CN110061837A - 一种基于外包解密的密文定长的加密传输机制 - Google Patents

Abstract

本发明公开了一种基于外包解密的密文定长的加密传输机制，涉及属性加密领域，包括授权中心、工业控制系统、数据用户、公有云和私有云。本发明利用属性基加密算法，对工业控制系统中的明文数据进行了加密，有效地保护数据的完整性和机密性；使用了带验证的外包解密技术，将大量计算开销外包给可信第三方，降低了用户端的计算消耗，同时，还可以对解密数据的正确性进行验证；此外，恒定的密文长度，即减轻了用户端的存储开销，也极大节约了系统通信代价。

Description

一种基于外包解密的密文定长的加密传输机制

技术领域

本发明涉及属性加密领域，尤其涉及一种适用于工业控制系统额辅助加密传输机制。

背景技术

随着工业控制系统(Industrial Control System，ICS)和信息技术(InformationTechnology，IT)加速融合，原本独立、封闭的工控系统开始使用云计算、大数据等技术进行数据的存储及分析。在这一过程中，工控系统面临着来自外部网络的多种威胁，如恶意入侵、计算机病毒、网络攻击等，最知名的是2010年伊朗“Stuxnet”病毒事件。在传统的工业控制系统中，数据以明文形式进行传输，如果将明文数据直接发送并存储到云平台，则可能导致数据面临泄露、被篡改等威胁，造成无法挽回的损失。近年来，世界各国均提出了一些极具参考意义的指标和安全实践指南，我国也颁布了《网络安全法》，提出加强关键信息基础设施安全防护，维护国家网络安全。

为保障工业数据的机密性，加密无疑是一种有效方案。然而，由于工控系统的特殊性，不能简单地将密码学工具应用其中，在保护数据机密性的同时，还要保证系统的实时性和可用性。此外，仅靠传统“一对一”的加密手段无法实现云计算环境下数据的灵活访问控制功能，对用户身份的动态变化适应性也不够。为了适应开放网络环境下资源保护所面临的细粒度控制策略、安全等需求，人们提出了基于属性的加密算法(Attribute-basedencryption，ABE)，与传统的一对一的加密算法不同，派生于分布式计算的ABE采用一对多的加密方式，可为用

为了适应开放网络环境下资源保护所面临的细粒度控制策略、安全等需求，人们提出了基于属性的加密算法(Attribute-based encryption，ABE)，与传统的一对一的加密算法不同，派生于分布式计算的ABE采用一对多的加密方式，可为用户提供灵活的访问方式。

在标准CP-ABE方案中，密文长度随着访问策略的复杂度而增加，用户在解密过程中需运行的双线性对运算、指数运算的次数也随之增加，从而一方面导致用户端的解密开销增大，另一方面需要用户提供更大的存储空间。为此，Doshi从密文长度恒定这一角度入手，提出了一种密文定长的CP-ABE算法，减小了用户的存储及解密开销。同样，也有学者采用可验证外包计算的方法来降低用户端解密开销，与标准方案相比实用性更好。

发明内容

针对工业控制系统中数据安全性不足的问题，本发明提出一种基于外包解密的密文定长的加密传输机制。本发明采用具有灵活访问策略的CP-ABE加密算法，同时将可验证外包解密和恒定密文长度两种加密体制相结合，将复杂的解密计算外包给可信第三方PrC，既减轻了用户端的计算开销，也降低了用户端的存储开销。

