CN103647644A

CN103647644A - 一种实现分层认证机构的属性基加密方法

Info

Publication number: CN103647644A
Application number: CN201310731315.9A
Authority: CN
Inventors: 刘建伟; 艾倩颖
Original assignee: Beihang University
Current assignee: Beihang University
Priority date: 2013-12-26
Filing date: 2013-12-26
Publication date: 2014-03-19
Anticipated expiration: 2033-12-26
Also published as: CN103647644B

Abstract

本发明公开一种实现分层认证机构的属性基加密方法，主要包括以下步骤：1）中央授权机构初始化；2）多层认证机构初始化；3）用户的注册与认证；4）私钥的提取与分发；5）加密；6）解密。本发明在密文策略的属性基加密体制的基础上实现了多认证机构的层次化分布，便于中央授权机构对这些认证机构的管理，适用于层次化分布的大型组织结构中的共享数据加密解决方案。另外，在私钥的提取与分发的过程中，不同用户的属性集合之间允许重叠，使本发明在实际应用中有更广泛的适应性。

Description

一种实现分层认证机构的属性基加密方法

（一）技术领域

本发明涉及一种实现分层认证机构的属性基加密方法，它也是一种用于实现细粒度访问控制的密文策略属性基加密方法，属于公钥加密体制领域。

（二）背景技术

随着计算机和网络技术的发展，信息安全越来越受到人们的广泛关注，其中最基本、最核心的技术就是信息加密。现代加密体系中有两大分支：对称加密体制和公钥加密体制。其中，公钥加密体制使用非对称密钥，无需在加密者和解密者之间进行密钥协商，降低了对通信信道的安全性要求，因而得到了广泛的应用。

但是，传统的公钥加密体制也存在一些不足。首先，公钥证书的分发、存储和撤销等管理复杂，且占用资源大，增加了认证中心服务器的负担；另外，传统的公钥加密体制基本上是一对一的通信模式，即一个加密者只能针对一个解密者进行信息的加密与传输，这使其在诸如有线电视付费节目系统等共享数据存储领域的应用受到限制。

作为现代公钥加密体制的一个分支，基于属性的加密（Attribue-Based Encryption，简称ABE）体制可以很好地解决上述传统公钥加密体制的问题，另外还可以实现细粒度的访问控制，因而成为近些年研究的热点。自从ABE的概念提出以来，大多ABE方案都是单一认证机构的形式，即所有用户的私钥由一个认证机构产生，这无疑增加了认证中心服务器的负担，一旦服务器被攻破，可能影响所有用户的私钥安全性，而且分散在各地的用户都要与该认证机构进行通信，不满足分布式存取的需求。

所以，研究多认证机构的ABE方案有很重要的意义。在实际应用中，与层次化用户相关的认证机构往往也存在某种层次关系。例如，对于一个跨国公司来讲，其各个部门及相应的员工分布在不同地方，而且各部门及员工之间往往存在层次关系，在使用多认证机构的ABE方案对公司数据信息进行处理时，也应该考虑认证机构之间的层次关系，而现有多认证机构的ABE方案很少涉及这种认证机构之间的层次关系。基于以上考虑，本发明提出了一种实现分层认证机构的属性基加密方法，涉及的主要技术为密文策略的属性基加密技术、对称双线性映射。

首先，密文策略的属性基加密（Ciphertext-Policy Attribue-Based Encryption，简称CP-ABE）技术是由Bethencourt等人于2007年提出的一种ABE方案。与密钥策略的属性基加密（Key-Policy Attribute-Based Encryption，简称KP-ABE）体制不同的是，在CP-ABE中，私钥与用户的属性集合关联，简化了私钥提取算法的设计难度，而密文与访问控制策略关联，具有较强的灵活性。CP-ABE主要包含四个基本算法，即系统初始化、私钥提取算法、加密算法、解密算法。其基本过程如下：1）系统初始化：系统将安全参数k作为输入，返回公钥PK和主密钥MK，其中公钥PK用来加密文件，并公布给用户，主密钥MK用来提取用户的私钥，由认证中心保管。2）私钥提取算法：该算法将主密钥MK和一个属性集合S作为输入，返回与属性集合S关联的私钥SK。3）加密算法：该算法将公钥PK、明文M和一个访问控制结构作为输入，返回一个包含访问控制结构W的密文CT，并且只有属性集合S’满足该访问控制结构W时，与属性集合S’关联的私钥SK’才能够解密该密文CT。4）解密算法：该算法将密文CT和私钥SK’作为输入，其中，密文CT由加密算法生成，私钥SK’与属性集合S’关联，只有属性集合S’满足访问控制结构W时，该算法才能返回正确的明文M。

