CN111756722A - 一种无密钥托管的多授权属性基加密方法和系统 - Google Patents

Abstract

本发明公开一种无密钥托管的多授权属性基加密方法和系统，系统包括用户身份管理者IDM、属性授权中心AAs、数据拥有者DO、数据使用者DU和云存储服务器CSS，数据用户DU提交其合法身份信息及承诺值给IDM；IDM在成功检测DU的身份后，IDM产生并返回包含DU承诺值的相应的证书；当DU向AAs申请解密密钥时，DU同时要提交相应的承诺值；AAs成功验证证书中的签名之后，AAs则分别为DU计算相应的私钥；数据拥有者DO将数据加密以后上传到云存储服务器CSS，DU从CSS下载到相应的密文后使用其私钥进行解密。本发明通过增加嵌入用户秘密值、嵌入合法性认证角色私钥值等办法不仅克服了密钥托管问题，而且也实现了抗AAs合谋攻击和抗恶意用户合谋攻击问题。

Description

一种无密钥托管的多授权属性基加密方法和系统

技术领域

本发明涉及云计算安全技术领域，尤其涉及一种无密钥托管的多授权属性基加密方法和系统。

背景技术

云计算服务中一个重要的应用就是数据存储，数据拥有者为某些特别的用户上传数据到云端。这些用户如要使用那些数据则必须先获取数据访问权限。数据拥有者和数据使用者不会直接进行交互。为了保护数据拥有者的数据机密性，许多数据加密和数据访问控制方法被采用以防数据资源被未授权用户使用。在复杂的云计算环境中，云服务器经常由商业机构操控，它可能因为某种利益为未授权用户提供数据访问权限。所以，基于那些服务器不一定能获得有效的安全保障机制，数据拥有者不能完全信任云服务器能提供安全的数据访问管理。在属性基加密(ABE)应用中，属性授权中心AAs能够产生所有用户的解密密钥，可以在没有用户参与的情况下解密所有用户的密文，即存在密钥托管问题。因此，开展针对抗密钥托管问题的研究工作是极其有意义的。另外，云计算系统需要处理大量的计算和通信工作，特别是使用资源限制型手机等设备时，要求其上提供的密码学方案具有较高效率。

发明内容

本发明的目的在于提供一种无密钥托管的多授权属性基加密方法和系统。

本发明采用的技术方案是：

一种无密钥托管的多授权属性基加密系统，其包括5种角色：用户身份管理者(IDM)，属性授权中心(AAs)，数据拥有者(DO)，数据使用者(DU)和云存储服务器(CSS)。数据用户DU提交其合法身份信息及承诺值给IDM。IDM在成功检测DU的身份后，IDM产生并返回包含DU承诺值的相应的证书。当DU向AAs申请解密密钥时，它同时要提交相应的承诺值。AAs成功验证证书中的签名之后，AAs则分别为DU计算相应的私钥。为了确保数据的机密性，数据拥有者DO将数据加密以后上传到云存储服务器CSS，DU从CSS下载到相应的密文后使用其私钥进行解密。

本发明还公开了一种无密钥托管的多授权属性基加密方法，其包括以下步骤：

S1：用户证书颁发中心IDM获取的一个安全参数1^λ，并选择2个密码Hash函数H₁(·)和H₂(·)以生成公开参数PP；用户证书颁发中心IDM持有H₁(·)并公开H₂(·)；

S2：N个属性授权中心

获取安全参数1^λ，并为每一个属性授权中心

输出一个公、私钥对(PK_δ,SK_δ)；每个属性授权中心

管理一个属性集

S3：用户证书颁发中心IDM基于PK＝{PK_δ}_{δ∈{1,2,…,N}}和公开参数PP生成两个私钥π,χ和一个公钥g^χ和公钥集合PK′，其中PK′包含了PK中属性公钥的签名；

S4：用户证书颁发中心IDM建立与数据使用者DU的安全交互通道，获取数据使用者DU的身份验证信息，并在数据使用者DU身份校验成功后利用其私钥值π,χ为每一个属性

产生相应的证书

S5：数据拥有者DO获取公开参数PP,PK′,PK和消息M以及一个访问结构

并执行加密算法生成密文CT；

S6：属性授权中心AAs获取公开参数PP和数据使用者DU的证书

产生的私钥集合

并结合数据使用者DU提供的秘密值

执行私钥生成算法输出数据使用者DU的私钥USK_U；

S7：数据使用者DU获取公共参数PP、DU的私钥USK_U及密文CT执行解密算法获得消息M。

作为一种可能的实施方式，进一步的，所述系统设置具体包括以下步骤：

S11：输入安全参数1^λ，生成

其中

和

为两个乘法循环群，群阶为l比特的素数p，e:

是一个双线性群,g是群

的生成元；

S12：选择2个密码Hash函数H₁:

和H₂:

H₁(·)发送给IDM并且H₂(·)是公开的，其中

是N个属性授权中心，每个属性授权中心

管理一个属性集

IDM是用户证书颁发者；

S13：发布系统公开参数

并秘密持有系统主密钥MK＝α。

作为一种可能的实施方式，进一步的，所述属性授权中心构建方法具体包括以下步骤：

S21：每个

随机选择

作为其主私钥并计算

S22：对于任意

总有

表示

中属性的个数。

表示属性att_i的值的个数。对于

随机选择

作为其属性私钥并且计算相应的属性公钥

其中

S23：

公开其公钥集合

私钥集

保密。

作为一种可能的实施方式，进一步的，所述IDM构建方法具体包括以下步骤：

S31:IDM随机选择

对于由AAs产生的PK＝{PK_δ}_{δ∈{1,2,…,N}}，IDM计算

和g^χ；

S32：IDM公开

并保持π,χ秘密性。

作为一种可能的实施方式，进一步的，所述用户证书生成方法具体包括以下步骤：

S41：IDM和DU在安全通信通道中的交互过程。系统中有ξ个授权中心满足

令

表示授权中心

的名称；

S42：DU发送:Id_U,GID_U给IDM；

S43：IDM回应Id_U,H₁(GID_U)给DU；

S44：DU发送Id_U,

给IDM；

S45：IDM验证并颁发证书：如果Id_U有效且

那么IDM发送

给DU，它描述了消息

v_i,j,

的绑定关系。

作为一种可能的实施方式，进一步的，所述加密方法具体包括以下步骤：

S51：算法输入访问结构

和消息

S52：有ζ个授权中心满足

选择一个随机值

并且计算密文

作为一种可能的实施方式，进一步的，所述私钥生成方法具体包括以下步骤：

S61：DU提交证书

给

S62：

将验证证书的有效性：对于

如果

那么

判断

是有效的；

S63：成功验证证书后，

为每个属性

计算

S64：算法生成完整的用户私钥：

其中

是只有DU知晓的秘密值。

作为一种可能的实施方式，进一步的，所述解密方法具体包括以下步骤：

S71：如果用户DU的属性满足

选取与

中相关属性的私钥并组成相应的私钥

S72：解密过程如下：

本发明采用以上技术方案，具有以下有益效果：

1.本发明提出的方法可有效解决属性基加密体制中存在的密钥托管问题。采用了多授权ABE模式，由于多个授权中心的存在，使得管理权力分散了，这有效地减缓了密钥托管问题。此外，引入了一个证书颁发者角色IDM，其主要职责是为合法用户颁发认证证书，而这些证书嵌入了用户的私钥值以及IDM的秘密值。最终的解密密钥的生成需要用户私钥参与运算，以免解密密钥完全由AAs产生。

2.本发明提出的方法可有效解决多授权属性基加密体制中存在的授权中心合谋攻击和用户合谋攻击问题。多授权属性基加密方案通常依据用户全局标识符GID_U将来自不同AAs的同一个用户的私钥收集在一起。但AAs之间不能合谋是因为AAs无法产生解密私钥中用户的秘密值，恶意用户不能合谋是因为他们无法伪造IDM的秘密值。此外，IDM不掌控所有AAs的主私钥和用户的私钥值，避免权力过于集中而成为安全攻击的脆弱点。

3.与已有的属性基加密方法相比，本发明提出的属性基加密方法能够应用于云存储服务中数据访问控制中。提出的方法在计算代价和安全性质方面具有优势。本发明除了能够抵抗AAs之间合谋以及抵抗用户合谋，并具有强抗密钥托管性能之外，还具有固定长度密文和常数数量的对运算，实现了较低的计算和通信代价。在初始化阶段中，属性授权中心不必通过交互产生公共参数，每个用户证书是在预计算过程中生成的，证书生成的代价成本可忽略。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明；

