CN112104619B - 基于外包密文属性加密的数据访问控制系统和方法 - Google Patents

Abstract

本发明提出了一种在边缘计算中的基于外包密文属性加密的访问控制系统及方法。由于本发明应用的场景为边缘计算，因此与集中式计算系统相比，本发明更接近用户终端设备。边缘计算虽然降低了传输延迟，提高了服务质量，但也面临着终端设备资源有限的挑战。因此，我们将一部分解密操作外包给边缘节点。另外，因为数据拥有者需要动态地更新访问策略，所以由数据拥有者生成策略更新密钥发送给云服务提供商，在云服务提供商上更新密文。同时，本发明还可以支持数据的机密性，抵抗好奇用户的共谋攻击，并在访问策略更新后验证密文的正确性。安全分析和性能分析表明，本发明是安全可行的。

Description

基于外包密文属性加密的数据访问控制系统和方法

技术领域

本发明涉及数据访问控制技术领域，尤其涉及一种基于外包密文属性加密的数据访问控制系统和方法。

背景技术

边缘计算是在网络边缘执行计算的一种新型计算模型，边缘计算的边缘是指从数据源到云计算中心之间的任意资源，其操作对象包括云服务的下行数据和万物互联服务的上行数据。边缘计算可以减小计算的延迟，并能够降低用户数据上传至传统云计算中心泄露的风险。然而，目前的数据访问控制方案很少适用于边缘计算。传统的基于属性加密(Attr ibute-based Encrypt ion，ABE)的方案虽然能够实现细粒度的数据访问控制，但是随着访问策略的复杂性的增大，加密和解密阶段的计算成本过大。随着物联网、大数据和5G网络的快速发展和广泛应用，越来越多的企业和组织将海量数据外包到云服务器或边缘节点中，数据访问控制方法就成为了一个急需解决的问题。

发明内容

有鉴于此，本发明提供一种基于外包密文属性加密的数据访问控制方法。

本发明提供一种基于外包密文属性加密的数据访问控制系统，其特征在于：包括：数据拥有者、用户、密钥权限、边缘节点和云服务提供商；

所述数据拥有者，在将数据存储到云服务提供商或边缘节点之前，可根据访问策略对数据进行加密，可要求云服务提供商更新加密数据的访问策略，并检查云服务提供商是否正确的更新了访问策略；

所述用户可以自由的从云服务提供商或者边缘节点检索密文；

所述密钥权限用于设置实现数据访问控制方案的系统参数，生成转换密钥给用户，生成用于加密解密的密钥对，所述密钥对包括公钥和私钥，并将所述公钥发送给数据拥有者，将私钥发送给用户；

所述边缘节点用于存储数据拥有者的加密的明文消息；所述边缘节点还用于在解密阶段，运行密钥转换算法，将满足用户属性的密文转换为部分解密的密文；

所述云服务提供商用于为数据拥有者提供存储数据的平台；所述云服务提供商还包括根据数据拥有者的要求运行更新算法来更新加密数据的访问策略。

相应地，本发明还提供一种基于外包密文属性加密的数据访问控制方法，其特征在于：用于权利要求1所述的访问控制系统，所述访问控制方法包括系统初始化、密钥生成、数据加密、数据解密和动态策略更新；

所述系统初始化包括全局设置和权限设置，所述全局设置接受全局描述U和隐式安全参数作为输入，输出全局参数GP；所述权限设置以全局参数GP为输入，由密钥权限运行，用于生成密钥的主密钥MSK；

所述密钥生成用于生成代理解密的转换密钥TK和用于用户解密的密钥SK；

所述数据加密包括加密算法和转换算法，所述加密算法以全局参数GP、公钥PK、明文消息E和访问策略(M′,ρ′)为输入，输出一个密文CT，所述转换算法用于接收密文CT和用户属性集S的转换密钥TK，判断用户属性集S是否满足密文CT中的访问策略，若是，则输出代理解密的密文CT′，若否，不输出代理解密的密文CT′；

所述数据解密以密钥SK和代理解密的密文CT′作为输入，判断用户属性集S是否属于明文消息E，若是，则输出明文消息E，若否，则输出错误符号⊥；

所述动态策略更新包括新密钥生成算法和密文更新算法，所述新密钥生成算法以旧的访问策略(M,ρ)和新的访问策略(M',ρ')作为输入，输出策略更新密钥PUK，用于将密文CT的访问策略从旧的访问策略(M,ρ)更新为新的访问策略(M',ρ')，所述密文更新算法以密文CT和策略更新密钥PUK为输入，最后输出与新访问策略相对应的新密文CT^N。

进一步，所述动态策略更新具体包括如下步骤：

初始化旧的访问策略(M,ρ)和新的访问策略(M′,ρ′)，令n_ρ(i),M为访问矩阵M中属性ρ(i)的数量、n_ρ(i),M′为访问矩阵M′中属性ρ(i)的数量、I_1,M′为ρ(i)存在于M中j的指标集合、I_2,M′为ρ(i)存在于M′中j的指标集合、且ρ(i)＝ρ′(j)，若n_{ρ′(j),M′}≤n_ρ′(j),M将索引j放入I_1,M′中，若n_{ρ′(j),M′}＞n_ρ′(j),M将索引j放入I_2,M′，I_3,M′表示I_3,M′在M中从未出现过；

构造一个新的随机变量

其中，

表示随机向量，

表示一个有限域，其中有限域的阶必须是一个素数的幂p^n′，加密指数s是向量

的第一个元素；

计算

其中，λ_j表示新策略参数，M′_j表示M′的第j行对应的向量，

表示随机向量，j∈[1,l′]，l′表示访问矩阵M′的行数；

若(j,i)∈I_1,M′则策略更新密钥PUK如下：

PUK＝(PUK⁽¹⁾＝λ′_j-λ_i,PUK⁽²⁾＝ω′_j-ω_i)

其中，λ_j表示新策略参数，λ_i表示旧策略参数，M′表示新访问矩阵，ω′_j表示M′的第j行对应的向量乘以

所得的随机数，ω_i表示M的第i行对应的向量乘以

所得的随机数；

若(j,i)∈I_2,M′，选择属于集合

的随机数a_j，即

表示模素数p₁的有限域，生成策略更新密钥PUK如下：

PUK＝(a_j,PUK⁽¹⁾＝λ′_j-a_jλ_i,PUK⁽²⁾＝ω′_j-a_jω_i)

