具備強表達能力的選擇密文安全高效屬性基加密方案

張 凱 魏立斐 李祥學 陳 潔 錢海峰

1(華東師范大學計算機科學技術系 上海 200241)2(綜合業務網理論及關鍵技術國家重點實驗室(西安電子科技大學) 西安 710071)3(上海海洋大學信息學院 上海 201306)4(衛士通摩石實驗室 北京 100070) (zhangkaiecnu@163.com)

?

具備強表達能力的選擇密文安全高效屬性基加密方案

張 凱1,2魏立斐3李祥學1,4陳 潔1,2錢海峰1

1(華東師范大學計算機科學技術系 上海 200241)2(綜合業務網理論及關鍵技術國家重點實驗室(西安電子科技大學) 西安 710071)3(上海海洋大學信息學院 上海 201306)4(衛士通摩石實驗室 北京 100070) (zhangkaiecnu@163.com)

屬性基加密(attribute-based encryption, ABE)是一種新型公鑰加密體制，它實現了對加密數據的細粒度訪問控制.在密鑰策略屬性基加密方案(key-policy attribute-based encryption, KP-ABE)中，密文與屬性集合相關聯，密鑰則與訪問控制結構相關聯.因此在大多數KP-ABE方案中，解密開銷與解密算法所涉及的屬性數目成正比.結合Hohenberger和Waters提出的快速解密屬性基加密方案的思想，構造了一個同時支持非單調訪問結構、大屬性空間的選擇屬性集合和選擇明文安全快速解密密鑰策略屬性基加密方案，并在隨機預言機模型下證明是選擇性屬性集合和選擇明文安全的；并在此基礎上，利用Lai等人提出的合數階上具有強表達能力的快速解密KP-ABE方案的思想，再結合用于給出構造選擇密文安全的KP-ABE方案的變色龍Hash技術，構造了一個同樣支持非單調的訪問控制結構且表達能力豐富的選擇密文安全快速解密KP-ABE方案.比較相關方案，所提出的2個方案都具備相當的解密效率.

屬性基加密；選擇密文安全；非單調訪問結構；快速解密；大屬性空間

隨著云計算服務、大數據技術的普及，傳統的公鑰加密方案及身份基加密(identity-based encryp-tion, IBE)[1,2]不足以適應“一對多”的網絡服務需求[3].作為一種新型的公鑰加密體制，屬性基加密(attribute-based encryption, ABE)[4,5,6]被認為是IBE體制的擴展概念，它能夠保證數據發送方與數據接收方按照設定的訪問策略共享數據，使用戶能夠更加安全、高效地享受新型網絡服務[7].通常，ABE分為2種類型：密鑰策略屬性基加密(key-policy attribute-based encryption, KP-ABE)和密文策略屬性基加密(ciphertext-policy attribute-based encryption, CP-ABE).在KP-ABE方案中，密文是與一組屬性集合相關聯，密鑰則是與基于屬性構成的訪問結構相關聯；而在CP-ABE方案中，密鑰是與一組屬性集合相關聯，密文則是與基于屬性構成訪問結構相關聯.

由于ABE具備細粒度的訪問控制能力，這也給ABE方案帶來較大的計算開銷.在典型ABE中，解密開銷常常與在解密過程中所需要用到的屬性數目成正比，至少需要|Δ|個雙線性對運算，其中|Δ|為解密過程中所需的屬性數目.這大大限制ABE在資源受限環境(如弱密碼設備)中的應用.基于此問題，Hohenberger和Waters提出了第1個快速解密ABE方案[8]，該方案是基于GPSW中的KP-ABE方案[4]，將原有密鑰更加細化、增加更多的“幫助層”元素.在密鑰生成算法時間和密鑰長度略增的前提下，解密過程所需的雙線性運算個數降為常數量級的2次運算，并給出2種變種方案.

在此之后，Lai等人[9]采用聚合技術實現了固定短密文長度性質，給出一個合數階上的快速解密且表達能力豐富的KP-ABE方案，并利用雙系統證明技術證明該方案在適應性安全模型下是安全的.不過該聚合技術只能應用到小屬性空間KP-ABE方案的構造上.然而，對于小屬性空間的ABE方案，通常要求系統建立算法需要事先確定屬性的數目，這使得屬性空間的大小往往與安全參數λ是多項式倍的關系.而在大屬性空間[10]的方案，屬性空間的大小往往不需要在系統建立算法中事先確定好，它與安全參數λ是指數倍的關系，具備更大的靈活度.

