CN107276766A - 一种多授权属性加解密方法 - Google Patents

Abstract

一种多授权属性加解密方法，包括系统初始化、数据加密、密钥分发和解密密文等步骤。本发明有益效果：解决了大型属性加密系统中访问结构稀疏所带来的加解密运算消耗大，存储空间占用率高的问题，弥补了其他方案在这一方面的不足；同时在本发明中不仅解决了计算效率和数据存储利用率的问题，还具有抗共谋攻击和选择明文攻击的安全性。

Description

一种多授权属性加解密方法

技术领域

本发明涉及加解密领域，具体地说是一种多授权属性加解密方法。

背景技术

作为一种新型的密码体制算法，基于属性的加密方法在云存储技术、社交网络、在线点播等领域得到了广泛关注与应用。相比于传统的加密算法来说，基于属性的加密算法不仅实现了细粒度的访问控制，还可以制定更加灵活的访问控制策略。

基于属性的加密算法(Attribute Based Encryption，ABE)，它将用户的一系列身份信息看作是数据加解密的输入，只有满足数据拥有者所制定的访问控制策略的用户才可以获得数据信息，从而解决了以往加密算法无法实现一对多通信的难题，同时数据拥有者还可以针对数据接受者的一系列身份信息(用户属性)制定灵活的授权策略，因此基于属性的加密算法得到了广泛的关注。

之前所提出的ABE方案大多是单一授权结构的，但由于网络通信量的快速增长，单一授权机构的工作效率渐渐难以满足用户的需求；同时，在多属性授权机构方案中中央授权机构(Central Authority，CA)往往掌握全局的主密钥(Master Key，MK)，一旦CA受到攻击，全局的MK将遭到泄露从而导致系统的不安全。针对以上问题，有学者提出了一种去中心的多授权机构ABE方案，在该方案中，存在多个CA和多个属性授权机构(AttributeAuthorities，AA)，在实现授权时由多个CA合作授权用户身份密钥；但该方案中隐藏了密文中的授权访问结构，所以必须将所有属性授权机构所包含的属性全部参与计算，虽然保证了密文的长度恒定，但却对大规模属性系统实现困难。在大规模属性加密系统中，用户所指定的访问策略所包含的属性规模往往远小于系统提供的属性规模，这里称之为“访问结构稀疏”或是“small AND gates”。

所以针对上述问题，本发明提出了一种新型的多授权属性加解密方法。

发明内容

本发明所要解决的技术问题是提供一种多授权属性加解密方法，解决在大型属性加密系统中访问结构稀疏所带来的加解密运算消耗大，存储空间占用率高的问题。

本发明为解决上述技术问题所采用的技术方案是一种多授权属性加解密方法，包括以下步骤：

步骤一、系统初始化：包括层级属性机构属性访问树Γ的构建、系统参数生成、中央授权机构初始化和属性授权机构初始化四个方面；

(1)系统参数生成：在系统内输入一个安全参数1^λ，系统调用群生成算法生成两个阶为素数p的乘法循环群G和G_T，群G的生成元为g，存在双线性映射e:G×G→G_T，同时，选取一个存在性不可伪造的签名算法Σ_sign＝(KenGen,Sign,Verify)，输出全局公开参数δ＝(e,g,G,G_T,p，Σ_sign)；

(2)层级属性访问树Γ的构建：每一个属性授权机构将域内属性进行编码，使每一个属性都有自己的索引index_i，然后建立一个平衡二叉树，该平衡二叉树的非叶结点T_[i...j]中，开始的序号为该非叶结点下对应的最左端叶节点的索引值，结束的序号为该非叶结点最右端叶节点所对应的属性值，在非偶数个属性出现时，二叉树的最右端将补充一个表达值恒为的空属性，保持属性树中所有非叶子结点的平衡；对于特定属性授权机构AA_k所建立的属性访问树定义为Γ_k，k表示特定属性授权机构AA_k的索引；

(3)中央授权机构初始化：存在若干个中央授权机构CA，CA＝{CA₁,CA₂,...,CA_l}，l表示CA的个数，每个中央授权机构独立运行初始化算法，随机选择y_d，y_d为CA_d的主密钥，存在令Y＝e(g,g)^y，其中Y为公开加密参数，调用签名算法得到验证签名密钥VerifyKey_d，CA_d的签名算法公私钥对CAPV_d，VerifyKey_d＝μ_d，CAPV_d＝(SignKey_d,μ_d)；

