CN112217641B - 一种基于add支持读写功能的密文策略属性基加密方法 - Google Patents

Abstract

本发明公开一种基于ADD支持读写功能的密文策略属性基加密方法，首先构造ADD访问结构，然后确定ADD访问结构中的有效路径，最后实现基于ADD的CP‑ABE方案，该方案实现过程共涉及4个实体：授权中心、数据加密方即数据拥有者、数据解密方即数据使用者、云服务器，其中授权中心负责执行Setup算法以及Keygen算法，分别实现系统建立以及用户私钥生成的功能；数据加密方执行Encrypt算法，完成明文加密；数据解密方执行Decrypt算法，实现对密文数据的读、写；云服务器负责密文数据的存储；该方法充分利用ADD在伪布尔函数描述方面的优势实现高效的密文共享及访问控制，并引入PV操作解决多个用户在进行密文数据读、写操作时存在的资源访问冲突问题。

Description

一种基于ADD支持读写功能的密文策略属性基加密方法

技术领域

本发明涉及信息安全技术领域，具体是一种基于ADD支持读写功能的密文策略属性基加密方法。

背景技术

作为一种较成熟的加密方式，公钥加密已经被广泛采用，但是传统的公钥加密在实现过程中需要借助一对密钥——公钥和私钥，其中公钥被加密方用来加密明文信息、私钥被解密方用来解密密文信息，而且此两密钥具有一一对应性。但在当前被广泛研究并付诸实践的共享存储、云计算、云制造等网络场景下，用户数量、被访问数据量均较为巨大，若仍然将传统公钥加密策略应用于此类场景，要求数据拥有者的加密密钥与数据使用者的解密密钥维持复杂的多对多关系，将会导致系统工作效率低、维护开销大、动态灵活性差等问题，甚至出现系统无法正常工作的情况，给信息的安全传输及高效的访问控制带来较大挑战。

密文策略属性基加密(Ciphertext-Policy Attribute-based Encryption，CP-ABE)的提出能够较好地解决上述问题，其核心思想是：加密方将加密策略表示为访问结构并完成信息加密，解密方只要拥有满足该访问结构的属性集合便能解密成功。此时的隐私策略由加密方制定，不但能够实现数据加密，还能通过对潜在数据解密方进行细粒度的筛选完成对数据的访问控制。例如，借助于CP-ABE方案，数据提供者制定访问策略“(计算机学院AND教师)OR教务处职员”，并借助于这一策略完成对数据的加密操作，由此限定只有满足这一访问策略的用户才能完成对数据的解密及使用。显然，此类解决方案较好地处理了将传统公钥加密应用于新型网络场景中时所遇到的系统开销大、数据使用者信息无法预先获取、密钥管理困难等问题，对云计算等新型网络场景具有更强的适用性。

作为CP-ABE方案的核心基础部件，访问结构起着举足轻重的作用。门限结构、LSSS矩阵、与门及分布矩阵等多种结构已被用来开发CP-ABE，但这些结构在表达能力及表达效率等方面并不理想。

代数决策图(Algebric Decision Diagrams，ADD)不但能够实现对任意伪布尔函数的极简表示，还能高效完成变量及函数间的操作，因此该结构是CP-ABE方案中访问结构的理想选择。基于这一出发点，本发明提出了基于ADD的访问结构(简称为ADD访问结构)，同时利用ADD具有多个非布尔终端节点的特性，为访问者设置不同的访问权限，如只读、只读、读写。需要指出的是，对共享数据的只写操作不会对其他授权用户后续的读写操作造成影响；当存在多个用户同时读写共享文件时，本发明通过引入PV操作来处理读写冲突。

与本发明相关的基础理论知识

(1)双线性映射及双线性群

存在素数阶为p的群G₀、G₁，且群G₀的生成元为g，若映射e:G₀×G₀→G₁具有以下性质，则称该映射为双线性映射：

a)双线性性：对于任意u，v∈G₀及a，b∈Z_p，满足e(u^a，v^b)＝e(u，v)^ab；

b)非退化性：e(g，g)≠1；

c)可计算性：对于任意x，y∈G₀，e(x，y)是可计算的。

如果群G₀内的运算及双线性映射e：G₀×G₀→G₁均具备可计算性，则称G₀为双线性群。

(2)代数决策图(ADD)

对于从{0，1}ⁿ到实数集R的n元伪布尔函数f(x₀,x₁,…,x_n-1)，ADD是用于表示伪布尔函数族#f(x₀,x₁,…,x_n-1)的一个有向无环图，它满足：

a)结点分为根节点root、终端节点和内部节点三类；

b)有一个根节点，但有多个终端节点。每个终端节点都是实数，并且没有子节点；

c)每个非终端结点u具有四元组属性(f^u,var,low,high)，其中，f^u表示结点u所对应的布尔函数，f^u∈#_πf(x₀,x₁,…,x_n-1)(如果u是根结点，则f^u＝f(x₀,x₁,…,x_n-1))；var表示结点u的标记变量；low表示u.var＝0时，结点u的0分支子结点；high表示u.var＝1时，结点u的1分支子结点；

