CN105530089A - 属性基加密方法和装置 - Google Patents

Abstract

本发明涉及一种属性基加密方法和装置，包括：中心机构建立属性基加密系统；接收中心机构发送的密钥，密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的，属性基加密系统的公共参数、属性基加密系统的主密钥是通过中心机构的安全参数生成的；接收第二用户发送的密文，密文是第二用户通过访问控制结构和公共参数生成的；当第一用户属性满足访问控制结构时，第一用户通过密钥解密所述密文，实现了加密、解密算法具有固定的计算成本、密文具有固定的长度、由中心机构生成的密钥的正确性可以被验证以及可实现单调的访问控制结构。

Description

属性基加密方法和装置

技术领域

本发明涉及数据安全领域，尤其涉及一种属性基加密方法和装置。

背景技术

云计算作为一种新的计算模型，正在被越来越多的用户所使用。然而，云计算中的数据安全问题已经成为用户最为关注的问题。在传统的公钥加密方法中，加密者可以利用接受者的公钥加密消息，使得只有具有相应密钥的接受者才能解密密文。因此，传统的公钥加密方法只能提供一对一的安全的数据传输。然而，在云计算中，一个用户需要同时向多个用户共享机密数据。特别地，用户通常想利用一组描述性的属性来说明哪些用户可以访问其机密数据。因此，传统的公钥加密方法不能被直接应用到云计算中保护数据的机密性。

属性基加密方法作为一种新的公钥加密方法，被广泛地关注。现有技术中，在一个属性基加密方法中，每个用户都拥有一组属性，一个中心机构拥有一个主密钥。当用户第一次加入属性基加密系统时，中心机构根据该用户的属性，利用主密钥为其产生一个密钥。加密者可以利用一组属性来加密消息，使得只有属性与密文中要求的属性相匹配的用户才能利用其密钥解密密文。由于不同的用户可能有部分相同的属性，所以属性基加密方法可以实现一对多的安全的数据传输。属性基加密方法可以被分为两类：密文政策的属性基加密方法和密钥政策的属性基加密方法。在一个密文政策的属性基加密方法中，访问控制结构被嵌入到密文中，而密钥被绑定一组属性。而在一个密钥政策的属性基加密方法中，密钥被嵌入一个访问控制结构，而密文被绑定一组属性。

现有技术中的属性基加密方法存在如下问题：(1)加密算法的计算成本与采用的访问控制结构的复杂度成正比；(2)密文长度与采用的访问控制结构的复杂度成正比；(3)解密算法与采用的访问控制结构的复杂度成正比；(4)没有考虑如何验证中心机构生成的密钥的正确性。因此，现有技术中的属性基加密方法的计算成本和通信成本与所采用的访问控制结构的复杂度成正比，从而不能被应用于计算和存储有限的设备，如智能手机中。

发明内容

本发明的目的是解决现有技术中的属性基加密方法存在的加密算法的计算成本与采用的访问控制结构的复杂度成正比、密文长度与采用的访问控制结构的复杂度成正比、解密算法与采用的访问控制结构的复杂度成正比以及没有验证中心机构生成的密钥的正确性的问题，保证了加密算法具有固定的计算成本、解密算法具有固定的计算成本、密文具有固定的长度、由中心机构生成的密钥的正确性可以被验证以及可实现单调的访问控制结构。

为实现上述目的，在第一方面，本发明实施例提供了一种属性基加密方法，所述方法包括：

中心机构建立属性基加密系统；

第一用户接收中心机构发送的密钥，所述密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的、属性基加密系统的主密钥是通过中心机构的安全参数生成的；

第一用户接收第二用户发送的密文，所述密文是由第二用户通过访问控制结构和所述公共参数生成的；

当所述第一用户属性满足所述访问控制结构时，所述第一用户通过所述密钥解密所述密文。

优选地，所述第一用户接收中心机构发送的密钥之后还包括：

所述第一用户利用公共参数和双线性群产生算法验证所述密钥的正确性。

优选地，所述密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的，所述属性基加密系统的公共参数、属性基加密系统的主密钥是通过中心机构的安全参数生成的，具体包括：

