CN110474893A

CN110474893A - 一种异构跨信任域密态数据安全分享方法及系统

Info

Publication number: CN110474893A
Application number: CN201910696725.1A
Authority: CN
Inventors: 谭成翔; 徐潜; 朱文烨; 校娅
Original assignee: Tongji University
Current assignee: Tongji University
Priority date: 2019-07-30
Filing date: 2019-07-30
Publication date: 2019-11-19
Anticipated expiration: 2039-07-30
Also published as: CN110474893B

Abstract

本发明涉及一种异构跨信任域密态数据安全分享方法及系统，通过在无中心环境中引入属性基加密策略实现灵活的访问控制，基于加密索引以及智能合约实现密文的关键词检索，分割数据真实存储与区块链上的数据地址存储以降低区块链的存储开销，实现了基于身份属性与关键词密文检索的数据安全分享服务。与现有技术相比，本发明通过去中心化的P2P存储系统IPFS以及区块链技术实现了分布式去中心化的安全数据分享机制。

Description

一种异构跨信任域密态数据安全分享方法及系统

技术领域

本发明涉及一种密态数据安全分享方法，尤其是涉及一种异构跨信任域密态数据安全分享方法及系统。

背景技术

随着互联网技术的发展，云存储已经成为人们日常生活中所需要的一种重要的商业服务模型。

云存储技术可以为用户提供各种存储服务，使得用户(企业和个人)可以随时随地的访问网络资源并分享数据。

然而，由于云服务提供商并非完全可信，且存储到云端的数据事实上脱离了用户的物理控制，如何保证用户数据的隐私安全性，以及如何确保用户可以顺利的访问所需要的数据就成为云存储发展所需要面对的重要问题之一。

同时，中心化的存储模式也使得用户的数据存储成本不断提高，

此外，物联网技术带动下的雾计算、边缘计算扩展了传统的云计算中心化的计算服务模式，发生信息交互的用户往往来自不同的信任域，而信任域之间很难像传统的云计算环境一样确立共同的信任根。信任域彼此也存在异构关系，并非基于同一个信任体系。

因此，需要构建一个去中心化的分布式数据存储方案，在不需要中心化完全可信授权中心的情况下，为用户提供数据的安全存储与访问能力。

传统的云存储环境中，通常采用加密的方式来保证数据的隐私安全性。

很多已有的加密方法由于密文的多拷贝(公钥加密)和复杂的密钥管理(对称加密)问题，不适合于对海量数据进行加密并分享。基于属性的加密(ABE)可以在有效证明访问者身份属性的基础上实现灵活的数据共享，它为多个用户生成一个密文的副本，依赖加密谓词实现细粒度的访问控制，因此可以应用于one-to-many的数据安全分享系统中。

但是大部分的ABE方案均需要一个可信的密钥生成中心PKG来建立系统并为用户分发属性密钥，这显然不适用于分布式的跨域环境，且容易造成如密钥托管、单点失效(single point failure,SPoF)等安全问题。

在ABE的研究领域已有一些针对去中心化场景的方案构造，但是仅仅利用ABE提供数据的安全访问控制功能只能从数据属主的角度管控数据访问者的访问权限，由于数据分享是一个双向的信息交互过程，因此还需要考虑的问题是数据分享过程中的面向用户的按需检索、定制所需信息资源的能力。

对数据进行加密(如ABE等)操作虽然可以保护数据隐私性，但会破坏数据的原始结构，导致对数据的检索操作很难有效执行。若将全部密态数据下载到本地再解密并检索，所需要的计算存储开销较大，失去了外包数据存储的意义。

一种可行方案是采用可搜索加密(searchable encryption,SE)技术，不仅可以直接在密文上执行检索操作，也可以提供对于标签和搜索令牌的隐私保护。

然而，很多SE方案只支持单一用户检索，无法面向跨信任域环境下海量用户的检索情景，且很多已有SE方案的检索策略只支持简单的完全相等或与门匹配等，无法实现灵活的检索策略。

