CN114244567A - 一种云环境中支持电路结构的cp-abe方法 - Google Patents

Abstract

本发明公开了一种云环境中支持电路结构的CP‑ABE方法，包括如下步骤：步骤1，权威机构以安全参数λ、系统属性数n和电路最大深度l作为输入，输出公共参数PP和系统主密钥MSK；步骤2，数据所有者将公共参数PP、消息M、电路结构f输入到加密算法中；电路访问结构f对消息M进行加密，补码电路f^*对随机字符串R进行加密，最后输出总密文CT；步骤3，权威机构以系统主密钥MSK和属性集x为输入，输出私钥SK给用户，输出转换密钥TK给云服务器；步骤4，云服务器以转换密钥TK和总密文CT为输入，输出部分解密的密文CT’给用户；步骤5，用户输入私钥SK和部分解密的密文CT′，输出消息M或随机字符串R。本发明能够减少冗余的计算，提高加解密的效率。

Description

一种云环境中支持电路结构的CP-ABE方法

技术领域

本发明涉及云存储安全和信息安全技术领域，尤其涉及一种云环境中支持电路结构的CP-ABE方法。

背景技术

由于云计算的灵活性和弹性，云计算可以为用户提供自己难以实现的计算能力和存储空间。因此，云计算在人类科技社会中扮演着越来越重要的角色。人们在享受云服务便利的同时，也面临着云数据的安全和隐私泄露问题。例如，在授权期间，云服务器可以篡改或替换授权密文，恶意响应伪造的计算结果。他们也可能欺骗符合条件的用户，以节省成本的目的回应他们不符合解密条件。因此，云数据的保密性、完整性和隐私保护一直是重要问题。

目前，提出了许多方法来解决这些问题，如k-nearest neighbor、完全同态加密、安全多方计算、差分隐私和t-clos等。其中，基于属性的加密(ABE)机制受到越来越多的关注。基于属性的加密(ABE)机制可以与访问策略相关联，该机制被设计为匹配密文或用户的私钥。当且仅当用户的属性满足访问结构时，共享数据才能被正确解密。这种灵活的访问策略可以实现对云数据的细粒度访问控制。因此，ABE可广泛应用于云存储领域。

ABE中有很多种访问结构，如门限访问结构、LSSS矩阵访问结构、访问树结构和电路访问结构。虽然访问树结构与电路访问结构有一些相似之处，但电路访问结构是目前最具表现力的访问结构。需要注意的是，在接入树结构中，每个节点是双扇入、单扇出的阈值结构。而在电路接入结构中，每个节点可以是多扇入、多扇出。例如，对于两扇入三扇出的电路结构节点(参见图1)，访问树状结构需要实现三个节点。与访问树结构相比，电路访问结构的定义更为宽泛，因此，可以把访问树结构看作是电路访问结构的一种特殊形式。

电路接入结构在ABE中的应用具有广阔的前景，但由于大多数基于电路结构的属性加密，所支持的电路是有限的。此外，现有的提议方案还面临安全和隐私泄露的问题。2015年，Xu等人(J.Xu,Q.Wen,W.Li and Z.Jin,“Circuit ciphertext-policy attribute-based hybrid encryption with verifiable delegation in cloud computing,”IEEETransactions on Parallel&Distributed Systems,2015,pp.119-129.)提出了一种云计算中可验证授权的电路密文策略基于属性的混合加密方案。其中电路节点的每一层只能向上层传输，当非叶节点进行跨层传输时，通过等价变换填充访问结构，计算冗余节点。而且系统实现的接入结构的电路深度是固定的，无法选择层数，导致在进行节点计算时需要计算不必要的节点。因此，访问结构的多样化会造成计算资源和存储资源的大量浪费。

发明内容

针对现有技术中存在的问题，本发明提供一种云环境中支持电路结构的CP-ABE方法，通过重构电路结构中的加解密过程，能够实现跨层传输和任意电路深度选择，提高加解密过程的效率和安全性。

