基于轻量级属性基加密的航班计划数据安全共享方法与流程

1.本发明属于民航数据安全技术领域，具体涉及一种基于轻量级属性加密的航班旅客数据安全共享方法。


背景技术：

2.随着民航业数字化、智能化、智慧化的转型升级，民航数据已逐渐成为一种新的行业生产要素和经济社会资源。航班计划数据是民航数据的主要成分之一，逐渐具备了海量化、异构化、快速化等大数据特征。通过对航班计划数据的分析和共享，不仅有利于实现对空域资源和机场资源的精细化管理，还可以为旅客和管理单位提供更人性化的空乘服务。如何“管好、用好”航班计划数据，是民航部门、航空公司以及广大民航旅客共同高度关注的艰巨考验。而数据安全是数据共享的基础，因此实现航班信息的安全共享克服考验的基本前提。
3.当前民航业内尚未形成有效的数据安全共享机制，业务流程中存在数据泄露、数据篡改、数据伪造以及数据破坏的可能。从技术路线上看，对航班计划数据进行加密具备可行性。然而现有加密算法主要考虑的是点对点的通信安全，既不能在共享场景下提供多对多通信的安全保证，也无法提供灵活的访问控制机制。因此利用现有的加密算法不仅达不到对航班计划数据进行有效保护的效果，反而会导致诸如密钥空间复杂度高、加解密频繁等问题的产生。


技术实现要素：

4.针对于上述现有技术的不足，本发明的目的在于提供一种基于轻量级属性基加密的航班计划数据安全共享方法，以解决现有技术中的点对点通信，在大数据共享场景下既不能提供多对多通信的安全保证，也无法提供灵活自如的访问控制机制的问题。
5.为达到上述目的，本发明采用的技术方案如下：
6.本发明的一种基于轻量级属性加密的航班旅客数据安全共享方法，步骤如下：
7.1)根据航班计划数据的业务流向和具体类型，执行初始化算法，将安全参数k作为初始化算法的输入，初始化算法输出公钥pp和密钥msk；
8.2)根据数据用户的航班计划数据访问需求，制定对应的树形结构访问策略并执行访问策略转换算法，将树形结构访问策略作为访问策略转换算法的输入，访问策略转换算法输出权重阈值门访问策略
9.3)将所述步骤1)中的密钥msk以及所述步骤2)中的权重阈值门访问策略作为私钥生成算法的输入，私钥生成算法输出对应的私钥pk，发给数据用户；
10.4)对于航班计划数据源产生的航班计划数据m，根据航班计划数据的具体业务流向和具体类型生成所述航班计划数据属性集合s，执行加密算法对航班计划数据m进行加密，将航班计划数据属性集合s、航班计划数据m、以及公钥pp作为加密算法的输入，输出航
班计划数据密文ct进行存储；
11.5)访问具体的航班计划数据，将对应的航班计划数据密文ct转发给数据用户，利用数据用户的私钥pk，执行解密算法，解密航班计划数据密文ct，即将步骤1)中的公钥pp、步骤3)中的私钥pk及步骤4)中的航班计划数据密文ct作为解密算法的输入，执行解密算法输出航班计划数据m。
12.进一步地，所述步骤1)中的初始化算法具体包括：
13.11)创建航班计划数据属性空间ω，选择一个抗碰撞的哈希函数h:为乘法循环群，是以大素数p为模的整数环；
14.12)利用mnt曲线生成乘法循环群和整数环所述乘法循环群的生成元为g，所述乘法循环群的阶为大素数p，所述整数环的模也为大素数p；
15.13)在整数环上随机选择一个正整数元素作为密钥主参数t，计算得到公钥主参数t＝g
t
；
16.14)对于航班计划数据属性空间ω中的每个属性i，分别在整数环上随机选择一个正整数元素作为对应属性i的密钥属性参数ti，计算得到公钥属性参数
17.15)输出公钥以及密钥
18.进一步地，所述步骤2)中访问策略转换算法具体包括：
19.21)提取树形结构访问策略中包含的所有属性，构成访问策略属性集合u；
