CN105025021A - 格上主析取范式访问策略的基于属性加密方法 - Google Patents

Abstract

本发明公开了一种格上主析取范式访问策略的基于属性加密方法，具体按照以下步骤实施：首先是系统建立，输入安全参数λ、q，属性域U，生成系统公共参数pp和主私钥msk，其次是密钥生成，输入公共参数pp，主私钥msk，属性列表L，生成关于属性列表L的私钥e_L，然后是消息加密，输入公共参数pp、布尔访问策略policy、以及待加密的消息M∈{0，1}，输出在访问策略policy关于消息M∈{0，1}的密文C，最后是消息解密，输入安全参数pp，属性列表L的私钥e_L以及密文C，输出消息M∈{0，1}，本发明解决了现有技术中存在的基于属性加密方法速度慢，效率低的问题。

Description

格上主析取范式访问策略的基于属性加密方法

技术领域

本发明属于信息安全技术领域，具体涉及一种格上主析取范式访问策略的基于属性加密方法。

背景技术

基于属性的加密是一个较新的研究方向，与传统的密码学相比，属性加密提供了更加灵活的加解密关系。从以往的一对一加密模式扩展到了一对多模式。并且基于属性的加密实现了对用户访问控制的功能：1.可以有效防止非法用户访问受保护的网络资源；2.允许合法用户访问受保护的网络资源；3.防止合法用户对受保护的网络资源进行非授权访问。系统中的服务器只对加密后的资源进行管理，而不能真正访问数据，保证用户数据的安全和隐私。这使得属性加密得到了快速的发展，在付费电视系统，定向广播加密等领域有着良好的应用前景。特别是最近几年，随着云计算技术的发展和日益普及，越来越多的企业和个人将自身的数据外包给云服务商。为保护用户数据的安全性和隐私，属性加密提供了很好的解决途径。

目前基于属性的加密大致可以分为两类：第一类是从属性加密出现(2005年)到现在一直沿用的基于椭圆曲线的双线性群设计的属性加密系统，这一类的属性加密系统已经在方案的实用性，效率等方面都有了很大的突破。但是由于这一类系统在解密计算中往往涉及到双线性对的计算，而双线性对计算在实现效率方面要远低于其他运算(如线性运算)。并且随着量子计算机的出现，基于双线性对技术的属性加密的安全性也受到了威胁。因此应用产生了第二类的属性加密方案，那就是利用目前可以抵抗量子计算机的格密码原语来设计属性加密方案。

格密码被认为是可以抵抗量子计算机攻击的一种密码机制，至今不存在可行的量子计算机算法能够破解格上的困难问题。同时，格上的运算简单，计算量小，与传统公钥密码机制相比实现效率高。因此构造基于格的属性加密方案也是近年来的热点。

发明内容

本发明的目的是提供一种格上主析取范式访问策略的基于属性加密方法，解决了现有技术中存在的基于属性加密方法速度慢，效率低的问题。

本发明所采用的技术方案是，格上主析取范式访问策略的基于属性加密方法，其特征在于，具体按照以下步骤实施：

步骤1、系统建立；

步骤2、密钥生成；

步骤3、消息加密；

步骤4、消息解密。

本发明的特点还在于，

步骤1输入安全参数λ、q，属性域U,生成系统公共参数pp和主私钥msk，其中q＝Θ(2^λ)是一个大素数，具体按照以下步骤实施：

步骤(1.1)、利用陷门生成算法TrapGen(1^λ)，生成一个均匀随机矩阵及一个满秩的矩阵使得且

步骤(1.2)、随机选择n维的非零向量

步骤(1.3)、对于每一个属性Attr_i∈U，随机选择矩阵

步骤(1.4)、返回公共参数和主私钥

步骤2输入公共参数pp，主私钥msk，属性列表L，生成关于属性列表L的私钥e_L，具体按照以下步骤实施：

步骤(2.1)、设置这里符号||表示级联运算；

步骤(2.2)、利用左抽样算法SampleLeft()抽取私钥e_L， $e_L\←SampleLeft(A_0,{\mathrm{\Σ}}_{{\mathrm{Attr}}_i\∈L}{A}_i,T_{A_0},\mathrm{\σ},u),$ 使得F_Le_L＝u，其中 $\mathrm{\σ}>\left|\right|{\tilde{T}}_{A_0}\left|\right|\·\mathrm{\ω}\left(\sqrt{log2m}\right);$

