李鎮(zhèn)林，張 薇，白 平，王緒安

(1.武警工程大學(xué) 電子技術(shù)系，西安 710086； 2.武警工程大學(xué) 信息安全保密重點(diǎn)實(shí)驗(yàn)室，西安 710086)

(*通信作者電子郵箱lizhenlin19921109@163.com)

基于屬性的BGN型密文解密外包方案

李鎮(zhèn)林1,2*，張 薇1,2，白 平2，王緒安2

(1.武警工程大學(xué) 電子技術(shù)系，西安 710086； 2.武警工程大學(xué) 信息安全保密重點(diǎn)實(shí)驗(yàn)室，西安 710086)

(*通信作者電子郵箱lizhenlin19921109@163.com)

云計(jì)算的安全問(wèn)題是制約其發(fā)展的關(guān)鍵瓶頸，其中對(duì)云計(jì)算結(jié)果的訪問(wèn)控制是當(dāng)前研究的一個(gè)熱點(diǎn)。在經(jīng)典的類(lèi)同態(tài)BGN方案基礎(chǔ)上，結(jié)合CP-ABE(Ciphertext-Policy Attribute-Based Encryption)型密文解密外包設(shè)計(jì)，構(gòu)造了基于屬性的BGN型密文解密外包方案，部分密文的解密被外包到云上進(jìn)行，減小了用戶的存儲(chǔ)開(kāi)銷(xiāo)與計(jì)算開(kāi)銷(xiāo)，并且只有用戶屬性滿足訪問(wèn)策略時(shí)，才會(huì)得到正確的解密結(jié)果。與現(xiàn)有的基于屬性的外包方案相比，新方案能對(duì)密文進(jìn)行任意次加法同態(tài)和一次乘法同態(tài)操作。最后，分析了方案的安全性。所提方案在子群判定問(wèn)題假設(shè)下達(dá)到語(yǔ)義安全，在隨機(jī)預(yù)言機(jī)模型下滿足屬性安全。

基于屬性的加密；云計(jì)算；外包計(jì)算；同態(tài)加密；子群判定問(wèn)題

0 引言

云計(jì)算(Cloud Computing)[1]概念的提出，將信息產(chǎn)業(yè)的發(fā)展帶入了快車(chē)道。云服務(wù)在給用戶提供海量存儲(chǔ)服務(wù)和強(qiáng)大計(jì)算能力的同時(shí)，也推動(dòng)了經(jīng)濟(jì)的發(fā)展，但云計(jì)算伴生的安全問(wèn)題也日益凸顯。Kaufman[2]指出，云的安全問(wèn)題被認(rèn)為是云服務(wù)實(shí)際應(yīng)用面臨諸多困難中最大的挑戰(zhàn)，也是云服務(wù)亟待解決的最大難題。

如果用戶以明文形式將敏感數(shù)據(jù)保存到云服務(wù)器，由于云端可能會(huì)復(fù)制甚至篡改這些信息，而用戶根本無(wú)法得知云端的非授權(quán)行為，從而造成不可估計(jì)的損失，所以云是不能被無(wú)條件信任的。為了防止敏感數(shù)據(jù)的惡意泄露和非法訪問(wèn)，用戶可以以密文形式對(duì)數(shù)據(jù)進(jìn)行外包。

傳統(tǒng)的云計(jì)算加解密模型無(wú)法實(shí)現(xiàn)對(duì)計(jì)算結(jié)果的細(xì)粒度訪問(wèn)控制。Shamir[3]在1984年提出了基于身份的加密(Identity-Based Encryption， IBE)，用戶的公鑰由與其身份相關(guān)的唯一標(biāo)識(shí)生成，訪問(wèn)時(shí)服務(wù)器端不需要再查詢(xún)用戶的公鑰證書(shū)?；趯傩缘募用?Attribute-Based Encryption， ABE)由Sahai等[4]提出，可以看作是對(duì)IBE的推廣，在這種加密體制中，用戶的密鑰和密文與屬性關(guān)聯(lián)起來(lái)，只有屬性滿足訪問(wèn)控制策略時(shí)，用戶才能合法解密，從而實(shí)現(xiàn)了對(duì)密文的細(xì)粒度訪問(wèn)控制?；趯傩缘募用荏w制具有良好的特性，引起了國(guó)內(nèi)外密碼學(xué)家的高度重視，近年來(lái)涌現(xiàn)出了大量相關(guān)研究成果[5-8]，同時(shí)它也被廣泛運(yùn)用到云計(jì)算安全算法的設(shè)計(jì)[9-11]當(dāng)中，成為云計(jì)算中數(shù)據(jù)保護(hù)的重要工具。

