CN103401839A - 一种基于属性保护的多授权中心加密方法 - Google Patents

Abstract

本发明提出了一种基于属性保护的多授权中心加密方法，所述方法首先设置系统参数，再设置授权者的公钥和私钥，公钥用于加密数据，私钥用于生成用户的私钥；采用盲计算方法生成用户的私钥，用户的私钥用于解密消息。本发明方法采用在用户和授权者间执行两方安全盲计算；使用完全隐藏承诺方法对用户全局识别码GID进行承诺，防止恶意的授权者通过追踪用户全局识别码GID收集用户的属性；零知识证明方法使得证明者能够在不向验证者提供任何有用信息的情况下使验证者相信某个属性信息是正确的，保护了用户隐私；用于解决云计算中访问控制和安全的问题，系统运行效率高。

Description

一种基于属性保护的多授权中心加密方法

技术领域

本发明属于信息安全技术领域，具体指的是一种基于属性保护的多授权中心加密方法。

背景技术

云计算是一种基于互联网的计算方式，通过这种方式，共享的软件资源和信息可以按需提供给计算机和其他设备。近几年，随着云计算的发展，人们对云计算数据存储安全性的担忧越来越强，逐渐阻碍了云计算技术的发展。这种担忧主要由于用户数据存储在公共云端，而公共云端是由不可信的第三方来管理的。解决这个问题的一个方法是以加密的形式将数据存储到公共云端，这样不可信的第三方只能获取密文，而不能得到对应的明文。但是这又带来了另一个问题，当用户想共享他的数据时，他要么给出自己的私钥，要么先解密得到明文然后再共享数据。显然这两种方法都不是很好的解决办法。

Sahai和Waters在2005年提出了基于属性的加密体制（ABE）。这个体制就能很好地解决上面云计算中的问题。使用基于属性的加密体制，用户可以在不可信的服务器上将数据安全地共享给指定的用户。在基于属性的加密体制中，用户的密钥和密文与描述性属性集和访问策略相关联。只有相关属性和访问策略相匹配时，一个密钥才能解密一个特定的密文。基于属性的加密可以分为两类，即密钥策略的基于属性的加密（KP-ABE）和密文策略的基于属性的加密（CP-ABE）。在KP-ABE中，用户的密钥与授权方指定的访问策略相关联，密文由描述性属性集标记。在CP-ABE中，用户的密钥由描述性属性集标记，而密文与加密者指定的访问策略相关联。

多授权中心的基于属性的加密是基于属性的加密体制的一个发展方向。传统的基于属性的加密体制中只存在一个授权中心，他负责定义系统中的属性和分发用户私钥。而在多授权中心的基于属性的加密体制中，有多个授权中心负责分发私钥和管理属性。传统的多授权中心的ABE方案中存在一个中心授权者，他知道其他授权者的私钥。显然当中心授权者是恶意授权者的时候，系统将不再安全。为解决这个问题，去中心授权者的ABE方案被提出。去中心授权者的ABE方案移除了中心授权者，授权者可以独立地管理属性以及分发私钥。

传统的多授权中心的ABE方案存在一个缺陷，就是很难抵抗用户联合攻击。如当用户Alice拥有属性A，用户Bob拥有属性B时，他们任意一个都不能解密访问结构为[A,B]的密文，但是当Alice和Bob联合起来时，他们将会获得与属性A和属性B相关联的私钥，这样他们将可以解密他们任意一个人都不可以解密的消息。为了解决用户联合攻击的问题，Chase在多授权中心的基于属性的加密一文中引入了全局识别码GID的概念。来自不同授权者的用户私钥中都要绑定用户的全局识别码GID，这样当Alice和Bob联合起来时，由于他们私钥中的全局识别码不统一，他们将不能够解密访问结构为[A,B]的密文。但是引入全局识别码又带来了另一个问题，泄漏用户的隐私。当恶意授权者联合起来时，他们将可以通过追踪用户的GID从而收集用户的属性，获得用户的隐私信息。在所授权中心的ABE方案中，用户的隐私还可能从访问结构中泄漏。传统的ABE方案中，访问策略是随密文一起发送给接收者的，因此不管该接收者是否能正确解密，他都能获得访问策略中指定的属性，从而泄露用户的隐私。

