CN113067702B - 支持密文等值测试功能的身份基加密方法 - Google Patents

Abstract

本发明公开了一种支持等值测试功能的身份基加密方法，主要解决现有技术中在标准模型下支持等值测试功能的身份基加密效率低的问题。其实现方案为：密钥生成中心根据安全参数生成主密钥，并根据主密钥和公钥生成用户的私钥和授权陷门；用户将授权陷门通过秘密信道发送给指定服务器；用户对明文消息及其哈希值进行并行加密；解密者输入密文和私钥，解密密文得到明文；服务器以两个用户的授权陷门和密文作为输入进行等值测试；服务器向用户返回测试结果，若测试结果为1，则表明两个用户的明文相等，否则，明文不相等。本发明相较于标准模型下支持等值测试功能的身份基加密方案，计算效率更高，性能更加突出，可应用于云存储，大数据的密态数据检索。

Description

支持密文等值测试功能的身份基加密方法

技术领域

本发明属于信息安全技术领域，特别涉及一种支持密文等值测试功能的身份基加密方法，可应用于云存储，大数据的密态数据检索。

背景技术

随着云计算技术被广泛地应用，越来越多的私有数据被上传至云服务器。然而，云服务器对用户的隐私和数据信息的保护仍然存在一些纰漏。近些年来，用户存储在云服务器的隐私数据被泄露的新闻屡见不鲜。例如，2018年11月，万豪公司发公告称旗下酒店喜达屋5亿房客的信息被泄露；同年12月，社交平台陌陌3千万用户数据在暗网被销售等。用户的隐私数据被泄露会对用户造成极大的风险。因此，云计算环境中实现用户隐私数据保护的密码技术开始被广泛地研究。通常，用户会把隐私数据加密后再上传至服务器，但服务器中密文状态下的数据管理又会成为一个新的问题，即数据在加密后会失去原来的特点与结构，使在明文上的各种运算难以在密文上进行。例如，如果用户想对密文状态下的数据进行查询操作，就得将所有数据下载后解密，再进行查询，这样做由于极大地增加了计算和传输开销，效率十分低下。为此，一种密文等值测试加密技术被提出以解决这个问题。

密文等值测试加密技术，用于解决不同公钥加密数据的匹配问题，即测试者可以在不解密密文的前提下，判定两段用不同公钥加密的密文是否包含相同的消息。密文等值测试技术有非常广阔的应用前景，比如根据标签对加密数据进行分类、过滤与归档电子邮件、电子医疗***中对相同病症病人的匹配查找。

然而，现有的支持密文等值测试功能的身份基加密方案大部分都是在随机预言机模型下可证明安全的。随机预言机模型是可证明安全理论的一个重要概念，它是指在对密码方案的安全性证明中使用随机预言机这一密码学工具。随机预言机是一个确定、公开、输出随机均匀的哈希函数。而在方案的实现过程中，只能用真实的哈希函数代替随机预言机，这样敌手有可能利用真实哈希函数的缺点进行攻击。不使用随机预言机的证明模型称为标准模型。在标准模型下，方案的安全性仅依赖于哈希函数的标准性质，如抗碰撞性，敌手仅受时间和计算能力的限制，而没有其他假设。所以在标准模型下可证明安全的密码学方案，其安全性级别更高。

Lee等人于2016年在论文“Public Key Encryption with Equality Test in theStandard Model”(2016/1182,2016,cryptology ePrint archive)中，公开了一种标准模型下支持密文等值测试功能的身份基加密方法。该方法是根据安全参数先生成主密钥，然后根据主密钥和用户公钥为用户生成私钥；用户加密明文消息得到密文，根据私钥生成授权陷门；并将授权陷门通过秘密信道发送给指定服务器；服务器根据不同用户指定的授权模式对其密文进行等值测试，并向用户返回测试结果。该方案由于应用了复杂的三层身份基加密和强不可伪造一次签名技术，导致方案的效率较低，不具备实用性。

发明内容

本发明的目的在于针对上述现有技术的不足，提出一种支持等值测试功能的身份基加密方法，以提高在标准模型下支持等值测试功能的身份基加密的效率。

为实现上述目的，本发明采取的技术方案如下：

(1)***初始化：

(1a)输入安全参数λ，给定一个双线性映射e:

令g是

的一个生成元，令e(g,g)是

的一个生成元，其中，

是以素数p为阶的乘法循环群，

是以素数p为阶的乘法循环群；

(1b)密钥生成中心KGC选取两个密码学哈希函数H₁:

H:

并在

中随机选取5个不同的主密钥生成阶段参数α,β₁,β₂,β₃,β₄，其中，{0,1}^*表示任意长的比特串，

表示集合{0,1,…,p-1}；

(1c)密钥生成中心根据选取的哈希函数和随机参数，计算并输出***主密钥MSK和***公共参数PP：

MSK＝(α,β₁,β₂,β₃,β₄)

其中，g₁＝g^α,

(2)用户私钥生成：

(2a)输入用户身份标识符

***主密钥MSK和***公共参数PP；

(2b)KGC在

中随机选取4个不同的用户私钥生成阶段参数r₁,r₂,r₃,r₄，并计算用户私钥d_ID：

(3)授权陷门提取：

用户生成授权陷门td＝(d₇,d₈)，并将授权陷门通过秘密信道发送给指定的服务器；

(4)加密：

(4a)输入明文消息

用户身份标识符ID和公共参数PP；

(4b)用户在

中随机选取参数s，并计算密文CT：

CT＝(C₁,C₂,C₃,C₄,C₅)＝((g1g^-ID)^s,e(g,g)^s,e(h₃,g)^s·m,e(h₄,g)^s·H(m),e(h₁,g)^se(h₂,g)^sw)

其中，w＝H₁(C₁,C₂,C₃,C₄)；

(4c)用户将密文CT上传到云服务器；

(5)解密：

(5a)输入与ID对应的密文CT，用户私钥d_ID和***公共参数PP，解密者首先计算w＝H₁(C₁,C₂,C₃,C₄)；

(5b)验证：

是否成立，如果成立，则计算两个中间结果：

和

若H(m')＝H'，则输出正确的明文m(＝m')，否则，解密失败；

(6)测试：

(6a)设用户i的明文消息为m_i，用户j明文消息为m_j，分别输入用户i的密文CT_i、授权陷门td_i和用户j的密文CT_j、授权陷门td_j；

(6b)根据(6a)给定的密文和陷门，服务器计算用户i的明文消息的哈希值H(m_i)和用户j的明文消息的哈希值H(m_j)，并判断两者是否相等：

如果H(m_i)＝H(m_j)，则输出1，表明用户i和用户j的明文消息相等，两者之间通过云服务器建立联系；

否则，输出0，表明用户i和用户j的明文消息不相等，云服务器重新执行测试算法以匹配与各自用户明文消息相等的其他用户。

本发明与现有技术相比，具有以下优点：

1)本发明由于通过并行加密明文及其哈希值的方式构造密文，云服务器由授权陷门计算得到两个用户明文的哈希值，并通过判定两者是否相等的方式，实现了等值测试功能；

2)本发明相比于Lee等人的方案，由于选取了更少的公开参数，所以具有更短的密钥和密文尺寸，减小了通信开销；其次，通过对本发明中的加密算法、解密算法和测试算法中所涉及运算次数的统计，结果表明，较之Lee等人的方案，本发明的加密算法、解密算法和测试算法的计算效率分别提高了60％、70％和65％。

附图说明

图1为本发明的实现流程图。

具体实施方式

下面结合附图对本发明的实施例进一步的详细说明：

参照图1，本实例支持密文等值测试功能的身份基加密方法，实现步骤如下：

步骤1，***初始化。

(1.1)输入安全参数λ，给定一个双线性映射e:

令g是

的一个生成元，令e(g,g)是

的一个生成元，其中，

是以素数p为阶的乘法循环群，

是以素数p为阶的乘法循环群；

(1.2)密钥生成中心KGC选取两个密码学哈希函数H₁:

H:

并在

中随机选取5个不同的主密钥生成阶段参数α,β₁,β₂,β₃,β₄，其中，{0,1}^*表示任意长的比特串，

表示集合{0,1,…,p-1}；

(1.3)密钥生成中心根据选取的哈希函数和随机参数，计算并输出***主密钥MSK和***公共参数PP：

MSK＝(α,β₁,β₂,β₃,β₄)

