[发明专利]面向可编校区块链协议的PCH可撤销方法及系统

权利要求书

1.一种面向可编校区块链协议的PCH可撤销方法，其特征在于，PCH为基于策略的变色龙哈希函数，该方法包括以下步骤：

S1、权威机构生成系统公开参数、主公钥和主私钥，并公开系统公开参数和主公钥，秘密保存主私钥；

S2、权威机构为净化者生成私钥和一个状态信息；

S3、权威机构为净化者生成密钥更新消息；

S4、授权的净化者根据收到的密钥更新消息和本地的私钥生成对应的解密密钥；

S5、权威机构生成一个更新后的撤销列表；

S6、数据所有者计算消息的变色龙哈希函数值；

S7、数据所有者检测消息的哈希函数值是否合理，是则输出1，否则输出0；

S8、授权的净化者计算变色龙哈希函数的一个碰撞，并输出一个新的随机数；

所述步骤S1具体包括以下步骤：

S101、权威机构随机选取随机数和d₁,d₂,d₃∈Z_p；其中Z_p＝{0,1,...,p-1}，其中p为一个大素数；

S102、输出系统公钥系统私钥状态信息st和撤销列表rl，其中g,h为p阶的乘法循环群的生成元，H₁，H₂为素数p阶乘法循环群中的元素，T₁为双线性映射e(g,g)求指数d₁a₁+d₃的值，状态信息st为现阶段的包含n个结点的二叉树BT状态，撤销列表rl初始化为空；

S103、权威机构选择一个自然数e₁≥N′，其中其中表示所有自然数组成的集合，RSAKGen表示RSA的密钥生成算法，运行RSAKGen算法得到的值赋值给N，max_r表示选择集合中的最大元素，r为随机数，1^κ为安全参数；

S104、权威机构运行RSAKGen(1^κ)算法得到参数(N₁,p₁,q₁,·,·)，其中N₁为一个自然数，p₁,q₁为素数，选择映射到以N₁为基底的半群的哈希函数H₁:和H₃:并计算满足ed₁≡1mod(p₁-1)(q₁-1)的d₁，这里→表示从一个集合映射到另一个集合，Z_p表示{0,1,...,p-1}，ed₁为模(p₁-1)(q₁-1)余1的数值；

S105、权威机构选择一个对称加密方案SE＝{KGen,Enc,Dec}，并输出mpk＝(mpk_RABE,N₁,e,H₁,H₃,SE)，msk＝(d₁,msk_RABE)，st和rl，其中KGen、Enc、Dec分别表示密钥生成算法、加密算法和解密算法；

所述步骤S2中，权威机构为净化者生成私钥，具体包括以下步骤：

S201、权威机构选取随机数r₁,r₂∈Z_p，并使用h,b₁,b₂计算对所有y∈S和z∈1,2，随机选择随机数σ_y,σ′∈Z_p，计算对应于y,z的部分私钥对应于每个z的部分私钥设置对应于y的密钥和sk′＝(sk′₁,sk′₂)，其中H(·)表示哈希函数，y*z表示y,*,z连接起来的数值，011z表示011，z连接起来的数值；

S202、为净化者id随机分配一个未使用的叶子节点；对所有节点θ∈Path(id)，其中Path(id)表示从id所处的叶子节点到根节点路径上的所有节点的集合；二叉树中每个叶子节点θ均存储有一个随机数g_θ；

S203、取出所述随机数并计算每个节点所对应的密钥

S204、输出净化者的私钥sk_id＝(S,sk₀,{sk_y}_y∈S,sk′,{θ,sk_θ}_{θ∈Path(id)},d₁)和状态消息st；

所述步骤S3具体包括以下步骤：

S301、对所有θ∈KUNodes(st,rl,t)，提取g_θ，选择r_θ∈Z_p并计算其中KUNodes(st,rl,t)表示能够最小覆盖所有未撤销用户的节点的集合；