发明内容

本发明所要解决的技术问题在于克服现有技术的不足，给出一种基于属性保护的多授权中心加密方法，所述方法采用具有多授权中心的基于属性的加密方法，从两方安全计算、隐藏承诺方法和零知识证明方法等方面保护用户的隐私信息。

为了解决上述技术问题，本发明所采用的技术方案是：

一种基于属性保护的多授权中心加密方法，具体步骤如下：

步骤A，设置系统参数,

选取大素数p，分别生成p阶乘法循环群G₀和G₁，设定双线性映射e:G₀×G₀→G₁；选择G₀中的生成元g,h和h₁；公布<p,G₀,G₁,g,h,h₁>作为系统公开参数params；

步骤B，设置授权者的公钥与私钥：

步骤B-1：授权者A_k随机选取

和

作为其私钥，其中k∈[1,N],i∈[1,n],j∈[1,n_i]，

是模p的剩余类环，表示集合{0,1,2,...,p-1}，N表示系统中授权者的个数，n表示系统中属性的种类，n_i表示第i种属性拥有的可能值的个数；

定义用户的属性集为L，即用户所拥有的属性的集合为L，属性的种类最多有n种，第i种属性的值是n_i个可能属性值中的一个；对于两个不同的用户属性集L和L′，应满足：

${\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L}{t}_{i,j}\&NotEqual;{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^{\&prime;}}{t}_{i,j}$

其中

表示对所有满足v_i,j∈L的t_i,j求和，v_i,j表示属性值，是第i种属性的第j个可能值；

则，授权者A_k的私钥为：

${\mathrm{SK}}_k=<{\mathrm{\&alpha;}}_k,{\mathrm{\&beta;}}_k,{\left\{t_{i,j}^k\right\}}_{i\&Element;\&lsqb;1,n\&rsqb;,j\&Element;\&lsqb;1,n_i\&rsqb;}>$

步骤B-2：授权者A_k分别计算：

$T_k=e{(g,g)}^{{\mathrm{\&alpha;}}_k},Z_k=g^{{\mathrm{\&beta;}}_k}$ 和 $T_{i,j}^k=g^{t_{i,j}^k}$

则，授权者A_k的公钥PK_k为：

${\mathrm{PK}}_k=<Y_k,Z_k,{\left\{T_{i,j}^k\right\}}_{i\&Element;\&lsqb;1,n\&rsqb;,j\&Element;\&lsqb;1,n_i\&rsqb;}>$

步骤C，盲计算生成用户的私钥，具体步骤如下：

步骤C-1：用户U分别随机选取ρ₁,z,a₁,a₂,

分别计算：

$T=g^z{h}_1^u$

$P_1=h^{{\mathrm{\&rho;}}_1}$

$T^{\&prime;}=g^{a_1}{h}_1^{a_2}$

$P_1^{\&prime;}=h^{a_3}$

将<T,P₁,T′,P₁′>发送给授权者A_k；其中，T是对用户全局识别码u的承诺；P₁用于在用户U和授权者A_k间执行两方安全计算；

步骤C-2：授权者A_k随机选取

并将c发送给用户U；

步骤C-3：用户U计算x₁=a₁-cz,x₂=a₂-cu和x₃=a₃-cρ₁，并将<x₁,x₂,x₃>发送给授权者A_k；

步骤C-4：授权者A_k分别验证等式

和

是否成立；如果等式都成立，则授权者A_k分别随机选取r_k,ρ₂,X,b₁,b₂,b₃,

分别计算：

$P_2=h^{{\mathrm{\&rho;}}_2}$

${\tilde{D}}_0^k=g^{{\mathrm{\&alpha;}}_k}{\left(P_1{P}_2\right)}^{r_k}{h}^{{\mathrm{\&Sigma;}}_{v_{i,j\&Element;L^k}}{t}_{i,j}^k}{T}^{{\mathrm{\&beta;}}_k}$

${\tilde{D}}_{11}^k=P_2^{r_k}$

${\tilde{D}}_{12}^k=h^{r_k}$

$P_2^{\&prime;}=h^{b_1}$

${\left({\tilde{D}}_0^k\right)}^{\&prime;}=g^{b_2}{\left(P_1{P}_2\right)}^{b_3}{h}^X{T}^{b_4}$