(4)属性授权机构初始化：存在若干个属性授权机构AA，AA＝{AA₁,AA₂,...,AA_t}，t表示AA的个数，AA负责向用户提供用户的属性相关密钥，每一个AA_j都负责管理一个属性域U_j，与任意的AA_i都有这使得每个属性仅属于一个AA管理，每个AA所管理的属性是互不冲突的。对于全局属性集全局属性授权机构随机选取其中m为全局属性域所包含的属性个数；同时，对于某个特定的属性授权机构AA_k当中的非叶结点x＝[i...j]将随机选取并存在得出属性公开参数∪Z_k,i、属性隐含参数∪z_k,i以及AA_k所对应的公开随机参数r_k，其中∪Z_k,i＝Z_k,1,...,Z_k,3n，∪z_k,i＝z_k,1,...,z_k,3n，存在其中k＝(1,2,...,t)为属性授权机构索引；

步骤二、数据加密：将欲加密的明文数据M、全局公开参数δ和用户指定的访问策略W作为输入，遍历属性授权机构建立的属性访问树Γ进行加密算法，得到加密数据CT；

步骤三、密钥分发，包括用户身份密钥分发和用户属性密钥分发：

用户身份密钥分发：用户向中央授权机构CA_d提供一个唯一身份标识GID，CA_d将属性授权机构AA生成的参数r和用户的唯一身份标识信息GID作为输入，输出身份密钥SK_CA和属性密钥生成参数Ξ；

用户属性密钥分发：用户向属性授权机构AA_k申请属性密钥，属性授权机构AA_k验证用户提供的身份信息是否正确，如果正确，属性授权机构AA_k将r_k和∪z_k,i作为输入，为用户输出一组属性密钥SK_AA，如果不正确将终止属性密钥的分发；

步骤四、解密密文：授权用户将系统提供的用户属性密钥SK_AA、用户身份密钥SK_CA和加密密文CT作为输入，系统根据用户所提供的信息运行解密算法；如果用户符合访问策略输出数据M，否则解密失败终止系统。

本发明所述步骤二中对明文数据M加密的具体方法为：

给定明文数据M，为其选定一个首次加密随机参数得到加密的明文C＝M·Y^s和C′＝g^s，用户设置一个访问控制策略其中为全局属性集合，给定一个访问控制结构遍历平衡二叉树Γ进行加密：

(1)若att_k,i和att_k,i+1为两个叶子节点，对应的属性值为i和i+1，对于每个或都存在如下关系：如果i＝+i，则有如果则有如果则有并将以上结果包含于密文当中；如果则返回0；

(2)att_k,i和att_k,i+1为两个非叶子节点，规则如下：

如果两个非叶结点att_k,i和att_k,i+1都返回1，则返回1；

如果两个非叶结点att_k,i和att_k,i+1都返回0，则返回0；

如果两个非叶结点att_k,i和att_k,i+1中，att_k,i返回0而另att_k,i+1返回1，则定义并将与所对应的节点信息写入密文当中，返回1；

最后得出加密密文CT，

本发明所述步骤三中用户身份密钥分发的方法为：系统为用户随机选取使其与用户一一对应，可得D^*＝g^y-r，Θ＝1/o_GID，最后得到CA的身份密钥SK_CA，SK_CA＝(D,D^*,Θ)，运行签名算法，对(Signkey,GID)进行签名得到用户的签名验证参数从而得到用户属性密钥生成参数Ξ，Ξ只能用于AA生成属性密钥。

本发明所述步骤三中用户属性密钥分发的方法为：

当接收到属性授权请求时，AA_k利用u_d对Ξ中的签名验证信息进行验证，如果验证失败则授权终止；

令为随机参数且r_GID,k,x＝Σr_GID,k,i，其中i为x的子节点，令用户的属性集合为存在属性当且仅当可得i＝+i；当可得i＝-i；当属性且令该属性密钥为当属性时，令该属性密钥为当时，令该属性密钥为对于非叶子节点x存在最后可得到属性私钥SK_AA，

