配一个身份标识id_Uk；表示是第k个FU。然后FO随机选择2个多项式sk'_Uk∈D_sk,g_Uk∈D_g，根据公式(1)、(2)，为FU生成密钥对(sk_Uk,pk_Uk)，并计算pk_Uk*sk_Uk＝pg_Uk，保留pg_Uk。

FO将(sk_Uk,pk_Uk)、id_Uk通过安全通道发送给申请文件访问的FU。同时将ID发送给CSP。

5)生成访问权限表

设计访问权限表的目的是限定文件使用者FU访问CF中文件块的权限，便于云服务提供商CSP能够快速查找到FU所需要的文件块，本过程由FO完成，方法如下：

已知FO将文件F分割成n*m个文件块，令FO为第k个FU生成权限访问表为T_Uk＝{t_k11,t_k12,…,t_kij,…,t_knm}，其中k表示第k个FU，t_kij＝1时，表示第k个FU可以访问CF中第i行，第j列的文件块，t_kij＝0时，表示第k个FU不可以访问CF中第i行，第j列的文件块。

共有t个FU，用T表示FU访问权限表的集合，则T＝{T_U1,…,T_Uk,…T_Ut}

FO将访问权限表T发送给CSP。

6)生成重加密密钥

文件拥有者FO为每个文件使用者FU生成一个重加密密钥，本过程由FO完成。FO为第k个FU生成重加密密钥Rk_O→Uk的过程如下：

v_Uk＝H(id_Uk,pk_Uk)，V_Uk＝pk_Uk*v_Uk，hk_Uk＝H(V_Uk,pg_Uk*v_Uk)，rk_O→UK＝hk_Uk*sk_O

根据第k个FU的权限访问表T_Uk，当t_kij＝1时，计算：

c_ij＝r_ij*hk_Uk

令C_Uk＝{…,c_ij,…}，其中1<＝i<＝n,1<＝j<＝m。

针对第k个FU生成的重加密密钥为Rk_O→Uk＝(rk_O→Uk,V_Uk,C_Uk)。已知有t个FU，用Rk_O→U表示重加密密钥的集合，则：

RK_O→U＝{Rk_O→U1,…,Rk_O→Uk,…,Rk_O→Ut}

FO将RK_o→U发送给CSP。

7)代理重加密

此过程由云服务提供商CSP完成，CSP完成代理重加密过程以第k个FU向CSP请求共享文件为例，其具体重加密过程如下：

(1)如果共享用户第k个FU已经获得文件访问权限，FU可以直接将身份id_Uk和访问请求发给CSP。否则，FU必须先向文件拥有者FO申请访问权限。

(2)CSP确认FU身份后，根据其身份标识id_Uk在访问权限表集合T中查找此FU的访问权限T_Uk。根据访问权限T_Uk＝{t_k11,t_k12,…,t_kij,…,t_knm}，CSP逐一从加密后的文件块CF中取出允许FU访问的文件块cf_ij，这里的文件块下标i、j取决于T_Uk中的t_kij值，当t_kij＝1时，取出cf_ij，并对该cf_ij进行重加密，否则放弃该cf_ij。

(3)假设第k个FU可以访问CF中文件块cf_ij，CSP用Rk_O→Uk的rk_O→Uk对文件块cf_ij进行重加密，重加密后的密文用Ck_e表示，计算过程如下：

E′_ij＝E_ij*rk_O→Uk，Ck_e＝(E′_ij,Y_ij)

(4)令第k个FU共可以访问CF中f个文件块cf_ij，针对f个文件块的重加密文件块的密文集合CK_Uk为：

CK_Uk＝{Ck₁,…,Ck_e,…Ck_f}；其中1<＝e<＝f。

CSP将其访问的文件块内容(CK_Uk,V_Uk,C_Uk)发送给此FU。

8)解密

此过程由文件使用者FU完成，以第k个FU从CSP收到文件块进行解密的过程为例，详述解密过程：

第k个FU收到CSP发送的Ck_Uk＝{Ck₁,…,Ck_e,…Ck_f},V_Uk和C_Uk后，用自己的私钥sk_Uk对Ck_Uk中的每个元素Ck_e＝(E′_ij,Y_ij)进行解密，解密后明文文件块f_ij的集合用F_Uk表示，过程如下：

