CN107959725B - 基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法 - Google Patents

Abstract

本发明公开了一种基于椭圆曲线的考虑用户隐私的发布‑订阅类服务协议，所述协议包括信息发布者、订阅者、以及与所述信息发布者和订阅者均通信连接的内容分发服务器，所述信息发布者、订阅者分别在所述内容分发服务器进行注册，所述协议还包括：所述信息发布者与所述订阅者利用椭圆曲线密钥交换算法建立两者的关注关系；基于所述关注关系，在所述内容分发服务器的审核成功后，所述订阅者获得所述信息发布者发布的信息。该协议在确保平台按既定模型正确运行的情况下，保护用户的隐私。

Description

基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法

技术领域

本发明属于信息安全技术领域，具体涉及一种基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法。

背景技术

发布订阅是一种消息模式(简称Pub/Sub)，其中包括非直接传递信息的publisher叫publish，和接收信息的subscriber叫subscribe。publisher把不同的消息进行分类，同时不需要知道subscriber是谁。subscriber订阅感兴趣的分类，并只接收订阅的分类中信息，同时也不需要知道publisher是谁。Pub/Sub服务的典型模式是订阅者订阅某一特定的消息队列，而发布者向特定的消息队列中发送消息。消息将由中间代理异步地传送给订阅者进行处理。Pub/Sub服务在诸多领域有着广泛的应用，因此对这类系统上的隐私保护研究是一个热门研究领域。

Pub/Sub服务依赖于中间代理的匹配算法和路由选择，而在信息加密的环境中完成这两个操作将会变得极其复杂。Shikfa等针对这一问题提出了基于可交换加密算法的隐私保护方案，该方案在保持中间代理正常执行其功能的同时阻止了其对数据内容的访问。Choi则提出了对信息进行等距同构，并通过对距离的运算来实现匹配算法和路由选择的方案，该方案可以有效减轻中间代理在执行对加密数据的匹配算法时负载偏高的问题。Raiciu则将基于属性的加密与Pub/Sub服务进行结合以实现一个不需要密钥共享的隐私保护Pub/Sub服务。

随着物联网(IoT)技术的发展，点对点的Pub/Sub系统(或称为无中间代理的Pub/Sub系统)的应用越来越广泛。点对点Pub/Sub系统的用户认证、匹配算法和路由选择均和常规的Pub/Sub系统有一定区别，因此其隐私保护方案和常规的Pub/Sub系统也有所不同。Tariq提出了一种由发布者管理订阅私钥，并利用基于身份的加密技术保护点对点Pub/Sub系统隐私的解决方案。而在IoT网络中，Pub/Sub系统隐私保护的功耗问题也成为了一个热门的研究方向。Barazzutti提出了利用布隆过滤算法和简单随机化方法对待匹配消息进行前置过滤以降低Pub/Sub系统功耗的解决方案。

现有的Pub/Sub服务从角色上可以分为订阅者、信息发布者、内容分发服务器。这类服务，其运行过程可以总结为：

(1)信息发布者和订阅者首先在内容分发服务器进行注册。

(2)信息发布者不定期的在内容分发服务器公布信息Topic，比如美食、医疗保健、政治宣讲、股票等信息。为了方便后续书写，后面我们将美食、医疗保健、政治宣讲、股票等标识内容重要信息的关键字称为HashTag，简称为HT。

(3)订阅者通过内容分发服务器向信息发布者就自己关心的内容比如某类型的信息，向信息发布者申请关注授权。

(4)信息发布者收到订阅者申请后，审核其资格并确定是否同意关注。

(5)信息发布者发布信息，包括信息内容、或信息链接，登入密码等信息。

(6)内容分发服务器将信息转给所有关注了该信息发布者该类信息的所有用户。

(7)订阅者成功接收来自内容分发服务器推送过来的信息。

在该过程中，存在严重的隐私信息泄露，主要有以下三个方面：

(1)订阅者隐私信息泄露给了内容分发服务器。用户在进入内容分发服务器后，由于需要内容分发服务器帮助转发关注申请、匹配和转发信息信息，用户的隐私信息如用户的爱好等将完全泄露给内容分发服务器。

(2)订阅者隐私信息泄露给了信息发布者。在提交关注申请的时候，信息发布者能准确知道关注他的订阅者关注的是哪类信息，这样订阅者的隐私信息也泄露给了信息发布者。

(3)信息发布者的信息泄露给了内容分发服务器。内容分发服务器由于承担了信息发布者和订阅者间信息的配对任务，因此内容分发服务器发布的信息对内容分发服务器来说是透明的。

