1.一種泄露密鑰可追蹤的屬性基混合加密方法，其特征在于：其作法如下：

模塊一：系統(tǒng)初始化模塊:

步驟1：可信權(quán)威即TA輸入系統(tǒng)安全參數(shù)λ，運(yùn)行算法輸出兩個(gè)階數(shù)為素?cái)?shù)p的群和一個(gè)雙線性映射運(yùn)算

步驟2：可信權(quán)威接下來運(yùn)行隨機(jī)數(shù)生成算法，隨機(jī)選擇群中的某個(gè)生成元g，以及Z_p域中的兩個(gè)元素a,α；

步驟3：可信權(quán)威選擇一種抗碰撞哈希函數(shù)H(·)，該函數(shù)滿足抗碰撞哈希函數(shù)的所有特性，輸入為任意長度的0、1字符串，輸出為映射到群中的某一元素；

步驟4：可信權(quán)威運(yùn)行指紋碼生成算法Gen_FC，輸入該整數(shù)n和L，該整數(shù)n表示將要生成的指紋碼集合Γ中元素的個(gè)數(shù)，L表示集合Γ中每個(gè)指紋碼的長度；算法Gen_FC輸出指紋碼集合Γ＝{ω⁽¹⁾,...,ω⁽ⁿ⁾}，其中每個(gè)碼字的長度為L；

步驟5：可信權(quán)威經(jīng)過一次雙線性對運(yùn)算和兩次指數(shù)運(yùn)算得到公鑰為：

PK＝(g,g^a,e(g,g)^α,H(·))

經(jīng)過一次指數(shù)運(yùn)算得到主密鑰為：

MSK＝g^α；

模塊二：用戶錄入模塊：

步驟6：對于請求加入系統(tǒng)的用戶，由可信權(quán)威為其分配集合Γ中的某個(gè)指紋碼ω(ω∈Γ)，并根據(jù)用戶身份條件指定屬于該用戶的屬性集合S；

步驟7：可信權(quán)威輸入主密鑰MSK＝g^α，運(yùn)行隨機(jī)數(shù)生成算法，隨機(jī)選擇Z_p域中的某個(gè)元素r，運(yùn)行兩次指數(shù)和一次乘法運(yùn)算，得到：

K₀＝g^αg^ar和K₁＝g^r；

步驟8：可信權(quán)威輸入該用戶屬性集合S和指紋碼ω，對屬性集合S中的所有屬性x，從1到l，進(jìn)行級聯(lián)、哈希函數(shù)和指數(shù)運(yùn)算，得到：

{Dx,j=H(x||j||ωj)r}∀x∈S,j=1,...,L]]>

用戶最終分配到的私鑰為：

SK=(K0,K1,{Dx,j}∀x∈S,j=1,...,L);]]>

其中，該級聯(lián)運(yùn)算“||”表示字符串x,j,ω_j首尾相接；

模塊三：文檔建立模塊：

步驟9：數(shù)據(jù)持有者即Data?Owner首先運(yùn)行隨機(jī)數(shù)生成算法，隨機(jī)選擇群中的某一元素M作為對稱加密的會話密鑰；使用會話密鑰M對文檔進(jìn)行AES數(shù)據(jù)加密，加密后的密文CT上傳到云端存儲器存儲；

步驟10：數(shù)據(jù)持有者根據(jù)自己的安全需求，制定相應(yīng)的訪問控制策略，該策略由用戶屬性表示，例如“(屬性1AND屬性2)OR屬性3”，根據(jù)訪問控制策略后，生成對應(yīng)的訪問控制矩陣(A,ρ)，A表示l行n列的矩陣，ρ表示能將矩陣A的一行映射到訪問控制策略中的某一屬性的映射；

步驟11：數(shù)據(jù)持有者輸入公鑰PK、訪問控制矩陣(A,ρ)和待加密的會話密鑰M后，為確保泄露的用戶私鑰能被追蹤到，數(shù)據(jù)持有者首先隨機(jī)選擇[1,L]區(qū)間的某一整數(shù)j，對于0和1分別運(yùn)行屬性基加密算法Encapsulate：

Hdrj,0←Encapsulate(PK,M,(A,ρ),(j,0))Hdrj,1←Encapsulate(PK,M,(A,ρ),(j,1))]]>

Encapsulate算法的運(yùn)行如下：

首先，數(shù)據(jù)持有者選擇隨機(jī)的向量向量中的s為解密時(shí)，數(shù)據(jù)使用者需要恢復(fù)的指數(shù)；其他元素υ₂,…,υ_n是從Z_p域中隨機(jī)選取的，將矩陣A的每一行作為行向量與向量進(jìn)行內(nèi)積運(yùn)算，得到λ₁,λ₂,…,λ_l：

λi=A→i·υ→(i=1,...,l)]]>

接下來，Encapsulate算法對矩陣A中的每一行i進(jìn)行ρ(·)映射，得到對應(yīng)的屬性字符串ρ(i)后與j和0、1字符級聯(lián)；最后分別計(jì)算其抗碰撞哈希函數(shù)的值：

