(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210829752.3 (22)申请日 2022.07.15 (71)申请人 合肥中科创安科技有限公司 地址 230088 安徽省合肥市高新区望江西 路900号中安创谷科技园西北角D9栋5 层525室 (72)发明人 汪国航　鲍翊平　叶辉　朱敏敏　 王磊　潮家东　 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/08(2006.01) G16Y 30/10(2020.01) G16Y 40/50(2020.01) (54)发明名称 一种基于O-CP-ABE云边端协同环境下数据 安全分享方法 (57)摘要 本发明公开了一种基于O ‑CP‑ABE云边端协 同环境下数据安全分享方法， 属于物联网数据领 域； 本发明研究了云边端协同环 境下数据安全分 享技术， 首先设计了基于云边端协同的数据安全 分享的系统架构， 说明了各个部分的主要功能和 安全假设， 并阐述了该架构下数据安全分享的工 作流程。 结合密文策略属性基加密和Shamir的秘 密分享策略， 设计了外包的密文策略属性基加密 方案(O‑CP‑ABE)， 并将其应用于 所设计的云边端 协同的电子医疗系统中， 实现高效而灵活的数据 分享， 使得不同角色的数据获取者能够获得其对 应粒度的数据信息。 本方案显着降低资源受限的 终端设备的计算开销， 实现有效的用户撤销， 能 够实现云边端协同系统下安全而高效的数据分 享。 权利要求书4页 说明书10页 附图2页 CN 115426127 A 2022.12.02 CN 115426127 A 1.一种基于O ‑CP‑ABE云边端协同环境下数据安全分享方法， 其特征在于， 其方法步骤 如下： S1.初始化算法(Setup):Setup由属性授 权机构执行,它首先选择两个双线性群G0(阶为 p， 生成元为g)和G1， 并且定义一个双线性映射e:G0*G0←G1； 另外， 选择参数α和两个安全哈 希函数H1(.),H2(.)， 选择β1， β2∈Zp， 使得β 1≠ 0， β 2≠1且β 1≠β 2； 公开密钥为： PK＝{e， g， G0,G1,e(g， g)α， H1(.),H2(.)， h1＝gβ 1， h2＝gβ 3}              (4‑2) 主密钥MSK为： MSK＝{β1， β2， gα}                                (4‑3) S2.密钥生成算法(Key  Gen({S,MSK})):密钥生成算法也是由属性授权端执行； 设S表 示一个数据订阅者的属性集合； 属性授权端首先选择rj∈Zp 和r∈Zp， 然后为每 个订阅者产生私钥SK； S3.发布者终端加 密(User_Encrypt({Γu,M})): 该算法由发布者终端执行； 首先， 执行 一个具有签名策略的密钥产生算法， 并且获得一个一次密钥对(sk,vk)； 接着， 根据消息内 容构建一个合适 的访问树Γ＝ΓuANDtc作为该消息的访问控制策略， R是树Γu的根节点， 而R＇ 是树Γ的根节点； 随机选择s∈Zp， 然后计算K＝e(g， g)αs， 对称密钥 ek＝H2(K)， 和C1＝ h1s； 用对称密钥ek对明文M进行对称加密得到C＝EncM； 然后， 消息发布者随机选取一个 一次 多项式qR’(.)， 使得s＝qR’(0),令s1＝qR’(1),s2＝qR’(2),； 再随机选择一个k ‑1次多项式f (x)＝∑ajxj mod p(其中， aj∈Zp,j＝0,1,...,k1)， 使得a0＝s1＝f(0)， 计算份额s1i＝f (xi)， 其中xi(i＝1,...,n)是从Zp中 随机选取的各不相等的非零元素； 此外， 还需计算Ctc＝ h2s2和Ctc’＝H1tcs2， 最后输出密文Cu(公式4 ‑5)及其签名 δ ＝Signsk(Cu)； Cu＝{Γ， C， C1， CTC， CTC’}                                 (4‑5) 为了保证雾节点接收到正确的秘密份额{xi,s1i}， 发布者同时将计算得到的验证值Lj＝ gajmodp(j＝0,1,. ..,k1)公布给雾节点中的设备； S4.