CN114117475A - 一种改进的属性基加密方案系统及其加密算法 - Google Patents

Abstract

本发明公开了一种改进的属性基加密方案系统，包括数据拥有者DO、数据使用者DU、密钥管理中心KMC、第三方存储TPS、共识网络CN和区块链BC；并公开了其加密算法，具体包括下列步骤：1)系统初始化；2)加密：3)私钥门限秘密共享；4)主密钥托管计算；5)属性私钥委托计算；6)私钥生成；7)解密。本发明涉及信息安全技术领域，具体提供了一种改进的属性基加密方案系统及其加密算法，利用改进的DKMS‑CPABE算法实现区块链网络中各节点的安全多方计算与用户属性私钥SK的本地生成。

Description

一种改进的属性基加密方案系统及其加密算法

技术领域

本发明涉及信息安全技术领域，具体为一种改进的属性基加密方案系统及其加密算法。

背景技术

随着信息技术的不断提高，大量敏感数据被外包到诸如云存储、IPFS等第三方存储服务器，用户失去了对数据的控制权，能否保证数据安全成为了用户关注的重点。为解决上述问题，虽然传统的对称加密和非对称加密等技术可以实现数据的安全访问控制，但由于其高昂的计算代价、数据冗余以及密钥管理等问题使其在实际工程应用中存在一定困难。例如，同一份数据在不同用户分享时，需要使用不同用户密钥加密，工作量大且存在服务器数据的冗余。因此，采用“一对多加密”和细粒度访问控制等优势的属性基加密(attribute-based encryption，ABE)算法可有效解决上述问题。

属性基加密是2005年由Sahai和Waters提出的一种基于模糊身份(FuzzyIdentity)的加密方式，后发展为基于属性的加密。当前的属性基加密分为密钥策略属性加密(Key-policy ABE，KP-ABE)和密文策略属性加密(Ciphertext-policy ABE，CP-ABE)。在KP-ABE中，将策略嵌入到密钥，属性嵌入到密文中；而在CP-ABE中，是将策略嵌入到密文，属性嵌入到密钥中。因此，CP-ABE允许数据拥有者自由制定访问策略，相比较于KP-ABE更适合于访问控制。

在当前的密文策略属性基加密(CP-ABE)研究中，主要集中在访问策略隐藏、属性撤销、密文搜索和匿名身份验证等。然而，由于ABE中，用户属性私钥仅与用户属性相关，而与用户的其他特定信息无关，因此极易造成盗版密钥的产生，除了用户自己掌握私钥，密钥中心也掌握所有用户的私钥，因此盗版密钥责任追究困难。此外，在当前的ABE机制中，用户属性私钥由一个或多个密钥中心生成，密钥中心掌握所有用户的属性隐私，不可避免用户属性隐私的泄露。其他方面，例如中心化的密钥生成机制易导致的单点故障问题、计算开销大和系统效率低等问题也是阻碍属性基加密实际应用的关键因素。

区块链(Blockchain)是按照时间顺序排列的数据区块链式结构，具有去中心化、去信任化、防篡改、可溯源和公开验证等特点，能够在陌生节点之间建立可信账本，生成唯一不可篡改的区块，因此非常适合解决上述CP-ABE存在的密钥追责困难问题和满足分布式信任分散的需求。

Shai和Waters首次提出属性基加密方案，但仅支持简单的门限访问策略。为完善访问策略，一些CP-ABE方案被陆续提出。但由于但授权机构不利于系统规模的扩充，Chase首次提出多授权机构属性基加密(Multi-Authority attribute-based encryption)方案；Lewko和Waters提出多中心的属性基加密(Decentralized ABE)方案，解决了Chase方案中心机构瓶颈问题。为探索CP-ABE在分布式系统下的可能，越来越多的学者将区块链与属性基加密结合，George Bramm等将CP-ABE与区块链结合，提升了分布式系统密钥管理的安全性及效率；田有亮等提出了一种基于属性加密的区块链溯源算法，实现了交易隐私的动态保护；Yongkai Fan等人将属性基加密应用于云计算，使用区块链对密钥传递过程进行记录，解决了不受信任云服务器访问控制问题。但上述方案均采用单授权机构进行用户属性私钥SK的生成与分发，易造成用户属性私钥与属性隐私的泄露，且计算开销大、效率低；此外，上述基于区块链的属性基加密方案仅是使用区块链进行相关事务的记录，与区块链融合度不高。

