CN103618609B - 一种云环境下基于属性基加密的及时用户撤销方法 - Google Patents

Abstract

本发明公开了一种云环境下基于属性基加密的及时用户撤销方法，该方法是将密钥分割成两份，一份发送给请求用户，另一份由代理服务器端保存，当请求用户向代理服务器发出访问请求时，代理服务器会对其保存的部分密钥进行重计算，根据其保存的撤销列表选择不同的重计算方法，实现只有合法用户拿到的密钥才能解密；本发明不仅可以实现用户的及时撤销，将密钥更新的工作转移到代理服务器，减轻了授权机构的压力，而且无需为其它合法用户的密钥进行更新，减轻了代理服务器更新密钥的工作量，提高了撤销的效率。

Description

一种云环境下基于属性基加密的及时用户撤销方法

技术领域

本发明涉及计算机云计算安全技术领域，特别涉及一种云环境下基于属性基加密的及时用户撤销方法。

背景技术

云计算是一种通过因特网以服务的方式提供动态可伸缩的虚拟化的资源的计算模式。从产生至今，其具有的诸多优点使其得到了快速的推广和发展，受到越来越多企业和用户的青睐。云计算是利用软件来实现硬件资源的虚拟化管理、调度及应用，大大降低了维护成本且提高了资源的利用率，其具有的良好的灵活性最大限度地为用户节省了开支，用户可以根据自己的需要定制相应的服务，而其具有的高可靠性和安全性也使更多的企业和用户愿意将数据存放到云端。

云存储的流行和发展使得人们对其中数据安全性的关注度越来越高，属性基加密由于其自身的特点非常适合云存储这种大规模用户的访问控制，但目前现有技术中存在云存储用户撤销效率很慢的问题。而本发明能够很好地解决上面的问题。

发明内容

本发明目的是在CP-ABE的基础上，引入密钥分割和代理重密钥技术，解决用户撤销的问题，实现及时，高效的用户撤销。

本发明解决其技术问题所采取的技术方案是：本发明提出了一种云环境下基于属性基加密的及时用户撤销方法，其包括如下步骤：

步骤1：系统参数生成；

可信机构首先随机选择生成元，生成双线性群和双线性映射，生成两对主密钥和公钥，主密钥保留，公钥公开；

步骤2：生成私钥和代理重密钥；

用户向可信机构提供相关信息，申请访问私钥；可信机构根据用户提供的信息分配对应的数据属性，生成私钥SK_u并发送给用户；数据属主将文件F的特殊属性集发送给可信机构，可信机构为其生成私钥SK_x，并为其生成重密钥rk₁,rk₂，并将SK_x,rk₁,rk₂发送给CPSP；

步骤3：创建文件；

数据属主为文件F选取属性集构造访问控制树T_A，选取特殊属性集构造访问控制树T_x，对文件F进行加密生成密文CT,并发送给CPSP；CPSP为文件选取唯一的ID号，生成此文件的用户撤销列表，并将文件保存到CBS，然后将此ID号返还给数据属主；

步骤4：文件访问；

用户U向CPSP发起对文件F的访问，CPSP判断U是否在用户撤销列表中，若在，调用rk₁对SK_x重计算得到SK_x′：若不在，调用rk₂对SK_x重计算得到SK_x′；CPSP将密文CT，SK_x′发送给用户U；用户U利用SK_u，SK_x′对密文CT进行解密运算；

步骤5：文件撤销；

数据属主删除文件，将文件ID和自己的签名发送至CPSP；CPSP确认签名后删除CBS上的该文件，返回成功给数据属主；

步骤6：用户撤销；

数据属主撤销用户U，将其用户标识发送给CPSP，CPSP将其用户标识添加到用户撤销列表中，将密文版本号Ver加1，返回成功给数据属主；

步骤7：全过程结束。

本发明所述方法中的代理服务器向用户发送其保存的部分密钥前对这部分密钥进行重计算，只向合法用户输出合法的这部分密钥。本发明所述的方法是在云环境下运行。本发明所述方法是基于属性基加密。

本发明利用密钥分割和代理重密钥实现了用户撤销的方法，该方法中的密钥被分割成两份，一份发送给请求用户，另一份由代理服务器端保存，当请求用户向代理服务器发出访问请求时，代理服务器会对其保存的部分密钥进行重计算，根据其保存的撤销列表选择不同的重计算方法，实现只有合法用户拿到的密钥才能解密。本发明不仅可以实现用户的及时撤销，将密钥更新的工作转移到代理服务器，减轻了授权机构的压力，而且无需为其它合法用户的密钥进行更新，减轻了代理服务器更新密钥的工作量，提高了撤销的效率。

双线性配对是设计ABE加密方案时非常关键的工具之一。首先给出双线性配对的定理：选取两个阶为一个大素数p的群G₁和G₂，定义一个可有效计算的双线性映射e:G₁×G₁→G₂，该映射必须满足：

