密钥策略的属性基加密（KP-ABE）

最新推荐文章于 2025-03-03 00:15:00 发布

lntuzgm

最新推荐文章于 2025-03-03 00:15:00 发布

阅读量4.7k

点赞数 3

分类专栏：属性基加密密码学公钥密码学文章标签：安全

本文链接：https://blog.csdn.net/m0_52322997/article/details/125013658

版权

密码学同时被 3 个专栏收录

3 篇文章

订阅专栏

属性基加密

2 篇文章

订阅专栏

公钥密码学

2 篇文章

订阅专栏

本文介绍了KP-ABE（密钥策略属性基加密）的基本概念、加密过程及解密算法。KP-ABE通过访问树实现细粒度的访问控制，确保只有符合特定属性条件的用户才能解密数据。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

KP-ABE的基本知识

基本的属性基加密将密文和密钥都与一组属性关联起来，当密文与密钥之间至少有d个属性重合时，用户就可以解密密文。虽然这个策略对于生物识别的容错加密有一定的作用，但访问控制缺乏灵活性限制了它的应用。密钥策略属性基加密（KP-ABE）的出现弥补了这一缺陷，在KP-ABE系统中，密文与一组描述性属性相关联，用户的私钥与一个访问结构相关联，当密文中的属性集满足用户私钥中的访问策略时，密文才能够被解密。这使得属性基加密能够细粒度共享加密数据，KP-ABE的构造适用于审计日志信息和广播加密。

在KP-ABE中，与用户私钥相关联的访问结构被构造为访问树。其中树的内部节点都是一个阈值门，由其子节点和阈值描述。如果 $num_{x}$ 是其子节点的个数， $k_{x}$ 是其阈值，则 $0<k_{x}\leq num_{x}$ 。与门和或门都可以被构造成阈值门，当 $k_{x}=1$ 时，就是或门，当 $k_{x}=num_{x}$ 时就是与门。叶子节点与属性相关联，由属性值和阈值 $k_{x}=1$ 描述。为了便于使用访问数，还定义了一些函数。parent(x)表示树中节点的父节点。att(x)表示与树中叶节点相关联的属性，只有x节点是叶节点时才定义该函数。对于节点的子节点来说，需要对子节点进行编号，index(x)返回子节点的索引值。

用 $T_{x}$ 表示以节点x为根的树，则根为r的访问树表示为 $T_{r}$ ，当节点被满足时令 $T_{x}=1$ ，我们递归计算所有节点，当根节点满足时，我们就可以进行解密操作。否则解密失败。

KP-ABE过程

G1是素数阶p的双线性群，g是G1的生成元。此外e： $gif.latex?G1%5Ctimes%20G1%5Crightarrow%20G2$ 表示双线性映射。安全参数k将确定群的大小。同时为 $gif.latex?i%5Cin%20Zp$ 和 $gif.latex?Zp$ 中元素的集合 $gif.latex?s$ 定义拉格朗日系数 $gif.latex?%5CDelta%20_%7Bi%2Cs%7D$ :

$gif.latex?%5CDelta%20_%7Bi%2Cs%7D%28x%29%3D%5Cprod_%7Bj%5Cin%20s%2Cj%5Cneq%20i%7D%5E%7B%7D%5Cfrac%7Bx-j%7D%7Bi-j%7D$ .

我们将每个属性与 $Z_{p}^{*}$ 中的一个唯一的元素关联起来，构造如下：

Setup：定义一个属性域U={1,2，……，n}。对于每个属性 $i\in U$ ，在Zp中随机选取 $t_{i}$ ，最后，从Zp中随机选取y。

公布公共参数PK为： $gif.latex?T_%7B1%7D%3Dg%5E%7Bt_%7B1%7D%7D%2C...%2CT_%7B%7Cu%7C%7D%3Dg%5E%7Bt_%7B%7Cu%7C%7D%7D%2CY%3De%28g%2Cg%29%5E%7By%7D$ 。

主密钥MK为： $gif.latex?t_%7B1%7D%2C...t_%7B%7Cu%7C%7D%2Cy$ 。

Encryption（M， $\gamma$ ，PK）：在一组属性集合 $\gamma$ 下加密消息M $\in$ G2，选择一个随机值s $\in$ $Z_{p}$ ，公布密文如下：

