CN102769620B

CN102769620B - 一种安全外包的基于属性的加密方法

Info

Publication number: CN102769620B
Application number: CN201210252225.7A
Authority: CN
Inventors: 李进; 张应辉; 李经纬; 陈晓峰; 谢冬青
Original assignee: Guangzhou University
Current assignee: Guangzhou University
Priority date: 2012-07-19
Filing date: 2012-07-19
Publication date: 2017-09-26
Anticipated expiration: 2032-07-19
Also published as: CN102769620A

Abstract

本发明公开了一种安全外包的基于属性的加密方法，支持对密钥分发和解密的外包。其具体过程为；（1）系统建立步骤；（2）外包密钥生成初始化步；（3）外部密钥生成步骤；（4）内部密钥生成步骤；（5）转换密钥盲化步骤；（6）加密步骤；（7）部分解密步骤；（8）完全解密步骤。本发明具有实施过程简单、传输效率高的优点，可用于实现云计算环境下细粒度的资源访问控制，为属性权威机构和用户节省大量的开销。

Description

一种安全外包的基于属性的加密方法

技术领域

本发明属于信息安全技术领域，涉及基于属性的加密，具体地说是一种能够安全且高效地将密钥分发与解密进行外包的基于属性的加密方法，可用于实现云计算环境下细粒度的资源访问控制。

背景技术

作为一个新颖的公钥密码学原语，基于属性的加密(ABE)在学术界引起了广泛的关注。ABE首次实现了基于公钥的一对多加密。在基于属性的加密系统中，用户的密钥和密文分别关联着描述性属性集和访问策略。只有相关联的属性和访问策略相互匹配，一个特定的密钥才能够解密一个特定的密文。目前，有两种基于属性的加密方法已经被提出，包括密钥策略的基于属性的加密(KP-ABE)和密文策略的基于属性的加密(CP-ABE)。在KP-ABE中，访问策略被嵌入在私钥中，而在CP-ABE中，访问策略被嵌入在密文中。

近几年，随着云计算技术的发展，用户对数据安全性的担忧成为阻碍云计算技术被广泛应用的主要障碍。事实上，这些担忧主要在于敏感信息被存放在公共云上这一事实，而公共云主要由不可信的第三方服务提供商来维护和运行。基于属性的加密ABE提供了一种安全的方式，使得数据拥有者在不可信的服务器上共享外包数据，而不是在有着特定用户的可信服务器上进行。这一优势使得ABE这种方法在云存储上大受欢迎，因为云存储需要为属于不同组织的大量用户提供安全的访问控制。

尽管如此，基于属性的加密ABE却在效率上有一个主要的缺陷，即密钥分发和解密阶段的计算代价会随着访问模式的复杂性的增长而增长。因此，包括CP-ABE和KP-ABE在内的ABE方案在云计算中被广泛用于安全的访问控制之前，一个亟待解决的问题是提高其效率。为了解决上述问题，外包的ABE这一概念已经被提出来，它使得加解密可以外包给第三方服务提供商，且不会泄露用户的数据和参与方的私钥。外包的ABE有着广泛的应用。例如，在移动设备或者传感器作为信息采集点的云计算环境中，终端用户的计算能力有限，很难独立完成保护存储在公共云上的私密信息所需要的加解密操作。借助于第三方服务提供商的计算资源，外包的ABE使得用户能够完成繁重的加解密操作。借助于上述范式，对计算或存储要求高的工作也可以由资源受限的用户来完成。

除了繁重的加解密操作以外，我们发现在一个可扩展系统中，属性权威机构不得不处理大量的计算。更准确地讲，属性权威机构必须给所有用户分发私钥，然而私钥的生成需要大的模指数运算，这些运算随着谓词的增大而线性增加。特别地，当大量用户同时向属性权威机构请求私钥时，属性权威机构可能因为繁重的任务而崩溃。此外，密钥管理机制在安全的可扩展的系统中也是非常必要的，这也会成为属性权威机构的负担。上述不足严重制约了基于属性的加密ABE系统在云计算中的应用。

