重加密可控的高效屬性基代理重加密方法
【專利摘要】本發(fā)明公開(kāi)了一種重加密可控的高效屬性基代理重加密方法，主要解決現(xiàn)有技術(shù)存在的安全性差及效率低的問(wèn)題。其實(shí)現(xiàn)步驟是：1、密鑰生成中心分別生成系統(tǒng)參數(shù)和用戶密鑰SK；2、加密者E通過(guò)密文策略屬性基加密方法對(duì)明文消息m加密得到原始密文CT；3、重加密授權(quán)者A生成重加密密鑰RK并發(fā)送給重加密代理；4、重加密代理利用系統(tǒng)公鑰PK及合法的重加密密鑰RK對(duì)原始密文CT進(jìn)行重加密生成重加密密文CT′；5、原始密文解密者D和重加密解密者B分別恢復(fù)明文消息m。本發(fā)明能抵御更強(qiáng)類型的攻擊者、提高了運(yùn)算效率、實(shí)現(xiàn)加密者對(duì)密文的重加密控制，可廣泛應(yīng)用于分布式網(wǎng)絡(luò)或云存儲(chǔ)環(huán)境中以實(shí)現(xiàn)加密數(shù)據(jù)的細(xì)粒度共享。
【專利說(shuō)明】重加密可控的高效屬性基代理重加密方法

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】，涉及一種重加密可控的高效屬性基代理重加密方 法，可用于分布式網(wǎng)絡(luò)或云存儲(chǔ)環(huán)境中實(shí)現(xiàn)加密數(shù)據(jù)細(xì)粒度的共享。

【背景技術(shù)】
[0002] 云計(jì)算作為一種新興的服務(wù)模式，通過(guò)分布式計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、虛擬化等技術(shù)，將 網(wǎng)絡(luò)中大量不同類型的資源整合起來(lái)協(xié)同工作，為用戶提供計(jì)算和存儲(chǔ)等功能，極大地提 高了資源利用率，降低了用戶成本，因此得到了廣泛的應(yīng)用和支持。然而云存儲(chǔ)的服務(wù)模式 也帶來(lái)了新的安全隱患，其中一個(gè)重要問(wèn)題是在云存儲(chǔ)介質(zhì)位于用戶控制范圍之外的條件 下如何在保護(hù)用戶數(shù)據(jù)機(jī)密性的同時(shí)實(shí)現(xiàn)合法用戶對(duì)已加密數(shù)據(jù)細(xì)粒度的訪問(wèn)控制及高 效的數(shù)據(jù)共享。在這種情況下，屬性基代理重加密被提出。在屬性基代理重加密系統(tǒng)中，由 于使用了密文策略屬性基加密體制，故只有當(dāng)用戶的屬性集合滿足密文中的訪問(wèn)結(jié)構(gòu)時(shí)， 該用戶才能解密。若用戶A擁有解密權(quán)限，用戶A可以給一個(gè)被稱作是重加密代理的半可 信代理服務(wù)器發(fā)送針對(duì)共享用戶B的重加密密鑰，重加密代理就利用接收到的重加密密鑰 將原始密文重加密成用戶B利用自己的私鑰就可以解密的重加密密文，從而實(shí)現(xiàn)了用戶之 間高效的數(shù)據(jù)共享。在代理重加密系統(tǒng)中，用戶A被稱為重加密授權(quán)者，而用戶B被稱為重 加密解密者。且在這一過(guò)程中，重加密代理無(wú)法獲取重加密授權(quán)者和重加密解密者的私鑰 以及密文中對(duì)應(yīng)明文的任何信息。
