CN103891195A - 基于分层属性的加密与解密 - Google Patents

Abstract

一种域权限13，其用于分层加密系统中域权限的层级结构。所述域权限13包括用户密钥生成器21，其用于基于域密钥和一个或多个属性表示生成用户密钥，以获得与对应于所述属性表示的一属性集相关联的用户密钥，并且其中所述域密钥基于父域权限的域密钥或域权限的所述层级结构的根权限的根密钥，并且其中所述属性表示独立于所述层级结构。一种解密器，其利用所述用户密钥。一种加密器，其生成可由所述解密器解密的密文。

Description

基于分层属性的加密与解密

技术领域

本发明涉及基于分层属性的加密系统。

背景技术

对于在护理周期（其范围从经由家庭医疗保健的传统医疗保健到保健服务）中所涉及的不同实体之间的数据交换的逐渐增长需求已使得对数字化存储的健康数据的安全管理成为重要的问题。现今的方法是基于以物理和行政程序为辅助的传统安全机制，这限制了健康信息的可用性，并且使健康记录的交换较为繁琐。数字策略管理与强制技术可以通过提供以下内容而胜过这些途径：（1）异构网络中的端到端隐私及安全，其独立于数据在其上传输的基础设施或体制界限来保护数据；（2）在基于属性的访问控制机制之上使用控制，这在医疗保健应用中是非常重要的；以及（3）允许以无关网络的方式开发系统的简单的可互操作的安全架构，其消除对网络特异性安全条款的需要，并因此降低了实施和维护成本。

这种安全系统的重要部分是基于属性的加密方案（ABE），尤其是密文策略ABE方案（CP-ABE），如从J.Bethencourt、A.Sahai和B.Waters在2007年IEEE安全与隐私研讨会的会议记录“Ciphertext-PolicyAttribute-Based Encryption”，321-334页2007中所已知的。在该方案中，根据访问结构（还称访问控制策略）来对数据进行加密，使得仅具有适当的属性集的用户能够解密该数据。为了能够解密该数据，用户从可信的权限获得与他/她具有的属性集相对应的特定私密钥。

已知的基于属性的加密方案利用单个根权限。这意味着系统中的所有用户均从中央权限获得与其属性有关的密钥。然而，在大型的分布式组织中，该方式可能是不实际的。

分层加密方案使得能够建立组织的层级，其中任务中的一些通常被委托给该组织的更下级的层级中的人员。中央权限仅将密钥发布给域权限。这将导致中央权限的负担的减轻和用户便利。代替联系中央权限，用户将联系其各自的域（或部门）权限，以获得其密钥。基于身份的分层加密方案的范例由C.Gentry等人在“Hierarchical ID-Based Cryptography”，ASIACRYPT2002，LNCS2501，548-566页，Springer-Verlag Berlin Heidelberg,2002中被公开。

US2010/0246827Al公开了一种涉及用户控制的加密的方法。在该系统中，根密钥是从患者的机密（例如，生物识别、密码）中获得的。然后使用该根密钥来导出一组解密密钥和加密密钥。这些密钥符合一个层级结构。该层级结构暗含地指定加密密钥和解密密钥的能力。例如，在该层级结构中的特定等级处的解密密钥仅可以解密使用相对应的加密密钥加密的文件。

Guojun Wang、Qin Liu和Jie Wu的“Hierarchical Attribute-BasedEncryption for Fine-Grained Access Control in Cloud Storage Services”，第17届ACM计算机与通信安全会议，2010年10月4-8日，Hyatt Regency Chicago,Chicago,IL,USA公开了基于分层属性的加密（HABE）模型，其组合了基于分层身份的加密（HIBE）系统和基于密文策略属性的加密（CP-ABE）系统，以提供访问控制与委托。公开了一种HABE方案，其进行性能与表现性的权衡以实现高性能。可以启用域主机（DM）来管理域的用户或不相交的属性集。与属性相对应的密钥是由管理该属性的域主机发布的。该方法具有以下缺陷：1）密文的大小和解密成本取决于层级结构的深度，并且直接随层级结构的深度增加而增加。2）在加密期间，加密器必须指定各自的域和层级结构，这意味着如果新的域（例如，医院）加入网络，则来自新加入成员的用户无法访问已加密的数据，即使其满足访问控制策略。

Dan Boneh、Xavier Boyen、Eu-Jin Goh在“Hierarchical Identity BasedEncryption with Constant Size Ciphertext”，Cryptology ePrint Archive：Report2005/015（http://eprint.iacr.org/2005/015.pdf）公开了基于分层身份的加密（HIBE）系统，其中使用两次双线性映射计算执行解密，而无论层级深度。

发明内容

具有改进的基于分层属性的加密系统将是有利的。

为了更好地解决该问题，本发明的第一方面提供一种加密系统，该加密系统包括域权限的层级结构以及可分配给用户的多个属性，其中所述层级结构中的域权限包括用户密钥生成器，所述用户密钥生成器用于基于域密钥以及一个或多个属性表示来生成用户密钥，以获得基于针对分配给所述密钥的未来拥有者的所述属性的集合的属性表示的用户密钥，所述域密钥基于父域权限的域密钥或所述域权限的层级结构的根权限的根密钥，并且其中，所述属性表示独立于所述层级结构。

使用独立于所述层级结构的属性使得针对本地域权限而言，能够根据可以针对其用户所需求的任意属性集合，发布针对该用户的密钥。不需要联系任何其它域主机，所述其它域主机可以负责需要分配给该用户的某些属性，但所述某些属性对发布所述用户密钥的域权限而言是不可访问的。因此，所提出的系统允许在基于属性的分层加密系统中对密钥生成的真实委托。

在下文可以将所述域密钥称作原始域密钥，并且可以将域权限称作原始域权限，尤其当讨论由原始域权限生成另外的域密钥时。这仅是术语的问题，形容词“原始”并不指代域密钥或域权限的任何具体性质。

原始域权限可以包括域密钥生成器，其用于针对域权限的所述层级结构中的子域权限，生成另外的域密钥。该另外的域密钥是基于所述原始域密钥生成的。以此方式，域密钥的发布可以委托给个体域权限，并且不必在根等级处进行。以此方式，创建了域权限的分层系统，在这个意义上，根权限可以生成针对第一代域权限（即，等级1的域权限）的域密钥，并且一代域权限中的每个域权限可以生成针对下一代的域权限的域密钥。因此，等级1的域权限可以生成针对等级2的域权限的域密钥，以此类推。

所述系统可以包括公共信息，该公共信息包括与域权限的所述层级结构有关的公钥，并且针对所述子域权限（即，下一代域权限中的域权限）的所述另外的域密钥是基于该公钥的一部分。优选地，所述公钥的所述部分未被用于生成所述原始域密钥。由于所述公钥涉及所述层级结构，因此所述公钥的所述部分同样也独立于所述属性。

以此方式，相继代的域权限可以基于所述公钥的相继更大的部分。这允许加密器通过应用所述公钥的适当部分，来具体地针对该代的子集进行加密。

根据本发明的一方面，针对所述子域权限的域密钥不允许对与所述层级结构中的前辈相关联的密文的解密。也就是说，如果密文与所述层级结构中高于该用户等级的等级相关联，则所述密文无法被解密并被该用户读取。

