CN105406967B - 一种分层属性加密方案 - Google Patents

Abstract

本发明公开了一种分层属性加密方案，包括步骤：1)首先输入属性集合U，属性在不同的分层中；然后选择混合阶双线性复合群并据此得出公共参数PK和主密钥MSK；2)输入公共参数PK、消息M和一个改进的访问结构(M_V,ρ)，函数ρ表示访问结构M_V中的行到属性的映射，得到密文CT；3)输入主密钥MSK和一个具有不同分层的属性集合S，生成密钥SK；4)输入访问结构M_V对应的密文CT和属性集合S对应的密钥SK，令S在每一层的属性数量超过其门限，使S满足分层的访问结构，然后恢复出消息M。本发明构造的分层属性加密方案既能同时实现用户数据加密的细粒度的访问控制和分层的属性，又同时将方案的安全性在标准模型下提升到完全安全的级别。

Description

一种分层属性加密方案

技术领域

本发明涉及数据加密技术领域，具体涉及一种分层属性加密方案。

背景技术

基于属性的加密体制(ABE)是基于身份加密的一个重要分支。在基于属性的加密体制中，身份信息不再只是由一个元素来表示，而是被一系列描述性的属性取而代之，同时添加了一个灵活的访问结构，该访问结构由若干个属性以及门限组合而成，只有当访问结构和属性集合相匹配时，才能够成功解密出正确的明文消息。属性加密机制的最大优点是，不必指定由谁解密，只要接收方符合所设定的条件就能够成功解密。属性加密机制不再是简单的一对一加密，而是一种支持多对多模式的新型公钥加密，即解密对象不再只是某一具体的用户，而是面向一个符合解密条件的一个群体。基于属性的加密体制大致可以把它分为两大类：基于密钥策略的属性的加密(KP-ABE)和基于密文策略的属性的加密(CP-ABE)。属性加密在实际中有广泛的应用场景，比如分布式计算，网络存储等。

基于密文策略的属性加密方案，访问结构与密文相关，用户私钥则用属性集来标识，这样访问结构是在加密过程中由加密者来规划，系统公钥由授权机构来生成，仅当解密属性集满足密文中的访问结构时可以解密得到明文。

而现实生活中，属性集合中的属性根据它们的重要程度可以被分成不同的层次，例如教授这个属性，可以分层成正教授和副教授两个层次，因此就有了分层的基于属性的加密(CP-HABE)。在这种加密机制中，每个用户在系统中都拥有一个分层的属性集。加密者向系统中拥有某个属性集的用户加密一个消息，其中密文包含了一种分层的访问结构，只有当用户属性的分层满足访问结构的分层时，才能解密消息。这种CP-HABE可以看成是传统CP-ABE方案的一种形式，即所有属性都在同一层次上。目前这种CP-HABE方案被证明在判定性(q-parallel)双线性Diffie-Hellman指数假设下是安全的。现有的这种基于分层访问结构的CP-HABE方案的安全性仅达到了在判定性(q-parallel)双线性Diffie-Hellman指数假设下是安全的。

发明内容

针对现有技术的不足，本发明旨在提供一种分层属性加密方案，通过采用改进的分层的访问结构，使运算次数更少效率更高，还在加密时对于分层的每个属性都将分层的访问结构的对应行嵌入进去，从而实现分层和细粒度访问结构相结合；另外根据双系统加密技术加入混合阶双线性群元素；从而在标准模型下实现分层属性加密的完全安全级别。

为了实现上述目的，本发明采用如下技术方案：

一种分层属性加密方案，包含消息M；所述方案包括如下步骤：

S1初始化建立算法：首先输入包含所有属性的属性集合U，属性在不同的分层中；然后选择一个阶为N＝p₁p₂p₃双线性复合群G，p₁、p₂、p₃为不相同的素数，令表示阶为p_i的子群，i＝1,2,3；然后选择随机指数a和α、随机群元素其中，a,α∈Z_N，Z_N表示1至N-1的整数；对于U中的|U|个属性元素，选择对应的群元素则公共参数PK和主密钥MSK分别为:

PK＝{N,g,g_α,e(g,g)_a,h₁,......,h_|U|}；

MSK＝{α,X₃}；

其中，e(g,g)^a表示双线性对；

S2令属性集合S为属性集合U的分层子集，根据属性集合S、公共参数PK、消息M和一个提前生成的分层门限访问结构(M_V,ρ)将属性集合U所有层次的属性均用一个表达式进行加密得到密文CT，其中，函数ρ表示分层访问结构M_V中的行到属性的映射；令属性集合S的每一层的属性数量超过该层门限，使S满足分层的访问结构；

S3通过主密钥MSK和属性集合S，结合步骤S1中的子群生成密钥SK；

S4通过访问结构M_V对应的密文CT和属性集合S对应的密钥SK恢复出消息。

需要说明的是，步骤S2中，所述分层门限访问结构(M_V,ρ)的生成方法具体如下：

1)系统初始化

定义函数f的运算规则如下：每进行一次f运算，就将多项式的常数项变为0，自变量的系数不变，次数减1，设a、b、c、d为确定的常实数，则有：

f(a+bx+cx^d)＝0+b+cx^d-1；

f(1+2x+3x⁴)＝0+2+3x³；

设(k,n)是一个分层的秘密共享系统，主要由一个秘密分发者D和n个参与者组成，属性集合U是n个参与者的集合，且包含m个层次，即其中对于i≠j，U_i∩U_j＝φ；令是一个单调递增的整数序列0＜k₀＜k₁＜...＜k_m，并且k_m-1＜k_m-1，k_i是每一层的门限值，则(k,n)分层的门限访问结构就是要属性集合U中每个参与者u分配秘密信息s的一个秘密份额σ(u)，使其满足以下访问结构：

满足上式所描述的访问结构的分层的参与者子集S称为授权子集，可以恢复主秘密，而不满足上述访问结构的任何用户子集将无法获得关于主秘密的任何信息；

2)子秘密分发

秘密分发者D任意选取t-1个随机数a₁,...,a_t-1和一个大素数q，然后构造多项式P(x)＝s+a₁x+...+a_t-1x^t-1，其中s是需要被共享的主秘密；系统中的每个参与者u对应域里面的一个元素表示其身份，用u_j表示，D根据参与者所处的层次i计算参与者的秘密份额其中：

P₀(x)＝P(x)；

P₁(x)＝f¹(P(x))＝f(P(x))；

P_i(u)＝f(P_i-1(u))；

表示多项式P(x)经过k_i-1次f运算后在域元素u_j处的值；k_i-1是第i-1层的门限值且令k_-1＝0，D公开l_m表示第m层中拥有属性集合S的元素数量；

3)秘密恢复

令|S|表示S所具有的元素数量，设定满足：

…

其中，U₀,…,U_m表示集合U的第0至m层，0≤l₀≤l₁≤...≤l_m＝|S|，当且仅当对于所有的0≤i≤m，l_i≥k_i，S为一个授权子集，即符合访问结构，则S中所有的参与者合作时，可以组成系数矩阵M_V，其中系数矩阵按行编写为：

S中的所有参与者可以合作解出如下的方程组：

即：

可以看出，若S满足访问结构，就可以重构出多项式P(x)，从而恢复出秘密s；进一步，这个访问结构可以等价于分层矩阵的LSSS的访问结构，即令被定义为I＝{j：ρ(j)∈S}，如果令是秘密s的一个子秘密，则存在常数{ω_j∈Z_N}使得∑_j∈Iω_jλ_j＝s，其中，Z_N表示1到N的整数集合；ω_j在秘密共享生成矩阵M_v大小的多项式时间内总可以被找到，就可以恢复出来主秘密。

需要说明的是，步骤S2中具体包括如下步骤：

2.1)令访问结构M_V是一个j×t矩阵；

2.2)选择一个随机向量表示1到N的整数集合中的任意t个，其中，s表示秘密值，y₁,......,y_t-1为秘密值s的分享；y₁,......,y_t-1表示的都是要构造的多项式的系数，而秘密值s是多项式的常数项在为每个用户分配子秘密的时候，y₁,......,y_t-1起到了隐藏主秘密s的目的，最后s就分散在这些子秘密中；

2.3)令|S|表示S所具有的元素数量，设定满足：

…

其中，U₀,…,U_m表示集合U的第0至m层，0≤l₀≤l₁≤...≤l_m＝|S|，当且仅当对于所有的0≤i≤m，有l_i≥k_i，l_i表示第i层中拥有集合S的元素数量，k_i表示第i层中集合S的元素数量门限；

