一种实现及时用户属性撤销的基于密文策略属性加密方法

摘要

本发明公开了一种实现及时用户属性撤销的基于密文策略属性加密方法，其实现步骤是：系统建立，生成系统公钥和主密钥；加密者构造访问策略；加密者进行加密，生成密文；属性权威中心生成用户私钥和授权私钥；云服务器构造路径密钥二叉树；云服务器进行代理重加密，生成重密文，实现对用户属性的撤销；解密者进行解密，得出明文。本发明减轻了属性权威中心的负担、可以高效快速解决与撤销属性相对应的私钥更新问题、当一个用户的某个或某些属性被撤销后仍将具有其他属性的访问权限，并且撤销某个或某些用户的属性不影响其他用户对于这个属性的访问权限、具有灵活、及时、细粒度、高效撤销用户属性的优点。

说明书

技术领域

本发明涉及网络与信息安全领域，涉及加密数据访问控制技术，具体涉及 一种实现及时用户属性撤销的基于密文策略属性加密方法。

背景技术

基于属性加密，属于公钥加密机制,其面向的对象是一个群体,而不是单个 用户，允许用户利用属性来实施对消息加密和解密，可以实现高效的一对多的 广播加密和细粒度的访问控制。根据密文和密钥表现形式和应用场景不同分为 密钥策略的属性加密和密文策略的属性加密两类。其中，在基于密文策略的属 性加密中，用户私钥与属性相关，加密者制定访问策略，决定了哪些属性的用 户可以解密，当且仅当用户属性满足密文访问策略时才可以成功解密。

随着云计算的发展，越来越多的用户将自己的敏感数据存储在第三方服务 器上，以达到共享数据的目的。但是第三方服务器不是完全可信的，由此引发 了用户对于数据安全性的担心。属性加密是一个很好的解决途径，用户可以将 访问策略嵌入到密文中将其存储在云服务器上，只有属性满足访问策略的用户 才可以成功解密云服务器上的密文。但是，鉴于用户频繁的加入或离开属性用 户群，用户属性撤销与添加相比，执行上更复杂、实现上难度更大，用户属性 撤销成为属性加密的密码体制研究的热点问题。目前已有许多方法解决撤销问 题，可以将撤销列表嵌入到密文中实现用户撤销；或者定时重加密密钥来完成 属性撤销；还可以通过代理重加密以及同时改变系统公钥和用户私钥的方式来 完成撤销。但是以上方法都各有不足之处，撤销代价大，不够灵活，不能实现 及时细粒度的属性撤销。

发明内容

针对现有技术的不足，本发明提出一种实现及时用户属性撤销的基于密文 策略属性加密方法，以达到减少属性权威中心工作量并细粒度撤销用户属性的 目的。应用密钥随机分割和代理重加密技术，将属性权威中心的工作转移给云 服务器来完成，云服务器根据属性用户集合构造路径密钥二叉树，可以高效快 速解决与撤销属性相对应的私钥更新问题。当一个用户的某个或某些属性被撤 销后他仍将具有其他属性的访问权限，撤销某个或某些用户的属性不影响其他 用户对于这个属性的访问权限。

为了实现上述目的，本发明的采用如下技术方案：

利用线性秘密共享技术将访问策略嵌入到密文中；利用密钥随机分割技术 将主密钥随机分成两部分，分别用于为用户和云服务器生成用户私钥和授权私 钥；加密者生成初始密文将其发送给云服务器，云服务器利用重加密技术对初 始密文进行重加密生成重密文以达到数据共享和细粒度访问的目的；属性权威 中心无需与解密者进行沟通为其生成更新私钥，减少了属性权威中心的负担； 云服务器根据属性用户集合构造路径密钥二叉树，可以有效解决用户属性撤销 后的其他用户属性所对应的私钥更新问题；云服务器的授权私钥的密文将作为 合法用户密钥的一部分与更新私钥一起解密重密文。其中：

