WO2018026323A1

WO2018026323A1 - 一种数据处理的方法和装置

Info

Publication number: WO2018026323A1
Application number: PCT/SG2017/050328
Authority: WO
Inventors: 崔辉; 邓慧杰; 李迎九; 王贵林; 阮子瀚
Original assignee: 华为国际有限公司; 新加坡管理大学
Priority date: 2016-08-05
Filing date: 2017-06-30
Publication date: 2018-02-08
Also published as: WO2018026322A1; US10868670B2; JP2019531673A; KR20190035835A; EP3487118A1; CN107689947B; CN107689947A; US20190173668A1; EP3487118A4

Abstract

本发明实施例公开了一种数据处理的方法和装置，该方法包括：终端设备生成第一公钥和第一私钥；向密钥生成中心 KGC 发送所述第一公钥，所述第一公钥用于所述 KGC或服务器生成转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据；接收所述服务器发送的第二数据，所述第二数据是所述服务器根据所述转换密钥对第一数据处理后生成的数据；根据所述第一私钥解密所述第二数据。根据本发明实施例提出的数据处理的方法和装置，无需安全信道传输密钥，主要的工作都由服务器完成，对服务器的可信任性也没有要求，从而降低了基于属性加密 ABE系统对终端设备性能的要求。

Description

一种数据处理的方法和装置技术领域

本发明涉及通信领域尤其涉及一种.数据处理的方法和装置。背景技术

ABE ( Attribute-Based Encryption, 属性加密）是一种基于属性进行加密的数据处理方案：， ABE系统能拥有大量数据用卢（为了简洁, 以下，简称为 "用卢" ) , 由于私钥泄露或者風户离职等原因需要对 -一些用户进衧吊.销。间接吊翁是一种常用的 ABE吊销: 方法，通¾ KGC ( Key Generation Center, 密钥生成申 ) 周期性地执：行密钥更新任务，使得被吊销的用户无法:获得下一个周期内:的私钥，从使被吊销的用户无法解密数据。

当前, 用户需要周期性地联.系 KGC ^获取更新后的密钥，因此，密钥更新信息给用户带来的开销较大。同时， KGC 要随时在线以 ^通过一个安全信道将密钥信息发送给 _:用户， Li 密钥大小和系统内的用户数量相关。这对 ABE系统的性能以及用:户的处理能力都提出了较高的要求。发明容

有鉴于此_:5 本象明实施例提供了一种數据处理的方法和装置 _:，通过在常规的 ABE系统中引入一个不需可信的服务器，使得由于_:用户吊销而产生的密销更新等务都可以代理给谅服务器，从而:減少了用户处理器的逸算量，使得处理能:力有限的用户也可以快速访问存储于云或者其它平台中的属性加密数据。同时无使用安全信道.传输密钥, 降了对 ABE系 ¾的性能要求。

一方面，本发明实施例提供了一种数据处理的方法，该方法包括: 终端设备生成第公钥和第一私钥，所迷第一公钥用于加密数据，所迷第一私钥 J于解密所迷第一公 4月加密的数据; 所迷终端设备向密钥生成中 'ii KGC发送所述第一公钥: 所迷第一公钥用于所域 KGC或服务 S生成转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性結构加密的数据转换成基于所迷第一公钥加密的数据，其中,：所迷属性:结构用予指示访问数据需要满足的条件；所迷终端设备接收所迷服务器复送:的第二數椐，所迷第二数据是所述服务暴根椐所 ¾转换密餌对第一数据处理后生成的数椐:，其中，所迷第一数据是所迷服务器获取的基于所述终端设备的属性结构加密的数据; 所迷终端设备根据所述第一私钥解密所第二数据。

根据本发明实施例提供的数据处理的方法，终端设备生成第一公钥和第一私钥，第一公钥用于加密数据，第一私钥可以用 f解密第一公钥加密的数据。终端设备将第一公钥发送给 KGC, 以便于 KGC或着服务器根据该第一公钥 i成转換密钥, 第一公钥嵌套在该转换密钥内，因此，当服务器使用该转换密钥处理基于终端设备的属性结构加密的密文后，生成的結果是第一公钥所加密的密文, 终端设备持有与运第公钥配对的第一私钥，当终端设备接收到服务器发送的部分解密的密文后，可以根椐该第一私朝以及解密算法进行解密生威明文.。由于第一私钥一直被终端设备所持有，不需要向其它设备发送第一私钥,. 因此，本发明实施例的数据处理.的方法无需使用安全信逸；：此外，由于 K务器对第一数据进行处理后得到的结果仍是密文, 即使服务器与其¾设备进行合谋，其它设备也无法获取最终的明文。因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

可选地，所述终端设备向 KGC发送第一公钥，包括：所述终端设备向所述 KGC发送所述第一公钥和证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥。

终端设备在向 KGC发送第一公钥时还可以向 KGC发送证明信息，谅证明信息用于指示谅终端设备持有与第一公钥配对的第一私钥，这样， KGC就可以根据谅证明信息确定生成转换密钥，如果 KGC没有接收到读证明信息，则 KGC可以认定第一公钥为非法公钥，并终止对第一公钥的后续处理，从而可以提高 ABE系统的安全性能。

可选地，所述终端设备生成第一公钥和第一私钥，包括：所述终端设备根据系统参数和身份参数生成所述第一公钥和所述第一私钥，其中，所述系统参数为所述 KGC生成的公开信息，所述身份参数为所述终端设备的标识信息。

可选地，所述终端设备根据所述第一私钥解密所述第二数据，包括：所述终端设备根据所述系统参数、所述身份参数和所述第一私钥解密所述第二数据。

另一方面，本发明实施例提供了一种数据处理的方法，谅方法包括：密钥生成中心 KGC从终端设备接收第一公钥，所述第一公钥用于加密数据；所述 KGC根据所述第一公钥和所述终端设备的属性信息生成第二公钥，所述第二公钥用于服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；所述 KGC向所述服务器发送所述第二公钥。

KGC接收到终端设备发送的第一公钥后，可以基于读第一公钥以及谅终端设备的属性生成第二公钥，谅第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据进行处理后生成的数据为基于第一公钥加密的密文，终端设备可以利用终端设备所持有的第一私钥对谅基于第一公钥加密的密文进行解密，其中，第一私钥是与谅第一公钥配对的密钥，可以用于解密基于第一公钥加密的数据。本发明实施例中，终端设备的属性信息可以是终端设备的具体身份信息， KGC还可以根据第一公钥和终端设备的属性集生成第二公钥。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

可选地，所述 KGC生成所述第二公钥后，所述方法还包括：所述 KGC根据所述第二公钥和密钥更新信息生成转换密钥或者错误提示，所述密钥更新信息用于指示所述终端设备的吊销状态，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述 KGC根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述 KGC根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述转换密钥转换的结果；所述 KGC向所述服务器发送所述第二公钥，包括：所述 KGC向所述服务器发送所述转换密钥；或者

所述 KGC向所述服务器发送所述第二公钥和所述密钥更新信息，以便于所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥或者所述错误提示。

本发明实施例的数据处理的方法，通过 KGC生成用于指示终端设备是否被吊销的密钥更新信息，并根据谅密钥更新信息和第二公钥生成转换密钥或者错误结果，从而可以确保未被吊销的终端设备可以获取加密数据，被吊销的终端设备不能获取加密数据，进而提高了系统的安全性能。

可选地，所述 KGC生成所述第二公钥前，所述方法还包括：所述 KGC从所述终端设备接收证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥；所述 KGC 根据所述证明信息确定生成所述第二公钥。

终端设备在向 KGC发送第一公钥时还可以向 KGC发送证明信息，该证明信息用于指示谅终端设备持有与第一公钥配对的第一私钥，这样， KGC就可以根据谅证明信息确定生成第二公钥，如果 KGC没有接收到该证明信息，则 KGC可以认定第一公钥为非法公钥，并终止对第一公钥的后续处理，从而可以提高 ABE系统的安全性能。

可选地，所述 KGC根据所述第一公钥和所述终端设备的属性信息生成第二公钥，包括：所述 KGC根据所述第一公钥、所述终端设备的属性信息、系统参数、主密钥和所述 KGC的内部状态信息生成所述第二公钥和更新后的所述内部状态信息，其中，所述系统参数是所述 KGC生成的公开信息，所述主密钥是所述 KGC生成的私钥。

可选地，所述 KGC根据所述第二公钥和所述密钥更新信息生成所述转换密钥，包括：所述 KGC根据所述第二公钥、所述密钥更新信息、所述系统参数和所述身份参数生成所述转换密钥，其中，所述密钥更新信息指示所述终端设备未被吊销。

再一方面，本发明实施例提供了一种数据处理的方法，谅方法包括：服务器从密钥生成中心 KGC接收第二公钥，所述第二公钥用于将基于终端设备的属性结构加密的数据转换成基于所述终端设备生成的第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；所述服务器获取第一数据，所述第一数据是基于所述终端设备的属性结构加密的数据；所述服务器根据所述第二公钥将所述第一数据转换成第二数据，所述第二数据为基于所述第一公钥加密的数据；所述服务器向所述终端设备发送所述第二数据，以便于所述终端设备根据所述第一私钥解密所述第二数据。

本发明实施例提供的数据处理的方法中，第二公钥为 KGC基于第一公钥和终端设备的属性信息生成的公钥，第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据进行处理后生成的数据为基于第一公钥加密的密文，终端设备可以利用终端设备所持有的第一私钥对第二数据进行解密，其中，第一私钥是与终端设备生成的密钥，可以用于解密基于第一公钥加密的数据。

可选地，所述服务器接收所述第二公钥后，所述方法还包括：所述服务器从所述 KGC 接收密钥更新信息，其中，所述密钥更新信息用于指示所述终端设备的吊销状态；所述服务器根据所述第二公钥和所述密钥更新信息生成转换密钥或者错误提示，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据；所述服务器根据所述第二公钥将所述第一数据转换成第二数据，包括：所述服务器根据所述转换密钥将所述第一数据转换成所述第二数据。

