基于格的多授權密文屬性加密方案

摘 要： "綜合分析現有的基于密文策略屬性加密方案的基礎上，針對現有的密文策略屬性加密方案中單授權中心負擔過重以及基于傳統BDH（bilinear Diffie-Hellman）困難假設的屬性加密方案不能抵抗量子攻擊的問題，結合格理論構造一個新的多授權中心密文屬性基加密方案。方案可實現多授權中心對用戶屬性的分散管理，方案使用格上的抽樣算法為用戶生成密鑰，采用線性秘密共享方案來實現屬性訪問控制策略，支持“與、或與門限”運算，矩陣形式可以支持格上的并行算法，算法的效率更高，安全性證明規約至判定性帶誤差學習問題的難解性，安全性更滿足云環境的要求。

關鍵詞： "屬性加密； 多授權中心； 格； 線性秘密共享方案； 帶誤差學習

中圖分類號： "TP309.7 """文獻標志碼： A

文章編號： "1001-3695（2022）02-000-0001-00

doi：10.19734/j.issn.1001-3695.2021.05.0254

Multi-authority ciphertext-policy attributed-based encryption scheme from lattice

Tang Hui， Wang Xueming

（College of Computer Science amp; Technology， Guizhou University， Guiyang 550025， China）

Abstract： "Based on a comprehensive analysis of existing encryption schemes based on ciphertext strategy attributes，the existing ciphertext strategy attribute encryption schemes are bottlenecked by a single authorization center and an attribute encryption scheme based on the difficult assumption of traditional BDH （bilinear Diffie-Hellman） that cannot resist.The problem is that quantum attacks are combined with the lattice theory to construct a new multi-authorization center ciphertext attribute-based encryption scheme.The scheme could achieve decentralized management of user attributes by the multi-attribute authorization center.The scheme used the sampling algorithm on the grid to generate keys for users，adopted linear encoded sharing technology to achieve the attribute access control strategy，supported “and，or and threshold” operations.The form can support parallel algorithms on the grid，where the algorithm is more efficient，security proves the intractability of learning problems with inherent errors from the protocol to the decision，and it′s more than satisfies the requirements for cloud environment.

Key words： "attributed-based encryption; multi-authority; lattice; linear secret sharing scheme; learning with errors

0 引言

隨著信息技術和網絡通信的快速發展，云計算作為信息領域的一種新的資源利用不斷改變著人們的生活，云存儲（cloud storage）作為云計算的發展，將一系列不同類型的網絡存儲設備組織起來，可以方便地實現數據的存儲，讓用戶可以不受時間和地點的限制進行數據的存取，但云存儲中的安全問題［1］不容小覷，這些問題會嚴重危害到云數據的安全性和完整性。屬性加密是一種新型加密技術，利用屬性集來對用戶進行標志和訪問控制，能夠實現一對多以及多對多的安全訪問控制問題，是面向云存儲環境一種理想訪問模型。格密碼學是一種活躍的抗量子密碼體制，在安全性和計算效率上比傳統方案更為優良，因此結合格密碼構造新的基于屬性的加密方案，使其能夠抗量子攻擊，能為云環境提供更好的安全控制和隱私保護。

2005年，針對基于生物特征進行加密的容錯性問題，Sahai等人［2］利用雙線性對的知識，首次提出了模糊基于身份加密的概念，并將其進一步擴展，引申出了屬性加密（attribute-based encryption，ABE）的概念，使用一系列屬性來作為用戶的標志，并在選擇身份安全模型下完成了對方案的安全性證明。2006年，Goyal等人［3］將屬性加密根據加密策略的不同分為密文策略屬性加密（ciphertext-policy attribute-based encryption，CP-ABE）以及密鑰策略屬性加密（key-policy attribute-based encryption，KP-ABE）。傳統的屬性加密方案只有一個屬性機構負責管理系統中所有屬性，并且還承擔為用戶分發私鑰的任務，給屬性機構帶來嚴重的計算負擔，因此從單機構擴展到多機構的屬性加密方案被提出。

