[发明专利]一种泄露密钥可追踪的属性基混合加密方法

权利要求书

1.一种泄露密钥可追踪的属性基混合加密方法，其特征在于：其作法如下：

模块一：系统初始化模块:

步骤1：可信权威即TA输入系统安全参数λ，运行算法输出两个阶数为素数p的群和一个双线性映射运算

步骤2：可信权威接下来运行随机数生成算法，随机选择群中的某个生成元g，以及Z_p域中的两个元素a,α；

步骤3：可信权威选择一种抗碰撞哈希函数H(·)，该函数满足抗碰撞哈希函数的所有特性，输入为任意长度的0、1字符串，输出为映射到群中的某一元素；

步骤4：可信权威运行指纹码生成算法Gen_FC，输入该整数n和L，该整数n表示将要生成的指纹码集合Γ中元素的个数，L表示集合Γ中每个指纹码的长度；算法Gen_FC输出指纹码集合Γ＝{ω⁽¹⁾,...,ω⁽ⁿ⁾}，其中每个码字的长度为L；

步骤5：可信权威经过一次双线性对运算和两次指数运算得到公钥为：

PK＝(g,g^a,e(g,g)^α,H(·))

经过一次指数运算得到主密钥为：

MSK＝g^α；

模块二：用户录入模块：

步骤6：对于请求加入系统的用户，由可信权威为其分配集合Γ中的某个指纹码ω(ω∈Γ)，并根据用户身份条件指定属于该用户的属性集合S；

步骤7：可信权威输入主密钥MSK＝g^α，运行随机数生成算法，随机选择Z_p域中的某个元素r，运行两次指数和一次乘法运算，得到：

K₀＝g^αg^ar和K₁＝g^r；

步骤8：可信权威输入该用户属性集合S和指纹码ω，对属性集合S中的所有属性x，从1到l，进行级联、哈希函数和指数运算，得到：

{Dx,j=H(x||j||ωj)r}∀x∈S,j=1,...,L]]>

用户最终分配到的私钥为：

SK=(K0,K1,{Dx,j}∀x∈S,j=1,...,L);]]>

其中，该级联运算“||”表示字符串x,j,ω_j首尾相接；

模块三：文档建立模块：

步骤9：数据持有者即Data Owner首先运行随机数生成算法，随机选择群中的某一元素M作为对称加密的会话密钥；使用会话密钥M对文档进行AES数据加密，加密后的密文CT上传到云端存储器存储；

步骤10：数据持有者根据自己的安全需求，制定相应的访问控制策略，该策略由用户属性表示，例如“(属性1AND属性2)OR属性3”，根据访问控制策略后，生成对应的访问控制矩阵(A,ρ)，A表示l行n列的矩阵，ρ表示能将矩阵A的一行映射到访问控制策略中的某一属性的映射；

步骤11：数据持有者输入公钥PK、访问控制矩阵(A,ρ)和待加密的会话密钥M后，为确保泄露的用户私钥能被追踪到，数据持有者首先随机选择[1,L]区间的某一整数j，对于0和1分别运行属性基加密算法Encapsulate：

Hdrj,0←Encapsulate(PK,M,(A,ρ),(j,0))Hdrj,1←Encapsulate(PK,M,(A,ρ),(j,1))]]>

Encapsulate算法的运行如下：

首先，数据持有者选择随机的向量向量中的s为解密时，数据使用者需要恢复的指数；其他元素υ₂,…,υ_n是从Z_p域中随机选取的，将矩阵A的每一行作为行向量与向量进行内积运算，得到λ₁,λ₂,…,λ_l：

λi=A→i·υ→(i=1,...,l)]]>

接下来，Encapsulate算法对矩阵A中的每一行i进行ρ(·)映射，得到对应的属性字符串ρ(i)后与j和0、1字符级联；最后分别计算其抗碰撞哈希函数的值：

H(ρ(i)||j||0)H(ρ(i)||j||1)]]>

最后，经过(2+2l)次指数和(1+2l)次乘法运算，得到Encapsulate算法的结果：

C＝Me(g,g)^αs，C₀＝g^s，

C1=gaλ1H(ρ(1)||j||0),C2=gaλ2H(ρ(2)||j||0),...,Cl=gaλlH(ρ(l)||j||0)]]>

C1′=gaλ1H(ρ(1)||j||1),C2′=gaλ2H(ρ(2)||j||1),...,Cl′=gaλlH(ρ(l)||j||1)]]>

记为：

Hdrj,0=(C,C0,{C1,C2,...,Cl})Hdrj,1=(C,C0,{C1′,C2′,...,Cl′})]]>

最终M经Encapsulate算法加密后的密文表示为：

Hdr＝(j,Hdr_j,0,Hdr_j,1)；

模块四：文档访问模块：

定义集合I(I＝{i|ρ(i)∈S})，表示用户属性集合S中所有属性ρ(i)∈S通过映射ρ(·)，对应的访问控制矩阵A的行标i的集合；若用户的属性集合S中的属性满足数据持有者加密M时制定的访问控制策略，则一定能找到常数w_i∈Z_p，按照下式：

