CN105187425A - 面向云计算通信系统安全的无证书门限解密方法 - Google Patents

Abstract

本发明公开了面向云计算通信系统安全的无证书门限解密方法，其步骤包括：第一步、初始化系统参数和主密钥；第二步、计算与用户身份有关的部分私钥；第三步、用户随机选择秘密值；第四步、设置用户的公钥；第五步、计算用户的完整私钥；第六步、将完整私钥在一群解密服务器之间分发，生成若干份私钥份额和验证密钥。将私钥份额秘密发送给各解密服务器，并公开验证密钥；第七步、对明文消息加密；第八步、各解密服务器独立利用自己的私钥份额对密文解密，生成解密份额；第九步、利用验证秘钥检验解密份额的有效性；第十步、收集若干份(即不少于门限值)有效的解密份额，将解密份额结合、还原成明文。记录上述步骤中遇到的错误信息到日志文件。

Description

面向云计算通信系统安全的无证书门限解密方法

技术领域

本发明涉及一种面向云计算通信系统安全的无证书门限解密方法，属于计算机应用技术领域。

背景技术

云计算(CloudComputing)是一种基于Internet，以虚拟化技术为基础，提供基础架构、平台、软件等服务，整合大规模可扩展的计算、存储、数据、应用等分布式计算资源进行协同工作的超级计算模式，是分布式处理(DistributedComputing)、并行处理(ParallelComputing)和网格计算(GridComputing)等传统计算机和网络技术发展融合的产物。所谓“云计算”就是“计算即服务”(ComputingasaService，CaaS)，即：计算资源作为“服务”可以通过互联网来获取。在云计算的过程中，本地计算机依靠其他网内计算机进行运算和存储，把所有数据处理任务都交给网络来进行，个人用户利用全网用户的计算和存储功能，从而拥有提供强大的运算能力，实现软硬件资源共享。云计算作为一种新兴的应用计算机技术，具有高可靠性、动态可扩展性、超强计算和存储、虚拟化技术和低成本等优点。

随着网络通信技术的发展，云计算已成为了最炙手可热的话题之一，正引领IT行业向集约化、规模化与专业化的方向演进，被普遍认为是继互联网经济繁荣的另一产业增长点。由于云计算是一种新兴的共享基础框架的方法、一种基于互联网的大众参与的计算模式，其计算资源都是动态的、被虚拟化了的，而且是以服务的方式提供，在云计算环境中，用户不再拥有基础设施的硬件资源，软件都运行在云中，业务数据也存储在云中。因此，虽然云计算产业具有巨大的市场增长前景，但是，对于使用云服务的用户而言，云计算存在着多方面的潜在风险和各种安全问题。国际数据公司IDC的高级副总裁兼主要分析师FrankGens指出目前用户最关心的是云计算的安全问题，当用户的商业信息和重要的IT资源放置在云上时，用户们觉得很不安全。云计算安全问题关系到云计算这种革命性的计算模式是否能够被业界接受，已成为影响与制约云计算向移动Agent技术、电子政务、电子商务、城市地理信息系统等行业发展的首要因素。

目前，云计算安全问题以数据安全问题尤为严重，如何保证存储在云上的数据的安全，将是云计算面临的一个大问题，而目前主要应对措施集中在数据隔离、数据加密、数据保护、数据残留等方面。其中，数据加密的目的是防止他人拿到数据的原始文件后进行数据的窃取。在云计算环境中，数据的隔离机制可以防止其他用户对数据的访问，因此，数据加密的目的主要是防止“内鬼”，并根据不同用户的服务质量要求，保护数据存放的机密性、完整性，提高数据的可用性。

在传统公钥数据加密体制中，为保护用户公钥的真实性和有效性，需要一个执行公钥认证的机构——公钥基础设施(PKI)，PKI提供了一种标准的密钥管理平台，通过自动管理密钥和证书，为用户建立一个安全的网络环境，使用户可以方便的使用加密技术，从而保证数据的机密性、完整性和可用性。在PKI中通常包含一个可信第三方机构CA(CertificationAuthority)为用户签发公钥证书，并维护一个动态变化的证书库，供用户查找、验证。如果一个用户信任CA，那么在验证了另一个用户的证书的有效性后，他就相信公钥的真实性，其他用户在使用一个用户的公钥时，必须先验证证书的有效性，这就增加了计算量。此外，CA的管理和维护需要付出很大的计算、通信、存储代价。这就限制了PKI在实时和低宽带的环境中的应用。

在基于身份的公钥加密体制中，把用户的唯一的、独特的数字身份作为用户的公钥，这样就不需要认证公钥，避免了传统公钥加密体制中繁重的证书管理工作。用户私钥是由一个可信第三方密钥生成中心PKG(PrivateKeyGenerator)产生，PKG利用系统的主密钥生成所有用户的私钥，因此，基于身份的公钥加密体制具有天生的密钥托管问题，即不诚实的PKG可以任意窃听用户的通信，进而通过伪造用户的签名影响用户的利益。

在无证书公钥数据加密体制中同样不需要公钥证书，可信第三方KGC(KeyGenerationCenter)为用户生成部分私钥，并通过安全信道发送给用户，用户再用自己随机选择的秘密值和部分私钥生成完整的私钥。在整个过程中，KGC无法掌握任何用户的私钥，从而解决了密钥托管问题。与传统公钥加密体制和基于身份公钥加密体制相比，无证书公钥加密体制主要有两方面的优点：(1)它移除了传统公钥加密体制中所必须的、用于管理所有用户公钥的庞大的公钥基础设施；(2)解决了基于身份公钥加密体制中所固有的密钥托管问题。

据弗雷斯特研究公司ForresterResearch的研究报告称，云计算中的多租户(Multi-tenancy)问题使得云计算的安全漏洞需要比传统模式进行更严格的审查。由于在上述数据加密体制中都存在解密权利过于集中化的问题，因此并不能完全保证云计算在多租户环境下群组通信系统的安全。相对于以上加密方法，目前无证书门限解密体制解决了一系列由多租户问题引发的安全漏洞，被证明是在云计算环境中较为安全的一种方法。然而，相关研究证明，目前无证书门限解密方法仍存在很多缺点和不足，归纳起来有以下几点局限性：