2007年，Chase［4］首次實現了多機構的CP-ABE方案，其授權機構由一個中央機構和多個屬性機構組成。中央機構負責為用戶分發身份相關的密鑰，屬性機構負責為用戶分發屬性相關的密鑰，但在該方案中，中央機構依然具有很強的解密能力，是很不安全的。為了解決中央機構解密權限過大的安全問題，Chase等人［5］在2009年構造了一種無中心的多機構CP-ABE方案，該方案通過一個分布式偽隨機函數移除可信中央機構，但該方案需要所有屬性機構必須在線通過交互才能建立系統，且只支持門限訪問結構。2011年，Liu等人［6］提出一種無中心的多機構CP-ABE方案。該方案是基于合數階雙線性群在隨機預言機模型下構建的，安全性差且效率較低。之后不斷有基于雙線性群構建的多機構屬性加密方案，其密文長度一般與訪問結構復雜度呈線性正相關，存在一個解密效率低的問題。

2015年，Zhang等人［7］提出了一個基于格的多授權中心屬性加密方案，方案在隨機預言機下是安全的，僅支持屬性的門限操作。2017年，閆璽璽等人［8］提出了一個基于LWE的多機構屬性加密方案，利用Shamir門限秘密技術，將秘密分散到多個授權中心，能夠抵抗屬性的合謀攻擊，其后2018年，給出了一個改進方案［9］，采用訪問樹結構實現屬性策略管理，可以支持與、或和門限三種屬性策略的表達。

可見，現有的多機構屬性加密方案主要是基于雙線性對所構造的，都存在一些問題。利用格理論構造的多機構屬性加密方案并不成熟，因此本文提出一種新的基于格的密文策略屬性加密方案，主要包含以下思想：a）利用格理論的困難問難來構造多機構屬性加密方案，提高方案的安全性；b）使用線性秘密共享技術來構造訪問策略，表達能力更強，靈活性更高。

1 相關知識

1.1 格的相關定義

定義1 ""{b 1，b 2，…，b n}為Rm中n個線性無關的向量。由{b 1，b 2，…，b n}這一組線性無關向量生成的n維格定義為：Λ={∑ n i=1 c ib i：c i∈Z，i=1，2，3，…，n}，其中{b 1，b 2，…，b n} 稱為格的一組基。

定義2 "（ q-元格） 如果格中的元素都是整數，則稱其為整數格。令q為一素數， A ∈Zn×m q，u∈Zn q，定義整數格為Λ q（ A ）={y∈Z m：y=ATs "mod "q，s∈Zn}；Λ⊥ q（ A ）={y∈Z m： A y=0 "mod "q }。

定義3 "對于向量 c ∈Rm和正數s∈R，定義格Λ上以為c中心，以σ為參數的離散高斯分布為：D Λ，σ，c（x）= ρ σ，c（x） ρ σ，c（Λ） = ρ σ，c（x） ∑ x∈Λ ρ σ，c（Λ） ，其中ρ σ，c（x）= exp （-π‖x-c‖2/σ2）

1.2 相關算法和困難問題

引理1 "如果對于 q=poly（n），n為正整數，m≥2n log "2q，對于除了移去2q-n部分的 A ∈Zn×m q和任意高斯分布σ≥ω（ "log "2 m ），有 e ∈D Zm，σ，其中D Zm，σ為離散高斯分布，所得u= A e "mod "q的分布和Zn q 上的均勻分布是統計接近的。

引理2 "陷門生成算法 TrapGen（q，n）：如果對于q=poly（n），n為正整數，m≥2n "log "2 q，存在概率多項式時間算法TrapGen（q，n）生成均勻隨機矩陣 A ∈Zn×m q和陷門矩陣 T "A∈Zn×m q，其中 T "A是矩陣 A 的陷門，且‖T A‖≤O（ "log "2 m "）。

引理3 "左抽樣算法 SampleLeft（ A，A "1，T A，u，σ） ：

輸入：一個秩為 n的矩陣 A ∈Zn×m q，矩陣 A "1∈Zn×m 1 q，格Λ⊥ q（ A ）的格基T A∈Zm×m q，向量 u ∈Zn q和高斯參數σ≥‖T A‖·ω（ "log "2（m+m 1） ） 。

輸出：令 F 1= A|A R+ A "1，該算法輸出向量 e ∈Λu q（F 1），且F 1· e =u "mod "q 。

引理4 "右抽樣算法 SampleRight（ A，A "2，R，T A，u，σ）：

輸入：矩陣 A ∈Zn×m q，一個秩為n的矩陣 A "2∈Zn×m q，均勻隨機R∈{-1，1}m×m，格Λ⊥ q（ A "2）的格基T A 2∈Zm×m，向量 u ∈Zn q和高斯參數σ≥‖T A‖· m ·ω（ log "2m） 。

