CN109246096B - 适用于云存储的多功能细粒度访问控制方法 - Google Patents

Abstract

本发明公开了一种适用于云存储的多功能细粒度访问控制方法，解决了云存储中数据的细粒度访问控制问题。其实现步骤是：全局初始化和属性机构初始化；生成用户的公私钥以及云服务器私钥；***进行离线/在线加密，设有策略隐藏机制，将最终密文上传至云服务器；云服务器端和用户端进行解密并验证密钥的正确性；云服务器从密钥列表中删除相应条目进行用户撤销。本发明提出了一个带有多个特性的多机构CP‑ABE方案，详细构造了离线/在线加密机制，大大降低了用户的计算开销。本发明具有属性撤销、无密钥托管问题、离线/在线加密机制、策略隐藏、可验证性的功能，可适用于教育、商业、医疗等云环境中对数据的细粒度访问控制。

Description

适用于云存储的多功能细粒度访问控制方法

技术领域

本发明属于信息安全技术领域，特别涉及云存储下的细粒度访问控制方案，具体是一种适用于云存储的多功能细粒度访问控制方法，可用于云环境中对数据的细粒度访问控制。

背景技术

云存储是云计算概念的一个延伸，是一种新型的网络存储技术。由于云存储具有安全、高可靠、低成本的特点，近年来，越来越多的用户选择把数据存储在云端。通过云存储，用户可以高效便捷地在云端存储和共享数据，其中包含个人隐私等信息的敏感数据也会存储到云端。数据拥有者往往希望对自己的数据拥有访问控制权。例如，在个人健康档案中，患者通常希望医生可以访问到自己的医疗记录，但同时又不希望其他人获取到自己的隐私信息。因此，云存储中的数据安全和数据访问控制问题成为一大挑战。

数据的访问控制方法是云存储中保护数据机密性的重要环节，传统的访问控制技术一般基于服务器可信的条件，云环境中的服务器不具备该种条件。因此，传统的访问控制方法不适用于云存储环境。2005年，Sahai和Waters提出的属性基加密方案可以较好地解决数据安全和数据访问控制问题，允许用户基于属性加密和解密数据，而且能够实现加密数据的细粒度访问控制。在此基础上，为提供更复杂的访问控制策略，密钥策略属性加密方案(KP-ABE)和密文策略属性加密方案(CP-ABE)被相继提出。在CP-ABE中，由数据发送方制定访问策略，因此特别适合用于云环境中访问控制类的应用。

随着云存储技术的发展，只有一个权威机构的CP-ABE***已经不能满足实际应用场景，其中一个原因就是属性机构的管理问题。针对此问题，Muller等人在2009年提出了多机构CP-ABE***，由多个权威机构管理不同的属性集，去除了中心机构，实现了分布式要求，且所有属性机构之间地位平等。CP-ABE在云存储中有很好的应用前景。然而，许多现有方案都存在效率上的缺点，就是加解密的计算成本。使用在线/离线机制和计算外包技术可以提高用户端加解密的效率，将复杂的计算开销委托给一个具有高度计算能力的云服务器处理。而随之而来的另一个缺点是，访问策略与密文相关联可能会泄露大量的用户敏感信息。

为解决计算效率的问题，2008年Guo等人首次提出了基于身份的在/离线加密概念，该方案将加密过程分为在线/离线两个阶段：离线阶段无需知道消息和接收者身份，对加密过程进行预处理；然后在线阶段获得明文消息和接收者身份信息后进行少量运算加密得到最终密文。此后不断有新的加密方案被提出，在解密阶段也可以外包给一个具有高度计算能力的代理中心，这类方案在很大程度上减轻了设备加解密运算负担。2011年，Green等人提出了带外包解密的ABE概念，将繁琐的计算开销交给云服务器处理。Lai等人在2013年提出了改进的带可验证的外包解密的ABE概念，从而允许用户验证由代理处理的部分解密密文的正确性。后续研究者相继提出了一些基于外包解密的ABE方案。

在隐藏用户访问策略方面，2007年，Kapadia等人提出了隐藏访问结构的密文策略基于属性加密方案，但存在安全性的不足。Nishide等人在2008年提出了两种实现策略隐藏的CP-ABE构造，通过多值属性之间的与逻辑来表示访问控制策略，但均只能实现部分隐藏访问结构。2011年，Lai等人在合数阶群中提出了一个隐藏访问结构的ABE算法，在双线性Diffie Hellman(BDH)假设下证明该方案是完全安全的。为了达到相同安全级别，相比于素数阶群，合数阶群需要取更大的阶，导致双线性对的运算效率远低于素数群。2010年，Okamoto和Takashima构造出一种基于素数阶双线性群的属性基加密体制，提高了方案的效率。在2012年，Lewko和Waters对素数阶群上的属性基加密方案的安全性进行研究。

