CN111953482B - 一种面向云存储的多机构加权准则加密方法 - Google Patents

Abstract

本发明属于网络与信息安全中的数据加密技术领域，具体涉及一种面向云存储的多机构加权准则加密方法。本发明采用多个属性机构共同管理全局准则域，并为用户生成解密密钥。解决了传统属性加密方案用户密钥仅由单一机构生成而带来的安全问题。同时，降低了密钥生成机构服务器的计算资源消耗。本发明在传统属性加密方案的基础上，在访问策略中引入准则的概念。该方法将每个准则表示为多项式形式，而多项式的根对应于一个属性。用户满足准则的条件为用户至少拥有多项式的一个根。与此同时，用户可以为每个准则赋予不同的权重，使得访问策略更加符合实际应用需求。

Description

一种面向云存储的多机构加权准则加密方法

技术领域

本发明属于网络与信息安全中的数据加密技术领域，具体涉及一种面向云存储的多机构加权准则加密方法。

背景技术

随着云计算技术的快速发展，企业或个人纷纷将本地数据或文件外包到云服务器中，这将导致由应用程序和设备产生的数据量大幅度增长。与此同时，云计算为消费者提供了丰富的计算与存储资源，消费者可以根据自身需求方便的获取计算服务或访问云端数据。相比于本地的服务器，云服务器提供了更灵活的资源扩容能力。可以预见，云计算是一项很有前途的技术，它将为我们未来的社会生活提供极大的便利。

然而，云服务器通常被认为是半可信的，云服务器可能会将个人信息、公司财务数据、政府文件等敏感信息泄露给公众，对数据所有者构成巨大威胁。因此，云环境下用户数据的访问控制便成为一项关键性问题。为了保护云端数据的隐私安全，一种行之有效的方式是将数据加密后以密文形式存储到云端。这样可保证用户在享受云存储便利的同时，不再担心数据隐私信息遭到泄露。基于属性的加密(ABE)是一种有效的加密工具，可以为用户提供细粒度的访问控制策略。按照性质划分，ABE可以划分为两种形式：密钥策略属性基加密(KP-ABE)和密文策略属性基加密(CP-ABE)。在CP-ABE中，数据拥有者可以构造访问策略并将其嵌入到密文中，而用户的密钥与其自身相关的属性相关联。当且仅当用户的属性满足访问策略时，用户才能解密消息。因此，CP-ABE更符合云环境的需求。

传统CP-ABE方案存在两个主要问题。一方面，只有一个权限机构管理整个属性域并生成密钥。这限制了方案的安全性和有效性。另一方面，访问策略中的所有属性被认为是同等重要的，即所有属性之间的权重是相等的。但在实际的应用程序场景中，访问结构中的属性应该具有不同的重要性，比如用户的健康状况比他们的年龄更敏感。

发明内容

本发明的目的在于克服密钥生成的安全问题与访问策略的灵活表达问题，提供有效解决密钥生成仅由单一机构参与完成的安全问题，降低单一权威机构的计算负载与存储消耗的一种面向云存储的多机构加权准则加密方法。

本发明的目的通过如下技术方案来实现：包括以下步骤：

步骤1：中央授权机构CA运行群生成算法得到群参数

中央授权机构CA为每个属性机构AA_θ生成全局身份标识aid_θ，为用户生成全局身份标识gid，并建立系统公共参数pp；

其中，e表示映射

g为群

的生成元；p为群

和群

的阶；n为由中央授权机构CA设置的全局准则域大小；t为由中央授权机构CA设置的阈值，用户至少需要与t个属性机构交互才能获得密钥；n_θ为属性机构的数量；

为标记集合，标记集合中的元素

从整数群

中随机选取得到，

步骤2：每个属性机构AA_θ分配得到主秘密的一部分α_θ，并利用公共参数pp计算自身的公钥pk_θ与私钥sk_θ；

步骤2.1：每个属性机构AA_θ随机选择t-1阶多项式q_θ(x)，且多项式q_θ(x)满足α_θ＝q_θ(0)；

步骤2.2：每个属性机构AA_θ生成n_θ个共享份额，其中包括自身的共享份额s_θθ＝q_θ(aid_θ)，以及为其他n_θ-1个属性机构生成的共享份额s_θξ＝q_θ(aid_ξ)，ξ＝1，2，…，θ-1，θ+1，…，n_θ；

