CN112787822B - 一种大属性集下的基于sm9的属性加密方法及系统 - Google Patents

Abstract

本发明公开了一种大属性集下的基于SM9的属性加密方法及系统，涉及信息加密技术领域，包括密钥生成中心生成主公钥和主私钥；数据拥有者确定第一访问结构；属性权威根据第一访问结构生成第一属性集合；数据拥有者调用访问结构身份转换算法将第一属性集合转换成身份集合，并根据身份集合和主公钥对第一明文进行加密以生成第一密文；数据请求者获取当前阶段需解密的第二密文；密钥生成中心判断第二密文是否存在，若存在则根据数据请求者的用户身份以及在第二属性集合下的解密密钥和哈希值对第二密文进行解密。本发明在云环境下，保证一对多数据共享的灵活性、动态性和高效性。

Description

一种大属性集下的基于SM9的属性加密方法及系统

技术领域

本发明涉及信息加密技术领域，特别是涉及一种大属性集下的基于SM9的属性加密方法及系统。

背景技术

随着云计算技术的发展，越来越多的数据被存储在云上，对云上数据的安全性提出了更高的要求。一般采取属性加密的方式来保证云上的数据存储和共享安全，且由于云上场景中访问控制所涉及用户的属性不能在系统初始化阶段完全确定，所以具有不需要提前设定所用属性集合的大属性集下的属性加密在云环境下具有更好的应用前景。

SM9是由国家密码管理局发布一种基于身份的加密算法(参见“GM/T0044-2016SM9标识密码算法”标准，国家密码管理局，2016年3月)，且在2017年正式成为ISO/IEC国际标准。SM9算法作为基于身份的加密算法，既有身份加密不需要对用户的公钥进行生成和管理的优势，又有更快的加解密速度和更强的安全性。但在云环境下的一对多共享中，由于系统中用户较多且其中的访问控制需要更细的粒度，仅使用基于身份的加密算法用于一对多的共享，加解密效率和灵活性都不存在优势。

目前也有一些技术用于解决上述存在的问题，如发明名称为一种基于SM9标识加密的属性基加密方法，申请(专利)号为2019106893313；发明名称为一种基于SM9的属性加密方法与系统，申请(专利)号为2019111776269。

这两项发明有以下不足：

1.两个技术方案中所用的方法仅考虑固定属性集的情况，对大属性集下的实现没有考虑。

2.第一技术方案所采用的加解密方法中使用SM9的加解密次数过多，效率较低。

发明内容

本发明的目的是提供一种大属性集下的基于SM9的属性加密方法及系统，以保证在云环境下，一对多数据共享的灵活性、动态性和高效性。

为实现上述目的，本发明提供了如下方案：

一种大属性集下的基于SM9的属性加密方法，包括：

由密钥生成中心通过调用SM9算法对获取的系统参数进行初始化以生成主公钥和主私钥；所述主公钥向所有合法用户开放，所述主私钥由所述密钥生成中心私密保存；

由数据拥有者确定第一访问结构；

由属性权威根据所述数据拥有者发送的所述第一访问结构生成第一属性集合；所述属性权威用于管理更新存储用户属性；所述属性权威包括多个属性集合；

由所述数据拥有者通过调用访问结构身份转换算法将所述属性权威发送的所述第一属性集合转换成身份集合，并根据所述身份集合和所述主公钥对第一明文进行加密以生成第一密文；

由数据请求者获取当前阶段需解密的第二密文，并将所述第二密文解析成第二哈希密文、第二标识密文以及第二明文密文，并当所述数据请求者不存在所述第二密文的解密密钥时将所述第二哈希密文向所述密钥生成中心发送；所述第二哈希密文为所述第二密文所在第二属性集合的哈希值；

由所述密钥生成中心根据所述第二哈希密文判断所述第二密文是否存在，若存在则获取所述属性权威发送的所述数据请求者的用户属性以及所述第二属性集合，然后根据所述数据请求者的用户属性以及所述第二属性集合生成所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥，最后将所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥和哈希值发送至所述数据请求者以对所述第二密文进行解密；其中，当所述第一密文和所述第二密文相同时，所述第一属性集合和所述第二属性集合相同。

可选的，所述由密钥生成中心通过调用SM9算法对获取的系统参数进行初始化以生成主公钥和主私钥，具体包括：

由密钥生成中心通过(M_pk,M_sk)←SM9.Setup(1^k)对系统参数k进行初始化以获取主公钥M_pk和主私钥M_sk；其中，SM9.Setup()为SM9的初始化算法。