$E=(\gamma ,E{}'=MY^{s},\left \{ E_{i} =T_{i}^{s}\right \}_{i\in \gamma })$ 。

Key Generation（ $\tau$ ，MK）：这个算法输出一个密钥能够使用户与解密在一组属性 $\gamma$ 下加密的信息，当且仅当 $\tau (\gamma )=1$ 。算法过程如下：首先为树中的每个节点x选择一个多项式 $q_{x}$ （包括叶子节点），这些多项式从根节点r开始以一种自顶向下的方式选择。

对于树中的每个节点x，设置多项式 $q_{x}$ 的次数比节点阈值少一，也就是 $d_{x}=k_{x}-1$ 。首先，对于根节点r，设置 $q_{r}(0)=y$ ,然后 $d_{r}$ 次多项式 $q_{r}$ 的其他点完全随机的选取。对于任意的其他节点x，设置 $q_{x}(0)=q_{parent(x)}(index(x))$ ,其他点随机选择来定义 $q_{x}$ 。多项式被定义好之后，对于叶子节点x，我们将以下的秘密值给用户：

$D_{x}=g^{\frac{q_{x}(0)}{t_{i}}}$ ，当 $i=att(x)$ 时。

以上一组秘密值就是解密密钥D。

Decryption(E,D):解密过程为递归过程。首先定义一个递归算法DecryptNode(E,D,x),将密文 $E=(\gamma ,E{}',\left \{ E_{i} \right \}_{i\in \gamma })$ ,私钥D，树中的一个节点x作为输入，输出一个G2中的元素或者 $\perp$ 。

令i=att(x)。当节点是叶子节点时 $DecryptNode(E,D,x)=\left\{\begin{matrix} e(D_{x},E_{i}) =e(g^{\frac{q_{x}(0)}{t_{i}}},g^{s\cdot t_{i}})=e(g,g)^{s\cdot q_{x}(0)},if i\in \gamma & & \\ &\perp otherwise & \end{matrix}\right.$

当x不是一个叶子节点时，算法DecryptNode(E,D,x)过程如下：对于x的所有子节点z，调用DecryptNode(E,D,z)并保存输出为 $F_{z}$ ,令 $S_{x}$ 为任意 $k_{x}$ 大小的子节点z的集合，使得 $F_{z}\neq \perp$ ，如果这样的集合不存在，则节点不满足，函数返回 $\perp$ 。否则，计算如下：

$F_{x}=\prod_{z\in S_{x}}^{}F_{z}^{\Delta _{i},s{}'_{x}(0)}, i=index(z),s{}'_{x}=\left \{ index(z):z\in S_{x} \right \}$

= $\prod_{z\in S_{x}}^{}(e(g,g)^{s\cdot q_{z}(0)})^{\Delta _{i,s{_{x}}'}(0)}$

= $\prod_{z\in S_{x}}^{}(e(g,g)^{s\cdot q_{parent(z)}(index(z))})^{\Delta _{i,s{}'_{x}}(0)}$

= $\prod_{z\in S_{x}}^{}e(g,g)^{s\cdot q_{x}(i)\cdot \Delta _{i,s{}'_{x}}(0)}$

= $e(g,g)^{s\cdot q_{x}(0)}$

最后返回结果。我们发现当访问树被满足时DecryptNode(E,D,r)= $e(g,g)^{ys}$ = $Y^{s}$ 。因为 $E{}'=MY^{s}$ ，所以 $E{}'/Y^{s}$ 就是我们解密出来的明文M。

KP-ABE的说明

KP-ABE的Setup和Encryption过程和基本ABE一致，主要区别在于密钥生成和解密阶段，将基本ABE中的门限值替换成了细粒度的访问树控制结构，只有当密文中的属性满足密钥中嵌入的访问树时，用户才能解密该密文。根据密文中的属性和访问树的叶子节点开始匹配，层层递进直到根节点，若满足则可以恢复出根节点的秘密值y，从而计算出 $Y^{s}$ 的值，最终解出明文M。