CN110890961A - 一种新型安全高效的多授权属性基密钥协商协议 - Google Patents

Abstract

本发明公开了一种新型安全高效的多授权属性基密钥协商协议，属于云计算安全技术领域。本发明包括系统初始化、用户私钥产生和会话密钥生成步骤。本发明的协议基于多值访问结构、多授权属性加密技术，并采用相应的系统架构设计实现生成固定密文长度的秘密交换消息，并运用于会话密钥生成，具有较低计算和通信代价，适合在轻量级应用场景上使用，如适合在移动设备等资源限制型设备上使用，具有安全且高效特点。在AB‑BJM模型和选择访问结构的安全模型下，基于判定性q并行双线性Diffie‑Hellman指数(q‑PBDHE)假设证明了该协议的安全性。

Description

一种新型安全高效的多授权属性基密钥协商协议

技术领域

本发明涉及云计算中安全技术，具体涉及多授权属性基加密和会话密钥交换技术。

背景技术

密钥协商(Key Agreement，KA)协议是密码学中的一个基本模块，是在实现彼此认证的基础上进行会话密钥协商。KA能够为开放网络上的通信节点建立会话密钥，为后续的通信会话提供机密性、完整性、可用性、不可抵赖性和可控性等安全服务。根据所基于的密钥基础设施的不同，KA协议大致可分为基于公钥密码的KA协议、基于对称密码的KA协议、基于口令的KA协议等不同类型。其中，基于公钥密码的KA协议应用较为广泛。

Smart给出了第一个两方身份基的密钥协商协议(Identity Key Agreement，ID-KA)。该协议采用了IBE方案。自那以后，一批ID-KA协议陆续被提出。这些ID-KA协议是在不同模型中被证明是安全的，如BJM模型，BR4模型，CK模型等等。由Huang和Cao提出的首个ID-AK协议在eCK模型中被证明是安全的。Chen等人基于BJM模型提出了ID-BJM模型并构建了相应的身份基的密钥协商协议。

ABE机制能解决复杂信息系统中的细粒度访问控制问题，能够支持属性的与、或、非和门限操作，实现灵活的访问控制策略，在分布式领域具有良好的应用前景。基于属性基加密的KA(Attribute-Based Key Agreement，AB-KA)协议是基于通信主体属性信息的互相认证进行会话密钥协商的。最初的AB-AK协议给出一种基于属性的秘密的握手机制。Wang等人基于属性基加密(ABE)方案给出了一种AB-KA协议的变体形式。但是，这种协议没有实现基于参与方的属性的互相认证。AB-KA协议继承了ABE体制的优势，即利用属性特征描述用户，实现了对用户身份的保护，这也使得AB-KA协议能够满足一些特定应用场景的需求，如网上医疗系统、网上聊天室、军队指挥系统、电子投票系统等的通信及数据加密等，比如在某医疗服务系统中，医生和病人可以互相与指定具有某些属性特征的对象进行秘密会话，通过生成会话密钥对会话内容进行加密以防止患者隐私信息的泄漏。Yoneyama通过使用NAXOS协议设计技术给出了一种两轮AB-KA协议并在修订的eCK模型中实现安全证明。在AB-KA协议中，ABE方案被应用于保护那些用来生成会话密钥的秘密消息。一批属性基密钥协商(AB-KA)协议也陆续出现。最近，Wei等人在Waters的属性基加密方案的基础上，提出了一个在标准模型下可证安全的两方属性基认证密钥交换协议。在修改的BJM模型中，给出了判定性双线性Diffie-Hellman假设下的安全性证明。但是，其通信消息和解密密钥的长度是线性增长于方案中属性个数，不适应于资源约束型应用。随着移动设备的流行和广泛应用，越来越多的实际应用从PC机转移到移动设备，比如智能手机的出现，所以通过降低计算和通信代价提升AB-KA协议性能是尤为重要的。为此，本文提出一种基于两方的具有固定会话密钥长度的多授权属性基的密钥协商协议(TP-MAABE-CCKA)。该协议是基于Chen等人的多授权ABE方案设计的，协议中密文的计算与相关属性个数无关，其计算为常量值。对于两个协议参与者U₁，U₂，其中U₁具有属性集合

