CN106059768A - 抵抗重加密密钥泄露的属性可撤销加密系统及方法 - Google Patents

Abstract

一种抵抗重加密密钥泄露的可撤销的属性加密系统及方法，包括：1、设置加密系统的参数；2、生成加密系统的主私钥及公钥；3、生成用户私钥；4、构建重加密密钥树；5、生成密文文件；6、撤销属性；7、进行代理重加密；8、访问密文文件；9、判断密文文件的更新位是否为1；10、解密未更新密文文件；11、更新私钥；12、解密更新密文文件；13、退出密码系统。本发明采用双代理重加密服务器模型，能够抵抗重加密密钥的泄露。在进行属性撤销时采用属性用户群构建重加密密钥树，高效的、即时的、细粒度的间接属性撤销。在加密时，将秘密分散，可抵抗合谋攻击。

Description

抵抗重加密密钥泄露的属性可撤销加密系统及方法

技术领域

本发明属于数据加密技术领域，更进一步涉及数据安全技术领域中的一种抵抗重加密密钥泄露的属性可撤销加密系统及方法。本发明可用于在云存储环境中实现细粒度访问控制和数据保护。

背景技术

属性基加密方法一种支持多对多模式的新型公钥加密方法，即解密对象不再只是某一具体的用户，而是面向符合解密条件的一个群体。这一特性使得属性基加密方法可以用于实现细粒度的访问控制。属性基加密方法主要包括两种类型，分别是密文策略属性基加密方法和密钥策略属性基加密方法。在密文策略属性基加密方法中，访问结构与密文相关，用户私钥则用属性集来标识，访问结构是在加密过程中由加密者来规划，系统公钥由授权机构来生成，仅当解密方的属性集合满足密文中的访问结构时才可以解密得到明文。

随着云计算技术的发展，越来越多的用户选择将敏感数据存放在云服务器中，以达到共享数据的问题。但是第三方提供的云存储服务往往不是完全可信的，将访问控制交给云服务器来处理可能会有很大的安全隐患。将属性基加密方法应用在云存储环境中，既保证了数据的安全性，而且实现了细粒度的访问控制。但是，鉴于用户频繁的离开或加入属性用户群，如何实现高效的用户属性撤销，成为了一个亟待解决的问题。在属性基加密方案中，每个用户拥有多个属性，每个属性可以被多个用户共享。因此，在属性基加密方案中实现实现用户属性撤销尤为困难。按照撤销的粒度，属性基加密方法可分为系统属性撤销、用户撤销和用户属性撤销；按照撤销的方法，属性基加密方法可分为直接撤销和间接撤销。

Xie X等人在其发表的论文“An Efficient Ciphertext-Policy Attribute-Based Access Control towards Revocation in Cloud Computing”(Journal ofUniversal Computer Science,vol.19,no.16(2013),2349-2367.公开日期2013.10.01)中提出了一种高效的可撤销的属性加密系统及方法。该系统包括：(1)数据拥有者、(2)数据管理者、(3)云存储器、(4)认证中心、(5)用户。该方法的主要步骤是：(1)输入安全参数，生成公共参数和主密钥，并将公共参数公开。(2)为每个用户生成属性私钥并分发给用户。(3)输入属性用户群，并生成重加密密钥并分发给用户。(4)输入属性集合、公钥和待加密的消息，并制定访问策略，生成密文。(5)输入密文和属性用户群，生成重加密密文。(6)当数据接收者的属性满足访问结构时，解密成功。该方法存在的不足之处是：在进行代理重加密时，采用了不可信的代理重加密服务器来管理重加密密钥，无法解决代理重加密服务器的密钥泄露问题。

西安理工大学在其申请的专利“基于完全二叉树的可撤销的属性加密方法”(申请号201510407937.5，申请日期2015.07.13)中提出了基于完全二叉树的可撤销的属性加密方法。该方法的主要步骤是：(1)系统参数初始化；(2)密钥生成过程；(3)加密；(4)解密。该方法存在的不足之处是：该方法不能实现细粒度的、及时的属性撤销；将属性撤销列表嵌入到密文中可能会带来安全问题。

河海大学在其申请的专利“一种具有高效用户撤销的密文策略属性基加密方法”(申请号201510375470.0，申请日期2015.06.30)中提出了一种具有高效用户撤销的密文策略属性基加密方法。该方法的主要步骤是：(1)系统建立步骤；(2)用户群建立步骤；(3)用户私钥生成生成步骤；(4)加密步骤；(5)解密步骤；如果本系统中有用户撤销事件发生，还应该包括：(6)用户群升级步骤；(7)用户升级步骤；(8)重加密步骤。该方法存在的不足之处是：虽然可以抵抗多个非法用户之间的合谋攻击，但却无法抵抗非法用户与代理重加密服务器之间的合谋攻击。

发明内容

本发明的目的在于克服上述现有技术在进行代理重加密时，采用了不可信的代理重加密服务器来管理重加密密钥，无法解决代理重加密服务器的密钥泄露问题；不能实现细粒度的、及时的属性撤销；将属性撤销列表嵌入到密文中可能会带来安全问题；虽然可以抵抗多个非法用户之间的合谋攻击，但却无法抵抗非法用户与代理重加密服务器之间的合谋攻击，提供抵抗重加密密钥泄露的属性可撤销加密系统及方法。

实现本发明目的的主要思路是：数据所有者模块将秘密值划分为两个子秘密值，然后用子秘密值对文件分别属性加密，将子秘密共享在两个子密文文件中，并将两个子密文文件组合为密文文件上传至数据存储模块，当数据接收者模块代理重加密模块发起对密文文件的访问时，代理重加密模块的通信模块2将密文文件发送给数据接收者模块。数据接收者模块判断密文是否更新过，若未更新，则直接解密，否则，数据接收者模块判断属性是否被撤销，若属性未被撤销，则更新用户私钥并解密密文文件。本发明的系统在进行代理重加密时采用了重加密服务器DM₁和重加密服务器DM₂来分别管理重加密密钥，重加密服务器DM₁和重加密服务器DM₂各自保存持有的秘密并通过安全双方计算方法进行安全的双方通信，只有得到重加密服务器DM₁和重加密服务器DM₂的重加密密钥才可以正确解密，使得本发明具有能够抵抗重加密密钥泄露的优点；本发明的方法采用属性用户群构建重加密密钥树实现属性的撤销，在进行属性撤销时，只需在重加密密钥树中选择不再覆盖数据接收者模块的重加密密钥来加密随机化参数即可实现撤销，使得采用本发明的方法可以进行高效的、即时的、细粒度的间接属性撤销；在生成密文时，将秘密分成了两部分进行加密并分别由两个重加密服务器进行管理，使得采用本发明的方法可以抵抗不可信服务器与非法用户之间的合谋攻击；

本发明的系统包括授权中心模块、数据所有者模块、数据存储模块、代理重加密模块、数据接收者模块，其特征在于：所述数据所有者模块分别与授权中心模块和数据存储模块相连；数据接收者模块分别与授权中心模块和数据存储模块相连；授权中心模块分别与数据所有者模块、数据接收者模块和代理重加密模块相连；代理重加密模块分别与授权中心模块和数据存储模块相连；其中：

