一种基于国密的密文策略属性加密算法

摘要

本发明涉及一种基于国密的密文策略属性加密算法，由分别Setup算法、KeyGen算法、Encrypt算法以及Decrypt算法构成。本发明能提高安全性和实用性。

说明书

技术领域

本发明涉及一种基于国密的密文策略属性加密算法。

背景技术

由于传统的公钥加密技术以及基于身份的加密，只允许使用单个用户的公钥对数据进行加密，仅供一个用户查看；如果将数据分享给多个用户，需要进行多次加密。而基于角色的加密方案可以满足一人加密多人访问，但是无法实现细粒度的访问控制。属性加密的雏形基于模糊身份的加密，解决了网络空间数据的安全存储与细粒度访问控制的问题。属性加密在保证数据机密性的同时，在一定程度上也实现了匿名性。

属性加密技术将密码算法与访问控制策略完美的结合在一起，在对数据加密的同时可以编程实现灵活且细粒度的访问策略。

密文策略属性加密(CP-ABE)ciphertext policy attribute based encryption。CP-ABE算法中数据拥有者和使用者之间不需要直接通信。如果要想知道使用者能不能解密获取数据，只需要根据密文的属性信息来检测使用者的属性信息与拥有者的访问结构是否匹配。访问结构支持由多种形式的结构组合而成，所以存在同一密文能够被多个用户解密的情况，但也存在同一私钥可以解密不同密文，由传统的"一对一"的加密方式发展成符合实际应用需要的“多对多”的方式。

随着云计算、物联网、大数据等新型计算技术的兴起与发展，全球信息化引发了世界范围的深刻变化，国民经济、社会发展、人民生活等各个层面对信息技术的依赖达到了前所未有的程度。建立全球信息共享机制，对于加强国际间的经济、科技、教育合作和文化交流具有重要作用。网络信息技术在为政府部门、企业事业单位、个人提供高效的信息服务的同时，网络的开放性和共享性也带来了一些制约它们健康发展的安全隐患。信息安全问题涉及金融、医疗、电力、社保、旅游等社会的各个领域，具有攻击形式多样化、威胁复杂化、影响广泛化、后果严重化和事件突发化等特点。信息网络中的安全问题是当今世界各国信息化发展过程中所面临的一个共同挑战，大数据环境下的信息安全问题成为当今信息安全领域研究的热点，其核心就是大型网络应用系统和大数据管理中海量复杂数据资源管理。国际标准化组织(ISO)在ISO7498-2中定义了5个层次型安全服务，即身份认证服务、访问控制服务、数据保密性服务、数据完整性服务和不可否认服务，并且指出访问控制是其重要的组成部分。美国国防部也在计算机系统安全性标准Department of Defense TrustedComputer System Evaluation Criteria(“橘皮书”)中，明确提出了访问控制是保证计算机领域数据安全的核心技术。

访问控制是通过某种途径显式地允许或限制用户访问能力及范围的一种方法，是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一。为了保证网络资源受控地、合法地被使用，访问控制确保只有拥有相应权限的用户才能够对信息系统中的数据进行访问、复制、修改、删除等操作，防止非法用户访问系统资源、预防合法用户越权访问。用户访问资源时必须依据自己的权限大小进行访问，不能实施超越自己权限的访问行为，因为访问控制采用最小特权原则：用户申请权限时，系统管理员根据每个用户的特点为其分配完成自身任务的最低权限，用户不会获得超越完成其工作范围的任何权力。通俗地讲，访问控制解决的是“你能做什么、你有什么样的权限”的问题。

访问控制的基本目标是：防止未授权用户非法访问受保护的数据资源，也让授权用户可以合理访问受保护的资源，当然这也是一个安全系统所必须具备的特性。在访问控制实施时，一般有三个步骤：(1)验证用户身份；(2)选用控制策略与管理控制策略；(3)管理非法用户或合法用户的越权操作。访问控制在安全系统中的位置如图1所示。

访问控制作为复杂数据资源管理的核心技术，在非可信的网络环境中仍然面临许多难题，比如数据的机密性、访问权限管理、细粒度授权、异构环境的应用等。尤其在移动计算、云计算、命名数据网等新型计算模式下，网络环境呈现出异构性和多样性特征，访问控制面临新的问题：

1、大数据、多用户数据访问控制问题

由于网络的开放性和通信协议的安全缺陷，网上传输和存储的数据信息很容易泄露和被破坏，利用加密技术可以实现计算机网络系统数据资源管理安全的访问控制。传统的访问控制和基于角色的访问控制中，针对每一条共享数据，要为每一位用户发放和管理相应的访问密钥。但是，在当今信息网络全球化场景下，共享数据量剧增，用户规模增大，数据访问控制要求复杂，现有权限访问控制方法不能满足大数据、多用户访问控制的要求，大数据隐私保护、大规模用户授权管理和处理并发访问成为当前访问控制面临问题。

2、第三方存储导致特权用户越权访问和信息泄露问题

伴随新的网络形态和数据存储模式的出现，为了解决存储资源不足问题，用户将数据迁移到第三方数据服务器，其中也包含一些机密和敏感数据。例如：云存储通过分布式文件系统技术、网格技术以及集群应用等功能，利用应用软件将网络中分散在不同区域、不同类型的存储设备集合起来协同工作，为网络中的各种用户提供存储功能和数据访问功能。由于这些网络服务有效地利用了网络中庞大的存储资源，为用户节省了大量的存储成本。但是，第三方数据服务机构并不总是完全可信的，一方面数据资源并不是完全由拥有方控制的，另一方面云服务器可以越权访问存储数据内容，数据的保密性得不到保障，这些问题致使用户不愿意将涉及核心机密的信息放到第三方数据服务器中，从而使它们的发展受到了限制。

3、多方通信和“跨域”通信模式访问控制问题

在云计算、物联网、大数据等新型网络和数据服务模式下，网络空间安全需求方式由通信双方都是单用户方式向至少有一方是多用户方式转变，即以往的“一对一”的单方通信模式逐渐过渡为“一对多”、“多对一”、“多对多”的多方通信模式，同时由“同域”通信转为“跨域”通信，即数据拥有方和服务提供商可能在两个不同的区域。因此，在新的网络形态和数据服务场景下，如何满足多用户访问、“跨域”通信的访问控制，成为当前访问控制技术应用中需要解决的问题之一。

4、细粒度的授权管理需求问题

随着计算机网络系统跨行业、扩平台的复杂化，大规模用户为了应对各种应用需要，对权限的需求变得多样化、更加细粒度，即用户已经不满足于获得单一的、粗糙的、千篇一律的访问权限，而是在不同时刻、不同状态、不同需要时获得不同的、细粒度的权限，细粒度权限管理对访问控制提出了新的需求。

目前现有处理方式有如下，

KP-ABE

几乎所有的属性加密方案都可以归类于密钥-策略属性加密(KP-ABE)和密文-策略属性加密(CP-ABE)。

KP-ABE方案在2006年由Goyal等人首次提出。密文被属性集所标识，私钥和访问结构(控制一个用户可以解密哪个密文)相关。访问结构是单调的，支持包含“与”、“或”和“门限”的所有操作。但这个方案中的密钥访问公式不能包含“非”约束，这在利益发生冲突的场景中可能会出问题。Ostrovsky等人在2007年提出的方案中加入了对于“非”的支持，可以支持非单调的访问结构，表达能力更强，KP-ABE和CP-ABE均适用。

Goyal等人和Ostrovsky等人的方案的主要缺点是私钥的大小被logn所放大(n为最大属性数目)，更确切的说，私钥中的每一个“非”属性有O(logn)个群元素。而Lewko等人的方案中，每个“非”属性只有两个群元素。在实际应用中，私钥的存储将会降低一个数量级。

在所有之前的基本模型的ABE构造中，一个小的通用大小或者属性集数目的限制需要在最初确定下来，Lewko和Waters提出的方案避免了这样的限制。

大部分ABE系统中，密文大小随密文属性的数目线性增长。Attrapadung等人第一个提出允许非单调访问结构、密文大小恒定的KP-ABE方案。缺点是私钥是属性数量的平方大小。

CP-ABE

Bethencourt等人在2007年第一个提出CP-ABE方案。在这个方案中，属性被用来描述用户的证书，加密数据的一方通过描述属性或者证书决定了谁可以解密。用户的私钥和被表示为字符串的属性相关联。换句话说，加密消息的一方规定一个关于属性的访问结构。只有用户的属性符合密文的访问结构时，用户才可以解密密文。在KP-ABE中，加密者无法控制谁可以访问他加密的数据，除了指定数据符合的属性。另外，他必须信任密钥分发者。

Cheung和Newport第一次提出选择明文安全(在判定性双线性Diffie-Hellman假设下)的CP-ABE方案，它的访问结构是正负都可以取的与门。

Goyal等人首次提出CP-ABE的构造(安全证明基于标准的数论假设，并且支持高级的访问结构)，之前的CP-ABE方案要么只支持很有限的访问结构，要么安全性证明只是基于通用群模型。本文中支持的访问结构用门限作为它的节点的受限大小的访问树来表达。访问树受限的大小在系统建立时被确定(树的深度、每个非叶子节点的孩子的数目)，之后还把方案推广为可以支持非单调的访问策略。Liang等人通过提供更快的加密/解密算法和更短的密文大小改进了Goyal等人的方案。

Ibraimi等人的方案可以表达任何用与和或操作表达的公式，另外，还引入了of操作。它没有使用门限方案，使用的是n元树。

Bobba等人关注于改进密钥中的表达用户属性的灵活性，提出密文-策略属性集加密(CP-ASBE)，和现有的CP-ABE的表达用户属性作为密钥中的一个整体的集合不同的是，组织用户属性至一个基于结构的递归集中，允许用户展示动态约束到属性怎样结构的。CP-ASBE可以支持组合属性，具有多值的数值属性。

之前的方案中，密文的长度取决于属性的数目，Emura等人提出一个新的CP-ABE方案，它的密文长度是恒定的，另外，双线性对的计算也是恒定的，访问结构由具有多值属性的与门构成。然而，这个方案在访问策略中不支持通配符，这将导致访问策略的数目是指数增长的。另外，为了解密密文，解密者的属性需要和访问策略完全匹配，换句话说，这个模式还是一对一的模型。Zhou和Huang提出的方案减小密文大小至一个固定大小，访问结构是带有任意给定数量的属性的与门，每个密文在选择密文安全下需要双线性群中的两个元素，在选择明文安全下被证明。

在传统的CP-ABE方案中，一个访问结构显式地和密文一起发送，任何能够获取密文的人可以知道密文相关的访问结构。在某些应用中，访问结构包含敏感信息，只有满足私钥属性访问结构的用户才可以看到。Lai等人首次提出了一个具有部分隐藏访问结构的CP-ABE模型。该方案的安全依赖于一些非标准的复杂性假设。未来的一个方向是寻找基于简单假设的方案。

分层

在基于身份的密码学中，尽管有一个单独私钥生成器(PKG)可以消除在线查找的麻烦，但是在大型网络中是不可取的，因为PKG将成为瓶颈。PKG不只有计算上开销，还需要验证身份。建立安全信道来传输私钥。在分层的基于身份的加密(HIBE)中，根PKG只需要为域PKG生成私钥，之后域PKG可以依次为其下一层的PKG生成私钥，直到最后为用户生成私钥。这样，认证和私钥传输可以在本地完成。低层PKG的密钥的泄露不会影响高层PKG。而分层的属性加密方案(HABE)的提出，主要依靠于HIBE和ABE的结合。

当企业用户外包的机密数据用于在云服务器上共享时，采用的加密系统不只要支持细粒度的访问控制，还要能提供高性能、完全授权和可扩展性，以便最好地满足随时随地访问数据的需要。Wang等人通过HIBE和CP-ABE的结合，提出一个帮助企业有效的在云服务器上共享机密数据的方案。然而，该方案使用了分隔范式策略，假设一个连接子句中的所有属性都被同一个域所管理。因此，相同的属性可以通过特定的策略被多个域所管理。由于需要大量的双线性对的操作，ABE经常被指责开销过高。Li等人通过使用树分层结构来提高ABE的效率。

在之前的基本模型的HIBE的构建中，最大的分层数需要在最初确定下来。Lewko和Waters的方案避免了这样的限制。Wan和GU对CP-ABE进行了扩展。使其具有分层结构，达到了可伸缩性。Wang等人提出了一个分层的属性加密方案(HABE)，它结合了分层的基于身份的加密系统(HIBE)和KP－ABE系统，提供了细粒度的访问控制、完全的授权以及高性能。之后，通过应用代理重加密和懒惰的重加密至HABE方案中，提出了一个可伸缩的用户权限的撤销方案。

Wan等人提出了一个新的可伸缩的安全的访问分层密钥更新方案，设计并实现了针对现有的不可信的云服务的可伸缩的和保护隐私的访问控制框架(支持懒撤销和访问分层)，提出一个基于KP-ABE的签名方案，提供第一个支持分层的基于身份的加密和KP－ABE方案的密码库的开源实现。

撤销

对于任何涉及到多个用户的加密方案都需要撤销机制，因为属性随着过期而无效，用户有可能误用私钥。有两种ABE撤销方案(直接和间接)。直接撤销的意思是通过发送人在加密时指定撤销列表来执行。间接撤销通过密钥机构周期性地发布密钥更新来实现，在这种情况下，只有没有被撤销的用户可以更新密钥，因此，已撤销用户的密钥隐式地变为无用。间接撤销的好处是发送者不需要知道撤销列表，直接撤销的好处是所有未撤销用户与密钥机构的交互不包含密钥更新阶段。

Attrapadung和Imai在广播ABE中通过使用直接撤销机制来构建ABE系统。直接撤销有一个有很有用的属性，撤销可以在不影响其他用户的情况下被完成。对于KP-ABE，该系统是第一个全功能直接可撤销方案。对于CP-ABE，该系统比之前最的好撤销方案更有效率，尤其，该方案之一允许密钥和密文的大小一致和当前最好的(不可撤销的)CP-ABE的相同。之后，Attrapadung和Imai首次提出混合的ABE撤销方案，允许发送人在加密时选择直接或间接撤销模式。因此，该方案结合了两种方案的优点

Ibraimi等人扩展了CP-ABE，使其具有瞬时属性撤销的功能。本方案中私钥由中介者和用户共有，为了解密数据，用户必须要联系中介者来获得解密令牌。中介者维护一个属性撤销列表，对于已撤销的属性拒绝发放解密令牌。没有令牌，用户不能解密密文，因此属性被隐式撤销。Liang等人提出一个有效率的，可以在标准模型下证明安全的CP-ABE方案，构造使用了线性秘密共享和二叉树技术，每个用户被指派一个唯一的标识符。通过使用他的标识符，一个用户很容易被撤销。

Yu等人通过代理重加密技术实现一个新的撤销用户属性的方案。该方案撤销用户属性的代价是最小的，并且使机构把大部分费力的工作授权给代理服务器。

Wang等人通过应用代理重加密和懒惰的重加密到HABE方案中，提出了一个可伸缩的撤销方案。Xu和Martin在不分发新密钥的情况下实现了系统密钥的更新和移除用户访问权限。Sahai等人允许存储服务器更新存储的密文来取消用户访问数据的资格，密钥更新广播可以动态撤销选中的用户。Xie等人提出属性撤销和用户撤销方案更有效率。

可追踪性

在已有的ABE方案中，还存在一个密钥滥用(key abuse)的问题。主要有两类密钥滥用问题：(1)合谋用户间的非法的密钥共享；(2)半可信的属性机构非法的密钥分配。在属性加密访问控制系统中，属性私钥直接意味着用户对于受保护的资源的访问权力。在当前的属性加密方案中，都存在这样的密钥滥用问题，因为分配给用户的属性私钥只是和一般的共享的用户属性相关联，不包括任何用户特有的信息。Hinek等人首次提出解决用户的密钥滥用问题的方案，但是需要第三方来参与用户的解密操作，不实用。

Li等人提出具有可追踪性的CP-ABE来防止合谋用户之间的非法的密钥共享。用户的可追踪性通过在分发给用户的属性私钥中嵌入附加的用户特有的信息来实现。半可信的属性机构的可追踪性通过使用户的属性私钥中包含属性机构不知道的用户的秘密来实现。这些方法的关键点是把用户特有的信息或秘密当做另一个默认的属性。尽管Li等人提出了这个问题，但是他们只是在匿名ABE特定的应用中解决的用户可追踪性，当系统在云计算环境下使用时，还需要仔细考虑这个问题。Li等人通过使用叛逆者追踪实现了云计算环境下的用户的可追踪性。

KP-ABE中的密钥滥用攻击可能阻碍它的广泛应用，尤其在版权敏感的系统中，Yu等人提出的KP-ABE方案，可以做到当密钥滥用时被检测到，观察私有设备在某些特定输入下的输出来追踪非法的密钥分发者的ID。之后，Yu等人实现了云计算环境下用户的可追踪性。

发明内容

为解决上述技术问题，本发明的目的是提供一种基于国密的密文策略属性加密算法。

为实现上述目的，本发明采用如下技术方案：

一种基于国密的密文策略属性加密算法，由分别Setup算法、KeyGen算法、Encrypt算法以及Decrypt算法构成，

其中

Setup算法，Setup算法选择p阶循环群G

生成公钥：

PK＝e(g

和主密钥：

MK＝β，g

KeyGen算法，KeyGen算法密钥生成算法的输入是属性集合S和主密钥，输出为被S所标记的密钥，算法首先选择随机数r∈Z

私钥

Encrypt算法，加密算法在访问树结构τ下加密消息M，算法首先为τ每个节点x，包括叶子节点，选择一个多项式q

算法从根节点R开始选择随机数s∈Z

设τ中所有叶子节点的集合为Y，那么在给定的树形访问结构下τ计算密文

Decrypt算法，首先定义递归算法DecryptNode(PK，CT，x)，它用密文CT与属性集合S关联的私钥SK中的节点x作为输入；

当节点x是叶子节点，令i＝attr(x)，如果i∈S，那么

如果

当节点x是非叶子节点时，对于x的所有子节点z，计算F

否则，计算

定义DecryptNode函数后，定义解密算法，解密算法首先调用DecryptNode(CT，SK，R),R是树的根节点，如果树满足S，

令

现在算法通过下面计算解密

优选地，所述的一种基于国密的密文策略属性加密算法，所述Setup算法中e是G

1)双线性：

2)非退化性：

e(g

3)可计算性：

其中，使用R-ate双线性对计算e

令A，B，a，b∈Z，A＝aB+b.，Miller函数f

定义R-ate对为

在sm9bn256椭圆曲线中R-ate对可通过以下方式计算：

输入：P∈E(F

输出：R

(1)

(2)令T＝Q，f＝1；

(3)for(i＝L-2；i＞0；i-)

(3.1)f＝f

(3.2)若a

(4)Q

(5)

(6)

(7)

(8)输出f。

借由上述方案，本发明至少具有以下优点：

1、本发明采用基于椭圆曲线的R-ate双线性对替换Weil双线性对，利用R-ate双线性对计算复杂度低，算法的执行效率高的特点，使得方案的计算量较小、计算速度更快，特别是在处理能力、储存空间、带宽、功耗等受限的环境中，它的优点突出，有助于密文策略属性加密的实用化。

2、本发明采用SM4对称加密代替AES对称加密，SM4算法和AES算法都是对称分组加密算法，使其采用更为先进安全的算法。

3、本发明采用sm9bn256椭圆曲线代替bn256椭圆曲线，基于SM9国家商用密码算法实现密文策略属性加密，可达到相当于RSA3072位加密强度，破解需要大约2500亿台高性能电脑计算10亿年，在安全性、性能上都具有优势。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明的安全系统的逻辑模型；

图2是本发明的结构示意图；

图3是本发明访问树的结构示意图。

具体实施方式

为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例

如图2所示，

一种基于国密的密文策略属性加密算法，由分别Setup算法、KeyGen算法、Encrypt算法以及Decrypt算法构成，

其中

Setup算法，Setup算法选择p阶循环群G

生成公钥：

PK＝e(g

和主密钥：

MK＝β，g

KeyGen算法，KeyGen算法密钥生成算法的输入是属性集合S和主密钥，输出为被S所标记的密钥，算法首先选择随机数r∈Z

私钥

Encrypt算法，加密算法在访问树结构τ下加密消息M，算法首先为τ每个节点x，包括叶子节点，选择一个多项式q

算法从根节点R开始选择随机数s∈Z

设τ中所有叶子节点的集合为Y，那么在给定的树形访问结构下τ计算密文

Decrypt算法，首先定义递归算法DecryptNode(PK，CT，x)，它用密文CT与属性集合S关联的私钥SK中的节点x作为输入；

当节点x是叶子节点，令i＝attr(x)，如果i∈S，那么

如果

当节点x是非叶子节点时，对于x的所有子节点z，计算F

否则，计算

定义DecryptNode函数后，定义解密算法，解密算法首先调用DecryptNode(CT，SK，R),R是树的根节点，如果树满足S，

令

现在算法通过下面计算解密

在上述实施例中，对上述的一种基于国密的密文策略属性加密算法需要一些相关数学知识与定理

内容如下：

(一)访问树

一个访问树代表了一条解密控制策略，基于访问树的解密控制策略表述更为丰富，不仅支持门限方式的策略表述，也支持包含“或”和“与”逻辑运算的策略表述。为便于访问树的表述，对于树中一个节点x定义以下几种操作：

parent(x)：节点x的父节点，此操作仅对除根节点之外的节点有效；

children(x)：节点x的所有子节点；

num(x)：节点x的子节点的个数；

index(x)：节点x在其所有兄弟节点中的序号，并且满足1≤index(x)≤num(parent(x))；

attr(x)：赋予节点x的属性，此操作仅对叶节点有效。

访问树的每个内部节点都代表着一个门限，对于一个内部节点x，其阈值v

访问树的每一个叶节点都代表着一个属性。

假设A，B，C，D代表了4个属性，对于解密控制策略(A∩B)∪(C∩D)，相应的访问树如图3所示。

在CP-ABE中访问结构为访问树，用于隐藏源数据的加密密钥，其形状结构是一棵树。其叶子节点为数据所有者设定的属性和属性值以及父节点传于此节点的秘密值，并对其加密处理，只有数据访问者拥有此属性方可解密出此节点的秘密值；非叶子节点为门限节点，数据访问者需满足此门限最低值方可解密此节点秘密值，例如门限为3/5，此节点有5个子节点，数据访问者需至少满足3个子节点才能解密出秘密值。

数据拥有者根据访问控制树结构来定义CP-ABE。CP-ABE能够很好地预防系统威胁，尤其是预防合伙串谋，当个别用户得到了可以利用的密文也不会产生影响。

(二)拉格朗日插值

给定n+1个点(x

对于i，S∈Z

(三)双线性对映射

G

双线性：

非退化性：e(g

可计算性：

其中，使用R-ate双线性对计算e

令A，B，a，b∈Z，A＝aB+b.Miller函数f

定义R-ate对为

在sm9bn256椭圆曲线中R-ate对可通过以下方式计算：

输入：P∈E(F

输出：R

(1)

(2)令T＝Q，f＝1；

(3)for(i＝L-2；i＞0；i-)

(3.1)f＝f

(3.2)若a

(4)Q

(5)

(6)

(7)

(8)输出f。

(四)椭圆曲线参数

本发明使用sm9算法中的256位的BN曲线。

椭圆曲线方程：y

曲线参数：

参数t：60000000 0058F98A；

迹tr(t)＝6t

基域特征q(t)＝36t

B6400000 02A3A6F1 D603AB4F F58EC745 21F2934B 1A7AEEDB E56F9B27E351457D；

方程参数b：05

群的阶N(t)＝36t

B6400000 02A3A6F1 D603AB4F F58EC744 49F2934B 18EA8BEE E56EE19CD69ECF25；

余因子cf：1；

嵌入次数k：12；

扭曲线的参数β：

k的因子d

曲线识别符cid：0x12；

群G

坐标

坐标

群G

坐标

37227552 92130B08 D2AAB97F D34EC120 EE265948D19C17AB F9B7213BAF82D65B)；

坐标

A7CF28D5 19BE3DA6 5F317015 3D278FF2 47EFBA98 A71A0811 6215BBA5C999A7C7)；

双线性对的识别符eid：0x04。

安全性分析

该方案的安全性是基于q-BDHE(q-bilinear diffie-Hellman exponentassumption)。

(确定性q-BDHE)，G

如果给定向量：

设任何一个概率多项式时间(probabilistic polynomial-time algorithm，简称PPT)算法能够解决q-BDHE假设的概率为

确定性q-BDHE成立的条件是：如果对于任意的PPT算法，它解决该假设的概率Adv

以上所述仅是本发明的优选实施方式，并不用于限制本发明，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。