通过将所述公钥的新的部分与所述原始域密钥的已有密钥信息进行组合，能够创建新的域密钥，该新的域密钥无法解密仅使用所述公钥中与所述层级结构中的前辈代相关联的部分生成的密文。这样，使得除了基于属性的区分以外，还可得到额外的区分性选择。这意味着，除了具有适当的的属性集合，用户还需要在所述层级结构中有足够高的等级，以便能够解密密文。同时，仍能够生成可以被系统中的所有代解密的密文，只要满足与该密文相关联的策略。

用于生成与一属性集合相关联的用户密钥的属性表示可以对所述层级结构中的所有域权限是公开可用的。这允许任意域权限生成与所述属性中的任意属性相关联的用户密钥。此外，该表示可以对整个系统或者对全世界公开。这允许相同的表示被加密器用于消息的加密。

用户密钥可以包括：表示在所述层级结构中的位置的第一分量和表示分配给所述密钥的所述用户（即，所述密钥的未来拥有者）的属性集合的第二分量。所述用户密钥生成器可以被安排用于借助于随机值，将所述第一分量与所述第二分量进行绑定。以此方式，可以防止由恶意用户对所述用户密钥的修改。换言之，使用两部分中的随机化因子，将所述第一分量绑定到所述第二分量。这具有再次随机化或修改所述用户密钥使所述用户密钥失效的效果。因此，不鼓励通过与其它用户共享所述密钥的滥用，因为对所述密钥的共享仅在通过共享未修改的用户密钥时是可能的，这使得用户可追踪。

根据本发明的另一方面，所述基于分层属性的加密系统被提供有解密器。所述解密器被安排用于：

基于由域权限的所述层级结构中的所述至少一部分中的域权限发布的用户密钥来解密所述密文；以及

基于由域权限的所述层级结构的所述至少一部分的域权限发布的用户密钥，解密所述密文，

其中，如果与所述用户密钥相关联的所述属性集合满足所述密文的所述策略，则所述用户密钥能够进行对所述密文的解密。

这允许所述解密器直接从域权限获得其用户密钥。不需要联系中央权限，因为所述域权限可以被提供具有完全委托权力来生成具有期望的属性集合的用户密钥，因为所述属性是独立于所述层级结构的。

根据本发明的一方面，所述用户密钥不允许对与所述域权限的所述层级结构中发布所述用户密钥的前辈相关联的密文的解密。这允许设置可以基于用户在所述层级结构中的等级来解密密文的用户组。

根据本发明的另一方面，所述用户密钥与所述域权限的所述层级中发布所述用户密钥的的所述等级相关联，所述等级表示所述层级结构中的前辈的数目，其中，域权限的所述层级结构中的所述至少一部分由直到预定等级的所述域权限组成，并且其中，仅在发布所述用户密钥的所述域权限的所述等级低于或等于所述预定等级时，所述用户密钥允许对密文的解密。

根据本发明的另一方面，所述基于分层属性的加密系统被提供有加密器；所述加密器可以被安排用于基于与域权限的层级结构中的至少一部分有关的公钥信息，以及基于多个属性上的策略来加密消息，以获得与所述策略以及域权限的层级结构中的所述至少一部分相关联的密文。

所述加密器因此可以以以下方式来加密数据：仅已向其分配了满足所述策略的属性集合的用户能够解密所述数据。所述密文不需要被绑定到特定的域。此外，能够将所述密文与域权限的所述层级结构中的仅一部分相关联，从而使得仅在所述层级结构的该部分内的合格用户能够解密所述数据。

根据本发明的一方面，所述层级结构中与所述密文相关联的所述至少一部分包括根权限以及所述根权限的预定数目的后代。所述后代是域权限的所述层级结构中，从所述层级结构中的其父代获得其域密钥的域权限。通常，一代是所述层级结构中在相同等级的域的集合。

因此，选择所述层级结构的所述部分允许加密针对在所述层级结构中低于特定等级的用户的密文。这在例如如果域权限的所述层级结构对应于在较低的等级具有越来越高的权限的用户的组织层级时是有用的。随着用户在所述层级结构中的等级下降，该用户可以具有允许该用户解密并读取更大量的消息的更高的权限等级。

在另一方面中，本发明提供一种生成用户密钥以便在基于分层属性的加密系统中的域权限的层级结构中使用的方法，所述方法包括：

基于父域权限的域密钥或者域权限的所述层级结构的根权限的根密钥，来生成域密钥；以及基于域密钥和独立于域权限的所述层级结构的一个或多个属性表示来生成用户密钥，从而获得基于针对分配给所述密钥的未来拥有者的所述属性的集合的属性表示的用户密钥。

在另一方面中，本发明提供一种解密密文的方法，包括：

接收与多个属性上的策略相关联的密文，其中，所述密文还与域权限的层级结构中的至少一部分相关联；以及

基于由域权限的所述层级结构中的所述至少一部分中的域权限发布的用户密钥来解密所述密文，其中，所述用户密钥与所述属性的集合相关联，

其中，仅在与所述用户密钥相关联的所述属性集合满足所述密文的所述策略时，能够进行对所述用户密钥的所述解密。

在另一方面中，本发明提供一种加密消息的方法，其包括：基于与域权限的层级结构中的至少一部分有关的公钥信息以及基于一个或多个属性表示来加密消息，从而获得与所述属性上的策略以及域权限的层级结构中的所述至少一部分相关联的密文。

本发明的另一方面提供一种计算机程序产品，其包括用于使得计算机系统执行所阐述的方法中的一个或多个方法的指令。

本领域技术人员将认识到，可以以任何被视为有用的方式，组合上文提及的实施例、实施方式，和/或本发明的各方面中的两个或多个。

本领域技术人员在本描述的基础上，可以进行对所述图像采集装置、所述工作站、所述系统、所述方法和/或所述计算机程序产品的修改和变动，其对应于对所述系统所描述的修改和变动。

附图说明

根据后文描述的实施例，本发明的这些以及其它方面将是明显的，并将参考后文描述的实施例得以阐明。所有附图中，由相同的附图标记指示相似的项目。在附图中：

图1是基于分层属性的加密系统的图。

图2是域权限的图。

图3是基于分层属性的加密的方法的流程。

图4是在基于分层属性的加密系统中所涉及的实体的图。

图5是在基于分层属性的加密系统中的公共信息的图。

图6是域密钥的图。

图7是用户密钥的图。

具体实施方式

针对所提出的方案在医疗保健领域中的用例场景之一可以是当不同的医院和医疗保健机构加入，以形成国家或区域连接的医疗保健网络时。过去已形成的这种医疗保健网络的范例包括荷兰的NICTIZ、英国的NHS、加拿大的Info Way。例如，NICTIZ是荷兰的国家电子健康记录（HER）基础设施，其允许医疗保健提供者、患者、医疗保健保险公司以及政府共享医疗保健相关数据。NICTIZ可以充当所提出的方案中的中央权限，同时，已加入NICTIZ的不同机构/组织可以充当具有他们各自的域/密钥权限的域。每个成员组织的密钥权限将然后为由NICTIZ的中央权限发布的一个或多个密钥。所述域权限可以然后使用这些密钥，以根据在它们各自的域/组织中的那些用户的属性，将密钥发布给它们的用户。在医疗保健中，用户的角色（医生、护士等）以及其它属性被用作授予对患者的敏感数据的访问权限的基础。

