CN111917721B - 基于区块链的属性加密方法 - Google Patents

Abstract

本发明公开了一种基于区块链的属性加密方法，所述方法无CA的多授权机构：方法中设置多个授权机构，每个授权机构管自己领域的属性和密钥，不需要中心授权机构，更符合实际场景并且比有中心授权机构的方案安全性与隐私性更高；可验证的解密外包：通过设置转换密钥将复杂的解密运算外包到代理服务器，从而提升了终端的效率；外包解密结果可验证，确保代理服务器的可信性；属性撤销：本申请还支持高效的属性撤销，提升的方法在实际应用中的灵活性；支持大宇宙：方法中属性设置灵活，任意字符可以作为属性加入系统；公钥长度与属性个数无关。

Description

基于区块链的属性加密方法

技术领域

本发明涉及区块链技术领域，尤其涉及一种基于区块链的属性加密方法。

背景技术

区块链技术作为比特币、以太坊等数字加密货币的核心技术，采用基于协商一致的规范和协议，突破了传统的建立在可信第三方情况下的信任机制，实现了在没有第三方中心的条件下，直接在两个陌生实体间建立信任；一旦信息经过验证并添加至区块链就会永久的存储起来，单个节点对数据库的修改是无效的。利用区块链不可篡改的特性，在数据共享中可以有效地保证共享数据的安全，防止数据被非法篡改。随着区块链技术的发展和广泛应用，越来越多的数据被创建并存储到区块链中，其中包含大量的个人隐私数据甚至涉及企业及国家安全的数据。区块链具有透明性，区块链上的数据会完全暴露在区块链网络中，让网络中存在的攻击者有机可乘；隐私数据一旦泄露就会带来各种不良的影响，甚至会给个人、企业、国家带来巨大损失。为了保护区块链共享数据的隐私，数据被上传到区块链之前需要将共享数据进行加密处理。

在传统的公钥密码体制中数据的加解密仅支持“一对一”的方式，如果想要将数据分享给不同的n个用户，则需要进行n次加密，在数据共享上有着很大的局限性。基于属性的加密(Attribute-based Encryption，ABE)方案是一种特殊的公钥加密算法，用户的属性决定了用户的解密密钥。在这种密码系统中，当用户的属性符合访问策略中设置的属性要求条件时，用户才可以解密密文。基于属性的加密可以有效实现“一对多”的数据加密，在数据共享中还可以实现数据的细粒度访问控制。例如，应用在医疗区块链数据共享平台中，患者希望只有相关的医生可以查看自己的医疗数据，同时不想让其他人看到自己的医疗数据；这时患者可以使用ABE加密自己的医疗数据并上传到区块料系统中，并在加密过程中指定只有具有特定属性的医生可以访问自己的医疗数据。

ABE的概念由Amit和Brent首先提出，其后Vipul等人对它进行了进一步的定义。ABE方案主要分为两种：密钥策略的属性加密(Key-Policy Attribute-Based Encryption，KP-ABE)和密文策略的属性加密(Ciphertext-Policy Attribute-Based Encryption，CP-ABE)。在KP-ABE中，密钥是根据一个预先设定的访问策略产生的，而密文与用户的属性集合有关。而在CP-ABE中，密钥是基于用户的属性生成的，密文的生成则与预先设置的访问策略有关。近几年，一系列的ABE算法被提出来，研究者们主要围绕着算法效率、属性撤销以及多授权机构联合产生用户密钥等几个方面对ABE进行了进一步的研究。

早期的ABE算法中，用户的属性密钥由单一的授权机构产生，但是在实际情况中所有的属性并不能由单一的授权机构管理，例如在医疗数据共享中每个医院分别管理各自的属性，A医院的骨科医生与B医院的骨科医生分别由A、 B医院分别管理。为了解决这一问题，Chase第一次提出了基于多授权机构的属性加密算法(MA-ABE，Multi-authority ABE)，Chase的方案中不同的属性集合分别由不同的属性授权机构管理，但是这个方案需要一个完全可信并拥有解密所有密文能力的中心授权机构(CA，center-authority)。随后Chase和Chow^[6]设计并提出了一种提升安全性和隐私性的MA-ABE方案，该方案在密钥生成阶段解除了对CA的依赖，从而提高了安全性跟隐私性。Lewko和Waters^[7]在复合阶的双线性群中提出了一个完全安全的多授权机构的属性加密方案，该方案将安全性规约在随机预言模型下的静态安全假设。

在实际应用中，ABE仍然有一些问题需要处理。首先，在ABE系统中需要处理大量的双线性对计算，而且随着访问策略与属性的增加计算的消耗呈现线性增长。提高ABE的效率一直是学者们重点研究的一个问题。在考虑ABE 的效率时，研究者们多从两个方面研究，一方面是计算代价，主要是指算法在加密和解密过程中的计算消耗，在数据共享中通常是一次加密多人共享和解密，所以减少解密过程中的计算消耗显得更加重要；另一方面是通信代价，由加密后的密文长度决定。在最初的属性加密方案中，通信代价和计算代价与属性的数量线性相关，随着属性数量的增加计算代价和通信代价也不断增大。

