可撤销两个属性的密钥策略的属性加密方法

摘要

本发明可撤销两个属性的密钥策略的属性加密方法是可撤销属性加密方法的一个重要进展，具体方法是，选择多用户下的两个不同属性，建立撤销列表，考虑密钥生成过程中的用户是否在两个撤销列表中，若存在判断用户余下的属性与访问结构的关系，只有当密文的属性集满足用户的密钥策略，用户才能完成解密过程，具体为由权威中心建立主密钥和公共参数，利用线性秘密共享算法将访问策略转为访问结构，生成相应访问结构下的用户私钥，根据属性集和已知的两个撤销列表，对消息进行加密，判断用户是否在两个撤销列表中，完成解密过程，结合已知私钥和用户追踪，判定用户与私钥的关联性，本发明解决了现有技术中存在的加密方法不能撤销用户单个属性的问题。

说明书

技术领域

本发明属于信息安全技术领域，具体涉及一种可撤销两个属性的密钥策 略的属性加密方法。

背景技术

随着早期的模糊的基于身份加密方法的出现，基于属性密码学进入人类 视线。在现实中，用户不仅仅拥有唯一的公钥或者是身份，取而代之的是用 户对应的属性，比如说姓名、年龄、部门等，从而扩宽基于属性密码系统的 应用领域，引起了研究人员的关注。

针对多用户下的属性撤销机制，已存在的文章大多是直接撤销该属性下 的用户，使得用户不再具备任何性质，但是实际中用户可能仅仅需要撤销某 个属性，而不影响该用户其他属性，保证用户仍具有一定的加解密性质。因 此建立多用户下的单个属性的撤销技术，令撤销列表内包含的是撤销单个属 性的用户集合，它不影响用户的其他属性，当用户撤销后属性集仍满足访问 结构时，用户仍然就有解密能力。这样的有着细粒度可撤销的属性加密方法 是非常必要的。

发明内容

本发明的目的是提供一种可撤销两个属性的密钥策略的属性加密方法， 解决了现有技术中存在的加密方法不能撤销用户单个属性的问题。

本发明所采用的技术方案是，可撤销两个属性的密钥策略的属性加密方 法，具体按照以下步骤实施：

步骤1、系统参数初始化；

步骤2、密钥生成；

步骤3、加密；

步骤4、解密；

步骤5、追踪。

本发明的特点还在于，

步骤1的过程为设针对两个属性i和属性j构建撤销列表R_i和R_j，撤销列 表R_i表示撤销属性i的所有用户，记为撤销列表R_j表示撤 销了属性j的用户，记为其中允许q≠q′即每个撤销列表 中的撤销用户数目不等，用户在任意一个撤销列表中，或者同时存在于两个 撤销列表中，即允许用户同时撤销了属性i和属性j，令U表示系统中所有用 户集，设系统中属性个数是m，用户在加密时的属性集撤销列 表中用户的最大个数是n，消息为访问策略通过线性秘密共享技术LSSS 转换为访问策略(M,ρ)，具体按照以下步骤实施：

步骤(1.1)、令G₁和G₂是阶为素数p的群，其中g是G₁的生成元，定义 双线性映射e:G₁×G₁→G₂；

步骤(1.2)、随机选择α∈Z_p，这里Z_p＝{0,1，…，p-1}， $\overrightarrow{\alpha }={({\alpha }_1,{\alpha }_2,...,{\alpha }_n)}^T,\overrightarrow{\beta }={({\beta }_1,{\beta }_2,...,{\beta }_n)}^T\in Z_p^n,$令$\overrightarrow{H}=g^{\overrightarrow{\alpha }}={(g^{{\alpha }_1},g^{{\alpha }_2},\mathrm{...},g^{{\alpha }_n})}^T={(h_1,\mathrm{...},h_n)}^T,$$\overrightarrow{F}=g^{\overrightarrow{\beta }}={(f_1,\mathrm{...},f_n)}^T={(g^{{\beta }_1},g^{{\beta }_2},\mathrm{...},g^{{\beta }_n})}^T,$然后随机选取 {t_0,i∈G₁,t_1,i∈G₁,t_2,i∈G₁,t_3,i∈G₁|_{i＝0,1,…,m}}，并定义四个函数T_k(x):Z_p→G₁，其中 k＝{0,1,2,3}，有$T_k\left(x\right)={\Pi }_{i=0}^m{t}_{k,i}^{x^i}\in G_1;$

步骤(1.3)、构造主私钥以及相应的公共参数

$\overrightarrow{H}={(h_1,...,h_n)}^T,\overrightarrow{F}={(f_1,...,f_n)}^T\}.$

步骤2的过程为将访问策略通过线性秘密共享技术LSSS转换为访问结 构(M,ρ)，生成用户ID在访问结构(M,ρ)下的私钥，具体按照以下步骤实施：

步骤(2.1)、将访问策略通过LSSS转换为访问结构(M,ρ)，矩阵M是一 个l×k的矩阵，M_i是矩阵M相应的第i行，映射ρ将M_i映射到属性ρ(i)∈[1,m]；

步骤(2.2)、首先根据输入的身份ID∈Z_p定义向量X＝(x₁,…,x_n)^T满足： x_i＝ID^i-1modp，i＝{1,…,n}，随机选取 {z_i,0}_{i∈{2,…,k}},{z_i,1}_{i∈{2,…,k}},{z_i,2}_{i∈{2,…,k}},{z_i,3}_{i∈{2,…,k}}∈Z_p和r∈Z_p，定义向量 ${\overrightarrow{v}}_0={(\alpha +{\mathrm{r\alpha }}_1+{\mathrm{r\beta }}_1,z_{2,0},\mathrm{...},z_{k,0})}^T,$向量${\overrightarrow{v}}_1={(\alpha +{\mathrm{r\alpha }}_1,z_{2,1},...,z_{k,1})}^T,$以及向量 ${\overrightarrow{v}}_2={(\alpha +{\mathrm{r\beta }}_1,z_{2,2},...,z_{k,2})}^T$和向量${\overrightarrow{v}}_3={(\alpha ,z_{2,3},...,z_{k,3})}^T,$这里k是矩阵M的列数，对 于任意i∈{1,…,l}和j＝{0,1,2,3}，计算相应的内积

