[发明专利]一种基于国密的密文策略属性加密算法

说明书

本发明涉及一种基于国密的密文策略属性加密算法，由分别Setup算法、KeyGen算法、Encrypt算法以及Decrypt算法构成。本发明能提高安全性和实用性。

技术领域

本发明涉及一种基于国密的密文策略属性加密算法。

背景技术

由于传统的公钥加密技术以及基于身份的加密，只允许使用单个用户的公钥对数据进行加密，仅供一个用户查看；如果将数据分享给多个用户，需要进行多次加密。而基于角色的加密方案可以满足一人加密多人访问，但是无法实现细粒度的访问控制。属性加密的雏形基于模糊身份的加密，解决了网络空间数据的安全存储与细粒度访问控制的问题。属性加密在保证数据机密性的同时，在一定程度上也实现了匿名性。

属性加密技术将密码算法与访问控制策略完美的结合在一起，在对数据加密的同时可以编程实现灵活且细粒度的访问策略。

密文策略属性加密(CP-ABE)ciphertext policy attribute based encryption。CP-ABE算法中数据拥有者和使用者之间不需要直接通信。如果要想知道使用者能不能解密获取数据，只需要根据密文的属性信息来检测使用者的属性信息与拥有者的访问结构是否匹配。访问结构支持由多种形式的结构组合而成，所以存在同一密文能够被多个用户解密的情况，但也存在同一私钥可以解密不同密文，由传统的一对一的加密方式发展成符合实际应用需要的“多对多”的方式。

随着云计算、物联网、大数据等新型计算技术的兴起与发展，全球信息化引发了世界范围的深刻变化，国民经济、社会发展、人民生活等各个层面对信息技术的依赖达到了前所未有的程度。建立全球信息共享机制，对于加强国际间的经济、科技、教育合作和文化交流具有重要作用。网络信息技术在为政府部门、企业事业单位、个人提供高效的信息服务的同时，网络的开放性和共享性也带来了一些制约它们健康发展的安全隐患。信息安全问题涉及金融、医疗、电力、社保、旅游等社会的各个领域，具有攻击形式多样化、威胁复杂化、影响广泛化、后果严重化和事件突发化等特点。信息网络中的安全问题是当今世界各国信息化发展过程中所面临的一个共同挑战，大数据环境下的信息安全问题成为当今信息安全领域研究的热点，其核心就是大型网络应用系统和大数据管理中海量复杂数据资源管理。国际标准化组织(ISO)在ISO7498-2中定义了5个层次型安全服务，即身份认证服务、访问控制服务、数据保密性服务、数据完整性服务和不可否认服务，并且指出访问控制是其重要的组成部分。美国国防部也在计算机系统安全性标准Department of Defense TrustedComputer System Evaluation Criteria(“橘皮书”)中，明确提出了访问控制是保证计算机领域数据安全的核心技术。

访问控制是通过某种途径显式地允许或限制用户访问能力及范围的一种方法，是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一。为了保证网络资源受控地、合法地被使用，访问控制确保只有拥有相应权限的用户才能够对信息系统中的数据进行访问、复制、修改、删除等操作，防止非法用户访问系统资源、预防合法用户越权访问。用户访问资源时必须依据自己的权限大小进行访问，不能实施超越自己权限的访问行为，因为访问控制采用最小特权原则：用户申请权限时，系统管理员根据每个用户的特点为其分配完成自身任务的最低权限，用户不会获得超越完成其工作范围的任何权力。通俗地讲，访问控制解决的是“你能做什么、你有什么样的权限”的问题。

访问控制的基本目标是：防止未授权用户非法访问受保护的数据资源，也让授权用户可以合理访问受保护的资源，当然这也是一个安全系统所必须具备的特性。在访问控制实施时，一般有三个步骤：(1)验证用户身份；(2)选用控制策略与管理控制策略；(3)管理非法用户或合法用户的越权操作。访问控制在安全系统中的位置如图1所示。

访问控制作为复杂数据资源管理的核心技术，在非可信的网络环境中仍然面临许多难题，比如数据的机密性、访问权限管理、细粒度授权、异构环境的应用等。尤其在移动计算、云计算、命名数据网等新型计算模式下，网络环境呈现出异构性和多样性特征，访问控制面临新的问题：