CN109831430B

CN109831430B - 一种云计算环境下的安全可控高效的数据共享方法及***

Info

Publication number: CN109831430B
Application number: CN201910091338.5A
Authority: CN
Inventors: 周永彬; 王提; 马晖; 张锐
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2019-01-30
Filing date: 2019-01-30
Publication date: 2020-05-22
Anticipated expiration: 2039-01-30
Also published as: CN109831430A

Abstract

本发明公开了一种云计算环境下的安全可控高效的数据共享方法及***。本方法为：设定***公共参数PP和***主密钥MSK；根据参数PP，生成数据拥有者的公钥PK和私钥SK；根据参数PP、主密钥MSK和属性集合

生成该数据消费者的转换密钥TK和恢复密钥RK；根据参数PP、私钥SK和访问控制结构

对明文消息m进行加密，生成文件原始密文CT；根据参数PP、转换密钥TK，将CT进行外包解密，生成文件中间密文TCT；根据参数PP、公钥PK和恢复密钥RK，对文件中间密文TCT进行解密操作，并验证是否是数据拥有者所加密的明文消息m。用户通过本发明可以高效地对外包计算的正确性进行验证，对数据的来源进行认证。

Description

一种云计算环境下的安全可控高效的数据共享方法及***

技术领域

本发明涉及云计算环境下的外包服务领域及网络安全的数据加密和数据认证领域，特别是，在云计算环境下实现了一种安全可控高效的数据共享***及方法，该方法利用云服务器外包计算能力，在保证数据机密性的前提下，有效减少用户的通信和计算开销，并实现外包计算的可验证性和数据来源的可认证性，检测云服务器是否计算错误或伪造数据。

背景技术

随着云计算技术的快速发展，数据共享成为当前的研究和应用热点之一。属性加密(ABE)作为一种具有一对多加密特性的公钥加密方案，是实现云计算环境下安全的数据共享的重要技术工具。

属性加密方案可以同时提供数据机密性和细粒度的访问控制。根据访问控制策略的关联性，具体方案可以分为密钥策略的属性加密(KP-ABE)，以及密文策略的属性加密(CP-ABE)。在CP-ABE方案中，密文与访问控制策略相关联，用户的私钥与一组属性集合相关联。当且仅当用户的私钥属性集合满足密文的访问控制策略时，该用户才可以正确解密密文，KP-ABE方案与之相反。因此，CP-ABE方案更为适合在云计算场景中实现数据分享，数据拥有者在向云服务器上传数据之前，使用所需的访问控制策略进行加密，只有具有属性满足该策略的数据消费者才能解密该密文。

尽管ABE方案可以作为在云计算场景中实现安全、灵活的数据共享的强大工具，但是其在实际应用中有一个主要缺点：解密计算的代价随着访问控制结构的复杂性线性增长，这对于计算资源受限设备的用户是严重的使用瓶颈。为了解决这一问题，Green等人提出了外包解密的技术，利用云服务器对原始密文外包解密，使之转换成为更为简单的密文形式，用户能够以非常少的计算开销来解密转换后的密文。随后，为了无法判断云服务器外包解密操作的正确性，Lai等人提出了可验证外包解密方案，Qin等人，Lin等人，Mao等人，Ma等人提出了一系列的改进工作，对可验证外包解密方案的效率进行了优化。

可验证外包解密方案在半诚实云服务器模型下是有效的，该类服务器会如实执行协议规定的解密操作，在出现计算错误时将会被发现。然而，可验证外包解密方案并不能在恶意云服务器模型下适用，该类服务器可能不按照协议规定操作。由于ABE方案是公钥加密方案，恶意云服务器完全可以自行选择一组数据加密，随后执行外包解密操作，以响应用户的数据请求。在这种情况下，外包解密后的数据依然可以通过正确性验证，但用户得到的是虚假数据。可见，可验证外包解密方案不能提供数据认证功能，在实际应用中存在安全问题。

发明内容

为解决云计算环境下数据共享面临的外包计算验证性问题和数据来源认证性问题，本发明提供一种云计算环境下的安全可控高效的数据共享方法及***。本发明将外包解密技术和计算验证、数据认证技术相结合，具有如下技术特色：一，为外包数据提供机密性保护和细粒度的访问控制；二，将计算代价昂贵的解密操作外包给云服务器处理，有效减少用户的通信和计算开销，便于资源受限的设备使用；三，用户可以高效地对外包计算的正确性进行验证，同时对数据的来源进行认证，检测云服务器是否计算错误或伪造数据。

