CN103973449A - 可证明安全的基于属性的在线/离线加密方法 - Google Patents

Abstract

本发明公开了两种基于属性的在线/离线加密(ABOOE)方法，包括具有选择明文安全和选择密文安全的ABOOE方法，将基于属性加密(ABE)的加密过程分解成离线和在线两个阶段：离线阶段在不知明文和所需属性集合的前提下，对加密所需复杂计算进行预处理；然后，在线阶段获知消息和属性集合后，仅需少量简单计算即可生成密文。本发明提供基于属性的在线/离线密钥封装机制(ABOOKEM)的构建方法和相应方案，并构造出将单向性ABOOKEM转化成CCA安全ABOOE的通用方法。该方法在不增加计算量的前提下有效提高了ABOOE的安全性。本发明的ABOOE提高了ABE的加密效率，适用于计算能力高度受限的终端设备。

Description

可证明安全的基于属性的在线/离线加密方法

技术领域

本发明涉及基于属性的在线/离线加密(ABOOE)方法，包括具有选择明文攻击安全(CPA)和选择密文攻击安全(CCA)的ABOOE方法，此外涉及包括基于属性的在线/离线密钥封装机制(ABOOKEM)的构造方法和一种将单向性ABOOKEM转化成选择密文安全的ABOOE的构造方法。

背景技术

2005年由Sahai和Waters在欧密会上首先提出了基于属性的加密(ABE)机制。在该ABE中，用属性标识用户的特征信息(例如，学生具有院系、专业、学生类别等属性)，授权中心根据用户具有的属性为其颁发私钥，加密者使用一组属性公钥以预定门限值进行加密，用户能够解密密文当且仅当该用户的属性集与密文属性集的交集不小于系统设定的门限参数。该ABE仅能实现门限访问控制策略。为了支持更加灵活的访问控制策略，2006年Goyal等人在ACM CCS上提出密钥策略的ABE方案(KP-ABE)，实现了对密文的细粒度访问控制。在KP-ABE中，授权中心根据用户的访问策略为其颁发私钥，密文与一组属性相关，只有密文的属性满足用户私钥的访问策略时，才能解密密文。2007年，Bethencourt等人提出密文策略的ABE方案(CP-ABE)。在CP-ABE中，用户密钥与属性集相关，密文与访问结构相关。

由于ABE能够在密文中灵活地表示访问控制策略，从而极大地降低了数据共享细粒度访问控制带来的网络带宽和加密节点的计算开销。因此，ABE在无线传感网、云存储等细粒度访问控制领域得到广泛应用。特别地，在分布式无线传感网中，传感器收集敏感数据并将其传送给基站，为了确保将敏感数据安全地传送给所有授权用户，Hur和Yu等人利用KP-ABE构造了适用于分布式无线传感网的数据共享细粒度访问控制方案。然而，上述方案的加密过程仍然需要执行幂乘等复杂计算。由于轻量级设备(例如无线传感器和智能卡等)计算能力非常有限，在短时间内完成加密请求的复杂计算几乎是不可能的。因此，为了提高加密的效率，在得知消息和属性集合之前，对加密所需复杂计算进行预处理是非常有必要的，一旦获知消息和属性集合，真实的加密过程将可以快速完成。

在线/离线密码机制是一种有效地提高签名或加密效率的密码学技术。1989年由Even等人首次提出了在线/离线签名机制。但直到2008年才由Guo等人首次提出了基于身份的在线/离线加密机制(IBOOE)，与在线/离线签名相类似，该方案巧妙地将加密过程划分成离线和在线两个阶段：首先，离线阶段无需得知消息和接收者身份，对加密所需的复杂计算进行预处理；然后，在线阶段获知明文和接收者身份信息后，仅需执行少量简单计算，即可生成密文。因此，在线/离线密码技术尤其适合于计算能力有限的传感器和智能卡等终端设备。在ASIA CCS2011会议上，Chow等人^[8]改进了IBOOE方案，提高了在线加密算法的效率，缩短了密文的长度。与此同时，Chow等人也提出了新的问题，即能否构建可证明安全的基于属性的在线/离线加密机制。

发明内容

针对基于属性加密(ABE)机制的加密过程必须执行幂乘等复杂计算，使得该机制很难适用于计算能力高度受限的设备，本发明的目的是提供适合于轻量级设备且可证明安全的基于属性的在线/离线加密方法。

本发明的一方面，提供具有选择明文安全的基于属性的在线/离线加密方法，将全部属性划分成少量的n类，每类属性拥有一个共同的属性公钥，且每个属性对应Z_p中的一个元素。首先，离线加密为每类属性选择一个随机数，计算该随机属性的离线子密文，并存储一些辅助信息。然后，在线加密在得知消息和属性集合后，利用离线密文计算Z_p中的若干个整数(实现了从随机属性到指定属性的有效转化)，即可快速生成给定消息和属性集合下的密文。该加密方法将由计算性能强的计算机设备和计算能力弱的轻量级设备共同完成，包括以下步骤：授权机构根据系统安全参数和属性类型个数初始化该基于属性的在线/离线加密系统，选择属性类型数目个哈希函数，首先对每一类属性选择一个属性密钥，生成系统主密钥；然后，利用主密钥和系统公共参数生成系统属性公钥；客户输入客户属性集合，授权机构根据客户属性集合授予相应的访问权利，生成与该访问权利对应的访问结构，针对访问结构对应的每一个属性，选择一随机数组，利用系统主密钥和该访问结构为其颁发相应的客户私钥；加密阶段分为离线加密和在线加密两个阶段：首先利用计算能力强的计算设备定期执行离线加密阶段，首先选择一个随机数，若系统中共有n类属性，对每一类属性，选择两个随机数，对加密所需的复杂计算进行预处理，输出离线密文；然后，加密者利用轻量级设备执行在线加密阶段，根据所需属性集合和当前最新的离线密文，对需要加密的消息执行少量简单运算，得到消息对应密文；解密者根据自己私钥中的访问结构和密文中的属性集合，若密文中属性集合满足解密者私钥中的访问结构，首先计算访问机构对应的访问矩阵的系数，然后计算密文中关键盲化数据，利用哈希函数族中相应的哈希函数和密文中的数据恢复消息，获得明文。

本发明的另一方面，提供具有选择密文安全的基于属性的在线/离线加密方法，将全部属性划分成少量的n类，每类属性拥有一个共同的属性公钥，且每个属性对应Z_p中的一个元素。首先，离线加密为每类属性选择一个随机数，计算该随机属性的离线子密文，并存储一些辅助信息。然后，在线加密在得知消息和属性集合后，利用离线密文计算Z_p中的若干个整数(实现了从随机属性到指定属性的有效转化)，即可快速生成给定消息和属性集合下的密文。该加密方法将由计算性能强的计算机设备和计算能力弱的轻量级设备共同完成，包括以下步骤：授权机构根据系统安全参数和属性类型个数初始化该基于属性的在线/离线加密系统，选择两个哈希函数,它们将任意字符串映射到合适的域上；首先对每一类属性选择一个属性密钥，生成系统主密钥；然后，利用主密钥和系统公共参数生成系统属性公钥。客户输入客户属性集合，授权机构根据客户属性集合授予相应的访问权利，生成与该访问权利对应的访问结构，针对访问结构对应的每一个属性，选择一随机数组，利用系统主密钥和该访问结构为其颁发相应的客户私钥。加密阶段分为离线加密和在线加密两个阶段：首先利用计算能力强的计算设备定期执行离线加密阶段，首先选择一个随机数r，计算会话密钥K。然后，若系统中共有n类属性，对每一类属性，选择两个随机数，对加密所需的复杂计算进行预处理，生成离线数据Γ，输出离线密文(Γ,K,r)。注意：该离线加密阶段是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)必须相同。然后，加密者利用轻量级设备执行在线加密阶段，根据所需属性集合和当前最新的离线密文，对需要加密的消息执行少量简单运算得到C₁，利用系统中选择的两个哈希函数计算 $C_2=H(K,C_1,m)\⊕r,$ $C_3=H^{\′}(K,C_1)\⊕m,$ 得到消息对应密文CT＝(C₁,C₂,C₃)。解密者根据自己私钥中的访问结构和密文中的属性集合，若密文中属性集合满足解密者私钥中的访问结构，首先计算访问机构对应的访问矩阵的系数，计算出密文中会话密钥K，然后计算消息m，利用该消息m、K、C₁和哈希函数H，计算出K'，若K'＝K，获得消息m，否则解密失败。

