[发明专利]一种基于属性保护的多授权中心加密方法

权利要求书

1.一种基于属性保护的多授权中心加密方法，其特征在于，具体步骤如下：

步骤A，设置系统参数：

选取大素数p，分别生成p阶乘法循环群G₀和G₁，设定双线性映射e:G₀×G₀→G₁；选择G₀中的生成元g,h和h₁；公布<p,G₀,G₁,g,h,h₁>作为系统公开参数params；

步骤B，设置授权者的公钥与私钥：

步骤B-1：授权者A_k随机选取和作为其私钥，其中k∈[1,N],i∈[1,n],j∈[1,ni]，是模p的剩余类环，表示集合{0,1,2,...,p-1}，N表示系统中授权者的个数，n表示系统中属性的种类，n_i表示第i种属性拥有的可能值的个数；

定义用户的属性集为L，即用户所拥有的属性的集合为L，属性的种类最多有n种，第i种属性的值是n_i个可能属性值中的一个；对于两个不同的用户属性集L和L′，应满足：

Σvi,j∈Lti,j≠Σvi,j∈L′ti,j]]>

其中表示对所有满足v_i,j∈L的t_i,j求和，v_i,j表示属性值，是第i种属性的第j个可能值；

则，授权者A_k的私钥为：

SKk=<αk,βk,{ti,jk}i∈[1,n],j∈[1,ni]>]]>

步骤B-2：授权者A_k分别计算：

Tk=e(g,g)αk,Zk=gβk]]>和Ti,jk=gti,jk]]>

则，授权者A_k的公钥PK_k为：

PKk=<Yk,Zk,{Ti,jk}i∈[1,n],j∈[1,ni]>]]>

步骤C，盲计算生成用户的私钥，具体步骤如下：

步骤C-1：用户U分别随机选取ρ₁,z,a₁,a₂分别计算：

T=gzh1u]]>

P1=hρ1]]>

T′=ga1h1a2]]>

P1′=ha3]]>

将<T,P₁,T′,P₁′>发送给授权者A_k；其中，T是对用户全局识别码u的承诺；P₁用于在用户U和授权者A_k间执行两方安全计算；

步骤C-2：授权者A_k随机选取并将c发送给用户U；

步骤C-3：用户U计算x₁=a₁-cz,x₂=a₂-cu和x₃=a₃-cρ₁，并将<x₁,x₂,x₃>发送给授权者A_k；

步骤C-4：授权者A_k分别验证等式和是否成立；如果等式都成立，则授权者A_k分别随机选取r_k,ρ₂,X,b₁,b₂,b₃,分别计算：

P2=hρ2]]>

D~0k=gαk(P1P2)rkhΣvi,j∈Lkti,jkTβk]]>

D~11k=P2rk]]>

D~12k=hrk]]>

P2′=hb1]]>

(D~0k)′=gb2(P1P2)b3hXTb4]]>

(D~11k)′=P2b3]]>

(D~12k)′=hb3]]>

授权者A_k将发送给用户U；

如果等式不成立，则系统返回失败；

步骤C-5：用户U随机选取并将c′发送给授权者A_k；

步骤C-6：授权者A_k计算y₁=b₁-c′ρ₂,y₂=b₂-c′α_k,y₃=b₃-c′r_k,y₄=b₄-cβ_k和并将<y₁,y₂,y₃,y₄,y₅>发送给用户U；

步骤C-7：用户U验证等式P2′=hy1p2c′,(D~0k)′=gy2(P1P2)y3hy5Ty4(D~0k)c′,]]>(D~11k)′=P2y3(D~11k)c′]]>和(D~12k)′=hy3(D~12k)c′]]>是否成立；如果等式不成立，系统返回失败；

如果等式成立，用户U计算D0k=D~0kZkz,D1k=D~11k(D~12k)ρ1;]]>

得到授权者A_k颁发给用户的私钥为

SKUk=<D0k,D1k>;]]>

步骤D，加密，根据选定的访问策略以及授权者的公钥对明文M进行加密：

步骤D-1：加密者随机选取指定一个访问策略W，访问策略W指出了可以解密消息的属性集；

步骤D-2：加密者使用选取的随机值s和访问策略W，分别计算：

C1=M·Πk∈IcYks,C2=gs,C3=Πk∈IcZks,C4=(Πk∈Ic,vi,j∈WTi,jk)s]]>

其中，表示对所有满足k∈I_c的做连乘，I_c是授权者的索引集，即监控访问策略中属性的授权者的下标集合；

加密者得到固定长度的密文CT=<C₁,C₂,C₃,C₄>；

步骤E，解密，根据系统公开参数以及用户私钥对密文CT进行解密得到明文M；

步骤E-1：解密者验证是否有与访问策略下标匹配的属性，如果没有，则解密失败，如果有，则继续下面的步骤；

步骤E-2：解密者使用系统公共参数<p,G₀,G₁,g,h,h₁>和解密者的私钥以及密文CT=<C₁,C₂,C₃,C₄>，令：

H=e(C3,h1u)=e(Πk∈Icgβks,h1u)=Πk∈Ice(g,h1)usβk]]>

J=Πk∈Ice(D1k,C2)=Πk∈Ice(hrk,gs)=Πk∈Ice(g,h)srk]]>

R=e(h,C4)=e(h,Πk∈Ic,vi,j∈Wgsti,jk)=e(g,h)sΣk∈Ic,vi,j∈Wti,jk]]>

Q=Πk∈Ice(D0k,C2)=Πk∈Ice(gαkhrk+Σvi,j∈Lkti,jkh1uβk,gs)]]>

=Πk∈Ice(g,g)sαke(g,h)srkΠk∈Ice(g,h)sΣvi,j∈Lkti,jkΠk∈Ice(g,h1)usβk]]>

则明文M为：

M=C1·RHJQ.]]>