发明内容

本发明所要解决的技术问题是提供一种高效、属性可撤销、具有大宇宙属性域、具有多授权机构，在实际应用中有更高的灵活性的基于区块链的属性加密方法。

为解决上述技术问题，本发明所采取的技术方案是：一种基于区块链的属性加密方法，其特征在于包括如下步骤：

选择一个阶数为p的双线性群G，其中p是一个素数，g为双线性群G的生成元，群G上的双线性映射为e：G×G＝G₁；选择两个哈希函数H：

F：U→G，输出并公开公共参数GP＝{p，G，g，H，F，U，U_θ，T}；U表示全部属性的集合，U_θ表示所全部属性授权机构的集合，公开的函数T：U→U_θ可以将一个属性i∈U映射到管理该属性的属性授权机构θ∈U_θ；

每一个属性授权机构选取2个随机参数α_θ，

并计算

最后公开公钥

自己保存私钥SK_θ＝{α_θ，y_θ}；

首先用户选择随机参数与密钥版本号

然后计算用户的公钥

并公开自己的公钥与密钥版本号，最后计算并保存自己的恢复密钥

每个属性授权机构以全局标量GP、授权机构私钥SK_θ、用户身份id、用户身份对应的公钥Upk_id和用户的属性集S为输入，如果T(i)＝θ，则属性授权机构θ计算

其中随机参数

i表示用户的属性并且i∈S，最后输出用户id的转换密钥TK_id，s＝{K_i，id，K_i，id′}_i∈S，并将用户的转换密钥与用户当前密钥版本号发送到解密代理服务器；

输入为全局变量GP，授权机构公钥{PK_θ}，明文消息M和访问策略(A，ρ)；首先随机选择以下参数：s，y₂，…，y_n，z₂，…，z_n，根据选取的参数生成向量

对于所有的x∈[l]，计算

其中A_x为矩阵A的第x行，随机选取参数r_x∈Z_p，R∈G₁，并做出如下计算：

C₀＝RMe(g，g)^s，

Tag₀＝H₁(RM)，

K_se＝h(RM)，

C_SE＝SE.enc(K_se，R)，

最后输出密文CT＝(C₀，{C_1，x，C_2，x，C_3，x，C_4，x}_x∈[l]，C_SE}以及密文标签 Tag_CT＝H₃(Tag₀||C_SE)，并将密文跟密文标签上传至区块链共享系统；

转换函数由解密代理服务器执行，输入转换密钥Tk_id，s，全局变量GP，用户公钥Upk_id和密文CT；首先，代理服务器验证用户属性S是否满足访问策略 (A，ρ)，如果不满足访问策略则输出错误；否则进行如下操作，令

随后计算

并且c_x满足∑_x∈I c_xA_x＝ (1，0，0，…，0)，计算部分解密密文：

最后将部分解密密文CT_id＝{C₀，C_1，id，C_2，id，C_SE}发送给用户，由用户进行解密；

输入CT_id、Tag_CT和Rk_id；首先计算

得到e(g，g)^s后，通过计算

得到MR的值，通过MR计算出Tag₀＝H₁(RM)，通过计算得到的Tag₀与输入的C_SE，计算出Tag_CT′＝H₃(Tag₀||C_SE)，然后对比Tag_CT′与输入的Tag_CT是否相同，如果不同则输出错误，如果相同则继续计算K_se＝h(RM)，然后恢复密文

属性撤销函数由需要撤销的用户和属性授权机构执行，输入x_id、v_id、S′，其中S′为用户最新的属性集；首先用户随机生成新的密钥版本号v_id′，用户根据新的密钥版本号计算升级密钥

随后利用升级密钥计算新的恢复密钥

并保存，同时计算新的用户公钥

在生成新的用户公钥后将用户公钥公开，同时属性授权机构根据新的属性S′重新计算该用户的转换密钥TK_id，s，随后将最新的转换密钥发送到解密代理服务器，解密服务器更新对应的解密密钥跟密钥版本号；

其中，(A，ρ)表示一个访问策略，其中A表示一个l行n列的矩阵，函数ρ：[l]→Z_p，可以将该矩阵的行号x映射到具体的属性ρ(x)；函数T：U→U_θ，可以将一个属性i∈U映射到管理该属性的属性授权机构θ∈U_θ，所以函数δ(·)＝T(ρ(·))，表示将一个矩阵的行号映射到管理这一行对应的属性的属性授权机构；设SE是一个对称加密算法，包括加密与解密两个函数{SE.enc，SE.dec}。

