CN112291053B - 一种基于格与基本访问树的cp-abe方法 - Google Patents

Abstract

本发明为一种基于格与基本访问树的CP‑ABE方法，属于信息安全领域，包括如下步骤：S1：初始化；S2：生成用户私钥并发送给相应用户；S3：生成析取表达式，构建基本控制访问树，由下及上计算出基本访问树第二层节点的值，再利用这些值计算出公开参数，最后将公开参数公开；S4：依次将明文进行加密，将计算出的密文公开；S5：对验证通过的基本结构利用自身私钥构造解密密文的私钥，最后对密文进行解密。本发明基于LWE和SIS的格困难问题结合CP‑ABE的加密方案，解决了PKI在物联网环境中因大规模用户、多属性系统中耗费过多宽带、计算以及空间资源的问题，抵抗量子算法可能在多项式时间内破解的风险，并且保持低密文膨胀率和较高加密速率的优点。

Description

一种基于格与基本访问树的CP-ABE方法

技术领域

本发明涉及一种基于格与基本访问树的CP-ABE方法，属于信息安全领域，尤其适用于一种基于格与基本访问树的CP-ABE方法。

背景技术

中央系统管理信息时，主要通过C/S模式，用户为获取信息有主动模式(信息存入云服务器中被远程授权用户访问)与被动模式(系统发送指令或密钥至相关用户)两种途径。为保证信息传递的安全，在主动模式下用户安全上传共享文件后，由可信第三方装置统一加密，并存储在云服务器上待用户访问；在被动模式下，中央系统需要先将指令或密钥加密再将指令发送给特定用户，用户解密密文并执行指令或得到密钥。然而，以公钥基础设施(public key infrastructure，PKI)为依托的传统公钥体系因其加密时的繁琐步骤在具有海量用户的系统中生成和交换数字证书时会带来巨大的时间和空间开销，并且针对某一个群体加密会浪费许多计算资源，因此，传统PKI无法支持上述系统的加解密应用。

密文-策略的属性基加密(Ciphertext-policy Attribute-based Encryption，CP-ABE)体制能够将加解密策略嵌入密文内，只有满足该策略的具有特定属性集合的用户才能够将密文还原。这种体制每次对一类用户群体加密，较每次使用该群体中每个用户的公钥进行加密再分别分发密文给相应用户而言，降低了密文的计算开销和发送密文的通信开销，简化了PKI在多用户系统中密钥的产生和分配工作，解决了传统公钥体制中因大量交换数字证书而降低系统效率的问题。

当前，能够抵抗量子攻击的可实用CP-ABE方案较少，并且传统公钥体制所基于的数学困难问题已经被证明可用Shor算法在多项式时间内求解，一旦普及实用量子计算机，当下所有传统的公钥加密体质都能够利用量子计算机在多项式时间内攻破，如RSA，DSA等。Zhang等人于2011年发表了“A Ciphertext Policy Attribute-Based Encryption Schemewithout Pairings”一文，该文提出的方案仅支持AND操作的控制访问结构，并且加解密时密文膨胀率较大，在实际中并不实用；Liu等人于2018年发表的“Secure and EfficientMulti-Authority Attribute-Based Encryption Scheme From Lattices”一文提出了一种基于LWE的多机构CP-ABE加密方案，然而针对每一个机构而言，同一个属性每种策略都需要重新生成并分配秘密值，并且该方案的噪声过大，且具有较大的密文膨胀率，也无法在工业中应用。因此，物互联的时代的当下，急需一种可实用的抗量子攻击的公钥加密的实用方案，基于格与CP-ABE加密机制相结合的加密方案有望替代传统的加密方案应用于物联网中，解决抗量子攻击的问。

发明内容

有鉴于此，本发明提供一种基于格与基本访问树的CP-ABE方法，基于容错学习(Learning With Error，LWE)和基于小整数解(Short Intger Solution，SIS)的格困难问题能够有效的抵抗量子算法的攻击，同时，CP-ABE加密方案支持一种有弹性的控制访问方法，能够帮助解决在海量设备系统中因复杂属性管理而浪费巨大计算和存储资源、高处理开销以及过多的通信带宽消耗等问题。

