CN107689947A - 一种数据处理的方法和装置 - Google Patents

Abstract

本发明实施例公开了一种数据处理的方法和装置，该方法包括：终端设备生成第一公钥和第一私钥；向密钥生成中心KGC发送所述第一公钥，所述第一公钥用于所述KGC或服务器生成转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据；接收所述服务器发送的第二数据，所述第二数据是所述服务器根据所述转换密钥对第一数据处理后生成的数据；根据所述第一私钥解密所述第二数据。根据本发明实施例提出的数据处理的方法和装置，无需安全信道传输密钥，主要的工作都由服务器完成，对服务器的可信任性也没有要求，从而降低了基于属性加密ABE***对终端设备性能的要求。

Description

一种数据处理的方法和装置

技术领域

本发明涉及通信领域，尤其涉及一种数据处理的方法和装置。

背景技术

ABE(Attribute-Based Encryption，属性加密)是一种基于属性进行加密的数据处理方案，ABE***可能拥有大量数据用户(为了简洁，以下，简称为“用户”)，由于私钥泄露或者用户离职等原因需要对一些用户进行吊销。间接吊销是一种常用的ABE吊销方法，通过KGC(Key Generation Center，密钥生成中心)周期性地执行密钥更新任务，使得被吊销的用户无法获得下一个周期内的私钥，从而使被吊销的用户无法解密数据。

当前，用户需要周期性地联系KGC以获取更新后的密钥，因此，密钥更新信息给用户带来的开销较大。同时，KGC需要随时在线以便通过一个安全信道将密钥信息发送给用户，且该密钥大小和***内的用户数量相关。这对ABE***的性能以及用户的处理能力都提出了较高的要求。

发明内容

有鉴于此，本发明实施例提供了一种数据处理的方法和装置，通过在常规的ABE***中引入一个不需可信的服务器，使得由于用户吊销而产生的密钥更新等任务都可以代理给该服务器，从而减少了用户处理器的运算量，使得处理能力有限的用户也可以快速访问存储于云或者其它平台中的属性加密数据。同时无需使用安全信道传输密钥，降低了对ABE***的性能要求。

一方面，本发明实施例提供了一种数据处理的方法，该方法包括：终端设备生成第一公钥和第一私钥，所述第一公钥用于加密数据，所述第一私钥用于解密所述第一公钥加密的数据；所述终端设备向密钥生成中心KGC发送所述第一公钥，所述第一公钥用于所述KGC或服务器生成转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；所述终端设备接收所述服务器发送的第二数据，所述第二数据是所述服务器根据所述转换密钥对第一数据处理后生成的数据，其中，所述第一数据是所述服务器获取的基于所述终端设备的属性结构加密的数据；所述终端设备根据所述第一私钥解密所述第二数据。

根据本发明实施例提供的数据处理的方法，终端设备生成第一公钥和第一私钥，第一公钥用于加密数据，第一私钥可以用于解密该第一公钥加密的数据。终端设备将第一公钥发送给KGC，以便于KGC或者服务器根据该第一公钥生成转换密钥，第一公钥嵌套在该转换密钥内，因此，当服务器使用该转换密钥处理基于终端设备的属性结构加密的密文后，生成的结果是第一公钥所加密的密文，终端设备持有与该第一公钥配对的第一私钥，当终端设备接收到服务器发送的部分解密的密文后，可以根据该第一私钥以及解密算法进行解密，生成明文。由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行合谋，其它设备也无法获取最终的明文。因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

可选地，所述终端设备向KGC发送第一公钥，包括：所述终端设备向所述KGC发送所述第一公钥和证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥。

终端设备在向KGC发送第一公钥时还可以向KGC发送证明信息，该证明信息用于指示该终端设备持有与第一公钥配对的第一私钥，这样，KGC就可以根据该证明信息确定生成转换密钥，如果KGC没有接收到该证明信息，则KGC可以认定第一公钥为非法公钥，并终止对第一公钥的后续处理，从而可以提高ABE***的安全性能。

可选地，所述终端设备生成第一公钥和第一私钥，包括：所述终端设备根据***参数和身份参数生成所述第一公钥和所述第一私钥，其中，所述***参数为所述KGC生成的***息，所述身份参数为所述终端设备的标识信息。

可选地，所述终端设备根据所述第一私钥解密所述第二数据，包括：所述终端设备根据所述***参数、所述身份参数和所述第一私钥解密所述第二数据。

另一方面，本发明实施例提供了一种数据处理的方法，该方法包括：密钥生成中心KGC从终端设备接收第一公钥，所述第一公钥用于加密数据；所述KGC根据所述第一公钥和所述终端设备的属性信息生成第二公钥，所述第二公钥用于服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；所述KGC向所述服务器发送所述第二公钥。

KGC接收到终端设备发送的第一公钥后，可以基于该第一公钥以及该终端设备的属性生成第二公钥，该第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据进行处理后生成的数据为基于第一公钥加密的密文，终端设备可以利用终端设备所持有的第一私钥对该基于第一公钥加密的密文进行解密，其中，第一私钥是与该第一公钥配对的密钥，可以用于解密基于第一公钥加密的数据。本发明实施例中，终端设备的属性信息可以是终端设备的具体身份信息，KGC还可以根据第一公钥和终端设备的属性集生成第二公钥。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

可选地，所述KGC生成所述第二公钥后，所述方法还包括：

所述KGC根据所述第二公钥和密钥更新信息生成转换密钥或者错误提示，所述密钥更新信息用于指示所述终端设备的吊销状态，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述KGC根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述KGC根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述转换密钥转换的结果；所述KGC向所述服务器发送所述第二公钥，包括：所述KGC向所述服务器发送所述转换密钥；或者

所述KGC向所述服务器发送所述第二公钥和所述密钥更新信息，以便于所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥或者所述错误提示。

本发明实施例的数据处理的方法，通过KGC生成用于指示终端设备是否被吊销的密钥更新信息，并根据该密钥更新信息和第二公钥生成转换密钥或者错误结果，从而可以确保未被吊销的终端设备可以获取加密数据，被吊销的终端设备不能获取加密数据，进而提高了***的安全性能。

可选地，所述KGC生成所述第二公钥前，所述方法还包括：所述KGC从所述终端设备接收证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥；所述KGC根据所述证明信息确定生成所述第二公钥。

终端设备在向KGC发送第一公钥时还可以向KGC发送证明信息，该证明信息用于指示该终端设备持有与第一公钥配对的第一私钥，这样，KGC就可以根据该证明信息确定生成第二公钥，如果KGC没有接收到该证明信息，则KGC可以认定第一公钥为非法公钥，并终止对第一公钥的后续处理，从而可以提高ABE***的安全性能。

可选地，所述KGC根据所述第一公钥和所述终端设备的属性信息生成第二公钥，包括：所述KGC根据所述第一公钥、所述终端设备的属性信息、***参数、主密钥和所述KGC的内部状态信息生成所述第二公钥和更新后的所述内部状态信息，其中，所述***参数是所述KGC生成的***息，所述主密钥是所述KGC生成的私钥。

可选地，所述KGC根据所述第二公钥和所述密钥更新信息生成所述转换密钥，包括：所述KGC根据所述第二公钥、所述密钥更新信息、所述***参数和所述身份参数生成所述转换密钥，其中，所述密钥更新信息指示所述终端设备未被吊销。

再一方面，本发明实施例提供了一种数据处理的方法，该方法包括：服务器从密钥生成中心KGC接收第二公钥，所述第二公钥用于将基于终端设备的属性结构加密的数据转换成基于所述终端设备生成的第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；所述服务器获取第一数据，所述第一数据是基于所述终端设备的属性结构加密的数据；所述服务器根据所述第二公钥将所述第一数据转换成第二数据，所述第二数据为基于所述第一公钥加密的数据；所述服务器向所述终端设备发送所述第二数据，以便于所述终端设备根据所述第一私钥解密所述第二数据。

本发明实施例提供的数据处理的方法中，第二公钥为KGC基于第一公钥和终端设备的属性信息生成的公钥，第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据进行处理后生成的数据为基于第一公钥加密的密文，终端设备可以利用终端设备所持有的第一私钥对第二数据进行解密，其中，第一私钥是与终端设备生成的密钥，可以用于解密基于第一公钥加密的数据。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

可选地，所述服务器接收所述第二公钥后，所述方法还包括：所述服务器从所述KGC接收密钥更新信息，其中，所述密钥更新信息用于指示所述终端设备的吊销状态；所述服务器根据所述第二公钥和所述密钥更新信息生成转换密钥或者错误提示，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据；所述服务器根据所述第二公钥将所述第一数据转换成第二数据，包括：所述服务器根据所述转换密钥将所述第一数据转换成所述第二数据。

本发明实施例的数据处理的方法，通过接收KGC生成的用于指示终端设备是否被吊销的密钥更新信息，并根据该密钥更新信息和第二公钥生成转换密钥或者错误结果，从而可以确保未被吊销的终端设备可以获取加密数据，被吊销的终端设备不能获取加密数据，进而提高了***的安全性能。

