CN108092972A - 一种多授权中心基于属性的可搜索加密方法 - Google Patents

Abstract

本发明公开了一种多授权中心基于属性的可搜索加密方法，根据多授权中心的思路，结合可搜索加密技术和属性加密技术，在云存储背景下，该技术支持关键字密文检索，快速定位用户感兴趣的密文文档；同时利用属性加密技术实现了细粒度访问控制；并根据多授权中心的思路大大提高了密钥分发和数据用户认证的效率，也降低了由于单个授权中心失效而无法工作的风险，利用密文策略的属性加密技术实现了细粒度的访问控制，只有属性满足访问控制策略的数据用户才能进行密文检索。

Description

一种多授权中心基于属性的可搜索加密方法

技术领域

本发明属于信息安全技术领域，涉及属性加密技术和可搜索加密技术，具体涉及一种多授权中心基于属性的可搜索加密方法，可用于在云存储背景下实现多授权中心基于属性的可搜索加密。

背景技术

由于云计算易于访问、成本低廉和灵活资源管理等优势，越来越多的个人、企业和医院等选择将数据外包到云端服务器来减轻本地数据管理开销。然而，云计算给我们带来便利的同时也存在着严重的安全隐患，因为存储在云服务器上的明文数据可能会遭到云服务提供商或者黑客的非法访问。在数据外包之前对数据进行加密的方式能够有效地保障数据的安全性，然而，传统的明文检索技术无法在密文上进行搜索。当数据用户想要获取感兴趣的文档时，最简单的解决方案是将所有密文下载到本地进行解密后再进行明文检索，但该方式会浪费大量的带宽资源和计算资源。可搜索加密技术的提出让数据用户可以进行密文关键字检索，快速定位到感兴趣的文档，同时不会泄露任何信息给云服务器，保障了数据的安全性。因此，可搜索加密技术成为了最近的研究热点。

云计算的发展为密文检索技术的安全性提出了新的要求：防止未经授权的数据用户访问数据。现有的基于属性的可搜索加密技术结合属性加密技术和可搜索加密技术，实现了只有属性满足访问控制策略的数据用户才能检索密文数据。因此，基于属性的可搜索加密技术不仅实现了高效的密文检索，而且支持细粒度的访问控制。

大量的基于属性的可搜索加密技术都是单个授权中心来进行密钥的计算和分发，这存在着授权中心计算负担过重的问题。为解决该问题，利用多授权中心的思想将密钥分发和属性认证的工作分配到下层部门，大大提高了密钥分发和用户认证的效率，也降低了由于单个授权中心失效而无法工作的风险。

因此，如何在云存储背景下设计实现多授权中心基于属性的可搜索加密技术成为了急需解决的关键问题。

发明内容

针对现有技术存在的不足，本发明结合可搜索加密技术和属性加密技术，并根据多授权中心的思路，提出了一种多授权中心基于属性的可搜索加密技术。在云存储背景下，该技术支持关键字密文检索，快速定位用户感兴趣的密文文档；同时利用属性加密技术实现了细粒度访问控制；并根据多授权中心的思路大大提高了密钥分发和数据用户认证的效率，也降低了由于单个授权中心失效而无法工作的风险。

为了实现上述目的，本发明采用的技术方案是，一种多授权中心基于属性的可搜索加密方法，包括以下步骤：

步骤一，系统初始化：中央授权中心CA根据安全参数k，生成公共参数pm和主密钥msk；

步骤二，密钥生成：根据数据用户的属性集S和身份信息ID_u，被选定的第j个属性授权中心AA_j将生成临时密钥SK_u,0，并发送给中央授权中心CA；中央授权中心CA生成最终密钥SK_u,1，并将最终密钥SK_u,1通过属性授权中心AA_j返回给数据用户；

步骤三，索引建立：给定明文文档集F＝{f}，关键字集W＝{w}和访问控制结构P，数据拥有者利用对称密钥集SK＝{sk_f}将明文文档集F加密成密文文档集C，利用访问控制结构P将对称密钥集SK加密成对称密文密钥集CT，根据关键字集W生成密文索引集I，并将密文文档集C，密文对称密钥集CT，索引集I和访问控制结构P发送给云服务器；

