CN108763944B - 雾计算中安全可撤销多中心大属性域属性基加密方法 - Google Patents

Abstract

本发明提供了雾计算中安全可撤销多中心大属性域属性基加密方法，属于加密领域，包括构建全局参数Param；以全局参数Param和权限机构θ索引为输入，得到公钥PK_θ和私钥SK_θ；给具有属性att∈U的用户GID产生私钥SK_GID,att；在权限机构θ处以撤销列表RL为输入得到{KU_θ,N}，在雾中为所有未撤销的具有属性T(att)＝θ的用户产生重加密密钥RK_θ；将消息M、访问策略(A,δ)以及权限机构的密钥PK_θ作为输入，得到密文C，并对密文C的有效性进行验证；在雾中对密文C进行计算，得到重加密密文C`，将得到的重加密密文保存在雾中。通过实现雾计算中灵活的细粒度访问控制，且支持大属性域以满足雾计算实际应用中的各种需求,实现了适用于雾计算中资源受限设备的密钥的高效撤销,具有抗选择密文攻击安全性。

Description

雾计算中安全可撤销多中心大属性域属性基加密方法

技术领域

本发明属于加密领域，特别涉及雾计算中安全可撤销多中心大属性域属性基加密方法。

背景技术

云计算中终端用户从云中心上传请求并下载结果，这样似乎为大量数据的处理提供了理想的解决方案。然而这种模式在某些情况下是不适用的，例如无线接入传感器网络和移动节点中的延迟敏感应用。为填补这个空白，雾计算将云计算扩展到网络的边缘，以便实现数据流和实时应用的低延迟和定位。如无线传感器的资源受限终端用户设备被应用于雾，以实现对连接车辆、智能电网、无线传感器和执行器网络等的实时智能计算。雾计算具有广阔的应用前景，但存在信息安全问题。然而考虑到效率和安全级别，为保护雾中的信息安全，云计算中的现有密码方案不能直接应用于雾。

属性基加密(ABE)(1)是实现细粒度访问控制的一个很好的密码系统。用户根据其属性由授权中心生成私钥，数据拥有者不知道目标接收者的具体身份而根据属性对数据进行加密，只有符合要求属性的用户才能访问该消息。然而与中心化的云不同，雾中的终端用户设备在地理上是广泛分布的，且雾中的传感器具有各种属性。显然，数十亿个具有不同属性的终端节点从其地理上孤立的雾中获得私有密钥，一个中心化的属性授权中心不能满足雾的要求，尤其是在效率方面(2)。此外，属性可能是各种各样的，被表示为各种字符串。因此，属性域应该足够大以使系统具备灵活性。

虽然为使得ABE更加灵活，现已提出了许多多中心大属性域ABE(LU-MA-ABE)方案，但这些方案是基于复合阶双线性群构造的，计算效率并不理想。近期Rouselakis和Waters(3)提出了一个高效的素数双线性群的LU-MA-ABE，它极为灵活且高效。然而，该方案仅对选择明文攻击(CPA)具有静态安全性，弱于针对选择密文攻击(CCA2)的语义安全。传统方式中，一次性签名被应用于提高针对CCA2的CPA安全性，代价是操作时间更长。如何牺牲更少的效率来将高效CPA-secure LU-MA-ABE提升为CCA2-secure LU-MA-ABE是一个亟待解决的难题。对于有限的端节点来说，被篡改或非法加密的消息会给雾造成无意义的延迟，在这种情况下确实需要一个公开的验证机制将其滤除。

另外，雾中大量的节点也给管理带来了问题。一旦数十亿节点中的一个泄露了其私钥，作出非法行为或其属性发生变化，授权中心应该撤销其私钥。在现有的LU-MA-ABE方案中，主管部门必须逐一更新所有未被撤销的节点的密钥，或者对未撤销的节点进行复杂的计算，如此将大大降低雾的效率或增加所用设备的能耗。

