[发明专利]基于不可区分混淆的云服务外包访问权限控制方法

摘要

本发明公开了一种基于不可区分混淆的云服务外包访问权限控制方法，克服了现有技术中仅有可信第三方进行一次混淆的缺点，仅由群主进行密钥分发的缺点，实现步骤为：(1)初始化；(2)身份注册；(3)密钥分发；(4)匹配用户认证；(5)服务部署；(6)数据上传；(7)计算密文；(8)获取输出结果；(9)访问密文。采用不可区分混淆技术实现了对云服务外包中密文访问权限的有效控制和对服务使用者的云服务使用权限的更新。

主权项

1.一种基于不可区分混淆的云服务外包访问权限控制方法，包括如下步骤：(1)初始化：(1a)授权中心任意选取一个有限域Fq，其中，q表示随机选取的大素数，将有限域Fq输入到伪随机生成器PRG，生成安全主密钥MSK，并秘密保存安全主密钥MSK；(1b)授权中心选取安全Hash算法MD5，并公开安全Hash算法MD5；(1c)授权中心公开有限域Fq，伪随机生成器RPG；(2)身份注册：(2a)用户向用户身份信息库申请身份注册，获得与用户身份信息库唯一对应的用户身份信息ID；(2b)用户将用户身份信息ID提交给授权中心；(2c)授权中心判断获取的用户身份信息ID与用户身份信息库是否匹配，若是，则执行步骤(3)，否则，拒绝注册；(3)密钥分发：(3a)授权中心按照下式，计算匹配用户公钥：pk＝H(ID)其中，pk表示匹配用户公钥，H表示安全Hash算法MD5操作，ID表示匹配用户身份信息；(3b)授权中心按照下式，计算匹配用户私钥：sk＝MSK*H(ID)其中，sk表示匹配用户私钥，MSK表示授权中心主密钥，*表示相乘操作，H表示安全Hash算法MD5操作，ID表示匹配用户身份信息；(3c)授权中心将匹配用户公钥和匹配用户私钥发送给匹配用户；(3d)匹配用户将匹配用户私钥秘密保存；(3e)服务提供商在获取由授权中心分发的服务提供商初始私钥sk'和服务提供商初始公钥pk'后，将有限域Fq输入到伪随机生成器PRG中，生成随机数x1；(3f)服务提供商计算服务提供商公钥和服务提供商私钥；(3g)服务提供商将服务提供商公钥公开，将服务提供商私钥秘密保存；(4)匹配用户认证：(4a)匹配用户将匹配用户身份信息和匹配用户公钥提交给服务提供商；(4b)服务提供商计算匹配用户身份标识；(4d)服务提供商将匹配用户身份标识发送给匹配用户；(4e)匹配用户收到匹配用户身份标识后，将匹配用户身份标识秘密保存；(5)服务部署：(5a)服务提供商自定义产生初始云服务电路，用Prog表示初始云服务电路；(5b)服务提供商对初始云服务电路进行混淆操作，得到初步混淆后的云服务电路；(5c)服务提供商将经服务提供商初步混淆后的云服务电路Prog'提交给授权中心；(5d)授权中心对初步混淆后的云服务电路进行混淆操作，得到云服务电路；(5e)授权中心将云服务电路Prog”部署到云服务器上；(6)数据上传：(6a)授权用户将有限域Fq输入到伪随机生成器PRG中生成会话密钥，授权用户秘密保存会话密钥；(6b)授权用户计算授权用户密文；(6c)授权用户将授权用户密文发送给云服务器；(7)计算密文：(7a)云服务器收到授权用户密文后，将授权用户密文输入到云服务电路Prog”中；(7b)云服务电路Prog”按照下式，计算授权用户密文验证输出：v＝Verify(upk,Sig1)其中，v表示授权用户密文验证输出，Verify表示基于身份签名技术IBS的验证操作，upk表示授权用户公钥，Sig1表示授权用户签名；(7c)判断授权用户密文验证输出是否为1，若是，则执行步骤(7d)，否则，拒绝服务并终止计算；(7d)云服务电路Prog”计算授权用户密文，得到云服务输出的密文；(7e)云服务电路Prog”将云服务输出的密文发送给授权用户；(8)获取云服务输出：(8a)授权用户按照下式，计算云服务输出：r＝Dec(k1,C2)其中，r表示云服务输出，Dec表示AES安全对称解密操作，k1表示会话密钥，C2表示云服务输出的密文；(8b)授权用户获得云服务输出；(9)访问密文：(9a)授权中心按照下式，计算会话密钥初始密文：其中，C₁”表示会话密钥初始密文，Dec表示AES安全对称解密操作，MSK表示授权中心主密钥，表示会话密钥密文；(9b)授权中心将会话密钥初始密文发送给服务提供商；(9c)服务提供商计算会话密钥初始密文，得到会话密钥；(9d)服务提供商将会话密钥发送给授权中心；(9e)授权中心计算云服务输出的密文，得到云服务输出；(9f)授权中心计算授权用户数据的密文，得到授权用户明文。