CN113489591B - 一种基于多授权中心的可追踪比较属性加密方法 - Google Patents

Abstract

本发明公开了一种基于多授权中心的可追踪比较属性加密方法，克服了现有技术随着数据增大开销大和单个中央授权中心的单点性能瓶颈的问题，包括以下步骤：S1、***初始化；S2、对数据加密；S3、用户验证与最终数据生成；S4，对数据进行解密；S5、追踪。本发明提出了一种0编码和1编码的有效方法，使可比较属性可以用于任意比较，而且这方法适用于ABE***，将扩展的存储开销平均减半，大大减少了加密和解密的开销计算量，采用中央授权中心和属性授权中心，降低中央授权中心的负担，加快对用户的身份验证和秘钥生成，避免了单点性能瓶颈，加入了一个追踪机制，以此对属性授权中心进行监督。

Description

一种基于多授权中心的可追踪比较属性加密方法

技术领域

本发明涉及密码学技术领域，尤其是涉及一种基于多授权中心的可追踪比较属性加密方法。

背景技术

基于属性的加密(ATTRIBUTE-BASED encryption,ABE)是近年来密码学领域的一个热门研究课题。它提供了一种灵活的方式来进行细粒度的访问控制，能灵活管理密文之间的关联和用户的有效安全秘钥。因此ABE适用于很多的情况，比如云计算、云医疗服务、网络社交等等。

ABE有两种不同的实现方法分别是基于密钥策略属性的加密(KP-ABE)和基于密文策略属性的加密(CP-ABE)。这两个类别之间的主要区别在于嵌入访问策略的方法。在KP-ABE中，访问策略嵌入在用户的安全秘钥中，密文与几个属性相关联。而CP-ABE则相反，其访问策略是嵌入到相应的密文中，用户的秘钥与属性相关联。这两种方法都用了同一种规则：当且仅当一个实体的属性满足某个元素的访问策略时，才可以成功解密。

在目前的ABE***中，对于安全秘钥和密文的属性进行比较，在实际应用中是不够灵活，难以在实际中应用。访问策略中总有一些属性表示为一个范围值，例如：“{年龄>18}”。类似这种属性的范围值，使用布尔函数是不能比较的。因为“{年龄＝20}”与“{年龄>18}”用布尔函数比较的结果是不符合的。在当前ABE中处理可比属性的一种简单方法是使用所有允许的属性值来表示范围，就是将范围值改为一个并集，如：“{年龄＝19}”V“{年龄＝20}”V...V“{年龄＝100}”。但这种方式随着数据增大开销会呈线性增长。

J.Bethencourt等人做了初步的尝试来解决上述问题。他们的方案是将这些数值属性以比特为单位划分为若干子属性来解决这一问题。然而，设计数值比较策略的机制过于复杂，最根本的问题是附加开销仍然相对较高。

此外，大多数现有的ABE***都是围绕一个中央授权中心所设计的，在这种情况下，一个中央授权中心机构需要执行耗时的用户身份验证和密钥分发。这也导致了单个中央授权中心成为大规模分布式云***的单点性能瓶颈，例如效率低等。如果这个中央授权中心被破坏或者是离线，那么云服务也将受到影响。

发明内容

本发明是为了克服现有技术的随着数据增大开销大的问题，提供一种基于多授权中心的可追踪比较属性加密方法，提出了基于分层的授权中心结构，包括一个中央授权中心和多个相互独立的属性授权中心，解决了传统单授权中心基于属性的密文检索算法存在的性能瓶颈即授权用户证书认证及密钥分发给授权中心带来较大的计算开销的问题。

本发明的第二个发明目的是解决单个中央授权中心的单点性能瓶颈的问题，不仅允许任意属性授权中心执行部分密钥生成操作，中央授权中心执行最终密钥生成，而且允许中央授权中心追踪恶意属性授权中心。

为了实现上述目的，本发明采用以下技术方案：

一种基于多授权中心的可追踪比较属性加密方法，包括以下步骤：

S1、***初始化；

S2、对数据加密；

S3、用户验证与最终数据生成；

S4，对数据进行解密；

S5、追踪。

本发明数据拥有者将数据加密并制定好访问策略，对于范文策略中的比较的属性，使用0编码和1编码对属性集进行扩展，再构建好一棵访问决策，数据拥有者将加密的数据和访问决策树上传到云服务器，每个用户都会从中央授权中心获得一个唯一标识Uid。为了给每个用户生成最终密钥，中央授权中心和用户选定的属性授权中心共同合作，授权用户首先从中央授权中心获取证书并提交给选定的属性授权中心，接着属性授权中心验证用户证书的合法性并依据用户的属性集为其生成中间密钥，最后中央授权中心利用属性授权中心生成的中间密钥为用户生成最终密钥，用户可以从云服务器中下载任意他所感兴趣的密文数据，只有用户中的秘钥属性与访问决策树相匹配时，用户才能解密。

