CN110868288A - 云存储环境下基于策略的外包数据细粒度可信删除方法 - Google Patents

Abstract

本发明提供一种云存储环境下基于策略的外包数据细粒度可信删除方法，属于云存储数据安全领域。该方法具体为：给每份数据定义描述标签，基于所述标签将数据加密后上传至云服务器存储；定义删除策略以指定要删除的数据类型；基于所述删除策略更新数据的解密密钥，使更新后的解密密钥无法解密任何满足所述删除策略的密文，从而实现相应密文的有效删除。所述方法在数据删除过程中，只需要对其本地解密密钥进行更新，而不需要依赖于云服务商，而且删除策略形式支持树结构表达形式，因此可以实现灵活高效的、完全可信的外包数据删除。总之，本发明提供的外包数据删除方法灵活、高效、可靠，同时能提升未被删除数据访问的高效性。

Description

云存储环境下基于策略的外包数据细粒度可信删除方法

技术领域

本发明属于云存储数据安全领域，具体涉及一种云存储环境下基于策略的外包数据细粒度可信删除方法及其后的数据访问方法。

背景技术

云存储服务提供了丰富的、弹性的存储资源，使得用户可以将数据外包至云端，从而节省本地基础设施的投入和管理成本，因此具有广泛的应用前景。但是，当数据被外包至云端后，用户失去了对其的直接物理控制权，因此需要依赖于云服务商提供的应用程序接口(API)来管理。以数据删除需求为例，当云端的某些敏感数据不再需要的时候，用户希望将其彻底的删除以保证任何人都无法再访问。为满足这种需求，云服务商会为用户提供数据删除接口，允许用户选择待删除数据并确认删除，然后向用户返回数据成功删除的消息。然而，云服务商的不完全可信性使得用户不愿意完全信任其提供的数据删除服务的可靠性。这是由于，一方面云服务商可能出于商业目的(如大数据分析、智能推荐等)不愿意响应用户请求而真正删除数据；另一方面，可能由于技术限制导致数据无法被彻底删除，比如为了保证数据容错性、可用性，数据可能被拷贝多份并存储至多个物理服务器中，导致删除的不彻底。

现有技术中，为了实现可信的数据删除，最直接的方法是用户将每一份数据进行加密后再上传至云端，然后在需要删除数据的时候将其对应的解密密钥从本地删除。这种方法可以通过保证外包数据的不可解密性来实现可信删除，但用户需要为每一份密文生成唯一的加解密密钥对，从而造成极大的密钥管理开销。此外，还有一些利用属性基加密算法实现的外包数据删除方案，使得用户可以基于统一的公钥加密数据，而且只需要管理一份解密密钥。但是，这些方案要么仍然依赖于云服务商对云端密文进行重加密以保证密文的不可解密性，要么只支持基于时间的数据删除，即数据在加密的时候已经被指定其在某个时间之后被自动删除，灵活性差。因此，现有的方案均难以实现高效灵活的、细粒度的外包数据可信删除。

发明内容

本发明提供了一种不依赖云服务商的、基于策略的外包数据细粒度可信删除方法，使得用户可以以一种灵活的、高效的方式从云端可靠、有效地删除某个、或者某一类特定的数据，同时可以保证未被删除数据访问的高效性。

本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法，具体步骤如下：

S1：系统初始化；

S2：数据上传至云服务器；

S3：定义数据删除策略；

S4：基于所述删除策略更新数据解密密钥，使更新后的解密密钥无法解密任何满足所述删除策略的密文。

在本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法的一种较佳实施例中，所述步骤S1具体为：指定系统中用户描述数据的标签个数及算法安全参数，输出系统公钥和初始解密密钥，用户保留初始解密密钥。

