CN109040045B - 一种基于密文策略属性基加密的云存储访问控制方法 - Google Patents

Abstract

本发明公开了一种基于密文策略属性基加密的云存储访问控制方法，包括下述步骤：S1，匿名身份认证过程；设S为身份认证权威中心，U为用户，哈希函数H_i＝{0，1}^*＝{0，1}^li，i＝1，2，3，x为S的私钥，y为公钥，计算y＝g^xmod p；本发明可实现在云服务提供商不可信的前提下，保证在开放云环境下云存储系统中数据的安全性和完整性，实现敏感数据的安全共享，还能减少密钥的分发和数据管理给数据拥有者带来的巨大计算开销；系统中采用匿名身份认证，在身份认证时每次验证的会话密钥不同，保证在通信过程中的匿名性，即使通信过程中的信息被截取，也无法获得相关的用户的身份信息。

Description

一种基于密文策略属性基加密的云存储访问控制方法

技术领域

本发明涉及计算机信息安全技术领域，具体涉及一种基于密文策略属性基加密的云存储访问控制方法。

背景技术

云存储作为一种基本服务得到了业界的广泛认同，越来越多的企事业单位或个人，通过云存储服务保留大量的各类数据信息。然而，网络时代的数据信息内涵更为丰富，往往涉及企业的商业秘密或个人隐私，例如企业销售记录信息、公文信息、个人健康信息等，而事实上，提供存储服务的第三方，即云存储服务提供者(Cloud Service Provider，CSP)往往是独立的运营管理机构或组织，并不完全值得信赖，许多个人和企业都不敢轻易地将自己的重要数据或私密数据存储到云存储服务器，因此，云存储环境下敏感数据的机密性尤为重要。

云存储服务虽然带来了许多便利，但是也引起了用户对于其安全性的担忧。由于云存储平台采用数据远程托管技术，云服务提供商是数据的物理拥有者，与数据属主并不在同一个信任域中；有数据显示，出于安全方面的考虑，仍有多达70％的企业用户不愿意将关键数据置于自己的控制区域之外。因此，云存储服务的广泛应用，还要依赖于云存储安全访问控制机制。与此同时，随着信息电子化的进一步发展及法制的进一步完善，企业及个人也会越来越多地将私密的信息存储于云中，而利用加密技术来保护用户的敏感数据是非常必要的。传统的公钥加密技术能够保证用户将自己的数据秘密分享给一个指定的用户。然而，在许多情形下，用户希望所有满足指定访问策略的用户都能够访问数据，从而实现细粒度的访问控制。属性基加密(attribute based encryption)自2005年被提出至今，一直受到国内外相关研究团队的广泛关注，其可实现更加细粒度的文件访问控制操作，被认为是适合云存储环境的加密方式之一。但是，尽管一些方案较好地解决了访问策略变更、用户属性变更及访问控制粒度等问题，但这些方案中仍存在最终加解密操作都需要用户自身进行大量的加解密计算、多个用户可能会拥有相同的解密权限以至于进行合谋攻击以及访问策略中包含用户的敏感信息、不能保证数据文件完整性及不可否认性等问题。此外，多数方案是先下载密文，再检查访问控制权限，满足访问控制权限的，可以顺利解密；对于不满足访问权限的，不仅不能解密密文，可能还会白白花费了网络资源及计算资源。如何实现安全的细粒度访问是云存储系统中所亟需解决的问题之一。同时，在云存储平台上，用户无法信赖云服务提供商忠实的实施用户定义的访问控制方案，安全性差。

发明内容

本发明的目的在于克服现有技术的缺点与不足，提供一种基于密文策略属性基加密的云存储访问控制方法，该方法能够解决开放云环境下云服务提供商不可信的问题，保证在开放云环境下云存储系统中数据的安全性和完整性，实现敏感数据的安全共享，以及存在用户合谋攻击和加解密效率低等问题，以及由此带来访问控制系统安全性差的问题。

本发明的目的通过下述技术方案实现：

一种基于密文策略属性基加密的云存储访问控制方法，包括下述步骤：

S1，匿名身份认证过程；

设S为身份认证权威中心，U为用户，哈希函数H_i＝{0,1}^*＝{0,1}^li，i＝1,2,3，x为S的私钥，y为公钥，计算y＝g^x mod p；

S1.1，用户注册过程：用户在客户端SC输入身份ID和密码PW，并选取随机字符串c，计算H₀(c||PW)，将{ID,H₀(c||PW)}发送给身份认证权威中心S，S随机选取参数b，根据用户注册时间t进行以下计算：