同时，大多数SE方案都考虑在中心化环境，对于无中心完全可信授权中心的分布式环境中如何实现灵活高效的可搜索密文检索服务，还没有有效的解决方案。另外，效率问题也成为实际应用的瓶颈，减少终端用户的存储计算开销将使得方案可以更好的应用在物联网等资源敏感环境。

综上所述，在分布式去中心化环境中，构建支持多用户的高效的数据安全分享机制，使数据属主拥有灵活的授权能力，并为数据访问者提供按需定制的密文数据检索服务，对于诸如云计算与物联网技术的发展具有重要意义。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种异构跨信任域密态数据安全分享方法及系统。

本发明的目的可以通过以下技术方案来实现：

一种异构跨信任域密态数据安全分享方法，通过在无中心环境中引入属性基加密策略实现灵活的访问控制，基于加密索引以及智能合约实现密文的关键词检索，分割数据真实存储与区块链上的数据地址存储以降低区块链的存储开销，实现了基于身份属性与关键词密文检索的数据安全分享服务。

数据加密阶段包括：

步骤A1：数据属主对明文数据进行加密后上传至分布式存储系统，并加密返回的的存储地址为CT_loc；

步骤A2：定义加密谓词并用ABE加密得到密文CT_k；

步骤A3：随机选择对称密钥K₁加密CT_loc与CT_k以封装到交易内广播存储到区块链上；

步骤A4：根据关键词集合建立加密索引，结合K₁一并存储到智能合约中。

数据获取阶段包括：

步骤B1：利用智能合约判断数据访问者属性是否满足加密谓词，若是则执行合约的关键词检索过程，返回交易ID集合和交易对应的封装过的K₁；

步骤B2：数据访问者利用属性密钥恢复K₁，根据交易ID集合获取CT_loc与CT_k；

步骤B3：利用代理服务器调用ABE部分解密算法Partial Decryption获取部分解密密文，并亲自执行用户解密过程User Decryption获取密钥K；

步骤S4：从CT_loc中获取真实数据的IPFS存储地址，从而获得真实明文数据。

该方法引入在线\离线加密以及解密外包机制以提高存储与计算效率。

数据属主将加密过程分成离线Offline阶段与在线Online阶段，在线Online阶段负责处理与明文数据以及加密谓词相关的轻量级运算，离线Offline阶段用于处理其他复杂的数据加密运算，包括进行有限群G上的指数运算或双线性对运算。

该方法利用脱离于所有信任域的分布式存储IPFS以及区块链构建异构信任域之间数据的共同分布式存储环境，从而不依赖如云服务提供商或中心化授权中心等机构将数据与异构的信任域分离。

所述步骤A1中对明文数据的加密方式为对称加密方式。

一种实现权上述异构跨信任域密态数据安全分享方法的系统，包括：

属性授权中心，共设有多个，多个分布式的独立属性授权中心之间不存在通信，用于管理用户属性并独立的按照自己监控的属性为用户生成属性密钥；

数据属主，作为完全可信的通信实体，负责创建明文数据、加密数据、上传数据以及构建加密索引；

数据访问者，用于基于自身的属性密钥建立搜索令牌从而尝试获取符合自身兴趣的明文数据；

分布式存储系统，具有数据存储能力，用于存储加密后的数据，减轻本地存储压力；

区块链，负责存储数据在IPFS系统中的地址，以及数据属主创建的智能合约、加密索引信息。

与现有技术相比，本发明具有以下有益效果：通过去中心化的P2P存储系统IPFS以及区块链技术实现了分布式去中心化的安全数据分享机制；利用相互独立的信任域内属性授权中心管理用户身份属性并共同生成用户的属性密钥，使方案适用于跨信任域场景；利用属性加密以及基于智能合约的密文关键词检索实现了细粒度的安全访问控制以及密文数据可搜索服务；并引入在线/离线数据加密和解密代理外包提高终端用户存储计算效率，实现分布式环境下的安全高效的跨信任域密态数据安全分享。