(1)在选择密文攻击下存在潜在的安全漏洞。已有的部分无证书门限解密方法是在随机预言模型中提出的，这类方法在选择密文攻击的攻击模型中可能存在安全漏洞。攻击者通过掌握加密算法、截获的部分密文、自己选择的密文消息以及相应的被解密的明文，就可以计算出加密者的私钥或者分解模数，运用这些信息，攻击者可以恢复所有的明文。由于这些潜在安全漏洞的存在，直接导致了商业信息系统，如电子政务、电子商务等系统无法直接使用现有技术，间接地导致了软件的安全性危机。

(2)解密机制不完善。已有的标准模型下的无证书门限解密方法缺少验证每个解密服务器的解密份额是否有效的机制，这就无法判断收集到的解密份额中是否有被伪造或者篡改的信息。如果存在无效的解密份额，那么最后将直接导致由这些解密份额拼凑还原出的明文也是无效的，这将会对信息传输的正确性、准确性造成致命的影响，进而破坏了数据安全。

(3)密钥分发过程不合理。在部分已有的无证书门限解密方法中，在一群解密服务器之间进行分享的是用户的部分私钥，而不是完整私钥。这就导致算法本身并不能完全的保证通信安全。此外，整个分发过程是由KGC负责的，这也给KGC增加了额外的负担。

(4)计算代价昂贵、效率欠佳。已有方法中的系统主密钥和用户公钥的长度较长，而云计算又是一种按使用量付费的模式，这导致了信息传输时加解密的计算代价非常昂贵，在实际云计算环境中的低效率直接阻碍了该算法的应用范围。而本发明能够很好地解决上面的问题。

发明内容

本发明针对上述缺陷，设计了一种新的、安全的、高效的面向云计算通信系统安全的无证书门限解密方法，该方法涵盖了无证书公钥数据加密和门限解密两大关键技术环节，能够解决传统数据加密技术解密权利过于集中化的问题，进而能够解决传统数据加密技术无法完全保证云计算在多租户环境下群组通信安全的问题。

本发明解决其技术问题所采取的技术方案是：一种面向云计算通信系统安全的无证书门限解密方法，该方法在无证书公钥加密的基础上，将解密的权利交给云计算用户团体，在一群用户之间将解密权利进行分发，每个解密者独立地对密文进行解密并生成解密份额，最后，结合者收集一定数量的、有效的解密份额，进而恢复出初始明文。

该方法的具体流程如下：

步骤1：初始化：可信第三方KGC(即：KeyGenerationCenter)根据安全参数k，生成公开的系统参数params和只对KGC开放的主密钥s；

步骤2：可信第三方KGC根据系统参数params、主密钥s和用户的身份信息ID，生成与用户身份有关的部分私钥D_ID，并把部分私钥D_ID通过安全信道发送给用户；

步骤3：用户随机选择自己的秘密值x_ID，该值对其他用户和可信第三方保密，即：只对用户开放；

步骤4：用户根据系统参数params和秘密值x_ID，计算出与自己身份信息有关的公钥PK_ID；

步骤5：用户根据系统参数params、秘密值x_ID和部分私钥D_ID，生成完整私钥SK_ID；

步骤6：输入系统参数params、某个用户的完整私钥SK_ID、所有解密服务器的数量n和门限参数t，将SK_ID在一群解密服务器之间分发，即生成完整私钥的n份私钥份额{sk_i}_1≤i≤n，同时还生成t份可以检测私钥份额、解密份额有效性的验证密钥{vk_j}_0≤j≤t-1，将所有的验证密钥公开，将私钥份额秘密地发送给相应的解密服务器；

步骤7：输入系统参数params、明文消息M、用户公钥PK_ID，进行加密操作，生成密文C；

步骤8：每个解密服务器输入自己的私钥份额sk_i和密文C，独立地对密文C进行解密工作，产生一个解密份额δ_i,C；

步骤9：输入密文C、一个解密服务器的解密份额δ_i,C和t份可以检测解密份额有效性的验证密钥{vk_j}_0≤j≤t-1，检验δ_i,C的有效性；

步骤10：输入密文C，至少t个有效的δ_i,C，输出恢复完成的明文消息M。

本发明的步骤1包括：

步骤11：输入安全参数k，以k为基础，计算系统参数中的三元组

步骤12：选择G₁群的一个任意的生成元P，为生成系统参数做准备；

步骤13：从集合上随机选择一个唯一的数s作为主密钥，并设置P₀＝sP；

步骤14：选择四个加密哈希函数，分别记作H₁，H₂，H₃和H₄。

本发明的步骤2包括：

步骤21：输入一个用户的唯一的、独特的数字身份ID；

步骤22：计算出用户的部分私钥D_ID；

步骤23：检验D_ID是否正确、合理。

本发明的步骤3包括：

步骤31：输入系统参数params和用户的身份信息ID；

步骤32：用户从集合上随机选择一个数x_ID作为用户的秘密值。

本发明的步骤4包括：

步骤41：计算二元组＜X_ID,Y_ID＞的值，其中：

X_ID＝x_ID×P(4.1)

Y_ID＝x_ID×P₀＝x_ID×s×P(4.2)

设置用户的公钥PK_ID＝＜X_ID,Y_ID＞，用户的公钥对所有用户和KGC公开。

本发明的步骤5包括：

步骤51：输入系统参数params、秘密值x_ID和用户的部分私钥D_ID，用户按以下公式计算出完整私钥SK_ID：

SK_ID＝x_ID×D_ID(5.1)

完整私钥对其他用户和KGC保密。

本发明的步骤6包括：

步骤61：输入用户的完整私钥SK_ID、解密团体中解密服务器的个数n，设置一个门限值t，在恢复明文时需要收集到不少于t份有效的解密份额；

步骤62：从群中随机选择t-1个数，记作R₁,R₂,...,R_t-1，构造出F(u)函数： $F\left(u\right)={\mathrm{SK}}_{ID}+\underset{j=1}{\overset{t-1}{\Σ}}{u}^j{R}_j;$

步骤63：将解密团体中的某个解密服务器记作Γ_i(1≤i≤n)，将SK_ID在n个解密服务器之间进行分发，按以下公式计算出每个解密服务器Γ_i的私钥份额：sk_i＝F(i)，(1≤i≤n)；

步骤64：计算t个可以检测私钥份额有效性的验证密钥，将t个验证密钥记作{vk_j}_0≤j≤t-1，计算公式如下：

${\mathrm{vk}}_j=\left\{\begin{array}{cc}\hat{e}(R_j,P),& (1\≤j\≤t-1)\\ \hat{e}({\mathrm{SK}}_{ID},P),& (j=0)\end{array}\right.---\left(6.1\right)$