属性权威中心能够为系统生成公钥和主密钥，负责为每个用户分配属性并 生成用户私钥，为云服务器生成授权私钥，并将每个属性对应的用户集合发送 给云服务器。

加密者制定访问策略并加密自己的数据消息，将初始密文发送给云服务器。

云服务器负责将从加密者那里获得的密文进行重加密生成重密文将其存储 供用户分享，并负责为用户集合生成路径密钥二叉树以及控制用户的访问权限。

解密者访问存储在云服务器上的密文，只有属性满足密文访问策略，并且 没有从属性用户集合中撤销的用户才能成功解密密文。

本技术方案的具体实施步骤如下：

步骤1，系统建立，生成系统公钥和主密钥：

步骤1.1，属性权威中心输入安全参数1^λ，并选择阶为素数p的群G，所述 安全参数1^λ决定了所述群G的大小；

步骤1.2，定义一个哈希函数：H:{0,1}^*→G；

步骤1.3，属性权威中心在有限域中随机选择整数计算 α＝(α₁+α₂)modp；

步骤1.4，生成系统公钥PK＝<G,g,e,e(g,g)^α,g^a>和主密钥MK＝<α₁,α₂,g^α>，其 中e:G×G→G_T为双线性映射，g为群G中的一个生成元；

步骤1.5，公开所述系统公钥，保留所述主密钥。

步骤2，加密者构造访问策略：

记M为l行n列的共享生成矩阵，用函数ρ(i)表示M第i行所标记的参与者， 其中i＝1,…,l，则所述访问策略为(M,ρ)。

若要共享一个秘密值s，随机选取n-1个数与s组成一个n维向量 向量为s的l个共享份额，为第i个共享份额，它属 于参与者ρ(i)；上述线性秘密共享方案具有线性重构性质：访问策略A，参与者 集合S，令S∈A为授权集合，如果{λ_i}是秘密s的合法共 享，则存在常数使得Σ_i∈Iw_iλ_i＝s。

步骤3，加密者对消息进行加密，生成初始密文，其中所述初始密文中包含 所述访问策略：

步骤3.1，加密者输入所述系统公钥PK＝<G,g,e,e(g,g)^α,g^a>、所述访问策略 (M,ρ)以及需要加密的明文消息

步骤3.2，选择随机数输出初始密文CT＝<C,C,{C_i,D_i}_i＝1,…,l>并 发送给云服务器，其中C＝g^s，$\forall i=1,...,l,C_i=g^{a{\lambda }_i}H{\left(\rho \left(i\right)\right)}^{r_i},D_i=g^{r_i}.$

步骤4，属性权威中心生成用户私钥和授权私钥：

步骤4.1，属性权威中心输入所述系统公钥PK＝<G,g,e,e(g,g)^α,g^a>和主密钥 MK＝<α₁,α₂,g^α>；

步骤4.2，属性权威中心根据用户所提供的信息分配对应的属性集合S，选 择随机数为用户生成用户私钥其中L＝g^t， $\forall j\in S,K_j=H{\left(j\right)}^t;$为云服务器生成授权私钥${\mathrm{SK}}_2=⟨D=g^{{\alpha }_2}⟩;$

步骤4.3，通过安全信道将SK₁和SK₂分别传递给用户和云服务器。

步骤5，云服务器构造路径密钥二叉树：

步骤5.1，属性权威中心将每个属性j∈S对应的属性用户集合U_j发送给云服 务器，例如用户身份ID₁,ID₂,ID₃,ID₄分别拥有属性{1,2,3}，{2,3,4}，{1,3,4}，{1,2,4}， 那么云服务器将从属性权威中心获得属性用户集合U₁＝{ID₁,ID₃,ID₄}， U₂＝{ID₁,ID₂,ID₄}，U₃＝{ID₁,ID₂,ID₃}，U₄＝{ID₂,ID₃,ID₄}；

步骤5.2，云服务器生成路径密钥二叉树，属性用户集合中的每个成员都在 所述二叉树的叶子结点上，每个成员都有相应的路径密钥，每个叶子结点或内 部结点都代表随机生成的密钥，结点u_i拥有路径密钥τ_i，路径密钥来源于叶子结 点到根结点，对于每一个属性用户群U_j都存在一个相应的最小覆盖元tree(U_j)可 以覆盖所有属性用户群中成员所对应的叶子结点，路径密钥包含在最小覆盖元 中。