步骤2.3：每个属性机构AA_θ将为其他n_θ-1个属性机构生成的共享份额s_θξ发送给对应属性机构AA_ξ；

步骤2.4：每个属性机构AA_θ根据自身的共享份额s_θθ和接受到的来自其他属性机构的n_θ-1个共享份额s_ξθ生成私钥sk_θ和公钥pk_θ；

步骤3：中央授权机构CA随机选取t个属性机构交互，并构建d_i阶多项式P_i表示全局准则域中的每一个准则；中央授权机构CA为系统生成公钥PK；

其中，

为中央授权机构CA随机选取的随机数；θ_b为中央授权机构CA随机选取的属性机构的索引，θ_b∈{1，2，…，n_θ}，b＝1，2，…，t；d_i为全局准则域中第i个准则中包含的属性数量；

为中央授权机构CA随机选取的di+1个随机数，

{h₁，…，h_n}为中央授权机构CA从群

中随机选取的n个随机数，

步骤4：数据拥有者指定加密消息m与访问策略(M，ρ)，其中M为l×n的矩阵，函数ρ将矩阵M中的第η行映射为准则ρ(η)，η＝1，2，…，l；

步骤5：加密者选择要分享的秘密s，并输出密文CT；

步骤5.1：加密者随机选择元素

构建向量

并为访问策略(M，ρ)中的每个准则指定权重，构建向量

表示要分享的秘密；π为访问策略中不重复的准则数量；

步骤5.2：加密者设定累计权重阈值τ，构建访问策略中累计权重超过阈值τ的准则的所有组合的集合

σ表示集合T中元素的索引，σ＝1，2，…，len(T)；

为集合T中第σ个组合中第j个元素对应于访问策略中准则的索引；μ_η表示访问策略中累计权重超过阈值τ的准则组合的最大长度；j＝1，2，…，μ_η；

步骤5.3：加密者输出密文CT；

C⁽¹⁾＝m·e(g，g)^αs

C⁽²⁾＝g^s

其中，

M_η为由矩阵M中第η行元素构成的向量；

步骤6：用户gid向云服务器发送访问加密数据请求，经过允许后，将密文CT加载至本地；用户gid向t个属性机构发送密钥生成请求，并获取t个属性机构返回的私钥

用户在本地进行密钥重构操作，得到用户密钥SK_gid；

L＝g^u

其中，θ_c为用户gid随机选取的属性机构的索引，θ_c∈{1，2，…，n_θ}，c＝1，2，…，t；C_gid为用户gid满足的所有准则的集合；P_x为集合C_gid中第x个准则对应于全局准则域中准则的索引，x＝1，…，len(C_gid)；

为从全局准则域中的第P_x个准则中随机选取的属性；S为集合

中元素所有组合的集合；

为集合S中第γ个组合中第f个元素对应于全局准则域中准则的索引；v_γ表示集合S中元素对应的准则组合的最大长度；f＝1，2，…，v_γ；

为属性机构

选择的随机数；

步骤7：用户gid根据数据拥有者指定的访问策略(M，ρ)，利用系统公共参数pp及用户密钥SK_gid解密密文CT；

步骤7.1：构建索引集合I＝{I_η}，集合I中的元素I_η满足ρ(I_η)∈C_gid，

若不存在

满足ρ(I_η)∈C_gid，则判断用户的准则不满足数据拥有者指定的访问策略，停止计算并返回错误消息；

步骤7.2：计算向量

根据索引集合I＝{I_η}中元素的值，选择向量

中对应索引值为I_η的元素，构建集合

步骤7.3：从集合S中筛选出所有满足数据拥有者指定访问策略(M，ρ)的元素，构建集合

步骤7.4：获取集合T和集合S的交集W，

若集合T和集合

的交集为空集，则停止计算并返回错误消息；

步骤7.5：计算数据拥有者指定加密消息m的明文；

m＝C⁽¹⁾·e(g，g)^asu/J

其中，w为集合W中的元素，w_T为元素w对应的集合T中元素的索引；w_S为元素w对应的集合

中元素的索引。

本发明的有益效果在于：

本发明一方面解决了密钥生成阶段仅由单个机构参与实现而导致的安全与效率问题，另一方面，由于用户可以灵活的为每个准则设置不同的权重，使得访问策略表达更加适用于实际应用场景。

本发明采用多个属性机构共同管理全局准则域，并为用户生成解密密钥。解决了传统属性加密方案用户密钥仅由单一机构生成而带来的安全问题。同时，降低了密钥生成机构服务器的计算资源消耗。

本发明在传统属性加密方案的基础上，在访问策略中引入准则的概念。该方法将每个准则表示为多项式形式，而多项式的根对应于一个属性。用户满足准则的条件为用户至少拥有多项式的一个根。与此同时，用户可以为每个准则赋予不同的权重，使得访问策略更加符合实际应用需求。