步骤65：将t个验证秘钥({(i,vk_j):0≤j≤t-1})真实地广播给所有用户以检验其私钥份额的有效性(所有用户都知道每个验证密钥的数值)，将n个私钥份额的具体值({(i,sk_i):1≤i≤n})秘密地发送给n个解密服务器；

步骤66：解密服务器Γ_i收到自己的私钥份额sk_i后，通过检验等式 是否成立来检验它所分到的私钥份额sk_i的有效性：

如果等式成立，则表示私钥份额有效，可以利用该私钥份额对密文进行解密，生成解密份额；

否则，表示私钥份额无效，即该解密服务器无法利用无效的私钥份额对密文进行解密。

本发明的步骤7包括：

步骤71：检验等式是否成立：

如成立，继续下列步骤；

否则输出终止符号⊥，表示加密过程失败；

步骤72：计算Q_ID＝H₁(ID)的值；

步骤73：从集合上选择一个随机数r；

步骤74：计算 $k=\hat{e}{(Q_{\mathrm{ID}},Y_{\mathrm{ID}})}^r;$

步骤75：输出密文C，密文C是一个三元组，记作C＝(U,V,W)，其中 $U=rP;V=H_2\left(k\right)\⊕M;W={\mathrm{rH}}_3(U,V).$

本发明的步骤8包括：

步骤81：解密服务器Γ_i输入其在步骤6中分发到的SK_ID的解密份额sk_i，同时输入步骤7中利用公钥PK_ID加密得到的密文C；

步骤82：验证等式是否成立：

如成立，则表示在步骤7中生成的密文C有效，继续下列解密步骤；

否则，输出“无效的密文”；

步骤83：解密服务器从G₁群中选择一个随机数T_i，并计算以下数值，为形成解密份额δ_i,C做准备： ${\mathrm{\κ}}_i=\hat{e}({\mathrm{sk}}_i,U);{\widetilde{\mathrm{\κ}}}_i=\hat{e}({\mathrm{sk}}_i,P);y_i=\hat{e}(T_i,U);{\tilde{y}}_i=\hat{e}(T_i,P);$ ${\mathrm{\λ}}_i=H_4({\mathrm{\κ}}_i,{\widetilde{\mathrm{\κ}}}_i,y_{i,}{\tilde{y}}_i);L_i=T_i+{\mathrm{\λ}}_i{\mathrm{sk}}_i;$

步骤84：输出解密份额，解密份额为步骤83中计算出的几个数值的组合，记作 ${\mathrm{\δ}}_{i,C}=(i,{\mathrm{\κ}}_i,{\widetilde{\mathrm{\κ}}}_i,y_i,{\tilde{y}}_i,{\mathrm{\λ}}_i,L_i).$

本发明的步骤9包括：

步骤91，计算 ${{\widetilde{\mathrm{\κ}}}_i}^{\′}={\mathrm{\Π}}_{j=0}^{t-1}{\mathrm{vk}}_j^{i^j},{{\mathrm{\λ}}_i}^{\′}=H_4({\mathrm{\κ}}_i,{{\widetilde{\mathrm{\κ}}}_i}^{\′},y_{i,}{\tilde{y}}_i);$

步骤92，检验以下三个等式是否都成立：

λ_i'＝λ_i(9.1)

$\hat{e}(L_i,U)/{\mathrm{\κ}}_i^{{{\mathrm{\λ}}_i}^{\′}}=y_i---\left(9.2\right)$

$\hat{e}(L_i,P)/{{\widetilde{\mathrm{\κ}}}_i}^{\′{{\mathrm{\λ}}_i}^{\′}}={\tilde{y}}_i---\left(9.3\right)$

如果等式9.1、9.2、9.3全部都成立，则输出“有效份额”；

否则，只要有一个等式不成立，则证明该解密份额已被恶意攻击，输出“无效份额”。

本发明的步骤10包括：

步骤101，输入密文C以及不少于t份有效的解密份额{δ_j,C}_j∈φ，其中|φ|≥t；

步骤102，按以下公式计算出明文消息M：

$M=V\⊕H_2\left({\mathrm{\Π}}_{j\∈\mathrm{\φ}}{{\mathrm{\κ}}_j}^{c_{0j}^{\mathrm{\φ}}}\right)$

其中 $c_{0j}^{\mathrm{\φ}}=\underset{i\∈\mathrm{\φ},i\≠j}{\mathrm{\Π}}i/(i-j).$

有益效果：

1、本发明提出了一种确保云计算群组通信系统安全的无证书门限解密方法，在实际应用中，该方法能预防并阻止云计算环境下通信系统中由于单个用户出错而带来损失，当云计算通信系统中任何一个人都不能被信任时，该方法能安全有效地将解密的权利交给某个团体，在一群服务器之间将解密权利进行分发，进而实现安全、实时、健壮的云计算环境下群组通信，同时，该发明能使云计算用户之间的群组通信更为高效，具有广阔的信息化应用前景。

2、本发明属于无证书公钥密码体制，因此，与传统公钥密码学相比，本发明去除了传统公钥密码学中所必须的、用于管理所有用户公钥的庞大的公钥基础设施；与基于身份密码学相比，本发明解决了基于身份密码学中所固有的密钥托管问题。

3、本发明融合了传统公钥密码学和基于身份密码学的优点，在两者之间表现出了一种令人关注的、有益地平衡。

4、本发明与已有的无证书加密方案相比，解决了解密权利集中化的问题，更适用于分布式系统和云计算这样的多租户环境，能有效防止用户团体中的“内鬼”，保护数据的机密性、完整性，提高数据的可用性。

5、与现有的无证书门限解密方法相比，本发明在计算和通信上效率更高，在适应性选择密文攻击下更为安全。

附图说明

图1为本发明中各服务器在云计算群组通信环境下的交互示意图。

图2为本发明的方法流程图。

图3为本发明中可信第三方(KeyGenerationCenter，简称KGC)进行初始化的方法流程图。

图4为计算部分私钥工作的方法流程图。

图5为在解密团体中分享私钥，生成私钥份额和验证秘钥以及检验私钥份额有效性的工作流程图。

图6为数据消息加密过程的方法示意图。

图7为解密份额的计算过程流程图。

图8为解密份额有效性验证的方法流程图。

具体实施方式

下面结合附图和具体实例，对本发明作进一步详细说明。

如图2所示，一种面向云计算通信系统安全的无证书门限解密方法，该方法包括如下步骤：

第一步，初始化：可信第三方KGC(KeyGenerationCenter)执行此步骤，进行初始化工作，目的是生成系统参数params和主密钥s。初始化的具体实现过程为：