[0003] 文獻(xiàn)"A Ciphertext-Policy Attribute-Based Proxy Re-Encryption with Chosen Ciphertext Security, Cryptology ePrint Archive:Report2013/236."提出了隨 機(jī)預(yù)言模型下選擇密文安全的屬性基代理重加密方法，該方法適合云存儲(chǔ)環(huán)境下各種需要 細(xì)粒度共享加密數(shù)據(jù)的應(yīng)用場(chǎng)景。該方法的主要步驟是：第一，密鑰生成中心初始化系統(tǒng)， 生成并公開(kāi)系統(tǒng)公鑰的同時(shí)保存系統(tǒng)主密鑰；第二，密鑰生成中心生成用戶，包括加密者， 重加密授權(quán)者，原始密文解密者以及重加密解密者的私鑰；第三，加密者利用密文策略屬性 基加密算法對(duì)明文消息加密；第四，重加密授權(quán)者生成針對(duì)重加密解密者的重加密密鑰，并 發(fā)送給重加密代理；第五，重加密代理使用重加密密鑰進(jìn)行重加密生成重加密密文；第六， 重加密解密者解密重加密密文。該方法存在以下缺陷：
[0004] 第一，無(wú)法抵御更強(qiáng)類型的攻擊者。該方法的安全性是建立在一種弱化的安全模 型，即選擇模型上的，該模型要求攻擊者必須提前選擇并聲明自己的攻擊目標(biāo)，這種對(duì)攻擊 者的限制導(dǎo)致無(wú)法客觀自然地刻畫(huà)攻擊者，從而導(dǎo)致該方法不能抵御更強(qiáng)類型的攻擊者；
[0005] 第二，加密者本身不能控制哪些密文能被重加密。該方法中，重加密代理在獲得重 加密密鑰后，能夠?qū)⒓用苷呒用芙o重加密授權(quán)者的所有密文轉(zhuǎn)換為針對(duì)重加密解密者的密 文；
[0006] 第三，運(yùn)算效率低。該方法的重加密及解密過(guò)程需要的雙線性對(duì)運(yùn)算個(gè)數(shù)與用戶 屬性集合中屬性的個(gè)數(shù)成正比的，由于雙線性對(duì)運(yùn)算在實(shí)現(xiàn)效率方面要遠(yuǎn)遠(yuǎn)低于其它運(yùn) 算，如指數(shù)運(yùn)算，故該方法的計(jì)算代價(jià)會(huì)隨著用戶屬性數(shù)量的增多而加大，直接影響了該方 法的計(jì)算性能，導(dǎo)致算法效率不高，在通信帶寬受限的環(huán)境下很難實(shí)現(xiàn)。


【發(fā)明內(nèi)容】

[0007] 本發(fā)明目的在于針對(duì)上述現(xiàn)有技術(shù)存在的缺陷，提出一種重加密可控的高效屬性 基代理重加密方法，以抵御更強(qiáng)類型的攻擊者、提高運(yùn)算效率、實(shí)現(xiàn)加密者對(duì)密文的重加密 控制。
[0008] 實(shí)現(xiàn)本方法的主要思想是：利用雙系統(tǒng)加密的構(gòu)造思路，基于合數(shù)階雙線性群構(gòu) 造代理重加密方法，實(shí)現(xiàn)了本方法的適應(yīng)性安全，消除了較弱安全模型中對(duì)攻擊者的限制 問(wèn)題。同時(shí)，修改加密過(guò)程，通過(guò)使加密者能夠控制重加密解密者是否可以從重加密密文中 正確解得明文消息，來(lái)實(shí)現(xiàn)加密者的重加密控制功能。最后，通過(guò)增加重加密及解密過(guò)程中 的乘法運(yùn)算和指數(shù)運(yùn)算個(gè)數(shù)，使這兩個(gè)過(guò)程中所需的雙線性對(duì)運(yùn)算個(gè)數(shù)下降為常數(shù)，提高 了運(yùn)算效率，使計(jì)算代價(jià)不會(huì)隨著用戶屬性數(shù)量的增多而加大。
[0009] 根據(jù)以上思路，本發(fā)明的實(shí)現(xiàn)步驟包括如下：
