CN113904818B - 一种支持密文共享和汇聚的轻量级细粒度访问控制方法 - Google Patents

Abstract

本发明公开了一种支持密文共享与汇聚外包的数据细粒度访问控制方法，包括：授权中心初始化后，为设备、控制器生成公钥和私钥，为用户生成属性私钥；数据在设备上产生以后采用哈希函数及异或操作实现轻量级加密，利用属性加密这种广播加密在控制器上对终端密文进行细粒度访问控制，采用云服务和社交网络推送机制实现高效的数据存储及推送；在保证数据机密性、前向安全和后向安全的前提下，对相同的密文执行去重操作，对同一设备产生的不同密文执行拼接操作；本发明提出的密钥推导方法，可从控制器的根密钥推导出不同的密文共享读权限密钥，通过控制密钥推导时间间隔，可以控制方案的安全性和高效性之间的平衡，具有控制灵活化。

Description

一种支持密文共享和汇聚的轻量级细粒度访问控制方法

技术领域

本发明属于信息安全领域，涉及一种支持密文共享和汇聚的轻量级细粒度 访问控制方法。

背景技术

社交物联网中，共享与融合分布式异构数据时的权限控制是最核心的问题， 不仅要在保证敏感数据机密性、前向安全、后向安全、抗共谋攻击的前提下不 被非授权读取或非授权融合，而且要保证已授权的用户或设备仅能读取或融合 所授权的那部分数据，即，细粒度地控制数据的读取权限和融合权限。

考虑这样的场景：监测设备产生数据后，考虑效率和能耗问题，采用轻量 级加密方法，加密成密文，传给控制器，控制器(拥有较强的计算、通信和存 储能力)采用CP-ABE方法将密文与共享策略(即，读操作访问策略)关联后， 上传云端。考虑到监测设备可能存在数据监测误差，因而需要多个设备同时监 测数据，需要授权允许设备之间协同修正监测数据，另一方面，需要授权部分 用户具有手动修正的权限。如若不然，CP-ABE方法只支持数据拥有者进行修 改，即，仅支持在控制器上进行修改，如此一来，就需要控制器从云服务器下载密文数据、更新数据、加密之后再上传云端。这样的数据汇聚过程尽管安全 性得到了保证，但效率过低。为了保证效率，需要在云服务器上直接进行密文 汇聚。

尽管2009年Gentray提出的同态加密可以使得密文状态下的数据进行加减 运算，但同态加密的计算效率一直是个挑战。虽然有学者使同态加密在计算效 率方面达到了工业级的应用，但无法支撑社交物联网大规模全面应用，比如， 无法支撑无人机物联网战场等环境下的数据实时安全通信。另外，同态加密无 法支持一对多的密文共享。

相比于物联网，社交物联网密文共享与汇聚权限控制的困难之处在于：需 要在实体之间保留社交关系并能直接通信，而相比于社交网络，社交物联网又 具有物联网普遍存在的资源受限、适配性低等问题。发明新的集数据机密性保 护、共享权限控制、密文汇聚权限控制为一体的轻量级细粒度访问控制方法， 对解决社交物联网中密文共享与汇聚的权限控制问题、推动社交物联网的广泛 应用具有非常重要意义。

发明内容

针对现有方法的不足，本发明的目的在于提供一种新的集数据机密性保护、 共享权限控制、密文汇聚权限控制为一体的轻量级细粒度访问控制方法，旨在 设备规模剧增、终端移动强、处理数据时计算、存储、能耗等受限的社交物联 网环境中解决只关注密文共享权限控制而未关注密文汇聚权限控制的现有问题， 该问题如果不解决将导致密文存储及检索的效率受到限制。

本发明采用的技术方案为一种支持密文共享和汇聚的轻量级细粒度访问控 制方法，包括以下步骤：

首先，对如下符号进行说明：

符号说明

然后执行以下步骤：

(1)初始化：设定安全参数，生成公共参数，授权中心生成主私钥和主公钥；

(2)授权中心为所有设备及控制器分别生成公钥和私钥；

(3)设备产生数据后立即进行轻量级加密，并将密文发送给控制器，由控制 器检索社交关系数据库，根据社交关系绑定阅读访问策略和汇聚访问策略，然 后上传云端；

(4)云服务器收到关联了阅读访问策略与汇聚访问策略的密文后存储之，并 利用推拉机制，构造时间线、继承关系线、拥有关系线、位置关系线；

(5)用户在授权中心注册，获得用户端的属性集私钥；

(6)阅读者上线，获得并下载所推送的密文，并利用属性集私钥解密，读取 明文；

(7)汇聚者上线，获得并下载密文的汇聚权限控制部分，利用属性集私钥生 成汇聚令牌，上传令牌到云服务器，云服务器验证令牌，验证通过则在云端进 行密文汇聚，得到汇聚后的密文存储之，并通过现有策略动态更新技术对阅读 权限部分和汇聚权限部分进行更新。

