CN103457725A - 一种多授权中心的加密方法 - Google Patents

Abstract

本发明提出了一种多授权中心的加密方法，所述方法首先设置系统参数；再根据系统参数设置授权者的公钥与私钥，公钥用于加密数据，私钥用于生成用户私钥；用户私钥用于解密密文。本发明方法采用固定密文长度、具有多授权中心的基于属性的加密方法，去除了中心授权者，每个授权中心独立地管理属性以及分发私钥，同时该方法降低了授权中心以及用户的计算代价和通信代价，用于解决云计算中访问控制和安全的问题，提高系统运行效率，节省开销。

Description

一种多授权中心的加密方法

技术领域

本发明属于信息安全技术领域，具体指的是一种多授权中心的加密方法。

背景技术

随着信息技术的发展，越来越多的敏感数据存储于第三方站点并在互联网用户之间分享。由于第三方可能不是完全可信的，以加密的形式存储这些数据是十分必要的。基于属性的加密ABE系统由于其特殊的应用意义及使用场景的广泛性受到了越来越多的关注。基于属性的加密最早是在2005年由Sahai和Waters提出的，该系统可以看作是基于身份加密的泛化。系统中用户的身份不再单一，而是由一个描述性的属性集来刻画，加解密过程都与访问结构相关联。从本质上看，基于属性的加密系统是把访问结构的概念融入到了基于身份的加密系统中。该系统可以根据访问结构生成密钥或者密文，使得只有满足指定条件的用户才可以解密密文。该系统还可以实现一对多通信，即密文不是加密给唯一指定的用户，而是加密给具有相同子属性集或者其他满足指定条件的用户群。基于属性加密系统的这种特性使得其在互联网用户的分享上有很好的应用前景。用户可以将自己的信息或者数据分享给自己指定的用户而不必担心被第三方站点或者非指定用户窃取数据。

传统的基于属性的加密系统中存在一个授权中心,该授权中心负责定义系统中的属性并分发所有用户的私钥。根据用户具有的属性，系统用一个属性集来描述该用户的身份，并根据该属性集为用户生成相应的私钥。这种只存在一个授权中心的基于属性的加密系统在实际应用中是受限制的。在该系统中，用户必须向可信的授权中心证明自己的身份以获取用于解密消息的私钥。在这种前提下的实际应用中，每一个用户都必须向一个可信的服务器证明自己的属性集，然后从服务器获取与属性集相对应的私钥。这就意味着我们必须相信这个服务器并让它管理所有用户的属性，这些属性可能包括用户的身份证号码，驾驶证，学号或者所在公司。但是在现实中，身份证号码应该是公安部门管理，学号由学校管理，所在公司的相关信息由公司管理。出于这样一种考虑，就需要一个多授权中心的基于属性的加密系统。

2007年Chase第一个给出了多授权中心的基于属性的加密方案。在这个方案中有多个授权者，其中一个是中心授权者。中心授权者负责生成其他授权者的私钥。用户从多个授权者处获取自己的私钥（即从公安部门获取与身份证号相关的私钥，从学校获取与学号相关的私钥）。但是，传统的多授权中心的基于属性的加密存在以下两个问题。第一个是多个授权中心需要合作且无条件相信中心授权者，当中心授权者是恶意授权者的时候，系统将不再安全。第二个是私钥的个数以及密文长度随着属性的增加而线性增长。当授权者管理的属性个数比较大时，密钥分发和解密阶段的计算代价将变得很大，系统的效率将会大大降低。

为解决第一个问题，去中心授权者的ABE方案被提出。去中心授权者的ABE方案去除了中心授权者，每个授权者可以独立地管理用户的属性及分发私钥，这样提高了系统的安全性。当系统中增加或者删除用户时，授权者也不需要联合起来初始化系统。对于第二个问题，构造固定密文长度的ABE方案可以大大降低方案的计算代价。一方面，由于密文长度固定，通信代价将大大降低。另一方面，由于解密阶段的对运算数目固定，解密阶段的计算代价将大大降低。因此，构造固定密文长度的ABE方案将能大大降低系统计算代价。

