策略隐藏和外包解密下的抗泄露CP‑ABE方法

技术领域

本发明属于信息安全领域，提出一种策略隐藏和外包解密下的抗泄露CP-ABE方案，主要实现兼具抗泄露、策略隐藏和外包解密三种特点的CP-ABE方案。

背景技术

随着云计算的发展，用户将自己的数据存储在云服务器上已经成为了一种趋势。但是利用传统的加密方案来分发这些加密数据给特定群体的用户是非常低效的，例如PKI，身份基加密方案。因为密文的长度和加密/解密算法的计算花费和接受用户的数量是呈线性关系的。为了解决这个问题，Sahai和Waters在2005年提出了属性基加密(Attribute-Based Encryption，ABE)的概念。在属性基加密中，密文和密钥与属性集和基于属性的访问结构有关。只有当密文的属性和用户密钥的属性相匹配，相应的密文才能被解密。属性基加密方案共有两种：1)密文策略属性基加密(Ciphertext Policy-Attribute-BasedEncryption，CP-ABE)，其中密文与访问结构有关，密钥与属性集合有关；2)密钥策略属性基加密(Key Policy Attribute Based Encryption，KP-ABE)，其中密文与属性集合有关，密钥和访问结构有关。

属性基加密在应用中有一个重要问题就是访问策略的隐藏问题。访问策略决定了只有拥有满足特定条件的属性集的用户才可以解密密文，然而访问策略本身就可能会泄露用户的大量隐私，同时访问策略的泄露可能会使攻击者获得访问策略的信息，从而对密文的安全性产生威胁，所以策略隐藏是属性基加密的一个重要内容。

由于属性基加密中存在着大量的双线性配对和指数运算，计算量较大，而实际应用中用户的设备可能只有有限的计算能力，加解密运算会给用户带来巨大的开销，将密文外包给第三方解密是一个有效的解决办法。

在实际应用中，许多加密方案很难避免侧信道攻击，这让攻击者可以通过观察加密过程的物理属性(时间，功耗，温度，辐射等)来了解密钥的部分信息。因此，弹性泄露的概念被提出来，在弹性泄露模型中，即使敌手可以获得密钥的部分信息和初始状态，加密方案也是安全的。在众多的泄露模型中，辅助输入模型具有较高的安全性。

发明内容

本发明的目的是提出一种辅助输入模型下的CP-ABE方案，与传统方案相比，本发明兼具策略隐藏，外包解密和抗泄露的特点，增强了加密方案的安全性，同时能减轻用户的计算代价。

为此目的，本发明采用的技术方案为一种策略隐藏和外包解密下的抗泄露CP-ABE方法，具体包括以下步骤：

步骤A，参数选择：

步骤A-1，运行双线性群生成器来生成

其中P₁，P₂，P₃是三个不同的大质数，是双线性配对运算，和是具有素数阶N的乘法循环群，是的阶为p_i的子群，U是属性空间的大小，m是密钥的份额数，与算法安全性相关；

步骤A-2，随机选择群的生成元和群的生成元g₂，选取随机数b₁，…，b_m∈Z_N，β₁，…，β_U∈Z_N，计算

其中Z_N表示模N的余数集合；

步骤A-3，选取随机数a，α₁，…，α_m，∈Z_N，选取随机数u₁，…，u_m∈Z_p3，从{0,1}^l中选取随机向量τ₁，…，τ_m。，生成系统公钥系统私钥为

其中Z_p3表示模p₃的余数集合，{0,1}^l表示长度为l的二进制串,e(*,*)为双线性配对运算，i∈[m]表示所有下标i在[1，…，m]之间的参数；

步骤B，私钥生成：

输入一个用户的属性集表示用户拥有的属性的集合，系统主公钥MPK和系统主私钥MSK，选择随机数y₁₁，…，y_1m，y₂，y₃₁，…，y_3U，t∈Z_N，令(y_2i＝y_1i-1)_i∈[m]，生成用户私钥对：

其中，Z_N表示模N的余数集合，i∈[m]表示所有下标i在[1，…，m]之间的参数，表示所有属于用户的属性，SK₁发送给第三方，用于外包解密，SK₂发送给用户，用于最终解密；

步骤C，加密明文：

步骤C-1，输入一个关于访问结构的LSSS方案待加密的信息M，系统主公钥MPK，

其中是一个l×n矩阵，函数ρ将矩阵的行和属性关联起来；

步骤C-2，选取随机向量然后计算s₁＝<τ₁,s₁′>，…，s_m＝<τ_m,s_m′>，选取长度为n的随机向量对于i＝1，…，l，计算向量的内积

其中表示长度为l的整数向量，<τ_i,s_i′>表示计算向量τ_i和s_i′的内积，s_i为计算结果，表示长度为n的整数向量，是矩阵的第i行对应的向量；

步骤C-3，选择随机数输出生成的密文

其中，表示所有下标i＝1，…，l的连乘，i∈[l]表示所有下标在[1，…，l]的项，表示从群中选取l个随机数R_i′，R_i，并用下标i标识；

步骤D，外包解密：

输入密文CT，对应于属性集的用户私钥SK₁和系统主公钥MPK，如果那么是一个授权集，可以解密密文，算法输出部分解密密文

其中，表示矩阵的第i行经过函数ρ映射的属性属于属性集表示I是集合[1，…，l]的子集，{(ω_i∈Z_N)_i∈I}是一个常数集，满足表示双线性配对运算，和Π_i∈I(*)表示所有下标满足要求的项连乘；

