一种抵抗属性密钥滥用的高效密文搜索方法

摘要

本发明公开了一种抵抗属性密钥滥用的高效密文搜索方法，包含初始化，密钥生成，索引目录生成，陷门生成，比对检测和身份追踪六个步骤。文件上传者设置索引目录，并连同密文一起上传至服务器。文件接收者根据私钥和关键字生成陷门信息，提交给服务器。服务器将陷门信息和索引目录作为输入进行计算得出结果。若该用户的陷门是合法的，则返回对应的密文，否则拒绝密文接入请求。若出现私钥滥用的情况，系统可以精确定位到密钥泄露者的身份，并对其进行权限撤销，保障了合法用户的安全性。由于采用了恒定的公共参数设定方法，系统内的参数长度不与属性个数线性相关，减少了密钥更新和参数同步过程中的存储及计算开销，增加了系统的可扩展性。

说明书

技术领域

本发明涉及数字信息传输的保密或安全通信技术，具体涉及一种抵抗属性密钥滥用的高效密文搜索方法。

背景技术

基于属性的加密体制近年来引来了学者的广泛关注。由于其可以支持细粒度的接入控制以及自主的访问控制设置，属性加密已经广泛的应用于云计算，无线传感网络，移动办公等应用场景中。密文搜索是属性加密的一个典型应用，用户可以根据自身所有的密钥和关键字搜索出服务器中的密文。然而，基于属性的密文搜索机制仍然存在着若干缺陷，其中最主要的有两个，一个是密钥滥用问题。属性加密是一种广播加密，具有相同属性的用户共享着同样的密钥。如果某恶意用户故意散布自己的私钥，则会导致密钥滥用问题，严重危害了合法用户的利益。另一个是系统公共参数问题。目前大多数基于属性的密文搜索技术中，密钥生成中心都需要为系统内的每一个属性选取一个随机数，系统的公共参数长度也与属性数目成线性相关。一旦属性增加，系统参数将很大。因此，基于属性的加密体制需要一种方法，能防止密钥滥用，与此同时，能够减少系统的公共参数，使其不伴随着属性数量的增加而线性增长。

现有技术中，公开号为CN105323061A、名称为《一种可关键字搜索的外包密钥生成和解密的属性基系统及解密方法》公开了一种可关键字搜索的外包密钥生成和解密的属性基系统。本发明系统包括：公开参数设置服务器、用户私钥生成服务器、外包用户私钥生成服务器、陷门生成服务器、加密服务器、外包解密服务器、解密服务器。公开参数设置服务器负责生成系统主密钥和公开参数；用户私钥生成服务器生成密钥对以及本地用户私钥；外包用户私钥生成服务器生成外包用户私钥；陷门生成服务器协助用户生成查询私钥以及陷门；加密服务器对消息加密生成对应的密文和关键字索引；外包解密服务器对符合用户权限的密文进行外包部分解密并使用用户提交的陷门搜索匹配的密文；解密服务器对部分解密的密文进行解密以恢复出消息。然而该方法不满足可追踪性，一个恶意用户可以将自己的私钥散布而不被追查；此外，该方法系统公共参数较大。

发明内容

本发明解决的技术问题是密文检索技术中密钥滥用以及参数过大的问题。为此本发明提出系统可以精确定位到密钥泄露者的身份，并对其进行权限撤销，并且系统内采用恒定长度的参数的方法已达到上述目的。

本发明的技术方案为一种抵抗属性密钥滥用的高效密文搜索方法，包括以下步骤：

步骤一：初始化

1.定义G₁,G₂为两个循环群，其阶数均为p.定义g为G₁上的一个生成元；

2.定义为一个双线性映射，并定义两个哈希函数H₁:{0,1}^*→该函数的功能为将任意长度的字符串投射到有限域上；

3.属性鉴权中心在有限域内选取一个秘密值并计算B＝g^h,则系统的主私钥为{y,h},,系统公共参数为{G₁,G₂,p,g,H₁,H₂,Y,A,B,C}；

步骤二：密钥生成

针对某一个具备属性集合{A_i}的用户，鉴权中心做如下计算：

1.选取全局唯一参数id,并计算D_i＝g^rH₁(A_i)^h，将{D₁,D_i}作为私钥分发给相应用户；

2.身份追踪器保存一个列表，记录H₁(id)与id的关系；

步骤三：索引目录生成

1.对于每一个文件，上传者首先制定该文件的策略结构树T_k，再为T_k每一个叶子节点选取一个多项式q_x，多项式的度d_x为该节点的门限值k_x减1，即(d_x＝k_x-1)，对于根节点设置q_root(0)＝s，对于其他的节点，设置q_x(0)＝q_parent(x)^index(x),其中parent(x)为节点x的父节点,index(x)为节点x在其所有兄弟节点中的序号，另外令q_i为策略结构树中每个叶子节点的多项式；