图1为本发明一种无密钥托管的多授权属性基加密方法的架构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图对本申请实施例中的技术方案进行清楚、完整地描述。

如图1所示，本发明公开了一种无密钥托管的多授权属性基加密系统，其包括5种角色：用户身份管理者(IDM)，属性授权中心(AAs)，数据拥有者(DO)，数据使用者(DU)和云存储服务器(CSS)。数据用户DU提交其合法身份信息及承诺值给IDM。IDM在成功检测DU的身份后，IDM产生并返回包含DU承诺值的相应的证书。当DU向AAs申请解密密钥时，它同时要提交相应的承诺值。AAs成功验证证书中的签名之后，AAs则分别为DU计算相应的私钥。为了确保数据的机密性，数据拥有者DO将数据加密以后上传到云存储服务器CSS，DU从CSS下载到相应的密文后使用其私钥进行解密。

如图1所示，本发明还公开了一种无密钥托管的多授权属性基加密方法和系统，其包括

为使本发明实施方式的目的、技术方案和优点更加清楚，下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述。

如图1所示，本发明提供了一种无密钥托管的多授权属性基加密方法，其包括如下步骤：

S1：初始化算法：输入一个安全参数1^λ，输出公开参数PP。令IDM是一个用户证书颁发中心，

是N个属性授权中心，每个属性授权中心

管理一个属性集

算法选择2个密码Hash函数H₁(·)和H₂(·)，其中H₁(·)发送给IDM，H₂(·)公开；

S2：属性授权中心构建算法：输入安全参数1^λ，为每一个属性授权中心

输出一个公、私钥对(PK_δ,SK_δ)；

S3：IDM构建算法：输入PK＝{PK_δ}_{δ∈{1,2,…,N}}和公开参数PP，输出两个私钥π,χ和一个公钥g^χ和公钥集合PK′，其中PK′包含了PK中属性公钥的签名；

S4：用户证书生成算法：IDM和DU在安全通道中的交互过程。在从DU中接收真实身份Id_U，用户全局名GID_U，属性集

和承诺值

并成功验证其身份之后，IDM利用其私钥值π,χ为每一个属性

产生相应的证书

S5：加密算法：输入公开参数PP,PK′,PK和消息M以及一个访问结构

DO输出密文CT；

S6：私钥生成算法：输入公开参数PP，DU的证书

由相关的AAs产生的私钥集合

以及由DU产生的秘密值

输出DU的私钥

S7：解密算法：输入公共参数PP，DU的私钥USK_U及密文CT，输出消息M。

在本实施例中，步骤S1具体包括以下步骤：

S11：输入安全参数1^λ，生成

其中

和

为两个乘法循环群，群阶为l比特的素数p，e:

是一个双线性群,g是群

的生成元；

S12：选择2个密码Hash函数H₁:

和H₂:

H₁(·)发送给IDM并且H₂(·)是公开的，其中

是N个属性授权中心，每个属性授权中心

管理一个属性集

IDM是用户证书颁发者；

S13：发布系统公开参数

并秘密持有系统主密钥MK＝α。

在本实施例中，步骤S2具体包括以下步骤：

S21：每个

随机选择

作为其主私钥并计算

S22：对于任意

总有

表示

中属性的个数。

表示属性att_i的值的个数。对于

随机选择

作为其属性私钥并且计算相应的属性公钥

其中

S23：

公开其公钥集合

私钥集

保密。

在本实施例中，步骤S3具体包括以下步骤：

S31:IDM随机选择

对于由AAs产生的PK＝{PK_δ}_{δ∈{1,2,…,N}}，IDM计算

和g^χ；

S32：IDM公开

并保持π,χ秘密性。

在本实施例中，步骤S4具体包括以下步骤：：

S41：IDM和DU在安全通信通道中的交互过程。系统中有ξ个授权中心满足

令

表示授权中心

的名称；

S42：DU发送:Id_U,GID_U给IDM；

S43：IDM回应Id_U,H₁(GID_U)给DU；

S44：DU发送Id_U,

给IDM；

S45：IDM验证并颁发证书：如果Id_U有效且

那么IDM发送

给DU，它描述了消息

v_i,j,

的绑定关系。

在本实施例中，步骤S5具体包括以下步骤：

S51：算法输入访问结构

和消息

S52：有ζ个授权中心满足

选择一个随机值

并且计算密文

在本实施例中，步骤S6具体包括以下步骤：

S61：DU提交证书

给

S62：

将验证证书的有效性：对于

如果

那么

判断

是有效的；

S63：成功验证证书后，

为每个属性

计算

S64：算法生成完整的用户私钥：

其中

是只有DU知晓的秘密值。

在本实施例中，步骤S7具体包括以下步骤：

S71：如果用户DU的属性满足

选取与

中相关属性的私钥并组成相应的私钥

S72：解密过程如下：

本发明采用以上技术方案，本发明提出一个具有固定密文大小和强抗密钥托管功能的多授权属性基加密方案。本发明具有如下优点：

(1)实现了强抗密钥托管功能。AAs通常是由商业机构操控，AAs所控制的数据访问权限有时会为了某种利益向非授权用户提供开放，故避免密钥托管是在很有必要的。为了解决这一问题，采用了多授权ABE模式，由于多个授权中心的存在，使得管理权力分散了，这有效地减缓了密钥托管问题。另外，一个系统中至少存在一个用户合法身份的认定机制或机构。因为任何用户，即使是匿名用户，如果可以随意去冒充其它用户，那么这个系统就无安全可言。但提供合法身份并不是指一定要揭示用户的真实身份信息。举一个例子说明，在某方案中，将某邮件账号代表其身份，虽然不能根据该账号来判断其真实身份，但是引入某机制或机构保证账号不可伪造、具有唯一性，则该邮件账号可表明其合法身份。所以，引入了一个证书颁发者角色IDM，其主要职责是为合法用户颁发认证证书，而这些证书嵌入了用户的私钥值以及IDM的秘密值。最终的解密密钥的生成需要用户私钥参与运算，以免解密密钥完全由AAs产生。具体地说，在本发明所提出的方法中，α_δ表示第δ个属性授权中心的主私钥，π是IDM的私钥，Δ是一个表示属性公钥的群元素。PK是包含所有AAs产生的

的集合，IDM产生所有由其签了名的

构成的公钥PK′。数据拥有者根据访问策略使用PK′中的相关公钥

来加密数据。通过安全通道中的IDM和DU之间的一轮交互通信，实现将用户的私钥嵌入用户证书。DU提供其私钥的承诺值给IDM，IDM通过签名用户证书的方法嵌入用户的私钥值。AAs使用IDM的签名公钥来验证其相应的证书。获取每个用户身份证书是在初始化阶段中被预先处理。本发明实现了AAs之间不能合谋产生用户解密私钥并且不能利用AAs的主私钥直接解密密文。IDM不参与系统中用户属性公私密钥的管理。

(2)本发明具有包含抗AAs、抗用户合谋攻击的强安全性。多授权属性基加密方案通常依据用户全局标识符将来自不同AAs的同一个用户的私钥收集在一起。但AAs之间不能合谋是因为AAs无法产生解密私钥中用户的秘密值，恶意用户不能合谋是因为他们无法伪造IDM的秘密值。此外，IDM不掌控所有AAs的主私钥和用户的私钥值，避免权力过于集中而成为安全攻击的脆弱点。

(3)本发明有较好的性能和效率。本发明除了能够抵抗AAs之间合谋以及抵抗用户合谋，并具有强抗密钥托管性能之外，还具有固定长度密文和常数数量的对运算，实现了较低的计算和通信代价。本发明的访问控制策略是建立在每一个属性层面上，所以能实现更为精细的数据访问模式。在初始化阶段中，属性授权中心不必通过交互产生公共参数，每个用户证书是在预计算过程中生成的，证书生成的代价成本可忽略。

显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

Claims (9)

1.一种无密钥托管的多授权属性基加密方法，其特征在于：其包括以下步骤：

S1：用户证书颁发中心IDM获取的一个安全参数1^λ，并选择2个密码Hash函数H₁(·)和H₂(·)以生成公开参数PP；用户证书颁发中心IDM持有H₁(·)并公开H₂(·)；

S2：N个属性授权中心

获取安全参数1^λ，并为每一个属性授权中心

输出一个公、私钥对(PK_δ,SK_δ)；每个属性授权中心

管理一个属性集

S3：用户证书颁发中心IDM基于PK＝{PK_δ}_{δ∈{1,2,…,N}}和公开参数PP生成两个私钥π,χ和一个公钥g^χ和公钥集合PK′，其中PK′包含了PK中属性公钥的签名；

