CN105162589A - 一种基于格的可验证属性加密方法 - Google Patents

Abstract

本发明提供了一种基于格的可验证属性加密方法，涉及信息安全技术领域，实现基于格的属性加密方案的可操作性，利用基于格的公钥密码在量子计算下安全的优势，解决现有的属性加密机制在量子计算下将不再安全的缺陷；同时可以对授权机构进行监督，增强系统的安全性；与传统的基于数论的协议相比，该方案由于不需要模指数运算，具有较低的计算复杂度。所述方法包括：利用格上最短向量困难问题SVP，构造格上的基于密钥策略的属性加密方案，通过可验证线性秘密共享机制来实现密钥策略，通过构造新的动态密钥生成算法，在生成密钥的同时也生成密钥的验证信息，用户可以对授权机构的可信度进行验证。

Description

一种基于格的可验证属性加密方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于格的可验证属性加密方法。

背景技术

基于属性加密机制是基于身份加密机制的一种扩展，从本质上来说，基于属性加密机制是在基于身份加密体制中引入了访问结构的概念，实现了对解密权限和访问权限的控制。最早的公开研究起源于简单属性加密，后来拓展到属性签名、属性安全协议等研究内容。与传统密码学相比，属性加密机制极大的丰富了加密策略的灵活性和用户权限的可描述性，从以前的一对一模式扩展到一对多模式，它具有高效灵活的特点：加密代价仅与相应属性个数相关，而与系统中用户的数量无关；用户能否解密一个密文仅取决于他的属性是否满足密文的策略，而与他是否在密文生产前加入这个系统无关；加密策略可支持复杂的访问结构，如门限、布尔表达式；加密者不需要知道解密者的身份信息。基于上述优良特点，属性加密机制可以有效地实现非交互的访问控制。

属性加密机制的高效性、抗串谋性和策略表示灵活性使得它在细粒度访问控制(如审计日志、付费电视系统等)、定向广播、组密钥管理、隐私保护等领域具有良好的应用前景。

虽然属性加密有灵活的访问控制机制，但是传统的属性加密方案也存在以下两方面的安全隐患。在基于属性加密中通常都存在一个授权机构(也称为可信第三方服务器)，授权机构负责系统的初始化和密钥分发的工作。授权机构在整个方案中起着至关重要的作用，因此也很容易成为攻击者的首选目标。在基于属性加密系统中可能存在两个安全方面的问题，如果授权机构被攻破，就可能给用户分发错误的密钥，从而对系统造成破坏；另一方面，如果授权机构发送的密钥是正确的，但是由于通信方面的原因产生了错误，最终导致用户不能正确解密。

另外，随着量子计算机的出现，利用量子计算机可以在多项式时间内解决因子分解和离散对数问题，这严重威胁到现有属性加密机制的安全性。构造新的公钥密码体制，使其能够替代基于数论的密码体制，抵御未来基于量子计算机的攻击已经迫在眉睫。目前普遍认为基于格的公钥加密可以抵御量子计算机的攻击，而且比基于数论的方案在计算上更有效。到目前为止，已经提出了各种属性加密方案，但这些方案都是基于传统密码体制，例如离散对数问题等。面对量子计算机的出现，传统密码体制受到威胁。因此，现有的属性加密体制在量子计算下将不再安全。

发明内容

针对上述情况，为解决现有属性加密算法的安全隐患，本发明提供了一种基于格的可验证属性加密方法，实现了基于格的属性加密方案的可操作性，利用基于格的公钥密码在量子计算下安全的优势，解决现有的属性加密机制在量子计算下将不再安全的缺陷；同时可以对授权机构进行监督，增强系统的安全性；与传统的基于数论的协议相比，该方案由于不需要模指数运算，具有较低的计算复杂度。

本发明的技术解决方案是：一种基于格的可验证属性加密方法，该方法按照以下步骤实施：

步骤A、生成系统参数

所述授权机构设置系统安全参数n和属性集上限参数l，生成系统公共参数Pub和主密钥Msk，具体包括以下步骤：

(A1)选择安全参数n，素数q＞2，格基维数m≥2nlgq；

(A2)对于属性集每一个属性i∈[l]，调用算法TrapGen(n，m，q，σ)生成随机矩阵A_i和满秩短基满足低范数条件(其中，离散高斯分布标准差为ω为表示函数数量级的渐近符号，g(n)＝ω(f(n))当且仅当

