CN110457930B - 策略隐藏的可追踪撤销恶意用户的属性基加密方法及系统 - Google Patents

Abstract

本发明提供一种策略隐藏的可追踪撤销恶意用户的属性基加密方法，包含步骤：S1、授权机构生成公共参数PP、用户撤销列表R和保留的系统主密钥MSK；S2、授权机构建立包含系统属性名称集合A、系统属性值集合T′的系统属性集合，数据拥有者基于系统属性集合定义访问策略W；S3、数据拥有者根据PP、W、要加密的消息m、R通过加密算法，生成包含了R和残缺访问策略

的密文CT，并将CT存入云存储器；S4、授权机构为用户u生成解密密钥SK；S5、用户u通过SK解密CT，只有当用户u不在R中，且用户u对CT进行匹配验证通过时才可解密得到m；S6、授权机构基于SK和PP，追踪恶意用户，更新R；S7、云存储器基于更新的R和更新密钥X'，更新CT。本发明通过残缺访问策略保护用户隐私，并能够追踪撤销恶意用户。

Description

策略隐藏的可追踪撤销恶意用户的属性基加密方法及系统

技术领域

本发明涉及信息安全领域，具体涉及一种策略隐藏的可追踪撤销恶意用户的属性基加密方法。

背景技术

随着云计算技术的发展，云存储系统为用户提供了方便的数据存储服务，但是随着用户将越来越多的敏感数据外包到云存储器中，数据的安全问题和用户隐私的保护就成了云存储的关键问题，因此需要将外包的敏感数据加密，但是如何实现共享数据的细粒度访问也成了云存储服务的难题。

属性基加密技术能够在实现共享数据细粒度访问的同时保证数据的安全。属性基加密有两种方式：密钥策略属性基加密(KP-ABE)和密文策略属性基加密(CP-ABE)。在CP-ABE中，密文与访问策略相关，用户属性与用户私钥相关；但在KP-ABE中，密文与用户属性相关，用户私钥与访问策略相关。

传统的属性加密方案中，访问策略与密文一同存储在云存储器中，任何能够获得密文的用户均能够获得相关访问策略。然而访问策略也可能包含了敏感信息，可能会泄露用户的隐私，因此需要将访问策略进行隐藏来实现隐私保护。然而，在ABE(Attribute-BaseEncryption属性基加密)系统中，也存在一些合法用户会将自己的私钥泄露给第三方，由于解密密钥与属性相关联，泄露解密密钥的用户无法被确定，因此需要将追踪机制应用到传统的属性基加密方案中。同时也需要在属性基加密方案中应用撤销机制，以此来实现用户被追踪到之后，将该用户从系统中撤销。

发明内容

本发明的目的是提供一种策略隐藏的可追踪撤销恶意用户的属性基加密方法及系统。本发明针对传统属性基加密方案中隐私泄露的安全问题，在本发明中中引入了白盒追踪机制和撤销机制，并应用了部分隐藏的访问策略，将用户属性集合拆分成用户属性名称和对应的用户属性值，使用用户属性值加密消息，密文中只包含用户属性名称，从而实现了访问策略的部分隐藏，保护了用户的隐私。恶意用户撤销后，云存储器只需更新与用户撤销列表相关的密文，从而提高了用户撤销的效率。

为了达到上述目的，本发明提供一种策略隐藏的可追踪撤销恶意用户的属性基加密方法，包含步骤：

S1、授权机构建立用户集合U和二叉树T，为二叉树T的每个节点分配节点值；所述二叉树T的一个叶子节点关联用户集合U中的一个用户；授权机构定义用户撤销列表R、双线性映射e，基于e和随机选取的安全参数生成公共参数PP和系统主密钥MSK，并公布公共参数PP、用户撤销列表R，不公布系统主密钥MSK；

S2、授权机构建立系统属性集合；数据拥有者基于所述系统属性集合定义访问策略W；所述系统属性集合包含系统属性名称集合A、系统属性值集合T′；

S3、数据拥有者根据公共参数PP、访问策略W、要加密的消息m、用户撤销列表R调用加密算法，生成包含了用户撤销列表R和残缺访问策略

的密文CT；数据拥有者将密文CT存入云存储器；

S4、授权机构基于系统属性名称集合A和系统属性值集合T′为用户u建立用户属性集合S，其中u∈U；授权机构基于公共参数PP，系统主密钥MSK，用户属性集合S，通过密钥生成算法，为用户u生成解密密钥SK；

S5、用户u通过解密密钥SK解密密文CT；当用户u在用户撤销列表R中，解密失败；否则，对密文进行CT匹配验证，当用户u的用户属性集合S不满足访问策略W时，密文匹配验证不通过，解密失败；否则，密文匹配验证通过，用户u运行解密算法，成功解密并恢复出消息m；

S6、授权机构基于解密密钥SK和公共参数PP，追踪恶意用户；首先授权机构对解密密钥SK进行密钥一致性检查，若SK未通过密钥一致性检查，则停止追踪；若SK通过密钥一致性检查，基于SK解密生成二叉树T一个叶子节点的节点值i_d；授权机构将与i_d关联的用户u作为恶意用户，其中u∈U；授权机构将u加入用户撤销列表R，更新用户撤销列表R；

