离线/在线基于格的属性基加密方法与流程

1.本发明涉及加密技术领域，更具体地，涉及离线/在线基于格的属性基加密方法。


背景技术：

2.sahai和waters在2005年欧密会上扩展了基于身份的加密方案，提出了一个基于模糊身份的加密方案，该方案可以看作是abe(abe-attribute based encryption)，即属性基加密方案([1] amit sahai, brent waters. fuzzy identity based encryption. aarhus, denmark: springer berlin heidelberg, 457-473，2004)。在该方案中，将用户身份标识看作是一系列的属性，用户能够解密密文当且仅当该用户的密钥属性集与密文属性集的交集不小于系统设定的阈值。
[0003]
由于abe能够灵活地定义访问控制策略，从而极大地提高了细粒度级别选择性地共享其加密数据的能力。因此，abe在无线传感网和云存储等领域得到广泛应用。由于轻量级设备(例如移动设备、无线传感器和ic智能卡等)计算能力有限，在这种设备上运行加密解密算法效率一直饱受诟病。因此，为了提高加密的效率以适应这些资源受限的设备，在知道明文消息和属性集合之前，对加密所需的复杂计算进行预处理操作，在这个过程生成中间密文。一旦获知明文消息和访问策略，加密过程将快速完成。
[0004]
离线/在线密码机制是一种有效地提高签名或加密效率的密码学技术。1989年由 even等人首次提出了离线/在线签名方案([2]shimon even, oded goldreich and silvio micali. on-line/off-line digital signatures. advances in cryptology
ꢀ–ꢀ
crypto 89, pp. 263-277, 1990)。它可降低签名计算开销，这使得它广泛应用到各种计算能力受限的终端设备中。2008年，guo等人首次提出了基于身份的离线/在线加密方案([3]fuchun guo, yi mu, zhide chen. identity-based online/offlineencryption. in: tsudik, g. (ed.) fc 2008, lncs, vol. 5143, pp. 247
–
261, 2008)，与离线/在线签名方案相类似，该方案巧妙地将加密过程划分成离线和在线两个阶段：在离线阶段无需知道明文消息和接收者的身份，对加密所需的复杂计算进行预处理。然后，在线阶段获知明文和接收者身份信息后，仅需执行少量简单计算，即可生成密文。2014年，hohenberger和waters([4] susan hohenberger and brent waters，online/offline attribute-based encryption，pkc 2014, lncs 8383, pp. 293
–
310, 2014)提出了离线/在线属性基加密方案，此方案适用于移动设备场景。然而，此方案是基于双线性配对的属性基加密方案。因此，此方案只抗经典的计算机攻击，并不抗量子计算机攻击。g
ü
r等人([5] kamil d. g
ü
r, yuriy polyakov, kurt rohloff, gerard w. ryan, hadi sajjadpour, and erkay sava
ş
. practical applications of improved gaussian sampling for trapdoor lattices. ieee transactions on computers ,volume: 68, issue: 4, 570
ꢀ–ꢀ
584, april 1 2019)提出了基于格的密文策略属性基加密方案。此方案不仅抗经典的计算机攻击，也抗量子计算机攻击。然而，此方案仍存在着加密和密钥生成的计算成本开销过大，不适用于移动设备等资源受限场景的问题。如何解决既抗经典的计算机攻击，也抗量子计算机攻击，又适
642-29011-4_41, 2011)，，z是一个分布参数为的亚高斯随机矩阵，，同时，于是可得，可以根据其他论文的经验确定为扰动协方差矩阵定义良好的最小值，即取为1.3，其中σ为 (trapdoor)构造的分布参数, m取决于具体的 (trapdoor)构造，n为环的维数。而t根据其他论文的经验一般定义为4.7。其中b为徽标格g-lattice的base，在本方法中base=2，代表在格上的高斯分布。，是整数集合。
[0010]
步骤3：在线密钥生成算法根据数据使用者所持有的属性集合y计算一个新的挑战，当时，代表y集合中拥有属性，；否则代表数据使用者持有的属性集合y中不含有属性，，其中， ，代表在上的高斯分布。
