CN110995430B - 一种基于属性加密的支持无效密文检测的外包解密方法 - Google Patents

Abstract

本发明公开了一种基于属性加密的支持无效密文检测的外包解密方法，包括：(1)生成公开参数以及主密钥；(2)生成用户私钥；(3)数据拥有端对消息进行加密生成原始密文；(4)数据使用端直接解密原始密文得到明文；(5)利用用户私钥生成相应的转换密钥和恢复密钥；(6)云服务器利用转换密钥对密文进行预解密得到中间密文；(7)数据使用端输入原始密文、中间密文和恢复密钥进行外包解密，若外包解密失败表示中间密文非法；(8)当外包解密失败表示中间密文非法时，数据使用端与云服务器进行交互式证明，验证中间密文非法是因为云服务器预解密过程出错还是因为原始密文错误。本发明能够实现对中间密文非法原因的追溯。

Description

一种基于属性加密的支持无效密文检测的外包解密方法

技术领域

本发明涉及信息安全技术领域，尤其是一种基于属性加密的支持无效密文检测的外包解密方法。

背景技术

基于属性的加密方案自提出以来收到了广泛的关注，但是解密开销大限制了其进一步的发展。针对这个问题，Green等人于《Outsourcing the Decryption of ABECiphertexts》一文中提出了外包解密的概念。使用他们的方法，数据使用者可以在***露消息明文的情况下将大部分解密操作外包给拥有丰富计算资源的云服务器。此后，数据使用者只需要进行简单地操作解密云服务器返回的中间密文就可以得到相应的明文。但是，云服务器并不是完全可信的。不可控的软硬件错误或者为了节省计算资源的故意行为都可能成为云服务器计算错误的原因。因此，有学者提出了一种可验证外包解密的方法。使用这种方法数据使用者可以验证中间密文的合法性。

然而，中间密文不合法除了是因为云服务器计算出错之外还可能是因为密文本身的错误。首先，数据拥有者可能会因为自己的某些利益而故意提供错误的密文；其次，密文在传输过程中可能会因为传输设备出错或者攻击者的存在而出现错误；最后，密文存储在公开的云服务器上可能会被攻击者恶意损坏。这些原因都会导致密文遭到破坏，尽管云服务器正确进行预解密操作仍然可能造成中间密文出错。而目前已有的可验证外包解密方法只能判断中间密文是否合法而无法判断非法的中间密文出错的原因是因为云服务器预解密过程出错还是因为原始密文错误。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种基于属性加密的支持无效密文检测的外包解密方法，该方法能够判断中间密文非法的原因是因为云服务器预解密过程出错还是因为原始密文错误。

本发明采用的技术方案如下：

一种基于属性加密的支持无效密文检测的外包解密方法，包括如下步骤：

(1)***初始化：中心权威初始化***并生成公开参数以及主密钥；

(2)密钥生成：中心权威为每个用户生成用户私钥；

(3)加密：数据拥有端对消息进行加密生成原始密文；

(4)直接解密：数据使用端直接解密原始密文得到明文；

(5)转换密钥生成：利用用户私钥生成相应的转换密钥和恢复密钥；

(6)预解密：云服务器利用转换密钥对密文进行预解密得到中间密文；

(7)外包解密：数据使用端输入原始密文、中间密文和恢复密钥进行外包解密，通过计算和验证确定外包解密成功或者外包解密失败，若外包解密成功则输出明文，若外包解密失败表示中间密文非法；

