支持策略隱藏且固定密文長度的屬性基加密方案*

安立峰，范運東，付 鈺

（1.海軍密碼管理中心，北京 100841；2.海軍工程大學(xué) 信息安全系，湖北 武漢 430033）

0 引 言

近年來，云存儲因能夠提供方便﹑快捷﹑低成本的存儲服務(wù)，受到眾多企業(yè)和個人用戶的青睞。然而，頻繁發(fā)生的云存儲安全事件和不完全可信的云服務(wù)提供商等，引發(fā)了用戶對存儲在云端數(shù)據(jù)安全性的擔(dān)憂。如何在云存儲環(huán)境下保護數(shù)據(jù)的機密性，防止非法用戶惡意訪問和篡改用戶數(shù)據(jù)，實現(xiàn)靈活細(xì)粒度的訪問控制，已成為當(dāng)務(wù)之急?；诿芪牟呗缘膶傩约用埽–iphertext-policy Attributebased Encryption，CP-ABE）方案，能夠?qū)崿F(xiàn)一對多的加密和靈活細(xì)粒度的訪問控制，為解決云存儲環(huán)境下的數(shù)據(jù)安全問題提供了一種新的途徑。2007年，Bethencourt等人[1]首次提出了表述完整的CP-ABE方案。此后，為保護用戶隱私，節(jié)省密文存儲開銷，學(xué)者們在隱藏訪問策略和縮短密文長度方面展開了研究。

針對公開的訪問結(jié)構(gòu)會暴露用戶私密信息的問題，Nishide等[2]提出一種使用通配符實現(xiàn)部分隱藏訪問結(jié)構(gòu)的方案，并在安全假設(shè)下證明方案是選擇性安全的。文獻(xiàn)[3-4]將屬性分為屬性名和屬性值兩部分，通過隱藏屬性值提出了部分隱藏訪問結(jié)構(gòu)的CP-ABE方案，但方案仍會泄露部分屬性信息。為實現(xiàn)策略的完全隱藏，文獻(xiàn)[5]提出一種支持簡單“與”門結(jié)構(gòu)的CP-ABE方案，但訪問策略的可表達(dá)性受到了較大影響。為提高訪問策略的靈活度，文獻(xiàn)[6]在實現(xiàn)隱藏策略的基礎(chǔ)上，提出一種支持任意門限或布爾表達(dá)式的方案。文獻(xiàn)[7]基于訪問樹結(jié)構(gòu)提出可隱藏策略的CP-ABE方案。但是，文獻(xiàn)[6-7]的方案只能支持單一的授權(quán)機構(gòu)，無法滿足多個授權(quán)機構(gòu)共同管理屬性的需求。文獻(xiàn)[8]引入秘密同態(tài)技術(shù)，提出一種保護用戶隱私的多授權(quán)機構(gòu)屬性基加密方案。文獻(xiàn)[9]借助線性秘密共享方案（Linear Secret Sharing Scheme，LSSS），在多授權(quán)機構(gòu)環(huán)境下提出了一個隱藏策略的云存儲訪問控制方案。但是，文獻(xiàn)[8-9]方案中，用戶的加解密效率較低，影響其在實際系統(tǒng)中的應(yīng)用。

為減輕密文的存儲開銷，Emura等人[10]提出了第一個固定密文長度的CP-ABE方案。然而，此方案僅支持門限結(jié)構(gòu)，且要求用戶私鑰和訪問結(jié)構(gòu)中的屬性數(shù)目嚴(yán)格保持一致。Herranz等人[11]對線性多項式進(jìn)行重構(gòu)，提出了一種固定長度密文的CPABE方案。與文獻(xiàn)[10]的方案一樣，此方案只支持簡單的門限結(jié)構(gòu)，且安全性不足。文獻(xiàn)[12]提出了第一個選擇明文攻擊下可證安全的固定長度密文CP-ABE方案，但私鑰的計算過程比較復(fù)雜，解密效率較低。Attrapadung等人[13]提出了一種針對門限結(jié)構(gòu)的常數(shù)密文長度CP-ABE方案，但加密和解密時涉及的運算較多，加解密的效率較低。為同時縮短密文和密鑰長度，文獻(xiàn)[14-16]分別提出了相應(yīng)方案，但與之前的方案一樣，沒有針對多授權(quán)機構(gòu)的情形進(jìn)行研究。解理等人[17]基于素數(shù)階群提出了一種完全安全的ABE方案，在隱藏訪問結(jié)構(gòu)的同時，能夠?qū)崿F(xiàn)固定長度的用戶私鑰和密文長度，但密鑰生成和加解密的計算過程較為復(fù)雜，且只能支持單一的授權(quán)機構(gòu)。Doshi等人[18]較早地提出一種可應(yīng)用于多授權(quán)機構(gòu)的固定長度密文CP-ABE方案，但加密時的指數(shù)運算次數(shù)和解密時的雙線性對運算次數(shù)較多，導(dǎo)致效率較低。

