一种基于椭圆曲线的多授权可撤销属性加密方法

1.本发明涉及信息安全技术领域，具体为一种基于椭圆曲线的多授权可撤销属性加密方法。


背景技术：

2.云存储作为一种云计算的应用范例，具有便捷访问、资源共享、降低成本等优点，可以很好帮助企业、个人存储处理数据。即使云存储有诸多好处，但是个人、机构似乎也并不愿意将数据存储到云上，尤其是一些隐私数据比如个人健康记录、企业机密文件等。最主要的原因是因为这种模式造成了数据的所有权和实际控制权相分离，数据的安全性遭受到了极大的威胁，云存储服务提供商可能出于各种目的尝试访问、分析、攻击用户的数据。传统的对称、非对称加密或许能够在一定程度上防止云储存提供商作恶，但是存在两点问题，第一，用户不可避免的要管理大量的密钥对，增加了存储、管理负担。第二，如果使用传统的加密方案，用户想要分享一份私密数据给多个人时，需要对同一份数据多次加密，用户需要承担庞大的加密开销，云服务提供商也要付出更多的存储开销。因此，如何实现用户对云存储资源的访问控制以及安全一对多共享加密数据是一个亟需解决的问题。
3.属性加密作为能够解决一对多安全共享加密数据的一种有效途径，吸引了大量学者研究。一些学者提出了单中心的属性加密方案，系统中存在唯一的可信中央机构，中央机构负责审核用户的身份并颁发解密密钥，当用户的属性满足数据拥有者的访问策略时可以解密加密数据。但是单中心的属性加密并不能够很好的适配当下网络环境，单中心很难管理网络中的所有属性并且存在中心机构作恶、宕机等问题。随后，很多学者开始研究多属性机构的属性加密方案，方案中存在多个属性机构管理不同的属性域，数据拥有者可以定义访问策略使用不同的属性机构的公钥加密数据，数据使用者使用满足访问策略的解密私钥解密数据。但是目前的属性加密方案主要基于双线性对，计算开销较大，为系统参与者带来了较大的计算压力。


技术实现要素：

4.(一)解决的技术问题
5.针对现有技术的不足，本发明提供了一种基于椭圆曲线的多授权可撤销属性加密方法，解决了目前的属性加密方案主要基于双线性对，计算开销较大，为系统参与者带来了较大的计算压力的问题。
6.(二)技术方案
7.为实现上述目的，本发明提供了如下技术方案：一种基于椭圆曲线的多授权可撤销属性加密方法，具体包括以下步骤：
8.步骤一、系统初始化：构建由中央机构ca、若干个属性机构aa构成的属性中心aas、数据拥有者do、数据使用者du和云服务提供商csp组成的系统，中央机构ca定义一条有限域gf(q)上的椭圆曲线e，生成e上的循环群其基点为g，选取两个抗碰撞的哈希函数h1:
记系统公共参数中央机构ca将系统全局公共参数pp公开，属性机构aa向中央机构ca发起注册身份请求，验证属性机构aa的身份在系统中是合法有效后，中央机构ca生成标识符aid分配给属性机构aa，数据使用者du向中央机构ca发起注册身份请求，验证属性中心aas中数据使用者du的身份在系统中是合法有效后，中央机构ca为数据使用者du分配数据使用者标识符uid，随机选取与数据使用者uid绑定的随机数并下发给属性中心aas，属性中心aas任取计算并公开属性机构aa公钥apk
aid
＝α
aid
·
g，属性机构aa私钥为ask
aid
＝{α
aid
}，属性机构aa存储具有某个属性的所有数据使用者du的信息，具有某个属性的数据使用者构成这个属性的属性组，对于属性机构标识符aid负责的属性空间u
aid
中的每个属性随机选取计算并公开属性组公钥vpki＝αkivig，属性组私钥为vski＝{ki,vi}；
9.步骤二、解密密钥生成：数据使用者du首先向属性机构aa发送请求，属性机构aa接到请求后验证数据使用者du身份，验证数据使用者du身份是合法有效后，属性机构aa授予该数据使用者du具有的属性。假设数据使用者du的属性空间为s
uid