d)每个非终端结点均具有两条输出分支弧，将它们和各自的两个分支子结点连接在一起。结点u和u.low的连接弧称为0-边，结点u和u.high的连接弧称为1-边；

e)二叉决策图的任一有向路径上，布尔函数f(x₀,x₁,…,x_n-1)中的每个变量至多出现一次；

f)任意从根节点到终端节点的有向路径上的所有变量都以变量序π所规定的次序依次出现。

在图形表示中，通常用方框表示终端结点，如

……，用圆圈表示其它结点，同时假定结点之间连接弧的方向向下，0-边用虚线表示，1-边用实线表示。

(3)访问结构

本质上而言，访问策略是一条规则R，能够根据输入属性集合的状态无异议的得出非零实数或0，只有当该规则对属性集S返回非零实数时，称S满足R，记为

与之相对的是S不满足R，记为

访问结构便是上述访问策略的直观表达，具体表现形式有阈值门、与门或树等。

(4)PV操作

PV操作是实现多进程间互斥访问共享资源的有效方法。PV操作与信号量处理有关，P表示访问共享资源，V表示释放共享资源，s被定义为表示资源数量的整数信号量。由于P(s)和V(s)都是在同一个信号量s上操作，为了使得它们在执行时不发生因交叉访问信号量s而可能出现的错误，约定P(s)和V(s)必须是两个不可被中断的过程。

P操作的主要步骤如下：

①s＝s-1；

②如果s≥0，进程继续执行；

③如果s<0，则该进程被阻塞后放入等待该信号量的等待队列中，然后转进程调度。

V操作的主要步骤如下：

①s＝s+1；

②如果s>0，进程继续执行；

③如果s≤0，则从该信号的等待队列中释放一个等待进程，然后再返回原进程继续执行或转进程调度。

发明内容

本发明的目的在于提供一种基于ADD支持读写功能的密文策略属性基加密方法，该方法相对于现有技术，在功能和效率上都有较大的提高。

实现本发明目的的技术方案是：

一种基于ADD支持读写功能的密文策略属性基加密方法，包括如下步骤：

1)构造ADD访问结构

该结构是非单调的，能够同时支持属性的正、负取值情况，并可实现属性间的与、或、非等任意布尔操作，能够实现对访问策略的灵活高效表达，在给定访问策略后，生成ADD访问结构的过程包括如下步骤：

1-1)访问策略的伪布尔函数表示

假设访问策略中属性集合为{x₀,x₁,…,x_n-1}，将访问策略转换为伪布尔函数f(x₀,x₁,…,x_n-1)的过程如下：

1-1-1)对于属性集合{x₀,x₁,…,x_n-1}的2ⁿ-1个非空子集，分别执行集合内属性的合取操作，得到2ⁿ-1个连接式，记作：

1-1-2)根据访问策略求得非空子集的权重

1-1-3)结合权重，对连接式进行析取操作，获得伪布尔函数

1-2)根据伪布尔函数构造相应的ADD访问结构

针对同一函数，不同的变量序，即属性顺序会生成不同的ADD，因此，在构造ADD之前给定变量序π:x₀<x₁<…<x_n-1，对于ADD中任一节点u，若u是终端节点，则f^u是常数；若u是非终端节点则

其中，“·”表示逻辑乘，“+”表示逻辑加；

和

分别表示伪布尔函数f^u中变量u.var取值1(属性var取正值)和0(属性var取负值)时得到的伪布尔函数，即子节点u.high和u.low所对应的伪布尔函数；

ADD构造完成后，按照由上而下、从左至右的顺序对所有节点进行重新编号，得到ADD访问结构

其中id为节点编号、ID为ADD中全部非终端节点编号，var为节点上的属性、I为ADD中所有属性组成的属性集，

本质上使用四元组<id,var,high,low>表示，其中id为节点编号、var为节点上的属性、high为本节点1-分支节点编号、low为本节点0-分支节点编号，ADD中编号为0、1、2、3的节点为终端节点，编号为4的节点为根节点root；

2)确定ADD访问结构中的有效路径

对于ADD访问结构中从根节点到非零终端节点的有向路径，若属性出现的顺序严格按照变量序π，且任意属性至多出现一次，则该路径被称为是一条有效路径，为了实现对密文的只读、只写、读写操作，根据有效路径所达到的不同终端节点，将有效路径进一步区分如下：

当

且终端节点的id为1时，有效路径为只读路径；

当

且终端节点的id为2时，有效路径为只写路径；

当

且终端节点的id为3时，有效路径为读写路径；

3)基于ADD的CP-ABE方案

基于ADD的CP-ABE方案的实现过程中，共涉及4个实体：授权中心、数据加密方即数据拥有者、数据解密方即数据使用者、云服务器，其中授权中心负责执行Setup算法以及Keygen算法，分别实现系统建立以及用户私钥生成的功能；数据加密方执行Encrypt算法，完成明文加密；数据解密方执行Decrypt算法，完成密文解密，在不解密的情况下写入共享消息，实现对密文的读、写操作；云服务器负责密文等数据的存储；该方案的具体实现步骤如下：

