CN112737785B - 一种用于复杂访问策略的属性基加密方法、系统及设备 - Google Patents
一种用于复杂访问策略的属性基加密方法、系统及设备 Download PDFInfo
- Publication number
- CN112737785B CN112737785B CN202110011929.4A CN202110011929A CN112737785B CN 112737785 B CN112737785 B CN 112737785B CN 202110011929 A CN202110011929 A CN 202110011929A CN 112737785 B CN112737785 B CN 112737785B
- Authority
- CN
- China
- Prior art keywords
- attribute
- conditional expression
- user
- generating
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
- H04L9/3073—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/3033—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters details relating to pseudo-prime or prime number generation, e.g. primality test
Abstract
本发明提供了一种用于复杂访问策略的属性基加密方法、系统及设备。该方案包括建立云环境安全系统,信任中心初始化整个安全体系;根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应条件表达式函数;根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥,进而生成目标密文;通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息。该方案采用条件表达式描述由各种可变属性值组成的任意须满足的访问条件,将附加条件表达式嵌入访问结构的密文策略,拓展对连续值的描述能力,通过组合各种类型表达式建立复杂数据访问条件,实现复杂访问策略加密。
Description
技术领域
本发明涉及加密技术领域,更具体地,涉及一种用于复杂访问策略的属性基加密方法、系统及设备。
背景技术
属性基加密为具体为用一组属性描述模糊身份,仅当密文中列出的属性与其所拥有的属性匹配时,用户才能解密密文。属性基加密由两类组成,即密钥策略和密文策略。在密文策略模型中,数据所有者选择属性访问结构并加密数据;访问结构嵌入在密文中,而秘密密钥是根据数据用户的属性集生成的。如果密文中列出的属性与用户的属性匹配,则用户将解密该密文。在密钥策略模型中,加密者选择描述性属性来加密数据,属性授权中心收集相应的属性组合,并确定哪些数据用户解密此类数据。用户的唯一全局标识符用于将来自不同属性的关键部分绑定在一起,以获得同源秘密密钥。
为了满足各种场景的需求,目前现有的技术中广泛采用了各种访问策略来获取灵活、细粒度的数据访问,但是,现有的技术方案属性基加密主要存在以下问题:传统属性基加密方案依赖于独立、离散属性值特征,数据访问策略不能反映不同属性之间关系,属性通常代表固定值,或者是判断某固定属性值是否满足指定条件。这一问题导致属性基加密方案动态性和灵活性较差,不能描述复杂的数据访问策略,严重限制了属性基技术更广泛的应用。
发明内容
鉴于上述问题,本发明提出了一种用于复杂访问策略的属性基加密方法,其可以实现灵活的获得各种访问策略和细粒度的数据访问。
第一方面,本发明实施例中提供了一种用于复杂访问策略的属性基加密方法,具体包括:
建立云环境安全系统,信任中心初始化整个安全体系,根据安全参数输出公共参数,建立一个用于管理属性集的属性授权中心,建立条件表达式生成规则,输出所述属性授权中心的公共密钥对;
根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数;
根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥;
根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文;
通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息。
在一个或多个实施例,优选地,所述建立云环境安全系统,信任中心初始化整个安全体系,根据安全参数输出公共参数,建立一个用于管理属性集的属性授权中心,建立条件表达式生成规则,输出所述属性授权中心的公共密钥对,具体包括:
利用第一计算公式进行双线性映射,利用第二计算公式选择2个哈希值,创建一个用于管理属性集的所述属性授权中心;
利用操作数据、运算符、变量名和分组符号排列构成的条件表达式,并生成所述条件表达式生成规则;
在所述属性集中,随机选择2个整数作为私有属性密钥;
在所述属性授权中心中,随机选择2个整数作为私钥,并计算对应的2个公开密钥;
所述属性授权中心利用第三计算公式发布公钥集,并利用第四计算公式保密私钥集;
所述第一计算公式为:
e:G×G→GT
其中,e为所述双线性映射,G为第一P阶素数乘法循环群,GT为第二P阶素数乘法循环群,P为一个预先设定的正整数;
所述第二计算公式为:
H1:{0,1}*→G,H2:{0,1}*→G
其中,H1为第一哈希函数,H2为第二哈希函数,G为所述第一P阶素数乘法循环群;
所述第三计算公式为:
其中,PK为所述公钥集,β为所述2个私钥中的第一私钥,η为所述2个私钥中的第二私钥,和为所述的2个公开密钥,g为所述第一P阶素数乘法循环群的生成元,为所述属性集,e为所述双线性映射,vi,j为所述属性集中的属性值,αi,j和ri,j为在所述属性集中随机选择的2个私有属性密钥;
