李鈺 侯淑梅 王冉 李朋明 樓應凡

摘? ?要：隨著量子計算機的問世，現(xiàn)有的基于大整數(shù)分解與離散對數(shù)問題的屬性加密方案面臨淘汰，而基于格上的困難問題設計的密碼學方案克服了這一缺陷。針對上述問題，文章提出了一種新的密文策略的屬性加密方案，只利用一個樣本值，該方案效率更高。

關鍵詞：密文策略屬性加密;格密碼;密文

屬性加密根據(jù)密文與密鑰的表示方法和使用場景，能夠?qū)⑵浞譃閮煞N：（1）密文策略的屬性加密方案（Ciphertext Policy Attribute Based Encryption，CP-ABE），在產(chǎn)生密文時，是根據(jù)訪問結(jié)構(gòu)W產(chǎn)生的，并用用戶屬性集合L來生成各個用戶的密鑰。（2）密鑰策略的屬性加密方案（Key Policy Attribute Based Encryption，KP-ABE），在產(chǎn)生密鑰時，是根據(jù)訪問結(jié)構(gòu)W產(chǎn)生的，而密文與用戶的屬性集合L有關。在這兩種方案中，只有當用戶的屬性集合L滿足訪問結(jié)構(gòu)W時，才可以解密得到信息。相比于KP-ABE，CP-ABE更加符合實際情況，在KP-ABE方案中，訪問策略與用戶密鑰相關，數(shù)據(jù)擁有者必須提前知道有哪些用戶可能需要解密數(shù)據(jù)，這就限制了KP-ABE的實際應用[1]。

現(xiàn)有的屬性加密方案，絕大多數(shù)是基于離散對數(shù)等問題，從而導致方案運行效率低，且無法抵抗量子攻擊。而基于格上困難問題構(gòu)造的新型密碼方案具有安全性高、容易實現(xiàn)、運算簡單、抗量子攻擊等優(yōu)點，因此，密碼學家們開始設計將格密碼和屬性加密結(jié)合的方案[2]。

本文在Brakerski等學者提出的基于LWE問題的屬性加密基礎上，提出了一種新的密文策略的屬性加密方案，該方案只利用一個樣本值，效率更高。

1? ? 預備知識

1.1? 格

定義1：設b1，b2，…，bm是Rm上的m個線性無關向量，由b1，b2，…，bm生成的格L是指向量b1，b2，…，bm的線性組合構(gòu)成的向量集合[3-4]，即：

其中，向量b1，b2，…，bm是格L的一組基，另外，如果定義一個m×m的矩陣B，設置B的列向量依次為b1，b2，…，bm，那么上述可定義為：

當時，成為整數(shù)格。

定義2：設q為素數(shù)，和，定義：

由定義可知，若，則，因此，可以由經(jīng)過平移得到。

1.2? Ring-LWE

Lyubaskevsky等提出了環(huán)上錯誤學習問題（Ring Learning With Errors Problem，R-LWE），我們的方案中用到了決策R-LWEd，q，x問題，因此，下面闡述決策R-LWEd，q，x問題。

定義3：設定安全參數(shù)為λ，d和q是與安全參數(shù)λ相關的整數(shù)，令Rq=Zq[X]/f，其中，f=xd+1，且Rq=R/qR，令χ=χ（λ），則對于以下兩種分布：（1）（a，b）=（a，a.SK+e）∈Rq×Rq，其中，a，SK←Rq，e←χ（λ）。（2）（a，b）∈Rq×Rq。決策R-LWEd，q，x就是對這兩種分布進行區(qū)分，根據(jù)決策R-LWEd，q，x假設，R-LWEd，q，x問題中的這兩種分布是均勻不可區(qū)分的。

1.3? 密文策略的屬性加密方案定義

一個密文策略的屬性加密方案主要由CP-ABE. Setup，CP-ABE. Encrypt，CP-ABE. KeyGen，CP-ABE. Decrypt組成，具體如下。

CP-ABE. Setup（1λ）：輸入λ，λ為安全參數(shù)，輸出PP以及MSK。

CP-ABE. Encryption（PP，m，A）：該加密算法以公共參數(shù)PP，消息空間中的一個比特消息m，m∈{0，1}，一個訪問結(jié)構(gòu)A作為輸入，最后，輸出一個根據(jù)訪問結(jié)構(gòu)A對消息加密得到的密文CT。

CP-ABE. KeyGen（MSK，L）：輸入MSK，L。其中，MSK為主密鑰，L為一個用戶的屬性列表。算法最后輸出為SK，SK是與屬性列表L相關的私鑰。

CP-ABE. Decryption（PP，CT，SK）：輸入公共參數(shù)PP，和根據(jù)訪問結(jié)構(gòu)A得到的密文CT，用戶的私鑰SK，當且僅當LA時，輸出m，否則，會輸出⊥。