进一步的技术方案在于，定义访问结构：设{P₁，P₂，…，P_n}是由n个属性组成的集合，访问结构

是指由所有集合{P₁，P₂，…，P_n}的非空子集组成的集合，即

如果一个集合属于

那么称这个集合为授权集合；相反，非授权集合是指不属于

的集合。

线性秘密共享：假设一个素数p，如果满足以下条件，那么称属性集合P 上的秘密共享方案在Z_p上是线性的：

1)每个属性关于秘密s∈Z_p的分享值构成Z_p上的一个向量；

2)对于属性集合P上的任何一个访问结构

存在一个l行n列的矩阵A和函数ρ：[l]→Z_p，其中l，n∈Z_p；函数ρ把矩阵A的行号i映射到属性ρ(i)；令向量v＝(s，y₂，…，y_n)^T，y₂，…，y_n∈Z_p是随机元素；那么s关于II的l个分享份额构成的向量

秘密分享份额α_i＝(Av)_i分配给属性ρ(i)；

双线性映射：设G₁和G₂是2个p阶的乘法循环群，p为素数，G₁的生成元为g；映射e：G₁×G₁＝G₂满足以下性质时，称e是双线性映射，G₁是素阶数双线性群：

1)双线性：对于所有的u，v∈G₁和a，b∈Z_p有e(u^a，v^b)＝e(u，v)^ab；

2)非退化性：e(g，g)≠1；

3)可计算性：对于任意的u，v∈G₁，求e(u，v)的值都是可以有效的计算的。

采用上述技术方案所产生的有益效果在于：1)无CA的多授权机构：方法中有多个授权机构，每个授权机构管自己领域的属性和密钥；不需要中心授权机构，方案更符合实际场景并且比有中心授权机构的方案安全性与隐私性更高。 2)可验证的解密外包：通过设置转换密钥将复杂的解密运算外包到代理服务器，从而提升了终端的效率；外包解密结果可验证，确保代理服务器的可信性。3) 属性撤销：本方案还支持高效的属性撤销，提升的方案在实际应用中的灵活性。 4)支持大宇宙：系统中属性设置灵活，任意字符可以作为属性加入系统；公钥长度与属性个数无关。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1是本发明实施例所述方法中的系统架构图；

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

访问结构：

定义1：访问结构(access structure)。假设{P₁，P₂，…，P_n}是由n个属性组成的集合。访问结构

是指由所有集合{P₁，P₂，…，P_n}的非空子集组成的集合，即

如果一个集合属于

那么称这个集合为授权集合。相反，非授权集合是指不属于

的集合。

线性秘密共享：

定义2：线性秘密共享(LSSS，linear secret sharing scheme)。假设一个素数p，如果满足以下条件，那么称属性集合P上的秘密共享方案II在Z_p上是线性的。

1)每个属性关于秘密s∈Z_p的分享值构成Z_p上的一个向量。

2)对于属性集合P上的任何一个访问结构

存在一个l行n列的矩阵A和函数ρ：[l]→Z_p，其中l，n∈Z_p。函数ρ把矩阵A的行号i映射到属性ρ(i)。令向量v＝(s，y₂，…，y_n)^T，y₂，…，y_n∈Z_p是随机元素。那么s关于II的l个分享份额构成的向量

秘密分享份额α_i＝(Av)_i分配给属性ρ(i)。

双线性映射：

设G₁和G₂是2个p阶的乘法循环群，p为素数，G₁的生成元为g。映射e： G₁×G₁＝G₂满足以下性质时，称e是双线性映射，G₁是素阶数双线性群。

1)双线性：对于所有的u，v∈G₁和a，b∈Z_p有e(u^a，v^b)＝e(u，v)^ab。

2)非退化性：e(g，g)≠1。

3)可计算性：对于任意的u，v∈G₁，求e(u，v)的值都是可以有效的计算的。

困难问题假设：

定义3：q-DBPBDHE2假设(DBPBDHE，Decisional Parallel Bilinear Diffie-HellmanExponent Assumption)。q-DBPBDHE2问题描述如下：随机选择参数a，s，

已知

假设存在算法β，用以区分

和G₂中的随机元素R。

当

那么称算法β在解决q-DBPBDHE2问题上的优势是ε。

如果解决q-DBPBDHE2问题的优势在任何多项式时间内都是可以忽略的，那么称q-DBPBDHE2假设在群G₁中成立。

ER-MA-CP-ABE方案的定义和安全模型

本申请所述方法适用于区块链的高效、属性可撤销的MA-CP-ABE方案主要包括AA(attribute authority)、解密代理服务器、区块链、数据拥有者、数据使用者5个主体，具体架构图如图1所示。需要注意的是这里的解密代理服务器是半可信的，即解密代理服务器按正常步骤执行算法并进行部分解密，由用户进行最终解密。