可选地，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，包括：所述服务器根据所述第二公钥、所述密钥更新信息、***参数和身份参数生成所述转换密钥，其中，所述***参数是所述KGC生成的***息，所述身份参数是所述终端设备的标识信息。

可选地，所述服务器根据所述转换密钥将所述第一数据转换成第二数据，包括：所述服务器根据所述转换密钥、***参数、所述终端设备的属性信息、身份参数和时间参数将所述第一数据转换成所述第二数据，其中，所述***参数是所述KGC生成的***息，所述身份参数是所述终端设备的标识信息，所述时间参数用于指示所述服务器可以使用所述转换密钥的时间。

再一方面，本发明实施例提供了一种数据处理的装置，该装置可以实现上述方面所涉及方法中终端设备所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的单元或模块。

在一种可能的设计中，该装置的结构中包括处理器和通信接口，该处理器被配置为支持该装置执行上述方法中终端设备相应的功能。该通信接口用于支持该装置与其他装置之间的通信。该装置还可以包括存储器，该存储器用于与处理器耦合，其保存该装置必要的程序指令和数据。

再一方面，本发明实施例提供了一种数据处理的装置，该装置可以实现上述方面所涉及方法中KGC所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的单元或模块。

在一种可能的设计中，该装置的结构中包括处理器和通信接口，该处理器被配置为支持该装置执行上述方法中KGC相应的功能。该通信接口用于支持该装置与其他装置之间的通信。该装置还可以包括存储器，该存储器用于与处理器耦合，其保存该装置必要的程序指令和数据。

再一方面，本发明实施例提供了一种数据处理的装置，该装置可以实现上述方面所涉及方法中服务器所执行的功能，所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个上述功能相应的单元或模块。

在一种可能的设计中，该装置的结构中包括处理器和通信接口，该处理器被配置为支持该装置执行上述方法中服务器相应的功能。该通信接口用于支持该装置与其他装置之间的通信。该装置还可以包括存储器，该存储器用于与处理器耦合，其保存该装置必要的程序指令和数据。

再一方面，本发明实施例提供了一种数据处理的装置，该装置包括上述方面所述的KGC和服务器。

再一方面，本发明实施例提供了一种通信***，该通信***包括上述方面所述的终端设备、KGC和服务器。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述终端设备所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述KGC所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

再一方面，本发明实施例提供了一种计算机存储介质，用于储存为上述服务器所用的计算机软件指令，其包含用于执行上述方面所设计的程序。

相比于现有技术，根据本发明实施例提供的数据处理的方法，终端设备不需要向其它设备发送完全解密密文所需要的密钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是适用本发明实施例的一种可能的***架构的示意图；

图2是适用本发明实施例的KUNodes算法的示意性图；

图3是本发明实施例提供的一种数据处理的方法的示意图；

图4是本发明实施例提供的另一种数据处理的方法的示意图；

图5是本发明实施例提供的再一种数据处理的方法的示意图；

图6是适用本发明实施例的一种二叉树的示意图；

图7是适用本发明实施例的另一种二叉树的示意图；

图8A是本发明实施例提供的一种可能的终端设备的示意图；

图8B是本发明实施例提供的另一种可能的终端设备的示意图；

图9A是本发明实施例提供的一种可能的KGC的示意图；

图9B是本发明实施例提供的另一种可能的KGC的示意图；

图10A是本发明实施例提供的一种可能的服务器的示意图；

图10B是本发明实施例提供的另一种可能的服务器的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

本发明实施例描述的***架构以及业务场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着***架构的演变和新业务场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。

图1为本发明实施例提供的一种SR-ABE(Server-Aided Revocable Attribute-Based Encryption，服务器帮助下的可吊销属性加密)的***架构的示意图。如图1所示，该***架构包括：终端设备(即，数据用户)110、KGC120、服务器130、云140和数据提供端150，该***架构的一种可能工作流程如下所述。

步骤1，KGC120在***初始化时运行Setup(初始化)算法，生成***公开参数；

步骤2，终端设备110运行UserKG(用户密钥生成)算法生成一对用户公私钥对，其中，该用户私钥可以解密该用户公钥加密的数据，所述终端设备110保存用户私钥，将用户公钥发送给KGC120；

步骤3，KGC120根据所述用户公钥、***公开参数、终端设备110的属性信息以及PubKG(公钥生成)算法生成一个基于属性的公钥，并将该基于属性的公钥发送给服务器130；

步骤4，KGC120周期性地执行TKeyUp(密钥更新)算法为终端设备110生成密钥更新信息，并将该密钥更新信息发送给服务器130；

步骤5，数据提供端150运行Encrypt(加密)算法对其提供的数据按照某个设定的存取结构和时间段值进行加密，并将加密生成的密文上传到云140，其中，该存取结构是基于属性的存取结构；

步骤6，终端设备110从云140获取密文，并将该密文转发给服务器130；

步骤7，如果密钥更新信息指示终端设备110未被吊销，则服务器130可以根据所述基于属性的公钥和所述密钥更新信息通过TranKG(转换密钥生成)算法生成转换密钥，该转换密钥用于处理所述密文；

步骤8，服务器130根据该转换密钥运行Transform(转换)算法，将从终端设备110获取的密文进行部分解密，并将部分解密的结果发送给终端设备110，其中，终端设备110的属性满足所述密文的存取结构的要求；

步骤9，终端设备110根据所保存的用户私钥运行Decrypt(解密)算法，将部分解密的结果进行完全解密生成明文；

步骤10，如果终端设备110需要被吊销，则KGC120可以运行Revoke(吊销)算法生成更新后的密钥更新信息，该更新后的密钥更新信息指示终端设备110已被吊销，使得服务器无法根据基于终端设备110的属性的公钥生成转换密钥，从而使终端设备110无法继续获取数据。

在图1所示的***架构中，由于转换密钥是基于终端设备110的用户公钥生成的密钥，因此，服务器130利用转换密钥对基于属性加密的密文进行转换处理后，生成的部分解密的密文是基于所述用户公钥加密的密文，只能通过终端110持有的用户私钥来解密所述部分解密的密文，这样，即使部分解密的密文被其它设备获取，其它设备也无法解密，从而保证了数据的安全。

上述适用本发明实施例的***架构仅是举例说明，本发明实施例还可应用于其它***架构，例如，图1中所示的KGC120和服务器130在某些场景中可以作为一台硬件设备的不同功能模块存在，再例如，终端设备110可以向服务器130发送指示信息，该指示信息用于指示终端设备110所需的密文，服务器130可以根据该指示信息从云140中获取相应的密文。

还应理解，图1示出的各个设备或模块的数量和名称仅是示意性举例，不代表本发明实施例的应用场景局限于图1所示的场景。

为了方便理解本发明实施例，下面，首先对与本发明相关的要素进行简要介绍。

双线性配对(Bilinear Pairing)：G和G₁是两个阶为素数p的乘法群，g是G的生成元。一个可以进行有效计算的映射如果满足以下条件，就称其为一个双线性配对映射：

双线性性：对任何

非退化性:这1指G₁的单位元。

判断性(q-1)假设：对于任何概率多项式时间算法，给定

该算法难以区分和这里q是一个给定的整数，g是群G的生成元,而是独立、均匀选取的随机数,是一个可计算的双线性配对映射。

存取结构：记P＝{P₁,...,P_n}为一主体集合。一个族称为是单调的是指它满足以下条件：对于P的任意两个子集B和C，只要B∈A且就有C∈A。一个单调的存取结构就是一个单调的、P的某非空子集构成的族A，即族A中的元素称为授权集，P的子集但不是A的元素则称为非授权集。

LSSS(Linear Secret Sharing Scheme，线性秘密共享)：记P＝{P₁,...,P_n}为一主体集合，M为一个l行n列的矩阵，ρ:{1,...,l}→P是一个把矩阵M的每一行映射到P中某一主体的标记函数。主体集P上的一个秘密共享方案Π就是满足以下条件的、Z_p上的一个线性秘密共享：

P中每个主体的秘密份额是Z_p上的一个向量；

存在一个l行n列的矩阵M(称为秘密共享Π的份额生成矩阵),使得对于x＝1,...,l,矩阵M的第x行通过标记函数ρ对应于主体ρ(i)。对于需要共享的秘密μ∈Z_p和随机选取的数r₂,...,r_n∈Z_p，记列向量则就是秘密共享方案Π下分享秘密μ所得到的l个秘密共享份额。而就是主体ρ(i)得到的共享份额。

每个LSSS都具有线性恢复的性质。假设Π是对应于某存取结构A的线性秘密共享。对于一个授权集A,定义指标集那么向量(1,0,...,0)属于矩阵M按指标I索引的所有行所扩充形成的空间内，且存在常数集{w_i∈Z_p}_i∈I使得：对于根据Π生成的某个秘密μ的任何有效秘密共享份额{v_i}，秘密μ都可以按恢复出来。而且，这些常数{w_i}可以在以份额生成矩阵M大小的多项式时间内计算出来。

