基于橢圓曲線加密的數據安全共享方案設計以科技人才公共服務平臺為例

中圖分類號：TP393.0 文獻標志碼：A 文章編號：1003-5168（2025）12-0039-04

DOI：10.19968/j.cnki.hnkj.1003-5168.2025.12.008

Design ofData Security Sharing Scheme Based on Elliptic Curve Encryption

——ACaseStudyof theScienceand TechnologyTalentPublicServicePlatform LI Yadong1YANG Jing1ZHANG Junsong2 （1.Henan Science and Technology Exchange Center， Zhengzhou 450008，China; 2.School of Computer Science and Technology， Zhengzhou University of Light Industry， Zhengzhou 45oo01， China）

Abstract： [Purposes] In the development of a scientific and technological talent public service platform， the sharing of talent-related information and data security within the platform are of paramount importance.Additionally，issues such as anonymization of privacy-sensitive data，data freshness，and realtime updates must be considered.Therefore，taking the scientific and technological talent public service platform as an example， it is imperative to design and implement a secure data sharing scheme that is controlled by data owners to ensure the safety and controllability of scientific and technological talent data.[Methods] Taking the scientific and technological talent public service platform as a case study， technologies such as elliptic curve encryption and Secure Hash Function are adopted to design and realize the ownership transfer of scientific and technological talent data，so that target users can obtain corresponding data usage rights.[Findings] A security analysis was conducted on the proposed scheme.The analysis demonstrates that the scheme sproven to efectively guarantee data security and integrity during both the authentication phase and the subsequent data sharing phase.[Conclusions] The proposed scheme complies with thedata security requirements of the scientificand technological talent public service platform，effectively protecting both users'identity privacyand the confidentialityand integrity of data.

Keywords： data security sharing; elliptic curve encryption; identity privacy protection; data integrity

0 引言

為整合分散在高校、科研院所、企業等不同主體的科技人才信息，解決傳統人才信息管理過程中信息不對稱、資源割裂等問題，河南省推動建設了省級科技人才公共服務平臺。該平臺的建設以服務為基礎，整合多部門數據信息，精準對接需求，實現安全、高效的一站式服務，旨在為政府部門提供全面、準確、科學的信息依據，推動科技人才的培養與發展。在該平臺的建設過程中，如何將已建成的基礎設施和數據系統與現有的網絡資源和數據資源相結合，并加以充分利用，變得十分重要。特別是在科技人才相關信息的共享與數據的安全間題上[1]。

由于科技人才的相關數據具有一定的重要性和機密性，因此需要設計相應的安全方案，以解決數據保密、用戶驗證、訪問控制等關鍵問題[2-3]，拒絕非法用戶和合法用戶的越權操作，避免系統數據遭到破壞，防止系統數據被竊取和篡改，確保涉密信息的安全傳輸、存儲、訪問[4]。基于此，本研究提出一種基于橢圓曲線加密（EllipticCurveCryptography，ECC）的數據安全共享方案，以滿足科技人才公共服務平臺的建設需要。

1 研究方法與理論

1.1 橢圓曲線加密（ECC）

ECC算法是一種公鑰加密技術，以橢圓曲線理論為基礎。利用有限域上橢圓曲線的點構成的Abel群離散對數難解性，實現加密、解密和數字簽名[5]。ECC的主要優勢是在同等加密安全強度下，ECC所使用的密鑰長度比其他公鑰加密算法的密鑰長度短很多[6。如密鑰長度為163bit的ECC的安全強度大致和密鑰長度為 1024bit 的RSA算法一致。密鑰的長度短，就意味著占用更少的存儲空間，更低的CPU開銷和占用更少的帶寬[7]。另外，由于可以使用更短的密鑰達到同級的安全程度，所以同級安全程度下ECC算法的運行速度相對更快。

ECC定義：設 p 為一個大于512bit的素數， GF （P） 為模 P 所構成的一個有限域，在 GF（P） 上的橢圓曲線 E 的定義見式（1）。

y²=x³+ax+b

式中 ：a，b∈GF（P） ，且滿足 4a³+27b²≠0 （modP ）。橢圓曲線 E 上點的乘法可以通過倍加的方式來定義，具體見式（2）。

橢圓曲線離散對數問題（ECDLP）：給定一個定義在有限域 GF（P） 上的橢圓曲線 E ，點 P_σ，Q∈E ，找到一個整數 k∈Z_P^* ，使得 Q=kP 是困難的。

橢圓曲線Diffie-Hellman問題（ECDHP）：給定一個定義在有限域 GF（P） 上的橢圓曲線 E ，點 P 、aP，bP∈E ，其中 a，b∈Z_P^* ，找到一個整數 c∈Z_P^* ，使得cP=abP 是困難的。

