CN113194089B - 一种支持属性撤销的密文策略基于属性加密方法 - Google Patents

Abstract

本发明公开了一种支持属性撤销的密文策略基于属性加密方法，涉及加密技术领域，其技术方案要点是：授权机构对输入的安全参数和属性空间描述处理后，输出公钥和主密钥；对输入的公钥、主密钥、属性标识、用户标识、二叉树、属性集、撤销列表和版本信息处理后，输出用户私钥；对输入的公钥、明文和访问策略进行属性加密、时序加密处理后，输出密文；对输入的公钥、用户私钥、密文和版本信息解密处理后，输出明文；对输入的版本信息、用户标识和属性标识撤销处理后，输出撤销列表。本方案实现了细粒度的访问控制和密文前向、后向保密，即只有正确的时间版本下的正确用户所拥有的正确属性才可完成相应秘密数解密，保证了加密方案的安全性。

Description

一种支持属性撤销的密文策略基于属性加密方法

技术领域

本发明涉及加密技术领域，更具体地说，它涉及一种支持属性撤销的密文策略基于属性加密方法。

背景技术

无限的云存储服务为数据所有者和企业提供了存储大量数据的能力，为了保护数据机密性的同时执行基于属性的访问控制，基于属性的加密(ABE)被提出，该机制允许使用访问策略以及私钥和密文之间的归属属性对加密数据进行访问控制。

目前，针对密文共享和信息发布，已讨论出了ABE的两种变体，密文策略基于属性加密(KP-ABE)，将访问策略与秘密密钥关联，而一组属性与通过密钥加密的数据关联；密文策略基于属性加密(CP-ABE)，每个加密的数据项都分配有特定的访问策略，而用于数据解密的用户秘密密钥则分配有一组属性。CP-ABE提供了一种可扩展的加密数据方式，以便加密器定义解密器解密密文所需的属性集。因此，允许每个用户根据安全策略解密不同的数据，这有效的消除了依赖存储服务器来防止未经授权的数据访问的需求，使数据所有者可以选择属性上的访问结构，并通过使用相应的公共属性进行加密来对要在访问结构下外包的数据进行加密。

然而实际应用中，系统具有变化性，具有撤销机制的CP-ABE被提出用以实现访问策略更新，但现有的此类方案普遍存在撤销粒度粗、安全性不够和密钥更新效率低等问题。因此，亟需一种安全有效的支持属性撤销的密文策略基于属性加密方法解决上述问题。

发明内容

为解决现有技术中的不足，本发明的目的是提供一种支持属性撤销的密文策略基于属性加密方法。

本发明的上述技术目的是通过以下技术方案得以实现的：一种支持属性撤销的密文策略基于属性加密方法，包括以下步骤：

授权机构通过初始化函数对输入的安全参数和属性空间描述处理后，输出公钥和主密钥；以及，通过用户密钥生成函数对输入的公钥、主密钥、属性标识、用户标识、二叉树、属性集、撤销列表和版本信息处理后，输出由属性密钥和时序密钥组成的用户私钥；

数据所有者通过加密函数对输入的公钥、明文和访问策略进行属性加密、时序加密处理后，输出密文；

云服务提供商响应数据所有者的存储请求后对密文进行存储，以及响应数据使用者的下载请求后将密文传输至数据使用者；

数据使用者通过解密函数对输入的公钥、用户私钥、密文和版本信息解密处理后，输出明文；

授权机构通过撤销函数对输入的版本信息、用户标识和属性标识撤销处理后，输出撤销列表。

进一步的，所述公钥和主密钥的生成过程具体为：

将安全参数λ和属性空间描述U输入初始化函数；

选择生成元为g阶、素数为p的双线性群G₀，定义双线性映射：e:G₀×G₀→G_T和哈希函数H:{0,1}^*→G₀，随机选择α,β∈Z_p，输出系统公钥和被授权机构秘密保存的系统主密钥。