所述第四计算公式为:
在一个或多个实施例,优选地,所述条件表达式生成规则,具体包括:
所述条件表达式的结果返回逻辑为真或假,其中,所述真对应的逻辑值为1,所述假对应的逻辑值为0;
所述条件表达式的表达式类型包括算术表达式和逻辑表达式,其中,所述算术表达式为运算符对数值数据进行运算的数学公式,所述逻辑表达式包括逻辑值、关系运算符、逻辑运算符;
所述条件表达式中操作符的从高到低的优先级顺序为:括号、函数、幂、乘法和除法、加法和减法、关系运算符、逻辑运算符,其中,所述乘法和所述除法的优先级相同,按照从左到右的顺序进行操作,所述加法和所述减法的优先级相同,按照从左到右的顺序进行操作;
具有相同优先级的元素项排列按升序或降序的ASCII值排列;
根据所述条件表达式生成规则创建的每个所述条件表达式有且只有唯一的形式。
在一个或多个实施例,优选地,所述根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数,具体包括:
根据所述条件表达式生成规则生成访问数据的所述附加条件表达式,从所述附加条件表达式提取所有的属性变量;
将所有的所述属性变量以按照ASCII值升序形成参数序列和对应的索引集;
生成对应的条件表达式函数,其中,所述条件表达式函数的返回值满足第五计算公式;
所述第五计算公式:
在一个或多个实施例,优选地,所述根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥,具体包括:
根据访问数据的需求,将第六计算公式作为访问控制策略,所述用户向所述属性集提交属性值和所述访问控制策略;
所述属性授权中心通过所述条件表达式生成所述条件表达式函数;
对于所有的所述属性集中的属性值利用第七计算公式计算第一中间变量,利用第八计算公式计算第二中间变量;
所述属性授权中心根据所述第一中间变量和所述第二中间变量利用第九计算公式获取用户公钥,并将所述用户公钥发送给用户;
所述第六计算公式为:
所述第七计算公式为:
其中,Mid1为所述第一中间变量,H1为所述第一哈希函数,αi,j为第一私有属性密钥,ri,j为第二私有属性密钥,g为所述第一P阶素数乘法循环群的生成元,GIDU为所述用户的身份证明;
所述第八计算公式为:
所述第九计算公式为:
在一个或多个实施例,优选地,所述根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文,具体包括:
选择所述访问结构和所述附加条件表达式对所述明文消息进行加密;
利用所述第十计算公式生成所述目标密文;
所述第十计算公式为:
其中,CT为所述目标密文,M为所述明文消息,为所述访问结构,为所述附加条件表达式,C0为所述目标密文的第一部分,C1为所述目标密文的第二部分,C2为所述目标密文的第三部分,e为所述双线性映射,s为一个随机数,g为所述第一P阶素数乘法循环群的生成元,β为所述第一私钥,η为所述第二私钥,vi,j为所述属性集中的属性值,ri,j为第二私有属性密钥,αi,j为第一私有属性密钥。
在一个或多个实施例,优选地,所述通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息,具体包括:
所述用户获取所述访问结构和所述访问控制策略;
所述用户通过第十一计算公式生成所述明文消息;
所述第十一计算公式为:
其中,为所述用户公钥,C0为所述目标密文的第一部分,C1为所述目标密文的第二部分,C2为所述目标密文的第三部分,GIDU为所述用户的身份证明,H1为所述第一哈希函数,e为所述双线性映射,M为所述明文消息,vi,j为所述属性集中的属性值,为所述访问结构,g为所述第一P阶素数乘法循环群的生成元,αi,j为第一私有属性密钥,ri,j为第二私有属性密钥,s为一个随机数,β为所述第一私钥,η为所述第二私钥,为所述条件表达式函数,为所述附加条件表达式,为访问数据的需求。
第二方面,一种用于复杂访问策略的属性基加密系统,具体包括:
系统初始化子系统,用于建立云环境安全系统,信任中心初始化整个安全体系,根据安全参数输出公共参数,建立一个用于管理属性集的属性授权中心,建立条件表达式生成规则,输出所述属性授权中心的公共密钥对;
条件函数生成子系统,用于根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数;
数据使用者私钥产生子系统,用于根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥;
加密者密文产生子系统,用于根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文;
数据使用者密文解密子系统,用于通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息。
在一个或多个实施例,优选地,还包括可读存储介质,采用掉电可保存的存储介质,用于存储所述公共参数、所述属性集、所述条件表达式生成规则、所述明文消息、所述访问结构、所述附加条件表达式、所述目标密文、所述用户私钥和所述明文消息。
第三方面,本发明实施例提供了一种电子设备,包括存储器和处理器,所述存储器用于存储一条或多条计算机程序指令,其中,所述一条或多条计算机程序指令被所述处理器执行以实现如第一方面或第一方面任一种可能中任一项所述的方法。
本发明的实施例提供的技术方案可以包括以下有益效果:
1)提供了本发明提出一种实现复杂访问策略的属性基加密方案,包括系统初始化、条件函数生成、数据使用者私钥产生、加密者密文产生和数据使用者密文解密等步骤,完成了复杂访问策略的属性基加密。
2)使用基于与门多值、条件表达式和属性基加密相结合,解决传统属性基加密数据访问策略不能反映不同属性之间关系,离散性属性描述的问题,进而解决不能描述复杂数据访问策略,动态性和灵活性较差的问题。