[0011]
此时有。当时，；否则。然后使用算法完成的构造，使得，其中σ为 (trapdoor)构造的分布参数，p为扰动向量，q是模数，，其中b为徽标格g-lattice的base，本方法中base=2，为1.3，t为4.7，m取决于具体的 (trapdoor)构造，n是环的维数。最后返回私钥。
[0012]
步骤4：离线加密算法在得知明文和访问策略之前生成中间密文。
[0013]
步骤5：在线加密算法发送方确定一个访问策略w =(w
⁺
∪w
⁻
)，w包含正负属性。访问策略中的正向属性要求用户拥有该属性才能解密根据该访问策略加密的密文。另一方面，负向属性被用来排除某一组用户，使其不能解密根据该访问策略产生的密文。使用符号 和-作为上标来分别表示正向属性和负向属性。根据离线加密算法生成的中间密文、访问策略和明文生成最终密文并输出。
[0014]
步骤6：解密算法定义；时代表访问策略包含属性，；当时，代表访问策略不包含属性且数据使用者拥有属性，；否则，；
；当时代表访问策略包含属性，；时，；否则；；当时, ；当时，；时，；否则；步骤6.3：又有；根据步骤3的公式(1) , 和；可得，即，当时，；否则；步骤6.4：已知，当且仅当用户持有的属性并且时可以解密，即访问策略里的正向属性与用户持有的属性y交集为访问策略里的正向属性同时用户持有的属性y与访问策略的负向属性交集为空集；此时；，化简可得：定义：；；当时，；否则，，n为明文的长度，得到解密集合，即数据拥有者进行加密的明文。
[0015]
本发明相对其他方法，具有以下优点:1)效率高格密码系统中主要是向量之间的运算，不涉及大质数等大数的运算，且算法的并行度相对较高。
[0016]
2)抗量子攻击
这是格密码相对于传统的公钥密码学最主要的优势，传统的公钥密码学在量子计算机的环境下安全性是没有保证的。
[0017]
3)较好的支持轻量级设备使用离线在线的方法，加密的主要开销是在离线阶段，更适用于如移动设备等资源受限设备进行加密。
[0018]
本发明基于格构建属性基加密方法，可有效抵御量子攻击，又因为本方法的构造是基于rlwe假设(多项式环)，相较于lwe假设(整数环)，显著降低了计算和存储复杂性。本发明可用于分布式云环境中实现安全的数据共享，尤其适合于移动设备等资源受限设备。
附图说明
[0019]
图1为本发明流程图。
具体实施方式
[0020]
下面结合附图和实施例来对本发明做进一步的说明。
[0021]
如图1所示，本发明具体实现步骤如下：步骤1：生成系统参数步骤1.1：根据输入的安全参数λ，调用trapgen(λ)算法生成矩阵a和主密钥；主密钥由两个向量d和u组成，这两个向量都是使用分布参数为σ的离散高斯分布进行采样，,，表示在多项式环r上的高斯分布； ,其中m取决于具体的 构造，；步骤1.2：根据输入的属性数量参数，随机生成对均匀分布的向量对，其中,对应着属性集对应着属性集里的属性,，为属性的数量，最后均匀随机的生成一个挑战；其中是一个分圆多项式环，是整系数多项式环，，q是模数；代表的列向量，中的元素都属于环；代表的行向量，中的元素都属于环；代表的矩阵，中的元素都属于环；步骤2：离线密钥生成算法步骤1.3：输出，msk=，当是未知，且a是伪随机时，该方法满足rlwe假设；代表。
[0022]
根据perturb(n, ,sigma, , dgg, dgglargesigma)算法生成扰动向量p；扰动向量p保证的解满足球面高斯分布；
←
，其中n是环的维数，是高斯分布的参数，保证扰动协方差矩阵定义良好，代表在格
上的高斯分布；；perturb算法中，b为徽标格g-lattice的base， base=2。这保证了高斯采样g-sampling里的所有整数采样操作最少使用大小为σ的平滑参数，这足以近似于连续高斯分布，误差可以忽略不计。 m取决于具体的构造，n为环的维数，=1.3，t=4.7；sigma是高斯分布参数表现为（b 1）*σ，σ为构造的分布参数；dgg是误差采样的离散高斯生成器，dgglargesigma是扰动向量采样的离散高斯生成器，返回扰动向量p。
[0023]
步骤3：在线密钥生成算法根据数据使用者所持有的属性集y计算一个新的挑战η，；当时代表用户所持有的属性集y中拥有属性，，否则，，其中；此时有，；当时，；否则;代表在环上的高斯分布,m取决于具体的构造，q是模数；然后使用sampleg(σ, β-η-ap,q)算法完成的构造，在该算法中，b为徽标格g-lattice的base，且base=2、m取决于具体的构造，n是环的维数；其中σ为构造的分布参数，p为扰动向量；t根据经验设置为4.7, 为扰动协方差矩阵定义良好的最小值，取为1.3；sampleg算法的目的是用扰动向量p和构造一个向量，使得a=β-η；最后返回私钥。
[0024]
