CN107241321A

CN107241321A - 一种个人医疗信息隐私保护方法

Info

Publication number: CN107241321A
Application number: CN201710386407.6A
Authority: CN
Inventors: 王鑫; 张选德; 张楠
Original assignee: Shaanxi University of Science and Technology
Current assignee: Hangzhou Huaxing Technology Co.,Ltd.
Priority date: 2017-05-26
Filing date: 2017-05-26
Publication date: 2017-10-10
Anticipated expiration: 2037-05-26
Also published as: CN107241321B

Abstract

本发明一种个人医疗信息隐私保护方法，基于具有一般访问控制结构的秘密分享，在云存储模式下，以患者为中心进行电子病历安全访问，具有监督功能；为达到以患者为中心的安全存储，借鉴了CP‑ABE的结构框架，根据监督群组数，设立秘密的个数，将秘密嵌入到密文中，密文恢复时，秘密份额分配给各组中用户，其中，在隐藏与病情无关的患者敏感信息时，采用了Bloom Filter对隐私信息进行隐藏，为了防止群组中用户进行共谋，采用RS码纠错技术检测欺骗行为和识别欺骗者。

Description

一种个人医疗信息隐私保护方法

技术领域

本发明属于信息安全技术领域，特别涉及一种个人医疗信息隐私保护方法。

背景技术

随着医疗事业的蓬勃发展，相对于传统纸质病例，电子病历有许多好处。以病人为中心的医疗病例的隐私/安全保护也成为医疗工业界信息化发展的迫切需求。

在云技术创新发展趋势的有力推动下，云计算、云存储的数据共享技术成为允许文件拥有者方便存储，用户方便访问的有前途的一种技术。然而，在存储、共享数据时，文件拥有者越来越关心存储的隐私和数据的可靠访问。本发明，对比于现有数据共享方案，重点介绍了安全可靠云数据共享服务，特别的，将研究隐私保护和可抗共谋、可识别欺骗者的的功能要求，具体体现以下几方面。

1、由于病人的病例在存储时，与病情无关、但会涉及病人的个人隐私的一些信息，如姓名、电话、身份证号码、家庭住址等，因此在电子病历资料的存储时，需要对这部分信息进行隐私处理；

2、患者的医疗病历由患者本人以密文形式安全存储于服务器，例如云服务器，文件拥有者(owner)并对可访问用户进行授权；

3、在某些特殊场合(车祸、非正常死亡、医疗理赔等)，因工作需要，如，医疗取证时，患者电子病历资料应该能够被查看，特别的，为了公平和公正，防止病历信息外泄、被不法分子利用，做出一些影响公允判定的行为，因此，病例信息的访问需要在一种具有相互监督的机制下进行，以及当有参与者共谋时，可以发现并指出欺骗者。

发明内容

为了克服上述现有技术的缺点，本发明的目的在于提供一种个人医疗信息隐私保护方法，基于具有一般访问控制结构的秘密分享，在云存储模式下，以患者为中心进行电子病历安全访问，具有监督功能；为达到以患者为中心的安全存储，借鉴了CP-ABE的结构框架，根据监督群组数，设立秘密的个数，将秘密嵌入到密文中。密文恢复时，秘密份额分配给各组中用户。其中，在隐藏与病情无关的患者敏感信息时，采用了Bloom Filter对隐私信息进行隐藏。为了防止群组中用户进行共谋，采用RS码纠错技术检测欺骗行为和识别欺骗者。

为了实现上述目的，本发明采用的技术方案是：

一种个人医疗信息隐私保护方法，包括如下步骤：

(1)系统初始化

密钥生成中心(The public key generation，PKG)选择一个大素数，取素数阶为p的两个循环群G₁和G₂，G₁中两个独立的生成元g，e为一个双线性映射，定义为从二元向量G₁×G₁到群G₂上的映射：e:G₁×G₁→G₂，一个单射函数μ:GF(p)×{1,…,n}→GF(q)和抗碰撞的哈希函数H(·)，其中所述双线性映射e，满足下列性质：