所述的授权中心模块，用于设置加密系统的参数、生成加密系统的主私钥及公钥和生成用户私钥；

所述的数据所有者模块，用于生成密文文件和撤销属性；

所述的数据存储模块，用于存储密文文件；

所述的代理重加密模块包括通信模块1、通信模块2、重加密服务器DM₁和重加密服务器DM₂；所述的通信模块1与授权中心模块相连，用于接收授权中心模块发送的属性用户群信息，并将属性用户群信息转发到重加密服务器DM₁和重加密服务器DM₂；所述的通信模块2与数据接收者模块相连，用于发送密文文件；所述的重加密服务器DM₁和重加密服务器DM₂各自构建重加密密钥树并保存各自持有的秘密数据，通过加法安全双方计算方法交换秘密数据，利用秘密数据进行代理重加密，使得采用本发明的方法可以抵抗不可信服务器与非法用户之间的合谋攻击；

所述的数据接收者模块，用于访问密文文件、更新用户私钥和解密密文文件。

本发明方法的具体实现步骤如下：

(1)设置加密系统的参数：

(1a)授权中心模块任意选择一个素数p，其中，p＞2^k，k表示由授权中心模块所确定的加密系统安全参数；

(1b)授权中心模块以素数p为阶，构建两个乘法循环群G和G₁，乘法循环群G的生成元为g；

(1c)授权中心模块在乘法循环群G到乘法循环群G₁的双线性映射中，随机选择一个双线性映射e:G×G→G₁；

(1d)授权中心模块从乘法循环群G上为加密系统属性集U＝{θ₁,θ₂,···,θ_n}中的每一个属性j随机选择一个生成元h_j；

(1e)授权中心模块将加密系统属性集中的每一个属性j所对应的属性用户群信息U_j发送给代理重加密模块中的通信模块1；

(2)生成加密系统的主私钥及公钥：

(2a)授权中心模块从整数环Ζ_p ^*上随机选择一个元素a，从乘法循环群G上随机选择一个生成元g_T＝g^β；授权中心模块将随机化参数a和生成元g_T＝g^β作为加密系统的主私钥MSK并保存；其中，Ζ_p ^*＝{1,2,···,p-1}，β表示整数环Ζ_p ^*上的随机化参数；

(2b)授权中心模块按照下式计算加密系统的公钥：

PK＝SetUp(MSK,G,g,e,h₁,h₂,···,h_n)

其中，PK表示加密系统的公钥，SetUp(·)表示初始化操作，MSK表示加密系统的主私钥，G表示乘法循环群，g表示乘法循环群G的生成元，h₁,h₂,···,h_n表示授权中心模块为加密系统属性集U中的每一个属性j选择的乘法循环群G上的生成元；

(2c)授权中心模块将加密系统的公钥发布给数据所有者模块和数据接收者模块；

(3)生成用户私钥：

(3a)持有加密系统的公钥的数据接收者模块向授权中心模块提交属性信息；

(3b)授权中心模块为数据接收者模块从整数环Ζ_p ^*上随机选择一个唯一的随机化参数；

(3c)授权中心模块按照下式计算数据接收者模块的用户私钥：

SK＝KeyGen(A,t,PK,MSK)

其中，SK表示数据接收者模块的用户私钥，KeyGen(·)表示由授权中心模块所确定的私钥生成函数，A表示数据接收者模块的属性信息，t表示授权中心模块为数据接收者模块选取的唯一随机化参数，PK表示加密系统的公钥，MSK表示加密系统的主私钥；

(3d)授权中心模块将数据接收者模块的用户私钥发送给数据接收者模块；

(4)构建重加密密钥树：

(4a)代理重加密模块中的通信模块1，在收到授权中心模块发送的加密系统属性集中的每一个属性j所对应的属性用户群U_j后，将加密系统属性集的每一个属性j所对应的属性用户群U_j，分别发送给代理重加密模块的重加密服务器DM₁和重加密服务器DM₂；

(4b)重加密服务器DM₁和重加密服务器DM₂分别构建重加密密钥树，将属性用户群中的每个成员分配在重加密密钥树的叶子节点上，并为每个非叶子节点选择随机化参数；

(4c)重加密服务器DM₁和重加密服务器DM₂，为叶子节点上的成员生成从根节点到叶子节点的路径密钥，将该路径密钥作为重加密密钥；

(4d)重加密服务器DM₁和重加密服务器DM₂，分别为数据接收者模块分发重加密密钥；

(5)生成密文文件：

(5a)数据所有者模块从整数环Ζ_p ^*上随机选择秘密值s；数据所有者模块选择访问结构(M,ρ)；数据所有者模块从整数环Ζ_p ^*上选择y₁,···,y_n-1，构成一个列向量ν＝(s,y₁,···,y_n-1)，并计算λi＝Mi*ν，i＝1,···,l；数据所有者模块从整数环Ζ_p ^*上随机选择l个数b₁,b₂,...,b_l；其中，M表示l行n列的共享生成矩阵，M_i表示共享生成矩阵M的第i行，函数ρ将M_i映射到属性i；

(5b)数据所有者模块将数据所有者模块的秘密值s随机划分为两个子秘密值s₁、s₂；

(5c)数据所有者模块按照下式计算子密文文件CT₁:

CT₁＝Enc(F,PK,s₁,(M,ρ))

其中，CT₁表示文件加密后的子密文文件，Enc(·)表示由数据所有者模块所确定的加密函数，F表示待加密的文件，PK表示加密系统的公钥，s₁表示数据所有者模块的子秘密值，(M,ρ)表示数据所有者模块选择的访问结构，M表示l行n列的共享生成矩阵，函数ρ将M的第i行映射到属性i；

(5d)数据所有者模块按照下式计算子密文文件CT₂:

CT₂＝Enc(F,PK,s₂,(M,ρ))

其中，CT₂表示文件加密后的子密文文件，Enc(·)表示由数据所有者模块所确定的加密函数，F表示待加密的文件，PK表示加密系统的公钥，s₂表示数据所有者模块的子秘密值，(M,ρ)表示数据所有者模块选择的访问结构，M表示l行n列的共享生成矩阵，函数ρ将M的第i行映射到属性i；

(5e)数据所有者模块将子密文文件CT₁和子密文文件CT₂组合为密文文件FCT＝(CT₁,CT₂,Update)，其中，CT₁、CT₂表示数据所有者模块计算的子密文文件，Update表示标识密文文件是否被更新的标志位，当Update以0标识时，表示密文文件未更新，当Update以1标识时，表示密文文件已更新；

(5f)数据所有者模块将密文文件FCT中的标志位Update置0后，将密文文件FCT发送到数据存储模块进行存储；

(6)撤销属性：

数据所有者模块向授权中心模块发起属性撤销请求，请求撤销用户u_c的属性j；授权中心模块从属性用户群U_j中删除请求撤销用户u_c，将删除请求撤销用户u_c后的属性用户群信息发送至代理重加密模块的通信模块1；