在本方案的***模型里，涉及到五个实体：中央授权中心(Central Authority，CA)，属性授权中心(Attribute Authorities，AAs)，用户(data user，DU)，数据拥有者(data owner,DO)和云服务商(cloud service provider,CSP)。

CA：CA是***的秘钥生成管理中心。为AAs和DU的生成唯一标识以及其证书。并且在收到来自AA验证DU的中间秘钥之后，为DU生成最终秘钥。除此之外，CA还可以追踪为可疑DU生成的中间秘钥的恶意AAs。

AA：每个AA都有充足的存储和计算能力，可以独立地对任何用户进行验证。AA会根据DU提交的属性进行其证书验证，并代表CA生成相应的中间密钥。值得一提的是：引入多个AAs的目的是减轻CA证书验证和密钥生成的繁重任务，进一步降低单点性能瓶颈的可能性。

CSP：CSP有着庞大的储存空间和强大的计算能力，可以为DU和DO分别提供数据存储和信息检索服务。

DO：DO为其数据制定一个访问策略，并根据定义的策略对文件进行加密。并将加密后的全部数据和加密后的对称密钥发送到CSP中。以便与多个DU共享其数据，并能显著减少本地存储和计算负担。

DU：DU从CA中获得一个唯一标识，而且其本身拥有一组相关信息的属性。DU将选择任一一个AA进行身份信息的验证，通过AA的验证之后，CA并生成与其属性集相关联的最终密钥。DU可以从CSP上获取其感兴趣的加密数据。当且仅当DU的属性集满足嵌入在加密数据中的访问策略时，用户才能解密加密数据。

作为优选，所述S1包括以下内容：

中央授权中心选择两个素数阶相同的乘法循环群G和G_p，其中参数g是G的生成元，并在G上定义一个二元映射e:G×G→G_p，然后中央授权中心随机选择a,b,α,β∈Z_p ^*，作为主密钥，还为每个属性Att_i(i＝1,2,...,V)随机生成公钥Q₁,Q₂,...,Q_V；

设H:(0,1)^*→G为哈希函数，将任意二进制字符串映射到G的随机元素；

发布的公钥如下：

PK＝G_p,G,H,g,g^α,h＝g^β,e(g,g)^α,Q₁,Q₂,...,Q_V

主密钥如下：

MSK＝a,b,α,β,g^α

主密钥将会隐藏在***里面。

作为优选，所述S1还包括以下内容：

中央授权中心还负责各个属性授权中心和用户的注册；

首先，中央授权中心生成一对密钥(sk_CA,vk_CA)，用来进行签名和验证，其中vk_CA是公开的，可以让***中的每个实体都知道；

在注册期间，每个属性授权中心都要向中央授权中心发送一个注册申请，对于每个合法的属性授权中心，中央授权中心会分配一个唯一标识的Aid∈Z_p ^*，再随机选择一个私钥k_Aid∈Z_p ^*，并计算其对应的公钥PK_Aid＝g^kAid；

然后，中央授权中心将生成包含公钥PK_Aid的证书Cert_Aid，并将其与相对应的私钥k_Aid一起发送给具有身份Aid的属性授权中心；

另外，每个用户都要从中央授权中心获取自己的Uid、私钥k_Ui_d和证书Cert_Uid。

作为优选，所述S2包括以下步骤：

S21、对数据进行加密；

S22、构建策略树T。

作为优选，所述S21包括以下内容：

数据拥有者自己完成对数据的加密；

为了提高***性能，数据拥有者选择随机数K∈G_p作为对称密钥，s是来自Z_p ^*的随机密钥，利用对称加密算法对明文数据M进行加密；

加密后的数据记为C＝h^s，/>

作为优选，所述S22包括以下内容：

为策略树T的所有节点分配一个从根R到叶节点的秘密数字，规则如下:

根R被赋予与前一步生成的C对应的秘密s；

对于被分配了一个秘密s_p的非叶节点p，阈值为k_p，算法随机生成一个多项式q_p，它包含如下三个字符:

多项式q_p的次数必须满足:d_p＝k_p-1；

这个多项式的值是：q_p(0)＝s_p；这个性质使多项式与相对应节点x的秘密有所关联；

每个具有不同索引z的值q_p(z)被分配给p的每个子节点；

对于叶节点P，它已经被分配了一个秘密的s_p，并且表示属性Att_i，计算C_Atti'＝g^sp，

C_Atti"＝H(y)^sp,y∈X₁；

密文如下：

作为优选，所述S3包括以下步骤：

S31、U_j→AA_i：当具有唯一标识Uid_j的用户U_j发出获得秘钥申请时，用户通过某种调度算法选择有唯一标识Aid的合法属性授权中心，并发送证书Cert_Uidj以及一些可以显示U_j所拥有的属性集的证明；

S32、AA_i→CA：用户身份验证过程可能设计到人工验证或者是AA_i执行的验证协议；

用户身份验证成功之后，AA_i获取当前的时间点作为阈值TS，计算t₁＝H₁(Uid_j||TS||0)和t₂＝H₁(Uid_j||TS||1)，并生成中间秘钥具体如下：

将生成的中间秘钥发给中央授权中心；

S33、CA→AA_i→U_j：中央授权中心在收到AA_i的中间秘钥之后，依据AA_i的Aid_i来获得与之对应的存储公钥

接着中央授权中心检查传输延迟的时间间隔Tt是否在允许的时间间隔范围内；

假设当前时间是T'，如果T'-TS＞Tt，那么中央授权中心将停止执行，并发出拒绝请求的信息给AA_i；

如果T'-TS＜Tt，则中央授权中心重新计算t₁＝H₁(Uid_j||TS||0)和t₂＝H₁(Uid_j||TS||1)，确保t₁和t₂没有被同一个用户重复使用；

这步骤可以阻止属性授权中心的合谋攻击；然后中央授权中心为用户生成最终秘钥并通过属性授权中心返回给用户；

最终秘钥(FUSK)具体如下：

其中x∈Att；μ和r是两类安全参数，不会让用户知道的，r_y表示不同的r类参数。

作为优选，所述S4包括以下步骤：

S41、获得藏在访问策略树T的根中所相对应的秘密s；

对访问决策树进行如下处理：

对于任一X₂中的一个属性与访问决策树中的叶子节点所代表的属性相匹配，设对应属性为y，秘密值为s_x；算法如下:

对于非叶子节点p，如果其子节点中有不小于k_p的子节点传递了解密算法，那么将被解密的子节点集合表示为S_p，继续执行如下算法:

在上述式子中的S_x,z表示一个没有z元素的S_p集合，这个式子将返回TRUE，因为这些节点在同一个多项式中，并且s_x是这个多项式的秘密值；

当根结点返回true值时，我们得到了S＝e(g,g)^μ·s作为第二步的输入参数；

S42、用重建的s对数据内容进行解密；

算法如下：

只有当用户的扩展属性集X₂与访问策略树T相匹配时，用户才可以使用安全秘钥解密数据；否则，用户即使是从云服务器中下载了所有密文也无法解密。

作为优选，所述S5包括以下内容：

属性授权中心验证用户的身份成功之后生成一个中间秘钥发送给中央授权中心，中央授权中心接收到中间秘钥之后，将不会进行二次验证用户的身份，而是直接发放最终秘钥；

还包括一个追踪机制，定期执行，以此来监督属性授权中心；追踪机制具体如下：

中央授权中心在开始追踪时，为了确认用户的密钥所有权，中央授权中心强迫要求可疑用户U_j上交其最终秘钥中的L,K',TS，并在可疑用户的属性里随机选取一个x∈Att，中央授权中心计算t₁＝H₁(Uid_j||TS||0)、t₂＝H₁(Uid_j||TS||1)和K_x'＝Q_x ^αt2·g^-b(t1+t2)，再验证以下等式是否成立：

e(Q_x,L)＝e(g,K'K_x')

如果等式成立就继续执行下一步；接下来要确认的就是哪个AA替可疑U_j生成中间秘钥；

CA使用主密钥MSK恢复与特定AA相对应的公钥，如下所示：

PK'＝(L·g^-αt2)^1/βt1＝g^{kAidiβt1/βt1}＝g^kAidi

CA使用PK’作为索引来搜索AA；

如果某个唯一标识为Aid_i的AA_i拥有一个等于PK’的公钥，那么就意味着AA_i恶意或错误地验证了该U_j的合法性；被发现的恶意属性授权中心应当被惩罚。

由于属性授权中心是不完全可信的机构，并且用户合法性验证是由人工进行的，因此属性授权中心可能会恶意或错误地替未验证的属性集生成中间密钥。此外，恶意用户将尝试任何可能的方法获得与特定属性集相关联的密钥，以获得数据访问权限。在这种假设下，用户经常会出现一些异常的行为。为了阻止上述情况的发生，务必要再加入一个追踪机制，定期执行，以此来监督属性授权中心。