U₂具有属性集合

在证明中，用

表示U₁与U₂的第k次协议的运行实例，而

表示对应的同一次会话。如果

满足

(U₂提供的U₁能满足的访问策略)并且

满足

(U₁提供的U₂能满足的访问策略)，那么U₁和U₂能分别计算用于交换的目标消息M_Target1和M_Target2。在本文的协议中，M_Target1和M_Target2是用于构建会话密钥的固定大小的交换消息。固定大小的交换消息提升了协议的执行效率，协议的计算和通信代价大大地减少了，更适合于需要轻量级运行代价的应用场合。本文基于判定性q并行双线型Diffie-Hellman指数(q-PBDHE)困难问题假设和AB-BJM模式，在标准模型下证明了协议的安全性。

发明内容

本发明所要解决的技术问题是为了给出一种新型高效的基于多授权属性基加密方案的密钥协商协议，实现固定密文长度的秘密消息交换，具有较高的通讯代价和计算代价，适合在移动设备等资源限制型设备上使用，具有较高的安全性。

本发明为解决上述技术问题采用以下技术方案：

一种新型高效的基于多授权属性基加密方案，其特征在于，包括以下步骤：

步骤A：模型构建者建立初始体系，数据拥有者基于初始体系进一步生成系统参数，其具体生成步骤如下：

步骤A-1，模型构建者TΑ建立系统：构建双线性映射e:G×G→G_T，这里G和G_T是两个具有素数阶p的乘法循环群，g是群G的生成元。建立两个Hash函数为H₁:{0,1}^*→G，H₂:G_T→{0,1}^*。对每一个用户U，TΑ为其指定一个唯一的身份GID_U。假设有N个属性授权中心