然后对于所有的j＝1,...,l₀,...,l_m，计算M_j表示M_V中的第j行；

2.4)对于属性集合U的层次数i∈{0,...,m}，设定j＝l_i-1+c，l_-1＝0，c为常数，表示第i层的第c个属性，即属性集合U中的第j个属性对应于第i层的第c个属性；

2.5)选择随机数

2.6)将所有层次的属性通过以下表达式进行加密得出密文CT：

其中，h_ρ(j)表示与属性集合U中的第ρ(j)个属性元素对应的群元素，ρ(j)表示属性集合U中第j层的属性到访问结构M_v的第j行的映射。

需要说明的是，步骤S3中，生成密钥SK的方法具体为：

选择一个随机数t∈Z_N和随机元素R₀,R'₀,并按下式生成的密钥SK：

其中，h_i表示与属性集合U中的第i个属性元素对应的群元素。

需要说明的是，步骤S4中，恢复出消息M具体方法为：

1)令被定义为I＝{j：ρ(j)∈S}，如果令是秘密s的一个子秘密，则存在常数{ω_j∈Z_N}使得∑_j∈Iω_jλ_j＝s，其中，a₁,...,a_t-1为任意选取t-1个随机数，Z_N表示1到N的整数集合；ω_j在秘密共享生成矩阵M_v大小的多项式时间内总可以被找到，就可以恢复出来主秘密；

2)利用混合阶双线性群的正交性计算下面式子：

则消息M＝C/M'＝Me(g,g)^αs/e(g,g)^αs；

其中，R₀,R'₀,为随机元素，C'、C_j、D_x为步骤S2中得到的密文CT的部分，K、L、K_ρ(j)为步骤S3中得到的密钥SK的部分，h_ρ(j)表示与属性集合U中的第ρ(j)个属性元素对应的群元素。

本发明的有益效果在于：

1、采用分层的访问结构，将属性对应到访问结构的生成矩阵里，根据属性的重要性，控制f运算的次数，重要的属性进行的f运算次数少，因而包含的秘密多，然后将生成的f运算结果映射到生成矩阵中去，从而实现相对于现有的分层属性加密方案，运算次数更少效率更高；

2、加密时对于分层的每个属性都将分层的访问结构的对应行嵌入进去，从而实现分层和细粒度访问结构相结合；

3、传统的分层属性加密方案在加密过程中将第0层的属性单独列出来进行加密，而本发明将所有层次的属性均用一种表达式进行加密，简化了密文格式；

4、传统的分层属性加密方案在解密过程没有考虑全面导致某些解密不成功，而本方案充分考虑这一点并重新构造了解密算法，经过验证得出可以成功解密所有情况。

附图说明

图1为本发明实施流程图。

具体实施方式

以下将结合附图对本发明作进一步的描述，需要说明的是，本实施例以本技术方案为前提，给出了详细的实施方式和具体的操作过程，但本发明的保护范围并不限于本实施例。

如图1所示，一种分层属性加密方案，包含消息M；所述方案包括如下步骤：

S1初始化建立算法：首先输入包含所有属性的属性集合U，属性在不同的分层中；然后选择一个阶为N＝p₁p₂p₃双线性复合群G，p₁、p₂、p₃为不相同的素数，令表示阶为p_i的子群，i＝1,2,3；然后选择随机指数a和α、随机群元素其中，a,α∈Z_N，Z_N表示1至N-1的整数；对于U中的|U|个属性元素，选择对应的群元素则公共参数PK和主密钥MSK分别为:

PK＝{N,g,g^α,e(g,g)^a,h₁,......,h_|U|}；

MSK＝{α,X₃}；

其中，e(g,g)^a表示双线性对；

S2令属性集合S为属性集合U的分层子集，根据属性集合S、公共参数PK、消息M和一个提前生成的分层门限访问结构(M_V,ρ)将属性集合U所有层次的属性均用一个表达式进行加密得到密文CT，其中，函数ρ表示分层访问结构M_V中的行到属性的映射；令属性集合S的每一层的属性数量超过该层门限，使S满足分层的访问结构；