并将{ID,t,c}存储在用户数据库中，{M,N,y}保存在客户端SC中；

S1.2，验证阶段：用户在客户端SC输入身份ID^*和密码PW^*，SC执行下列操作

若M^*＝M，SC选取随机数d，进行以下计算：Y₁＝g^d mod p，Y₂＝y^d mod p，

M₂＝{H₀(Y₂||K||CID||CMK)}，U→S:{Y₁,CID,CMK,M₂}；

根据用户登录请求信息，S执行以下操作：计算Y₂＝Y₁ ^x mod p，

K＝H₀(x||ID||t)，则M₂ ^*＝{H₀(Y₂||K||CID||CMK)}，验证M₂ ^*＝M₂是否成立，若成立，S随机生成e，并生成临时密钥K_s＝Y₁ ^e mod p，C₁＝g^e mod p，C₂＝H₁(ID||Y₂||C₁||K||K_s)，S→U:{C₁,C₂}；

接收来自身份认证权威中心S的消息后，SC执行以下计算：K_u＝C₁ ^d mod p，C₂ ^*＝H₁(ID||Y₂||Y₁||C₁||K||K_u)，验证C₂ ^*＝C₂是否成立，若成立则进行以下计算：C₃＝H₂(ID||Y₂||Y₁||C₁||K||K_u)，U-＞S:{C₃}；

S接收C₃后执行以下操作：计算C₃ ^*＝H₂(ID||Y₂||Y₁||C₁||K||K_s)，验证C₃ ^*＝C₃是否成立，若成立，则验证完成用户U和身份认证权威中心S的认证；

S2，系统初始化过程；

定义一个双线性映射e：G₁×G₂→G_T，G₁和G₂是阶为素数p的乘法循环群，g₁、g₂分别是是群G₁、G₂生成元，随机选取y∈Z^* _p，a_i,j∈Z^* _p并计算：A_i,j＝g₁ ^ai,j，B_i,j＝g₁ ^ai,j，输出公钥PK＝(e,g₁,g₂,Y,A_i,j,B_i,j)和主密钥MSK＝(y,a_i,j)，其中i∈[1,n],j∈[1,n_i]；

S3，密钥生成；

输入系统公钥PK、系统主私钥MSK以及用户的属性列表L＝[L₁,L₂,L₃,...，L_n]；对于1≤i≤n，授权中心CA选择r∈Z^* _p，并计算D₀＝g₂ ^y-r，D_i,j＝A_i,j ^r；

输出属性密钥SK＝(D₀,{D_i,j}_{{i∈[1,n],j∈[1,ni]}})，通过安全通道分发给各个用户；

S4，加密过程；

为了提高加密、解密效率，数据拥有者在客户端根据数据文件的重要性，采用相应的对称加密算法及密码模式对数据文件进行加密，从而得到数据文件密文C₁和对称密钥Key；同时，为了确认信息的完整性及不可否认性，对数据文件和对称密钥分别进行数字签名，用于验证云服务器是否篡改文件内容和密钥密文；将密文文件及其数字签名信息和公钥信息的列表一同存储在云存储服务器，具体步骤如下：

S4.1，数据拥有者使用客户端随机选择一个对称密钥Key，对需要存储的文件M进行对称加密，得到密文C₁＝E_Key(M)；

S4.2，使用访问结构W加密对称密钥Key得到秘钥密文C₂，具体步骤如下：

输入系统公钥PK、明文M、相关的访问结构W，加密者首先将使用多值与门表达的访问结构按转换规则转换成对应的访问树τ；加密者选择s∈Z^* _p，然后按规则为访问树的每一个孩子节点i选择s_i∈Z^* _p，其中

计算C₀＝g₁ ^s，C₁＝Key·e(g₁，g₂)^ys，C_i,j＝B_i,j ^si；

输出密文CT＝(C₀,C₁,{C_i,j}_{{i∈[1,n],j∈[1,ni]}})；

S5，数字签名；

数据拥有者生成数字签名的公私钥对(sk，vk)，则私钥(x，p)和公钥(y，p)的计算如下：sk＝x；vk＝y；y＝g^x mod p；

数据拥有者对需要存储的数据文件M执行哈希摘要运算，得到明文消息摘要K₁，然后对加密文件的对称秘钥Key生成秘钥消息摘要K₂，具体计算如下：K₁＝H₁(M)，K₂＝H₁(Key)；

