[发明专利]一种多机构中心的属性加密方法

说明书

技术领域

本发明涉及计算机安全技术领域，特别涉及一种多机构中心的属性加密方法。

背景技术

属性加密机制(Attribute-based Encryption,ABE)是近年来新兴的一种公钥加密机制，它是身份加密方法的延伸。在属性加密中，用户的身份通过一系列的属性来描述，只有当用户的身份属性满足系统定义的访问策略时，才能够解密得到明文。

当Sahai和Waters首次提出属性加密机制后，Goyal等人把ABE机制划分为密钥策略(Key-Policy Attribute-based Encryption,KP-ABE)和密文策略(Ciphertext-Policy Attribute-based Encryption,CP-ABE)。在KP-ABE中，密文与属性集相关，用户密钥与访问树结构相关，消息发送方只对消息进行加密，授权用户可以根据自己的属性恢复出密钥，这个密钥只可以解密他有权访问的密文。CP-ABE机制正好相反，密文与访问树结构相关，而密钥与属性集相关，访问策略由消息发送方制定，数据加密之后就确定了哪些用户能够对它进行解密而不需要借助可信服务器实现访问控制。

CP-ABE凭借其优良特性，在组密钥管理和用户隐私保护等领域有着广泛应用。然而基本ABE属于单授权机构情形,不能满足大规模分布式应用对不同机构协作的需求，而且授权机构必须完全可信,违背了分布式应用要求信任分散的安全需求。授权机构管理系统中所有属性,为用户颁发密钥,工作量大,成为系统的性能瓶颈。多授权机构ABE(Multi-authority ABE,MA-ABE)不仅能够满足分布式应用的需求,而且可将单授权机构的信任和工作量分散到系统的所有授权机构上,故研究多机构情况下的ABE是必要的。

目前多机构ABE的工作都研究基本ABE，而围绕CP-ABE的工作并未展开，CP-ABE在现实应用中的重要性已经得到证明，在付费电视系统、组密钥管理、用户隐私保护等领域得到广泛应用，因而多机构CP-ABE的研究成为一个急切需求。

香港城市大学杨勘等人提出的多机构中心的属性加密方案可以很好的解决以上问题。但是，该方案中所有的解密操作都集中在用户端，这样会导致用户解密效率不高，尤其是当用户使用智能手持设备访问云端的时候。而本发明能够解决上面的问题。

发明内容

本发明目的是针对CP-ABE管理系统中所有属性、工作量大、易成为系统性能瓶颈的不足，通过把CP-ABE扩展到多个授权机构，将单授权机构的信任和工作量分散到系统所有授权机构上，提高了系统的安全性和解密效率。

本发明解决其技术问题所采取的技术方案是：本发明提出了一种多机构中心的属性加密方法，其包括如下步骤：

步骤1：系统初始化:通过CA中心的身份验证后，初始化产生密钥；

步骤2：密钥计算：AA中心计算出用户的公私钥对，用于数据加密和解密运算；

步骤3：加密：数据属主Owner执行加密操作后，将密文上传到云端；

步骤4：解密：用户端提交部分私钥后，执行预解密处理，处理后的密文发送到用户端，执行最终的解密运算；

步骤5：属性撤销：当某个用户的属性被撤销后，执行密钥更新以及数据重加密操作，确保数据不被非法获取。

其中，上述步骤1中恶意用户不会通过CA中心的身份验证；上述步骤2中传输密钥的通信信道是安全的，不会被恶意截取；上述步骤3中在用户端根据定义的访问控制结构执行数据加密操作；

上述步骤4中解密过程包括如下步骤：

1)用户上传属性的私钥到云端执行预解密处理，处理后的数据返回到用户端；

2)用户端通过自己的私钥对于预解密处理后的数据进行解密，得到想要的数据；

上述步骤5中属性撤销过程包括如下步骤：

1)密钥更新；

密钥的更新可以阻止被撤销权限的用户继续解密数据；

2)数据重加密；

数据重加密的过程可以保证新加入的用户可以访问在该用户加入之前的数据。

本发明涉及到的理论基础：

定义1.(双线性映射).设G₁,G₂,G_T是三个阶为素数p的群,若e:G₁×G₂→G_T是双线性映射则满足：