CN104320393A - 重加密可控的高效属性基代理重加密方法 - Google Patents

Abstract

本发明公开了一种重加密可控的高效属性基代理重加密方法，主要解决现有技术存在的安全性差及效率低的问题。其实现步骤是：1、密钥生成中心分别生成***参数和用户密钥SK；2、加密者E通过密文策略属性基加密方法对明文消息m加密得到原始密文CT；3、重加密授权者A生成重加密密钥RK并发送给重加密代理；4、重加密代理利用***公钥PK及合法的重加密密钥RK对原始密文CT进行重加密生成重加密密文CT′；5、原始密文解密者D和重加密解密者B分别恢复明文消息m。本发明能抵御更强类型的攻击者、提高了运算效率、实现加密者对密文的重加密控制，可广泛应用于分布式网络或云存储环境中以实现加密数据的细粒度共享。

Description

重加密可控的高效属性基代理重加密方法

技术领域

本发明属于网络安全技术领域，涉及一种重加密可控的高效属性基代理重加密方法，可用于分布式网络或云存储环境中实现加密数据细粒度的共享。

背景技术

云计算作为一种新兴的服务模式，通过分布式计算、网络存储、虚拟化等技术，将网络中大量不同类型的资源整合起来协同工作，为用户提供计算和存储等功能，极大地提高了资源利用率，降低了用户成本，因此得到了广泛的应用和支持。然而云存储的服务模式也带来了新的安全隐患，其中一个重要问题是在云存储介质位于用户控制范围之外的条件下如何在保护用户数据机密性的同时实现合法用户对已加密数据细粒度的访问控制及高效的数据共享。在这种情况下，属性基代理重加密被提出。在属性基代理重加密***中，由于使用了密文策略属性基加密体制，故只有当用户的属性集合满足密文中的访问结构时，该用户才能解密。若用户A拥有解密权限，用户A可以给一个被称作是重加密代理的半可信代理服务器发送针对共享用户B的重加密密钥，重加密代理就利用接收到的重加密密钥将原始密文重加密成用户B利用自己的私钥就可以解密的重加密密文，从而实现了用户之间高效的数据共享。在代理重加密***中，用户A被称为重加密授权者，而用户B被称为重加密解密者。且在这一过程中，重加密代理无法获取重加密授权者和重加密解密者的私钥以及密文中对应明文的任何信息。

文献“A Ciphertext-Policy Attribute-Based Proxy Re-Encryption with Chosen CiphertextSecurity,Cryptology ePrint Archive:Report2013/236.”提出了随机预言模型下选择密文安全的属性基代理重加密方法，该方法适合云存储环境下各种需要细粒度共享加密数据的应用场景。该方法的主要步骤是：第一，密钥生成中心初始化***，生成并公开***公钥的同时保存***主密钥；第二，密钥生成中心生成用户，包括加密者，重加密授权者，原始密文解密者以及重加密解密者的私钥；第三，加密者利用密文策略属性基加密算法对明文消息加密；第四，重加密授权者生成针对重加密解密者的重加密密钥，并发送给重加密代理；第五，重加密代理使用重加密密钥进行重加密生成重加密密文；第六，重加密解密者解密重加密密文。该方法存在以下缺陷：

第一，无法抵御更强类型的攻击者。该方法的安全性是建立在一种弱化的安全模型，即选择模型上的，该模型要求攻击者必须提前选择并声明自己的攻击目标，这种对攻击者的限制导致无法客观自然地刻画攻击者，从而导致该方法不能抵御更强类型的攻击者；

第二，加密者本身不能控制哪些密文能被重加密。该方法中，重加密代理在获得重加密密钥后，能够将加密者加密给重加密授权者的所有密文转换为针对重加密解密者的密文；

第三，运算效率低。该方法的重加密及解密过程需要的双线性对运算个数与用户属性集合中属性的个数成正比的，由于双线性对运算在实现效率方面要远远低于其它运算，如指数运算，故该方法的计算代价会随着用户属性数量的增多而加大，直接影响了该方法的计算性能，导致算法效率不高，在通信带宽受限的环境下很难实现。

发明内容

本发明目的在于针对上述现有技术存在的缺陷，提出一种重加密可控的高效属性基代理重加密方法，以抵御更强类型的攻击者、提高运算效率、实现加密者对密文的重加密控制。

实现本方法的主要思想是：利用双***加密的构造思路，基于合数阶双线性群构造代理重加密方法，实现了本方法的适应性安全，消除了较弱安全模型中对攻击者的限制问题。同时，修改加密过程，通过使加密者能够控制重加密解密者是否可以从重加密密文中正确解得明文消息，来实现加密者的重加密控制功能。最后，通过增加重加密及解密过程中的乘法运算和指数运算个数，使这两个过程中所需的双线性对运算个数下降为常数，提高了运算效率，使计算代价不会随着用户属性数量的增多而加大。