輸出：令 F 2= A|A R+ A "2，該算法輸出向量 e ∈Λu q（F 2），且F 2· e=u "mod "q 。

定義4 "判定性誤差學習問題 Decision-LWE n，q，χ，m.對于給定的m個獨立抽樣（a i，b i）∈Zn q×Z q，判斷每一個抽樣是來自兩種情況的哪一個（以不可忽略的概率）：a）利用均勻隨機向量 s ∈Zn q，計算得到 LWE分 布A S，χ；b）來自Zn q×Z q 上的均勻分布。

具體描述如下，給定素數參數 q，正整數n和高斯分布χ∈Z q，一個（Z q，n，χ）- LWE 問題將實例化為訪問一個不確定挑戰預言機Θ，假設存在一個噪聲偽隨機采樣Θ x攜帶隨機秘密s∈Zn q，或一個真正采樣Θ s ，其行為分別定義如下：

Θ x ：輸出噪聲偽隨機采樣

（ w "i，v i）=（ w "i， w T "ix+χ i）∈Zn q×Z q，其中s∈Zn q是一個均勻分布密鑰，χ i是一個臨時加性噪聲服從χ分布， w "i∈Zn q為均勻分布向量。

Θ s：輸出真正隨機抽樣（w i，v i）∈Zn q×Z q 上均勻的隨機采樣。

允許對挑戰預言機 Θ進行多項式詢問，算法判定（Z q，n，χ） -LWE問題，如果|Pr ［AΘ x=1］- Pr ［AΘ s=1］|對于s∈Zn q不可忽略，則稱該算法能判斷（Z q，n，χ） -LWE問題。

1.3 線性秘密共享方案（linear secret sharing scheme）

參與者集合 p上的一個線性秘密共享方案Π由索引映射函數ρ和共享生成矩陣 M ∈Zl×θ q組成，其中l是指定的共享秘密成員，θ是Π上的一個訪問策略。對于所有i=1，2，…，l，函數ρ映射 M 的第i行到對應成員；矩陣 M 是將包含θ個輸入變量的v=（s，r 2，r 3，…，r θ）映射為具有l個向量的輸出 M ·v=（s 1，s 2，…，s l），它包含Π對應的秘密份額，根據標號函數將秘密份額s i=（ M ·v） i分配給參與者ρ（i） 。

每個方案都享有線性重構特性，假如 Π是訪問策略上A一個方案，則下面的條件一定為真。設S A∈A是任意授權集，I{1，2，…，l}被定義為I={i：ρ（i）∈S}，那么存在常數{k i∈Z q}對于i∈I，當且僅當如果{λ i=（M·v） i}是Π上的一個有效秘密份額，則∑ i∈I k iλ i=s 。

2 方案定義

2.1 方案模型

在多授權中心屬性加密方案模型中包含五個實體：中央授權中心（CA）、屬性機構（AA）、數據服務管理器（DSM）、數據擁有者（DO）、數據用戶（DU），如圖1所示。

中央機構（CA）：CA主要負責生成系統全局參數PK，并管理多個屬性機構（AA），是權威可信的。

屬性機構（AA）：模型中可以有多個屬性機構，每個屬性機構管理部分屬性，但不同的屬性只能對應唯一的屬性機構，AA要為數據用戶分發屬性密鑰。

數據服務管理器（DSM）：DSM主要是指第三方機構，其主要作用是為用戶提供數據存儲服文以便減輕用戶的本地存儲負擔。同時該系統模型假設DSM是誠實并好奇的（honest but curious），即DSM會誠實地執行其所承諾的服務且不與惡意用戶合謀，但出于好奇心和相關利益，其會在服務過程中窺探數據隱私。

數據擁有者（DO）：數據擁有者是指數據實際屬主，其為節省本地存儲資源且實現教據的安全共享而加密數據，使數據以密文的形式存儲在云服務商中資源。

數據用戶（DU）：數據用戶是指數據的使用者，能夠下載數據服務管理器中的密文，并使用屬性密鑰進行解密。

2.2 方案定義

基于格的單CA多AA的CP-ABE方案包含以下四個階段：

a） Setup（λ，U）→（Pk，Mk） ：初始化算法，輸入為一個隨機的安全參數λ和屬性全集U，輸出系統的公共參數Pk和主密鑰Mk 。

b） KeyGen（Pk，U c，Mk）→Sk U c ：密鑰生成算法，算法的輸入為系統公共參數Pk，用戶屬性集U c ，系統主密鑰Mk ，輸出為用戶屬性集上對應的密鑰。

c） Encrypt（Pk，（M，ρ），m）→C：加密算法，算法的輸入為系統公共參數Pk，訪問策略（M，ρ），消息比特m∈{0，1}，算法輸出消息的密文C 。

d） Decrypt（Pk，Sk U c，C）→m：解密算法，輸入公共參數Pk，用戶屬性密鑰Sk U c，密文C，如果用戶屬性集U c滿足訪問結構，算法輸出解密后的明文消息m ，否則算法停止 。