20.22)遍历树形结构访问策略穷举出所有关于所述树形结构访问策略的最小接受属性集合s
min
和最大拒绝属性集合
21.23)将任意的s
min
和组成逻辑不等式，即将所有的逻辑不等式组成逻辑不等式方程组；
22.24)通过遍历寻找逻辑不等式方程组的非零特解，根据非零特解设置属性集u所有属性的权重；
23.25)生成权重阈值门访问策略其中n为访问策略属性集合u中所有属性的权重之和，k为满足权重阈值门访问策略的权重阈值，wi为访问策略属性集合u中任意属性i的权重。
24.进一步地，所述步骤3)中私钥生成算法具体包括：
25.31)基于权重阈值门访问策略生成一个正整数集合其中r
ij
是整数环上随机且唯一的正整数；
26.32)对于正整数集合r当中的每个r
i,j
，分别生成对应的拉格朗日算子
[0027][0028]
其中，r为正整数集合r中除了r
i,j
以外的任意元素；
[0029]
33)创建一个位于整数环上且次数为k-1的离散多项式q(x)：
[0030]
q(x)＝a
k-1
x
k-1
+a
k-2
x
k-2
+
…
+a1x+t mod p
[0031]
其中，x表示整数环上的任意元素，{a
k-1
,a
k-2
,
…
,a1}是位于整数环上的一组随机系数，常数项等于所述步骤12)中的密钥主参数t，即q(0)＝t；
[0032]
34)对于正整数集合r当中的每个r
i,j
，根据多项式q计算得到私钥主参数d
i,j
：
[0033]di,j
＝q
i,j
+ti[0034]
其中，q
i,j
＝q(r
i,j
)是以r
i,j
为输入得到的离散多项式计算结果，ti为密钥msk当中对应于属性i的密钥属性参数；
[0035]
35)输出数据用户的私钥
[0036]
进一步地，所述步骤4)具体包括：
[0037]
41)在正整数环上随机选择一个正整数作为加密秘密数h；
[0038]
42)计算得到密文主参数c，以及密文辅参数c0；
[0039]
c＝mh(th)
[0040]
c0＝gh[0041]
43)对于航班计划数据属性集合s中的每个属性i，根据所述公钥属性参数ti分别计算得到密文属性参数ci：
[0042][0043]
44)输出航班计划数据密文
[0044]
进一步地，所述步骤5)具体包括：
[0045]
51)根据所述航班计划数据密文ct中的航班计划数据属性集合s，以及所述步骤35)中私钥pk中的访问策略属性集合u，生成解密属性交集v＝s∩u；
[0046]
52)根据所述步骤3)中私钥pk中的权重阈值门访问策略计算解密属性交集v当中所有属性的权重总和，如果权重总和小于权重阈值门访问策略中的阈值k则输出为空并终止解密，否则执行下一步骤53)；
[0047]
53)根据所述步骤42)中的密文辅参数c0、步骤43)中的密文属性参数ci，以及所述步骤34)中的私钥主参数d
i,j
，计算得到解密属性参数然后生成解密属性参数集合
[0048]
54)根据所述步骤32)中的拉格朗日算子利用所述步骤53)得到的解密属性参数集合f抽取解密主参数g
ht
：
[0049][0050]
55)根据所述步骤42)中的密文主参数c，利用步骤54)得到的解密主参数g
ht
抽取航班计划数据m：
[0051][0052]
本发明的有益效果：
[0053]
(1)本发明实现了航班计划数据的属性基加密存储，航班计划数据存储更为安全，加解密效率更高，同时实现了航班计划数据加密后访问控制，航班计划数据共享更为灵活；
[0054]
(2)本发明方法提出的初始化算法具有步骤简单、生成的公钥长度短的优势，公钥长度缩短了约50％；
[0055]
