CN111371760A - 一种基于证书广播加密方法和系统 - Google Patents

Abstract

本发明公开一种基于证书广播加密方法和系统，提出了基于证书广播加密（CBBE）方法。基于素数阶双线性群，构造了一个安全的CBBE方案。将CBBE方法应用于云存储服务中数据访问控制中，并以借助云存储服务的在线照片和视频分享场景用例作为示例，描述了CBBE方法实现数据访问控制机制的具体实施过程。本发明提出的方法可有效解决传统公钥密码体制中存在的证书管理开销过大问题和基于身份密码体制中存在的密钥托管问题。本发明能够应用于云存储服务中数据访问控制中。提出的方法在计算代价和安全性质方面具有优势。

Description

一种基于证书广播加密方法和系统

技术领域

本发明涉及云计算安全技术领域，尤其涉及一种基于证书广播加密方法和系统。

背景技术

公钥广播加密自提出以来，已有的相关研究工作大多采用基于PKI的传统公钥密码体制或者基于身份密码体制。然而在基于PKI的传统公钥密码体制中，数字证书的管理过程(具体包括证书的生成、签发、存储、维护、更新以及撤销)会产生较高的计算和通信开销。Shamir在CRYPTO 1984上提出的基于身份密码体制下，用户的公钥可以简单地用其唯一的身份信息来标识，例如身份证号码、手机号码以及E-mail地址等，因此不再需要数字证书来绑定和验证用户的公钥。但是基于身份密码体制存在固有的缺陷，即密钥托管问题。原因在于，基于身份密码体制下的私钥生成中心，具备可以解密任何一个用户的加密消息或伪造任何一个用户的签名的能力。换言之，私钥生成中心将是一个非常严重的安全隐患。

Gentry在EUROCRYPT 2003上提出的基于证书密码体制为解决上述问题提供了新的思路。简言之，基于证书密码体制设计了一个隐式认证机制。具体而言，在基于证书密码体制中，用户将自行生成其公钥和私钥，然后向证书中心分别申请一个长期证书和一个短期证书。长期证书类似于基于PKI的传统公钥密码体制中的证书，而短期证书则作为解密阶段中用户私钥的一个隐式组成部分，由用户自行保存。如此便不再需要发送者事先验证接收者公钥的真实性，因为接收者只有在掌握有效短期证书的情况下才可以正确解密，而短期证书隐含了公钥真实性的证明。由于不再需要频繁地查询证书目录和验证证书的有效性，基于证书密码体制从而避免了传统公钥密码体制中的证书管理和第三方询问问题。另外，基于证书密码体制中用户的私钥由用户自行生成并秘密持有，也同时避免了基于身份密码体制的密钥分发和密钥托管问题。

应用基于证书密码体制构造公钥广播加密方案直观上来看是可行的，因为基于证书加密可视为公钥加密与基于身份加密的结合，而应用基于身份加密的思想构造基于身份广播加密的研究已经相当成熟。事实上，已有部分学者开展了相关的研究。2007年，Sur等人提出了一个多接收者基于证书加密方案，但并未给出多接收者基于证书加密的形式化定义和安全模型。2013年，Fan等人提出了一个匿名多接收者基于证书加密方案，但该方案中接收者的解密代价较高，与当前目标接收者数量成线性关系。

发明内容

本发明的目的在于提供一种基于证书广播加密方法和系统。

本发明采用的技术方案是：

一种基于证书广播加密方法，其包括以下步骤：

步骤S1：输入安全参数λ，CA执行该算法输出系统公开参数params和系统主密钥MK。CA发布系统公开参数params并秘密持有系统主密钥MK；

步骤S2：输入系统公开参数params和某个用户的身份ID_i

用户ID_i执行该算法输出其公钥PK_i和私钥SK_i；

步骤S3：输入系统公开参数params、系统主密钥MK、某个用户的身份ID_i及其公钥PK_i

用户索引空间

其中N表示授权接收者的最大数量，CA执行该算法输出用户ID_i的证书Cert_i；

步骤S4：输入系统公开参数params、授权接收者集合S和广播消息M，广播者执行该算法生成(Hdr,K)。其中，Hdr称为广播密文头部，K表示选定的某个会话密钥。最终输出的广播密文可表示为CT＝(S,Hdr,C_M)。C_M称为广播主体，具体地说，其为应用会话密钥K对广播消息M加密后产生的密文。