为达到上述目的，本发明提供如下技术方案：

一种基于格与基本访问树的CP-ABE方法，由可信第三方装置、两个及以上的用户端装置构成的系统进行实现，所述的可信第三方装置、用户端装置通过网络相连，且均为计算机。

包括如下步骤：

S1：可信第三方装置对系统进行初始化；

S2：可信第三方装置调用私钥生成方法，生成用户私钥并将其发送给相应用户；

S3：可信第三方装置将输入的控制访问策略表达式转化为析取表达式，通过析取表达式构建基本控制访问树，由下及上计算出基本访问树第二层节点的值，再利用这些值计算出公开参数，最后将公开参数公开；

S4：可信第三方装置根据公开参数，依次将明文进行加密，将计算出的密文公开；

S5：用户操作用户端装置，根据基本访问树的基本结构进行验证，对验证通过的基本结构利用自身私钥构造相应解密密文的私钥，最后对密文进行解密。

进一步，所述的步骤S1具体为：

S101：可信第三方装置初始化设定CP-ABE的总属性集合

用户U和对应的用户属性集合

其中，

S102：可信第三方装置对基于LWE和SIS问题以及CP-ABE公钥加密框架的固定参数初始化并公开；

S103：可信第三方装置结合固定参数对随机参数进行初始化；

其中，步骤S102所述的固定参数为安全参数λ，多项式次数n，m，k，l，模数q，方差σ，t，压缩参数dp，分块复用参数lp，均匀分布参数U(X)，具体地：所述的λ根据预判敌手攻击次数2^λ计算求得；所述的n为人为选取的2的幂次的整数；所述的q满足q≡1mod 2n；所述的l＝n/2，m＝6n，k＝m/l；所述的σ为满足

的任意浮点数；所述的参数t≥6为根据出错概率人为选取的任意浮点数；所述的压缩参数dp为满足不等式

的任意整数；所述的lp为大于1的整数，综合考虑效率和密文膨胀率来人为选定；所述的U(X)为关于随机变量X的有界均匀分布，其界为[0，q)；

更进一步，所述的步骤S103具体为：

(1)可信第三方装置在均匀分布上进行随机采样得到A＝(A₀，A₁，…，A_k-1)^T和b＝(b₀，b₁，…，b_k-1)^T，其中，

i＝0，…，k-1；

(2)可信第三方装置在均匀分布上进行

次随机采样，得到每个属性R_α对应的向量标签

将所有向量标签g_α的集合记为

其中，

其中，||为求取集合元素个数操作。

进一步，步骤S2所述的调用私钥生成方法生成第j个用户的私钥，具体为：

S201：计算第j个用户U_j的标签块

并对每个标签块求逆，得到矩阵

其中，A_if_i，j＝b_i，i＝0，…，k-1；

S202：遍历用户U_j的用户属性

根据每一个属性

对应的向量标签g_i，计算私钥块

得到用户U_j的私钥

可优选的，步骤S201中的根据A_if_i，j＝b_i计算第j个用户的标签块f_i，j的方法具体为：首先，将A_i拆分成两部分

然后，将带求解的f_i，j也拆分成两个部分

并对f_i，j,1在均匀分布上随机采样

最后，运用公式计算出

并将两部分拼接成f_i，j。

进一步，步骤S3所述的将控制访问策略表达式

转化为带阈值逻辑的析取表达式

的转化算法

具体为：

输入：控制访问策略表达式

将

按照如下规则进行转化：

(1)控制访问策略表达式中的优先级用括号来规定，层次越深的括号内部的逻辑表达式的执行优先级越高；

(2)如果控制访问策略表达式中有“or”，尽量将“or”提出括号，使其优先级降为最低，如果“or”已经处于最低优先级，则无需变动控制访问策略表达式。

具体地，针对所有转化情形，规则示例如下：“and”优先级低于“or”：(A or B)andC＝＞(A and C)or(B and C)；“of”优先级低于“or”：((A or B)of C of D)₂＝＞(A of Cof D)₂or(B of C of D)₂；其余不变。其中，将逻辑阈值“THRESHOD”的表达符号记为“of”；“and”、“or”、“of”为逻辑属性；A、B、C、D为属性。

