一种基于内容属性的可撤销密钥外包解密方法

一种基于内容属性的可撤销密钥外包解密方法
【专利摘要】一种基于内容属性的可撤销密钥外包解密方法，可信权威：1.初始化，输出系统参数；2.运行随机数生成算法；3.选择抗碰撞哈希函数，计算哈希值；4.计算公钥、主密钥；5.选择随机数，计算求幂、乘法运算；6.运行抗碰撞哈希函数、求幂运算，得解密密钥。数据持有者：7.AES数据加密；8.生成访问控制矩阵；9.选择随机数，计算内积；10.运行乘法、求幂和异或运算，得密文；解密者：11.发送解密请求和转换密钥；移动云存储服务器：12.将CT2送呈外包解密代理；外包解密代理方：13.利用转换密钥，计算转换密文；解密者：14.计算得会话密钥；15.AES数据解密。
【专利说明】-种基于内容属性的可撤销密钥外包解密方法 (-)【技术领域】：
[0001] 本发明设计一种基于内容属性的可撤销密钥外包解密方法，可实现移动云存储环 境下的泄露用户密钥有效撤销，并能最大程度保护用户隐私、降低移动设备解密计算开销， 属于信息安全中密码学【技术领域】。 (二）技术背景：
[0002] 伴随着通信技术的发展和移动设备的大范围普及，人们一改W往依靠台式机和笔 记本电脑的信息处理模式，转而向更便捷高效的移动云计算服务发展。出于节约存储空间 的目的，越来越多的移动用户选择将数据上传到第=方服务器端存储。在移动云存储模型 中，借助通讯网络和移动设备，用户可W随时随地的享受无缝访问云端数据。人们在享受移 动云存储带来的诸多便利的同时，对云端数据安全性的担忧也涌上屯、头。
[0003] 当数据上传到第=方服务器分布式存储，远程服务器不受数据持有者直接控制， 而是由服务器管理员统一管理。考虑到复杂的网络环境，要求第=方服务器绝对安全是不 现实的；一旦存储服务器遭到攻击，造成大范围的云端数据外泄或恶意删除，其后果将不堪 设想。如何将访问数据权限控制在授权用户之间，解决数据管辖权与持有人分离所带来的 安全问题，成为了现今移动云计算服务中数据安全存储与共享方面的一大挑战。鉴于目前 已有的数据泄露案例，我们必须采取得当的数据保护措施，降低数据安全对存储服务器安 全的依赖。
[0004] 为了保证数据在第=方服务器端存储时的安全性，我们可W引入数据加密技 术一-将明文数据W密文的形式保存在云端服务器，只有授权用户可W成功解密密文，实 现授权用户间的数据安全共享。然而，传统的加密方式需要数据持有者在加密数据之前明 确所有可能的解密者的详细身份，该要求往往不适合云服务的应用环境。然而，一种新型的 加密机制--属性基加密（Attribute-based Enc巧ption，AB巧却很契合上述应用环境。在 ABE加密方案中，每个用户的身份由属性集合表示，数据持有者可根据相应的安全需求，制 定访问控制策略（访问控制策略通过用户的属性表达）而不是详细的授权用户身份列表， 只有属性集合满足访问控制策略的解密者才能成功解密密文。
[0005] 由上述介绍可知，ABE的方案中用户的身份通过属性集合表示，例如性别、职业、年 龄、工作单位等。该些信息都在无形中暴露着用户的个人隐私，若用户的移动设备丢失，存 储在其中的解密密钥将直接披露用户的身份。某些不法分子可W通过获悉的敏感属性信息 锁定用户的身份，并实施犯罪行为。只有隐藏起用户的身份属性才能进一步保护个人隐私 安全。
[0006] 已有的ABE方案在解密算法中均采用了"双线性对"该一数学工具，给解密运算带 来了巨大的计算开销，因而对运算对解密设备的计算能力具有较高的要求。考虑到移动通 讯设备较弱的计算能力和有限的电池供电性能，如何将移动云存储服务与ABE加密方案结 合起来，具有一定的技术难度。
[0007] 此外，在移动云存储环境下，有效的撤销机制是极其重要的。鉴于移动设备具有轻 便、可携带等特点，更加大了其意外丢失和被盗的可能性，而存储在失窃设备中的解密密钥 也会对存储在云端的数据构成极大的威胁。当发现系统中存在密钥泄露的情况时，为防止 泄露的密钥再次解密云端的数据，首先需要采取的补救措施是将存储在云端的密文重新加 密，同时系统中的其他用户私钥随之升级。而站在非撤销用户的角度上，在撤销泄露密钥的 过程中，保证非撤销用户不受打扰是很必要的。