S3通过主密钥MSK和属性集合S，结合步骤S1中的子群生成密钥SK；

S4通过访问结构M_V对应的密文CT和属性集合S对应的密钥SK恢复出消息。

需要说明的是，步骤S2中，所述分层门限访问结构(M_V,ρ)的生成方法具体如下：

1)系统初始化

定义函数f的运算规则如下：每进行一次f运算，就将多项式的常数项变为0，自变量的系数不变，次数减1，设a、b、c、d为确定的常实数，则有：

f(a+bx+cx^d)＝0+b+cx^d-1；

f(1+2x+3x⁴)＝0+2+3x³；

设(k,n)是一个分层的秘密共享系统，主要由一个秘密分发者D和n个参与者组成，属性集合U是n个参与者的集合，且包含m个层次，即其中对于i≠j，U_i∩U_j＝φ；令是一个单调递增的整数序列0＜k₀＜k₁＜...＜k_m，并且k_m-1＜k_m-1，k_i是每一层的门限值，则(k,n)分层的门限访问结构就是要属性集合U中每个参与者u分配秘密信息s的一个秘密份额σ(u)，使其满足以下访问结构：

满足上式所描述的访问结构的分层的参与者子集S称为授权子集，可以恢复主秘密，而不满足上述访问结构的任何用户子集将无法获得关于主秘密的任何信息；

2)子秘密分发

秘密分发者D任意选取t-1个随机数a₁,...,a_t-1和一个大素数q，然后构造多项式P(x)＝s+a₁x+...+a_t-1x^t-1，其中s是需要被共享的主秘密；系统中的每个参与者u对应域里面的一个元素表示其身份，用u_j表示，D根据参与者所处的层次i计算参与者的秘密份额其中：

P₀(x)＝P(x)；

P₁(x)＝f¹(P(x))＝f(P(x))；

P_i(u)＝f(P_i-1(u))；

表示多项式P(x)经过k_i-1次f运算后在域元素u_j处的值；k_i-1是第i-1层的门限值且令k_-1＝0，D公开l_m表示第m层中拥有属性集合S的元素数量；

3)秘密恢复

令|S|表示S所具有的元素数量，设定满足：

…

其中，U₀,…,U_m表示集合U的第0至m层，0≤l₀≤l₁≤...≤l_m＝|S|，当且仅当对于所有的0≤i≤m，l_i≥k_i，S为一个授权子集，即符合访问结构，则S中所有的参与者合作时，可以组成系数矩阵M_V，其中系数矩阵按行编写为：

S中的所有参与者可以合作解出如下的方程组：

即：

可以看出，若S满足访问结构，就可以重构出多项式P(x)，从而恢复出秘密s；进一步，这个访问结构可以等价于分层矩阵的LSSS的访问结构，即令被定义为I＝{j：ρ(j)∈S}，如果令是秘密s的一个子秘密，则存在常数{ω_j∈Z_N}使得∑_j∈Iω_jλ_j＝s，其中，Z_N表示1到N的整数集合；ω_j在秘密共享生成矩阵M_v大小的多项式时间内总可以被找到，就可以恢复出来主秘密。

需要说明的是，步骤S2中具体包括如下步骤：

2.1)令访问结构M_V是一个j×t矩阵；

2.2)选择一个随机向量表示1到N的整数集合中的任意t个，其中，s表示秘密值，y₁,......,y_t-1为秘密值s的分享；

2.3)令|S|表示S所具有的元素数量，设定满足：

…

其中，U₀,…,U_m表示集合U的第0至m层，0≤l₀≤l₁≤...≤l_m＝|S|，当且仅当对于所有的0≤i≤m，有l_i≥k_i，l_i表示第i层中拥有集合S的元素数量，k_i表示第i层中集合S的元素数量门限；

然后对于所有的j＝1,...,l₀,...,l_m，计算M_j表示M_V中的第j行；

2.4)对于属性集合U的层次数i∈{0,...,m}，设定j＝l_i-1+c，l_-1＝0，c为常数，表示第i层的第c个属性，即属性集合U中的第j个属性对应于第i层的第c个属性；