(1)双线性：一个映射e：G₁×G₁→G₂具有双线性，当e(g^a,h^b)＝e(g,h)^ab，对于所有的g,h∈G₁和所有的a,b∈Z_p。

(2)非退化性：存在g,h∈G₁，使得e(g,h)≠1。即不能将所有G₁×G₁的元素都映射到G₂中某个相同元素。

访问控制树是ABE方法的核心部分之一，叶节点为属性值，而非叶节点是门限值。假设num_z为节点的孩子个数，k_z为节点z的门限值。同时我们定义函数parent(z)返回z的父节点，index(z)返回节点z的序号，att(z)返回叶节点代表的属性值。如果一个属性结构满足一个访问控制树，则至少该属性结构的一个属性集满足访问控制树的所有属性。

一、体系结构

图1给出了本发明的系统模型，主要由以下部分组成，云端代理服务器端（cloudproxy service provider），简称CPSP，云端后台存储（cloud background storage），简称CBS以及可信机构，数据属主和数据用户。数据属主将加密后的文件存放在CBS，供数据用户访问共享。为获取CBS数据，数据用户需向CPSP发出请求，得到密文和CPSP重计算后的部分密钥，配合自己的部分密钥进行解密，且只有未被撤销的用户才可以正确解密。这种结构加入了代理服务器，将属性撤销的相关工作从可信机构转移到代理服务器，可信机构只需要为数据用户生成并分发部分密钥。图2给出了对访问控制结构树的改动，引入一组特殊属性集合X，用于存放在代理服务器端部分密钥的生成。

本发明与传统的CP-ABE和传统的版本号用户撤销方法相比较，其主要改进了以下部分：（1）引入特殊属性集X，构造其访问构造树T_X，与原访问构造树构成新的访问构造树；（2）将密钥分开管理，一部分直接发送给数据用户，另一部分存放在CPSP，并利用代理重密钥完成这部分密钥在CPSP的重计算；（3）用户撤销后无需对其他合法用户的密钥进行更新，只需CPSP将密文的版本号加一。

本发明在传统CP-ABE基础上，引入一组由数据属主提供的特殊属性，特殊属性构成的访问控制树T_x与原访问控制树T_A构成新的访问控制树，从而在原来的一份密钥SK_A的基础上又额外增加了一份密钥SK_x，且将第二份密钥保存到代理服务器端，而具有了这两份密钥，无法解出明文，只有将SK_x进行正确的重计算得到的SK_x′，结合SK_A，才能够解出明文。本发明的优点是可信机构生成并分发给数据用户SK_A以后，无需对SK_A进行更新，密文也只需在每次发生用户撤销时更新一次版本号，大大降低了系统由于用户撤销而引发的对所有合法用户密钥更新和密文更新所带来的压力。

本发明引入代理服务器，其主要作用为：（1）保存由特殊属性集合生成的密钥SK_x。（2）为每一个文件维护一张用户撤销列表。（3）在对数据用户访问申请作出响应后，利用重密钥对SK_x进行重计算，并只向合法用户传出合法的SK_x′。（4）在发生用户撤销后对密文的版本号进行升级，之后重密钥计算得到的SK_x′中的版本号与当前密文版本号保持一致，以防止被撤销用户利用之前获得的合法SK_x′进行解密。引入代理服务器，大大减轻了可信机构的工作量。

二、方法流程

1.系统参数生成

Setup→(PK₁,MK₁,PK₂,MK₂)。可信机构首先随机选择生成元为g，阶为p的双线性群G₀和双线性映射e:G₀×G₀＝G_T，随机选择随机数α₁,β₁,α₂,β₂∈Z_p，生成公钥和主密钥：

${\mathrm{PK}}_1=(G_0,g,h_1=g^{{\mathrm{\β}}_1},e{(g,g)}^{{\mathrm{\α}}_1})$

${\mathrm{MK}}_1=({\mathrm{\β}}_1,g^{{\mathrm{\α}}_1})$

${\mathrm{PK}}_2=(G_0,g,h_2=g^{{\mathrm{\β}}_2},e{(g,g)}^{{\mathrm{\α}}_2})$

${\mathrm{MK}}_2=({\mathrm{\β}}_2,g^{{\mathrm{\α}}_2})$

2.生成私钥和代理重密钥

用户私钥生成方法为特殊属性私钥方法keygen₂(MK₂,X)。

a.用户私钥生成

用户u获得的属性集为随机选取r∈Z_p,并为每一个属性a_j选择一个随机值r_j∈Z_p，调用方法生成用户u的私钥为

${\mathrm{SK}}_u=(D_1=g^{({\mathrm{\α}}_1+r)/{\mathrm{\β}}_1},\∀{\mathrm{\α}}_j\∈\hat{A}:D_j=g^r\·H{\left(j\right)}^{r_j},{D_j}^{\′}{g}^{r_j})$

b.特殊属性私钥生成

X为特殊属性集合，随机选取r₀∈Z_p，随机选取t∈Z_p并保存t，未每一个属性x_i∈X选择一个随机值r_i∈Z_p，当前版本号为Ver，调用keygen₂(MK₂,X)方法生成特殊属性私钥为