另一方面，对一个非授权集A’,就不存在这样的常数集{w_i}。进一步，如果令I’＝{i|ρ(i)∈A’},那么存在一个向量使得其首个分量w₁可以是Z_p中的任何非零元素但对任何i∈I’，这里M_i是矩阵M的第i行。

访问控制策略也可以用单调的布尔公式来描述。线性秘密共享(LSSS)存取结构更一般化，而且可从布尔公式表示导出。也就是说，有标准的方法将任何单调的布尔公式转化为对应的线性秘密共享份额生成矩阵M。同时，布尔公式可以表示为访问控制树，其中内部节点对应于AND门和OR门,而叶节点则对应于属性。对应LSSS秘密共享份额生成矩阵M的行数就是访问控制树叶节点数，也即属性总数。

二叉树和KUNodes算法

如图2所示，记BT为有N个叶节点的二叉树，对应于N个用户。令root为二叉树BT的根节点。对叶节点θ，用Path(θ)表示从θ到root路径上所有节点的集合(包含θ和root本身)。若θ不是叶节点，则用θ_l和θ_r分别表示θ的左、右子节点。假设树中的节点都唯一编码为字符串，而树由其节点的表述来定义。算法KUNodes用来计算需要进行密钥更新的最小节点集以使得只有时间段t未被吊销的用户才能解密该时间段内生成的密文。该算法以二叉树BT、吊销列表rl及时间段值t为输入,输出BT中的一个最小节点集使得吊销列表rl中的任何节点没有任何祖先(包含节点自己)在该集合内，而其他节点(即所有未吊销节点)有且仅有一个祖先(包含节点自己)在该集合内。注意时间段t时的吊销列表rl包含所有该时间段及之前被吊销的所有用户。图2中给出了KUNodes算法的工作示意。该算法首先将所有被吊销节点的所有祖先节点标记为被吊销节点，然后输出这些被吊销节点的未被吊销子节点。KUNodes严格描述如下：

下面，将结合图3至图5，详细描述本发明实施例提供的数据处理的方法。

图3示出了根据本发明一实施例的数据处理的方法的示意性流程图，如图3所示，该方法300包括：

S310，终端设备生成第一公钥和第一私钥，所述第一公钥用于加密数据，所述第一私钥用于解密所述第一公钥加密的数据；

S320，所述终端设备向密钥生成中心KGC发送所述第一公钥，所述第一公钥用于所述KGC或服务器生成转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；

S330，所述终端设备接收所述服务器发送的第二数据，所述第二数据是所述服务器根据所述转换密钥对第一数据处理后生成的数据，其中，所述第一数据是所述服务器获取的基于所述终端设备的属性结构进行加密生成的数据；

S340，所述终端设备根据所述第一私钥解密所述第二数据。

本发明实施例中，终端设备可以是物联网(Internet of Things，IoT)中的终端设备，也可以机器与机器(Machine to Machine，M2M)通信***中的终端设备或无线传感器(Wireless Sensor Network，WSN)网络中的终端设备，还可以是其它类型的终端设备。

终端设备生成的第一公钥和第一私钥成对出现，第一公钥可以用于加密数据，第一私钥可以用于解密该第一公钥加密的数据。终端设备将第一公钥发送给KGC，以便于KGC或者服务器根据该第一公钥生成转换密钥，该转换密钥是基于终端设备的属性(终端设备的属性基于终端设备的用户的属性，例如，用户被吊销时，终端设备的属性也随之改变)的密钥，并且第一公钥嵌套在该转换密钥内，因此，当服务器使用该转换密钥处理基于终端设备的属性结构加密的密文(即，第一数据)后，生成的结果是与第一公钥绑定的部分解密的密文(即，第二数据)，实际上该部分解密的密文是被第一公钥所加密的密文，终端设备持有与该第一公钥配对的第一私钥，当终端设备接收到服务器发送的部分解密的密文后，可以根据该第一私钥以及解密算法进行解密，生成明文。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

可选地，所述终端设备向KGC发送第一公钥，包括：

S321，所述终端设备向所述KGC发送所述第一公钥和证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥。

终端设备在向KGC发送第一公钥时还可以向KGC发送证明信息，该证明信息用于指示该终端设备持有与第一公钥配对的第一私钥，这样，KGC就可以根据该证明信息确定生成转换密钥，如果KGC没有接收到该证明信息，则KGC可以认定第一公钥为非法公钥，并终止对第一公钥的后续处理，从而可以提高ABE***的安全性能。

可选地，所述终端设备生成第一公钥和第一私钥，包括：

S311，所述终端设备根据***参数和身份参数生成所述第一公钥和所述第一私钥，其中，所述***参数为所述KGC生成的***息，所述身份参数为所述终端设备的标识信息。

***参数是KGC生成的***息，***中任意一个设备都可以获取到，例如，该***参数可以是KGC输入安全参数λ并执行ABE的***设定算法生成的，(par,msk)←ABE.Setup(1^λ)，其中，par是***参数，msk是主密钥，ABE.Setup为基于属性加密的***设定算法。

终端设备可以根据***公开参数par、用户身份id(即，身份参数)以及ElGamal密钥生成算法生产终端设备密钥对(即，第一公钥和第一私钥)：(sk_id,pk_id)←ElGamal.KeyGen(1^λ)，其中，sk_id为第一私钥，pk_id为第一公钥，ElGamal.KeyGen为ElGamal密钥生成算法。

可选地，所述终端设备根据所述第一私钥解密所述第二数据，包括：

S341，所述终端设备根据***参数、身份参数和所述第一私钥解密所述第二数据，其中，所述***参数为所述KGC生成的***息，所述身份参数为所述终端设备的标识信息。

终端设备可以根据***参数par，用户身份id，第一私钥sk_id、转换密文(即，第二数据)CT’以及ElGamal解密算法输出明文(即，目标数据)：m’←ElGamal.Dec(sk_id,CT’)，其中，ElGamal.Dec为ElGamal解密算法，m’为明文。

上述实施例仅是举例说明，本发明实施例不限于此，任何可以生成第一公钥、第一私钥的算法以及解密第二数据的算法都落入本发明的保护范围。

本发明实施例的数据处理的方法，终端设备生成公私钥对，将公钥发送给KGC，以便于生成转换密钥，转换密钥用于所述服务器将基于所述终端设备的属性加密的数据转换成基于所述公钥加密的数据，只有该终端设备可以利用自己持有的私钥解密所述基于所述公钥加密的数据，从而，无需使用安全信道传输私钥，对服务器的安全性能也无要求，此外，由于终端设备所持有的私钥可以为一常数，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

上面结合图3从终端设备的角度详细描述了根据本发明实施例的数据处理的方法，下面，将结合图4，从KGC的角度详细描述根据本发明实施例的数据处理的方法。

图4示出了根据本发明另一实施例的数据处理的方法的示意性流程图，如图4所示，该方法400包括：

S410，密钥生成中心KGC从终端设备接收第一公钥，所述第一公钥用于加密数据；

S420，所述KGC根据所述第一公钥和所述终端设备的属性信息生成第二公钥，所述第二公钥用于服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的的第一私钥解密所述基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；

S430，所述KGC向所述服务器发送所述第二公钥。

KGC接收到终端设备发送的第一公钥后，可以基于该第一公钥以及该终端设备的属性生成第二公钥，该第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据进行处理后生成的数据为基于第一公钥加密的密文，终端设备可以利用终端设备所持有的第一私钥对该基于第一公钥加密的密文进行解密，其中，第一私钥是与该第一公钥配对的密钥，可以用于解密基于第一公钥加密的数据。本发明实施例中，终端设备的属性信息可以是终端设备的具体身份(id)信息，KGC还可以根据第一公钥和终端设备的属性集(即，多个属性的集合)生成第二公钥。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

可选地，所述KGC生成所述第二公钥后，所述方法还包括：

S421，所述KGC根据所述第二公钥和密钥更新信息生成转换密钥或者错误提示，所述密钥更新信息用于指示所述终端设备的吊销状态，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述KGC根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述KGC根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述转换密钥转换的结果；所述KGC向所述服务器发送所述第二公钥，包括：S422，所述KGC向所述服务器发送所述转换密钥；或者

S423，所述KGC向所述服务器发送所述第二公钥和所述密钥更新信息，以便于所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥或者所述错误提示。

如果终端设备当前为未被吊销状态，则KGC可以根据指示终端设备未被吊销的吊销列表生成密钥更新信息，该密钥更新信息用于指示终端未被吊销，并根据第二公钥和该密钥更新信息生成转换密钥，该转换密钥仍是基于终端设备的属性的密钥，并且嵌套有第一公钥，KGC将转换密钥发送给服务器，服务器可以利用该转换密钥将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的的第一私钥解密所述转换密钥转换的结果。

或者，KGC也可以将第二公钥和指示终端设备未被吊销的密钥更新信息发送给服务器，以便于服务器根据第二公钥和该密钥更新信息生成所述转换密钥。

如果终端设备当前为被吊销状态，则KGC可以根据指示终端设备被吊销的吊销列表生成密钥更新信息，所述密钥更新信息用于指示终端设备已被吊销，则KGC根据该密钥更新信息和第二公钥生成错误提示。

