一种支持双向访问控制和可追责的公钥加密方法

技术领域

本发明涉及隐私保护和内容监管领域。具体涉及一种支持双向访问控制和可追责的公钥加密方法。

背景技术

互联网的飞速发展使得网络社交媒体在人们的生活中被广泛应用。目前，社交媒体的用户群体规模已高达数十亿，其中手机等移动端的社交媒体用户占绝大多数。然而，尽管网络社交媒体方便了用户的信息交流，但同时也带来了潜在的隐私泄露风险。当人们使用社交网络发送消息时，实际上他们也正在将这些隐私数据与软件服务提供商进行共享。虽然，在大数据时代，用户数据能够被企业收集并通过合理运用后再反馈给用户更好的服务，但也存在恶意厂商或第三方侵犯用户个人隐私等恶意事件。早在几年前，就有某分析公司非法收集了某社交平台数百万用户的个人资料并用于其他目的。并在短短半年后，该社交平台就再次陷入数据隐私泄露的丑闻。这些无疑都加大了用户对社交媒体隐私泄露的担忧也对现有的社交媒体隐私保护提出了新的挑战。

为解决上述挑战，端到端加密得以提出。端到端加密是一种保护通信隐私的加密方法，其中数据在发送方设备上进行加密，然后在接收方设备上进行解密，只有发送方和接收方能够访问和解密数据。在整个通信过程中，任何第三方，包括服务提供商和潜在的敌手都无法访问和解密数据。这极大地提高了用户通讯的安全性和隐私性，但同时也导致了服务提供商对平台内容难以监管的问题。因此，越来越多采用端到端加密的社交平台被用于传播大规模的垃圾信息、骚扰信息、暴力信息、虚假信息以及恐怖信息。这导致确保用户隐私的社交平台在内容监管上迎来了新的挑战。

匹配加密作为一种新兴的公钥密码体制开辟了新的秘密通信方式。即消息的发送者和接收者都可以指定对加密数据的细粒度访问控制策略。具体来讲，在匹配加密密码体制中，发送者和接收者都具有自己的属性，发送者可以指定满足某种属性的接收者才能解密消息，接收者也可以指定只有满足某种属性的发送者才能够给他发送消息，不满足条件的人给他发送消息，则会丢弃。所以只有当双方的访问控制策略都满足时，接收者才能将密文还原成明文。这种双边匹配的特性，有助于在端到端加密的网络社交平台中建立黑白名单机制，能够帮助接收者过滤掉其黑名单中非法发送者发送的信息。

消息盖戳最早由某公司在其端到端加密的消息服务中引入。它允许通过包含密码学证明来生成可验证的恶意信息检举报告，从而解决端到端加密场景下的监管审查问题。

发明内容

本发明是针对端到端加密的网络社交平台内容监管的一个新的公钥加密方法。该协议不需要依赖密钥生成中心(KGC)这样的中央权威机构来初始化用户的公私钥对，因此有效地解决了密钥托管和单点故障等问题。该协议还不涉及复杂耗时的配对运算，这使得本发明在一些算力资源受限的终端设备上也能有效部署。本发明还支持数据源认证并实现了举报监管功能。

