CN105721448A - 批处理属性基加密方法和系统 - Google Patents

Abstract

本发明公开一种批处理属性基加密方法和系统，其中，该方法包括以下步骤：S1，根据输入的安全参数，获取多个认证机构中每个认证机构的主密钥；S2，根据主密钥和每个解密者的属性，获取每个解密者的私钥，其中，解密者的属性的集合与访问控制结构相匹配；S3，加密者选择具有相同属性的目标解密者，并根据目标解密者所属的认证机构的主密钥和目标解密者的属性将消息加密以得到密文，并将密文发送至云服务器；S4，目标解密者接收服务器的密文，判断目标解密者的属性的集合是否与访问控制结构相匹配；S5，如果相匹配，则进一步解密以得到消息。根据本发明实施例的方法，能够节省加密时的计算开销，提高计算速率，同时能够减小通信量。

Description

批处理属性基加密方法和系统

技术领域

本发明涉及通信技术领域，特别涉及一种批处理属性基加密方法和系统。

背景技术

传统的基于公钥基础设施的加密机制能够保护通信数据的机密性。然而在通过上述机制进行加密的过程中，加密者必须获得通信对象(即解密者)的公钥证书，并且如果加密者要对某个系统中的某一类解密者的数据进行加密，也需要分别获取每一个解密者的公钥，并分别进行计算。

目前，相关技术中提出了属性基加密机制，通过该机制，加密者可利用解密者的属性对通信数据进行加密，而无需获取解密者的公钥，并且如果多个解密者都含有相应的属性，那么这些解密者都可以对通信数据进行解密，这无疑能够在一定程度上节省加密时的计算开销。

在实际的通信过程中，加密者与解密者可分别具有对应的认证机构，认证机构可监管加密者与解密者的属性，并可为加密者与解密者颁发属性密钥。在通信过程中，加密者和解密者可涉及多个认证机构，以学校为例，每个学校都可具有对应的认证机构。在目前的属性基加密机制下，如果某一加密者需要与不同认证机构中属性相同的解密者进行通信，则需对不同认证机构中的解密者的通信数据分别进行加密。这无疑仍会存在重复的计算，因此计算开销较大、且计算速率较低。同时，分别进行的加密所生成的密文较多，因此通信量较大。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的目的在于提出一种批处理属性基加密方法，能够节省加密时的计算开销，提高计算速率，同时能够减小通信量。

本发明的第二个目的在于提出一种批处理属性基加密系统。

根据本发明第一方面实施例的批处理属性基加密方法，包括以下步骤：S1，根据输入的安全参数，获取多个认证机构中每个认证机构的主密钥，其中，每个所述认证机构中包括至少一个用户，所述用户包括加密者和解密者；S2，根据所述主密钥和每个所述认证机构中的每个解密者的属性，获取每个解密者的私钥，其中，所述解密者的属性的集合与访问控制结构相匹配；S3，所述加密者选择具有相同属性的目标解密者，并根据所述目标解密者所属的认证机构的主密钥和所述目标解密者的属性将消息加密以得到密文，并将所述密文发送至云服务器；S4，所述目标解密者接收所述服务器的密文，在对所述密文进行初步解密得到明文文件后，根据所述明文文件判断所述目标解密者的属性的集合是否与所述访问控制结构相匹配；S5，如果所述目标解密者的属性的集合与所述访问控制结构相匹配，则根据所述目标解密者的私钥对所述明文文件进行进一步解密以得到所述消息。

根据本发明实施例的批处理属性基加密方法，可根据每个认证机构中每个解密者的属性和每个认证机构的主密钥获取每个解密者的私钥，加密者可选择具有相同属性的目标解密者，并根据目标解密者所属的认证机构的主密钥和目标解密者的属性将消息加密以得到密文，目标解密者可根据其属性和私钥对密文进行解密以得到加密者所发送的消息。由此，在与多个认证机构中的用户进行通信时，可同时对多个认证机构中属性相同的用户的通信数据进行加密，与相关技术相比，能够在保证通信安全性的同时，有效节省加密时的计算开销，提高计算速率，此外，通过本方法加密所得到的密文较短，大大减小了通信量。

