CN101807991B - 密文政策属性基加密系统和方法 - Google Patents

Abstract

提供密文政策属性基加密系统及其加密方法，包括有中央机构和无中央机构的密文政策属性基加密系统及其加密方法。有中央机构密文政策属性基加密系统包括：中央机构多个属性机构，它们共同初始化系统并公开系统公钥，产生系统私钥、属性机构的本地私钥和本地公钥；加密部件，基于系统公钥、各本地公钥以及通用访问树对明文进行加密；以及客户，输入客户标识和客户属性集合等，来产生客户私钥，用以对经加密密文进行解密。根据本发明的上述实施方式，本发明设计出了多机构密文政策属性基加密系统。由于该方案是密文政策的，因而更接近于实际信息安全系统中的访问控制需要。

Description

密文政策属性基加密系统和方法

技术领域

本发明涉及密文政策属性基加密系统及其加密方法，尤其涉及包括多个属性机构的有中央机构和无中央机构的密文政策属性基加密系统及其加密方法。

背景技术

属性基加密方案最早由Vipul Goyal、Omkant Pandey、Amit Sahai和BrentWaters^[1]提出。早期的属性基加密方案主要是私钥政策的，这意味着密文反映属性集合而私钥则代表访问控制政策。

图1是图解了根据现有技术的私钥政策的属性加密方案的私钥分发系统的示意图。如图1所示，该私钥分发系统包括私钥分发机构10以及两个要被授权进行访问的机密文件，即文件1和文件2。文件1具有属性集合{“Creator：John”、“Computer Science”、“Admissions”和“Date：04-11-06”}，而文件2具有属性集合{“Creator：Tim”、”History”、“Admissions”和“Date：03-20-05”}。

通常情况下，访问控制政策可以用属性之间的逻辑表达式来表示，如图1所示，这些逻辑运算可以是“或(OR)”、“与(AND)”。私钥分发机构10负责向客户分发代表访问控制政策的私钥。例如，图1所示的私钥20所代表的访问控制政策是(“Computer Science”与“Admissions”或“Bob”)。只有当密文所反映的属性集合满足客户的私钥所代表的访问控制政策时，私钥才能成功解密密文。例如，图1中私钥能解密文件1，因为文件1中的属性”ComputerScience”和“Admissions”满足右边私钥所代表的访问控制政策”ComputerScience”与“Admissions”或“Bob”。相反，该私钥不能解密文件2，其原因就在于文件2所代表的属性集合不能满足右边私钥所反映的访问控制政策。

在私钥政策的属性加密方案中，加密者仅仅对解密者所需要满足的属性集合，例如，图1中的“Computer Science”，“Admissions”，”Bob”，进行有效的控制，而这些属性之间所需满足的逻辑关系(图1中所使用的“与”和“或”)则取决于分发私钥的私钥分发机构10。

针对上述表达访问控制政策的逻辑关系太少的缺点，Rafail Ostrovsky、Amit Sahai和Brent Waters^[2]提出的非单调的私钥政策属性基加密方案。该非单调私钥政策属性基加密方案和上面提及的私钥政策属性加密方案的区别就在于，这种方案中访问控制政策可以表达成由“与”、“或”、“非”所联结的逻辑表达式，最主要的区别就在于这里多了一个“非”这个逻辑运算符，这样该方案在访问控制政策的表达能力上更强大了。

另外，针对上述授权私钥的私钥分发结构单一的问题，Melissa Chase^[3]提出了多机构属性基加密方案，该加密方案也是私钥政策基的。

另外一种属性加密方案是密文政策基的，与私钥政策基的属性加密方案不同，在密文政策基的属性基加密方案中，密文反映一定的访问控制政策，私钥则代表相应的属性集合。这种方案由John Bethencourt、Amit Sahai和BrentWaters^[4]首先提出。由于在密文政策属性基加密方案中，加密者不仅可以选择解密者所需满足的属性集合，还可以选择这些属性之间所需满足的逻辑关系，因而密文政策的属性基加密方案更接近传统意义上的访问控制方案。然而，Bethencourt^[4]等人提出的上述密文政策属性基加密方案只提供了启发式证明，因而其安全性能未必可靠。随后，Ling Cheung和Calvin C.Newport^[5]提出了第一个可证安全的密文政策属性基加密方案。然而，Cheung^[5]提出的方案的访问控制政策很有限，这些访问控制政策只能对正负属性进行与操作。换句话说，在这种属性加密方案中，加密者只能要求解密者同时满足若干个属性。

V.Goyal、A.Jain、O.Pandey和A.Sahai^[6]第一次给出了可证安全的密文政策属性基加密方案。由于该方案是可证安全的，因而和仅提供启发式证明的Bethencourt^[4]等人所设计的上述属性基加密方案相比安全性能上有很大提高。通过对加密访问树的大小进行限制，该方案能够表达较为复杂的访问控制政策，该方案中的访问控制政策可以是用“与”、“或”、“非”三个操作符任意联结的逻辑表达式。但是，该方案缺点在于仅有一个私钥分发机构。这意味着：首先，由于单一私钥分发机构需要负责所有私钥的分发及相应的对客户的属性验证工作，因而该私钥分发机构的通信和计算费用较高，工作负担较重。另外，如果该私钥分发机构被攻击者控制，整个系统就毫无安全性能可言。

参考文献如下：

[1]Vipul Goyal、Omkant Pandey、Amit Sahai和Brent Waters，Attribute-basedencryption for fine-grained access control of encrypted data，Proceedings of the13th ACM conference on Computer and Communications Security(CCS 2006)，pages 89-98，2006

[2]Rafail Ostrovsky、Amit Sahai和Brent Waters，Attribute-Based Encryptionwith Non-Monotonic Access Structures，Proceedings of the 14th ACM conferenceon Computer and Communications Security(CCS 2007)，pages 195-203，2007

[3]Melissa Chase，Multi-authority Attribute Based Encryption，TCC 2007，Volume 4392 of LNCS，pages 515-534，2007

[4]John Bethencourt、Amit Sahai和Brent Waters，Ciphertext policy attributebased encryption，IEEE Symposium on Security and Privacy 2007，pages 321-334，2007

[5]Ling Cheung和Calvin C.Newport，Provably secure ciphertext policyABE，Proceedings of the 14th ACM conference on Computer andCommunications Security(CCS 2007)，pages 456-465，2007

[6]V.Goyal、A.Jain、O.Pandey和A.Sahai，Bounded Ciphertext PolicyAttribute Based Encryption”，http://eprint.iacr.org/2008/

发明内容

针对现有技术的上述缺陷，本发明的目的是提供可证安全的多私钥分发机构的密文政策属性基加密系统和方法。

根据本发明的一方面，提供密文政策属性基加密系统，包括：客户，用于输入客户条件、客户标识以及客户属性集合，并产生客户私钥；中央控制部件，用于根据客户条件初始化该密文政策属性基加密系统并公开中央公钥，产生中央私钥、作为该系统负责管理的属性集合的真实属性空间和作为不具有真实意义的属性的集合的傀儡属性空间，并且根据客户要求产生一部分客户私钥；多个属性分发部件，每一个所述属性分发部件管理所述真实属性空间的一个相应的真实属性子空间，将该相应的真实属性子空间和该傀儡属性空间映射为相应通用访问树，基于相应的通用访问树为每一个属性选择一随机数组，将所述随机数组与中央私钥生成相应的本地私钥，根据所述本地私钥为相应属性分发部件产生本地公钥，并且根据客户要求产生另一部分客户私钥；以及加密部件，基于所述中央控制部件所公开的中央公钥、所述属性分发部件所公开的本地公钥以及所述属性分发部件映射得到的通用访问树，对输入的明文进行加密，以得到经加密的密文，其中，所述客户根据输入的客户标识和客户属性集合，通过中央控制部件和属性分发部件，利用所述通用访问树、中央公钥、各个属性机构的本地公钥、中央私钥和各个属性机构的本地私钥分别产生所述一部分客户私钥和所述另一部分客户私钥，所述一部分客户私钥和所述另一部分客户私钥合成客户私钥，用以对经加密密文进行解密。

根据本发明的一方面，提供密文政策属性基加密方法，该密文政策属性基加密系统包括中央机构和多个属性机构，该加密方法包括下列步骤：用于输入客户条件、客户标识和客户属性集合；中央机构根据客户条件初始化该密文政策属性基加密系统并公开中央公钥，产生中央私钥、作为该系统负责管理的属性集合的真实属性空间和作为不具有真实意义的属性的集合的傀儡属性空间，每一个所述属性分发部件管理所述真实属性空间的一个相应的真实属性子空间；每一个所述属性分发部件将该相应的真实属性子空间和该傀儡属性空间映射为相应通用访问树，基于相应的通用访问树为每一个属性选择一随机数组，将所述随机数组与中央私钥生成相应的本地私钥，并根据本地私钥为相应属性分发部件产生本地公钥；基于所述中央控制部件所公开的中央公钥、所述属性分发部件所公开的本地公钥以及所述属性分发部件映射得到的通用访问树，对输入的明文进行加密，以得到经加密的密文；以及根据输入的指定标识和属性集合，利用所述通用访问树、中央公钥、各个属性机构的本地公钥、中央私钥和各个属性机构的本地私钥产生客户私钥，用以对经加密密文进行解密。

根据本发明的另一方面，提供包含真实属性子空间和傀儡属性空间的密文政策属性基加密系统，包括：客户，用于输入客户条件、客户标识和客户属性集合，并用于产生客户私钥；多个属性分发部件，每个属性分发部件管理所述真实属性空间的一个相应的真实属性子空间，将该相应的真实属性子空间和该傀儡属性空间映射为相应通用访问树，基于相应的通用访问树为每一个属性选择一随机数组，由为各个属性分发部件产生的随机数组来产生一部分本地私钥，并且通过执行联合计算安全随机秘密分享协议和联合零秘密分享协议来产生另一部分本地私钥，所述一部分本地私钥和所述另一部分本地私钥构成属性分发部件的本地私钥，各个本地私钥构成主私钥，并且根据该主私钥产生公钥；以及加密部件，用于根据系统所公开的公钥和通用访问树，对明文进行加密以产生密文，其中，所述客户基于该主私钥、本地私钥、客户标识和客户属性集合，利用所述通用访问树，通过所述属性分发部件产生客户私钥，用以对密文进行解密。

