CN105743642A - 一种抗密钥连续辅助输入泄漏的基于属性加密方法 - Google Patents

Abstract

本发明提供了一种抗密钥连续辅助输入泄漏的基于属性加密方法，包括以下步骤，私钥生成中心输入系统安全参数λ和合法属性集合U，构造一个m维向量，并将该m维向量嵌入到系统公钥PK和系统主密钥MSK；私钥生成中心认证用户拥有的属性集合ω，利用系统主密钥MSK和系统公钥PK，生成包含m维向量的用户私钥SK_ω；加密方利用系统公钥PK和设定的访问策略，对待加密处理的信息进行加密，生成包含mn₁维向量的密文；仅在用户私钥SK_ω的属性满足密文的访问策略时，该用户才解密得到明文。在本发明中，系统主密钥MSK和用户私钥SK_ω可以连续无界泄漏，提高了用户私钥SK_ω兼容性，在保证加密信息安全性的前提下，减少了系统主密钥长度及用户私钥长度。

Description

一种抗密钥连续辅助输入泄漏的基于属性加密方法

技术领域

本发明涉及密码学技术领域，尤其涉及一种抗密钥连续辅助输入泄漏的基于属性加密方法。

背景技术

公钥密码学作为现代密码学的一个重要分支，近年来得到了迅速发展。在公钥加密机制中，每个合法用户都拥有一对不同的加密密钥与解密密钥，且由已知加密密钥推导出解密密钥在计算上是不可行的。加密密钥可以公开，而解密密钥必须有用户自身秘密保存，即用户不能将任意一位的信息泄漏给他人，否则，系统的安全性将会被破坏。因此，公钥加密机制的安全性是建立在解密密钥必须秘密保存基础上的。

现代密码学假定所有攻击者均不能获知保密密钥的任何信息，但在实际应用中，攻击者可以通过边信道攻击(SideChannelAttack，SCA)^[1]，利用密码算法运行时的物理特征信息(例如时间、能耗、音频等)和内存泄露^[2]，获知关于密钥和系统内部秘密状态的部分信息。针对边信道攻击下的密钥泄露问题，抗泄露密码机制在允许攻击者获知密钥和系统保密状态泄露信息的前提下，仍然能够保障密码系统的安全性。为了模拟密钥泄露的程度，该机制定义了作用在密钥和系统内部秘密状态上的可计算泄露函数，并将该泄露函数的输出结果作为密钥泄露信息，显然，必要的限制是泄露函数不能完全暴露密钥。2010年，Dodis等人^[3]提出了抗泄露密码机制中的一个重要公开难题“允许密钥的连续和整体无界泄露，且不限制密钥泄露的类型”。

近年来，学者们提出了许多抗密钥泄露模型，逐步减少对泄露函数的限制。2009年Akavia等人^[4]在密码学理论会议(TCC)上首先提出了相对泄露模型，要求泄露函数输出信息的总长度不能超过预定上界值，该上界值必须小于密钥长度。2010年，Alwen等人^[5]提出了有界检索泄露模型，减少了对泄露函数限制，允许攻击者获知更多的泄露信息。Dodis等人^[6]在TCC会议上提出了辅助输入泄露模型，该模型对泄露函数的唯一限制是，任意攻击者利用泄露信息计算出保密密钥的概率都是可以忽略的。因此，辅助输入泄露模型能够考虑泄露能力更强的泄露函数，进一步减少了对泄露函数的限制。上述研究方案^[5-9]仅考虑了密钥在其整个生命周期中的泄露问题。Brakershi等人^[7]提出连续泄露模型，允许密钥进行更新，并限制在相邻两次更新之间密钥泄露信息不能超过预定上界值，但在系统的整个生命周期中密钥泄露的总量是整体无界的，解决了上述公开难题的第一部分。Yuen等人^[8]将连续泄露模型和辅助输入泄露模型相结合，提出了抗连续辅助泄露的基于身份加密机制，有效解决了基于身份加密中抗密钥泄露的公开难题，但极大地增加了主密钥和用户私钥的长度及相应的计算开销。

2005年，Sahai和Waters^[9]提出了一种新型公钥加密机制---基于属性加密机制(Attribute-BasedEncryption,ABE)，在该ABE中，可信授权机构根据用户的属性集合为其颁发用户私钥，密文和属性集合相关，当用户私钥属性集合与密文属性集合的匹配度满足系统的门限策略时，用户私钥才能正确解密密文。为了在密文中表达更灵活的访问控制策略，2007年Bethencourt等人^[10]提出了“密文策略”的ABE机制(CP-ABE)，将访问控制策略嵌入在密文中，密钥与属性集合相关联，只有密钥的属性满足密文的访问策略时，才能正确恢复明文。然而，该CP-ABE方案仅满足选择安全性。Lewko等人^[11]采用双系统加密技术实现了自适应安全的CP-ABE机制。由于ABE以属性为公钥，能够表示灵活的访问控制策略，显著减少加密节点的处理开销和传输共享数据的网络带宽，从而使它在细粒度访问控制、单向广播、群密钥管理、隐私保护等领域具有广泛的应用前景。然而，目前解决ABE中边信道攻击下的密钥泄露问题的研究还不多见。

针对ABE中存在边信道攻击下的密钥泄露问题，2011年Lewko等人^[12]在TCC年会上将双系统加密和有界泄露模型相结合，提出一种自适应安全的抗连续内存泄露的ABE方案，同时支持主密钥和用户属性私钥的泄露，但仅允许密钥的有界泄露，要求旧版本的密钥必须从内存中完全清除，且该方案不能与其它密码学方案组合使用。然而，在实际应用中，由于ABE的密钥构造方法种类繁多，使得ABE较容易与其它密码系统结合使用，特别地，旧版本的密钥在更新后往往在内存中残留部分信息。因此，设计一种有效抵制边信道攻击下密钥泄露的ABE方法是保障ABE机制能够安全广泛使用的迫切要求，即解决基于属性加密机制中的抗密钥泄露的公开难题。

[1]KocherPC:Timingattacksonimplementationsofdiffie-hellman,rsa,dss,andothersystems[G]//LNCS1109:Procofthe16thAnnualLnternationalCryptologyConference。Berlin:Springer,1996:104-113

[2]HaldermanA,SchoenS,HeningerN,etal。Lestweremember:Coldbootattacksonencryptionkeys[C]//Procofthe17thUSENIXSecuritySymposium,SanJose,CA,ACM,2008:45-60

[3]DodisY,HaralambievK,L′opez-AltA,WichsD:Cryptographyagainstcontinuousmemoryattacks[C]//Procofthe51stannualsymposiumonfoundationsofcomputerscience,LasVegas,Nevada,IEEE,2010:511-520

[4]AkaviaA,GoldwasserS,VaikuntanathanV:Simultaneoushardcorebitsandcryptographyagainstmemoryattacks[G]//LNCS5444,Procofthe29thinternationalcryptologyconference。Berlin:Springer,2009:474-495

[5]AlwenJ,DodisY,NaorM,etal。Public-KeyEncryptionintheBounded-RetrievalModel[G]//LNCS6110:procofthe29thannualinternationalConferenceontheTheoryandApplicationofCryptographicTechniques。Berlin:Springer,2010:113-134。

[6]DodisY,GoldwasserS,KalaiYT,etal。Public-KeyEncryptionSchemeswithAuxiliaryInputs[G]//LNCS5978:Procofthetheoryofcryptographyconference。Berlin:Springer,2010:361-381

[7]BrakerskiZ,KalaiYT,KatzJ,etal。Overcomingtheholeinthebucket:Public-keycryptographyresilienttocontinualmemoryleakage[C]//Procofthe51stannualsymposiumonfoundationsofcomputerscience,LasVegas,Nevada,IEEE,2010:511-520

[8]YuenTH,ChowSSM,ZhangY,etal。Identity-BasedEncryptionResilienttoContinualAuxiliaryLeakage[G]//LNCS7237:procofthe31thannualinternationalConferenceontheTheoryandApplicationofCryptographicTechniques。Berlin:Springer,2012:117-134