(a)双线性性：对所有的整数a和b，均有e(g^a,g^b)＝e(g,g)^ab；

(b)非奇异性：e(g,g)≠1；

然后执行如下步骤：

(1.1)用户ID_i向PKG注册，设表示非零整数集合，用户ID_i随机选取非零整数作为自己的私钥，然后计算g的幂作为自己公钥；

(1.2)设将要分享某文件的所有用户的集合为U，为便于对用户的管理，PKG按照用户身份的属性，取一个分组函数通过该函数对用户集合U划分为N个不同的用户群组，分别记为U₁,…,U_N，则有U＝U₁∪…∪U_N；对用户ID_i，通过划分函数将用户ID_i划分到群组1～N中，即则为用户所在组的标识，设则也称用户ID属于群组k，群组也记为U_k；公式中箭头表示“到”，→是从集合出发，是从元素出发；

(1.3)然后，PKG为群组随机选取指数a_k,α_k∈Z_p，k∈{1,…,N}其中Z_p表示模p整数集；

(1.4)计算系统公共参数：系统主密钥为：MSK＝{α₁,…,α_N}；其中μ是一个单射函数，q是群G₁中的人一个元素；

(2)密文产生

(2.1)文件拥有者(owner)对每组用户选择一个整数张成矩阵和一个随机指数s₁,…,s_N作为该组要分享的秘密，对划分后的群组设该组用户数为l_k，该群组对应的整数张成记为(M_k,ρ_k)，其中ρ_k是矩阵M_k的行标记函数，ρ_k,j表示M_k的第j行，文件拥有者选取N个随机指数{s_k|k∈{1,…,N}}对数据加密，指数为随机选取，用于设计该组用户将要分享的组秘密，计算密文其中C₀表示密文C的第1项，密文第2项记为C₁，……，密文第N+1项记为C_N；

(2.2)文件拥有者为保护个人隐私，采用属性名和属性值相分离的方式将个人属性信息匿名处理，设文件拥有者的个人隐私记录为对应属性名称信息为AttName_owner＝(Att₁,…,Att_k)，其中Att₁,…,Att_k为拥有者隐私信息的名称，例如姓名，电话，住址，为每一个名称的实际值，例如张三，15353121287，北京昌平区，文件拥有者为保护隐私信息，首先选取一个哈希函数H(·)，将属性取值代入到哈希函数中，计算出个人标签Tag_owner＝H(AttValue_owner)，然后选取o个哈希函数，将个人标签代入这o个哈希函数中，构造一个布鲁姆过滤器Bloom filter函数BF_datafile＝BF(Tag_owner)＝[h₁(Tag_owner),h₂(Tag_owner),…,h_o(Tag_owner)]；

(2.3)文件拥有者将经上述得到的Bloom filter函数BF_datafile作为文件标签，与每个群组的整数张成记(M_k,ρ_k)，以及产生的密文C₀,…,C_N，一起构成含个人标签的密文文件<BF_datafile,(M_k,ρ_k),C₀,C_k>_k＝₁～_N以匿名形式上传至云服务器；

(2.4)最后，每个文件是以如下形式存储于云服务器上：

(3)密钥产生及分配

设用户ID_i经群组划分，所在群组为记录用户ID_i在群组中，需要为群组中的用户重新编号，设用户ID_i在群组中序号为j，记用户编号为也记为ID_i→j；

(3.1)用户ID_i随机选取作为自己的私钥，然后计算作为公钥；

(3.2)文件拥有者按用户所在群组U_k向用户ID_i颁发密钥：

a)文件拥有者对该组用户取一整数张成为(M_k,ρ_k)，其中文件拥有者随机选取一个向量作为秘密向量，其中s_k为文件拥有者对该群组中的用户进行分享的秘密，计算秘密分享的份额向量其中是矩阵M_k中的第i个行向量；

b)文件拥有者计算用户私钥及份额验证码

c)文件拥有者随机选取一个t次多项式R_k(x)∈GF_q(x)和利用单射函数μ:GF(p)×{1,…,n}→GF(q)，计算将结果记为也记为

d)文件拥有者从PKG获得用户ID_i的公钥将安全传输给用户ID_i；

(3.3)用户ID_i对接收到的秘密份额利用私钥对SK_i→j解密：

a)用户首先利用份额验证信息以及公钥验证等式：是否成立；

b)对SK_i→j，利用个人私钥计算

c)用户ID_i得到自己的解密密钥

(4)数据解密

记群组的一个授权用户集合为A_k，则N个群组所对应的N个授权用户集合即为

(4.1)所述授权用户利用公开的哈希函数H(·)，根据所知道的文件拥有者的个人隐私记录AttValue_owner计算想要解密的数据文件的用户(owner)的标签：Tag_owner＝H(AttValue_owner)，提交给云服务器；