本发明所述步骤四中解密密文的方法为：将加密密文用户属性密钥和用户身份密钥SK_CA＝(D,D^*)作为输入，从加密密文CT中提取访问控制结构将用户属性集合与访问控制结构W做判断，如果不满足W则终止解密过程，否则对所有属性进行如下解密过程：

如果节点x为叶子节点：

(1)如果属性且属性设置为则

(2)如果属性且属性设置为则

(3)如果属性i设置为Don'tCare，则

如果节点x为非叶子节点，则

将上述结果带入下式进行计算：

由此得到：明文M为

本发明的有益效果是：本发明解决了大型属性加密系统中访问结构稀疏所带来的加解密运算消耗大，存储空间占用率高的问题，弥补了其他方案在这一方面的不足；同时在本发明中不仅解决了计算效率和数据存储利用率的问题，还具有抗共谋攻击和选择明文攻击的安全性。

附图说明

图1为本发明内容流程示意图。

具体实施方式

一种多授权属性加解密方法，包括以下步骤：

步骤一、系统初始化：包括层级属性机构属性访问树Γ的构建、系统参数生成、中央授权机构初始化和属性授权机构初始化四个方面；

(1)系统参数生成：在系统内输入一个安全参数1^λ，系统调用群生成算法生成两个阶为素数p的乘法循环群G和G_T，群G的生成元为g，存在双线性映射e:G×G→G_T，同时，选取一个存在性不可伪造的签名算法Σ_sign＝(KenGen,Sign,Verify)，输出全局公开参数δ＝(e,g,G,G_T,p，Σ_sign)；

(2)层级属性访问树Γ的构建：每一个属性授权机构将域内属性进行编码，使每一个属性都有自己的索引index_i，然后建立一个平衡二叉树，该平衡二叉树的非叶结点T_[i...j]中，开始的序号为该非叶结点下对应的最左端叶节点的索引值，结束的序号为该非叶结点最右端叶节点所对应的属性值，在非偶数个属性出现时，二叉树的最右端将补充一个表达值恒为i的空属性，保持属性树中所有非叶子结点的平衡；对于特定属性授权机构AA_k所建立的属性访问树定义为Γ_k，k表示特定属性授权机构AA_k的索引；

(3)中央授权机构初始化：存在若干个中央授权机构CA，CA＝{CA₁,CA₂,...,CA_l}，l表示CA的个数，每个中央授权机构独立运行初始化算法，随机选择y_d，y_d为CA_d的主密钥，存在令Y＝e(g,g)^y，其中Y为公开加密参数，调用签名算法得到验证签名密钥VerifyKey_d，CA_d的签名算法公私钥对CAPV_d，VerifyKey_d＝μ_d，CAPV_d＝(SignKey_d,μ_d)；

(4)属性授权机构初始化：存在若干个属性授权机构AA，AA＝{AA₁,AA₂,...,AA_t}，t表示AA的个数，AA负责向用户提供用户的属性相关密钥，每一个AA_j都负责管理一个属性域U_j，都与任意的AA_i都有这使得每个属性仅属于一个AA管理，每个AA所管理的属性是互不冲突的。对于全局属性集全局属性授权机构随机选取其中m为全局属性域所包含的属性个数；同时，对于某个特定的属性授权机构AA_k当中的非叶结点x＝[i...j]将随机选取并存在得出属性公开参数∪Z_k,i、属性隐含参数∪z_k,i以及AA_k所对应的公开随机参数r_k，其中∪Z_k,i＝Z_k,1,...,Z_k,3n，∪z_k,i＝z_k,1,...,z_k,3n，存在其中k＝(1,2,...,t)为属性授权机构索引；

步骤二、数据加密：将欲加密的明文数据M、全局公开参数δ和用户指定的访问策略W作为输入，遍历属性授权机构建立的属性访问树Γ进行加密算法，得到加密数据CT；

步骤三、密钥分发，包括用户身份密钥分发和用户属性密钥分发：

用户身份密钥分发：用户向中央授权机构CA_d提供一个唯一身份标识GID，CA_d将属性授权机构AA生成的参数r和用户的唯一身份标识信息GID作为输入，输出身份密钥SK_CA和属性密钥生成参数Ξ；