发明内容

为了解决现有技术中存在的缺点和不足，本发明提供了雾计算中安全可撤销多中心大属性域属性基加密方法，用于提高雾计算中计算效率。

为了达到上述技术目的，本发明提供了雾计算中安全可撤销多中心大属性域属性基加密方法，所述属性基加密方法，包括：

构建全局参数Param；

以全局参数Param和权限机构θ索引为输入，得到公钥PK_θ和私钥SK_θ；

给具有属性att∈U的用户GID产生私钥SK_GID,att；

在权限机构θ处以撤销列表RL为输入得到{KUθ,N}

在雾中为所有未撤销的具有属性T(att)＝θ的用户产生重加密密钥RK_θ；

将消息M、访问策略(A,δ)以及权限机构的密钥PK_θ作为输入，得到密文C，并对密文C的有效性进行验证；

在雾中对密文C进行计算，得到重加密密文C`，将得到的重加密密文保存在雾中。

可选的，所述属性基加密方法，还包括：

在具有属性att的解密器GID中运行解密算法，得到结果M。

可选的，所述属性基加密方法，还包括：

在每个权限机构中，从一个用户GID中撤销特定属性att。

可选的，所述将消息M、访问策略(A,δ)以及权限机构的密钥PK_θ作为输入，得到密文C，包括：

定义一个函数

为ρ(·)＝T(δ(·))以将行映射到权限机构；

随机选取了

创建了向量

和

令

表示z的对应于行x的份额，令

表示0的份额，

其中

是x——矩阵A的行，令

对于A的每一行x，随机选取指数

和

并计算密文

本发明提供的技术方案带来的有益效果是：

通过实现雾计算中灵活的细粒度访问控制，且支持大属性域以满足雾计算实际应用中的各种需求,实现了适用于雾计算中资源受限设备的密钥的高效撤销,具有抗选择密文攻击安全性。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明提供的加密方法的流程示意图。

具体实施方式

为使本发明的结构和优点更加清楚，下面将结合附图对本发明的结构作进一步地描述。

实施例一

本发明提供了雾计算中安全可撤销多中心大属性域属性基加密方法，为该可撤销多中心大属性域CP-ABE定义了对于权限选择、访问策略以及静态适应性选择密文攻击具有不可区分性(IND-sAA-sCCA2)。用Π＝{GSetup,ASetup,KeyUp,KeyUp,RKGen,Enc,ReEnc,Dec}表示这个系统。

在这个安全模型中，攻击者可以查询与任何访问策略相关的秘密密钥以及其选定的任何密文的解密，但它不能查询挑战码的解密，如果它查询与其特定的访问策略相关的密钥，它只能在阶段1中执行此操作，并且必须立即撤销其选定的其中一个属性。

