CN110120871A - 一种私钥和密文长度固定的广播加密方法和系统 - Google Patents

Abstract

本发明涉及一种私钥和密文长度固定的广播加密方法和系统，数据拥有者利用会话密钥加密其数据并将加密后的数据上传至云存储服务器。数据订阅用户在数据拥有者处提交身份信息注册并申请访问授权。数据拥有者为所有数据订阅用户生成私钥并同时发布系统公开参数。数据拥有者将授权数据订阅用户作为合法接收者并通过公钥广播加密为之加密会话密钥。合法数据订阅用户可以通过其各自私钥成功解密广播密文进而获得会话密钥。目标数据订阅用户可利用该会话密钥继续对加密后的数据进行解密进而访问到原始数据。本发明设计了剪枝‑合并算法，有效降地低了需要生成私钥的合法接收者的数量，适合用于实现细粒度访问控制。

Description

一种私钥和密文长度固定的广播加密方法和系统

技术领域

本发明涉及云计算安全技术领域，特别是一种私钥和密文长度固定的广播加密方法和系统。

背景技术

广播加密概念是由Fiat和Naor提出的。广播加密可以使得发送者通过公开广播信道上向一组合法接收者安全地传输加密消息。具体而言，发送者为合法接收者集合中的接收者加密原始消息生成密文，集合中的任意接收者都可以利用其私钥解密该密文从而恢复出原始消息。然而，集合以外的所有非法用户都无法恢复出原始消息。与传统的点对点传输机制相比，广播加密在计算和通信代价方面优势明显。因此，广播加密自提出以来已经收到非常多的关注，并在相关场景中得到了广泛的应用，例如数字版权管理、付费电视、卫星通信、视频会议、无线传感器网络以及远程教育等。近年来，随着云计算的快速发展和云存储服务的大规模应用，需要实现高效云存储服务数据访问控制机制，广播加密亦是非常流行和适用的一个选择。

值得一提的是，对于绝大多数已有的基于身份广播加密方案而言，系统公开参数、私钥和密文的长度都与最大接收者数量或者当前合法接收者数量成线性增长关系。因为计算代价和接收者数量之间存在这一正相关关系，将这些方案应用于广播场景时，PKG须承受沉重的计算代价。所以，绝大多数已有的基于身份广播加密方案都无法适用于那些面向大量潜在目标接收者的广播应用。

目前而言，广播应用场景可根据发送者是否固定而分为两大类。在发送者不固定的场景中，例如视频会议、无线传感器网络以及远程教育等，应用中的任何用户都可以发起广播会话过程。而在发送者固定的场景中，例如DRM、卫星通信以及付费电视等，广播会话过程通常由希望向一组合法接收者发送消息的某个固定用户发起。显然，在为两类广播应用设计广播加密方案时需要采取不同的策略。

本发明重点关注具有固定发送者广播应用场景下实用广播加密方案的设计与实现。旨在设计用于构造云存储服务数据访问控制机制的高效广播加密方案。在过去的几年间，云计算和云存储服务发展迅猛。借助于云存储服务器，数据拥有者将其文档、照片以及视频等个人数据上传至云端。这些数据通常需要对云存储服务器保密。换言之，这些数据在外包至云端之前，数据拥有者通常需要先对其进行加密。只有那些经过数据拥有者授权的合法数据订阅用户才能访问存储在云端的数据。然后数据拥有者向合法数据订阅用户广播授权凭证或者加密数据的解密密钥，以用于合法数据订阅用户解密并恢复出原始数据。

显而易见，对于具有固定发送者的广播应用场景而言，发送者通常也同时承担了系统管理员的角色。所有潜在的订阅者或者接收者将在发送者处注册并申请访问授权。显然，发送者的计算和存储代价将会随着合法接收者的数量而急剧增加。因此，发送者很可能会成为系统性能瓶颈。所以，在具有固定发送者的广播应用场景中，如何有效地降低发送者的负担对于改善系统性能至关重要。

