CN105162573A - 基于多线性映射的可撤销分权威密钥策略的属性加密方法 - Google Patents

Abstract

本发明公开了一种基于多线性映射的可撤销分权威密钥策略的属性加密方法,构造针对撤销用户的单个属性，只有密文的属性集满足用户的密钥策略，用户才能完成解密过程，具体为由权威中心构造分权威，每个分权威掌握各自主密钥并参与公共参数的建立过程，利用线性秘密共享算法将访问策略转为访问结构，生成相应访问结构下的用户私钥，根据属性集和已知的撤销列表，对消息进行加密，判断用户是否在撤销列表中，完成解密过程，结合已知私钥和用户，建立追踪算法，判定用户与私钥的关联性，本发明解决了撤销用户单个属性而非用户的全体属性的问题，验证了用户与私语的关联性，提高了方案的运算效率和整体安全性，使得方案可以抗量子攻击。

Description

基于多线性映射的可撤销分权威密钥策略的属性加密方法

技术领域

本发明属于信息安全技术领域，具体涉及一种基于多线性映射的可撤销分权威密钥策略的属性加密方法。

背景技术

撤销作为公钥加密领域中不可缺少的一种功能已被深入研究。随着属性加密的引入和发展，研究可撤销属性的属性加密方案更能满足实际需要，但是目前多数可撤销属性方案有着明显的缺陷，即方案的运算效率不高，部分方案不存在追踪算法，没有判断用户与私语的关联性，安全性被规约到求解判定性双线性Diffie-Hellman困难问题，无法抵抗量子攻击。

针对多用户下的属性撤销机制，已存在的文章大多是直接撤销该属性下的用户，使得用户不再具备任何性质，但是实际中用户可能仅仅需要撤销某个属性，而不影响该用户的其他属性，保证用户在撤销属性后仍具有一定的加解密性质。

发明内容

本发明的目的是提供一种基于多线性映射的可撤销分权威密钥策略的属性加密方法，解决了现有技术中存在的撤销用户单个属性时连带撤销非用户的全体属性的问题。

本发明所采用的技术方案是，基于多线性映射的可撤销分权威密钥策略的属性加密方法,其特征在于,具体按照以下步骤实施:

步骤1、系统参数初始化；

步骤2、密钥生成；

步骤3、加密；

步骤4、解密；

步骤5、追踪。

本发明的特点还在于，

步骤1的过程为设系统中有m个属性，记为{1,…,m}，撤销列表中撤销用户的最大数量是n，用户的身份ID，撤销列表R_j，这里R_j表示撤销了属性ω_j的用户的身份列表，分两种情况或ID∈R_j，ω是属性集，消息为访问策略通过线性秘密共享技术LSSS转换为矩阵(M,ρ)，具体按照以下步骤实施:

步骤(1.1)、令G₁，G_k-1，G_k是阶为素数p的群，设g是G₁的生成元，g_k-1是群G_k-1的生成元，g_k是群G_k的生成元，同时定义多线性映射e:G₁×G₁…×G₁→G_k是多线性映射；

步骤(1.2)、权威中心首先建立k-1个分权威，每个分权威各自掌握一个主私钥，分权威之间相互独立，而权威中心能够获取所有分权威的私钥信息，第i个分权威随机选取α_i∈Z_p作为主私钥，这里Z_p＝{0,1，…，p-1}，并构造向量其中b_i,j∈Z_p是随机选取，且存在公共参数根据前k-1个分权威掌握的主私钥和公共参数构造：

步骤(1.3)、权威中心随机选取α₀∈Z_p和{t_0,i∈G₁,t_1,i∈G₁}_{i＝0,1,…,m}作为主私钥，且定义两个函数T₀(x),T₁(x):Z_p→G₁，其具体表达为:

步骤(1.4)、权威中心从分权威中提取各自的主私钥，并结合自身拥有的主私钥，构造该算法的主私钥以及相应的公共参数

步骤2具体为：

步骤(2.1)、根据ID定义一个向量X＝(x₁,…,x_n)^T满足x_i＝ID^i-1modp，令矩阵M是一个l×h的矩阵，M_i是矩阵M的第i行，映射ρ将M_i映射到属性ρ(i)∈{1,…,m}上，并随机选取r∈Z_p和{z_i,0}_{i∈{2,…,h}},{z_i,1}_{i∈{2,…,h}}∈Z_p，定义向量和向量

步骤(2.2)、计算和从而输出ID在(M,ρ)下的私钥：

其中：

其中K⁽ⁱ⁾是由第i分权威操作。

步骤3具体为：

步骤(3.1)、输入公共参数属性集ω和撤销列表R_j，其中R_j(|R_j|<n,j∈ω)，根据R_j定义Y＝(y₁,…,y_n)^T作为式的系数向量；

步骤(3.2)、选取随机值s∈Z_p；

步骤(3.3)、在属性集ω下对消息进行加密，构造密文ct＝(C,C₁,C_2,0,C_2,1,C₃；R_j)，具体形式如下：

C₁＝g^s，

步骤4过程为针对用户ID在访问结构(M,ρ)下形成的私钥sk，以及在属性集ω下加密的密文ct和用户的撤销列表R_j，如果ID∈R_j，则令ω′＝ω-{j}，否则ω′＝ω，在解密过程中，当且仅当属性集ω′满足访问结构(M,ρ)时，用户才能成功解密，具体解密过程如下：

如果首先根据ID定义X＝(1,ID,…,ID^n-1)^T，根据R_j定义Y＝(y₁,…,y_n)^T，然后根据前k-1个分权威输出的私钥(K⁽¹⁾,…,K^(k-1))，计算K＝(K₁,…,K_k-1)，其中因为则<X,Y>≠0，进行如下计算：

令I＝{i:ρ(i)∈ω′}，则能够在概率多项式时间内找出常数集{μ_i∈Z_p}_i∈I，满足Σ_i∈Iμ_i·M_i＝(1,0,…,0)，计算：

从而有已知因此运用除法运算解密出消息

如果ID∈R_j，令I＝{i:ρ(i)∈ω′}，计算得到一组常数集合{μ_i∈Z_p}_i∈I，使其满足Σ_i∈Iμ_i·M_i＝(1,0,…,0)，计算：

从中分离出φ′，就能获得消息

步骤5具体为：

令是一个有效的解密密钥，则追踪计算：

同时计算：

令U＝{ID₁,ID₂,…,ID_d}是全体用户集，判断是否存在一个用户ID∈U满足若存在这样的用户，则证明用户私语与用户之间是相关联的，保证了用户的有效性，反之则说明用户与私钥无关。

本发明的有益效果是，基于多线性映射的可撤销分权威密钥策略的属性加密方法，撤销用户的某一属性并不会影响该用户的其他属性以及拥有该属性的其他用户；分权威执行的系统建立过程和密钥生成过程，大大减少了此方法的整体时间消耗；采用追踪算法使得该方法判定了解密过程中用户与用户私钥的关联性，保证了用户的有效性；运用多线性映射技术，使得方案可以抗量子攻击；最后将攻击方案的安全性规约到判定性多线性Diffie-Hellman指数问题上。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

基于多线性映射的可撤销分权威密钥策略的属性加密方法,其特征在于,具体按照以下步骤实施:

步骤1、系统参数初始化：

过程为设系统中有m个属性，记为{1,…,m}，撤销列表中撤销用户的最大数量是n，用户的身份ID，撤销列表R_j，这里R_j表示撤销了属性ω_j的用户的身份列表，分两种情况或ID∈R_j，ω是属性集，消息为访问策略通过线性秘密共享技术LSSS转换为矩阵(M,ρ)，具体按照以下步骤实施:

步骤(1.1)、令G₁，G_k-1，G_k是阶为素数p的群，设g是G₁的生成元，g_k-1是群G_k-1的生成元，g_k是群G_k的生成元，同时定义多线性映射e:G₁×G₁…×G₁→G_k是多线性映射；

