CN113626831A - 一种云中支持隐私保护和解密的cp-abe方法 - Google Patents

Abstract

本发明属于云存储安全和信息安全技术领域，涉及一种云中支持隐私保护和解密的CP‑ABE方法。本发明实现了兼具用户隐私保护，解密测试，解密外包以及消息可验证性的CP‑ABE方案；本发明在素数阶群中使用灵活的LSSS结构构建方案；将属性分成属性名和属性值，把包含敏感信息的属性值嵌入在密文中，同时选取多组生成元和随机值实现数据用户的匿名性；增加解密测试算法和外包解密算法，节省数据用户的计算开销，将大量的解密计算交给第三方；消息可验证性算法保证解密的准确性。本发明方案在保护隐私的基础上使解密效率、密文存储开销以及访问控制灵活性方面大幅度提升，解决了现有技术中存在的隐私泄露、用户计算代价大等问题。

Description

一种云中支持隐私保护和解密的CP-ABE方法

技术领域

本发明属于云存储安全和信息安全技术领域，尤其涉及一种云中支持隐私保护和解密的CP-ABE方法。

背景技术

随着云计算和5G技术的日渐成熟，基于云平台的数据存储和共享已成为一种必然的发展趋势。然而云端作为不可信的平台，要保证用户上传数据能安全存储和共享，就必须对数据进行加密，但是传统的加密方式的共享存在明显的弊端：其一，传统的数据共享需要借助第三方技术；其二，数据的拥有者不能随意定义数据的访问对象，访问控制不够灵活。例如基于身份的加密(Identity-Based Encryption，IBE)，仅能保证数据和接收用户之间“一对一”的方式，且密文的长度和加解密的计算开销与要共享的接收者的数量呈线性增长的关系。为解决此类问题，Waters等人在2005年的欧密会上提出了一种新的加密机制—属性基加密(Attribute-Based Encryption,ABE)。在属性加密机制中，系统里每个用户的身份由一列属性来刻画，密文和密钥的生成与属性或者访问策略相关。随后，ABE被分为两种基本类型：(1)密文策略的属性基加密(Ciphertext Policy-ABE,CP-ABE),该机制中，密文与访问策略相关，密钥与属性列表相关；(2)密钥策略的属性基加密(Key Policy-ABE,KP-ABE),该机制中，密钥与访问策略相关，密文与属性列表相关。

在CP-ABE机制中，由于密文与访问策略关联，数据的访问权限由数据拥有者自定义，因此该机制更为广泛的应用于云端数据共享。一个数据访问者能够成功的访问该数据，当且仅当该访问者的属性列表是加密该数据使用的访问策略的子集时。通常一个访问策略是由一系列的属性构成，由于某些组成策略的属性本身包含敏感的信息，如在电子医疗领域，“心脏病”这个属性就属于敏感的，它能同暴露数据拥有者的健康信息和数据访问者的身份信息。为此，在ABE中隐藏策略保护隐私成为一个重要的研究内容。

自2008年Nishide等人率先提出隐藏策略的CP-ABE方案后，后续有大量的方案被别的研究者提出，但是这些方案如果用到实际的系统中，总结起来基本都面临三个问题：(1)计算效率低。由于ABE中涉及大量的配对运算和指数运算，导致解密阶段用户的计算消耗量随属性的数量呈线性增加。(2) 访问结构不灵活。以往的研究中，多数方案都可看作是基于AND门多值技术实现策略隐藏保护隐私安全的，而灵活的访问控制，如访问树和LSSS结构由于前者需要借助递归算法，后者需要发送访问矩阵，这些自身的特性，使得涉及这类结构的保护隐私的方案相对较少。(3)伪隐私保护。通过我们之前的研究发现，现存的很多方案虽声称能够保护用户隐私安全，但是一个轻量级的DDH测试算法就可将访问策略或是构成策略的属性暴露，导致隐私泄露。如何解决好上述的三个问题，这将成为CP-ABE算法能否获得更多实际应用场景的关键。