雾节点协助加 密(MR_Encr ypt({{xi,s1i}n i＝1,Γ})):消息发布者终端请求就近雾节 点的辅助加密； 雾节点A中包含m个任务组， 每个任务组承担一个加密任务； 比如， 某个任务 组中的n个从设备从社区A的某个消息发布者那里获得秘密份额{xi,s1i}(1≤i≤n)， 之后该 任务组启动了 Map‑Reduce程序； Map.从设备为了验证所接收到的份额{xi,s1i}的正确性， 首先按照公式(4 ‑6)进行计 算： 如果公式(4 ‑6)成立， 从设备针对树Γu中的每一个节点x， 为其选择一个多项式qx(i) (.)， 阶为Kx ‑1； 如果该节点是属性树Γu的根节点， 那么s1i＝qx(i)(0)， 否则， qx(i)(0)＝ qparent(i)(index(x))； 设Yu是访问结构 Γu的叶子节点的集合， 该任务组的第i个从设备计算 出如公式(4 ‑7)的部分加密 密文， 然后将CMR(i)发送给该组的主设备； CMR(i)＝{Cy0(i)＝gqy(i)(0),Cy1(i)＝H1(attr(y))qy(i)(0)},其中y∈YU    (4‑7) Reduce.每组的主设备作为Reducer； 考虑到不同从设备计算速度方面的差异， 以及方权　利　要　求　书 1/4 页 2 CN 115426127 A 2案执行效率方面的需要， 本方案引入带验证的(k,n)门限加密策 略； 当有k个从设备的部分 加密密文汇聚到Reducer， 就可以启动Reduce程序； Reducer按照公式(4 ‑8)进行计算， 其中 Sk表示前k个汇总到Reducer的从设备的集 合； 这里， SK’＝{xi}i∈sk； 根据式(4 ‑9)， Reducer计算得到， 封装成包； 最后对密文封装成包得到 CT； CT＝{Cy0,Cy1,Cu, δ }y∈Yu                                            (4‑10) S5.外包解密(Oursourced_Decrypt(SK,CT)):当消息订阅者从网络中获取了其感兴趣 的数据包之后， 如果他的属性集满足该数据包的树形访问结构Γu， 并且用一次验证密钥vk 在密文uC上验证 签名 δ 通过， 则可以执 行公式(4 ‑11)的操作； 然后， 消息订阅者将剩余的部分解密操作外包给解密服务提供者DSP上， 首先他需要将 私钥进行改写， 防止DSP获取到任何明文信息； 首先随机选取t∈Zp， 然后计算d ’＝gt( α +r)/β， 最后得到如公式(4 ‑12)的改写之后的密钥版本： SK＝{d’,Dj＝H(j)rj*gr,Dj’＝gri}j∈S              (4‑12) 消息订阅者将{CT,SK}发送给解密服务提供者， 其中CT＝CT＝{Cy0,Cy1,Γu,C1}y∈Yu； DSP 需要执行如下步骤： 1):DSP执行一个节点解密的递归函数Node_Decrypt(SK,CT,p)， 其中p表示树的一个节 点； 首先， 针对叶子节点， 对于访问树Γu中的每个内部节点x， 我们将任意kx个child节点z的集合定义Sx， 且 child节点z满足Fz≠ ⊥； 如果不存在这样满足条件的集合， 函数返回； 否则， 节点解密的递 归函数执行如下的操作： 这里， Sx’＝{index(z):z∈Sx}， i＝index(z)； 递归到根节点会得到A: A＝FR＝Node_Decrypt(SK,CT,R)＝e(g,g)qR(0)r                   (4‑15) 2)DSP根据公式(4 ‑16)的配对运 算并得到B；权　利　要　求　书 2/4 页 3 CN 115426127 A 3