CN108924103B

CN108924103B - 面向云存储的基于身份的在线/离线可搜索加密方法

Info

Publication number: CN108924103B
Application number: CN201810641105.3A
Authority: CN
Inventors: 项顺伯; 徐兵; 吴宪君; 王爱国
Original assignee: Guangdong University of Petrochemical Technology
Current assignee: Guangdong University of Petrochemical Technology
Priority date: 2018-06-22
Filing date: 2018-06-22
Publication date: 2021-04-16
Anticipated expiration: 2038-06-22
Also published as: CN108924103A

Abstract

本发明公布一种面向云存储的基于身份的在线/离线可搜索加密方法。本发明的对象包括：数据拥有者、云服务器和数据接收者。本发明中将基于身份的可搜索加密过程分成离线和在线两个阶段，分别由数据拥有者和数据接收者完成。数据拥有者先计算不含关键字的离线密文，再计算含关键字的在线密文，然后将密文上传至云服务器。当数据接收者检索密文前，先离线计算不含关键字的陷门，再计算含关键字的在线陷门，然后将部分离线陷门和所有在线陷门发送给云服务器。云服务器测试成功后，将文件密文发送给数据接收者。本发明中，数据拥有者或数据接收者首先完成离线状态下的大量且复杂的计算，再完成计算量相对较小的在线计算，因此效率高。

Description

面向云存储的基于身份的在线/离线可搜索加密方法

技术领域

本发明归属于网络安全技术领域，具体涉及基于身份的可搜索加密方法，尤其是一种面向云存储的基于身份的在线/离线可搜索加密方法。

背景技术

云存储作为一种新颖的数据外包技术，可一定程度上节省或减少数据拥有者的本地计算资源和存储资源，这使得云存储成为研究和应用的热门问题。云存储中最重要的是云服务器，数据拥有者将数据存储在云服务器上，但是云服务器并不安全，数据不能以明文形式存储在云服务器上，所以数据拥有者在外包数据之前，先对数据进行加密，然后将密文传送给云服务器进行存储，但接下来查找和搜索密文变成难题，这引出了可搜索加密的解决方法。

在可搜索加密中，数据的属主称为数据拥有者，需要数据的用户称为数据接收者，数据拥有者也可以是数据接收者，这就是所谓的数据独享，否则称为数据共享。可搜索加密根据加解密密钥之间的关系，分为私钥可搜索加密和公钥可搜索加密两种。私钥可搜索加密在2000年被提出，其优点很明显，缺点在于密钥分发和密钥管理存在安全问题，于是在2004年，公钥可搜索加密被提出。公钥可搜索加密借助传统公钥加密的内容，由加密密钥无法推断或计算出解密密钥。相对于私钥可搜索加密，公钥可搜索加密显得繁杂和笨重，但不存在私钥泄露的安全问题，从而使得公钥可搜索加密成为研究和应用的热点。

目前，公钥可搜索加密可分为基于身份的可搜索加密、无证书的可搜索加密以及基于属性的可搜索加密等几种。基于身份的可搜索加密中，数据拥有者和数据接收者的公钥是其身份信息的某种计算，如身份信息的哈希函数，而私钥是由私钥生成中心通过身份信息计算得出的，然后私钥再传递给数据拥有者或数据接收者。数据拥有者用数据接收者的公钥加密数据及数据中的关键字，然后上传这两者的密文到云服务器，数据接收者根据关键字从云服务器上检索对应的密文，如果密文存在，下载密文后用私钥解密获得明文。

现有的各类基于身份的可搜索加密方法中，存在各种问题，其中一个重要的问题就是未能考虑通信网络状态不正常时对可搜索加密的影响，也就是说，目前的各类基于身份的可搜索加密方法仅仅考虑在线的情况，而忽略了离线情况，不管是数据拥有者上传密文还是数据接收者下载密文，都是在线进行的，假若在上传密文或下载密文之前，网络是断开的或者网络连接断断续续，基于身份的可搜索加密是如何工作的，目前还未给出有效的解决方法。随着无线网络的普及，而无线网络比有线网络更容易受到干扰而造成中断，所以非常有必要考虑网络非正常时基于身份的可搜索加密是如何工作的情形。