本发明的另一方面，提供一种单向性基于属性的在线/离线密钥封装机制，包括以下内容：授权机构根据系统安全参数和属性类型个数初始化该基于属性的在线/离线加密系统，首先对每一类属性选择一个属性密钥，生成系统主密钥；然后，利用主密钥和系统公共参数生成系统属性公钥。客户输入客户属性集合，授权机构根据客户属性集合授予相应的访问权利，生成与该访问权利对应的访问结构，针对访问结构对应的每一个属性，选择一随机数组，利用系统主密钥和该访问结构为其颁发相应的客户私钥。密钥封装阶段分为离线密钥封装和在线密钥封装两个阶段：首先利用计算能力强的计算设备定期执行离线密钥封装阶段，首先选择一个随机数r，计算会话密钥K。然后，若系统中共有n类属性，对每一类属性，选择两个随机数，对加密所需的复杂计算进行预处理，生成离线数据Γ，输出离线密文(Γ,K)。注意：该离线密钥封装阶段是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)必须相同。然后，加密者利用轻量级设备执行在线密钥封装阶段，根据所需属性集合和当前最新的离线密文，对需要加密的消息执行少量简单运算得到消息对应密文。密钥解封装算法根据客户私钥中的访问结构和密文中的属性集合，若密文中属性集合满足解密者私钥中的访问结构，首先计算访问机构对应的访问矩阵的系数，计算出密文中会话密钥K，否则解封装失败。

本发明的另一方面，提供一种将单向性基于属性的在线/离线密钥封装机制(ABOOKEM)转化成选择密文安全的基于属性在线/离线加密(ABOOE)的构造方法，包括以下步骤：授权机构执行与ABOOKEM中初始化系统相同的操作，此外，需增加两个哈希函数H,H',它们将任意字符串映射到合适的域上。客户私钥生成过程与ABOOKEM的客户私钥生成过程相同。离线加密阶段：选择一个随机数r，利用ABOOKEM的离线密钥封装过程计算出(Γ,K)，输出离线密文Δ＝(Γ,K,r)。注意：该算法是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)必须相同。在线加密阶段：加密者首先执行ABOOKEM的在线密钥封装过程，根据所需属性集合和当前最新的离线密文，对需要加密的消息执行少量简单运算，利用系统中选择的两个哈希函数计算 $C_2=H(K,C_1,m)\⊕r,$ $C_3=H^{\′}(K,C_1)\⊕m,$ 得到消息对应密文CT＝(C₁,C₂,C₃)。解密者根据自己私钥中的访问结构和密文中的属性集合，若密文中属性集合满足解密者私钥中的访问结构，首先执行ABOOKEM的解封装过程，计算出密文中会话密钥K，然后计算消息m，利用该消息m、K、C₁和哈希函数H，计算出K'，若K'＝K，获得消息m，否则解密失败。

本发明针对现有的基于属性加密(ABE)系统中，由于采用布尔属性描述用户，使得属性个数较多，如果对每个属性都进行预处理，则生成的离线密文长度过大，轻量级设备很难承受。针对这个问题，本发明采用非布尔属性描述用户，根据用户具有的特征信息将所有属性划分成少量的n类，每类属性拥有一个共同的属性公钥。离线阶段对每类属性进行预处理，生成相应的离线子密文，离线密文由这n个子密文构成。当得知消息和属性集合后，在线阶段利用离线密文快速生成相应的密文。本发明利用Sakai等人提出基于身份的加密方案[9]，构造出一个具体的CPA安全的ABOOE方案。

本发明的这些实施方法克服了ABE机制的加密过程必须执行幂乘等复杂计算，使得该机制很难适用于计算能力高度受限设备的问题。为了提高加密的效率，本发明将在线/离线密码技术引入到ABE中，提出基于属性的在线/离线加密(ABOOE)方法。ABOOE将加密过程非平凡地分解成离线和在线两个阶段：首先离线阶段在不知明文和所需属性集合的前提下，对复杂计算进行预处理；然后，在线阶段获知消息和属性集合后，仅需少量简单计算即可生成密文。本发明首先构建出一个CPA安全的ABOOE方案。为了提高ABOOE的安全性，提出基于属性的在线/离线密钥封装机制(ABOOKEM)和一个相应方案，并构造出一种将单向性ABOOKEM转化成CCA安全ABOOE的通用性方法。该方法在不增加计算量的前提下有效提高了ABOOE的安全性。

表1本文ABOOE方案与知名ABE方案的性能比较

此外，表1将本发明的2个ABOOE方案和知名ABE方案在效率和安全模型方面进行详细比较，其中，E表示群或的幂乘运算，M表示群或的乘法运算，P表示双线性对运算，mc表示域Zp中的模运算，|ω|表示集合ω中属性的个数，表示群中元素的长度，表示群中元素的长度，d是基本ABE^[1]的门限值。|S|表示满足树状访问结构的最小中间结点个数，或LSSS中访问结构的最小属性个数。ABOOE-Ⅰ和ABOOE-Ⅱ分别表示本文提出的第一个和第二个ABOOE方案。本发明的ABOOE方案成功地将KP-ABE的加密过程分解成离线加密和在线加密，使得在线加密只需少量的Z_p中模运算即可生成密文。由于Z_p中的模运算比群或中的幂乘运算快很多倍，这对于计算能力受限的轻量级设备是至关重要的。此外，解密过程的运算量没有过多额外的增加。虽然本文的ABOOE方案需要预存一定量的离线密文，而且密文长度也有所增加，但现有轻量级设备的存储能力足以满足这种需求，因此，ABOOE方案特别适合于轻量级设备收集敏感数据。本发明ABOOE方案是在随机预言机模型下可证明安全的，理论上讲，随机模型下的加密方案不如标准模型下加密方案的安全性高，但此类方案的安全性仍然是可以接受的。特别在效率要求严格的场景中，随机模型下高效的加密方案将是一个更好的选择。

下面结合实例对本发明作进一步说明。

具体实施方式

1.首先介绍与本发明方法相关基础知识的定义，主要包括

对称双线性对定义：令和是阶为大素数p的乘法循环群，g是的生成元，若存在一个映射e:满足如下条件：⑴双线性:对于 e(u^a,v^b)＝e(u,v)^ab；⑵非退化性:e(g,g)≠1；⑶可计算性:存在有效的算法在多项式时间内计算e(u,v)；那么称上述映射e为一个对称的双线性对。

l-DBDHI假设定义：l-DBDHI问题在上定义为：随机选择α∈Z_p ^*，g是的生成元，给定一个(l+2)元组 判定T的值是否为e(g,g)^1/α。如果对于任意概率多项式时间(PPT)算法在上解决l-DBDHI问题的优势均是可忽略的，则称l-DBDHI假设在上是成立的。

l-BDHI假设定义：l-BDHI问题在上定义为：随机选择α∈Z_p ^*，g是的生成元，给定一个(l+1)元组计算e(g,g)^1/α。如果对于任意PPT算法在上解决l-BDHI问题的优势均是可忽略的，则称l-BDHI假设在上是成立的。

访问结构定义：设是n个属性的集合，集族如果对任意集合B,C，都有：若且则则称是单调的。访问结构是的某些非空子集构成的集族即访问结构中的集合称为授权集。否则，称为非授权集。若集族是单调的，则称是单调访问结构。

LSSS定义属性集合上的秘密共享方案Π是线性的，如果Π满足如下条件：①参与者的秘密分享值构成Z_p上的一个向量；②对于Π，存在一个秘密份额生成矩阵M_d×h和行标号函数ρ:设s∈Z_p是待共享的秘密值，随机选择r₂,…,r_h∈Z_p，构成向量v＝(s,r₂,…,r_h)，令v为v的转置，则M·v是d个秘密份额构成的向量，根据标号函数将秘密份额λ_i＝(Mv)_i(1≤i≤d)分配给属性ρ(i)。