进一步的，所述步骤(1)中生成公共参数的具体实现过程包括：选择素数 q和p，满足q|(p-1)；选择椭圆曲线E(F_p)，选择E(F_p)的一个群G，其阶为q， g是G的一个生成元；选择双线性映射e，满足：e(g,g)≠1；选择两个哈希函数： H₁:

H₂:

其中，

是模q余数集合，l是明文 m的长度；选择随机数

是模p余数集合，计算：方案的主私钥 MSK←s、方案的主公钥MPK←g^s；公布公共参数Params＝(g,G,e,H₁,H₂,MPK)。

进一步的，所述步骤(2)中为任一设备生成公钥和私钥的具体实现过程包 括：标识为ID_device的设备选择随机数

计算设备的第一部分公钥：

即，r_d个群生成元g进行标量乘法；设备将注册请求(ID_device, PK_device,1)发送给AA；AA收到注册请求(ID_device,PK_device,1)后，为其选择随机数

计算设备的第二部分公钥：

AA将(ID_device,PK_device,1， PK_device,2)写入公告牌；AA计算设备私钥：SK_device←(SK_device,1,SK_device,2)，其中，z_d←r_e+s·H₁(ID_device,PK_device,1,MPK)modq，SK_device,1←r_d，SK_device,2←z_d，其中mod表示 除以q取余数；AA将SK_device秘密交换给设备；设备验证SK_device：

在此步骤中，控制器可看作是设备的特例，也 能通过该步骤获得公钥和私钥。

进一步的，所述步骤(3)具体包括：选择随机数r₁,r₂,

计算密文 σ：σ←(F₁,F₂,c,l)，其中每一部分的计算过程如下：

h₁←H₁(ID_controller,PK_controller,2,MPK)，

其中ID_device表示设备的 身份标识，ID_controller表示控制器的身份标识，PK_controller,1、PK_controller,2分别表示控制 器第一部分公钥和第二部分公钥。然后采用密文策略属性加密CP-ABE方法加 密阅读访问策略和汇聚访问策略，阅读访问策略密文Cp的生成过程记为

其中，Enc表示加密，CP-ABE表示加密算法采用密文 策略属性加密，policy_read表示拥有者指定的阅读访问策略；汇聚访问策略Ct的 生成过程记为

其中，z_aggregate＝r_aggregate+H₁(ID_device,MPK,g)，

是随机数；另外，再加上验证汇聚权限的参数

最后将 Cm←(σ||Cp||Ct,F₃)上传云端。

本步骤中，生成c时所用的加密密钥SK_controller是这样生成的：域控制器根据 AA给自己分发的SK_device(可看作是域控制器的根密钥)，依照控制器与云服务 器维护的实体社交关系，推导出此密文的密钥对(PK_controller，SK_controller)，推导 过程如下：选择随机数

计算社交属性标签Label←H₂(社交属性||r_c)； SK_controller,1←SK_device,1+Label；PK_controller,1←PK_device,1·g^Label； (PK_controller,2,SK_controller,2)←(PK_device,2,SK_device,2)；将(ID_controller，PK_controller,1，PK_controller,2)写 入公告牌；将SK_controller←(SK_controller,1,SK_controller,2)用作本步骤生成c时的加密密钥 SK_controller。

进一步的，所述步骤(4)具体包括：云服务器收到关联了阅读访问策略与 汇聚访问策略的密文后存储之，并利用推拉机制，构造时间线、继承关系线、 拥有关系线、位置关系线等。值得说明的是，目前微信朋友圈采用的是时间线 Timeline，而本发明可以将这一技术应用到各种关系线中，比如继承关系线、 拥有关系线、位置关系线等，如此设计，可在用户未上线之前就做好关系线， 而用户一旦登录，很快就能通过关系线有序地找到数据。关系线的构造实现和 时间线的构造过程相同。

