支持多跳的格上屬性基同態(tài)代理重加密方案

王依然，陳燕俐，王慧婷

(南京郵電大學 計算機學院， 江蘇 南京 210023)

作為一種新型計算模式，云計算能夠為海量終端用戶提供可靠的、動態(tài)的計算環(huán)境。 遠端用戶對云資源進行訪問時，如何保護敏感數(shù)據(jù)的機密性和安全共享，是云計算和云存儲安全研究的重要方向。對存儲在云服務(wù)器的共享信息進行加密可以很好地解決云服務(wù)提供商（Cloud Service Provider，CSP）不完全可信場景下數(shù)據(jù)的機密性問題。 但這也造成了云計算環(huán)境中存在著大量用戶共享密文數(shù)據(jù)需要進行密文轉(zhuǎn)換的場景，而如果由不完全可信的CSP 在云端進行解密又重新加密處理，就會產(chǎn)生用戶數(shù)據(jù)泄露的風險，而代理重加密（Proxy Re-Encryption，PRE）方案可安全可靠地實現(xiàn)云環(huán)境下數(shù)據(jù)的共享和訪問。 代理重加密概念由Blaze 等［1］首次提出，允許一個半可信的代理服務(wù)器（Proxy Servers，PS）把用授權(quán)人（Delegator）Alice 的公鑰加密的密文轉(zhuǎn)換成用被授權(quán)人（Delegatee）Bob 的公鑰來加密的密文。 同時，此代理服務(wù)器對于該密文所對應(yīng)的明文一無所知。 代理重加密方案根據(jù)密文的轉(zhuǎn)換次數(shù)，可以分為單跳（Single-hop）和多跳（Multi-hop），單跳的代理重加密方案只允許密文被轉(zhuǎn)換一次，多跳則可以被轉(zhuǎn)換多次。 代理重加密方案目前已在多個領(lǐng)域中得到了成功應(yīng)用，如云計算訪問控制、加密電子郵件轉(zhuǎn)發(fā)、分布式文件系統(tǒng)的安全管理和垃圾郵件過濾等。

通常代理重加密的通信模型是一對一，即一個授權(quán)人對應(yīng)者一個被授權(quán)人，這限制了重加密方案在很多一對多或者多對多實際場景的應(yīng)用。 屬性基代理重加密（Attribute-based Proxy Re-encryption，ABPRE）［2］結(jié)合了代理重加密和屬性基加密［3］的概念，允許半可信代理將特定訪問策略或?qū)傩约舷碌拿芪霓D(zhuǎn)換為另一個訪問策略下的密文，且無需透漏任何關(guān)于明文的信息，使得代理重加密更加靈活、方便和高效，更好地實現(xiàn)了云環(huán)境下多對多的細粒度數(shù)據(jù)共享。 隨著近年來量子計算機研究取得突飛猛進的進展［4］，由于可有效抵抗量子攻擊、且計算簡單、高效，格上的代理重加密算法以及屬性基代理重加密算法陸續(xù)被提出。 但目前的屬性基代理重加密雖然能實現(xiàn)在云端密文的代理，但卻無法實現(xiàn)密文的同態(tài)運算，包括新鮮密文和重加密密文之間的運算和處理。

全同態(tài)加密（Fully Homomorphic Encryption，F(xiàn)HE）不僅可滿足傳統(tǒng)加密的功能，并可在不知道密鑰的情況下，對密文進行任意計算。 針對目前格上屬性基代理重加密方案不能實現(xiàn)密文同態(tài)運算的問題，受文獻［5］同態(tài)代理重加密思想的啟發(fā)，在Brakerski 等［6］提出的目標同態(tài)屬性基加密方案（Target HABE，T-HABE）基礎(chǔ)上，首次提出一種多跳的格上屬性基同態(tài)代理重加密方案（Attributedbased Homomorphic Proxy Re-encryption，ABHPRE），在實現(xiàn)屬性基代理重加密的基礎(chǔ)上，實現(xiàn)了密文的全同態(tài)運算。 主要貢獻如下：

（1） 方案屬性加密基于KP-ABE，根據(jù)屬性集合x對消息進行加密，并根據(jù)基于布爾電路的訪問策略f生成密鑰。 只有當f（x）＝0 時，密文才能通過密鑰解密。 允許半可信代理將滿足某訪問策略的密文轉(zhuǎn)換為另一個訪問策略下的密文，很好地實現(xiàn)了云環(huán)境下多對多的細粒度數(shù)據(jù)共享。