${\left({\tilde{D}}_{11}^k\right)}^{\&prime;}=P_2^{b_3}$

${\left({\tilde{D}}_{12}^k\right)}^{\&prime;}=h^{b_3}$

授权者A_k将

发送给用户U；

如果等式不成立，则系统返回失败；

步骤C-5：用户U随机选取

并将c′发送给授权者A_k；

步骤C-6：授权者A_k计算y₁=b₁-c′ρ₂,y₂=b₂-c′α_k,y₃=b₃-c′r_k,y₄=b₄-cβ_k和 $y_5={\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k-c^{\&prime;}X,$ 并将<y₁,y₂,y₃,y₄,y₅>发送给用户U；

步骤C-7：用户U验证等式 $P_2^{\&prime;}=h^{y_1}{p}_2^{c^{\&prime;}},{\left({\tilde{D}}_0^k\right)}^{\&prime;}=g^{y_2}{\left(P_1{P}_2\right)}^{y_3}{h}^{y_5}{T}^{y_4}{\left({\tilde{D}}_0^k\right)}^{c^{\&prime;}},$

和是否成立；如果等式不成立，系统返回失败；

如果等式成立，用户U计算 $D_0^k=\frac{{\tilde{D}}_0^k}{Z_k^z},D_1^k={\tilde{D}}_{11}^k{\left({\tilde{D}}_{12}^k\right)}^{{\mathrm{\&rho;}}_1};$

得到授权者A_k颁发给用户的私钥为

${\mathrm{SK}}_U^k=<D_0^k,D_1^k>;$

步骤D，加密，根据选定的访问策略以及授权者的公钥对明文M进行加密：

步骤D-1：加密者随机选取

指定一个访问策略W，访问策略W指出了可以解密消息的属性集；

步骤D-2：加密者使用选取的随机值s和访问策略W，分别计算：

$C_1=M\&CenterDot;{\mathrm{\&Pi;}}_{k\&Element;I_c}{Y}_k^s,C_2=g^s,C_3={\mathrm{\&Pi;}}_{k\&Element;I_c}{Z}_k^s,C_4={\left({\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{T}_{i.j}^k\right)}^s$

其中，

表示对所有满足k∈I_c的

做连乘，I_c是授权者的索引集，即监控访问策略中属性的授权者的下标集合；

加密者得到固定长度的密文CT=<C₁,C₂,C₃,C₄>；

步骤E，解密，根据系统公开参数以及用户私钥对密文CT进行解密得到明文M；

步骤E-1：解密者验证是否有与访问策略下标匹配的属性，如果没有，则解密失败，如果有，则继续下面的步骤；

步骤E-2：解密者使用系统公共参数<p,G₀,G₁,g,h,h₁>和解密者的私钥

以及密文CT=<C₁,C₂,C₃,C₄>，令：

$H=e(C_3,h_1^u)=e({\mathrm{\&Pi;}}_{k\&Element;I_c}{g}^{{\mathrm{\&beta;}}_{k}s},h_1^u)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}$

$J={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_1^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(h^{r_k},g^s)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{{\mathrm{sr}}_k}$

$R=e(h,C_4)=e(h,{\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{g}^{{\mathrm{st}}_{i,j}^k})=e{(g,h)}^{{\mathrm{s\&Sigma;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{t}_{i,j}^k}$

$Q={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_0^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(g^{{\mathrm{\&alpha;}}_k}{h}^{r_k+{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{h}_1^{u{\mathrm{\&beta;}}_k},g^s)$

$={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,g)}^{s{\mathrm{\&alpha;}}_k}e{(g,h)}^{{\mathrm{sr}}_k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{s{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}$

则明文M为：

$M=C_1\&CenterDot;\frac{\mathrm{RHJ}}{Q}$

本发明的有益效果是：本发明提出了一种基于属性保护的多授权中心加密方法，所述方法首先设置系统参数，再设置授权者的公钥和私钥，公钥用于加密数据，私钥用于生成用户的私钥；采用盲计算方法生成用户的私钥，用户的私钥用于解密消息。本发明方法采用在用户和授权者间执行两方安全盲计算；使用完全隐藏承诺方法对用户全局识别码GID进行承诺，防止恶意的授权者通过追踪用户全局识别码GID收集用户的属性；零知识证明方法使得证明者能够在不向验证者提供任何有用信息的情况下使验证者相信某个属性信息是正确的，保护了用户隐私；用于解决云计算中访问控制和安全的问题，系统运行效率高。