(3)本发明方法提出的私钥生成算法具有生成的私钥长度短的优势，私钥长度缩短了约50％；
[0056]
(4)本发明方法增加了访问策略转换算法，可以将树形结构访问策略转换为权重阈值门访问策略，在相同的表达性情况下使得访问策略的结构更加简单；
[0057]
(5)本发明方法提出的加密算法和解密算法不再依赖配对(pairing)计算，有效降低了航班计划数据共享过程中的加解密开销。
附图说明
[0058]
图1为本发明方法原理图。
[0059]
图2为航班计划数据属性空间示意图。
[0060]
图3为本发明和其他现有方案的加密效率对比图。
[0061]
图4为本发明和其他现有方案的解密效率对比图。
[0062]
图5为树形结构访问策略示意图。
[0063]
图6为权重阈值门访问策略示意图。
具体实施方式
[0064]
为了便于本领域技术人员的理解，下面结合实施例与附图对本发明作进一步的说
明，实施方式提及的内容并非对本发明的限定。
[0065]
参照图1所示，本发明的一种基于轻量级属性加密的航班旅客数据安全共享方法，步骤如下：
[0066]
1)根据航班计划数据的业务流向和具体类型，执行初始化算法，将安全参数k作为初始化算法的输入，初始化算法输出公钥pp和密钥msk；
[0067]
其中，所述初始化算法具体包括：
[0068]
11)创建航班计划数据属性空间ω(航班计划数据属性空间ω的具体示例参照图2)，选择一个抗碰撞的哈希函数h:为乘法循环群，是以大素数p为模的整数环；
[0069]
12)利用mnt曲线生成乘法循环群和整数环所述乘法循环群的生成元为g，所述乘法循环群的阶为大素数p，所述整数环的模也为大素数p；
[0070]
13)在整数环上随机选择一个正整数元素作为密钥主参数t，计算得到公钥主参数t＝g
t
；
[0071]
14)对于航班计划数据属性空间ω中的每个属性i，分别在整数环上随机选择一个正整数元素作为对应属性i的密钥属性参数ti，计算得到公钥属性参数
[0072]
15)输出公钥以及密钥
[0073]
2)根据数据用户的航班计划数据访问需求，制定对应的树形结构访问策略并执行访问策略转换算法，将树形结构访问策略作为访问策略转换算法的输入，访问策略转换算法输出权重阈值门访问策略树形结构访问策略表示成图如图5所示。
[0074]
其中，所述访问策略转换算法具体包括：
[0075]
21)提取树形结构访问策略中包含的所有属性，构成访问策略属性集合u；
[0076]
u＝{"属性1","属性8","属性13"}
[0077]
22)遍历树形结构访问策略穷举出所有关于所述树形结构访问策略的最小接受属性集合s
min
和最大拒绝属性集合
[0078]smin,1
＝{"属性1","属性8"}
[0079]smin,2
＝{"属性1","属性13"}
[0080][0081][0082]
23)将任意的s
min
和组成逻辑不等式，即将所有的逻辑不等式组成逻辑不等式方程组；
[0083][0084][0085][0086]
[0087]
24)通过遍历寻找逻辑不等式方程组的非零特解，根据非零特解设置属性集u所有属性的权重；
[0088][0089]
25)生成权重阈值门访问策略
[0090][0091]
其中，4为属性集u中所有属性的权重之和，3为满足权重阈值门访问策略的权重阈值，权重阈值门访问策略如图6所示。
[0092]
3)将所述步骤1)中的密钥msk以及所述步骤2)中的权重阈值门访问策略作为私钥生成算法的输入，私钥生成算法输出对应的私钥pk，发给数据用户；
[0093]
其中，所述私钥生成算法具体包括：
[0094]
31)基于权重阈值门访问策略生成一个正整数集合其中r
