CN110932847A - 一种针对具有密文同态性的身份标识密码系统的用户撤销方法 - Google Patents

Abstract

本发明公开了一种针对具有密文同态性的身份标识密码系统的用户撤销方法，属于信息安全领域，借助既存服务器的计算和管理能力，使用服务器端密钥对数据密文进行随机化，引入用户撤销列表对用户进行撤销操作。同时，为了防范服务器撤销密钥泄露造成撤销机制失效，服务器周期性地对服务器密钥和已存储密文进行更新。在保证数据机密性的前提下，实现了高效、安全和稳定的直接用户撤销机制。

Description

一种针对具有密文同态性的身份标识密码系统的用户撤销 方法

技术领域

本发明涉及信息安全领域，公开了一种针对具有密文同态性的身份标识密码系统的用户撤销方法。

背景技术

移动互联网时代，数据的机密性、完整性和不可抵赖性由密码算法保证。传统的公钥加密基础设施(PKI)使用证书关联用户公钥和身份，在实际使用中，证书的颁发和维护均需要专门的机构实施，往往带来较大的开销和维护成本。为了降低开销和成本，身份标识密码系统是一种新型的加密系统，由PKI发展而来，其优势在于可以使用用户的标识信息作为公钥进行加密，如用户的邮箱、身份证号码等，无需颁发和管理证书，具有成本低和效率高的优势。

近年来，身份标识密码技术被广泛研究，多种密码方案被提出并被标准化。同时，身份标识密码技术在多种场景下得到应用，主要包括安全电子邮件、安全电子政务系统、商用软件等。快速、安全的用户撤销机制是现代信息系统必不可少的核心功能之一，在上述应用场景中，一旦系统中的某位用户离职，该用户应被立即撤销，从而无法继续解密系统中的加密文档。然而，目前针对身份标识密码系统的撤销机制仍存在通讯开销大、计算效率低下和局限性高等问题。此外，用户撤销机制的密钥一旦丢失或发生泄漏，那么用户撤销机制将形同虚设，而现有大多数撤销方案无法抵抗撤销密钥泄漏。因此，一个实用的身份标识密码系统应具备快速、安全、稳定的撤销机制。

发明内容

为解决身份标识密码系统中面临的用户撤销问题，本发明提供一种针对具有密文同态性的身份标识密码系统的用户撤销方法，适用于所有密文具有同态性的身份标识密码系统。借助既存服务器的计算和管理能力，使用服务器端密钥对数据密文进行随机化，引入用户撤销列表对用户进行撤销操作。同时，为了防范服务器撤销密钥泄露造成撤销机制失效，服务器周期性地对服务器密钥和已存储密文进行更新。在保证数据机密性的前提下，实现了高效、安全和稳定的直接用户撤销机制。

为解决上述技术问题，本发明采取的技术方案如下：

本发明提出一种针对具有密文同态性的身份标识密码系统的用户撤销方法，其包括如下步骤：

A、系统初始化：根据系统安全参数λ，设定系统公共参数PP，系统主密钥MSK，当前系统计数器t，云密钥CSK_t和初始撤销列表RL；

B、数据消费者密钥生成：根据系统公共参数PP、系统主密钥MSK和数据消费者(即用户)身份ID_i，生成数据消费者密钥

C、数据加密：根据系统公共参数PP、数据消费者身份ID_i和明文消息m，对明文消息m进行加密，生成数据原始密文CT；

D、密文初始化：根据系统公共参数PP、数据原始密文CT和云密钥CSK_t，对数据原始密文CT进行初始化，生成当前时间段密文CT_t；

E、云密钥更新：根据系统公共参数PP和当前时间段云密钥CSK_t，将当前时间段云密钥CSK_t进行更新，生成下一时间段云密钥CSK_t′；

F、云端密文更新：根据系统公共参数PP、当前时间段密文CT_t、当前时间段云密钥CSK_t和下一时间段云密钥CSK_t′，对当前时间段密文CT_t进行更新操作，生成下一时间段密文CT_t′；