本文基于由Boneh、Goh和Nissim提出的經(jīng)典的類(lèi)同態(tài)BGN[12]方案，利用文獻(xiàn)[8]提出的CP-ABE(Ciphertext-Policy Attribute-Based Encryption)型密文解密外包設(shè)計(jì)，構(gòu)造了一個(gè)基于屬性的BGN型密文解密外包方案。在本文的構(gòu)造中，部分密文的解密過(guò)程被外包到云上進(jìn)行，大大降低了用戶的計(jì)算量；用戶的私鑰與屬性相關(guān)聯(lián)，訪問(wèn)控制策略被嵌入到密文當(dāng)中，當(dāng)且僅當(dāng)用戶屬性滿足密文策略時(shí)才能正常解密，從而實(shí)現(xiàn)了對(duì)云計(jì)算結(jié)果的訪問(wèn)控制。同時(shí)，該方案支持對(duì)密文進(jìn)行任意次加法同態(tài)操作和一次乘法同態(tài)操作。

1 預(yù)備知識(shí)

1.1 雙線性映射

G和GT是兩個(gè)階為p的乘法循環(huán)群，g為群G的生成元，則雙線性映射e:G×G→GT滿足下列性質(zhì)：

1)雙線性性：對(duì)任意u,k∈G和a,b∈Zp，都有e(ua,kb)=e(u,k)ab。

2)非退化性：存在u,k∈G，使得e(u,k)≠1。

3)可計(jì)算性：存在有效算法使得對(duì)任意u,k∈G，都可以計(jì)算出e(u,k)。

1.2 訪問(wèn)結(jié)構(gòu)

假設(shè){P1,P2,…,Pn}是秘密共享的參與者集合，定義P=2{P1,P2,…,Pn}，訪問(wèn)結(jié)構(gòu)Γ是{P1,P2,…,Pn}的非空子集，即Γ?P(?}。訪問(wèn)結(jié)構(gòu)的單調(diào)性定義如下：如果A∈Γ且A?B，則B∈Γ。同時(shí)，稱(chēng)該子集為一個(gè)授權(quán)子集，不能重構(gòu)出共享秘密的子集為非授權(quán)子集。

1.3 線性秘密共享機(jī)制矩陣訪問(wèn)結(jié)構(gòu)

一個(gè)定義在秘密共享參與者集合P上的線性秘密共享機(jī)制(Linear Secret Sharing Scheme，LSSS)[13]Π是指：

1)所有參與者的份額組成一個(gè)Zp上的向量。

1.4 BGN方案

BGN方案[12]能夠支持任意次加法同態(tài)操作，在雙線性映射下又能支持一次乘法同態(tài)操作，是同態(tài)加密概念[14]被提出后的首個(gè)類(lèi)同態(tài)加密方案，2010年Gentry等[15]又在格上實(shí)現(xiàn)了BGN方案。方案描述如下：

BGN方案的同態(tài)性質(zhì)分析：

1)加法同態(tài)：

C=C1C2hr=km1hr1·km2hr2·hr=km1+m2hr1+r2+r∈G

(2)乘法同態(tài)：

令k1=e(k,k)，h1=e(k,h)，則k1的階為n，h1的階為q1，并且一定有β∈Z使得h=kβq2，計(jì)算

1.5 基于屬性的密文解密外包模型

基于屬性的密文解密外包方案由Green，Hohenberger和Waters[8]提出。該方案針對(duì)傳統(tǒng)的基于屬性的加密方案增加了一個(gè)轉(zhuǎn)換算法，將解密過(guò)程部分外包給第三方服務(wù)器，解密者只需對(duì)第三方服務(wù)器反饋的部分密文進(jìn)行少量簡(jiǎn)單的運(yùn)算即可以獲知明文。這種外包設(shè)計(jì)思想充分利用了當(dāng)下云計(jì)算強(qiáng)大的計(jì)算能力，大大提高了解密效率。傳統(tǒng)的基于屬性的加密模型和基于屬性的密文解密外包模型分別如圖1所示。