對于公鑰加密方案，可抵抗選擇密文攻擊(chosen ciphertext attack, CCA)是比可抵抗選擇明文攻擊(chosen plaintext attack, CPA)更被廣泛接受的一種語義安全性.具體到構造CCA安全的KP-ABE，最初是通過對Canetti-Halevi-Katz轉換方法[11]稍加調整得到.之后，Yamada等人給出一種從CPA安全到CCA安全ABE方案的通用轉換方法[12]，但要求ABE方案滿足可代理性質或者可驗證性質.不過，這些方案都需要使用一次簽名.之后，有不使用一次簽名而直接給出CCA安全的ABE構造[13-14]，不過這些方案僅能支持門限訪問結構策略.最近，Liu等人[15]通過觀察Boyen-Mei-Waters方法[16]，創新性地將在線離線簽名的變色龍Hash技術[17]應用到加密方案中，最終給出一個選擇密文安全KP-ABE方案的直接構造，但該方案要求ABE方案需支持大屬性空間特性.

在ABE體制中，基于屬性的訪問結構有單調訪問結構和非單調訪問結構2種[18].具體來說，單調訪問結構僅支持“與”、“或”、“門限”操作，而非單調訪問結構可以額外支持“非”操作.因此，非單調的訪問結構允許用戶的私鑰可以基于任意訪問結構生成，加大了方案的表達能力，增加了ABE方案的具體實際應用場景的范圍.

本文在已有工作的基礎上，給出2個具體的支持快速解密性質的KP-ABE構造：

1) 觀察文獻[8]中的方案，利用實現非單調訪問結構的技術[18-19]，借助隨機預言機[20]使得方案支持大屬性空間.最終提出一個支持非單調訪問結構、支持大屬性空間的快速解密素數階KP-ABE構造，并證明是滿足選擇屬性集合和選擇明文安全性定義.

2) 基于方案1，借鑒實現支持任意單調訪問結構技術[11]，將原有方案表達能力進一步加強.觀察Liu等人[15]用于直接構造CCA安全KP-ABE方案的變色龍Hash技術[17].最終提出一個具備豐富表單能力、支持非單調訪問結構、支持大屬性空間的高效選擇密文安全快速解密素數階KP-ABE方案構造.

1 預備知識

1.1 訪問結構

定義1. 令{P1,P2,…,Pn}是一個參與方集合.一個單調的訪問結構是指一個非空的集合?2{P1,P2,…,Pn}{?}：對于任意B,C，若B∈且B?C，則C∈.在的集合被稱為授權集合，不在的集合被稱為非授權集合.

1.2 線性秘密分享方案

令S∈是一個任意授權集合，I?{1,2,…,}定義為I?{i|ρ(i)∈S}.若{λi}是根據∏關于任意秘密s的有效分享碎片，則存在一組常數集合{μi}i∈I，滿足μiλi=s.令Wi表示W中的第i行，有).其中{μi}i∈I可以通過高斯消除法計算得到.

1.3 密鑰策略屬性基加密

一個KP-ABE方案由4個算法構成：

1) 系統建立Setup(1λ).系統建立算法以安全參數λ作為輸入；輸出公開參數MPK以及主密鑰MSK.

2) 加密Encrypt(MPK,M,S).加密算法以公開參數MPK、消息M和屬性集合S作為輸入；輸出密文CT.

3) 密鑰生成KeyGen(MPK,MSK,).密鑰生成算法以MPK、MSK、訪問結構作為輸入；輸出一個基于訪問結構的密鑰SK.

4) 解密Dec(MPK,CT,SK).解密算法輸入公開參數MPK、密文CT以及密鑰SK.當屬性集合滿足訪問結構，即S∈時，算法返回消息M.

安全模型：KP-ABE的安全模型是由一個挑戰者和一個攻擊者A完成的游戲進行定義：

1) 系統建立階段.挑戰者運行Setup算法，并將公開參數MPK發送給攻擊者.