可选的，所述由数据拥有者确定第一访问结构，具体包括：

由数据拥有者根据第一明文所要求的访问人员生成设定的第一访问结构。

可选的，所述由属性权威根据所述数据拥有者发送的所述第一访问结构生成第一属性集合，具体包括：

由属性权威通过调用遍历算法，获取所有满足第一访问结构的属性组合，进而生成初级第一属性集合；

通过0和1对所述初级第一属性集合中的属性进行标识，生成最终的第一属性集合。

可选的，所述由所述数据拥有者通过调用访问结构身份转换算法将所述属性权威发送的所述第一属性集合转换成身份集合，具体包括：

生成在所述第一属性集合下的各个身份；

将各个所述身份和所述第一属性集合进行SM3哈希操作，生成身份集合。

可选的，所述根据所述身份集合和所述主公钥对第一明文进行加密以生成第一密文，具体包括：

采用SM3算法加密所述第一属性集合u以获得第一哈希密文C₁；

随机获取SM4算法的随机密钥key和初始化向量IV，然后通过SM9.Encrypt(M_pk,id_i,key||IV)对所述身份集合中的元素进行遍历以生成多个对称密钥密文CT_i，通过SM3(u||id_i)对所述身份集合中的元素进行遍历以生成多个对称密钥标识CS_i，组合所有所述对称密钥标识CS_i和所有所述对称密钥密文CT_i以生成第一标识密文C₂；其中，M_pk表示主公钥，id_i表示所述身份集合中的第i元素；

使用所述随机密钥key和所述初始化向量IV对所述第一明文M进行加密以获得第一明文密文C₃；

通过通过C←(C₁||C₂||C₃)生成第一密文C。

可选的，还包括：

由数据请求者将所述第二哈希密文的值与已获取的解密密钥所在的属性空间的哈希值进行比较，并当所述属性空间已存在所述第二哈希密文时，直接调用所述属性空间的解密密钥、所述数据请求者的用户身份以及所述第二哈希密文对所述第二密文进行解密。

一种大属性集下的基于SM9的属性加密系统，包括：

密钥生成中心，用于通过调用SM9算法对获取的系统参数进行初始化以生成主公钥和主私钥；所述主公钥向所有合法用户开放，所述主私钥由所述密钥生成中心私密保存；

数据拥有者，用于确定第一访问结构；

属性权威，用于根据所述数据拥有者发送的所述第一访问结构生成第一属性集合；所述属性权威用于管理更新存储用户属性；所述属性权威包括多个属性集合；

数据拥有者，还用于通过调用访问结构身份转换算法将所述属性权威发送的所述第一属性集合转换成身份集合，并根据所述身份集合和所述主公钥对第一明文进行加密以生成第一密文；

数据请求者，用于数据请求者获取当前阶段需解密的第二密文，并将所述第二密文解析成第二哈希密文、第二标识密文以及第二明文密文，并当所述数据请求者不存在所述第二密文的解密密钥时将所述第二哈希密文向所述密钥生成中心发送；所述第二哈希密文为所述第二密文所在第二属性集合的哈希值；

密钥生成中心，还用于根据所述第二哈希密文判断所述第二密文是否存在，若存在则获取所述属性权威发送的所述数据请求者的用户属性以及所述第二属性集合，然后根据所述数据请求者的用户属性以及所述第二属性集合生成所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥，最后将所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥和哈希值发送至所述数据请求者以对所述第二密文进行解密；其中，当所述第一密文和所述第二密文相同时，所述第一属性集合和所述第二属性集合相同。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明通过设定多个属性集合来分别进行加密，提高了在大属性集下加密方法的可用性。本发明采用在密文中嵌入标识的方式，减少了解密过程中需要调用SM9算法的次数，使用户可以快速确定自己能否解密并进行解密操作，有效加快解密速度。所以，本发明提供的方法或系统，保证了在云环境下，一对多数据共享的灵活性、动态性和高效性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种大属性集下的基于SM9的属性加密方法的流程示意图；

图2为本发明一种大属性集下的基于SM9的属性加密方法的具体实施流程图；

图3为本发明一种大属性集下的基于SM9的属性加密方法的工作原理图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种大属性集下的基于SM9的属性加密方法及系统，以保证在云环境下，一对多数据共享的灵活性、动态性和高效性。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

针对现有技术的不足，本发明提供了一种大属性集下的基于SM9的属性加密方法及系统，在用户属性随时可变即大属性集的情况下，通过设定多个属性集合来分别进行加密处理。首先，本发明能使加密方案可在大属性集下正常进行；其次，在加密过程中，采用访问结构身份转换算法以减少转化后的身份个数，从而有效提高加密效率；最后，通过在密文中添加标志位，可以快速确定用户是否能进行解密并快速进行解密。因此，本发明提供了在大属性集下高速、可用的一种基于SM9的属性加密方法及系统，以保证在云环境下，一对多数据共享的灵活性、动态性和高效性。

实施例一

如图1所示，本实施例提供了一种大属性集下的基于SM9的属性加密方法。本实施例是在属性是动态的也就是大属性集合下的加解密操作，用户的属性由属性权威进行管理，用户向密钥生成中心发送生成私钥的请求时，由属性权威发送相应的属性到密钥生成中心。本实施例包括：一、系统初始化，密钥生成中心初始化系统参数以生成主公钥和主私钥，属性权威对用户属性进行管理；二、在加密过程中，数据拥有者通过访问结构和主公钥对明文消息进行加密以生成密文；三、在解密过程中，如果数据请求者的属性满足访问结构，则可以解密密文，进而获得明文，否则无法解密，即在解密过程中，数据请求者若要解密密文，则需要向密钥生成中心申请在属性集合情况下的解密密钥，如果数据请求者在属性集合下的属性满足访问结构，那么数据请求者便可以解密密文，进而获得明文消息。