发明内容

本发明所要解决的技术问题在于克服现有技术的不足，给出一种多授权中心的加密方法，所述方法采用固定密文长度、具有多授权中心的基于属性的加密方法，去除了中心授权者，每个授权中心独立地管理属性以及分发私钥，同时该方法降低了授权中心以及用户的计算代价和通信代价，提高系统运行效率，节省开销。

为了解决上述技术问题，本发明所采用的技术方案是：

一种多授权中心的加密方法，具体步骤如下：

步骤A，设置系统参数，

选取大素数p，分别生成p阶乘法循环群G₀和G₁，设定双线性映射e:G₀×G₀→G₁；选择G₀中的生成元g,h和h₁；公布<p,G₀,G₁,g,h,h₁>作为系统公开参数params；

步骤B，设置授权者的公钥与私钥：

步骤B-1：授权者A_k分别随机选取

和

作为其私钥，其中k∈[1,N],i∈[1,n],j∈[1,n_i]，

是模p的剩余类环，表示集合{0,1,2,...,p-1}，N表示系统中授权者的个数，n表示系统中属性的种类，n_i表示第i种属性拥有的可能值的个数；

定义用户的属性集为L，即用户所拥有的属性的集合为L，属性的种类最多有n种，第i种属性的值是n_i个可能属性值中的一个；对于两个不同的用户属性集L和L′，应满足：

${\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L}{t}_{i,j}\&NotEqual;{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^{\&prime;}}{t}_{i,j}$

其中

表示对所有满足v_i,j∈L的t_i,j求和，v_i,j表示属性值，v_i,j是第i种属性的第j个可能值；

则，授权者A_k的私钥为：

${\mathrm{SK}}_k=<{\mathrm{\&alpha;}}_k,{\mathrm{\&beta;}}_k,{\left\{t_{i,j}^k\right\}}_{i\&Element;[l,n],j\&Element;[l,n_i]}>$

步骤B-2：授权者A_k分别计算：

$Y_k=e{(g,g)}^{{\mathrm{\&alpha;}}_k},Z_k=g^{{\mathrm{\&beta;}}_k}$ 和 $T_{i,j}^k=g^{t_{i,j}^k}$

则，授权者A_k的公钥PK_k为：

${\mathrm{PK}}_k=<Y_k,Z_k,{\left\{T_{i,j}^k\right\}}_{i\&Element;[l,n],j\&Element;[l,n_i]}>$

步骤C，生成用户的私钥：

步骤C-1：定义用户U的全局识别码GID为u，其中

用户U的属性集为L；

步骤C-2：每一个授权者A_k随机选取

计算

表示由授权者A_k监控的属性，

表示属性既属于用户全局识别码为u的用户又属于授权者A_k所监控的属性；

授权者颁发

给用户作为用户的私钥；

步骤D，加密，根据选定的访问策略以及授权者的公钥对明文M进行加密：

步骤D-1：加密者随机选取

指定一个访问策略W，访问策略W指出了可以解密消息的属性集；

步骤D-2：加密者使用选取的随机值s和访问策略W，分别计算：

$C_1=M\&CenterDot;{\mathrm{\&Pi;}}_{k\&Element;I_c}{Y}_k^s,C_2=g^s,C_3={\mathrm{\&Pi;}}_{k\&Element;I_c}{Z}_k^s,C_4={\left({\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{T}_{i,j}^k\right)}^s$

其中，

表示对所有满足k∈I_c的

做连乘，I_c是授权者的索引集，即监控访问策略中属性的授权者的下标集合；

加密者得到固定长度的密文CT=<C₁,C₂,C₃,C₄>；

步骤E，解密，根据系统公开参数以及用户私钥对密文CT进行解密得到明文M；

步骤E-1：解密者验证是否有与访问策略下标匹配的属性，如果没有，则解密失败，如果有，则继续下面的步骤；

步骤E-2：解密者使用系统公共参数<p,G₀,G₁,g,h,h₁>和解密者的私钥

以及密文CT=<C₁,C₂,C₃,C₄>，令：

$H=e(C_3,h_1^u)=e({\mathrm{\&Pi;}}_{k\&Element;I_c}{g}^{{\mathrm{\&beta;}}_{k}s},h_1^u)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}$

