CN115396232B

CN115396232B - 一种外包属性基加密即时密文验证方法

Info

Publication number: CN115396232B
Application number: CN202211110861.6A
Authority: CN
Inventors: 张文芳; 苏泽林; 王小敏
Original assignee: Southwest Jiaotong University
Current assignee: Southwest Jiaotong University
Priority date: 2022-09-13
Filing date: 2022-09-13
Publication date: 2024-02-23
Anticipated expiration: 2042-09-13
Also published as: CN115396232A

Abstract

本发明公开了一种外包属性基加密即时密文验证方法，本方法设计了在不可信云环境下进行安全外包计算和密文策略更新计算；设计了面向数据拥有者的密文正确性验证算法，使数据拥有者可以在外包加密和策略更新操作后，即时对密文进行验证，分析云服务器计算结果的正确性，保障系统的数据共享和访问控制功能。性能和效率分析表明，本发明适合应用于计算能力有限的场景，通过外包加密、外包解密能够大幅降低数据拥有者和数据使用者的计算负担，高效的密文验证算法不仅提供了安全保障，还降低了验证方的计算压力。实验仿真分析表明，方法在实际运行过程中也具备良好的运行效率。

Description

一种外包属性基加密即时密文验证方法

技术领域

本发明涉及数据安全领域，具体涉及一种外包属性基加密即时密文验证方法。

背景技术

随着属性基加密的应用发展，其计算开销大的缺点也日益凸显。早期的方案中，云计算技术只提供存储密文的功能，忽视了云端的计算能力。因此，充分利用云端的计算能力来帮助降低属性基加密方案中的终端计算负担便成了近年来的研究方向之一。属性基外包加密方案的提出，外包计算方案的发展使得属性基加密能够在计算能力较低的设备上运行。当数据被上传到云端时，用户可能会出于自身的隐私保护和数据安全的需求而动态地更改密文中的访问策略。如果用户选择在本地重新加密原始数据后上传，则显然带来了过重的计算和通信负担。支持策略更新的属性基加密方案的出现，使得用户能够以相对更少的计算量完成对既有密文的访问策略更新。

目前对外包加密或策略更新的研究中，大多数将云服务器定义为半可信的实体，云服务器是一个“诚实且好奇”的模型。在该模型中，云服务器会诚实地执行方案中设计的算法，但会尝试对数据进行分析，以获得明文消息或关于明文消息的信息。

属性基外包加密研究的主要技术方向可以归纳概括为云端发起模式和用户发起模式。属性基加密方案的密文主要包含秘密值、随机数、秘密份额和属性相关参数。云端发起模式通常由外包云服务器选择秘密值和随机数，在完成了加密过程的大部分计算后，将计算得到的部分密文发送给用户。随后用户选择新的秘密值加密明文消息，并计算秘密份额，最后将用户和外包云服务器分别选择的秘密值和随机数进行组合，作为密文的补充部分，最终得到完整的密文形式。云端发起模式的关键问题在于大部分方案的外包设计中,云服务器可以通过特定计算恢复数据拥有者选择的秘密值、随机数，进而无需属性密钥直接获得解密密文的能力。如果外包云服务器不是完全可信的实体，或者分布式外包云服务器存在合谋的可能，都会对云端的数据安全产生威胁。用户发起模式通常由数据拥有者首先选择秘密值加密明文消息，并计算秘密份额，再通过引入额外的随机数对秘密值、秘密份额等参数进行盲化，将计算得到密文组件发送给外包云服务器。云端接收到密文组件后，直接根据既定算法执行计算而不独立生成任何随机数，同时也无法获得密文中关于秘密值、秘密份额的任何信息。在用户发起模式中，外包云服务器只作为固定的计算模块，接受特定输入并产生唯一的输出，不具备造成机密数据泄露的能力。在效率方面，由于云端发起模式对云服务器的信任级别的提升，所以可以给云端分配更多的计算量，用户只需进行简单计算后，将计算结果补充到云端生成的部分密文中即可。因此数据拥有者可以高效地完成加密，但也造成了其他方面的问题。一是补充密文的方式增加了密文长度，加大了密文在云端的存储负担以及云端和用户间传输的通信负担。二是由于补充密文需要解密时多进行一步指数运算，增加了解密方的计算负担。总而言之，云端发起模式通过将计算量转嫁给信任的外包云服务器和解密方的方式，实现了用户端高效的加密计算。而用户发起模式则相对地以更小的密文长度实现了在不可信云服务器上的安全外包。

