CN108055130A - 差异化安全的密文保护系统 - Google Patents

Abstract

本发明实施例公开了一种差异化安全的密文保护系统，包括授权中心、数据属主、终端、数据共享中心、密钥生成服务器、加密服务器及解密服务器；相较于现有技术而言，本发明实施例通过上述密钥生成服务器、加密服务器及解密服务器这三个半可信的第三方实体，来分别执行密钥产生、加密、解密三个阶段的大部分计算任务，极大地减少了密文保护系统本地的计算复杂度，因此可以适用于计算资源有限的终端；同时，上述密钥生成服务器、加密服务器及解密服务器作为半可信的第三方实体，均能分解授权中心的计算负载，当大量的终端向授权中心索要密钥或需要更新密钥时，可以避免授权中心出现误操作。

Description

差异化安全的密文保护系统

技术领域

本发明涉及密文保护技术领域，尤其涉及一种差异化安全的密文保护系统。

背景技术

CP-ABE(Ciphertext Policy-Attribute Based Encryption，基于密文策略的属性加密体制)作为一种新颖的加密原语，可以保护数据的隐私，并实现细粒度、一对多以及非交互的访问控制，它能够在分布式的环境下达到安全的数据共享。

但是，当加密系统中有一些资源有限的终端设备参与时，CP-ABE方案具有如下的挑战性难题：

在现存的大多数CP-ABE方案中，加密和解密端的计算开销随着密文访问结构中包含的属性个数的增加而近似线性增长，故不适用于计算资源有限的终端；另外，当大量的终端向授权中心索要密钥或需要更新密钥时，授权中心的计算负载较高，容易出现误操作。

发明内容

本发明实施例的主要目的在于提供一种差异化安全的密文保护系统，可以解决现有的CP-ABE方案不适用于计算资源有限的终端，以及当大量的终端向授权中心索要密钥或需要密钥更新时，授权中心的计算负载较高，容易出现误操作的技术问题。

为实现上述目的，本发明实施例提供了一种差异化安全的密文保护系统，该系统包括授权中心、数据属主、终端、数据共享中心、密钥生成服务器、加密服务器及解密服务器；

所述密钥生成服务器和所述终端均与所述授权中心通信连接，所述密钥生成服务器用于向所述授权中心提供密钥生成算法，所述授权中心用于根据所述密钥生成算法生成私钥，并将生成的私钥发送至所述终端；

所述加密服务器和所述数据共享中心均与所述数据属主通信连接，所述加密服务器用于向所述数据属主提供加密算法，所述数据属主用于根据所述加密算法对待保护的数据进行加密，并将加密得到的密文存储在所述数据共享中心；

所述解密服务器和所述数据共享中心均与所述终端通信连接，所述解密服务器用于向所述终端提供解密算法，所述终端用于获取所述数据共享中心存储的密文，并基于所述解密算法与所述私钥对所述密文进行解密。

可选的，所述授权中心用于：

定义属性集合A＝{a₁，…，a_n}；

建立哈希函数H:{0,1}^*→G₀；

选择随机数α、β、θ，α、β、θ∈Z_P，并分别计算gα、g^β、g^1/θ；

利用以下公式生成公钥PK，主私钥MSK及所述密钥生成服务器对应的用户密钥SK_OKGSP，并将生成的所述公钥PK发送至所述终端，将生成的所述用户密钥SK_OKGSP发送至所述密钥生成服务器；

PK＝{G₀，g,h,g^β,g^1/θ,e(g,g)^α,H}

MSK＝{g^α,β}

SK_OKGSP＝{θ}

其中，G₀和G_T是两个阶为素数p的循环群，g是群G₀的一个生成元，双线性对e:G₀×G₀→G_T，e(g,g)是G_T的生成元，α、β、θ∈Z_P，Z_P为随机数集合，h∈G₀。