G、云端密文解密：根据系统公共参数PP、当前时间段密文CT_t、当前时间段云密钥CSK_t和撤销列表RL，对当前时间段密文CT_t进行云端解密，生成数据转换密文TCT；

H、用户端原始密文解密：根据系统公共参数PP、数据转换密文TCT和数据消费者密钥

对数据转换密文TCT进行解密，获得原始消息m；

I、用户撤销：根据数据消费者身份ID_i和当前撤销列表RL，将数据消费者身份ID_i添加到撤销列表中，输出新的撤销列表RL′。

本发明还提出一种针对具有密文同态性的身份标识密码系统的用户撤销系统，其涉及到的实体包括参数设置服务器、用户密钥生成服务器、加密服务器、解密服务器、云存储服务器、云计算服务器、用户撤销服务器；在具体实施时，参数设置服务器、用户密钥生成服务器和用户撤销服务器可以为一个实体，云存储服务器和云计算服务器可以为一个实体；各服务器功能如下：

参数设置服务器，用于生成系统公共参数、系统主密钥、当前系统计数器和云密钥，将系统主密钥发送给用户密钥生成服务器，将云密钥发送给云存储服务器和云计算服务器，将系统公共参数发送给系统中的所有参与实体服务器；

用户密钥生成服务器，根据系统公共参数、系统主密钥和数据消费者身份，生成数据消费者密钥，将密钥发送给数据消费者；

加密服务器，根据系统公共参数和数据消费者身份，对明文消息进行加密，生成数据原始密文，将数据原始密文发送给云存储服务器(可先发送给数据拥有者，再由数据拥有者发送给云存储服务器)；

云存储服务器，接收加密服务器上传的数据原始密文，并对原始密文进行初始化和更新，得到当前时间段密文，存储当前时间段密文，根据数据消费者发起的数据请求，将存储的密文发送给云计算服务器；

云计算服务器，接收数据消费者的下载请求，从云存储服务器获取当前时间段密文，根据系统公共参数、云密钥和接收到的撤销列表，判断用户是否被撤销，若未被撤销，则计算数据转换密文，将数据转换密文发送给解密服务器；否则将当前时间段密文作为数据转换密文发送给解密服务器；当云密钥需要更新时，云计算服务器负责更新云密钥和云存储服务器中当前时间段密文；

解密服务器，根据系统公共参数和数据消费者密钥，对数据转换密文解密，将解密结果发送给数据消费者；

用户撤销服务器，对用户进行撤销，将数据消费者身份添加到当前撤销列表中来生成新的撤销列表，并将撤销列表发送给云计算服务器。

与现有技术相比，本发明的积极效果为：

本发明方法采用服务器辅助撤销和定期更新云密钥相结合的方式，在保证数据机密性的同时，提供了安全高效稳定的直接用户撤销机制。本发明方法无需密钥生成中心实时在线，可实现对用户的即时撤销；辅助服务器负责初始化和更新密文，周期性地更换服务器端密钥，提高系统撤销机制的稳定性；数据拥有者和数据消费者无额外计算开销和通信开销。其中，辅助服务器提供的直接撤销机制充分利用服务器强大的存储、计算和管理能力，具有高效、稳定的优势，实现了对用户密钥的直接撤销；云密钥和密文定期进行更新，有利于防范云端撤销密钥丢失导致撤销机制失效，提高了撤销机制的稳定性。

附图说明

图1是本发明的一种针对身份标识密码系统的用户撤销系统的结构图；

图2是本发明的一种针对身份标识密码系统的用户撤销方法的算法流程图。

具体实施方式

下面结合附图对本发明的技术方案做进一步的详细说明。

本发明的一种针对具有密文同态性的身份标识密码系统的通用撤销涉及的算法如下：

1.身份加密算法IBE，包括四个子算法：

初始化算法IBE.Setup(λ)→(PP,MSK,CSK_t,RL)，输入系统安全参数λ，输出系统公共参数PP、系统主密钥MSK、云密钥CSK_t和初始撤销列表RL；