(7)进行代理重加密：

(7a)代理重加密模块中的通信模块1在收到授权中心模块发送的属性用户群信息后，将属性用户群信息分别转发给代理重加密模块的重加密服务器DM₁和重加密服务器DM₂；

(7b)重加密服务器DM₁和重加密服务器DM₂分别从整数环Ζ_p ^*上随机选择r₁、r₂；重加密服务器DM₁和重加密服务器DM₂，分别为删除请求撤销用户u_c后的属性用户群信息重新构建重加密密钥树；重加密服务器DM₁和重加密服务器DM₂分别从重加密密钥树中选择最小覆盖元密钥KEK₁、KEK₂；

(7c)重加密服务器DM₁从整数环Ζ_p ^*上随机选择秘密值x，重加密服务器DM₂从整数环Ζ_p ^*上随机选择秘密值y；重加密服务器DM₁和重加密服务器DM₂进行加法安全双方计算后，重加密服务器DM₁得到u、重加密服务器DM₂得到v，u和v满足xy＝u+v；重加密服务器DM₁计算双线性映射参数e₁＝e(g,g)^βx并将双线性映射参数e₁发送给重加密服务器DM₂、重加密服务器DM₂计算双线性映射参数e₂＝e(g,g)^βy并将双线性映射参数e₂发送给重加密服务器DM₁；重加密服务器DM₁和重加密服务器DM₂分别计算双线性映射参数e_T＝e(g,g)^βxy；

(7d)重加密服务器DM₁按照下式计算更新子密文文件NCT₁：

NCT₁＝ReEnc(CT,r₁,e_T,u,KEK₁)

其中，NCT₁表示更新后的子密文密文，ReEnc(·)表示由代理重加密模块所确定的重加密函数，FCT表示需进行属性撤销的目标密文，r₁表示重加密服务器DM₁在收到属性撤销请求后选择的随机化参数，e_T表示重加密服务器DM₁在安全的双方通信后得到的双线性映射参数，u表示重加密服务器DM₁在安全的双方通信后得到的随机化参数，KEK₁表示重加密服务器DM₁选择的最小覆盖元密钥；

(7e)重加密服务器DM₁按照下式计算更新子密文文件NCT₂：

NCT₂＝ReEnc(CT,r₂,e_T,v,KEK₂)

其中，NCT₂表示更新后的子密文密文，ReEnc(·)表示由代理重加密模块所确定的重加密函数，FCT表示需进行属性撤销的目标密文，r₂表示重加密服务器DM₂在收到属性撤销请求后选择的随机化参数，e_T表示重加密服务器DM₂在安全的双方通信后得到的双线性映射参数，v表示重加密服务器DM₂在安全的双方通信后得到的随机化参数，KEK₂表示重加密服务器DM₂选择的最小覆盖元密钥；

(7f)重加密服务器DM₁和重加密服务器DM₂分别将更新子密文文件NCT₁和更新子密文文件NCT₂发送到代理重加密模块的通信模块2；通信模块2将更新子密文文件NCT₁和更新子密文文件NCT₂组合为更新密文文件RCT＝(NCT₁,NCT₂,Update)，其中，NCT₁、NCT₂表示数据所有者模块计算的子密文文件，Update表示标识密文文件是否被更新的标志位，当Update以0标识时，表示密文文件未更新，当Update以1标识时，表示密文文件已更新；

(7g)数据所有者模块将密文文件FCT中的标志位Update置1后，将密文文件RCT发送到数据存储模块进行存储；

(8)访问密文文件：

数据接收者模块向代理重加密模块的通信模块2发起对密文文件的访问请求，代理重加密模块的通信模块2将密文文件发送给发起访问请求的数据接收者模块；

(9)数据接收者模块判断密文文件的更新位Update是否为1，若是，则执行步骤(10)，否则，执行步骤(11)；

(10)数据接收者模块按照下式，解密密文文件：

M＝DecE(FCT,SK)

其中，M表示解密后得到的文件明文，DecE(·)表示由数据接收者模块所确定的解密函数，FCT表示数据接收者模块接收的密文文件，SK表示数据接收者模块持有的用户私钥；

(11)更新用户私钥：

(11a)判断数据接收者模块的属性是否已经被撤销，若是，则执行步骤(13)，否则，执行步骤(11b)；

(11b)数据接收者模块按照下式，得到解密后的随机化参数r₁和r₂：

r＝D_KEK(RCT)

其中，r表示解密后得到的随机化参数r₁或r₂，D_KEK(·)表示由数据接收者模块所确定的随机化参数解密函数，KEK表示数据接收者模块持有的重加密密钥，RCT表示数据接收者模块接收的更新密文文件；

(11c)数据接收者模块按照下式，更新用户私钥：

NSK＝UpdateKey(SK,r)

其中，NSK表示数据接收者模块持有的更新后的用户私钥，UpdateKey(·)表示由数据接收者模块所确定的用户私钥更新函数，SK表示数据接收者模块持有的用户私钥，r表示数据接收者模块利用所持有的重加密密钥解密得到的随机化参数r₁或r₂；

(12)数据接收者模块按照下式，进行解密：

M＝DecU(RCT,NSK)

其中，M表示解密后得到的文件明文，DecU(·)表示由数据接收者模块所确定的解密函数，CT表示数据接收者模块接收的更新密文文件，NSK表示数据接收者模块持有的更新后的用户私钥；

(13)退出加密系统。

本发明与现有技术相比具有如下优点：

第一，由于本发明的系统在进行代理重加密时采用了重加密服务器DM₁和重加密服务器DM₂来分别管理重加密密钥，重加密服务器DM₁和重加密服务器DM₂各自保存持有的秘密并通过安全双方计算方法进行安全的双方通信，只有得到重加密服务器DM₁和重加密服务器DM₂的重加密密钥才可以正确解密，克服了现有技术在进行代理重加密时，采用了不可信的代理重加密服务器来管理重加密密钥，无法解决代理重加密服务器的密钥泄露问题的缺陷，使得本发明具有能够抵抗重加密密钥泄露的优点。

第二，由于本发明的方法采用属性用户群构建重加密密钥树实现属性的撤销，在进行属性撤销时，只需在重加密密钥树中选择不再覆盖数据接收者模块的重加密密钥来加密随机化参数即可实现撤销，克服了现有技术不能实现细粒度的、即时的属性撤销缺陷和将属性撤销列表嵌入到密文中进行直接属性撤销时的安全缺陷，使得采用本发明的方法可以进行高效的、即时的、细粒度的间接属性撤销。

第三，由于本发明的方法在生成密文时，将秘密分成了两部分进行加密并分别由两个重加密服务器进行管理，克服了现有技术虽然可以抵抗多个非法用户之间的合谋攻击，但却无法抵抗非法用户与代理重加密服务器之间的合谋攻击的缺陷，使得采用本发明的方法可以抵抗不可信服务器与非法用户之间的合谋攻击。