用户属性密钥分发：用户向属性授权机构AA_k申请属性密钥，属性授权机构AA_k验证用户提供的身份信息是否正确，如果正确，属性授权机构AA_k将r_k和∪z_k,i作为输入，为用户输出一组属性密钥SK_AA，如果不正确将终止属性密钥的分发；

步骤四、解密密文：授权用户将系统提供的用户属性密钥SK_AA、用户身份密钥SK_CA和加密密文CT作为输入，系统根据用户所提供的信息运行解密算法；如果用户符合访问策略输出数据M，否则解密失败终止系统。

进一步，所述步骤二中对明文数据M加密的具体方法为：

给定明文数据M，为其选定一个首次加密随机参数得到加密的明文C＝M·Y^s和C′＝g^s，用户设置一个访问控制策略其中为全局属性集合，给定一个访问控制结构遍历平衡二叉树Γ进行加密：

(1)若att_k,i和att_k,i+1为两个叶子节点，对应的属性值为i和i+1，对于每个或都存在如下关系：如果i＝+i，则有如果i＝-i，则有如果则有并将以上结果包含于密文当中；如果则返回0；

(2)att_k,i和att_k,i+1为两个非叶子节点，规则如下：

如果两个非叶结点att_k,i和att_k,i+1都返回1，则返回1；

如果两个非叶结点att_k,i和att_k,i+1都返回0，则返回0；

如果两个非叶结点att_k,i和att_k,i+1中，att_k,i返回0而另att_k,i+1返回1，则定义并将与所对应的节点信息写入密文当中，返回1；

最后得出加密密文CT，

进一步，所述步骤三中用户身份密钥分发的方法为：系统为用户随机选取使其与用户一一对应，可得D^*＝g^y-r，Θ＝1/o_GID，最后得到CA的身份密钥SK_CA，SK_CA＝(D,D^*,Θ)，运行签名算法，对(Signkey,GID)进行签名得到用户的签名验证参数从而得到用户属性密钥生成参数Ξ，Ξ只能用于AA生成属性密钥。

进一步，所述步骤三中用户属性密钥分发的方法为：

当接收到属性授权请求时，AA_k利用u_d对Ξ中的签名验证信息进行验证，如果验证失败则授权终止；

令为随机参数且r_GID,k,x＝Σr_GID,k,i，其中i为x的子节点，令用户的属性集合为存在属性当且仅当可得i＝+i；当可得i＝-i；当属性且令该属性密钥为当属性时，令该属性密钥为当时，令该属性密钥为对于非叶子节点x存在最后可得到属性私钥SK_AA，

进一步，所述步骤四中解密密文的方法为：将加密密文用户属性密钥和用户身份密钥SK_CA＝(D,D^*)作为输入，从加密密文CT中提取访问控制结构将用户属性集合与访问控制结构W做判断，如果不满足W则终止解密过程，否则对所有属性进行如下解密过程：

如果节点x为叶子节点：

(1)如果属性且属性设置为i＝+i，则

(2)如果属性且属性设置为i＝-i，则

(4)如果属性i设置为Don'tCare，则

如果节点x为非叶子节点，则

将上述结果带入下式进行计算：

由此得到：明文M为

Claims (5)

1.一种多授权属性加解密方法，其特征在于：包括以下步骤：

步骤一、系统初始化：包括系统参数生成、层级属性机构属性访问树Γ的构建、中央授权机构初始化和属性授权机构初始化四个方面；

(1)系统参数生成：在系统内输入一个安全参数1^λ，系统调用群生成算法生成两个阶为素数p的乘法循环群G和G_T，群G的生成元为g，存在双线性映射e:G×G→G_T，同时，选取一个存在性不可伪造的签名算法Σ_sign＝(KenGen,Sign,Verify)，输出全局公开参数δ＝(e,g,G,G_T,p，Σ_sign)；