最后，对称双线性映射是双线性映射的一种。最初，双线性映射是作为一种攻击手段应用在密码学的安全性证明中的，2001年Boneh和Franklin首次将其应用于身份基加密体制中，后来双线性映射越来越多地应用到密码学的协议和方案中。对称双线性映射的定义如下：设

和

分别为两个乘法循环群，并具有相同的大素数阶p。令g是

的一个随机生成元，如果映射

同时满足：1）双线性：对于所有

和

都有e(u^a,v^b)＝e(u,，v)^ab；2）非退化性：e(g,g)≠1；3）可计算性：对于所有的

存在计算e(u,v)的有效算法。那么，e就是一个对称双线性映射。

（三）发明内容

（1）发明目的

本发明的目的是提出一种实现分层认证机构的属性基加密方法。该方法弥补了现有方案的不足，可用于解决按层分布的多个认证机构根据用户属性为其分发私钥的问题，其实现了分布式用户获取共享加密数据，以及细粒度的访问控制。该方法具有抗共谋攻击、抗选择明文攻击的安全性能，以及私钥提取算法允许用户属性重叠的特点。

（2）技术方案

为了达到上述目的，本发明综合运用密文策略的属性基加密技术和对称双线性映射，其技术方案如下。

本发明一种实现分层认证机构的属性基加密方法，它包含四个实体：1）中央授权机构：根据系统安全参数产生公钥、主密钥，以及根私钥提取参数；2）认证机构：认证用户的属性以及分发私钥，并且按层分布；3）加密方：使用某种访问控制结构对数据进行加密；4）解密方：持有由认证机构根据自身属性集合提取的私钥，只有其属性集合满足加密方指定的访问控制结构时，才能够解密数据。

本发明分四个阶段执行，即初始化、私钥的提取与分发、加密、解密，共有6个步骤。以下将结合附图对所述的实现分层认证机构的属性基加密方法进行阐述，图1为本发明的流程框图。本发明的具体步骤如下：

阶段一：初始化。包括步骤1、步骤2和步骤3。建立中央授权机构、多层认证机构及用户之间的层次关系（这里假设有t层认证机构），生成公钥PK、主密钥MK，以及各层私钥提取参数SK′_l(1≤l≤t)。

步骤1：中央授权机构初始化。中央授权机构首先定义全局属性域，假设为N＝{1,...,n}（n为某一自然数），并且每一个属性i∈N及其反都有意义。然后根据系统安全参数k，计算公钥PK、主密钥MK，以及根私钥提取参数SK′₁。其中，公钥PK公布给用户；根私钥提取参数SK′₁传递给第1层认证机构；主密钥MK由中央授权机构保存，并保证不被泄露。

步骤2：多层认证机构初始化。多个认证机构按层分布，即建立以中央授权机构为第0层，各个认证机构依次为第1层、第2层、……、第t层（这里假设有t层认证机构）的组织结构。从第1层开始，每层认证机构都为下一层认证机构计算私钥提取参数，并将私钥提取参数传递给下一层认证机构，直到第t层认证机构都得到第t-1层认证机构传递下来的私钥提取参数SK′_t。

步骤3：用户的注册与认证。每层用户都在该层认证机构进行属性的注册与认证，之后每层认证机构为其管理的每个注册用户选择一组随机数，并建立一个数据库，记录这些用户的姓名、属性集合以及随机数组等信息，其中随机数组不得外泄。

阶段二：私钥的提取与分发。包括步骤4。每层认证机构为其管理的每个用户计算私钥，并分发给相应的用户，其中每个用户的私钥与该用户的属性集合关联。

步骤4：私钥的提取与分发。假设第l(1≤l≤t)层某用户的属性集合为

则第l层认证机构根据该用户对应的随机数组、属性集合S_l以及第l-1层认证机构传递下来的私钥提取参数SK′_l，计算该用户的私钥SK_l，并将其分发给该用户。

阶段三：加密。包括步骤5。加密者制定一个访问控制策略，并根据该策略对数据进行加密处理。

步骤5：加密。加密者将明文M、公钥PK和访问控制结构W作为输入，返回包含访问控制结构W的密文CT（要求只有属性集合满足该访问控制结构的用户才能解密该密文CT），然后将密文CT公布给解密者。