附图说明

附图1为本发明系统的结构示意图；

附图2为本发明系统的代理重加密模块结构示意图；

附图3为本发明方法的流程图。

具体实施方式

下面结合附图对本发明做进一步的描述。

参照附图1，对本发明的系统做进一步的描述。

本发明的系统，包括授权中心模块，数据所有者模块，数据存储模块，代理重加密模块，数据接收者模块。数据所有者模块分别与授权中心模块和数据存储模块相连。数据接收者模块分别与授权中心模块和数据存储模块相连。授权中心模块分别与数据所有者模块、数据接收者模块和代理重加密模块相连。代理重加密模块分别与授权中心模块和数据存储模块相连。其中：

授权中心模块，用于设置加密系统的参数、生成加密系统的主私钥及公钥和生成用户私钥。

数据所有者模块，用于生成密文文件和撤销属性。

数据存储模块，用于存储密文文件。

代理重加密模块包括通信模块1、通信模块2、重加密服务器DM₁和重加密服务器DM₂。通信模块1与授权中心模块相连，用于接收授权中心模块发送的属性用户群信息，并将属性用户群信息转发到重加密服务器DM₁和重加密服务器DM₂。通信模块2与重加密服务器DM₁、重加密服务器DM₂和数据接收者模块相连，用于组合子密文文件和向数据接收者模块发送密文文件；重加密服务器DM₁和重加密服务器DM₂各自构建重加密密钥树并保存各自持有的秘密数据，通过加法安全双方计算方法交换秘密数据，利用秘密数据进行代理重加密。

数据接收者模块，用于访问密文文件、更新用户私钥和解密密文文件。

下面结合附图2对本发明的系统的代理重加密模块做进一步的描述。

代理重加密模块包括通信模块1、重加密服务器DM₁、重加密服务器DM₂、通信模块2。通信模块1与授权中心模块相连，用于在接收了授权中心模块发送的属性用户群信息，将属性用户群信息分别转发到重加密服务器DM₁和重加密服务器DM₂。通信模块2与数据接收者模块相连，在接收到重加密服务器DM₁和重加密服务器DM₂发送的子密文文件后，组合为密文文件，并将密文文件存储到数据存储模块中和在接收到数据接收模块的访问密文文件请求时，将密文文件从数据存储模块中取出发送给数据接收者模块。重加密服务器DM₁和重加密服务器DM₂各自构建重加密密钥树并保存各自持有的秘密数据，通过加法安全双方计算方法交换秘密数据，利用秘密数据进行代理重加密。

下面结合附图3对本发明的方法做进一步的描述。

步骤1，设置加密系统参数。

授权中心模块任意选择一个素数p，其中，p＞2^k，k表示由授权中心模块所确定的加密系统安全参数。授权中心模块以素数p为阶，构建两个乘法循环群G和G₁，乘法循环群G的生成元为g。授权中心模块在乘法循环群G上任意选择一个双线性映射e:G×G→G₁。授权中心模块从乘法循环群G上为系统属性集U＝{θ₁,θ₂,···,θ_n}中的每一个属性j随机选择一个生成元h_j。授权中心模块将系统属性集中的每一个属性j所对应的属性用户群信息U_j发送给代理重加密模块的通信模块1。

步骤2，生成加密系统的主私钥及公钥。

授权中心模块从整数环Ζ_p ^*上随机选择一个元素a，从乘法循环群G上随机选择一个生成元g_T＝g^β。授权中心模块将随机化参数a和生成元g_T＝g^β作为加密系统的主私钥MSK并保存，其中，Ζ_p ^*＝{1,2,···,p-1}，β表示整数环Ζ_p ^*上的随机化参数。

授权中心模块按照下式计算加密系统的公钥：

PK＝SetUp(MSK,G,g,e,h₁,h₂,···,h_n)

其中，PK表示加密系统的公钥，SetUp(·)表示初始化操作，MSK表示加密系统的主私钥，G表示乘法循环群，g表示乘法循环群G的生成元，h₁,h₂,···,h_n表示授权中心模块为加密系统属性集U中的每一个属性j选择的乘法循环群G上的生成元。

初始化操作的计算结果如下：

PK＝(G,g,g^a,e(g,g)^β,h₁,h₂,···,h_n)

授权中心模块将加密系统的公钥PK＝(G,g,g^a,e(g,g)^β,h₁,h₂,···,h_n)发布给数据所有者模块和数据接收者模块。

步骤3，生成用户私钥。

持有公钥的数据接收者模块向授权中心模块提交属性信息授权中心模块为数据接收者模块从整数环Ζ_p ^*中随机选择一个唯一的随机化参数t。

授权中心模块按照下式计算数据接收者模块的用户私钥：

SK＝KeyGen(A,t,PK,MSK)

其中，SK表示数据接收者模块的用户私钥，KeyGen(·)表示由授权中心模块所确定的私钥生成函数，A表示数据接收者模块的属性信息，t表示授权中心模块为数据接收者模块选取的唯一随机化参数，PK表示加密系统的公钥，MSK表示加密系统的主私钥。

私钥生成函数的计算结果如下：

$SK=(K=g^{\mathrm{\β}}{g}^{at},L=g^t,\∀i\∈S,K_i=h_i^t)$

授权中心模块将用户私钥发送给数据接收者模块。

步骤4，构建重加密密钥树。

代理重加密模块中的通信模块1在收到授权中心模块发送的系统属性集的每一个属性j所对应的属性用户群U_j后，将系统属性集的每一个属性j所对应的属性用户群U_j分别发送给代理重加密模块的重加密服务器DM₁和重加密服务器DM₂。重加密服务器DM₁和重加密服务器DM₂分别构建重加密密钥树，将属性用户群中的每个成员分配在重加密密钥树的叶子节点上，并为每个非叶子节点选择随机化参数。重加密服务器DM₁和重加密服务器DM₂，为叶子节点上的成员生成从根节点到叶子节点的路径密钥，将该路径密钥作为重加密密钥KEK(U_j)。重加密服务器DM₁和重加密服务器DM₂分别为数据接收者模块分发重加密密钥KEK(U_j)。

步骤5，生成密文文件。

数据所有者模块从整数环Ζ_p ^*上随机选择秘密值s。数据所有者模块选择访问结构(M,ρ)。数据所有者模块从整数环Ζ_p ^*上选择y₁,···,y_n-1，构成一个列向量ν＝(s,y₁,···,y_n-1)，并计算λ_i＝M_i*ν，i＝1,···,l。数据所有者模块从整数环Ζ_p ^*上随机选择l个数b₁,b₂,...,b_l。其中，M表示l行n列的共享生成矩阵，M_i表示共享生成矩阵M的第i行，函数ρ将M_i映射到属性i。

数据所有者模块将数据所有者模块的秘密值s随机划分为两个子秘密值s₁、s₂。

数据所有者模块按照下式计算子密文文件CT₁:

CT₁＝Enc(F,PK,s₁,(M,ρ))

其中，CT₁表示文件加密后的子密文文件，Enc(·)表示由数据所有者模块所确定的加密函数，F表示待加密的文件，PK表示加密系统的公钥，s₁表示数据所有者模块的子秘密值，(M,ρ)表示数据所有者模块选择的访问结构，M表示l行n列的共享生成矩阵，函数ρ将M的第i行映射到属性i。