附图说明

图1是本发明的框架图。

图2是本发明的流程图。

具体实施方式

下面结合附图对本发明做进一步描述。

本发明的目的是为了克服密钥生成的安全问题与访问策略的灵活表达问题而提供一种面向云存储的多机构加权准则加密方法。该方法有效解决了密钥生成仅由单一机构参与完成的安全问题，降低了单一权威机构的计算负载与存储消耗；本发明将准则权重引入到方法中，数据加密者可以根据应用需求构建更加灵活的访问控制策略。

图1为本发明的框架图，本发明涉及如下五个实体：中央授权机构(CA)，属性授权机构(AA)，数据拥有者(DO)，用户(User)及云服务器(CS)。其中，CA是一个完全受信的机构，负责为系统生成公共参数与系统公钥。同时，当用户或属性机构请求注册时，CA验证他们身份的合法性，并分别为用户与属性机构分配全局唯一身份标识gid及aid；AA负责生成机构公钥及管理全局准则域；DO负责对数据的加密操作。具体而言，DO负责指定加密数据的访问控制策略，并根据自身需求，为策略中的每项准则设置权重；CS为系统中的用户提供存储服务。具体而言，CS存储DO上传的密文数据，同时接受用户对密文数据的下载请求；User拥有准则集合，可以向CS请求密文数据，当准则满足访问策略且权重超过累计阈值时可以获得正确的明文数据。

本发明提出了一种面向云存储的多机构加权准则加密方法，包含如下步骤：

1、中央授权机构CA为每个属性机构及用户生成全局身份标识aid与gid。随后建立系统公共参数pp。

2、每个属性机构AA_θ利用CA所生成的公共参数计算属性机构公钥pk_θ与私钥sk_θ，并将机构公钥发送给CA。

3、CA随机选取t个属性机构交互，获取他们的属性机构公钥。随后，建立多项式用于表示全局准则。最终，CA为系统生成公钥PK。

4、数据拥有者选择访问策略，并为策略中的每个准则指定相应的权重；同时设置累计权重阈值τ。最后利用上述参数加密消息，并将密文CT上传至云服务器。

5、用户gid向云服务器发送访问加密数据请求，经过允许后，将密文加载至本地。随后向t个属性机构发送密钥生成请求，每个属性机构返回SK_θ，gid。最终，用户在本地进行密钥重构操作，得到用户密钥SK_gid。

6、用户利用公共参数及密钥解密密文。当密钥中的准则集合满足访问策略且准则权重超过累计权重阈值τ时，成功返回明文消息；否则返回错误消息。

与传统技术相比，本方法一方面解决了密钥生成阶段仅由单个机构参与实现而导致的安全与效率问题。另一方面，由于用户可以灵活的为每个准则设置不同的权重，使得访问策略表达更加适用于实际应用场景。

本方案采用多个属性机构共同管理全局准则域，并为用户生成解密密钥。解决了传统属性加密方案用户密钥仅由单一机构生成而带来的安全问题。同时，降低了密钥生成机构服务器的计算资源消耗。

在传统属性加密方案的基础上，在访问策略中引入准则的概念。该方法将每个准则表示为多项式形式，而多项式的根对应于一个属性。用户满足准则的条件为用户至少拥有多项式的一个根。与此同时，用户可以为每个准则赋予不同的权重，使得访问策略更加符合实际应用需求。

图2为本发明所述的一种面向云存储的多机构加权准则加密方法流程图。该方法的具体实施步骤包括：

GlobalSetup阶段：

CA运行群生成算法

得到群参数

使得映射满足

其中g为群

的生成元，p为两个群的阶；CA设置全局准则域大小为n，设置阈值t，使得用户至少需要与t个属性机构交互可以获得密钥，并为所有准则选取标记集合

此外，为属性机构及用户标记全局身份标识

及

并标记属性机构个数为n_θ；生成公共参数

AASetup阶段：

属性机构利用门限秘密共享技术为其他机构分配一定的秘密份额。每个AA_θ首先选择秘密

使得主秘密满足

随后，属性机构随机选择t-1阶多项式q_θ(x)满足α_θ＝q_θ(0)。AA_θ计算生成n_θ个共享份额，其中包括AA_θ自身的共享份额s_θθ＝q_θ(aid_θ)，以及为其他n_θ-1个机构AA_ξ(ξ＝1，2，…，θ-1，θ+1，…，n_θ)生成的共享份额s_θξ＝q_θ(aid_ξ)。上述过程完成后，每个机构AA_θ均收到由其他机构发送的n_θ-1个共享份额s_ξθ＝q_ξ(aid_θ)和自己计算生成的s_θθ，共获得n_θ个共享份额s_ξθ(ξ＝1，2，…，n_θ)。最后，AA_θ计算密钥