3-1)系统建立：由授权中心执行Setup算法，生成系统公钥PK和主密钥MK，具体为：选择p阶双线性群G₀，生成元为随机数g，定义双线性映射e:G₀×G₀→G₁；系统属性集合N中包含m个属性，记为N＝{att₀,att₁,…,att_m-1}，随机选择Z_p中的元素y，α，t′₀，t′₁，…，t′_m-1，t″₀，t″₁，…，t″_m-1，令Y∶＝e(g,g)^y,X∶＝e(g,g)^α,

最终生成系统公钥PK:＝<e,g,Y,X{(T′_i,T″_i)|0≤i≤m-1}>和主密钥MK:＝<y,α,{(t′_i,t″_i)|0≤i≤m-1}>，定义全局变量rcount＝0实时记录读取共享资源的人数，互斥变量mutex＝1保护rcount更新时的互斥性，rw＝1确保读操作和写操作的互斥性，w＝1实现写进程的优先级；

3-2)明文加密：由数据加密方执行Encrypt算法，最终生成密文数据CT，具体为：数据加密方首先根据具体的访问策略生成相应的伪布尔函数，并进一步构造伪布尔函数相应的ADD结构；在该ADD结构的基础之上，按照由上而下、从左至右的顺序对所有节点进行重新编号，得到ADD访问结构

其中id为节点编号、ID为ADD中全部非终端节点编号，var为节点上的属性、I为ADD中属性集合；

本质上使用四元组<id,var,high,low>表示，其中id为节点编号、var为节点上的属性、high为本节点1-分支节点编号、low为本节点0-分支节点编号，ADD中编号为0、1、2、3的节点为终端节点；

数据加密方借助于ADD访问结构完成对明文数据M∈G₁的加密操作，假设ADD访问结构所含有效路径总数为T，并将其表示为R＝{R₀,R₁,…,R_T-1}，加密操作具体执行如下：

随机选择s∈Z_p并计算,E：＝X^s，

定义

为与路径R_t相关的密文组件，其数学表述为：

上述(1)式中，I_t为路径R_t上所包含的全部属性，t_var代表步骤3-1)针对属性var取正值时从Zp中选取的随机元素t′_var或针对属性var取负值时从Zp中选取的随机元素t″_var，最终生成的密文表示为

密文生成后被存储在云平台；

3-3)私钥生成：由授权中心执行Keygen算法，根据用户提供的属性集S生成用户私钥SK，对于属性att_j，若att_j取正值，表示为+att_j；若att_j取负值，表示为

若

默认att_j取负值，即

私钥生成操作具体包括如下步骤：

3-3-1)查询ADD结构中编号为4的节点，即根节点root，将其定义为当前节点即正被读取的节点，设置t_SK＝0；

3-3-2)读取当前节点中保存的信息，对于节点属性att_j：如果(att_j∈S)∧att_j＝+att_j，执行t_SK+＝t′_j，转到步骤3-3-3)；如果

执行t_SK+＝t″_j，转到步骤3-3-4)；

3-3-3)根据当前节点的high域信息查找其1-边子节点，如果到达终端节点，转到步骤3-3-5)；否则将该子节点定义为当前节点并转到步骤3-3-2)；

3-3-4)根据当前节点的low域信息查找其0-边子节点，如果到达终端节点，转到步骤3-3-5)；否则将该子节点定义为当前节点并转到步骤3-3-2)；

3-3-5)随机选择r∈Z_p，计算

如果到达的终端节点编号为2，即id＝2，为用户分配私钥

否则，为用户分配私钥

3-4)密文解密，包括密文解密、密文更新、密文解密及更新：由数据解密方执行Decrypt算法，解密用户借助于私钥SK完成对密文CT的解密工作；假设密文为

解密私钥

或

解密过程通过以下递归算法实现：

3-4-1)解密用户首先查询ADD结构中编号为4的节点，即根节点root，将其定义为当前节点；

3-4-2)读取当前节点中保存的信息

对于当前节点中所含属性att_j，如果(att_j∈S)∧att_j＝+att_j，转到步骤3-4-3)；如果

转到步骤3-4-4)；

3-4-3)根据当前节点的high域信息查找其1-边子节点：

a)若1-边子节点为编号为0的终端节点，终止递归算法，返回解密失败；

b)若1-边子节点为编号为非零实数的终端节点，转到步骤3-4-5)；

c)若1-边子节点为非终端节点，将其定义为当前节点并转入步骤3-4-2)继续执行；

3-4-4)根据当前节点的low域信息查找其0-边子节点：

d)若0-边子节点为编号为0的终端节点，终止递归算法，返回解密失败；

e)若0-边子节点为编号为非零实数的终端节点，转到步骤3-4-5)；

f)若0-边子节点为非终端节点，将其定义为当前节点并转入步骤3-4-2)继续执行；

3-4-5)若当前已成功匹配的有效路径为R_t，此时有以下三种情况：

情况一：有效路径R_t为只读路径，用户具有只读的权限，具体操作如下：

I、执行操作P(w)，判断是否有写进程；如果存在写进程，阻塞P(w)操作；否则转到II；

II、执行操作P(mutex)，使每个读过程互斥地访问变量rcount，如果rcount＝0，执行P(rw)，阻塞写进程；否则，rcount＝rcount+1，执行V(mutex)和V(w)释放rcount和共享文件的访问权限；

