CN105007270A - 格上多权威的密钥策略基于属性的加密方法 - Google Patents

Abstract

本发明公开了一种格上多权威的密钥策略基于属性的加密方法，首先系统建立，其次密钥生成，然后消息加密，最后消息解密，使用一个中心权威和多个分管不同属性的权威组成系统的密钥管理中心，共同为每个用户颁发密钥，提高了属性加密的实用性，并且证明了方案的安全性，并且方案的效率是随着参与加解密的属性个数决定的，而不是决定于系统中参与加解密的属性上界，本发明解决了现有技术中存在的加密方法不能实现不同机构协作且工作量低的问题。

Description

格上多权威的密钥策略基于属性的加密方法

技术领域

本发明属于信息安全技术领域，具体涉及一种格上多权威的密钥策略基于属性的加密方法。

背景技术

基于属性的加密是一个较新的研究方向，与传统的密码学相比，属性加密提供了更加灵活的加解密关系。从以往的一对一加密模式扩展到了一对多模式。并且基于属性的加密实现了对用户访问控制的功能：1.可以有效防止非法用户访问受保护的网络资源；2.允许合法用户访问受保护的网络资源；3.防止合法用户对受保护的网络资源进行非授权访问。系统中的服务器只对加密后的资源进行管理，而不能真正访问数据，保证用户数据的安全和隐私。这使得属性加密得到了快速的发展，在付费电视系统，定向广播加密等领域有着良好的应用前景。特别是最近几年，随着云计算技术的发展和日益普及，越来越多的企业和个人将自身的数据外包给云服务商。为保护用户数据的安全性和隐私，属性加密提供了很好的解决途径。

目前基于属性的加密大致可以分为两类：第一类是从属性加密出现(2005年)到现在一直沿用的基于椭圆曲线的双线性群设计的属性加密系统，这一类的属性加密系统已经从方案的实用性，效率性等方面都有了很多的突破。但是由于这一类系统在解密计算中往往涉及到双线性对的计算，双线性对计算在实现效率方面要远低于其他运算(如线性运算)。并且随着量子计算机的出现，基于双线性对技术的属性加密的安全性也受到了威胁。因此应用产生了第二类的属性加密方案，那就是利用目前可以抵抗量子计算机的格密码原语来设计属性加密方案。

格密码被认为是可以抵抗量子计算机攻击的一种密码机制，至今不存在可行的量子计算机算法能够破解格上的困难问题。同时，格上的运算简单，计算量小，与传统公钥密码机制相比实现效率高。因此构造基于格的属性加密方案也是近年来的热点。

发明内容

本发明的目的是提供一种格上多权威的密钥策略基于属性的加密方法，解决了现有技术中存在的加密方法不能实现不同机构协作且工作量低的问题。

本发明所采用的技术方案是，格上多权威的密钥策略基于属性的加密方法，具体按照以下步骤实施：

步骤1、系统建立；

步骤2、密钥生成；

步骤3、消息加密；

步骤4、消息解密。

本发明的特点还在于，

步骤1具体按照以下步骤实施：

步骤(1.1)、给定安全参数λ，设属性上界l，属性集记为[l]＝{1,2,…l}；

步骤(1.2)、中心属性权威CA选择一个秩为n，维数为m>2n log q的格，其中q>2是一个素数；

步骤(1.3)、中心属性权威CA选择均匀随机向量

步骤(1.4)、中心属性权威CA公开全局公共参数GP＝{l,q,n,m,s}；

步骤(1.5)、对于每一个属性i(i∈[l])，属性i的权威利用陷门生成算法TrapGen(1^λ)生成n×m维的矩阵A_i∈Z^n×m以及随机均匀满秩的m维矩阵使得以及最后公开A_i∈Z^n×m作为属性i的公钥，保存作为属性i的私钥；

