一种由密文策略的属性基加密实现身份基广播加密的方法.pdf

一种由密文策略的属性基加密实现身份基广播加密的方法，其步骤如下：步骤1：PKG输入系统安全系数，输出初始化参数；步骤2：PKG运行随机数生成算法，为系统选择所需的随机数；步骤3：PKG经过运算，得到公钥和主密钥；步骤4：加密方选取随机数并完成运算，输出部分密文；步骤5：加密方根据解密用户身份集合计算得出剩余部分密文；步骤6：PKG运行随机数生成算法，得到随机参数；步骤7：PKG根据主密钥及用户身份，计算得到私钥SKID；步骤8：对于符合要求的解密方，可根据私钥和密文计算得到K；步骤:9：解密用户根据K，通过计算可输出正确的明文。本发明大大减小了开发周期和系统负担，可抵抗选择密文攻击，确保了方案的安全性和有效性。

1.  一种由密文策略的属性基加密实现广播加密的方法，其特征在于：它包括四个模块，分别为初始化模块、加密模块、私钥生成模块和解密模块，各模块按照“初始化模块”→“加密模块”→“私钥生成模块”→“解密模块”顺序执行，其实施步骤如下：
模块一：初始化模块
私钥生成中心即PKG在这一模块中将系统安全参数λ作为输入，输出公钥PK和主密钥MSK；公钥PK对外公开，主密钥MSK则由PKG保管；该模块功能的具体实现分为三步：
步骤1：PKG首先输入系统安全参数λ，然后运行算法g(1^λ)，输出两个阶数为素数p的群和一个双线性映射运算
步骤2：PKG运行随机数生成算法，随机选择阶数为p₁的群中的一个生成元g，选择一个哈希函数以及Z_p：{0，1，...，p-1}域中的两个元素α，β作为随机指数；
步骤3：PKG进行如下运算：

MSK＝(β，g^α)
PK作为公钥对外公开，MSK作为主密钥由PKG保管；
模块二：加密模块
加密方在这一模块中以公钥PK和待加密的消息M以及待接收用户身份集合S作为输入，加密后得到输出的密文CT；该模块功能的实现分为两步：
步骤4：加密方随机选择Z_p：{0，1，...，p-1}域中的一个元素t作为指数，完成 如下运算:
C₀＝M·e(g，g)^αt
C₁＝h^t
C₂＝g^t；
步骤5：对于计算：
C_ID＝H(ID)^t
最终密文输出为：
CT=(C0,C1,C2,]]>
∀ID∈S:CID=H(ID)t);]]>
模块三：私钥生成模块
在这一模块中，PKG以主密钥MSK和用户身份ID作为输入，对应用户身份ID的私钥SK_ID为输出，得到的私钥SK_ID将以安全方式发送给用户；具体实现如下：
步骤6：PKG运行随机数生成算法，随机生成Z_p:{0，1，...，p-1}域中的两个元素γ，γ‘作为指数；
步骤7：PKG根据模块一中生成的MSK及上步所得指数，做如下运算：
SKID=(D=gα+γβ,DID=gγ·H(ID)γ′,DID′=gγ′)]]>
得到用户ID对应的私钥SK_ID；
模块四：解密模块
S中的用户作为解密方，能对密文进行解密；该模块以公钥PK，用户ID对应的私钥SK_ID和密文CT为输入，输出得到消息M，具体步骤如下：
步骤:8：对于S中的解密用户，由自身的私钥SK_ID首先做如下计算：
K=e(D,C1)e(DID,C2)e(DID,CID)=e(gα+γβ,hs)e(gγ·H(ID)γ′,gt)e(gγ,H((ID)t))=e(gα+γβ,gβs)e(gγ,gs)·e(H(ID)γ′,gt)e(gγ,H(ID)t))]]>
=e(g,g)(α+γ)te(g,g)γt=e(g,g)αt;]]>
步骤9：解密用户根据上步所得的K，通过进行如下运算，计算输出消息M:
C0K=M·e(g,g)αte(g,g)αt=M;]]>
通过上述模块和步骤，我们完成了由CP-ABE实现IBBE的方案，通过使用现有的CP-ABE工具包，能方便地实现身份基广播加密的功能，避免了不必要的开发负担。