附图说明

图1为本发明加密系统的工作示意图。

图2为本发明加密方法的流程图。

具体实施方式

下面结合附图，对本发明提出的一种基于属性保护的多授权中心加密方法进行详细说明：

本发明所用的数学理论说明：

1、双线性对（Bilinear Pairing）

这里简要介绍双线性映射的基本定义和它需满足的性质。

令G₀,G₁是两个p阶的乘法循环群，其中p为素数，g是G₀的生成元。定义两个群上的双线性映射为：e:G₀×G₀→G₁，且满足下面的性质：

（1）双映射性：e(g^a,h^b)=e(g,h)^ab，对所有g,h∈G₀,a,

都成立。

（2）非退化性：e(g,g)≠1。

（3）可计算性：存在有效算法来计算e。

2、判定BDH（Decisional Bilinear Diffie-Hellman）困难问题假定

给定p阶循环群G₀，其中p为素数，g是G₀的生成元。则群G₀上的判定BDH问题是：已知a,b,c,z是从

随机选取的，以不可忽略的概率区分(A,B,C,Z)=(g^a,g^b,g^c,g^abc)和(A,B,C,Z)=(g^a,g^b,g^c,g^z)这两个元组。

3、访问结构（Access Structure）

设P={P₁,P₂,...,P_n}是n个参与者的集合。设

表示由参与者集合的子集构成的集合，S₁,S₂表示参与者集合的子集，对于所有的S₁,S₂：如果

并且

那么

则说

是一个单调的访问结构。属于

的参与者的子集称为授权集，不属于的参与者的子集称为非授权集。其中符号

表示包含于，

即表示集合S₁包含于集合S₂。

4、承诺（Commitment）

一个承诺方案允许一个人承诺一个消息或者一个数值，而在一段时间内不泄露这个消息或者数值。在一段时间之后，他可以揭露他承诺的消息或者数值。本发明用到的承诺方案是一个成为Pedersen承诺方案的完全隐藏承诺方案。具体描述如下：

设G₀是p阶的循环群，其中p为素数，g₀,g₁,...,g_l是G₀的生成元，r是从

随机选取的。消息(m₁,m₂,...,m_l)的承诺为

利用从随机选取的r可以解承诺得到消息。

5、零知识证明（Zero-Knowledge Proof）

零知识证明指的是证明者能够在不向验证者提供任何有用信息的情况下使验证者相信某个论断是正确的。本发明用到的零知识证明方案是Camenisch和Stadler引入的零知识证明方案，具体描述如下：

我们定义整数α,β和γ的零知识证明为

其中g,h是循环群G₀的生成元，

是群

的生成元。整数α,β和γ是要证明的知识，其他值是验证者用于验证等式的。

下面将结合附图说明本发明的具体过程:如图1所示，本发明提供的多授权中心的ABE系统包括如下五个步骤：

设置系统参数（Setup）：输入安全参数l，返回系统公开参数params。

设置授权者的公钥和私钥（Authority Setup）：每一个授权者A_k分别生成自己的私钥SK_k和公钥PK_k，其中k=1,2,...,N。系统中共有N个授权者。

盲计算生成用户私钥（BlindKeyGen）：授权者运行盲密钥生成算法为用户U生成私钥。

加密（Encryption）：输入系统公开参数params，消息M，授权者的公钥PK_k以及访问策略W，加密者加密得到一个密文CT。只有当与私钥相关联的用户属性集L满足访问策略的时候，用户才能解密密文CT。

解密（Decryption）：接收者输入他的全局识别码GID，解密密钥

以及密文CT，解密得到消息M。

下面将结合多授权中心的ABE方法的流程图对该加密系统的各个步骤进行具体的说明。

如图2所示，本发明提供的多授权中心的ABE执行流程具体如下：

步骤A，设置系统参数：

选取大素数p，p阶乘法循环群G₀和G₁，双线性映射e:G₀×G₀→G₁；选择G₀中的生成元g,h和h₁；公布<p,G₀,G₁,g,h,h₁>作为系统公开参数params。