1.2科技人才管理平臺功能模型

通過綜合考慮科技人才工作特點和科技人才需求，該科技人才管理平臺功能模型主要包括以下模塊：用戶管理模塊、人才培養模塊、內容發布模塊、資源對接模塊。

其中，用戶管理模塊實現了對科研人才和科研人才平臺的管理功能，包括角色的劃分、用戶的注冊和登錄、用戶信息的展示等內容；人才培養模塊主要是針對科技人才的培養和能力培訓，包括制定培訓課程體系；內容發布模塊包含人才支持政策和新聞的編輯、發布功能；資源對接模塊為科技人才和用人單位提供對接服務，包括成果和需求的發布、查詢、對接等操作。

2基于橢圓曲線加密的數據安全共享方案設計與實施

2.1 方案設計

基于橢圓曲線加密的數據安全共享與授權框架共包括3個參與方：數據的擁有者（User）、數據存儲服務器（DS）和數據的目標共享用戶（TUser）。其中，數據存儲服務器除了負責存儲用戶的數據以外，還負責相關系統參數的設定和密鑰的分發，是系統可靠的第三方。該方案的系統模型如圖1所示。

2.2 實施流程

2.2.1系統初始化。數據存儲服務器DS進行初始化操作，生成整個系統的公共參數。詳細步驟如下。

首先，密鑰分發中心會選擇一個大的素數 P （ 512bit 以上）和有限域 Z_P^* 下的橢圓曲線 E：y²=x³ 1 （4a³+27b≠0） 。 P 為橢圓曲線 E 上的一個階為 q 的基點（BasePoint）。

其次，數據存儲服務器選定自己的私鑰 s_d∈Z_P^* 并計算出相對應的公鑰 PK_d=s_d?P 。

最后，DS選擇一個安全哈希函數 h（?） ，并將公共參數對外公布。

2.2.2數據擁有者 A 的密鑰生成。數據擁有者 A 選擇一個隨機數 k_?A∈Z_?P^?* ，并計算 K_?A=k_?A?P ，然后 A 將其身份標識符 ID_A 與 K_a 通過安全通信信道傳遞給數據存儲服務器 DS 。DS在收到 {ID_A，K_A} 后，選擇一個隨機值 r_A ，并計算 R_A=K_A+r_A?P 。之后計算數據擁有者 A 的認證憑證 s_?A^*=h（ID_?A∣∣R_?A^X）?_?A+ r_A 。其中 R_A^X 為點 R_A 在橢圓曲線 E 上面的 X 軸坐標值。

隨后，數據存儲服務器DS將 s_A^* 和 R_A 都傳遞給數據擁有者 A 。數據擁有者 A 需妥善保存 s_A^* 。因 A 利用 s_A^* 可以隨時計算出自己的私鑰： s_?A=s_?A^*+k_?A° 任何人根據 A 的公鑰參數 R_A 都可以計算出 A 的公鑰： PK_?A=h（ID_?A∣∣R_?A^?X）?PK_?d+R_?A° ，這是由于： PK_A= s_A?p=（s_A^*+k_A）?p=s_A^*?P+k_A?P=（h（ID_A∣∣R_A^x）? （20 s_d+r_A）?P+k_A?P=h（ID_A∣∣R_A^X）?s_d?P+（r_A+k_A） .

2.2.3數據的加密存儲。在完成身份認證后，數據擁有者就可以利用其身份憑證作為依據，往數據服務器DS上傳相關的數據。具體過程如下。

數據擁有者 A 生成隨機數 ，并計算PK_g=g?P ，然后 A 將要加密的數據 m 轉換成橢圓曲線 E 上的點 M_r ，并計算 C_?=M_?+g?PK_? ，之后將密文上傳到數據存儲服務器DS處進行保存。

2.2.4數據的共享。假設數據的擁有者 A 想要將數據共享給目標用戶 B （公鑰和私鑰分別為 b ，PK_b=b?P） ！ B 首先向A發送數據共享請求 {ID_?A，ID_?B PK_b ，Request}。 A 在收到請求后，計算 M₂=g?R₄+ g^?PK_b. ，然后， A 將消息 {ID_A，ID_B，R_A，PK_g} 傳遞給數據存儲服務器DS，并將消息 {M₂，PK_g} 傳遞給目標用戶 B 。

數據存儲服務器DS在收到消息 {ID_A，ID_B，R_A PK_g} 后，計算 。然后DS將消息 M₃ 發送給目標用戶 B 。目標用戶 B 在收到消息 M₂ 和 M₃ 后，計算 M₄=M₃-M₂+b?PK_g ，并將 M₄ 進行還原，所得數據即為數據的擁有者 A 所共享的消息。因為 M₄=M₃-M₂+b?PK_g=C₁-h（ID_A||R_A^X）