发明内容

有鉴于此，本发明的目的是提出一种私钥和密文长度固定的广播加密方法和系统，通过剪枝-合并算法有效地降低了需要生成私钥的合法接收者的数量，引入了完全二叉身份树这一新概念，提出的完全二叉身份树更适合于实现细粒度访问控制。

本发明采用以下方案实现：一种私钥和密文长度固定的广播加密方法，具体包括：

系统设置：数据拥有者DO输入安全参数λ、输出系统公开参数params和系统主密钥MK；数据拥有者发布系统公开参数params并秘密持有系统主密钥MK；

密钥产生方法：输入系统公开参数params、系统主密钥MK以及某个用户的身份ID_i，算法输出用户ID_i的私钥SK_i；其中，i∈[1,N]；

加密方法：数据拥有者输入系统公开参数params、合法接收者身份集合以及广播消息M，输出(Hdr,K)；其中，Hdr为广播密文头部，K表示对称加密算法中的会话密钥；当发送者需要向集合S中的合法接收者广播消息M时，发送者首先生成(Hdr,K)，然后利用会话密钥K计算消息M对应的密文C_M，C_M为广播主体，并输出最终的广播密文CT＝(S,Hdr,C_M)；值得注意的是，目标接收者集合S一般视为广播密文的一个隐式组成部分。为简单起见，在广播密文CT中略去目标接收者集合S；

解密方法：给定系统公开参数params、合法接收者集合广播密文CT、某个用户的身份ID_i及其私钥SK_i，若用户ID_i∈S，输出原始广播消息M。

进一步地，所述系统设置具体包括以下步骤：

步骤S11：数据拥有者随机产生三个不同大素数因子p₁、p₂和p₃的复合整数p＝p₁p₂p₃，两个阶为p的乘法循环群和以及一个双线性映射

步骤S12：数据拥有者随机选取一个子群的生成元，即另随机选取和然后计算v＝e(g,g)^α；

步骤S13：数据拥有者公开系统公开参数而将系统主密钥MK＝α保密。

进一步地，所述密钥生成方法具体包括以下步骤：

步骤S21：给定合法接收者的身份集合其中n≤N；数据拥有者执行剪枝-合并算法prune-merge(S,L)并得到数据订阅用户DS的代表身份集合n′≤n；剪枝-合并算法prune-merge(S,L)执行结束后，原始身份集合S与代表身份集合S′之间的对应关系将记录在列表L中；

步骤S22：数据拥有者DO为所有i∈[1,n′]随机选取一组元素对于S′中的身份数据拥有者DO随机选取其中t_i＝j₁,j₂,...,j_n′且t_i≠j_i，数据拥有者DO为计算私钥如下：

步骤S23：为S′中所有身份都生成私钥后，数据拥有者DO根据列表L中所记录的原始身份集合S与代表身份集合S′之间的对应关系，将生成的私钥发送合法的数据订阅用户DS。显见，那些具有相同代表身份的合法DS将会被分配相同的私钥。

进一步地，步骤S21具体包括以下步骤：

步骤S211：定义函数Compute(Node_i,j→ID)：

Node_i,j→ID＝H₁(Node_i,j→LChild→ID,Node_i,j→RChild→ID)；

式中，H₁是一个哈希函数，形如其中p表示复合阶双线性群的阶；

步骤S212：定义函数Substitute(Node_i,j→ID)：

Node_i,j→ID＝ParentNode_i,j→ID；

该函数搜索列表L中各个条目的第二部分以查找输入的身份，然后用其父节点的身份来替换该身份；父节点的身份是一个称为代表身份的计算值；ParentNode_i,j表示节点Node_i,j的父节点；

步骤S213：定义函数Delete(Node_i,j)：

ParentNode_i,j→LChild＝Null

ParentNode_i,j→RChild＝Null；

步骤S214：令N＝2^l-1，N表示合法接收者的最大数量而l表示二叉身份树的深度；令n表示当前合法接收者的数量；当前合法接收者集合n≤N；数据拥有者DO维护一张列表L＝{(OID,RID)}以记录原始身份与代表身份之间的对应关系；