2) 詢問階段1.該階段攻擊者將會自適應地向挑戰者發出2種詢問：

② 密文問詢.攻擊者問詢關于集合S的密文CT.挑戰者構造使得S能夠滿足的訪問結構，運行密鑰生成算法KeyGen(MPK,MSK,)得到密鑰SK；再運行解密算法Dec(MPK,CT,SK)解密密文CT，并將得到的結果返回給攻擊者.

3) 挑戰階段.攻擊者遞交2個等長的消息M0,M1.除此之外，還會遞交一個屬性集合S*，但該集合不能滿足詢問階段的任一訪問結構.挑戰者隨機擲一枚硬幣b，然后基于屬性集合S*加密Mb得到挑戰密文CT*，并將CT*傳遞給攻擊者.

4) 詢問階段2.與階段1相同.

5) 猜測階段.攻擊者會輸出關于b的猜測值b′.實驗輸出結果1當且僅當b=b′.

定義3. 對于所有的概率多項式時間攻擊者A，如果存在一個可忽略函數使得

成立，對于屬性空間U的密鑰策略屬性基加密方案KP-ABE是選擇密文安全的.

選擇性屬性集合安全(selective security).如果在系統建立階段之前增加一個初始化階段，在該階段中攻擊者必須將要挑戰的屬性集合S*發送給挑戰者，那么認為該KP-ABE方案是選擇性屬性集合安全.

選擇明文安全(chosen plaintext security).如果在詢問階段中將密文問詢階段去除掉，那么認為該KP-ABE方案是選擇明文安全的.

1.4 雙線性映射

1) 雙線性性.對于所有的u,v∈和a,b∈p，有e(ua,vb)=e(u,v)ab.

2) 非退化性.e(g,g)≠1.

定義4. 判定性BDHE.令a,s∈p是隨機選取的元素，g是一個階為p∈Θ(2λ)群的生成元.判定性q-BDHE是指給定向量：

y=(,p,g,gs,ga,…,g(aq),g(aq+2),…,g(a2q)),

對于所有的概率多項式時間攻擊者A，以一個關于λ的可忽略優勢區分e(g,g)aq+1s∈T和一個隨機元素R∈T.攻擊者A的優勢定義如下：

|Pr[A(y,e(g,g)aq+1s)=0]-Pr[A(y,R)=0]|,

2 CPA安全的快速解密KP-ABE方案

基于文獻[8]提出的快速解密KP-ABE方案，文獻[19]給出一個支持屬性變成函數加密[21]方案的KP-ABE方案，并實現了固定短密文長度.通過觀察這2個KP-ABE方案[8,19]，借助隨機預言機結合非單調訪問結構技術，本節給出一個在選擇性屬性集合安全和選擇明文安全模型下、支持非單調訪問結構、大屬性空間及快速解密等良好性質的KP-ABE方案(注意到在支持快速解密特性同時，試圖在大屬性空間下實現固定密文長度這一工作仍是目前的一個公開問題).同時，該方案對下一節構造實際高效的選擇密文安全的KP-ABE(同時保持支持非單調訪問結構、大屬性空間、快速解密等良好特性)做好準備工作.

最終，本節提出了一個支持非單調訪問結構、大屬性空間的快速解密KP-ABE方案.

2.1 KP-ABE方案描述

本節提出的KP-ABE方案由4個算法組成：

1) 系統建立Setup(1λ).系統建立算法選擇一個素數階為p∈Θ(2λ)的雙線性群，隨機選取一個生成元g∈.然后，選取隨機元素h0,u∈和α∈p.令Hash函數H:{0,1}*→，令H作為一個預言機.給定任意比特串zi∈U，其中i∈|k|，定義hi=H(zi).最后，設置方案公開參數MPK=(,p,g,h0,H,e(g,g)α)以及主私鑰MSK=(PK,α).

2) 加密Encrypt(MPK,M,S=(x1,x2,…,xk)?{0,1}*).加密算法以公開參數MPK、消息M∈T和給定屬性集合S=(x1,x2,…,xk)?U作為輸入.算法隨機選取s∈p，對于任意的屬性xi∈{0,1}*，其中i∈|k|，令hi=H(xi).輸出密文CT=(S,rch,C,C0,C1,C2,C3)，其中C=M.