根据本发明的另一方面，提供用于包含真实属性子空间和傀儡属性空间的密文政策属性基加密系统的加密方法，该系统包括多个属性机构，每个属性机构管理所述真实属性空间的一个相应的真实属性子空间，该方法包括步骤：将该相应的真实属性子空间和该傀儡属性空间映射为相应通用访问树；基于相应的通用访问树为每一个属性选择一随机数组；由各随机数组产生系统一部分本地私钥，并且通过执行联合计算安全随机秘密分享协议和联合零秘密分享协议来产生另一部分本地私钥，所述一部分本地私钥和所述另一部分本地私钥构成属性分发部件的本地私钥，各个本地私钥构成主私钥；根据主私钥产生系统公钥；根据系统所公开的公钥和通用访问树，对明文进行加密以产生密文；以及基于主私钥、本地私钥、客户标识和客户属性集合，利用所述通用访问树产生客户私钥，用以对密文进行解密。

本发明还提供一种计算机产品，其上实施有实现密文政策属性基加密方法的程序，该密文政策属性基加密系统包括中央机构和多个属性机构，该加密方法包括下列步骤：用于输入客户条件、客户标识和客户属性集合；中央机构根据客户条件初始化该密文政策属性基加密系统并公开中央公钥，产生中央私钥、作为该系统负责管理的属性集合的真实属性空间和作为不具有真实意义的属性的集合的傀儡属性空间，每一个所述属性分发部件管理所述真实属性空间的一个相应的真实属性子空间；每一个所述属性分发部件将该相应的真实属性子空间和该傀儡属性空间映射为相应通用访问树，基于相应的通用访问树为每一个属性选择一随机数组，将所述随机数组与中央私钥生成相应的本地私钥，并根据本地私钥为相应属性分发部件产生本地公钥；基于所述中央控制部件所公开的中央公钥、所述属性分发部件所公开的本地公钥以及所述属性分发部件映射得到的通用访问树，对输入的明文进行加密，以得到经加密的密文；以及根据输入的指定标识和属性集合，利用所述通用访问树、中央公钥、各个属性机构的本地公钥、中央私钥和各个属性机构的本地私钥产生客户私钥，用以对经加密密文进行解密。

本发明还提供一种计算机产品，其上实施有实现用于包含真实属性子空间和傀儡属性空间的密文政策属性基加密系统的加密方法的程序，该系统包括多个属性机构，每个属性机构管理所述真实属性空间的一个相应的真实属性子空间，该方法包括步骤：将该相应的真实属性子空间和该傀儡属性空间映射为相应通用访问树；基于相应的通用访问树为每一个属性选择一随机数组；由各随机数组产生系统一部分本地私钥，并且通过执行联合计算安全随机秘密分享协议和联合零秘密分享协议来产生另一部分本地私钥，所述一部分本地私钥和所述另一部分本地私钥构成属性分发部件的本地私钥，各个本地私钥构成主私钥；根据主私钥产生系统公钥；根据系统所公开的公钥和通用访问树，对明文进行加密以产生密文；以及基于主私钥、本地私钥、客户标识和客户属性集合，利用所述通用访问树产生客户私钥，用以对密文进行解密。

本发明的这些实施方式克服了上述缺点。例如，由于根据本发明的上述方案中有多个私钥分发机构，因而该系统即使在某些私钥分发机构被攻击者控制的情况下也可以正常运行。同时，多个私钥分发机构一起分担工作任务，每个机构的通信和计算费用都有所减轻。另外，由于本发明是密文政策的，所以比Chase的方案更为适用于信息安全系统中的访问控制。

此外，到目前为止所考虑的多属性机构属性加密方案主要是私钥政策的，本方案首次将Chase所提出的多机构私钥政策属性基加密技术用于密文政策属性基加密方案中，从而设计出了首个多机构密文政策属性基加密方案。尽管Chase首次提出多机构的私钥政策属性基加密方案，但由于私钥政策属性加密方案固有的某些缺陷，比如加密者对解密者所需要满足的访问政策不能完全控制，所以Chase的方案并不适用于实际中的访问控制的需求，相反，由于在多机构属性加密方案中，加密者能完全控制解密者所需满足的访问政策，因而从这个角度讲，我们的方案比Chase的方案更为实用。

此外，目前的密文政策属性基加密方案都是单属性机构，由于单属性机构的加密方案的安全性只能在属性机构完全可信的情况下才能得到保证，但这显然是不现实的。在多个属性机构的属性基加密方案中即使所有属性机构(只要中央机构仍然是安全的)都被敌手所攻击系统仍会是安全的，因而在安全性能上更胜一筹。

附图说明

通过结合附图参照下面的详细描述，本发明的上述和其它目的、特征和优点将变得更加清楚，其中：

图1是图解根据现有技术的私钥政策的属性加密方案的私钥分发系统的示意图；

图2是图解根据本发明的第一优选实施方式的、有中央机构的密文政策属性基加密系统的示意框图；

图3是图解根据本发明的数据树的示意图；

图4是图解有中央机构的密文政策属性基加密系统的操作流程图；

图5是图解根据本发明的第二优选实施方式的无中央机构的密文政策属性基加密系统的示意框图；以及

图6是图解无中央机构的密文政策属性基加密系统的操作流程图。

具体实施方式

下面将参照示出本发明的优选实施方式的附图来更加全面地描述本发明。应该理解，本发明可以用其他不同的形式来实现，而且不应当限于这里所描述的实施方式。事实上，提供下述实施方式只是为了全面和完整地将本发明的范围传达给本领域的普通技术人员。

现在参照附图描述根据本发明的密文政策属性基加密系统和方法。在以下描述中，将省略在这里结合的公知功能和配置的详细描述，因为它可能混淆本发明。

<有中央机构的密文政策属性基加密方案>

图2是图解根据本发明的第一优选实施方式的、有中央机构的密文政策属性基加密系统的示意框图。参考图2，根据本发明的有中央机构的密文政策属性基加密系统包括K个属性机构110、中央机构120、客户130、加密模块150和解密模块160。该K个属性机构110分别被标记为属性机构110₁、属性机构110₂、......、和属性机构110_K。

在以下的描述中，有中央机构120的密文政策属性基加密系统要求每个客户有一个全局身份(GID)。没有一个客户能冒充他人的GID，并且所有属性机构110均能验证客户的GID。而每个属性均看成

中的元素。

根据本发明的第一优选实施方式，中央机构120负责分发中央私钥及初始化整个系统。中央机构120根据参数d和num初始化整个系统。这里，参数d和num是一棵数据树T的基本属性参数，这样的数据树T如图3所示。图3是图解根据本发明的数据树的示意图。从图3中可以看出，参数d表示树T的最大深度，而参数num表示树T的每个节点的子节点最大数目。图3中的附图标记r表示树的树根节点，而数字1、2、......、num表示树叶节点编号。

根据本发明的优选实施方式，d表示由各属性机构所使用的通用访问树的最大深度，其取决于实际使用中客户可能选择的访问结构中可以表达成多复杂的布尔表达式以及其对应需要的树的深度，而num表示客户实际所需的访问结构对应的最大阈值。最大阈值有多大，相应num就有多大。

中央机构120首先初始化一个p阶双线性群

以下令g为

的生成元，而令e：

为双线性映射。其次，中央机构120定义一个真实属性空间U＝{1，2，...，K*n}，所有属性机构110所负责管理的属性均选自这个真实属性空间，每个属性机构110_k负责真实属性空间中的n个属性，这里，n取决于所有属性机构110所能管理的属性的最大数目。该真实属性空间也可以看成是中央机构或者整个系统所管理的属性的集合。

然后，中央机构120还定义一个大小为num-1的傀儡属性空间U^*＝{K*n+1，...，K*n+num-1}。傀儡属性空间只提供一些傀儡属性，所谓傀儡属性即不具有真实意义的属性，这些属性在安全性证明时有用。

K个属性机构中的第k个属性机构管理真实属性空间中的如下属性集合U_k＝{(k-1)*n+1，(k-1)*n+2，...，(k-1)*n+n}，称为真实属性子空间。

中央机构120从

为各个属性机构110_k，k∈{1，...，K}随机选择相应的伪随机数生成器的种子，即{s_i}_i＝1 ^K，并选取系统的主私钥y。主私钥y和随机生成器种子{s_i}_i＝1 ^K构成的<y，{s_i}_i＝1 ^K>作为系统中央私钥，由中央机构120保存。中央机构120公开初始化过程中产生的如下参数

作为系统公钥，即下文所述的中央公钥，这里e(g，g)^y表示计算双线性映射e(g，g)的指数运算e(g，g)^y。

每个属性机构110_k，k∈{1，...，K}用Goyal^[1]等人介绍的方法定义一个(d，num)-通用访问树T_k。所谓通用访问树是指当给定一对整数(d，num)时，定义一个深度为d的num-杈的完全树，该树的每个非叶节点的阈值均为num。树的叶节点均为空，即不分配属性给这些叶节点。此外，每个非叶节点x还分配num-1个新叶节点，这样在保证阈值num不变同时，使得这些节点x的度升为2num-1。给每个节点x的这些新加叶节点任意分配一个傀儡属性。这样生成的树称为(d，num)通用访问树(当d，num固定时简称为通用树)。

此外，属性机构110_k还将从

中随机选择 ${\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k}$ 和 ${\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ 作为属性机构110_k的部分本地私钥，它们与相应的随机生成器种子s_k一起构成第k属性机构110_k的本地私钥，即，第k属性机构110_k的本地私钥为 $<s_k,{\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k},{\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}>.$ 这里，U_k代表由属性机构k管理的真实属性子空间，U^*指傀儡属性空间，ΨT_k指在属性机构k对应的通用树T_k中对应于真实属性的那些节点，而ΦT_k指在属性机构k对应的通用树T_k中对应于傀儡属性的那些节点。所有这些t_j，x和t_j，x ^*都是随机选择的

中的元素。

此外，第k属性机构110_k公开如下参数 $<U_k,U^{*},{\{T_{j,x}=g^{t_{j,x}}\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k},{\{{T^{*}}_{j,x}=g^{t_{j,x}^{*}}\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}>$ 作为与第k属性机构110_k相对应的本地公钥。

在以下，将系统的中央私钥<y，{s_i}_i＝1 ^K>和各个属性机构k的部分本地私钥 ${\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k}$ 和 ${\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ 一起记为MK。

从上述描述可以看出，中央机构120对K个属性机构进行了初始化，提供了它们在执行后续操作中所需要的私钥，以及系统所需要的公开参数(公钥)。也就是说，中央机构120与属性机构110_k共同提供了相应属性机构110_k的本地私钥：s_k、 ${\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k}$ 和 ${\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}},$ 相应的本地公钥<U_k，U^*， ${\{T_{j,x}=g^{t_{j,x}}\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k},$ ${\{{T^{*}}_{j,x}=g^{t_{j,x}^{*}}\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j{\&Element;U}^{*}}$ >。而中央机构120提供了系统所需的中央私钥<y，{s_i}_i＝1 ^K>和中央公钥