(2)层级属性访问树Γ的构建：每一个属性授权机构将域内属性进行编码，使每一个属性都有自己的索引index_i，然后建立一个平衡二叉树，该平衡二叉树的非叶结点T_[i...j]中，开始的序号为该非叶结点下对应的最左端叶节点的索引值，结束的序号为该非叶结点最右端叶节点所对应的属性值，在非偶数个属性出现时，二叉树的最右端将补充一个表达值恒为的空属性，保持属性树中所有非叶子结点的平衡；对于特定属性授权机构AA_k所建立的属性访问树定义为Γ_k，k表示特定属性授权机构AA_k的索引；

(3)中央授权机构初始化：存在若干个中央授权机构CA，CA＝{CA₁,CA₂,...,CA_l}，l表示CA的个数，每个中央授权机构独立运行初始化算法，随机选择y_d，y_d为CA_d的主密钥，存在令Y＝e(g,g)^y，其中Y为公开加密参数，调用签名算法得到验证签名密钥VerifyKey_d，CA_d的签名算法公私钥对CAPV_d，VerifyKey_d＝μ_d，CAPV_d＝(SignKey_d,μ_d)；

(4)属性授权机构初始化：存在若干个属性授权机构AA，AA＝{AA₁,AA₂,...,AA_t}，t表示AA的个数，AA负责向用户提供用户的属性相关密钥，每一个AA_j都负责管理一个属性域U_j，与任意的AA_i都有这使得每个属性仅属于一个AA管理，每个AA所管理的属性是互不冲突的；对于全局属性集全局属性授权机构随机选取其中m为全局属性域所包含的属性个数；同时，对于某个特定的属性授权机构AA_k当中的非叶结点x＝[i...j]将随机选取并存在得出属性公开参数∪Z_k,i、属性隐含参数∪z_k,i以及AA_k所对应的公开随机参数r_k，其中∪Z_k,i＝Z_k,1,...,Z_k,3n，∪z_k,i＝z_k,1,...,z_k,3n，存在其中k＝(1,2,...,t)为属性授权机构索引；

步骤二、数据加密：将欲加密的明文数据M、全局公开参数δ和用户指定的访问策略W作为输入，遍历属性授权机构建立的属性访问树Γ进行加密算法，得到加密数据CT；

步骤三、密钥分发，包括用户身份密钥分发和用户属性密钥分发：

用户身份密钥分发：用户向中央授权机构CA_d提供一个唯一身份标识GID，CA_d将属性授权机构AA生成的参数r和用户的唯一身份标识信息GID作为输入，输出身份密钥SK_CA和属性密钥生成参数Ξ；

用户属性密钥分发：用户向属性授权机构AA_k申请属性密钥，属性授权机构AA_k验证用户提供的身份信息是否正确，如果正确，属性授权机构AA_k将r_k和∪z_k,i作为输入，为用户输出一组属性密钥SK_AA，如果不正确将终止属性密钥的分发；

步骤四、解密密文：授权用户将系统提供的用户属性密钥SK_AA、用户身份密钥SK_CA和加密密文CT作为输入，系统根据用户所提供的信息运行解密算法；如果用户符合访问策略输出数据M，否则解密失败终止系统。

2.根据权利要求1所述的一种多授权属性加解密方法，其特征在于：所述步骤二中对明文数据M加密的具体方法为：

给定明文数据M，为其选定一个首次加密随机参数得到加密的明文C＝M·Y^s和C′＝g^s，用户设置一个访问控制策略其中为全局属性集合，给定一个访问控制结构遍历平衡二叉树Γ进行加密：

(1)若att_k,i和att_k,i+1为两个叶子节点，对应的属性值为i和i+1，对于每个或都存在如下关系：如果i＝+i，则有如果i＝-1，则有如果则有并将以上结果包含于密文当中；如果则返回0；

(2)att_k,i和att_k,i+1为两个非叶子节点，规则如下：

如果两个非叶结点att_k,i和att_k,i+1都返回1，则返回1；

如果两个非叶结点att_k,i和att_k,i+1都返回0，则返回0；

如果两个非叶结点att_k,i和att_k,i+1中，att_k,i返回0而另att_k,i+1返回1，则定义并将与所对应的节点信息写入密文当中，返回1；

最后得出加密密文CT，

3.根据权利要求1所述的一种多授权属性加解密方法，其特征在于：所述步骤三中用户身份密钥分发的方法为：系统为用户随机选取使其与用户一一对应，可得D^*＝g^y-r，Θ＝1/o_GID，最后得到CA的身份密钥SK_CA，SK_CA＝(D,D^*,Θ)，运行签名算法，对(Signkey,GID)进行签名得到用户的签名验证参数θ_GID，从而得到用户属性密钥生成参数Ξ，Ξ＝(θ_GID,GID)，Ξ只能用于AA生成属性密钥。

