本發明涉及基于屬性加密技術領域，且公開了一種基于多項目型映射的分權密鑰機制的屬性加密方法，包括建立明文文件集合S_P與用戶集合S_U，設定用戶集合S_U的公共參數PK、同時設定用戶集合S_U中的主密鑰集合S_MK，并根據設定的公共參數PK和主密鑰集合S_MK生成用戶的分權密鑰集合S_SPK，制定其子集AP_n的邏輯表達式為“MK_n and SPK_n”的訪問策略集合S_AP，根據公共參數PK與訪問策略集合S_AP對明文文件集合S_P進行加密處理得到密文集合S_CT，使分權密鑰集合S_SPK的子集SPK_n與訪問策略集合S_AP的子集AP_n進行匹配操作，用戶集合S_U中的子集U_n解密密文集合S_CT的子集CT_n，得到明文文件P_n。本發明解決了目前基于屬性的加密方法，無法實現多項目型映射的技術問題。

技術領域

本發明涉及基于屬性加密技術領域，具體為一種基于多項目型映射的分權密鑰機制的屬性加密方法。

背景技術

在基于屬性的加密(Attribute-Based Encryption，ABE)中，屬性就是對于一個對象的抽象方面的刻畫，具有相同屬性的事物就形成一類，具有不同屬性的事物分別形成不同的類，例如Jacky Li是A大學信息安全學院的教授，那么“A大學”、“信息安全學院”以及“教授”就是ABE中刻畫Jacky Li的多個屬性，這些屬性構成一個屬性集合SJacky Li＝{A大學，信息安全學院，教授}；在ABE中，策略是由屬性及它們間關系所組成的一個邏輯表達式，例如策略Policy1：參與X課題or(信息安全學院and A大學and教授)，其表達的含義是唯有X課題組的成員或是A大學信息安全學院的教授才能滿足其要求；由于SJacky Li集合中沒有“參與X課題”這一屬性，故其無法滿足策略的前半部分；而策略的后半部分，要求“信息安全學院”、“A大學”、“教授”這三個屬性同時出現，而SJacky Li同時包含了這三個屬性，所以屬性集合匹配策略后半部分，由于策略前后兩部分是or的關系，故屬性集合SJacky Li能夠滿足策略Policy1，此時屬性集合與策略匹配成功；倘若另一個用戶Johnson，他的屬性集合是SJohnson＝{計算機學院，A大學，教授}，顯然SJohnson無法滿足Policy1，此時屬性集合與策略匹配失敗。

而ABE加密算法是看屬性集合與策略是否相匹配的一個公鑰加密算法，既然是公鑰加密算法，就有公鑰和私鑰的概念，每一名參與ABE系統的用戶都有一個屬于自己的私鑰，而加密方在加密數據時使用的則是公鑰，在ABE中稱之為公共參數；與傳統方法不同的是，設計者將屬性集合與策略嵌入到了用戶私鑰與密文中，這樣一來，私鑰與密文輸入解密算法嘗試解密的過程，實際也就是屬性集合與策略相匹配的過程，倘若能夠匹配成功，則算法順利完成解密操作，用戶可成功恢復出明文數據。倘若匹配失敗，則用戶無法恢復明文，解密失敗。

目前基于屬性的加密主要分為兩大類：密文策略的屬性加密(CP-ABE)和密鑰策略的屬性加密(KP-ABE)；其中，CP-ABE是將策略嵌入密文中，這就意味著，數據擁有者可以通過設定策略去決定擁有哪些屬性的人能夠訪問這份密文，也就相當于對這份數據做了一個粒度可以細化到屬性級別的加密訪問控制；KP-ABE指的是策略嵌入用戶密鑰中，屬性集合嵌入于密文中，在解密的過程中，用戶將嵌入策略的密鑰與嵌入屬性集合的密文輸入解密算法，通過這種方式，實現策略與屬性集合的匹配。

如圖1所示，一個數據擁有者需要將一份明文文件，加密發送給N個不同的用戶，倘若使用傳統公鑰加密算法，數據擁有者需要首先保存這N個用戶的公鑰(不考慮公鑰證書的情況下)，利用這N個不同公鑰，使用該份明文文件，加密N次，形成N份不同的密文，分別發送給這個N個用戶。