密钥生成算法

输入系统公共参数PP、系统主密钥MSK和数据消费者身份ID_i，输出数据消费者密钥

加密算法IBE.Enc(PP,ID_i)→(EK,CT_KEM)，输入系统公共参数PP和数据消费者身份ID_i，输出封装密钥EK和封装密钥原始密文CT_KEM，其中CT_KEM必须具有同态性；

解密算法IBE.Dec(PP,CT_KEM)→EK，输入系统公共参数PP、封装密钥原始密文CT_KEM，输出封装密钥EK；

2.对称加密算法SKE，包括两个子算法：

加密算法SKE.Enc(NK,m)→CT_DEM，输入会话密钥NK和明文消息m，输出数据密文CT_DEM；

解密算法SKE.Dec(NK,CT_DEM)→m，输入会话密钥NK和数据密文CT_DEM，输出原始消息m。

3.密钥导出函数KDF：

输入封装密钥EK和长度

输出长度为

的会话密钥NK。

针对上述身份加密算法，本发明方法提供如下五个子算法：

密文初始化算法IBE.CTInit(PP,CT_KEM,CT_DEM,CSK_t)→CT_t，输入系统公共参数PP、封装密钥原始密文CT_KEM、数据密文CT_DEM和云密钥CSK_t，输出当前时间段密文CT_t；

云密钥更新算法IBE.CSKUpdate(PP,CSK_t)→CSK_t′，输入系统公共参数PP、当前时间段云密钥CSK_t，输出更新后的下一时间段云密钥CSK_t′；

密文更新算法IBE.CTUpdate(PP,CT_t,CSK_t,CSK_t′)→CT_t′，输入系统公共参数PP、当前时间段的密文CT_t、当前时间段的云密钥CSK_t和下一时间段的云密钥CSK_t′，输出下一时间段的密文CT_t′；

密文转换算法IBE.Trans(PP,CSK_t,CT_t,RL)→(TCT_KEM,CT_DEM)，输入系统公共参数PP、当前时间段的云密钥CSK_t、当前时间段的数据密文CT_t和撤销列表RL，输出数据转换密文TCT_KEM和数据密文CT_DEM；

