CN116055060A - 用于云存储访问控制服务的基于证书广播加密方法及系统 - Google Patents

Abstract

本发明提供用于云存储访问控制服务的基于证书广播加密方法及系统，加密数据时，证书中心发送系统公开参数给数据拥有者；根据目标接收者集合为每个接收者ID_i生成密文C_1i，以及包含C_1i和每个接收者之间对应关系的列表，形成广播密文报头；数据拥有者对广播消息进行加密得到密文C₂；数据拥有者将广播密文报头和密文C₂组成广播密文，发送到云存储服务器。解密数据时，数据用户根据身份ID_i生成私钥，证书中心发送系统公开参数和证书给数据用户；数据用户从云存储服务器获取广播密文后，根据列表定位对应的密文C_1i；数据用户用私钥和证书对广播密文解密，得到授权广播消息。本发明不需要配对运算，适用于云存储服务数据共享。

Description

用于云存储访问控制服务的基于证书广播加密方法及系统

技术领域

本发明涉及信息安全，具体而言，涉及用于云存储访问控制服务的基于证书广播加密方法及系统。

背景技术

目前，云存储服务仍存在较多安全问题，尤以数据隐私泄露最为严重。随着社交媒体时代的到来，云存储服务在应用过程中需解决多用户场景下数据共享的问题，既需要通过数据加密以保护隐私，同时还需考虑如何实现用户与其授权的其他用户共享存储在云存储服务器中以密文形式存在的数据。简言之，需要实现对用户存储在云存储服务器中密文的访问控制。

广播加密是一个可以实现发送者向多个授权接收者同时传输加密数据的密码学原语。为了兼顾效率和安全性，目前对密文的访问控制方法主要采用混合加密机制，公钥广播加密则是一种典型的混合加密机制。近年来，大量应用于云环境下数据共享和访问控制的公钥广播加密方案被提出，这些方案大多基于传统公钥体制、身份密码体制或属性密码体制，存在证书管理或者密钥托管问题。为此，2018年，Li等人提出了匿名基于证书广播加密(certificate-based broadcast encryption，CBBE)的概念，并构造了一个具有固定解密代价的方案，该方案同时实现了标准困难假设下CCA(chosen ciphertext attack，选择密文攻击)安全的匿名性与机密性。2020年，Chen等人提出了一个标准模型下自适应CCA(CCA2)安全的CBBE方案，并给出了该方案在云存储服务中的应用场景。进一步地，Chen等人将匿名CBBE扩展至可传输个人消息的匿名CBBE(anonymous certificate-basedbroadcast encryption with personalized messages，ANON-CBBE-PM)，并构造了一个适用于云存储的高效ANON-CBBE-PM方案，该方案同时实现了标准模型下CCA2安全的机密性和匿名性。

然而，Li等人构造的CBBE方法和Chen等人构造的两个CBBE方法中都用到了双线性配对或多线性配对运算。与其他常见的密码学运算，如乘运算和指数运算相比，配对运算的实现代价更高。而在云存储服务数据共享应用场景中，大多数用户都通过智能手机、平板电脑等移动终端设备来上传个人数据至云服务器或者从云端下载共享数据，这些移动终端设备的计算能力和存储空间都是有限的，持续运行时间也受限于电池容量。