i,j
是整数环上随机且唯一的正整数；
[0095]
32)对于正整数集合r当中的每个r
i,j
，分别生成对应的拉格朗日算子
[0096][0097]
其中，r为正整数集合r中除了r
i,j
以外的任意元素；
[0098]
33)创建一个位于整数环上且次数为k-1的离散多项式q(x)：
[0099]
q(x)＝a
k-1
x
k-1
+a
k-2
x
k-2
+
…
+a1x+t mod p
[0100]
其中，x表示整数环上的任意元素，{a
k-1
,a
k-2
,
…
,a1}是位于整数环上的一组随机系数，常数项等于所述步骤12)中的密钥主参数t，即q(0)＝t；
[0101]
34)对于正整数集合r当中的每个r
i,j
，根据多项式q计算得到私钥主参数d
i,j
：
[0102]di,j
＝q
i,j
+ti[0103]
其中，q
i,j
＝q(r
i,j
)是以r
i,j
为输入得到的离散多项式计算结果，ti为密钥msk当中对应于属性i的密钥属性参数；
[0104]
35)输出数据用户的私钥
[0105]
4)对于航班计划数据源产生的航班计划数据m，对照所述步骤1)中的航班计划数据属性空间ω，根据航班计划数据的具体业务流向和具体类型生成所述航班计划数据属性集合s：
[0106]
s＝{"属性1","属性13"}
[0107]
执行加密算法对航班计划数据m进行加密，将航班计划数据属性集合s、航班计划数据m、以及公钥pp作为加密算法的输入，输出航班计划数据密文ct进行存储；具体包括：
[0108]
41)在正整数环上随机选择一个正整数作为加密秘密数h；
[0109]
42)计算得到密文主参数c，以及密文辅参数c0；
[0110]
c＝mh(th)
[0111]
c0＝gh[0112]
43)对于航班计划数据属性集合s中的每个属性i，根据所述公钥属性参数ti分别计算得到密文属性参数ci：
[0113][0114]
44)输出航班计划数据密文
[0115]
5)访问具体的航班计划数据，将对应的航班计划数据密文ct转发给数据用户，利用数据用户的私钥pk，执行解密算法，解密航班计划数据密文ct，即将步骤1)中的公钥pp、步骤3)中的私钥pk及步骤4)中的航班计划数据密文ct作为解密算法的输入，执行解密算法输出航班计划数据m；具体包括：
[0116]
51)根据所述航班计划数据密文ct中的航班计划数据属性集合s，以及所述步骤35)中私钥pk中的访问策略属性集合u，生成解密属性交集v＝s∩u；
[0117]
52)根据所述步骤3)中私钥pk中的权重阈值门访问策略计算解密属性交集v当中所有属性的权重总和，如果权重总和小于权重阈值门访问策略中的阈值k则输出为空并终止解密，否则执行下一步骤53)；
[0118]
53)根据所述步骤42)中的密文辅参数c0、步骤43)中的密文属性参数ci，以及所述步骤34)中的私钥主参数d
i,j
，计算得到解密属性参数然后生成解密属性参数集合
[0119]
54)根据所述步骤32)中的拉格朗日算子利用所述步骤53)得到的解密属性参数集合f抽取解密主参数g
ht
：
[0120][0121]
55)根据所述步骤42)中的密文主参数c，利用步骤54)得到的解密主参数抽取航班计划数据m：
[0122]
[0123]
