CN111147508B - 一种抗关键词猜测攻击的可搜索属性基加密方法 - Google Patents

Abstract

本发明涉及一种抗关键词猜测攻击的可搜索属性基加密方法，云存储提供方（CSP）负责数据的存储和为系统中的合法用户提供关键字检索。授权中心负责系统的初始化、密钥生成、密文和密钥的更新操作。数据拥有者负责上载其指定的访问结构的密文数据。数据用户从授权中心获得其私钥或更新后的私钥，从云存储提供方（CSP）处下载密文，当且仅当其属性列表与密文中内嵌的访问结构相匹配时成功解密密文，当接收者解密密文后，数据用户以后可以通过提交加密后的关键字给云存储提供方进行检索密文操作。本发明不仅能够实现细粒度的访问控制，云环境下的密文检索，而且可以抵抗关键词猜测攻击。

Description

一种抗关键词猜测攻击的可搜索属性基加密方法

技术领域

本发明涉及云计算安全技术领域，特别是一种抗关键词猜测攻击的可搜索属性基加密方法。

背景技术

云计算允许用户将加密文件上传到云服务器，然后在需要时下载到本地。此外，上传的加密文件还可以分享给别的用户。随着上传文件的增多，用户需要对加密文件进行搜索，从而下载感兴趣的密文。带关键词搜索的公钥加密允许用户对加密关键词进行搜索，同时不泄露搜索信息。但是，大部分关键词搜索的公钥加密方案针对的是多对一环境，即多个发送者利用单个接收者的公钥生成密文。对于不同的接收者，发送者需要分别使用他们的公钥加密文件，然后接收者利用自己的私钥生成陷门来搜索密文。为了使同一份加密文件可以被多个接收者搜索，研究人员提出了可搜索属性基加密(简称ABKS)。在ABKS中，发送者利用一个访问结构或属性集加密关键词，当且仅当用户的属性满足访问控制策略(或用来加密关键词的属性集满足用户私钥指定的访问控制策略)时，用户才可以搜索这些加密文件。但是，大部分ABKS方案不能抵抗关键词猜测攻击。外部攻击者可以生成若干关键词密文上传给云服务器，通过侦测云服务器将这些密文返回给哪些用户，从而知道这些用户的搜索信息。

发明内容

有鉴于此，本发明的目的是提出了一种抗关键词猜测攻击的可搜索属性基加密方法，可以抵抗关键词猜测攻击。

本发明采用以下方案实现：一种抗关键词猜测攻击的可搜索属性基加密方法，包括以下步骤：

步骤S1：根据给定的安全参数，生成系统公开参数和主私钥；

步骤S2：根据主私钥mk和发送者的身份ID，得到发送者私钥sk_d,ID；

步骤S3：根据主私钥mk，访问树T和发送者的身份ID，得到接收者私钥sk_r,ID；

步骤S4：产生密文索引：根据系统公开参数pm，消息M，关键词w、属性集Atts、发送者的身份ID和发送者私钥sk_d,ID，得到密文索引cph-index；

步骤S5：生成陷门关键词：接收者输入关键词w'，私钥sk_r,ID，选择随机数u∈Z_q,计算TD＝g^u，其中g是群G的生成元。对于访问结构树T的每个叶子节点v∈lvs(T)，计算

输出陷门关键词td＝(ID',T,TD,{(X’_v,Y’_v)|v∈lvs(T)})，并将其发送云服务提供者；其中T是接收者私钥sk_r,ID中的访问结构，TD为随机数u∈Z_q的承诺值，w’为接收者的关键词；

步骤S6：进行密文搜索：输入密文关键词cph-index和关键词陷门td，若搜索成功，云服务提供者范围密文关键词cph-index给接收者；

步骤S7：输入密文关键词cph-index和接收者的私钥sk_r,ID，得到明文。

进一步地，步骤S1具体包括以下步骤：

步骤S11：给定安全参数l，并生成一个素数q；

步骤S12：选择一个双线性对映射e:G×G→G_T，其中G和G_T是阶为q的乘法循环群，g是群G的生成元；H₁:{0,1}^*→G和H₂:{0,1}^*→Z_q均是单向哈希函数；