生成签名：对秘钥消息摘要K₂进行签名为δ₁＝K₂ ^x mod p；

验证签名为k＝δ₁ ^y mod p，若k等于K₂，则说明签名验证成功；

生成签名：对明文消息摘要K₁进行签名为δ₂＝K₁ ^x mod p；

验证签名为k＝δ₂ ^y mod p，若k等于K₁，则说明签名验证成功；

数据拥有者设置访问控制策略，利用访问策略中属性集，根据密文策略的基于属性加密机制对对称密钥Key进行二次加密，得到密钥密文C₂；将数据文件密文C₁、密钥密文C₂以及相应的数字签名发送给云服务提供商CSP的服务器中保存；

S6，解密过程；

当数据使用者DU要求访问云服务提供商服务器中的数据文件时，首先进行身份合法性验证，进行匿名身份认证；在身份认证权威中心S鉴别其身份合法后，对属性权威中心AA提出数据访问请求，属性权威中心AA通过对数据使用者DU的属性集与访问控制策略进行验证，判断数据使用者是否具有该数据文件的访问权限，验证通过后，属性权威中心AA为数据使用者分发属性密钥SK和密钥密文C₂，数据使用者接收属性密钥SK和密钥密文C₂后，使用属性密钥SK对密钥密文C₂进行解密得到数据文件的对称加密密钥Key，并对对称加密密钥Key进行数字签名验证，若验证通过，则说明密钥Key未被篡改，否则Key被篡改，解密失败；

输入系统公钥PK、隐式地嵌入访问结构W的密文CT和包含属性列表L的属性密钥SK，进行以下计算：

输出对称密钥Key；

然后从云服务提供商处获得数据文件密文C₁，使用对称加密密钥Key对数据文件密文C₁进行解密得到数据文件明文M，用数字签名验证数据文件明文M是否被篡改，若未经篡改，则完成对数据文件的访问，否则解密失败；

对称密钥是随机选取的，可以采用一次一密的对称加密算法，保证了信息明文的安全性，终端用户在发送私钥组件以及接收明文时，对外部而言是安全的；

其中，为了验证数据文件明文M和对称加密密钥Key是否在外部已被修改，在明文消息摘要K₁和秘钥消息摘要K₂的生成过程中采用了哈希函数，哈希函数的雪崩效应保证了密文数据一旦被更改，用户验证就会及时发现，也确认了信息的完整性。

本发明与现有技术相比具有以下的有益效果：

(1)本发明可实现在云服务提供商不可信的前提下，保证在开放云环境下云存储系统中数据的安全性和完整性，实现敏感数据的安全共享，还能减少密钥的分发和数据管理给数据拥有者带来的巨大计算开销；

(2)本发明的系统中采用匿名身份认证，在身份认证时每次验证的会话密钥不同，保证在通信过程中的匿名性，即使通信过程中的信息被截取，也无法获得相关的用户的身份信息，同时每个用户有其唯一的登录密码，解密时需先进行用户登录，根据验证体制对用户身份进行第一道的判断，提高了攻击者破解合法用户身份信息伪装成合法授权用户的难度，可以抵抗用户合谋攻击；

(3)本发明采用对称密码体制相关算法实现对敏感数据的加密，文件以加密的形式保存在云服务器中；并且对数据文件和对称密钥分别进行数字签名，可以验证云服务器是否会对数据文件的密文和对称密钥密文进行修改；

(4)本发明采用密文策略基于属性加密机制实现对对称密钥的保护，加密的访问策略可根据数据拥有者的需要来进行制定，只有满足访问策略的数据使用者才能通过解密来访问加密的敏感数据；

