CN104580205A - 一种云计算中基于cp-abe的固定密文长度代理重加密系统和方法 - Google Patents

Abstract

本发明公开了一种云计算中基于CP-ABE的固定密文长度代理重加密方法，该方法解决了云计算环境下高效实现数据文件的安全访问与共享问题，该方法一方面引入代理重加密技术，对密文进行转换，使得授权人能解密的密文转变成被授权人能解密的密文，具体是指数据属主的文件加密上传到云代理服务器后，授权人不在的情况下，云代理服务器对加密过的文件进行重加密，当被授权人从云代理服务器上获取到重加密密文后，可以使用自己的私钥解密获得明文，保证了数据的安全访问与共享；另一方面密文加密，采用基于CP-ABE的固定密文长度算法，计算密文，使得方案中密文的长度是固定的，不会随着属性个数的增长而增长，从而能够有效地降低了计算开销。

Description

一种云计算中基于CP-ABE的固定密文长度代理重加密系统和方法

技术领域

本发明涉及一种云计算中基于CP-ABE的固定密文长度代理重加密系统和方法，属于云计算技术领域。

背景技术

云计算是一种动态易扩展的，通常是通过互联网提供虚拟化的资源计算方式。通过将计算和存储职责从本地转移到云中，云计算服务可为用户节省大量成本，具有广阔的应用前景，已成为下一代互联网技术应用的热点方向。由于云计算服务产生的大量数据通常处于用户不可控域中，安全性一直是企业实施云计算首要考虑的问题，安全技术已成为云计算服务的重要研究内容。目前很多云服务提供商(Cloud Service Provider,CSP)并不是完全可信的，它可能会不经用户允许，就将用户数据交予第三方，从而造成数据信息泄露。因此对于敏感数据，数据属主(Data Owner,DO)必须通过加密并控制用户的解密能力以实现访问控制，这一方法称为密文访问控制。密文访问控制技术是ABE加密方案中的一种技术，用来解决CSP在不可信场景下数据机密性问题的。ABE是指基于属性的加密，基于属性的加密方案分为两种，密钥策略的基于属性加密(Key-Policy ABE,KP-ABE)和密文策略的基于属性加密(Ciphertext-Policy ABE,CP-ABE)。在CP-ABE中，密钥跟属性集相关，密文跟访问策略相关。云计算中有大量需要进行密文转换的场景，若由不完全可信的CSP在云端进行解密又重加密处理，易产生用户数据泄露的风险，而代理重加密(Proxy Re-Encryption,PRE)方案能很好地解决这个问题，保证数据的安全访问与共享。

PRE是对密文进行转换的一种加密方案，该概念由Blaze等人在1998年的欧洲密码学年会上首次提出。PRE方案允许一个半可信的代理服务器(Proxy Servers,PS)将授权人(Delegator)Alice能解密的密文转换成用被授权人(Delegatee)Bob能解密的密文。同时，此PS对于该密文所对应的明文一无所知。PRE方案根据密文的转换次数，可分为单跳(Single-hop)和多跳(Multi-hop)，单跳指只允许密文被转换一次，多跳则可被转换多次。根据密文的转换方向，又分为双向(Bidirectional)和单向(Unidirectional)。双向指既允许PS将Alice能解密的密文转变成Bob能解密的密文，又允许将Bob能解密的密文转换成Alice能解密的密文。单向指只允许将Alice能解密的密文转换成Bob能解密的密文。PRE方案目前已在多个领域中得到了成功应用，如：云计算访问控制、加密电子邮件的转发、分布式的文件系统安全管理、垃圾邮件过滤等。云计算环境中，由CSP对密文进行重加密，可减轻DO的计算负担，并且在重加密过程中，不会得到敏感信息，保护了数据的安全性。但目前基于属性的重加密方案中，密文的长度都是和方案中的属性个数呈线性关系的。而本发明能够很好地解决上面的问题。

发明内容

本发明目的在于克服了云计算环境中基于CP-ABE的代理重加密方案中，其密文(包括原始密文和重加密密文)长度和属性个数呈线性关系的问题，提供了一种云计算中基于CP-ABE的固定密文长度代理重加密系统和方法，该系统使用代理重加密技术，保证了密文的安全转换，从而实现了数据的安全共享，另外，该系统又使用了基于CP-ABE的固定密文长度算法，使得密文(包括原始密文和重加密密文)的长度是固定的，独立的，不会随着属性个数的增长而增长，从而降低了计算开销，提高了方案的效率。

本发明解决其技术问题所采取的技术方案是：一种云计算中基于CP-ABE的固定密文长度代理重加密系统，该系统包括初始化模块、私钥生成模块、文件加密模块、重加密密钥生成模块、密文重加密模块、文件解密模块。

