CN105530087A - 适应性选择密文安全的属性基加密方法 - Google Patents

Abstract

本发明公开了一种适应性选择密文安全的属性基加密方法，包括：S1：将***安全参数λ作为输入，输出公共参数pp和主密钥msk；S2：PKG以所述公共参数pp、所述主密钥msk和用户属性集S作为输入，输出所述用户的私钥sk；S3：以所述公共参数pp，访问结构(M，ρ)和消息m作为输入进行加密，输出密文ct_(M，ρ)；S4：以所述公共参数pp，所述私钥sk_S和所述密文ct_(M，ρ)为输入进行解密，得到所述消息m。本发明具有如下优点：可用任意字符串作为属性；可绕过代理障碍；可解决选择安全障碍。

Description

适应性选择密文安全的属性基加密方法

技术领域

本发明属于密码学领域，具体设计一种适应性选择密文安全的属性基加密方法。

背景技术

属性基加密(Attribute-BasedEncryption,ABE)作为一种新型的加密体制，允许人们根据指定的访问策略来共享数据。属性基加密方案可以分为密钥策略的属性基加密(Key-PolicyAttribute-BasedEncryption,KP-ABE)和密文策略的属性基加密(Ciphertext-PolicyAttribute-BasedEncryption,CP-ABE)。KP-ABE是指，由访问结构(AccessStructure)来构造密钥而由属性集合构造密文，当属性集合中的属性能够满足此访问结构才能够解密；CP-ABE是指，由访问结构来构造密文而由属性集合来构造密钥，当属性集合中的属性能够满足此访问结构时才能解密。由于ABE能够提供细粒度的访问控制，所以在云存储等方面得到广泛的应用。

在属性基密码体制中，根据访问结构对应于私钥还是密文可划分为密钥策略的属性基加密(KP-ABE)和密文策略的属性基加密(CP-ABE)：在KP-ABE中，访问结构对应于私钥而属性对应于密文，只有密文中的属性集满足私钥中的访问策略时，才能解密；在CP-ABE中，访问结构对应于密文而属性对应于私钥，只有私钥中的属性集满足密文中的访问策略时，才能解密。

抗适应性选择密文攻击(CCA2)的语义安全对于一个加密体制来说被认为是标准的安全概念。在云存储和云计算等应用中的，人们通常要求ABE能够实现细粒度访问控制。在这样的应用中，主动攻击者可以修改存储状态或传输状态的密文，在此情况下，如果所用的ABE***是选择明文(CPA)安全的，那么攻击者将有可能从敏感数据中获取到有用的信息。因此，为了能够抵御这样的攻击者，使用CCA2安全的ABE是非常有必要的。

现在已经出现了一些ABE体制能够满足标准模型下的CCA2安全，但相较于它们的CPA安全的构造方式，这些体制都更加低效。其中有些包含了一次性签名，然而一次性签名或者需要较大的存储空间，或者产生较高的计算开销。一方面，基于哈希函数的一次性签名的具有较长公钥和签名；另一方面，基于数论假设的一次性签名虽然具有公钥及签名长度短的优势，但却引入了高昂的计算开销。还有一些CCA2安全的ABE方案无需使用一次性签名，但却只支持单门限访问策略，这对要求支持复杂访问策略的***来说是不合适的。

发明内容

本发明旨在至少解决上述技术问题之一。

为此，本发明的目的在于提出一种适应性选择密文安全的属性基加密方法。

为了实现上述目的，本发明的实施例公开了一种适应性选择密文安全的属性基加密方法，包括以下步骤：S1：将***安全参数λ作为输入，输出公共参数pp和主密钥msk，其中，所述公开参数pp对外公开，所述主密钥msk则由PKG保管；S2：所述PKG以所述公共参数pp、所述主密钥msk和用户属性集S作为输入，输出所述用户的私钥sk；S3：以公共参数pp，访问结构(M,ρ)和消息m作为输入进行加密，输出密文ct_(M,ρ)，其中， 以及S4：以所述公共参数pp，所述私钥sk_S和所述密文ct_(M,ρ)为输入进行解密，得到所述消息m。

根据本发明实施例的适应性选择密文安全的属性基加密方法，由于本方案是基于Rouselakis-Waters的大域CP-ABE而构造的，可用任意字符串作为属性；由于CP-ABE中的密文嵌有访问结构，通过增加了一个动态虚拟属性的同时，还需要将原本的访问结构改造成同时满足新增虚拟属性访问结构，能保持访问结构的有效性同时还可确保虚拟属性仅用在密文验证中，绕过了任意属性的代理障碍；用变色龙哈希函数代替了普通哈希函数，解决选择安全障碍。