${\mathrm{SK}}_x=(\mathrm{Ver},D_2=g^{({\mathrm{\α}}_2+r_0)/{\mathrm{\β}}_2},\∀x_i\∈X:D_x={(g^{r_0}\·H{\left(j\right)}^{r_i})}^t,{D_x}^{\′}=g^{r_{i}t})$

c.代理重密钥生成

可信机构为每一个文件生成两个不同的代理重密钥，并将其保存到代理服务器端，代理服务器根据数据用户是否为合法用户而有选择的使用其中一个代理重密钥进行重计算。

随机选取t′∈Z_p，调用Rekeygen₁(MK₂)方法生成代理重密钥

${\mathrm{rk}}_1=(N=g^{{\mathrm{\α}}_2\·{\mathrm{\β}}_2},t^{\′})$

使用生成特殊属性私钥时保存的t，调用Rekeygen₂(MK₂)方法生成代理重密钥

${\mathrm{rk}}_2=(N=g^{{\mathrm{\α}}_2/{\mathrm{\β}}_2},t)$

3.创建文件

用户属主调用Encrypt(PK,M,T)方法对密文M进行加密，T为访问控制树，建访问控制数的过程如下：

a.问控制树中的每一个节点选取一个多项式q_z,多项式的阶为d_z,则d_z=k_z-1。

b.T_A,T_X的根节点随机选择s₁,s₂∈Z_p，Y为T_A的叶子节点的集合，满足q_y(0)=s₁，q_x(0)=s₂，R为T_A的根节点，用多项式插值法随机选取q_R个值来定义多项式q_R。

C.对于树上除根节点以外的节点z，另q_z(0)=q_parent(z)(index(z))然后再随机选择d_z个点把所有多项式定义完整。

加密后的密文：

$\begin{array}{c}\mathrm{CT}=(\mathrm{Ver},T_A,\tilde{C}=M\·e{(g,g)}^{{\mathrm{\α}}_1{s}_1}e{(g,g)}^{{\mathrm{\α}}_2{s}_2},\\ C_1={h_1}^{s_1},C_2={h_2}^{s_2},\\ \∀y\∈Y:C_y=g^{q_y\left(0\right)},{C_y}^{\′}=H{\left(\mathrm{att}\left(y\right)\right)}^{q_y\left(0\right)},\\ \∀x\∈X:C_x=g^{s_2},{C_x}^{\′}=H\left(\mathrm{att}{\left(x\right)}^{s_2}\right)\end{array}$

用户属主将加密后的密文发送给CPSP，CPSP给密文分配唯一的ID号，为每一个文件维护一张属性撤销列表，再将密文存储到CBS上，并将此ID号返回给用户属主。

4.文件访问

用户u向CPSP发送请求申请访问文件。CPSP根据自己维护的此文件的属性撤销列表ID_revoked=(uer₁,user₂...user_n)判断用户u是否在列表中，然后对SK_x进行重计算：

如果用户u∈ID_revoked，即用户为不合法用户，调用重密钥方法Rekey(rk₁,SK_x)，重计算得到

$\begin{array}{c}{{\mathrm{SK}}_x}^{\′}=(\mathrm{Ver},{D_2}^{\′}={(D_2/N)}^{t^{\′}}\·N={\left(g^{({\mathrm{\α}}_2+r_0)/{\mathrm{\β}}_2-{\mathrm{\α}}_2{\mathrm{\β}}_2}\right)}^{t^{\′}}\·g^{{\mathrm{\α}}_2{\mathrm{\β}}_2,}\\ D_x={(g^{r_o}\·H{\left(j\right)}^{r_i})}^t,\\ {D_x}^{\′}=g^{r_{i}t})\end{array}$

如果用户，即用户为合法用户，调用重密钥方法Rekey(rk₂,SK_x)，重计算得到

$\begin{array}{c}{{\mathrm{SK}}_x}^{\′}=(\mathrm{Ver},{D_2}^{\′}={(D_2/N)}^t\·N=g^{({\mathrm{\α}}_2+t\·r_0)/{\mathrm{\β}}_2},\\ D_x={(g^{r_0}\·H{\left(j\right)}^{r_i})}^t,\\ {D_x}^{\′}=g^{r_{i}t})\end{array}$