步骤S215：在执行剪枝-合并算法prune-merge(S,L)之前，将列表L初始化为代表身份与原始身份相同的形式，即

步骤S216：执行prune-merge(S,L)。

进一步地，所述加密方法具体包括以下步骤：

步骤S31：给定系统公开参数params和会话密钥K，数据拥有者DO随机选取并计算广播密文如下：

步骤S32：数据拥有者DO广播集合S、密文头部Hdr＝(C₀,C₁)和密文主体C_M＝C₂给接收者。

进一步地，所述解密算法具体为：

给定系统公开参数params和广播密文CT＝(C₀,C₁,C₂)，一个合法数据订阅用户解密并恢复出原始会话密钥的过程如下：

进一步地，本发明还提供了一种基于上文所述的私钥和密文长度固定的广播加密方法的系统，包括三类实体，即数据拥有者DO、数据订阅用户以及云存储服务器；数据拥有者利用会话密钥加密其数据并将加密后的数据上传至云存储服务器；数据订阅用户在数据拥有者处提交身份信息注册并申请访问授权；数据拥有者为所有数据订阅用户生成私钥并同时发布系统公开参数；然后数据拥有者将授权数据订阅用户作为合法接收者并通过公钥广播加密为之加密会话密钥；合法数据订阅用户能够通过其各自私钥成功解密广播密文进而获得会话密钥；最后，目标数据订阅用户能够利用该会话密钥继续对加密后的数据进行解密进而访问到原始数据。

较佳的，本发明是基于完全二叉身份树和剪枝-合并算法设计的，在完全二叉身份树中，数据拥有者DO被设置为根节点，用叶节点来组织和管理最大接收者集合S中的所有接收者身份，接收者的身份仅与叶节点相关联。完全二叉身份树中其余节点将会与一个通过其子节点计算得到的值绑定。为了降低DO需要生成的私钥数量，本发明设计了剪枝-合并算法以减少合法接收者的数量。该方法采用自底向上的方法遍历身份树，为那些同时具有左、右两个子节点的内部节点计算出相应的值并作为其代表身份，然后删除该内部节点的左、右子节点，这是一个递归的过程。原始身份与代表身份之间的对应关系将通过一张列表记录下来。算法执行结束后，将得到一个最小二叉代表身份树。令S′表示最小二叉代表身份树中叶子节点的集合。进一步地，用集合S′来替换原始接收者集合S。从剪枝-合并算法很容易得出，集合S′的规模肯定小于集合S的规模，亦即|S′|≤|S|。即，剪枝-合并方法有效降低了需要生成私钥的合法接收者的数量。本发明提出的完全二叉身份树更适合用于实现细粒度访问控制。

与现有技术相比，本发明有以下有益效果：

1、本发明利用剪枝-合并算法以减少合法接收者的数量，设计了一种私钥和密文长度固定的广播加密协议，且协议具有较好的性能和较高的安全性。

2、为了降低数据拥有者DO需要生成的私钥数量，本发明设计了剪枝-合并算法，有效降地低了需要生成私钥的合法接收者的数量，适合用于实现细粒度访问控制。本发明方法也是安全高效的。

附图说明

图1为本发明实施例的原理示意图。

图2为本发明实施例的完全二叉身份数示例示意图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

如图1至图2所示，本实施例提供了一种私钥和密文长度固定的广播加密方法，具体包括：

系统设置：数据拥有者DO输入安全参数λ、输出系统公开参数params和系统主密钥MK；数据拥有者发布系统公开参数params并秘密持有系统主密钥MK；

密钥产生方法：输入系统公开参数params、系统主密钥MK以及某个用户的身份ID_i，算法输出用户ID_i的私钥SK_i；其中，i∈[1,N]；

加密方法：数据拥有者输入系统公开参数params、合法接收者身份集合以及广播消息M，输出(Hdr,K)；其中，Hdr为广播密文头部，K表示对称加密算法中的会话密钥；当发送者需要向集合S中的合法接收者广播消息M时，发送者首先生成(Hdr,K)，然后利用会话密钥K计算消息M对应的密文C_M，C_M为广播主体，并输出最终的广播密文CT＝(S,Hdr,C_M)；值得注意的是，目标接收者集合S一般视为广播密文的一个隐式组成部分。为简单起见，在广播密文CT中略去目标接收者集合S；