S7、授权机构秘密发送更新密钥X'给云存储器；云存储器基于更新密钥X'和更新后的用户撤销列表R'，运行密文更新算法，更新密文CT为密文CT'。

所述步骤S1包含：

S11、授权机构建立用户集合U和用户撤销列表R，R初始为空集；

S12、授权机构建立与用户集合U关联的二叉树T，二叉树T的一个叶子节点关联用户集合U中的一个用户；从二叉树T的根节点开始，对二叉树T的所有节点按照广度优先搜索方法依序编号；每个节点的编号值即为该节点的节点值；二叉树T的根节点的节点值为0，最后一个叶子节点的节点值为2|U|-2；

S13、授权机构定义双线性映射：e:G×G→G_T，其中G和G_T是两个阶均为素数p的循环乘法群，g为G的生成元；

S14、授权机构随机选取两个元素a,α∈Z_p，计算g^a和e(g,g)^α；

S15、授权机构随机生成主密钥组件

其中x_i∈Z_p且x_i关联二叉树T中节点值为i的节点；计算

其中Z_p为模p的整数加法群，|U|为用户集合U中的用户总数；

S16、授权机构随机选取秘密钥k，定义加密算法Enc_k(·)和与Enc_k(·)对应的解密算法Dec_k(·)；其中Enc_k(·)为从{0,1}^*→Z_p的对称加密的概率加密算法；

S17、授权机构随机选取两个元素h,u∈G；

S18、授权机构生成公共参数

和主密钥

公布公共参数PP，不公布系统主密钥MSK。

所述步骤S2包含：

S21、授权机构建立系统属性集合，所述系统属性集合包含系统属性名称集合A＝{A_i}_i∈[1,n]和系统属性值集合

其中A_i为一个系统属性名称，

为与A_i对应的系统属性值集合，a_i,j为一个系统属性值，n和n_i为自然数；

S22、数据拥有者定义访问策略W＝(M,ρ,T)；其中M为l×n的矩阵；ρ为映射算法，ρ(i)＝A_j，i∈[1,l]，j∈[1,n]；T＝{t′_ρ(i)}_i∈[1,l]为关联(M,ρ)的属性值集合，

若存在系数{w_i|i∈I}，使得

则称I满足(M,ρ)，即I满足访问策略W，

不满足(M,ρ)，则称I为满足(M,ρ)的最小授权集合；令I_M,ρ为包含所有满足(M,ρ)的最小授权集合的集合。

所述步骤S3包含：

S31、数据拥有者随机选取两个列向量v＝(s,v₂,...,v_n)^T和v'＝(s',v'₂,...,v'_n)^T，s和s′均为秘密，v₂,...,v_n∈Z_p，s∈Z_p，v'₂,...,v'_n∈Z_p，s'∈Z_p，对

计算λ_i＝M_i·v和λ_i'＝M_i·v'，其中M_i为矩阵M的第i行；

S32、对

数据拥有者随机选取元素t_i∈Z_p，计算与访问策略W相关的密文组件

S33、对

数据拥有者计算与解密验证相关的密文组件

S34、对

数据拥有者计算与用户撤销列表R相关联的密文组件

J_R为二叉树T中与用户撤销列表R关联的叶子节点集合，覆盖了{T-J_R}中所有叶子节点的最小节点集合为与用户撤销列表R关联的最小覆盖集，cover(R)为与用户撤销列表R关联的最小覆盖集的节点值集合；

S35、数据拥有者输出密文CT，并将密文CT存入云存储器；其中

为去除属性取值集合T的残缺访问策略，通过T实现了访问策略W的部分隐藏。

所述步骤S4包含：

S41、授权机构为用户u定义用户属性集合S＝(I_S,S)，其中

为用户属性名称集合，

为用户属性值集合；

S42、授权机构计算c＝Enc_k(i_d)，其中i_d为关联了用户u的二叉树T的叶子节点的节点值；

S43、授权机构随机选取一个元素r∈Z_p，对任意用户属性名称τ∈I_S，计算与用户属性集合S关联的私钥组件

S44、计算与用户u关联的私钥组件

S45、授权机构为用户u输出解密密钥SK，

其中path(i_d)＝{i₀,…,i_d}为二叉树T从根节点到关联用户u的叶子节点的路径，i₀为二叉树T中根节点的节点值，i_d为关联用户u的叶子节点值，

包含与path(i_d)覆盖的节点关联的所有主密钥组件值。

所述步骤S5包含：

S51、云存储器判断用户u是否在用户撤销列表R中，若u∈R，则用户u无法获取密文CT；否则进入步骤S52；

S52、用户从云存储器获取密文CT，定义矩阵M中满足残缺访问策略

的矩阵行号集合I∈I_(M,ρ)，其中I满足

所述满足残缺访问策略

是指，存在系数{c_i|i∈I}，使得

则有

S53、用户计算验证组件D'、E′_i，C_Δ；其中i∈I，

D'＝e(g,g)^αs'e(g,h)^(a+c)rs'，

若C_Δ＝C'，则称用户属性集合S满足访问策略W＝(M,ρ,T)，进入步骤S54；否则用户解密密文CT失败；

S54、用户计算j∈cover(R)∩path(i_d)；其中i_d为与用户u关联的叶子节点值，path(i_d)为二叉树T中从根节点到节点值为i_d的叶子节点的路径，path(i_d)＝{i₀,...,i_dept(j),...,i_d}，其中i_dept(j)＝j；用户从解密密钥组件