发明内容

本发明目的在于克服现有技术复杂且效率低的缺点，提供一种安全外包的基于属性的加密方法，以高效地实现基于属性的加密，提高效率、为属性权威机构和用户节省开销。

实现本发明目的的技术方案是：利用双线性对的性质，将密钥分发和解密过程的计算量分别转移给密钥生成服务提供商和解密服务提供商，设计一种安全外包的基于属性的加密方法。具体过程如下：

（1）系统建立步骤：

属性权威机构AA从公钥函数数据库中选取一套参数，包括两个阶为素数q的循环群G和G_T，双线性对e:G×G→G_T，根据选取的参数，属性权威机构AA生成系统公钥PK和主私钥MK并把系统公钥PK公开，把主私钥MMK秘密保存；

（2）外包密钥生成初始化步骤：

属性权威机构AA以主私钥MK为输入，根据发出密钥生成请求的用户B的属性集I_key，生成外包密钥OK_KGSP和OK_AA，并把OK_KGSP发送给密钥生成服务提供商KGSP，属性权威机构AA自己保存OK_AA；

（3）外部密钥生成步骤：

根据用户B的属性集I_key，外包密钥OK_KGSP和系统公钥PK，密钥生成服务提供商KGSP生成部分转换密钥TK_KGSP，并将TK_KGSP发送给属性权威机构AA；

（4）内部密钥生成步骤：

根据用户B的属性集I_key和属性权威机构AA自己保存的外包密钥OK_AA以及系统公钥PK，属性权威机构AA生成部分转换密钥TK_AA；

（5）转换密钥盲化步骤：

收到来自密钥生成服务提供商KGSP的部分转换密钥TK_KGSP后，结合自己生成的部分转换密钥TK_AA，属性权威机构AA得到转换密钥TK=(TK_KGSP,TK_AA)；根据转换密钥TK，属性权威机构AA为用户B生成私钥SK和盲化的转换密钥

（6）加密步骤：

根据属性集I_enc和系统公钥PK，用户A对消息M进行加密，计算出密文CT，并将该密文发送给存储服务提供商SSP；

（7）部分解密步骤：

根据用户B提供的转换密钥和系统公钥PK，解密服务提供商DSP对密文CT进行部分解密，为用户B计算出部分解密密文CT_part；设转换密钥与属性集I_key对应，密文CT与属性集I_enc对应，如果I_key与I_enc匹配，则输出部分解密密文CT_part，否则输出“密文无效”；