2.3 安全模型

本文方案的安全模型是選擇訪問結構和選擇明文攻擊下的不可區分性（indistinguishability against selective access structure and chosen-plaintext attack，IND-sAS-CPA）游戲，游戲中包含一個挑戰者C和一個敵手A，挑戰者C模擬系統運行并回答敵手的詢問，具體游戲如下。

Setup：敵手選擇要挑戰的訪問結構 A*=（M*，ρ*） ，并將其發送給模擬器；模擬器生成系統公共參數Pk和系統主私鑰Mk，并將Pk發送給敵手 。

Phase 1： 敵手為不屬于訪問結構A*的屬性集合S 發出私鑰請求。模擬器根據敵手提交的屬性集合為其生成私鑰，并將私鑰發送給敵手 。

Challenge： 敵手隨機選擇明文比特m*∈{0，1}發送給模擬器，模擬器隨機選擇b∈{0，1}。如果b=0，則模擬器根據敵手的訪問結構A*加密明文，生成挑戰密文，并將挑戰密文發送給敵手；如果b=1，則模擬器隨機選擇挑戰密文，并將挑戰密文發送給敵手 。

Phase 2：重復Phase 1。

Guess：敵手輸出對 b的猜想b′ 。

3 方案構造

3.1 初始化

Setup（λ，U）→（Pk，Mk）：初始化算法，中央機構生成一個隨機的安全參數λ，素數模q，以及兩個正整數n，m，其中ngt;Ω（λ），m為格基維數mgt;5n "log "q，中央授權機構運用TrapGen（q，n）生成矩陣對，即隨即均勻的矩陣 A ∈Zn×m q和格Λ⊥ q（A） 的格基B∈Zm×m q，中央機構再選擇一個均勻隨機向量 u ∈Zn q。中央授權機構發布系統公共參數Pk={ A ，u}和主密鑰Mk={B} 。

3.2 密鑰生成

KenGen（Pk，U c，Mk）→Sk U c：密鑰生成算法，該算法由每個屬性機構分別生成，輸入系統公共參數Pk、用戶擁有的屬性集U c 以及主密鑰Mk生成用戶屬性集密鑰。令U c i為用戶屬性集中的屬性 。

（1）屬性機構 AA "i 隨機選擇一個矩陣 A "i∈Zn×m q，并為用戶屬性集的每個屬性U c i隨機選擇一個均勻的矩陣 B "c i∈Zm×m q，并計算級聯矩陣 F "i= A|A "i+B c i，F i∈Zn×2m q 。

（2）對于用戶擁有的每個屬性 U c i，屬性機構 AA "i調用左抽樣算法生成一個接近于高斯分布的向量作為用戶的屬性私鑰，具體如下SampleLeft（A，A i+B c i，B，u，σ）生成K i，使其滿足F iK i=u "mod "q，其中σgt;‖B‖·ω "log "2（2m） ，‖B‖≤O n "log "2 q 。可知屬性集合和算法輸出的私鑰一一對應，屬性機構輸出用戶的屬性私鑰Sk U c={（K i） U c i∈U c} 。

3.3 加密

Encrypt（Pk，（M，ρ），m）→C ：加密算法，該算法由數據擁有者執行，以公共參數、屬性策略和消息比特為輸入，執行以下操作。首先數據擁有者制定一個訪問策略，然后中央權威通過轉換規則將訪問策略轉換成一個可計算的LSSS矩陣 L =（M，ρ）， M 是一個l×θ的矩陣，ρ（i）∈U，i∈［l］為一種映射，可以將矩陣的每一行都對應數據擁有者制定的屬性策略集中的一種屬性。在加密的過程中選擇隨機列向量 v =（s，r 1，…，r n）∈Z q作為秘密分享矩陣，s∈Z q ，r 1，…，r n 是隨機選擇的， M·v 是n份秘密向量根據一組屬性A c={u c 1，u c 1，…，u c n}上的秘密共享方案。對于i=1，…，n ，計算秘密分享份額為δ i= M "i·v∈Z q， M "i是矩陣 M 的第i行向量，m∈{0，1}為需要加密的消息比特 ，根據離散分布 ""選擇噪聲干擾項χ 1∈Z q和χ 2∈Zm q，輸出密文C 0=uTs+χ 1+mq/2」 "mod "q 。