[0008] 目前，在ABE方案中保护用户个人隐私、降低解密运算负担和撤销泄露密钥等研 究方面均有很成功的研究成果；1)通过将原有的解密用户身份属性替代成文件的内容属 性，可有效隐藏解密者的身份信息，起到保护用户个人隐私的目的。2)通过外包技术，将解 密开销分由解密用户和具有极强计算能力的外包解密代理共同承担。解密用户拥有一对 解密密钥一一转换密钥和解密私钥；首先外包解密代理方持转换密钥（由解密用户发送得 到），可将原始密文有效转换成转换密文（具有长度短小，且解密算法运行速度快的优点）； 随后解密用户利用手中的解密私钥，可快速解密该转换密文。3)在发生密钥泄露后，通过重 新加密密文、升级非撤销用户的解密密钥等手段，可实现密钥泄露用户的解密权限撤销。尽 管上述研究方案均在某一方面实现了卓越的数据安全与隐私保护功能，却没有一种集上述 S个优点于一身的功能型ABE方案能够与移动云存储应用环境完美契合。
[0009] 基于之前的研究成果，本发明提出了一种基于内容属性的可撤销密钥外包解密方 法，可实现有效的密钥撤销，并最大程度地保护了解密用户的个人隐私，节约了移动设备的 解密开销。 (H)
【发明内容】
：
[0010] 1、目的：
[0011] 本发明的目的是提出一种基于内容属性的可撤销密钥外包解密方法。首先，在移 动云存储环境下，数据持有者利用待加密文件的内容属性对文件加密，后上传到云端存储， 保证了数据在云端的安全性；其次，在不泄露明文数据的前提下，结合外包技术，借外包解 密代理强大的运算能力，加快解密速度，降低移动设备的解密开销。最后，本发明在密文和 解密用户的解密密钥中嵌入版本序列号，当发生密钥泄露的情况时，及时更新解密密钥和 密文的版本，实现密钥泄露用户的解密权限撤销功能。
[0012] 2、技术方案；
[001引本发明方案包括五个实体；1)数据持有者值ata Owner, DO);能够根据适当 的安全需求制定访问控制策略，依据访问控制策略对数据加密，并将加密后的数据上 传到移动云存储服务器端存储；2)解密者值ata Consumer, DC);能够发送转换密钥 (Transformation Key, TA)，并依据自己的解密私钥对转换密文解密；3)移动云存储服务器 (Mobile Storage Serve Provider, MSSP);存储来自数据持有者的加密数据，并向外包解 密代理方发送对应密文；4)外包解密代理方（Computation Service Proxy, CSP);能够利 用转换密钥转换密文，并重新加密旧版本的密文为非撤销用户更新解密密钥；5)可信任权 威机构（Trusted Authority, TA);受各实体信任，在发生密钥泄露时及时更新公钥与主密 钥信息，负责系统中所有用户的密钥生成与分发任务。
[0014] 2. 1基础知识（有关技术用语及名词的说明）：
[0015] 2. 1.1双线性对
[0016] 由于本发明所设计的算法中使用了双线性映射该方面的数学知识。特在此作相关 定义说明。
[0017] 我们定义一种函数映射e(.，.），将群G中的元素映射到群Gt中去，即；e ; GXG - Gt，其中群G和Gt是两个阶数为素数P的乘法循环群。
[001引双线性对满足的特性有；
[0019] ①双线性特性：对于g，& G G，幻，6 G Zf，
[0020] 有 e (ga，的=e (g，h) ab成立；其中，Z P表示集合{0, 1，2, . . .，p-U。
[0021] ②非退化性；G群中至少存在一个元素g，使得计算后的e(g，g)为Gt群的某个生 成元；
[0022] ⑨可计算性；存在有效的算法，使得所有的u，v G G，可W有效计算出e(u，v)的 值；
[0023] 2. 1.2访问控制结构
[0024] 在属性基加密方案中，为了实现对数据使用实施细粒度的访问控制，需要在加密 数据之前制定相应的访问控制策略，而访问控制策略则通过访问控制结构表达。本发明方 案中所使用的访问控制结构为访问控制矩阵A，即1行n列的矩阵。由于属性基加密方案 中访问控制策略是与属性相关的，故在生成访问控制矩阵时，我们选择一种"一一映射"； P (i)，将矩阵A的每一行的行标i分别映射到访问控制策略中设及到的某一属性上。