步骤6，云服务器进行代理重加密，生成重密文，实现对用户属性的撤销:

步骤6.1，云服务器输入所述初始密文CT＝<C,C,{C_i,D_i}_i＝1,…,l>和所述授权密钥 ${\mathrm{SK}}_2=⟨D=g^{{\alpha }_2}⟩;$

步骤6.2，云服务器根据属性权威中心所给予的不同的属性撤销列表RL生 成两种不同类型的重密文，其中RL为属性撤销列表RL_j的集合属性 撤销列表RL_j包含了属性集合中与每个属性j相关的被撤销用户之间的对应关 系：

如果属性撤销列表即表示没有用户的属性被撤销，则云服务器选择 随机数生成第I重密文$\mathrm{CT}=⟨\tilde{C},C,C^{\prime },D^{\prime },{\{{C^{\prime }}_i,{D^{\prime }}_i\}}_{i=1,...,l}⟩,$其中，C＝g^s，C'＝g^s/k，$D^{\prime }=g^{{\alpha }_{2}k},\forall i=1,...,l,{C^{\prime }}_i=g^{a{\lambda }_i}H{\left(\rho \left(i\right)\right)}^{r_i}H{\left(\rho \left(i\right)\right)}^k,{D^{\prime }}_i=g^{r_i}{g}^k;$

如果则对于撤销列表的属性j'有被撤销的用户，此时根据 云服务器为所有未撤销用户生成的路径密钥二叉树，云服务器选择随机数 生成第II重密文其中C＝g^s，C'＝g^s/k，$D^{\prime }=g^{{\alpha }_{2}k},\forall i=1,...,l,{C^{\prime }}_i=g^{a{\lambda }_i}H{{\left(\rho \left(i\right)\right)}^{r_i}\left(\rho \left(i\right)\right)}^k,$$\rho \left(i\right)=x^{\prime }:{D^{\prime }}_i={\left(g^{r_i}{g}^k\right)}^{1/v_{p\left(i\right)}},\rho \left(i\right)\ne x^{\prime }:{D^{\prime }}_i=g^{r_i}{g}^k,$为采用 对称加密方法对v_j'加密的密文，tree(U_j')为属性用户集合U_j'相应的最小覆盖元， τ为所述最小覆盖元中的路径密钥。

步骤7，解密者进行解密，得出明文:

如果即没有用户的属性被撤销，则解密者输入所述第I重密文 $\mathrm{CT}=⟨\tilde{C},C,C^{\prime },D^{\prime },{\{{C^{\prime }}_i,{D^{\prime }}_i\}}_{i=1,...,l}⟩,$和所述用户私钥${\mathrm{SK}}_1=⟨K,L,{\left\{K_j\right\}}_{\forall j\in S}⟩$并进行如下计算：

$A=\frac{{\Pi }_{i\in I}e{({C^{\prime }}_i,L)}^{w_i}}{{\Pi }_{i\in I}e({D^{\prime }}_i,K_{\rho \left(i\right)}{)}^{w_i}}=e{(g,g)}^{\mathrm{ats}};$

然后根据上式得出的结果计算明文消息

最后输出解密的明文消息；

如果属性j'的撤销列表并且解密者的属性j'被撤销，即表示解密 者在撤销列表RL_x'中，则输出⊥；

如果属性j'的撤销列表并且解密者的属性j'没有被撤销，即表示 解密者不在撤销列表RL_j'中，仍然具有访问属性j'的权限，则解密者输入所述第 II重密文和所述用户私钥${\mathrm{SK}}_1=⟨K,L,\{K_j{\}}_{\forall j\in S}⟩,$根 据自己的路径密钥解密得到v_j'，更新私钥为进行如下计算：