（8）完全解密步骤：

根据从解密服务提供商DSP获得的部分解密密文CT_part以及用户B自己保存的私钥SK，用户B计算出明文M。

其中步骤（1）所述的系统公钥PK和主私钥MK，按照如下方式生成：

（a）属性权威机构AA选取群G的一个生成元g，并在Z_q中随机选取一个整数x，这里Z_q={0,1,…,q-1}是一个有限域；

（b）属性权威机构AA计算g₁=g^x；

（c）属性权威机构AA在群G中随机选取g₂,h，h₁,…,h_n，这里n是属性域中属性的个数；

（d）属性权威机构AA公开系统公钥PK=(g，g₁,g₂,h，h₁,…,h_n)，秘密保存主私钥MK＝x。

其中步骤（2）所述的外包密钥OK_KGSP和OK_AA，按照如下方式生成：

（a）属性权威机构AA在有限域Z_q中随机选取一个整数x₁；

（b）属性权威机构AA计算x₂=x-x₁modq，这里，符号“modq”表示计算模q的余数；

（c）属性权威机构AA生成外包密钥OK_KGSP=x₁和OK_AA=x₂。

其中步骤（3）所述的部分转换密钥TK_KGSP，按照如下方式生成：

（a）密钥生成服务提供商KGSP随机选取一个d-1次多项式f(x)，使得f(0)=x₁；

（b）对于每一个i∈I_key，密钥生成服务提供商KGSP在有限域Z_q中随机选取一个整数r_i，并计算和这里，符号“·”表示群G上定义的运算；

（c）密钥生成服务提供商KGSP生成部分转换密钥

其中步骤（4）所述的部分转换密钥TK_AA，按照如下方式生成：

（a）属性权威机构AA在有限域Z_q中随机选取一个整数r_θ；

（b）属性权威机构AA计算和

（c）属性权威机构AA生成部分转换密钥TK_AA=(d_θ0,d_θ1)。

其中步骤（5）所述的属性权威机构AA为用户生成私钥SK和盲化的转换密钥按如下过程进行：

（a）属性权威机构AA在有限域Z_q中随机选取一个整数t；

（b）属性权威机构AA生成私钥SK=t；

（c）属性权威机构AA生成盲化的转换密钥这里，符号“∪”表示集合的并。

其中步骤（6）所述的用户A利用属性集I_enc和系统公钥PK对消息M进行加密，计算出密文CT，按如下过程进行：

（a）用户A在有限域Z_q中随机选取一个整数s；

（b）用户A计算C₀=Me(g₁,g₂)^s，C₁=g^s和E_θ=(g₁h)^s；

（c）对于每一个i∈I_enc，用户A计算E_i=(g₁h_i)^s；

（d）根据计算的结果，用户A生成密文如下：

其中步骤（7）所述的解密服务提供商DSP利用转换密钥和系统公钥PK对密文CT进行部分解密，计算出部分解密密文CT_part，按如下过程进行：

（a）解密服务提供商DSP选取集合I_key∩I_enc的任意一个含有d个元素的子集S，这里，符号“∩”表示集合的交；

（b）解密服务提供商DSP按照如下方式计算出部分解密密文CT_part：

这里，符号“Δ_i，S”表示与限域Z_q中的元素i和集合S相对应的拉格朗日系数，也就是说，

其中步骤（7）所述的I_key与I_enc匹配是指γ(I_key,I_enc)=1，这里，如果I_key∩I_enc≥d，γ(I_key,I_enc)就取值为1，否则，γ(I_key,I_enc)就取值为0。

其中步骤（8）所述的用户B利用部分解密密文CT_part和私钥SK计算出明文M，按如下方式进行：

本发明的有益效果是：由于能够安全有效地将属性权威机构AA的密钥分发和用户的解密计算外包出去，该加密方法极大地减轻了属性权威机构AA和需要解密的用户B的负担，节省了开销，方法简单且实用性强，具有推广作用。

以下结合附图对本发明目的、方案作进一步说明。

附图说明

图1为本发明的系统结构示意图；

图2为本发明的算法流程图。

具体实施方式

一、本发明所应用的数学理论说明：

1、双线性对

本发明中，双线性对e:G×G→G_T是一个满足双线性性、非退化性和可计算性的映射，它把素数阶群G中的两个元素映射到素数阶群G_T中的一个元素。比如，定义在超奇异椭圆曲线上的Tate对是一个满足条件的双线性对。

2、拉格朗日系数

对于d-1次多项式f(x)和集合S={x₁,x₂,…,x_d}，与元素x_i和集合S相对应的拉格朗日系数为根据拉格朗日系数，可以按照如下方式计算出多项式f(x)：

f(x)=∑_i∈SΔ_i，Sf(x_i)，

这里，拉格朗日系数为Δ_i，S是一个关于自变量x的多项式，从而

f(0)=∑_i∈SΔ_i，S(0)f(x_i)。

二、本发明的实现过程

参照图1和图2，本发明的具体过程如下：

步骤1、系统建立。

属性权威机构AA从公钥函数数据库中随机选取一套参数，包括两个阶为素数q的循环群G和G_T，双线性对e:G×G→G_T，根据选取的参数，属性权威机构AA生成系统公钥PK和主私钥MK，并把系统公钥PK公开，把主私钥MK秘密保存，其中，系统公钥PK和主私钥MK按照如下方式生成：