另外，根据本发明上述实施例的批处理属性基加密方法还可以具有如下附加的技术特征：

根据本发明的一个实施例，所述S1包括：输入安全参数λ，选择与所述安全参数λ对应的椭圆曲线，由所述椭圆曲线上的点构成阶数为p的乘法循环群G和GT，并构造双线性映射运算e：G×G→GT，其中，所述安全参数λ越大，构成所述乘法循环群G和GT的所述椭圆曲线上的点越多；随机选择所述乘法循环群G中的生成元g；为多个认证机构所管理的每个属性分别随机选取对应的随机数h1、h2、…、hU，并为每个所述认证机构选择一个Z_p中的元素α_i，其中，所述Z_p表示集合{1，2，…，p-1}；根据所述生成元g、所述随机数h₁、h₂、…、h_U和所述元素α_i计算每个所述认证机构的公钥，并进一步得到每个所述认证机构的所述主密钥。

进一步地，所述公钥为所述主密钥为MK_i＝(PK_i,α_i)。

根据本发明的一个实施例，所述S2包括：输入访问控制结构(W，f)，其中，访问控制矩阵W为1行m列的矩阵，f为与所述访问控制矩阵W中的行相对应的函数，其中，所述访问控制矩阵W中的行与所述属性一一对应，即所述解密者的属性的集合与访问控制结构相匹配；选择随机向量其中，y₂,...,y_m为所述Z_p中的随机数；根据所述访问控制结构、所述随机向量和所述主密钥计算解密者l的私钥：

$D_l=g^{{\mathrm{\λ}}_l}\·h_{f\left(l\right)}^{r_l},R_l=g^{r_l},\∀d\∈\mathrm{\β}\backslash f\left(l\right),Q_{l,d}=h_d^{r_l},$

其中，β表示访问控制矩阵W中出现的不同属性的集合，Wr为访问控制矩阵W的第r行，r_l为所述Z_p中的随机数，β\x表示除了元素x之外的集合β。

根据本发明的一个实施例，所述密文为：CT＝(S,C_i,C',Cx)，其中，S为所述目标解密者的属性的集合，s为所述Z_p中的随机数，M_i为所述消息。

根据本发明的一个实施例，所述S5包括：定义函数v：v(γ)＝∏_x∈γh_x，对于每个r∈I，所述目标解密者计算D'_r＝Dr·∏_x∈γ/f(r)Q_r,x，其中，I代表所述访问控制矩阵W的行的编号，γ代表所述访问控制矩阵W的行对应的属性；得到所述消息 $M_i=C_i/e{(g,g)}^{{\mathrm{\α}}_{i}s},$ 其中， $e{(g,g)}^{{\mathrm{\α}}_{i}s}=e(C^{\′},\underset{r\∈I}{\Π}{D}_r^{\′{\mathrm{\ω}}_r})/e(\underset{r\∈I}{\Π}{R}_r^{{\mathrm{\ω}}_r},L),$ {ω_r}_r∈I∈Z_p是常数而且满足 $\underset{r\∈I}{\Σ}{\mathrm{\ω}}_r{W}_r=(1,0,...,0).$

根据本发明第二方面实施例的批处理属性基加密系统，包括：初始化模块，用于根据输入的安全参数，获取多个认证机构中每个认证机构的主密钥，其中，每个认证机构中包括至少一个用户，所述用户包括加密者和解密者；私钥生成模块，用于根据所述主密钥和每个所述认证机构中的每个解密者的属性，获取每个解密者的私钥，其中，所述解密者的属性的集合与访问控制结构相匹配；加密模块，用于在所述加密者选择具有相同属性的目标解密者后，根据所述目标解密者所属的认证机构的主密钥和所述目标解密者的属性将消息加密以得到密文，并将所述密文发送至云服务器；解密模块，用于在所述目标解密者接收所述服务器的密文后，对所述密文进行初步解密得到明文文件，并根据所述明文文件判断所述目标解密者的属性的集合是否与所述访问控制结构相匹配，如果所述目标解密者的属性的集合与所述访问控制结构相匹配，则根据所述目标解密者的私钥对所述明文文件进行进一步解密以得到所述消息。

根据本发明实施例的批处理属性基加密系统，可根据每个认证机构中每个解密者的属性和每个认证机构的主密钥获取每个解密者的私钥，加密者可选择具有相同属性的目标解密者，并根据目标解密者所属的认证机构的主密钥和目标解密者的属性将消息加密以得到密文，目标解密者可根据其属性和私钥对密文进行解密以得到加密者所发送的消息。由此，在与多个认证机构中的用户进行通信时，可同时对多个认证机构中属性相同的用户的通信数据进行加密，与相关技术相比，能够在保证通信安全性的同时，有效节省加密时的计算开销，提高计算速率，此外，通过本系统加密所得到的密文较短，大大减小了通信量。

