CN107508667B - 可公开定责无密钥托管的密文策略属性基加密方法及其装置 - Google Patents

Abstract

本发明涉及一种可公开定责无密钥托管的密文策略属性基加密方法及其装置，该方法包含：确定系统公开参数；私钥生成，包含私钥生成初始阶段和私钥生成阶段，权威机构CA和OA合作生成私钥初始数据，用户对私钥初始数据进行签名，CA依据用户签名信息和私钥初始数据进行签名验证，并计算私钥参数数据并发送至OA，OA计算私钥数据，并发送给用户；数据加密方根据预先设定访问结构对消息M执行加密操作；数据解密方进行密文数据的解密来恢复明文消息；根据解密私钥，第三方利用系统公开参数进行私钥验证及身份信息绑定。本发明有效阻止两类私钥滥用攻击和密钥托管，实现公开定责，有效保证网络安全的可靠性，对网络信息安全技术具有重要的指导意义。

Description

可公开定责无密钥托管的密文策略属性基加密方法及其装置

技术领域

本发明属于网络信息安全技术领域，特别涉及一种可公开定责无密钥托管的密文策略属性基加密方法及其装置。

背景技术

属性基加密(ABE)由Sahai and Waters在2005年提出，随后聚焦安全性、访问结构、效率等研究方向，大量的ABE方案被提出。但是，已有的ABE方案，要么没有考虑用户、权威机构这两类私钥滥用问题，要么仅仅考虑其中一类私钥滥用问题，这导致仅能追踪到泄露私钥的身份或者仅能阻止权威机构非法颁发私钥，而无法提供公开定责性，即无法公开验证泄露的私钥是用户泄露还是权威机构非法颁发的。而同时考虑两类私钥滥用和密钥托管问题的方案更是未在公开文献中见到。Waters在PKC-2011提出一个高效CP-ABE方案，该方案不能抵抗两类私钥滥用以及密钥托管，密文策略属性基加密(Ciphertext-policyattribute based encryption,CP-ABE)是一种“一对多”的公钥加密体制，可以对解密权限进行灵活的访问控制，在云计算、物联网、大数据等新型网络服务中有光明的应用前景。CP-ABE通过属性集合与访问结构的匹配关系对解密权限进行细粒度的访问控制，但由于CP-ABE系统中一个属性集合对应多个用户，导致同一个私钥可以同时被多个用户共同拥有，恶意用户为了获取非法利益会对其解密私钥进行分享，而由于解密私钥只与属性集合相关，因此无法追踪到分享私钥的用户身份，即CP-ABE系统存在用户的解密私钥滥用问题。单机构CP-ABE系统中，唯一的权威机构为系统中所有用户生成私钥，因此权威机构可以为任何未授权用户颁发非法的解密私钥，即CP-ABE系统存在权威机构的私钥滥用问题。此外，权威机构由于知道所有用户的私钥，可以解密任何的密文，即CP-ABE系统存在密钥托管问题。

发明内容

针对现有技术中的不足，本发明提供一种可公开定责无密钥托管的密文策略属性基加密方法及其装置，解决现有技术中CP-ABE系统中存在的用户、权威机构私钥滥用及密钥托管等问题，通过两个权威机构共同产生私钥方式解决私钥托管问题，使得任一权威机构不能独立解密任何密文；任何第三方可以对泄露私钥进行身份追踪，进而判定泄露私钥是用户泄露或权威机构非法办法，实现公开定责，进一步保证网络信息的安全性、可靠性。

按照本发明所提供的设计方案，一种可公开定责无密钥托管的密文策略属性基加密方法，基于如下实体实现：数据加密方、数据解密方、第三方，及两个权威机构CA和OA，加密方法包含初始化、私钥生成、加密、解密及公开验证五个过程，其具体实现步骤如下：