（1a）属性权威机构AA选取群G的一个生成元g，并在Z_q中随机选取一个整数x，这里Z_q={0,1,…,q-1}是一个有限域；

（1b）属性权威机构AA计算g₁=g^x；

（1c）属性权威机构AA在群G中随机选取g₂,h，h₁,…,h_n，这里n是属性域中属性的个数；

（1d）属性权威机构AA公开系统公钥PK=(g，g₁,g₂,h，h₁,…,h_n)，秘密保存主私钥MK＝x。

步骤2、外包密钥生成初始化。

属性权威机构AA以主私钥MMK为输入，对用户B发放关于属性集I_key的密钥，生成外包密钥OK_KGSP和OK_AA，并把OK_KGSP发送给密钥生成服务提供商KGSP，自己保存OK_AA，其中，外包密钥OK_KGSP和OK_AA按照如下方式生成：

（2a）属性权威机构AA在有限域Z_q中随机选取一个整数x₁；

（2b）属性权威机构AA计算x₂=x-x₁modq，这里，符号“modq”表示计算模q的余数；

（2c）属性权威机构AA生成外包密钥OK_KGSP=x₁和OK_AA=x₂。

步骤3、外部密钥生成。

根据用户B的属性集I_key，外包密钥OK_KGSP和系统公钥PK，密钥生成服务提供商KGSP生成部分转换密钥TK_KGSP，并将TK_KGSP发送给属性权威机构AA，其中，部分转换密钥TK_KGSP按照如下方式生成：

（3a）密钥生成服务提供商KGSP随机选取一个d-1次多项式f(x)，使得f(0)=x₁；

（3b）对于每一个i∈I_key，密钥生成服务提供商KGSP在有限域Z_q中随机选取一个整数r_i，并计算和这里，符号“·”表示群G上定义的运算；

（3c）密钥生成服务提供商KGSP生成部分转换密钥

步骤4、内部密钥生成。

根据属性权威机构AA的外包密钥OK_AA以及系统公钥PK，属性权威机构AA按照如下方式生成部分转换密钥TK_AA：

（4a）属性权威机构AA在有限域Z_q中随机选取一个整数r_θ；

（4b）属性权威机构AA计算和

（4c）属性权威机构AA生成部分转换密钥TK_AA=(d_θ0,d_θ1)。

步骤5、转换密钥盲化。

收到来自密钥生成服务提供商KGSP的部分转换密钥TK_KGSP后，结合自己生成的部分转换密钥TK_AA，属性权威机构AA得到转换密钥TK=(TK_KGSP,TK_AA)，根据转换密钥TK，属性权威机构AA为用户B生成私钥SK和盲化的转换密钥具体过程如下：

（5a）属性权威机构AA在有限域Z_q中随机选取一个整数t；

（5b）属性权威机构AA生成私钥SK=t；

（5c）属性权威机构AA生成盲化的转换密钥这里，符号“∪”表示集合的并。

步骤6、加密。

根据属性集I_enc和系统公钥PK，用户A对消息M进行加密，计算出密文CT，并将该密文发送给存储服务提供商SSP，这里，用户A按照如下方式计算出密文CT：

（6a）用户A在有限域Z_q中随机选取一个整数s；

（6b）用户A计算C₀=Me(g₁,g₂)^s，C₁=g^s和E_θ=(g₁h)^s；

（6c）对于每一个i∈I_enc，用户A计算E_i=(g₁h_i)^s；

（6d）根据计算的结果，用户A生成密文如下：

步骤7、部分解密。

根据根据用户B提供的转换密钥和系统公钥PK，解密服务提供商DSP对密文CT进行部分解密，计算出部分解密密文CT_part；设转换密钥与属性集I_key对应，密文CT与属性集I_enc对应，如果I_key∩I_enc≥d，γ(I_key,I_enc)就取值为1，解密服务提供商DSP输出部分解密密文CT_part，否则，γ(I_key,I_enc)就取值为0，解密服务提供商DSP输出“密文无效”；这里，解密服务提供商DSP按照如下方式计算出部分解密密文CT_part：