圖1 傳統(tǒng)的基于屬性的加密模型和基于屬性的密文解密外包模型Fig. 1 Traditional attribute-based encryption model and outsourcing scheme of ABE

在圖1(a)所示的傳統(tǒng)的基于屬性的加密模型中，解密者必須全部下載ABE密文才能進(jìn)行解密運(yùn)算，其存儲(chǔ)開(kāi)銷(xiāo)與計(jì)算開(kāi)銷(xiāo)顯然是十分巨大的。針對(duì)上述缺點(diǎn)，文獻(xiàn)[8]設(shè)計(jì)了圖1(b)所示的外包模型，將ABE密文外包給云等第三方服務(wù)器，云再將計(jì)算得到的部分密文發(fā)送給解密者，解密者只需要下載少量數(shù)據(jù)并進(jìn)行簡(jiǎn)單運(yùn)算即可得出明文，這一過(guò)程的存儲(chǔ)開(kāi)銷(xiāo)與計(jì)算開(kāi)銷(xiāo)相比傳統(tǒng)模型將會(huì)減小很多。具體而言，針對(duì)經(jīng)過(guò)加密存放在云服務(wù)器的原始ABE密文，解密者向云服務(wù)器發(fā)送一個(gè)轉(zhuǎn)換密鑰TK，云服務(wù)器利用轉(zhuǎn)換密鑰對(duì)原始ABE密文進(jìn)行轉(zhuǎn)換運(yùn)算，得到部分解密的ABE密文，反饋給解密者，解密者只需利用私鑰進(jìn)行一次指數(shù)運(yùn)算即可獲知明文消息。

2 基于屬性的BGN型密文解密外包方案

本章提出一種基于屬性的BGN型密文解密外包方案，通過(guò)將BGN方案與基于屬性的密文解密外包思想相結(jié)合，構(gòu)造了能夠?qū)崿F(xiàn)對(duì)云計(jì)算結(jié)果訪問(wèn)控制的外包方案。方案由以下五個(gè)子算法組成：

PK=(n,g,k,h,e,e′(g,g)α,ga,F,H,G,G1)

密鑰產(chǎn)生算法：輸入主密鑰MSK和屬性S，隨機(jī)選擇t′∈Zp，輸出：

算法隨機(jī)選擇z∈Zp，并令t=t′/z，輸出轉(zhuǎn)換密鑰TK：

私鑰即為SK=(q1,z,TK)。

算法最后輸出部分密文CT′=(c,Q)。

解密算法：輸入私鑰SK=(q1,z,TK)和密文CT，如果密文不是部分密文，那么必須先運(yùn)行轉(zhuǎn)換算法將其轉(zhuǎn)換為部分密文。如果轉(zhuǎn)換算法輸出為⊥，則解密算法也輸出⊥。反之，利用(z,Q)計(jì)算出e′(g,g)sα=Qz，而后解密者再利用部分私鑰q1計(jì)算cq1=(kmH(e′(g,g)αs)hR)q1=(kH(e′(g,g)αs)q1)m，通過(guò)Pollard’s lambda算法解密以kH(e′(g,g)αs)q1為底cq1的離散對(duì)數(shù)即可恢復(fù)出明文消息m。其中，最終步驟利用Pollard’s lambda算法進(jìn)行的解密過(guò)程與BGN方案的解密過(guò)程是一樣的。