发明内容

本发明的目的是提供一种基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法，该协议在确保平台按既定模型正确运行的情况下，保护用户的隐私。

为实现上述目的，本发明提供以下技术方案：

一种基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法，所述协议包括信息发布者、订阅者、以及与所述信息发布者和订阅者均通信连接的内容分发服务器，所述信息发布者、订阅者分别在所述内容分发服务器进行注册，所述协议还包括：

所述信息发布者与所述订阅者利用椭圆曲线密钥交换算法建立两者的关注关系；

基于所述关注关系，在所述内容分发服务器的审核成功后，所述订阅者获得所述信息发布者发布的信息。

本发明借助基于椭圆曲线的密钥交换算法和AES对称密钥加密算法解决信息发布者在不需要知道用户具体关注信息的情况下完成授权，内容分发服务器在不需要知道任何关注信息的情况下进行正确的盲匹配和数据转发，用户能在不泄露任何隐私的情况下正确接收和获取信息。能够保证后续信息交换的保密性，且该密钥交换算法计算过程简单，能够节省计算开销，提升信息交换速率，提升用户应用效果。

优选地，在建立关注关系前，所述内容分发服务器进行系统初始化，选定一条椭圆曲线作为整个系统中椭圆曲线密钥交换算法的基础，并公布选定椭圆曲线的参数T＝(q,a,b,G,n,h)。内容分发服务器的初始化，为后续的关注关系的确立以及公布信息的转发奠定基础，提升整个协议的稳定性和保密性。

优选地，所述信息发布者与所述订阅者利用椭圆曲线密钥交换算法建立两者的关注关系包括：

(a)所述订阅者发送包含加密信息μ的关注请求消息(订阅者,信息发布者,μ)至所述内容分发服务器以存储，所述加密信息μ＝F(H(tag))·r，其中，r为订阅者生成的随机数，tag为标注公布信息的关键字，H(*)为哈希函数，F(*)为将数据编码到椭圆曲线上的一点的函数；

(b)待所述信息发布者上线后，所述内容分发服务器转发所述关注请求消息(订阅者,信息发布者,μ)至所述信息发布者；

(c)所述信息发布者对所述订阅者资格审核通过后，对所述加密信息μ进行盲签名，生成盲签名信息μ′＝xμ，并返回包含所述盲签名信息的请求回应消息(订阅者,信息发布者,μ′)至所述内容分发服务器以存储，其中，x为所述信息发布者生成的随机数；

(d)所述订阅者接收到所述内容分发服务器转发的所述请求回应消息(订阅者,信息发布者,μ′)后，对所述盲签名信息μ′进行去忙操作，获得签名哈希值t，存储(信息发布者,tag,δ,t)，并发送包含所述签名哈希值t的确认关注消息(订阅者,信息发布者,t)至所述内容分发服务器以存储，至此，关注关系建立完成。

上述的标注公布信息的关键字tag可以为美食、股票、不孕不育、Stock、美食、旅游等，该些关键字与简介信息、标题信息一起被包含在公布信息topic内，由信息发布者发布。这样，订阅者在看到这些公布信息后，即可选择自己喜欢的内容进行关注。

优选地，所述信息发布者对所述订阅者资格审核通过包括：

若所述订阅者缴纳相应的费用，则对所述订阅者资格审核通过；或，

若所述订阅者满足所述信息发布者定制的审核条件，则对所述订阅者资格审核通过。

上述的审核条件为信息发布者根据自己的意愿自行设置的内容，这里不做限定。

优选地，所述对盲签名信息进行去盲操作，获得签名哈希值t包括：

计算签名δ＝r-1μ′(mod q)，其中，μ′(mod q)为模运算；

计算签名哈希值t＝H₂(δ)，其中，H₂(*)为哈希函数。

优选地，所述基于所述关注关系，在所述内容分发服务器的审核成功后，所述订阅者获得所述信息发布者发布的信息包括：

(a)所述信息发布者发布包含密文info_e、被加过密的密钥encKey、签名哈希值t^*的信息(info_e,encKey,t^*)至所述内容分发服务器；

(b)所述内容分发服务器判断满足条件，根据关注关系建立阶段存储的(U,C,t)格式的记录，比如(Alice,Bob,t)进行比较，确认(C＝信息发布者)∧(t＝t^*)后，发送消息(info_e,encKey,信息发布者,t)至所述订阅者；