(4.2)云服务器接收到标签Tag_owner：

a)根据Tag_owner首先验证该标签Tag_owner是否满足密文记录信息对应的Bloom过滤器BF[h₁(Tag_owner)]＝BF[h₂(Tag_owner)]＝…＝BF[h_o(Tag_owner)]＝1

b)如果满足，将相应的密文文件<BF_datafile,(M_k,ρ_k),C₀,C_k>_k＝1～N发送给授权用户集A_k；

(4.3)群组A_k中的所有用户提交个人密钥信息按如下方式解密密文数据：

a)由利用RS码的Berlekamp算法，重构

b)每个群组对该组用户提交的份额检测是否成立，若不成立，则为一个伪造份额，将ID_i→j加入到欺骗者名单L_k；每个群组都以此方法识别欺骗者，并使欺骗者交出正确秘密份额；

(4.4)如果所有授权集合中都没有欺骗者，则授权用户按如下方式共同解密密文：

a)授权集合A_k中的用户首先选择常数β_k，满足其中k＝1～N；

b)计算的盲化因子：

最后，利用密文第1项C₀再解出消息

与现有技术相比，本发明的有益效果是：

与现有的数据分享方案相比，该方案可提供如下方面的安全性和效率优势：

1)云服务器可以通过数据文件标签辅助搜索记录，而对数据的所有者的明文和所有者的个人敏感信息一无所知。

2)可以访问数据文件的用户是由数据所有者授权的，他可以验证由所有者发送的密钥，未授权用户得不到数据文件的任何明文信息。

3)可有效识别提供虚假解密密钥的不诚实的云用户，从而使密文在这些用户的监督下能够安全、正确地解密。

附图说明

图1是Bloom过滤器保护文件拥有者个人隐私示意图。

图2是本发明方案总体示意图。

图3是本发明文件存储于云服务器上的结构示意图。

具体实施方式

下面结合附图和实施例详细说明本发明的实施方式。

首先介绍理解本发明所需具备的预备知识：

1、双线性映射

设G₁和G₂是素数阶为p的两个循环群，g是G₁的生成元，取映射e:G₁×G₁→G₂，称e是一个双线性映射，它满足下列性质：

(1)双线性性：对所有的a和b，均有e(g^a,g^b)＝e(g,g)^ab。

(2)非奇异性：e(g,g)≠1。

2、访问结构和单调张成

定义1访问结构

设{P₁,P₂,…,P_n}是一组参与方。集合是单调的，如果对有和则有访问结构(也称之为单调访问结构)设是{P₁,P₂,…,P_n}的一个非空子集的集合，即集合中的集合称为授权集，而不包括的集合称为非授权集。

一个线性秘密共享方案可以实现一个访问结构，分配者持有秘密y并将y分配给用户，使得y可以从这些授权集的份额经线性组合重构。然而，一个未经授权的组合是得不到秘密的任何信息的。

访问结构和正是张成具有紧密联系。

定义2单调张成

设是一个域，{x₁,…,x_n}是一组变量。上张成方案是一个标记矩阵M是上矩阵，ρ是M的行标函数，将M的行对应着{x₁,…,x_n}中的一个。

3、Bloom过滤器

Bloom过滤器是一个简单有效的随机数据存储结构，它是由一组hash函数BF(x)＝(h₁(x),…,h_k(x))构成，满足两个运算：add(x)和query(x)，在本发明中x标示文件拥有者的标签Tag_owner。在本发明中，利用Bloom过滤器隐藏文件拥有者的个人敏感信息，图1给出了一个例子：设文件拥有者的姓名是Smith，移动电话是13387861910，家庭住址72nd Street,Jackson Heights,New York，设一般个人隐私信息的属性名称为AttName_owner＝(Name,TelephoneNumber,Address)，则该文件拥有者的隐私取值为AttValueo_wner＝(Smith||13387861910||72nd Street,Jackson Heights,New York)，则文件标签为Tag_owner＝H(AttValue_owner)，通过文件标签Tag_owner，构造了文件的Bloom过滤器BF_datafile＝BF(Tag_owner)，在图1中令