阶段4：解密。包括步骤6。解密者使用自己的私钥对密文进行解密。

步骤6：解密。假设解密者为第m层的某用户，其属性集合为S_m，该用户使用私钥SK_m解密密文CT（包含访问控制结构W）的结果有两种：1）如果属性集合S_m满足访问控制结构W，则可以得到正确的明文M；2）如果属性集合S_m不满足访问控制结构W，则无法得到正确的明文M。

其中，在步骤1中所述的“根据系统安全参数k，计算公钥PK、主密钥MK，以及根私钥提取参数SK′₁”，其具体计算过程如下：

首先根据系统安全参数k，选择一个素数阶为p的双线性群

并且有双线性映射

选择随机数

以及的一个随机生成元g，然后计算Y＝e(g,g)^y，

T_{k} = g^{t_{k}} (k = 1, . . ., 3 n),

以及

{\hat{D}}_{0} = g^{y - {ns}_{0}}, {\tilde{D}}_{0, k} = g^{s_{0} / t_{k}} (k = 1, . . ., 3 n) .

则公钥PK＝<n,e,g,Y,{T_k|1≤k≤3n}>，主密钥MK＝<y,s₀,{t_k|1≤k≤3n}>，根私钥提取参数为

{SK}_{1}^{'} = < {\hat{D}}_{0}, {{\tilde{D}}_{0, k} | 1 \leq k \leq 3 n} > .

其中，在步骤2中所述的“每层认证机构都为下一层认证机构计算私钥提取参数”，其具体计算过程如下：

以第l(1≤l≤t-1)层认证机构为例，其得到上一层认证机构传递下来的私钥提取参数

{SK}_{l}^{'} = < {\hat{D}}_{l - 1}, {{\tilde{D}}_{l - 1, k} | 1 \leq k \leq 3 n} >

后，选择随机数

并计算

{\hat{D}}_{l} = {\hat{D}}_{l - 1} \cdot g^{{- ns}_{l}},

{\tilde{D}}_{l, k} = {\tilde{D}}_{l - 1, k} \cdot g^{s_{1}} (k = 1, . . ., 3 n),

则第l+1层私钥提取参数为

{SK}_{l + 1}^{'} = < {\hat{D}}_{l}, {{\tilde{D}}_{l, k} | 1 \leq k \leq 3 n} > .

其中，在步骤4中所述的“第l层认证机构根据该用户对应的随机数组、属性集合S_l以及第l-1层认证机构传递下来的私钥提取参数SK′_l，计算该用户的私钥SK_l”，其具体计算过程如下：

假设第l(1≤l≤t)层某用户的属性集合为

每一个i∈S_l代表正属性，而

代表反属性。令

其中

为该用户对应的随机数组，并计算

{\hat{D}}_{l}^{*} = {\hat{D}}_{l - 1} \cdot g^{{- r}_{l}} .

然后对于每一个i∈N，计算

F_{l, i} = {\tilde{D}}_{l - 1,2 n + i} \cdot g^{r_{l, i}},

以及D_l,i：

D_{l, i} = \{\begin{matrix} {\tilde{D}}_{l - 1, i} \cdot g^{r_{l, i}} = g^{(s_{0} + \cdot \cdot \cdot s_{l - 1} + r_{l, i}) / t_{i},} & i &Element; S_{l}, i &Element; N \\ {\tilde{D}}_{l - 1, n + i} \cdot g^{r_{l, i}} = g^{(s_{0} + \cdot \cdot \cdot + s_{l - 1} + r_{l, i}) / t_{n + i},} & i &NotElement; S_{l}, i &Element; N \end{matrix}

则该用户的私钥为

{SK}_{l} = < {\hat{D}}_{l}^{*}, {D_{l, i}, F_{l, i} | i &Element; N} > .