每个授权中心

管理一个属性集

为每一个属性授权中心

指定一个唯一身份AID_δ。

步骤A-2，数据拥有者DO随机选择β∈Z_p，计算其秘密值

并通过安全通道将SK₀发送给每一个与数据分享相关的属性授权中心

步骤A-3，对于每个与数据分享相关属性授权中心

用n_AIDδ表示

中的属性个数，n_i(1≤i≤n_AIDδ)表示属性att_i属性值的个数。对于任意

δ₁,δ₂∈{1,2,…,N}，δ₁≠δ₂，总有

表示

中属性的个数。对于

随机选择r_i,j,x_i,j∈Z_p(1≤i≤n_AID,1≤j≤n_i)作为v_i,j的属性私钥，并且计算相应的属性公钥

公开公钥

步骤B：需要参与会话密钥协商的用户的私钥产生。具体步骤如下：

步骤B-1：不失一般性，以具有属性集

的用户U₁为例，假设数据拥有者是U₂。属性授权中心成功验证用户证书后，为每个属性

计算

假定用户U₁解密的访问结构为

对应的属性集合为

L_i∈S_i，则生成相应的用户私钥：

步骤C：参与会话密钥协商的用户基于属性特征相互匹配生成会话密钥。具体步骤如下：

步骤C-1：参与会话密钥协商的用户基于多值访问结构和多授权属性基加密技术加密交换消息。具体操作为：假定U₁选择一个U₂属性能满足的数据访问策略

其对应的属性集合为

进行数据加密。U₁选择一个随机值s₁∈Z_p，输出密文

类似操作，U₂输出密文

步骤C-2：参与会话密钥协商的用户利用私钥对接收的密文进行解密，具体操作为：假设U₁具有属性集合

和私钥

U₂具有属性集合

和私钥

U₁在接收到

之后产生秘密消息：

通过使用类似的方法，U₂从接收的密文

计算出：

步骤C-3：会话密钥生成，具体计算会话密钥的步骤如下：

(1)U₁分别将

发送给U₂，U₂将

发送给U₁。

(2)U₁，U₂分别调用解密算法解密

分别获得

(3)U₁，U₂分别计算会话密钥

和

步骤D：会话密钥生成中，加密计算用于交换的消息的代价其特征在于，代价值为

其中

表示群G中元素的指数操作时间。

步骤E：会话密钥生成中，解密交换的消息的计算代价，其特征在于，代价值为

其中

表示群G中元素的指数操作时间，

是对操作的时间。

步骤F：交换的消息长度(通信代价)，其特征在于，消息长度值为

其中，

表示访问结构的长度，这里|G|表示G元素长度，

表示用于描述数据访问结构消息的长度。

步骤G：协议中使用的数据访问策略，其特征在于，基于如下的多值访问结构：

令ATT＝{att₁,…,att_n}表示属性集合，S_atti＝{v_i,1,…,v_i,ni}表示属性att_i包含n_i个属性值。对于用户U，令l表示U具有的属性个数，则用户U的属性集合表示为

表示一个访问结构，W_atti为集合中属性为att_i的其中一个属性值，即是

本发明的有益效果是：

1.提出一种由数据加密者私密值和模型构建者TΑ共同构建的系统模型，详见图1，图2，加强了数据加密者对系统安全的掌控权。

2.本发明提出的系统具有较高的性能代价，适合移动设备等资源限制型设备上使用。

(1)会话密钥生成中，加密计算用于交换的消息的代价其特征在于，代价值为

其中

表示群G中元素的指数操作时间。

(2)会话密钥生成中，解密交换的消息的计算代价，其特征在于，代价值为

其中

表示群G中元素的指数操作时间，

是对操作的时间。

(3)交换的消息长度(通信代价)，其特征在于，消息长度值为

其中，

表示访问结构的长度，这里|G|表示G元素长度，

表示用于描述数据访问结构消息的长度。

3.本发明具有较高的安全性。

协议在AB-BJM模型下是一个安全的密钥协商协议。假设判定性q-PBDHE假设成立，协议在AB-BJM模型中是安全的。具体地说，如果有一个敌手

在涉及N_U个主体和Q_S个会话情况下，能以优势

成功地攻击协议，则一个模拟器

能被构建并以优势

解决q-PBDHE假设问题。

证明：

(1)协议满足如下要求：

如果两方协议参与者按照协议执行协议，并且攻击者是被动的，那么他们能从彼此方正确地获取消息。根据协议的正确性，能推导出结论

因此，协议双方最终计算出同样的且在密钥空间具有随机性的会话密钥。

(2)协议满足如下要求：

假设一个敌手

在协议中涉及N_U个用户且建立了Q_S个会话。

选择k^*∈(0,Q_S)且选择任意两个用户U₁，U₂。

猜测

发起了对参与者

的

询问。假定

提供了挑战的访问策略

不失一般性，

以属性集合

构建挑战访问结构

这里

表示

中属性值序号。

接收

挑战q-PBDHE假设。假设

是从{0,1}中随机选择，如果

那么

如果

那么

是G_T中一个随机值

在具体证明中，模拟器

构造如下：

初始化：

随机选择β₁∈Z_p。令n是属性的个数，k是任意的属性序号，

是att_k的属性值的个数。对于属性att_k，

随机选择r_i,j,x_i,j∈Z_p作为属性私钥，其中

I^*表示

中属性值编号的集合。对于w∈I^*，

随机选择

作为

中相应属性的私钥，随机选择一个挑战编号w^*∈I^*，选择相应的属性私钥

(1)对于v_i,j，i＝w∈I^*-{w^*},

产生其属性公钥值如下：

如果

那么

如果

那么

(2)对于i＝w＝w^*，

产生其属性公钥值如下：

如果

那么

如果

那么

(3)对于

产生属性公钥

阶段1：

假设有全局标识符为GID_U的用户U，其属性集

不满足

不失一般性，我们假定

中的v_w',j不属于

i_w'是属性att_w'的编号。

运行随机预言机H₁(x)，

提交GID_U给

如果H₁(GID_U)存在列表中，那么

则返回与以前一样的值；否则

随机选择一个随机值ι∈Z_p，令

通过调用KeyGeneration算法，回答由

发出的私钥询问:

(1)对于

为v_w',j随机选择r_w',j∈Z_p，计算其私钥组成

(2)对于i≠w',

按如下步骤产生私钥：

对于

i∈I^*,i＝w^*，

生成

如下式所示，

是符合形式规约的：

对于

k＝i∈I^*,

计算

这里k≠w^*。如下式所示，

是符合形式规约的：

对于

产生

最终，

将私钥

返回给

此询问表示在接收消息M之后，预言机

执行协议并输出消息

如果

是会话的发起者，则规定所接收到的消息M就是安全参数λ。

建立一个初始化的空列表L_k＝(⊥₁,⊥₂,⊥₃,⊥₄,⊥₅,⊥₆)，其中⊥₁,⊥₂,…,⊥₆表示空值。在协议中，

维持列表存储下列信息，比如

这里，

是由

选择的随机值，

是

接收了消息M之后产生的消息。

是来自U₁的共享秘密值且

是最后生成的会话密钥。当

接收消息M之后，依次完成下列工作。

(1)M是一个安全参数λ：

是会话的发起者。

如果k≠k^*，

根据协议正常运行进行计算并更新列表L_k。

如果k＝k^*，

根据挑战的访问结构

选取s₁∈Z_p并计算：

将

发送给

并且在L_k中创建记录

(2)M不是安全参数：

如果k≠k^*，

根据协议正常运行进行计算并更新列表L_k。

如果k＝k^*且在列表L_k中没有记录

那么

是协议的响应者。

根据协议正常运行进行计算并更新列表L_k。

如果在列表L_k中有记录

那么

是进行测试询问的对象且k＝k^*。对于接受到的消息M，

根据协议的正常运行计算

和会话密钥

然后更新列表L_k。

如果在列表L_k中有记录

其中ξ'是一个任意属于Z_p的值，那么

则是响应者。

根据协议正常运行进行计算并更新列表L_k。

攻击者选择一个新鲜的协议参与者

进行

询问。

如果在初始化过程中，

不是

猜测的协议参与者，

结束模拟，否则，

返回会话密钥

如果

是被执行了

询问的协议的参与者，或者是被

询问的匹配会话的参与者，那么

则结束模拟。否则，

则通过访问查询列表L_k返回相应的值。

输出：当

在阶段1中完成了所有询问，

能继续进行3个询问：

但询问时不能破坏接受了

询问的参与者的新鲜性。一旦

完成了所有询问后，

输出一位

作为会话密钥的猜测值。该值也将被

作为其猜测值并用作区别

和G_T中的一个随机值G_T。

分析:在整个分析过程中，模拟器

不会中止模拟的概率至少

当

模拟不结束时，

是无法区分

模拟的安全游戏和实际的安全游戏。因此，如果

猜中的优势是

那么

在模拟的安全游戏中猜中的优势是

如果

那么

模拟的安全游戏是完美的。根据上述分析，如果攻击者

以优势ε能赢得安全游戏，则能构建一个模拟器

以

优势来解决q-PBDHE假设问题。故协议满足第二个要求。

附图说明

图1高效率属性基多授权加密系统架构；

图2基于属性基加密会话密钥协议模型；

图3协议工作流程示意图。

具体实施方式

下面结合附图对本发明的技术方案做进一步的详细说明：

如图1，2，3所示，本发明基于多值访问结构的多授权属性基加密方案，并应用于会话密钥协商，详细的工作流程可以描述为以下10个步骤：

步骤1：模型构建者建立初始体系，数据拥有者基于初始体系进一步生成系统参数，其具体生成步骤如下：

步骤1-1，模型构建者TΑ建立系统：构建双线性映射e:G×G→G_T，这里G和G_T是两个具有素数阶p的乘法循环群，g是群G的生成元。建立两个Hash函数为H₁:{0,1}^*→G，H₂:G_T→{0,1}^*。对每一个用户U，TΑ为其指定一个唯一的身份GID_U。假设有N个属性授权中心

