[发明专利]一种支持NOT运算符并具有CCA安全的CP-ABE方法

摘要

一种支持NOT运算符并具有CCA安全的CP-ABE方法，其访问控制结构为一棵访问控制树，该访问控制树中增加一个NOT节点，令其k＝-1，同时规定NOT节点的父节点必须是“AND”节点，且NOT节点仅下挂一个中间节点，这样以该中间节点为根节点可以设定一棵策略树，该策略树所表达的即是加密方所设定的NOT属性的相关策略。通过加入强一次签名技术，进一步将本发明方法的安全级别从CPA安全提高到CCA安全。本发明丰富了基于属性加密算法的策略表达，同时增强已有方法的安全性，从而建立一种具有较强访问控制能力，并且具有可证安全的加密方法。

主权项

1.一种支持NOT运算符并具有CCA安全的CP-ABE方法，其特征在于如下步骤： 步骤一、系统初始化Setup(k)：系统生成双线性参数g，G₀，G₁，e，Z_p，G₀和G₁是两个阶为大素数p的乘法循环群，g为群G₀的生成元，e:G₀×G₀→G₁是一个可有效计算的双线性映射,Z_p是对p取模得到的集合，包含所有小于p且与p互素的正整数；对于所有用户属性生成一个属性集合U＝{a₁,a₂,…a_n}，所述用户属性包括用户的年龄、部门、姓名、性别属性；集合U包含一个属性“NOT”；对每一个属性a_i(i∈n)，随机选择t_i∈Z_p；然后随机选择α∈Z_p，并在Z_p中随机选择u₁,…,u_2m，对每一个i∈{1,…,2m}，设定U_i＝g^ui； 生成的公开参数PK如下： g,Y＝e(g,g)^α,U₁,…,U_2m生成主密钥MK如下： α,t_i(1≤i≤n),u_i(1≤i≤2m)； 步骤二、加密Encrypt(PK,M,T)：如果访问控制树T中含有NOT节点，则将该节点的多项式设置为q_NOT＝q_parent(NOT)(index(NOT))+ax^-1，其余节点按BSW方法设置多项式；用T对明文M进行加密时，将NOT节点看作为叶子节点，按照BSW算法正常赋予属性值“NOT”以及密文构件C_NOT，将C_NOT并入密文中发送至服务器端；同时，算法执行一次签名方法中的密钥生成算法G(1^k)生成一对签名认证密钥对(sk,vk)，设定一次签名方法中验证密钥vk的比特长度为m，用vk_i表示第i个比特，M表示集合{1,…,m}；对于每个i∈M，如果vk_i＝0，令E_i＝U_i^s；如果vk_i＝1，令E_i＝U_m+i^s； 令Y为T的叶子节点结合，生成密文如下： 然后运行一次签名方法中的签名算法Sign,所述签名算法Sign以签名密钥sk和一个消息m为输入，输出一个签名σ,记做σ←Sign_sk(m)；使用签名密钥sk对密文CT^*进行签名，获得签名σ，生成最终密文为: CT＝(CT^*,σ,vk)； 步骤三、密钥生成KeyGen(MK,S)：为每一个属性选择一个随机数r_j，选择随机数r'∈Z_p；设定所有用户的属性集中必须添加一个“NOT“属性，这样解密用户所申请的解密密钥中会包含”NOT“属性的密钥构件(D_NOT,D'_NOT)；另外，对每一个i∈M，随机设置w_i∈Z_p，令设定令D＝g^α-r；生成用户私钥如下：步骤四、解密Decrypt(CT,SK)：对于密文CT＝(CT^*,σ,vk)，算法首先运行一次签名方法中的验证算法Verify，所述验证算法Verify以认证密钥vk，消息m以及签名σ作为输入，输出一个比特b∈{0,1}，b＝1表示接受，b＝0表示拒绝，记做b＝Verify_vk(m,σ)；验证签名σ的正确性；如果签名无效，则算法中断，输出⊥；如果签名有效，算法对密文CT^*进行解密，这里分两部分进行计算： 步骤（1）、对于CT^*中以下部分密文 利用用户私钥SK中的 按照BSW算法进行解密，当算法运行到NOT节点时主要分两种情况处理： （I）用户属性不包含NOT操作属性 如果用户属性集S不包含NOT结点以下T_R'策略树的属性，所有T_R'策略树叶子结点输出⊥，算法回溯至NOT结点，输出为⊥，那么NOT结点是被看作为一个叶子结点，其属性值为“NOT”；解密端设定调用密文构件C_NOT与密钥构件(D_NOT,D'_NOT)，继续完成算法运行； （II）用户属性包含NOT操作属性 如果用户属性集合S中包含NOT操作相关属性，那么，按照CP-ABE算法解密原理，算法会对NOT结点以下T_R'策略树进行回溯判断计算；在这里分两种情况进行处理： ·如果用户属性不满足T_R'树的策略设置，算法回溯至NOT结点，输出为⊥，则按照情况（I）执行； ·如果用户属性满足T_R'的策略设置，算法回溯至NOT结点，因为其孩子节点利用q_NOT生成的q_x(0)＝q_parent(x)(index(x))＝q_NOT(index(x))只能恢复出形如q_x＝a₀+a₁x+…+a_n-1x^n-1+a_nxⁿ的多项式，NOT节点的q'_NOT则与加密时设置的q_NOT＝q_parent(NOT)(index(NOT))+ax^-1不相符，继续向上回溯到根节点R，得出q_R(0)≠s，则解密失败，无法恢复出正确明文，从而达到NOT操作的目的； 解密完成后，得出： F_R＝e(g,g)^r's步骤（2）、对每一个i∈M，如果vk_i＝0，计算 如果vk_i＝1，计算 通过步骤（1）与（2），计算 最后，通过以下计算得出明文M： 。