定义

在本申请中每一个属性只能由一个属性授权机构管理，每个属性授权机构可以同时管理若干个属性，但是不同的属性授权机构间管理的属性不能相同。在本申请中，用U表示全部属性的集合。U_θ表示所全部属性授权机构的集合。公开的函数T：U→U_θ可以将一个属性i∈U映射到管理该属性的属性授权机构θ∈U_θ。本申请包括以下几个算法：

GloableSetup(λ)→GP：全局初始化函数，输入随机的λ作为安全参数，输出GP做为系统公开参数。

AASetup(GP，θ)→(PK_θ，SK_θ)：属性授权机构初始化函数，每个属性授权机构θ输入全局变量GP，以属性授权机构的公钥和私钥(PK_θ，SK_θ)做为输出。

UserKeyGen(GP，id)→(Upk_id，Rk_id)：用户密钥生成函数，用户id以全局变量为输入，输出当前用户的公钥Upk_id以及恢复密钥Rk_id。

TkGen(GP，{SK_θ}，id，Upk_id，S)→Tk_id，s：转换密钥生成函数，授权机构输入GP、SK_θ、id、Upk_id、以及用户的属性S，输出针对用户id的转换密钥Tk_id，s，并将Tk_id，s发送给解密代理服务器。

Encript(GP，{PK_θ}，M，(A，ρ))→(CT，Tag_CT)：加密函数，输入全局变量GP，授权机构公钥{PK_θ}，明文消息M，以及访问策略(A，ρ)；输出密文消息CT和对应的密文标签Tag_CT。加密函数由用户运行，并将密文消息和密文标签 {CT，Tag_CT}上传到区块链系统。

Transform(Tk_id，s，GP，Upk_id，CT)→CT_id：转换函数由解密代理服务执行，以用户对应的转换密钥Tk_id，s，全局变量GP，用户的公钥Upk_id以及访问策略 (A，ρ)对应的密文CT。如果解密用户的属性S满足预先设置的访问策略(A，ρ)，则代理服务器进行部分解密，然后将部分解密的密文CT_id发送给用户id，由用户进行最终解密；如果解密的用户属性不满足访问策略则输出解密失败。

Decrypt(CT_id，Tag_CT，Rk_id)→M：解密算法，该算法由数据使用者执行，以部分解密密文CT_id，密文标签Tag_CT和恢复密钥Rk_id为输入；用户首先检查密文与解密标签是否一致，如果一致则继续解密得到明文消息M，如果不一致则输出错误。

AttributeRev(x_id，v_id，S′)→Tk_id，s：属性撤销算法，输入用户参数x_id、当前密钥版本号v_id和需要更新的用户属性集S′；输出更新后的转换密钥和恢复密钥。

安全模型

本申请主要针对非腐败用户的合谋攻击，在以上的基础上，安全模型中敌手可以针对合法用户的私钥进行多次询问，对其它合法用户的中间解密密文也可以询问。模型中允许敌手对解密代理服务器的转换密钥进行询问，很明显敌手可以通过转换密钥得到用户的部分解密密文。不仅如此，在安全模型中有一部分属性授权机构是被敌手腐化过的，所以被腐化的属性授权机构的公钥敌手是可以自己生成的。需要指出在本申请的安全模型中，如果只允许针对解密代理服务器转换密钥的询问，那么安全模型则转换为只针对解密代理服务器的攻击；而在本申请提出的模型中是同时允许对解密代理服务器转换密钥询问，以及对一部分合法用户的公钥和用户的恢复密钥询问的，所以安全模型同时包括合谋攻击和解密代理服务器攻击2种情况。