所述基于属性的加密方案可以允许加密器根据一列表的属性上的访问控制策略，加密敏感数据。在现有的基于属性的密码方案中，用户必须联系中央权限，以得到有关他们的属性的密钥，如果他们满足相关访问控制策略，则他们可以使用所述密钥以解密所述数据。然而，这种方案给中央权限增加了额外的负担，因为每个用户都必须联系所述中央权限，以获取有关他们的属性的密钥（在上文描述的范例中，所有成员组织中的医疗保健工作者都需要从NICTIZ获取他们的角色及其它属性）。此外，这对于用户而言也是冗长乏味的。换言之，当前的属性加密方案不支持所述组织的层级结构/工作流，在层级结构/工作流中用户通常连接中间权限，而非根（或顶层）权限。

在所提出的方案中，通过允许（子）域权限向用户发布与其属性有关的密钥，减轻了设置或根权限上的负担。所述域权限也可以跨所述层级结构进一步向下给其它用户发布密钥，如果允许它们这么做的话。在加密期间，可以不需要指定相关的域。加密器仅需要根据一属性集上的访问控制策略，加密数据。因此，如果新的域（例如，额外的医疗保健组织）加入所述系统，则不需要重新加密所述数据，因为所述数据没有被绑定到特定的域。本文公开的方案也可以有其它优点，例如与所述层级结构的大小相当的固定密文大小和解密成本。

下文中描述若干示范性实施例。这些实施例仅是作为范例实施方式而提出的，并且不意图限制本发明。

图1示出基于分层属性的加密系统的图，亦即，包括一层级结构的域以及可分配到用户的多个属性的加密系统。

该图示意性地示出设置权限10，根权限11，域权限12、13、15、16，解密器14、17、19，加密器18，以及传输信道20。这些实体可以由单独的设备实施。然而，也有可能将这些实体中的一个或多个实施为可以在任意计算机系统上运行的软件模块。也有可能将几个模块的功能合并在单件装置中。也有可能使用单个服务器计算机实施全部模块。然后可以为不同的用户提供对所述模块的访问权限以及他们可以对其拥有权限的密钥。所述系统也可以被实施在分布式计算机系统上。

设置权限10可以被布置用于提供若干常用系统参数。典型地，设置权限10确定在所述系统的寿命期间保持不变的若干参数。在这些参数已被固定之后，可以不再需要设置权限10。根权限11可以提供与域权限12、13、15、16相同的功能。然而，由于根权限11不具有父域权限，所用的算法可以略有不同。在图2中更详细地示出域权限13。

在这里更详细地将域权限13描述为其它域权限12、15、16的代表。同样，可以在根权限11中找到类似的特征。

域权限13被布置用于从其父权限接收域密钥。在该范例中，第一等级域权限13的父权限为根权限11。第二等级域权限15、16的父权限为第一等级域权限13。

可以由所述父权限基于所述父域权限的域密钥，或者基于域权限的所述层级结构的根权限的根密钥，生成域密钥。在该范例中，第一等级域权限13的域密钥是由根权限11生成的，并且域权限15、16的第二等级域密钥是由第一等级域权限13生成的。

域权限的所述层级结构可以被视为树形结构，其中所述根权限在所述树的顶端。所述树的节点为所述域权限，其从它们在所述树中的前辈接收它们的域密钥。解密器19可以被视作所述树的叶子。

域权限13可以负责生成域密钥。额外地或可选地，域权限13可以负责生成用户密钥。为此，域权限13可以包括域密钥生成器22和/或用户密钥生成器21。

如图2中所示，域权限13包括用户密钥生成器21。用户密钥生成器21被布置用于接收所述域密钥以及一个或多个属性表示。这些属性表示代表被分配给所述用户密钥的未来拥有者的一属性集。

大体上，每个可被分配给用户的属性均具有对应的属性表示，其包括对该属性独有的数据。这些属性表示独立于域权限的所述层级结构。

例如，所述属性表示是由设置权限10或根权限11生成的。相同的表示可以被全部所述域权限使用。这不排除以下可能性，即表示仅被所述域权限的子集使用。用户密钥生成器21被布置用于生成用户密钥。该用户密钥是基于域权限13的域密钥，以及对应于用户的所述属性集的所述属性表示，尤其是被分配给这样的用户的所述属性，而被生成的，所述用户为正被生成的所述用户密钥将被分配给他们的用户，即所述密钥的未来拥有者。获得的所述用户密钥因此与对应于所述属性表示的一属性集相关联。此外，所述域权限的层级等级和/或位置也被表示在所述用户密钥中。

如从以上将理解的，域权限能基于其自己的域密钥生成另外的域密钥。可以在后文中将其自己的域密钥称为原始域密钥。可以在后文中将生成新的域密钥的所述域权限称为原始域权限。能够生成另外的域密钥的所述域权限包括域密钥生成器22。域密钥生成器22包括用于针对域权限的所述层级结构中的子域权限生成域密钥的算法的实现方式。

参考图1，例如，原始域权限13生成针对子域权限16的另外的域密钥。子域权限16的所述另外的域密钥是基于原始域权限13的所述原始域密钥而被生成的。因此，所生成的域密钥针对代表所述层级树中的相邻子节点的域权限。

域密钥生成器22可以被安排为使得针对子域权限16的所述另外的域密钥是基于域权限的所述层级结构的公钥的一部分，而被生成的。为此，所述公钥可以被分成若干分量，并且所述原始域密钥仅基于这些公钥分量的子集。

为了生成子域密钥，使用一个或多个额外的公钥分量。所用的这种公钥分量的数目可以有关所述域权限在所述层级结构内的等级。优选地，用于生成所述另外的域密钥的所述额外的公钥分量（一个或多个）没有被用于生成所述原始域密钥。

此外，所述公钥中被用于生成所述域密钥的所述部分独立于所述属性，并且尤其是上文提及的所述属性表示。以此方式，在域权限生成用户密钥时，所述域密钥不限于一个或多个特定属性。

针对子域权限16的所述另外的域密钥不允许对与所述层级结构中的所述前辈（亦即根权限11和原始域权限13）相关联的密文的解密。在加密时，所述加密器可以仅使用所述公钥中上文所提及部分的子集。这意味着，具有基于更多分量的密钥的所述解密器，可能不能解密所述密文。这样的效果是可以实现的，因为在生成所述子域密钥时使用的所述额外的分量被以这样的方式与所述原始域密钥合并，从而对应的公钥分量需要被用于所述密文，以使所述解密器能够解密所述数据。这将在后文的具体实施例中详细说明。

所述域权限可以被布置用于以相同的顺序增加所述公钥的所述分量。这样，每一“代”的域权限都有用基于所述公钥的相同分量的域密钥。这允许加密数据，使得其仅能被如下的用户密钥解密，所述用户密钥即为由预定数目代（也被称作等级）的域权限发布的用户密钥。

有可能所述属性表示中的至少一些对所述系统中的所述域权限公开可用。这允许这些域权限通过基于适当公开可用的属性表示生成密钥分量，而生成与任意选择的属性相关联的用户密钥。