4.根据权利要求1所述的一种多授权属性加解密方法，其特征在于：所述步骤三中用户属性密钥分发的方法为：

当接收到属性授权请求时，AA_k利用u_d对Ξ中的签名验证信息进行验证，如果验证失败则授权终止；

令为随机参数且r_GID,k,x＝Σr_GID,k,i，其中i为x的子节点，令用户的属性集合为存在属性当且仅当可得i＝+i；当可得i＝-1；当属性且令该属性密钥为当属性时，令该属性密钥为当时，令该属性密钥为对于非叶子节点x存在最后可得到属性私钥SK_AA，

5.根据权利要求1所述的一种新型的多授权属性加解密方法，其特征在于：所述步骤四中解密密文的方法为：将加密密文用户属性密钥和用户身份密钥SK_CA＝(D,D^*)作为输入，从加密密文CT中提取访问控制结构将用户属性集合与访问控制结构W做判断，如果不满足W则终止解密过程，否则对所有属性进行如下解密过程：

如果节点x为叶子节点：

(1)如果属性且属性设置为i＝+i，则

<mrow> <msub> <mi>N</mi> <mn>1</mn> </msub> <mo>=</mo> <mo>&amp;Pi;</mo> <mrow> <mo>(</mo> <mi>e</mi> <mo>(</mo> <mrow> <msubsup> <mi>C</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> <mrow> <mo>&amp;prime;</mo> <mo>&amp;prime;</mo> </mrow> </msubsup> <mo>,</mo> <msubsup> <mi>D</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> <mo>&amp;prime;</mo> </msubsup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <mo>(</mo> <mrow> <msubsup> <mi>Z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> <mi>s</mi> </msubsup> <mo>,</mo> <msup> <mi>g</mi> <mrow> <mfrac> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> </mfrac> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <mo>(</mo> <mrow> <msup> <mi>g</mi> <mrow> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <mo>&amp;CenterDot;</mo> <mi>s</mi> </mrow> </msup> <mo>,</mo> <msup> <mi>g</mi> <mrow> <mfrac> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> </mfrac> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

(2)如果属性且属性设置为i＝-1，则

<mrow> <msub> <mi>N</mi> <mn>2</mn> </msub> <mo>=</mo> <mo>&amp;Pi;</mo> <mrow> <mo>(</mo> <mi>e</mi> <mo>(</mo> <mrow> <msubsup> <mi>C</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> <mrow> <mo>&amp;prime;</mo> <mo>&amp;prime;</mo> </mrow> </msubsup> <mo>,</mo> <msubsup> <mi>D</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> <mo>&amp;prime;</mo> </msubsup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <mo>(</mo> <mrow> <msubsup> <mi>Z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>n</mi> <mo>+</mo> <mi>i</mi> </mrow> <mi>s</mi> </msubsup> <mo>,</mo> <msup> <mi>g</mi> <mrow> <mfrac> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>n</mi> <mo>+</mo> <mi>i</mi> </mrow> </msub> </mfrac> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <mo>(</mo> <mrow> <msup> <mi>g</mi> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>n</mi> <mo>+</mo> <mi>i</mi> </mrow> </msub> </mrow> </msup> <mo>,</mo> <msup> <mi>g</mi> <mrow> <mfrac> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>n</mi> <mo>+</mo> <mi>i</mi> </mrow> </msub> </mfrac> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> <mo>)</mo> </mrow> </mrow>