近年来，研究者针对不同的功能扩展，对隐藏策略、计算外包、属性撤销和叛逆者跟踪等进行了大量的研究。目前，最新的多机构CP-ABE方案在功能上各有侧重点。比如，2015年，Rouselakis等人引入了支持大属性域的多机构ABE方案，这意味着任何字符串都可以作为一个新的属性添加到***中。此外，属性的数量不再与***公共参数相关。2017年，张凯等人利用独立的云服务器私钥和用户私钥解决了密钥托管问题。但其方案中都没有同时包含数据的隐私保护和密钥的可验证性。而在云环境中，数据的安全和隐私问题对于数据拥有者来说至关重要，解密时密钥的可验证性可以确保用户能够正确地解密密文。对于云环境的数据访问控制应用，隐私保护和可验证性是一个急需解决的问题。

发明内容

本发明的目的在于针对上述现有方案的不足，基于素数阶群和大属性域，提出一种功能性更全面的适用于云存储的细粒度访问控制方法，解决云存储中数据的细粒度访问控制问题。

本发明是一种适用于云存储的多功能细粒度访问控制方法，其特征在于，包括有如下步骤：

(1)***初始化：首先云存储***进行初始化操作，初始化操作包括全局初始化和属性机构初始化；在全局初始化中，首先根据安全参数λ，选择一个可高效计算的双线性映射e：G×G→G_T，一个对称密码算法SE＝(SE.Enc,SE.Dec,l_SE)，五个抗碰撞的哈希函数，其中，G和G_T是乘法循环群，SE.Enc是加密算法，SE.Dec是解密算法，l_SE代表密钥长度，最后公开全局参数GP＝<λ,e,G,G_T,p,g,U,{U_i},H,F,h,H₁,H₂,SE>；在属性机构初始化中，每个属性机构在乘法循环群

中随机选择随机数α_i,β_i,y_i，并设置自己的私钥为SK_i＝<α_i,β_i,y_i>，根据私钥计算自己的公钥为

其中，g是乘法循环群G的生成元；

(2)密钥生成：用户GID在乘法循环群

中随机选取一个整数x_GID，并根据该随机数设置用户自己的公钥UPK_GID；对用户属性集合S中的每个属性j，如果j被属性机构i管理，则该属性机构在群

中选取一个私钥随机数t_j，并根据该随机数计算和用户GID相对应的云服务器私钥CSK_GID,S；属性机构i将数组<GID,CSK_GID,S>加入到密钥列表KT中并计算用户的私钥组件

然后通过一个安全通道将

发送给用户GID；用户GID在收到

后，设置自己的私钥为USK_GID；

(3)数据加密：数据加密阶段分为离线数据加密和在线数据加密阶段，数据在加密时首先在本地进行离线加密，然后进行在线加密并将最终密文上传至云服务器；

(3a)离线加密阶段：在此阶段中，***对数据拥有者的数据进行本地加密，对任意一个属性j∈[1,U],其中，U表示属性空间，数据拥有者根据在群

中选取的密文随机数λ'_j,r_j,w'_j，输出中间密文IC；

(3b)在线加密阶段：在此阶段中，对D中的每一个属性j，数据拥有者使用H₁(σ_j)将j替换，其中，H₁是抗碰撞的哈希函数，σ_j是与属性j相关的计算因子；使用替换后的属性生成访问策略(A,ρ)，其中，A是一个l×n的矩阵，ρ是一个从矩阵A的行到D的一一映射；最后，数据拥有者计算最终的密文CT并将其上传至云服务器；

(4)解密：解密分为云服务器解密和用户解密阶段，若用户的属性满足数据拥有者制定的访问结构时，则用户可以访问该数据；当用户需要访问数据时，需要先从云服务器下载数据并对其解密，解密时首先进行云服务器解密阶段，再进行用户解密阶段；

(4a)云服务器解密阶段：在此阶段中，当用户向云服务器请求解密密文CT时，对每个属性j，用户首先用H₁(σ_j)替换自己的每个属性j；若H₁(σ_j)满足访问结构(A,ρ),则云服务器向用户返回部分解密密文CT_GID；若H₁(σ_j)不满足访问结构(A,ρ),则云服务器向用户返回不满足符号⊥；

(4b)用户解密阶段：当用户得到部分解密密文CT_GID后，用户会对密文的有效性进行验证，若有效，则继续对其进行解密得到最终的明文M；若无效，则用户将会丢弃该部分解密密文；

(5)用户撤销：若要撤销用户GID，则云服务器从密钥列表KT中找到相应的条目并删除。

本发明针对现有研究的不足，提出了可以实现对数据的隐私保护并在用户解密时加入了密钥的可验证性的带有多个特性的多机构CP-ABE方案，详细构造了离线/在线加密机制，大大降低了用户的计算开销；为保护用户的隐私，加入了属性隐藏的性质，保护了用户的访问策略。

