CN118233201A

CN118233201A - 一种支持密文重随机化的抗合谋自治路径代理重加密方法

Info

Publication number: CN118233201A
Application number: CN202410460121.8A
Authority: CN
Inventors: 周俊; 陈以勒
Original assignee: East China Normal University
Current assignee: East China Normal University
Filing date: 2024-04-17
Publication date: 2024-06-21

Abstract

本发明公开了一种支持密文重随机化的抗合谋自治路径代理重加密方法，其特点是采用包含门限秘密共享协议、双线性配对和密码学哈希函数的代理重加密方法，实现对密文数据的访问控制和访问权限的受控转移，具体包括：系统初始化、密钥生成、自治代理路径生成、数据加密、重加密密钥生成、密文重加密和数据解密步骤。本发明与现有技术相比具有支持密文重随机化、抗合谋和自治路径功能，抵抗被委托者和代理服务器共同发起的合谋攻击，保证用户数据隐私达到适应性选择明文安全，方法简单、易行，更具灵活性，满足密文数据的访问控制和访问权限的受控转移的隐私保护需求，解决了重加密密钥仅由单个代理服务器秘密保存容易形成合谋攻击和隐私泄露的问题。

Description

一种支持密文重随机化的抗合谋自治路径代理重加密方法

技术领域

本发明涉及安全云数据分享及代理重加密技术领域，尤其是一种支持密文重随机化的抗合谋自治路径代理重加密方法。

背景技术

随着计算机与移动互联网技术的不断发展，海量的数据从各个终端产生，导致对数据存储资源和计算资源的需求剧增。然后受限于本地设备的存储能力和计算能力，越来越多的数据拥有者将数据外包给资源丰富的云服务器来存储与处理。然而在实际场景中云服务器由不可信的第三方提供，一方面，出于商业利益等目的，这些半可信的云服务器虽然会诚实地进行数据处理，但也会尽可能地窥探用户数据。另一方面，公开在网络上的服务器容易遭受到黑客的攻击，造成用户隐私数据泄露等问题。因此，如何保证数据的机密性成为了当前云计算安全领域的研究热点之一。

为了保证机密性，通常使用公钥加密技术将数据加密后上传至云服务器。但是数据的密文形式会严重阻碍云数据的分享。当数据所有者想与授权用户分享数据时，需要先下载云服务器中的密文数据，再解密得到相应的明文数据，然后利用授权用户的公钥重新加密明文数据后再上传到云服务器。然而这一过程会给数据拥有者带来巨大的存储和通信开销。幸运的是，代理重加密可以解决上述问题，该技术不仅可以将数据存储在云服务器中，还可以利用云服务器强大的计算能力直接在密文上进行转换，实现解密能力的安全委托。具体来说，数据所有者无需下载数据，只需当数据接收者发送请求时，数据所有者为该接收者生成重加密密钥并上传至云服务器。接着，云服务器将数据所有者的原始密文转换为针对指定数据接收者的重加密密文。最后，该数据接收者使用私钥就可以访问这些共享数据。在整个密文转换过程中，云服务器即使知道重加密密钥，也无法获知共享数据的内容。

现有技术的代理重加密工作尚存在以下不足与缺陷：

1)细粒度访问控制问题

当多跳代理重加密应用于云数据安全分享时，由被委托者而不是委托者指定下一跳的被委托者，导致跳转次数越多，委托者与被委托者的信任程度越低。因此，希望构建一个灵活的代理重加密方案，如果第一个被委托者无法完成解密，那么委托者可以指定下一个被委托者；

2)合谋攻击问题

现有的代理重加密方法中重加密密钥仅由一个代理服务器保存，若此时代理服务器与被委托者合谋，可以恢复出委托者的私钥，或者可以利用重加密密钥和被委托者的私钥制作出解密设备，对委托者的数据隐私造成威胁；

3)密文可链接问题。现有的代理重加密方法中，一个密文被重加密后，敌手可以链接重加密密文和原密文，造成一定的隐私泄露。因此，寻求一种支持密文重随机化的抗合谋自治路径代理重加密新方法是一项亟待解决的挑战性公开研究问题。