本发明通过以下技术方案实现：

一种支持双向访问控制和可追责的公钥加密方法，包括如下步骤：

A、在系统初始化阶段中，系统用户根据网络社交平台运营商生成的系统公共参数pp调用密钥生成算法生成各自的公私钥对；具体包括：

发送者S随机选取

系统无需依赖第三方权威机构托管密钥，所有用户都在自己本地生成和管理自己的公私钥对；

B、在预处理阶段，发送者、接收者和监管者根据各自的私钥信息和目标通讯对象的公钥信息提前计算好辅助信息用于后续的加解密；具体包括：

若发送方S和接收方R间通信，其他用户间的通信同理，发送方S能够提前根据自己的私钥信息

C、在消息流转阶段中：

1)发送者S在发送加密信息前，会先选取随机值t并计算好中间量T＝(T

2)发送者S选取随机值u，并拼接要发送的消息m和证明π得到消息msg＝m||π；然后计算出下述密文分量：U＝g

3)接收者R接收到密文C后，会根据自己的白名单WL

4)接收者R还原出消息msg后，首先根据陈述

D、在举报监管阶段，监管者M解密由接收者R发送的密文举报信息得到消息msg，根据陈述

本发明的有益效果：

1)不需要依赖密钥生成中心这类中央权威机构来初始化用户的公私钥对，实现了去中心化并且有效解决了密钥托管和单点故障等问题。

2)用户可以提前计算加解密所需的辅助信息，降低通讯高峰期的计算开销，并且加解密操作不涉及复杂的配对运算，对用户终端设备的算力要求很低。

3)支持通讯信息的双向访问控制，只有当发送方和接收方的身份同时满足对方的访问控制策略时，接收者才能将通讯密文还原成明文，实现了密文过滤和消息源认证。

4)支持通讯密文的举报监管以及能够实现系统内监管职能的划分。

附图说明

图1为本发明系统初始化阶段的说明图；

图2为本发明消息流转阶段的说明图；

图3为本发明举报监管阶段的说明图。

具体实施方式

以下结合附图及实施例，对本发明做进一步详细说明。

一种支持双向访问控制和可追责的公钥加密方法，其系统模型包括监管者(社交平台运营商)，消息发送者(用户)，消息接收者(用户)三种角色。以下是对各个角色的特点和职能的详细描述：

一、监管者

本系统的监管者就是端到端加密的网络社交平台的服务提供商。他负责初始化系统参数，公布并更新维护系统的黑名单，以及接收并验证用户发起的恶意信息检举报告，进而追查系统内的恶意用户，履行内容监管的职能。

二、消息发送者：

消息发送者负责对发送消息的签名，即在发送的数据中混入标识发送者自身信息以及指定监管者身份信息的证明，然后需要指定目标接收者，也就是制定发送方的访问控制策略，最后就是加密数据并将密文分发给所有目标接收者。

三、消息接收者：

消息接收者负责解密密文并收集数据，但他只能够解密满足双边匹配的密文。若消息接收者还原出明文后，发现包含恶意信息，则可以向监管者发起恶意信息检举报告，要求监管者进行内容监管和问责追查，并将该恶意用户添加到系统黑名单。