与现有技术相比，本发明具有以下优点：

1)隐私保护

在线加密过程中，数据拥有者使用H₁(σ_j)替换了属性域D中的所有属性。对每一个属性j，只有拥有相应密钥

的那个用户GID_i才能恢复出密文。即只有GID_i才能使用替换后的属性满足数据拥有者制定的访问策略。数据拥有者存储在云服务器上的密文中的访问策略并不能给云服务器提供任何有关用户属性的有效信息，因此可以实现对用户属性的隐私保护。

2)无密钥托管问题

属性机构在为用户GID生成对应的云服务器私钥时，使用了用户自己的公钥UPK作为生成参数。因此，无论是属性机构还是云服务器都只能部分解密密文，而只有用户使用自己的私钥才能恢复出相应的明文。如果属性机构和云服务器试图对部分密文进行解密，将面临解离散对数问题。

3)可验证性

本发明使用访问控制策略加密了一个随机密钥R，而真实的消息M使用对称密码算法SE和对称密钥K_SE进行隐藏。在H₁和H₂抗碰撞的条件下，对验证密钥VK_M的验证确保了随机密钥R的正确性，也就是确保了云服务器部分解密密文的正确性。

4)离线/在线加密机制

为解决加密效率问题，本发明将加密过程分为离线加密阶段和在线加密阶段。数据在本地先进行离线加密，再进行在线加密，这样可以大大降低用户端的加密负担，节省了用户加密的计算开销。

5)多功能性

本发明基于素数阶群，无中央授权机构，具有大属性域、属性撤销、无密钥托管问题、离线/在线加密机制、策略隐藏、可验证性等特性，较已有的几种方案功能性更加全面，具有较好的扩展性。

附图说明

图1是本发明中总的实现流程图；

图2是本发明中密钥生成的子流程图；

图3是本发明中离线加密阶段的子流程图；

图4是本发明中在线加密阶段的子流程图；

图5是本发明中云服务器解密阶段的子流程图；

图6是本发明中用户解密阶段的子流程图。

具体实施方式

下面结合附图和实施例对本发明详细说明。

实施例1

近年来，云存储技术由于其便利性和低成本性广泛应用于商业、教育、医疗等领域，随着云存储技术的深入应用，数据的访问控制在云环境中变得越来越重要，基于密文的属性加密技术非常适用于数据的访问控制。自从Bethencourt等人在2007年提出了第一个CP-ABE方案后，根据不同的功能扩展，CP-ABE方案在隐藏访问结构、计算外包、可搜索加密、属性撤销、叛徒追踪、多属性机构等方面涌现出大量研究，但目前最新的多机构CP-ABE方案在功能上各有侧重点，在隐私保护和可验证性方案。基于此，本发明提出一种功能较全面的适用于云存储的多功能细粒度访问控制方法。

参照图1，包括有如下步骤：

(1)***初始化：首先云存储***进行初始化操作，初始化操作包括全局初始化和属性机构初始化；在全局初始化中，首先根据安全参数λ，选择一个可高效计算的双线性映射e：G×G→G_T，一个对称密码算法SE＝(SE.Enc,SE.Dec,l_SE)，五个抗碰撞的哈希函数，其中，G和G_T是乘法循环群，SE.Enc是加密算法，SE.Dec是解密算法，l_SE代表密钥长度，最后公开全局参数GP＝<λ,e,G,G_T,p,g,U,{U_i},H,F,h,H₁,H₂,SE>；在属性机构初始化中，每个属性机构在乘法循环群

中随机选择随机数α_i,β_i,y_i，并设置自己的私钥为SK_i＝<α_i,β_i,y_i>，根据私钥计算自己的公钥为

其中，g是乘法循环群G的生成元。具体初始化过程如下：

(1a)全局初始化

GlobalSetup(λ)→GP：根据安全参数λ，选择一个可高效计算的双线性映射e：G×G→G_T，其中，G和G_T的阶均为大素数p，g是G的生成元；选一个对称密码算法SE＝(SE.Enc,SE.Dec,l_SE)，其中，SE.Enc是加密算法，SE.Dec是解密算法，l_SE代表密钥长度。选择5个抗碰撞的哈希函数：

F:U→G，

公开全局参数GP＝<λ,e,G,G_T,p,g,U,{U_i},H,F,h,H₁,H₂,SE>；

(1b)属性机构初始化

AuthoritySetup(GP,i)→<PK_i,SK_i>：每个属性机构i∈[1,n]随机选择作为自己的私钥，并依据私钥计算公钥，得到公私钥对为SK_i＝<α_i,β_i,y_i>，