中心机构输入安全参数1^k，生成属性基加密系统的主密钥msk和属性基加密系统的公共参数params，即Setup(1^k)→(msk,params)；

中心机构输入属性基加密系统的公共参数params，属性基加密系统的主密钥msk和第一用户属性A_U，输出第一用户的秘钥sk_U，即KG(params,msk,A_U)→sk_U。

优选地，所述第一用户接收第二用户发送的密文，所述密文是由第二用户通过访问控制结构和所述公共参数生成的，具体包括:

第二用户输入一个访问控制结构A和属性基加密系统的公共参数params，输出密文CT，即CT＝Encrypt(params,M,A)；

其中，M为消息。

优选地，所述当所述第一用户属性满足所述访问控制结构时，所述第一用户通过所述密钥解密所述密文，具体包括：

如果第一用户的属性满足密文CT中的访问控制结构A时，则第一用户可利用密钥sk_U解密CT，得到消息M，即M＝Decrypt(params,sk_U,CT)；

其中，params为属性基加密系统的公共参数。

为实现上述目的，在第二方面，本发明实施例提供了一种属性基加密装置，所述装置包括：

建立单元，用于建立属性基加密系统；

接收单元，用于接收中心机构发送的密钥，所述密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的，所述属性基加密系统的公共参数、属性基加密系统的主密钥是通过中心机构的安全参数生成的；

所述接收单元还用于，接收第二用户发送的密文，所述密文是由第二用户通过访问控制结构和所述公共参数生成的；

解密单元，用于当所述第一用户属性满足所述访问控制结构时，所述第一用户通过所述密钥解密所述密文。

优选地，所述装置还包括：验证单元；

所述验证单元，用于利用公共参数和双线性群产生算法验证所述密钥的正确性。

优选地，所述接收单元还包括：输入子单元，输出子单元；

所述输入子单元，用于输入安全参数1^k，生成属性基加密系统的主密钥msk和属性基加密系统的公共参数params，即Setup(1^k)→(msk,params)；

所述输入子单元还用于，输入属性基加密系统的公共参数params，属性基加密系统的主密钥msk和第一用户属性A_U；

所述输出子单元，用于输出第一用户的秘钥sk_U，即KG(params,msk,A_U)→sk_U。

优选地，所述输入子单元还用于，输入一个访问控制结构A和属性基加密系统的公共参数params；

所述输出子单元还用于，输出密文CT，即CT＝Encrypt(params,M,A)；

其中，M为消息。

优选地，所述解密单元还用于，如果第一用户的属性满足密文CT中的访问控制结构A时，则第一用户可利用密钥sk_U解密CT，得到消息M，即M＝Decrypt(params,sk_U,CT)；

其中，params为属性基加密系统的公共参数。

本发明通过中心机构建立属性基加密系统；第一用户接收中心机构发送的密钥；接收第二用户发送的密文，密文是由第二用户通过访问控制结构和所述公共参数生成的；当第一用户属性满足所述访问控制结构时，第一用户通过所述密钥解密所述密文，解决了加密算法的计算成本与采用的访问控制结构的复杂度成正比、密文长度与采用的访问控制结构的复杂度成正比、解密算法与采用的访问控制结构的复杂度成正比的问题，保证了加密算法具有固定的计算成本、解密算法具有固定的计算成本、密文具有固定的长度、由中心机构生成的密钥的正确性可以被验证以及可实现单调的访问控制结构，大大降低了计算成本。