所述用户密钥可以包括第一分量，其表示在所述层级中的位置；以及第二分量，其表示与所述用户密钥相关联的所述属性集。然而，所述用户密钥生成器可以被布置用于借助于随机值，结合所述第一分量与所述第二分量。以此方式，可以放置恶意用户对所述用户密钥的修改。在下面的第二具体实施例中描述该机制的范例实施方式。

图5示出在根据本发明的所述加密系统的实施例中，公共信息75的图。

公共信息75包括所述系统的公共参数70。这些公共参数70可以包括格式信息，以及例如，用于所述算法中的组的字段或组描述符。例如，可以将组的顺序指定为参数。公共信息75还包括有关域权限的所述层级结构的公钥71。该公钥71被分成多个公钥分量73。公共信息75还包括有关属性的部分72。该部分75包括多个属性表示74。这些属性表示可以包括，例如，表示每个属性的公钥和/或表示属性的子集的公钥。

图6示出域密钥80的图。

图7示出用户密钥84的图。用户密钥84包括有关域权限的所述层级结构的第一分量81。公钥71的公钥分量73中有关层级结构的子集（或全部）可以被用于生成用户密钥84的该第一分量81。

用户密钥84还包括第二分量82，其有关与将为其分配用户密钥84的用户相关联的所述属性。第二分量82包括多个子分量83。每个子分量83均可以基于公共属性表示74中的一个。

所述用户密钥可以包括任意另外的分量85。这些另外的分量85优选地独立于层级结构和属性两者。用户密钥内容的更详细范例将在后文描述。关于如何在所述用户密钥中表示需要的信息可能有许多变型。

解密器19可以，例如被所述系统的终端用户采用。这也应用于位于所述层级结构中的其它地方的示范性解密器14和17。解密器19可以包括接收器，用于经由传输信道20从加密器18接收密文。这样的传输信道可以包括数字通信手段，例如电子邮件、互联网，或者可移动存储介质，例如光盘。此外，解密器19可以包括接收器，用于从域权限16接收用户密钥。例如，可以使用该段中涉及所述密文提及的所述传输手段，从所述域结构传达所述用户密钥。所述密文可以与在所述系统中可用的所述属性上的策略相关联。此外，所述密文可以还与域权限11、12、13、15、16的所述层级结构中的至少一部分相关联。所述解密器可以被布置用于基于由域权限16发布的用户密钥，解密所述密文。如上所示，所述用户密钥可以与在所述系统中可用的所述属性的集合相关联。

所述用户密钥仅在与所述用户密钥相关联的所述属性集满足所述密文的访问控制策略时，使能对所述密文的解密。如上所述，所述属性独立于所述层级结构。以此方式，任意域权限16均可以能够将这些属性授予其终端用户。这不排除以下可能性，即一些其它属性可以被限制在一些特定的域权限或权限。

如上所示，所述用户密钥可以也与发布所述用户密钥的域权限16在所述层级结构中的位置相关联。该位置可以被视为具有指示在所述层级中的若干前辈的等级。可以通过在所述层级结构树中计算从所述域权限到所述根权限的最短路径，计数该数目的前辈。然而，这种计数典型地不是在运行中的系统中执行的，因为所述用户密钥的内容暗含地或明示地表示了所述等级。

如前面所提及的，所述密文可以与域权限的所述层级结构中的至少一部分相关联。该部分可以由直到如上所述的预定等级的域权限组成，即所述根权限，以及直到所述预定等级的几代域权限。这可以由所述加密器，通过使用所述公钥中用于加密的相应分量，而得以实现。

所述用户密钥可以仅在发布所述用户密钥的所述域权限属于直到所述预定等级的所述域权限时，允许对所述密文的解密。这可以通过适当设计所述用户密钥和所述密文，而得以实现。然而，以此方式相应地适配解密算法，使得其允许使用所述用户密钥解密所述密文。后文给出合适的解密算法的详细范例。

加密器18，在所示的范例中，不是所述层级结构的部分。所述加密器可以包括用于接收要被加密的消息的接收器。该消息可以源自任意源，例如键盘、医学成像设备、用户应用程序，或经由任意种类的传输信道。加密器18还可以包括用于从，例如设置实体10和/或根权限11接收公共信息的接收器。该公共信息可以包括所述公钥中有关所述层级结构和/或所述公共属性表示的分量。所有该信息均可以被所述加密器接收，或者例如可以在其制造期间预先配置。

加密器18可以被布置用于基于有关域权限的层级结构中的至少一部分的公钥信息，以及多个属性上的策略，加密消息，以获得与所述策略以及域权限的层级结构中的所述至少一部分相关联的密文。如上文所讨论的，所述属性独立于所述层级。为此，在所述访问策略中所涉及的所述属性的所述公共属性表示被用于加密所述数据。此外，所述公钥中有关所述层级的分量被用于将所述密文与域权限的所述层级结构中的所述至少一部分相关联。

如上所示，所述层级中的所述至少一部分可以包括所述根权限以及所述根权限的预定数目的后代，其中所述后代为在域权限的所述层级结构中从它们在所述层级结构中的父辈获得它们的域密钥的域权限。

图3中示出一种基于分层属性的加密方法。在步骤51中，运行设置算法，以建立所述加密系统的若干常规参数。这些常规参数可以涉及密文及明文的格式和大小，用于所述加密的字段的顺序和类型，等等。所述常规参数也可以包括在所述系统中使用的属性的表示，以及具有可以被用于委托向域权限发布用户密钥的分量的公钥。

在步骤52中，所述根权限生成针对域权限的域密钥。这基于所述公钥，使用所述公钥的所述分量中的至少一个，以生成所述域密钥。在步骤55中，确定是否有任意更多的域权限需要来自所述根权限的域密钥。如果是，则重复步骤52。原则上，所述公钥的相同分量被用于由所述根权限生成的每个域密钥。然而，这并非限制。

在步骤53中，域权限的所述层级结构中的域权限生成针对其在所述层级结构中的子域权限之一的域密钥。这是基于原始域权限的原始域密钥，以及所述公钥中有关所述层级结构的未使用部分（亦即，在生成所述原始域密钥中未使用的一个或多个公钥分量），而得以完成的。

在步骤56中，确定是否有另一域权限需要域密钥。如果是，则重复步骤53，以这样的方式，使得每个原始域权限针对受所述原始域权限下辖的所述域权限，生成域密钥。

在步骤54中，域权限的所述层级结构中的域权限基于其域密钥以及一个或多个属性表示，生成用户密钥。这样，将用户密钥与对应于所述属性表示的一属性集（尤其是所述用户密钥将被分配给其的用户的属性）相关联地发布。所述用户密钥还与所述域权限在所述层级中的位置相关联。

在步骤57中，确定是否有另一用户需要用户密钥。如果是，则重复步骤54，以这样的方式，使得每个域权限针对由该域权限下辖的所述用户，生成所述用户密钥。

在步骤58中，基于有关域权限的层级结构中的至少一部分以及在多个属性上的策略的公钥信息（例如公钥分量），加密消息，以获得与所述策略和域权限的层级结构中的所述至少一部分相关联的密文，其中使用独立于所述层级的属性表示。