步骤(1.6)、中心权威CA公开Apk＝({A_i}_i∈[l])作为系统的公钥。

步骤2具体按照以下步骤实施：

步骤(2.1)、首先输入公共参数GP、系统公钥Apk＝({A_i}_i∈[l])以及访问策略policy，中心权威CA利用线性秘密共享技术(LSSS)，将访问策略policy转换成对应的线性秘密共享矩阵L∈Z^l×θ，指派线性秘密共享矩阵L的第i行对应属性i∈[l]，这里的属性是指二元属性，列j∈[1,θ]是从1到θ的数，其中θ≤l是policy的函数，对于二元属性列表当且仅当Attrib′中属性对应的矩阵L的行所张成的行向量空间中包含向量[1,0,…0]∈Z^θ时，二元属性列表满足该访问策略L；

步骤(2.2)、中心权威CA随机选择向量使得u₁＝(s₁,u₁₂,u₁₃,…u_1θ)^T；u₂＝(s₂,u₂₂,…,u_2θ)^T…；u_l＝(s_l,u_l2,…,u_lθ)^T，其中s₁,s₂,…s_l∈Z_q是的对应分量，u_i,j∈Z_q(i＝1,…l；j＝1,2,…,θ)是随机选择的，其中包含在公共参数GP＝{l,q,n,m,s}中；

步骤(2.3)、中心权威CA计算线性秘密共享矩阵L与向量u_i的乘积，令i＝1,…l.，其中L是访问结构policy的线性秘密共享生成矩阵；

步骤(2.4)、中心权威CA发送给拥有属性i的权威，其中i＝1,…l.；

步骤(2.5)、拥有属性i的权威使用私钥通过原像抽样算法抽取密钥使得其中j＝1,…,l，

步骤(2.6)、属性i关于访问线性秘密共享矩阵L的解密密钥为由上述步骤(2.5)知根据原像抽样算法得到的的概率分布统计接近于分布且以压倒性概率使得成立。

步骤3具体按照以下步骤实施：

步骤(3.1)、输入属性公钥、属性列表以及消息比特Msg∈{0,1}，随机均匀选择向量

步骤(3.2)、根据高斯噪声参数分布随机选择低范数的高斯噪声标量χ₀∈Z_q，对于每一个属性Attrib_i∈Attrib根据参数分布随机选择各分量间独立同分布的高斯噪声向量

步骤(3.3)、根据属性列表Attrib构造向量设置向量f的第i个分量为s_i，这里(1≤i≤l)，其中s_i对应公共参数GP中s＝(s₁,s₂,…,s_l)^T的第i个分量s_i，如果属性i包含在属性列表中，即i∈Attrib，当属性i不被包含在属性列表即时，设置向量f的第i个分量为0，并且设置向量f的第i个分量为0，这里(l+1≤i≤n)；

步骤(3.4)、根据属性列表加密消息比特Msg∈{0,1}得

步骤(3.5)、最终输出密文为C＝(C₀,C_i),

步骤4具体按照以下步骤实施：

步骤(4.1)、输入密文C＝(C₀,C_i)，属性公钥Apk以及一组属性在访问策略policy下解密密钥usk，要求该组属性属于且满足访问策略policy；

步骤(4.2)、找到向量g＝(g₁,…,g_l)^T∈{0,1}^l使得

g^T·L＝(1,0,…,0)；即找到线性秘密共享矩阵L行的线性组合张成向量(1,0,…,0)，其中属性列表Attrib满足policy；

步骤(4.3)、令usk＝{usk_i,i∈[l]∧i∈Attrib∧g_i≠0}，其中是属性i的在访问策略policy下解密密钥；

步骤(4.4)、计算如果g_j＝0，那么

步骤(4.5)、输出消息比特，如果则输出0，否则输出1。

本发明的有益效果是，格上多权威的密钥策略基于属性的加密方法，使用一个中心权威和多个分管不同属性的权威组成系统的密钥管理中心，共同为每个用户颁发密钥，提高了属性加密的实用性，并且证明了方案的安全性，并且方案的效率是随着参与加解密的属性个数决定的，而不是决定于系统中参与加解密的属性上界。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