初始化模块：私钥生成中心生成公共参数和系统主密钥，公共参数公开，主密钥由私钥生成中心自行保存；

私钥生成模块：私钥生成中心为新加入系统的用户生成私钥，并通过安全信道分发给用户；

文件加密模块：数据文件所有者即属主对数据文件进行加密，方便今后授权人能安全访问以及共享该数据文件，得到加密后的数据文件，即原始密文，随后由属主自行上传至云代理服务器中；

重加密密钥生成模块：授权人生成重加密密钥，生成的重加密密钥由授权人传递给云代理服务器；

密文重加密模块：云代理服务器使用之前得到的重加密密钥对原始密文进行重加密，生成的重加密密文由云代理服务器传递给获取该密文的被授权用户；

文件解密模块：用户获得密文(包括原始密文和重加密密文)后，使用自己的私钥对密文进行解密，从而获得数据文件的原文。

具体的，所述的文件加密模块中使用的是基于CP-ABE的固定密文长度的加密算法；所述的CP-ABE是指基于密文策略的属性加密算法，该加密算法中，私钥关联属性集，密文关联访问策略。该方案中的访问策略是由属性集构成的与门；所述固定密文长度的算法是指密文长度以及加、解密的计算量都不会随着属性个数的增长而增长，即无论属性个数发生怎样的改变，加密后得到的密文的长度都是固定大小的。

具体的，所述的密文重加密模块中使用了代理重加密技术。代理重加密技术是对密文进行转换的一种加密技术，其中半可信的代理能把授权人A能解密的密文转换成被授权人B能解密的密文，在此过程中，代理对于密文所对应的数据文件的明文一无所知，从而保证了数据文件的安全，而这两个密文所对应的明文是一致的，保证了A和B之间对于数据文件的共享。所谓的半可信是指，只需要相信这个代理自始至终一定会按照方案的要求来转换密文。使用了代理重加密技术后，即使授权人A有事不能处理密文，也能由被授权人B来代替他完成密文的解密，从而及时处理数据文件。

具体的，所述的文件解密模块又分为原始密文解密模块和重加密密文解密模块。原始密文解密模块，由授权人从云代理服务器上获取到原始密文后，使用自己的私钥来解密，从而得到数据文件的原文；重加密密文解密，由被授权人从云代理服务器上获取到重加密密文后，使用自己的私钥来解密，从而得到数据文件的原文，代替授权人进行处理。

具体的，所述的代理重加密技术是单跳、单向的。根据代理重加密中密文的转换次数，代理重加密方案可以分为单跳和多跳的，单跳是指代理重加密方案只能允许密文被转换一次，即只能进行一次代理重加密；多跳是指密文可被转换多次。又根据密文的转换方向，代理重加密可分为双向和单向的，双向是指代理既可以将A能解密的密文转换成B能解密的密文，又可以将B能解密的密文转换成A能解密的密文；单向是指只允许将A能解密的密文转换成B能解密的密文。

本发明还提供了一种云计算中基于CP-ABE的固定密文长度代理重加密系统的实现方法，该方法包括如下步骤：

步骤1：私钥生成中心生成公共参数以及系统主密钥，公共参数公开，而系统主密钥由私钥生成中心保存，具体确定方法包括如下：

PK＝(e,g,g₁,Y,T₁,...,T_2n,T′₁,...,T′_2n,δ₁,δ₂,δ₃,H)  式1

其中PK代表公共参数，e表示一个双线性映射e:G×G→G_T，g,g₁,δ₁,δ₂,δ₃都是素p阶循环群G上的生成元，Y,T₁,...,T_2n,T′₁,...,T′_2n都是公共参数中的元素，并且Y＝e(g,g)^y,Y是素p阶循环群G_T上的元素，这里k∈{1,...,2n},H是一个无碰撞的哈希函数， $H:{\left\{\mathrm{0,1}\right\}}^{*}\→Z_p^{*};$

MK＝(y,t₁,...,t_2n)  式2

其中MK是主密钥，y,t₁,...,t_2n∈Z_p表示y,t₁,...,t_2n都是随机选择的整数；

初始化模块执行完毕后，继续执行步骤2；

步骤2：私钥生成中心将用户具备的属性集和主密钥作为输入，为用户生成私钥，并通过安全信道分发给用户，该私钥将在后面用于解密密文，

${\mathrm{SK}}_S=(S,\hat{D},\{D_i|i\∈N\},F)$   式3

其中S是属性集，都是构成私钥的组件，

$r={\mathrm{\Σ}}_{i=1}^n{r}_i,$ r_i,r′∈Z_p，

F＝g^r′，SK_S是关联属性集S的私钥。Ν＝{1,...,n}表示n个系统属性；

当用户想要上传数据文件到云代理服务器上，方便其他用户访问和共享时，转到文件加密模块，执行步骤3；

步骤3：数据文件所有者即属主根据需要采用相应的访问结构对数据文件进行加密，得到原始密文。访问结构由正负属性构成的与门组成，具体过程包括如下：

  式4

其中CT代表原始密文，W代表包含正属性和负属性的与门的访问结构，表示成这里每一个都可以表示成正属性i或者负属性 都是原始密文的组件，C＝m·Y^s，其中m代表明文，即数据文件，s∈Z_p，