中查找得到

和x_j，并计算解密组件

S55、用户计算解密组件D、E_i、F；其中i∈I，

D＝e(g,g)^αse(g,h)^(a+c)rs，

F＝e(g,h)^(a+c)rse(g,g)^rs；

S56、用户计算获得消息

所述步骤S6包含：

S61、授权机构基于公共参数PP对解密密钥SK进行一致性检查；授权机构定义判断条件P₁～P₄，其中

P₁为：K'∈Z_p,K,L,L',K_τ,1,K_τ,2∈G，

P₂为：e(g,L')＝e(g^a,L)≠1，

P₃为：e(K,g^ag^K')＝e(g,g)^αe(L^K'·L',h)≠1，

P₄为：

若解密密钥SK满足判断条件P₁～P₄，则授权机构判断解密密钥SK通过密钥一致性检查，进入步骤S62；否则，授权机构停止追踪恶意用户；

S62、授权机构计算与用户u相关联的二叉树T叶子节点值i_d＝Dec_k(K')，K'为解密密钥SK的密钥组件；

S63、授权机构在二叉树T叶子节点中查询节点值为i_d的节点；若二叉树中不存在此节点值为i_d的节点，授权机构停止追踪恶意用户；否则，授权机构获取与i_d相关联的用户u，进入S64；

S64、授权机构判断用户u是否在用户撤销列表R中；若

授权机构将u添加至用户撤销列表R中，实现最终恶意用户；R'＝R∪{u}，其中R'为更新后的用户撤销列表。

所述步骤S7包含：

S71、授权机构随机选取更新系数η∈Z_p，计算更新密钥

并将X′和R′通过秘密通道发送给云存储器；

S72、云存储器计算

其中

为与更新后的用户撤销列表R'相关的密文组件；cover(R')为与更新后的用户撤销列表R'相关联的最小覆盖集的节点值集合，节点值j'∈cover(R')；

若

使得j＝j'，令

若

使得j是j'的父节点，定义j'的路径path(j')＝path(j)∪{i_dept(j)+1,...,i_dept(j')}，其中i_dept(j)＝j，i_dept(j')＝j'，path(j)为j的路径，定义密文组件Y_j＝T_j，计算

k＝dept(j),...,dept(j')，然后令

S73、云存储器输出更新后的密文

本发明还揭示了一种策略隐藏的可追踪撤销恶意用户的属性基加密系统，用于执行本发明的策略隐藏的可追踪撤销恶意用户的属性基加密方法。所述策略隐藏的可追踪撤销恶意用户的属性基加密系统包含：授权机构、数据拥有者、云存储器和用户。

所述授权机构，用于建立系统属性集合，基于所述系统属性集合生成每个用户的用户属性集合；授权机构生成公共参数、系统主密钥、用户撤销列表，并发布公共参数和用户撤销列表，保留系统主密钥；授权机构为每个用户生成并发送对应的解密密钥；授权机构基于所述解密密钥追踪恶意用户，将追踪到的恶意用户加入用户撤销列表，实现撤销恶意用户；授权机构还生成更新密钥并通过秘密通道发送给云存储器；

所述数据拥有者，制定访问策略，根据所述公共参数、访问策略、用户撤销列表、要加密消息，生成包含了残缺访问策略的密文，并将所述密文发送到云存储器中保存；

所述云存储器，用于存储密文，并使用授权机构发送的更新密钥更新密文；

所述用户，从云存储器中获取密文，用自己的解密密钥对密文进行解密；只有该用户不在用户撤销列表中，并且该用户的用户属性集合满足访问策略时，才能成功解密密文。

与现有技术相比，本发明的优点在于：

1)本发明应用了部分隐藏的访问策略，通过授权机构生成和更新用户撤销列表，并通过授权机构为每个用户生成对应的用户属性集合，所述用户属性集合包含用户属性名称和对应的用户属性值。数据拥有者仅使用其对应的用户属性值对要加密的消息进行加密，将只包含了用户属性名称的残缺访问策略的密文发送到云存储器中，云存储器和用户均无法得知具体的用户属性值，从而实现了隐私的保护。

2)本发明引入了白盒追踪机制和撤销机制。本发明使用与用户相关的二叉树来绑定追踪信息和撤销信息。数据拥有者(即所述用户集合U中的一个用户)制定了访问策略。数据拥有者生成的密文由两部分组成，一部分与访问策略相关，一部分与用户撤销列表相关。只有用户的用户属性集合满足数据拥有者所制定的访问策略时，才能成功解密密文。只有用户不在用户撤销列表中才能获取密文。授权机构根据恶意泄露解密密钥追踪到恶意用户，并对该恶意用户进行撤销。云存储器在撤销恶意用户后，更新密文时只需更新与用户撤销列表相关的密文。通过本发明实现了恶意用户的可追踪和可撤销，且提高了撤销的效率。

附图说明

为了更清楚地说明本发明技术方案，下面将对描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图：

图1为本发明的策略隐藏的可追踪撤销恶意用户的属性基加密方法的流程图。

图2为本发明的策略隐藏的可追踪撤销恶意用户的属性基加密系统架构示意图。

图3为本发明的应用实施例中二叉树T的示意图。

图4为本发明的应用实施例中访问策略与用户属性集合的关系示意图。

图中：1、授权机构；2、云存储器；3、数据拥有者；4、用户。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种策略隐藏的可追踪撤销恶意用户的属性基加密方法，如图1所示，包含步骤：