加密函数的计算结果如下：

${\mathrm{CT}}_1=\left(\begin{array}{c}C=me{(g,g)}^{\mathrm{\β}s},C^{\′}=g^{s_1},\\ C_i=g^{{\mathrm{a\λ}}_i}{h}_{\mathrm{\ρ}\left(i\right)}h_{b_i}{{}_{\mathrm{\ρ}\left(i\right)}}^{-s_1},D_i=g^{-b_i},i=1,2,...,l\end{array}\right)$

数据所有者模块按照下式计算子密文文件CT₂:

CT₂＝Enc(F,PK,s₂,(M,ρ))

其中，CT₂表示文件加密后的子密文文件，Enc(·)表示由数据所有者模块所确定的加密函数，F表示待加密的文件，PK表示加密系统的公钥，s₂表示数据所有者模块的子秘密值，(M,ρ)表示数据所有者模块选择的访问结构，M表示l行n列的共享生成矩阵，函数ρ将M的第i行映射到属性i。

加密函数的计算结果如下：

${\mathrm{CT}}_2=\left(\begin{array}{c}C=me{(g,g)}^{\mathrm{\β}s},C^{\′}=g^{s_2},\\ C_i=g^{{\mathrm{a\λ}}_i}{h_{\mathrm{\ρ}\left(i\right)}}^{b_i}{h_{\mathrm{\ρ}\left(i\right)}}^{-s_2},D_i=g^{-b_i},i=1,2,...,l\end{array}\right)$

数据所有者模块将子密文文件CT₁和子密文文件CT₂组合为密文文件FCT＝(CT₁,CT₂,Update)，其中，CT₁、CT₂表示数据所有者模块计算的子密文文件，Update表示标识密文文件是否被更新的标志位，当Update以0标识时，表示密文文件未更新，当Update以1标识时，表示密文文件已更新。

数据所有者模块将密文文件FCT中的标志位Update置0后，将密文文件FCT发送到数据存储模块进行存储。

步骤6，撤销属性。

数据所有者模块向授权中心模块发起属性撤销请求，请求撤销用户u_c的属性j。授权中心模块从属性用户群U_j中删除请求撤销用户u_c，将删除请求撤销用户u_c后的属性用户群信息发送至代理重加密模块的通信模块1。

步骤7，进行代理重加密。

代理重加密模块中的通信模块1在收到授权中心模块发送的属性用户群信息后，将属性用户群信息分别转发给代理重加密模块的重加密服务器DM₁和重加密服务器DM₂。

重加密服务器DM₁和重加密服务器DM₂分别从整数环Ζ_p ^*上随机选择r₁、r₂。重加密服务器DM₁和重加密服务器DM₂，分别为删除请求撤销用户u_c后的属性用户群信息重新构建重加密密钥树。重加密服务器DM₁和重加密服务器DM₂分别从重加密密钥树中选择最小覆盖元密钥KEK₁、KEK₂。

重加密服务器DM₁从整数环Ζ_p ^*上随机选择秘密值x，重加密服务器DM₂从整数环Ζ_p ^*上随机选择秘密值y。重加密服务器DM₁和重加密服务器DM₂进行加法安全双方计算后，重加密服务器DM₁得到u、重加密服务器DM₂得到v，u和v满足xy＝u+v。重加密服务器DM₁计算双线性映射参数e₁＝e(g,g)^βx并将双线性映射参数e₁发送给重加密服务器DM₂、重加密服务器DM₂计算双线性映射参数e₂＝e(g,g)^βy并将双线性映射参数e₂发送给重加密服务器DM₁。重加密服务器DM₁和重加密服务器DM₂分别计算双线性映射参数e_T＝e(g,g)^βxy。

加法安全双方计算的步骤如下：

重加密服务器DM₁和DM₂约定一个整数m，m≥64。

重加密服务器DM₁从整数环Ζ_p ^*上随机选择m个参数x₁,x₂,···,x_m，满足x＝x₁+x₂+···+x_m，其中，参数x表示重加密服务器DM₁所持有的秘密值。

对于每一个j＝1,2,···,m，重加密服务器DM₁生成保密整数k，给重加密服务器DM₂发送参数h₁、h₂，重加密服务器DM₂无法判断收到的参数h₁、h₂中哪一个h_k是x_j；其中，k＝1、2，h_k＝x_j，x_j表示重加密服务器DM₁的随机参数，余下的h_i是重加密服务器DM₁从整数环Ζ_p ^*上随机选择的参数。

对于每一个j＝1,2,···,m，重加密服务器DM₂从整数环Ζ_p ^*上随机选择的参数d_j，对于k＝1,2，计算h_ky-d_j并发送给重加密服务器DM₁。重加密服务器DM₁计算h_ky-d_j＝x_jy-d_j。其中，h_k表示重加密服务器DM₂从重加密服务器DM₁收到的参数h₁、h₂，x_j表示重加密服务器DM₁的随机参数，y表示重加密服务器DM₂所持有的秘密值。

重加密服务器DM₁计算参数u＝xy-(d₁+···+d_m)，其中，u表示重加密服务器DM₁在加法安全双方计算后得到的随机化参数，d₁,···,d_m表示重加密服务器DM₂的随机化参数。

重加密服务器DM₂计算参数v＝d₁+···+d_m，其中，v表示重加密服务器DM₂在加法安全双方计算后得到的随机化参数，d₁,···,d_m表示重加密服务器DM₂的随机化参数。

重加密服务器DM₁按照下式计算更新子密文文件NCT₁：

NCT₁＝ReEnc(CT,r₁,e_T,u,KEK₁)

其中，NCT₁表示更新后的子密文密文，ReEnc(·)表示由代理重加密模块所确定的重加密函数，FCT表示需进行属性撤销的目标密文，r₁表示重加密服务器DM₁在收到属性撤销请求后选择的随机化参数，e_T表示重加密服务器DM₁在安全的双方通信后得到的双线性映射参数，u表示重加密服务器DM₁在安全的双方通信后得到的随机化参数，KEK₁表示重加密服务器DM₁选择的最小覆盖元密钥

重加密函数的计算结果如下：

${\mathrm{NCT}}_1=\left(\begin{array}{c}Hdr=E_k{\left(r_1\right)}_{k\∈{\mathrm{KEK}}_1},\\ C=me{(g,g)}^{\mathrm{\β}(s+xy)},C_1=g^u,C_2=g^{s+u},\\ \tilde{C}={\left(g^u\right)}^{r_1},{\tilde{C}}_1={\left(g^{au}\right)}^{r_1},\\ C_i={(g^{{\mathrm{a\λ}}_i}\·{h_{\mathrm{\ρ}\left(i\right)}}^{b_i}{h_{\mathrm{\ρ}\left(i\right)}}^{-(s+u)})}^{r_1},D_i=g^{-b_i},i=1,2,...,l\end{array}\right)$

重加密服务器DM₂按照下式计算更新子密文文件NCT₂：

NCT₂＝ReEnc(CT,r₂,e_T,v,KEK₂)