(1.a)输入安全参数k，以k为基础，计算系统参数中的三元组其中G₁是一个循环加法群，G₂是一个循环乘法群，G₁和G₂具有相同的素数阶q。本发明假设在G₁和G₂群中离散对数问题是一个困难问题。是一个可接受的双线性映射，映射关系为：G₁×G₁→G₂。

(1.b)选择G₁群的一个任意的生成元P，为生成系统参数做准备。

(1.c)从集合{1,2,…,q-1}上随机选择一个唯一的数s作为主密钥，并设置P₀＝sP。

(1.d)选择四个加密哈希函数(分别记作H₁，H₂，H₃和H₄)，为生成系统参数作准备，其中四个加密哈希函数的映射关系分别如下：

$H_1:{\{0,1\}}^{*}\→G_1^{*};---\left(1.1\right)$

H₂:G₂→{0,1}^l；(1.2)

$H_3:G_1^{*}\×{\{0,1\}}^l\→G_1^{*};---\left(1.3\right)$

$H_4:{G_2}^4\→Z_q^{*};---\left(1.4\right)$

其中l表示明文消息的长度(单位为位)。

经过以上设置与运算，KGC最终将系统参数设置为以下集合： $params=<G_1,G_2,\hat{e},l,P,P_0,H_1,H_2,H_3,H_4>,$ 并将s设置为主密钥(详见：步骤1.c)。

可信第三方将系统参数params公开，但主密钥s只有可信第三方自己知道。该步骤执行的主要流程如图3所示。

第二步，生成部分私钥：此步骤的目的是计算出用户的部分私钥D_ID，为第五步中形成该用户的完整私钥做准备，具体实施过程如下：

(2.a)输入一个用户的唯一的、独特的数字身份，如用户的电话号码、邮箱和居民身份证的号码等等都可以看成是用户的身份，本发明中将用户的身份信息记作ID。

(2.b)KGC按以下公式计算出用户的部分私钥D_ID，该数值将在第五步中作为计算完整私钥的其中一个参数：

D_ID＝s×Q_ID(2.1)

其中Q_ID是以ID作为自变量、用H₁函数计算出来的函数值，即Q_ID＝H₁(ID)。

(2.c)用户得到D_ID后通过验证等式是否成立来检验D_ID是否正确。

如等式成立，则表示用户分发到的部分私钥正确；

否则，部分私钥无效，终止整个数据加密过程。

该步骤执行的主要流程如图4所示。

第三步，设置秘密值：此步骤的目的是生成用户的秘密值，该数值将在计算用户的公钥(详见第四步)和计算用户的完整私钥(详见第五步)中有重要作用。用户秘密值的产生过程如下：

输入系统参数params和用户的身份信息ID，用户从集合{1,2,…,q-1}上随机选择一个数x_ID作为用户的秘密值。秘密值x_ID对KGC和其他用户保密。

第四步，公钥设置：用户输入系统参数params和第三步中生成的秘密值x_ID，目的是计算出用户的公钥，该公钥将用来对数据消息进行加密操作。设置公钥的方法如下：

计算二元组＜X_ID,Y_ID＞的值，其中，X_ID＝x_ID×P，Y_ID＝x_ID×P₀＝x_ID×s×P，设置用户的公钥PK_ID＝＜X_ID,Y_ID＞，该数值对所有用户和KGC公开。

第五步，计算完整私钥：此步骤的主要目的是生成用户的完整私钥。在现有的大部分数据加密技术中，都是由某一个解密服务器直接利用本步骤中的完整私钥对密文消息进行解密，解密的权力集中在某一个服务器上，形成了解密权利过于集中的问题，而在现实云计算环境中，一旦某一个解密服务器被勾结或者被攻击，就很容易出现该服务器对数据消息进行的伪造或者篡改等数据攻击行为。本发明巧妙的解决了解密权利集中化的问题，将解密权力分发给一群服务器，具体做法是先计算出用户的完整私钥，接着将该完整私钥分成n份并分别发送给n个解密服务器(具体实施过程详见第六步)。因此，计算出用户的完整私钥是分发私钥的基础，完整私钥的计算过程如下：

输入系统参数params、第三步中生成的秘密值x_ID和第二步中计算出的用户的部分私钥D_ID，用户按以下公式计算出完整私钥SK_ID：

SK_ID＝x_ID×D_ID(5.1)

该数值对其他用户和KGC保密。

第六步，分享私钥、生成私钥份额，生成验证秘钥：此步骤的主要目的是将用户的完整私钥拆分成若干份私钥份额，并将生成的私钥份额在一群特有解密服务器之间进行分发，以解决以往加密方案中解密权利集中在某一个解密者手里的问题，有效地避免了解密者可能做出的影响数据安全的行为，如对数据进行篡改、伪造等。

有别于现有加解密核心方案，本技术发明了增强安全性分享私钥的新机制和更有效地验证私钥份额有效性的新方法：将用户的完整私钥分发于一群特有解密服务器，同时通过计算有效性公式(6.1)来检验私钥份额的有效性。具体实现步骤如下：

(6.a)输入用户的完整私钥SK_ID、解密团体中解密服务器的个数n，设置一个门限值t，在恢复明文时必须收集到不少于t份有效的解密份额，否则无法还原成明文。

(6.b)从群中随机选择t-1个数，记作R₁,R₂,...,R_t-1，构造出F(u)函数： $F\left(u\right)={\mathrm{SK}}_{ID}+\underset{j=1}{\overset{t-1}{\&Sigma;}}{u}^j{R}_j.$

(6.c)本发明将解密团体中的某个解密服务器记作Γ_i(1≤i≤n)，将SK_ID在n个解密服务器之间进行分发，按以下公式计算出每个解密服务器Γ_i的私钥份额：sk_i＝F(i)，(1≤i≤n)。

(6.d)计算t个可以检测私钥份额有效性的验证密钥，将t个验证密钥记作{vk_j}_0≤j≤t-1，计算公式如下：

${\mathrm{vk}}_j=\left\{\begin{array}{cc}\hat{e}(R_j,P),& (1\&le;j\&le;t-1)\\ \hat{e}({\mathrm{SK}}_{ID},P),& (j=0)\end{array}\right.---\left(6.1\right)$

