基于传感器网络的云平台隐私保护可验证数据聚合方法
阅读说明:本技术 基于传感器网络的云平台隐私保护可验证数据聚合方法 (Cloud platform privacy protection verifiable data aggregation method based on sensor network ) 是由 王宏毅 张述林 徐旭东 张珽 刘鸿霖 于 2021-11-12 设计创作,主要内容包括:本发明公开了一种基于传感器网络的云平台隐私保护可验证数据聚合方法,包括:S1.密钥生成中心生成公开参数和自己的公私钥对;S2.通信实体向密钥生成中心进行注册,密钥生成中心为每个通信实体生成对应的私钥和秘密参数;S3.传感器终端设备将敏感数据加密得到密文数据,并上传可验证的加密信息;S4.云平台服务器对可验证的加密信息进行验证,若验证通过,则接受可验证的加密信息;S5.云平台服务器计算所有可验证的加密信息的聚合密文生成可验证的聚合密文信息,并上传可验证的聚合密文信息;S6.工程管理数据分析中心对可验证的聚合密文信息进行解密恢复出原始聚合数据。本发明中任何单个移动终端数据的机密性都能受到保护。(The invention discloses a cloud platform privacy protection verifiable data aggregation method based on a sensor network, which comprises the following steps: s1, a key generation center generates public parameters and a private and public key pair of the key generation center; s2, the communication entities register with a key generation center, and the key generation center generates corresponding private keys and secret parameters for each communication entity; s3, the sensor terminal equipment encrypts the sensitive data to obtain ciphertext data and uploads verifiable encryption information; s4, the cloud platform server verifies the verifiable encryption information, and if the verification is passed, the verifiable encryption information is accepted; s5, the cloud platform server calculates the aggregation ciphertext of all verifiable encrypted information to generate verifiable aggregation ciphertext information, and uploads the verifiable aggregation ciphertext information; and S6, the project management data analysis center decrypts the verifiable aggregation ciphertext information to recover the original aggregation data. The confidentiality of any single mobile terminal data can be protected in the invention.)
技术领域
本发明涉及无线传感器网络环境以及云平台数据安全与隐私保护领域,特别是涉及一种基于传感器网络的云平台隐私保护可验证数据聚合方法。
背景技术