输出：析取表达式

进一步，步骤S3所述的通过析取表达式

构建基本控制访问树

其中，逻辑属性“or”将

分割为ln个基本表达式；算法具体为：

输入：析取表达式

(1)将逻辑属性“or”作为基本控制访问树

的根节点

(2)依次读取

中的ln个基本表达式，将其转化为生成树的基本结构

并将其连接至树

的根节点

其中，

中除叶子节点外均对应一个阈值，该值由

中的信息确定；i＝1，2，...，ln；

输出：基本控制访问树

进一步，步骤S3所述的由下及上计算出基本访问树基本结构的根节点的节点值的算法具体为：

输入：基本结构

(1)遍历基本结构

中所有叶子节点对应的属性R_α，并对每一个

找到其相对应的标签向量

并将其赋值给基本结构

中相对应属性的叶子节点；

(2)当

中所有叶子节点均已赋值后，由下而上对各个节点进行插值求和得到节点值直至计算至

的最上层，将根节点值为此基本结构的秘密值s_i；其中，逻辑属性为“and”的父节点对应的子节点的插值为1；逻辑属性为“of”的父节点对应的子节点的插值为随机排序的编号值；需要注意的是，父节点下所有的子节点按照1开始进行编号。

输出：秘密值s_i。

进一步，步骤S3所述的公开参数为(b，

)；所述的

所述的t_i＝As_i+e_i，其中

为在期望为0、标准差为σ的离散高斯分布上选取的n维的模q整数向量。

进一步，步骤S4所述的加密过程为：

S401：将明文在

空间中进行的编码，生成系数向量m＝(m₁，…，m_lp)；

S402：根据离散高斯分布进行噪声采样

S403：计算密文块C₁＝rb；

S404：对每一个

和m_i∈m，计算密文块C′_i，j＝r^Tt_j+m_i·「q/2^dp」+e′_i，j；

S405：分别公布密文C₁和{C′_i，j}_{1≤i≤lp，1≤j≤ln}；

其中，

1≤i≤lp，1≤j≤ln。

进一步，步骤S5所述的解密过程具体为：

S501：用户U_j依次对基本控制访问树

的每一个基本结构

调用验证算法，如果存在第j^*个基本结构

验证通过，则结束验证并进行下一步骤；如果所有的基本结构都验证失败，则无法解密；

S502：用户U_j对验证通过的基本结构

调用秘密重构算法生成其新秘密f′_js^*；其中，s^*为基本结构

对应的秘密值；

S503：用户U_j利用新秘密s′＝f′_js^*对基本结构

对应的密文片段C₁和

进行解密；具体的，针对每一个

计算

进一步，计算得到明文

其中，

1≤i≤lp，1≤υ≤k。

可选的，所述的验证算法具体为：输入：基本结构

输出：验证结果；(1)遍历

中的属性，如果该属性同时是

的叶子节点属性，则将该叶子节点标记为1，否则标记为0；(2)从

的倒数第二层开始至最顶层结束，依次读取各非叶子节点的节点阈值h_β，同时对该节点的子节点中的标记值进行求和，得到计数值c_β；如果c_β≥h_β，则验证成功并将该节点标记为1，否则验证失败并将该节点标记为0；然后继续验证下一个节点，直至根节点验证完毕；最后，调用中序遍历算法对基本结构

各个节点进行遍历，如果存在某一层的所有节点均验证失败，则验证失败，否则验证成功。

本发明的正确性和安全性如下：

正确性：

解密正确时须满足m′_i＝m_i，不妨令

因此应该满足

等式成立。通过上述不等式可以计算满足要求的压缩技术参数dp的最大取值。

安全性：

本发明的安全性由格上的LWE和SIS困难假设保障。

本发明的有益效果在于：本发明提供了一种基于格与基本访问树的CP-ABE方案，适用于服务器与客户端的通信的加密模式，基于LWE和SIS的格困难问题结合CP-ABE的加密方案，解决了PKI在物联网环境中因大规模用户、多属性系统中耗费过多宽带、计算以及空间资源的问题，同时，抵抗量子算法可能在多项式时间内破解传统公钥密码体制的风险，并且保持低密文膨胀率和较高加密速率的优点。