第一方面，本发明保护一种云环境中支持电路结构的CP-ABE方法，包括四个实体：权威机构、云服务器、数据所有者和用户；

所述权威机构：可信任的第三方属性密钥生成中心；

所述云服务器：提供部分解密和存储服务；

所述数据所有者：上传自己的密文到云服务器；

所述用户：认证和最终解密密文。

该方法包括如下步骤：

步骤1，权威机构以安全参数λ、系统属性数n和电路最大深度l作为输入，输出公共参数PP和系统主密钥MSK。

进一步地，所述步骤1的具体过程为：

权威机构输入安全参数λ，最大电路深度l，和系统属性n；然后运行

输出素数阶p的一组群

及其相应的生成元g₁,...,g_k，并设置g＝g₁；接着，选择四个单向哈希函数H₁:G_K→{0,1}^m,H₂:G_K→Z_P,H₃:{0,1}^*→G₁,H₄:{0,1}^*→G_k,选择α←_RZ_P,a←_RZ_P,(h₁,...,h_2n)←_RZ_P并设置y＝g^a；最后输出的公钥PP和系统主密钥MSK为:

MSK＝g^α。

步骤2，数据所有者将公共参数PP、消息M、电路结构f输入到加密算法中；电路访问结构f对消息M进行加密，补码电路f^*对随机字符串R进行加密，最后输出总密文CT。

进一步地，所述步骤2的具体过程为：

数据所有者将公共参数PP、电路结构f和消息M∈{0,1}ⁿ输入到加密算法中；加密算法采用密钥封装机制和认证对称加密机制对任意长度的明文进行加密，其工作原理如下:

首先，随机选择R∈{0,1}ⁿ，s₁,s₂∈Z_P，并设置r_n+q＝s₁,r′_n+q＝s₂；计算

和

设置

和

生成的部分密文表示为(C_M,C′_M,σ_M,C_R,C′_R,σ_R)。

接着，加密算法随机选择r₁,...,r_n+q-1∈Z_P和r′₁,...,r′_n+q-1∈Z_P，为每个节点w选择一个随机值r_w，电路结构描述如下：

--输入线：如果w∈[1,n]，随机选择z_w∈Z_P，节点份额表示为

--或门：如果GateType(w)＝OR，设置j,d₁,d₂(1≤d₁,d₂≤j-1)为w,A(w),B(w)的深度，随机选取a_w,b_w∈Z_P。节点份额表示为

--与门：如果GateType(w)＝AND，设置j,d₁,d₂(1≤d₁,d₂≤j-1)为w,A(w),B(w)的深度，随机选取a_w,b_w∈Z_P，节点份额表示为

对于补码电路

中的或门和与门，节点份额的计算和原电路f的计算过程相同。

当非门出现在输入层，设置

对应的输入线的w的份额表示为

最后，输出完整的密文CT包含C_M,C′_M,C_R,C′_R,σ_M,σ_R和f、

的密文。

更进一步地，当电路深度l′<l时，随机选择a_e∈Z_P，通过r_n+q计算等效节点为:

步骤3，权威机构以系统主密钥MSK和属性集x为输入，输出私钥SK给用户，输出转换密钥TK给云服务器。

进一步地，所述步骤3的具体过程为：

首先，授权机构以主密钥MSK和一组属性x∈{0,1}ⁿ作为输入。

接着，选择一个随机的t∈Z_P，对每个属性i∈x选择一个随机的t_i∈Z_P。

然后，生成K_H＝g^αy^-t,L＝g^t,

最后，输出的私钥为SK＝{K_H,L,L_i,K_i,i∈[1,n]}，转换密钥为TK＝{L,L_i,K_i,i∈[1,n]}。

其中，对于数据所有者的身份属性ID₀，权威机构使用身份属性ID₀生成他的私钥，即

步骤4，云服务器以转换密钥TK和总密文CT为输入，输出部分解密的密文CT’给用户。

进一步地，所述步骤4的具体过程为：

云服务器以TK和x作为输入，通过自下而上的方式计算电路；如果f(x)＝1，则能够部分解密M的密文，如果f(x)＝0，则能够部分解密R的密文。通过电路结构部分解密算法如下：