步骤B，根据系统公开参数生成授权者的公钥与私钥：

步骤B-1：各授权者A_k随机选取

和

作为他的私钥，其中k∈[1,N],i∈[1,n],j∈[1,n_i]，

是模p的剩余类环，表示集合{0,1,2,...,p-1}，符号∈表示属于，

即表示α_k属于集合

N表示系统中授权者的个数，n表示系统中属性的种类，n_i表示第i种属性拥有的可能值的个数。定义用户的属性集为L，即用户所拥有的属性的集合为L，属性的种类最多有n种，第i种属性的值是n_i个可能属性值中的一个。对于两个不同的用户属性集L和L′，应满足

其中符号∑表示求和，即表示对所有满足v_i,j∈L的t_i,j求和，v_i,j表示属性值，是第i种属性的第j个可能值。授权者A_k的私钥为 ${\mathrm{SK}}_k=<{\mathrm{\&alpha;}}_k,{\mathrm{\&beta;}}_k,{\left\{t_{i,j}^k\right\}}_{i\&Element;\&lsqb;1,n\&rsqb;,j\&Element;\&lsqb;1,n_i\&rsqb;}>.$

步骤B-2：每一个授权者A_k计算 $Y_k=e{(g,g)}^{{\mathrm{\&alpha;}}_k},Z_k=g^{{\mathrm{\&beta;}}_k}$ 和 $T_{i,j}^k=g^{t_{i,j}^k},$ 其中k∈[1,N],i∈[1,n],j∈[1,n_i]，公布 ${\mathrm{PK}}_k=<Y_k,Z_k,{\left\{T_{i,j}^k\right\}}_{i\&Element;\&lsqb;1,n\&rsqb;,j\&Element;\&lsqb;1,n_i\&rsqb;}>$ 作为授权者的公钥PK_k。

步骤C，根据系统公开参数生成用户的私钥：

步骤C-1：用户U分别随机选取ρ₁,z,a₁,a₂,

分别计算：

$T=g^z{h}_1^u,P_1=h^{{\mathrm{\&rho;}}_1},T^{\&prime;}=g^{a_1}{h}_1^{a_2}$ 和 $P_1^{\&prime;}=h^{a_3}$

将<T,P₁,T′,P₁′>发送给授权者A_k。其中k∈[1,N]，N表示系统中共有N个授权者；T是对用户全局识别码u的承诺；P₁用于在用户U和授权者A_k间执行两方安全计算。

步骤C-2：授权者A_k随机选取

并将c发送给用户U。

步骤C-3：用户U计算x₁=a₁-cz,x₂=a₂-cu和x₃=a₃-cρ₁，并将<x₁,x₂,x₃>发送给授权者A_k。

步骤C-4：授权者A_k验证等式

和

是否成立。如果等式成立，授权者A_k随机选取r_k,ρ₂,X,b₁,b₂,b₃,

计算

${\tilde{D}}_0^k=g^{{\mathrm{\&alpha;}}_k}{\left(P_1{P}_2\right)}^{r_k}{h}^{{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k},{\tilde{D}}_{11}^k=P_2^{r_k},{\tilde{D}}_{12}^k=h^{r_k},P_2^{\&prime;}=h^{b_1},{\left({\tilde{D}}_0^k\right)}^{\&prime;}=g^{b_2}{\left(P_1{P}_2\right)}^{b_3}{h}^X{T}^{b_4},$ ${\left({\tilde{D}}_{11}^k\right)}^{\&prime;}=P_2^{b_3},{\left({\tilde{D}}_{12}^k\right)}^{\&prime;}=h^{b_3},$ 并将发送给用户U。如果等式不成立，则系统返回失败。

步骤C-5：用户U随机选取

并将c′发送给授权者A_k。

步骤C-6：授权者A_k计算y₁=b₁-c′ρ₂,y₂=b₂-c′α_k,y₃=b₃-c′r_k,y₄=b₄-cβ_k和

并将<y₁,y₂,y₃,y₄,y₅>发送给用户U。

步骤C-7：用户U验证等式 $P_2^{\&prime;}=h^{y_1}{p}_2^{c^{\&prime;}},{\left({\tilde{D}}_0^k\right)}^{\&prime;}=g^{y_2}{\left(P_1{P}_2\right)}^{y_3}{h}^{y_5}{T}^{y_4}{\left({\tilde{D}}_0^k\right)}^{c^{\&prime;}},$