∈u，计算用户的解密私钥sk
i,uid
为：
[0010][0011]
随后属性机构aa将解密私钥sk
i,uid
发送给数据使用者du；
[0012]
步骤三、数据加密：数据拥有者do将数据加密之后传送给云服务提供商csp存储，首先，数据拥有者do首先定义一个访问策略，并生成访问结构(a,ρ)，其中a是一个l*n的矩阵，ρ是一个将a的行向量映射到属性ρ(x)单射函数，随机选择两个向量定义数据拥有者do选取两个随机数计算密文c0,c1,c
2,x
,c
3,x
如：
[0013][0014]
c1＝(s t)g
[0015]c2，x
＝λ
x
g ω
x
vpk
ρ(x)
[0016][0017]
随后数据拥有者do将密文ct＝{(a,ρ),c0,c1,c
2,x
,c
3,x
)上传到云服务提供商csp；
[0018]
步骤四、数据解密：设定数据使用者du想要解出密文，其属性需要满足访问结构(a,ρ)，定义η＝{x:ρ(x)∈s
uid
}，数据使用者du计算∑
x∈ηc2,x-∑
x∈ηc3,x
·
sk
x,uid
，如：
[0019]
[0020][0021]
数据使用者du选择一组常数使得∑
x∈ηcx
·ax
＝(1,0,0,
…
,0)，随后计算秘密值sg如：
[0022][0023]
最后计算数据使用者计算tg＝c
1-sg，随后计算得到明文m；
[0024]
步骤五、属性撤销：属性撤销主要包含三个环节：属性机构属性组密钥重新生成算法aarekeygen、数据使用者du解密密钥更新密钥生成算法ukgen以及密文更新算法ctupdate，设定系统中一个数据使用者du的属性被撤销，表示被撤销的用户，表示属性撤销后还在属性组中的用户，具体如下：
[0025]
a、管理属性的属性机构随机选取计算并公开新的属性组公钥随后属性机构标识符aid更新属性组信息并发送给云服务提供商csp；
[0026]
b、属性中心标识符aid为还在属性组中的用户生成解密密钥更新钥，如：
[0027][0028]
属性机构标识符aid将解密密钥更新密钥发送给数据使用者数据使用者可以使用解密密钥更新钥来更新他们的解密密钥，更新密钥过程如：
[0029][0030]
使用者无法接收到属性机构的通知，而无法通过属性机构来获得属性的解密密钥更新密钥，所以属性中心需要记录每次的更新密钥，当数据使用者需要跨版本更新解密密钥时，将最新版本与数据使用者当前的版本之间的更新密钥按照顺序发给数据使用者数据使用者计算新的解密密钥如：
[0031][0032]
c、数据拥有者do首先随机选取计算更新密文如：
[0033][0034][0035][0036]
随后数据拥有者du将新的密文随后数据拥有者du将新的密文发送给云服务商csp，最终云服务商csp计算并存储更新的密文为如：
[0037][0038][0039][0040][0041]
通过采用上述技术方案，支持系统中创建任意多个属性机构分发数据使用者的属性解密密钥，加密者可以根据属性定义访问策略进行数据加密，属性集满足访问策略的数据使用者可以解密被加密的数据，属性机构可以通过更新并发布属性组密钥实现属性撤销，通过向未被撤销属性的数据使用者发送更新密钥进行轻量级的属性密钥更新。
[0042]
本发明进一步设置为：所述步骤一中中央机构ca初始化系统的公共参数时，向中央机构ca输入安全参数λ，输出系统全局公共参数pp，并将系统全局公共参数pp公布给系统内的其他成员。
[0043]
本发明进一步设置为：所述属性中心aa身份注册时，向中央机构ca中输入属性机构aa的身份信息info
aa
，中央机构ca输出属性中心的身份标识符aid，并且中央机构ca负责审核系统内的属性机构aa以及数据使用者du的身份颁发身份标识符，并生成与数据使用者du身份绑定的随机值发送给属性中心aa。