附图说明

图1为本发明系统的结构示意图；

图2为本发明方案流程图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

本申请具体解决了：S1)基于异构跨信任域身份属性证明实现数据属主侧访问授权；S2)基于智能合约构建跨域密态关键词检索从而实现数据访问者的按需兴趣密文订阅；S3)采用分布式环境下的在线/离线加密阶段分割实现用户端轻量化的数据分享机制。

其中，S1采用分布式去中心化的存储系统IPFS来实际存储密文数据，以太坊区块链上只存储IPFS系统上的数据地址；并利用加密谓词结构实现跨域的身份属性证明，即只有当数据访问者的属性满足数据属主定义的加密谓词时，访问者才有权获取区块链上的密文数据，并解密获取真实数据存储地址；数据属主将原始明文M通过对称加密(AES等)机制进行加密CT_M＝Enc_K(M)，上传到存储系统中，再基于同样的对称密钥利用对称加密机制加密返回的数据地址CT_loc＝Enc_K(Location)，并利用ABE加密对称加密密钥CT_k＝ABE.Enc(K)；数据属主再次随机选择对称加密密钥K₁并加密ABE密文以及加密地址并将结果密文CT_tx以交易的形式存储到区块中；同时，随机选择的对称密钥K₁嵌入到加密索引中发送给智能合约。数据属主与数据访问者的属性由分布且相互独立的属性授权服务器进行管理，属性密钥也由相应的属性授权服务器共同生成，属性授权服务器属于不同的信任域，信任域通过属性授权服务器管理用户在其域内的相应身份属性。

数据属主基于明文构建加密索引并上传到智能合约上；数据访问者根据兴趣关键词以及自身的属性密钥构建搜索令牌，实现用户关切的密态数据检索。

搜索令牌采用随机化算法生成，各令牌之间互不关联，且所述搜索令牌可在开放信道中进行传输；通过智能合约来执行关键词检索过程，只有当检索过程正确执行后，数据访问者才会付清合约执行的服务费，从而保证数据访问者可以获得正确的查询结果。

在ABE加密对称密钥阶段，数据属主将加密过程分成离线Offline阶段与在线Online阶段；在线Online阶段负责处理与明文数据以及加密谓词相关的轻量级运算；离线Offline阶段用于处理其他复杂的数据加密运算，包括进行有限群G上的指数运算或双线性对运算。

将明文获取过程分成数据定位阶段，代理数据解密阶段，用户解密阶段，以及真实数据获取阶段；数据定位阶段中，智能合约检测数据访问者的身份属性是否匹配数据属主定义的加密谓词，如果不匹配则结束查询过程；否则，根据访问者提交的搜索令牌Token，返回满足访问者查询条件的交易ID集合以及每个交易相应的加密索引中嵌入的K₁；数据访问者利用交易ID集合以及每个交易相应的K₁获取CT_loc,CT_k，同时利用代理服务器在代理数据解密阶段利用Token进行部分解密，并返回部分解密密文；之后在用户解密阶段获取ABE的明文即密钥K，并进而得到Location；最后，数据访问者从IPFS系统中依据Location取得CT_M，并基于密钥K解密得到真实数据M。

离线Offline阶段仅输入系统公共参数以及属性授权中心公钥，输出离线密文和中间状态；所述步骤S3中在线Online阶段输入待加密的对称密钥K和中间状态，输出实际密文CT_k。

上述的异构跨信任域密态数据安全分享方法，其中，所述步骤S3中，代理数据解密阶段由代理解密服务器执行，其利用搜索令牌Token执行部分解密操作，代理解密服务器可以是半诚实的任何参与方。

具体的，参见图1，本发明方法中包含五类实体：信任域内独立分布式的属性授权中心AA、分布式P2P存储系统IPFS、用户(包括数据属主data owner以及数据访问者datauser)、支持智能合约的以太坊区块链以及代理服务器。

分布式的独立属性授权中心AA之间不存在通信，可以管理用户属性并独立的按照自己监控的属性为用户生成属性密钥，AA可能被敌手攻破并泄露其私钥，也可以与数据访问者共谋攻击试图获取未授权的数据的访问权。