进一步的，所述加密函数包括属性加密算法和时序加密算法；

数据所有者通过定义访问树结构并运行属性加密算法完成明文的属性密文加密工作；

根据属性标识和版本信息运行时序加密算法完成时序密文加密工作。

进一步的，所述属性密文生成的具体过程为：

以公钥PK、明文m和访问树结构T作为输入，随机选择s∈Z_p ^*，从访问树结构根节点R开始，自顶向下开始分发s，分发方法为：为访问树结构T中每个节点x定义多项式q_x，其中多项式的阶d_x＝k_x-1，k_x表示门限值；令q_R(0)＝s，随机选择d_R个点完整定义q_R；对于除根节点以外的其余节点x，令q_x(0)＝q_parent(x)(index(x))，并随机选择d_x个点完整定义q_x；

令Y为访问树结构T的叶子节点集合，

计算

得到属性密文；

所述时序密文生成的具体过程为：

以公钥PK、属性标识attrID和版本信息t作为输入，随机选择k_attrID,t∈Z_p ^*，s′∈Z_p ^*区别于属性加密的秘密值s，对秘密数k_attrID,t进行保护，得到时序密文；

利用秘密数k_attrID,t对所述属性密文中C_y子项进行指数运算，生成最终密文CT_m。

进一步的，所述用户密钥生成函数包括属性密钥生成算法和时序密钥生成算法，时序密钥生成算法包括属性路径密钥生成算法和属性覆盖密钥生成算法；

属性密钥生成算法：以公钥PK、主密钥MSK和用户属性集合S作为属性密钥生成算法的输入，随机选择r∈Z_p，计算

为用户属性集合S中的每个属性x随机选择r_x∈Z_p，计算属性子项

得到用户的属性密钥SK_userID,S；

属性路径密钥生成算法：根据MT二叉树定义，PATH(u_i)表示用户u_i对应的叶子节点到根节点的节点集合，对于任何的x∈PATH(u_i)，若未定义a_x1和a_x2,则随机选择

并存储于节点x中作为密钥子项的多项式指数的系数，利用属性标识attrID和用户标识userID生成多项式指数，再随机选择

计算：

和

得到用户路径覆盖集密钥APK_{userID,attrID}；

属性覆盖密钥生成算法：根据MT二叉树定义，KUNodes(G_i)表示属性组G_i对应的最小覆盖集，根据撤销列表RL的变化实时更新，查询撤销列表RL中和属性标识为attrID相关的用户撤销信息，重新生成属性组G_i的最小覆盖集；定义CS_attrID,t表示KUNodes(G_i)的节点集合，针对每个节点x，若未定义a_x1和a_x2,则随机选择

并存储于节点x中作为密钥子项的多项式指数的系数，利用版本信息t生成多项式指数，再随机选择

计算:

和

得到最小覆盖集密钥ACK_attrID,t；

根据用户路径覆盖集密钥APK_{userID,attrID}和最小覆盖集密钥ACK_attrID,t计算用户路径节点集和最小覆盖节点集的交点，得到时序密钥SK_userID,t，并结合属性密钥SK_userID,S得到最终的用户密钥SK_userID。