CP-ABE加密算法满足双线性映射的性质。设G₁和G₂是两个阶为素数p的循环群，g是G₁的生成元，定义双线性映射e：G₁×G₁→G₂满足如下条件：

双线性性：对任意的a，b∈Z_p，满足e(g^a，g^b)＝e(g，g)^ab。

非退化性：存在g∈G₁，使得e(g，g)≠1。

可计算性：对任意都能有效计算出e(u，v)。

进一步，本发明的系统模型如图1所示，该模型由五个实体组成，分别为授权中心(KGC)、工业控制系统(ICS)、数据用户(DU)、公有云(PuC)和私有云(PrC)。其中，KGC主要负责计算系统公共参数、系统主密钥对和计算属性私钥sk_L，同时还负责给注册的合法用户分配全局标识符(GID)；ICS负责将数据进行加密，并上传到PuC；PuC主要存储和转发数据密文；DU负责计算转换密钥对tk_GID，同时验证部分解密密文M′，验证成功后才对密文M′进行最后的解密；PrC则是一个可信第三方，主要承担大量的外包解密计算。

本发明所采用的技术方案包括如下步骤：

S1、系统初始化，生成系统公开参数PP、系统主密钥对(mpk，msk)和用户全局标识符GID；

S2、用户私钥生成，根据系统公开参数PP、系统主私钥msk和用户属性列表L，生成属性私钥sk_L；

S3、数据加密，根据系统公开参数PP、数据明文M、系统主公钥mpk和访问结构W，生成密文CT；

S4、转换密钥生成，根据属性私钥sk_L和用户全局标识符GID，生成转换密钥对tk_GID；

S5、外包解密，若L满足密文访问策略W(即L|＝W)，则私有云能成功解密输出部分密文M′；若L不满足密文访问策略W(即L|≠W)，则输出⊥；

S6、用户解密，根据部分密文M′和转换私钥tsk_GID，解密出数据明文M。

进一步地，S1的具体步骤为：

S11、选取阶为素数p的循环群G₁和G₂，定义双线性映射e：G₁×G₁→G₂，随机选取群G₁的元素g、u和抗碰撞的哈希函数H：{0，1}^*→Z_p，U＝{att₁，att₂，…，att_n}表示属性集合，L＝{L₁，L₂，…，L_n}表示用户的属性集合，表示属性att_i所有可能的属性值，i∈[1，n]，j∈[1，n_i]，n表示属性的最大个数，n_i表示属性值的最大个数。生成系统公开参数PP＝{G₁，G₂，H，e，g，u}；

S12、给注册的合法用户分配一个独一无二的全局标识符GID；

S13、为用户的每个属性att_i∈U选择两个随机数t∈Z_p和α_i，j∈Z_p，生成系统主密钥对msk＝(t，α_i，j)和

进一步地，S2的具体步骤为：

S21、根据用户属性列表L，计算出用户属性私钥sk_L＝{sk₁，sk₂}，其中v_i，j∈L表示用户拥有的所有属性值。

进一步地，S3的具体步骤为：

S31、选择随机秘密值s∈Z_p，数据明文M∈Z_p；

S32、根据用户访问结构W，计算C₂＝g^s，V＝H(u^M)，得到密文CT＝(C₀，C₁，C₂，V)，V表示数据M的检验值。

进一步地，S4的具体步骤为：

S41、DU选择随机值z∈Z_p；

S42、根据用户GID和私钥sk_L，计算tsk_GID＝z，得到转换密钥对tk_GID＝(tpk_i，j，tsk_GID)。

进一步地，S5的具体步骤为：

S51、用户向公有云发起密文申请，公有云收到申请后将密文发送给私有云进行解密计算；

S52、若用户属性集合L满足访问策略W(即L|＝W)，则进行下一步解密计算，否则解密失败并返回⊥；

S53、计算然后将部分密文M′发送给DU。

进一步地，S6的具体步骤为：

S61、计算得到数据明文M；

S62、计算H(u^M)，验证等式H(u^M)＝V是否正确，等式正确则表明解密成功，否则解密失败。

本发明采用的以上技术与现有技术相比，具有的有益效果为：可为拥有多重属性值的用户提供灵活的访问控制策略；外包解密承担了大量的计算开销，减轻了用户端的计算损耗，同时参与外包解密计算的密文和密钥组件中没有包含任何与明文数据M有关的内容，确保数据M不会被泄露给第三方；密文长度恒定的特点，减少了系统的通信带宽的消耗和用户端的存储开销。因此本发明是一种新颖且安全高效的加密传输机制，尤其适用于资源有限的环境。