步骤(1.2)、权威中心首先建立k-1个分权威，每个分权威各自掌握一个主私钥，分权威之间相互独立，而权威中心能够获取所有分权威的私钥信息，第i个分权威随机选取α_i∈Z_p作为主私钥，这里Z_p＝{0,1，…，p-1}，并构造向量其中b_i,j∈Z_p是随机选取，且存在公共参数根据前k-1个分权威掌握的主私钥和公共参数构造：

步骤(1.3)、权威中心随机选取α₀∈Z_p和{t_0,i∈G₁,t_1,i∈G₁}_{i＝0,1,…,m}作为主私钥，且定义两个函数T₀(x),T₁(x):Z_p→G₁，其具体表达为:

步骤(1.4)、权威中心从分权威中提取各自的主私钥，并结合自身拥有的主私钥，构造该算法的主私钥以及相应的公共参数

步骤2、密钥生成，具体为：

步骤(2.1)、根据ID定义一个向量X＝(x₁,…,x_n)^T满足x_i＝ID^i-1modp，令矩阵M是一个l×h的矩阵，M_i是矩阵M的第i行，映射ρ将M_i映射到属性ρ(i)∈{1,…,m}上，并随机选取r∈Z_p和{z_i,0}_{i∈{2,…,h}},{z_i,1}_{i∈{2,…,h}}∈Z_p，定义向量和向量

步骤(2.2)、计算和从而输出ID在(M,ρ)下的私钥：

其中：

其中K⁽ⁱ⁾是由第i分权威操作。

步骤3、加密，具体为：

步骤(3.1)、输入公共参数属性集ω和撤销列表R_j，其中R_j(|R_j|<n,j∈ω)，根据R_j定义Y＝(y₁,…,y_n)^T作为式的系数向量；

步骤(3.2)、选取随机值s∈Z_p；

步骤(3.3)、在属性集ω下对消息进行加密，构造密文ct＝(C,C₁,C_2,0,C_2,1,C₃；R_j)，具体形式如下：

C₁＝g^s，

步骤4、解密，具体为：

针对用户ID在访问结构(M,ρ)下形成的私钥sk，以及在属性集ω下加密的密文ct和用户的撤销列表R_j，如果ID∈R_j，则令ω′＝ω-{j}，否则ω′＝ω，在解密过程中，当且仅当属性集ω′满足访问结构(M,ρ)时，用户才能成功解密，具体解密过程如下：

如果首先根据ID定义X＝(1,ID,…,ID^n-1)^T，根据R_j定义Y＝(y₁,…,y_n)^T，然后根据前k-1个分权威输出的私钥(K⁽¹⁾,…,K^(k-1))，计算K＝(K₁,…,K_k-1)，其中因为则<X,Y>≠0，进行如下计算：

令I＝{i:ρ(i)∈ω′}，则能够在概率多项式时间内找出常数集{μ_i∈Z_p}_i∈I，满足Σ_i∈Iμ_i·M_i＝(1,0,…,0)，计算：

从而有已知因此运用除法运算解密出消息

如果ID∈R_j，令I＝{i:ρ(i)∈ω′}，计算得到一组常数集合{μ_i∈Z_p}_i∈I，使其满足Σ_i∈Iμ_i·M_i＝(1,0,…,0)，计算：

从中分离出φ′，就能获得消息

步骤5、追踪，具体为：

令是一个有效的解密密钥，则追踪计算：

同时计算：

令U＝{ID₁,ID₂,…,ID_d}是全体用户集，判断是否存在一个用户ID∈U满足若存在这样的用户，则证明用户私语与用户之间是相关联的，保证了用户的有效性，反之则说明用户与私钥无关。

因此，针对上述情况构造撤销用户的单个属性且并不影响该用户的其他属性的属性撤销方案是非常必要的，这样设计的好处是在可撤销的密钥策略的属性加密方案中即使用户在撤销列表中，若用户未被撤销的属性仍满足访问结构，此用户仍具有解密能力。