安全模型描述如下：

Setup：建立阶段挑战者执行GloableSetup(λ)函数，然后将公共参数GP 公开并发给敌手。

Phase 1：询问开始阶段敌手选择属性授权机构作为腐化的授权机构，

然后敌手自己生成被腐化的属性授权机构的公钥并对挑战者进行下列询问。

1)首先敌手选择没有被腐化的属性授权机构

并向挑战者询问这些未被腐化的属性授权机构的公钥。

2)敌手随机选取一些合法的用户

然后向挑战者询问这些合法用户的公钥以及恢复密钥。

3)敌手将

发送给挑战者并询问其相对的解密代理服务器转换密钥，其中S_i是id_i对应的属性集，

在这里

即这个过程中询问的所有属性都是由未被腐化的属性授权机构管理的。另外这里n的值大于m的取值，也就是代表着敌手可以询问

的解密代理服务器转换密钥，也可以询问其他合法用户的解密代理服务器的转换密钥。

Challenge：敌手随机选取长度相等的明文消息M₀、M₁和一个访问策略 (A，ρ)，然后发送到挑战者并询问密文。被腐化的属性授权机构控制的属性集表示为

被敌手询问过私钥的每个用户控制的属性集表示为S_i，在这个步骤中要求

不能满足被选取的访问策略(A，ρ)。挑战者首先随机选择取值均匀的b∈{0，1}，并生成明文消息M_b。随后挑战者做出以下应答。

1)敌手询问的属性授权机构的公钥

2)敌手询问的用户的公钥以及恢复密钥

3)敌手询问的

的解密代理服务器的转换密钥

4)挑战者将生成的明文消息M_b加密，并将密文 CT′←Encript(GP，{PK_θ}，M_b，(A，ρ))发送给敌手。

Phase2：这一过程跟Phase 1相同，但是在敌手询问时不能违背Challenge 中的限定条件。

Guess：敌手输出b′，作为对b的猜测。如果b′＝b，则敌手赢得游戏。

定义敌手赢得游戏的优势为：

定义4：如果没有多项式时间敌手能够以不可忽略的优势赢得这个游戏，则称本文的适用于区块链的支持多授权机构、属性可撤销、高效的CP-ABE方案是静态安全的。

通过以上理论分析，本申请公开了一种基于区块链的属性加密方法，具体包括如下步骤：

方案构造

在本申请的构造中(A，ρ)表示一个访问策略，其中A表示一个l行n列的矩阵，函数ρ：[l]→Z_p，可以将该矩阵的行号x映射到具体的属性ρ(x)。函数T：U→U_θ，可以将一个属性i∈U映射到管理该属性的属性授权机构θ∈U_θ，所以函数δ(·)＝T(ρ(·))，表示将一个矩阵的行号映射到管理这一行对应的属性的属性授权机构。另外设SE是一个对称加密算法，包括加密与解密两个函数 {SE.enc，SE.dec}。

GloableSetup(λ)：选择一个阶数为p双线性群G，其中p是一个素数，g 为群G的生成元，群G上的双线性映射为e：G×G＝G₁；选择两个哈希函数H：

F∶U→G，输出并公开公共参数GP＝{p，G，g，H，F，U，U_θ，T}。

AASetup(GP，θ)：此算法由属性授权机构执行。每一个属性授权机构选取 2个随机参数α_θ，

并计算

最后公开公钥

自己保存私钥SK_θ＝{α_θ，y_θ}。

UserKeyGen(GP，id)：此算法由用户执行。首先用户选择随机参数与密钥版本号

然后计算用户的公钥

并公开自己的公钥与密钥版本号；最后计算并保存自己的恢复密钥

TkGen(GP，{SK_θ}，id，Upk_id，S)：该算法由属性授权机构运行。每个属性授权机构以全局标量GP、授权机构私钥SK_θ、用户身份id、用户身份对应的公钥 Upk_id和用户的属性集S为输入。如果T(i)＝θ，则属性授权机构θ计算

其中随机参数

i表示用户的属性并且i∈S。最后输出用户id的转换密钥TK_id，s＝{K_i，id，K_i，id}_i∈S，并将用户的转换密钥与用户当前密钥版本号发送到解密代理服务器。

Encript(GP，{PK_θ}，M，(A，ρ))：数据加密算法，输入为全局变量GP，授权机构公钥{PK_θ}，明文消息M和访问策略(A，ρ)。首先随机选择以下参数： s，y₂，…，y_n，z₂，…，z_n，根据选取的参数生成向量

对于所有的x∈[l]，计算

其中A_x为矩阵A的第x行。随机选取参数r_x∈Z_p，R∈G₁，并做出如下计算：

C₀＝RMe(g，g)^s，

Tag₀＝H₁(RM)，

Kse＝h(RM)，

C_SE＝SE.enc(K_se，R)，

最后输出密文CT＝(C₀，{C_1，x，C_2，x，C_3，x，C_4，x}_x∈[l]，C_SE}以及密文标签 Tag_CT＝H₃(Tag₀||C_SE)，并将密文跟密文标签上传至区块链共享系统。

Transform(Tk_id，s，GP，Upk_id，CT)：转换函数由解密代理服务器执行。输入转换密钥Tk_id，s，全局变量GP，用户公钥Upk_id和密文CT。首先，代理服务器验证用户属性S是否满足访问策略(A，ρ)，如果不满足访问策略则输出错误；否则进行如下操作，令

随后计算

并且c_x满足∑_x∈I c_xA_x＝(1，0，0，…，0)，计算部分解密密文：

最后将部分解密密文CT_id＝{C₀，C_1，id，C_2，id，C_SE}发送给用户，由用户进行解密。

Decrypt(CT_id，Tag_CT，Rk_id)：解密算法。输入CT_id、Tag_CT和Rk_id；首先计算

得到e(g，g)^s后，通过计算

得到MR的值，通过MR计算出Tag₀＝H₁(RM)，通过计算得到的Tag₀与输入的C_SE，计算出Tag_CT′＝H₃(Tag₀||C_SE)，然后对比Tag_CT′与输入的Tag_CT是否相同，如果不同则输出错误，如果相同则继续计算K_se＝h(RM)，然后恢复密文