发明内容

针对现有技术中的上述不足，本发明提供的一种外包属性基加密即时密文验证方法解决了策略更新效率不足和缺乏高效的密文验证方法的问题。

为了达到上述发明目的，本发明采用的技术方案为：一种外包属性基加密即时密文验证方法，包括以下步骤：

S1、通过授权机构建立CP-ABE系统，生成系统公开参数PP、系统主密钥；

S2、根据系统主密钥和用户属性集合生成属性私钥作为身份唯一标识；

S3、通过数据拥有者利用加密算法将访问结构、系统公开密钥和信息生成输出密文，并将输出密文上传至云服务器；

S4、判断输出密文是否外包加密，若不是，将输出密文下发至该用户，通过用户采用属性私钥和公开密钥解密输出密文；否则进入步骤S5；

S5、通过数据拥有者与外包加密云服务共同完成数据加密，将密文存储在密文存储云服务中；

S6、判断是否需要策略更新，若不需要，通过数据使用者在密钥生成中心处认证属性，并获得对应的属性密钥，通过解密转换密钥与外包解密云服务共同完成解密，获取明文消息；否则进入步骤S7；

S7、通过数据拥有者使用更新密钥，与策略更新云服务共同完成动态更新密文访问策略；

S8、判断外包云服务器是否可信，若不可信则进入步骤S9，否则进入步骤S10；

S9、通过数据拥有者执行严格检测算法，输出验证结果；

S10、通过数据拥有者执行高效检测算法，输出验证结果。

进一步地，步骤S1的具体实现方法如下：

S1-1、通过授权机构建立CP-ABE系统；

S1-2、选择安全参数和全体属性集合/>；随机选择/>，/>；通过密钥生成中心生成阶为素数/>的乘法循环群/>，使循环群满足双线性映射/>；其中，/>的生成元为/>；/>为小于/>的非零整数集；u表示第u个属性；

S1-3、根据公式：

得到系统公共参数PP；

S1-4、将系统公共参数和通过密钥生成中心保留的/>作为系统主密钥。

进一步地，步骤S2的具体实现方法如下：

根据公式：

得到属性密钥SK；其中，x为用户属性，；密钥生成中心随机选择/>，/>为用户属性集合，/>；/>为用户主密钥，/>为用户身份密钥；/>为用户拥有各属性对应的属性密钥;/>为集合/>中只含有素数的整数集；/>为属性x的t次幂。

进一步地，步骤S3的具体方法为：

S3-1、获取明文消息，/> ；获取访问结构/>；通过数据拥有者随机选择/>作为秘密值；随机选择向量/>；计算秘密份额/>；其中，/>是线性秘密共享方案中的份额生成矩阵，/>为/>的矩阵；/>为将矩阵/>中的每一行映射到一个属性的映射函数；/>表示矩阵/>第/>行；/>；r为随机数；（/>）^T表示转置；

S3-2、根据公式：

得到输出密文；其中，/>是核心密文，/>是部分密文，/>是该用户第i行的密文；/>为矩阵M的第/>行；/>为明文消息；/>为矩阵M的第/>行的秘密份额；

S3-3、将输出密文上传至云服务器。

进一步地，步骤S4中通过用户采用属性私钥和公开密钥解密输出密文的具体实现方法如下：

S4-1、获取属性集合中的属性对应矩阵/>的行的集合I，/>；获取属性集合S对应的属性密钥SK；/>是矩阵/>的有效份额；常数集合{/> }/>其中，/>；属性集合S满足密文/>的访问结构；得到：

S4-2、根据公式：

得到明文消息；其中，/>表示连乘；e(·)为双线性映射运算。

进一步地，步骤S5的具体实现方法如下：

S5-1、根据公式：

得到加密转换密钥；其中，y为用户拥有的属性，/>；/>为秘密值；/>为属性y的/>次幂；

S5-2、根据公式：

得到密文组件CTC；其中，数据拥有者随机选择作为秘密值；随机向量；/>表示属性集合/>中的属性对应矩阵/>的行的映射函数转换密钥；

S5-3、通过外包服务器根据公共参数和数据拥有者提供的密文组件/>，对于所有/>，计算：

得到外包密文：

根据公式：

得到外包密文和最终的密文形式；其中，/>为第c行核心密文；/>为秘密份额。

进一步地，步骤S6中通过数据使用者在密钥生成中心处认证属性，并获得对应的属性密钥，通过解密转换密钥与外包解密云服务共同完成解密，获取明文消息的具体实现方法如下：

S6-1、根据公式:

得到解密转换密钥；其中，数据使用者选择并保留随机数/>；

S6-2、根据公式:

得到半解密密文；其中，/>，集合I/>表示属性集合/>中的属性对应矩阵/>的行；

S6-3、根据公式：

得到明文消息。

进一步地，步骤S7的具体实现方法如下：

S7-1、获取新的访问结构，在加密阶段选择新向量/>，计算新的秘密份额/>，/>表示矩阵/>的第/>行；计算更新密钥，保留新的加密信息，通过数据拥有者将更新密钥/>发送给负责策略更新的云服务器，通过云服务器生成新密文；其中，/>为新的/>份额生成矩阵；第一项为旧的秘密值s；/>；

S7-2、通过策略更新云服务器获取旧密文，使用数据拥有者提供的更新密钥对旧密文/>进行更新；对于/>，计算新密文：

S7-3、根据公式：

得到验证转换密钥；其中，/>为通过数据拥有者确定新的安全参数；/>，随机数/>。

进一步地，步骤S9的具体实现方法如下：

S9-1、根据公式：

得到验证信息；

S9-2、根据加密信息M和验证密钥对密文进行验证，若满足：

表示验证通过，输出验证结果，否则输出/>。

进一步地，步骤S10的具体实现方法如下：

S10-1、数根据公式：

得到验证信息；

S10-2、根据加密信息M对密文进行验证，若满足：

表示验证通过，输出验证结果，否则输出/>。

本发明的有益效果为：本发明提出了一种支持策略更新和即时密文验证的外包属性基加密方法，方法支持外包加密、外包解密、密文访问策略的动态更新和密文正确性验证。本方法设计了在不可信云环境下进行安全外包计算和密文策略更新计算；设计了面向数据拥有者的密文正确性验证算法，使数据拥有者可以在外包加密和策略更新操作后，即时对密文进行验证，分析云服务器计算结果的正确性，保障系统的数据共享和访问控制功能。性能和效率分析表明，本发明适合应用于计算能力有限的场景，通过外包加密、外包解密能够大幅降低数据拥有者和数据使用者的计算负担，高效的密文验证算法不仅提供了安全保障，还降低了验证方的计算压力。实验仿真分析表明，方法在实际运行过程中也具备良好的运行效率。

附图说明

图1为本发明的流程示意图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

如图1所示，一种外包属性基加密即时密文验证方法，包括以下步骤：

S9、通过数据拥有者执行严格检测算法，输出验证结果；

S10、通过数据拥有者执行高效检测算法，输出验证结果。

进一步地，步骤S1的具体实现方法如下：

S1-1、通过授权机构建立CP-ABE系统；

S1-3、根据公式：

得到系统公共参数PP；

进一步地，步骤S2的具体实现方法如下：

根据公式：

进一步地，步骤S3的具体方法为：

S3-2、根据公式：

S3-3、将输出密文上传至云服务器。

S4-2、根据公式：

得到明文消息；其中，/>表示连乘；e(·)为双线性映射运算。

进一步地，步骤S5的具体实现方法如下：

S5-1、根据公式：

S5-2、根据公式：

得到外包密文：

根据公式：

S6-1、根据公式:

S6-2、根据公式:

S6-3、根据公式：

得到明文消息。

进一步地，步骤S7的具体实现方法如下：

S7-3、根据公式：

进一步地，步骤S9的具体实现方法如下：

S9-1、根据公式：

得到验证信息；

S9-2、根据加密信息M和验证密钥对密文进行验证，若满足：

表示验证通过，输出验证结果，否则输出/>。

进一步地，步骤S10的具体实现方法如下：

S10-1、数根据公式：

得到验证信息；

S10-2、根据加密信息M对密文进行验证，若满足：

表示验证通过，输出验证结果，否则输出/>。

在本发明的一个实施例中，本方法从方案的功能、加密计算时间、密文长度和交互数据长度等方面与相关方案进行比较。对比方案的功能主要考虑是否支持外包加密功能、策略更新功能和密文正确性验证功能；加密效率比较主要考虑外包加密方案中的本地加密时间、本地和外包的合计加密时间，如果方案支持密文正确性验证，还对比了不同方案在验证密文时的计算时间；密文长度和交互长度主要比较的是方案的通信代价，交互长度指的是在外包加密过程中，数据拥有者和外包服务之间的交互数据的长度。其中表示在群和群/>上的指数运算时间，/>表示双线性对运算时间，/>和/>分别表示群元素的长度，/>表示LSSS访问结构中矩阵M的长度。相关方案对比有方案1（Chen H , Liao Y .Improvement of an outsourced attribute-based encryption scheme[J]. SoftComputing, 2019, 23(22):11409-11417.）、方案2（赵志远, 王建华, 徐开勇,等. 面向云存储的支持完全外包属性基加密方案[J]. 计算机研究与发展, 2019, 56(02):218-228.）、方案3（Zhang R, Ma H, Lu Y. Fine-grained access control system based onfully outsourced attribute-based encryption[J]. Journal of Systems andSoftware, 2017, 125: 344-353.）、方案4（Fan K, Wang J, Wang X, et al. A secureand verifiable outsourced access control scheme in fog-cloud computing[J].Sensors, 2017, 17(7): 1695.）、方案5（闫玺玺,何广辉,于金霞.可验证的密文策略属性基加密安全外包方案[J].密码学报,2020,7(05):628-642.）、方案6（Yang K, Jia X, RenK. Secure and verifiable policy update outsourcing for big data accesscontrol in the cloud[J]. IEEE Transactions on Parallel and DistributedSystems, 2014, 26(12): 3461-3470.）、方案7（Premkamal P K, Pasupuleti S K,Alphonse P J A. A new verifiable outsourced ciphertext-policy attribute basedencryption for big data privacy and access control in cloud[J]. Journal ofAmbient Intelligence and Humanized Computing, 2019, 10(7): 2693-2707.）。/>

表1本地加密和合计加密时间对比

从表1可以看出本方法的本地加密计算开销为，若不使用外包计算，则加密开销上升为/>，可见通过外包计算，数据拥有者不需要承担随着访问结构线性增长的指数运算，缓解了本地终端的计算压力。本方法的合计加密时间为/>，略大于不使用外包加密计算的本地开销，冗余计算量小，对整体效率影响不大。本方法的本地加密时间和合计加密时间均优于方案1和方案2。本方法的本地加密时间略高于方案3和方案4，这是由于本方法的外包加密采用用户发起模式，避免了恶意云服务器的攻击。本方法的合计加密时间明显优于方案3和方案4，主要是由于密文长度的限制和聚合了多个外包云服务器的计算结果。现有的外包加密方案均不支持策略更新功能，本方法采用相似的计算结构构造了支持外包机密和策略更新功能的属性基方案。

表2密文长度和交互数据长度对比

从表2中可以看出本方法采用轻量级的属性基加密方案，密文长度小于方案5、方案3、方案4。在外包加密过程中，数据拥有者和外包云服务器之间的交互数据量也是评价方案效率的重要指标。本方法的交互长度小于方案5、方案3、方案4，其中方案5由于采用细粒度的可验证安全外包方式，导致交互长度显著大于其他方案。因此，由表2可以分析得出，本方法能够明显降低数据拥有者的通信开销。

表3密文正确性验证时间对比

/>

密文正确性验证方法的时间对比的主要方案是，采用指数批量打包验证算法的方案4、采用交互式验证的方案6、采用双线性对验证的方案7。从表3中可以看出本章方案中的高效验证算法效率显著高于与方案4、方案6、方案7，严格验证算法与方案4效率相当，但是显著高于方案6、方案7。因此，本方法提出的密文正确性验证方法能够满足数据拥有者高效验证的要求。

本发明本方法支持外包加密、外包解密、密文访问策略的动态更新和密文正确性验证。本发明设计了在不可信云环境下进行安全外包计算和密文策略更新计算；设计了面向数据拥有者的密文正确性验证算法，使数据拥有者可以在外包加密和策略更新操作后，即时对密文进行验证，分析云服务器计算结果的正确性，保障系统的数据共享和访问控制功能。

Claims

1.一种外包属性基加密即时密文验证方法，其特征在于，包括以下步骤：

S5、通过数据拥有者与外包加密云服务共同完成数据加密，将密文存储在密文存储云服务中；具体实现方法如下：

S5-1、根据公式:

得到加密转换密钥ETK；其中，y为用户拥有的属性，y∈S；μ为秘密值；为属性y的μ次幂；

S5-2、根据公式：

得到密文组件CTC；其中，数据拥有者随机选择作为秘密值；随机向量ETK_ρ(i6)表示属性集合S中的属性对应矩阵M的行的映射函数转换密钥；

S5-3、通过外包服务器根据公共参数PP和数据拥有者提供的密文组件CTC，对于所有c∈1,…l，计算：

得到外包密文：

CT_out＝{C_c}_{c∈{1,...,l}}

根据公式：

得到外包密文和最终的密文形式CT^*；其中，C_c为第c行核心密文；λ_c为秘密份额；

S7、通过数据拥有者使用更新密钥，与策略更新云服务共同完成动态更新密文访问策略；具体实现方法如下：

S7-1、获取新的访问结构在加密阶段选择新向量/>计算新的秘密份额λ′_j＝M′_j·v′，M′_j表示矩阵M′的第j行；计算更新密钥，保留新的加密信息，通过数据拥有者将更新密钥UK_m发送给负责策略更新的云服务器，通过云服务器生成新密文；其中，M′为新的l′×n′份额生成矩阵；第一项为旧的秘密值s；j∈{1,…,l′}；