(A3)随机选择一个向量(其中，表示整数模q空间上的n维随机均匀分布向量)

(A4)随机选择参数(其中，表示整数模q空间上的随机数)

(A5)输出公共参数和主密钥：

Pub＝({A_i}_i∈[l]，u，s)，Msk＝({B_i}_i∈[l])；

步骤B、密钥生成

所述授权机构选择访问策略(M，ρ)，并利用公共参数Pub，主密钥Msk，向访问策略上的属性用户输出对应的密钥SK和验证信息VK，具体包括以下步骤：

(B1)随机选择整数令v＝(s，v₂，v₃，...v_θ)^T，记(Mv)_i＝[λ₁，…，λ_l]^T；任意选取w＝(0，w₂，…，w_θ)^T，这里随机选取，记(Mw)_i＝[ω₁，…，ω_l]^T；

(B2)令[λ_i+ω_i，0，…，0]^T＝s_i，对应访问策略(M，ρ)中的属性ρ(i)；

(B3)调用原像抽样算法SamplePreimage(A_ρ(i)，B_ρ(i)，s_i，σ)，计算满足A_ρ(i)ξ_ρ(i)＝s_i，且ξ_ρ(i)的分布统计接近于离散高斯分布参数 $\mathrm{\σ}\≥\left|\right|B_{\mathrm{\ρ}\left(i\right)}\left|\right|\·\mathrm{\ω}\left(\sqrt{\log m}\right);$

(B4)调用原像抽样算法SamplePreimage(A_ρ(i)，B_ρ(i)，u，σ)，计算满足η_i的分布统计接近于离散高斯分布参数 $\mathrm{\σ}\≥\left|\right|B_{\mathrm{\ρ}\left(i\right)}\left|\right|\·\mathrm{\ω}\left(\sqrt{\log m}\right);$

(B5)访问策略(M，ρ)中属性ρ(i)相对应的解密密钥和验证信息为：SK_ρ(i)＝η_ρ(i)，VK_ρ(i)＝ξ_ρ(i)，并将其分发给具有属性ρ(i)的用户；

步骤C、验证

所述接收方用户据解密密钥SK_ρ(i)和验证信息VK_ρ(i)，生成欺骗者列表List；如果List为空表示没有欺骗者，否则通过List中的身份标识确定欺骗者的身份；需要解密消息的参与者ρ(i)向ρ中成员提出解密申请，通过身份验证后收到来自ρ中t个成员的验证密钥VK_ρ(i)，其执行如下操作：

(C1)计算A_ρ(i)SK_ρ(i)＝u是否成立；如果A_ρ(i)SK_ρ(i)＝u成立，则表示属性ρ(i)对应的解密密钥通过验证；如果A_ρ(i)SK_ρ(i)＝u成立，则将属性ρ(i)加入列表List中，表示属性对应的解密密钥有错误；

(C2)验证访问策略(M，ρ)上的授权机构是否可信

[A_ρ(1)，A_ρ(2)，…，A_ρ(t)][VK_ρ（1)，VK_ρ(2)，...，VK_ρ(1)]^T＝[s，0，...，0]^T

如果上式成立，则表示访问策略(M，ρ)上的授权机构是可信的；访问策略(M，ρ)上的授权机构是不可信的，将所有ρ(i)加入列表List中。如果List为空表示没有欺骗者，否则通过List中的身份标识确定欺骗者的身份。