2.上传者选取以及关键词w并计算：

IN₁＝B^s,

3.上传者将密文其目录索引SI:{IN₀,IN₁,IN₂,IN_2,i,IN_3,i}发送至密文服务器；

步骤四：陷门生成

1.接收者针对关键字w，接收者选取随机数进行如下计算：

${\mathrm{TR}}_1={(D_1·A^{-x})}^{H_2\left(w\right)}=H_1{\left(id\right)}^{H_2\left(w\right)}·g^{\frac{(y-r-x)}{h}{H}_2\left(w\right)}$

${\mathrm{TR}}_{2,i}={(D_{i,n}·g^x)}^{H_2\left(w\right)}=g^{(r+x)H_2\left(w\right)}{H}_1{(A_i,{\mathrm{TP}}_n)}^{{\mathrm{hH}}_2\left(w\right)}$

2.接收者将陷门信息TR＝{TR₁,TR_2,i}发送至数据服务器；

步骤五：比对检测

数据服务器收到陷门信息后进行如下判断：

$\left(\begin{array}{c}\frac{\hat{e}({\mathrm{IN}}_1,{\mathrm{TR}}_1)}{\hat{e}\left(H_1\right(id),{\mathrm{IN}}_2)}·\underset{i\in \gamma }{\Pi }\frac{\hat{e}({\mathrm{TR}}_{2,i},{\mathrm{IN}}_{2,i})}{\hat{e}({\mathrm{IN}}_{3,i},B)}\\ ={\mathrm{IN}}_0\end{array}\right)$

如等式成立则陷门合法，服务器将关键字w所对应的密文返回给接收者，否则拒绝文件接入请求；

步骤六：身份追踪

在上述步骤四中，用户的身份信息需要作为计算输入，故H₁(id)与用户私钥{D₁,D_i}总是成对出现，当用户的H₁(id)暴露后，身份追踪器定位到用户的具体身份id并通知系统，系统将其对应的全部权限撤销。

步骤五中检测的正确性过程如下：

$\frac{\hat{e}({\mathrm{IN}}_1,{\mathrm{TR}}_1)}{\hat{e}\left(H_1\right(id),{\mathrm{IN}}_2)}·\underset{i\in \gamma }{\Pi }\frac{\hat{e}({\mathrm{TR}}_{2,i},{\mathrm{IN}}_{2,i})}{\hat{e}({\mathrm{IN}}_{3,i},B)}$

$\left(\begin{array}{c}=\frac{\hat{e}(g^{hs},H_1{\left(id\right)}^{h·H_2\left(w\right)}{g}^{\frac{(y-r-x)}{h}{H}_2\left(w\right)})}{\hat{e}(g^{h^2{\mathrm{sH}}_2\left(w\right)},H_1(id\left)\right)}·\underset{i\in \gamma }{\Pi }\frac{\hat{e}(g^{(r+x)H_2\left(w\right)}{H}_1{\left(A_i\right)}^{{\mathrm{hH}}_2\left(w\right)},g^{q_i\left(0\right)})}{\hat{e}(H_1{\left(A_i\right)}^{q_i\left(0\right)H_2\left(w\right)},g^{hs})}\\ =\hat{e}{(g,g)}^{{\mathrm{syH}}_2\left(w\right)}\hat{e}{(g,g)}^{-(sr+sx)H_2\left(w\right)}·\hat{e}{(g,g)}^{{\mathrm{srH}}_2\left(w\right)+{\mathrm{sxH}}_2\left(w\right)}\\ =\hat{e}{(g,g)}^{{\mathrm{syH}}_2\left(w\right)}\\ ={\mathrm{IN}}_0.\end{array}\right)$