附图说明

图1为本发明实施例一提供的属性基加密方法流程图；

图2为本发明实施例二提供的属性基加密装置的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

下面通过附图和实施例，对本发明的技术方法做进一步的详细描述。

图1为本发明实施例一提供的属性基加密方法流程图。如图1所示，本实施例包括以下步骤：

S110，中心机构建立属性基加密系统。

中心机构输入安全参数1^k，生成属性基加密系统的主密钥msk和属性基加密系统的公共参数params，即Setup(1^k)→(msk,params)；

中心机构是一个可信机构，具体为使用属性基加密系统的终端，该终端可以是个人电脑，台式电脑，手机等。

具体的，中心机构输入一个安全参数1^k，应用双线性群产生算法生成素数阶p的双线性群，即GG(1^k)→(e,p,G,G_τ)，其中e:G×G→G_τ。假设g，g₂和h为循环群G的生成元，属性基加密系统的属性集合为Ω＝{a₁,a₂,…,a_n}。对于a_i∈Ω，中心机构随机选择A_i∈G，i＝1,2,…,n。假设Z_p为模p构成的有限域参数α∈Z_p，计算g₁＝g^α。属性基加密系统的公共参数为params＝(e,p,g,g₁,g₂,h,A₁,A₂,…A_n,G,G_τ)，主密钥为msk＝α。属性可以由属性基加密系统的使用单位自行定义，比如，当将属性基加密系统应用于高校时，可以定义第一用户属性为：姓名、性别、年龄、职称、职务、院系等；当将属性基加密系统应用于政府机构时，可以定义第一用户属性为：姓名、性别、年龄、户口所在地、籍贯等。

S120，第一用户接收中心机构发送的密钥。

具体的，第一用户可以是一个，也可以是多个，第一用户可以是个人电脑，台式电脑，手机等设备。

第一用户接收中心机构发送的密钥，所述密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的，所述属性基加密系统的公共参数、属性基加密系统的主密钥是通过中心机构的安全参数生成的。

可选地，所述密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的，所述属性基加密系统的公共参数、属性基加密系统的主密钥是通过中心机构的安全参数生成的,具体包括：

中心机构输入属性基加密系统的公共参数params，属性基加密系统的主密钥msk和第一用户属性A_U，输出第一用户的秘钥sk_U，即KG(params,msk,A_U)→sk_U。

具体的，假设第一用户U拥有属性中心机构从Z_p中选择一个随机参数r_U，计算 $x_U=g^{r_U},y_U=g_2^{\mathrm{\α}}{h}^{r_U},z_{i_1}=A_{i_1}^{r_U},z_{i_2}=A_{i_2}^{r_U},\mathrm{...},$ $z_{i_1}=A_{i_1}^{r_U}.$

则第一用户U的密钥为中心机构将第一用户U的密钥发送给第一用户。

可选地，所述第一用户接收中心机构发送的密钥之后还包括：

所述第一用户利用公共参数和双线性群产生算法验证所述密钥的正确性。

具体地，密钥sk_U的正确性可以用以下公式验证：

e(g,y_U)＝e(g₁,g₂)·e(x_U,h)，

$e(g,z_{i_q})=e(x_u,A_{j_q}),$ q＝1,2,…,l。

S130，第一用户接收第二用户发送的密文，所述密文是由第二用户通过访问控制结构和所述公共参数生成的。

其中，第二用户为加密者，该加密者可以是个人电脑，台式电脑，手机等设备。访问控制结构是实现访问控制的机制，该访问控制结构可以是单调的访问控制结构等。

可选地，所述第一用户接收第二用户发送的密文，所述密文是由第二用户通过访问控制结构和所述公共参数生成的，具体包括:

第二用户输入一个访问控制结构A和属性基加密系统的公共参数params，输出密文CT，即CT＝Encrypt(params,M,A)；

其中，M为消息。

具体的，假设消息M∈G_τ，第二用户选择一组属性选择随机参数t∈Z_p，计算

C₀＝M·e(g₁,g₂)^t，C₁＝g^t， $C_2={\left(h\underset{w=1}{\overset{\mathrm{\π}}{\Π}}{A}_{j_w}\right)}^t,$ 生成密文。