(2)密钥生成：该阶段生成用户的公钥UPK_GID，云服务器私钥CSK_GID,S，用户私钥USK_GID；具体过程如下：

KeyGen(GP,GID,{SK_i},S)→<UPK_GID,CSK_GID,S,USK_GID>：用户GID在乘法循环群

中随机选取一个随机数x_GID，并根据该随机数设置用户GID自己的公钥为

其中，g是群G的生成元，H是从乘法循环群

映射到群G的哈希函数；对属性集合S中的每个属性j，如果j被属性机构i管理，则该属性机构随机选取一个随机数

计算和用户GID相对应的云服务器私钥为

其中，

是云服务器的私钥组件；属性机构i将数组<GID,CSK_GID,S>加入到密钥列表KT中并计算用户的私钥组件

然后通过一个安全通道将

发送给用户GID；用户GID在收到

后，设置自己的私钥为

(3)数据加密：数据加密阶段分为离线数据加密和在线数据加密阶段，数据在加密时首先在本地进行离线加密，然后进行在线加密并将最终密文上传至云服务器；

(3a)离线加密阶段

Offine.Enc(GP)→IC：对任意一个属性j∈[1,U],其中，U表示属性空间，数据拥有者根据在群

中选取的密文随机数λ'_j,r_j,w'_j，预计算中间密文组件

输出中间密文IC＝{λ'_j,w'_j,C_1,j,C_2,j,C_3,j,C_4,j}_j∈[1,U]。

(3b)在线加密阶段

在此阶段中，对D中的每一个属性j，数据拥有者使用H₁(σ_j)将j替换，其中，H₁是抗碰撞的哈希函数，σ_j是与属性j相关的计算因子；使用替换后的属性生成访问策略(A,ρ)，其中，A是一个l×n的矩阵，ρ是一个从矩阵A的行到D的一一映射；最后，数据拥有者计算最终的密文CT并将其上传至云服务器；具体过程如下：

Online.Enc(GP,PK_i,M,IC,A)→CT：假设数据拥有者用于制定访问策略的属性域为D，则数据拥有者随机选取整数

对每一个j∈D，计算

并用H₁(σ_j)替换所有属性j∈D，其中，这里δ(j)表示管理属性j的机构；数据拥有者使用替换后的属性生成访问策略(A,ρ)，这里A是一个l×n的矩阵，ρ是一个从矩阵A的行到D的一一映射。然后，数据拥有者随机选取

组建向量

并计算

这里

表示属性j所对应的矩阵A中的行向量；数据拥有者随机选取M,R∈G_T，计算h＝g^a，C₀＝Re(g,g)^s,C_5,j＝λ_j-λ'_j，C_6,j＝w_j-w'_j，K_SE＝h(R),C_SE＝SE.Enc(K_SE,M),Tag＝H₁(R)，VK_M＝H₂(Tag||C_SE)；最后，设置最终密文CT＝<(A,ρ),C₀,h,C_SE,VK_M,{C_1,j,C_2,j,C_3,j,C_4,j,C_5,j,C_6,j}_j∈D>，并上传至云服务器。

(4)解密：解密分为云服务器解密和用户解密阶段，若用户的属性满足数据拥有者制定的访问结构时，则用户可以访问该数据；当用户需要访问数据时，需要先从云服务器下载数据并对其解密，解密时首先进行云服务器解密阶段，再进行用户解密阶段；

(4a)云服务器解密阶段：在此阶段中，当用户向云服务器请求解密密文CT时，对每个属性j，用户首先用H₁(σ_j)替换自己的每个属性j；若H₁(σ_j)满足访问结构(A,ρ),则云服务器向用户返回部分解密密文CT_GID；若H₁(σ_j)不满足访问结构(A,ρ),则云服务器向用户返回不满足符号⊥；具体过程如下：

CSDec(GP,CSK_GID,S,UPK_GID,CT)→CT_GID或⊥：当用户向云服务器请求解密密文CT时，用户从CT中安全下载h′，并对自己的每个属性j，计算

用H₁(σ_j)替换自己的每个属性j；若H₁(σ_j)满足访问结构(A,ρ)，则云服务器一定能找到一组常量{c_j∈Z_p}，使其满足

然后，云服务器对相关密文进行以下计算：

并向用户返回部分解密密文CT_GID＝<C₀,C_1,GID,C_2,GID,VK_M,C_SE>。若H₁(σ_j)不满足访问结构(A,ρ)，云服务器向用户返回不满足符号⊥。

(4b)用户解密阶段：当用户得到部分解密密文CT_GID后，用户会对密文的有效性进行验证，若有效，则继续对其进行解密得到最终的明文M；若无效，则用户将会丢弃该部分解密密文；具体过程如下：

UserDec(USK_GID,CT_GID)→M或⊥：当用户取得云服务器解密后的部分解密密文CT_GID后，计算

Tag＝H₁(R)；验证等式H₂(Tag||C_SE)＝VK_M是否成立，如果成立，则计算M＝SE.Dec(K_SE,C_SE)以解密恢复出明文M；如果不成立，说明部分解密密文CT_GID无效，返回无效符号⊥。