步骤四，陷门生成：数据用户根据查询关键字w'，数据用户的属性集S和最终私钥SK_u,1生成陷门T_w'，并将陷门T_w'和数据用户的属性集S发送给云服务器；

步骤五，密文搜索：云服务器首先验证数据用户的属性集S是否满足访问控制结构，如果不满足，终止操作；否则，云服务器将陷门T_w'和密文索引集I进行匹配，将匹配成功的返回密文集C'和相应的返回密文密钥集CT*发送给数据用户；

步骤六，密文解密：根据返回密文集C'和相应的返回密文密钥集CT*，数据用户利用最终私钥SK_u,1和返回密文密钥集CT*解密返回密文集C'得到明文文档。

进一步的，所述步骤一中，公共参数

主密钥

msk＝{a₀,a₁,b₀,b₁,v₁,…v_U}；

其中，G是p阶加法循环群，g,g₀,g₁是G的生成元，G_T是p阶乘法循环群，e是双线性映射G×G→G_T，H表示将集合{0,1}^*映射到p阶整数环Z_p的哈希函数，a₀表示第一随机数：a₀∈Z_p，a₁表示第二随机数a₁∈Z_p，b₀表示第三随机数：b₀∈Z_p，b₁表示第四随机数b₁∈Z_p，系统属性集U＝{Att₁,…,Att_u}，Att₁表示第一个系统属性，Att_u表示第u个系统属性，对第i个属性计算第i个属性相关值vi表示第i个属性相关随机数，v1表示第一个属性相关随机数，v_u表示第u个属性相关随机数。

进一步的，所述步骤二，具体包括以下步骤：

第一步：对身份信息的是ID_j属性授权中心AA_j，中央授权中心CA为其生成授权中心公钥PK_j，授权中心私钥SK_j和授权中心证书Cert_j；对身份信息是ID_u的数据用户，中央授权中心CA为其生成数据用户密钥k_u和数据用户证书Cert_u；

其中表示第j个属性授权中心的公钥，SK_j＝k_j表示第j个属性授权中心的私钥，k_j表示第j随机数：k_j∈Z_p，1≤j≤m表示有m个属性授权中心，数据用户密钥k_u∈Z_p；

第二步：属性集是S＝{τ}的数据用户是发起密钥生成请求，首先随机选择一个属性授权中心AA_j，属性授权中心AA_j验证数据用户证书Cert_u的合法性。如果数据用户没有合法的属性集，则终止操作；否则，属性授权中心AA_j根据属性集S中的每个属性τ生成临时密钥SK_u,0＝{k_j,_u,τ,0',k_j,_u,τ,0”}_τ∈S；

其中k_j,u,τ,0'表示第一临时密钥分量，k_j,u,τ,0”表示第二临时密钥分量，α表示第五随机数，α∈Z_p，β表示第六随机数，β∈Z_p，Φ_τ表示第τ个属性相关值；

第三步：属性授权中心AA_j将临时密钥SK_u,0，属性授权中心AA_j的身份信息ID_j，数据用户的身份信息ID_u和数据用户的属性集合S发送给中央授权中心CA；

第四步：中央授权中心CA生成最终密钥SK_u,1＝{K₀,K₁,K₂,K₃,{k_j,u,τ,1',k_j,u,τ,1”,k_j,u,τ,1”'}_τ∈S}，并将最终密钥SK_u,1通过属性授权中心AA_j返回给数据用户；

其中K₀表示第一最终密钥分量，K₁表示第二最终密钥分量，K₂表示第三最终密钥分量，K₃表示第四最终密钥分量，k_j,u,τ,1'表示第五最终密钥分量，k_j,u,τ,1”表示第六最终密钥分量，k_j,u,τ,1”'表示第七最终密钥分量，γu表示第七随机数，γ_u∈Z_p。

