CN108696493A - 一种车联网中身份认证及消息分发***及方法 - Google Patents

Abstract

本发明涉及一种车联网中身份认证及消息分发***及方法。解决现有技术中车联网信息共享中缺乏安全性，没有实现有效的访问控制的问题。***包括车载单元、若干路边单元、可信中心端和远程数据端，路边单元与其通信范围内的车载单元相连接，路边单元通过网络分别与可信中心端、远程数据端相连接。可信中心端生成签名私钥和解密私钥，接收车载单元的消息进行加密；车载单元接收签名私钥和解密私钥，发送具有签名的消息，对加密消息进行解密；路边单元对车载单元发送消息进行签名认证。本发明基于身份签名和属性加密技术能对车联网中分发的消息进行身份认证及加密，保证了车联网中消息的安全性、机密性，实现了有效的访问控制。

Description

一种车联网中身份认证及消息分发***及方法

技术领域

本发明涉及一种信息安全技术领域，尤其是涉及一种基于身份签名、属性加密技术，高效身份认证和细粒度访问控制的车联网中身份认证及消息分发***及方法。

背景技术

随着物联网和移动互联网的飞速发展，将智能汽车、物联网与移动互联网相结合的车联网技术已经成为工业界和学术界广泛关注的新兴技术。车联网技术是物联网的具体应用之一，是指通过各种信息传感设备，利用无线射频设备(Radio FrequencyIdentification Devices，RFID)、GPS、移动通信、无线网络等接入技术和网络服务支撑技术，实现人、车、路、环境之间的智能协同，在信息网络平台上对所有车辆的属性信息、静态和动态信息进行提取和利用，并提供综合服务。

然而车联网在带给人们便利的同时，也带来了新的安全挑战。由于网络本身的脆弱性和开放性，车联网很容易受到攻击和破坏，面临着信息的伪造、篡改、女巫攻击、重放攻击和拒绝服务攻击等威胁。车联网中，当车辆发现交通事故、路面有障碍物等情况，可以向周围车辆发布这一情况，提醒周围车辆采取必要的措施。这时，消息发送方的身份认证和消息的安全分发就显得尤为重要。现有技术中，Shim K A.于2012年发表在《IEEETransactions on Vehicular Technology(IEEE车辆技术汇刊)》的论文《An EfficientConditional Privacy-Preserving Authentication Scheme for Vehicular SensorNetworks(车联网中高效且有条件的隐私保护认证方案)》中实现了在消息分发时对车辆的隐私保护和身份认证，同时可信中心能够追溯车辆的真实身份，然而，该方案没有考虑消息分发时如何保证消息的安全性，实现有效的访问控制。

发明内容

本发明主要是解决现有技术中车联网信共享息缺乏安全性，没有有效实现访问控制的问题，提供了一种基于身份签名、属性加密技术，高效身份认证和细粒度访问控制的车联网中身份认证及消息分发***及方法。

本发明的上述技术问题主要是通过下述技术方案得以解决的：一种车联网中身份认证及消息分发***，其特征在于：包括安装在车辆上的车载单元、若干路边单元、可信中心端和远程数据端，路边单元与其通信范围内的车载单元相连接，且路边单元通过网络分别与可信中心端、远程数据端相连接；

其中可信中心端：根据路边单元获取的车辆属性生成签名私钥和解密私钥，接收车载单元的消息进行加密并由路边单元进行广播；接收车载单元的消息进行访问控制策略制定和消息加密。

车载单元：接收签名私钥和解密私钥，根据签名私钥生成签名，发送具有签名的消息，根据解密私钥对加密消息进行解密；车载单元根据在满足访问控制策略下对消息进行解密。

路边单元：对车载单元发送消息进行签名认证。

本发明基于身份签名和属性加密技术能对车联网中分发的消息进行身份认证及加密，保证了车联网中消息的安全性、机密性，实现了有效的访问控制。

一种车联网中身份认证及消息分发方法，包括以下步骤：

S1.***进行初始化；

S2.可信中心端根据车辆假名和属性生成签名私钥、解密私钥并分发给车载单元；

S3.车载单元根据签名私钥生成签名，发送带签名的消息；

S4.路边单元对消息进行签名认证并发送给可信中心；

S5.可信中心端根据消息制定访问控制策略并进行加密，通过路边单元对密文进行广播；

S6.车载单元根据解密私钥对密文进行解密。

作为一种优选方案，所述步骤S1中初始化过程包括：

S11.可信中心端运行双线性参数生成器产生两个阶为素数p的双线性群G₁和G_T，定义Hash函数H：{0，1}^*→Z_p、H₁：{0，1}^*→Z_p、H₂：{0，1}^*→Z_p，其中e：G₁×G₁→G_T为双线性配对运算，其中Z_p为p阶加法素数群，{0，1}^*为任意长度的01字符串；

S12.从群G₁中随机选择|tmax|个元素得到生成元h₁，...，h_tmax；

S13.选择随机数α，a，计算P_Pub＝jP，其中为p-1阶乘法素数群，P_Pub为公共参数，j为中选取的随机数；

S14.得到***公钥PK和主密钥MK，

PK＝(g，P，Q，Q′，H，H₁，H₂，P_Pub，e(g，g)^α，g^a，h₁，…，h_tmax)

MK＝(g^α，j)，

其中e(g，g)^α表示双线性配对的α指数运算，g，P，Q，Q’是群G₁的生成元，g^a为生成元g的α指数运算。

作为一种优选方案，所述步骤S2中签名、解密私钥生成的过程包括：

S21.当车载单元进入路边单元通信范围内时，车载单元发送身份标识RID和车辆静态属性给路边单元，车辆静态属性包括车辆颜色、车型；

S22.路边单元将车辆静态属性与远程数据端内数据进行核实，在核实后选择两个哈希种子SD₁和SD₂，计算假名其中S₁＝H(SD₁)，S₂＝H(SD₂)，同时获得车辆动态属性，车辆动态属性包括车辆位置、方向、时速；

S23.路边单元将(PID，ET)和车辆所有属性的集合S发送给可信中心端，其中ET为假名的有效时间；

S24.可信中心端根据车辆的PID，选择随机数，计算等式T_PID＝k·P，h_e＝H₁(PID，T_PID)，S_PID＝(s+h_e·k)·Q，生成签名私钥SK_PID，sig＝(T_PID，S_PID)，其中为h_e为车辆的PID和T_PID的哈希函数值，S_PID为车辆的签名私钥的一部分；

S25.可信中心端根据车辆属性集合S，选择随机数t∈Z_p，生成车辆的解密私钥其中K为g^α和g^at的乘积，g^at为生成元g的at指数运算，g^t为生成元g的t指数运算，t为Z_p中选取的随机数，K_x为车辆属性集合S中的属性x所对应生成元h_x的t指数运算，为车辆属性集合S中的属性x所对应生成元h_x的t指数运算，x为属性集合S中的属性。

作为一种优选方案，所述步骤S3中车载单元发送带签名消息的过程包括：

S31.当车辆需要分享路况消息m时，车载单元选择随机数计算U_e＝r·P，h′_e＝H₂(PID，m，T_PID，tt，U_e)，V_e＝h′_eS_PID+rQ′，生成签名δ＝(T_PID，U_e，V_e)，其中U_e为随机数r与生成元P的点乘运算，m为路况信息，h′_e为哈希函数值，V_e为消息签名的一部分；

S32.将(PID，m，tt，δ)发送给附近的路边单元，其中tt标示签名的有效时间。

作为一种优选方案，所述步骤S4中签名认证的过程包括：

S41.当路边单元接收消息m后，计算等式h_e＝H₁(PID，T_PID)，h′_e＝H₂(PID，m，T_PID，tt，U_e)，并验证下列等式是否成立，

e(δ·V_e，P)＝e((δ·h′_e)(P_Pub+h_eT_PID)，Q)·e(δU_e，Q′)；其中e()表示双线性配对运算；

当路边单元接收到n条消息m后，计算 并验证下列等式是否成立：

其中δ_i，i＝1，...，n；

S42.若等式成立则签名通过认证，返回通过信息；若等式不成立，则签名没有通过认证，返回未通过信息，并忽略此消息。

作为一种优选方案，所述步骤S5中对访问控制策略制定和信息加密的过程包括：

S51.可信中心单元根据消息m的消息内容、消息影响范围，定义消息的访问控制策略(M，ρ)；(M，ρ)，其中M是l行n列的线性秘密共享矩阵，对于所有i＝1，2，…l的每一行，矩阵M的第i行被标识为ρ(i)的函数，ρ是一个从{1，...，l}映射到参与方集合的函数；

S52.选择随机向量对于矩阵M的每一行，从i＝1到i＝l，计算其中M_i对应矩阵M的第i行向量，s为共享的秘密值，y₂，...，y_n为Z_p中选取的随机数，为Z_p中选取的n个随机数；

S53.选择随机数r₁...r_l∈Z_p，得到密文CT，

其中C为明文消息m与双线性配对运算的乘积，C′为生成元g的s指数运算，C_l为关于访问控制矩阵l行属性的相关运算，D_l为生成元g的r_l指数运算，λ₁为矩阵M第l行向量与随机向量的乘积，为矩阵M第l行对应的属性的-r_l指数运算，ρ()为从矩阵M的{1，...，l}行映射到相应属性的函数。

8.根据权利要求2所述的一种车联网中身份认证及消息分发方法，其特征是步骤S6中车载单元对密文进行解密的过程包括：收到消息的车载单元利用私钥SK_PID，enc，对密文CT进行如下计算，

则进一步计算得到明文m＝C/e(g，g)^αS。其中L为生成元g的t指数运算，K_ρ(i)为函数ρ(i)映射的属性所对应的生成元h_ρ(i)的t指数运算。

因此，本发明的优点是：利用假名技术、基于身份签名和属性基加密技术，实现接收方对发送方身份的认证，实现消息分发过程中对消息的细粒度访问控制。本发明具有易于实现，用户隐私保护性强，权限灵活控制信息等优点。

附图说明

附图1是本发明的一种结构框示图；

附图2是本发明方法流程示意图；

附图3是本发明实施例中的模拟场景图。

1-车载单元 2-路边单元 3-可信中心端 4-远程数据端。

具体实施方式

下面通过实施例，并结合附图，对本发明的技术方案作进一步具体的说明。

实施例：

本实施例一种车联网中身份认证及消息分发***，如图1所示，包括安装在车辆上的车载单元1、若干路边单元2、可信中心端3和远程数据端4，路边单元与其通信范围内的车载单元相连接，且路边单元通过网络分别与可信中心端、远程数据端相连接；

其中可信中心端：根据路边单元获取的车辆属性生成签名私钥和解密私钥，接收车载单元的消息进行加密并由路边单元进行广播；

车载单元：接收签名私钥和解密私钥，根据签名私钥生成签名，发送具有签名的消息，根据解密私钥对加密消息进行解密；

路边单元：对车载单元发送消息进行签名认证。

一种车联网中身份认证及消息分发方法，如图2所示，包括以下步骤：

S1.***进行初始化；

初始化过程包括：

S11.可信中心端运行双线性参数生成器产生两个阶位素数p的双线性群G₁和G_T，定义Hash函数H：{0，1}^*→Z_p、H₁：{0，1}^*→Z_p、H₂：{0，1}^*→Z_p，其中e：G₁×G₁→G_T为双线性配对运算；

S12.从群G₁中随机选择|tmax|个元素得到生成元h₁，...，h_tmax；生成元h₁，...，h_tmax与***中|tmax|个属性相关。

S13.选择随机数α，a，计算P_Pub＝jP；

S14.得到***公钥PK和主密钥MK，

PK＝(g，P，Q，Q′，H，H₁，H₂，P_Pub，e(g，g)^α，g^a，h₁，…，h_tnax)

MK＝(g^α，s)，

其中e(g，g)^α表示双线性配对运算，g，P，Q，Q’是群G₁的生成元。

S2.可信中心端根据车辆假名和属性生成签名私钥、解密私钥并分发给车载单元；

签名、解密私钥生成的过程包括：

S21.当车载单元进入路边单元通信范围内时，车载单元发送身份标识RID和车辆静态属性给路边单元，车辆静态属性包括车辆颜色、车型；

S22.路边单元将车辆静态属性与远程数据端内数据进行核实，在核实后选择两个哈希种子SD₁和SD₂，计算假名其中S₁＝H(SD₁)，S₂＝H(SD₂)，同时获得车辆动态属性，车辆动态属性包括车辆位置、方向、时速；

S23.路边单元将(PID，ET)和车辆所有属性的集合S发送给可信中心端，其中ET标识假名的有效时间；

S24.可信中心端根据车辆的PID，选择随机数，计算等式T_PID＝k·P，h_e＝H₁(PID，T_PID)，S_PID＝(s+h_e·k)·Q，生成签名私钥SK_PID，sig＝(T_PID，S_PID)；

S25.可信中心端根据车辆属性集合S，选择随机数t∈Z_p，生成车辆的解密私钥

S3.车载单元根据签名私钥生成签名，发送带签名的消息；

车载单元发送带签名消息的过程包括：

S31.当车辆需要分享路况消息m时，车载单元选择随机数计算U_e＝r·P，h′_e＝H₂(PID，m，T_PID，tt，U_e)，V_e＝h′_eS_PID+rQ′，生成签名δ＝(T_PID，U_e，V_e)；

S32.将(PID，m，tt，δ)发送给附近的路边单元，其中tt标示签名的有效时间。

S4.路边单元对消息进行签名认证并发送给可信中心；

签名认证的过程包括：

S41.当路边单元接收消息m后，计算等式h_e＝H₁(PID，T_PID)，h′_e＝H₂(PID，m，T_PID，tt，U_e)，并验证下列等式是否成立，

e(δ·V_e，P)＝e((δ·h′_e)(P_Pub+h_eT_PID)，Q)·e(δU_e，Q′)；

当路边单元接收到n条消息m后，计算 并验证下列等式是否成立：

其中δ_i，i＝1，...，n；

S42.若等式成立则签名通过认证，返回通过信息；若等式不成立，则签名没有通过认证，返回未通过信息，并忽略此消息。

S5.可信中心端根据消息制定访问控制策略并进行加密，通过路边单元对密文进行广播；

对访问控制策略制定和信息加密的过程包括：

S51.可信中心单元根据消息m的消息内容、消息影响范围，定义消息的访问控制策略(M，ρ)；

S52.选择随机向量对于矩阵M的每一行，从i＝1到i＝l，计算其中M_i对应矩阵M的第i行向量；

S53.选择随机数r₁…r_l∈Z_p，得到密文CT，

S6.车载单元根据解密私钥对密文进行解密。

车载单元对密文进行解密的过程包括：收到消息的车载单元利用私钥SK_PID，enc，对密文CT进行如下计算，

则进一步计算得到明文m＝C/e(g，g)^αS。

如图3所示，以图3中的模拟场景为例进行详细说明。***初始化后，当有车A、车B和车C进入路边单元A的通信范围时，每辆车的车载单元发送唯一真实的身份标识RID和车辆的颜色、车型静态属性给路边单元A，路边单元A将静态属性与远程数据端即车管所数据库核实认证后，为每辆车生成两个哈希种子SD₁和SD₂，计算其中，S₁＝H(SD₁)，S₂＝H(SD₂)，生成车辆的位置、方向、时速等动态属性；随后，RSU_A将(PID_A，ET_A)、(PID_B，ET_B)和(PID_C，ET_C)以及每辆车所有属性集S_A、S_B和S_C发往可信中心，为车辆生成私钥，其中ET_A、ET_B、ET_C表示假名的有效时间，S_A＝{“暗红色”、“卡车”、“路A”、“向南”、“65km/h”}，S_B＝{“红色”、“面包车”、“路A”、“向南”、“75km/h”}，S_C＝{“粉红色”、“出租车”、“路B”、“向东”、“55km/h”}；同理，路边单元RSU_B为车1、车2和车D生成假名，并和它们的属性集S₁、S₂和S_D一起发往可信中心，S₁＝{“白色”、“救护车”、“路B”、“向西”、“67km/h”}，S₂＝{“红色”、“警车”、“路A”、“向南”、“60km/h”}；S_D＝{“绿色”、“货车”、“路A”、“向北”、“70km/h”}。

基于车辆A的PID，选择随机数计算等式T_PID＝k·P，h_e＝H₁(PID，T_PID)，S_PID＝(s+h_e·k)·Q，生成签名私钥

根据用户属性的集合S_A，选择随机数t∈Z_p，生成车辆的解密私钥随后以安全通道将和发送给车辆车载单元；

同理，可生成和和 和和和并发送给相应车辆车载单元。

当车辆A需要上报车祸消息m时，车辆车载单元A选择随机数计算U_{e_A}＝r·P， 生成签名然后将(PID_A，m，tt，δ)发送给附近的路边单元A，其中tt表示签名的有效时间。

路边单元A计算等式 并验证下列等式是否成立：

若上述等式成立，则签名通过验证，返回“True”，反之，等式不成立，则签名验证没有通过，返回“False”并忽略此消息。

可信中心端收到消息m，基于消息内容、消息影响范围，定义消息的访问控制策略“(路A and向南)or(路B and(向西or向东))”，即l×n的线性秘密共享矩阵(M，ρ)，其中函数ρ与矩阵的行属性相关联，选择随机向量对于矩阵M的每一行，从i＝1到i＝l，计算其中M_i对应矩阵M的第i行向量，选择随机数r₁…r_l∈Z_p，得到密文CT，并发往附近相关的RSU，

路边单元A和路边单元B从可信中心端处获得需要广播的消息CT，迅速对消息进行广播，发送给附近的车辆。

收到消息的车辆利用其私钥SK_PID，enc，对密文CT进行如下计算，

则进一步计算得到明文m＝C/e(g，g)^αS，当且仅当车辆所拥有的属性集合满足访问策略时，该车辆才能够解密得到消息明文。此例中车D解密不了消息，其他车辆均可以。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

尽管本文较多地使用了车载单元、路边单元、可信中心端、远程数据端等术语，但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质；把它们解释成任何一种附加的限制都是与本发明精神相违背的。

Claims (8)

1.一种车联网中身份认证及消息分发***，其特征在于：包括安装在车辆上的车载单元、若干路边单元、可信中心端和远程数据端，路边单元与其通信范围内的车载单元相连接，且路边单元通过网络分别与可信中心端、远程数据端相连接；

其中可信中心端：根据路边单元获取的车辆属性生成签名私钥和解密私钥，接收车载单元的消息进行加密并由路边单元进行广播；

车载单元：接收签名私钥和解密私钥，根据签名私钥生成签名，发送具有签名的消息，根据解密私钥对加密消息进行解密；

路边单元：对车载单元发送消息进行签名认证。

2.一种车联网中身份认证及消息分发方法，采用权利要求1中的***，其特征是包括以下步骤：

S1.***进行初始化；

S2.可信中心端根据车辆假名和属性生成签名私钥、解密私钥并分发给车载单元；

S3.车载单元根据签名私钥生成签名，发送带签名的消息；

S4.路边单元对消息进行签名认证并发送给可信中心；

S5.可信中心端根据消息制定访问控制策略并进行加密，通过路边单元对密文进行广播；

S6.车载单元根据解密私钥对密文进行解密。

3.根据权利要求2所述的一种车联网中身份认证及消息分发方法，其特征是所述步骤S1中初始化过程包括：

S11.可信中心端运行双线性参数生成器产生两个阶为素数p的双线性群G₁和G_T，定义Hash函数H：{0，1}^*→Z_p、H₁：{0，1}^*→Z_p、H₂：{0，1}^*→Z_p，其中e：G₁×G₁→G_T为双线性配对运算，其中Z_p为p阶加法素数群，{0，1}^*为任意长度的01字符串；

S12.从群G₁中随机选择|tmax|个元素得到生成元h₁，...，h_tmax；

S13.选择随机数α，a，计算P_Pub＝jP，其中为p-1阶乘法素数群，P_Pub为公共参数，j为中选取的随机数；

S14.得到***公钥PK和主密钥MK，

PK＝(g，P，Q，Q′，H，H₁，H₂，P_Pub，e(g，g)^α，g^a，h₁，...，h_tmax)

MK＝(g^α，j)，

其中e(g，g)^α表示双线性配对的α指数运算，g，P，Q，Q′是群G₁的生成元，g^a为生成元g的α指数运算。

4.根据权利要求2所述的一种车联网中身份认证及消息分发方法，其特征是所述步骤S2中签名、解密私钥生成的过程包括：

S21.当车载单元进入路边单元通信范围内时，车载单元发送身份标识RID和车辆静态属性给路边单元，车辆静态属性包括车辆颜色、车型；

S22.路边单元将车辆静态属性与远程数据端内数据进行核实，在核实后选择两个哈希种子SD₁和SD₂，计算假名其中S₁＝H(SD₁)，S₂＝H(SD₂)，同时获得车辆动态属性，车辆动态属性包括车辆位置、方向、时速；