因此，本发明具有如下有益效果：

1.提出了一种0编码和1编码的有效方法，使可比较属性可以用于任意比较，而且这方法适用于ABE***；

2.提出了一种轻量化、高效的CABE结构；与其他相关方案相比，这种结构将扩展的存储开销平均减半，大大减少了加密和解密的开销计算量；

3.在方案中采用中央授权中心和属性授权中心，降低中央授权中心的负担，加快对用户的身份验证和秘钥生成，避免了单点性能瓶颈；

4.加入了一个追踪机制，以此对属性授权中心进行监督。

附图说明

图1是本实施例的***模型图。

图2是实施例2的访问策略模型。

具体实施方式

下面结合附图与具体实施方式对本发明做进一步的描述。

实施例1：

本实施例提供了一种基于多授权中心的可追踪比较属性加密方法，如图1所示，采用以下***模型里，主要涉及到五个实体：中央授权中心(Central Authority，CA)，属性授权中心(Attribute Authorities，AAs)，用户(data user，DU)，数据拥有者(data owner,DO)和云服务商(cloud service provider,CSP)。

CA：CA是***的秘钥生成管理中心。为AAs和DU的生成唯一标识以及其证书。并且在收到来自AA验证DU的中间秘钥之后，为DU生成最终秘钥。除此之外，CA还可以追踪为可疑DU生成的中间秘钥的恶意AAs。

AA：每个AA都有充足的存储和计算能力，可以独立地对任何用户进行验证。AA会根据DU提交的属性进行其证书验证，并代表CA生成相应的中间密钥。值得一提的是：引入多个AAs的目的是减轻CA证书验证和密钥生成的繁重任务，进一步降低单点性能瓶颈的可能性。

CSP：CSP有着庞大的储存空间和强大的计算能力，可以为DU和DO分别提供数据存储和信息检索服务。

DO：DO为其数据制定一个访问策略，并根据定义的策略对文件进行加密。并将加密后的全部数据和加密后的对称密钥发送到CSP中。以便与多个DU共享其数据，并能显著减少本地存储和计算负担。

DU：DU从CA中获得一个唯一标识，而且其本身拥有一组相关信息的属性。DU将选择任一一个AA进行身份信息的验证，通过AA的验证之后，CA并生成与其属性集相关联的最终密钥。DU可以从CSP上获取其感兴趣的加密数据。当且仅当DU的属性集满足嵌入在加密数据中的访问策略时，用户才能解密加密数据。

本实施例包括以下步骤：

S1、***初始化；

CA选择两个素数阶相同的乘法循环群G和G_p(参数g是G的生成元)，并在G上定义一个二元映射e:G×G→G_p，然后CA随机选择a,b,α,β∈Z_p ^*，作为主密钥，还为每个属性Att_i(i＝1,2,...,V)随机生成公钥Q₁,Q₂,...,Q_V。然后，设H:(0,1)^*→G为哈希函数，将任意二进制字符串映射到G的随机元素。发布的公钥如下：

PK＝G_p,G,H,g,g^α,h＝g^β,e(g,g)^α,Q₁,Q₂,...,Q_V

主密钥如下：

MSK＝a,b,α,β,g^α

主密钥将会隐藏在***里面，不会被其他实体所获得的。

CA还要做就是负责AAs和用户的注册。首先，CA生成一对密钥(sk_CA,vk_CA)，用来进行签名和验证，其中vk_CA是公开的，可以让***中的每个实体都知道。在注册期间，每个AA都要向CA发送一个注册申请。对于每个合法的AA，CA会分配一个唯一标识的Aid∈Z_p ^*，再随机选择一个私钥k_Aid∈Z_p ^*，并计算其对应的公钥PK_Aid＝g^kAid。然后，CA将生成包含公钥PK_Aid的证书Cert_Aid，并将其与相对应的私钥k_Aid一起发送给具有身份Aid的AA。另外，每个用户都要从CA获取自己的Uid、私钥k_Uid和证书Cert_Uid。

