CN111614680A - 一种基于cp-abe的可追溯云存储访问控制方法和系统 - Google Patents

Abstract

本发明公开了一种基于CP‑ABE的可追溯云存储访问控制方法，其在CP‑ABE方案的原理基础上，引入一个公开的访问记录数据库，用于存储用户对文件的访问记录，实现了访问记录的可追溯，用于恶意用户的甄别；此外，本发明通过数据拥有者在加密阶段，使用不同于原始CP‑ABE方案的秘密值分割方式，以及使用无证书签名方案对访问控制策略进行无证书签名，把签名数据加入到密文计算中，解决了原始CP‑ABE方案加、解密计算效率低的问题，有效地抵御了云环境中恶意用户的攻击，如修改访问控制策略、修改密文、冒充数据发布者发布数据等。

Description

一种基于CP-ABE的可追溯云存储访问控制方法和系统

技术领域

本发明属于计算机安全技术领域，更具体地，涉及一种基于CP-ABE的可追溯云存储访问控制方法和系统。

背景技术

访问控制是一种有效防止未授权用户获取系统资源的重要技术。密文策略属性基加密(Ciphertext Policy Attribute Based Encryption，简称CP-ABE)方法被认为是云环境下最合适的访问控制方法，原始CP-ABE算法使用了较多的双线性对运算，加密与解密的效率低，难以满足实际应用中高效性的要求，而且在方案设计之初，并没有考虑云环境中恶意用户存在的情况。

近年来有研究者发现云环境中的恶意用户可能会对其它用户的正确数据进行破坏、冒充其它用户发布数据等内部攻击，对于这种情况，多数研究者采取让数据发布者给明文签名的方式来验证用户身份，防止恶意用户对数据的破坏。

然而，上述针对恶意用户的访问控制方案仍然存在着以下问题：一是此类方案选择在解密后对明文进行签名验证来达到所需的效果，签名的验证并非解密的必经阶段，用户可正常解密而不执行签名验证过程，导致访问控制策略或密文容易被篡改，而数据访问者无从知晓；二是数据拥有者的签名以独立字段的形式存储于密文之中，恶意用户完全可以将拥有者的签名去除来达到发布虚假信息的目的，且该方案加解密过程的计算效率低。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于CP-ABE的可追溯云存储访问控制方法和系统，其目的在于，解决现有针对恶意用户的访问控制方案中由于签名验证并非解密的必经阶段，从而导致访问控制策略或密文容易被篡改而数据访问者无从知晓的技术问题，以及签名数据可被恶意用户轻易删除、加解密过程计算效率低的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种基于CP-ABE的可追溯云存储访问控制方法，是应用在包括第一客户端、第二客户端、云服务器、私钥生成中心的加密存储系统中，其特征在于，所述方法包括：

一、加密过程，包括以下步骤：

(1)第一客户端获取数据拥有者的原始明文、签名私钥

公开参数PK和访问控制策略T，使用对称加密算法对该原始明文进行加密，以得到数据密文CT_f，并根据数据拥有者的签名私钥

和公开参数PK计算数据拥有者对访问控制策略的签名τ；

(2)第一客户端使用其公开参数PK、其访问控制策略T和签名τ，对步骤(1)的对称加密过程中所使用的密钥M进行加密，以得到密钥密文CT，并将数据密文CT_f和密钥密文CT发送到云服务器存储。

二、解密过程，包括以下步骤：

(1)第二客户端选取随机数

将该随机数

数据访问者的属性集U′以及数据访问者的全局唯一标识User一起发送到私钥生成中心；

(2)私钥生成中心根据数据访问者的属性集U′、随机数

和数据访问者的全局唯一标识Uer生成相应的属性私钥SK，并将该属性私钥SK发送到第二客户端；

(3)第二客户端将属性私钥SK和数据访问者的属性集U′发送到云服务器；

(4)云服务器根据数据访问者的属性集U′和密钥密文CT中的访问控制策略T计算最小匹配集Y_min，并判断最小匹配集Y_min是否为空集，若不为空集，则进入步骤(5)，否则过程结束。

(5)云服务器根据属性私钥SK中的元素D₀和数据访问者的全局唯一标识User计算散列值H(D₀‖User)，并将散列值公开到访问记录数据库中。

(6)云服务器根据最小匹配集Y_min、公开参数PK、密钥密文CT以及属性私钥SK计算中间解密结果

将其发送到第二客户端；

(7)第二客户端根据公开参数PK、中间解密结果

中的访问控制策略T、

中的数据拥有者的全局唯一标识Owner、数据拥有者的签名公钥计算签名验证数据λ，将签名验证数据λ、中间解密结果

中的部分元素和随机数

计算生成解密结果M(即对称密钥)，从云服务器获取数据密文CT_f，并利用该解密结果M对该数据密文CT_f进行解密，以得到原始明文。

优选地，数据拥有者的公开参数PK等于：

其中

表示阶为素数p的乘法循环群，为公开参数PK的第一部分。g表示生成元，为公开参数PK的第二部分，α、γ、k、β_i,j都是随机数，且有α、γ、

表示模p的既约剩余系，p表示随机大素数，n表示加密存储系统的全属性集U中元素的个数，n_i表示加密存储系统的全属性集U中第i个元素的可取值个数。k是公开参数PK的第三部分，{h_i,j}是公开参数PK的第四部分，P_pub表示无证书签名的尾缀数据，为公开参数PK的第五部分，e表示双线性映射，e(g,g)^α为公开参数PK的第六部分，H₀、H₁、H₂为三个不同的哈希函数，