(5)用户撤销：若要撤销用户GID，则云服务器从密钥列表KT中找到相应的条目并删除。

本发明提出了一个带有多个特性的多机构CP-ABE方案，利用CP-ABE方案实现了对数据的访问控制。本发明详细构造了离线/在线加密机制，大大降低了用户的计算开销。为保护用户的隐私，在数据加密之前加入了属性隐藏的性质，保护了用户的访问策略。用户还可以对云服务器的部分解密密文进行验证，以确保云服务器正确执行了解密算法。通过与其他已有的方案在方案特性、计算开销和存储开销上的综合比较分析，表明本发明所提出的方案具有更全面的优势。

实施例2

适用于云存储的多功能细粒度访问控制方法同实施例1，参照图2，在步骤(2)所述的密钥生成中，生成了用户的公私钥以及云服务器的私钥，包括有以下步骤：

(2a)用户GID在乘法循环群

中随机选取一个整数x_GID，并根据该整数设置用户GID的公钥为

其中，g是群G的生成元，

是从乘法循环群

映射到群G的哈希函数，完成对用户公钥的设置。

(2b)对用户属性集合S中的每个属性j，如果j被属性机构i管理，则该属性机构在乘法循环群

中选取一个私钥随机数t_j，利用该随机数计算并得到云服务器的私钥组件。云服务器的私钥组件

并设置和用户GID相对应的云服务器私钥为

其中，F:U→G是一个抗碰撞的哈希函数，F(j)表示把属性空间U里的属性j映射为群G上的一个元素，β_i表示属性机构i的私钥，完成云服务器私钥的设置。

(2c)属性机构i将数组<GID,CSK_GID,S>加入密钥列表KT中并将

通过一个安全通道发送给用户GID。

(2d)用户GID在收到

后，设置自己的私钥为

完成对用户私钥的设置。

在密钥生成阶段，属性机构在为用户GID生成对应的云服务器私钥时，使用了用户自己的公钥UPK作为生成参数，从而解决密钥托管问题。因此，无论是属性机构还是云服务器都只能部分解密密文，而只有用户使用自己的私钥才能恢复出相应的明文。如果属性机构和云服务器试图对部分密文进行解密，将面临解离散对数问题。

实施例3

适用于云存储的多功能细粒度访问控制方法同实施例1-2，参照图3，步骤(3a)所述的离线加密阶段将数据拥有者的数据在本地进行加密，降低了用户端的计算开销，包括有以下步骤：

(3a1)对任意属性j∈[1,U],U表示属性空间，数据拥有者选取密文随机数

预计算中间密文组件

其中，α_δ(j)、y_δ(j)表示管理属性j的属性机构私钥。

(3a2)输出中间密文IC＝{λ'_j,w'_j,C_1,j,C_2,j,C_3,j,C_4,j}_j∈[1,U]，完成数据离线加密。

本发明使用的离线加密机制解决了加密效率问题，将加密过程分为离线加密阶段和在线加密阶段。数据在本地先进行离线加密，再进行在线加密，这样可以大大降低用户端的加密负担，节省了用户加密的计算开销。

实施例4

适用于云存储的多功能细粒度访问控制方法同实施例1-3，参照图4，在步骤(3b)所述的在线加密阶段中，首先将用户的属性进行隐藏后再进行加密，包括有以下步骤：

(3b1)假设数据拥有者用于制定访问策略的属性域为D，则数据拥有者在群

中选取一个随机整数a，对属性域D中的每一个属性j，利用整数a计算

并用H₁(σ_j)替换所有属性j∈D，这里δ(j)表示管理属性j的机构，完成对用户属性的隐藏。

(3b2)数据拥有者使用替换后的属性生成访问策略(A,ρ)，这里A是一个l×n的矩阵，ρ是一个从矩阵A的行到D的一一映射，完成用户访问策略的制定。

(3b3)数据拥有者在群

中随机选取一系列与计算向量相关的随机数s,y₂,…,y_n,z₂,…,z_n，组建向量

并计算相关因子

这里

表示属性j所对应的矩阵A中的行向量。

(3b4)数据拥有者在群G_T中选取两个随机数M,R，将M作为明文，计算以下密文组件：h′＝g^a，C₀＝R·e(g,g)^s，C_5,j＝λ_j-λ'_j，C_6,j＝w_j-w'_j，K_SE＝h(R),C_SE＝SE.Enc(K_SE,M),Tag＝H₁(R)，VK_M＝H₂(Tag||C_SE)，其中，

均为抗碰撞的哈希函数。最后，得到最终密文CT，CT＝<(A,ρ),C₀,h′,C_SE,VK_M,{C_1,j,C_2,j,C_3,j,C_4,j,C_5,j,C_6,j}_j∈D>，并将其上传至云服务器，完成数据在线加密。

在本发明的在线加密阶段中，具有策略隐藏特性，数据拥有者使用H₁(σ_j)替换了属性域D中的所有属性。对每一个属性j，只有拥有相应密钥

的那个用户GID_i才能恢复出密文。即只有GID_i才能使用替换后的属性满足数据拥有者制定的访问策略。数据拥有者存储在云服务器上的密文中的访问策略并不能给云服务器提供任何有关用户属性的有效信息，实现对用户属性的隐私保护。