4、Reed-Solomon码

在编码理论中RS码可以用来纠随机信息错误。McEliece和Sarwate曾指出Shamir的秘密分享方案非常接近于RS纠错编码，一个(k,n)秘密分享的份额构成了RS码的一个码字，因此，可得出结论：k+2t个份额可纠t个错误。通过Lagrange插值，容易看出一个k-1次的多项式f(x)，可以由f(1),…,f(n)唯一确定，当且仅当n≥k+2t，其中t是欺骗者的个数。早在2011年，Obana设计了一个有效的无条件安全的秘密分享，满足在(k-1)/3≥t条件下，可识别出t个欺骗者。

基于以上预备知识，参考图2，本发明执行过程如下：

1、系统初始化

密钥生成中心(Thepublickeygeneration，PKG)选择一个大素数，取阶数为p的群G₁和G₂，G₁中两个独立的生成元g，双线性映射e:G₁×G₁→G₂，以及一个单射函数μ:GF(p)×{1,…,n}→GF(q)(例如μ(x,y)＝(y-1)p+x，其中p,q为素数)，和抗碰撞的哈希函数H(·)。

(1.1)用户ID_i向PKG注册。用户ID_i随机选取作为自己的私钥，然后计算作为自己公钥。

(1.2)设将要分享该文件的所有用户的集合为U。为便于对用户的管理，PKG按照用户身份的属性，取一个分组函数通过该函数对用户集合U划分为N个不同的用户群组，如：医生组，亲属组，律师组等，分别记为U₁,…,U_N，则有U＝U₁∪…∪U_N。对用户ID，则有设即经过划分，用户ID属于群组为简便起见，称为用户所在组的标识，简记为U_k。

(1.3)然后，对群组PKG为群组U_k随机选取指数a_k,α_k∈Z_p，

(1.4)计算系统公共参数：系统主密钥为：MSK＝{α₁,…,α_N}。

2、密文产生(数据/文件共享)

(2.1)文件拥有者对每组用户选择一个整数张成矩阵和一个随机指数作为该组要分享的秘密。对划分后的群组U_k，设该组用户数为l_k，该群组对应的整数张成记为(M_k,ρ_k)，其中ρ_k是矩阵M_k的行标记函数，ρ_k,j表示M_k的第j行。文件拥有者选取N个随机指数{s_kk∈{1,…,N}}对数据加密，指数为随机选取，用于设计该组用户将要分享的组秘密。计算密文

(2.2)文件拥有者为保护个人隐私，将个人属性信息，如姓名、电话、住址等信息，匿名处理，这里采用属性名和属性值相分离的技巧。例如，文件拥有者姓名为Smith，移动电话是13387861910，家庭住址是72nd Street,Jackson Heights,New York。如果设文件拥有者的个人隐私记录为对应属性名称信息为AttNameo_wner＝(Att₁,…,Att_k)。则，该例子中属性名为

AttName_owner＝(Name,TelephoneNumber,Address)，

属性值为

AttValueo_wner＝(Smith||13387861910||72nd Street,Jackson Heights,NewYork)。

文件拥有者为保护隐私信息，首先计算个人标签Tag_owner＝H(AttValue_owner)，然后构造一个Bloomfilter函数BF_datafile＝BF(Tag_owner)。

(2.3)文件拥有者将包含个人标签的将密文信息

<BF_datafile,(M_k,ρ_k),C₀,C_k>_k＝1～N

以匿名形式上传至云服务器。

(4)最后，每个文件是以图3所示形式存储于云服务器上。

3、密钥产生及分配

设用户ID_i经群组划分，所在群组U_k。为记录用户ID_i在群组U_k中，需要为群组U_k中的用户重新编号。不妨设用户ID_i在群组U_k中序号为j，为不至于产生混淆，记用户编号为也简记为ID_i→j。