可选的，所述授权中心还用于：

选择两个随机数r,r^*，且r,r^*∈Z_p，利用以下公式计算第一用户密钥SK₁和第一外包密钥OSK_OKGSP，并将计算出的第一外包密钥OSK_OKGSP发送至所述密钥生成服务器；

OSK_OKGSP＝{g^r/θ}

其中，g是群G₀的一个生成元，α、β、θ∈Z_P，Z_P为随机数集合，h∈G₀。

可选的，所述密钥生成服务器用于：

基于所述用户密钥SK_OKGSP和第一外包密钥OSK_OKGSP，得到密钥参数g^r；

基于用户属性集合中的每个用户属性选择一个随机数r_j∈Z_p，利用以下公式生成与属性集合S相关的第二用户密钥SK₂，并发送至所述授权中心；

其中，g是群G₀的一个生成元，r、β∈Z_p，Z_P为随机数集合。

可选的，所述授权中心还用于：

基于所述第一用户密钥SK₁与所述第二用户密钥SK₂，生成私钥SK，所述私钥SK＝{SK₁,SK₂}，并发送至所述终端。

可选的，所述数据属主用于：

选择两个随机数s、s₁，s、s₁∈Z_p，并计算s₂＝(s-s₁)modp；

利用以下公式计算并生成第一密文CT₁和第二外包密钥OSK_OESP：

OSK_OESP＝{T,s₁}

将所述第二外包密钥OSK_OESP发送至所述加密服务器；

其中，α∈Z_P，Z_P为随机数集合，G₀和G_T是两个阶为素数p的循环群，g是群G₀的一个生成元，双线性对e:G₀×G₀→G_T，e(g,g)是G_T的生成元，h∈G₀，M表示明文信息，T表示访问结构树。

可选的，所述加密服务器用于：

基于所述第二外包密钥OSK_OESP生成第二密文CT₂，并发送至所述数据属主；

所述数据属主用于基于所述第一密文CT₁与第二密文CT₂生成完整的密文CT，并将所述密文CT存储在所述数据共享中心。

可选的，所述终端用于：

从所述数据共享中心中获取所述密文CT，选择一个随机数t,t∈Z_P，基于所述私钥SK，利用以下公式计算并生成第三外包密钥OSK_ODSP和相应的托管密钥SK_Delegate：

SK_Delegate＝{t}

将所述第三外包密钥OSK_ODSP发送至所述解密服务器；

其中，g是群G₀的一个生成元，h∈G₀，α、β、r、r^*∈Z_P，Z_P为随机数集合，j表示用户属性，S表示属性集合。

可选的，所述解密服务器用于：

获取所述终端中的公钥PK及所述密文CT，基于所述公钥PK、所述密文CT及所述第三外包密钥OSK_ODSP，得到中间结果IT₁和IT₂，并发送至所述终端。

可选的，所述终端还用于：

基于所述中间结果IT₁和IT₂、所述密文CT及所述托管密钥SK_Delegate，利用以下公式计算得到所述明文信息M：

其中，α、s、β、r∈Z_P，Z_P为随机数集合，G₀和G_T是两个阶为素数p的循环群，g是群G₀的一个生成元，双线性对e:G₀×G₀→G_T，e(g,g)是G_T的生成元，h∈G₀。

本发明实施例提供的一种差异化安全的密文保护系统，包括授权中心、数据属主、终端、数据共享中心、密钥生成服务器、加密服务器及解密服务器；相较于现有技术而言，本发明实施例通过上述密钥生成服务器、加密服务器及解密服务器这三个半可信的第三方实体，来分别执行密钥产生、加密、解密三个阶段的大部分计算任务，极大地减少了密文保护系统本地的计算复杂度，因此可以适用于计算资源有限的终端；同时，上述密钥生成服务器、加密服务器及解密服务器作为半可信的第三方实体，均能分解授权中心的计算负载，当大量的终端向授权中心索要密钥或需要更新密钥时，可以避免授权中心出现误操作。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的优选实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据该附图获得其他的附图。