步骤1)、初始化，通过给定的安全参数，系统属性全集，确定系统公开参数；

步骤2)、私钥生成，包含私钥生成初始阶段和私钥生成阶段，其中，私钥生成初始阶段，权威机构CA和OA合作生成私钥初始数据，用户依据私钥初始数据计算签名信息，并将签名信息和私钥初始数据发送给权威机构CA；私钥生成阶段，权威机构CA依据签名信息和私钥初始数据进行签名验证，并计算私钥参数数据并发送至权威机构OA，权威机构OA计算私钥数据，并发送给用户；

步骤3)、加密，数据加密方执行加密加密算法，根据预先设定访问结构，对消息M执行加密操作，生成密文数据，属性集合满足该预先设定访问结构的用户获取该密文数据解密权限；

步骤4)、解密，数据解密方依据其用户属性集合执行解密解密算法进行密文数据的解密操作，生成解密私钥；

步骤5)、公开验证，根据解密私钥，第三方利用系统公开参数进行私钥验证及身份信息绑定。

上述的，步骤2中，私钥生成初始阶段，执行如下内容：权威机构CA生成并维护一个CA维护列表，计算初始私钥参数并发送给权威机构OA，其中，CA维护列表中至少存储有用户身份及CA生成的初始私钥参数信息；权威机构OA依据权威机构CA发送的初始私钥参数，计算私钥初始数据并发送给用户，OA生成并维护一个OA维护列表，维护列表至少存储有用户身份及OA计算的私钥初始数据；用户依据收到的私钥初始数据后计算其签名数据，并将私钥初始数据及签名数据发送给权威机构CA。

优选的，步骤2中，私钥生成阶段，执行如下内容：权威机构CA依据签名数据、私钥初始数据及用户签名公钥进行签名验证，若签名有效，则权威机构CA将私钥初始数据及签名数据补入CA维护列表中用户身份对应表项中，随机选取一个秘密值，计算用户属性对应的私钥参数数据，将私钥参数数据发送至权威机构OA，将随机选取的用户秘密值发送至用户，否则，返回不合法符号；权威机构OA依据私钥参数数据计算私钥数据，将私钥数据发送给用户，并将签名数据补入OA维护列表中用户身份对应表项中。

上述的，步骤1具体包含如下内容：根据给定的安全参数λ，选取两个素数p阶的乘法循环群和随机选取群的一个生成元g；选取一个双线性对令表示系统的属性全集，对每一个属性随机选取代表整数剩余类域中的非零元素组成的集合，令选取两个Hash函数，即选取 确定系统公开参数

优选的，步骤2中，私钥生成初始阶段，执行如下内容：权威机构CA验证用户U及属性集合S的合法性，随机选取计算初始私钥参数并将初始私钥参数发送给权威机构OA；权威机构OA随机选取计算私钥初始数据权威机构OA将私钥初始数据K秘密发送给用户，其中，K,是第一次为用户U生成，否则重新选取，权威机构CA维护列表L_CA按照存储：U,*,*；权威机构OA维护列表L_OA存储：U,K,*。

进一步地，步骤2中，私钥生成阶段，执行如下内容：用户U接收到私钥初始数据K，计算其签名数据并将σ,K发送给权威机构CA；权威机构CA根据公式e(σ,g)＝e(G(K,P_U),P_U)进行签名验证，如果签名有效，则权威机构CA对应补充维护列表L_CA存储：U,K,σ；并随机选取秘密值计算其余私钥其中，h＝H(σ,K,U)，权威机构CA将数据信息发送给权威机构OA，并将秘密值θ发送给用户，该数据信息包含：U,K,σ,否则，返回不合法符号；权威机构OA依据接收到的数据分别计算私钥数据将K',K_i发送给用户，并补充维护列表L_OA存储：U,K,σ。

进一步地，步骤5中，根据用户私钥第三方利用系统公开参数进行如下验证：

验证等式e(K',g)＝e(g,g)^αh/θe(g^a,K)是否成立，其中，h＝H(σ,K,U)，如果不成立，返回不合法符号⊥；否则，令用户U拥有的属性集合S'满足表示使得e(K_i,g)＝e(K,H_i)成立的属性集合，如果S'是空集，返回不合法符号⊥，否则，判定SK_U,S'绑定身份U。

