CN110557368B - 一种属性基信息流控制方法及系统 - Google Patents

Abstract

本发明公开了一种属性基信息流控制方法，包括步骤：发送者发送第二属性、认证标签和密文给消毒机构；消毒机构对接收到的第二属性和认证标签进行认证，认证通过后对接收到的密文进行消毒，得到被消毒密文，将被消毒密文发送给接收者；接收者利用接收者密钥对收到的被消毒密文进行解密，得到明文。一种属性基信息流控制系统，包括：中心机构、消毒机构、发送者和接收者。可以灵活的选择信息流的访问控制结构；通过消毒机构的认证过程，判断第二属性的合法性，以及是否满足信息流控制政策，确认消息来源的合法性；通信成本与访问控制结构的复杂度成正比。

Description

一种属性基信息流控制方法及系统

技术领域

本发明涉及计算机安全领域，尤其涉及一种属性基信息流控制方法及系统。

背景技术

信息流控制被用于规范数据流的流向。一个数据流控制政策由三部分组成：安全等级、安全等级间信息流动关系的说明以及将客体分成不同安全等级的方法。当系统中一个用户向另一个用户发送一条消息时，系统中就出现了一条信息流。如果通信双方的安全等级满足信息流控制政策，该信息流被受理；否则，该信息流被中断。Bell–LaPadula(BLP)模型是应用最广的信息流控制模型。该模型强调两个规则：(1)向上不可读：一个用户只能阅读安全等级等于或者低于其安全等级的文件；(2)向下不可写：用户只能创建、修改安全等级等于或者高于其安全等级的文件。

传统的公钥加密方案(RSA、EIGamal)可以实现安全的端对端通信，但不能表达灵活的访问控制结构。属性基加密是一种灵活的公钥加密方案。在该方案中，加密者用一组属性加密消息，得到密文。一个用户可以解密密文当且仅当其属性与密文中的属性相匹配。与传统的公钥加密方案相比，属性基加密具有以下优点：(1)可以实现灵活的访问控制结构；(2)通信成本与访问控制结构的复杂度成正比，而不是与接收者的人数成正比。

加密方案可以实现对数据接收者的控制，然而对信息发送者没有任何控制，即加密方案只能实现向上不可读功能。为了加强信息流访问控制方案，访问控制加密被提出。一个访问控制方案由四个实体构成：中心机构、消毒机构、消息发送者和消息接收者。发送者须经由消毒机构才能将消息发送给接收者。消毒机构对收到的消息首先做消毒处理，然后将消毒后的消息发送给信息接收者。如果消息发送者和消息接收者的安全等级满足系统中的信息流控制政策，则消息接收者可以获得明文消息；否则，消息接收者不能获得关于明文消息除长度外的任何信息。因此，访问控制加密可以同时实现向上不可读规则和向下不可写规则。

现有的访问控制加密存在以下缺陷：一、消毒机构对于消息来源的合法性无法认证，即消毒机构需要对接收到的任何信息进行消毒。因此，消毒机构容易遭受服务否定攻击；二、不能表达灵活的信息流访问控制政策；三、通信成本较高，即与消息接收者的人数成正比关系。

发明内容

本发明的目的在于解决现有技术存在的缺陷。

为了达到上述目的，一方面，本发明公开了一种属性基信息流控制方法，包括下列步骤：

发送者发送第二属性、认证标签和密文给消毒机构；其中，根据发送者选择的访问控制结构，得到第一属性，根据第一属性和中心机构说明的信息流控制政策，选择发送者的部分属性作为第二属性；第一属性和第二属性同时满足信息流控制政策；利用发送者密钥生成认证标签；根据访问控制结构和消毒机构公钥加密明文得到密文；

消毒机构对接收到的第二属性和认证标签进行认证，认证通过后对接收到的密文进行消毒，得到被消毒密文，将被消毒密文发送给接收者；其中，认证包括：判断第一属性和第二属性是否满足信息流控制政策，根据认证标签判断发送者是否拥有第二属性；消毒包括：利用消毒机构私钥和代理解密密钥对密文进行消毒；