解密方法：给定系统公开参数params、合法接收者集合广播密文CT、某个用户的身份ID_i及其私钥SK_i，若用户ID_i∈S，输出原始广播消息M。

在本实施例中，所述系统设置具体包括以下步骤：

步骤S11：数据拥有者随机产生三个不同大素数因子p₁、p₂和p₃的复合整数p＝p₁p₂p₃，两个阶为p的乘法循环群和以及一个双线性映射

步骤S12：数据拥有者随机选取一个子群的生成元，即另随机选取和然后计算v＝e(g,g)^α；

步骤S13：数据拥有者公开系统公开参数而将系统主密钥MK＝α保密。

在本实施例中，所述密钥生成方法具体包括以下步骤：

步骤S21：给定合法接收者的身份集合其中n≤N；数据拥有者执行剪枝-合并算法prune-merge(S,L)并得到数据订阅用户DS的代表身份集合n′≤n；剪枝-合并算法prune-merge(S,L)执行结束后，原始身份集合S与代表身份集合S′之间的对应关系将记录在列表L中；

步骤S22：数据拥有者DO为所有i∈[1,n′]随机选取一组元素对于S′中的身份i∈[1,n′]，数据拥有者DO随机选取其中t_i＝j₁,j₂,...,j_n′且t_i≠j_i，数据拥有者DO为计算私钥如下：

步骤S23：为S′中所有身份都生成私钥后，数据拥有者DO根据列表L中所记录的原始身份集合S与代表身份集合S′之间的对应关系，将生成的私钥发送合法的数据订阅用户DS。显见，那些具有相同代表身份的合法DS将会被分配相同的私钥。

在本实施例中，步骤S21具体包括以下步骤：

步骤S211：定义函数Compute(Node_i,j→ID)：

Node_i,j→ID＝H₁(Node_i,j→LChild→ID,Node_i,j→RChild→ID)；

式中，H₁是一个哈希函数，形如其中p表示复合阶双线性群的阶；

步骤S212：定义函数Substitute(Node_i,j→ID)：

Node_i,j→ID＝ParentNode_i,j→ID；

该函数搜索列表L中各个条目的第二部分以查找输入的身份，然后用其父节点的身份来替换该身份；父节点的身份是一个称为代表身份的计算值；ParentNode_i,j表示节点Node_i,j的父节点；

步骤S213：定义函数Delete(Node_i,j)：

ParentNode_i,j→LChild＝Null

ParentNode_i,j→RChild＝Null；

步骤S214：令N＝2^l-1，N表示合法接收者的最大数量而l表示二叉身份树的深度；令n表示当前合法接收者的数量；当前合法接收者集合n≤N；数据拥有者DO维护一张列表L＝{(OID,RID)}以记录原始身份与代表身份之间的对应关系；

步骤S215：在执行剪枝-合并算法prune-merge(S,L)之前，将列表L初始化为代表身份与原始身份相同的形式，即

步骤S216：执行prune-merge(S,L)。

在本实施例中，所述prune-merge(S,L)的流程代码具体为：

在本实施例中，所述加密方法具体包括以下步骤：

步骤S31：给定系统公开参数params和会话密钥K，数据拥有者DO随机选取并计算广播密文如下：

步骤S32：数据拥有者DO广播集合S、密文头部Hdr＝(C₀,C₁)和密文主体C_M＝C₂给接收者。

在本实施例中，所述解密算法具体为：

给定系统公开参数params和广播密文CT＝(C₀,C₁,C₂)，一个合法数据订阅用户解密并恢复出原始会话密钥的过程如下：

本实施例还提供了一种基于上文所述的私钥和密文长度固定的广播加密方法的系统，包括三类实体，即数据拥有者DO、数据订阅用户以及云存储服务器；数据拥有者利用会话密钥加密其数据并将加密后的数据上传至云存储服务器；数据订阅用户在数据拥有者处提交身份信息注册并申请访问授权；数据拥有者为所有数据订阅用户生成私钥并同时发布系统公开参数；然后数据拥有者将授权数据订阅用户作为合法接收者并通过公钥广播加密为之加密会话密钥；合法数据订阅用户能够通过其各自私钥成功解密广播密文进而获得会话密钥；最后，目标数据订阅用户能够利用该会话密钥继续对加密后的数据进行解密进而访问到原始数据。