步骤(2.3)、将私钥e_L秘密发送给拥有属性列表L的实体。

步骤3输入公共参数pp、布尔访问策略policy、以及待加密的消息M∈{0,1}，输出在访问策略policy关于消息M∈{0,1}的密文C，具体按照以下步骤实施：

步骤(3.1)、首先将布尔访问策略policy化成主析取范式f：令f_i表示析取范式的每一个子部分，即f＝f₁∨f₂∨f₃…，其中每一个子部分f_i均是不同属性的合取的形式，为了将一般的访问策略表示成需要的主析取范式，允许同一个属性出现多次，用Attr_i,j表示标准范式中第i个子部分f_i中的第j个属性，假设访问策略policy共含有t个析取子部分f_i(i∈[t])，这里[t]＝{1,2,…,t}，并且每一个子析取部分f_i中存在l_i个属性合取，因此访问策略policy表示成一个标准的主析取范式，然后根据访问策略f对消息M∈{0,1}进行加密，密文是根据访问策略f中的每一个子部分分别进行加密的；

步骤(3.2)、令其中i∈[t],j∈[l_i]；

步骤(3.3)、随机选择向量

步骤(3.4)、根据高斯噪声参数分布随机选择低范数的高斯噪声标量χ₀∈Z_q，根据参数分布随机选择各分量间独立同分布的高斯噪声向量其中i∈[t]，计算 $c_0=x^{T}u+M\[\frac{q}{2}\]+{\mathrm{\χ}}_0$ 和 $c_i=x^T{F}_{f_i}+{\mathrm{\χ}}_i,i\∈\[t\];$

步骤(3.5)、返回密文

步骤4具体按照以下步骤实施：

输入安全参数pp，属性列表L的私钥e_L以及密文C，如果属性列表L与访问策略f中的某一个子部分f_i中的属性一致，则属性列表L满足访问策略f，假设属性列表L中的属性与访问策略f_i中的属性一致，那么根据步骤2密钥生成算法得因此计算r＝c₀-c_i·e_L，如果则输出M＝0，否则输出M＝1。

本发明的有益效果是，格上主析取范式访问策略的基于属性加密方法，将布尔公式访问转化成主析取范式型访问策略,利用主析取范式构造了一个新的基于属性的加密方案，本发明主析取范式访问策略实现了与线性秘密共享(LSSS)访问策略同样的效果。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

本发明格上主析取范式访问策略的基于属性加密方法，具体按照以下步骤实施：

步骤1、系统建立：输入安全参数λ、q，属性域U,生成系统公共参数pp和主私钥msk，其中q＝Θ(2^λ)是一个大素数，具体按照以下步骤实施：

步骤(1.1)、利用陷门生成算法TrapGen(1^λ)，生成一个均匀随机矩阵及一个满秩的矩阵使得且

步骤(1.2)、随机选择n维的非零向量

步骤(1.3)、对于每一个属性Attr_i∈U，随机选择矩阵

步骤(1.4)、返回公共参数和主私钥

步骤2、密钥生成：输入公共参数pp，主私钥msk，属性列表L，生成关于属性列表L的私钥e_L，具体按照以下步骤实施：

步骤(2.1)、设置这里符号||表示级联运算；

步骤(2.2)、利用左抽样算法SampleLeft()抽取私钥e_L， $e_L\←SampleLeft(A_0,{\mathrm{\Σ}}_{{\mathrm{Attr}}_i\∈L}{A}_i,T_{A_0},\mathrm{\σ},u),$ 使得F_Le_L＝u，其中 $\mathrm{\σ}>\left|\right|{\tilde{T}}_{A_0}\left|\right|\·\mathrm{\ω}\left(\sqrt{log2m}\right);$