从而，完成了根据本发明的有中央机构的密文政策属性基加密系统的初始化。

接下来描述客户130生成客户私钥SK的处理。

继续参考图2，根据中央机构120和各个属性机构110共同产生的MK(也就是系统的中央私钥<y，{s_i}_i＝1 ^K>以及各个属性机构k的部分本地私钥 ${\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k}$ 和 ${\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ )以及客户130的指定标识GID和客户的属性集合γ，客户130生成客户的私钥SK。具体来说，属性机构k将调用Goyal^[1]等人设计的Key Generation(γ， $\mathrm{MK}={\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k},{\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ )，为标识为GID且拥有属性集合γ的客户130生成其客户私钥SK。更具体地说，属性机构k为其通用访问树T_k的每一个节点选择多项式q_x，度均为num-1，且使根节点满足q_root(0)＝F_sk(GID)，即根节点多项式的常数项是属性机构输入种子s_k和GID的伪随机数生成器生成的，并随机选择另外c_r点来定义该多项式q_root(x)。对其他非根节点的节点x，属性机构k使q_x(0)＝q_parent(x)(index(x))，并随机选择其他c_x点来定义该多项式q_x(x)。然后，属性机构k获得如下部分客户私钥 $<{\left\{g^{q_x\left(j\right)/t_{j,x}}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;{\mathrm{\&gamma;}}_k},{\left\{g^{q_x\left(j\right)/t_{j,x}^{*}}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}>.$

以这种方式，客户130从各个属性机构k中获得诸如 $<{\left\{g^{q_x\left(j\right)/t_{j,x}}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;{\mathrm{\&gamma;}}_k},{\left\{g^{q_x\left(j\right)/t_{j,x}^{*}}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}>$ 那样的部分客户私钥，然后从中央机构120取得以下部分客户私钥

并将所有这些部分客户私钥组合起来构成了客户130的客户私钥SK。

也就是说，根据本发明的有中央机构的密文政策属性基加密系统根据客户130的指定标识GID、属性集合γ以及各属性机构k的本地私钥 ${\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k},$ ${\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ 和s_k，为客户130提供解密加密密文所需的客户私钥。客户130根据通过输入自身的标识等条件，从各属性机构k获得部分客户私钥 $<{\left\{g^{q_x\left(j\right)/t_{j,x}}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;{\mathrm{\&gamma;}}_k},{\left\{g^{q_x\left(j\right)/t_{j,x}^{*}}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}>,$ 并在从所有属性机构中获得所需的部分客户私钥后，通过输入自身的标识等条件，从中央机构120中获得根据中央私钥<y，{s_i}_i＝1 ^K>而计算出来的

从而组合出客户130的客户私钥SK。

接下来，描述图2中的加密模块150基于所公开的中央公钥、所有的本地公钥和对应各个属性机构110的访问树T₁′，T₂′，...，T_K′组成的通用访问T，将明文M进行加密的处理过程。加密模块150首先使用Goyal^[1]等人提及的方法将明文映射到通用访问树T上。然后。生成如下密文<T₁′，T₂′，...，T_K′，g^s，Me(g，g)^ys， ${\left\{T_{j,\mathrm{map}\left(x\right)}^s\right\}}_{j\&Element;U_k,x\&Element;\mathrm{\&Psi;}{T}_k,f(j,x)=1},{\left\{T_{j,\mathrm{map}\left(x\right)}^{*s}\right\}}_{j=\mathrm{att}\left(z\right):z\&Element;\mathrm{wx},x\&Element;\mathrm{\&Phi;}{T}_k}>.$

也就是说，加密模块150的输入为客户的明文M、本地公钥<U_k，U^*， ${\{T_{j,x}=g^{t_{j,x}}\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k},$ ${\{{T^{*}}_{j,x}=g^{t_{j,x}^{*}}\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ >以及客户选定的对应各个属性机构的访问树T₁′，T₂′，...，T_K′，而其输出为相应的密文<T₁′，T₂′，...，T_K′，g^s，Me(g，g)^ys， ${\left\{T_{j,\mathrm{map}\left(x\right)}^s\right\}}_{j\&Element;U_k,x\&Element;\mathrm{\&Psi;}{T}_k,f(j,x)=1},{\left\{T_{j,\mathrm{map}\left(x\right)}^{*s}\right\}}_{j=\mathrm{att}\left(z\right):z\&Element;\mathrm{wx},x\&Element;\mathrm{\&Phi;}{T}_k}>.$

接下来，描述图2中的解密模块160基于客户私钥SK以及中央公钥PP，对加密模块150所生成的密文C进行解密的处理过程。

参考图2，解密模块160输入在加密模块150中生成的密文<T₁′，T₂′，...，T_K′，g^s，Me(g，g)^ys， ${\left\{T_{j,\mathrm{map}\left(x\right)}^s\right\}}_{j\&Element;U_k,x\&Element;\mathrm{\&Psi;}{T}_k,f(j,x)=1},{\left\{T_{j,\mathrm{map}\left(x\right)}^{*s}\right\}}_{j=\mathrm{att}\left(z\right):z\&Element;\mathrm{wx},x\&Element;\mathrm{\&Phi;}{T}_k}$ >、客户130的客户私钥SK以及系统的中央公要PP。当要求解密的客户130的属性集合满足加密模块150的要求，则解密模块160输出相应的明文，否则输出放弃。

具体来说，解密模块160对每个客户130，调用Goyal^[1]等人的DecryptNode和DecryptDummy算法来计算 $e{(g,g)}^{s{q}_{\mathrm{root}}\left(0\right)}=e{(g,g)}^{s{F}_{s_k}\left(\mathrm{GID}\right)},$ 从而计算出

然后，将g^s与

作配对，可得

从而求出e(g，g)^ys，这样就能成功解密M。

调用DecryptNode和DecryptDummy的过程如下：

-DecryptNode(C，SK，x)算法是一个以密文C、私钥SK和节点x为输入的递归算法。其输出为一个群上的元素或者⊥。首先，考虑当x为叶节点时的情况，令j＝att(x)及ω为x的父节点。那么有

$\mathrm{DecryptNode}(C,\mathrm{SK},x)=\left\{\begin{array}{cc}e(D_{j,\mathrm{map}\left(x\right)},E_{j,\mathrm{\&omega;}})=e(g^{\frac{q_{\mathrm{map}\left(\mathrm{\&omega;}\right)}\left(j\right)}{t_{j,\mathrm{map}\left(\mathrm{\&omega;}\right)}}},g^{s\&CenterDot;t_{j,\mathrm{map}\left(\mathrm{\&omega;}\right)}})& \mathrm{ifj}\&Element;\mathrm{\&gamma;}\\ \&perp;& \mathrm{otherwise}\end{array}\right.$

这样当j∈γ时将归约到

现在考虑x为非叶节点的情况，算法将运行如下：对所有x的子节点z，调用DecryptNode(C，SK，z)并存储其输出为F_z。另外，对所有傀儡节点z∈ω_x(这里ω_x指由加密者选定的在树节点x映射到通用树上的节点map(x)所对应的傀儡节点集合)，它将调用一个定义如下的函数DecryptDummy，并存储其输出为F_z。令j为与z相关的节点。那么我们有

$\mathrm{DecryptDummy}(C,\mathrm{SK},z)=e({D^{*}}_{j,\mathrm{map}\left(x\right)},{E^{*}}_{j,x})=e(g^{\frac{q_{\mathrm{map}\left(x\right)}\left(j\right)}{{t^{*}}_{j,\mathrm{map}\left(x\right)}}},g^{s\&CenterDot;{t^{*}}_{j,\mathrm{map}\left(x\right)}}),$

从而将其归约至

令Ω_x为z的任意一个大小为k_x的且输出F_z≠⊥的子节点集合。令S_x为Ω_x和ω_x的并集。那么我们有|S_x|＝num。令 $\hat{g}=e(g,g).$ 如果不存在满足这种条件的、大小为k_x的集合Ω_x，那么x不能满足函数，返回⊥。否则，根据拉格朗日插值公式计算如下公式

$F_x=\underset{z\&Element;S_x}{\mathrm{\&Pi;}}{F}_z^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}=\underset{z\&Element;{\mathrm{\&Omega;}}_x}{\mathrm{\&Pi;}}{F}_z^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}\underset{z\&Element;{\mathrm{\&omega;}}_x}{\mathrm{\&Pi;}}{F}_z^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}$

$=\left\{\begin{array}{cc}\underset{z\&Element;{\mathrm{\&Omega;}}_x}{\mathrm{\&Pi;}}{\left({\hat{g}}^{s.q_{\mathrm{map}\left(x\right)}\left(i\right)}\right)}^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}\underset{z\&Element;{\mathrm{\&omega;}}_x}{\mathrm{\&Pi;}}{\left({\hat{g}}^{s.q_{\mathrm{map}\left(x\right)}\left(i\right)}\right)}^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}& \mathrm{ifx}\&Element;{\mathrm{\&psi;}}_{T^{\&prime;}}\\ \underset{z\&Element;{\mathrm{\&Omega;}}_x}{\mathrm{\&Pi;}}{\left({\hat{g}}^{s.q_{\mathrm{map}\left(z\right)}\left(0\right)}\right)}^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}\underset{z\&Element;{\mathrm{\&omega;}}_x}{\mathrm{\&Pi;}}{\left({\hat{g}}^{s.q_{\mathrm{map}\left(x\right)}\left(i\right)}\right)}^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}& \mathrm{else}\end{array}\right.$

$=\left\{\begin{array}{cc}\underset{z\&Element;S_x}{\mathrm{\&Pi;}}{\left({\hat{g}}^{s.q_{\mathrm{map}\left(x\right)}\left(i\right)}\right)}^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}& \mathrm{ifx}\&Element;{\mathrm{\&psi;}}_{T^{\&prime;}}\\ \underset{z\&Element;{\mathrm{\&Omega;}}_x}{\mathrm{\&Pi;}}{\left({\hat{g}}^{s.q_{\mathrm{map}\left(\mathrm{parent}\left(z\right)\right)}\left(\mathrm{index}\left(\mathrm{map}\left(z\right)\right)\right)}\right)}^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}\underset{z\&Element;{\mathrm{\&omega;}}_x}{\mathrm{\&Pi;}}{\left({\hat{g}}^{s.q_{\mathrm{map}\left(x\right)}\left(i\right)}\right)}^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}& \mathrm{else}\end{array}\right.$