S2、对数据加密；

为了在访问策略T下实现DO的数据共享，必须要完成以下两步：1.对数据进行加密；2.构建好策略树T。

第一步，DO自己完成对数据的加密。为了提高***性能，DO选择随机数K∈G_p作为对称密钥，s是来自Z_p ^*的随机密钥，利用对称加密算法对明文数据M进行加密。加密后的数据记为C＝h^s，/>

第二步，为T的所有节点分配一个从根R到叶节点的秘密数字，规则如下:

根R被赋予与前一步生成的C对应的秘密s。对于被分配了一个秘密s_p的非叶节点p(包括R),阈值为k_p，算法随机生成一个多项式q_p，它包含如下三个字符:

多项式q_p的次数必须满足:d_p＝k_p-1

这个多项式的值是：q_p(0)＝s_p。这个性质使多项式与相对应节点x的秘密有所关联。

每个具有不同索引z的值q_p(z)被分配给p的每个子节点。

对于叶节点P，它已经被分配了一个秘密的s_p，并且表示属性Att_i，计算C_Atti'＝g^sp，C_Atti"＝H(y)^sp,y∈X₁。

密文如下：

S3、用户验证与最终数据生成；

这过程涉及到指定的用户、被选定的AA和CA。具体分为如下3个步骤：

U_j→AA_i：当具有唯一标识Uid_j的用户U_j发出获得秘钥申请时，用户通过某种调度算法选择有唯一标识Aid的合法AA，并发送证书Cert_Uidj以及一些可以显示U_j所拥有的属性集的证明。

(2)AA_i→CA：用户身份验证过程可能设计到人工验证或者是AA_i执行的验证协议。用户身份验证成功之后，AA_i获取当前的时间点作为阈值TS，计算t₁＝H₁(Uid_j||TS||0)和t₂＝H₁(Uid_j||TS||1)，并生成中间秘钥具体如下：

将生成的中间秘钥发给CA。

CA→AA_i→U_j：CA在收到AA_i的中间秘钥之后，依据AA_i的Aid_i来获得与之对应的存储公钥PK_Aidi。接着CA检查传输延迟的时间间隔Tt是否在允许的时间间隔范围内。假设当前时间是T'，如果T'-TS＞Tt，那么CA将停止执行，并发出拒绝请求的信息给AA_i。如果T'-TS＜Tt，则CA重新计算t₁＝H₁(Uid_j||TS||0)和t₂＝H₁(Uid_j||TS||1)，确保t₁和t₂没有被同一个用户重复使用。这步骤可以阻止AA的合谋攻击。然后CA为用户生成最终秘钥并通过AA返回给用户。最终秘钥(FUSK)具体如下：

其中x∈Att；μ和r是两类安全参数，不会让用户知道的，r_y表示不同的r类参数。

S4，对数据进行解密；

解密操作同样也分为两步，第一步的目的是获得藏在访问决策树T的根中所相对应的秘密s；第二步，利用重建的s对数据内容进行解密。

第一步，对访问决策树进行如下处理：

对于任一X₂中的一个属性与访问决策树中的叶子节点所代表的属性相匹配，设对应属性为y，秘密值为s_x。算法如下:

对于非叶子节点p，如果其子节点中有不小于k_p的子节点传递了解密算法，那么将被解密的子节点集合表示为S_p，继续执行如下算法:

在上述式子中的S_x,z表示一个没有z元素的S_p集合，这个式子将返回TRUE，因为这些节点在同一个多项式中，并且s_x是这个多项式的秘密值。

当根结点返回true值时，我们得到了S＝e(g,g)^μ·s作为第二步的输入参数。第二步，算法如下：

只有当用户的扩展属性集X₂与访问策略树T相匹配时，用户才可以使用安全秘钥解密数据。否则，用户即使是从云服务器中下载了所有密文也无法解密。

S5、追踪；

AA验证用户的身份成功之后生成一个中间秘钥发送给CA。CA接收到中间秘钥之后，将不会进行二次验证用户的身份，而是直接就给他发放最终秘钥。由于AA是不完全可信的机构，并且用户合法性验证是由人工进行的，因此AAs可能会恶意或错误地替未验证的属性集生成中间密钥。此外，恶意用户将尝试任何可能的方法获得与特定属性集相关联的密钥，以获得数据访问权限。在这种假设下，用户经常会出现一些异常的行为。为了阻止上述情况的发生，务必要再加入一个追踪机制，定期执行，以此来监督AA。追踪机制具体如下：