进一步的，所述解密函数包括属性解密算法和时序解密算法；

通过时序解密算法调用时序密钥对时序密文解密计算密文的秘密数，通过指数计算还原属性密文子项内容；

通过属性解密算法调取属性密钥对属性密文解密计算，得到解密后的明文。

进一步的，所述时序密文的解密过程具体为：

验证时序密钥和时序密文的版本信息t的一致性，若不一致，则向授权机构申请与时序密文版本匹配的用户时序密钥，否则将解密失败；

根据属性标识attrID在时序密文中查询相应的密文CT_attrID,t，并利用时序密钥进行解密。

进一步的，所述属性密文的解密过程具体为：

对于任意y∈Y_T,，运行时序解密算法求解得到秘密数k_attr(y),t，通过指数计算还原属性密文子项内容；

以属性密文CT_m,T以及与用户属性集合S相关联的密钥SK_userID,S和节点y作为递归函数的输入，输出G_T上的一个群元素或⊥；

将节点y与用户属性集合S对比分析后，依据对比分析结果进行属性密文解密。

进一步的，所述撤销函数包括密钥更新函数和密文更新函数，撤销过程具体为：

当在时间t^*撤销用户标识userID^*的属性标识attrID^*时，撤销列表RL添加三元组(userID^*,attrID^*,t^*)；

当t^*时刻撤销列表更新时，授权机构运行用户密钥生成函数中的时序密钥生成函数更新此时撤销的所有属性对应的用户时序密钥；同时撤销与三元组(userID^*,attrID^*,t^*)中属性标识attrID^*相关的密文，授权机构选择新的秘密数s^*∈Z_p ^*、s′^*∈Z_p ^*和

对

根据getID(x)≠attrID^*的匹配情况，分别更新所对应的属性密文和时序密文。

进一步的，所述授权机构对所有生成的用户时序密钥按照时间顺序进行保存：

当离线用户转为在线时，则对用户分发最新的时序密钥；

当用户解密时序密文时，若时序密钥与时序密文版本信息不匹配，则对用户分发所申请的版本信息对应的时序密钥。

与现有技术相比，本发明具有以下有益效果：

1、本发明采用双重加密机制实现细粒度的访问控制和密文前向、后向保密。将用户密钥生成阶段划分为属性密钥和时序密钥两部分，分别对应解密属性密文和时序密文，其中时序密文解密是属性密文解密的前提，即时序密文的作用在于维护属性密文子项的秘密性。此外，时序部分利用多项式插值定理实现属性标识、用户标识与版本信息的结合。

2、本发明将密钥生成算法与二叉树数据结构相结合，提出一种高效灵活的密钥构造方法。撤销过程中，密钥更新阶段只需计算时序密钥部分，且由于二叉树结构的密钥分发机制，可缓解可伸缩性问题。

3、本发明在撤销阶段，可实现属性级别的用户访问控制；在密钥更新阶段，只需要完成时序密钥部分的计算；用户在线时可获取最新版本的密钥，且多版本密钥由授权中心保存避免用户大量的存储开销；在解密阶段，用户可申请与时序密文版本匹配的时序密钥，同时利用双重加密机制实现安全性；另外，用户只需保存属性密钥及相关标识，变化较大的时序密钥由授权机构实时生成并保存，在解密阶段推送给用户，避免了用户端过载。

附图说明

此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，并不构成对本发明实施例的限定。在附图中：

图1是本发明实施例中的流程图；

图2是本发明实施例中加密与解密过程的运算流程示意图；

图3是本发明实施例中MT二叉树的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

实施例：一种支持属性撤销的密文策略基于属性加密方法，如图1与图2所示，包括以下步骤：

S1：授权机构通过初始化函数对输入的安全参数和属性空间描述处理后，输出公钥和主密钥；以及，通过用户密钥生成函数对输入的公钥、主密钥、属性标识、用户标识、二叉树、属性集、撤销列表和版本信息处理后，输出由属性密钥和时序密钥组成的用户私钥；

S2：数据所有者通过加密函数对输入的公钥、明文和访问策略进行属性加密、时序加密处理后，输出密文；

S3：云服务提供商响应数据所有者的存储请求后对密文进行存储，以及响应数据使用者的下载请求后将密文传输至数据使用者；

S4：数据使用者通过解密函数对输入的公钥、用户私钥、密文和版本信息解密处理后，输出明文；

S5：授权机构通过撤销函数对输入的版本信息、用户标识和属性标识撤销处理后，输出撤销列表。

在步骤S1中，公钥和主密钥的生成过程具体为：将安全参数λ和属性空间描述U输入初始化函数；选择生成元为g阶、素数为p的双线性群G₀，定义双线性映射：e:G₀×G₀→G_T和哈希函数H:{0,1}^*→G₀，随机选择α,β∈Z_p，输出系统公钥和被授权机构秘密保存的系统主密钥。其中，系统公钥为：PK＝{G₀,e,g,H,h＝g^β,f＝g^1/β,e(g,g)^α}；系统主密钥为：MSK＝{g^α,β}。