III、用户完成以下解密计算：

IV、当用户结束对共享资源的读访问时，执行P(mutex)，rcount＝rcount–1，如果rcount＝0，执行V(rw)释放共享资源对写进程的阻塞，然后执行V(mutex)释放对变量rcount的访问；

情况二：若有效路径R_t为只写路径，用户具有只写的权限，实现只写权限的具体操作如下：

I、执行操作P(w)，判断是否有写进程，如果存在写进程，阻塞P(w)操作；否则转到步骤II；

II、执行操作P(rw)确保读写进程互斥地访问共享资源，如果存在读进程或写进程，P(rw)操作被阻塞；否则，转到步骤III；

III、用户对共享资源具有只写的访问权限，新写入的资源记为M₁，用户执行以下操作：

更新密文中的组件

将CT重新上传到云平台；

IV、当用户结束对共享资源的写访问时，执行V(rw)释放对其他读进程和写进程的阻塞，执行V(w)释放对共享资源的访问权限；

情况三：若有效路径R_t为读写路径，用户具有读写的权限；如果用户需要读取共享资源，按照情况一中所述步骤执行；如果用户需要在共享文件中写入数据，按照情况二中所述步骤执行。

本发明提供的一种基于ADD支持读写功能的密文策略属性基加密方法，该方法与现有技术相比，具有如下优点：

1、根据ADD结构具有多个终端节点的特性，扩展了用户对共享资源的访问权限。与现有的技术相比，本发明支持用户对共享资源进行只读、只写和读写操作。其中，只读操作只能实现密文解密，但无法实现密文更新；只写操作能够在不进行密文解密的情况下实现数据更新，并且不影响其它用户对密文的使用及更新等操作；读写操作可同时实现密文解密和更新。

2、引入PV操作，解决了多个用户在进行密文数据读、写操作时存在的资源访问冲突问题。

3、ADD访问结构具备较强的表达能力及扩展性，能够实现对任意伪布尔函数表示下的访问策略的高效图形化表示，支持属性间的任意逻辑运算；能够在不增加系统开销的情况下同时支持属性的正、负取值，并且支持属性在访问策略中的重复出现。

4、本发明所提方案中的算法在时间复杂度、空间复杂度方面具有较好表现。(1)在加密阶段，加密算法的时间复杂度和生成的密文大小由访问结构ADD包含的有效路径数决定，与访问结构中的属性数量无关。(2)密钥生成算法的主要计算量为群G₀中的2次指数运算，算法时间复杂度恒定且极低，与用户提供属性数量无关。(3)用户私钥占用的存储空间为群G₀中的2个元素，即私钥大小恒定，与用户提供属性数量无关。(4)解密算法的主要计算量为G₁中的2次乘法运算，算法时间复杂度恒定且极低，与属性数量无关。

附图说明

图1是本发明实施例中支持读写功能的CP-ABE方案的整体框架示意图；

图2是本发明实施例中与伪布尔函数f₁(x₀,x₁,x₂)相对应的ADD结构；

图3是本发明实施例中与伪布尔函数f₁(x₀,x₁,x₂)相对应的只读路径；

图4是本发明实施例中与伪布尔函数f₁(x₀,x₁,x₂)相对应的只写路径；

图5是本发明实施例中与伪布尔函数f₁(x₀,x₁,x₂)相对应的读写路径。

具体实施方式

下面结合附图和实施例对本发明内容做进一步阐述，但不是对本发明的限定。

实施例：

基于ADD访问结构的CP-ABE方案的整体框架示意图如图1所示，共包含4种实体：云服务器、授权中心、数据拥有者(执行数据加密)、数据使用者(执行数据解密、更新等操作)，其中，数据使用者分为3类：只读授权用户，只写授权用户，读写授权用户。

数据拥有者使用授权中心分配的公钥和自身指定的访问策略对共享数据(明文M)进行加密，生成密文CT。授权中心根据数据使用者拥有的属性，分别为其分配相应的私钥SK。

只读授权用户需要访问共享数据时，从云服务器中下载共享数据的密文CT，使用私钥SK将其解密成明文M。

只写授权用户需要在共享文件中写入数据时，下载共享数据的密文CT，此时为了区分原始明文和更新后的明文将下载的密文CT记作CT_o。只写授权用户使用私钥SK将需要共享的数据添加到原始密文CT_o中，并且将密文更新为CT_u上传至云服务器中的共享文件。此过程中，只写授权用户无法通过私钥获得原始明文，并且后续的数据使用者对共享文件的操作不受任何影响。