步骤(2.3)、随机选择{r_i,0}_i∈[l],{r_i,1}_i∈[l]，{r_i,2}_i∈[l],{r_i,3}_i∈[l]∈Z_p，从而输出ID在 (M,ρ)下的私钥：

$sk=(D_{1,0},D_{1,1},D_{1,2},D_{1,3},D_{2,0},D_{2,1},D_{2,2},D_{2,3},D_3,K_X^{\left(1\right)},K_X^{\left(2\right)}),$

其中$D_{1,0}=\{D_{1,0}^{\left(1\right)},...,D_{1,0}^{\left(l\right)}\}\in G_1^l,D_{1,0}^{\left(i\right)}=g^{{\lambda }_{i,0}}{T}_0{\left(\rho \right(i\left)\right)}^{r_{i,0}},D_{2,0}=\{g^{r_{1,0}},...,g^{r_{l,0}}\}\in G_1^l$

$D_{1,1}=\{D_{1,1}^{\left(1\right)},...,D_{1,1}^{\left(l\right)}\}\in G_1^l,D_{1,1}^{\left(i\right)}=g^{{\lambda }_{i,1}}{T}_1{\left(\rho \right(i\left)\right)}^{r_{i,1}},D_{2,1}=\{g^{r_{1,1}},...,g^{r_{l,1}}\}\in G_1^l$

$D_{1,2}=\{D_{1,2}^{\left(1\right)},...,D_{1,2}^{\left(l\right)}\}\in G_1^l,D_{1,2}^{\left(i\right)}=g^{{\lambda }_{i,2}}{T}_2{\left(\rho \right(i\left)\right)}^{r_{i,2}},D_{2,2}=\{g^{r_{1,2}},...,g^{r_{l,2}}\}\in G_1^l$

$D_{1,3}=\{D_{1,3}^{\left(1\right)},...,D_{1,3}^{\left(l\right)}\}\in G_1^l,D_{1,3}^{\left(i\right)}=g^{{\lambda }_{i,3}}{T}_3{\left(\rho \right(i\left)\right)}^{r_{i,3}},D_{2,3}=\{g^{r_{1,3}},...,g^{r_{l,3}}\}\in G_1^l$

D₃＝g^r，

$K_X^{\left(1\right)}=(K_2^{\left(1\right)},...,K_n^{\left(1\right)}),$其中$K_k^{\left(1\right)}={(h_1^{-\frac{x_k}{x_1}}·h_k)}^r,k=2,\mathrm{...},n,$

$K_X^{\left(2\right)}=(K_2^{\left(2\right)},...,K_n^{\left(2\right)}),$其中$K_k^{\left(2\right)}={({f_1}^{-\frac{x_k}{x_1}}·f_k)}^r,k=2,\mathrm{...},n,$

将借助矩阵M_X记为$K_X^{\left(1\right)}=(K_2^{\left(1\right)},...,K_n^{\left(1\right)})=g^{r·M_X^T·\overrightarrow{\alpha }},$$K_X^{\left(2\right)}=(K_2^{\left(2\right)},...,K_n^{\left(2\right)})=g^{r·M_X^T·\overrightarrow{\beta }},$其中矩阵M_X∈(Z_p)^n×(n-1)的具体结构是：

$M_X=\left(\begin{array}{c}-\frac{x_2}{x_1}-\frac{x_3}{x_1}\mathrm{...}-\frac{x_n}{x_1}\\ I_{n-1}\end{array}\right).$

步骤3的过程为针对属性i的用户撤销列表R_i(|R_i|<n)和属性j的用户撤 销列表R_j(|R_j|<n)，其中i,j∈ω，在属性集ω下对消息进行加密，具体按照 以下步骤实施：

步骤(3.1)、根据撤销列表R_i内的撤销用户集定义Y_i＝(y_i,1,…,y_i,n)^T作为 式的系数向量；

步骤(3.2)、根据撤销列表R_j内的撤销用户定义Y_j＝(y_j,1,…,y_j,n)^T，并将 Y_j＝(y_j,1,…,y_j,n)^T作为式的系数向量；

步骤(3.3)、选取随机值s∈Z_p，在属性集ω下，针对包含i属性的用户 撤销列表R_i和包含j属性的用户撤销列表R_j构造密文：

$ct=(C,C_1,C_{2,0},C_{2,1},C_{2,2}{C}_{2,3},C_3^{\left(1\right)},C_3^{\left(2\right)}),$

其中：

C₁＝g^s，

$C_{2,0}=\left\{C_{2,0}^{\left(x\right)}\right|C_{2,0}^{\left(x\right)}=T_0{\left(x\right)}^s,\forall x\in \omega \},$

$C_{2,1}=\left\{C_{2,1}^{\left(x\right)}\right|C_{2,1}^{\left(x\right)}=T_1{\left(x\right)}^s,\forall x\in \omega -\left\{j\right\}\}$

$C_{2,2}=\left\{C_{2,2}^{\left(x\right)}\right|C_{2,2}^{\left(x\right)}=T_2{\left(x\right)}^s,\forall x\in \omega -\left\{i\right\}\},$