$=\underset{z\&Element;S_x}{\mathrm{\&Pi;}}{\left({\hat{g}}^{s.q_{\mathrm{map}\left(x\right)}\left(i\right)}\right)}^{{\mathrm{\&Delta;}}_{i,S_x^{\&prime;}}\left(0\right)}={\hat{g}}^{s.q_{\mathrm{map}\left(x\right)}\left(0\right)}=e{(g,g)}^{s.q_{\mathrm{map}\left(x\right)}\left(0\right)}$

并返回结果。这里，在z为叶节点时i＝att(z)，在z为非叶节点时i＝index(map(z))，而S_x′＝{i：z∈S_x}。

根据本发明的上述实施方式，本发明将Chase所提出的多机构私钥政策属性基加密技术用于密文政策属性基加密方案中，设计出了多机构密文政策属性基加密系统。由于该方案是密文政策的，因而更接近于实际信息安全系统中的访问控制需要。

图4图解了有中央机构120的密文政策属性基加密系统的操作流程图。参考图4，首先，系统在步骤S401中，由中央机构120和K个属性机构110共同对系统进行初始化，以提供系统在后续处理中所需要的密钥以及需要的公开参数。

具体来说，在步骤S401中，中央机构120从为各个属性机构k(k＝1，2，...，K)随机选择伪随机数生成器种子{s_i}_i＝1 ^K和主私钥y({s_i}_i＝1 ^K和y组成中央私钥)，并且公开参数

作为系统的中央公钥。每个属性机构k，k∈{1，...，K}用Goyal^[1]等人介绍的方法定义一个(d，num)-通用访问树T_k，并通过(d，num)-通用访问树T_k从

中随机选择 ${\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k}$ 和 ${\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ 作为本地私钥的一部分，其与伪随机数生成器种子s_k一起构成属性机构k的本地私钥。每个属性机构k还公开参数<U_k，U^*， ${\{T_{j,x}=g^{t_{j,x}}\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k},$ ${\{{T^{*}}_{j,x}=g^{t_{j,x}^{*}}\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ >作为其本地公钥。

在步骤S402，可以根据客户130的指定标识GID和属性集合γ、属性机构k的本地私钥 ${\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k},{\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ 和s_k，从属性机构k获得部分客户私钥 $<{\left\{g^{q_x\left(j\right)/t_{j,x}}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;{\mathrm{\&gamma;}}_k},{\left\{g^{q_x\left(j\right)/t_{j,x}^{*}}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}>,$ 并且当从所有属性机构中获得所需的部分客户私钥后，再从中央机构120中获得中央结构120根据客户130的指定标识GID计算出来的

此外，将各个部分客户私钥 $<{\left\{g^{q_x\left(j\right)/t_{j,x}}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;{\mathrm{\&gamma;}}_k},{\left\{g^{q_x\left(j\right)/t_{j,x}^{*}}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}>$ 和

组合成客户私钥SK。

具体来说，在步骤S402中，基于客户的指定标识GID、属性集合γ、系统中央私钥MK＝<y，{s_i}_i＝1 ^K>和属性机构k的部分本地私钥 ${\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k}$ 和 ${\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}},$ 属性机构k调用Goyal^[1]等人设计的Key Generation(γ， $\mathrm{MK}={\left\{t_{j,x}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k},{\left\{t_{j,x}^{*}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ )来为标识为GID且拥有属性集合γ的客户130生成客户私钥。首先，属性机构k将为通用访问树T_k的每一个节点选择多项式q_x，度均为num-1，且使根节点满足q_root(0)＝F_sk(GID)，即根节点多项式的常数项是属性机构k输入种子s_k和GID的伪随机数生成器生成的，并随机选择另外c_r点来定义该多项式q_root(x)。对其他非根节点的节点x，属性机构k使q_x(0)＝q_parent(x)(index(x))，并随机选择其他c_x点来定义改多项式q_x(x)。以这种方式，客户130从属性机构k中获得如下部分客户私钥 $<{\left\{g^{q_x\left(j\right)/t_{j,x}}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;{\mathrm{\&gamma;}}_k},{\left\{g^{q_x\left(j\right)/t_{j,x}^{*}}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}>.$ 客户130还应从中央机构120取得

所有这些私钥构成了客户的客户私钥 $\mathrm{SK}=\{{\{{\left\{g^{q_x\left(j\right)/t_{j,x}}\right\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;{\mathrm{\&gamma;}}_k},{\left\{g^{q_x\left(j\right)/t_{j,x}^{*}}\right\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}\}}_{k=1}^n,g^{y-\underset{i=1}{\overset{K}{\mathrm{\&Sigma;}}}{F}_{\mathrm{si}}\left(\mathrm{GID}\right)}\}.$

接下来，在步骤S403中，系统可以根据步骤S401中公开的、中央公钥、本地公钥<U_k，U^*， ${\{T_{j,x}=g^{t_{j,x}}\}}_{x\&Element;\mathrm{\&Psi;}{T}_k,j\&Element;U_k},$ ${\{{T^{*}}_{j,x}=g^{t_{j,x}^{*}}\}}_{x\&Element;\mathrm{\&Phi;}{T}_k,j\&Element;U^{*}}$ >，以及客户选定的对应各个属性机构的访问树T₁′，T₂′，...，T_K′对客户输入的明文M进行加密，以输出相应的密文<T₁′，T₂′，...，T_K′，g^s，Me(g，g)^ys， ${\left\{T_{j,\mathrm{map}\left(x\right)}^s\right\}}_{j\&Element;U_k,x\&Element;\mathrm{\&Psi;}{T}_k,f(j,x)=1},$ ${\left\{T_{j,\mathrm{map}\left(x\right)}^{*s}\right\}}_{j=\mathrm{att}\left(z\right):z\&Element;\mathrm{wx},x\&Element;\mathrm{\&Phi;}{T}_k}$ >。实际上，在步骤S403中，使用Goyal等人提及的方法将明文映射到通用访问树上，即可生成如下密文<T₁′，T₂′，...，T_K′，g^s，Me(g，g)^ys， ${\left\{T_{j,\mathrm{map}\left(x\right)}^s\right\}}_{j\&Element;U_k,x\&Element;\mathrm{\&Psi;}{T}_k,f(j,x)=1},$ ${\left\{T_{j,\mathrm{map}\left(x\right)}^{*s}\right\}}_{j=\mathrm{att}\left(z\right):z\&Element;\mathrm{wx},x\&Element;\mathrm{\&Phi;}{T}_k}$ >。

接下来，在步骤S404，根据客户130获得的客户私钥SK以及系统的公开参数PP和本地公钥，解密步骤S403中生成的密文C＝<T₁′，T₂′，...，T_K′，g^s，Me(g，g)^ys， ${\left\{T_{j,\mathrm{map}\left(x\right)}^s\right\}}_{j\&Element;U_k,x\&Element;\mathrm{\&Psi;}{T}_k,f(j,x)=1},$ ${\left\{T_{j,\mathrm{map}\left(x\right)}^{*s}\right\}}_{j=\mathrm{att}\left(z\right):z\&Element;\mathrm{wx},x\&Element;\mathrm{\&Phi;}{T}_k}$ >。具体来说，步骤S404对每个客户130调用Goyal等人的DecryptNode和DecryptDummy算法计算 $e{(g,g)}^{s{q}_{\mathrm{root}}\left(0\right)}=e{(g,g)}^{s{F}_{s_k}\left(\mathrm{GID}\right)},$ 随后求出

再用g^s与

作配对可得从而能求出e(g，g)^ys，这样就能成功解密出明文M。

在根据本发明的上述各步骤中，至少步骤S402和步骤S403是可以并行地或者与上述描述的顺序相反地顺序来执行的。

<无中央机构的密文政策属性基加密方案>

图5是图解根据本发明的第二优选实施方式的无中央机构的密文政策属性基加密系统的示意框图。参考图2，根据本发明的无中央机构的密文政策属性基加密系统包括n个属性机构210、加密模块250和解密模块260。该n个属性机构210分别被标记为属性机构210₁、属性机构210₂、......、属性机构210_n。

为了描述无中央机构的密文政策属性基加密系统，需要一些准备知识，现在简要介绍如下。

联合计算安全随机秘密分享协议(JERSS)和联合零秘密分享协议(JZSS)(由R.Gennaro、S.Jarecki、H.Krawczyk和T.Rabin在文献“Robust threshold dsssignatures”(Inf.Comput.，164(1)：54-84，2001)中提出)是本方案的两个重要组成部分。

联合计算安全随机秘密分享协议如下：

(1)参与方P_i生成2t+2个Z_q中的随机数a_i0，a_i1，...，a_it与b_i0，b_i1，...，b_it。考虑两个多项式 $f_i\left(z\right)=\underset{k=0}{\overset{t}{\mathrm{\&Sigma;}}}{a}_{\mathrm{ik}}{z}^k$ 和 ${f^{\&prime;}}_i\left(z\right)=\underset{k=0}{\overset{t}{\mathrm{\&Sigma;}}}{b}_{\mathrm{ik}}{z}^k\mathrm{mod}q.$ 参与方P_i执行以下步骤：

(a)发送σ_ij＝f_i(j)modq和ρ_ij＝f′_i(j)modq给参与方P_j，j＝1，....，n

(b)计算 $A_{\mathrm{ik}}=g^{a_{\mathrm{ik}}}{h}^{b_{\mathrm{ik}}}\mathrm{mod}p$ (k＝0，...，t)。广播{A_ik}_{k∈{0，...，t}}。

(2)参与方P_i接收到σ_ji和ρ_ji，并检查对每个j＝1，...，n下述等式是否成立：

$g^{{\mathrm{\&sigma;}}_{\mathrm{ji}}}{h}^{{\mathrm{\&rho;}}_{\mathrm{ji}}}=\underset{k=0}{\overset{t}{\mathrm{\&Pi;}}}{\left(A_{\mathrm{jk}}\right)}^{i^k}\mathrm{mod}p---\left(1\right)$

如果对某个j等式不满足P_i广播COMPLAIN_j。

(3)如果多于t参与方广播COMPLAIN_j，那么参与方P_j被宣布失去资格。否则，参与方P_j需要对所有广播了COMPLAIN_j的参与方P_i公布σ_ji和ρ_ji。这些参与方将用等式(1)来验证广播值的正确性。如果等式不成立，参与方P_j将被宣布失去资格。