接收者利用接收者密钥对收到的被消毒密文进行解密，得到明文。

在一个实例中，如果消毒机构判断第一属性和第二属性满足信息流控制政策，且发送者拥有第二属性，则认证通过；如果消毒机构判断第一属性和第二属性不满足信息流控制政策，和/或发送者没有第二属性，则终止信息流。

在一个实例中，消毒机构对接收到的密文进行消毒之前，还将判断第一属性是否为接收者属性的子集；如果是，则消毒密文；如果不是，则终止信息流。

另一方面，本发明公开了一种属性基信息流控制系统，包括：中心机构、消毒机构、发送者和接收者；其中，

中心机构，根据安全参数1^k，生成主密钥、消毒机构公钥、消毒机构私钥、信息流控制政策和系统公共参数；根据主密钥、系统公共参数和发送者属性，生成发送者密钥和发送者代理解密密钥；根据主密钥、系统公共参数和接收者属性，生成接收者密钥和接收者代理解密密钥；

发送者，用于发送第二属性、认证标签和密文给消毒机构；其中，根据发送者选择的访问控制结构，得到第一属性，根据第一属性和信息流控制政策，选择发送者的部分属性作为第二属性；第一属性和第二属性同时满足信息流控制政策；利用发送者密钥生成认证标签；根据访问控制结构和消毒机构公钥加密明文得到密文；

消毒机构，用于对接收到的第二属性和认证标签进行认证，认证通过后对接收到的密文进行消毒，得到被消毒密文，将被消毒密文发送给接收者；其中，认证包括：判断第一属性和第二属性是否满足信息流控制政策，根据认证标签判断发送者是否拥有第二属性；消毒包括：利用消毒机构私钥和代理解密密钥对密文进行消毒；

接收者，用于利用接收者密钥对收到的被消毒密文进行解密，得到明文。

一个实例中，消毒机构，还用于判断第一属性是否为接收者属性的子集；如果是，则消毒密文；如果不是，则终止信息流。

本发明的有点在于：可以灵活的选择信息流的访问控制结构；通过消毒机构的认证过程，判断第二属性的合法性，以及是否满足信息流控制政策，确认消息来源的合法性；通信成本与访问控制结构的复杂度成正比。

附图说明

图1为本发明实施例的一种属性基信息流控制方法流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例的一种属性基信息流控制方法流程图，如图1所示。包括下列步骤：

步骤S110：发送密文

发送者发送第二属性A_S’、认证标签Hd和密文CT给消毒机构。

其中，根据发送者选择的访问控制结构AC，得到第一属性Ω，根据第一属性Ω和中心机构说明的信息流控制政策P，选择发送者的部分属性作为第二属性A_S’；第一属性Ω和第二属性A_S’同时满足信息流控制政策P；利用发送者密钥SK_S生成认证标签Hd；根据访问控制结构AC和消毒机构公钥SPK加密明文M得到密文CT。