本发明格上多权威的密钥策略基于属性的加密方法，具体按照以下步骤实施：

步骤1、系统建立：

具体按照以下步骤实施：

步骤(1.1)、给定安全参数λ，设属性上界l，属性集记为[l]＝{1,2,…l}；

步骤(1.2)、中心属性权威CA选择一个秩为n，维数为m>2n log q的格，其中q>2是一个素数；

步骤(1.3)、中心属性权威CA选择均匀随机向量

步骤(1.4)、中心属性权威CA公开全局公共参数GP＝{l,q,n,m,s}；

步骤(1.5)、对于每一个属性i(i∈[l])，属性i的权威利用陷门生成算法TrapGen(1^λ)生成n×m维的矩阵A_i∈Z^n×m以及随机均匀满秩的m维矩阵使得以及最后公开A_i∈Z^n×m作为属性i的公钥，保存作为属性i的私钥；

步骤(1.6)、中心权威CA公开Apk＝({A_i}_i∈[l])作为系统的公钥。

步骤2、密钥生成：

具体按照以下步骤实施：

步骤(2.1)、首先输入公共参数GP、系统公钥Apk＝({A_i}_i∈[l])以及访问策略policy，中心权威CA利用线性秘密共享技术(LSSS)，将访问策略policy转换成对应的线性秘密共享矩阵L∈Z^l×θ，指派线性秘密共享矩阵L的第i行对应属性i∈[l]，这里的属性是指二元属性，列j∈[1,θ]是从1到θ的数，其中θ≤l是policy的函数。对于二元属性列表当且仅当Attrib′中属性对应的矩阵L的行所张成的行向量空间中包含向量[1,0,…0]∈Z^θ时，二元属性列表满足该访问策略L；

步骤(2.2)、中心权威CA随机选择向量使得u₁＝(s₁,u₁₂,u₁₃,…u_1θ)^T；u₂＝(s₂,u₂₂,…,u_2θ)^T…；u_l＝(s_l,u_l2,…,u_lθ)^T，其中s₁,s₂,…s_l∈Z_q是的对应分量，u_i,j∈Z_q(i＝1,…l；j＝1,2,…,θ)是随机选择的，其中包含在公共参数GP＝{l,q,n,m,s}中；

步骤(2.3)、中心权威CA计算线性秘密共享矩阵L与向量u_i的乘积，令i＝1,…l.，其中L是访问结构policy的线性秘密共享生成矩阵；

步骤(2.4)、中心权威CA发送给拥有属性i的权威，其中i＝1,…l.；

步骤(2.5)、拥有属性i的权威使用私钥通过原像抽样算法抽取密钥使得其中j＝1,…,l，

步骤(2.6)、属性i关于访问线性秘密共享矩阵L的解密密钥为由上述步骤(2.5)知根据原像抽样算法得到的的概率分布统计接近于分布且以压倒性概率使得成立。

步骤3、消息加密：

具体按照以下步骤实施：

步骤(3.1)、输入属性公钥、属性列表以及消息比特Msg∈{0,1}，随机均匀选择向量

步骤(3.2)、根据高斯噪声参数分布随机选择低范数的高斯噪声标量χ₀∈Z_q，对于每一个属性Attrib_i∈Attrib根据参数分布随机选择各分量间独立同分布的高斯噪声向量

步骤(3.3)、根据属性列表Attrib构造向量设置向量f的第i个分量为s_i，这里(1≤i≤l)，其中s_i对应公共参数GP中s＝(s₁,s₂,…,s_l)^T的第i个分量s_i，如果属性i包含在属性列表中，即i∈Attrib；当属性i不被包含在属性列表即时，设置向量f的第i个分量为0；并且设置向量f的第i(l+1≤i≤n)个分量为0，这里(l+1≤i≤n)；