附图说明

图1是本发明所述的一种适用于工业控制系统辅助加密传输机制的系统模型图，其中包含如下实体：

1.授权中心(KGC)；2.工业控制系统(ICS)；3.数据用户(DU)；4.公有云(PuC)；5.私有云(PrC)；

图2是本发明所述的一种适用于工业控制系统辅助加密传输机制的系统流程图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行详细的描述。

参照附图2的系统流程图，利用PBC库实现本发明的加密算法机制，其具体步骤如下：

S1、系统初始化执行以下步骤；

S11、选取抗碰撞的哈希函数H：{0，1}^*→Z_p和阶为p的乘法循环群G₁、G₂以及双线性映射e：G₁×G₁→G₂，随机选取G₁的生成元g和元素u分别为：

g＝[5462914575314910590899595955490751713417048187311079632287396095786480298716526511614994896345956642734944823690767827421117215770549253192224569035233452，7741951153811669436365578252066973729372246239499529273276613753367560078229717572800983325982796438080368162089272557814671905190685753576323819420989540]，

u＝[8487353399856413929388368501234479892295452797269517825134728364482598758995891534039345119941142587582340670551007030751910914537114826889254339397188638，2970337777599241103491157177316814942129706292472811654570426663766820287693806771336406816786757662338787274805875139986516124083501919315410305509123601]；

S12、假设有2个合法注册用户，用户GID分别为：[4488618633568781791492339033376285691542857708364434288933590791938876969723346973039886419697146034066676767230705786914457234935787509659224312374702797，7728851999525554231805568661405122431892594445260712005679047174331998274785677160373431845472750666582114347894270039886191762008677566041951201981052745]和[7730670042146947730798180295240307428397273208796717993095751916455776229454729602406310985988183402835815394273972306772384465200148115645957087719622932，4730551570511900684579570624769337471037531245313289095506789902444386120992551953306171246674419387347474819295623649712639257511328810375044750424647289]；

S13、随机选取群Z_p的元素t＝60134565467162597619551889360596470341343941707，以及α_i，j∈Z_p(i∈[1，2]，j∈[1，1])分别为：157347558368911061313505707982477630918393805691和291210044024366714736641698341046089753076170479；

计算：Y＝e(g，g)^t＝[7541050007900577201111711391182562511460084913112056718698735295331838465268027242106762636742275688145260924631999028850543998510913414013668152157413536，1921205630970210907125201228045341450085144247919568049003269212269790295382258027779462576853882462787507898750594877563960886520036742969891097030709032]；

计算分别为：[553915751448763861598574217480802840084360256647891635500266764093799388779691622887311809224558010450927866637133063144688241142943487321799495781905683，937674807099817740594912204721336365435052287769297697355452451761217497440264650716985947891955231829040716243256592983558293177755714367621125383785541]和[4664062169671778255721357134450115491307857617102774886289191562399795388942116656645743600218390993200695007371192544609166497486460988251431766184119487，3298918537010486461186612275496355680613233588739643891715361934185291045286212259550904971406074440805544046023393256557836935952317911533776930256489212]；