具体的，在明文M加密得到密文CT的过程中，还会用到系统公共参数params。

步骤S120：密文认证消毒

消毒机构对接收到的第二属性A_S’和认证标签Hd进行认证，认证通过后对接收到的密文CT进行消毒，得到被消毒密文CT’，将被消毒密文CT’发送给接收者。

其中，认证包括：判断第二属性A_S’和第一属性Ω是否满足信息流控制政策P，根据认证标签Hd判断发送者是否拥有第二属性A_S’。

具体的，在认证过程中，还会用到消毒机构私钥SSK。

其中，消毒包括：利用消毒机构私钥SSK和代理解密密钥TK_R对密文CT进行消毒。

具体的，在消毒过程中，还会用到访问控制结构AC和系统公共参数params。

步骤S130：解密密文

接收者利用接收者密钥SK_R对收到的被消毒密文CT’进行解密，得到明文M。

具体的，在解密明文过程中，还会用到系统公共参数params。

在进行步骤S130-S150之前，还包括步骤S101和步骤S102。

步骤S101：系统初始化

中心机构根据输入的安全参数1^k，生成系统的主密钥MSK、消毒机构公钥SPK、消毒机构私钥SSK、信息流控制政策P和系统公共参数params。

步骤S102：生成密钥

中心机构根据主密钥MSK、系统公共参数params和发送者属性A_S，生成发送者密钥SK_S和发送者代理解密密钥TK_S；根据主密钥MSK、系统公共参数params和接收者属性A_R，生成接收者密钥SK_R和接收者代理解密密钥TK_R。

在一个具体实施例中

系统中的所有属性UA＝{att₁，att₂，…，att_N}，密码学哈希函数H：{0，1}^*→Z_p，其中，{att₁，att₂，…，att_N}∈{0，1}^*，N为正整数，p为长度为k的素数，素数p作为构成有限域Z_p的模p。中心机构说明一个信息流控制政策P：UA×UA→{0，1}。根据输入的安全参数1^k，利用双线性群生成算法BG(*)生成对应的双线性群(e，p，G，G_τ)，即BG(1^k)→(e，p，G，G_τ)，其中，(e，p，G，G_τ)满足e：G×G→G_τ。中心机构从群G中随机选择生成元g，h，h₀，h₁，h₂，η，ξ，

ψ，g₁，g₂，…，g_N，从有限域Z_p中选择随机元素x₁，x₂，x₃，x₄，θ，计算

Y＝g^θ。进而构成系统的主密钥MSK＝(x₁，x₂，x₃，x₄)，消毒机构公钥SPK＝Y，消毒机构私钥SSK＝θ，系统公共参数params＝(e，p，G，G_τ，g，h，h₀，h₁，h₂，η，ξ，

ψ，g_1，g₂，…，g_N，X₁，X₂，X₃，X₄，Y)。即Setup(1^k)→(MSK，(SSK，SPK)，P，params)。

发送者拥有发送者属性A_S＝{a₁，a₂，…，a_N}∈{0，1}^N，其中当a_i＝1时，发送者拥有属性att_i，当a_i＝0时，发送者不具有属性att_i，这里i＝1，2，…，N。中心机构从有限域Z_p中选择随机元素t_s，w_s，e_s，计算

构成发送者密钥

为了外包解密运算，发送者从有限域Z_p中随机选择z_s，计算

构成发送者代理解密密钥

并将TK_S发送至消毒机构。即KeyGen(MSK，A_S，params)→(SK_S，TK_S)。

接收者拥有接收者属性A_R＝{a₁，a₂，…，a_N}∈{0，1}^N，其中当a_i＝1时，接受者拥有属性att_i，当a_i＝0时，接受者不具有属性att_i，这里i＝1，2，…，N。中心机构从有限域Z_p中随机选择t_r，w_r，e_r，计算

构成发送者密钥

为了外包解密运算，接收者从有限域Z_p中随机选择z_r，计算

构成发送者代理解密密钥

并将TK_R发送至消毒机构。即KeyGen(MSK，A_R，params)→(SK_R，TK_R)。

发送者拥有发送者属性A_S和接收自中心机构的发送者密钥SK_S。发送者首先选择一个访问控制结构AC，此处的AC为一个l×n的矩阵

矩阵

的第i行为M_i，i＝1，2，...，l，根据映射ρ将矩阵

的每一行映射为系统中所有属性UA中的一个属性，得到第一属性Ω＝{a_ρ(1)，a_ρ(2)，…，a_ρ(l)}，此处的第一属性Ω为(M₁，M₂，...，M_l)对应的属性集合。根据第一属性Ω和中心机构说明的信息流控制政策P，选择发送者属性A_S中的部分属性作为第二属性A_S’，即