本发明还进一步提出一种实现上述抵抗属性密钥滥用的高效密文搜索方法的系统，系统是由属性鉴权中心,数据服务器，文件上传者，接收者和身份追踪器五个模块组成。其中，属性鉴权中心负责管理用户的属性，并生成和分发用户的私钥；文件上传者选取密文关键字，并且制定接收者的属性策略，生成密文的索引目录，之后，将密文连同目录索引一同上传至数据服务器；接收者根据自身私钥和关键词信息生成一个陷门值，并将这个值发送给数据服务器，数据服务器将接收者的陷门值与上传者的目录索引作为输入进行计算，若二者匹配则将对应的密文返回至接收者，否则拒绝接收者的接入请求；当密钥滥用发生时，身份追踪器可以准确定位到泄露者的身份并发送至数据服务器，数据服务器将其接入系统的全部权限撤销。

与现有技术相比，本发明的有益效果在于：

1.实现了文件自主可控的细粒度密文搜索：文件上传者根据自身的需求及关键字设置一个索引目录，并连同密文一起上传至服务器。文件接收者可以根据自身的私钥和所需要的关键字生成一个陷门信息，并提交给服务器。服务器将陷门信息和索引目录作为输入进行计算得出结果。若该用户的陷门是合法的，则返回对应的密文，否则拒绝密文接入请求。

2.实现了用户的私钥滥用追踪技术：用户私钥中包含着用户的身份信息，若出现私钥滥用的情况，系统可以精确定位到密钥泄露者的身份，并对其进行权限撤销。

3.实现了恒定的系统参数：步骤一中，属性鉴权中心在初始化过程中，无需事先为每个属性预设一个参数，无论系统内的属性数量如何增加，系统内的参数长度保持恒定，减少了密钥更新和参数同步过程中的存储及计算开销，与此同时增加了系统的可扩展性。

4.实现了高度的隐私保护：整个文件的分享过程中，数据服务器无法得知密文和用户私钥的内容，并且不能生成一个合法的陷门信息。

附图说明

图1为本发明涉及系统的组成示意图。

具体实施方式

现结合附图对本发明的具体实施方式做进一步详细的说明。

如图1所示，本发明涉及的系统由属性鉴权中心,数据服务器，文件上传者，接收者和身份追踪器五个功能实体组成。其中，属性鉴权中心负责管理用户的属性，并生成和分发用户的私钥。文件上传者选取密文关键字，并且制定接收者的属性策略，生成密文的索引目录。之后，将密文连同目录索引一同上传至数据服务器。接收者根据自身私钥和关键词信息生成一个陷门值，并将这个值发送给数据服务器。数据服务器将接收者的陷门值与上传者的目录索引作为输入进行计算，若二者匹配则将对应的密文返回至接收者，否则拒绝接收者的接入请求。当密钥滥用发生时，身份追踪器准确定位到泄露者的身份并发送至数据服务器，数据服务器将其接入系统的全部权限撤销。

一种抵抗属性密钥滥用的高效密文搜索方法包含初始化，密钥生成，索引目录生成，陷门生成，比对检测和身份追踪这六个步骤，每个步骤的具体描述如下：

步骤一：初始化

4.定义G₁,G₂为两个循环群，其阶数均为p.定义g为G₁上的一个生成元。

5.定义为一个双线性映射，并定义两个哈希函数该函数的功能为将任意长度的字符串投射到有限域上。

6.属性鉴权中心在有限域内选取一个秘密值并计算B＝g^h,则系统的主私钥为{y,h},,系统公共参数为{G₁,G₂,p,g,H₁,H₂,Y,A,B,C}.

步骤二：密钥生成

针对某一个具备属性集合{A_i}的用户，鉴权中心做如下计算：

3.选取全局唯一参数id,并计算D_i＝g^rH₁(A_i)^h.将{D₁,D_i}作为私钥分发给相应用户。

4.身份追踪器保存一个列表记录H₁(id)与id的关系。列表格式如表1所示：

表1身份追踪器中列表格式

数值用户身份H₁(id₁)id₁H₁(id₂)id₂……H₁(id_n)id_n

步骤三：索引目录生成

3.对于每一个文件，上传者首先制定该文件的策略结构树T_k，再为T_k每一个叶子节点选取一个多项式q_x，多项式的度d_x为该节点的门限值k_x减1，即(d_x＝k_x-1).对于根节点设置q_root(0)＝s.对于其他的节点，设置q_x(0)＝q_parent(x)^index(x),其中parent(x)为节点x的父节点,index(x)为节点x在其所有兄弟节点中的序号。另外令q_i为策略结构树中每个叶子节点的多项式