3 方案分析

3.1 同態(tài)性質(zhì)分析

本文方案是基于類(lèi)同態(tài)BGN方案，所以它滿足任意次加法同態(tài)和一次乘法同態(tài)性質(zhì)，詳細(xì)分析如下：

1)加法同態(tài)：對(duì)于兩個(gè)部分密文c1=km1H(e′(g,g)αs)hR1∈G和c2=km2H(e′(g,g)αs)hR2∈G，計(jì)算：

c′=c1c2hR=(km1H(e′(g,g)αs)hR1)·(km2H(e′(g,g)αs)hR2)hR=

k(m1+m2)H(e′(g,g)αs)hR1+R2+R∈G

屬性滿足密文策略的合法解密者可以求出e′(g,g)sα的值，進(jìn)而利用解密算法即可算出m1+m2。

2)乘法同態(tài)：令k1=e(k,k)，h1=e(k,h)，則k1的階為n，h1的階為q1，并且一定有β∈Z使得h=kβq2，計(jì)算：

同理，合法解密者能夠算出m1m2。由于不存在有效算法使得e:G1×G1→G成立，所以本文方案只能進(jìn)行一次乘法。

3.2 安全性分析

本文將從以下兩個(gè)方面分析方案的安全性：一是證明方案在子群判定問(wèn)題困難假設(shè)下滿足語(yǔ)義安全；另一方面，在隨機(jī)預(yù)言機(jī)模型下分析方案的屬性安全。

3.2.1 語(yǔ)義安全分析

定義1 子群判定問(wèn)題。定義算法G，輸入安全參數(shù)τ∈Z+，輸出元組(q1,q2,G,G1,e)，其中G,G1都是階為n=q1q2的群，e:G×G→G1是雙線性映射。輸入?yún)?shù)τ，算法G運(yùn)行如下：

1)生成兩個(gè)隨機(jī)的τ比特的素?cái)?shù)q1,q2，令n=q1q2∈Z。

2)生成滿足1.1節(jié)中定義的雙線性映射群G,G1，其生成元為g，階為n。

3)輸出(q1,q2,G,G1,e)。

子群判定問(wèn)題定義為：給定元組(q1,q2,G,G1,e)和元素x∈G，如果x的階是q1，則輸出“1”，否則輸出“0”。也即在不清楚n的分解情況下，判定元素x是否屬于G的一個(gè)子群。對(duì)于算法敵手A，解決該問(wèn)題的優(yōu)勢(shì)定義為：

SD-AdvA(τ)=|Pr[A(n,G,G1,e,x)=1:(q1,q2,G,

G1,e)←G(τ),n=q1q2,x←G]-Pr[A(n,G,G1,

e,xq2)=1:(q1,q2,G,G1,e)←G(τ),n=q1q2,

x←G]|

定義2 稱(chēng)算法G滿足子群判定假設(shè)，對(duì)任意多項(xiàng)式時(shí)間算法敵手A解決上述子群判定問(wèn)題的優(yōu)勢(shì)SD-AdvA(τ)是可以忽略不計(jì)的。

證明 本文方案的安全性是建立在敵手算法A不能攻破子群判定問(wèn)題的假設(shè)基礎(chǔ)上。假設(shè)存在某一算法A能夠以?xún)?yōu)勢(shì)ε攻破本文方案的語(yǔ)義安全性，那么就一定存在敵手算法A能夠以?xún)?yōu)勢(shì)ε解決子群判定問(wèn)題假設(shè)。詳細(xì)的證明過(guò)程如下：

1)敵手算法A隨機(jī)選擇g∈G，將公鑰(n,G,G1,e,g,x)發(fā)送給算法。

3)算法B輸出關(guān)于b的猜測(cè)b′，如果b=b′，算法A輸出“1”，否則輸出“0”。

如果元素x是在群G中均勻分布，那么挑戰(zhàn)密文C在群G中也是均勻分布，與b的選擇無(wú)關(guān)，即Pr|b=b′|=1/2；如果x是群G的q1階子群中的元素，那么根據(jù)假設(shè)就有Pr|b=b′|>1/2+ε，所以SD-AdvA(τ)>ε，這就意味著敵手算法A解決子群判定問(wèn)題假設(shè)的優(yōu)勢(shì)ε是不可忽略的，與困難問(wèn)題矛盾。

因此，方案在子群判定問(wèn)題困難假設(shè)下達(dá)到了語(yǔ)義安全。

3.2.2 屬性安全分析

對(duì)方案的屬性安全分析借鑒文獻(xiàn)[8]的方法，其安全模型如下：

Setup：挑戰(zhàn)者運(yùn)行初始化算法，將安全參數(shù)及公鑰PK發(fā)送給敵手算法A。

Phase 1：挑戰(zhàn)者新設(shè)一個(gè)空表T和一個(gè)空集D，并設(shè)置初始指針j=0。敵手算法A被允許重復(fù)以下任意查詢(xún)。