撤销算法IBE.Revoke(PP,RL,ID_i)→RL′，输入系统公共参数PP、当前撤销列表RL和数据消费者身份ID_i，输出更新后的撤销列表RL′。

本发明提供的一种针对具有密文同态性的身份标识密码系统的用户撤销系统如图1所示，采用的用户撤销方法涉及的算法流程如图2所示，各步骤具体说明如下：

步骤A包括：

A1.选择输出长度

的密钥导出函数KDF，其中NK为对称加密算法SKE的会话密钥；

A2.选择系统安全参数λ，执行IBE.Setup(λ)，生成系统公共参数PP、系统主密钥MSK、初始时间段云密钥CSK_t和初始撤销列表RL；

步骤B包括：

B1.执行IBE.Extract(PP,MSK,ID_i)，生成数据消费者私钥

步骤C包括：

C1.执行IBE.Enc(PP,ID_i)，生成封装密钥EK和封装密钥原始密文CT_KEM；

C2.执行

生成会话密钥NK；

C3.执行SKE.Enc(NK,m)，生成数据密文CT_DEM；

C4.得到数据原始密文CT＝(CT_KEM,CT_DEM)；

步骤D包括：

D1.执行IBE.CTInit(PP,CT_KEM,CT_DEM,CSK_t)，生成当前时间段的密文CT_t；

步骤E包括：

E1.执行IBE.CSKUpdate(PP,CSK_t)，生成下一时间段的云密钥CSK_t′；

步骤F包括：

F1.执行IBE.CTUpdate(PP,CT_t,CSK_t,CSK_t′)，生成下一时间段的密文CT_t′；

步骤G包括：

G1.执行IBE.Trans(PP,CSK_t,CT_t,RL)，获得封装密钥转换密文TCT_KEM和数据密文CT_DEM；

步骤H包括：

H1.执行IBE.Dec(PP,TCT_KEM)，生成封装密钥EK；

H2.执行

生成会话密钥NK；

H3.执行SKE.Dec(NK,CT_DEM)，得到原始消息m；

步骤I包括：

I1.执行IBE.Revoke(PP,ID_i,RL)，将数据消费者身份ID_i进行撤销，输出新的撤销列表RL′。

以下为应用本发明提出的一种针对具有密文同态性的身份标识密码系统的用户撤销方法的一实施例，本实施例针对国产密码身份标识标准算法SM9中的密钥封装算法。作为一个被广泛使用的身份标识密码算法，目前，国产密码算法标准SM9密钥封装算法尚无撤销机制。本发明方法提出的撤销机制，具有一定的通用性，适用于所有密文具有同态性的身份加密算法，包括SM9。

本实施例中，步骤A包括：

A1.选择输出长度

的密钥导出函数KDF，其中NK为对称加密算法的会话密钥，选择密码学安全的哈希函数

选择密码学安全的哈希函数H:{0,1}^*→{0,1}^l2，选择密码学安全的伪随机函数

选择密码学安全的密钥导出函数KDF，选择密码学安全的对称加密算法SKE；

A2.选取阶数为p的群

和

以及双线性映射

选择随机元素

计算u＝e(g,h)^γ,w＝g^γ；选择随机比特串csk₁∈{0,1}^l1，设置当前时刻计数器t＝1，设置云密钥CSK_t＝(csk₁,t)；初始化撤销列表RL为空；得到系统公共参数

系统主密钥MSK＝γ，以及云密钥CSK_t＝(csk_t,t)；

步骤B包括：

B1.为拥有身份ID_i的数据消费者生成私钥

步骤C包括：

C1.选取随机元素

计算

C₁＝Q^z,u′＝u^z，得到密钥封装密文CT_KEM＝C₁；

C2.导出对称密钥

C3.执行SKE.Enc(NK,m)，生成数据密文CT_DEM；

C4.得到数据原始密文CT＝(CT_KEM,CT_DEM)；

步骤D包括：

D1.计算Δ＝PRF(csk_t,H(CT_DEM))和CT′_KEM＝(CT_KEM)^Δ，输出当前时间段的密文CT_t＝(CT′_KEM,CT_DEM)。

步骤E包括：

E1.设置下一时间段计数器t′＝t+1，选择随机比特串csk_t′∈{0,1}^l1，输出下一时间段云密钥CSK_t′＝(csk_t′,t′)。

步骤F包括：

F1.针对当前时刻的密文CT_t＝(CT′_KEM,CT_DEM)，计算Δ＝PRF(csk_t,H(CT_DEM))和Δ′＝PRF(csk_t′,H(CT_DEM))，计算下一时间段的密文CT_t′＝(CT′_KEM ^Δ′/Δ,CT_DEM)。

步骤G包括：

G1.若与密文CT_t对应的数据消费者已被撤销，则输出当前时间段的密文CT_t＝(CT′_KEM,CT_DEM)；否则针对当前时刻的密文CT_t＝(CT′_KEM,CT_DEM)，计算Δ＝PRF(csk_t,H(CT_DEM))，计算封装密钥转换密文TCT_KEM＝(CT′_KEM)^1/Δ，输出TCT_KEM和CT_DEM。

步骤H包括：

H1.计算

H2.导出对称会话密钥

H3.执行SKE.Dec(NK,CT_DEM)，得到消息m；

步骤I包括：

I1.将数据消费者身份ID_i添加到撤销列表RL中：RL′＝RL∪{ID_i}，输出新的撤销列表RL′。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims (10)