其中版本号Ver与当前密文版本号保持一致。

CPSP将重计算的密钥SK_x′，密文CT发送给数据用户。

数据用户首先调用解密方法Decrypt(CT,SK_u)如下：

调用T(A)确认SK_u中的属性是否满足访问控制树T_A，T(A)是从叶节点到根节点的递归方式，定义m为T_A中节点。

a.若m为叶节点，定义S为SK_u所关联的属性集合，令i=att(m)，如果，则DecryptNode(CT,SK_u,m)=NULL，若i∈S，则

$\begin{array}{c}\mathrm{DecryptNode}(\mathrm{CT},{\mathrm{SK}}_u,m)\\ =\frac{e(D_i,C_m)}{e({D_i}^{\′},{C_m}^{\′})}\\ =e{(g,g)}^{{\mathrm{rq}}_m\left(0\right)}\end{array}$

b.若m为非叶结点，o为m的孩子节点，定义S_o为k_z个o节点的集合，定义

F_o=DecryptDode(CT,SK_u,o)，如果没有这样的集合S_o,则F_o=⊥，否则，计算

其中i=index(o),S_o′＝{index(o)：o∈S_o}

$\begin{array}{c}=\underset{o\∈S_x}{\mathrm{\Π}}{\left(e{(g,g)}^{r\·q_o\left(0\right)}\right)}^{{\mathrm{\Δ}}_{i,{S_x}^{\′}}\left(0\right)}\\ =\underset{o\∈S_x}{\mathrm{\Π}}{\left(e{(g,g)}^{r\·q_{\mathrm{parent}\left(o\right)}\left(\mathrm{index}\left(o\right)\right)}\right)}^{{\mathrm{\Δ}}_{i,{S_x}^{\′}}\left(0\right)}\\ =\underset{o\∈S_x}{\mathrm{\Π}}e{(g,g)}^{r\·q_m\left(i\right)\·{\mathrm{\Δ}}_{i,{S_x}^{\′}}\left(0\right)}\\ =e{(g,g)}^{r\·q_m\left(0\right)}\end{array}$

c.当m为根节点时

令 $A_1=F_r=\mathrm{DecryptNode}(\mathrm{CT},{\mathrm{SK}}_u,r)=e{(g,g)}^{r\·q_R\left(0\right)}=e{(g,g)}^{r\·s_1},$ 令

$\begin{array}{c}{M}_1=\mathrm{Decrypt}(\mathrm{CT},{\mathrm{SK}}_u)\\ =\tilde{C}/(e(C_1,D_1)/A_1)\\ =\tilde{C}/e{(g,g)}^{{\mathrm{\α}}_1{s}_1}\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\end{array}$

对于T_X访问控制树，数据用户调用Decrypt(CT,SK_x′)：

首先判断CT中版本号Ver与SK_x′中版本号是否相等，若不相等则

A₂=DecryptNode(CT,SK_x′,x)=NULL

若相等则

$\begin{array}{c}{A}_2=\mathrm{DecryptNode}(\mathrm{CT},{{\mathrm{SK}}_x}^{\′},x)\\ =e(D_x,C_x)/e({D_x}^{\′},{C_x}^{\′})\\ =e{(g,g)}^{r_0{s}_2\·t}\end{array}$

若为合法用户，令

$\begin{array}{c}{M}_2=M_1/e(C_2,{D_2}^{\′})/A_2\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·A_2/e(C_2,{D_2}^{\′})\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·e{(g,g)}^{r_0{s}_2\·t}/e(g^{{\mathrm{\β}}_2{s}_2},g^{({\mathrm{\α}}_2+r_{0}t)/{\mathrm{\β}}_2})\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·e{(g,g)}^{r_0{s}_2\·t}/e{(g,g)}^{s_2({\mathrm{\α}}_2+r_{0}t)}\\ =M\end{array}$

解出明文

若为不合法用户，令

$\begin{array}{c}{M}_2=M_1/e(C_2,{D_2}^{\′})/A_2\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·A_2/e(C_2,{D_2}^{\′})\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·e{(g,g)}^{r_0{s}_2\·t}/e(g^{{\mathrm{\β}}_2{s}_2},{\left(g^{({\mathrm{\α}}_2+r_0)/{\mathrm{\β}}_2-{\mathrm{\α}}_2{\mathrm{\β}}_2}\right)}^{t^{\′}}\·g^{{\mathrm{\α}}_2{\mathrm{\β}}_2})\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·e{(g,g)}^{r_0{s}_2\·t}/e(g^{{\mathrm{\β}}_2{s}_2},g^{(({\mathrm{\α}}_2+r_0)/{\mathrm{\β}}_2-{\mathrm{\α}}_2{\mathrm{\β}}_2)t^{\′}+{\mathrm{\α}}_2{\mathrm{\β}}_2})\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·e{(g,g)}^{r_0{s}_2\·t}/e{(g,g)}^{{\mathrm{\β}}_2{s}_2\·((({\mathrm{\α}}_2+r_0)/{\mathrm{\β}}_2-{\mathrm{\α}}_2{\mathrm{\β}}_2)t^{\′}+{\mathrm{\α}}_2{\mathrm{\β}}_2)}\\ =M\·e{(g,g)}^{s_2({\mathrm{\α}}_0+r_{0}t)-t\′s_2({\mathrm{\α}}_2+r_0)+(t\′-1){\mathrm{\α}}_2{s}_2{{\mathrm{\β}}_2}^2}\end{array}$