3)采用条件表达式描述由各种可变属性值组成的任意须满足的访问条件,将条件表达式嵌入到与门多值数据访问结构,构成密文策略属性基加密方案,证明了方案的安全性和正确性,同时又维护了属性基加密方案的细粒度访问控制特征。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例的一种用于复杂访问策略的属性基加密方法的流程图。
图2是本发明一个实施例的一种用于复杂访问策略的属性基加密方法中的建立云环境安全系统,信任中心初始化整个安全体系的流程图。
图3是本发明一个实施例的一种用于复杂访问策略的属性基加密方法中的根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数的流程图。
图4是本发明一个实施例的一种用于复杂访问策略的属性基加密方法中的根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥的流程图。
图5是本发明一个实施例的一种用于复杂访问策略的属性基加密方法中的根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文的流程图。
图6是本发明一个实施例的一种用于复杂访问策略的属性基加密方法中的通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息的示意图。
图7是本发明一个实施例的一种用于复杂访问策略的属性基加密系统的结构图。
图8是本发明一个实施例的一种用于复杂访问策略的属性基加密系统的数据交互关系图。
图9是本发明一个实施例的一种电子设备的结构图。
具体实施方式
在本发明的说明书和权利要求书及上述附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如101、102等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
属性基加密为基于属性的加密,具体为用一组属性描述了模糊身份。仅当密文中列出的属性与其所拥有的属性匹配时,用户才能解密密文。属性基加密由两类组成,即密钥策略和密文策略。在密文策略模型中,数据所有者选择属性访问结构并加密数据。访问结构嵌入在密文中,而秘密密钥是根据数据用户的属性集生成的。如果密文中列出的属性与用户的属性匹配,则用户将解密该密文。在密钥策略模型中,加密者选择描述性属性来加密数据。属性授权中心收集相应的属性组合,并确定哪些数据用户解密此类数据。用户的唯一全局标识符用于将来自不同属性的关键部分绑定在一起,以获得同源秘密密钥。
为了满足各种场景的需求,目前现有的技术中广泛采用了各种访问策略来获取灵活、细粒度的数据访问,例如:线性秘密共享、与门、大范围访问控制。所述线性秘密共享如下给定t-1次多项式上t个点p(1),p(2),…,p(t),使用拉格朗日插值来计算任意i的多项式p(i)。但是,仅给出t-1个点,就无法生成多项式p(i)。根据拉格朗日公式,可以将p(i)计算为t个已知点的线性组合。另一种,大范围访问控制结构属性基加密方案如下:给出一个访问树,每个叶节点对应一个属性,中间节点是任意t和n值的t/n门。在它的变体中,“或”、“与”门可以作为特殊情况。在与门多值属性访问结构中,具体为假设存在n个属性类别,我们使表示属性名称变量的集合,并用表示atti的一组可能的ni值。对用户U而言,是U的属性集,其中是atti的属性值。设为一个访问结构,其中
但是,现有的技术方案属性基加密主要存在以下问题:传统属性基加密方案依赖于独立、离散属性值特征,数据访问策略不能反映不同属性之间关系,属性通常代表固定值,或者是判断某固定属性值是否满足指定条件。这一问题导致属性基加密方案动态性和灵活性较差,不能描述复杂的数据访问策略,严重限制了属性基技术更广泛的应用。
本发明实施例中,提供了一种用于复杂访问策略的属性基加密方法、系统及设备,通过该方案采用条件表达式描述由各种可变属性值组成的任意须满足的访问条件,提出了一种将附加条件表达式嵌入访问结构的密文策略属性基加密方案;在判定性并行双线性假设下,实现了方案的安全性和正确性的证明。通过该方案拓展了属性对连续值的描述能力,通过组合各种类型表达式建立复杂的数据访问条件,维护了属性基加密方案的细粒度访问控制特征,安全、高效,可有效地提升数据访问控制能力。
第一方面,图1是本发明一个实施例的一种用于复杂访问策略的属性基加密方法的流程图。在一个或多个实施例中,提供了一种用于复杂访问策略的属性基加密方法,具体包括:
S101、建立云环境安全系统,信任中心初始化整个安全体系,根据安全参数输出公共参数,建立一个用于管理属性集的属性授权中心,建立条件表达式生成规则,输出所述属性授权中心的公共密钥对;
具体的,该部分进行系统算法的初始化,由系统模型构建者建立整个云环境安全系统,信任中心初始化整个安全体系,根据安全参数输出公共参数,创建一个属性授权中心并管理一个属性集定义条件表达式的生成规则RCE,输出的公共密钥对(PK,SK);
S102、根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数;
S103、根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥;
S104、根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文;
具体的,步骤S104为加密者密文产生算法,使用公共参数、消息、访问结构和附加条件表达式,产生目标密文;
S105、通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息。
在本发明实施例中,通过该方案提出一种实现复杂访问策略的属性基加密方案,具体包括系统初始化、条件表达式函数生成、数据使用者私钥产生、加密者密文产生和数据使用者密文解密等步骤。下面通过图2-7分别介绍方案中各步骤的具体实现方式。