步骤4：离线加密算法在得知明文和访问策略之前生成中间密文ic；，，，；其中s
←
满足离散均匀分布，，，满足离散高斯分布；代表在环r上的高斯分布， 代表在上的高斯分布；输出中间密文。
[0025]
步骤5：在线加密算法：数据持有者确定一个访问策略w = (w
⁺
∪w
⁻
)，访问策略w包含正负属性；访问策略中的正向属性要求数据使用者拥有该属性才能解密根据该访问策略加密的密文；另一方面负向属性被用来排除某一组数据使用者，使其不能解密根据该访问策略产生的密文；使用符号 和-作为上标来分别表示正向和负向属性；即代表属性 ，即代表属性。然后根据离线加密算法生成的中间密文，结合访问策略生成最终密文，访问策略也作为密文的一部分被输出。
[0026]
根据访问策略w、中间密文ic、明文生成最终密文c, , 其中满足离散均匀分布，，，q是模数，为明文，；，，n为明文的长度，代表在环r上的高斯分布；当时，代表访问策略中含有属性并要求用户拥
有该属性才能解密根据该访问策略加密的密文，，当《0时，代表访问策略排除掉含有属性的数据使用者，，否则访问策略中不含有属性，，；输出密文。
[0027]
步骤6：解密算法。
[0028]
步骤6.1：定义；步骤6.2：时代表访问策略包含属性，；当时，代表访问策略不包含属性且数据使用者拥有属性，；否则，；；当时代表访问策略包含属性，；时，；否则；；当时, ；当时，；时，；否则；步骤6.3：又有；根据步骤3的公式(1) , 和；可得，即，当时，；否则；步骤6.4：已知，当且仅当用户持有的属性并且时可以解密，即访问策略里的正向属性与用户持有的属性y交集为访问策略里的正向属性同时用户持有的属性y与访问策略的负向属性交集为空集；此时；，化简可得：
定义：；；当时，；否则，，n为明文的长度，得到解密集合，即数据拥有者进行加密的明文。
[0029]
安全性证明假设存在一个多项式时间攻击者l，它能以优势破解此cp-abe方案的选择性cpa安全性，并且最多可以进行 q次密钥生成查询。构建一个安全游戏，它可以以优势解决decisional rlwe问题。提供rlwe问题实例作为预言机o，预言机采样的元素是真实随机的或者噪声伪随机的。模拟器m使用攻击者l来区分这两者。
[0030]
实施例：攻击者l生成一个访问策略，并且将发送给模拟器m。
[0031]
模拟器m在接受到之后，模拟器m请求预言机o，获得和。
[0032]
对于每个，m请求预言机o，获得。
[0033]
对于每个，m请求预言机o，获得，然后计算。
[0034]
对于每个，m请求预言机 o，获得，然后计算。
[0035]
模拟器m发布。保持不被知道。
[0036]
阶段1：密钥查询在接受到一个带有属性集s的查询时，如果并且，模拟器m输出。否则，对每个, 如果s中含有属性即， m让，否则。那么必定存在一个，此时由trapgen算法生成。因此m知道它的trapdoor，那么可以计算出对应的密钥。l可以进行不止一次查询。
[0037]
挑战
当攻击者l提交消息，m随机选择，中间密文。同时，对于每个。然后根据计算出密文，时，。时，，否则。
[0038]
最后b返回密文。l可以对不满足的属性集s进行多次密钥生成查询。最终l输出一个值作为的猜测。如果，m输出1，否则输出0。
[0039]
阶段2：与阶段1类似，攻击者l继续向模拟器m发出请求。
[0040]
猜测：最后攻击者l输出，如果o是伪随机的，对于某些属性s，是有效的最终密文，l以的优势输出正确的。另一方面如果o是均匀随机的，那么密文也是均匀随机的，那么攻击者l只能做一个随机的猜测，也就是以1/2的概率（没有任何优势）。所以如果l能够打破这个系统，那么这意味b可以打破decisionalrlwe假设，所以，根据rlwe问题的困难性可得出该方案是安全的。
[0041]
实验结果由于所使用的算法库仅支持linux系统下的安装与使用，所以在笔记本电脑的虚拟机(如vmwareworkstation16pro)中安装了ubuntu，在笔记本电脑的ubuntu18.04.5tls虚拟机上进行代码开发，加密方法所涉及的算法将使用c 语言实现，所使用的电脑处理器型号为intelcorei7-9750h@2.60ghz,内存(ram)为8.0gb，操作系统为windows10。
[0042]
表1实验结果根据我们的实验结果表1可以看到，密钥生成、加密以及解密的时间随着属性数l的增加而增加。因为解密消耗的时间比较小，可以优化的空间有限。所以可以优化的地方为密钥生成和加密阶段。在知道数据使用者的属性之前使用离线密钥生成算法生成中间密钥，在知道数据使用者属性后，使用在线密钥生成算法生成对应密钥。同时提出一种离线在
线的方法优化加密阶段，在知道访问策略和密文之前使用离线加密算法生成中间密文，在知道访问策略和密文之后使用在线加密算法生成最终密文，从而达到优化整个属性加密的效果。