李钰 侯淑梅 王冉 李朋明 楼应凡

摘   要：随着量子计算机的问世，现有的基于大整数分解与离散对数问题的属性加密方案面临淘汰，而基于格上的困难问题设计的密码学方案克服了这一缺陷。针对上述问题，文章提出了一种新的密文策略的属性加密方案，只利用一个样本值，该方案效率更高。

关键词：密文策略属性加密;格密码;密文

属性加密根据密文与密钥的表示方法和使用场景，能够将其分为两种：（1）密文策略的属性加密方案（Ciphertext Policy Attribute Based Encryption，CP-ABE），在产生密文时，是根据访问结构W产生的，并用用户属性集合L来生成各个用户的密钥。（2）密钥策略的属性加密方案（Key Policy Attribute Based Encryption，KP-ABE），在产生密钥时，是根据访问结构W产生的，而密文与用户的属性集合L有关。在这两种方案中，只有当用户的属性集合L满足访问结构W时，才可以解密得到信息。相比于KP-ABE，CP-ABE更加符合实际情况，在KP-ABE方案中，访问策略与用户密钥相关，数据拥有者必须提前知道有哪些用户可能需要解密数据，这就限制了KP-ABE的实际应用[1]。

现有的属性加密方案，绝大多数是基于离散对数等问题，从而导致方案运行效率低，且无法抵抗量子攻击。而基于格上困难问题构造的新型密码方案具有安全性高、容易实现、运算简单、抗量子攻击等优点，因此，密码学家们开始设计将格密码和属性加密结合的方案[2]。

本文在Brakerski等學者提出的基于LWE问题的属性加密基础上，提出了一种新的密文策略的属性加密方案，该方案只利用一个样本值，效率更高。

1    预备知识

1.1  格

定义1：设b1，b2，…，bm是Rm上的m个线性无关向量，由b1，b2，…，bm生成的格L是指向量b1，b2，…，bm的线性组合构成的向量集合[3-4]，即：

其中，向量b1，b2，…，bm是格L的一组基，另外，如果定义一个m×m的矩阵B，设置B的列向量依次为b1，b2，…，bm，那么上述可定义为：

当时，成为整数格。

定义2：设q为素数，和，定义：

由定义可知，若，则，因此，可以由经过平移得到。

1.2  Ring-LWE

Lyubaskevsky等提出了环上错误学习问题（Ring Learning With Errors Problem，R-LWE），我们的方案中用到了决策R-LWEd，q，x问题，因此，下面阐述决策R-LWEd，q，x问题。

定义3：设定安全参数为λ，d和q是与安全参数λ相关的整数，令Rq=Zq[X]/f，其中，f=xd+1，且Rq=R/qR，令χ=χ（λ），则对于以下两种分布：（1）（a，b）=（a，a.SK+e）∈Rq×Rq，其中，a，SK←Rq，e←χ（λ）。（2）（a，b）∈Rq×Rq。决策R-LWEd，q，x就是对这两种分布进行区分，根据决策R-LWEd，q，x假设，R-LWEd，q，x问题中的这两种分布是均匀不可区分的。

1.3  密文策略的属性加密方案定义

一个密文策略的属性加密方案主要由CP-ABE. Setup，CP-ABE. Encrypt，CP-ABE. KeyGen，CP-ABE. Decrypt组成，具体如下。

CP-ABE. Setup（1λ）：输入λ，λ为安全参数，输出PP以及MSK。

CP-ABE. Encryption（PP，m，A）：该加密算法以公共参数PP，消息空间中的一个比特消息m，m∈{0，1}，一个访问结构A作为输入，最后，输出一个根据访问结构A对消息加密得到的密文CT。

CP-ABE. KeyGen（MSK，L）：输入MSK，L。其中，MSK为主密钥，L为一个用户的属性列表。算法最后输出为SK，SK是与属性列表L相关的私钥。

CP-ABE. Decryption（PP，CT，SK）：输入公共参数PP，和根据访问结构A得到的密文CT，用户的私钥SK，当且仅当LA时，输出m，否则，会输出⊥。

2    新的密文策略的属性加密方案的设计

R-LWE问题是Lyubashevsky等学者提出的，在基于LWE设计的属性加密方案中，需要n个样本值，这样会增加密文长度，因此，我们对基于LWE的属性加密方案经过修改，在Fun等学者[5]的研究基础上，只选择一个样本值（a，b）∈Rq×Rq，该方案的效率更高。

在这个方案中，λ为安全参数，U={u1，u2，…，un}为属性列表。随机选择大素数q，它与λ相关。定义Rq=Zq[X]/f，其中，f=xd+1，设χ←χ（λ）是Rq上的错误分布，则整个方案的描述如下[6]。

Setup（1λ）：以安全参数λ作为输入，选取主密钥sk0∈Rq，以及均匀随机选取参数a∈Rq，在χ分布中选择噪声项，即e0←χ。求得FK0=ask0+e0，sk0，a∈Rq，同时，χ分布是在Rq上的，因此，FK0∈Rq。对于i∈[n]中的每一个属性值，在Rq中选择一对随机值（ski，ski-1），ski-1是ski的逆，选择噪声项ei←χ。计算FKi=ski+ei，且FKi∈Rq，最终得到PP和MSK。

Encrypt（PP，m，A）：输入公共参数PP，一个比特消息位m∈{0，1}，以及一个访问结构A作为输入，根据分布χ，选择两个噪声项e'和e'1，设置密文ct0和ct1[7-8]。

Keygen（MK，L）：输入主密钥MSK和一个属性列表U={u1，u2，…，un}，在Rq均匀随机挑选一对值（n，n-1）。根据分布χ，选择两个噪声项e"和e"2。并据此产生用户属性列表U的私钥k0和k1。

Decrypt（PP，CT，SK）：输入公共参数PP，用户的密钥SK，CT是根据访问结构A加密得到的密文，当且仅当L∈A，可以解密得到密文，可以计算得到m，否则，输出⊥。

在上述的密文策略的属性加密方案中，所有的噪声项都必须服从Rq上的分布χ，且足够小[9]。

3    结语

近年来，格密码受到了学者们的大量关注，本文在Fun等学者的基础上，提出了一种新的密文策略的属性加密方案，只选用了一个样本值，该方案的效率较高。

[参考文献]

[1]汤殿华，祝世雄，王林，等.基于RLWE的全同态加密方案[J].通信学报，2014（1）：173-182.

[2]张晓均.基于格上困难问题的新型密码算法设计及应用研究[D].成都：电子科技大学，2015.

[3]王彩芬，邓云霞，牛淑芬.一个新的理想格上基于属性的加密方案[J].计算机工程与应用，2016（17）：123-127.

[4]WANG Y T.Lattice ciphertext policy attribute-based encryption in the standard model[J].IJ Network Security，2014（6）：444-451.

[5]FUN T S，AZMAN S.Lattice ciphertext-policy attribute-based encryption from ring-LWE[C].New York：International Symposium on Technology Management and Emerging Technologies（ISTMET），2015.

[6]王小云，劉明洁.格密码学研究[J].密码学报，2014（1）：13-27.

[7]ROY S S，VERCAUTEREN F，MENTENS N，et al.Compact ring-LWE cryptoprocessor[C].Seattle：International Workshop on Cryptographic Hardware&Embedded Systems，2014.

[8]LAI J，DENG R H，LI Y.Fully secure cipertext-policy hiding CP-ABE[C].Wuhan：International Conference on Information Security Practice&Experience，2011.

[9]LIU Z，CAO Z，WONG D S.Blackbox traceable CP-ABE：how to catch people leaking their keys by selling decryption devices on ebay[M].Baotou：Inner Mongolia University of Science and Technology press，2013.

Study on a new ciphertext-policy attribute-based encryption scheme

Li Yu， Hou Shumei， Wang Ran， Li Pengming， Lou Yingfan

（Henan Normal University， Xinxiang 453000， China）

Abstract：With the advent of quantum computer， the existing attribute-based encryption scheme based on large integer factoring and discrete logarithm problem faces elimination， however， the encryption scheme based on the difficult problems on lattice overcome this shortcoming. For the above questions， this paper presents a new ciphertext-policy attributed-based encryption scheme. Using only one sample value， the scheme is more efficient.

Key words：ciphertext-policy attribute-based encryption; lattice-based encryption; ciphertext