AttributeRev(v_id，S′)：属性撤销函数由需要撤销的用户和属性授权机构执行。输入x_id、v_id、S′，其中S′为用户最新的属性集；首先用户随机生成新的密钥版本号v_id′，用户根据新的密钥版本号计算升级密钥

随后利用升级密钥计算新的恢复密钥

并保存，同时计算新的用户公钥

在生成新的用户公钥后将用户公钥公开，同时属性授权机构根据新的属性S′重新计算该用户的转换密钥TK_id，s，随后将最新的转换密钥发送到解密代理服务器，解密服务器更新对应的解密密钥跟密钥版本号。

正确性：假设属性集S满足访问策略(A，ρ)，由Transform(Tk_id，s，GP，Upk_id，CT)函数可以得出：

且

并且满足∑_x∈I c_xA_x＝(1，0，0，…，0)。然后进行如下计算：

已知∑x_∈I c_xA_x＝(1，0，0，…，0)并且

可知∑_x∈Iλ_xc_x＝s，∑_x∈Iω_xc_x＝0。可计算得出

在得出

后，按照解密算法 Decrypt(CT_id，Tag_CT，Rk_id)描述可以准确计算出明文消息M。

安全性证明

为了证明本申请的安全性，需要证明以下引理。

引理1：假设Rouselakis-Waters(RW)的方案是安全的，那么本申请提出的方案也是安全的。

证明：假设存在一个敌手

能在多项式时间以优势ε攻破本申请中提出的适用于区块链的高效、属性可撤销的MA-CP-ABE方案。那么则能够构造一个以优势ε攻破RW的方案的模拟器

这里假设RW方案中与

交互的挑战者为

Setup：系统初始阶段挑战者

将RW方案中的公共参数GP发送给模拟器

模拟者接收到这些参数后，将公共参数发送给本申请中提出的适用于区块链的高效、属性可撤销的MA-CP-ABE方案中的敌手

并将这个公共参数作为本方案的公共参数。

Phase 1：随后按照本申请的方法进行如下步骤，敌手

选择部分属性授权机构作为腐化的属性授权机构

随后敌手自己生成这些腐化的属性授权机构的公钥

并将这些公钥发送给模拟器

最后敌手

针对本申请的方案对模拟器作如下询问：

1)首先敌手选择没有被腐化的属性授权机构

并向挑战者询问这些未被腐化的属性授权机构的公钥。

2)敌手随机选取一些合法的用户

然后向挑战者询问这些合法用户的公钥以及恢复密钥。

3)敌手将

发送给挑战者并询问其相对的解密代理服务器转换密钥，其中S_i是id_i对应的属性集，

在这里

即这个过程中询问的所有属性都是由未被腐化的属性授权机构管理的。另外这里n的值大于m的取值，也就是代表着敌手可以询问

的解密代理服务器转换密钥，也可以询问其他合法用户的解密代理服务器的转换密钥。

4)敌手随机选择2个长度相等的明文消息M₀、M₁和一个访问策略(A，ρ)，然后发送给挑战者询问密文。设被腐化的属性授权机构控制的属性集表示为

被敌手询问过私钥的每个用户控制的属性集表示为S_i，在这个步骤中要求

不能满足被选取的访问策略(A，ρ)。

Phase2：模拟器

将公钥

发送给挑战者

并向挑战者

做出如下询问：

1)RW方案中属性授权机构

的公钥。

2)