读写授权用户，如果需要读取共享数据，按照只读授权用户的访问步骤执行；如果需要在共享文件中写入数据，按照只写授权用户的操作步骤执行。

假设如下医疗场景：对于患者及其家属，可以查看患者诊疗信息，即具备只读权限，属于只读授权用户；对于查房的护士，不具备读取相对私密的用户诊疗信息，但是能够将查房记录、病人康复状况等信息写入病例，即具备只写权限，属于只写授权用户；对于主治医生，需要综合各种情况做出诊断，并给出治疗方案，具备读、写病人病历的权限，属于读写授权用户。

访问策略1：指定系统属性集为{x₀,x₁,x₂}，拥有属性集{x₀,x₁}的用户为只读授权用户，拥有属性集{x₁,x₂}的用户为只写授权用户，拥有属性集{x₀,x₁,x₂}的用户为读写授权用户。

一种基于ADD支持读写功能的密文策略属性基加密方法，包括如下步骤：

1)构造ADD访问结构，该结构是非单调的，能够同时支持属性的正、负取值情况，并可实现属性间的与、或、非等任意布尔操作，能够实现对访问策略的灵活高效表达，在给定访问策略后，生成ADD访问结构的过程包括如下步骤：

1-1)访问策略的伪布尔函数表示

假设访问策略中属性集合为{x₀,x₁,…,x_n-1}，将访问策略转换为伪布尔函数f(x₀,x₁,…,x_n-1)的过程如下：

1-1-1)对于属性集合{x₀,x₁,…,x_n-1}的2ⁿ-1个非空子集，分别执行集合内属性的合取操作，得到2ⁿ-1个连接式，记作：

1-1-2)根据访问策略求得非空子集的权重

1-1-3)结合权重，对连接式进行析取操作，获得伪布尔函数

根据访问策略1，得出对应的伪布尔函数为：f₁(x₀,x₁,x₂)＝x₀x₁+2x₁x₂。

1-2)根据伪布尔函数构造相应的ADD访问结构

针对同一函数，不同的变量序，即属性顺序会生成不同的ADD，因此，在构造ADD之前给定变量序π:x₀<x₁<…<x_n-1，对于ADD中任一节点u，若u是终端节点，则f^u是常数；若u是非终端节点则

其中，“·”表示逻辑乘，“+”表示逻辑加；

和

分别表示伪布尔函数f^u中变量u.var取值1(u取正值)和0(u取负值)时得到的伪布尔函数，即子节点u.high和u.low所对应的伪布尔函数；

ADD构造完成后，按照由上而下、从左至右的顺序对所有节点进行重新编号，得到ADD访问结构

其中id为节点编号、ID为ADD中全部非终端节点编号，var为节点上的属性、I为ADD中所有属性组成的属性集。

本质上可使用四元组<id,var,high,low>表示，其中id为节点编号、var为节点上的属性、high为本节点1-分支节点编号、low为本节点0-分支节点编号。需要指出的是，ADD中编号为0、1、2、3的节点为终端节点，编号为4的节点为根节点root；

对于f₁(x₀,x₁,x₂)＝x₀x₁+2x₁x₂，在变量序π:x₀<x₁<x₂下构造的ADD访问结构如图2所示，数学表达式为：

2)确定ADD访问结构中的有效路径

对于ADD访问结构中从根节点到非零终端节点的有向路径，若属性出现的顺序严格按照变量序π，且任意属性至多出现一次，则该路径被称为是一条有效路径；图2中的访问结构有3条从根节点到非零终端节点的有向路径，故此ADD访问结构有3条有效路径；为了实现对密文的只读、只写、读写任意操作，根据有效路径所达到的不同终端节点，将有效路径进一步区分如下：

当

且终端节点的id为1时，有效路径为只读路径，如图3所示；

当

且终端节点的id为2时，有效路径为只写路径，如图4所示；

当

且终端节点的id为3时，有效路径为读写路径，如图5所示；

3)基于ADD的CP-ABE方案

基于ADD的CP-ABE方案的实现过程中，共涉及4个实体：授权中心、数据加密方即数据拥有者、数据解密方即数据使用者、云服务器，其中授权中心负责执行Setup算法以及Keygen算法，分别实现系统建立以及用户私钥生成的功能；数据加密方执行Encrypt算法，完成明文加密；数据解密方执行Decrypt算法，完成密文解密，在不解密的情况下写入共享消息，实现对密文的读、写操作；云服务器负责密文等数据的存储；该方案的具体实现步骤如下：

3-1)系统建立：由授权中心执行Setup算法，生成系统公钥PK和主密钥MK，具体为：选择p阶双线性群G₀，生成元为随机数g，定义双线性映射e:G₀×G₀→G₁；系统属性集合N中包含m个属性，记为N＝{att₀,att₁,…,att_m-1}，随机选择Z_p中的元素y，α，t′₀，t′₁，…，t′_m-1，t″₀，t″₁，…，t″_m-1，令Y∶＝e(g,g)^y，X∶＝e(g,g)^α，

最终生成系统公钥PK:＝<e,g,Y,{(T′_i,T″_i)|0≤i≤m-1}>和主密钥MK:＝<y,{(t′_i,t″_i)|0≤i≤m-1}>，定义全局变量rcount＝0实时记录读取共享资源的人数，互斥变量mutex＝1保护rcount更新时的互斥性，rw＝1确保读操作和写操作的互斥性，w＝1实现写进程的优先级；