LSSS满足线性重构性质：若Π是访问结构的线性秘密共享方案，令是授权集，定义 $I=\{i:\mathrm{\ρ}\left(i\right)\∈S\}\⊆\{1,...,d\},$ 则存在PPT算法计算{c_i∈Z_p}_i∈I，使得对于秘密共享值s的任意有效份额{λ_i}_{i∈{1,…, d}}，均满足Σ_i∈Ic_iλ_i＝s。

2.在具有选择明文安全的基于属性的在线/离线加密系统中，将全部属性划分成少量的n类，每类属性拥有一个共同的属性公钥，且每个属性对应Z_p中的一个元素。首先，离线加密为每类属性选择一个随机数，计算该随机属性的离线子密文，并存储一些辅助信息。然后，在线加密在得知消息和属性集合后，利用离线密文计算Z_p中的若干个整数(实现了从随机属性到指定属性的有效转化)，即可快速生成给定消息和属性集合下的密文。

该系统主要包括：授权控制部件，用于根据系统安全参数和属性类型个数初始化该基于属性的在线/离线加密系统，选取属性类型数目个随机数，作为系统主密钥，利用主密钥生成并公开系统公钥；初始化算法输入系统安全参数λ和属性类型个数n,首先，生成双线性映射e：和群的生成元g，令v＝e(g,g)；构造n个独立的Sakai和Kasahara提出的身份基加密^[9]子系统，Msk_i＝(a_i), ${\mathrm{Pub}}_i=$ $\{g,g^{a_i},v,H_i:{\left\{\mathrm{0,1}\right\}}^{*}\→Z_p\}.$ 输出该系统公钥 $\mathrm{Pub}=(g,v,g^{a_1},...,g^{a_n},$ 和主密钥Msk＝(a₁,…,a_n)。

客户，用于输入客户具有的属性集合，根据这个属性集合选取对应的访问结构，利用系统主密钥，生成与该访问结构对应的客户私钥；密钥生成算法输入主私钥Msk、访问结构其中，M是d×h矩阵,进行如下计算：1)选择随机数u₂,…,u_h∈Z_p ^*，令u＝(1,u₂,…,u_h)；2)对矩阵M的任一行M_x(x＝1,2,…,d)，有属性I_ρ(x)(I_ρ(x)为第ρ(x)类属性)与之相对应，计算该属性私钥为

$D_{\mathrm{\ρ}\left(x\right)}=g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}}.$ 输出用户私钥

离线加密部件，用于在加密消息前对加密过程所需的幂乘和双线性对等复杂计算进行预处理，定期使用计算能力较强的设备，根据系统公开公钥，选取一个随机数，并对每一类属性选择两个随机数，计算并输出离线密文；离线加密算法对i＝1,2,…,n，随机选择r，β_i，γ_i∈Z_p ^*，计算：R＝v^r, c_i′＝H_i(R,T_2,i)。输出离线密文Δ＝(T_1,i,T_2,i,c_i′,β_i,γ_i)_{i＝1,2,…,n}。

在线加密部件，该部件通常安装在计算能力较弱的轻量级设备，基于系统公钥、所需属性集合、离线加密部件生成的最新离线密文，对输入的明文进行加密，仅需少量简单运算，得到相应属性集合和消息的密文；在线加密算法输入消息m、属性集ω＝(I_i1,I_i2,…,I_it)和离线密文Δ，计算：t_ij'＝γ_ij ^-1(I_ij–β_ij)mod p,输出在线密文CT＝(c,(T_1,ij,T_2,ij,t_ij′)_{j＝1,2,…,t})。

解密部件：用于基于客户私钥、系统公钥，如果密文中的属性集合满足客户私钥的访问结构时，对在线加密部件生成的密文进行解密。解密算法输入用户私钥和密文CT，记I＝{x|I_ρ(x)∈ω}。当CT中的属性满足中的策略时，首先计算系数θ_x∈Z_p，使得∑_x∈Iθ_xM_x＝(1,0,…,0),然后计算：

$e(T_{1,\mathrm{\ρ}\left(x\right)}\·{T_{2,\mathrm{\ρ}\left(x\right)}}^{t_{\mathrm{\ρ}\left(x\right)}^{\′}},g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}})=e{(g,g)}^{r{M}_x\·u},\underset{x\∈I}{\mathrm{\Π}}e{(g,g)}^{r\·{\mathrm{\θ}}_x\·M_x\·u}=v^r=R,$

${c_{\mathrm{ij}}}^{\′}=H_{\mathrm{ij}}(R,T_{2,\mathrm{ij}}),m=c\⊕{c_{i1}}^{\′}\⊕{c_{i2}}^{\′}\⊕...\⊕{c_{\mathrm{it}}}^{\′}$

否则，解密失败。

3.为了说明本发明方法构造的ABOOE方案是安全的，给出其对应的安全性模型如下：

选择模型下选择密文攻击(IND-SS-CCA)安全性游戏)定义：ABOOE的选择安全模型可以通过敌手和挑战者之间的游戏来进行如下定义：

Init：敌手宣布一个挑战属性集合γ。

Setup：挑战者运行ABOOE的Setup算法，将公钥参数Pub发送给并保存Msk。

Phase1：可以向多次询问下面两类预言机：(a)密钥生成预言机OKeyGen(·)：提交访问结构给 运行KeyGen(Msk,(M,ρ))，输出计算结果且要求γ不能满足(b)解密预言机ODec(·)：提交密文CT给解密预言机，如果解密成功，返回消息m给否则返回⊥，表示拒绝解密。

Challenge：敌手将两个等长的消息m₀和m₁提交给 随机选择b∈{0,1}，用γ加密消息m_b，计算密文CT^*＝Enc^on(m_b,γ,Enc^off(Pub))，并将CT^*发送给

Phase2：敌手可以继续执行Phase1中的密钥生成询问和解密询问，但询问密文不能为CT^*。

Guess：敌手依据密文CT^*给出一个猜测值b′。

当b′＝b时，敌手赢得这个游戏，在该游戏中的优势定义为|Pr[b′＝b]-1/2|。

IND-SS-CCA安全性定义：如果任意PPT敌手赢得IND-SS-CCA安全性游戏的优势都是可忽略的，则称该ABOOE方案在适应性选择密文攻击下是选择安全的。

选择模型下选择明文攻击(IND-SS-CPA)安全性定义：如果任意PPT敌手在上述IND-SS-CCA安全性游戏中不允许询问解密预言机，且赢得该游戏的优势均是可忽略的，则称该ABOOE方案在适应性选择明文攻击下是选择安全的。

4.上述方法构造的ABOOE方案的安全性证明如下：

定理1如果n(l+1)-DBDHI假设成立，则ABOOE方案满足选择模型下的IND-SS-CPA安全性。

证明：假设存在一个PPT敌手以ε的优势攻破ABOOE方案在选择属性集模型下的CPA安全性，则可以构造一个仿真器以ε/2优势攻破n(l+1)-DBDHI假设。

挑战者给出一个n(l+1)-DBDHI元组其中T＝e(g,g)^1/α或T为中一个随机元素。当T＝e(g,g)^1/α，仿真器输出1；否则，输出0。

Init：宣布挑战属性集γ＝{I_i1，I_i2，…，I_it}，并将其发给

Setup：当i＝i₁，…，i_t时，随机选择π_i∈{1,2,…,l},I_πi∈Z_p ^*, w_il∈Z_p ^*,对i_j∈{1,2,…，l}\{π_i}，计算I_ij＝I_πi-w_ij，构造t(l-1)次多项式得到系数c₀,c₁,…,c_t(l-1)∈Z_p ^*,即 $f\left(z\right)=\underset{i=0}{\overset{t(l-1)}{\mathrm{\Σ}}}{c}_i{z}^i.$ 然后，设置生成元 $G=\underset{i=0}{\overset{t(l-1)}{\mathrm{\Π}}}{\left(g^{a^i}\right)}^{c_i}=g^{f\left(\mathrm{\α}\right)}.$