(4)令Good代表所有未被宣布失去资格的参与方。每个参与方P_i计算他的碎片(σ_i，ρ_i)： ${\mathrm{\&sigma;}}_i={\mathrm{\&Sigma;}}_{P_j\&Element;\mathrm{Good}}{\mathrm{\&sigma;}}_{\mathrm{ji}}\mathrm{mod}q,$ ${\mathrm{\&rho;}}_i={\mathrm{\&Sigma;}}_{P_j\&Element;\mathrm{Good}}{\mathrm{\&rho;}}_{\mathrm{ji}}\mathrm{mod}q$ 且所有参与方都计算用于秘密重构的验证信息 $A_k={\mathrm{\&Pi;}}_{P_j\&Element;\mathrm{Good}}{A}_{\mathrm{jk}}\mathrm{mod}p,$ k＝0，...，t。这里所分享的秘密σ＝∑_j∈Gooda_j0mod q。

(5)令Good代表所有未被宣布失去资格的参与方。如果P_i∈Good那么对所有k＝0，...，t，P_i广播 $y_{\mathrm{ik}}=g^{a_{\mathrm{ik}}}\mathrm{mod}p.$

(6)参与方P_i对每个满足P_j∈Good的j检查如下等式是否成立

$g^{{\mathrm{\&sigma;}}_{\mathrm{ji}}}=\underset{k=0}{\overset{t}{\mathrm{\&Pi;}}}{\left(y_{\mathrm{jk}}\right)}^{i^k}\mathrm{mod}p---\left(2\right)$

如果对j检查失败，P_i广播满足等式(1)但不满足等式(2)的σ_ij，ρ_ij以示对P_j的抱怨。

(7)对至少收到了一个合理抱怨的参与方P_i，也就是说满足等式(1)但不满足等式(2)，其他参与方则执行重构秘密的步骤以对所有k＝0，...，t计算多项式 $f_i\left(z\right)=\underset{k=0}{\overset{t}{\mathrm{\&Sigma;}}}{a}_{\mathrm{ik}}{z}^k$ 和 $y_{\mathrm{ik}}=g^{a_{\mathrm{ik}}}\mathrm{mod}p.$

(8)所有参与方计算用于秘密重构的验证信息： $y_k={\mathrm{\&Pi;}}_{P_j\&Element;\mathrm{Good}}{y}_{\mathrm{jk}}\mathrm{mod}p,$ k＝0，..，t。这里所分享的信息σ是σ＝∑_j∈Gooda_j0mod q。注意协议最终将公开输出y₀＝g^σmod p。

由于联合联合计算安全随机秘密分享协议能够在无可信秘密分发者的情况下生成一个Z_q上统一分布的秘密σ，并能公布相应的公钥y₀＝g^σmod p，因而这个性质在本方案的初始化部分起到了至关重要的作用，正是由于这个性质，才能够保证整个协议能够在无中央机构的情况下成功运行。

零秘密分享协议是联合计算安全随机秘密分享协议的变体，与后者不同之处在于前者中各协议参与方最终分享的是一个已知的秘密0。将联合计算安全随机秘密分享协议装换成零秘密分享协议需要作如下改动：首先步骤(1)中每个参与方P_i只需生成2t个Z_q中的随机数a_i1，...，a_it与b_i1，...，b_it。这是由于此时a_i0与b_i0均为0；其次等式(1)中计算乘积时k应该是从1到t而非从0到t。最后零秘密分享协议无需执行联合计算安全随机秘密分享协议的步骤(5)至步骤(8)。

现在参考图5描述根据本发明的无中央机构的密文政策属性基加密方案。在下面描述得系统中，系统也要求每个客户有一个全局身份(GID)。没有一个客户能冒充他人的GID，并且所有的属性机构均能验证客户的GID。此外，这里，在根据本发明的第二实施方式中，参数d和num的含义与根据本发明的第一实施方式的有中央机构的密文政策属性基加密系统中的相同参数的含义一样，因此省略其描述。

接下来，令

为一个阶为q的双线性群，令g为

的生成元。令e：

为双线性映射。对i∈Z_q与一个由Z_q中的元素组成的集合S，我们定义拉格朗日系数Δ_i，S： ${\mathrm{\&Delta;}}_{i,S}\left(x\right)={\mathrm{\&Pi;}}_{j\&Element;S,i\&NotEqual;j}\frac{x-j}{i-j}.$ 令每个属性均为中的元素。

此外，由所有的属性机构一起来定义一个真实属性空间U＝{1，2，...，n*n}和一个大小为num-1的傀儡属性空间U^*。系统中有n个属性机构210，第k个属性机构210_k管理属性空间中的如下由n个属性组成的集合U_k＝{(k-1)*n+1，(k-1)*n+2，...，(k-1)*n+n}。每个属性机构k，k∈{1，...，n}用Goyal^[1]等人介绍的方法定义一个(d，num)-通用访问树T_k。

在无中央机构的密文政策属性基加密系统中，各个属性机构210联合起来执行安全随机秘密分享协议。具体来说，属性机构210执行以下步骤：

(1)分别独立执行两次联合计算安全随机秘密分享协议(JERSS)和m次联合零秘密分享协议(JZSS)，以从这两个协议中各个属性机构k获得的碎片将组成该机构的部分私钥Sk_k＝{a_k，0，a_k，1，...，a_k，m,b_k，m+1}，如表1中所示。

表1属性机构210的部分私钥

根据联合计算安全随机秘密分享协议和联合零秘密分享协议的性质可知，如下等式成立： $0={\mathrm{\&Sigma;}}_{l=1}^{t+1}{a}_{k_i,j}{\mathrm{\&Delta;}}_{k_i,S}\left(0\right),$ j∈{1，...，m}， $a_0={\mathrm{\&Sigma;}}_{l=1}^{t+1}{a}_{k_i,0}{\mathrm{\&Delta;}}_{k_i,S}\left(0\right)$ 及 $b_0={\mathrm{\&Sigma;}}_{l=1}^{t+1}{b}_{k_i,m+1}{\mathrm{\&Delta;}}_{k_i,S}\left(0\right).$ 这里S指{k₁，...，k_t+1}。

(2)对每个真实属性j∈U_k，从Z_q选择一个由

个统一分布的随机数 ${\left\{t_{j,x}\right\}}_{x\&Element;{\mathrm{\&Psi;}}_{T_k}}$ 组成的集合。另外，对每个傀儡属性j∈U^*，从Z_q选择一个由

个统一分布的随机数 ${\left\{{t^{*}}_{j,x}\right\}}_{x\&Element;{\mathrm{\&Phi;}}_{T_k}}$ 组成的集合。

(3)最后，系统公开如下公钥PK(系统公钥)：

$g,g_1=g^{a_0},g_2=g^{b_0},{\{{\{T_{j,x}=g^{t_{j,x}}\}}_{j\&Element;U_k,x\&Element;{\mathrm{\&Psi;}}_{T_k}},{\{{T^{*}}_{j,x}=g^{{t^{*}}_{j,x}}\}}_{j\&Element;U^{*},x\&Element;{\mathrm{\&Phi;}}_{T_k}}\}}_{k=1}^n$

属性机构k，k∈{1，...，n}的本地私钥SK_k如下：

${\left\{t_{j,x}\right\}}_{x\&Element;{\mathrm{\&Psi;}}_{T_k},j\&Element;U_k},$ ${\left\{t_{j,x}^{*}\right\}}_{x\&Element;{\mathrm{\&Phi;}}_{T_k},j\&Element;U^{*}},$ Sk_k＝{a_k，0，a_k，1，...，a_k，m，b_k，m+1}。

这些私钥的集合{SK_k}_k＝1 ⁿ组成主私钥SK。

由此可见，在无中央机构的密文政策属性基加密系统中，各个属性机构联合起来提供各自所需要的主私钥以及主公钥。其输入为各属性机构所使用的通用访问树的最大深度d和与客户实际所需的访问结构对应的最大阈值num，其输出为第k个属性机构的本地私钥： ${\left\{t_{j,x}\right\}}_{x\&Element;{\mathrm{\&Psi;}}_{T_k},j\&Element;U_k},{\left\{t_{j,x}^{*}\right\}}_{x\&Element;{\mathrm{\&Phi;}}_{T_k},j\&Element;U^{*}}$ 和Sk_k＝{a_k，0，a_k，1，...，a_k，m，b_k，m+1}，以及公钥g， $g_1=g^{a_0},$ $g_2=g^{b_0},$ ${\{{\{T_{j,x}=g^{t_{j,x}}\}}_{j\&Element;U_k,x\&Element;{\mathrm{\&Psi;}}_{T_k}},{\{{T^{*}}_{j,x}=g^{{t^{*}}_{j,x}}\}}_{j\&Element;U^{*},x\&Element;{\mathrm{\&Phi;}}_{T_k}}\}}_{k=1}^n.$

另外，属性机构210_k还为标识为GID且拥有属性集合γ的客户生成私钥。具体来说，n个属性机构210根据参数 $\mathrm{SK}={\left\{{\mathrm{SK}}_k\right\}}_{k=1}^n,$ GID，γ进行操作(这里GID为客户的指定标识，γ＝{γ₁，γ₂，...，γ_n}为客户的属性集合(γ_k指客户满足的、由属性机构k所管理的属性集合))，以便构成客户私钥D。

首先，属性机构210_k将为通用访问树T_k的每一个节点选择num-1阶的多项式q_x，且使根节点满足q_r(0)＝a_k，0+a_k，1GID+...+a_k，mGID^m，即根节点多项式的常数项是由属性机构从执行联合计算安全随机秘密分享协议和联合零秘密分享协议中获得的碎片来共同确定的，并随机选择另外c_r＝num-1点来定义该多项式q_r(.)。

然后，对其他非叶子节点x，属性机构k使q_x(0)＝q_parent(x)(index(x))，并随机选择其他c_x点来定义改多项式q_x(.)。

以这种方式，客户230从属性机构210_k中获得如下私钥这些私钥的集合{D_k}_k＝1 ⁿ构成了客户的私钥D。

从以上过程看出，根据关于属性机构210_k的参数

${\mathrm{SK}}_k=\{{\left\{t_{j,x}\right\}}_{x\&Element;{\mathrm{\&Psi;}}_{T_k},j\&Element;U_k},{\left\{t_{j,x}^{*}\right\}}_{x\&Element;{\mathrm{\&Phi;}}_{T_k},j\&Element;U^{*}},$