[9]SahaiA,WatersB。Fuzzyidentitybasedencryption[G]//LNCS3494:ProcoftheEUROCRYPT2005。Berlin:Springer,2005:457-473

[10]BethencourtJ,SahaiA,WatersB:Ciphertext-policyattribute-basedencryption[C]//Procofthe2007IEEEsymposiumonSecurityandPrivacy。Washington,IEEE,2007:321-334

[11]LewkoA,OkamotoT,SahaiA,etal。Fullysecurefunctionalencryption:Attribute-Basedencryptionand(hierarchical)innerproductencryption[G]//LNCS6110:ProcoftheEUROCRYPT2010。Berlin:Springer,2010:62-91

[12]LewkoA,RouselakisY,WatersB。AchievingLeakageresiliencethroughdualsystemencryption[C]//Procofthe8ththeoryofcryptographyconference。RhodeIsland,ACM,2011:70-88

发明内容

本发明的目的在于公开一种抗密钥连续辅助输入泄漏的基于属性加密方法，用以提高抗密钥泄密容忍性，在保证加密信息的安全性的前提下降低系统主密钥长度及用户私钥的长度，并有效抵抗连续辅助输入泄漏攻击，且允许主密钥和用户私钥的连续无界泄漏，允许基于属性加密的属性密钥引用到其他密码系统中去，提高基于属性加密的属性密钥的兼容性，且主密钥更新后无需将旧版本的主密钥从内存中完全清除，即允许泄漏旧版本的主密钥信息。

为实现上述发明目的，本发明提供了一种抗密钥连续辅助输入泄漏的基于属性加密方法，包括以下步骤：

S1、私钥生成中心输入系统安全参数λ和合法属性集合U，构造一个m维向量，并将该m维向量嵌入到系统公钥PK和系统主密钥MSK，m＝poly(log₂λ)，其中，poly(log₂λ)为关于log₂λ的多项式函数；

S2、私钥生成中心认证用户拥有的属性集合ω，利用系统主密钥MSK和系统公钥PK，生成包含一个m维向量的用户私钥SK_ω；

S3、加密方利用系统公钥PK和设定的访问策略，对待加密处理的信息进行加密，生成包含一个mn₁维向量的密文，其中，n₁是访问策略中矩阵的行数；

S4、仅在用户私钥SK_ω的属性满足密文的访问策略时，该用户才解密得到明文。

在一些实施方式中，所述步骤S1具体为：

S11、选择阶为N＝p₁p₂p₃的循环群G和G_T，其中，p₁,p₂,p₃是3个互不相同的素数，选择双线性映射e:G×G→G_T，令G_i是群G的阶为p_i的子群；

S12、令0<ε<1，m＝(3log₂p₂)^1/ε，随机选择元素α₁,α₂,…,α_m,a₁,a₂,…,a_m∈Z_N ^*,其中Z_N ^*表示集合{1,2,…,N-1}，构成随机向量α＝<α₁,α₂,…,α_m>和a＝<a₁,a₂,…,a_m>，从子群G₁中随机选择生成元g₁,h₁,h₂,…,h_m,从子群G₃中随机选择生成元g₃,计算y＝e(h₁,y₁)e(h₂,y₂)…e(h_m,y_m)；

S13、对每个属性i∈U，选择一个随机元素s_i∈Z_N ^*，计算输出系统公钥

S14、选取随机数t^*∈Z_N，从子群G₃选择随机数ρ₁ ^*,ρ₂ ^*,…,ρ_m ^*,ρ_m+1 ^*∈Z_N ^*,其中Z_N ^*表示集合{1,2,…,N-1},计算 构成向量K^*＝<k₁ ^*,k₂ ^*,…,k_m ^*>，对每个属性i∈U，从子群G₃选择随机数t_i ^*∈Z_N，计算输出系统主密钥

在一些实施方式中，所述步骤S2具体为：

S21、假定用户具有属性集合私钥生成中心选择随机数t∈Z_N ^*，从子群G₃选择随机数ρ₁,ρ₂,…,ρ_m,ρ_m+1∈Z_N ^*,其中Z_N ^*表示集合{1,2,…,N-1},计算构成随机向量K＝<k₁,k₂,…k_m>；

S22、对每个属性i∈ω,从子群G₃选择随机数t_i∈Z_N,计算输出包含m维向量的用户私钥

在一些实施方式中，所述步骤S3具体为：

加密方利用系统公钥PK和设定的访问策略，选择随机数构成随机向量对矩阵A的每一行A_x和j＝1,2,…,m,选择一个随机数r_j,x∈Z_N ^*，对待加密处理的信息进行加密得到密文，以生成包含mn₁维向量的密文，其中，

所述“设定的访问策略”的访问结构为其中，A是一个n₁×n₂矩阵，ρ是一个从集合{1,…,n₁}到合法属性集合U的映射；

所述加密计算公式为：

在一些实施方式中，所述步骤S4具体为：

S41、记A的第x行为A_x，计算一组常量c_x∈Z_N,使得∑c_xA_x＝<1,0,…,0〉；

S42、计算密文中的盲化因子，其计算公式为：

$\underset{j=1}{\overset{m}{\&Pi;}}\&lsqb;\frac{e(k_j,C_1)}{\underset{\mathrm{\&rho;}\left(x\right)\&Element;\mathrm{\&omega;}}{\&Pi;}{\&lsqb;e(C_{j,x},L)e(K_{\mathrm{\&rho;}\left(x\right)},D_{j,x})\&rsqb;}^{c_x}}\&rsqb;={\&lsqb;e{(h_1,g_1)}^{{\mathrm{\&alpha;}}_1}\mathrm{...}e{(h_m,g_1)}^{{\mathrm{\&alpha;}}_m}\&rsqb;}^s=y^s$

S43、消去密文中的盲化因子，恢复消息M＝C₀/y^s。

在一些实施方式中，在步骤S1还包括执行如下步骤：

每经过一段时间后，私钥生成中心执行系统主密钥MSK更新算法，以生成新的系统主密钥MSK′，并具体为：

首先，私钥生成中心随机选择t^*′，ρ₁ ^*′,ρ₂ ^*′,…,ρ_m ^*′,ρ_m+1 ^*′∈Z_N,利用系统主密钥MSK，计算 构成随机向量K^*′＝<k₁ ^*′,k₂ ^*′,…,k_m ^*′>；

然后，对每个属性i∈U,从子群G₃选择随机数t_i ^*′∈Z_N ^*,计算 输出新的系统主密钥

在一些实施方式中，所述步骤S2还包括如下步骤：

每经过一段时间后，私钥生成中心执行用户私钥更新算法，生成新的用户私钥SK_ω′，并具体为：

首先，用户随机选择t′,ρ₁′,ρ₂′,…,ρ_m′,ρ_m+1′∈Z_N ^*,利用用户私钥SK_ω，计算构成随机向量K′＝<k₁′,k₂′,…,k_m′>；

然后，对每个属性i∈ω,从子群G₃选择随机数t_i ^*′∈Z_N ^*,计算输出新的用户私钥

与现有技术相比，本发明的有益效果是：本发明所示出的一种抗密钥连续辅助输入泄漏的基于属性加密方法，允许系统主密钥MSK和用户私钥SK_ω的连续无界泄露，在保证加密信息的安全性的前提下，对系统参数进行优化，减少系统主密钥长度及用户私钥的长度，并有效抵抗连续辅助输入泄漏攻击；同时，本发明允许基于属性加密(ABE)的用户私钥SK_ω引用到其他密码系统中去，提高基于属性加密的用户私钥SK_ω的兼容性，且系统主密钥MSK更新后，并生成新的系统主密钥MSK′后，无需将旧版本的系统主密钥MSK从内存中完全清除，以允许泄漏旧版本的系统主密钥MSK信息。因此，本发明能够有效抵抗连续辅助输入泄漏攻击，实现了在基于属性加密系统中主密钥和用户私钥的连续无界泄漏。

附图说明

图1为本发明一种抗密钥连续辅助输入泄漏的基于属性加密方法的示意图；

图2为本发明一种抗密钥连续辅助输入泄漏的基于属性加密方法的方法流程图。

具体实施方式

下面结合附图所示的各实施方式对本发明进行详细说明，但应当说明的是，这些实施方式并非对本发明的限制，本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替代，均属于本发明的保护范围之内。