步骤(2.3)、将私钥e_L秘密发送给拥有属性列表L的实体。

步骤3、消息加密：输入公共参数pp、布尔访问策略policy、以及待加密的消息M∈{0,1}，输出在访问策略policy关于消息M∈{0,1}的密文C，具体按照以下步骤实施：：

步骤(3.1)、首先将布尔访问策略policy化成主析取范式f：令f_i表示析取范式的每一个子部分，即f＝f₁∨f₂∨f₃…，其中每一个子部分f_i均是不同属性的合取的形式。为了将一般的访问策略表示成需要的主析取范式，允许同一个属性出现多次，用Attr_i,j表示标准范式中第i个子部分f_i中的第j个属性。假设访问策略policy共含有t个析取子部分f_i(i∈[t])，这里[t]＝{1,2,…,t}，并且每一个子析取部分f_i中存在l_i个属性合取，因此访问策略policy表示成一个标准的主析取范式，然后根据访问策略f对消息M∈{0,1}进行加密，密文是根据访问策略f中的每一个子部分分别进行加密的；

步骤(3.2)、令其中i∈[t],j∈[l_i]；

步骤(3.3)、随机选择向量

步骤(3.4)、根据高斯噪声参数分布随机选择低范数的高斯噪声标量χ₀∈Z_q，根据参数分布随机选择各分量间独立同分布的高斯噪声向量其中i∈[t]，计算 $c_0=x^{T}u+M\[\frac{q}{2}\]+{\mathrm{\χ}}_0$ 和 $c_i=x^T{F}_{f_i}+{\mathrm{\χ}}_i,i\∈\[t\];$

步骤(3.5)、返回密文

步骤4、消息解密：具体按照以下步骤实施：

输入安全参数pp，属性列表L的私钥e_L以及密文C。如果属性列表L与访问策略f中的某一个子部分f_i中的属性一致，则属性列表L满足访问策略f。假设属性列表L中的属性与访问策略f_i中的属性一致，那么根据步骤2密钥生成算法得因此计算r＝c₀-c_i·e_L，如果则输出M＝0，否则输出M＝1。

下面验证本发明格上主析取范式访问策略的基于属性加密方法的正确性与安全性：

(1)正确性的验证：

如果属性列表L满足访问策略f，不失一般性，那么假设属性列表L与访问策略f＝f₁∨f₂∨f₃…中的第i个子部分f_i相同，i∈[t]，那么就有则有因此

$\begin{array}{c}r=c_0-c_i\·e_L\\ =c_0-(x^T{F}_{f_i}+{\mathrm{\χ}}_i)\·e_L\\ =c_0-x^T{F}_{f_i}\·e_L-{\mathrm{\χ}}_i\·e_L\\ =c_0-x^T{F}_L\·e_L-{\mathrm{\χ}}_i\·e_L\\ =c_0-x^{T}u-{\mathrm{\χ}}_i\·e_L\\ =\left(x^{T}u+M\[\frac{q}{2}\]+{\mathrm{\χ}}_0\right)-x^{T}u-{\mathrm{\χ}}_i\·e_L\\ =M\[\frac{q}{2}\]+({\mathrm{\χ}}_0-{\mathrm{\χ}}_i\·e_L)\end{array}$

根据合理的参数设定(具体见后面参数设定描述)，可以使得因此，当有M＝0，否则必有M＝1。

由此可以证明本发明格上主析取范式访问策略的基于属性加密方法是正确的。

(2)安全性证明：

如果存在一个概率多项式时间的算法在选择属性列表攻击下以优势ε＞0攻破上述方案，那么就存在概率多项式时间算法以优势ε判定问题，其中，α＝O(poly(n))，证明过程如下：

证明：在判定性LWE(learn with error)问题中，给定挑战者一个预言机O的访问权，其中这个预言机可能是嵌入密钥的伪随机预言机O_x，也可能是完全随机预言机O_$，挑战者是通过利用这样的推理，假如敌手以不可忽略的概率攻破本申请的方案，则挑战者可以借此构造算法以一个以不可忽略的概率来解决判定性LWE问题的算法。因此，假如判定性LWE问题是困难的，则本方案是安全的。具体的算法规约过程如下：