具体步骤如下所示：

步骤101：由密钥生成中心通过调用SM9算法对获取的系统参数进行初始化以生成主公钥和主私钥；其中，所述主公钥向所有合法用户开放，即主公钥在系统中是公开的，所有合法用户都可以获取，所述主私钥由所述密钥生成中心私密保存。

步骤102：由数据拥有者确定第一访问结构。

步骤103：由属性权威根据所述数据拥有者发送的所述第一访问结构生成第一属性集合；所述属性权威用于管理更新存储用户属性，即本实施例的属性权威中的属性是动态的，也就是说本实施例是在大属性集合下进行加解密操作，大属性集下指的是总的属性集合为动态时的属性加解密操作环境。此外，所述属性权威包括多个属性集合，分别为第一属性集合、第二属性集合等。

步骤104：由所述数据拥有者通过调用访问结构身份转换算法将所述属性权威发送的所述第一属性集合转换成身份集合，并根据所述身份集合和所述主公钥对第一明文进行加密以生成第一密文。

步骤105：由数据请求者获取当前阶段需解密的第二密文，并将所述第二密文解析成第二哈希密文、第二标识密文以及第二明文密文，并当所述数据请求者不存在所述第二密文的解密密钥时将所述第二哈希密文向所述密钥生成中心发送；所述第二哈希密文为所述第二密文所在第二属性集合的哈希值。

步骤106：由所述密钥生成中心根据所述第二哈希密文判断所述第二密文是否存在，若存在则获取所述属性权威发送的所述数据请求者的用户属性以及所述第二属性集合，然后根据所述数据请求者的用户属性以及所述第二属性集合生成所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥，最后将所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥和哈希值发送至所述数据请求者以对所述第二密文进行解密；其中，当所述第一密文和所述第二密文相同时，所述第一属性集合和所述第二属性集合相同。

作为一种优选的具体实施方式，本实施例提供的步骤101具体包括：

由密钥生成中心通过(M_pk,M_sk)←SM9.Setup(1^k)对系统参数k进行初始化以获取主公钥M_pk和主私钥M_sk；其中，SM9.Setup()为SM9的初始化算法；主公钥M_pk在系统内公开，即主公钥M_pk分享给所有的合法用户，主私钥M_sk则由密钥生成中心秘密保存。

作为一种优选的具体实施方式，本实施例提供的步骤102具体包括：

由数据拥有者根据第一明文所要求的访问人员生成设定的第一访问结构。

作为一种优选的具体实施方式，本实施例中的属性权威负责用户属性管理；用户属性由属性权威进行存储、审核和更新；用户可向属性权威申请更改自身的用户属性，属性权威审核通过后可对用户属性进行更新；当用户向密钥生成中心申请某个属性集合下的解密密钥时，由属性权威提供该属性集合给密钥生成中心。

作为一种优选的具体实施方式，本实施例提供的步骤103具体包括：

由属性权威根据第一访问结构A所包含的用户属性生成第一属性集合u；其中，第一属性集合u包含且仅包含第一访问结构A的所有用户属性。

由属性权威通过调用遍历算法，获取所有满足第一访问结构A的属性组合，进而生成初次第一属性集合，然后通过0和1对初次第一属性集合中的属性进行标识，生成最终的第一属性集合。

第一属性集合u的身份为id^*∈{0,1}^u；其中|u|为第一属性集合u的大小。系统中的身份为id←SM3(u||id^*)，加入第一属性集合u中以标识该所在的属性集合，保证不同属性集合下身份的唯一性。

作为一种优选的具体实施方式，本实施例提供的步骤104具体包括：

由所述数据拥有者通过调用访问结构身份转换算法将第一属性集合u转换为身份集合ID＝{id₁,id₂,...,id_n}；其中，n≥1，n表示身份的个数。

进行身份转换时，采用仅包含第一访问结构A的第一属性集合u作为此次加密的属性集合，生成此属性集合下的身份

其中n≥1，然后将身份和属性集合同时进行SM3哈希操作，得到最终身份id_i←SM3(u||id_i ^*)，全部身份即为身份集合ID＝{id₁,id₂,...,id_n}。

由所述数据拥有者通过调用SM9的属性加密算法、第一访问结构A和主公钥M_pk对第一明文M进行加密。具体为：首先采用SM3算法加密第一属性集合u以获得第一哈希密文C₁；其次，随机获取SM4算法的CBC模式加密所需的随机密钥key和初始化向量IV，然后通过SM9.Encrypt(M_pk,id_i,key||IV)对身份集合中的元素进行遍历以生成多个对称密钥密文CT_i，通过SM3(u||id_i)对身份集合中的元素进行遍历以生成多个对称密钥标识CS_i，组合所有对称密钥标识CS_i和所有对称密钥密文CT_i以生成第一标识密文C₂；接着，使用随机密钥key和初始化向量IV对第一明文M进行加密获得第一明文密文C₃。最后通过C←(C₁||C₂||C₃)生成第一密文C，并上传到云服务器上进行共享，且在上传前需要向密钥生成中心发送第一属性集合u以及其哈希值，表示系统中存在此属性集合的密文。其中C₁为第一属性集合u的哈希值；C₂为对称密钥标识CS_i和对称密钥密文CT_i组合而成；C₃为对称加密第一明文M而获得。

