技术摘要：
本发明公开一种匿名的基于身份广播加密方法及其系统，私钥生成器为所有用户生成基于其身份的私钥，并同时向数据拥有者和数据用户发布系统公开参数。数据拥有者将授权数据用户作为目标接收者，并应用匿名IBBE加密会话密钥。目标接收者集合中的授权数据用户可利用其私钥  全部
背景技术：
在绝大多数广播加密应用场景中，匿名性都是非常重要的安全性要求。匿名性是 指目标接收者的身份信息不能泄露给同一组内的其他接收者，更不能泄露给组外的非目标 用户。为实现隐私保护，在广播会话过程中需要保密目标接收者的身份信息。但是，在一般 PKBE(包括IBBE)方案中，目标接收者的身份信息通常需要作为最终输出广播密文的默认组 成部分。在解密阶段，各个用户必须首先根据目标接收者集合来验证其是否为这一次广播 会话的授权接收者。显然，用户可以自然地获得同一集合中其他目标接收者的身份信息。同 时，由于广播密文在公开信道上传输，目标接收者的身份信息也更容易被截获。可见，为保 护接收者隐私，保持接收者身份信息匿名至关重要。 由此，匿名或者隐私保护的PKBE(包括IBBE)方案被提出。在匿名PKBE方案中，用户 只能验证其自身是否为目标接收者，而在整个广播会话过程中，用户都无法获得其他目标 接收者的任何身份信息。与一般PKBE方案不同，在匿名PKBE方案中，广播密文不包含目标接 收者集合。此外，在匿名PKBE方案中，目标接收者集合不得作为解密算法的输入。事实上，在 过去的十几年间，已有研究关注如何构造安全高效的匿名PKBE方案。 当数据拥有者需要外包或者分享其数据时，云计算已成为广泛采用、经济可行的 解决方案。借助云存储服务，数据拥有者可以方便地将其数据上传至云端，或者将其数据分 发给指定的授权用户。得益于基于身份密码体制的优势，匿名IBBE可以作为设计云存储服 务中数据访问控制的高效解决方案。
技术实现要素：
本发明的目的在于提供一种匿名的基于身份广播加密方法及其系统。 本发明采用的技术方案是： 一种匿名的基于身份广播加密方法，其包括以下步骤： 步骤S1：输入安全参数λ，算法输出系统公开参数params和系统主密钥MK。私钥产 生中心PKG秘密持有系统主密钥MK并发布系统公开参数params； 步骤S2：输入系统公开参数params、系统主密钥MK以及某个用户的身份IDi(i∈ [1,N])，PKG输出用户IDi的私钥SKi； 步骤S3：输入系统公开参数params和目标接收者集合 以及广播 消息M，算法生成(Hdr,K)。其中，Hdr称为广播密文头部，K表示某个具体对称加密算法中的 会话密钥。当发送者需要向集合S中的接收者广播消息M时，广播者首先生成(Hdr,K)，然后 利用会话密钥K计算消息M对应的密文CM。CM通常称为广播主体。算法输出最终的广播密文CT ＝(Hdr,CM)。需要指出的是，与一般IBBE不同，目标接收者集合不能作为匿名IBBE最终输出 4 CN 111586064 A 说　明　书 2/7 页 密文的默认组成部分； 步骤S4：给定系统公开参数params、广播密文CT、某个用户的身份IDi及其私钥SKi， 若用户IDi是一个目标接收者，算法输出会话密钥K，然后用会话密钥K对广播主体CM进行解 密从而恢复出原始广播消息M。 进一步地，步骤S1具体包括以下步骤： 步骤S11：PKG首先执行算法 生成合数阶双线性群 其中，p是三个不 同大素数p1、p2以及p3的乘积，即p＝p1p2p3。 和 是两个阶为p的乘法循环群，而 是一个双线性映射； 步骤S12：PKG随机选取 作为子群 的生成元。PKG另外随机选取 和 并计算v＝e(g,g)α； 步骤S13：令 表示一个抗碰撞的密码学Hash函数。系统公开参数 而系统主密钥MK＝α。 进一步地，步骤S2具体包括以下步骤： 步骤S21：给定授权DUs集合 PKG为所有i∈[1 ,n]计算 步 骤 S 2 2 ：对 于 一 个 授 权 D U ，即 P K G 随 机 选 取 其中tj＝s1,s2,...,si-1,si 1,...,sn。PKG为用户 计算私钥 进一步地，步骤S3具体包括以下步骤： 步骤S31：给定系统公开参数params，授权DUs集合 以及会话密 钥K，广播者为所有i∈[1,n]计算 随机选取 和 并计算广播密文 步骤S32：广播密文头部Hdr＝(C0,C1)，而广播主体CM＝C2。需要指出的是，v在系统 公开参数中，而 可以预先计算好。 进一步地，步骤S4具体包括以下步骤：给定系统公开参数params和广播密文CT＝ (C0,C1 ,C2)，一个授权DU，如 利用其私钥 解密广播密文并获得会话密钥K的过程如 下： 进一步地，本发明还提供了一种匿名基于身份广播加密方法的系统，匿名基于身 份广播加密系统涉及四类实体，即数据拥有者、数据用户、云存储服务器以及私钥生成器。 数据拥有者利用会话密钥加密其数据，然后将加密结果存储在云存储服务器。应用匿名 IBBE，数据拥有者将会话密钥广播发送给一组授权数据用户。