3) 密鑰生成KeyGen(MPK,MSK,).密鑰生成算法以MSK、一個非單調的訪問結構作為輸入.給定一個對于屬性集合S的非單調訪問結構，存在一個對于屬性集合的單調訪問結構滿足關系=NM().令=(W,ρ)，其中W是一個×m的矩陣，映射ρ:[]→n.利用Share算法計算秘密碎片{λi}i∈[].對于分享矩陣W的每一行Wi，隨機選取ri∈p，然后:

① 當ρ(i)是一個正常屬性時，計算:

② 當ρ(i)是一個拒絕屬性時，計算:

輸出密鑰：

然后，對于每一行i，有：

① 當ρ(i)是一個正常屬性時，解密可以先對密鑰做預計算.計算：

再計算得到：

② 當ρ(i)是一個拒絕屬性時，解密可以先對密鑰做預計算.計算：

再計算得到：

最后，解密算法可以計算得到:

3 安全性分析

結合文獻[8,19]的證明技巧，特別是文獻[19]的證明思路，本文采用定理1給出方案的安全性證明.

證明. 令e:×→T是一個雙線性映射，|U|是屬性集合中屬性數目，這里|U|是關于安全參數1λ的多項式.假設存在一個PPT的攻擊者，在實驗中以不可忽略的概率輸出結果1，那么就可以構造一個PPT的模擬器B打破群的|U|-BDHE問題，具體過程如下：

1) 初始化階段.攻擊者A提交用于生成挑戰密文的屬性集合S*.

2) 系統建立階段.模擬器B收到來自|U|-BDHE關于系統參數的挑戰輸入：

(,p,g,gs,ga,…,ga|U|,ga|U|+2,…,ga2|U|,T),

其中，T=e(g,g)a|U|+1s或是T中的隨機元素R.然后，隨機選取α′∈p，設置e(g,g)α=e(g,g)α′·e(ga,ga|U|)，并私下設置α=α′+a|U|+1.最終，模擬器B將設置好的公開參數MPK發送給攻擊者A.

3) 詢問階段1.模擬器B模擬預言機H:{0,1}*→如下：①在實驗開始時初始化一個表TRO.②一旦收到關于屬性xi的問詢，模擬器B會首先檢測該屬性xi是否存在于表TRO中，若存在則直接返回結果；若不存在，則首先創建一個新表項(xi,i,hi)，并隨機選取zi←p，計算hi=gzigai.這里，可以認為返回的結果hi是與中的隨機元素獨立同分布的.③再隨機選取z0←p，并計算得到h0=gai.該階段攻擊者將會自適應地向挑戰者發出密鑰詢問.攻擊者問詢關于非單調訪問結構的密鑰，挑戰者會運行KeyGen算法將計算出的密鑰返回給攻擊者，分為2個步驟完成：

Ⅱ. 如果ρ(i)?N(S*)，而且ρ(i)是一個正常屬性時，則有ρ(i)?S*.首先計算ci=v Wi，那么λi=αci=ci(α′+a|U|+1).利用消除技術去除密鑰元素，令ri=-cia|U|+1-ρ(i)，因此模擬器B有能力計算：

② 至此，模擬器B生成了有效密鑰，但這些密鑰并滿足良好分布，需要再對這些密鑰進行隨機化操作，這里采用文獻[9]中提到的技術.首先隨機選取y2,y3,…,yn∈p，設置向量v#=(0,y2,y3,…,yn)，計算關于0的秘密分享碎片，得到i,j}j∈Uρ(i).之后，將第1步驟生成的有效密鑰隨機化:

*Di=Di(#Di),

{*Di,j=Di,j(#Di,j)}j∈Uρ(i),

最終，將滿足均勻隨機分布的密鑰傳遞給攻擊者.

4) 挑戰階段.攻擊者A提交2個等長的消息M0,M1,模擬器B會隨機選取一個比特位b←{0,1}，然后基于挑戰屬性集合S*生成挑戰密文:

C*=MT,

如果T=e(g,g)a|U|+1s，上面的密文是對Mb的有效加密，否則是對T中隨機元素的加密.