附图说明

为了使本发明的目的、技术方案，本发明提供如下附图进行说明：

图1为一种基于格与基本访问树的CP-ABE方案流程图；

图2为本发明实施例1中基本访问树的结构图，其中：虚线款内为该基本访问树的基本结构；

图3为本发明实施例1的框架图，其中：1为P9主管用户端装置、2为可信第三方装置、3为用户端装置、虚线为网络连接。

具体实施方式

实施例1：阿里巴巴的员工数量为117,600人，其在世界各地都有办公大楼，并且每个大楼内分为不同的部门和工作团队，每个团队内的个人都有一般性的办公设备；大楼内也具有一般性的环境安全监控设施，例如烟雾探测器、电压探测器、水压探测器等等物联网设备。在万物互联的当下，以上所有的设备均可被视为一个终端，在这样一个庞大的集团内，为了保证各个终端的信息不泄露，利用一个可信中心(可信第三方)同时对某些特定群体(具有相同属性标签的设备的集合)的终端设备进行加密管理，特定群体通过自身私钥与密文的控制访问结构进行匹配，进而对密文解密。

在本实例中，假设阿里巴巴公司的P9等级的部门主管需要向整个团队的精英程序员(P6、P7、P8等级的程序员)发布新一阶段部门的技术工作路线文档，则可以将策略表示为

and精英，P9主管将该策略和待加密的文件一同输入系统。系统初始化并生成基本加密参数，针对每个属性生成其属性标签，计算用户标签，随后计算用户Bob(以用户属性“P6精英”为例)的私钥并发送给相应用户。系统将策略表达式

转化为析取表达式

or(P7 and精英)or(P8 and精英)，再根据

生成基本访问树时

(如图2所示)，该访问树的基本结构

如图3所示。由下及上计算出基本访问树基本结构的根节点的节点值s₁，s₂，s₃，即为其对应基本结构的秘密值，再利用这些秘密值计算出公开参数

并公布所有公开参数。系统利用计算出的公开参数对待加密文档加密并在部门内网广播。属性为“P6精英”的用户(Bob)接收密文，通过基本结构验证后确定

结构可以解密，则该用户将自己的身份属性带入

还原秘密，得到解密时的真正私钥，随后调用解密算法还原明文。

下面将结合附图，对本发明的实例进行详细的描述。

如图3所示，1为用户端装置，为P9主管的计算机；2为可信第三方装置，为服务器；公司其他员工联网计算机为用户端装置3，Bob使用的电脑为用户端装置3之一。

如图1所示，本发明步骤如下：

步骤一：可信第三方装置2对系统进行初始化。

(1)可信第三方装置2初始化设定CP-ABE的总属性集合

用户Bob和对应的用户属性集合

其中，

(2)可信第三方装置2对基于LWE和SIS问题以及CP-ABE公钥加密框架的固定参数初始化并公开；选定安全参数λ＝80；选定多项式次数n＝256；选定格维数m＝1536；选定参数k＝12；选定参数l＝128；选定模数为q＝4194304001；选定标准差σ＝4.5；选定高斯截断倍数t＝9；选定压缩参数dp＝8；选定分块复用参数lp＝32；