(8)证明：当外包解密失败表示中间密文非法时，数据使用端与云服务器进行交互式证明，验证中间密文非法是因为云服务器预解密过程出错还是因为原始密文错误。

具体地，中心权威初始化***，生成公开参数以及主密钥的方法为：

(1.1)选择全局属性集合U＝{att₁，att₂，...，att_l}，选择两个p阶乘法群G₁，G₂满足双线性映射e：G₁×G₁→G₂，其中p是大素数；

(1.2)随机选择生成元g，g₁，g₂∈G₁以及元素

其中

计算y＝g^a；

(1.3)选择两个抗碰撞的哈希函数H₁：G₂→{0，1}^k，

(1.4)中心权威发布公开参数：

秘密保存主密钥：msk＝α，其中[l]＝{1，2，...，l}。

具体地，中心权威为每个用户生成用户私钥的方法为：

(2.1)输入主密钥mmsk＝α，公开参数pk以及用户的属性集合S；

(2.2)随机选择元素

计算并输出用户的私钥

具体地，数据拥有端对消息进行加密生成原始密文的方法为：

(3.1)输入需要加密的消息M以及秘密共享方案

其中A是一个l×n维矩阵，

ρ(i)将A的每一行A_i映射到属性att_i，i∈[l]；

(3.2)选择一个随机元素

以及一个随机向量

对于A的每一行A_i，随机选择

(3.3)计算原始密文CT_M＝(C_M，C₀，{(C_i，D_i)}_i∈[l]，θ)；

其中：

C₀＝g^s；

θ＝H₂(e(g，g)^αs，C₀，C₁，…，C_l，D₁，…，D_l)。

具体地，数据使用端直接解密原始密文得到明文的方法为：

(4.1)数据使用端输入其私钥SK_S，自己拥有的属性集合S以及原始密文CT_M＝(C_M，C₀，{(C_i，D_i)}_i∈[l]，θ)；

(4.2)如果属性集合

不满足秘密共享方案

则输出⊥表示解密失败；否则数据使用端使用自己的私钥SK_S对原始密文CT_M进行解密：

令I＝{i：ρ(i)∈S}，计算{ω_i∈Z_p}_i∈ω使得∑_i∈Iω_iA_i＝(1，0，…，0)，其中Z_p＝{0，1，...，p-1}，然后计算：

(4.3)得到明文

具体地，利用用户私钥生成相应的转换密钥和恢复密钥的方法为：

(5.1)输入私钥SK_S，并随机选择

(5.2)计算转换密钥

(5.3)对应的恢复密钥为RK_S＝(z，K)。

具体地，云服务器利用转换密钥对密文进行预解密得到中间密文的方法为：

(6.1)输入原始密文CT_M，属性集合S对应的转换密钥TK_S，选择计算ω_i∈Z_p使得∑_i∈Iω_iA_i＝(1，0，…，0)，其中i∈I；

(6.2)云服务器计算：

(6.3)得到中间密文

其中

具体地，数据使用端输入原始密文、中间密文和恢复密钥进行外包解密，通过计算和验证确定外包解密成功或者外包解密失败，若外包解密成功则输出明文，若外包解密失败表示中间密文非法的方法为：