hk'_Uk＝H(V_Uk,H(sk_Uk)*V_Uk)，其中w'为填充值；

验证c_ij＝H(f′_ij||w')*hk'是否成立，如果不成立，解密失败，输出无效标志⊥。否则有：(f′_ij||w')＝(f_ij||w)，除却w，FU获得自己所需要明文文件块f_ij。令第e个元素Ck_e解密后获得的明文记为f_ije。当FU对Ck_Uk中的f个元素解密后，最终FU获得明文文件块的集合F_Uk：

F_Uk＝{f_ij1,…,f_ije,…f_ijf}，其中1<＝i<＝n,1<＝j<＝m,1<＝e<＝f。

方案正确性分析

(1)本方案对文件块f_ij加密后，可以正确的解密。

证明：文件拥有者FO用自己的公钥pk_O对文件块f_ij加密的密文cf_ij＝(E_ij,Y_ij)。

已知：r_ij＝H(f_ij||w)，E_ij＝pk_O*r_ij,(1<＝i<＝n,1<＝j<＝m)

FO用自己私钥sk_O对加密文件cf_ij进行解密，过程如下：

所以，在没有任何干扰的情况下，本方案对文件块f_ij加密后得到密文cf_ij是可以正确解密的。

证明完毕。

(2)本方案对cf_ij重加密后，可以正确的解密。

证明：已知CSP用rk_O→Uk对cf_ij进行重加密，重加密后的密文Ck_e＝(E′_ij,Y_ij)。

FO用自己私钥sk_O对加密文件Ck_e进行解密，过程如下：

已知：v_Uk＝H(id_Uk,pk_Uk),V_Uk＝pk_Uk*v_Uk,hk_Uk＝H(V_Uk,pg_Uk*v_Uk)。

计算：hk'_Uk＝H(V_Uk,sk_Uk*V_Uk)

＝H(V_Uk,sk_Uk*pk_Uk*v_Uk)

＝H(V_Uk,pg_Uk*v_Uk)

＝hk_Uk

即：在没有干扰的情况下：hk'_Uk＝hk_Uk

已知：r_ij＝H(f_ij||w)，E_ij＝pk_O*r_ij，rk_O→UK＝hk_Uk*sk_O，E′_ij＝E_ij*rk_O→Uk，其中1<＝i<＝n,1<＝j<＝m。

计算：

所以，在没有任何干扰的情况下，本方案对密文cf_ij重加密后得到密文Ck_e是可以正确解密的。

证明完毕。

安全性分析

定理1，假设云服务提供商CSP是半诚实的，CSP会按照FO的要求存储FO的加密文件，但，CSP企图解密FO的密文，窥测到明文的概率几乎为零。

证明：在CSP上存有对文件F加密后矩阵CF，其中cf_ij＝(E_ij,Y_ij)，r_ij＝H(f_ij||w),E_ij＝pk_O*r_ij，

情况1，在已知E_ij、pk_O的条件下，CSP要想从E_ij分解出r_ij，从r_ij分解出(f_ij||w)，CSP必须解决在格中求解最短向量问题，以及在抗碰撞的hash函数中找到一个碰撞问题，这将破坏NTRU算法的安全性和hash函数单向性。事实是，在多项式时间内解决格中求解最短向量问题，以及在抗碰撞的hash函数中找到一个碰撞是很困难的。

情况2，在已知Y_ij的情况下，CSP企图从Y_ij分解出(f_ij||w)也是几乎不可能的，因为，在多项式时间内，在H(pg_O*r_ij)未知的情况下，企图从Y_ij分解出(f_ij||w)几乎不可能。除非CSP采用穷举法。

情况3，假如文件使用者FU与CSP合谋，FU将自己解密后明文(f_ij||w)交给CSP，在已知Y_ij和(f_ij||w)情况下，CSP计算得到了H(pg_O*r_ij)。CSP企图从H(pg_O*r_ij)得到pg_O，并利用pk_O*sk_O＝pg_O，试图分解出FO的私钥sk_O也是乎不可能的。因为，CSP必须解决在抗碰撞的hash函数中找到一个碰撞问题，以及在格中求解最短向量问题。