实施例5

适用于云存储的多功能细粒度访问控制方法同实施例1-4，参照图5，在步骤(4a)所述的云服务器解密阶段中，用户首先用H₁(σ_j)替换自己的每个属性j，若H₁(σ_j)满足访问结构(A,ρ),则云服务器向用户返回部分解密密文CT_GID；若H₁(σ_j)不满足访问结构(A,ρ),则云服务器向用户返回不满足符号⊥。包括有以下步骤：

(4a1)当用户向云服务器请求解密密文CT时，用户从密文组件CT中安全下载密文组件h′，并对自己的每个属性j，计算

并用H₁(σ_j)替换自己的每个属性j。

(4a2)若H₁(σ_j)满足访问结构(A,ρ)，则云服务器一定能在群Z_p里找到一组常量c_j，使其满足

然后对相关密文进行以下计算：

最后云服务器向用户返回部分解密密文CT_GID＝<C₀,C_1,GID,C_2,GID,VK_M,C_SE>，完成云服务器端数据解密。

(4a3)若H₁(σ_j)不满足访问结构(A,ρ),则云服务器向用户返回不满足符号⊥。

本发明在解密时，设计了两个解密阶段：云服务器端解密和用户端解密。密文首先在云服务器端解密成部分解密密文，然后在用户端解密，可以减少用户端的计算开销，大大降低用户的解密负担。

实施例6

适用于云存储的多功能细粒度访问控制方法同实施例1-5，参照图6，在步骤(4b)所述的用户解密阶段中，当用户得到部分解密密文CT_GID后，用户会对密文的有效性进行验证，若有效，则继续对其进行解密得到最终的明文M；若无效，则用户将会丢弃该部分解密密文。包括有以下步骤：

(4b1)当用户取得云服务器解密后的部分解密密文CT_GID后，计算

Tag＝H₁(R)。

(4b2)用户验证等式H₂(Tag||C_SE)＝VK_M是否成立，如果成立，则计算M＝SE.Dec(K_SE,C_SE)解密恢复出明文M，完成用户端数据解密；如果不成立，说明部分解密密文CT_GID无效，返回无效符号⊥。

本发明使用访问控制策略加密了一个随机密钥R，而真实的消息M使用对称密码算法SE和对称密钥K_SE进行隐藏。在H₁和H₂抗碰撞的条件下，用户解密阶段中用户对验证密钥VK_M的验证确保了随机密钥R的正确性，也就是确保了云服务器部分解密密文的正确性，使本发明具有可验证性。

下面通过功能特性、计算开销和存储开销的对比分析对本发明的技术效果再作说明。

实施例7

适用于云存储的多功能细粒度访问控制方法同实施例1-6，记Rouselakis等人提出的支持大属性域的多机构ABE方法为RW；张凯等人利用独立的云服务器私钥和用户私钥解决密钥托管问题的方法为MZL；Yu等人提出的加入了用户的可追责性机制的多机构ABE方法为YMCZZ；Nomura等人提出的可支持属性撤销的多机构ABE方法为NMSM。以下给出近几年最新的几种多机构属性加密方案在功能特性、计算开销、存储开销上与本发明的对比分析。表1为各方法与本发明的特性对比；表2为各方法与本发明的计算开销对比；表3为各发明与本发明的存储开销对比。

(1)特性分析

在表1中，将本发明与几种多机构属性加密方法做了特性对比。方法YMCZZ尽管具有可追责性，但其采用属性机构集合的办法来解决密钥托管问题，这会导致属性机构过多，在实际情况下难以实现；方法YMCZZ、NMSM没有大属性域的性质，当属性加入过多时，会导致***重建问题。从比较中可以看出，本发明可以满足属性撤销、无密钥托管问题、离线/在线加密机制、策略隐藏、可验证性等特性，较已有的几种方案功能性更加全面，具有较好的扩展性。

表1各方法与本发明的特性对比

(2)计算开销分析

l表示访问矩阵的行数，|I|(|I|≤l)表示访问矩阵中用于解密的行数，P代表双线性对运算，E代表指数运算，其他对计算性能影响较小的运算忽略不计。表2为各方法计算开销对比结果。

表2各方法与本发明的计算开销对比

由表2可以看出，方法RW、MZL、YMCZZ、NMSM都没有离线机制，加密次数和l线性相关,因此用户加密阶段会重复计算过多的指数运算。方法RW、YMCZZ、NMSM的用户都是直接对云服务器上的原始密文解密的，所以解密过程中需要的指数运算和双线性对个数都是和|I|线性相关的，因此整体计算量过大。

在本发明中，解密过程是先由云服务器将原始密文转化为一个易于解密的简单密文，用户只需对简单密文进行解密即可，本发明方法中仅需一个指数运算，降低了用户端的计算开销，也减少了方案的计算复杂度。因此本发明在计算上具有高效性。