步骤S5：输入系统公开参数params、集合S、密文CT、某个用户的身份ID_i、私钥SK_i以及证书Cert_i，若ID_i∈S，算法输出原始广播消息M。

进一步地，步骤S1具体包括以下步骤：

步骤S11：输入安全参数λ，CA执行算法

生成

其中

和

为两个乘法循环群，群阶为λ比特的素数p，

是一个双线性群；

步骤S12：令g表示群

的一个生成元。CA随机选取

和

计算g₁＝g^α以及g_T＝e(g,g)。CA选取四个抗碰撞哈希函数，具体形如

以及

步骤S13：CA最终发布系统公开参数

并秘密持有系统主密钥MK＝α。

进一步地，步骤S2具体包括以下步骤：

步骤S21：输入系统公开参数params和某个用户的身份ID_i

用户ID_i随机选取

作为其私钥SK_i，即SK_i＝(SK_i,1,SK_i,2)＝(b_i,1,b_i,2)；

步骤S22：用户ID_i计算其公钥

进一步地，步骤S3具体包括以下步骤：

步骤S31：输入系统公开参数params、系统主密钥MK、某个用户的身份ID_i及其公钥PK_i

CA计算β＝H₁(ID_i,PK_i)；

步骤S32：CA随机选取

并计算

和

CA为用户ID_i输出证书Cert_i＝(Cert_i,1,Cert_i,2,Cert_i,3,Cert_i,4)＝(c_i,1,d_i,1,c_i,2,d_i,2)。

进一步地，步骤S4具体包括以下步骤：

步骤S41：该算法以系统公开参数params、授权接收者集合S＝{ID₁,ID₂,...,ID_n}(n≤N)以及广播消息

作为输入。需要指出的是，所有授权接收者的公钥将视为隐式的输入。对于各个接收者ID_i∈S(i∈[1,n])，广播者分别为其计算β＝H₁(ID_i,PK_i)。事实上，该值可以预先计算并将结果存储于一个列表中；

步骤S42：广播者随机选取

广播者继续计算

以及

进一步地，广播者计算x_i＝H₃((e(g,h₁·PK_i,2)^γ·e(g,h₂·PK_i,3))^r)；

步骤S43：广播者构造一个多项式函数

并计算

步骤S44：广播者随机选取

和

输出广播密文头部

最终生成广播密文

进一步地，步骤S5具体包括以下步骤：

步骤S51：该算法以系统公开参数params、授权接收者集合S、密文CT、某个用户的身份ID_i、私钥SK_i以及证书Cert_i作为输入。不失一般性，假设广播密文

其中广播密文头部

若

则无法解密；

步骤S52：否则，接收者ID_i计算

其中β＝H₁(ID_i,PK_i)；

步骤S53：令

接收者ID_i接着计算

和

步骤S54：接收者ID_i继续计算

最终，接收者ID_i可恢复出原始广播消息

进一步地，本发明还提供了一种基于证书广播加密系统，基于证书密码系统共涉及四类不同实体，即数据拥有者(DO)、数据用户(DUs)、云存储服务器(CSS)以及证书中心(CA)。DO首先应用会话密钥对其个人数据进行加密，并将加密后的数据存储于CSS。CA为所有DUs发布系统公开参数并生成用户证书。借助CBBE，DO向目标集合中的DUs广播会话密钥。具体地说，CA为DO和DUs发布系统公开参数。接着，CA结合DUs的公钥生成用户证书。然后，CA以授权DUs作为一个目标集合中的接收者，并利用CBBE原语对前述的会话密钥进行加密。授权DUs可通过其私钥和证书成功解密广播密文并获得该会话密钥。最终，这些授权DUs可通过该会话密钥进一步解密存储于CSS的加密数据，从而恢复出DO的原始个人数据。

本发明采用以上技术方案，提出了基于证书广播加密(CBBE)方法。基于素数阶双线性群，构造了一个安全的CBBE方案。进一步，将CBBE方法应用于云存储服务中数据访问控制中，并以借助云存储服务的在线照片和视频分享场景用例作为示例，描述了CBBE方法实现数据访问控制机制的具体实施过程。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1为本发明一种基于证书广播加密方法原理示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。