--输入线：对于w∈[1,n]，如果x_w＝f_w(x)＝1，算法计算

当非门出现在输入级时，

当

时，计算

--或门：设置j＝depth(w),d₁＝depth(A(w)),d₂＝depth(B(w))；

如果f_A(w)(x)＝1，算法计算：

如果f_B(w)(x)＝1，算法计算：

--与门：设置j＝depth(w),d₁＝depth(A(w)),d₂＝depth(B(w))；

如果f_A(w)(x)＝f_B(w)(x)＝1，计算：

根据以上三种情况，进行自下而上的计算，当电路深度l′＝l时，若f(x)＝f_n+q(x)＝1时，可得到根节点对应的

如果f(x)＝1，该算法计算得到

否则，如果f(x)＝0，则f-(x)＝1，算法计算得到

最终输出部分解密的密文

更进一步地，当电路深度l′<l，计算得到

如果f(x)＝1，该算法计算得到

否则，如果f(x)＝0，则f-(x)＝1，算法计算得到

最终输出部分解密的密文

步骤5，用户输入私钥SK和部分解密的密文CT′，输出消息M或随机字符串R。

进一步地，所述步骤5的具体过程为：

用户通过给定部分解密的密文CT′，其中包含一个签名σ和数据所有者的身份ID₀，用户做如下操作：

a)如果f(x)＝1，用户将计算

r₁＝H₂(Q_M)，同时，使用签名σ_M检验等式

是否成立；若成立，能够计算出

b)如果f(x)＝0，用户将计算Q_R＝e(C′_R,K_H)·C″_R，r₂＝H₂(Q_R)并使用签名σ_R去检验等式

是否成立；若成立，能够计算出

第二方面，本发明还提供相应的两类计算机程序产品、设备：

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现第一方面所述的方法步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的方法步骤。

本发明有益效果：1、本发明通过修改节点份额的参数形式，解决了现有技术中基于电路结构的CP-ABE方案中只能逐层向上输出的限制，实现了每个节点可以跨层向任意大于其自身深度的节点输出。本发明能够减少冗余的计算，提高加解密的效率；2、本发明通过对电路结构进行等效变换，从而在选择接入结构时不需要指定电路的深度。对于任何深度大于1小于等于l的电路接入结构，都可以通过引入过渡节点将接入结构转换为深度为l的电路结构，减少了计算开销，降低了计算成本；3、本发明所设计的方法能够抵御回溯攻击、多个用户的合谋攻击，同时本发明能够防止云服务器的不诚信问题，充分保护用户上传数据的安全性。

附图说明

图1为访问树与电路结构单节点等效转换图；

图2为实施例1中实体交互示意图；

图3为实施例2中效率对比图；

图4为实施例3中具体实例电路结构图；

图5为图4的等效电路结构图；

图6为实施例3中效率对比图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。本发明的实施例是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显而易见的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。

实施例1

参见图2，一种云环境中支持电路结构的CP-ABE方法，包括如下步骤：

Setup(1^λ,n,l)：Setup阶段是由权威机构执行的概率多项式时间(PPT)算法。该阶段的输入是安全参数λ，最大电路深度l，和系统属性n。然后运行

输出素数阶p的一组群

及其相应的生成元g₁,...,g_k，并设置g＝g₁。接着，选择四个单向哈希函数H₁:G_K→{0,1}^m,H₂:G_K→Z_P,H₃:{0,1}^*→G₁,H₄:{0,1}^*→G_k,选择α←_RZ_P,a←_RZ_P,(h₁,...,h_2n)←_RZ_P并设置y＝g^a。公钥PP和系统主密钥MSK为:

MSK＝g^α。

Hybrid-Encrypt(f＝(l,n,q,A,B,GateTypt),M∈{0,1}ⁿ,PP)：加密算法是数据所有者执行的PPT算法。输入公共参数PP、电路结构f和消息M∈{0,1}ⁿ。加密算法采用密钥封装机制(KEM)和认证对称加密机制(AE)对任意长度的明文进行加密，其工作原理如下:

随机选择R∈{0,1}ⁿ，s₁,s₂∈Z_P，并设置r_n+q＝s₁,r′_n+q＝s₂。计算

和

设置

和

生成的部分密文为(C_M,C′_M,σ_M,C_R,C′_R,σ_R)。

加密算法随机选择r₁,...,r_n+q-1∈Z_P和r′₁,...,r′_n+q-1∈Z_P。为每个节点w选择一个随机值r_w，电路描述如下:

--输入线：如果w∈[1,n]，随机选择z_w∈Z_P。节点份额表示为

--或门：如果GateType(w)＝OR，设置j,d₁,d₂(1≤d₁,d₂≤j-1)分别为w,A(w),B(w)的深度。随机选取a_w,b_w∈Z_P。节点份额表示为

--与门：如果GateType(w)＝AND，设置j,d₁,d₂(1≤d₁,d₂≤j-1)分别为w,A(w),B(w)的深度。随机选取a_w,b_w∈Z_P。节点份额表示为

当电路深度l′<l时，随机选择a_e∈Z_P，通过r_n+q计算节点份额为:

对于补码电路

中的OR门和AND门，节点份额的计算和原电路f的计算过程相同。当非门出现在输入层，设置

对应的输入线的w的份额表示为

完整的密文CT包含C_M,C′_M,C_R,C′_R,σ_M,σ_R和f、

的密文。

KeyGen(MSK,x∈{0,1}ⁿ)：授权机构为用户生成私钥。然后用户将其转换密钥发送到云服务器。该算法以主密钥MSK和一组属性x∈{0,1}ⁿ作为输入。首先选择一个随机的t∈Z_P，然后对每个属性i∈x选择一个随机的t_i∈Z_P。接着生成K_H＝g^αy^-t,L＝g^t,

输出的私钥为SK＝{K_H,L,L_i,K_i,i∈[1,n]}，转换密钥为TK＝{L,L_i,K_i,i∈[1,n]}。

注意，对于数据所有者的身份属性ID₀，权威机构使用身份属性ID₀生成他的私钥，即

Transform(TK,CT)：该算法由云服务器执行。以转换密钥TK和完整密文CT作为输入。算法对密文的部分解密如下：

以TK和x为输入，通过自下而上的方式计算电路。如果f(x)＝1，则能够部分解密M的密文。如果f(x)＝0，则能够部分解密R的密文。部分解密算法如下:

--输入线：对于w∈[1,n]，如果x_w＝f_w(x)＝1，算法计算E_w＝e(K_w,C_w,2)·e(L,C_w,1)·

当非门出现在输入级时，

当

时，算法计算

--或门：设置j＝depth(w),d₁＝depth(A(w)),d₂＝depth(B(w))。

如果f_A(w)(x)＝1，算法计算：

如果f_B(w)(x)＝1，算法计算：

--与门：设置j＝depth(w),d₁＝depth(A(w)),d₂＝depth(B(w))。

如果f_A(w)(x)＝f_B(w)(x)＝1，算法计算：

根据以上三种情况，进行自下而上的计算。当电路深度l′＝l，若f(x)＝f_n+q(x)＝1时，可得到根节点对应的

当电路深度l′<l，能够得到

如果f(x)＝1，计算

否则，如果f(x)＝0，算法计算

最终输出部分解密的密文

Verify-Decrypt(SK,CT′)：验证解密算法由用户执行。给定部分解密的密文CT′，其中包含一个签名σ和数据所有者的身份ID₀，用户做如下操作：

a)如果f(x)＝1，用户将计算

r₁＝H₂(Q_M)。同时，使用签名σ_M检验等式

是否成立。若成立，能够计算出

b)如果f(x)＝0，用户将计算Q_R＝e(C′_R,K_H)·C″_R，r₂＝H₂(Q_R)，并使用签名σ_R去检验等式

是否成立。若成立，能够计算出

实施例2

本实施例，将分析本发明的计算效率。通过对现有解决方案(J.Xu,Q.Wen,W.Liand Z.Jin,“Circuit ciphertext-policy attribute-based hybrid encryption withverifiable delegation in cloud computing,”IEEE Transactions on Parallel&Distributed Systems,2015,pp.119-129.)的比较，说明本发明在功能和计算成本方面的优势。实验环境是服务器环境为Windows 7桌面PC系统，第2代Intel Core i5-2400@3.10GHz，内存为4GB。用P表示多线性配对的代价，λ表示安全参数，β表示组元素的大小，以bit为单位。对于不同的λ和β，多重线性配对将花费不同的时间，在安全性和计算开销之间选择折衷。本实施例展示了λ＝80和β＝160时的性能比较。