(c)所述订阅者对接收的消息(info_e,encKey,信息发布者,t)进行解码，获得信息明文。

进一步地，所述密文info_e、encKey以及签名哈希值t^*通过以下方式获得：

info_e＝AESEnc_key(info_p)

δ^*＝xF(H(tag))

k^*＝H₁(δ^*)

t^*＝H₂(δ^*)

encKey＝AESEnc_k*(key)

其中，info_p为信息明文，H(*)、H₂(*)、H₁(*)为互不相同的哈希函数，AESEnc_key(*)表示以key为密钥的AES加密算法，AESEnc_k*(*)表示以k^*为密钥的AES加密算法。

优选地，所述对接收的消息(info_e,encKey,信息发布者,t)进行解码，获得信息明文包括：

恢复AES加密密钥key：

k＝H₁(δ)

key＝AESDec_k(encKey)

其中，AESDec_k(*)表示通过密钥k进行AES解密运算；

根据获得的密钥key，通过AES解密算法获得信息明文info_p：

info_p＝AESDec_key(info_e)。

其中，AESDec_key(*)表示通过密钥key进行AES解密运算。

在上述技术方案中，由于采用的是盲签名，所以信息发布者只知道某个订阅者关注了自己，但是不知道该订阅者关注的是哪类信息，能够保证订阅者订阅信息的保密性。

本发明与现有技术相比，具有的优点为：

1)订阅者的隐私获得了保护。因为其关注请求是加密信息，内容分发服务器能存储和转发，但是不能获得其原始信息；信息发布者是对加密的关注请求进行的盲签名，因此信息发布者只知道某个用户关注了他，但是不知道其关注的具体是哪类信息。

2)信息发布者的隐私获得了保护。因为存储的是加密信息，内容分发服务器能进行存储、匹配和转发，但是不能获得原始信息，只有是获得了授权关注的订阅者才能解密，获得正确信息，非授权用户无法进行解密。

3)算法中订阅者和信息发布者可以不同步，也就是不需要同时在线，完全以异步的方式完成关注关系的建立。这大大扩展了专利的使用范围。

附图说明

图1是实施例提供的基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法的流程示意图；

图2是实施例提供的关注关系建立过程的示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例本发明进行进一步的详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不限定本发明的保护范围。

图1是本实施例提供的基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法的流程示意图。参见图1，本实施例提供的服务协议包括三个阶段，分别为：

第一阶段：协议初始化和用户注册，主要是完成协议需要的一些参数，信息发布者和订阅者双方在内容分发服务器进行注册。

第二阶段：建立关注关系，订阅者通过包含tag的关注请求消息向信息发布者发起关注请求，信息发布者审核确认关注请求。在此过程中完成基于椭圆曲线的密钥交换算法。

第三阶段：发布和接收信息，信息发布者发布信息，服务器在无法获知tag明文内容的情况下完成以tag为基础的消息盲匹配，并将匹配的信息转发给对应订阅者。信息在发布和存储前先通过AES算法进行加密，并由接收方进行解密。

协议初始化和用户注册阶段包括以下内容：

协议初始化分为系统初始化和用户初始化。

在内容分发服务器上部署本协议算法时需要进行系统初始化。系统初始化时，内容分发服务器会选定一条椭圆曲线作为整个系统中椭圆曲线密钥交换算法的基础，并会将选定的椭圆曲线的参数T＝(q,a,b,G,n,h)公布，其中q、a、b定义了一个椭圆曲线的表达式。G为椭圆曲线上的任意一点，称为基点，椭圆曲线密码学中的密钥生成和加密操作均以该点为基础，n为基点G的阶，而

表示椭圆曲线阶与基点阶的比值。系统初始化过程只在系统部署时进行一次。

订阅者和信息发布者首先进行用户注册以获取登录凭据，当信息发布者进行注册时，需要进行用户初始化。用户初始时，信息发布者Bob则生成一个随机数x作为其身份识别码。该身份识别码只有信息发布者Bob自己持有，平台和订阅者不知道该值。

在协议初始化和用户注册阶段结束后，进行建立关注阶段。该阶段主要具体过程如图2所示，该过程中，本实施例主要使用了椭圆曲线加密算法这一工具，采用这种工具比采用RSA盲签名等工具，算法效率得到了极大提升，能有效提高本专利的使用效果，拓展本发明的适用范围。参见图2，建立关注的具体过程为：

S201：订阅者Alice向内容分发服务器发送期望关注信息发布者Bob的某类信息(假定由tag标识)的请求。具体地，Alice选择一个随机数r，并计算加密信息μ＝F(H(tag))·r，其中H(*)为哈希函数，F(*)为将数据编码到椭圆曲线上的一点的函数。然后，Alice将格式为(Alice,Bob,μ)的关注请求消息发送给内容分发服务器。