其中，g₁＝g^α,

步骤2，生成用户私钥。

(2.1)输入用户身份标识符

***主密钥MSK和***公共参数PP；

(2.2)KGC在

中随机选取4个不同的用户私钥生成阶段参数r₁,r₂,r₃,r₄，并计算用户私钥d_ID：

其中，d₁到d₈表示用户私钥的8个部分，即：

d₁＝r₁，

d₃＝r₂，

d₅＝r₃，

d₇＝r₄，

步骤3，授权陷门提取。

输入用户私钥d_ID＝(d₁,d₂,d₃,d₄,d₅,d₆,d₇,d₈)，用户从该私钥中提取其第七和第八部分作为授权陷门：td＝(d₇,d₈)，并将授权陷门td通过秘密信道发送给指定的服务器。

步骤4，用户加密明文消息。

(4.1)输入明文消息

用户身份标识符ID和公共参数PP；

(4.2)用户在

中随机选取参数s，并计算密文CT：

CT＝(C₁,C₂,C₃,C₄,C₅)＝((g1g^-ID)^s,e(g,g)^s,e(h₃,g)^s·m,e(h₄,g)^s·H(m),e(h₁,g)^se(h₂,g)^sw)其中，C₁到C₅表示密文的5个部分，即：

C₁＝(g₁g^-ID)^s

C₂＝e(g,g)^s

C₃＝e(h₃,g)^s·m

C₄＝e(h₄,g)^s·H(m)

C₅＝e(h₁,g)^se(h₂,g)^sw，w＝H₁(C₁,C₂,C₃,C₄)；

(4.3)用户将密文CT上传到云服务器。

步骤5，解密者解密密文。

(5.1)输入密文CT，用户私钥d_ID和***公共参数PP，解密者首先计算C₁到C₄的哈希值：w＝H₁(C₁,C₂,C₃,C₄)；

(5.2)验证：

是否成立：

如果成立，则计算两个中间结果：

和

执行(5.3)，否则，解密失败；

(5.3)验证H(m')＝H'是否成立，如果成立，则输出正确的明文m(＝m')，否则，解密失败。

步骤6，云服务器执行等值测试。

(6.1)设用户i的明文消息为m_i，用户j明文消息为m_j，分别输入用户i的密文CT_i、授权陷门td_i和用户j的密文CT_j、授权陷门td_j，这些参数分别表示如下：

CT_i＝(C_1,i,C_2,i,C_3,i,C_4,i,C_5,i)

CT_j＝(C_1,j,C_2,j,C_3,j,C_4,j,C_5,j)

td_i＝(d_7,i,d_8,i)

td_j＝(d_7,j,d_8,j)

其中，CT_i由五部分组成，C_1,i,C_2,i,C_3,i,C_4,i,C_5,i分别表示用户i密文的第一到五部分；

CT_j由五部分组成，C_1,j,C_2,j,C_3,j,C_4,j,C_5,j分别表示用户j密文的第一到五部分；

td_i由用户i的两部分私钥组成，d_7,i,d_8,i分别表示用户i私钥的第七部分和第八部分；

td_j由用户j的两部分私钥组成，d_7,j,d_8,j分别表示用户i私钥的第七部分和第八部分；

(6.2)根据(6.1)给定的密文和陷门，服务器计算用户i的明文消息的哈希值H(m_i)和用户j的明文消息的哈希值H(m_j)：

其中，C_1,i表示用户i密文的第一部分，C_2,i表示用户i密文的第二部分，C_4,i表示用户i密文的第四部分，d_7,i表示用户i私钥的第七部分，d_8,i表示用户i私钥的第八部分；C_1,j表示用户j密文的第一部分，C_2,j表示用户j密文的第二部分，C_4,j表示用户j密文的第四部分，d_7,j表示用户j私钥的第七部分，d_8,j表示用户j私钥的第八部分；

(6.3)判断H(m_i)与H(m_j)两者是否相等：

如果H(m_i)＝H(m_j)，则输出1，表明用户i与用户j的明文消息相等，两者之间通过云服务器建立联系；

如果H(m_i)≠H(m_j)，则输出0，表明用户i与用户j的明文消息不相等，云服务器重新执行测试算法以匹配与各自用户明文消息相等的其他用户。

以上描述仅是本发明的一个具体实例，并未构成对本发明的任何限制，显然对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修改和改变，但是这些基于本发明思想的修正和改变仍在本发明的权力要求保护范围之内。

Claims (3)