如图1所示，所述属性基加密方法，包括：

11、构建全局参数Param；

12、以全局参数Param和权限机构θ索引为输入，得到公钥PK_θ和私钥SK_θ；

13、给具有属性att∈U的用户GID产生私钥SK_GID,att；

14、在权限机构θ处以撤销列表RL为输入得到{KUθ,N}

15、在雾中为所有未撤销的具有属性T(att)＝θ的用户产生重加密密钥RK_θ；

16、将消息M、访问策略(A,δ)以及权限机构的密钥PK_θ作为输入，得到密文C，并对密文C的有效性进行验证；

17、在雾中对密文C进行计算，得到重加密密文C`，将得到的重加密密文保存在雾中。

形式上，IND-sAA-sCCA2安全模型是通过对手与挑战者之间的以下竞争来定义的：

初始：对手

选择一个挑战访问策略(A^*，δ^*)并选择一组腐败授权中心

然后把他们送至挑战者

准备：挑战者

把公共参数Param发送至

阶段1：对手

遵循查询静态发布。

授权中心查询准备：

输出一组未腐化授权中心，

建立起被查询的授权中心。

秘钥查询：

用其全部属性为用户产生私钥查询，

产生私钥给

如果被查询的属性组满足被选中的访问政策，

必须从所有的用户撤回其中的一个属性。

撤回查询：

查询以撤销某些特定属性的用户。

将身份和属性添加到撤销列表中，并将密钥更新到所有未被撤销的用户，然后要求重新加密应该被查询以使用最新的重新加密密钥来重新加密密文。

重新加密查询：

运行该算法，然后

运行ReEnc算法以获得最新的加密密钥并将其作为输入以获得重新加密的密文。

加密查询：

使用访问策略对密文进行解密查询。然后

为这种访问策略生成私钥并解密以响应

挑战：

使用访问策略对密文进行解密查询。然后

为这种访问策略生成私钥并解密以响应

挑战。

提交与

等长的两条消息M0，M1。然后

翻转一个随机硬币b∈{0,1}，并用选定的访问策略加密Mb。在用最新的重新加密密钥重新加密之后，重新加密的密文被返回到

阶段2：

和

的处理过程与阶段1中的相同，不同之处在于

不能针对选定访问策略或挑战密文的解密查询进行秘密密钥查询。

猜测：最后，

输出猜测b'∈{0,1}，并在game'＝b时在游戏中获胜。

定义3：对于任何使用概率多项式时间算法的对手

可撤销多中心大属性域CP-ABE对选择权和访问策略以及静态选择的密文攻击是无法区分的，打破以上定义的安全游戏的优势最多是一个可以忽略不计功能。

本加密方法的执行主体由五部分组成，分别是云、雾、授权中心、数据所有者和数据访问者。云可以完成传统的云计算任务，云端边缘有许多雾。每个雾可以管理其本地终端节点的轻量级计算任务，包括各种传感器和设备。当传感器收集并上传数据到雾中时，将传感器视为数据所有者。而当一个设备运行某个向雾请求数据的应用程序时，将设备视为数据访问者。

云建立这个系统并且声明系统参数。在每个雾中，一些授权中心为节点生成属性化的密钥。数据访问者可以向授权中心查询与其属性相对应的密钥。在数据所有者将数据上传到雾之前，他们将决定数据访问者访问这些数据的属性，并按照要求的访问策略加密数据。当雾获得密文时，它可以在不解密或不知道任何秘密密钥的情况下验证密文的有效性，只有在密文由被声明的属性加密而没有被篡改的情况下，才能在这个雾中传输。如果数据访问者的属性符合数据的访问策略，则可以解密密文并获取数据。另外，如果某个数据访问者的属性被撤销，则该属性对应的密钥将被授权中心撤销，雾将得到该撤销列表并重新加密密文，以防止被撤销的用户对其进行解密。为了实现上述功能，这个系统由多项式时间算法组成，定义如下：

1)GSetup(1^λ)→Param：云运行该算法来建立这个系统，它接收安全参数并输出雾的系统参数。

2)ASetup(θ)→(PKθ,SKθ)：授权中心运行这个算法来建立授权中心的公钥和私钥。它接收授权中心的参数并输出授权中心的公钥和私钥。然后授权中心发布公钥并秘密保存私钥。

3)KeyGen(GID,θ,att,SKθ)→SKGID,att：授权中心运行这个算法来生成私钥。授权中心接收数据访问者GID的属性att和授权中心的公钥，输出数据访问者的私钥。

4)KeyUp(BTθ,RL)→{KUθ,N}：授权中心运行此算法来更新未被撤销数据访问者的密钥。它将接收撤销列表和一个二叉树，并输出更新后的私钥重新加密部分，然后将其发送给未被撤销的数据访问者和雾。

5)RKGen({KNθ,N},{KUθ,N})→RKθ/：雾和未被撤销的数据访问者运行此算法以获取更新后的重新加密密钥。它接收SKGID,att的一部分{KUθ,N}和{KNθ,N}，并输出结果的重新加密密钥。