(5)本发明的实用性强，适用范围广泛，易于推广。

附图说明

图1为本发明的组成示意图；

图2为本发明的流程图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

如图1～2所示，一种基于密文策略属性基加密的云存储访问控制方法，包括下述步骤：

S1，匿名身份认证过程；

设S为身份认证权威中心，U为用户，哈希函数H_i＝{0,1}^*＝{0,1}^li，i＝1,2,3，x为S的私钥，y为公钥，计算y＝g^x mod p；

S1.1，用户注册过程：用户在客户端SC输入身份ID和密码PW，并选取随机字符串c，计算H₀(c||PW)，将{ID,H₀(c||PW)}发送给身份认证权威中心S，S随机选取参数b，根据用户注册时间t进行以下计算：

并将{ID,t,c}存储在用户数据库中，{M,N,y}保存在客户端SC中；

S1.2，验证阶段：用户在客户端SC输入身份ID^*和密码PW^*，SC执行下列操作

若M^*＝M，SC选取随机数d，进行以下计算：Y₁＝g^d mod p，Y₂＝y^d mod p，

M₂＝{H₀(Y₂||K||CID||CMK)}，U→S:{Y₁,CID,CMK,M₂}；

根据用户登录请求信息，S执行以下操作：计算Y₂＝Y₁ ^x mod p，

K＝H₀(x||ID||t)，则M₂ ^*＝{H₀(Y₂||K||CID||CMK)}，验证M₂ ^*＝M₂是否成立，若成立，S随机生成e，并生成临时密钥K_s＝Y₁ ^e mod p，C₁＝g^e mod p，C₂＝H₁(ID||Y₂||C₁||K||K_s)，S→U:{C₁,C₂}；

接收来自身份认证权威中心S的消息后，SC执行以下计算：K_u＝C₁ ^d mod p，C₂ ^*＝H₁(ID||Y₂||Y₁||C₁||K||K_u)，验证C₂ ^*＝C₂是否成立，若成立则进行以下计算：C₃＝H₂(ID||Y₂||Y₁||C₁||K||K_u)，U-＞S:{C₃}；

S接收C₃后执行以下操作：计算C₃ ^*＝H₂(ID||Y₂||Y₁||C₁||K||K_s)，验证C₃ ^*＝C₃是否成立，若成立，则验证完成用户U和身份认证权威中心S的认证；

S2，系统初始化过程；

定义一个双线性映射e：G₁×G₂→G_T，G₁和G₂是阶为素数p的乘法循环群，g₁、g₂分别是是群G₁、G₂生成元，随机选取y∈Z^* _p，a_i,j∈Z^* _p并计算：A_i,j＝g₁ ^ai,j，B_i,j＝g₁ ^ai,j，输出公钥PK＝(e,g₁,g₂,Y,A_i,j,B_i,j)和主密钥MSK＝(y,a_i,j)，其中i∈[1,n],j∈[1,n_i]；

S3，密钥生成；

输入系统公钥PK、系统主私钥MSK以及用户的属性列表L＝[L₁,L₂,L₃,...，L_n]；对于1≤i≤n，授权中心CA选择r∈Z^* _p，并计算D₀＝g₂ ^y-r，D_i,j＝A_i,j ^r；

输出属性密钥SK＝(D₀,{D_i,j}_{{i∈[1,n],j∈[1,ni]}})，通过安全通道分发给各个用户；

S4，加密过程；

为了提高加密、解密效率，数据拥有者在客户端根据数据文件的重要性，采用相应的对称加密算法及密码模式对数据文件进行加密，从而得到数据文件密文C₁和对称密钥Key；同时，为了确认信息的完整性及不可否认性，对数据文件和对称密钥分别进行数字签名，用于验证云服务器是否篡改文件内容和密钥密文；将密文文件及其数字签名信息和公钥信息的列表一同存储在云存储服务器，具体步骤如下：

S4.1，数据拥有者使用客户端随机选择一个对称密钥Key，对需要存储的文件M进行对称加密，得到密文C₁＝E_Key(M)；

S4.2，使用访问结构W加密对称密钥Key得到秘钥密文C₂，具体步骤如下：

输入系统公钥PK、明文M、相关的访问结构W，加密者首先将使用多值与门表达的访问结构按转换规则转换成对应的访问树τ；加密者选择s∈Z^* _p，然后按规则为访问树的每一个孩子节点i选择s_i∈Z^* _p，其中