本发明实施例的数据处理的方法，通过接收 KGC生成的用于指示终端设备是否被吊销的密钥更新信息，并根据读密钥更新信息和第二公钥生成转换密钥或者错误结果，从而可以确保未被吊销的终端设备可以获取加密数据，被吊销的终端设备不能获取加密数据，进而提高了系统的安全性能。

可选地，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，包括：所述服务器根据所述第二公钥、所述密钥更新信息、系统参数和身份参数生成所述转换密钥，其中，所述系统参数是所述 KGC生成的公开信息，所述身份参数是所述终端设备的标识信息。

可选地，所述服务器根据所述转换密钥将所述第一数据转换成第二数据，包括：所述服务器根据所述转换密钥、系统参数、所述终端设备的属性信息、身份参数和时间参数将所述第一数据转换成所述第二数据，其中，所述系统参数是所述 KGC生成的公开信息，所述身份参数是所述终端设备的标识信息，所述时间参数用于指示所述服务器可以使用所述转换密钥的时间。

再一方面，本发明实施例提供了一种数据处理的装置，该装置可以实现上述方面所涉及方法中终端设备所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的单元或模块。

在一种可能的设计中，该装置的结构中包括处理器和通信接口，该处理器被配置为支持该装置执行上述方法中终端设备相应的功能。谅通信接口用于支持谅装置与其他装置之间的通信。谅装置还可以包括存储器，谅存储器用于与处理器耦合，其保存谅装置必要的程序指令和数据。再一方面，本发明实施例提供了一种数据处理的装置，该装置可以实现上述方面所涉及方法中 KGC所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的单元或模块。

在一种可能的设计中，读装置的结构中包括处理器和通信接口，读处理器被配置为支持谅装置执行上述方法中 KGC相应的功能。读通信接口用于支持谅装置与其他装置之间的通信。谅装置还可以包括存储器，读存储器用于与处理器耦合，其保存该装置必要的程序指令和数据。

再一方面，本发明实施例提供了一种数据处理的装置，读装置可以实现上述方面所涉及方法中服务器所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的单元或模块。

在一种可能的设计中，读装置的结构中包括处理器和通信接口，读处理器被配置为支持读装置执行上述方法中服务器相应的功能。谅通信接口用于支持谅装置与其他装置之间的通信。该装置还可以包括存储器，该存储器用于与处理器耦合，其保存谅装置必要的程序指令和数据。

再一方面，本发明实施例提供了一种数据处理的装置，该装置包括上述方面所述的

KGC和服务器。

再一方面，本发明实施例提供了一种通信系统，该通信系统包括上述方面所述的终端设备、 KGC和服务器。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述终端设备所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述 KGC所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述服务器所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

相比于现有技术，根据本发明实施例提供的数据处理的方法，终端设备不需要向其它设备发送完全解密密文所需要的密钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1是适用本发明实施例的一种可能的系统架构的示意图；

图 2是适用本发明实施例的 KUNodes算法的示意性图；图 3是本发明实施例提供的一种数据处理的方法的示意图；

图 4是本发明实施例提供的另一种数据处理的方法的示意图；

图 5是本发明实施例提供的再一种数据处理的方法的示意图；

图 6是适用本发明实施例的一种二叉树的示意图；

图 7是适用本发明实施例的另一种二叉树的示意图；

图 8A是本发明实施例提供的一种可能的终端设备的示意图；

图 8B是本发明实施例提供的另一种可能的终端设备的示意图；

图 9A是本发明实施例提供的一种可能的 KGC的示意图；

图 9B是本发明实施例提供的另一种可能的 KGC的示意图；

图 10A是本发明实施例提供的一种可能的服务器的示意图；

图 10B是本发明实施例提供的另一种可能的服务器的示意图。具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

本发明实施例描述的系统架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着系统架构的演变和新业务场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

图 1 为本发明实施例提供的一种 SR-ABE ( Server-Aided Revocable Attribute-Based

Encryption, 服务器帮助下的可吊销属性加密）的系统架构的示意图。如图 1所示，该系统架构包括：终端设备（即，数据用户） 110、 KGC120、服务器 130、云 140和数据提供端 150, 谅系统架构的一种可能工作流程如下所述。

步骤 1， KGC120在系统初始化时运行 Setup (初始化）算法，生成系统公开参数；步骤 2，终端设备 110运行 UserKG (用户密钥生成）算法生成一对用户公私钥对，其中，谅用户私钥可以解密读用户公钥加密的数据，所述终端设备 110保存用户私钥，将用户公钥发送给 KGC120;

步骤 3， KGC120根据所述用户公钥、系统公开参数、终端设备 110的属性信息以及 PubKG (公钥生成）算法生成一个基于属性的公钥，并将读基于属性的公钥发送给服务器 130;

步骤 4， KGC120周期性地执行 TKeyUp (密钥更新）算法为终端设备 110生成密钥更新信息，并将谅密钥更新信息发送给服务器 130;

步骤 5，数据提供端 150运行 Encrypt (加密）算法对其提供的数据按照某个设定的存取结构和时间段值进行加密，并将加密生成的密文上传到云 140，其中，谅存取结构是基于属性的存取结构；

步骤 6，终端设备 110从云 140获取密文，并将谅密文转发给服务器 130;

步骤 7，如果密钥更新信息指示终端设备 110未被吊销，则服务器 130可以根据所述基于属性的公钥和所述密钥更新信息通过 TranKG (转换密钥生成）算法生成转换密钥，谅转换密钥用于处理所述密文；

步骤 8，服务器 130根据谅转换密钥运行 Transform (转换）算法，将从终端设备 110 获取的密文进行部分解密，并将部分解密的结果发送给终端设备 110，其中，终端设备 110的属性满足所述密文的存取结构的要求；

步骤 9，终端设备 110根据所保存的用户私钥运行 Decrypt (解密）算法，将部分解密的结果进行完全解密生成明文；

步骤 10, 如果终端设备 110需要被吊销，则 KGC120可以运行 Revoke (吊销）算法生成更新后的密钥更新信息，谅更新后的密钥更新信息指示终端设备 110 已被吊销，使得服务器无法根据基于终端设备 110 的属性的公钥生成转换密钥，从而使终端设备 110 无法继续获取数据。

在图 1所示的系统架构中，由于转换密钥是基于终端设备 110的用户公钥生成的密钥，因此，服务器 130利用转换密钥对基于属性加密的密文进行转换处理后，生成的部分解密的密文是基于所述用户公钥加密的密文，只能通过终端 110持有的用户私钥来解密所述部分解密的密文，这样，即使部分解密的密文被其它设备获取，其它设备也无法解密，从而保证了数据的安全。

上述适用本发明实施例的系统架构仅是举例说明，本发明实施例还可应用于其它系统架构，例如，图 1中所示的 KGC120和服务器 130在某些场景中可以作为一台硬件设备的不同功能模块存在，再例如，终端设备 110可以向服务器 130发送指示信息，谅指示信息用于指示终端设备 110所需的密文，服务器 130可以根据谅指示信息从云 140中获取相应的密文。

还应理解，图 1示出的各个设备或模块的数量和名称仅是示意性举例，不代表本发明实施例的应用场景局限于图 1所示的场景。

为了方便理解本发明实施例，下面，首先对与本发明相关的要素进行简要介绍。双线性配对（ Bilinear Pairing )： G和 G_; 是两个阶为素数的乘法群， g是 G的生成元。一个可以进行有效计算的映射 ^GxG 如果满足以下条件，就称其为一个双线性配对映射：

双线性性：对任何 a eZ:, g^a,g^ft) = g,g)^a6。

非退化性： g, g)≠ 1,这 1指的单位元。

判断性（ 1 )假设：对于任何概率多项式时间算法，给定 =

g, g g^l' {g ^,b' \ ^ie[2q]je[q],i≠q + l},

{g^a'^,b' \ ^ie[2qlje[qli≠q + \},

{g^a'^bj/b" I e [2q],j e [q fe [q],j≠ f} '

_{ v¾', _v I _Vi- _{e [q] e [qlfe [q]} ≠ _/} ,

谅算法难以区分（ , ^( ⁺' )和（，2)。这里 g是一个给定的整数， g是群 G的生成元，而 Z EG₁ a, 〃， b eZ^是独立、均匀选取的随机数， e:GxG→G₁ 是一个可计算的双线性配对映射。

存取结构：记 P={ , }为一主体集合。一个族 A 2^W' 'W 称为是单调的是指它满足以下条件：对于 i⁵的任意两个子集和 C，只要 £Α且 C，就有 CeA。一个单调的存取结构就是一个单调的、 P的某非空子集构成的族 A，即 A 2^w' '^ \{0}。族 A中的元素称为授权集， P的子集但不是 A的元素则称为非授权集。

LSSS ( Linear Secret Sharing Scheme , 线性秘密共享）：记 ^{Pj,…， Ρ„}为一主体集合， Μ为一个 /行《列的矩阵， { 1, ..., /}→Ρ 是一个把矩阵 Μ的每一行映射到 Ρ中某一主体的标记函数。主体集 i⁵上的一个秘密共享方案 Π就是满足以下条件的、 Z_p 上的一个线性 ¾^密共享：

P中每个主体的秘密份额是 Z_p上的一个向量；

存在一个 /行 w列的矩阵 M (称为秘密共享 Π的份额生成矩阵)，使得对于 x = 1, ..., I, 矩阵 M的第 X行通过标记函数 p对应于主体 ρ(0。对于需要共享的秘密 i e 2^和随机选取的数 r₂, ，记列向量 =(〃，r₂, r„), 则就是秘密共享方案 Π下分享秘密〃所得到的/个秘密共享份额。而（Μϊ? 就是主体 (0得到的共享份额。

每个 LSSS都具有线性恢复的性质。假设 Π是对应于某存取结构 A的线性秘密共享。对于一个授权集 A 定义指标集/ ={ | p(0 e ^ }£ { l, /}。那么向量 (1, 0, 0)属于矩阵

M按指标 /索引的所有行所扩充形成的空间内，且存在常数集 {_Wi £ Z_p}ieii :对于根据 Π生成的某个秘密 μ的任何有效秘密共享份额 } , 秘密 μ都可以按 ^^ν, = 恢复出来。而且，这些常数 { wj可以在以份额生成矩阵 M大小的多项式时间内计算出来。