作为一种优选的具体实施方式，本实施例还包括：数据请求者获取第二密文后，也对第二密文进行解析后，将第二哈希密文与已获取的解密密钥所在的属性空间的哈希值进行对比，并当所述属性空间已存在所述第二哈希密文时，即数据请求者已拥有此属性集合的解密密钥则可以直接进行解密，否则向密钥生成中心申请解密密钥。

作为一种优选的具体实施方式，本实施例提供的步骤106具体包括：

首先密钥生成中心根据数据请求者所需解密的第二密文所在属性集合的哈希值，即第二哈希密文，判断该第二属性集合对应的第二密文在系统中是否存在；若存在，则继续进行，否则提示数据请求者系统暂无该第二属性集合下的密文，请数据请求者检查所要解密的第二密文是否合法。

其次，确认第二密文存在后，再根据属性权威提供的数据请求者的用户属性和第二密文所在的第二属性集合u'，先调用结构身份转换算法把用户属性转化为用户身份id，再调用SM9的密钥生成算法生成第二属性集合u'下的解密密钥SK_id，并把第二属性集合u'的哈希值、用户身份id和解密密钥SK_id返回给数据请求者。密钥生成中心向用户返回的信息包括SM3(u')、SM3(id)和SK_id，其中，SM3(u')用于校验该解密密钥是否为第二密文所在属性集合下的密钥；SM3(id)用于校验该身份是否可以进行解密及标识所能解密的第二标识密文；最后使用SK_id解密第二标识密文以获取对称密钥和初始化向量，并用SM4解密第二明文密文获得第二明文消息。

接着，判断能否进行解密，数据请求者在完成用户解密密钥申请后，从系统返回的信息中获取用户身份id，再从所获取的第二密文中获取第二标识密文，解析后可获取一组对称密钥标识{CS₁,CS₂,...CS_n}并对其进行遍历，确认是否有CS_i＝id存在，其中1≤i≤n，若有则数据请求者可以解密第二密文，否则无法解密。

最后，基于SM9的属性解密算法，在确定数据请求者可以解密第二密文后，获取对称密钥标识CS_i对应的对称密钥密文CT_i，通过调用SM9的属性解密算法，对CT_i进行解密。解密后获得随机密钥key和初始化向量IV，通过调用SM4解密算法解密第二明文密文，获得第二明文。

实施例二

本实施例提供了一种大属性集下的基于SM9的属性加密系统，包括：

密钥生成中心，用于通过调用SM9算法对获取的系统参数进行初始化以生成主公钥和主私钥；所述主公钥向所有合法用户开放，所述主私钥由所述密钥生成中心私密保存。

数据拥有者，用于确定第一访问结构。

属性权威，用于根据所述数据拥有者发送的所述第一访问结构生成第一属性集合；所述属性权威用于管理更新存储用户属性；所述属性权威包括多个属性集合。

数据拥有者，还用于通过调用访问结构身份转换算法将所述属性权威发送的所述第一属性集合转换成身份集合，并根据所述身份集合和所述主公钥对第一明文进行加密以生成第一密文。

数据请求者，用于数据请求者获取当前阶段需解密的第二密文，并将所述第二密文解析成第二哈希密文、第二标识密文以及第二明文密文，并当所述数据请求者不存在所述第二密文的解密密钥时将所述第二哈希密文向所述密钥生成中心发送；所述第二哈希密文为所述第二密文所在第二属性集合的哈希值。

密钥生成中心，还用于根据所述第二哈希密文判断所述第二密文是否存在，若存在则获取所述属性权威发送的所述数据请求者的用户属性以及所述第二属性集合，然后根据所述数据请求者的用户属性以及所述第二属性集合生成所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥，最后将所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥和哈希值发送至所述数据请求者以对所述第二密文进行解密；其中，当所述第一密文和所述第二密文相同时，所述第一属性集合和所述第二属性集合相同。

实施例三

如图2和3所示，本实施例提供了一种大属性集下的基于SM9的属性加密方法，包括以下步骤。

步骤S1，系统参数初始化，密钥生成中心通过调用SM9算法进行系统参数初始化，生成主公钥M_pk和主私钥M_sk。属性权威负责用户属性管理，保证用户属性的更新与安全。

进一步，在所述步骤S1中，包括如下步骤：

步骤S11，密钥生成中心通过调用SM9的初始化算法，并传入初始系统参数k，通过(M_pk,M_sk)←SM9.Setup(1^k)，获取主公钥M_pk和主私钥M_sk，主公钥M_pk在系统内公开，即主公钥M_pk分享给所有的合法用户，主私钥M_sk则由密钥生成中心秘密保存。