第一属性Ω和第二属性A_S’同时满足信息流控制政策P，即P(A′_S，Ω)＝1。

加密明文M的过程中，明文M来自系统生成的双线性群(e，p，G，G_τ)之中的群G_τ，即M∈G_τ。

发送者从有限域Z_p中随机选择n元向量

以及随机元素r₁，r₂，…，r_l，计算

其中

构成密文

发送者从有限域Z_p中随机选择元素z₁，z₂，z₃，计算

和一个基于零知识证明的签名Π：

构成认证标签Hd＝(K′_S，L′_S，δ′_S，Z，Z′，T₁，T₂，Π)。

即Enc(SK_S，AC，SPK，M，P，params)→(A′_S，CT，Hd)。

发送者将第二属性A_S’、密文CT和认证标签Hd发送给消毒机构。

消毒机构接收第二属性A_S’、密文CT和认证标签Hd。

判断第二属性A_S’和认证标签Hd是否满足信息流控制政策P，即P(A′_S，Ω)＝1是否成立。如果A_S’和Hd满足P，即P(A′_S，Ω)＝1，则进行后续步骤。如果A_S’和Hd不满足P，即P(A′_S，Ω)≠1，则消毒机构立即停止该信息流。

根据认证标签Hd判断发送者是否拥有第二属性A_S’，具体的，通过验证Hd中的基于零知识证明的签名Π是否正确进行判断。如果签名Π正确，证明发送者拥有A_S’，则进行后续步骤。如果签名Π不正确，证明发送者没有A_S’，则消毒机构立即停止该信息流。

即Authen(P，Ω，A′_S，Hd)→0/1。

结合上述两步判断步骤，仅当P(A′_S，Ω)＝1，且签名Π正确时，表示认证通过，消毒机构进入后续消毒阶段。当P(A′_S，Ω)≠1和/或签名Π不正确时，消毒机构立即停止该信息流。

此外消毒机构还可以增加对接收者属性A_R的判断，分别判断接收者属性A_R和第一属性Ω以及矩阵

的关系。仅当第一属性Ω为接收者属性A_R的子集，即

且满足矩阵

时，进入后续消毒步骤；否则立即停止信息流。

消毒机构从有限域Z_p中选择随机元素s′，计算

其中，I＝{q：ρ(q)∈A_R}，{w_q}_q∈I为常数且满足∑_q∈Iλ_qw_q＝s。得到被消毒密文

即Sanitizing(SSK，TK_R，AC，CT，params)→CT′。

消毒机构将被消毒密文CT'发送给接收者。

接收者利用接收者密钥SK_R对被消毒密文CT’进行解密计算，计算

得到明文M。即Dec(SK_R，params，CT′)→M。

通过一种属性基信息流控制系统来完成上述属性基信息流控制方法。该系统包括：中心机构、消毒机构、发送者和接收者。其中，

中心机构，根据安全参数1^k，生成主密钥MSK、消毒机构公钥SPK、消毒机构私钥SSK、信息流控制政策p和系统公共参数params；根据主密钥MSK、系统公共参数params和发送者属性A_S，生成发送者密钥SK_S和发送者代理解密密钥TK_S；根据主密钥MSK、系统公共参数params和接收者属性A_R，生成接收者密钥SK_R和接收者代理解密密钥TK_R；

发送者，用于发送第二属性A_S’、认证标签Hd和密文CT给消毒机构；其中，根据发送者选择的访问控制结构AC，得到第一属性Ω，根据第一属性Ω和信息流控制政策P，选择发送者的部分属性作为第二属性A_S’；第一属性Ω和第二属性A_S’同时满足信息流控制政策P；利用发送者密钥SK_S生成认证标签Hd；根据访问控制结构AC和消毒机构公钥SPK加密明文M得到密文CT；

消毒机构，用于对接收到的第二属性A_S’和认证标签Hd进行认证，认证通过后对接收到的密文CT进行消毒，得到被消毒密文CT’，将被消毒密文CT’发送给接收者；其中，认证包括：判断第一属性Ω和第二属性A_S’是否满足信息流控制政策P，根据认证标签Hd判断发送者是否拥有第二属性A_S’；消毒包括：利用消毒机构私钥SSK和代理解密密钥TK_R对密文CT进行消毒；