双线性映射为：e:G₀×G₀→G_T，其中G₀为生成元为g的素数阶p的双线性群。对于任何i∈Z_p，Z_p为有限域，区间从0到p-1，集合S＝{S₁,S₂,...,S_m∈Z_p}，拉格朗日系数定义为：

哈希函数H:{0,1}^*→G₀。

上述双线性映射e:G₀×G₁＝G_T称为非对称双线性映射，若G₀＝G₁，即映射为e:G₀×G₀＝G_T，称为对称双线性映射。

在步骤S2中，加密函数包括属性加密算法和时序加密算法；数据所有者通过定义访问树结构并运行属性加密算法完成明文的属性密文加密工作；根据属性标识和版本信息运行时序加密算法完成时序密文加密工作。在线用户可获取最新版本信息，而离线用户则获取本地保存版本信息。

S201，属性密文生成的具体过程为：

数据所有者完成属性密文生成过程，属性加密算法以公钥PK、明文m和访问树结构T作为输入，随机选择s∈Z_p ^*，从访问树结构根节点R开始，自顶向下开始分发s，分发方法为：为访问树结构T中每个节点x定义多项式q_x，其中多项式的阶d_x＝k_x-1，k_x表示门限值；令q_R(0)＝s，随机选择d_R个点完整定义q_R；对于除根节点以外的其余节点x，令q_x(0)＝q_parent(x)(index(x))，并随机选择d_x个点完整定义q_x；

令Y为访问树结构T的叶子节点集合，

计算

得到属性密文，属性密文为：

S202，时序密文生成的具体过程为：

数据所有者完成时序密文生成过程，时序加密算法以公钥PK、属性标识attrID和版本信息t作为输入，随机选择k_attrID,t∈Z_p ^*，s′∈Z_p ^*区别于属性加密的秘密值s，对秘密数k_attrID,t进行保护，得到时序密文；时序密文如下：

利用秘密数k_attrID,t对所述属性密文中C_y子项进行指数运算，生成最终密文CT_m，最终密文CT_m如下：

在步骤S1中，所述用户密钥生成函数包括属性密钥生成算法和时序密钥生成算法，时序密钥生成算法包括属性路径密钥生成算法和属性覆盖密钥生成算法。

属性密钥生成算法：以公钥PK、主密钥MSK和用户属性集合S作为属性密钥生成算法的输入，随机选择r∈Z_p，计算

为用户属性集合S中的每个属性x随机选择r_x∈Z_p，计算属性子项

得到用户的属性密钥SK_userID,S；用户属性密钥为：

属性路径密钥生成算法：根据MT二叉树定义，PATH(u_i)表示用户u_i对应的叶子节点到根节点的节点集合，对于任何的x∈PATH(u_i)，若未定义a_x1和a_x2,则随机选择

并存储于节点x中作为密钥子项的多项式指数的系数，利用属性标识attrID和用户标识userID生成多项式指数，再随机选择

计算:

和

得到用户路径覆盖集密钥APK_{userID,attrID}；用户路径覆盖集密钥为：

属性覆盖密钥生成算法：根据MT二叉树定义，KUNodes(G_i)表示属性组G_i对应的最小覆盖集，根据撤销列表RL的变化实时更新，查询撤销列表RL中和属性标识为attrID相关的用户撤销信息，重新生成属性组G_i的最小覆盖集。