(7.1)输入原始密文CT_M＝(C_M，C₀，{(C_i，D_i)}_i∈[l]，θ)、中间密文

以及恢复密钥RK_S；

(7.2)如果数据使用端的属性集合满足秘密共享方案

验证等式∑_i∈Iω_iA_i＝(1，0，…，0)是否成立，如果不成立则输出⊥表示解密失败；否则，计算

(7.3)验证等式θ＝H₂(X_M，C₀，C₁，...，C_l，D₁，...，D_l)是否成立，如果成立则外包解密成功并输出明文

否则表示中间密文非法，外包解密失败，输出⊥表示解密失败。

具体地，当外包解密失败表示中间密文非法时，数据使用端与云服务器进行交互式证明，验证中间密文非法是因为云服务器预解密过程出错还是因为原始密文错误的方法为：

(8.1)数据使用端随机选择

计算：

将计算结果发送给云服务器；

(8.2)云服务器计算：

α_i，2＝e(C_i，g₁)，β_i，2＝e(D_i，g₁)；

云服务器将计算结果{α_i，1，α_i，2，α_i，3，α_i，4，β_i，1，β_i，2，β_i，3，β_i，4}发送给数据使用端；

(8.3)数据使用端收到云服务器返回的计算结果后，计算：

c_i＝α_i，3(α_i，2)^-r(＝e(C_i，K₀))；

d_i＝β_i，3(β_i，2)^-r(＝e(D_i，K_ρ(i)))；

然后数据使用端计算：

(8.4)如果等式{α_i，4＝α′_i，4，β_i，4＝β′_i，4}_i∈I中有一个不成立，则表明云服务器预解密过程出错；否则验证等式

是否成立，如果等式不成立，则同样表明云服务器预解密过程出错；如果等式成立，则表明原始密文错误，而云服务器预解密过程正确。

综上所述，由于采用了上述技术方案，本发明的有益效果是：本发明能够实现对中间密文非法原因的追溯。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明的基于属性加密的支持无效密文检测的外包解密方法的原理图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

以下结合实施例对本发明的特征和性能作进一步的详细描述。

如图1所示，一种基于属性加密的支持无效密文检测的外包解密方法，包括如下步骤：

(1)***初始化：中心权威初始化***并生成公开参数以及主密钥；具体地：

(1.1)选择全局属性集合U＝{att₁，att₂，...，att_l}，选择两个p阶乘法群G₁，G₂满足双线性映射e：G₁×G₁→G₂，其中p是大素数；

(1.2)随机选择生成元g，g₁，g₂∈G₁以及元素

其中

计算y＝g^a；

(1.3)选择两个抗碰撞的哈希函数H₁：G₂→{0，1}^k，

(1.4)中心权威发布公开参数：

秘密保存主密钥：msk＝α，其中[l]＝{1，2，...，l}。

(2)密钥生成：中心权威为每个用户生成用户私钥；具体地：

(2.1)输入主密钥msk＝α，公开参数pk以及用户的属性集合S；

(2.2)随机选择元素

计算并输出用户的私钥

(3)加密：数据拥有端对消息进行加密生成原始密文；具体地：

(3.1)输入需要加密的消息M以及秘密共享方案

其中A是一个l×n维矩阵，

ρ(i)将A的每一行A_i映射到属性att_i，i∈[l]；

(3.2)选择一个随机元素

以及一个随机向量

对于A的每一行A_i，随机选择

(3.3)计算原始密文CT_M＝(C_M，C₀，{(C_i，D_i)}_i∈[l]，θ)；

其中：

C₀＝g^s；

θ＝H₂(e(g，g)^αs，C₀，C₁，…，C_l，D₁，…，D_l)。

(4)直接解密：数据使用端直接解密原始密文得到明文；具体地：

(4.1)数据使用端输入其私钥SK_S，自己拥有的属性集合S以及原始密文CT_M＝(C_M，C₀，{(C_i，D_i)}_i∈[l]，θ)；

(4.2)如果属性集合

不满足秘密共享方案

则输出⊥表示解密失败；否则数据使用端使用自己的私钥SK_S对原始密文CT_M进行解密：

令I＝{i：ρ(i)∈S}，计算{ω_i∈Z_p}_i∈ω使得∑_i∈Iω_iA_i＝(1，0，…，0)，其中Z_p＝{0，1，...，p-1}，然后计算：

(4.3)得到明文

(5)转换密钥生成：利用用户私钥生成相应的转换密钥和恢复密钥；具体地：

(5.1)输入私钥SK_S，并随机选择

(5.2)计算转换密钥

(5.3)对应的恢复密钥为RK_S＝(z，K)。

(6)预解密：云服务器利用转换密钥对密文进行预解密得到中间密文；具体地：

(6.1)输入原始密文CT_M，属性集合S对应的转换密钥TK_S，选择计算ω_i∈Z_p使得∑_i∈Iω_iA_i＝(1，0，…，0)，其中i∈I；

(6.2)云服务器计算：

(6.3)得到中间密文

其中

(7)外包解密：数据使用端输入原始密文、中间密文和恢复密钥进行外包解密，通过计算和验证确定外包解密成功或者外包解密失败，若外包解密成功则输出明文，若外包解密失败表示中间密文非法；具体地：