或者，KGC也可以将第二公钥和指示终端设备被吊销的密钥更新信息发送给服务器，以便于服务器根据第二公钥和该密钥更新信息生成所述错误提示。

本发明实施例的数据处理的方法，通过KGC生成用于指示终端设备是否未被吊销的密钥更新信息，并根据该密钥更新信息和第二公钥生成转换密钥，从而可以确保未被吊销的终端设备可以获取加密数据，被吊销的终端设备不能获取加密数据，进而提高了***的安全性能。

可选地，所述KGC生成所述第二公钥前，所述方法400还包括：

S411，所述KGC从所述终端设备接收证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥；

S412，所述KGC根据所述证明信息确定生成所述第二公钥。

终端设备在向KGC发送第一公钥时还可以向KGC发送证明信息，该证明信息用于指示该终端设备持有与第一公钥配对的第一私钥，这样，KGC就可以根据该证明信息确定生成第二公钥，如果KGC没有接收到该证明信息，则KGC可以认定第一公钥为非法公钥，并终止对第一公钥的后续处理，从而可以提高ABE***的安全性能。

可选地，所述KGC根据所述第一公钥和所述终端设备的属性信息生成第二公钥，包括：

S426，所述KGC根据所述第一公钥、所述终端设备的属性信息、***参数、主密钥和所述KGC的内部状态信息生成所述第二公钥和更新后的所述内部状态信息，其中，所述***参数是所述KGC生成的***息，所述主密钥是所述KGC生成的私钥。

KGC可以在初始化时生成***参数par和主密钥msk，例如，终端设备输入安全参数λ,并执行ABE的***设定算法:(par,msk)←ABE.Setup(1^λ)，其中，ABE.Setup为基于属性加密的***设定算法。另外，该算法准备一个初始为空吊销列表rl和状态信息st。最后输出(par,msk,rl,st)。

如果KGC确定生成第二公钥，则可以按照如下方法生成第二公钥：输入***参数par，主密钥msk，第一公钥pk_id，一个属性集合A(即，包括终端设备的多个属性信息的集合)和KGC的内部状态st，首先运行ABE的密钥生成算法来获得中间密钥sk_A,id←ABE.KeyGen(msk,A,id,st)，其中，ABE.KeyGen为基于属性加密的密钥生成算法，然后，用ElGamal加密算法来加密中间密钥，然后输出终端设备的属性密钥(即，第二公钥):ElGamal.Enc(pk_id,sk_A,id)，其中，ElGamal.Enc为ElGamal加密算法，ElGamal加密算法可以加密中间密钥sk_A,id的全部内容，提高安全性能，也可以只加密中间密钥sk_A,id的其中一部分，减轻KGC的运算负担。

可选地，所述KGC根据所述第二公钥和所述第一密钥更新信息生成所述转换密钥，包括：

S427，所述KGC根据所述第二公钥、所述第一密钥更新信息、所述***参数和所述身份参数生成所述转换密钥，其中，所述密钥更新信息指示所述终端设备未被吊销。

KGC可以通过如下方法生成第一密钥更新信息：输入***参数par，主密钥msk，时间段值t，吊销列表rl和内部状态st，该算法运行ABE的密钥更新算法，输出第一密钥更新信息tku_t←ABE.KeyUpdate(msk,rl,t,st)，其中，ABE.KeyUpdate为基于属性加密的密钥更新算法，所述吊销列表rl包括所述终端设备，内部状态st会被密钥更新算法所更改。

进而KGC可以通过如下方法生成转换密钥：输入***参数par，用户身份id(即，身份参数)，第二密钥和第一密钥更新信息tku_t，输出转换密钥

上述实施例仅是举例说明，本发明实施例不限于此，任何可以生成第二公钥、第一密钥更新信息以及转换密钥的算法都落入本发明的保护范围。

本发明实施例的数据处理的方法，KGC接收终端设备发送的第一公钥，并根据第一公钥生成基于终端设备的属性的第二公钥，从而可以将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，只有该终端设备可以利用自己持有的第一私钥解密所述基于所述第一公钥加密的数据，从而，无需使用安全信道传输私钥，对服务器的安全性能也无要求，此外，由于终端设备所持有的私钥可以为一常数，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

上面结合图4从KGC的角度详细描述了根据本发明实施例的数据处理的方法，下面，将结合图4，从服务器的角度详细描述根据本发明实施例的数据处理的方法。

图5示出了根据本发明再一实施例的数据处理的方法的示意性流程图，如图5所示，该方法500包括：

S510，服务器从密钥生成中心KGC接收第二公钥，所述第二公钥用于将基于终端设备的属性结构加密的数据转换成基于所述终端设备生成的第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；

S520，所述服务器获取第一数据，所述第一数据是基于所述终端设备的属性结构加密的数据；

S530，所述服务器根据所述第二公钥将所述第一数据转换成第二数据，所述第二数据为基于所述第一公钥加密的数据；

S540，所述服务器向所述终端设备发送所述第二数据，以便于所述终端设备根据所述第一私钥解密所述第二数据。

本发明实施例中，第二公钥为KGC基于第一公钥和终端设备的属性信息生成的公钥，第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据(即，第一数据)进行处理后生成的数据为基于第一公钥加密的密文(即，第二数据)，终端设备可以利用终端设备所持有的第一私钥对第二数据进行解密，其中，第一私钥是终端设备生成的与该第一公钥配对的密钥，可以用于解密基于第一公钥加密的数据。

在本发明实施例中，第二公钥可以是KGC基于第一公钥和终端设备的属性信息生成的公钥，也可以是KGC基于第一公钥、终端设备的属性信息和密钥更新信息生成的公钥(也可称为“转换密钥”)，其中该密钥更新信息用于指示终端设备未被吊销。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

可选地，所述服务器接收所述第二公钥后，所述方法500还包括：

S511，所述服务器从所述KGC接收密钥更新信息，其中，所述密钥更新信息用于指示所述终端设备的吊销状态；

S512，所述服务器根据所述第二公钥和所述密钥更新信息生成转换密钥或者错误提示，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据；

所述服务器根据所述第二公钥将所述第一数据转换成第二数据，包括：

S531，所述服务器根据所述转换密钥将所述第一数据转换成所述第二数据。

如果终端设备当前为未被吊销状态，则KGC可以根据指示终端设备未被吊销的吊销列表生成密钥更新信息，该密钥更新信息用于指示终端未被吊销，服务器可以根据第二公钥和该密钥更新信息生成转换密钥，该转换密钥仍是基于终端设备的属性的密钥，并且嵌套有第一公钥，服务器可以利用该转换密钥将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的的第一私钥解密所述转换密钥转换的结果。

如果终端设备当前为被吊销状态，则KGC可以根据指示终端设备被吊销的吊销列表生成密钥更新信息，所述密钥更新信息用于指示终端设备已被吊销，服务器可以根据该密钥更新信息和第二公钥生成错误提示。

本发明实施例的数据处理的方法，通过接收KGC生成的用于指示终端设备未被吊销的密钥更新信息，并根据该密钥更新信息和第二公钥生成转换密钥，从而可以确保未被吊销的终端设备可以获取加密数据，被吊销的终端设备不能获取加密数据，进而提高了***的安全性能。

可选地，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，包括：

S515，所述服务器根据所述第二公钥、所述密钥更新信息、***参数和身份参数生成所述转换密钥，其中，所述***参数是所述KGC生成的***息，所述身份参数是所述终端设备的标识信息。

***参数是KGC生成的***息，***中任意一个设备都可以获取到，例如，该***参数可以是KGC输入安全参数λ并执行ABE的***设定算法生成的，(par,msk)←ABE.Setup(1^λ)，其中，par是***参数，msk是主密钥，ABE.Setup为基于属性加密的***设定算法。

服务器可以通过如下方法生成转换密钥：输入***参数par，用户身份id(即，身份参数)，第二密钥和第一密钥更新信息tku_t，输出转换密钥

可选地，所述服务器根据所述转换密钥将所述第一数据转换成第二数据，包括：

S532，所述服务器根据所述转换密钥、***参数、所述终端设备的属性信息、身份参数和时间参数将所述第一数据转换成所述第二数据，其中，所述***参数是所述KGC生成的***息，所述身份参数是所述终端设备的标识信息，所述时间参数用于指示所述终端设备在当前时刻所述转换密钥可以使用。

服务器可以通过以下方法将第一数据转换成第二数据：输入***参数par，用户身份id(即，身份参数)，属性集合A，转换密钥tk_id,t和密文CT(即，第一数据)，该算法运行ABE的解密算法，输出转换密文 其中，ABE.Dec为基于属性加密的解密算法，为转换密钥。