数据拥有者的签名私钥

等于：

其中Owner表示数据拥有者的全局唯一标识，Q_Owner为私钥的第一部分，x为私钥生成中心生成的随机数，且

pk_Owner,2＝g^x，

是私钥的第二部分，其是数据拥有者独自生成的随机数。

优选地，签名τ的计算具体是按照如下公式：

τ＝θ·Q_GID+θ′·r′_Owner

其中Owner表示数据拥有者的全局唯一标识，

表示数据拥有者的签名公钥，r′_Owner表是数据拥有者独自生成的随机数，为私钥的第二部分；

访问控制策略是用访问二叉树表示，访问二叉树中的叶子节点是加密存储系统的全属性集U中的元素，非叶子节点是逻辑表达式AND和OR。

优选地，加密过程的步骤(2)中第一客户端使用其公开参数PK、其访问控制策略T和签名τ对密钥M进行加密这一过程包括以下子步骤：

(2-1)根据访问控制策略T构造访问二叉树；

(2-2)随机选取秘密值

将秘密值S置于访问二叉树的根节点，从该根节点开始对访问二叉树进行广度优先遍历；

(2-3)判断当前节点是‘AND’节点、‘OR’节点，还是属性值相关联的叶子节点，若是‘AND’节点，则进入步骤(2-4)，若是‘OR’节点，则进入步骤(2-5)，若是属性值相关联的叶子节点，则进入步骤(2-6)；

(2-4)生成随机数

设置当前节点的左孩子节点值为S″，设置当前节点的右孩子节点值为S′-S″mod p，然后转入步骤(2-6)，其中S′表示当前节点拥有的秘密值；

(2-5)设置当前节点的左、右孩子节点值均为S′，然后转入步骤(2-6)；

(2-6)判断是否完成了访问二叉树的广度优先遍历，若没有完成，则获取当前节点的下一个节点作为当前节点，并返回步骤(2-3)，若完成了访问二叉树的广度优先遍历，则表示秘密值S已根据访问二叉树被传递到叶子节点，并转入步骤(2-7)；

(2-7)根据秘密值S和访问控制策略T获取密钥密文CT：

CT＝{T,Owner,C₀＝g^s+kτ,C₁＝Me(g,g)^αS

其中访问控制策略T为该密钥密文CT的第一部分，数据拥有者的全局唯一标识Owner是第二部分，C₀是第二部分，C₁是第三部分，C_y是第四部分，k是公开参数PK的第三部分，{h_i,j}是公开参数PK的第四部分，e(g,g)^α是公开参数PK的第六部分，Y表示访问二叉树中的叶子节点集合，y表示访问二叉树的叶子节点集合Y中的叶子节点，S_y表示秘密值S传递到叶子节点后的值。

(2-8)将数据密文CT_f和密钥密文CT发送到云服务器存储。

优选地，数据访问者的属性私钥SK的具体结构如下：

其中该属性私钥SK的第一部分D₀是随机产生的固定参数，r是随机数，且有

Attr_i,j表示加密存储系统的全属性集U中第i个属性的第j个属性值，D_i,j表示加密存储系统的全属性集U中第i个属性的第j个属性值对应的数组，其是属性私钥SK的第二部分，β_i.j表示加密存储系统的全属性集U中第i个属性的第j个属性值对应的随机数，且有

优选地，解密过程的步骤(4)中云服务器根据数据访问者的属性集U′和密钥密文CT中的访问控制策略T计算最小匹配集Y_min这一过程包括以下子步骤：

(4-1)根据访问控制策略T构造访问二叉树；

(4-2)获取访问二叉树中每个叶子节点对应的属性值，若该属性值存在于用户属性集U′中，则在相应的叶子节点存储只包含该属性值的、且只有一个元素的集合，否则在相应的叶子节点存储空集；

(4-3)按照左孩子节点-右孩子节点-根结点的顺序对访问二叉树进行访问遍历；

(4-4)判断当前节点是叶子节点还是非叶子节点，如果是叶子节点则将该叶子节点存储的集合返回到与其直接相连的父节点，然后返回步骤(4-3)，如果是非叶子节点，则进入步骤(4-5)；

(4-5)对于遍历到的非叶子节点，设与其相连的两个孩子节点分别返回集合Set1与Set2，判断该非叶子节点是‘AND’节点还是‘OR’节点。若是‘AND’节点，则转步骤(4-6)，若是‘OR’节点，则转步骤(4-7)；

(4-6)将与该非叶子节点相连的两个孩子节点分别存储的集合Set1与Set2的并集作为该非叶子节点的集合存储，并判断该非叶子节点是否为根节点，若是则设置最小匹配集Y_min等于该非叶子节点存储的集合，过程结束，否则将该非叶子节点存储的集合返回到与该非叶子节点直接相连的父节点；

(4-7)将与该非叶子节点相连的两个孩子节点分别存储的集合Set1与Set2中含有元素最少的集合作为该非叶子节点的集合存储，并判断该非叶子节点是否为根节点，若是则设置最小匹配集Y_min等于该非叶子节点存储的集合，过程结束，否则将该非叶子节点存储的集合返回到与该非叶子节点直接相连的父节点；

(4-8)判断是否完成了访问二叉树的访问遍历，若没有完成，则获取当前节点的下一个节点作为当前节点，并返回步骤(4-3)，否则过程结束。

优选地，解密过程的步骤(6)中云服务器根据最小匹配集Y_min、公开参数PK、密钥密文CT以及属性私钥SK计算中间解密结果

这一过程包括以下子步骤：

(6-1)对最小匹配集Y_min中的所有元素y，根据密钥密文CT中与y相关元素C_y、以及属性私钥SK中与y相关元素D_y计算中间变量e(g,g)^rS：

(6-2)根据步骤(6-1)获得的中间变量e(g,g)^rS计算中间变量D′₀和δ：

(6-3)将步骤(6-2)得到的中间变量D′₀和δ与密钥密文CT中的部分元素打包为中间解密结果

其中，其中密钥密文CT的第一部分访问控制策略T为

的第一部分，密钥密文CT的第二部分Owner是

的第二部分，密钥密文CT的第三部分C₀是

的第三部分，密钥密文CT的第四部分C₁是

的第四部分，D′₀和δ分别是

的第五和第六部分，均为步骤(6-2)计算所得。

优选地，解密过程的步骤(7)中第二客户端根据公开参数PK、中间解密结果

中的访问控制策略T、

中的数据拥有者的全局唯一标识Owner、数据拥有者的签名公钥计算签名验证数据这一过程包括以下子步骤：

(7-1)第二客户端根据中间解密结果

中的访问控制策略和数据拥有者的全局唯一标识Owner计算散列值θ₀、θ₁、以及θ₂：

θ₀＝H₀(Owner||pk_Owner,2||P_pub)