根据以上思路，本发明的实现步骤包括如下：

(1)重加密授权者A根据重加密解密者B的属性集合S_B构造新的访问结构W′，然后利用访问结构W′和重加密授权者A的私钥SK_A，生成重加密密钥RK并发送给重加密代理Proxy；

(2)重加密代理Proxy收到重加密密钥RK后，验证重加密密钥RK的合法性：若合法，则重加密代理Proxy利用***公钥PK、重加密密钥RK及原始密文CT进行重加密，生成重加密密文CT′，否则，重加密代理Proxy不进行重加密，操作终止；

(3)原始密文解密者D从原始密文CT中恢复明文消息m，重加密解密者B从重加密密文CT′中恢复明文消息m：

3a)原始密文解密者D使用原始密文解密者D的私钥SK_D通过密文策略属性基加密的解密方法从原始密文CT中恢复明文消息m；

3b)重加密解密者B使用重加密解密者B的私钥SK_B通过密文策略属性基加密的解密方法恢复出一个解密分量，然后利用该分量从重加密密文CT′中恢复明文消息m。

本发明与现有方案相比具有如下优点：

第一，本发明可以抵御更强类型的攻击者。本发明利用双***加密的构造思路，基于合数阶双线性群及三个三素数子群判定假设，修改***参数生成过程，实现适应性安全的属性基代理重加密方法。该方法解决了现有属性基代理重加密方法中较弱安全模型对攻击者的限制问题，使其可以抵御更强类型的攻击者。且本发明实现适应性安全的同时，并没有影响重加密等性质的实现。

第二，本发明实现了加密者重加密控制功能。在加密过程中，加密者产生的原始密文包含分量该分量对原始密文解密者的解密过程没有任何作用，但是却是重加密解密者解密过程中必不可少的，从而使加密者可以直接控制重加密解密者能否从重加密密文中正确解出明文消息，实现加密者的重加密控制。

第三，本发明通过增加重加密及解密过程中的乘法运算和指数运算个数，使所需的双线性对运算个数下降为常数。由于双线性对运算在实现效率方面要远远低于其它运算，如指数运算和乘法运算，故与现有属性基代理重加密方法相比，本方法的计算代价不会随着用户属性数量的增多而加大。

附图说明

图1为本发明的实现流程图。

具体实施方式

下面结合附图对本发明做进一步的描述。

参照图1，本发明的实现步骤如下：

步骤1，密钥生成中心KGC生成***参数。

(1a)根据实际要求设定本属性基代理重加密***安全参数λ≥160；

(1b)密钥生成中心KGC根据设置的***安全参数λ，选取三个互不相等的素数p₁,p₂和p₃，计算合数阶数N＝p₁p₂p₃；再构造一个N阶加法循环群G和一个N阶乘法循环群G_T，使其满足双线性映射e:G×G→G_T，即从加法循环群G中任意取两个元素作为双线性映射e的输入，则其输出一定是乘法循环群G_T中的一个元素；分别构造N阶加法循环群G中阶为素数p₁、p₂和p₃的子群和生成***属性集合U；

(1c)密钥生成中心KGC选取p₁阶子群的生成元g和p₃阶子群的生成元Y₃，随机选取整数η∈Z_N及a∈Z_N，对于***属性集合U中的每一个属性x随机选取整数h_x∈Z_N，其中Z_N为不超过合数阶数N的整数集合，计算分量令密钥生成中心KGC生成***公钥 $\mathrm{PK}=(g,g_0,e{(g,g)}^{\mathrm{\η}},g^a,\hat{H})$ 和***主私钥MSK＝(η,Y₃)；

(1d)密钥生成中心KGC秘密保存***主私钥MSK，同时公开***公钥PK和其它***参数。

步骤2，密钥生成中心KGC生成重加密授权者A的私钥SK_A、原始密文解密者D的私钥SK_D以及重加密解密者B的私钥SK_B。

(2a)密钥生成中心KGC随机选取整数t∈Z_N、以及对于属性集合S_A中的每一个属性x，随机选取整数计算重加密授权者A的私钥分量K_A＝g^ηg^atR_A、L_A＝g^tR′_A及 $K_{\mathrm{Ax}}=H_x^t{R}_{\mathrm{Ax}},$ 令 ${\hat{K}}_A=\left\{K_{\mathrm{Ax}}\right|K_{\mathrm{Ax}}=H_x^t{R}_{\mathrm{Ax}},R_{\mathrm{Ax}}\∈G_{p_3},H_x\∈\hat{H},\∀x\∈S_A\},$ 生成重加密授权者A的私钥SK_A为： ${\mathrm{SK}}_A=(S_A,K_A,L_A,{\hat{K}}_A);$