6)Enc(M,(A,δ),{PKθ})→C：数据所有者运行这个算法来加密具有相应访问策略的消息。它接收该信息及其访问策略和相关授权中心的公钥。

7)Verify(C,(A,δ))→True/False：该算法可以公开运行来验证密文的有效性，通常它是由雾运行的。它接收密文和访问策略，如果密文有效则输出True。

8)ReEnc(C,RKatt)→C′：雾运行此算法重新加密密文，以防止被撤销的用户解密它。

9)Dec(C′,RKθ,{SKGID,att})→M：数据访问者运行该算法对密文进行解密，如果数据访问者不符合访问策略或者某些对应的属性已被撤销，则不能正确解密密文。

10)Rev(GID,att,RL)→RL：授权中心运行这个算法以将具有属性att的被撤销的用户GID添加到撤销列表中。

具体的本实施例提出的加密方法分为如下十个步骤。

步骤一、GSetup(1^λ)→Param：云运行该算法，将系统安全参数1^λ输入。它选择一个素数阶双线性群发生器

并且执行

它随机挑选指数

作为主密钥,并且计算

为公钥。因为标识和属性通常是以字符串的形式表示,它选择一个函数H以将GID映射到

的元素,选择另一个函数F将属性映射到

的元素。

随后定义属性域

和权限机构域

则

是一种可公开计算的函数，将每个属性映射到一个唯一的权限机构，例如，T可将"att_i@θ_i"映射到它的权限机构"θ_i"。它还初始化一个撤销列表

最后，它选择了一个变色龙哈希函数

并且执行KeyGen_ch(1^λ)→(SK_ch，PK_ch)。因此全局参数是

也是以下所有算法的输入，为求简便而省略之。

步骤二、ASetup(θ)→(PK_θ，SK_θ)：该管理程序运行该算法，并将全局参数Param和权限机构索引

作为输入。它随机选择了两个指数

，然后发布公钥

保存私钥SK_θ＝(α_θ，β_θ)。

步骤三、KeyGen(GID，θ，att，SK_θ)→SK_GID，att：为了给具有属性

的用户GID产生私钥，该管理程序运行该算法如下：

首先，若BT_θ还不存在，则它建立一个二叉树BT_θ，每个具有属性T(att)＝θ的用户被分配为结点，树的高度随用户数量的增加而增加。

对于二叉树BT_θ的每一个结点N，随机选取

随后，权限机构θ随机选取了

并计算

K′_GID，att＝g^r。最后，它输出SK_GID，att＝(K_GID，att，K′_GID，att，{KN_θ，N}_{N∈Path(GID)}),将SK_GID，att赋予用户GID，并将(BT_θ，{KN_θ，N}_{N∈Path(GID)})赋予雾。

步骤四、KeyUp(BT_θ，RL)→{KU_θ，N}：这个算法是由权限机构θ执行的。它以撤销列表RL和θ所有的二叉树BT_θ为输入，并为BT_θ随机选取

并公布

步骤五、RKGen({KN_θ，N}，{KU_θ，N})→RK_θ/⊥：这个算法由用户GID执行，由雾为所有未撤销的具有属性T(att)＝θ的用户产生重加密密钥RK_θ。如果

则返回⊥，否则，计算

N∈Path(GID)∩KUNode(BT_θ，RL)并计算重加密密钥

步骤六、Enc(M，(A，δ)，{PK_θ})→C：该算法由消息发送者运行。它将消息M、访问策略(A，δ)

和相关权限机构的公钥{PK_θ}(θ＝T(att))作为输入。

定义一个函数

为ρ(·)＝T(δ(·))以将行映射到权限机构。

随后，它随机选取了

并创建了向量

和

让

表示z的对应于行x的份额，让

表示0的份额，其中

是x——矩阵A的行。令

对于A的每一行x，随机选取指数

和

并计算密文

如下：

步骤七、Verify(C，(A，δ))→True/False：此算法是由该系统的所有元素执行的。首先计算V′＝H_ch(PK_ch，PK_ch||C\C_4.0，r_ch)并且通过如下计算验证密文的有效性：