进一步的，所述步骤三，具体包括以下步骤：

第一步，用(M,ρ)来表示访问结构P，其中M是l×n的共享矩阵，l表示行数，n表示列数，ρ(i)是从{1,2,…,l}到P的单向映射；

第二步，选取一个随机向量v＝{s,r₂,r₃,…,r_n}，其中s∈Z_p表示将要共享的秘密值，r_x表示第x随机数：r_x∈Z_p，2≤x≤n；

第三步，计算共享秘密值λ_i＝M_i·v^T，其中M_i表示M的第i行向量，v^T表示随机向量v的转置；

第四步，数据拥有者对密文对称密钥sk_f进行加密，生成密文对称密钥CT_f＝{C_i,1,C_i,2,C_f,C'}；

其中，C_i,1表示第一密文对称密钥分量：C_i,2表示第二密文对称密钥分量：C_f表示第三密文对称密钥分量：C'表示第四密文对称密钥分量C'＝g^s：π_i表示第i随机数：π_i∈Z_p，1≤i≤l；

第五步，给定关键字集W＝{w}，数据拥有者对包含关键字w的明文文档建立密文索引I_w＝{I₀,I_t,1,I₂,I₃}；

其中I₀表示第一索引分量：I_i,1表示第二索引分量：I₂表示第三索引分量：I₃表示第四索引分量：

第六步，数据拥有者将密文文档集C，密文对称密钥集CT，索引集I和访问控制结构P发送给云服务器；

进一步的，所述步骤四中，陷门T_w＝{T₀,T₁}，其中T₀表示第一陷门分量：T₁表示第二陷门分量：γu'表示第四随机数，γu'∈Z_p；

进一步的，所述步骤五中，云服务器按照如下等式将陷门T_w'和密文索引集I进行匹配，如果等式成立，则说明该密文索引所对应的密文包含关键字w'：

I₂·e(T₀,I₀·Π_ρ(i)∈SI_i,1)＝e(C',T₁)

进一步的，所述步骤六，具体包括以下步骤：

第一步：假定P'∈P是授权集合，定义根据线性秘密共享技术，存在常数集合{μ_i∈Z_p}_i∈η使得

第二步：对于属性集S＝{τ}，对每个属性τ，数据用户计算中间量

第三步：给定常数集{μ_i}，数据用户根据以下公式即可恢复出对称密钥sk_f，从而解密得到明文文档：

与现有技术相比，本发明至少具有以下有益的技术效果，通过将授权中心密钥分发和属性认证的工作分配到下层部门，让下层的多授权中心作为中间代理执行该项操作，不仅大大提高了密钥分发和用户认证的效率，也降低了由于单个授权中心失效而无法工作的风险；通过建立密文索引，让数据用户生成有效的陷门可以进行关键字密文检索，不仅保护了数据的安全性，而且可以快速定位用户感兴趣的密文文档；通过让密文与访问控制结构相关，密钥与数据用户属性相关，只有属性满足访问控制结构的数据用户是合法的，从而实现了细粒度的访问控制，在实际应用中是高效可行的。

附图说明

图1是本发明的系统示意图。

具体实施方式

下面结合附图和具体实施方式对本发明做进一步说明。

针对现有技术存在的不足，本发明提供了一种多授权中心基于属性的可搜索加密方法。参照图1系统示意图，本发明包括以下步骤：

步骤一，系统初始化：中央授权中心CA根据安全参数k，生成公共参数pm和主密钥msk，其中：

公共参数

主密钥msk＝{a₀,a₁,b₀,b₁,v₁,…v_U}。

其中G是p阶加法循环群，g,g₀,g₁是G的生成元，G_T是p阶乘法循环群，e是双线性映射G×G→G_T，H表示将集合{0,1}^*映射到p阶整数环Z_p的哈希函数，a₀表示第一随机数：a₀∈Z_p，a₁表示第二随机数a₁∈Z_p，b₀表示第三随机数：b₀∈Z_p，b₁表示第四随机数b₁∈Z_p，系统属性集U＝{Att₁,…,Att_u}，Att₁表示第一个系统属性，Att_u表示第u个系统属性，对第i个属性计算第i个属性相关值vi表示第i个属性相关随机数，v₁表示第一个属性相关随机数，v_u表示第u个属性相关随机数。