S7-2、通过策略更新云服务器获取旧密文CT，使用数据拥有者提供的更新密钥UK_m对旧密文CT进行更新；对于j∈{1,…,l′}，计算新密文：

S7-3、根据公式：

得到验证转换密钥VTK；其中，θ为通过数据拥有者确定新的安全参数；x2∈S，随机数b_x2∈{0,1}^θ；

S9、通过数据拥有者执行严格检测算法，输出验证结果；具体实现方法如下：

S9-1、根据公式：

得到验证信息p；

S9-2、根据加密信息M和验证密钥VTK对密文进行验证，若满足：

表示验证通过，输出验证结果R＝1，否则输出R＝0；

S10、通过数据拥有者执行高效检测算法，输出验证结果；具体实现方法如下：

S10-1、数根据公式：

得到验证信息P^*；

S10-2、根据加密信息M对密文进行验证，若满足：

表示验证通过，输出验证结果R＝1，否则输出R＝0。

2.根据权利要求1所述的一种外包属性基加密即时密文验证方法，其特征在于，步骤S1的具体实现方法如下：

S1-1、通过授权机构建立CP-ABE系统；

S1-2、选择安全参数k和全体属性集合U＝1,2,3…u；随机选择α，通过密钥生成中心生成阶为素数p的乘法循环群/>使循环群满足双线性映射/>其中，/>的生成元为g；/>为小于p的非零整数集；u表示第u个属性；

S1-3、根据公式：

得到系统公共参数PP；

S1-4、将系统公共参数PP和通过密钥生成中心保留的MSK＝(α,a,g^α)作为系统主密钥。

3.根据权利要求2所述的一种外包属性基加密即时密文验证方法，其特征在于，所述步骤S2的具体实现方法如下：

根据公式：

得到属性密钥SK；其中，x为用户属性，x∈S；密钥生成中心随机选择S为用户属性集合，/>K为用户主密钥，K₀为用户身份密钥；K_x为用户拥有各属性对应的属性密钥；/>为集合/>中只含有素数的整数集；/>为属性x的t次幂。

4.根据权利要求3所述的一种外包属性基加密即时密文验证方法，其特征在于，所述步骤S3的具体方法为：

S3-1、获取明文消息A，获取访问结构/>通过数据拥有者随机选择作为秘密值；随机选择向量/>计算秘密份额/>其中，M是线性秘密共享方案中的份额生成矩阵，M为l×n的矩阵；ρ为将矩阵M中的每一行映射到一个属性的映射函数；M_i表示矩阵M的第i行；i，j1∈{1,…,l}；r为随机数；(·)^T表示转置；

S3-2、根据公式：

得到输出密文CT；其中，C是核心密文，C′是部分密文，C_i是该用户第i行的密文；β为矩阵M的第β行；A为明文消息；λ_β为矩阵M的第β行的秘密份额；

S3-3、将输出密文CT上传至云服务器。

5.根据权利要求4所述的一种外包属性基加密即时密文验证方法，其特征在于，所述步骤S4中通过用户采用属性私钥和公开密钥解密输出密文的具体实现方法如下：

S4-1、获取属性集合S中的属性对应矩阵M的行的集合I，I＝{k^*:ρ(k^*)∈S}；获取属性集合S对应的属性密钥SK；{k^* _m}是矩阵M的有效份额；常数集合其中，/>属性集合S满足密文CT的访问结构；得到：

S4-2、根据公式：

得到明文消息A；其中，∏表示连乘；e(·)为双线性映射运算。

6.根据权利要求4所述的一种外包属性基加密即时密文验证方法，其特征在于，所述步骤S6中通过数据使用者在密钥生成中心处认证属性，并获得对应的属性密钥，通过解密转换密钥与外包解密云服务共同完成解密，获取明文消息的具体实现方法如下：

S6-1、根据公式:

得到解密转换密钥DTK；其中，数据使用者选择并保留随机数

S6-2、根据公式:

得到半解密密文CT_dec；其中，集合I＝{i1:ρ(i1)∈S}表示属性集合S中的属性对应矩阵M的行；

S6-3、根据公式：

得到明文消息A。