CN113810368B - 一种支持双重访问控制的数据共享方法及系统 - Google Patents

Abstract

本发明公开了一种支持双重访问控制的数据共享方法及系统。本方法为：设定系统公钥PK、主密钥MSK；使用公钥PK生成中间密钥池IK；使用公钥PK、主密钥MSK、中间密钥池IK、访问策略

和属性集合

生成转换密钥TK和恢复密钥RK；使用公钥PK生成中间密文池IT；使用公钥PK、中间密文池IT、属性集合

和访问策略

对明文msg进行加密，生成密文CT；使用公钥PK和转换密钥TK对密文CT进行部分解密，得到转换密文TCT；使用公钥PK和恢复密钥RK对转换密文TCT解密，得到明文msg。本发明提供细粒度的双重访问控制功能，有效减少密钥生成中心和用户的计算开销，便于资源受限的设备使用。

Description

一种支持双重访问控制的数据共享方法及系统

技术领域

本发明涉及数据加密和数据访问控制领域，特别是，实现一种支持双重访问控制的数据共享方法及系统。

背景技术

随着云计算技术的快速发展，数据共享成为当前研究和应用热点之一。属性加密(ABE)作为一种具有一对多加密特性的公钥加密方案，是实现云计算环境下安全受控数据共享的重要技术工具。

ABE可以在提供数据机密性的同时，实现细粒度的访问控制。具体地，根据访问策略的关联性，ABE可以分为密钥策略属性加密(KP-ABE)，以及密文策略属性加密(CP-ABE)。在KP-ABE方案中，用户私钥与访问策略相关联，数据密文与属性集合相关联，当且仅当数据密文的属性集合满足用户私钥的访问策略时，才可以正确解密。KP-ABE方案适用于付费电视等系统，例如，在加密时设置属性集合(“2021年”,“体育频道”)生成密文，用户拥有访问策略为[“2021年”AND(“体育频道”OR“娱乐频道”]的私钥可以解密。在CP-ABE方案中，数据密文与访问策略相关联，用户私钥与属性集合相关联，当且仅当用户私钥的属性集合满足数据密文的访问策略时，才可以正确解密。CP-ABE方案适用于电子病例等系统，例如，在加密时设置访问策略[“心内科”AND(“主任医师”OR“副主任医师”)]生成密文，用户拥有属性集合为(“心内科”,“主任医师”)的私钥可以解密。

可以看到，KP-ABE方案和CP-ABE方案在应用中支持的访问控制功能是不同的，在系统中仅使用KP-ABE或CP-ABE方案具有一定局限性。选择一种ABE方案进行系统初始化，用户就只能使用一种方案申请私钥和加密数据，而无法灵活地使用另一种方案的访问控制功能。针对这一问题，Attrapadung和Imai提出了双重策略属性加密(DP-ABE)，支持同时对用户和数据设置访问策略和属性集合，提供非常灵活的访问控制功能。

此外，ABE方案在实际应用中的主要缺点是各算法的计算复杂度较高，密钥生成、加密、解密算法计算量均与涉及到的属性个数呈线性增长关系。针对这一问题，Ma等人使用外包计算技术，将CP-ABE方案中密钥生成、加密、解密算法中复杂的计算操作外包给具有高计算能力的云计算服务器，有效降低密钥生成中心和用户的计算开销。该方案满足选择明文攻击安全性。但是，现有技术仅支持对CP-ABE方案的外包计算，而不能支持对DP-ABE方案的外包计算。在支持双重访问控制的同时，降低密钥生成中心和用户的计算开销，有待研究。

发明内容

为解决外包数据的访问控制问题和系统性能问题，本发明提供一种支持双重访问控制的数据共享方法及系统。本发明将密钥策略属性加密、密文策略属性加密和外包计算技术相结合，具有如下技术特色：一，提供高等级数据机密性保护，方案达到可重放选择密文攻击安全性；二、提供细粒度的双重访问控制功能，支持同时对系统用户和数据明文设置访问策略和属性集合；三，将密钥生成、加密和解密算法的绝大部分计算任务外包给云计算服务器处理，有效减少密钥生成中心和用户的计算开销，便于资源受限的设备使用。

本发明采取的技术方案

根据本发明设计出一种支持双重访问控制的数据共享方法，特征在于，包括如下步骤：

A、系统初始化(Setup.pkg)：设定系统公钥PK，生成系统主密钥MSK；

B、外包密钥生成(KeyGen.out)：使用系统公钥PK，生成中间密钥池IK；

C、本地密钥生成(KeyGen.pkg)：使用系统公钥PK、系统主密钥MSK、中间密钥池IK、允许解密的明文的访问策略

和数据使用者的属性集合

生成该数据使用者的转换密钥TK和恢复密钥RK；

D、外包加密(Enc.out)：使用系统公钥PK，生成中间密文池IT；

E、本地加密(Enc.owner)：使用系统公钥PK、中间密文池IT、明文的属性集合

和允许解密的数据使用者的访问策略

对明文msg进行加密，生成原始密文CT；

F、外包解密(Dec.out)：使用系统公钥PK和转换密钥TK，对原始密文CT进行部分解密，得到转换密文TCT；

G、本地解密(Dec.user)：使用系统公钥PK和恢复密钥PK，对转换密文TCT进行最终解密，得到明文msg。

根据本发明设计出一种支持双重访问控制的数据共享系统，特征在于，包括如下实体：

密钥生成中心：在系统初始化阶段，生成系统公钥PK和系统主密钥MSK，将系统公钥PK发送给所有其他实体；在本地密钥生成阶段，使用中间密钥池IK、系统主密钥MSK、允许解密的明文的访问策略

和数据使用者的属性集合

生成该数据使用者的转换密钥TK和恢复密钥RK，将转换密钥TK发送给第一云计算服务器，将恢复密钥RK发送给该数据使用者；

数据拥有者：在本地加密阶段，使用系统公钥PK、中间密文池IT、明文的属性集合

和允许解密的数据使用者的访问策略

对明文msg进行加密，生成原始密文CT，发送给第一云计算服务器；

数据使用者：在本地解密阶段，使用系统公钥PK、恢复密钥RK，对转换密文TCT进行最终解密，得到明文msg；

第一云计算服务器：在外包密钥生成阶段，与第二云计算服务器共同生成中间密钥池IK，发送给密钥生成中心；在外包加密阶段，与第二云计算服务器共同生成中间密文池IT，发送给数据拥有者；在外包解密阶段，使用转换密钥TK，对原始密文CT进行部分解密，得到转换密文TCT，发送给数据使用者；

第二云计算服务器：在外包密钥生成阶段，与第一云计算服务器共同生成中间密钥池IK，发送给密钥生成中心；在外包加密阶段，与第一云计算服务器共同生成中间密文池IT，发送给数据拥有者。

与现有技术相比，本发明的积极效果为：

本发明将密钥策略属性加密、密文策略属性加密和外包计算技术相结合，具有如下技术特色：一，提供高等级数据机密性保护，方案达到可重放选择密文攻击(RCCA)安全性；二、提供细粒度的双重访问控制功能，支持同时对系统用户和数据明文设置访问策略和属性集合，在实际场景中应用更为灵活；三，密钥生成、加密和解密算法的绝大部分计算任务外包给云计算服务器离线处理，有效降低密钥生成中心和用户的在线计算时间，便于资源受限的设备使用。

附图说明

图1是本发明所述的一种支持双重访问控制的数据共享方法及系统的系统模型图。

图2是本发明所述的一种支持双重访问控制的数据共享方法及系统的算法流程图。

具体实施方式

下面结合附图1和附图2对本发明的技术方案做进一步的详细说明。

作为本发明所述的一种支持双重访问控制的数据共享方法，其特征在于，所述步骤A包括：

A1.选择阶数为p的群

和

以及双线性映射e:

系统属性空间为有限域集合

A2.选择随机元素g₁,u₁,u₂,h₁,h₂,w₁,w₂,

A3.选择密码学安全的哈希函数H:

A4.选择密码学安全的密钥导出函数KDF:

A5.输出系统公钥

系统主密钥MSK＝α。

作为本发明所述的一种支持双重访问控制的数据共享方法，其特征在于，所述步骤B包括：

B1.选择随机元素

计算

B2.设IK_kp＝(μ′_j,τ′_j,y′_j,K′_j,0,K′_j,1,K′_j,2)；

B3.选择随机元素

计算

K′_v＝v^-r；

B4.选择随机元素

计算

B5.设IK_cp,main＝(α′,r′,K′₀,K′₁,K′_v)，IK_cp,attr＝(r′_i,a′_i,K′_i,2,K′_i,3)；

B6.输出中间密钥池IK＝(IK_kp,IK_cp,main,IK_cp,attr)。

作为本发明所述的一种支持双重访问控制的数据共享方法，其特征在于，所述步骤C包括：

C1.将允许解密的明文的访问策略设为

并使用线性秘密分享方案将

表示为l行n列的矩阵

以及映射π:

其中l和n的值由

确定，映射π将[l]中的每个整数映射到属性空间

的值，即表示矩阵N的每行所对应的属性；

C2.从IK中选择由不同云计算服务器生成的2l个IK_kp组成：

IK1_kp＝({μ′_j,τ′_j,y′_j,K′_j,0,K′_j,1,K′_j,2}_j∈[l])

IK2_kp＝({μ″_j,τ″_j,y″_j,K″_j,0,K″_j,1,K″_j,2}_j∈[l])

C3.选择随机元素

对于j∈[l]，计算

τ_j＝(τ′_j+τ″_j)γ，y_j＝(y′_jτ′_j+y″_jτ″_j)γ/τ_j，K_j,0＝K′_j,0·K″_j,0，K_j,1＝K′_j,1·K″_j,1，K_j,2＝K′_j,2·K″_j,2；

C4.选择向量

其中随机元素

计算β的分享向量

其中(μ₁,…,μ_l)^T是长度为l的列向量，

表示矩阵N与列向量

相乘；

C5.对于j∈[l]，计算

K_j,4＝(y_j-π(j))τ_j/γ；

C6.设

C7.将数据使用者的属性集合设为

其中A_d为数据使用者的第d个属性，数据使用者的属性集合由密钥生成中心根据数据使用者的身份特征设定；

C8.从IK中选择由不同云计算服务器生成的2个IK_cp,main和2d个IK_cp,attr组成：

IK1_cp＝(α′,r′,K′₀,K′₁,K′_v,{r′_i,a′_i,K′_i,2,K′_i,3}_i∈[d])

IK2_cp＝(α″,r″,K″₀,K″₁,K″_v,{r″_i,a″_i,K″_i,2,K″_i,3}_i∈[d])

其中IK1_cp使用1个IK_cp,main和d个IK_cp,attr拼接组成，元素上标为单引号；IK2_cp使用1个IK_cp,main和d个IK_cp,attr拼接组成，元素上标为双引号；

C9.计算

r＝(r′+r″)γ，K₀＝K′₀·K″₀，K₁＝K′₁·K″₁，

C10.对于i∈[d]，计算r_i＝(r′_i+r″_i)γ，a_i＝(a′_ir′_i+a″_ir″_i)γ/r_i，K_i,2＝K′_i,2·K″_i,2，K_i,3＝K′_i,3·K″_i,3·K′_v·K″_v，K_i,5＝(A_i-a_i)r_i/γ；

C11.设Tk_cp＝(S_cp,K₀,K₁,K₄,{K_i,2,K_i,3,K_i,5}_i∈[d])；

C12.输出转换密钥TK＝(TK_kp,TK_cp)，恢复密钥RK＝γ。

作为本发明所述的一种支持双重访问控制的数据共享方法，其特征在于，所述步骤D包括：

D1.选择随机元素

计算C′_r＝e(g₁,g₂)^αs′，

D2.设IT_cmn＝(s′,C′_r,C′₀)；

D3.选择随机元素

计算

D4.选择随机元素

计算

D5.设IT_kp,main＝(ψ′,C′_w)，IT_kp,attr＝(σ′_j,b′_j,C′_j,1,C′_j,2)；

D6.选择随机元素

计算

D7.设IT_cp＝(λ′_i,t′_i,x′_i,C′_i,1,C′_i,2,C′_i,3)；

D8.输出中间密文池IT＝(IT_cmn,IT_kp,main,IT_kp,attr,IT_cp)。

作为本发明所述的一种支持双重访问控制的数据共享方法，其特征在于，所述步骤E包括：

E1.从IT中选择由不同云计算服务器生成的2个IT_cmn组成：

IT1_cmn＝(s′,C′_r,C′₀)

IT2_cmn＝(s″,C″_r,C₀″)

E2.选择随机元素

计算s＝H(msg,ran)，

C_r＝C′_r·C″_r·ran，C₀＝C′₀·C″₀；

E3.将明文msg的属性集合设为

其中B_q为明文的第q个属性，明文的属性集合由数据拥有者根据明文的数据特征设定；

E4.从IT中选择由不同云计算服务器生成的2个IT_kp,main和2q个IT_kp,attr组成：

IT1_kp＝(ψ′,C′_w,{σ′_j,b′_j,C′_j,1,C′_j,2}_j∈[q])

IT2_kp＝(ψ″,C″_w,{σ″_j,b″_j,C″_j,1,C″_j,2}_j∈[q])

其中IT1_kp使用1个IK_kp,main和q个IK_kp,attr拼接组成，元素上标为单引号；IT1_kp使用1个IK_kp,main和q个IK_kp,attr拼接组成，元素上标为双引号；

E5.计算ψ＝ψ′+ψ″，C_ψ＝s-ψ；

E6.对于j∈[q]，计算σ_j＝σ′_j+σ″_j，b_j＝(b″_jσ′_j+b″_jσ″_j)/σ_j，C_j,1＝C′_j,1·C″_j,1，C_j,2＝C′_j,2·C″_j,2·C′_w·C″_w，C_j,3＝(B_j-b_j)σ_j；

E7.设

E8.将允许解密的数据使用者的访问策略设为

并使用线性秘密分享方案将

表示为k行m列的矩阵

以及映射ρ:

其中k和m的值由

确定；映射ρ将[k]中的每个整数映射到属性空间

的值，即表示矩阵M每行所对应的属性；

E9.从IT中选择由不同云计算服务器生成的2k个IT_cp组成：

IT1_cp＝({λ′_i,t′_i,x′_i,C′_i,1,C′_i,2,C′_i,3}_i∈[k])

IT2_cp＝({λ″_i,t″_i,x″_i,C″_i,1,C″_i,2,C″_i,3}_i∈[k])

E10.对于i∈[k]，计算

t_i＝t′_i+t″_i，x_i＝(x′_it′_i+x″_it″_i)/t_i，C_i,1＝C′_i,1·C″_i,1，C_i,2＝C′_i,2·C″_i,2，C_i,3＝C″_i,3·C″_i,3；

E11.选择向量

其中随机元素

计算s的分享向量

其中(λ₁,…,λ_k)^T是长度为k的列向量，

表示矩阵M与列向量

相乘；

E12.对于i∈[k]，计算

C_i,5＝(x_i-ρ(i))t_i；

E13.设

E14.输出原始密文CT＝(C_s,C_m,C_r,C₀,CT_kp,CT_cp)。

作为本发明所述的一种支持双重访问控制的数据共享方法，其特征在于，所述步骤F包括：

F1.判断原始密文CT中的属性集合

是否满足转换密钥TK中的访问策略

转换密钥TK中的属性集合

是否满足原始密文CT中的访问策略

如果不满足，输出失败符号⊥；

F2.计算集合

使得

满足

其中

为矩阵N的第j行，

为

中的元素，其中角标j从集合J中取值，该组

的选取满足

计算

其中∈是属性π(j)在

中的索引，由j决定；

F3.计算集合

使得

满足

其中

为矩阵M的第i行，φ_i为

中的元素，其中角标i从集合I中取值，该组φ_i的选取满足

计算

其中ε是属性ρ(i)在

中的索引，由i决定；

F4.计算T₀＝E_kp·E_cp，

F5.输出转换密文TCT＝(T₀,T₁,C_m)。

作为本发明所述的一种支持双重访问控制的数据共享方法，其特征在于，所述步骤G包括：

G1.计算

s＝H(msg,ran)；

G2.如果

且T₁＝e(g₁,g₂)^αs·ran，输出明文msg；否则，输出失败符号⊥。

尽管为说明目的公开了本发明的具体内容、实施算法以及附图，其目的在于帮助理解本发明的内容并据以实施，但是本领域的技术人员可以理解：在不脱离本发明及所附的权利要求的精神和范围内，各种替换、变化和修改都是可能的。本发明不应局限于本说明书最佳实施例和附图所公开的内容，本发明要求保护的范围以权利要求书界定的范围为准。

Claims (9)

1.一种支持双重访问控制的数据共享方法，其特征在于，包括如下步骤：

A、密钥生成中心生成系统公钥PK、主密钥MSK；将该系统公钥PK发送给系统中的其他实体，所述实体包括数据拥有者、数据使用者和第一云计算服务器、第二云计算服务器；

B、所述第一云计算服务器与所述第二云计算服务器使用系统公钥PK生成中间密钥池IK，并将其发送给所述密钥生成中心；

C、所述密钥生成中心使用系统公钥PK、系统主密钥MSK、中间密钥池IK、允许解密的明文的访问策略

和数据使用者的属性集合

生成转换密钥TK和恢复密钥RK；然后将该转换密钥TK发送给所述第一云计算服务器，将该恢复密钥RK发送给该数据使用者；

D、所述第一云计算服务器与所述第二云计算服务器使用系统公钥PK，生成中间密文池IT，并将其发送给该数据拥有者；

E、所述数据拥有者使用系统公钥PK、中间密文池IT、明文的属性集合

和允许解密的数据使用者的访问策略

对明文msg进行加密，生成原始密文CT并将其发送给所述第一云计算服务器；

F、所述第一云计算服务器使用系统公钥PK和转换密钥TK，对原始密文CT进行部分解密，得到转换密文TCT，并将其发送给该数据使用者；

G、所述数据使用者使用系统公钥PK和恢复密钥RK，对转换密文TCT进行最终解密，得到明文msg。

2.如权利要求1所述的方法，其特征在于，步骤A中，生成系统公钥PK和主密钥MSK的方法为：选择阶数为p的群

和

以及双线性映射e：

系统属性空间为有限域集合

选择随机元素g₁，u₁，u₂，h₁，h₂，w₁，w₂，

选择哈希函数H：

密钥导出函数KDF：

得到系统公钥

系统主密钥MSK＝α。

3.如权利要求2所述的方法，其特征在于，步骤B中，生成中间密钥池IK的方法为：选择随机元素

计算

设IK_kp＝(μ′_j，τ′_j，y′_j，K′_j，0，K′_j，1，K′_j，2)；选择随机元素α′，

计算

K′_v＝v^-r；选择随机元素r′_i，

计算

设IK_cp,main＝(α′，r′，K′₀，K′₁，K′_v)，IK_cp,attr＝(r′_i，a′_i，K′_i，2，K′_i，3)；最后，得到中间密钥池IK＝(IK_kp，IK_cp,main，IK_cp,attr)。

4.如权利要求3所述的方法，其特征在于，步骤C中，生成转换密钥TK和恢复密钥RK的方法为：将允许解密的明文的访问策略设为

并使用线性秘密分享方案将

表示为l行n列的矩阵

以及映射

其中l和n的值由

确定；从IK中选择2l个IK_kp组成IK1_kp＝({μ′_j，τ′_j，y′_j，K′_j，0，K′_j，1，K′_j，2}_j∈[l])，IK2_kp＝({μ″_j，τ″_j，y″_j，K″_j，0，K″_j，1，K″_j，2}_j∈[l])；选择随机元素

对于j∈[l]，计算

τ_j＝(τ′_j+τ″_j)γ，y_j＝(y′_jτ′_j+y″_jτ″_j)γ/τ_j，K_j，0＝K′_j，0·K″_j，0，K_j，1＝K′_j，1·K″_j，1，K_j，2＝K′_j，2·K″_j，2；选择向量

其中随机元素β，

计算β的分享向量

其中

表示矩阵N与列向量

相乘；对于j∈[l]，计算

K_j，4＝(y_j-π(j))τ_j/γ；设

将数据使用者的属性集合设为

从IK中选择2个IK_cp,main和2d个IK_cp,attr组成IK1_cp＝(α′，r′，K′₀，K′₁，K′_v，{r′_i，a′_i，K′_i，2，K′_i，3}_i∈[d])，IK2_cp＝(a″，r″，K″₀，K″₁，K′_v，{r″_i，a″_i，K′_i，2，K′_i，3}_i∈[d])；计算

r＝(r′+r″)γ，K₀＝K′₀·K″₀，K₁＝K′₁·K″₁，

对于i∈[d]，计算r_i＝(r′_i+r″_i)γ，a_i＝(a′_ir′_i+a″_ir″_i)γ/r_i，K_i，2＝K′_i，2·K″_i，2，K_i，3＝K′_i，3·K″_i，3·K′_v·K″_v，K_i，5＝(A_i-a_i)r_i/γ；设

最后，得到转换密钥TK＝(TK_kp，TK_cp)，恢复密钥RK＝γ。

5.如权利要求4所述的方法，其特征在于，步骤D中，生成中间密文池IT的方法为：选择随机元素

计算C′_r＝e(g₁，g₂)^αs′，

设IT_cmn＝(s′，C′_r，C′₀)；选择随机元素

计算

选择随机元素σ′_j，

计算

设IT_kp,main＝(ψ′，C′_w)，IT_kp,attr＝(σ′_j，b′_j，C′_j，1，C′_j，2)；选择随机元素λ′_i，t′_i，

计算

设IT_cp＝(λ′_i，t′_i，x′_i，C′_i，1，C′_i，2，C′_i，3)；然后得到中间密文池IT＝(IT_cmn，IT_kp,main，IT_kp,attr,IT_cp)。

6.如权利要求5所述的方法，其特征在于，步骤E中，生成原始密文CT的方法为：从IT中选择2个IT_cmn组成IT1_cmn＝(s′，C′_r，C′₀)，IT2_cmn＝(s″，C″_r，C″₀)；选择随机元素

计算s＝H(msg,ran)，

C_r＝C′_r·C″_r·ran，C₀＝C′₀·C″₀；明文msg的属性集合为

从IT中选择2个IT_kp,main和2q个IT_kp，attr组成IT1_kp＝(ψ′，C′_w，{σ′_j，b′_j，C′_j，1，C′_j，2}_j∈[q])，IT2_kp＝(ψ″，C″_w，{σ″_j，b″_j，C″_j，1，C″_j，2}_j∈[q])；计算ψ＝ψ′+ψ″，C_ψ＝s-ψ；对于j∈[q]，计算σ_j＝σ′_j+σ″_j，b_j＝(b′_jσ′_j+b″_jσ″_j)/σ_j，C_j，1＝C′_j，1·C″_j，1，C_j，2＝C′_j，2·C″_j，2·C′_w·C″_w，C_j，3＝(B_j-b_j)σ_j；设CT_kp＝(S_kp，C_ψ，{C_j，1，C_j，2，C_j，3}_j∈[q])；将允许解密的数据使用者的访问策略设为