发明内容

本发明的目的是提出一种云端支持隐私保护的CP-ABE方案，与传统方案相比，本发明在兼具访问策略灵活性的同时还增加了更安全的外包解密计算，解密测试和消息可验证等实用功能，能够有效的减轻用户的计算压力。为此，本发明所采用的技术方案为一种云中支持隐私保护和解密的CP-ABE 方法，包括如下步骤：

步骤一、系统初始化及系统参数设置；

步骤二、生成数据用户私钥；所述用户私钥属性分为属性名和属性值，将具有敏感的属性值嵌入在密文中，从而保护敏感的属性信息；

步骤三、加密明文消息；所述加密明文消息中设置策略元组用于控制解密对象，只有满足访问策略的用户才能正常解密，恢复出明文消息；所述加密明文消息中与属性关联的密文组件选取用于产生盲化效果的随机值，与步骤二中所述用户私钥属性分为属性名和属性值方法同时应用实现基于LSSS 访问结构在素数阶双线性群中方案访问策略的隐藏，进而实现数据访问用户的匿名性，保护用户的隐私安全；

步骤四、原始解密；所述原始解密中增加解密测试算法，使数据访问用户无需通过完成解密算法，仅需要消耗少量的计算资源即可判断是否是授权用户，节省数据用户的计算开销；

步骤五、外包解密；所述外包解密中对部分解密私钥转换，实现将解密阶段需要消耗大量计算资源的配对操作交给第三方外包云服务端计算，外包云计算的结果既不会泄露任何关于明文的信息，又能帮助数据用户顺利完成解密；

步骤六、解密消息验证。

优选的，所述步骤一的系统初始化及系统参数设置中，包括：

①为系统设定一个安全参数κ，运行双线性群生成器产生元组Ω＝(p,G,G_T,e)，其中p表示一个大素数，G和G_T指的是阶为p的乘法循环群， e是双线性映射满足e:G×G→G_T；又设置U表示整个系统中属性的全集；

②从群G中随机选取生成元g,g₁,g₂,w,u,h,f∈_RG，从群Z_p中随机选取β,θ∈_RZ_p，并选取两个合适的哈希函数H和H₁以及一个对称加密算法 E_Enc/Dec(*,*)，其中H将一个属性值或G_T中的元素映射到Z_p群中，H₁可看作是一个伪随机函数,Z_p表示的是模的余数集合；

③系统预处理，计算Y＝e(g,g₁)^θ，然后生成系统的公共参数为

系统的主密钥为Msk＝<β,θ,g₁>。

优选的，所述步骤二的生成数据用户私钥中，包括：

①数据用户首先向授权中心提交自己的属性集S＝(N_S,L_S)，授权中心从群 Z_p中随机选取

其中N_S表示的用户的属性名的集合，L_S指的是用户属性值的集合；

②授权中心首先计算

K₀＝g^δ；对于任意的i满足i∈[1,|N_S|]，授权中心计算剩余的用户私钥

然后授权中心将生成的用户私钥

通过安全可信的信道秘密发给属性集为S的用户。

优选的，所述步骤三的加密明文消息中，包括：

①输入一个与加密者定义的访问策略关联的访问矩阵M，访问策略元组 (ρ,T)，m待加密的密文消息，以及系统公共参数；其中M是一个l×n的矩阵，ρ是将M第i行映射为第j个属性名的索引值，T是访问策略中所有属性的值构成的集合；

②算法随机选取s,s′,v₂,v₃,...,v_n,v′₂,v′₃,...,v′_n∈Z_p，并设置两个列向量V和V′，令V＝(s,v₂,v₃,...,v_n)^T，V′＝(s′,v′₂,v′₃,...,v′_n)^T；然后计算秘密值的共享份额μ_y＝M_y·V，μ′_y＝M_y·V′，以及消息m的承诺

其中K是对称加密算法E_Enc/Dec(*,*)的加解密密钥；

③加密者首先计算D＝E_Enc(K,m)，C₀＝K·e(g,g₁)^θs，

和C₁＝g^s；对于任意的y满足y∈[1,l]，随机选择d,z₁,z₂,...,z_l,k₁,k₂,...,k_l∈Z_p，然后计算剩余的密文

用户将生成的密文

上传到云端。

优选的，所述步骤四的原始解密中，包括：

①解密测试；数据用户首先由访问矩阵M，映射ρ和自己的属性集 S＝(N_S,L_S)计算集合I＝{y|ρ(y)∈N_S}和常数集合C＝{ω_y}_y∈I，然后判断下列等式是否成立：

如果上述等式成立，则输出一个yes，说明访问密文Ct的数据用户满足访问策略，可继续执行解密算法；否则，终止解密操作；该步计算能够在消耗很小的计算资源的情况下快速判断解密用户的合法性，这相比传统的方案能节省解密过程中大量不必要的计算开销；

②密文解密；输入由公钥、用户私钥，密文和数据用户的属性列表组成的元组(Pk,Sk,Ct,S)，可通过下式(4)计算；

得到密文Ct对应的明文。

优选的，所述步骤五的外包解密中，包括：

①生成外包转换私钥；数据用户随机选取r∈Z_p，并令Dk＝r记为外包解密私钥，然后由自己的部分私钥计算外包转换私钥；首先计算

对于任意的x∈[1,|N_S|]，计算

随后，数据用户将生成的外包转换私钥

发送给外包云服务器；

②外包解密计算；输入Sk′和

外包云服务器作下式(5)计算：

并将计算的结果E′发送给数据用户；E′＝e(w,g)^-δs/r与消息封装值e(g,g₁)^θs没有关联，因此即便外包云服务器不可信也得不到有价值的信息，这比现存的大多数外包方案更加安全；

③用户解密；输入外包云计算结果E′，私钥组件K，密文组件C₀和C₁以及外包解密私钥Dk，用户只需要完成下式(6)的计算即可完成对密文的解密；

其中m′看作是密文初步解密的结果，通过解密验证确定m′的可信度。

优选的，所述步骤六的解密消息验证中，包括：

①算法输入公共参数Pk，初步解密结果m′和密文组件Q，数据用户计算判断等式

是否成立；

②如果等式

成立，则m＝m′；否则，解密失败，如果没有出现计算错误，很大的可能说明外包云服务器返回的结果有误。

优选的，所述方法中，算法数据用户包含两种方式从密文中解密出明文消息；对计算资源较强的用户可以直接计算到所述步骤四完成解密，对于计算能力有限的用户，可执行到所述步骤五完成解密。

优选的，所述步骤三中对待加密的明文消息进行了承诺，所述步骤五中对原始解密的消息作了解诺的处理，当解诺成功时解密的明文消息可通过消息的验证性算法。

本发明的有益效果是：

1、本发明在素数阶群中使用灵活的LSSS结构构建方案，构造了具有灵活访问控制结构的隐私保护方案。素数阶群确保了公钥和密文的存储开销比合数阶群有实质性的减少；灵活访问控制较现存的大多数基于不灵活的AND 门访问结构的方案，应用范围和实用性得到了显著的提高；

2、本发明将属性分成属性名和属性值，把包含敏感信息的属性值嵌入在密文中，同时选取多组生成元和随机值实现数据用户的匿名性，由于访问策略的隐藏，解决了属性加密机制因为敏感属性暴露用户隐私的问题；

3、本发明在解密阶段增加了解密测试算法和外包解密，既节省数据用户的计算开销，还可将大量的解密计算交给第三方。解密测试仅消耗少量的计算资源就可判断数据用户是否满足密文中嵌入的访问策略，减少了解密阶段大量不必要的计算。修改的外包算法使得外包云计算的结果不会包含任何与消息封装值相关的信息，增强了外包的安全性也减轻了计算资源有限的用户的负担；

4、本发明增加了对解密消息的验证性。在加密阶段对明文消息进行承诺并随密文一同发送，用户在解密阶段通过对消息的解诺，判断解密的有效性，也有效的预防了外包云服务器给出的虚假结果；

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的工作流程图；

图2为本发明中消息加密工作流程图；

图3为本发明中消息解密工作流程图；

具体实施方式

下面将结合本发明实施例中的附图，对本发明中的相关技术进行清楚、完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参考图1～3，一种云中支持隐私保护和解密的CP-ABE方法，包括如下步骤：

步骤一、系统初始化及系统参数设置；

步骤二、生成数据用户私钥；所述用户私钥属性分为属性名和属性值，将具有敏感的属性值嵌入在密文中，从而保护敏感的属性信息；

步骤三、加密明文消息；所述加密明文消息中设置策略元组用于控制解密对象，只有满足访问策略的用户才能正常解密，恢复出明文消息；所述加密明文消息中与属性关联的密文组件选取用于产生盲化效果的随机值，与步骤二中所述用户私钥属性分为属性名和属性值方法同时应用实现基于LSSS 访问结构在素数阶双线性群中方案访问策略的隐藏，进而实现数据访问用户的匿名性，保护用户的隐私安全；

步骤四、原始解密；所述原始解密中增加解密测试算法，使数据访问用户无需通过完成解密算法，仅需要消耗少量的计算资源即可判断是否是授权用户，节省数据用户的计算开销；

步骤五、外包解密；所述外包解密中对部分解密私钥转换，实现将解密阶段需要消耗大量计算资源的配对操作交给第三方外包云服务端计算，外包云计算的结果既不会泄露任何关于明文的信息，又能帮助数据用户顺利完成解密；

步骤六、解密消息验证。

进一步的，所述步骤一的系统初始化及系统参数设置中，包括：

①为系统设定一个安全参数κ，运行双线性群生成器产生元组Ω＝(p,G,G_T,e)，其中p表示一个大素数，G和G_T指的是阶为p的乘法循环群， e是双线性映射满足e:G×G→G_T；又设置U表示整个系统中属性的全集；

②从群G中随机选取生成元g,g₁,g₂,w,u,h,f∈_RG，从群Z_p中随机选取β,θ∈_RZ_p，并选取两个合适的哈希函数H和H₁以及一个对称加密算法E_Enc/Dec(*,*)，其中H将一个属性值或G_T中的元素映射到Z_p群中，H₁可看作是一个伪随机函数,Z_p表示的是模的余数集合；

③系统预处理，计算Y＝e(g,g₁)^θ，然后生成系统的公共参数为

系统的主密钥为Msk＝<β,θ,g₁>。

进一步的，所述步骤二的生成数据用户私钥中，包括：

①数据用户首先向授权中心提交自己的属性集S＝(N_S,L_S)，授权中心从群 Z_p中随机选取

其中N_S表示的用户的属性名的集合，L_S指的是用户属性值的集合；

②授权中心首先计算

K₀＝g^δ；对于任意的i满足i∈[1,|N_S|]，授权中心计算剩余的用户私钥

然后授权中心将生成的用户私钥

通过安全可信的信道秘密发给属性集为S的用户。

进一步的，所述步骤三的加密明文消息中，包括：

①输入一个与加密者定义的访问策略关联的访问矩阵M，访问策略元组 (ρ,T)，m待加密的密文消息，以及系统公共参数；其中M是一个l×n的矩阵，ρ是将M第i行映射为第j个属性名的索引值，T是访问策略中所有属性的值构成的集合；

②算法随机选取s,s′,v₂,v₃,...,v_n,v′₂,v′₃,...,v′_n∈Z_p，并设置两个列向量V和V′，令V＝(s,v₂,v₃,...,v_n)^T，V′＝(s′,v′₂,v′₃,...,v′_n)^T；然后计算秘密值的共享份额μ_y＝M_y·V，μ′_y＝M_y·V′，以及消息m的承诺

其中K是对称加密算法E_Enc/Dec(*,*)的加解密密钥；

③加密者首先计算D＝E_Enc(K,m)，C₀＝K·e(g,g₁)^θs，

和C₁＝g^s；对于任意的y满足y∈[1,l]，随机选择d,z₁,z₂,...,z_l,k₁,k₂,...,k_l∈Z_p，然后计算剩余的密文

用户将生成的密文

上传到云端。

进一步的，所述步骤四的原始解密中，包括：

①解密测试；数据用户首先由访问矩阵M，映射ρ和自己的属性集 S＝(N_S,L_S)计算集合I＝{y|ρ(y)∈N_S}和常数集合C＝{ω_y}_y∈I，然后判断下列等式是否成立：

如果上述等式成立，则输出一个yes，说明访问密文Ct的数据用户满足访问策略，可继续执行解密算法；否则，终止解密操作；该步计算能够在消耗很小的计算资源的情况下快速判断解密用户的合法性，这相比传统的方案能节省解密大量不必要的计算开销；

②密文解密；输入由公钥、用户私钥，密文和数据用户的属性列表组成的元组(Pk,Sk,Ct,S)，可通过下式(4)计算；

得到密文Ct对应的明文。

进一步的，所述步骤五的外包解密中，包括：

①生成外包转换私钥；数据用户随机选取r∈Z_p，并令Dk＝r记为外包解密私钥，然后由自己的部分私钥计算外包转换私钥；首先计算

对于任意的x∈[1,|N_S|]，计算

随后，数据用户将生成的外包转换私钥

发送给外包云服务器；

②外包解密计算；输入Sk′和

外包云服务器作下式(5)计算：

并将计算的结果E′发送给数据用户；E′＝e(w,g)^-δs/r与消息封装值e(g,g₁)^θs没有关联，因此即便外包云服务器不可信也得不到有价值的信息，这比现存的大多数外包方案更加安全；

③用户解密；输入外包云计算结果E′，私钥组件K，密文组件C₀和C₁以及外包解密私钥Dk，用户只需要完成下式(6)的计算即可完成对密文的解密；

其中m′看作是密文初步解密的结果，通过解密验证确定m′的可信度。

进一步的，所述步骤六的解密消息验证中，包括：

①算法输入公共参数Pk，初步解密结果m′和密文组件Q，数据用户计算判断等式

是否成立；

②如果等式

成立，则m＝m′；否则，解密失败，如果没有出现计算错误，很大的可能说明外包云服务器返回的结果有误。

进一步的，所述方法中，算法数据用户包含两种方式从密文中解密出明文消息；对计算资源较强的用户可以直接计算到所述步骤四完成解密，对于计算能力有限的用户，可执行到所述步骤五完成解密。

进一步的，所述步骤三中对待加密的明文消息进行了承诺，所述步骤五中对原始解密的消息作了解诺的处理，当解诺成功时解密的明文消息可通过消息的验证性算法。

本发明一种云中支持隐私保护和解密的CP-ABE方法；包括CP-ABE系统建立、数据拥有端加密及上传数据、数据用户端解密私钥获取及判断是否开启外包解密算法，外包云服务端解密计算。云端数据加解密需要系统授权中心、数据拥有者和数据访问用户三者协同工作：

(1)系统授权中心的工作：

系统授权中心在初始化系统后，首先产生系统的公共参数用于进行系统中的加密操作，并将公共参数公布。同时产生系统的主密钥，并秘密保存，用于为数据访问端生成解密私钥。

(2)数据拥有者的工作：

数据拥有者是整个系统中产生密文消息的实体，通过系统加密要共享的数据，并将加密后数据上传到云存储服务器端。在加密数据时，数据拥有者可自定义数据访问的权限，即指定数据访问的对象。

(3)数据访问用户的工作：

数据访问用户在系统中也称解密者，他们通过解密云端加密者上传的加密数据获得需要的信息，当且仅当数据访问用户自身的属性列表满足加密定义在密文中访问策略时才可正常解密密文。

综上所述，本发明在素数阶群中使用灵活的LSSS结构构建方案；将属性分成属性名和属性值，把包含敏感信息的属性值嵌入在密文中，同时选取多组生成元和随机值实现数据用户的匿名性；解密测试算法和外包解密算法的增加，既节省数据用户的计算开销，还可将大量的解密计算交给第三方；消息可验证性算法保证解密的准确性。本发明方案在保护隐私的基础上对解密效率，密文存储开销以及访问控制灵活性方面进行大幅度提升，使得本发明方案的实用性更强。所以本发明克服了现有技术的不足从而具有良好的应用前景。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (9)

1.一种云中支持隐私保护和解密的CP-ABE方法，其特征在于，包括如下步骤：

步骤一、系统初始化及系统参数设置；

步骤二、生成数据用户私钥；所述用户私钥属性分为属性名和属性值，将具有敏感的属性值嵌入在密文中，从而保护敏感的属性信息；

步骤三、加密明文消息；所述加密明文消息中设置策略元组用于控制解密对象，只有满足访问策略的用户才能正常解密，恢复出明文消息；所述加密明文消息中与属性关联的密文组件选取用于产生盲化效果的随机值，与步骤二中所述用户私钥属性分为属性名和属性值方法同时应用实现基于LSSS访问结构在素数阶双线性群中方案访问策略的隐藏，进而实现数据访问用户的匿名性，保护用户的隐私安全；

步骤四、原始解密；所述原始解密中增加解密测试算法，使数据访问用户无需通过完成解密算法，仅需要消耗少量的计算资源即可判断是否是授权用户，节省数据用户的计算开销；

步骤五、外包解密；所述外包解密中对部分解密私钥转换，实现将解密阶段需要消耗大量计算资源的配对操作交给第三方外包云服务端计算，外包云计算的结果既不会泄露任何关于明文的信息，又能帮助数据用户顺利完成解密；

步骤六、解密消息验证。

2.根据权利要求1所述一种云中支持隐私保护和解密的CP-ABE方法，其特征在于，所述步骤一的系统初始化及系统参数设置中，包括：

①为系统设定一个安全参数κ，运行双线性群生成器产生元组Ω＝(p,G,G_T,e)，其中p表示一个大素数，G和G_T是阶为p的乘法循环群，e是双线性映射满足e:G×G→G_T；令U表示整个系统中的属性全集；

②从群G中随机选取生成元g,g₁,g₂,w,u,h,f∈_RG，从群Z_p中随机选取β,θ∈_RZ_p，并选取两个合适的哈希函数H和H₁以及一个对称加密算法E_Enc/Dec(*,*)，其中H将一个属性值或G_T中的元素映射到Z_p群中，H₁可看作是一个伪随机函数,Z_p表示的是模的余数集合；

③系统预处理，计算Y＝e(g,g₁)^θ，然后生成系统的公共参数为

系统的主密钥为Msk＝<β,θ,g₁>。

3.根据权利要求1所述一种云中支持隐私保护和解密的CP-ABE方法，其特征在于，所述步骤二的生成数据用户私钥中，包括：

①数据用户首先向授权中心提交自己的属性集S＝(N_S,L_S)，授权中心从群Z_p中随机选取

其中N_S表示的用户的属性名的集合，L_S指的是用户属性值的集合；

②授权中心首先计算

K₀＝g^δ；对于任意的i满足i∈[1,|N_S|]，授权中心计算剩余的用户私钥

然后授权中心将生成的用户私钥

通过安全可信的信道秘密发给属性集为S的用户。

4.根据权利要求1所述一种云中支持隐私保护和解密的CP-ABE 方法，其特征在于，所述步骤三的加密明文消息中，包括：

①输入一个与加密者定义的访问策略关联的访问矩阵M，访问策略元组(ρ,T)，m待加密的密文消息，以及系统公共参数，其中M是一个l×n的矩阵，ρ是将M第i行映射为第j个属性名的索引值，T是访问策略中所有属性的值构成的集合；

②算法随机选取s,s′,v₂,v₃,...,v_n,v′₂,v′₃,...,v′_n∈Z_p，并设置两个列向量V和V′，令V＝(s,v₂,v₃,...,v_n)^T，V′＝(s′,v′₂,v′₃,...,v′_n)^T；然后计算秘密值的共享份额μ_y＝M_y·V，μ′_y＝M_y·V′，以及消息m的承诺

其中K是对称加密算法E_Enc/Dec(*,*)的加解密密钥；

③加密者首先计算D＝E_Enc(K,m)，C₀＝K·e(g,g₁)^θs，

和C₁＝g^s；对于任意的y满足y∈[1,l]，随机选择d,z₁,z₂,...,z_l,k₁,k₂,...,k_l∈Z_p，然后计算剩余的密文

用户将生成的密文

上传到云端。

5.根据权利要求1所述一种云中支持隐私保护和解密的CP-ABE方法，其特征在于，所述步骤四的原始解密中，包括：

①解密测试；数据用户首先由访问矩阵M，映射ρ和自己的属性集S＝(N_S,L_S)计算集合I＝{y|ρ(y)∈N_S}和常数集合C＝{ω_y}_y∈I，然后判断下列等式是否成立：

如果上述等式成立，则输出一个yes，说明访问密文Ct的数据用户满足访问策略，可继续执行解密算法；否则，终止解密操作；该步计算能够在消耗很小的计算资源的情况下快速判断解密用户的合法性，这相比传统的方案能节省解密大量不必要的计算开销；

②密文解密；输入由公钥、用户私钥，密文和数据用户的属性列表组成的元组(Pk,Sk,Ct,S)，可通过下式(4)计算；

得到密文Ct对应的明文。

6.根据权利要求1所述一种云中支持隐私保护和解密的CP-ABE方法，其特征在于，所述步骤五的外包解密中，包括：

①生成外包转换私钥；数据用户随机选取r∈Z_p，并令Dk＝r记为外包解密私钥，然后由自己的部分私钥计算外包转换私钥；首先计算

对于任意的x∈[1,|N_S|]，计算

随后，数据用户将生成的外包转换私钥

发送给外包云服务器；

②外包解密计算；输入Sk′和

外包云服务器作下式(5)计算：

并将计算的结果E′发送给数据用户；E′＝e(w,g)^-δs/r与消息封装值e(g,g₁)^θs没有关联，因此即便外包云服务器不可信也得不到有价值的信息，这比现存的大多数外包方案更加安全；

③用户解密；输入外包云计算结果E′，私钥组件K，密文组件C₀和C₁以及外包解密私钥Dk，用户只需要完成下式(6)的计算即可完成对密文的解密；

其中m′看作是密文初步解密的结果，通过解密验证确定m′的可信度。

7.根据权利要求1所述一种云中支持隐私保护和解密的CP-ABE方法，其特征在于，所述步骤六的解密消息验证中，包括：

①算法输入公共参数Pk，初步解密结果m′和密文组件Q，数据用户计算判断等式

是否成立；

②如果等式

成立，则m＝m′；否则，解密失败，如果没有出现计算错误，很大的可能说明外包云服务器返回的结果有误。

8.根据权利要求1所述一种云中支持隐私保护和解密的CP-ABE方法，其特征在于，所述方法中，算法数据用户包含两种方式从密文中解密出明文消息；对计算资源较强的用户可以直接计算到所述步骤四完成解密，对于计算能力有限的用户，可执行所述步骤五完成解密。

9.根据权利要求1所述一种云中支持隐私保护和解密的CP-ABE方法，其特征在于，所述步骤三中对待加密的明文消息进行了承诺，所述步骤五中对原始解密的消息作了解诺的处理，当解诺成功时解密的明文消息可通过消息的验证性算法。

Images