IPFS具有数据存储能力，可以存储加密后的数据，减轻本地存储压力。

数据属主作为完全可信的通信实体，负责创建明文数据、加密数据、上传数据以及构建加密索引。数据属主可以是个人或组织机构(如电子医疗记录系统EHR中的医院等)等。数据属主同样需要在区块链上部署用于关键词检索的智能合约smart contract。数据访问者也可以是个人或者组织机构，并基于自身的属性密钥建立搜索令牌从而尝试获取符合自身兴趣的明文数据。

区块链Blockchain负责存储数据在IPFS系统中的地址，以及数据属主创建的智能合约、加密索引等信息。

代理服务器Proxy Server用于执行外包的部分属性加密ABE的解密运算，从而减轻数据访问者获取数据的计算开销。

本发明提供的分布式跨信任域密态数据安全分享方法，是一种在完全去中心化环境下面向多用户支持安全访问控制以及密文检索的数据分享方法，包括以下过程：

1)为了在分布式的异构多信任域环境中实现密态数据的安全分享方法，设立属性授权中心来抽象信任域对用户身份属性的管理，并将用户的身份属性控制分散到多个相互独立的属性授权中心上，即用户的身份属性构成可能仅来自于一个信任域内的属性授权中心，也可能同时来自于多个信任域内的多个属性授权中心，从而将用户层与信任域层分离，由于属性授权中心之间完全相互独立，使得数据分享方案不需要考虑信任域间通信方式以及用户与信任域复杂的嵌套关系，用户的密钥生成也由属性授权中心独立完成，方案不需要全局的系统密钥存在，也不需要中心化的完全可信授权服务器；

2)方案所引入得区块链系统以及IPFS存储系统均是去中心化结构的，从而使得本发明方案真正构成了去中心化的密态数据安全分享；

3)利用属性加密实现对数据访问者的细粒度授权管理，从数据属主的角度管控数据访问者的访问权限；

4)数据属主构建基于明文关键词的加密索引，并存储到区块链中的智能合约上，利用智能合约的公平执行特性来确保关键词检索过程的正确进行；

5)为提高方案的计算与存储效率，采用了计算外包机制，将较为耗时的涉及ABE加密、解密部分分别拆分为在线\离线加密以及数据定位阶段，代理数据解密阶段，用户解密阶段和真实数据获取阶段；大量复杂的运算被离线执行或者外包到代理服务器上，从而减轻本地用户的计算和存储开销；

6)方案安全性方面除了依赖于属性加密以及对称加密确保的数据隐私安全性以外，还通过引入全局身份GID实现抵抗共谋攻击，以及通过随机化搜索令牌生成过程实现令牌的不可关联性；此外，基于区块链的共识特性可以实现检索查询的正确性和不可篡改性。

作为本发明的进一步优化方案，过程1)中每个独立的属性授权中心AA_j只基于其所控制的属性信息生成针对每个属性的公私钥对{PK_j,SK_j}。

作为本发明的进一步优化方案，过程2)中IPFS系统中存储真正的明文对应的密文数据，而区块链上仅存储包括经交易封装的IPFS数据地址信息以及对称密钥、智能合约等数据，从而节省区块链的存储开销。

作为本发明的进一步优化方案，过程2)中的数据在IPFS系统上的存储地址在存储到区块链中时事实上经过了三次封装，第一次经过对称密钥K加密得到CT_loc，第二次将K用ABE加密得到CT_k，数据属主通过ABE加密控制数据访问者对密钥K的访问权限，CT_loc与CT_k经K₁的再次封装作为交易存储到链上，而K₁将作为加密索引的关键信息存储到智能合约中。

作为本发明的进一步优化方案，过程3)中数据属主定义跨属性授权中心的加密谓词结构，以细粒度的管控数据访问者的身份属性，加密谓词将与ABE密文一并上传到区块链上，在智能合约执行关键词检索时用以判断数据访问者是否具有检索查询权限，即实现属性证明。

作为本发明的进一步优化方案，过程4)中数据属主基于关键词生成的加密索引结构是一种随机化过程，即使同一个关键词集合的两次索引生成结果也可能不同，从而确保敌手无法建立搜索令牌与关键词之间的关联关系，实现搜索令牌的隐私安全性。