U＝Π_i∈NC_i， $V={\left({\mathrm{\δ}}_1^c{\mathrm{\δ}}_2^t{\mathrm{\δ}}_3\right)}^s,$ t∈Z_p。

当授权人A需被授权人代替其处理数据文件时，转到重加密密钥生成模块，执行步骤4；

步骤4：A根据以下输入：A自己的私钥SK_S，属性集S、新的访问结构W′，自行生成重加密密钥，并发送给云代理服务器。具体的方法如下：

${\mathrm{RK}}_{S\→W^{\′}}=(S,W^{\′},{\hat{D}}^{\′},F^{\′},\{D_i^{\′}|i\∈N\},C^{\′\′})$   式5

其中RK_S→W′是重加密密钥，都是构成重加密密钥的组件；

C″是作为新的访问结构W′下g^d的密文。云代理服务器随机选择d∈Z_p，计算g^d。具体计算包括如下：

云代理服务器随机选择s′∈Z_p，并计算 U′＝Π_i∈NC′_i， $V^{\′}={\left({\mathrm{\δ}}_1^{{\mathrm{\η}}^{\′}}{\mathrm{\δ}}_2^{t^{\′}}{\mathrm{\δ}}_3\right)}^{s^{\′}},$ 其中t′∈Z_p，

和F′＝F·g¹ _d。

当B向云代理服务器获取相应的密文时，转到重加密模块，云代理服务器执行步骤5；

步骤5：云代理服务器根据步骤4中计算得到的重加密密钥RK_S→W′和属主存储在云代理服务器上的原始密文CT，云代理服务器计算得到重加密密文；具体的方法包括如下：

步骤5-1：云代理服务器首先检查属性集S是否满足访问结构W，即是否S|＝W，如果不满足，则输出⊥；否则，执行步骤5-2；

步骤5-2：重加密密钥验证：

  式6

通过获得的重加密密钥中的C″和已知的公共参数δ₁,δ₂,δ₃,g₁进行上述的线性对配对运算，若上述式6中的等式不成立，输出⊥；否则，表明该重加密密钥是正确的，包含有效的访问结构W′和属性集S的，执行步骤5-3；

步骤5-3：原始密文验证：

$e(g,V)=e(\hat{C},{\mathrm{\δ}}_1^{\mathrm{\η}}{\mathrm{\δ}}_2^t{\mathrm{\δ}}_3),$ $e(g,U)=e(\hat{C},\underset{i\∈N}{\mathrm{\Π}}{T}_i)$   式7

和步骤5-2中类似，通过获得的原始密文中的参数和已知的参数g,g₁,δ₁,δ₂,δ₃,{T_i|i∈Ν}，进行上述的线性对配对运算，若式7中的等式不成立，输出⊥；否则，表明原始密文具有一致性，继续进行重加密，执行步骤5-4；

步骤5-4：计算具体的重加密密文：

重加密密文

云代理服务器计算D′＝Π_i∈ND′_i，i∈Ν，

$\stackrel{\‾}{C}=e(\hat{C},{\hat{D}}^{\′})\·\frac{e(\hat{C},D^{\′})}{e(U,F^{\′})}=e{(g,g)}^{s\·y}\·e{(g,g_1)}^{s\·d}$   式8

其中是重加密密钥中的参数，是原始密文中的参数，通过上述式8的线性对配对运算，得到重加密密文中的参数再结合重加密密钥中的参数和原始密文中的参数，最终得到重加密密文；

当获得密文的用户解密密文时，转到文件解密模块，执行步骤6；

步骤6：这里分为原始密文解密和重加密密文解密，针对的分别是授权人A和被授权人B这两个不同的用户；

授权人A获得原始密文后，使用自己的私钥来解密密文，具体的方法包括如下：

步骤6-1：该阶段输入原始密文CT和私钥SK_S。A首先验证S是否满足W，即验证是否S|＝W，如果不满足，输出⊥；否则，执行步骤5-3中式7的验证；如果式7不成立，输出⊥；否则，原始密文具有一致性，执行步骤6-2；

步骤6-2：用户A继续用自己的私钥解密，只需要计算：

$e(\hat{C},\hat{D})\·\left(\frac{e(\hat{C},{\mathrm{\Π}}_{i\∈N}{D}_i)}{e(U,F)}\right)$   式9