请参图1与图2所示出的本发明一种抗密钥连续辅助输入泄漏的基于属性加密方法的一种具体实施方式。

在本实施方式中所示出的一种抗密钥连续辅助输入泄漏的基于属性加密方法的实现有赖于一种基于属性加密的计算机系统，其包括：用户，其用作消息加密方或密文接收方；一个私钥生成中心，作为可信的第三方，对用户属性进行认证，并为合法用户生成属性私钥。该计算机系统可为公有云服务器或者私有云服务器或者分布式计算系统或者计算机集群服务器。

为了加深对本发明的理解，将结合示意图1与图2对本发明进行详细阐述，本发明抗密钥连续辅助泄露的基于属性加密方法包括步骤如下：

S1、私钥生成中心输入系统安全参数λ和合法属性集合U，构造一个m维向量，并将该m维向量嵌入到系统公钥PK和系统主密钥MSK，m＝poly(log₂λ)，其中，poly(log₂λ)为关于log₂λ的多项式函数，其包括如下执行过程：

(1)选择阶为N＝p₁p₂p₃的循环群G和G_T，其中，p₁,p₂,p₃是3个互不相同的素数，选择双线性映射e:G×G→G_T，令G_i是群G的阶为p_i的子群，(2)令0<ε<1，m＝(3log₂p₂)^1/ε，随机选择元素α₁,α₂,…,α_m,a₁,a₂,…,a_m∈Z_N ^*,其中Z_N ^*表示集合{1,2,…,N-1}，构成随机向量α＝<α₁,α₂,…,α_m>和a＝<a₁,a₂,…,a_m>，从子群G₁中随机选择生成元g₁,h₁,h₂,…,h_m,从子群G₃中随机选择生成元g₃,计算y＝e(h₁,y₁)e(h₂,y₂)…e(h_m,y_m)；(3)对每个属性i∈U，选择一个随机元素s_i∈Z_N ^*，计算输出系统公钥 (4)选取随机数t^*∈Z_N ^*，从子群G₃中选择随机数ρ₁ ^*,ρ₂ ^*,…,ρ_m ^*,ρ_m+1 ^*∈Z_N ^*,其中Z_N ^*表示集合{1,2,…,N-1},计算构成向量K^*＝<k₁ ^*,k₂ ^*,…,k_m ^*>，对每个属性i∈U，从子群G₃中选择随机元素t_i ^*∈Z_N ^*，计算输出系统主密钥

本发明将一个m维向量嵌入到系统公钥PK和系统主密钥MSK中，根据Goldreich-Levin定理，攻击者在获知系统主密钥MSK和解密用户私钥SK_ω辅助输入泄漏信息的前提下，依然不能区分解密密钥和随机密钥。因此，攻击者利用系统主密钥MSK和解密用户私钥SK_ω辅助输入泄漏信息，将不能解密密文，从而确保了系统的安全性，即该发明能够有效的抵制连续辅助值输入泄漏攻击，实现了基于属性加密系统中的密钥连续无界泄漏。特别地，为了减少系统公钥PK和系统主密钥MSK的长度及其相应的计算开销，在保证安全性的前提下，通过共用m个子系统主密钥MSK中的关键盲化因子和m个子系统的属性公钥，大大缩减了系统主密钥MSK和系统公钥PK的长度。综上所述，本发明是第一个在基于属性加密环境中能够有效抵制连续辅助输入泄漏攻击的方法，且通过合理优化，使其增加的计算和存储开销达到最少。

优选的，在步骤S1中，每经过一段时间后，私钥生成中心执行系统主密钥更新算法，生成新的系统主密钥(即MSK′)，其包括如下执行过程：(1)私钥生成中心随机选择t^*′，ρ₁ ^*′,ρ₂ ^*′,…,ρ_m ^*′,ρ_m+1 ^*′∈Z_N ^*,利用旧的主密钥(即步骤S1中由私钥生成中心所生成的系统主密钥MSK)，计算 构成随机向量K^*′＝<k₁ ^*′,k₂ ^*′,…,k_m ^*′>；(2)对每个属性i∈U,从子群G₃中选择随机数t_i ^*′∈Z_N ^*,计算 输出新的系统主密钥

S2、私钥生成中心认证用户拥有的属性集合ω，利用系统主密钥MSK和系统公钥PK，生成包含一个m维向量的用户私钥SK_ω，其包括如下执行过程：

(1)假定用户具有属性集合私钥生成中心选择随机数t∈Z_N ^*，从子群G₃选择随机数ρ₁,ρ₂,…,ρ_m,ρ_m+1∈Z_N ^*,其中Z_N ^*表示集合{1,2,…,N-1},计算构成随机向量K＝<k₁,k₂,…k_m>；(2)对每个属性i∈ω,从子群G₃中选择随机数t_i∈Z_N ^*,计算 输出用户私钥

优选的，在步骤S2中，每经过一段时间后，用户执行其私钥更新算法，生成新的用户私钥(即SK_ω′)，其包括如下执行过程：(1)用户随机选择t′，ρ₁′,ρ₂′,…,ρ_m′,ρ_m+1′∈Z_N ^*,利用旧的用户私钥(即SK_ω)，计算 构成随机向量K′＝<k₁′,k₂′,…,k_m′>；

(2)对每个属性i∈ω,从子群G₃中选择随机数t_i′∈Z_N ^*,计算输出用户私钥

S3、加密方利用系统公钥PK和设定的访问策略，对待加密处理的信息进行加密，生成包含一个mn₁维向量的密文，其中，n₁是访问策略中矩阵的行数。该步骤S3具体包括如下执行过程：

(1)给定机密信息的访问策略，其对应的访问结构为其中，A是一个n₁×n₂矩阵，ρ是一个从集合{1,…,n₁}到合法属性集合U的映射；(2)加密方选择随机数构成随机向量对矩阵A的每一行A_x和j＝1,2,…,m,选择一个随机数r_j,x∈Z_N ^*；(3)该密文加密计算公式C如下所示：

S4、仅当用户私钥SK_ω的属性满足密文的访问策略时，该用户才能正确解密密文，获得明文,其包括如下执行过程：(1)记A的第x行为A_x，计算一组常量c_x∈Z_N ^*,使得∑c_xA_x＝<1,0,…,0>；(2)为消去密文中盲化因子，其计算公式如下所示：

$\underset{j=1}{\overset{m}{\&Pi;}}\&lsqb;\frac{e(k_j,C_1)}{\underset{\mathrm{\&rho;}\left(x\right)\&Element;\mathrm{\&omega;}}{\&Pi;}{\&lsqb;e(C_{j,x},L)e(K_{\mathrm{\&rho;}\left(x\right)},D_{j,x})\&rsqb;}^{c_x}}\&rsqb;={\&lsqb;e{(h_1,g_1)}^{{\mathrm{\&alpha;}}_1}\mathrm{...}e{(h_m,g_1)}^{{\mathrm{\&alpha;}}_m}\&rsqb;}^s=y^s$

(3)恢复消息M＝C₀/y^s。

抗密钥泄露的容忍程度是衡量一种密码机制安全性的重要指标。总的来说，抗泄露密码机制的主要目标是尽可能预防和抵抗更多不同类型的边信道攻击(SCA)，使系统在实际应用中的安全性得到可靠的保障。

为了证明本发明的安全性，下面给出合数阶群上子群判定假设。在这些假设中，令λ是系统的安全参数，Pr是概率函数，PPT表示一个概率多项式时间算法。

假设1给定合数阶双线性群(N＝p₁p₂p₃,G,G_T,e),g₁←G₁,g₃←G₃,D＝(N,G,G_T,e,g₁,g₃),随机选择z,v∈Z_N ^*,计算T₁＝g₁ ^z,任意PPT攻击者区分元组(D,T₁)和元组(D,T₂)的优势是可以忽略的。