当i_j∈{1,…,l}\{π_i}，计算系数为d_ij,0,…，d_ij,t(l-1)-1∈Z_p ^*,计算

$\widetilde{H_{\mathrm{ij}}}=\underset{k=0}{\overset{t(l-1)-1}{\mathrm{\Π}}}{\left(g^{{\mathrm{\α}}^k}\right)}^{d_{\mathrm{ij},k}}=g^{f_{\mathrm{ij}}\left(\mathrm{\α}\right)}=G^{\frac{1}{\mathrm{\α}+w_{\mathrm{ij}}}},{\widetilde{H_{\mathrm{ij}}}}^{\left(\mathrm{\α}\right)}=\underset{k=0}{\overset{t(l-1)-1}{\mathrm{\Π}}}{\left(g^{{\mathrm{\α}}^{k+1}}\right)}^{d_{\mathrm{ij},k}}=G^{\frac{\mathrm{\α}}{\mathrm{\α}+w_{\mathrm{ij}}}},$

计算 ${\mathrm{pub}}_i=G^{-\mathrm{\α}}{G}^{{-I}_{\mathrm{\πi}}},$ 其中 $G^{-\mathrm{\α}}=\underset{i=0}{\overset{t(l-1)}{\mathrm{\Π}}}{\left(g^{{\mathrm{\α}}^{i+1}}\right)}^{c_i},$ 使得第i类属性的未知主密钥msk_i＝-α-I_πi。

当i≠i₁,…,i_t,随机选择a_i∈Z_p ^*，计算即msk_i＝a_i。

最后，设置公钥参数Pub＝{G，v＝e(G,G),Pub₁,…,Pub_n,H₁,…,H_n},msk＝{msk₁,…,msk_n}。

Phase1:询问访问结构的私钥，使得γ不满足(M,ρ)，记为令M_γ＝{M_x|I_ρ(x)∈γ}，因为所以 因此，存在向量w＝(w₁,…,w_h)，使得w垂直M_γ，即w·M_γ＝0，但w不垂直1＝(1,0,…,0)。为了生成 随机选择λ₁,…,λ_h∈Z_p ^*，隐式的设置v＝(λ₁α,…,λ_hα),注意： $1\·u=1\·v+1\·\left(\mathrm{\ψw}\right)={\mathrm{\λ}}_1\mathrm{\α}+\frac{1-{\mathrm{\λ}}_1\mathrm{\α}}{w_1}\·w_1=1.$ 令M_x＝(m_x,1,…,m_x,h),

⑴当I_ρ(x)∈γ时，计算 ${\mathrm{\φ}}_1=-\underset{j=1}{\overset{h}{\mathrm{\Σ}}}{m}_{x,j}{\mathrm{\λ}}_j,$ 令 $D_{\mathrm{\ρ}\left(x\right)}=G^{{\mathrm{\φ}}_1},$ 由于φ₁是已知的，且

$\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}=\frac{M_x\·(v+\mathrm{\ψw})}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}=\frac{\mathrm{\α}\underset{j=1}{\overset{h}{\mathrm{\Σ}}}{m}_{x,j}{\mathrm{\λ}}_j}{-\mathrm{\α}}=-\underset{j=1}{\overset{h}{\mathrm{\Σ}}}{m}_{x,j}{\mathrm{\λ}}_j,$

所以D_ρ(x)是一个正确生成的私钥。

⑵当且I_ρ(x)是i₁,…,i_t类的属性时，记I_ρ(x)＝I_ij，其中ρ(x)＝i₁,…,i_t,且j≠π_i,令 $D_{\mathrm{\ρ}\left(x\right)}=D_{\mathrm{ij}}={\left(H_{\mathrm{ij}}^{\mathrm{\α}}\right)}^{{\mathrm{\φ}}_2},$ 其中 ${\mathrm{\φ}}_2=-\underset{j=1}{\overset{h}{\mathrm{\Σ}}}{m}_{x,j}{\mathrm{\λ}}_j.$ 注意：和φ₂是已知的，且

$\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}=\frac{M_x\·v}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}=\frac{\mathrm{\α}\underset{j=1}{\overset{h}{\mathrm{\Σ}}}{m}_{x,j}{\mathrm{\λ}}_j}{-\mathrm{\α}-w_{\mathrm{ij}}}=\frac{\mathrm{\α}}{\mathrm{\α}+w_{\mathrm{ij}}}(-\underset{j=1}{\overset{h}{\mathrm{\Σ}}}{m}_{x,j}{\mathrm{\λ}}_j)$

⑶当且I_ρ(x)不是i₁,i₂,…,i_t类的属性时，即ρ(x)≠i₁,…,i_t,计算 $D_{\mathrm{\ρ}\left(x\right)}={\left(G^{\mathrm{\α}}\right)}^{{\mathrm{\φ}}_2}{G}^{{\mathrm{\φ}}_3},$ 其中

${\mathrm{\φ}}_2=\frac{\underset{j=1}{\overset{h}{\mathrm{\Σ}}}{m}_{x,j}{\mathrm{\λ}}_j}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}},{\mathrm{\φ}}_3=\frac{\mathrm{\ψ}\underset{j=1}{\overset{h}{\mathrm{\Σ}}}{m}_{x,j}{w}_j}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}},$

由于

$\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}=\frac{\mathrm{\α}\underset{j=1}{\overset{h}{\mathrm{\Σ}}}{m}_{x,j}{\mathrm{\λ}}_j}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}+\frac{\mathrm{\ψ}\underset{j=1}{\overset{h}{\mathrm{\Σ}}}{m}_{x,j}{w}_j}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}=\mathrm{\α}{\mathrm{\φ}}_2+{\mathrm{\φ}}_3,$

且G^α、φ₂和φ₃是已知的，因此，D_ρ(x)是正确生成的属性私钥。

综上所述，当γ不满足时，可以为访问结构生成相应的属性私钥。

Challenge:输出消息m₀,m₁。随机选择一个比特b∈{0,1}，并利用γ对消息m_b进行如下加密。对i＝i₁,…,i_t，随机选择ξ,t_0,i,s_i∈Z_p ^*，隐式地设置β_i＝-s_i(t_0,i+1)α，计算

$T_{1,i}=\mathrm{\ξ}\·t_{0,i}\·G=\frac{\mathrm{\ξ}}{\mathrm{\α}}({\mathrm{\λ}}_{i}G+\mathrm{Pu}{b}_i),T_{2,i}=\frac{\mathrm{\ξ\βG}}{\mathrm{\α}},t_i^{\′}={\mathrm{\β}}_i^{-1}(I_i-{\mathrm{\λ}}_i)=1/s_i,T_h=T^{c_0^2}{T}_0,$ 其中 $T_0=e(g^{\underset{i=1}{\overset{n(l-1)}{\mathrm{\Σ}}}{c}_i{\mathrm{\α}}^{i-1}},g^{f\left(a\right)})\·e(g^{\underset{i=1}{\overset{n(l-1)}{\mathrm{\Σ}}}{c}_i{\mathrm{\α}}^{i-1}},g^{c_0})=e{(g,g)}^{\frac{f{\left(\mathrm{\α}\right)}^2-c_0^2}{\mathrm{\α}}},$

计算c′_i＝H_i(T_h，T_2,i),输出挑战密文 ${\mathrm{CT}}^{*}=(c,{(T_{1,j},T_{2,j},t_{1,j})}_{j=i_1,i_2,...i_t}).$

Phase2:重复Phase1。

Guess：最后，输出对b的猜测值b'。若b'＝b，输出1，表示否则，若b'≠b，输出0，表示T是一个随机元素。

Probability Analysis：当 $T=e{(g,g)}^{\frac{1}{\mathrm{\α}}}$ 时， $T_h=T^{c_0^2}{T}_0=e{(g,g)}^{\frac{f{\left(\mathrm{\α}\right)}^2}{\mathrm{\α}}}$ $=e{(G,G)}^{\frac{1}{\mathrm{\α}}},$ CT^*是正确的密文，猜对的概率为1/2+ε。当T是随机元素时，T_h也是G_T的随机元素，CT^*将是随机消息的密文，猜对概率为1/2。总之，猜对概率为1/2+ε，猜对n(l+1)-DBDHI元组的优势是ε/2。