另外，根据本发明上述实施例的适应性选择密文安全的属性基加密方法，还可以具有如下附加的技术特征：

进一步地，所述步骤S1进一步包括：S101：所述PKG首先输入***安全参数λ，然后运行算法输出两个阶数为素数p的群和一个双线性映射运算S102：所述PKG选择一个安全的变色龙哈希函数Hash_ch和其辅助参数域随机选取以及得到所述公共参数pp＝(Hash_ch,pk_ch,g,u,h,w,v,e(g,g)^α)，所述***主密钥msk＝(α)。

进一步地，所述步骤S2进一步包括：设用户的属性集 该该模块随机选取k+1个指数计算K₀＝g^αw^r，K₁＝g^r，并对 $\∀i\∈\[k\],$ 计算： $K_{i,2}=g^{r_i},K_{i,3}={\left(u^{A_i}h\right)}^{r_i}{v}^{-r},$ 得到所述私钥sk_S＝(S,K₀,K₁,{K_i,2,K_i,3}_i∈[k])。

进一步地，所述步骤S3进一步包括：S301：设I＝{i:ρ(i)∈S}，随机选取其中s为要共享的随机秘密，计算{λ_i＝(My)_i}_i∈[l]，并随机选取l+1个随机指数计算：C＝me(g,g)^αs，C₀＝g^s， $C_{0,1}=w^s{v}^{t_0},C_{0,3}=g^{t_0},$ 对于 $\∀i\∈\[l\],$ 计算： $C_{i,1}=w^{{\mathrm{\λ}}_i}{v}^{t_i},$ S302：选取随机辅助参数设V＝Hash_ch(pk_ch,X_ch,r_ch)∈v，其中，X_ch＝pk_ch||(M,ρ)||C||C₀||C_0,1||C_0,1||C_0,3||C_1,1||C_1,2||C_1,3||…||C_l,1||C_l,2||C_l,3，C_0,2由计算得到，最终得到密文ct_(M,ρ)＝((M,ρ),r_ch,C,C₀,{C_i,1,C_i,2,C_i,3}_i∈[0,l])。

进一步地，所述步骤S4进一步包括：S401：根据密文计算出V＝Hash_ch(pk_ch,X_ch,r_ch)，对于验证等式e(g^-1,C_i,2)＝e(C_i,3,u^ρ(i)h)是否成立，验证等式e(g^-1,C_0,2)＝e(C_i,3,u^Vh)是否成立，如果上述等式存在不相等的情况，则密文无效，解密模块输出⊥；否则密文有效，执行步骤S402；S402：设I＝{i:ρ(i)∈S}，计算常数集使得∑_i∈Iω_iM_i＝(1,0,…,0)，其中M_i为矩阵M的第i行，进行如下计算:最后，所述消息m可以通过计算m＝C/B而得到，完成解密。

本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1是本发明一个实施例的适应性选择密文安全的属性基加密方法的流程图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

参照下面的描述和附图，将清楚本发明的实施例的这些和其他方面。在这些描述和附图中，具体公开了本发明的实施例中的一些特定实施方式，来表示实施本发明的实施例的原理的一些方式，但是应当理解，本发明的实施例的范围不受此限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。

首先介绍本发明相关技术，包括如下内容：

a.双线性映射e:设和分别为两个有限循环群，并有相同的素数阶p，设g是的生成元，如果映射满足如下性质：

双线性映射满足下述三个特性：

1)双线性特性：对于所有的有e(g^a,h^b)＝e(g,h)^ab成立；

2)非退化性：群中至少存在一个元素g，使得计算后的e(g,g)在群中有阶数p；

3)可计算性：存在有效的算法，使得所有的u,v∈G，可以有效计算出e(u,v)的值；

b.访问结构：设为属性域，访问结构指一个非空的属性集合 在中的集合被称为授权集合，不在中的集合被称为非授权集合。特别的，对于如果且那么则称这样的访问结构为单调的。

c.线性秘密共享方案(LSSS)：一个属性域上的秘密共享方案Π在上是线性的，如果：

1)每一个属性对于秘密的共享构成一个上的向量；

2)对于上任意的访问结构存在一个共享生成矩阵以及一个矩阵的行到属性的映射选取向量v＝(s,r₂,r₃,…,r_n)，其中s是要共享的秘密，为随机选取，则Mv即为由Π得到的s的共享向量，(Mv)_i属于属性ρ(i)。

按照如上方法定义的LSSS方案具有线性可重构性：假设访问结构由(M,ρ)所描述，对于授权集合设I＝{i:i∈[l]∧ρ(i)∈S}，对于有效的秘密共享{λ_i＝(Mv)_i}_i∈I，存在常数集使得∑_i∈Iω_iλ_i＝s。对于非授权集合S′则不存在这样的常数集{ω_i}，在此情况下，设I′＝{i：i∈[l]∧ρ(i)∈S′}，存在向量其中第一个元素ω₁为非零元素，并且ωM_i＝0，i∈I′。

d.变色龙哈希函数(ChameleonHash):变色龙哈希函数有一对密钥(pk_ch,sk_ch)，任何知道公钥pk_ch的人均可以计算出给定的输入的哈希值，同时对于持有sk_ch的人，存在一个有效算法可以找到任意输入的碰撞，而任何没有sk_ch的人则无法计算出任意输入的碰撞。一个变色龙哈希函数有以下三个算法：