其中pk_Owner,1是数据拥有者的签名公钥

的第一部分，pk_Owner,2是数据拥有者的签名公钥

的第二部分第二客户端。

(7-2)根据步骤(7-1)得到的散列值θ₀、θ₁、以及θ₂计算签名验证数据λ：

其中散列值θ₀，θ₁，θ₂为步骤(7-1)中计算所得，pk_Owner,1是数据拥有者的签名公钥

的第一部分，pk_Owner,2是数据拥有者的签名公钥

的第二部分，D′₀是中间解密结果

的第五部分。k是公开参数PK的第三部分，为一个选取的随机数。随机数

是数据访问者第二客户端在步骤(1)中选取的私有的随机数。

优选地，计算解密结果M具体是采用以下公式：

其中C₀是中间解密结果

的第三部分，C₁是中间解密结果

的第四部分，δ是中间解密结果

的第六部分。

按照本发明的另一方面，提供了一种基于CP-ABE的可追溯云存储访问控制系统，是应用在包括第一客户端、第二客户端、云服务器、私钥生成中心的加密存储系统中，所述系统包括：

一、加密模块，包括：

第一子模块，其设置于第一客户端中，用于获取数据拥有者的原始明文、签名私钥

公开参数PK和访问控制策略T，使用对称加密算法对该原始明文进行加密，以得到数据密文CT_f，并根据数据拥有者的签名私钥

和公开参数PK计算数据拥有者对访问控制策略的签名τ；

第二子模块，其设置于第一客户端中，用于使用其公开参数PK、其访问控制策略T和签名τ，对第一模块的对称加密过程中所使用的密钥M进行加密，以得到密钥密文CT，并将数据密文CT_f和密钥密文CT发送到云服务器存储。

二、解密模块，包括：

第三子模块，其设置于第二客户端中，用于选取随机数

将该随机数

数据访问者的属性集U′以及数据访问者的全局唯一标识User一起发送到私钥生成中心；

第四子模块，其设置于私钥生成中心中，用于根据数据访问者的属性集U′、随机数

和数据访问者的全局唯一标识Uer生成相应的属性私钥SK，并将该属性私钥SK发送到第二客户端；

第五子模块，其设置于第二客户端中，用于将属性私钥SK和数据访问者的属性集U′发送到云服务器；

第六子模块，其设置于云服务器中，用于根据数据访问者的属性集U′和密钥密文CT中的访问控制策略T计算最小匹配集Y_min，并判断最小匹配集Y_min是否为空集，若不为空集，则进入第七子模块，否则过程结束；

第七子模块，其设置于云服务器中，用于根据属性私钥SK中的元素D₀和数据访问者的全局唯一标识User计算散列值H(D₀‖User)，并将散列值公开到访问记录数据库中；

第八子模块，其设置于云服务器中，用于根据最小匹配集Y_min、公开参数PK、密钥密文CT以及属性私钥SK计算中间解密结果

将其发送到第二客户端；

第九子模块，其设置于第二客户端中，用于根据公开参数PK、中间解密结果

中的访问控制策略T、

中的数据拥有者的全局唯一标识Owner、数据拥有者的签名公钥计算签名验证数据λ，将签名验证数据λ、中间解密结果

中的部分元素和随机数

计算生成解密结果M，从云服务器获取数据密文CT_f，并利用该解密结果M对该数据密文CT_f进行解密，以得到原始明文。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

(1)由于本发明在加密阶段采用了步骤(1)，其要求数据拥有者使用无证书签名方案对访问控制策略计算签名，避免了必须在解密后才能进行签名验证的过程，并且在解密阶段采用了步骤(7)，其要求数据访问者必须完成签名验证才能正确解密密钥密文，因此能够解决现有访问控制方法中由于签名验证并非解密的必经阶段，从而导致访问控制策略或密文容易被篡改，而数据访问者无从知晓的技术问题。

(2)由于本发明在加密阶段使用不同于现有访问控制方法的秘密值分割方式，并使用无证书签名方案对访问控制策略进行无证书签名，把签名数据加入到密文计算中，因此能够解决现有访问控制方法中存在的签名数据可被恶意用户轻易删除、以及加解密过程计算效率低的技术问题。

(3)由于本发明在系统架构中引入了访问记录数据库，要求在解密过程中步骤(5)将属性私钥中带有用户私有信息的部分计算散列值，存储于访问记录数据库中，实现了访问记录的可追溯。

附图说明

图1是本发明基于CP-ABE的可追溯云存储访问控制方法的系统架构图；

图2是本发明基于CP-ABE的可追溯云存储访问控制方法中加密过程的流程图；

图3是本发明基于区块链的多云CP-ABE访问控制方法中解密过程的流程图；

图4是本发明基于区块链的多云CP-ABE访问控制方法中二叉树的示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明的基本思路在于，提供一种基于CP-ABE的可追溯云存储访问控制方法，其在CP-ABE方案的原理基础上，引入一个公开的访问记录数据库，用于存储用户对文件的访问记录，实现了访问记录的可追溯，用于恶意用户的甄别；此外，本发明通过数据拥有者在加密阶段，使用不同于原始CP-ABE方案的秘密值分割方式，以及使用无证书签名方案对访问控制策略进行无证书签名，把签名数据加入到密文计算中，解决了原始CP-ABE方案加、解密计算效率低的问题，有效地抵御了云环境中恶意用户的攻击，如修改访问控制策略、修改密文、冒充数据发布者发布数据等。

