[发明专利]可撤销两个属性的密钥策略的属性加密方法

摘要

本发明可撤销两个属性的密钥策略的属性加密方法是可撤销属性加密方法的一个重要进展，具体方法是，选择多用户下的两个不同属性，建立撤销列表，考虑密钥生成过程中的用户是否在两个撤销列表中，若存在判断用户余下的属性与访问结构的关系，只有当密文的属性集满足用户的密钥策略，用户才能完成解密过程，具体为由权威中心建立主密钥和公共参数，利用线性秘密共享算法将访问策略转为访问结构，生成相应访问结构下的用户私钥，根据属性集和已知的两个撤销列表，对消息进行加密，判断用户是否在两个撤销列表中，完成解密过程，结合已知私钥和用户追踪，判定用户与私钥的关联性，本发明解决了现有技术中存在的加密方法不能撤销用户单个属性的问题。

主权项

1.可撤销两个属性的密钥策略的属性加密方法，其特征在于，具体按照以下步骤实施:步骤1、系统参数初始化；步骤2、密钥生成；步骤3、加密；步骤4、解密；步骤5、追踪；所述步骤1的过程为设针对两个属性i和属性j构建撤销列表R_i和R_j，撤销列表R_i表示撤销属性i的所有用户，记为撤销列表R_j表示撤销了属性j的用户，记为其中允许q≠q′即每个撤销列表中的撤销用户数目不等，用户在任意一个撤销列表中，或者同时存在于两个撤销列表中，即允许用户同时撤销了属性i和属性j，令U表示系统中所有用户集，设系统中属性个数是m，用户在加密时的属性集撤销列表中用户的最大个数是n，消息为访问策略通过线性秘密共享技术LSSS转换为访问策略(M,ρ)，具体按照以下步骤实施：步骤(1.1)、令G₁和G₂是阶为素数p的群，其中g是G₁的生成元，定义双线性映射e:G₁×G₁→G₂；步骤(1.2)、随机选择α∈Z_p，这里Z_p＝{1，2，…，p‑1}，令然后随机选取{t_0,i∈G₁,t_1,i∈G₁,t_2,i∈G₁,t_3,i∈G₁|_{i＝0,1,…,m}}，并定义四个函数T_σ(x)：Z_p→G₁，其中σ＝{0,1,2,3}，有步骤(1.3)、构造主私钥以及相应的公共参数所述步骤2的过程为将访问策略通过LSSS转换为访问结构(M,ρ)，生成用户ID在访问结构(M,ρ)下的私钥，具体按照以下步骤实施：步骤(2.1)、将访问策略通过LSSS转换为访问结构(M,ρ)，矩阵M是一个l×k的矩阵，M_a是矩阵M相应的第a行，映射ρ将M_a映射到属性ρ(a)∈[1,m]；步骤(2.2)、首先根据输入的身份ID∈Z_p定义向量X＝(x₁,…,x_n)^T满足：x_t＝ID^t‑1modp，t＝1,…,n；随机选取{z_b,0}_{b∈{2,…,k}},{z_b,1}_{b∈{2,…,k}},{z_b,2}_{b∈{2,…,k}},{z_b,3}_{b∈{2,…,k}}∈Z_p和r∈Z_p，定义向量向量以及向量和向量这里k是矩阵M的列数，对于任意a∈{1,…,l}和σ＝{0,1,2,3}，计算相应的内积步骤(2.3)、随机选择{r_a,0}_a∈[l],{r_a,1}_a∈[l]，{r_a,2}_a∈[l],{r_a,3}_a∈[l]∈Z_p，从而输出ID在(M,ρ)下的私钥：其中D₃＝g^r，其中其中将借助矩阵M_X可以记为其中矩阵M_X∈(Z_p)^n×(n‑1)的具体结构是：所述步骤3的过程为针对属性i的用户撤销列表R_i(|R_i|＜n)和属性j的用户撤销列表R_j,|R_j|＜n,其中i,j∈ω，在属性集ω下对消息进行加密，具体按照以下步骤实施：步骤(3.1)、根据撤销列表R_i内的撤销用户集定义Y_i＝(y_i,1,…,y_i,n)^T作为式的系数向量；步骤(3.2)、根据撤销列表R_j内的撤销用户定义Y_j＝(y_j,1,…,y_j,n)^T，并将Y_j＝(y_j,1,…,y_j,n)^T作为式的系数向量；步骤(3.3)、选取随机值s∈Z_p，在属性集ω下，针对包含i属性的用户撤销列表R_i和包含j属性的用户撤销列表R_j构造密文：其中：C₁＝g^s，所述步骤4的过程为设用户ID在访问结构(M,ρ)下形成的私钥sk，以及在属性集ω下加密的密文ct和用户的撤销列表R_i和R_j，需要判定ID是否在撤销列表R_i和R_j中，具体按照以下步骤实施：步骤(4.1)、如果则令ω′＝ω；如果则ω′＝ω‑{j}；如果则ω′＝ω‑{i}；如果ID∈R_i∧ID∈R_j，则ω′＝ω‑{i}‑{j}；步骤(4.2)、当且仅当属性集ω′满足用户的私钥中的访问结构(M,ρ)时，用户才能成功解密，结合进行具体解密，过程如下：如果首先根据ID定义X＝(1,IDmodp,…,ID^n‑1modp)^T＝(x₁,…,x_n)^T，根据撤销列表R_i定义Y_i＝(y_i,1,…,y_i,n)^T作为式的系数向量，以及撤销列表R_j定义Y_j＝(y_j,1,…,y_j,n)^T作为式的系数向量，计算：当＜X,Y_i＞≠0和＜X,Y_j＞≠0时，即有：令I＝{a:ρ(a)∈ω′}，则根据已知的矩阵M，在概率多项式时间内找出常数集{μ_a∈Z_p}_a∈I，满足∑_a∈Iμ_a·M_a＝(1,0，…，0)，计算：结合τ₀的值，计算已知利用除法运算，能够成功解密出消息如果计算：令I＝{a:ρ(a)∈ω′}，存在常数集{μ_a∈Z_p}_a∈I，满足∑_a∈Iμ_a·M_a＝(1,0，…，0)，从而计算：得到结合C，可以成功解密出如果有：令I＝{a:ρ(a)∈ω′}，存在常数集{μ_a∈Z_p}_a∈I，满足∑_a∈Iμ_a·M_a＝(1,0，…，0)，从而计算：得到结合C，可以成功解密出如果ID∈R_i∧ID∈R_j，令I＝{a:ρ(a)∈ω′}，存在常数集{μ_a∈Z_p}_a∈I，满足∑_a∈Iμ_a·M_a＝(1,0，…，0)，从而计算：结合C，通过成功解密出所述步骤5具体为：令是一个有效的解密密钥，则追踪计算：该追踪是用于判定是否存在一个用户ID∈U＝{ID₁,…,ID_k}，使得其中i＝{1,2}，若存在这样的用户，则说明该用户与私钥是相关的，反之，则该用户与私钥无关，从而获取了方案中是否有私钥泄露的用户责任。