计算C₀＝g₁ ^s，C₁＝Key·e(g₁，g₂)^ys，C_i,j＝B_i,j ^si；

输出密文CT＝(C₀,C₁,{C_i,j}_{{i∈[1,n],j∈[1,ni]}})；

S5，数字签名；

数据拥有者生成数字签名的公私钥对(sk，vk)，则私钥(x，p)和公钥(y，p)的计算如下：sk＝x；vk＝y；y＝g^x mod p；

数据拥有者对需要存储的数据文件M执行哈希摘要运算，得到明文消息摘要K₁，然后对加密文件的对称秘钥Key生成秘钥消息摘要K₂，具体计算如下：K₁＝H₁(M)，K₂＝H₁(Key)；

生成签名：对秘钥消息摘要K₂进行签名为δ₁＝K₂ ^x mod p；

验证签名为k＝δ₁ ^y mod p，若k等于K₂，则说明签名验证成功；

生成签名：对明文消息摘要K₁进行签名为δ₂＝K₁ ^x mod p；

验证签名为k＝δ₂ ^y mod p，若k等于K₁，则说明签名验证成功；

数据拥有者设置访问控制策略，利用访问策略中属性集，根据密文策略的基于属性加密机制对对称密钥Key进行二次加密，得到密钥密文C₂；将数据文件密文C₁、密钥密文C₂以及相应的数字签名发送给云服务提供商CSP的服务器中保存；

S6，解密过程；

当数据使用者DU要求访问云服务提供商服务器中的数据文件时，首先进行身份合法性验证，进行匿名身份认证；在身份认证权威中心S鉴别其身份合法后，对属性权威中心AA提出数据访问请求，属性权威中心AA通过对数据使用者DU的属性集与访问控制策略进行验证，判断数据使用者是否具有该数据文件的访问权限，验证通过后，属性权威中心AA为数据使用者分发属性密钥SK和密钥密文C₂，数据使用者接收属性密钥SK和密钥密文C₂后，使用属性密钥SK对密钥密文C₂进行解密得到数据文件的对称加密密钥Key，并对对称加密密钥Key进行数字签名验证，若验证通过，则说明密钥Key未被篡改，否则Key被篡改，解密失败；

输入系统公钥PK、隐式地嵌入访问结构W的密文CT和包含属性列表L的属性密钥SK，进行以下计算：

输出对称密钥Key；

然后从云服务提供商处获得数据文件密文C₁，使用对称加密密钥Key对数据文件密文C₁进行解密得到数据文件明文M，用数字签名验证数据文件明文M是否被篡改，若未经篡改，则完成对数据文件的访问，否则解密失败；

对称密钥是随机选取的，可以采用一次一密的对称加密算法，保证了信息明文的安全性，终端用户在发送私钥组件以及接收明文时，对外部而言是安全的；

其中，为了验证数据文件明文M和对称加密密钥Key是否在外部已被修改，在明文消息摘要K₁和秘钥消息摘要K₂的生成过程中采用了哈希函数，哈希函数的雪崩效应保证了密文数据一旦被更改，用户验证就会及时发现，也确认了信息的完整性。

本发明的组成部分包括：

授权中心：包括身份认证权威中心S和属性权威中心AA。身份认证权威中心S用于进行用户的第一步合法性验证；属性权威中心AA，用于基于属性加密机制，生成系统的公钥和主私钥，之后基于属性加密机制生成用户的属性密钥，将所述属性密钥分发给用户，保存用户的所有属性，根据用户属性集和访问控制策略进行访问控制。

云服务提供商CSP：通过基于虚拟化技术实现计算、存储、网络资源复用方式，遵从服务水平协议SLA，为用户提供弹性可租用的云服务；根据协议，对被托管的数据依据服务提供商的安全措施提供安全性和可用性保障。

客户端SC：首先和身份认证权威中心进行交互，对用户的合法性进行第一步鉴别；还用于当用户需要上传数据时，首先采用对称加密算法对文件进行首次加密，然后根据公钥，访问结构对所对称密钥进行加密，将得到的密文和密钥密文上传到云服务提供的服务器中；还用于需要共享数据时，向属性权威中心和云服务提供商CSP发出访问请求，根据用户属性密钥和公钥对云端的密钥密文进行解密，然后对密文继续解密。