2.  根据权利要求1所述的一种由密文策略的属性基加密实现广播加密的方法，其特征在于：在步骤1中所述的“运行算法g(1^λ)”，其做法如下：PKG根据输入的安全参数λ的大小，选择合适的椭圆曲线：Y²＝X³+aX+b，a和b是系数；根据所选椭圆曲线上的点构成群选择一种函数映射e，将群中的元素映射到群中去；安全参数数值越大，所选择椭圆曲线上的点也越多，群也越大。

3.  根据权利要求1所述的一种由密文策略的属性基加密实现广播加密的方法，其特征在于：在步骤2中所述的“随机数生成算法”，其做法如下：根据步骤1中所选的椭圆曲线：y²＝x³+ax+b，随机选择自变量x的一个值x₁，计算对应因变量y的值y₁；若点(x₁，y₁)在我们想要映射的群中，则成功生成了随机元素；若点(x₁，y₁)不在群中，则继续选择x的值，直到找到出现在群中的点。

4.  根据权利要求1所述的一种由密文策略的属性基加密实现广播加密的方法，其特征在于：在步骤2中所述的“哈希函数”表示：将由二进制数0和1组 成的字符通过哈希函数H映射到群中。

一种由密文策略的属性基加密实现身份基广播加密的方法
(一)技术领域：
本发明提供一种由密文策略的属性基加密实现身份基广播加密的方法，即简称为一种由CP-ABE实现IBBE的方法，它可用于数据驱动网络中的保密通信，属于信息安全中密码学领域。
(二)技术背景：
近年来人们提出并设计了许多新型的数据驱动网络，例如社交网络、无线传感网络、电子健康网络等，这种网络为数据的收集提供了一种更加灵活的方式。它允许数据由分布式的终端收集起来，以供个人或团体分享。例如，在电子健康网络中，数据中心收集并储存病人的个人病历，以便病人去就诊时供医生查询。一些研究人员、权威机构等也有可能会用到这些数据。数字文件的存储、处理和使用简单方便，这使得这些网络相较于传统的纸质文件的管理系统有着明显的优势。
在这些新兴的网络中，数据的隐私保护是一个极为重要的问题。例如，存储在社交网络中的用户私人信息有可能被供应商滥用，甚至可能泄露给犯罪分子。一旦犯罪分子获得了用户的住址、电话等信息，可能导致非常严重的后果。又譬如，在电子健康网络中，病人的病历信息是非常私密的，只有被授权的个人或者权威机构可以访问得到。病历泄露事件不仅仅是有关个人隐私的道德问题，更有可能对病人的精神和经济上造成严重伤害。
为了找到既能保护用户隐私，又能使数据得到合理利用的方法，人们提出了许多适用于数据驱动网络的加密体制，特别是公钥加密体制。在这种网络体系中广泛应用的公钥加密体制包括广播加密(Broadcast Encryption,BE)、身份基加密(Identity-Based Encryption,IBE)、身份基广播加密(Identity-Based Encryption,IBBE)和属性基加密(Attribute-Based Encryption，ABE)等。
在公钥密码体制中，加密和解密分别使用不同的密钥：其中加密密钥(即公钥)是可以公开的，而解密密钥(即私钥)只有解密人自己知道。加密密钥的公开使用，使得密钥的分配和管理比对称密码体制更简单。广播加密(Broadcast Encryption,BE)是一种在不安全信道上给一组用户传输加密信息的密码体制，在这种体制中，系统为用户分配用户索引(User Index)，然后它可使发送者选取任意用户索引集合进行广播加密，只有授权用户才能够解密密文。身份基加密(Identity-Based Encryption,IBE)的概念是由Shamir创造性提出的，在这种公钥加密机制中，用户的身份ID信息(如身份证号码、电话号码和邮件地址等)直接作为用户的公钥，无需通过数字证书进行绑定。身份基广播加密(Identity-Based Encryption,IBBE)是广播加密与身份基加密的一种结合，它可以使用用户的身份ID信息对消息加密，并广播给一组用户，用户使用与其ID对应的私钥即可解密。属性基加密(Attribute-Based Encryption，ABE)是IBE的一种扩展，它用属性代替身份作为最小单位，包括密钥策略的属性基加密(Key-Policy Attribute-Based Encryption,KP-ABE)和密文策略的属性基加密(Ciphertext-Policy Attribute-Based Encryption,CP-ABE),KP-ABE是指，由访问结构(Access Structure)来构造密钥而由属性集合构造密文，当属性集合中的属性能够满足此访问结构才能够解密；CP-ABE是指，由访问结构来构造密文而由属性集合来构 造密钥，当属性集合中的属性能够满足此访问结构时才能解密。图1给出了一种电子健康网络中的访问控制树型结构，其中的访问控制策略为：