作为本发明的进一步优化方案，过程5)中进一步考虑将ABE加密过程拆分为两个阶段，即离线Offline阶段与在线Online阶段；离线Offline阶段侧重于处理复杂的数据发布运算(如有限群上的指数运算或双线性对运算)，但与具体的待加密数据(本发明方案中为对称密钥K)以及加密谓词无关；在线Online阶段负责处理与数据文本和加密谓词相关的轻量级运算(如上运算)等。由于离线阶段与加密数据无关，因此可以在数据属主的设备空闲时计算，也可以针对不同明文数据只计算一次，从而有效提高数据属主终端的存储计算效率。

图2为本发明分布式跨信任域密态数据安全分享流程图。

请继续参见图2，本发明的系统方案流程整体上分成五个部分：系统初始化SystemInitialization、密钥生成Secret Key Generation、搜索令牌生成Trapdoor Generation、数据加密Data Encryption以及数据获取Data Obtain。

系统初始化阶段用于生成系统公共参数和AA的公私密钥。其中AA的公私密钥可以由其自己生成，而不用相互交互。

密钥生成阶段由AA为用户生成属性密钥。密钥生成与属性绑定，AA只负责生成其所监控的属性的密钥。

搜索令牌生成阶段由数据访问者在本地运行，数据访问者根据自己的属性密钥以及待检索的兴趣关键词生成搜索令牌Token。

数据加密阶段包括：

步骤A2：定义加密谓词并用ABE加密得到密文CT_k；

数据获取阶段包括：

本发明提供的分布式跨信任域密态数据安全分享方法，通过在无中心环境中引入属性基加密策略实现灵活的访问控制，基于加密索引以及智能合约实现密文的关键词检索，分割数据真实存储与区块链上的数据地址存储以降低区块链的存储开销，实现了基于身份属性与关键词密文检索的数据安全分享服务，并引入在线\离线加密以及解密外包机制以提高方法的用户侧存储与计算效率。

第一步，构建无中心化的属性基访问控制机制；将中心可信授权服务器的属性管理与密钥生成工作分散到多个独立无交互的属性授权服务器上，授权服务器可能被攻破并泄露关键信息，甚至可以与数据访问者共谋试图获取未授权的数据。

第二步，将数据加密中的ABE加密过程拆分为离线Offline阶段与在线Online阶段，并将与具体待加密数据和加密谓词无关的复杂计算放到Offline阶段，而Online阶段只负责简单的计算，由于离线计算与数据解耦，其可以在发布者空闲时运行，也可以针对多个发布数据只运行一次，从而提高数据发布者存储和计算效率。具体的：

Offline-Enc(PP，{PK_j}_j∈[1，N])→{CT_OFF，IS}，此算法用于离线阶段，只输入系统公共参数PP以及属性授权中心公钥{PK_j}_j∈[1，N]，输出离线密文和中间状态IS，其中l_max为加密谓词对应矩阵的最大行数。

将ABE密文分为离线密文CT_OFF和中间状态IS的目的是在代理数据解密阶段与在线密文CT_online组装为待解密密文CT_Wait，这样数据属主在在线阶段只需要执行极小代价的计算得到CT_online即可。

此算法用于在线阶段。输入对称密钥K，公共参数PP，加密谓词其中M_e为l_e×n_e矩阵，以及离线阶段输出的CT_OFF，I_S，输出并得到实际密文CT_k＝{CT_online，CT_OFF，IS}。

数据访问者可以利用自己的属性密钥SK_GID自行生成搜索令牌Token，不需要再与属性授权中心交互，减少了系统开销。具体的：

Trapdoor(PP，SK_GID，W)→Token.令牌生成算法输入公共参数，用户私钥SK_GID以及关键词W，输出检索令牌Token。Token＝{Tk₁＝(SK_GID)^1/z，Tk₂＝H(PP，W||0)}，其中，z为数据访问者随机选择的整数，H为系统初始化阶段公开的哈希函数。