在RW方案中对应的挑战秘闻以及解密密钥。

挑战者

对模拟器

的询问作出应答，返回给模拟器

相对应的公钥

私钥

以及对应的挑战者密文CT^*。随后模拟器

针对敌手

的询问，计算在本方案中的参数，首先选取随机参数与密钥版本号

1≤i≤m，然后计算用户的公钥

恢复密钥

然后计算

对应解密代理服务器的转换密钥。

1)当1≤i≤m时，k∈S_i。计算

令代理服务器转换密钥

2)当m＜i≤n时，k∈S_i，计算

其中 g_j∈G，

值得注意的是G是一个循环群，并且

是群中的元素，所以再循环群中存在一个

使

因此TK_id，s是分布合理的云服务器转换密钥。

将上述属性授权机构的公钥

相关用户的公钥以及恢复密钥{Upk_id，Rk_id}，解密代理服务器的转换密钥TK_id，s和挑战密文CT^*发送给敌手

Challenge：敌手

猜测结果b′∈{0，1}。模拟器

也输出结果b′。

上述结果分布与真实结果对敌手

来说是不可区分的，所以如果敌手

能以优势ε攻破本文中提出的适用于区块链的高效、属性可撤销的MA-CP-ABE 方案，那么

也能以优势ε攻破RW的方案。

引理2：假设q-DPBDHE2问题成立，那么RW方案在随机预言模型下是静态安全的。

定理1：假设q-DPBDHE2问题成立，那么本申请中提出的适用于区块链的高效、属性可撤销的MA-CP-ABE方案在随机预言模型下是静态安全的。

根据引理1和引理2可以证明定理1是正确的。

性能分析

以下给出了本文方案与现有技术一：Efficient large-universe multi-authority ciphertext-policy attribute-based encryption with white-boxtraceability；现有技术二：Secure and Verifiable Policy Update Outsourcing forBig Data Access Control in the Cloud；现有技术三：Secure,efficient andrevocable multi-authority access control system in cloud storage在特性与计算开销方面的对比分析，下文中各个符号代表的意义如下表1所示；与群中的指数运算和双线性对运算相比，由于乘法运算的计算开销很小，所以本文在分析算法的计算开销时忽略了乘法运算。

表1：各个符号代表的意义描述

功能分析：

表2给出了相关方案的特性分析，如表中所示，本申请的方案与现有技术一的方案是在大属性域中建立的，在大属性域中系统建立时不需要提前确定属性，并且系统公钥长度与系统中属性的数量无关，在后期维护中系统中随时可以添加新的属性，系统扩展性好。表中的4个方案都是多属性授权机构，不同的属性集由不同的属性授权机构管理，本申请中的多授权机构是不需要中心授权机构的，更符合实际的应用场景。在效率方面，在实际应用场景中，终端设备往往计算能力都比较低，在本申请的方案和现有技术三的方案中是支持外包解密的，将复杂的解密计算交给代理服务器处理，终端设备只需要进行一次群内的求幂运算即可得到明文消息，对终端计算能力要求更低，在本申请的外包解密计算可以对解密代理服务器发回的部分解密密文进行验证，保证解密的正确性。本申请的方案与现有技术三的方案还支持属性的撤销，在本申请的方案中，通过为用户密钥设置一个版本号实现属性的撤销，无需更改密文与其它用户的密钥。

表2：各个方案特性对比分析

计算开销分析

如下表3给出了本申请与现有技术一至现有技术三的方案的计算开销对比，首先在全局初始化阶段，因为只产生全局参数，所以各个方案的计算开销都是恒定的；另外通过表中还可以看出在本申请与现有技术一的方案中AA初始化阶段的计算开销也是恒定的，因为在本申请的方案中AA的公共参数与系统中的属性是独立的，而在另外两个方案中此阶段的计算开销与每个属性授权机构管理的属性呈线性相关；在密钥生成阶段四个方案的计算开销都与用户控制的属性成线性相关；在数据加密阶段，本申请的计算开销跟访问策略控制的属性成线性关系；在解密阶段，四个方案的整体计算开销都跟解密需要的属性线性相关，但是在本申请提出的方案中，可以将大量的解密计算外包给解密代理服务器，而用户终端只需要计算一次指数运算即可，这对用户终端来说可以节省大量的计算资源。

表3：各个方案计算开销对比分析

数据的安全与隐私是数据共享的保障，区块链因为其不可篡改的特性被广泛应用于数据共享系统，但又因为其透明性使共享数据被暴露在基于区块链的数据共享系统中，所以在数据上传到区块链之前对其进行加密就显得的尤为重要。ABE因其一对多的特性被广泛应用在数据共享中，本申请针对ABE在实际应用中的不足，提出了一个适用于区块链的高效、属性可撤销的MA-CP-ABE 方法，经过理论分析表明，本申请比现有技术一至现有技术三表现得要好，更符合实际场景下的应用需求。

Claims (2)

1.一种基于区块链的属性加密方法，其特征在于包括如下步骤：

选择一个阶数为p的双线性群G，其中p是一个素数，g为双线性群G的生成元，群G上的双线性映射为e：G×G＝G₁；选择两个哈希函数

F：U→G，输出并公开公共参数GP＝{p，G，g，H，F，U，U_θ，T}；U表示全部属性的集合，U_θ表示所全部属性授权机构的集合，公开的函数T：U→U_θ可以将一个属性i∈U映射到管理该属性的属性授权机构θ∈U_θ；

每一个属性授权机构选取2个随机参数α_θ，

并计算

最后公开公钥

自己保存私钥SK_θ＝{α_θ，y_θ}；

首先用户选择随机参数与密钥版本号

然后计算用户的公钥

并公开自己的公钥与密钥版本号，最后计算并保存自己的恢复密钥

每个属性授权机构以全局标量GP、授权机构私钥SK_θ、用户身份id、用户身份对应的公钥Upk_id和用户的属性集S为输入，如果T(i)＝θ，则属性授权机构θ计算

其中随机参数

i表示用户的属性并且i∈S，最后输出用户id的转换密钥TK_id，s＝{K_i，id，K_i，id′}_i∈S，并将用户的转换密钥与用户当前密钥版本号发送到解密代理服务器；