其中，NCT₂表示更新后的子密文密文，ReEnc(·)表示由代理重加密模块所确定的重加密函数，FCT表示需进行属性撤销的目标密文，r₂表示重加密服务器DM₂在收到属性撤销请求后选择的随机化参数，e_T表示重加密服务器DM₂在安全的双方通信后得到的双线性映射参数，v表示重加密服务器DM₂在安全的双方通信后得到的随机化参数，KEK₂表示重加密服务器DM₂选择的最小覆盖元密钥。

重加密函数的计算结果如下：

${\mathrm{NCT}}_2=\left(\begin{array}{c}Hdr=E_k{\left(r_2\right)}_{k\∈{\mathrm{KEK}}_2},\\ C=me{(g,g)}^{\mathrm{\β}(s+xy)},C_1=g^v,C_2=g^{s+v},\\ \tilde{C}={\left(g^v\right)}^{r_2},{\tilde{C}}_1={\left(g^{av}\right)}^{r_2},\\ C_i={(g^{{\mathrm{a\λ}}_i}\·{h_{\mathrm{\ρ}\left(i\right)}}^{b_i}{h_{\mathrm{\ρ}\left(i\right)}}^{-(s+v)})}^{r_2},D_i=g^{-b_i},i=1,2,...,l\end{array}\right)$

重加密服务器DM₁和重加密服务器DM₂分别将更新子密文文件NCT₁和更新子密文文件NCT₂发送到代理重加密模块的通信模块2。通信模块2将更新子密文文件NCT₁和更新子密文文件NCT₂组合为更新密文文件RCT＝(NCT₁,NCT₂,Update)，其中，NCT₁、NCT₂表示数据所有者模块计算的子密文文件，Update表示标识密文文件是否被更新的标志位，当Update以0标识时，表示密文文件未更新，当Update以1标识时，表示密文文件已更新。

数据所有者模块将密文文件FCT中的标志位Update置1后，将密文文件RCT发送到数据存储模块进行存储。

步骤8，访问密文文件。

数据接收者模块向代理重加密模块的通信模块2发起对密文文件的访问请求，代理重加密模块的通信模块2将密文文件发送给发起访问请求的数据接收者模块。

步骤9，判断密文文件的更新位Update是否为1，若是，则执行步骤10，否则，执行步骤11。

步骤10，解密未更新密文文件。

数据接收者模块按照下式，解密密文文件：

M＝DecE(FCT,SK)

其中，M表示解密后得到的文件明文，DecE(·)表示由数据接收者模块所确定的解密函数，FCT表示数据接收者模块接收的未更新密文文件，SK表示数据接收者模块持有的用户私钥。

解密函数的计算过程和结果如下：

$\begin{array}{c}DecE(FCT,SK)\\ =\frac{C}{{\left(\frac{e(C_1,K)}{\underset{i\∈I}{\Π}{\left(e\right(C_i,L\left)e\right(D_i{C}_1,K_{\mathrm{\ρ}\left(i\right)}\left)\right)}^{{\mathrm{\ω}}_i}}\right)}_{{\mathrm{CT}}_1}{\left(\frac{e(C_1,K)}{\underset{i\∈I}{\Π}{\left(e\right(C_i,L\left)e\right(D_i{C}_1,K_{\mathrm{\ρ}\left(i\right)}\left)\right)}^{{\mathrm{\ω}}_i}}\right)}_{{\mathrm{CT}}_2}}\\ =\frac{Me{(g,g)}^{\mathrm{\β}s}}{e{(g,g)}^{{\mathrm{\βs}}_1}e{(g,g)}^{{\mathrm{\βs}}_2}}\\ =M\end{array}$

步骤11，更新用户私钥。

判断数据接收者模块的属性是否已经被撤销，若是，则执行步骤(13)，否则，继续执行。

数据接收者模块按照下式，得到解密后的随机化参数r₁和r₂：

r＝D_KEK(RCT)

其中，r表示解密后得到的随机化参数r₁或r₂，D_KEK(·)表示由数据接收者模块所确定的随机化参数解密函数，KEK表示数据接收者模块持有的重加密密钥，RCT表示数据接收者模块接收的密文文件。

随机化参数解密函数的计算结果如下：

$r={D_k}^{-1}{\left(Hdr\right)}_{k\∈KEK\left(U_j\right)}$

数据接收者模块按照下式，更新用户私钥：

NSK＝UpdateKey(SK,r)

其中，NSK表示数据接收者模块的新用户私钥，UpdateKey(·)表示由数据接收者模块所确定的用户私钥更新函数，SK表示数据接收者模块持有的用户私钥，r表示数据接收者模块利用所持有的重加密密钥解密得到的随机化参数r₁或r₂。

用户私钥更新函数的计算结果如下：

$NSK=(K=g^{\mathrm{\β}}{g}^{at},L={\left(g^t\right)}^{r^{-I}},\∀i\∈S,K_i=h_i^t)$

步骤12，解密未更新密文文件。

数据接收者模块按照下式，进行解密：

M＝DecU(RCT,NSK)

其中，M表示解密后得到的文件明文，DecU(·)表示由数据接收者模块所确定的解密函数，RCT表示数据接收者模块接收的更新后密文文件，NSK表示数据接收者模块持有的更新后的用户私钥。

解密函数的计算过程和结果如下：

$\begin{array}{c}DecE(RCT,SK)\\ =\frac{C}{{\left(\frac{e(C_1,K)}{\underset{i\∈I}{\Π}{\left(e\right(C_i,L\left)e\right(D_i{C}_2,K_{\mathrm{\ρ}\left(i\right)}\left)\right)}^{{\mathrm{\ω}}_i}}\frac{e(\tilde{C},K^{{r_1}^{-1}})}{e({\tilde{C}}_1,L)}\right)}_{{\mathrm{NCT}}_1}{\left(\frac{e(C_1,K)}{\underset{i\∈I}{\Π}{\left(e\right(C_i,L\left)e\right(D_i{C}_2,K_{\mathrm{\ρ}\left(i\right)}\left)\right)}^{{\mathrm{\ω}}_i}}\frac{e(\tilde{C},K^{{r_2}^{-1}})}{e({\tilde{C}}_1,L)}\right)}_{{\mathrm{NCT}}_2}}\\ =\frac{Me{(g,g)}^{\mathrm{\β}(s+xy)}}{e{(g,g)}^{{\mathrm{\βs}}_1}e{(g,g)}^{\mathrm{\β}u}e{(g,g)}^{{\mathrm{\βs}}_2}e{(g,g)}^{\mathrm{\β}v}}\\ =M\end{array}$

步骤13，退出加密系统。

Claims (3)

1.一种抵抗重加密密钥泄露的属性可撤销加密系统，包括授权中心模块、数据所有者模块、数据存储模块、代理重加密模块、数据接收者模块，其特征在于：所述数据所有者模块分别与授权中心模块和数据存储模块相连；数据接收者模块分别与授权中心模块和数据存储模块相连；授权中心模块分别与数据所有者模块、数据接收者模块和代理重加密模块相连；代理重加密模块分别与授权中心模块和数据存储模块相连；其中：