进一步地，如果SK_U,S通过公开验证且绑定用户U，而用户U否认拥有SK_U,S，则验证等式e(σ,g)＝e(G(K,P_U),P_U)是否成立，如果不成立，返回符号⊥；否则，用户U额外提供私钥 其中，与SK_U,S有相同的K，然后公开验证是否绑定身份U，如果验证合法，则返回符号⊥，否则返回用户身份U。

优选的，步骤3中预先设定访问结构表示为其中，为l×k规模的矩阵，ρ是一个映射，将矩阵的行映射到某个属性。

一种可公开定责无密钥托管的密文策略属性基加密装置，基于如下实体实现：数据加密方、数据解密方、第三方，及两个权威机构CA和OA，包含：初始化模块、私钥生成模块、数据加密模块、数据解密模块及公开验证模块，其中，

初始化模块，用于通过给定的安全参数，系统属性全集，确定系统公开参数；

私钥生成模块，权威机构CA和OA合作生成私钥初始数据，用户对私钥初始数据进行签名，权威机构CA依据签名信息和计算得到的私钥初始数据进行签名验证，并将计算得到的私钥参数数据发送至权威机构OA，权威机构OA计算私钥数据，并发送给用户；

数据加密模块，数据加密方执行加密算法，根据预先设定访问结构，对消息M执行加密操作，生成密文数据，属性集合满足该预先设定访问结构的用户获取该密文数据解密权限；

数据解密模块，数据解密方依据其用户属性集合执行解密算法进行密文数据的解密操作，生成解密私钥；

公开验证模块，用于根据数据解密模块生成的解密私钥，第三方利用系统公开参数并通过公开验证算法进行私钥验证及身份信息绑定。

本发明的有益效果：

本发明针对CP-ABE系统中存在的用户、权威机构两类私钥滥用问题以及密钥托管问题，提出一个可公开定责无密钥托管的密文策略属性基加密算法，该算法采用两个权威机构共同产生私钥的方式解决了密钥托管问题，使得任一权威机构不能独立解密任何密文，大大提高网络信息的安全性和实用性；此外，任何第三方可以对泄露私钥的身份进行追踪，并且可以利用公开参数判定私钥是用户泄露的还是权威机构非法颁发的，从而实现公开定责，提升了第三方服务的安全性能，有效阻止两类私钥滥用攻击和密钥托管，实现公开定责，有效保证网络安全的可靠性，对网络信息安全技术具有重要的指导意义。

附图说明：

图1为本发明的系统架构图；

图2为本发明的方法流程图；

图3为本发明的装置示意图。

具体实施方式：

下面结合附图和技术方案对本发明作进一步清楚、完整的说明，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

现有技术中CP-ABE方案包括以下四个算法：

系统初始化：权威机构(CA)选取素数p阶的乘法循环群随机选取群中的一个生成元g，选取一个双线性映射对属性空间中每一个属性随机选取随机选取系统主密钥MSK＝g^α，公开参数