1)KeyGen_ch：该算法输入安全参数λ，输出密钥对(pk_ch,sk_ch)。该算法还指定了一个辅助的随机参数域包含在pk_ch中。

2)Hash_ch：该算法输入变色龙哈希公钥pk_ch，消息m和一个辅助的随机参数输出哈希值H_m。

3)UForge_ch：该算法输入变色龙哈希私钥sk_ch，之前计算哈希值所用到的消息m和辅助的随机参数r_ch，以及另一个消息m′≠m，输出另一个辅助参数并且有Hash_ch(pk_ch,m,r_ch)＝Hash_ch(pk_ch,m′,r_ch′)。

以下结合附图描述根据本发明实施例的适应性选择密文安全的属性基加密方法。

图1是本发明一个实施例的适应性选择密文安全的属性基加密方法的流程图。请参考图1，本发明实施例的适应性选择密文安全的属性基加密方法包括以下步骤：

S1：将***安全参数λ作为输入，输出公共参数pp和主密钥msk，其中，所述公开参数pp对外公开，所述主密钥msk则由PKG保管。

在本发明的一个实施例中，步骤S1进一步包括：

S101：PKG首先输入***安全参数λ，然后运行算法输出两个阶数为素数p的群和一个双线性映射运算

S102：PKG选择一个安全的变色龙哈希函数Hash_ch以及其辅助参数域接着随机选取以及得到公共参数pp＝(Hash_ch,pk_ch,g,u,h,w,v,e(g,g)^α)，***主密钥msk＝(α)。

S2：PKG以所述公共参数pp、所述主密钥msk和用户属性集S作为输入，输出所述用户的私钥sk。

在本发明的一个实施例中，步骤S2进一步包括：设用户的属性集该该模块随机选取k+1个指数计算K₀＝g^αw^r，K₁＝g^r，并对 $\∀i\∈\[k\],$ 计算： $K_{i,2}=g^{r_i},K_{i,3}={\left(u^{A_i}ih\right)}^{r_i}{v}^{-r},$ 得到私钥sk_S＝(S,K₀,K₁,{K_i,2,K_i,3}_i∈[k])。

S3：以公共参数pp，访问结构(M,ρ)和消息m作为输入进行加密，输出密文ct_(M,ρ)，其中， $\mathrm{\ρ}:\[l\]\→\[0,\frac{p-1}{2}\].$

在本发明的一个实施例中，步骤S3进一步包括：

S301：设I＝{i:ρ(i)∈S}，随机选取其中s为要共享的随机秘密。计算{λ_i＝(My)_i}_i∈[l]，并随机选取l+1个随机指数接着计算：C＝me(g,g)^αs，C₀＝g^s， $C_{0,3}=g^{t_0}.$ 对于 $\∀i\∈\[l\],$ 计算：

$C_{i,1}=w^{{\mathrm{\λ}}_i}{v}^{t_i},C_{i,2}={\left(u^{\mathrm{\ρ}\left(i\right)}h\right)}^{-t_i},C_{i,3}=g^{t_i}.$

S302：选取随机辅助参数设V＝Hash_ch(pk_ch,X_ch,r_ch)∈v，其中，X_ch＝pk_ch||(M,ρ)||C||C₀||C_0,1||C_0,1||C_0,3||C_1,1||C_1,2||C_1,3||…||C_l,1||C_l,2||C_l,3。C_0,2可由计算而得。最终得到密文ct_(M,ρ)＝((M,ρ),r_ch,C,C₀,{C_i,1,C_i,2,C_i,3}_i∈[0,l])。

S4：以所述公共参数pp，所述私钥sk_S和所述密文ct_(M,ρ)为输入进行解密，得到所述消息m。

在本发明的一个实施例中，步骤S4进一步包括：

S401：在解密之前，解密方需要对密文进行验证，首先根据密文计算出V＝Hash_ch(pk_ch,X_ch,r_ch)，然后对于验证等式e(g^-1,C_i,2)＝e(C_i,3,u^ρ(i)h)是否成立，接着验证等式e(g^-1,C_0,2)＝e(C_i,3,u^Vh)是否成立。如果上述等式存在不相等的情况，那么密文是无效的，解密模块输出⊥；否则，密文是有效的，解密模块继续进行如下步骤。

