本發明涉及一種基于國密的密文策略屬性加密算法，由分別Setup算法、KeyGen算法、Encrypt算法以及Decrypt算法構成。本發明能提高安全性和實用性。

技術領域

本發明涉及一種基于國密的密文策略屬性加密算法。

背景技術

由于傳統的公鑰加密技術以及基于身份的加密，只允許使用單個用戶的公鑰對數據進行加密，僅供一個用戶查看；如果將數據分享給多個用戶，需要進行多次加密。而基于角色的加密方案可以滿足一人加密多人訪問，但是無法實現細粒度的訪問控制。屬性加密的雛形基于模糊身份的加密，解決了網絡空間數據的安全存儲與細粒度訪問控制的問題。屬性加密在保證數據機密性的同時，在一定程度上也實現了匿名性。

屬性加密技術將密碼算法與訪問控制策略完美的結合在一起，在對數據加密的同時可以編程實現靈活且細粒度的訪問策略。

密文策略屬性加密(CP-ABE)ciphertext policy attribute based encryption。CP-ABE算法中數據擁有者和使用者之間不需要直接通信。如果要想知道使用者能不能解密獲取數據，只需要根據密文的屬性信息來檢測使用者的屬性信息與擁有者的訪問結構是否匹配。訪問結構支持由多種形式的結構組合而成，所以存在同一密文能夠被多個用戶解密的情況，但也存在同一私鑰可以解密不同密文，由傳統的一對一的加密方式發展成符合實際應用需要的“多對多”的方式。

隨著云計算、物聯網、大數據等新型計算技術的興起與發展，全球信息化引發了世界范圍的深刻變化，國民經濟、社會發展、人民生活等各個層面對信息技術的依賴達到了前所未有的程度。建立全球信息共享機制，對于加強國際間的經濟、科技、教育合作和文化交流具有重要作用。網絡信息技術在為政府部門、企業事業單位、個人提供高效的信息服務的同時，網絡的開放性和共享性也帶來了一些制約它們健康發展的安全隱患。信息安全問題涉及金融、醫療、電力、社保、旅游等社會的各個領域，具有攻擊形式多樣化、威脅復雜化、影響廣泛化、后果嚴重化和事件突發化等特點。信息網絡中的安全問題是當今世界各國信息化發展過程中所面臨的一個共同挑戰，大數據環境下的信息安全問題成為當今信息安全領域研究的熱點，其核心就是大型網絡應用系統和大數據管理中海量復雜數據資源管理。國際標準化組織(ISO)在ISO7498-2中定義了5個層次型安全服務，即身份認證服務、訪問控制服務、數據保密性服務、數據完整性服務和不可否認服務，并且指出訪問控制是其重要的組成部分。美國國防部也在計算機系統安全性標準Department of Defense TrustedComputer System Evaluation Criteria(“橘皮書”)中，明確提出了訪問控制是保證計算機領域數據安全的核心技術。

訪問控制是通過某種途徑顯式地允許或限制用戶訪問能力及范圍的一種方法，是系統保密性、完整性、可用性和合法使用性的重要基礎，是網絡安全防范和資源保護的關鍵策略之一。為了保證網絡資源受控地、合法地被使用，訪問控制確保只有擁有相應權限的用戶才能夠對信息系統中的數據進行訪問、復制、修改、刪除等操作，防止非法用戶訪問系統資源、預防合法用戶越權訪問。用戶訪問資源時必須依據自己的權限大小進行訪問，不能實施超越自己權限的訪問行為，因為訪問控制采用最小特權原則：用戶申請權限時，系統管理員根據每個用戶的特點為其分配完成自身任務的最低權限，用戶不會獲得超越完成其工作范圍的任何權力。通俗地講，訪問控制解決的是“你能做什么、你有什么樣的權限”的問題。

訪問控制的基本目標是：防止未授權用戶非法訪問受保護的數據資源，也讓授權用戶可以合理訪問受保護的資源，當然這也是一個安全系統所必須具備的特性。在訪問控制實施時，一般有三個步驟：(1)驗證用戶身份；(2)選用控制策略與管理控制策略；(3)管理非法用戶或合法用戶的越權操作。訪問控制在安全系統中的位置如圖1所示。

訪問控制作為復雜數據資源管理的核心技術，在非可信的網絡環境中仍然面臨許多難題，比如數據的機密性、訪問權限管理、細粒度授權、異構環境的應用等。尤其在移動計算、云計算、命名數據網等新型計算模式下，網絡環境呈現出異構性和多樣性特征，訪問控制面臨新的問題：