另一方面，对一个非授权集 '，就不存在这样的常数集 { ^ }。进一步，如果令 Γ ={ζ·| ρ (0 £ A 那么存在一个向量 >H吏得其首个分量 _Wl可以是 ^中的任何非零元素但对任何 € Γ, <M_U w > = 0 , 这里 Mi是矩阵 M的第 /行。

访问控制策略也可以用单调的布尔公式来描述。线性秘密共享 (LSSS)存取结构更一般化，而且可从布尔公式表示导出。也就是说，有标准的方法将任何单调的布尔公式转化为对应的线性秘密共享份额生成矩阵 M。同时，布尔公式可以表示为访问控制树，其中内部节点对应于 AND门和 OR门，而叶节点则对应于属性。对应 LSSS秘、密共享份额生成矩阵 M的行数就是访问控制树叶节点数，也即属性总数。

二叉树和 KUNodes算法

如图 2所示，记 BT为有 W个叶节点的二叉初对应于 W个用户。令 root为二叉树 BT的根节点。对叶节点 Θ, 用 Path ( 表示从 Θ到 root路径上所有节点的集合（包含 Θ和 root本身）。若不是叶节点，则用和分别表示的左、右子节点。假设树中的节点都唯一编码为字符串，而树由其节点的表述来定义。算法 KUNodes用来计算需要进行密钥更新的最小节点集以使得只有时间段 t 未被吊销的用户才能解密该时间段内生成的密文。该算法以二叉树 BT、吊销列表 r/及时间段值 t为输入，输出 BT中的一个最小节点集使得吊销列表 r/ 中的任何节点没有任何祖先 (包含节点自己)在该集合内，而其他节点 (即所有未吊销节点)有且仅有一个祖先 (包含节点自己)在该集合内。注意时间段 t时的吊销列表 rl包含所有该时间段及之前被吊销的所有用户。图 2中给出了 KUNodes算法的工作示意。谅算法首先将所有被吊销节点的所有祖先节点标记为被吊销节点，然后输出这些被吊销节点的未被吊销子节点。 KUNodes严格描述如下：

KUNodes(BT, rl, t)

V (0 ) G rl, if t_i < t , then add Path(^) to X. V χ€. Χ, ϊΐχ_ί g X , then add x_t to 7; if χ_ί , then add x_r to Y.

If 7 = 0, then add root to Y.

Return Y.

下面，将结合图 3至图 5，详细描述本发明实施例提供的数据处理的方法。

图 3示出了根据本发明一实施例的数据处理的方法的示意性流程图，如图 3所示，谅方法 300包括：

S310 , 终端设备生成第一公钥和第一私钥，所述第一公钥用于加密数据，所述第一私钥用于解密所述第一公钥加密的数据；

5320 , 所述终端设备向密钥生成中心 KGC发送所述第一公钥，所述第一公钥用于所述 KGC或服务器生成转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；

S330 , 所述终端设备接收所述服务器发送的第二数据，所述第二数据是所述服务器根据所述转换密钥对第一数据处理后生成的数据，其中，所述第一数据是所述服务器获取的基于所述终端设备的属性结构进行加密生成的数据；

S340 , 所述终端设备根据所述第一私钥解密所述第二数据。

本发明实施例中，终端设备可以是物联网（Internet of Things , IoT ) 中的终端设备，也可以机器与机器（Machine to Machine , M2M )通信系统中的终端设备或无线传感器 ( Wireless Sensor Network, WSN ) 网络中的终端设备，还可以是其它类型的终端设备。

终端设备生成的第一公钥和第一私钥成对出现，第一公钥可以用于加密数据，第一私钥可以用于解密读第一公钥加密的数据。终端设备将第一公钥发送给 KGC , 以便于 KGC或者服务器根据该第一公钥生成转换密钥，谅转换密钥是基于终端设备的属性（终端设备的属性基于终端设备的用户的属性，例如，用户被吊销时，终端设备的属性也随之改变）的密钥，并且第一公钥嵌套在该转换密钥内，因此，当服务器使用该转换密钥处理基于终端设备的属性结构加密的密文（即，第一数据）后，生成的结果是与第一公钥绑定的部分解密的密文（即，第二数据），实际上谅部分解密的密文是被第一公钥所加密的密文，终端设备持有与该第一公钥配对的第一私钥，当终端设备接收到服务器发送的部分解密的密文后，可以根据该第一私钥以及解密算法进行解密，生成明文。

可选地，所述终端设备向 KGC发送第一公钥，包括：

5321 , 所述终端设备向所述 KGC发送所述第一公钥和证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥。

终端设备在向 KGC发送第一公钥时还可以向 KGC发送证明信息，该证明信息用于指示谅终端设备持有与第一公钥配对的第一私钥，这样， KGC就可以根据谅证明信息确定生成转换密钥，如果 KGC没有接收到该证明信息，则 KGC可以认定第一公钥为非法公钥，并终止对第一公钥的后续处理，从而可以提高 ABE系统的安全性能。

可选地，所述终端设备生成第一公钥和第一私钥，包括-,

S31 1 , 所述终端设备根据系统参数和身份参数生成所述第一公钥和所述第一私钥，其中，所述系统参数为所述 KGC生成的公开信息，所述身份参数为所述终端设备的标识信息。

系统参数是 KGC生成的公开信息，系统中任意一个设备都可以获取到，例如，谅系统参数可以是 KGC输入安全参数 A并执行 ABE的系统设定算法生成的， (par, msk) ABE.Setup( l^A) , 其中， par是系统参数， m 是主密钥， ABE. Setup为基于属性加密的系统设定算法。

终端设备可以根据系统公开参数 par、用户身份（即，身份参数）以及 ElGamal 密钥生成算法生产终端设备密钥对（即，第一公钥和第一私钥）： skd, pk_id) ElGamal.KeyGen(l^A)，其中， s ₍ /为第一私钥， pk_id为第一公钥， ElGamal.KeyGen为 ElGamal 密钥生成算法。

可选地，所述终端设备根据所述第一私钥解密所述第二数据，包括：

S341 , 所述终端设备根据系统参数、身份参数和所述第一私钥解密所述第二数据，其中，所述系统参数为所述 KGC生成的公开信息，所述身份参数为所述终端设备的标识信息。

终端设备可以根据系统参数 par, 用户身份 id, 第一私钥 sk_id、转换密文（即，第二数据）CT，以及 ElGamal解密算法输出明文（即，目标数据 ): m' <- ElGamal. Dec( ¾_A CT，），其中， ElGamal.Dec为 ElGamal解密算法， m'为明文。

上述实施例仅是举例说明，本发明实施例不限于此，任何可以生成第一公钥、第一私钥的算法以及解密第二数据的算法都落入本发明的保护范围。

本发明实施例的数据处理的方法，终端设备生成公私钥对，将公钥发送给 KGC , 以便于生成转换密钥，转换密钥用于所述服务器将基于所述终端设备的属性加密的数据转换成基于所述公钥加密的数据，只有谅终端设备可以利用自己持有的私钥解密所述基于所述公钥加密的数据，从而，无需使用安全信道传输私钥，对服务器的安全性能也无要求，此外，由于终端设备所持有的私钥可以为一常数，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

上面结合图 3从终端设备的角度详细描述了根据本发明实施例的数据处理的方法，下面，将结合图 4，从 KGC的角度详细描述根据本发明实施例的数据处理的方法。

图 4示出了根据本发明另一实施例的数据处理的方法的示意性流程图，如图 4所示，谅方法 400包括：

S410 , 密钥生成中心 KGC从终端设备接收第一公钥，所述第一公钥用于加密数据；

S420 , 所述 KGC根据所述第一公钥和所述终端设备的属性信息生成第二公钥，所述第二公钥用于服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的的第一私钥解密所述基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件； S430 , 所述 KGC向所述服务器发送所述第二公钥。 KGC接收到终端设备发送的第一公钥后，可以基于该第一公钥以及谅终端设备的属性生成第二公钥，谅第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据进行处理后生成的数据为基于第一公钥加密的密文，终端设备可以利用终端设备所持有的第一私钥对谅基于第一公钥加密的密文进行解密，其中，第一私钥是与谅第一公钥配对的密钥，可以用于解密基于第一公钥加密的数据。本发明实施例中，终端设备的属性信息可以是终端设备的具体身份（id )信息， KGC还可以根据第一公钥和终端设备的属性集（即，多个属性的集合）生成第二公钥。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送读第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

可选地，所述 KGC生成所述第二公钥后，所述方法还包括：

S421 , 所述 KGC根据所述第二公钥和密钥更新信息生成转换密钥或者错误提示，所述密钥更新信息用于指示所述终端设备的吊销状态，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述 KGC根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述 KGC根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述转换密钥转换的结果；所述 KGC向所述服务器发送所述第二公钥，包括： S422, 所述 KGC向所述服务器发送所述转换密钥；或者

S423 , 所述 KGC向所述服务器发送所述第二公钥和所述密钥更新信息，以便于所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥或者所述错误提示。

如果终端设备当前为未被吊销状态，则 KGC可以根据指示终端设备未被吊销的吊销列表生成密钥更新信息，谅密钥更新信息用于指示终端未被吊销，并根据第二公钥和谅密钥更新信息生成转换密钥，读转换密钥仍是基于终端设备的属性的密钥，并且嵌套有第一公钥， KGC将转换密钥发送给服务器，服务器可以利用该转换密钥将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的的第一私钥解密所述转换密钥转换的结果。

或者， KGC也可以将第二公钥和指示终端设备未被吊销的密钥更新信息发送给服务器，以便于服务器根据第二公钥和该密钥更新信息生成所述转换密钥。

如果终端设备当前为被吊销状态，则 KGC可以根据指示终端设备被吊销的吊销列表生成密钥更新信息，所述密钥更新信息用于指示终端设备已被吊销，则 KGC根据谅密钥更新信息和第二公钥生成错误提示。