并使用线性秘密分享方案将

表示为k行m列的矩阵

以及映射ρ：

其中k和m的值由

确定；从IT中选择2k个IT_cp组成IT1_cp＝({λ′_i，t′_i，x′_i，C′_i，1，C′_i，2，C′_i，3}_i∈[k])，IT2_cp＝({λ″_it″_i，x″_i，C″_i，1，C″_i，2，C″_i，3}_i∈[k])；对于i∈[k]，计算

t_i＝t′_i+t″_i，x_i＝(x′_it′_i+x″_it″_i)/t_i，C_i，1＝C′_i，1·C″_i，1，C_i,2＝C′_i，2·C″_i，2，C_i，3＝C′_i，3·C″_i，3；选择向量

其中随机元素β，

计算s的分享向量

其中

表示矩阵M与列向量

相乘；对于i∈[k]，计算

C_i,5＝(x_i-ρ(i))t_i；设

得到原始密文CT＝(C_s，C_m，C_r，C₀，CT_kp，CT_cp)。

7.如权利要求6所述的方法，其特征在于，步骤F中，得到转换密文TCT的方法为：判断原始密文CT中的属性集合

是否满足转换密钥TK中的访问策略

转换密钥TK中的属性集合

是否满足原始密文CT中的访问策略

如果满足则计算集合

使得

满足

其中

为矩阵N的第j行，计算

其中∈是属性π(j)在

中的索引；计算集合

使得

满足

其中

为矩阵M的第i行；计算

其中ε是属性ρ(i)在

中的索引；计算T₀＝E_kp·E_cp，

得到转换密文TCT＝(T₀，T₁，C_m)。

8.如权利要求7所述的方法，其特征在于，步骤G中，得到明文msg的方法为：依次计算

s＝H(msg,ran)；如果T₀＝e(g₁，g₂)^αs/γ且T₁＝e(g₁，g₂)^αs·ran，则输出明文msg；否则，输出失败符号⊥。

9.一种支持双重访问控制的数据共享系统，其特征在于，包括如下实体：

密钥生成中心，用于在系统初始化阶段，生成系统公钥PK和主密钥MSK，将系统公钥PK发送给系统中的其他实体，所述实体包括数据拥有者、数据使用者和第一云计算服务器、第二云计算服务器；在本地密钥生成阶段，使用中间密钥池IK、系统主密钥MSK、允许解密的明文的访问策略

和数据使用者的属性集合

生成转换密钥TK和恢复密钥RK，将转换密钥TK发送给第一云计算服务器，将恢复密钥RK发送给数据使用者；

数据拥有者，用于在本地加密阶段，使用系统公钥PK、中间密文池IT、明文的属性集合

和允许解密的数据使用者的访问策略

对明文msg进行加密，生成原始密文CT，发送给第一云计算服务器；

数据使用者，用于在本地解密阶段，使用系统公钥PK、恢复密钥RK，对转换密文TCT进行最终解密，得到明文msg；

第一云计算服务器，用于在外包密钥生成阶段，与第二云计算服务器共同生成中间密钥池IK，并发送给密钥生成中心；在外包加密阶段，与第二云计算服务器共同生成中间密文池IT，并发送给数据拥有者；在外包解密阶段，使用转换密钥TK，对原始密文CT进行部分解密，得到转换密文TCT，并发送给数据使用者；

第二云计算服务器，用于在外包密钥生成阶段，与第一云计算服务器共同生成中间密钥池IK，并发送给密钥生成中心；在外包加密阶段，与第一云计算服务器共同生成中间密文池IT，并发送给数据拥有者。

Images