发明内容

本发明的目的是针对现有技术的不足而提供的一种支持密文重随机化的抗合谋自治路径代理重加密方法，采用包含门限秘密共享协议、双线性配对和密码学哈希函数的代理重加密方法，可以在多代理服务器模型场景下，通过门限秘密共享技术，将重加密密钥分散管理，只有不少于门限个代理服务器共同参与重加密，被委托者才能正确解密获得数据，从而可以抵抗被委托者和服务器发起的合谋攻击，此外还实现了自治路径功能，即在多跳代理重加密中，每一跳的被委托者都由委托者指定，实现对密文数据的访问控制和访问权限的受控转移，同时实现了对密文重随机化，即利用重随机化技术使得敌手不能分辨出重加密密文是否由原密文重加密而来，进一步提升安全性，保证用户数据隐私和计算结果隐私可达到适应性选择明文安全(CPA)，方法简单、易行，更具灵活性，不但满足了密文数据的访问控制和访问权限的受控转移的隐私保护需求，而且还支持密文重随机化的抵抗合谋攻击，较好的解决了重加密密钥仅由单个代理服务器秘密保存容易形成合谋攻击和隐私泄露的问题。

本发明的目的是这样实现的：一种支持密文重随机化的抗合谋自治路径代理重加密方法，其特点在于采用包含门限秘密共享协议、双线性配对和密码学哈希函数的代理重加密方法，实现对密文数据的访问控制和访问权限的受控转移，代理重加密具体包括下述步骤：

(一)系统初始化阶段

系统在给定安全参数λ下，生成两个哈希函数，和一个双线性配对，并将安全参数、两个哈希函数和一个双线性配对作为公开参数par。

(二)密钥生成阶段

输入公开参数par和用户标识i，为用户i生成公钥pk_i以及私钥sk_i。

(三)自治代理路径生成阶段

委托者输入公开参数par和他的公钥pk_i，输出一条长度为l_i的自治代理路径Pa_i，记为(Pa_i,l_i)，其中

(四)重加密密钥生成阶段

输入公开参数par、委托者的私钥sk_i以及自治代理路径Pa_i，为代理服务器k(k＝1,2,…,n_p)生成l_i个重加密密钥并通过安全信道发送给代理服务器，其中n_p表示代理服务器个数。

(五)数据加密阶段

委托者运行一个多项式时间的加密算法，输入公开参数par、委托者的公钥pk_i和待加密数据m，为代理服务器k生成初始密文

(六)密文重加密阶段

代理服务器k(k＝1，…，n_p)输入公开参数par、自治代理路径Pa_i、从用户i_j到用户i_j+1的重加密密钥用户i_j和用户i_j+1的公钥/>和/>以及密文数据/>首先验证/>是否成立，如果不成立则输出错误标志⊥，如果成立则输出重加密后的密文/>

(七)数据解密阶段

委托者/被委托者输入公开参数par、私钥和不少于门限个密文/>如果密文无效，则输出错误标志⊥，否则输出数据m。

所述系统初始化阶段的具体操作如下：

输入1^λ，其中λ是安全参数，生成两个q阶群和/>其中q为大素数，两个哈希函数H₁：/>H₂：/>一个双线性配对e：/>此外，记群/>的一个生成元为g，并额外选择一个/>g₁≠g。输出公开参数/>