发明内容

针对现有基于身份的可搜索加密技术或方法中的上述缺陷，即网络状态不佳对可搜索加密的影响，本发明提出一种面向云存储的基于身份的在线/离线可搜索加密方法，该方法中，将可搜索加密分成两个阶段：离线和在线，分别由数据拥有者和数据接收者完成。当网络状态不佳时，可搜索加密技术中先离线完成相关工作，等网络状态正常后，在线完成后续的工作。本发明中具体涉及三种对象：数据拥有者、云服务器和数据接收者，其中数据拥有者和数据接收者唯一。本发明中的私钥生成中心PKG是诚实可信的，即不存在密钥托管问题。

本发明：面向云存储的基于身份的在线/离线公钥可搜索加密方法，其具体技术方案通过如下步骤执行：

(1)系统初始化及参数设立。该步骤由PKG执行完成，选取本发明中所需要的密码学内容，设置相关参数，并秘密保留一些参数，也对外公开一些必要的参数；

(2)数据接收者和云服务器私钥建立。该步骤由PKG执行完成。本发明中基于身份的内容体现在此，数据接收者和云服务器的公钥通过运算其身份信息的哈希函数获得，该身份信息对外公开，公钥也对外公开。PKG利用数据接收者和云服务器的公钥通过相关计算获得其私钥，再通过秘密途径将私钥发送给数据接收者和云服务器；

(3)不含关键字的离线密文的生成。该步骤无需考虑网络状态是否正常，由数据拥有者离线完成，而且该步骤的计算与需要存储在云服务器上的关键字及对应的文件无关，通过相关公开参数计算实现；

(4)含关键字的在线密文的生成。该步骤需要在线进行，由数据拥有者完成，需要云服务器和数据接收者的身份信息，也需要存储或数据接收者检索查询的关键字的参与，该步骤完成后，数据拥有者需要将相关密文在线发送给云服务器存储；

(5)不含关键字的离线陷门的生成。该步骤无需考虑网络状态是否正常，由数据接收者离线完成，实现过程中与待查询检索的关键字无关；

(6)含关键字的在线陷门的生成。该步骤需要在线进行，由数据接收者完成，完成后需要在线将必要的陷门内容发送给云服务器，该步骤的实现需要云服务器和数据接收者的身份信息及待检索查询的关键字信息；

(7)云服务器的测试及验证。该步骤由云服务器完成。云服务器收到数据接收者发来的陷门信息后，测试验证陷门信息是否与存储的关键字是否匹配，如果匹配，将数据接收者需要的文件的密文发送给数据接收者，否则，终止数据接收者的检索查询操作。

本发明的特点在于，

上述步骤(1)具体为系统初始化及参数设立算法。所述算法记为InitSetup，具体为：给定安全参数l，PKG选择阶为大素数q的两个循环群(G₁,+)和(G₂,·)，P是G₁的生成元；选择双线性对e:G₁×G₁→G₂，选择3个能抵抗碰撞的哈希函数：

H₃:G₂→{0,1}^k，其中n₁和n₂分别表示用户身份信息和关键字信息的比特长度，k是由安全参数l决定的常数，其值表示含有关键字文件密文的长度；PKG选取任意的

作为其主密钥秘密保存，计算全局公钥P_pub＝sP，PKG公开系统参数PAR＝{G₁,G₂,q,n₁,e,P,P_pub,H₁,H₂,H₃}.

上述步骤(2)具体为数据接收者和云服务器私钥建立算法。所述算法记为KeyGenerate，具体为：数据接收者的身份信息ID_R，其公钥PK_R＝H₁(ID_R)，PKG计算其私钥

并通过秘密方式发送给数据接收者。给定云服务器的身份信息ID_S，其公钥PK_S＝H₁(ID_S)，PKG计算其私钥

并通过秘密方式发送云服务器。

上述步骤(3)具体为不含关键字离线密文的生成算法，所述算法记为OfflineIndex，具体为：此阶段，无需ID_R，ID_S和待检索的关键字

的信息，数据拥有者随机选取

接着计算出离线密文C_off＝(C₁,C₂)，其中C₁和C₂通过如下计算获得：C₁＝r₁P，C₂＝C₁+r₁P_pub.