5.为了提高ABOOE的安全性，首先给出一个高效的ABOOKEM方案，并对其单向性进行证明。然后，提出一种将单向性ABOOKEM转化成CCA安全ABOOE的通用性方法，并证明该ABOOE方案满足IND-SS-CCA安全性。

一个单向性基于属性的在线/离线密钥封装机制ABOOKEM主要包括以下步骤：授权机构执行初始化算法Setup(λ,n)：根据系统安全参数和属性类型个数初始化该基于属性的在线/离线加密系统，首先对每一类属性选择一个属性密钥，生成系统主密钥；然后，利用主密钥和系统公共参数生成系统属性公钥。初始化算法输入系统安全参数λ和属性类型个数n,首先，生成双线性映射e：和群的生成元g，令v＝e(g,g)；构造n个独立的SK-IBE^[24]子系统，Msk_i＝(a_i), $\mathrm{Pu}{b}_i=\{g,g^{a_i},v\}.$ 输出该系统公钥 $\mathrm{Pub}=(g,v,g^{a_1},...,g^{a_n})$ 和主密钥Msk＝(a₁,…,a_n)。

客户执行算法，输入客户属性集合，授权机构根据客户属性集合授予相应的访问权利，生成与该访问权利对应的访问结构，针对访问结构对应的每一个属性，选择一随机数组，利用系统主密钥和该访问结构为其颁发相应的客户私钥。密钥生成算法输入主私钥Msk、访问结构其中，M是d×h矩阵,进行如下计算：1)选择随机数u₂,…,u_h∈Z_p ^*，令u＝(1,u₂,…,u_h)；2)对矩阵M的任一行M_x(x＝1,2,…,d)，有属性I_ρ(x)(I_ρ(x)为第ρ(x)类属性)与之相对应，计算该属性私钥为

$D_{\mathrm{\ρ}\left(x\right)}=g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}}.$ 输出用户私钥

密钥封装阶段分为离线密钥封装和在线密钥封装两个阶段：首先利用计算能力强的计算设备定期执行离线密钥封装算法KEM^off(Pub,r)，首先选择一个随机数r，计算会话密钥K。然后，若系统中共有n类属性，对每一类属性，选择两个随机数，对加密所需的复杂计算进行预处理，生成离线数据Γ，输出离线密文(Γ,K)。注意：该离线密钥封装阶段是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)必须相同。具体实施，离线密钥封装算法输入r∈Z_p ^*，计算会话密钥K＝e(g,g)^r。然后，对i＝1,2，…，n，随机选择β_i,γ_i∈Z_p ^*，计算：输出会话密钥K和离线数据Γ＝(T_1,i,T_2,i,β_i,γ_i)_{i＝1,2,…,n}。

然后，加密者利用轻量级设备执行在线密钥封装算法KEM^on(ω,Γ)，根据所需属性集合和当前最新的离线密文，对需要加密的消息执行少量简单运算得到消息对应密文。具体实施，在线密钥封装算法输入属性集ω＝(I_i1,I_i2,…,I_it)和离线数据Γ，计算：t_ij'＝γ_ij ^-1(I_ij-β_ij)mod p,输出密文CT＝(T_1,ij,T_2,ij,t_ij')_{j＝1,2,…,t}。

密钥解封装算法根据客户私钥中的访问结构和密文中的属性集合，若密文中属性集合满足解密者私钥中的访问结构，首先计算访问机构对应的访问矩阵的系数，计算出密文中会话密钥K，否则解封装失败。具体实施，解封装算法输入用户私钥和密文CT，记I＝{x|I_ρ(x)∈ω}。当CT中的属性满足中的策略时，首先计算系数θ_x∈Z_p，使得∑_x∈Iθ_xM_x＝(1,0,…,0)，然后计算：

$e(T_{1,\mathrm{\ρ}\left(x\right)}\·{T_{2,\mathrm{\ρ}\left(x\right)}}^{t_{\mathrm{\ρ}\left(x\right)}^{\′}},g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}})=e{(g,g)}^{r{M}_x\·u},\underset{x\∈I}{\mathrm{\Π}}e{(g,g)}^{r\·{\mathrm{\θ}}_x\·M_x\·u}=v^r=K,$

得到会话密钥K；否则，解封装失败。

6.上述单向性ABOOKEM的安全性模型定义如下：ABOOKEM单向性选择安全游戏可以通过敌手和挑战者之间的游戏来进行如下定义：

Init：敌手宣布一个挑战属性集合γ。

Setup：挑战者运行ABOOKEM的Setup算法，将公钥参数Pub发送给并保留Msk。

Phase1：提交访问结构给 运行 输出计算结果且要求γ不能满足

Challenge：选择随机数r，计算密文CT^*＝KEM^on(Pub,γ,KEM^off(Pub,r))，并将CT^*发给

Phase2：敌手可以继续执行Phase1中的密钥询问。

Output calculation：敌手依据密文CT^*计算出会话密钥K。

当输出的K等于CT^*中加密的会话密钥K'时，称敌手赢得上述单向性选择安全游戏。赢得上述游戏的优势定义为Pr[K'＝K]。

单向选择(OW-SS)安全性定义：如果任意PPT敌手赢得OW-SS安全性游戏的优势都是可忽略的，则称该ABOOKEM是单向性选择安全的。

7.上述单向性ABOOKEM的安全性证明如下：

定理：如果n(l+1)-BDHI假设成立，则ABOOKEM方案满足选择模型下的单向性。

证明：假设存在一个PPT敌手以ε的优势攻破ABOOKEM方案的单向性，则可以构造一个仿真器以ε优势攻破n(l+1)-BDHI假设。

首先挑战者生成系统公钥参数，并给出一个n(l+1)-BDHI元组仿真器运行输出

Init：宣布挑战属性集γ＝{I_i1，I_i2，…，I_it}，并将其发给

Setup和Phase1：与ABOOE的setup阶段和Phase1阶段相同。

Challenge:提交挑战属性集γ＝{I_i1，I_i2，…，I_it}给对i＝i₁,i₂,…,i_t，随机选择ξ,t_0,i,s_i∈Z_p ^*，隐式地设置

β_i＝-s_i(t_0,i+1)α，计算 $T_{1,i}=\mathrm{\ξ}\·t_{0,i}G=\frac{\mathrm{\ξ}}{\mathrm{\α}}({\mathrm{\λ}}_{i}G+\mathrm{Pu}{b}_i),$

$T_{2,i}=\mathrm{\ξ}\·(-s_i)\·(t_{0,i}+1)G=\frac{\mathrm{\ξ\βG}}{\mathrm{\α}},$ ${t_i}^{\′}={\mathrm{\β}}_i^{-1}(I_i-{\mathrm{\λ}}_i)=1/s_i,$ 为正确生成的密文。

Phase2:重复Phase1。

Output Calculation：以ε的优势输出K,即其中则n(l+1)-BDHI假设的解为

${\left(\frac{K^{1/\mathrm{\ξ}}}{e(\underset{i=0}{\overset{t(l-1)-1}{\mathrm{\Π}}}{\left(g^{{\mathrm{\α}}^i}\right)}^{c_{i+1}},g^{c_0})\·e(\underset{i=0}{\overset{t(l-1)-1}{\mathrm{\Π}}}{\left(g^{{\mathrm{\α}}^i}\right)}^{c_{i+1}},G)}\right)}^{1/c_0^2}={\left(\frac{e{(g,g)}^{\frac{f{\left(\mathrm{\α}\right)}^2}{\mathrm{\α}}}}{{e(g,g)}^{\frac{f{\left(\mathrm{\α}\right)}^2-{c_0}^2}{\mathrm{\α}}}}\right)}^{1/c_0^2}=e{(g,g)}^{\frac{1}{\mathrm{\α}}}.$

综上所述，解决n(l+1)-BDHI假设的优势为ε。

8.单向性ABOOKEM转化成CCA安全ABOOE的通用性方法，具体实施步骤如下，

Setup(λ,n)：授权机构执行初始化算法与ABOOKEM相同，此外，需增加两个哈希函数H,H',它们将任意字符串映射到合适的域上。

与ABOOKEM相同。

Enc^off(Pub):离线加密算法随机选择r，计算(Γ,K)←KEM^off(Pub,r),输出离线密文Δ＝(Γ,K,r)。注意：该算法是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)必须相同。

