本發明公開了一種能抵抗選擇密文攻擊的群組間代理重加密方法，通過代理對密文進行重加密，基于群組進行解密能力的指派，群組中的任意成員都能夠獨立的解密密文，因此比基于個體的代理重加密的方法更加靈活，為云存儲提供了一種可靠而方便的數據共享方式。本發明中，授權人和被授權人的計算復雜度較低，能方便的進行加密解密，特別的，相比于現有的群組間代理重加密方案，本發明在密鑰生成階段算法復雜度更低。本發明在生成密文的時候加入了一個一次強不可偽造簽名，保證了密文和重加密密文的不被篡改。最后，本發明在雙線性Diffie_Hellman假設成立的情況和隨機預言機模型下，能夠實現抵抗選擇密文攻擊的。

技術領域

本發明涉及云存儲中的數據安全技術領域，具體地，涉及一種能抵抗選擇密文攻擊的群組間代理重加密方法。

背景技術

云存儲雖然為用戶提供了很大的便利，但是在不可信的第三方存儲數據并不安全，特別是對于機密數據。代理重加密是通過代理者對密文進行轉化，在不失數據機密性的前提下，實現數據的安全轉發，從而達到數據共享的目的。它是由Blaze等人在1998年的歐洲密碼學年會上提出的，并由Ateniese等人在2005年的網絡和分布式系統安全研討會議和2007年的美國計算機學會計算機與通信安全會議上給出了規范的形式化定義。

在代理重加密中，一個半可信代理人通過代理授權人產生的轉換密鑰R_k把用授權人Alice的公鑰P_a加密的密文轉化為用被授權人Bob的公鑰P_b加密的密文。在這個過程中，代理人無法獲得任何關于明文或者用來解密密文私鑰的任何信息。一般說來，代理重加密可以根據其代理功能分為兩大類：單向代理重加密和雙向代理重加密。在單向代理重加密中，代理者只能將Alice的密文轉換成Bob的密文。而在雙向代理重加密中，代理者既可以將Alice的密文轉換成Bob的密文，也可以將Bob的密文轉換成Alice的密文。當然，任何單向代理重加密方案都可以很容易地變成雙向代理重加密方案。

一般的代理重加密是分為六個步驟：初始化，密鑰生成，加密，重加密秘鑰生成，重加密，解密。

1)初始化：可信第三方PKG根據安全參數設置工作環境，并得到主公鑰和主私鑰。

2)密鑰生成：PKG根據其設置的工作環境，為授權人A和被授權人B分別生成各自的公私鑰對。

3)重加密秘鑰生成：可信第三方PKG利用自己的密鑰和為授權人A和被授權人B生成生一個重加密密鑰R_k(A→B)，并將這個重加密密鑰通過安全的信道傳遞給代理人P。

4)加密：授權人A使用自己的公鑰對數據進行加密。

5)重加密：代理人P利用重加密密鑰R_k(A→B)對原始密文進行再次加密，所得到的密文稱為重加密密文。該密文實際上等同于用被授權人公鑰加密的密文。

6)解密：被授權人使用自己的私鑰對重加密密文進行解密，得到相應的明文。

代理重加密能夠在保持數據機密性的同時，實現了解密權的指派，成功的解決了云存儲中加密數據共享的問題。

將代理重加密技術應用于云存儲，其安全模型是至關重要的。針對代理重加密安全模型的設計，研究人員已經有了一些有價值的探討。Blaze等人提出的代理重加密是雙向代理重加密。在2005年，Ateniese等人提出了首個單向代理重加密方案。但上述這些方案只滿足選擇明文攻擊安全，而實際應用通常要求密碼組件能夠抵抗選擇密文攻擊安全。為此，Calletti等人在2007年的ACM CCS會議上提出了首個能在標準模型下證明的選擇密文攻擊安全雙向代理重加密方案。在2008年的公鑰密碼學會議上，Libert等人提出了一個標準模型下單向代理重加密方案，該方案可以在非自適應攻擊模型下達到選擇密文安全。