其中，a_j表示更新密钥随机数，λ_j表示新策略参数，λ_i表示旧策略参数，ω′_j表示M′的第j行对应的向量乘以

所得的随机数，ω_i表示M的第i行对应的向量乘以

所得的随机数；

若(j,i)∈I_3,M′，选择一个属于集合(j,i)∈I_3,M′的随机数d_j，

表示模素数为p₁的有限域，生成策略更新密钥PUK如下：

PUK＝(PUK⁽¹⁾＝λ′_j+α_ρ′(j)d_j,PUK⁽²⁾＝β_ρ′(j)d_j+ω′_j,PUK⁽³⁾＝d_j)

其中，λ_j表示新策略参数，ω′_j表示M′的第j行对应的向量乘以

所得的随机数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且α_ρ′(j)、

更新密文包括以下步骤：

数据拥有者将PUK发送给云服务提供商，云服务商根据收到的PUK更新访问策略：

若(j,i)∈I_1,M′，则更新密文成分如下：

其中，d_j＝d_i，C′_j表示更新的密文成分，C′_1,j表示更新密文的第一部分组成成分，C′_2,j表示更新密文的第二部分组成成分，C′_3,j表示更新密文的第三部分组成成分，C_1,i表示原密文的第一部分组成成分，C_2,i表示原密文的第二部分组成成分，C_3,i表示原密文的第三部分组成成分，e表示双线性映射，g表示生成元，λ_j表示新策略参数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且α_ρ′(j)、

ω′_j表示M′的第j行对应的向量乘以

所得的随机数，d_j表示新访问策略的随机数，PUK⁽¹⁾表示更新密钥的第一部分组成成分，PUK⁽²⁾表示更新密钥的第二部分组成成分，

若(j,i)∈I_2,M′，则更新密文成分如下：

其中，d_j＝a_jd_i，C′_j表示更新的密文成分，C′_1,j表示更新密文的第一部分组成成分，C′_2,j表示更新密文的第二部分组成成分，C′_3,j表示更新密文的第三部分组成成分，C_1,i表示原密文的第一部分组成成分，C_2,i表示原密文的第二部分组成成分，C_3,i表示原密文的第三部分组成成分，e表示双线性映射，g表示生成元，λ_j表示新策略参数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且α_ρ′(j)、

ω′_j表示M′的第j行对应的向量乘以

所得的随机数，d_j表示新策略的随机数，PUK⁽¹⁾表示更新密钥的第一部分组成成分，PUK⁽²⁾表示更新密钥的第二部分组成成分，

若(j,i)∈I_3,M′，则更新密文成分如下：

其中，C′_j表示更新的密文成分，C′_1,j表示更新密文的第一部分组成成分，C′_2,j表示更新密文的第二部分组成成分，C′_3,j表示更新密文的第三部分组成成分，C_1,i表示原密文的第一部分组成成分，C_2,i表示原密文的第二部分组成成分，C_3,i表示原密文的第三部分组成成分，e表示双线性映射，g表示生成元，λ_j表示新策略参数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且α_ρ′(j)、

ω′_j表示M′的第j行对应的向量乘以

所得的随机数，d_j表示新策略的随机数，PUK⁽¹⁾表示更新密钥的第一部分组成成分，PUK⁽²⁾表示更新密钥的第二部分组成成分，得到了新的密文如下：

其中，CT^N表示更新后的新密文，C表示明文用双线性映射掩盖，e表示双线性映射，g表示生成元，α_ρ′(j)表示新访问策略的第一个随机数，

表示明文，s表示加密指数，C′表示由生成元s次幂构成的掩码，l′表示访问矩阵M′的行数,C′_j表示更新的密文成分。

进一步，所述系统初始化的全局设置包括全局设置算法GlobalSetup以全局描述U作为输入，一般设全局描述U＝{0,1}^*,然后选择两个具有相同素数阶P的乘法循环群

和双线性映射e:

令g为

的生成元，哈希函数H映射,输出全局参数为GP＝(g,p₁,H)，其中，g表示

的生成元，p₁表示素数阶，H表示哈希函数映射

其中,

表示具有相同素数阶p₁的乘法循环群；

所述权限设置具体为密钥权限运行权限设置算法AuthoSetup，生成公钥PK和主密钥MSK，其中，令S为密钥权限管理的属性集，对于每个属性x∈S,密钥权限选择随机指数α_x,

表示模素数为p₁的有限域，然后生成公钥为

并设置

为主密钥。

进一步，所述密钥生成具体包括：密钥权限随机选择t,

t＝t′/z,

表示模素数为p₁的有限域，行算法KeyGen(MSK,S)，获取SK′，并将转换密钥设置为TK，然后将SK＝(TK,z)发送给用户：

所述SK′采用如下方法确定：

其中，SK′表示示构成私钥的中间密钥，PK表示公钥，K_x表示属性x∈S时的全局描述映射,H(U)^t′表示将全局描述U映射为

上的元素取t′次幂的私钥组成成分，

表示生成元取α_x次幂，

表示生成元取β_xt′次幂，L′表示由生成元t′次幂构成的掩码，g^t′表示示生成元取t次幂，

所述转换密钥通过如下方法确定：

其中，TK表示转换密钥，PK表示公钥，K_x表示K_x′取1/z次幂，S表示属性集，

表示生成元取α_x/z次幂，

表示生成元取β_xt次幂，L表示由L′取1/z次幂构造的掩码，L′^1/z表示L′取1/z次幂，g^t表示生成元取t次幂。

进一步，所述数据加密具体包括数据拥有者可以使用CP-ABE加密算法对明文消息E进行加密，该算法以公钥PK、明文消息E、全局参数GP和访问策略(M,ρ)为输入，对其进行加密，其中，假设M是一个

矩阵，函数ρ映射它的行到属性,该算法随机选择加密指数

随机向量

其中，

表示随机向量，s表示加密指数，y₂表示随机数，n表示访问矩阵M的列数，

表示一个有限域，其中有限域的阶必须是一个素数的幂pⁿ，和

其中，

表示有限域

内的一个随机向量，

表示一个有限域，其中有限域的阶必须是一个素数的幂pⁿ，

计算λ_i和ω_i,

其中，

表示访问矩阵M的行数，λ_i表示旧策略的参数，M_i表示访问矩阵M的第i行对应的向量，

表示随机向量，

表示有限域

内的一个随机向量，ω_i表示M的第i行对应的向量乘以

所得的随机数；

令I＝{i:ρ(i)∈S}，其中

表示访问矩阵M的行数，ρ(i)表示函数ρ将矩阵M的第i行映射到属性，

算法随机选择

生成密文：

其中，CT表示密文，C表示密文的组成成分，E表示明文，e表示双线性映射，g表示生成元，α_ρ(i)表示访问策略的第一个随机数，s表示加密指数，C′表示密文的组成成分，λ_i表示旧策略参数，d_i表示旧策略的随机数，β_ρ(i)表示新访问策略的第二个随机数，ω_i表示M的第i行对应的向量乘以

所得的随机数，C_2,i表示密文组成成分，C_3,i表示密文组成成分。

进一步，所述数据解密具体步骤代理解密和用户解密：所述代理解密由边缘节点运行转换算法Trans，算法以密文CT，转换密钥TK为输入，判断用户属性集s是否属于明文消息E，若否，则输出错误符号⊥，若是，则边缘节点进行解密并确定代理解密的密文CT′：

其中，CT′表示代理解密密文，C表示密文的组成成分，E表示明文，e表示双线性映射，g表示生成元，α_ρ(i)表示访问策略的第一个随机数，s表示加密指数，z表示随机数；

其中

其中，e表示双线性映射，C′表示由生成元s次幂构成的掩码，K表示由K′的1/z次幂构成的转换密钥组成成分，β_ρ(i)表示访问策略的第二个随机数，K_ρ(i)表示属性ρ(i)∈S时的全局描述映射，

表示密文的第三部分组成成分的ω_i次幂；

所述用户解密包括以下步骤：

判断密文是否执行代理解密，若否，在进入代理解密，若是，则以私钥SK＝(TK,z)和代理解密的密文CT'作为输入，获得明文消息E，

其中T₀＝C,

其中，C表示明文用双线性映射掩盖，e表示双线性映射，g表示生成元，α_ρ(i)表示访问策略的第一个随机数，s表示加密指数，z表示转换密钥中的致盲因子。

本发明的有益技术效果：本发明提出一种在边缘计算环境下的策略更新方法，能够实现在云服务提供商CPS上动态地更新访问策略，以减少数据来回传输的通信开销，减少了数据拥有者的计算量；在边缘计算环境中，我们将终端设备中部分复杂的解密运算外包给边缘节点，大大提高了计算效率；此外，本发明具有较高的安全性。

附图说明

下面结合附图和实施例对本发明作进一步描述：

图1为本发明的代理解密和用户解密成本的比较图。

图2为本发明的策略更新成本的比较图。

具体实施方式

以下结合说明书附图对本发明做出进一步的说明：

本发明提供的一种基于外包密文属性加密的数据访问控制系统，其特征在于：包括：数据拥有者、用户、密钥权限、边缘节点和云服务提供商；

所述数据拥有者，在将数据存储到云服务提供商或边缘节点之前，可根据访问策略对数据进行加密，可要求云服务提供商更新加密数据的访问策略，并检查云服务提供商是否正确的更新了访问策略；

所述用户可以自由的从云服务提供商或者边缘节点检索密文；

所述密钥权限用于设置实现数据访问控制方案的系统参数，生成转换密钥给用户，生成用于加密解密的密钥对，所述密钥对包括公钥和私钥，并将所述公钥发送给数据拥有者，将私钥发送给用户；

所述边缘节点用于存储数据拥有者的加密的明文消息；所述边缘节点还用于在解密阶段，运行密钥转换算法，将满足用户属性的密文转换为部分解密的密文；

所述云服务提供商用于为数据拥有者提供存储数据的平台；所述云服务提供商还包括根据数据拥有者的要求运行更新算法来更新加密数据的访问策略。

相应地，本发明还提供一种基于外包密文属性加密的数据访问控制方法，其特征在于：用于权利要求1所述的访问控制系统，所述访问控制方法包括系统初始化、密钥生成、数据加密、数据解密和动态策略更新；

所述系统初始化包括全局设置和权限设置，所述全局设置接受全局描述U和隐式安全参数作为输入，输出全局参数GP；所述权限设置以全局参数GP为输入，由密钥权限运行，用于生成密钥的主密钥MSK；

所述密钥生成用于生成代理解密的转换密钥TK和用于用户解密的密钥SK；

所述数据加密包括加密算法和转换算法，所述加密算法以全局参数GP、公钥PK、明文消息E和访问策略(M′,ρ′)为输入，输出一个密文CT，所述转换算法用于接收密文CT和用户属性集S的转换密钥TK，判断用户属性集S是否满足密文CT中的访问策略，若是，则输出代理解密的密文CT′，若否，不输出代理解密的密文CT′；

所述数据解密以密钥SK和代理解密的密文CT′作为输入，判断用户属性集S是否属于明文消息E，若是，则输出明文消息E，若否，则输出错误符号⊥；

所述动态策略更新包括新密钥生成算法和密文更新算法，所述新密钥生成算法以旧的访问策略(M,ρ)和新的访问策略(M',ρ')作为输入，输出策略更新密钥PUK，用于将密文CT的访问策略从旧的访问策略(M,ρ)更新为新的访问策略(M',ρ')，所述密文更新算法以密文CT和策略更新密钥PUK为输入，最后输出与新访问策略相对应的新密文CT^N。

所述动态策略更新具体包括如下步骤：

初始化旧的访问策略(M,ρ)和新的访问策略(M′,ρ′)，令n_ρ(i),M为访问矩阵M中属性ρ(i)的数量、n_ρ(i),M′为访问矩阵M′中属性ρ(i)的数量、I_1,M′为ρ(i)存在于M中j的指标集合、I_2,M′为ρ(i)存在于M′中j的指标集合、且ρ(i)＝ρ′(j)，若n_{ρ′(j),M′}≤n_ρ′(j),M将索引j放入I_1,M′中，若n_{ρ′(j),M′}＞n_ρ′(j),M将索引j放入I_2,M′，I_3,M′表示I_3,M′在M中从未出现过；