以下首先就本发明的技术术语进行解释和说明：

双线性运算：设有三个素数p阶的乘法循环群

与

g为

的一个生成元。若有映射e：

满足以下几个条件：

(1)双线性性：对于任意的

有：e(u^a,v^b)＝e(u,v)^ab。

(2)非退化性：存在

使得e(u,v)≠1，其中1为

的单位元。

(3)可计算性：对于任意的

存在有效的算法可在有限时间内计算得到e(u,v)的值。

则称映射e：

为双线性映射。对任意的

称运算e(u,v)为配对运算。

无证书签名技术：所谓数字签名，指的是一种数据，它一般在逻辑上与被签名数据存在联系，常常以电子形式存在于数据信息之中、或者作为数据信息的附件而存在，用于辨别数据签名者的身份，保护被签名数据的完整性和正确性。传统的数字签名方案中，需要较大的通信开销和计算开销用于公钥数字证书的生成、存储、分发等等管理操作。尽管在已被提出的基于身份的签名方案中，密钥管理被大大简化，但是密钥托管的问题仍然存在。为了应对以上的问题，无证书签名体制被提出，在该体制系统中，使用一个密钥生成中心(KeyGeneration Center，简称KGC)来代替传统签名系统中证书授权中心(CertificateAuthority，简称CA)的地位，两者的差别在于，传统的签名方案中假设CA是可信的，负责证书的分发和密钥管理等功能，而KGC在无证书签名体制中被认为是半可信的机构，因而只参与用户的部分私钥生成，用户的公钥和秘密值由用户自身独立生成。无证书签名体制避免了繁琐的证书管理和密钥托管问题，目前在物联网、云计算等方面都有较为广泛的应用。文献(“Certificateless Signatures:Structural Extensions of Security Models andNew Provably Secure Schemes，IACR Cryptology ePrint Archive”)提出了一种安全的无证书签名方案，不失一般性，对本发明的描述暂用该无证书签名方案。

访问控制技术：访问控制是一种有效的防止未授权用户获取系统资源的重要技术。现有的云安全访问控制模型都是假设数据所有者和数据存储服务器处于同一个信任域中，存储服务器负责管理、执行访问控制策略并监控用户访问的有关细节。在分布式半可信的云环境下，基于属性加密(Attribute Based Encryption，ABE)的访问控制方法因其访问控制策略制定时的灵活性被认为是最适合云环境的数据访问控制技术。在ABE机制中，密文不再像传统的一个用户用公钥加密，而是将密文和用户的解密密钥与一个属性集合或由属性逻辑组成的访问控制策略相关联，只有当用户的解密密钥与密文之间满足预设的匹配规则，用户才可以访问该数据。在ABE的基础上，发展出了一种基于密文策略的属性加密(Ciphertext Policy Attribute-Based Encryption，简称CP-ABE)。CP-ABE中数据拥有者为数据选定访问控制策略，访问控制策略由属性逻辑组合构成，只有属性集合满足访问控制策略的用户才有权访问该数据，其属性私钥与属性集相关而访问控制策略则与密文数据绑定。

无证书签名技术避免了复杂的密钥管理和密钥托管等问题，为实现数据来源的确认和保证云存储系统的数据完整性和准确性提供了一种技术保障，且无证书签名技术中对KGC的半可信假设也恰与通常对云环境的假设一致。本发明利用无证书签名技术的安全性、便捷性等技术特点，提出基于CP-ABE的可追溯云存储访问控制方法，对访问控制策略进行签名，在加密过程的密文计算中引入无证书签名数据，保证云环境中拥有权限的用户可以成功访问到正确的数据，防止恶意用户的攻击。

如图1、图2和图3所示，本发明提供了一种基于CP-ABE的可追溯云存储访问控制方法，是应用在包括第一客户端、第二客户端、云服务器、私钥生成中心的加密存储系统中，其中第一客户端是数据拥有者的客户端，第二客户端是数据访问者的客户端，所述方法包括：

一、加密过程，包括以下步骤：

(1)第一客户端获取数据拥有者的原始明文、签名私钥

公开参数PK和访问控制策略T，使用对称加密算法对该原始明文进行加密，以得到数据密文CT_f，并根据数据拥有者的签名私钥

和公开参数PK计算数据拥有者对访问控制策略的签名τ；

具体而言，数据拥有者的公开参数PK等于：

其中

表示阶为素数p的乘法循环群，为公开参数PK的第一部分。g表示生成元，为公开参数PK的第二部分，α、γ、k、β_i,j都是随机数，且有α、γ、

表示模p的既约剩余系，p表示随机大素数，n表示加密存储系统的全属性集U中元素的个数，n_i表示加密存储系统的全属性集U中第i个元素的可取值个数。k是公开参数PK的第三部分，{h_i,j}是公开参数PK的第四部分，P_pub表示无证书签名的尾缀数据，为公开参数PK的第五部分，e表示双线性映射，e(g,g)^α为公开参数PK的第六部分，H₀、H₁、H₂为三个不同的哈希函数，

数据拥有者的签名私钥

等于：

其中Owner表示数据拥有者的全局唯一标识(Global identifier，简称GID)，Q_Owner为私钥的第一部分，x为私钥生成中心生成的随机数，且

pk_Owner,2＝g^x，

是私钥的第二部分，其是数据拥有者独自生成的随机数。

签名τ的计算具体按照如下公式：

τ＝θ·Q_GID+θ′·r′_Owner

其中Owner表示数据拥有者的全局唯一标识，

表示数据拥有者的签名公钥，r′_Owner表是数据拥有者独自生成的随机数，为私钥的第二部分。

本发明中的访问控制策略是用访问二叉树表示，访问二叉树中的叶子节点是加密存储系统的全属性集U中的元素，非叶子节点是逻辑表达式AND和OR。

如图4，其示出一个访问控制策略为“(Attr1 OR(Attr2 AND Attr3))AND(Attr4OR(Attr5 OR Attr6))”对应的访问二叉树的示例。

(2)第一客户端使用其公开参数PK、其访问控制策略T和签名τ，对步骤(1)的对称加密过程中所使用的密钥M进行加密，以得到密钥密文CT，并将数据密文CT_f和密钥密文CT发送到云服务器存储。

具体而言，本步骤中第一客户端使用其公开参数PK、其访问控制策略T和签名τ对密钥M进行加密这一过程包括以下子步骤：

(2-1)根据访问控制策略T构造访问二叉树；

(2-2)随机选取秘密值

将秘密值S置于访问二叉树的根节点，从该根节点开始对访问二叉树进行广度优先遍历；

(2-3)判断当前节点是‘AND’节点、‘OR’节点，还是属性值相关联的叶子节点，若是‘AND’节点，则进入步骤(2-4)，若是‘OR’节点，则进入步骤(2-5)，若是属性值相关联的叶子节点，则进入步骤(2-6)；