$J={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_1^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(h^{r_k},g^s)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{{\mathrm{sr}}_k}$

$R=e(h,C_4)=e(h,{\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{g}^{{\mathrm{st}}_{i,j}^k})=e{(g,h)}^{s{\mathrm{\&Sigma;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{t}_{i,j}^k}$

$Q={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_0^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(g^{{\mathrm{\&alpha;}}_k}{h}^{r_k+{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{h}_1^{u{\mathrm{\&beta;}}_k},g^s)$

$={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,g)}^{s{\mathrm{\&alpha;}}_k}e{(g,h)}^{{\mathrm{sr}}_k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{s{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}$

则明文M为：

$M=C_1\&CenterDot;\frac{\mathrm{RHJ}}{Q}.$

本发明的有益效果是：本发明提出了一种多授权中心的加密方法，所述方法首先设置系统参数；再根据系统参数设置授权者的公钥与私钥，公钥用于加密数据，私钥用于生成用户私钥；用户私钥用于解密密文。本发明方法采用固定密文长度、具有多授权中心的基于属性的加密方法，去除了中心授权者，每个授权中心独立地管理属性以及分发私钥，同时该方法降低了授权中心以及用户的计算代价和通信代价，用于解决云计算中访问控制和安全的问题，提高系统运行效率，节省开销。

附图说明

图1为本发明加密系统的工作示意图。

图2为本发明加密方法的流程图。

具体实施方式

下面结合附图，对本发明提出的一种多授权中心的加密方法进行详细说明：本发明所用的数学理论说明：

1、双线性对（Bilinear Pairing）

这里简要介绍双线性映射的基本定义和它需满足的性质。

令G₀,G₁是两个p阶的乘法循环群，其中p为素数，g是G₀的生成元。定义两个群上的双线性映射为：e:G₀×G₀→G₁，且满足下面的性质：

（1）双映射性：e(g^a,h^b)=e(g,h)^ab，对所有

都成立。

（2）非退化性：e(g,g)≠1。

（3）可计算性：存在有效算法来计算e。

2、判定BDH（Decisional Bilinear Diffie-Hellman）困难问题假定

给定p阶循环群G₀，其中p为素数，g是G₀的生成元。则群G₀上的判定BDH问题是：已知a,b,c,z是从

随机选取的，以不可忽略的概率区分(A,B,C,Z)=(g^a,g^b,g^c,g^abc)和(A,B,C,Z)=(g^a,g^b,g^c,g^z)这两个元组。

3、访问结构（Access Structure）

设P={P₁,P₂,...,P_n}是n个参与者的集合。设

表示由参与者集合的子集构成的集合，S₁,S₂表示参与者集合的子集，对于所有的S₁,S₂：如果

并且

那么

则说是一个单调的访问结构。属于

的参与者的子集称为授权集，不属于

的参与者的子集称为非授权集。其中符号

表示包含于，

即表示集合S₁包含于集合S₂。

一、本发明的实现过程

下面将结合附图说明本发明的具体过程。

如图1所示，本发明提供的多授权中心的ABE系统包括如下五个步骤：

1、设置系统参数（Setup）：输入安全参数l，返回系统公开参数params。

2、设置授权者的公钥和私钥（AuthoritySetup）：每一个授权者A_k分别生成自己的私钥SK_k和公钥PK_k，其中k＝1,2,...,N。系统中共有N个授权者。

3、生成用户的私钥（KeyGen）：授权者运行密钥生成算法为用户U生成私钥。每个授权者输入自己的私钥SK_k，一个描述性属性集L^k和用户全局识别码GID，计算出用户与属性集L^k相关联的私钥

这里

表示由授权者A_k监控的属性，L表示与用户全局识别码GID相对应的属性集。

4、加密（Encryption）：输入系统公开参数params，消息M，授权者的公钥PK_k以及访问策略W，加密者加密得到一个密文CT。只有当与私钥相关联的用户属性集L满足访问策略的时候，用户才能解密密文CT。