较佳的，本实施例是基于完全二叉身份树和剪枝-合并算法设计的，在完全二叉身份树中，数据拥有者DO被设置为根节点，用叶节点来组织和管理最大接收者集合S中的所有接收者身份，接收者的身份仅与叶节点相关联。完全二叉身份树中其余节点将会与一个通过其子节点计算得到的值绑定。为了降低DO需要生成的私钥数量，本发明设计了剪枝-合并算法以减少合法接收者的数量。该方法采用自底向上的方法遍历身份树，为那些同时具有左、右两个子节点的内部节点计算出相应的值并作为其代表身份，然后删除该内部节点的左、右子节点，这是一个递归的过程。原始身份与代表身份之间的对应关系将通过一张列表记录下来。算法执行结束后，将得到一个最小二叉代表身份树。令S′表示最小二叉代表身份树中叶子节点的集合。进一步地，用集合S′来替换原始接收者集合S。从剪枝-合并算法很容易得出，集合S′的规模肯定小于集合S的规模，亦即|S′|≤|S|。即，剪枝-合并方法有效降低了需要生成私钥的合法接收者的数量。本发明提出的完全二叉身份树更适合用于实现细粒度访问控制。

本实施例的主要特色优势是利用剪枝-合并算法以减少合法接收者的数量，设计了一种私钥和密文长度固定的广播加密协议。且协议具有较好的性能和较高的安全性。

本实施例的公开了一种私钥和密文长度固定的广播加密方法。数据拥有者利用会话密钥加密其数据并将加密后的数据上传至云存储服务器。数据订阅用户在数据拥有者处提交身份信息注册并申请访问授权。数据拥有者为所有数据订阅用户生成私钥并同时发布系统公开参数。数据拥有者将授权数据订阅用户作为合法接收者并通过公钥广播加密为之加密会话密钥。合法数据订阅用户可以通过其各自私钥成功解密广播密文进而获得会话密钥。目标数据订阅用户可利用该会话密钥继续对加密后的数据进行解密进而访问到原始数据。为了降低DO需要生成的私钥数量，本发明设计了剪枝-合并算法，有效降地低了需要生成私钥的合法接收者的数量，适合用于实现细粒度访问控制。本发明方法也是安全高效的。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅是本发明的较佳实施例而已，并非是对本发明作其它形式的限制，任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例。但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型，仍属于本发明技术方案的保护范围。

Claims (7)

1.一种私钥和密文长度固定的广播加密方法，其特征在于，包括

系统设置：数据拥有者DO输入安全参数λ、输出系统公开参数params和系统主密钥MK；数据拥有者发布系统公开参数params并秘密持有系统主密钥MK；

密钥产生方法：输入系统公开参数params、系统主密钥MK以及某个用户的身份ID_i，算法输出用户ID_i的私钥SK_i；其中，i∈[1,N]；

加密方法：数据拥有者输入系统公开参数params、合法接收者身份集合以及广播消息M，输出(Hdr,K)；其中，Hdr为广播密文头部，K表示对称加密算法中的会话密钥；当发送者需要向集合S中的合法接收者广播消息M时，发送者首先生成(Hdr,K)，然后利用会话密钥K计算消息M对应的密文C_M，C_M为广播主体，并输出最终的广播密文CT＝(S,Hdr,C_M)；