1.一种支持密文等值测试功能的身份基加密方法，其特征在于，包括如下：

(1)***初始化：

(1a)输入安全参数，给定一个双线性映射

令g是

的一个生成元，令e(g,g)是

的一个生成元，其中，

是以素数p为阶的乘法循环群，

是以素数p为阶的乘法循环群；

(1b)密钥生成中心KGC选取两个密码学哈希函数

并在

中随机选取5个不同的主密钥生成阶段参数α,β₁,β₂,β₃,β₄，其中，{0,1}^*表示任意长的比特串，

表示集合{0,1,…,p-1}；

(1c)密钥生成中心根据选取的哈希函数和随机参数，计算并输出***主密钥MSK和***公共参数PP：

MSK＝(α,β₁,β₂,β₃,β₄)

其中，g₁＝g^α,

(2)用户私钥生成：

(2a)输入用户身份标识符

***主密钥MSK和***公共参数PP；

(2b)KGC在

中随机选取4个不同的用户私钥生成阶段参数r₁,r₂,r₃,r₄，并计算用户私钥d_ID：

(3)授权陷门提取：

用户生成授权陷门td＝(d₇,d₈)，并将授权陷门通过秘密信道发送给指定的服务器；

(4)加密：

(4a)输入明文消息

用户身份标识符ID和公共参数PP；

(4b)用户在

中随机选取参数s，并计算密文CT：

CT＝(C₁,C₂,C₃,C₄,C₅)＝((g₁g^-ID)^s,e(g,g)^s,e(h₃,g)^s·m,e(h₄,g)^s·H(m),e(h₁,g)^se(h₂,g)^sw)，

其中，w＝H₁(C₁,C₂,C₃,C₄)；

(4c)用户将密文CT上传到云服务器；

(5)解密：

(5a)输入与ID对应的密文CT，用户私钥d_ID和***公共参数PP，解密者首先计算w＝H₁(C₁,C₂,C₃,C₄)；

(5b)验证：

是否成立，如果成立，则计算两个中间结果：

和

若H(m')＝H'，则输出正确的明文m(＝m')，否则，解密失败；

(6)测试：

(6a)设用户i的明文消息为m_i，用户j明文消息为m_j，分别输入用户i的密文CT_i、授权陷门td_i和用户j的密文CT_j、授权陷门td_j；

(6b)根据(6a)给定的密文和陷门，服务器计算用户i的明文消息的哈希值H(m_i)和用户j的明文消息的哈希值H(m_j)，并判断两者是否相等：

如果H(m_i)＝H(m_j)，则输出1，表明用户i和用户j的明文消息相等，两者之间通过云服务器建立联系；

否则，输出0，表明用户i和用户j的明文消息不相等，云服务器重新执行测试算法以匹配与各自用户明文消息相等的其他用户。

2.根据权利要求1所述的方法，其特征在于，(6a)中输入的用户i的密文CT_i、授权陷门td_i和用户j的密文CT_j、授权陷门td_j，分别表示如下：

CT_i＝(C_1,i,C_2,i,C_3,i,C_4,i,C_5,i)

CT_j＝(C_1,j,C_2,j,C_3,j,C_4,j,C_5,j)

td_i＝(d_7,i,d_8,i)

td_j＝(d_7,j,d_8,j)

其中，CT_i由五部分组成，C_1,i,C_2,i,C_3,i,C_4,i,C_5,i分别表示用户i密文的第一到五部分；

CT_j由五部分组成，C_1,j,C_2,j,C_3,j,C_4,j,C_5,j分别表示用户j密文的第一到五部分；

td_i由用户i的两部分私钥组成，d_7,i,d_8,i分别表示用户i私钥的第七部分和第八部分；

td_j由用户j的两部分私钥组成，d_7,j,d_8,j分别表示用户j私钥的第七部分和第八部分。

3.根据权利要求1所述的方法，其特征在于，(6b)中计算用户i的明文消息的哈希值H(m_i)和用户j的明文消息的哈希值H(m_j)，公式如下：

其中，C_1,i表示用户i密文的第一部分，C_2,i表示用户i密文的第二部分，C_4,i表示用户i密文的第四部分，d_7,i表示用户i私钥的第七部分，d_8,i表示用户i私钥的第八部分；C_1,j表示用户j密文的第一部分，C_2,j表示用户j密文的第二部分，C_4,j表示用户j密文的第四部分，d_7,j表示用户j私钥的第七部分，d_8,j表示用户j私钥的第八部分。

Images