离线/在线基于格的属性基加密方法   0    0

本发明公开了一种离线/在线基于格的属性基加密方法。在5G移动网络中多用户数据共享的场景越来越多，利用属性基加密的技术进行用户解密权限的细粒度访问尤为常见，移动设备计算能力较弱，不能够在短时间内完成加密请求的复杂计算。因此，为了提高加密的效率以适用计算能力较弱的轻量级设备。本发明对密钥生成和加密进行预处理操作，分为离线在线两个阶段。生成密钥过程中，离线阶段无需得知属性生成中间密钥，在线阶段根据属性生成对应私钥。加密过程中，离线阶段无需得知消息和访问策略，对加密所需的复杂计算进行预处理，在线阶段获知明文和访问策略后，仅需执行少量简单计算，即可生成密文。本发明相较于基于LWE的方案具有更好的计算性能。

1.离线/在线基于格的属性基加密方法，其特征在于包括如下步骤：
步骤1：生成系统参数；
根据输入的安全参数λ，调用TRAPGEN(λ)算法生成矩阵A和主密钥TA；根据输入的属性数
量参数l，随机生成l对均匀分布的向量对 对应着属性集X＝
{x1，x2，...，xl}里的属性X[i]即xi，随机生成一个挑战β←Rq；最后输出公共参数MPK和MSK；
MSK＝TA，[l]代表{1，2，...，l}；
步骤2：离线密钥生成算法；
根据perturb算法生成扰动向量p；扰动向量p保证AwA＝β‑η的解wA满足球面高斯分布；
步骤3：在线密钥生成算法；
根据数据使用者所持有的属性集Y计算一个新的挑战η， 当Y[i]＞0时代表用户
所持有的属性集Y中拥有属性xi， 否则 其中i
＝1，
2...，l；此时有B′1w1+...+B′lwl＝η，i＝1，
2...，l；当Y[i]＞0时， 否则
代表在环 上的高斯分布，m取决于具体的TA构造，q是模数；然后使
用SAMPLEG(σ，β‑η‑Ap，q)算法完成wA的构造，在该算法中
b为徽标格G‑lattice的base，且base＝2、m取决于具体的TA构造，n是环的维数；其中σ为TA构造的分布参数，p为扰动向量；t根据经验设置为4.7，C0为扰动协方差矩阵定义良好的最小值，取C0为1.3；SAMPLEG算法的目的是用扰动向量p和TA构造一个向量wA，使得AwA＝β‑η；最后返回私钥Wy＝{wA，w1，...，wl}；
步骤4：离线加密算法；
T
在得知明 文和访问策略之前生成中间密文IC；C0 ，A＝A s+e0，A，
其中s←Rq满足离散均匀分
布， e0，A←DR，σ满足离散高斯分布；DR，σ代表在环R上的高斯分
m
布， 代表在R上的高斯分布；输出中间密文
步骤5：在线加密算法；
+ ‑
数据持有者确定一个访问策略W＝(W∪W)，访问策略W包含正负属性；根据访问策略W、
中间密文IC、明文μ生成最终密文C；
步骤6：解密算法，具体实现如下：
T
步骤6.1：定义a＝(C0，A) wA；
T
步骤6.2：W[i]≠0时代表访问策略包含属性xi，a＝a+(C0，i) wi；当W[i]＝0，Y[i]＞0时，代表访问策略不包含属性xi且数据使用者拥有属性xi， 否则
T T T
a＝(C0，A) wA+(C′θ，1) w1+...+(C′0，l) wl；
当W[i]≠0时代表访问策略包含属性xi，C′0，i＝C0，i；W[i]＝0，Y[i]＞0时， 否
则
当W[i]
＞0时， 当W[i]＜0时， Y[i]＞0时，
否则
步骤6.3：又有Wy＝{wA，w1，...，wl}；
根据步骤3的公式(1)B′1w1+...+B′lwl＝η，和AwA＝β‑η；可得{A，B′1，...，B′l}Wy＝β，即AwA+B′1w1+...+B′lwl＝β，当Y[i]＞0时， 否则
步骤6.4：已知 当且仅
+ +
当用户持有的属性Y∩W＝W并且 时可以解密，即访问策略里的正向属性与用
户持有的属性Y交集为访问策略里的正向属性同时用户持有的属性Y与访问策略的负向属性
交集为空集；此时
化简可得：
定义：
当|dtextk|＜q/4时， 否则 N为明文的长度，得到
解密集合 即数据拥有者进行加密的明文