[0010](1)重加密授權(quán)者A根據(jù)重加密解密者B的屬性集合SB構(gòu)造新的訪問(wèn)結(jié)構(gòu)W'， 然后利用訪問(wèn)結(jié)構(gòu)W'和重加密授權(quán)者A的私鑰SKA，生成重加密密鑰RK并發(fā)送給重加密 代理Proxy ;
[0011] (2)重加密代理Proxy收到重加密密鑰RK后，驗(yàn)證重加密密鑰RK的合法性：若合 法，則重加密代理Proxy利用系統(tǒng)公鑰PK、重加密密鑰RK及原始密文CT進(jìn)行重加密，生成 重加密密文CT'，否則，重加密代理Proxy不進(jìn)行重加密，操作終止；
[0012] (3)原始密文解密者D從原始密文CT中恢復(fù)明文消息m，重加密解密者B從重加 密密文CT'中恢復(fù)明文消息m:
[0013] 3a)原始密文解密者D使用原始密文解密者D的私鑰SKD通過(guò)密文策略屬性基加 密的解密方法從原始密文CT中恢復(fù)明文消息m ;
[0014] 3b)重加密解密者B使用重加密解密者B的私鑰SKB通過(guò)密文策略屬性基加密的 解密方法恢復(fù)出一個(gè)解密分量，然后利用該分量從重加密密文CT'中恢復(fù)明文消息m。
[0015] 本發(fā)明與現(xiàn)有方案相比具有如下優(yōu)點(diǎn)：
[0016] 第一，本發(fā)明可以抵御更強(qiáng)類型的攻擊者。本發(fā)明利用雙系統(tǒng)加密的構(gòu)造思路，基 于合數(shù)階雙線性群及三個(gè)三素?cái)?shù)子群判定假設(shè)，修改系統(tǒng)參數(shù)生成過(guò)程，實(shí)現(xiàn)適應(yīng)性安全 的屬性基代理重加密方法。該方法解決了現(xiàn)有屬性基代理重加密方法中較弱安全模型對(duì)攻 擊者的限制問(wèn)題，使其可以抵御更強(qiáng)類型的攻擊者。且本發(fā)明實(shí)現(xiàn)適應(yīng)性安全的同時(shí)，并沒(méi) 有影響重加密等性質(zhì)的實(shí)現(xiàn)。
[0017] 第二，本發(fā)明實(shí)現(xiàn)了加密者重加密控制功能。在加密過(guò)程中，加密者產(chǎn)生的原始密 文包含分量= 該分量對(duì)原始密文解密者的解密過(guò)程沒(méi)有任何作用，但是卻是重加密 解密者解密過(guò)程中必不可少的，從而使加密者可以直接控制重加密解密者能否從重加密密 文中正確解出明文消息，實(shí)現(xiàn)加密者的重加密控制。
[0018] 第三，本發(fā)明通過(guò)增加重加密及解密過(guò)程中的乘法運(yùn)算和指數(shù)運(yùn)算個(gè)數(shù)，使所需 的雙線性對(duì)運(yùn)算個(gè)數(shù)下降為常數(shù)。由于雙線性對(duì)運(yùn)算在實(shí)現(xiàn)效率方面要遠(yuǎn)遠(yuǎn)低于其它運(yùn) 算，如指數(shù)運(yùn)算和乘法運(yùn)算，故與現(xiàn)有屬性基代理重加密方法相比，本方法的計(jì)算代價(jià)不會(huì) 隨著用戶屬性數(shù)量的增多而加大。

【專利附圖】

【附圖說(shuō)明】
[0019] 圖1為本發(fā)明的實(shí)現(xiàn)流程圖。

【具體實(shí)施方式】
[0020] 下面結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步的描述。
[0021] 參照?qǐng)D1，本發(fā)明的實(shí)現(xiàn)步驟如下：
[0022] 步驟1，密鑰生成中心KGC生成系統(tǒng)參數(shù)。
[0023] (la)根據(jù)實(shí)際要求設(shè)定本屬性基代理重加密系統(tǒng)安全參數(shù)入彡160 ;