如图2所示，例如，设属性组G₁表示具有属性Attr₁的用户集合为{u₁,u₂,u₃,u₄,u₇,u₈}，此时KUNodes(G₁)表示属性Attr₁的最小覆盖集为{v₂,v₇}，即图中红色节点。用户u₃对应MT二叉树的叶子节点v₁₀，PATH(u₃)表示用户u₃的路径集为{v₁,v₂,v₅,v₁₀}，即图中蓝色节点。注意节点v₂为公共节点，用紫色表示。如MT二叉树示意图所示。当发生属性撤销时，例如用户u₁已撤销Attr₁属性时，此时属性组G₁更新为{u₂,u₃,u₄,u₇,u₈}，KUNodes(G₁)则更新为{v₉,v₅,v₇}，注意PATH(u₃)仍保持不变，可得到公共节点v₅。用户撤销等价于撤销该用户的所有属性，即重复属性撤销操作。此时所有包含被撤销用户的属性组的最小覆盖集都会更新。

定义CS_attrID,t表示KUNodes(G_i)的节点集合，针对每个节点x，若未定义a_x1和a_x2,则随机选择

并存储于节点x中作为密钥子项的多项式指数的系数，利用版本信息t生成多项式指数，再随机选择

计算:

和

得到最小覆盖集密钥ACK_attrID,t。最小覆盖集密钥如下：

CS_attrID,t＝KUNodes(G_i)；

根据用户路径覆盖集密钥APK_{userID,attrID}和最小覆盖集密钥ACK_attrID,t计算用户路径节点集和最小覆盖节点集的交点，即设PATH_{userID,attrID}∩CS_attrID,t＝{x}。针对交点定义AGK_{userID,attrID,t}如下：

AGK_userID,attrID_,t＝(D_x,attrID,D_x,userID,D_x,t,d_x1,attrID,d_x2,attrID,d_x,t)；

得到时序密钥SK_userID,t后结合属性密钥SK_userID,S得到最终的用户密钥SK_userID。最终用户密钥SK_userID为：

在步骤S4中，解密函数包括属性解密算法和时序解密算法；通过时序解密算法调用时序密钥对时序密文解密计算密文的秘密数，通过指数计算还原属性密文子项内容；通过属性解密算法调取属性密钥对属性密文解密计算，得到解密后的明文。

S401，时序密文的解密过程具体为：验证时序密钥和时序密文的版本信息t的一致性，若不一致，则向授权机构申请与时序密文版本相匹配的用户时序密钥，否则将解密失败；根据属性标识attrID在时序密文中查询相应的密文CT_attrID,t，并利用时序密钥进行解密,解密过程如下：

S402，属性密文的解密过程具体为：

对于任意y∈Y_T,，运行时序解密算法求解得到秘密数k_attr(y),t，通过指数计算还原属性密文子项内容；对属性子项进行指数计算如下：

定义递归函数DecryptNode(CT_m,T,SK_userID,S,y)，函数以属性密文CT_m,T以及与用户属性集合S相关联的密钥SK_userID,S和节点y作为递归函数的输入，输出G_T上的一个群元素或⊥。

具体解密过程如下。

(1)如果y是叶子节点，当x∈S时：

当

则定义DecryptNode(CT_m,T,SK_userID,S,y)＝⊥。

(2)如果y是非叶子节点：对于y的所有孩子节点z,都调用函数DecryptNode(CT_m,T,SK_userID,S,z)，并将其输出记为F_z。令S_y为任意k_y大小的孩子节点z的集合，且F_z≠⊥。如果当节点不满足访问结构导致这种集合不存在，则函数返回⊥。

否则，计算(其中S_y′＝{index(z):z∈S_y},i＝index(z))

在利用上述算法进行递归拉格朗日插值的同时，保存所有中间节点的F_y值。满足访问策略时：

最终解密过程为：

在步骤S5中，撤销函数包括密钥更新函数和密文更新函数，撤销过程具体过程如下。

S501，当在时间t^*撤销用户标识userID^*的属性标识attrID^*时，撤销列表RL添加三元组(userID^*,attrID^*,t^*)；当t^*时刻撤销列表更新时，授权机构运行用户密钥生成函数中的时序密钥生成函数更新此时撤销的所有属性对应的用户时序密钥，由于时序密钥采用二叉树数据结构生成，其具有灵活性和高效性，本发明在密钥更新阶段具有一定优势。