對于屬性集 A c={u c 1，u c 1，…，u c n}輸出密文C u i=FT u iδT u i+χ 2 "mod "q，輸出密文C={C 1，C u i} 。

3.4 解密

Decrypt（Pk，Sk U c，C）→m：解密算法，該算法由普通用戶執行，以公共參數Pk ，屬性私鑰Sk U c，密文C為輸入，進行以下計算 。

如果用戶屬性集 U c={U c 1，U c 2，…，U c n}∈U，n≤l，滿足訪問策略（M，ρ），存在一個常數向量g U c=［g U c1，g U c2，…，g U cn］滿足g U c·M=ε=［1，0，…，0］，且（M U ci·v）·g U c=s 對于屬性集U c中的屬性，利用生成的私鑰Sk U c={（K i） U c i∈U c}，計算整數m′∈［-q/2」，q/2」］ 。

m′=C 0-∑ n i=1 SkT U cC ig U c "mod "q

判斷 |m′-q/2」|lt;q/4」 是否成立，如果成立輸出1，否則輸出0。

4 方案分析

4.1 正確性分析

假設用戶屬性集 U c={U c 1，U c 2，…，U c n}∈U，n≤l，可以滿足訪問策略，則利用本文方案設置的加密算法加密明文m ，則解密算法以接近于1的概率解密出明文。

證明 "解密算法的輸出為

m=C 0-∑ n i=1 SkT U cC ig U c "mod "q=C 0-∑ n i=1 SkT U c（FT U cδT U c+χ 2）g U c "mod "q=

uTs+χ 1+mq/2」-∑ n i=1 SkT U ciFT U ciδT U cg U c-∑ n i=1 SkT U ciχ 2g U ci "mod "q=

uTs+χ 1+mq/2」-s∑ n i=1 SkT U ciFT U ci-∑ n i=1 SkT U ciχ 2g U ci "mod "q=

uTs+χ 1+mq/2」-suT-∑ n i=1 SkT U ciχ 2g U ci "mod "q=

mq/2」+χ 1-∑ n i=1 SkT U ciχ 2g U ci "mod "qmq/2」

其中： χ 1-∑ n i=1 SkT U ciχ 2g U ci "mod "q 為誤差項，相當于LWE困難問題中的錯誤項，則解密算法可以正確解密密文得到真正的消息 m 。

4.2 安全性證明

本方案的安全模型采用選擇結構和選擇明文攻擊下的不可區分性游戲。

定理 "對于系統參數 n，m，σ，q，α ，在隨機預言模型和LWE假設下，方案是IND-sCPA安全的。如果存在一個PPT（probabilistic polynomial-time）敵手A以不可忽略的優勢 εgt;0攻破方案，則存在一個PPT挑戰者C能夠以的優勢解決（Z q，n，χ） -LWE困難問題。

證明 "LWE問題將實例化為訪問一個不確定挑戰預言機 Θ，它是一個嵌入秘密x∈Zn q的偽隨機抽樣預言機Θ x，或者是一個真隨機預言機Θ s，挑戰者C將模擬一個攻擊環境，并利用敵手A來判斷（Z q，n，χ） -LWE問題中挑戰預言機 Θ 來自哪個預言機。具體運行過程如下：

初始化：（1） 敵手A向挑戰者C發送了一個待挑戰的訪問結構 L*=（M*，ρ*），其中包含的屬性集為U L 。（2）挑戰者C請求采樣預言機 O獲得m+1個LWE采樣樣品（w k，v k）∈Zn q×Z q，其中k∈{0，1，…，m} 。（3）挑戰者C生成系統公鑰參數，首先中央授權中心CA選擇合適的系統參數 n，m，σ，q，挑戰者C從樣品中組裝矩陣 A ∈Zn×m q ，A=［w 1，w 2，…，w m］，u=w 0 。挑戰者C將公共參數 Pk={A，u}發送給敵手A 。