发明内容

发明目的：本发明的目的是提供一种用于云存储访问控制服务的轻量级、无配对运算的基于证书广播加密方法及系统。

技术方案：本发明第一方面提供用于云存储访问控制服务的基于证书广播加密方法，包括：

(1)设定系统公开参数params和系统主密钥MK；

(2)根据系统公开参数params和用户身份ID_i，生成公钥PK_i和私钥SK_i；

(3)根据系统公开参数params、系统主密钥MK、用户身份ID_i和公钥PK_i，生成证书Cert_i；

(4)根据系统公开参数params、目标接收者集合S和广播消息M，加密得到广播密文CT；

(5)根据系统公开参数params、目标接收者集合S、广播密文CT、接收者身份ID_i、私钥SK_i和证书Cert_i，解密获得授权广播消息M′或⊥。

进一步地，步骤(1)中，系统公开参数params为{E(F_p),G,q,P,P₁,l,H₁,H₂,H₃}；

系统公开参数params的确定方法为：

生成两个素数p和q，满足p＝2q+1；

在个数为p的有限域F_p的椭圆曲线E(F_p)上，生成一个加法循环群G，确定循环群G的一个元素为生成元P；

系统主密钥MK＝α，随机选择

表示个数为q的模q算术运算非零有限域，计算P₁＝αP；

选取三个抗碰撞的哈希函数

和H₃：G→{0，1}^l，其中l表示需加密的广播消息的比特长度。

进一步地，步骤(2)中，生成公钥PK_i和私钥SK_i包括：

用户身份ID_i随机选择

作为其私钥SK_i，其中

N表示目标接收者的最大数量；

计算公钥PK_i＝s_iP。

进一步地，步骤(3)中，生成证书Cert_i包括：

随机选择

根据公钥PK_i，计算Cert_i＝(Cert_i,0,Cert_i,1)＝(β_iP,β_i+αh_i)，其中h_i＝H₁(ID_i,PK_i,Cert_i,0)。

进一步地，步骤(4)中，生成广播密文CT包括：

随机选择会话密钥K∈{0，1}^l，计算哈希值r＝H₂(M,K)，其中M∈{0，1}^l表示广播消息；

对于每个用户ID_i∈S，其中S＝{ID₁,ID₂,...,ID_n}，i∈[1,n]，n表示当前目标接收者集合的大小，n≤N，根据公钥PK_i和证书Cert_i，计算Q_i＝PK_i+Cert_i,0+H₁(ID_i,PK_i,Cert_i,0)P₁；

计算密文C₀＝rP和

生成广播密文报头Hdr＝(C₀,C₁₁,C₁₂,...,C_1n,L_CR)，其中L_CR表示包含C_1i和每个接收者之间对应关系的列表；

对广播消息M进行加密得到

生成广播密文CT＝(Hdr,C₂)。

进一步地，步骤(5)中，解密获得授权广播消息M′或⊥包括：

数据用户ID_i∈S用列表L_CR定位对应的密文C_1i；

根据私钥SK_i，证书Cert_i和密文C₀，计算

根据密文C₂，计算

验证等式

是否成立，如果成立，解密获得授权广播消息M′；否则返回⊥。

本发明第二方面提供用于云存储访问控制服务的基于证书广播加密系统，包括：

初始化模块，用于输入安全参数λ，输出系统公开参数params和系统主密钥MK；

密钥生成模块，用于根据系统公开参数params，数据用户输入用户身份ID_i，输出公钥PK_i和私钥SK_i；

证书生成模块，用于输入系统公开参数params，系统主密钥MK，用户身份ID_i和公钥PK_i，输出证书Cert_i；

加密模块，用于根据系统公开参数params，数据拥有者输入目标接收者集合S和广播消息M，加密后输出广播密文CT；以及，

解密模块，用于输入系统公开参数params，目标接收者集合S，广播密文CT，接收者身份ID_i，私钥SK_i和证书Cert_i，解密输出授权广播消息M′或⊥。

本发明第三方面提供一种计算机可读介质，计算机可读介质中存储有指令，当指令被处理器执行时，实现第一方面所述的加密方法。

有益效果：本发明与现有技术相比，具有如下显著优点：

本发明提供的加密方案与已有的基于证书广播加密方法及系统相比，不需要配对运算，因此更适用于云存储服务数据共享中计算能力、存储空间和持续运行时间都受限的各种移动终端设备。本发明能够实现随机预言模型下的自适应选择密文攻击安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面对本发明实施例中所需要使用的附图作简单介绍，显而易见地，下面所描述的附图仅仅是本发明的实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例中加密方法的流程框图；

图2是本申请实施例中加密系统的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

如图1所示，用于云存储访问控制服务的基于证书广播加密方法，包括如下步骤：

(1)设定系统公开参数params和系统主密钥MK；

系统公开参数params为{E(F_p),G,q,P,P₁,l,H₁,H₂,H₃}；

系统公开参数params的确定方法为：

生成两个素数p和q，满足p＝2q+1；

在个数为p的有限域F_p的椭圆曲线E(F_p)上，生成一个加法循环群G，确定循环群G的一个元素为生成元P；

F_p表示个数为p的有限域，E(F_p)表示在有限域F_p上的椭圆曲线。

就椭圆曲线而言，在其上任取两点m和n，作直线交于椭圆曲线上的一点A，过点A作y轴的平行线交于点B，则m+n＝B，椭圆曲线上的点和无穷远点关于该加法运算构成加法循环群G。