所述密钥生成阶段的具体操作如下：

用户i选择则用户i的私钥sk_i＝x_i，公钥/>

所述自治代理路径生成阶段的具体操作如下：

委托者选择l_i个被委托者的公钥再加上自己的公钥pk_i，构建一条长度为l_i的自治代理路径Pa_i，记为(Pa_i，l_i)，其中/>

所述重加密密钥生成阶段的具体操作如下：

a)委托者根据(n，t)门限的要求，随机选择下述(I)～(II)式表示的两个t-1阶多项式：

f(x)＝-sk_i+a₁x+a₂x²+…+a_t-1x^t-1 (I)；

h(x)＝1+b₁x+b₂x²+…+b_t-1x^t-1 (II)。

其中，sk_i表示委托者的私钥，a₁，a₂，…，a_t-1，b₁，b₂，…，b_t-1表示委托者选择的2t-1个随机数，作为两个多项式的系数。

利用每个代理服务器k的唯一标识P_k计算秘密碎片(P_k，f(P_k)，h(P_k))，其中，k＝1，2，…，n_p，n_p表示代理服务器的个数。

b)对于j＝0，…，l_i-1，委托者选择随机数若j＝0，委托者由下述(III)式计算重加密密钥/>

若j＞0，委托者由下述(IV)式计算重加密密钥

其中，k＝1，2，…，n_p，随机数X_j用于后续被委托者解密过程，随机数r_j用于非确定性加密X_j。

最后，委托者将计算得到的发送给代理服务器k。

所述数据加密阶段的具体操作如下：

委托者选择两个随机数作为重随机化数，选择随机数/>作为加密随机数，并由下述(V)式计算初始密文/>

其中，k＝1，…，n_p，表示委托者的公钥，m表示待加密的数据消息，然后委托者将初始密文/>发送给代理服务器k。

所述密文重加密阶段的具体操作如下：

a)代理服务器k(k＝1，…，n_p)，首先验证是否成立，如果不成立则输出错误标志⊥。

b)验证成功后，代理服务器k(k＝1，…，n_p)按下述(VI)～(VII)式计算重随机化数并存储：

其中，表示代理路径Pa_i中的所有公钥，/>和/>表示新的重随机化数。

c)代理服务器k(k＝1，…，n_p)由下述(VIII)式对密文进行重随机化计算：

d)代理服务器k(k＝1，…，n_p)由下述(IX)式计算重加密密文

所述数据解密阶段的具体操作如下：

若j＝0，即当前密文为初始密文，委托者根据(n，t)门限要求，从大于等于t个代理服务器(记为k₁，k₂，…，k_n(n≥t))获取密文并由下述(X)式进行解密：

若j＞0，即当前密文为重加密后的密文，被委托者根据(n，t)门限要求，被委托者从大于等于t个代理服务器(记为k₁，k₂，…，k_n(n≥t))获取密文并由下述(XI)式计算X_j：

被委托者得到X_j后由下述(XII)式进行解密：

其中，为使用拉格朗日插值法恢复秘密。

本发明在多代理服务器模型下设计一种支持密文重随机化的抗合谋自治路径代理重加密方法，采用包含门限秘密共享协议、双线性配对和密码学哈希函数的代理重加密方法，可以在多代理服务器模型场景下，通过门限秘密共享技术，将重加密密钥分散管理，可以抵抗被委托者和服务器发起的合谋攻击，此外还实现了自治路径功能，实现对密文数据的访问控制和访问权限的受控转移，同时实现了对密文重随机化，进一步提升安全性，保证用户数据隐私和计算结果隐私可达到适应性选择明文安全(CPA)。其中，哈希函数可以根据输入和输出长度需求，采用不同的哈希摘要算法，比如MD5，SHA1，SHA3，SHA256算法等。

所述抗合谋功能是指通过门限秘密共享技术，将重加密密钥分散管理，只有不少于门限个代理服务器共同参与重加密，被委托者才能正确解密获得数据，从而可以抵抗被委托者和服务器发起的合谋攻击，包括抵抗私钥恢复攻击和防止制作解密设备。

所述密文重随机化技术可以让代理服务器在每一次重加密时利用新的随机数，重加密每一项密文，且都和原密文不同，同时保证重随机化后的密文可以进行正常的解密和重加密。在使用重随机化技术后，敌手不能分辨出重加密密文是否由原密文重加密而来，进一步提升安全性。

所述自治路径功能指委托者预先生成整个代理路径，并且代理过程只能在委托者指定的路径上进行，实现对密文数据的访问控制和访问权限的受控转移。

本发明与现有技术相比具有以下优点和显著的技术效果：

1)抗合谋攻击：现有的代理重加密方法中重加密密钥仅由一个代理服务器保存，若此时代理服务器与被委托者合谋，可以恢复出委托者的私钥，或者可以利用重加密密钥和被委托者的私钥制作出解密设备，对委托者的数据隐私造成威胁。本发明采用门限秘密共享技术，将重加密密钥分散管理，即不少于门限个代理服务器共同参与重加密，被委托者才能正确解密获得数据。