或者， KGC 也可以将第二公钥和指示终端设备被吊销的密钥更新信息发送给服务器，以便于服务器根据第二公钥和读密钥更新信息生成所述错误提示。本发明实施例的数据处理的方法，通过 KGC生成用于指示终端设备是否未被吊销的密钥更新信息，并根据谅密钥更新信息和第二公钥生成转换密钥，从而可以确保未被吊销的终端设备可以获取加密数据，被吊销的终端设备不能获取加密数据，进而提高了系统的安全性能。

可选地，所述 KGC生成所述第二公钥前，所述方法 400还包括：

541 1 , 所述 KGC从所述终端设备接收证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥；

5412 , 所述 KGC根据所述证明信息确定生成所述第二公钥。

终端设备在向 KGC发送第一公钥时还可以向 KGC发送证明信息，读证明信息用于指示谅终端设备持有与第一公钥配对的第一私钥，这样， KGC就可以根据谅证明信息确定生成第二公钥，如果 KGC没有接收到读证明信息，则 KGC可以认定第一公钥为非法公钥，并终止对第一公钥的后续处理，从而可以提高 ABE系统的安全性能。

可选地，所述 KGC根据所述第一公钥和所述终端设备的属性信息生成第二公钥，包括：

S426 , 所述 KGC根据所述第一公钥、所述终端设备的属性信息、系统参数、主密钥和所述 KGC的内部状态信息生成所述第二公钥和更新后的所述内部状态信息，其中，所述系统参数是所述 KGC生成的公开信息，所述主密钥是所述 KGC生成的私钥。

KGC可以在初始化时生成系统参数 par和主密钥 msk, 例如，终端设备输入安全参数义，并执行 ABE的系统设定算法： (par, msk) <r ABE. Setup(l ) , 其中， ABE. Setup为基于属性加密的系统设定算法。另外，谅算法准备一个初始为空吊销列表 r/和状态信息 rf。最后输出 (p r, msk, rl, sf)。

如果 KGC确定生成第二公钥，则可以按照如下方法生成第二公钥：输入系统参数 par, 主密钥 msk, 第一公钥≠_id，一个属性集合 (即，包括终端设备的多个属性信息的集合）和 KGC的内部状态 st, 首先运行 ABE的密钥生成算法来获得中间密钥 sk_AJd ABE.KeyGen(m^ ^ , id, st) ,其中， ABE.KeyGen为基于属性加密的密钥生成算法，然后，用 ElGamal加密算法来加密中间密钥，然后输出终端设备的属性密钥（即，第二公钥）： pk_id ^A ElGamal.Enc( ¾_A sk_{A d}) , 其中， ElGamal.Enc 为 ElGamal加密算法， ElGamal加密算法可以加密中间密钥的全部内容，提高安全性能，也可以只加密中间密钥 sk_A 的其中一部分，减轻 KGC的运算负担。

可选地，所述 KGC根据所述第二公钥和所述第一密钥更新信息生成所述转换密钥，包括：

S427, 所述 KGC根据所述第二公钥、所述第一密钥更新信息、所述系统参数和所述身份参数生成所述转换密钥，其中，所述密钥更新信息指示所述终端设备未被吊销。

KGC可以通过如下方法生成第一密钥更新信息：输入系统参数 /rar，主密钥 msk, 时间段值 t, 吊销列表 rZ和内部状态 st, 谅算法运行 ABE的密钥更新算法，输出第一密钥更新信息 tku_t <r ABE.KeyUpdate(m , rl, t, st) , 其中， ABE.KeyUpdate为基于属性加密的密钥更新算法，所述吊销列表 rZ包括所述终端设备，内部状态 st会被密钥更新算法所更改。

进而 KGC可以通过如下方法生成转换密钥：输入系统参数 par, 用户身份 (即，身份参数），第二密钥；和第一密钥更新信息 ί½,，输出转换密钥 ί _4ί = φ /， i½_f)。上述实施例仅是举例说明，本发明实施例不限于此，任何可以生成第二公钥、第一密钥更新信息以及转换密钥的算法都落入本发明的保护范围。

本发明实施例的数据处理的方法， KGC接收终端设备发送的第一公钥，并根据第一公钥生成基于终端设备的属性的第二公钥，从而可以将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，只有谅终端设备可以利用自己持有的第一私钥解密所述基于所述第一公钥加密的数据，从而，无需使用安全信道传输私钥，对服务器的安全性能也无要求，此外，由于终端设备所持有的私钥可以为一常数，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

上面结合图 4从 KGC的角度详细描述了根据本发明实施例的数据处理的方法，下面，将结合图 4，从服务器的角度详细描述根据本发明实施例的数据处理的方法。

图 5示出了根据本发明再一实施例的数据处理的方法的示意性流程图，如图 5所示，谅方法 500包括：

S510, 服务器从密钥生成中心 KGC接收第二公钥，所述第二公钥用于将基于终端设备的属性结构加密的数据转换成基于所述终端设备生成的第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；

S520, 所述服务器获取第一数据，所述第一数据是基于所述终端设备的属性结构加密的数据；

S530, 所述服务器根据所述第二公钥将所述第一数据转换成第二数据，所述第二数据为基于所述第一公钥加密的数据；

S540, 所述服务器向所述终端设备发送所述第二数据，以便于所述终端设备根据所述第一私钥解密所述第二数据。

本发明实施例中，第二公钥为 KGC基于第一公钥和终端设备的属性信息生成的公钥，第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据（即，第一数据）进行处理后生成的数据为基于第一公钥加密的密文（即，第二数据），终端设备可以利用终端设备所持有的第一私钥对第二数据进行解密，其中，第一私钥是终端设备生成的与谅第一公钥配对的密钥，可以用于解密基于第一公钥加密的数据。

在本发明实施例中，第二公钥可以是 KGC基于第一公钥和终端设备的属性信息生成的公钥，也可以是 KGC基于第一公钥、终端设备的属性信息和密钥更新信息生成的公钥 (也可称为 "转换密钥" ），其中该密钥更新信息用于指示终端设备未被吊销。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。可选地，所述服务器接收所述第二公钥后，所述方法 500还包括：

5511 , 所述服务器从所述 KGC接收密钥更新信息，其中，所述密钥更新信息用于指示所述终端设备的吊销状态；

5512 , 所述服务器根据所述第二公钥和所述密钥更新信息生成转换密钥或者错误提示，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据；

所述服务器根据所述第二公钥将所述第一数据转换成第二数据，包括：

S531 , 所述服务器根据所述转换密钥将所述第一数据转换成所述第二数据。

如果终端设备当前为未被吊销状态，则 KGC可以根据指示终端设备未被吊销的吊销列表生成密钥更新信息，谅密钥更新信息用于指示终端未被吊销，服务器可以根据第二公钥和谅密钥更新信息生成转换密钥，该转换密钥仍是基于终端设备的属性的密钥，并且嵌套有第一公钥，服务器可以利用该转换密钥将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的的第一私钥解密所述转换密钥转换的结果。

如果终端设备当前为被吊销状态，则 KGC可以根据指示终端设备被吊销的吊销列表生成密钥更新信息，所述密钥更新信息用于指示终端设备已被吊销，服务器可以根据谅密钥更新信息和第二公钥生成错误提示。

本发明实施例的数据处理的方法，通过接收 KGC生成的用于指示终端设备未被吊销的密钥更新信息，并根据谅密钥更新信息和第二公钥生成转换密钥，从而可以确保未被吊销的终端设备可以获取加密数据，被吊销的终端设备不能获取加密数据，进而提高了系统的安全性能。

可选地，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，包括：

S515 , 所述服务器根据所述第二公钥、所述密钥更新信息、系统参数和身份参数生成所述转换密钥，其中，所述系统参数是所述 KGC生成的公开信息，所述身份参数是所述终端设备的标识信息。

系统参数是 KGC生成的公开信息，系统中任意一个设备都可以获取到，例如，谅系统参数可以是 KGC输入安全参数 A并执行 ABE的系统设定算法生成的， {par, msk) ABE.Setup( l^A) , 其中， par是系统参数， ms/t是主密钥， ABE. Setup为基于属性加密的系统设定算法。

服务器可以通过如下方法生成转换密钥：输入系统参数 /¾r，用户身份 W (即，身份参数），第二密钥/^ / 和第一密钥更新信息 *¾，输出转换密钥 ί = ( /, ί½ 。

可选地，所述服务器根据所述转换密钥将所述第一数据转换成第二数据，包括： S532 , 所述服务器根据所述转换密钥、系统参数、所述终端设备的属性信息、身份参数和时间参数将所述第一数据转换成所述第二数据，其中，所述系统参数是所述 KGC 生成的公开信息，所述身份参数是所述终端设备的标识信息，所述时间参数用于指示所述终端设备在当前时刻所述转换密钥可以使用。

服务器可以通过以下方法将第一数据转换成第二数据：输入系统参数 par, 用户身份 W (即，身份参数），属性集合转换密钥和密文 CT (即，第一数据），谅算法运行 ABE的解密算法，输出转换密文 CT ABE.Dec( , ί½_ί; CT)，其中， ABE.Dec 为基于属性加密的解密算法，为转换密钥。

上述实施例仅是举例说明，本发明实施例不限于此，任何可以生成转换密钥以及根据转换密钥将第一数据转换为第二数据的算法都落入本发明的保护范围。

本发明实施例的数据处理的方法，服务器从 KGC接收第二公钥，读第二公钥可以是 KGC基于第一密钥更新信息生成的公钥（即，转换密钥），谅第一密钥更新信息用于指示终端设备未被吊销，读第二公钥也可以是 KGC没有基于所述第一密钥更新信息生成的公钥，服务器可以根据谅第二公钥将基于所述终端设备的属性加密的数据转换成基于第一公钥加密的数据，只有谅终端设备可以利用自己持有的第一私钥解密所述基于所述第一公钥加密的数据，从而，无需使用安全信道传输私钥，对服务器的安全性能也无要求，此外，由于终端设备所持有的私钥可以为一常数，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