假设2给定合数阶双线性群(N＝p₁p₂p₃,G,G_T,e)；随机选取z,ν,μ,p∈Z_N ^*,g₁←G₁,g₃←G₃,随机选取w,κ,σ∈Z_N ^*,计算任意PPT攻击者区分元组(D,T₁)和元组(D,T₂)的优势是可以忽略的。

假设3给定合数阶双线性群(N＝p₁p₂p₃,G,G_T,e),随机选择α,ν,μ,z∈Z_N ^*,g₁←G₁；g₂←G₂,g₃←G₃,T₁＝e(g,g)^αz,T₂←G_T，任意PPT攻击者区分元组(D,T₁)和元组(D,T₂)的优势是可以忽略的。

定义1(访问结构^[24])设是n个属性的集合，由的某些非空子集构成的集族称其为设定的访问策略的访问结构，其中，集族且是单调的，即对任意集合B,C，均有：如果且那么 中的所有属性集合称为授权集，不在中的属性集合称为非授权集。

定义2(LSSS^[24])称属性集合上的一个秘密共享方案Π是线性的，如果满足：(1)将Z_p上的一个向量构造成属性的秘密分享值；(2)对于Π，存在一个秘密份额生成矩阵和行标号函数令s∈Z_p ^*是待共享的秘密值，随机选择构成向量 令v^T为v的转置，则A·v^T是n₁个秘密份额构成的向量，利用标号函数，将秘密份额λ_i＝(Av)_i(1≤i≤n₁)分配给属性ρ(i)。

LSSS的可重构性质：假定Π是访问结构的线性秘密共享方案，令是授权集，定义则存在多项式时间算法计算{c_i∈Z_p}_i∈I，使得对于秘密共享值s的任意有效份额{λ_i}_{i∈{1,…,n1}}，满足Σ_i∈Ic_iλ_i＝s。

简要介绍域GF(q)上Goldreich-Levin定理：令q是一个大素数，H是GF(q)的任意子集，n是一个正整数，任意函数f：Hⁿ→{0,1}^*。令s←Hⁿ,ξ←f(s),r←GF(q)ⁿ，如果存在区分器在t时间内使得 则存在一个可逆器在t′＝t·poly(n,|H|,1/ε)时间内求得s的概率。

定义3.连续辅助输入函数族是一类概率多项式时间(PPT)可计算的函数族f：{0,1}^*→{0,1}^*,使得对所有的PK,S, 任意PPT算法输出一个SK_ω*∈S^*的概率均不超过χ(k)，其中，困难参数χ(k)≥2^-k，且MSK,PK,SK_ω*,S,L_MSK,和都是随机生成的。

为了证明本发明的安全性，需要构造半功能私钥和半功能密文，半功能私钥分为Ⅰ型半功能私钥和Ⅱ型半功能私钥。为了生成半功能私钥和密文，对每个属性i∈U，随机选择q_i∈Z_N，半功能密文和半功能私钥定义如下：

KeygenSF1(MSK,ω)该Ⅰ型半功能私钥生成算法随机选择θ∈Z_N，随机向量γ＝(γ₁,γ₂,…,γ_m)∈[0,λ]^m,利用正常私钥计算Ⅰ型半功能私钥SK_ω-Ⅰ如下：

$\tilde{K}=K^{\&prime;}*g_2^{\mathrm{\&gamma;}},\tilde{L}=L^{\&prime;}\&CenterDot;g_2^{\mathrm{\&theta;}},{\tilde{K}}_i={K_i}^{\&prime;}\&CenterDot;g_2^{q_i\mathrm{\&theta;}},\&ForAll;i\&Element;\mathrm{\&omega;}.$

keygenSF2(MSK,ω):该Ⅱ型半功能私钥生成算法选择随机向量γ＝(γ₁,γ₂,…,γ_m)∈[0,λ]^m,利用正常私钥，计算Ⅱ型半功能私钥SK_ω-Ⅱ如下：

$\tilde{K}=K^{\&prime;}*g_2^{\mathrm{\&gamma;}},\tilde{L}=L^{\&prime;},{\tilde{K}}_i={K_i}^{\&prime;},\&ForAll;i\&Element;\mathrm{\&omega;}.$

注意：与Ⅰ型半功能私钥不同的是，该Ⅱ型半功能私钥中的θ＝0。

该半功能密文生成算法随机选择δ∈Z_N ^*，对访问矩阵A的每一行A_x和j＝1,2,…,m,随机选择δ_j,x∈Z_N ^*,随机向量利用正常密文，计算半功能密文C-SF如下：

如果用半功能密钥解密半功能密文，得到一个多余项：若用户私钥中的属性集合满足密文中访问结构，且δ·∑γ_j-θ·∑u_j,1＝0modp₂(u_j,1表示向量u_j的第一个分量),则称该Ⅰ型半功能私钥对该半功能密文是名义半功能的。

基于合数阶群上的子群判定假设，采用混合争论技术，借助一系列相邻游戏(Game_Real,Game₀,Game_1,1,Game_1,2,…,Game_k-1,2,Game_k,1,Game_k,2,…,Game_q-1,2,Game_q,1,Game_q,2,Game_Final)的不可区分性，证明本文所提方案的安全性，其中，q表示在安全性游戏中询问KGO(·)预言机的次数。

Game_Real：真实的安全性游戏，私钥和密文都是正常的。

Game₀：与Game_Real类似，除了挑战密文是半功能密文。

Game_k,1：挑战密文是半功能密文，前k-1次询问的私钥是II型半功能的，第k次询问私钥是I型半功能的，剩余的私钥是正常的。

Game_k,2：与Game_k,1类似，除了第k次询问的私钥是II型半功能的。

Game_Final：在这个安全性游戏中，所有询问私钥都是II型半功能的，且挑战密文是对一个随机明文加密生成的半功能密文。

引理1若假设1成立，对于任意PPT攻击者则区分Game_Real和Game₀的优势均是可以忽略的。

证明：假定存在一个PPT攻击者以不可忽略的优势区分Game_Real和Game₀，则可以构造一个PPT算法 能以不可忽略的优势打破假设1。接收到假设1的条件{g₁,g₃,T}，能够模拟Game_Real或Game₀。执行初始化算法，令m＝(3logp₂)^1/ε,选择随机向量 计算对每个属性i∈U，随机选择s_i∈Z_N ^*。生成系统公钥 并将其发送给其中，N,g₁,g₃由假设1给定。

询问阶段1:由于已知(α₁,α₂,…,α_m),执行初始化算法,生成系统正常系统主密钥MSK，可以回答攻击者的所有用户私钥生成询问、系统主密钥泄露和更新询问。

挑战阶段1：攻击者提交一个挑战访问结构A^*是一个n₁×n₂的矩阵，选择一个属性集合ω^*，使得ω^*满足生成一个正常解密的用户私钥SK_ω*。

询问阶段2：与询问阶段1类似，此外，可以回答对用户私钥SK_ω*的所有泄露信息和更新信息。

挑战阶段2：提交两个消息M₀和M₁给 随机选择v₂′,v₃′,…,v_n2′∈Z_N，对A^*的每一行A_x ^*和j＝1,2,…,m，随机选择r_j,x′∈Z_N ^*,生成向量v＝(1,v₂,…,v_n2)。选择一个随机位b∈{0,1}，计算并输出挑战密文:

$C^{*}=\left(\right(A^{*},{\mathrm{\&rho;}}^{*}),C_0=M_b\&CenterDot;e(T^{\underset{i=1}{\overset{m}{\&Sigma;}}{\mathrm{\&alpha;}}_j{\mathrm{\&beta;}}_j},g_1),C_1=T,C_{j,x}=T^{a_j{A}_x^{*}\&CenterDot;v^{\&prime;}}{T}^{-{r_{j,x}}^{\&prime;}{s}_{\mathrm{\&rho;}\left(x\right)}},D_{j,x}=T^{-{r_{j,x}}^{\&prime;}},\&ForAll;j,x),$