S202：内容分发服务器存储关注请求消息(Alice,Bob,μ)，当信息发布者Bob上线后，内容分发服务器将该关注请求消息(Alice,Bob,μ)转发给信息发布者Bob。

S203：信息发布者Bob对订阅者Alice进行资格审查，如果同意其关注，则计算盲签名信息μ′＝xμ，并将格式为(Alice,Bob,μ′)的请求回应消息发给内容分发服务器。

S204：内容分发服务器存储请求回应消息(Alice,Bob,μ′)，当订阅者Alice上线后，将该请求回应消息(Alice,Bob,μ′)转发给订阅者Alice。

S205：订阅者Alice获得请求回应消息(Alice,Bob,μ′)后，计算签名δ＝r^-1μ′(modq)和签名δ的哈希值t＝H₂(δ)，然后订阅者Alice存储消息(Bob,tag,δ,t)，并向内容分发服务器发送确认关注消息(Alice,Bob,t)，其中H₂(*)为不同于H(*)的另一个哈希函数。本实用新型中提到的哈希函数可以是任意的有效哈希函数。

S206：内容分发服务器存储确认关注消息(Alice,Bob,t)，供以后盲匹配使用。

至此，订阅者Alice与信息发布者Bob建立了关注关系。

在关注关系建立的基础上，进行信息发布，具体过程为：

S301：记信息发布者Bob需要发布的信息明文为info_p，info_p包含信息流的访问地址，用tag表示公布信息类型；在消息发布之前，信息发布者Bob首选选择一个随机数key作为AES加密的密钥，并将消息明文用AES加密算法进行加密，得到密文info_e。

info_e＝AESEnc_key(info_p)(1)

S302：首先，信息发布者Bob进行以下计算：

δ^*＝xF(H(tag))(2)

k^*＝H₁(δ^*)(3)

t^*＝H₂(δ^*)(4)

encKey＝AESEnc_k*(key)(5)

其中，H(*)、H₂(*)、H₁(*)均为哈希函数，AESEnc_key(*)表示以key为密钥的AES加密算法，AESEnc_k*(key)表示以k^*为密钥的AES加密算法，

然后，信息发布者Bob向内容分发服务器发送发布消息(info_e,encKey,t^*)。

S303：内容分发服务器收到信息(info_e,encKey,t^*)后，首先，进行存储，并将信息(info_e,encKey,t^*)与关注关系建立阶段存储的(U,C,t)格式的记录比如(Alice,Bob,t)进行比较，如果满足以下条件：

(C＝Bob)∧(t＝t^*)(6)

则订阅者Alice关注了消息发布者Bob发布的该信息，匹配成功，内容分发服务器将消息(info_e,encKey,Bob,t)转发给订阅者Alice。

在信息发布的基础上，进行信息的接收和解码，具体过程为：

S401：订阅者Alice收到消息(info_e,encKey,Bob,t)，找到本地存储中与(Bob,t)相对应的签名δ，通过下面的计算，恢复AES加密密钥key：

k＝H₁(δ)(7)

key＝AESDec_k(encKey)(8)

其中，AESDec_k(*)表示通过密钥k进行AES解密运算。

如果由于系统执行过程中发生错误或网络攻击导致非授权用户获取到了消息，由于订阅者没有与(Bob,t)相对应的δ，因此无法计算出k并解密key，因此订阅者无法正确解密出消息明文，也就无法解码和阅读信息内容。

S402：根据所获得的密钥key，通过AES解密算法，采用式(9)对密文info_e进行解密，获得信息明文info_p；

info_p＝AESDec_key(info_e)(9)

至此，订阅者正确的接收和解码了信息，获得了信息明文info_p。

本实施例利用基于椭圆曲线的私密交换算法和AES对称密钥加密算法解决信息发布者Bob在不需要知道用户具体关注信息的情况下完成授权，内容分发服务器在不需要知道任何关注信息的情况下进行正确的盲匹配和数据转发，用户能在不泄露任何隐私的情况下正确接收和获取信息。

以上所述的具体实施方式对本发明的技术方案和有益效果进行了详细说明，应理解的是以上所述仅为本发明的最优选实施例，并不用于限制本发明，凡在本发明的原则范围内所做的任何修改、补充和等同替换等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法，所述方法包括信息发布者、订阅者、以及与所述信息发布者和订阅者均通信连接的内容分发服务器，所述信息发布者、订阅者分别在所述内容分发服务器进行注册，其特征在于，所述方法还包括：