图1为本发明实施例中差异化安全的密文保护系统的结构示意图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而非全部实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参照图1，图1为本发明实施例中差异化安全的密文保护系统的结构示意图，本发明实施例中，上述系统包括授权中心10、数据属主20、终端30、数据共享中心40、密钥生成服务器50、加密服务器60及解密服务器70；

密钥生成服务器50和终端30均与授权中心10通信连接，密钥生成服务器50用于向授权中心10提供密钥生成算法，授权中心10用于根据上述密钥生成算法生成私钥，并将生成的私钥发送至终端30；

加密服务器60和数据共享中心40均与数据属主20通信连接，加密服务器60用于向数据属主20提供加密算法，数据属主20用于根据上述加密算法对待保护的数据进行加密，并将加密得到的密文存储在数据共享中心40；

解密服务器70和数据共享中心40均与终端30通信连接，解密服务器70用于向终端30提供解密算法，终端30用于获取数据共享中心40存储的密文，并基于上述解密算法与私钥对该密文进行解密。

其中，授权中心10是完全可信的实体，它用于管理终端30，并负责产生公钥、主私钥及用户密钥；数据共享中心40是共享数据的管理者，且是半可信的实体，它提供多种服务，如数据存储、数据传输、外包计算等。密钥生成服务器50、加密服务器60及解密服务器70都是半可信的第三方实体，它们提供各种各样的外包计算服务。其中，半可信的实体可以诚实的执行分发过来的各种任务，并返回正确的结果。

本发明实施例包含以下四个过程：

一、系统初始化

利用授权中心10完成以下工作：

(1)、定义属性集合A＝{a₁，…，a_n)；

(2)、建立哈希函数H:{0,1}^*→G₀；

(3)、选择随机数α、β、θ，α、β、θ∈Z_P，并分别计算g^α、g^β、g^1/θ；

(4)、利用以下公式生成公钥PK，主私钥MSK及密钥生成服务器50对应的用户密钥SK_OKGSP：

PK＝{G₀，g,h,g^β,g^1/θ,e(g,g)^α,H}

MSK＝{g^α,β}

SK_OKGSP＝{θ}

(5)、将生成的公钥PK发送至终端30，将生成的用户密钥SK_OKGSP发送至密钥生成服务器50；

其中，G₀和G_T是两个阶为素数p的循环群，g是群G₀的一个生成元，双线性对e:G₀×G₀→G_T，e(g,g)是G_T的生成元，α、β、θ∈Z_P，Z_P为随机数集合，h∈G₀。

二、生成用户密钥

为了产生用户的部分密钥，授权中心10基于公钥PK和主私钥MSK，针对每个终端，选择两个随机数r,r^*，且r,r^*∈Z_p，然后利用以下公式计算第一用户密钥SK₁和第一外包密钥OSK_OKGSP，并将计算出的第一外包密钥OSK_OKGSP发送至密钥生成服务器50；

OSK_OKGSP＝{g^r/θ}

其中，g是群G₀的一个生成元，α、β、θ∈Z_P，Z_P为随机数集合，h∈G₀。

进一步的，密钥生成服务器50基于上述用户密钥SK_OKGSP和第一外包密钥OSK_OKGSP，利用以下公式得到密钥参数g^r：

基于用户属性集合中的每个用户属性由密钥生成服务器50选择一个随机数r_j，r_j∈Z_p，利用以下公式生成与属性集合S相关的第二用户密钥SK₂，并发送至授权中心10；