系统公开参数PP＝{G₁，G₂，H，e，g，u}，系统主密钥对msk＝(t，α_i，j)和

S2、用户属性私钥生成执行以下步骤；

S21、用户属性私钥是sk_L＝{sk₁，sk₂}，其中属性私钥sk₁分别为[6368274481360342200458802678156981367411224458315523261048991521931473460322741573790728361553391747528808824853354136962890601839557500828902762135117269，5788256949513700394364333492750348376706631867763084154632924454784087522050590401025704219309727166812068548353914536894192132333204890312715082148640187][3572603681930970529571986091234655956342769970261002488562960820242220166293122551824877986524957719821566953904336579174014593255320692049131832815358570，2915507091612554170392662591572352430568547706804880680761260025131021346457804117601208867024762657889753941176506537203942658535659683357140749804535197]，属性私钥sk₂分别为[553915751448763861598574217480802840084360256647891635500266764093799388779691622887311809224558010450927866637133063144688241142943487321799495781905683，7843035992563494781842869780032713450371830911644910513673200947505258133439958306361639231530706989594115142526325724475719420189561766957304004614439250]和[4664062169671778255721357134450115491307857617102774886289191562399795388942116656645743600218390993200695007371192544609166497486460988251431766184119487，5481792262652826061251169709257694135193649610674564319313291465081184585594010697527720208016587780617611812746189060901440777414999569791148199741735579]。

S3、数据加密执行以下步骤；

S31、选择随机秘密值s∈Z_p，数据明文M∈Z_p；

S32、计算

C₀＝MY^s＝[1127144289006796520161777956466957844223446455635694174697160880305435624158670669716833668287365559483934171497188852205470278250555719223688304648767644，1107173700388559356539126977257246891142355067736036483838443829197667046424424303794023038695834742477079197127352699223720289135097167478335559557453875]，

C₂＝g^s＝[7756564698133547249820327578995004819772535800710144100542497428797994667945311247067273849026577332435390618716289237490723725002420482886439894415848974，3712972592374458722329861278663171716061059832108566291055525520020140033296404373480771992639088225273966342219683038176367116579799979724522211441031315]，

V＝H(u^M)＝[2529606736990671521968460986150661696200666674801001743771993934636657104329451930846777575644948461737698852738417629513968277275699680814085518917759705，8700691065673245248910832954425000871117520068195131199482897956334234458827041142642254597338302051324687753941635485115839177458366783048609376477655651]；

得到密文CT＝(C₀，C₁，C₂，V)。

S4、转换密钥生成执行以下步骤；

S41、选择随机值z∈Z_p；

S42、计算转换密钥对tk_GID＝(tpk_i，j，tsk_GID)，其中，tsk_GID为498534137916196157562228050976189031755509832336，tpk_i，j中分别为[7095139317719047879127016121616506092305390396229605115330909934298893737416028091641792086396621540472390825926989119166083152845030929274074921408940668，5946947025209901568462854364716770180679476232230163991027723024450313362544588241978081794100350438997321566178756381946697611193479490013247354477724675]和[3232321151418288527908531924194907709106322484239277600903445702480818920648109397284476383541043184253065259888097009746194062068742151131551113019584600，2392212811036789185715740536767078764352857273246343081259684497489745800286634844253004682685478147845838776719375984712420055525793452567124297958210524]，

分别为[5908400445331963071985405116984282977689703594545255749660441968537096606328550679765642213354325269237368235436800313001033372985274367316628756498733796，3494109377696452950296552984456785479295798932479510032665903133121468328257665513898699788881235168205117687003537326831894921048062935883297211452681441]和[402404442668616339055628480235698973867641736544864734873288907139923889365917748308962628685745083997123275864646015215053134481813553936101055550083002，1439572417268685579507247527531758259437719411128325995258823672863755174299596612126975360106714574605733381102657587183628473731439676907565072821271101]。

S5、外包解密执行以下步骤；

S51、用户向公有云发起密文申请，公有云收到申请后将密文发送给私有云进行解密计算；

S52、若用户属性集合L满足访问策略W(即L|＝W)，则进行下一步解密计算，否则解密失败并返回⊥；

S53、计算

S6、用户解密执行以下步骤；

S61、计算

S62、计算H(u^M)＝[2529606736990671521968460986150661696200666674801001743771993934636657104329451930846777575644948461737698852738417629513968277275699680814085518917759705，8700691065673245248910832954425000871117520068195131199482897956334234458827041142642254597338302051324687753941635485115839177458366783048609376477655651]，等式H(u^M)＝V验证成立，数据密文解密正确，否则输出⊥。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所做的等同替换，或直接或间接运用在相关技术领域，均同理包括在本发明的专利保护范围。

