基于多权限属性在线离线加解密的数据存储与访问方法及系统

本发明涉及数据存储与访问安全，具体涉及一种基于多权限属性在线离线加解密的数据存储与访问方法及系统。

背景技术：

1、随着物联网、云计算的快速发展，随之而来的是海量的数据快速、安全传输带来的困难和挑战。由于边境地区信息属于敏感信息，需要高度保密，传统的以明文传输的方式不可取，容易造成信息泄露，无法满足边境地区数据存储与访问安全的需求。

2、现有的与基于多权限属性在线/离线加解密相关的技术包括：

3、专利公开号为cn113507359a的基于区块链的数字版权多权限属性加密管理系统，该方案首次将区块链技术与密码学中的多权属性加密结合，该方案支持追踪非法授权的属性授权机构，支持追踪恶意披露属性密钥的责任实体。

4、专利公开号为cn115664651a的基于sm9的在线离线加解密方法、系统、设备及介质，应用于数据发送端，获取数据接收端确认的待加密的目标数据；分阶段生成第一中间密文、第二中间密文、第三中间密文及第四中间密文，并将这四个密文作为目标数据的目标密文，实现了sm9算法在线/离线加密。

5、专利公开号为cn111212084a的一种面向边缘计算的属性加密访问控制方法，该方法除常规的属性外，还引入了时间参数和位置参数用于属性加密算法中。该发明还针对边缘计算中终端设备资源受限问题，将大部分的解密工作放在边缘节点，在边缘节点进行预解密。

6、上述方案中都对解密阶段进行了离线操作，减少了解密阶段用户侧的时间，但是还没有对加密阶段进行在线离线操作。

7、再者，目前传输系统尚没有明确针对边境地区数据安全存储与访问的方法，边境地区由于其地理环境的特殊性，涉及的信息敏感，从而产生大量的需要保密传输的数据，数据的安全性显得尤为重要，因此，需要建立一种安全高效的加解密技术。

技术实现思路

1、为了克服现有技术存在的缺陷与不足，本发明提供一种基于多权限属性在线离线加解密的数据存储与访问方法及系统，本发明采用多属性权限，用户能够有不同权限下的不同属性，更加适合云存储系统的访问控制，在加解密过程都采用在线离线的方式，减轻用户侧的计算时间。

2、为了达到上述目的，本发明采用以下技术方案：

3、本发明提供一种基于多权限属性在线离线加解密的数据存储与访问方法，包括下述步骤：

4、获取安全参数，基于属性加密的初始化算法生成公共参数、公钥和主密钥；

5、获取初始化生成的参数，基于密钥生成算法生成用户私钥；

6、获取公钥、消息和公共参数，基于离线加密算法生成中间密文；

7、获取公共参数、公钥、中间密文、待加密的消息和访问控制结构，基于在线加密算法生成最终密文；

8、获取公钥和用户私钥，基于转换密钥生成算法生成转换密钥和检索密钥；

9、获取公共参数、公钥、密文和转换密钥，基于离线解密算法生成中间解密密文；

10、获取密文和中间解密密文，基于在线解密算法获得原始的消息；

11、根据公共参数、新的版本号和新的属性为用户生成新的私钥；

12、执行部分用户撤销，未撤销的用户更新密钥，采用的新的私钥进行信息解密，被撤销的用户更新相应的属性集。

13、作为优选的技术方案，所述基于属性加密的初始化算法生成公共参数、公钥和主密钥，具体包括：

14、基于属性加密的初始化算法表示为：

15、setup(1λ)→(params,pk,msk)

16、其中，λ表示安全参数，params表示公共参数，pk表示主公钥，msk表示主密钥；

17、公共参数表示为：

18、params＝(e,g,gt,g,p)

19、其中，g和gt是表示素数阶为p的乘法循环群，g是g中的生成元，并且e:g×g→gt是双线性映射；

20、公钥表示为：

21、

22、其中，随机数α,β,βx∈zp，zp表示由0,1,...,p组成的整数集合，x表示属性集中的每个属性；

23、主密钥表示为：

24、

25、其中，表示对于所有的属性x都是主公钥或者主密钥的一部分。

26、作为优选的技术方案，所述基于密钥生成算法生成用户私钥，具体包括：

27、密钥生成算法表示为：

28、keygen(params,pk,msk)→sku

29、其中，params表示公共参数，pk表示公钥，msk表示主密钥，sku表示用户u的私钥；

30、用户u的私钥表示为：

31、

32、r＝(gβ,e(gβγ,h(id)))

33、其中，id表示用户身份标识号码，s表示用户的属性集，ver表示当前的密钥版本，γ表示随机数，tl表示用户的可信等级值，h()表示哈希函数，β表示随机整数，x表示属性集的属性，bver表示随机数，g是乘法循环群g中的生成元。

34、作为优选的技术方案，所述基于离线加密算法生成中间密文，具体包括：

35、离线加密算法表示为：

36、offfline.enc(pk,m,params)→ic

37、其中，params表示公共参数，pk表示公钥，m表示消息，ic表示中间密文；

38、中间密文表示为：

39、

40、

41、其中，c0表示中间密文分量，为公钥中的分量pk2做幂运算得到，e(g,g)为基于属性加密中的配对运算，表示向量，s表示随机指数，tn表示选取的随机数，表示n个取值为0到p的数，g是乘法循环群g中的生成元，α表示随机数。