无法解出明文M。

5.文件撤销

用户要撤销文件，只需要将文件ID和自己的签名发送到CPSP，CPSP确认无误后将存储在CBS的该文件删除。

6.用户撤销

当发生用户撤销时，数据属主将此用户标识传递给CPSP，CPSP将此用户标识写入ID_revoked表中，并将密文CT中的版本号Ver加1。

有益效果：

1、本发明实现了动态、高效、安全的用户撤销工作。

2、本发明大大减轻了可信机构的工作量。

附图说明

图1为本发明的系统模型图。

图2为本发明的访问结构树图。

图3为本发明方法流程图。

具体实施方式

下面通过结合说明书附图，进一步说明本发明的技术方案。

实施例1

如图2所示，本发明提出了一种云环境下基于属性基加密的及时用户撤销方法，其包括如下步骤：

步骤1：系统参数生成；

可信机构首先随机选择生成元，生成双线性群和双线性映射，生成两对主密钥和公钥，主密钥保留，公钥公开；

步骤2：生成私钥和代理重密钥；

用户向可信机构提供相关信息，申请访问私钥；可信机构根据用户提供的信息分配对应的数据属性，生成私钥SK_u并发送给用户；数据属主将文件F的特殊属性集发送给可信机构，可信机构为其生成私钥SK_x，并为其生成重密钥rk₁,rk₂，并将SK_x,rk₁,rk₂发送给CPSP；

步骤3：创建文件；

数据属主为文件F选取属性集构造访问控制树T_A，选取特殊属性集构造访问控制树T_x，对文件F进行加密生成密文CT,并发送给CPSP；CPSP为文件选取唯一的ID号，生成此文件的用户撤销列表，并将文件保存到CBS，然后将此ID号返还给数据属主；

步骤4：文件访问；

用户U向CPSP发起对文件F的访问，CPSP判断U是否在用户撤销列表中，若在，调用rk₁对SK_x重计算得到SK_x′：若不在，调用rk₂对SK_x重计算得到SK_x′；CPSP将密文CT，SK_x′发送给用户U；用户U利用SK_u，SK_x′对密文CT进行解密运算；

步骤5：文件撤销；

数据属主删除文件，将文件ID和自己的签名发送至CPSP；CPSP确认签名后删除CBS上的该文件，返回成功给数据属主；

步骤6：用户撤销；

数据属主撤销用户U，将其用户标识发送给CPSP，CPSP将其用户标识添加到用户撤销列表中，将密文版本号Ver加1，返回成功给数据属主；

步骤7：全过程结束。

本发明所述方法中的代理服务器向用户发送其保存的部分密钥前对这部分密钥进行重计算，只向合法用户输出合法的这部分密钥。本发明所述的方法是在云环境下运行。本发明所述方法是基于属性基加密。

本发明利用密钥分割和代理重密钥实现了用户撤销的方法，该方法中的密钥被分割成两份，一份发送给请求用户，另一份由代理服务器端保存，当请求用户向代理服务器发出访问请求时，代理服务器会对其保存的部分密钥进行重计算，根据其保存的撤销列表选择不同的重计算方法，实现只有合法用户拿到的密钥才能解密。

本发明实施的具体流程为：

1.系统参数生成

Setup→(PK₁,MK₁,PK₂,MK₂)。可信机构首先随机选择生成元为g，阶为p的双线性群G₀和双线性映射e：G₀×G₀＝G_T，随机选择随机数α₁,β₁,α₂,β₂∈Z_p，生成公钥和主密钥：

$\begin{array}{c}{\mathrm{PK}}_1=(G_0,g,h_1=g^{{\mathrm{\β}}_1},e{(g,g)}^{{\mathrm{\α}}_1})\\ {\mathrm{MK}}_1=({\mathrm{\β}}_1,g^{{\mathrm{\α}}_1})\\ {\mathrm{PK}}_2=(G_0,g,h_2=g^{{\mathrm{\β}}_2},e{(g,g)}^{{\mathrm{\α}}_2})\\ {\mathrm{MK}}_2=({\mathrm{\β}}_2,g^{{\mathrm{\α}}_2})\end{array}$