和

是否成立。如果等式不成立，系统返回失败。如果等式成立，用户U计算 $D_0^k=\frac{{\tilde{D}}_0^k}{Z_k^z},D_1^k={\tilde{D}}_{11}^k{\left({\tilde{D}}_{12}^k\right)}^{{\mathrm{\&rho;}}_1};$

得到授权者A_k颁发给用户的私钥为

步骤D，根据选定的访问策略以及授权者的公钥对消息M进行加密：

步骤D-1：加密者随机选取

指定一个访问策略W，访问策略W指出了可以解密消息的属性集。

步骤D-2：加密者使用选取的随机值s和访问策略W，计算 $C_1=M\&CenterDot;{\mathrm{\&Pi;}}_{k\&Element;I_c}{Y}_k^s,C_2=g^s,C_3={\mathrm{\&Pi;}}_{k\&Element;I_c}{Z}_k^s,C_4={\left({\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{T}_{i.j}^k\right)}^s,$ 其中符号∏表示连乘，

即表示对所有满足k∈I_c的

做连乘，k∈[1,N]，i∈[1,n],j∈[1,n_i]，v_i,j表示属性值，是第i种属性的第j个可能值，I_c是授权者的索引集，即监控访问策略中属性的授权者的下标集合。加密者最终得到密文CT=<C₁,C₂,C₃,C₄>。

步骤E，根据系统公开参数以及用户私钥对密文CT进行解密得到消息。

步骤E-1：解密者验证是否有与访问策略下标匹配的属性，如果没有，则解密失败，如果有，则继续下面的步骤。

步骤E-2：解密者使用系统公共参数<p,G₀,G₁,g,h,h₁>和解密者的私钥

以及密文CT=<C₁,C₂,C₃,C₄>作如下计算：

$H=e(C_3,h_1^u)=e({\mathrm{\&Pi;}}_{k\&Element;I_c}{g}^{{\mathrm{\&beta;}}_{k}s},h_1^u)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}$

$J={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_1^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(h^{r_k},g^s)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{{\mathrm{sr}}_k},$

$R=e(h,C_4)=e(h,{\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{g}^{{\mathrm{st}}_{i,j}^k})=e{(g,h)}^{{\mathrm{s\&Sigma;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{t}_{i,j}^k},$

$Q={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_0^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(g^{{\mathrm{\&alpha;}}_k}{h}^{r_k+{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{h}_1^{u{\mathrm{\&beta;}}_k},g^s)$

$={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,g)}^{s{\mathrm{\&alpha;}}_k}e{(g,h)}^{{\mathrm{sr}}_k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{s{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k},$

$C_1\&CenterDot;\frac{\mathrm{RHJ}}{Q}=M\&CenterDot;\frac{{e(g,h)}^{s{\mathrm{\&Sigma;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{t}_{i,j}^k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{s{r}_k}}{{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,g)}^{{\mathrm{s\&alpha;}}_k}e{(g,h)}^{{\mathrm{sr}}_k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{s{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{\mathrm{\&Pi;}}_{k\&Element;I_c}{e(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}}.$

$=M$

下面将对如上所述的多授权中心的ABE系统应用于云计算中的情形进行说明。

依照本发明的步骤，当用户A要将数据存储到公共云端的时候，属性权威机构运行得到公共参数params，授权者产生他的公私钥对，用户A选取一个访问策略W（比如W=[W₁,W₃,W₅]），利用授权者的公钥和公共参数params对要存储的数据进行加密。当其他用户B想访问该用户加密的数据时，他首先根据系统参会的策略索引集{1,3,5}验证自己是否有属性L₁,L₃,L₅（不妨设属性L₁,L₃由授权者A₁监控，属性L₅由授权者A₃监控），如果没有，则用户B没有访问该数据的权限；如果有，用户B向授权者A₁,A₃申请私钥，用户B与授权者交互执行盲密钥生成算法，最终得到自己的私钥。用户B利用自己的私钥、公共参数params和密文解密得到原始数据。由于本方案能够保护用户隐私，因此恶意的授权者和恶意的用户均不能得到将数据存储到云端的用户的属性信息。此外，由于方案密文长度固定，本发明方案的通信代价和计算代价大大降低，提高了系统运行的效率。