在步骤59中，通过所述用户端解密器，基于他或她的用户密钥，解密所述密文，其中所述用户密钥与满足一套所述策略的所述属性的集合相关联，并且其中所述用户密钥在与所述用户密钥相关联的所述属性集满足所述密文的所述策略时，使能对所述密文的解密，并且所述用户密钥是由域权限的所述层级结构的所述至少一部分中与所述密文相关联的域权限发布的。

在步骤60中，确定是否有另一消息需要被通信。如果是，则重复步骤58和步骤59。在需要更多密钥时，所述过程可以执行相关步骤。例如，当增加新的域权限到所述系统时，所述过程执行步骤52或步骤53，以针对该域权限生成域密钥。当增加新的用户时或所述用户的属性改变时，所述过程可以执行步骤54，以生成新的用户密钥。当不需要更多行为时，所述过程结束。

将理解，可以例如由不同实体的装置或由平行处理器，平行地执行这些步骤中的一个或多个。也将理解，这里描述的步骤的顺序仅为范例；实践中，步骤的运行顺序将根据所述用户的通信需要而变化。所述方法适于被实施在软件中，如包括指令的计算机程序产品，所述指令用于引起计算机系统执行所述方法。尤其地，计算机程序产品可以被设计为执行对特定实体需要实施的步骤，所述特定实体例如设置实体、根权限、域权限、解密器、加密器。所述软件在模块中的其它分派也是可能的。

基于层级属性的加密方案可以包括以下算法的实施。相应的算法见于现有的基于密文-策略属性的加密（CP-ABE）系统中。该现有的CP-ABE方法可以如下扩展：

-设置：设置算法在初始化阶段期间配置系统参数，并输出公共参数PK和主密钥MK。该算法由根权限运行。

-密钥生成根授权（MK、PK）：该算法由所述根权限运行，以生成针对所述域权限的密钥。其将MK和PK作为输入，并输入针对在等级k=1的所述域权限的密钥dID|k=l。所述域权限可以使用这些密钥，以发布另外的密钥给在它们的域中的用户。

-密钥生成域授权（dID|k=l）：该算法由所述域权限运行。其将所述密钥dID|k=l作为输入，并输出用户密钥dID|k+l。所述用户密钥包括两个部分，一部分有关所述层级结构，并且另一部分有关所述用户所具有的属性。域权限可以使用所述层级结构部分，以发布另外的密钥，只要讨论中的所述密钥允许（？）。

-加密（PK、M、A）：加密算法将所述公钥PK、消息M以及在全部属性上的访问策略A作为输入。所述算法返回所述密文CT。该密文被构建为使得仅拥有与满足所述访问策略A的属性集ω相关联的密钥的用户能解密所述密文CT。所述密文CT暗含地包含对所述访问策略A的描述。

-解密（PK、CT、dID|k+l）：解密算法经公共参数PK、密文CT、密钥dID|k+l作为输入。如果dID|k+l满足由所述密文A暗含地表示的所述访问策略“A”，则其输出解密的消息M。否则，其返回错误符号┴。

在所提出的方案之一中，中央权限（例如中央医疗保健联盟）发布密钥给在所述中央权限之下的所述域权限（特定的医院或机构）。所述域权限可以然后使用这些密钥，以发布密钥给对应于所述用户的属性的用户。从概念上讲，所述用户密钥可以被可视化为包括两个部分。一部分涉及层级结构，而另一部分涉及所述用户所具有的属性。所述加密器根据一属性集上的访问控制策略加密所述数据，并且不需要将所述密文绑定到特定的域/层级结构。CP-ABE方案与分层加密方案（例如基于分层身份的加密方案）两者的功能可以被组合。所述加密器不需要指定所述域。所述密文的大小，以及解密成本可以独立于层级深度“l”

图4示出一实施例的概念图。在该系统中，根权限1发布个性化密钥(d_ID|k=l)给域权限2、3和4。域权限2可以使用其密钥(d_ID|k=l)，以发布密钥(d_ID|k+l)给在其域以内的用户。所述用户密钥(d_ID|k+l)由两个部分组成。一部分有关所述层级结构，而另一部分有关所述用户所具有的属性。所述用户可以使用所述层级结构部分，以通过发布密钥给另外的用户，而充当域权限，如果允许（？）他这么做的话。

下文中，更详细地描述本发明的第一具体实施例。设G₀为素数阶p的双线性群，并且设ɡ为G₀的生成器。此外，设e：

指代双线性映射。安全参数λ确定所述群的大小。拉格朗日系数Δ_i，ω，其中

其中

并且其中

中的元素的集，并且如下定义：

此外，使用抗碰撞杂凑函数H₁:{0,1}^*→G₀0和

这里，{0,1}^*指代任意长度的二元序列，并且

H₁为将被描述为二进制串的任意属性映射到

中的随机群元素的映射，同时H₂为将表示权限的身份的二进制串映射到

的映射。在下文中，描述可以被用于实施基于分层属性的加密（HABE）方案的示范性算法。

1.设置（λ,l）：该算法由所述根权限运行，以生成最大深度l的HABE的系统参数。其选择随机生成器

选择

并且设置ɡ₁=ɡ^α，ɡ₂=ɡ^β。此外，其挑选随机元素ɡ₃，

所述公共参数和秘密参数包括以下分量：

PK=(ɡ,ɡ₃,h₁,...,h_l,A),MK=(ɡ₁,ɡ₂)，

其中A=e(ɡ,ɡ)^a-b。

2.密钥生成_RA（MK，PK）：运行该算法，以使用主密钥MK和公钥PK，生成针对在深度k≤l的域权限的私密钥SK_ID|k，挑选随机并输出针对在深度k≤l的域权限密钥。r的值针对每个域权限是唯一的。所述私密钥SK_ID|κ如下计算：

这里，符号ID可以被用作标签，以区分被发布给不同子权限的所述密钥。

可以以渐进的方式生成针对在深度1≤k≤l的域权限的私密钥SK_ID|k，条件是针对父域权限的所述私密钥具有在所述层级结构中的私密钥SK_ID|k-1。

为此，首先，如下定义a₀,a₁,b_k,...,b_l和c₀：

$\begin{array}{c}{\mathrm{SK}}_{\mathrm{ID}|k-1}=(g^{{\mathrm{\α}}_{k-1}}\·{(g_3\·{\mathrm{\Π}}_{i=1}^{k-1}{h}_i)}^{r_{\′}},g^{r^{\′}},h_{k+1}^{r^{\′}}...{h^{r^{\′}}}_l,g^{\mathrm{\β}})\\ =:(a_0,a_1,b_k,...,b_l,c_0)\end{array}$

这里，符号r'是针对父域权限的唯一值r。为了生成SK_ID|k，所述系统挑选随机值

并输出

${\mathrm{SK}}_{\mathrm{ID}|k}=(a_0\·b_k\·{\left(g_3{\mathrm{\Π}}_{i=1}^k{h}_i\right)}^t,a_1\·g^t,b_{k+1}\·h_{k+1}^t,...,b_l\·h_l^t).$

所述私密钥SK_ID|k可以优选地针对r=r'+t分布。这意味着，如果r'是随机选择的，并且t也是随机选择的，并且它们的分布是（伪）随机的，则r的分布也将是（伪）随机的。为了挑选