加密：给定消息M以及访问结构其中为l×k规模的矩阵，如下生成密文

随机选取向量对i＝1,…,l,计算其中W_i为的第i行；

随机选取计算：

C＝M·e(g,g)^αs,C'＝g^s

…

私钥生成：给定用户的属性集如下生成用户私钥

随机选取计算私钥L＝g^τ，K＝g^αg^aτ，K_i＝T_i ^τ,

解密：给定密文如果w满足解密访问结构令I＝{i:att_ρ(i)∈w}，通过秘密重构算法计算使得∑_i∈Iω_iW_i＝(1,0,…,0)，然后计算：

由于私钥只与用户的属性集合相关，未与用户的身份信息关联，而同一属性集合可以对应多个用户，因此如果用户为了获取非法利益将其解密私钥分享给未授权用户，也无法追踪到是哪个用户进行的非法共享；(2)Waters提出的CP-ABE方案，有唯一的权威机构为所有用户颁发私钥，因此，权威机构可以给未授权的用户非法颁发解密私钥，第三方也无法判定是用户进行的恶意共享还是权威机构进行的非法颁发；(3)由于权威机构知道所有用户的私钥，因此可以解密任何的密文。综上所述，Waters提出的CP-ABE算法不能根据泄露的私钥追踪到私钥的拥有者，即使知道泄露私钥的拥有者身份也无法判定是否为权威机构非法颁发还是用户恶意共享，即不能实现公开定责性，同时也无法阻止权威机构解密密文，即存在密钥托管问题。密文策略属性基加密可以灵活的实现“一对多”的加、解密运算，在云计算、物联网等新型网络服务中有广泛的应用前景。但是，密文策略属性基加密系统中存在两类私钥滥用问题：一是，用户可以将其解密私钥进行恶意共享，使得未授权的用户通过共享私钥解密密文；二是，权威机构(私钥颁发中心，CA)可以给任意未授权的用户非法颁发解密私钥，此外，权威机构由于知道所有用户的私钥可以解密任何的密文。公开定责指的是任何审计机构可以根据泄露的解密私钥公开的判定是用户还是权威机构在进行私钥滥用；发明中无密钥托管指的是权威机构不能独立的解密任何密文(除非发明中的两个权威机构合谋)。

为解决上述现有技术中的不足，参见图1和2所示，本实施例提供一种可公开定责无密钥托管的密文策略属性基加密方法，基于如下实体实现：数据加密方、数据解密方、第三方，及两个权威机构CA和OA，加密方法包含初始化、私钥生成、加密及解密四个过程，其具体实现步骤如下：

101、初始化，通过给定的安全参数，系统属性全集，确定系统公开参数；

102、私钥生成，包含私钥生成初始阶段和私钥生成阶段，其中，私钥生成初始阶段，权威机构CA和OA合作生成私钥初始数据，用户依据私钥初始数据计算签名信息，并将签名信息和私钥初始数据发送给权威机构CA；私钥生成阶段，权威机构CA依据签名信息和私钥初始数据进行签名验证，并计算私钥参数数据并发送至权威机构OA，权威机构OA计算私钥数据，并发送给用户；

103、数据加密，数据加密方执行加密算法，根据预先设定访问结构，对消息M执行加密操作，生成密文数据，属性集合满足该预先设定访问结构的用户获取该密文数据解密权限；

104、数据解密，数据解密方依据其用户属性集合执行解密算法进行密文数据的解密操作，生成解密私钥；

105、公开追踪及验证，根据解密私钥，第三方利用系统公开参数进行私钥验证及身份信息绑定。

首先采用两个权威机构：CA和OA，合作生成私钥的方式生成私钥。CA和OA不能独立的生成私钥，所以无法独立的进行非法私钥颁发和解密密文，因此假定CA和OA不合谋的前提下，解决了密钥托管问题以及权威机构的私钥滥用问题。通过权威机构对解密私钥身份进行签名的方式，实现了泄露私钥的身份可追踪性，并利用用户签名的不可否认性，第三方可以利用公开参数验证私钥是用户泄露的还是权威机构非法颁发的，实现了公开定责性。

在本发明的另一个实施例中，私钥生成初始阶段，执行如下内容：权威机构CA生成并维护一个CA维护列表，计算初始私钥参数并发送给权威机构OA，其中，CA维护列表中至少存储有用户身份及CA生成的初始私钥参数信息；权威机构OA生成并维护一个OA维护列表，依据权威机构CA发送的初始私钥参数，计算私钥初始数据并发送给用户，其中，OA维护列表至少存储有用户身份及OA计算的私钥初始数据；用户依据收到的私钥初始数据计算其签名数据，并将私钥初始数据及签名数据发送给权威机构CA。