步骤S12，用户在系统中进行注册，会向系统提供一些属性，在属性权威审核后，确定为用户属性。

步骤S13，用户属性发生改变后，会向系统申请属性变更，在属性权威审核后，以最新的用户属性作为访问控制的依据。

步骤S14，当用户向密钥生成中心申请某个属性集合下的私钥时，由属性权威提供属性给密钥生成中心。

步骤S2，在加密过程中，数据拥有者通过访问结构A和主公钥M_pk对明文M进行加密获得密文C；其中，属性权威根据数据拥有者发送的访问结构A生成属性集合u，在属性集合u下进行访问结构身份转换算法以把访问结构A转化为一组身份ID＝{id₁,id₂,...,id_n}，用这一组身份运行SM9算法进行加密。

进一步，在所述步骤S2中，包括如下步骤：

步骤S21，数据拥有者通过设置访问结构A进行访问控制；加密前首先根据访问结构A生成本次加密所在的属性集合u，再根据访问控制身份转换算法，把访问结构A转化为在属性集合u下的一组身份ID＝{id₁,id₂,...,id_n}。

步骤S22，采用SM3算法加密属性集合u获得密文C₁。

步骤S23，随机获取SM4算法的CBC模式加密所需的随机密钥key和初始化向量IV，然后使用SM4算法加密明文M获得密文C₃。

步骤S24，调用SM9算法和一组身份ID＝{id₁,id₂,...,id_n}，通过SM9.Encrypt(M_pk,id_i,key||IV)生成对称密钥密文CT_i，通过SM3(u||id_i)生成对称密钥标识CS_i，组合所有对称密钥标识CS_i和对称密钥密文CT_i生成密文C₂。

步骤S25，生成密文C←(C₁||C₂||C₃)，并上传到云服务器上进行共享。

步骤S3，在解密过程中，数据请求者若要解密密文C，则需要向密钥生成中心申请在属性集合u下的解密密钥SK_id，如果数据请求者在属性集合u下的属性满足访问结构A，那么数据请求者便可以解密密文C，获得明文M。

进一步，在所述步骤S3中，包括如下步骤：

步骤S31，数据请求者解析密文C，获得密文C₁、密文C₂和密文C₃。

步骤S32，数据请求者检查已拥有解密密钥的属性集合的哈希值，若存在与密文C₁相同的值，则选取相应的解密密钥进行解密，进入步骤S34；否则向密钥生成中心申请密文C₁对应的属性集合下的解密密钥。

步骤S33，密钥生成中心根据数据请求者发送的密文C₁，检查系统中是否存在该属性集合，若存在则向属性权威获取数据请求者的属性并生成属性集合u下的用户身份的哈希SM3(id)和解密密钥SK_id，并返回给数据请求者；若不存在，则向数据请求者返回系统中不存在该属性集合下的密文。

步骤S34，数据请求者解析密文C₂获得一组对称密钥密文{CT₁,CT₂,...,CT_n}和对称密钥标识{CS₁,CS₂,...,CS_n}，遍历对称密钥标识若存在CS_i＝SM3(id)，则表明数据请求者可以解密，获取对应的CT_i，若不存在则无法解密。

步骤S35，数据请求者调用SM9解密算法使用解密密钥SK_id解密CT_i，获得对称密钥key和初始化向量IV。

步骤S36，数据请求者调用SM4解密算法，使用对称密钥key和初始化向量IV解密密文C₃获得明文M。

实施例四

本实施例提供了一种大属性集下的基于SM9的属性加密方法，应用于云办公场景的安全数据共享模式。本实施例中的云办公公司的数据存储在云服务器上，在另一可信服务器上布署属性权威和密钥生成中心。公司所有员工可根据工作需求上传和下载加密数据，明文数据上传前需根据明文的访问要求设置访问结构以对明文进行加密，下载后通过向可信服务器获取解密密钥从而解密密文。每个用户即可以是拥有者也可以是请求者，从而完成公司内部数据在云服务器上的加密共享。

本实施例所述的云办公公司有两个需求，一是公司大部分数据存储在云服务器上，但这些数据需要在云服务器保持加密，且能被预先设定的人员所访问；二是公司会有一些新的业务，需要能根据实际情况来添加一些属性，用于描述新业务中所需的员工。

本实施例所述的属性权威为公司员工属性的管理机构，根据公司运行情况实时管理所有员工的属性，以保证每个员工能获取其工作所需的数据。

本实施例所述的密钥生成中心为员工在获取云服务器上的密文后，根据员工在属性权威上的属性向密钥生成中心获取解密密钥，然后根据解密密钥解密密文以获取所需明文。

具体实施：

可信服务器中的属性权威维护公司员工属性，密钥生成中心完成初始化以获得主公钥M_pk和主私钥M_sk；其中，主公钥M_pk分发给所有员工，使员工可以通过访问结构对明文进行加密，主私钥M_sk则由密钥生成中心秘密保存。