其中，g是群G₀的一个生成元，r、β∈Z_p，Z_P为随机数集合。

进一步的，授权中心10还用于：

基于上述第一用户密钥SK₁与所述第二用户密钥SK₂，生成私钥SK，私钥SK＝{SK₁,SK₂}，并发送至终端30；即：

三、数据加密

数据属主20选择两个随机数s、s₁，s、s₁∈Z_p，并计算ds₂＝(s-s₁)modp；

利用以下公式计算并生成第一密文CT₁和第二外包密钥OSK_OESP，将生成的第二外包密钥OSK_OESP发送至加密服务器60；

OSK_OESP＝{T,s₁}

其中，α∈Z_P，Z_P为随机数集合，G₀和G_T是两个阶为素数p的循环群，g是群G₀的一个生成元，双线性对e:G₀×G₀→G_T，e(g,g)是G_T的生成元，h∈G₀，M表示明文信息，T表示访问结构树。

具体的，加密服务器60针对访问结构树T中的每一个节点x(包括叶子节点)，定义一个多项式q_x，从根节点R开始，各个节点的多项式q_x采用自上而下的方式随机选择。对于访问结构树T中的每个节点x，多项式q_x的度设置为k_x-1，其中k_x表示门限值。从根节点R开始，设置q_R(0)＝s₁(s∈Z_p)，其中s₁被随机选择；同时，随机选择d_R个其它的节点来完整的定义多项式q_R。对于每个非根节点x，设定q_x(0)＝q_parent(x)(index(x))，并随机选择d_x个其它的节点来完整的定义q_x。

在访问结构树T中，假设Y表示叶子节点的集合，加密服务器60基于第二外包密钥OSK_OESP，利用以下公式即可生成第二密文CT₂，并将生成的第二密文CT₂发送至数据属主20：

最后，数据属主20基于上述第一密文CT₁与第二密文CT₂即可生成完整的密文CT，并将生成的密文CT存储在数据共享中心40；其中：

四、数据解密

上述终端30为了使解密服务器70执行相关的解密工作，从数据共享中心中40获取密文CT，然后选择一个随机数t，t∈Z_P，基于上述私钥SK，利用以下公式计算并生成第三外包密钥OSK_ODSP和相应的托管密钥SK_Delegate：

SK_Delegate＝{t}

其中，g是群G₀的一个生成元，h∈G₀，α、β、r、r^*∈Z_P，Z_P为随机数集合，j表示用户属性，S表示属性集合。

为了代替终端30执行大部分的解密工作，解密服务器70运行以下操作：

获取终端30中的公钥PK及密文CT，基于公钥PK、密文CT及上述第三外包密钥OSK_ODSP，得到中间结果IT₁和IT₂，并发送至终端30。

其中，如果与上述第三外包密钥OSK_ODSP间接相关的属性集合S满足访问策略T时，则通过计算可以得到否则，将输出一个错误符号⊥；

假设属性集S满足策略T，解密服务器70利用以下公式得到中间结果IT₁和IT₂，并发送至终端30；

终端30基于上述中间结果IT₁和IT₂、上述密文CT及托管密钥SK_Delegate，利用以下公式计算得到明文信息M：

其中，α、s、β、r∈Z_P，Z_P为随机数集合，G₀和G_T是两个阶为素数p的循环群，g是群G₀的一个生成元，双线性对e:G₀×G₀→G_T，e(g,g)是G_T的生成元，h∈G₀。

本发明实施例所提供的一种差异化安全的密文保护系统，包括授权中心10、数据属主20、终端30、数据共享中心40、密钥生成服务器50、加密服务器60及解密服务器70；相较于现有技术而言，本发明实施例通过上述密钥生成服务器50、加密服务器60及解密服务器70这三个半可信的第三方实体，来分别执行密钥产生、加密、解密三个阶段的大部分计算任务，极大地减少了密文保护系统本地的计算复杂度，因此可以适用于计算资源有限的终端30；同时，上述密钥生成服务器、加密服务器及解密服务器作为半可信的第三方实体，均能分解授权中心10的计算负载，当大量的终端30向授权中心10索要密钥或需要更新密钥时，可以避免授权中心10出现误操作。