与公钥

CASetup阶段：

CA随机选取

并计算g^a。对于每个准则，中央授权机构CA运行n次迭代算法，每次选取d_i+1个随机数

其中i表示迭代次数，构建d_i阶多项式

其中d_i为该准则中所包含的属性个数。n个多项式用来表示全局准则。并利用公共参数中的

标记每个多项式。这样，第i个多项式可以用向量描述为：

中央授权机构CA随机取

同时，随机选择t个属性机构公钥，计算

其中，θ_b为中央授权机构CA随机选取的属性机构的索引，θ_b∈{1，2，…，n_θ}，b＝1，2，…，t。

随后，对于i∈[1，n]进行n次迭代，CA计算得到

与

最终返回公钥：

Encrypt阶段：

数据拥有者(DO)指定加密消息m与访问策略(M，ρ)，其中M大小为l×n的矩阵，函数ρ将访问矩阵中的每一行M_η映射为一个策略中的准则。然后，加密者随机选择元素

构建向量

其中

表示要分享的秘密。对于η∈[1，l]，计算

上述过程完成后，加密者为访问策略中每个准则指定权重，用向量

表示。随后根据累计权重值τ，计算集合累计权重超过阈值τ的

其中μ_η表示准则η的最大可能组合，

表示全局准则域的索引。对于η∈[1，l]，加密者计算密文：

C⁽¹⁾＝m·e(g，g)^αs，C⁽²⁾＝g^s，

最后输出密文

KeyGen阶段：用户需要根据公共参数pp中阈值t，向不少于t个属性机构发起密钥请求。具体执行过程如下：

C_gid为用户gid满足的所有准则的集合；P_x为集合C_gid中第x个准则对应于全局准则域中准则的索引，x＝1，…，len(C_gid)；

为从全局准则域中的第P_x个准则中随机选取的属性；S为集合

中元素所有组合的集合；

为集合S中第γ个组合中第f个元素对应于全局准则域中准则的索引；v_γ表示集合S中元素对应的准则组合的最大长度；f＝1，2，…，v_γ；

为属性机构

选择的随机数；用户与t个属性机构交互后，在本地重构密钥，计算得到

L＝g^u，θ_c为用户gid随机选取的属性机构的索引，θ_c∈{1，2，…，n_θ}，c＝1，2，…，t；随后计算：

L＝g^u

最终，用户得到密钥

Decrypt阶段：解密阶段包含两个子阶段，第一阶段需要判断用户密钥中的准则是否满足数据拥有者所指定的访问策略。在第二阶段，首先需要筛选出集合S中满足访问策略的元素，筛选出的所有元素用集合

表示。随后计算集合

最终利用集合W进行第二次解密，判定用户满足的所有准则是否超过加密者给定的累计阈值。具体流程如下：

Decrypt阶段1：

若集合C_gid中元素

满足

则判定准则

满足数据拥有者指定的访问策略；获取集合C_gid中满足数据拥有者指定的访问策略的所有准则的索引，构建集合I＝{I_η}，

用户计算向量

其中M-1表示访问策略中矩阵M的逆矩阵。并进一步集合I中对应的索引值，选择向量中对应索引的元素，表示为集合

使得若{λ_η}是对应访问策略的有效份额。那么用户可以计算得到秘密s＝∑_η∈Iω_ηλ_η。随后用户计算过程如下：

Decrypt阶段2：

令集合

对于w∈W，令w_T与w_S分别表示集合T与集合

的索引。用户计算如下：

最终，用户计算明文：m＝C⁽¹⁾·e(g，g)^asu/J。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (1)

1.一种面向云存储的多机构加权准则加密方法，其特征在于，包括以下步骤：

步骤1：中央授权机构CA运行群生成算法得到群参数

中央授权机构CA为每个属性机构AA_θ生成全局身份标识aid_θ，为用户生成全局身份标识gid，并建立系统公共参数pp；

其中，e表示映射

g为群

的生成元；p为群

和群

的阶；n为由中央授权机构CA设置的全局准则域大小；t为由中央授权机构CA设置的阈值，用户至少需要与t个属性机构交互才能获得密钥；n_θ为属性机构的数量；

为标记集合，标记集合中的元素

从整数群

中随机选取得到，

步骤2：每个属性机构AA_θ分配得到主秘密的一部分α_θ，并利用公共参数pp计算自身的公钥pk_θ与私钥sk_θ；

步骤2.1：每个属性机构AA_θ随机选择t-1阶多项式q_θ(x)，且多项式q_θ(x)满足α_θ＝q_θ(0)；

步骤2.2：每个属性机构AA_θ生成n_θ个共享份额，其中包括自身的共享份额s_θθ＝q_θ(aid_θ)，以及为其他n_θ-1个属性机构生成的共享份额s_θξ＝q_θ(aid_ξ)，ξ＝1，2，…，θ-1，θ+1，…，n_θ；