(6.e)将t个验证秘钥({(i,vk_j):0≤j≤t-1})真实地广播给所有用户以检验其私钥份额的有效性(所有用户都知道每个验证密钥的数值)，将n个私钥份额的具体值({(i,sk_i):1≤i≤n})秘密地发送给n个解密服务器。

(6.f)解密服务器Γ_i收到自己的私钥份额sk_i后，通过检验等式：

$\hat{e}({\mathrm{sk}}_i,P)={\mathrm{\&Pi;}}_{j=0}^{t-1}{\mathrm{vk}}_j^{i^j}---\left(6.2\right)$

是否成立来检验它所分到的私钥份额sk_i的有效性：

如果等式成立，则表示私钥份额有效，能够利用该私钥份额对密文进行解密，生成解密份额(具体解密步骤见第八步)；

否则，表示私钥份额无效，即该解密服务器无法利用无效的私钥份额对密文进行解密。

此步骤中生成私钥份额和验证秘钥，进而检验私钥份额有效性的主要工作流程如图5所示。

第七步，加密：此步骤的目的是利用第四步中产生的用户的公钥PK_ID＝＜X_ID,Y_ID＞对明文消息M进行加密，生成密文C。加密过程如下：

(7.a)检验等式是否成立：

如成立，继续下列步骤；

否则输出终止符号⊥，表示加密过程失败。

(7.b)计算Q_ID＝H₁(ID)的值。

(7.c)从集合{1,2,…,q-1}上选择一个随机数r。

(7.d)计算 $k=\hat{e}{(Q_{\mathrm{ID}},Y_{\mathrm{ID}})}^r.$

(7.e)输出密文C，密文C是一个三元组，记作C＝(U,V,W)，其中 $U=rP;V=H_2\left(k\right)\&CirclePlus;M;W={\mathrm{rH}}_3(U,V).$

数据消息加密过程的示意图如图6所示。

第八步，生成解密份额：在此步骤中，每个解密服务器独立地利用自己的私钥份额对密文进行解密，生成解密份额δ_i,C，解密过程互不干扰。解密份额的计算过程如图7所示。

具体实现过程如下：

(8.a)解密服务器Γ_i输入其在第六步中分发到的SK_ID的私钥份额sk_i，同时输入第七步中利用公钥PK_ID加密得到的密文C。

(8.b)验证等式 $\hat{e}(P,W)=\hat{e}(U,H_3(U,V))$ 是否成立：

如成立，则表示在第七步中生成的密文C有效，继续下列解密步骤；

否则，输出“无效的密文”。

(8.c)解密服务器从G₁群中选择一个随机数T_i，并计算以下数值，为形成解密份额δ_i,C做准备： ${\mathrm{\&kappa;}}_i=\hat{e}({\mathrm{sk}}_i,U);{\widetilde{\mathrm{\&kappa;}}}_i=\hat{e}({\mathrm{sk}}_i,P);y_i=\hat{e}(T_i,U);{\tilde{y}}_i=\hat{e}(T_i,P);$ ${\mathrm{\&lambda;}}_i=H_4({\mathrm{\&kappa;}}_i,{\widetilde{\mathrm{\&kappa;}}}_i,y_{i,}{\tilde{y}}_i);L_i=T_i+{\mathrm{\&lambda;}}_i{\mathrm{sk}}_i.$

(8.d)输出解密份额，解密份额为(8.c)步骤中计算出的几个数值的组合，记作 ${\mathrm{\&delta;}}_{i,C}=(i,{\mathrm{\&kappa;}}_i,{\widetilde{\mathrm{\&kappa;}}}_i,y_i,{\tilde{y}}_i,{\mathrm{\&lambda;}}_i,L_i).$

第九步，解密份额有效性验证：此步骤的目的是利用第六步中生成的t个验证秘钥{vk₀,vk₁,…,vk_t-1}，来检验第八步中生成的某个解密服务器Γ_i的解密份额δ_i,C是否有效，为第十步中的还原明文工作做准备。具体检验过程如下：

(9.a)计算 ${{\widetilde{\mathrm{\&kappa;}}}_i}^{\&prime;}={\mathrm{\&Pi;}}_{j=0}^{t-1}{\mathrm{vk}}_j^{i^j},{{\mathrm{\&lambda;}}_i}^{\&prime;}=H_4({\mathrm{\&kappa;}}_i,{{\widetilde{\mathrm{\&kappa;}}}_i}^{\&prime;},y_{i,}{\tilde{y}}_i)$

(9.b)检验以下三个等式是否都成立：

λ_i'＝λ_i(9.1)

$\hat{e}(L_i,U)/{\mathrm{\&kappa;}}_i^{{{\mathrm{\&lambda;}}_i}^{\&prime;}}=y_i---\left(9.2\right)$

$\hat{e}(L_i,P)/{{\widetilde{\mathrm{\&kappa;}}}_i}^{\&prime;{{\mathrm{\&lambda;}}_i}^{\&prime;}}={\tilde{y}}_i---\left(9.3\right)$

如果等式9.1、9.2、9.3全部都成立，则证明δ_i,C是“有效份额”，可以参与第十步中的明文恢复工作；

否则，只要有一个等式不成立，则证明该解密份额已被恶意攻击，不能参与明文恢复工作，输出标识“无效的解密份额”。

解密份额有效性验证的主要流程如图8所示。

第十步，解密份额结合、还原成明文：本步骤将收集不少于t份有效的解密份额，并将这些有效的解密份额“拼凑”起来，最终还原成真实的、正确的明文。具体实施步骤如下：

(10.a)输入密文C以及不少于t份有效的解密份额{δ_j,C}_j∈φ，其中|φ|≥t。

(10.b)按以下公式计算出明文消息M：

$M=V\&CirclePlus;H_2\left({\mathrm{\&Pi;}}_{j\&Element;\mathrm{\&phi;}}{{\mathrm{\&kappa;}}_j}^{c_{0j}^{\mathrm{\&phi;}}}\right)$

其中 $c_{0j}^{\mathrm{\&phi;}}=\underset{i\&Element;\mathrm{\&phi;},i\&NotEqual;j}{\mathrm{\&Pi;}}i/(i-j).$

下面结合说明书附图对本发明作进一步的详细说明，以基于互联网的群组内语音信息的加密、解密为例。

互联网语音是声音讯号数字化，以数据封包的形式在特定IP地址的数据网络上做实时传递。其优势是能广泛地采用Internet和全球IP互连的环境，提供比传统文字发送业务更多、更快捷的服务，该技术的通讯成本低，并支持Web、Windows、Android、iOS等多种平台。作为多个网络终端间的通话，其原始数据(也称明文)时刻面临着渗入威胁与植入威胁两大网络安全威胁。基于计算操作系统的网络安全和数据保护的防范措施均有一定的限度，并不能完全保证系统信息在互联网上可靠的传输与交换。