2.5)选择随机数

2.6)将所有层次的属性通过以下表达式进行加密得出密文CT：

其中，h_ρ(j)表示与属性集合U中的第ρ(j)个属性元素对应的群元素，ρ(j)表示属性集合U中第j层的属性到访问结构M_v的第j行的映射。

需要说明的是，步骤S3中，生成密钥SK的方法具体为：

选择一个随机数t∈Z_N和随机元素R₀,R'₀,并按下式生成的密钥SK：

其中，h_i表示与属性集合U中的第i个属性元素对应的群元素。

需要说明的是，步骤S4中，恢复出消息M具体方法为：

1)令被定义为I＝{j：ρ(j)∈S}，如果令是秘密s的一个子秘密，则存在常数{ω_j∈Z_N}使得∑_j∈Iω_jλ_j＝s，其中，a₁,...,a_t-1为任意选取t-1个随机数，Z_N表示1到N的整数集合；ω_j在秘密共享生成矩阵M_v大小的多项式时间内总可以被找到，就可以恢复出来主秘密；

2)利用混合阶双线性群的正交性计算下面式子：

则消息M＝C/M'＝Me(g,g)^αs/e(g,g)^αs；

其中，R₀,R'₀,为随机元素，C'、C_j、D_x为步骤S2中得到的密文CT的部分，K、L、K_ρ(j)为步骤S3中得到的密钥SK的部分，h_ρ(j)表示与属性集合U中的第ρ(j)个属性元素对应的群元素。

以下将进一步证明本发明方案的安全性。

首先定义半功能型CP-HABE密钥和半功能型CP-HABE密文：

1)半功能型CP-HABE密文：

首先调用加密算法生成正常密文：

C＝me(g，g)^αs，C′＝g^s；

然后选择对于x∈{l₀，.......，l_m}，选择σ_x∈Z_N，对于j∈{1，......，l₀，.......，l_m}，选择Z_ρ(j)∈Z_N，访问矩阵的每层M_j∈M_v，随机选择整数c和一个随机向量则半功能型密文的定义如下：

2)半功能型CP-HABE密钥：

首先运行密钥生成算法生成正常密钥：

随机选择b，d∈Z_N；

type1半功能密钥为：

type2半功能密钥为：

若用type1的半功能型密钥去解密半功能型密文，将会得到额外的一项其中u₁是的第一个分量如果cd-bu₁＝0，用这样的半功能型密钥可以解密成功半功能型密文，将这样的密钥成为名义上的半功能型密钥。

在下面的证明中，定义一系列的游戏来证明一个攻击者不能从下面的引理中区分这些游戏。

(1)第一个游戏：Game_real：是真正的安全游戏，密文和所有密钥都是正常的。

(2)第二个游戏：Game₀：所有的密钥是正常的，但是挑战密又是半功能性的。

(3)q表示攻击者进行密钥查询的次数V＝1,…,q

Game_k，1：挑战密文是半功能性的，前k-1个密钥是type2的半功能性密钥，第k个密钥是type1的半功能性密钥，其余剩下的密钥是正常的。

Game_k，2：挑战密文是半功能性的，前k个密钥是type2的半功能性密钥，剩余密钥是正常的。

Game_q，2：所有的密钥都是type2的半功能性密钥。

(4)Game_final：所有的密钥都是type2的半功能性的，密文是一个随机消息∈G_T加密的半功能性密文，但与攻击者提供的两个消息相独立，所述G_T表示一个群。

假设1：给定一个群生成元定义如下的分布：

其中，R表示随机。

定义一个算法打破假设1的优势为：

其中，T₁可以被唯一地写成中一个元素和中一个元素的乘积，这些元素分别对应于T₁中的那部分和T₁中的那部分。

定义1：如果对于任何多项式时间算法在λ的范围里是可忽略的，那么满足假设1。

假设2：给定一个群生成元定义如下的分布：

定义一个算法打破假设2的优势为：

其中，用来表示G中阶为p₁p₃的子群。T₁可以被唯一的写成中一个元素、G_P2中一个元素和中一个元素的乘积，这些元素分别对应于T₁中的那部分、T₁中的那部分和T₁中的那部分。同样地，T₂可以被写成中一个元素和中一个元素的乘积。