发明内容

针对上述情况，为弥补上述现有缺陷，本发明提供了一种安全性与防护加密小概率高，且具有密钥传递的可追责性，响应速度快的改进的属性基加密方案系统及其加密算法。

本发明提供如下的技术方案：本发明一种改进的属性基加密方案系统，包括数据拥有者DO(Data Owner)、数据使用者DU(Data User)、密钥管理中心KMC(Key ManagementCenter)、第三方存储TPS(Third-party Storage)、共识网络CN(Consensus Network)和区块链BC(Block Chain)；

数据拥有者DO负责访问控制策略的制定和数据的加密；

数据使用者DU在获取密文后，生成用户属性私钥SK(Secret Key)来对密文CT(Ciphertext)进行解密并获得明文数据；

密钥管理中心KMC负责系统主密钥MSK(Master Secret Key)的托管和部分用户属性私钥SK的计算；

第三方存储TPS负责存储密文CT，并将存储地址返回至区块链BC；

共识网络CN中各节点进行私钥用户属性私钥SK的安全多方计算，并且所有参数传递过程均记录在区块链上；

区块链BC上记录密文CT的TPS存储地址以及系统中的所有参数传递；

在系统中，只有数据拥有者DO和数据使用者DU参与访问控制管理，其中数据拥有者DO负责访问控制策略的制定，数据使用者DU利用自身属性集合生成用户属性私钥SK，因此可以有效防止数据使用者DU的属性隐私泄露和单点故障，用户属性私钥SK由数据使用者DU、密钥管理中心KMC和共识网络CN中各节点协作生成，可以避免传统属性基加密(CPABE)方案中密钥管理中心KMC掌握所有用户属性私钥SK而带来的安全问题。除此之外，加密和解密计算均是在链下本地完成，无中介实体参与。

一种改进的属性基加密方案系统的加密算法，具体包括下列步骤：

1)系统初始化：系统初始化算法通过输入安全参数k，输出系统公钥PK、属性密钥ASK和系统主密钥MSK，Setup(1k)→(PK，ASK，MSK)；

2)加密：加密算法通过输入系统公钥PK、明文m和访问控制策略A，输出密文CT，只有属性集合满足访问控制策略A的数据使用者DU可以对密文CT进行解密，Enc(PK，m，A)→CT；

3)私钥门限秘密共享：私钥门限秘密共享算法通过输入安全指数t和门限值(m，n)，输出安全指数t被分割的片段tFrag，TShar(t，(m，n))→tFrag；

4)主密钥托管计算：主密钥托管计算算法输入系统公私钥对(PK，MSK)和片段tFrag，输出部分用户属性私钥SK1＝(K，L)，MskTrustCpt(PK，MSK，tFrag)→SK1；

5)属性私钥委托计算：属性私钥委托计算算法通过输入用户属性集合S和片段tFrag，输出部分用户属性私钥SK2＝Ki，AttrSkTrustCpt(S，tFrag)→SK2；

6)私钥生成：私钥生成算法输入用户属性私钥片段SK1和SK2，输出完整用户属性私钥SK，KeyGen(SK1，SK2)→SK；

7)解密：解密算法输入关于访问控制策略A的密文CT和关于用户属性集合S的私钥SK，若解密者属性集合S满足访问策略A，则输出明文m，否则解密失败，Dec(CT，SK)→m。

采用上述结构本发明取得的有益效果如下：本发明一种改进的属性基加密方案系统及其加密算法，利用改进的DKMS(Decentralized Key Management System)-CPABE算法实现区块链网络中各节点的安全多方计算与用户属性私钥SK的本地生成。具有如下有益效果：

1)利用门限秘密分享技术对用户属性私钥SK中安全指数t分割，实现共识网络的安全多方计算；而密钥中心仅负责主密钥MSK的托管和部分用户属性私钥SK的计算，共识网络通过秘密共享实现剩余用户属性私钥SK的生成；