结合该应用案例，本发明从应用层角度出发，使用软件模块对互联网语音群组通信的过程为：

第一步，初始化：选择语音传播系统作为可信第三方KGC，进行初始化工作，生成系统参数params和主密钥s。具体实现过程为：

(一)输入安全参数k，k是一个随机的四位整数。以k为基础，计算系统参数中的三元组其中G₁是一个循环加法群；G₂是一个循环乘法群。G₁和G₂具有相同的素数阶q(此处为5)。在G₁和G₂群中离散对数问题是一个困难问题。是一个可接受的双线性映射，映射关系为：G₁×G₁→G₂。

(二)选择G₁群的一个任意的生成元P(此处为1)，为生成系统参数作准备。

(三)从集合上随机选择一个唯一的数s作为主密钥，这里s取值为2，并设置P₀＝sP＝2。

(四)计算原始数据(即：明文)转换为二进制数据后的长度，用l表示(单位为位)。然后选择四个加密哈希函数，分别记作H₁，H₂，H₃和H₄，四个加密哈希函数的映射关系分别如下：

$H_1:{\{0,1\}}^{*}\&RightArrow;G_1^{*};---(1-1)$

H₂:G₂→{0,1}^l；(1-2)

$H_3:G_1^{*}\&times;{\{0,1\}}^l\&RightArrow;G_1^{*};---(1-3)$

$H_4:{G_2}^4\&RightArrow;Z_q^{*};---(1-4)$

经过以上设置与运算，KGC最终将系统参数设置为以下集合： $params=<G_1,G_2,\hat{e},l,P,P_0,H_1,H_2,H_3,H_4>.$

第二步，生成部分私钥，具体实施过程如下：

(一)输入一个用户的数字身份，将用户的身份信息记作ID，这里取用户的电话号码，例如ID＝13812341234，由于这里为群组通信，具体ID数值不再一一列举。

(二)KGC计算出用户的部分私钥D_ID：

D_ID＝s×Q_ID＝2×Q_ID(2-1)

其中Q_ID是以ID作为自变量、用H₁函数计算出来的函数值，即Q_ID＝H₁(ID)。

(三)用户得到D_ID后通过等式是否成立来检验D_ID是否正确。

如果等式成立，则表示用户分发到的部分私钥正确；

否则，部分私钥无效，终止整个数据加密过程，转到第一步。

第三步，设置秘密值，用户秘密值的产生过程如下：

输入系统参数params和用户的身份信息ID(比如：ID为每个用户的手机号)，用户从集合上随机选择3作为用户的秘密值，秘密值记作x_ID，该数值只有用户自己知道，而对KGC和其他用户保密。

第四步，公钥设置，具体过程如下：

用户输入系统参数params和第三步中生成的秘密值x_ID＝3，该公钥将用来对数据消息进行加密操作。

设置公钥的方法如下：

计算二元组＜X_ID,Y_ID＞的值，其中，

X_ID＝x_ID×P＝3(4-1)

Y_ID＝x_ID×P₀＝x_ID×s×P＝6(4-2)

设置用户的公钥PK_ID＝＜X_ID,Y_ID＞＝＜3,6＞，该数值对所有用户和KGC公开。

第五步，计算完整私钥，完整私钥的计算过程如下：

输入系统参数params、秘密值x_ID和用户的部分私钥D_ID，用户计算出完整私钥SK_ID：

SK_ID＝x_ID×D_ID＝3×D_ID＝6×Q_ID(5-1)

该数值对其他用户和KGC保密。

第六步，分享私钥、生成私钥份额，生成验证密钥并用验证密钥检验私钥份额的有效性，具体实现步骤如下：

(一)输入用户的完整私钥SK_ID、解密团体中解密服务器的个数n(n＝5)，设置一个门限值t＝4，在恢复明文时只有收集到不少于4份有效的解密份额才有机会还原成明文。

(二)从群中随机选择3个数，记作R₁,R₂,R₃，构造出F(u)函数： $F\left(u\right)={\mathrm{SK}}_{ID}+\underset{j=1}{\overset{3}{\&Sigma;}}{u}^j{R}_j.$

(三)本发明将解密团体中的某个解密服务器记作Γ_i(1≤i≤5)，将SK_ID在5个解密服务器之间进行分发，按以下公式计算出每个解密服务器Γ_i的私钥份额：sk_i＝F(i)，(1≤i≤5)。

(四)计算4个可以检测私钥份额有效性的验证密钥，4个验证密钥计算方法如下：

${\mathrm{vk}}_j=\left\{\begin{array}{cc}\hat{e}(R_j,1),& (1\&le;j\&le;3)\\ \hat{e}({\mathrm{SK}}_{ID},1),& (j=0)\end{array}\right.---(6-1)$

(五)将4个验证秘钥真实地广播给所有用户以检验其私钥份额的有效性(所有用户都知道每个验证密钥的数值)，将5个私钥份额的具体值秘密地发送给5个解密服务器。

(六)解密服务器收到自己的私钥份额后，通过检验方法来检验它所分到的私钥份额的有效性。

如果等式成立，则表示私钥份额有效，利用该私钥份额对密文进行解密，生成解密份额(具体解密步骤详见第八步)；

否则，表示私钥份额无效，即该解密服务器无法利用无效的私钥份额对密文进行解密，则转入最后一步，结束整个操作流程。

第七步，加密，具体过程如下：

(一)增加加密初始化检验机制：检验等式是否成立，如上述方程成立，则证明以上的加密过程不存在问题，继续执行以下步骤；否则终止整个解密过程，并输出终止符号⊥到日志文件中(表示加密过程失败)。

此处X_ID＝3,P₀＝2,Y_ID＝6,P＝1，因此等式成立，继续执行以下步骤。

(二)计算Q_ID＝H₁(ID)的值。

(三)从集合上选择一个随机数r＝4。

(四)计算

(五)输出密文C，密文是一个三元组，记作C＝(U,V,W)，其中 $U=4;V=H_2\left(k\right)\&CirclePlus;M;W={4\&times;H}_3(U,V).$