另外，根据本发明上述实施例的批处理属性基加密系统还可以具有如下附加的技术特征：

根据本发明的一个实施例，所述初始化模块包括：构造单元，用于根据输入的安全参数λ，选择与所述安全参数λ对应的椭圆曲线，由所述椭圆曲线上的点构成阶数为p的乘法循环群G和GT，并构造双线性映射运算e：G×G→GT，其中，所述安全参数λ越大，构成所述乘法循环群G和GT的所述椭圆曲线上的点越多；第一选择单元，用于随机选择所述乘法循环群G中的生成元g；第二选择单元，用于为多个认证机构所管理的每个属性分别随机选取对应的随机数h1、h2、…、hU，并为每个所述认证机构选择一个Z_p中的元素α_i，其中，所述Z_p表示集合{1，2，…，p-1}；第一计算单元，用于根据所述生成元g、所述随机数h₁、h₂、…、h_U和所述元素α_i计算每个所述认证机构的公钥，并进一步得到每个所述认证机构的所述主密钥。

进一步地，所述公钥为所述主密钥为MK_i＝(PK_i,α_i)。

根据本发明的一个实施例，所述私钥生成模块包括：输入单元，用于输入访问控制结构(W，f)，其中，访问控制矩阵W为1行m列的矩阵，f为与所述访问控制矩阵W中的行相对应的函数，其中，所述访问控制矩阵W中的行与所述属性一一对应，即所述解密者的属性的集合与访问控制结构相匹配；第三选择单元，用于选择随机向量其中，y₂,...,y_m为所述Z_p中的随机数；第二计算单元，用于根据所述访问控制结构、所述随机向量和所述主密钥计算解密者l的私钥：

$D_l=g^{{\mathrm{\λ}}_l}\·h_{f\left(l\right)}^{r_l},R_l=g^{r_l},\∀d\∈\mathrm{\β}\backslash f\left(l\right),Q_{l,d}=h_d^{r_l},$

其中，β表示访问控制矩阵W中出现的不同属性的集合，Wr为访问控制矩阵W的第r行，r_l为所述Z_p中的随机数，β\x表示除了元素x之外的集合β。

根据本发明的一个实施例，所述密文为：CT＝(S,C_i,C',Cx)，其中， ${\{C_i=M_i\·e{(g,g)}^{{\mathrm{\α}}_{i}s}\}}_{1\≤i\≤n},C^{\′}=g^s,{\{C_x=h_x^s\}}_{x\∈S},$ S为所述目标解密者的属性的集合，s为所述Z_p中的随机数，M_i为所述消息。

根据本发明的一个实施例，所述解密模块具体用于：定义函数v：v(γ)＝∏_x∈γh_x，对于每个r∈I，所述目标解密者计算D'_r＝D_r·∏_x∈γ/f(r)Q_r,x，其中，I代表所述访问控制矩阵W的行的编号，γ代表所述访问控制矩阵W的行对应的属性，并得到所述消息其中， $e{(g,g)}^{{\mathrm{\α}}_{i}s}=e(C^{\′},\underset{r\∈I}{\Π}{D}_r^{\′{\mathrm{\ω}}_r})/e(\underset{r\∈I}{\Π}{R}_r^{{\mathrm{\ω}}_r},L),$ {ω_r}_r∈I∈Z_p是常数而且满足 $\underset{r\∈I}{\Σ}{\mathrm{\ω}}_r{W}_r=(1,0,...,0).$

附图说明

图1为根据本发明一个实施例的批处理属性基加密方法的流程图；

图2为根据本发明一个实施例的批处理属性基加密系统的结构框图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面结合附图描述本发明实施例的批处理属性基加密方法和系统。