步骤S13：选择随机数s₁,s₂∈Z_q，计算

设置公共参数pm＝(H₁,H₂,H₃,e,g,q,G,G_T,Y)和主私钥mk＝(s₁,s₂)，其中，H₃为单向哈希函数H₃:G→{0,1}ⁿ。

进一步地，步骤S3具体包括以下步骤：

步骤S31：给定一个访问结构树T，以主私钥mk＝(s₁,s₂)作为T的根节点，授权中心自上而下地执行Treebuild(T,s₁)和Treebuild(T,s₂)算法，设置树的内部节点和叶子结点的值；

步骤S32：对于访问结构树T的每个叶子节点v∈lvs(T)，选择随机数t∈Z_q，计算

以及Y_v＝g^t；接收者私钥为sk_r,ID＝(ID,T,{(X_v,1,X_v,2,Y_v)|v∈lvs(T)})；其中，q_v,1(0)表示k_v,1-1次多项式q_v,1(x)在x＝0时多项式的值，q_v,2(0)表示k_v,2-1次多项式q_v,2(x)在x＝0时多项式的值，att(v)表示叶子节点v的属性；其中，

进一步地，步骤S31具体包括以下步骤：

步骤S311：Treebuild(T,s)算法是构造一个以s为根节点的访问结构树T；通过为每个节点v产生一个k_v-1次多项式q_v，自上而下地构造一个访问结构树；给定一个访问结构树T，以主私钥mk＝(s₁,s₂)作为T的根节点，授权中心执行Treebuild(T,s₁)和Treebuild(T,s₂)算法，设置树的内部节点和叶子结点的值；其中，

步骤S312：为k_v-1次多项式q_v随机选择k_v-1个系数，如果v是访问结构树T的根节点，设置q_v(0)＝s；如果v是访问结构树T的叶子节点，设置q_v(0)＝s；如果v是访问结构树T的除根节点外的非叶子节点，设置q_v(0)＝q_parent(v)(ind(v))，其中，parent(v)表示节点v的父亲节点,ind(v)表示节点v的标识。

进一步地，步骤S4具体包括以下步骤：

步骤S41：数据拥有者输入系统公开参数pm，消息M，关键词w、属性集Atts、发送者的身份ID和发送者私钥sk_d,ID，选择随机数r∈Z_q，计算

和W'＝g^r；其中，e()表示双线性对映射e:G×G→G_T，

步骤S42：对于与每个消息关联的关键词w，数据拥有者计算

步骤S43：对于每个属性at_i∈Atts，数据拥有者计算W_i＝H₁(at_i)^r；则密文索引为cph-index＝(ID,Atts,KW,C,W',{W_i|at_i∈Atts})。

进一步地，步骤S6具体包括以下步骤：

步骤S61：比较密文关键词cph-index中的ID和关键词陷门td中的ID'是否相同，如果不同，则算法失败并停止；

步骤S62：对于密文关键词cph-index指定的属性集Atts，选择其中一个子属性集S，S满足陷门td指定的访问结构T；如果不存在这样的属性集，则搜索失败，否则进入步骤S63；

步骤S63：对于每一个属性at_i∈S，计算

其中att(v)＝at_i；其中，w'表示接收者的关键词；对于每一个叶子结点v∈lvs(T)，计算

其中，q_root,1(0)表示k_root,1-1次多项式q_root,1(x)在x＝0时多项式的值，q_root,2(0)表示k_root,2-1次多项式q_root,2(x)在x＝0时多项式的值；其中，

步骤S64：计算

云服务提供者判断e(KW,TD)＝E_root是否成立，如果等式成立，云服务提供者返回密文关键词cph-index给接收者。

进一步地，步骤S7具体包括以下步骤：

步骤S71：给定密文关键词cph-index中指定的属性集Atts，选择满足接收者私钥sk_r,ID中指定的访问树T的属性集S；

步骤S72：对于每一个属性at_i∈S，计算

其中att(v)＝at_i；

步骤S73：对于每一个叶子结点v∈lvs(T)，计算

和明文

其中

其中，j表示插值，j∈Z_q。

与现有技术相比，本发明有以下有益效果：本发明的方法是基于属性基密码体制设计的，能够实现一对多的访问控制。本发明协议也是安全高效的。本发明不仅能够实现细粒度的访问控制，云环境下的密文检索，而且可以抵抗关键词猜测攻击。