（7a）解密服务提供商DSP选取集合I_key∩I_enc的任意一个含有d个元素的子集S，这里，符号“∩”表示集合的交；

（7b）解密服务提供商DSP按照如下方式计算出部分解密密文CT_part：

步骤8、完全解密。

根据从解密服务提供商DSP获得的部分解密密文CT_part和私钥SK，用户B计算出明文M，具体方式如下：

以上显示和描述了本发明的基本原理、主要特征和本发明的优点；本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内；本发明要求保护范围由所附的权利要求书及其等同物界定。

Claims

1.一种安全外包的基于属性的加密方法，包括：

(1)系统建立步骤：

属性权威机构AA从公钥函数数据库中随机选取一套参数，包括两个阶为素数q的循环群G和G_T，双线性对e:G×G→G_T，根据选取的参数，属性权威机构AA生成系统公钥PK和主私钥MK，并把系统公钥PK公开，把主私钥MK秘密保存；

(2)外包密钥生成初始化步骤：

属性权威机构AA以主私钥MK为输入，对用户B发放关于属性集I_key的密钥，生成外包密钥OK_KGSP和OK_AA，并把OK_KGSP发送给密钥生成服务提供商KGSP，属性权威机构AA自己保存OK_AA；

(3)外部密钥生成步骤：

(4)内部密钥生成步骤：

(5)转换密钥盲化步骤：

收到来自密钥生成服务提供商KGSP的部分转换密钥TK_KGSP后，结合自己生成的部分转换密钥TK_AA，属性权威机构AA得到转换密钥TK＝(TK_KGSP,TK_AA)；根据转换密钥TK，属性权威机构AA为用户生成私钥SK和盲化的转换密钥