·Create(S)：挑戰(zhàn)者設(shè)置指針j:=j+1，運(yùn)行密鑰產(chǎn)生算法得到一組與屬性S相關(guān)的密鑰對(duì)(SK,TK)，挑戰(zhàn)者將該密鑰對(duì)存儲(chǔ)在表T中，并記錄為(j,S,SK,TK)。算法最終將轉(zhuǎn)換密鑰TK發(fā)送給敵手算法A。針對(duì)同一屬性S，這一過(guò)程可以被重復(fù)查詢(xún)。

·Corrupt(i)：如果在表T中存在第i項(xiàng)記錄，即指針j≥i，那么挑戰(zhàn)者就可得到該記錄(j,S,SK,TK)的內(nèi)容，并且修改D:=D∪{S}，而后將私鑰SK發(fā)送給敵手算法A；如果在表T中不存在第i項(xiàng)記錄，則輸出⊥。

·Decrypt(i,CT)：如果在表T中存在第i項(xiàng)記錄，那么挑戰(zhàn)者就可得到該記錄(j,S,SK,TK)的內(nèi)容，并且挑戰(zhàn)者將輸入(SK,CT)進(jìn)行解密得到的解密結(jié)果發(fā)送給敵手算法A；如果在表T中不存在第i項(xiàng)記錄，則輸出⊥。

Challenge：敵手算法A提交兩個(gè)長(zhǎng)度相等的消息m0和m1，此外敵手算法A再選擇一個(gè)訪問(wèn)結(jié)構(gòu)(M*,ρ*)，滿足對(duì)于所有的S∈D，f(S,(M*,ρ*))≠1。挑戰(zhàn)者以拋擲硬幣的方式隨機(jī)選擇mb，并且在訪問(wèn)結(jié)構(gòu)(M*,ρ*)下加密mb，將得到的密文CT*發(fā)送給敵手算法A。

Phase 2：以上的Phase 1過(guò)程可以重復(fù)進(jìn)行，但是敵手算法A不能：

·從挑戰(zhàn)密文中直接獲得私鑰，算法A不能在Challenge中出現(xiàn)f(S,(M*,ρ*))=1的情況，也即是說(shuō)在Corrupt這一步的查詢(xún)中，滿足f(S,(M*,ρ*))=1的屬性S不能被添加到D中。

·查詢(xún)得到了正確結(jié)果，也即Decrypt查詢(xún)應(yīng)在Phase 1中完成，除了當(dāng)查詢(xún)結(jié)果為m0或者m1時(shí)，挑戰(zhàn)者用消息test來(lái)代替回答。

Guess：敵手算法A輸出關(guān)于b的猜測(cè)b′。

定義3 如果敵手算法A在上述安全游戲中多項(xiàng)式時(shí)間內(nèi)優(yōu)勢(shì)可以忽略不計(jì)，那么方案就在隨機(jī)預(yù)言機(jī)模型下滿足屬性安全。

證明 在現(xiàn)實(shí)攻擊中，由于滿足訪問(wèn)結(jié)構(gòu)的屬性S都被排除在屬性集合D之外，當(dāng)敵手算法A對(duì)轉(zhuǎn)換密鑰TK及私鑰SK進(jìn)行查詢(xún)時(shí)，得不到能夠正確解密的相關(guān)密鑰，只可能以等概率猜測(cè)b，即敵手算法A的安全優(yōu)勢(shì)多項(xiàng)式時(shí)間內(nèi)優(yōu)勢(shì)可以忽略不計(jì)。