图2是本发明一个实施例的一种用于复杂访问策略的属性基加密方法中的建立云环境安全系统,信任中心初始化整个安全体系的流程图。如图2所示,在一个或多个实施例,优选地,所述建立云环境安全系统,信任中心初始化整个安全体系,根据安全参数输出公共参数,建立一个用于管理属性集的属性授权中心,建立条件表达式生成规则,输出所述属性授权中心的公共密钥对,具体包括:
S201、利用第一计算公式进行双线性映射,利用第二计算公式选择2个哈希值,创建一个用于管理属性集的所述属性授权中心;
S202、利用操作数据、运算符、变量名和分组符号排列构成的条件表达式,并生成所述条件表达式生成规则;
S203、在所述属性集中,随机选择2个整数作为私有属性密钥;
S204、在所述属性授权中心中,随机选择2个整数作为私钥,并计算对应的2个公开密钥;
S205、所述属性授权中心利用第三计算公式发布公钥集,并利用第四计算公式保密私钥集;
所述第一计算公式为:
e:G×G→GT
其中,e为所述双线性映射,G为第一P阶素数乘法循环群,GT为第二P阶素数乘法循环群,P为一个预先设定的正整数;
所述第二计算公式为:
H1:{0,1}*→G,H2:{0,1}*→G
其中,H1为第一哈希函数,H2为第二哈希函数,G为所述第一P阶素数乘法循环群;
所述第三计算公式为:
其中,PK为所述公钥集,β为所述2个私钥中的第一私钥,η为所述2个私钥中的第二私钥,和为所述的2个公开密钥,g为所述第一P阶素数乘法循环群的生成元,为所述属性集,e为所述双线性映射,vi,j为所述属性集中的属性值,αi,j和ri,j为在所述属性集中随机选择的2个私有属性密钥;
所述第四计算公式为:
在一个或多个实施例,优选地,所述条件表达式生成规则,具体包括:
所述条件表达式的结果返回逻辑为真或假,其中,所述真对应的逻辑值为1,所述假对应的逻辑值为0;
所述条件表达式的表达式类型包括算术表达式和逻辑表达式,其中,所述算术表达式为运算符对数值数据进行运算的数学公式,所述逻辑表达式包括逻辑值、关系运算符、逻辑运算符;
具体的,所述表达式的类型包括算术表达式,逻辑表达式等,算术表达式是通过算术运算符例如,加、减、乘、除、对数值数据进行运算的数学公式,逻辑表达式有两个逻辑结果:真和假,关系运算符是=、<、<=、>、>=、!=;逻辑运算符是与、或、非等。
所述条件表达式中操作符的从高到低的优先级顺序为:括号、函数、幂、乘法和除法、加法和减法、关系运算符、逻辑运算符,其中,所述乘法和所述除法的优先级相同,按照从左到右的顺序进行操作,所述加法和所述减法的优先级相同,按照从左到右的顺序进行操作;
具有相同优先级的元素项排列按升序或降序的ASCII值排列;
具体的,(American Standard Code for Information Interchange,ASCII)美国信息交换标准代码是基于拉丁字母的一套电脑编码系统,用于显示英语和其他西欧语言,是通用的信息交换标准,到目前为止共定义了128个字符。
根据所述条件表达式生成规则创建的每个所述条件表达式有且只有唯一的形式。
在本发明实施例中,在条件表达式的描述过程中,设定了条件表达式规则,并通过优先级顺序和逻辑运算关系,由各种可变属性值组成的任意须满足的访问条件,通过该方案可以对任意情况的策略进行描述。
图3是本发明一个实施例的一种用于复杂访问策略的属性基加密方法中的根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数的流程图。如图3所示,在一个或多个实施例,优选地,所述根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数,具体包括:
S301、根据所述条件表达式生成规则生成访问数据的所述附加条件表达式,从所述附加条件表达式提取所有的属性变量;
S302、将所有的所述属性变量以按照ASCII值升序形成参数序列和对应的索引集;
S303、生成对应的条件表达式函数,其中,所述条件表达式函数的返回值满足第五计算公式;
所述第五计算公式:
在本发明实施例中,通过采用条件表达式描述由各种可变属性值组成的任意须满足的访问条件,进而利用所述附加条件表达式嵌入到数据的访问结构中,进而构成密文策略属性基加密方案,解决了传统ABE数据访问策略不能反映不同属性之间关系,离散性属性描述等问题,进而改变不能描述复杂数据访问策略,动态性、灵活性较差的情况,扩展属性基加密技术的应用范围。
图4是本发明一个实施例的一种用于复杂访问策略的属性基加密方法中的根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥的流程图。如图4所示,在一个或多个实施例,优选地,所述根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥,具体包括:
S401、根据访问数据的需求,将第六计算公式作为访问控制策略,所述用户向所述属性集提交属性值和所述访问控制策略;
S402、所述属性授权中心通过所述条件表达式生成所述条件表达式函数;
S403、对于所有的所述属性集中的属性值利用第七计算公式计算第一中间变量,利用第八计算公式计算第二中间变量;
S404、所述属性授权中心根据所述第一中间变量和所述第二中间变量利用第九计算公式获取用户公钥,并将所述用户公钥发送给用户;
所述第六计算公式为:
所述第七计算公式为:
其中,Mid1为所述第一中间变量,H1为所述第一哈希函数,αi,j为第一私有属性密钥,ri,j为第二私有属性密钥,g为所述第一P阶素数乘法循环群的生成元,GIDU为所述用户的身份证明;
所述第八计算公式为:
所述第九计算公式为:
在一个或多个实施例中,所述的数据访问策略采用了将数据访问需求和所述附加条件表达式相与的方式,获得属性叠加,进而实现多个与门和附加条件表达式的访问策略的属性基加密的方案,通过该方案可实现复杂数据访问策略。