其中的医生(Doctor)、护士(Nurse)和手术(Surgery)表示用户的属性，上述访问控制策略具体描述为：只有负责手术的医生或者护士可以访问。
当这些密码系统应用于数据驱动网络中(例如电子健康网络)实现隐私数据的访问控制时，出现了一个非常实际的问题：尽管许多可证安全的密码体制都有着各种各样的优势(如固定长度密文/公钥、高效的加密/解密步骤等)，但是几乎所有的体制都是各自独立设计的。由于在一个目标网络中存在着不同的访问控制需求，安全人员不得不同时采用多种密码体制，来适应不同的安全需求。这就导致了重复的开发花销和沉重的系统管理负担。我们来看如下一组电子健康网络中的例子。
第一个是在电子健康网络中使用IBBE的典型情景：病人准备将一个会诊请求广播发送给医生Alice、医生Bob和医生Carol。整个过程使用IBBE方案，病人用医生的ID作为公钥，将消息加密并将密文广播到网络中。只有ID为Alice、Bob或者Carol的医生可以对密文进行解密，并知晓病人的会诊需求，然而ID为Mallory的接收者则不能知悉。
第二个是在电子健康网络中使用ABE的情景：病人想把他的病历发送给负责他手术的医生和护士。病人用ABE方案将病历以访问结构“(Doctor OR Nurse)AND Surgery”进行加密，然后直接将密文发送到电子健康网络中，只有属性符合访问结构的接收者才能得到病人的病历。
我们可以看到，以上两种情况非常相似。然而，由于两种情形用到了不同的 密码体制，开发者必须分别实现IBBE和ABE系统，从而增加了开发负担。如何通过简单地调用或者重封装同一个密码函数库来实现不同的密码体制，成为了一个值得考虑的问题。
直观来看，由于密文策略的属性基加密(Ciphertext-Policy Attribute-Based Encryption,CP-ABE)是IBE的一种扩展，同时也支持广播，所以通过将ABE中的用户属性替换为IBBE中的用户身份好像就可以简单地实现转换。然而几乎所有的CP-ABE系统都在初始化阶段确定了属性，但在IBBE系统中身份却可以在加密阶段或者密钥生成阶段中确定。这样就使得高效转换成为了一个问题。
基于以上背景，我们发明了一种通过对现有函数库的调用和重封装，利用CP-ABE系统实现IBBE系统的方法，并通过大量实验证明了我们方法的高效性和可用性。
(三)发明内容：
1、目的：
本发明的目的是提供一种由密文策略的属性基加密实现身份基广播加密的方法，即由CP-ABE实现IBBE的方法，可用于数据驱动网络中的保密通信，避免了开发过程中的重复工作，大大减小了开发负担，同时具有高安全性和高效性的优点。
2、技术方案：
主要的数学符号及算法解释：
1)双线性映射本发明方案的初始化模块中，通过输入安全系数λ，运行算法g(1^λ)，可获得两个阶数为素数p的循环群
双线性映射满足下述三个特性：
①双线性特性：对于所有的有e(g^a,h^b)＝e(g,h)^ab成立；
②非退化性：群中至少存在一个元素g，使得计算后的e(g,g)在群中有阶数p；
③可计算性：存在有效的算法，使得所有的可以有效计算出e(u,v)的值；
2)哈希算法：本发明中使用的抗碰撞哈希函数具备两个基本特性：单向性和抗碰撞性；单向性是指只能从哈希函数输入推导出输出，而不能从哈希函数输出计算出输入；抗碰撞性是指不能同时找到两个不同的输入使其哈希结果完全相同。
3)访问控制树：在访问控制树中，叶节点表示属性，而非叶节点表示阈值门。每个非叶节点由其子节点数和阈值定义，令num_x表示x节点的子节点数，k_x表示x节点的阈值。当k_x＝1时，阈值门就是或门(OR)；当k_x＝num_x时，阈值门就是与门(AND)。
本方案包括三个实体，1)私钥生成中心(Private Key Generator，PKG)：具有验证用户身份，计算生成、分发用户私钥功能的机构。2)数据加密方(Encrypting Party)：具有加密功能的个人或社会机构；3)用户(User)：具有解密功能的个人或社会机构。
本方案包括四个模块，分别为初始化模块、加密模块、私钥生成模块和解密模块。如图2所示，各模块按照“初始化模块”→“加密模块”→“私钥生成模块”→“解密模块”顺序执行。
本发明一种由密文策略的属性基加密实现广播加密的方法，即由CP-ABE实现IBBE的方法，其实施步骤如下：
模块一：初始化模块
私钥生成中心即PKG在这一模块中将系统安全参数λ作为输入，输出公钥PK和主密钥MSK。公钥PK对外公开，主密钥MSK则由PKG保管。该模块功能的具体实现分为三步：
步骤1：PKG首先输入系统安全参数λ，然后运行算法g(1^λ)，输出两个阶数为素数p的群和一个双线性映射运算
步骤2：PKG运行随机数生成算法，随机选择阶数为p₁的群中的一个生成元g，选择一个哈希函数以及Z_p：{0，1，...，p-1}域中的两个元素α，β作为随机指数。
步骤3：PKG进行如下运算：