第八步，生成解密份额，具体实现过程如下：

(一)解密服务器输入其在第六步中分发到的解密份额，同时输入第七步中利用公钥PK_ID加密得到的密文C。

(二)验证等式 $\hat{e}(P,W)=\hat{e}(U,H_3(U,V))$ 是否成立

如上述方程成立，则表示在第七步中生成的密文C有效，继续下列解密步骤；

否则，输出“无效的密文”。

(三)解密服务器从G₁群中选择一个随机数T_i＝3，并计算以下解密份额参数值：

${\mathrm{\&kappa;}}_i=\hat{e}({\mathrm{sk}}_i,4)---(8-1)$

${\widetilde{\mathrm{\&kappa;}}}_i=\hat{e}({\mathrm{sk}}_i,1)---(8-2)$

$y_i=\hat{e}(3,4)---(8-3)$

${\tilde{y}}_i=\hat{e}(3,1)---(8-4)$

${\mathrm{\&lambda;}}_i=H_4({\mathrm{\&kappa;}}_i,{\widetilde{\mathrm{\&kappa;}}}_i,y_{i,}{\tilde{y}}_i)---(8-5)$

L_i＝T_i+λ_i×sk_i(8-6)

(四)基于上一步的计算结果，输出解密份额

第九步，解密份额有效性验证，具体检验过程如下：

(一)计算 ${{\widetilde{\mathrm{\&kappa;}}}_i}^{\&prime;}={\mathrm{\&Pi;}}_{j=0}^3{\mathrm{vk}}_j^{i^j},{{\mathrm{\&lambda;}}_i}^{\&prime;}=H_4({\mathrm{\&kappa;}}_i,{{\widetilde{\mathrm{\&kappa;}}}_i}^{\&prime;},y_{i,}{\tilde{y}}_i)$

(二)检验以下三个等式是否都成立：

λ_i'＝λ_i(9-1)

$\hat{e}(L_i,4)/{\mathrm{\&kappa;}}_i^{{{\mathrm{\&lambda;}}_i}^{\&prime;}}=y_i$

$\hat{e}(L_i,1)/{{\widetilde{\mathrm{\&kappa;}}}_i}^{\&prime;{{\mathrm{\&lambda;}}_i}^{\&prime;}}={\tilde{y}}_i---(9-3)$

如果等式9-1、9-2、9-3全部都成立，则输出“有效份额”；

否则，只要有一个等式不成立，则证明该解密份额已被恶意攻击，输出“无效份额”，结束整个解密过程。

第十步，解密份额结合、还原成明文：本步骤将收集不少于4份有效的解密份额，并将这些有效的解密份额“拼凑”起来，最终还原成真实的、正确的明文。具体实施步骤如下：

(一)输入密文以及不少于4份有效的解密份额。

(二)按以下方法计算出语音信息(明文消息)M：

$M=V\&CirclePlus;H_2\left({\mathrm{\&Pi;}}_{j\&Element;\mathrm{\&phi;}}{{\mathrm{\&kappa;}}_j}^{c_{0j}^{\mathrm{\&phi;}}}\right)---(10-1)$

其中 $c_{0j}^{\mathrm{\&phi;}}=\underset{i\&Element;\mathrm{\&phi;},i\&NotEqual;j}{\mathrm{\&Pi;}}i/(i-j).$

本发明为云计算、网格计算等分布式计算模式通信提供了一种简单、快捷、安全的加密与解密方法，并具有以下特有的技术特点：在选择密文攻击下具有较高的安全性，本发明在一群解密服务器之间分享用户的完整私钥，密钥分发过程合理，且可以利用一系列验证密钥对生成的私钥份额和解密份额进行验证，解密机制较为完善，能够保证数据传输的完整性、准确性、安全性。算法的计算量较小，确保了可信第三方与用户间交互传输信息时的传输代价较小，具有广阔的应用前景，有望在今后基于云计算的商业化市场中获得广泛的应用。

Claims (11)

1.面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述方法包括如下步骤：

步骤1：初始化：可信第三方KGC根据安全参数k，生成公开的系统参数params和只对KGC开放的主密钥s；

步骤2：可信第三方KGC根据系统参数params、主密钥s和用户的身份信息ID，生成与用户身份有关的部分私钥D_ID，并把部分私钥D_ID通过安全信道发送给用户；

步骤3：用户随机选择自己的秘密值x_ID，该值对其他用户和可信第三方保密，即：只对用户开放；

步骤4：用户根据系统参数params和秘密值x_ID，计算出与自己身份信息有关的公钥PK_ID；

步骤5：用户根据系统参数params、秘密值x_ID和部分私钥D_ID，生成完整私钥SK_ID；

步骤6：输入系统参数params、某个用户的完整私钥SK_ID、所有解密服务器的数量n和门限参数t，将SK_ID在一群解密服务器之间分发，即：生成完整私钥的n份私钥份额{sk_i}_1≤i≤n，同时还生成t份可以检测私钥份额、解密份额有效性的验证密钥{vk_j}_0≤j≤t-1，将所有的验证密钥公开，将私钥份额秘密地发送给相应的解密服务器；

步骤7：输入系统参数params、明文消息M、用户公钥PK_ID，进行加密操作，生成密文C；

步骤8：每个解密服务器输入自己的私钥份额sk_i和密文C，独立地对密文C进行解密工作，产生一个解密份额δ_i,C，解密过程互不干扰；

步骤9：输入密文C、一个解密服务器的解密份额δ_i,C和t份可以检测解密份额有效性的验证密钥{vk_j}_0≤j≤t-1，检验δ_i,C的有效性；

步骤10：输入密文C，至少t个有效的δ_i,C，输出恢复完成的明文消息M；

记录上述步骤中遇到的错误信息到日志文件，将明文信息传递给可信第三方软件接口，服务于应用层软件或硬件。

2.根据权利要求1所述的面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述的步骤1包括：

步骤11：输入安全参数k，以k为基础，计算系统参数中的三元组

步骤12：选择G₁群的一个任意的生成元P，为生成系统参数做准备；

步骤13：从集合上随机选择一个唯一的数s作为主密钥，并设置P₀＝sP；

步骤14：选择四个加密哈希函数，分别记作H₁，H₂，H₃和H₄。

3.根据权利要求1所述的面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述的步骤2包括：

步骤21：输入一个用户的唯一的、独特的数字身份ID；

步骤22：计算出用户的部分私钥D_ID；

步骤23：检验D_ID是否正确、合理。

4.根据权利要求1所述的面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述的步骤3包括：

步骤31：输入系统参数params和用户的身份信息ID；

步骤32：用户从集合上随机选择一个数x_ID作为用户的秘密值。

5.根据权利要求1所述的面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述的步骤4包括：

步骤41：计算二元组＜X_ID,Y_ID＞的值，其中：

X_ID＝x_ID×P(4.1)