3-2)明文加密：由数据加密方执行Encrypt算法，最终生成密文数据CT，具体为：数据加密方首先根据具体的访问策略生成相应的伪布尔函数，并进一步构造伪布尔函数相应的ADD结构；在该ADD结构的基础之上，按照由上而下、从左至右的顺序对所有节点进行重新编号，得到ADD访问结构ADD访问结构

其中id为节点编号、ID为ADD中全部非终端节点编号，var为节点上的属性、I为ADD中属性集合；

本质上可使用四元组<id,var,high,low>表示，其中id为节点编号、var为节点上的属性、high为本节点1-分支节点编号、low为本节点0-分支节点编号，ADD中编号为0、1、2、3的节点为终端节点；

数据加密方借助于ADD访问结构完成对明文数据M∈G₁的加密操作，假设ADD访问结构所含有效路径总数为T，并将其表示为R＝{R₀,R₁,…,R_T-1}，加密操作具体执行如下：

随机选择s∈Z_p并计算,E：＝X^s,

定义

为与路径R_t相关的密文组件，其数学表述为：

上述(1)式中，I_t为路径R_t上所包含的全部属性，t_var代表步骤3-1)针对属性var取正值时从Z_p中选取的随机元素t′_var或针对属性var取负值时从Z_p中选取的随机元素t″_var，最终生成的密文表示为

密文生成后被存储在云平台；

3-3)私钥生成：由授权中心执行Keygen算法，根据用户提供的属性集S生成用户私钥SK，对于属性att_j，若att_j取正值，表示为+att_j；若att_j取负值，表示为

若

默认att_j取负值，即

私钥生成操作具体包括如下步骤：

3-3-1)查询ADD结构中编号为4的节点，即根节点root，将其定义为当前节点即正被读取的节点，设置t_SK＝0；

3-3-2)读取当前节点中保存的信息，对于节点属性att_j：如果(att_j∈S)∧att_j＝+att_j，执行t_SK+＝t′_j，转到步骤3-3-3)；如果

执行t_SK+＝t″_j，转到步骤3-3-4)；

3-3-3)根据当前节点的high域信息查找其1-边子节点，如果到达终端节点，转到步骤3-3-5)；否则将该子节点定义为当前节点并转到步骤3-3-2)；

3-3-4)根据当前节点的low域信息查找其0-边子节点，如果到达终端节点，转到步骤3-3-5)；否则将该子节点定义为当前节点并转到步骤3-3-2)；

3-3-5)随机选择r∈Z_p，计算

如果到达的终端节点编号为2，即id＝2，为用户分配私钥

否则，为用户分配私钥

3-4)密文解密，包括密文解密、密文更新、密文解密及更新：由数据解密方执行Decrypt算法，解密用户借助于私钥SK完成对密文CT的解密工作；假设密文为

解密私钥

或

解密过程通过以下递归算法实现：

3-4-1)解密用户首先查询ADD结构中编号为4的节点，即根节点root，将其定义为当前节点；

3-4-2)读取当前节点中保存的信息

对于当前节点中所含属性att_j，如果(att_j∈S)∧(att_j＝+att_j)，转到步骤3-4-3)；如果

转到步骤3-4-4)；

3-4-3)根据当前节点的high域信息查找其1-边子节点：

a)若1-边子节点为编号为0的终端节点，终止递归算法，返回解密失败；

b)若1-边子节点为编号为非零实数的终端节点，转到步骤3-4-5)；

c)若1-边子节点为非终端节点，将其定义为当前节点并转入步骤3-4-2)继续执行；

3-4-4)根据当前节点的low域信息查找其0-边子节点：

d)若0-边子节点为编号为0的终端节点，终止递归算法，返回解密失败；

e)若0-边子节点为编号为非零实数的终端节点，转到步骤3-4-5)；

f)若0-边子节点为非终端节点，将其定义为当前节点并转入步骤3-4-2)继续执行；

3-4-5)若当前已成功匹配的有效路径为R_t，此时有以下三种情况：

情况一：有效路径R_t为只读路径，如图3所示，用户具有只读的权限，具体操作如下：

I、执行操作P(w)，判断是否有写进程；如果存在写进程，阻塞P(w)操作；否则转到II；

II、执行操作P(mutex)，使每个读过程互斥地访问变量rcount，如果rcount＝0，执行P(rw)，阻塞写进程；否则，rcount＝rcount+1，执行V(mutex)和V(w)释放rcount和共享文件的访问权限；

III、用户完成以下解密计算：

IV、当用户结束对共享资源的读访问时，执行P(mutex)，rcount＝rcount–1，如果rcount＝0，执行V(rw)释放共享资源对写进程的阻塞，然后执行V(mutex)释放对变量rcount的访问；