5、解密（Decryption）：接收者输入他的全局识别码GID，解密密钥以及密文CT，解密得到消息M。

下面将结合多授权中心的ABE方法的流程图对该加密系统的各个步骤进行具体的说明。

如图2所示，本发明提供的多授权中心的ABE执行流程具体如下：

步骤A，设置系统参数：

选取大素数p，p阶乘法循环群G₀和G₁，双线性映射e:G₀×G₀→G₁；选择G₀中的生成元g,h和h₁；公布<p,G₀,G₁,g,h,h₁>作为系统公开参数params。

步骤B，根据系统公开参数生成授权者的公钥与私钥：

步骤B-1：各授权者A_k随机选取

和

作为他的私钥，其中k∈[1,N],i∈[1,n],j∈[1,n_i]，

是模p的剩余类环，表示集合{0,1,2,...,p-1}，符号∈表示属于，即表示α_k属于集合N表示系统中授权者的个数，n表示系统中属性的种类，n_i表示第i种属性拥有的可能值的个数。定义用户的属性集为L，即用户所拥有的属性的集合为L，属性的种类最多有n种，第i种属性的值是n_i个可能属性值中的一个。对于两个不同的用户属性集L和L′，应满足

其中符号∑表示求和，

即表示对所有满足v_i,j∈L的t_i,j求和，v_i,j表示属性值，是第i种属性的第j个可能值。授权者A_k的私钥为 ${\mathrm{SK}}_k=<{\mathrm{\&alpha;}}_k,{\mathrm{\&beta;}}_k,{\left\{t_{i,j}^k\right\}}_{i\&Element;[l,n],j\&Element;[l,n_i]}>.$

步骤B-2：每一个授权者A_k计算 $Y_k=e{(g,g)}^{{\mathrm{\&alpha;}}_k},Z_k=g^{{\mathrm{\&beta;}}_k}$ 和 $T_{i,j}^k=g^{t_{i,j}^k},$ 其中k∈[1,N],i∈[1,n],j∈[1,n_i]，公布

作为授权者的公钥PK_k。

步骤C，根据系统公开参数生成用户的私钥：

步骤C-1：定义用户U的全局识别码GID为u，其中

用户U的属性集为L。

步骤C-2：每一个授权者A_k随机选取

计算

其中符号∩表示交集，k∈[1,N],i∈[1,n],j∈[1,n_i],表示由授权者A_k监控的属性，L表示与用户全局识别码u相对应的属性集，则表示属性既属于用户全局识别码为u的用户又属于授权者A_k所监控的属性。授权者颁发

给用户作为用户的私钥。

步骤D，根据选定的访问策略以及授权者的公钥对消息M进行加密：

步骤D-1：加密者随机选取

指定一个访问策略W，访问策略W指出了可以解密消息的属性集。

步骤D-2：加密者使用选取的随机值s和访问策略W，计算 $C_1=M\&CenterDot;{\mathrm{\&Pi;}}_{k\&Element;I_c}{Y}_k^s,C_2=g^s,C_3={\mathrm{\&Pi;}}_{k\&Element;I_c}{Z}_k^s,C_4={\left({\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{T}_{i,j}^k\right)}^s,$ 其中符号∏表示连乘，

即表示对所有满足k∈I_c的

做连乘，k∈[1,N]，i∈[1,n],j∈[1,n_i]，v_i,j表示属性值，是第i种属性的第j个可能值，I_c是授权者的索引集，即监控访问策略中属性的授权者的下标集合。加密者最终得到密文CT=<C₁,C₂,C₃,C₄>。

步骤E，根据系统公开参数以及用户私钥对密文CT进行解密得到消息。

步骤E-1：解密者验证是否有与访问策略下标匹配的属性，如果没有，则解密失败，如果有，则继续下面的步骤。

步骤E-2：解密者使用系统公共参数<p,G₀,G₁,g,h,h₁>和解密者的私钥

以及密文CT＝<C₁,C₂,C₃,C₄>作如下计算：

$H=e(C_3,h_1^u)=e({\mathrm{\&Pi;}}_{k\&Element;I_c}{g}^{{\mathrm{\&beta;}}_{k}s},h_1^u)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k},$