进一步地，私钥生成阶段，执行如下内容：权威机构CA依据签名数据、私钥初始数据及用户签名公钥进行签名验证，若签名有效，则权威机构CA将私钥初始数据及签名数据补入CA维护列表中用户身份对应表项中，随机选取一个秘密值，计算其私钥参数数据，将私钥参数数据发送至权威机构OA，将随机选取的用户秘密值发送至用户，否则，返回不合法符号；权威机构OA依据私钥参数数据计算私钥数据，将私钥数据发送给用户，并将签名数据补入OA维护列表中用户身份对应表项中。

下面对其各个步骤/阶段进行说明：

系统初始化，算法如下：给定安全参数λ，选取两个素数p阶的乘法循环群和随机选取群的一个生成元g；选取一个双线性对令表示系统的属性全集，对每一个属性随机选取代表整数剩余类域中的非零元素组成的集合，令选取两个密码学上安全的Hash函数 系统公开参数

CA密钥生成算法如下：CA随机选取CA秘密保存其主密钥MSK_CA＝α₁，公布其公钥

OA密钥生成算法如下：OA随机选取OA秘密保存其主密钥MSK_OA＝α₂，公布其公钥

用户签密私钥生成算法如下：用户U随机选取签名私钥计算签名公钥

用户解密私钥生成算法如下：给定用户的身份U、属性集合S，如下生成私钥

1)CA首先验证身份U及属性集合S的合法性，随机选取计算并将发送给OA；OA随机选取计算最后，OA把K秘密发送给用户。要求K,是第一次为用户U生成，否则重新选取。为了保持一致性，CA维护列表L_CA存储(U,*,*)，OA维护列表L_OA存储(U,K,*)。

2)接收到K，用户U计算短签名并将σ,K发送给CA。

3)CA验证e(σ,g)＝e(G(K,P_U),P_U)，如果签名有效，CA补充列表L_CA存储(U,K,σ)，随机选取计算其余私钥其中h＝H(σ,K,U)，CA将(U,K,σ,)发送给OA，并将θ发送给用户。

4)OA计算OA补充列表L_OA存储(U,K,σ)，并将(K',K_i)发送给用户。

加密算法给定消息M以及访问结构其中为l×k规模的矩阵，ρ表示矩阵的行到某个属性的映射，如下生成密文

随机构造向量随机选取

计算C＝M·e(g,g)^αr,C'＝g^r；

从i＝1到l，计算

解密算法Decrypt(PK,CT,SK_U,S)→Mor⊥：给定密文如果用户U拥有的属性集合S'满足访问结构如下恢复明文：

计算{ω_i:i∈I}使得其中I＝{i:att_ρ(i)∈S'}；

计算：其中h＝H(σ,K,U)。

公开验证算法：给定用户私钥任何第三方可以利用系统公开参数如下进行验证：

验证等式e(K',g)＝e(g,g)^αh/θe(g^a,K)，其中h＝H(σ,K,U)，是否成立，如果不成立，返回不合法符号⊥；否则，令表示使得e(K_i,g)＝e(K,H_i)成立的属性集合，如果S'是空集，返回不合法符号⊥，否则，判定SK_U,S'绑定身份U。

审计算法：如果SK_U,S通过公开验证算法验证且绑定身份U，而U否认拥有SK_U,S，审计中心可以：

验证等式e(σ,g)＝e(G(K,P_U),P_U)是否成立，如果不成立，返回符号⊥；否则，U需要额外提供私钥其中与SK_U,S有相同的K，然后公开验证是否绑定身份U，如果验证合法，则返回符号⊥，否则返回用户身份U。

对应于上述的可公开定责无密钥托管的密文策略属性基加密方法实施例，本发明还提供一种可公开定责无密钥托管的密文策略属性基加密装置，基于如下实体实现：数据加密方、数据解密方、第三方，及两个权威机构CA和OA，参见图3所示，包含：初始化模块201、私钥生成模块202、数据加密模块203、数据解密模块204及公开验证模块205，其中，