进一步的，所述步骤(5)具体包括：用户在授权中心注册，获得用户属性 集私钥，过程同CP-ABE方案相同。

进一步的，所述步骤(6)具体包括：采用SK_u解密Cp，若SK_u中用户的属 性集满足Cp中指定的访问策略，则该用户可以获得SK_controller；计算：

如此，符合阅读访 问策略的用户即可读取明文m。

进一步的，所述步骤(7)具体包括：有两个部分：

(7a)汇聚者生成汇聚令牌

汇聚者从云端下载两个密文的Ct部分(汇聚权限控制)，为了区分，分别记 为：Ct和Ct^*；若SK_u中的属性集与Ct中的访问策略匹配，可得z_aggregate，同样， 若SK_u也与Ct^*匹配，可得

即第二个密文的z_aggregate部分；并将

和

发往云端，云端验证该汇聚者是否具有汇聚权限：

若验证通过，则发送(F₁,F₂)、

给汇聚者，其中， 第二个密文的F₁和F₂部分分别记作

和

汇聚者收到(F₁,F₂)、

后，计 算汇聚令牌：

其中，ID_server是云服务 器的身份标识。

计算令牌的第一部分Token_aggregate,1：

计算令牌的第二部分Token_aggregate,2：

汇聚者发送Token_aggregate←(Token_aggregate,1,Token_aggregate,2)到云端；

(7b)验证令牌并进行密文汇聚

验证汇聚者上传的Token_aggregate，若验证失败，则算法终止；

计算：

如果

成立，则执行密文去重：

如果

并且二者的ID_device相同，则执行密文汇聚：

其中left为截取函数。汇聚之后的密文长度 为：l^new←l₁+l₂；汇聚时重新选择随机数

汇聚后的新密文为

密文在云端汇聚之后，利用现有的技术更新阅读权限 控制部分Cp和汇聚权限控制部分Ct。

与现有技术相比，本发明的优点和有益效果如下：在保证前向安全和后向 安全的前提下，提出的方法不仅支持数据机密性保护和轻量级细粒度访问控制， 而且支持密文汇聚的外包，同时，密钥推导间隔时间可控，可用于在安全性与 高效性之间进行折衷，具有控制灵活化。最后，本文方案不仅兼顾了阅读和汇 聚这两种权限的控制，同时也兼顾了一对一和一对多这两种消息共享方式。

附图说明

图1是本发明的模型结构图；

图2是本发明中数据加密流程图；

图3是本发明中数据读取流程图；

图4是本发明中密文汇聚流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实 施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅 仅用以解释本发明，并不用于限定本发明。

在本发明实施例中，将社交物联网的物、人等实体划分成易于管理的域， 每个域中由控制器和人、物等实体组成，域内和域间实体可以直接交换密文数 据，每个实体产生的密文也可以通过控制器进行汇聚，并为之指定访问策略、 上传云服务器，云服务器获得各个域的控制器上传的密文数据后存储，为阅读 者提供下载密文的服务，为汇聚者提供密文在线汇聚服务。实体间的社交关系 采用分布式数据库管理，社交关系最初由拥有者指定，通过控制器上传云端的 关系数据库中保存完整的社交关系图，同时，控制器拥有本地区域的所有实体 相关的社交关系。另外，随着实体间的互动，实体间的社交关系也会动态随着 互动频繁程度加以调整，并通过控制器反映到云端的关系数据库。总之，实体 间依照社交关系的限定直接交换密文数据，控制器依照社交关系的限定进行密 文汇聚，汇聚者依照社交关系的限定对云端数据进行搜索并进一步汇聚。

关于轻量级的设计：社交物联网的实体资源受限、能耗受限，因而其上运 行算法的计算量不宜过大，需要在保证数据机密性和细粒度访问控制的同时， 将计算量过多地移向控制器和云服务器；另外，实体上产生数据时，如果采用 非对称加密算法加密数据，则计算开销过大，但如果采用对称加密，其加密密 钥的管理在设备规模增大时又具有挑战性。鉴于以上分析，方案采用轻量级加 密算法进行加密传输，对于实体间直接通信这种密文共享方式，加密密钥采用 对方公钥；而对于实体数据上传云端并在大范围内共享密文这种共享方式，加 密密钥采用拥有者指定的控制器根密钥推导出来的控制器密钥，以应对控制器根密钥泄露带来的安全问题。