目标：敌手选择要攻击的访问策略其中

设置：挑战者接收到敌手的目标访问策略f^*后，构造公共参数和主私钥：

a、挑战者访问随机预言机O获得样本 $\[(w_0^1,v_0^1),...(w_0^m,v_0^m)\]\∈{(Z_q^n\×Z_q)}^m,$ 然后令u＝w, $A_0=\[w_0^1\left|\right|w_0^2\left|\right|...\left|\right|w_0^m\],$ $v_0=\[v_0^1\left|\right|v_0^2\left|\right|...\left|\right|v_0^m\];$

b、使用陷门抽样算法抽取(B,T_B)←TrapGen(n,m,q)；

c、随机选择矩阵令并且T_B也是R的短基；

d、如果属性Attr_i在目标访问策略f^*中的时,即它是访问策略f^*的任意一个子部分中的任意一个属性时，随机选择矩阵并令 $R_{Attri}^{*}=G_{{\mathrm{Attr}}_i}R,$ 设置属性公钥为 $A_{{\mathrm{Attr}}_i}=A_0{R}_{{\mathrm{Attr}}_i}^{*},i\∈\[t\];$

e、如果属性Attr_i不包含在目标访问策略中时，随机选择矩阵Attr_i∈U设置 $A_{{\mathrm{Attr}}_i}=A_0{R}_{{\mathrm{Attr}}_i}+B;$

最后，挑战者给敌手返回公共参数秘密保存 $\{B,T_B,D,R,{\left\{G_{{\mathrm{Attr}}_i},R_{{\mathrm{Attr}}_i}^{*}\right\}}_{{\mathrm{Attr}}_i\∈f^{*}},{\left\{R_{{\mathrm{Attr}}_i}\right\}}_{{\mathrm{Attr}}_i\∈U\backslash f^{*}},v,v_0\}.$

密钥询问1：敌手给挑战者发送一个属性列表S，挑战者需要给敌手返回关于属性列表S的密钥，这里，对敌手询问的属性列表S有一个限制，即 $S\∉\{\left\{{\mathrm{Attr}}_{1,1}^{*},{\mathrm{Attr}}_{1,2}^{*},...,{\mathrm{Attr}}_{1,l_1}^{*}\right\},\left\{{\mathrm{Attr}}_{2,1}^{*},{\mathrm{Attr}}_{2,2}^{*},...,{\mathrm{Attr}}_{2,l_2}^{*}\right\},...,\left\{{\mathrm{Attr}}_{t,1}^{*},{\mathrm{Attr}}_{t,2}^{*},...,{\mathrm{Attr}}_{t,l_t}^{*}\right\}\},$ 也就是说属性列表S不可以是由目标访问策略f^*中任意一个子部分f_i ^*，i∈[t]中所有属性构成的集合，即询问的属性列表S不满足目标访问策略f^*，

令： $F_S=A_0\left|\right|{\mathrm{\Σ}}_{{\mathrm{Attr}}_i\∈S}{A}_{{\mathrm{Attt}}_i},$

如果S不是目标访问策略f^*中任意一个属性集合的子集，那么在属性集合S中必然存在一个属性使得其公钥为那么在矩阵F_S中必然存在矩阵B，我们用表示属性集合S与目标访问策略f^*的子部分f_i ^*中相同属性的个数，那么表示属性集合S与目标访问策略匹配度最高的子部分所不同的属性个数，则令B′＝kB(T_B也是B′的短基)，因此我们可以使用右抽样算法抽取密钥，

利用右抽样算法抽取密钥 $e_S\←SampleRight(A_0,B^{\′},R_S^{*},T_B,u,\mathrm{\σ}),$ 其中 $R_S^{*}={\mathrm{\Σ}}_{{\mathrm{Attr}}_i\∈S}{R}_{{\mathrm{Attr}}_i}^{*};$