定义2：如果对于任何多项式时间算法在λ的范围里是可忽略的，那么满足假设2。

假设3：给定一个群生成元我们定义如下的分布：

其中，表示1至N-1的任意整数。

定义一个算法打破假设3的优势为：

定义3：如果对于任何多项式时间算法在λ的范围里是可忽略的，那么满足假设3。

定理1：如果上述三个假设1、2、3成立的话，则本发明的分层属性加密方法在标准模型下是完全安全的。采用(Fully Secure Functional Encryption)的双系统证明技术。

引理1：如果存在一个多项式时间算法的攻击者可以以ε的优势区分Game_real和则存在一个多项式时间算法能以ε的优势攻破假设1，表示的优势。

引理2：如果存在一个多项式时间算法的攻击者可以以ε的优势区分Game_k-1，2和则存在一个多项式时间算法能以ε的优势攻破假设2。

引理3：如果存在一个多项式时间算法的攻击者可以以ε的优势区分Game_k，1和则存在一个多项式时间算法能以ε的优势攻破假设2。

引理4：如果存在一个多项式时间算法的攻击者可以以ε的优势区分Game_q，2和则存在一个多项式时间算法能以ε的优势攻破假设3。

证明：如果假设1，2，3成立，则可以由先前的引理得到真正的安全游戏是无法与Game_Final区分的，在Game_Final中，密文完全隐藏了β，因此在Game_Final中的优势可以忽略为接近0。同样，在Game_Real中的优势也是可以忽略接近0的。因此，没有一个多项式时间的敌手可以以不可忽略的优势攻破本发明所提供的标准模型下完全安全的分层属性加密方案。

关于改进的分层门限访问结构(M_V,ρ)的效率分析：

在TamirTassa提出的分层门限秘密共享方案中，每个用户所得到的子秘密都是多项式P(x)进行若干次求导之后的函数值。例如所有处在第i层的用户u_j得到的子秘密就是多项式P(x)进行k_i-1次求导之后在u_j处的值：

而本发明的改进的分层门限访问结构(M_V,ρ)中，处于第i层的用户u_j得到的子秘密是多项式P(x)进行k_i-1次f运算之后在u_j处的值。

若假设q是矩阵M_v的列坐标，0≤q≤t，在传统方案的矩阵M_v中，用户u_j对应的行向量的各项分别为：而本发明方案对应数据为其中k_i-1≤q≤t。

除了两个方案均要计算的对于每个处于第i层的用户u_j所对应的行向量，TamirTassa提出的分层门限秘密共享方案还要额外进行(t-k_i-1+1)×k_i-1次的模乘运算，而本发明的改进的分层门限访问结构(M_V,ρ)就可以省去这些模乘运算，这样大大减少了运算量。

对于本领域的技术人员来说，可以根据以上的技术方案和构思，作出各种相应的改变和变形，而所有的这些改变和变形都应该包括在本发明权利要求的保护范围之内。

Claims (4)

1.一种分层属性加密方案，包含消息M；其特征在于，所述方案包括如下步骤：

S1初始化建立算法：首先输入包含所有属性的属性集合U，属性在不同的分层中；然后选择一个阶为N＝p₁p₂p₃双线性复合群G，p₁、p₂、p₃为不相同的素数，令表示阶为p_i的子群，i＝1,2,3；然后选择随机指数a和α、随机群元素其中，a,α∈Z_N，Z_N表示1至N的整数；对于U中的|U|个属性元素，选择对应的群元素则公共参数PK和主密钥MSK分别为:

PK＝{N,g,g^α,e(g,g)^a,h₁,......,h_|U|}；

MSK＝{α,X₃}；

其中，e(g,g)^a表示双线性对；

S2令属性集合S为属性集合U的分层子集，根据属性集合S、公共参数PK、消息M和一个提前生成的分层门限访问结构(M_V,ρ)将属性集合U所有层次的属性均用一个表达式进行加密得到密文CT，其中，函数ρ表示分层访问结构M_V中的行到属性的映射；令属性集合S的每一层的属性数量超过该层门限，使S满足分层的访问结构；