S4：用户证书颁发中心IDM建立与数据使用者DU的安全交互通道，获取数据使用者DU的身份验证信息，并在数据使用者DU身份校验成功后利用其私钥值π,χ为每一个属性

产生相应的证书

S5：数据拥有者DO获取公开参数PP,PK′,PK和消息M以及一个访问结构

并执行加密算法生成密文CT；

S6：属性授权中心AAs获取公开参数PP和数据使用者DU的证书

产生的私钥集合

并结合数据使用者DU提供的秘密值

执行私钥生成算法输出数据使用者DU的私钥USK_U；

S7：数据使用者DU获取公共参数PP、DU的私钥USK_U及密文CT执行解密算法获得消息M。

2.根据权利要求1所述的一种无密钥托管的多授权属性基加密方法，其特征在于：S1具体包括以下步骤：

S11：输入安全参数1^λ生成

其中

和

为两个乘法循环群，群阶为l比特的素数p，

是一个双线性群,g是群

的生成元；

S12：选择2个密码Hash函数

和

H₁(·)发送给用户证书颁发中心IDM并且H₂(·)是公开的，其中

是N个属性授权中心，每个属性授权中心

管理一个属性集

S13：发布系统公开参数

并秘密持有系统主密钥MK＝α。

3.根据权利要求2所述的一种无密钥托管的多授权属性基加密方法，其特征在于：S2具体包括以下步骤：

S21：每个

随机选择

作为其主私钥并计算

S22：对于任意

δ₁,δ₂∈{1,2,…,N}，δ₁≠δ₂，总有

表示

中属性的个数,

表示属性att_i的值的个数；对于

随机选择

作为其属性私钥并且计算相应的属性公钥

其中

S23：

公开其公钥集合

私钥集

保密。

4.根据权利要求3所述的一种无密钥托管的多授权属性基加密方法，其特征在于：S3具体包括以下步骤：

S31:IDM随机选择

对于由AAs产生的PK＝{PK_δ}_{δ∈{1,2,…,N}}，IDM计算

和g^χ；

S32：IDM公开

并保持π,χ秘密性。

5.根据权利要求4所述的一种无密钥托管的多授权属性基加密方法，其特征在于：S4具体包括以下步骤：

S41：IDM和DU在安全通信通道中的交互过程。系统中有ξ个授权中心满足

令

表示授权中心

的名称；

S42：DU发送:Id_U,GID_U给IDM；

S43：IDM回应Id_U,H₁(GID_U)给DU；

S44：DU发送

给IDM；

S45：IDM验证并颁发证书：如果Id_U有效且

那么IDM发送

给DU，它描述了消息

v_i,j,

的绑定关系。

6.根据权利要求5所述的一种无密钥托管的多授权属性基加密方法，其特征在于：S5具体包括以下步骤：

S51：输入访问结构

和消息

S52：有ζ个授权中心满足

选择一个随机值

并且计算密文

7.根据权利要求6所述的一种无密钥托管的多授权属性基加密方法，其特征在于：S6具体包括以下步骤：

S61：DU提交证书

给

S62：

将验证证书的有效性：对于

如果

那么

判断

是有效的；

S63：成功验证证书后，

为每个属性

计算

S64：算法生成完整的用户私钥：

其中

是只有DU知晓的秘密值。

8.根据权利要求7所述的一种无密钥托管的多授权属性基加密方法，其特征在于：S7具体包括以下步骤：

S71：当用户DU的属性满足

选取与

中相关属性的私钥并组成相应的私钥

S72：解密计算过程如下：

9.一种无密钥托管的多授权属性基加密系统，采用了权利要求1至8任一所述的一种无密钥托管的多授权属性基加密方法，其特征在于：系统包括用户身份管理者IDM、属性授权中心AAs、数据拥有者DO、数据使用者DU和云存储服务器CSS，数据用户DU提交其合法身份信息及承诺值给IDM；IDM在成功检测DU的身份后，IDM产生并返回包含DU承诺值的相应的证书；

当DU向AAs申请解密密钥时，DU同时要提交相应的承诺值；AAs成功验证证书中的签名之后，AAs则分别为DU计算相应的私钥；数据拥有者DO将数据加密以后上传到云存储服务器CSS，DU从CSS下载到相应的密文后使用其私钥进行解密。

Images