[0112] 1、不失一般性假设敌手询问的属性列表(记为Attrib'),注意此处询问的属性 列表AttriV与目标属性列表Attrib*是不同的;
[0113] 2、同真实方案一样,挑战者B转换访问结构policy为一个线性秘密共享矩阵 LGZlx0,随机选择向量Upu2,…u,eZf*使得Ui=(suu12,u13,…uie)T;u2=(s2,u22,…,(S U12,…,Ule)T其中S S2,…SiGzq是S=W。的对应分量,U ijGzq随机 选择的i= 1,???]_;j= 1,???,0 ;计算iu; ;不失一般性,假设Attrib*: {1,2,…,t}t=lAttrib^,t〈l,也就是说前t个属性是敌手A想要攻击的目标属性列表; 由于询问的属性列表Attrib'满足策略policy,因此必然在向量g= (gpg;;,…,gD中存 在一个分量gd# 〇,t〈d< 1使得gL= (1,0…,0),即Attrib%因此挑战者B知道公钥Ad对应的陷门Bd,则根据扩展基算法GenExtBasis(Bd,A=gA| |g2A21卜??gdAd|卜?? | |gA) 输出A的短基,最后挑战者构造关于属性jGAttrib'的解密密钥uskj:
[0114]
[0115] 其中A=gAl|…| |Ad| |…| |gA,由于此挑战者B知道A的短基因此挑战者可以 计算uskj,给敌手返回关于属性列表AttriV解密密钥usk= {uskj,jGAttriV};
[0116] 挑战:A选择一个消息比特nfG{〇, 1},B回答对于目标属性向量Attrib*的挑战密 文,首先根据目标属性向量Attril/结合s=w。重新构造一个向量w; = eZ:, 构造的方法是如果iGAttril/则w' (h=ww否则w' 。;= 0 ;接着挑战者重新访问预言 机0,预言机返回对应w'。的值V。,最后构造挑战密文:
[0117]
[0119] 再次询问:允许敌手A在获得挑战密文对解密密钥进行再次询问,限制条件如第 一次询问;
[0120]猜测:敌手A输出一个猜测m',挑战者根据敌手A的回答来判定随机预言机,如 果m' =nf则判定预言机0为伪随机预言机0x,否则为随机预言机0$;
[0121] 如果敌手以至少得概率猜对消息m,那么我们的判定算法B猜对LWE问题的 2 概率至少是6',上述就是安全性规约。
[0122] 证明完毕。
[0123] 本发明使用一个中心权威和多个分管不同属性的权威组成系统的密钥管理中心, 共同为每个用户颁发密钥。发明的该方法提高了属性加密的实用性,并且证明了方案的安 全性,并且方案的效率是随着参与加解密的属性个数决定的,而不是决定于系统中参与加 解密的属性上界。
【主权项】
1. 格上多权威的密钥策略基于属性的加密方法,其特征在于,具体按照w下步骤实 施: 步骤1、系统建立; 步骤2、密钥生成; 步骤3、消息加密; 步骤4、消息解密。2. 根据权利要求1所述的格上多权威的密钥策略基于属性的加密方法,其特征在于, 所述步骤1具体按照W下步骤实施: 步骤(1.1)、给定安全参数A,设属性上界1,属性集记为[1] = (1,2,…1}; 步骤(1.2)、中屯、属性权威CA选择一个秩为n,维数为m>化logq的格,其中q〉2是一个 素数; 步骤(1. 3)、中屯、属性权威CA选择均匀随机向量…A)e為; 步骤(1. 4)、中屯、属性权威CA公开全局公共参数GP= (1,q,n,m,s}; 步骤(1.5)、对于每一个属性i(iG山),属性i的权威利用陷口生成算法TrapGen(li)生成nXm维的矩阵AiGZ"xmw及随机均匀满秩的m维矩阵《 ; / 1,使得 B|eA;(A,)W及|闽|《妍'w(^/i^),最后公开41£ 2。^"'作为属性i的公钥,保存吟€鸟《。'作为 属性i的私钥; 步骤(1.6)、中屯、权威CA公开Apk= ({Aihsm)作为系统的公钥。3. 根据权利要求1所述的格上多权威的密钥策略基于属性的加密方法,其特征在于, 所述步骤2具体按照W下步骤实施: 步骤(2. 1)、首先输入公共参数GP、系统公钥Apk= ({Aihs山)W及访问策略poli巧, 中屯、权威CA利用线性秘密共享技术,将访问策略policy转换成对应的线性秘密共享矩阵 LGZixe,指派线性秘密共享矩阵L的第i行对应属性iG[1],运里的属性是指二元属 性,列jG[1,0]是从1到0的数,其中0《1是polixy的函数。