CN107359986A - 可撤销用户的外包加解密cp‑abe方法 - Google Patents

Abstract

本发明公开了一种可撤销用户的外包加解密CP‑ABE方法，涉及移动云环境下的数据加解密技术领域，该方法在现有外包属性基加密的基础上进一步实现外包加密运算，减轻本地客户端加密的计算费用。本发明不仅实现文件在云服务器上的细粒度的访问控制，而且简洁了用户的密钥管理操作，实现对非法用户的访问权限撤销。当有用户被撤销时，合法用户无需更新密钥，减轻授权机构的负担。本地用户只需简单的异或操作更新密文即可。安全性证明表明，本发明提出的方法在一般双线性群模型下具有非自适应选择明文安全。性能分析表明，本发明更有效地降低了移动设备的加密计算费用而且能高效的实现非法用户撤销，有效地实现对用户的访问权限控制。

Description

可撤销用户的外包加解密CP-ABE方法

技术领域

本发明涉及属性基外包加解密机制相关技术领域，具体涉及一种移动云环境下可撤销用户的外包加解密CP-ABE方法。

背景技术

随着移动云计算技术的不断发展，一种新兴的数据共享模式引起了人们极大的关注。移动云计算的特点是其终端设备是可移动的轻便设备，其存储空间和计算能量都是有限的。所以通过网络载体将本地数据发送到云服务器上实现数据的存储和共享，云服务供应商所提供的在线存储空间，具有低成本、易使用和高扩展性的优势，满足了海量数据存储的需求，并提供数据共享服务，成为了信息存储发展的重点领域。

然而，移动云计算带给人们极大便利的同时，也带来了新的安全问题和挑战。由于在云计算环境下，云服务器并非完全可信的，而企业或个人将数据外包到云中，这意味着企业或个人失去了对数据的完全控制，那么就出现了数据的安全和隐私保护问题。为了保证所存储数据的机密性，用户需要釆用加密技术，将数据加密后上传存储，只有拥有解密密钥的用户才能解密该密文，实现对数据内容的访问，从而降低了数据泄露的风险，保证了数据的安全。为了保证数据资源在正当范围内得以有效利用和管理，因此访问控制技术将是一个不可或缺的部分，通过访问控制策略保证数据细粒度的授权访问，这是保证数据安全存储的关键技术。由于移动终端设备能量都是有限的，并不能提供复杂的计算消耗。那么对于移动云计算平台上的数据，如何利用加密技术保证云中数据的安全；如何在保护数据隐私的前提下，实现有效的数据共享，且尽可能地减少用户的密钥管理代价和安全风险；如何建立一种安全的细粒度访问控制机制，只允许授权用户成功访问所需要的数据，而其他非法用户无法访问这些数据；如何降低移动终端加解密计算费用；并且由于在共享云计算服务环境下，用户访问权限频繁发生改变，即授权用户具有动态变更性，如何有效地实现用户撤销，这些都已成为亟待解决的问题。

2005年，Sahai等人在文献《Fuzzy identity-based encryption》中首次提出了模糊身份基加密机制的概念，并构造出第一个属性基加密方案，灵活地应用于云环境下的数据共享，实现数据的细粒度访问控制。2012年，Li等人在文献《Outsourcing encryption ofattribute-based encryption with mapreduce》中首次提出在属性基加密中外包加密的方案，降低用户端的计算代价。但该方案只是降低了加密者的计算代价。同年，Zhou等人在文献《Efficient and secure data storage operations for mobile cloud computing》提出了在移动云环境下实现外包加解密计算，同时降低加密者和解密者的计算代价。但是在该方案中，一旦有用户撤销发生，所有合法的用户均需更新密钥，带来了昂贵的密钥更新开销。