2)密文重随机化：现有的代理重加密方法中，一个密文被重加密后，敌手可以链接重加密密文和原密文，造成一定的隐私泄露。本发明采用密文重随机化技术，使得敌手不能分辨出重加密密文是否由原密文重加密而来，进一步提升安全性。

3)自治路径：现有的多跳代理重加密方法中，由被委托者而不是委托者指定下一跳的被委托者，导致跳转次数越多，委托者与被委托者的信任程度越低。本发明采用自治路径代理重加密技术，委托者指定代理路径，确保代理重加密过程一直在委托者信任的那些被委托者之间完成。

4)方法简单、易行，更具灵活性，不但满足了密文数据的访问控制和访问权限的受控转移的隐私保护需求，而且还支持密文重随机化、抵抗合谋攻击，较好的解决了重加密密钥仅由单个代理服务器秘密保存容易形成合谋攻击和隐私泄露的问题。

附图说明

图1为本发明构建的系统结构示意图；

图2为本发明流程示意图。

具体实施方式

本发明所应用的数学理论说明如下：

1、密码学哈希函数

哈希函数将可变长度的消息映射为固定长度的Hash值或消息摘要，哈希算法的方式很多，现在普遍在采用的方法有MD2、MD4、MD5和安全哈希算法(SHA-1)。对于输入输出都是比特串的Hash函数(由0和1组成的串)，把比特串x的长度记为|x|，并且把比特串x和y记为x||y。设compress:{0,1}^m+t→{0,1}^m是一个压缩函数(这里t≥1)。将基于压缩函数compress构造一个迭代Hash函数

所述迭代Hash函数h的求值主要由下列三步组成：

a、预处理：给定一个输入比特串x,其中|x|≥m+t+1，用一个公开的算法构造一个串y,使得|y|≡0(mod t)。记为y＝y₁||y₃||…||y_r其中对1≤i≤r，有|y_i|＝t。

b、处理：设IV是一个长度为m的公开的初始值比特串。则计算：

c、输出变换：设g:{0,1}^m→{0,1}^l是一个公开函数。定义哈希函数h(x)＝g(z_r)。

2、双线性配对

双线性配对是密码学研究者利用椭圆曲线循环群构造密码方案时常用的数学工具，定义如下：

设和/>均为阶是大素数q的循环群。称映射e:/>为双线性配对，如果e满足以下性质：

1)双线性：对于任意和任意/>都有e(x^a,y^b)＝e(x,y)^ab。

2)非退化性：若g是群的生成元，则/>

3)可计算性：对于任意可被有效计算。

3、门限秘密共享协议

门限秘密共享协议，其中Shamir秘密共享协议是较为经典和常用的协议，Shamir秘密共享协议的具体过程如下：

设秘密为S，参与者个数n，门限为t：

1)加密过程：取t-1个随机数(a₁,a₃,…,a_t-1)，构造多项式：

f(x)＝S+a₁x+a₃x³+…+a_t-1x^t-1

取n个数(x₁,x₃,…,x_b)，分别带入上述多项式计算y_i＝f(x_i)。将n个秘密碎片(x_i,y_i)，分发给n个参与方。

2)解密过程：t个参与者，记为(p₁,p₃,…,p_t)，拿出自己所拥有的秘密碎片，计算如下式子恢复秘密S：

下面以具体实施对本发明作进一步详细描述和说明：

实施例1

参阅图1，多代理服务器模型下支持密文重随机化的抗合谋自治路径代理重加密方法构建的系统，该网络结构主要由委托者、n个代理服务器和多个被委托者三个实体组成。委托者生成重加密密钥，对数据进行加密并将重加密密钥和密文数据分发给n个代理服务器；代理服务器验证路径后对密文进行重加密，并将重加密密文发送给被委托者；被委托者利用不少于门限个重加密密文和自己的私钥进行解密。