设计权威中心控制的多个分权威的可撤销的属性加密方案可以满足运算的高效性，令每个分权威掌控不同的主密钥，彼此之间并行独立操作，其主密钥允许提交给权威中心。利用多线性对技术，将攻击方案规约到了格上的多线性映射下的判定性Diffie-Hellman指数问题上，使得方案在选择安全模型下是抗量子攻击的，提高了方案整体的安全性。

对本发明的总结：基于多线性映射的可撤销分权威密钥策略的属性加密方法，是可撤销属性加密方法的一个重要进展，具体方法是，构造针对撤销用户的单个属性，只有密文的属性集满足用户的密钥策略，用户才能完成解密过程，设计过程需要：1)由权威中心构造分权威，每个分权威掌握各自主密钥并参与公共参数的建立过程，2)利用线性秘密共享算法将访问策略转为访问结构，生成相应访问结构下的用户私钥。3)根据属性集和已知的撤销列表，对消息进行加密。4)判断用户是否在撤销列表中，分情况讨论，完成解密过程。5)结合已知私钥和用户，建立追踪算法，判定用户与私钥的关联性。

Claims (6)

1.基于多线性映射的可撤销分权威密钥策略的属性加密方法,其特征在于,具体按照以下步骤实施:

步骤1、系统参数初始化；

步骤2、密钥生成；

步骤3、加密；

步骤4、解密；

步骤5、追踪。

2.根据权利要求1所述的基于多线性映射的可撤销分权威密钥策略的属性加密方法,其特征在于,所述步骤1的过程为设系统中有m个属性，记为{1,…,m}，撤销列表中撤销用户的最大数量是n，用户的身份ID，撤销列表R_j，这里R_j表示撤销了属性ω_j的用户的身份列表，分两种情况或ID∈R_j，ω是属性集，消息为访问策略通过线性秘密共享技术LSSS转换为矩阵(M,ρ)，具体按照以下步骤实施:

步骤(1.1)、令G₁，G_k-1，G_k是阶为素数p的群，设g是G₁的生成元，g_k-1是群G_k-1的生成元，g_k是群G_k的生成元，同时定义多线性映射e:G₁×G₁…×G₁→G_k是多线性映射；

步骤(1.2)、权威中心首先建立k-1个分权威，每个分权威各自掌握一个主私钥，分权威之间相互独立，而权威中心能够获取所有分权威的私钥信息，第i个分权威随机选取α_i∈Z_p作为主私钥，这里Z_p＝{0,1，…，p-1}，并构造向量其中b_i,j∈Z_p是随机选取，且存在公共参数根据前k-1个分权威掌握的主私钥和公共参数构造：

步骤(1.3)、权威中心随机选取α₀∈Z_p和{t_0,i∈G₁,t_1,i∈G₁}_{i＝0,1,…,m}作为主私钥，且定义两个函数T₀(x),T₁(x):Z_p→G₁，其具体表达为:

$T_0\left(x\right)={\mathrm{\&Pi;}}_{i=0}^m{t}_{0,i}^{x^i}\&Element;G_1,T_1\left(x\right)={\mathrm{\&Pi;}}_{i=0}^m{t}_{1,i}^{x^i}\&Element;G_1;$

步骤(1.4)、权威中心从分权威中提取各自的主私钥，并结合自身拥有的主私钥，构造该算法的主私钥以及相应的公共参数

3.根据权利要求1所述的基于多线性映射的可撤销分权威密钥策略的属性加密方法,其特征在于,所述步骤2具体为：

步骤(2.1)、根据ID定义一个向量X＝(x₁,…,x_n)^T满足x_i＝ID^i-1modp，令矩阵M是一个l×h的矩阵，M_i是矩阵M的第i行，映射ρ将M_i映射到属性ρ(i)∈{1,…,m}上，并随机选取r∈Z_p和{z_i,0}_{i∈{2,…,h}},{z_i,1}_{i∈{2,…,h}}∈Z_p，定义向量 ${\stackrel{\&RightArrow;}{v}}_0={({\mathrm{\&alpha;}}_0+r(\underset{i=1}{\overset{k-1}{\&Pi;}}{\mathrm{\&alpha;}}_i),z_{2,0},...,z_{h,0})}^T$ 和向量 ${\stackrel{\&RightArrow;}{v}}_1={({\mathrm{\&alpha;}}_0,z_{2,1},...,z_{h,1})}^T;$