2.生成私钥和代理重密钥

用户私钥生成方法为特殊属性私钥方法keygen₂(MK₂,X)。

a.用户私钥生成

用户u获得的属性集为随机选取r∈Z_p,并为每一个属性a_j选择一个随机值r_j∈Z_p，调用方法生成用户u的私钥为

${\mathrm{SK}}_u=(D_1=g^{({\mathrm{\α}}_1+r)/{\mathrm{\β}}_1},\∀a_j\∈\hat{A}:D_j=g^r\·H{\left(j\right)}^{r_j},{D_j}^{\′}=g^{r_j})$

b.特殊属性私钥生成

X为特殊属性集合，随机选取r₀∈Z_p，随机选取t∈Z_p并保存t，未每一个属性x_i∈X选择一个随机值r_i∈Z_p，当前版本号为Ver，调用keygen₂(MK₂,X)方法生成特殊属性私钥为 ${\mathrm{SK}}_x=(\mathrm{Ver},D_2=g^{({\mathrm{\α}}_2+r_0)/{\mathrm{\β}}_2},\∀x_i\∈X:D_x={(g^{r_0}\·H{\left(j\right)}^{r_i})}^t,{D_x}^{\′}=g^{r_{i}t})$

c.代理重密钥生成

可信机构为每一个文件生成两个不同的代理重密钥，并将其保存到代理服务器端，代理服务器根据数据用户是否为合法用户而有选择的使用其中一个代理重密钥进行重计算。

随机选取t′∈Z_p，调用Rekeygen₁(MK₂)方法生成代理重密钥

${\mathrm{rk}}_1=(N=g^{{\mathrm{\α}}_2\·{\mathrm{\β}}_2},t^{\′})$

使用生成特殊属性私钥时保存的t，调用Rekeygen₂(MK₂)方法生成代理重密钥

${\mathrm{rk}}_2=(N=g^{{\mathrm{\α}}_2/{\mathrm{\β}}_2},t)$

3.创建文件

用户属主调用Encrypt(PK,M,T)方法对密文M进行加密，T为访问控制树，建访问控制数的过程如下：

a.问控制树中的每一个节点选取一个多项式q_z,多项式的阶为d_z,则d_z=k_z-1。

b.T_A,T_X的根节点随机选择s₁,s₂∈Z_p，Y为T_A的叶子节点的集合，满足q_y(0)=s₁，q_x(0)=s₂，R为T_A的根节点，用多项式插值法随机选取q_R个值来定义多项式q_R。

C.对于树上除根节点以外的节点z，另q_z(0)=q_parent(z)(index(z))然后再随机选择d_z个点把所有多项式定义完整。

加密后的密文：

$\begin{array}{c}\mathrm{CT}=(\mathrm{Ver},T_A,\tilde{C}=M\·e{(g,g)}^{{\mathrm{\α}}_1{s}_1}e{(g,g)}^{{\mathrm{\α}}_2{s}_2},\\ C_1={h_1}^{s_1},C_2={h_2}^{s_2},\\ \∀y\∈Y:C_y=g^{q_y\left(0\right)},{C_y}^{\′}=H{\left(\mathrm{att}\left(y\right)\right)}^{q_y\left(0\right)},\\ \∀x\∈X:C_x=g^{s_2},{C_x}^{\′}=H(\mathrm{att}{\left(x\right)}^{s_2}\end{array}$

用户属主将加密后的密文发送给CPSP，CPSP给密文分配唯一的ID号，为每一个文件维护一张属性撤销列表，再将密文存储到CBS上，并将此ID号返回给用户属主。

4.文件访问

用户u向CPSP发送请求申请访问文件。CPSP根据自己维护的此文件的属性撤销列表ID_revoked=(uer₁,user₂...user_n)判断用户u是否在列表中，然后对SK_x进行重计算：

如果用户u∈ID_revoked，即用户为不合法用户，调用重密钥方法Rekey(rk₁,SK_x)，重计算得到

$\begin{array}{c}{{\mathrm{SK}}_x}^{\′}=(\mathrm{Ver},{D_2}^{\′}={(D_2/N)}^{t\′}\·N={\left(g^{({\mathrm{\α}}_2+r_0)/{\mathrm{\β}}_2-{\mathrm{\α}}_2{\mathrm{\β}}_2}\right)}^{t^{\′}}\·g^{{\mathrm{\α}}_2{\mathrm{\β}}_2},\\ D_x={(g^{r_0}\·H{\left(j\right)}^{r_i})}^t,\\ {D_x}^{\′}=g^{r_{i}t})\end{array}$

如果用户，即用户为合法用户，调用重密钥方法Rekey(rk₂,SK_x)，重计算得到

$\begin{array}{c}{{\mathrm{SK}}_x}^{\′}=(\mathrm{Ver},{{D_2}^{\′}=(D_2/N)}^t\·N=g^{({\mathrm{\α}}_2+t\·r_0)/{\mathrm{\β}}_2},\\ D_x={(g^{r_0}\·H{\left(j\right)}^{r_j})}^t,\\ {D_x}^{\′}=g^{r_{i}t})\end{array}$