下面，再举出两个根据本发明实施例的数据处理的方法的具体实施方式。

实施例一

令 G是一个具有素数阶 p的群。为保证离散对数问题足够困难， p建议不短于 512 比特。 ^GxG C^表示双线性对，而 g是 G的生成元。本发明所提出的服务器帮助下的可吊销 ABE包含如下算法：

Setup. 以安全参数 1^λ为输入，该算法随机选取阶为素数的群 G及其生成元 g e G。另夕卜，读算法随机选取"， h, u₀, h₀, w, VGG, ae Z_p. 令 r/ 是初始为空的表以存储被吊销的用户，而 BT是有至少 N个叶结点的二叉树。定义将任意数值 ye Z_p映射到 G中元素的两个函数^ 和^ 如下： F y = u^yh , F₂(y) = u h₀, 最后，系统主私钥 m = , 系统公开参数为/ ¾r = (/?,g, M, A, Μ₀, ν₀ , w, ν, e(g,g)^a) 以及表 r/ 和状态信息 ·ϊί= Γ。

UserKG. 以系统参数 par和某身份 id为输入，谅算法随机选取 β≡Ζ_ρ, 并为用户输出用户私钥、公 ^^«_d,pk_id)= i,_g ^p)。

PubKG. 该算法以系统公开参数/ ¾r、主私钥 ms 身份/ c 及其用户公钥、谅用户的属性集和状态信息为输入。记 ^， ^为属性集的各个属性。谅算法首先从二叉树 Γ中选取一个未定义的节点^ 并把身份信息 W存储于该节点。随后，对于每个节点 ePath( )执行以下步骤：

从节点 X获取。若对于 X 尚未定义谅数值，则随机选取 eG，并将存储于节点 x。之后，计算 '=；^ / 。

随机选取 r_x,r_{x l},..., r_x,_k e Z_p，并计算

最后' 谅算法输出用户属性公钥 pk = {x,P_x, , P_x,₂ , {Ρ^ , }_{i6[ ] ePatm}和更新后的 st。

TKeyUp. 读算法以系统公开参数 par、主私钥 msk、一个时间段值 t，吊销列表和状态信息 W为输入。对于每个节点 eKUNodes gr, rl, t), 获取其对应的。然后随机

其中，

TranKG. 谅算法以系统公开参数/ ¾r、某身份 /c 及其用户属性公钥 p 、转换密钥更新信息 tku_t为输入。记 Path(6»)为 /及 KUNodes( 7 ή, ί)为 J。读算法先将 pk^解析为 {x,

P_x„ P^ ,^,将解析为 {x, a," 2d 。若 nJ = (D，即/和 J的交集为空，读算法返回丄（表示谅用户已被吊销，转换密钥生成出错，即 "错误提示" ）。否则，对每个节点 e/nJ, 读算法随机选取 r_x» Z_p, 并为用户输出转换密钥 = tk₂, )}看 tk₅). 其中，

tk =P_xl-Q_xl-w^r -F₂(tY'' = pk_ld ^a -w^r'^+r'' -F₂(tY'^+s'',

tk₂ = P_{x 2}. g^r = f , tk₃ ^(l = « · g^r"' = g^r--^,+r-^y ,

tkl^{ ) = - (4 )^r"' · v~^r'' = (4 ' - v- ( ，

Encrypt. 读算法以系统公开参数 ^、某线性秘密共享访问控制结构 (M, p、、某时间段值 ί及消息 m为输入，随机选取一向量！ = 、μ, y₂, ）¹ e 2：。其中， ί是用于加密消息的秘密指数。对每个 = 1到 I,计算 v^Mr^,其中 M 是 M的第行。另夕卜，再随机选取〃 ₁ …， ^ 62^后，输出密文 CT = ((M, p),t, C₀, C₁₅ {C^ , C , C')}_ie[u], C₅)。其中

C₀ = e{g, gf -m, = g C = w^v> ν^μ<，

C₃ ⁽ = ^(4 γ^μ'， C = g ^l， C₅ = F₂(t) .

Transform. 该算法以系统公开参数/ ¾r、身份 W及对应用户转换密钥、用户属性集、时间段值 ί及带有访问控制结构 (Μ,ρ)的密文 CT为输入。假设满足访问存取结构 (Μ, ρ), 记/为 / = {/: p(i)≡A}, 而 {v^ e Z_p}_ieI 为一系列常数值使得只要 { }是某秘密按照 (Μ, /7)所得到的有效秘密共享分额，则有 = μ。该算法将密文 CT解析 iel

为（(M, p),t, C₀, C {C , C₃ ⁽ⁱ⁾ , C₄ ^(,)}_ie[li], Q)₀ 如果属性集和转换密钥不满足 CT中所给出的存取结构（Μ,ρ), 就输出特别符号丄表明转换失败。否则，就按下式输出转换后密文 (即部分解密密文） CT' = (Co', Co):

l

)) ^w' e(C_; ,tk₅) ₁ C_x,tk_x) e(g,pk_id ^a) μ

Decrypt. 谅算法以系统公开参数/ rar、身份及对应用户私钥 sk_id、转换后的密文 CT， =(C。'，C。)为输入。若 C。，或 C。不属于群 G;，则输出操作失败。否则，按下式计算并输入明文消息：

m = (C。 ' f^p ' C₀ = ¹ . e(g, g - m■

e(.g,g )

Revoke. 读算法以身份值时间段值 ί, 吊销名单 r/及状态信息为输入。对所有与身份 id相关联的节点 X, 将 (X, ί)添加到 ή, 然后输出更新后的吊销名单 ή。

通过定义选择明文攻击不可区分性 (IND-CP Α)安全模型，可以定义 SR-ABE 的安全性。其中通过给出攻击算法和挑战算法，形式化地考虑现实中可能的安全威胁和攻击者在标准 ABE安全中的能力。而攻击者可以获取其所选取的数据用户的私钥和公开的用户属性密钥。这时，对于被挑战的访问控制结构，攻击者不应谅得到有关加密信息的任何部分信息。另外，安全模型中允许攻击者可访问周期性密钥更新信息、不同时间段的转换密钥信息已经可按攻击者自己的需要吊销用户的能力。这时，对于属性满足被挑战的访问控制结构而已被吊销的任何用户，若加密时谅用户已被吊销，则攻击者不应读得到有关加密信息的任何部分信息。

在判断性 (g- 1)假设下，本发明实施例所提出的服务器帮助下的可吊销 ABE方案是上述选择性 IND-CPA安全定义下标准模型中可证明安全的。

实施例二

首先对本实施例所使用的符号进行说明。

T_t: 我们将使用二叉树进行时间段管理。假设 Q是在叶节点存储所有时间戳（上界为的二叉树。例如，对于 g=8的情况下，树 β如图 6所示。根节点被命名为 r-"*"，其中 r = log₂g = 3。左侧的每一个子节点，第一个 *由 0代替；右侧的每一个子节点，第一个 *被 1替换。整个树的节点可以这样命名。

对于每一个密文， 7仅包括时间 ί与所有时间大于 ί的节点的组合。例如，如果当前时间是 3 (二进制表示为 011 ) ，那么 7 = {011, 1**}包括叶节点 3-7。如果当前时间是 5 (二进制表示为 101 ) ，那么 T_t = {101, 11*}包括叶节点 5 - 7。很容易可以看到， 7的最大尺寸等于树的高度（等于 log₂g) 。因此，一个用户在时间 4 (二进制是 100) 的密钥可以解密上述的第一个密文（时间戳 3- 7) ，但不可以解密上述的第二个密文（时间戳 5 _7) 。

Path(ID): 我们将使用一棵树（7进行撤销管理，并使用身份/ Z)标记叶节点。关于一组叶结点函数返回一个（确定性选定的） [/的节点的集合，使得叶节点 V的一些祖先是包含在； 7( 当且仅当 vf 。这样的函数存在，并且可以在多项式时间中（ ^的尺寸和的大小）来计算。定义字符串 J∑)从 [/的根到叶 v_w (包括根和叶）的节点集合为 Path(ID

如图 7所示，图 7示出的树 f/代表所有用户，假设 ={000, 011}是一组被撤销的用户。那么 [/( ) = {000,00*,0**,***,011,01*} (其中包含 000和 011的祖先）。另外/ ½ί/?(011) = {011,01*,0**,***} (其中包含从根到 011的路径）。

w_i:b: 我们将使用 ^来描述与时间段相关的属性。此处索引；用来表示在树的级层。根为第 0级，其子节点为第 1级等等。最大的等级是 r=l_og2g。索引 b 是 0或 1，表示在第 i级的值。例如，对于时间= 101，该组相关的属性= {ωυ, ω₂,ο, ω₃,ι}_α

^):时间 y的访问控制策略。假如 £是一个 2r行 (r+1)列的矩阵，其为一个 2乘 2 的全为 1的矩阵沿对角线级联而成；而其他地方的值为 0。下面是 r = 3时的例子：

标记矩阵的行为 b_{1 h} b_u, b₂,₀, b ₀, ；按降序排列。对于矩阵的所有行，定义标签 β为 βφ_ί ) = 现在我们为时间 _y定义访问控制策略 (ΰ^, β 。对于每个属于 [l,...,r]的索引 i, 如果在第级的相应的 _y值 (表示为不是 *，我们将从矩阵 £中消除行，从而得到矩阵。例如 r = 3和 y = 01*，矩阵和标签 ^ (由下面的箭头表示）是：

注意一组属性 S满足 (^,Α) 当且仅当：（1)对所有的使得 3 ·]不等于 *，则包含在 S之内；及 (2)对所有的 i使得 = *，则 t¾ (？或 Oi 包含在之内。

( , p) V (B_y, β_γ): 我们使用符号 (Μ, ρ) V (B_y, 表示两个 LSSS策略 (M, /?)与的组合，即通过顺序添加行」 &v到矩阵 M (并填克为相同长度）而生成的 LSSS策略。

实施例二的具体实施方式如下：

Setup(l^A): 输入安全参数 A, 选择一个阶 N= ;¾¾的双线性群 G (阶等于三个随机素数相乘，达到安全强度。随机选择 ,cieZ_w与 geC^，并准备一个初始为空吊销列表 rl和状态 st。对所有 " 随机选择 _Sl e Z_N,X₃ e 。设定 msk = (a, X₃),

par = g, g\ e(g,g)^a, {T_t = g^si for all /})