階段1，敵手A為不滿足訪問策略的屬性集 U*={u* 1，u* 2，…，u* i} 請求私鑰。

屬性機構 AA "i對于u* i∈U L∩U，運行陷門生成算法TrapGen（q，n）生成矩陣 B "i∈Zn×m q和短基T B i∈Zm×m q。隨機選擇R*={-1，1}n×m，計算得到 A "i= A R*- B "i 。

屬性機構對于 u* i∈U*∩U， A "i= A R*，令F i= A|A R*+ B "i，調用右抽樣算法SampleRight（ A，B "i，R*，T B i，u，σ）→K* i，可知u=F iK* i mod q。輸出敵手的私鑰SK* i={K* i} 。

挑戰，敵手A接受挑戰，隨機向挑戰者C提交明文比特 m*∈{0，1} ，挑戰者C根據訪問結構 L*=（M*，ρ*）來構造密文，令v 0=wT 0s+χ 1，v i=wT iM* iv′+χ 2，v*=［v 1 v 2 … v m］T ，利用LWE抽樣構造密文 C=（C* 0，C* i），C* 0=v 0+m*q/2」，C* i=（R*）Tv* 。挑戰者C拋擲一枚硬幣， 選取b∈{0，1}，如果b=0 ，則挑戰者C將挑戰密文 C=（C* 0，C* i） 發送給敵手A；如果 b =1，則挑戰者C隨機選擇挑戰密文 C* 0，C* i∈Zm q ，并將隨機生成的挑戰密文發送給敵手A。

階段2，挑戰者C重復階段1。

猜測階段，挑戰者C輸出敵手A對 b的猜想b′ 挑戰LWE問題，如果 b′=b，則輸出Θ=Θ x，此時敵手的優勢為 Pr ［b′=b|Θ=Θ x］=1/2+ξ，如果b′≠b，則輸出O=O s，此時敵手的優勢為 Pr ［′≠b|Θ=Θ s］=1/2 。因此，敵手A能夠以可忽略的優勢 Adv A=1/2 Pr ［b′=b|Θ=Θ x］+1/2 Pr ［b′≠b|Θ=Θ s］-1/2=1/2ξ區分密文的均勻隨機分布，則意味著（Z q，n，χ） -LWE問題不可在多項式時間內解決，則任何多項式時間內敵手贏得IND-sAS-CPA游戲的優勢是可忽略的。

4.3 性能分析

目前，基于屬性的加密一般都使用雙線性映射來實現，為了說明本文方案的性能，將本文方案與文獻［8～10］所提出的基于格的密文策略屬性加密方案進行比較，所使用的指標有是否為多授權中心、安全模型、公鑰大小、主密鑰大小、私鑰大小、密文和訪問結構，比較結果見表1。其中 n，m為格上的有關參數，n為安全參數，m為輸出格的維數，k為系統屬性機構的個數，U c為用戶所擁有屬性的個數，U e 為加密的屬性個數。

從表1可知，文獻［8～10］和本文的新方案都支持多機構屬性機構對屬性進行管理，且都滿足在標準模型下的可證明安全。在訪問結構方面，文獻［8］只支持門限操作，文獻［9，10］利用了Shamir門限秘密機制共享構造訪問樹，門限操作與訪問樹中的非葉子節點對應，靈活實現了“與、或和門限”操作，本文方案采用LSSS共享矩陣表達策略，同樣也支持“與、或和門限”操作，公鑰和主密鑰尺寸上，本文方案與文獻［8，10］都只與系統設置的公共參數相關，且本文方案略優于其他方案，文獻［9］與系統設置的參數和屬性機構個數相關，與屬性機構個數呈一個線性相關的關系，開銷遠大于新方案與文獻［8，10］。私鑰尺寸上，本文方案與文獻［8，10］一樣都采用了計算級聯矩陣再通過采樣函數所得，而文獻［9］優于其他方案的原因是未采用級聯矩陣的方法，僅與單個矩陣的列數和用戶屬性線性相關。在密文尺寸方面，本文方案與文獻［8，10］相同，都與級聯矩陣和屬性策略中屬性個數相關，文獻［9］密文尺寸優于其他方案是因為未采用級聯矩陣來構造密文。相比于其他格上的多機構屬性加密方案，本文方案采用LSSS來進行訪問策略的構造，加解密過程中只需進行矩陣運算，與文獻［9，10］采用訪問樹構造的訪問策略在加解密中需要做遞歸運算相比，本文方案的表達能力更強，效率更高。