关于细粒度权限控制的设计：方案支持多个远程用户同时读取实体产生的 密文数据，拟采用属性加密对数据的读权限进行加密，由控制器根据社交关系 指定密文数据的读取访问策略和汇聚访问策略，对实体轻量级加密后产生的密 文运行CP-ABE加密，同时，域控制器对已加密密文进行汇聚权限控制：同一时 间、同一地点产生的相同密文，因属性加密选取了不同的策略，但又需要判断 这些密文是否属于重复的冗余数据，若是冗余数据，即可丢弃重复密文，只保 留一份密文，以此达到数据的汇聚。然而，该汇聚工作却不能由任意实体实施， 需要让有汇聚权限的用户实施。汇聚者下载代表汇聚权限控制的密文控制部分， 构造并上传汇聚令牌，云服务器根据令牌汇聚密文数据。方案支持多个授权汇 聚者对云端密文数据的汇聚，尽可能减少重复密文的存储与维护。

关于响应速度的设计：依据社交关系数据库，以目前社交网络流行的时间 线推拉模型为基础，提出多线推拉机制：在时间线的基础上，引入继承关系线、 拥有关系线、同位置关系线等，构造各种社交关系线，借助社交网络数据推送 机制，实现密文数据的高效推送。另外，域内实体生成的密文可在控制器上进 行处理和汇聚，域内交换的密文无需上传云服务器，因而无需采用上述的多线 推拉机制，只需采用一对一的共享机制即可。

关于控制灵活性的设计：为了适应安全性要求不同的各种应用场合，将控 制器的密钥推导间隔时间设置为可变，用于在安全性与高效性之间进行折衷， 具有控制灵活化。

如图1所示，本发明实施例提供一种支持密文共享和汇聚的轻量级细粒度 访问控制方法，包括以下步骤：

首先，对如下符号进行说明：

然后执行以下步骤：

(1)初始化：设定安全参数，生成公共参数，授权中心生成主私钥和主公钥；

(2)授权中心为所有设备及控制器分别生成公钥和私钥；

(3)设备产生数据后立即进行轻量级加密，并将密文发送给控制器，由控制 器检索社交关系数据库，根据社交关系绑定阅读访问策略和汇聚访问策略，然 后上传云端；

(4)云服务器收到关联了阅读访问策略与汇聚访问策略的密文后存储之，并 利用推拉机制，构造时间线、继承关系线、拥有关系线、位置关系线；

(5)用户在授权中心注册，获得用户端的属性集私钥；

(6)阅读者上线，获得并下载所推送的密文，并利用属性集私钥解密，读取 明文；

(7)汇聚者上线，获得并下载密文的汇聚权限控制部分，利用属性集私钥生 成汇聚令牌，上传令牌到云服务器，云服务器验证令牌，验证通过则在云端进 行密文汇聚，得到汇聚后的密文存储之，并通过现有策略动态更新技术对阅读 权限部分和汇聚权限部分进行更新。

本发明实施例具体是这样实现的，包括如下步骤：

(1)系统初始化阶段

包括授权中心初始化(AAInitialization算法)、设备注册(DeviceRegister 算法)、用户注册(UserRegister算法)三个部分。

AAInitialization算法：运行在授权中心AA上，生成公共参数Params和主 密钥MSK。

DeviceRegister算法：运行在AA上，在设备请求注册时，为所有设备(实 体或控制器)生成其私钥的SK_device和公钥PK_device。

UserRegister算法：运行在AA上，为所有用户(包括拥有者、汇聚者和阅 读者)根据其拥有的属性集生成用户私钥SK_u。

(2)数据加密部分

分为两个步骤：设备上产生数据并加密(EntityEncryption算法)、控制器加 密并上传(EncryptiononController算法)。

EntityEncryption算法：运行在社交物联网设备上，加密数据。

EncryptiononController算法：运行于域控制器(控制器是域控制器的简称) 上，根据AA分发的SK_device(可看作是域控制器的根密钥)，依照控制器与云服 务器维护的实体社交关系，推导出此密文的密钥对(PK_controller，SK_controller)，需要 说明的是，推导密钥的作用是使得解密时获得解密密钥时，不会因为解密了一 个密文，而继而读取整个控制器上的其他密文。对SK_controller和拥有者指定的读取 访问策略进行CP-ABE加密，产生Cp，对汇聚秘密z_aggregate和拥有者指定的汇聚 访问策略进行CP-ABE加密，产生Ct，最后，控制器将σ||Cp||Ct上传云端。