步骤二，密钥生成：如图1中的①所示，根据数据用户的属性集S和身份信息ID_u，被选定的第j个属性授权中心AA_j将生成临时密钥SK_u,0，并发送给中央授权中心CA；中央授权中心CA生成最终密钥SK_u,1，并将最终密钥SK_u,1通过属性授权中心AA_j返回给数据用户，具体包括以下步骤：

第一步：对身份信息的是ID_j属性授权中心AA_j，中央授权中心CA为其生成授权中心公钥PK_j，授权中心私钥SK_j和授权中心证书Cert_j；对身份信息是ID_u的数据用户，中央授权中心CA为其生成数据用户密钥k_u和数据用户证书Cert_u；

其中表示第j个属性授权中心的公钥，SK_j＝k_j表示第j个属性授权中心的私钥，k_j表示第j随机数：k_j∈Z_p，1≤j≤m表示有m个属性授权中心，数据用户密钥k_u∈Z_p；

第二步：属性集是S＝{τ}的数据用户是发起密钥生成请求，首先随机选择一个属性授权中心AA_j，属性授权中心AA_j验证数据用户证书Cert_u的合法性。如果数据用户没有合法的属性集，则终止操作；否则，属性授权中心AA_j根据属性集S中的每个属性τ生成临时密钥SK_u,0＝{k_j,_u,τ,0',k_j,_u,τ,0”}_τ∈S；

其中k_j,u,τ,0'表示第一临时密钥分量，k_j,u,τ,0”表示第二临时密钥分量，α表示第五随机数，α∈Z_p，β表示第六随机数，β∈Z_p，Φ_τ表示第τ个属性相关值。

第三步：属性授权中心AA_j将临时密钥SK_u,0，属性授权中心AA_j的身份信息ID_j，数据用户的身份信息ID_u和数据用户的属性集合S发送给中央授权中心CA；

第四步：中央授权中心CA生成最终密钥SK_u,1＝{K₀,K₁,K₂,K₃,{k_j,u,τ,1',k_j,u,τ,1”,k_j,u,τ,1”'}_τ∈S}，并将最终密钥SK_u,1通过属性授权中心AA_j返回给数据用户；

其中K₀表示第一最终密钥分量，K₁表示第二最终密钥分量，K₂表示第三最终密钥分量，K₃表示第四最终密钥分量，k_j,u,τ,1'表示第五最终密钥分量，k_j,u,τ,1”表示第六最终密钥分量，k_j,u,τ,1”'表示第七最终密钥分量，γ_u表示第七随机数，γ_u∈Z_p。

步骤三，索引建立：如图1中的②所示，给定明文文档集F＝{f}，关键字集W＝{w}和访问控制结构P，数据拥有者利用对称密钥集SK＝{sk_f}将明文文档集F加密成密文文档集C，利用访问控制结构P将对称密钥集SK加密成对称密文密钥集CT，根据关键字集W生成密文索引集I，并将密文文档集C，密文对称密钥集CT，索引集I和访问控制结构P发送给云服务器，具体包括以下步骤：

第一步，用(M,ρ)来表示访问结构P，其中M是l×n的共享矩阵，l表示行数，n表示列数，ρ(i)是从{1,2,…,l}到P的单向映射；

第二步，选取一个随机向量v＝{s,r₂,r₃,…,r_n}，其中s∈Z_p表示将要共享的秘密值，r_x表示第x随机数：r_x∈Z_p，2≤x≤n；

第三步，计算共享秘密值λ_i＝M_i·v^T，其中M_i表示M的第i行向量，v^T表示随机向量v的转置；

第四步，数据拥有者对密文对称密钥sk_f进行加密，生成密文对称密钥CT_f＝{C_i,1,C_i,2,C_f,C'}；

其中，C_i,1表示第一密文对称密钥分量：C_i,2表示第二密文对称密钥分量：C_f表示第三密文对称密钥分量：C'表示第四密文对称密钥分量C'＝g^s：π_i表示第i随机数：π_i∈Z_p，1≤i≤l；