上述实施例仅是举例说明，本发明实施例不限于此，任何可以生成转换密钥以及根据转换密钥将第一数据转换为第二数据的算法都落入本发明的保护范围。

本发明实施例的数据处理的方法，服务器从KGC接收第二公钥，该第二公钥可以是KGC基于第一密钥更新信息生成的公钥(即，转换密钥)，该第一密钥更新信息用于指示终端设备未被吊销，该第二公钥也可以是KGC没有基于所述第一密钥更新信息生成的公钥，服务器可以根据该第二公钥将基于所述终端设备的属性加密的数据转换成基于第一公钥加密的数据，只有该终端设备可以利用自己持有的第一私钥解密所述基于所述第一公钥加密的数据，从而，无需使用安全信道传输私钥，对服务器的安全性能也无要求，此外，由于终端设备所持有的私钥可以为一常数，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

下面，再举出两个根据本发明实施例的数据处理的方法的具体实施方式。

实施例一

令G是一个具有素数阶p的群。为保证离散对数问题足够困难，p建议不短于512比特。表示双线性对，而g是G的生成元。本发明所提出的服务器帮助下的可吊销ABE包含如下算法：

Setup.以安全参数1^λ为输入，该算法随机选取阶为素数p的群G及其生成元g∈G。另外，该算法随机选取u,h,u₀,h₀,w,v∈G,α∈Z_p.令rl是初始为空的表以存储被吊销的用户，而BT是有至少N个叶结点的二叉树。定义将任意数值y∈Z_p映射到G中元素的两个函数F₁和F₂如下：F₁(y)＝u^yh，F₂(y)＝u₀ ^yh₀。最后，***主私钥msk＝α，***公开参数为 以及表rl和状态信息st＝BT。

UserKG.以***参数par和某身份id为输入，该算法随机选取β∈Z_p,并为用户id输出用户私钥、公钥对(sk_id,pk_id)＝(β,g^β)。

PubKG.该算法以***公开参数par、主私钥msk、身份id及其用户公钥pk_id、该用户的属性集A和状态信息st为输入。记A₁,…,A_k为属性集A的各个属性。该算法首先从二叉树BT中选取一个未定义的节点θ，并把身份信息id存储于该节点。随后，对于每个节点x∈Path(θ)执行以下步骤：

从节点x获取g_x。若对于x尚未定义该数值，则随机选取g_x∈G，并将g_x存储于节点x。之后，计算g_x'＝pk_id ^α/g_x。

随机选取r_x,r_x,1,...,r_x,k∈Z_p，并计算

最后，该算法输出用户属性公钥和更新后的st。

TKeyUp.该算法以***公开参数par、主私钥msk、一个时间段值t，吊销列表rl和状态信息st为输入。对于每个节点x∈KUNodes(BT,rl,t)，获取其对应的g_x。然后随机选s_x∈Z_p，输出转换密钥更新信息tku_t＝{x,Q_x,1,Q_x,2}_{x∈KUNodes(BT,rl,t)}。其中，

TranKG.该算法以***公开参数par、某身份id及其用户属性公钥转换密钥更新信息tku_t为输入。记Path(θ)为I及KUNodes(BT,rl,t)为J。该算法先将解析为将tku_t解析为{x,Q_x,1,Q_x,2}_x∈J。若I∩J＝Φ，即I和J的交集为空，该算法返回⊥(表示该用户已被吊销，转换密钥生成出错，即“错误提示”)。否则，对每个节点x∈I∩J，该算法随机选取r_x',r_x,1',…,r_x,k',s_x'∈Z_p，并为用户id输出转换密钥 其中，

Encrypt.该算法以***公开参数par、某线性秘密共享访问控制结构(M,ρ)、某时间段值t及消息m为输入，随机选取一向量 其中，μ是用于加密消息的秘密指数。对每个i＝1到l，计算 其中M_i是M的第i行。另外，再随机选取μ₁,…,μ_l∈Z_p后，输出密文其中

C₁＝g^μ,

C₅＝F₂(t)^μ.

Transform.该算法以***公开参数par、身份id及对应用户转换密钥tk_id,t、用户属性集A、时间段值t及带有访问控制结构(M,ρ)的密文CT为输入。假设A满足访问存取结构(M,ρ)。记I为I＝{i:ρ(i)∈A}，而{w_i∈Z_p}_i∈I为一系列常数值使得只要{v_i}是某秘密μ按照(M,ρ)所得到的有效秘密共享分额，则有该算法将密文CT解析为 如果属性集A和转换密钥tk_id,t不满足CT中所给出的存取结构(M,ρ),就输出特别符号⊥表明转换失败。否则，就按下式输出转换后密文(即部分解密密文)CT’＝(C₀’,C₀)：

Decrypt.该算法以***公开参数par、身份id及对应用户私钥sk_id、转换后的密文CT’＝(C₀’,C₀)为输入。若C₀’或C₀不属于群G₁，则输出操作失败。否则，按下式计算并输入明文消息：

Revoke.该算法以身份值id,时间段值t,吊销名单rl及状态信息st为输入。对所有与身份id相关联的节点x，将(x,t)添加到rl,然后输出更新后的吊销名单rl。

通过定义选择明文攻击不可区分性(IND-CPA)安全模型，可以定义SR-ABE的安全性。其中通过给出攻击算法和挑战算法，形式化地考虑现实中可能的安全威胁和攻击者在标准ABE安全中的能力。而攻击者可以获取其所选取的数据用户的私钥和公开的用户属性密钥。这时，对于被挑战的访问控制结构，攻击者不应该得到有关加密信息的任何部分信息。另外，安全模型中允许攻击者可访问周期性密钥更新信息、不同时间段的转换密钥信息已经可按攻击者自己的需要吊销用户的能力。这时，对于属性满足被挑战的访问控制结构而已被吊销的任何用户，若加密时该用户已被吊销，则攻击者不应该得到有关加密信息的任何部分信息。

在判断性(q-1)假设下，本发明实施例所提出的服务器帮助下的可吊销ABE方案是上述选择性IND-CPA安全定义下标准模型中可证明安全的。

实施例二

首先对本实施例所使用的符号进行说明。

T_t:我们将使用二叉树进行时间段管理。假设Q是在叶节点存储所有时间戳(上界为q)的二叉树。例如，对于q＝8的情况下，树Q如图6所示。根节点被命名为r-“*”，其中r＝log₂q＝3。左侧的每一个子节点，第一个*由0代替；右侧的每一个子节点，第一个*被1替换。整个树的节点可以这样命名。

对于每一个密文，T_t仅包括时间t与所有时间大于t的节点的组合。例如，如果当前时间是3(二进制表示为011)，那么T_t＝{011,1**}包括叶节点3－7。如果当前时间是5(二进制表示为101)，那么T_t＝{101,11*}包括叶节点5－7。很容易可以看到，T_t的最大尺寸等于树的高度(等于log₂q)。因此，一个用户在时间4(二进制是100)的密钥可以解密上述的第一个密文(时间戳3－7)，但不可以解密上述的第二个密文(时间戳5－7)。

Path(ID):我们将使用一棵树U进行撤销管理，并使用身份ID标记叶节点。关于一组叶结点V，函数U(V)返回一个(确定性选定的)U的节点的集合，使得叶节点v的一些祖先是包含在U(V)当且仅当v∈V。这样的函数存在，并且可以在多项式时间中(Ⅴ的尺寸和ID的大小)来计算。定义字符串ID从U的根到叶v_ID(包括根和叶)的节点集合为Path(ID)。

如图7所示，图7示出的树U代表所有用户，假设V＝{000,011}是一组被撤销的用户。那么U(V)＝{000,00*,0**,***,011,01*}(其中包含000和011的祖先)。另外Path(011)＝{011,01*,0**,***}(其中包含从根到011的路径)。

ω_i,b:我们将使用ω_i,b来描述与时间段相关的属性。此处索引i用来表示在树的级层。根为第0级，其子节点为第1级等等。最大的等级是r＝log₂q。索引b是0或1，表示在第i级的值。例如，对于时间＝101，该组相关的属性＝{ω_1,1,ω_2,0,ω_3,1}。

(B_y,β_y):时间y的访问控制策略。假如B是一个2r行(r+1)列的矩阵，其为一个2乘2的全为1的矩阵沿对角线级联而成；而其他地方的值为0。下面是r＝3时的例子:

标记矩阵B的行为b_1,0,b_1,1,b_2,0,b_2,1,…,b_r,0,b_r,1按降序排列。对于矩阵B的所有行，定义标签β为β(b_i,d)＝ω_i,d。现在我们为时间y定义访问控制策略(B_y,β_y)。对于每个属于[1,…,r]的索引i，如果在第i级的相应的y值(表示为y[i])不是*，我们将从矩阵B中消除行b_i,y[i]，从而得到矩阵B_y。例如r＝3和y＝01*，矩阵B_y和标签β_y(由下面的箭头表示)是：

注意一组属性S满足(B_y,β_y)当且仅当：(1)对所有的i使得y[i]不等于*，则ω_i,y[i]包含在S之内；及(2)对所有的i使得y[i]＝*，则ω_i,0或ω_i,1包含在S之内。

(M,ρ)V(B_y,β_y):我们使用符号(M,ρ)V(B_y,β_y)表示两个LSSS策略(M,ρ)与(B_y,β_y)的组合，即通过顺序添加行B_y到矩阵M(并填充为相同长度)而生成的LSSS策略。