构造一个新的随机变量

其中，

表示随机向量，

表示一个有限域，其中有限域的阶必须是一个素数的幂p^n′，加密指数s是向量

的第一个元素；

计算

其中，λ_j表示新策略参数，M′_j表示M′的第j行对应的向量，

表示随机向量，j∈[1,l′]，l′表示访问矩阵M′的行数；

若(j,i)∈I_1,M′则策略更新密钥PUK如下：

PUK＝(PUK⁽¹⁾＝λ′_j-λ_i,PUK⁽²⁾＝ω′_j-ω_i)

其中，λ_j表示新策略参数，λ_i表示旧策略参数，M′表示新访问矩阵，ω′_j表示M′的第j行对应的向量乘以

所得的随机数，ω_i表示M的第i行对应的向量乘以

所得的随机数；

若(j,i)∈I_2,M′，选择属于集合

的随机数a_j，即

表示模素数p₁的有限域，生成策略更新密钥PUK如下：

PUK＝(a_j,PUK⁽¹⁾＝λ′_j-a_jλ_i,PUK⁽²⁾＝ω′_j-a_jω_i)

其中，a_j表示更新密钥随机数，λ_j表示新策略参数，λ_i表示旧策略参数，ω′_j表示M′的第j行对应的向量乘以

所得的随机数，ω_i表示M的第i行对应的向量乘以

所得的随机数；

若(j,i)∈I_3,M′，选择一个属于集合(j,i)∈I_3,M′的随机数d_j，

表示模素数为p₁的有限域，生成策略更新密钥PUK如下：

PUK＝(PUK⁽¹⁾＝λ′_j+α_ρ′(j)d_j,PUK⁽²⁾＝β_ρ′(j)d_j+ω′_j,PUK⁽³⁾＝d_j)

其中，λ_j表示新策略参数，ω′_j表示M′的第j行对应的向量乘以

所得的随机数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且α_ρ′(j)、

更新密文包括以下步骤：

数据拥有者将PUK发送给云服务提供商，云服务商根据收到的PUK更新访问策略：

若(j,i)∈I_1,M′，则更新密文成分如下：

其中，d_j＝d_i，C′_j表示更新的密文成分，C′_1,j表示更新密文的第一部分组成成分，C′_2,j表示更新密文的第二部分组成成分，C′_3,j表示更新密文的第三部分组成成分，C_1,i表示原密文的第一部分组成成分，C_2,i表示原密文的第二部分组成成分，C_3,i表示原密文的第三部分组成成分，e表示双线性映射，g表示生成元，λ_j表示新策略参数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且α_ρ′(j)、

ω′_j表示M′的第j行对应的向量乘以

所得的随机数，d_j表示新访问策略的随机数，PUK⁽¹⁾表示更新密钥的第一部分组成成分，PUK⁽²⁾表示更新密钥的第二部分组成成分，

若(j,i)∈I_2，M′，则更新密文成分如下：

其中，d_j＝a_jd_i，C′_j表示更新的密文成分，C′_1,j表示更新密文的第一部分组成成分，C′_2,j表示更新密文的第二部分组成成分，C′_3,j表示更新密文的第三部分组成成分，C_1,i表示原密文的第一部分组成成分，C_2,i表示原密文的第二部分组成成分，C_3,i表示原密文的第三部分组成成分，e表示双线性映射，g表示生成元，λ_j表示新策略参数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且α_ρ′(j)、

ω′_j表示M′的第j行对应的向量乘以

所得的随机数，d_j表示新策略的随机数，PUK⁽¹⁾表示更新密钥的第一部分组成成分，PUK⁽²⁾表示更新密钥的第二部分组成成分，

若(j,i)∈I_3,M′，则更新密文成分如下：

其中，C′_j表示更新的密文成分，C′_1,j表示更新密文的第一部分组成成分，C′_2,j表示更新密文的第二部分组成成分，C′_3,j表示更新密文的第三部分组成成分，C_1,i表示原密文的第一部分组成成分，C_2,i表示原密文的第二部分组成成分，C_3,i表示原密文的第三部分组成成分，e表示双线性映射，g表示生成元，λ_j表示新策略参数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且α_ρ′(j)、

ω′_j表示M′的第j行对应的向量乘以

所得的随机数，d_j表示新策略的随机数，PUK⁽¹⁾表示更新密钥的第一部分组成成分，PUK⁽²⁾表示更新密钥的第二部分组成成分，得到了新的密文如下：

其中，CT^N表示更新后的新密文，C表示明文用双线性映射掩盖，e表示双线性映射，g表示生成元，α_ρ′(j)表示新访问策略的第一个随机数，

表示明文，s表示加密指数，C′表示由生成元s次幂构成的掩码，l′表示访问矩阵M′的行数,C′_j表示更新的密文成分。

所述系统初始化的全局设置包括全局设置算法GlobalSetup以全局描述U作为输入，一般设全局描述U＝{0,1}^*,然后选择两个具有相同素数阶P的乘法循环群

和双线性映射e:

令g为

的生成元，哈希函数H映射,输出全局参数为GP＝(g,p₁,H)，其中，g表示

的生成元，p₁表示素数阶，H表示哈希函数映射

其中,

表示具有相同素数阶p₁的乘法循环群；

所述权限设置具体为密钥权限运行权限设置算法AuthoSetup，生成公钥PK和主密钥MSK，其中，令S为密钥权限管理的属性集，对于每个属性x∈S,密钥权限选择随机指数α_x,

表示模素数为p₁的有限域，然后生成公钥为

并设置

为主密钥。

所述密钥生成具体包括：密钥权限随机选择t,

t＝t′/z,

表示模素数为p₁的有限域，行算法KeyGen(MSK,S)，获取SK′，并将转换密钥设置为TK，然后将SK＝(TK,z)发送给用户：

所述SK′采用如下方法确定：

其中，SK′表示示构成私钥的中间密钥，PK表示公钥，K_x表示属性x∈S时的全局描述映射,H(U)^t′表示将全局描述U映射为

上的元素取t′次幂的私钥组成成分，

表示生成元取α_x次幂，

表示生成元取β_xt′次幂，L′表示由生成元t′次幂构成的掩码，g^t′表示示生成元取t次幂，

所述转换密钥通过如下方法确定：

其中，TK表示转换密钥，PK表示公钥，K_x表示K_x′取1/z次幂，S表示属性集，

表示生成元取α_x/z次幂，

表示生成元取β_xt次幂，L表示由L′取1/z次幂构造的掩码，L′^1/z表示L′取1/z次幂，g^t表示生成元取t次幂。

所述数据加密具体包括数据拥有者可以使用CP-ABE加密算法对明文消息E进行加密，该算法以公钥PK、明文消息E、全局参数GP和访问策略(M,ρ)为输入，对其进行加密，其中，假设M是一个