[0044]
通过采用上述技术方案，帮助云服务提供商提前确定数据使用者du是否满足加密资源的访问条件。
[0045]
本发明进一步设置为：所述步骤一中若干个属性机构aa相互独立，每个属性机构会被分配一定的属性构成该属性机构aa管理的属性域，具有某一属性的数据拥有者构成一个属性的属性组，属性机构aa将属性组信息共享给云服务提供商csp。
[0046]
本发明进一步设置为：所述步骤二中解密密钥的获取方式为，向属性机构aa中输入系统全局公共参数pp，输出属性机构aa公钥apk
aid
、属性机构aa私钥ask
aid
、属性组公钥vpki、属性组私钥vski，并且属性中心aa会验证数据使用者du的身份，并为其颁发解密私钥。
[0047]
通过采用上述技术方案。
[0048]
本发明进一步设置为：所述步骤五中属性撤销过程中会重新生成新的属性组公私钥，向属性机构aa中输入系统全局公共参数pp、撤销的属性被撤销属性的用户输出新的属性组公钥以及私钥并更新解密密钥，向属性机构aa中输入系统全局公共参数pp、撤销的属性以及属性组私钥输出属性的解密密钥更
新密钥
[0049]
本发明进一步设置为：所述步骤三中数据拥有者do定义私密数据访问策略，向数据拥有者do输入系统全局公共参数pp、访问策略τ、访问策略τ中的属性的公钥以及属性组的公钥明文m，得到输出密文ct，再通过访问策略、属性机构公布的属性中心公钥以及属性组的公钥加密私密数据并上传给云服务提供商csp。
[0050]
本发明进一步设置为：所述云服务提供商csp用于接收数据拥有者do加密的数据并存储，同时允许满足访问策略的数据使用者du访问相应的加密资源。
[0051]
(三)有益效果
[0052]
本发明提供了一种基于椭圆曲线的多授权可撤销属性加密方法。具备以下有益效果：
[0053]
(1)该基于椭圆曲线的多授权可撤销属性加密方法，支持系统中创建任意多个属性机构分发数据使用者的属性解密密钥，加密者可以根据属性定义访问策略进行数据加密，属性集满足访问策略的数据使用者可以解密被加密的数据，属性机构可以通过更新并发布属性组密钥实现属性撤销，通过向未被撤销属性的数据使用者发送更新密钥进行轻量级的属性密钥更新。
[0054]
(2)该基于椭圆曲线的多授权可撤销属性加密方法，通过将生成与数据使用者身份绑定的随机值发送给属性中心，用于帮助云服务提供商提前确定数据使用者是否满足加密资源的访问条件。
附图说明
[0055]
图1为本发明的方法流程图。
具体实施方式
[0056]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0057]
请参阅图1，本发明实施例提供一种技术方案：一种基于椭圆曲线的多授权可撤销属性加密方法，构建由中央机构ca、若干个属性机构aa构成的属性中心aas、数据拥有者do、数据使用者du和云服务提供商csp组成的系统，基于椭圆曲线的多授权属性加密方案主要包含以下算法：中央机构ca初始化(casetup)、属性机构aa身份注册(aaregister)、数据使用者du身份注册(duregister)、属性机构aa初始化(aasetup)、数据使用者解密密钥生成(keygen)、数据加密(encrypt)、数据解密(decrypt)以及属性撤销的三个方法(aarekeygen、ukgen、ctupdate)。
[0058]
作为优选方案，中央机构ca负责初始化系统的公共参数并公布给系统内的其他成员，同时，中央机构ca负责审核系统内的属性机构aa以及数据使用者du的身份颁发身份标识符，并生成与数据使用者du身份绑定的随机值发送给属性中心aa。
[0059]
作为详细说明，casetup(λ)
→
(pp)：中央机构初始化算法，由中央机构执行，输入
安全参数λ，输出系统全局公共参数pp。
