CN111447209B - 一种黑盒可追踪密文策略属性基加密方法 - Google Patents

Abstract

本发明公开了一种黑盒可追踪密文策略属性基加密方法，其包括以下步骤：S1、生成系统公开密钥、系统主密钥；S2、生成属性私钥和用户身份唯一标识；S3、生成输出密文并上传至云服务器；S4、判断是否出现系统授权之外可以解密输出密文的第三方用户或设备，若是则进入步骤S5，否则进入步骤S6；S5、将追踪密文发送至第三方用户或设备，并获取返回消息，根据返回消息和追踪陷门获取该第三方用户或设备的信息，结束本方法；S6、将输出密文下发至该用户，用户通过属性私钥和公开密钥解密输出密文，结束本方法。本方法提高了黑盒可追踪方案的加解密效率、降低了追踪恶意用户的计算开销，且方案安全性强。

Description

一种黑盒可追踪密文策略属性基加密方法

技术领域

本发明涉及数据安全领域，具体涉及一种黑盒可追踪密文策略属性基加密方法。

背景技术

大数据、物联网背景下，如何高效处理海量数据已成为公众关注的焦点，提供数据存储与计算服务的云计算因而得以广泛发展与应用。用户数据受其托管存储于云服务器端，用户不再直接管理数据，为保障数据隐私与安全，数据往往加密后存储至云平台。此种模式下，用户失去了对数据的细粒度访问控制，属性基加密被广泛应用于云计算服务平台保障数据的安全与隐私。分析表明，现有属性基加密方案无法追踪恶意用户，存在严重的密钥滥用问题。

在传统的CP-ABE中，用户密钥只与其所拥有的属性集合有关，并不包含用户的身份信息，某些用户可能在利益的驱使下将自身密钥恶意地泄露给非授权用户，然而该恶意用户却很难被系统追查用户信息，密钥滥用问题给CP-ABE系统带来极大的安全隐患。导致密钥滥用的原因有二：同一属性可能多人共同享有，密钥共享后难以定位密钥来源；密钥随机化问题，同一密钥可多次随机化处理生成合法密钥。例如Alice为系统合法授权用户，其属性集合为S_A＝{att₁，att₂，att₃}，密钥为SK_A；类似的，Bob的属性集合为S_B＝{att₂，att₃，att₄}，密钥为SK_B。若非授权用户Evil通过非法途径获得密钥SK_E包含属性集合S_E＝{att₂，att₃}，则Evil可利用属性集合S_E＝{att₂，att₃}的密钥去解密满足策略的密文，授权机构都无法确定Evil密钥的来源于Alice或Bob。此外，恶意用户也可再次对传统CP-ABE产生的密钥进行随机化来逃避追责。Waters“Waters B.Ciphertext-policy attribute-basedencryption：An expressive，efficient，and provably secure realization[C]//International Workshop on Public Key Cryptography.Springer，Berlin，Heidelberg，2011：53-70.”(下文简称Waters et al2011方案)方案中密钥产生算法为K＝g^αg^at，L＝g^t，

其中α，a是系统主密钥，g是系统公开参数，h_x是用户公开的属性信息，t为随机数。恶意用户可选择随机数r将他密钥再次进行随机化产生新的密钥：K′＝g^αg^at+ar，L′＝g^t+r，

授权机构从未产生密钥K′，L′，K′，而新产生的非法密钥却可以根据解密算法正确解密密文，授权机构无法追踪非法密钥的来源。由此可见，恶意用户随意泄露密钥，而不用承担任何责任与风险。由上述示例可知，密钥滥用问题给ABE系统带来了极大的安全威胁，也严重阻碍了ABE系统的应用与发展。因此，构造一个能够对恶意用户进行有效追踪的方案是当前CP-ABE系统亟待解决的关键问题。