图1为根据本发明一个实施例的批处理属性基加密方法的流程图。

如图1所示，本发明实施例的批处理属性基加密方法，包括以下步骤：

S1，根据输入的安全参数，获取多个认证机构中每个认证机构的主密钥，其中，每个认证机构中包括至少一个用户，用户包括加密者和解密者。

具体地，可输入安全参数λ，选择与安全参数λ对应的椭圆曲线，由椭圆曲线上的点构成阶数为p的乘法循环群G和GT，并构造双线性映射运算e：G×G→GT，其中，安全参数λ越大，构成乘法循环群G和GT的椭圆曲线上的点越多，再随机选择乘法循环群G中的生成元g，然后为多个认证机构所管理的每个属性分别随机选取对应的随机数h₁、h₂、…、h_U，并为每个认证机构选择一个Z_p中的元素α_i，其中，Z_p表示集合{1，2，…，p-1}，i表示第i个认证机构。在本发明的一个实施例中，若椭圆曲线为Y²＝X³+aX+b，则可随机选择自变量X的一个值x₁，计算其对应的因变量的值y₁，如果点(x₁，y₁)在乘法循环群G中，则该点对应的生成元g即为随机选取的生成元，如果点不(x₁，y₁)在乘法循环群G中，则继续选择自变量X的其他值，直至得到乘法循环群G中的点。在本发明的一个实施例中，可从Pairing-BasedCryptosystems函数包中调用随机数生成函数，以生成Z_p中的元素α_i。

需要说明的是，双线性映射可满足以下性质：(1)双线性特性：对于所有g∈G，a、b∈Z_p，有e(g^a，g^b)＝e(g，g)^ab成立；(2)非退化性：群G中至少存在一个元素g，使得计算后的e(g，g)为群GT的某个生成元；(3)可计算性：存在有效算法，对所有g∈G，均可有效计算出e(g，g)的值。

在根据输入的安全参数确定生成元g、随机数h₁、h₂、…、h_U和元素α_i后，可根据生成元g、随机数h₁、h₂、…、h_U和元素α_i计算每个认证机构的公钥，并进一步得到每个认证机构的主密钥。具体地，第i个认证机构的公钥可表示为： ${\mathrm{PK}}_i=(G,p,g,e{\left(g,g\right)}^{{\mathrm{\α}}_i},h_1,...,h_U),$ 主密钥可表示为：MK_i＝(PK_i,α_i)。

S2，根据主密钥和每个认证机构中的每个解密者的属性，获取每个解密者的私钥，其中，解密者的属性的集合与访问控制结构相匹配。

具体地，可输入访问控制结构(W，f)，其中，访问控制矩阵W为1行m列的矩阵，f为与访问控制矩阵W中的行相对应的函数，其中，访问控制矩阵W中的行与属性一一对应，即解密者的属性的集合与访问控制结构相匹配。

需要说明的是，在属性基加密方案中，为了实现对数据使用实施细粒度的访问控制，需要在加密数据之前制定相应的访问控制策略，而访问控制策略则通过访问控制结构表达。本发明实施例的访问控制结构为访问控制矩阵W，即1行m列的矩阵。由于属性基加密方案中访问控制策略是与属性相关的，故在生成访问控制矩阵时，我们选择一种映射，将矩阵W的每一行的行标分别映射到访问控制策略中涉及到的某一属性上。

然后，可选择随机向量其中，y₂,...,y_m为Z_p中的随机数，可用于隐藏α_i。

最后可根据访问控制结构、随机向量和主密钥计算解密者l的私钥：

$D_l=g^{{\mathrm{\λ}}_l}\·h_{f\left(l\right)}^{r_l},R_l=g^{r_l},\∀d\∈\mathrm{\β}\backslash f\left(l\right),Q_{l,d}=h_d^{r_l},$

其中，β表示访问控制矩阵W中出现的不同属性的集合，Wr为访问控制矩阵W的第r行，r_l为Z_p中的随机数，β\x表示除了元素x之外的集合β。

S3，加密者选择具有相同属性的目标解密者，并根据目标解密者所属的认证机构的主密钥和目标解密者的属性将消息加密以得到密文，并将密文发送至云服务器。

在本发明的实施例中，目标解密者可来自于不同的认证机构。在本发明的一个实施例中，密文可为：CT＝(S,C_i,C',Cx)，其中， ${\{C_i=M_i\·e{(g,g)}^{{\mathrm{\α}}_{i}s}\}}_{1\≤i\≤n},C^{\′}=g^s,{\{C_x=h_x^s\}}_{x\∈S},$ S为目标解密者的属性的集合，s为Z_p中的随机数，M_i为消息。