Enc^on(m,ω,Δ):在线加密算法输入消息m、属性集ω＝(I_i1,I_i2,…,I_it)和离线密文Δ，计算：C₁＝KEM^on(Δ,ω), 输出密文CT＝(C₁,C₂,C₃)。

解密算法输入用户私钥和密文CT，记I＝{x|I_ρ(x)∈ω},当CT中的属性满足中的策略时，计算： 否则，输出⊥，表示解密失败。然后，计算： $m=$ $H^{\′}(K,C_1)\⊕C_3,$ $K^{\′}{=\mathrm{KEM}}^{\mathrm{off}}(H(K,C_1,m)\⊕C_2),$ 若K'＝K，输出m，否则解密失败。

9.在具有选择密文安全的基于属性的在线/离线加密方法，将全部属性划分成少量的n类，每类属性拥有一个共同的属性公钥，且每个属性对应Z_p中的一个元素。首先，离线加密为每类属性选择一个随机数，计算该随机属性的离线子密文，并存储一些辅助信息。然后，在线加密在得知消息和属性集合后，利用离线密文计算Z_p中的若干个整数(实现了从随机属性到指定属性的有效转化)，即可快速生成给定消息和属性集合下的密文。该加密方法将由计算性能强的计算机设备和计算能力弱的轻量级设备共同完成，包括以下步骤：

授权机构根据系统安全参数和属性类型个数初始化该基于属性的在线/离线加密系统，选择两个哈希函数,它们将任意字符串映射到合适的域上；首先对每一类属性选择一个属性密钥，生成系统主密钥；然后，利用主密钥和系统公共参数生成系统属性公钥。具体实施，初始化算法输入系统安全参数λ和属性类型个数n,首先，生成双线性映射e：和群的生成元g，令v＝e(g,g)；构造n个独立的SK-IBE^[9]子系统，Msk_i＝(ai),输出该系统公钥和主密钥Msk＝(a₁,…,a_n)，其中，两个哈希函数H和H'将任意字符串映射到合适的域上。

客户输入客户属性集合，授权机构根据客户属性集合授予相应的访问权利，生成与该访问权利对应的访问结构，针对访问结构对应的每一个属性，选择一随机数组，利用系统主密钥和该访问结构为其颁发相应的客户私钥。具体实施，密钥生成算法输入主私钥Msk、访问结构其中，M是d×h矩阵,进行如下计算：1)选择随机数u₂,…,u_h∈Z_p ^*，令u＝(1,u₂,…,u_h)；2)对矩阵M的任一行M_x(x＝1,2,…,d)，有属性I_ρ(x)(I_ρ(x)为第ρ(x)类属性)与之相对应，计算该属性私钥为

$D_{\mathrm{\ρ}\left(x\right)}=g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}}.$ 输出用户私钥

加密阶段分为离线加密和在线加密两个阶段：首先利用计算能力强的计算设备定期执行离线加密阶段，首先选择一个随机数r，计算会话密钥K。然后，若系统中共有n类属性，对每一类属性，选择两个随机数，对加密所需的复杂计算进行预处理，生成离线数据Γ，输出离线密文(Γ,K,r)。注意：该离线加密阶段是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)必须相同。具体实施，离线加密算法随机选择r，计算(Γ,K)←KEM^off(Pub,r),输出离线密文Δ＝(Γ,K,r)。注意：该算法是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)必须相同。

然后，加密者利用轻量级设备执行在线加密阶段，根据所需属性集合和当前最新的离线密文，对需要加密的消息执行少量简单运算得到C1，利用系统中选择的两个哈希函数计算 得到消息对应密文CT＝(C₁,C₂,C₃)。具体实施，在线加密算法输入消息m、属性集ω＝(I_i1,I_i2,…,I_it)和离线密文Δ，计算：C₁＝KEM^on(Δ,ω), $C_2=H(K,C_1,m)\⊕r,$ $C_3=H^{\′}(K,C_1)\⊕m,$ 输出密文CT＝(C₁,C₂,C₃)。

解密者根据自己私钥中的访问结构和密文中的属性集合，若密文中属性集合满足解密者私钥中的访问结构，首先计算访问机构对应的访问矩阵的系数，计算出密文中会话密钥K，然后计算消息m，利用该消息m、K、C1和哈希函数H，计算出K'，若K'＝K，获得消息m，否则解密失败。具体实施，解密算法输入用户私钥和密文CT，记I＝{x|I_ρ(x)∈ω},当CT中的属性满足中的策略时，计算：否则，输出⊥，表示解密失败。然后，计算： $m=H^{\′}(K,C_1)\⊕C_3,$ $K^{\′}={\mathrm{KEM}}^{\mathrm{off}}(H(K,C_1,m)\⊕C_2),$ 若K'＝K，输出m，否则解密失败。

10.上述CCA安全的ABOOE方案的安全性证明如下：

定理：如果ABOOKEM具有选择模型下的单向性，则该ABOOE在选择模型下是CCA安全的。

证明：如果存在一个PPT敌手可以攻破ABOOE的CCA安全性，则可以构造仿真器攻破ABOOKEM的单向性。挑战者仿真ABOOKEM的单向性如下：

Init：宣布挑战属性集γ＝{I_i1，I_i2，…，I_it}，并将γ发给 将γ发送给

Setup:生成ABOOKEM的主密钥Msk和公钥参数Pub,并将Pub发给 将Pub发给并仿真哈希函数H和H。

Phase1:提交访问结构给 将提交给 生成相应的私钥并将其发送给由ABOOKEM到ABOOE的转化方法可知，ABOOE与ABOOKEM私钥相同，可确保生成的密钥是正确的。

Decryption Oracle：输入密文CT＝(C₁,C₂,C₃)，执行如下操作：(1)检索哈希函数H的输入和输出列表{h_i}，使得h_i＝H(K_i,C₁,m_i)，注意：哈希函数H，H'中的K_i必须相同。(2)对输入输出列表的{h_i}，检测K_i与是否相等。若对所有的K_i，输出失败信息⊥；否则，输出 $m_i=C_3\⊕$ $H^{\′}(K_i,C_1).$

Challenge:将消息m₀,m₁提交给 利用γ执行ABOOKEM的密钥封装算法，生成密文C'，随机选择C₂ ^*,C₃ ^*，将CT＝(C',C₂ ^*,C₃ ^*)发送给类似于参考文献^[23]，如果能以不可忽略的优势赢得上述游戏，则它在输出猜测值b'之前一定询问过H(K^*,C',m^*)或H(K^*,C')。选择一个随机预言机询问，并输出第一个变量的值，作为ABOOKEM单向性游戏的输出值。

Probability Analysis：如果没有询问过K^*，其成功的概率为0；如果询问过K^*，其成功的概率为1/q_H。总之，成功的概率为ε/q_H，q_H是询问随机预言机的次数。

Claims (9)

1.一种具有选择明文安全的基于属性的在线/离线加密方法，其特征是：将现有ABE的全部属性划分成少量的n类，每类属性拥有一个共同的属性公钥，且每个属性对应Z_p中的一个元素；首先，离线加密为每类属性选择一个随机数，计算该随机属性的离线子密文，并存储一些辅助信息；然后，在线加密在得知消息和属性集合后，利用离线密文计算Z_p中的若干个整数，实现了从随机属性到指定属性的有效转化，即可快速生成给定消息和属性集合下的密文；加密方法由计算性能强的计算机设备和计算能力弱的轻量级设备共同完成，包括以下步骤：

授权机构根据系统安全参数和属性类型个数初始化该基于属性的在线/离线加密系统，选择属性类型数目个哈希函数，首先对每一类属性选择一个属性密钥，生成系统主密钥；然后，利用主密钥和系统公共参数生成系统属性公钥；

客户输入客户属性集合，授权机构根据客户属性集合授予相应的访问权利，生成与该访问权利对应的访问结构，针对访问结构对应的每一个属性，选择一随机数组，利用系统主密钥和该访问结构为其颁发相应的客户私钥；