（2） 方案新鮮密文和重加密密文格式相同，可實現(xiàn)單向多跳的密文代理重加密。 此外方案安全性高，可抵抗誠實重加密攻擊（Honest Re-encryption Attacks，HRA），即使惡意被授權(quán)人和半誠實代理人聯(lián)手得到重加密密文對應(yīng)的輸入密文，也無法獲取授權(quán)人的私鑰。

（3） 將屬性基同態(tài)加密與代理重加密相結(jié)合，實現(xiàn)了對新鮮密文和重加密密文的全同態(tài)運算，包括同態(tài)加法、同態(tài)乘法和與非運算。

1 相關(guān)工作

1．1 代理重加密

自從Blaze 等［1］于1998 年提出代理重加密以來，已經(jīng)有越來越多的代理重加密方案提出，如基于EIGamal 的、基于EIGamal 和RSA 的以及基于雙線性對等。 2010 年，Xagawa 等［7］提出一個格上基于LWE 假設(shè)構(gòu)造代理重加密方案，但方案是雙向的，并且不抗同謀。 2013 年，Aono 等［8］在文獻［9］公鑰加密方案基礎(chǔ)上，利用同態(tài)加密中密鑰轉(zhuǎn)換技術(shù)，提出了第一個基于LWE 假設(shè)的格上單向多跳代理重加密方案，在標準模型下選擇明文安全（CPA）性，但該方案只能實現(xiàn)弱密鑰隱私。 2014 年，Kirshanova 等［10］對陷門定義進行擴展，提出一個在選擇模型中選擇密文安全（CCA）的，同樣基于LWE假設(shè)的單向代理重加密方案，但該方案不能實現(xiàn)密鑰隱私。 2015 年，Nishimaki 等［11］分別基于Regev公鑰加密方案［12］和Lindner［9］公鑰加密方案提出兩個基于LWE 假設(shè)的密鑰隱私PRE 方案，方案通過對被授權(quán)人公鑰進行隨機化的方式對授權(quán)人匿名，從而實現(xiàn)密鑰隱私安全，該方案缺點是只具備單跳性質(zhì)。 2016 年，Ma 等［5］提出一個同態(tài)代理重加密方案，即原始密文和重加密密文都可以實現(xiàn)同態(tài)運算。 2019 年，F(xiàn)an 等［13］指出了文獻［1］方案存在的安全性問題，提出一個改進的CCA 安全的代理重加密方案。 2021 年，Singh 等［14］構(gòu)造了一個可實現(xiàn)主密鑰安全（Master Secret Security）的單向代理重加密方案， 即不誠實的代理和惡意被授權(quán)人不能共謀計算出授權(quán)人的密鑰。

1．2 屬性基代理重加密

與屬性基加密方案相同，屬性基代理重加密分為兩種類型：密鑰策略屬性基代理重加密（Keypolicy Attribute-based Proxy Re-encryption， KPABPRE）和密文策略屬性基代理重加密（Ciphertextpolicy Attribute-based Proxy Re-encryption， CPABPRE）。 KP-ABRE 的密鑰和訪問結(jié)構(gòu)相關(guān)，密文和屬性集合相關(guān)，代理重加密是將某訪問結(jié)構(gòu)可以解密的密文轉(zhuǎn)換為另一個訪問結(jié)構(gòu)下可解密的密文。 CP-ABPRE 的密文和訪問結(jié)構(gòu)相關(guān)，密鑰和屬性集合相關(guān)，代理重加密是將某訪問結(jié)構(gòu)下加密的密文轉(zhuǎn)換為另一個訪問結(jié)構(gòu)下的密文。 2009 年，Liang 等［2］提出了第一個CP-ABPRE 方案，訪問策略采用基于正負屬性組成的與門結(jié)構(gòu)，方案滿足選擇CPA 安全。 隨后，Liang 等［15］提出了一個滿足適應(yīng)性CCA 安全的CP-ABPRE 方案。 2016 年，Ge等［16］構(gòu)造了第一個可證CPA 安全的KP-ABPRE 方案。 但上述ABPRE 方案都是基于雙線性對，無法抵御量子攻擊。 2019 年，Li 等［17］提出第一個格上的單跳單向CP-ABPRE 方案，訪問策略基于正負屬性組成的與門結(jié)構(gòu)，方案采用陷門采樣技術(shù)生成重加密密鑰，但必須輸入主密鑰作為參數(shù)，因此存在主密鑰泄露的安全性問題。 2021 年，Luo 等［18］構(gòu)造了第一個多跳的KP-ABPRE 方案，方案支持多項式深度策略電路，具有較短的私鑰，密鑰的大小取決于支持的策略電路的深度，但該方案的私鑰是一個擴展矩陣的陷門，在解密時必須通過采樣函數(shù)重新生成私鑰，并且該方案只能實現(xiàn)CPA 安全。 2021 年，Susilo 等［19］提出了一個標準模型下可抵抗誠實重加密攻擊（Honest Re-encryption Attacks，HRA）的單跳KP-ABPRE 方案，方案通過密鑰轉(zhuǎn)換技術(shù)生成重加密密鑰，克服了CPA 安全模型中可能存在的被授權(quán)人在得到重加密消息的密文情況下泄露授權(quán)人私鑰的安全問題，但不能實現(xiàn)密文的同態(tài)。