其中，在步骤5中所述的“加密者将明文M、公钥PK和访问控制结构W作为输入，返回包含访问控制结构W的密文CT（要求只有属性集合满足该访问控制结构的用户才能解密该密文CT）”，其具体计算过程如下：

加密者将明文

公钥PK和访问控制结构W作为输入，为了计算简便，这里使用的访问控制结构形式为

其中∧代表与门，v代表或门。然后选择随机数

计算

\tilde{C} = M \cdot Y^{s}, \hat{C} = g^{s},

以及C_i：

C_{i} = \{\begin{matrix} {T_{i}}^{s}, & a_{i} = i, i &Element; I \\ {T_{n + i}}^{s}, & a_{i} = &Not; i, i &Element; I \\ {T_{2 n + i}}^{s}, & i &NotElement; I, i &Element; N \end{matrix}

则密文

CT = < W, \tilde{C}, \hat{C}, C_{i} | i &Element; N > .

其中，在步骤6中所述的“如果属性集合S_m满足访问控制结构W，则可以得到正确的明文M”，其具体计算过程如下：

假设待解密密文形式为

其中W是访问控制结构，其形式为

如果解密者的属性集合S_m满足访问控制结构W，对应的私钥为

首先对于每一个i∈I，计算双线性对e(C_i,D_m,i)：

\begin{matrix} e (C_{i}, D_{d, i}) = \{\begin{matrix} e (g^{t_{i} \cdot s}, g^{(s_{0} + \cdot \cdot \cdot + s_{d - 1} + r_{d, i}) / t_{i}}), & a_{i} = i, i &Element; S_{d} \\ e (g^{t_{n + i} \cdot s}, g^{(s_{0} + \cdot \cdot \cdot s_{d - 1} + r_{d, i}) / t_{n + i}}), & a_{i} = &Not; i, i &NotElement; S_{d} \end{matrix} \\ = e {(g, g)}^{(s_{0} + \cdot \cdot \cdot s_{d - 1} + r_{d, i}) \cdot s} \end{matrix}

然后，对于每一个计算双线性对e(C_i,F_m,i)：

e (C_{i}, F_{m, i}) = e (g^{t_{2 n + i} \cdot s}, g^{(s_{0} + \cdot \cdot \cdot + s_{m - 1} + r_{m, i}) / t_{2 n + i}})

= e {(g, g)}^{(s_{0} + \cdot \cdot \cdot + s_{m - 1} + r_{m, i}) \cdot s}

最后，计算出正确的明文

其中

[\begin{matrix} e {(g, g)}^{ys} = e (g^{s}, g^{y - {ns}_{0} - \cdot \cdot \cdot - {ns}_{m - 1} - r_{m}}) \cdot e {(g, g)}^{({ns}_{0} + \cdot \cdot \cdot + {ns}_{m - 1} + r_{m}) \cdot s} \\ = e (\hat{C}, {\hat{D}}_{m}^{*}) \cdot \prod_{i = 1}^{n} e {(g, g)}^{(s_{0} + \cdot \cdot \cdot + s_{m - 1} + r_{m, i}) \cdot s} \end{matrix}]

（3）优点及功效

本发明一种实现分层认证机构的属性基加密方法，其优点和功效是：1）多认证机构的模式代替单一认证机构的模式，便于用户的分布式管理；2）实现了多认证机构的层次化分布，便于中央授权机构对这些认证机构的管理，适用于层次化分布的大型组织机构中的共享数据加密解决方案；3）本质上属于密文策略的属性基加密机制，密文与访问控制结构关联，私钥与用户属性关联，便于实现细粒度的访问控制，而且在制定访问控制策略方面具有较强的灵活性；4）在私钥的提取与分发的过程中，不同用户的属性集合之间允许重叠，在实际应用中有更广泛的适应性。

（四）附图说明

图1本发明的流程框图。

图中符号说明如下：

在图1中，M代表明文，CT代表密文。

（五）具体实施方式

以下将结合附图对所述的实现分层认证机构的属性基加密方法进行详细阐述。本发明可分为初始化、私钥的提取与分发、加密、解密四个阶段，共有6个步骤，见图1，该方法具体步骤如下：

阶段一：初始化阶段

步骤1：中央授权机构初始化。中央授权机构首先定义全局属性域，假设为N＝{1,...,n}（n为某一自然数），并且每一个属性i∈N及其反都有意义。然后根据系统安全参数k，选择一个素数阶为p的双线性群

并且有双线性映射

选择随机数

以及

的一个随机生成元g，然后计算Y＝e(g,g)^y，

T_{k} = g^{t_{k}} (k =

1, . . ., 3 n),

以及

{\hat{D}}_{0} = g^{y - {ns}_{0}}, {\tilde{D}}_{0, k} = g^{s_{0} / t_{k}} (k = 1, . . ., 3 n) .