S4，目标解密者接收服务器的密文，在对密文进行初步解密得到明文文件后，根据明文文件判断目标解密者的属性的集合是否与访问控制结构相匹配。

S5，如果目标解密者的属性的集合与访问控制结构相匹配，则根据目标解密者的私钥对明文文件进行进一步解密以得到消息。

具体地，可定义函数v：v(γ)＝∏_x∈γh_x，对于每个r∈I，目标解密者计算D'_r＝D_r·∏_x∈γ/f(r)Q_r,x，其中，I代表访问控制矩阵W的行的编号，γ代表访问控制矩阵W的行对应的属性，从而可得到消息 $M_i=C_i/e{(g,g)}^{{\mathrm{\α}}_{i}s},$ 其中， $e{(g,g)}^{{\mathrm{\α}}_{i}s}=e(C^{\′},\underset{r\∈I}{\Π}{D}_r^{\′{\mathrm{\ω}}_r})/e(\underset{r\∈I}{\Π}{R}_r^{{\mathrm{\ω}}_r},L),$ {ω_r}_r∈I∈Z_p是常数而且满足 $\underset{r\∈I}{\Σ}{\mathrm{\ω}}_r{W}_r=(1,0,...,0).$

根据本发明实施例的批处理属性基加密方法，可根据每个认证机构中每个解密者的属性和每个认证机构的主密钥获取每个解密者的私钥，加密者可选择具有相同属性的目标解密者，并根据目标解密者所属的认证机构的主密钥和目标解密者的属性将消息加密以得到密文，目标解密者可根据其属性和私钥对密文进行解密以得到加密者所发送的消息。由此，在与多个认证机构中的用户进行通信时，可同时对多个认证机构中属性相同的用户的通信数据进行加密，与相关技术相比，能够在保证通信安全性的同时，有效节省加密时的计算开销，提高计算速率，此外，通过本方法加密所得到的密文较短，大大减小了通信量。

为实现上述实施例，本发明还提出一种批处理属性基加密系统。

图2为根据本发明一个实施例的批处理属性基加密系统的结构框图。

如图2所示，本发明实施例的批处理属性基加密系统，包括：初始化模块10、私钥生成模块20、加密模块30和解密模块40。

其中，初始化模块10用于根据输入的安全参数，获取多个认证机构中每个认证机构的主密钥，其中，每个认证机构中包括至少一个用户，用户包括加密者和解密者。

在本发明的实施例中，初始化模块10可具体包括：构造单元11、第一选择单元12、第二选择单元13和第一计算单元14。

其中，构造单元11用于根据输入的安全参数λ，选择与安全参数λ对应的椭圆曲线，由椭圆曲线上的点构成阶数为p的乘法循环群G和GT，并构造双线性映射运算e：G×G→GT，其中，安全参数λ越大，构成乘法循环群G和GT的椭圆曲线上的点越多。

第一选择单元12用于随机选择乘法循环群G中的生成元g。

在本发明的一个实施例中，若椭圆曲线为Y²＝X³+aX+b，则可随机选择自变量X的一个值x₁，计算其对应的因变量的值y₁，如果点(x₁，y₁)在乘法循环群G中，则该点对应的生成元g即为随机选取的生成元，如果点不(x₁，y₁)在乘法循环群G中，则继续选择自变量X的其他值，直至得到乘法循环群G中的点。

第二选择单元13用于为多个认证机构所管理的每个属性分别随机选取对应的随机数h1、h2、…、hU，并为每个认证机构选择一个Z_p中的元素α_i，其中，Z_p表示集合{1，2，…，p-1}。

在本发明的一个实施例中，可从Pairing-BasedCryptosystems函数包中调用随机数生成函数，以生成Z_p中的元素α_i。

需要说明的是，双线性映射可满足以下性质：(1)双线性特性：对于所有g∈G，a、b∈Z_p，有e(g^a，g^b)＝e(g，g)^ab成立；(2)非退化性：群G中至少存在一个元素g，使得计算后的e(g，g)为群GT的某个生成元；(3)可计算性：存在有效算法，对所有g∈G，均可有效计算出e(g，g)的值。

第一计算单元14用于根据生成元g、随机数h₁、h₂、…、h_U和元素α_i计算每个认证机构的公钥，并进一步得到每个认证机构的主密钥。在本发明的一个实施例中，第i个认证机构的公钥可表示为：主密钥可表示为：MK_i＝(PK_i,α_i)。

私钥生成模块20用于根据主密钥和每个认证机构中的每个解密者的属性，获取每个解密者的私钥，其中，解密者的属性的集合与访问控制结构相匹配。

在本发明的实施例中，私钥生成模块20可具体包括：输入单元21、第三选择单元22和第二计算单元23。

其中，输入单元21用于输入访问控制结构(W，f)，其中，访问控制矩阵W为1行m列的矩阵，f为与访问控制矩阵W中的行相对应的函数，其中，访问控制矩阵W中的行与属性一一对应，即解密者的属性的集合与访问控制结构相匹配。