2 預備知識

2．1 符號

本文用R 表示自然數(shù)集，用Z 表示整數(shù)集。Zq表示（－ q／2，q／2］ 中的整數(shù)。 對于任何正整數(shù)d ＞0，［d］ 表示｛1，2，…，d｝。 用「?表示向上取整。 設(shè)S是一個集合，P是S上的概率分布。a←S表示a∈S從S中隨機均勻采樣，b←P表示b∈S從P中采樣。 向量x的第i個元素由xi表示。‖x‖∞表示向量x的l∞范數(shù)（最大范數(shù)）。＜x，y ＞表示兩個向量的內(nèi)積。 矩陣X的第i列向量由X［i］ 表示。對于矩陣X∈Rm×n，X的l∞范數(shù)定義為‖X‖∞＝maxi∈［n］｛‖X［i］‖∞｝，XT表示X的轉(zhuǎn)置。 對于兩個矩 陣表示矩陣A和B串聯(lián)生成的矩陣。In表示n × n維單位矩陣，0n×m表示所有項都為0 的n × m維矩陣。 符號negl（λ） 表示λ∈N 的可忽略函數(shù)集。 本文依賴于有界域上支持的分布，如果整數(shù)集Z 上的分布χ僅支持分布在［－ B，B］ 上，則稱χ為B有界分布［6］。

2．2 LWE 問題

誤差學習（Learning With Errors， LWE）問題由Regev［12］提出，已經(jīng)被證明為一個難解的多項式復雜程度的非確定性（Non-deterministic Polynomial，NP）問題。

定義1判定性LWE（Decisional LWE，DLWE）問題。 設(shè)安全參數(shù)λ，參數(shù)n ＝n（λ），q ＝q（λ） ≥2為整數(shù)模數(shù)，χ ＝χ（λ） 為Z 上的高斯分布。D0＝χ。 DLWE 問題就是上述兩個分布：D0、D1不可區(qū)分。

2．3 Gadget 矩陣和位分解

對于任意模數(shù)q，l ＝「lgq?， 行向量g ＝（20，Gadget 矩 陣Gn ＝In?g∈

函數(shù)g－1：Zq→Zl，表示將一個數(shù)分解為二進制數(shù)，對于任意a∈Zq，列向量x ＝g－1（a） 是｛0，1｝向量，并且有＜ g，x ＞＝a。 符號表示對矩陣A的每個元素進行二進制分解，得到行擴張的矩陣，有G·G－1（A）＝A。

2．4 格陷門和離散高斯分布

定理1陷門生成算法TrapGen（1n，1m，q） →（A，TA）［20］。 存在一個概率多項式隨機算法，當m ＝Θ（nlgq），輸出一對使得A統(tǒng)計接近均勻分布且TA是的一個短基，且

定理2右擴展算法ExtendRight（A，TA，B） →TA‖B［20］。 給定矩陣的一個基TA，算法輸出格的一個短基T［A‖B］，其中，‖TA‖GS ＝‖TA‖B‖GS。