发明内容

本发明的目的是为了解决现有技术中的上述缺陷，提供一种在移动云环境下可撤销用户的外包加解密CP-ABE方法。

本发明的目的可以通过采取如下技术方案达到：

一种移动云环境下可撤销用户的外包加解密CP-ABE方法，所述的外包加解密CP-ABE方法包括下列步骤：

通过***建立算法Setup(1^λ)，输入安全参数1^λ，输出***公钥PK和主密钥MK；

通过密钥生成算法KeyGen(PK,S,MK)输入用户的属性集合S，***公钥PK和主密钥MK，输出用户的私钥SK；

通过加密算法Encrypt(PK,M,Λ)对文件加密，输入***公钥PK，明文M和访问结构Λ，输出密文C。其中，文件的加密过程包括数据拥有者加密和加密服务器加密，首先是数据拥有者对数据明文进行加密，然后把密文送给加密服务器，加密服务器再次对密文进行属性加密；

通过解密算法Decrypt(C,SK)授权用户对文件进行解密，输入用户私钥SK及其对应的密文C，如果用户私钥满足密文的访问策略输出明文M，其中，文件的解密过程包括外包解密和本地用户解密，首先解密服务器进行属性基解密得到CT_DO，然后用户对CT_DO进行再次解密，得到数据明文；

当有用户被撤销时，本地用户通过更新算法Update(PK,C)更新加密文件，输入***公钥PK，密文C输出更新密文C'。

进一步地，所述的***建立算法Setup(1^λ)具体如下：

设群G₀和G_T的阶为素数P，g为G₀的生成元；

双线性映射e:G₀×G₀→G_T，安全的哈希函数H:{0,1}→G₀；

假设***有k个用户，每个用户的属性空间为S＝{λ₁,λ₂,…,λ_n}；

可信机构选择两个随机数α，β∈Z_p，则生成***公钥为：PK＝{G₀,G_T,g,H,h＝g^β,e(g,g)^α}，保存主密钥MK＝(β，g^α)。

进一步地，所述的密钥生成算法KeyGen(PK,S,MK)具体如下：

为每个用户U_t随机选取一个随机数r_t∈Z_p(t＝1,2,…,k)，选取随机数r_j∈Z_p,j∈S，计算私钥：

选择互为素数的m₁,m₂,…,m_k(k≥2)将(SK_t,m_t)通过安全信道送给每个用户U_t。

进一步地，所述的加密算法Encrypt(PK,M,Λ)具体如下：

首先是数据拥有者对数据明文进行加密，然后把密文送给加密服务器，加密服务器再次对密文进行属性加密，

1)Encrypt_DO(M，κ)：数据拥有者选择一个随机数z∈Z_p，计算L＝m₁m₂…m_k，其中L_i＝L/m_i,yi＝L_i ^-1mod m_i。送(CT_DO,X)给加密服务器；

2)Encrypt_ESP(PK,CT_DO,Λ)：加密服务器收到CT_DO后调用该算法进行再次加密，过程如下：

访问控制树Λ中每个叶子节点表示一个属性，设k_x是Λ中每个节点x的门限值，随机选择一个阶为d_x＝k_x-1的多项式q_x和一个随机数s∈Z_p，对于根节点R，令q_R(0)＝s，其它非根结点x使得

假设Y是Λ中所有叶子节点的集合，则生成的密文为：

进一步地，所述的解密算法Decrypt(C,SK)具体如下：

首先解密服务器进行属性基解密得到CT_DO，然后用户对CT_DO进行再次解密，得到数据明文，通过输入用户私钥SK，及其对应的密文C，如果用户为非法用户，输出解密失败；否则合法用户使用私钥可对密文进行解密，计算表达式如下：

1)本地用户选择一个随机数t∈Z_p计算并把盲化后的解密密钥

送给解密服务器；

2)解密服务器调用进行属性基解密，其解密过程如下：

定义一个递归算法其中y是树Λ的节点，当y是叶节点时,执行如下:

其中i代表节点y的属性；

当y不是叶子节点，对所有y的孩子节点z调用递归函数输出结果为F_z；假设S_y是有k_y个y孩子节点z的集合，如果这个集合不存在，函数返回⊥，否则解密过程如下：

其中i＝index(z)，S_x′＝{index(z):z∈S_x}，为拉格朗日系数，如果S满足访问结构，则递归算法返回A＝e(g,g)^rs；

计算B＝e(C,D′)＝e(h^s,g^t(α+r)/β)＝e(g,g)^{t r}·^se(g,g)^tαs，解密服务器发送{A,B,X}给本地用户；

3)Decrypt_DU(CT′,κ)：本地用户收到{A,B,X}后，首先计算B′＝B^1/t＝e(g,g)^rs·e(g,g)^αs，x_i＝X mod m_i，然后解密恢复出数据明文：