S23.路边单元将(PID，ET)和车辆所有属性的集合S发送给可信中心端，其中ET为假名的有效时间；

S24.可信中心端根据车辆的PID，选择随机数，计算等式T_PID＝k·P，h_e＝H₁(PID，T_PID)，S_PID＝(s+h_e·k)·Q，生成签名私钥SK_PID，sig＝(T_PID，S_PID)，其中为h_e为车辆的PID和T_PID的哈希函数值，S_PID为车辆的签名私钥的一部分；

S25.可信中心端根据车辆属性集合S，选择随机数t∈Z_p，生成车辆的解密私钥其中K为g^α和g^at的乘积，g^at为生成元g的at指数运算，g^t为生成元g的t指数运算，t为Z_p中选取的随机数，K_x为车辆属性集合S中的属性x所对应生成元h_x的t指数运算，为车辆属性集合S中的属性x所对应生成元h_x的t指数运算，x为属性集合S中的属性。

5.根据权利要求2所述的一种车联网中身份认证及消息分发方法，其特征是所述步骤S3中车载单元发送带签名消息的过程包括：

S31.当车辆需要分享路况消息m时，车载单元选择随机数计算U_e＝r·P，h′_e＝H₂(PID，m，T_PID，tt，U_e)，V_e＝h′_eS_PID+rQ′，生成签名δ＝(T_PID，U_e，V_e)，其中U_e为随机数r与生成元P的点乘运算，m为路况信息，h′_e为哈希函数值，V_e为消息签名的一部分；

S32.将(PID，m，tt，δ)发送给附近的路边单元，其中tt为签名的有效时间。

6.根据权利要求2所述的一种车联网中身份认证及消息分发方法，其特征是所述步骤S4中签名认证的过程包括：

S41.当路边单元接收消息m后，计算等式h_e＝H₁(PID，T_PID)，h′_e＝H₂(PID，m，T_PID，tt，U_e)，并验证下列等式是否成立，

e(δ·V_e，P)＝e((δ·h′_e)(P_Pub+h_eT_PID)，Q)·e(δU_e，Q′)；其中e()表示双线性配对运算；

当路边单元接收到n条消息m后，计算 并验证下列等式是否成立：

其中δ_i，i＝1，...，n；

S42.若等式成立则签名通过认证，返回通过信息；若等式不成立，则签名没有通过认证，返回未通过信息，并忽略此消息。

7.根据权利要求2所述的一种车联网中身份认证及消息分发方法，其特征是所述步骤S5中对访问控制策略制定和信息加密的过程包括：

S51.可信中心单元根据消息m的消息内容、消息影响范围，定义消息的访问控制策略(M，ρ)，其中M是l行n列的线性秘密共享矩阵，对于所有i＝1，2，…l的每一行，矩阵M的第i行被标识为ρ(i)的函数，ρ是一个从{1，...，l}映射到参与方集合的函数；

S52.选择随机向量对于矩阵M的每一行，从i＝1到i＝l，计算其中M_i对应矩阵M的第i行向量，s为共享的秘密值，y₂，...，y_n为Z_p中选取的随机数，为Z_p中选取的n个随机数；

S53.选择随机数r₁…r_l∈Z_p，得到密文CT，

其中C为明文消息m与双线性配对运算的乘积，C′为生成元g的s指数运算，C_l为关于访问控制矩阵l行属性的相关运算，D_l为生成元g的r_l指数运算，λ₁为矩阵M第l行向量与随机向量的乘积，为矩阵M第l行对应的属性的-r_l指数运算，ρ()为从矩阵M的{1，...，l}行映射到相应属性的函数。

8.根据权利要求2所述的一种车联网中身份认证及消息分发方法，其特征是步骤S6中车载单元对密文进行解密的过程包括：收到消息的车载单元利用私钥SK_PID，enc，对密文CT进行如下计算，

则进一步计算得到明文m＝C/e(g，g)^αs，其中L为生成元g的t指数运算，K_ρ(i)为函数ρ(i)映射的属性所对应的生成元h_ρ(i)的t指数运算。