步骤D、加密

所述发送方用户在特定的属性集上，对消息Msg∈{0，1}进行加密，输出密文C_tx，具体包括以下步骤：

(D1)选择一个随机n维向量

(D2)在离散高斯分布上(其中选择一个低范数的高斯噪声计算C₁，

(D3)选择一个低范数的高斯噪声向量它是来自离散高斯分布计算向量C₂，

C₂＝a^T[A_ρ(1)，A_ρ(2)，...，A_ρ(l)]+χ₂modq，

注：当时，A_ρ(i)＝0，i∈[t]；

(D4)输出属性列表Attrib上的密文C_tx，C_tx＝{C₁，C₂}；

步骤E、解密

所述接收方用户对密文C_tx进行解密，输出解密消息b，具体包括以下步骤：

(E1)如果用户属性集Attrib是访问策略(M，ρ)上的授权集，则I＝{i：ρ(i)∈Attrib}，必定存常数{g_i∈Z_q}使得∑_i∈Ig_iM＝(1，0，...，0)成立。注意假如则g_i＝0，有g_iSK_ρ(i) ^T＝0；

(E2)对于任意ρ(i)∈Attrib，属性ρ(i)对应的私钥SK_ρ(i)，计算

$v\widehat{=}{C}_1-\frac{1}{g_1+\·\·\·+g_l}{C}_2{[g_1{{\mathrm{SK}}_{\mathrm{\ρ}\left(1\right)}}^T,\·\·\·,{{\mathrm{SK}}_{\mathrm{\ρ}\left(l\right)}}^T]}^T\mathrm{mod}q,$

并将它表示为一个整数

(E3)当时，b＝0；当时，b＝1；输出Msg的解密消息b.

本发明提供的方法构建了一个新的基于格的属性加密方案。该方案利用格上最短向量困难问题SVP，构造格上的基于密钥策略的属性加密方案，通过可验证线性秘密共享机制来实现密钥策略，通过构造新的动态密钥生成算法，在生成密钥的同时也生成密钥的验证信息，密钥和验证信息同时分发给用户，通过验证信息既可以验证密钥的正确性，同时也可验证授权机构的可信度。该方案首次实现了格上基于属性加密方案中对密钥生成中心的监督机制，使得系统的安全性得到增强。

具体实施方式

下面将对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种基于格的可验证属性加密方法，所述方法包括以下步骤：

符号说明：

表示整数模q空间上的随机数；

表示整数模q空间上的n维随机向量；

表示整数模q空间上的n行m列矩阵；

表示离散高斯采样；

表示离散均匀采样；

ω：表示函数数量级的渐近符号，g(n)＝ω(f(n))当且仅当

步骤A、授权机构设置系统安全参数λ和属性集上限参数l，运行Setup算法，获得公共参数Pub和主密钥Msk。具体算法定义如下：

算法Setup(n，m，q，l)→(pub，Msk)

输入：设置安全参数n＝2⁶，素数格基维数m＝425(m≥2nlgq)；

输出：公共参数pub和主密钥Msk。

i.(A_i，B_i)_i∈[l]←TrapGen(n，m，q，σ)(其中，σ为高斯分布标准差A_i为随机矩阵B_i为其对应的一组短基满足 $\left|\right|{\tilde{B}}_i\left|\right|\≤m\·\mathrm{\ω}\left(\sqrt{\log m}\right);$

(注：TrapGen算法是M.Ajtai在文献Generatinghardinstancesoftheshortbasisproblem中提出的算法)

ii.(u为整数模q空间上的一个n维随机向量)

iii.(s为整数模q空间上的一个随机数)

iv.Pub←({A_i}_i∈[l]，u，s)

v.Msk←({B_i}_i∈[l])

vi.Return(Pub，Msk)

算法描述：授权机构运行初始化算法Setup，首先对属性集上的每个属性调用TrapGen(n，m，q，σ)算法，生成随机矩阵和与其对应的满秩短基接着随机选取随机整数向量和随机整数输出公钥Pub←({A_i}_i∈[l]，u，s)和主密钥Msk←({B_i}_i∈[l])。

步骤B、授权机构选择访问策略(M，ρ)，运行Key_Generation算法，向所述访问策略上的属性用户输出对应的解密密钥SK和验证信息VK。具体定义如下：

算法Key_Generation(Pub，Msk，(M，ρ))→(SK，VK)

输入：输入公共参数Pub，主密钥Msk，访问策略(M，ρ(i))_i∈[l].