如果所有这些等式都成立，则意味着密文被属性att准确地加密，没有被恶意篡改，随后输出True。

否则输出False。

步骤八、ReEnc(C，RK_att)→C′：此算法由雾执行。

雾通过计算

重新加密了密文。随后密文C′会被安全地存放在雾中。

步骤九、Dec(C′，RK_θ，{SK_GID，att})→M/⊥：该算法是由具有属性att的解密器GID运行的。它首先计算了除却

情况下的原有密文C＝C′。随后通过算法Verify(C，(A，δ))中的等式(1)(2)(3)验证了密文的有效性。令(A，δ)作为密文的访问策略。如果算法Verify(C，(A，δ))输出True，则计算：

随后计算了满足

的常量

对于

和

有

和

最后，解密器计算：

步骤十、Rev(GID，att，RL)→RL:该算法由每个权限机构运行，以从一个用户GID中撤销某个特定的属性att。它只将此用户的身份和被撤销的属性添加到撤销列表RL中。

本发明提供了雾计算中安全可撤销多中心大属性域属性基加密方法，包括构建全局参数Param；以全局参数Param和权限机构θ索引为输入，得到公钥PK_θ和私钥SK_θ；给具有属性att∈U的用户GID产生私钥SK_GID,att；在权限机构θ处以撤销列表RL为输入得到{KU_θ,N}，在雾中为所有未撤销的具有属性T(att)＝θ的用户产生重加密密钥RK_θ；将消息M、访问策略(A,δ)以及权限机构的密钥PK_θ作为输入，得到密文C，并对密文C的有效性进行验证；在雾中对密文C进行计算，得到重加密密文C`，将得到的重加密密文保存在雾中。通过实现雾计算中灵活的细粒度访问控制，且支持大属性域以满足雾计算实际应用中的各种需求,实现了适用于雾计算中资源受限设备的密钥的高效撤销,具有抗选择密文攻击安全性。

上述实施例中的各个序号仅仅为了描述，不代表各部件的组装或使用过程中的先后顺序。

以上所述仅为本发明的实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (3)

1.雾计算中安全可撤销多中心大属性域属性基加密方法，其特征在于，所述属性基加密方法，包括：

构建全局参数Param；

以全局参数Param和权限机构θ索引为输入，得到公钥PK_θ和私钥SK_θ；

给具有属性att∈U的用户GID产生私钥SK_GID,att；

在权限机构θ处以撤销列表RL为输入得到{KU_θ,N}

在雾中为所有未撤销的具有属性T(att)＝θ的用户产生重加密密钥RK_θ；

将消息M、访问策略(A,δ)以及权限机构的密钥PK_θ作为输入，得到密文C，并对密文C的有效性进行验证；

在雾中对密文C进行计算，得到重加密密文C｀，将得到的重加密密文保存在雾中；

所述将消息M、访问策略(A,δ)以及权限机构的密钥PK_θ作为输入，得到密文C，包括：

定义一个函数

为ρ(·)＝T(δ(·))以将行映射到权限机构；

随机选取了z，v₂，...，v_n，ω₂，...，

创建了向量

和

令

表示z的对应于行x的份额，令

表示0的份额，

其中

是x——矩阵A的行，令

对于A的每一行x，随机选取指数

和

并计算密文C＝(C₀，{C_1,x,C_2,x,C_3,x,C_4,x，}∈[0,1]，r_ch)。

2.根据权利要求1所述的雾计算中安全可撤销多中心大属性域属性基加密方法，其特征在于，所述属性基加密方法，还包括：

在具有属性att的解密器GID中运行解密算法，得到结果M。

3.根据权利要求1所述的雾计算中安全可撤销多中心大属性域属性基加密方法，其特征在于，所述属性基加密方法，还包括：

在每个权限机构中，从一个用户GID中撤销特定属性att。

Images