加密索引生成阶段，数据属主首先需要嵌入关键词信息，即生成IDX_i＝H(PP，W_i||0)和IDY_i＝H(PK_DO，W_i||1)，其中PK_DO为数据属主的公钥。之后需要封装相应的交易ID以及对应的K₁，即以及其中txID为CT_k经K₁加密后嵌入的交易的ID，W_i为当前明文关键词集合WS中的一员。即加密索引为将idx存到智能合约中。

在数据定位阶段，智能合约在验证数据访问者可以支付合约执行的费用，且其身份属性满足加密谓词后，根据IDX_i与Tk₂查询满足Token的idx，并返回给数据访问者，只有当合约正确执行时数据访问者才会顺利支付相应费用，费用包含两部分，一部分$offer用以给数据属主，另一部分$reward＝G_search*$gas_price用来给矿工，其中G_search为检索过程gas的消耗数目，$gas_price为gas单价。

在获得idx后，数据访问者首先计算IDY_i′＝H(PK_DO，W||1)并恢复txID和K₁，并进而从txID对应交易内的CT_tx中得到CT_k和CT_loc。

在部分解密阶段，数据访问者将Token和CT_k发送给代理服务器，代理服务器执行Partial_Decryption算法返回部分密文。具体的：

Partial-Decryption(PP，CT_k，Token)→CT_IM，此算法用于Partial Decryption代理数据解密阶段。代理数据服务器执行此部分解密算法为数据访问者解密密文。代理数据服务器首先基于CT_OFF，IS组合得到待解密密文CT_Wait。之后进行解密得到部分解密密文并返回数据访问者。

数据访问者执行User-DataDecrypt算法得到对称密钥K，具体的：

其中z于Trapdoor算法中生成并保存于数据访问者本地。

数据访问者利用K解密CT_loc，从IPFS系统中得到CT_M，再利用K得到明文M。

本发明方案的数据隐私性基于对称加密方案AES以及属性加密ABE的安全性；搜索令牌的安全性基于Trapdoor算法的随机性以及哈希函数H的单向性；区块链的共识特性保证了检索查询结果的正确性；最后，针对合谋攻击(包括数据访问者合谋、数据访问者与属性授权中心合谋、数据访问者与代理数据服务器合谋)，利用随机预言模型与离散对数进行方案抵御合谋攻击的安全性证明。

Claims

1.一种异构跨信任域密态数据安全分享方法，其特征在于，通过在无中心环境中引入属性基加密策略实现灵活的访问控制，基于加密索引以及智能合约实现密文的关键词检索，分割数据真实存储与区块链上的数据地址存储以降低区块链的存储开销，实现了基于身份属性与关键词密文检索的数据安全分享服务。

2.根据权利要求1所述的一种异构跨信任域密态数据安全分享方法，其特征在于，数据加密阶段包括：

步骤A2：定义加密谓词并用ABE加密得到密文CT_k；

3.根据权利要求2所述的一种异构跨信任域密态数据安全分享方法，其特征在于，数据获取阶段包括：

4.根据权利要求2所述的一种异构跨信任域密态数据安全分享方法，其特征在于，该方法引入在线\离线加密以及解密外包机制以提高存储与计算效率。

5.根据权利要求4所述的一种异构跨信任域密态数据安全分享方法，其特征在于，数据属主将加密过程分成离线Offline阶段与在线Online阶段，在线Online阶段负责处理与明文数据以及加密谓词相关的轻量级运算，离线Offline阶段用于处理其他复杂的数据加密运算，包括进行有限群G上的指数运算或双线性对运算。

6.根据权利要求5所述的一种异构跨信任域密态数据安全分享方法，其特征在于，该方法利用脱离于所有信任域的分布式存储IPFS以及区块链构建异构信任域之间数据的共同分布式存储环境，从而不依赖如云服务提供商或中心化授权中心等机构将数据与异构的信任域分离。

7.根据权利要求2所述的一种异构跨信任域密态数据安全分享方法，其特征在于，所述步骤A1中对明文数据的加密方式为对称加密方式。

8.一种实现权利要求1～7中任一所述异构跨信任域密态数据安全分享方法的系统，其特征在于，包括：