從上述內(nèi)容可以看出，目前針對策略隱藏和固定密文長度的研究已經(jīng)取得了較大進(jìn)展，但仍存在以下問題：

（1）大部分方案僅包含單一的授權(quán)機構(gòu)，沒有針對多個授權(quán)機構(gòu)共同為用戶分發(fā)密鑰的情況進(jìn)行研究；

（2）目前提出的方案很少能夠?qū)⒉呗噪[藏和固定密文長度結(jié)合，且沒有給出屬性撤銷的具體算法；

（3）大部分方案中中央授權(quán)機構(gòu)既保留主密鑰又參與用戶私鑰的計算，存在密鑰托管問題。

針對上述問題，本文提出一種可同時實現(xiàn)策略隱藏和固定密文長度的多授權(quán)機構(gòu)屬性基加密方案。方案中，中央授權(quán)機構(gòu)僅負(fù)責(zé)生成簽名標(biāo)簽，公布系統(tǒng)的公共參數(shù)，不生成主密鑰，也不參與用戶私鑰的計算。用戶私鑰由多個授權(quán)機構(gòu)共同生成，能夠抵抗非法用戶和授權(quán)機構(gòu)的合謀攻擊。訪問策略隱藏在密文中，且加密時的指數(shù)運算和解密時的雙線性對運算次數(shù)均達(dá)到固定值，同時實現(xiàn)了策略隱藏和固定的密文長度。此外，方案還給出了屬性撤銷的具體算法，進(jìn)一步完善了方案功能。

1 預(yù)備知識

1.1 雙線性映射

設(shè)G和GT是階為素數(shù)p的乘法循環(huán)群，若存在映射：e∶G×G→GT具有以下性質(zhì)，則稱該映射為雙線性映射。

1.2 q-BDHE假設(shè)

若不存在概率多項式時間算法B能夠以不可忽略的優(yōu)勢解決q-BDHE問題，則稱群G上的q-BDHE問題是困難的。

1.3 離散對數(shù)問題

設(shè)G是階為素數(shù)p的乘法循環(huán)群，g是群G的生成元，隨機選擇離散對數(shù)問題即為不存在攻擊者能在任意多項式時間內(nèi)以不可忽略的優(yōu)勢計算出x的值。

1.4 訪問結(jié)構(gòu)

本方案采用多值屬性的“與”門訪問結(jié)構(gòu)。設(shè)系統(tǒng)中共有n種屬性，U={att1, att2,…,attn}表示系統(tǒng)屬性集合，Si={vi,1,vi,2,…,vi,ni}表示屬性atti可能取值的集合，其中ni=|Si|。設(shè)用戶的屬性值集合用表示，Li表示L中屬性atti所取的屬性值，且Li∈Si。定義訪問結(jié)構(gòu)W=[W1, W2,…,Wm]，m∈[1,n]，W中的每個元素Wi均為Si的一個子集。當(dāng)W?L時，稱用戶屬性值集合滿足訪問結(jié)構(gòu)。

1.5 安全模型

本文的安全模型是通過一個不可區(qū)分游戲（IND-CPA游戲）完成的，游戲過程如下。

（1）初始化階段。敵手A選擇一個要挑戰(zhàn)的訪問結(jié)構(gòu)W發(fā)送給挑戰(zhàn)者。挑戰(zhàn)者運行初始化算法，生成系統(tǒng)公開參數(shù)Params﹑屬性授權(quán)機構(gòu)公鑰APK和私鑰ASK，并將Params和APK發(fā)送給A，保留ASK。

（2）查詢階段1。敵手A將自己的屬性值集合L提交給挑戰(zhàn)者進(jìn)行查詢（L不符合W）。挑戰(zhàn)者運行密鑰生成算法計算A的私鑰SKL，并將其返還給A。

（4）查詢階段2。重復(fù)查詢階段1的操作。

2 方案描述

2.1 系統(tǒng)模型

本方案共包括5個實體：中央授權(quán)機構(gòu)CA﹑屬性授權(quán)機構(gòu)AA﹑數(shù)據(jù)屬主DO﹑用戶User以及云服務(wù)提供商CSP。各實體的功能介紹如下。