本发明实施例中,提供了一种用户公钥的计算方法,首先进行利用所述条件表达式函数求解了两个中间变量,进一步,在两个中间值的基础上,获得由所述属性集向用户U,发送的用户公钥,条件表达式函数的返回值是若<Xi>i∈Φ满足附加条件表达式则意味着当时,附加条件表达式的结果为真,否则为假。所述条件表达式函数可通过使用C语言等编程生成。
图5是本发明一个实施例的一种用于复杂访问策略的属性基加密方法中的根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文的流程图。如图5所示,在一个或多个实施例,优选地,所述根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文,具体包括:
选择所述访问结构和所述附加条件表达式对所述明文消息进行加密;
利用所述第十计算公式生成所述目标密文;
所述第十计算公式为:
其中,CT为所述目标密文,M为所述明文消息,为所述访问结构,为所述附加条件表达式,C0为所述目标密文的第一部分,C1为所述目标密文的第二部分,C2为所述目标密文的第三部分,e为所述双线性映射,s为一个随机数,g为所述第一P阶素数乘法循环群的生成元,β为所述第一私钥,η为所述第二私钥,vi,j为所述属性集中的属性值,ri,j为第二私有属性密钥,αi,j为第一私有属性密钥。
图6是本发明一个实施例的一种用于复杂访问策略的属性基加密方法中的通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息的示意图。如图6所示,在一个或多个实施例,优选地,所述通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息,具体包括:
所述用户获取所述访问结构和所述访问控制策略;
所述用户通过第十一计算公式生成所述明文消息;
所述第十一计算公式为:
其中,为所述用户公钥,C0为所述目标密文的第一部分,C1为所述目标密文的第二部分,C2为所述目标密文的第三部分,GIDU为所述用户的身份证明,H1为所述第一哈希函数,e为所述双线性映射,M为所述明文消息,vi,j为所述属性集中的属性值,为所述访问结构,g为所述第一P阶素数乘法循环群的生成元,αi,j为第一私有属性密钥,ri,j为第二私有属性密钥,s为一个随机数,β为所述第一私钥,η为所述第二私钥,为所述条件表达式函数,为所述附加条件表达式,为访问数据的需求。
在本发明实施例中,使用|G|和|GT|分别表示所述第一P阶素数乘法循环群和所述第二P阶素数乘法循环群的长度。在此种情况下,所述用户公钥的USK采用的长度为|G|,所述目标密文CT的长度为|GT|+2|G|,因此,该方案具有固定密文长度,能够产生良好加密性能。
第二方面,图7是本发明一个实施例的一种用于复杂访问策略的属性基加密系统的结构图。在一个或多个实施例中,优选地,一种用于复杂访问策略的属性基加密系统,具体包括:
系统初始化子系统701,用于建立云环境安全系统,信任中心初始化整个安全体系,根据安全参数输出公共参数,建立一个用于管理属性集的属性授权中心,建立条件表达式生成规则,输出所述属性授权中心的公共密钥对;
条件函数生成子系统702,用于根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数;
数据使用者私钥产生子系统703,用于根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥;
加密者密文产生子系统704,用于根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文;
数据使用者密文解密子系统705,用于通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息。
在一个或多个实施例,优选地,还包括可读存储介质706,采用掉电可保存的存储介质,用于存储所述公共参数、所述属性集、所述条件表达式生成规则、所述明文消息、所述访问结构、所述附加条件表达式、所述目标密文、所述用户私钥和所述明文消息。
综上所述,该发明给出了具有多个与门和附加条件表达式的访问策略的属性基加密的方案,通过该方案可实现复杂数据访问策略,安全性较高,解决了表达不同属性之间关系的难题,并可以描述所有可能的访问条件,同时,附加条件表达式的应用不会影响属性基加密的细粒度功能。
图8是本发明一个实施例的一种用于复杂访问策略的属性基加密系统的数据交互关系图。如图8所示,数据拥有者801将加密数据804发送至云存储服务器805,数据使用者802向所述云存储服务器805获取加密数据804,所述属性授权中心803与所述数据使用者802之间交互所述用户公钥该数据交互关系明确了在实际使用中,如何进行复杂访问策略的加密数据交互,进而实现数据拥有者、数据使用者和属性授权中心的交互。
图9是本发明一个实施例的一种电子设备的结构图。图9所示的电子设备为通用属性基加密装置,其包括通用的计算机硬件结构,其至少包括处理器91和存储器92。处理器91和存储器92通过总线93连接。存储器92适于存储处理器91可执行的指令或程序。处理器91可以是独立的微处理器,也可以是一个或者多个微处理器集合。由此,处理器91通过执行存储器92所存储的指令,从而执行如上所述的本发明实施例的方法流程实现对于数据的处理和对于其它装置的控制。总线93将上述多个组件连接在一起,同时将上述组件连接到显示控制器94和显示装置以及输入/输出(I/O)装置95。输入/输出(I/O)装置95可以是鼠标、键盘、调制解调器、网络接口、触控输入装置、体感输入装置、打印机以及本领域公知的其他装置。典型地,输入/输出装置95通过输入/输出(I/O)控制器96与系统相连。
本发明的实施例提供的技术方案可以包括以下有益效果:
1)通过该方案提供本发明提出一种实现复杂访问策略的属性基加密方案,包括系统初始化、条件函数生成、数据使用者私钥产生、加密者密文产生和数据使用者密文解密等步骤,完成了复杂访问策略的属性基加密。