[0024] (lb)密鑰生成中心KGC根據(jù)設(shè)置的系統(tǒng)安全參數(shù)入，選取三個(gè)互不相等的素?cái)?shù) Pi，P 2和IV計(jì)算合數(shù)階數(shù)N =；再構(gòu)造一個(gè)N階加法循環(huán)群G和一個(gè)N階乘法循環(huán)群 GT，使其滿足雙線性映射e:GXG - GT，即從加法循環(huán)群G中任意取兩個(gè)元素作為雙線性映 射e的輸入，則其輸出一定是乘法循環(huán)群GT中的一個(gè)元素；分別構(gòu)造N階加法循環(huán)群G中 階為素?cái)?shù)PpP2和P3的子群GPl、，生成系統(tǒng)屬性集合U ;
[0025] (lc)密鑰生成中心KGC選取Pl階子群\的生成元8和 1)3階子群心的生 成元Y3，隨機(jī)選取整數(shù)私eGPl、n GZN&aGZN，對(duì)于系統(tǒng)屬性集合U中的每一個(gè) 屬性x隨機(jī)選取整數(shù)h x e ZN，其中ZN為不超過(guò)合數(shù)階數(shù)N的整數(shù)集合，計(jì)算分量 //a = ^.，令A(yù) =丨",，A e A、，密鑰生成中心KGC生成系統(tǒng)公鑰 PK = b,w，(W)"，g*a，彥)和系統(tǒng)主私鑰 MSK= (n，Y3);
[0026] (Id)密鑰生成中心KGC秘密保存系統(tǒng)主私鑰MSK，同時(shí)公開(kāi)系統(tǒng)公鑰PK和其它系 統(tǒng)參數(shù)。
[0027] 步驟2,密鑰生成中心KGC生成重加密授權(quán)者A的私鑰SKA、原始密文解密者D的 私鑰SKd以及重加密解密者B的私鑰SKb。
[0028] (2a)密鑰生成中心KGC隨機(jī)選取整數(shù)t G ZN、& e 以及圮e ，對(duì)于屬性集合 SA*的每一個(gè)屬性x，隨機(jī)選取整數(shù)計(jì)算重加密授權(quán)者A的私鑰分量 La =gTA及欠 =":.尺,、.，令彳丨=!人\ |人= ":/?丨，，義，e(7,,、，"，已授權(quán)者A的私鑰SKa為：SK , = p A ,);
[0029] (2b)密鑰生成中心KGC隨機(jī)選取整數(shù)t G ZN、〃0 以及私，對(duì)于屬性集 合SD中的每一個(gè)屬性x，隨機(jī)選取整數(shù)e ，計(jì)算原始密文解密者D的私鑰分量Kd = gqgatRD、LD = gTd及人、="X,.，令t \ ^ 成原始密文解密者D的私鑰SKD為：SKD
[0030] (2c)密鑰生成中心KGC隨機(jī)選取整數(shù)t G ZN、A 6 以及圮e G,Vi，對(duì)于屬性集合 SB中的每一個(gè)屬性x，隨機(jī)選取整數(shù)，計(jì)算重加密解密者B的私鑰分量kb=gngatRB、 LB =gtR'B及令克S=^r= 生成重加密 解密者B的私鑰SKB為：SKs
[0031] 步驟3,加密者E通過(guò)密文策略屬性基加密方法對(duì)明文消息m加密。
[0032] 加密者E通過(guò)使用系統(tǒng)公鑰PK和訪問(wèn)結(jié)構(gòu)W = (M，P )對(duì)明文消息m進(jìn)行加密， 其中M是1行n列的矩陣，P是一個(gè)從矩陣M行標(biāo)集{1，2,…，1}到授權(quán)集合P的映射，該 映射將矩陣M的第i行映射到一個(gè)屬性，記為P (i)，令I(lǐng) = U | P (i) G P，P G W}，本步驟 的具體實(shí)現(xiàn)如下：