在不同属性数量的情况下分别执行20次加密计算和解密计算，统计并记录了加密和解密的平均计算时间。平均加密计算时间如图3所示，三种方案的平均加密计算时间随属性数量均呈线性关系。其中bsw07和ac17方案加密性能几乎相同：属性数量为20时，bsw07的加密计算时间为195ms，ac17的加密计算时间为197ms；属性数量为50时，bsw07的加密计算时间为490ms，ac17的加密计算时间为437ms。反观本发明方法：属性数量为20时，平均加密计算时间为22ms；属性数量为50时，平均加密计算时间为55ms。可以看到当属性数量达到50时，本发明所述方法的平均加密计算时间相比bsw07和ac07减少了接近90％，而且对于属性数量不敏感，几乎达到了o(1)的时间复杂度。
[0124]
平均解密时间如图4所示；bsw07的解密时间关于属性数量呈明显的线性关系：当属性数量为20时，平均解密时间为254ms；当属性数量为50时，平均解密时间为661ms。ac17方案的解密时间复杂度为o(1)，因此无论属性数量是多少，平均解密时间基本没有任何变化。最重要的是，本发明所述方法的解密时间复杂度虽然随属性数量呈线性关系，但在本次实验过程中所展现出来的平均解密时间与ac17方案差异不太明显，在属性数量小于20时甚至要优于ac17方案。
[0125]
本发明具体应用途径很多，以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干改进，这些改进也应视为本发明的保护范围。

技术特征：
1.一种基于轻量级属性加密的航班旅客数据安全共享方法，其特征在于，步骤如下：1)根据航班计划数据的业务流向和具体类型，执行初始化算法，将安全参数k作为初始化算法的输入，初始化算法输出公钥pp和密钥msk；2)根据数据用户的航班计划数据访问需求，制定对应的树形结构访问策略并执行访问策略转换算法，将树形结构访问策略作为访问策略转换算法的输入，访问策略转换算法输出权重阈值门访问策略3)将所述步骤1)中的密钥msk以及所述步骤2)中的权重阈值门访问策略作为私钥生成算法的输入，私钥生成算法输出对应的私钥pk，发给数据用户；4)对于航班计划数据源产生的航班计划数据m，根据航班计划数据的具体业务流向和具体类型生成所述航班计划数据属性集合s，执行加密算法对航班计划数据m进行加密，将航班计划数据属性集合s、航班计划数据m、以及公钥pp作为加密算法的输入，输出航班计划数据密文ct进行存储；5)访问具体的航班计划数据，将对应的航班计划数据密文ct转发给数据用户，利用数据用户的私钥pk，执行解密算法，解密航班计划数据密文ct，即将步骤1)中的公钥pp、步骤3)中的私钥pk及步骤4)中的航班计划数据密文ct作为解密算法的输入，执行解密算法输出航班计划数据m。2.根据权利要求1所述的基于轻量级属性加密的航班旅客数据安全共享方法，其特征在于，所述步骤1)中的初始化算法具体包括：11)创建航班计划数据属性空间ω，选择一个抗碰撞的哈希函数h:11)创建航班计划数据属性空间ω，选择一个抗碰撞的哈希函数h:为乘法循环群，是以大素数p为模的整数环；12)利用mnt曲线生成乘法循环群和整数环所述乘法循环群的生成元为g，所述乘法循环群的阶为大素数p，所述整数环的模也为大素数p；13)在整数环上随机选择一个正整数元素作为密钥主参数t，计算得到公钥主参数t＝g
t
；14)对于航班计划数据属性空间ω中的每个属性i，分别在整数环上随机选择一个正整数元素作为对应属性i的密钥属性参数t
i
，计算得到公钥属性参数15)输出公钥以及密钥3.根据权利要求2所述的基于轻量级属性加密的航班旅客数据安全共享方法，其特征在于，所述步骤2)中访问策略转换算法具体包括：21)提取树形结构访问策略中包含的所有属性，构成访问策略属性集合u；22)遍历树形结构访问策略穷举出所有关于所述树形结构访问策略的最小接受属性集合s
min
和最大拒绝属性集合23)将任意的s
min
和组成逻辑不等式，即将所有的逻辑不等式组成逻辑不等式方程组；24)通过遍历寻找逻辑不等式方程组的非零特解，根据非零特解设置属性集u所有属性