发明内容

针对现有技术中的上述不足，本发明提供的一种黑盒可追踪密文策略属性基加密方法解决了现有CP-ABE系统难以追踪恶意用户的问题。

为了达到上述发明目的，本发明采用的技术方案为：

提供一种黑盒可追踪密文策略属性基加密方法，其包括以下步骤：

S1、通过授权机构建立CP-ABE系统，生成系统公开密钥、系统主密钥；

S2、根据系统主密钥和用户属性集合生成属性私钥和身份唯一标识；

S3、数据拥有者通过加密算法将访问结构、系统公开密钥和信息生成输出密文，并将输出密文上传至云服务器；

S4、用户访问云服务器中的访问结构，判断是否出现系统授权之外可以解密输出密文的第三方用户或设备，若是则进入步骤S5，否则进入步骤S6；

S5、通过授权机构生成追踪密文和追踪陷门，将追踪密文发送至第三方用户或设备，并获取返回消息，根据返回消息和追踪陷门获取该第三方用户或设备的信息，结束本方法；

S6、将输出密文下发至该用户，用户通过属性私钥和公开密钥解密输出密文，结束本方法。

进一步地，步骤S1的具体方法包括以下子步骤：

S1-1、通过授权机构建立CP-ABE系统；

S1-2、建立属性集合空间Att；其中Att＝{Att₁,...,Att_i,...,Att_Λ}，Att_i表示第i个属性，Λ表示属性集合空间Att的属性总数；

S1-3、将安全参数λ和属性集合空间Att输入CP-ABE系统，得到元组

其中

和

为阶为p的循环群；p为大素数；e为双线性映射函数：

g为群

的生成元；f为群

内随机选取的元素；U为属性集合空间，U＝{h₁,...,h_i,...,h_k}，U中的每个属性均由群

内的元素唯一表示，Λ＝|U|；

S1-4、随机选取两个值α和β，将

作为系统公开密钥，将MK＝(α,β)作为系统主密钥；其中

为小于p的非零整数。

进一步地，步骤S2的具体方法为：

根据公式：

生成身份标识为ID的用户的属性私钥SK_id；其中用户主密钥，L为用户身份密钥，K_x为用户拥有各属性对应的属性密钥；h_x为该用户拥有的属性集合S_id中的第x个属性，j为属性集合S_id中属性的总数；t为不重复随机数，

将e(f,g)^tβ作为身份标识为ID的用户的身份唯一标识ID_sk；将SK_id发送给用户，并将ID_sk存入数据库。

进一步地，步骤S3的具体方法包括以下子步骤：

S3-1、通过数据拥有者制定访问结构

其中A为由访问策略转化得到的l×n的矩阵，l为参与加密的相关属性个数；n与访问策略的结构复杂度成正相关；ρ为映射函数，用于将A的每一行映射为一个对应的值；

S3-2、通过数据拥有者输入系统公开密钥、信息M和访问结构，根据公式：

获取输出密文CT；其中C为主密文，C'为秘密值的公开承诺，C_i为访问策略中属性锁对应的属性密文，D_i为随机数r_i的公开承诺；λ_i为秘密共享份额，λ_i＝A_iv，向量v中的第一个元素为欲分享的秘密值，其余为n-1个小于p的随机整数；h_ρ(i)为用户拥有的属性集合S_id中第A中第i行进行映射后的属性值，r_i为h_ρ(i)对应的小于p的随机整数；ρ(i)表示将A中第i行进行映射后的值；

S3-3、将输出密文CT上传至云服务器。

进一步地，步骤S5的具体方法包括以下子步骤：

S5-1、根据公式：

生成追踪密文TCT；其中λ_i'＝A_iv'，向量v'中的第一个元素与向量v中的第一个元素不同，其余相同；

为属性集合；

S5-2、根据公式：

Trap＝s′-s

生成追踪陷门Trap；其中s为向量v中的第一个元素，s'为向量v'中的第一个元素；

S5-3、根据公式：

E＝e(K,C')

D'＝E/F＝e(g,g)^αse(g,f)^tβ(s-s')

M^*＝C/D'＝Me(g,f)^tβ(s'-s)

将追踪密文TCT发送至第三方用户或设备，并获取返回的消息M^*；将追踪陷门Trap保留至授权机构；其中E、F'和D'均为中间参数；向量ω的取值约束为：∑_i∈lω_iA_i＝(1,0,...,0)，ω_i为向量ω中的第i个元素；

S5-4、根据公式：

获取第三方用户或设备的身份唯一标识ID_s'_k，进而获取该第三方用户或设备的信息。

进一步地，步骤S6的具体方法为：

根据公式：

E＝e(K,C')

D＝E/F＝e(g,g)^αs

M'＝C/D

通过属性私钥和公开密钥解密输出密文M'，输出密文M'即M；其中E、F和D均为中间参数；向量ω的取值约束为：∑_i∈lω_iA_i＝(1,0,...,0)，ω_i为向量ω中的第i个元素。