初始化模块201，用于通过给定的安全参数，系统属性全集，确定系统公开参数；

私钥生成模块202，权威机构CA和OA合作生成私钥初始数据，用户对私钥初始数据进行签名，权威机构CA依据签名信息和计算得到的私钥初始数据进行签名验证，并将计算得到的私钥参数数据发送至权威机构OA，权威机构OA计算私钥数据，并发送给用户；

数据加密模块203，数据加密方执行加密算法，根据预先设定访问结构，对消息M执行加密操作，生成密文数据，属性集合满足该预先设定访问结构的用户获取该密文数据解密权限；

数据解密模块204，数据解密方依据其用户属性集合执行解密算法进行密文数据的解密操作，生成解密私钥

公开验证模块205，用于根据数据解密模块生成的解密私钥，第三方利用系统公开参数并通过公开验证苏阿饭进行私钥验证及身份信息绑定。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (9)

1.一种可公开定责无密钥托管的密文策略属性基加密方法，其特征在于，基于如下实体实现：数据加密方、数据解密方、第三方，及两个权威机构CA和OA，加密方法包含初始化、私钥生成、加密、解密及公开验证五个过程，其具体实现步骤如下：

步骤1)、初始化，通过给定的安全参数，系统属性全集，确定系统公开参数；

步骤2)、私钥生成，包含私钥生成初始阶段和私钥生成阶段，其中，私钥生成初始阶段，权威机构CA和OA合作生成私钥初始数据，用户依据私钥初始数据计算签名信息，并将签名信息和私钥初始数据发送给权威机构CA；私钥生成阶段，权威机构CA依据签名信息和私钥初始数据进行签名验证，并计算私钥参数数据并发送至权威机构OA，权威机构OA计算私钥数据，并发送给用户；

步骤3)、数据加密，数据加密方执行加密算法，根据预先设定访问结构，对消息M执行加密操作，生成密文数据，属性集合满足该预先设定访问结构的用户获取该密文数据解密权限；

步骤4)、解密，数据解密方依据其用户属性集合执行解密算法进行密文数据的解密操作，生成解密私钥；

步骤5)、公开验证，根据解密私钥，第三方利用系统公开参数进行私钥验证及身份信息绑定；

步骤2中，私钥生成初始阶段，执行如下内容：权威机构CA生成并维护一个CA维护列表，计算初始私钥参数并发送给权威机构OA，其中，CA维护列表中至少存储有用户身份及CA生成的初始私钥参数信息；权威机构OA生成并维护一个OA维护列表，依据权威机构CA发送的初始私钥参数，计算私钥初始数据并发送给用户，其中，OA维护列表至少存储有用户身份及OA计算的私钥初始数据；用户依据收到的私钥初始数据计算其签名数据，并将私钥初始数据及签名数据发送给权威机构CA。

2.根据权利要求1所述的可公开定责无密钥托管的密文策略属性基加密方法，其特征在于，步骤2中，私钥生成阶段，执行如下内容：权威机构CA依据用户签名数据、私钥初始数据及用户签名公钥进行签名验证，若签名有效，则权威机构CA将私钥初始数据及签名数据补入CA维护列表中用户身份对应表项中，随机选取一个秘密值，计算用户属性对应的私钥参数数据，将私钥参数数据发送至权威机构OA，将随机选取的秘密值发送至用户，否则，返回不合法符号；权威机构OA依据CA发送的私钥参数数据计算私钥数据，将私钥数据发送给用户，并将签名数据补入OA维护列表中用户身份对应表项中。

3.根据权利要求1所述的可公开定责无密钥托管的密文策略属性基加密方法，其特征在于，步骤1具体包含如下内容：根据给定的安全参数λ，选取两个素数p阶的乘法循环群和随机选取群的一个生成元g；选取一个双线性对令 表示系统的属性全集，对每一个属性随机选取 代表整数剩余类域中的非零元素组成的集合，令选取两个Hash函数，即选取确定系统公开参数