它输出 (par, msk, rl, sf)。

UserKG(par, id): 输入系统公开参数 par和用户身份 id, 随机选择 e ，输出 ^s d = β'Ρ = s^p。

PubKG( ar, msk, id,pk_id,A, st) 输入系统公开参数 par, 主密钥 msk, 用户公钥 pk_id, 一个属性集合 ^和 KGC的内部状态 st, 对所有 xc ¾ (/c)，计算：

在内部状态 st查找 (X, 0。如果不存在，则随机选择 α_χ e Z_N , 并把 (χ, 保存在 st。随机选择 t Z_N, V, Ζ, _ι }_;es e G_p3。计算：输出 pJ = ^_x , K _x , K*： for all x e Patl{id)}。

TKeyUp( jr, m , i, , rf): 输入系统公开参数 ar, 主密钥 m , 时间段 ί，吊销列表 r/和内部状态对所有 XE f/(r/) (吊销列表的树），计算：

表示集 S = {ω_υ[ί}: 1 e [r]} 为时间相关的属性。

在内部状态 st查找 (X, 0。如果不存在，则随机选择 Ω_χ e Z_N，并把 (x, 保存在 st。随机选择 f^Zw ， V^Z^^ eG^ , 计算：输出 = , K_Ax ,K： for all xe

t, rl)。

TranKG(par, id,pk_id ^A, tku_t): 输入系统公开参数/ rar, 用户身份，公共属性密钥和密钥更新信息 tku" 假如用户身份 id不在的 rl之内，那么必定有一个节点 X既属于

输出 =(5¾,5¾)。 Encrypt(¾r, ( , p), t, m): 输入系统公开参数 par, 访问控制策略 (M, ρ)，时间 t和明文 m，为所有 yd建立 LSSS控制策略 (^ ,/?') = (M, p) V (B_y, β^。随机选择 ν = 0, ，■■ ., v„) e Z_N ⁿ和 η c (所有 i ε [«] ) 。计算：

C =m-e ' = s^s = ^^ ^ D = s^r' )

输出密文

r,}, (M,_P))。

Transform(/?ar, id, A, tk_id,_t、 CT_t): 输入系统公开参数 par, 用户身份 id, 属性集合，转换密钥 ί ₍ ^和密文如果 ί'≥ί，那么存在 _yE 7;，使得 y是 ί'的祖先。对于此，在密文 C7提取 (C

{ C_y , D_y } )。表示 tk_id,_t' = (SKo, SKj),其中 5¾ = {K_xh {K_{x J}： e

A}, 和 SKj = {K_x , {K_X:U： /

首先，计算 E 使得 =1。然后计算：

nd '。)-_e(n_P(0,。) = e(_g,_g < ,。, 〕= _efe

上们可以计算 CT':^^^¹,^^ 同样地，我们可以使用 s 如下计算出

最后输出 cr = {C_y, CT'O, CT'J).

Decrypt(par, id, sk_id, CT'): 输入系统公开参数 par, 用户身份 id, 用户私钥 sk_id= β和

C

转换密文 CT' = (C_y, CT'o, CT'i), 输出明文 m = ^y- ^ _Γ。

Revoke(; t, rl): 输入吊销用户身份 id、时间段 t、吊销列表 r/和状态信息 st, 将 {«0} 添加到 rl作为更新后的吊销列表 W输出。

本发明实施例还可以作以下扩展：

扩展 1:选择密文攻击不可区分 (IND-CCA 安全）下的方案. 本发明提出的上述 SR-ABE 方案只满足较弱的 IND-CPA 安全性。利用现有的几种普适性方法，可以将 IND-CPA安全的加密方案转化为 IND-CCA安全的。

比如， 1999年提出的 Fujisaki-Okamoto方法就可以将本发明提出的基于属性或身份的 IND-CPA安全加密方案提升为 IND-CCA安全的。利用一个 IND-CCA安全的对称钥加解密方案（E, D)和两个哈希函数 G和 H, 该方法加密时进行如下操作：（1)加密一个消息 m时，先选取一个随机数 r，然后利随机数 G(r)使用 ABE把 r作为消息加密，生成 CI = ABE.Enc(r; G(r》; (2)再利用对称秘钥 H(r)加密消息 m，即生成 C2 = E(H(r), m); (3) 最后输出密文 (CI, C2)。解密密文 (CI, C²)时操作如下：（1)通过 ABE解密 C1得到 r; (2) 计算出 ABE.Enc(r; G(r))并比较谅值是否等于 Cl，否则返回錯误；（3) 若步骤 (2)成功，则使用对称钥 H(r) 解密 C2得到消息 m。再比^!。， 201 1年提出的 Yamada- Attrapadung-Hanaoka-Kunihiro方法也可以寻本发明提出的基于属性的 IND-CPA安全加密方案提升为 IND-CCA安全的。利用一个一次性签名方案（S, V ) , 谅方法加密时进行如下操作： ( 1 )加密一个消息 ffl时，先随机生成一对一次性签名方案公私钥（vk, sk ) ； (2)把 vk加原来的访问控制策略 Y得到新的访问控制策略 Y，（例如 Y，=Y or vk )； (3) 由此计算出密文为（CI, C2, vk)，其中 C1为利用 ABE 和访问控制策略 Y'把消息 m加密后的输出， C2为利用 sk把 C 1进行一次性签名的输出。解密时进行如下操作：（1) 利用 vk和 C 1臉证一次性签名 C2，如不通过返回錯误； (2) 若一次性签名 C2通过怎使用 ABE解密 C1得到消息 m。

扩展 2: 加密长数据. 为提高加密长数据时的效率，可以在本专利提出的属性加密方案的算法 Encrypt中用一个对称密钥 k替代消息 m , 然后用 k按对称加密的方式加密长数据本身。这样用户收到服务器部分解密的结果后，利用自己的长期私钥即可解恢复出对称密钥 k，然后利用 k按所使用的对称加密算法最终解密出长数据。

扩展 3: 服务器帮助下的可吊销密钥策略属性加密方案 (SR-KP-ABE). 基于文献 [ 1] ( N. Attrapadung and H. Imai. Attribute-based encryption supporting direct/indirect revocation modes. In Cryptography and Coding, 12th IMA International Conference, Cryptography and Coding 2009, Cirencester, UK, December 15-17, 2009. Proceedings, volume 5921 of Lecture Notes in Computer Science, pages 278- 300. Springer, 2009. )提出的间接吊销 KP-ABE，利用上述实施例中所使用的技术，可以得到一个服务器帮助下的可吊销 KP-ABE方案。简要描述如下：

Setup算法与文献 [1]相同，但不需要设置参数 a_x。

将上述 UserKG算法直接添加到文献 [ 1]的方案中。

通过设定 J) ³) = pkj^(x) · Ρ(χ)^，将文献 [1]中的 KeyGen算法变为 PubKG算法。

KeyUpdate算法、 Encrypt算法和 Revoke 算法与文献 [ 1 ]中的相同。

将文献 [ 1]中的带有解密结果 ^ 的 Decrypt算法作为所需添加的 Transform算法。

最后，把文献 [ 1 ]的 Decrypt算法替换为上述 SR-ABE方案中的 Decrypt算法。

扩展 4: 服务器帮助下的可吊销基于身份加密（SR-IBE). 文献 [2] ( B. Qin, R. H. Deng, Y. Li, and S. Liu. Server- aided revocable identity-based encryption. In Computer Security - ESORICS 2015 - 20th European Symposium on Research in Computer Security, Vienna, Austria, September 21-25, 2015, Proceedings, Part I, volume 9326 of Lecture Notes in Computer Science, pages 286-304. Springer, 2015 )提出 SR-IBE方案以减轻由于吊销而导致的用户工作量增加，但谅方案的效率还不够好。一方面，需要安全信道来给系统内的所有用户传递私钥，而安全信道的建立不容易。另一方面，用户解密时的计算量可以进一步缩减。具体来说，文献 [2]提出的 SR-IBE可改进如下：

设置 _gl = g^a以及主私钥为。

用上述 SR-ABE中的 UserKG算法替代文献 [2]中的 PrivKG算法。

将文献 [2]中的 = h^a f g_Xtl定义为 g_{x l} = pk_id ^a / g_x 。

按照扩展 1和扩展 2所描述的方法，本发明实施例提供的数据处理的方法可以被扩展为 IND-CCA2安全的，或使用对称密码技术支持长消息加密，或既 IND-CCA2安全又支持长消息加密。

此外，扩展 3所述的方法也可被扩展成 IND-CCA2安全，或使用对称密码技术支持长消息加密，或既支持 IND-CCA2安全又支持长消息加密。扩展 4所述的方法可被扩展成 IND-CCA2安全，或使用对称密码技术支持长消息加密，或既支持 IND-CCA2安全又支持长消息加密。

另外，在本发明实施例中，通过使用 ElGamal加密与任何满足某种以下性质的可吊销属性加密来构造。其中 PubKG算法包括利用 ElGamal加密所有或部分基于属性的密钥； Transform算法运行 ABE.Dec算法解密； Decrypt算法运行 ElGamal.Dec算法解密。上述一般性构造中使用的可吊销属性加密须满足以下性质：

ElGamal.Dec(sk_id, ABE.Dec(pk_id ^A, tku_t, CT))=ABE.Dec(ElGamal.Dec(sk_id, pk_id ^A), tkut,