因此，方案就在隨機(jī)預(yù)言機(jī)模型下滿足屬性安全。

3.3 性能分析

Green等在文獻(xiàn)[8]中提出了基于屬性的密文解密外包思想，并構(gòu)造了一個(gè)密文策略的外包方案; Gentry等在文獻(xiàn)[15]中利用容錯(cuò)學(xué)習(xí)問(wèn)題(Learning With Errors， LWE)構(gòu)造了一個(gè)BGN型的類(lèi)同態(tài)加密方案。將本文構(gòu)造的方案與文獻(xiàn)[8，15]中的方案分別進(jìn)行對(duì)比，主要比較方案類(lèi)型、是否支持同態(tài)操作、是否支持訪問(wèn)控制、密文尺寸、解密時(shí)間開(kāi)銷(xiāo)等，結(jié)果如表1、表2所示。通過(guò)表1可以看出，相比文獻(xiàn)[8]中的密文策略外包方案，本文方案能夠支持對(duì)外包的密文進(jìn)行同態(tài)操作，包括任意次加法同態(tài)和一次乘法同態(tài)操作。表2中，m代表明文空間大小，E代表進(jìn)行一次指數(shù)運(yùn)算所耗費(fèi)的最大時(shí)間。通過(guò)表2可以看出，與文獻(xiàn)[15]中利用容錯(cuò)學(xué)習(xí)問(wèn)題構(gòu)造的BGN型類(lèi)同態(tài)方案相比，本文方案能夠?qū)崿F(xiàn)對(duì)加密結(jié)果的解密權(quán)限的控制，并且本文方案在密文尺寸和解密時(shí)間上都優(yōu)于文獻(xiàn)[15]的方案。

表1 與Green方案對(duì)比Tab. 1 Comparison with the Green scheme

表2 與Gentry方案對(duì)比Tab. 2 Comparison with the Gentry scheme

4 結(jié)語(yǔ)

本文通過(guò)將基于屬性的密文解密外包的思想引入到BGN方案中，構(gòu)造了一個(gè)適用于云計(jì)算環(huán)境的基于屬性的BGN型密文解密外包方案；通過(guò)利用基于屬性加密的方法，解決了云計(jì)算結(jié)果訪問(wèn)控制問(wèn)題，并且解密過(guò)程的外包大幅度降低了用戶的計(jì)算量，提高了用戶解密效率。進(jìn)一步的工作是探索基于屬性的密文解密外包與全同態(tài)方案的結(jié)合，構(gòu)造效率更高、更加實(shí)用的云環(huán)境下全同態(tài)基于屬性的密文解密外包方案。

References)

[1] ERIC H. Head in the clouds [J]. Nature, 2007, 449(7156): 963.

[2] KAUFMAN L M. Data security in the world of cloud computing [J]. IEEE Security & Privacy, 2009, 7(4): 61-64.

[3] SHAMIR A. Identity-based cryptosystems and signature schemes [C]// CRYPTO 1984: Proceedings of the 1984 Workshop on the Theory and Application of Cryptographic Techniques, LNCS 196. Berlin: Springer-Verlag, 1984: 47-53.

[4] SAHAI A, WATERS B. Fuzzy identity-based encryption [C]// EUROCRYPT 2005: Proceedings of the Annual International Conference on the Theory and Applications of Cryptographic Techniques, LNCS 3494. Berlin: Springer-Verlag, 2005: 457-473.

[5] PIRRETTI M, TRAYNOR P, MCDANIEL P, et al. Secure attribute-based systems [J]. Journal of Computer Security, 2010, 18(5): 799-837.

[6] NING J, DONG X, CAO Z, et al. White-box traceable ciphertext-policy attribute-based encryption supporting flexible attributes [J]. IEEE Transactions on Information Forensics and Security, 2015, 10(6): 1274-1288.

[7] ZHANG K, MA J, LIU J, et al. Adaptively secure multi-authority attribute-based encryption with verifiable outsourced decryption [J]. Science China Information Sciences, 2016, 59: 99105.

[8] GREEN M, HOHENBERGER S, WATERS B. Outsourcing the decryption of ABE ciphertexts [C]// SEC ’11： Proceedings of the 20th USENIX Conference on Security. Berkeley, CA： USENIX Association, 2011: 34.

[9] WAN Z, LIU J, DENG R H. HASBE: a hierarchical attribute-based solution for flexible and scalable access control in cloud computing [J]. IEEE Transactions on Information Forensics and Security, 2012, 7(2): 743-754.

[10] YANG K, JIA X, REN K, et al. DAC-MACS: effective data access control for multiauthority cloud storage systems [J]. IEEE Transactions on Information Forensics and Security, 2013, 8(11): 1790-1801.