矩阵，函数ρ映射它的行到属性,该算法随机选择加密指数

随机向量

其中，

表示随机向量，s表示加密指数，y₂表示随机数，n表示访问矩阵M的列数，

表示一个有限域，其中有限域的阶必须是一个素数的幂pⁿ，和

其中，

表示有限域

内的一个随机向量，

表示一个有限域，其中有限域的阶必须是一个素数的幂pⁿ，

计算λ_i和ω_i,

其中，

表示访问矩阵M的行数，λ_i表示旧策略的参数，M_i表示访问矩阵M的第i行对应的向量，

表示随机向量，

表示有限域

内的一个随机向量，ω_i表示M的第i行对应的向量乘以

所得的随机数；

令I＝{i:ρ(i)∈S}，其中

表示访问矩阵M的行数，ρ(i)表示函数ρ将矩阵M的第i行映射到属性，

算法随机选择

生成密文：

其中，CT表示密文，C表示密文的组成成分，E表示明文，e表示双线性映射，g表示生成元，α_ρ(i)表示访问策略的第一个随机数，s表示加密指数，C′表示密文的组成成分，λ_i表示旧策略参数，d_i表示旧策略的随机数，β_ρ(i)表示新访问策略的第二个随机数，ω_i表示M的第i行对应的向量乘以

所得的随机数，C_2,i表示密文组成成分，C_3,i表示密文组成成分。

所述数据解密具体步骤代理解密和用户解密：所述代理解密由边缘节点运行转换算法Trans，算法以密文CT，转换密钥TK为输入，判断用户属性集s是否属于明文消息E，若否，则输出错误符号⊥，若是，则边缘节点进行解密并确定代理解密的密文CT′：

其中，CT′表示代理解密密文，C表示密文的组成成分，E表示明文，e表示双线性映射，g表示生成元，α_ρ(i)表示访问策略的第一个随机数，s表示加密指数，z表示随机数；

其中

其中，e表示双线性映射，C′表示由生成元s次幂构成的掩码，K表示由K′的1/z次幂构成的转换密钥组成成分，β_ρ(i)表示访问策略的第二个随机数，K_ρ(i)表示属性ρ(i)∈S时的全局描述映射，

表示密文的第三部分组成成分的ω_i次幂；

所述用户解密包括以下步骤：

判断密文是否执行代理解密，若否，在进入代理解密，若是，则以私钥SK＝(TK,z)和代理解密的密文CT'作为输入，获得明文消息E，

其中T₀＝C,

其中，C表示明文用双线性映射掩盖，e表示双线性映射，g表示生成元，α_ρ(i)表示访问策略的第一个随机数，s表示加密指数，z表示转换密钥中的致盲因子。

现就访问策略更新的正确性和整个方案的IND-CPA安全性予以说明：

现就数据机密性做以下说明：首先，数据拥有者可以使用访问策略对数据进行加密，不符合访问策略的用户无法对密文进行解密，因此本发明可以保证数据的机密性。在加密阶段，数据拥有者虽然可以执行加密算法，但在没有转换密钥和私钥的情况下仍然不能访问数据。在解密阶段，由于用户属性集不能满足密文中的访问策略，边缘节点无法恢复e(g,g)^s，进而得到代理解密的密文CT′。因此，只有属性满足访问策略的用户才能对密文进行解密，保证了整个方案中数据的保密性。

现就用户抗共谋性做以下说明：用户共谋攻击是基于ABE的访问控制方案中需要特别注意的一种恶意攻击。每个用户都有一个不同的密钥，该密钥由与用户属性关联的密钥成分组成。因此，不同的用户可能会与不同的密钥成分串通，生成一个新的密钥组合来扩展他们的访问权限。

在我们的方案中，明文消息E的部分组成成分为

为了解密密文得到E，用户需要有一个带有随机数α_x的私钥成分。而密钥生成算法为每个用户分配了一个不同的随机数α_x，这意味着每个用户的私钥是随机的，因此不同用户的私钥成分无法有效组合。因此，用户不能共谋形成新的密钥来扩展自己的访问权限。

现就本发明的访问策略更新的正确性做以下说明：

为了检查云服务提供商是否正确更新了访问策略(M,ρ)，以及新的访问策略(M′,ρ′)是否符合数据拥有者的要求，我们将对新的访问策略(M′,ρ′)进行验证。当验证开始时，数据拥有者向云服务提供商发送检查策略挑战

以验证访问策略。然后云服务提供商接收到一个检查证明

来做。最后，数据拥有者根据证明

检查云服务提供商更新访问策略的正确性。

在系统初始化阶段，我们假设每个数据拥有者都有一个全局身份GID，密钥权限为每个数据拥有者发出相应的检查密钥CK为

其中z′由密钥权限选择并向DO保密的随机数。当用户属性集S满足旧的访问策略(M,ρ)时，我们设I_S＝{i|ρ(i)∈S}作为用户属性集S的索引集。因此，当S满足新的访问策略(M′,ρ′)时，我们设置I_S′＝{i|ρ(i)∈S′}作为用户属性集S′的索引集。

挑战：DO生成检查策略挑战

并送给CSP。

证明：在接收到检查策略挑战

时，CSP生成一个检查证明

DO选择随机常数

使得∑_ic_iM_i＝(1,0,…,0)，然后计算下面的公式

如果上式等于e(g,g)^s，可以证明CSP对访问策略的更新是正确的。因为DO选择了一组随机常数集{c_i}，使得∑_ic_iω_i＝0，∑_ic_iλ_i＝s。