(3.1)用户ID_i随机选取作为自己的私钥，然后计算作为公钥。

(3.2)文件拥有者按用户所在群组U_k向用户ID_i颁发密钥。

a)文件拥有者对该组用户取一整数张成为(M_k,ρ_k)，其中文件拥有者随机选取一个向量作为秘密向量，其中s_k为文件拥有者对该群组U_k中的用户进行分享的秘密。计算秘密分享的份额向量其中是矩阵M_k中的第i个行向量。

b)文件拥有者计算用户私钥及份额验证码

c)文件拥有者随机选取一个t次多项式R_k(x)∈GF_q(x)和利用单射函数μ:GF(p)×{1,…,n}→GF(q)，计算将结果记为简记为

d)文件拥有者从PKG获得用户ID_i的公钥h_IDi，将安全传输给用户ID_i。

(3.3)用户ID_i对接收到的秘密份额利用私钥对SK_i→j解密：

a)用户首先利用份额验证信息以及公钥验证等式：也即是否成立。

b)对SK_i→j，利用个人私钥计算

c)用户ID_i得到自己的解密密钥

4、数据解密

记群组U_k的(一个)授权用户集合为A_k，则N个群组所对应的N个授权用户集合即为

(4.1)(这些)授权集合利用H(·)，计算想要解密的数据文件的用户(owner)的标签：Tag_owner＝H(AttValue_owner)，提交给云服务器。

(4.2)云服务器接收到标签Tag_owner。

a)根据Tag_owner首先验证是否满足密文(记录)信息对应的Bloom过滤器

BF[h₁(Tag_owner)]＝BF[h₂(Tag_owner)]＝…＝BF[h_o(Tag_owner)]＝1。

b)如果满足，将相应的密文文件<BF_datafile,(M_k,ρ_k),C₀,C_k>_k＝1～N发送给授权用户集A_k。

(4.3)A_k中的所有用户提交个人密钥信息按如下方式解密密文数据。

a)由利用RS码的Berlekamp算法，重构

b)每个群组U_k对该组用户提交的份额检测是否成立，若不成立，则为一个伪造份额，将ID_i→j加入到欺骗者名单L_k。每个群组都可此方法识别欺骗者，并使欺骗者交出正确秘密份额。

(4.4)如果所有授权集合中都没有欺骗者，则授权用户按如下方式共同解密密文(若任一个授权集合中有用户提供伪造份额，则导致该群组份额错误，从而导致密文解密失败)。

a)授权集合A_k中的用户首先选择常数β_k，满足其中k＝1～N。

b)计算的盲化因子：

最后，利用密文第1项C₀再解出消息

Claims

1.一种个人医疗信息隐私保护方法，其特征在于，包括如下步骤：

(1)系统初始化

密钥生成中心(The public key generation，PKG)选择一个大素数，取素数阶为p的两个循环群G₁和G₂，G₁中两个独立的生成元g,e为一个双线性映射，定义为从二元向量G₁×G₁到群G₂上的映射：e:G₁×G₁→G₂，一个单射函数μ:GF(p)×{1,…,n}→GF(q)和抗碰撞的哈希函数H(·)，其中所述双线性映射e，满足下列性质：

(a)双线性性：对所有的整数a和b，均有e(g^a,g^b)＝e(g,g)^ab；

(b)非奇异性：e(g,g)≠1；

然后执行如下步骤：

(2)密文产生

(2.2)文件拥有者为保护个人隐私，采用属性名和属性值相分离的方式将个人属性信息匿名处理，设文件拥有者的个人隐私记录为对应属性名称信息为AttName_owner＝(Att₁,…,Att_k)，其中Att₁,…,Att_k为拥有者隐私信息的名称，为每一个名称的实际值，文件拥有者为保护隐私信息，首先选取一个哈希函数H(·)，将属性取值代入到哈希函数中，计算出个人标签Tag_owner＝H(AttValue_owner)，然后选取o个哈希函数，将个人标签代入这o个哈希函数中，构造一个布鲁姆过滤器Bloom filter函数BF_datafile＝BF(Tag_owner)＝[h₁(Tag_owner),h₂(Tag_owner),…,h_o(Tag_owner)]；

(2.3)文件拥有者将经上述得到的Bloom filter函数BF_datafile作为文件标签，与每个群组的整数张成记(M_k,ρ_k)，以及产生的密文C₀,…,C_N，一起构成含个人标签的密文文件BF_datafile,(M_k,ρ_k),C₀,C_kk＝1～N以匿名形式上传至云服务器；

