一種基于格的可驗證屬性加密方法
【技術領域】
[0001] 本發(fā)明涉及信息安全技術領域，尤其涉及一種基于格的可驗證屬性加密方法。
【背景技術】
[0002] 基于屬性加密機制是基于身份加密機制的一種擴展，從本質(zhì)上來說，基于屬性加 密機制是在基于身份加密體制中引入了訪問結構的概念，實現(xiàn)了對解密權限和訪問權限的 控制。最早的公開研究起源于簡單屬性加密，后來拓展到屬性簽名、屬性安全協(xié)議等研究內(nèi) 容。與傳統(tǒng)密碼學相比，屬性加密機制極大的豐富了加密策略的靈活性和用戶權限的可描 述性，從以前的一對一模式擴展到一對多模式，它具有高效靈活的特點：加密代價僅與相應 屬性個數(shù)相關，而與系統(tǒng)中用戶的數(shù)量無關；用戶能否解密一個密文僅取決于他的屬性是 否滿足密文的策略，而與他是否在密文生產(chǎn)前加入這個系統(tǒng)無關；加密策略可支持復雜的 訪問結構，如門限、布爾表達式；加密者不需要知道解密者的身份信息?；谏鲜鰞?yōu)良特點， 屬性加密機制可以有效地實現(xiàn)非交互的訪問控制。
[0003] 屬性加密機制的高效性、抗串謀性和策略表示靈活性使得它在細粒度訪問控制 (如審計日志、付費電視系統(tǒng)等）、定向廣播、組密鑰管理、隱私保護等領域具有良好的應用 前景。
[0004] 雖然屬性加密有靈活的訪問控制機制，但是傳統(tǒng)的屬性加密方案也存在以下兩方 面的安全隱患。在基于屬性加密中通常都存在一個授權機構（也稱為可信第三方服務器）， 授權機構負責系統(tǒng)的初始化和密鑰分發(fā)的工作。授權機構在整個方案中起著至關重要的作 用，因此也很容易成為攻擊者的首選目標。在基于屬性加密系統(tǒng)中可能存在兩個安全方面 的問題，如果授權機構被攻破，就可能給用戶分發(fā)錯誤的密鑰，從而對系統(tǒng)造成破壞；另一 方面，如果授權機構發(fā)送的密鑰是正確的，但是由于通信方面的原因產(chǎn)生了錯誤，最終導致 用戶不能正確解密。
[0005] 另外，隨著量子計算機的出現(xiàn)，利用量子計算機可以在多項式時間內(nèi)解決因子分 解和離散對數(shù)問題，這嚴重威脅到現(xiàn)有屬性加密機制的安全性。構造新的公鑰密碼體制，使 其能夠替代基于數(shù)論的密碼體制，抵御未來基于量子計算機的攻擊已經(jīng)迫在眉睫。目前普 遍認為基于格的公鑰加密可以抵御量子計算機的攻擊，而且比基于數(shù)論的方案在計算上更 有效。到目前為止，已經(jīng)提出了各種屬性加密方案，但這些方案都是基于傳統(tǒng)密碼體制，例 如離散對數(shù)問題等。面對量子計算機的出現(xiàn)，傳統(tǒng)密碼體制受到威脅。因此，現(xiàn)有的屬性加 密體制在量子計算下將不再安全。

【發(fā)明內(nèi)容】

[0006] 針對上述情況，為解決現(xiàn)有屬性加密算法的安全隱患，本發(fā)明提供了一種基于格 的可驗證屬性加密方法，實現(xiàn)了基于格的屬性加密方案的可操作性，利用基于格的公鑰密 碼在量子計算下安全的優(yōu)勢，解決現(xiàn)有的屬性加密機制在量子計算下將不再安全的缺陷； 同時可以對授權機構進行監(jiān)督，增強系統(tǒng)的安全性；與傳統(tǒng)的基于數(shù)論的協(xié)議相比，該方案 由于不需要模指數(shù)運算，具有較低的計算復雜度。
[0007] 本發(fā)明的技術解決方案是：一種基于格的可驗證屬性加密方法，該方法按照以下 步驟實施：
[0008] 步驟A、生成系統(tǒng)參數(shù)
[0009] 所述授權機構設置系統(tǒng)安全參數(shù)n和屬性集上限參數(shù)1，生成系統(tǒng)公共參數(shù)Pub和 主密鑰Msk，具體包括以下步驟：
[0010] (Al)選擇安全參數(shù)n，素數(shù)q > 2,格基維數(shù)m彡2nlgq ;
[0011] (A2)對于屬性集每一個屬性i G [1]，調(diào)用算法TrapGen (n，m，q，〇 )生成隨機 矩陣Ai和滿秩短基& e 0 f，足低范數(shù)條件
（其中，離散高斯分布
?為表示函數(shù)數(shù)量級的漸近符號，g(n) = co(f(n))當且僅當
[0012] (A3)隨機選擇一個向量us#。（其中，表示整數(shù)模q空間上的n維隨機均勻分 布向量）
[0013] (A4)隨機選擇參數(shù);(其中，(6,表示整數(shù)模q空間上的隨機數(shù)）