本发明为解决上述需求采取的技术方案：

根据本发明设计出一种云计算环境下的安全可控高效的数据共享方法，特征在于，通用构造包括如下步骤：

A、设定***公共参数PP和***主密钥MSK；

B、根据***公共参数PP，生成数据拥有者公钥PK和数据拥有者私钥SK；

C、根据***公共参数PP、***主密钥MSK和数据消费者的属性集合

生成该数据消费者的转换密钥TK和该数据消费者的恢复密钥RK；

D、根据***公共参数PP、数据拥有者私钥SK和访问控制结构

对明文消息m进行加密，生成文件原始密文CT；访问控制结构是一种数据拥有者对文件访问权限的描述，在加密明文消息时，该结构作为加密算法的输入参数使用。具体实现中，使用一个布尔表达式(并且、或者，允许使用括号表示优先级)描述访问控制结构，比如，设置[“数学系”并且“副教授”]的访问控制结构加密生成的密文，可以使用属性集合为{数学系，副教授}的转换密钥、恢复密钥正确解密，因为该属性集合满足该访问控制结构；而设置[“数学系”并且“教授”]的访问控制结构加密生成的密文，则不可以使用属性集合为{数学系，副教授}的转换密钥、恢复密钥解密，因为该属性集合不满足该访问控制结构。作为一种公钥加密算法，通用的属性加密方案的加密算法只需要公共参数、访问控制结构和明文消息；本发明为实现数据来源的认证性，需要在加密算法中使用加密者的私钥SK。

E、根据***公共参数PP和数据消费者转换密钥TK，将文件原始密文CT进行外包解密，生成文件中间密文TCT；

F、根据***公共参数PP、数据拥有者公钥PK和数据消费者恢复密钥RK，对文件中间密文TCT进行解密操作，并验证是否是数据拥有者所加密的明文消息m。

根据本发明设计出一种云计算环境下的安全可控高效的数据共享***，其涉及到的多个实体服务器，包括参数设置服务器、用户密钥生成服务器、加密服务器、解密服务器、云存储服务器、云计算服务器；其中，

参数设置服务器，用于生成***公共参数PP和***主密钥MSK，将***主密钥MSK发送给用户密钥生成服务器，将***公共参数PP发送给***中的所有参与的其他实体服务器；

用户密钥生成服务器，根据***公共参数PP，为数据拥有者生成公钥PK和私钥SK，将公钥PK发送给数据消费者，将公钥PK和私钥SK发送给数据拥有者；

用户密钥生成服务器，根据***公共参数PP、***主密钥MSK和属性集合

为数据消费者生成转换密钥TK和恢复密钥RK，将转换密钥TK和恢复密钥RK发送给数据消费者；

数据拥有者，将数据拥有者私钥SK、所需加密的明文消息m和所需设置的访问控制结构

发送给加密服务器，并将加密服务器生成的文件原始密文CT上传至云存储服务器；

加密服务器，根据***公共参数PP、数据拥有者私钥SK和访问控制结构

对明文消息m进行加密，生成文件原始密文CT，将文件原始密文CT发送给数据拥有者；

数据消费者向云存储***发起数据请求，将数据消费者转换密钥TK发送给云计算服务器，并下载云计算服务器生成的文件中间密文TCT，将数据拥有者公钥PK、数据消费者恢复密钥RK和文件中间密文TCT发送给解密服务器；

解密服务器，根据***公共参数PP、数据拥有者公钥PK和数据消费者恢复密钥PK，对文件中间密文TCT解密，并验证是否是数据拥有者所加密的明文消息m，将解密结果发送给数据消费者；

云存储服务器，存储数据拥有者上传的文件原始密文CT，根据数据消费者发起的数据请求，将文件原始密文CT发送给云计算服务器；

云计算服务器，根据***公共参数PP和数据消费者转换密钥TK，对文件原始密文CT进行外包解密，生成文件中间密文TCT，将文件中间密文TCT发送给数据消费者。

与现有技术相比，本发明的积极效果为：

本发明将外包解密技术和计算验证、数据认证技术相结合，在保证外包数据提供机密性的同时，有效减少用户的通信和计算开销，便于资源受限的设备使用；另一方面，用户可以高效地对外包计算的正确性进行验证，同时对数据的来源进行认证，检测云服务器是否计算错误或伪造数据。