$\rho \left(i\right)=j^{\prime }:B_i=\frac{e{({C^{\prime }}_i,L)}^{w_i}}{e{({D^{\prime }}_i,{\tilde{K}}_{\rho \left(i\right)})}^{w_i}}=e{(g,g)}^{\mathrm{at}{\lambda }_i{w}_i};$

$\rho \left(i\right)\ne j^{\prime }:B_i=\frac{e{({C^{\prime }}_i,L)}^{w_i}}{e{({D^{\prime }}_i,K_{\rho \left(i\right)})}^{w_i}}=e{(g,g)}^{\mathrm{at}{\lambda }_i{w}_i};$

A＝Π_i∈IB_i＝e(g,g)^ats；

然后计算明文消息

最后输出解密的明文消息。

本发明的有益效果在于：

1、利用线性秘密共享技术将访问策略嵌入到密文中，使得未授权的用户无 法恢复出秘密值；

2、属性权威中心将主密钥随机分成两部分，分别用于为用户和云服务器生 成用户私钥和授权私钥，属性权威中心的大部分工作转移给云服务器来完成， 减少了属性权威中心的负担；

3、云服务器根据属性用户集合构造路径密钥二叉树，可以高效快速解决与 撤销属性相对应的私钥更新问题；

4、云服务器的授权私钥的密文将作为合法用户密钥的一部分与更新私钥一 起解密密文；

5、达成了及时对某个或某些特定用户的特定属性的撤销；

6、当一个用户的某个或某些属性被撤销后他仍将具有其他属性的访问权 限，撤销某个或某些用户的属性不影响其他用户对于这个属性的访问权限；

7、具有灵活、及时、细粒度、高效撤销用户属性。

附图说明

图1为本发明的方法流程图；

图2为本发明系统结构示意图；

图3为本发明路径密钥二叉树结构示意图。

具体实施方式

以下将结合附图对本发明作进一步的描述，需要说明的是，本实施例以本 技术方案为前提给出了详细的实施方式和实施步骤，但并不限于本实施例。

如图1所示，所述一种实现及时用户属性撤销的基于密文策略属性加密方 法主要包括如下步骤：

步骤1，系统建立，生成系统公钥和主密钥；

步骤2，加密者构造访问策略；

步骤3，加密者对消息进行加密，生成初始密文；

步骤4，属性权威中心生成用户私钥和授权私钥；

步骤5，云服务器构造路径密钥二叉树；

步骤6，云服务器进行代理重加密，生成重密文，实现对用户属性的撤销；

步骤7，解密者进行解密，得出明文。

其中，本发明的系统由属性权威中心、加密者、云服务器、解密者等主体 构成，主体之间的相互关系如图2所示；

步骤1的具体实施流程如下：

属性权威中心输入安全参数1^λ，选择阶为素数p的群G，安全参数1^λ决定了 群G的大小；定义一个哈希函数：H:{0,1}^*→G；属性权威中心选择随机整数 计算α＝(α₁+α₂)modp，其中符号modp表示计算模p的余数；生成系 统公钥PK＝<G,g,e,e(g,g)^α,g^a>，主密钥MK＝<α₁,α₂,g^α>，其中，g∈G为选择群G的 一个生成元，e:G×G→G_T为双线性映射；系统公钥公开，主密钥保留。

e:G×G→G_T双线性映射需满足以下性质：阶为素数p的群G和G_T，g是群G的 生成元，随机选取(1)双线性：对有(2)非 退化性：使得e(g,h)≠1；(3)可计算性：对映射e(g,h)在多项式时 间内可有效计算。

步骤2的实施流程如下：

应用线性秘密共享方案，所有参与者的共享份额构成上的一个向量，M为 l行n列的共享生成矩阵，记函数ρ(i)表示M第i行所标记的参与者，其中i＝1,…,l， 则访问策略为(M,ρ)；

若要共享一个秘密值随机选取n-1个数与s组成一个n维 向量向量为s的l个共享份额，为第i个共享份 额，它属于参与者ρ(i)，上述线性秘密共享方案具有线性重构性质：访问策略A， 参与者集合S，令S∈A为授权集合，如果{λ_i}是秘密s的 合法共享，则存在常数使得Σ_i∈Iw_iλ_i＝s。