$C_{2,3}=\left\{C_{2,3}^{\left(x\right)}\right|C_{2,3}^{\left(x\right)}=T_3{\left(x\right)}^s,\forall x\in \omega -\left\{j\right\}-\left\{i\right\}\}$

$C_3^{\left(1\right)}\underset{k=1}{\overset{n}{\Pi }}{h}_k^{s·y_{i,k}},$

$C_3^{\left(2\right)}=\underset{k=1}{\overset{n}{\Pi }}{f}_k^{s·y_{j,k}}.$

步骤4的过程为设用户ID在访问结构(M,ρ)下形成的私钥sk，以及在属 性集ω下加密的密文ct和用户的撤销列表R_i和R_j，需要判定ID是否在撤销列 表R_i和R_j中，具体按照以下步骤实施：

步骤(4.1)、如果则令ω′＝ω；

如果则ω′＝ω-{j}；

如果则ω′＝ω-{i}；

如果ID∈R_i∧ID∈R_j，则ω′＝ω-{i}-{j}；

步骤(4.2)、当且仅当属性集ω′满足用户的私钥中的访问结构(M,ρ)时， 用户才能成功解密，结合$sk=(D_{1,0},D_{1,1},D_{1,2},D_{1,3},D_{2,0},D_{2,1},D_{2,2},D_{2,3},D_3,K_X^{\left(1\right)},K_X^{\left(2\right)}),$进 行具体解密，过程如下：

如果首先根据ID定义X＝(1,ID,…,ID^n-1)^T＝(x₁,…,x_n)^T，根 据撤销列表R_i定义Y_i＝(y_i,1,…,y_i,n)^T作为式的系数向量，以及撤销列表R_j定义Y_j＝(y_j,1,…,y_j,n)^T作为式的系数向量，计算：

$K^{\left(1\right)}=\underset{k=2}{\overset{n}{\Pi }}{\left(K_k^{\left(1\right)}\right)}^{y_{i,k}}={(h_1^{-\frac{<X,Y_i>}{x_1}}·\underset{k=1}{\overset{n}{\Pi }}{h}_k^{y_{i,k}})}^r$

$K^{\left(2\right)}=\underset{k=2}{\overset{n}{\Pi }}{\left(K_k^{\left(2\right)}\right)}^{y_{j,k}}={(f_1^{-\frac{<X,Y_j>}{x_1}}·\underset{k=1}{\overset{n}{\Pi }}{f}_k^{y_{j,k}})}^r$

当<X,Y_i>≠0和<X,Y_j>≠0时，即有：

${\tau }_0={\left(\frac{e(K^{\left(1\right)},C_1)}{e(C_3^{\left(1\right)},D_3)}\right)}^{-\frac{x_1}{<X,Y_i>}}·{\left(\frac{e(K^{\left(2\right)},C_1)}{e(C_3^{\left(2\right)},D_3)}\right)}^{-\frac{x_1}{<X,Y_j>}}=e{(g,g)}^{rs({\alpha }_1+{\beta }_1)},$

令I＝{i:ρ(i)∈ω′}，则根据已知的矩阵M，在概率多项式时间内找出常数 集{μ_i∈Z_p}_i∈I，满足Σ_i∈Iμ_i·M_i＝(1,0，…，0)，计算：

${\phi }_0=\underset{i\in I}{\Pi }{\left(\frac{e(C_1,D_{1,0}^{\left(i\right)})}{e(C_{2,0}^{\rho \left(i\right)},D_{2,0}^{\left(i\right)})}\right)}^{{\mu }_i}=e{(g,g)}^{s·(\alpha +{\mathrm{r\alpha }}_1+{\mathrm{r\beta }}_1)},$

结合τ₀的值，计算已知利用除法运算，能够成 功解密出消息

如果计算：

${\tau }_1={\left(\frac{e(K^{\left(1\right)},C_1)}{e(C_3^{\left(1\right)},D_3)}\right)}^{-\frac{x_1}{<X,Y_i>}}=e{(g,g)}^{{\mathrm{rs\alpha }}_1}$

令I＝{i:ρ(i)∈ω′}，存在常数集{μ_i∈Z_p}_i∈I，满足Σ_i∈Iμ_i·M_i＝(1,0，…，0)， 从而计算：

${\phi }_1=\underset{i\in I}{\Pi }{\left(\frac{e(C_1,D_{1,1}^{\left(i\right)})}{e(C_{2,1}^{\rho \left(i\right)},D_{2,1}^{\left(i\right)})}\right)}^{{\mu }_i}=e{(g,g)}^{s·(\alpha +{\mathrm{r\alpha }}_1)}$

得到结合C，可以成功解密出

如果有：

${\tau }_2={\left(\frac{e(K^{\left(2\right)},C_1)}{e(C_3^{\left(2\right)},D_3)}\right)}^{-\frac{x_1}{<X,Y_j>}}=e{(g,g)}^{{\mathrm{rs\beta }}_1}$

令I＝{i:ρ(i)∈ω′}，存在常数集{μ_i∈Z_p}_i∈I，满足Σ_i∈Iμ_i·M_i＝(1,0，…，0)， 从而计算：

${\phi }_2=\underset{i\in I}{\Pi }{\left(\frac{e(C_1,D_{1,2}^{\left(i\right)})}{e(C_{2,2}^{\rho \left(i\right)},D_{2,2}^{\left(i\right)})}\right)}^{{\mu }_i}=e{(g,g)}^{s·(\alpha +{\mathrm{r\beta }}_1)}$

得到结合C，可以成功解密出

如果ID∈R_i∧ID∈R_j，令I＝{i:ρ(i)∈ω′}，存在常数集{μ_i∈Z_p}_i∈I，满足 Σ_i∈Iμ_i·M_i＝(1,0，…，0)，从而计算：