S502，同时撤销与三元组(userID^*,attrID^*,t^*)中属性标识attrID^*相关的密文，授权机构选择新的秘密数s^*∈Z_p ^*、s′^*∈Z_p ^*和

对

当getID(x)≠attrID^*时，更新所对应的属性密文和时序密文，更新结果为：

当getID(x)＝attrID^*时，属性密文更新如上，时序密文更新为：

此时时序密文中所包含的版本信息都应更新为t^*。对属性密文中C_y子项进行指数运算，生成最终密文CT_m ^*。

授权机构对所有生成的用户时序密钥按照时间顺序进行保存：当离线用户转为在线时，则对用户分发最新的时序密钥；当用户解密时序密文时，若时序密钥与时序密文版本信息不匹配，则对用户分发所申请的版本信息对应的时序密钥。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种支持属性撤销的密文策略基于属性加密方法，其特征是，包括以下步骤：

授权机构通过初始化函数对输入的安全参数和属性空间描述处理后，输出公钥和主密钥；以及，通过用户密钥生成函数对输入的公钥、主密钥、属性标识、用户标识、二叉树、属性集、撤销列表和版本信息处理后，输出由属性密钥和时序密钥组成的用户私钥；

数据所有者通过加密函数对输入的公钥、明文和访问策略进行属性加密、时序加密处理后，输出密文；

云服务提供商响应数据所有者的存储请求后对密文进行存储，以及响应数据使用者的下载请求后将密文传输至数据使用者；

数据使用者通过解密函数对输入的公钥、用户私钥、密文和版本信息解密处理后，输出明文；

授权机构通过撤销函数对输入的版本信息、用户标识和属性标识撤销处理后，输出撤销列表；

所述用户密钥生成函数包括属性密钥生成算法和时序密钥生成算法，时序密钥生成算法包括属性路径密钥生成算法和属性覆盖密钥生成算法；

属性密钥生成算法：以公钥PK、主密钥MSK和用户属性集合S作为属性密钥生成算法的输入，随机选择r∈Z_p，计算

为用户属性集合S中的每个属性x随机选择r_x∈Z_p，计算属性子项

得到用户的属性密钥SK_userID,S；

属性路径密钥生成算法：根据MT二叉树定义，PATH(u_i)表示用户u_i对应的叶子节点到根节点的节点集合，对于任何的x∈PATH(u_i)，若未定义a_x1和a_x2,则随机选择

并存储于节点x中作为密钥子项的多项式指数的系数，利用属性标识attrID和用户标识userID生成多项式指数，再随机选择

计算：

和

得到用户路径覆盖集密钥APK_{userID,attrID}；

属性覆盖密钥生成算法：根据MT二叉树定义，KUNodes(G_i)表示属性组G_i对应的最小覆盖集，根据撤销列表RL的变化实时更新，查询撤销列表RL中和属性标识为attrID相关的用户撤销信息，重新生成属性组G_i的最小覆盖集；定义CS_attrID,t表示KUNodes(G_i)的节点集合，针对每个节点x，若未定义a_x1和a_x2,则随机选择

并存储于节点x中作为密钥子项的多项式指数的系数，利用版本信息t生成多项式指数，再随机选择

计算：

和

得到最小覆盖集密钥ACK_attrID,t；

根据用户路径覆盖集密钥APK_{userID,attrID}和最小覆盖集密钥ACK_attrID,t计算用户路径节点集和最小覆盖节点集的交点，得到时序密钥SK_userID,t，并结合属性密钥SK_userID,S得到最终的用户密钥SK_userID。

2.根据权利要求1所述的一种支持属性撤销的密文策略基于属性加密方法，其特征是，所述公钥和主密钥的生成过程具体为：

将安全参数λ和属性空间描述U输入初始化函数；

选择生成元为g阶、素数为p的双线性群G₀，定义双线性映射：e:G₀×G₀→G_T和哈希函数H:{0,1}^*→G₀，随机选择α,β∈Z_p，输出系统公钥和被授权机构秘密保存的系统主密钥。