(2-4)生成随机数

设置当前节点的左孩子节点值为S″，设置当前节点的右孩子节点值为S′-S″mod p，然后转入步骤(2-6)，其中S′表示当前节点拥有的秘密值；

(2-5)设置当前节点的左、右孩子节点值均为S′，然后转入步骤(2-6)；

(2-6)判断是否完成了访问二叉树的广度优先遍历，若没有完成，则获取当前节点的下一个节点作为当前节点，并返回步骤(2-3)，若完成了访问二叉树的广度优先遍历，则表示秘密值S已根据访问二叉树被传递到叶子节点，并转入步骤(2-7)；

(2-7)根据秘密值S和访问控制策略T获取密钥密文CT：

CT＝{T,Owner,C₀＝g^S+kτ,C₁＝Me(g,g)^αS

其中访问控制策略T为该密钥密文CT的第一部分，数据拥有者的全局唯一标识Owner是第二部分，C₀是第二部分，C₁是第三部分，C_y是第四部分，k是公开参数PK的第三部分，{h_i,j}是公开参数PK的第四部分，e(g,g)^α是公开参数PK的第六部分，Y表示访问二叉树中的叶子节点集合，y表示访问二叉树的叶子节点集合Y中的叶子节点，S_y表示秘密值S传递到叶子节点后的值。

(2-8)将数据密文CT_f和密钥密文CT发送到云服务器存储。

本步骤要求数据拥有者在加密时将签名数据τ加入密文计算中，使得解密时用户必须先完成签名的验证过程，防止恶意用户冒充数据发布者发布虚假数据或篡改已发布数据的访问控制策略、明文。

二、解密过程，包括以下步骤：

(1)第二客户端选取随机数

将该随机数

数据访问者的属性集U′以及数据访问者的全局唯一标识(Global Identify，简称GID)User一起发送到私钥生成中心；

举例而言，数据访问者的属性集中的属性可以是性别、职业、年龄等存在于全属性集U中的属性。

(2)私钥生成中心根据数据访问者的属性集U′、随机数

和数据访问者的全局唯一标识Uer生成相应的属性私钥SK，并将该属性私钥SK发送到第二客户端；

具体而言，数据访问者的属性私钥SK的具体结构如下：

其中该属性私钥SK的第一部分D₀是随机产生的固定参数，r是随机数，且有

Attr_i,j表示加密存储系统的全属性集U中第i个属性的第j个属性值，D_i,j表示加密存储系统的全属性集U中第i个属性的第j个属性值对应的数组，其是属性私钥SK的第二部分，β_i.j表示加密存储系统的全属性集U中第i个属性的第j个属性值对应的随机数，且有

由于

所以必然存在

使得：H₃(User)＝g^u。

本步骤通过在属性私钥SK中引入数据访问者的全局唯一标识，使得云服务器返回的中间解密结果仅可由解密请求的发起者成功解密，其他人即便获取了中间解密结果也无法还原出明文，由此，当存在中间人攻击时，也可以保证解密过程的安全性。

(3)第二客户端将属性私钥SK和数据访问者的属性集U′发送到云服务器；

(4)云服务器根据数据访问者的属性集U′和密钥密文CT中的访问控制策略T计算最小匹配集Y_min，并判断最小匹配集Y_min是否为空集，若不为空集，则进入步骤(5)，否则过程结束。

举例而言，对图4的访问控制策略，假设用户属性集为U′＝{Attr1,Attr3,Attr4,Attr9}，显然U′满足该访问控制策略，但是实际上在判断用户是否满足访问控制策略时，所必须用到的属性集为U′的子集，将满足该访问控制策略的、具有最少属性个数的属性集定义为最小匹配集Y_min，图4例中Y_min＝{Attr1,Attr4}。特别地，当

时，表示用户的属性集不满足访问控制策略。

本步骤中云服务器根据数据访问者的属性集U′和密钥密文CT中的访问控制策略T计算最小匹配集Y_min这一过程包括以下子步骤：

(4-1)根据访问控制策略T构造访问二叉树；

(4-2)获取访问二叉树中每个叶子节点对应的属性值，若该属性值存在于用户属性集U′中，则在相应的叶子节点存储只包含该属性值的、且只有一个元素的集合，否则在相应的叶子节点存储空集；

(4-3)按照左孩子节点-右孩子节点-根结点的顺序对访问二叉树进行访问遍历；

(4-4)判断当前节点是叶子节点还是非叶子节点，如果是叶子节点则将该叶子节点存储的集合返回到与其直接相连的父节点，然后返回步骤(4-3)，如果是非叶子节点，则进入步骤(4-5)；

(4-5)对于遍历到的非叶子节点，设与其相连的两个孩子节点分别返回集合Set1与Set2，判断该非叶子节点是‘AND’节点还是‘OR’节点。若是‘AND’节点，则转步骤(4-6)，若是‘OR’节点，则转步骤(4-7)；

(4-6)将与该非叶子节点相连的两个孩子节点分别存储的集合Set1与Set2的并集作为该非叶子节点的集合存储，并判断该非叶子节点是否为根节点，若是则设置最小匹配集Y_min等于该非叶子节点存储的集合，过程结束，否则将该非叶子节点存储的集合返回到与该非叶子节点直接相连的父节点；

(4-7)将与该非叶子节点相连的两个孩子节点分别存储的集合Set1与Set2中含有元素最少的集合作为该非叶子节点的集合存储，并判断该非叶子节点是否为根节点，若是则设置最小匹配集Y_min等于该非叶子节点存储的集合，过程结束，否则将该非叶子节点存储的集合返回到与该非叶子节点直接相连的父节点；