所以CSP在没有获得Owner的私钥sk_O的情况下，成功解密cf_ij＝(E_ij,Y_ij)概率几乎为零，也就无法得到(f_ij||w)。

证明完毕。

推理1：假如文件使用者CSP与FU合谋，CSP直接将cf_ij发送给FU，FU企图从cf_ij得到明文快(f_ij||w)的概率几乎为零。

推理2，CSP从重加密密钥Rk_O→Uk的rk_O→UK中企图得到文件拥有者FO私钥sk_O的概率几乎为零。

定理2，假设云服务提供商CSP是半诚实的，CSP会按照FO的要求重加密文件块cf_ij，并将重加密后的文件块Ck_e发送给指定的文件共享用户FU，FU企图从Ck_e中窥测到FO私钥sk_O的概率几乎为零。

证明：FU从CSP获得信息包括Ck_e＝(E′_ij,Y_ij)，V_Uk，c_ij和FO的公钥pk_O。其中E′_ij＝E_ij*rk_O→Uk＝E_ij*hk_Uk*sk_O，包含了FO的私人密钥sk_O，显然要从E′_ij中分解出sk_O必须接在格格中求解最短向量等问题，所以FU企图从Ck_e中窥测到FO私钥sk_O的概率几乎为零。

证明完毕。

推理3，假设文件共享着FU与云服务提供商CSP共谋，FU将自己的私钥sk_Uk泄露给CSP，CSP企图得到其他文件使用者的明文和私钥sk_O的概率几乎为零。

定理3，假设文云服务提供商CSP是半诚实的，CSP会按照FO的要求存储FO的加密文件，当文件使用者FU需要访问文件块时，企图解密其他文件使用者的文件块的概率几乎为零。

证明：假如CSP与FU合谋，CSP将其他文件使用者的文件块Ck_e'＝(E″_ij,Y′_ij)，V′_Uk，c′_ij泄露给FU，FU计算hk'_Uk＝H(V′_Uk,sk_Uk*V′_Uk)，而FO计算的hk_Uk＝H(V′_Uk,pg'_Uk*v'_Uk)中包含有其他文件使用者的私钥等，pg'_Uk≠pg_Uk，所以hk'_Uk≠hk_Uk，c′_ij≠H(f′_ij||w')*hk'即FU利用解密是不可能得到正确的密文。

证明完毕。

推理4，假如CSP与FU合谋，CSP将其他文件使用者的文件块Ck_e'＝(E″_ij,Y′_ij)和FU的V_Uk，c_ij泄露给FU，FU企图解密其他文件使用者的文件块的概率几乎为零。

推理5，假如CSP与FU合谋，CSP用FU的Rk_O→Uk对其他文件使用者的文件块加密，并将加密后的Ck_e'＝(E″_ij,Y′_ij)和FU的V_Uk，c_ij泄露给FU，FU企图解密其他文件使用者的文件块的概率几乎为零。

计算开销分析

目前，有关代理重加密方案的研究成果大多数都是利用双线性对、RSA加密算法、Elgamal加密算法，方案中需要大量幂运算。本方案使用了NTRU算法，方案中只包括乘法运算等，避开计算量大的幂运算，提高整个方案计算速度。

设T_G表示一次群上的幂运算所用的时间，T_M表示一次群上的乘法运算所用的时间，T_N表示一次格上的乘法运算所用的时间，T_H表示一次hash运算所用的时间，与幂运算、乘法相比，异或等运算代价非常小，在此忽略不计。

本方案中，分割文件和生成文件块访问权限表时，不需要任何计算；加密分割文件块时，分别进行1次T_N和2次T_H运算；代理重加密文件块时，分别进行4次T_N和2次T_H运算运算；文件使用者解密时，包括验证在内，分别进行3次T_N和T_H运算，整个方案中没有T_G运算。