上述步骤(4)具体为含关键字在线密文的生成算法，所述算法记为OnlineIndex，具体为：利用ID_R，ID_S和待检索的关键字

数据拥有者计算在线密文C_on＝H₃(e(r₁H₂(ID_R||ID_S||w),P+P_pub))，数据拥有者将(C_off,C_on)连同关键字对应的文件密文发送给云服务器进行存储。

上述步骤(5)具体为不含关键字离线陷门的生成算法，所述算法记为OfflineTrapdoor，具体为：给定ID_S，数据拥有者首先随机选取

接着计算离线陷门T_off＝(T₁,T₂,T₃)，其中T₁，T₂和T₃通过如下计算获得：T₁＝r₂P，T₂＝H₃(e(r₂H₁(ID_S),P)，T₃＝r₂P_pub

上述步骤(6)具体为含关键字在线陷门的生成算法，所述算法记为OnlineTrapdoor，具体为：给定ID_S，SK_R待检索的关键字

数据拥有者计算在线陷门T_on＝r₂SK_R+H₂(ID_R||ID_S||w)+T₂H₁(ID_S)，然后将(T₁,T₃,T_on)发送给云服务器，离线陷门中的T₂保留待用。

上述步骤(7)具体为云服务器的测试及验证算法，所述算法记为Test，具体为：接收到(T₁,T₃,T_on)后，云服务器利用自己的私钥SK_S首先计算T₂′＝H₃(e(SK_S,T₁+T₃))，接着验证下述公式是否成立：C_on＝H₃(e(T_on-T₂′H₁(ID_S),C₂)/e(C₁SK_S,T₁))，如果该公式成立，说明关键字对应的所有密文和所有陷门一致，即数据接收者想要检索查询的关键字和数据拥有者以密文形式存储在云服务器上的文件的关键字是相等的，云服务器将含关键字

密文的C_on对应的文件密文发送给数据接收者。上述公式不成立若不成立，表明数据接收者想要检索查询的关键字对应的文件并不存储在云服务器上。

本发明的有益效果在于：

(1)充分考虑了网络状态不佳情况下的基于身份可搜索加密的工作情形，将面向云存储的基于身份的可搜索加密分成两个阶段：离线阶段和在线阶段，当网络不能正常通信时，数据拥有者或数据接收者完成离线计算，等网络状态正常时再完成在线计算；

(2)由于面向云存储的基于身份的在线/离线可搜索加密分成在线和离线两个阶段，数据拥有者或数据接收者完成在离线状态下的大量而复杂的计算，而且有足够的时间完成这些计算，当数据拥有者或数据接收者与云服务器能在线通信时，数据拥有者或数据接收者的计算内容少，计算量也有所下降，完成计算所需的时间也少，因此可搜索加密的计算效率高；

(3)本发明中，数据拥有者和云服务器的公钥由其身份信息决定，该两个公钥向外公开，而数据拥有者和云服务器的私钥由私钥生成中心PKG通过相关秘密参数计算获得，再通过特殊方式发送给数据拥有者和云服务器。

具体实施方式

为使本发明的目的、技术方案及优点更为突出清晰，以下通过具体实施方式对本发明作进一步地细致说明。应当理解，此处所阐述的具体实施例仅用于解释本发明，并不用于限定本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

本发明之面向云存储的基于身份的在线/离线公钥可搜索加密方法，具体如包括如下算法步骤：

(1)系统初始化及参数设立算法。所述算法记为InitSetup，具体为：给定安全参数l，PKG选择阶为大素数q的两个循环群(G₁,+)和(G₂,·)，P是G₁的生成元；选择双线性对e:G₁×G₁→G₂，选择3个能抵抗碰撞的哈希函数：