[0014] (A5)輸出公共參數(shù)和主密鑰：
[0015] Pub = ({AjiE tl], u, s), Msk = ({BjiE tl])；
[0016] 步驟B、密鑰生成
[0017] 所述授權機構選擇訪問策略（M，P )，并利用公共參數(shù)Pub，主密鑰Msk，向訪問策 略上的屬性用戶輸出對應的密鑰SK和驗證信息VK，具體包括以下步驟：
[0018] (BI)隨機選擇整數(shù) v2，v3,…％ e 0 g，令 V = (s，v2, v3，? ? ? ve)T，記（Mv);= [入i，…，入Jt;任意選取w=(0，w2，…，w e)T，這里w2,…隨機選取，記（Mw)i =
[Op ???, ?JT；
[0019] (B2)令[Ai+OyO，…，0]T= Si，對應訪問策略（M，P)中的屬性P⑴；
[0020] (B3)調(diào)用原像抽樣算法 SamplePreimage (Ap (i)，Bp (i)，Si, 〇 )，計算e C， 滿足Ap w I p w = s i，且I p w的分布統(tǒng)計接近于離散高斯分布，參數(shù)
[0021] (B4)調(diào)用原像抽樣算法SamplePreimage (Ap⑴，Bp⑴，u，〇 )，計算 滿足Ap(O1W)=Unx]，]^的分布統(tǒng)計接近于離散高斯分布Awctiu，參數(shù)
[0022] (B5)訪問策略（M，P)中屬性P⑴相對應的解密密鑰和驗證信息為：SKpW = n p(1)，VKpw= IpW，并將其分發(fā)給具有屬性P (i)的用戶；
[0023] 步驟C、驗證
[0024] 所述接收方用戶據(jù)解密密鑰SKp (1)和驗證信息VK p (1)，生成欺騙者列表List ;如果 List為空表示沒有欺騙者，否則通過List中的身份標識確定欺騙者的身份；需要解密消息 的參與者P (i)向P中成員提出解密申請，通過身份驗證后收到來自P中t個成員的驗 證密鑰VKp(1)，其執(zhí)行如下操作：
[0025] (Cl)計算Ap⑴SKp⑴=u是否成立；如果Ap⑴SKp⑴=u成立，則表示屬性P⑴ 對應的解密密鑰通過驗證；如果ApwSKp(1)=u成立，則將屬性P(i)加入列表List中，表 示屬性對應的解密密鑰有錯誤；
[0026] (C2)驗證訪問策略（M，P )上的授權機構是否可信
[0027] [Ap ⑴，Ap ⑵，…，Ap ⑴][VKp ⑴，VKp ⑵，???，VKp ⑴]-[s，0，???，0]
[0028] 如果上式成立，則表示訪問策略（M，P)上的授權機構是可信的；訪問策略（M，P) 上的授權機構是不可信的，將所有P(i)加入列表List中。如果List為空表示沒有欺騙 者，否則通過List中的身份標識確定欺騙者的身份。
[0029] 步驟D、加密
[0030] 所述發(fā)送方用戶在特定的屬性集命成=p(2),…，G [/]上，對消息 Msg G {〇，1}進行加密，輸出密文Ctx，具體包括以下步驟：
[0031] (Dl)選擇一個隨機n維向量a e % ;
[0032] (D2)在離散高斯分布(
>，選擇一個低范數(shù)的高斯噪 聲;T1 ，計算C1,
[0033]
[0034](D3)選擇一個低范數(shù)的高斯噪聲向量J2eW;，它是來自離散高斯分布（中， 計算向量C2，
[0035] C2=aT[ApW，Ap(2)，...，Ap(1)] +x2modq，
[0036] 注：當 /?(/) 0J伽7?時，Ap(1) = 0,iG[t];
[0037] (D4)輸出屬性列表Attrib上的密文Ctx，Ctx= {C丨，CJ;
[0038] 步驟E、解密
[0039] 所述接收方用戶對密文Ctx進行解密，輸出解密消息b，具體包括以下步驟：
[0040] (El)如果用戶屬性集Attrib是訪問策略（M，P )上的授權集，則I = U : p (i) G Attrib}，必定存常數(shù){g;G Z q}使得E iE ^iM = (1，0, ? ? ?，0)成立。注意假如 /?(〇茫J伽7)，則gi =〇,有g ^Kp (1)T= 0 ;
[0041](E2)對于任意Vg;矣0，p⑴GAttrib，屬性P⑴對應的私鑰SKp(i)，計算
[0045] 本發(fā)明提供的方法構建了一個新的基于格的屬性加密方案。該方案利用格上最短 向量困難問題SVP，構造格上的基于密鑰策略的屬性加密方案，通過可驗證線性秘密共享機 制來實現(xiàn)密鑰策略，通過構造新