4.上传者选取以及关键词w并计算：

IN₁＝B^s,

3.上传者将密文及其目录索引SI:{IN₀,IN₁,IN₂,IN_2,i,IN_3,i}发送至密文服务器

步骤四：陷门生成

3.接收者针对关键字w，接收者选取随机数进行如下计算：

${\mathrm{TR}}_1={(D_1·A^{-x})}^{H_2\left(w\right)}=H_1{\left(id\right)}^{H_2\left(w\right)}·g^{\frac{(y-r-x)}{h}{H}_2\left(w\right)}$

${\mathrm{TR}}_{2,i}={(D_{i,n}·g^x)}^{H_2\left(w\right)}=g^{(r+x)H_2\left(w\right)}{H}_1{(A_i,{\mathrm{TP}}_n)}^{{\mathrm{hH}}_2\left(w\right)}$

4.接收者将陷门信息TR＝{TR₁,TR_2,i}发送至数据服务器。

步骤五：比对检测

数据服务器收到陷门信息后进行如下判断：

$\frac{\hat{e}({\mathrm{IN}}_1,{\mathrm{TR}}_1)}{\hat{e}\left(H_1\right(id),{\mathrm{IN}}_2)}=\overline{\left|\right|}\frac{\hat{e}({\mathrm{TR}}_{2x},{\mathrm{IN}}_{2i})}{\hat{e}({\mathrm{IN}}_{3i},B)}$

如等式成立则陷门合法，服务器将关键字w所对应的密文返回给接收者。否则拒绝文件接入请求。

正确性说明如下：

$\left(\begin{array}{c}\frac{\hat{e}({\mathrm{IN}}_1,{\mathrm{TR}}_1)}{\hat{e}\left(H_1\right(id),{\mathrm{IN}}_2)}·\underset{i\in \gamma }{\Pi }\frac{\hat{e}({\mathrm{TR}}_{2,i},{\mathrm{IN}}_{2,i})}{\hat{e}({\mathrm{IN}}_{3,i},B)}\\ =\frac{\hat{e}(g^{hs},H_1{\left(id\right)}^{h·H_2\left(w\right)}{g}^{\frac{(y-r-x)}{h}{H}_2\left(w\right)})}{\hat{e}(g^{h^2{\mathrm{sH}}_2\left(w\right)},H_1(id\left)\right)}·\underset{i\in \gamma }{\Pi }\frac{\hat{e}(g^{(r+x)H_2\left(w\right)}{H}_1{\left(A_i\right)}^{{\mathrm{hH}}_2\left(w\right)},g^{q_i\left(0\right)})}{\hat{e}(H_1{\left(A_i\right)}^{q_i\left(0\right)H_2\left(w\right)},g^{hs})}\\ =\hat{e}{(g,g)}^{{\mathrm{syH}}_2\left(w\right)}\hat{e}{(g,g)}^{-(sr+sx)H_2\left(w\right)}·\hat{e}{(g,g)}^{{\mathrm{srH}}_2\left(w\right)+{\mathrm{sxH}}_2\left(w\right)}\\ =\hat{e}{(g,g)}^{{\mathrm{syH}}_2\left(w\right)}\\ ={\mathrm{IN}}_0\end{array}\right)$

步骤五：身份追踪

在本方案中的步骤四中，用户的身份信息需要作为计算输入。故H₁(id)与用户私钥{D₁,D_i}总是成对出现。当用户的H₁(id)暴露后，身份追踪器定位到用户的具体身份id并通知系统，系统将其对应的全部权限撤销。

由以上描述可见，本发明主要有以下几个特点：

1.文件上传者根据自身的需求及关键字设置一个索引目录，并连同密文一起上传至服务器。文件接收者可以根据自身的私钥和所需要的关键字生成一个陷门信息，并提交给服务器。服务器将陷门信息和索引目录作为输入进行计算得出结果。若该用户的陷门是合法的，则返回对应的密文，否则拒绝密文接入请求。

2.为了解决基于属性的密文检索技术中密钥滥用的问题，本发明将用户的唯一身份信息嵌入了用户私钥中，引入了追责机制。若出现私钥滥用的情况，系统可以精确定位到密钥泄露者的身份，并对其进行权限撤销，保障了合法用户的安全性。

3.为了解决基于属性的密文检索技术中参数过大的问题，本发明公布了一种恒定的公共参数设定方法，系统内的参数长度不与属性个数线性相关，保持恒定，减少了密钥更新和参数同步过程中的存储及计算开销，增加了系统的可扩展性。

4.整个文件的分享过程中，数据服务器无法得知密文和用户私钥的内容，并且不能生成一个合法的陷门信息，具有良好的安全性。

以上所述仅为本发明的一个具体实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。