为了保证数据的加密共享，且在数据传输过程中传输的数据都是密文，需要所有员工进行加密操作和解密操作。

员工可根据文件M所要求的访问人员设定访问结构A，用此访问结构A和主公钥M_pk进行加密操作。首先从访问结构A中提取属性集合u，在此属性集合u下根据访问控制身份转换算法完成访问结构A和身份转换，获取在在属性集合u下的一组身份ID＝{id₁,id₂,...,id_n}，ID中所有身份由所有满足访问结构A的属性组成。属性集合u执行SM3哈希算法后的哈希值作为密文C₁；随机获取SM4哈希算法的随机密钥key和初始化向量IV，通过SM9.Encrypt(M_pk,id_i,key||IV)生成对称密钥密文CT_i，通过SM3(u||id_i)生成对称密钥标识CS_i，组合所有对称密钥标识CS_i和对称密钥密文CT_i生成密文C₂；通过调用SM4哈希算法加密文件M获得密文C₃。生成密文C←(C₁||C₂||C₃)，并上传到云服务器上密文共享。

员工在完成密文C上传后，属性权威检查密文C所在的属性集合u，若已存在此属性集合u则不进行操作，否则添加此属性集合u到属性集合库中，用于维护系统中所有的属性集合。员工申请解密密钥时，仅可申请属性集合库中属性集合u下的解密密钥。

若另一员工需要获取文件M，在从云服务器上获得密文C后，先解析密文C₁以确定自己是否已经拥有该属性集合u下的解密密钥，若存在则可进行解密，否则向密钥生成中心申发送密文C₁和员工的身份凭证，密钥生成中心检查系统中是否存在该属性集合u，若存在则向属性权威获取员工的属性并生成属性集合u下的员工身份的哈希SM3(id)和解密密钥SK_id，并返回给员工。通过解析到的密文C₂可验证员工属性是否满足访问结构，满足则能进行解密，解密出文件M。

由于属性权威保存的属性集合是动态的，当有新增加的属性时，之前的加密文件并不会发生改变，只有用到新属性的加密文件中涉及到了新属性。此时，只要属性权威中更新了新属性，那么与新属性相关文件的加解密过程和上述过程一致。

实施例五

本实施例针对多公司间数据共享中的安全问题，提供了一种大属性集下的基于SM9的属性加密方法。

若要在多公司间进行数据共享，则每个公司都希望自己能完全掌握自己的数据，且共享的对象可能不是对方整个公司而是对方公司的某些员工。在本实施例中，通过多公司共同管理的属性权威来对每个公司的员工属性进行管理，每个公司的数据管理员仅管理本公司员工的属性，密钥生成中心则由可信第三方管理。

若a公司需要向b公司的c部门的员工共享数据M，a公司仅需要设定仅有b公司的c部门员工满足的访问结构A，并进行加密生成密文C上传到云服务器上。b公司的c部门员工获取密文C，向密钥生成中心申请解密密钥并解密获得共享数据M，非b公司的c部门员工则无法进行解密。若存在某公司的部门出现了调整，则仅需该公司数据管理员更新该公司员工在属性权威的属性，即可正常进行加解密操作。

由于SM9本身优异的性能，本发明提供的技术方案，解决了云服务器下的数据共享安全问题，从而保证数据在云服务器进行共享时的安全性。

本发明公开了一种大属性集下的基于SM9的属性加密方法及系统。在系统中用户属性随时可变即大属性集的情况下，通过设定多个属性集合来分别进行加密，首先此种方式能使加密方案可在大属性集下正常进行，其次在加密过程中的访问结构身份转换算法中，通过减少转化后的身份个数从而有效提高加密效率；通过在密文中添加标志位，可以快速确定用户是否能进行解密并快速进行解密。实现在大属性集下高速、可用的一种基于SM9的属性加密方法，最终保证在云环境下一对多数据共享的灵活性、动态性和高效性。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。

Claims (3)

1.一种大属性集下的基于SM9的属性加密方法，其特征在于，包括：

由密钥生成中心通过调用SM9算法对获取的系统参数进行初始化以生成主公钥和主私钥；所述主公钥向所有合法用户开放，所述主私钥由所述密钥生成中心私密保存；

由数据拥有者确定第一访问结构；

由属性权威根据所述数据拥有者发送的所述第一访问结构生成第一属性集合；所述属性权威用于管理更新存储用户属性；所述属性权威包括多个属性集合；

由所述数据拥有者通过调用访问结构身份转换算法将所述属性权威发送的所述第一属性集合转换成身份集合，并根据所述身份集合和所述主公钥对第一明文进行加密以生成第一密文；

由数据请求者获取当前阶段需解密的第二密文，并将所述第二密文解析成第二哈希密文、第二标识密文以及第二明文密文，并当所述数据请求者不存在所述第二密文的解密密钥时将所述第二哈希密文向所述密钥生成中心发送；所述第二哈希密文为所述第二密文所在第二属性集合的哈希值；

由所述密钥生成中心根据所述第二哈希密文判断所述第二密文是否存在，若存在则获取所述属性权威发送的所述数据请求者的用户属性以及所述第二属性集合，然后根据所述数据请求者的用户属性以及所述第二属性集合生成所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥，最后将所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥和哈希值发送至所述数据请求者以对所述第二密文进行解密；其中，当所述第一密文和所述第二密文相同时，所述第一属性集合和所述第二属性集合相同；