$\begin{array}{c}=e(g^s,g^{y-r})\·\left(\frac{e(g^s,{\mathrm{\Π}}_{i\∈N}{g}^{r_i}{T}_i^{r^{\′}})}{e({\mathrm{\Π}}_{i=1}^n{C}_i,g^{r^{\′}})}\right)\\ =e(g^s,g^{y-r})\·\left(\frac{e(g^s,g^{{\mathrm{\Σ}}_{i=1}^n{r}_i}{g}^{r^{\′}\·{\mathrm{\Σ}}_{i=1}^n{t}_i})}{e(g^{s\·{\mathrm{\Σ}}_{i=1}^n{t}_i},g^{r^{\′}})}\right)\\ =e(g^s,g^{y-r})\·e(g^s,g^r)\\ =e{(g,g)}^{s\·y}\end{array}$

再计算m＝C/e(g,g)^s·y＝m·e(g,g)^s·y/e(g,g)^s·y＝m  式10

就能获得明文m；

被授权人B获得重加密密文后，使用自己的私钥来解密密文。具体的方法如下：

步骤6-3：首先B验证属性集S′是否满足访问结构W′，即验证是否S′|＝W′，如果不满足，输出⊥；否则执行步骤6-4；

步骤6-4：B用自己的私钥解密C″，从而恢复出g^d。然后执行步骤5-2中式6的验证，如果式6不成立，输出⊥；否则，执行步骤6-5；

步骤6-5：B如下进行计算：

  式11

获得明文m。

有益效果：

1、本发明引入代理重加密技术，对密文进行转换，使得授权人能解密的密文转变成被授权人能解密的密文，具体是指数据属主的文件加密上传到云代理服务器后，授权人A不在的情况下，云代理服务器对加密过的文件，即原始密文进行重加密，当被授权人B从云代理服务器上获取到重加密密文后，可以使用自己的私钥解密获得明文，这样一来保证了数据的安全访问与共享。

2、本发明在密文(包括原始密文和重加密密文)加密时，采用基于CP-ABE的固定密文长度的算法来计算密文，使得方案中密文(包括原始密文和重加密密文)的长度是固定的，不会随着属性个数的增长而增长，从而能够有效降低计算开销，使方案变得高效。

3、本发明结合了代理重加密技术和基于CP-ABE的固定密文算法的优越性，充分利用二者的优点，既保证了数据的安全访问与共享，又降低了计算开销，提高了效率。

附图说明

图1为本发明系统的各模块关系图。

图2为本发明密文重加密算法的具体实现流程图。

图3为本发明在云计算环境中实例的具体实现图。

具体实施方式

下面结合说明书附图对本发明创造作进一步的详细说明。

如图1所示，一种云计算中基于CP-ABE的固定密文长度代理重加密系统，该系统包括初始化模块、私钥生成模块、文件加密模块、重加密密钥生成模块、密文重加密模块、文件解密模块。

初始化模块：私钥生成中心生成公共参数和系统主密钥，公共参数公开，主密钥由私钥生成中心自行保存；

私钥生成模块：私钥生成中心为新加入系统的用户生成私钥，并通过安全信道分发给用户；

文件加密模块：数据文件所有者即属主对数据文件进行加密，使用户能安全访问该共享数据文件。加密后的原始密文，由属主自行上传至云代理服务器中；

重加密密钥生成模块：授权人生成重加密密钥，生成的重加密密钥由授权人传递给云代理服务器；

密文重加密模块：云代理服务器使用之前得到的重加密密钥对原始密文进行重加密，生成的重加密密文由云代理服务器传递给当前来获取该密文的被授权用户；

文件解密模块：用户获得密文(包括原始密文和重加密密文)后，使用自己的私钥对密文进行解密，从而获得数据文件的原文。

由于云计算环境中数据文件都处在不可控域中，数据文件的安全性需要通过一系列的处理得以保证，使用访问控制技术就显得尤为重要，基于CP-ABE是算法很好的保证了数据文件的安全性。另外，云计算环境中，随着云用户的不断增加，云代理服务器的负担也不断加重，降低云代理服务器的存储负担也是势在必行的，而固定密文长度的算法，可以保证加密后的数据文件的长度是一个固定值，不会随着属性个数的增长而增长，从而减轻了云代理服务器的存储负担。本发明结合固定密文长度的CP-ABE算法和代理重加密技术，从而实现数据文件在云计算环境中高效的安全访问与共享。

下面用一个实例来对本发明中的云计算中基于CP-ABE的固定密文长度代理重加密方案进行具体的阐述。

如图2所示，本发明还提供一种云计算中基于CP-ABE的固定密文长度代理重加密系统的实现方法，该方法包括如下步骤：

步骤1：私钥生成中心生成公共参数以及系统主密钥，公共参数公开，而系统主密钥由私钥生成中心保存。具体确定方法如下：

PK＝(e,g,g₁,Y,T₁,...,T_2n,T′₁,...,T′_2n,δ₁,δ₂,δ₃,H)  式1

其中PK代表公共参数，e表示一个双线性映射e:G×G→G_T，g,g₁,δ₁,δ₂,δ₃都是素p阶循环群G上的生成元，Y,T₁,...,T_2n,T′₁,...,T′_2n都是公共参数中的元素，并且Y＝e(g,g)^y,Y是素p阶循环群G_T上的元素，这里k∈{1,...,2n},H是一个无碰撞的哈希函数， $H:{\left\{\mathrm{0,1}\right\}}^{*}\→Z_p^{*}.$

MK＝(y,t₁,...,t_2n)  式2

其中MK是主密钥，y,t₁,...,t_2n∈Z_p表示y,t₁,...,t_2n都是随机选择的整数。

初始化模块执行完毕后，继续执行步骤2；

步骤2：私钥生成中心将用户具备的属性集和主密钥作为输入，为用户生成私钥，并通过安全信道分发给用户，该私钥将在后面用于解密密文，

${\mathrm{SK}}_S=(S,\hat{D},\{D_i|i\∈N\},F)$   式3

其中S是属性集，都是构成私钥的组件，

$r={\mathrm{\Σ}}_{i=1}^n{r}_i,$ r_i,r′∈Z_p，

F＝g^r′，SK_S是关联属性集S的私钥。Ν＝{1,...,n}表示n个系统属性。

当用户想要上传数据文件到云代理服务器上，方便其他用户访问和共享时，转到文件加密模块，执行步骤3；

步骤3：数据文件所有者即属主根据需要采用相应的访问结构对数据文件进行加密，得到原始密文。访问结构由正负属性构成的与门组成，具体过程如下：

  式4

其中CT代表原始密文，W代表包含正属性和负属性的与门的访问结构，表示成这里每一个都可以表示成正属性i或者负属性 都是原始密文的组件，C＝m·Y^s，其中m代表明文，即数据文件，s∈Z_p，

U＝Π_i∈NC_i， $V={\left({\mathrm{\δ}}_1^c{\mathrm{\δ}}_2^t{\mathrm{\δ}}_3\right)}^s,$ t∈Z_p。

当授权人A需被授权人代替其处理数据文件时，转到重加密密钥生成模块，执行步骤4；

步骤4：A根据以下输入：A自己的私钥SK_S，属性集S、新的访问结构W′，自行生成重加密密钥，并发送给云代理服务器。具体的方法如下：

${\mathrm{RK}}_{S\→W^{\′}}=(S,W^{\′},{\hat{D}}^{\′},F^{\′},\{D_i^{\′}|i\∈N\},C^{\′\′})$   式5

其中RK_S→W′是重加密密钥，都是构成重加密密钥的组件。

C″是作为新的访问结构W′下g^d的密文。云代理服务器随机选择d∈Z_p，计算g^d。具体计算如下：

云代理服务器随机选择s′∈Z_p，并计算 D′＝Π_i∈ND′_i，其中t′∈Z_p，

和F′＝F·g₁ ^d。

当B向云代理服务器获取相应的密文时，转到重加密模块，云代理服务器执行步骤5；

步骤5：云代理服务器根据步骤4中计算得到的重加密密钥RK_S→W′和属主存储在云代理服务器上的原始密文CT，云代理服务器计算得到重加密密文。具体的方法如下：

步骤5-1：云代理服务器首先检查属性集S是否满足访问结构W，即是否S|＝W，如果不满足，则输出⊥；否则，执行步骤5-2；

步骤5-2：重加密密钥验证：

  式6

通过获得的重加密密钥中的C″和已知的公共参数δ₁,δ₂,δ₃,g₁进行上述的线性对配对运算，若上述式6中的等式不成立，输出⊥；否则，表明该重加密密钥是正确的，包含有效的访问结构W′和属性集S的，执行步骤5-3；

步骤5-3：原始密文验证：

$e(g,V)=e(\hat{C},{\mathrm{\δ}}_1^{\mathrm{\η}}{\mathrm{\δ}}_2^t{\mathrm{\δ}}_3),$ $e(g,U)=e(\hat{C},\underset{i\∈N}{\mathrm{\Π}}{T}_i)$   式7

和步骤5-2中类似，通过获得的原始密文中的参数和已知的参数g,g₁,δ₁,δ₂,δ₃,{T_i|i∈Ν}，进行上述的线性对配对运算，若式7中的等式不成立，输出⊥；否则，表明原始密文具有一致性，可以继续进行重加密，执行步骤5-4；

步骤5-4：计算具体的重加密密文：

重加密密文

云代理服务器计算i∈Ν，

$\stackrel{\‾}{C}=e(\hat{C},{\hat{D}}^{\′})\·\frac{e(\hat{C},D^{\′})}{e(U,F^{\′})}=e{(g,g)}^{s\·y}\·e{(g,g_1)}^{s\·d}$   式8