(3)如果属性i设置为Don'tCare，则

<mrow> <msub> <mi>N</mi> <mn>3</mn> </msub> <mo>=</mo> <mo>&amp;Pi;</mo> <mrow> <mo>(</mo> <mi>e</mi> <mo>(</mo> <mrow> <msubsup> <mi>C</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> <mrow> <mo>&amp;prime;</mo> <mo>&amp;prime;</mo> </mrow> </msubsup> <mo>,</mo> <msubsup> <mi>D</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> <mo>&amp;prime;</mo> </msubsup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <mo>(</mo> <mrow> <msubsup> <mi>Z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mn>2</mn> <mi>n</mi> <mo>+</mo> <mi>i</mi> </mrow> <mi>s</mi> </msubsup> <mo>,</mo> <msup> <mi>g</mi> <mrow> <mfrac> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mn>2</mn> <mi>n</mi> <mo>+</mo> <mi>i</mi> </mrow> </msub> </mfrac> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <mo>(</mo> <mrow> <msup> <mi>g</mi> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mn>2</mn> <mi>n</mi> <mo>+</mo> <mi>i</mi> </mrow> </msub> </mrow> </msup> <mo>,</mo> <msup> <mi>g</mi> <mrow> <mfrac> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mn>2</mn> <mi>n</mi> <mo>+</mo> <mi>i</mi> </mrow> </msub> </mfrac> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

如果节点x为非叶子节点，则

<mrow> <msub> <mi>N</mi> <mn>4</mn> </msub> <mo>=</mo> <mo>&amp;Pi;</mo> <mrow> <mo>(</mo> <mi>e</mi> <mo>(</mo> <mrow> <msubsup> <mi>C</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> <mrow> <mo>&amp;prime;</mo> <mo>&amp;prime;</mo> </mrow> </msubsup> <mo>,</mo> <msubsup> <mi>D</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> <mo>&amp;prime;</mo> </msubsup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <mo>(</mo> <mrow> <msubsup> <mi>Z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>x</mi> </mrow> <mi>s</mi> </msubsup> <mo>,</mo> <msup> <mi>g</mi> <mrow> <mfrac> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>x</mi> </mrow> </msub> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>x</mi> </mrow> </msub> </mfrac> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <mo>(</mo> <mrow> <msup> <mi>g</mi> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>x</mi> </mrow> </msub> </mrow> </msup> <mo>,</mo> <msup> <mi>g</mi> <mrow> <mfrac> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <msub> <mi>z</mi> <mrow> <mi>k</mi> <mo>,</mo> <mi>x</mi> </mrow> </msub> </mfrac> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> </mrow> <mo>)</mo> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> <mo>,</mo> <mi>k</mi> <mo>,</mo> <mi>i</mi> </mrow> </msub> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

将上述结果带入下式进行计算：

<mrow> <mtable> <mtr> <mtd> <mrow> <mi>K</mi> <mo>=</mo> <mi>e</mi> <mrow> <mo>(</mo> <msub> <mi>N</mi> <mn>1</mn> </msub> <msub> <mi>N</mi> <mn>2</mn> </msub> <msub> <mi>N</mi> <mn>3</mn> </msub> <msub> <mi>N</mi> <mn>4</mn> </msub> <mo>)</mo> </mrow> <mo>&amp;CenterDot;</mo> <mi>e</mi> <mrow> <mo>(</mo> <mi>e</mi> <mo>(</mo> <mrow> <msup> <mi>C</mi> <mo>&amp;prime;</mo> </msup> <mo>,</mo> <msup> <mi>D</mi> <mo>*</mo> </msup> </mrow> <mo>)</mo> <mo>&amp;CenterDot;</mo> <mi>D</mi> <mo>)</mo> </mrow> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <mi>g</mi> <mo>)</mo> </mrow> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> <mo>&amp;CenterDot;</mo> <mi>e</mi> <mrow> <mo>(</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <mrow> <mo>(</mo> <mi>y</mi> <mo>-</mo> <msub> <mi>r</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> <mo>)</mo> </mrow> </mrow> </msup> <mo>&amp;CenterDot;</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </msup> <mo>)</mo> </mrow> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <mi>g</mi> <mo>)</mo> </mrow> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <mi>y</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <msup> <mi>Y</mi> <mrow> <mi>s</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>G</mi> <mi>I</mi> <mi>D</mi> </mrow> </msub> </mrow> </msup> </mrow> </mtd> </mtr> </mtable> <mo>;</mo> </mrow>

由此得到：明文M为