对于二元属性列表 /化,"/々\二的,当且仅当Attrib'中属性对应的矩阵L的行所张成的行向量空间中包含向量 [1,0,…0]GZ9时,二元属性列表满足该访问策略L; 步骤(2. 2)、中屯、权威CA随机选择向量町典,€马使得叫二(S1,叫2,叫3,… Uie)T;U2=(S2,。22,…,U20)T…;Ul=(Si,Ui2,…,Uie)T,其中Si,S2,…SiEZq是 sT=(w2,'"'〇e《的对应分量,Ui,.jEZq(i= 1,…1;j= 1,2,…,0 )是随机选择的,其 中却成,?叫包含在公共参数GP= {l,q,n,m,s}中; 步骤(2. 3)、中屯、权威CA计算线性秘密共享矩阵L与向量Ui的乘积,令 如,=(却Uj'V..冲i二1,…1.,其中L是访问结构poli巧的线性秘密共享生成矩阵.步骤化4)、中屯、权威CA发送(l,U",..ス;',)r给拥有属性i的权威,其中i=l,…l.; 步骤化W、拥有属性i的权威使用私钥Bii-r"*通过原像抽样算法.雌oritte轴;;",小抽取密钥e!.对使得乂,6;" =、;'16之;,其中 ' t',步骤化6)、属性i关于访问线性秘密共享矩阵L的解密密钥为《峰=(皆4),-.,6巧,由上 述步骤化W知乂片,=(2,"U,'..〇),A片>=((U,e!'l=(0'0''.a,.r=a,'',.<,根据原像抽 样算法AlgorithmSamp]ePre(A,.B,,1^w.(T)得到的峰£巧。的概率分布统计接近于分布,且 W压倒性概率使得I哟I^成立。4. 根据权利要求1所述的格上多权威的密钥策略基于属性的加密方法,其特征在于, 所述步骤3具体按照W下步骤实施: 步骤(3. 1)、输入属性公钥、属性列表W及消息比特MsgG{0, 1},随机均匀选 择向量xeZ;' ; 步骤(3. 2)、根据高斯噪声参数分布巧。随机选择低范数的高斯噪声标量X。£Zq,对于 每一个属性AttribiGAttrib根据参数分布卒随机选择各分量间独立同分布的高斯 噪声向量尤6马:'; 步骤化3)、根据属性列表Attrib构造向量f€马,设置向量f的第i个分量为si,运 里(1《i《1),其中Si对应公共参数GP中S= (Si,S2,…,Si)T的第i个分量Si,如果属 性i包含在属性列表^心网中,即iGAttrib;当属性i不被包含在属性列表闽, 即/eAtWb时,设置向量f的第i个分量为0 ;并且设置向量f的第i(1+1《i《n)个分量 为0,运里(1+1《i《n); 步骤(3. 4)、根据属性列表.4心Ac[/]加密消息比特MsgG{0, 1}得〔,=卢久,+。1响叫,州6撫'化 步骤化W、最终输出密文为C= (C。,Ci),。5. 根据权利要求1所述的格上多权威的密钥策略基于属性的加密方法,其特征在于, 所述步骤4具体按照W下步骤实施: 步骤(4. 1)、输入密文C= (C。,Ci),城e ,属性公钥ApkW及一组属性在访问策略 policy下解密密钥usk,要求该组属性属于AWbcjV]且满足访问策略policy; 步骤(4. 2)、找到向量g=妃,…,gi)Te{〇, ]_} 1使得 gT?L= (1,0,…,0) ;V/e[/]:(占v=0)V(('/e.4&77,)A占',),' 即找到线性秘密共享矩 阵L行的线性组合张成向量(1,0,…,0),其中属性列表Attrib满足policy; 步骤(4. 3)、令usk= {uski,iG[iTiGAttritTgi声 0},其中《放,=批),皆,护)是属 性i的在访问策略policy下解密密钥; 步骤(4. 4)、计算'如果g,= 〇,那么步骤(4. 5)、输出消息比特,如巧H<"|,则输出0,否则输出1。
【专利摘要】本发明公开了一种格上多权威的密钥策略基于属性的加密方法,首先系统建立,其次密钥生成,然后消息加密,最后消息解密,使用一个中心权威和多个分管不同属性的权威组成系统的密钥管理中心,共同为每个用户颁发密钥,提高了属性加密的实用性,并且证明了方案的安全性,并且方案的效率是随着参与加解密的属性个数决定的,而不是决定于系统中参与加解密的属性上界,本发明解决了现有技术中存在的加密方法不能实现不同机构协作且工作量低的问题。
【IPC分类】H04L29/06, H04L9/08
【公开号】CN105007270
【申请号】CN201510407856
【发明人】王尚平, 冯芳, 王晓峰
【申请人】西安理工大学
【公开日】2015年10月28日
【申请日】2015年7月13日