参阅图2，本发明的实现过程具体包括以下几个步骤：

(一)系统初始化阶段

(二)密钥生成阶段

(三)自治代理路径生成阶段

(四)重加密密钥生成阶段

(五)数据加密阶段

(六)密文重加密阶段

代理服务器k(k＝1,…,n_p)输入公开参数par、自治代理路径Pa_i、从用户i_j到用户i_j+1的重加密密钥用户i_j和用户i_j+1的公钥/>和/>以及密文数据/>首先验证/>是否成立，如果不成立则输出错误标志⊥，如果成立则输出重加密后的密文/>

(七)数据解密阶段

上述所有步骤的符号表示及含义见下述表1：

表1 符号列表

所述步骤(一)中生成公开参数的具体流程如下：

所述步骤(二)中生成用户公私钥的具体过程如下：

用户i选择则用户i的私钥sk_i＝x_i，公钥/>

所述步骤(三)中生成自治代理路径的具体过程如下：

所述步骤(四)中生成重加密密钥的具体过程如下：

f(x)＝-sk_i+a₁x+a₂x²+…+a_t-1x^t-1 (I)；

h(x)＝1+b₁x+b₂x²+…+b_t-1x^t-1 (II)。

b)对于j＝0,…,li-1，委托者选择随机数若j＝0，委托者由下述(III)式计算重加密密钥/>

若j>0，委托者由下述(IV)式计算重加密密钥

其中，k＝1,2,…,np，随机数Xj用于后续被委托者解密过程，随机数rj用于非确定性加密Xj。

最后，委托者将计算得到的发送给代理服务器k。

所述步骤(五)中数据加密的具体过程如下：

其中，k＝1,…,np，表示委托者的公钥，m表示待加密的数据消息，然后委托者将初始密文/>发送给代理服务器k。

所述步骤(六)中重加密密文的具体过程如下：

a)代理服务器k(k＝1,…,np)，首先验证是否成立，如果不成立则输出错误标志⊥；

b)验证成功后，代理服务器k(k＝1,…,np)按下述(VI)～(VII)式计算重随机化数并存储：

c)代理服务器k(k＝1,…,n_p)由下述(VIII)式对密文进行重随机化计算：

d)代理服务器k(k＝1,…,n_p)由下述(IX)式计算重加密密文

所述步骤(七)中解密数据的具体操作如下：

若j＝0，即当前密文为初始密文，委托者根据(n,t)门限要求，从大于等于t个代理服务器(记为k₁,k₃,…,k_b(n≥t))获取密文并由下述(X)式进行解密：/>

若j>0，即当前密文为重加密后的密文，被委托者根据(n,t)门限要求，被委托者从大于等于t个代理服务器(记为k₁,k₃,…,k_b(n≥t))获取密文并由下述(XI)式计算X_j：

被委托者得到Xj后由下述(XII)式进行解密：

其中，为使用拉格朗日插值法恢复秘密。

本发明的保护内容不局限于以上实施例，在不背离发明构思的精神和范围下，本领域技术人员能够想到的变化和优点都被包括在本发明中，并且以权利要求书为保护范围。

Claims

1.一种支持密文重随机化的抗合谋自治路径代理重加密方法，其特点在于，采用包含门限秘密共享协议、双线性配对和密码学哈希函数的代理重加密方法，实现对密文数据的访问控制和访问权限的受控转移，代理重加密方法的具体包括下述步骤：

(一)系统初始化阶段

系统在给定安全参数λ下，生成两个哈希函数和一个双线性配对，并将安全参数、两个哈希函数和一个双线性配对作为公开参数par；

(二)密钥生成阶段

输入公开参数par和用户标识i，为用户i生成公钥pk_i以及私钥sk_i；

(三)自治代理路径生成阶段

(四)重加密密钥生成阶段

输入公开参数par、委托者的私钥sk_i以及自治代理路径Pa_i，为代理服务器k(k＝1,2,…,n_p)生成l_i个重加密密钥(j＝0,1,…,l_i-1)，并通过安全信道发送给代理服务器，其中n_p表示代理服务器个数；