输入为全局变量GP，授权机构公钥{PK_θ}，明文消息M和访问策略(A，ρ)；首先随机选择以下参数：s，y₂，…，y_n，z₂，…，z_n，根据选取的参数生成向量

对于所有的x∈[l]，计算

其中A_x为矩阵A的第x行，随机选取参数r_x∈Z_P，R∈G₁，并做出如下计算：

C₀＝RMe(g，g)^s，

Tag₀＝H₁(RM)，

K_se＝h(RM)，

C_SE＝SE.enc(K_se，R)，

最后输出密文CT＝(C₀，{C_1，x，C_2，x，C_3，x，C_4，x}_x∈[l]，C_SE) 以及密文标签Tag_CT＝H₃(Tag₀||C_SE)，并将密文跟密文标签上传至区块链共享系统；

转换函数由解密代理服务器执行，输入转换密钥Tk_id，s，全局变量GP，用户公钥Upk_id和密文CT；首先，代理服务器验证用户属性S是否满足访问策略(A，ρ)，如果不满足访问策略则输出错误；否则进行如下操作，令

随后计算

并且c_x满足∑_x∈I c_xA_x＝(1，0，0，…，0)，计算部分解密密文：

最后将部分解密密文CT_id＝{C₀，C_1，id，C_2，id，C_SE}发送给用户，由用户进行解密；

输入CT_id、Tag_CT和Rk_id；首先计算

得到e(g，g)^s后，通过计算

得到MR的值，通过MR计算出Tag₀＝H₁(RM)，通过计算得到的Tag₀与输入的C_SE，计算出Tag_CT′＝H₃(Tag₀||C_SE)，然后对比Tag_CT′与输入的Tag_CT是否相同，如果不同则输出错误，如果相同则继续计算K_se＝h(RM)，然后恢复密文

属性撤销函数由需要撤销的用户和属性授权机构执行，输入x_id、v_id、S′，其中S′为用户最新的属性集；首先用户随机生成新的密钥版本号v_id′，用户根据新的密钥版本号计算升级密钥

随后利用升级密钥计算新的恢复密钥

并保存，同时计算新的用户公钥

在生成新的用户公钥后将用户公钥公开，同时属性授权机构根据新的属性S′重新计算该用户的转换密钥TK_id，s，随后将最新的转换密钥发送到解密代理服务器，解密服务器更新对应的解密密钥跟密钥版本号；

其中，(A，ρ)表示一个访问策略，其中A表示一个l行n列的矩阵，函数ρ：[l]→Z_p，可以将该矩阵的行号x映射到具体的属性ρ(x)；函数T：U→U_θ，可以将一个属性i∈U映射到管理该属性的属性授权机构θ∈U_θ，所以函数δ(·)＝T(ρ(·))，表示将一个矩阵的行号映射到管理这一行对应的属性的属性授权机构；设SE是一个对称加密算法，包括加密与解密两个函数{SE.enc，SE.dec}。

2.如权利要求1所述的基于区块链的属性加密方法，其特征在于：

定义访问结构：设{P₁，P₂，…，P_n}是由n个属性组成的集合，访问结构A是指由所有集合{P₁，P₂，…，P_n}的非空子集组成的集合，即

如果一个集合属于

那么称这个集合为授权集合；相反，非授权集合是指不属于

的集合；

线性秘密共享：假设一个素数p，如果满足以下条件，那么称属性集合P上的秘密共享方案在Z_P上是线性的：

1)每个属性关于秘密s∈Z_p的分享值构成Z_p上的一个向量；

2)对于属性集合P上的任何一个访问结构

存在一个l行n列的矩阵A和函数ρ：[l]→Z_p，其中l，n∈Z_p；函数ρ把矩阵A的行号i映射到属性ρ(i)；令向量v＝(s，y₂，…，y_n)^T，y₂，…，y_n∈Z_P是随机元素；那么s关于||的l个分享份额构成的向量

秘密分享份额α_i＝(Av)_i分配给属性ρ(i)；

双线性映射：设G₁和G₂是2个p阶的乘法循环群，p为素数，G₁的生成元为g；映射e：G₁×G₁＝G₂满足以下性质时，称e是双线性映射，G₁是素阶数双线性群：

1)双线性：对于所有的u，v∈G₁和a，b∈Z_p有e(u^a，v^b)＝e(u，v)^ab；

2)非退化性：e(g，g)≠1；

3)可计算性：对于任意的u，v∈G₁，求e(u，v)的值都是可以有效的计算的。

Images