步骤(3.4)、根据属性列表加密消息比特Msg∈{0,1}得

步骤(3.5)、最终输出密文为C＝(C₀,C_i),

步骤4、消息解密：

具体按照以下步骤实施：

步骤(4.1)、输入密文C＝(C₀,C_i)，属性公钥Apk以及一组属性在访问策略policy下解密密钥usk，要求该组属性属于且满足访问策略policy；

步骤(4.2)、找到向量g＝(g₁,…,g_l)^T∈{0,1}^l使得

g^T·L＝(1,0,…,0)；即找到线性秘密共享矩阵L行的线性组合张成向量(1,0,…,0)，其中属性列表Attrib满足policy；

步骤(4.3)、令usk＝{usk_i,i∈[l]∧i∈Attrib∧g_i≠0}，其中是属性i的在访问策略policy下解密密钥；

步骤(4.4)、计算如果g_j＝0，那么

步骤(4.5)、输出消息比特，如果则输出0，否则输出1。

下面证明本发明格上多权威的密钥策略基于属性的加密方法的正确性与安全性：

(1)正确性证明：

证明：如果解密者可以计算并且知道解密密钥集合usk＝{usk_j,j∈[l]∧j∈Attrib}则解密者计算：

上述证明中使用到了事实上，因为gL＝(1,0,…,0),u_i＝(s_i,u_i2,…,u_iθ)^T那么有

gLu_i＝(gL)u_i＝(1,0,…0)(s_i,u_i2,…)＝s_i

因此

这里向量f是根据属性列表Attrib构造的，因此，我们可以通过设置合适的参数使得以压倒性概率有

参数的设置：选取合适的参数来保证解密可以以很高的概率成功，并且保证本发明的安全性规约是有意义的，本申请中安全参数是λ，并且给定了属性个数的上界为l，其他的参数的选择遵循以下的规则：

a、对于困难性LWE(learn with error)假设，需要设

b、对于由Alwen和Peikert两个学者提出的格上陷门生成算法TrapGen，要求m≥5n log q；

c、对于SampleGaussian(Λ,B,σ,c)，有

d、为了保证正确性成立，需要保证方程成立，由于根据相关定理，有

因此只要不等式成立，本发明就是正确的，因此假设δ是一个实数使得n^1+δ>n log q，并按如下要求设置n,m,σ,q,α。

1.格的维数n＝λ，属性上界l＝n^ε对于某个实数ε∈(0,1)；

2.m＝n^1.5≥5n log q；

3.σ＝m·ω(log m)；

4.噪声参数

5.模数q是一个素数并且满足

(2)安全性证明：

如果存在一个概率多项式时间的算法A在选择属性列表攻击下以优势ε>0攻破上述方案，那么就存在概率多项式时间算法B以优势ε判定问题，其中，α＝O(poly(n))，

证明：在LWE问题中，给定挑战者B一个预言机O的访问权，其中这个预言机可能是嵌入密钥的伪随机预言机O_x，也可能是完全随机预言机O_$，挑战者B是通过利用假如敌手A以不可忽略的概率攻破本申请的方案，来构造算法以一个不可忽略的概率来解决判定性LWE问题，具体的算法规约过程如下：

实例：假设挑战者B随机选择(lm+1)个向量并访问预言机O获得(lm+1)个LWE预言机样本并标记如下：

目标：敌手A宣布想要攻击的目标属性列表，记为Attrib^*，即想要挑战的目标，

设置：B构造公开属性公钥Apk如下：

1向量是从索引为0的抽样中得到，即令s＝w₀；

2对于每一个i∈[l]并且使得属性i∈Attrib^*的对应公钥矩阵是根据LWE预言机到索引为i的样本构造的，即

3对于每一个i∈[l]且属性的对应的矩阵A_i是根据真实方案中利用TrapGen算法构造的，其中TrapGen算法是结合一个低范数的满秩矩阵B_i使得A_iB_i＝0，此处的LWE抽样中所有索引的样本未被使用；

将构造的公钥Apk＝({A_i}_i∈[l],s)给敌手A；

询问：允许敌手A对于访问策略policy的密钥进行适应性的询问，限制条件为目标属性列表Attrib^*不能满足访问策略policy，挑战者构造并返回满足访问策略policy的属性的解密密钥，

具体构造如下：

1、不失一般性假设敌手询问的属性列表(记为Attrib′)，注意此处询问的属性列表Attrib′与目标属性列表Attrib^*是不同的；

2、同真实方案一样，挑战者B转换访问结构policy为一个线性秘密共享矩阵L∈Z^l×θ，随机选择向量使得u₁＝(s₁,u₁₂,u₁₃,…u_1θ)^T；u₂＝(s₂,u₂₂,…,u_2θ)^T…；u_l＝(s_l,u_l2,…,u_lθ)^T其中s₁,s₂,…s_l∈Z_q是s＝w₀的对应分量，u_i,j∈Z_q随机选择的i＝1,…l；j＝1,…,θ；计算不失一般性，假设Attrib^*＝{1,2,…,t}t＝|Attrib^*|，t<l，也就是说前t个属性是敌手A想要攻击的目标属性列表；由于询问的属性列表Attrib′满足策略policy，因此必然在向量g＝(g₁,g₂,…,g_l)中存在一个分量g_d≠0,t<d≤l使得gL＝(1,0…,0)，即因此挑战者B知道公钥A_d对应的陷门B_d，则根据扩展基算法GenExtBasis(B_d,A＝g₁A₁||g₂A₂||…g_dA_d||…||g_lA_l)输出A的短基，最后挑战者构造关于属性j∈Attrib′的解密密钥usk_j：

其中A＝g₁A₁||…||A_d||…||g_lA_l，由于此挑战者B知道A的短基因此挑战者可以计算usk_j，给敌手返回关于属性列表Attrib′解密密钥usk＝{usk_j,j∈Attrib′}；

挑战：A选择一个消息比特m^*∈{0,1}，B回答对于目标属性向量Attrib^*的挑战密文,首先根据目标属性向量Attrib^*结合s＝w₀重新构造一个向量构造的方法是如果i∈Attrib^*则w′_0i＝w_0i；否则w′_0i＝0；接着挑战者重新访问预言机O，预言机返回对应w′₀的值v′₀，最后构造挑战密文：

再次询问：允许敌手A在获得挑战密文对解密密钥进行再次询问，限制条件如第一次询问；

猜测：敌手A输出一个猜测m′，挑战者根据敌手A的回答来判定随机预言机，如果m′＝m^*则判定预言机O为伪随机预言机O_x，否则为随机预言机O_$；

如果敌手以至少得概率猜对消息m，那么我们的判定算法B猜对LWE问题的概率至少是上述就是安全性规约。

证明完毕。

本发明使用一个中心权威和多个分管不同属性的权威组成系统的密钥管理中心，共同为每个用户颁发密钥。发明的该方法提高了属性加密的实用性，并且证明了方案的安全性，并且方案的效率是随着参与加解密的属性个数决定的，而不是决定于系统中参与加解密的属性上界。

Claims (5)

1.格上多权威的密钥策略基于属性的加密方法，其特征在于，具体按照以下步骤实施：

步骤1、系统建立；

步骤2、密钥生成；

步骤3、消息加密；

步骤4、消息解密。

2.根据权利要求1所述的格上多权威的密钥策略基于属性的加密方法，其特征在于，所述步骤1具体按照以下步骤实施：

步骤(1.1)、给定安全参数λ，设属性上界l，属性集记为[l]＝{1,2,…l}；

步骤(1.2)、中心属性权威CA选择一个秩为n，维数为m>2nlogq的格，其中q>2是一个素数；

步骤(1.3)、中心属性权威CA选择均匀随机向量

步骤(1.4)、中心属性权威CA公开全局公共参数GP＝{l,q,n,m,s}；

步骤(1.5)、对于每一个属性i(i∈[l])，属性i的权威利用陷门生成算法TrapGen(1^λ)生成n×m维的矩阵A_i∈Z^n×m以及随机均匀满秩的m维矩阵使得以及最后公开A_i∈Z^n×m作为属性i的公钥，保存作为属性i的私钥；

步骤(1.6)、中心权威CA公开Apk＝({A_i}_i∈[l])作为系统的公钥。

3.根据权利要求1所述的格上多权威的密钥策略基于属性的加密方法，其特征在于，所述步骤2具体按照以下步骤实施：

步骤(2.1)、首先输入公共参数GP、系统公钥Apk＝({A_i}_i∈[l])以及访问策略policy，中心权威CA利用线性秘密共享技术，将访问策略policy转换成对应的线性秘密共享矩阵L∈Z^l×θ，指派线性秘密共享矩阵L的第i行对应属性i∈[l]，这里的属性是指二元属性，列j∈[1,θ]是从1到θ的数，其中θ≤l是policy的函数。对于二元属性列表当且仅当Attrib′中属性对应的矩阵L的行所张成的行向量空间中包含向量[1,0,…0]∈Z^θ时，二元属性列表满足该访问策略L；

步骤(2.2)、中心权威CA随机选择向量使得u₁＝(s₁,u₁₂,u₁₃,…u_1θ)^T；u₂＝(s₂,u₂₂,…,u_2θ)^T…；u_l＝(s_l,u_l2,…,u_lθ)^T，其中s₁,s₂,…s_l∈Z_q是的对应分量，u_i,j∈Z_q(i＝1,…l；j＝1,2,…,θ)是随机选择的，其中包含在公共参数GP＝{l,q,n,m,s}中；

步骤(2.3)、中心权威CA计算线性秘密共享矩阵L与向量u_i的乘积，令i＝1,…l.，其中L是访问结构policy的线性秘密共享生成矩阵；

步骤(2.4)、中心权威CA发送给拥有属性i的权威，其中i＝1,…l.；

步骤(2.5)、拥有属性i的权威使用私钥通过原像抽样算法抽取密钥使得 $A_i{e}_i^{\left(j\right)}={\mathrm{\&lambda;}}_i^{\left(j\right)}\&Element;Z_q^n,$ 其中 $\mathrm{\&sigma;}\&GreaterEqual;m\&CenterDot;\mathrm{\&omega;}\left(\log m\right)\&GreaterEqual;\left|\right|{\tilde{B}}_i\left|\right|\&CenterDot;\mathrm{\&omega;}\left(\sqrt{\log m}\right);$

步骤(2.6)、属性i关于访问线性秘密共享矩阵L的解密密钥为由上述步骤(2.5)知 $A_i{e}_i^{\left(1\right)}=({\mathrm{\&lambda;}}_i^{\left(1\right)},0,...0),A_i{e}_i^{\left(2\right)}=(0,{\mathrm{\&lambda;}}_i^{\left(2\right)},...0),...,A_i{e}_i^{\left(l\right)}=(0,0,...{\mathrm{\&lambda;}}_i^{\left(l\right)},...,0).i=1,...,l,$ 根据原像抽样算法得到的的概率分布统计接近于分布且以压倒性概率使得成立。

4.根据权利要求1所述的格上多权威的密钥策略基于属性的加密方法，其特征在于，所述步骤3具体按照以下步骤实施：

步骤(3.1)、输入属性公钥、属性列表以及消息比特Msg∈{0,1}，随机均匀选择向量

步骤(3.2)、根据高斯噪声参数分布随机选择低范数的高斯噪声标量χ₀∈Z_q，对于每一个属性Attrib_i∈Attrib根据参数分布随机选择各分量间独立同分布的高斯噪声向量

步骤(3.3)、根据属性列表Attrib构造向量设置向量f的第i个分量为si，这里(1≤i≤l)，其中s_i对应公共参数GP中s＝(s₁,s₂,…,s_l)^T的第i个分量s_i，如果属性i包含在属性列表中，即i∈Attrib；当属性i不被包含在属性列表即时，设置向量f的第i个分量为0；并且设置向量f的第i(l+1≤i≤n)个分量为0，这里(l+1≤i≤n)；

步骤(3.4)、根据属性列表加密消息比特Msg∈{0,1}得

$C_i=(x^T{A}_i+{\mathrm{\&chi;}}_i^T)\mathrm{mod}q\&Element;Z_q^m,\&ForAll;i\&Element;Attrib$

步骤(3.5)、最终输出密文为C＝(C₀,C_i),

5.根据权利要求1所述的格上多权威的密钥策略基于属性的加密方法，其特征在于，所述步骤4具体按照以下步骤实施：

步骤(4.1)、输入密文C＝(C₀,C_i)，属性公钥Apk以及一组属性在访问策略policy下解密密钥usk，要求该组属性属于且满足访问策略policy；

步骤(4.2)、找到向量g＝(g₁,…,g_l)^T∈{0,1}^l使得

g^T·L＝(1,0,…,0)；即找到线性秘密共享矩阵L行的线性组合张成向量(1,0,…,0)，其中属性列表Attrib满足policy；

步骤(4.3)、令usk＝{usk_i,i∈[l]^i∈Attrib^g_i≠0}，其中是属性i的在访问策略policy下解密密钥；

步骤(4.4)、计算如果g_j＝0，那么

步骤(4.5)、输出消息比特，如果则输出0，否则输出1。