附图说明

图1为本发明实施例的原理框图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

如图1所示，本实施例提供了一种抗关键词猜测攻击的可搜索属性基加密方法，包括以下步骤：

步骤S1：根据给定的安全参数，生成系统公开参数和主私钥；

步骤S2：根据主私钥mk和发送者的身份ID，得到发送者私钥sk_d,ID；

步骤S3：根据主私钥mk，访问树T和发送者的身份ID，得到接收者私钥sk_r,ID；

步骤S4：产生密文索引：根据系统公开参数pm，消息M，关键词w、属性集Atts、发送者的身份ID和发送者私钥sk_d,ID，得到密文索引cph-index；

步骤S5：生成陷门关键词：接收者输入关键词w'，私钥sk_r,ID，选择随机数u∈Z_q,计算TD＝g^u，其中g是群G的生成元。对于访问结构树T的每个叶子节点v∈lvs(T)，计算

输出陷门关键词td＝(ID',T,TD,{(X’_v,Y’_v)|v∈lvs(T)})，并将其发送云服务提供者；其中T是接收者私钥sk_r,ID中的访问结构，TD为随机数u∈Z_q的承诺值，w’为接收者的关键词；

步骤S6：进行密文搜索：输入密文关键词cph-index和关键词陷门td，若搜索成功，云服务提供者范围密文关键词cph-index给接收者；

步骤S7：输入密文关键词cph-index和接收者的私钥sk_r,ID，得到明文。

在本实施例中，步骤S1具体包括以下步骤：

步骤S11：给定安全参数l，并生成一个素数q；

步骤S12：选择一个双线性对映射e:G×G→G_T，其中G和G_T是阶为q的乘法循环群，g是群G的生成元；H₁:{0,1}^*→G和H₂:{0,1}^*→Z_q均是单向哈希函数；

步骤S13：选择随机数s₁,s₂∈Z_q，计算

设置公共参数pm＝(H₁,H₂,H₃,e,g,q,G,G_T,Y)和主私钥mk＝(s₁,s₂)，其中，H₃为单向哈希函数H₃:G→{0,1}ⁿ。

在本实施例中，步骤S3具体包括以下步骤：

步骤S31：给定一个访问结构树T，以主私钥mk＝(s₁,s₂)作为T的根节点，授权中心自上而下地执行Treebuild(T,s₁)和Treebuild(T,s₂)算法，设置树的内部节点和叶子结点的值；

步骤S32：对于访问结构树T的每个叶子节点v∈lvs(T)，选择随机数t∈Z_q，计算

以及Y_v＝g^t；接收者私钥为sk_r,ID＝(ID,T,{(X_v,1,X_v,2,Y_v)|v∈lvs(T)})；其中，q_v,1(0)表示k_v,1-1次多项式q_v,1(x)在x＝0时多项式的值，q_v,2(0)表示表示k_v,2-1次多项式q_v,2(x)在x＝0时多项式的值，att(v)表示叶子节点v的属性。其中，

在本实施例中，步骤S31具体包括以下步骤：

步骤S311：Treebuild(T,s)算法是构造一个以s为根节点的访问结构树T；通过为每个节点v产生一个k_v-1次多项式q_v，自上而下地构造一个访问结构树；给定一个访问结构树T，以主私钥mk＝(s₁,s₂)作为T的根节点，授权中心执行Treebuild(T,s₁)和Treebuild(T,s₂)算法，设置树的内部节点和叶子结点的值；其中，

步骤S312：为k_v-1次多项式q_v随机选择k_v-1个系数，如果v是访问结构树T的根节点，设置q_v(0)＝s；如果v是访问结构树T的叶子节点，设置q_v(0)＝s；如果v是访问结构树T的除根节点外的非叶子节点，设置q_v(0)＝q_parent(v)(ind(v))，其中，parent(v)表示节点v的父亲节点,ind(v)表示节点v的标识。

在本实施例中，步骤S4具体包括以下步骤：

步骤S41：数据拥有者输入系统公开参数pm，消息M，关键词w、属性集Atts、发送者的身份ID和发送者私钥sk_d,ID，选择随机数r∈Z_q，计算

和W'＝g^r；其中，e()表示双线性对映射e:G×G→G_T，

步骤S42：对于与每个消息关联的关键词w，数据拥有者计算

步骤S43：对于每个属性at_i∈Atts，数据拥有者计算W_i＝H₁(at_i)^r；则密文索引为cph-index＝(ID,Atts,KW,C,W',{W_i|at_i∈Atts})。