$a_{k,0},...,a_{k,m},b_{k,m+1}\},$

$\mathrm{GID},{\mathrm{\&gamma;}}_k$

产生第k个属性机构的私钥

然后，将这些私钥集合成客户私钥 $D={\left\{D_k\right\}}_{k=1}^n.$

无中央机构的密文政策属性基加密系统的加密模块250根据系统公钥PK和访问树T，对明文m进行加密，这里访问树T实际上由对应于各个属性机构k的子访问树T’_k组成的一个大访问树，该访问树的根节点的阈值为t+1，且根节点有n个子访问树T₁′，T₂′，...，T_n′，任一个子树均为一个(d，num)限定子树。对任一子访问树T_k′，给叶节点分配从U_k选择的真实属性。记子访问树T_k′的根节点为r_k′。

为了能用访问树T_k′对消息M进行加密，加密模块250将访问树T_k′转化成标准树，定义一个映射map(.)来将该标准树映射到通用访问树T_k上，并对每个T_k′中的非叶节点x，为T_k中的map(x)选择一个任意的大小为(num-k_x)的傀儡子节点集合ω_x。然后，选择一个随机数s∈Z_q并公布如下密文：

           T，E′＝M·e(g₁，g₂)^s，

${\{E_k=({\{E_{j,x}=T_{j,\mathrm{map}\left(x\right)}^s\}}_{x\&Element;{\mathrm{\&Psi;}}_{{T^{\&prime;}}_k},j\&Element;U_k:f(j,x)=1},{\{{E^{*}}_{j,x}=T_{j,\mathrm{map}\left(x\right)}^{*s}\}}_{j=\mathrm{att}\left(z\right):z\&Element;{\mathrm{\&omega;}}_x,x\&Element;{\mathrm{\&Phi;}}_{{T^{\&prime;}}_k},})\}}_{k=1}^n.$

其中f(j，x)为一个布尔函数，该布尔函数满足如下条件如果一个真实属性j∈U_k与一个节点 $x\&Element;{\mathrm{\&Psi;}}_{T_k^{\&prime;}}$ 的一个子节点相关则有f(j，x)＝1，否则f(j，x)＝1。

因此，加密模块250输入客户的明文M、公开的公钥g， $g_1=g^{a_0},$ $g_2=g^{b_0},$ ${\{{\{T_{j,x}=g^{t_{j,x}}\}}_{j\&Element;U_k,x\&Element;{\mathrm{\&Psi;}}_{T_k}},{\{{T^{*}}_{j,x}=g^{{t^{*}}_{j,x}}\}}_{j\&Element;U^{*},x\&Element;{\mathrm{\&Phi;}}_{T_k}}\}}_{k=1}^n$ 以及客户选定的对应各个属性机构的访问树T₁′，T₂′，...，T_n′。加密模块250输出相应的密文T、E′＝M·e(g₁，g₂)^s和 ${\{E_k=({\{E_{j,x}=T_{j,\mathrm{map}\left(x\right)}^s\}}_{x\&Element;{\mathrm{\&Psi;}}_{{T^{\&prime;}}_k},j\&Element;U_k:f(j,x)=1},{\{{E^{*}}_{j,x}=T_{j,\mathrm{map}\left(x\right)}^{*s}\}}_{j=\mathrm{att}\left(z\right):z\&Element;{\mathrm{\&omega;}}_x,x\&Element;{\mathrm{\&Phi;}}_{{T^{\&prime;}}_k},})\}}_{k=1}^n.$

根据本发明的无中央机构的密文政策属性基加密系统的解密模块260根据私钥D对密文E进行解密。具体来说，解密模块260首先对每个属性机构k执行根据本发明的第一实施方式中的DecryptNode(E_k，D_k，r_k′)，即，对该子访问树T_k′的根节点执行DecryptNode(E_k，D_k，r_k′)算法；而对T_k′的每个叶节点x，令j＝att(x)且ω是该节点的父节点，如果j∈γ_k，则利用该算法计算 $e(D_{j,\mathrm{map}\left(\mathrm{\&omega;}\right)},E_{j,w})=e{(g,g_2)}^{s\&CenterDot;q_{\mathrm{map}\left(\mathrm{\&omega;}\right)}\left(j\right)}.$ 在T_k′的其他层上，如果成功地对至少k_x非叶节点使用DecryptNode算法，那么可以调用根据本发明的第一实施方式中的DecryptDummy算法计算其他剩余的由加密者选定的num-k_x个傀儡节点，从而最终确定父节点x的

最终，如果T_k′(γ_k)＝1，那么DecryptNode(E_k，D_k，r_k′)算法将输出 $e{(g,g_2)}^{s\&CenterDot;q_{\mathrm{map}\left(r_k^{\&prime;}\right)}\left(0\right)}=e{(g,g_2)}^{s\&CenterDot;q_{r_k^{\&prime;}}\left(0\right)}=e{(g,g_2)}^{s\&CenterDot;(a_{k,0}+a_{k,1}\mathrm{GID}+...+a_{k,m}{\mathrm{GID}}^m)}.$ 否则该算法输出⊥。

如果假设前t+1属性机构在分发私钥时是诚实的，那么对前t+1个子访问树{T_k′}_k＝1 ^t+1，计算

${\mathrm{\&Pi;}}_{k=1}^{t+1}e{(g,g_2)}^{s\&CenterDot;q_{r_k^{\&prime;}}\left(0\right){\mathrm{\&Delta;}}_{k,S}\left(0\right)}=e{(g,g_2)}^{{\mathrm{\&Sigma;}}_{k=1}^{t+1}s\&CenterDot;(a_{k,0}+a_{k,1}\mathrm{GID}+...+a_{k,m}{\mathrm{GID}}^m){\mathrm{\&Delta;}}_{k,S}\left(0\right)}=e{(g,g_2)}^{a_{0}s}=e{(g_1,g_2)}^s.$

这里S指集合{1，2，...，t+1}。最后，计算 $M=\frac{E^{\&prime;}}{e{(g_1,g_2)}^s}.$

总之，该解密模块260输入加密模块250输出的密文E′＝M·e(g₁，g₂)^s、 ${\{E_k=({\{E_{j,x}=T_{j,\mathrm{map}\left(x\right)}^s\}}_{x\&Element;{\mathrm{\&Psi;}}_{{T^{\&prime;}}_k},j\&Element;U_k:f(j,x)=1},{\{{E^{*}}_{j,x}=T_{j,\mathrm{map}\left(x\right)}^{*s}\}}_{j=\mathrm{att}\left(z\right):z\&Element;{\mathrm{\&omega;}}_x,x\&Element;{\mathrm{\&Phi;}}_{{T^{\&prime;}}_k},})\}}_{k=1}^n,$ 客户130获得的客户私钥以及系统的公钥，而输出相应的明文。

图6图解了无中央机构的密文政策属性基加密系统的操作流程图。参考图6，在步骤S601中，由n个属性机构210共同对系统进行初始化，为系统中的各属性机构提供后续过程中所需要的本地私钥，并公布系统所需的公钥。具体来说，在步骤S601中，

1)属性机构210_k(k＝1，2，...，n)分别独立执行两次联合计算安全随机秘密分享协议(JERSS)和m次联合零秘密分享协议(JZSS)，以便属性机构k将这两个协议中获得的碎片组成该属性机构k的部分私钥Sk_k＝{a_k，0，a_k，1，...，a_k，m，b_k，m+1}。

2)对每个真实属性j∈U_k，从Z_q选择一个由

个统一分布的随机数 ${\left\{t_{j,x}\right\}}_{x\&Element;{\mathrm{\&Psi;}}_{T_k}}$ 组成的集合。另外，对每个傀儡属性j∈U^*，从Z_q选择一个由

个统一分布的随机数 ${\left\{{t^{*}}_{j,x}\right\}}_{x\&Element;{\mathrm{\&Phi;}}_{T_k}}$ 组成的集合。

3)系统公开如下公钥PK：

g， $g_1=g^{a_0},$ $g_2=g^{b_0},$ ${\{{\{T_{j,x}=g^{t_{j,x}}\}}_{j\&Element;U_k,x\&Element;{\mathrm{\&Psi;}}_{T_k}},{\{{T^{*}}_{j,x}=g^{{t^{*}}_{j,x}}\}}_{j\&Element;U^{*},x\&Element;{\mathrm{\&Phi;}}_{T_k}}\}}_{k=1}^n$

属性机构k，k∈{1，...，n}的部分本地私钥如下：

${\left\{t_{j,x}\right\}}_{x\&Element;{\mathrm{\&Psi;}}_{T_k},j\&Element;U_k},$ ${\left\{t_{j,x}^{*}\right\}}_{x\&Element;{\mathrm{\&Phi;}}_{T_k},j\&Element;U^{*}},$ Sk_k＝{a_k，0，a_k，1，...，a_k，m，b_k，m+1}。

这些私钥的集合{SK_k}_k＝1 ⁿ组成本地私钥SK。

然后，在步骤S602，根据客户的指定标识GID、客户的属性集合γ＝{γ₁，γ₂，...，γ_n}、属性机构k的本地私钥 ${\left\{t_{j,x}\right\}}_{x\&Element;{\mathrm{\&Psi;}}_{T_k},j\&Element;U_k},{\left\{t_{j,x}^{*}\right\}}_{x\&Element;{\mathrm{\&Phi;}}_{T_k},j\&Element;U^{*}}$ 以及Sk_k＝{a_k，0，a_k，1，...，a_k，m，b_k，m+1}，从属性机构k获得私钥

以便属性机构k共同为客户提供解密所需的私钥。具体来说，属性机构k执行如下步骤来为标识为GID且拥有属性集合γ的客户生成私钥：

1)属性机构k将为通用访问树T_k的每一个节点选择num-1阶的多项式q_x，且使根节点满足q_r(0)＝a_k，0+a_k，1GID+...+a_k，mGID^m，即根节点多项式的常数项是由属性机构k从执行联合计算安全随机秘密分享协议和联合零秘密分享协议中获得的碎片来共同确定的，并随机选择另外c_r＝num-1点来定义该多项式q_r(.)。