S402：设I＝{i:ρ(i)∈S}，解密方计算常数集使得∑_i∈Iω_iM_i＝(1,0,…,0)，其中M_i为矩阵M的第i行，如果属性集S是授权集合，则必然存在这样常数集。然后进行如下计算:最后，消息m可以通过计算m＝C/B而得到，完成解密。

本发明实施例的适应性选择密文安全的属性基加密方法，可用于网络中的保密通信，其优点和功效是：1)支持复杂访问控制，并可用任意字符串作为属性，在实际应用中具有良好的实用性；2)通过巧妙的构造方式，绕过了代理障碍及选择安全障碍，最终实现了标准模型下的CCA2安全。

另外，本发明实施例的适应性选择密文安全的属性基加密方法的其它构成以及作用对于本领域的技术人员而言都是已知的，为了减少冗余，不做赘述。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同限定。

Claims (5)

1.一种适应性选择密文安全的属性基加密方法，其特征在于，包括以下步骤：

S1：将***安全参数λ作为输入，输出公共参数pp和主密钥msk，其中，所述公开参数pp对外公开，所述主密钥msk则由PKG保管；

S2：所述PKG以所述公共参数pp、所述主密钥msk和用户属性集S作为输入，输出所述用户的私钥sk_S；

S3：以所述公共参数pp，访问结构(M,ρ)和消息m作为输入进行加密，输出密文ct_(M,ρ)，其中，ρ：以及

S4：以所述公共参数pp，所述私钥sk_S和所述密文ct_(M,ρ)为输入进行解密，得到所述消息m。

2.根据权利要求1所述的适应性选择密文安全的属性基加密方法，其特征在于，所述步骤S1进一步包括：

S101：所述PKG首先输入***安全参数λ，然后运行算法输出两个阶数为素数p的群和一个双线性映射运算e:

S102：所述PKG选择一个安全的变色龙哈希函数Hash_ch和其辅助参数域随机选取以及得到所述公共参数pp＝(Hash_ch,ρk_ch,g,u,h,w,v,e(g,g)^α)，所述***主密钥msk＝(α)。

3.根据权利要求2所述的适应性选择密文安全的属性基加密方法，其特征在于，所述步骤S2进一步包括：

设用户的属性集随机选取k+1个指数计算

k₀＝g^αw^r，K₁＝g^r

并对 $\∀i\∈\left[k\right],$ 计算：

$K_{i,2}=g^{r_i},K_{i,3}={\left(u^{A_i}h\right)}^{r_i}{v}^{-r}$

得到所述私钥sk_S＝(S,K₀,K₁,{K_i,2,K_i,3}_i∈[k])。

4.根据权利要求3所述的适应性选择密文安全的属性基加密方法，其特征在于，所述步骤S3进一步包括：

S301：设I＝{i:ρ(i)∈S}，随机选取其中s为要共享的随机秘密，计算{λ_i＝(My)_i}_i∈[l]，并随机选取l+1个随机指数计算：

C＝me(g，g)^αs，C₀＝g^s，

对于 $\∀i\∈\left[l\right],$ 计算：

$C_{i,1}=w^{{\mathrm{\λ}}_i}{v}^{t_i},C_{i,2}={\left(u^{\mathrm{\ρ}\left(i\right)}h\right)}^{-t_i},C_{i,3}=g^{t_i};$

S302：选取随机辅助参数设其中，X_ch＝pk_ch||(M,ρ)||C||C₀||C_0,1||C_0,1||C_0,3||C_1,1||C_1,2||C_1,3||…||C_l,1||C_l,2||C_l,3，C_0,2由计算得到，最终得到密文ct_(M,ρ)＝((M,ρ),r_ch,C,C₀,{C_i,1,C_i,2,C_i,3}_i∈[0,l])。

5.根据权利要求4所述的适应性选择密文安全的属性基加密方法，其特征在于，所述步骤S4进一步包括：

S401：根据密文计算出V＝Hash_ch(pk_ch,X_ch,r_ch)，对于验证等式e(g^-1,C_i,2)＝e(C_i,3,u^ρ(i)h)是否成立，验证等式e(g^-1,C_0,2)＝e(C_i,3,u^Vh)是否成立，如果上述等式存在不相等的情况，则密文无效，解密模块输出⊥；否则密文有效，执行步骤S402；

S402：设I＝{i:ρ(i)∈S}，计算常数集使得∑_i∈Iω_iM_i＝(1,0,…,0)，其中M_i为矩阵M的第i行，进行如下计算:

$B=\frac{e(C_0,K_0)}{{\Π}_{i\∈I}{\left(e\right(C_{i,1},K_1\left)e\right(C_{i,2},K_{j,2}\left)e\right(C_{i,3},K_{j,3}\left)\right)}^{{\mathrm{\ω}}_i}}$

最后，所述消息m可以通过计算m＝C/B而得到，完成解密。