S302、输出密钥更新消息ku_t＝(t,{θ,ku_θ}_{θ∈KUNodes(st,rl,t)})；

所述步骤S4具体包括以下步骤：

S401、寻找θ∈Path(id)∩KUNodes(st,rl,t)，如果则输出⊥，否则转下一步；

S402、选取r′_θ∈Z_p并计算和其中ku_θ,1和ku_θ,2分别表示ku_θ的第一个和第二个元素；

S403、设置sk″＝(sk′₁,sk′₂,sk′₃)，sk′₀＝(sk_0,1,sk_0,2,sk_0,3,sk_0,4)，其中sk_0,1,sk_0,2,sk_0,3分别表示sk₀的第一个，第二个和第三个元素；

S404、输出解密密钥dk_id,t＝(S,t,sk′₀,{sk_y}_y∈S,sk″)；

所述步骤S5中，如果用户id退出了系统，权威机构输出更新后的撤销列表rl←rl∪{(id,t)}；

所述步骤S6具体包括以下步骤：

S601、运行(N₂,p₂,q₂,·,·)←RSAKGen(1^κ)，选择哈希函数H₂:并计算满足ed₂≡1mod(p₂-1)(q₂-1)的d₂；

S602、选择计算h₁＝H₁(m,N₁,N₂)r₁^emod N₁和设置h′＝(h₁,h₂)，r′＝(r₁,r₂)；

S603、选择长度为κ的比特串r∈{0,1}^κ，k←SE.KGen(1^κ)，c_SE←SE.Enc(k,d₂)，K←encode(k,r)；计算其中为访问控制结构，←表示通过执行后面的函数为前面的变量赋值；

S604、假设访问控制策略所对应的单调乘性乖张矩阵M包含n₁行，n₂列；对所有i＝1,...,n₁和l＝1,2,3，计算设置c_i＝(c_i,1,c_i,2,c_i,3)，计算并设置其中π(i)为一个置换函数，M_i,j表示矩阵M的第i行第j列，m为消息；

S605、输出h＝(h′,N₂,H₂,c,c_SE)和r＝r′；

所述步骤S7中，对检测等式h₁＝H₁(m,N₁,N₂)r₁^emod N₁和是否成立，如果均成立，则输出1；否则，输出0；

所述步骤S8具体包括以下步骤：

S801、计算消息m的变色龙哈希值是否等于给定的哈希值，如果相等输出1，否则输出0；对于授权的净化者存在常数{γ_i}_i∈I满足Σ_i∈Iγ_iM_i＝(1,0,...,0)；

S802、授权的净化者计算和然后，输出K′＝num/den；

S803、设置(k′,r′)←encode^-1(K′)，其中encode^-1(K′)为解编码算法；而后，计算

S804、假设访问控制策略所对应的单调乘性乖张矩阵M包含n₁行，n₂列；对所有i＝1,...,n₁和l＝1,2,3，计算设置c′_i＝(c′_i,1,c′_i,2,c′_i,3)，计算并设置

S805、计算d′₂←SE.Dec(k′,c_SE)，如果d′₂＝⊥，则返回错误⊥；否则，令x₁＝H₁(m,N₁,N₂)，x′₁＝H₁(m′,N₁,N₂)，y₁＝x₁r₁^e mod N₁；同理，x₂＝H₂(m,N₁,N₂)，x′₂＝H₂(m′,N₁,N₂)，计算如果mod N₁或则返回⊥；否则，输出r＝(r′₁,r′₂)。

2.一种采用如权利要求1所述方法的面向可编校区块链协议的PCH可撤销系统，其特征在于，包括：

权威机构，用于为净化者生成长期私钥，还用于定期为净化者生成密钥更新消息；

数据所有者，用于为消息生成初始的变色龙哈希值并制定一个细粒度的访问控制策略；以及

净化者，用于在其满足所述访问控制策略时，根据收到的密钥更新消息和其自身的私钥生成正确的解密密钥，还用于对消息进行修改并找到一个哈希碰撞。