(3)密文共享部分

ReadData算法：运行在阅读者上，阅读者上线时，云服务器根据关系线推 送密文，即，云服务器推送σ||Cp给阅读者，阅读者使用SK_u解密Cp，获得 SK_controller，利用SK_controller解密σ，读取数据明文。

值得说明的是，如果是社交关系数据库中的同一逻辑组的两个实体A和B 之间直接通信，则实体A运行EntityEncryption算法加密时，将算法输入参数 (ID_controller,PK_controller,1,PK_controller,2)换成B的(ID_B,PK_B,1,PK_B,2)，并在算法最后一步 将σ←(F₁,F₂,c)发送给实体B；实体B在运行ReadData算法解密时，将算法中 的SK_controller换成SK_B,直接计算第2步，并将最后一步的Hash函数参数(ID_controller, PK_controller,1,PK_controller,2)换成B的(ID_B,PK_B,1,PK_B,2)，即可读取明文。

(4)密文汇聚部分

以两个密文为例，通过计算判断二者是否是同一明文的不同加密结果，发 送汇聚令牌，由云端进行密文刷新。包括两个步骤：令牌生成 (AggregatingTokenGen算法)、汇聚密文(CipherAggregation算法)。

AggregatingTokenGen算法：运行在汇聚者上，下载两个密文的(F₁,F₂,Ct)和

部分，使用属性私钥SK_u产生Token_aggregate，将Token_aggregate上传给云服务器， 请求汇聚。

CipherAggregation算法：运行在云服务器上，验证汇聚者上传的Token_aggregate，若汇聚者有权限，云端即在不破坏数据机密性的前提下进行密文汇聚。

本发明考虑到设备的资源受限、能耗受限问题，EntityEncryption算法不仅 做到了轻量级，同时也做到了灵活性强。若设备在本地保存了

则 EntityEncryption算法的计算量可优化为4Exp；若设备在本地保存了

V₁和V₂，则EntityEncryption算法的计算量可进一步优化为1次哈希计算和1次异 或运算。在安全性要求不高时，可将随机数r₁和r₂保持不变，如此， EntityEncryption算法的计算量可保持非常低；而在安全性要求较高时，可根据 实际情况，周期性地重新选取随机数r₁和r₂，重新选取随机数后的EntityEncryption算法第一次运行需要5Exp，以后每一次运行可优化为1次哈希 计算和1次异或运算。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属 技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采 用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定 义的范围。

Claims (5)

1.一种支持密文共享和汇聚的轻量级细粒度访问控制方法，其特征在于，包括以下步骤：

首先，对如下符号进行说明：

然后执行以下步骤：

(1)初始化：设定安全参数，生成公共参数，授权中心生成主私钥和主公钥；

(2)授权中心AA为所有设备及控制器分别生成公钥和私钥；

(3)设备产生数据后立即进行轻量级加密，并将密文发送给控制器，由控制器检索社交关系数据库，根据社交关系绑定阅读访问策略和汇聚访问策略，然后上传云端；

(4)云服务器收到关联了阅读访问策略与汇聚访问策略的密文后存储之，并利用推拉机制，构造时间线、继承关系线、拥有关系线、位置关系线；

(5)用户在授权中心注册，获得用户端的属性集私钥；

(6)阅读者上线，获得并下载所推送的密文，并利用属性集私钥解密，读取明文；

(7)汇聚者上线，获得并下载密文的汇聚权限控制部分，利用属性集私钥生成汇聚令牌，上传令牌到云服务器，云服务器验证令牌，验证通过则在云端进行密文汇聚，得到汇聚后的密文存储之，并通过现有策略动态更新技术对阅读权限部分和汇聚权限部分进行更新；

步骤(7)的具体实现包括以下两个部分；

(7a)汇聚者生成汇聚令牌

汇聚者从云端下载两个密文的Ct部分，即汇聚权限控制，为了区分，分别记为：Ct和Ct^*；若SK_u中的属性集与Ct中的访问策略匹配，可得z_aggregate，同样，若SK_u也与Ct^*匹配，可得