在本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法的一种较佳实施例中，所述步骤S1具体实现步骤为：

S11：定义系统中用于描述数据的标签个数d以及算法安全参数ξ，并生成双线性对e:G×G→G_T，其中G和G_T是以素数p为阶的乘法循环群，g是群G的一个生成元；

S12：随机选取

并计算g₁＝g^α，g₂＝g^β，同时随机选择一个d次多项式q(x)使其满足q(0)＝β，并且定义Q(x)＝g^q(x)；

S13：输出系统公钥和初始解密密钥，其中系统公钥为： PK＝<e,G,G_T,p,g,g₁,g₂,Q(1),Q(2),...,Q(d)>；

用户保留的初始解密密钥为：

其中，

代表一个虚拟标签，r₀是

上的随机数。

在本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法的一种较佳实施例中，步骤S2数据上传至云服务器的具体操作为：

S21：对数据F进行对称加密得到数据密文CT_F，其中，加密密钥 SE_k由群G_T中随机选择的一个元素g_k进行哈希运算得到；

S22：用户为数据F定义一个包含d个描述标签的集合 T＝{t₁,...,t_d}，每一个标签对应至

上的一个值，并将随机群元素g_k基于标签集合T利用系统公钥进行加密；

S23：用户随机选择

并计算

D＝g^s；

S24：对于T中的每一个标签t_i，计算E_i＝Q(t_i)^s；

S25：用户将生成的如下密文上传至云服务器中进行存储，

在本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法的一种较佳实施例中，步骤S4的过程主要是用户基于特定的删除策略PP_k来对其当前的密钥SK_k-1进行更新，使得更新后的密钥 SK_k无法解密任何满足所述删除策略的密文。

在本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法的一种较佳实施例中，所述删除策略PP_k支持树结构表达形式。

在本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法的一种较佳实施例中，步骤S4具体操作为：

S41：将所述删除策略PP_k按照从前之后的顺序根据如下规则转换为访问策略AP_k：

对于PP_k中的非叶子节点：如果该节点为与门，则将其转换为或门；如果该节点为或门，则将其转换为与门；如果该节点为(k,n) 门，则将其转换为(n-k+1,n)门；

对于PP_k中的叶子节点：假设该叶子节点对应的标签为t，则将其转换为非t；

S42：将当前私钥SK_k-1解析为{sk₀,sk₁,...,sk_k-1}，并将其中的sk₀解析为{t₀,K₀,L₀,Q₀}；

S43：选择两个随机数

并计算：

S44：定义一个随机数

用于盲化密钥组件；

S45：将λ_k作为秘密基于转换得到的访问策略AP_k进行划分，使得分配给每个叶子节点

的秘密分片为λ_k,j，其中LN(AP_k) 表示AP_k中所有叶子节点的集合；

S46：对于每个叶子节点

选择一个随机数

并计算：

S47：用户将与访问策略AP_k对应的如下随机盲化后的密钥rk_k上传至云服务器进行存储:

用户更新本地密钥为：

SK_k＝<sk'₀,z₁,…,z_k-1,z_k>。

本发明还提供上述的云存储环境下基于策略的外包数据细粒度可信删除方法后的数据访问方法，具体如下步骤：

步骤一：云服务器外包数据解密；

步骤二：用户最终解密。

进一步的，所述步骤一所述云服务器外包数据解密具体步骤为：

云服务器为响应用户对指定数据密文CT的请求，首先判断密文 CT的标签是否满足随机密钥集合RK_k＝[rk₁,…,rk_k]对应的删除策略 [PP₁,PP₂,…,PP_k]？若满足，则代表用户的密钥已经无法解密密文，以云服务器向用户返回数据已被删除的消息作为响应；否则，云服务器对密文CT利用RK_k执行部分解密操作。