输出：密钥(SK_ρ(i))_i∈[l]和验证信息(VK_ρ(i))_i∈[l].

i.令v＝(s，v₂，v₃，...v_θ)^T

ii.计算(Mv)_i＝[λ₁，…，λ_l]^T，i∈[l]

iii.令w＝(0，w₂，…，w_θ)^T

iv.计算(Mw)_i＝[ω₁，…，ω_l]^T，i∈[l]

v.令[λ_i+ω_i，0，…，0]^T＝s_i，i∈[l]

vi.ξ_ρ(i)←SamplePreimage(A_ρ(i)，B_ρ(i)，s_i，σ)，满足(注：SamplePreimage算法是C.Gentry，C.Peikert，andV.Vaikuntanathan.在文献Trapdoorsforhardlatticesandnewcryptographicconstructions中提出的算法)

vii.η_ρ(i)←SamplePreimage(A_ρ(i)，B_ρ(i)，u，σ)，满足

viii.SK_ρ(i)＝η_ρ(i)，i∈[l]

ix.VK_ρ(i)＝ξ_ρ(i)，i∈[l]

x.Return(SK_ρ(i)，VK_ρ(i))

算法描述：密钥生成算法Key_Generation，该算法输入公共参数Pub，主密钥Msk和访问策略(M，ρ).首先构造向量v和w，对于访问策略(M，ρ)上的每个属性，分别计算(Mv)_i＝[λ₁，…，λ_l]^T和(Mw)_i＝[ω₁，…，ω_l]^T，其中i∈[l].接着构造向量s_i＝[λ_i+ω_i，0，…，0]^T，调用原像抽样算法SamplePreimage(A_ρ(i)，B_ρ(i)，s_i，σ)，计算满足且ξ_ρ(i)的分布统计接近于离散高斯分布离散高斯分布参数同理，调用原像抽样算法SamplePreimage(A_ρ(i)，B_ρ(i)，u，σ)，计算满足η_i的分布统计接近于离散高斯分布离散高斯分布参数最后输出访问策略上的用户属性密钥(SK_ρ(i))_i∈[l]和验证信息(VK_ρ(i))_i∈[l]。

所述访问策略上的属性用户可以分为2种，一种是发送方用户，一种是接收方用户，发送方用户向接收方用户发送文件资料。

步骤C、接收方用户根据解密密钥SK_ρ(i)和验证信息VK_ρ(i)，运行验证算法Verifiation，输出欺骗者列表List，如果List为空表示没有欺骗者，否则通过List中的身份标识确定欺骗者的身份。具体定义如下；

算法Verifiation(Pub，SK_ρ(i)，VK_ρ(i))→List

输入：输入公共参数Pub，访问策略(M，ρ(i))_i∈[l]]上的属性密钥SK_ρ(i)和验证信息VK_ρ(i).

输出：列表List.

i.构造空列表List

ii.ifA_ρ(i)SK_ρ(i)＝u

解密密钥SK_ρ(i)通过验证

else

属性对应解密密钥SK_ρ(i)有错误，将ρ(i)加入列表List中

endif

iii.if[A_ρ(1)，A_ρ(2)，…，A_ρ(t)][VK_ρ(1)，VK_ρ(2)，...，VK_ρ(t)]^T＝[s，0，...，0]^T

访问策略(M，ρ)上的授权机构是可信的

else

访问策略(M，ρ)上的授权机构是不可信的，将所有ρ(i)加入列表List中

endif

iv.Return(List)

算法描述：需要解密消息的参与者ρ(i)向ρ中成员提出解密申请，通过身份验证后收到来自ρ中t个成员的属性密钥SK_ρ(i)和验证信息、VK_ρ(i).接下来验证A_ρ(i)SK_ρ(i)＝u是否成立，如果A_ρ(i)SK_ρ(i)＝u成立，则表示属性ρ(i)对应的解密密钥通过验证；如果A_ρ(i)SK_ρ(i)＝u成立，表示属性对应的解密密钥有错误，则将属性ρ(i)加入列表List中.然后验证访问策略(M，ρ)上的授权机构是否可信，如果[A_ρ(1)，A_ρ(2)，…，A_ρ(t)][VK_ρ(1)，VK_ρ(2)，...，VK_ρ（t)]^T＝[s，0，...，0]^T成立，访问策略(M，ρ)上的授权机构是可信的，否则访问策略(M，ρ)上的授权机构是不可信的，将所有ρ(i)加入列表List中。如果List为空表示没有欺骗者，否则通过List中的身份标识确定欺骗者的身份。

步骤D、发送方用户对属性集Attrib加密消息Msg∈{0，1}，运行加密算法Encrypt，输出密文C_tx，具体定义如下：

算法Encrypt(Pub，Attrib，Msg)→C_tx

输入：输入公共参数Pub，属性集Attrib，消息Msg.