定理3左擴展 算法ExtendLeft（A，G，TG，S） →TA‖B［20］。 給定矩陣，格Λ⊥（G）的一個短基TG， 隨機矩陣S∈Zm×mq算法輸出格的 一 個 短 基T［A‖G＋AS］， 其 中，‖T［A‖G＋AS］‖GS≤‖TG‖GS·（1＋‖S‖2）。

引理1預采樣算法［20］。SamplePre（A，TA，u，σ）→e：給定一個矩陣的一個基TA，一個向量和一個高斯參數(shù)σ，算法輸出一個采樣于分布的向量e。

2．5 HABE 同態(tài)運算函數(shù)

定義2［6］令n，q，l∈N，N ＝n「lgq?，B1，…，假設(shè)訪問策略f∈｛0，1｝l→｛0，1｝ 的電路深度為d，且只包含與非門電路。 將B1，…，Bl接入電路的線路端口，對f中每個線路端w，u，v為其的左右輸入，定義Bw ＝G －Bu G－1（Bv），則可以遞歸得到矩陣Bf，算法表示為

推論1［6］則存在一個多項式時間的算法EvRelation， 令H ＝那么有另外，如果則有計算則有Bf ＝ARf ＋f（x）G。

2．6 KP-ABHPRE 形式化定義和安全模型

令訪問策略集F ＝｛f：｛0，1｝l→｛0，1｝｝，消息空間M，一個密鑰策略的屬性基同態(tài)代理重加密（KP-ABHPRE） 方 案 由 算 法Setup、KenGen、Enc、Dec、Eval、ReKeyGen和ReEnc組成，具體描述如下。

（1）Setup（1λ，l） →（PP，msk）：輸入安全參數(shù)λ、屬性數(shù)量l，輸出公共參數(shù)PP、主密鑰msk。

（2）KenGen（PP，msk，f） →skf： 輸入公共參數(shù)PP、主密鑰msk和訪問策略f∈F，輸出私鑰skf。

（3）Enc（PP，x，μ） →c：輸入公共參數(shù)PP、消息μ∈M和屬性x∈｛0，1｝l，輸出密文c。

（4）Dec（PP，skf，c） →μ：輸入密鑰skf、屬性x加密下的密文c，如果f（x）＝0，輸出消息μ；否則，輸出⊥。

（5）ReKeyGen（PP，skfi，fj） →rk（i→j）：輸入公共參數(shù)PP、訪問策略fj和訪問策略fi私鑰skfi， 輸出重加密密鑰rk（i→j）， 該密鑰可將屬性x（i）加密下的密文 重 加 密 為 屬 性x（j）加 密 下 的 密 文， 滿 足fj（x（j））＝0。

（6）ReEnc（PP，rk（i→j），fi，ct（i）） →ct（j）：輸入公共參數(shù)PP、重加密密鑰rk（i→j）、 訪問策略fi、 屬性x（i）加密下的密文ct（i）和重加密密鑰rk（i→j）， 如果fi（x（i））＝0， 輸出屬性x（j）加密下的重加密密文ct（j），否則，輸出⊥。

（7）Eval（PP，f，g，（ct1，…，ctn）） →ct?： 輸入公共參數(shù)PP、目標訪問策略f、 同態(tài)運算電路g和符合訪問策略f的密文ct1，…，ctn，輸出同態(tài)運算密文ct?。

定義3KP-ABHPRE 正確性。 一個密鑰策略的屬性基同態(tài)代理重加密（KP-ABHPRE） 方案（Setup，KenGen，Enc，Dec，Eval，ReKeyGen，ReEnc）可正確解密得到消息μ∈M，如果滿足：

（1） 對于任意的（PP，msk） ←Setup（1λ，l），任意的f∈F， 任意消息μ∈M和任意屬性x∈｛0，1｝l，如果f（x）＝0， 則有Dec（PP，skf，Enc（PP，x，μ））＝μ。

（2） 對于任意rk（i→j）←ReKeyGen（PP，skfi，fj），任意的ct（i）←Enc（PP，x（i），μ），如果fj（x（j））＝0，則Dec（PP，skfj，ct（j））＝μ， 其 中，ct（j）←ReEnc（PP，rk（i→j），fi，ct（i）），并且fi（x（i））＝0。