密钥生成算法可以随机选择t并且设r=r'+t。

3.属性密钥生成_DA|k(SK_ID|k,PK,ω)：该算法可以由在深度1≤k≤l的域权限运行，以生成针对拥有属性设置ω的用户的密钥SK_ID|k,ω。首先，所述算法选择随机值r_u∈Z_p，然后是针对每个属性j∈ω的随机值r_j，并且然后如下计算并输出SK_ID|k,ω：

${\mathrm{SK}}_{\mathrm{ID}|k,\mathrm{\ω}}=(g^{\mathrm{\α}}\·{(g_3\·{\mathrm{\Π}}_{i=1}^k{h}_i)}^r,g^r,g^{\mathrm{\β}-r_u},\∀j\∈\mathrm{\ω}:D_j,{D^{\′}}_j),$

其中 $\∀j\∈\mathrm{\ω}:D_j=g^{r_u}\·H_1{\left(j\right)}^{\mathrm{rj}}$ 并且 ${D^{\′}}_j=g^{r_j}.$

4.加密（PK,M,τ,l）：该算法可以由加密器运行，以加密访问树τ之下的消息

经加密的消息CT尽可以被这样的用户解密，所述用户的密钥具有等级k≤l以及属性集ω，使得ω满足所述访问树τ。从概念上讲，密文CT包括有关三个类别的分量：1）加密的消息，2）有关所述层级结构的分量，以及3）访问树τ。

设τ为表示访问结构的树。τ的每个非叶片节点均代表一域门。域门可以通过其子节点和阈值进行描述。设num_κ为节点κ的子孙的数目并且k_κ为其阈值，其中0<k_κ≤num_k。如果节点κ的所述域门为或门，则k_κ=1。如果节点κ的域门为与门，则k_κ=num_κ。叶节点k可以通过属性和阈值进行描述，例如k_κ=1。

在该段中，定义几个函数。函数att(κ)被用于指代与在所述访问树中的叶节点κ相关联的属性值。该属性值为数值，其代表特定属性。节点k在所述访问树中的父辈由parent(k)指代。也定义一节点在所述访问树中的子孙之间的排序。将所述子节点编号为1到num。为了返回与子节点相关联的这样的值，我们使用函数(κ)。

为了表示所述访问树，所述加密算法首先选择针对在所述访问树τ中的每个节点κ（包括叶片）的多项式q_κ。可以以如下方式，从根节点R开始从上到下的方式，选择所述多项式。针对所述树中的每个节点κ，设定多项式q_κ的度d_κ为比该节点的阈值k_κ小一。亦即，d_κ=k_κ－1。

以根节点R开始，所述算法选择随机值s并设定q_R(0)=s。所述值s为用于门限秘密共享目的的密值。然后所述算法随机地选择多项式q_R的d_R其它点，以完全地限定所述多项式。针对任意其它节点κ，其设定q_κ(0)=q_父(κ)(index(κ))，并随机地选择d_κ其它点，以完全地限定q_κ。这里index(κ)被用于获得对节点κ的值的访问。设Y为所述访问树τ中的所有叶节点的集。通过计算下式，构建所述密文CT：

$\begin{array}{c}\mathrm{CT}=(M\&CenterDot;A^s,g^s,{(h_1...h_l\&CenterDot;g_3)}^s,\&ForAll;y\&Element;Y:g^{q_y\left(0\right)},H_1{\left(\mathrm{att}\left(y\right)\right)}^{q_y\left(0\right)})\\ =:(\hat{C},{\hat{C}}_0,{\hat{C}}_1,\&ForAll;y\&Element;Y:C_y,{C^{\&prime;}}_y)\end{array}$

其中M为所述消息，并且att(y)为属性y的值。

5.解密(CT,SK_ID|k,w)：解密算法将所述密文CT和密钥SK_ID|k,w作为输入。所述解密算法包括被称作DecryptNode(CT,SK_ID|k,w,κ)的递归算法。密文CT可以被视作暗含地包含所述访问树τ的表示。访问树τ为规定需要属性的哪些组合以解密所述密文CT的访问策略的表示。

后文中，首先，将针对κ为叶节点的情况，定义递归算法DecryptNode(CT,SK_ID|k,w,κ)。然后，将针对κ为非叶节点的情况，定义DecryptNode(CT,SK_ID|k,w,κ)。其后，将描述恢复消息M的函数Decryption(CT,SK_ID|k,w)。

（a）针对叶节点κ的DecryptNode(CT,SK_ID|k,w,κ)：在第一个步骤中，其以τ中的叶节点κ。这样的叶节点与代表属性的真实值相关联。函数att(κ)返回叶节点κ的真实属性值。设i=att(κ)。

如果i∈ω，则

$\mathrm{DecryptNode}(\mathrm{CT},{\mathrm{SK}}_{\mathrm{ID}|k,w},\mathrm{\&kappa;})=\frac{e(D_i,C_{\mathrm{\&kappa;}})}{e({D^{\&prime;}}_i,{C^{\&prime;}}_{\mathrm{\&kappa;}})}=\frac{e(g^{r_u}\&CenterDot;H_1{\left(i\right)}^{r_i},g^{q_{\mathrm{\&kappa;}}\left(0\right)})}{e(g^{r_i}\&CenterDot;H_1{\left(i\right)}^{q_{\mathrm{\&kappa;}}\left(0\right)})}=e{(g,g)}^{r_u{q}_{\mathrm{\&kappa;}}\left(0\right)}$

如果

则DecryptNode(CT,SK_ID|k,w,κ)=⊥。

（b）针对非叶节点κ的DecryptNode(CT,SK_ID|k,w,κ)：当κ为τ中的内部（非叶）节点时，所述算法执行递归过程。所述算法如下进行。针对为κ的子孙的所有节点z，其调用DecryptNode(CT,SK_ID|k,w,z)。其输出被用于确定所述用户是否拥有足以满足所述侧列的属性。DecryptNode(CT,SK_ID|k,w,z)的输出被存储为F_Z。设ω_κ为子节点z中的任意k_κ大小的集，从而针对在子节点ω_κ的集中的所有，F_Z≠┴。这里，k_κ指代节点的阈值。

如果没有这种k_κ大小的集，则节点κ的所述阈值没有得到满足，并且函数返回┴。否则，如果有这样的集，则DecryptNode计算以下：

其中如果z为叶节点并且ω'_κ=i:z∈ω_κ，则i=att(z)。这样，获得因为

这终止对DecryptNode(CT,SK_ID|k,w,κ)的定义。

为了使用所述密钥SK_ID|k,w解密所述密文CT，所述解密算法如下进行。首先所述解密算法在所述访问树τ的根节点R上调用DecryptNode函数。如果DecryptNode(CT,SK_ID|k,w,R)返回┴，这意味着密钥SK_ID|k,w的属性ω的可用集不满足所述访问树τ。在这种情况中，解密是不可能的。否则，ω满足所述访问树。在这种情况中，所述解密算法设定

$Z^{\left(1\right)}=\mathrm{DecryptNode}(\mathrm{CT},{\mathrm{SK}}_{\mathrm{ID}|k,w},R)=e{(g,g)}^{r_u\&CenterDot;q_R\left(0\right)}=e{(g,g)}^{r_{u}s},$ 其中，s=q_R(0)。