在本方案中，FO的计算量比较小，CSP计算成本相对较高，充分利用了CSP海量计算能力。由于CSP只将FU所需的重加密文件块发送给FU，FU的计算开销也比较低。

存储开销分析

本方案存储开销主要是加密的共享文件块，以及针对每个文件使用者的文件访问权限表。文件访问权限表集合实际上是一个稀疏矩阵，在实际应用中只需要存储非零数据就可以。本方案占用的存储开销也比较小。

通信开销分析

本方案通信开销主要是上传加密文件块和文件块权限表，本方案中CSP只将FU所需要的文件块发送给FU。所以，本方案的通信开销也比较小。

本文提出了一种基于NTRU算法的多用户文件共享控制方法，给出了方案的正确性和安全证明。与文献《云环境下多用户文件共享方案》(计算机研究与发展，2014，王中华)等现有的解决多用户文件共享方案相比，本方案在确保安全的前提下，利用了NTRU算法，避免了大量的指数运算，减少了计算开销、存储开销和通信开销，适合资源受限的客户端设备。

文件使用者FU每次访问文件时，并不一定需要访问属于自己权限下的所有文件块，有时只需要访问其中的部分文件块。这时可以在本方案的基础上，利用云环境下关键字密文检索技术，即FU在访问文件时，提交加密后的关键字等信息，CSP会根据FU提供的关键字，在FU可访问权限下的文件块中查找FU所需要的文件块，这将进一步减少FU的计算成本，同时也可以减少CSP与FU通信成本。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。

Claims (7)

1.一种云环境下多用户文件共享控制方法，其特征是，包括以下步骤：

步骤S1，FO首先将文件F分割成若干个文件块，利用NTRU加密算法生成自身的密钥对，利用公钥对各文件块进行加密获得原始密文传送至CSP；

步骤S2，FO为各FU分配一个身份标识，利用NTRU加密算法为各FU生成密钥对，然后将各密钥对和身份标识发送至对应的FU；并为每个FU设定各文件块访问权限生成访问权限表，然后将各FU的身份标识和访问权限表发送至CSP；

步骤S3，FO为各FU生成重加密密钥；然后将各FU的重加密密钥发送至CSP；

步骤S4，当某FU访问共享文件时，首先向CSP发送身份标识和访问请求，CPS依据其身份标识查询访问权限表获取允许其访问的文件块，利用重加密密钥对允许访问的文件块的原始密文进行加密获得重加密密文，将重加密密文发送至此FU；

步骤S5，FU对获得对应其访问权限的重加密密文，利用其私钥进行解密获得最终明文。

2.根据权利要求1所述的云环境下多用户文件共享控制方法，其特征是，在步骤S1中，FO在向云服务器上传文件F前，首先将文件F分割成不同的文件块，分割过程如下：

FO按记录的顺序，并以每个记录的属性值的个数为单位，将F分割成n*m个文件块，每个文件块用f_ij表示，其中1<＝i<＝n,1<＝j<＝m；n表示文件共有n个记录，m表示每个记录共有m个属性值；把文件F看成是一个n*m二维矩阵，即：

$F=\left|\begin{array}{ccccc}{f}_{11}& ...& f_{1j}& ...& f_{1m}\\ ...& ...& ...& ...& ...\\ f_{i1}& ...& f_{ij}& ...& f_{im}\\ ...& ...& ...& ...& ...\\ f_{n1}& ...& f_{nj}& ...& f_{nm}\end{array}\right|$

FO先将文件F分割成若干个不同的文件块f_ij，将每个文件块f_ij看成一个单位元文件，这样每个FU访问F中的内容是由若干个文件块f_ij组成的新文件。

3.根据权利要求1所述的云环境下多用户文件共享控制方法，其特征是，在步骤S1中，利用公钥对各文件块进行加密过程为：文件拥有者FO选择任意填充值w∈R，方法如下：

r_ij＝H(f_ij||w)，E_ij＝pk_O*r_ij，

令对f_ij进行加密后密文为cf_ij＝(E_ij,Y_ij)，则对文件F中各文件块加密后的矩阵CF为：

$CF=\left|\begin{array}{ccccc}{\mathrm{cf}}_{11}& ...& {\mathrm{cf}}_{1j}& ...& {\mathrm{cf}}_{1m}\\ ...& ...& ...& ...& ...\\ {\mathrm{cf}}_{i1}& ...& {\mathrm{cf}}_{ij}& ...& {\mathrm{cf}}_{im}\\ ...& ...& ...& ...& ...\\ {\mathrm{cf}}_{n1}& ...& {\mathrm{cf}}_{nj}& ...& {\mathrm{cf}}_{nm}\end{array}\right|$