密文为CT＝(C₀,C₁,C₂)，第二用户将生成的密文发送给第一用户。因此，加密一个消息，只需做三个指数运算，密文具有固定的长度。

S140，当第一用户属性满足所述访问控制结构时，所述第一用户通过所述密钥解密所述密文。

可选地，所述当所述第一用户属性满足所述访问控制结构时，所述第一用户通过所述密钥解密所述密文，具体包括：

如果第一用户的属性满足密文CT中的访问控制结构A时，则第一用户可利用密钥sk_U解密CT，得到消息M，即M＝Decrypt(params,sk_U,CT)；

其中，params为属性基加密系统的公共参数。

具体的，如果 $A\{a_{j_1},a_{j_2},\mathrm{...}{a}_{j_{\mathrm{\π}}}\}\⋐A_U=\{a_{i_1},a_{i_2},\mathrm{...},a_{i_1}\},$ 解密CT＝(C₀,C₁,C₂)，第一用户U利用下面公式，解密出密文。

$d_U=y_U\underset{w=1}{\overset{\mathrm{\π}}{\Π}}{s}_{j_w},$

$M=C_0\·\frac{e(x_U,C_2)}{e(d_U,C_1)}.$

因此，解密一个密文，只需做两个双线性对运算。

应用本发明实施例提供的属性基加密方法，中心机构建立属性基加密系统；接收中心机构发送的密钥；第一用户接收第二用户发送的密文，密文是由第二用户通过访问控制结构和所述公共参数生成的；当第一用户属性满足所述访问控制结构时，第一用户通过所述密钥解密所述密文，保证了加密算法具有固定的计算成本、解密算法具有固定的计算成本、密文具有固定的长度、由中心机构生成的密钥的正确性可以被验证以及可实现单调的访问控制结构，大大降低了计算成本。

相应地，本发明提供了一种属性基加密装置。图2为本发明实施例二提供的属性基加密装置的结构示意图。如图2所示，属性基加密装置包括：建立单元210，接收单元220，解密单元230。

建立单元210，用于中心机构建立属性基加密系统；

接收单元220，用于接收中心机构发送的密钥，所述密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的，所述属性基加密系统的公共参数、属性基加密系统的主密钥是通过中心机构的安全参数生成的；

所述接收单元220还用于，接收第二用户发送的密文，所述密文是由第二用户通过访问控制结构和所述公共参数生成的；

解密单元230，用于当所述第一用户属性满足所述访问控制结构时，所述第一用户通过所述密钥解密所述密文。

所述装置还包括：验证单元240；

所述验证单元240，用于利用公共参数和双线性群产生算法验证所述密钥的正确性。

可选地，所述接收单元还包括：输入子单元2201，输出子单元2202；

所述输入子单元2201，用于输入安全参数1^k，生成属性基加密系统的主密钥msk和属性基加密系统的公共参数params，即Setup(1^k)→(msk,params)；

所述输入子单元2201还用于，输入属性基加密系统的公共参数params，属性基加密系统的主密钥msk和第一用户属性A_U；

所述输出子单元2202，用于输出第一用户的秘钥sk_U，即KG(params,msk,A_U)→sk_U。

可选地，所述输入子单元2201还用于，输入一个访问控制结构A和属性基加密系统的公共参数params；

所述输出子单元2202还用于，输出密文CT，即CT＝Encrypt(params,M,A)；

其中，M为消息。

可选地，所述解密单元230还用于，如果第一用户的属性满足密文CT中的访问控制结构A时，则第一用户可利用密钥sk_U解密CT，得到消息M，即M＝Decrypt(params,sk_U,CT)；

其中，params为属性基加密系统的公共参数。

应用本发明实施例提供的属性基加密装置，建立单元建立属性基加密系统；接收单元接收中心机构发送的密钥，密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的，属性基加密系统的公共参数、属性基加密系统的主密钥是通过中心机构的安全参数生成的；接收第二用户发送的密文，密文是由第二用户通过访问控制结构和公共参数生成的；当第一用户属性满足访问控制结构时，第一用户通过所述密钥解密所述密文，保证了加密算法具有固定的计算成本、解密算法具有固定的计算成本、密文具有固定的长度、由中心机构生成的密钥的正确性可以被验证以及可实现单调的访问控制结构，大大降低了计算成本。