6 結束語

本文利用格上的LWE問題構造了一種多機構屬性基加密方案，并證明了方案在標準模型下滿足選擇屬性和選擇明文攻擊安全。同時，使用了線性秘密共享矩陣實現了用戶訪問控制策略，可同時支持屬性策略上的與、或運算，具有更高的靈活性；另外支持多個屬性機構為用戶分發密鑰，減輕了傳統單授權中心的壓力，下一步將對格上的策略隱藏屬性加密方案進行深一步的研究。

參考文獻：

［1］ "沈文婷.云存儲中數據完整性檢測的研究［D］.濟南：山東大學，2020. （Shen Wenting.Research on Data Integrity Checking for Cloud Storage［D］.Jinan：Shandong University，2020.）

［2］ Sahai A，Waters B R.Fuzzy identity-based encryption［C］//Proc of the 24th Annual International Conference on Theory and Applications of Cryptographic Techniques.Berlin：Springer，2004.

［3］ Goyal V，Pandey O，Sahai A， et al .Attribute-based encryption for fine-grained access control of encrypted data［C］//Proc of the 13th ACM Conference on Computer and Communications Security.New York：ACM Press，2006.

［4］ Chase M.Multi-authority attribute based encryption［C］//Proc of Conference on Theory of Cryptography.2007.

［5］ Chase M，Chow S.Improving privacy and security in multi-authority attribute-based encryption［C］//Proc of ACM Conference on Computer and Communications Security.New York：ACM Press，2009.

［6］ Liu Ximeng，Ma Jianfeng，Xiong Jinbo， et al .Threshold attribute-based encryption with attribute hierarchy for lattices in the standard model［J］. IET Information Security ，2014， 8 （4）：217-223.

［7］ Zhang Guoyan，Jing Qin，Qazi S.Multi-authority attribute-based encryption scheme from lattices［J］. Journal of Universal Computerence ，2015， 21 （3）：483-501.

［8］ 閆璽璽，劉媛，胡明星，等.云環境下基于LWE的多機構屬性基加密方案［J］.信息網絡安全，2017（9）：128-133. （YAN Xixi，LIU Yuan，HU Mingxing， et al. LWE-based multi-authority attribute-based encryption scheme in cloud environment［J］. Netinfo Security ，2017（9）：128-133.）

［9］ 閆璽璽，劉媛，李子臣，等.利用LWE問題構造的多機構屬性基加密方案［J］.西安電子科技大學學報：自然科學版，2018， 45 （4）：129-136. （Yan Xixi，Liu Yuan，Li Zichen， et al .Multi-authority attribute-based encryption scheme from LWE problem［J］. Journal of Xidian University：Science Edition， 2018， 45 （4）：129-136.）

［10］ Tian Qiuting，Han Dezhi，Liu Xingao， et al .LWE-based multi-authority attribute-based encryption scheme with hidden policies［J］. International Journal of Computational Science and Engineering， 2019， 19 （2）：233.

［11］ 趙乾.基于LWE的函數加密體制及應用研究［D］.哈爾濱：哈爾濱工程大學，2017. （Zhao Qiao.Research on functional encryption scheme and applications［D］.Harbin：Harbin Engineering University，2017.）

［12］ 湯海婷.基于格的屬性密碼體制及其應用研究［D］.貴陽：貴州大學，2018. （Tang Meiting.Research on attribute-based public key cryptosystem and applications from lattice［D］.Guiyang：Guizhou University，2018.）

［13］ 劉麗華.基于屬性的格密碼及其在信息安全訪問控制中的應用［D］.西安：西安理工大學，2019. （Attribute-based Lattice Cryptography and its Application in Security Access Control of Information［D］.Xi’an：Xi’an University of Technology，2019.）

［14］ 楊超超.格上密文策略屬性基加密方案的研究［D］.焦作：河南理工大學，2019. （Yang Chaochao.Research on ciphertext policy attribute based encryption on lattices［D］.Jiaozuo：Henan Polytechnic University.2019.）

［15］ 劉澤超.云環境下密文策略屬性基加密技術研究［D］.哈爾濱：哈爾濱工業大學，2019. （Liu Zechao.Research on ciphertext policy attribute-based encryption in cloud environment［D］.Harbin：Harbin Institute of Technology.2019.）