(3)存储开销分析

|Z_p|表示群Z_p中元素的长度，|G|表示群G中元素的长度，|U|表示属性机构管理的属性个数，|S|表示用户属性个数，|c|表示对称加密后的密文长度，|VK|表示验证密钥的长度，|D|表示中央机构的个数。表3为各方法存储开销的对比结果。

表3各方法与本发明的存储开销对比

由于密文是和访问策略相对应的，所以，密文长度都和访问矩阵的行数l线性相关。现实中，云服务器的存储能力远远大于用户，因此在云服务器上的密文存储开销不是考虑的重点，重点关注的是用户的各项开销。方法NMSM中，每个属性机构的公私钥长度与其所管理的属性个数线性相关，所以，机构公私钥长度都和|U|线性相关。方法RW、YMCZZ、NMSM中用户密钥是属性机构根据用户属性直接生成的，用户密钥长度和|S|线性相关，当属性个数很多时，用户的存储开销也会增大。本发明中属性机构的公私钥长度与其管理的属性个数无关，因此是一个固定的值。本发明的存储开销仅仅高于方法MZL，这是由于本发明增加了隐私保护和可验证性，由此增加的存储开销也是在合理范围之内。

通过功能特性、计算开销、存储开销的对比分析，表明本发明具有大属域性、属性撤销、无密钥托管问题、离线/在线加密机制、策略隐藏、可验证性，且计算开销和存储开销相对较低。因此特别适用于云环境下对数据的细粒度访问控制。

简而言之，本发明公开的一种适用于云存储的多功能细粒度访问控制方法，解决了云存储中数据的细粒度访问控制问题。其实现步骤是：1)全局初始化和属性机构初始化；2)生成用户的公私钥以及云服务器私钥；3)***进行离线/在线加密，设有策略隐藏机制，将最终密文上传至云服务器；4)云服务器端和用户端进行解密并验证密钥的正确性；5)云服务器从密钥列表中删除相应条目进行用户撤销。本发明提出了一个带有多个特性的多机构CP-ABE方案，详细构造了离线/在线加密机制，大大降低了用户的计算开销。本发明具有大属域性、属性撤销、无密钥托管问题、离线/在线加密机制、策略隐藏、可验证性，可适用于教育、商业、医疗等云环境中对数据的细粒度访问控制。

Claims (1)

1.一种适用于云存储的多功能细粒度访问控制方法，其特征在于，包括有如下步骤：

(1)***初始化：首先云存储***进行初始化操作，初始化操作包括全局初始化和属性机构初始化；在全局初始化中，首先根据安全参数λ，选择一个可高效计算的双线性映射e：G×G→G_T，一个对称密码算法SE＝(SE.Enc,SE.Dec,l_SE)，五个抗碰撞的哈希函数，其中，G和G_T是乘法循环群，参数p是G和G_T的大素数阶，SE.Enc是加密算法，SE.Dec是解密算法，l_SE代表密钥长度，最后公开全局参数GP＝<λ,e,G,G_T,p,g,U,{U_i},H,F,h,H₁,H₂,SE>；在属性机构初始化中，每个属性机构在乘法循环群

中随机选择随机数α_i,β_i,y_i，并设置自己的私钥为SK_i＝<α_i,β_i,y_i>，根据私钥计算自己的公钥为

其中，g是乘法循环群G的生成元；

(2)密钥生成：用户GID在乘法循环群

中随机选取一个整数x_GID，并根据该随机数设置用户自己的公钥UPK_GID；对用户属性集合S中的每个属性j，如果j被属性机构i管理，则该属性机构在群

中选取一个私钥随机数t_j，并根据该随机数计算和用户GID相对应的云服务器私钥CSK_GID,S；属性机构i将数组<GID,CSK_GID,S>加入到密钥列表KT中并计算用户的私钥组件

然后通过一个安全通道将

发送给用户GID；用户GID在收到

后，设置自己的私钥为USK_GID；密钥生成，包括有以下步骤：

(2a)用户GID在乘法循环群

中随机选取一个整数x_GID，并根据该整数设置用户GID的公钥为

其中，g是群G的生成元，H:

是从乘法循环群

映射到群G的哈希函数，完成对用户公钥的设置；

(2b)对用户属性集合S中的每个属性j，如果j被属性机构i管理，则该属性机构在乘法循环群

中选取一个私钥随机数t_j，计算云服务器的私钥组件

并设置和用户GID相对应的云服务器私钥为

其中，F:U→G是一个抗碰撞的哈希函数，F(j)表示把属性空间U里的属性j映射为群G上的一个元素，β_i表示属性机构i的私钥，完成云服务器私钥的设置；

(2c)属性机构i将数组<GID,CSK_GID,S>加入密钥列表KT中并将

通过一个安全通道发送给用户GID；

(2d)用户GID在收到

后，设置自己的私钥为

完成对用户私钥的设置；

(3)数据加密：数据加密阶段分为离线数据加密和在线数据加密阶段，数据在加密时首先在本地进行离线加密，然后进行在线加密并将最终密文上传至云服务器；

(3a)离线加密阶段：在此阶段中，***对数据拥有者的数据进行本地加密，对任意一个属性j∈[1,U],其中，U表示属性空间，数据拥有者根据在群

中选取的密文随机数λ′_j,r_j,w′_j，输出中间密文IC；离线加密阶段，包括有以下步骤：

(3a1)对任意属性j∈[1,U],U表示属性空间，数据拥有者选取密文随机数λ′_j,r_j,

预计算中间密文组件

其中，α_δ(j)、y_δ(j)表示管理属性j的属性机构私钥；

(3a2)输出中间密文IC＝{λ′_j,w′_j,C_1,j,C_2,j,C_3,j,C_4,j}_j∈[1,U]，完成数据离线加密；

(3b)在线加密阶段：在此阶段中，对D中的每一个属性j，数据拥有者使用H₁(σ_j)将j替换，其中，H₁是抗碰撞的哈希函数，σ_j是与属性j相关的计算因子；使用替换后的属性生成访问策略(A,ρ)，其中，A是一个l×n的矩阵，ρ是一个从矩阵A的行到D的一一映射；最后，数据拥有者计算最终的密文CT并将其上传至云服务器；在线加密阶段，包括有以下步骤：

(3b1)假设数据拥有者用于制定访问策略的属性域为D，则数据拥有者在群

中选取一个随机数a，对属性域D中的每一个属性j，计算

并用H₁(σ_j)替换所有属性j∈D，这里δ(j)表示管理属性j的机构，完成对用户属性的隐藏；

(3b2)数据拥有者使用替换后的属性生成访问策略(A,ρ)，这里A是一个l×n的矩阵，ρ是一个从矩阵A的行到D的一一映射，完成用户访问策略的制定；

(3b3)数据拥有者在群

中随机选取一系列随机数s,y₂,…,y_n,z₂,…,z_n，组建向量

并计算相关因子

这里

表示属性j所对应的矩阵A中的行向量；

(3b4)数据拥有者在群G_T中选取两个随机数M,R，将M作为明文，计算以下密文组件h′＝g^a，C₀＝R·e(g,g)^s，C_5,j＝λ_j-λ′_j，C_6,j＝w_j-w′_j，K_SE＝h(R),C_SE＝SE.Enc(K_SE,M),Tag＝H₁(R)，VK_M＝H₂(Tag||C_SE)，其中，h:

H₁:

H₂:

均为抗碰撞的哈希函数；最后得到最终密文为CT＝<(A,ρ),C₀,h′,C_SE,VK_M,{C_1,j,C_2,j,C_3,j,C_4,j,C_5,j,C_6,j}_j∈D>，并将其上传至云服务器，完成数据在线加密；

(4)解密：解密分为云服务器解密和用户解密阶段，若用户的属性满足数据拥有者制定的访问结构时，则用户可以访问该数据；当用户需要访问数据时，需要先从云服务器下载数据并对其解密，解密时首先进行云服务器解密阶段，再进行用户解密阶段；

(4a)云服务器解密阶段：在此阶段中，当用户向云服务器请求解密密文CT时，对每个属性j，用户首先用H₁(σ_j)替换自己的每个属性j；若H₁(σ_j)满足访问结构(A,ρ),则云服务器向用户返回部分解密密文CT_GID；若H₁(σ_j)不满足访问结构(A,ρ),则云服务器向用户返回不满足符号⊥；云服务器解密阶段，包括有以下步骤：

(4a1)当用户向云服务器请求解密密文CT时，用户从密文组件CT中安全下载密文组件h′，并对自己的每个属性j，计算

并用H₁(σ_j)替换自己的每个属性j；

(4a2)若H₁(σ_j)满足访问结构(A,ρ)，则云服务器一定能在群Z_p里找到一组常量c_j，使其满足

然后对相关密文进行以下计算：

最后云服务器向用户返回部分解密密文CT_GID＝<C₀,C_1,GID,C_2,GID,VK_M,C_SE>，完成云服务器端数据解密；

(4a3)若H₁(σ_j)不满足访问结构(A,ρ),则云服务器向用户返回不满足符号⊥；

(4b)用户解密阶段：当用户得到部分解密密文CT_GID后，用户会对密文的有效性进行验证，若有效，则继续对其进行解密得到最终的明文M；若无效，则用户将会丢弃该部分解密密文；用户解密阶段，包括有以下步骤：

(4b1)当用户取得云服务器解密后的部分解密密文CT_GID后，计算

Tag＝H₁(R)；

(4b2)用户验证等式H₂(Tag||C_SE)＝VK_M是否成立，如果成立，则计算M＝SE.Dec(K_SE,C_SE)以解密恢复出明文M，完成用户端数据解密；如果不成立，说明部分解密密文CT_GID无效，返回无效符号⊥；

(5)用户撤销：若要撤销用户GID，则云服务器从密钥列表KT中找到相应的条目并删除。

Images