的权重；25)生成权重阈值门访问策略其中n为访问策略属性集合u中所有属性的权重之和，k为满足权重阈值门访问策略的权重阈值，w
i
为访问策略属性集合u中任意属性i的权重。4.根据权利要求3所述的基于轻量级属性加密的航班旅客数据安全共享方法，其特征在于，所述步骤3)中私钥生成算法具体包括：31)基于权重阈值门访问策略生成一个正整数集合其中r
ij
是整数环上随机且唯一的正整数；32)对于正整数集合r当中的每个r
i,j
，分别生成对应的拉格朗日算子，分别生成对应的拉格朗日算子其中，r为正整数集合r中除了r
i,j
以外的任意元素；33)创建一个位于整数环上且次数为k-1的离散多项式q(x)：其中，x表示整数环上的任意元素，{a
k-1
,a
k-2
,
…
,a1}是位于整数环上的一组随机系数，常数项等于所述步骤12)中的密钥主参数t，即q(0)＝t；34)对于正整数集合r当中的每个r
i,j
，根据多项式q计算得到私钥主参数d
i,j
：d
i,j
＝q
i,j
+t
i
其中，q
i,j
＝q(r
i,j
)是以r
i,j
为输入得到的离散多项式计算结果，t
i
为密钥msk当中对应于属性i的密钥属性参数；35)输出数据用户的私钥5.根据权利要求4所述的基于轻量级属性加密的航班旅客数据安全共享方法，其特征在于，所述步骤4)具体包括：41)在正整数环上随机选择一个正整数作为加密秘密数h；42)计算得到密文主参数c，以及密文辅参数c0；c＝mh(t
h
)c0＝g
h
43)对于航班计划数据属性集合s中的每个属性i，根据所述公钥属性参数t
i
分别计算得到密文属性参数c
i
：44)输出航班计划数据密文6.根据权利要求5所述的基于轻量级属性加密的航班旅客数据安全共享方法，其特征在于，所述步骤5)具体包括：51)根据所述航班计划数据密文ct中的航班计划数据属性集合s，以及所述步骤35)中私钥pk中的访问策略属性集合u，生成解密属性交集v＝s∩u；
52)根据所述步骤3)中私钥pk中的权重阈值门访问策略计算解密属性交集v当中所有属性的权重总和，如果权重总和小于权重阈值门访问策略中的阈值k则输出为空并终止解密，否则执行下一步骤53)；53)根据所述步骤42)中的密文辅参数c0、步骤43)中的密文属性参数c
i
，以及所述步骤34)中的私钥主参数d
i,j
，计算得到解密属性参数然后生成解密属性参数集合54)根据所述步骤32)中的拉格朗日算子利用所述步骤53)得到的解密属性参数集合f抽取解密主参数g
ht
：55)根据所述步骤42)中的密文主参数c，利用步骤54)得到的解密主参数g
ht
抽取航班计划数据m：

技术总结
本发明公开了一种基于轻量级属性加密的航班旅客数据安全共享方法，步骤如下：根据航班计划数据的业务流向和具体类型，执行初始化算法；根据数据用户的航班计划数据访问需求，制定对应的树形结构访问策略，并执行访问策略转换算法；执行私钥生成算法，输出私钥交给数据用户；对于航班计划数据源产生航班计划数据，执行加密算法对航班计划数据进行加密，输出航班计划数据密文进行存储；访问具体的航班计划数据，将对应的航班计划数据密文转发给数据用户，数据用户执行解密算法，获取对应的航班计划数据。本发明的方法实现了航班计划数据的加密存储，航班计划数据加密后的分段访问控制，降低了密钥协商的通信开销及密钥空间复杂度。度。度。


技术研发人员：林国峰 陈新中 周禄华 邬秋香 沈德仁 王蓓蓓 章昆 王匀 张翰文
受保护的技术使用者：南京莱斯信息技术股份有限公司
技术研发日：2022.07.18
技术公布日：2022/11/1