D.IND-CPA安全证明

假设决策q-parallel BDHE假设成立，在访问策略(M^*,ρ^*)下，如果没有任意多项式时间敌手

成功攻击，则本发明是IND-CPA安全的。

初始化：在游戏开始前，模拟器

给出q-parallel BDHE挑战(y,T)。敌手

给出了挑战访问策略(M^*,ρ^*)，M^*为

矩阵，并且

n^*≤q。

设置：首先，模拟器

运行设置算法来获取公钥

和主密钥

然后模拟器

随机选择α′,

设

使得

对于1≤x≤U，设X为i的指标集，使得ρ^*(i)＝x。定义

阶段1：在这个阶段，敌手

进行以下私钥查询:

敌手

给定一组属性S，其中S不满足M^*。模拟器

首先选择两个随机数z^*,

计算

然后找到一个向量

使得ω₁＝-1，并且对于ρ^*(i)∈S，有

模拟器

返回

给敌手

并隐式地定义z＝z^*。

模拟器

隐式地定义t为

并计算

模拟器

将转换密钥TK＝(PK,{K_x},K,L)和私钥SK＝(TK,z)返回给敌手

并隐式定义z＝z^*。

挑战：敌手

提交两个等长的明文消息

给模拟器

模拟器

随机选择一个比特位

和随机数

然后使用向量

共享秘密值。

此外，模拟器

随机选择

对于i＝1,…,n^*，模拟器

生成挑战密文

其中隐式地定义λ′_i＝λ_i，d′_i＝d_i，ω′_i＝ω_i。

阶段2：与阶段1相同。

猜测：敌手

输出一个猜测

当

模拟器

输出0并且猜测

因此，模拟器

的优势为

否则，它输出1表示T是一个随机组的元素

这意味着明文消息

对敌手

隐藏，敌手

的优势为

在决策q-parallel BDHE游戏中具有不可忽略的优势，证明了我们的方案在决策q-parallel BDHE假设下是IND-CPA安全的。

为了测试我们所提方案的性能,我们在两个平台：2.1GHz intel(R)Core(TM)i5-8250U CPU的运行Ubuntu 16.04系统的笔记本电脑,和一个1.2GHz的Andro id 8.1.0的手机上进行实验。另外，我们实例化本方案使用JPBC-2.0.0密码库里的类型A椭圆曲线。椭圆曲线有一个512b it的有界域，其素数阶为160b it。为了平滑实验的可变性，我们在电脑上重复了100次，在手机上重复了20次。我们预计随着属性的增加，笔记本(边缘节点)比手机(用户)在CP-ABE解密方面具有更明显的优势。

在CP-ABE中，主要的运算类型包括乘法运算、随机常数群

上的加减法运算、椭圆曲线上的幂运算和双线性配对运算，而计算开销高的运算主要是幂运算和双线性配对操作。与后面两种运算相比较，乘法运算和随机常数群

上的加减法运算的计算开销可以忽略不计。我们使用

代表群

上的幂运算，

代表群

上的幂运算，PAIR代表双线性配对运算。表1说明，在具有不同CPU的设备上执行幂运算和双线性配对运算时，时间消耗有着非常大的差别。对于计算能力较弱的手机来说，与电脑相比要花费4.7倍的时间进行配对运算，3.7倍的时间进行群

上的幂运算，以及6.5倍的时间进行群

上的幂运算。我们可以看到在移动终端上运行ABE密码学算法，由于计算开销过大会严重影响用户的体验，所以我们提出的整个方案在提高边缘计算中的访问控制的计算效率方面具有重要意义。

表1对比不同设备的计算开销

我们生成了一个包含20个属性的集合。为了使我们的结果在边缘计算中更实用，我们首先在笔记本电脑使用先进加密标准(Advanced Encrypt ion Standard，AES)加密数据。然后，我们使用我们的方案加密AES方案的对称密钥。我们把方案的代理解密计算外包给了笔记本电脑。然后我们生成转换密钥，将代理解密后的密文下载到手机上。最后，利用手机中的转换密钥对代理解密后的密文进行解密。从实验结果图1看，在电脑上解密的时间取决于访问策略的复杂度。而在手机上进行用户解密的结果是，不同策略的解密开销几乎相同并且很小。说明我们的方案有效地减少了用户端的计算成本。

我们通过实验比较了DO生成每种类型的策略更新密钥和DO选择使用新的访问策略加密每种类型密文组件之间的计算时间。从图2中所示的结果可知，由于在我们的方案中策略更新密钥是在

上生成的，而DO是在乘法群

上加密密文组件，所以用我们的方案来更新密文的访问策略更有效。

本发明提出了一种在边缘计算中的基于外包密文属性加密的访问控制系统及方法。由于本发明应用的场景为边缘计算，因此与集中式计算系统相比，本发明更接近用户终端设备。边缘计算虽然降低了传输延迟，提高了服务质量，但也面临着终端设备资源有限的挑战。因此，我们将一部分解密操作外包给边缘节点。另外，因为数据拥有者需要动态地更新访问策略，所以由数据拥有者生成策略更新密钥发送给云服务提供商，在云服务提供商上更新密文。同时，本发明还可以支持数据的机密性，抵抗好奇用户的共谋攻击，并在访问策略更新后验证密文的正确性。安全分析和性能分析表明，本发明是安全可行的。因此，在资源受限的需要更新访问策略的边缘计算中，我们的方案可以提供细粒度的访问控制。

最后说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (5)

1.一种基于外包密文属性加密的数据访问控制系统，其特征在于：包括：数据拥有者、用户、密钥权限、边缘节点和云服务提供商；

所述数据拥有者，在将数据存储到云服务提供商或边缘节点之前，可根据访问策略对数据进行加密，可要求云服务提供商更新加密数据的访问策略，并检查云服务提供商是否正确的更新了访问策略；

所述用户可以自由的从云服务提供商或者边缘节点检索密文；

所述密钥权限用于设置实现数据访问控制方案的系统参数，生成转换密钥给用户，生成用于加密解密的密钥对，所述密钥对包括公钥和私钥，并将所述公钥发送给数据拥有者，将私钥发送给用户；