所述信息发布者与所述订阅者利用椭圆曲线密钥交换算法建立两者的关注关系，包括：

(a)所述订阅者发送包含加密信息μ的关注请求消息(订阅者,信息发布者,μ)至所述内容分发服务器以存储，所述加密信息μ＝F(H(tag))·r，其中，r为订阅者生成的随机数，tag为标注公布信息的关键字，H(*)为哈希函数，F(*)为将数据编码到椭圆曲线上的一点的函数；

(b)待所述信息发布者上线后，所述内容分发服务器转发所述关注请求消息(订阅者,信息发布者,μ)至所述信息发布者；

(c)所述信息发布者对所述订阅者资格审核通过后，对所述加密信息μ进行盲签名，生成盲签名信息μ′＝xμ，并返回包含所述盲签名信息μ′的请求回应消息(订阅者,信息发布者,μ′)至所述内容分发服务器以存储，其中，x为所述信息发布者生成的随机数；

(d)所述订阅者接收到所述内容分发服务器转发的所述请求回应消息(订阅者,信息发布者,μ′)后，对所述盲签名信息μ′进行去盲操作，获得签名哈希值t，存储(信息发布者,tag,δ,t)，并发送包含所述签名哈希值t的确认关注消息(订阅者,信息发布者,t)至所述内容分发服务器以存储，至此，关注关系建立完成，δ为签名；

基于所述关注关系，在所述内容分发服务器的审核成功后，所述订阅者获得所述信息发布者发布的信息，包括：

(a)所述信息发布者发布包含密文info_e、被加过密的密钥encKey、签名哈希值t^*的信息(info_e,encKey,t^*)至所述内容分发服务器；其中，所述密文info_e、encKey以及签名哈希值t^*通过以下方式获得：

info_e＝AESEnc_key(info_p)

δ^*＝xF(H(tag))

k^*＝H₁(δ^*)

t^*＝H₂(δ^*)

其中，info_p为信息明文，H(*)、H₂(*)、H₁(*)为互不相同的哈希函数，AESEnc_key(*)表示以key为密钥的AES加密算法，

表示以k^*为密钥的AES加密算法；

(b)所述内容分发服务器，根据关注关系建立阶段存储的(U,C,t)格式的记录进行比较，判断满足条件(C＝信息发布者)∧(t＝t^*)后，发送消息(info_e,encKey,信息发布者,t)至所述订阅者；

(c)所述订阅者对接收的消息(info_e,encKey,信息发布者,t)进行解码，获得信息明文。

2.如权利要求1所述的基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法，其特征在于，在建立关注关系前，所述内容分发服务器进行系统初始化，选定一条椭圆曲线作为整个系统中椭圆曲线密钥交换算法的基础，并公布选定椭圆曲线的参数T＝(q,a,b,G,n,h)；

其中q、a、b定义了一个椭圆曲线的表达式，G为椭圆曲线上的任意一点，称为基点，椭圆曲线密码学中的密钥生成和加密操作均以该点为基础，n为基点G的阶，而h表示椭圆曲线阶与基点阶的比值。

3.如权利要求2所述的基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法，其特征在于，所述对盲签名信息进行去盲操作，获得签名哈希值t包括：

计算签名δ＝r^-1μ′(mod q)，其中，μ′(mod q)为模运算；

计算签名哈希值t＝H₂(δ)，其中，H₂(*)为哈希函数。

4.如权利要求1所述的基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法，其特征在于，所述对接收的消息(info_e,encKey,信息发布者,t)进行解码，获得信息明文包括：

接收的消息(info_e,encKey,信息发布者,t)，找到本地存储中与(信息发布者,t)相对应的签名δ，恢复AES加密密钥key：

k＝H₁(δ)

key＝AESDec_k(encKey)

其中，AESDec_k(*)表示通过密钥k进行AES解密运算；

根据获得的密钥key，通过AES解密算法获得信息明文info_p：

info_p＝AESDec_key(info_e)

其中，AESDec_key(*)表示通过密钥key进行AES解密运算。

5.如权利要求1所述的基于椭圆曲线的考虑发布与订阅双方隐私的数据交互方法，其特征在于，所述信息发布者对所述订阅者资格审核通过包括：

若所述订阅者缴纳相应的费用，则对所述订阅者资格审核通过；或，

若所述订阅者满足所述信息发布者定制的审核条件，则对所述订阅者资格审核通过。

Images