以上为对本发明所提供的一种差异化安全的密文保护系统的描述，对于本领域的技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种差异化安全的密文保护系统，其特征在于，所述系统包括授权中心、数据属主、终端、数据共享中心、密钥生成服务器、加密服务器及解密服务器；

所述密钥生成服务器和所述终端均与所述授权中心通信连接，所述密钥生成服务器用于向所述授权中心提供密钥生成算法，所述授权中心用于根据所述密钥生成算法生成私钥，并将生成的私钥发送至所述终端；

所述加密服务器和所述数据共享中心均与所述数据属主通信连接，所述加密服务器用于向所述数据属主提供加密算法，所述数据属主用于根据所述加密算法对待保护的数据进行加密，并将加密得到的密文存储在所述数据共享中心；

所述解密服务器和所述数据共享中心均与所述终端通信连接，所述解密服务器用于向所述终端提供解密算法，所述终端用于获取所述数据共享中心存储的密文，并基于所述解密算法与所述私钥对所述密文进行解密。

2.根据权利要求1所述的系统，其特征在于，所述授权中心用于：

定义属性集合A＝{a₁,…,a_n}；

建立哈希函数H:{0,1}^*→G₀；

选择随机数α、β、θ，α、β、θ∈Z_P，并分别计算g^α、g^β、g^1/θ；

利用以下公式生成公钥PK，主私钥MSK及所述密钥生成服务器对应的用户密钥SK_OKGSP，并将生成的所述公钥PK发送至所述终端，将生成的所述用户密钥SK_OKGSP发送至所述密钥生成服务器；

PK＝{G₀，g,h,g^β,g^1/θ,e(g,g)^α,H}

MSK＝{g^α,β}

SK_OKGSP＝{θ}

其中，G₀和G_T是两个阶为素数p的循环群，g是群G₀的一个生成元，双线性对e:G₀×G₀→G_T，e(g,g)是G_T的生成元，α、β、θ∈Z_P，Z_P为随机数集合，h∈G₀。

3.根据权利要求2所述的系统，其特征在于，所述授权中心还用于：

选择两个随机数r,r^*，且r,r^*∈Z_p，利用以下公式计算第一用户密钥SK₁和第一外包密钥OSK_OKGSP，并将计算出的第一外包密钥OSK_OKGSP发送至所述密钥生成服务器；

<mrow> <msub> <mi>SK</mi> <mn>1</mn> </msub> <mo>=</mo> <mo>{</mo> <mi>D</mi> <mo>=</mo> <msup> <mi>g</mi> <mi>&amp;alpha;</mi> </msup> <msup> <mi>g</mi> <mrow> <mi>&amp;beta;</mi> <mi>r</mi> </mrow> </msup> <mo>,</mo> <mi>D</mi> <mo>=</mo> <msup> <mi>g</mi> <mrow> <mi>&amp;beta;</mi> <mi>r</mi> </mrow> </msup> <msup> <mi>h</mi> <msup> <mi>r</mi> <mo>*</mo> </msup> </msup> <mo>,</mo> <msup> <mi>D</mi> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msup> <mi>g</mi> <msup> <mi>r</mi> <mo>*</mo> </msup> </msup> <mo>}</mo> </mrow>