Y_ID＝x_ID×P₀＝x_ID×s×P(4.2)

设置用户的公钥PK_ID＝＜X_ID,Y_ID＞，该数值对所有用户和KGC公开。

6.根据权利要求1所述的面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述步骤5的包括：

步骤51：输入系统参数params、秘密值x_ID和用户的部分私钥D_ID，用户按以下公式计算出完整私钥SK_ID：

SK_ID＝x_ID×D_ID(5.1)

完整私钥对其他用户和KGC保密。

7.根据权利要求1所述的面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述的步骤6包括：

步骤61：输入用户的完整私钥SK_ID、解密团体中解密服务器的个数n，设置一个门限值t，在恢复明文时需要收集到不少于t份有效的解密份额；

步骤62：从群中随机选择t-1个数，记作R₁,R₂,...,R_t-1，构造出F(u)函数： $F\left(u\right)={\mathrm{SK}}_{ID}+\underset{j=1}{\overset{t-1}{\&Sigma;}}{u}^j{R}_j;$

步骤63：将解密团体中的某个解密服务器记作Γ_i(1≤i≤n)，将SK_ID在n个解密服务器之间进行分发，按以下公式计算出每个解密服务器Γ_i的私钥份额：sk_i＝F(i)，(1≤i≤n)；

步骤64：计算t个可以检测私钥份额有效性的验证密钥，将t个验证密钥记作{vk_j}_0≤j≤t-1，计算公式如下：

${\mathrm{vk}}_j=\left\{\begin{array}{cc}\hat{e}(R_j,P),& (1\&le;j\&le;t-1)\\ \hat{e}({\mathrm{SK}}_{ID},P),& (j=0)\end{array}\right.---\left(6.1\right)$

步骤65：将t个验证秘钥({(i,vk_j):0≤j≤t-1})真实地广播给所有用户以检验其私钥份额的有效性(所有用户都知道每个验证密钥的数值)，将n个私钥份额的具体值({(i,sk_i):1≤i≤n})秘密地发送给n个解密服务器；

步骤66：解密服务器Γ_i收到自己的私钥份额sk_i后，通过检验等式 是否成立来检验它所分到的私钥份额sk_i的有效性：

如果等式成立，则表示私钥份额有效，可以利用该私钥份额对密文进行解密，生成解密份额；

否则，表示私钥份额无效，即该解密服务器无法利用无效的私钥份额对密文进行解密。

8.根据权利要求1所述的面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述的步骤7包括：

步骤71：检验等式是否成立：

如成立，继续下列步骤；

否则输出终止符号⊥，表示加密过程失败；

步骤72：计算Q_ID＝H₁(ID)的值；

步骤73：从集合上选择一个随机数r；

步骤74：计算

步骤75：输出密文C，密文C是一个三元组，记作C＝(U,V,W)，其中U＝rP；W＝rH₃(U,V)。

9.根据权利要求1所述的面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述的步骤8包括：

步骤81：解密服务器Γ_i输入其在步骤6中分发到的SK_ID的解密份额sk_i，同时输入步骤7中利用公钥PK_ID加密得到的密文C；

步骤82：验证等式 $\hat{e}(P,W)=\hat{e}(U,H_3(U,V\left)\right)$ 是否成立：

如成立，则表示在步骤7中生成的密文C有效，继续下列解密步骤；

否则，输出“无效的密文”；

步骤83：解密服务器从G₁群中选择一个随机数T_i，并计算以下数值，为形成解密份额δ_i,C做准备： ${\mathrm{\&kappa;}}_i=\hat{e}({\mathrm{sk}}_i,U);{\widetilde{\mathrm{\&kappa;}}}_i=\hat{e}({\mathrm{sk}}_i,P);y_i=\hat{e}(T_i,U);{\tilde{y}}_i=\hat{e}(T_i,P);$ ${\mathrm{\&lambda;}}_i=H_4({\mathrm{\&kappa;}}_i,{\widetilde{\mathrm{\&kappa;}}}_i,y_{i,}{\tilde{y}}_i);$ L_i＝T_i+λ_isk_i；

步骤84：输出解密份额，解密份额为步骤83中计算出的几个数值的组合，记作 ${\mathrm{\&delta;}}_{i,C}=(i,{\mathrm{\&kappa;}}_i,{\widetilde{\mathrm{\&kappa;}}}_i,y_i,{\tilde{y}}_i,{\mathrm{\&lambda;}}_i,L_i).$

10.根据权利要求1所述的面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述的步骤9包括：

步骤91，计算 ${{\widetilde{\mathrm{\&kappa;}}}_i}^{\&prime;}={\mathrm{\&Pi;}}_{j=0}^{t-1}{\mathrm{vk}}_j^{i^j},{{\mathrm{\&lambda;}}_i}^{\&prime;}=H_4({\mathrm{\&kappa;}}_i,{{\widetilde{\mathrm{\&kappa;}}}_i}^{\&prime;},y_{i,}{\tilde{y}}_i);$

步骤92，检验以下三个等式是否都成立：

λ_i'＝λ_i(9.1)

$\hat{e}(L_i,U)/{\mathrm{\&kappa;}}_i^{{{\mathrm{\&lambda;}}_i}^{\&prime;}}=y_i---\left(9.2\right)$

$\hat{e}(L_i,P)/{{\widetilde{\mathrm{\&kappa;}}}_i}^{\&prime;{{\mathrm{\&lambda;}}_i}^{\&prime;}}={\tilde{y}}_i---\left(9.3\right)$

如果等式9.1、9.2、9.3全部都成立，则输出“有效份额”；

否则，只要有一个等式不成立，则证明该解密份额已被恶意攻击，输出“无效份额”。

11.根据权利要求1所述的面向云计算通信系统安全的无证书门限解密方法，其特征在于，所述的步骤10包括：

步骤101，输入密文C以及不少于t份有效的解密份额{δ_j,C}_j∈φ，其中|φ|≥t；

步骤102，按以下公式计算出明文消息M：

$M=V\&CirclePlus;H_2\left({\mathrm{\&Pi;}}_{j\&Element;\mathrm{\&phi;}}{{\mathrm{\&kappa;}}_j}^{c_{0j}^{\mathrm{\&phi;}}}\right)$

其中