专业人员应该还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

以上所述的具体实施方式，对本发明的目的、技术方法和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种属性基加密方法，其特征在于，所述方法包括：

中心机构建立属性基加密系统；

第一用户接收中心机构发送的密钥，所述密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的，所述属性基加密系统的公共参数、属性基加密系统的主密钥是通过中心机构的安全参数生成的；

第一用户接收第二用户发送的密文，所述密文是由第二用户通过访问控制结构和所述公共参数生成的；

当所述第一用户属性满足所述访问控制结构时，所述第一用户通过所述密钥解密所述密文。

2.根据权利要求1所述的方法，其特征在于，所述第一用户接收中心机构发送的密钥之后还包括：

所述第一用户利用公共参数和双线性群产生算法验证所述密钥的正确性。

3.根据权利要求1所述的方法，其特征在于，所述密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的，所述属性基加密系统的公共参数、属性基加密系统的主密钥是通过中心机构的安全参数生成的,具体包括：

中心机构输入安全参数1^k，生成属性基加密系统的主密钥msk和属性基加密系统的公共参数params，即Setup(1^k)→(msk,params)；

中心机构输入属性基加密系统的公共参数params，属性基加密系统的主密钥msk和第一用户属性A_U，输出第一用户的秘钥sk_U，即KG(params，msk，A_U)→sk_U。

4.根据权利要求1所述的方法，其特征在于，所述第一用户接收第二用户发送的密文，所述密文是由第二用户通过访问控制结构和所述公共参数生成的，具体包括:

第二用户输入一个访问控制结构A和属性基加密系统的公共参数params，输出密文CT，即CT＝Encrypt(params,M,A)；

其中，M为消息。

5.根据权利要求1所述的方法，其特征在于，所述当所述第一用户属性满足所述访问控制结构时，所述第一用户通过所述密钥解密所述密文，具体包括：

如果第一用户的属性满足密文CT中的访问控制结构A时，则第一用户可利用密钥sk_U解密CT，得到消息M，即M＝Decrypt(params,sk_U,CT)；

其中，params为属性基加密系统的公共参数。

6.一种属性基加密装置，其特征在于，所述装置包括：

建立单元，用于建立属性基加密系统；

接收单元，用于接收中心机构发送的密钥，所述密钥是由中心机构通过属性基加密系统的公共参数、属性基加密系统的主密钥以及第一用户属性生成的，所述属性基加密系统的公共参数、属性基加密系统的主密钥是通过中心机构的安全参数生成的；

所述接收单元还用于，接收第二用户发送的密文，所述密文是由第二用户通过访问控制结构和所述公共参数生成的；

解密单元，用于当所述第一用户属性满足所述访问控制结构时，所述第一用户通过所述密钥解密所述密文。

7.根据权利要求5所述的属性基加密装置，其特征在于，所述装置还包括：验证单元；

所述验证单元，用于利用公共参数和双线性群产生算法验证所述密钥的正确性。

8.根据权利要求6所述的装置，其特征在于，所述接收单元还包括：输入子单元，输出子单元；

所述输入子单元，用于输入安全参数1^k，生成属性基加密系统的主密钥msk和属性基加密系统的公共参数params，即Setup(1^k)→(msk,params)；

所述输入子单元还用于，输入属性基加密系统的公共参数params，属性基加密系统的主密钥msk和第一用户属性A_U；

所述输出子单元，用于输出第一用户的秘钥sk_U，即KG(params,msk,A_U)→sk_U。

9.根据权利要求6所述的装置，其特征在于，

所述输入子单元还用于，输入一个访问控制结构A和属性基加密系统的公共参数params；

所述输出子单元还用于，输出密文CT，即CT＝Encrypt(params,M,A)；

其中，M为消息。

10.根据权利要求6所述的装置，其特征在于，

所述解密单元还用于，如果第一用户的属性满足密文CT中的访问控制结构A时，则第一用户可利用密钥sk_U解密CT，得到消息M，即M＝Decrypt(params,sk_U,CT)；

其中，params为属性基加密系统的公共参数。