(4-8)判断是否完成了访问二叉树的访问遍历，若没有完成，则获取当前节点的下一个节点作为当前节点，并返回步骤(4-3)，否则过程结束；

(5)云服务器根据属性私钥SK中的元素D₀和数据访问者的全局唯一标识User计算散列值H(D₀‖User)，并将散列值公开到访问记录数据库中。

本步骤中将属性私钥中带有数据访问者私有参数的D₀加入散列值计算，并存储到访问记录数据库，是用于恶意访问的记录追溯。

(6)云服务器根据最小匹配集Y_min、公开参数PK、密钥密文CT以及属性私钥SK计算中间解密结果

将其发送到第二客户端；

具体而言，本步骤中云服务器根据最小匹配集Y_min、公开参数PK、密钥密文CT以及属性私钥SK计算中间解密结果

这一过程包括以下子步骤：

(6-1)对最小匹配集Y_min中的所有元素y，根据密钥密文CT中与y相关元素C_y、以及属性私钥SK中与y相关元素D_y计算中间变量e(g,g)^rS：

(6-2)根据步骤(6-1)获得的中间变量e(g,g)^rS计算中间变量D′₀和δ：

(6-3)将步骤(6-2)得到的中间变量D′₀和δ与密钥密文CT中的部分元素打包为中间解密结果

其中，其中密钥密文CT的第一部分访问控制策略T为

的第一部分，密钥密文CT的第二部分Owner是

的第二部分，密钥密文CT的第三部分C₀是

的第三部分，密钥密文CT的第四部分C₁是

的第四部分，D′₀和δ分别是

的第五和第六部分，均为步骤(6-2)计算所得；

(7)第二客户端根据公开参数PK、中间解密结果

中的访问控制策略T、

中的数据拥有者的全局唯一标识Owner、数据拥有者的签名公钥计算签名验证数据λ，将签名验证数据λ、中间解密结果

中的部分元素和随机数

计算生成解密结果M(即对称密钥)，从云服务器获取数据密文CT_f，并利用该解密结果M对该数据密文CT_f进行解密，以得到原始明文。

具体而言，第二客户端根据公开参数PK、中间解密结果

中的访问控制策略T、

中的数据拥有者的全局唯一标识Owner、数据拥有者的签名公钥计算签名验证数据这一过程包括以下子步骤：

(7-1)第二客户端根据中间解密结果

中的访问控制策略和数据拥有者的全局唯一标识Owner计算散列值θ₀、θ₁、以及θ₂：

θ₀＝H₀(Owner||pk_Owner,2||P_pub)

其中pk_Owner,1是数据拥有者的签名公钥

的第一部分，pk_Owner,2是数据拥有者的签名公钥

的第二部分第二客户端。

(7-2)根据步骤(7-1)得到的散列值θ₀、θ₁、以及θ₂计算签名验证数据λ；

具体地，按照如下方式计算λ：

其中散列值θ₀，θ₁，θ₂为步骤(7-1)中计算所得，pk_Owner,1是数据拥有者的签名公钥

的第一部分，pk_Owner,2是数据拥有者的签名公钥

的第二部分，D₀′是中间解密结果

的第五部分。k是公开参数PK的第三部分，为一个选取的随机数。随机数

是数据访问者第二客户端在步骤(1)中选取的私有的随机数。

计算得到正确的λ后，则可将λ、

中的部分元素和私有的随机数

计算生成解密结果M(即对称密钥)，从云服务器获取数据密文CT_f，并利用该解密结果M对该数据密文CT_f进行解密，以得到原始明文。

本步骤中，计算解密结果M具体是采用以下公式：

其中C₀是中间解密结果

的第三部分，C₁是中间解密结果

的第四部分，δ是中间解密结果

的第六部分。

在客户端解密的过程中，均有

的参与，秘密值

为数据访问者私钥请求时与私钥生成中心交互中使用的，因此在私钥生成中心安全的前提下，用户解密过程中，即便服务端的解密中间结果被恶意窃取，恶意用户也难以解密还原得到明文，使得密文的解密工作只能由解密请求的发起者来执行。系统中的用户也可定时更新私钥，来进一步保证安全性。

与现有技术相比，本发明所构思的以上技术方案能够取得下列有益效果：在加密阶段，数据拥有者首先使用无证书签名对访问控制策略进行签名，然后将签名数据与访问控制策略一起加入密文计算中。同时，系统中的用户私钥嵌入用户标识等私有秘密信息，当云环境中的其它用户作为数据访问者发起对该数据的访问请求时，云服务器可将收到的部分私钥与用户标识合并计算散列值，该散列值可被存储在如区块链等公开数据库中作为访问记录，用于甄别恶意用户。在解密阶段，数据访问者必须先完成签名验证才能正确解密得到明文，这样恶意用户既无法修改已发布在云服务器上的数据和访问控制策略，也不能冒充数据发布者发布恶意信息，从而有效地抵御了恶意用户的内部攻击。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于CP-ABE的可追溯云存储访问控制方法，是应用在包括第一客户端、第二客户端、云服务器、私钥生成中心的加密存储系统中，其特征在于，所述方法包括：

一、加密过程，包括以下步骤：

(1)第一客户端获取数据拥有者的原始明文、签名私钥

公开参数PK和访问控制策略T，使用对称加密算法对该原始明文进行加密，以得到数据密文CT_f，并根据数据拥有者的签名私钥

和公开参数PK计算数据拥有者对访问控制策略的签名τ；

(2)第一客户端使用其公开参数PK、其访问控制策略T和签名τ，对步骤(1)的对称加密过程中所使用的密钥M进行加密，以得到密钥密文CT，并将数据密文CT_f和密钥密文CT发送到云服务器存储。

二、解密过程，包括以下步骤：

(1)第二客户端选取随机数

将该随机数

数据访问者的属性集U′以及数据访问者的全局唯一标识User一起发送到私钥生成中心；

(2)私钥生成中心根据数据访问者的属性集U′、随机数

和数据访问者的全局唯一标识Uer生成相应的属性私钥SK，并将该属性私钥SK发送到第二客户端；

(3)第二客户端将属性私钥SK和数据访问者的属性集U′发送到云服务器；

(4)云服务器根据数据访问者的属性集U′和密钥密文CT中的访问控制策略T计算最小匹配集Y_min，并判断最小匹配集Y_min是否为空集，若不为空集，则进入步骤(5)，否则过程结束。