附图说明

图1是本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的***模型图；

图2是本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的算法流程图。

具体实施方式

下面结合附图1和图2对本发明的技术方案做进一步的详细说明。

首先，我们介绍所述一种云计算环境下的安全可控高效的数据共享方法及***所需的密码模块。

1.属性加密算法ABE，包括五个子算法：

本方案将属性加密算法ABE作为密钥封装(KEM)使用，因此对子算法的描述与通用的属性加密算法不同。

初始化算法

输入安全参数λ和属性空间

输出***公共参数PP和***主密钥MSK；

密钥生成算法

输入***公共参数PP、***主密钥MSK和属性集合

输出转换密钥TK和恢复密钥RK；

加密算法

输入***公共参数PP和访问控制结构

输出封装密钥EK和封装密钥原始密文CT_KEM；

转换算法ABE.Trans(PP,TK,CT_KEM)→CT′_KEM或者⊥，输入***公共参数PP、转换密钥TK和封装密钥原始密文CT_KEM，输出封装密钥中间密文CT′_KEM或者转换失败符号⊥；

解密算法ABE.Dec(PP,RK,CT′_KEM)→EK，输入***公共参数PP、恢复密钥RK和封装密钥中间密文CT′_KEM，输出封装密钥EK。

2.对称加密算法SKE，包括两个子算法：

加密算法SKE.Enc(NK,m)→CT，输入会话密钥NK和明文消息m，输出密文CT；

解密算法SKE.Dec(NK,CT)→m，输入会话密钥NK和密文CT，输出明文消息m。

3.可验证随机函数VRF，包括四个子算法：

便于***中的用户共用***公共参数，本方案在VRF模块中添加了初始化算法VRF.Setup(1λ)→PP，输入安全参数λ，输出***公共参数PP；

密钥生成算法VRF.KeyGen(PP)→(PK,SK)，输入***公共参数PP，输出公钥PK和私钥SK；

证明算法

输入***公共参数PP、私钥SK和消息m，输出验证值

和证明值

验证算法

或者0，输入***公共参数PP、公钥PK、消息m、验证值

和证明值

输出1表示通过验证，0表示未通过验证。

4.密钥导出函数KDF：

输入封装密钥EK和长度

输出长度为

的会话密钥NK。

其次，我们给出一种云计算环境下的安全可控高效的数据共享***及方法的通用构造。

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的通用构造，其特征在于，所述步骤A包括：

A1.选择输出长度

的密钥导出函数KDF，其中NK为对称加密算法SKE的会话密钥；

A2.选择安全参数λ和属性空间

执行

生成***公共参数PP₁和***主密钥MSK，执行VRF.Setup(1^λ)生成***公共参数PP₂；

A3.得到***公共参数

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的通用构造，其特征在于，所述步骤B包括：

B1.执行VRF.KeyGen(PP₂)，生成数据拥有者公钥PK，以及数据拥有者私钥SK；

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的通用构造，其特征在于，所述步骤C包括：

C1.为拥有属性集合

的数据消费者执行

生成数据消费者转换密钥TK，以及数据消费者恢复密钥RK；

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的通用构造，其特征在于，所述步骤D包括：

D1.执行

即根据***公共参数PP中的PP₁和访问控制结构

生成加密封装密钥EK和封装密钥原始密文CT_KEM；

D2.执行VRF.Prove(PP₂,SK,m||EK)，生成验证值

和证明值

D3.执行

生成加密会话密钥NK；

D4.执行

生成数据密文CT_DEM；

D5.得到文件原始密文

本发明使用VRF对“外包解密”计算的正确性进行验证，同时对数据来源进行认证(即步骤D2)；相应地，使用SKE对

进行加密(即步骤D4)。

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的通用构造，其特征在于，所述步骤E包括：

E1.执行ABE.Trans(PP₁,TK,CT_KEM)，生成封装密钥中间密文CT′_KEM；否则输出转换失败符号⊥，算法结束；

E2.得到文件中间密文

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的通用构造，其特征在于，所述步骤F包括：

F1.执行ABE.Dec(PP₁,RK,CT′_KEM)，得到解密封装密钥EK′；

F2.执行

得到解密会话密钥NK′；

F3.执行SKE.Dec(NK′,CT_DEM)，生成

F4.执行

输出1表示通过验证或者0表示未通过验证；即使用VRF对“外包解密”计算的正确性进行验证，同时使用VRF对数据来源进行认证；