其中是重加密密钥中的参数，是原始密文中的参数，通过上述式8的线性对配对运算，得到重加密密文中的参数C，再结合重加密密钥中的参数和原始密文中的参数，最终得到重加密密文。

当获得密文的用户解密密文时，转到文件解密模块，执行步骤6；

步骤6：这里分为原始密文解密和重加密密文解密，针对的分别是授权人A和被授权人B这两个不同的用户。

授权人A获得原始密文后，使用自己的私钥来解密密文。具体的方法如下：

步骤6-1：该阶段输入原始密文CT和私钥SK_S。A首先验证S是否满足W，即验证是否S|＝W，如果不满足，输出⊥；否则，执行步骤5-3中式7的验证。如果式7不成立，输出⊥；否则，原始密文具有一致性，执行步骤6-2；

步骤6-2：用户A继续用自己的私钥解密，只需要计算：

$e(\hat{C},\hat{D})\·\left(\frac{e(\hat{C},{\mathrm{\Π}}_{i\∈N}{D}_i)}{e(U,F)}\right)$   式9

$\begin{array}{c}=e(g^s,g^{y-r})\·\left(\frac{e(g^s,{\mathrm{\Π}}_{i\∈N}{g}^{r_i}{T}_i^{r^{\′}})}{e({\mathrm{\Π}}_{i=1}^n{C}_i,g^{r^{\′}})}\right)\\ =e(g^s,g^{y-r})\·\left(\frac{e(g^s,g^{{\mathrm{\Σ}}_{i=1}^n{r}_i}{g}^{r^{\′}\·{\mathrm{\Σ}}_{i=1}^n{t}_i})}{e(g^{s\·{\mathrm{\Σ}}_{i=1}^n{t}_i},g^{r^{\′}})}\right)\\ =e(g^s,g^{y-r})\·e(g^s,g^r)\\ =e{(g,g)}^{s\·y}\end{array}$

再计算m＝C/e(g,g)^s·y＝m·e(g,g)^s·y/e(g,g)^s·y＝m  式10

就能获得明文m。

被授权人B获得重加密密文后，使用自己的私钥来解密密文。具体的方法如下：

步骤6-3：首先B验证属性集S′是否满足访问结构W′，即验证是否S′|＝W′，如果不满足，输出⊥；否则执行步骤6-4；

步骤6-4：B用自己的私钥解密C″，从而恢复出g^d。然后执行步骤5-2中式6的验证，如果式6不成立，输出⊥；否则，执行步骤6-5；

步骤6-5：B如下进行计算：

  式11

获得明文m。

综上所述仅为本发明的优选实施方案，应当指出，对于本技术领域的普通技术人员，在不脱离本发明构思的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围内。

Claims (6)

1.一种云计算中基于CP-ABE的固定密文长度代理重加密系统，其特征在于，所述系统包括：初始化模块、私钥生成模块、文件加密模块、重加密密钥生成模块、密文重加密模块、文件解密模块；

初始化模块：私钥生成中心生成公共参数和系统主密钥，公共参数公开，主密钥由私钥生成中心自行保存；

私钥生成模块：私钥生成中心为新加入系统的用户生成私钥，并通过安全信道分发给用户；

文件加密模块：数据文件所有者即属主对数据文件进行加密，方便今后授权人能安全访问以及共享该数据文件，得到加密后的数据文件，即原始密文，随后由属主自行上传至云代理服务器中；

重加密密钥生成模块：授权人生成重加密密钥，生成的重加密密钥由授权人传递给云代理服务器；

密文重加密模块：云代理服务器使用之前得到的重加密密钥对原始密文进行重加密，生成的重加密密文由云代理服务器传递给来获取该密文的被授权用户；

文件解密模块：用户获得密文，即：包括原始密文和重加密密文后，使用自己的私钥对密文进行解密，从而获得数据文件的原文。

2.根据权利要求1所述的一种云计算中基于CP-ABE的固定密文长度代理重加密系统，其特征在于，所述的文件加密模块中使用的是基于CP-ABE的固定密文长度的加密算法；所述的CP-ABE是指基于密文策略的属性加密算法，该算法中私钥关联属性集，密文关联访问策略；访问策略是由属性集构成的与门；所述固定密文长度的算法是指密文长度以及加、解密的计算量都不会随着属性个数的增长而增长，即无论属性个数发生怎样的改变，加密后得到的密文的长度都是固定大小的。