步骤E，解密密文：

输入部分解密密文T和用户私钥SK₂，计算

最后用户可以从C中解密出明文M。

进一步，上述步骤A-2中群的生成元g₂和步骤C-3中群的随机数的是用于实现访问策略隐藏。

上述步骤B中，生成用户私钥对SK₁和SK₂是为了保证外包解密中密文的安全性。

上述步骤C-1中，该访问结构用于控制解密，只有属性集满足的用户才能解密。

与现有技术相比，本发明提出的策略隐藏和外包解密下的抗泄露CP-ABE方案具有如下的优点：

1，在主公钥和加密算法中，加入合数阶双线性群的子群中的元素，来达到访问策略隐藏的功能，防止访问策略泄露大量用户的敏感信息，以保护用户的隐私；在用户私钥生成阶段，生成两个关联的私钥SK₁和SK₂，用户私钥SK₁发送给第三方代理，用来部分解密，SK₂发给用户进行最终解密，双密钥系统保证了密文和用户私钥的安全性，使第三方无法直接解密密文。

2，本发明设计的属性基加密方案兼具了策略隐藏，抗泄露和外包解密的特点，有较高的安全强度，并且考虑到了用户解密的计算代价问题。

附图说明

图1为本发明的流程图。

具体实施方式

现结合附图对本发明作进一步详细的说明。

本发明所提出的兼具抗泄露，策略隐藏和外包解密三种特点的CP-ABE方案案，其使用过程包括下面5个算法步骤：

(1)初始化算法(λ，Σ)：

初始化算法输入一个安全参数λ，一个属性空间Σ，Σ是属性空间名，表示所有的属性集合，每个属性可以映射为群中的一个元素，U＝|Σ|是属性空间的大小，m是密钥的份额数，与算法安全性相关。算法运行双线性群生成器来生成其中P₁，P₂，P₃是三个不同的大质数，是双线性配对运算，和是具有素数阶N的乘法循环群，是的阶为p_i的子群。然后随机选择群的生成元和群的生成元g₃。选取随机数a，α₁，…，α_m，b₁，…，b_m∈Z_N，计算选取随机数β₁，…，β_U∈Z_N，计算选取随机数u₁，…，u_m∈Z_p3，从{0,1}^l中选取随机向量τ₁，…，τ_m。则构造系统公钥为系统私钥为

其中Z_N表示模N的余数集合，Z_p3表示模p₃的余数集合，{0,1}^l表示长度为l的二进制串，i∈[m]表示所有对应下标i在[1，…，m]之间的参数。

(2)私钥生成算法(MSK，MPK，)：

该算法输入一个用户的属性集(表示用户拥有的属性的集合)，系统主公钥MPK和系统主私钥MSK。选择随机数y₁₁，…，y_1m，y₂，y₃₁，…，y_3U，t∈Z_N，令(y_2i＝y_1i-1)_i∈[m]，输出用户私钥

其中i∈[m]表示所有下标i在[1，…，m]之间的参数，表示所有属于用户的属性值。SK₁发送给第三方，用于外包解密，SK₂发送给用户，用于最终解密。

(3)加密算法(M，Π，MPK)：

加密算法输入一个关于访问结构(用于控制解密，只有属性集满足的用户才能解密)的LSSS(Linear Secret Sharing Scheme)方案待加密的信息M，系统主公钥MPK。其中是一个l×n矩阵，函数ρ将矩阵的行和属性关联起来。选取随机向量然后计算s₁＝<τ₁,s₁′>，…，s_m＝<τ_m,s_m′>，选取长度为n的随机向量对于i＝1，…，l，计算向量的内积另外算法选择随机数输出生成的密文

其中表示长度为l的整数向量，<τ_i,s_i′>表示计算向量τ_i和s_i′的内积，s_i为计算结果，表示长度为n的整数向量，是矩阵的第i行对应的向量，表示从群中选取l个随机数R_i′，R_i，并用下标i标识，表示所有下标i＝1，…，l的连乘，i∈[l]表示所有下标在[1，…，l]的项。

(4)外包解密算法(CT，SK₁，MPK)：

外包解密算法输入密文CT，对应于属性集的用户私钥SK₁和系统主公钥MPK。如果那么是一个授权集，可以解密密文。令表示矩阵的第i行经过函数ρ映射的属性属于属性集表示I是集合[1，…，l]的子集。{(ω_i∈Z_N)_i∈I}是一个常数集，满足算法输出部分解密密文

其中表示双线性配对运算，和Π_i∈I(*)表示所有下标满足要求的项连乘。(5)解密算法(T，SK₂)：

解密算法输入部分解密密文T和用户私钥SK₂，算法计算

最后，用户可以从C中解密出明文M。

上述方案中，如果在初始化算法中构造参数A_i没有使用在加密算法中没有使用随机数那么C_i和D_i会泄露一些访问结构的信息。因为对于任意给定的访问策略攻击者选择和(因为有不同的方法来选择ω_i的值，使成立)。攻击者只要验证下面公式的第二个等号是否成立：

然后，攻击者就可以确定密文是否由访问策略加密。

下面验证上述方案是策略隐藏的。假设攻击者选择任一访问策略密文CT由访问策略加密得到。攻击者根据矩阵选择{(ω_i′∈Z_N)_i∈I′。然后攻击者执行下面的计算：

对于访问结构有两种情况：

1)如果则那么

2)如果则那么

在上述两种情况下，测试返回的结果均是群中的一个随机元素，所以攻击者不能确定密文是否与访问策略有关，因此可以认为上述方法是策略隐藏的。