3.根据权利要求1所述的一种支持属性撤销的密文策略基于属性加密方法，其特征是，所述加密函数包括属性加密算法和时序加密算法；

数据所有者通过定义访问树结构并运行属性加密算法完成明文的属性密文加密工作；

根据属性标识和版本信息运行时序加密算法完成时序密文加密工作。

4.根据权利要求3所述的一种支持属性撤销的密文策略基于属性加密方法，其特征是，所述属性密文生成的具体过程为：

以公钥PK、明文m和访问树结构T作为输入，随机选择s∈Z_p ^*，从访问树结构根节点R开始，自顶向下开始分发s，分发方法为：为访问树结构T中每个节点x定义多项式q_x，其中多项式的阶d_x＝k_x-1，k_x表示门限值；令q_R(0)＝s，随机选择d_R个点完整定义q_R；对于除根节点以外的其余节点x，令q_x(0)＝q_parent(x)(index(x))，并随机选择d_x个点完整定义q_x；

令Y为访问树结构T的叶子节点集合，

计算

得到属性密文；

所述时序密文生成的具体过程为：

以公钥PK、属性标识attrID和版本信息t作为输入，随机选择k_attrID,t∈Z_p ^*，s′∈Z_p ^*区别于属性加密的秘密值s，对秘密数k_attrID,t进行保护，得到时序密文；

利用秘密数k_attrID,t对所述属性密文中C_y子项进行指数运算，生成最终密文CT_m。

5.根据权利要求1-4任意一项所述的一种支持属性撤销的密文策略基于属性加密方法，其特征是，所述解密函数包括属性解密算法和时序解密算法；

通过时序解密算法调用时序密钥对时序密文解密计算密文的秘密数，通过指数计算还原属性密文子项内容；

通过属性解密算法调取属性密钥对属性密文解密计算，得到解密后的明文。

6.根据权利要求5所述的一种支持属性撤销的密文策略基于属性加密方法，其特征是，所述时序密文的解密过程具体为：

验证时序密钥和时序密文的版本信息t的一致性，若不一致，则向授权机构申请与时序密文版本匹配的用户时序密钥，否则将解密失败；

根据属性标识attrID在时序密文中查询相应的密文CT_attrID,t，并利用时序密钥进行解密。

7.根据权利要求5所述的一种支持属性撤销的密文策略基于属性加密方法，其特征是，所述属性密文的解密过程具体为：

对于任意y∈Y_T,，运行时序解密算法求解得到秘密数k_attr(y),t，通过指数计算还原属性密文子项内容；

以属性密文CT_m,T以及与用户属性集合S相关联的密钥SK_userID,S和节点y作为递归函数的输入，输出G_T上的一个群元素或⊥；

将节点y与用户属性集合S对比分析后，依据对比分析结果进行属性密文解密。

8.根据权利要求1-4任意一项所述的一种支持属性撤销的密文策略基于属性加密方法，其特征是，所述撤销函数包括密钥更新函数和密文更新函数，撤销过程具体为：

当在时间t^*撤销用户标识userID^*的属性标识attrID^*时，撤销列表RL添加三元组(userID^*,attrID^*,t^*)；

当t^*时刻撤销列表更新时，授权机构运行用户密钥生成函数中的时序密钥生成函数更新此时撤销的所有属性对应的用户时序密钥；同时撤销与三元组(userID^*,attrID^*,t^*)中属性标识attrID^*相关的密文，授权机构选择新的秘密数s^*∈Z_p ^*、s′^*∈Z_p ^*和

对

根据getID(x)≠attrID^*的匹配情况，分别更新所对应的属性密文和时序密文。

9.根据权利要求8所述的一种支持属性撤销的密文策略基于属性加密方法，其特征是，所述授权机构对所有生成的用户时序密钥按照时间顺序进行保存：

当离线用户转为在线时，则对用户分发最新的时序密钥；

当用户解密时序密文时，若时序密钥与时序密文版本信息不匹配，则对用户分发所申请的版本信息对应的时序密钥。

Images