[11] WANG S, ZHOU J, LIU J, et al. An efficient file hierarchy attribute-based encryption scheme in cloud computing [J]. IEEE Transactions on Information Forensics & Security, 2016, 11(6): 1265-1277.

[12] BONEH D, GOH E-J, NISSIM K. Evaluating 2-DNF formulas on ciphertexts [C]// TCC 2005: Proceedings of the 2005 Second International Conference on Theory of Cryptography. Springer Berlin Heidelberg, LNCS 3378. Berlin: Springer-Verlag, 2005: 325-341.

[13] WATERS B. Ciphertext-policy attribute-based encryption: an expressive, efficient, and provably secure realization [C]// PKC ’11: Proceedings of the 14th International Conference on Public Key Cryptography, LNCS 6571. Berlin: Springer-Verlag, 2011: 53-70.

[14] RIVEST R L, ADLEMAN L, DERTOUZOS M L. On data banks and privacy homomorphisms [J]. Foundations of Secure Computation, 1978, 4(11): 169-179.

[15] GENTRY C, HALEVI S, VAIKUNTANATHAN V. A simple BGN-type cryptosystem from LWE [C]// EUROCRYPT 2010: Proceedings of the 2010 Annual International Conference on the Theory and Applications of Cryptographic Techniques, LNCS 6110. Berlin: Springer-Verlag, 2010: 506-522.

[16] MENEZES A J, VAN OORSCHOT P, VANSTONE S A. Handbook of applied cryptography [S]. Boca Raton, FL: CRC Press, 1999: 425-488.

This work is partially supported by the Natural Science Foundation of Shaanxi Province (2016JQ6037).

LIZhenlin, born in 1992, M. S. candidate. His main research interest is cryptology.

ZHANGWei, born in 1976, Ph. D., professor. Her research interests include cryptology, information security.

BAIPing, born in 1990, M. S. candidate. His main research interest is cryptology.

WANGXu’an, born in 1981, Ph. D., associate professor. His research interests include cryptology, information security.

BGNtypeoutsourcingthedecryptionofattribute-basedencryptionciphertexts

LI Zhenlin1,2*, ZHANG Wei1,2, BAI Ping2, WANG Xu’an2

(1.ElectronicTechniqueDepartment,EngineeringCollegeoftheChineseArmedPoliceForce,Xi’anShaanxi710086,China；2.KeyLaboratoryofInformationSecurity,EngineeringCollegeoftheChineseArmedPoliceForce,Xi’anShaanxi710086,China)

Cloud computing security is the key bottleneck that restricts its development, and access control on the result of cloud computing is a hot spot of current research. Based on the classical homomorphic encryption BGN (Boneh-Goh-Nissim) scheme, and combined with outsourcing the decryption of Ciphertext-Policy Attribute-Based Encryption (CP-ABE) ciphertexts, a BGN type outsourcing the decryption of ABE ciphertexts was constructed. In the scheme, partial decryption of ciphertexts was outsourced to the cloud, and only the users whose attributes meet the access policy could get the correct decryption result, thus reducing the storage and computation overhead of users. Compared with the existing outsourcing schemes of ABE, the proposed scheme can operate on ciphertexts for arbitrary additions and one multiplication. Finally, the security of the scheme was analyzed. The proposed scheme is semantically secure under the subgroup decision assumption, and its attribute security is proved under random oracle model.

attribute-based encryption; cloud computation; outsourcing computing; homomorphic encryption; subgroup decisional problem

TP309.7

A

2017- 03- 03;

2017- 05- 02。

陜西省自然科學(xué)基金資助項(xiàng)目(2016JQ6037)。

李鎮(zhèn)林(1992—)，男，四川巴中人，碩士研究生，主要研究方向：密碼學(xué)； 張薇(1976—)，女，陜西西安人，教授，博士，主要研究方向：密碼學(xué)、信息安全； 白平(1990—)，男，內(nèi)蒙古烏蘭察布人，碩士研究生，主要研究方向：密碼學(xué)； 王緒安(1981—)，男，湖北公安人，副教授，博士，主要研究方向：密碼學(xué)、信息安全。

1001- 9081(2017)08- 2287- 05

10.11772/j.issn.1001- 9081.2017.08.2287