OSK_OKGSP＝{g^r/θ}

其中，g是群G₀的一个生成元，α、β、θ∈Z_P，Z_P为随机数集合，h∈G₀。

4.根据权利要求3所述的系统，其特征在于，所述密钥生成服务器用于：

基于所述用户密钥SK_OKGSP和第一外包密钥OSK_OKGSP，得到密钥参数g^r；

基于用户属性集合中的每个用户属性选择一个随机数r_j∈Z_p，利用以下公式生成与属性集合S相关的第二用户密钥SK₂，并发送至所述授权中心；

<mrow> <msub> <mi>SK</mi> <mn>2</mn> </msub> <mo>=</mo> <mo>{</mo> <mo>&amp;ForAll;</mo> <mi>j</mi> <mo>&amp;Element;</mo> <mi>S</mi> <mo>,</mo> <msub> <mi>D</mi> <mi>j</mi> </msub> <mo>=</mo> <msup> <mi>g</mi> <mi>r</mi> </msup> <mo>&amp;CenterDot;</mo> <mi>H</mi> <msup> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> <msub> <mi>r</mi> <mi>j</mi> </msub> </msup> <mo>,</mo> <msup> <msub> <mi>D</mi> <mi>j</mi> </msub> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>&amp;beta;r</mi> <mi>j</mi> </msub> </mrow> </msup> <mo>}</mo> </mrow>

其中，g是群G₀的一个生成元，r、β∈Z_p，Z_P为随机数集合。

5.根据权利要求4所述的系统，其特征在于，所述授权中心还用于：

基于所述第一用户密钥SK₁与所述第二用户密钥SK₂，生成私钥SK，所述私钥SK＝{SK₁,SK₂}，并发送至所述终端。

6.根据权利要求5所述的系统，其特征在于，所述数据属主用于：

选择两个随机数s、s₁，s、s₁∈Z_p，并计算s₂＝(s-s₁)modp；

利用以下公式计算并生成第一密文CT₁和第二外包密钥OSK_OESP：

<mrow> <msub> <mi>CT</mi> <mn>1</mn> </msub> <mo>=</mo> <mo>{</mo> <mover> <mi>C</mi> <mo>~</mo> </mover> <mo>=</mo> <mi>M</mi> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <mi>g</mi> <mo>)</mo> </mrow> <mrow> <mi>&amp;alpha;</mi> <mi>s</mi> </mrow> </msup> <mo>,</mo> <msub> <mi>C</mi> <mn>1</mn> </msub> <mo>=</mo> <msup> <mi>g</mi> <mi>s</mi> </msup> <mo>,</mo> <msub> <mi>C</mi> <mn>2</mn> </msub> <mo>=</mo> <msup> <mi>g</mi> <msub> <mi>s</mi> <mn>2</mn> </msub> </msup> <mo>,</mo> <msub> <mi>C</mi> <mn>3</mn> </msub> <mo>=</mo> <msup> <mi>h</mi> <msub> <mi>s</mi> <mn>2</mn> </msub> </msup> <mo>,</mo> <mi>&amp;sigma;</mi> <mo>=</mo> <mi>H</mi> <msup> <mrow> <mo>(</mo> <mi>M</mi> <mo>)</mo> </mrow> <mi>s</mi> </msup> <mo>}</mo> </mrow>

OSK_OESP＝{T,s₁}

将所述第二外包密钥OSK_OESP发送至所述加密服务器；

其中，α∈Z_P，Z_P为随机数集合，G₀和G_T是两个阶为素数p的循环群，g是群G₀的一个生成元，双线性对e:G₀×G₀→G_T，e(g,g)是G_T的生成元，h∈G₀，M表示明文信息，T表示访问结构树。

7.根据权利要求6所述的系统，其特征在于，所述加密服务器用于：

基于所述第二外包密钥OSK_OESP生成第二密文CT₂，并发送至所述数据属主；

所述数据属主用于基于所述第一密文CT₁与第二密文CT₂生成完整的密文CT，并将所述密文CT存储在所述数据共享中心。

8.根据权利要求7所述的系统，其特征在于，所述终端用于：

从所述数据共享中心中获取所述密文CT，选择一个随机数t,t∈Z_P，基于所述私钥SK，利用以下公式计算并生成第三外包密钥OSK_ODSP和相应的托管密钥SK_Delegate：