2)然后，对其他非叶子节点x，属性机构k使q_x(0)＝q_parent(x)(index(x))，并随机选择其他c_x点来定义改多项式q_x(.)。

以这种方式，客户230从属性机构k中获得如下客户私钥并将这些客户私钥的集合{D_k}_k＝1 ⁿ构成了客户130的客户私钥D。

接下来，在步骤S603，根据步骤S601中所公开的公钥g， $g_1=g^{a_0},$ $g_2=g^{b_0},$ ${\{{\{T_{j,x}=g^{t_{j,x}}\}}_{j\&Element;U_k,x\&Element;{\mathrm{\&Psi;}}_{T_k}},{\{{T^{*}}_{j,x}=g^{{t^{*}}_{j,x}}\}}_{j\&Element;U^{*},x\&Element;{\mathrm{\&Phi;}}_{T_k}}\}}_{k=1}^n,$ 以及客户选定的对应各个属性机构的访问树T₁′，T₂′，...，T_n′，产生相应的密文T，E′＝M·e(g₁，g₂)^s， ${\{E_k=({\{E_{j,x}=T_{j,\mathrm{map}\left(x\right)}^s\}}_{x\&Element;{\mathrm{\&Psi;}}_{{T^{\&prime;}}_k},j\&Element;U_k:f(j,x)=1},{\{{E^{*}}_{j,x}=T_{j,\mathrm{map}\left(x\right)}^{*s}\}}_{j=\mathrm{att}\left(z\right):z\&Element;{\mathrm{\&omega;}}_x,x\&Element;{\mathrm{\&Phi;}}_{{T^{\&prime;}}_k},})\}}_{k=1}^n.$

具体来说，在步骤S603中，用访问树T对消息M进行加密，这里访问树T实际上由对应于各个属性机构k的子访问树T_k′组成的一个大访问树，该访问树的根节点的阈值为t+1，且根节点有n个子访问树T₁′，T₂′，...，T_n′，任一个子树均为一个(d，num)限定子树。对任一子访问树T_k′，给叶节点分配从U_k选择的真实属性。记子访问树T_k′的根节点为r_k′。

为了能用访问树T_k′对消息M进行加密，首先将其转化成标准树，然后将定义一个映射map(.)将该子访问树T_k′映射到通用访问树T_k上，最后对每个T_k′中的非叶节点x，为T_k中的map(x)选择一个任意的大小为(num-k_x)的傀儡子节点集合ω_x。然后，选择一个随机数s∈Z_q并公布如下密文：

              T，E′＝M·e(g₁，g₂)^s，

${\{E_k=({\{E_{j,x}=T_{j,\mathrm{map}\left(x\right)}^s\}}_{x\&Element;{\mathrm{\&Psi;}}_{{T^{\&prime;}}_k},j\&Element;U_k:f(j,x)=1},{\{{E^{*}}_{j,x}=T_{j,\mathrm{map}\left(x\right)}^{*s}\}}_{j=\mathrm{att}\left(z\right):z\&Element;{\mathrm{\&omega;}}_x,x\&Element;{\mathrm{\&Phi;}}_{{T^{\&prime;}}_k},})\}}_{k=1}^n.$

在步骤S604，根据客户私钥和系统公开的公钥，对密文E′＝M·e(g₁，g₂)^s和 ${\{E_k=({\{E_{j,x}=T_{j,\mathrm{map}\left(x\right)}^s\}}_{x\&Element;{\mathrm{\&Psi;}}_{{T^{\&prime;}}_k},j\&Element;U_k:f(j,x)=1},{\{{E^{*}}_{j,x}=T_{j,\mathrm{map}\left(x\right)}^{*s}\}}_{j=\mathrm{att}\left(z\right):z\&Element;{\mathrm{\&omega;}}_x,x\&Element;{\mathrm{\&Phi;}}_{{T^{\&prime;}}_k},})\}}_{k=1}^n$ 进行解密。具体步骤是，对每个属性机构k，执行DecryptNode(E_k，D_k，r_k′)，即，对该子访问树T_k′的根节点执行DecryptNode(E_k，D_k，r_k′)；而对T_k′的每个叶节点x，令j＝att(x)且ω是该节点的父节点，如果j∈γ_k，则用该算法计算 $e(D_{j,\mathrm{map}\left(\mathrm{\&omega;}\right)},E_{j,w})=e{(g,g_2)}^{s\&CenterDot;q_{\mathrm{map}\left(\mathrm{\&omega;}\right)}\left(j\right)}.$ 在T_k′的其他层上，如果成功地对至少k_x非叶节点使用DecryptNode算法，那么可以调用DecryptDummy算法计算其他剩余的由加密者选定的num-k_x个傀儡节点，从而最终确定父节点x的

最终，如果T_k′(γ_k)＝1，那么DecryptNode(E_k，D_k，r_k′)算法将输出 $e{(g,g_2)}^{s\&CenterDot;q_{\mathrm{map}\left(r_k^{\&prime;}\right)}\left(0\right)}=e{(g,g_2)}^{s\&CenterDot;q_{r_k^{\&prime;}}\left(0\right)}=e{(g,g_2)}^{s\&CenterDot;(a_{k,0}+a_{k,1}\mathrm{GID}+...+a_{k,m}{\mathrm{GID}}^m)}.$ 否则该算法输出⊥。

如果假设前t+1属性机构在分发私钥时是诚实的，那么对前t+1个子访问树{T_k′}_k＝1 ^t+1，计算

${\mathrm{\&Pi;}}_{k=1}^{t+1}e{(g,g_2)}^{s\&CenterDot;q_{r_k^{\&prime;}}\left(0\right){\mathrm{\&Delta;}}_{k,S}\left(0\right)}=e{(g,g_2)}^{{\mathrm{\&Sigma;}}_{k=1}^{t+1}s\&CenterDot;(a_{k,0}+a_{k,1}\mathrm{GID}+...+a_{k,m}{\mathrm{GID}}^m){\mathrm{\&Delta;}}_{k,S}\left(0\right)}=e{(g,g_2)}^{a_{0}s}=e{(g_1,g_2)}^s.$

这里S指集合{1，2，...，t+1}。最后，计算 $M=\frac{E^{\&prime;}}{e{(g_1,g_2)}^s}.$

到目前为止所考虑的多属性机构属性加密方案主要是私钥政策且是有中央机构的，本方案首次设计出了首个无中央机构的多机构密文政策属性基加密方案。设计无中央机构的多机构密文政策属性基加密方案的难度在于如何防止客户之间的共谋攻击。所谓共谋攻击是指两个均未获得合格私钥的两个客户合谋进行解密。共谋攻击可以分成两个层次：针对属性机构与属性机构之间的攻击，及针对单个属性机构的攻击。由于现有的单属性机构属性基加密已能防止针对单个属性机构的共谋攻击，因而多属性机构属性加密方案主要需防止针对属性机构之间的攻击。例如，在上述方案中一个客户可能只从t-1个属性机构中获得能解密相应部分密文的私钥，而另一客户只从一个属性机构获得能解密相应密文的私钥，这两个客户都不具有成功解密密文的能力。但是，如果这两个客户合谋能成功解密密文，那么我们称该方案不能防止共谋攻击。

本方案的难度就在于如何在没有中央机构的情况下做到防止客户针对属性机构之间的攻击。在Chase的方案中，为了防止客户针对属性机构之间的共谋攻击，每个客户都被分配了一个唯一的身份GID，这样每个客户从属性机构获得的私钥被嵌入了一个唯一的随机数，从而保证各个客户从不同的属性机构获得私钥不能混合使用，因而成功防止了共谋攻击。

由于Chase的方案中有一个中央机构，该机构掌握所有属性机构的秘密，因而它可以轻而易举的为每个客户生成一个中央私钥，从而将各个客户从属性机构中获得的私钥整合到一起，从而保证解密过程与客户的身份GID无关(这一点对于区分属性基加密和身份基加密至关重要)。由于需要防止客户针对属性机构之间的共谋攻击，因而这种私钥和私钥之间的整合需要在整个解密的最后一个步骤完成，否则客户就有可能在真正解开密文前，将身份GID的限制去掉，从而可能成功实现共谋攻击。

本方案的构思的创新之处在于，将Chase方案所使用的伪随机数生成器替换成了多项式，从而使得各个属性机构能够在没有中央机构的情况下以分布式的方式产生各个属性机构的私钥，并共同公布相应的公钥。由于计算客户的私钥不再依赖于输入GID的伪随机数生成器而依赖于以GID作为输入的多项式值，那么通过控制那些对GID有影响的多项式的非常数项系数，使这些非常数项系数是关于0的秘密碎片，从而保证客户在最后一步的整合中能避免GID对解密的影响(整合的过程对应于秘密分享的秘密重构，由于这些多项式项是关于0的碎片，因而与GID有关的项将在最后的解密步骤中消失)。由于私钥分配过程仍旧依赖于GID，所以仍能防止客户的共谋攻击，但整个方案却不存在一个中央机构。

另外本方案对联合计算安全随机秘密分享协议(JERSS)和联合零秘密分享协议(JZSS)的使用也是本方案的一个创新之处，已有的分布式的协议^[8][9][10]对这两个协议的使用都是以一种串行的方式进行的，即通常是先执行一个JERSS协议，再执行若干个JZSS协议。然而本方案中却使这几个协议以并行的方式运行，并通过一个多项式将各个参与方从各个协议运行过程中所获得的碎片联系起来，我们将这种协议的使用方式看作本方案的创新点之一。此外，由于Chase的方案中使用了伪随机数生成器，因而在安全性证明时需要使用随机预言机模型，而由于本方案避免了使用伪随机数生成器，因而本方案的安全性可以在标准模型下证明。由于通常情况下密码学认为标准模型下的安全性证明更为可靠，这意味着本方案的安全性比Chase的方案更强。

同现有的多机构属性基加密方案相比，本方案中不存在一个中央机构。由于已有方案中的中央机构几乎掌握属性机构的所有秘密，并能够解密系统中的所有的密文，如果中央机构被攻击者攻击成功，那么整个系统就毫无安全性而言。由于本方案中不存在中央机构，那么所有属性机构之间的地位是平等的，只有当攻击者成功攻击了至少t-1个属性机构，系统的安全性才会出现问题，因此本方案首次真正实现了分布式的多属性机构方案，这对于保护信息系统中信息的隐私性具有重要的意义。

本发明主要可以运用于如下场景：访问日志审计(audit log)，指定广播加密(targeted broadcast encryption)^[2]，分布式文件管理系统(distributed filesystem management)，以及在线网络社区(online web community)^[6]等。由于本发明是现有的属性基加密方案的一种推广，所以现有的属性基加密方案的应用场景同样适用于本发明。

网络访问日志通常包括网络服务器日志(包括服务器日志、引用日志和代理日志)、网络站点的拓扑结构和站点文件、客户的注册信息、客户调查信息、Cookies，以及与网络服务相关的其他信息。由于这些信息与网络系统的安全性和客户信息的安全和隐私密切相关，因而在特定场合下，比如出于刑侦的目的需要对这些网络访问日志进行审计时，便可以采用本发明对审计者的访问权限进行控制。比如，在本发明所设计的系统中，可以有如下的属性：客户名、时间和事件。