(3)可信第三方装置2结合固定参数对随机参数进行初始化；

首先，可信第三方装置1在均匀分布上进行随机采样得到A＝(A₀，A₁，…，A₁₁)^T和b＝(b₀，b₁，…，b₁₁)^T，其中，

然后，可信第三方装置2在均匀分布上进行

次随机采样，得到每个属性R_α对应的向量标签

其中，α＝1，…，4，

将所有g_α的集合记为

步骤二：可信第三方装置1调用私钥生成方法，生成用户Bob的私钥并将其发送给Bob。

(1)可信第三方装置2计算用户Bob的标签块

并对每个标签块求逆，得到矩阵

其中，A_if_i，j＝b_i，i＝0，…，11；

(2)可信第三方装置遍历用户Bob用户属性

根据每一个属性

对应的向量标签g_i，计算私钥块

得到用户Bob的私钥

可优选的，根据步骤S201中计算用户的标签块f_i，j的方法，计算用户Bob的标签块f_i，Bob的过程具体为：首先，将A_i拆分成两部分

然后，将带求解的f_i，Bob也拆分成两个部分

并对f_i，Bob，1在均匀分布上随机采样

最后，运用公式计算出

并将两部分拼接成f_i，Bob。

步骤三：P9主管将策略表达式

通过用户端装置1输入可信第三方装置2，可信第三方装置2读取

并调用转化算法将其转化为带阈值逻辑的析取表达式

or(P7 and精英)or(P8 and精英)，通过析取表达式构建基本控制访问树，由于

含有三个基本表达式，因此其基本控制访问树具有三个基本结构，基本访问树的构造如图2所示，所有的基本结构逻辑属性为“and”，子节点的插值为1，由下及上计算出基本结构的值s₁，s₂，s₃，再利用这些值计算出公开参数

最后将所有公开参数(b，

)公开。

步骤四：可信第三方装置2根据公开参数，依次将明文进行加密，将计算出的密文公开。

(1)明文最初为二进制流，将明文在

空间中进行的编码，即将1个8位二进制信息转化为一个范围是0～255的整数，依次将这些整数作为向量(m₁，…，m₃₂)的系数。

(2)根据离散高斯分布进行噪声采样

(3)计算密文块C₁＝rb；

(4)对每一个

计算密文块C_i，j＝r^Tt_j+m_i·「q/2⁸」+e′_i，j；

(5)分别公布密文C₁和{C′_i，j}_{1≤i≤32，1≤j≤3}；

其中，

1≤i≤32，1≤j≤3。

步骤五：用户操作用户端装置3，根据基本访问树的基本结构，利用自身私钥构造解密密文的私钥，最后对密文进行解密。

(1)用户Bob依次对基本控制访问树

的每一个基本结构

调用验证算法，其中，基本结构

验证通过；

(2)用户Bob对验证通过的基本结构

调用秘密重构算法生成新秘密f′_Bobs₁；

(3)用户Bob利用新秘密s′＝f′_Bobs₁对基本结构

对应的密文片段C₁和{C′_i，1}_1≤i≤32进行解密；具体的，计算

进一步，计算m′_i＝res_i，1/「q/2⁸」mod+2⁸得到解密明文(m′_i)_1≤i≤32；其中，

同理，Bob也可以通过本发明方法，将自己视为可信第三方，把自己的文件分享到部门的技术工作路线文档中，供符合条件的员工查看。

实施例2：当下密码学有公钥密码学和对称密码学两种加密法，其中对称密码的加密密钥与解密密钥相同，并且加解密的效率较高，一般适用于通话、视频等即时通讯的加解密；公钥密码系统的加密密钥与解密密钥不同，因其加解密效率较低而被广泛用于密钥封装等加密量较小的应用场景。本发明作为公钥密码体系的方案之一，同样适用于密钥封装，即使用本CP-ABE公钥加密的发明加密对称加密系统的密钥，再分发给相关用户，具有访问权限的用户解密得到对成密钥后建立安全通信信道，以下为实施例2细节。

新冠肺炎流感期间，各个公司均要求职员在家办公。在此背景下，假设X公司的Y部门将组织内部的特定人员开会讨论，他们选择采用本发明的会议视频APP作为通讯媒介，并规定等级为三的技术人员、部门主管以及策划人员具有与会讨论的权限，由Y部门秘书Alice发送邀请通知(该通知中隐含会议的秘钥，只有特定身份的职员才能解密获取)。