本领域普通技术人员应该了解，本发明不受上述实例限制，上述实例的描述只是为说明本发明的基本原理与特点，在上述实例的基础上可以很容易的联想到其他的优点和变形。在不背离本发明宗旨的范围内，本领域普通技术人员可以根据上述具体实施例通过各种等同替换所得到的技术方案，但是这些技术方案均应该包含在本发明的权利要求的范围及其等同的范围之内。

Claims (1)

1.一种基于属性保护的多授权中心加密方法，其特征在于，具体步骤如下：

步骤A，设置系统参数：

选取大素数p，分别生成p阶乘法循环群G₀和G₁，设定双线性映射e:G₀×G₀→G₁；选择G₀中的生成元g,h和h₁；公布<p,G₀,G₁,g,h,h₁>作为系统公开参数params；

步骤B，设置授权者的公钥与私钥：

步骤B-1：授权者A_k随机选取

和

作为其私钥，其中k∈[1,N],i∈[1,n],j∈[1,ni]，

是模p的剩余类环，表示集合{0,1,2,...,p-1}，N表示系统中授权者的个数，n表示系统中属性的种类，n_i表示第i种属性拥有的可能值的个数；

定义用户的属性集为L，即用户所拥有的属性的集合为L，属性的种类最多有n种，第i种属性的值是n_i个可能属性值中的一个；对于两个不同的用户属性集L和L′，应满足：

${\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L}{t}_{i,j}\&NotEqual;{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^{\&prime;}}{t}_{i,j}$

其中

表示对所有满足v_i,j∈L的t_i,j求和，v_i,j表示属性值，是第i种属性的第j个可能值；

则，授权者A_k的私钥为：

${\mathrm{SK}}_k=<{\mathrm{\&alpha;}}_k,{\mathrm{\&beta;}}_k,{\left\{t_{i,j}^k\right\}}_{i\&Element;\&lsqb;1,n\&rsqb;,j\&Element;\&lsqb;1,n_i\&rsqb;}>$

步骤B-2：授权者A_k分别计算：

$T_k=e{(g,g)}^{{\mathrm{\&alpha;}}_k},Z_k=g^{{\mathrm{\&beta;}}_k}$ 和 $T_{i,j}^k=g^{t_{i,j}^k}$

则，授权者A_k的公钥PK_k为：

${\mathrm{PK}}_k=<Y_k,Z_k,{\left\{T_{i,j}^k\right\}}_{i\&Element;\&lsqb;1,n\&rsqb;,j\&Element;\&lsqb;1,n_i\&rsqb;}>$

步骤C，盲计算生成用户的私钥，具体步骤如下：

步骤C-1：用户U分别随机选取ρ₁,z,a₁,a₂

分别计算：

$T=g^z{h}_1^u$

$P_1=h^{{\mathrm{\&rho;}}_1}$

$T^{\&prime;}=g^{a_1}{h}_1^{a_2}$

$P_1^{\&prime;}=h^{a_3}$

将<T,P₁,T′,P₁′>发送给授权者A_k；其中，T是对用户全局识别码u的承诺；P₁用于在用户U和授权者A_k间执行两方安全计算；

步骤C-2：授权者A_k随机选取并将c发送给用户U；

步骤C-3：用户U计算x₁=a₁-cz,x₂=a₂-cu和x₃=a₃-cρ₁，并将<x₁,x₂,x₃>发送给授权者A_k；

步骤C-4：授权者A_k分别验证等式

和

是否成立；如果等式都成立，则授权者A_k分别随机选取r_k,ρ₂,X,b₁,b₂,b₃,

分别计算：

$P_2=h^{{\mathrm{\&rho;}}_2}$

${\tilde{D}}_0^k=g^{{\mathrm{\&alpha;}}_k}{\left(P_1{P}_2\right)}^{r_k}{h}^{{\mathrm{\&Sigma;}}_{v_{i,j\&Element;L^k}}{t}_{i,j}^k}{T}^{{\mathrm{\&beta;}}_k}$

${\tilde{D}}_{11}^k=P_2^{r_k}$

${\tilde{D}}_{12}^k=h^{r_k}$

$P_2^{\&prime;}=h^{b_1}$

${\left({\tilde{D}}_0^k\right)}^{\&prime;}=g^{b_2}{\left(P_1{P}_2\right)}^{b_3}{h}^X{T}^{b_4}$