1.一种针对具有密文同态性的身份标识密码系统的用户撤销方法，包括以下步骤：

1)根据系统安全参数，设定系统公共参数、系统主密钥、当前系统计数器、云密钥和初始撤销列表；

2)根据系统公共参数、系统主密钥和数据消费者身份，生成数据消费者密钥；

3)根据系统公共参数和数据消费者身份，对明文消息加密，生成数据原始密文；

4)根据系统公共参数和云密钥，对数据原始密文进行初始化，生成当前时间段密文；

5)根据系统公共参数，对当前时间段云密钥进行更新，生成下一时间段云密钥；

6)根据系统公共参数、当前时间段云密钥和下一时间段云密钥，对当前时间段密文进行更新操作，生成下一时间段密文；

7)根据系统公共参数、当前时间段云密钥和撤销列表，对当前时间段密文进行云端解密，生成数据转换密文；

8)根据系统公共参数和数据消费者密钥，对数据转换密文进行解密，获得原始消息；

9)将数据消费者身份添加到当前撤销列表中，输出新的撤销列表，实现数据消费者即用户的撤销。

2.如权利要求1所述的方法，其特征在于，所述步骤1)-9)对应采用身份加密算法IBE的以下子算法：初始化算法、密钥生成算法、加密算法、密文初始化算法、云密钥更新算法、密文更新算法、密文转换算法、解密算法、撤销算法。

3.如权利要求1所述的方法，其特征在于，对明文消息进行加密，生成数据原始密文，具体包括以下步骤：

根据系统公共参数和数据消费者身份进行加密，生成封装密钥和封装密钥原始密文；

根据系统公共参数和封装密钥原始密文进行解密，生成封装密钥；

根据封装密钥和预先设定的输出长度，生成会话密钥；

根据会话密钥和明文消息，生成数据密文；

根据封装密钥原始密文和数据密文，得到数据原始密文。

4.如权利要求3所述的方法，其特征在于，将会话密钥和明文消息输入到对称加密算法SKE的加密算法中，生成数据密文。

5.如权利要求3所述的方法，其特征在于，所述加密和解密为分别采用身份加密算法IBE的加密算法和解密算法。

6.如权利要求3所述的方法，其特征在于，将封装密钥和预先设定的输出长度输入到密钥导出函数KDF中，输出该长度的会话密钥。

7.如权利要求3所述的方法，其特征在于，数据转换密文包括封装密钥转换密文和数据密文。

8.如权利要求7所述的方法，其特征在于，获得原始消息具体包括以下步骤：

根据系统公共参数和封装密钥转换密文，生成封装密钥；

根据封装密钥和预先设定的输出长度，生成会话密钥；

根据会话密钥和数据密文，得到原始消息。

9.如权利要求8所述的方法，其特征在于，将会话密钥和数据密文输入到对称加密算法SKE的解密算法中，生成原始消息。

10.一种针对具有密文同态性的身份标识密码系统的用户撤销系统，包括参数设置服务器、用户密钥生成服务器、加密服务器、解密服务器、云存储服务器、云计算服务器和用户撤销服务器；其中，

参数设置服务器用于生成系统公共参数、系统主密钥、当前系统计数器和云密钥，将系统公共参数发送给其他所有服务器，将系统主密钥发送给用户密钥生成服务器，将云密钥发送给云存储服务器和云计算服务器；

用户密钥生成服务器用于根据系统公共参数、系统主密钥和数据消费者身份，生成数据消费者密钥并发送给数据消费者；

加密服务器用于根据系统公共参数和数据消费者身份，对明文消息进行加密，生成数据原始密文并发送给云存储服务器；

云存储服务器用于接收加密服务器上传的数据原始密文，并对原始密文进行初始化和更新，得到当前时间段密文并进行存储，根据数据消费者发起的数据请求，将存储的密文发送给云计算服务器；

云计算服务器用于接收数据消费者的下载请求，从云存储服务器下载当前时间段密文，根据系统公共参数、云密钥和接收到的撤销列表，判断用户是否被撤销，若未被撤销，则计算数据转换密文并发送给解密服务器；否则将当前时间段密文作为数据转换密文发送给解密服务器；当云密钥需要更新时，云计算服务器负责更新云密钥和云存储服务器中当前时间段数据密文；

解密服务器用于根据系统公共参数和数据消费者密钥，对数据转换密文进行解密，获得原始消息并发送给数据消费者；

用户撤销服务器用于对用户进行撤销，将数据消费者身份添加到当前撤销列表中来生成新的撤销列表，并将撤销列表发送给云计算服务器。

Images