5) 詢問階段2.與詢問階段1相同.

6) 猜測階段.最終，攻擊者輸出一個關于的猜測值b′.如果b=b′，輸出0(猜測T=e(g,g)a|U|+1s)；否則輸出1(猜測T是一個隨機值).

那么，B對A的回應是與KP-ABE的安全游戲同分布的.因此，當實驗中A的輸出為1,這則意味著B成功解決了判定性的|U|-BDHE問題.

證畢.

4 CCA安全的快速解密KP-ABE方案

Liu等人[15]利用變色龍Hash技術得到選擇密文安全的KP-ABE的直接構造，使得在實現CCA安全性時帶來很小的開銷.本節試圖利用該技術實現表達能力豐富的快速解密KP-ABE方案.但發現該技術只適用于大屬性空間，因此借助隨機預言機，將Lai等人提出的僅支持單調訪問結構的小屬性空間快速解密KP-ABE方案[9]拓展支持非單調訪問結構大屬性空間快速解密KP-ABE方案.基于第2節CPA安全性方案，最終提出CCA安全的KP-ABE方案.

Lai的方案能夠支持任意單調訪問結構，可以認為訪問結構表達能力豐富.技術上是將屬性空間分為2個部分：屬性名和屬性值.假設與密文綁定的屬性集合數目恰好為n，而這n個屬性又恰好來自于n個不同的屬性名類.根據文獻[9]有性質：對于每一個屬性i分類的唯一屬性zi，該屬性集合可以被表示為(z1,z2,…,zn).對應一個訪問結構(W,ρ,I)，其中W是一個×n的矩陣，映射ρ:[]→n,T=(tρ(1),tρ(2),…,tρ())∈，其中tρ(i)是訪問結構下特定的屬性名ρ(i).因此，一個屬性集合S=(z1,z2,…,zn)滿足訪問結構(W,ρ,I)，當且僅當存在一個集合I?{1,2,…,}和一組常數{μi}i∈，對于所有i∈I滿足關系：

在實現選擇密文安全性時，借鑒變色龍Hash技術實現.本節尋找到一個基于decisional Diffie-Hellman的挑戰密文結構g,gs′,uV,(uV)s′同樣將對屬性空間p分為2部分：1)用作正常屬性空間U=；2)用作虛擬屬性空間.這樣就使得虛擬屬性空間僅用作密文的有效性檢測，并不能用來對正常屬性空間的密文作檢測.

最終，本節提出了一個具備豐富表達能力、支持非單調訪問結構、大屬性空間、選擇密文安全快速解密KP-ABE方案.

4.1 方案描述

本節提出的KP-ABE方案由4個算法組成：

1) 系統建立Setup(1λ).系統建立算法選擇一個素數階為p∈Θ(2λ)的雙線性群，隨機選取一個生成元g∈.然后，選取隨機h0,u∈和α∈p.這里，定義.因此，U∩V=?,U∪V=p.令Hash函數H:U→，將令H作為一個預言機.給定任意zi∈U，其中i∈|k|，定義hi=H(zi).繼而，定義一個變色龍Hash函數Hash:{0,1}*→V.最后，設定方案公開參數MPK=(Hash,,p,g,h0,H,u,ω,e(g,g)α)以及主私鑰MSK=(PK,α).

2) 加密Encrypt(MPK,M,S=(z1,z2,…,zk)?U).加密算法以MPK、消息M∈T和給定屬性集合S=(z1,z2,…,zk)?U作為輸入.算法隨機選取s,s′∈p，對任意的屬性zi∈U，其中i∈|S|(定義|S|的值恰好是n)，令hi=H(zi).計算,隨機選取rch←R并設置V=Hash(pkch,pkch‖C‖C0‖C1‖…‖Cn+1‖Cn+2,rch)∈V，再計算得到C4=(uV)s′ωs.輸出密文CT=(S,rch,C,C0,{Ci}i∈[n]Cn+1,Cn+2,Cn+3)，其中:

C=Me(g,g)αs,

Cn+1=gs,

Cn+2=gs′,

Cn+3=(uV)s′ωs.