(2.4)最后，每个文件是以如下形式存储于云服务器上：

(3)密钥产生及分配

(3.1)用户ID_i随机选取作为自己的私钥，然后计算作为公钥；

(3.2)文件拥有者按用户所在群组U_k向用户ID_i颁发密钥：

b)文件拥有者计算用户私钥及份额验证码

d)文件拥有者从PKG获得用户ID_i的公钥将安全传输给用户ID_i；

(3.3)用户ID_i对接收到的秘密份额利用私钥对SK_i→j解密：

b)对SK_i→j，利用个人私钥计算

c)用户ID_i得到自己的解密密钥

<mrow> <msub> <mi>DK</mi> <mrow> <mi>i</mi> <mo>&RightArrow;</mo> <mi>j</mi> </mrow> </msub> <mo>=</mo> <mo>{</mo> <msub> <mi>K</mi> <mrow> <msub> <mi>ID</mi> <mrow> <mi>i</mi> <mo>&RightArrow;</mo> <mi>j</mi> </mrow> </msub> </mrow> </msub> <mo>=</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>a</mi> <mi>k</mi> </msub> <mo>&CenterDot;</mo> <msub> <mi>&lambda;</mi> <msub> <mi>k</mi> <mi>j</mi> </msub> </msub> </mrow> </msup> <mo>,</mo> <msubsup> <mi>K</mi> <mi>k</mi> <mo>&prime;</mo> </msubsup> <mo>=</mo> <msup> <mi>g</mi> <msub> <mi>&alpha;</mi> <mi>k</mi> </msub> </msup> <mo>&CenterDot;</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>a</mi> <mi>k</mi> </msub> <mo>&CenterDot;</mo> <msub> <mi>t</mi> <mi>k</mi> </msub> </mrow> </msup> <mo>,</mo> <msubsup> <mi>K</mi> <mi>k</mi> <mrow> <mo>&prime;</mo> <mo>&prime;</mo> </mrow> </msubsup> <mo>=</mo> <msup> <mi>g</mi> <msub> <mi>t</mi> <mi>k</mi> </msub> </msup> <mo>,</mo> <msub> <mi>&Omega;</mi> <mrow> <msub> <mi>ID</mi> <mrow> <mi>i</mi> <mo>&RightArrow;</mo> <mi>j</mi> </mrow> </msub> </mrow> </msub> <mo>,</mo> <msub> <mi>v</mi> <msub> <mi>R</mi> <mrow> <msub> <mi>ID</mi> <mrow> <mi>i</mi> <mo>&RightArrow;</mo> <mi>j</mi> </mrow> </msub> </mrow> </msub> </msub> <mo>}</mo> <mo>;</mo> </mrow>