(5)云服务器根据属性私钥SK中的元素D₀和数据访问者的全局唯一标识User计算散列值H(D₀||User)，并将散列值公开到访问记录数据库中。

(6)云服务器根据最小匹配集Y_min、公开参数PK、密钥密文CT以及属性私钥SK计算中间解密结果

将其发送到第二客户端；

(7)第二客户端根据公开参数PK、中间解密结果

中的访问控制策略T、

中的数据拥有者的全局唯一标识Owner、数据拥有者的签名公钥计算签名验证数据λ，将签名验证数据λ、中间解密结果

中的部分元素和随机数

计算生成解密结果M(即对称密钥)，从云服务器获取数据密文CT_f，并利用该解密结果M对该数据密文CT_f进行解密，以得到原始明文。

2.根据权利要求1所述的基于CP-ABE的可追溯云存储访问控制方法，其特征在于，

数据拥有者的公开参数PK等于：

其中

表示阶为素数p的乘法循环群，为公开参数PK的第一部分。g表示生成元，为公开参数PK的第二部分，α、γ、k、β_i，j都是随机数，且有

表示模p的既约剩余系，p表示随机大素数，n表示加密存储系统的全属性集U中元素的个数，n_i表示加密存储系统的全属性集U中第i个元素的可取值个数。k是公开参数PK的第三部分，{h_i，j}是公开参数PK的第四部分，P_pub表示无证书签名的尾缀数据，为公开参数PK的第五部分，e表示双线性映射，e(g，g)^α为公开参数PK的第六部分，H₀、H₁、H₂为三个不同的哈希函数，H₀：

H₁：

H₂：

数据拥有者的签名私钥

等于：

其中Owner表示数据拥有者的全局唯一标识，Q_Owner为私钥的第一部分，x为私钥生成中心生成的随机数，且

pk_Owner，2＝g^x，

是私钥的第二部分，其是数据拥有者独自生成的随机数。

3.根据权利要求2所述的基于CP-ABE的可追溯云存储访问控制方法，其特征在于，

签名τ的计算具体是按照如下公式：

τ＝θ·Q_GID+θ′·r′_Owner

其中Owner表示数据拥有者的全局唯一标识，

表示数据拥有者的签名公钥，r′_Owner表是数据拥有者独自生成的随机数，为私钥的第二部分；

访问控制策略是用访问二叉树表示，访问二叉树中的叶子节点是加密存储系统的全属性集U中的元素，非叶子节点是逻辑表达式AND和OR。

4.根据权利要求3所述的基于CP-ABE的可追溯云存储访问控制方法，其特征在于，加密过程的步骤(2)中第一客户端使用其公开参数PK、其访问控制策略T和签名τ对密钥M进行加密这一过程包括以下子步骤：

(2-1)根据访问控制策略T构造访问二叉树；

(2-2)随机选取秘密值

将秘密值S置于访问二叉树的根节点，从该根节点开始对访问二叉树进行广度优先遍历；

(2-3)判断当前节点是‘AND’节点、‘OR’节点，还是属性值相关联的叶子节点，若是‘AND’节点，则进入步骤(2-4)，若是‘OR’节点，则进入步骤(2-5)，若是属性值相关联的叶子节点，则进入步骤(2-6)；

(2-4)生成随机数

设置当前节点的左孩子节点值为S″，设置当前节点的右孩子节点值为S′-S″ mod p，然后转入步骤(2-6)，其中S′表示当前节点拥有的秘密值；

(2-5)设置当前节点的左、右孩子节点值均为S′，然后转入步骤(2-6)；

(2-6)判断是否完成了访问二叉树的广度优先遍历，若没有完成，则获取当前节点的下一个节点作为当前节点，并返回步骤(2-3)，若完成了访问二叉树的广度优先遍历，则表示秘密值S已根据访问二叉树被传递到叶子节点，并转入步骤(2-7)；

(2-7)根据秘密值S和访问控制策略T获取密钥密文CT：

CT＝{T，Owner，C₀＝g^S+kτ，C₁＝Me(g，g)^αS

其中访问控制策略T为该密钥密文CT的第一部分，数据拥有者的全局唯一标识Owner是第二部分，C₀是第二部分，C₁是第三部分，C_y是第四部分，k是公开参数PK的第三部分，{h_i，j}是公开参数PK的第四部分，e(g，g)^α是公开参数PK的第六部分，尸表示访问二叉树中的叶子节点集合，y表示访问二叉树的叶子节点集合尸中的叶子节点，S_y表示秘密值S传递到叶子节点后的值。

(2-8)将数据密文CT_f和密钥密文CT发送到云服务器存储。

5.根据权利要求4所述的基于CP-ABE的可追溯云存储访问控制方法，其特征在于，数据访问者的属性私钥SK的具体结构如下：

其中该属性私钥SK的第一部分D₀是随机产生的固定参数，r是随机数，且有

Attr_i，j表示加密存储系统的全属性集U中第i个属性的第j个属性值，D_i，j表示加密存储系统的全属性集U中第i个属性的第j个属性值对应的数组，其是属性私钥SK的第二部分，β_i.j表示加密存储系统的全属性集U中第i个属性的第j个属性值对应的随机数，且有

6.根据权利要求5所述的基于CP-ABE的可追溯云存储访问控制方法，其特征在于，解密过程的步骤(4)中云服务器根据数据访问者的属性集U′和密钥密文CT中的访问控制策略T计算最小匹配集Y_min这一过程包括以下子步骤：

(4-1)根据访问控制策略T构造访问二叉树；

(4-2)获取访问二叉树中每个叶子节点对应的属性值，若该属性值存在于用户属性集U′中，则在相应的叶子节点存储只包含该属性值的、且只有一个元素的集合，否则在相应的叶子节点存储空集；

(4-3)按照左孩子节点-右孩子节点-根结点的顺序对访问二叉树进行访问遍历；

(4-4)判断当前节点是叶子节点还是非叶子节点，如果是叶子节点则将该叶子节点存储的集合返回到与其直接相连的父节点，然后返回步骤(4-3)，如果是非叶子节点，则进入步骤(4-5)；

(4-5)对于遍历到的非叶子节点，设与其相连的两个孩子节点分别返回集合Set1与Set2，判断该非叶子节点是‘AND’节点还是‘OR’节点。若是‘AND’节点，则转步骤(4-6)，若是‘OR’节点，则转步骤(4-7)；