4.根据权利要求3所述的可公开定责无密钥托管的密文策略属性基加密方法，其特征在于，步骤2中，私钥生成初始阶段，执行如下内容：权威机构CA验证用户U及属性集合S的合法性，随机选取计算初始私钥参数并将初始私钥参数发送给权威机构OA；权威机构OA随机选取计算私钥初始数据权威机构OA将私钥初始数据K秘密发送给用户，其中，K,是第一次为用户U生成，否则重新选取，权威机构CA维护列表L_CA按照存储：U,*,*；权威机构OA维护列表L_OA存储：U,K,*。

5.根据权利要求4所述的可公开定责无密钥托管的密文策略属性基加密方法，其特征在于，步骤2中，私钥生成阶段，执行如下内容：用户U接收到私钥初始数据K，计算其签名数据并将σ,K发送给权威机构CA；权威机构CA根据公式e(σ,g)＝e(G(K,P_U),P_U)进行签名验证，如果签名有效，则权威机构CA对应补充维护列表L_CA存储：U,K,σ；并随机选取秘密值计算其余私钥其中，h＝H(σ,K,U)，权威机构CA将数据信息发送给权威机构OA，并将秘密值θ发送给用户，该数据信息包含：U,K,σ,否则，返回不合法符号；权威机构OA依据接收到的数据分别计算私钥数据 将K',K_i发送给用户，并补充维护列表L_OA存储：U,K,σ。

6.根据权利要求5所述的可公开定责无密钥托管的密文策略属性基加密方法，其特征在于，步骤5中，根据用户私钥第三方利用系统公开参数进行如下验证：

验证等式e(K',g)＝e(g,g)^αh/θe(g^a,K)是否成立，其中，h＝H(σ,K,U)，如果不成立，返回不合法符号⊥；否则，令用户U拥有的属性集合S'满足表示使得e(K_i,g)＝e(K,H_i)成立的属性集合，如果S'是空集，返回不合法符号⊥，否则，判定SK_U,S'绑定身份U。

7.根据权利要求6所述的可公开定责无密钥托管的密文策略属性基加密方法，其特征在于，如果SK_U,S通过公开验证且绑定用户U，而用户U否认拥有SK_U,S，则验证等式e(σ,g)＝e(G(K,P_U),P_U)是否成立，如果不成立，返回符号⊥；否则，用户U额外提供私钥 其中，与SK_US有相同的K，然后公开验证是否绑定身份U，如果验证合法，则返回符号⊥，否则返回用户身份U。

8.根据权利要求1所述的可公开定责无密钥托管的密文策略属性基加密方法，其特征在于，步骤3中预先设定访问结构表示为其中，为l×k规模的矩阵，ρ表示矩阵的行到某个属性的映射。

9.一种可公开定责无密钥托管的密文策略属性基加密装置，其特征在于，通过权利要求1所述的可公开定责无密钥托管的密文策略属性基加密方法并基于如下实体实现：数据加密方、数据解密方、第三方，及两个权威机构CA和OA，包含：初始化模块、私钥生成模块、数据加密模块、数据解密模块及公开验证模块，其中，

初始化模块，用于通过给定的安全参数，系统属性全集，确定系统公开参数；

私钥生成模块，权威机构CA和OA合作生成私钥初始数据，用户对私钥初始数据进行签名，权威机构CA依据用户签名信息和计算得到的私钥初始数据进行签名验证，并将计算得到的私钥参数数据发送至权威机构OA，权威机构OA计算私钥数据，并发送给用户；

数据加密模块，数据加密方执行加密算法，根据预先设定访问结构，对消息M执行加密操作，生成密文数据，属性集合满足该预先设定访问结构的用户获取该密文数据解密权限；

数据解密模块，数据解密方依据其用户属性集合执行解密算法进行密文数据的解密操作，生成解密私钥；

公开验证模块，用于根据数据解密模块生成的解密私钥，第三方利用系统公开参数并通过公开验证算法进行私钥验证及身份信息绑定。