其中，T为假设中的挑战项。

询问阶段3:与询问阶段1相同，除了只能进行用户私钥的生成询问。

如果则密文是半功能的，其中

$\begin{array}{c}{C}_0=M_b\&CenterDot;e({\left(g_1^z{g}_2^c\right)}^{\&Sigma;{\mathrm{\&alpha;}}_j{\mathrm{\&beta;}}_j},g_1)=M_b\&CenterDot;e{({g_1}^{\&Sigma;{\mathrm{\&alpha;}}_j{\mathrm{\&beta;}}_j},g_1)}^z=M_b\&CenterDot;e{(g_1^{{\mathrm{\&alpha;}}_j{\mathrm{\&beta;}}_j}\&CenterDot;g_1^{{\mathrm{\&alpha;}}_2{\mathrm{\&beta;}}_2}\mathrm{...}{g}_1^{{\mathrm{\&alpha;}}_m{\mathrm{\&beta;}}_m},g_1)}^z\\ =M_b\&CenterDot;{\&lsqb;e{(h_1,g_1)}^{{\mathrm{\&alpha;}}_1}\&CenterDot;e{(h_2,g_1)}^{{\mathrm{\&alpha;}}_2}\mathrm{...}e{(h_m,g_1)}^{{\mathrm{\&alpha;}}_m}\&rsqb;}^z,C_1=g_1^z{g}_2^v,\end{array}$

$\begin{array}{c}{C}_{j,x}=T^{a_j{A}_x^{*}\&CenterDot;v^{\&prime;}}{T}^{-r_{j,x}{s}_{\mathrm{\&rho;}\left(x\right)}}={\left(g_1^z{g}_2^v\right)}^{a_j{A}_x^{*}{v}^{\&prime;}}{\left(g_1^z{g}_2^v\right)}^{-{r_{j,x}}^{\&prime;}{s}_{\mathrm{\&rho;}\left(x\right)}}=g_1^{a_j{A}_x^{*}\left({\mathrm{zv}}^{\&prime;}\right)}{g}_1^{-{{\mathrm{zr}}_{j,x}}^{\&prime;}{s}_{\mathrm{\&rho;}\left(x\right)}}{g}_2^{A_x\&CenterDot;(a_{j}v\&CenterDot;v^{\&prime;})-{{\mathrm{vr}}_{j,x}}^{\&prime;}{s}_{\mathrm{\&rho;}\left(x\right)}},\\ D_{j,x}=T^{-{r_{j,x}}^{\&prime;}}={\left(g_1^z{g}_2^v\right)}^{-{r_{j,x}}^{\&prime;}}=g_1^{-{{\mathrm{zr}}_{j,x}}^{\&prime;}}{g}_2^{-{{\mathrm{vr}}_{j,x}}^{\&prime;}}.\end{array}$

对于G₁部分,挑战密文隐式地设置s＝z,v＝zv′,r_j,x＝zr_j,x′。因此，所有的G₁部分是均匀分布的，特别地，v的第一个分量是z。对于G₂部分，挑战密文隐式地设置δ_j,x＝-vr_j,x′,u_j＝a_jvv′,q_ρ*(x)＝s_ρ*(x)。所有这些项仅在G₁部分出现过，因此，在攻击者看来，这些项与它们模p₂的值是无关的，即半功能参数的均匀随机性来自于v,a₁,a₂,…,a_m,v₂′,…,v_n2′,r_j,x′,s_ρ*(x)模p₂的随机性。因此，这是一个均匀分布的半功能密文。此时完美仿真Game₀。另一方面，如果T＝g₁ ^z,则挑战密文中没有G₂中的项，该密文为正常的，此时，完美仿真GameReal。

因此，如果能以不可忽略的优势区分Game_Real和Game₀，则可以相同的优势打破假设1。

引理2.如果假设2成立，对于任意PPT攻击者则区分Game_k-1,2和Game_k,1的优势均是可忽略的。

证明：接收到假设2的条件能够模拟Game_k-1,2或Game_k,1。初始化阶段：设置m＝(3logp₂)^1/ε，选择随机向量 t∈Z_N ^*,计算 对每个属性i∈U，随机选择s_i∈Z_N ^*。生成系统公钥 并将其发送给其中，N,g₁,g₃来自假设2的条件。

询问阶段1：当攻击者询问ω_r的用户私钥，且询问次数r大于k时，利用(α₁,α₂,…,α_m)生成ω_r的正常用户私钥；当的询问次数r小于k时，对G₃部分随机选择ρ_m+1,t,ρ_i′∈Z_N ^*,计算Ⅱ型半功能用户私钥其中，ω_r是提交的属性集合，来自假设2的条件。显然，这个Ⅱ型半功能用户私钥SK_r-Ⅱ是均匀分布的。

当r等于k时，提交属性集合ω_r给 生成一个正常用户私钥或Ⅰ型半功能私钥，对G₃部分随机选择ρ_m+1∈Z_N ^*,ρ_i′∈Z_N ^*,生成用户私钥显然，这个用户私钥的G₃部分是均匀分布的。值得注意的是，或者则这个私钥的G₁部分隐式地设置t＝w。若则该私钥的G₁和G₂部分也是均匀分布的，且其Ⅰ型半功能参数γ＝κ〈a₁,a₂,…,a_m〉,θ＝κ,q_i＝s_i。由于κ,s_i,a₁,a₂,…,a_m模p₂的值是随机的,该私钥是均匀分布的。若该用户私钥是均匀分布的正常用户私钥。

挑战阶段1：提交一个挑战访问结构(A^*,ρ^*)，选择一个满足访问结构(A^*,ρ^*)的属性集合ω^*，询问用户私钥生成预言机KGO(ω^*)，当该询问次数r小于k时，生成Ⅱ型半功能用户私钥SK_ω*-Ⅱ；当r等于k时，生成Ⅰ型半功能私钥SK_ω*-Ⅰ；当r大于k时，生成正常用户私钥SK_ω*。此时注意，不能直接获得该用户私钥。

询问阶段2：与询问阶段1类似，此外，可以回答的所有用户私钥SK_ω*的泄露信息。

挑战阶段2：提交等长消息M₀和M₁给 选择随机数v₂′,v₃′,…,v_n2′∈Z_N ^*，对A^*的每一行A_x ^*和j＝1,2，…，m，随机选择r_j,x′∈Z_N ^*,生成向量v′＝(1,v₂′,…,v_n2′)。选择一个随机位b∈{0,1}，计算并输出挑战密文：

$\begin{array}{c}C=\{(A*,\mathrm{\&rho;}*),C_0=M_b\&CenterDot;e({\left(g_1^z{g}_2^v\right)}^{\&Sigma;{\mathrm{\&alpha;}}_j{\mathrm{\&beta;}}_j},g_1),C_1=g_1^z{g}_2^v,\\ \&ForAll;j,x,C_{j,x}={\left(g_1^z{g}_2^v\right)}^{a_j{A}_x\&CenterDot;v^{\&prime;}}{\left(g_1^z{g}_2^v\right)}^{-{r_{j,x}}^{\&prime;}{s}_{\mathrm{\&rho;}\left(x\right)}},D_{j,x}={\left(g_1^z{g}_2^v\right)}^{{r_{j,x}}^{\&prime;}}\},\end{array}$

其中，来自假设条件。

该密文是半功能的，其中

$\begin{array}{c}{C}_0=M_b\&CenterDot;e({\left(g_1^z{g}_2^v\right)}^{\&Sigma;{\mathrm{\&alpha;}}_j{\mathrm{\&beta;}}_j},g_1)=M_b\&CenterDot;e(g_1^{z\&CenterDot;\&Sigma;{\mathrm{\&alpha;}}_j{\mathrm{\&beta;}}_j},g_1)=M_b\&CenterDot;\underset{j=1}{\overset{m}{\&Pi;}}e{(h_i,g_1)}^{{\mathrm{z\&alpha;}}_j}=M_b\&CenterDot;y^z,\\ C_1=g_1^z{g}_2^v,D_{j,x}={\left(g_1^z{g}_2^v\right)}^{{r_{j,x}}^{\&prime;}},\end{array}$