[0060]
作为详细说明，aaregister(info
aa
)
→
(aid)：属性中心aa身份注册算法。由中央机构ca执行，输入属性机构aa的身份信息info
aa
，输出属性中心的身份标识符aid。
[0061]
作为优选方案，系统中的所有属性机构aa相互独立，共同维护全局的属性空间，每个属性机构会被分配一定的属性构成该属性机构aa管理的属性域，具有某一属性的数据拥有者构成一个属性的属性组，属性机构aa会将属性组信息共享给云服务提供商，具体的，这能够帮助云服务提供商提前确定数据使用者du是否满足加密资源的访问条件。属性中心aa会生成属性中心和属性组的公私钥，属性中心aa会验证数据使用者du的身份，并为其颁发解密私钥。同时，在属性撤销过程中会重新生成新的属性组公私钥。
[0062]
作为详细说明，aasetup(pp,u
aid
)
→
(apk
aid
,ask
aid
,vpki,vski)：属性中心aa的初始化算法，由属性机构aa执行，输入系统全局公共参数pp，输出属性机构公钥apk
aid
、属性机构私钥ask
aid
、属性组公钥vpki、属性组私钥vski。
[0063]
作为详细说明，数据使用者du的解密密钥生成算法，由属性中心aa执行，输入系统全局公共参数pp、属性机构私钥ask
aid
、属性组私钥vski、数据使用者du的身份标识uid，输出数据使用者du的解密密钥。
[0064]
作为详细说明，属性机构属性组密钥重新生成算法，由属性机构aa执行，输入系统全局公共参数pp、撤销的属性被撤销属性的用户输出新的属性组公钥以及私钥
[0065]
进一步的，更新密钥生成算法，由属性机构aa执行，输入系统全局公共参数pp、撤销的属性以及属性组私钥输出属性的解密密钥更新密钥数据使用者du可以通过更新解密密钥。
[0066]
作为优选方案，数据拥有者do是私密数据的提供者，数据拥有者do可以为其私密数据定义访问策略，通过访问策略、属性机构公布的属性中心公钥以及属性组的公钥加密私密数据并上传给云服务提供商csp。
[0067]
作为详细说明，加密算法。由数据拥有者do执行，输入系统全局公共参数pp、访问策略τ、访问策略中的属性的公钥以及属性组的公钥明文m，输出密文ct。
[0068]
作为优选方案，数据使用者du是想要访问加密资源的用户，数据使用者du可以通过中央机构ca注册得到数据使用者的身份标识符，数据使用者可以通过属性中心aa颁发的解密密钥解出满足访问策略的加密资源的明文。
[0069]
作为详细说明，duregister(info
du
)
→
(uid,r
uid
)：数据使用者du身份注册算法，由中央机构ca执行，输入数据使用者du的身份信息info
du
，输出数据使用者du的身份标识符uid和与uid绑定的随机数r
uid
。
[0070]
作为优选方案，云服务提供商csp会接收数据拥有者do加密的数据并存储，同时允许满足访问策略的数据使用者du访问相应的加密资源。
[0071]
进一步的，密文更新算法，由数据拥有者du执行，输入属性组公钥以及原始密文ct，输出密文
[0072]
上述基于椭圆曲线的多授权可撤销属性加密方法具体包括以下步骤：
[0073]
步骤一、系统初始化：中央机构ca定义一条有限域gf(q)上的椭圆曲线e，生成e上的循环群其基点为g，选取两个抗碰撞的哈希函数h1:记系统公共参数中央机构ca将系统全局公共参数pp公开，属性机构aa向中央机构ca发起注册身份请求，验证属性机构aa的身份在系统中是合法有效后，中央机构ca生成标识符aid分配给属性机构aa，数据使用者du向中央机构ca发起注册身份请求，验证属性中心aas中数据使用者du的身份在系统中是合法有效后，中央机构ca为数据使用者du分配数据使用者标识符uid，随机选取与数据使用者uid绑定的随机数并下发给属性中心aas，属性中心aas任取计算并公开属性机构aa公钥apk