输出：密文C_tx.

i.对应于属性集

ii. 是上离散高斯分布

iii.计算modq，

iv. 是是离散高斯分布

v.计算C₂＝a^T[A₁A₂…A_l]+χ₂modq，

vi.C_tx＝{C₁，C₂}

vii.Return(C_tx)

算法描述：加密算法Encrypt，输入公共参数Pub，属性集Attrib以及一个消息比特Msg∈{0，1}，输出密文C_tx.在属性集上选择一个均匀随机向量选择高斯噪声计算modq；选择高斯噪声向量计算C₂＝a^T[A₁A₂…A_l]+χ₂modq，得到密文{C₁，C₂}.

算法E、接收方用户执行。如果用户属性集Attrib是访问策略(M，ρ)上的授权集，则解密密文C_tx，否则解密失败，最后输出解密消息b.具体定义如下：

算法Decrypt(Pub，SK_ρ(i)，C_tx)→b

输入：公共参数Pub，访问策略(M，ρ)上的私钥SK_ρ(i)以及密文C_tx.

输出：输出解密消息b.

i.计算 $v\widehat{=}{C}_1-\frac{1}{g_1+\·\·\·+g_l}{C}_2{[g_1{{\mathrm{SK}}_{\mathrm{\ρ}\left(1\right)}}^T,\·\·\·,{g_l{\mathrm{SK}}_{\mathrm{\ρ}\left(l\right)}}^T]}^T\mathrm{mod}q,$

ii.当时，b＝0，当时，b＝1.

iii.Return(b)

算法描述：根据秘密共享机制，如果用户属性集Attrib是访问策略(M，ρ)上的授权集，则I＝{i：ρ(i)∈Attrib}，必定存常数{g_i∈Z_q}，使得∑_i∈Ig_iM_ρ(i)＝(1，0，...，0)成立；假如则g_i＝0，有g_iSK_ρ(i) ^T＝0.

对于任意ρ(i)∈Attrib，利用属性ρ(i)对应的私钥SK_ρ(i)，计算 $v\widehat{=}{C}_1-\frac{1}{g_1+\·\·\·+g_l}{C}_2{[g_1{{\mathrm{SK}}_{\mathrm{\ρ}\left(1\right)}}^T,\·\·\·,{{g_l\mathrm{SK}}_{\mathrm{\ρ}\left(l\right)}}^T]}^T,$ 并将它表示为一个整数当时，b＝0，当时，b＝1.

以下从密码理上证明本发明提供的方法的正确性。

(1)验证过程的正确性证明

根据线性秘密共享原理，如果属性集Attrib是访问策略(M，ρ)上的授权集，则必定存常数使得∑_i∈Ig_iM_ρ(i)＝(1，0，...，0)成立。同时，属性集每个用户拥有用户验证信息VK_ρ(i)。验证方程为：

$[A_{\mathrm{\ρ}\left(1\right)},A_{\mathrm{\ρ}\left(2\right)},\·\·\·,A_{\mathrm{\ρ}\left(l\right)}]\left(\begin{array}{c}{\mathrm{VK}}_{\mathrm{\ρ}\left(1\right)}\\ {\mathrm{VK}}_{\mathrm{\ρ}\left(2\right)}\\ \·\\ \·\\ \·\\ {\mathrm{VK}}_{\mathrm{\ρ}\left(l\right)}\end{array}\right)=\left(\begin{array}{c}s\\ 0\\ \·\\ \·\\ \·\\ 0\end{array}\right)$