需要说明的是，在属性基加密方案中，为了实现对数据使用实施细粒度的访问控制，需要在加密数据之前制定相应的访问控制策略，而访问控制策略则通过访问控制结构表达。本发明实施例的访问控制结构为访问控制矩阵W，即1行m列的矩阵。由于属性基加密方案中访问控制策略是与属性相关的，故在生成访问控制矩阵时，我们选择一种映射，将矩阵W的每一行的行标分别映射到访问控制策略中涉及到的某一属性上。

第三选择单元22用于选择随机向量其中，y₂,...,y_m为Z_p中的随机数，可用于隐藏α_i。

第二计算单元23用于根据访问控制结构、随机向量和主密钥计算解密者l的私钥：

$D_l=g^{{\mathrm{\λ}}_l}\·h_{f\left(l\right)}^{r_l},R_l=g^{r_l},\∀d\∈\mathrm{\β}\backslash f\left(l\right),Q_{l,d}=h_d^{r_l},$

其中，β表示访问控制矩阵W中出现的不同属性的集合，Wr为访问控制矩阵W的第r行，r_l为Z_p中的随机数，β\x表示除了元素x之外的集合β。

加密模块30用于在加密者选择具有相同属性的目标解密者后，根据目标解密者所属的认证机构的主密钥和目标解密者的属性将消息加密以得到密文，并将密文发送至云服务器。

在本发明的实施例中，目标解密者可来自于不同的认证机构。在本发明的一个实施例中，密文可为：CT＝(S,C_i,C',Cx)，其中， ${\{C_i=M_i\·e{(g,g)}^{{\mathrm{\α}}_{i}s}\}}_{1\≤i\≤n},C^{\′}=g^s,{\{C_x=h_x^s\}}_{x\∈S},$ S为目标解密者的属性的集合，s为Z_p中的随机数，M_i为消息。

解密模块40用于在目标解密者接收服务器的密文后，对密文进行初步解密得到明文文件，并根据明文文件判断目标解密者的属性的集合是否与访问控制结构相匹配，如果目标解密者的属性的集合与访问控制结构相匹配，则根据目标解密者的私钥对明文文件进行进一步解密以得到消息。

具体地，可定义函数v：v(γ)＝∏_x∈γh_x，对于每个r∈I，目标解密者计算D'_r＝D_r·∏_x∈γ/f(r)Q_r,x，其中，I代表访问控制矩阵W的行的编号，γ代表访问控制矩阵W的行对应的属性，从而可得到消息 $M_i=C_i/e{(g,g)}^{{\mathrm{\α}}_{i}s},$ 其中， $e{(g,g)}^{{\mathrm{\α}}_{i}s}=e(C^{\′},\underset{r\∈I}{\Π}{D}_r^{\′{\mathrm{\ω}}_r})/e(\underset{r\∈I}{\Π}{R}_r^{{\mathrm{\ω}}_r},L),$ {ω_r}_r∈I∈Z_p是常数而且满足 $\underset{r\∈I}{\Σ}{\mathrm{\ω}}_r{W}_r=(1,0,...,0).$

根据本发明实施例的批处理属性基加密系统，可根据每个认证机构中每个解密者的属性和每个认证机构的主密钥获取每个解密者的私钥，加密者可选择具有相同属性的目标解密者，并根据目标解密者所属的认证机构的主密钥和目标解密者的属性将消息加密以得到密文，目标解密者可根据其属性和私钥对密文进行解密以得到加密者所发送的消息。由此，在与多个认证机构中的用户进行通信时，可同时对多个认证机构中属性相同的用户的通信数据进行加密，与相关技术相比，能够在保证通信安全性的同时，有效节省加密时的计算开销，提高计算速率，此外，通过本系统加密所得到的密文较短，大大减小了通信量。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (12)