本发明的目的是提出一种基于证书广播加密方法，并给出了方案在云存储服务中数据访问控制中的具体应用过程。提出的方法在计算代价和安全性质方面具有优势。基于证书密码系统共涉及四类不同实体，即数据拥有者(DO)、数据用户(DUs)、云存储服务器(CSS)以及证书中心(CA)。DO首先应用会话密钥对其个人数据进行加密，并将加密后的数据存储于CSS。CA为所有DUs发布系统公开参数并生成用户证书。借助CBBE，DO向目标集合中的DUs广播会话密钥。具体地说，CA为DO和DUs发布系统公开参数。接着，CA结合DUs的公钥生成用户证书。然后，CA以授权DUs作为一个目标集合中的接收者，并利用CBBE原语对前述的会话密钥进行加密。授权DUs可通过其私钥和证书成功解密广播密文并获得该会话密钥。最终，这些授权DUs可通过该会话密钥进一步解密存储于CSS的加密数据，从而恢复出DO的原始个人数据。

如图1所示，本发明公开了一种基于证书广播加密方法，具体包括以下步骤：

步骤S1：输入安全参数λ，CA执行该算法输出系统公开参数params和系统主密钥MK。CA发布系统公开参数params并秘密持有系统主密钥MK；

步骤S2：输入系统公开参数params和某个用户的身份ID_i

用户ID_i执行该算法输出其公钥PK_i和私钥SK_i；

步骤S3：输入系统公开参数params、系统主密钥MK、某个用户的身份ID_i及其公钥PK_i

用户索引空间

其中N表示授权接收者的最大数量，CA执行该算法输出用户ID_i的证书Cert_i；

步骤S4：输入系统公开参数params、授权接收者集合S和广播消息M，广播者执行该算法生成(Hdr,K)。其中，Hdr称为广播密文头部，K表示选定的某个会话密钥。最终输出的广播密文可表示为CT＝(S,Hdr,C_M)。C_M称为广播主体，具体地说，其为应用会话密钥K对广播消息M加密后产生的密文。

步骤S5：输入系统公开参数params、集合S、密文CT、某个用户的身份ID_i、私钥SK_i以及证书Cert_i，若ID_i∈S，算法输出原始广播消息M。

在本实施例中，步骤S1具体包括以下步骤：

步骤S11：输入安全参数λ，CA执行算法

生成

其中

和

为两个乘法循环群，群阶为λ比特的素数p，

是一个双线性群；

步骤S12：令g表示群

的一个生成元。CA随机选取

和

计算g₁＝g^α以及g_T＝e(g,g)。CA选取四个抗碰撞哈希函数，具体形如

以及

步骤S13：CA最终发布系统公开参数

并秘密持有系统主密钥MK＝α。

在本实施例中，步骤S2具体包括以下步骤：

步骤S21：输入系统公开参数params和某个用户的身份ID_i

用户ID_i随机选取

作为其私钥SK_i，即

步骤S22：用户ID_i计算其公钥

在本实施例中，步骤S3具体包括以下步骤：

步骤S31：输入系统公开参数params、系统主密钥MK、某个用户的身份ID_i及其公钥PK_i

CA计算β＝H₁(ID_i,PK_i)；

步骤S32：CA随机选取

并计算

和

CA为用户ID_i输出证书Cert_i＝(Cert_i,1,Cert_i,2,Cert_i,3,Cert_i,4)＝(c_i,1,d_i,1,c_i,2,d_i,2)。

在本实施例中，步骤S4具体包括以下步骤：

步骤S41：该算法以系统公开参数params、授权接收者集合S＝{ID₁,ID₂,…,ID_n}(n≤N)以及广播消息

作为输入。需要指出的是，所有授权接收者的公钥将视为隐式的输入。对于各个接收者ID_i∈S(i∈[1,n])，广播者分别为其计算β＝H₁(ID_i,PK_i)。事实上，该值可以预先计算并将结果存储于一个列表中；

步骤S42：广播者随机选取

广播者继续计算

以及

进一步地，广播者计算x_i＝H₃((e(g,h₁·PK_i,2)^γ·e(g,h₂·PK_i,3))^r)；

步骤S43：广播者构造一个多项式函数

并计算

步骤S44：广播者随机选取

和

输出广播密文头部

最终生成广播密文

在本实施例中，步骤S5具体包括以下步骤：

步骤S51：该算法以系统公开参数params、授权接收者集合S、密文CT、某个用户的身份ID_i、私钥SK_i以及证书Cert_i作为输入。不失一般性，假设广播密文