所述边缘节点用于存储数据拥有者的加密的明文消息；所述边缘节点还用于在解密阶段，运行密钥转换算法，将满足用户属性的密文转换为部分解密的密文；

所述云服务提供商用于为数据拥有者提供存储数据的平台；所述云服务提供商还包括根据数据拥有者的要求运行更新算法来更新加密数据的访问策略；

利用所述的数据访问控制系统进行数据访问控制的数据访问控制方法，包括系统初始化、密钥生成、数据加密、数据解密和动态策略更新；

所述系统初始化包括全局设置和权限设置，所述全局设置接受全局描述U和隐式安全参数作为输入，输出全局参数GP；所述权限设置以全局参数GP为输入，由密钥权限运行，用于生成密钥的主密钥MSK；

所述密钥生成用于生成代理解密的转换密钥TK和用于用户解密的密钥SK；

所述数据加密包括加密算法和转换算法，所述加密算法以全局参数GP、公钥PK、明文消息E和访问策略(M′,ρ^′)为输入，输出一个密文CT，所述转换算法用于接收密文CT和用户属性集S的转换密钥TK，判断用户属性集S是否满足密文CT中的访问策略，若是，则输出代理解密的密文CT^′，若否，不输出代理解密的密文CT′；

所述数据解密以密钥SK和代理解密的密文CT′作为输入，判断用户属性集S是否属于明文消息E，若是，则输出明文消息E，若否，则输出错误符号⊥；

所述动态策略更新包括新密钥生成算法和密文更新算法，所述新密钥生成算法以旧的访问策略(M，ρ)和新的访问策略(M′，ρ′)作为输入，输出策略更新密钥PUK，用于将密文CT的访问策略从旧的访问策略(M，ρ)更新为新的访问策略(M′，ρ′)，所述密文更新算法以密文CT和策略更新密钥PUK为输入，最后输出与新访问策略相对应的新密文CT^N；其中，M以及M′均为访问矩阵；ρ为访问矩阵M中的属性函数，所述ρ用于映射访问矩阵M的行到属性；ρ′为访问矩阵M′中的属性函数，所述ρ′用于映射访问矩阵M′的行到属性；

所述动态策略更新具体包括如下步骤：

初始化旧的访问策略(M，ρ)和新的访问策略(M′，ρ′)，令n_ρ(i)，M为访问矩阵M中属性ρ(i)的数量、n_ρ(i)，M′为访问矩阵M′中属性ρ(i)的数量、I_1，M′为ρ(i)存在于M中j的指标集合、I_2，M′为ρ(i)存在于M′中j的指标集合、且ρ(i)＝ρ′(j)，若n_{ρ′(j)，M′}≤n_ρ′(j)，M将索引j放入I_1，M′中，若n_{ρ′(j)，M′}＞n_ρ′(j)，M将索引j放入I_2，M′，I_3，M′表示I_3，M′在M中从未出现过；

构造一个新的随机变量

其中，

表示随机向量，

表示一个有限域，其中有限域的阶必须是一个素数的幂p^n′，加密指数s是向量

的第一个元素；

计算

其中，λ_j表示新策略参数，M′_j表示M′的第j行对应的向量，

表示随机向量，j∈[1，l′]，l′表示访问矩阵M′的行数；

若(j，i)∈I_1，M′则策略更新密钥PUK如下：

PUK＝(PUK⁽¹⁾＝λ′_j-λ_i，PUK⁽²⁾＝ω′_j-ω_i)

其中，λ_j表示新策略参数，λ_i表示旧策略参数，M′表示新访问矩阵，ω′_j表示M′的第j行对应的向量乘以

听得的随机数，ω_i表示M的第i行对应的向量乘以

听得的随机数；

若(j，i)∈I_2，M′，选择属于集合

的随机数a_j，即

表示模素数p₁的有限域，生成策略更新密钥PUK如下：

PUK＝(a_j，PUK⁽¹⁾＝λ′_j-a_jλ_i，PUK⁽²⁾＝ω′_j-a_jω_i)

其中，a_j表示更新密钥随机数，λ_j表示新策略参数，λ_i表示旧策略参数，ω′_j表示M′的第j行对应的向量乘以

所得的随机数，ω_i表示M的第i行对应的向量乘以

听得的随机数；

若(j，i)∈I_3，M′，选择一个属于集合(j，i)∈I_3，M′的随机数d_j，

表示模素数为p₁的有限域，生成策略更新密钥PUK如下：

PUK＝(PUK⁽¹⁾＝λ′_j+α_ρ′(j)d_j，PUK⁽²⁾＝β_ρ′(j)d_j+ω′_j，PUK⁽³⁾＝d_j)

其中，λ_j表示新策略参数，ω′_j表示M′的第j行对应的向量乘以

听得的随机数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且

更新密文包括以下步骤：

数据拥有者将PUK发送给云服务提供商，云服务商根据收到的PUK更新访问策略：

若(j，i)∈I_1，M′，则更新密文成分如下：

其中，d_j＝d_i，C′_j表示更新的密文成分，C′_1，j表示更新密文的第一部分组成成分，C′_2，j表示更新密文的第二部分组成成分，C′_3，j表示更新密文的第三部分组成成分，C_1，i表示原密文的第一部分组成成分，C_2，i表示原密文的第二部分组成成分，C_3，i表示原密文的第三部分组成成分，e表示双线性映射，g表示生成元，λ_j表示新策略参数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且

ω′_j表示M′的第j行对应的向量乘以

所得的随机数，d_j表示新访问策略的随机数，PUK⁽¹⁾表示更新密钥的第一部分组成成分，PUK⁽²⁾表示更新密钥的第二部分组成成分，

若(j，i)∈I_2，M′，则更新密文成分如下：

其中，d_j＝a_jd_i，C′_j表示更新的密文成分，C′_1，j表示更新密文的第一部分组成成分，C′_2，j表示更新密文的第二部分组成成分，C′_3，j表示更新密文的第三部分组成成分，C_1，i表示原密文的第一部分组成成分，C_2，i表示原密文的第二部分组成成分，C_3，i表示原密文的第三部分组成成分，e表示双线性映射，g表示生成元，λ_j表示新策略参数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且