Σi∈Iwiλi=s]]>

有效恢复出指数s；

步骤12：在这一模块中，数据的使用者即Data Consumer从云端存储器下载需要访问的加密文件CT和Hdr；从步骤11的输出可知，消息Hdr由三部分组成；数据使用用户首先查看自身指纹码的第j位：对于指纹码的第j位是0的情况，属性基解密算法的输入为Hdr的第二部分Hdr_j,0和该数据使用者的用户私钥SK；对于第j位是1的情况，属性基解密算法的输入为Hdr的第三部分Hdr_j,1和该数据使用者的用户私钥SK；

第j位是0时属性基解密算法按下式运行双线性对和乘、除法计算：

M′=e(C0,K0)Πρ(i)∈S(e(Ci,K1)·e(C0,Dρ(i),j))wi=e(gs,gα)e(gs,gar)e(ga,gr)Σρ(i)∈Swiλi=e(g,g)αs]]>

第j位是1时属性基解密算法按下式运行双线性对和乘、除法计算：

M′=e(C0,K0)Πρ(i)∈S(e(Ci′,K1)·e(C0,Dρ(i),j))wi=e(gs,gα)e(gs,gar)e(ga,gr)Σρ(i)∈Swiλi=e(g,g)αs]]>

经最后一步除法运算，得到会话密钥M：

M=C/M′=Me(g,g)αse(g,g)αs;]]>

步骤13：数据使用者使用会话密钥M，对加密文件CT运行AES数据解密算法，即能访问所需的明文文件；

模块五：数字取证模块：

该数字取证模块只在发生用户私钥泄露的情况时才运行，共分3步执行：

步骤1*：可信权威首先寻找被盗版解码器即PD用来伪造用户私钥的适应性码字：ω^*；

对于j从1到L，每次选择群中两个不等的消息分别运行Encapsulate算法得到输出：

Hdrj,0←Encapsulate(PK,Mj,(A,ρ),(j,0))Hdrj,1←Encapsulate(PK,Mj′,(A,ρ),(j,1))]]>

将得到的结果作为盗版解码器的输入，该盗版解密器是根据泄露的用户私钥构造的，具有伪造用户私钥、解密数据的功能，输出为解密后的消息M_j^*，若输出的结果M_j^*与M_j相等，则判断适应性码字ω^*的第j位为0，即ω_j^*＝0；否则，判断为1；

j经1遍历到L后，能得到被盗版解码器即PD用来伪造用户私钥的适应性码字：ω^*＝ω₁^*ω₂^*…ω_L^*；

步骤2*：首先，可信权威需要指定追踪算法Tra_FC的容错概率ε(表示Tra_FC算法追踪到的最后结果包含某个无辜用户或是追踪无果的概率)，下式中的t表示该指纹码可以抗t人合谋攻击，即超过t人的合谋，该算法便失去了有效性；故该算法需在运行追踪算法之前确定泄密用户的总数不多于t；

接下来，分别计算k、k′和阈值Z的值：

k＝1/300t，

在得到k′的值后，随机选择区间之间的某一随机值并计算p_j＝sin²r_j，j从1遍历到L；

步骤3*：将上一步得到的适应性码字ω^*＝ω₁^*ω₂^*…ω_L^*，分别与指纹码集合Γ＝{ω⁽¹⁾,...,ω⁽ⁿ⁾}中的所有码字进行对比，按照下式计算每次比较对应码字位的权值：

Sij=σ(pj)ωj*=1,ωji=1-σ(1-pj)ωj*=1,ωji=0-σ(pj)ωj*=0,ωji=0σ(1-pj)ωj*=1,ωji=0i=1,...,n;j=1,...,L]]>

其中，σ(p)=(1-p)/p;]]>

对于每个用户，计算所有位的权值之和：并与阈值Z比较，所有权值之和高于Z的用户，其系统标号记入集合C中，可信权威输出追踪结果