3) 密鑰生成KeyGen(MPK,MSK,).密鑰生成算法以MSK、一個非單調的訪問結構作為輸入.給定一個對于屬性集合S的非單調訪問結構，存在一個對于屬性集合的單調訪問結構滿足關系=NM().令=(W,ρ)，其中W是一個×m的矩陣，映射ρ:[].令=(W,ρ,T)，其中W是一個×n的矩陣，映射ρ:[]→n，且T=(tρ(1),tρ(2),…,tρ())∈.該算法利用Share算法計算秘密碎片{λi}i∈[].對于分享矩陣W的每一行Wi，隨機選取ri∈p，然后:

① 當ρ(i)是一個正常屬性時，計算:

② 當ρ(i)是一個拒絕屬性時，計算:

輸出密鑰:

e(g,Cn+3)=e(Cn+2,uV)e(Cn+1,ω).

這里的密文有效性是可以公開檢測的，因為所需要用到的公開參數MPK和密文都是公開的.

② 解密部分步驟.令(W,ρ,T)是對于的一個LSSS結構，可以找到一組I?{1,2,…,}和一組常數{μi}i∈，對于所有i∈I滿足：

對在集合里面的密文元素做聚合操作，定義:

對于每一行i，有：

Ⅰ. 當ρ(i)是一個正常屬性時，解密可以先對密鑰做預計算.計算:

再計算得到:

Ⅱ. 當ρ(i)是一個拒絕屬性時，解密可以先對密鑰做預計算.計算:

再計算得到:

最后，解密算法可以計算得到:

4.2 安全性分析

在選擇密文安全性的證明中，基本證明思路與第3節一致.但是，攻擊者在階段1和階段2中除了自適應性地向攻擊者問詢關于訪問結構的密鑰外，同樣可以發出密文問詢.在這一部分的模擬中，與文獻[12]中思路基本一致.

1) 當S?S*，得到問詢密鑰無法解密基于挑戰屬性集合生成的挑戰密文；

2) 當S?S*和V≠V*，該部分滿足正常屬性空間構成的訪問結構密鑰，并不能解密關于基于虛擬屬性空間生成的CCA的挑戰密文結構；

3) 當S?S*和V=V*，模擬器無法模擬去回答，導致攻擊者以1|V|=2(p-1)的概率使得游戲終止.

因此，最終在隨機預言機模型下，可以證明在該方案基于|U|-BDHE和安全的變色龍Hash函數，本文的方案是選擇性屬性集合安全和選擇密文安全的.

5 方案對比

本節將本文提出的2個快速解密KP-ABE方案與文獻[8-9]進行對比，如表1所示:

Table 1 Comparison with other KP-ABE schemes with Fast Decryption

本文第3節、第4節提出的方案均支持大屬性空間、非單調訪問結構.除此之外，第4節提出的快速解密KP-ABE方案額外支持了類似“屬性復用”的功能以及選擇密文安全性.在安全性假設方面，文獻[11]的方案是依賴于合數階群下的子群假設，而文獻[9]和本文的方案則是依賴于素數階群下的假設.對比其他相關工作，本文方案實現了一些良好性質，但卻需要借助隨機預言機實現.

表1在加密、解密時間的分析上，僅考慮“統治級”運算.其中，加密開銷僅考慮群中冪運算(Exp)個數，解密開銷僅考慮雙線性對運算(Pairing)個數，可以看出4個方案解密開銷相當.但是，本文的2個方案為了實現非單調訪問結構，它們的密鑰長度和解密開銷中的冪次運算大約為文獻[8-9]的2倍.特別地，為了在訪問結構額外實現類似“屬性復用”的功能，第4節的方案需要更多的加密開銷.除此之外，由于本文的2個方案支持大屬性空間，無法采用密文聚合技術，因此密文長度比文獻[8]要分別多1個和3個群元素，而基于合數階群假設的文獻[9]則實現了固定密文長度.對比其他相關工作，本文雖然借助了隨機預言機實現了一些良好性質，但卻犧牲了一些空間和時間效率.

6 結束語

本文借助隨機預言機安全給出2個支持非單調訪問結構(表達能力豐富)、大屬性空間的快速解密KP-ABE構造，其中1個實現選擇明文安全性，1個實現選擇密文安全性.本文的未來工作是在標準模型下得到適應性選擇密文安全高效快速解密KP-ABE方案，并在大屬性空間下實現短固定密文長度并支持非單調的訪問控制結構.