步骤3的实施流程如下：

加密者输入所述系统公钥PK＝<G,g,e,e(g,g)^α,g^a>、所述访问策略(M,ρ)以及 需要加密的明文消息选择随机数输出初始密文 CT＝<C,C,{C_i,D_i}_i＝1,…,l>并发送给云服务器，其中C＝g^s， $\forall i=1,...,l{C}_i=g^{a{\lambda }_i}H{\left(\rho \left(i\right)\right)}^{r_i},D_i=g^{r_i}.$

步骤4的具体实施步骤如下：

属性权威中心输入系统公钥PK＝<G,g,e,e(g,g)^α,g^a>和主密钥MK＝<α₁,α₂,g^α>， 根据用户所提供的信息分配对应的属性集合S，选择随机数进行如下计 算：

$K=g^{{\alpha }_1}{g}^{\mathrm{at}},$L＝g^t，$\forall j\in S,K_j=H{\left(j\right)}^t,D=g^{{\alpha }_2};$

为用户生成用户私钥为云服务器生成授权私钥 通过安全信道将SK₁和SK₂分别传递给用户和云服务器。

如表1所示，根据用户ID_i所提供的信息分配对应的属性集合用户身份 ID₁具有属性用户身份ID₂具有属性用户身份ID₃具有属 性用户身份ID₄具有属性

表1

步骤5的具体实施流程如下：

属性权威中心将每个属性j对应的属性用户集合U_j发送给云服务器：用户身 份ID₁,ID₂,ID₃,ID₄分别拥有属性${S_{\mathrm{ID}}}_1=\left\{\mathrm{1,2,3}\right\},{S_{\mathrm{ID}}}_2=\left\{\mathrm{2,3,4}\right\},{S_{\mathrm{ID}}}_3=\left\{\mathrm{1,3,4}\right\},{S_{\mathrm{ID}}}_4=\left\{\mathrm{1,2,4}\right\},$则云服务器将从属性权威中心获得属性用户集合为U₁＝{ID₁,ID₃,ID₄}， U₂＝{ID₁,ID₂,ID₄}，U₃＝{ID₁,ID₂,ID₃}，U₄＝{ID₂,ID₃,ID₄}，具体如表2所示。

表2

云服务器生成路径密钥二叉树，属性用户集合中的每个成员都在二叉树的 叶子结点上，每个成员都有相应的路径密钥。如图3所示，用户身份ID_i,i＝1,…,4 分别对应每个叶子结点，叶子结点或内部结点都代表随机生成的路径密钥，结 点ui拥有的路径密钥为τ_i，路径密钥来源于叶子结点到根结点；对于用户ID₄所 存储的路径密钥为RK₄＝{τ₇,τ₃,τ₁}。对于每一个属性用户集合U_j都存在一个相应 的最小覆盖元tree(U_j)可以覆盖所有属性用户集合中成员所对应的叶子结点，路 径密钥包含在最小覆盖元中；例如，对于属性用户集合U₂＝{ID₁,ID₂,ID₄}，那么 相应的最小覆盖元tree(U₂)＝{τ₂,τ₇}，因为结点u₂,u₇能够覆盖属性用户集合U₂中的 所有用户：ID₁,ID₂,ID₄。任意一个不在U₂的用户都无法获得tree(U₂)＝{τ₂,τ₇}中的任 意一个路径密钥。

步骤6的具体实施流程如下：

云服务器输入初始密文CT＝<C,C,{C_i,D_i}_i＝1,…,l>，其中密文包含了访问策略， C＝g^s，$\forall i=1,...,l{C}_i=g^{a{\lambda }_i}H{\left(\rho \left(i\right)\right)}^{r_i},D_i=g^{r_i}$和授权私钥${\mathrm{SK}}_2=⟨D=g^{{\alpha }_2}⟩,$云服务器根据属性权威中心所给予的属性撤销列表RL不同生成两种不同类型的 重密文，其中属性撤销列表RL_j包含了属性集合中与每个属性j相关的被撤销的 用户之间的对应关系，RL为属性撤销列表RL_j的集合如表3所示， 属性1，2，3，4的撤销集合分别为