MSK＝(β，g^α)
PK作为公钥对外公开，MSK作为主密钥由PKG保管。
其中，在步骤1中所述的“运行算法g(1^λ)”，其做法如下：PKG根据输入的安全参数λ的大小，选择合适的椭圆曲线：Y²＝X³+aX+b(a和b是系数)。根据所选椭圆曲线上的点构成群选择一种函数映射e，将群中的元素映射到群中去；安全参数数值越大，所选择椭圆曲线上的点也越多，群也越大。
其中，在步骤2中所述的“随机数生成算法”，其做法如下：根据步骤1中所选的椭圆曲线：y²＝x³+ax+b，随机选择自变量x的一个值x₁，计算对应因变量y的值y₁；若点(x₁,y₁)在我们想要映射的群中，则成功生成了随机元素。 若点(x₁,y₁)不在群中，则继续选择x的值，直到找到出现在群中的点。下文中的随机数生成算法相同。
其中，在步骤2中所述的“哈希函数”表示：将由二进制数0和1组成的字符通过哈希函数H映射到群中。
模块二：加密模块
加密方在这一模块中以公钥PK和待加密的消息M以及待接收用户身份集合S作为输入，加密后得到输出的密文CT。该模块功能的实现分为两步：
步骤4：加密方随机选择Z_p:{0，1，...，p-1}域中的一个元素t作为指数，完成如下运算:
C₀＝M·e(g，g)^αt
C₁＝h^t
C₂＝g^t
步骤5：对于计算：
C_ID＝H(ID)^t
最终密文输出为：
CT=(C0,C1,C2,]]>
∀ID∈S:CID=H(ID)t)]]>
模块三：私钥生成模块
在这一模块中，PKG以主密钥MSK和用户身份ID作为输入，对应用户身份ID的私钥SK_ID为输出。得到的私钥SK_ID将以安全方式发送给用户。具体实现如下：
步骤6：PKG运行随机数生成算法，随机生成Z_p:{0，1，...，p-1}域中的两个元素γ，γ‘作为指数。
步骤7：PKG根据模块一中生成的MSK及上步所得指数，做如下运算：
SKID=(D=gα+γβ,DID=gγ·H(ID)γ′,DID′=gγ′)]]>
得到用户ID对应的私钥SK_ID。
模块四：解密模块
S中的用户作为解密方，可以对密文进行解密。该模块以公钥PK，用户ID对应的私钥SK_ID和密文CT为输入，输出得到消息M，具体步骤如下：
步骤:8：对于S中的解密用户，由自身的私钥SK_ID首先做如下计算：
K=e(D,C1)e(DID,C2)e(DID,CID)=e(gα+γβ,hs)e(gγ·H(ID)γ′,gt)e(gγ,H((ID)t))=e(gα+γβ,gβs)e(gγ,gs)·e(H(ID)γ′,gt)e(gγ,H(ID)t))]]>
=e(g,g)(α+γ)te(g,g)γt=e(g,g)αt]]>
步骤9：解密用户根据上步所得的K，通过进行如下运算，可计算输出消息M:
C0K=M·e(g,g)αte(g,g)αt=M]]>
通过上述模块和步骤，我们完成了由CP-ABE实现IBBE的方案。通过使用现有的CP-ABE工具包，可以方便地实现身份基广播加密的功能，避免了不必要的开发负担。
3、优点及功效：
本发明一种由密文策略的属性基加密实现身份基广播加密的方法，可用于数据驱动网络中用户间的保密通信，其优点和功效是：
1)本发明利用现有的CP-ABE加密方案分别实现了IBBE的功能，使得开发人员在面对不同的加密需求时可以使用同一种工具来实现，大大减小了开发周期和系统负担。
2)本发明通过了可证安全模型下的安全性分析，可抵抗选择密文攻击，确保了方案的安全性；
3)本发明通过使用cpabe toolkit完成了方案的实现，证明了方案的有效性。
(四)附图说明：
图1电子健康网络中的一种访问结构实例；
图2本发明所述方法即由CP-ABE实现IBBE的流程框图；
图3本发明所述方法即由CP-ABE实现IBBE时所用的访问结构。
图中符号说明如下：
在图1中，非叶节点用圆圈表示，代表阈值门(即图中的OR或者AND)；叶节点用方框表示，代表用户属性(即图中的Doctor、Nurse或者Surgery)。
在图3中，圆圈(OR)表示或门，方框中的ID_i表示用户身份ID。
(五)具体实施方式
见图1-3所示，本方案包括四个模块，分别为初始化模块、加密模块、私钥生成模块和解密模块。如图3所示，各模块按照“初始化模块”→“加密模块”→“私钥生成模块”→“解密模块”顺序执行。
本发明一种由密文策略的属性基加密实现广播加密的方法，即由CP-ABE实现IBBE的方法，其实施步骤如下：
模块一：初始化模块
PKG在这一模块中将系统安全参数λ作为输入，输出公钥PK和主密钥MSK。公钥PK对外公开，主密钥MSK则由PKG保管。该模块功能的具体实现分为三步：
步骤1：PKG首先输入系统安全参数λ，然后运行算法g(1^λ),输出两个阶数为素数p的群和一个双线性映射运算
步骤2：PKG运行随机数生成算法，随机选择阶数为p₁的群中的一个生成元g，选择一个哈希函数以及Z_p：{0，1，...，p-1}域中的两个元素α，β作为随机指数。
步骤3：PKG进行如下运算：