每个授权中心

管理一个属性集

为每一个属性授权中心

指定一个唯一身份AID_δ。

步骤1-2，每当一个数据拥有者要加密数据时，都必须产生一个秘密值SK₀，发送给相关的属性授权中心，共同生成新的属性公钥PK₁,PK₂,…,PK_n。作为一个实例，这里数据拥有者U₁，U₁分别随机选择β₁,β₂∈Z_p，计算其秘密值

并通过安全通道将SK_0,1，SK_0,2发送给每一个与数据分享相关的属性授权中心

步骤1-3，对于每个与数据分享相关属性授权中心

用

表示

中的属性个数，

表示属性att_i属性值的个数。对于任意

δ₁,δ₂∈{1,2,…,N}，δ₁≠δ₂，总有

表示

中属性的个数。不失一般性，以数据加密者U₁为例，它为

随机选择r_i,j,x_i,j∈Z_p(1≤i≤n_AID,1≤j≤n_i)作为v_i,j的属性私钥，并且计算相应的属性公钥

公开公钥

步骤2：需要参与会话密钥协商的用户的私钥产生。具体步骤如下：

步骤2-1：对于具有属性集

的用户U₂，属性授权中心成功验证用户证书后，为每个属性

计算

假定用户U₂需要解密的访问结构为

对应的属性集合为

L_i∈S_i，则生成相应的用户私钥：

同样方法，对于用于解密的访问结构为

对应的属性集合为

生成相应的用户U₂私钥：

步骤3：参与会话密钥协商的用户基于属性特征相互匹配生成会话密钥。具体步骤如下：

步骤3-1：参与会话密钥协商的用户基于多值访问结构和多授权属性基加密技术加密交换消息。具体操作为：假定U₁选择一个U₂属性能满足的数据访问策略

其对应的属性集合为

进行数据加密。U₁选择一个随机值s₁∈Z_p，输出密文

假定U₂选择一个U₁属性能满足的数据访问策略

其对应的属性集合为

进行数据加密。

步骤3-2：参与会话密钥协商的用户利用私钥对接收的密文进行解密，具体操作为：U₂具有属性集合

和私钥

U₂从接收的密文

计算出：

步骤3-3：会话密钥生成，具体计算会话密钥的步骤如下：

(1)U₁分别将

发送给U₂，U₂将

发送给U₁。

(2)U₁，U₂分别调用解密算法解密

分别获得

(3)U₁，U₂分别计算会话密钥

和

综上所述，该协议可实现基于多授权属性基加密实现会话密钥生成，具有最低的计算代价和通信代价，安全性较高。

对于该技术领域的普通技术人员来说，根据以上实施类型可以很容易的联想到其他的优点和变形。因此，本发明不局限于上述具体实施例，其仅仅做为例子对本发明的一种形态进行详细，示范性的说明。在不背离发明宗旨的范围内，本领域普通技术人员可以根据上述具体实施例通过各种等同替换所得到的技术方案，但是这些技术方案均应该包含在本发明的权利要求的范围及其等同的范围之内。

Claims (8)

1.一种新型安全高效的多授权属性基密钥协商协议，其特征在于，包括以下步骤：

(S1)系统初始化：包含模型构建者建立初始体系和数据拥有者基于初始体系进一步生成系统参数，建立属性授权管理中心、TΑ信任中心、各用户建立，以及各机构的私钥、公钥生成；

(S2)用户私钥产生：基于属性特征生成各用户解密私钥；

(S3)会话密钥生成：基于属性信息匹配，为两个用户生成会话密钥。

2.根据权利要求1所述的新型安全高效的多授权属性基密钥协商协议，其特征在于，所述的系统初始化包括以下步骤：

步骤A：模型构建者建立初始体系，数据拥有者基于初始体系进一步生成系统参数，其生成步骤如下：

步骤A-1：模型构建者TΑ建立系统：构建双线性映射e:G×G→G_T，所述G和G_T是两个具有素数阶p的乘法循环群，g是群G的生成元；建立两个Hash函数为H₁:{0,1}^*→G，H₂:G_T→{0,1}^*，对每一个用户U，TΑ为其指定一个唯一的身份GID_U，假设有N个属性授权中心