$J={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_1^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(h^{r_k},g^s)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{{\mathrm{sr}}_k},$

$R=e(h,C_4)=e(h,{\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{g}^{{\mathrm{st}}_{i,j}^k})=e{(g,h)}^{s{\mathrm{\&Sigma;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{t}_{i,j}^k},$

$Q={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_0^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(g^{{\mathrm{\&alpha;}}_k}{h}^{r_k+{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{h}_1^{u{\mathrm{\&beta;}}_k},g^s)$

$={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,g)}^{s{\mathrm{\&alpha;}}_k}e{(g,h)}^{{\mathrm{sr}}_k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{s{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k},$

$C_1\&CenterDot;\frac{\mathrm{RHJ}}{Q}=M\&CenterDot;\frac{e{(g,h)}^{s{\mathrm{\&Sigma;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{t}_{i,j}^k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{{\mathrm{sr}}_k}}{{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,g)}^{{\mathrm{s\&alpha;}}_k}e{(g,h)}^{{\mathrm{sr}}_k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{s{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}}.$

$=M$

下面将对如上所述的多授权中心的ABE系统应用于现实生活中互联网用户分享消息的情形进行说明。

依照本发明的步骤，当银行A想将自己的文件（如针对X公司的某种信用卡优惠活动）分享给在X公司任职的该银行信用卡持有者时，属性权威机构运行得到公共参数params，银行A选取一个访问策略W（比如W=[W₁,W₃]，其中W₁是公司的名称，W₃是信用卡类型），银行A利用授权者的公钥和公共参数params对文件进行加密。当接收者B想解密消息时，他分别提交自己的属性L₁（所在公司名）和L₃（使用的信用卡的类型）给不同的授权者（显然这里属性所在公司名和属性使用的信用卡类型是由不同的授权中心管理的）。授权者执行密钥生成算法，分别返回与属性相对应的私钥。用户B利用自己的私钥、公共参数params和密文解密得到原始数据。当接收者所在公司不是X公司或者所使用的信用卡类型不对时，他将不能解密消息从而看到优惠活动。本方案使得不同的授权中心可以分别独立地管理属性，并且以加密的形式分享消息，防止第三方站点或者恶意攻击者窃取信息。此外，由于方案的密文长度固定，本发明方案的通信代价和计算代价大大降低，提高了系统运行的效率。

本领域普通技术人员应该了解，本发明不受上述实例限制，上述实例的描述只是为说明本发明的基本原理与特点，在上述实例的基础上可以很容易的联想到其他的优点和变形。在不背离本发明宗旨的范围内，本领域普通技术人员可以根据上述具体实施例通过各种等同替换所得到的技术方案，但是这些技术方案均应该包含在本发明的权利要求的范围及其等同的范围之内。

Claims (1)

1.一种多授权中心的加密方法，其特征在于，具体步骤如下：

步骤A，设置系统参数，

选取大素数p，分别生成p阶乘法循环群G₀和G₁，设定双线性映射e:G₀×G₀→G₁；选择G₀中的生成元g,h和h₁；公布<p,G₀,G₁,g,h,h₁>作为系统公开参数params；

步骤B，设置授权者的公钥与私钥：

步骤B-1：授权者A_k分别随机选取

和

作为其私钥，其中k∈[1,N],i∈[1,n],j∈[1,n_i]，是模p的剩余类环，表示集合{0,1,2,...,p-1}，N表示系统中授权者的个数，n表示系统中属性的种类，n_i表示第i种属性拥有的可能值的个数；

定义用户的属性集为L，即用户所拥有的属性的集合为L，属性的种类最多有n种，第i种属性的值是n_i个可能属性值中的一个；对于两个不同的用户属性集L和L′，应满足：

${\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L}{t}_{i,j}\&NotEqual;{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^{\&prime;}}{t}_{i,j}$