S1、授权机构1建立用户集合U和二叉树T，为二叉树T的每个节点分配节点值；所述二叉树T的一个叶子节点关联用户集合U中的一个用户4；授权机构1定义用户撤销列表R、双线性映射e，基于e和随机选取的安全参数生成公共参数PP和系统主密钥MSK，并公布公共参数PP、用户撤销列表R，不公布系统主密钥MSK。

所述步骤S1包含：

S11、授权机构1建立用户集合U和用户撤销列表R，R初始为空集；

S12、授权机构1建立与用户集合U关联的二叉树T，二叉树T的一个叶子节点关联用户集合U中的一个用户4；从二叉树T的根节点开始，对二叉树T的所有节点按照广度优先搜索方法依序编号；每个节点的编号值即为该节点的节点值；二叉树T的根节点的节点值为0，最后一个叶子节点的节点值为2|U|-2；

如图3所示，在本发明的应用实施例中，有u₁～u₈共八个用户4，用户集合U＝{u₁,u₂,u₃,u₄,u₅,u₆,u₇,u₈}。。二叉树T共有15个节点，按照广度优先搜索方法对这15个节点依序编号，每个节点的编号值即为该节点的节点值。根节点编号为0，其节点值为0。编号为7～14的节点均为叶子节点，分别对应用户u₁～u₈。

S13、授权机构1定义双线性映射：e:G×G→G_T，其中G和G_T是两个阶均为素数p的循环乘法群，g为G的生成元；

S14、授权机构1随机选取两个元素a,α∈Z_p，计算g^a和e(g,g)^α；

S15、授权机构1随机生成主密钥组件

其中x_i∈Z_p且x_i关联二叉树T中节点值为i的节点；计算

其中Z_p为模p的整数加法群，|U|为用户集合U中的用户4总数；

S16、授权机构1随机选取秘密钥k，定义加密算法Enc_k(·)和与Enc_k(·)对应的解密算法Dec_k(·)；其中Enc_k(·)为从{0,1}^*→Z_p的对称加密的概率加密算法；

S17、授权机构1随机选取两个元素h,u∈G；

S18、授权机构1生成公共参数

和主密钥

公布公共参数PP，不公布系统主密钥MSK。

S2、授权机构1建立系统属性集合；数据拥有者3基于所述系统属性集合定义访问策略W；所述系统属性集合包含系统属性名称集合A、系统属性值集合T′。

所述步骤S2包含：

S21、授权机构1建立系统属性集合，所述系统属性集合包含系统属性名称集合A＝{A_i}_i∈[1,n]和系统属性值集合

其中A_i为一个系统属性名称，

为与A_i对应的系统属性值集合，a_i,j为一个系统属性值，n和n_i为自然数；

S22、数据拥有者3定义访问策略W＝(M,ρ,T)；其中M为l×n的矩阵；ρ为映射算法，ρ(i)＝A_j，i∈[1,l]，j∈[1,n]；T＝{t′_ρ(i)}_i∈[1,l]为关联(M,ρ)的属性值集合，

若存在系数{w_i|i∈I}，使得

则称I满足(M,ρ)，即I满足访问策略W，

不满足(M,ρ)，则称I为满足(M,ρ)的最小授权集合；令I_M,ρ为包含所有满足(M,ρ)的最小授权集合的集合。

本发明中基于LSSS(线性秘密共享方案)制定访问策略W。LSSS用于对秘密进行秘密分割和秘密重构。LSSS包含秘密分割算法和秘密重构算法。

1)秘密分割算法。在本发明的实施例中基于矩阵M分割秘密s；从Z_p中随机选取一个列向量v＝(s,v₂,...,v_n)^T，v₂,...,v_n∈Z_p，计算λ_i＝M_i·v，(i∈[1,l])，所述λ_i即为秘密s在属性名称ρ(i)上的一个秘密分割份额，其中M_i为矩阵M的第i行。

2)秘密重构算法。在本发明的实施例中，通过秘密份额λ_i重构秘密s，(i∈[1,l])。设S′∈A，且

若存在系数{w_i|i∈I}，使得

则有

因此可以实现重构秘密s。

S3、数据拥有者3根据公共参数PP、访问策略W、要加密的消息m、用户撤销列表R调用加密算法，生成包含了用户撤销列表R和残缺访问策略

的密文CT；数据拥有者3将密文CT存入云存储器2。

所述步骤S3包含：

S31、数据拥有者3随机选取两个列向量v＝(s,v₂,...,v_n)^T和v'＝(s',v'₂,...,v'_n)^T，s和s′均为秘密，v₂,...,v_n∈Z_p，s∈Z_p，v'₂,…,v'_n∈Z_p，s'∈Z_p，对

计算λ_i＝M_i·v和λ′_i＝M_i·v'，其中M_i为矩阵M的第i行；

S32、对

数据拥有者3随机选取元素t_i∈Z_p，计算与访问策略W相关的密文组件

S33、对

数据拥有者3计算与解密验证相关的密文组件

S34、对

数据拥有者3计算与用户撤销列表R相关联的密文组件

J_R为二叉树T中与用户撤销列表R关联的叶子节点集合，覆盖了{T-J_R}中所有叶子节点的最小节点集合为与用户撤销列表R关联的最小覆盖集，cover(R)为与用户撤销列表R关联的最小覆盖集的节点值集合；