第五步，给定关键字集W＝{w}，数据拥有者对包含关键字w的明文文档建立密文索引I_w＝{I₀,I_t,1,I₂,I₃}；

其中I₀表示第一索引分量：I_i,1表示第二索引分量：I₂表示第三索引分量：I₃表示第四索引分量：

第六步，数据拥有者将密文文档集C，密文对称密钥集CT，索引集I和访问控制结构P发送给云服务器；

步骤四，陷门生成：如图1中的③所示，数据用户根据查询关键字w'，数据用户的属性集S和最终私钥SK_u,1生成陷门T_w'，并将陷门T_w'和数据用户的属性集S发送给云服务器，其中，陷门T_w＝{T₀,T₁}，其中T₀表示第一陷门分量：T₁表示第二陷门分量：γ_u'表示第四随机数，γ_u'∈Z_p；

步骤五，密文搜索：如图1中的④所示，云服务器首先验证数据用户的属性集S是否满足访问控制结构，如果不满足，终止操作；否则，云服务器将陷门T_w'和密文索引集I进行匹配，将匹配成功的返回密文集C'和相应的返回密文密钥集CT*发送给数据用户，其中，云服务器按照如下等式将陷门T_w'和密文索引集I进行匹配，如果等式成立，则说明该密文索引所对应的密文包含关键字w'；

I₂·e(T₀,I₀·Π_ρ(i)∈SI_i,1)＝e(C',T₁)

步骤六，密文解密：根据返回密文集C'和相应的返回密文密钥集CT*，数据用户利用最终私钥SK_u,1和返回密文密钥集CT*解密返回密文集C'得到明文文档，具体包括以下步骤：

第一步：假定P'∈P是授权集合，定义根据线性秘密共享技术，存在常数集合{μ_i∈Z_p}_i∈η使得

第二步：对于属性集S＝{τ}，对每个属性τ，数据用户计算中间量

第三步：给定常数集{μ_i}，数据用户根据以下公式即可恢复出对称密钥sk_f，从而解密得到明文文档。

以上描述仅是本发明的一个具体实例，不构成对本发明的任何限制。显然对于本领域的专业人员来说，在了解发明内容和原理后，都可能在不背离本发明原理、结构的前提下，进行算法的修正和改进，但是这些基于本发明算法的修正和改进在本发明的权利要求保护范围之内。

Claims (7)

1.一种多授权中心基于属性的可搜索加密方法，其特征在于，包括以下步骤：

步骤一，系统初始化：中央授权中心CA根据安全参数k，生成公共参数pm和主密钥msk；

步骤二，密钥生成：根据数据用户的属性集S和身份信息ID_u，被选定的第j个属性授权中心AA_j将生成临时密钥SK_u,0，并发送给中央授权中心CA；中央授权中心CA生成最终密钥SK_u,1，并将最终密钥SK_u,1通过属性授权中心AA_j返回给数据用户；

步骤三，索引建立：给定明文文档集F＝{f}，关键字集W＝{w}和访问控制结构P，数据拥有者利用对称密钥集SK＝{sk_f}将明文文档集F加密成密文文档集C，利用访问控制结构P将对称密钥集SK加密成对称密文密钥集CT，根据关键字集W生成密文索引集I，并将密文文档集C，密文对称密钥集CT，索引集I和访问控制结构P发送给云服务器；

步骤四，陷门生成：数据用户根据查询关键字w'，数据用户的属性集S和最终私钥SK_u,1生成陷门T_w'，并将陷门T_w'和数据用户的属性集S发送给云服务器；

步骤五，密文搜索：云服务器首先验证数据用户的属性集S是否满足访问控制结构，如果不满足，终止操作；否则，云服务器将陷门T_w'和密文索引集I进行匹配，将匹配成功的返回密文集C'和相应的返回密文密钥集CT*发送给数据用户；