本发明的有益效果为：本方法与现有黑盒追踪方案相比，系统存储开销与计算效率都有较大的改善；且与Waters et al 2011高效的CP-ABE方案相比，不增加任何额外的计算量能够达到同等级别的安全、高效，并且实现了黑盒追踪功能。

附图说明

图1为本发明的流程示意图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

如图1所示，该黑盒可追踪密文策略属性基加密方法包括以下步骤：

S1、通过授权机构建立CP-ABE系统，生成系统公开密钥、系统主密钥；

S2、根据系统主密钥和用户属性集合生成属性私钥和身份唯一标识；

S3、数据拥有者通过加密算法将访问结构、系统公开密钥和信息生成输出密文，并将输出密文上传至云服务器；

S4、用户访问云服务器中的访问结构，判断是否出现系统授权之外可以解密输出密文的第三方用户或设备，若是则进入步骤S5，否则进入步骤S6；

S5、通过授权机构生成追踪密文和追踪陷门，将追踪密文发送至第三方用户或设备，并获取返回消息，根据返回消息和追踪陷门获取该第三方用户或设备的信息，结束本方法；

S6、将输出密文下发至该用户，用户通过属性私钥和公开密钥解密输出密文，结束本方法。

在具体实施过程中，步骤S1具体包括：

属性集合的建立：系统建立属性集合空间Att，Att＝{Att₁,...,Att_i,...,Att_Λ}，其中||表示属性集合空间共Λ个属性。

生成系统参数：系统运行初始化算法，输入安全参数λ与属性集合空间Att，输出

元组，其中p为大素数，

是阶为p的循环群，g是群

的生成元，f为群

内随机选取的元素，双线性映射函数e：

属性集合空间U，U＝{h₁，h₂，...，h_Λ}，h_i为第i个属性，

即属性集合空间的每个属性均由群

内的元素唯一表示，|U|为属性集合空间的大小为Λ。

生成公私钥信息：选两个随机值

为小于p的非零整数。计算g^β，e(g，g)^α得系统公开参数：

系统主密钥：MK＝(α，β)。

步骤S2具体包括：

用户属性密钥生成：身份标识为ID的用户拥有属性集合为S，设S＝{h₁，h₂，...，h_j}，用户请求授权机构为他颁发属性密钥。授权机构执行密钥生成算法。选择随机数

t不能重复，若重复则重新选择。生成用户私钥SK_id集合：

生成用户标识信息：授权机构计算ID_sk＝e(f，g)^tβ，以Key：ID，Value：e(f，g)^tβ的形式存入数据库中。份标识为ID在系统中的标识为ID_sk。

密钥分发：授权机构通过安全信道，将SK_id发给用户，将ID_sk存入数据库。

步骤S3具体包括：

加密算法初始化：数据拥有者首先制定访问策略

参与加密的相关属性为l个，可转换为一个l×n的矩阵A，映射函数ρ(i)，i∈{1，2，...，l}将A的每一行映射为一个对应的值。随机选择向量

向量v中的数为随机选取，其中

是欲分享的秘密值，λ是λ_i＝A_iv的乘积向量集合，λ_i称为秘密共享份额。

加密数据：数据拥有者输入公钥PK、明文

与访问策略

运行加密算法输出密文CT。随机选择

计算CT密文集合为：

上传数据：数据拥有者加密数据得CT后，将CT上传至云服务器端。

步骤S6具体包括：

下载密文：某用户访问云服务器上存储的密文CT，并检验访问策略

若该用户的属性集合满足密文的访问策略，则云服务器则允许用户下载该密文，否则拒绝下载请求。

解密：该解密算法输入公开参数PK、密文CT与属性私钥SK_id。根据访问策略计算出矩阵的每一行数据A_i，若用户属性集合满足CT访问策略(A，ρ)时，则属性集合

且I＝{i∶ρ(i)∈S}，存在向量ω使得∑_i∈Iω_iA_i＝(1，0，...，0)，算出ω的各个分量{ω_i}_i∈I用于解密运算，则∑_i∈Iω_iλ_i＝s恒成立。