在本实施例中，步骤S6具体包括以下步骤：

步骤S61：比较密文关键词cph-index中的ID和关键词陷门td中的ID'是否相同，如果不同，则算法失败并停止；

步骤S62：对于密文关键词cph-index指定的属性集Atts，选择其中一个子属性集S，S满足陷门td指定的访问结构T；如果不存在这样的属性集，则搜索失败，否则进入步骤S63；

步骤S63：对于每一个属性at_i∈S，计算

其中att(v)＝at_i；其中，w'表示接收者的关键词；对于每一个叶子结点v∈lvs(T)，计算

其中，q_root,1(0)表示k_root,1-1次多项式q_root,1(x)在x＝0时多项式的值，q_root,2(0)表示k_root,2-1次多项式q_root,2(x)在x＝0时多项式的值；其中，

步骤S64：计算

云服务提供者判断e(KW,TD)＝E_root是否成立，如果等式成立，云服务提供者返回密文关键词cph-index给接收者。

在本实施例中，步骤S7具体包括以下步骤：

步骤S71：给定密文关键词cph-index中指定的属性集Atts，选择满足接收者私钥sk_r,ID中指定的访问树T的属性集S；

步骤S72：对于每一个属性at_i∈S，计算

其中att(v)＝at_i；

步骤S73：对于每一个叶子结点v∈lvs(T)，计算

和明文

其中

其中，j表示插值，j∈Z_q。

本实施例的主要特色优势是能够实现一对多的访问控制和密文检索。不仅能够实现细粒度的访问控制，云环境下的密文检索，而且可以抵抗关键词猜测攻击。且协议具有较好的性能和较高的安全性。

如图1所示，云存储提供方(CSP)负责数据的存储和为系统中的合法用户提供关键字检索。授权中心负责系统的初始化、密钥生成、密文和密钥的更新操作。数据拥有者负责上载其指定的访问结构的密文数据。数据用户从授权中心获得其私钥或更新后的私钥，从云存储提供方(CSP)处下载密文，当且仅当其属性列表与密文中内嵌的访问结构相匹配时成功解密密文，当接收者解密密文后，数据用户以后可以通过提交加密后的关键字给云存储提供方进行检索密文操作。可搜索属性基加密能够让属性满足访问控制策略的用户搜索加密文件。但是，现有的可搜索属性基加密方案不能抵抗关键词猜测攻击，即外部攻击者可以生成若干关键词密文上传到云服务器，然后侦测云服务器将这些密文返回给哪些用户，就可以知道这些用户的搜索信息。本发明使用密文不可区分和陷门不可区分方法解决关键词猜测攻击问题。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (4)

1.一种抗关键词猜测攻击的可搜索属性基加密方法，其特征在于，包括以下步骤：

步骤S1：根据给定的安全参数，生成系统公开参数和主私钥；

步骤S2：根据主私钥mk和发送者的身份ID，得到发送者私钥sk_d,ID；

步骤S3：根据主私钥mk，访问结构树T和发送者的身份ID，得到接收者私钥sk_r,ID；

步骤S4：产生密文索引：根据系统公开参数pm，消息M，关键词w、属性集Atts、发送者的身份ID和发送者私钥sk_d,ID，得到密文索引cph-index；

步骤S5：生成陷门关键词：接收者输入关键词W'，私钥sk_r,ID，选择随机数u∈Z_q,计算TD＝g^u，其中g是群G的生成元；对于访问结构树T的每个叶子节点v∈lvs(T)，计算

输出陷门关键词td＝(ID,T,TD,{(X′_v,Y′_v)|v∈lvs(T)})，并将其发送给云服务提供者；其中T是接收者私钥sk_r,ID中的访问结构树，TD为随机数u∈Z_q的承诺值，W'为接收者的关键词；

步骤S6：进行密文搜索：输入密文关键词cph-index和关键词陷门td，若搜索成功，云服务提供者提供范围密文关键词cph-index给接收者；

步骤S7：输入密文关键词cph-index和接收者的私钥sk_r,ID，得到明文；

步骤S1具体包括以下步骤：

步骤S11：给定安全参数l，并生成一个素数q；

步骤S12：选择一个双线性对映射e:G×G→G_T，其中G和G_T是阶为q的乘法循环群，g是群G的生成元；H₁:{0,1}^*→G和H₂:{0,1}^*→Z_q均是单向哈希函数；