MSK＝(β，g^α)
其中，PK作为公钥参数对外公开，MSK作为主密钥由PKG保管。
模块二：加密模块
加密方在这一模块中以公钥PK和待加密的消息M以及待接收用户身份集合S作为输入，加密后得到输出的密文CT。该模块功能的实现分为两步：
步骤4：加密方随机选择Z_p:{0，1，...，p-1}域中的一个元素t作为指数，完成如下运算:
C₀＝M·e(g,g)^αt
C₁＝h^t
C₂＝g^t
步骤5：对于计算：
C_ID＝H(ID)^t
最终密文输出为：
CT=(C0,C1,C2,]]>
∀ID∈S:CID=H(ID)t)]]>
模块三：私钥生成模块
在这一模块中，PKG以主密钥MSK和用户ID作为输入，输出用户私钥SK_ID。具体实现如下：
步骤6：PKG运行随机数生成算法，随机生成Z_p:{0，1，...，p-1}域中的两个元素γ，γ‘作为指数。
步骤7：PKG根据模块一中生成的MSK及上步所得指数，做如下运算：
SKID=(D=gα+γβ,DID=gγ·H(ID)γ′,DID′=gγ′)]]>
得到用户ID对应的私钥SK_ID。
模块四：解密模块
S中的用户作为解密方，可以对密文进行解密。该模块以公钥PK，用户ID对应的私钥SK_ID和密文CT为输入，输出得到消息M，具体步骤如下：
步骤:8：对于S中的解密用户，由自身的私钥SK_ID首先做如下计算：
K=e(D,C1)e(DID,C2)e(DID,CID)=e(gα+γβ,hs)e(gγ·H(ID)γ′,gt)e(gγ,H((ID)t))=e(gα+γβ,gβs)e(gγ,gs)·e(H(ID)γ′,gt)e(gγ,H(ID)t))]]>
=e(g,g)(α+γ)te(g,g)γt=e(g,g)αt]]>
步骤9：解密用户根据上步所得的K，通过进行如下运算，可计算输出消息M:
C0K=M·e(g,g)αte(g,g)αt=M]]>
通过上述模块和步骤，我们完成了由CP-ABE实现IBBE的方案。