可以得到：公钥PK＝<n,e,g,Y,{T_k|1≤k≤3n}>，主密钥MK＝〈y,s₀,{t_k|1≤k≤3n}〉，根私钥提取参数为

其中，公钥PK公布给用户；根私钥提取参数SK′₁传递给第1层认证机构；主密钥MK由中央授权机构保存，并保证不被泄露。

步骤2：多层认证机构初始化。多个认证机构按层分布，即建立以中央授权机构为第0层，各个认证机构依次为第1层、第2层、……、第t层（这里假设有t层认证机构）的组织结构。从第1层开始，每层认证机构都为下一层认证机构计算私钥提取参数，并将私钥提取参数传递给下一层认证机构，直到第t层认证机构都得到第t-1层认证机构传递下来的私钥提取参数SK′_t。例如，第l(1≤l≤t-1)层认证机构得到上层认证机构传递下来的私钥提取参数

{SK}_{1}^{'} = < {\hat{D}}_{l - 1}, {{\tilde{D}}_{l - 1, k} | 1 \leq k \leq 3 n} >

后，选择随机数并计算

{\hat{D}}_{l} = {\hat{D}}_{l - 1} \cdot g^{- n s_{l}},

{\tilde{D}}_{l, k} = {\tilde{D}}_{l - 1, k} \cdot g^{s_{l}} (k = 1, . . . 3 n),

可以得到第l+1层私钥提取参数为

{SK}_{l + 1}^{'} = < {\hat{D}}_{l}, {{\tilde{D}}_{l, k} | 1 \leq

k \leq 3 n},

并将其传递给第l+1层认证机构。

步骤3：用户的注册与认证。每层用户都在该层认证机构进行属性的注册与认证，之后每层认证机构为其管理的每个注册用户选择一组随机数，例如，第l(1≤l≤t)层某用户对应随机数组

每层认证机构建立一个数据库，记录其注册用户的姓名、属性集合以及随机数组等信息，其中随机数组不得外泄。

阶段二：私钥的提取与分发

每一个i∈S_l代表正属性，而

代表反属性。该层认证机构为该用户提取私钥SK_l的过程如下：

1）令

其中

为该用户对应的随机数组；

2）计算

{\hat{D}}_{l}^{*} = {\hat{D}}_{l - 1} \cdot g^{- r_{l}};

4）对于每一个i∈N，计算

以及D_l,i：

D_{l, i} = \{\begin{matrix} {\tilde{D}}_{l - 1, i} \cdot g^{r_{l, i}} = g^{(s_{0} + \cdot \cdot \cdot s_{l - 1} + r_{l, i}) / t_{i},} & i &Element; S_{l}, i &Element; N \\ {\tilde{D}}_{l - 1, n + i} \cdot g^{r_{l, i}} = g^{(s_{0} + \cdot \cdot \cdot + s_{l - 1} + r_{l, i}) / t_{n + i},} & i &NotElement; S_{l}, i &Element; N \end{matrix}

可以得到该用户的私钥为

其他层认证机构为其管理的每个用户提取私钥的过程都与之类似。之后，每层认证机构将提取的私钥分发给该层相应的用户。

阶段三：加密

步骤5：加密。加密者将明文

公钥PK和访问控制结构W作为输入，为了计算简便，这里使用的访问控制结构形式为其中

代表与门，v代表或门。然后选择随机数

计算以及C_i：

C_{i} = \{\begin{matrix} {T_{i}}^{s}, & a_{i} = i, i &Element; I \\ {T_{n + i}}^{s}, & a_{i} = &Not; i, i &Element; I \\ {T_{2 n + i}}^{s}, & i &NotElement; I, i &Element; N \end{matrix}