进一步地，所述的更新算法Update(PK,C)具体如下：

如要撤销用户DU_j时，数据拥有者选择一个随机数z′∈Z_p，计算其中L_i′＝L′/m_i,y_i′＝L_i′^-1mod m_i，通过安全通道送(R,X′)给ESP。ESP更新密文如下：

本发明相对于现有技术具有如下的优点及效果：

1)本发明在外包加解密机制的基础上增加一个支持用户撤销的功能，提出一种可撤销用户的外包解密CP-ABE方法，完善了对于外包解密机制的本地加密和用户权限管理功能。

2)本发明不仅降低了本地用户的加密计算费用，而且实现了用户的撤销。

3)本发明由本地用户对密文进行更新，实现对用户的权限撤销；当有用户被撤销时，合法用户无需更新密钥，减轻授权机构的负担。

4)安全性证明表明，在一般双线性群模型下证明所提出的方法为非自适应选择明文安全。

5)性能分析表明，与已有方案相比，本发明在本地加密设备上需要更低的加密费用，而且用户撤销效率更加高。

附图说明

图1是本发明公开的一种可撤销用户的外包加解密CP-ABE方案的流程示意图；

图2是可撤销用户的外包加解密CP-ABE方案***结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例

随着网络和云技术的飞速发展，移动云计算已成为一种新兴的服务模式，进而改变着人们的生活、学***台上部署多个轻便的移动设备实现数据共享。如何保证移动设备信息安全；如何降低移动设备的加解密费用；如何实现对用户的访问控制及撤销功能；这些问题如果得不到解决，就无法保证移动云计算的安全。因此，针对移动云计算的特点，研究在此基础上相应的安全问题，建立一种有效、安全的加密解密机制，是十分必要和急需的，具有重要的理论意义和应用价值。

本实施例针对以上问题，主要研究了移动云环境下的数据加解密机制，提出了一种可撤销用户的外包加解密CP-ABE方法。在一般双线性群模型下证明了提出的方案具有非自适应选择明文安全。本发明方法不仅具有移动设备加解密费用低的特点，而且还能对用户的访问权限进行撤销，实现了灵活有效地访问控制。当有非法用户被撤销时，合法用户无需更新密钥，有效地减轻了授权机构的负担。与已有的方案相比，本发明不仅有效地降低了移动设备的加解密计算费用，而且具有可撤销用户的功能，有效地实现了对用户访问权限的控制。

下面结合图1对本实施例公开的一种可撤销用户的外包加解密CP-ABE方法的具体过程进行详细说明。包括如下步骤：

S1、通过***建立算法Setup(1^λ)，输入安全参数1^λ，输出***公钥PK和主密钥MK；

具体应用中，所述***建立算法Setup(1^λ)，设群G₀和G_T的阶为素数P，g为G₀的生成元。双线性映射e:G₀×G₀→G_T，安全的哈希函数H:{0,1}→G₀。假设***有k个用户，每个用户的属性空间为S＝{λ₁,λ₂,…,λ_n}。可信机构选择两个随机数α,β∈Z_p，则生成***公钥为PK＝{G₀,G_T,g,H,h＝g^β,e(g,g)^α}，主密钥为MK＝(β，g^α)。

S2、通过密钥生成算法KeyGen(PK,S,MK)输入用户的属性集合S，***公钥PK和主密钥MK，输出用户的私钥SK；

具体应用中，所述密钥生成算法KeyGen(PK,S,MK)，随机选取一个随机数r_t∈Z_p(t＝1,2,…,k)，选取随机数r_j∈Z_p，计算私钥：

选择互为素数的m₁,m₂,…,m_k(k≥2)，将(SK_t,m_t)通过安全信道送给每个用户U_t。

S3、通过加密算法Encrypt(PK,M,Λ)，输入***公钥PK，明文M和访问结构Λ，输出密文C；

具体应用中，所述加密算法Encrypt(PK,M,Λ)，数据的加密是由数据拥有者加密和加密服务器加密两部分组成。首先是数据拥有者对数据明文进行加密，然后把密文送给加密服务器，加密服务器再次对密文进行属性加密。