解密方法：给定系统公开参数params、合法接收者集合广播密文CT、某个用户的身份ID_i及其私钥SK_i，若用户ID_i∈S，输出原始广播消息M。

2.根据权利要求1所述的一种私钥和密文长度固定的广播加密方法，其特征在于，所述系统设置具体包括以下步骤：

步骤S11：数据拥有者随机产生三个不同大素数因子p₁、p₂和p₃的复合整数p＝p₁p₂p₃，两个阶为p的乘法循环群和以及一个双线性映射

步骤S12：数据拥有者随机选取一个子群的生成元，即另随机选取和然后计算v＝e(g,g)^α；

步骤S13：数据拥有者公开系统公开参数而将系统主密钥MK＝α保密。

3.根据权利要求1所述的一种私钥和密文长度固定的广播加密方法，其特征在于，所述密钥生成方法具体包括以下步骤：

步骤S21：给定合法接收者的身份集合其中n≤N；数据拥有者执行剪枝-合并算法prune-merge(S,L)并得到数据订阅用户DS的代表身份集合剪枝-合并算法prune-merge(S,L)执行结束后，原始身份集合S与代表身份集合S′之间的对应关系将记录在列表L中；

步骤S22：数据拥有者DO为所有i∈[1,n′]随机选取一组元素对于S′中的身份数据拥有者DO随机选取其中t_i＝j₁,j₂,...,j_n′且t_i≠j_i，数据拥有者DO为计算私钥如下：

步骤S23：为S′中所有身份都生成私钥后，数据拥有者DO根据列表L中所记录的原始身份集合S与代表身份集合S′之间的对应关系，将生成的私钥发送合法的数据订阅用户DS。

4.根据权利要求3所述的一种私钥和密文长度固定的广播加密方法，其特征在于，步骤S21具体包括以下步骤：

步骤S211：定义函数Compute(Node_i,j→ID)：

Node_i,j→ID＝H₁(Node_i,j→LChild→ID,Node_i,j→RChild→ID)；

式中，H₁是一个哈希函数，形如其中p表示复合阶双线性群的阶；

步骤S212：定义函数Substitute(Node_i,j→ID)：

Node_i,j→ID＝ParentNode_i,j→ID；

该函数搜索列表L中各个条目的第二部分以查找输入的身份，然后用其父节点的身份来替换该身份；父节点的身份是一个称为代表身份的计算值；ParentNode_i,j表示节点Node_i,j的父节点；

步骤S213：定义函数Delete(Node_i,j)：

ParentNode_i,j→LChild＝Null

ParentNode_i,j→RChild＝Null；

步骤S214：令N＝2^l-1，N表示合法接收者的最大数量而l表示二叉身份树的深度；令n表示当前合法接收者的数量；当前合法接收者集合n≤N；数据拥有者DO维护一张列表L＝{(OID,RID)}以记录原始身份与代表身份之间的对应关系；

步骤S215：在执行剪枝-合并算法prune-merge(S,L)之前，将列表L初始化为代表身份与原始身份相同的形式，即

步骤S216：执行prune-merge(S,L)。

5.根据权利要求1所述的一种私钥和密文长度固定的广播加密方法，其特征在于，所述加密方法具体包括以下步骤：

步骤S31：给定系统公开参数params和会话密钥K，数据拥有者DO随机选取并计算广播密文如下：

步骤S32：数据拥有者DO广播集合S、密文头部Hdr＝(C₀,C₁)和密文主体C_M＝C₂给接收者。

6.根据权利要求1所述的一种私钥和密文长度固定的广播加密方法，其特征在于，所述解密算法具体为：

给定系统公开参数params和广播密文CT＝(C₀,C₁,C₂)，一个合法数据订阅用户解密并恢复出原始会话密钥的过程如下：

7.根据权利要求1-7任一项所述的私钥和密文长度固定的广播加密方法的系统，其特征在于：包括三类实体，即数据拥有者DO、数据订阅用户以及云存储服务器；数据拥有者利用会话密钥加密其数据并将加密后的数据上传至云存储服务器；数据订阅用户在数据拥有者处提交身份信息注册并申请访问授权；数据拥有者为所有数据订阅用户生成私钥并同时发布系统公开参数；然后数据拥有者将授权数据订阅用户作为合法接收者并通过公钥广播加密为之加密会话密钥；合法数据订阅用户能够通过其各自私钥成功解密广播密文进而获得会话密钥；最后，目标数据订阅用户能够利用该会话密钥继续对加密后的数据进行解密进而访问到原始数据。