所述由密钥生成中心通过调用SM9算法对获取的系统参数进行初始化以生成主公钥和主私钥，具体包括：

由密钥生成中心通过(M_pk,M_sk)←SM9.Setup(1^k)对系统参数k进行初始化以获取主公钥M_pk和主私钥M_sk；其中，SM9.Setup()为SM9的初始化算法；

所述由数据拥有者确定第一访问结构，由属性权威根据所述数据拥有者发送的所述第一访问结构生成第一属性集合，具体包括：

首先由数据拥有者根据第一明文所要求的访问人员生成设定的第一访问结构；其次由属性权威通过调用遍历算法，获取所有满足第一访问结构的属性组合，进而生成初级第一属性集合；最后通过0和1对所述初级第一属性集合中的属性进行标识，生成最终的第一属性集合；

所述由所述数据拥有者通过调用访问结构身份转换算法将所述属性权威发送的所述第一属性集合转换成身份集合，并根据所述身份集合和所述主公钥对第一明文进行加密以生成第一密文，具体包括：

由所述数据拥有者通过调用访问结构身份转换算法将第一属性集合u转换为身份集合ID＝{id₁,id₂,...,id_n}；其中，n≥1，n表示身份的个数；进行身份转换时，采用仅包含第一访问结构A的第一属性集合u作为此次加密的属性集合，生成此属性集合下的身份

其中n≥1，然后将身份和属性集合同时进行SM3哈希操作，得到最终身份id_i←SM3(u||id_i ^*)，全部身份即为身份集合ID＝{id₁,id₂,...,id_n}；

采用SM3算法加密第一属性集合u以获得第一哈希密文C₁；随机获取SM4算法的CBC模式加密所需的随机密钥key和初始化向量IV，然后通过SM9.Encrypt(M_pk,id_i,key||IV)对身份集合中的元素进行遍历以生成多个对称密钥密文CT_i，通过SM3(u||id_i)对身份集合中的元素进行遍历以生成多个对称密钥标识CS_i，组合所有对称密钥标识CS_i和所有对称密钥密文CT_i以生成第一标识密文C₂；使用随机密钥key和初始化向量IV对第一明文M进行加密获得第一明文密文C₃；通过C←(C₁||C₂||C₃)生成第一密文C；其中，C₁为第一属性集合u的哈希值；C₂为对称密钥标识CS_i和对称密钥密文CT_i组合而成；C₃为对称加密第一明文M而获得；

所述根据所述数据请求者的用户属性以及所述第二属性集合生成所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥，最后将所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥和哈希值发送至所述数据请求者以对所述第二密文进行解密，具体包括：

根据属性权威提供的数据请求者的用户属性和第二密文所在的第二属性集合u'，先调用结构身份转换算法把用户属性转化为用户身份id，再调用SM9的密钥生成算法生成第二属性集合u'下的解密密钥SK_id，并把第二属性集合u'的哈希值、用户身份id和解密密钥SK_id返回给数据请求者；密钥生成中心向用户返回的信息包括SM3(u')、SM3(id)和SK_id，其中，SM3(u')用于校验该解密密钥是否为第二密文所在属性集合下的密钥；SM3(id)用于校验该身份是否可以进行解密及标识所能解密的第二标识密文；最后使用SK_id解密第二标识密文以获取对称密钥和初始化向量，并用SM4解密第二明文密文获得第二明文消息；

数据请求者在完成用户解密密钥申请后，从系统返回的信息中获取用户身份id，再从所获取的第二密文中获取第二标识密文，解析后可获取一组对称密钥标识{CS₁,CS₂,...CS_n}并对其进行遍历，确认是否有CS_i＝id存在，其中1≤i≤n，若有则数据请求者可以解密第二密文，否则无法解密；

基于SM9的属性解密算法，在确定数据请求者可以解密第二密文后，获取对称密钥标识CS_i对应的对称密钥密文CT_i，通过调用SM9的属性解密算法，对CT_i进行解密；解密后获得随机密钥key和初始化向量IV，通过调用SM4解密算法解密第二明文密文，获得第二明文。

2.根据权利要求1所述的一种大属性集下的基于SM9的属性加密方法，其特征在于，还包括：

由数据请求者将所述第二哈希密文的值与已获取的解密密钥所在的属性空间的哈希值进行比较，并当所述属性空间已存在所述第二哈希密文时，直接调用所述属性空间的解密密钥、所述数据请求者的用户身份以及所述第二哈希密文对所述第二密文进行解密。

3.一种大属性集下的基于SM9的属性加密系统，其特征在于，包括：

密钥生成中心，用于通过调用SM9算法对获取的系统参数进行初始化以生成主公钥和主私钥；所述主公钥向所有合法用户开放，所述主私钥由所述密钥生成中心私密保存；

数据拥有者，用于确定第一访问结构；

属性权威，用于根据所述数据拥有者发送的所述第一访问结构生成第一属性集合；所述属性权威用于管理更新存储用户属性；所述属性权威包括多个属性集合；

数据拥有者，还用于通过调用访问结构身份转换算法将所述属性权威发送的所述第一属性集合转换成身份集合，并根据所述身份集合和所述主公钥对第一明文进行加密以生成第一密文；