S31、Encrypt_DO(M，κ)：数据拥有者选择一个随机数z∈Z_p，计算L＝m₁m₂…m_k，其中L_i＝L/m_i,y_i＝L_i ^-1mod m_i。送(CT_DO,X)给加密服务器。

S32、Encrypt_ESP(PK,CT_DO,Λ)：加密服务器收到CT_DO后调用该算法进行再次加密，过程如下：

访问控制树Λ中每个叶子节点表示一个属性，设k_x是Λ中每个节点x的门限值。随机选择一个阶为d_x＝k_x-1的多项式q_x和一个随机数s∈Z_p。对于根节点R，令q_R(0)＝s，其它非根结点x使得假设Y是Λ中所有叶子节点的集合，则生成的密文为：

S4、通过解密算法Decrypt(C,SK)授权用户解密文件，输入用户私钥SK，及其对应的密文C，如果用户私钥满足密文的访问策略则输出明文M，否则输出解密失败。

具体应用中，所述解密算法Decrypt(C,SK)，解密过程包括外包解密和本地用户解密。首先解密服务器进行属性基解密得到CT_DO，然后用户对CT_DO进行再次解密，得到数据明文。

S41、本地用户选择一个随机数t∈Z_p计算并把盲化后的解密密钥

送给解密服务器。

S42、解密服务器调用进行属性基解密，其解密过程如下：

定义一个递归算法其中y是树Λ的节点。当y是叶节点时,执行如下:

其中i代表节点y的属性。

当y不是叶子节点，对所有y的孩子节点z调用递归函数输出结果为F_z。假设S_y是有k_y个y孩子节点z的集合。如果这个集合不存在，函数返回⊥，否则解密过程如下：

其中i＝index(z)，S_x′＝{index(z):z∈S_x}，为拉格朗日系数。如果S满足访问结构,则递归算法返回A＝e(g,g)^rs。

计算B＝e(C,D′)＝e(h^s,g^t(α+r)/β)＝e(g,g)^trs·e(g,g)^tαs，解密服务器发送{A,B,X}给本地用户。

S43、Decrypt_DU(CT′,κ)：本地用户收到{A,B,X}后，首先计算B′＝B^1/t＝e(g,g)^rs·e(g,g)^αs，x_i＝X mod m_i，然后解密恢复出数据明文：

S5、当有用户被撤销时，云服务器通过更新算法Update(PK,C)更新加密文件，输入***公钥PK，密文C，输出更新密文C'；

当有用户被撤销时，本地用户更新加密文件。

具体应用中，更新算法Update(PK,C)：如要撤销用户DU_j时，数据拥有者选择一个随机数z′∈Z_p，计算 其中L_i′＝L′/m_i,y_i′＝L_i′^-1mod m_i。通过安全通道送(R,X′)给ESP。ESP更新密文如下：

因为，X′不包含DU_j的m_j,所以撤消的用户DU_j无法通过X′得到z′，因此也无法得到数据明文。

在移动云环境下，实现可撤销用户的外包加解密CP-ABE方法***如图2所示。该图由以下六个实体组成：存储服务器(Storage Service Provider，SSP)，加密服务器(Encryption Service Provider,ESP),解密服务器(Decrypt Service Provider,DSP),数据拥有者(Data Owner,DO)，用户(Data User,DU)，可信机构(Trust Authority,TA)。