步骤(2.2)、计算和从而输出ID在(M,ρ)下的私钥： $sk=({\{F_{1,0}^{\left(i\right)},F_{1,1}^{\left(i\right)}\}}_{\mathrm{i=}\&lsqb;l\&rsqb;},{\{D_{2,0}^{\left(i\right)},D_{2,1}^{\left(i\right)}\}}_{i\&Element;\&lsqb;l\&rsqb;},{\left\{K^{\left(i\right)}\right\}}_{i\&Element;\{1,...,k-1\}}),$

其中：

$F_{1,0}^{\left(i\right)}=T_0{\left(\mathrm{\&rho;}\right(i\left)\right)}^{{\mathrm{\&lambda;}}_{i,0}},$

$D_{2,0}^{\left(i\right)}=g_{k-1}^{{\mathrm{\&lambda;}}_{i,0}},$

$F_{\mathrm{1,1}}^{\left(i\right)}=T_1{\left(\mathrm{\&rho;}\right(i\left)\right)}^{{\mathrm{\&lambda;}}_{i,1}},$

$D_{2,1}^{\left(i\right)}=g_{k-1}^{{\mathrm{\&lambda;}}_{i,1}},$

$K^{\left(1\right)}=\left\{K_{i,1}\right|K_{i,1}={\left(g^{{\mathrm{\&alpha;}}_1}\right)}^{-\frac{x_i}{x_1}}\&CenterDot;g^{b_{1,i-1}},i\&Element;\{2,...,n\}\}$

$K^{\left(2\right)}=\left\{K_{i,2}\right|K_{i,2}={\left(g^{{\mathrm{\&alpha;}}_2}\right)}^{-\frac{x_i}{x_1}}\&CenterDot;g^{b_{2,i-1}},i\&Element;\{2,...,n\}\}$

·

·

·

$K^{(k-1)}=\left\{K_{i,k-1}\right|K_{i,k-1}={\left(g^{{\mathrm{\&alpha;}}_{k-1}}\right)}^{-\frac{x_i}{x_1}}\&CenterDot;g^{b_{k-1,i-1}},i\&Element;\{2,...,n\}\}$

其中K⁽ⁱ⁾是由第i分权威操作。

4.根据权利要求1所述的基于多线性映射的可撤销分权威密钥策略的属性加密方法,其特征在于,所述步骤3具体为：

步骤(3.1)、输入公共参数属性集ω和撤销列表R_j，其中R_j(|R_j|<n,j∈ω)，根据R_j定义Y＝(y₁,…,y_n)^T作为式的系数向量；

步骤(3.2)、选取随机值s∈Z_p；

步骤(3.3)、在属性集ω下对消息进行加密，构造密文ct＝(C,C₁,C_2,0,C_2,1,C₃；R_j)，具体形式如下：

C₁＝g^s，

$C_{2,0}=\left\{C_{2,0}^{\left(x\right)}\right|C_{2,0}^{\left(x\right)}=T_0{\left(x\right)}^{s+1},x\&Element;\mathrm{\&omega;}\},$

$C_{2,1}=\left\{C_{2,1}^{\left(x\right)}\right|C_{2,1}^{\left(x\right)}=T_1{\left(x\right)}^{s+1},x\&Element;\mathrm{\&omega;}-\left\{j\right\}\},$

$C_3=\left\{C_{3,i}|C_{3,i}=\frac{1}{{\left(g^{{\mathrm{\&alpha;}}_i}\right)}^{y_1}\&CenterDot;\underset{j=1}{\overset{n-1}{\mathrm{\&Pi;}}}{\left(g^{b_{i,j}}\right)}^{y_{j+1}}},i\&Element;\{1,...,k-1\}\right\}.$