数据拥有者DO：数据的属主，根据对称密码机制和数据安全要求，使用客户端对数据文件进行对称加密得到密文和对称密钥。

数据使用者DU：请求访问被托管的数据文件的云用户，首先要向身份认证权威中心进行用户的合法性验证，然后向属性权威提供属性密钥，若符合访问控制策略才能访问数据。

本发明可实现在云服务提供商不可信的前提下，保证在开放云环境下云存储系统中数据的安全性和完整性，实现敏感数据的安全共享，还能减少密钥的分发和数据管理给数据拥有者带来的巨大计算开销；系统中采用匿名身份认证，在身份认证时每次验证的会话密钥不同，保证在通信过程中的匿名性，即使通信过程中的信息被截取，也无法获得相关的用户的身份信息，同时每个用户有其唯一的登录密码，解密时需先进行用户登录，根据验证体制对用户身份进行第一道的判断，提高了攻击者破解合法用户身份信息伪装成合法授权用户的难度，可以抵抗用户合谋攻击；采用对称密码体制相关算法实现对敏感数据的加密，文件以加密的形式保存在云服务器中；并且对数据文件和对称密钥分别进行数字签名，可以验证云服务器是否会对数据文件的密文和对称密钥密文进行修改；采用密文策略基于属性加密机制实现对对称密钥的保护，加密的访问策略可根据数据拥有者的需要来进行制定，只有满足访问策略的数据使用者才能通过解密来访问加密的敏感数据；实用性强，适用范围广泛，易于推广。

上述为本发明较佳的实施方式，但本发明的实施方式并不受上述内容的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (1)

1.一种基于密文策略属性基加密的云存储访问控制方法，其特征在于，包括下述步骤：

S1，匿名身份认证过程；

设S为身份认证权威中心，U为用户，哈希函数H_i＝{0,1}^*＝{0,1}^li，i＝1,2,3，x为S的私钥，y为公钥，计算y＝g^x mod p；

S1.1，用户注册过程：用户在客户端SC输入身份ID和密码PW，并选取随机字符串c，计算H₀(c||PW)，将{ID,H₀(c||PW)}发送给身份认证权威中心S，S随机选取参数b，根据用户注册时间t进行以下计算：

并将{ID,t,c}存储在用户数据库中，{M,N,y}保存在客户端SC中；

S1.2，验证阶段：用户在客户端SC输入身份ID^*和密码PW^*，SC执行下列操作

若M^*＝M，SC选取随机数d，进行以下计算：Y₁＝g^dmod p，Y₂＝y^d mod p，

M₂＝{H₀(Y₂||K||CID||CMK)}，U→S:{Y₁,CID,CMK,M₂}；

根据用户登录请求信息，S执行以下操作：计算Y₂＝Y₁ ^x mod p，

K＝H₀(x||ID||t)，则M₂ ^*＝{H₀(Y₂||K||CID||CMK)}，验证M₂ ^*＝M₂是否成立，若成立，S随机生成e，并生成临时密钥K_s＝Y₁ ^e mod p，C₁＝g^e mod p，C₂＝H₁(ID||Y₂||C₁||K||K_s)，S→U:{C₁,C₂}；

接收来自身份认证权威中心S的消息后，SC执行以下计算：K_u＝C₁ ^d mod p，C₂ ^*＝H₁(ID||Y₂||Y₁||C₁||K||K_u)，验证C₂ ^*＝C₂是否成立，若成立则进行以下计算：C₃＝H₂(ID||Y₂||Y₁||C₁||K||K_u)，U-＞S:{C₃}；

S接收C₃后执行以下操作：计算C₃ ^*＝H₂(ID||Y₂||Y₁||C₁||K||K_s)，验证C₃ ^*＝C₃是否成立，若成立，则验证完成用户U和身份认证权威中心S的认证；

S2，系统初始化过程；

定义一个双线性映射e：G₁×G₂→G_T，G₁和G₂是阶为素数p的乘法循环群，g₁、g₂分别是是群G₁、G₂生成元，随机选取y∈Z^* _p，a_i,j∈Z^* _p并计算：A_i,j＝g₁ ^ai,j，B_i,j＝g₁ ^ai,j，输出公钥PK＝(e,g₁,g₂,Y,A_i,j,B_i,j)和主密钥MSK＝(y,a_i,j)，其中i∈[1,n],j∈[1,n_i]；

S3，密钥生成；

输入系统公钥PK、系统主私钥MSK以及用户的属性列表L＝[L₁,L₂,L₃,...，L_n]；对于1≤i≤n，授权中心CA选择r∈Z^* _p，并计算D₀＝g₂ ^y-r，D_i,j＝A_i,j ^r；