（3） 對于任意λ，任意μ1，…，μn∈M，有g(shù)（μ1，…，μn）＝Dec（skf，（Eval（PP，f，g，ct1，…，ctn）））。

定義4如果對于多項式時間的攻擊者在如下游戲中的優(yōu)勢是可忽略的，那么KP-ABHPRE 方案在誠實重加密攻擊下是不可區(qū)分（IND-HRA）安全的。

（1） 初始化。 攻擊者A發(fā)送目標屬性集x?給挑戰(zhàn)者。

（2） 設(shè) 置。 挑 戰(zhàn) 者 運 行Setup（1λ，l）， 獲 得（PP，msk），并將公共參數(shù)PP發(fā)送給A。 挑戰(zhàn)者引入一個計數(shù)器Count，初始為0；一個存儲鍵值的集合H，初始為空；一個集合Set，初始為空。

（3） 查詢階段1。 攻擊者A可以任意多項式次地對以下預言進行查詢。

－OKeyGen：輸入策略f∈F，當f（x?）＝0 時，隨機預言機輸出⊥，否則，輸出策略f下的私鑰skf←KeyGen（PP，msk，f）。

－OReKeyGen：輸入兩個策略fi和fj，當fi（x?）＝0，fj（x?） ≠0 時，隨機預言機輸出⊥，否則，輸出重加密密鑰rkf→g←ReKeyGen（PP，skfi，fj）。

－ OEnc：輸入屬性集x和消息μ，隨機預言機輸出密文c←Enc（PP，x∈｛0，1｝l，μ）。Count值加1，并將鍵（x，Count） 和密文c添加到集合H中。

－ OReEnc：輸 入 策略fi， 鍵（x，k）， 其 中k≤Count，如果H中沒有與鍵（x，k） 對應(yīng)的值，隨機預言機輸出⊥，否則，讓c作為H中對應(yīng)的值。 如果fi（x） ≠0，輸出⊥代表c是無效的，否則，輸出重加密密文ct（j）←ReEnc（PP，rkf→g，c）。

（4） 挑戰(zhàn)。 攻擊者A在屬性集x?下提交兩個消息μ0，μ1∈M給挑戰(zhàn)者。 挑戰(zhàn)者通過選擇一個隨機比特b∈｛0，1｝， 輸出一個挑戰(zhàn)密文Enc（PP，x?，μ）。Count值加1，并將Count添加到集合Set中。 將值及對應(yīng)的鍵（x?，Count） 添加到H中。

（5） 查詢階段2。 在接收到挑戰(zhàn)密文后，攻擊者A仍有權(quán)限訪問查詢階段1 中的OKeyGen，OReKeyGen，OEnc和OReEnc， 除了OReEnc中的以下 約束：如 果fj（x?） ≠0 ∧k∈Set，輸出⊥。

（6） 猜測。 在A輸入b′，如果b ＝b′，隨機預言機輸出1，否則，輸出0。

在游戲中，攻擊者A的優(yōu)勢定義為Adv（λ）＝｜Pr［b′ － b］－1／2｜，如果對于任何多項式時間里的攻擊者，有Adv（λ）＝negl（λ），則認為方案是誠實重加密攻擊下的不可區(qū)分安全的。

3 密鑰策略的屬性基同態(tài)代理重加密方案KP-ABHPRE

設(shè)訪問策略集Fl，dF ＝｛f：｛0，1｝l→｛0，1｝｝，其中，l、dF分別為屬性數(shù)以及訪問策略電路的最大深度；消息空間為M。 KP-ABHPR 方案由算法Setup、KenGen、Enc、Dec、Eval、ReKeyGen和ReEnc組成，具體構(gòu)造如下。

（1）Setup（1λ，1l）

選取DLWE 參數(shù)n、q、B、χ和m，有n≥λ，q≤2n，lq ＝「lgq?，N ＝nlq，m ＝Θ（nlq），M ＝（m ＋N ＋1）lq，χ ＝χ（n） 為B有界的錯誤分布。 進行如下操作：

①生成矩陣陷門對（Α，TA） ←TrapGen（1n，1m，q），其中，

（2）Keygen（PP，msk，f）

①給定一個｛0，1｝l→｛0，1｝ 的訪問策略電路f，按照2.5 節(jié)計算

②使 用 右 擴 展 函 數(shù) 生 成 陷 門T［A‖Β0＋Βf］←ExtendRight（A，TA，Β0＋Βf），再使用采樣函數(shù)生成rf←SamplePre（［A‖Β0＋Βf］，T［A‖Β0＋Βf］，v，σ），令私 鑰skf ＝［－ rf‖1］， 可 以 看 出skf·［Α‖Β0＋Βf‖v］T＝0T。