所述的授权中心模块，用于设置加密系统的参数、生成加密系统的主私钥及公钥和生成用户私钥；

所述的数据所有者模块，用于生成密文文件和撤销属性；

所述的数据存储模块，用于存储密文文件；

所述的代理重加密模块包括通信模块1、通信模块2、重加密服务器DM₁和重加密服务器DM₂；所述的通信模块1与授权中心模块相连，用于接收授权中心模块发送的属性用户群信息，并将属性用户群信息转发到重加密服务器DM₁和重加密服务器DM₂；所述的通信模块2与数据接收者模块相连，用于发送密文文件；所述的重加密服务器DM₁和重加密服务器DM₂各自构建重加密密钥树并保存各自持有的秘密数据，通过加法安全双方计算方法交换秘密数据，利用秘密数据进行代理重加密；

所述的数据接收者模块，用于访问密文文件、更新用户私钥和解密密文文件。

2.一种抵抗重加密密钥泄露的属性可撤销加密方法，该方法是基于抵抗重加密密钥泄露的属性可撤销加密系统实现的，具体步骤包括如下：

(1)设置加密系统的参数：

(1a)授权中心模块任意选择一个素数p，其中，p＞2^k，k表示由授权中心模块所确定的加密系统安全参数；

(1b)授权中心模块以素数p为阶，构建两个乘法循环群G和G₁，乘法循环群G的生成元为g；

(1c)授权中心模块在乘法循环群G到乘法循环群G₁的双线性映射中，随机选择一个双线性映射e:G×G→G₁；

(1d)授权中心模块从乘法循环群G上为加密系统属性集U＝{θ₁,θ₂,…,θ_n}中的每一个属性j随机选择一个生成元h_j；

(1e)授权中心模块将加密系统属性集中的每一个属性j所对应的属性用户群信息U_j发送给代理重加密模块中的通信模块1；

(2)生成加密系统的主私钥及公钥：

(2a)授权中心模块从整数环Z_p ^*上随机选择一个元素a，从乘法循环群G上随机选择一个生成元g_T＝g^β；授权中心模块将随机化参数a和生成元g_T＝g^β作为加密系统的主私钥MSK并保存；其中，Z_p ^*＝{1,2,…,p-1}，β表示整数环Z_p ^*上的随机化参数；

(2b)授权中心模块按照下式计算加密系统的公钥：

PK＝SetUp(MSK,G,g,e,h₁,h₂,…,h_n)

其中，PK表示加密系统的公钥，SetUp(·)表示初始化操作，MSK表示加密系统的主私钥，G表示乘法循环群，g表示乘法循环群G的生成元，h₁,h₂,…,h_n表示授权中心模块为加密系统属性集U中的每一个属性j选择的乘法循环群G上的生成元；

(2c)授权中心模块将加密系统的公钥发布给数据所有者模块和数据接收者模块；

(3)生成用户私钥：

(3a)持有加密系统的公钥的数据接收者模块向授权中心模块提交属性信息；

(3b)授权中心模块为数据接收者模块从整数环Z_p ^*上随机选择一个唯一的随机化参数；

(3c)授权中心模块按照下式计算数据接收者模块的用户私钥：

SK＝KeyGen(A,t,PK,MSK)

其中，SK表示数据接收者模块的用户私钥，KeyGen(·)表示由授权中心模块所确定的私钥生成函数，A表示数据接收者模块的属性信息，t表示授权中心模块为数据接收者模块选取的唯一随机化参数，PK表示加密系统的公钥，MSK表示加密系统的主私钥；

(3d)授权中心模块将数据接收者模块的用户私钥发送给数据接收者模块；

(4)构建重加密密钥树：

(4a)代理重加密模块中的通信模块1，在收到授权中心模块发送的加密系统属性集中的每一个属性j所对应的属性用户群U_j后，将加密系统属性集的每一个属性j所对应的属性用户群U_j，分别发送给代理重加密模块的重加密服务器DM₁和重加密服务器DM₂；

(4b)重加密服务器DM₁和重加密服务器DM₂分别构建重加密密钥树，将属性用户群中的每个成员分配在重加密密钥树的叶子节点上，并为每个非叶子节点选择随机化参数；

(4c)重加密服务器DM₁和重加密服务器DM₂，为叶子节点上的成员生成从根节点到叶子节点的路径密钥，将该路径密钥作为重加密密钥；

(4d)重加密服务器DM₁和重加密服务器DM₂，分别为数据接收者模块分发重加密密钥；

(5)生成密文文件：

(5a)数据所有者模块从整数环Z_p ^*上随机选择秘密值s；数据所有者模块选择访问结构(M,ρ)；数据所有者模块从整数环Z_p ^*上选择y₁,…,y_n-1，构成一个列向量ν＝(s,y₁,…,y_n-1)，并计算λ_i＝M_i*ν，i＝1,…,l；数据所有者模块从整数环Z_p ^*上随机选择l个数b₁,b₂,...,b_l；其中，M表示l行n列的共享生成矩阵，M_i表示共享生成矩阵M的第i行，函数ρ将M_i映射到属性i；

(5b)数据所有者模块将数据所有者模块的秘密值s随机划分为两个子秘密值s₁、s₂；

(5c)数据所有者模块按照下式计算子密文文件CT₁:

CT₁＝Enc(F,PK,s₁,(M,ρ))

其中，CT₁表示文件加密后的子密文文件，Enc(·)表示由数据所有者模块所确定的加密函数，F表示待加密的文件，PK表示加密系统的公钥，s₁表示数据所有者模块的子秘密值，(M,ρ)表示数据所有者模块选择的访问结构，M表示l行n列的共享生成矩阵，函数ρ将M的第i行映射到属性i；

(5d)数据所有者模块按照下式计算子密文文件CT₂:

CT₂＝Enc(F,PK,s₂,(M,ρ))

其中，CT₂表示文件加密后的子密文文件，Enc(·)表示由数据所有者模块所确定的加密函数，F表示待加密的文件，PK表示加密系统的公钥，s₂表示数据所有者模块的子秘密值，(M,ρ)表示数据所有者模块选择的访问结构，M表示l行n列的共享生成矩阵，函数ρ将M的第i行映射到属性i；

(5e)数据所有者模块将子密文文件CT₁和子密文文件CT₂组合为密文文件FCT＝(CT₁,CT₂,Update)，其中，CT₁、CT₂表示数据所有者模块计算的子密文文件，Update表示标识密文文件是否被更新的标志位，当Update以0标识时，表示密文文件未更新，当Update以1标识时，表示密文文件已更新；

(5f)数据所有者模块将密文文件FCT中的标志位Update置0后，将密文文件FCT发送到数据存储模块进行存储；

(6)撤销属性：

数据所有者模块向授权中心模块发起属性撤销请求，请求撤销用户u_c的属性j；授权中心模块从属性用户群U_j中删除请求撤销用户u_c，将删除请求撤销用户u_c后的属性用户群信息发送至代理重加密模块的通信模块1；