可以得到密文为

并且只有属性集合满足访问控制结构W的用户才能解密该密文CT。之后，加密者将密文CT公布给解密者。

阶段四：解密

步骤6：解密。假设待解密密文形式为

其中W是访问控制结构，其形式为

如果解密者的属性集合S_d满足访问控制结构W，对应的私钥为

{SK}_{d} = < {\hat{D}}_{d}^{*}, {D_{d, i}, F_{d, i} | i &Element; N} >,

其解密过程如下：

1）对于每一个i∈I，计算双线性对e(C_i,D_d,i)：

\begin{matrix} e (C_{i}, D_{d, i}) = \{\begin{matrix} e (g^{t_{i} \cdot s}, g^{(s_{0} + \cdot \cdot \cdot + s_{d - 1} + r_{d, i}) / t_{i}}), & a_{i} = i, i &Element; S_{d} \\ e (g^{t_{n + i} \cdot s}, g^{(s_{0} + \cdot \cdot \cdot s_{d - 1} + r_{d, i}) / t_{n + i}}), & a_{i} = &Not; i, i &NotElement; S_{d} \end{matrix} \\ = e {(g, g)}^{(s_{0} + \cdot \cdot \cdot s_{d - 1} + r_{d, i}) \cdot s} \end{matrix}

2）对于每一个计算双线性对e(C_i,F_d,i)：

\begin{matrix} e (C_{i}, F_{d, i}) = e (g^{t_{2 n + i} \cdot s}, g^{(s_{0} + \cdot \cdot \cdot + s_{d - 1} + r_{d, i}) / t_{2 n + i}}) \\ = e {(g, g)}^{(s_{0} + \cdot \cdot \cdot + s_{d - 1} + r_{d, i}) \cdot s} \end{matrix}

3）最后计算出正确的明文

其中

\begin{matrix} e {(g, g)}^{ys} = e (g^{s}, g^{y - {ns}_{0} - \cdot \cdot \cdot - {ns}_{d - 1} - r_{d}}) \cdot e {(g, g)}^{({ns}_{0} + \cdot \cdot \cdot {ns}_{d - 1} + r_{d}) \cdot s} \\ = e (\hat{C}, {\hat{D}}_{d}^{*}) \cdot \prod_{i = 1}^{n} e {(g, g)}^{(s_{0} + \cdot \cdot \cdot s_{d - 1} + r_{d, i}) \cdot s} \end{matrix}

反之，如果解密者的属性集合S_d不满足访问控制结构W，则无法得到正确的明文M。

综上所述，本发明在密文策略的属性基加密体制的基础上实现了多认证机构的层次化分布，便于中央授权机构对这些认证机构的管理，适用于层次化分布的大型组织结构中的共享数据加密解决方案。另外，在私钥的提取与分发的过程中，不同用户的属性集合之间允许重叠，使本发明在实际应用中有更广泛的适应性。

Claims

1.一种实现分层认证机构的属性基加密方法，其特征在于：该方法分四个阶段执行，即初始化、私钥的提取与分发、加密、解密，共有6个步骤如下：

阶段一：初始化

本阶段包括步骤1、步骤2和步骤3；建立中央授权机构、多层认证机构及用户之间的层次关系，假设有t层认证机构，生成公钥PK、主密钥MK，以及各层私钥提取参数SK′_l(1≤l≤t)；

步骤1：中央授权机构初始化；中央授权机构首先定义全局属性域，假设为N＝{1，...，n}（n为某一自然数），并且每一个属性i∈N及其反

都有意义，然后根据系统安全参数k，计算公钥PK、主密钥MK，以及根私钥提取参数SK′₁；其中，公钥PK公布给用户；根私钥提取参数SK′₁传递给第1层认证机构；主密钥MK由中央授权机构保存，并保证不被泄露；

步骤2：多层认证机构初始化；认证机构按层分布，即建立以中央授权机构为第0层，假设有t层认证机构，则依次为第1层、第2层、……、第t层的组织结构；从第1层开始，每层认证机构都为下一层认证机构计算私钥提取参数，并将私钥提取参数传递给下一层认证机构，直到第t层认证机构都得到第t-1层认证机构传递下来的私钥提取参数SK′_t；

步骤3：用户的注册与认证；每层用户都在该层认证机构进行属性的注册与认证，之后每层认证机构为其管理的每个注册用户选择一组随机数，并建立一个数据库，记录这些用户的姓名、属性集合以及随机数组等信息，其中随机数组不得外泄；

阶段二：私钥的提取与分发

本阶段包括步骤4；每层认证机构为其管理的每个用户计算私钥，并分发给相应的用户，其中每个用户的私钥与该用户的属性集合关联；

步骤4：私钥的提取与分发；假设第l(1≤l≤t)层某用户的属性集合为