F5.得到消息m，或者输出错误信息。

最后，我们给出一种云计算环境下的安全可控高效的数据共享***及方法的实例化构造。

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的实例化构造，其特征在于，所述步骤A包括：

A1.选择输出长度

的密钥导出函数KDF，其中NK为对称加密算法AES的会话密钥，选择密码学安全的哈希函数

其中，

为有限域集合{0,1,…,p-1}。

A2.选取阶数为p的群

和

以及双线性映射

选择随机元素

以及随机元素

属性空间

A3.得到***公共参数

以及***主密钥MSK＝α；其中，对应于通用构造，PP₁包括

PP₂包括

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的实例化构造，其特征在于，所述步骤B包括：

B1.选择随机元素

B2.得到数据拥有者公钥PK＝y^β，以及数据拥有者私钥SK＝β；

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的实例化构造，其特征在于，所述步骤C包括：

C1.为拥有属性集合

的数据消费者生成转换密钥和恢复密钥，选择随机元素

C2.计算K₀＝g^α/γw^r/γ，K₁＝g^r/γ，以及对于j∈[k]，计算

C3.得到数据消费者转换密钥

以及数据消费者恢复密钥RK＝γ；

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的实例化构造，其特征在于，所述步骤D包括：

D1.将所需设置的访问控制结构

使用线性秘密分享结构表示为l行n列的矩阵

其中M_ij为矩阵M中第i行第j列的元素，以及映射

其中[l]为正整数集合{1,2,…,l}；根据所需设置的访问控制结构

确定对应l、n的值。选取随机秘密值s和n-1个随机值x_j，组成列向量

计算s的分享向量

其中

表示矩阵与列向量相乘，即每个分享值

x_j表示随机值。

D2.选择随机元素

计算C₀＝g^s，以及对于i∈[l]，计算

计算加密封装密钥EK＝e(g,g)^αs，对应的封装密钥原始密文为

D3.使用数据生成者私钥SK＝β，计算验证值

以及证明值

D4.计算加密会话密钥

使用AES对称加密算法加密明文消息m和证明值

生成数据密文

D5.得到文件原始密文

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的实例化构造，其特征在于，所述步骤E包括：

E1.判断数据消费者转换密钥TK中的属性集合

是否满足文件原始密文CT中的封装密钥原始密文CT_KEM中的访问控制结构

如果不满足，输出转换失败符号⊥，算法结束；

E2.计算集合

使得

满足

其中

为矩阵M的第i行。使用TK对CT_KEM进行外包解密，得到封装密钥中间密文

其中j是属性ρ(i)在

中的索引，由i决定；

E3.得到文件中间密文

作为本发明所述的一种云计算环境下的安全可控高效的数据共享***及方法的实例化构造，其特征在于，所述步骤F包括：

F1.使用数据消费者恢复密钥RK＝γ对文件中间密文TCT中的封装密钥中间密文CT′_KEM进行解密，得到解密封装密钥

F2.计算解密会话密钥

使用AES对称加密算法对文件中间密文TCT中的数据密文CT_DEM进行解密，得到

F3.使用数据拥有者公钥PK＝y^β对解密结果进行验证。如果

或者

输出错误信息；如果验证通过，输出消息m。

尽管为说明目的公开了本发明的具体内容、实施算法以及附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims

1.一种云计算环境下的安全可控高效的数据共享方法，其步骤包括：

A、设定***公共参数PP和***主密钥MSK；

C、根据***公共参数PP、***主密钥MSK和数据消费者的属性集合

D、根据***公共参数PP、数据拥有者私钥SK和访问控制结构

对明文消息m进行加密，生成文件原始密文CT；其中生成文件原始密文CT的方法为：首先将访问控制结构

使用线性秘密分享结构表示为l行n列的矩阵

和映射

选取随机秘密值s和n-1个随机值x_j，生成向量

计算秘密值s的分享向量

然后选择元素

计算C₀＝g^s，以及对于i∈[l]，计算

计算加密封装密钥EK＝e(g,g)^αs，对应的封装密钥原始密文为

然后使用数据生成者私钥SK＝β，计算验证值

以及证明值

然后计算加密会话密钥

使用AES对称加密算法加密明文消息m和证明值

生成数据密文

得到文件原始密文

其中，***公共参数

***主密钥MSK＝α，

和

均为阶数为p的群，双线性映射

KDF为输出长度

的密钥导出函数，H为哈希函数；

E、根据***公共参数PP和数据消费者转换密钥TK，将文件原始密文CT进行外包解密，生成文件中间密文TCT；其中生成文件中间密文TCT的方法为：首先判断数据消费者转换密钥TK中的属性集合