RL₁＝{ID₁}，RL₃＝{ID₁,ID₂}，

表3

如果属性撤销列表即没有用户的属性被撤销，则云服务器选择随机 数进行如下计算：

C＝g^s，C'＝g^s/k，$D^{\prime }=g^{{\alpha }_{2}k};$

$\forall i=1,...,l,{C^{\prime }}_i=g^{a{\lambda }_i}H{\left(\rho \left(i\right)\right)}^{r_i}H,{\left(\rho \left(i\right)\right)}^k,{D^{\prime }}_i=g^{r_i}{g}^k;$

生成第I重密文$\mathrm{CT}=⟨\tilde{C},C,C^{\prime },D^{\prime }{\{{C^{\prime }}_i,{C^{\prime }}_i\}}_{i=1,...,l}⟩.$

如果属性j'的撤销列表即属性j'有被撤销的用户。云服务器根据 更新后的属性用户集合为所有未撤销的用户生成路径密钥二叉树，云服务器选 择随机数进行如下计算：

C＝g^s，C'＝g^s/k，$D^{\prime }=g^{{\alpha }_{2}k};$

$\forall i=\mathrm{1,2},...,l{C^{\prime }}_i=g^{a{\lambda }_i}H{\left(\rho \left(i\right)\right)}^{r_i}H{\left(\rho \left(i\right)\right)}^k,\rho \left(i\right)=j^{\prime }:{D^{\prime }}_i={\left(g^{r_i}{g}^k\right)}^{1/v_{p\left(i\right)}};$

$\rho \left(i\right)\ne j^{\prime }:{D^{\prime }}_i=g^{r_i}{g}^k,$

为采用对称加密方法对v_j'加密的密文，密钥τ为二叉树中的最小覆盖元中 的路径密钥，生成第II重密文

步骤7的具体实施流程如下：

如果即属性没有被撤销，则解密者ID_i输入第I重密文 $\mathrm{CT}=⟨\tilde{C},C,C^{\prime },D^{\prime },{\{{C^{\prime }}_i,{D^{\prime }}_i\}}_{i=1,...,l}⟩,$和根据私钥${\mathrm{SK}}_1=⟨K,L,{\left\{K_j\right\}}_{\forall j\in S}⟩,$进行如下计算：

$A=\frac{{\Pi }_{i\in I}e{({C^{\prime }}_i,L)}^{w_i}}{{\Pi }_{i\in I}e({D^{\prime }}_i,K_{\rho \left(i\right)}{)}^{w_i}}=e{(g,g)}^{\mathrm{ats}};$

输出解密的明文消息；

若属性j'的撤销列表解密者ID_i的属性j'被撤销ID_i∈RL_j'，则输出⊥。 否则，解密者ID_i的属性j'没有被撤销即即解密者ID_i仍然具有访问属 性j'的权限，则解密者ID_i输入第II重密文和用户 私钥解密者ID_i的属性没有被撤销，则可以根据路径密钥解 密得到v_j'，更新对应属性j'的私钥进行如下计算：

$\rho \left(i\right)=j^{\prime }:B_i=\frac{e{({C^{\prime }}_i,L)}^{w_i}}{e{({D^{\prime }}_i,{\tilde{K}}_{\rho \left(i\right)})}^{w_i}}=e{(g,g)}^{\mathrm{at}{\lambda }_i{w}_i};$

$\rho \left(i\right)\ne j^{\prime }:B_i=\frac{e{({C^{\prime }}_i,L)}^{w_i}}{e{({D^{\prime }}_i,K_{\rho \left(i\right)})}^{w_i}}=e{(g,g)}^{\mathrm{at}{\lambda }_i{w}_i};$

A＝Π_i∈IB_i＝e(g,g)^ats；

输出解密的明文消息。

对于本领域的技术人员来说，可以根据以上技术方案和构思，作出各种相 应的改变和变形，而所有的这些改变和变形都应该包括在本发明权利要求的保 护范围之内。