CN104135495A - 具有隐私保护的无中央机构的密文政策的属性基加密方法 - Google Patents

Abstract

本发明公开了一种具有隐私保护的无中央机构的密文政策的属性基加密方法，包括初始化阶段，中央机构建立阶段，加密阶段，秘钥产生阶段和解密阶段。中央机构可以动态地加入或离开系统，而无需重新初始化系统或重新产生秘钥。在加密消息时，加密者可以为每一个中央机构选取一个访问控制结构，使得只有属性满足密文中所有访问控制结构的用户才能解密密文，得到明文。该方法不仅可以保护用户全域识别符和属性的隐私，而且可以实现灵活的访问控制结构。本发明是一种较强的具有隐私保护的无中央机构的属性基加密方法。

Description

具有隐私保护的无中央机构的密文政策的属性基加密方法

技术领域

本发明属于计算机安全领域，具体涉及一种具有隐私保护的无中央机构的密文政策的属性基加密方法。

背景技术

由于可以提供充分的存储空间和高效的管理服务，云存储技术正在被越来越多的用户所使用。然而，数据安全问题成为云存储中用户最为关注的问题之一。在实际应用中，对于某一机密数据，用户通常利用一些描述性的属性来说明访问该数据的所具备的条件。虽然传统的加密机制可以被用于保护数据的机密性，但不能表达灵活的访问控制结构。

由于可以表达灵活的访问控制结构，属性基加密机制自从被提出就受到广泛关注。在一个属性基加密机制中，用户的秘钥和密文都分别被绑定一组属性。一个用户可以解密密文，当且仅当其秘钥中的属性和密文中的属性相匹配。目前，属性基加密机制可以被分为两类：秘钥政策的属性基加密和密文政策的属性基加密。在秘钥政策的属性基加密方案中，秘钥被嵌入一个访问控制结构，而密文被绑定一组属性。在密文政策的属性基加密方案中，密文被嵌入一个访问控制结构，而秘钥被绑定一组属性。相比较而言，在密文政策的属性基加密方案中，加密者可以决定访问控制结构，从而更为灵活。

由于属性基加密方案需要一个中央机构来分发秘钥，所以用户必须完全相信该机构。然而，一个完全可信的机构在现实中很难找到。为了降低用户对某一中央机构的信任，多中央机构的属性基加密被提出。

考虑到用户隐私问题，具有隐私保护的多中央机构的属性基加密方案被提出。然而，现有的方案存在一些缺陷：一、多个中央机构需要联合才能初始化系统；二、中央机构不能动态地加入或离开系统；三、只考虑用户全域识别符的隐私问题，没有考虑用户属性的隐私问题。值得注意的是，一些敏感的属性同样可以泄露用户的身份信息。

发明内容

本发明的目的是提供一种具有隐私保护的无中央机构的密文政策的属性基加密方法。该方法不仅可以保护用户全域识别符和属性的隐私，而且可以实现灵活的访问控制结构。

本发明的目的通过以下技术方案实现：

一种具有隐私保护的无中央机构的密文政策的属性基加密方法，其特征在于该方法包括以下步骤：

(1)初始化阶段：假设系统中有N个中央机构{A₁,A₂,…A_N}，根据中央机构的个数和安全参数生成系统公共参数：params；

(2)中央机构建立阶段：各中央机构A_i独立地产生其公钥和私钥对：

KG(1^k)→(SK_i,PK_i)；

(3)加密阶段：加密一个消息M，加密者首先确定一个由中央机构的下标构成的集合I；对于i∈I，加密者为该中央机构A_i选择一个访问控制结构

(M_i,ρ_i)；最后，加密者加密消息为

CT＝Encrypt(params,M,((M_i,p_i),PK_i)_i∈I)；

(4)秘钥产生阶段：假设一个用户U具有全域识别符GID和一组属性中央机构A_i拥有私钥SK_i；U与A_i执行两方安全计算，得到相应的秘钥

$\mathrm{PPKeyGen}\left((\mathrm{params},\mathrm{GID},\stackrel{\‾}{U}){\↔A}_i(\mathrm{params},{\mathrm{SK}}_U^i)\right)\→({\mathrm{SK}}_U^i,\mathrm{empty});$

(5)解密阶段：如果用户U的属性满足密文中所有的访问控制结构，则U可以利用全域识别符GID和私钥解密密文，得到明文

$M=\mathrm{Decrypy}(\mathrm{params},\mathrm{GID},{\left({\mathrm{SK}}_U^i\right)}_{i\∈I}).$

本发明的所述步骤(4)中，为了抵抗合谋攻击，用户从各个中央机构处获得的秘钥必须与其全域识别符GID绑定。用户可以从中央机构处获得相应的秘钥，而中央机构却得不到关于用户全域识别符和属性的任何消息。

本发明中，中央机构可以动态地加入或离开系统，而无需重新初始化系统或重新产生秘钥。在加密消息时，加密者可以为每一个中央机构选取一个访问控制结构，使得只有属性满足密文中所有访问控制结构的用户才能解密密文，得到明文。中央机构根据用户的识别符及其属性，为其分发相应的秘钥。考虑到用户识别符和属性可能会被收集、盗用，用户的秘钥是通过用户和中央机构执行安全两方计算得到。所以，用户可以从多个中央机构处获得相应的秘钥，而中央机构则得不到关于用户识别符及其属性的任何信息。相比较而言，现有的具有隐私保护的属性基加密系统只能保护用户的识别符，而没有考虑属性隐私问题。

与现有技术相比，本发明是一种较强的具有隐私保护的无中央机构的属性基加密方法，本发明具有如下优点：

1、不仅考虑用户全域识别符的隐私，而且考虑用户属性的隐私；

2、多个中央机构可以独立工作，不需任何交互；

3、可以实现任何单调二元范式(monotone boolean formula)的访问控制结构。

附图说明

图1为本发明的流程框架图。

具体实施方式

以下结合附图对本发明做进一步说明。

一种具有隐私保护的无中央机构的密文政策的属性基加密方法，该方法包括以下5个阶段：

(1)初始化阶段：假设系统中有N个中央机构{A₁,A₂,…,A_N}。对于i∈{1,2,…,N}，每个中央机构A_i管理一组属性应用双线性群产生算法GG(1^k)→(e,p,G,G_τ)。假设g，η和h为循环群G的生成元。系统的公共参数为params＝(e,p,g,h,η,G,G_τ)。其中，p为一个素数，Z_p为模p构成的有限域，a_i,j∈Z_p。算法GG(1^k)输入一个安全参数1^k，输出一个阶数为p的双线性群(e,G,G_τ)满足e:G×G→G_τ。

(2)中央机构建立阶段：对于i∈{1,2,…,N}，中央机构A_i计算 $H_i=e{(g,g)}^{{\mathrm{\α}}_i},A_i=g^{x_i},B_i={\mathrm{\η}}^{{\mathrm{\β}}_i},{\mathrm{\Γ}}_i^1_o=g^{{\mathrm{\γ}}_i},{\mathrm{\Γ}}_i^2=h^{{\mathrm{\γ}}_i}.$ 对于 $a_{i,j}\∈{\stackrel{\‾}{A}}_i,$ A_i计算 $Z_{i,j}=g^{Z_{i,j}}$ 和 $T_{i,j}=h^{Z_{i,j}}{g}^{\frac{1}{{\mathrm{\γ}}_i+a_{i,j}}}.$ 中央机构A_i的公钥和私钥分别为： ${\mathrm{PK}}_i=\{H_i,A_i,B_i,({\mathrm{\Γ}}_i^1,{\mathrm{\Γ}}_i^2),{(T_{i,j},Z_{i,j})}_{a_{i,j}\∈{\stackrel{\‾}{A}}_i}_o\}$ 和 ${\mathrm{SK}}_i=\{{\mathrm{\α}}_i,{\mathrm{\β}}_i,{\mathrm{\γ}}_i,{\left(z_{i,j}\right)}_{a_{i,j}\∈{\stackrel{\‾}{A}}_i}\}.$

其中α_i,β_i,γ_i,z_i,j由A_i从Z_p中均匀随机选取。

(3)加密阶段：假设消息M∈G_τ，I是由中央机构下标构成的集合。对于j∈I，加密者为中央机构A_i选择一个访问控制结构(M_j,ρ_j)和一个向量 ${\stackrel{\→}{v}}_j=\{s_j,v_{j,2},...,v_{j,n_j}\}.$ 然后，计算

${\mathrm{\λ}}_{j,i}=M_j^i{\stackrel{\→}{v}}_j,C_0=M\underset{j\∈I}{\mathrm{\Π}}e{(g,g)}^{{\mathrm{\α}}_i{s}_j},{\{X_j=g^{s_j},Y_j={\mathrm{\η}}^{s_j},E_j={B_j}^{s_j}\}}_{j\∈I},$

${((C_{j,1}=g^{x_j{\mathrm{\λ}}_{j,1}}{Z}_{{\mathrm{\ρ}}_j\left(1\right)}^{-r_{j,1}},D_{j,1}=g^{r_{j,1}}),...,(C_{{j,l}_j}=g^{x_j{\mathrm{\λ}}_{{j,l}_j}}{Z}_{{\mathrm{\ρ}}_j\left(1\right)}^{-r_{{j,l}_j}},D_{j,1}=g^{r_{{j,l}_j}}))}_{j\∈I}.$

密文为 $\mathrm{CT}=(C_0,{(X_j,Y_j,E_j,(C_{j,1},D_{j,1}),...,(C_{{j,l}_j},D_{{j,l}_j}))}_{j\∈I}).$

其中，M_j为Z_p上一个l_j×n_j矩阵，ρ_j:{1,2,…,l_j}→Z_p为一个映射，由加密者从Z_p中均匀随机选取。

(4)秘钥产生阶段：假设一个用户U具有全域识别符μ和一组属性U计算 ${\mathrm{\Θ}}_1={\stackrel{o}{A}}_i^{d_1},{\mathrm{\Θ}}_2=g^{d_u},{\mathrm{\Θ}}_3=h^{k_1}{\mathrm{\η}}^{\mathrm{\μ}},{\mathrm{\Θ}}_4={\mathrm{\Θ}}_3^{k_2},{\mathrm{\Θ}}_5=B_i^{k_2},{\mathrm{\Θ}}_6={\mathrm{\η}}^{\frac{1}{k_2}},$ ${({\mathrm{\Ψ}}_x^1=T_x^{d_u},{\mathrm{\Ψ}}_x^2=Z_x^{d_u})}_{a_x\∈\stackrel{\‾}{U}\∩{\stackrel{\‾}{A}}_I}.$ 用户U向中央机构A_i发送 并且零知识证明

其中，k₁,k₂,d₁,d₂由用户U从Z_p中均匀随机选取，d_u＝d₁d₂，表示属于用户U的属性和中央机构A_i管理的属性的交集中的属性，PoK表示知识的零知识证明协议。

如果零知识证明协议Σ_U是正确的，中央机构A_i计算 ${\mathrm{\γ}}_3=h^{c_u},{\mathrm{\γ}}_4=h^{\frac{1}{c_u}},{\mathrm{\γ}}_5=g^{e_u},K_i^{,}=g^{{\mathrm{\α}}_i}{\mathrm{\Θ}}_1^{e_u}{\mathrm{\Θ}}_6^{c_u}{\left({\mathrm{\Θ}}_4{\mathrm{\Θ}}_5\right)}^{\frac{1}{c_u}},{({\mathrm{\Ψ}}_x={\left({\mathrm{\Ψ}}_x^2\right)}^{e_u})}_{a_x\∈\stackrel{\‾}{U}\∩{\stackrel{\‾}{A}}_i}.$ 中央机构A_i向用户U发送并且零知识证明 其中，c_u,e_u由中央机构A_i从Z_p中均匀随机选取，PoK表示知识的零知识证明协议。