[0033] (3a)加密者EWn維向量空間Z；；中隨機(jī)選取一個(gè)列向量= Cy2,j'.,，...，>>")，分別計(jì) 算得到三個(gè)原密文分量C = me (g，g)ns、C' = gs和C" = S ;
[0034] (3b)加密者E對(duì)于矩陣M的第i行隨機(jī)選取整數(shù)ri e ZN，計(jì)算得到原密 文分量對(duì)= g' if%和D, = ，其中來(lái)表不矩陣M的第i行所代表的向量，令 中={(C,.,A)|C,. =fV; e ZV,W e {1，2，...，/}}，得到加密者E生成的原始密文CT 為：CT=(C，C，，C"，叫）。
[0035] 步驟4,重加密授權(quán)者A生成重加密密鑰RK。
[0036] (4a)重加密授權(quán)者A隨機(jī)選擇一個(gè)整數(shù)0 G ZN，對(duì)階為Pl的子群的生成元g 和隨機(jī)數(shù)g(1計(jì)算得到元分量g e和隨機(jī)分量W ;
[0037] (4b)重加密授權(quán)者A通過(guò)密文策略屬性基加密方法用訪問(wèn)結(jié)構(gòu)W'對(duì)元分量 g 0加密得到部分密文亡，對(duì)隨機(jī)分量gf計(jì)算得到重密鑰分量，并根據(jù)私鑰 SK4 =(^4,4尤)，生成重加密密鑰RK為：。
[0038] 步驟5,重加密代理Proxy生成重加密密文CT'。
[0039] (5a)重加密代理Proxy收到由重加密授權(quán)者A發(fā)送的重加密密鑰RK后，檢驗(yàn)重加 密密鑰RK中的屬性集合S A是否滿足密文CT中的訪問(wèn)結(jié)構(gòu)W:若滿足，則重加密密鑰RK是 合法的，重加密代理Proxy執(zhí)行步驟5b)生成重加密密文CT'，否則，重加密代理Proxy終 止操作；
[0040] (5b)重加密代理Proxy根據(jù)接收到的重加密密鑰RK 和原始密 文CT=(C，C'，C"，屯），計(jì)算重密文分量

【權(quán)利要求】
1. 一種重加密可控的高效屬性基代理重加密方法，主要包括如下步驟： (1) 重加密授權(quán)者A根據(jù)重加密解密者B的屬性集合Sb構(gòu)造新的訪問(wèn)結(jié)構(gòu)W'，然后 利用訪問(wèn)結(jié)構(gòu)f和重加密授權(quán)者A的私鑰SKa，生成重加密密鑰RK并發(fā)送給重加密代理 Proxy； (2) 重加密代理Proxy收到重加密密鑰RK后，驗(yàn)證重加密密鑰RK的合法性：若合法， 則重加密代理Proxy利用系統(tǒng)公鑰PK、重加密密鑰RK及原始密文CT進(jìn)行重加密，生成重加 密密文CT'，否則，重加密代理Proxy不進(jìn)行重加密，操作終止； (3) 原始密文解密者D從原始密文CT中恢復(fù)明文消息m，重加密解密者B從重加密密 文CT中恢復(fù)明文消息m: 3a)原始密文解密者D使用原始密文解密者D的私鑰SKd通過(guò)密文策略屬性基加密的 解密方法從原始密文CT中恢復(fù)明文消息m; 3b)重加密解密者B使用重加密解密者B的私鑰SKb通過(guò)密文策略屬性基加密的解密 方法解密得到一個(gè)解密分量，然后利用該解密分量從重加密密文CT'中恢復(fù)明文消息m。