系统主密钥MK＝α，随机选择

表示个数为q的模q算术运算非零有限域，计算P₁＝αP；

选取三个抗碰撞的哈希函数

和H₃:G→{0,1}^l，其中l表示需加密的广播消息的比特长度。

(2)根据系统公开参数params和用户身份ID_i，生成公钥PK_i和私钥SK_i；

生成公钥PK_i和私钥SK_i包括：

用户身份ID_i随机选择

作为其私钥SK_i，其中

N表示目标接收者的最大数量；

计算公钥PK_i＝s_iP。

(3)根据系统公开参数params，系统主密钥MK，用户身份ID_i和公钥PK_i，生成证书Cert_i；

生成证书Cert_i包括：

随机选择

其中

N表示目标接收者的最大数量；

根据公钥PK_i，计算Cert_i＝(Cert_i,0,Cert_i,1)＝(β_iP,β_i+αh_i)，其中h_i＝H₁(ID_i,PK_i,Cert_i,0)。

(4)根据系统公开参数params，目标接收者集合S和广播消息M，加密得到广播密文CT。

生成广播密文CT包括：

随机选择会话密钥K∈{0，1}^l，计算哈希值r＝H₂(M,K)，其中M∈{0，1}^l表示广播消息，l表示需加密的广播消息的比特长度；

对于每个用户ID_i∈S，其中S＝{ID₁,ID₂,...,ID_n}，i∈[1,n]，n表示当前目标接收者集合的大小，n≤N，N表示目标接收者的最大数量，根据公钥PK_i和证书Cer_it，计算Q_i＝PK_i+Cert_i,0+H₁(ID_i,PK_i,Cert_i,0)P₁；

计算密文C₀＝rP和

其中i∈[1,n]，n表示当前目标接收者集合的大小，n≤N，N表示目标接收者的最大数量；

生成广播密文报头Hdr＝(C₀,C₁₁,C₁₂,...,C_1n,L_CR)，其中L_CR表示包含C_1i和每个接收者之间对应关系的列表；

对广播消息M进行加密得到

生成广播密文CT＝(Hdr,C₂)。

(5)根据系统公开参数params，目标接收者集合S，广播密文CT，接收者身份ID_i，私钥SK_i和证书Cert_i，解密获得授权广播消息M′或⊥。

解密获得授权广播消息M′或⊥包括：

数据用户ID_i∈S用列表L_CR定位对应的密文C_1i，其中S＝{ID₁,ID₂,...,ID_n}，i∈[1,n]，n表示当前目标接收者集合的大小，n≤N，N表示目标接收者的最大数量；

根据私钥SK_i，证书Cert_i和密文C₀，计算

根据密文C₂，计算

验证等式

是否成立，如果成立，解密获得授权广播消息M′；否则返回⊥。

图2所示为本申请实施例中加密系统的结构示意图，该加密系统包括执行本申请实施例中所述加密方法的功能模块。具体而言，

用于云存储访问控制服务的基于证书广播加密系统，包括：

初始化模块，用于输入安全参数λ，输出系统公开参数params和系统主密钥MK；

密钥生成模块，用于根据系统公开参数params，数据用户输入用户身份ID_i，输出公钥PK_i和私钥SK_i；

证书生成模块，用于输入系统公开参数params，系统主密钥MK，用户身份ID_i和公钥PK_i，输出证书Cert_i；

加密模块，用于根据系统公开参数params，数据拥有者输入目标接收者集合S和广播消息M，加密后输出广播密文CT；以及，

解密模块，用于输入系统公开参数params，目标接收者集合S，广播密文CT，接收者身份ID_i，私钥SK_i和证书Cert_i，解密输出授权广播消息M′或⊥。

上述的加密系统为模块化虚拟系统，再次结合图1，图1所示证书中心和云存储服务器构成实体加密系统。以下结合云计算服务中的实例场景对本发明作进一步说明。

当数据拥有者要加密公共云端数据时，证书中心发送系统公开参数params给数据拥有者；数据拥有者计算密文C₀，根据目标接收者集合S为每个接收者ID_i生成密文C_1i，以及包含C_1i和每个接收者之间对应关系的列表L_CR，形成广播密文报头Hdr；数据拥有者继续对广播消息M进行加密得到密文C₂；数据拥有者将广播密文报头Hdr和密文C₂组成广播密文CT，并发送到云存储服务器。