${\left({\tilde{D}}_{11}^k\right)}^{\&prime;}=P_2^{b_3}$

${\left({\tilde{D}}_{12}^k\right)}^{\&prime;}=h^{b_3}$

授权者A_k将

发送给用户U；

如果等式不成立，则系统返回失败；

步骤C-5：用户U随机选取

并将c′发送给授权者A_k；

步骤C-6：授权者A_k计算y₁=b₁-c′ρ₂,y₂=b₂-c′α_k,y₃=b₃-c′r_k,y₄=b₄-cβ_k和

并将<y₁,y₂,y₃,y₄,y₅>发送给用户U；

步骤C-7：用户U验证等式 $P_2^{\&prime;}=h^{y_1}{p}_2^{c^{\&prime;}},{\left({\tilde{D}}_0^k\right)}^{\&prime;}=g^{y_2}{\left(P_1{P}_2\right)}^{y_3}{h}^{y_5}{T}^{y_4}{\left({\tilde{D}}_0^k\right)}^{c^{\&prime;}},$ ${\left({\tilde{D}}_{11}^k\right)}^{\&prime;}=P_2^{y_3}{\left({\tilde{D}}_{11}^k\right)}^{c^{\&prime;}}$ 和 ${\left({\tilde{D}}_{12}^k\right)}^{\&prime;}=h^{y_3}{\left({\tilde{D}}_{12}^k\right)}^{c^{\&prime;}}$ 是否成立；如果等式不成立，系统返回失败；

如果等式成立，用户U计算 $D_0^k=\frac{{\tilde{D}}_0^k}{Z_k^z},D_1^k={\tilde{D}}_{11}^k{\left({\tilde{D}}_{12}^k\right)}^{{\mathrm{\&rho;}}_1};$

得到授权者A_k颁发给用户的私钥为

${\mathrm{SK}}_U^k=<D_0^k,D_1^k>;$

步骤D，加密，根据选定的访问策略以及授权者的公钥对明文M进行加密：

步骤D-1：加密者随机选取

指定一个访问策略W，访问策略W指出了可以解密消息的属性集；

步骤D-2：加密者使用选取的随机值s和访问策略W，分别计算：

$C_1=M\&CenterDot;{\mathrm{\&Pi;}}_{k\&Element;I_c}{Y}_k^s,C_2=g^s,C_3={\mathrm{\&Pi;}}_{k\&Element;I_c}{Z}_k^s,C_4={\left({\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{T}_{i,j}^k\right)}^s$

其中，表示对所有满足k∈I_c的

做连乘，I_c是授权者的索引集，即监控访问策略中属性的授权者的下标集合；

加密者得到固定长度的密文CT=<C₁,C₂,C₃,C₄>；

步骤E，解密，根据系统公开参数以及用户私钥对密文CT进行解密得到明文M；

步骤E-1：解密者验证是否有与访问策略下标匹配的属性，如果没有，则解密失败，如果有，则继续下面的步骤；

步骤E-2：解密者使用系统公共参数<p,G₀,G₁,g,h,h₁>和解密者的私钥

以及密文CT=<C₁,C₂,C₃,C₄>，令：

$H=e(C_3,h_1^u)=e({\mathrm{\&Pi;}}_{k\&Element;I_c}{g}^{{\mathrm{\&beta;}}_{k}s},h_1^u)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}$

$J={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_1^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(h^{r_k},g^s)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{{\mathrm{sr}}_k}$

$R=e(h,C_4)=e(h,{\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{g}^{{\mathrm{st}}_{i,j}^k})=e{(g,h)}^{{\mathrm{s\&Sigma;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{t}_{i,j}^k}$

$Q={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_0^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(g^{{\mathrm{\&alpha;}}_k}{h}^{r_k+{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{h}_1^{u{\mathrm{\&beta;}}_k},g^s)$

$={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,g)}^{s{\mathrm{\&alpha;}}_k}e{(g,h)}^{{\mathrm{sr}}_k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{s{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}$

则明文M为：

$M=C_1\&CenterDot;\frac{\mathrm{RHJ}}{Q}.$

Images