当数据拥有者Alice要通过云服务器存储文件M，利用本发明公开的一种可撤销用户的外包加解密CP-ABE方案，TA首先运行***建立算法，得到***参数PK＝{G₀,G_T,g,H,h＝g^β,e(g,g)^α}，主密钥为MK＝(β，g^α)；然后并将PK对外公布，而MK由TA秘密保存。Alice本人可以运行加密算法Encrypt_DO(M，κ)对文件M进行首次加密，并将加密后的文件加上传到加密服务器，加密服务器调用算法Encrypt_ESP(PK,CT_DO,Λ)进行再次加密得到最终密文CT。如用户Bob需要访问该文件，那么TA使用这些***公钥PK和主密钥MK，根据用户Bob的属性集合，调用密钥生成算法KeyGen(PK,S,MK)为Bob生成一个私钥SK_Bob,m_Bob。TA很容易将其通过安全信道传送SK_Bob,m_Bob给Bob。当Bob需要访问文件时，首先选择随机数t盲化自己的私钥SK_Bob，得到并发送给解密服务器进行解密，得到密文A＝e(g,g)^rs，Bob通过随机数t恢复出密钥进行解密得到最后的明文M。当需要撤销用户时，Alice调用更新算法Update(PK,C)对密文进行更新。当且仅当Bob被撤销时，Alice计算其中L_i′＝L′/m_i,y_i′＝L_i′^-1mod m_i。通过安全通道送(R,X′)给ESP。ESP更新密文:则Bob将无法对更新后的密文进行解密，从而撤销了Bob对文件的访问权限。而其他用户可以正常访问，而且不需要更新密钥。

综上所述，本发明为了实现移动云环境下安全有效的数据共享，为了满足用户降低本地用户端能量有限的设备加密费用，在外包属性基加解密的基础更进一步的进行外包加密，并增加一个支持用户撤销的功能，提出一种可撤销用户的外包加解密CP-ABE方法，完善了对于外包加解密机制的用户动态管理功能。本发明由本地用户对密文进行更新，实现对用户的权限撤销，但是更新密文简单，运算费用较低；当有用户被撤销时，合法用户无需更新密钥，减轻可信机构的负担。安全性证明表明，在一般双线性群模型下证明所提出的方法为非自适应选择明文安全。性能分析表明，与已有方案相比，本发明不仅保证了本地轻便设备较低的计算费用，而且具有更高效的用户撤销效率，有效地实现对用户的访问权限控制。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (6)

1.一种可撤销用户的外包加解密CP-ABE方法，其特征在于，所述的外包加解密CP-ABE方法包括下列步骤：

通过***建立算法Setup(1^λ)，输入安全参数1^λ，输出***公钥PK和主密钥MK；

通过密钥生成算法KeyGen(PK,S,MK)，输入用户的属性集合S，***公钥PK和主密钥MK，输出用户的私钥SK；

通过加密算法Encrypt(PK,M,Λ)对文件加密，输入***公钥PK，明文M和访问结构Λ，输出密文C，其中，文件的加密过程包括数据拥有者加密和加密服务器加密，首先是数据拥有者对数据明文进行加密，然后把密文送给加密服务器，加密服务器再次对密文进行属性加密；

通过解密算法Decrypt(C,SK)授权用户对文件进行解密，输入用户私钥SK及其对应的密文C，如果用户私钥满足密文的访问策略输出明文M，其中，文件的解密过程包括外包解密和本地用户解密，首先解密服务器进行属性基解密得到CT_DO，然后用户对CT_DO进行再次解密，得到数据明文；