加密阶段分为离线加密和在线加密两个阶段：

首先利用计算能力强的计算设备定期执行离线加密阶段，首先选择一个随机数，若系统中共有n类属性，对每一类属性，选择两个随机数，对加密所需的复杂计算进行预处理，输出离线密文；

然后，加密者利用轻量级设备执行在线加密阶段，根据所需属性集合和当前最新的离线密文，对需要加密的消息执行少量简单运算，得到消息对应密文；

解密者根据自己私钥中的访问结构和密文中的属性集合，若密文中属性集合满足解密者私钥中的访问结构，首先计算访问机构对应的访问矩阵的系数，然后计算密文中关键盲化数据，利用哈希函数族中相应的哈希函数和密文中的数据恢复消息，获得明文。

2.根据权利要求1所述的具有选择明文安全的基于属性的在线/离线加密方法，其特征是：具体操作过程形式化描述如下：

令和为素数阶p的双线性群，g为的生成元；此外，令双线性映射e：λ为系统的安全参数，方案的具体构造过程如下：

Setup(λ,n):初始化算法输入系统安全参数λ和属性类型个数n,首先，生成双线性映射e：和群的生成元g，令v＝e(g,g)；构造n个独立的SK-IBE^[24]子系统，Msk_i＝(a_i), ${\mathrm{Pub}}_i=\{g,g^{a_i},v,$ $H_i:{\left\{\mathrm{0,1}\right\}}^{*}\→Z_p\};$ 输出该系统公钥 $\mathrm{Pub}=(g,v,g^{a_1},...,g^{a_n},H_1,...{,H}_n)$ 和主密钥Msk＝(a₁,…,a_n)；

密钥生成算法输入主私钥Msk、访问结构其中，M是d×h矩阵,进行如下计算：1)选择随机数u₂,…,u_h∈Z_p ^*，令u＝(1,u₂,…,u_h)；2)对矩阵M的任一行M_x(x＝1,2,…,d)，有属性I_ρ(x)(I_ρ(x)为第ρ(x)类属性)与之相对应，计算该属性私钥为

$D_{\mathrm{\ρ}\left(x\right)}=g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}};$

输出用户私钥

Enc^off(Pub):离线加密算法对i＝1,2,…,n，随机选择r，β_i，γ_i∈Z_p ^*，计算：R＝v^r, c_i ^′＝H_i(R,T_2,i)；输出离线密文Δ＝(T_1,i,T_2,i,c_i′,β_i,γ_i)_{i＝1,2,…,n}；

Enc^on(m,ω,Δ):在线加密算法输入消息m、属性集ω＝(I_i1,I_i2,…,I_it)和离线密文Δ，计算：t_ij'＝γ_ij ^-1(I_ij–β_ij)mod p,输出在线密文CT＝(c,(T_1,ij,T_2,ij,t_ij′)_{j＝1,2,…,t})；

解密算法输入用户私钥和密文CT，记I＝{x|I_ρ(x)∈ω}；当CT中的属性满足中的策略时，首先计算系数θ_x∈Z_p，使得

∑_x∈Iθ_xM_x＝(1,0,…,0),

然后计算：

$e(T_{1,\mathrm{\ρ}\left(x\right)}\·{T_{2,\mathrm{\ρ}\left(x\right)}}^{t_{\mathrm{\ρ}\left(x\right)}^{\′}},g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}})=e{(g,g)}^{r{M}_x\·u},\underset{x\∈I}{\mathrm{\Π}}e{(g,g)}^{r\·{\mathrm{\θ}}_x\·M_x\·u}=v^r=R,$

${c_{\mathrm{ij}}}^{\′}=H_{\mathrm{ij}}(R,T_{2,\mathrm{ij}}),m=c\⊕{c_{i1}}^{\′}\⊕{c_{i2}}^{\′}\⊕...\⊕{c_{\mathrm{it}}}^{\′}$

否则，解密失败。

3.根据权利要求1所述的具有选择明文攻击安全的基于属性的在线/离线加密方法，其特征是：所述访问结构对应线性秘密共享方案中的访问矩阵和从访问矩阵每一行到对应属性的映射。

4.一种具有选择密文安全的基于属性的在线/离线加密方法，其特征是：将全部属性划分成少量的n类，每类属性拥有一个共同的属性公钥，且每个属性对应Z_p中的一个元素；首先，离线加密为每类属性选择一个随机数，计算该随机属性的离线子密文，并存储一些辅助信息；然后，在线加密在得知消息和属性集合后，利用离线密文计算Z_p中的若干个整数，实现了从随机属性到指定属性的有效转化，即可快速生成给定消息和属性集合下的密文；加密方法由计算性能强的计算机设备和计算能力弱的轻量级设备共同完成，包括以下步骤：

授权机构根据系统安全参数和属性类型个数初始化该基于属性的在线/离线加密系统，选择两个哈希函数,它们将任意字符串映射到合适的域上；首先对每一类属性选择一个属性密钥，生成系统主密钥；然后，利用主密钥和系统公共参数生成系统属性公钥；

客户输入客户属性集合，授权机构根据客户属性集合授予相应的访问权利，生成与该访问权利对应的访问结构，针对访问结构对应的每一个属性，选择一随机数组，利用系统主密钥和该访问结构为其颁发相应的客户私钥；

加密阶段分为离线加密和在线加密两个阶段：

首先利用计算能力强的计算设备定期执行离线加密阶段，首先选择一个随机数r，计算会话密钥K；然后，若系统中共有n类属性，对每一类属性，选择两个随机数，对加密所需的复杂计算进行预处理，生成离线数据Γ，输出离线密文(Γ,K,r)；该离线加密阶段是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)须相同；

然后，加密者利用轻量级设备执行在线加密阶段，根据所需属性集合和当前最新的离线密文，对需要加密的消息执行少量简单运算得到C1，利用系统中选择的两个哈希函数计算 得到消息对应密文CT＝(C₁,C₂,C₃)；

解密者根据自己私钥中的访问结构和密文中的属性集合，若密文中属性集合满足解密者私钥中的访问结构，首先计算访问机构对应的访问矩阵的系数，计算出密文中会话密钥K，然后计算消息m，利用该消息m、K、C1和哈希函数H，计算出K'，若K'＝K，获得消息m，否则解密失败。

5.根据权利要求4所述的具有选择密文攻击安全的基于属性的在线/离线加密方法，其特征是：具体操作过程形式化描述如下：

令和为素数阶p的双线性群，g为的生成元；此外，令双线性映射e：λ为系统的安全参数，方案的具体构造过程如下：

Setup(λ,n):初始化算法输入系统安全参数λ和属性类型个数n,首先，生成双线性映射e：和群的生成元g，令v＝e(g,g)；构造n个独立的SK-IBE^[9]子系统，Msk_i＝(a_i), ${\mathrm{Pub}}_i=\{g,g^{a_i},v,$ $H,H^{\′}\};$ 输出该系统公钥 $\mathrm{Pub}=(g,v,g^{a_1},...,g^{a_n},H,H^{\′})$ 和主密钥Msk＝(a₁,…,a_n)，其中，两个哈希函数H和H'将任意字符串映射到合适的域上；

密钥生成算法输入主私钥Msk、访问结构其中，M是d×h矩阵,进行如下计算：1)选择随机数u₂,…,u_h∈Z_p ^*，令u＝(1,u₂,…,u_h)；2)对矩阵M的任一行M_x(x＝1,2,…,d)，有属性I_ρ(x)(I_ρ(x)为第ρ(x)类属性)与之相对应，计算该属性私钥为

$D_{\mathrm{\ρ}\left(x\right)}=g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}};$

输出用户私钥

Enc^off(Pub):离线加密算法随机选择r∈Z_p ^*，计算会话密钥K＝e(g,g)^r；然后，对i＝1,2，…，n，随机选择β_i,γ_i∈Z_p ^*，计算： 得到会话密钥K和离线数据Γ＝(T_1,i,T_2,i,β_i,γ_i)_{i＝1,2,…,n}，输出离线密文Δ＝(Γ,K,r)；该算法是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)须相同；