接收者，用于利用接收者密钥SK_R对收到的被消毒密文CT’进行解密，得到明文M。

在一个实例中，消毒机构还用于判断第一属性Ω是否为接收者属性A_R的子集；如果是，则消毒密文CT；如果不是，则终止信息流。

本发明提供了一种属性基信息流控制方法及系统，可以灵活的选择信息流的访问控制结构；通过消毒机构的认证过程，判断第二属性的合法性，以及是否满足信息流控制政策，确认消息来源的合法性；通信成本与访问控制结构的复杂度成正比。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种属性基信息流控制方法，其特征在于，包括下列步骤：

发送者发送第二属性、认证标签和密文给消毒机构；其中，根据发送者选择的访问控制结构，得到第一属性，根据所述第一属性和中心机构说明的信息流控制政策，选择发送者的部分属性作为第二属性；所述第一属性和第二属性同时满足所述信息流控制政策；利用发送者密钥生成认证标签，所述认证标签中包括基于零知识证明的签名；根据所述访问控制结构和消毒机构公钥加密明文得到所述密文；

消毒机构对接收到的所述第二属性和认证标签进行认证，认证通过后对接收到的所述密文进行消毒，得到被消毒密文，将所述被消毒密文发送给接收者；其中，所述认证包括：判断所述第一属性和第二属性是否满足所述信息流控制政策，判断所述零知识证明的签名是否正确，确定发送者是否拥有第二属性；所述消毒包括：利用消毒机构私钥和代理解密密钥对密文进行消毒；

接收者利用接收者密钥对收到的所述被消毒密文进行解密，得到明文。

2.根据权利要求1所述的方法，其特征在于，所述认证具体包括：

如果消毒机构判断所述第一属性和第二属性满足所述信息流控制政策，且发送者拥有所述第二属性，则认证通过；

如果消毒机构判断所述第一属性和第二属性不满足所述信息流控制政策，和/或发送者没有所述第二属性，则终止信息流。

3.根据权利要求1所述的方法，其特征在于，所述消毒机构对接收到的密文进行消毒之前，还包括步骤：

所述消毒机构判断所述第一属性是否为接收者属性的子集；如果是，则消毒密文；如果不是，则终止信息流。

4.一种属性基信息流控制系统，其特征在于，包括：中心机构、消毒机构、发送者和接收者；其中，

所述中心机构，根据安全参数，生成主密钥、消毒机构公钥、消毒机构私钥、信息流控制政策和系统公共参数；根据所述主密钥、系统公共参数和发送者属性，生成发送者密钥和发送者代理解密密钥；根据所述主密钥、系统公共参数和接收者属性，生成接收者密钥和接收者代理解密密钥；

所述发送者，用于发送第二属性、认证标签和密文给消毒机构；其中，根据发送者选择的访问控制结构，得到第一属性，根据所述第一属性和信息流控制政策，选择发送者的部分属性作为第二属性；所述第一属性和第二属性同时满足所述信息流控制政策；利用发送者密钥生成认证标签，所述认证标签中包括基于零知识证明的签名；根据所述访问控制结构和消毒机构公钥加密明文得到所述密文；

所述消毒机构，用于对接收到的所述第二属性和认证标签进行认证，认证通过后对接收到的所述密文进行消毒，得到被消毒密文，将所述被消毒密文发送给接收者；其中，所述认证包括：判断所述第一属性和第二属性是否满足所述信息流控制政策，判断所述零知识证明的签名是否正确，确定发送者是否拥有第二属性；所述消毒包括：利用消毒机构私钥和代理解密密钥对密文进行消毒；

所述接收者，用于利用接收者密钥对收到的所述被消毒密文进行解密，得到明文。

5.根据权利要求4所述的系统，其特征在于，所述消毒机构，还用于判断所述第一属性是否为接收者属性的子集；如果是，则消毒密文；如果不是，则终止信息流。

Images