实施例二的具体实施方式如下：

Setup(1^λ):输入安全参数λ,选择一个阶N＝p₁p₂p₃的双线性群G(阶等于三个随机素数相乘，达到安全强度λ)。随机选择α,α∈Z_N与并准备一个初始为空吊销列表rl和状态st。对所有i，随机选择设定msk＝(α,X₃)，

par＝(N,g,g^a,e(g,g)^α,{T_i＝g^si for all i})

它输出(par,msk,rl,st)。

UserKG(par,id):输入***公开参数par和用户身份id，随机选择β∈Z_N，输出sk_id＝β,pk_id＝g^β。

PubKG(par,msk,id,pk_id,A,st):输入***公开参数par，主密钥msk，用户公钥pk_id，一个属性集合A和KGC的内部状态st，对所有x∈Path(id)，计算：

在内部状态st查找(x,α_x)。如果不存在，则随机选择α_x∈Z_N，并把(x,α_x)保存在st。

随机选择t_x∈Z_N，计算：

输出

TKeyUp(par,msk,t,rl,st):输入***公开参数par，主密钥msk，时间段t，吊销列表rl和内部状态st，对所有x∈U(rl)(吊销列表的树)，计算：

表示集S＝{ω_i,t[i]:i∈[r]}为时间相关的属性。

在内部状态st查找(x,α_x)。如果不存在，则随机选择α_x∈Z_N，并把(x,α_x)保存在st。

随机选择t_x∈Z_N，计算：

输出

输入***公开参数par，用户身份id，公共属性密钥和密钥更新信息tku_t，假如用户身份id不在tku_t的rl之内，那么必定有一个节点x既属于U(rl)又属于Path(id)。对于此x，相应的密钥更新信息是：

输出tk_id,t＝(SK₀,SK₁)。

Encrypt(par,(M,ρ),t,m):输入***公开参数par，访问控制策略(M,ρ)，时间t和明文m，为所有y∈T_t，建立LSSS控制策略随机选择v＝(s,v₂,…,v_n)∈Z_N ⁿ和r_i∈Z_N(所有i∈[n])。计算：

输出密文CT_t＝({C_y,C_y′,{C_y,i,D_y,i}_i∈[n]:for all y∈T_t},(M,ρ))。

Transform(par,id,A,tk_id,t’,CT_t):输入***公开参数par，用户身份id，属性集合A，转换密钥tk_id,t’和密文CT_t；如果t’≥t，那么存在y∈T_t，使得y是t’的祖先。对于此y，在密文CT_t提取(C_y,C_y′,{C_y,i,D_y,i}_i∈[n])。表示tk_id,t’＝(SK₀,SK₁)，其中SK₀＝{K_x,0,{K_x,i,0:i∈A},K*_x,0}和SK₁＝{K_x,1,{K_x,i,1:i∈A},K*_x,1}。

首先，计算ω_i∈Z_N使得然后计算：

上述两个数值使得我们可以计算同样地，我们可以使用SK₁如下计算出

最后输出CT’＝(C_y,CT’₀,CT’₁)。

Decrypt(par,id,sk_id,CT’):输入***公开参数par，用户身份id，用户私钥sk_id＝β和转换密文CT’＝(C_y,CT’₀,CT’₁)，输出明文

Revoke(id,t,rl):输入吊销用户身份id、时间段t、吊销列表rl和状态信息st,将{(id,t)}添加到rl作为更新后的吊销列表rl输出。

本发明实施例还可以作以下扩展：

扩展1:选择密文攻击不可区分(IND-CCA安全)下的方案.本发明提出的上述SR-ABE方案只满足较弱的IND-CPA安全性。利用现有的几种普适性方法，可以将IND-CPA安全的加密方案转化为IND-CCA安全的。

比如，1999年提出的Fujisaki-Okamoto方法就可以将本发明提出的基于属性或身份的IND-CPA安全加密方案提升为IND-CCA安全的。利用一个IND-CCA安全的对称钥加解密方案(E,D)和两个哈希函数G和H，该方法加密时进行如下操作：(1)加密一个消息m时，先选取一个随机数r，然后利随机数G(r)使用ABE把r作为消息加密，生成C1＝ABE.Enc(r；G(r))；(2)再利用对称秘钥H(r)加密消息m，即生成C2＝E(H(r),m)；(3)最后输出密文(C1,C2)。解密密文(C1,C2)时操作如下：(1)通过ABE解密C1得到r；(2)计算出ABE.Enc(r；G(r))并比较该值是否等于C1，否则返回錯误；(3)若步骤(2)成功，则使用对称钥H(r)解密C2得到消息m。

再比如，2011年提出的Yamada-Attrapadung-Hanaoka-Kunihiro方法也可以将本发明提出的基于属性的IND-CPA安全加密方案提升为IND-CCA安全的。利用一个一次性签名方案(S,V)，该方法加密时进行如下操作：(1)加密一个消息m时，先随机生成一对一次性签名方案公私钥(vk，sk)；(2)把vk加原来的访问控制策略Y得到新的访问控制策略Y’(例如Y’＝Y or vk)；(3)由此计算出密文为(C1,C2,vk)，其中C1为利用ABE和访问控制策略Y’把消息m加密后的输出，C2为利用sk把C1进行一次性签名的输出。解密时进行如下操作：(1)利用vk和C1验***签名C2，如不通过返回錯误；(2)若一次性签名C2通过验证，怎使用ABE解密C1得到消息m。

扩展2:加密长数据.为提高加密长数据时的效率，可以在本专利提出的属性加密方案的算法Encrypt中用一个对称密钥k替代消息m，然后用k按对称加密的方式加密长数据本身。这样用户收到服务器部分解密的结果后，利用自己的长期私钥即可解恢复出对称密钥k，然后利用k按所使用的对称加密算法最终解密出长数据。

扩展3:服务器帮助下的可吊销密钥策略属性加密方案(SR-KP-ABE).基于文献[1](N.Attrapadung and H.Imai.Attribute-based encryption supporting direct/indirect revocation modes.In Cryptography and Coding,12th IMA InternationalConference,Cryptography and Coding 2009,Cirencester,UK,December 15-17,2009.Proceedings,volume 5921of Lecture Notes in Computer Science,pages 278–300.Springer,2009.)提出的间接吊销KP-ABE，利用上述实施例中所使用的技术，可以得到一个服务器帮助下的可吊销KP-ABE方案。简要描述如下：

Setup算法与文献[1]相同，但不需要设置参数a_x。

将上述UserKG算法直接添加到文献[1]的方案中。

通过设定将文献[1]中的KeyGen算法变为PubKG算法。

KeyUpdate算法、Encrypt算法和Revoke算法与文献[1]中的相同。

将文献[1]中的带有解密结果的Decrypt算法作为所需添加的Transform算法。

最后，把文献[1]的Decrypt算法替换为上述SR-ABE方案中的Decrypt算法。

扩展4:服务器帮助下的可吊销基于身份加密(SR-IBE).文献[2](B.Qin,R.H.Deng,Y.Li,and S.Liu.Server-aided revocable identity-based encryption.InComputer Security-ESORICS 2015-20th European Symposium on Research inComputer Security,Vienna,Austria,September 21-25,2015,Proceedings,Part I,volume 9326of Lecture Notes in Computer Science,pages 286–304.Springer,2015)提出SR-IBE方案以减轻由于吊销而导致的用户工作量增加，但该方案的效率还不够好。一方面，需要安全信道来给***内的所有用户传递私钥，而安全信道的建立不容易。另一方面，用户解密时的计算量可以进一步缩减。具体来说，文献[2]提出的SR-IBE可改进如下：

设置g₁＝g^α以及主私钥为α。

用上述SR-ABE中的UserKG算法替代文献[2]中的PrivKG算法。

将文献[2]中的g_x,1＝h^α/g_x,2定义为g_x,1＝pk_id ^α/g_x,2。

按照扩展1和扩展2所描述的方法，本发明实施例提供的数据处理的方法可以被扩展为IND-CCA2安全的，或使用对称密码技术支持长消息加密，或既IND-CCA2安全又支持长消息加密。

此外，扩展3所述的方法也可被扩展成IND-CCA2安全，或使用对称密码技术支持长消息加密，或既支持IND-CCA2安全又支持长消息加密。扩展4所述的方法可被扩展成IND-CCA2安全，或使用对称密码技术支持长消息加密，或既支持IND-CCA2安全又支持长消息加密。

另外，在本发明实施例中，通过使用ElGamal加密与任何满足某种以下性质的可吊销属性加密来构造。其中PubKG算法包括利用ElGamal加密所有或部分基于属性的密钥；Transform算法运行ABE.Dec算法解密；Decrypt算法运行ElGamal.Dec算法解密。上述一般性构造中使用的可吊销属性加密须满足以下性质：

ElGamal.Dec(sk_id,ABE.Dec(pk_id ^A,tku_t,CT))＝ABE.Dec(ElGamal.Dec(sk_id,pk_id ^A),tkut,CT)。这意味着ElGamal解密和可吊销属性解密的顺序可以互换。