当有用户被撤销时，本地用户通过更新算法Update(PK,C)更新加密文件，输入***公钥PK，密文C，输出更新密文C'。

2.根据权利要求1所述的可撤销用户的外包加解密CP-ABE方法，其特征在于，所述的***建立算法Setup(1^λ)具体如下：

设群G₀和G_T的阶为素数P，g为G₀的生成元；

双线性映射e:G₀×G₀→G_T，安全的哈希函数H:{0,1}→G₀；

假设***有k个用户，每个用户的属性空间为S＝{λ₁,λ₂,…,λ_n}；

可信机构选择两个随机数α，β∈Z_p，则生成***公钥为：PK＝{G₀,G_T,g,H,h＝g^β,e(g,g)^α}，保存主密钥：MK＝(β，g^α)。

3.根据权利要求1所述的可撤销用户的外包加解密CP-ABE方法，其特征在于，所述的密钥生成算法KeyGen(PK,S,MK)具体如下：

对每一个用户U_t随机选取一个随机数r_t∈Z_p(t＝1,2,…,k)，选取随机数r_j∈Z_p，计算私钥：

<mrow> <msub> <mi>SK</mi> <mi>t</mi> </msub> <mo>=</mo> <mo>&lt;</mo> <mi>D</mi> <mo>=</mo> <msup> <mi>g</mi> <mrow> <mo>(</mo> <mi>&amp;alpha;</mi> <mo>+</mo> <msub> <mi>r</mi> <mi>t</mi> </msub> <mo>)</mo> <mo>/</mo> <mi>&amp;beta;</mi> </mrow> </msup> <mo>,</mo> <mo>&amp;ForAll;</mo> <msub> <mi>&amp;lambda;</mi> <mi>j</mi> </msub> <mo>&amp;Element;</mo> <mi>S</mi> <mo>,</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>&amp;le;</mo> <mi>j</mi> <mo>&amp;le;</mo> <mi>n</mi> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

<mrow> <msub> <mi>D</mi> <mi>j</mi> </msub> <mo>=</mo> <msup> <mi>g</mi> <msub> <mi>r</mi> <mi>t</mi> </msub> </msup> <mo>&amp;times;</mo> <mi>H</mi> <msup> <mrow> <mo>(</mo> <msub> <mi>&amp;lambda;</mi> <mi>j</mi> </msub> <mo>)</mo> </mrow> <msub> <mi>r</mi> <mi>j</mi> </msub> </msup> <mo>,</mo> <msubsup> <mi>D</mi> <mi>j</mi> <mo>&amp;prime;</mo> </msubsup> <mo>=</mo> <msup> <mi>g</mi> <msub> <mi>r</mi> <mi>j</mi> </msub> </msup> <mo>&gt;</mo> </mrow>

选择互为素数的m₁,m₂,…,m_k(k≥2)将(SK_t,m_t)通过安全信道送给每个用户U_t。

4.根据权利要求1所述的可撤销用户的外包加解密CP-ABE方法，其特征在于，所述的加密算法Encrypt(PK,M,Λ)具体如下：

首先是数据拥有者对数据明文进行加密，然后把密文送给加密服务器，加密服务器再次对密文进行属性加密，

1)Encrypt_DO(M，κ)：数据拥有者选择一个随机数z∈Z_p，计算L＝m₁m₂…m_k，其中L_i＝L/m_i,y_i＝L_i ^-1modm_i。送(CT_DO,X)给加密服务器；

2)Encrypt_ESP(PK,CT_DO,Λ)：加密服务器收到CT_DO后调用该算法进行再次加密，过程如下：

访问控制树Λ中每个叶子节点表示一个属性，设k_x是Λ中每个节点x的门限值，随机选择一个阶为d_x＝k_x-1的多项式q_x和一个随机数s∈Z_p，对于根节点R，令q_R(0)＝s，其它非根结点x使得

假设Y是Λ中所有叶子节点的集合，则生成的密文为：

<mrow> <mtable> <mtr> <mtd> <mrow> <mi>C</mi> <mi>T</mi> <mo>=</mo> <mo>&lt;</mo> <mi>T</mi> <mo>,</mo> <mover> <mi>C</mi> <mo>~</mo> </mover> <mo>=</mo> <msub> <mi>CT</mi> <mrow> <mi>D</mi> <mi>O</mi> </mrow> </msub> <mo>&amp;CenterDot;</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <mi>g</mi> <mo>)</mo> </mrow> <mrow> <mi>&amp;alpha;</mi> <mi>s</mi> </mrow> </msup> <mo>,</mo> <mi>C</mi> <mo>=</mo> <msup> <mi>h</mi> <mi>s</mi> </msup> <mo>,</mo> <mo>&amp;ForAll;</mo> <mi>y</mi> <mo>&amp;Element;</mo> <mi>Y</mi> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>:</mo> <msub> <mi>C</mi> <mi>y</mi> </msub> <mo>=</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>q</mi> <mi>y</mi> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msup> <mo>,</mo> <msubsup> <mi>C</mi> <mi>y</mi> <mo>&amp;prime;</mo> </msubsup> <mo>=</mo> <mi>H</mi> <msup> <mrow> <mo>(</mo> <msub> <mi>&amp;lambda;</mi> <mi>y</mi> </msub> <mo>)</mo> </mrow> <mrow> <msub> <mi>q</mi> <mi>y</mi> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msup> <mo>&gt;</mo> </mrow> </mtd> </mtr> </mtable> <mo>.</mo> </mrow>

5.根据权利要求1所述的可撤销用户的外包加解密CP-ABE方法，其特征在于，所述的解密算法Decrypt(C,SK)具体如下：

首先解密服务器进行属性基解密得到CT_DO，然后用户对CT_DO进行再次解密，得到数据明文，通过输入用户私钥SK，及其对应的密文C，如果用户为不合法用户，输出解密失败；否则合法用户使用私钥可对密文进行解密，计算表达式如下：

1)本地用户选择一个随机数t∈Z_p计算并把盲化后的解密密钥

<mrow> <mover> <mrow> <mi>S</mi> <mi>K</mi> </mrow> <mo>~</mo> </mover> <mo>=</mo> <mo>&lt;</mo> <msup> <mi>D</mi> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msup> <mi>g</mi> <mrow> <mi>t</mi> <mrow> <mo>(</mo> <mi>&amp;alpha;</mi> <mo>+</mo> <msub> <mi>r</mi> <mi>t</mi> </msub> <mo>)</mo> </mrow> <mo>/</mo> <mi>&amp;beta;</mi> </mrow> </msup> <mo>,</mo> <mo>&amp;ForAll;</mo> <mi>j</mi> <mo>&amp;Element;</mo> <mi>S</mi> <mo>:</mo> </mrow>

<mrow> <msub> <mi>D</mi> <mi>j</mi> </msub> <mo>=</mo> <msup> <mi>g</mi> <msub> <mi>r</mi> <mi>t</mi> </msub> </msup> <mo>&amp;times;</mo> <mi>H</mi> <msup> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> <msub> <mi>r</mi> <mi>j</mi> </msub> </msup> <mo>,</mo> <msubsup> <mi>D</mi> <mi>j</mi> <mo>&amp;prime;</mo> </msubsup> <mo>=</mo> <msup> <mi>g</mi> <msub> <mi>r</mi> <mi>j</mi> </msub> </msup> <mo>&gt;</mo> </mrow>

送给解密服务器；

2)解密服务器调用进行属性基解密，其解密过程如下：

定义一个递归算法其中y是树Λ的节点，当y是叶节点时,执行如下:

其中i代表节点y的属性；

当y不是叶子节点，对所有y的孩子节点z调用递归函数输出结果为F_z；假设S_y是有k_y个y孩子节点z的集合，如果这个集合不存在，函数返回⊥，否则解密过程如下：

<mrow> <msub> <mi>F</mi> <mi>x</mi> </msub> <mo>=</mo> <munder> <mo>&amp;Pi;</mo> <mrow> <mi>z</mi> <mo>&amp;Element;</mo> <msub> <mi>S</mi> <mi>x</mi> </msub> </mrow> </munder> <msup> <msub> <mi>F</mi> <mi>z</mi> </msub> <msub> <mi>&amp;Delta;</mi> <mrow> <mi>i</mi> <mo>,</mo> <msubsup> <mi>S</mi> <mi>x</mi> <mo>&amp;prime;</mo> </msubsup> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msub> </msup> <mo>=</mo> <munder> <mo>&amp;Pi;</mo> <mrow> <mi>z</mi> <mo>&amp;Element;</mo> <msub> <mi>S</mi> <mi>x</mi> </msub> </mrow> </munder> <msup> <mrow> <mo>(</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>r</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>q</mi> <mi>z</mi> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msup> <mo>)</mo> </mrow> <msub> <mi>&amp;Delta;</mi> <mrow> <mi>i</mi> <mo>,</mo> <msubsup> <mi>S</mi> <mi>x</mi> <mo>&amp;prime;</mo> </msubsup> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msub> </msup> </mrow>