2)将用户属性私钥SK由单授权机构生成转变为由用户本地生成，有效保护了用户的私钥安全与属性隐私，同时提高了效率，避免了单点故障等问题；

3)设计分布式密钥管理事务结构与生成算法，实现了属性基加密相关参数传递的全过程归管，实现了密钥传递的可追责性；

4)通过单节点在并发条件下进行区块链事务生成及其验证的性能测试下，单节点保持了较高的响应速度和TPS。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明一种改进的属性基加密方案系统及其加密算法的系统架构图；

图2为本发明一种改进的属性基加密方案系统及其加密算法的流程时序图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例；基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，下面描述中使用的词语“前”、“后”、“左”、“右”、“上”和“下”指的是附图中的方向，词语“内”和“外”分别指的是朝向或远离特定部件几何中心的方向。

改进的属性基加密(CPABE)方案的计算时序分为4个阶段，分别是初始化阶段、加密阶段、链上阶段和解密阶段。

1)初始化阶段：数据拥有者DO将安全参数k作为输入并得到(p,q,r,G,GT,e)，其中G＝G_p×G_q×G_r，G和G_T是阶数为N＝pqr的循环群。之后，数据拥有者DO运行Setup生成系统公钥PK和系统主密钥MSK。

Setup(1^k)：数据拥有者DO随机选择g_p、g_r为群G_p和G_r的生成元，随机选择s_i(i∈U)∈Z_N、α，a∈Z_p以及R_c∈G_r，生成系统公钥为：

属性密钥为：

系统主密钥为：

MSK＝α

2)加密阶段：数据拥有者DO输入系统公钥PK和明文m，输入用于LSSS的张成方案(M，ρ)，其中是一个l×n的矩阵，函数ρ为M的行指定属性。除此之外，数据拥有者DO随机选择

和r₁,r₂,…,r_l∈Z_p，计算

选择R_s∈G_r对g^s进一步随机化，输出密文CT：

其中

用来分割加密指数s，

是分割s得到的第i个份额，C_i(i＝1,2,…,l)将λ_i关联到第ρ(i)个属性。

3)链上阶段：数据拥有者DO将密文CT上传至第三方存储TPS，并将存储地址CTAddress通过storage事务上链：

Tx_storage＝{ID,Address,CTcheck,sign}

其中，ID用来识别该事务，CTAddress为CT的存储地址，CTcheck为密文CT的验证码，sign是用DO在区块链中的私钥生成的数字签名。

生成Txstorage事务后，数据拥有者DO将该事务广播给区块链网络中其他节点对其进行验证。各节点通过计算该事务的数字摘要MD'，与数据拥有者DO签名的数字摘要MD进行比对。若MD'＝MD则表示Txstorage事务验证成功。

为实现用户属性私钥SK的安全多方计算，数据使用者DU随机选择安全指数t∈Z_N，并运行TShar算法将t分割为n个片段，门限值为m。

生成tFrag_i后，数据使用者DU发出委托计算请求，共识网络中各节点响应请求成为委托计算节点CptNode，数据使用者DU将各tFrag_i使用各节点在区块链中的公钥加密后生成tFrag分享事务：

Tx_tFragShare＝{ID,CptNodeAddress_i,E(tFrag_i),sign}

其中CptNodeAddress_i为委托计算节点CptNode在区块链网络中的地址列表，E(tFrag_i)为加密后的tFrag_i列表，sign为DU的数字签名。

生成Tx_tFragShare事务后，数据拥有者DODO将该事务广播给区块链网络中其他节点，委托计算节点从Tx_tFragShare事务中获取秘密值tFrag_i后进行保管。

密钥托管中心KMC请求获取CptNode的秘密tFrag_i来进行主密钥托管计算，事务Tx_tFragShare为：

Tx_tFragShare＝{ID,KMCAddress_i,E(tFrag_i),sign}

其中，E(tFrag_i)为KMC公钥加密的密文，sign为CptNode的数字签名，交易生成算法与算法4相似。之后KMC进行秘密t重构和SK中主密钥部分计算，并选择R_K，R_L∈G_r对K、L进一步随机化。