无线传感器网络主要利用各种类型的传感器终端设备,实时采集和监测网络区域环境中的各种信息,并且将这些信息通过无线网络发送到聚合节点,可以有效解决信息孤岛的问题。无线传感器网络在智慧城市等诸多领域有着非常广阔的应用前景。由于无线传感器网络计算与存储资源有限,如何减少对通信带宽和存储空间的浪费,降低节点能量消耗,延长网络的寿命,保证通信服务质量成为无线传感器网络需要迫切解决的技术问题。数据聚合是无线传感器网络数据处理的重要技术,通过对采集或者接收到的数据进行聚合处理,在合并不同来源的数据时过滤掉重复数据,进而消除数据冗余。
云平台技术可有效集成在无线传感器网络环境中充当聚合节点,减缓数据剧增所带来的存储和处理压力。虽然基于无线传感器网络环境中的云平台技术对海量数据的及时处理与存储呈现明显的优势,但同时数据容易遭受各种安全性威胁,其中机密性与完整性是最受关注的安全威胁。
发明内容
本发明的目的在于克服现有技术的一项或多项不足,提供一种基于传感器网络的云平台隐私保护可验证数据聚合方法。
本发明的目的是通过以下技术方案来实现的:基于传感器网络的云平台隐私保护可验证数据聚合方法,应用于无线传感器网络,所述无线传感器网络包括传感器终端设备、云平台服务器和工程管理数据分析中心,所述传感器终端设备与云平台服务器通信连接,云平台服务器与工程管理数据分析中心通信连接,所述云平台隐私保护可验证数据聚合方法包括:
S1.密钥生成中心生成公开参数和自己的公私钥对;
S2.通信实体向密钥生成中心进行注册,注册成功后,密钥生成中心为每个通信实体生成对应的私钥和秘密参数,并将所述私钥和秘密参数发送给对应的通信实体,所述通信实体包括传感器终端设备、云平台服务器和工程管理数据分析中心;
S3.传感器终端设备将采集到的敏感数据进行加密得到密文数据,并产生密文数据对应的第一消息认证码,并将可验证的加密信息上传到云平台服务器,所述可验证的加密信息包括密文数据和第一消息认证码;
S4.云平台服务器收到所述可验证的加密信息后,对所述可验证的加密信息进行验证,若验证通过,则云平台服务器接受所述可验证的加密信息;
S5.云平台服务器计算其在预设的时间周期内接受的所有可验证的加密信息的聚合密文得到可验证的聚合密文信息,并产生所述可验证的聚合密文信息对应的第三消息认证码,并将所述可验证的聚合密文信息发送给工程管理数据分析中心,所述可验证的聚合密文信息包括聚合密文和第三消息认证码;
S6.工程管理数据分析中心收到所述可验证的聚合密文信息后,对所述可验证的聚合密文信息进行解密,并对解密结果进行暴力破解恢复出原始聚合数据。
优选的,所述S1包括以下步骤:
S11.密钥生成中心随机选取两个大素数,设置,其中和是两个阶均为的乘法循环群,是合数阶双线性对映射;
S12.密钥生成中心随机选取乘法循环群的生成元 和,并计算乘法循环群中的一个元素 ;
S13.密钥生成中心设置一个素数阶双线性对映射,其中 是基于椭圆曲线的阶加法循环群,的生成元是,是阶乘法循环群,是大素数;
S14.密钥生成中心从阶有限域中选择一个非零随机数作为密钥生成中心的主私钥,并计算密钥生成中心的主公钥;
S15.密钥生成中心设置三个安全哈希函数、和,其中为基于哈希的消息认证码 HMAC 的密钥空间,是安全哈希函数输出的比特长度,是安全哈希函数输出的比特长度;
S16.密钥生成中心输出系统公开参数,并保存密钥生成中心的主私钥和解密密钥。
优选的,所述S2包括以下步骤:
S21.传感器终端设备将其真实身份信息发送给密钥生成中心,若传感器终端设备的真实身份信息不合法,则密钥生成中心拒绝为其注册;若传感器终端设备的真实身份信息合法,则密钥生成中心为传感器终端设备的真实身份信息计算对应的私钥,为传感器终端设备的真实身份信息,其中为传感器终端设备总数,并为传感器终端设备从集合中随机选取一个秘密参数,并将发送给传感器终端设备;
S22.云平台服务器将其真实身份信息发送给密钥生成中心,若云平台服务器的真实身份信息不合法,则密钥生成中心拒绝为其注册;若云平台服务器的真实身份信息合法,则密钥生成中心为云平台服务器计算对应的私钥和秘密参数,并将发送给云平台服务器,是云平台服务器的真实身份信息;
S23.工程管理数据分析中心将其真实身份信息发送给密钥生成中心,若工程管理数据分析中心的真实身份信息不合法,则密钥生成中心拒绝为其注册;若云平台服务器的真实身份信息合法,则密钥生成中心为工程管理数据分析中心计算对应的私钥,选取作为工程管理数据分析中心的解密密钥,并将发送给工程管理数据分析中心,是工程管理数据分析中心的真实身份信息。
优选的,所述S3包括以下步骤:
S31.传感器终端设备从集合中选取随机数,并计算密文数据表示传感器终端设备采集到的敏感数据;
S32.传感器终端设备计算自己与云平台服务器协商的第一认证会话密钥;