[1]Dan B, Franklin M. Identity-based encryption from the weil pairing[J]. Siam Journal on Computing, 2003, 32(3): 213-229

[2]Shamir A. Identity-based cryptosystems and signature schemes[G] //LNCS196: Proc of Advances in Cryptography (CRYPTO 1984). Berlin: Springer, 1985, 21(2): 47-53

[3]Cao Z. New Directions of Modern Cryptography[M]. Boca Raton, Florida: CRC Press, 2012

[4]Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted data[G] //Proc of the 13th ACM Conf on Computer and Communications Security (CCS). New York: ACM, 2006: 89-98

[5]Sahai A, Waters B. Fuzzy identity-based encryption[G] //LNCS 3494: Proc of the 24th Annual Int Conf on the Theory and Applications of Cryptographic Techniques (EUROCRYPT). Berlin: Springer, 2005: 457-473

[6]Su Jinshu, Cao Dan, Wang Xiaofeng, et al. Attribute based encryption schemes[J]. Journal of Software, 2011, 22(6): 1299-1315(蘇金樹, 曹丹, 王小峰, 等. 屬性基加密機制[J]. 軟件學報, 2011, 22(6): 1299-1315)

[7]Fu Yingxun, Luo Shengmei, Shu Jiwu. Survey of secure cloud storage system and key technologies[J]. Journal of Computer Research and Development, 2013, 50(1): 136-145(傅穎勛, 羅圣美, 舒繼武. 安全云存儲系統與關鍵技術綜述[J]. 計算機研究與發展, 2013, 50(1): 136-145)

[8]Hohenberger S, Waters B. Attribute-based encryption with fast decryption[G] //LNCS 7778: Proc of the 16th Int Conf on Practice and Theory in Public-Key Cryptography (PKC). Berlin: Springer, 2013: 162-179

[9]Lai J, Deng R H, Li Y, et al. Fully secure key-policy attribute-based encryption with constant-size ciphertexts and fast decryption[G] //Proc of the 9th ACM Symp on Information, Computer and Communications Security. New York: ACM, 2014: 239-248

[10]Yannis R, Waters B. Practical constructions and new proof methods for large universe attribute-based encryption[C] //Proc of the 2013 ACM SIGSAC Conf on Computer & Communications Security. New York: ACM, 2013: 463-474

[11]Ran C, Halevi S, Katz J. Chosen-ciphertext security from identity-based encryption[J]. SIAM Journal on Computing, 2007, 36(5): 1301-1328

[12]Yamada S, Attrapadung N, Hanaoka G, et al. Generic constructions for chosen-ciphertext secure attribute based encryption[G] //LNCS 6571: Proc of the 14th Int Conf on Practice and Theory in Public Key Cryptography (PKC). Berlin: Springer, 2011: 71-89

[13]Chen C, Zhang Z, Feng D. Efficient ciphertext policy attribute-based encryption with constant-size ciphertext and constant computation-cost[G] //LNCS 7778: Proc of the 5th Int Conf on Provable Security. Berlin: Springer, 2011: 84-101

[14]Ge A, Zhang R, Chen C, et al. Threshold ciphertext policy attribute-based encryption with constant size ciphertexts[G] //LNCS 7372: Information Security and Privacy. Berlin: Springer, 2012: 336-349

[15]Liu W, Liu J, Wu Q, et al. Practical direct chosen ciphertext secure key-policy attribute-based encryption with public ciphertext test[G] //LNCS 8713: Proc of the 19th European Symp on Research in Computer Security (ESORICS). Berlin: Springer, 2014: 91-108

[16]Xavier B, Mei Qixiang, Waters B. Direct chosen ciphertext security from identity-based techniques[G] //Proc of the 12th ACM Conf on Computer and Communications Security. New York: ACM, 2005: 320-329

[17]Krawczyk H M, Rabin T D. Chameleon hashing and signatures[EB/OL]. International Association for Cryptologic Research (1998-03-17) [2016-08-15]. http://eprint.iacr.org/1998/010