(7.1)输入原始密文CT_M＝(C_M，C₀，{(C_i，D_i)}_i∈[l]，θ)、中间密文

以及恢复密钥RK_S；

(7.2)如果数据使用端的属性集合满足秘密共享方案

验证等式∑_i∈Iω_iA_i＝(1，0，…，0)是否成立，如果不成立则输出⊥表示解密失败；否则，计算

(7.3)验证等式θ＝H₂(X_M，C₀，C₁，...，C_l，D₁，...，D_l)是否成立，如果成立则外包解密成功并输出明文

否则表示中间密文非法，外包解密失败，输出⊥表示解密失败。

(8)证明：当外包解密失败表示中间密文非法时，数据使用端与云服务器进行交互式证明，验证中间密文非法是因为云服务器预解密过程出错还是因为原始密文错误；具体地：

(8.1)数据使用端随机选择

计算：

将计算结果发送给云服务器；

(8.2)云服务器计算：

α_i，2＝e(C_i，g₁)，β_i，2＝e(D_i，g₁)；

云服务器将计算结果{α_i，1，α_i，2，α_i，3，α_i，4，β_i，1，β_i，2，β_i，3，β_i，4}发送给数据使用端；

(8.3)数据使用端收到云服务器返回的计算结果后，计算：

c_i＝α_i，3(α_i，2)^-r(＝e(C_i，K₀))；

d_i＝β_i，3(β_i，2)^-r(＝e(D_i，K_ρ(i)))；

然后数据使用端计算：

(8.4)如果等式{α_i，4＝α′_i，4，β_i，4＝β′_i，4}_i∈I中有一个不成立，则表明云服务器预解密过程出错；否则验证等式

是否成立，如果等式不成立，则同样表明云服务器预解密过程出错；如果等式成立，则表明原始密文错误，而云服务器预解密过程正确。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (1)

1.一种基于属性加密的支持无效密文检测的外包解密方法，其特征在于，包括如下步骤：

(1)***初始化：中心权威初始化***并生成公开参数以及主密钥；

(2)密钥生成：中心权威为每个用户生成用户私钥；

(3)加密：数据拥有端对消息进行加密生成原始密文；

(4)直接解密：数据使用端直接解密原始密文得到明文；

(5)转换密钥生成：利用用户私钥生成相应的转换密钥和恢复密钥；

(6)预解密：云服务器利用转换密钥对密文进行预解密得到中间密文；

(7)外包解密：数据使用端输入原始密文、中间密文和恢复密钥进行外包解密，通过计算和验证确定外包解密成功或者外包解密失败，若外包解密成功则输出明文，若外包解密失败则表示中间密文非法；