其中版本号Ver与当前密文版本号保持一致。

CPSP将重计算的密钥SK_x′，密文CT发送给数据用户。

数据用户首先调用解密方法Decrypt(CT,SK_u)如下：

调用T(A)确认SK_u中的属性是否满足访问控制树T_A，T(A)是从叶节点到根节点的递归方式，定义m为T_A中节点。

a.若m为叶节点，定义S为SK_u所关联的属性集合，令i=att(m)，如果，则DecryptNode(CT,SK_u,m)=NULL，若i∈S，则

$\begin{array}{c}\mathrm{DecryptNode}(\mathrm{CT},{\mathrm{SK}}_u,m)\\ =\frac{e(D_i,C_m)}{e({D_i}^{\′},{C_m}^{\′})}\\ =e{(g,g)}^{{\mathrm{rq}}_m\left(0\right)}\end{array}$

b.若m为非叶结点，o为m的孩子节点，定义S_o为k_z个o节点的集合，定义F_o=DecryptDode(CT,SK_u,o)，如果没有这样的集合S_o,则F_o=⊥，否则，计算其中i=index(o),S_o′={index(o)：o∈S_o}

$\begin{array}{c}=\underset{o\∈S_x}{\mathrm{\Π}}{\left(e{(g,g)}^{r\·q_0\left(0\right)}\right)}^{{\mathrm{\Δ}}_{i,S_x\′}\left(0\right)}\\ =\underset{o\∈S_x}{\mathrm{\Π}}{\left(e{(g,g)}^{r\·q_{\mathrm{parent}\left(0\right)}\left(\mathrm{index}\left(0\right)\right)}\right)}^{{\mathrm{\Δ}}_{i,S_x\′}\left(0\right)}\\ =\underset{o\∈S_x}{\mathrm{\Π}}e{(g,g)}^{r\·q_m\left(i\right)\·{\mathrm{\Δ}}_{i,S_x\′}\left(0\right)}\\ =e{(g,g)}^{r\·q_m\left(0\right)}\end{array}$

c.当m为根节点时

令 $A_1=F_r=\mathrm{DecryptNode}(\mathrm{CT},{\mathrm{SK}}_u,r)=e{(g,g)}^{r\·q_R\left(0\right)}=e{(g,g)}^{r\·s_1},$ 令

$\begin{array}{c}{M}_1=\mathrm{Decrypt}(\mathrm{CT},{\mathrm{SK}}_u)\\ =\tilde{C}/(e(C_1,D_1)/A_1)\\ =\tilde{C}/e{(g,g)}^{{\mathrm{\α}}_1{s}_1}\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\end{array}$

对于T_X访问控制树，数据用户调用Decrypt(CT,SK_x′)：

首先判断CT中版本号Ver与SK_x′中版本号是否相等，若不相等则

A₂=DecryptNode(CT,SK_x′,x)=NULL

若相等则

$\begin{array}{c}{A}_2=\mathrm{DecryptNode}(\mathrm{CT},{{\mathrm{SK}}_x}^{\′},x)\\ =e(D_x,C_x)/e({D_x}^{\′},{C_x}^{\′})\\ =e{(g,g)}^{r_0{s}_2\·t}\end{array}$

若为合法用户，令

$\begin{array}{c}{M}_2=M_1/e(C_2,{D_2}^{\′})/A_2\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·A_2/e(C_2,{D_2}^{\′})\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·e{(g,g)}^{r_0{s}_2\·t}/e(g^{{\mathrm{\β}}_2{s}_2},g^{({\mathrm{\α}}_2+r_{0}t)/{\mathrm{\β}}_2})\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·e{(g,g)}^{r_0{s}_2\·t}/e{(g,g)}^{s_2({\mathrm{\α}}_2+r_{0}t)}\\ =M\end{array}$

解出明文

若为不合法用户，令

$\begin{array}{c}{M}_2=M_1/e(C_2,{D_2}^{\′})/A_2\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·A_2/e(C_2,{D_2}^{\′})\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·e{(g,g)}^{r_0{s}_2\·t}/e(g^{{\mathrm{\β}}_2{s}_2},{\left(g^{({\mathrm{\α}}_2+r_0)/{\mathrm{\β}}_2-{\mathrm{\α}}_2{\mathrm{\β}}_2}\right)}^{t^{\′}}\·g^{{\mathrm{\α}}_2{\mathrm{\β}}_2})\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·e{(g,g)}^{r_0{s}_2\·t}/e(g^{{\mathrm{\β}}_2{s}_2},g^{(({\mathrm{\α}}_2+r_0)/{\mathrm{\β}}_2-{\mathrm{\α}}_2{\mathrm{\β}}_2)t^{\′}+{\mathrm{\α}}_2{\mathrm{\β}}_2})\\ =M\·e{(g,g)}^{{\mathrm{\α}}_2{s}_2}\·e{(g,g)}^{r_0{s}_2\·t}/e{(g,g)}^{{\mathrm{\β}}_2{s}_2\·((({\mathrm{\α}}_2+r_0)/{\mathrm{\β}}_2-{\mathrm{\α}}_2{\mathrm{\β}}_2)t^{\′}+{\mathrm{\α}}_2{\mathrm{\β}}_2)}\\ =M\·e{(g,g)}^{s_2({\mathrm{\α}}_0+r_{0}t)-t\′s_2({\mathrm{\α}}_2+r_0)+(t\′-1){\mathrm{\α}}_2{s}_2{{\mathrm{\β}}_2}^2}\end{array}$