Y部门秘书Alice为可信第三方，可信第三方装置为Alice的计算机，其他员工联网计算机为用户端装置，Bob使用的电脑为用户端装置之一。

步骤一：可信第三方装置对系统进行初始化，设置的具体参数值可参考实施例1。

步骤二：可信第三方装置调用私钥生成方法，依次生成所有用户的私钥并发送。

步骤三：Alice通过秘书身份登入此会议视频APP的企业管理员账号，并将加密策略输入系统，策略

公司and Y部门and((三级and技术人员)or部门主管or策划人员)。系统将策略

转化为析取表达式

or(X公司and Y部门and部门主管)or(X公司and Y部门and策划人员)，再用

生成基本访问树

包含

三个基本结构，对其依次调用算法构建对应的秘密s₁，s₂，s₃，再利用该秘密值计算公开参数

将公开参数(b，

)公布。

步骤四：系统产生一个128位的AES对称加密密钥作为待加密的明文，用KEY_AES_128表示，分别再用计算所得的各个基本结构的公开参数t₁，t₂，t₃对KEY_AES_128进行加密，并生成邀请函以E-mail的形式连同计算所得的密文C₁和{C′_i，j}_{1≤i≤32，1≤j≤3}一并发送给部门内所有职员。

步骤五：属性为“X公司Y部门部门主管”的用户(Bob)接收密文，通过基本结构验证后确定

结构可以解密，则Bob对

调用秘密还原算法还原新秘密，得到解密时的真正私钥，随后调用解密算法还原明文。

最后说明的是，以上优选实施例仅用以说明本发明的技术方案而非限制，尽管通过上述优选实施例已经对本发明进行了详细的描述，但本领域技术人员应当理解，可以在形式上和细节上对其做出各种各样的改变，而不偏离本发明权利要求书所限定的范围。

Claims (6)

1.一种基于格与基本访问树的CP-ABE方法，由可信第三方装置、两个及以上的用户端装置构成的系统进行实现，所述的可信第三方装置、用户端装置通过网络相连，且均为计算机；包含以下步骤：

S1：可信第三方装置对系统进行初始化；

S2：可信第三方装置调用私钥生成方法，生成用户私钥并将其发送给相应用户；

S3：可信第三方装置将输入的控制访问策略表达式转化为析取表达式，通过析取表达式构建基本控制访问树，由下及上计算出基本访问树第二层节点的值，再利用这些值计算出公开参数，最后将公开参数公开；

S4：可信第三方装置根据公开参数，依次将明文进行加密，将计算出的密文公开；

S5：用户操作用户端装置，根据基本访问树的基本结构进行验证，对验证通过的基本结构利用自身私钥构造相应解密密文的私钥，最后对密文进行解密；

所述的步骤S1具体为：

S101：可信第三方装置初始化设定CP-ABE的总属性集合

用户U和对应的用户属性集合

S102：可信第三方装置对基于LWE和SIS问题以及CP-ABE公钥加密框架的固定参数初始化并公开；

S103：可信第三方装置结合固定参数对随机参数进行初始化；

其中，步骤S102所述的固定参数为安全参数λ，多项式次数n，m，k，l，模数q，方差σ，t，压缩参数dp，分块复用参数lp，均匀分布参数U(X)，具体地：所述的λ根据预判敌手攻击次数2^λ计算求得；所述的n为人为选取的2的幂次的整数；所述的q满足q≡1 mod 2·n；所述的l＝n/2，m＝6·n，k＝m/l；所述的σ为满足

的任意浮点数；所述的参数t≥6为根据出错概率人为选取的任意浮点数；所述的压缩参数dp为满足不等式

的任意整数；所述的lp为大于1的整数，综合考虑效率和密文膨胀率来人为选定；所述的U(X)为关于随机变量X的有界均匀分布，其界为[0，q)；

所述的步骤S103具体为：

(1)可信第三方装置在均匀分布上进行随机采样得到A＝(A₀，A₁，…，A_k-1)^T和b＝(b₀，b₁，…，b_k-1)^T其中，

(2)可信第三方装置在均匀分布上进行

次随机采样，得到每个属性R_α对应的向量标签

将所有向量标签g_α的集合记为

其中，

步骤S3所述的将输入的控制访问策略表达式

转化为析取表达式

的算法具体为：输入控制访问策略表达式

输出析取表达式

(1)