当数据用户要解密公共云端数据时，数据用户根据身份ID_i生成私钥SK_i，证书中心发送系统公开参数params和证书Cert_i给数据用户；数据用户ID_i∈S从云存储服务器获取广播密文CT后，根据列表L_CR定位对应的密文C_1i；数据用户用私钥SK_i和证书Cert_i对广播密文CT解密，得到授权广播消息M′。

本发明能够保护数据隐私，采用基于证书的广播加密技术，因此不泄露信息给未授权用户。此外，本发明能够满足自适应选择密文攻击安全性。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换方案，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (7)

1.用于云存储访问控制服务的基于证书广播加密方法，其特征在于，包括：

(1)设定系统公开参数params和系统主密钥MK；

(2)根据系统公开参数params和用户身份ID_i，生成公钥PK_i和私钥SK_i；

(3)根据系统公开参数params、系统主密钥MK、用户身份ID_i和公钥PK_i，生成证书Cert_i；

(4)根据系统公开参数params、目标接收者集合S和广播消息M，加密得到广播密文CT；

(5)根据系统公开参数params、目标接收者集合S、广播密文CT、接收者身份ID_i、私钥SK_i和证书Cert_i，解密获得授权广播消息M′或⊥。

2.根据权利要求1所述的加密方法，其特征在于，步骤(1)中，系统公开参数params为{E(F_p),G,q,P,P₁,l,H₁,H₂,H₃}；

系统公开参数params的确定方法为：

生成两个素数p和q，满足p＝2q+1；

在个数为p的有限域F_p的椭圆曲线E(F_p)上，生成一个加法循环群G，确定循环群G的一个元素为生成元P；

系统主密钥MK＝α，随机选择

表示个数为q的模q算术运算非零有限域，计算P₁＝αP；

选取三个抗碰撞的哈希函数

和H₃:G→{0,1}^l，其中l表示需加密的广播消息的比特长度。

3.根据权利要求2所述的加密方法，其特征在于，步骤(2)中，生成公钥PK_i和私钥SK_i包括：

用户身份ID_i随机选择

作为其私钥SK_i，其中

N表示目标接收者的最大数量；

计算公钥PK_i＝s_iP。

4.根据权利要求3所述的加密方法，其特征在于，步骤(3)中，生成证书Cert_i包括：

随机选择

根据公钥PK_i，计算Cert_i＝(Cert_i,0,Cert_i,1)＝(β_iP,β_i+αh_i)，其中h_i＝H₁(ID_i,PK_i,Cert_i,0)。

5.根据权利要求4所述的加密方法，其特征在于，步骤(4)中，生成广播密文CT包括：

随机选择会话密钥K∈{0,1}^l，计算哈希值r＝H₂(M,K)，其中M∈{0,1}^l表示广播消息；

对于每个用户ID_i∈S，其中S＝{ID₁,ID₂,...,ID_n}，i∈[1,n]，n表示当前目标接收者集合的大小，n≤N，根据公钥PK_i和证书Cert_i，计算Q_i＝PK_i+Cert_i,0+H₁(ID_i,PK_i,Cert_i,0)P₁；

计算密文C₀＝rP和

生成广播密文报头Hdr＝(C₀,C₁₁,C₁₂,...,C_1n,L_CR)，其中L_CR表示包含C_1i和每个接收者之间对应关系的列表；

对广播消息M进行加密得到

生成广播密文CT＝(Hdr,C₂)。

6.根据权利要求5所述的加密方法，其特征在于，步骤(5)中，解密获得授权广播消息M′或⊥包括：

数据用户ID_i∈S用列表L_CR定位对应的密文C_1i；

根据私钥SK_i，证书Cert_i和密文C₀，计算

根据密文C₂，计算

验证等式

是否成立，如果成立，解密获得授权广播消息M′；否则返回⊥。

7.用于云存储访问控制服务的基于证书广播加密系统，其特征在于，包括：

初始化模块，用于输入安全参数λ，输出系统公开参数params和系统主密钥MK；

密钥生成模块，用于根据系统公开参数params，数据用户输入用户身份ID_i，输出公钥PK_i和私钥SK_i；

证书生成模块，用于输入系统公开参数params，系统主密钥MK，用户身份ID_i和公钥PK_i，输出证书Cert_i；

加密模块，用于根据系统公开参数params，数据拥有者输入目标接收者集合S和广播消息M，加密后输出广播密文CT；以及，

解密模块，用于输入系统公开参数params，目标接收者集合S，广播密文CT，接收者身份ID_i，私钥SK_i和证书Cert_i，解密输出授权广播消息M′或⊥。

Images