(8)证明：当外包解密失败时，数据使用端与云服务器进行交互式证明，验证中间密文非法是因为云服务器预解密过程出错还是因为原始密文错误；

中心权威初始化***，生成公开参数以及主密钥的方法为：

(1.1)选择全局属性集合U＝{att₁，att₂，...，att_l}，选择两个p阶乘法群G₁，G₂满足双线性映射e：G₁×G₁→G₂，其中p是大素数；

(1.2)随机选择生成元g，g₁，g₂∈G₁以及元素

其中

计算y＝g^a；

(1.3)选择两个抗碰撞的哈希函数H₁：G₂→{0，1}^k，

(1.4)中心权威发布公开参数：

元素

秘密保存主密钥：msk＝α，其中[l]＝{1，2，...，l}；

中心权威为每个用户生成用户私钥的方法为：

(2.1)输入主密钥msk＝α，公开参数pk以及用户的属性集合S；

(2.2)随机选择元素

计算并输出用户的私钥

数据拥有端对消息进行加密生成原始密文的方法为：

(3.1)输入需要加密的消息M以及秘密共享方案

其中A是一个l×n维矩阵，

ρ(i)将A的每一行A_i映射到属性att_i，i∈[l]；

(3.2)选择一个随机元素

以及一个随机向量

对于A的每一行A_i，随机选择

(3.3)计算原始密文CT_M＝(C_M，C₀，{(C_i，D_i)}_i∈[l]，θ)；

其中：

C₀＝g^s；

θ＝H₂(e(g，g)^αs，C₀，C₁，...，C_l，D₁，...，D_l)；

数据使用端直接解密原始密文得到明文的方法为：

(4.1)数据使用端输入其私钥SK_S，自己拥有的属性集合S以及原始密文CT_M＝(C_M，C₀，{(C_i，D_i)}_i∈[l]，θ)；

(4.2)如果属性集合

不满足秘密共享方案

则输出⊥表示解密失败；否则数据使用端使用自己的私钥SK_S对原始密文CT_M进行解密：

令I＝{i：ρ(i)∈S}，计算{ω_i∈Z_p}_i∈ω使得∑_i∈Iω_iA_i＝(1，0，…，0)，其中Z_p＝{0，1，...，p-1}，然后计算：

(4.3)得到明文

利用用户私钥生成相应的转换密钥和恢复密钥的方法为：

(5.1)输入私钥SK_S，并随机选择

(5.2)计算转换密钥

(5.3)对应的恢复密钥为RK_S＝(z，K)；

云服务器利用转换密钥对密文进行预解密得到中间密文的方法为：

(6.1)输入原始密文CT_M，属性集合S对应的转换密钥TK_S，选择计算ω_i∈Z_p使得∑_i∈Iω_iA_i＝(1，0，…，0)，其中i∈I；

(6.2)云服务器计算：

(6.3)得到中间密文

其中

数据使用端输入原始密文、中间密文和恢复密钥进行外包解密，通过计算和验证确定外包解密成功或者外包解密失败，若外包解密成功则输出明文，若外包解密失败表示中间密文非法的方法为：

(7.1)输入原始密文CT_M＝(C_M，C₀，{(C_i，D_i)}_i∈[l]，θ)、中间密文

以及恢复密钥RK_S；

(7.2)如果数据使用端的属性集合满足秘密共享方案

验证等式∑_i∈Iω_iA_i＝(1，0，…，0)是否成立，如果不成立则输出⊥表示解密失败；否则，计算

(7.3)验证等式θ＝H₂(X_M，C₀，C₁，...，C_l，D₁，...，D_l)是否成立，如果成立则外包解密成功并输出明文

否则外包解密失败表明中间密文非法；

当外包解密失败时，数据使用端与云服务器进行交互式证明，验证中间密文非法是因为云服务器预解密过程出错还是因为原始密文错误的方法为：

(8.1)数据使用端随机选择

计算：

将计算结果发送给云服务器；

(8.2)云服务器计算：

α_i，2＝e(C_i，g₁)，β_i，2＝e(D_i，g₁)；

云服务器将计算结果{α_i，1，α_i，2，α_i，3，α_i，4，β_i，1，β_i，2，β_i，3，β_i，4}发送给数据使用端；

(8.3)数据使用端收到云服务器返回的计算结果后，计算：

c_i＝α_i，3(α_i，2)^-r(＝e(C_i，K₀))；

d_i＝β_i，3(β_i，2)^-r(＝e(D_i，K_ρ(i)))；

然后数据使用端计算：

(8.4)如果等式{α_i，4＝α′_i，4，β_i，4＝β′_i，4}_i∈I中有一个不成立，则表明云服务器预解密过程出错；否则验证等式

是否成立，如果等式不成立，则同样表明云服务器预解密过程出错；如果等式成立，则表明原始密文错误，而云服务器预解密过程正确。

Images