接下来，所述解密算法计算以下：

$Z^{\left(2\right)}=e(g^{\mathrm{\&beta;}-r_u},g^s)\&CenterDot;Z^{\left(1\right)}=e{(g,g)}^{(\mathrm{\&beta;}-r_u)s}\&CenterDot;e{(g,g)}^{r_{u}s}=e{(g,g)}^{\mathrm{\&beta;s}}.$

接下来，所述解密算法如下所示计算Z⁽³⁾。在在等级k（其中k≤l）的用户可以恢复Z⁽³⁾的正确值，这将帮助他们恢复所述消息M。如下计算值Z⁽³⁾：

$Z^{\left(3\right)}=\frac{e(g^s,g^{\mathrm{\&alpha;}}\&CenterDot;{(h_1...h_k\&CenterDot;g_3)}^r)}{e(g^r,{(h_1...h_k\&CenterDot;g_3)}^s)}=e{(g,g_2)}^{\mathrm{s\&alpha;}}$

接下来，所述用解密算法Z⁽³⁾除以Z⁽²⁾，得到Z⁽⁴⁾：

$Z^{\left(4\right)}=\frac{Z^{\left(3\right)}}{Z^{\left(2\right)}}=\frac{e{(g,g)}^{\mathrm{\&alpha;s}}}{e{(g,g)}^{\mathrm{\&beta;s}}}=e{(g,g)}^{(\mathrm{\&alpha;}-\mathrm{\&beta;})}.$

最后，所述解密算法计算

以如下获得消息M：

$\frac{\hat{C}}{Z^{\left(4\right)}}=\frac{M,A^s}{Z^{\left(4\right)}}=\frac{M,A^s}{Z^{\left(4\right)}}=\frac{M,e{(g,g)}^{(\mathrm{\&alpha;}-\mathrm{\&beta;})s}}{e{(g,g)}^{(\mathrm{\&alpha;}-\mathrm{\&beta;})s}}=M.$

下文中将描述第二具体实施例。所述第二实施例提供以下问题的解决方案，即防止用户（包括例如叛徒），例如通过将它们公布在互联网上，而使他们的密钥公开可用。在上述第一实施例中，所述用户可以能够再次随机化他们的有效密钥，并然后公布它们。这些再次随机化的密钥可能被任何人使用，以解密或查看机密信息，例如医学记录。可以提供威慑机制用于防止这种行为。

这可以通过防止用户再次随机化他们的密钥而得以实现，因为再次随机化将使所述密钥失效。所述用户仅能以原始无修改的形式公布他们的密钥。然而，以其无修改形式公布密钥将允许发布那些密钥的域权限或中央根权限识别所公布的密钥，并跟踪所述密钥的原始用户。

在对第二实施例的描述的注释中，根权限发布密钥SK_k到域权限。所述域权限可以使用密钥SK_k以发布密钥SKP_k,ω给在它们的域内的用户。所述用户密钥SKP_k,ω包括两部分，一部分有关在所述层级结构中的位置，而另一部分有关所述用户所具备的属性。可以使用以下示范性算法实施所述第二实施例。

1.根设置(K)：

a）选择s₀,α,β,α∈Z_p，并将它们保密；

b）选择加密散列函数H₁:{0,1}^*→G₁和H₂:G_T→{0,1}ⁿ；

c）设 $A=e{(g,g)}^{\mathrm{\&alpha;}}\&CenterDot;e{(h_1,g)}^{s_0}.$

所述公开参数包括PK=(G₁,G_T,e,g,H₁,H₂,h₁,h₂,…,h_t,g^αβ）。

主密钥包括MK=(α,a,β,s₀）。

1.下等级设置（k－1）：在等级k－1的域权限选择随机s_k--1∈Z_p并将其保密。

2.密钥生成（PK,β,ɡ^α,s_k－l,w）：

a）选择h_i，其指代域权限在所述层级结构中的等级；

b）设定这是针对在等级k的域权限的密钥，其可以被用于发布另外的密钥给用户。这里针对所述根权限的密钥为

所述用户的密钥与他们的属性相关联；

c）选择r_u∈Z_p并设定为：

$(D^{\left(1\right)}=g^{{\mathrm{\&alpha;r}}_u}\&CenterDot;{\mathrm{SK}}_k=g^{\mathrm{\&alpha;}}{g}^{{\mathrm{\&alpha;r}}_u}\left(\underset{l=1}{\overset{k}{\mathrm{\&Pi;}}}{h}_l^{s_{l-1}}\right),$

$D^{\left(2\right)}=g^{\frac{r_u}{\mathrm{\&beta;}}},$

${\&ForAll;a}_j\&Element;\mathrm{\&omega;}:D_j^{\left(3\right)}=H_1{\left(a_j\right)}^{\frac{r_u}{\mathrm{\&beta;}}},$

$\&ForAll;l,1\&le;l\&le;k-1:Q_l=g^{s_l}).$

1.加密（ΡΚ,τ）：

a）选择随机s∈Z_p；

b）设定所述密文C为：

$C=(g^s,h_2^s,...,h_t^s,M\&CirclePlus;H_2\left(A^s\right),{\&ForAll;a}_j\&Element;\mathrm{\&tau;}:g^{\mathrm{\&alpha;\&beta;}\stackrel{\&OverBar;}{s_j}}{H}_1{\left(a_j\right)}^{-s})=(U_0,U_2,...U_t,V,{\&ForAll;a}_j\&Element;\mathrm{\&tau;}:V_{a_j}),$

其中

为使用例如加法秘密共享方法所计算的份额。这里为了清楚，省略了所述秘密共享方法另外的细节。这些细节可以由本领域技术人员基于该描述以及他或她在秘密共享方法方面的知识补充。

1.解密

假设：设ω满足所述访问结构τ。

a）计算 $Z^{\left(1\right)}={\mathrm{\&Pi;}}_{a_j\&Element;\mathrm{\&omega;}}e(V_{a_j},D^{\left(2\right)})\&CenterDot;e(U_0,D_j^{\left(3\right)})=e{(g,g)}^{{\mathrm{asr}}_u};$

b）计算 $Z^{\left(2\right)}=H_2\left(\frac{e(g^s,D^{\left(1\right)})}{\left({\mathrm{\&Pi;}}_{l=2}^{k}e(Q_{l-1},U_1)\right)\&CenterDot;Z^{\left(1\right)}}\right);$

c）恢复 $M=V\&CirclePlus;Z^{\left(2\right)}.$

以下符号表应用于所述第二实施例的描述。

将认识到，本发明也应用于计算机程序，尤其是在载体上或载体中适于将本发明付诸实践的计算机程序。所述程序可以为源代码、目标代码、源代码与目标代码中间的代码的形式，例如为部分编译的形式，或者适合用于根据本发明的所述方法的实现的任意其它形式。也将认识到，这样的程序可以具有许多不同的架构涉及。例如，实施根据本发明的所述方法或系统的所述功能的程序代码可以被细分成一个或多个子例程。在这些子例程上分布所述功能的许多不同方式对本领域技术人员都将是明显的。所述子例程可以与一个可执行文件储存在一起，以形成自含程序。这样的可执行文件可以包括计算机可执行指令，例如处理器指令和/或解释器指令（例如Java解释器指令）。可选地，所述子例程中的一个或多个或全部均可以被存储在至少一个外部程序库文件中，并且例如在运行时间，静态或动态地与主程序链接。所述主程序包含对所述子例程中的至少一个的至少一个调用。所述子例程也可以包括对彼此的调用。涉及计算机程序产品的一实施例包括计算机可执行指令，其对应于本文阐述的所述方法中的至少一个的每个处理步骤。这些指令可以被细分成子例程和/或被存储在可以被静态或动态链接的一个或多个文件中。涉及计算机程序产品的另一实施例包括计算机可执行指令，其对应于本文阐述的所述系统和/或产品中的至少一个的每种手段。这些指令可以被细分成子例程和/或被存储在可以被静态或动态链接的一个或多个文件中。