H₃:G₂→{0,1}^k，其中n₁和n₂分别表示用户身份和关键字信息的比特长度，k是依赖于安全参数l的固定长度，表示含有关键字文件密文的长度；PKG随机选择

(2)数据接收者和云服务器私钥建立算法。所述算法记为KeyGenerate，具体为：数据接收者的身份信息为ID_R，其公钥PK_R＝H₁(ID_R)，PKG计算其私钥

并通过秘密方式发送给数据接收者。给定云服务器的身份ID_S，其公钥PK_S＝H₁(ID_S)，PKG计算其私钥

并通过秘密方式发送给云服务器。

(3)不含关键字离线密文的生成算法。所述算法记为OfflineIndex，具体为：此阶段，无需ID_R，ID_S和待检索的关键字

的信息，数据拥有者随机选择

接着计算离线密文C_off＝(C₁,C₂)，其中C₁和C₂通过如下计算获得：C₁＝r₁P，C₂＝C₁+r₁P_pub.

(4)含关键字在线密文的生成算法。所述算法记为OnlineIndex，具体为：给定信息ID_R，ID_S和待检索的关键字

(5)不含关键字离线陷门的生成算法。所述算法记为OfflineTrapdoor，具体为：给定ID_S，数据拥有者首先随机选择

接着计算离线陷门T_off＝(T₁,T₂,T₃)，其中T₁，T₂和T₃通过如下计算获得：T₁＝r₂P，T₂＝H₃(e(r₂H₁(ID_S),P)，T₃＝r₂P_pub.

(6)含关键字在线陷门的生成算法。所述算法记为OnlineTrapdoor，具体为：给定ID_S，SK_R待检索的关键字

(7)云服务器的测试及验证算法。所述算法记为Test，具体为：接收到(T₁,T₃,T_on)后，云服务器利用自己的私钥SK_S首先计算T₂′＝H₃(e(SK_S,T₁+T₃))，接着验证公式C_on＝H₃(e(T_on-T₂′H₁(ID_S),C₂)/e(C₁SK_S,T₁))是否成立，如果该公式成立，说明关键字对应的所有密文和所有陷门一致，即数据接收者想要检索查询的关键字和数据拥有者以密文形式存储在云服务器上的文件的关键字是一致的，云服务器将含关键字

密文的C_on对应的文件密文发送给数据接收者。上述公式若不成立，表明数据接收者想要检索查询的关键字对应的文件并不存储在云服务器上。

下面分析本发明面向云存储的基于身份的在线/离线公钥可搜索加密方法的正确性，主要利用双线性对的性质，通过证明途径完成。

证明：(1)

证明：(2)

由上述证明过程及结果可知，在线密文和关键字陷门一致，云服务器能找到数据接收者想要的数据密文。

Claims

1.面向云存储的基于身份的在线/离线可搜索加密方法，其特征在于，包括以下步骤：

(1)系统初始化及参数设立：该步骤由PKG执行完成，选取必需的密码学内容，设置相关参数，秘密保留一些参数，也对外公开一些必要的参数，具体为：给定安全参数l，PKG选择阶为大素数q的两个循环群(G₁,+)和(G₂,·)，P是G₁的生成元；选择双线性对e:G₁×G₁→G₂，选择3个能抵抗碰撞的哈希函数：

H₃:G₂→{0,1}^k，其中n₁和n₂分别表示用户身份信息和关键字信息的比特长度，k是依赖于安全参数l的固定长度，表示含有关键字文件密文的长度；PKG随机选择

作为其主密钥秘密保存，计算公钥P_pub＝sP，PKG公开系统参数PAR＝{G₁,G₂,q,n₁,e,P,P_pub,H₁,H₂,H₃}；

(2)数据接收者和云服务器私钥建立：该步骤由PKG执行完成，数据接收者和云服务器的公钥通过运算其身份信息的哈希函数获得，该身份信息对外公开，公钥也对外公开；PKG利用数据接收者和云服务器的公钥计算出其私钥，再通过秘密途径将私钥发送给数据接收者和云服务器；