其中广播密文头部

若

则无法解密；

步骤S52：否则，接收者ID_i计算

其中β＝H₁(ID_i,PK_i)；

步骤S53：令

接收者ID_i接着计算

和

步骤S54：接收者ID_i继续计算

最终，接收者ID_i可恢复出原始广播消息

本实施例还提供了一种基于证书广播加密系统，基于证书密码系统共涉及四类不同实体，即数据拥有者(DO)、数据用户(DUs)、云存储服务器(CSS)以及证书中心(CA)。DO首先应用会话密钥对其个人数据进行加密，并将加密后的数据存储于CSS。CA为所有DUs发布系统公开参数并生成用户证书。借助CBBE，DO向目标集合中的DUs广播会话密钥。具体地说，CA为DO和DUs发布系统公开参数。接着，CA结合DUs的公钥生成用户证书。然后，CA以授权DUs作为一个目标集合中的接收者，并利用CBBE原语对前述的会话密钥进行加密。授权DUs可通过其私钥和证书成功解密广播密文并获得该会话密钥。最终，这些授权DUs可通过该会话密钥进一步解密存储于CSS的加密数据，从而恢复出DO的原始个人数据。

本发明还借助云存储服务中在线照片和视频分享这一场景下的具体实例，来展示如何基于本发明提出的CBBE方法来实现数据访问控制机制。为简单起见，本发明仅概述这一过程的主要步骤，而忽略具体算法的细节。该过程主要包括以下三个步骤。

Step 1：DO利用某个对称加密算法将其照片或者视频进行加密。假设F表示照片或者视频文件，Sε表示对称加密算法，其包含两个子算法Sε.Enc和Sε.Dec。给定对称加密算法Sε中用到的会话密钥SK，则最终存储于CSS的加密后的照片或者视频文件可表示为F′＝Sε.Enc_SK(F)。

Step 2：应用本节提出的CBBE方法，DO通过发送会话密钥SK为一组目标用户进行授权。更准确地讲，执行权利要求的CBBE方法中的五个算法过程如下。

(1)给定安全参数λ，CA执行系统设置算法Setup(1^λ)生成系统主密钥MK，并为DO和DUs发布系统公开参数params。

(2)给定DU的身份ID_i，各个DU执行密钥生成算法，选取其私钥并计算相应的公钥。

(3)给定DU的公钥PK_i，CA执行证书产生算法为各个DU生成证书。

(4)假设S表示DO打算授权的目标用户集合。DO执行加密算法为集合S中授权DUs加密会话密钥SK并生成密文CT。需要指出的是，会话密钥SK视为加密算法中的广播消息。

(5)给定密文CT，各个授权DU通过执行解密算法获得会话密钥SK，而所有非授权DUs将一无所获。

Step 3：授权DUs从CSS处下载加密后的照片或者视频文件，即F′，然后通过执行算法F＝Sε.Dec_SK(F′)进一步恢复出原始的照片或者视频文件。

本发明采用以上技术方案，提出了基于证书广播加密(CBBE)方法。基于素数阶双线性群，构造了一个安全的CBBE方案。进一步，将CBBE方法应用于云存储服务中数据访问控制中，并以借助云存储服务的在线照片和视频分享场景用例作为示例，描述了CBBE方法实现数据访问控制机制的具体实施过程。与现有技术相比，本发明有以下有益效果：

1、本发明提出的方法可有效解决传统公钥密码体制中存在的证书管理开销过大问题和基于身份密码体制中存在的密钥托管问题。

2、与已有的广播加密方法相比，本发明提出的基于证书广播加密方法能够应用于云存储服务中数据访问控制中。提出的方法在计算代价和安全性质方面具有优势。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (9)

1.一种基于证书广播加密方法，其特征在于：其包括以下步骤：

步骤S1：输入安全参数λ，CA执行该算法输出系统公开参数params和系统主密钥MK。CA发布系统公开参数params并秘密持有系统主密钥MK；

步骤S2：输入系统公开参数params和某个用户的身份

用户ID_i执行该算法输出其公钥PK_i和私钥SK_i；

步骤S3：输入系统公开参数params、系统主密钥MK、某个用户的身份ID_i及其公钥

用户索引空间

其中N表示授权接收者的最大数量，CA执行该算法输出用户ID_i的证书Cert_i；

步骤S4：输入系统公开参数params、授权接收者集合S和广播消息M，广播者执行该算法生成(Hdr,K)，其中，Hdr称为广播密文头部，K表示选定的某个会话密钥；