步骤六，密文解密：根据返回密文集C'和相应的返回密文密钥集CT*，数据用户利用最终私钥SK_u,1和返回密文密钥集CT*解密返回密文集C'得到明文文档。

2.根据权利要求1所述的一种多授权中心基于属性的可搜索加密方法，其特征在于，所述步骤一中，公共参数主密钥msk＝{a₀,a₁,b₀,b₁,v₁,…v_U}；

其中，G是p阶加法循环群，g,g₀,g₁是G的生成元，G_T是p阶乘法循环群，e是双线性映射G×G→G_T，H表示将集合{0,1}^*映射到p阶整数环Z_p的哈希函数，a₀表示第一随机数：a₀∈Z_p，a₁表示第二随机数a₁∈Z_p，b₀表示第三随机数：b₀∈Z_p，b₁表示第四随机数b₁∈Z_p，系统属性集U＝{Att₁,…,Att_u}，Att₁表示第一个系统属性，Att_u表示第u个系统属性，对第i个属性计算第i个属性相关值v_i表示第i个属性相关随机数，v₁表示第一个属性相关随机数，v_u表示第u个属性相关随机数。

3.根据权利要求1所述的一种多授权中心基于属性的可搜索加密方法，其特征在于，所述步骤二，具体包括以下步骤：

第一步：对身份信息的是ID_j属性授权中心AA_j，中央授权中心CA为其生成授权中心公钥PK_j，授权中心私钥SK_j和授权中心证书Cert_j；对身份信息是ID_u的数据用户，中央授权中心CA为其生成数据用户密钥k_u和数据用户证书Cert_u；

其中表示第j个属性授权中心的公钥，SK_j＝k_j表示第j个属性授权中心的私钥，k_j表示第j随机数：k_j∈Z_p，1≤j≤m表示有m个属性授权中心，数据用户密钥k_u∈Z_p；

第二步：属性集是S＝{τ}的数据用户是发起密钥生成请求，首先随机选择一个属性授权中心AA_j，属性授权中心AA_j验证数据用户证书Cert_u的合法性；如果数据用户没有合法的属性集，则终止操作；否则，属性授权中心AA_j根据属性集S中的每个属性τ生成临时密钥SK_u,0＝{k_j,u,τ,0',k_j,u,τ,0”}_τ∈S；

其中k_j,u,τ,0'表示第一临时密钥分量，表示第二临时密钥分量，α表示第五随机数，α∈Z_p，β表示第六随机数，β∈Z_p，Φ_τ表示第τ个属性相关值；

第三步：属性授权中心AA_j将临时密钥SK_u,0，属性授权中心AA_j的身份信息ID_j，数据用户的身份信息ID_u和数据用户的属性集合S发送给中央授权中心CA；

第四步：中央授权中心CA生成最终密钥SK_u,1＝{K₀,K₁,K₂,K₃,{k_j,u,τ,1',k_j,u,τ,1”,k_j,u,τ,1”'}_τ∈S}，并将最终密钥SK_u,1通过属性授权中心AA_j返回给数据用户；

其中K₀表示第一最终密钥分量，K₁表示第二最终密钥分量，K₂表示第三最终密钥分量，K₃表示第四最终密钥分量，k_j,u,τ,1'表示第五最终密钥分量，k_j,u,τ,1”表示第六最终密钥分量，k_j,u,τ,1”'表示第七最终密钥分量，γ_u表示第七随机数，γ_u∈Z_p。

4.根据权利要求1所述的一种多授权中心基于属性的可搜索加密方法，其特征在于，所述步骤三，具体包括以下步骤：

第一步，用(M,ρ)来表示访问结构P，其中M是l×n的共享矩阵，l表示行数，n表示列数，ρ(i)是从{1,2,…,l}到P的单向映射；

第二步，选取一个随机向量v＝{s,r₂,r₃,…,r_n}，其中s∈Z_p表示将要共享的秘密值，r_x表示第x随机数：r_x∈Z_p，2≤x≤n；

第三步，计算共享秘密值λ_i＝M_i·v^T，其中M_i表示M的第i行向量，v^T表示随机向量v的转置；

第四步，数据拥有者对密文对称密钥sk_f进行加密，生成密文对称密钥CT_f＝{C_i,1,C_i,2,C_f,C'}；

其中，C_i,1表示第一密文对称密钥分量：C_i,2表示第二密文对称密钥分量：C_f表示第三密文对称密钥分量：C'表示第四密文对称密钥分量C'＝g^s：π_i表示第i随机数：π_i∈Z_p，1≤i≤l；