数据请求者，用于数据请求者获取当前阶段需解密的第二密文，并将所述第二密文解析成第二哈希密文、第二标识密文以及第二明文密文，并当所述数据请求者不存在所述第二密文的解密密钥时将所述第二哈希密文向所述密钥生成中心发送；所述第二哈希密文为所述第二密文所在第二属性集合的哈希值；

密钥生成中心，还用于根据所述第二哈希密文判断所述第二密文是否存在，若存在则获取所述属性权威发送的所述数据请求者的用户属性以及所述第二属性集合，然后根据所述数据请求者的用户属性以及所述第二属性集合生成所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥，最后将所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥和哈希值发送至所述数据请求者以对所述第二密文进行解密；其中，当所述第一密文和所述第二密文相同时，所述第一属性集合和所述第二属性集合相同；

由密钥生成中心通过调用SM9算法对获取的系统参数进行初始化以生成主公钥和主私钥，具体包括：

由密钥生成中心通过(M_pk,M_sk)←SM9.Setup(1^k)对系统参数k进行初始化以获取主公钥M_pk和主私钥M_sk；其中，SM9.Setup()为SM9的初始化算法；

由数据拥有者确定第一访问结构，由属性权威根据所述数据拥有者发送的所述第一访问结构生成第一属性集合，具体包括：

首先由数据拥有者根据第一明文所要求的访问人员生成设定的第一访问结构；其次由属性权威通过调用遍历算法，获取所有满足第一访问结构的属性组合，进而生成初级第一属性集合；最后通过0和1对所述初级第一属性集合中的属性进行标识，生成最终的第一属性集合；

所述由所述数据拥有者通过调用访问结构身份转换算法将所述属性权威发送的所述第一属性集合转换成身份集合，并根据所述身份集合和所述主公钥对第一明文进行加密以生成第一密文，具体包括：

由所述数据拥有者通过调用访问结构身份转换算法将第一属性集合u转换为身份集合ID＝{id₁,id₂,...,id_n}；其中，n≥1，n表示身份的个数；进行身份转换时，采用仅包含第一访问结构A的第一属性集合u作为此次加密的属性集合，生成此属性集合下的身份

其中n≥1，然后将身份和属性集合同时进行SM3哈希操作，得到最终身份id_i←SM3(u||id_i ^*)，全部身份即为身份集合ID＝{id₁,id₂,...,id_n}；

采用SM3算法加密第一属性集合u以获得第一哈希密文C₁；随机获取SM4算法的CBC模式加密所需的随机密钥key和初始化向量IV，然后通过SM9.Encrypt(M_pk,id_i,key||IV)对身份集合中的元素进行遍历以生成多个对称密钥密文CT_i，通过SM3(u||id_i)对身份集合中的元素进行遍历以生成多个对称密钥标识CS_i，组合所有对称密钥标识CS_i和所有对称密钥密文CT_i以生成第一标识密文C₂；使用随机密钥key和初始化向量IV对第一明文M进行加密获得第一明文密文C₃；通过C←(C₁||C₂||C₃)生成第一密文C；其中，C₁为第一属性集合u的哈希值；C₂为对称密钥标识CS_i和对称密钥密文CT_i组合而成；C₃为对称加密第一明文M而获得；

所述根据所述数据请求者的用户属性以及所述第二属性集合生成所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥，最后将所述数据请求者的用户身份以及在所述第二属性集合下的解密密钥和哈希值发送至所述数据请求者以对所述第二密文进行解密，具体包括：

根据属性权威提供的数据请求者的用户属性和第二密文所在的第二属性集合u'，先调用结构身份转换算法把用户属性转化为用户身份id，再调用SM9的密钥生成算法生成第二属性集合u'下的解密密钥SK_id，并把第二属性集合u'的哈希值、用户身份id和解密密钥SK_id返回给数据请求者；密钥生成中心向用户返回的信息包括SM3(u')、SM3(id)和SK_id，其中，SM3(u')用于校验该解密密钥是否为第二密文所在属性集合下的密钥；SM3(id)用于校验该身份是否可以进行解密及标识所能解密的第二标识密文；最后使用SK_id解密第二标识密文以获取对称密钥和初始化向量，并用SM4解密第二明文密文获得第二明文消息；

数据请求者在完成用户解密密钥申请后，从系统返回的信息中获取用户身份id，再从所获取的第二密文中获取第二标识密文，解析后可获取一组对称密钥标识{CS₁,CS₂,...CS_n}并对其进行遍历，确认是否有CS_i＝id存在，其中1≤i≤n，若有则数据请求者可以解密第二密文，否则无法解密；

基于SM9的属性解密算法，在确定数据请求者可以解密第二密文后，获取对称密钥标识CS_i对应的对称密钥密文CT_i，通过调用SM9的属性解密算法，对CT_i进行解密；解密后获得随机密钥key和初始化向量IV，通过调用SM4解密算法解密第二明文密文，获得第二明文。

Images