S33.传感器终端设备计算密文数据的基于哈希函数的第一消息认证码,,其中为当前的时间戳;
S34.传感器终端设备将可验证的加密信息上传到云平台服务器。
优选的,所述S4包括以下步骤:
S41.云平台服务器收到所述可验证的加密信息后,检验时间戳的有效性,若时间戳无效,则丢弃所述可验证的加密信息,若时间戳有效,则执行S42;
S42.云平台服务器计算自己与传感器终端设备协商的第二认证会话密钥;
S43.云平台服务器计算密文数据 的基于哈希函数的第二消息认证码,,当且仅当时,云平台服务器接受所述可验证的加密信息。
优选的,所述S5包括以下步骤:
S51.云平台服务器计算聚合密文;
S52.云平台服务器计算自己与工程管理数据分析中心协商的第三认证会话密钥;
S53.云平台服务器计算聚合密文 的基于哈希函数的第三消息认证码,,表示时间周期;
S54.云平台服务器将可验证的聚合密文信息发送给工程管理数据分析中心。
优选的,所述S6包括以下步骤:
S61.工程管理数据分析中心收到所述可验证的聚合密文信息后,检验时间周期的有效性,若时间周期无效,则丢弃所述可验证的聚合密文信息 ,若时间周期有效,则执行S62;
S62.工程管理数据分析中心计算自己与云平台服务器协商的第四认证会话密钥;
S63.工程管理数据分析中心计算聚合密文的基于哈希函数的第四消息认证码 ,,当且仅当时 ,工程管理数据分析中心接受所述可验证的聚合密文信息 ;
S64.工程管理数据分析中心使用解密密钥对所述可验证的聚合密文信息进行解密得到聚合密文的指数值,表示聚合密文的指数值,然后根据穷举暴力破解恢复得到原始聚合数据。
本发明的有益效果是:
(1)本发明的方法中,传感器终端设备采用同态加密技术将工程中的敏感数据进行加密,并将可验证的密文信息发送给云平台服务器,云平台服务器接收到所有传感器终端设备发送的数据后,对密文数据进行聚合处理,将大量的密文数据聚合为单一的聚合值进行传输,极大地降低了数据传输的通信开销;
(2)本发明的方法中,在整个数据传输、聚合和解密的过程中,只有数据的统计信息能够被工程管理数据分析中心解密得到,使得任何单个移动终端数据的机密性都受到保护;
(3)本发明的方法能够保证在终端数据的整个生命周期,即使用于解密聚合数据的解密密钥被意外地泄露或破坏,任何外部或内部的敌手都无法通过解密单个移动终端数据密文来获取原始单个明文信息。
附图说明
图1为本发明基于传感器网络的云平台隐私保护可验证数据聚合方法的一种流程框图。
具体实施方式
下面将结合实施例,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1,本实施例提供了一种基于传感器网络的云平台隐私保护可验证数据聚合方法:
如图1所示,基于传感器网络的云平台隐私保护可验证数据聚合方法,应用于无线传感器网络,所述无线传感器网络包括传感器终端设备、云平台服务器和工程管理数据分析中心,所述传感器终端设备与云平台服务器通信连接,云平台服务器与工程管理数据分析中心通信连接。
所述云平台隐私保护可验证数据聚合方法包括:
S1.密钥生成中心生成公开参数和自己的公私钥对。
所述S1包括以下步骤:
S11.密钥生成中心随机选取两个大素数,设置,其中和是两个阶均为的乘法循环群,是合数阶双线性对映射。
S12.密钥生成中心随机选取乘法循环群的生成元 和,并计算乘法循环群中的一个元素 。
S13.密钥生成中心设置一个素数阶双线性对映射,其中 是基于椭圆曲线的阶加法循环群,的生成元是,是阶乘法循环群,是大素数。
S14.密钥生成中心从阶有限域中选择一个非零随机数作为密钥生成中心的主私钥,并计算密钥生成中心的主公钥。
S15.密钥生成中心设置三个安全哈希函数、和,其中为基于哈希的消息认证码 HMAC 的密钥空间,是安全哈希函数输出的比特长度,是安全哈希函数输出的比特长度。
S16.密钥生成中心输出系统公开参数,并保存密钥生成中心的主私钥和解密密钥。
S2.通信实体向密钥生成中心进行注册,注册成功后,密钥生成中心为每个通信实体生成对应的私钥和秘密参数,并将所述私钥和秘密参数发送给对应的通信实体,所述通信实体包括传感器终端设备、云平台服务器和工程管理数据分析中心。
所述S2包括以下步骤:
S21.传感器终端设备将其真实身份信息发送给密钥生成中心,若传感器终端设备的真实身份信息不合法,则密钥生成中心拒绝为其注册;若传感器终端设备的真实身份信息合法,则密钥生成中心为传感器终端设备的真实身份信息计算对应的私钥,为传感器终端设备的真实身份信息,其中为传感器终端设备总数,并为传感器终端设备从集合中随机选取一个秘密参数,并将发送给传感器终端设备。
S22.云平台服务器将其真实身份信息发送给密钥生成中心,若云平台服务器的真实身份信息不合法,则密钥生成中心拒绝为其注册;若云平台服务器的真实身份信息合法,则密钥生成中心为云平台服务器计算对应的私钥和秘密参数,并将发送给云平台服务器,是云平台服务器的真实身份信息。
S23.工程管理数据分析中心将其真实身份信息发送给密钥生成中心,若工程管理数据分析中心的真实身份信息不合法,则密钥生成中心拒绝为其注册;若云平台服务器的真实身份信息合法,则密钥生成中心为工程管理数据分析中心计算对应的私钥,选取作为工程管理数据分析中心的解密密钥,并将发送给工程管理数据分析中心,是工程管理数据分析中心的真实身份信息。
S3.传感器终端设备将采集到的敏感数据进行加密得到密文数据,并产生密文数据对应的第一消息认证码,并将可验证的加密信息上传到云平台服务器,所述可验证的加密信息包括密文数据和第一消息认证码。
所述S3包括以下步骤:
S31.传感器终端设备从集合中选取随机数,并计算密文数据表示传感器终端设备采集到的敏感数据。
S32.传感器终端设备计算自己与云平台服务器协商的第一认证会话密钥。
S33.传感器终端设备计算密文数据的基于哈希函数的第一消息认证码,,其中为当前的时间戳。
S34.传感器终端设备将可验证的加密信息上传到云平台服务器。
S4.云平台服务器收到所述可验证的加密信息后,对所述可验证的加密信息进行验证,若验证通过,则云平台服务器接受所述可验证的加密信息。
所述S4包括以下步骤:
S41.云平台服务器收到所述可验证的加密信息后,检验时间戳的有效性,若时间戳无效,则丢弃所述可验证的加密信息,若时间戳有效,则执行S42。
S42.云平台服务器计算自己与传感器终端设备协商的第二认证会话密钥。
S43.云平台服务器计算密文数据 的基于哈希函数的第二消息认证码,,当且仅当时,云平台服务器接受所述可验证的加密信息。
S5.云平台服务器计算其在预设的时间周期内接受的所有可验证的加密信息的聚合密文得到可验证的聚合密文信息,并产生所述可验证的聚合密文信息对应的第三消息认证码,并将所述可验证的聚合密文信息发送给工程管理数据分析中心,所述可验证的聚合密文信息包括聚合密文和第三消息认证码。
所述S5包括以下步骤:
S51.云平台服务器使用秘密参数计算聚合密文。
S52.云平台服务器自身对应的私钥计算自己与工程管理数据分析中心协商的第三认证会话密钥。
S53.云平台服务器计算聚合密文 的基于哈希函数的第三消息认证码,,表示时间周期。
S54.云平台服务器将可验证的聚合密文信息发送给工程管理数据分析中心。
S6.工程管理数据分析中心收到所述可验证的聚合密文信息后,对所述可验证的聚合密文信息进行解密,并对解密结果进行暴力破解恢复出原始聚合数据。
所述S6包括以下步骤:
S61.工程管理数据分析中心收到所述可验证的聚合密文信息后,检验时间周期的有效性,若时间周期无效,则丢弃所述可验证的聚合密文信息 ,若时间周期有效,则执行S62。
S62.工程管理数据分析中心利用自身对应的私钥计算自己与云平台服务器协商的第四认证会话密钥。
S63.工程管理数据分析中心计算聚合密文的基于哈希函数的第四消息认证码 ,,当且仅当时 ,工程管理数据分析中心接受所述可验证的聚合密文信息 。
S64.工程管理数据分析中心使用解密密钥对所述可验证的聚合密文信息进行解密得到聚合密文的指数值,表示聚合密文的指数值,然后根据穷举暴力破解恢复得到原始聚合数据。
正确性推导如下:
在将密文数据上传云平台服务器阶段,传感器终端设备计算第一认证会话密钥;在云平台服务器对密文数据进行验证和聚合阶段,云平台服务器计算第二认证会话密钥。由于,
因此,每一个传感器终端设备与云平台服务器协商到相同的认证会话密钥 。这样,传感器终端设备和云平台服务器就可以计算出相同的消息认证码 ,从而确保传输密文数据的可认证性与完整性。
同理,云平台服务器与工程管理数据分析中心协商到相同的认证会话密钥。这是因为 , ,而且,
这样,云平台服务器和工程管理数据分析中心可以计算出相同的消息认证码。从而确保传输聚合密文数据的可认证性与完整性。
解密正确性推导如下:
当工程管理数据分析中心接收到云平台服务器上报的可验证的聚合密文信息后,工程管理数据分析中心使用解密密钥进行解密得到。由于和,工程管理数据分析中心计算如下:
根据穷举暴力破解,可以恢复得的原始聚合数据,从而可以进一步进行隐私保护的数据分析。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。