(2b)密钥生成中心KGC随机选取整数t∈Z_N、以及对于属性集合S_D中的每一个属性x，随机选取整数计算原始密文解密者D的私钥分量K_D＝g^ηg^atR_D、L_D＝g^tR′_D及 $K_{\mathrm{Dx}}=H_x^t{R}_{\mathrm{Dx}},$ 令 ${\hat{K}}_D=\left\{K_{\mathrm{Dx}}\right|K_{\mathrm{Dx}}=H_x^t{R}_{\mathrm{Dx}},R_{\mathrm{Dx}}\∈G_{p_3},H_x\∈\hat{H},\∀x\∈S_D\},$ 生成原始密文解密者D的私钥SK_D为： ${\mathrm{SK}}_D=(S_D,K_D,L_D,{\hat{K}}_D);$

(2c)密钥生成中心KGC随机选取整数t∈Z_N、以及对于属性集合S_B中的每一个属性x，随机选取整数计算重加密解密者B的私钥分量K_B＝g^ηg^atR_B、L_B＝g^tR′_B及 $K_{\mathrm{Bx}}=H_x^t{R}_{\mathrm{Bx}},$ 令 ${\hat{K}}_B=\left\{K_{\mathrm{Bx}}\right|K_{\mathrm{Bx}}=H_x^t{R}_{\mathrm{Bx}},R_{\mathrm{Bx}}\∈G_{p_3},H_x\∈\hat{H},\∀x\∈S_B\},$ 生成重加密解密者B的私钥SK_B为： ${\mathrm{SK}}_B=(S_B,K_B,L_B,{\hat{K}}_B).$

步骤3，加密者E通过密文策略属性基加密方法对明文消息m加密。

加密者E通过使用***公钥PK和访问结构W＝(M,ρ)对明文消息m进行加密，其中M是l行n列的矩阵，ρ是一个从矩阵M行标集{1,2,…,l}到授权集合P的映射，该映射将矩阵M的第i行映射到一个属性，记为ρ(i)，令I＝{i|ρ(i)∈P,P∈W}，本步骤的具体实现如下：

(3a)加密者E从n维向量空间中随机选取一个列向量分别计算得到三个原密文分量C＝me(g,g)^ηs、C′＝g^s和

(3b)加密者E对于矩阵M的第i行随机选取整数r_i∈Z_N，计算得到原密文分量对和其中表示矩阵M的第i行所代表的向量，令 $\mathrm{\Ψ}=\left\{(C_i,D_i)\right|C_i=g^{a{\stackrel{\‾}{M}}_i\·\stackrel{\‾}{v}}{H}_{\mathrm{\ρ}\left(i\right)}^{-r_i},D_i=g^{r_i},r_i\∈Z_N,\∀i\∈\{\mathrm{1,2},...,l\}\},$ 得到加密者E生成的原始密文CT为：CT＝(C,C′,C″,Ψ)。

步骤4，重加密授权者A生成重加密密钥RK。

(4a)重加密授权者A随机选择一个整数β∈Z_N，对阶为p₁的子群的生成元g和随机数g₀计算得到元分量g^β和随机分量

(4b)重加密授权者A通过密文策略属性基加密方法用访问结构W′对元分量g^β加密得到部分密文对随机分量计算得到重密钥分量并根据私钥 ${\mathrm{SK}}_A=(S_A,K_A,L_A,{\hat{K}}_A),$ 生成重加密密钥RK为： $\mathrm{RK}=(S_A,K_A^{\′},L_A,{\hat{K}}_A,\hat{C}).$

步骤5，重加密代理Proxy生成重加密密文CT′。

(5a)重加密代理Proxy收到由重加密授权者A发送的重加密密钥RK后，检验重加密密钥RK中的属性集合S_A是否满足密文CT中的访问结构W：若满足，则重加密密钥RK是合法的，重加密代理Proxy执行步骤5b)生成重加密密文CT′，否则，重加密代理Proxy终止操作；