该系统中可以有三个属性机构和一个中央机构(若采用第二个方案则无中央机构)，这里每个机构监控一个属性，中央机构则负责分发中央私钥(同上，第二个方案也无中央机构)。某个访问日志文件可以附上访问结构“Bob与2005年7月14日或2005年8月25日与朝鲜事件”，这样拥有满足如上访问结构的私钥的审计者就可以解密该日志。比如，一个审计者从三个属性机构获得关于属性集合{Bob，2005年8月25日，朝鲜事件}的私钥就可以解密上述密文。反之，拥有关于属性集合{Bob，2005年8月25日}的私钥的客户就不能解密上述密文，原因就是这些属性集合不能满足上述访问日志的访问结构。本发明能够抵抗客户之间的合谋攻击，由于本发明是多属性机构的，所以单个属性机构只需承担较轻的通信和计算费用，并且即使部分属性机构为攻击者所控制，系统中信息的安全性依然能得以保证。

指定广播加密是另一个本发明可能的应用场景，一个与指定广播加密密切相关的应用场景就是数字电视系统。数字电视系统可以利用本发明实现对客户的收看权限的控制。基于本发明实现的数字电视系统，可以将广播的电视节目附上如下的访问结构“康熙王朝与2008年7月14日或2008年6月12日与华东区”。同样，系统中应该有三个属性机构，分别负责相关的属性：节目、时间、收看区域和一个负责分发中央私钥的中央机构。同理，那些拥有满足上述访问结构私钥的客户能在解密电视节目后，正常收看节目，反之则不能。

目前已有的分布式网络文件系统的访问控制通常是由一个可信第三方来仲裁实现，这样意味着当第三方被攻击者控制时整个系统的信息就无安全性可言，另外这样的系统在实现复杂的访问控制政策时第三方的工作量将会剧增。通过将本发明和内容可编址(content-addressable)文件系统结合可以较为有效地实现复杂的文件访问控制政策，另外由于本发明中拥有多个属性机构，那么即使某几个机构被攻击者控制，文件的安全性仍然能得到保证。

在线网络社区，比如现有的orkut，facebook，fridenster等，是一种能使客户方便地找到具有相同爱好兴趣的网络交友社区。通过将本发明运用到在线网络社区中，客户可以将自己的一些私人信息以加密的方式传输到网络社区中，并通过访问控制政策规定那些与其有相近爱好的客户才可以查看。

上述提及的应用仅为本发明众多应用场景中一些较为典型的例子，除了上述这些例子，本发明还有其他一些可能的应用场景，这里就不一一赘述，总而言之，本发明是一项有着较为广泛的应用和商业前景的新技术。

在上面的说明中，根据本发明的优选实施方式描述了密文政策属性基加密系统及其方法。本领域技术人员将理解，该方法可以实现为记录在计算机可读记录介质上的计算机可读代码。该计算机可读记录介质可以是存储可由计算机系统读取的数据的任何数据存储设备。计算机可读记录介质的示例包括只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘、光数据存储装置和载波(诸如通过因特网的数据发送)。计算机可读记录介质还可以分布在联网的计算机系统中，以便以分布的方式存储并执行计算机可读代码。

尽管上述是参照示例性实施方式来描述本发明，但本领域技术人员将理解，在不背离由所附权利要求书限定的本发明宗旨和范围的前提下，可以对本发明进行各种形式和细节上的修改。优选实施方式应该仅认为是说明性的，而不是限制性的。因此，本发明的详细描述不限定本发明的范围，本发明的范围应该由所附权利要求限定，并且本发明的范围内的所有区别技术特征应理解为包含在本发明中。

Claims (16)

1.一种密文政策属性基加密系统，包括： 

客户，用于输入客户条件、客户标识以及客户属性集合，并产生客户私钥； 

中央控制部件，用于根据客户条件初始化该密文政策属性基加密系统并公开中央公钥，产生中央私钥、作为该系统负责管理的属性集合的真实属性空间和作为不具有真实意义的属性的集合的傀儡属性空间，并且根据客户要求产生一部分客户私钥； 

多个属性分发部件，每一个所述属性分发部件管理所述真实属性空间的一个相应的真实属性子空间，将该相应的真实属性子空间和该傀儡属性空间映射为相应通用访问树，基于相应的通用访问树为每一个属性选择一随机数组，将所述随机数组与中央私钥生成相应的本地私钥，根据所述本地私钥为相应属性分发部件产生本地公钥，并且根据客户要求产生另一部分客户私钥；以及 

加密部件，基于所述中央控制部件所公开的中央公钥、所述属性分发部件所公开的本地公钥以及所述属性分发部件映射得到的通用访问树，对输入的明文进行加密，以得到经加密的密文， 

其中，所述客户根据输入的客户标识和客户属性集合，通过中央控制部件和属性分发部件，利用所述通用访问树、中央公钥、各个属性分发部件的本地公钥、中央私钥和各个属性分发部件的本地私钥分别产生所述一部分客户私钥和所述另一部分客户私钥，所述一部分客户私钥和所述另一部分客户私钥合成客户私钥，用以对经加密密文进行解密。 

2.根据权利要求1所述的密文政策属性基加密系统，还包括： 

解密部件，用于基于客户私钥、系统的公钥以及各个属性分发部件的本地公钥，通过通用访问树，对经加密的密文进行解密。 

3.根据权利要求1或2所述的密文政策属性基加密系统，其中，所述客户条件包括所述通用访问树的最大深度以及客户实际所需的访问结构对应的最大阈值。 

4.根据权利要求1或2所述的密文政策属性基加密系统，其中，每一个属性分发部件所管理的真实属性子空间取决于属性分发部件的管理能力。 

5.一种用于密文政策属性基加密系统的加密方法，该密文政策属性基加密系统包括中央控制机构和多个属性分发机构，该加密方法包括下列步骤： 

输入客户条件、客户标识和客户属性集合； 

中央控制机构根据客户条件初始化该密文政策属性基加密系统并公开中央公钥，产生中央私钥、作为该系统负责管理的属性集合的真实属性空间和作为不具有真实意义的属性的集合的傀儡属性空间，每一个所述属性分发机构管理所述真实属性空间的一个相应的真实属性子空间； 

每一个所述属性分发机构将该相应的真实属性子空间和该傀儡属性空间映射为相应通用访问树，基于相应的通用访问树为每一个属性选择一随机数组，将所述随机数组与中央私钥生成相应的本地私钥，并根据本地私钥为相应属性分发机构产生本地公钥； 

基于所述中央控制机构所公开的中央公钥、所述属性分发机构所公开的本地公钥以及所述属性分发机构映射得到的通用访问树，对输入的明文进行加密，以得到经加密的密文；以及 

根据输入的指定标识和属性集合，利用所述通用访问树、中央公钥、各个属性分发机构的本地公钥、中央私钥和各个属性分发机构的本地私钥产生客户私钥，用以对经加密密文进行解密。 

6.根据权利要求5所述的加密方法，还包括步骤： 

基于客户私钥、系统的公钥以及各个属性分发机构的本地公钥，通过通用访问树，对经加密的密文进行解密。 

7.根据权利要求5或6所述的加密方法，其中，所述客户条件包括所述通用访问树的最大深度以及客户实际所需的访问结构对应的最大阈值。 

8.根据权利要求5或6所述的加密方法，其中，每一个属性分发机构所管理的真实属性子空间取决于属性分发机构的管理能力。 

9.一种包含真实属性子空间和傀儡属性空间的密文政策属性基加密系统，包括： 

客户，用于输入客户条件、客户标识和客户属性集合，并用于产生客户私钥； 

多个属性分发部件，每个属性分发部件管理所述真实属性空间的一个相应的真实属性子空间，将该相应的真实属性子空间和该傀儡属性空间映射为相应通用访问树，基于相应的通用访问树为每一个属性选择一随机数组，由 为各个属性分发部件产生的随机数组来产生一部分本地私钥，并且通过执行联合计算安全随机秘密分享协议和联合零秘密分享协议来产生另一部分本地私钥，所述一部分本地私钥和所述另一部分本地私钥构成属性分发部件的本地私钥，各个本地私钥构成主私钥，并且根据该主私钥产生公钥；以及 

加密部件，用于根据系统所公开的公钥和通用访问树，对明文进行加密以产生密文， 

其中，所述客户基于该主私钥、本地私钥、客户标识和客户属性集合，利用所述通用访问树，通过所述属性分发部件产生客户私钥，用以对密文进行解密。 

10.根据权利要求9的包含真实属性子空间和傀儡属性空间的密文政策属性基加密系统，还包括解密部件，用于根据客户私钥和系统所公开的公钥，对密文进行解密，以得到明文。 

11.根据权利要求9或10的包含真实属性子空间和傀儡属性空间的密文政策属性基加密系统，其中，每个属性分发部件执行两次联合计算安全随机秘密分享协议。 

12.根据权利要求11的包含真实属性子空间和傀儡属性空间的密文政策属性基加密系统，其中，每个属性分发部件执行多次联合零秘密分享协议。 

13.一种用于包含真实属性子空间和傀儡属性空间的密文政策属性基加密系统的加密方法，该系统包括多个属性分发机构，每个属性分发机构管理所述真实属性空间的一个相应的真实属性子空间，该方法包括步骤： 

将该相应的真实属性子空间和该傀儡属性空间映射为相应通用访问树； 

基于相应的通用访问树为每一个属性选择一随机数组； 

由各随机数组产生系统一部分本地私钥，并且通过执行联合计算安全随机秘密分享协议和联合零秘密分享协议来产生另一部分本地私钥，所述一部分本地私钥和所述另一部分本地私钥构成属性分发机构的本地私钥，各个本地私钥构成主私钥； 

根据主私钥产生系统公钥； 

根据系统所公开的公钥和通用访问树，对明文进行加密以产生密文；以及 

基于主私钥、本地私钥、客户标识和客户属性集合，利用所述通用访问树产生客户私钥，用以对密文进行解密。 

14.根据权利要求13的加密方法，还包括步骤： 

根据客户私钥和系统所公开的公钥，对密文进行解密，以得到明文。 

15.根据权利要求13或14的加密方法，其中，每个属性分发机构执行两次联合计算安全随机秘密分享协议。 

16.根据权利要求15的加密方法，其中，每个属性分发机构执行多次联合零秘密分享协议。 

Images