更具体地说，数据用户在私钥 5 CN 111586064 A 说　明　书 3/7 页 生成器处提交身份信息以注册，并申请访问授权。私钥生成器为所有用户生成基于其身份 的私钥，并同时向数据拥有者和数据用户发布系统公开参数。数据拥有者将授权数据用户 作为目标接收者，并应用匿名IBBE加密会话密钥。目标接收者集合中的授权数据用户可利 用其私钥成功解密广播密文，从而获得会话密钥。这些授权数据用户可以用会话密钥对存 储在云存储服务器上的加密数据进行解密，以获得数据拥有者的原始明文数据。但是，授权 数据用户在这一过程中无法得到其他授权数据用户的身份信息，从而保证了授权数据用户 的匿名性。 较佳的，本发明提出了一种匿名基于身份广播加密方法。不可链接性是讨论匿名 性时非常重要的一个性质。在匿名IBBE中，不可链接性是指，对于非授权的目标接收者集合 之外的用户以及授权DUs，(1)他们都无法将某个广播密文关联指向某个特定的数据用户， (2)他们也无法将两个不同的广播密文链接指向同一个数据用户。就新提出的方法而言，不 可链接性可以从非授权的目标接收者集合之外的用户以及授权DUs两个方面都可得以保 证。首先，授权DUs的身份信息永远不会以明文的形式进行传输。具体地讲，授权DUs的身份 信息总是与新鲜随机数相结合并嵌入到广播密文中。因此，对于非授权的目标接收者集合 之外的用户而言，其既无法将某个广播密文关联指向某个特定的数据用户，也无法将两个 不同的广播密文链接指向同一个数据用户。其次，对于一个授权DU而言，其仅可以通过成功 解密广播密文从而知晓其在目标接收者集合中。然而，如前所述，授权DUs的身份信息隐藏 在广播密文中，除了一个授权DU自身外，没有任何人可以将广播密文与该授权DU相关联。此 外，在每一次广播会话过程中，授权DUs的身份信息总是利用新鲜随机数以及会话密钥进行 加密，除了一个授权DU自身外，也没有任何人能够将两个不同的广播密文链接指向同一个 数据用户。 对于基于匿名IBBE方案所构造的云存储服务中数据访问控制机制而言，匿名性主 要指云存储服务中的目标数据用户无法获得正在访问相同云存储服务的其他目标DUs的身 份信息。具体而言，匿名性是借助私钥生成阶段和加密阶段过程中合数阶双线性群中双线 性映射的正交性来保证的。在解密阶段，任何数据用户仅可通过是否能成功解密密文来确 认其自身是否在目标接收者集合中。若其能成功解密密文并获得会话密钥，意味着其是目 标或授权数据用户。否则，意味着其不是这一次广播会话的目标或者授权数据用户。然而， 不论一个数据用户是否在目标接收者集合中，其都将永远无法知晓其他目标DUs的身份信 息。抗合谋攻击则是设计匿名IBBE方案时关注的另一个重要安全性质。就本发明而言，其也 实现了抗合谋攻击。前已述及，数据用户被限制在仅可通过解密结果来判断其自身是否为 目标接收者，但其永远无法知晓其他目标接收者的身份信息。事实上，即使是目标接收者集 合中的一组数据用户合谋，而这些数据用户已经通过解密操作确认了他们都是目标接收 者，他们仍然无法断定他们这一组用户是否构成了完整的目标接收者集合。换言之，他们无 法确定完整的目标接收者集合中其余数据用户的身份信息，因为所有目标接收者的身份信 息所组成的集合隐藏在密文的第一部分，即C0中。而且，若一组数据用户合谋并试图提取出 隐藏在C0中其余目标接收者的身份信息，这是计算困难问题。因此，本发明的匿名性在合谋 攻击的情况下也可以保证。 当有DUs离开系统时，只需要在加密阶段应该在目标接收者集合中排除这些被撤 销的DUs即可，而无需立即更新当前目标DUs的私钥。具体地说，这一私钥更新过程可以推迟 6 CN 111586064 A 说　明　书 4/7 页 至当有新的数据用户加入时再进行。当一个新数据用户加入时，PKG需要在私钥生成阶段为 所有当前DUs重新生成私钥。PKG承担了这一过程中绝大部分的计算开销。需要指出的是，本 发明中可信的PKG具有强大的计算能力和充足的存储空间，所以对于计算能力有限的轻量 级DUs而言，可以显著地降低其计算代价。 本发明采用以上技术方案，数据拥有者将授权数据用户作为目标接收者，并应用 匿名IBBE加密会话密钥。目标接收者集合中的授权数据用户可利用其私钥成功解密广播密 文，从而获得会话密钥。这些授权数据用户可以用会话密钥对存储在云存储服务器上的加 密数据进行解密，以获得数据拥有者的原始明文数据。但是，授权数据用户在这一过程中无 法得到其他授权数据用户的身份信息，从而保证了授权数据用户的匿名性。与现有技术相 比，本发明有以下有益效果： 1、本发明提出的方法中系统公开参数、用户私钥和密文的长度，以及解密开销都 是固定值，提高了匿名公钥广播加密系统的效率。提出的方法适用于目标接收者计算能力 和存储空间都受限的云存储服务数据访问控制过程。 2、与已有的广播加密方法相比，授权数据用户在解密过程中无法得到其他授权数 据用户的身份信息，从而保证了授权数据用户的匿名性。此外，本发明的匿名性在合谋攻击 的情况下也可以保证，提出的方法是安全高效的。 附图说明 以下结合附图和