CA在开始追踪时，为了确认用户的密钥所有权，CA强迫要求可疑用户U_j上交其最终秘钥中的L,K',TS，并在可疑用户的属性里随机选取一个x∈Att，接着，CA计算t₁＝H₁(Uid_j||TS||0)、t₂＝H₁(Uid_j||TS||1)和K_x'＝Q_x ^αt2·g^-b(t1+t2)，再验证以下等式是否成立：e(Q_x,L)＝e(g,K'K_x')

如果等式成立就继续执行下一步。接下来要确认的就是哪个AA替可疑U_j生成中间秘钥。CA使用主密钥MSK恢复与特定AA相对应的公钥，如下所示：

PK'＝(L·g^-αt2)^1/βt1＝g^{kAidiβt1/βt1}＝g^kAidi

CA使用PK’作为索引来搜索AA。如果某个唯一标识为Aid_i的AA_i拥有一个等于PK’的公钥，那么就意味着AA_i恶意或错误地验证了该U_j的合法性。被发现的恶意AA应当被惩罚。

实施例2：

如图2所示，本实施例的访问策略模型，结构是一棵访问策略树。

在CP-ABE/KP-ABE的访问策略中总有一些属性表示为一个范围值，例如：“{年龄>18}”。类似这种属性的范围值，使用布尔函数是不能比较的。因为“{年龄＝20}”与“{年龄>18}”用布尔函数比较的结果是不符合的。除非是将范围值改为一个并集，如：“{年龄＝19}”V“{年龄＝20}”V...V“{年龄＝100}”。但这种方式随着数据增大开销会呈线性增长。

我们方案针对这种范围值的属性采用0编码和1编码的方式。我们假设一个n位的二进制的数x。

x＝x₁x₂...x_n∈{0,1}ⁿ

0编码：将x转换为一个集合，如果x_i(i≤n)等于0，将x_i转变为1，再将前i位的数作为一个元素。

X_x ⁰＝{x₁x₂...x_i-11|x_i＝0,1≤i≤n}

1编码：将x转换为一个集合，如果x_i(i≤n)等于1，将前i位的数作为一个元素。

X_x ¹＝{x₁x₂...x_i|x_i＝1，1≤i≤n}

为了比较大小，假设有两个n位的二进制数y和z，将y用1编码转换为X_y ¹，用0编码转换z为X_z ⁰。如果X_y ¹和X_z ⁰的交集不为空集，就可以判断出y>z。反过来，X_y ⁰和Xz¹的交集为空集，同样可以判断出y>z。式子如下：

举一个具体的例子，假设有两个4位的二进制数y＝11(1011₂)和z＝6(0110₂)，他们的0编码和1编码如下所示。

X_y ⁰＝{11} X_y ¹＝{1,101,1011}

X_z ⁰＝{1,0111} X_z ¹＝{01,011}

因为所以y>z，符合真实结果。

设属性集Att＝{Att₁,Att₂,...,Att_v}，当Att_i(i＝1,2,...,V)表示的是范围值，如果是Att_i＞e，将这属性扩展为Set_ie0(Att_i,e)＝{(Att_i||"＞e"||c)|c∈X_ei ⁰}；如果是Att_i＜e，将这属性扩展为Set_ie1(Att_i,e)＝{(Att_i||"＜e"||c)|c∈X_ei ¹}；这两个合称为扩展集X₁。如果是Att_i＝e，将这属性扩展为两个集合Set_ie0(Att_i,e)＝{(Atti||"＞e"||c)|c∈X_ei ⁰}和Set_ie1(Att_i,e)＝{(Atti||"＜e"||c)|c∈X_ei ¹}，这称为扩展集X₂。

按照一般情况，访问策略的范围型属性将会扩展为X₁，用户的属性将会扩展为X₂。此处的属性值都是指可比较的数值型，不包括字符型。

图2中用“圆”表示树的节点，带“A”的圆表示一个属性；带“OR”的圆表示一个异或门。每个三角形代表一些节点组成的子树，“阈门”由若干个非叶子节点组成；“0编码子树”和“1编码子树”分别由一个异或门和一些叶子结点组成的单层子树，这些叶子节点分别代表的是Set_ie0(Att_i,e)或是Set_ie1(Att_i,e)中的元素。

访问策略树T的每个非叶子节点实际上是根据其子节点数和共享策略的阈值表示一个阈门。比如：对于非子叶节点x，如果其共享策略为(t,n)，则其子节点数为n，t表示其阈值门限。如果t＝1，这个阈值是“OR”门，如果t＝n，这个阈值是“AND”门。