情况二：若有效路径R_t为只写路径，如图4所示，用户具有只写的权限，实现只写权限的具体操作如下：

I、执行操作P(w)，判断是否有写进程，如果存在写进程，阻塞P(w)操作；否则转到步骤II；

II、执行操作P(rw)确保读写进程互斥地访问共享资源，如果存在读进程或写进程，P(rw)操作被阻塞；否则，转到步骤III；

III、用户对共享资源具有只写的访问权限，新写入的资源记为M₁，用户执行以下操作：

更新密文中的组件

将CT重新上传到云平台；

IV、当用户结束对共享资源的写访问时，执行V(rw)释放对其他读进程和写进程的阻塞，执行V(w)释放对共享资源的访问权限；

情况三：若有效路径R_t为读写路径，如图5所示，用户具有读写的权限；如果用户需要读取共享资源，按照情况一中所述步骤执行；如果用户需要在共享文件中写入数据，按照情况二中所述步骤执行。

Claims (1)

1.一种基于ADD支持读写功能的密文策略属性基加密方法，其特征在于，包括如下步骤：

1)构造ADD访问结构

在给定访问策略后，生成ADD访问结构的过程包括如下步骤：

1-1)访问策略的伪布尔函数表示

假设访问策略中属性集合为{x₀,x₁,…,x_n-1}，将访问策略转换为伪布尔函数f(x₀,x₁,…,x_n-1)的过程如下：

1-1-1)对于属性集合{x₀,x₁,…,x_n-1}的2ⁿ-1个非空子集，分别执行集合内属性的合取操作，得到2ⁿ-1个连接式，记作：

1-1-2)根据访问策略求得非空子集的权重

1-1-3)结合权重，对连接式进行析取操作，获得伪布尔函数

1-2)根据伪布尔函数构造相应的ADD访问结构

针对同一函数，不同的变量序，即属性顺序会生成不同的ADD，因此，在构造ADD之前给定变量序π:x₀<x₁<…<x_n-1，对于ADD中任一节点u，若u是终端节点，则f^u是常数；若u是非终端节点则

其中“·”表示逻辑乘，“+”表示逻辑加；

和

分别表示伪布尔函数f^u中变量u.var取值1和0时得到的伪布尔函数，即子节点u.high和u.low所对应的伪布尔函数；

ADD构造完成后，按照由上而下、从左至右的顺序对所有节点进行重新编号，得到ADD访问结构

其中id为节点编号、ID为ADD中全部非终端节点编号，var为节点上的属性、I为ADD中所有属性组成的属性集，

本质上可使用四元组<id,var,high,low>表示，其中id为节点编号、var为节点上的属性、high为本节点1-分支节点编号、low为本节点0-分支节点编号，ADD中编号为0、1、2、3的节点为终端节点，编号为4的节点为根节点root；

2)确定ADD访问结构中的有效路径

对于ADD访问结构中从根节点到非零终端节点的有向路径，若属性出现的顺序严格按照变量序π，且任意属性至多出现一次，则该路径被称为是一条有效路径，为了实现对密文的只读、只写、读写操作，根据有效路径所达到的不同终端节点，将有效路径进一步区分如下：

当

且终端节点的id为1时，有效路径为只读路径；

当

且终端节点的id为2时，有效路径为只写路径；

当

且终端节点的id为3时，有效路径为读写路径；

3)基于ADD的CP-ABE方案

基于ADD的CP-ABE方案的实现过程中，共涉及4个实体：授权中心、数据加密方即数据拥有者、数据解密方即数据使用者、云服务器，其中授权中心负责执行Setup算法以及Keygen算法，分别实现系统建立以及用户私钥生成的功能；数据加密方执行Encrypt算法，完成明文加密；数据解密方执行Decrypt算法，实现对密文的读、写操作；云服务器负责密文数据的存储；该方案的具体实现步骤如下：

3-1)系统建立：由授权中心执行Setup算法，生成系统公钥PK和主密钥MK，具体为：选择p阶双线性群G₀，生成元为随机数g，定义双线性映射e:G₀×G₀→G₁；系统属性集合N中包含m个属性，记为N＝{att₀,att₁,…,att_m-1}，随机选择Z_p中的元素y，α，t′₀，t′₁，…，t′_m-1，t″₀，t″₁，…，t″_m-1，令Y∶＝e(g,g)^y,X∶＝e(g,g)^α,

最终生成系统公钥PK:＝<e,g,Y,X{(T′_i,T″_i)|0≤i≤m-1}>和主密钥MK:＝<y,α,{(t′_i,t″_i)|0≤i≤m-1}>，定义全局变量rcount＝0实时记录读取共享资源的人数，互斥变量mutex＝1保护rcount更新时的互斥性，rw＝1确保读操作和写操作的互斥性，w＝1实现写进程的优先级；

3-2)明文加密：由数据加密方执行Encrypt算法，最终生成密文数据CT，具体为：数据加密方首先根据具体的访问策略生成相应的伪布尔函数，并进一步构造伪布尔函数相应的ADD结构；在该ADD结构的基础之上，按照由上而下、从左至右的顺序对所有节点进行重新编号，得到ADD访问结构

其中id为节点编号、ID为ADD中全部非终端节点编号，var为节点上的属性、I为ADD中属性集合；

本质上使用四元组<id,var,high,low>表示，其中id为节点编号、var为节点上的属性、high为本节点1-分支节点编号、low为本节点0-分支节点编号，ADD中编号为0、1、2、3的节点为终端节点；