CT)。这意味着 ElGamal解密和可吊销属性解密的顺序可以互换。

上述实施例主要从各个装置之间交互的角度对本发明实施例的方案进行了介绍。可以理解的是，各个装置，例如终端设备、密钥生成中心、服务器等为了实现上述功能，其包含了执行各个功能相应的硬件结构和 /或软件模块。本领域技术人员应谅很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本发明实施例可以根据上述方法示例对终端设备、密钥生成中心和服务器进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本发明实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用集成的单元的情况下，图 8A示出了上述实施例中所涉及的终端设备的一种可能的结构示意图。终端设备 800包括：处理单元 802和通信单元 803。处理单元 802用于对终端设备 800的动作进行控制管理，例如，处理单元 802用于支持终端设备 800执行图 1的步骤 2和步骤 9，处理单元 802还可以用于支持终端设备 800执行图 3的 S310和 S340, 和 /或用于本文所描述的技术的其它过程。通信单元 803用于支持终端设备 800与其它网络实体的通信，例如与图 1中示出的 KGC120或服务器 130之间的通信。终端设备 800还可以包括存储单元 801，用于存储终端设备 500的程序代码和数据。

其中，处理单元 802 可以是处理器或控制器，例如可以是中央处理器（Central Processing Unit, CPU )，通用处理器，数字信号处理器（ Digital Signal Processor, DSP ) ，专用集成电路（Application-Specific Integrated Circuit, ASIC )，现场可编程门阵列（Field Programmable Gate Array, FPGA )或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合， DSP和^ ί处理器的组合等等。通信单元 803可以是通信接口、收发器、收发电路等，其中，通信接口是统称，可以包括一个或多个接口。存储单元 801可以是存储器。当处理单元 802为处理器，通信单元 803为通信接口，存储单元 801为存储器时，本发明实施例所涉及的终端设备可以为图 8B所示的终端设备。

参阅图 8B所示，谅终端设备 810包括：处理器 812、通信接口 813、存储器 811。可选的，终端设备 810还可以包括总线 814。其中，通信接口 813、处理器 812以及存储器 811 可以通过总线 814 相互连接；总线 814 可以是外设部件互连标准（Peripheral Component Interconnect, 简称 PCI )总线或扩展工业标准结构 ( Extended Industry Standard Architecture , 简称 EISA )总线等。所述总线 814可以分为地址总线、数据总线、控制总线等。为便于表示，图 8B中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

因此，本发明实施例提供的终端设备，可以生成第一公钥和第一私钥，第一公钥用于加密数据，第一私钥可以用于解密谅第一公钥加密的数据。终端设备将第一公钥发送给 KGC, 以便于 KGC或者服务器根据该第一公钥生成转换密钥，第一公钥嵌套在谅转换密钥内，因此，当服务器使用谅转换密钥处理基于终端设备的属性结构加密的密文后，生成的结果是第一公钥所加密的密文，终端设备持有与谅第一公钥配对的第一私钥，当终端设备接收到服务器发送的部分解密的密文后，可以根据谅第一私钥以及解密算法进行解密，生成明文。由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

在采用集成的单元的情况下，图 9A示出了上述实施例中所涉及的 KGC的一种可能的结构示意图。 KGC900包括：处理单元 902和通信单元 903。处理单元 902用于对 KGC900 的动作进行控制管理，例如，处理单元 902用于支持 KGC900执行图 1的步骤 1、步骤 3、步骤 4和步骤 10，处理单元 902还可以用于支持 KGC900执行图 4的 S420，和 /或用于本文所描述的技术的其它过程。通信单元 903用于支持 KGC900与其它网络实体的通信，例如与图 1 中示出的终端设备 110或服务器 130之间的通信。 KGC900还可以包括存储单元 901，用于存储 KGC900的程序代码和数据。

其中，处理单元 902可以是处理器或控制器，例如可以是中央处理器 CPU, 通用处理器， DSP, ASIC , FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合， DSP和微处理器的组合等等。通信单元 903可以是通信接口、收发器、收发电路等，其中，通信接口是统称，可以包括一个或多个接口。存储单元 901可以是存储器。

当处理单元 902为处理器，通信单元 903为通信接口，存储单元 901为存储器时，本发明实施例所涉及的 KGC可以为图 9B所示的 KGC。参阅图 9B所示，该 KGC910包括：处理器 912、通信接口 913、存储器 911。可选的， KGC910还可以包括总线 914。其中，通信接口 913、处理器 912以及存储器 911可以通过总线 914相互连接；总线 914可以是 PCI总线或 EISA总线等。所述总线 914可以分为地址总线、数据总线、控制总线等。为便于表示，图 9B中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

因此，本发明实施例提供的 KGC, 可以基于读第一公钥以及读终端设备的属性生成第二公钥，谅第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据进行处理后生成的数据为基于第一公钥加密的密文，终端设备可以利用终端设备所持有的第一私钥对读基于第一公钥加密的密文进行解密，其中，第一私钥是与该第一公钥配对的密钥，可以用于解密基于第一公钥加密的数据。本发明实施例中，终端设备的属性信息可以是终端设备的具体身份信息， KGC还可以根据第一公钥和终端设备的属性集生成第二公钥。

在采用集成的单元的情况下，图 10A示出了上述实施例中所涉及的服务器的一种可能的结构示意图。服务器 1000 包括：处理单元 1002和通信单元 1003。处理单元 1002 用于对服务器 1000的动作进行控制管理，例如，处理单元 1002用于支持服务器 1000执行图 1的步骤 7和步骤 8,处理单元 1002还可以用于支持服务器 1000执行图 5的 S530 , 和 /或用于本文所描述的技术的其它过程。通信单元 1003用于支持服务器 1000与其它网络实体的通信，例如与图 1中示出的终端设备 110或 KGC120之间的通信。服务器 1000 还可以包括存储单元 1001，用于存储服务器 1000的程序代码和数据。

其中，处理单元 1002可以是处理器或控制器，例如可以是中央处理器 CPU , 通用处理器， DSP , ASIC , FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合， DSP和微处理器的组合等等。通信单元 1003可以是通信接口、收发器、收发电路等，其中，通信接口是统称，可以包括一个或多个接口。存储单元 1001可以是存储器。

当处理单元 1002为处理器，通信单元 1003为通信接口，存储单元 1001为存储器时，本发明实施例所涉及的服务器可以为图 10B所示的服务器。

参阅图 10B所示，谅服务器 1010包括：处理器 1012、通信接口 1013、存储器 1011。可选的，服务器 1010还可以包括总线 1014。其中，通信接口 1013、处理器 1012以及存储器 1011可以通过总线 1014相互连接；总线 1014可以是 PCI总线或 EISA总线等。所述总线 914可以分为地址总线、数据总线、控制总线等。为便于表示，图 10B中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

本发明实施中，第二公钥为 KGC基于第一公钥和终端设备的属性信息生成的公钥，第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据进行处理后生成的数据为基于第一公钥加密的密文，终端设备可以利用终端设备所持有的第一私钥对第二数据进行解密，其中，第一私钥是与终端设备生成的密钥，可以用于解密基于第一公钥加密的数据。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，本发明实施例无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法菽取最终的明文，因此，本发明实施例对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

在本发明实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

另外，本文中术语 "和 /或" ，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如， A和 /或 B，可以表示：单独存在 A, 同时存在 A和 B，单独存在 B这三种情况。另外，本文中字符 "/，，，一般表示前后关联对象是一种 "或" 的关系。

结合本发明实施例公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器（Random Access Memory, RAM ) 、闪存、只读存储器（Read only Memory, ROM )、可擦除可编程只读存储器（ Erasable Programmable ROM , EP OM ) 、电可擦可编程只读存储器（Electrically EPROM , EEP OM ) 、寄存器、硬盘、移动硬盘、只读光盘（CD-ROM )或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介盾耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介盾也可以是处理器的组成部分。处理器和存储介质可以位于 ASIC中。另外，该 ASIC可以位于终端设备或 KGC或服务器中。当然，处理器和存储介质也可以作为分立组件存在于终端设备或 KGC或服务器中。

本领域技术人员应谅可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介盾和通信介质，其中通信介盾包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims

权利要求

1、一种数据处理的系统，其特征在于，所述系统包括终端设备、密钥生成中心 KGC以及服务器；

所述终端设备，用于生成第一公钥和第一私钥；

所述终端设备，用于向密钥生成中心 KGC发送所述第一公钥；

所述 KGC, 用于从终端设备接收第一公钥，并根据系统参数、主密钥、所述 KGC 的内部状态信息、所述第一公钥和所述终端设备的属性信息，生成所述第二公钥，其中，所述系统参数是所述 KGC相关的公开信息，所述主密钥是所述 KGC的私钥；

所述 KGC , 用于向所述服务器发送所述第二公钥；

所述服务器，用于接收所述 KGC发送的第二公钥；

所述服务器，用于获取第一数据，所述第一数据是基于所述终端设备的属性结构加密的数据；

所述服务器，用于根据所述第二公钥将所述第一数据转换成第二数据；

所述服务器，还用于向所述终端设备发送所述第二数据；

所述终端设备，还用于接收所述服务器发送的第二数据，并根据所述第一私钥解密所述第二数据。

2、根据权利要求 1所述的系统，其特征在于，

所述终端设备，具体用于根据系统参数和身份参数生成所述第一公钥和所述第一私钥，其中，所述系统参数为所述 KGC相关的公开信息，所述身份参数为所述终端设备的标识信息。

3、根据权利要求 1或 2所述的系统，其特征在于，

所述 KGC , 还用于根据所述第二公钥和密钥更新信息生成转换密钥；

所述 KGC, 还用于当所述密钥更新信息指示所述终端设备被吊销时，根据所述第二公钥和所述密钥更新信息生成所述错误提示，并向所述服务器发送所述错误提示；

所述 KGC, 还用于当所述密钥更新信息指示所述终端设备未被吊销时，根据所述第二公钥和所述密钥更新信息生成所述转换密钥，并向所述服务器发送所述转换密钥；所述服务器，具体用于根据所述转换密钥将所述第一数据转换成第二数据。

4、根据权利要求 1或 2所述的系统，其特征在于，

所述服务器，还用于从所述 KGC接收密钥更新信息，其中，所述密钥更新信息用于指示所述终端设备的吊销状态；

所述服务器，还用于当所述密钥更新信息指示所述终端设备被吊销时，根据所述第二公钥和所述密钥更新信息生成所述错误提示；

所述服务器，还用于当所述密钥更新信息指示所述终端设备未被吊销时，根据所述第二公钥和所述密钥更新信息生成所述转换密钥，根据所述转换密钥将所述第一数据转换成第二数据。

