一種新的密文策略的屬性基加密方案研究

李鈺 侯淑梅 王冉 李朋明 樓應(yīng)凡

摘? ?要：隨著量子計(jì)算機(jī)的問(wèn)世，現(xiàn)有的基于大整數(shù)分解與離散對(duì)數(shù)問(wèn)題的屬性加密方案面臨淘汰，而基于格上的困難問(wèn)題設(shè)計(jì)的密碼學(xué)方案克服了這一缺陷。針對(duì)上述問(wèn)題，文章提出了一種新的密文策略的屬性加密方案，只利用一個(gè)樣本值，該方案效率更高。

關(guān)鍵詞：密文策略屬性加密;格密碼;密文

屬性加密根據(jù)密文與密鑰的表示方法和使用場(chǎng)景，能夠?qū)⑵浞譃閮煞N：（1）密文策略的屬性加密方案（Ciphertext Policy Attribute Based Encryption，CP-ABE），在產(chǎn)生密文時(shí)，是根據(jù)訪問(wèn)結(jié)構(gòu)W產(chǎn)生的，并用用戶屬性集合L來(lái)生成各個(gè)用戶的密鑰。（2）密鑰策略的屬性加密方案（Key Policy Attribute Based Encryption，KP-ABE），在產(chǎn)生密鑰時(shí)，是根據(jù)訪問(wèn)結(jié)構(gòu)W產(chǎn)生的，而密文與用戶的屬性集合L有關(guān)。在這兩種方案中，只有當(dāng)用戶的屬性集合L滿足訪問(wèn)結(jié)構(gòu)W時(shí)，才可以解密得到信息。相比于KP-ABE，CP-ABE更加符合實(shí)際情況，在KP-ABE方案中，訪問(wèn)策略與用戶密鑰相關(guān)，數(shù)據(jù)擁有者必須提前知道有哪些用戶可能需要解密數(shù)據(jù)，這就限制了KP-ABE的實(shí)際應(yīng)用[1]。

現(xiàn)有的屬性加密方案，絕大多數(shù)是基于離散對(duì)數(shù)等問(wèn)題，從而導(dǎo)致方案運(yùn)行效率低，且無(wú)法抵抗量子攻擊。而基于格上困難問(wèn)題構(gòu)造的新型密碼方案具有安全性高、容易實(shí)現(xiàn)、運(yùn)算簡(jiǎn)單、抗量子攻擊等優(yōu)點(diǎn)，因此，密碼學(xué)家們開(kāi)始設(shè)計(jì)將格密碼和屬性加密結(jié)合的方案[2]。

本文在Brakerski等學(xué)者提出的基于LWE問(wèn)題的屬性加密基礎(chǔ)上，提出了一種新的密文策略的屬性加密方案，該方案只利用一個(gè)樣本值，效率更高。

1? ? 預(yù)備知識(shí)

1.1? 格

定義1：設(shè)b1，b2，…，bm是Rm上的m個(gè)線性無(wú)關(guān)向量，由b1，b2，…，bm生成的格L是指向量b1，b2，…，bm的線性組合構(gòu)成的向量集合[3-4]，即：

其中，向量b1，b2，…，bm是格L的一組基，另外，如果定義一個(gè)m×m的矩陣B，設(shè)置B的列向量依次為b1，b2，…，bm，那么上述可定義為：

當(dāng)時(shí)，成為整數(shù)格。

定義2：設(shè)q為素?cái)?shù)，和，定義：

由定義可知，若，則，因此，可以由經(jīng)過(guò)平移得到。

1.2? Ring-LWE

Lyubaskevsky等提出了環(huán)上錯(cuò)誤學(xué)習(xí)問(wèn)題（Ring Learning With Errors Problem，R-LWE），我們的方案中用到了決策R-LWEd，q，x問(wèn)題，因此，下面闡述決策R-LWEd，q，x問(wèn)題。

定義3：設(shè)定安全參數(shù)為λ，d和q是與安全參數(shù)λ相關(guān)的整數(shù)，令Rq=Zq[X]/f，其中，f=xd+1，且Rq=R/qR，令χ=χ（λ），則對(duì)于以下兩種分布：（1）（a，b）=（a，a.SK+e）∈Rq×Rq，其中，a，SK←Rq，e←χ（λ）。（2）（a，b）∈Rq×Rq。決策R-LWEd，q，x就是對(duì)這兩種分布進(jìn)行區(qū)分，根據(jù)決策R-LWEd，q，x假設(shè)，R-LWEd，q，x問(wèn)題中的這兩種分布是均勻不可區(qū)分的。

1.3? 密文策略的屬性加密方案定義

一個(gè)密文策略的屬性加密方案主要由CP-ABE. Setup，CP-ABE. Encrypt，CP-ABE. KeyGen，CP-ABE. Decrypt組成，具體如下。

CP-ABE. Setup（1λ）：輸入λ，λ為安全參數(shù)，輸出PP以及MSK。

CP-ABE. Encryption（PP，m，A）：該加密算法以公共參數(shù)PP，消息空間中的一個(gè)比特消息m，m∈{0，1}，一個(gè)訪問(wèn)結(jié)構(gòu)A作為輸入，最后，輸出一個(gè)根據(jù)訪問(wèn)結(jié)構(gòu)A對(duì)消息加密得到的密文CT。

CP-ABE. KeyGen（MSK，L）：輸入MSK，L。其中，MSK為主密鑰，L為一個(gè)用戶的屬性列表。算法最后輸出為SK，SK是與屬性列表L相關(guān)的私鑰。

CP-ABE. Decryption（PP，CT，SK）：輸入公共參數(shù)PP，和根據(jù)訪問(wèn)結(jié)構(gòu)A得到的密文CT，用戶的私鑰SK，當(dāng)且僅當(dāng)LA時(shí)，輸出m，否則，會(huì)輸出⊥。

2? ? 新的密文策略的屬性加密方案的設(shè)計(jì)

R-LWE問(wèn)題是Lyubashevsky等學(xué)者提出的，在基于LWE設(shè)計(jì)的屬性加密方案中，需要n個(gè)樣本值，這樣會(huì)增加密文長(zhǎng)度，因此，我們對(duì)基于LWE的屬性加密方案經(jīng)過(guò)修改，在Fun等學(xué)者[5]的研究基礎(chǔ)上，只選擇一個(gè)樣本值（a，b）∈Rq×Rq，該方案的效率更高。

在這個(gè)方案中，λ為安全參數(shù)，U={u1，u2，…，un}為屬性列表。隨機(jī)選擇大素?cái)?shù)q，它與λ相關(guān)。定義Rq=Zq[X]/f，其中，f=xd+1，設(shè)χ←χ（λ）是Rq上的錯(cuò)誤分布，則整個(gè)方案的描述如下[6]。

Setup（1λ）：以安全參數(shù)λ作為輸入，選取主密鑰sk0∈Rq，以及均勻隨機(jī)選取參數(shù)a∈Rq，在χ分布中選擇噪聲項(xiàng)，即e0←χ。求得FK0=ask0+e0，sk0，a∈Rq，同時(shí)，χ分布是在Rq上的，因此，F(xiàn)K0∈Rq。對(duì)于i∈[n]中的每一個(gè)屬性值，在Rq中選擇一對(duì)隨機(jī)值（ski，ski-1），ski-1是ski的逆，選擇噪聲項(xiàng)ei←χ。計(jì)算FKi=ski+ei，且FKi∈Rq，最終得到PP和MSK。

Encrypt（PP，m，A）：輸入公共參數(shù)PP，一個(gè)比特消息位m∈{0，1}，以及一個(gè)訪問(wèn)結(jié)構(gòu)A作為輸入，根據(jù)分布χ，選擇兩個(gè)噪聲項(xiàng)e'和e'1，設(shè)置密文ct0和ct1[7-8]。

Keygen（MK，L）：輸入主密鑰MSK和一個(gè)屬性列表U={u1，u2，…，un}，在Rq均勻隨機(jī)挑選一對(duì)值（n，n-1）。根據(jù)分布χ，選擇兩個(gè)噪聲項(xiàng)e"和e"2。并據(jù)此產(chǎn)生用戶屬性列表U的私鑰k0和k1。

Decrypt（PP，CT，SK）：輸入公共參數(shù)PP，用戶的密鑰SK，CT是根據(jù)訪問(wèn)結(jié)構(gòu)A加密得到的密文，當(dāng)且僅當(dāng)L∈A，可以解密得到密文，可以計(jì)算得到m，否則，輸出⊥。

在上述的密文策略的屬性加密方案中，所有的噪聲項(xiàng)都必須服從Rq上的分布χ，且足夠小[9]。

3? ? 結(jié)語(yǔ)

近年來(lái)，格密碼受到了學(xué)者們的大量關(guān)注，本文在Fun等學(xué)者的基礎(chǔ)上，提出了一種新的密文策略的屬性加密方案，只選用了一個(gè)樣本值，該方案的效率較高。

[參考文獻(xiàn)]

[1]湯殿華，祝世雄，王林，等.基于RLWE的全同態(tài)加密方案[J].通信學(xué)報(bào)，2014（1）：173-182.

[2]張曉均.基于格上困難問(wèn)題的新型密碼算法設(shè)計(jì)及應(yīng)用研究[D].成都：電子科技大學(xué)，2015.

[3]王彩芬，鄧云霞，牛淑芬.一個(gè)新的理想格上基于屬性的加密方案[J].計(jì)算機(jī)工程與應(yīng)用，2016（17）：123-127.

[4]WANG Y T.Lattice ciphertext policy attribute-based encryption in the standard model[J].IJ Network Security，2014（6）：444-451.

[5]FUN T S，AZMAN S.Lattice ciphertext-policy attribute-based encryption from ring-LWE[C].New York：International Symposium on Technology Management and Emerging Technologies（ISTMET），2015.

[6]王小云，劉明潔.格密碼學(xué)研究[J].密碼學(xué)報(bào)，2014（1）：13-27.

[7]ROY S S，VERCAUTEREN F，MENTENS N，et al.Compact ring-LWE cryptoprocessor[C].Seattle：International Workshop on Cryptographic Hardware&Embedded Systems，2014.

[8]LAI J，DENG R H，LI Y.Fully secure cipertext-policy hiding CP-ABE[C].Wuhan：International Conference on Information Security Practice&Experience，2011.

[9]LIU Z，CAO Z，WONG D S.Blackbox traceable CP-ABE：how to catch people leaking their keys by selling decryption devices on ebay[M].Baotou：Inner Mongolia University of Science and Technology press，2013.

Study on a new ciphertext-policy attribute-based encryption scheme

Li Yu， Hou Shumei， Wang Ran， Li Pengming， Lou Yingfan

（Henan Normal University， Xinxiang 453000， China）

Abstract：With the advent of quantum computer， the existing attribute-based encryption scheme based on large integer factoring and discrete logarithm problem faces elimination， however， the encryption scheme based on the difficult problems on lattice overcome this shortcoming. For the above questions， this paper presents a new ciphertext-policy attributed-based encryption scheme. Using only one sample value， the scheme is more efficient.

Key words：ciphertext-policy attribute-based encryption; lattice-based encryption; ciphertext