计算机程序的在体可以为能够承载所述程序的任意实体或设备。例如所述载体可以包括诸如ROM的存储介质，例如CD ROM或半导体ROM，或者磁性记录介质，例如闪存驱动或硬磁盘。此外，所述载体可以为可传输载体，例如电信号或光学信号，其可以经由电缆或光缆或通过无线电或其它手段被传送。当所述程序被体现在这样的信号中时，所述载体可以由这样的线缆或其它设备或手段构成。可选地，所述载体可以为集成电路，所述程序被嵌入在其中，所述集成电路适于执行，或被用于所述相关方法的执行中。

应指出，上文提及的实施例是例示本发明而非限制本发明，并且本领域技术人员将能够设计许多可选实施例，而不偏离所附权利要求书的范围。在权利要求书中，放在括号之间的任意附图标记均不应被解读为显示权利要求。动词“包括”及其词形变化形式的使用不排除除权利要求中陈述的那些以外的其它元件或步骤的存在。元件前的冠词“一”或“一个”不排除多个这样的元件的存在。本发明可以借助于包括几个不同元件的硬件，以及借助于适当编程的计算机，而得以实施。在列举了几种手段的设备权利要求中，这些手段中的几种可以通过一项并且相同的一项硬件而得以具体化。互不相同的从属权利要求中记载了特定措施这一仅有实施并不指示不能有利地组合这些措施。

Claims (14)

1.一种加密系统，包括：

域权限（11、12、13、15、16）的层级结构，以及

可分配给用户的多个属性，

其中，所述层级结构中的域权限（13）包括：

用户密钥生成器（21），其用于基于域密钥（80）以及一个或多个属性表示（74）生成用户密钥（84），以获得基于针对分配给所述密钥的未来拥有者的所述属性的集合的属性表示（74）的用户密钥（84），

所述域密钥（80）是基于：

a）父域权限的域密钥，或者

b）域权限的所述层级结构的根权限（11）的根密钥，

并且其中，所述属性表示（74）独立于所述层级结构。

2.如权利要求1所述的加密系统，其中，所述域权限是具有原始域密钥（80）的原始域权限（13），所述加密系统还包括：

域密钥生成器（22），其用于生成针对域权限的所述层级结构中的子域权限（16）的另外的域密钥，所述另外的域密钥是基于所述原始域密钥（80）。

3.如权利要求2所述的加密系统，其中，所述系统包括公共信息（75），所述公共信息（75）包括与域权限的所述层级结构有关的公钥（71），并且其中，针对所述子域权限（16）的所述另外的域密钥是基于所述公钥（71）的一部分（73），所述部分（73）未被用于生成所述原始域密钥（80）并且独立于所述属性。

4.如权利要求2所述的加密系统，其中，对针对所述子域权限（16）的所述另外的域密钥进行安排，以便不允许对与域权限的所述层级结构中的前辈（13、11）相关联的密文的解密。

5.如权利要求1所述的加密系统，其中，所述属性表示（74）中的至少一些对于所述层级结构中的所述域权限（11、12、13、15、16）中的一个或多个是公开可用的。

6.如权利要求1所述的加密系统，其中，所述用户密钥（84）包括：

第一分量（81），其表示域权限的所述层级结构中的位置，以及

第二分量（82），其表示分配给所述用户的所述属性集合，

其中，所述用户密钥生成器（21）被安排用于借助于随机值对所述第一分量（81）与所述第二分量（82）进行绑定。

7.如权利要求1所述的加密系统，还包括解密器（19），其被安排用于：

接收与多个所述属性上的策略相关联的密文，其中，所述密文还与域权限的所述层级结构（11、12、13、15、16）中的至少一部分相关联；以及

基于由域权限的所述层级结构的所述至少一部分中的域权限（13）发布的用户密钥（84），来解密所述密文；

其中，如果对应于所述用户密钥（84）的所述属性集合满足所述密文的所述策略，则所述用户密钥（84）能够进行对所述密文的解密。

8.如权利要求7所述的加密系统，其中，所述用户密钥（84）与所述域权限（16）的所述层级结构中生成所述用户密钥（84）的等级相关联，所述等级表示所述层级结构中的前辈（11、13）的数目，

其中，域权限的所述层级结构中的所述至少一部分由直到所述层级结构中的预定等级的所述域权限组成，并且其中，仅在生成所述用户密钥的所述域权限（16）的所述等级低于或等于所述预定等级时，所述用户密钥（84）允许对密文的解密。

9.如权利要求1所述的加密系统，还包括加密器（18），其被安排用于：

基于与域权限的所述层级结构中的至少一部分有关的公钥信息（71），以及基于一个或多个属性表示（74）来加密消息，以获得与所述属性上的策略以及域权限的层级结构中的所述至少一部分相关联的密文。

10.如权利要求7或9所述的加密系统，其中，所述层级结构的所述至少一部分包括根权限（11）以及所述根权限的预定数目的后代。

11.一种生成用户密钥以便在基于分层属性的加密系统中使用的方法，所述方法包括：

基于a）父域权限的域密钥或者b）域权限的所述层级结构的根权限的根密钥，来生成域密钥（80），

基于域密钥（80）和独立于域权限的所述层级结构的一个或多个属性表示（74），来生成用户密钥（84），从而获得基于针对分配给所述密钥的未来拥有者的所述属性的集合的属性表示（74）的用户密钥（84）。

12.一种对密文进行解密以便在基于分层属性的加密系统中使用的方法，所述方法包括：

接收与多个属性上的策略相关联的密文，其中，所述密文还与域权限的层级结构中的至少一部分相关联；以及

基于由域权限的所述层级结构中的所述至少一部分中的域权限发布的用户密钥（84）来解密所述密文，其中，所述用户密钥（84）与所述属性的集合（83）相关联，

其中，仅在对应于所述用户密钥（84）的所述属性集合满足所述密文的所述策略时，能够进行对所述密文的所述解密。

13.一种对消息进行加密以便在基于分层属性的加密系统中使用的方法，所述方法包括：

基于与域权限的层级结构中的至少一部分有关的公钥信息（71）以及基于一个或多个属性表示（74）来加密消息，从而获得与所述属性上的策略以及域权限的层级结构中的所述至少一部分相关联的密文。

14.一种计算机程序产品，包括用于使得计算机系统执行权利要求11至13的所述方法中任一方法的指令。

Images