步骤2.3：每个属性机构AA_θ将为其他n_θ-1个属性机构生成的共享份额s_θξ发送给对应属性机构AA_ξ；

步骤2.4：每个属性机构AA_θ根据自身的共享份额s_θθ和接受到的来自其他属性机构的n_θ-1个共享份额s_ξθ＝q_ξ(aid_θ)生成私钥sk_θ和公钥pk_θ；

步骤3：中央授权机构CA随机选取t个属性机构交互，并构建d_i阶多项式P_i表示全局准则域中的每一个准则；中央授权机构CA为系统生成公钥PK；

其中，

为中央授权机构CA随机选取的随机数；θ_b为中央授权机构CA随机选取的属性机构的索引，θ_b∈{1，2，…，n_θ}，b＝1，2，…，t；d_i为全局准则域中第i个准则中包含的属性数量；

为中央授权机构CA随机选取的d_i+1个随机数，

{h₁，…，h_n}为中央授权机构CA从群

中随机选取的n个随机数，

步骤4：数据拥有者指定加密消息m与访问策略(M，ρ)，其中M为l×n的矩阵，函数ρ将矩阵M中的第η行映射为准则ρ(η)，η＝1，2，…，l；

步骤5：加密者选择要分享的秘密s，并输出密文CT；

步骤5.1：加密者随机选择元素

构建向量

并为访问策略(M，ρ)中的每个准则指定权重，构建向量

表示要分享的秘密；π为访问策略中不重复的准则数量；

步骤5.2：加密者设定累计权重阈值τ，构建访问策略中累计权重超过阈值τ的准则的所有组合的集合

σ表示集合T中元素的索引，σ＝1，2，…，len(T)；

为集合T中第σ个组合中第j个元素对应于访问策略中准则的索引；μ_η表示访问策略中累计权重超过阈值τ的准则组合的最大长度；j＝1，2，…，μ_η；

步骤5.3：加密者输出密文CT；

C⁽¹⁾＝m·e(g，g)^αs

C⁽²⁾＝g^s

其中，

M_η为由矩阵M中第η行元素构成的向量；

步骤6：用户gid向云服务器发送访问加密数据请求，经过允许后，将密文CT加载至本地；用户gid向t个属性机构发送密钥生成请求，并获取t个属性机构返回的私钥

用户在本地进行密钥重构操作，得到用户密钥SK_gid；

L＝g^u

其中，θ_c为用户gid随机选取的属性机构的索引，θ_c∈{1，2，…，n_θ}，c＝1，2，…，t；C_gid为用户gid满足的所有准则的集合；P_x为集合C_gid中第x个准则对应于全局准则域中准则的索引，x＝1，…，len(C_gid)；

为从全局准则域中的第P_x个准则中随机选取的属性；S为集合P＝{P_x}_{x＝1，…，len}(c_gid)中元素所有组合的集合；

为集合S中第γ个组合中第f个元素对应于全局准则域中准则的索引；v_γ表示集合S中元素对应的准则组合的最大长度；f＝1，2，…，v_γ；

为属性机构

选择的随机数；

步骤7：用户gid根据数据拥有者指定的访问策略(M，ρ)，利用系统公共参数pp及用户密钥SK_gid解密密文CT；

步骤7.1：构建索引集合I＝{I_η}，集合I中的元素I_η满足ρ(I_η)∈C_gid，

若不存在

满足ρ(I_η)∈C_gid，则判断用户的准则不满足数据拥有者指定的访问策略，停止计算并返回错误消息；

步骤7.2：计算向量

根据索引集合I＝{I_η}中元素的值，选择向量

中对应索引值为I_η的元素，构建集合

步骤7.3：从集合S中筛选出所有满足数据拥有者指定访问策略(M，ρ)的元素，构建集合S_C＝M；

步骤7.4：获取集合T和集合S的交集W，W＝{T∩S_C＝M}；若集合T和集合S_C＝M的交集为空集，则停止计算并返回错误消息；

步骤7.5：计算数据拥有者指定加密消息m的明文；

m＝C⁽¹⁾·e(g，g)^asu/Ｊ

其中，w为集合W中的元素，w_T为元素w对应的集合T中元素的索引；w_S为元素w对应的集合S_C＝M中元素的索引。

Images