H(ρ(i)||j||0)H(ρ(i)||j||1)]]>

最后，經(jīng)過(2+2l)次指數(shù)和(1+2l)次乘法運(yùn)算，得到Encapsulate算法的結(jié)果：

C＝Me(g,g)^αs，C₀＝g^s，

C1=gaλ1H(ρ(1)||j||0),C2=gaλ2H(ρ(2)||j||0),...,Cl=gaλlH(ρ(l)||j||0)]]>

C1′=gaλ1H(ρ(1)||j||1),C2′=gaλ2H(ρ(2)||j||1),...,Cl′=gaλlH(ρ(l)||j||1)]]>

記為：

Hdrj,0=(C,C0,{C1,C2,...,Cl})Hdrj,1=(C,C0,{C1′,C2′,...,Cl′})]]>

最終M經(jīng)Encapsulate算法加密后的密文表示為：

Hdr＝(j,Hdr_j,0,Hdr_j,1)；

模塊四：文檔訪問模塊：

定義集合I(I＝{i|ρ(i)∈S})，表示用戶屬性集合S中所有屬性ρ(i)∈S通過映射ρ(·)，對應(yīng)的訪問控制矩陣A的行標(biāo)i的集合；若用戶的屬性集合S中的屬性滿足數(shù)據(jù)持有者加密M時(shí)制定的訪問控制策略，則一定能找到常數(shù)w_i∈Z_p，按照下式：

Σi∈Iwiλi=s]]>

有效恢復(fù)出指數(shù)s；

步驟12：在這一模塊中，數(shù)據(jù)的使用者即Data?Consumer從云端存儲器下載需要訪問的加密文件CT和Hdr；從步驟11的輸出可知，消息Hdr由三部分組成；數(shù)據(jù)使用用戶首先查看自身指紋碼的第j位：對于指紋碼的第j位是0的情況，屬性基解密算法的輸入為Hdr的第二部分Hdr_j,0和該數(shù)據(jù)使用者的用戶私鑰SK；對于第j位是1的情況，屬性基解密算法的輸入為Hdr的第三部分Hdr_j,1和該數(shù)據(jù)使用者的用戶私鑰SK；

第j位是0時(shí)屬性基解密算法按下式運(yùn)行雙線性對和乘、除法計(jì)算：

M′=e(C0,K0)Πρ(i)∈S(e(Ci,K1)·e(C0,Dρ(i),j))wi=e(gs,gα)e(gs,gar)e(ga,gr)Σρ(i)∈Swiλi=e(g,g)αs]]>

第j位是1時(shí)屬性基解密算法按下式運(yùn)行雙線性對和乘、除法計(jì)算：

M′=e(C0,K0)Πρ(i)∈S(e(Ci′,K1)·e(C0,Dρ(i),j))wi=e(gs,gα)e(gs,gar)e(ga,gr)Σρ(i)∈Swiλi=e(g,g)αs]]>

經(jīng)最后一步除法運(yùn)算，得到會話密鑰M：

M=C/M′=Me(g,g)αse(g,g)αs;]]>

步驟13：數(shù)據(jù)使用者使用會話密鑰M，對加密文件CT運(yùn)行AES數(shù)據(jù)解密算法，即能訪問所需的明文文件；

模塊五：數(shù)字取證模塊：

該數(shù)字取證模塊只在發(fā)生用戶私鑰泄露的情況時(shí)才運(yùn)行，共分3步執(zhí)行：

步驟1*：可信權(quán)威首先尋找被盜版解碼器即PD用來偽造用戶私鑰的適應(yīng)性碼字：ω^*；

對于j從1到L，每次選擇群中兩個(gè)不等的消息分別運(yùn)行Encapsulate算法得到輸出：

Hdrj,0←Encapsulate(PK,Mj,(A,ρ),(j,0))Hdrj,1←Encapsulate(PK,Mj′,(A,ρ),(j,1))]]>

將得到的結(jié)果作為盜版解碼器的輸入，該盜版解密器是根據(jù)泄露的用戶私鑰構(gòu)造的，具有偽造用戶私鑰、解密數(shù)據(jù)的功能，輸出為解密后的消息M_j^*，若輸出的結(jié)果M_j^*與M_j相等，則判斷適應(yīng)性碼字ω^*的第j位為0，即ω_j^*＝0；否則，判斷為1；

j經(jīng)1遍歷到L后，能得到被盜版解碼器即PD用來偽造用戶私鑰的適應(yīng)性碼字：ω^*＝ω₁^*ω₂^*…ω_L^*；

步驟2*：首先，可信權(quán)威需要指定追蹤算法Tra_FC的容錯概率ε(表示Tra_FC算法追蹤到的最后結(jié)果包含某個(gè)無辜用戶或是追蹤無果的概率)，下式中的t表示該指紋碼可以抗t人合謀攻擊，即超過t人的合謀，該算法便失去了有效性；故該算法需在運(yùn)行追蹤算法之前確定泄密用戶的總數(shù)不多于t；

接下來，分別計(jì)算k、k′和閾值Z的值：

k＝1/300t，

在得到k′的值后，隨機(jī)選擇區(qū)間之間的某一隨機(jī)值并計(jì)算p_j＝sin²r_j，j從1遍歷到L；

步驟3*：將上一步得到的適應(yīng)性碼字ω^*＝ω₁^*ω₂^*…ω_L^*，分別與指紋碼集合Γ＝{ω⁽¹⁾,...,ω⁽ⁿ⁾}中的所有碼字進(jìn)行對比，按照下式計(jì)算每次比較對應(yīng)碼字位的權(quán)值：

Sij=σ(pj)ωj*=1,ωji=1-σ(1-pj)ωj*=1,ωji=0-σ(pj)ωj*=0,ωji=0σ(1-pj)ωj*=1,ωji=0i=1,...,n;j=1,...,L]]>

其中，σ(p)=(1-p)/p;]]>

對于每個(gè)用戶，計(jì)算所有位的權(quán)值之和：并與閾值Z比較，所有權(quán)值之和高于Z的用戶，其系統(tǒng)標(biāo)號記入集合C中，可信權(quán)威輸出追蹤結(jié)果