上述实施例主要从各个装置之间交互的角度对本发明实施例的方案进行了介绍。可以理解的是，各个装置，例如终端设备、密钥生成中心、服务器等为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

本发明实施例可以根据上述方法示例对终端设备、密钥生成中心和服务器进行功能单元的划分，例如，可以对应各个功能划分各个功能单元，也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。需要说明的是，本发明实施例中对单元的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

在采用集成的单元的情况下，图8A示出了上述实施例中所涉及的终端设备的一种可能的结构示意图。终端设备800包括：处理单元802和通信单元803。处理单元802用于对终端设备800的动作进行控制管理，例如，处理单元802用于支持终端设备800执行图1的步骤2和步骤9，处理单元802还可以用于支持终端设备800执行图3的S310和S340，和/或用于本文所描述的技术的其它过程。通信单元803用于支持终端设备800与其它网络实体的通信，例如与图1中示出的KGC120或服务器130之间的通信。终端设备800还可以包括存储单元801，用于存储终端设备500的程序代码和数据。

其中，处理单元802可以是处理器或控制器，例如可以是中央处理器(CentralProcessing Unit，CPU)，通用处理器，数字信号处理器(Digital Signal Processor，DSP)，专用集成电路(Application-Specific Integrated Circuit，ASIC)，现场可编程门阵列(Field Programmable Gate Array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元803可以是通信接口、收发器、收发电路等，其中，通信接口是统称，可以包括一个或多个接口。存储单元801可以是存储器。

当处理单元802为处理器，通信单元803为通信接口，存储单元801为存储器时，本发明实施例所涉及的终端设备可以为图8B所示的终端设备。

参阅图8B所示，该终端设备810包括：处理器812、通信接口813、存储器811。可选的，终端设备810还可以包括总线814。其中，通信接口813、处理器812以及存储器811可以通过总线814相互连接；总线814可以是外设部件互连标准(Peripheral ComponentInterconnect，简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，简称EISA)总线等。所述总线814可以分为地址总线、数据总线、控制总线等。为便于表示，图8B中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

因此，本发明实施例提供的终端设备，可以生成第一公钥和第一私钥，第一公钥用于加密数据，第一私钥可以用于解密该第一公钥加密的数据。终端设备将第一公钥发送给KGC，以便于KGC或者服务器根据该第一公钥生成转换密钥，第一公钥嵌套在该转换密钥内，因此，当服务器使用该转换密钥处理基于终端设备的属性结构加密的密文后，生成的结果是第一公钥所加密的密文，终端设备持有与该第一公钥配对的第一私钥，当终端设备接收到服务器发送的部分解密的密文后，可以根据该第一私钥以及解密算法进行解密，生成明文。由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

在采用集成的单元的情况下，图9A示出了上述实施例中所涉及的KGC的一种可能的结构示意图。KGC900包括：处理单元902和通信单元903。处理单元902用于对KGC900的动作进行控制管理，例如，处理单元902用于支持KGC900执行图1的步骤1、步骤3、步骤4和步骤10，处理单元902还可以用于支持KGC900执行图4的S420，和/或用于本文所描述的技术的其它过程。通信单元903用于支持KGC900与其它网络实体的通信，例如与图1中示出的终端设备110或服务器130之间的通信。KGC900还可以包括存储单元901，用于存储KGC900的程序代码和数据。

其中，处理单元902可以是处理器或控制器，例如可以是中央处理器CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元903可以是通信接口、收发器、收发电路等，其中，通信接口是统称，可以包括一个或多个接口。存储单元901可以是存储器。

当处理单元902为处理器，通信单元903为通信接口，存储单元901为存储器时，本发明实施例所涉及的KGC可以为图9B所示的KGC。

参阅图9B所示，该KGC910包括：处理器912、通信接口913、存储器911。可选的，KGC910还可以包括总线914。其中，通信接口913、处理器912以及存储器911可以通过总线914相互连接；总线914可以是PCI总线或EISA总线等。所述总线914可以分为地址总线、数据总线、控制总线等。为便于表示，图9B中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

因此，本发明实施例提供的KGC，可以基于该第一公钥以及该终端设备的属性生成第二公钥，该第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据进行处理后生成的数据为基于第一公钥加密的密文，终端设备可以利用终端设备所持有的第一私钥对该基于第一公钥加密的密文进行解密，其中，第一私钥是与该第一公钥配对的密钥，可以用于解密基于第一公钥加密的数据。本发明实施例中，终端设备的属性信息可以是终端设备的具体身份信息，KGC还可以根据第一公钥和终端设备的属性集生成第二公钥。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，因此，本发明实施例的数据处理的方法无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例的数据处理的方法对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

在采用集成的单元的情况下，图10A示出了上述实施例中所涉及的服务器的一种可能的结构示意图。服务器1000包括：处理单元1002和通信单元1003。处理单元1002用于对服务器1000的动作进行控制管理，例如，处理单元1002用于支持服务器1000执行图1的步骤7和步骤8，处理单元1002还可以用于支持服务器1000执行图5的S530，和/或用于本文所描述的技术的其它过程。通信单元1003用于支持服务器1000与其它网络实体的通信，例如与图1中示出的终端设备110或KGC120之间的通信。服务器1000还可以包括存储单元1001，用于存储服务器1000的程序代码和数据。

其中，处理单元1002可以是处理器或控制器，例如可以是中央处理器CPU，通用处理器，DSP，ASIC，FPGA或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等等。通信单元1003可以是通信接口、收发器、收发电路等，其中，通信接口是统称，可以包括一个或多个接口。存储单元1001可以是存储器。

当处理单元1002为处理器，通信单元1003为通信接口，存储单元1001为存储器时，本发明实施例所涉及的服务器可以为图10B所示的服务器。

参阅图10B所示，该服务器1010包括：处理器1012、通信接口1013、存储器1011。可选的，服务器1010还可以包括总线1014。其中，通信接口1013、处理器1012以及存储器1011可以通过总线1014相互连接；总线1014可以是PCI总线或EISA总线等。所述总线914可以分为地址总线、数据总线、控制总线等。为便于表示，图10B中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本发明实施中，第二公钥为KGC基于第一公钥和终端设备的属性信息生成的公钥，第二公钥是基于终端设备的属性的公钥，可以解密基于终端设备的属性加密的数据，由于第二公钥嵌套有第一公钥，因此，使用第二公钥对基于所述终端设备的属性加密的数据进行处理后生成的数据为基于第一公钥加密的密文，终端设备可以利用终端设备所持有的第一私钥对第二数据进行解密，其中，第一私钥是与终端设备生成的密钥，可以用于解密基于第一公钥加密的数据。

由于第一私钥一直被终端设备所持有，不需要向其它设备发送该第一私钥，本发明实施例无需使用安全信道；此外，由于服务器对第一数据进行处理后得到的结果仍是密文，即使服务器与其它设备进行了合谋，其它设备也无法获取最终的明文，因此，本发明实施例对服务器的安全性能也没有任何要求；再次，本发明实施例的第一私钥可以是一个常数，终端设备在根据第一私钥进行解密运算时只需执行一次幂指运算即可获得明文，避免了其它技术方案中消耗大量计算资源的双线性对运算，从而降低了对终端设备的处理能力的需求，提高了终端设备的资源利用率。

在本发明实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

结合本发明实施例公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(Random Access Memory，RAM)、闪存、只读存储器(Read Only Memory，ROM)、可擦除可编程只读存储器(Erasable Programmable ROM，EPROM)、电可擦可编程只读存储器(Electrically EPROM，EEPROM)、寄存器、硬盘、移动硬盘、只读光盘(CD-ROM)或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于终端设备或KGC或服务器中。当然，处理器和存储介质也可以作为分立组件存在于终端设备或KGC或服务器中。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims (26)

1.一种数据处理的方法，其特征在于，所述方法包括：

终端设备生成第一公钥和第一私钥，所述第一公钥用于加密数据，所述第一私钥用于解密所述第一公钥加密的数据；

所述终端设备向密钥生成中心KGC发送所述第一公钥，所述第一公钥用于所述KGC或服务器生成转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；

所述终端设备接收所述服务器发送的第二数据，所述第二数据是所述服务器根据所述转换密钥对第一数据处理后生成的数据，其中，所述第一数据是所述服务器获取的基于所述终端设备的属性结构加密的数据；

所述终端设备根据所述第一私钥解密所述第二数据。

2.根据权利要求1所述的方法，其特征在于，所述终端设备向KGC发送第一公钥，包括：

所述终端设备向所述KGC发送所述第一公钥和证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥。

3.根据权利要求1或2所述的方法，其特征在于，所述终端设备生成第一公钥和第一私钥，包括：

所述终端设备根据***参数和身份参数生成所述第一公钥和所述第一私钥，其中，所述***参数为所述KGC生成的***息，所述身份参数为所述终端设备的标识信息。

4.根据权利要求3所述的方法，其特征在于，所述终端设备根据所述第一私钥解密所述第二数据，包括：

所述终端设备根据所述***参数、所述身份参数和所述第一私钥解密所述第二数据。

5.一种数据处理的方法，其特征在于，所述方法包括：

密钥生成中心KGC从终端设备接收第一公钥，所述第一公钥用于加密数据；

所述KGC根据所述第一公钥和所述终端设备的属性信息生成第二公钥，所述第二公钥用于服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；