每个授权中心

管理一个属性集

为每一个属性授权中心

指定一个唯一身份AID_δ；

步骤A-2：数据拥有者DO随机选择β∈Z_p，计算其秘密值

并通过安全通道将SK₀发送给每一个与数据分享相关的属性授权中心

步骤A-3：对于每个所述属性授权中心

用

表示

中的属性个数，

表示属性att_i属性值的个数，对于任意

δ₁,δ₂∈{1,2,…,N}，δ₁≠δ₂，总有

表示

中属性的个数；当U₁为数据拥有者时，对于

随机选择r_i,j,x_i,j∈Z_p(1≤i≤n_AID,1≤j≤n_i)作为v_i,j的属性私钥，并且计算相应的属性公钥

公开公钥

3.根据权利要求1所述的新型安全高效的多授权属性基密钥协商协议，其特征在于，所述的用户私钥产生包括以下步骤：

步骤B：参与会话密钥协商的用户的私钥产生，步骤如下：

步骤B-1：对于具有属性集

的用户U₂，属性授权中心成功验证用户证书后，为每个属性

计算

假定用户解密密文的访问结构为

其对应的属性集合为

L_i∈S_i，则生成相应的用户私钥：

同样方法，对于用于解密的访问结构为

对应的属性集合为

生成相应的用户U₁私钥：

4.根据权利要求1所述的新型安全高效的多授权属性基密钥协商协议，其特征在于，所述的会话密钥生成包括以下步骤：

步骤C：参与会话密钥协商的用户基于属性特征相互匹配生成会话密钥，步骤如下：

步骤C-1：参与会话密钥协商的用户基于多值访问结构和多授权属性基加密技术加密交换消息，具体操作为：假定U₁选择一个U₂属性能满足的数据访问策略

其对应的属性集合为

进行数据加密，U₁选择一个随机值s₁∈Z_p，输出密文

假定U₂选择一个U₁属性能满足的数据访问策略

其对应的属性集合为

进行数据加密，U₂选择一个随机值s₂∈Z_p，输出密文

步骤C-2：参与会话密钥协商的用户利用私钥对接收的密文进行解密，操作为：假设U₁具有属性集合

和私钥

U₂具有属性集合

和私钥

U₁在接收到

之后产生秘密消息：

通过使用类似的方法，U₂从接收的密文

计算出：

步骤C-3：会话密钥生成，计算会话密钥的步骤如下：

(1)U₁分别将

发送给U₂，U₂将

发送给U₁；

(2)U₁，U₂分别调用解密算法解密

分别获得

(3)U₁，U₂分别计算会话密钥

和

5.根据权利要求4所述的新型安全高效的多授权属性基密钥协商协议，其特征在于，所述会话密钥生成中，加密计算用于交换消息的代价，其代价值为

其中

表示群G中元素的指数操作时间，其它计算代价忽略。

6.根据权利要求4所述的新型安全高效的多授权属性基密钥协商协议，其特征在于，所述会话密钥生成中，解密交换的消息的计算代价，其代价值为

其中

表示群G中元素的指数操作时间，

是对操作的时间，其它计算代价忽略。

7.根据权利要求4所述的新型安全高效的多授权属性基密钥协商协议，其特征在于，所述的会话密钥生成中，交换的消息长度值为

其中，

表示访问结构的长度，这里|G|表示G元素长度，

表示用于描述数据访问结构消息的长度。

8.根据权利要求4所述的新型安全高效的多授权属性基密钥协商协议，其特征在于，所述的会话密钥生成中，加解密所基于的数据访问结构为多值访问结构，具体描述为：

令ATT＝{att₁,…,att_n}表示属性集合，

表示属性att_i包含n_i个属性值，对于用户U，令l表示U具有的属性个数，则用户U的属性集合表示为

表示一个访问结构，

为集合中属性为att_i的其中一个属性值，即是

Images