aid
＝α
aid
·
g，属性机构aa私钥为ask
aid
＝{α
aid
}，属性机构aa存储具有某个属性的所有数据使用者du的信息，具有某个属性的数据使用者构成这个属性的属性组，对于属性机构标识符aid负责的属性空间u
aid
中的每个属性随机选取计算并公开属性组公钥vpki＝αkivig，属性组私钥为vski＝{ki,vi}；
[0074]
步骤二、解密密钥生成：数据使用者du首先向属性机构aa发送请求，属性机构aa接到请求后验证数据使用者du身份，验证数据使用者du身份是合法有效后，属性机构aa授予该数据使用者du具有的属性。假设数据使用者du的属性空间为s
uid
∈u，计算用户的解密私钥sk
i,uid
为：
[0075][0076]
随后属性机构aa将解密私钥sk
i,uid
发送给数据使用者du；
[0077]
步骤三、数据加密：数据拥有者do将数据加密之后传送给云服务提供商csp存储，首先，数据拥有者do首先定义一个访问策略，并生成访问结构(a,ρ)，其中a是一个l*n的矩阵，ρ是一个将a的行向量映射到属性ρ(x)单射函数，随机选择两个向量定义数据拥有者do选取两个随机数计算密文c0,c1,c
2,x
,c
3,x
如：
[0078][0079]
c1＝(s t)g
[0080]c2，x
＝λ
x
g ω
x
vpk
ρ(x)
[0081][0082]
随后数据拥有者do将密文ct＝{(a,ρ),c0,c1,c
2,x
,c
3,x
)上传到云服务提供商csp；
[0083]
步骤四、数据解密：设定数据使用者du想要解出密文，其属性需要满足访问结构(a,ρ)，定义η＝{x:ρ(x)∈s
uid
}，数据使用者du计算∑
x∈ηc2,x-∑
x∈ηc3,x
·
sk
x,uid
，如：
[0084][0085][0086]
数据使用者du选择一组常数使得∑
x∈ηcx
·ax
＝(1,0,0,
…
,0)，随后计算秘密值sg如：
[0087][0088]
最后计算数据使用者计算tg＝c
1-sg，随后计算得到明文m；
[0089]
步骤五、属性撤销：属性撤销主要包含三个环节：属性机构属性组密钥重新生成算法aarekeygen、数据使用者du解密密钥更新密钥生成算法ukgen以及密文更新算法ctupdate，设定系统中一个数据使用者du的属性被撤销，表示被撤销的用户，表示属性撤销后还在属性组中的用户，具体如下：
[0090]
a、管理属性的属性机构随机选取计算并公开新的属性组公钥随后属性机构标识符aid更新属性组信息并发送给云服务提供商csp；
[0091]
b、属性中心标识符aid为还在属性组中的用户生成解密密钥更新钥，如：
[0092][0093]
属性机构标识符aid将解密密钥更新密钥发送给数据使用者数据使用者可以使用解密密钥更新钥来更新他们的解密密钥，更新密钥过程如：
[0094][0095]
使用者无法接收到属性机构的通知，而无法通过属性机构来获
得属性的解密密钥更新密钥，所以属性中心需要记录每次的更新密钥，当数据使用者需要跨版本更新解密密钥时，将最新版本与数据使用者当前的版本之间的更新密钥按照顺序发给数据使用者数据使用者计算新的解密密钥如：
[0096][0097]
c、数据拥有者do首先随机选取计算更新密文如：
[0098][0099][0100][0101]
随后数据拥有者du将新的密文随后数据拥有者du将新的密文发送给云服务商csp，最终云服务商csp计算并存储更新的密文为如：
[0102][0103][0104][0105][0106]
尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。