其中1<＝i<＝n,1<＝j<＝m，FO将CF发送至CPS中，以供不同的FU使用。

4.根据权利要求1所述的云环境下多用户文件共享控制方法，其特征是，在步骤S2中，访问权限表的建立过程如下：

FO将文件F分割成n*m个文件块，FO为第k个FU生成权限访问表T_Uk＝{t_k11,t_k12,…,t_kij,…,t_knm}，其中t_kij＝1时，表示第k个FU可以访问CF中第i行，第j列的元素，t_kij＝0时，表示第k个FU不可以访问CF中第i行，第j列的元素；已知有t个FU，用T表示FU访问权限表的集合，则T＝{T_U1,…,T_Uk,…T_Ut}

FO将访问权限表T发送给CSP。

5.根据权利要求1所述的云环境下多用户文件共享控制方法，其特征是，在步骤S3中，FO为第k个FU生成重加密密钥Rk_O→Uk的过程如下：

v_Uk＝H(id_Uk,pk_Uk)，V_Uk＝pk_Uk*v_Uk，hk_Uk＝H(V_Uk,pg_Uk*v_Uk)，rk_O→UK＝hk_Uk*sk_O

根据第k个FU的权限访问表T_Uk，当t_kij＝1时，计算：c_ij＝r_ij*hk_Uk；

令C_Uk＝{…,c_ij,…}，其中1<＝i<＝n,1<＝j<＝m；

针对FU的重加密密钥为Rk_O→Uk＝(rk_O→Uk,V_Uk,C_Uk)。

6.根据权利要求1所述的云环境下多用户文件共享控制方法，其特征是，在步骤S4中，CSP完成代理重加密的过程以第k个FU向CSP请求共享文件为例，其具体重加密过程如下：

CSP在访问权限表集合T中查找第k个FU的访问权限T_Uk；根据T_Uk＝{t_k11,t_k12,…,t_kij,…,t_knm}，CSP逐一从CF中取出允许FU访问的文件块cf_ij，这里的i、j取决于T_Uk中的t_kij值，当t_kij＝1时，取出cf_ij，否则放弃该cf_ij；

假设FU可以访问CF中文件块cf_ij，CSP用Rk_O→Uk的rk_O→Uk对每个文件块cf_ij进行重加密，重加密后的密文用Ck_e表示，CSP计算：

E′_ij＝E_ij*rk_O→Uk，Ck_e＝(E′_ij,Y_ij)

令FU可以访问CF中f个文件块cf_ij，针对f个文件块的重加密密文集合CK_Uk为：CK_Uk＝{Ck₁,…,Ck_e,…Ck_f}，其中1<＝e<＝f；CSP将(CK_Uk,V_Uk,C_Uk)发送给FU。

7.根据权利要求1所述的云环境下多用户文件共享控制方法，其特征是，在步骤S5中，第k个FU收到密文后解密过程如下：

FU收到CSP发送的Ck_Uk＝{Ck₁,…,Ck_e,…Ck_f},V_Uk和C_Uk后，用自己的私钥sk_Uk对Ck_Uk中的每个元素Ck_e＝(E′_ij,Y_ij)进行解密，解密后明文文件块f_ij的集合用F_Uk表示，FU计算：

hk'_Uk＝H(V_Uk,H(sk_Uk)*V_Uk)，

验证c_ij＝H(f′_ij||w')*hk'是否成立，如果成立，则有：(f′_ij||w')＝(f_ij||w)，除却w，FU获得自己所需要明文文件块f_ij；令第e个元素Ck_e解密后获得的明文记为f_ije；当FU对Ck_Uk中的f个元素解密后，最终获得明文文件块的集合F_Uk为：

F_Uk＝{f_ij1,…,f_ije,…f_ijf}，其中1<＝i<＝n,1<＝j<＝m,1<＝e<＝f。