如图3所示，在本发明的一个实施例中，用户撤销列表R＝{u₁,u₄}＝{7,10}，二叉树T中J_R包含编号为7、10的两个节点，{T-J_R}中包含编号8、9、11、12、13、14的叶子节点，通过编号分别为2、8、9的三个节点即可覆盖{T-J_R}中所有叶子节点，则cover(R)＝{2,8,9}。

S35、数据拥有者3输出密文CT，并将密文CT存入云存储器2；其中

为去除属性取值集合T的残缺访问策略，通过T实现了访问策略W的部分隐藏。

如图4所示，在本发明的一个应用实施例中，数据拥有者3定义的访问策略为{“职业：医生”和“部门：精神科”}，属性名称集合为{“职业”，“部门”}，属性值集合为{“医生”，“精神科”}；与密文CT一同存储在云中的残缺访问策略为{“职业”和“部门”}，残缺访问策略只包含属性名称而无属性值。

S4、授权机构1基于系统属性名称集合A和系统属性值集合T′为用户u建立用户属性集合S，其中u∈U；授权机构1基于公共参数PP，系统主密钥MSK，用户属性集合S，通过密钥生成算法，为用户u生成解密密钥SK；

所述步骤S4包含：

S41、授权机构1为用户u定义用户属性集合S＝(I_S,S)，其中

为用户属性名称集合，

为用户属性值集合；一个用户4可以拥有多个用户属性名称和对应的用户属性值。

S42、授权机构1计算c＝Enc_k(i_d)，其中i_d为关联了用户u的二叉树T的叶子节点的节点值；

S43、授权机构1随机选取一个元素r∈Z_p，对任意用户属性名称τ∈I_S，计算与用户属性集合S关联的私钥组件

S44、计算与用户u关联的私钥组件

S45、授权机构1为用户u输出解密密钥SK，

其中path(i_d)＝{i₀,…,i_d}为二叉树T从根节点到关联用户u的叶子节点的路径，i₀为二叉树T中根节点的节点值，i_d为关联用户u的叶子节点值，

包含与path(i_d)覆盖的节点关联的所有主密钥组件值。如图3所示，path(14)＝{0,2,6,14}。

S5、用户u通过解密密钥SK解密密文CT；当用户u在用户撤销列表R中，解密失败；否则，对密文CT进行匹配验证，当用户u的用户属性集合S不满足访问策略W时，密文匹配验证不通过，解密失败；否则，密文匹配验证通过，用户u运行解密算法，成功解密并恢复出消息m；

所述步骤S5包含：

S51、云存储器2判断用户u是否在用户撤销列表R中，若u∈R，则用户u无法获取密文CT；否则进入步骤S52；

S52、用户u从云存储器2获取密文CT，定义矩阵M中满足残缺访问策略

的矩阵行号集合I∈I_(M,ρ)，其中I满足

所述满足残缺访问策略

是指，存在系数{c_i|i∈I}，使得

则有

S53、用户u计算验证组件D'、E'_i，C_Δ；其中i∈I，

若C_Δ＝C'，则称用户属性集合S满足访问策略W＝(M,ρ,T)，进入步骤S54；否则用户u解密密文CT失败；

S54、用户u计算j∈cover(R)∩path(i_d)；其中i_d为与用户u关联的叶子节点值，path(i_d)为二叉树T中从根节点到节点值为i_d的叶子节点的路径，path(i_d)＝{i₀,...,i_dept(j),...,i_d}，其中i_dept(j)＝j；用户u从解密密钥组件

中查找得到

和x_j，并计算解密组件

S55、用户u计算解密组件D、E_i、F；其中i∈I，

S56、用户u计算获得消息

S6、授权机构1基于解密密钥SK和公共参数PP，追踪恶意用户；首先授权机构1对解密密钥SK进行密钥一致性检查，若SK未通过密钥一致性检查，则停止追踪；若SK通过密钥一致性检查，基于SK解密生成二叉树T一个叶子节点的节点值i_d；授权机构1将与i_d关联的用户u作为恶意用户，其中u∈U；授权机构1将u加入用户撤销列表R，更新用户撤销列表R；

所述步骤S6包含：

S61、授权机构1基于公共参数PP对解密密钥SK进行一致性检查；授权机构1定义判断条件P₁～P₄，其中

P₁为：K'∈Z_p,K,L,L',K_τ,1,K_τ,2∈G，

P₂为：e(g,L')＝e(g^a,L)≠1，

P₃为：e(K,g^ag^K')＝e(g,g)^αe(L^K'·L',h)≠1，

P₄为：

若解密密钥SK满足判断条件P₁～P₄，则授权机构1判断解密密钥SK通过密钥一致性检查，进入步骤S62；否则，授权机构1停止追踪恶意用户；

S62、授权机构1计算与用户u相关联的二叉树T叶子节点值i_d＝Dec_k(K')，K'为解密密钥SK的密钥组件；

S63、授权机构1在二叉树T叶子节点中查询节点值为i_d的节点；若二叉树中不存在此节点值为i_d的节点，授权机构1停止追踪恶意用户；否则，授权机构1获取与i_d相关联的用户u，进入S64；