数据加密方借助于ADD访问结构完成对明文数据M∈G₁的加密操作，假设ADD访问结构所含有效路径总数为T，并将其表示为R＝{R₀,R₁,…,R_T-1}，加密操作具体执行如下：

随机选择s∈Z_p并计算，E：＝X^s，

定义

为与路径R_t相关的密文组件，其数学表述为：

上述(1)式中，I_t为路径R_t上所包含的全部属性，t_var代表步骤3-1)针对属性var取正值时从Zp中选取的随机元素t′_var或针对属性var取负值时从Zp中选取的随机元素t″_var，最终生成的密文表示为

密文生成后被存储在云平台；

3-3)私钥生成：由授权中心执行Keygen算法，根据用户提供的属性集S生成用户私钥SK，对于属性att_j，若att_j取正值，表示为+att_j；若att_j取负值，表示为

若

默认att_j取负值，即

私钥生成操作具体包括如下步骤：

3-3-1)查询ADD结构中编号为4的节点，即根节点root，将其定义为当前节点即正被读取的节点，设置t_SK＝0；

3-3-2)读取当前节点中保存的信息，对于节点属性att_j：如果(att_j∈S)∧att_j＝+att_j，执行t_SK+＝t′_j，转到步骤3-3-3)；如果

执行t_SK+＝t″_j，转到步骤3-3-4)；

3-3-3)根据当前节点的high域信息查找其1-边子节点，如果到达终端节点，转到步骤3-3-5)；否则将该子节点定义为当前节点并转到步骤3-3-2)；

3-3-4)根据当前节点的low域信息查找其0-边子节点，如果到达终端节点，转到步骤3-3-5)；否则将该子节点定义为当前节点并转到步骤3-3-2)；

3-3-5)随机选择r∈Z_p，计算

如果到达的终端节点编号为2，即id＝2，为用户分配私钥

否则，为用户分配私钥

3-4)密文解密，包括密文解密、密文更新、密文解密及更新：由数据解密方执行Decrypt算法，解密用户借助于私钥SK完成对密文CT的解密工作；假设密文为

解密私钥

或

解密过程通过以下递归算法实现：

3-4-1)解密用户首先查询ADD结构中编号为4的节点，即根节点root，将其定义为当前节点；

3-4-2)读取当前节点中保存的信息

对于当前节点中所含属性att_j，如果(att_j∈S)∧att_j＝+att_j，转到步骤3-4-3)；如果

转到步骤3-4-4)；

3-4-3)根据当前节点的high域信息查找其1-边子节点：

a)若1-边子节点为编号为0的终端节点，终止递归算法，返回解密失败；

b)若1-边子节点为编号为非零实数的终端节点，转到步骤3-4-5)；

c)若1-边子节点为非终端节点，将其定义为当前节点并转入步骤3-4-2)继续执行；

3-4-4)根据当前节点的low域信息查找其0-边子节点：

d)若0-边子节点为编号为0的终端节点，终止递归算法，返回解密失败；

e)若0-边子节点为编号为非零实数的终端节点，转到步骤3-4-5)；

f)若0-边子节点为非终端节点，将其定义为当前节点并转入步骤3-4-2)继续执行；

3-4-5)若当前已成功匹配的有效路径为R_t，此时有以下三种情况：

情况一：有效路径R_t为只读路径，用户具有只读的权限，具体操作如下：

I、执行操作P(w)，判断是否有写进程；如果存在写进程，阻塞P(w)操作；否则转到II；

II、执行操作P(mutex)，使每个读过程互斥地访问变量rcount，如果rcount＝0，执行P(rw)，阻塞写进程；否则，rcount＝rcount+1，执行V(mutex)和V(w)释放rcount和共享文件的访问权限；

III、用户完成以下解密计算：

IV、当用户结束对共享资源的读访问时，执行P(mutex)，rcount＝rcount–1，如果rcount＝0，执行V(rw)释放共享资源对写进程的阻塞，然后执行V(mutex)释放对变量rcount的访问；

情况二：若有效路径R_t为只写路径，用户具有只写的权限，实现只写权限的具体操作如下：

I、执行操作P(w)，判断是否有写进程，若存在写进程，阻塞P(w)操作；否则转到步骤II；

II、执行操作P(rw)确保读写进程互斥地访问共享资源，如果存在读进程或写进程，P(rw)操作被阻塞；否则，转到步骤III；

III、用户对共享资源具有只写的访问权限，新写入的资源记为M₁，用户执行以下操作：

更新密文中的组件

将CT重新上传到云平台；

IV、当用户结束对共享资源的写访问时，执行V(rw)释放对其他读进程和写进程的阻塞，执行V(w)释放对共享资源的访问权限；

情况三：若有效路径R_t为读写路径，用户具有读写的权限；如果用户需要读取共享资源，按照情况一中所述步骤执行；如果用户需要在共享文件中写入数据，按照情况二中所述步骤执行。

Images