(5b)重加密代理Proxy根据接收到的重加密密钥和原始密文CT＝(C,C′,C″,Ψ)，计算重密文分量生成重加密密文CT′为：其中ω_i∈Z_N是恢复系数。

步骤6，解密者恢复明文消息m。

(6a)原始密文解密者D使用私钥恢复明文消息m，是通过密文策略属性基加密的解密方法，利用公式从原始密文CT＝(C,C′,C″,Ψ)中恢复明文消息m，其中ω_i∈Z_N是恢复系数；

(6b)重加密解密者B使用私钥SK_B恢复明文消息m，是先通过密文策略属性基加密的解密方法从部分密文中解密得到元分量g^β，然后，通过公式m＝Ce(C″,g^β)/C_t从重加密密文 ${\mathrm{CT}}^{\′}=(C,{C^{\′},C}^{\′\′},\hat{C},C_t)$ 中恢复明文消息m。

至此，该属性基代理重加密***运行结束。

以上描述仅是本发明的一个具体实例，不构成对本发明的任何限制。显然，对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结果的情况下，进行形式和细节上的各种修正和改变，但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。

名词解释

λ：***安全参数，由密钥生成中心KGC选取；

p₁，p₂和p₃：三个互不相等的素数，由密钥生成中心KGC选取；

N：合数阶数，N＝p₁p₂p₃；

Z_N：不超过合数阶数N的整数集合；

G：N阶加法循环群，由密钥生成中心KGC生成；

G_T：N阶乘法循环群，由密钥生成中心KGC生成；

e：G和G_T上的双线性变换，即e:G×G→G_T，由密钥生成中心KGC构造；

：N阶加法循环群G中阶为p₁的子群，本方法的实际工作在上完成；

：N阶加法循环群G中阶为p₂的子群；

：N阶加法循环群G中阶为p₃的子群，用于对密钥的随机化；

g：子群的生成元，由密钥生成中心KGC选取；

g₀：子群中的元素，由密钥生成中心KGC随机选取；

Y₃：子群的生成元，由密钥生成中心KGC选取；

a：整数集合Z_N中的元素，由密钥生成中心KGC选取；

η：整数集合Z_N中的元素，由密钥生成中心KGC选取；

U：***属性集合；

S_A：重加密授权者A的属性集合；

S_D：原始密文解密者D的属性集合；

S_B：重加密解密者B的属性集合；

h_x：整数集合Z_N中的元素，由密钥生成中心KGC选取，属性x∈U；

t：整数集合Z_N中的元素，由密钥生成中心KGC选取；

R_A、R_D和R_B：子群中的元素，由密钥生成中心KGC选取；

R′_A、R′_D和R′_B：子群中的元素，由密钥生成中心KGC选取；

R_Ax：子群中的元素，由密钥生成中心KGC选取，属性x∈S_A；

R_Dx：子群中的元素，由密钥生成中心KGC选取，属性x∈S_D；

R_Bx：子群中的元素，由密钥生成中心KGC选取，属性x∈S_B；

M：矩阵，l行n列，其中l和n是整数集合Z_N中的元素；

P：授权集合，满足访问结构W的属性集合；

ρ：一个从矩阵M的行标集{1,2,…,l}到授权集合P的映射，该映射把矩阵M的第i行映射到一个属性ρ(i)，I＝{i|ρ(i)∈P,P∈W}。

W：访问结构，W＝(M,ρ)；

m：明文消息；

：n维向量空间；

r_i：整数集合Z_N中的元素，由加密者E随机选取，其中i∈{1,2,...,l}；

：矩阵M的第i行所代表的向量，其中i∈{1,2,...,l}；

：n维向量空间中的向量由加密者E随机选取，其中，s,y₂,y₃,...,y_n均是整数集合Z_N中的元素；

λ_i：为属性ρ(i)所获得的秘密分享值；

ω_i：恢复系数，ω_i∈Z_N，使

W′：访问结构，W′＝(M′,ρ′)，用于重加密过程，不同于访问结构W；

S_B：重加密解密者B的属性集合；

β：整数集合Z_N中的元素，由重加密授权者A随机选取；

PK：***公钥，由密钥生成中心KGC产生并公布；

MSK：***主私钥，由密钥生成中心KGC产生并秘密保存；

SK_A：重加密授权者A的私钥，由密钥生成中心KGC生成；

SK_D：原始密文解密者D的私钥，由密钥生成中心KGC生成；

SK_B：重加密解密者B的私钥，由密钥生成中心KGC生成；

CT：原始密文，由加密者E产生；

RK：重加密密钥，由重加密授权者A生成，并发送给重加密代理Proxy；

CT′：重加密密文，由重加密代理Proxy生成。

Claims (5)