本发明的具体技术方案包含如下步骤：

本公钥加密方法分为四个主要阶段：系统初始化、预处理、消息流转和举报监管。协议中存在发送者S(恶意)、接收者R(恶意)、监管者M(半诚实)。

步骤1：系统初始化

1.1系统公共参数初始化：该步骤由网络社交平台运营商执行，选取安全参数λ作为输入，生成一个素数阶群G，其阶数为p，生成元为g。然后，选取一个哈希函数Hash

1.2用户密钥初始化：发送者S随机选取

步骤2：预处理

2.1发送者S，接收者R和监管者M可以根据各自的私钥和目标通讯对象的公钥计算辅助信息，即

预处理所得的辅助信息可以有效减轻终端设备的计算压力，加快后续步骤的加解密效率。

步骤3：消息流转

3.1发送者签名：发送者S指定目标接收者R发送一则消息，其明文信息为m。首先需要选取随机值t并计算：

然后令

π＝NIZK

有关零知识证明的部分，会在后续详细介绍。

3.2发送者加密：发送者S选取随机值u，并拼接明文信息m和证明π，得到msg＝m||π。然后通过计算得到

最终发送者S将密文C＝(U，T，M，V)发送给接收者R。

3.3接收者过滤并解密密文：接收者R接收到密文C＝(U，T，M，V)后，首先根据自己的白名单WL

这里对解密算法的正确性进行说明，已知

3.4接收者验证：接收者R根据msg得到明文m和证明π，然后通过零知识证明，根据

步骤4：举报监管

接收者R还原出明文信息m后，若发现明文信息m涉及违规信息，比如包括诈骗、暴力等垃圾信息。则接收者R可以按照如下流程向监管者M进行举报。

4.1接收者加密：该阶段与发送者加密类似。接收者R选取随机值u′，然后计算

最终接收者R将密文C′＝(U′，T，M，V′)发送给监管者M。

4.2监管者过滤：该阶段与接收者过滤类似。监管者M接收到密文C′＝(U′，T，M，V′)后，首先根据自己的白名单WL

4.3监管者验证：该阶段与接收者验证类似。监管者由msg得到明文m和证明π，然后通过零知识证明，根据

以下是零知识证明部分的详细细节，主要是基于Okamoto协议和Chaum-Pedersen协议构造的，具体协议如下：

首先选定哈希函数

的关系约束表明该证明确实是由发送者S生成的，这确保了当发送者S发送违规信息并遭到举报时，监管者可以精准追责到他。此外，/>

消息发送者S用于生成标识自己身份的证明的算法如下：

NIZK

1)根据Okamoto协议：随机选取

2)根据Chaum-Pedersen协议：随机选取

然后生成哈希值

3)最终输出证明π＝(π

消息接收者R和监管者M作为验证者验证证明者具备满足约束关系R的知识的算法细节如下：

SPoK

令

输出1说明，证明者虽然没有透露相关的信息但确实具备有关满足上述关系约束的证明(witness)的知识，也就是(s，u，t)的知识，

正确性说明：对于

参阅图1，本发明在系统初始化阶段中会由平台服务提供商根据安全参数λ生成系统公共参数pp，此外，其作为监管者的一员也会向系统用户公布包含恶意用户公钥信息的黑名单。系统中的每个用户都可以根据黑名单和个人通讯录建立一份可信白名单用于后续流程的密文过滤。并且系统用户(包括消息发送者，消息接收者，消息监管者)会根据公共参数pp在本地调用密钥生成算法生成自己的公私钥对。

参阅图2，本发明在消息流转阶段，会要求消息发送者在发送消息之前通过零知识证明嵌入有关自身身份信息以及指定监管者身份信息的证明，然后发送者会将消息明文和证明进行拼接并进行加密，在加密前会要求发送者指定目标接收者，即做到发送方这边的访问控制。然后，当消息接收者接收到发送方发送给他的密文时，消息接收者首先会查询自身的可信白名单，核实一下消息发送者是否在自己的白名单内，如果不在，则直接丢弃密文不予处理；如果在，则再判断消息发送者是否是自己的目标发送者，也就是检验发送者的身份信息是否满足接收方的访问控制策略。如果双边匹配成功，则消息接收者能够成功成功还原出明文。对于还原得到的明文，还需要做一步完整性检验，目的是对接收数据是否被篡改进行验证。如果验证不通过，消息接收者可以视其为无效信息，予以丢弃。若消息接收者反复从同一个消息发送方那里接收到验证不通过的明文数据，接收方可以自行将该发送方从自己的可信白名单中移除。

参阅图3，消息接收者在成功解密密文并确认验证通过后，如果发现明文数据中包含违规、恶意信息，则接收者可以认为发送方是恶意的，存在违反网络社交平台内容监管条款的行为。此时，接收方可以向此条信息的指定监管者发起举报，接收方会充当发送方先提取标识恶意用户身份信息的证明π，制定好访问控制策略后再加密最后将密文发送给指定监管者。监管者接收到密文后，首先也是根据自己维护的白名单进行密文过滤，然后在双边匹配的前提下解密密文并提取标识此条恶意信息的发送者的身份证明，之后通过零知识证明检验举报信息的真实性，即确认该恶意信息确实是像接收者说的那样是发送者发送给他的。最后就是由监管者对此恶意信息展开调查，并对被举报对象进行追责，再根据情节严重情况看是否将其加入系统黑名单。实际上在真实场景下，也存在接收方向其他监管者发送举报信息的情况，但其他监管者在接收到举报信息时，会通过自己的公钥去做验证，看该条信息是否是由自己监管，如果不是，则不予处理。这就起到了一个系统内监管职能的划分。