${\phi }_3=\underset{i\in I}{\Pi }{\left(\frac{e(C_1,D_{1,3}^{\left(i\right)})}{e(C_{2,2}^{\rho \left(i\right)},D_{2,3}^{\left(i\right)})}\right)}^{{\mu }_i}=e{(g,g)}^{s·\alpha }$

结合C，通过成功解密出

步骤5具体为：

令$sk=(D_{1,0},D_{1,1},D_{1,2},D_{1,3},D_{2,0},D_{2,1},D_{2,2},D_{2,3},D_3,K_X^{\left(1\right)},K_X^{\left(2\right)})$是一个有效的解密密 钥，则追踪计算：

${\psi }_1=\frac{e(g,K_2^{\left(1\right)})}{e(h_2,D_3)}=e{(g,h_1)}^{-r·ID}$

${\psi }_2=\frac{e(g,K_2^{\left(2\right)})}{e(f_2,D_3)}=e{(g,f_1)}^{-r·ID}$

该追踪是用于判定是否存在一个用户ID∈U＝{ID₁,…,ID_k}，使得 其中i＝{1,2}，若存在这样的用户，则说明该用户与私钥是相关的， 反之，则该用户与私钥无关，从而获取了方案中的用户责任。

本发明的有益效果是，可撤销两个属性的密钥策略的属性加密方法，撤 销用户的某一属性并不会影响该用户的其他属性以及拥有该属性的其他用 户；同时针对两个属性的撤销过程更符合实际需求；采用追踪算法判定了解 密过程中用户与用户私钥的关联性；最后将攻击方案的安全性规约到DBDHE 问题上，保证了方法的安全性。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

本发明可撤销两个属性的密钥策略的属性加密方法，具体按照以下步骤 实施：

步骤1、系统参数初始化：

过程为设针对两个属性i和属性j构建撤销列表R_i和R_j，撤销列表R_i表示 撤销属性i的所有用户，记为撤销列表R_j表示撤销了属性j 的用户，记为其中允许q≠q′即每个撤销列表中的撤销用 户数目不等，用户在任意一个撤销列表中，或者同时存在于两个撤销列表中， 即允许用户同时撤销了属性i和属性j，令U表示系统中所有用户集，设系统 中属性个数是m，用户在加密时的属性集撤销列表中用户的最 大个数是n，消息为访问策略通过线性秘密共享技术LSSS转换为访问 策略(M,ρ)，具体按照以下步骤实施：

步骤(1.1)、令G₁和G₂是阶为素数p的群，其中g是G₁的生成元，定义 双线性映射e:G₁×G₁→G₂；

步骤(1.2)、随机选择α∈Z_p，这里Z_p＝{0,1，…，p-1}， $\overrightarrow{\alpha }={({\alpha }_1,{\alpha }_2,...,{\alpha }_n)}^T,\overrightarrow{\beta }={({\beta }_1,{\beta }_2,...,{\beta }_n)}^T\in Z_p^n,$令$\overrightarrow{H}=g^{\overrightarrow{\alpha }}={(g^{{\alpha }_1},g^{{\alpha }_2},\mathrm{...},g^{{\alpha }_n})}^T={(h_1,...,h_n)}^T,$$\overrightarrow{F}=g^{\overrightarrow{\beta }}={(f_1,...,f_n)}^T={(g^{{\beta }_1},g^{{\beta }_2},...,g^{{\beta }_n})}^T,$然后随机选取 {t_0,i∈G₁,t_1,i∈G₁,t_2,i∈G₁,t_3,i∈G₁|_{i＝0,1,…,m}}，并定义四个函数其中 k＝{0,1,2,3}，有$T_k\left(x\right)={\Pi }_{i=0}^m{t}_{k,i}^{x^i}\in G_1;$

步骤(1.3)、构造主私钥以及相应的公共参数

$\overrightarrow{H}={(h_1,...,h_n)}^T,\overrightarrow{F}={(f_1,...,f_n)}^T\}$

步骤2、密钥生成：

将访问策略通过LSSS转换为访问结构(M,ρ)，生成用户ID在访问结构 (M,ρ)下的私钥，具体按照以下步骤实施：

步骤(2.1)、将访问策略通过LSSS转换为访问结构(M,ρ)，矩阵M是一 个l×k的矩阵，M_i是矩阵M相应的第i行，映射ρ将M_i映射到属性ρ(i)∈[1,m]，

步骤(2.2)、首先根据输入的身份ID∈Z_p定义向量X＝(x₁,…,x_n)^T满足： x_i＝ID^i-1modp，i＝{1,…,n}，随机选取 {z_i,0}_{i∈{2,…,k}},{z_i,1}_{i∈{2,…,k}},{z_i,2}_{i∈{2,…,k}},{z_i,3}_{i∈{2,…,k}}∈Z_p和r∈Z_p，定义向量 ${\overrightarrow{v}}_0={(\alpha +{\mathrm{r\alpha }}_1+{\mathrm{r\beta }}_1,z_{2,0},...,z_{k,0})}^T,$向量${\overrightarrow{v}}_1={(\alpha +{\mathrm{r\alpha }}_1,z_{2,1},...,z_{k,1})}^T,$以及向量 ${\overrightarrow{v}}_2={(\alpha +{\mathrm{r\beta }}_1,z_{2,2},...,z_{k,2})}^T$和向量${\overrightarrow{v}}_3={(\alpha ,z_{2,3},...,z_{k,3})}^T,$这里k是矩阵M的列数，对 于任意i∈{1,…,l}和j＝{0,1,2,3}，计算相应的内积