进一步的，所述部分解密操作具体为：

对于i＝1,…,k以及每个叶子节点

云服务器首先计算一组拉格朗日系数w₁,…,w_d,w^*使得

然后计算：

接下来，对于i＝1,…,k，云服务器对于访问策略AP_i按照从下至上的顺序利用拉格朗日插值多项式技术组合

从而得到

云服务器将如下部分解密后的密文CT′返回给用户，

进一步的，所述步骤二所述用户最终解密具体步骤为：

用户收到所述密文CT′后，首先将SK_k中的sk'₀解析为{t₀,K₀,L₀,Q₀}，并计算一组拉格朗日系数τ₁,...,τ_d,τ^*使得

然后，用户计算Z₀如下：

接下来，对于i＝1,...,k，计算

然后，g_k可以通过计算

而得到，进而对称密钥SE_k可以由g_k计算哈希求出；

最后，用户对数据密文CT_F执行对称解密即可恢复数据文件F。

相较于现有技术，本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法支持灵活的、基于策略的细粒度数据删除，且删除过程中用户只需要对解密密钥执行更新操作，而不需要依赖于云服务商。此外，本发明可以有效的保护云端数据的安全性，且用户的数据加解密及删除开销均较小。本发明实现简单高效，且可以在保护数据安全的前提下保证数据删除的灵活性和可靠性，因此在云存储环境中具有广泛的应用前景。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图，其中：

图1是本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法的实现流程图；

图2是本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法的中一个从删除策略至访问策略的转换示例；

图3是本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法中用户执行系统初始化和数据加密的时间测试结果；

图4是本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法中用户执行数据删除的时间测试结果；

图5是本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法中用户执行数据解密的时间测试结果。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本发明的一部分实施例，而不是全部的实施例。

请参阅图1，是本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法的实现流程图。具体步骤如下：

S1：数据初始化；

S2：数据上传至云服务器；

S3：定义数据删除策略；

S4：基于所述删除策略更新数据解密密钥，使更新后的解密密钥无法解密任何满足所述删除策略的密文。

所述步骤S1具体为：定义系统中用于描述数据的标签个数以及算法安全参数，输出系统公钥和初始解密密钥，用户保留初始解密密钥。具体实现步骤如下：

S11：定义系统中用于描述数据的标签个数d以及算法安全参数ξ，并生成双线性对e:G×G→G_T，其中G和G_T是以素数p为阶的乘法循环群，g是群G的一个生成元；

S12：随机选取

并计算g₁＝g^α，g₂＝g^β，同时随机选择一个d次多项式q(x)使其满足q(0)＝β，并且定义Q(x)＝g^q(x)；

S13：输出系统公钥和初始解密密钥，其中系统公钥为： PK＝<e,G,G_T,p,g,g₁,g₂,Q(1),Q(2),...,Q(d)>；

用户保留的初始解密密钥为：

其中，

代表一个虚拟标签，不会在实际中定义数据标签，r₀是

上的随机数。

进一步的，步骤S2数据上传到云服务器的具体操作为：

S21：对数据F进行对称加密得到数据密文CT_F，其中，加密密钥 SE_k由群G_T中随机选择的一个元素g_k进行哈希运算得到；

S22：用户为数据F定义一个包含d个描述标签的集合 T＝{t₁,…,t_d}，每一个标签对应至

上的一个值，并将随机群元素g_k基于标签集合T利用系统公钥进行加密；

S23：用户随机选择

并计算

D＝g^s；

S24：对于T中的每一个标签t_i，计算E_i＝Q(t_i)^s；

S25：用户将生成的如下密文上传至云服务器中进行存储，

进一步的，步骤S4的过程主要是用户基于特定的删除策略PP_k来对其当前的密钥SK_k-1进行更新，使得更新后的密钥SK_k无法解密任何满足所述删除策略的密文。具体实施过程中，所述删除策略PP_k支持树结构表达形式，包括包含与门、或门、阈值门等操作，因此可以实现灵活高效的、完全可信的外包数据删除。

进一步的，步骤S4具体操作为：

S41：将所述删除策略PP_k按照从前之后的顺序根据如下规则转换为访问策略AP_k：

对于PP_k中的非叶子节点：如果该节点为与门，则将其转换为或门；如果该节点为或门，则将其转换为与门；如果该节点为(k,n) 门，则将其转换为(n-k+1,n)门；

对于PP_k中的叶子节点：假设该叶子节点对应的标签为t，则将其转换为非t。

请参阅图2，为一个从删除策略至访问策略的转换示例，在该转换过程中，AND门与OR门进行互换，(1，3)门将被替换为(3， 3)门，所有叶子节点被替换为其NOT形式，比如标签B将被NOTB 代替，标签C将被NOTC代替。

S42：将当前私钥SK_k-1解析为{sk₀,sk₁,…,sk_k-1}，并将其中的sk₀解析为{t₀,K₀,L₀,Q₀}；

S43：选择两个随机数

并计算：

S44：定义一个随机数

用于盲化密钥组件；

S45：将λ_k作为秘密基于转换得到的访问策略AP_k进行划分，使得分配给每个叶子节点

的秘密分片为λ_k,j，其中LN(AP_k) 表示AP_k中所有叶子节点的集合；

S46：对于每个叶子节点

选择一个随机数

并计算：

S47：用户将与访问策略AP_k对应的如下随机盲化后的密钥rk_k上传至云端进行存储：

用户更新本地密钥为：

SK_k＝<sk'₀,z₁,…,z_k-1,z_k>。

以上数据删除过程可以基于不同的删除策略反复多次进行。

利用上述云存储环境下基于策略的外包数据细粒度可信删除方法后的数据访问方法，具体如下步骤：

步骤一：云服务器数据外包解密；

步骤二：用户最终解密。

进一步的，所述步骤一所述的云服务器外包解密具体步骤为：

云服务器为响应用户对指定数据密文CT的请求，首先判断数据密文CT的标签是否满足随机密钥集合RK_k＝[rk₁,…,rk_k]对应的删除策略[PP₁,PP₂,…,PP_k]？若满足，则代表用户的密钥已经无法解密密文，以云服务器向用户返回数据已被删除的消息作为响应；否则，云服务器首先对密文CT利用RK_k执行部分解密操作。

进一步的，所述部分解密操作具体为：

对于i＝1,…,k以及每个叶子节点

云服务器首先计算一组拉格朗日系数w₁,…,w_d,w^*使得

然后计算：

接下来，对于i＝1,…,k，云服务器对于访问策略AP_i按照从下至上的顺序利用拉格朗日插值多项式技术组合

从而得到

云服务器将如下部分解密后的密文CT′返回给用户，

进一步的，所述步骤二所述用户最终解密具体步骤为：

用户收到上述密文CT′后，首先将SK_k中的sk'₀解析为{t₀,K₀,L₀,Q₀}，并计算一组拉格朗日系数τ₁,…,τ_d,τ^*使得

然后，用户计算Z₀如下：

接下来，对于i＝1,…,k，计算

然后，g_k可以通过计算

而得到，进而对称密钥SE_k可以由g_k计算哈希求出；

最后，用户对数据密文CT_F执行对称解密即可恢复数据文件F。

实施例1

假设用户定义系统中数据的标签个数为5，并基于“SS512”类型椭圆曲线定义双线性对e:G×G→G_T。然后，用户按照步骤S11至S13 计算系统公钥PK和初始解密密钥SK₀。

假设用户要上传5份数据至云端，数据的对应的标签分别如下：

F₁:<ID₁,A,B,C,D>

F₂:<ID₂,A,B,D,E>

F₃:<ID₃,A,C,D,E>

F₄:<ID₄,B,C,D,E>

F₅:<ID₅,C,D,E,F>

其中，ID₁至ID₅是为每个数据文件定义的唯一的标识标签，其余为特征描述标签。

用户将每份数据根据其标签按照步骤S2进行加密后将密文上传至云服务器。请参阅图3，图3是用户执行系统初始化和数据加密的时间测试结果。测试环境配置为：IntelCore i7-7600U 2.80GHz处理器，16GB内存，操作系统为Ubuntu 18.04，编程语言Python3.6。测试过程中的群操作基于“SS512”类型椭圆曲线执行，所用数据标签个数从1到10。图3表明，在数据标签个数为5的情况下，用户初始化系统和加密数据的时间仅约15ms，可见实现过程较为高效。

此时，用户可以利用其初始密钥SK₀解密云端的所有密文。假设用户希望从云端彻底删除文件F₁，则其定义一个删除策略为 PP₁＝(ID₁)，并基于此策略按照步骤S4更新初始化密钥SK₀为SK₁。此时，更新后得到的SK₁已经无法用于解密任何包含标签ID₁的密文(即数据F₁)。因此，即使用户当前的密钥SK₁被泄露，也可以保证数据F₁无法被访问，故可以认为云端的密文已被成功删除。请参阅图4，是用户执行数据删除的时间测试结果。测试环境同图3，其中n表示删除策略中包含的标签个数，且测试过程中仅考虑删除策略包含OR门的情况。由图4可知，用户数据删除时间与数据标签个数无关，而主要取决于删除策略中包含的标签个数n。在n＝4的情况下，数据删除时间不到25ms，可见本方法可以满足高效的数据删除需求。