[18]Rafail O, Sahai A, Waters B. Attribute-based encryption with non-monotonic access structures[G] //Proc of the 14th ACM Conf on Computer and Communications Security (CCS). New York: ACM, 2007: 195-203

[19]Huo W, Pei J, Zhang K, et al. KP-ABE with attribute extension: Towards functional encryption schemes integration[G] //Proc of the 6th Int Symp on Parallel Architectures, Algorithms and Programming. Piscataway, NJ: IEEE, 2014: 230-237

[20]Bellare M. Random oracles are practical: A paradigm for designing efficient protocols[C] //Proc of the 1st ACM Conf on Computer & Communication Security. New York: ACM, 1970: 62-73

[21]Dan B, Sahai A, Waters B. Functional encryption: Definitions and challenges[G] //LNCS 6597: Proc of the 8th Theory of Cryptography Conf. Berlin: Springer, 2010: 253-273

Zhang Kai, born in 1990. PhD candidate. His main research interests include public key cryptography and information security.

Wei Lifei, born in 1982. PhD. His main research interests include cryptography and cyber security (Lfwei@shou.edu.cn).

Li Xiangxue, born in 1974. Professor and PhD supervisor. His main research interests include cryptography and information security (xxli@cs.ecnu.edu.cn).

Chen Jie, born in 1985. Professor and PhD supervisor. His main research interests include public key cryptography and information security (jchen@cs.ecnu.edu.cn).

Qian Haifeng, born in 1977. Professor and PhD supervisor. His main research interests include cryptography and network security.

An Efficient and Expressive Attribute-Based Encryption Scheme with Chose Ciphertext Security

Zhang Kai1,2, Wei Lifei3, Li Xiangxue1,4, Chen Jie1,2, and Qian Haifeng1

1(DepartmentofComputerScience&Technology,EastChinaNormalUniversity,Shanghai200241)2(TheStateKeyLaboratoryofIntegratedServicesNetworks(XidianUniversity),Xi’an710071)3(CollegeofInformationTechnology,ShanghaiOceanUniversity,Shanghai201306)4(WestoneCryptologicResearchCenter,Beijing100070)

Attribute-based encryption (ABE) is a promising version of public key encryption, since it enables fine-grained access control on the encrypted data. In a key-policy ABE (KP-ABE) scheme, every ciphertext is related to attributes set and each secret key is associated with an access structure. Therefore, the decryption overhead is usually proportional to the number of attributes used in decryption process in most existing KP-ABE schemes. Inspired by Hohenberger and Waters’ KP-ABE scheme with fast decryption, we propose a large universe KP-ABE with fast decryption supporting non-monotonic access structure, which is proven selective chosen attribute set secure and chosen plaintext secure in the random oracle model. Moreover, observing Lai et.al expressive KP-ABE with fast decryption and applying with Chameleon Hash technique used to give a direct chosen ciphertext secure KP-ABE construction, we also give a direct chosen plaintext secure KP-ABE construction in the random oracle model, which still achieves the following features: non-monotonic access structure, large-universe and fast decryption. Compared with the related work, both two expressive large universe KP-ABE schemes enjoy comparable time efficiency in decryption process.

attribute-based encryption (ABE); chosen ciphertext security; non-monotonic access structure; fast decryption; large-universe

2016-06-15；

2016-08-17

國家自然科學基金項目(61571191,61572192,61472142,61402282);上海市科學技術委員會科技項目(13JC1403502);上海市青年科技英才揚帆計劃項目(14YF1404200,14YF1410400);綜合業務網理論及關鍵技術國家重點實驗室開放基金項目(ISN17-11);華東師范大學研究生科研創新實踐資助項目

錢海峰(hfqian@cs.ecnu.edu.cn)

TP309

This work was supported by the National Natural Science Foundation of China (61571191, 61572192, 61472142, 61402282), the Project of Science and Technology Commission of Shanghai Municipality(13JC1403502), the Shanghai Yang-Fan Plan (14YF1404200, 14YF1410400), the Open Foundation of the State Key Laboratory of Integrated Services Networks (ISN17-11), and the East China Normal University Fund for Graduate Student's Scientific Research, Innovation and Practice.