<mrow> <msub> <mi>OSK</mi> <mrow> <mi>O</mi> <mi>D</mi> <mi>S</mi> <mi>P</mi> </mrow> </msub> <mo>=</mo> <mfenced open = "{" close = "}"> <mtable> <mtr> <mtd> <mrow> <msup> <mi>D</mi> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msup> <mrow> <mo>(</mo> <msup> <mi>g</mi> <mi>&amp;alpha;</mi> </msup> <msup> <mi>g</mi> <mrow> <mi>&amp;beta;</mi> <mi>r</mi> </mrow> </msup> <mo>)</mo> </mrow> <mfrac> <mn>1</mn> <mi>t</mi> </mfrac> </msup> <mo>,</mo> <mi>D</mi> <mo>=</mo> <msup> <mi>g</mi> <mrow> <mi>&amp;beta;</mi> <mi>r</mi> </mrow> </msup> <msup> <mi>h</mi> <msup> <mi>r</mi> <mo>*</mo> </msup> </msup> <mo>,</mo> <msup> <mi>D</mi> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msup> <mi>g</mi> <msup> <mi>r</mi> <mo>*</mo> </msup> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>&amp;ForAll;</mo> <mi>j</mi> <mo>&amp;Element;</mo> <mi>S</mi> <mo>,</mo> <msub> <mi>D</mi> <mi>j</mi> </msub> <mo>=</mo> <msup> <mi>g</mi> <mi>r</mi> </msup> <mo>&amp;CenterDot;</mo> <mi>H</mi> <msup> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> <msub> <mi>r</mi> <mi>j</mi> </msub> </msup> <mo>,</mo> <msup> <msub> <mi>D</mi> <mi>j</mi> </msub> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>&amp;beta;r</mi> <mi>j</mi> </msub> </mrow> </msup> </mrow> </mtd> </mtr> </mtable> </mfenced> </mrow>

SK_Delegate＝{t}

将所述第三外包密钥OSK_ODSP发送至所述解密服务器；

其中，g是群G₀的一个生成元，h∈G₀，α、β、r、r^*∈Z_P，Z_P为随机数集合，j表示用户属性，S表示属性集合。

9.根据权利要求8所述的系统，其特征在于，所述解密服务器用于：

获取所述终端中的公钥PK及所述密文CT，基于所述公钥PK、所述密文CT及所述第三外包密钥OSK_ODSP，得到中间结果IT₁和IT₂，并发送至所述终端。

10.根据权利要求9所述的系统，其特征在于，所述终端还用于：

基于所述中间结果IT₁和IT₂、所述密文CT及所述托管密钥SK_Delegate，利用以下公式计算得到所述明文信息M：

<mrow> <mi>M</mi> <mo>=</mo> <mfrac> <mi>C</mi> <mrow> <mo>(</mo> <mrow> <msup> <mrow> <mo>(</mo> <mrow> <msub> <mi>IT</mi> <mn>2</mn> </msub> </mrow> <mo>)</mo> </mrow> <mi>t</mi> </msup> <mo>/</mo> <msub> <mi>IT</mi> <mn>1</mn> </msub> </mrow> <mo>)</mo> </mrow> </mfrac> <mo>=</mo> <mfrac> <mrow> <mi>M</mi> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>&amp;alpha;</mi> <mi>s</mi> </mrow> </msup> </mrow> <mrow> <mo>(</mo> <mrow> <mrow> <mo>(</mo> <mrow> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>&amp;alpha;</mi> <mi>s</mi> </mrow> </msup> <mo>&amp;CenterDot;</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>r</mi> <mi>&amp;beta;</mi> <mi>s</mi> </mrow> </msup> </mrow> <mo>)</mo> </mrow> <mo>/</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>r</mi> <mi>&amp;beta;</mi> <mi>s</mi> </mrow> </msup> </mrow> <mo>)</mo> </mrow> </mfrac> </mrow>

其中，α、s、β、r∈Z_P，Z_P为随机数集合，G₀和G_T是两个阶为素数p的循环群，g是群G₀的一个生成元，双线性对e:G₀×G₀→G_T，e(g,g)是G_T的生成元，h∈G₀。