如果S是目标访问策略中某一个属性集合的真子集，即 $S\⊆({\mathrm{Attr}}_{i,1}^{*},{\mathrm{Attr}}_{i,2}^{*},...,{\mathrm{Attr}}_{i,l_i}^{*}),i\∈\[t\],$ 那么我们构造的

$\begin{array}{c}{F}_S=A_0\left|\right|{\Σ}_{Attr\∈S}{A}_{Attt}=A_0\left|\right|{\Σ}_{{\mathrm{Attr}}_i\∈S}{A}_0{R}_{{\mathrm{Attr}}_i}^{*}\\ =A_0\left|\right|{\Σ}_{{\mathrm{Attr}}_i\∈S}{A}_0{G}_{Attri}R\\ =A_0\left|\right|{\Σ}_{{\mathrm{Attr}}_i\∈S}{A}_0{G}_{Attri}D\·B\end{array}$

由于我们知道B的限门，相当于知道的限门，那么利用格基扩展算法 $ExtBasis(T_B,A_0||{\mathrm{\Σ}}_{{\mathrm{Attr}}_i\∈S}{A}_0{G}_{Attri}D\·B)$ 输出 $F_S=A_0\left|\right|{\mathrm{\Σ}}_{{\mathrm{Attr}}_i\∈S}{A}_0{G}_{Attri}D\·B$ 的短基然后利用原像抽样算法抽取密钥将e_S返回给敌手。

挑战：敌手提交两个消息M₀,M₁∈{0,1}，挑战者随机选择一个b∈{0,1}，然后计算

$c_0=v+M_b\[\frac{q}{2}\],$

$c_i=v_0\left|\right|v_0{R}_{f_i}^{*},i\∈\[t\],R_{f_i}^{*}={\mathrm{\Σ}}_{{\mathrm{Attr}}_i\∈f_i}{R}_{{\mathrm{Attr}}_i}^{*}$

并将 $C=(c_0,{\left\{c_i\right\}}_{i\∈\[t\]},f^{*})$ 返回给敌手。

密钥询问2：敌手在收到挑战密文后，可以继续进行密钥询问，限制条件与阶段1是相同的。

猜测：经过足够多次的密钥询问，敌手输出一个关于b的猜测b′，挑战者根据敌手的猜测输出对LWE问题的回答，多次实验，如果敌手关于b的猜测b′正确是有优势的，那么挑战者回答LWE语言机一个伪随机预言机O_x。

从上述可以看出，如果挑战者访问的预言机是伪随机预言机O_x，那么挑战者从预言机得到的对(w,v)就有v＝x^Tw+χ₀，并且我们设置u＝w，因此 $c_0=v+M\[\frac{q}{2}\];$ 同样，挑战者从预言机得到的对 $\[(w_0^1,v_0^1),...(w_0^m,v_0^m)\]\∈{(Z_q^n\×Z_q)}^m,$ 并且设置 $A_0=\[w_0^1\left|\right|w_0^2\left|\right|...\left|\right|w_0^m\],v_0=\[v_0^1\left|\right|v_0^2\left|\right|...\left|\right|v_0^m\],$ 由于 $F_{f_i^{*}}=A_0\left|\right|{\mathrm{\Σ}}_{{\mathrm{Attt}}_i\∈f_i^{*}}{A}_0\·R_{{\mathrm{Attt}}_i}^{*},$ 因此， $c_i=v_0\left|\right|v_0{R}_{f_i}^{*},i\∈\[t\],R_f^{*}={\mathrm{\Σ}}_{{\mathrm{Attr}}_i\∈f_i}{R}_{{\mathrm{Attr}}_i}^{*},$ 因此密文就是消息M的正规加密，否则如果挑战者访问的预言机是完全随机的预言机O_$，那么密文就是随机元素。