(6)加密步骤：

(7)部分解密步骤：

(8)完全解密步骤：

2.根据权利要求1所述的安全外包的基于属性的加密方法，其中步骤(1)所述的系统公钥PK和主私钥MK按照如下方式生成：

(2a)属性权威机构AA选取群G的一个生成元g，并在Z_q中随机选取一个整数x，这里Z_q＝{0,1,…,q-1}是一个有限域；

(2b)属性权威机构AA计算g₁＝g^x；

(2c)属性权威机构AA在群G中随机选取g₂,h，h₁,…,h_n，这里n是属性域中属性的个数；

(2d)属性权威机构AA公开系统公钥PK＝(g，g₁,g₂,h，h₁,…,h_n)，秘密保存主私钥MKx。

3.根据权利要求1所述的安全外包的基于属性的加密方法，其中步骤(2)所述的外包密钥OK_KGSP和OK_AA，按照如下方式生成：

(3a)属性权威机构AA在有限域Z_q中随机选取一个整数x₁；

(3b)属性权威机构AA计算x₂＝x-x₁modq，这里，符号“modq”表示计算模q的余数；

(3c)属性权威机构AA生成外包密钥OK_KGSP＝x₁和OK_AA＝x₂。

4.根据权利要求1所述的安全外包的基于属性的加密方法，其中步骤(3)所述的部分转换密钥TK_KGSP，按照如下方式生成：

(4a)密钥生成服务提供商KGSP随机选取一个d-1次多项式f(x)，使得f(0)＝x₁；

(4b)对于每一个i∈I_key，密钥生成服务提供商KGSP在有限域Z_q中随机选取一个整数r_i，并计算和这里，符号“·”表示群G上定义的运算；

(4c)密钥生成服务提供商KGSP生成部分转换密钥

5.根据权利要求1所述的安全外包的基于属性的加密方法，其中步骤(4)所述的部分转换密钥TK_AA，按照如下方式生成：

(5a)属性权威机构AA在有限域Z_q中随机选取一个整数r_θ；

(5b)属性权威机构AA计算和

(5c)属性权威机构AA生成部分转换密钥TK_AA＝(d_θ0,d_θ1)。

6.根据权利要求1所述的安全外包的基于属性的加密方法，其中步骤(5)所述的属性权威机构AA为用户生成私钥SK和盲化的转换密钥按如下过程进行：

(6a)属性权威机构AA在有限域Z_q中随机选取一个整数t；

(6b)属性权威机构AA生成私钥SK＝t；

(6c)属性权威机构AA生成盲化的转换密钥这里，符号“∪”表示集合的并。

7.根据权利要求1所述的安全外包的基于属性的加密方法，其中步骤(6)所述的用户A利用属性集I_enc和系统公钥PK对消息M进行加密，计算出密文CT，按如下过程进行：

(7a)用户A在有限域Z_q中随机选取一个整数s；

(7b)用户A计算C₀＝Me(g₁,g₂)^s，C₁＝g^s和E_θ＝(g₁h)^s；

(7c)对于每一个i∈I_enc，用户A计算E_i＝(g₁h_i)^s；

(7d)根据计算的结果，用户A生成密文如下：

<mrow> <mi>C</mi> <mi>T</mi> <mo>=</mo> <mrow> <mo>(</mo> <msub> <mi>I</mi> <mrow> <mi>e</mi> <mi>n</mi> <mi>c</mi> </mrow> </msub> <mo>&cup;</mo> <mo>{</mo> <mi>&theta;</mi> <mo>}</mo> <mo>,</mo> <msub> <mi>C</mi> <mn>0</mn> </msub> <mo>,</mo> <msub> <mi>C</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mrow> <mo>{</mo> <msub> <mi>E</mi> <mi>i</mi> </msub> <mo>}</mo> </mrow> <mrow> <mi>i</mi> <mo>&Element;</mo> <msub> <mi>I</mi> <mrow> <mi>e</mi> <mi>n</mi> <mi>c</mi> </mrow> </msub> <mo>&cup;</mo> <mo>{</mo> <mi>&theta;</mi> <mo>}</mo> </mrow> </msub> <mo>)</mo> </mrow> <mo>.</mo> </mrow>

8.根据权利要求1所述的安全外包的基于属性的加密方法，其中步骤(7)所述的解密服务提供商DSP利用转换密钥和系统公钥PK对密文CT进行部分解密，计算出部分解密密文CT_part，按如下过程进行：