则可以进一步写为：

$[A_{\mathrm{\ρ}\left(1\right)},A_{\mathrm{\ρ}\left(2\right)},\·\·\·,A_{\mathrm{\ρ}\left(l\right)}]\left(\begin{array}{c}{g}_1{\mathrm{VK}}_{\mathrm{\ρ}\left(1\right)}\\ g_1{\mathrm{VK}}_{\mathrm{\ρ}\left(2\right)}\\ \·\\ \·\\ \·\\ g_1{\mathrm{VK}}_{\mathrm{\ρ}\left(l\right)}\end{array}\right)=\left(\begin{array}{c}s\\ 0\\ \·\\ \·\\ \·\\ 0\end{array}\right)$

证明

$[A_{\mathrm{\ρ}\left(1\right)},A_{\mathrm{\ρ}\left(2\right)},\·\·\·,A_{\mathrm{\ρ}\left(l\right)}]\left(\begin{array}{c}{g}_1{\mathrm{VK}}_{\mathrm{\ρ}\left(1\right)}\\ g_1{\mathrm{VK}}_{\mathrm{\ρ}\left(2\right)}\\ \·\\ \·\\ \·\\ g_1{\mathrm{VK}}_{\mathrm{\ρ}\left(l\right)}\end{array}\right)[g_1{A}_{\mathrm{\ρ}\left(1\right)}{\mathrm{VK}}_{\mathrm{\ρ}\left(1\right)}+\·\·\·+g_l{A}_{\mathrm{\ρ}\left(l\right)}{\mathrm{VK}}_{\mathrm{\ρ}\left(l\right)}]=[g_1{s}_1+...{+g}_l{s}_l]$

$\underset{i=1}{\overset{l}{\mathrm{\Σ}}}{g}_i{s}_i=\underset{i=1}{\overset{l}{\mathrm{\Σ}}}{g}_i{[{\mathrm{\λ}}_i+{\mathrm{\ω}}_i,0,\·\·\·,0]}^T={[\underset{i=1}{\overset{l}{\mathrm{\Σ}}}{g}_i({\mathrm{\λ}}_i+{\mathrm{\ω}}_i),0,\·\·\·,0]}^T={[s,0,\·\·\·,0]}^T$

这是因为

$\underset{i=1}{\overset{l}{\mathrm{\Σ}}}{g}_i{\mathrm{\λ}}_i=s,\underset{i=1}{\overset{l}{\mathrm{\Σ}}}{g}_i{\mathrm{\ω}}_i=0$

其中，[g₁，…，g_l][λ₁，…，λ_l]^T＝[g₁，…，g_l]Mv^T＝[1，0，…，0]_1×l[s，v₂，…，v_l]^T＝s，

[g₁，…，g_l][ω₁，…，ω_l]^T＝[g₁，…，g_l]Mw^T＝[1，0，…，0]_1×l[0，w₂，…，w_l]^T＝0。

(2)解密过程的正确性证明

证明如果解密者能构造合适的g＝[g₁，g₂，…g_l]满足g^T·M＝[1，0，…，0]，并拥有控制策略(M，ρ)上属性ρ(i)的用户解密密钥SK_ρ(i)，则计算：

这里，我们令

$\mathrm{\ϵ}\widehat{=}{\mathrm{\χ}}_1-\frac{1}{g_1+\·\·\·+g_l}{\mathrm{\χ}}_2{[g_1{{\mathrm{SK}}_{\mathrm{\ρ}\left(1\right)}}^T,\·\·\·,{g_l{\mathrm{SK}}_{\mathrm{\ρ}\left(l\right)}}^T]}^T,$

下面我们将取参数保证成立。

参数限制分析

(1)根据格陷门生成算法，要求m≥2nlgq。如果满足关于维数m的约束，则陷门生成算法TrapGen输出格基的长度至多为

(2)如果高斯抽样算法SampleGaussian(Λ，B，σ，c)满足离散高斯分布标准差 $\mathrm{\σ}>m\·\mathrm{\ω}\left(\sqrt{\log m}\right),$ 则生成密钥η的长度满足 $\left|\right|\mathrm{\η}\left|\right|\≤\mathrm{\σ}\sqrt{m}=m^{1.5}\·\mathrm{\ω}\left(\sqrt{\log m}\right).$