其中

表示对所有满足v_i,j∈L的t_i,j求和，v_i,j表示属性值，v_i,j是第i种属性的第j个可能值；

则，授权者A_k的私钥为：

${\mathrm{SK}}_k=<{\mathrm{\&alpha;}}_k,{\mathrm{\&beta;}}_k,{\left\{t_{i,j}^k\right\}}_{i\&Element;[l,n],j\&Element;[l,n_i]}>$

步骤B-2：授权者A_k分别计算：

$Y_k=e{(g,g)}^{{\mathrm{\&alpha;}}_k},Z_k=g^{{\mathrm{\&beta;}}_k}$ 和 $T_{i,j}^k=g^{t_{i,j}^k}$

则，授权者A_k的公钥PK_k为：

${\mathrm{PK}}_k=<Y_k,Z_k,{\left\{T_{i,j}^k\right\}}_{i\&Element;[l,n],j\&Element;[l,n_i]}>$

步骤C，生成用户的私钥：

步骤C-1：定义用户U的全局识别码GID为u，其中

用户U的属性集为L；

步骤C-2：每一个授权者A_k随机选取

计算

表示由授权者A_k监控的属性，

表示属性既属于用户全局识别码为u的用户又属于授权者A_k所监控的属性；

授权者颁发

给用户作为用户的私钥；

步骤D，加密，根据选定的访问策略以及授权者的公钥对明文M进行加密：

步骤D-1：加密者随机选取

指定一个访问策略W，访问策略W指出了可以解密消息的属性集；

步骤D-2：加密者使用选取的随机值s和访问策略W，分别计算：

$C_1=M\&CenterDot;{\mathrm{\&Pi;}}_{k\&Element;I_c}{Y}_k^s,C_2=g^s,C_3={\mathrm{\&Pi;}}_{k\&Element;I_c}{Z}_k^s,C_4={\left({\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{T}_{i,j}^k\right)}^s$

其中，

表示对所有满足k∈I_c的

做连乘，I_c是授权者的索引集，即监控访问策略中属性的授权者的下标集合；

加密者得到固定长度的密文CT=<C₁,C₂,C₃,C₄>；

步骤E，解密，根据系统公开参数以及用户私钥对密文CT进行解密得到明文M；

步骤E-1：解密者验证是否有与访问策略下标匹配的属性，如果没有，则解密失败，如果有，则继续下面的步骤；

步骤E-2：解密者使用系统公共参数<p,G₀,G₁,g,h,h₁>和解密者的私钥

以及密文CT=<C₁,C₂,C₃,C₄>，令：

$H=e(C_3,h_1^u)=e({\mathrm{\&Pi;}}_{k\&Element;I_c}{g}^{{\mathrm{\&beta;}}_{k}s},h_1^u)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}$

$J={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_1^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(h^{r_k},g^s)={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{{\mathrm{sr}}_k}$

$R=e(h,C_4)=e(h,{\mathrm{\&Pi;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{g}^{{\mathrm{st}}_{i,j}^k})=e{(g,h)}^{s{\mathrm{\&Sigma;}}_{k\&Element;I_c,v_{i,j}\&Element;W}{t}_{i,j}^k}$

$Q={\mathrm{\&Pi;}}_{k\&Element;I_c}e(D_0^k,C_2)={\mathrm{\&Pi;}}_{k\&Element;I_c}e(g^{{\mathrm{\&alpha;}}_k}{h}^{r_k+{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{h}_1^{u{\mathrm{\&beta;}}_k},g^s)$

$={\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,g)}^{s{\mathrm{\&alpha;}}_k}e{(g,h)}^{{\mathrm{sr}}_k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h)}^{s{\mathrm{\&Sigma;}}_{v_{i,j}\&Element;L^k}{t}_{i,j}^k}{\mathrm{\&Pi;}}_{k\&Element;I_c}e{(g,h_1)}^{\mathrm{us}{\mathrm{\&beta;}}_k}$

则明文M为：

$M=C_1\&CenterDot;\frac{\mathrm{RHJ}}{Q}.$

Images