步骤S13：选择随机数s₁,s₂∈Z_q，计算

设置公共参数pm＝(H₁,H₂,H₃,e,g,q,G,G_T,Y)和主私钥mk＝(s₁,s₂)，其中，H₃为单向哈希函数H₃:G→{0,1}ⁿ；

步骤S4具体包括以下步骤：

步骤S41：数据拥有者输入系统公开参数pm，消息M，关键词w、属性集Atts、发送者的身份ID和发送者私钥sk_d,ID，选择随机数r∈Z_q，计算

和W'＝g^r；其中，e()表示双线性对映射e:G×G→G_T，

步骤S42：对于与每个消息关联的关键词w，数据拥有者计算

步骤S43：对于每个属性at_i∈Atts，数据拥有者计算W_i＝H₁(at_i)^r；则密文索引为cph-index＝(ID,Atts,KW,C,W',{W_i|at_i∈Atts})；

步骤S3具体包括以下步骤：

步骤S31：给定一个访问结构树T，以主私钥mk＝(s₁,s₂)作为T的根节点，授权中心自上而下地执行Treebuild(T,s₁)和Treebuild(T,s₂)算法，设置树的内部节点和叶子结点的值；其中，Treebuild(T,s)算法是构造一个以s为根节点的访问结构树T；

步骤S32：对于访问结构树T的每个叶子节点v∈lvs(T)，选择随机数t∈Z_q，计算

以及Y_v＝g^t；接收者私钥为sk_r,ID＝(ID,T,{(X_v,1,X_v,2,Y_v)|v∈lvs(T)})；其中，q_v,1(0)表示k_v,1-1次多项式q_v,1(x)在x＝0时多项式的值，q_v,2(0)表示k_v,2-1次多项式q_v,2(x)在x＝0时多项式的值，att(v)表示叶子节点v的属性；其中，

2.根据权利要求1所述的一种抗关键词猜测攻击的可搜索属性基加密方法，其特征在于，步骤S31具体包括以下步骤：

步骤S311：通过为每个节点v产生一个k_v-1次多项式q_v，自上而下地构造一个访问结构树；给定一个访问结构树T，以主私钥mk＝(s₁,s₂)作为T的根节点，授权中心执行Treebuild(T,s₁)和Treebuild(T,s₂)算法，设置树的内部节点和叶子结点的值；其中，

步骤S312：为k_v-1次多项式q_v随机选择k_v-1个系数，如果v是访问结构树T的根节点，设置q_v(0)＝s；如果v是访问结构树T的叶子节点，设置q_v(0)＝s；如果v是访问结构树T的除根节点外的非叶子节点，设置q_v(0)＝q_parent(v)(ind(v))，其中，parent(v)表示节点v的父亲节点,ind(v)表示节点v的标识。

3.根据权利要求2所述的一种抗关键词猜测攻击的可搜索属性基加密方法，其特征在于，步骤S6具体包括以下步骤：

步骤S61：比较密文关键词cph-index中的ID和关键词陷门td中的ID是否相同，如果不同，则算法失败并停止；

步骤S62：对于密文关键词cph-index指定的属性集Atts，选择其中一个子属性集S，S满足陷门td指定的访问结构树T；如果不存在这样的属性集，则搜索失败，否则进入步骤S63；

步骤S63：对于每一个属性at_i∈S，计算

其中att(v)＝at_i；对于每一个叶子结点v∈lvs(T)，计算

其中，q_root,1(0)表示k_root,1-1次多项式q_root,1(x)在x＝0时多项式的值，q_root,2(0)表示k_root,2-1次多项式q_root,2(x)在x＝0时多项式的值；其中，

步骤S64：计算

云服务提供者判断e(KW,TD)＝E_root是否成立，如果等式成立，云服务提供者返回密文关键词cph-index给接收者。

4.根据权利要求3所述的一种抗关键词猜测攻击的可搜索属性基加密方法，其特征在于，步骤S7具体包括以下步骤：

步骤S71：给定密文关键词cph-index中指定的属性集Atts，选择满足接收者私钥sk_r,ID中指定的访问结构树T的属性集S；

步骤S72：对于每一个属性at_i∈S，计算

其中att(v)＝at_i；

步骤S73：对于每一个叶子结点v∈lvs(T)，计算

和明文

其中

其中，j表示插值，j∈Z_q。

Images