3.根据权利要求1所述的一种云计算中基于CP-ABE的固定密文长度代理重加密系统，其特征在于，所述的密文重加密模块中使用了代理重加密技术；代理重加密技术是对密文进行转换的一种加密技术，其中半可信的代理能把授权人A能解密的密文转换成被授权人B能解密的密文，在此过程中，代理对于密文所对应的数据文件的明文一无所知，从而保证了数据文件的安全，而这两个密文所对应的明文是一致的，保证了A和B之间对于数据文件的共享；所谓的半可信是指，只需要相信这个代理自始至终一定会按照方案的要求来转换密文；使用了代理重加密技术后，即使授权人A有事不能处理密文，也能由被授权人B来代替他完成密文的解密，从而及时处理数据文件。

4.根据权利要求1所述的一种云计算中基于CP-ABE的固定密文长度代理重加密系统，其特征在于，所述的文件解密模块又分为原始密文解密模块和重加密密文解密模块；原始密文解密模块，由授权人从云代理服务器上获取到原始密文后，使用自己的私钥来解密，从而得到数据文件的原文；重加密密文解密，由被授权人从云代理服务器上获取到重加密密文后，使用自己的私钥来解密，从而得到数据文件的原文。

5.根据权利要求3所述的一种云计算中基于CP-ABE的固定密文长度代理重加密系统，其特征在于，所述的代理重加密技术是单跳、单向的；根据代理重加密中密文的转换次数，代理重加密方案可以分为单跳和多跳的，单跳是指代理重加密方案只能允许密文被转换一次，即只能进行一次代理重加密；多跳是指密文可被转换多次；又根据密文的转换方向，代理重加密可分为双向和单向的，双向是指代理既可以将A能解密的密文转换成B能解密的密文，又可以将B能解密的密文转换成A能解密的密文；单向是指只允许将A能解密的密文转换成B能解密的密文。

6.一种云计算中基于CP-ABE的固定密文长度代理重加密系统的实现方法，其特征在于，所述方法包括如下步骤：

步骤1：私钥生成中心生成公共参数以及系统主密钥，公共参数公开，而系统主密钥由私钥生成中心保存，具体确定方法包括如下：

PK＝(e,g,g₁,Y,T₁,...,T_2n,T₁′,...,T′_2n,δ₁,δ₂,δ₃,H)    式1

其中PK代表公共参数，e表示一个双线性映射e:G×G→G_T，g,g₁,δ₁,δ₂,δ₃都是素p阶循环群G上的生成元，Y,T₁,...,T_2n,T₁′,...,T′_2n都是公共参数中的元素，并且Y＝e(g,g)^y,Y是素p阶循环群G_T上的元素，这里k∈{1,...,2n},H是一个无碰撞的哈希函数， $H:{\left\{\mathrm{0,1}\right\}}^{*}\→Z_p^{*};$

MK＝(y,t₁,...,t_2n)    式2

其中MK是主密钥，y,t₁,...,t_2n∈Z_p表示y,t₁,...,t_2n都是随机选择的整数；

初始化模块执行完毕后，继续执行步骤2；

步骤2：私钥生成中心将用户具备的属性集和主密钥作为输入，为用户生成私钥，并通过安全信道分发给用户，该私钥将在后面用于解密密文，

${\mathrm{SK}}_S=(S,\hat{D},\{D_i|i\∈N\},F)$     式3

其中S是属性集，D_i,F都是构成私钥的组件，

F＝g^r′，SK_S是关联属性集S的私钥；Ν＝{1,...,n}表示n个系统属性；

当用户想要上传数据文件到云代理服务器上，方便其他用户访问和共享时，转到文件加密模块，执行步骤3；

步骤3：数据文件所有者即属主根据需要采用相应的访问结构对数据文件进行加密，得到原始密文，访问结构由正负属性构成的与门组成，具体过程包括如下：

    式4

其中CT代表原始密文，W代表包含正属性和负属性的与门的访问结构，表示成^_i∈Ν i，这里每一个i都可以表示成正属性i或者负属性，C,U,V,t都是原始密文的组件，C＝m·Y^s，其中m代表明文，即数据文件，s∈Z_p，

U＝Π_i∈ΝC_i， $V={({\mathrm{\δ}}_1^c,{\mathrm{\δ}}_2^t{\mathrm{\δ}}_3)}^s,$ t∈Z_p；

当授权人A需被授权人代替其处理数据文件时，转到重加密密钥生成模块，执行步骤4；

步骤4：A根据以下输入：A自己的私钥SK_S，属性集S、新的访问结构W′，自行生成重加密密钥，并发送给云代理服务器，具体的方法如下：

${\mathrm{RK}}_{S\→W^{\′}}=(S,W^{\′},{\hat{D}}^{\′},F^{\′},\{D_i^{\′}|i\∈N\},C^{\′\′})$     式5