(3)对于高斯噪声分布(其中当根据Regev的规约证明，向量χ_i的长度满足

$\begin{array}{c}\left|\mathrm{\ϵ}\right|\widehat{=}|{\mathrm{\χ}}_1-\frac{1}{g_1+\·\·\·+g_l}{\mathrm{\χ}}_2{[g_1{{\mathrm{\η}}_{\mathrm{\ρ}\left(1\right)}}^T,\·\·\·,g_l{{\mathrm{\η}}_{\mathrm{\ρ}\left(l\right)}}^T]}^T|\\ \≤\left|{\mathrm{\χ}}_1\right|+\frac{1}{g_1+\·\·\·+g_l}\left|{\mathrm{\χ}}_2{[g_1{{\mathrm{\η}}_{\mathrm{\ρ}\left(1\right)}}^T,\·\·\·,g_l{{\mathrm{\η}}_{\mathrm{\ρ}\left(l\right)}}^T]}^T\right|\\ \≤\mathrm{\αq}\sqrt{m}+\left|\underset{i=1}{\overset{l}{\mathrm{\Σ}}}\frac{g_i}{g_1+\·\·\·+g_l}{{\mathrm{\η}}_{\mathrm{\ρ}\left(i\right)}}^T{\mathrm{\χ}}_{2i}\right|\\ \≤\mathrm{\αq}\sqrt{m}+\left|\underset{i=1}{\overset{l}{\mathrm{\Σ}}}{g}_i^{\′}{{\mathrm{\η}}_{\mathrm{\ρ}\left(i\right)}}^T{\mathrm{\χ}}_{2i}\right|\\ \≤\mathrm{\αq}\sqrt{m}+l(m^{1.5}\·\mathrm{\ω}\left(\log m\right)(\mathrm{q\α}\·\mathrm{\ω}\left(\sqrt{\log m}\right)+\sqrt{m}/2))\\ \≤2m+l(m^{1.5}\·\mathrm{\ω}\left(\sqrt{\log m}\right)(2\sqrt{m}\·\mathrm{\ω}\sqrt{\log m})+\sqrt{m}/2)\\ =2m+{\mathrm{lm}}^2\·\mathrm{\ω}\left(\sqrt{\log m}\right)(2\mathrm{\ω}\left(\sqrt{\log m}\right)+\frac{1}{2})\end{array}$

要使则必须满足：

$\mathrm{\α}\≥2\sqrt{m}/q=\frac{\sqrt{m}}{5m+5l{m}^2\·\mathrm{\ω}\left(\sqrt{\log m}\right)(\mathrm{\ω}\left(\sqrt{\log m}\right)+\frac{1}{2})}$

本发明提供的方法构建了一个新的基于格的属性加密方案。该方案利用格上最短向量困难问题SVP，构造格上的基于密钥策略的属性加密方案，通过可验证线性秘密共享机制来实现密钥策略，通过构造新的动态密钥生成算法，在生成密钥的同时也生成密钥的验证信息，密钥和验证信息同时分发给用户，通过验证信息既可以验证密钥的正确性，同时也可验证授权机构的可信度。该方案首次实现了格上基于属性加密方案中对密钥生成中心的监督机制，使得系统的安全性得到增强。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (1)

1.一种基于格的可验证属性加密方法，其特征在于，该方法按照以下步骤实施：

步骤A、生成系统参数

授权机构设置系统安全参数n和属性集上限参数l，生成系统公共参数Pub和主密钥Msk，具体包括以下步骤：

(A1)选择安全参数n，素数q＞2，格基维数m≥2nlgq；

(A2)对于属性集的每一个属性i∈[l]，调用算法TrapGen(n，m，q，σ)生成随机矩阵A_i和满秩短基满足低范数条件其中，离散高斯分布标准差为ω为表示函数数量级的渐近符号，g(n)＝ω(f(n))当且仅当