42、作为优选的技术方案，所述基于在线加密算法生成最终密文，具体包括：

43、在线加密算法表示为：

44、online.enc(params,pk,ic,m,(m,ρ))→ct

45、其中，params表示公共参数，pk表示公钥，m表示消息，ic表示中间密文，(m,ρ)表示lsss访问结构，m是l×n访问矩阵，ρ是将矩阵m的一行映射到设定属性的函数，ct表示最终密文；

46、最终密文表示为：

47、

48、

49、其中，g是乘法循环群g中的生成元，a表示随机数，c0表示中间密文分量，为公钥中的分量pk1做幂运算得到，为公钥中的分量pk3做幂运算得到，α表示随机数，δi表示随机向量中的随机变量，β表示随机整数。

50、作为优选的技术方案，所述基于转换密钥生成算法生成转换密钥和检索密钥，具体包括：

51、转换密钥生成算法表示为：

52、transkeygen(pk,sku)→(tku,rku)

53、其中，pk表示公钥，sku表示u的私钥，tku表示转换密钥，rku表示检索密钥；

54、转换密钥表示为：

55、

56、其中，为公钥中的分量pk4做幂运算得到，β表示随机整数，x表示属性集的属性，g是乘法循环群g中的生成元，h()表示哈希函数，s表示用户的属性集，bver表示随机数，tl表示用户的可信等级值；

57、检索密钥表示为：

58、rku＝{z}

59、其中，z表示随机整数。

60、作为优选的技术方案，所述基于离线解密算法生成中间解密密文，具体包括：

61、offline.dec(params,pk,ct,tku)→tct

62、其中，params表示公共参数，pk表示主公钥，ct表示最终密文，tku表示转换密钥，tct表示中间解密密文；

63、计算随机选取的指数s的份额向量为(λ1,λ2,...,λl)t，当判定用户的属性集s满足访问结构(m,ρ)并且用户的可信等级满足预设条件时，选择常数{ωi∈zp}i∈i，使得∑i∈iωimi＝(1,0,...,0)，其中i＝{i:ρ(i)∈s}，zp表示由0,1,...,p组成的整数集合；

64、中间解密密文表示为：

65、

66、

67、

68、其中，e()为基于属性加密中的配对运算，z表示随机整数，g是乘法循环群g中的生成元，sku表示用户u的私钥，为公钥中的分量pk1做幂运算得到，为公钥中的分量pk3做幂运算得到，g是乘法循环群g中的生成元，α表示随机数，bver表示随机数，tl表示用户的可信等级值，δi表示随机向量中的随机变量。

69、作为优选的技术方案，所述基于在线解密算法获得原始的消息，具体包括：

70、在线解密算法表示为：

71、online.dec(tct,ct)→m

72、其中，tct表示中间解密密文，ct表示最终密文，m表示原始的消息，

73、输入中间密文和最终密文，经过一次除法运算获得原始的消息，具体表示为：

74、

75、其中，c0表示中间密文分量，e(g,g)为基于属性加密中的配对运算。

76、作为优选的技术方案，所述根据公共参数、新的版本号和新的属性为用户生成新的私钥，具体包括：

77、选择一个新的随机整数生成r＝(gβ’,e(gβ’γ,h(id)))，其中并且：

78、

79、将私钥更新为：

80、

81、其中，表示0,1,...,p-1组成的整数集合，γ表示随机数，h()表示哈希函数，id表示用户身份标识号码，bver、bver'均表示随机数，e()为基于属性加密中的配对运算，g是乘法循环群g中的生成元，β表示随机整数。

82、本发明还提供一种基于多权限属性在线离线加解密的数据存储与访问系统，包括：属性授权中心、可信机构、发送端、边缘路由器、接收端；

83、所述属性授权中心获取安全参数，基于属性加密的初始化算法生成公共参数、公钥和主密钥；

84、所述可信机构获取初始化生成的参数，基于密钥生成算法生成用户私钥；

85、所述发送端获取公钥、消息和公共参数，基于离线加密算法生成中间密文；

86、所述边缘路由器获取公共参数、公钥、中间密文、待加密的消息和访问控制结构，基于在线加密算法生成最终密文；

87、所述属性授权中心获取公钥和用户私钥，基于转换密钥生成算法生成转换密钥和检索密钥；

88、所述边缘路由器获取公共参数、公钥、密文和转换密钥，基于离线解密算法生成中间解密密文；

89、所述接收端获取密文和中间解密密文，基于在线解密算法获得原始的消息；

90、所述可信机构根据公共参数、新的版本号和新的属性为用户生成新的私钥，执行部分用户撤销，未撤销的用户更新密钥，采用的新的私钥进行信息解密，被撤销的用户更新相应的属性集。

91、本发明与现有技术相比，具有如下优点和有益效果：

92、(1)本发明采用多属性权限，用户能够有不同权限下的不同属性，更加适合云存储系统的访问控制。

93、(2)本发明在加解密过程都采用在线离线的方式，将大量的计算放在边缘路由器执行，在用户侧只执行少量的计算，减轻用户侧的计算时间。

94、(3)本发明采用可信等级，解决了分级获取的消息的问题，达到了分级管理的目的。

95、(4)本发明采用撤销机制，当数据用户从系统中删除或数据用户的权限随着各种属性集而调整时，支持属性/用户撤销，调整策略灵活。