无法解出明文M。

5.文件撤销

用户要撤销文件，只需要将文件ID和自己的签名发送到CPSP，CPSP确认无误后将存储在CBS的该文件删除。

6.用户撤销

当发生用户撤销时，数据属主将此用户标识传递给CPSP，CPSP将此用户标识写入ID_revoked表中，并将密文CT中的版本号Ver加1。

实施例2

假设一个数据属主O将文件F存储在CBS，用户U向可信机构申请获得部分私钥，然后向CPSP发出对文件F的访问申请。数据属主对文件执行两个操作：1、撤销用户；2、删除文件。

其具体实施方案为：

（1）可信机构首先随机选择生成元，生成双线性群和双线性映射，生成两对主密钥和公钥，主密钥保留，公钥公开。

（2）数据属主为文件F选取属性集构造访问控制树T_A，选取特殊属性集构造访问控制树T_x，对文件F进行加密生成密文CT,并发送给CPSP。

（3）CPSP为文件选取唯一的ID号，生成此文件的用户撤销列表，并将文件保存到CBS，然后将此ID号返还给数据属主。

（4）数据属主将文件F的特殊属性集发送给可信机构，可信机构为其生成私钥SK_x，并为其生成重密钥rk₁,rk₂，并将SK_x,rk₁,rk₂发送给CPSP。

（5）用户向可信机构提供相关信息，申请访问私钥。可信机构根据用户提供的信息分配对应的数据属性，生成私钥SK_u并发送给用户。

（6）用户U向CPSP发起对文件F的访问，CPSP判断U是否在用户撤销列表中，若在，调用rk₁对SK_x重计算得到SK_x′：若不在，调用rk₂对SK_x重计算得到SK_x′。CPSP将密文CT，SK_x′发送给用户U。

（7）用户U利用SK_u，SK_x′对密文CT进行解密运算。

（8）数据属主撤销用户U，将其用户标识发送给CPSP，CPSP将其用户标识添加到用户撤销列表中，将密文版本号Ver加1，返回成功给数据属主。

（9）数据属主删除文件，将文件ID和自己的签名发送至CPSP。

（10）CPSP确认签名后删除CBS上的该文件，返回成功给数据属主。

全过程结束。

Claims (2)

1.一种云环境下基于属性基加密的及时用户撤销方法，其特征在于，所述方法包括如下步骤：

步骤1：系统参数生成；

可信机构首先随机选择生成元，生成双线性群和双线性映射，生成两对主密钥和公钥，主密钥保留，公钥公开；

步骤2：生成私钥和代理重密钥；

用户向可信机构提供相关信息，申请访问私钥；可信机构根据用户提供的信息分配对应的数据属性，生成私钥SK_u并发送给用户；数据属主将文件F的特殊属性集发送给可信机构，可信机构为其生成私钥SK_x，并为其生成重密钥rk₁,rk₂，并将SK_x,rk₁,rk₂发送给CPSP；

步骤3：创建文件；

数据属主为文件F选取属性集构造访问控制树T_A，选取特殊属性集构造访问控制树T_x，对文件F进行加密生成密文CT,并发送给CPSP；CPSP为文件选取唯一的ID号，生成此文件的用户撤销列表，并将文件保存到CBS，然后将此ID号返还给数据属主；

步骤4：文件访问；

用户U向CPSP发起对文件F的访问，CPSP判断U是否在用户撤销列表中，若在，调用rk₁对SK_x重计算得到SK_x′：若不在，调用rk₂对SK_x重计算得到SK_x′；CPSP将密文CT，SK_x′发送给用户U；用户U利用SK_u，SK_x′对密文CT进行解密运算；

步骤5：文件撤销；

数据属主删除文件，将文件ID和自己的签名发送至CPSP；CPSP确认签名后删除CBS上的该文件，返回成功给数据属主；

步骤6：用户撤销；

数据属主撤销用户U，将其用户标识发送给CPSP，CPSP将其用户标识添加到用户撤销列表中，将密文版本号Ver加1，返回成功给数据属主；其中，上述CPSP表示云端代理服务器端，CBS表示云端后台存储；

步骤7：全过程结束。

2.根据权利要求1所述的一种云环境下基于属性基加密的及时用户撤销方法，其特征在于：所述方法中的代理服务器向用户发送其保存的部分密钥前对这部分密钥进行重计算，只向合法用户输出合法的这部分密钥。