③輸出私鑰skf。

（3）Enc（PP，x∈｛0，1｝l，μ∈｛0，1｝）

②計算

③對于每個屬性xk，k∈［l］， 計算Ck ＝

（4）ReKeyGen（PP，skfi，fi，ct（i））

①選取一個滿足fj（x（j））＝0 的屬性集x（j）＝

⑤輸 出 重 加 密 密 鑰rk（i→j）＝（x（j），Μ（i→j），N（i→j））。

（5）ReEnc（PP，rk（i→j），fi，ct（i））

①調(diào)用子函數(shù)Cfi←ApplyF（ct（i），fi）， 將屬性加密x（i）下的密文ct（i）轉(zhuǎn)換為對應(yīng)的訪問策略fi加密下的密文其中，為Cfi的前（m ＋N）lq列，為Cfi的最后lq列。

② 計 算 并 輸 出C（j）＝ M（i→j）（I（m＋N＋1）?

（6）Dec（PP，skf，ct）

①將屬性加密x下的密文轉(zhuǎn)換為對應(yīng)的訪問策略f加密下的密文，ctf←ApplyF（ct，f）。

②計算c ＝skfctf ＝［－ rf‖1］Cf。 令uT＝計算如果則μ ＝0，否則，μ ＝1。

（7）ApplyF（ct，f）

該函數(shù)是輔助子函數(shù)，功能是對密文ct ＝（x，根據(jù)f∈F進行如下同態(tài)運算：

③輸出密文ctf ＝Cf。

（8）Eval（PP，f，g，（ct（1），…，ct（n）））

對 每 一 個i∈ ［n］， 計 算ApplyF（ct（i），f） ，計算并輸出同態(tài)運算密文ct?＝

4 方案分析

4．1 正確性分析

證明：下面根據(jù)密文的類型分兩種情況證明。

ApplyF（ct（i），fi） →Cfi ＝（［A‖（B0＋Bfi）‖v］TS ＋E ＋μGm＋N＋1）

c ＝skfiCfi ＝［－ rfi‖1］（［A‖（B0＋Bfi）‖v］T·S ＋E ＋μGm＋N＋1）＝μ［－ rfi‖1］G ＋［－ rfi‖1］E

誤差：

因 此， 當 且 僅 當 誤 差 ‖e‖＝時，新鮮密文可以正確解密。

由于：

又因為：

4．2 同態(tài)性分析

從4.1 分析中可以看到原始密文和重加密密文表達式相同，設(shè)

其中，誤差＝［－ rf‖1］（E1＋E1）。

其中， 誤 差＝μ1［－ rf‖1］E2＋［－ rf‖1］ ·

其中， 誤差＝μ1［－ rf‖1］E2＋［－ rf‖1］·

綜上所述，KP-ABHPRE 方案密文滿足同態(tài)性。

4．3 安全性證明

定理5 KP-ABHPRE 方案在DLWE 假設(shè)下是IND-HRA 安全的。

證明：方案的密文CPA 安全證明和文獻［1］相同，是在一系列游戲中進行的，故此省略。 下面只給出HRA 安全的證明。

（1）Sim．Setup（1λ，l）

（2）Sim．KeyGen（PP，f∈F，f（x?） ≠0）

③ 使用左擴展函數(shù)生成陷門T←再使用采樣函數(shù)rf←SamplePre（［A‖B0＋Bf］，T，v，σ） →e，生成 私 鑰skf ＝［－ rf‖1］， 可 以 看 出，skf·［Α‖Β0＋Βf‖v］T＝0T。