(4-6)将与该非叶子节点相连的两个孩子节点分别存储的集合Set1与Set2的并集作为该非叶子节点的集合存储，并判断该非叶子节点是否为根节点，若是则设置最小匹配集Y_min等于该非叶子节点存储的集合，过程结束，否则将该非叶子节点存储的集合返回到与该非叶子节点直接相连的父节点；

(4-7)将与该非叶子节点相连的两个孩子节点分别存储的集合Set1与Set2中含有元素最少的集合作为该非叶子节点的集合存储，并判断该非叶子节点是否为根节点，若是则设置最小匹配集Y_min等于该非叶子节点存储的集合，过程结束，否则将该非叶子节点存储的集合返回到与该非叶子节点直接相连的父节点；

(4-8)判断是否完成了访问二叉树的访问遍历，若没有完成，则获取当前节点的下一个节点作为当前节点，并返回步骤(4-3)，否则过程结束。

7.根据权利要求6所述的基于CP-ABE的可追溯云存储访问控制方法，其特征在于，解密过程的步骤(6)中云服务器根据最小匹配集Y_min、公开参数PK、密钥密文CT以及属性私钥SK计算中间解密结果

这一过程包括以下子步骤：

(6-1)对最小匹配集Y_min中的所有元素y，根据密钥密文CT中与y相关元素C_y、以及属性私钥SK中与y相关元素D_y计算中间变量e(g，g)^rS：

(6-2)根据步骤(6-1)获得的中间变量e(g，g)^rS计算中间变量D′₀和δ：

(6-3)将步骤(6-2)得到的中间变量D′₀和δ与密钥密文CT中的部分元素打包为中间解密结果

其中，其中密钥密文CT的第一部分访问控制策略T为

的第一部分，密钥密文CT的第二部分Owner是

的第二部分，密钥密文CT的第三部分C₀是

的第三部分，密钥密文CT的第四部分C₁是

的第四部分，D′₀和δ分别是

的第五和第六部分，均为步骤(6-2)计算所得。

8.根据权利要求7所述的基于CP-ABE的可追溯云存储访问控制方法，其特征在于，解密过程的步骤(7)中第二客户端根据公开参数PK、中间解密结果

中的访问控制策略T、

中的数据拥有者的全局唯一标识Owner、数据拥有者的签名公钥计算签名验证数据这一过程包括以下子步骤：

(7-1)第二客户端根据中间解密结果

中的访问控制策略和数据拥有者的全局唯一标识Owner计算散列值θ₀、θ₁、以及θ₂：

θ₀＝H₀(Owner||pk_Owner，2||P_pub)

其中pk_Owner，1是数据拥有者的签名公钥

的第一部分，pk_Owner，2是数据拥有者的签名公钥

的第二部分第二客户端。

(7-2)根据步骤(7-1)得到的散列值θ₀、θ₁、以及θ₂计算签名验证数据λ：

其中散列值θ₀，θ₁，θ₂为步骤(7-1)中计算所得，pk_Owner，1是数据拥有者的签名公钥

的第一部分，pk_Owner，2是数据拥有者的签名公钥

的第二部分，D′₀是中间解密结果

的第五部分。k是公开参数PK的第三部分，为一个选取的随机数。随机数

是数据访问者第二客户端在步骤(1)中选取的私有的随机数。

9.根据权利要求8所述的基于CP-ABE的可追溯云存储访问控制方法，其特征在于，计算解密结果M具体是采用以下公式：

其中C₀是中间解密结果

的第三部分，C₁是中间解密结果

的第四部分，δ是中间解密结果

的第六部分。

10.一种基于CP-ABE的可追溯云存储访问控制系统，是应用在包括第一客户端、第二客户端、云服务器、私钥生成中心的加密存储系统中，其特征在于，所述系统包括：

一、加密模块，包括：

第一子模块，其设置于第一客户端中，用于获取数据拥有者的原始明文、签名私钥

公开参数PK和访问控制策略T，使用对称加密算法对该原始明文进行加密，以得到数据密文CT_f，并根据数据拥有者的签名私钥

和公开参数PK计算数据拥有者对访问控制策略的签名τ；

第二子模块，其设置于第一客户端中，用于使用其公开参数PK、其访问控制策略T和签名τ，对第一模块的对称加密过程中所使用的密钥M进行加密，以得到密钥密文CT，并将数据密文CT_f和密钥密文CT发送到云服务器存储。

二、解密模块，包括：

第三子模块，其设置于第二客户端中，用于选取随机数

将该随机数

数据访问者的属性集U′以及数据访问者的全局唯一标识User一起发送到私钥生成中心；

第四子模块，其设置于私钥生成中心中，用于根据数据访问者的属性集U′、随机数

和数据访问者的全局唯一标识Uer生成相应的属性私钥SK，并将该属性私钥SK发送到第二客户端；

第五子模块，其设置于第二客户端中，用于将属性私钥SK和数据访问者的属性集U′发送到云服务器；

第六子模块，其设置于云服务器中，用于根据数据访问者的属性集U′和密钥密文CT中的访问控制策略T计算最小匹配集Y_min，并判断最小匹配集Y_min是否为空集，若不为空集，则进入第七子模块，否则过程结束；

第七子模块，其设置于云服务器中，用于根据属性私钥SK中的元素D₀和数据访问者的全局唯一标识User计算散列值H(D₀||User)，并将散列值公开到访问记录数据库中；

第八子模块，其设置于云服务器中，用于根据最小匹配集Y_min、公开参数PK、密钥密文CT以及属性私钥SK计算中间解密结果

将其发送到第二客户端；

第九子模块，其设置于第二客户端中，用于根据公开参数PK、中间解密结果

中的访问控制策略T、

中的数据拥有者的全局唯一标识Owner、数据拥有者的签名公钥计算签名验证数据λ，将签名验证数据λ、中间解密结果

中的部分元素和随机数

计算生成解密结果M，从云服务器获取数据密文CT_f，并利用该解密结果M对该数据密文CT_f进行解密，以得到原始明文。

Images