5.根据权利要求1所述的基于多线性映射的可撤销分权威密钥策略的属性加密方法,其特征在于,所述步骤4过程为针对用户ID在访问结构(M,ρ)下形成的私钥sk，以及在属性集ω下加密的密文ct和用户的撤销列表R_j，如果ID∈R_j，则令ω′＝ω-{j}，否则ω′＝ω，在解密过程中，当且仅当属性集ω′满足访问结构(M,ρ)时，用户才能成功解密，具体解密过程如下：

如果首先根据ID定义X＝(1,ID,…,ID^n-1)^T，根据R_j定义Y＝(y₁,…,y_n)^T，然后根据前k-1个分权威输出的私钥(K⁽¹⁾,…,K^(k-1))，计算K＝(K₁,…,K_k-1)，其中因为则<X,Y>≠0，进行如下计算：

$\begin{array}{c}\mathrm{\&tau;}=e{(C_{3,1}\&CenterDot;K_1,C_{3,2}\&CenterDot;K_2,...,C_{3,k-1}\&CenterDot;K_{k-1},{C_1}^{-\frac{<X,Y>}{x_1}\&CenterDot;r})}^{-\frac{x_1}{<X,Y>}}\\ =e(g^{{\mathrm{\&alpha;}}_1},...,g^{{\mathrm{\&alpha;}}_{k-1}},g^{r\&CenterDot;s})\\ =g_k^{r\&CenterDot;s\&CenterDot;\underset{i=1}{\overset{k-1}{\mathrm{\&Pi;}}}{\mathrm{\&alpha;}}_i}\end{array}$

令I＝{i:ρ(i)∈ω′}，则能够在概率多项式时间内找出常数集{μ_i∈Z_p}_i∈I，满足Σ_i∈Iμ_i·M_i＝(1,0,…,0)，计算：

$\mathrm{\&phi;}=\underset{i\&Element;I}{\&Pi;}{\left(\frac{e(C_{2,0}^{\left(\mathrm{\&rho;}\right(i\left)\right)},D_{2,0}^{\left(i\right)})}{e(F_{1,0}^{\left(i\right)},g_{k-1})}\right)}^{{\mathrm{\&mu;}}_i}=g_k^{s\&CenterDot;({\mathrm{\&alpha;}}_0+r\&CenterDot;\underset{i=1}{\overset{j-1}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i)}$

从而有已知因此运用除法运算解密出消息

如果ID∈R_j，令I＝{i:ρ(i)∈ω′}，计算得到一组常数集合{μ_i∈Z_p}_i∈I，使其满足Σ_i∈Iμ_i·M_i＝(1,0,…,0)，计算：

${\mathrm{\&phi;}}^{\&prime;}=\underset{i\&Element;I}{\&Pi;}{\left(\frac{e(C_{2,1}^{\left(\mathrm{\&rho;}\right(i\left)\right)},D_{2,1}^{\left(i\right)})}{e(F_{1,1}^{\left(i\right)},g_{k-1})}\right)}^{{\mathrm{\&mu;}}_i}=g_k^{s\&CenterDot;{\mathrm{\&alpha;}}_0},$

从中分离出φ′，就能获得消息

6.根据权利要求1所述的基于多线性映射的可撤销分权威密钥策略的属性加密方法,其特征在于,所述步骤5具体为：

令 $sk=({\{F_{1,0}^{\left(i\right)},F_{1,1}^{\left(i\right)}\}}_{i\&Element;\&lsqb;l\&rsqb;},{\{D_{2,0}^{\left(i\right)},D_{2,1}^{\left(i\right)}\}}_{i\&Element;\&lsqb;l\&rsqb;},{\left\{K^{\left(i\right)}\right\}}_{i\&Element;\{1,...,k-1\}})$ 是一个有效的解密密钥，则追踪计算：

同时计算：

令U＝{ID₁,ID₂,…,ID_d}是全体用户集，判断是否存在一个用户ID∈U满足若存在这样的用户，则证明用户私语与用户之间是相关联的，保证了用户的有效性，反之则说明用户与私钥无关。