当接入结构存在跨层传输时，Xu的方案无法实现节点的跨层传输。因此，对于Xu的方案，即使电路结构不同，相同的电路深度运行时间也不会改变。本发明的运行时间会根据不同的电路结构而改变。接下来，将通过单个节点的最大运行时间来比较方案的运行时间，并根据访问结构中的跨层数来解释。

如图3所示，随着访问结构中跨层深度和跨层路径数量的增加，Xu的方案的运行时间没有变化，而本发明中云计算的运行时间相比Xu的方案明显缩短，使得本方案的整体性能得到了显著提高。

实施例3

本实施例，通过一个具体的实例，将本发明的方法与Xu的方法(J.Xu,Q.Wen,W.Liand Z.Jin,“Circuit ciphertext-policy attribute-based hybrid encryption withverifiable delegation in cloud computing,”IEEE Transactions on Parallel&Distributed Systems,2015,pp.119-129.)进行比较，说明本发明的优势。对于具体实例((B∩C)∪D)∩(A∪E))，可以用图4所示的电路结构直接表示。

图4中的电路结构不能直接应用于Xu的方案，需要对电路进行等效转换，一般的方法是采用Y＝Y∪Y来填充跨层的线路，可以得到最终的等效结构，如图5所示。可以发现，上述简单示例电路中的节点总数急剧增加，从10个增加到24个。对于电路层的数量，假设系统的深度为l，且上述电路结构的深度为l′＝5。为了更好地比较云计算部分的性能，我们在图6中绘制了系统固定电路深度的运行时间。

当可以选择电路结构的层数时，本发明的计算效率将大大提高。上面的简单示例只考虑单个用户的情况。在云计算系统中大量用户的积累下，本发明的优化效率将更加明显。由于云服务器需要考虑所有用户，因此，方案中包含的属性越多，电路深度越大，与Xu的方案相比，我们的方案的效率也将提高的更加明显。

显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域及相关领域的普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都应属于本发明保护的范围。

Claims (10)

1.一种云环境中支持电路结构的CP-ABE方法，其特征在于，包括四个实体：权威机构、云服务器、数据所有者和用户；

所述权威机构：可信任的第三方属性密钥生成中心；

所述云服务器：提供部分解密和存储服务；

所述数据所有者：上传自己的密文到云服务器；

所述用户：认证和最终解密密文；

该方法包括如下步骤：

步骤1，权威机构以安全参数λ、系统属性数n和电路最大深度l作为输入，输出公共参数PP和系统主密钥MSK；

步骤2，数据所有者将公共参数PP、消息M、电路结构f输入到加密算法中；电路访问结构f对消息M进行加密，补码电路f^*对随机字符串R进行加密，最后输出总密文CT；

步骤3，权威机构以系统主密钥MSK和属性集x为输入，输出私钥SK给用户，输出转换密钥TK给云服务器；

步骤4，云服务器以转换密钥TK和总密文CT为输入，输出部分解密的密文CT’给用户；

步骤5，用户输入私钥SK和部分解密的密文CT′，输出消息M或随机字符串R。

2.根据权利要求1所述的云环境中支持电路结构的CP-ABE方法，其特征在于，所述步骤1的具体过程为：

权威机构输入安全参数λ，最大电路深度l和系统属性n；然后运行

输出素数阶p的一组群

及其相应的生成元g₁，...，g_k，并设置g＝g₁；接着，选择四个单向哈希函数H₁：G_K→{0，1}^m，H₂：G_K→Z_P，H₃：{0，1}^*→G₁，H₄：{0，1}^*→G_k，选择α←_RZ_P，a←_RZ_P，(h₁，...，h_2n)←_RZ_P，并设置y＝g^a；最后输出的公钥PP和系统主密钥MSK为：

MSK＝g^α。

3.根据权利要求2所述的云环境中支持电路结构的CP-ABE方法，其特征在于，所述步骤2的具体过程为：

数据所有者将公共参数PP、电路结构f和消息M∈{0，1}ⁿ输入到加密算法中；加密算法采用密钥封装机制和认证对称加密机制对任意长度的明文进行加密，其工作原理如下：

首先，随机选择R∈{0，1}ⁿ，s₁，s₂∈Z_P并设置r_n+q＝s₁，r′_n+q＝s₂；计算

和

设置

和

生成的部分密文表示为(C_M，C′_M，σ_M，C_R，C′_R，σ_R)；

接着，加密算法随机选择r₁，...，r_n+q-1∈Z_P和r′₁，...，r′_n+q-1∈Z_P，为每个节点w选择一个随机值r_w，电路结构描述如下：

--输入线：如果w∈[1，n]，随机选择z_w∈Z_P，节点份额表示为

--或门：如果GateType(w)＝OR，设置j，d₁，d₂(1≤d₁，d₂≤j-1)为w，A(w)，B(w)的深度，随机选取a_w，b_w∈Z_P；节点份额表示为