2)使用基于“与门多值”、条件表达式和属性基加密技术,主要解决了传统属性基加密数据访问策略不能反映不同属性之间关系,离散性属性描述等问题,导致不能描述复杂数据访问策略,动态性、灵活性较差,严重限制了属性基加密技术更广泛的应用。
3)采用条件表达式描述由各种可变属性值组成的任意须满足的访问条件,将条件表达式嵌入“与门多值”数据访问结构,构成密文策略属性基加密方案,很好地解决了上述问题,即证明了方案的安全性和正确性同时又维护了属性基加密方案的细粒度访问控制特征。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1.一种用于复杂访问策略的属性基加密方法,其特征在于,包括:
建立云环境安全系统,信任中心初始化整个安全体系,根据安全参数输出公共参数,建立一个用于管理属性集的属性授权中心,建立条件表达式生成规则,输出所述属性授权中心的公共密钥对;
根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数;
根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥;
根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文;
通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息;
其中,所述根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数,具体包括:
根据所述条件表达式生成规则生成访问数据的所述附加条件表达式,从所述附加条件表达式提取所有的属性变量;
将所有的所述属性变量以按照ASCII值升序形成参数序列和对应的索引集;
生成对应的条件表达式函数,其中,所述条件表达式函数的返回值满足第五计算公式;
所述第五计算公式:
2.如权利要求1所述的一种用于复杂访问策略的属性基加密方法,其特征在于,所述建立云环境安全系统,信任中心初始化整个安全体系,根据安全参数输出公共参数,建立一个用于管理属性集的属性授权中心,建立条件表达式生成规则,输出所述属性授权中心的公共密钥对,具体包括:
利用第一计算公式进行双线性映射,利用第二计算公式选择2个哈希值,创建一个用于管理属性集的所述属性授权中心;
利用操作数据、运算符、变量名和分组符号排列构成的条件表达式,并生成所述条件表达式生成规则;
在所述属性集中,随机选择2个整数作为私有属性密钥;
在所述属性授权中心中,随机选择2个整数作为私钥,并计算对应的2个公开密钥;
所述属性授权中心利用第三计算公式发布公钥集,并利用第四计算公式保密私钥集;
所述第一计算公式为:
e:G×G→GT
其中,e为所述双线性映射,G为所述第一P阶素数乘法循环群,GT为第二P阶素数乘法循环群,P为一个预先设定的正整数;
所述第二计算公式为:
其中,H1为第一哈希函数,H2为所述第二哈希函数,G为所述第一P阶素数乘法循环群;
所述第三计算公式为:
其中,PK为所述公钥集,β为所述2个私钥中的第一私钥,η为所述2个私钥中的第二私钥,和为所述的2个公开密钥,g为所述第一P阶素数乘法循环群的生成元,为所述属性集,e为所述双线性映射,vi,j为所述属性集中的属性值,αi,j和ri,j为在所述属性集中随机选择的2个私有属性密钥;
所述第四计算公式为:
3.如权利要求2所述的一种用于复杂访问策略的属性基加密方法,其特征在于,所述条件表达式生成规则,具体包括:
所述条件表达式的结果返回逻辑为真或假,其中,所述真对应的逻辑值为1,所述假对应的逻辑值为0;
所述条件表达式的表达式类型包括算术表达式和逻辑表达式,其中,所述算术表达式为运算符对数值数据进行运算的数学公式,所述逻辑表达式包括逻辑值、关系运算符、逻辑运算符;
所述条件表达式中操作符的从高到低的优先级顺序为:括号、函数、幂、乘法和除法、加法和减法、关系运算符、逻辑运算符,其中,所述乘法和所述除法的优先级相同,按照从左到右的顺序进行操作,所述加法和所述减法的优先级相同,按照从左到右的顺序进行操作;
具有相同优先级的元素项排列按升序或降序的ASCII值排列;
根据所述条件表达式生成规则创建的每个所述条件表达式有且只有唯一的形式。
4.如权利要求3所述的一种用于复杂访问策略的属性基加密方法,其特征在于,所述根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥,具体包括:
根据访问数据的需求,将第六计算公式作为访问控制策略,所述用户向所述属性集提交属性值和所述访问控制策略;
所述属性授权中心通过所述条件表达式生成所述条件表达式函数;
对于所有的所述属性集中的属性值利用第七计算公式计算第一中间变量,利用第八计算公式计算第二中间变量;
所述属性授权中心根据所述第一中间变量和所述第二中间变量利用第九计算公式获取用户公钥,并将所述用户公钥发送给用户;
所述第六计算公式为:
所述第七计算公式为:
其中,Mid1为所述第一中间变量,H1为所述第一哈希函数,αi,j为第一私有属性密钥,ri,j为第二私有属性密钥,g为所述第一P阶素数乘法循环群的生成元,GIDU为所述用户的身份证明;
所述第八计算公式为:
所述第九计算公式为:
5.如权利要求4所述的一种用于复杂访问策略的属性基加密方法,其特征在于,所述根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文,具体包括:
选择所述访问结构和所述附加条件表达式对所述明文消息进行加密;
利用第十计算公式生成所述目标密文;
所述第十计算公式为:
6.如权利要求5所述的一种用于复杂访问策略的属性基加密方法,其特征在于,所述通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息,具体包括:
所述用户获取所述访问结构和所述访问控制策略;
所述用户通过第十一计算公式生成所述明文消息;
所述第十一计算公式为:
7.一种用于复杂访问策略的属性基加密系统,其特征在于,该系统包括:
系统初始化子系统,用于建立云环境安全系统,信任中心初始化整个安全体系,根据安全参数输出公共参数,建立一个用于管理属性集的属性授权中心,建立条件表达式生成规则,输出所述属性授权中心的公共密钥对;
条件函数生成子系统,用于根据所述条件表达式生成规则生成访问数据的附加条件表达式,并产生对应的条件表达式函数;
数据使用者私钥产生子系统,用于根据所述公共参数、用户的身份证明、用户的全局变量名称、私有属性密钥集合和所述附加条件表达式生成对应的用户私钥;
加密者密文产生子系统,用于根据所述公共参数、明文消息、访问结构和所述附加条件表达式生成目标密文;
数据使用者密文解密子系统,用于通过所述公共参数、所述用户私钥和所述目标密文生成所述明文消息。
8.如权利要求7所述的一种用于复杂访问策略的属性基加密系统,其特征在于,还包括可读存储介质,采用掉电可保存的存储介质,用于存储所述公共参数、所述属性集、所述条件表达式生成规则、所述明文消息、所述访问结构、所述附加条件表达式、所述目标密文、所述用户私钥和所述明文消息。
9.一种电子设备,包括存储器和处理器,其特征在于,所述存储器用于存储一条或多条计算机程序指令,其中,所述一条或多条计算机程序指令被所述处理器执行以实现如权利要求1-6任一项所述的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110011929.4A CN112737785B (zh) | 2021-01-06 | 2021-01-06 | 一种用于复杂访问策略的属性基加密方法、系统及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110011929.4A CN112737785B (zh) | 2021-01-06 | 2021-01-06 | 一种用于复杂访问策略的属性基加密方法、系统及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112737785A CN112737785A (zh) | 2021-04-30 |
CN112737785B true CN112737785B (zh) | 2021-09-28 |
Family
ID=75590709
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110011929.4A Active CN112737785B (zh) | 2021-01-06 | 2021-01-06 | 一种用于复杂访问策略的属性基加密方法、系统及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112737785B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114221824B (zh) * | 2022-02-22 | 2022-05-17 | 北京悦游信息技术有限公司 | 一种私域网络的安全访问控制方法、系统和可读存储介质 |
CN114465824B (zh) * | 2022-04-11 | 2022-06-17 | 四川高速公路建设开发集团有限公司 | 面向智慧建设工程信息系统平台的授权访问控制方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9619659B1 (en) * | 2011-06-14 | 2017-04-11 | Ionic Security Inc. | Systems and methods for providing information security using context-based keys |
CN109519162A (zh) * | 2018-08-16 | 2019-03-26 | 清能艾科(深圳)能源技术有限公司 | 钻井现场数字通信指挥方法和装置、系统、存储介质 |
CN111695095A (zh) * | 2020-04-27 | 2020-09-22 | 西安电子科技大学 | 一种部分策略隐藏访问控制方法、系统、无线通信系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103152322A (zh) * | 2013-01-28 | 2013-06-12 | 中兴通讯股份有限公司 | 数据加密保护方法及系统 |
CN106788998B (zh) * | 2016-12-09 | 2019-11-12 | 四川师范大学 | 支持多值分配和属性组合的基于属性的加密方法 |
CN106850224B (zh) * | 2017-04-13 | 2021-02-12 | 桂林电子科技大学 | 一种私钥定长的密文策略属性基加密方法 |
CN109040045B (zh) * | 2018-07-25 | 2021-04-06 | 广东工业大学 | 一种基于密文策略属性基加密的云存储访问控制方法 |
CN110401667B (zh) * | 2019-07-31 | 2021-08-06 | 杭州项帮科技有限公司 | 一种基于多项目型映射的分权密钥机制的属性加密方法 |
CN111726363B (zh) * | 2020-06-24 | 2022-11-01 | 暨南大学 | 一种基于属性的多用户连接关键字可搜索加密方法 |
CN112104619B (zh) * | 2020-08-27 | 2022-03-22 | 西南大学 | 基于外包密文属性加密的数据访问控制系统和方法 |
-
2021