步骤(2.3)、随机选择{r_i,0}_i∈[l],{r_i,1}_i∈[l]，{r_i,2}_i∈[l],{r_i,3}_i∈[l]∈Z_p，从而输出ID在 (M,ρ)下的私钥：

$sk=(D_{1,0},D_{1,1},D_{1,2},D_{1,3},D_{2,0},D_{2,1},D_{2,2},D_{2,3},D_3,K_X^{\left(1\right)},K_X^{\left(2\right)}),$

其中$D_{1,0}=\{D_{1,0}^{\left(1\right)},...,D_{1,0}^{\left(l\right)}\}\in G_1^l,D_{1,0}^{\left(i\right)}=g^{{\lambda }_{i,0}}{T}_0{\left(\rho \right(i\left)\right)}^{r_{i,0}},D_{2,0}=\{g^{r_{1,0}},...,g^{r_{l,0}}\}\in G_1^l$

$D_{1,1}=\{D_{1,1}^{\left(1\right)},...,D_{1,1}^{\left(l\right)}\}\in G_1^l,D_{1,1}^{\left(i\right)}=g^{{\lambda }_{i,1}}{T}_1{\left(\rho \right(i\left)\right)}^{r_{i,1}},D_{2,1}=\{g^{r_{1,1}},...,g^{r_{l,1}}\}\in G_1^l$

$D_{1,2}=\{D_{1,2}^{\left(1\right)},...,D_{1,2}^{\left(l\right)}\}\in G_1^l,D_{1,2}^{\left(i\right)}=g^{{\lambda }_{i,2}}{T}_2{\left(\rho \right(i\left)\right)}^{r_{i,2}},D_{2,2}=\{g^{r_{1,2}},...,g^{r_{l,2}}\}\in G_1^l$

$D_{1,3}=\{D_{1,3}^{\left(1\right)},...,D_{1,3}^{\left(l\right)}\}\in G_1^l,D_{1,3}^{\left(i\right)}=g^{{\lambda }_{i,3}}{T}_3{\left(\rho \right(i\left)\right)}^{r_{i,3}},D_{2,3}=\{g^{r_{1,3}},...,g^{r_{l,3}}\}\in G_1^l$

D₃＝g^r，

$K_X^{\left(1\right)}=(K_2^{\left(1\right)},...,K_n^{\left(1\right)}),$其中$K_k^{\left(1\right)}={(h_1^{-\frac{x_k}{x_1}}·h_k)}^r,k=2,...,n,$

$K_X^{\left(2\right)}=(K_2^{\left(2\right)},...,K_n^{\left(2\right)}),$其中$K_k^{\left(2\right)}={(f_1^{-\frac{x_k}{x_1}}·f_k)}^r,k=2,...,n,$

将借助矩阵M_X可以记为$K_X^{\left(1\right)}=(K_2^{\left(1\right)},...,K_n^{\left(1\right)})=g^{r·M_X^T·\overrightarrow{\alpha }},$其中矩阵M_X∈(Z_p)^n×(n-1)的具体结构是：

$M_X=\left(\begin{array}{c}-\frac{x_2}{x_1}-\frac{x_3}{x_1}\mathrm{...}-x\frac{x_n}{x_1}\\ I_{n-1}\end{array}\right).$

步骤3、加密：

过程为针对属性i的用户撤销列表R_i(|R_i|<n)和属性j的用户撤销列表 R_j(|R_j|<n)，其中i,j∈ω，在属性集ω下对消息进行加密，具体按照以下步 骤实施：

步骤(3.1)、根据撤销列表R_i内的撤销用户集定义Y_i＝(y_i,1,…,y_i,n)^T作为 式的系数向量；

步骤(3.2)、根据撤销列表R_j内的撤销用户定义Y_j＝(y_j,1,…,y_j,n)^T，并将 Y_j＝(y_j,1,…,y_j,n)^T作为式的系数向量；

步骤(3.3)、选取随机值s∈Z_p，在属性集ω下，针对包含i属性的用户 撤销列表R_i和包含j属性的用户撤销列表R_j构造密文：

$ct=(C,C_1,C_{2,0},C_{2,1},C_{2,2},C_{2,3},C_3^{\left(1\right)},C_3^{\left(2\right)}),$

其中：

C₁＝g^s，

$C_{2,0}=\left\{C_{2,0}^{\left(x\right)}\right|C_{2,0}^{\left(x\right)}=T_0{\left(x\right)}^s,\forall x\in \omega \},$

$C_{2,1}=\left\{C_{2,1}^{\left(x\right)}\right|C_{2,1}^{\left(x\right)}=T_1{\left(x\right)}^s,\forall x\in \omega -\left\{j\right\}\}$

$C_{2,2}=\left\{C_{2,2}^{\left(x\right)}\right|C_{2,2}^{\left(x\right)}=T_2{\left(x\right)}^s,\forall x\in \omega -\left\{i\right\}\},$

$C_{2,3}=\left\{C_{2,3}^{\left(x\right)}\right|C_{2,3}^{\left(x\right)}=T_3{\left(x\right)}^s,\forall x\in \omega -\left\{j\right\}-\left\{i\right\}\}$

$C_3^{\left(1\right)}=\underset{k=1}{\overset{n}{\Pi }}{h}_k^{s·y_{i,k}},$

$C_3^{\left(2\right)}=\underset{k=1}{\overset{n}{\Pi }}{f}_k^{s·y_{j,k}};$

步骤4、解密：

过程为设用户ID在访问结构(M,ρ)下形成的私钥sk，以及在属性集ω下 加密的密文ct和用户的撤销列表R_i和R_j，需要判定ID是否在撤销列表R_i和R_j中，具体按照以下步骤实施：