Enc^on(m,ω,Δ):在线加密算法输入消息m、属性集ω＝(I_i1,I_i2,…,I_it)和离线密文Δ，利用离线密文Δ＝(Γ,K,r)，计算：t_ij'＝γ_ij ^-1(I_ij-β_ij)mod p,C₁＝(T_1,ij,T_2,ij,t_ij')_{j＝1,2,…,t}， $C_2=H(K,C_1,m)\⊕r,$ $C_3=H^{\′}(K,C_1)\⊕m,$ 输出密文CT＝(C₁,C₂,C₃)；

解密算法输入用户私钥和密文CT，记I＝{x|I_ρ(x)∈ω},当CT中的属性满足中的策略时，首先计算系数θ_x∈Z_p，使得∑_x∈Iθ_xM_x＝(1,0,…,0)，然后计算：

$e(T_{1,\mathrm{\ρ}\left(x\right)}\·{T_{2,\mathrm{\ρ}\left(x\right)}}^{t_{\mathrm{\ρ}\left(x\right)}^{\′}},g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}})=e{(g,g)}^{r{M}_x\·u},\underset{x\∈I}{\mathrm{\Π}}e{(g,g)}^{r\·{\mathrm{\θ}}_x\·M_x\·u}=v^r=K,$

得到会话密钥K；否则，输出⊥，表示解密失败；然后，计算： $m=H^{\′}(K,C_1)\⊕C_3,$ $r^{\′}=H(K{,C}_1,m)\⊕C_2,$ K′＝e(g,g)^r′若K'＝K，输出m，否则解密失败。

6.一种单向性基于属性的在线/离线密钥封装机制，其特征是：包括以下步骤：

授权机构根据系统安全参数和属性类型个数初始化该基于属性的在线/离线加密系统，首先对每一类属性选择一个属性密钥，生成系统主密钥；然后，利用主密钥和系统公共参数生成系统属性公钥；

客户输入客户属性集合，授权机构根据客户属性集合授予相应的访问权利，生成与该访问权利对应的访问结构，针对访问结构对应的每一个属性，选择一随机数组，利用系统主密钥和该访问结构为其颁发相应的客户私钥；

密钥封装阶段分为离线密钥封装和在线密钥封装两个阶段：

首先利用计算能力强的计算设备定期执行离线密钥封装阶段，首先选择一个随机数r，计算会话密钥K；然后，若系统中共有n类属性，对每一类属性，选择两个随机数，对加密所需的复杂计算进行预处理，生成离线数据Γ，输出离线密文(Γ,K)；该离线密钥封装阶段是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)须相同；

然后，加密者利用轻量级设备执行在线密钥封装阶段，根据所需属性集合和当前最新的离线密文，对需要加密的消息执行少量简单运算得到消息对应密文；

密钥解封装算法根据客户私钥中的访问结构和密文中的属性集合，若密文中属性集合满足解密者私钥中的访问结构，首先计算访问机构对应的访问矩阵的系数，计算出密文中会话密钥K，否则解封装失败。

7.根据权利要求6所述的单向性基于属性的在线/离线密钥封装机制，其特征是：具体操作过程形式化描述如下：

Setup(λ,n)：初始化算法输入系统安全参数λ和属性类型个数n,首先，生成双线性映射e：和群的生成元g，令v＝e(g,g)；构造n个独立的SK-IBE^[24]子系统，Msk_i＝(a_i),输出该系统公钥和主密钥Msk＝(a₁,…,a_n)；

密钥生成算法输入主私钥Msk、访问结构其中，M是d×h矩阵,进行如下计算：1)选择随机数u₂,…,u_h∈Z_p ^*，令u＝(1,u₂,…,u_h)；2)对矩阵M的任一行M_x(x＝1,2,…,d)，有属性I_ρ(x)(I_ρ(x)为第ρ(x)类属性)与之相对应，计算该属性私钥为

$D_{\mathrm{\ρ}\left(x\right)}=g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}};$

输出用户私钥

KEM^off(Pub,r):离线密钥封装算法输入r∈Z_p ^*，计算会话密钥K＝e(g,g)^r；然后，对i＝1,2，…，n，随机选择β_i,γ_i∈Z_p ^*，计算： 输出会话密钥K和离线数据Γ＝(T_1,i,T_2,i,β_i,γ_i)_{i＝1,2,…,n}；

KEM^on(ω,Γ):在线密钥封装算法输入属性集ω＝(I_i1,I_i2,…,I_it)和离线数据Γ，计算：t_ij'＝γ_ij ^-1(I_ij-β_ij)mod p,输出密文CT＝(T_1,ij,T_2,ij,t_ij')_{j＝1,2,…,t}；

解封装算法输入用户私钥和密文CT，记I＝{x|I_ρ(x)∈ω}；当CT中的属性满足中的策略时，首先计算系数θ_x∈Z_p，使得Σ_x∈Iθ_xM_x＝(1,0,…,0)，然后计算：

$e(T_{1,\mathrm{\ρ}\left(x\right)}\·{T_{2,\mathrm{\ρ}\left(x\right)}}^{t_{\mathrm{\ρ}\left(x\right)}^{\′}},g^{\frac{M_x\·u}{a_{\mathrm{\ρ}\left(x\right)}+I_{\mathrm{\ρ}\left(x\right)}}})=e{(g,g)}^{r{M}_x\·u},\underset{x\∈I}{\mathrm{\Π}}e{(g,g)}^{r\·{\mathrm{\θ}}_x\·M_x\·u}=v^r=K,$

得到会话密钥K；否则，解封装失败。

8.一种将单向性基于属性的在线/离线密钥封装机制转化成选择密文安全的基于属性在线/离线加密的构造方法，其特征是：包括以下步骤：

授权机构执行与ABOOKEM中初始化系统相同的操作，此外，需增加两个哈希函数H,H',它们将任意字符串映射到合适的域上；

客户私钥生成过程与ABOOKEM的客户私钥生成过程相同；

离线加密阶段：选择一个随机数r，利用ABOOKEM的离线密钥封装过程计算出(Γ,K)，输出离线密文Δ＝(Γ,K,r)；该算法是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)须相同；

在线加密阶段：加密者首先执行ABOOKEM的在线密钥封装过程，根据所需属性集合和当前最新的离线密文，对需要加密的消息执行少量简单运算得到C₁，利用系统中选择的两个哈希函数计算 $C_2=H(K,C_1,m)\⊕r,$ $C_3=H^{\′}(K,C_1)\⊕m,$ 得到消息对应密文CT＝(C₁,C₂,C₃)；

解密者根据自己私钥中的访问结构和密文中的属性集合，若密文中属性集合满足解密者私钥中的访问结构，首先执行ABOOKEM的解封装过程，计算出密文中会话密钥K，然后计算消息m，利用该消息m、K、C₁和哈希函数H，计算出K'，若K'＝K，获得消息m，否则解密失败。

9.根据权利要求8所述的将单向性基于属性的在线/离线密钥封装机制转化成选择密文安全的基于属性在线/离线加密的构造方法，其特征是：具体操作过程形式化描述如下：

Setup(λ,n)：授权机构执行初始化算法与ABOOKEM相同，此外，需增加两个哈希函数H,H',它们将任意字符串映射到合适的域上；

与ABOOKEM相同；

Enc^off(Pub):离线加密算法随机选择r，计算(Γ,K)←KEM^off(Pub,r),输出离线密文Δ＝(Γ,K,r)；该算法是确定性算法，即当随机数r相同时，输出的二元组(Γ,K)必须相同；

Enc^on(m,ω,Δ):在线加密算法输入消息m、属性集ω＝(I_i1,I_i2,…,I_it)和离线密文Δ，计算：C_１＝KEM^on(Δ,ω), 输出密文CT＝(C₁,C₂,C₃)；

解密算法输入用户私钥和密文CT，记I＝{x|I_ρ(x)∈ω},当CT中的属性满足中的策略时，计算：K否则，输出⊥，表示解密失败；然后，计算： $m=$ $H^{\′}(K,C_1)\⊕C_3,$ $K^{\′}={\mathrm{KEM}}^{\mathrm{off}}(H(K,C_1,m)\⊕C_2),$ 若K'＝K，输出m，否则解密失败。