S3通过主密钥MSK和属性集合S，结合步骤S1中的子群生成密钥SK；

S4通过访问结构M_V对应的密文CT和属性集合S对应的密钥SK恢复出消息；

步骤S2中，所述分层门限访问结构(M_V,ρ)的生成方法具体如下：

1)系统初始化

定义函数f的运算规则如下：每进行一次f运算，就将多项式的常数项变为0，自变量的系数不变，次数减1，设a、b、c、d为确定的常实数，则有：

f(a+bx+cx^d)＝0+b+cx^d-1；

f(1+2x+3x⁴)＝0+2+3x³；

设(k，n)是一个分层的秘密共享系统，主要由一个秘密分发者D和n个参与者组成，属性集合U是n个参与者的集合，且包含m+1个层次，即其中对于i≠j，U_i∩U_j＝φ；令是一个单调递增的整数序列0＜k₀＜k₁＜...＜k_m，并且k_m-1＜k_m-1，k_i是每一层的门限值，则(k，n)分层的门限访问结构就是要为属性集合U中每个参与者u分配秘密信息s的一个秘密份额σ(u)，使其满足以下访问结构：

满足上式所描述的访问结构的分层的参与者子集S称为授权子集，可以恢复秘密信息s，而不满足上述访问结构的任何参与者子集S将无法获得关于秘密信息s的任何信息；

2)子秘密分发

秘密分发者D任意选取t-1个随机数a₁,...,a_t-1和一个大素数q，然后构造多项式P(x)＝s+a₁x+...+a_t-1x^t-1，其中s是需要被共享的秘密信息s；系统中的每个参与者u对应域里面的一个元素表示其身份，用u_j表示，D根据参与者所处的层次i计算参与者的秘密份额其中：

P₀(x)＝P(x)；

P₁(x)＝f¹(P(x))＝f(P(x))；

P_i(u)＝f(P_i-1(u))；

表示多项式P(x)经过k_i-1次f运算后在域元素u_j处的值；k_i-1是第i-1层的门限值且令k_-1＝0，D公开l_m表示第m层中拥有属性集合S的元素数量；

3)秘密恢复

令|S|表示S所具有的元素数量，设定满足：

…

其中，U₀,…,U_m表示集合U的第0至m层，0≤l₀≤l₁≤...≤l_m＝|S|，当且仅当对于所有的0≤i≤m，l_i≥k_i，S为一个授权子集，即符合访问结构，则S中所有的参与者合作时，可以组成系数矩阵M_V，其中系数矩阵按行编写为：

S中的所有参与者可以合作解出如下的方程组：

即：

可以看出，若S满足访问结构，就可以重构出多项式P(x)，从而恢复出秘密信息s；进一步，这个访问结构可以等价于分层矩阵的LSSS的访问结构，即令被定义为I＝{j：ρ(j)∈S}，如果令是秘密信息s的一个子秘密，则存在常数{ω_j∩Z_N}使得∑_j∈Iω_jλ_j＝s，其中，Z_N表示1到N的整数集合；ω_j在秘密共享生成矩阵M_V大小的多项式时间内总可以被找到，就可以恢复出来秘密信息s。

2.根据权利要求1所述的分层属性加密方案，其特征在于，步骤S2中具体包括如下步骤：

1)对于属性集合U的层次数i∈{0,...,m}，设定j＝l_i-1+c，l_-1＝0，c为常数，表示第i层的第c个属性，即属性集合U中的第j个属性对应于第i层的第c个属性；

2)选择随机数

3)将所有层次的属性通过以下表达式进行加密得出密文CT：

其中，h_ρ(j)表示与属性集合U中的第ρ(j)个属性元素对应的群元素，ρ(j)表示属性集合U中第j 层的属性到访问结构M_v的第j行的映射，r_x为步骤2)定义的随机数；C表示消息 M嵌入的密文段。

3.根据权利要求1所述的分层属性加密方案，其特征在于，步骤S3中，生成密钥SK的方法具体为：

选择一个随机数t∈Z_N和随机元素R₀,R'₀,并按下式生成的密钥SK：

其中，h_i表示与属性集合U中的第i个属性元素对应的群元素。

4.根据权利要求1所述的分层属性加密方案，其特征在于，步骤S4中，恢复出消息M具体方法为：

1)利用混合阶双线性群的正交性计算下面式子：

则消息M＝C/M'＝Me(g,g)^αs/e(g,g)^αs；

其中，R₀,R'₀,为随机元素，C'、C_j、D_x为步骤S2中得到的密文CT的部分，K、L、K_ρ(j)为步骤S3中得到的密钥SK的部分，h_ρ(j)表示与属性集合U中的第ρ(j)个属性元素对应的群元素。