步骤(4.1)、如果则令ω′＝ω；

如果则ω′＝ω-{j}；

如果则ω′＝ω-{i}；

如果ID∈R_i∧ID∈R_j，则ω′＝ω-{i}-{j}；

步骤(4.2)、当且仅当属性集ω′满足用户的私钥中的访问结构(M,ρ)时， 用户才能成功解密，结合$sk=(D_{1,0},D_{1,1},D_{1,2},D_{1,3},D_{2,0},D_{2,1},D_{2,2},D_{2,3},D_3,K_X^{\left(1\right)},K_X^{\left(2\right)}),$进 行具体解密，过程如下：

如果首先根据ID定义X＝(1,ID,…,ID^n-1)^T＝(x₁,…,x_n)^T，根 据撤销列表R_i定义Y_i＝(y_i,1,…,y_i,n)^T作为式的系数向量，以及撤销列表R_j定义Y_j＝(y_j,1,…,y_j,n)^T作为式的系数向量，计算：

$K^{\left(1\right)}=\underset{k=2}{\overset{n}{\Pi }}{\left(K_k^{\left(1\right)}\right)}^{y_{i,k}}={(h_1^{-\frac{<X,Y_i>}{x_1}}·\underset{k=1}{\overset{n}{\Pi }}{h}_k^{y_{i,k}})}^r$

$K^{\left(2\right)}=\underset{k=2}{\overset{n}{\Pi }}{\left(K_k^{\left(2\right)}\right)}^{y_{j,k}}={(f_1^{-\frac{<X,Y_j>}{x_1}}·\underset{k=1}{\overset{n}{\Pi }}{f}_k^{y_{j,k}})}^r$

当<X,Y_i>≠0和<X,Y_j>≠0时，即有：

${\tau }_0={\left(\frac{e(K^{\left(1\right)},C_1)}{e(C_3^{\left(1\right)},D_3)}\right)}^{-\frac{x_1}{<X,Y_i>}}·{\left(\frac{e(K^{\left(2\right)},C_1)}{e(C_3^{\left(2\right)},D_3)}\right)}^{-\frac{x_1}{<X,Y_j>}}=e{(g,g)}^{rs({\alpha }_1+{\beta }_1)},$

令I＝{i:ρ(i)∈ω′}，则根据已知的矩阵M，在概率多项式时间内找出常数 集{μ_i∈Z_p}_i∈I，满足Σ_i∈Iμ_i·M_i＝(1,0，…，0)，计算：

${\phi }_0=\underset{i\in I}{\Pi }{\left(\frac{e(C_1,D_{1,0}^{\left(i\right)})}{e(C_{2,0}^{\rho \left(i\right)},D_{2,0}^{\left(i\right)})}\right)}^{{\mu }_i}=e{(g,g)}^{s·(\alpha +{\mathrm{r\alpha }}_1+{\mathrm{r\beta }}_1)},$

结合τ₀的值，计算已知利用除法运算，能够成 功解密出消息

如果计算：

${\tau }_1=\left({\frac{e(K^{\left(1\right)},C_1)}{e(C_3^{\left(1\right)},D_3)}}^{-\frac{x_1}{<X,Y_i>}}\right)=e{(g,g)}^{{\mathrm{rs\alpha }}_1}$

令I＝{i:ρ(i)∈ω′}，存在常数集{μ_i∈Z_p}_i∈I，满足Σ_i∈Iμ_i·M_i＝(1,0，…，0)， 从而计算：

${\phi }_1=\underset{i\in I}{\Pi }{\left(\frac{e(C_1,D_{1,1}^{\left(i\right)})}{e(C_{2,1}^{\rho \left(i\right)},D_{2,1}^{\left(i\right)})}\right)}^{{\mu }_i}=e{(g,g)}^{s·(\alpha +{\mathrm{r\alpha }}_1)}$

得到结合C，可以成功解密出

如果有：

${\tau }_2={\left(\frac{e(K^{\left(2\right)},C_1)}{e(C_3^{\left(2\right)},D_3)}\right)}^{-\frac{x_1}{<X,Y_j>}}=e{(g,g)}^{{\mathrm{rs\beta }}_1}$

令I＝{i:ρ(i)∈ω′}，存在常数集{μ_i∈Z_p}_i∈I，满足Σ_i∈Iμ_i·M_i＝(1,0，…，0)， 从而计算：

${\phi }_2=\underset{i\in I}{\Pi }{\left(\frac{e(C_1,D_{1,2}^{\left(i\right)})}{e(C_{2,2}^{\rho \left(i\right)},D_{2,2}^{\left(i\right)})}\right)}^{{\mu }_i}=e{(g,g)}^{s·(\alpha +{\mathrm{r\beta }}_1)}$

得到结合C，可以成功解密出

如果ID∈R_i∧ID∈R_j，令I＝{i:ρ(i)∈ω′}，存在常数集{μ_i∈Z_p}_i∈I，满足 Σ_i∈Iμ_i·M_i＝(1,0，…，0)，从而计算：

${\phi }_3=\underset{i\in I}{\Pi }{\left(\frac{e(C_1,D_{1,3}^{\left(i\right)})}{e(C_{2,2}^{\rho \left(i\right)},D_{2,3}^{\left(i\right)})}\right)}^{{\mu }_i}=e{(g,g)}^{s·\alpha }$

结合C，通过成功解密出

步骤5、追踪：具体为，

令$sk=(D_{1,0},D_{1,1},D_{1,2},D_{1,3},D_{2,0},D_{2,1},D_{2,2},D_{2,3},D_3,K_X^{\left(1\right)},K_X^{\left(2\right)})$是一个有效的解密密 钥，则追踪计算：