[0025] 2. 1. 3抗碰撞哈希函数
[0026] 本发明中使用的哈希函数具备两个基本特性；单向性和抗碰撞性；单向性是指只 能从哈希函数的输入推导出输出，而绝不能从哈希函数的输出计算出输入；抗碰撞性是指 不能找到两个不同的哈希函数输入使其哈希后的结果相同。本发明中的哈希算法输入是任 意长度的二进制字符串。
[0027] 2. 2方案内容
[002引本发明为一种基于内容属性的可撤销密钥外包解密方法，该方法由系统初始化模 块、私钥生成模块、文件加密模块、文件解密模块和密钥撤销模块，五个模块共18个步骤实 现其功能。其中系统初始化模块、私钥生成模块、文件加密模块、文件解密模块是按顺序执 行的，而密钥撤销模块的=个步骤只在撤销用户的密钥时执行。本发明所设计的基于内容 属性的可撤销密钥外包解密方法的系统架构图如图1所示，现结合图1将本发明所述方法 及各模块的功能介绍如下。
[0029] 本发明设计一种基于内容属性的可撤销密钥外包解密方法，其运行步骤如下：
[0030] 模块一：系统初始化模块可信任权威机构（TA)调用初始化算法，生成公钥和主密 钥。
[0031] 步骤1 ;TA输入系统安全参数A，运行初始化算法谷00,输出两个阶数为素数P 的群G、Gt和一个双线性映射运算e ;GXG - GT ;
[0032] 步骤2 ;TA接下来运行随机数生成算法，随机选择G群中的某个生成元g，G群中的 两个随机元素U、t W及Zp域中的一个元素a。
[0033] 步骤3 ;TA选择一种抗碰撞哈希函数H( ?)，该函数满足抗碰撞哈希函数的所有特 性，输入为任意长度的〇、1字符串，输出为映射到G群中的某一元素。
[0034] 步骤4 ;若当前的系统版本数为V，则该算法选择V个Zp域中的随机元素 r 1，...，丫vE Z P，并分别计算句二各/I，…，A,,二各。
[0035] 最后，公钥表示为：
[0036]
【权利要求】
1. 一种基于内容属性的可撤销密钥外包解密方法，其特征在于：该方法由系统初始化 模块、私钥生成模块、文件加密模块、文件解密模块和密钥撤销模块，五个模块共18个步骤 组成；其中系统初始化模块、私钥生成模块、文件加密模块、文件解密模块是按顺序执行的， 而密钥撤销模块的三个步骤只在撤销用户的密钥时执行；其运行步骤如下： 模块一：系统初始化模块 可信任权威机构即TA调用初始化算法，生成公钥和主密钥； 步骤1 :TA输入系统安全参数X，运行初始化算法g(lx)，输出两个阶数为素数p的群 6^和一个双线性映射运算6:6\6 - 61; 步骤2 :TA接下来运行随机数生成算法，随机选择G群中的某个生成元g，G群中的两个 随机元素u、f，以及25域中的一个元素a; 步骤3 :TA选择一种抗碰撞哈希函数H( ?)，该函数满足抗碰撞哈希函数的所有特性， 输入为任意长度的〇、1字符串，输出为映射到G群中的某一兀素； 步骤4 :若当前的系统版本数为V，则该算法选择v个&域中的随机元素
模块三：文件加密模块 步骤7 :考虑到对称加密算法的加密时间短的优势，针对移动通信设备较弱的计算和 存储能力，采用"AES对称加密"方法，数据持有者即DO随机选择加密时使用的对称会话密 钥MGG对文件加密，得到密文CT1; 步骤8 :D0根据自己的安全需求，制定相应的访问控制策略，该策略由所加密文件的关 键字属性和布林运算符组成；根据访问控制策略，系统生成对应的访问控制矩阵（A，P)，A 表示1行n列的矩阵，P表示可以将矩阵A的一行对应到访问控制策略中某一关键字的映 射； DO运行属性基加密算法Encapsulate，对会话密钥M加密，Encapsulate算法的运行按 步骤9、10进行： 步骤9 :随机选择n个Zp域中的元素s,s2,s3,. . .，snGZp， 组成向量U=(X&,\ ;将矩阵A的每一行作为行向量$与向量{)进行内积运 算，得到XA2，…，入1:
共同组成了存储在云端的密文文件； 模块四：文件解密模块 当某一解密者即DC想从云端下载密文并解密得到明文文件时，首先向移动云存储服 务器即MSSP提出下载文件请求，并将转换密钥TC发送给外包解密代理方即CSP;该MSSP在 收到该请求后将对应加密文件的CT2送呈CSP;CSP利用收到的转换密钥TC对CT2解密，若 该DC的属性集合S满足DO制定的访问控制策略，则CSP能成功由TC得到转换密文^，并 将其返回给DC;若不符合，则返回丄；DC得到转换密文^后，经过一次简单的解密过程， 能得到会话密钥M，最终通过AES解密算法，得到最终的明文文件； 步骤11 :DC向MSSP提出下载文件请求，并将转换密钥TC发送给CSP; 步骤12 :MSSP在收到该请求后将加密文件的(^2部分送呈CSP; 步骤13 :CSP利用收到的转换密钥TC对CT2解密，运行双向性对运算、求幂和连乘运 算：
步骤14 :DC收到转换密文@，利用自己的本地存储的解密私钥AC，对转换密文@解 密，得到会话密钥M，分别按照如下公式计算得到：
步骤15 :DC解密得到会话密钥M后，将经过AES对称加密得到的密文，运行AES数 据解密算法，最后便得到初始的明文文件； 模块五：密钥撤销模块 一旦系统中出现密钥泄露事件，及时的密钥撤销是一种有力的补救措施，因而密钥撤 销模块是很重要的一个组成部分，该模块按如下三个步骤运行： 步骤1* :当TA发现存在密钥泄露的情况，首先会更新当前系统的公钥和主密钥对即 (PK，MSK)，做法如下：将最新的版本号v数目增1，初始时置为1，在&域中选择随机元素
撤销用户之列，则返回无效符号即丄。
2. 根据权利要求1所述的一种基于内容属性的可撤销密钥外包解密方法，其特征在 于：在步骤1中所述的"算法g(lx) "，其运行方法如下：TA输入系统安全参数X，系统根据 A的大小，选择相应的椭圆曲线：Y2=X3+aX+b(a和b是系数），再由椭圆曲线上的点构成 两个素数P阶的群G、GT;最后，选择一种函数映射e，将群G中的元素映射到群GT中去；一 般，安全参数数值越大，所选择椭圆曲线上的点也越多，群也越大。
3. 根据权利要求1所述的一种基于内容属性的可撤销密钥外包解密方法，其特征在 于：在步骤2中所述的"随机数生成算法"，其做法如下：根据步骤1中所选的椭圆曲线：Y2 =X3+aX+b，随机选择自变量X的一个值Xl，计算对应因变量Y的值y1;若点（xuyi)在想要 映射的群中，则成功生成了随机元素；若点（Xl，yi)不在群中，则继续选择X的值，直到找到 出现在群中的点；此外，域$表示集合{1，2, ...，p-1}，随机选择域$中元素的随机数生成 函数能从Pairing-BasedCryptosystems函数包中调用库函数运行。
4. 根据权利要求1所述的一种基于内容属性的可撤销密钥外包解密方法，其特征在 于：在步骤3中所述的抗碰撞哈希函数H( ?)同样能从Pairing-BasedCryptosystems函 数包中调用库函数运行。
5. 根据权利要求1所述的一种基于内容属性的可撤销密钥外包解密方法，其特征在 于：在步骤7中所述的"AES数据加密"，通过下载MySQL即关系数据库管理系统应用软件， 能通过调用函数"SELECTAES_ENCRYPT() "对文件加密。
6. 根据权利要求1所述的一种基于内容属性的可撤销密钥外包解密方法，其特征在 于：在步骤8中所述的"生成对应的访问控制矩阵（A，P)"，矩阵A中各元素的选择原则是 能够有效恢复出步骤11中提到的"指数s";定义集合1(1 =U|p(i)eS})，表示用户属 性集合S中所有属性元素P(i)GS通过映射P( ?)，对应到访问控制矩阵A的行标i的 集合；若解密用户的属性集合S中的属性满足DO加密M时制定的访问控制策略，则一定能 找到常数WieZp，按照下式：
有效恢复出指数s。
7.根据权利要求1所述的一种基于内容属性的可撤销密钥外包解密方法，其特征在 于：在步骤15中所述的"运行AES数据解密算法"，下载MySQL即关系数据库管理系统应用 软件，能通过调用函数"SELECTAES_DECRYPT(AES_ENCRYPT() "进行解密。
【文档编号】H04L9/32GK104486315SQ201410743548
【公开日】2015年4月1日 申请日期:2014年12月8日 优先权日:2014年12月8日
【发明者】伍前红, 邓桦, 周云雅, 秦波, 刘建伟 申请人:北京航空航天大学