1.一种重加密可控的高效属性基代理重加密方法，主要包括如下步骤：

(1)重加密授权者A根据重加密解密者B的属性集合S_B构造新的访问结构W′，然后利用访问结构W′和重加密授权者A的私钥SK_A，生成重加密密钥RK并发送给重加密代理Proxy；

(2)重加密代理Proxy收到重加密密钥RK后，验证重加密密钥RK的合法性：若合法，则重加密代理Proxy利用***公钥PK、重加密密钥RK及原始密文CT进行重加密，生成重加密密文CT′，否则，重加密代理Proxy不进行重加密，操作终止；

(3)原始密文解密者D从原始密文CT中恢复明文消息m，重加密解密者B从重加密密文CT′中恢复明文消息m：

3a)原始密文解密者D使用原始密文解密者D的私钥SK_D通过密文策略属性基加密的解密方法从原始密文CT中恢复明文消息m；

3b)重加密解密者B使用重加密解密者B的私钥SK_B通过密文策略属性基加密的解密方法解密得到一个解密分量，然后利用该解密分量从重加密密文CT′中恢复明文消息m。

2.根据权利要求1所述的方法，其中所述步骤(1)中重加密授权者A生成重加密密钥RK，按如下步骤进行：

1a)重加密授权者A随机选择一个整数β∈Z_N，对子群的生成元g和随机数计算得到元分量g^β和随机分量，其中Z_N为不超过合数N的整数集合，合数N＝p₁p₂p₃，p₁、p₂和p₃为密钥生成中心KGC选取的三个互不相等的素数，为N阶加法循环群G中阶为p₁的子群；

1b)重加密授权者A通过密文策略属性基加密方法用访问结构W′对元分量g^β加密得到部分密文再对随机分量计算得到重密钥分量并根据由密钥生成中心KGC生成的重加密授权者A的私钥生成重加密密钥RK为：

3.根据权利要求1所述的方法，其中所述步骤(2)中重加密代理Proxy利用***公钥PK、重加密密钥RK及原始密文CT生成重加密密文CT′，按如下步骤进行：

2a)重加密代理Proxy收到重加密密钥之后，检查重加密密钥RK中的属性集合S_A是否满足原始密文CT中的访问结构W＝(M,ρ)，其中，原始密文CT＝(C,C′,C″,Ψ)是由加密者E通过密文策略属性基加密方法对明文消息m加密得到的，访问结构W＝(M,ρ)，M是l行n列的矩阵，ρ是一个从矩阵M行标集{1,2,…,l}到授权集合P的映射，该映射将矩阵M的第i行映射到一个属性，记为ρ(i)，令I＝{i|ρ(i)∈P,P∈W}；

若满足，则重加密密钥RK是合法的，重加密代理Proxy执行步骤2b)，否则，重加密代理Proxy不进行重加密，操作终止；

2b)重加密代理Proxy根据接收到的重加密密钥和原始密文CT＝(C,C′,C″,Ψ)，计算重密文分量生成重加密密文CT′为： ${\mathrm{CT}}^{\′}=(C,C^{\′},C^{\′\′},\hat{C},C_t);$

其中，密文分量 $\mathrm{\Ψ}=\left\{(C_i,D_i)\right|C_i=g^{a{\stackrel{\→}{M}}_i\·\stackrel{\→}{v}}{H}_{\mathrm{\ρ}\left(i\right)}^{-r_i},D_i=g^{r_i},r_i\∈Z_N,\∀i\∈\{\mathrm{1,2},...,l\}\},$ 向量表示矩阵M的第i行，列向量是由加密者E从n维向量空间中随机选取的，整数r_i∈Z_N是由加密者E对于矩阵M的第i行随机选取，ω_i∈Z_N是恢复系数。

4.根据权利要求1所述的方法，其中所述步骤3a)中原始密文解密者D使用私钥恢复明文消息m，是通过密文策略属性基加密的解密方法，利用公式从原始密文CT＝(C,C′,C″,Ψ)中恢复出明文消息m，其中，ω_i∈Z_N是恢复系数，SK_D是由密钥生成中心KGC生成的原始密文解密者D的私钥。

5.根据权利要求1所述的方法，其中所述步骤3b)中重加密解密者B使用私钥SK_B恢复明文消息m，是先通过密文策略属性基加密的解密方法从部分密文中恢复出元分量g^β，然后，通过公式m＝Ce(C″,g^β)/C_t从重加密密文中恢复出明文消息m，其中SK_B是由密钥生成中心KGC生成的重加密解密者B的私钥。