如果不满足，输出转换失败信息，算法结束；如果满足，则计算集合

使得

满足

其中

为矩阵M的第i行；使用TK对CT_KEM进行外包解密，得到封装密钥中间密文CT′_KEM＝e(g,g)^αs/γ，然后生成文件中间密文

其中

F、根据***公共参数PP、数据拥有者公钥PK和数据消费者恢复密钥RK，对文件中间密文TCT进行解密操作，并验证是否是数据拥有者所加密的明文消息m；其中解密中间密文TCT及验证明文m的方法为：使用数据消费者恢复密钥RK＝γ对文件中间密文TCT中的封装密钥中间密文CT′_KEM进行解密，得到解密封装密钥EK′＝e(g,g)^αs；然后计算解密会话密钥

然后使用数据拥有者公钥PK＝y^β对解密结果进行验证，如果

或者

则验证未通过；如果验证通过，则输出消息m。

2.一种云计算环境下的安全可控高效的数据共享***，其特征在于，包括参数设置服务器、用户密钥生成服务器、加密服务器、解密服务器、云存储服务器和云计算服务器；其中，

参数设置服务器，用于生成***公共参数PP和***主密钥MSK，将***主密钥MSK发送给用户密钥生成服务器，将***公共参数PP发送给用户密钥生成服务器、加密服务器、解密服务器、云存储服务器和云计算服务器；

用户密钥生成服务器，用于根据***公共参数PP，为数据拥有者生成公钥PK和私钥SK，将公钥PK发送给数据消费者，将公钥PK和私钥SK发送给数据拥有者；

用户密钥生成服务器，用于根据***公共参数PP、***主密钥MSK和数据消费者的属性集合

生成该数据消费者的转换密钥TK和该数据消费者的恢复密钥RK，将转换密钥TK和恢复密钥RK发送给该数据消费者；

加密服务器，用于接收数据拥有者发送的数据拥有者私钥SK、所需加密的明文消息m和所需设置的访问控制结构

然后根据***公共参数PP、数据拥有者私钥SK和访问控制结构

对明文消息m进行加密，生成文件原始密文CT，将文件原始密文CT发送给数据拥有者；其中所述加密服务器生成文件原始密文CT的方法为：首先将访问控制结构

使用线性秘密分享结构表示为l行n列的矩阵

和映射

选取随机秘密值s和n-1个随机值x_j，生成向量

计算秘密值s的分享向量

然后选择元素

计算C₀＝g^s，以及对于i∈[l]，计算

计算加密封装密钥EK＝e(g,g)^αs，对应的封装密钥原始密文为

然后使用数据生成者私钥SK＝β，计算验证值

以及证明值

然后计算加密会话密钥

使用AES对称加密算法加密明文消息m和证明值

生成数据密文

得到文件原始密文

其中，***公共参数

***主密钥MSK＝α，

和

均为阶数为p的群，双线性映射

KDF为输出长度

的密钥导出函数，H为哈希函数；

云存储服务器，用于存储数据拥有者上传的文件原始密文CT，以及根据数据消费者发起的数据请求，将文件原始密文CT发送给云计算服务器；

云计算服务器，用于接收数据消费者发送的数据请求和数据消费者转换密钥TK，然后根据***公共参数PP和数据消费者转换密钥TK，对文件原始密文CT进行外包解密，生成文件中间密文TCT，将文件中间密文TCT发送给数据消费者；其中所述云计算服务器生成文件中间密文TCT的方法为：首先判断数据消费者转换密钥TK中的属性集合

使得

满足

其中

其中

解密服务器，用于接收数据消费者发送的数据拥有者公钥PK、数据消费者恢复密钥RK和文件中间密文TCT，然后根据***公共参数PP、数据拥有者公钥PK和数据消费者恢复密钥RK，对文件中间密文TCT解密，并验证是否是数据拥有者所加密的明文消息m，将解密结果发送给数据消费者；其中所述解密服务器解密中间密文TCT及验证明文m的方法为：使用数据消费者恢复密钥RK＝γ对文件中间密文TCT中的封装密钥中间密文CT′_KEM进行解密，得到解密封装密钥EK′＝e(g,g)^αs；然后计算解密会话密钥

然后使用数据拥有者公钥PK＝y^β对解密结果进行验证，如果

或者

则验证未通过；如果验证通过，则输出消息m。