因此挑战者解决LWE问题的优势与敌手解决本方案的优势一致，证明完毕。

参数估计：

由于方案引用了前人的一些经典算法以及方案本身正确性和安全性的要求，我们需要设置合适的参数来保证方案的合理性：

首先我们需要设置参数来确保算法的正确引用，下面列出引用算法的限制：

a、方案的系统建立阶段引用了TrapGen以及安全性证明中使用到了原像抽样算法SamplePre，结合这两个算法我们要求m≥5nlogq；

b、密钥抽取阶段引用了SamplLefte，要求高斯参数

c、安全性证明中的困难性假设LWE问题，要求

d、安全性证明中使用了SamplRight，要求高斯参数以及m＞(m+1)logq+ω(logn)，为了方案的正确解密，要求结合上述的限制，我们来设置本方案所涉及到的参数：

注意根据陷门生成算法知：首先我们估计|(χ₀-χ_i·e_L)|:

$\begin{array}{c}\left|({\mathrm{\χ}}_0-{\mathrm{\χ}}_i\·e_L)\right|\\ \≤\left|{\mathrm{\χ}}_0\right|+\left|{\mathrm{\χ}}_i\·e_L\right|\\ \≤q\mathrm{\α}\mathrm{\ω}\left(\sqrt{\log m}\right)+1/2+\left|\right|e_L\left|\right|q\mathrm{\α}\mathrm{\ω}\left(\sqrt{\log 2m}\right)+\left|\right|e_L\left|\right|\sqrt{2m}/2\\ \≤\left(q\mathrm{\α}\mathrm{\ω}\left(\sqrt{\log 2m}\right)+\sqrt{2m}/2\right)\left(1+\left|\right|e_L\left|\right|\right)\\ \≤\left(q\mathrm{\α}\mathrm{\ω}\left(\sqrt{\log 2m}\right)+q\mathrm{\α}/4\right)\left(1+\mathrm{\σ}\sqrt{2m}\right)\\ \≤q\mathrm{\α}\left(\left(\mathrm{\ω}\sqrt{\log 2m}\right)+1\right)\left(1+\mathrm{\σ}\sqrt{2m}\right)\end{array}$

因此，通过设置合适的参数使得成立以及满足上述4条限制，该方案以接近于1的概率解密成功，因此我们假设存在实数δ使得n^1+δ＞nlogq，并通过如下设置n,m,α,q,α:

a、取合适的n使得n^1+δ＞nlogq成立；

b、设置m＝n^1.5≥5nlogq,满足条件1的限制；.

c、σ＝lm·ω(loglm),同时满足条件条件2和4；

d、噪声参数 $\mathrm{\α}=\frac{1}{5}{\left(\left(\mathrm{\ω}\left(\sqrt{log2m}\right)+1\right)\left(1+\mathrm{\σ}\sqrt{2m}\right)\right)}^{-1}$ 满足条件3；

e、大素数q满足 $q\≥10\sqrt{2m}\left(\mathrm{\ω}\right(\sqrt{log2m})+1)(1+\mathrm{\σ}\sqrt{2m}),$ 满足不等式。

通过上述的设置，我们的参数不仅满足方案中引用的算法限制，而且可以以接近于1的概率成功解密密文。

本发明格上主析取范式访问策略的基于属性加密方法，采用了一个新的访问策略为主析取范式，加解密过程的访问策略与属性列表匹配速度更快，效率更高。

本发明格上主析取范式访问策略的基于属性加密方法，第一次将布尔公式访问policy转化成主析取范式访问策略,利用主析取范式构造了一个新的基于属性的加密方案，本发明主析取范式访问策略实现了与线性秘密共享(LSSS)访问策略同样的效果，但是整体方案比现有2013年Boyen X提出的使用LSSS的格上基于属性的加密方案简单明了，对比LSSS访问结构将一个访问策略转换成一个LSSS矩阵，而本发明将其转化成一个标准的主析取范式，转化过程较为简单，并且在解密的时候，可以很直观的看出属性列表是否满足访问策略。

Claims (5)

1.格上主析取范式访问策略的基于属性加密方法，其特征在于，具体按照以下步骤实施：

步骤1、系统建立；

步骤2、密钥生成；

步骤3、消息加密；

步骤4、消息解密。

2.根据权利要求1所述的格上主析取范式访问策略的基于属性加密方法，其特征在于，所述步骤1过程为输入安全参数λ、q，属性域U,生成系统公共参数pp和主私钥msk，其中q＝Θ(2^λ)是一个大素数，具体按照以下步骤实施：