<mfenced open = "" close = ""> <mtable> <mtr> <mtd> <mrow> <mo>=</mo> <munder> <mo>&amp;Pi;</mo> <mrow> <mi>z</mi> <mo>&amp;Element;</mo> <msub> <mi>S</mi> <mi>x</mi> </msub> </mrow> </munder> <msup> <mrow> <mo>(</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>r</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>q</mi> <mrow> <mi>p</mi> <mi>a</mi> <mi>r</mi> <mi>e</mi> <mi>n</mi> <mi>t</mi> <mrow> <mo>(</mo> <mi>z</mi> <mo>)</mo> </mrow> </mrow> </msub> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </msup> <mo>)</mo> </mrow> <msub> <mi>&amp;Delta;</mi> <mrow> <mi>i</mi> <mo>,</mo> <msubsup> <mi>S</mi> <mi>x</mi> <mo>&amp;prime;</mo> </msubsup> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msub> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <munder> <mo>&amp;Pi;</mo> <mrow> <mi>z</mi> <mo>&amp;Element;</mo> <msub> <mi>S</mi> <mi>x</mi> </msub> </mrow> </munder> <msup> <mrow> <mo>(</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mrow> <mi>g</mi> <mo>,</mo> <mi>g</mi> </mrow> <mo>)</mo> </mrow> <mrow> <mi>r</mi> <mo>&amp;CenterDot;</mo> <msub> <mi>q</mi> <mi>y</mi> </msub> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </msup> <mo>)</mo> </mrow> <msub> <mi>&amp;Delta;</mi> <mrow> <mi>i</mi> <mo>,</mo> <msubsup> <mi>S</mi> <mi>x</mi> <mo>&amp;prime;</mo> </msubsup> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msub> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>=</mo> <mi>e</mi> <msup> <mrow> <mo>(</mo> <mi>g</mi> <mo>,</mo> <mi>g</mi> <mo>)</mo> </mrow> <mrow> <msub> <mi>rq</mi> <mi>x</mi> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </mrow> </msup> </mrow> </mtd> </mtr> </mtable> </mfenced>

其中i＝index(z)，S′_x＝{index(z):z∈S_x}，为拉格朗日系数，如果S满足访问结构，则递归算法返回A＝e(g,g)^rs；

计算B＝e(C,D′)＝e(h^s,g^t(α+r)/β)＝e(g,g)^trs·e(g,g)^tαs，解密服务器发送{A,B,X}给本地用户；

3)Decrypt_DU(CT′,κ)：本地用户收到{A,B,X}后，首先计算B′＝B^1/t＝e(g,g)^rs·e(g,g)^αs，x_i＝X mod m_i，然后解密恢复出数据明文：

<mrow> <mi>M</mi> <mo>=</mo> <mi>H</mi> <mrow> <mo>(</mo> <mi>z</mi> <mo>)</mo> </mrow> <mo>&amp;CirclePlus;</mo> <mfrac> <mover> <mi>C</mi> <mo>~</mo> </mover> <mrow> <mo>(</mo> <msup> <mi>B</mi> <mo>&amp;prime;</mo> </msup> <mo>/</mo> <mi>A</mi> <mo>)</mo> </mrow> </mfrac> <mo>.</mo> </mrow>

6.根据权利要求1所述的可撤销用户的外包加解密CP-ABE方法，其特征在于，所述的更新算法Update(PK,C)具体如下：

如要撤销用户DU_j时，数据拥有者选择一个随机数z′∈Z_p，计算其中L′_i＝L′/m_i,通过安全通道送(R,X′)给ESP。ESP更新密文如下：

<mrow> <msubsup> <mi>CT</mi> <mrow> <mi>D</mi> <mi>O</mi> </mrow> <mo>&amp;prime;</mo> </msubsup> <mo>=</mo> <msub> <mi>CT</mi> <mrow> <mi>D</mi> <mi>O</mi> </mrow> </msub> <mo>&amp;CirclePlus;</mo> <mi>R</mi> <mo>.</mo> </mrow> 3