其中RK_S→W′是重加密密钥，F′,D_i′,C″都是构成重加密密钥的组件；

C″是作为新的访问结构W′下g^d的密文，云代理服务器随机选择d∈Z_p，计算g^d，具体计算包括如下：

云代理服务器随机选择s′∈Z_p，并计算 U^′＝Π_i∈ΝC′_i， $V^{\′}={\left({\mathrm{\δ}}_1^{{\mathrm{\η}}^{\′}}{\mathrm{\δ}}_2^{t^{\′}}{\mathrm{\δ}}_3\right)}^{s^{\′}},$ 其中t′∈Z_p，

${\hat{D}}^{\′}=\hat{D}\·g_1^d,$ 和F′＝F·g₁ ^d，

当B向云代理服务器获取相应的密文时，转到重加密模块，云代理服务器执行步骤5；

步骤5：云代理服务器根据步骤4中计算得到的重加密密钥RK_S→W′和属主存储在云代理服务器上的原始密文CT，云代理服务器计算得到重加密密文；具体的方法包括如下：

步骤5-1：云代理服务器首先检查属性集S是否满足访问结构W，即是否S|＝W，如果不满足，则输出⊥；否则，执行步骤5-2；

步骤5-2：重加密密钥验证：

    式6

通过获得的重加密密钥中的C″和已知的公共参数δ₁,δ₂,δ₃,g₁进行上述的线性对配对运算，若上述式6中的等式不成立，输出⊥；否则，表明该重加密密钥是正确的，包含有效的访问结构W′和属性集S的，执行步骤5-3；

步骤5-3：原始密文验证：

    式7

和步骤5-2中类似，通过获得的原始密文中的参数V,t,W,C,U和已知的参数g,g₁,δ₁,δ₂,δ₃,{T_i|i∈Ν}，进行上述的线性对配对运算，若式7中的等式不成立，输出⊥；否则，表明原始密文具有一致性，继续进行重加密，执行步骤5-4；

步骤5-4：计算具体的重加密密文：

重加密密文

云代理服务器计算D′＝Π_i∈ΝD′_i，i∈Ν，

$\stackrel{\‾}{C}=e(\hat{C},{\hat{D}}^{\′})\·\frac{e(\hat{C},D^{\′})}{e(U,F^{\′})}=e{(g,g)}^{s\·y}\·e{(g,g_1)}^{s\·d}$     式8

其中F′,{D′_i|i∈Ν}是重加密密钥中的参数，U是原始密文中的参数，通过上述式8的线性对配对运算，得到重加密密文中的参数再结合重加密密钥中的参数和原始密文中的参数，最终得到重加密密文；

当获得密文的用户解密密文时，转到文件解密模块，执行步骤6；

步骤6：这里分为原始密文解密和重加密密文解密，针对的分别是授权人A和被授权人B这两个不同的用户；

授权人A获得原始密文后，使用自己的私钥来解密密文，具体的方法包括如下：

步骤6-1：该阶段输入原始密文CT和私钥SK_S，A首先验证S是否满足W，即验证是否S|＝W，如果不满足，输出⊥；否则，执行步骤5-3中式7的验证；如果式7不成立，输出⊥；否则，原始密文具有一致性，执行步骤6-2；

步骤6-2：用户A继续用自己的私钥解密，只需要计算：

$\begin{array}{c}e(\hat{C},\hat{D})\·\left(\frac{e(\hat{C},{\mathrm{\Π}}_{i\∈N}{D}_i)}{e(U,F)}\right)\\ =e(g^s,g^{y-r})\·\left(\frac{e(g^s,{\mathrm{\Π}}_{i\∈N}{g}^{r_i}{T_i}^{r^{\′}})}{e({\mathrm{\Π}}_{i=1}^n{C}_i,g^{r^{\′}})}\right)\\ =e(g^s,g^{y-r})\·\left(\frac{e(g^s,g^{{\mathrm{\Σ}}_{i=1}^n{r}_i}{g}^{r^{\′}{\mathrm{\Σ}}_{i=1}^n{t}_i})}{e(g^{s\·{\mathrm{\Σ}}_{i=1}^n{t}_i},g^{r^{\′}})}\right)\\ =e(g^s,g^{y-r})\·e(g^s,g^r)\\ =e{(g,g)}^{s\·y}\end{array}$     式9

再计算m＝C/e(g,g)^s·y＝m·e(g,g)^s·y/e(g,g)^s·y＝m    式10

就能获得明文m；

被授权人B获得重加密密文后，使用自己的私钥来解密密文，具体的方法如下：

步骤6-3：首先B验证属性集S′是否满足访问结构W′，即验证是否S′|＝W′，如果不满足，输出⊥；否则执行步骤6-4；

步骤6-4：B用自己的私钥解密C″，从而恢复出g^d，然后执行步骤5-2中式6的验证，如果式6不成立，输出⊥；否则，执行步骤6-5；

步骤6-5：B如下进行计算：

    式11

获得明文m。