ω′_j表示M′的第j行对应的向量乘以

所得的随机数，d_j表示新策略的随机数，PUK⁽¹⁾表示更新密钥的第一部分组成成分，PUK⁽²⁾表示更新密钥的第二部分组成成分，

若(j，i)∈I_3，M′，则更新密文成分如下：

其中，C′_j表示更新的密文成分，C′_1，j表示更新密文的第一部分组成成分，C′_2，j表示更新密文的第二部分组成成分，C′_3，j表示更新密文的第三部分组成成分，C_1，i表示原密文的第一部分组成成分，C_2，i表示原密文的第二部分组成成分，C_3，i表示原密文的第三部分组成成分，e表示双线性映射，g表示生成元，λ_j表示新策略参数，α_ρ′(j)表示新访问策略的第一个随机数，β_ρ′(j)表示新访问策略的第二个随机数，且

ω′_j表示M′的第j行对应的向量乘以

听得的随机数，d_j表示新策略的随机数，PUK⁽¹⁾表示更新密钥的第一部分组成成分，PUK⁽²⁾表示更新密钥的第二部分组成成分，得到了新的密文如下：

其中，CT^N表示更新后的新密文，C表示明文用双线性映射掩盖，e表示双线性映射，g表示生成元，α_ρ′(j)表示新访问策略的第一个随机数，

表示明文，s表示加密指数，C′表示由生成元s次幂构成的掩码，l′表示访问矩阵M′的行数，C′_j表示更新的密文成分。

2.一种利用权利要求1所述的数据访问控制系统进行数据访问控制的基于外包密文属性加密的数据访问控制方法，其特征在于：所述系统初始化的全局设置包括全局设置算法GlobalSetup以全局描述U作为输入，一般设全局描述U＝{0，1}^*，然后选择两个具有相同素数阶P的乘法循环群

和双线性映射e：

令g为

的生成元，哈希函数H映射，输出全局参数为GP＝(g，p₁，H)，其中，g表示

的生成元，p₁表示素数阶，H表示哈希函数映射

其中，

表示具有相同素数阶p₁的乘法循环群；

所述权限设置具体为密钥权限运行权限设置算法AuthoSetup，生成公钥PK和主密钥MSK，其中，令S为密钥权限管理的属性集，对于每个属性x∈S，密钥权限选择随机指数

表示模素数为p₁的有限域，然后生成公钥为

并设置

为主密钥。

3.根据权利要求2所述基于外包密文属性加密的数据访问控制方法，其特征在于：所述密钥生成具体包括：密钥权限随机选择

t＝t′/z，

表示模素数为p₁的有限域，行算法KeyGen(MSK，S)，获取SK′，并将转换密钥设置为TK，然后将SK＝(TK，z)发送给用户：

所述SK′采用如下方法确定：

其中，SK′表示示构成私钥的中间密钥，PK表示公钥，K_x表示属性x∈S时的全局描述映射，H(U)^t′表示将全局描述U映射为

上的元素取t′次幂的私钥组成成分，

表示生成元取α_x次幂，

表示生成元取β_xt′次幂，L′表示由生成元t′次幂构成的掩码，g^t′表示示生成元取t次幂，

所述转换密钥通过如下方法确定：

其中，TK表示转换密钥，PK表示公钥，K_x表示K_x′取1/z次幂，S表示属性集，

表示生成元取α_x/z次幂，

表示生成元取β_xt次幂，L表示由L′取1/z次幂构造的掩码，L′^1/z表示L′取1/z次幂，g^t表示生成元取t次幂。

4.根据权利要求2所述基于外包密文属性加密的数据访问控制方法，其特征在于：所述数据加密具体包括数据拥有者可以使用CP-ABE加密算法对明文消息E进行加密，该算法以公钥PK、明文消息E、全局参数GP和访问策略(M，ρ)为输入，对其进行加密，其中，假设M是一个

矩阵，函数ρ映射它的行到属性，该算法随机选择加密指数

随机向量

其中，

表示随机向量，s表示加密指数，y₂表示随机数，n表示访问矩阵M的列数，

表示一个有限域，其中有限域的阶必须是一个素数的幂pⁿ，和

其中，

表示有限域

内的一个随机向量，

表示一个有限域，其中有限域的阶必须是一个素数的幂pⁿ，

计算λ_i和ω_i，

其中，

表示访问矩阵M的行数，λ_i表示旧策略的参数，M_i表示访问矩阵M的第i行对应的向量，

表示随机向量，

表示有限域

内的一个随机向量，ω_i表示M的第i行对应的向量乘以

听得的随机数；

令I＝{i：ρ(i)∈S}，其中

表示访问矩阵M的行数，ρ(i)表示函数ρ将矩阵M的第i行映射到属性，

算法随机选择

生成密文：

其中，CT表示密文，C表示密文的组成成分，E表示明文，e表示双线性映射，g表示生成元，α_ρ(i)表示访问策略的第一个随机数，s表示加密指数，C′表示密文的组成成分，λ_i表示旧策略参数，d_i表示旧策略的随机数，β_ρ(i)表示新访问策略的第二个随机数，ω_i表示M的第i行对应的向量乘以

所得的随机数，C_2，i表示密文组成成分，C_3，i表示密文组成成分。

5.根据权利要求2所述基于外包密文属性加密的数据访问控制方法，其特征在于：所述数据解密具体步骤代理解密和用户解密：所述代理解密由边缘节点运行转换算法Trans，算法以密文CT，转换密钥TK为输入，判断用户属性集s是否属于明文消息E，若否，则输出错误符号⊥，若是，则边缘节点进行解密并确定代理解密的密文CT′：

其中，CT′表示代理解密密文，C表示密文的组成成分，E表示明文，e表示双线性映射，g表示生成元，α_ρ(i)表示访问策略的第一个随机数，s表示加密指数，z表示随机数；

其中

其中，e表示双线性映射，C′表示由生成元s次幂构成的掩码，K表示由K′的1/z次幂构成的转换密钥组成成分，β_ρ(i)表示访问策略的第二个随机数，K_ρ(i)表示属性ρ(i)∈S时的全局描述映射，

表示密文的第三部分组成成分的ω_i次幂；

所述用户解密包括以下步骤：

判断密文是否执行代理解密，若否，在进入代理解密，若是，则以私钥SK＝(TK，z)和代理解密的密文CT′作为输入，获得明文消息E，

其中T₀＝C，

其中，C表示明文用双线性映射掩盖，e表示双线性映射，g表示生成元，α_ρ(i)表示访问策略的第一个随机数，s表示加密指数，z表示转换密钥中的致盲因子。

Images