2. 根據(jù)權(quán)利要求1所述的方法，其中所述步驟（1)中重加密授權(quán)者A生成重加密密鑰RK，按如下步驟進(jìn)行： la) 重加密授權(quán)者A隨機(jī)選擇一個(gè)整數(shù)βeZn，對(duì)子群的生成元g和隨機(jī)數(shù)g。eGa 計(jì)算得到元分量ge和隨機(jī)分量gf,其中Zn為不超過(guò)合數(shù)N的整數(shù)集合,合數(shù)N=P1P2P3, Pl、P2和P3為密鑰生成中心KGC選取的三個(gè)互不相等的素?cái)?shù)，&,為N階加法循環(huán)群G中階 為P1的子群； lb) 重加密授權(quán)者A通過(guò)密文策略屬性基加密方法用訪問(wèn)結(jié)構(gòu)W'對(duì)元分量ge加 密得到部分密文再對(duì)隨機(jī)分量gf計(jì)算得到重密鑰分量I; =Kjgf，并根據(jù)由密鑰生 成中心KGC生成的重加密授權(quán)者A的私鑰SK4 =(?,生成重加密密鑰RK為：RK= (W"（"C)。
3. 根據(jù)權(quán)利要求1所述的方法，其中所述步驟（2)中重加密代理Proxy利用系統(tǒng)公鑰 PK、重加密密鑰RK及原始密文CT生成重加密密文CT'，按如下步驟進(jìn)行： 2a)重加密代理Proxy收到重加密密鑰RK= (5',p /TpL,pf6)之后，檢查重加密密 鑰RK中的屬性集合Sa是否滿足原始密文CT中的訪問(wèn)結(jié)構(gòu)W= (M，P)，其中，原始密文CT=(C，C'，C"，Ψ)是由加密者E通過(guò)密文策略屬性基加密方法對(duì)明文消息m加密得 到的，訪問(wèn)結(jié)構(gòu)W= (M,P)，M是1行η列的矩陣，P是一個(gè)從矩陣M行標(biāo)集{1，2,…，1} 到授權(quán)集合P的映射，該映射將矩陣M的第i行映射到一個(gè)屬性，記為P(i)，令I(lǐng)= {i|p(i)ep,peff}； 若滿足,則重加密密鑰RK是合法的，重加密代理Proxy執(zhí)行步驟2b)，否則，重加密代理Proxy不進(jìn)行重加密,操作終止； 2b)重加密代理Proxy根據(jù)接收到的重加密密鑰RK= (5,./T, 乂和原始密文CT =(C，(T，C"，ψ)，計(jì)算重密文分量生成重加密 密文CT，為：CT=(cw'c\C.); 其中，密文分量Ψ= {(?,A)|c, = A= #ZamV/e{1，2,·..，/}}，向量4表 示矩陣M的第i行，列向量P= (·s，.v2，.v3，…，.v")是由加密者E從n維向量空間Z；；中隨機(jī)選取 的，整數(shù)AeZn是由加密者E對(duì)于矩陣M的第i行隨機(jī)選取，ωieZn是恢復(fù)系數(shù)。
4. 根據(jù)權(quán)利要求1所述的方法，其中所述步驟3a)中原始密文解密者D使用私鑰 SKp=(?，&,心,^)恢復(fù)明文消息m，是通過(guò)密文策略屬性基加密的解密方法，利用公式 歷=〇/4_0.6.,:，々少(^，人。)^/^.;)從原始密文(^=((：，(：'，(："，屯）中恢復(fù)出明文消 /iel iel 息m，其中，GJieZn是恢復(fù)系數(shù)，SKd是由密鑰生成中心KGC生成的原始密文解密者D的私 鑰。
5. 根據(jù)權(quán)利要求1所述的方法，其中所述步驟3b)中重加密解密者B使用私鑰SKb恢 復(fù)明文消息m，是先通過(guò)密文策略屬性基加密的解密方法從部分密文^中恢復(fù)出元分量ge， 然后，通過(guò)公式m=Ce(C"，ge)/Ct從重加密密文CT' = (C_\C'C"，之C,)中恢復(fù)出明文消息m，其中SKb是由密鑰生成中心KGC生成的重加密解密者B的私鑰。
【文檔編號(hào)】H04L29/06GK104320393SQ201410578147
【公開(kāi)日】2015年1月28日 申請(qǐng)日期:2014年10月24日 優(yōu)先權(quán)日:2014年10月24日
【發(fā)明者】龐遼軍, 楊潔 申請(qǐng)人:西安電子科技大學(xué)