并将输出的广播密文表示为CT＝(S,Hdr,C_M)，C_M称为广播主体，即应用会话密钥K对广播消息M加密后产生的密文；

步骤S5：输入系统公开参数params、集合S、密文CT、某个用户的身份ID_i、私钥SK_i以及证书Cert_i，当ID_i∈S，算法输出原始广播消息M。

2.根据权利要求1所述的一种基于证书广播加密方法，其特征在于：步骤S1具体包括以下步骤：

步骤S11：输入安全参数λ，CA执行算法

生成

其中

和

为两个乘法循环群，群阶为λ比特的素数p，e:

是一个双线性群；

步骤S12：令g表示群

的一个生成元，CA随机选取

和

计算g₁＝g^α以及g_T＝e(g,g)；CA选取四个抗碰撞哈希函数，具体为H₁:

H₂:

H₃:

以及H₄:

步骤S13：CA最终发布系统公开参数

并秘密持有系统主密钥MK＝α。

3.根据权利要求1所述的一种基于证书广播加密方法，其特征在于：步骤S2具体包括以下步骤：

步骤S21：输入系统公开参数params和某个用户的身份

用户ID_i随机选取

作为其私钥SK_i，即SK_i＝(SK_i,1,SK_i,2)＝(b_i,1,b_i,2)；

步骤S22：用户ID_i计算其公钥

4.根据权利要求1所述的一种基于证书广播加密方法，其特征在于：步骤S3具体包括以下步骤：

步骤S31：输入系统公开参数params、系统主密钥MK、某个用户的身份ID_i及其公钥

CA计算β＝H₁(ID_i,PK_i)；

步骤S32：CA随机选取

并计算

和

CA为用户ID_i输出证书Cert_i＝(Cert_i,1,Cert_i,2,Cert_i,3,Cert_i,4)＝(c_i,1,d_i,1,c_i,2,d_i,2)。

5.根据权利要求1所述的一种基于证书广播加密方法，其特征在于：步骤S4具体包括以下步骤：

步骤S41：该算法以系统公开参数params、授权接收者集合S＝{ID₁,ID₂,...,ID_n}(n≤N)以及广播消息

作为输入，对于各个接收者ID_i∈S(i∈[1,n])，广播者分别为其计算β＝H₁(ID_i,PK_i)；

步骤S42：广播者随机选取

广播者继续计算

以及

并由广播者计算x_i＝H₃((e(g,h₁·PK_i,2)^γ·e(g,h₂·PK_i,3))^r)；

步骤S43：广播者构造一个多项式函数

并计算

步骤S44：广播者随机选取

和

输出广播密文头部

最终生成广播密文

6.根据权利要求1所述的一种基于证书广播加密方法，其特征在于：步骤41中所有授权接收者的公钥将视为隐式的输入，对各个接收者计算β＝H₁(ID_i,PK_i)，广播者分别预先计算各个接收者的β＝H₁(ID_i,PK_i)，并计算结果存储于一个列表中。

7.根据权利要求1所述的一种基于证书广播加密方法，其特征在于：步骤S5具体包括以下步骤：

步骤S51：该算法以系统公开参数params、授权接收者集合S、密文CT、某个用户的身份ID_i、私钥SK_i以及证书Cert_i作为输入，生成广播密文

其中广播密文头部

且当

则无法解密；

步骤S52：否则，接收者ID_i计算

其中β＝H₁(ID_i,PK_i)；

步骤S53：令

接收者ID_i接着计算

和

步骤S54：接收者ID_i继续计算

接收者ID_i可恢复出原始广播消息

8.一种基于证书广播加密系统，其特征在于：系统包括数据拥有者、数据用户、云存储服务器以及证书中心；

数据拥有者应用会话密钥对其个人数据进行加密，并将加密后的数据存储于云存储服务器，数据拥有者借助CBBE向目标集合中的数据用户广播会话密钥，以对指定数据用户授权；

证书中心发布系统公开参数并生成用户证书，即证书中心分别为数据拥有者和数据用户发布系统公开参数，证书中心结合数据用户的公钥生成用户证书；

云存储服务器用于存储加密数据；

授权的数据用户通过其私钥和证书成功解密广播密文并获得该会话密钥，并通过该会话密钥解密存储于云存储服务器的加密数据，从而恢复出数据拥有者的原始个人数据。

9.根据权利要求8所述的一种基于证书广播加密系统，其特征在于：证书中心以授权的数据用户作为一个目标集合中的接收者，并利用CBBE原语对前述的会话密钥进行加密。

Images