2? ? 新的密文策略的屬性加密方案的設計

R-LWE問題是Lyubashevsky等學者提出的，在基于LWE設計的屬性加密方案中，需要n個樣本值，這樣會增加密文長度，因此，我們對基于LWE的屬性加密方案經(jīng)過修改，在Fun等學者[5]的研究基礎上，只選擇一個樣本值（a，b）∈Rq×Rq，該方案的效率更高。

在這個方案中，λ為安全參數(shù)，U={u1，u2，…，un}為屬性列表。隨機選擇大素數(shù)q，它與λ相關。定義Rq=Zq[X]/f，其中，f=xd+1，設χ←χ（λ）是Rq上的錯誤分布，則整個方案的描述如下[6]。

Setup（1λ）：以安全參數(shù)λ作為輸入，選取主密鑰sk0∈Rq，以及均勻隨機選取參數(shù)a∈Rq，在χ分布中選擇噪聲項，即e0←χ。求得FK0=ask0+e0，sk0，a∈Rq，同時，χ分布是在Rq上的，因此，F(xiàn)K0∈Rq。對于i∈[n]中的每一個屬性值，在Rq中選擇一對隨機值（ski，ski-1），ski-1是ski的逆，選擇噪聲項ei←χ。計算FKi=ski+ei，且FKi∈Rq，最終得到PP和MSK。

Encrypt（PP，m，A）：輸入公共參數(shù)PP，一個比特消息位m∈{0，1}，以及一個訪問結(jié)構(gòu)A作為輸入，根據(jù)分布χ，選擇兩個噪聲項e'和e'1，設置密文ct0和ct1[7-8]。

Keygen（MK，L）：輸入主密鑰MSK和一個屬性列表U={u1，u2，…，un}，在Rq均勻隨機挑選一對值（n，n-1）。根據(jù)分布χ，選擇兩個噪聲項e"和e"2。并據(jù)此產(chǎn)生用戶屬性列表U的私鑰k0和k1。

Decrypt（PP，CT，SK）：輸入公共參數(shù)PP，用戶的密鑰SK，CT是根據(jù)訪問結(jié)構(gòu)A加密得到的密文，當且僅當L∈A，可以解密得到密文，可以計算得到m，否則，輸出⊥。

在上述的密文策略的屬性加密方案中，所有的噪聲項都必須服從Rq上的分布χ，且足夠小[9]。

3? ? 結(jié)語

近年來，格密碼受到了學者們的大量關注，本文在Fun等學者的基礎上，提出了一種新的密文策略的屬性加密方案，只選用了一個樣本值，該方案的效率較高。

[參考文獻]

[1]湯殿華，祝世雄，王林，等.基于RLWE的全同態(tài)加密方案[J].通信學報，2014（1）：173-182.

[2]張曉均.基于格上困難問題的新型密碼算法設計及應用研究[D].成都：電子科技大學，2015.

[3]王彩芬，鄧云霞，牛淑芬.一個新的理想格上基于屬性的加密方案[J].計算機工程與應用，2016（17）：123-127.

[4]WANG Y T.Lattice ciphertext policy attribute-based encryption in the standard model[J].IJ Network Security，2014（6）：444-451.

[5]FUN T S，AZMAN S.Lattice ciphertext-policy attribute-based encryption from ring-LWE[C].New York：International Symposium on Technology Management and Emerging Technologies（ISTMET），2015.

[6]王小云，劉明潔.格密碼學研究[J].密碼學報，2014（1）：13-27.

[7]ROY S S，VERCAUTEREN F，MENTENS N，et al.Compact ring-LWE cryptoprocessor[C].Seattle：International Workshop on Cryptographic Hardware&Embedded Systems，2014.

[8]LAI J，DENG R H，LI Y.Fully secure cipertext-policy hiding CP-ABE[C].Wuhan：International Conference on Information Security Practice&Experience，2011.

[9]LIU Z，CAO Z，WONG D S.Blackbox traceable CP-ABE：how to catch people leaking their keys by selling decryption devices on ebay[M].Baotou：Inner Mongolia University of Science and Technology press，2013.

Study on a new ciphertext-policy attribute-based encryption scheme

Li Yu， Hou Shumei， Wang Ran， Li Pengming， Lou Yingfan

（Henan Normal University， Xinxiang 453000， China）

Abstract：With the advent of quantum computer， the existing attribute-based encryption scheme based on large integer factoring and discrete logarithm problem faces elimination， however， the encryption scheme based on the difficult problems on lattice overcome this shortcoming. For the above questions， this paper presents a new ciphertext-policy attributed-based encryption scheme. Using only one sample value， the scheme is more efficient.

Key words：ciphertext-policy attribute-based encryption; lattice-based encryption; ciphertext