(3)不含关键字的离线密文的生成：该步骤无需考虑网络状态是否正常，由数据拥有者离线完成，而且该步骤的计算与需要存储在云服务器上的关键字及对应的文件无关，通过相关公开参数计算实现；

(4)含关键字的在线密文的生成：该步骤需要在线进行，由数据拥有者完成，需要云服务器和数据接收者的身份信息，也需要存储或数据接收者检索查询的关键字的参与，该步骤完成后，数据拥有者需要将相关密文在线发送给云服务器存储；

(5)不含关键字的离线陷门的生成：该步骤无需考虑网络状态是否正常，由数据接收者离线完成，实现过程中与待查询检索的关键字无关；

(6)含关键字的在线陷门的生成：该步骤需要在线进行，由数据接收者完成，完成后需要在线将必要的陷门内容发送给云服务器，该步骤的实现需要云服务器和数据接收者的身份信息及待检索查询的关键字信息；

(7)云服务器的测试及验证：该步骤由云服务器完成，云服务器收到数据接收者发来的陷门信息后，测试验证陷门信息是否与存储的关键字匹配，如果匹配，将数据接收者需要的文件密文发送给数据接收者，否则，终止数据接收者的检索查询操作。

2.根据权利要求1所述的面向云存储的基于身份的在线/离线可搜索加密方法，其特征在于，所述步骤2)具体为数据接收者和云服务器私钥建立算法：数据接收者的身份ID_R，其公钥PK_R＝H₁(ID_R)，PKG计算其私钥

并通过秘密方式发送给数据接收者；给定云服务器的身份ID_S，其公钥PK_S＝H₁(ID_S)，PKG计算其私钥

并通过秘密方式发送给云服务器。

3.根据权利要求1所述的面向云存储的基于身份的在线/离线可搜索加密方法，其特征在于，所述步骤3)具体为不含关键字离线密文的生成算法：此阶段，无需ID_R，ID_S和待检索的关键字

的信息，数据拥有者随机选择

接着计算离线密文C_off＝(C₁,C₂)，其中C₁和C₂通过如下计算获得：C₁＝r₁P，C₂＝C₁+r₁P_pub。

4.根据权利要求1所述的面向云存储的基于身份的在线/离线可搜索加密方法，其特征在于，所述步骤4)具体为含关键字在线密文的生成算法：给定信息ID_R，ID_S和待检索的关键字

5.根据权利要求1所述的面向云存储的基于身份的在线/离线可搜索加密方法，其特征在于，所述步骤5)具体为不含关键字离线陷门的生成算法：给定ID_S，数据接收者首先随机选择

接着计算离线陷门T_off＝(T₁,T₂,T₃)，其中T₁，T₂和T₃通过如下计算获得：T₁＝r₂P，T₂＝H₃(e(r₂H₁(ID_S),P)，T₃＝r₂P_pub。

6.根据权利要求1所述的面向云存储的基于身份的在线/离线可搜索加密方法，其特征在于，所述步骤6)具体为含关键字在线陷门的生成算法：给定ID_S，SK_R待检索的关键字

7.根据权利要求1所述的面向云存储的基于身份的在线/离线可搜索加密方法，其特征在于，所述步骤7)具体为云服务器的测试及验证算法：接收到(T₁,T₃,T_on)后，云服务器利用其私钥SK_S首先计算T₂′＝H₃(e(SK_S,T₁+T₃))，接着验证公式C_on＝H₃(e(T_on-T₂′H₁(ID_S),C₂)/e(C₁SK_S,T₁))是否成立，如果该公式成立，说明关键字对应的所有密文和所有陷门一致，即数据接收者想要检索查询的关键字和数据拥有者以密文形式存储在云服务器上的文件的关键字一致，云服务器将含关键字

密文的C_on对应的文件密文发送给数据接收者；如果公式C_on＝H₃(e(T_on-T₂′H₁(ID_S),C₂)/e(C₁SK_S,T₁))不成立，表明数据接收者想要检索查询的关键字对应的文件密文并不存储在云服务器上。