（3）Sim．ReKeyGen（PP，fi，fj∈F，fi（x?）＝0）

對于fi（x?）＝0， 如果fj（x?） ≠0， 輸出⊥；否則，選取隨機矩陣

輸 出 重 加 密 密 鑰rk（f→g）＝（x?，M（i→j），N（i→j））。

（4）Sim．ReEnc1（PP，ct（i）（x ＝x?），fi，fj∈F）

如果f（x?） ≠0，輸出⊥，否則：

①選取一個滿足fj（x（j））＝0 的屬性集x（j）＝選 擇 隨 機矩 陣S（i→j）， 誤 差 矩 陣以及誤差向量，對每一個a∈［0，1，…，l］，b∈［（m ＋（l ＋1）N ＋1）lq］，采樣1｝m×N， 計 算 誤 差 矩 陣計 算 并 輸 出

②將ct（i）表示為

（5）Sim．ReEnc2（PP，ct（x≠x?），fi，fj∈F，f（x?）＝0）

如果f（x） ≠0，輸出⊥。 否則，對于f（x）＝0，執(zhí)行以下操作：

①因為x≠x?，至少存在一個i∈｛1，…，l｝，使得不失一般性，假設(shè)0。 因為的陷門，因此，首先計算然 后 用ExtendRight算 法 計 算F ＝［A‖xlG ＋Bl‖B0‖x1G ＋B1…‖xl－1G ＋Bl－1‖v］陷門TF ＝ExtendRight（Α‖xlG ＋Bl，T（Α｜xlG＋Bl），［B0‖x1G ＋B1‖…‖xl－1G ＋Bl－1‖v］），通過行交換得到F′ ＝［A‖B0‖v‖x1G ＋B‖…‖xlG ＋Bl］的 陷 門TF′。 最 后 通 過 采 樣 函 數(shù)rf←SamplePre（F′，TF′，v，σ） →e。

②選 取 一 個 滿 足fj（x（j））＝0 屬 性 集x（j）＝選擇隨機矩 陣S（i→j）， 誤差矩陣以及誤差向量，對每一個a∈［0，1，…，l］，b∈［（m ＋（l ＋1）N ＋1）lq］，采樣1｝m×N， 計 算 誤 差 矩 陣計 算并輸出

③將ct（i）表示為

④計 算 并 輸 出C（j）＝M（i→j）·（Im＋N＋1）?

Sim．ReEn1或Sim．ReEn2模擬生成的重加密密文需要正確解密。 對于模擬生成的重加密密文的正確性，當fj（x（j））＝0 時，對重加密密文進行運算得到分布中采樣的，有因此現(xiàn)在令計算通過選擇參數(shù)，可正確解密模擬重加密密文。

綜上所述證明成立。

4．4 性能分析

首先對本文ABHPRE 方案與文獻［17－19］的屬性基代理重加密方案進行性能比較。 如表1 所示，文獻［17］方案是基于CP-ABE，訪問策略采用與門結(jié)構(gòu)，訪問策略不夠靈活。 文獻［18］構(gòu)造了第一個多跳的KP-ABPRE 方案，但該方案只能實現(xiàn)CPA安全。 文獻［19］可實現(xiàn)HRA，但只能實現(xiàn)單跳，并且同樣不能實現(xiàn)密文同態(tài)運算。 而本文提出的ABHPRE 方案不僅可以實現(xiàn)單向多跳、滿足HRA安全，而且可以實現(xiàn)密文同態(tài)運算。

表1 方案性能比較

從公鑰大小、主私鑰大小、私鑰大小、重加密密鑰大小、密文大小和重加密密文大小等方面，將本文方案與文獻［19］方案進行比較，比較結(jié)果如表2 所示。 可以看到本文方案私鑰較小，但由于本文方案滿足多跳功能，并且可實現(xiàn)同態(tài)運算，因此密文是矩陣形式，長度大于文獻［19］方案。

表2 方案的密文密鑰大小比較

5 結(jié)束語

本文提出一種格上的可抵抗HRA 攻擊的屬性基同態(tài)多跳代理重加密方案。 方案代理重加密是基于密鑰策略的，允許半可信代理將符合特定訪問策略的的密文轉(zhuǎn)換為符合另一個訪問策略下的密文。與以往方案相比，本文方案不僅可以實現(xiàn)單向多跳，并對密文進行多次重加密，還實現(xiàn)了對新鮮密文和重加密密文的全同態(tài)運算。 但目前方案還只能實現(xiàn)相同策略的密文同態(tài)運算，下一步工作要提出可實現(xiàn)不同訪問策略密文同態(tài)運算的格上屬性基同態(tài)代理重加密方案，進一步提高訪問控制的靈活性。