從而，目標用戶 B 可以利用該數據共享方案安共享到數據擁有者 A 的數據 m 。該共享方案的流程如圖2所示。

3安全性分析

3.1身份認證階段的安全性

在該階段，每個新加入的成員必須在數據服務器DS處進行注冊。在注冊階段，每個數據擁有者 A 選擇一個隨機數 k_A∈Z_p^* ，并計算 K_?A=k_?A?P ，隨后將其與自己的身份標識符 ID_?A 一起發送給數據服務器DS。數據服務器依據該參數生成 A 的認證憑證 s_A^* 和 R_?A 。由于 s_A^* 為數據擁有者 A 所保存，攻擊者即使獲取了 A 的公鑰，依據橢圓曲線的離散對數問題可知，攻擊者也無法通過公鑰計算出數據擁有者 A 的私鑰，并進一步解密出 A 保存在DS處的加密數據。

3.2數據加密存儲與共享階段的安全性

在數據上傳階段，數據擁有者 A 利用自己的私鑰將所持有的數據加密后，上傳到數據服務器DS，這樣就無法將數據擁有者與所上傳的數據構成聯系。在數據共享階段，如果不是真正的數據擁有者，依據前述的橢圓曲線離散對數問題，其將無法計算出有效的認證憑證 {ID_?A，ID_?B，R_?A，PK_?g} 。由此可以看出，在數據的加密存儲與共享階段，數據的安全性可以得到保障。

從本研究使用的模型上來看，數據存儲服務器是整個系統的核心，系統的相關安全參數設置和參與方的通信都受到嚴格的保護。另外，即使數據存儲服務器發生內部攻擊事件導致加密數據的泄露。由于數據擁有者所上傳的數據都經過加密，在沒有數據擁有者的私鑰的情況下，加密數據也無法被攻擊者解密，從而獲取明文內容。再者，該方案在所存儲的數據中加入了與時間戳相關的hash值以及訪問控制策略，攻擊者如果對加密數據進行篡改，也能立即被數據的接收者所發現。顯然，本研究所設計的數據共享方案能有效保證數據的安全性和完整性。

另外，該方案所設計的數據安全共享協議，采用橢圓曲線加密技術來保證數據的安全性。根據前面所述的橢圓曲線的Diffie-Hellman問題，攻擊者在沒有獲知數據擁有者的私鑰的情況下，其破解該方案的難度和解決ECC的Diffie-Hellman問題的難度是一致的。因此，本研究所設計的數據共享方案能保證數據共享的安全性。

4結語

在科技人才服務平臺的設計與實現的過程中，數據的安全共享是個亟待解決的問題。本研究基于橢圓曲線加密的高安全性和高效性，提出了一種基于ECC的科技人才公共服務平臺數據安全共享框架，并給出了對應的數據安全共享方案。該方案致力于數據共享系統的安全與隱私保護問題，實現了數據在科技人才服務系統中的安全上傳與共享。

目前，該方案只能實現數據擁有者和使用者一對一的數據共享。未來，如何實現數據擁有者可以同時將所擁有的數據分享給多個使用者將是下一步研究的主要工作。

參考文獻：

[1]陳鵬閣，柏粉花，張弛，等.適用于物聯網數據共享的區塊鏈節點存儲優化方案[J].通信技術，2022，55（7）：905-910.

[2]JIAXY，HEDB，ZEADALLYS，etal.Efficient Revocable ID-Based SignatureWith Cloud RevocationServer [J].IEEEAccess，2017，5：2945-2954.

[3]危志軍.基于云計算的大數據環境網絡信息數據安全傳輸與共享方法[J].信息與電腦（理論版），2023，35（11）：233-235.

[4]朱仲馬，何錫點，張曉兵.安全用戶注銷的匿名訪問數據共享云協議[J].網絡安全技術與應用，2023（7）：25-31.

[5]李明娟，葉宏，王樂，等.面向高安全數據分發服務的身份認證協議設計[J].航空計算技術，2015，45（1）：103-107.

[6]李琦，王光明，朱林.海量環境監測數據存儲與共享平臺[J].自動化儀表，2016，37（2）：61-64.

[7]SETOJ，WANGY，LINXD.User-Habit-Oriented AuthenticationModel：TowardSecure，User-FriendlyAuthentication for Mobile Devices [J].IEEE transactions on emerging topicsin computing，2015，3（1）：107-118.

（欄目編輯：孫焱）