$C_{j,x}={\left(g_1^z{g}_2^v\right)}^{a_j{A}_x\&CenterDot;v^{\&prime;}}{\left(g_1^z{g}_2^v\right)}^{-{r_{j,x}}^{\&prime;}{s}_{\mathrm{\&rho;}\left(x\right)}}=g_1^{a_j{A}_x{\mathrm{zv}}^{\&prime;}}{T}_{\mathrm{\&rho;}*\left(x\right)}^{-{{\mathrm{zr}}_{j,x}}^{\&prime;}}{g}_2^{A_x\&CenterDot;\left(a_j{\mathrm{vv}}^{\&prime;}\right)-{{\mathrm{vr}}_{j,x}}^{\&prime;}{s}_{\mathrm{\&rho;}\left(x\right)}},$

对于G₁部分,该密文隐式地设置s＝z,v＝zv′，且为均匀分布的，此时注意，v的第一个分量是z_。对G₂部分，该密文隐式地设置δ＝v,u_j＝a_jvv′,δ_j,x＝-vr_j,x′,q_ρ(x)＝s_ρ(x)。此时，当挑战私钥是Ⅰ型半功能用户私钥时，则q_ρ(x)＝s_ρ(x)。这个等式必须成立，因为KeygenSF1算法和EncSF算法中的q_i值必须相同。当挑战私钥是Ⅱ型半功能用户私钥时，用户私钥没有q_i项。

当挑战私钥是Ⅰ型半功能用户私钥时，用户私钥和挑战密文中的其余半功能参数如下：

私钥：γ＝θ′〈a₁,…,a_m〉,θ＝θ′。

密文：δ＝v,δ_j,x＝-vr_j,x′。

注意：u_j的第一个分量总是等于a_jv，而攻击者可以从γ的第j个分量和δ分别获知a_j和v模p₂的值，γ中的κ可从θ获知。若第k个用户私钥的属性满足挑战访问结构时，且δ·Σγ_j-θ·Σu＝v·Σκa_j-vκ·Σa_j＝0modp₂，则该用户私钥是名义半功能用户私钥。

由安全性定义可知，只能对该解密钥进行泄露询问，而不能进行解密钥生成询问。使用下面引理3证明：当挑战用户私钥的属性集合满足挑战密文的访问策略时，攻击者区分第k个挑战私钥是名义半功能性或真正半功能的优势是可以忽略的。

引理3若域GF(p₂)上的Goldreich-Levin定理成立，对任意PPT攻击者则区分第k个挑战私钥是名义半功能的或真正半功能的优势均是可忽略的。

证明：Goldreich-Levin定理的挑战者选取Γ∈[0,λ]^m,ξ＝f(Γ)，1＝<1,1,…,1>∈GF(p₂)^m,随机数ζ∈GF(p₂)。

和仿真Game_k,1，设置m＝(3logp₂)^1/ε，选择随机向量<h₁,h₂,…,h_m>∈G₁ ^m,α＝<α₁,α₂,…,α_m>∈Z_N ^m,ρ＝<ρ₁,ρ₂,…,ρ_m>∈Z_N ^m,a＝<a₁,a₂,…,a_m>∈Z_N ^m,ρ_m+1,t∈Z_N ^*。对每个属性i∈U，随机选择s_i,ρ_i′∈Z_N ^*。计算:

$MSK=(<h_1^{{\mathrm{\&alpha;}}_1}{g}_1^{a_{1}t},h_2^{{\mathrm{\&alpha;}}_2}{g}_1^{a_{2}t},...,g_m^{{\mathrm{\&alpha;}}_m}{g}_1^{a_{m}t}>*g_3^{\mathrm{\&rho;}},g_1^t{g}_3^{{\mathrm{\&rho;}}_{m+1}},T_i^t{g}_3^{{{\mathrm{\&rho;}}_i}^{\&prime;}}\&ForAll;i\&Element;U),$

$PK=(N,g_1,g_3,g_1^{a_1},g_1^{a_2},\mathrm{...},g_1^{a_m},y=e{(h_1,g_1)}^{{\mathrm{\&alpha;}}_1}...e{(h_m,g_1)}^{{\mathrm{\&alpha;}}_m},T_i={g_1}^{s_i}\&ForAll;i\&Element;U).$

由于已知系统主密钥和所有子群的生成元，它既可以生成正常用户私钥也能生成半功能用户私钥。因此，可以回答询问阶段1中的所有用户私钥生成询问。

挑战阶段1：攻击者提交一个挑战访问结构(A^*,ρ^*)，A^*是一个n₁×n₂的矩阵，选择一个属性集合ω^*，使得ω^*满足A^*。注意：由安全性定义可知，不能得到与ω^*对应的用户私钥，仅能获得该用户私钥的泄露信息。

询问阶段2：不生成与ω^*对应挑战私钥，而是将对挑战用户私钥的泄露询问编码成定义域为[0,λ]^m的一元PPT函数。通过固定其他私钥的所有值和固定挑战私钥的非半功能参数可以实现这种泄露，具体过程如下：收到一个实例(f(Γ),1,ζ),其中，1＝<1,1,···,1>,ζ＝Γ．1或是随机值。用f(Γ)来回答关于挑战用户私钥的泄露询问，并隐式地定义解密用户私钥。

随机选择定义令g₂为G₂的生成元，隐式地设置挑战用户私钥的G₂部分为和g₂θ,其中，γ＝Γ+〈0,0,…,0,r₁〉，θ＝r₃，注意，Γ的长度是m，将r₁加到Γ的最后一个分量上。定义挑战用户私钥的非G₂部分满足其合理的分布。

挑战阶段2：提交两个等长消息M₀和M₁给 用向量u_i和δ＝r₂∈Z_p2,构造挑战密文，其中u_i,₁＝τ_τ。如果ζ＝Γ·1，则

$\begin{array}{c}\mathrm{\&delta;}\&CenterDot;\&Sigma;{\mathrm{\&gamma;}}_i-\mathrm{\&theta;}\&Sigma;u_{i,1}=r_2\&lsqb;(\mathrm{\&Gamma;}+<\begin{array}{cccc}0& 0& \mathrm{...}& r_1\end{array}>)*1\&rsqb;-r_3\&Sigma;{\mathrm{\&tau;}}_i\\ =r_2(\mathrm{\&Gamma;}*1)+r_1{r}_2-r_3\&Sigma;{\mathrm{\&tau;}}_i=r_2\&CenterDot;\frac{r_3\&Sigma;{\mathrm{\&tau;}}_i-r_1{r}_2}{r_2}+r_1{r}_2-r_3\&Sigma;{\mathrm{\&tau;}}_i=0\end{array}$

此时，挑战用户私钥是名义半功能用户私钥。如果ζ≠Γ·1，则挑战用户私钥是真正半功能的，且是均匀分布的。

询问阶段3：可以回答的所有询问。

猜测阶段：可用的输出区分(f(Γ),1,Γ·1)和(f(Γ),1,ζ)。由Goldreich-Levin定理可知，若能以的优势区分上述的两个元组，能以至少

$\frac{{\widetilde{\mathrm{\&delta;}}}^3}{512{\mathrm{mq}}^2}=\frac{{\widetilde{\mathrm{\&delta;}}}^3\&CenterDot;q}{512{\mathrm{mq}}^3}=\frac{{\widetilde{\mathrm{\&delta;}}}^3\&CenterDot;q}{512m}\&CenterDot;\frac{1}{q^3}\&GreaterEqual;\frac{1}{q^3}=2^{-m^{\mathrm{\&epsiv;}}}$

的概率输出Γ，与泄露函数f是不可逆函数矛盾，因此，不能区分该挑战私钥是名义半功能或真正半功能的。

当挑战用户私钥的属性不满足挑战访问结构时，可以询问该用户私钥。由于文中限制在访问结构中每个属性只能使用一次，我们可以断定u_j,1＝a_jvmodp₂在信息理论上是隐藏的。

由于挑战用户私钥的属性集合ω^*不满足挑战访问结构(A^*,ρ^*)，A^*中使得ρ^*(x)∈ω^*的所有行x生成的行空间R不包含向量<1,0,···,0>。因此，存在一个向量w，使得w正交于R，但w不正交于<1,0,···,0>，即<1,0,···,0>·w≠0。我们固定一个包含w的基，则存在d_j∈Z_N,使得u_j＝d_jw+u_j′modp₂，其中u_j′属于除w外的基向量扩张的空间中，注意到u_j′是均匀分布的，且无法揭露d_j的任何信息。由于u_j,1＝u_j·<1,0,…,0>＝d_jw·<1,0,…,0>+u_j′·<1,0,…,0〉,u_j′不揭露d_j的任何信息，且w与〈1,0,…,0>不正交，因此，u_j,1的值与d_j相关。

u_j和相应的d_j仅仅出现在矩阵A^*的第x行的指数中，然而，并不是每一行的指数都影响d_j的值。如果ρ^*(x)∈ω^*，则w与R正交。该行的值与d_j无关。对其余的行来说，除了一个可以忽略的概率，所有的乘积因子δ_j,x≠0modp₂,因此，d_j的值被δ_j,x和q_ρ*(x)盲化。此时，限制访问结构中的每个属性只能出现一次。由于δ_j,xmodp₂是随机的，q_ρ*(x)可以完全隐藏d_j。文中访问结构中的属性只能出现一次，且只有挑战用户私钥(Ⅰ型半功能的)可以包含这些项，总之，u_j,1的值对是均匀分布的。

询问阶段3：与询问阶段1相同，除了不能询问泄露预言机。

基于假设2，完美仿真了Game_k-1,2或以几乎为1的概率仿真Game_k,1。因此，如果存在一个攻击者能以不可忽略的优势区分Game_k-1,2和Game_k,1，则能以几乎相同的优势打破假设2。

引理4如果假设2成立，则任意PPT攻击者区分Game_k,1和Game_k,2的优势是可以忽略的。

证明：如果存在一个攻击者能以不可忽略的优势区分Game_k,1和Game_k,2，则我们将以相同的优势攻破假设2。算法除了挑战私钥的构造方式与引理2不同，其他构造阶段相同。本引理的挑战用户私钥构造如下，随机选取向量h∈[0,λ]^m， 与引理2中挑战用户私钥的区别是项其中，是由假设2给定的。

如果挑战用户私钥和挑战密文的半功能参数如下:

γ＝k<a₁,a₂,…,a_m>+μh,θ＝k,δ＝v,u_j＝a_jv·v′。

在半功能挑战用户私钥和半功能密文中q_i＝s_i，注意：现在的挑战用户私钥中半功能参数被向量μh重新随机化，因此，该挑战用户私钥不再是名义半功能的，即δ·Σγ_i–θ·Σu_i,1＝0等式不再成立。显然，μh使得所有的半功能参数模p₂的值完全随机化，且相互无关。所以，挑战用户私钥是均匀分布的Ⅰ型半功能私钥，完美仿真Game_k,1(攻击者询问的私钥是Ⅱ型半功能私钥、Ⅰ型半功能挑战用户私钥和正常用户私钥)。

如果则该挑战用户私钥是Ⅱ型半功能，且半功能参数γ＝μh，此时，完美仿真Game_k,2(攻击者询问的私钥是Ⅱ型半功能用户私钥、Ⅱ型半功能挑战用户私钥和正常用户私钥)。因此，可以利用的输出，以相同的优势攻破假设2。

引理5如果假设3成立，则任意PPT攻击者区分Game_q,2和Game_final的优势是可以忽略的。

证明：如果存在一个攻击者能以不可忽略的优势区分Game_q,2和Game_final，则我们将以相同的优势攻破假设3。挑战者接收到假设3的条件{g₁,g₂,g₃,g₁ ^αg₂ ^v,g₁ ^zg₂ ^μ,T}，能够模拟Game_q,2和Game_final。

初始化阶段：设置m＝(3logp₂)^1／ε，选择随机向量<a₁,a₂,…,a_m>∈Z_N ^m,<β₁,β₂,…,β_m>∈Z_N ^m,对对每个属性i∈U，随机选择s_i∈Z_N，<α₁,…,α_m-1>∈Z_N ^m-1,隐式设置计算公钥PK并发送给其中，N,g₁,g₃是由给定的。

$\begin{array}{c}PK=(N,g_1,g_3,g_1^{a_1},g_1^{a_2},\mathrm{...},g_1^{a_m},\\ \begin{array}{cc}y=e({g_1}^{\mathrm{\&alpha;}}{g}_2^v,g_1)=e{(g_1,g_1)}^{\mathrm{\&alpha;}}=e{(g_1,g_1)}^{\underset{j=1}{\overset{m}{\&Sigma;}}{\mathrm{\&alpha;}}_j{\mathrm{\&beta;}}_j}=e{(h_1,g_1)}^{{\mathrm{\&alpha;}}_1}\mathrm{...}e{(h_m,g_1)}^{{\mathrm{\&alpha;}}_m}& T_i={g_1}^{s_i},\&ForAll;i\&Element;U\end{array}).\end{array}$

询问阶段1：为的每次询问生成相应的Ⅱ型半功能用户私钥。即随机选取G₃部分的指数t∈Z_N,h∈[0,λ]^m,ρ∈Z_N ^m,i∈ω，随机选择ρ_i∈Z_N,计算用户私钥SK_ω，计算公式如下所示：

${\mathrm{SK}}_{\mathrm{\&omega;}}=(\mathrm{\&omega;},g_1^t{g}_3^{{\mathrm{\&rho;}}_{m+1}},<h_1^{{\mathrm{\&alpha;}}_1}{g}_1^{a_{1}t},\mathrm{...},h_{m-1}^{{\mathrm{\&alpha;}}_{m-1}}{g}_1^{a_{m-1}t},(g_1^a{g}_2^v)\&CenterDot;g_1^{-\underset{j=1}{\overset{m-1}{\&Sigma;}}{\mathrm{\&alpha;}}_j{\mathrm{\&beta;}}_j}>*g_2^h*g_3^{\mathrm{\&rho;}},T_i^t{g}_3^{\widetilde{{\mathrm{\&rho;}}_i}},\&ForAll;i\&Element;\mathrm{\&omega;}),$

其中，ω由选择的，由给定的。显然，这个具有参数γ＝h+<0,…,0,v〉的Ⅱ型半功能用户私钥是均匀分布的。

挑战阶段1：攻击者提交一个挑战访问结构(A^*,ρ^*)，A^*是一个n₁×n₂的矩阵，选择一个属性集合ω^*，使得ω^*满足A^*，并使用询问阶段1相同的方法，为其生成一个Ⅱ型半功能挑战用户私钥。

询问阶段2：与询问阶段1相同，此外，还可以询问解密私钥的泄露信息。

挑战阶段2：提交两个等长的消息M₀和M₁，随机选择v₂′,v₃′,…,v_m′∈Z_N ^*，对A^*的每一行A_x ^*和j＝1,2,…,m，随机选择r_j,x′∈Z_N ^*。生成向量v′＝(1,v₂′,v₃′,…,v_m′)，选择随机位b∈{0,1}，计算密文如下：

$\begin{array}{c}C=(\left(A^{*},{\mathrm{\&rho;}}^{*}\right),C_0=M_b\&CenterDot;T,C_1=g_1^z{g}_2^{\mathrm{\&mu;}},\\ \begin{array}{cc}\&ForAll;j,x& C_{j,x}={\left(g_1^z{g}_2^{\mathrm{\&mu;}}\right)}^{a_j{A}_x\&CenterDot;v^{\&prime;}}{\left(g_1^z{g}_2^{\mathrm{\&mu;}}\right)}^{-{r_{j,x}}^{\&prime;}{s}_{\mathrm{\&rho;}\left(x\right)}},D_{j,x}={\left(g_1^z{g}_2^{\mathrm{\&mu;}}\right)}^{r_{j,x}{x}^{\&prime;}})\end{array}\end{array}$

其中，是由假设3给定的，T是一个挑战项。半功能挑战密文：

$\begin{array}{c}{C}_1=g_1^z{g}_2^{\mathrm{\&mu;}},C_{j,x}={\left(g_1^z{g}_2^{\mathrm{\&mu;}}\right)}^{a_j{A}_x\&CenterDot;v^{\&prime;}}{\left(g_1^z{g}_2^{\mathrm{\&mu;}}\right)}^{-{r_{j,x}}^{\&prime;}{s}_{\mathrm{\&rho;}\left(x\right)}}=g_1^{a_j{A}_x\&CenterDot;{\mathrm{zv}}^{\&prime;}}{T}_{\mathrm{\&rho;}*\left(x\right)}^{-{{\mathrm{zr}}_{j,x}}^{\&prime;}}{g}_2^{A_x\&CenterDot;\left(a_j{\mathrm{\&mu;v}}^{\&prime;}\right)-{{\mathrm{\&mu;r}}_{j,x}}^{\&prime;}{s}_{\mathrm{\&rho;}\left(x\right)}},\\ D_{j,x}={\left(g_1^z{g}_2^{\mathrm{\&mu;}}\right)}^{{r_{j,x}}^{\&prime;}}.\end{array}$

对G₁部分,该密文隐式设置s＝z,v＝zv′,r_j,x＝z·r_j,x′。因此，G₁部分是均匀分布的，值得注意的是，向量v的第一个分量必须是z。对G₂部分,该密文隐式设置δ＝μ,u_j＝a_jμv′,δ_j,x＝-μr_j,x′,q_ρ(x)＝s_ρ(x)。由于仅能看到s,μ,a₁,a₂,…,a_m,v₂′,v₃′,…,v_n2′,r_j,x′,s_ρ(x)模p₁的值，所以它们模p₂的值是均匀分布的，即挑战密文的G₂部分是均匀分布的。

询问阶段3：与询问阶段1相同，除了不能询问主密钥的泄露信息。

如果T＝e(g₁,g₁)^αz,挑战密文为消息M_b的半功能密文。否则，挑战密文是随机消息的半功能密文。因此，可以利用的输出攻破假设3。

定理1.如果假设1,2,3成立，则该基于属性加密方法在攻击者获知系统主密钥和用户私钥连续辅助输入泄露的情况下，仍具有自适应安全性。

证明：由引理1-5可知，Game_real和Game_final是不可区分的。在Game_final中由于挑战密文是随机消息的密文，因此，攻击者在Game_final的优势是0。综上所述，在Game_real的优势是可以忽略的。

上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明，它们并非用以限制本发明的保护范围，凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

Claims (7)

1.一种抗密钥连续辅助输入泄漏的基于属性加密方法，其特征在于，包括以下步骤：

S1、私钥生成中心输入系统安全参数λ和合法属性集合U，构造一个m维向量，并将该m维向量嵌入到系统公钥PK和系统主密钥MSK，m＝poly(log₂λ)，其中，poly(log₂λ)为关于log₂λ的多项式函数；

S2、私钥生成中心认证用户拥有的属性集合ω，利用系统主密钥MSK和系统公钥PK，生成包含一个m维向量的用户私钥SK_ω；

S3、加密方利用系统公钥PK和设定的访问策略，对待加密处理的信息进行加密，生成包含一个mn₁维向量的密文，其中，n₁是访问策略中矩阵的行数；

S4、仅在用户私钥SK_ω的属性满足密文的访问策略时，该用户才解密得到明文。

2.根据权利要求1所述的抗密钥连续辅助输入泄漏的基于属性加密方法，其特征在于，所述步骤S1具体为：

S11、选择阶为N＝p₁p₂p₃的循环群G和G_T，其中，p₁,p₂,p₃是3个互不相同的素数，选择双线性映射e:G×G→G_T，令G_i是群G的阶为p_i的子群；

S12、令0<ε<1，m＝(3log₂p₂)^1/ε，随机选择元素α₁,α₂,…,α_m,a₁,a₂,…,a_m∈Z_N ^*,其中Z_N ^*表示集合{1,2,…,N-1}，构成随机向量α＝<α₁,α₂,…,α_m>和a＝<a₁,a₂,…,a_m>，从子群G₁中随机选择生成元g₁,h₁,h₂,…,h_m,从子群G₃中随机选择生成元g₃,计算y＝e(h₁,y₁)e(h₂,y₂)…e(h_m,y_m)；

S13、对每个属性i∈U，选择一个随机元素s_i∈Z_N ^*，计算输出系统公钥

S14、选取随机数t^*∈Z_N ^*，从子群G₃中选择随机数ρ₁ ^*,ρ₂ ^*,…,ρ_m ^*,ρ_m+1 ^*∈Z_N ^*,其中Z_N ^*表示集合{1,2,…,N-1},计算 构成向量K^*＝<k₁ ^*,k₂ ^*,…,k_m ^*>，对每个属性i∈U，从子群G₃选择一个随机元素t_i ^*∈Z_N，计算输出系统主密钥

3.根据权利要求1所述的抗密钥连续辅助输入泄漏的基于属性加密方法，其特征在于，所述步骤S2具体为：

S21、假定用户具有属性集合私钥生成中心选择随机数t∈Z_N ^*，从子群G₃中选择随机数ρ₁,ρ₂,…,ρ_m,ρ_m+1∈Z_N ^*,其中Z_N ^*表示集合{1,2,…,N-1},计算构成一个随机向量K＝<k₁,k₂,…k_m>；

S22、对每个属性i∈ω,从子群G₃中选择随机数t_i∈Z_N ^*,计算 输出包含一个m维向量的用户私钥

4.根据权利要求1所述的抗密钥连续辅助输入泄漏的基于属性加密方法，其特征在于，所述步骤S3具体为：

加密方利用系统公钥PK和设定的访问策略，选择随机数构成随机向量对矩阵A的每一行A_x和j＝1,2,…,m,选择一个随机数r_j,x∈Z_N ^*，对待加密处理的信息进行加密，生成包含一个mn₁维向量的密文；其中，

所述“设定的访问策略”的访问结构为其中，A是一个n₁×n₂矩阵，ρ是一个从集合{1,…,n₁}到合法属性集合U的映射；

所述加密计算公式为：

5.根据权利要求1所述的抗密钥连续辅助输入泄漏的基于属性加密方法，其特征在于，所述步骤S4具体为：

S41、记A的第x行为A_x，计算一组常量c_x∈Z_N,使得∑c_xA_x＝<1,0,…,0>；

S42、计算密文中的盲化因子，其计算公式为：

$\underset{j=1}{\overset{m}{\&Pi;}}\&lsqb;\frac{e(k_j,C_1)}{\underset{\mathrm{\&rho;}\left(x\right)\&Element;\mathrm{\&omega;}}{\&Pi;}{\&lsqb;e(C_{j,x},L)e(K_{\mathrm{\&rho;}\left(x\right)},D_{j,x})\&rsqb;}^{c_x}}\&rsqb;={\&lsqb;e{(h_1,g_1)}^{{\mathrm{\&alpha;}}_1}...e{(h_m,g_1)}^{{\mathrm{\&alpha;}}_m}\&rsqb;}^s=y^s$

S43、消去密文中的盲化因子，恢复消息M＝C₀/y^s。

6.根据权利要求1所述的抗密钥连续辅助输入泄漏的基于属性加密方法，其特征在于，在步骤S1还包括执行如下步骤：

每经过一段时间后，私钥生成中心执行系统主密钥MSK更新算法，以生成新的系统主密钥MSK'，并具体为：

首先，私钥生成中心随机选择t^*'，ρ₁ ^*',ρ₂ ^*',…,ρ_m ^*',ρ_m+1 ^*'∈Z_N ^*,利用系统主密钥MSK，计算 构成一个随机向量K^*'＝<k₁ ^*',k₂ ^*',…,k_m ^*'>；

然后，对每个属性i∈U，从子群G₃中选择随机数t_i ^*'∈Z_N,计算 输出新的系统主密钥

7.根据权利要求3所述的抗密钥连续辅助输入泄漏的基于属性加密方法，其特征在于，所述步骤S2还包括如下步骤：

每经过一段时间后，私钥生成中心执行用户私钥更新算法，生成新的用户私钥SK_ω'，并具体为：

首先，用户随机选择t'，ρ₁',ρ₂',…,ρ_m',ρ_m+1'∈Z_N ^*,利用用户私钥SK_ω，计算构成一个随机向量K′＝<k₁′,k₂′,…,k_m′>；

然后，对每个属性i∈ω,选择G₃部分随机数t_i′∈Z_N,计算输出新的用户私钥