S64、授权机构1判断用户u是否在用户撤销列表R中；若

授权机构1将u添加至用户撤销列表R中，实现最终恶意用户；R'＝R∪{u}，其中R'为更新后的用户撤销列表。

S7、授权机构1秘密发送更新密钥X'和R′给云存储器2；云存储器2基于更新密钥X'和更新后的用户撤销列表R'，运行密文更新算法，更新密文CT为密文CT'。

所述步骤S7包含：

S71、授权机构1随机选取更新系数η∈Z_p，计算更新密钥

并通过秘密通道发送给云存储器2；

S72、云存储器2计算

其中

为与更新后的用户撤销列表R'相关的密文组件；cover(R')为与更新后的用户撤销列表R'相关联的最小覆盖集的节点值集合，节点值j'∈cover(R')；

若

使得j＝j'，令

若

使得j是j'的父节点，定义j'的路径path(j')＝path(j)∪{i_dept(j)+1,…,i_dept(j')}，其中i_dept(j)＝j，i_dept(j')＝j'，path(j)为j的路径，定义密文组件Y_j＝T_j，计算

k＝dept(j),…,dept(j')，然后令

dept(j)为编号为j的节点在二叉树T中的深度，既表示该节点在二叉树T中的第几层。如图3所示，在本发明的一个实施例中，dept(2)＝2，dept(5)＝3，dept(11)＝dept(12)＝4。

如图3所示，在本发明的一个实施例中，用户撤销列表R＝{u₁,u₄}＝{7,10}，则cover(R)＝{2,8,9}，假设要撤销的用户为u₈，则更新后的撤销列表R'＝{u₁,u₄,u₈}＝{7,10,14}，则cover(R')＝{5,8,9,13}。当j＝8,9时，

当j'＝13时，j＝2是j'的父节点，path(2)＝{0,2}，path(13)＝path(2)∪{6,13}，已知Y₂＝T₂，则

即可知

同理可得

将

和

用于更新与用户撤销列表相关的密文。

S73、云存储器2输出更新后的密文

本发明还揭示了一种策略隐藏的可追踪撤销恶意用户的属性基加密系统，用于执行本发明的策略隐藏的可追踪撤销恶意用户的属性基加密方法。如图2所示，所述策略隐藏的可追踪撤销恶意用户的属性基加密系统包含：授权机构1、数据拥有者3、云存储器2和用户4。

所述授权机构1，用于建立系统属性集合，基于所述系统属性集合生成每个用户4的用户属性集合；授权机构1生成公共参数、系统主密钥、用户撤销列表，并发布公共参数和用户撤销列表，保留系统主密钥；授权机构1为每个用户4生成并发送对应的解密密钥；授权机构1基于所述解密密钥追踪恶意用户，将追踪到的恶意用户加入用户撤销列表，实现撤销恶意用户；授权机构1还生成更新密钥并通过秘密通道发送给云存储器2；

所述数据拥有者3，制定访问策略，根据所述公共参数、访问策略、用户撤销列表、要加密消息，生成包含了残缺访问策略的密文，并将所述密文发送到云存储器2中保存；

所述云存储器2，用于存储密文，并使用授权机构1发送的更新密钥更新密文；

所述用户4，从云存储器2中获取密文，用自己的解密密钥对密文进行解密；只有该用户4不在用户撤销列表中，并且该用户4的用户属性集合满足访问策略时，才能成功解密密文。

与现有技术相比，本发明的优点在于：

1)本发明应用了部分隐藏的访问策略，通过授权机构1生成和更新用户撤销列表，并通过授权机构1为每个用户4生成对应的用户属性集合，所述用户属性集合包含用户属性名称和对应的用户属性值。数据拥有者3仅使用其对应的用户属性值对要加密的消息进行加密，将只包含了用户属性名称的残缺访问策略的密文发送到云存储器2中，云存储器2和用户4均无法得知具体的用户属性值，从而实现了隐私的保护。

2)本发明引入了白盒追踪机制和撤销机制。本发明使用与用户4相关的二叉树来绑定追踪信息和撤销信息。数据拥有者3(即所述用户集合U中的一个用户4)制定了访问策略。数据拥有者3生成的密文由两部分组成，一部分与访问策略相关，一部分与用户撤销列表相关。只有用户4的用户属性集合满足数据拥有者3所制定的访问策略时，才能成功解密密文。只有用户4不在用户撤销列表中才能获取密文。授权机构1根据恶意泄露解密密钥追踪到恶意用户，并对该恶意用户进行撤销。云存储器2在撤销恶意用户后，更新密文时只需更新与用户撤销列表相关的密文。通过本发明实现了恶意用户的可追踪和可撤销，且提高了撤销的效率。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (6)

1.一种策略隐藏的可追踪撤销恶意用户的属性基加密方法，其特征在于，包含步骤：

S1、授权机构建立用户集合U和二叉树T，为二叉树T的每个节点分配节点值；所述二叉树T的一个叶子节点关联用户集合U中的一个用户；授权机构定义用户撤销列表R、双线性映射e，基于e和随机选取的安全参数生成公共参数PP和系统主密钥MSK，并公布公共参数PP、用户撤销列表R，不公布系统主密钥MSK；