(8a)解密服务提供商DSP选取集合I_key∩I_enc的任意一个含有d个元素的子集S，这里，符号“∩”表示集合的交；

(8b)解密服务提供商DSP按照如下方式计算出部分解密密文CT_part：

<mfenced open = "" close = ""> <mtable> <mtr> <mtd> <mrow> <msub> <mi>CT</mi> <mrow> <mi>p</mi> <mi>a</mi> <mi>r</mi> <mi>t</mi> </mrow> </msub> <mo>=</mo> <mfrac> <mrow> <mi>e</mi> <mrow> <mo>(</mo> <msub> <mi>C</mi> <mn>1</mn> </msub> <mo>,</mo> <msubsup> <mi>d</mi> <mrow> <mi>&theta;</mi> <mn>0</mn> </mrow> <mi>t</mi> </msubsup> <mo>)</mo> </mrow> <msub> <mo>&Pi;</mo> <mrow> <mi>i</mi> <mo>&Element;</mo> <mi>S</mi> </mrow> </msub> <mi>e</mi> <msup> <mrow> <mo>(</mo> <msub> <mi>C</mi> <mn>1</mn> </msub> <mo>,</mo> <msubsup> <mi>d</mi> <mrow> <mi>i</mi> <mn>0</mn> </mrow> <mi>t</mi> </msubsup> <mo>)</mo> </mrow> <mrow> <msub> <mi>&Delta;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>S</mi> </mrow> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msup> </mrow> <mrow> <mi>e</mi> <mrow> <mo>(</mo> <msubsup> <mi>d</mi> <mrow> <mi>&theta;</mi> <mn>1</mn> </mrow> <mi>t</mi> </msubsup> <mo>,</mo> <msub> <mi>E</mi> <mi>&theta;</mi> </msub> <mo>)</mo> </mrow> <msub> <mo>&Pi;</mo> <mrow> <mi>i</mi> <mo>&Element;</mo> <mi>S</mi> </mrow> </msub> <mi>e</mi> <msup> <mrow> <mo>(</mo> <msubsup> <mi>d</mi> <mrow> <mi>i</mi> <mn>1</mn> </mrow> <mi>t</mi> </msubsup> <mo>,</mo> <msub> <mi>E</mi> <mi>i</mi> </msub> <mo>)</mo> </mrow> <mrow> <msub> <mi>&Delta;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>S</mi> </mrow> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msup> </mrow> </mfrac> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <msub> <mi>g</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mrow> <msub> <mi>stx</mi> <mn>2</mn> </msub> </mrow> </msup> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <msub> <mi>g</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mrow> <mi>s</mi> <mi>t</mi> <msub> <mo>&Sigma;</mo> <mrow> <mi>i</mi> <mo>&Element;</mo> <mi>S</mi> </mrow> </msub> <mi>q</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <msub> <mi>&Delta;</mi> <mrow> <mi>i</mi> <mo>,</mo> <mi>S</mi> </mrow> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <msub> <mi>g</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mrow> <msub> <mi>stx</mi> <mn>2</mn> </msub> </mrow> </msup> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <msub> <mi>g</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mrow> <msub> <mi>stx</mi> <mn>1</mn> </msub> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <msub> <mi>g</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mrow> <mi>s</mi> <mi>t</mi> </mrow> </msup> <mo>,</mo> </mrow> </mtd> </mtr> </mtable> </mfenced>

9.根据权利要求1所述的安全外包的基于属性的加密方法，其中步骤(7)所述的I_key与I_enc匹配是指γ(I_key,I_enc)＝1，这里，如果|I_key∩I_enc|≥d，γ(I_key,I_enc)就取值为1，否则，γ(I_key,I_enc)就取值为0。

10.根据权利要求1所述的安全外包的基于属性的加密方法，其中步骤(8)所述的用户B利用部分解密密文CT_part和私钥SK计算出明文M，按如下方式进行：

<mrow> <mfrac> <msub> <mi>C</mi> <mn>0</mn> </msub> <msup> <mrow> <mo>(</mo> <msub> <mi>CT</mi> <mrow> <mi>p</mi> <mi>a</mi> <mi>r</mi> <mi>t</mi> </mrow> </msub> <mo>)</mo> </mrow> <mfrac> <mn>1</mn> <mi>t</mi> </mfrac> </msup> </mfrac> <mo>=</mo> <mfrac> <mrow> <mi>M</mi> <mi>e</mi> <msup> <mrow> <mo>(</mo> <msub> <mi>g</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>g</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mi>s</mi> </msup> </mrow> <msup> <mrow> <mo>&lsqb;</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <msub> <mi>g</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>g</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mrow> <mi>s</mi> <mi>t</mi> </mrow> </msup> <mo>&rsqb;</mo> </mrow> <mfrac> <mn>1</mn> <mi>t</mi> </mfrac> </msup> </mfrac> <mo>=</mo> <mfrac> <mrow> <mi>M</mi> <mi>e</mi> <msup> <mrow> <mo>(</mo> <msub> <mi>g</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>g</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mi>s</mi> </msup> </mrow> <mrow> <mi>e</mi> <msup> <mrow> <mo>(</mo> <msub> <mi>g</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>g</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> <mi>s</mi> </msup> </mrow> </mfrac> <mo>=</mo> <mi>M</mi> <mo>.</mo> </mrow> 3