(7)进行代理重加密：

(7a)代理重加密模块中的通信模块1在收到授权中心模块发送的属性用户群信息后，将属性用户群信息分别转发给代理重加密模块的重加密服务器DM₁和重加密服务器DM₂；

(7b)重加密服务器DM₁和重加密服务器DM₂分别从整数环Z_p ^*上随机选择r₁、r₂；重加密服务器DM₁和重加密服务器DM₂，分别为删除请求撤销用户u_c后的属性用户群信息重新构建重加密密钥树；重加密服务器DM₁和重加密服务器DM₂分别从重加密密钥树中选择最小覆盖元密钥KEK₁、KEK₂；

(7c)重加密服务器DM₁从整数环Z_p ^*上随机选择秘密值x，重加密服务器DM₂从整数环Z_p ^*上随机选择秘密值y；重加密服务器DM₁和重加密服务器DM₂进行加法安全双方计算后，重加密服务器DM₁得到u、重加密服务器DM₂得到v，u和v满足xy＝u+v；重加密服务器DM₁计算双线性映射参数e₁＝e(g,g)^βx并将双线性映射参数e₁发送给重加密服务器DM₂、重加密服务器DM₂计算双线性映射参数e₂＝e(g,g)^βy并将双线性映射参数e₂发送给重加密服务器DM₁；重加密服务器DM₁和重加密服务器DM₂分别计算双线性映射参数e_T＝e(g,g)^βxy；

(7d)重加密服务器DM₁按照下式计算更新子密文文件NCT₁：

NCT₁＝Re Enc(CT,r₁,e_T,u,KEK₁)

其中，NCT₁表示更新后的子密文密文，Re Enc(·)表示由代理重加密模块所确定的重加密函数，FCT表示需进行属性撤销的目标密文，r₁表示重加密服务器DM₁在收到属性撤销请求后选择的随机化参数，e_T表示重加密服务器DM₁在安全的双方通信后得到的双线性映射参数，u表示重加密服务器DM₁在安全的双方通信后得到的随机化参数，KEK₁表示重加密服务器DM₁选择的最小覆盖元密钥；

(7e)重加密服务器DM₂按照下式计算更新子密文文件NCT₂：

NCT₂＝Re Enc(CT,r₂,e_T,v,KEK₂)

其中，NCT₂表示更新后的子密文密文，Re Enc(·)表示由代理重加密模块所确定的重加密函数，FCT表示需进行属性撤销的目标密文，r₂表示重加密服务器DM₂在收到属性撤销请求后选择的随机化参数，e_T表示重加密服务器DM₂在安全的双方通信后得到的双线性映射参数，v表示重加密服务器DM₂在安全的双方通信后得到的随机化参数，KEK₂表示重加密服务器DM₂选择的最小覆盖元密钥；

(7f)重加密服务器DM₁和重加密服务器DM₂分别将更新子密文文件NCT₁和更新子密文文件NCT₂发送到代理重加密模块的通信模块2；通信模块2将更新子密文文件NCT₁和更新子密文文件NCT₂组合为更新密文文件RCT＝(NCT₁,NCT₂,Update)，其中，NCT₁、NCT₂表示数据所有者模块计算的子密文文件，Update表示标识密文文件是否被更新的标志位，当Update以0标识时，表示密文文件未更新，当Update以1标识时，表示密文文件已更新；

(7g)数据所有者模块将密文文件FCT中的标志位Update置1后，将密文文件RCT发送到数据存储模块进行存储；

(8)访问密文文件：

数据接收者模块向代理重加密模块的通信模块2发起对密文文件的访问请求，代理重加密模块的通信模块2将密文文件发送给发起访问请求的数据接收者模块；

(9)数据接收者模块判断密文文件的更新位Update是否为1，若是，则执行步骤(10)，否则，执行步骤(11)；

(10)解密未更新密文文件：

数据接收者模块按照下式，解密密文文件：

M＝DecE(FCT,SK)

其中，M表示解密后得到的文件明文，DecE(·)表示由数据接收者模块所确定的解密函数，FCT表示数据接收者模块接收的未更新密文文件，SK表示数据接收者模块持有的用户私钥；

(11)更新用户私钥：

(11a)判断数据接收者模块的属性是否已经被撤销，若是，则执行步骤(13)，否则，执行步骤(11b)；

(11b)数据接收者模块按照下式，得到解密后的随机化参数r₁和r₂：

r＝D_KEK(RCT)

其中，r表示解密后得到的随机化参数r₁或r₂，D_KEK(·)表示由数据接收者模块所确定的随机化参数解密函数，KEK表示数据接收者模块持有的重加密密钥，RCT表示数据接收者模块接收的密文文件；

(11c)数据接收者模块按照下式，更新用户私钥：

NSK＝UpdateKey(SK,r)

其中，NSK表示数据接收者模块持有的更新后的用户私钥，UpdateKey(·)表示由数据接收者模块所确定的用户私钥更新函数，SK表示数据接收者模块持有的用户私钥，r表示数据接收者模块利用所持有的重加密密钥解密得到的随机化参数r₁或r₂；

(12)解密更新密文文件：

数据接收者模块按照下式，进行解密：

M＝DecU(RCT,NSK)

其中，M表示解密后得到的文件明文，DecU(·)表示由数据接收者模块所确定的解密函数，RCT表示数据接收者模块接收的更新后密文文件，NSK表示数据接收者模块持有的更新后的用户私钥；

(13)退出加密系统。

3.根据权利要求2所述的抵抗重加密密钥泄露的属性可撤销加密方法，其特征在于：步骤(7c)中所述的加法安全双方计算的步骤如下：

第1步，重加密服务器DM₁和DM₂约定一个整数m，m≥64；

第2步，重加密服务器DM₁从整数环Z_p ^*上随机选择m个参数x₁,x₂,…,x_m，满足x＝x₁+x₂+…+x_m，其中，参数x表示重加密服务器DM₁所持有的秘密值；

第3步，对于每一个j＝1,2,…,m，重加密服务器DM₁生成保密整数k，给重加密服务器DM₂发送参数h₁、h₂，重加密服务器DM₂无法判断收到的参数h₁、h₂中哪一个h_k是x_j；其中，k＝1、2，h_k＝x_j，x_j表示重加密服务器DM₁的随机参数，余下的h_i是重加密服务器DM₁从整数环Z_p ^*上随机选择的参数；

第4步，对于每一个j＝1,2,…,m，重加密服务器DM₂从整数环Z_p ^*上随机选择的参数d_j，对于k＝1,2，计算h_ky-d_j并发送给重加密服务器DM₁；重加密服务器DM₁计算h_ky-d_j＝x_jy-d_j；其中，h_k表示重加密服务器DM₂从重加密服务器DM₁收到的参数h₁、h₂，x_j表示重加密服务器DM₁的随机参数，y表示重加密服务器DM₂所持有的秘密值；

第5步，重加密服务器DM₁计算参数u＝xy-(d₁+…+d_m)，其中，u表示重加密服务器DM₁在加法安全双方计算后得到的随机化参数，d₁,…,d_m表示重加密服务器DM₂的随机化参数；

第6步，重加密服务器DM₂计算参数v＝d₁+…+d_m，其中，v表示重加密服务器DM₂在加法安全双方计算后得到的随机化参数，d₁,…,d_m表示重加密服务器DM₂的随机化参数。