第五步，给定关键字集W＝{w}，数据拥有者对包含关键字w的明文文档建立密文索引I_w＝{I₀,I_t,1,I₂,I₃}；

其中I₀表示第一索引分量：I_i,1表示第二索引分量：I₂表示第三索引分量：I₃表示第四索引分量：

第六步，数据拥有者将密文文档集C，密文对称密钥集CT，索引集I和访问控制结构P发送给云服务器。

5.根据权利要求1所述的一种多授权中心基于属性的可搜索加密方法，其特征在于，所述步骤四中，陷门T_w＝{T₀,T₁}，其中T₀表示第一陷门分量：T₁表示第二陷门分量：γ_u'表示第四随机数，γ_u'∈Z_p。

6.根据权利要求1所述的一种多授权中心基于属性的可搜索加密方法，其特征在于，所述步骤五中，云服务器按照如下等式将陷门T_w'和密文索引集I进行匹配，如果等式成立，则说明该密文索引所对应的密文包含关键字w'：

I₂·e(T₀,I₀·Π_ρ(i)∈SI_i,1)＝e(C',T₁)。

7.根据权利要求1所述的一种多授权中心基于属性的可搜索加密方法，其特征在于，所述步骤六，具体包括以下步骤：

第一步：假定P'∈P是授权集合，定义根据线性秘密共享技术，存在常数集合{μ_i∈Z_p}_i∈η使得

第二步：对于属性集S＝{τ}，对每个属性τ，数据用户计算中间量

第三步：给定常数集{μ_i}，数据用户根据以下公式即可恢复出对称密钥sk_f，从而解密得到明文文档：

<mrow> <msub> <mi>C</mi> <mi>f</mi> </msub> <mo>&amp;CenterDot;</mo> <mfrac> <mrow> <msub> <mi>&amp;Pi;</mi> <mrow> <mi>i</mi> <mo>&amp;Element;</mo> <mi>&amp;eta;</mi> </mrow> </msub> <msup> <mrow> <mo>(</mo> <mi>e</mi> <mo>(</mo> <msub> <mi>C</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>1</mn> </mrow> </msub> <mo>,</mo> <msub> <mi>K</mi> <mn>3</mn> </msub> <mo>)</mo> <mo>&amp;CenterDot;</mo> <mi>e</mi> <mo>(</mo> <msub> <mi>C</mi> <mrow> <mi>i</mi> <mo>,</mo> <mn>2</mn> </mrow> </msub> <mo>,</mo> <msub> <mi>&amp;psi;</mi> <mrow> <mi>&amp;rho;</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </msub> <mo>)</mo> <mo>)</mo> </mrow> <msub> <mi>&amp;mu;</mi> <mi>i</mi> </msub> </msup> </mrow> <mrow> <mi>e</mi> <mrow> <mo>(</mo> <msup> <mi>c</mi> <mo>&amp;prime;</mo> </msup> <mo>,</mo> <msub> <mi>K</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> </mrow> </mfrac> <mo>=</mo> <mfrac> <mrow> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <mi>g</mi> <mo>)</mo> </mrow> <mrow> <msub> <mi>a</mi> <mn>0</mn> </msub> <mi>s</mi> </mrow> </msup> <mo>&amp;CenterDot;</mo> <msub> <mi>sk</mi> <mi>f</mi> </msub> </mrow> <mrow> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <mi>g</mi> <mo>)</mo> </mrow> <mrow> <msub> <mi>a</mi> <mn>0</mn> </msub> <mi>s</mi> </mrow> </msup> </mrow> </mfrac> <mo>=</mo> <msub> <mi>sk</mi> <mi>f</mi> </msub> <mo>.</mo> </mrow>