中的优先级用括号来规定，层次越深的括号内部的逻辑表达式的执行优先级越高；(2)如果

中有“or”，尽量将“or”提出括号，使其优先级降为最低，如果所有“or”已经处于最低优先级，则无需变动

步骤S3所述的通过析取表达式

构建基本控制访问树

的算法具体为：输入析取表达式

输出基本控制访问树

(1)将逻辑属性“or”作为基本控制访问树

的根节点

(2)依次读取

中的ln个基本表达式，将其转化为生成树的基本结构

并将其连接至树

的根节点

步骤S3所述的由下及上计算出基本访问树

第二层节点的值的算法具体为：输入基本结构

输出秘密值s_i；(1)遍历基本结构

中所有叶子节点对应的属性R_α，并对每一个

找到其相对应的标签向量

并将其赋值给基本结构

中相对应属性的叶子节点；(2)当

中所有叶子节点均已赋值后，由下而上对各个节点进行插值求和得到节点值直至计算至

的最上层，将根节点值作为此基本结构的秘密值s_i；其中，逻辑属性为“and”的父节点对应的子节点的插值为1；逻辑属性为“of”的父节点对应的子节点的插值为随机排序的编号值；

步骤S3所述的公开参数为

所述的

所述的t_i＝As_i+e_i，其中

为离散高斯向量。

2.根据权利要求1所述的一种基于格与基本访问树的CP-ABE方法，其特征在于，步骤S2所述的调用私钥生成方法生成第j个用户的私钥，具体为：

S201：计算第j个用户U_j的标签块

并对每个标签块求逆，得到矩阵

其中，A_if_i，j＝b_i，i＝0，…，k-1；

S202：遍历用户U_j的用户属性

根据每一个属性

对应的向量标签g_i，计算私钥块

得到用户U_j的私钥

3.根据权利要求2所述的一种基于格与基本访问树的CP-ABE方法，其特征在于，步骤S201中计算第j个用户的标签块f_i，j的方法具体为：首先，将A_i拆分成两部分

然后，将带求解的f_i，j也拆分成两个部分

并对f_i，j，1在均匀分布上随机采样

最后，运用公式计算出

并将两部分拼接成f_i，j。

4.根据权利要求1所述的一种基于格与基本访问树的CP-ABE方法，其特征在于，步骤S4所述的加密过程为：

S401：将明文在

空间中进行编码，生成系数向量m＝(m₁，…，m_lp)；

S402：根据离散高斯分布进行噪声采样

S403：计算密文块C₁＝rb；

S404：对每一个

和m_i∈m，计算密文块

S405：分别公布密文C₁和{C′_i，j}_{1≤i≤lp，1≤j≤ln}；

其中，

5.根据权利要求1所述的一种基于格与基本访问树的CP-ABE方法，其特征在于，步骤S5所述的解密过程具体为：

S501：用户U_j依次对基本控制访问树

的每一个基本结构

调用验证算法，如果存在第j^*个基本结构

验证通过，则结束验证并进行下一步骤；如果所有的基本结构都验证失败，则无法解密；

S502：用户U_j对验证通过的基本结构

调用秘密重构算法生成其新秘密f′_js^*；其中，s^*为基本结构

对应的秘密值；

S503：用户U_j利用新秘密s′＝fj′s^*对基本结构

对应的密文片段C₁和

进行解密；具体的，针对每一个

计算

进一步，计算得到明文

其中，

6.根据权利要求5所述的一种基于格与基本访问树的CP-ABE方法，其特征在于，所述的验证算法具体为：输入基本结构

输出验证结果；(1)遍历

中的属性，如果该属性同时是

的叶子节点属性，则将该叶子节点标记为1，否则标记为0；(2)从

的倒数第二层开始至最顶层结束，依次读取各非叶子节点的节点阈值h_β，同时对该节点的子节点中的标记值进行求和，得到计数值c_β；如果c_β≥h_β，则验证成功并将该节点标记为1，否则验证失败并将该节点标记为0；然后继续验证下一个节点，直至根节点验证完毕；最后，调用中序遍历算法对基本结构

各个节点进行遍历，如果存在某一层的所有节点均验证失败，则验证失败，否则验证成功。

Images