5、根据权利要求 1至 4中任一项所述的系统，其特征在于，

所述第一公钥与所述第一私钥，是公钥密码算法中相互匹配的一对公私钥。

6、一种数据处理的方法，其特征在于，所述方法包括：

终端设备生成第一公钥和第一私钥；

所述终端设备向密钥生成中心 KGC发送所述第一公钥，以使得服务器或所述 KGC 根据所述第一公钥生成转换密钥；

所述终端设备接收所述服务器发送的第二数据，所述第二数据是所述服务器根据所述转换密钥对第一数据处理后生成的数据，其中，所述第一数据是所述服务器获取的基于所述终端设备的属性结构加密的数据；

所述终端设备根据所述第一私钥解密所述第二数据。

7、根据权利要求 6所述的方法，其特征在于，所述终端设备向 KGC发送第一公钥，包括：

所述终端设备向所述 KGC发送所述第一公钥和证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥。

8、根据权利要求 6或 7所述的方法，其特征在于，所述终端设备生成第一公钥和第一私钥，包括：

所述终端设备根据系统参数生成所述第一公钥和所述第一私钥，其中，所述系统参数为所述 KGC相关的公开信息。

9、根据权利要求 8所述的方法，其特征在于，所述终端设备根据所述第一私钥解密所述第二数据，包括：

所述终端设备根据所述系统参数和所述第一私钥解密所述第二数据。

10、根据权利要求 6至 9中任一项所述的方法，其特征在于，

11、一种数据处理的方法，其特征在于，所述方法包括：

密钥生成中心 KGC从终端设备接收第一公钥；

所述 KGC根据系统参数、主密钥、所述第一公钥、所述终端设备的属性信息、所述 KGC的内部状态信息，生成所述第二公钥，其中，所述系统参数是所述 KGC相关的公开信息，所述主密钥是所述 KGC的私钥；

所述 KGC向所述服务器发送所述第二公钥或转换密钥，其中所述转换密钥是根据所述第二公钥和密钥更新信息生成的。

12、根据权利要求 11所述的方法，其特征在于，所述 KGC生成所述第二公钥前，所述方法还包括：

所述 KGC从所述终端设备接收证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥。

13、根据权利要求 11所述的方法，其特征在于，所述所述转换密钥是根据所述第二公钥和密钥更新信息生成的，包括：

所述 KGC根据所述第二公钥、所述密钥更新信息、所述系统参数和所述身份参数生成所述转换密钥，其中，所述密钥更新信息指示所述终端设备未被吊销。

14、根据权利要求 11至 13中任一项所述的方法，其特征在于，

15、一种数据处理的方法，其特征在于，所述方法包括：

服务器从密钥生成中心 KGC接收第二公钥；其中，所述第二公钥是所述 KGC根据第一公钥、终端设备的属性信息、系统参数、主密钥、所述 KGC的内部状态信息生成的，其中，所述系统参数是所述 KGC相关的公开信息，所述主密钥是所述 KGC的私钥；所述第一公钥是所述终端设备的公钥；所述服务器获取第一数据 , 所述第一数据是基于所述终端设备的属性结构加密的数据；

所述服务器根据所述第二公钥将所述第一数据转换成第二数据；

所述服务器向所述终端设备发送所述第二数据，以便于所述终端设备根据所述第一私钥解密所述第二数据。

16、根据权利要求 15所述的方法，其特征在于，所述服务器接收所述第二公钥后，所述方法还包括：

所述服务器从所述 KGC接收密钥更新信息，其中，所述密钥更新信息用于指示所述终端设备的吊销状态；

当所述密钥更新信息指示所述终端设备未被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥；

所述服务器根据所述转换密钥将所述第一数据转换成所述第二数据。

17、根据权利要求 16所述的方法，其特征在于，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，包括：

所述服务器根据所述第二公钥、所述密钥更新信息、系统参数和身份参数生成所述转换密钥，其中，所述系统参数是所述 KGC相关的公开信息，所述身份参数是所述终端设备的或所述终端设备的用户的标识信息。

18、根据权利要求 17所述的方法，其特征在于，所述服务器根据所述转换密钥将所述第一数据转换成第二数据，包括：

所述服务器根据所述转换密钥、系统参数、所述终端设备的属性信息、身份参数、时间参数中的一项或多项，将所述第一数据转换成所述第二数据，其中，所述系统参数是所述 KGC相关的公开信息，所述身份参数是所述终端设备的或所述终端设备的用户的标识信息，所述时间参数用于指示所述服务器可以使用所述转换密钥的时间。

19、根据权利要求 15至 18中任一项所述的方法，其特征在于，

20、一种数据处理的装置，其特征在于，包括：处理单元和通信单元，

所述处理单元用于生成第一公钥和第一私钥；以及通过所述通信单元向密钥生成中心 KGC发送所述第一公钥，以使得所述 KGC或服务器根据所述第一公钥生成第二公钥或转换密钥；以及通过所述通信单元接收所述服务器发送的第二数据，所述第二数据是所述服务器根据所述第二公钥或所述转换密钥对第一数据处理后生成的数据，其中，所述第一数据是所述服务器获取的基于所述终端设备的属性结构加密的数据；以及根据所述第一私钥解密所述第二数据。

21、根据权利要求 20所述的装置，其特征在于，通信单元还用于：向所述 KGC发送所述第一公钥和证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥。

22、根据权利要求 20或 21所述的装置，其特征在于，所述处理单元具体用于：根据系统参数生成所述第一公钥和所述第一私钥，其中，所述系统参数为所述 KGC相关的公开信息。

23、根据权利要求 22所述的装置，其特征在于，所述处理单元具体用于：根据所述系统参数和所述第一私钥解密所述第二数据。

24、根据权利要求 20至 23中任一项所述的装置，其特征在于，

25、一种数据处理的装置，其特征在于，包括：处理单元和通信单元，

所述处理单元用于通过所述通信单元从终端设备接收第一公钥；以及根据系统参数、主密钥和所述 KGC的内部状态信息、所述第一公钥、所述终端设备的属性信息，生成所述第二公钥，其中，所述系统参数是所述 KGC相关的公开信息，所述主密钥是所述 KGC 的私钥；以及通过所述通信单元向所述服务器发送所述第二公钥。

26、根据权利要求 25所述的装置，其特征在于，所述处理单元生成所述第二公钥后，所述处理单元还用于根据所述第二公钥和密钥更新信息生成转换密钥或者错误提示；当所述密钥更新信息指示所述终端设备被吊销时，所述处理单元根据所述第二公钥和所述密钥更新信息生成所述错误提示；当所述密钥更新信息指示所述终端设备未被吊销时，所述处理单元根据所述第二公钥和所述密钥更新信息生成所述转换密钥；以及通过所述通信单元向所述服务器发送所述转换密钥；或者

所述处理单元还用于通过所述通信单元向所述服务器发送所述第二公钥和所述密钥更新信息，以便于所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥或者所述错误提示。

27、根据权利要求 25或 26所述的装置，其特征在于，所述处理单元还用于通过所述通信单元从所述终端设备接收证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥；以及根据所述证明信息确定生成所述第二公钥。

28、根据权利要求 25至 27中任一项所述的装置，其特征在于，所述处理单元具体用于：根据所述第一公钥、所述终端设备的属性信息、系统参数、主密钥、所述装置的内部状态信息中的一项或多项生成所述第二公钥和更新后的所述内部状态信息，其中，所述系统参数是所述处理单元相关的公开信息，所述主密钥是所述处理单元的私钥。

29、根据权利要求 28所述的装置，其特征在于，所述处理单元具体用于：根据所述第二公钥、所述密钥更新信息、所述系统参数、身份参数中的一项或多项，生成所述转换密钥，其中，所述密钥更新信息指示所述终端设备未被吊销，所述身份参数是所述终端设备的或所述终端设备的用户的标识信息。

30、根据权利要求 25至 29中任一项所述的装置，其特征在于，

31、一种数据处理的装置，其特征在于，包括：处理单元和通信单元，

所述处理单元用于通过所述通信单元从密钥生成中心 KGC接收第二公钥；其中，所述第二公钥是所述 KGC根据系统参数、主密钥、所述 KGC的内部状态信息、所述第一公钥、所述终端设备的属性信息生成的，其中，所述系统参数是所述 KGC相关的公开信息，所述主密钥是所述 KGC的私钥；以及

通过所述通信单元获取第一数据，所述第一数据是基于所述终端设备的属性结构加密的数据；以及

根据所述第二公钥将所述第一数据转换成第二数据；以及

通过所述通信单元向所述终端设备发送所述第二数据，以便于所述终端设备根据所述第一私钥解密所述第二数据。

32、根据权利要求 31所述的装置，其特征在于，所述处理单元通过所述通信单元接收所述第二公钥后，所述处理单元还用于：通过所述通信单元从所述 KGC接收密钥更新信息；当所述密钥更新信息指示所述终端设备被吊销时，所述处理单元根据所述第二公钥和所述密钥更新信息生成所述错误提示；当所述密钥更新信息指示所述终端设备未被吊销时，所述处理单元根据所述第二公钥和所述密钥更新信息生成所述转换密钥；以及根据所述转换密钥将所述第一数据转换成所述第二数据。

33、根据权利要求 32所述的装置，其特征在于，所述处理单元具体用于：根据所述第二公钥、所述密钥更新信息、系统参数、身份参数中的一项或多项生成所述转换密钥，其中，所述系统参数是所述 KGC生成的公开信息，所述身份参数是所述终端设备的或所述终端设备的用户的标识信息。

34、根据权利要求 33所述的装置，其特征在于，所述处理单元具体用于：根据所述转换密钥和系统参数、所述终端设备的属性信息、身份参数、时间参数中的一项或多项，将所述第一数据转换成所述第二数据，其中，所述系统参数是所述 KGC相关的公开信息，所述身份参数是所述终端设备的或所述终端设备的用户的标识信息，所述时间参数用于指示所述装置可以使用所述转换密钥的时间。

35、根据权利要求 31至 34中任一项所述的装置，其特征在于，