E＝e(K，C′)＝e(g^α/βf^t，g^βs)＝e(g，g)^ase(f，g)^βts；

D＝E/F＝e(g，g)^αs；

M＝C/D；

步骤S5具体包括：

黑盒追踪：若系统出现系统授权之外可以解密密文的用户、或者有在第三方平台提供解密服务的设备

时，授权机构则可断定有用户恶意泄露密钥。由于解密密钥和解密算法不可见，则需要利用相应的黑盒追踪算法查找恶意用户。

生成追踪密文：授权机构运行追踪加密算法，输入公开参数PK、消息

以及满足属性集合

的访问策略

秘密分享向量

中的秘密值s′与之前不同外，其他参数的选取同原加密方案相同。求得各分量λ_i＝A_iv，可得向量

随机选择

输出追踪密文如下：

Trap＝s′-s：

将TCT发给解密黑盒，授权机构保留追踪陷门Trap。

解密黑盒解密：由于解密黑盒充当一个解密预言机，为非授权用户提供解密服务，因此解密黑盒会诚实的执行解密操作，解得相应明文。访问策略

满足黑盒的属性集合

的要求时，黑盒运行解密算法可得M^*：

E＝e(K，C′)＝e(g^α/βf^t，g^βs)＝e(g，g)^αse(f，g)^βts

D′＝E/F′＝e(g，g)^αse(f，g)^βt(s-s′)；

M^*＝C/D＝Me(f，g)^βt(s′-s)；

用户追踪：由于黑盒是无法对正常密文和追踪密文进行区分，黑盒解密TCT得

认为是一个有效的解，将M^*返回。授权机构已知M、Trap＝(s′-s)，可计算：

W＝M^*/M＝e(f，g)^βt(s′-s)；

最后根据列表ID_sk易查用户ID。

在具体实施过程中，如表1所示，本发明在计算效率、追踪效率与安全性等方面有较大改进，对比如表1所示表中使用的描述符为：m表示访问策略的大小；N表示系统用户总的数量；|S|表示用户拥有的属性大小；|I|表示解密时所需属性数量；H表示hash运算。加密成本用所需指数运算次数度量，解密成本用双线性对运算的次数度量。

表1：性能对比

计算效率：上述黑盒方案相比，本方案各项开销均比其他黑盒可追踪方案要少。显然，本方案与现有黑盒追踪方案相比，系统存储开销与计算效率都有较大的改善；且与Waters et al 2011高效的CP-ABE方案相比，不增加任何额外的计算量能够达到同等级别的安全、高效，并且实现了黑盒追踪功能。

追踪效率：在追踪效率上，本方案也与其他方案有着较为明显的优势。Liu et al2015方案(Liu Z，Wong D S.Traceable CP-ABE on prime order groups：Fully secureand fully collusion-resistant blackbox traceable[C]//International Conferenceon Information and Communications Security.Springer，Cham，2015：109-124.)进行黑盒追踪需要运行N斗1次追踪算法才能确定恶意用户的身份信息，且每次追踪算法的运算量为8λ(N/∈)²，其中，N为系统用户总数量，λ是系统安全参数，∈(∈≤1)表示黑盒设备正确解密的概率。该方案的追踪算法的追踪次数较多且单次追踪计算成本较大。Qiao et al2018方案(Qiao H，Ren J，Wang Z，et al.Compulsory traceable ciphertext-policyattribute-based encryption against privilege abuse in fog computing[J].FutureGeneration Computer Systems，2018，88：107-116)在追踪效率上有较大提升，追踪时需要运行1次追踪算法，每次的运算量和普通的加密算法相同，查找用户ID的计算复杂度为O(N)，对可疑ID进行指数上遍历用户列表搜寻，在输入特定的追踪陷门下，可将搜寻列表的复杂度降低到O(1)。本文对其追踪算法进行改进之后，追踪恶意用户仍需1次追踪算法，运算量和加密算法相同，但搜寻恶意用户无需再输入特定的陷门，查找用户的算法复杂度始终为O(1)。因此，本方案追踪黑盒算法的复杂度较低，可快速追踪出恶意用户。

安全性：与Qiao et al 2018的方案是在一般双线性群模型下成立，安全性存在一定的争议。本方案则采用更强的q-parallel BDHE安全假设，安全性有较大改进。

综上所述，本方法提高了黑盒可追踪方案的加解密效率、降低了追踪恶意用户的计算开销，且方案安全性强。

Claims (1)