假设用户希望从云端删除同时包含标签B以及标签C或者D的数据，则其定义一个删除策略PP₂＝(B AND(C OR D))，并基于此策略更新当前密钥SK₁为SK₂。文件F₂和F₄满足PP₂，所以无法被更新后的密钥SK₂解密，故可以被认为已从云端有效删除。上述过程中，删除策略需要首先转换为访问策略，具体请参阅图2。其中，AND门被转换为OR门，OR门被转换为AND门，且所有的标签均转换为其 NOT形式。

以访问文件F₅为例，该文件的标签不满足之前定义的任何一个删除策略，因此用户可以利用当前密钥SK₂按照步骤二在云服务器的帮助下成功解密密文得到明文数据。请参阅图5，为用户执行数据解密的时间测试结果。测试环境同图3，其中k表示删除操作发生次数， k＝0表示用户利用初始密钥解密密文的情况，即尚未执行数据删除操作。图5表明，用户数据访问时间受数据删除次数的影响较小，主要取决于数据中包含的标签个数d。由图可见，在d＝5的情况下，所需时间仅约为5ms，可见用户的数据访问开销很小。

相较于现有技术，本发明提供的云存储环境下基于策略的外包数据细粒度可信删除方法支持灵活的、基于策略的细粒度数据删除，且删除过程中用户只需要对解密密钥执行更新操作，而不需要依赖于云服务商。此外，本发明可以有效的保护云端数据的安全性，且用户的数据加解密及删除开销均较小。本发明实现简单高效，且可以在保护数据安全的前提下保证数据删除的灵活性和可靠性，因此在云存储环境中具有广泛的应用前景。

以上所述的本发明实施方式，并不构成对本发明保护范围的限定，任何在本发明精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明的权利要求保护范围之内。

Claims (11)

1.一种云存储环境下基于策略的外包数据细粒度可信删除方法，其特征在于：具体步骤如下：

S1：系统初始化；

S2：数据上传至云服务器；

S3：定义数据删除策略；

S4：基于所述删除策略更新数据解密密钥，使更新后的解密密钥无法解密任何满足所述删除策略的密文。

2.根据权利要求1所述的云存储环境下基于策略的外包数据细粒度可信删除方法，其特征在于：所述步骤S1具体为：指定系统中用户描述数据的标签个数及算法安全参数，输出系统公钥和初始解密密钥，用户保留初始解密密钥。