${\psi }_1=\frac{e(g,K_2^{\left(1\right)})}{e(h_2,D_3)}=e{(g,h_1)}^{-r·ID}$

${\psi }_2=\frac{e(g,K_2^{\left(2\right)})}{e(f_2,D_3)}=e{(g,f_1)}^{-r·ID}$

该追踪是用于判定是否存在一个用户ID∈U＝{ID₁,…,ID_k}，使得 其中i＝{1,2}，若存在这样的用户，则说明该用户与私钥是相关的， 反之，则该用户与私钥无关，从而获取了方案中的用户责任。

下面证明本发明的安全性：

证明：若所有数据都是按照本发明方法中描述生成的，则计算密钥生成 过程、解密过程以及追踪过程中的局部参数：

(1)由撤销列表R_i对应的Y_i＝(y_i,1,…,y_i,n)^T和R_j的Y_j＝(y_j,1,…,y_j,n)^T得到K⁽¹⁾和K⁽²⁾，计算如下：

第一步，计算得到化简后的K_X：

$K_k^{\left(1\right)}={(h_1^{-\frac{x_k}{x_1}}·h_k)}^r$

$={(g^{-\frac{x_k}{x_1}·{\alpha }_1}·g^{{\alpha }_k})}^r$

$=g^{r·(-\frac{x_k}{x_1}·{\alpha }_1+{\alpha }_k)}$

$M_X=\left(\begin{array}{c}-\frac{x_2}{x_1}-\frac{x_3}{x_1}\mathrm{...}-\frac{x_n}{x_1}\\ I_{n-1}\end{array}\right)$

$\left(\begin{array}{cc}\begin{array}{c}-\frac{x_2}{x_1}\\ -\frac{x_3}{x_1}\\ .\\ .\\ .\\ -\frac{x_n}{x_1}\end{array}& I_{n-1}\end{array}\right)·\left(\begin{array}{c}{\alpha }_1\\ {\alpha }_2\\ .\\ .\\ .\\ {\alpha }_n\end{array}\right)=\left(\begin{array}{c}-\frac{x_2}{x_1}·{\alpha }_1+{\alpha }_2\\ -\frac{x_3}{x_1}·{\alpha }_1+{\alpha }_3\\ .\\ .\\ .\\ -\frac{x_n}{x_1}·{\alpha }_1+{\alpha }_n\end{array}\right)=M_X^T·\overrightarrow{\alpha }$

$K_X=\{K_2,\mathrm{...},K_n\}=g^{r·M_X^T·\overrightarrow{\alpha }}$

第二步，根据化简后K_X的表达式，计算K⁽¹⁾：

$K^{\left(1\right)}=\underset{k=2}{\overset{n}{\Pi }}{K}_k^{y_{i,k}}$

$=\underset{k=2}{\overset{n}{\Pi }}{(h_1^{-\frac{x_k}{x1}}·h_k)}^{r·y_{i,k}}$

$={(h_1^{-(\frac{x_2·y_{i,2}}{x1}+\mathrm{...}+\frac{x_n·y_{i,n}}{x1})}·\underset{k=2}{\overset{n}{\Pi }}{h_k}^{y_{i,k}})}^r$

$={(h_1^{-(\frac{x_2{y}_{i,2}}{x1}+\mathrm{...}+\frac{x_n{y}_{i,n}}{x1})}·\underset{k=1}{\overset{n}{\Pi }}{h_k}^{y_{i,k}}·h_1^{-y_{i,1}})}^r$

$={(h_1^{-(\frac{x_1{y}_{i,2}}{x1}+\mathrm{...}+\frac{x_n{y}_{i,n}}{x1})}·\underset{k=1}{\overset{n}{\Pi }}{h_k}^{y_{i,k}}·h_1^{-\frac{y_{i,1}·x_1}{x_1}})}^r$

$={(h_1^{-(\frac{x_1{y}_{i,1}}{x1}+\mathrm{...}+\frac{x_n{y}_{i,n}}{x1})}·\underset{k=1}{\overset{n}{\Pi }}{h_k}^{y_{i,k}})}^r$

$={(h_1^{-\frac{<X,Y_i>}{x_1}}·\underset{k=1}{\overset{n}{\Pi }}{h}_k^{y_{i,k}})}^r$

同理可得，$K^{\left(2\right)}=\underset{k=2}{\overset{n}{\Pi }}{\left(K_k^{\left(2\right)}\right)}^{y_{j,k}}={(f_1^{-\frac{<X,Y_j>}{x_1}}·\underset{k=1}{\overset{n}{\Pi }}{f}_k^{y_{j,k}})}^r.$

(2)当时，τ₀和φ₀的计算：

${\tau }_0={\left(\frac{e(K^{\left(1\right)},C_1)}{e(C_3^{\left(1\right)},D_3)}\right)}^{-\frac{x_1}{<X,Y_i>}}·{\left(\frac{e(K^{\left(2\right)},C_1)}{e(C_3^{\left(2\right)},D_3)}\right)}^{-\frac{x_1}{<X,Y_j>}}$

$={\left(\frac{e({\left(h_1^{-\frac{<X,Y_i>}{x_1}}·\underset{k=1}{\overset{n}{\Pi }}{h}_k^{y_{i,k}}\right)}^r,g^s)}{e({\left(\underset{k=1}{\overset{n}{\Pi }}{h}_k^{y_{i,k}}\right)}^s,g^r)}\right)}^{-\frac{x_1}{<X,Y_i>}}·{\left(\frac{e({\left(f_1^{-\frac{<X,Y_j>}{x_1}}·\underset{k=1}{\overset{n}{\Pi }}{f}_k^{y_{j,k}}\right)}^r,g^s)}{e({\left(\underset{k=1}{\overset{n}{\Pi }}{f}_k^{y_{j,k}}\right)}^s,g^s)}\right)}^{-\frac{x_1}{<X,Y_j>}}$