2.根据权利要求1所述的离线/在线基于格的属性基加密方法，其特征在于步骤1所述
的生成系统参数，具体实现如下：
步骤1.1：根据输入的安全参数λ，调用TRAPGEN(λ)算法生成矩阵A和主密钥TA；主密钥TA由两个向量d和u组成，TA＝{d，u}这两个向量都是使用分布参数为σ的离散高斯分布进行采样，di←DR，σ，ui←DR，σ，DR，σ表示在多项式环R上的高斯分布；i＝1，2，...，m，其中m取决于具体的TA构造，
步骤1 .2：根据输入的属性数量参数l，随机生成l对均匀分布的向量对
其中i＝1，
2...，l， 对应着属性集对应着属性集X＝{x1，
x2，...，xl}里的属性xi，，l为属性的数量，最后均匀随机的生成一个挑战β←Rq；其中是一个分圆多项式环， 是整系数多项式环，Rq＝R/qR，q是模
数； 代表m×1的列向量， 中的元素都属于环Rq； 代表1×m的行向量， 中的元素
都属于环Rq； 代表m×m的矩阵， 中的元素都属于环Rq；
步骤1.3：输出 MSK＝TA，当TA是未知，且A是伪随机时，该
方法满足RLWE假设；[1]代表{1，2，...，l}。

3.根据权利要求2所述的离线/在线基于格的属性基加密方法，其特征在于步骤2所述
的离线密钥生成算法，具体实现如下：
根据perturb(n，σs，sigma，TA，dgg，dggLargeSigma)算法生成扰动向量p；扰动向量p保证AwA＝β‑η的解wA满足球面高斯分布； 其中n是环的维数，σs是高斯分布
的参数，σs保证扰动协方差矩阵定义良好， 代表在格Λq(A)上的高斯分布；
perturb算法中，b为徽标格G‑lattice的
base，base＝2，m取决于具体的TA构造，n为环的维数，C0＝1.3，t＝4.7；sigma是高斯分布参数表现为(b+1)*σ，σ为TA构造的分布参数；dgg是误差采样的离散高斯生成器，
dggLargeSigma是扰动向量采样的离散高斯生成器，返回扰动向量p。

4.根据权利要求1所述的离线/在线基于格的属性基加密方法，其特征在于步骤5所述
的在线加密算法，具体实现如下：
+ ‑
数据持有者确定一个访问策略W＝(W∪W)，访问策略W包含正负属性；访问策略中的正
向属性要求数据使用者拥有该属性才能解密根据该访问策略加密的密文；另一方面负向属
性被用来排除某一组数据使用者，使其不能解密根据该访问策略产生的密文；使用符号+
和‑作为上标来分别表示正向和负向属性；然后根据离线加密算法生成的中间密文，结合访问策略生成最终密文，访问策略也作为密文的一部分被输出。

5.根据权利要求4所述的离线/在线基于格的属性基加密方法，其特征在于根据访问策
略W、中间密文IC、明文μ生成最终密文C， 其中s←Rq满足离散均
匀分布，β←Rq，e1←DR，σ，q是模数，μ为明文，μ＝{μ1，...，μN}；μk∈{0，1}，k＝1，2，...，N，N为明文的长度，DR，σ代表在环R上的高斯分布；当W[i]＞0时，代表访问策略中含有属性xi并要求用户拥有该属性才能解密根据该访问策略加密的密文， 当W[i]＜0＜0时，代
表访问策略排除掉含有属性xi的数据使用者， 否则访问策略中不含有属性
xi， 输出密文