--与门：如果GateType(w)＝AND，设置j，d₁，d₂(1≤d₁，d₂≤j-1)为w，A(w)，B(w)的深度，随机选取a_w，b_w∈Z_P，节点份额表示为

对于补码电路

中的或门和与门，节点份额的计算和原电路f的计算过程相同；

当非门出现在输入层，设置

对应的输入线的w的份额表示为

最后，输出完整的密文CT包含C_M，C′_M，C_R，C′_R，σ_M，σ_R和f、

的密文。

4.根据权利要求3所述的云环境中支持电路结构的CP-ABE方法，其特征在于，当电路深度l′＜l时，随机选择a_e∈Z_P，通过r_n+q计算等效节点为：

5.根据权利要求4所述的云环境中支持电路结构的CP-ABE方法，其特征在于，所述步骤3的具体过程为：

首先，授权机构以主密钥MSK和一组属性x∈{0，1}ⁿ作为输入；

接着，选择一个随机的t∈Z_P，对每个属性i∈x选择一个随机的t_i∈Z_P；

然后，生成K_H＝g^αy^-t，L＝g^t，

最后，输出的私钥为SK＝{K_H，L，L_i，K_i，i∈[1，n]}，转换密钥为TK＝{L，L_i，K_i，i∈[1，n]}；

其中，对于数据所有者的身份属性ID₀，权威机构使用身份属性ID₀生成他的私钥，即

6.根据权利要5所述的云环境中支持电路结构的CP-ABE方法，其特征在于，所述步骤4的具体过程为：

云服务器以TK和x作为输入，通过自下而上的方式计算电路；如果f(x)＝1，则能够部分解密M的密文，如果f(x)＝0，则能够部分解密R的密文；通过电路结构部分解密算法如下：

--输入线：对于w∈[1，n]，如果x_w＝f_w(x)＝1，算法计算

当非门出现在输入级时，

当

时，计算

--或门：设置j＝depth(w)，d₁＝depth(A(w))，d₂＝depth(B(w))；

如果f_A(w)(x)＝1，算法计算：

如果f_B(w)(x)＝1，算法计算：

--与门：设置j＝depth(w)，d₁＝depth(A(w))，d₂＝depth(B(w))；

如果f_A(w)(x)＝f_B(w)(x)＝1，计算：

根据以上三种情况，进行自下而上的计算，当电路深度l′＝l，若f(x)＝f_n+q(x)＝1时，可得到根节点对应的

如果f(x)＝1，该算法计算得到

否则，如果f(x)＝0，则f-(x)＝1，算法计算得到

最终输出部分解密的密文

7.根据权利要求1所述的云环境中支持电路结构的CP-ABE方法，其特征在于，当电路深度l′＜l，计算得到

如果f(x)＝1，该算法计算得到

否则，如果f(x)＝0，则f-(x)＝1，算法计算得到

最终输出部分解密的密文

8.根据权利要求1所述的云环境中支持电路结构的CP-ABE方法，其特征在于，所述步骤5的具体过程为：

用户通过给定部分解密的密文CT′，其中包含一个签名σ和数据所有者的身份ID₀，用户做如下操作：

a)如果f(x)＝1，用户将计算

r₁＝H₂(Q_M)，同时，使用签名σ_M检验等式

是否成立；若成立，能够计算出

b)如果f(x)＝0，用户将计算Q_R＝e(C′_R，K_H)·C″_R，r₂＝H₂(Q_R)并使用签名σ_R去检验等式

是否成立；若成立，能够计算出

9.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8中任一项所述云环境中支持电路结构的CP-ABE方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至8中任一项所述云环境中支持电路结构的CP-ABE方法。

Images