即第二个密文的z_aggregate部分；并将

和

发往云端，云端验证该汇聚者是否具有汇聚权限：

若验证通过，则发送(F₁,F₂)、

给汇聚者，其中，第二个密文的F₁和F₂部分分别记作F₁ ^*和

汇聚者收到(F₁,F₂)、

后，计算汇聚令牌：

其中，ID_server是云服务器的身份标识；

计算令牌的第一部分Token_aggregate,1：

计算令牌的第二部分Token_aggregate,2：

汇聚者发送Token_aggregate←(Token_aggregate,1,Token_aggregate,2)到云端；

(7b)验证令牌并进行密文汇聚

验证汇聚者上传的Token_aggregate，若验证失败，则算法终止；

计算：F₁ ^new←F₁·F₁ ^*，

如果

成立，则执行密文去重：

如果

并且

则执行密文汇聚：

其中left为截取函数；

汇聚之后的密文长度为：l^new←l₁+l₂；汇聚时重新选择随机数

汇聚后的新密文为

密文在云端汇聚之后，利用现有的技术更新阅读权限控制部分Cp和汇聚权限控制部分Ct。

2.如权利要求1所述一种支持密文共享和汇聚的轻量级细粒度访问控制方法，其特征在于：步骤(1)中生成公共参数的具体实现过程包括；

选择素数q和p，满足q|(p-1)；选择椭圆曲线E(F_p)，选择E(F_p)的一个群G，其阶为q，g是G的一个生成元；选择双线性映射e，满足：e(g,g)≠1；选择两个哈希函数：

其中，

是模q余数集合，l是明文m的长度；选择随机数

是模p余数集合，计算：方案的主私钥MSK←s、方案的主公钥MPK←g^s；公布公共参数Params＝(g,G,e,H₁,H₂,MPK)。

3.如权利要求2所述一种支持密文共享和汇聚的轻量级细粒度访问控制方法，其特征在于：步骤(2)中为任一设备生成公钥和私钥的具体实现过程包括；

标识为ID_device的设备选择随机数

计算设备的第一部分公钥：

即，r_d个群生成元g进行标量乘法；设备将注册请求(ID_device,PK_device,1)发送给AA；AA收到注册请求(ID_device,PK_device,1)后，为其选择随机数

计算设备的第二部分公钥：

AA将(ID_device,PK_device,1，PK_device,2)写入公告牌；AA计算设备私钥：SK_device←(SK_device,1,SK_device,2)，其中，z_d←r_e+s·H₁(ID_device,PK_device,1,MPK)modq，SK_device,1←r_d，SK_device,2←z_d，其中mod表示除以q取余数；AA将SK_device秘密交换给设备；设备验证SK_device：

获取控制器的公钥和私钥的实现过程与上述设备相同。

4.如权利要求3所述一种支持密文共享和汇聚的轻量级细粒度访问控制方法，其特征在于：步骤(3)具体包括；

选择随机数

计算密文σ：σ←(F₁,F₂,c,l)，其中每一部分的计算过程如下：

h₁←H₁(ID_controller,PK_controller,2,MPK)，

其中ID_device表示设备的身份标识，ID_controller表示控制器的身份标识，PK_controller,1、PK_controller,2分别表示控制器第一部分公钥和第二部分公钥；然后采用密文策略属性加密CP-ABE方法加密阅读访问策略和汇聚访问策略，阅读访问策略密文Cp的生成过程记为

其中，Enc表示加密，CP-ABE表示加密算法采用密文策略属性加密，policy_read表示拥有者指定的阅读访问策略；汇聚访问策略Ct的生成过程记为

其中，z_aggregate＝r_aggregate+H₁(ID_device,MPK,g)，

是随机数；另外，再加上验证汇聚权限的参数

最后将Cm←(σ||Cp||Ct,F₃)上传云端；

其中，生成c时所用的加密密钥SK_controller是这样生成的：控制器根据AA给自己分发的SK_device，依照控制器与云服务器维护的实体社交关系，推导出此密文的密钥对(PK_controller，SK_controller)，推导过程如下：选择随机数

计算社交属性标签Label←H₂(社交属性||r_c)；SK_controller,1←SK_device,1+Label；PK_controller,1←PK_device,1·g^Label；(PK_controller,2,SK_controller,2)←(PK_device,2,SK_device,2)；将(ID_controller，PK_controller,1，PK_controller,2)写入公告牌；将SK_controller←(SK_controller,1,SK_controller,2)用作生成c时的加密密钥SK_controller。

5.权利要求4所述一种支持密文共享和汇聚的轻量级细粒度访问控制方法，其特征在于：步骤(6)具体包括：

采用SK_u解密Cp，若SK_u中用户的属性集满足Cp中指定的访问策略，则该用户可以获得SK_controller；计算：

如此，符合阅读访问策略的用户即可读取明文m。

Images