数据使用者DU进行用户私钥SK中K_i生成时，从KMC获取属性密钥ASK，选择R_i∈Gr并委托区块链中CptNode进行计算K_i。数据使用者DU将T_i·R_i发送至共识网络，拥有tFragi的节点申请计算，当达到门限值m个节点申请后，多方协同计算出K_i。

密钥托管中心KMC和共识网络CN将部分用户属性私钥SK1、SK2发送给数据使用者DU，事务为：

TxSK＝{ID,DUAddressi,E(SKi),sign}

其中，E(SK_i)为KMC与CN持有的SK_i，sign分别为KMC和CN的数字签名。

数据使用者DU运行私钥生成算法KeyGen获得完整私钥SK＝(K,L,K_i)。

4)解密阶段：数据使用者DUDU获得完整私钥SK与密文CT后对CT进行解密。定义

令{ω_i∈Zp|i∈I}，使得如果{λ_i}是秘密值s对应于M的有效份额，则

(ω_i的选择不唯一)。

则有：

所以有：

最终获得明文

要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物料或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物料或者设备所固有的要素。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (2)

1.一种改进的属性基加密方案系统，其特征在于，包括数据拥有者DO、数据使用者DU、密钥管理中心KMC、第三方存储TPS、共识网络CN和区块链BC；

数据拥有者DO负责访问控制策略的制定和数据的加密；

数据使用者DU在获取密文后，生成用户属性私钥SK来对密文CT进行解密并获得明文数据；

密钥管理中心KMC负责系统主密钥MSK的托管和部分用户属性私钥SK的计算；

第三方存储TPS负责存储密文CT，并将存储地址返回至区块链BC；

共识网络CN中各节点进行私钥用户属性私钥SK的安全多方计算，并且所有参数传递过程均记录在区块链上；

区块链BC上记录密文CT的TPS存储地址以及系统中的所有参数传递；

在系统中，只有数据拥有者DO和数据使用者DU参与访问控制管理，其中数据拥有者DO负责访问控制策略的制定，数据使用者DU利用自身属性集合生成用户属性私钥SK，因此可以有效防止数据使用者DU的属性隐私泄露和单点故障，用户属性私钥SK由数据使用者DU、密钥管理中心KMC和共识网络CN中各节点协作生成，可以避免传统属性基加密(CPABE)方案中密钥管理中心KMC掌握所有用户属性私钥SK而带来的安全问题。除此之外，加密和解密计算均是在链下本地完成，无中介实体参与。

2.一种改进的属性基加密方案系统的加密算法，其特征在于，具体包括下列步骤：

1)系统初始化：系统初始化算法通过输入安全参数k，输出系统公钥PK、属性密钥ASK和系统主密钥MSK，Setup(1k)→(PK，ASK，MSK)；

2)加密：加密算法通过输入系统公钥PK、明文m和访问控制策略A，输出密文CT，只有属性集合满足访问控制策略A的数据使用者DU可以对密文CT进行解密，Enc(PK，m，A)→CT；

3)私钥门限秘密共享：私钥门限秘密共享算法通过输入安全指数t和门限值(m，n)，输出安全指数t被分割的片段tFrag，TShar(t，(m，n))→tFrag；

4)主密钥托管计算：主密钥托管计算算法输入系统公私钥对(PK，MSK)和片段tFrag，输出部分用户属性私钥SK1＝(K，L)，MskTrustCpt(PK，MSK，tFrag)→SK1；

5)属性私钥委托计算：属性私钥委托计算算法通过输入用户属性集合S和片段tFrag，输出部分用户属性私钥SK2＝Ki，AttrSkTrustCpt(S，tFrag)→SK2；

6)私钥生成：私钥生成算法输入用户属性私钥片段SK1和SK2，输出完整用户属性私钥SK，KeyGen(SK1，SK2)→SK；

7)解密：解密算法输入关于访问控制策略A的密文CT和关于用户属性集合S的私钥SK，若解密者属性集合S满足访问策略A，则输出明文m，否则解密失败，Dec(CT，SK)→m。

Images