步骤(1.1)、利用陷门生成算法TrapGen(1^λ)，生成一个均匀随机矩阵 $A_0\∈Z_q^{n\×m}$ 及一个满秩的矩阵 $T_{A_0}\∈Z_q^{m\×m},$ 使得 $T_{A_0}\∈A_q^{\⊥}\left(A_0\right),$ 且 $\left|\right|{\tilde{T}}_{A_0}\left|\right|\≤m\·\mathrm{\ω}\left(\sqrt{\log m}\right);$

步骤(1.2)、随机选择n维的非零向量

步骤(1.3)、对于每一个属性Attr_i∈U，随机选择矩阵

步骤(1.4)、返回公共参数和主私钥

3.根据权利要求1所述的格上主析取范式访问策略的基于属性加密方法，其特征在于，所述步骤2的过程为输入公共参数pp，主私钥msk，属性列表L，生成关于属性列表L的私钥e_L，具体按照以下步骤实施：

步骤(2.1)、设置这里符号||表示级联运算；

步骤(2.2)、利用左抽样算法SampleLeft()抽取私钥e_L，

$e_L\←SampleLeft(A_0,{\mathrm{\Σ}}_{{\mathrm{Attr}}_i\∈L}{A}_i,T_{A_0},\mathrm{\σ},u),$ 使得F_Le_L＝u，其中 $\mathrm{\σ}>\left|\right|{\tilde{T}}_{A_0}\left|\right|\·\mathrm{\ω}\left(\sqrt{log2m}\right);$

步骤(2.3)、将私钥e_L秘密发送给拥有属性列表L的实体。

4.根据权利要求1所述的格上主析取范式访问策略的基于属性加密方法，其特征在于，所述步骤3的过程为输入公共参数pp、布尔访问策略policy、以及待加密的消息M∈{0,1}，输出在访问策略policy关于消息M∈{0,1}的密文C，具体按照以下步骤实施：

步骤(3.1)、首先将布尔访问策略policy化成主析取范式f：令f_i表示析取范式的每一个子部分，即其中每一个子部分f_i均是不同属性的合取的形式，为了将一般的访问策略表示成需要的主析取范式，允许同一个属性出现多次，用Attr_i,j表示标准范式中第i个子部分f_i中的第j个属性，假设访问策略policy共含有t个析取子部分f_i(i∈[t])，这里[t]＝{1,2,…,t}，并且每一个子析取部分f_i中存在l_i个属性合取，因此访问策略policy表示成一个标准的主析取范式，然后根据访问策略f对消息M∈{0,1}进行加密，密文是根据访问策略f中的每一个子部分分别进行加密的；

步骤(3.2)、令其中i∈[t],j∈[l_i]；

步骤(3.3)、随机选择向量

步骤(3.4)、根据高斯噪声参数分布随机选择低范数的高斯噪声标量χ₀∈Z_q，根据参数分布随机选择各分量间独立同分布的高斯噪声向量其中i∈[t]，计算 $c_0=x^{T}u+M\[\frac{q}{2}\]+{\mathrm{\χ}}_0$ 和 $c_i=x^T{F}_{f_i}+{\mathrm{\χ}}_i,i\∈\[t\];$

步骤(3.5)、返回密文C＝(c₀,{c_i}_i∈[t],f)。

5.根据权利要求1所述的格上主析取范式访问策略的基于属性加密方法，其特征在于，所述步骤4具体按照以下步骤实施：

输入安全参数pp，属性列表L的私钥e_L以及密文C，如果属性列表L与访问策略f中的某一个子部分f_i中的属性一致，则属性列表L满足访问策略f，假设属性列表L中的属性与访问策略f_i中的属性一致，那么根据步骤2密钥生成算法得因此计算r＝c₀-c_i·e_L，如果则输出M＝0，否则输出M＝1。