所述KGC向所述服务器发送所述第二公钥。

6.根据权利要求5所述的方法，其特征在于，所述KGC生成所述第二公钥后，所述方法还包括：

所述KGC根据所述第二公钥和密钥更新信息生成转换密钥或者错误提示，所述密钥更新信息用于指示所述终端设备的吊销状态，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述KGC根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述KGC根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述转换密钥转换的结果；所述KGC向所述服务器发送所述第二公钥，包括：所述KGC向所述服务器发送所述转换密钥；或者

所述KGC向所述服务器发送所述第二公钥和所述密钥更新信息，以便于所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥或者所述错误提示。

7.根据权利要求5或6所述的方法，其特征在于，所述KGC生成所述第二公钥前，所述方法还包括：

所述KGC从所述终端设备接收证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥；

所述KGC根据所述证明信息确定生成所述第二公钥。

8.根据权利要求5至7中任一项所述的方法，其特征在于，所述KGC根据所述第一公钥和所述终端设备的属性信息生成第二公钥，包括：

所述KGC根据所述第一公钥、所述终端设备的属性信息、***参数、主密钥和所述KGC的内部状态信息生成所述第二公钥和更新后的所述内部状态信息，其中，所述***参数是所述KGC生成的***息，所述主密钥是所述KGC生成的私钥。

9.根据权利要求8所述的方法，其特征在于，所述KGC根据所述第二公钥和所述密钥更新信息生成所述转换密钥，包括：

所述KGC根据所述第二公钥、所述密钥更新信息、所述***参数和所述身份参数生成所述转换密钥，其中，所述密钥更新信息指示所述终端设备未被吊销。

10.一种数据处理的方法，其特征在于，所述方法包括：

服务器从密钥生成中心KGC接收第二公钥，所述第二公钥用于将基于终端设备的属性结构加密的数据转换成基于所述终端设备生成的第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；

所述服务器获取第一数据，所述第一数据是基于所述终端设备的属性结构加密的数据；

所述服务器根据所述第二公钥将所述第一数据转换成第二数据，所述第二数据为基于所述第一公钥加密的数据；

所述服务器向所述终端设备发送所述第二数据，以便于所述终端设备根据所述第一私钥解密所述第二数据。

11.根据权利要求10所述的方法，其特征在于，所述服务器接收所述第二公钥后，所述方法还包括：

所述服务器从所述KGC接收密钥更新信息，其中，所述密钥更新信息用于指示所述终端设备的吊销状态；

所述服务器根据所述第二公钥和所述密钥更新信息生成转换密钥或者错误提示，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据；

所述服务器根据所述第二公钥将所述第一数据转换成第二数据，包括：

所述服务器根据所述转换密钥将所述第一数据转换成所述第二数据。

12.根据权利要求11所述的方法，其特征在于，所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥，包括：

所述服务器根据所述第二公钥、所述密钥更新信息、***参数和身份参数生成所述转换密钥，其中，所述***参数是所述KGC生成的***息，所述身份参数是所述终端设备的标识信息。

13.根据权利要求12所述的方法，其特征在于，所述服务器根据所述转换密钥将所述第一数据转换成第二数据，包括：

所述服务器根据所述转换密钥、***参数、所述终端设备的属性信息、身份参数和时间参数将所述第一数据转换成所述第二数据，其中，所述***参数是所述KGC生成的***息，所述身份参数是所述终端设备的标识信息，所述时间参数用于指示所述服务器可以使用所述转换密钥的时间。

14.一种数据处理的装置，其特征在于，包括：处理单元和通信单元，

所述处理单元用于生成第一公钥和第一私钥，所述第一公钥用于加密数据，所述第一私钥用于解密所述第一公钥加密的数据；以及通过所述通信单元向密钥生成中心KGC发送所述第一公钥，所述第一公钥用于所述KGC或服务器生成转换密钥，所述转换密钥用于所述服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；以及通过所述通信单元接收所述服务器发送的第二数据，所述第二数据是所述服务器根据所述转换密钥对第一数据处理后生成的数据，其中，所述第一数据是所述服务器获取的基于所述终端设备的属性结构加密的数据；以及根据所述第一私钥解密所述第二数据。

15.根据权利要求14所述的装置，其特征在于，通信单元还用于：向所述KGC发送所述第一公钥和证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥。

16.根据权利要求14或15所述的装置，其特征在于，所述处理单元具体用于：根据***参数和身份参数生成所述第一公钥和所述第一私钥，其中，所述***参数为所述KGC生成的***息，所述身份参数为所述终端设备的标识信息。

17.根据权利要求16所述的装置，其特征在于，所述处理单元具体用于：根据所述***参数、所述身份参数和所述第一私钥解密所述第二数据。

18.一种数据处理的装置，其特征在于，包括：处理单元和通信单元，

所述处理单元用于通过所述通信单元从终端设备接收第一公钥，所述第一公钥用于加密数据；以及根据所述第一公钥和所述终端设备的属性信息生成第二公钥，所述第二公钥用于服务器将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述基于所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；以及通过所述通信单元向所述服务器发送所述第二公钥。

19.根据权利要求18所述的装置，其特征在于，所述处理单元生成所述第二公钥后，

所述处理单元还用于根据所述第二公钥和密钥更新信息生成转换密钥或者错误提示，所述密钥更新信息用于指示所述终端设备的吊销状态，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述处理单元根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述处理单元根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述处理单元将基于所述终端设备的属性加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述转换密钥转换的结果；以及通过所述通信单元向所述服务器发送所述转换密钥；或者

所述处理单元还用于通过所述通信单元向所述服务器发送所述第二公钥和所述密钥更新信息，以便于所述服务器根据所述第二公钥和所述密钥更新信息生成所述转换密钥或者所述错误提示。

20.根据权利要求18或19所述的装置，其特征在于，所述处理单元还用于通过所述通信单元从所述终端设备接收证明信息，所述证明信息用于指示所述终端设备存储有所述第一私钥；以及根据所述证明信息确定生成所述第二公钥。

21.根据权利要求18至20中任一项所述的装置，其特征在于，所述处理单元具体用于：根据所述第一公钥、所述终端设备的属性信息、***参数、主密钥和所述装置的内部状态信息生成所述第二公钥和更新后的所述内部状态信息，其中，所述***参数是所述处理单元生成的***息，所述主密钥是所述处理单元生成的私钥。

22.根据权利要求21所述的装置，其特征在于，所述处理单元具体用于：根据所述第二公钥、所述密钥更新信息、所述***参数和所述身份参数生成所述转换密钥，其中，所述密钥更新信息指示所述终端设备未被吊销。

23.一种数据处理的装置，其特征在于，包括：处理单元和通信单元，

所述处理单元用于通过所述通信单元从密钥生成中心KGC接收第二公钥，所述第二公钥用于将基于终端设备的属性结构加密的数据转换成基于所述终端设备生成的第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述第一公钥加密的数据，其中，所述属性结构用于指示访问数据需要满足的条件；以及通过所述通信单元获取第一数据，所述第一数据是基于所述终端设备的属性结构加密的数据；以及根据所述第二公钥将所述第一数据转换成第二数据，所述第二数据为基于所述第一公钥加密的数据；以及通过所述通信单元向所述终端设备发送所述第二数据，以便于所述终端设备根据所述第一私钥解密所述第二数据。

24.根据权利要求23所述的装置，其特征在于，所述处理单元通过所述通信单元接收所述第二公钥后，所述处理单元还用于：通过所述通信单元从所述KGC接收密钥更新信息，其中，所述密钥更新信息用于指示所述终端设备的吊销状态；以及根据所述第二公钥和所述密钥更新信息生成转换密钥或者错误提示，其中，当所述密钥更新信息指示所述终端设备被吊销时，所述处理单元根据所述第二公钥和所述密钥更新信息生成所述错误提示，当所述密钥更新信息指示所述终端设备未被吊销时，所述处理单元根据所述第二公钥和所述密钥更新信息生成所述转换密钥，所述转换密钥用于所述处理单元将基于所述终端设备的属性结构加密的数据转换成基于所述第一公钥加密的数据，以便于所述终端设备根据所述终端设备生成的第一私钥解密所述转换密钥转换的结果；以及根据所述转换密钥将所述第一数据转换成所述第二数据。

25.根据权利要求24所述的装置，其特征在于，所述处理单元具体用于：根据所述第二公钥、所述密钥更新信息、***参数和身份参数生成所述转换密钥，其中，所述***参数是所述KGC生成的***息，所述身份参数是所述终端设备的标识信息。

26.根据权利要求25所述的装置，其特征在于，所述处理单元具体用于：根据所述转换密钥、***参数、所述终端设备的属性信息、身份参数和时间参数将所述第一数据转换成所述第二数据，其中，所述***参数是所述KGC生成的***息，所述身份参数是所述终端设备的标识信息，所述时间参数用于指示所述装置可以使用所述转换密钥的时间。