输出属性密钥SK＝(D₀,{D_i,j}_{{i∈[1,n],j∈[1,ni]}})，通过安全通道分发给各个用户；

S4，加密过程；

为了提高加密、解密效率，数据拥有者在客户端根据数据文件的重要性，采用相应的对称加密算法及密码模式对数据文件进行加密，从而得到数据文件密文C₁和对称密钥Key；同时，为了确认信息的完整性及不可否认性，对数据文件和对称密钥分别进行数字签名，用于验证云服务器是否篡改文件内容和密钥密文；将密文文件及其数字签名信息和公钥信息的列表一同存储在云存储服务器，具体步骤如下：

S4.1，数据拥有者使用客户端随机选择一个对称密钥Key，对需要存储的文件M进行对称加密，得到密文C₁＝E_Key(M)；

S4.2，使用访问结构W加密对称密钥Key得到秘钥密文C₂，具体步骤如下：

输入系统公钥PK、明文M、相关的访问结构W，加密者首先将使用多值与门表达的访问结构按转换规则转换成对应的访问树τ；加密者选择s∈Z^* _p，然后按规则为访问树的每一个孩子节点i选择s_i∈Z^* _p，其中

计算C₀＝g₁ ^s，C₁＝Key·e(g₁，g₂)^ys，C_i,j＝B_i,j ^si；

输出密文CT＝(C₀,C₁,{C_i,j}_{{i∈[1,n],j∈[1,ni]}})；

S5，数字签名；

数据拥有者生成数字签名的公私钥对(sk，vk)，则私钥(x₁，p₁)和公钥(y₁，p₁)的计算如下：sk＝x₁；vk＝y1；

数据拥有者对需要存储的数据文件M执行哈希摘要运算，得到明文消息摘要K₁，然后对加密文件的对称秘钥Key生成秘钥消息摘要K₂，具体计算如下：K₁＝H₁(M)，K₂＝H₁(Key)；

生成签名：对秘钥消息摘要K₂进行签名为

验证签名为

若k等于K₂，则说明签名验证成功；

生成签名：对明文消息摘要K₁进行签名为

验证签名为

若k等于K₁，则说明签名验证成功；

数据拥有者设置访问控制策略，利用访问策略中属性集，根据密文策略的基于属性加密机制对对称密钥Key进行二次加密，得到密钥密文C₂；将数据文件密文C₁、密钥密文C₂以及相应的数字签名发送给云服务提供商CSP的服务器中保存；

S6，解密过程；

当数据使用者DU要求访问云服务提供商服务器中的数据文件时，首先进行身份合法性验证，进行匿名身份认证；在身份认证权威中心S鉴别其身份合法后，对属性权威中心AA提出数据访问请求，属性权威中心AA通过对数据使用者DU的属性集与访问控制策略进行验证，判断数据使用者是否具有该数据文件的访问权限，验证通过后，属性权威中心AA为数据使用者分发属性密钥SK和密钥密文C₂，数据使用者接收属性密钥SK和密钥密文C₂后，使用属性密钥SK对密钥密文C₂进行解密得到数据文件的对称加密密钥Key，并对对称加密密钥Key进行数字签名验证，若验证通过，则说明密钥Key未被篡改，否则Key被篡改，解密失败；

输入系统公钥PK、隐式地嵌入访问结构W的密文CT和包含属性列表L的属性密钥SK，进行以下计算：

输出对称密钥Key；

然后从云服务提供商处获得数据文件密文C₁，使用对称加密密钥Key对数据文件密文C₁进行解密得到数据文件明文M，用数字签名验证数据文件明文M是否被篡改，若未经篡改，则完成对数据文件的访问，否则解密失败；

对称密钥是随机选取的，可以采用一次一密的对称加密算法，保证了信息明文的安全性，终端用户在发送私钥组件以及接收明文时，对外部而言是安全的；

其中，为了验证数据文件明文M和对称加密密钥Key是否在外部已被修改，在明文消息摘要K1和秘钥消息摘要K2的生成过程中采用了哈希函数，哈希函数的雪崩效应保证了密文数据一旦被更改，用户验证就会及时发现，也确认了信息的完整性。

Images