1.一种批处理属性基加密方法，其特征在于，包括以下步骤：

S1，根据输入的安全参数，获取多个认证机构中每个认证机构的主密钥，其中，每个所述认证机构中包括至少一个用户，所述用户包括加密者和解密者；

S2，根据所述主密钥和每个所述认证机构中的每个解密者的属性，获取每个解密者的私钥，其中，所述解密者的属性的集合与访问控制结构相匹配；

S3，所述加密者选择具有相同属性的目标解密者，并根据所述目标解密者所属的认证机构的主密钥和所述目标解密者的属性将消息加密以得到密文，并将所述密文发送至云服务器；

S4，所述目标解密者接收所述服务器的密文，在对所述密文进行初步解密得到明文文件后，根据所述明文文件判断所述目标解密者的属性的集合是否与所述访问控制结构相匹配；

S5，如果所述目标解密者的属性的集合与所述访问控制结构相匹配，则根据所述目标解密者的私钥对所述明文文件进行进一步解密以得到所述消息。

2.根据权利要求1所述的批处理属性基加密方法，其特征在于，所述S1包括：

输入安全参数λ，选择与所述安全参数λ对应的椭圆曲线，由所述椭圆曲线上的点构成阶数为p的乘法循环群G和GT，并构造双线性映射运算e：G×G→GT，其中，所述安全参数λ越大，构成所述乘法循环群G和GT的所述椭圆曲线上的点越多；

随机选择所述乘法循环群G中的生成元g；

为多个认证机构所管理的每个属性分别随机选取对应的随机数h1、h2、…、hU，并为每个所述认证机构选择一个Z_p中的元素α_i，其中，所述Z_p表示集合{1，2，…，p-1}；

根据所述生成元g、所述随机数h₁、h₂、…、h_U和所述元素α_i计算每个所述认证机构的公钥，并进一步得到每个所述认证机构的所述主密钥。

3.根据权利要求2所述的批处理属性基加密方法，其特征在于，所述公钥为 ${\mathrm{PK}}_i=(G,p,g,e{\left(g,g\right)}^{{\mathrm{\α}}_i},h_1,...,h_U),$ 所述主密钥为MK_i＝(PK_i,α_i)。

4.根据权利要求1-3任一项所述的批处理属性基加密方法，其特征在于，所述S2包括：

输入访问控制结构(W，f)，其中，访问控制矩阵W为1行m列的矩阵，f为与所述访问控制矩阵W中的行相对应的函数，其中，所述访问控制矩阵W中的行与所述属性一一对应，即所述解密者的属性的集合与访问控制结构相匹配；

选择随机向量其中，y₂,...,y_m为所述Z_p中的随机数；

根据所述访问控制结构、所述随机向量和所述主密钥计算解密者l的私钥：

$D_l=g^{{\mathrm{\λ}}_l}\·h_{f\left(l\right)}^{r_l},R_l=g^{r_l},\∀d\∈\mathrm{\β}\backslash f\left(l\right),Q_{l,d}=h_d^{r_l},$

其中，β表示访问控制矩阵W中出现的不同属性的集合，Wr为访问控制矩阵W的第r行，r_l为所述Z_p中的随机数，β\x表示除了元素x之外的集合β。

5.根据权利要求1或2所述的批处理属性基加密方法，其特征在于，所述密文为：CT＝(S,C_i,C',Cx)，其中， ${\{C_i=M_i\·e{(g,g)}^{{\mathrm{\α}}_{i}s}\}}_{1\≤i\≤n},C^{\′}=g^s,{\{C_x=h_x^s\}}_{x\∈S},$ S为所述目标解密者的属性的集合，s为所述Z_p中的随机数，M_i为所述消息。

6.根据权利要求1所述的批处理属性基加密方法，其特征在于，所述S5包括：

定义函数v：对于每个r∈I，所述目标解密者计算其中，I代表所述访问控制矩阵W的行的编号，γ代表所述访问控制矩阵W的行对应的属性；

得到所述消息 $M_i=C_i/e{(g,g)}^{{\mathrm{\α}}_{i}s},$ 其中， $e{(g,g)}^{{\mathrm{\α}}_{i}s}=e(C^{\′},\underset{r\∈I}{\Π}{D}_r^{\′{\mathrm{\ω}}_r})/e(\underset{r\∈I}{\Π}{R}_r^{{\mathrm{\ω}}_r},L),$ {ω_r}_r∈I∈Z_p是常数而且满足

7.一种批处理属性基加密系统，其特征在于，包括：

初始化模块，用于根据输入的安全参数，获取多个认证机构中每个认证机构的主密钥，其中，每个认证机构中包括至少一个用户，所述用户包括加密者和解密者；

私钥生成模块，用于根据所述主密钥和每个所述认证机构中的每个解密者的属性，获取每个解密者的私钥，其中，所述解密者的属性的集合与访问控制结构相匹配；

加密模块，用于在所述加密者选择具有相同属性的目标解密者后，根据所述目标解密者所属的认证机构的主密钥和所述目标解密者的属性将消息加密以得到密文，并将所述密文发送至云服务器；