(4)数据解密

(4.2)云服务器接收到标签Tag_owner：

a)由利用RS码的Berlekamp算法，重构

a)授权集合A_k中的用户首先选择常数β_k，满足其中k＝1～N；

b)计算的盲化因子：

<mfenced open = "" close = ""> <mtable> <mtr> <mtd> <mfrac> <mrow> <munderover> <mi>&Pi;</mi> <mrow> <mi>k</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mi>e</mi> <mrow> <mo>(</mo> <mrow> <msub> <mi>C</mi> <mi>k</mi> </msub> <mo>,</mo> <msubsup> <mi>K</mi> <mi>k</mi> <mo>&prime;</mo> </msubsup> </mrow> <mo>)</mo> </mrow> </mrow> <mrow> <munderover> <mi>&Pi;</mi> <mrow> <mi>k</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mrow> <mo>(</mo> <mrow> <munderover> <munder> <mi>&Pi;</mi> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> </munder> <mrow> <msub> <mi>ID</mi> <mrow> <mi>i</mi> <mo>&RightArrow;</mo> <mi>j</mi> </mrow> </msub> <mo>&Element;</mo> <mi>A</mi> <mi>k</mi> </mrow> <msub> <mi>l</mi> <mi>k</mi> </msub> </munderover> <mrow> <mo>(</mo> <mrow> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <msub> <mi>Sh</mi> <mrow> <msub> <mi>ID</mi> <mrow> <mi>i</mi> <mo>&RightArrow;</mo> <mi>j</mi> </mrow> </msub> </mrow> </msub> <mo>,</mo> <msubsup> <mi>K</mi> <mi>k</mi> <mrow> <mo>&prime;</mo> <mo>&prime;</mo> </mrow> </msubsup> </mrow> <mo>)</mo> </mrow> <msub> <mi>&beta;</mi> <mi>k</mi> </msub> </msup> </mrow> <mo>)</mo> </mrow> </mrow> <mo>)</mo> </mrow> </mrow> </mfrac> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <mfrac> <mrow> <munderover> <mi>&Pi;</mi> <mrow> <mi>k</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mi>e</mi> <mrow> <mo>(</mo> <mrow> <msup> <mi>g</mi> <msub> <mi>s</mi> <mi>k</mi> </msub> </msup> <mo>,</mo> <msup> <mi>g</mi> <msub> <mi>&alpha;</mi> <mi>k</mi> </msub> </msup> <msup> <mi>g</mi> <mrow> <msub> <mi>a</mi> <mi>k</mi> </msub> <mo>&CenterDot;</mo> <msub> <mi>t</mi> <mi>k</mi> </msub> </mrow> </msup> </mrow> <mo>)</mo> </mrow> </mrow> <mrow> <munderover> <mi>&Pi;</mi> <mrow> <mi>k</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mrow> <mo>(</mo> <mrow> <munderover> <munder> <mi>&Pi;</mi> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> </munder> <mrow> <msub> <mi>ID</mi> <mrow> <mi>i</mi> <mo>&RightArrow;</mo> <mi>j</mi> </mrow> </msub> <mo>&Element;</mo> <msub> <mi>A</mi> <mi>k</mi> </msub> </mrow> <msub> <mi>l</mi> <mi>k</mi> </msub> </munderover> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <msup> <mi>g</mi> <mrow> <msub> <mi>a</mi> <mi>k</mi> </msub> <mo>&CenterDot;</mo> <msub> <mi>&lambda;</mi> <msub> <mi>k</mi> <mi>j</mi> </msub> </msub> </mrow> </msup> <mo>,</mo> <msup> <mi>g</mi> <msub> <mi>t</mi> <mi>k</mi> </msub> </msup> </mrow> <mo>)</mo> </mrow> <msub> <mi>&beta;</mi> <mi>k</mi> </msub> </msup> </mrow> <mo>)</mo> </mrow> </mrow> </mfrac> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <munderover> <mi>&Pi;</mi> <mrow> <mi>k</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <mfrac> <mrow> <mi>e</mi> <mrow> <mo>(</mo> <mrow> <msup> <mi>g</mi> <msub> <mi>s</mi> <mi>k</mi> </msub> </msup> <mo>,</mo> <msup> <mi>g</mi> <msub> <mi>&alpha;</mi> <mi>k</mi> </msub> </msup> </mrow> <mo>)</mo> </mrow> <mo>&CenterDot;</mo> <mi>e</mi> <mrow> <mo>(</mo> <mrow> <msup> <mi>g</mi> <msub> <mi>s</mi> <mi>k</mi> </msub> </msup> <mo>,</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>a</mi> <mi>k</mi> </msub> <mo>&CenterDot;</mo> <msub> <mi>t</mi> <mi>k</mi> </msub> </mrow> </msup> </mrow> <mo>)</mo> </mrow> </mrow> <mrow> <mo>(</mo> <mrow> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <munderover> <munder> <mi>&Pi;</mi> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> </munder> <mrow> <msub> <mi>ID</mi> <mrow> <mi>i</mi> <mo>&RightArrow;</mo> <mi>j</mi> </mrow> </msub> <mo>&Element;</mo> <msub> <mi>A</mi> <mi>k</mi> </msub> </mrow> <msub> <mi>l</mi> <mi>k</mi> </msub> </munderover> <msub> <mi>a</mi> <mi>k</mi> </msub> <mo>&CenterDot;</mo> <msub> <mi>&lambda;</mi> <msub> <mi>k</mi> <mi>j</mi> </msub> </msub> <mo>&CenterDot;</mo> <msub> <mi>&beta;</mi> <mi>k</mi> </msub> <mo>&CenterDot;</mo> <msub> <mi>t</mi> <mi>k</mi> </msub> </mrow> </msup> </mrow> <mo>)</mo> </mrow> </mfrac> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <munderover> <mi>&Sigma;</mi> <mrow> <mi>k</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>N</mi> </munderover> <msub> <mi>&alpha;</mi> <mi>k</mi> </msub> <mo>&CenterDot;</mo> <msub> <mi>s</mi> <mi>k</mi> </msub> </mrow> </msup> </mrow> </mtd> </mtr> </mtable> </mfenced>

最后，利用密文第1项C₀再解出消息