上述实施例对本发明的具体描述，只用于对本发明进行进一步说明，不能理解为对本发明保护范围的限定，本领域的技术工程师根据上述发明的内容对本发明作出一些非本质的改进和调整均落入本发明的保护范围内。

Claims (1)

1.一种基于多授权中心的可追踪比较属性加密方法，其特征是，包括以下步骤：

S1、***初始化；

S2、对数据加密；

S3、用户验证与最终数据生成；

S4，对数据进行解密；

S5、追踪；

所述S1包括以下内容：

中央授权中心选择两个素数阶相同的乘法循环群G和G_p，其中参数g是G的生成元，并在G上定义一个二元映射e:G×G→G_p，然后中央授权中心随机选择a,b,a,β∈Z_p ^*，Z_p ^*是模p的整数环，作为主密钥，还为每个属性Att_i(i＝1,2,...,V)随机生成公钥Q₁,Q₂,...,Q_V；

设H:(0,1)^*→G为哈希函数，将任意二进制字符串映射到G的随机元素；

发布的公钥如下：

PK＝G_p,G,H,g,g^α,h＝g^β,e(g,g)^α,Q₁,Q₂,...,Q_V

h是公钥的一部分，g是有限循环群G的生成元，β是在Z_p ^*中随机选取的参数；e(g,g)是一个二元映射，是输入g和g得到的一个映射值；

主密钥如下：

MSK＝a,b,a,β,g^α

主密钥将会隐藏在***里面；

所述S1还包括以下内容：

中央授权中心还负责各个属性授权中心和用户的注册；

首先，中央授权中心生成一对密钥(sk_CA,vk_CA)，用来进行签名和验证，其中vk_CA是公开的，可以让***中的每个实体都知道；

在注册期间，每个属性授权中心都要向中央授权中心发送一个注册申请，对于每个合法的属性授权中心，中央授权中心会分配一个唯一标识的Aid∈Z_p ^*，再随机选择一个私钥k_Aid∈Z_p ^*，并计算其对应的公钥PK_Aid＝g^kAid；

然后，中央授权中心将生成包含公钥PK_Aid的证书Cert_Aid，并将其与相对应的私钥k_Aid一起发送给具有身份Aid的属性授权中心；

另外，每个用户都要从中央授权中心获取自己的唯一标识号Uid、私钥k_Uid和证书Cert_Uid；

所述S2包括以下步骤：

S21、对数据进行加密；

S22、构建策略树T；

所述S21包括以下内容：

数据拥有者自己完成对数据的加密；

为了提高***性能，数据拥有者选择随机数K∈G_p作为对称密钥，G_p是阶数为p的有限循环群，s是来自Z_p ^*的随机密钥，利用对称加密算法对明文数据M进行加密；

加密后的数据记为 分别表示三个不同的密文，E_K是对称加密算法，M是明文数据，K∈G_p作为对称密钥，s是来自Z_p ^*的随机密钥，α是在Z_p ^*中随机选取的参数；

所述S22包括以下内容：

为策略树T的所有节点分配一个从根R到叶节点的秘密数字，规则如下:

根R被赋予与前一步生成的C对应的秘密s；

对于被分配了一个秘密s_p的非叶节点p，阈值为k_p，算法随机生成一个多项式q_p，它包含如下三个字符:

多项式q_p的次数必须满足:d_p＝k_p-1；

这个多项式的值是：q_p(0)＝s_p；这个性质使多项式与相对应节点x的秘密有所关联；

每个具有不同索引z的值q_p(z)被分配给p的每个子节点；

对于叶节点P，它已经被分配了一个秘密的s_p，并且表示属性Att_i，计算C_Atti'＝g^sp，C_Atti"＝H(y)^sp,y∈X₁，X₁是扩展集，H(y)是哈希函数，y表示输入；

密文如下：

所述S3包括以下步骤：

S31、U_j→AA_i：当具有唯一标识Uid_j的用户U_j发出获得秘钥申请时，用户通过某种调度算法选择有唯一标识Aid的合法属性授权中心，并发送证书Cert_Uidj以及一些可以显示U_j所拥有的属性集的证明；

S32、AA_i→CA：用户身份验证过程可能设计到人工验证或者是AA_i执行的验证协议；

用户身份验证成功之后，AA_i获取当前的时间点作为阈值TS，计算t₁＝H₁(Uid_j||TS||0)和t₂＝H₁(Uid_j||TS||1)，并生成中间秘钥IC_Aidi,Uidj，具体如下：