(五)数据加密阶段

(六)密文重加密阶段

代理服务器k(k＝1,…,n_p)输入公开参数par、自治代理路径Pa_i、从用户i_j到用户i_j+1的重加密密钥用户i_j和用户i_j+1的公钥/>和/>以及密文数据/>首先验证是否成立，如果不成立则输出错误标志⊥，如果成立则输出重加密后的密文/>

(七)数据解密阶段

2.根据权利要求1所述支持密文重随机化的抗合谋自治路径代理重加密方法，其特征在于，所述系统初始化阶段的具体操作如下：

输入1⁺，其中λ是安全参数，生成两个q阶群和/>其中q为大素数，两个哈希函数H₁:H₃:/>一个双线性配对e:/>记群/>的一个生成元为g，并额外选择一个/>g₁≠g，输出公开参数/>

3.根据权利要求1所述支持密文重随机化的抗合谋自治路径代理重加密方法，其特征在于，所述密钥生成阶段的具体操作如下：

用户i选择则用户i的私钥sk_i＝x_i，公钥/>

4.根据权利要求1所述支持密文重随机化的抗合谋自治路径代理重加密方法，其特征在于，所述自治代理路径生成阶段的具体操作如下：

委托者选择l_i个被委托者的公钥再加上自己的公钥pk_i，构建一条长度为l_i的自治代理路径Pa_i，记为(Pa_i,l_i)，其中/>

5.根据权利要求1所述支持密文重随机化的抗合谋自治路径代理重加密方法，其特征在于，所述重加密密钥生成阶段的具体操作如下：

a)委托者根据(n,t)门限的要求，随机选择下述(I)～(II)式表示的两个t-1阶多项式：

f(x)＝-sk_i+a₁x+a₃x³+…+a_t-1x^t-1 (I)；

h(x)＝1+b₁x+b₃x³+…+b_t-1x^t-1 (II)；

其中，sk_i为委托者的私钥；a₁,a₃,…,a_t-1,b₁,b₃,…,b_t-1为委托者选择的2t-1个随机数，作为两个多项式的系数；

利用每个代理服务器k的唯一标识P_k计算秘密碎片(P_k,f(P_k),h(P_k))，其中，k＝1,2,…,n_p，n_p为代理服务器的个数；

b)对于j＝0,…,l_i-1，委托者选择随机数若j＝0，委托者由下述(III)式计算重加密密钥/>

若j>0，委托者由下述(IV)式计算重加密密钥

其中，k＝1,2,…,n_p；X_j为随机数用于后续被委托者解密过程；r_j为随机数用于非确定性加密X_j；

最后，委托者将计算得到的发送给代理服务器k。

6.根据权利要求1所述支持密文重随机化的抗合谋自治路径代理重加密方法，其特征在于，所述数据加密阶段的具体操作如下：

其中，k＝1,…,n_p；为委托者的公钥；m为待加密的数据消息，然后委托者将初始密文/>发送给代理服务器k。

7.根据权利要求1所述支持密文重随机化的抗合谋自治路径代理重加密方法，其特征在于，所述密文重加密阶段的具体操作如下：

a)代理服务器k(k＝1,…,n_p)，首先验证是否成立，如果不成立则输出错误标志⊥；

b)验证成功后，代理服务器k(k＝1,…,n_p)按下述(VI)～(VII)式计算重随机化数并存储：

其中，为代理路径Pa_i中的所有公钥；/>和/>为新的重随机化数；

d)代理服务器k(k＝1,…,n_p)由下述(IX)式计算重加密密文

8.根据权利要求1所述支持密文重随机化的抗合谋自治路径代理重加密方法，其特征在于，所述数据解密阶段的具体操作如下：

若j＝0，即当前密文为初始密文，委托者根据(n,t)门限要求，从大于等于t个代理服务器(记为k,k₃,…,k_b(n≥t))获取密文并由下述(X)式进行解密：

若j>0，即当前密文为重加密后的密文，被委托者根据(n,t)门限要求，被委托者从大于等于t个代理服务器(记为k,k₃,…,k_b(n≥t))获取密文并由下述(XI)式计算X：

被委托者得到X后由下述(XII)式进行解密：

其中，为使用拉格朗日插值法恢复秘密。