Claims (7)

1.一种基于外包解密的密文定长的加密传输机制，其特征在于，包括以下步骤：

S1、系统初始化，生成系统公开参数PP、系统主密钥对(mpk，msk)和用户全局标识符GID；

S2、用户私钥生成，根据系统公开参数PP、系统主私钥msk和用户属性列表L，生成属性私钥sk_L；

S3、数据加密，根据系统公开参数PP、数据明文M、系统主公钥mpk和访问结构W，生成密文CT；

S4、转换密钥生成，根据属性私钥sk_L和用户全局标识符GID，生成转换密钥对tk_GID；

S5、外包解密，若L满足密文访问策略W(即L|＝W)，则能成功解密输出部分密文M′；若L不满足密文访问策略W(即L|≠W)，则输出⊥；

S6、用户解密，根据部分密文M′和转换私钥tsk_GID，解密出数据明文M。

2.根据权力要求1所述的一种基于外包解密的密文定长的加密传输机制，其特征在于，所述步骤S1包括：

S11、选取阶为素数p的循环群G₁和G₂，定义双线性映射e：G₁×G₁→G₂，随机选取群G₁的元素g、u和抗碰撞的哈希函数H：{0，1}^*→Z_p，U＝{att₁，att₂，…，att_n}表示属性集合，L＝{L₁，L₂，…，L_n}表示用户的属性集合，表示属性att_i所有可能的属性值，i∈[1，n]，j∈[1，n_i]，n表示属性的最大个数，n_i表示属性值的最大个数。生成系统公开参数PP＝{G₁，G₂，H，e，g，u}；

S12、给注册的合法用户分配一个独一无二的全局标识符GID；

S13、为用户的每个属性att_i∈U选择两个随机数t∈Z_p和α_i，j∈Z_p，生成系统主密钥对msk＝(t，α_i，j)和

3.根据权力要求2所述的一种基于外包解密的密文定长的加密传输机制，其特征在于，所述步骤S2包括：

S21、根据用户属性列表L，计算出用户属性私钥sk_L＝{sk₁，sk₂}，其中v_i，j∈L表示用户拥有的所有属性值。

4.根据权力要求3所述的一种基于外包解密的密文定长的加密传输机制，其特征在于，所述步骤S3包括：

S31、选择随机秘密值s∈Z_p，数据明文M∈Z_p；

S32、根据用户访问结构W，计算C₀＝MY^s，C₂＝g^s，V＝H(u^M)，得到密文CT＝(C₀，C₁，C₂，V)，V表示数据M的检验值。

5.根据权力要求4所述的一种基于外包解密的密文定长的加密传输机制，其特征在于，所述步骤S4包括：

S41、选择随机值z∈Z_p；

S42、根据用户GID和私钥sk_L，计算tsk_GID＝z，得到转换密钥对tk_GID＝(tpk_i，j，tsk_GID)。

6.根据权力要求5所述的一种基于外包解密的密文定长的加密传输机制，其特征在于，所述步骤S5包括：

S51、用户向公有云发起密文申请，公有云收到申请后将密文发送给私有云进行解密计算；

S52、若用户属性集合L满足访问策略W(即L|＝W)，则进行下一步解密计算，否则解密失败并返回⊥；

S53、然后将部分密文M′发送给用户。

7.根据权力要求6所述的一种基于外包解密的密文定长的加密传输机制，其特征在于，所述步骤S6包括：

S61、计算得到数据明文M；

S62、计算H(u^M)，验证等式H(u^M)＝V是否正确，等式正确则表明解密成功，否则解密失败。