如果零知识证明协议是正确的，用户U计算 $L_i={\mathrm{\γ}}_1^{\frac{1}{k_2}},R_i={\mathrm{\γ}}_2^{k_2},R_i^{,}={\mathrm{\γ}}_4^{k_2}$ 和 ${(F_x={\mathrm{\Ψ}}_x^{\frac{1}{d_2}})}_{a_x\∈\stackrel{\‾}{U}\∩{\stackrel{\‾}{A}}_i}.$ 用户U从中央机构A_i处获得的秘钥为 ${\mathrm{SK}}_U^i=(K_i,P_i,L_i,R_i,R_i^{,},{\left(F_x\right)}_{a_x\∈\stackrel{\‾}{U}\∩{\stackrel{\‾}{A}}_i}).$

(5)解密阶段：解密 $\mathrm{CT}=(C_0,{(X_j,Y_j,E_j,(C_{j,1},D_{j,1}),...,(C_{{j,l}_j},D_{{j,l}_j}))}_{j\∈I}),$ 用户U计算 $M=\frac{C_0\underset{i\∈I}{\mathrm{\Π}}e{(L_i,X_i)e(R_i,E_i)e{(R_i,Y_i)}^{\mathrm{\μ}}\underset{i\∈I}{\mathrm{\Π}}\underset{j=1}{\overset{l_j}{\mathrm{\Π}}}\left(e(C_{i,j},P_i)e(D_{i,j},F_{{\mathrm{\ρ}}_i\left(j\right)})\right)}^{{\mathrm{\ω}}_{i,j}}}{\underset{i\∈I}{\mathrm{\Π}}e(K_i,X_i)}.$

其中是由s_j根据访问控制结构(M_i,ρ_i)产生的秘密值，是一组使得 $\underset{i=1}{\overset{l_i}{\mathrm{\Σ}}}{\mathrm{\ω}}_{j,i}{\mathrm{\λ}}_{j,i}=s_j$ 成立的Z_p的数。

本发明不仅考虑用户全域识别符的隐私，而且考虑用户属性的隐私；多个中央机构可以独立工作，不需任何交互；可以实现灵活的访问控制结构。

Claims (3)

1.一种具有隐私保护的无中央机构的密文政策的属性基加密方法，其特征在于该方法包括以下步骤：

(1)初始化阶段：假设系统中有N个中央机构{A₁,A₂,…A_N}，根据中央机构的个数和安全参数生成系统公共参数：params；

(2)中央机构建立阶段：各中央机构A_i独立地产生其公钥和私钥对：

KG(1^k)→(SK_i,PK_i)；

(3)加密阶段：加密一个消息M，加密者首先确定一个由中央机构的下标构成的集合I；对于i∈I，加密者为该中央机构A_i选择一个访问控制结构(M_i,ρ_i)；最后，加密者加密消息为

CT＝Encrypt(params,M,((M_i,p_i),PK_i)_i∈I)；

(4)秘钥产生阶段：假设一个用户U具有全域识别符GID和一组属性中央机构A_i拥有私钥SK_i；U与A_i执行两方安全计算，得到相应的秘钥

$\mathrm{PPKeyGen}\left((\mathrm{params},\mathrm{GID},\stackrel{\‾}{U}){\↔A}_i(\mathrm{params},{\mathrm{SK}}_U^i)\right)\→({\mathrm{SK}}_U^i,\mathrm{empty});$

(5)解密阶段：如果用户U的属性满足密文中所有的访问控制结构，则U可以利用全域识别符GID和私钥解密密文，得到明文

$M=\mathrm{Decrypy}(\mathrm{params},\mathrm{GID},{\left({\mathrm{SK}}_U^i\right)}_{i\∈I}).$

2.根据权利要求1所述的具有隐私保护的无中央机构的密文政策的属性基加密方法，其特征在于：所述步骤(4)中，为了抵抗合谋攻击，用户从各个中央机构处获得的秘钥必须与其全域识别符GID绑定。

3.根据权利要求1所述的具有隐私保护的无中央机构的密文政策的属性基加密方法，其特征在于：步骤(4)中，用户从中央机构处获得相应的秘钥，而中央机构却得不到关于用户全域识别符和属性的任何消息。