$={\left(\frac{e\left(\right(h_1^{-\frac{<X,Y_i>}{x_1}}),g)·e\left(\right(·\underset{k=1}{\overset{n}{\Pi }}{h}_k^{y_{i,k}}),g)}{e\left(\underset{k=1}{\overset{n}{\Pi }}{h}_k^{y_{i,k}},g\right)}\right)}^{-\frac{x_1}{<X,Y_i>}·r·s}·{\left(\frac{e\left(\right(f_1^{-\frac{<X,Y_j>}{x_1}}),g)·e\left(\right(·\underset{k=1}{\overset{n}{\Pi }}{f}_k^{y_{j,k}}),g)}{e\left(\underset{k=1}{\overset{n}{\Pi }}{f}_k^{y_{j,k}},g\right)}\right)}^{-\frac{x_1}{<X,Y_j>}·r·s}$

$={\left(e\right(\left(h_1^{-\frac{<X,Y_i>}{x_1}}\right),g\left)\right)}^{-\frac{x_1}{<X,Y_i>}·r·s}·{\left(e\right(\left(f_1^{-\frac{<X,Y_j>}{x_1}}\right),g\left)\right)}^{-\frac{x_1}{<X,Y_j>}·r·s}$

$={\left(e\right(\left(g^{-\frac{<X,Y_i>}{x_1}·{\alpha }_1}\right),g\left)\right)}^{-\frac{x_1}{<X,Y_i>}·r·s}·{\left(e\right(\left(g^{-\frac{<X,Y_j>}{x_1}·{\beta }_1}\right),g\left)\right)}^{-\frac{x_1}{<X,Y_j>}·r·s}$

$=e{(g,g)}^{{\mathrm{rs\alpha }}_1+{\mathrm{rs\beta }}_1}$

${\phi }_0=\underset{i\in I}{\Pi }{\left(\frac{e(C_1,D_{1,0}^{\left(i\right)})}{e(C_{2,0}^{\rho \left(i\right)},D_{2,0}^{\left(i\right)})}\right)}^{{\mu }_i}=e{(g,g)}^{s·(\alpha +{\mathrm{r\alpha }}_1+{\mathrm{r\beta }}_1)}$

$\phi =\underset{i\in I}{\Pi }{\left(\frac{e(C_1,D_{1,0}^{\left(i\right)})}{e(C_{2,0}^{\rho \left(i\right)},D_{2,0}^{\left(i\right)})}\right)}^{{\mu }_i}$

$=\underset{i\in I}{\Pi }{\left(\frac{e(g^s.g^{{\lambda }_{i,0}}{T}_0{\left(\rho \left(i\right)\right)}^{r_{i,0}})}{e(T_0{\left(\rho \left(i\right)\right)}^s,g^{r_{i,0}})}\right)}^{{\mu }_i}$

$=\underset{i\in I}{\Pi }{\left(\frac{e(g^s,g^{{\lambda }_{i,0}})·e(g^s,T_0{\left(\rho \left(i\right)\right)}^{r_{i,0}})}{e(T_0{\left(\rho \left(i\right)\right)}^s,g^{r_{i,0}})}\right)}^{{\mu }_i}$

$=\underset{i\in I}{\Pi }{\left(e\right(g^s,g^{{\lambda }_{i,0}}\left)\right)}^{{\mu }_i}$

$=\underset{i\in I}{\Pi }e{(g,g)}^{s·{\lambda }_{i,0}·{\mu }_i}$

$=e{(g,g)}^{s·({\Sigma }_{i\in I}{\lambda }_{i,0}·{\mu }_i)}$

$=e{(g,g)}^{s·(\alpha +{\mathrm{r\alpha }}_1+{\mathrm{r\beta }}_1)}$

从而得到$\frac{{\phi }_0}{{\tau }_0}=e{(g,g)}^{s·\alpha },$已知可以解密出消息同理，可以解密出不同情况下的消息。

(3)追踪算法中参数的计算：

${\psi }_1=\frac{e(g,K_2^{\left(1\right)})}{e(h_2,D_3)}$

$=\frac{e(g,g^{r·(-\frac{x_2}{x_1}·{\alpha }_1+{\alpha }_1)})}{e(g^{{\alpha }_2},g^r)}$

$=\frac{e(g,g^{r·(-\frac{x_1}{x_2}·{\alpha }_1)})·e(g,g^{r·{\alpha }_2})}{e(g^{{\alpha }_2},g^r)}$

$=e(g,g^{-r·{\alpha }_1·ID})$

$=e{(g,h_1)}^{-r·ID}$

同理可以计算出：

${\psi }_2=\frac{e(g,K_2^{\left(2\right)})}{e(f_2,D_3)}=e{(g,f_1)}^{-r·ID}$

对本发明的总结：本发明可撤销两个属性的密钥策略的属性加密方法， 是可撤销属性加密方法的一个重要进展，具体方法是，选择多用户下的两个 不同属性，建立撤销列表，考虑密钥生成过程中的用户是否在两个撤销列表 中，若存在判断用户余下的属性与访问结构的关系，只有当密文的属性集满 足用户的密钥策略，用户才能完成解密过程，设计过程需要：1)由权威中心 建立主密钥和公共参数2)利用线性秘密共享算法将访问策略转为访问结构， 生成相应访问结构下的用户私钥。3)根据属性集和已知的两个撤销列表，对 消息进行加密。4)判断用户是否在两个撤销列表中，分情况讨论，完成解密 过程。5)结合已知私钥和用户，建立追踪算法，判定用户与私钥的关联性。