所述步骤S1包含：

S11、授权机构建立用户集合U和用户撤销列表R，R初始为空集；

S12、授权机构建立与用户集合U关联的二叉树T，二叉树T的一个叶子节点关联用户集合U中的一个用户；从二叉树T的根节点开始，对二叉树T的所有节点按照广度优先搜索方法依序编号；每个节点的编号值即为该节点的节点值；二叉树T的根节点的节点值为0，最后一个叶子节点的节点值为2|U|-2；

S13、授权机构定义双线性映射：e:G×G→G_T，其中G和G_T是两个阶均为素数p的循环乘法群，g为G的生成元；

S14、授权机构随机选取两个元素a,α∈Z_p，计算g^a和e(g,g)^α；

S15、授权机构随机生成主密钥组件

其中x_i∈Z_p且x_i关联二叉树T中节点值为i的节点；计算

其中Z_p为模p的整数加法群，|U|为用户集合U中的用户总数；

S16、授权机构随机选取秘密钥k，定义加密算法Enc_k(·)和与Enc_k(·)对应的解密算法Dec_k(·)；其中Enc_k(·)为从{0,1}^*→Z_p的对称加密的概率加密算法；

S17、授权机构随机选取两个元素h,u∈G；

S18、授权机构生成公共参数

和主密钥

公布公共参数PP，不公布系统主密钥MSK；

S2、授权机构建立系统属性集合；数据拥有者基于所述系统属性集合定义访问策略W；所述系统属性集合包含系统属性名称集合A、系统属性值集合T′；

所述步骤S2包含：

S21、授权机构建立系统属性集合，所述系统属性集合包含系统属性名称集合A＝{A_i}_i∈[1,n]和系统属性值集合

其中A_i为一个系统属性名称，

为与A_i对应的系统属性值集合，a_i,j为一个系统属性值，n和n_i为自然数；

S22、数据拥有者定义访问策略

其中M为l×n的矩阵；ρ为映射算法，ρ(i)＝A_j，i∈[1,l]，j∈[1,n]；

为关联(M,ρ)的属性值集合，

若存在系数

使得

则称

满足(M,ρ)，即

满足访问策略W，

不满足(M,ρ)，则称

为满足(M,ρ)的最小授权集合；令I_M,ρ为包含所有满足(M,ρ)的最小授权集合的集合；

S3、数据拥有者根据公共参数PP、访问策略W、要加密的消息m、用户撤销列表R调用加密算法，生成包含了用户撤销列表R和残缺访问策略

的密文CT；数据拥有者将密文CT存入云存储器；

所述步骤S3包含：

S31、数据拥有者随机选取两个列向量v＝(s,v₂,...,v_n)^T和v'＝(s',v'₂,...,v'_n)T，s和s′均为秘密，v₂,...,v_n∈Z_p，s∈Z_p，v'₂,...,v'_n∈Z_p，s'∈Z_p，对

计算λ_i＝M_i·v和λ′_i＝M_i·v'，其中M_i为矩阵M的第i行；

S32、对

数据拥有者随机选取元素t_i∈Z_p，计算与访问策略W相关的密文组件

S33、对

数据拥有者计算与解密验证相关的密文组件

S34、对

数据拥有者计算与用户撤销列表R相关联的密文组件

J_R为二叉树T中与用户撤销列表R关联的叶子节点集合，覆盖了{T-J_R}中所有叶子节点的最小节点集合为与用户撤销列表R关联的最小覆盖集，cover(R)为与用户撤销列表R关联的最小覆盖集的节点值集合；

S35、数据拥有者输出密文CT，并将密文CT存入云存储器；其中

为去除属性取值集合

的残缺访问策略，通过

实现了访问策略W的部分隐藏；

S4、授权机构基于系统属性名称集合A和系统属性值集合T′为用户u建立用户属性集合

其中u∈U；授权机构基于公共参数PP，系统主密钥MSK，用户属性集合

通过密钥生成算法，为用户u生成解密密钥SK；

S5、用户u通过解密密钥SK解密密文CT；当用户u在用户撤销列表R中，解密失败；否则，对密文CT进行匹配验证，当用户u的用户属性集合

不满足访问策略W时，密文匹配验证不通过，解密失败；否则，密文匹配验证通过，用户u运行解密算法，成功解密并恢复出消息m；

S6、授权机构基于解密密钥SK和公共参数PP，追踪恶意用户；首先授权机构对解密密钥SK进行密钥一致性检查，若SK未通过密钥一致性检查，则停止追踪；若SK通过密钥一致性检查，基于SK解密生成二叉树T一个叶子节点的节点值i_d；授权机构将与i_d关联的用户u作为恶意用户，其中u∈U；授权机构将u加入用户撤销列表R，更新用户撤销列表R；

S7、授权机构秘密发送更新密钥X'和更新后的用户注销列表给云存储器；云存储器基于更新密钥X'和更新后的用户撤销列表R'，运行密文更新算法，更新密文CT为密文CT'。