- 2021-01-06 CN CN202110011929.4A patent/CN112737785B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9619659B1 (en) * | 2011-06-14 | 2017-04-11 | Ionic Security Inc. | Systems and methods for providing information security using context-based keys |
CN109519162A (zh) * | 2018-08-16 | 2019-03-26 | 清能艾科(深圳)能源技术有限公司 | 钻井现场数字通信指挥方法和装置、系统、存储介质 |
CN111695095A (zh) * | 2020-04-27 | 2020-09-22 | 西安电子科技大学 | 一种部分策略隐藏访问控制方法、系统、无线通信系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112737785A (zh) | 2021-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Li et al. | An efficient attribute-based encryption scheme with policy update and file update in cloud computing | |
Aljawarneh et al. | A resource-efficient encryption algorithm for multimedia big data | |
CN109981641B (zh) | 一种基于区块链技术的安全发布订阅系统及发布订阅方法 | |
CN102263636B (zh) | 一种融合神经网络与混沌映射的流密码密钥控制方法 | |
Teng et al. | A Modified Advanced Encryption Standard for Data Security. | |
CN106850221A (zh) | 信息加密、解密方法及装置 | |
CN107689947A (zh) | 一种数据处理的方法和装置 | |
CN103986574A (zh) | 一种基于身份的分层广播加密方法 | |
CN112737785B (zh) | 一种用于复杂访问策略的属性基加密方法、系统及设备 | |
Jin et al. | A secure and lightweight data access control scheme for mobile cloud computing | |
Jayapandian et al. | Secure and efficient online data storage and sharing over cloud environment using probabilistic with homomorphic encryption | |
CN107579813A (zh) | 信息加密、解密方法及装置 | |
CN104135473A (zh) | 一种由密文策略的属性基加密实现身份基广播加密的方法 | |
CN107154845A (zh) | 一种基于属性的bgn型密文解密外包方案 | |
CN113141247B (zh) | 一种同态加密方法、装置、系统及可读存储介质 | |
CN105141419B (zh) | 大属性域的属性基签名方法及系统 | |
CN105721156A (zh) | 用于模幂加密方案的通用编码函数 | |
Liu et al. | Offline/online attribute‐based encryption with verifiable outsourced decryption | |
CN109714157A (zh) | 一种抗密钥暴露属性加密的sdn跨域访问控制方法 | |
Sandhia et al. | Secure sharing of data in cloud using MA-CPABE with elliptic curve cryptography | |
JP2022095852A (ja) | デジタル署名方法、署名情報の検証方法、関連装置及び電子機器 | |
Dua et al. | A study of applications based on elliptic curve cryptography | |
CN105790929A (zh) | 一种基于规则冗余消除的加密环境中高效访问控制方法 | |
Wei et al. | Cost-effective and scalable data sharing in cloud storage using hierarchical attribute-based encryption with forward security | |
CN107465508A (zh) | 一种软硬件结合构造真随机数的方法、系统和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB03 | Change of inventor or designer information |
Inventor after: Hu Shengzhou Inventor after: Zeng Yu Inventor after: Zeng Peixu Inventor before: Hu Shengzhou Inventor before: Zeng Peixu Inventor before: Zeng Yu |
|
CB03 | Change of inventor or designer information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |