一种基于内容属性的可撤销密钥外包解密方法

摘要

一种基于内容属性的可撤销密钥外包解密方法，可信权威：1.初始化，输出系统参数；2.运行随机数生成算法；3.选择抗碰撞哈希函数，计算哈希值；4.计算公钥、主密钥；5.选择随机数，计算求幂、乘法运算；6.运行抗碰撞哈希函数、求幂运算，得解密密钥。数据持有者：7.AES数据加密；8.生成访问控制矩阵；9.选择随机数，计算内积；10.运行乘法、求幂和异或运算，得密文；解密者：11.发送解密请求和转换密钥；移动云存储服务器：12.将CT2送呈外包解密代理；外包解密代理方：13.利用转换密钥，计算转换密文；解密者：14.计算得会话密钥；15.AES数据解密。

说明书

(一)技术领域：

本发明设计一种基于内容属性的可撤销密钥外包解密方法，可实 现移动云存储环境下的泄露用户密钥有效撤销，并能最大程度保护用 户隐私、降低移动设备解密计算开销，属于信息安全中密码学技术领 域。

(二)技术背景：

伴随着通信技术的发展和移动设备的大范围普及，人们一改以往 依靠台式机和笔记本电脑的信息处理模式，转而向更便捷高效的移动 云计算服务发展。出于节约存储空间的目的，越来越多的移动用户选 择将数据上传到第三方服务器端存储。在移动云存储模型中，借助通 讯网络和移动设备，用户可以随时随地的享受无缝访问云端数据。人 们在享受移动云存储带来的诸多便利的同时，对云端数据安全性的担 忧也涌上心头。

当数据上传到第三方服务器分布式存储，远程服务器不受数据持 有者直接控制，而是由服务器管理员统一管理。考虑到复杂的网络环 境，要求第三方服务器绝对安全是不现实的；一旦存储服务器遭到攻 击，造成大范围的云端数据外泄或恶意删除，其后果将不堪设想。如 何将访问数据权限控制在授权用户之间，解决数据管辖权与持有人分 离所带来的安全问题，成为了现今移动云计算服务中数据安全存储与 共享方面的一大挑战。鉴于目前已有的数据泄露案例，我们必须采取 得当的数据保护措施，降低数据安全对存储服务器安全的依赖。

为了保证数据在第三方服务器端存储时的安全性，我们可以引入 数据加密技术——将明文数据以密文的形式保存在云端服务器，只有 授权用户可以成功解密密文，实现授权用户间的数据安全共享。然而， 传统的加密方式需要数据持有者在加密数据之前明确所有可能的解 密者的详细身份，该要求往往不适合云服务的应用环境。然而，一种 新型的加密机制——属性基加密(Attribute-based Encryption，ABE) 却很契合上述应用环境。在ABE加密方案中，每个用户的身份由属性 集合表示，数据持有者可根据相应的安全需求，制定访问控制策略(访 问控制策略通过用户的属性表达)而不是详细的授权用户身份列表， 只有属性集合满足访问控制策略的解密者才能成功解密密文。

由上述介绍可知，ABE的方案中用户的身份通过属性集合表示， 例如性别、职业、年龄、工作单位等。这些信息都在无形中暴露着用 户的个人隐私，若用户的移动设备丢失，存储在其中的解密密钥将直 接披露用户的身份。某些不法分子可以通过获悉的敏感属性信息锁定 用户的身份，并实施犯罪行为。只有隐藏起用户的身份属性才能进一 步保护个人隐私安全。

已有的ABE方案在解密算法中均采用了“双线性对”这一数学工 具，给解密运算带来了巨大的计算开销，因而对运算对解密设备的计 算能力具有较高的要求。考虑到移动通讯设备较弱的计算能力和有限 的电池供电性能，如何将移动云存储服务与ABE加密方案结合起来， 具有一定的技术难度。

此外，在移动云存储环境下，有效的撤销机制是极其重要的。鉴 于移动设备具有轻便、可携带等特点，更加大了其意外丢失和被盗的 可能性，而存储在失窃设备中的解密密钥也会对存储在云端的数据构 成极大的威胁。当发现系统中存在密钥泄露的情况时，为防止泄露的 密钥再次解密云端的数据，首先需要采取的补救措施是将存储在云端 的密文重新加密，同时系统中的其他用户私钥随之升级。而站在非撤 销用户的角度上，在撤销泄露密钥的过程中，保证非撤销用户不受打 扰是很必要的。

目前，在ABE方案中保护用户个人隐私、降低解密运算负担和撤 销泄露密钥等研究方面均有很成功的研究成果：1)通过将原有的解 密用户身份属性替代成文件的内容属性，可有效隐藏解密者的身份信 息，起到保护用户个人隐私的目的。2)通过外包技术，将解密开销 分由解密用户和具有极强计算能力的外包解密代理共同承担。解密用 户拥有一对解密密钥——转换密钥和解密私钥；首先外包解密代理方 持转换密钥(由解密用户发送得到)，可将原始密文有效转换成转换 密文(具有长度短小，且解密算法运行速度快的优点)；随后解密用 户利用手中的解密私钥，可快速解密该转换密文。3)在发生密钥泄 露后，通过重新加密密文、升级非撤销用户的解密密钥等手段，可实 现密钥泄露用户的解密权限撤销。尽管上述研究方案均在某一方面实 现了卓越的数据安全与隐私保护功能，却没有一种集上述三个优点于 一身的功能型ABE方案能够与移动云存储应用环境完美契合。

基于之前的研究成果，本发明提出了一种基于内容属性的可撤销 密钥外包解密方法，可实现有效的密钥撤销，并最大程度地保护了解 密用户的个人隐私，节约了移动设备的解密开销。

(三)发明内容：

1、目的：

本发明的目的是提出一种基于内容属性的可撤销密钥外包解密方 法。首先，在移动云存储环境下，数据持有者利用待加密文件的内容 属性对文件加密，后上传到云端存储，保证了数据在云端的安全性； 其次，在不泄露明文数据的前提下，结合外包技术，借外包解密代理 强大的运算能力，加快解密速度，降低移动设备的解密开销。最后， 本发明在密文和解密用户的解密密钥中嵌入版本序列号，当发生密钥 泄露的情况时，及时更新解密密钥和密文的版本，实现密钥泄露用户 的解密权限撤销功能。

2、技术方案：

本发明方案包括五个实体：1)数据持有者(Data Owner，DO)： 能够根据适当的安全需求制定访问控制策略，依据访问控制策略对数 据加密，并将加密后的数据上传到移动云存储服务器端存储；2)解 密者(Data Consumer，DC)：能够发送转换密钥(Transformation Key， TA)，并依据自己的解密私钥对转换密文解密；3)移动云存储服务器 (Mobile Storage Serve Provider，MSSP)：存储来自数据持有者的 加密数据，并向外包解密代理方发送对应密文；4)外包解密代理方 (Computation Service Proxy，CSP)：能够利用转换密钥转换密文， 并重新加密旧版本的密文为非撤销用户更新解密密钥；5)可信任权 威机构(Trusted Authority，TA)：受各实体信任，在发生密钥泄露 时及时更新公钥与主密钥信息，负责系统中所有用户的密钥生成与分 发任务。

2.1基础知识(有关技术用语及名词的说明)：

2.1.1双线性对

由于本发明所设计的算法中使用了双线性映射这方面的数学知 识。特在此作相关定义说明。

我们定义一种函数映射e(.,.)，将群G中的元素映射到群G_T中去， 即：e：G×G→G_T，其中群G和G_T是两个阶数为素数p的乘法循环群。

双线性对满足的特性有：

①双线性特性：对于g,

有e(g^a,h^b)＝e(g,h)^ab成立；其中，Z_p表示集合 {0,1,2,...,p-1}。

②非退化性：G群中至少存在一个元素g，使得计算后的e(g,g)为 G_T群的某个生成元；

③可计算性：存在有效的算法，使得所有的u,v∈G，可以有效 计算出e(u,v)的值；

2.1.2访问控制结构

在属性基加密方案中，为了实现对数据使用实施细粒度的访问控 制，需要在加密数据之前制定相应的访问控制策略，而访问控制策略 则通过访问控制结构表达。本发明方案中所使用的访问控制结构为访 问控制矩阵A，即l行n列的矩阵。由于属性基加密方案中访问控制 策略是与属性相关的，故在生成访问控制矩阵时，我们选择一种“一 一映射”：ρ(i)，将矩阵A的每一行的行标i分别映射到访问控制策 略中涉及到的某一属性上。

2.1.3抗碰撞哈希函数

本发明中使用的哈希函数具备两个基本特性：单向性和抗碰撞性； 单向性是指只能从哈希函数的输入推导出输出，而绝不能从哈希函数 的输出计算出输入；抗碰撞性是指不能找到两个不同的哈希函数输入 使其哈希后的结果相同。本发明中的哈希算法输入是任意长度的二进 制字符串。

2.2方案内容

本发明为一种基于内容属性的可撤销密钥外包解密方法，该方法 由系统初始化模块、私钥生成模块、文件加密模块、文件解密模块和 密钥撤销模块，五个模块共18个步骤实现其功能。其中系统初始化 模块、私钥生成模块、文件加密模块、文件解密模块是按顺序执行的， 而密钥撤销模块的三个步骤只在撤销用户的密钥时执行。本发明所设 计的基于内容属性的可撤销密钥外包解密方法的系统架构图如图1 所示，现结合图1将本发明所述方法及各模块的功能介绍如下。

本发明设计一种基于内容属性的可撤销密钥外包解密方法，其运 行步骤如下：

模块一：系统初始化模块可信任权威机构(TA)调用初始化算法， 生成公钥和主密钥。

步骤1：TA输入系统安全参数λ，运行初始化算法输出两 个阶数为素数p的群G、G_T和一个双线性映射运算e：G×G→GT；

步骤2：TA接下来运行随机数生成算法，随机选择G群中的某个 生成元g，G群中的两个随机元素u、f，以及Z_p域中的一个元素α。

步骤3：TA选择一种抗碰撞哈希函数H(·)，该函数满足抗碰撞哈 希函数的所有特性，输入为任意长度的0、1字符串，输出为映射到 G群中的某一元素。

步骤4：若当前的系统版本数为v，则该算法选择v个Z_p域中的随 机元素γ₁,...,γ_v∈Z_p，并分别计算$h_1=g^{{\gamma }_1},...,h_v=g^{{\gamma }_v}.$

最后，公钥表示为：

$\mathrm{PK}=(G,u,f,e{(g,g)}^{\alpha },h_1=g^{{\gamma }_1},...,h_v=g^{{\gamma }_v},H(·));$主密钥 表示为：MSK＝(g^α,γ₁,...,γ_v)。

其中，在步骤1中所述的“算法”，其运行方法如下：TA输 入系统安全参数λ，系统根据λ的大小，选择相应的椭圆曲线： Y²＝X³+aX+b(a和b是系数)，再由椭圆曲线上的点构成两个素 数p阶的群G、G_T。最后，选择一种函数映射e，将群G中的元素映射 到群G_T中去；一般，安全参数数值越大，所选择椭圆曲线上的点也越 多，群也越大。

其中，步骤2中所述的“随机数生成算法”，其做法如下：根据 步骤1中所选的椭圆曲线：Y²＝X³+aX+b，随机选择自变量X的 一个值x₁，计算对应因变量Y的值y₁；若点(x₁,y₁)在我们想要映 射的群中，则成功生成了随机元素。若点(x₁,y₁)不在群中，则继 续选择X的值，直到找到出现在群中的点。此外，域表示集合 {1,2,...,p-1}，随机选择域中元素的随机数生成函数可以从 Pairing-Based Cryptosystems函数包中调用库函数运行。下文中提 到的随机数生成算法皆按上述方法运行。

其中，步骤3中所述的抗碰撞哈希函数H(·)同样可以从 Pairing-Based Cryptosystems函数包中调用库函数运行。

模块二：私钥生成模块

可信任权威机构即TA通过判断请求加入系统的用户身份是否合 法、有效，为其指定可访问文件的关键字属性集合S，并基于集合S生 成用户私钥。

步骤5：随机选择两个Z_p域中的元素t,z∈Z_p，并做指数和乘法运 算，得到：

$K=g^{\frac{\alpha }{z}}{u}^t{(h_1...h_v·f)}^t,L=g^t$

步骤6：对应每个在集合S中的关键字属性x∈S，分别运行抗碰 撞哈希函数H(·)和求幂运算，得到：

{K_x|K_x＝H(x)^t,x∈S}

最终得到，转换密钥为：用户解密用的 私钥为：AC＝{z}。

模块三：文件加密模块

步骤7：考虑到对称加密算法的加密时间短的优势，针对移动通 信设备较弱的计算和存储能力，本发明采用“AES对称加密”方法， 数据持有者(DO)随机选择加密时使用的对称会话密钥对文件 加密，得到密文CT₁。

步骤8：DO根据自己的安全需求，制定相应的访问控制策略，该 策略由所加密文件的关键字属性和布林运算符组成，例如“(关键字 1OR关键字2)AND关键字3”。根据访问控制策略，系统生成对应的 访问控制矩阵(A,ρ)，A表示l行n列的矩阵，ρ表示可以将矩阵A的一 行对应到访问控制策略中某一关键字的映射。

DO运行属性基加密算法Encapsulate，对会话密钥M加密。 Encapsulate算法按如下步骤9、10进行：

步骤9：随机选择n个Z_p域中的元素s,s₂,s₃,...,s_n∈Z_p，组成 向量将矩阵A的每一行作为行向量与向量进 行内积运算，得到λ₁,λ₂,…,λ_l：

${\lambda }_i=\overrightarrow{A_i}·\overrightarrow{\upsilon }(i=1,...,l)$

步骤10：运行乘法、求幂和异或运算，得到：

C₀＝M·e(g,g)^αs，C₁＝g^s，C₂＝(h₁…h_v·f)^s随机选择l个Z_p域中的元素，对于i＝1,...,l，计算：

$\left\{D_i\right|D_i=u^{{\lambda }_i}H{\left(\rho \left(i\right)\right)}^{-r_i},i=1,...,l\}$和

$\left\{E_i\right|E_i=g^{r_i},i=1,...,l\}$

会话密钥M经加密后得到的密文表示为： ${\mathrm{CT}}_2=(C_0,C_1,C_2,{\{D_i,E_i\}}_{i=1}^l),$CT₂和CT₁，共同组成了存储在 云端的密文文件。

其中，步骤7中所述的“AES数据加密”，通过下载MySQL(关系 数据库管理系统)应用软件，可以通过调用函数 “SELECT AES_ENCRYPT()”对文件加密。

其中，步骤8中所述的“生成对应的访问控制矩阵(A,ρ)”，矩阵A 中各元素的选择原则是能够有效恢复出步骤11中提到的“指数s”。 这里我们定义集合 I(I＝{i|ρ(i)∈S})，表示用户属性集合S中所有属性元素ρ(i)∈S通 过映射ρ(·)，对应到访问控制矩阵A的行标i的集合。若解密用户的属 性集合S中的属性满足DO加密M时制定的访问控制策略，则一定可 以找到常数w_i∈Z_p，按照下式：

$\underset{i\in I}{\Sigma }{w}_i{\lambda }_i=s$

有效恢复出指数s。

模块四：文件解密模块当某一解密者(DC)想从云端下载密文并 解密得到明文文件时，首先向移动云存储服务器(MSSP)提出下载文 件请求，并将转换密钥TC发送给外包解密代理方(CSP)；MSSP在收 到该请求后将对应加密文件的CT₂送呈CSP；CSP利用收到的转换密钥 TC对CT₂解密，若该DC的属性集合S满足DO制定的访问控制策略， 则CSP可成功由TC得到转换密文并将其返回给DC；若不符合， 则返回⊥。DC得到转换密文后，经过一次简单的解密过程，能得 到会话密钥M，最终通过AES解密算法，得到最终的明文文件。

步骤11：DC向MSSP提出下载文件请求，并将转换密钥TC发送给 CSP。

步骤12：MSSP在收到该请求后将加密文件的CT₂部分送呈CSP。

步骤13：CSP利用收到的转换密钥TC对CT₂解密，运行双向性对 运算、求幂和连乘运算：

$\left(\begin{array}{c}=\frac{e(g^s,g^{\frac{\alpha }{z}})·e(g^s,u^t)·e(g^s,{(h_1...h_v·f)}^t)}{e({(h_1...h_v·f)}^s,g^t)·{e(u,g^t)}^{{\Sigma }_{\rho \left(i\right)\in S^{{\omega }_i{\lambda }_i}}}}\\ =e{(g,g)}^{\frac{\mathrm{\alpha s}}{z}}\end{array}\right)$

得到转换密文：$\overline{{\mathrm{CT}}_2}=(C_0,C_2,e{(g,g)}^{\frac{\mathrm{\alpha s}}{z}}),$将其发送给DC。

步骤14：DC收到转换密文利用自己的本地存储的解密私钥 AC，对转换密文解密，得到会话密钥M。分别按照如下公式计 算得到：

$M=C_0/{\left(e{(g,g)}^{\frac{\mathrm{\alpha s}}{z}}\right)}^z=M·{e(g,g)}^{\mathrm{\alpha s}}/e{(g,g)}^{\mathrm{\alpha s}}$

步骤15：DC解密得到会话密钥M后，将经过AES对称加密得到 的密文CT₁，运行AES数据解密算法，最后便可得到初始的明文文件。

其中，步骤15中所述的“运行AES数据解密算法”，下载MySQL(关 系数据库管理系统)应用软件，能通过调用函数 “SELECT AES_DECRYPT(AES_ENCRYPT()”进行解密。

模块五：密钥撤销模块一旦系统中出现密钥泄露事件，及时的密 钥撤销是一种有力的补救措施，因而密钥撤销模块是本发明很重要的 一个组成部分。该模块按如下三个步骤运行：

步骤1*：当TA发现存在密钥泄露的情况，首先会更新当前系统 的公钥和主密钥对(PK,MSK)。做法如下：将最新的版本号v数目增1 (初始时置为1)，在Z_p域中选择随机元素γ_v+1∈Z_p；计算一次求幂运 算，得到密钥更新后为：

PK＝(G,u,f,e(g,g)^α,h₁,...,h_v+1,H₀,H₁,H₂)和

MSK＝(g^α,γ₁,...,γ_v)。

步骤2*：TA从MSSP处下载得到C₁＝g^s，计算h_v+1^s＝(g^s)^v+1后， 将h_v+1^s传回给MSSP。MSSP根据收到的h_v+1^s更新密文CT₂。通过运行一 次乘法运算：

C₂′＝C₂·h_v+1^s＝(h₁…h_v·f)^s·h_v+1^s＝(h₁…h_v+1·f)^s

更新后的密文为：${\mathrm{CT}}_2=(C_0,C_1,{{C_2}^{\prime },\{D_i,E_i\}}_{i=1}^l).$

步骤3*：TA运行一次求幂运算h_v+1^t＝(g^t)^v+1＝L^v+1和一次乘法 运算K'＝K·h_v+1^t，并将K'返回给CSP保管。CSP在收到来自DC的转换 密钥TC后，若该用户不在撤销用户之列，则自动为其更新转换密钥， 新的密钥内容为：若该用户在撤销用户之列， 则返回⊥(⊥定义为无效)。

3、优点及功效：

本发明提供一种基于内容属性的可撤销密钥外包解密方法，在移 动云存储环境下使用该方法对数据加、解密，能保护数据在不完全可 信的移动云存储服务器存储时的安全性和解密用户的个人隐私安全。 通过外包解密技术，极大地降低了移动设备端解密时的计算开销；此 外，在发生用户私钥泄露之后，系统能及时地撤销泄密用户的解密密 钥，杜绝了数据的非法访问。该方法的优点和功效是：

1)本发明方法首先将数据持有者的文件以“AES对称加密”方法 加密，后采用基于内容属性的公钥加密方法对“AES会话密钥”进行 加密。在提高加密速度的同时，省去了繁琐的密钥协商步骤，并实施 了更佳的数据访问控制政策。本发明中采用的基于内容属性的公钥加 密方法，根据可访问文件的关键字属性对数据加密，可有效隐藏解密 者的身份属性，即使用户的密钥泄露也不会妨害到解密者的个人隐私 安全。

2)本发明方法将繁重的解密任务授权给外包解密代理，解密密 文的密钥分为两部分：转换密钥和解密私钥。外包解密代理利用转换 密钥，运行较复杂的双线性对、求幂等运算，并返回给解密用户 El-Gamal类型的转换密文。解密用户仅需利用严密保管的解密私钥， 运行简单的求解步骤，便可得到明文文件。该方法解除了移动解密设 备繁重的解密负担，节省了计算时间和存储开销，特别适合电池电力 有限的移动终端设备。

3)本发明方法加入了密钥撤销机制，将系统的版本号嵌入到密 文和解密用户的密钥中，发生私钥泄露时可及时地撤销泄露的密钥； 传统的基于属性的加密方法，一旦用户的密钥泄露，该密钥可解密的 文件即使存储在云端，其安全性也会受到威胁。因此，缺乏必要密钥 撤销机制的加密方法对数据的安全性保护来说是存在缺陷的。本发明 方法在属性基加密方案的基础上，设计了有效的密钥撤销算法，当系 统中发生密钥泄露时，TA和外包解密代理则自动对云端文件重新加 密并为未撤销用户升级解密密钥，做到不影响未撤销用户的正常使用； 且整个撤销机制在后台运行，未撤销用户不会因此受到打扰。

(四)附图说明：

图1为本发明所述方法的系统架构图。

图2为本发明所述方法的流程框图。

(五)具体实施方式

如图1-2,本发明为一种基于内容属性的可撤销密钥外包解密方 法，该方法由系统初始化模块、私钥生成模块、文件加密模块、文件 解密模块和密钥撤销模块，五个模块实现。该基于内容属性的可撤销 密钥外包解密方法运行的系统流程见图2，,结合流程框图，将该方 法的具体实现步骤介绍如下：

模块一：系统初始化模块:

步骤1：可信任权威机构(TA，Trusted Authority)输入系统安 全参数λ，运行算法输出两个阶数为素数p的群G、G_T和一个 双线性映射运算e：G×G→G_T；

步骤2：接下来运行随机数生成算法，随机选择G群中的某个生 成元g，G群中的两个随机元素u、f，以及Z_p域中的一个元素α。

步骤3：可信任权威机构选择一种抗碰撞哈希函数H(·)，该函数 满足抗碰撞哈希函数的所有特性，输入为任意长度的0、1字符串， 输出为映射到G群中的某一元素。

步骤4：若当前的系统版本数为v，则该算法选择v个Z_p域中的随 机元素γ₁,...,γ_v∈Z_p，并计算$h_1=g^{{\gamma }_1},...,h_v=g^{{\gamma }_v}.$

公钥表示为：

$\mathrm{PK}=(G,u,f,e{(g,g)}^{\alpha },h_1=g^{{\gamma }_1},...,h_v=g^{{\gamma }_v},H(·));$

主密钥表示为：MSK＝(g^α,γ₁,...,γ_v)。

其中，在步骤1中所述的“算法”，其运行方法如下：可信 任权威机构输入系统安全参数λ，根据λ的大小，系统选择相应的椭 圆曲线：Y²＝X³+aX+b(a和b是系数)，再由椭圆曲线上的点构 成两个素数p阶的群G、G_T。选择一种函数映射e，将群G中的元素映 射到群G_T中去；安全参数数值越大，所选择椭圆曲线上的点也越多， 群也越大。

其中，步骤2中所述的“随机数生成算法”，其做法如下：根据 步骤1中所选的椭圆曲线：Y²＝X³+aX+b，随机选择自变量X的 一个值x₁，计算对应因变量Y的值y₁；若点(x₁,y₁)在我们想要映 射的群中，则成功生成了随机元素。若点(x₁,y₁)不在群中，则继 续选择X的值，直到找到出现在群中的点。此外，域表示集合 {1,2,...,p-1}，随机选择域中元素的随机数生成函数可以从 Pairing-Based Cryptosystems函数包中调用库函数运行。下文中提 到的随机数生成算法皆按上述方法运行。

其中，步骤3中所述的抗碰撞哈希函数H(·)同样可以从 Pairing-Based Cryptosystems函数包中调用库函数运行。

模块二：私钥生成模块

步骤5：选择两个Z_p域中的随机元素t,z∈Z_p，并做指数和乘法运 算，得到：

$K=g^{\frac{\alpha }{z}}{u}^t{(h_1...h_v·f)}^t,L=g^t$

步骤6：对应每个在集合S中的关键字属性x∈S，分别运行抗碰 撞哈希函数H(·)和求幂运算，得到：

{K_x|K_x＝H(x)^t,x∈S}

其中，转换密钥为：$\mathrm{TC}={\{K,L,\{K_x\}}_{\forall x\in S}\};$用户解密用 的私钥为：AC＝{z,TC}。

模块三：文件加密模块

步骤7：考虑到对称加密算法的加密时间短的优势，针对移动通 信设备较弱的计算和存储能力，本发明采用“AES对称加密”方法， 数据持有者随机选择加密时的对称会话密钥对文件加密，得到 密文CT1。

步骤8：文件持有者根据自己的安全需求，制定相应的访问控制 策略，该策略由所加密文件的关键字属性表示，例如“(关键字1 OR 关键字2)AND关键字3”。根据访问控制策略，生成对应的访问控制 矩阵(A,ρ)，A表示l行n列的矩阵，ρ表示可以将矩阵A的一行对应到 访问控制策略中某一关键字的映射。

运行属性基加密算法Encapsulate，对会话密钥M加密。Encapsulate 算法的运行如下：

步骤9：选择n个Z_p域中的随机元素s,s₂,s₃,...,s_n∈Z_p，组成向量 将矩阵A的每一行作为行向量与向量进行内积运算， 得到λ₁,λ₂,…,λ_l：

${\lambda }_i=\overrightarrow{A_i}·\overrightarrow{\upsilon }(i=1,...,l)$

步骤10：运行乘法、求幂和异或运算，得到：

C₀＝M·e(g,g)^αs，C₁＝g^s，C₂＝(h₁…h_v·f)^s

随机选择l个Z_p域中的元素，对于i＝1,...,l，计算：

$\left\{D_i\right|D_i=u^{{\lambda }_i}H{\left(\rho \left(i\right)\right)}^{-r_i},i=1,...,l\}$和

$\left\{E_i\right|E_i=g^{r_i},i=1,...,l\}$

会话密钥M经加密后得到的密文表示为： ${\mathrm{CT}}_2=(C_0,C_1,C_2,{\{D_i,E_i\}}_{i=1}^l),$CT₂和经AES对称加密得到的 密文CT₁，共同组成了存储在云端的密文文件。

其中，步骤7中所述的“AES数据加密”，通过下载MySQL(关系 数据库管理系统)应用软件，可以通过调用函数 “SELECT AES_ENCRYPT()”进行加密。