2.如权利要求1所述的策略隐藏的可追踪撤销恶意用户的属性基加密方法，其特征在于，所述步骤S4包含：

S41、授权机构为用户u定义用户属性集合

其中

为用户属性名称集合，

为用户属性值集合；

S42、授权机构计算c＝Enc_k(i_d)，其中i_d为关联了用户u的二叉树T的叶子节点的节点值；

S43、授权机构随机选取一个元素r∈Z_p，对任意用户属性名称τ∈I_S，计算与用户属性集合

关联的私钥组件

s_τ为用户属性值；

S44、计算与用户u关联的私钥组件

S45、授权机构为用户u输出解密密钥SK，

其中path(i_d)＝{i₀,…,i_d}为二叉树T从根节点到关联用户u的叶子节点的路径，i₀为二叉树T中根节点的节点值，i_d为关联用户u的叶子节点值，

包含与path(i_d)覆盖的节点关联的所有主密钥组件值。

3.如权利要求2所述的策略隐藏的可追踪撤销恶意用户的属性基加密方法，其特征在于，所述步骤S5包含：

S51、云存储器判断用户u是否在用户撤销列表R中，若u∈R，则用户u无法获取密文CT；否则进入步骤S52；

S52、用户从云存储器获取密文CT，定义矩阵M中满足残缺访问策略

的矩阵行号集合I∈I_(M,ρ)，其中I满足

所述满足残缺访问策略

是指，存在系数{c_i|i∈I}，使得

则有

S53、用户计算验证组件D'、E′_i，C_Δ；其中i∈I，

D'＝e(g,g)^αs'e(g,h)^(a+c)rs'，

若C_Δ＝C'，则称用户属性集合

满足访问策略

进入步骤S54；否则用户解密密文CT失败；

S54、用户计算j∈cover(R)∩path(i_d)；其中i_d为与用户u关联的叶子节点值，path(i_d)为二叉树T中从根节点到节点值为i_d的叶子节点的路径，path(i_d)＝{i₀,...,i_dept(j),...,i_d}，其中i_dept(j)＝j；用户从解密密钥组件

中查找得到

和x_j，并计算解密组件

S55、用户计算解密组件D、E_i、F；其中i∈I，

D＝e(g,g)^αse(g,h)^(a+c)rs，

F＝e(g,h)^(a+c)rse(g,g)^rs；

S56、用户计算获得消息

4.如权利要求3所述的策略隐藏的可追踪撤销恶意用户的属性基加密方法，其特征在于，所述步骤S6包含：

S61、授权机构基于公共参数PP对解密密钥SK进行一致性检查；授权机构定义判断条件P₁～P₄，其中

P₁为：K'∈Z_p,K,L,L',K_τ,1,K_τ,2∈G，

P₂为：e(g,L')＝e(g^a,L)≠1，

P₃为：e(K,g^ag^K')＝e(g,g)^αe(L^K'·L',h)≠1，

P₄为：

若解密密钥SK满足判断条件P₁～P₄，则授权机构判断解密密钥SK通过密钥一致性检查，进入步骤S62；否则，授权机构停止追踪恶意用户；

S62、授权机构计算与用户u相关联的二叉树T叶子节点值i_d＝Dec_k(K')，K'为解密密钥SK的密钥组件；

S63、授权机构在二叉树T叶子节点中查询节点值为i_d的节点；若二叉树中不存在此节点值为i_d的节点，授权机构停止追踪恶意用户；否则，授权机构获取与i_d相关联的用户u，进入S64；

S64、授权机构判断用户u是否在用户撤销列表R中；若

授权机构将u添加至用户撤销列表R中，实现最终恶意用户；R'＝R∪{u}，其中R'为更新后的用户撤销列表。

5.如权利要求4所述的策略隐藏的可追踪撤销恶意用户的属性基加密方法，其特征在于，所述步骤S7包含：

S71、授权机构随机选取更新系数η∈Z_p，计算更新密钥

并通过秘密通道发送X′和R'给云存储器；

S72、云存储器计算

其中

为与更新后的用户撤销列表R'相关的密文组件；cover(R')为与更新后的用户撤销列表R'相关联的最小覆盖集的节点值集合，节点值j'∈cover(R')；

若

使得j＝j'，令

若

使得j是j'的父节点，定义j'的路径path(j')＝path(j)∪{i_dept(j)+1,...,i_dept(j')}，其中i_dept(j)＝j，i_dept(j')＝j'，path(j)为j的路径，定义密文组件Y_j＝T_j，计算

然后令

S73、云存储器输出更新后的密文

6.一种策略隐藏的可追踪撤销恶意用户的属性基加密系统，用于执行如权利要求1-5任一所述的策略隐藏的可追踪撤销恶意用户的属性基加密方法，其特征在于，包含：授权机构、数据拥有者、云存储器和用户；

所述授权机构，用于建立系统属性集合，基于所述系统属性集合生成每个用户的用户属性集合；授权机构生成公共参数、系统主密钥、用户撤销列表，并发布公共参数和用户撤销列表，保留系统主密钥；授权机构为每个用户生成并发送对应的解密密钥；授权机构基于所述解密密钥追踪恶意用户，将追踪到的恶意用户加入用户撤销列表，实现撤销恶意用户；授权机构还生成更新密钥并通过秘密通道发送给云存储器；

所述数据拥有者，制定访问策略，根据所述公共参数、访问策略、用户撤销列表、要加密消息，生成包含了残缺访问策略的密文，并将所述密文发送到云存储器中保存；

所述云存储器，用于存储密文，并使用授权机构发送的更新密钥更新密文；

所述用户，从云存储器中获取密文，用自己的解密密钥对密文进行解密；只有该用户不在用户撤销列表中，并且该用户的用户属性集合满足访问策略时，才能成功解密密文。

Images