1.一种黑盒可追踪密文策略属性基加密方法，其特征在于，包括以下步骤：

S1、通过授权机构建立CP-ABE系统，生成系统公开密钥、系统主密钥；

S2、根据系统主密钥和用户属性集合生成属性私钥和身份唯一标识；

S3、数据拥有者通过加密算法将访问结构、系统公开密钥和信息生成输出密文，并将输出密文上传至云服务器；

S4、用户访问云服务器中的访问结构，判断是否出现系统授权之外可以解密输出密文的第三方用户或设备，若是则进入步骤S5，否则进入步骤S6；

S5、通过授权机构生成追踪密文和追踪陷门，将追踪密文发送至第三方用户或设备，并获取返回消息，根据返回消息和追踪陷门获取该第三方用户或设备的信息，结束本方法；

S6、将输出密文下发至该用户，用户通过属性私钥和公开密钥解密输出密文，结束本方法；

所述步骤S1的具体方法包括以下子步骤：

S1-1、通过授权机构建立CP-ABE系统；

S1-2、建立属性集合空间Att；其中Att＝{Att₁,...,Att_i,...,Att_Λ}，Att_i表示第i个属性，Λ表示属性集合空间Att的属性总数；

S1-3、将安全参数λ和属性集合空间Att输入CP-ABE系统，得到元组

其中

和

为阶为p的循环群；p为大素数；e为双线性映射函数：

g为群

的生成元；f为群

内随机选取的元素；U为属性集合空间，U＝{h₁,...,h_i,...,h_k}，U中的每个属性均由群

内的元素唯一表示，Λ＝|U|；

S1-4、随机选取两个值α和β，将

作为系统公开密钥，将MK＝(α,β)作为系统主密钥；其中

为小于p的非零整数；

所述步骤S2的具体方法为：

根据公式：

生成身份标识为ID的用户的属性私钥SK_id；其中用户主密钥，L为用户身份密钥，K_x为用户拥有各属性对应的属性密钥；h_x为该用户拥有的属性集合S_id中的第x个属性，j为属性集合S_id中属性的总数；t为不重复随机数，

将e(f,g)^tβ作为身份标识为ID的用户的身份唯一标识ID_sk；将SK_id发送给用户，并将ID_sk存入数据库；

所述步骤S3的具体方法包括以下子步骤：

S3-1、通过数据拥有者制定访问结构

其中A为由访问策略转化得到的l×n的矩阵，l为参与加密的相关属性个数；n与访问策略的结构复杂度成正相关；ρ为映射函数，用于将A的每一行映射为一个对应的值；

S3-2、通过数据拥有者输入系统公开密钥、信息M和访问结构，根据公式：

获取输出密文CT；其中C为主密文，C'为秘密值的公开承诺，C_i为访问策略中属性锁对应的属性密文，D_i为随机数r_i的公开承诺；λ_i为秘密共享份额，λ_i＝A_iv，向量v中的第一个元素为欲分享的秘密值，其余为n-1个小于p的随机整数；h_ρ(i)为用户拥有的属性集合S_id中第A中第i行进行映射后的属性值，r_i为h_ρ(i)对应的小于p的随机整数；ρ(i)表示将A中第i行进行映射后的值；

S3-3、将输出密文CT上传至云服务器；

所述步骤S5的具体方法包括以下子步骤：

S5-1、根据公式：

生成追踪密文TCT；其中λ_i'＝A_iv'，向量v'中的第一个元素与向量v中的第一个元素不同，其余相同；

为属性集合；

S5-2、根据公式：

Trap＝s′-s

生成追踪陷门Trap；其中s为向量v中的第一个元素，s'为向量v'中的第一个元素；

S5-3、根据公式：

E＝e(K,C')

D'＝E/F＝e(g,g)^αse(g,f)^tβ(s-s')

M^*＝C/D'＝Me(g,f)^tβ(s'-s)

将追踪密文TCT发送至第三方用户或设备，并获取返回的消息M^*；将追踪陷门Trap保留至授权机构；其中E、F'和D'均为中间参数；向量ω的取值约束为：∑_i∈lω_iA_i＝(1,0,...,0)，ω_i为向量ω中的第i个元素；

S5-4、根据公式：

获取第三方用户或设备的身份唯一标识ID′_sk，进而获取该第三方用户或设备的信息；

所述步骤S6的具体方法为：

根据公式：

E＝e(K,C')

D＝E/F＝e(g,g)^αs

M'＝C/D

通过属性私钥和公开密钥解密输出密文M'，输出密文M'即M；其中E、F和D均为中间参数；向量ω的取值约束为：∑_i∈lω_iA_i＝(1,0,...,0)，ω_i为向量ω中的第i个元素。

Images