其中，步骤8中所述的“生成对应的访问控制矩阵(A,ρ)”，矩阵A 中各元素的选择原则是能够有效恢复出步骤11中提到的“指数s”。 这里我们定义集合 I(I＝{i|ρ(i)∈S})，表示用户属性集合S中所有属性ρ(i)∈S通过映射 ρ(·)，对应到访问控制矩阵A的行标i的集合。若用户的属性集合S中 的属性满足数据持有者加密M时制定的访问控制策略，则一定可以找 到常数w_i∈Z_p，按照下式：

$\underset{i\in I}{\Sigma }{w}_i{\lambda }_i=s$

有效恢复出指数s。

模块四：文件解密模块

步骤11：解密者向移动云存储服务器提出下载文件请求，并将转 换密钥TC发送给外包解密代理方。

步骤12：移动云存储服务器在收到该请求后将加密文件的CT₂部 分送呈外包解密代理方。

步骤13：外包解密代理方利用收到的转换密钥TC对CT₂解密，运 行双向性对运算、求幂和连乘运算：

$\left(\begin{array}{c}=\frac{e(g^s,g^{\frac{\alpha }{z}})·e(g^s,u^t)·e(g^s,{(h_1...h_v·f)}^t)}{e({(h_1...h_v·f)}^s,g^t)·{e(u,g^t)}^{{\Sigma }_{\rho \left(i\right)\in S^{{\omega }_i{\lambda }_i}}}}\\ =e{(g,g)}^{\frac{\mathrm{\alpha s}}{z}}\end{array}\right)$

得到转换密文：$\overline{{\mathrm{CT}}_2}=(C_0,C_2,e{(g,g)}^{\frac{\mathrm{\alpha s}}{z}}),$将其发送给请求解 密的解密者。

步骤14：收到转换密文的解密者，利用自己的本地存储的解 密私钥AC，对转换密文解密，得到会话密钥M。分别按照如下 公式计算得到：

$M=C_0/{\left(e{(g,g)}^{\frac{\mathrm{\alpha s}}{z}}\right)}^z=M·{e(g,g)}^{\mathrm{\alpha s}}/e{(g,g)}^{\mathrm{\alpha s}}$

步骤15：解密者解密得到会话密钥M后，将经过AES对称加密得 到的密文CT₁，运行AES数据解密算法，最后便可得到初始的明文文 件。

其中，步骤15中所述的“运行AES数据解密算法”，下载MySQL(关 系数据库管理系统)应用软件，能通过调用函数 “SELECT AES_DECRYPT(AES_ENCRYPT()”进行解密。

模块五：密钥撤销模块

步骤1*：当可信任权威机构发现存在密钥泄露的情况，首先会更 新当前系统的公钥和主密钥对(PK,MSK)，做法如下：将最新的版本 号v数目增1(初始时置为1)，在Z_p域中选择随机元素γ_v+1∈Z_p；计算 一次求幂运算，得到密钥更新后为：

PK＝(G,u,f,e(g,g)^α,h₁,...,h_v+1,H₀,H₁,H₂)和

MSK＝(g^α,γ₁,...,γ_v)。

步骤2*：可信任权威机构从移动云存储服务器处下载得到C₁＝g^s， 计算h_v+1^s＝(g^s)^v+1后，将h_v+1^s传回给移动云存储服务器。移动云存储服 务器根据收到的h_v+1^s更新密文CT₂。通过运行一次乘法运算：

C₂'＝C₂·h_v+1^s＝(h₁…h_v·f)^s·h_v+1^s＝(h₁…h_v+1·f)^s

更新后的密文为：${\mathrm{CT}}_2=(C_0,C_1,{{C_2}^{\prime },\{D_i,E_i\}}_{i=1}^l).$

步骤3*：可信任权威机构运行一次求幂运算 h_v+1^t＝(g^t)^v+1＝L^v+1和一次乘法运算K'＝K·h_v+1^t，并将K'返回给外包 解密代理方保管。外包解密代理方在收到来自解密者的转换密钥TC 后，若该用户不在撤销用户之列，则自动为其更新转换密钥，新的密 钥内容为：若该用户在撤销用户之列，则 返回⊥。