将{Uid_j,Aid_i,Att,IC_Aidi,Uidj,TS}生成的中间秘钥发给中央授权中心；

其中，AA_i表示第i个属性授权中心，CA表示中央授权中心，t₁和t₂是用户注册过程中所产生的变量，核实t₁和t₂可以阻止属性授权中心的合谋攻击；H₁是个哈希函数，Uid_j表示用户j的唯一标识号，TS表示AA_i获取当前的时间作为阈值，Aid_i表示第i个属性授权中心的唯一标识号，Q_x是公钥，k_Aidi表示第i个有唯一标识号的AA的私钥，x是Att中的元素，K_x和J_x是中间秘钥的一部分；Att是属性集，X₂是扩展集；

S33、CA→AA_i→U_j：中央授权中心在收到AA_i的中间秘钥之后，依据AA_i的Aid_i来获得与之对应的存储公钥PK_Aidi；

接着中央授权中心检查传输延迟的时间间隔Tt是否在允许的时间间隔范围内；

假设当前时间是T'，如果T'-TS>Tt，那么中央授权中心将停止执行，并发出拒绝请求的信息给AA_i；

如果T'-TS＜Tt，则中央授权中心重新计算t₁＝H₁(Uid_j||TS||0)和t₂＝H₁(Uid_j||TS||1)，确保t₁和t₂没有被同一个用户重复使用；

这步骤可以阻止属性授权中心的合谋攻击；然后中央授权中心为用户生成最终秘钥并通过属性授权中心返回给用户；

最终秘钥(FUSK)具体如下：

其中L＝(PK_Aidi)^βt1g^αt2＝(g^kAidi)^βt1g^αt2，K'＝Q_x ^kAidiβt1·g^b(t1+t2)，x∈Att；D_y,D_y'是最终秘钥的一部分，μ和r是两类安全参数，不会让用户知道的，r_y表示不同的r类参数；所述S4包括以下步骤：

S41、获得藏在访问策略树T的根中所相对应的秘密s；

对访问决策树进行如下处理：

对于任一X₂中的一个属性与访问决策树中的叶子节点所代表的属性相匹配，设对应属性为y，秘密值为s_x；算法如下:

对于非叶子节点p，如果其子节点中有不小于k_p的子节点传递了解密算法，那么将被解密的子节点集合表示为S_p，继续执行如下算法:

在上述式子中的S_x,z表示一个没有z元素的S_p集合，这个式子将返回TRUE，因为这些节点在同一个多项式中，并且s_x是这个多项式的秘密值；

当根结点返回true值时，我们得到了S＝e(g,g)^μ·s作为第二步的输入参数；

S42、用重建的s对数据内容进行解密；

算法如下：

只有当用户的扩展属性集X₂与访问策略树T相匹配时，用户才可以使用安全秘钥解密数据；否则，用户即使是从云服务器中下载了所有密文也无法解密；

其中，a,b,α,β∈Z_p ^*；F_z与F_x是同一个公式，表示不同的输入；q_z表示一个随机多项式；

所述S5包括以下内容：

属性授权中心验证用户的身份成功之后生成一个中间秘钥发送给中央授权中心，中央授权中心接收到中间秘钥之后，将不会进行二次验证用户的身份，而是直接发放最终秘钥；

还包括一个追踪机制，定期执行，以此来监督属性授权中心；追踪机制具体如下：

中央授权中心在开始追踪时，为了确认用户的密钥所有权，中央授权中心强迫要求可疑用户U_j上交其最终秘钥中的L,K',TS，并在可疑用户的属性里随机选取一个x∈Att，中央授权中心计算t₁＝H₁(Uid_j||TS||0)、t₂＝H₁(Uid_j||TS||1)和K_x'＝Q_x ^αt2·g^-b(t1+t2)，再验证以下等式是否成立：

e(Q_x,L)＝e(g,K'K_x')

如果等式成立就继续执行下一步；接下来要确认的就是哪个AA替可疑U_j生成中间秘钥；

CA使用主密钥MSK恢复与特定AA相对应的公钥，如下所示：

PK'＝(L·g^-αt2)^1/βt1＝g^{kAidiβt1/βt1}＝g^kAidi

CA使用PK’作为索引来搜索AA；

如果某个唯一标识为Aid_i的AA_i拥有一个等于PK’的公钥，那么就意味着AA_i恶意或错误地验证了该U_j的合法性；被发现的恶意属性授权中心应当被惩罚；

K_x'是CA在追踪过程计算的属性秘钥，PK'是CA使用主密钥MSK恢复与特定AA相对应的公钥。