解密模块，用于在所述目标解密者接收所述服务器的密文后，对所述密文进行初步解密得到明文文件，并根据所述明文文件判断所述目标解密者的属性的集合是否与所述访问控制结构相匹配，如果所述目标解密者的属性的集合与所述访问控制结构相匹配，则根据所述目标解密者的私钥对所述明文文件进行进一步解密以得到所述消息。

8.根据权利要求7所述的批处理属性基加密系统，其特征在于，所述初始化模块包括：

构造单元，用于根据输入的安全参数λ，选择与所述安全参数λ对应的椭圆曲线，由所述椭圆曲线上的点构成阶数为p的乘法循环群G和GT，并构造双线性映射运算e：G×G→GT，其中，所述安全参数λ越大，构成所述乘法循环群G和GT的所述椭圆曲线上的点越多；

第一选择单元，用于随机选择所述乘法循环群G中的生成元g；

第二选择单元，用于为多个认证机构所管理的每个属性分别随机选取对应的随机数h1、h2、…、hU，并为每个所述认证机构选择一个Z_p中的元素α_i，其中，所述Z_p表示集合{1，2，…，p-1}；

第一计算单元，用于根据所述生成元g、所述随机数h₁、h₂、…、h_U和所述元素α_i计算每个所述认证机构的公钥，并进一步得到每个所述认证机构的所述主密钥。

9.根据权利要求8所述的批处理属性基加密系统，其特征在于，所述公钥为 ${\mathrm{PK}}_i=(G,p,g,e{\left(g,g\right)}^{{\mathrm{\α}}_i},h_1,...,h_U),$ 所述主密钥为MK_i＝(PK_i,α_i)。

10.根据权利要求7-9任一项所述的批处理属性基加密系统，其特征在于，所述私钥生成模块包括：

输入单元，用于输入访问控制结构(W，f)，其中，访问控制矩阵W为1行m列的矩阵，f为与所述访问控制矩阵W中的行相对应的函数，其中，所述访问控制矩阵W中的行与所述属性一一对应，即所述解密者的属性的集合与访问控制结构相匹配；

第三选择单元，用于选择随机向量其中，y₂,...,y_m为所述Z_p中的随机数；

第二计算单元，用于根据所述访问控制结构、所述随机向量和所述主密钥计算解密者l的私钥：

$D_l=g^{{\mathrm{\λ}}_l}\·h_{f\left(l\right)}^{r_l},R_l=g^{r_l},\∀d\∈\mathrm{\β}\backslash f\left(l\right),Q_{l,d}=h_d^{r_l},$

其中，β表示访问控制矩阵W中出现的不同属性的集合，Wr为访问控制矩阵W的第r行，r_l为所述Z_p中的随机数，β\x表示除了元素x之外的集合β。

11.根据权利要求7或8所述的批处理属性基加密系统，其特征在于，所述密文为：CT＝(S,C_i,C',Cx)，其中， ${\{C_i=M_i\·e{(g,g)}^{{\mathrm{\α}}_{i}s}\}}_{1\≤i\≤n},C^{\′}=g^s,{\{C_x=h_x^s\}}_{x\∈S},$ S为所述目标解密者的属性的集合，s为所述Z_p中的随机数，M_i为所述消息。

12.根据权利要求7所述的批处理属性基加密系统，其特征在于，所述解密模块具体用于：

定义函数v：对于每个r∈I，所述目标解密者计算其中，I代表所述访问控制矩阵W的行的编号，γ代表所述访问控制矩阵W的行对应的属性，并得到所述消息 $M_i=C_i/e{(g,g)}^{{\mathrm{\α}}_{i}s},$ 其中， $e{(g,g)}^{{\mathrm{\α}}_{i}s}=e(C^{\′},\underset{r\∈I}{\Π}{D}_r^{\′{\mathrm{\ω}}_r})/e(\underset{r\∈I}{\Π}{R}_r^{{\mathrm{\ω}}_r},L),$ {ω_r}_r∈I∈Z_p是常数而且满足 $\underset{r\∈I}{\Σ}{\mathrm{\ω}}_r{W}_r=(1,0,...,0).$