3.根据权利要求1所述的云存储环境下基于策略的外包数据细粒度可信删除方法，其特征在于：所述步骤S1具体实现步骤为：

S11：定义系统中用于描述数据的标签个数d以及算法安全参数ξ，并生成双线性对e:G×G→G_T，其中G和G_T是以素数p为阶的乘法循环群，g是群G的一个生成元；

S12：随机选取α,

并计算g₁＝g^α，g₂＝g^β，同时随机选择一个d次多项式q(x)使其满足q(0)＝β，并且定义Q(x)＝g^q(x)；

S13：输出系统公钥和初始解密密钥，其中系统公钥为：

PK＝<e,G,G_T,p,g,g₁,g₂,Q(1),Q(2),…,Q(d)>；

用户保留的初始解密密钥为：

其中，

代表一个虚拟标签，r₀是

上的随机数。

4.根据权利要求3所述的云存储环境下基于策略的外包数据细粒度可信删除方法，其特征在于：步骤S2数据上传至云服务器的具体操作为：

S21：对数据F进行对称加密得到数据密文CT_F，其中，加密密钥SE_k由群G_T中随机选择的一个元素g_k进行哈希运算得到；

S22：用户为数据F定义一个包含d个描述标签的集合T＝{t₁,…,t_d}，每一个标签对应至

上的一个值，并将随机群元素g_k基于标签集合T利用所述系统公钥进行加密；

S23：用户随机选择

并计算

D＝g^s；

S24：对于T中的每一个标签t_i，计算E_i＝Q(t_i)^s；

S25：用户将生成的如下密文上传至云服务器中进行存储，

5.根据权利要求4所述的云存储环境下基于策略的外包数据细粒度可信删除方法，其特征在于：步骤S4的过程主要是用户基于特定的删除策略PP_k来对其当前的密钥SK_k-1进行更新，使得更新后的密钥SK_k无法解密任何满足所述删除策略的密文。

6.根据权利要求5所述的云存储环境下基于策略的外包数据细粒度可信删除方法，其特征在于：所述删除策略PP_k形式支持树结构表达形式。

7.根据权利要求6所述的云存储环境下基于策略的外包数据细粒度可信删除方法，其特征在于：步骤S4具体操作为：

S41：将所述删除策略PP_k按照从前之后的顺序根据如下规则转换为访问策略AP_k：

对于PP_k中的非叶子节点：如果该节点为与门，则将其转换为或门；如果该节点为或门，则将其转换为与门；如果该节点为(k,n)门，则将其转换为(n-k+1,n)门；

对于PP_k中的叶子节点：假设该叶子节点对应的标签为t，则将其转换为非t；

S42：将当前私钥SK_k-1解析为{sk₀,sk₁,…,sk_k-1}，并将其中的sk₀解析为{t₀,K₀,L₀,Q₀}；

S43：选择两个随机数λ_k,

并计算：

S44：定义一个随机数

用于盲化密钥组件；

S45：将λ_k作为秘密基于转换得到的访问策略AP_k进行划分，使得分配给每个叶子节点

的秘密分片为λ_k,j，其中LN(AP_k)表示AP_k中所有叶子节点的集合；

S46：对于每个叶子节点

选择一个随机数

并计算：

S47：用户将与访问策略AP_k对应的如下随机盲化后的密钥rk_k上传至云服务器进行存储:

用户更新本地密钥为：

SK_k＝<sk'₀,z₁,…,z_k-1,z_k>。

8.一种利用权利要求7所述的云存储环境下基于策略的外包数据细粒度可信删除方法的数据访问方法，其特征在于：具体如下步骤：

步骤一：云服务器外包数据解密；

步骤二：用户最终解密。

9.根据权利要求8所述的云存储环境下基于策略的外包数据细粒度可信删除方法，其特征在于：所述步骤一所述云服务器外包数据解密具体步骤为：

云服务器为响应用户对指定数据密文CT的请求，首先判断密文CT的标签是否满足随机密钥集合RK_k＝[rk₁,…,rk_k]对应的删除策略[PP₁,PP₂,…,PP_k]？若满足，则代表用户的密钥已经无法解密密文，以云服务器向用户返回数据已被删除的消息作为响应；否则，云服务器对密文CT利用RK_k执行部分解密操作。

10.根据权利要求9所述的数据访问方法，其特征在于：所述部分解密操作具体为：

对于i＝1,...,k以及每个叶子节点

云服务器首先计算一组拉格朗日系数w₁,...,w_d,w^*使得

然后计算：

接下来，对于i＝1,...,k，云服务器对于访问策略AP_i按照从下至上的顺序利用拉格朗日插值多项式技术组合

从而得到

云服务器将如下部分解密后的密文CT′返回给用户，

11.根据权利要求10所述的云存储环境下基于策略的外包数据细粒度可信删除方法，其特征在于：所述步骤二所述用户最终解密具体步骤为：

用户收到所述密文CT′后，首先将SK_k中的sk'₀解析为{t₀,K₀,L₀,Q₀}，并计算一组拉格朗日系数τ₁,…,τ_d,τ^*使得

然后，用户计算Z₀如下：

接下来，对于i＝1,...,k，计算

然后，g_k可以通过计算

而得到，进而对称密钥SE_k可以由g_k计算哈希求出；

最后，用户对数据密文CT_F执行对称解密以恢复数据文件F。

Images