(A3)随机选择一个向量其中，表示整数模q空间上的n维随机均匀分布向量；

(A4)随机选择参数其中，表示整数模q空间上的随机数；

(A5)输出公共参数和主密钥：

Pub＝({A_i}_i∈[l]，u，s)，Msk＝({B_i}_i∈[l])；

步骤B、密钥生成

所述授权机构选择访问策略(M，ρ)，并利用公共参数Pub，主密钥Msk，向访问策略上的属性用户输出对应的密钥SK和验证信息VK，具体包括以下步骤：

(B1)随机选择整数令v＝(s，v₂，v₃，...v_θ)^T，记(Mv)_i＝[λ₁，…，λ_l]^T；任意选取w＝(0，w₂，…，w_θ)^T，这里随机选取，记(Mw)_i＝[ω₁，…，ω_l]^T；

(B2)令[λ_i+ω_i，0，…，0]^T＝s_i，对应访问策略(M，ρ)中的属性ρ(i)；

(B3)调用原像抽样算法SamplePreimage(A_ρ(i)，B_ρ(i)，s_i，σ)，计算满足A_ρ(i)ξ_ρ(i)＝s_i，且ξ_ρ(i)的分布统计接近于离散高斯分布参数

(B4)调用原像抽样算法SamplePreimage(A_ρ(i)，B_ρ(i)，u，σ)，计算满足η_i的分布统计接近于离散高斯分布参数

(B5)访问策略(M，ρ)中属性ρ(i)相对应的解密密钥和验证信息为：SK_ρ(i)＝η_ρ(i)，VK_ρ(i)＝ξ_ρ(i)，并将其分发给具有属性ρ(i)的用户；所述访问策略上的属性用户包括接收方用户和发送方用户；

步骤C、验证

所述接收方用户据解密密钥SK_ρ(i)和验证信息VK_ρ(i)，生成欺骗者列表List；如果List为空表示没有欺骗者，否则通过List中的身份标识确定欺骗者的身份；需要解密消息的参与者ρ(i)向ρ中成员提出解密申请，通过身份验证后收到来自ρ中t个成员的验证密钥VK_ρ(i)，其执行如下操作：

(C1)计算A_ρ(i)SK_ρ(i)＝u是否成立；如果A_ρ(i)SK_ρ(i)＝u成立，则表示属性ρ(i)对应的解密密钥通过验证；如果A_ρ(i)SK_ρ(i)＝u成立，则将属性ρ(i)加入列表List中，表示属性对应的解密密钥有错误；

(C2)验证访问策略(M，ρ)上的授权机构是否可信

[A_ρ(1)，A_ρ(2)，…，A_p(t)][VK_ρ(1)，VK_ρ(2)，...，VK_ρ(l)]^T＝[s，0，...，0]^T

如果上式成立，则表示访问策略(M，ρ)上的授权机构是可信的；如果上式不成立，则访问策略(M，ρ)上的授权机构是不可信的，则将所有ρ(i)加入列表List中；如果List为空表示没有欺骗者，否则通过List中的身份标识确定欺骗者的身份；

步骤D、加密

所述发送方用户在特定的属性集上，对消息Msg∈{0，1}进行加密，输出密文C_tx，具体包括以下步骤：

(D1)选择一个随机n维向量

(D2)在离散高斯分布上；其中选择一个低范数的高斯噪声计算C₁，

(D3)选择一个低范数的高斯噪声向量它是来自离散高斯分布计算向量C₂，

C₂＝a^T[A_ρ(1)，A_ρ(2)，...，A_ρ(l)]+χ₂modq，

注：当时，A_ρ(i)＝0，i∈[t]；

(D4)输出属性列表Attrib上的密文C_tx，C_tx＝{C₁，C₂}；

步骤E、解密

所述接收方用户对密文C_tx进行解密，输出解密消息b，具体包括以下步骤：

(E1)如果用户属性集Attrib是访问策略(M，ρ)上的授权集，则I＝{i：ρ(i)∈Attrib}，必定存常数{g_i∈Z_q}使得∑_i∈lg_iM＝(1，0，...，0)成立；假如则g_i＝0，有g_iSK_ρ(i) ^T＝0；

(E2)对于任意ρ(i)∈Attrib，属性ρ(i)对应的私钥SK_ρ(i)，计算

并将它表示为一个整数

(E3)当时，b＝0；当时，b＝1；输出Msg的解密消息b。