（1）CA。CA是一個可信的中央授權(quán)機構(gòu)，負(fù)責(zé)生成系統(tǒng)的公共參數(shù)，并為AA和用戶分發(fā)簽名標(biāo)簽。

（2）AA。每一個AA根據(jù)用戶提交的簽名標(biāo)簽驗證用戶身份，并為用戶分發(fā)屬性密鑰。

（3）DO。DO負(fù)責(zé)制定訪問結(jié)構(gòu)，并對數(shù)據(jù)加密上傳到云服務(wù)器。

（4）User。用戶從云端下載密文并嘗試解密，當(dāng)且僅當(dāng)其屬性值集合滿足訪問結(jié)構(gòu)時才能成功解密密文。

（5）CSP。CSP是不完全可信的數(shù)據(jù)存儲機構(gòu)，負(fù)責(zé)存儲系統(tǒng)中的密文數(shù)據(jù)。

2.2 形式化定義

本方案由以下6個算法組成：

①初始化算法

算法以安全參數(shù)κ和屬性全集U作為輸入，輸出系統(tǒng)的公開參數(shù)Params﹑AA公鑰APK和AA私鑰ASK。

②密鑰生成算法

算法以Params﹑ASK以及用戶的屬性值集合L為輸入，輸出用戶的私鑰SKL。

③加密算法

算法輸入公開參數(shù)﹑AA公鑰﹑明文消息M和制定的訪問策略W，輸出密文CT。④解密算法

算法以系統(tǒng)公開參數(shù)﹑密文和用戶私鑰為輸入，若L滿足W（即L=W），則輸出明文M；若L不滿足W（即L≠W），則輸出⊥。

⑤密鑰更新算法：

算法以系統(tǒng)公開參數(shù)和AA公鑰為輸入，輸出更新后的AA公私鑰APK'、ASK'，更新密鑰RKi,AID和用戶更新后的屬性私鑰SKi', GID 。

⑥密文重加密算法算法通過輸入最新版本的AA私鑰'

ASK和初始密文CT，輸出更新后的密文'CT。

2.3.1 初始化算法

CA初始化：CA通過安全參數(shù)κ生成階為素數(shù)p的乘法循環(huán)群G和GT，g是群G的生成元，e: G×G→GT是雙線性映射，H :{0,1}*→G是一個單項哈希函數(shù)。CA選擇一個存在性無法偽造的簽名方案，生成簽名密鑰Signkey和驗證密鑰Verifykey。CA保留簽名密鑰Signkey，公布系統(tǒng)的公開參數(shù)為Params=(e, p, g, G, GT,H, Verifykey )。

AA初始化：CA為每個合法AA分配一個唯一的全局標(biāo)識符AID，并生成簽名標(biāo)簽（標(biāo)識符為AID的AA）所管理的屬性集合。用nAID(1≤nAID≤n)表示UAID中屬性的數(shù)目，ni表示atti屬性值的最大取值個數(shù)。本方案中，屬性全集U被劃分成互不相交的屬性域交給AA進(jìn)行管理。

?atti∈UAID，AAAID隨 機選取

AAAID將ai,j,bi,j作為主密鑰ASK保留，將xi,j,yi,j與Asign一起作為公鑰APK向系統(tǒng)公布，即：

用戶注冊：用戶向CA提交自己的身份信息和屬性值集合L，發(fā)出注冊請求。CA為每一個注冊用戶分配一個唯一的全局標(biāo)識符GID，并生成一個身份有效期標(biāo)簽Tpov。之后CA對GID||L||Tpov進(jìn)行簽名，還給用戶。

2.3 方案構(gòu)造

2.3.2 密鑰生成算法

用戶在向AA申請屬性密鑰時，首先提交自己的簽名標(biāo)簽Usign。AA使用Verifykey對Usign進(jìn)行驗證，若驗證通過且用戶的身份信息仍在有效期內(nèi)，則AA根據(jù)用戶屬性值集合L生成屬性密鑰；否則，拒絕其請求。屬性密鑰的計算過程如下：

最終，用戶從各個AA獲得自己的屬性私鑰為：

2.3.3 加密算法

DO選擇待加密的明文M∈GT，確定訪問結(jié)構(gòu)W，并隨機選擇s∈Zp。之后，DO根據(jù)W中涉及到 的AA公鑰計算密文如下：

最終輸出密文：

2.3.4 解密算法

用戶從CSP端下載密文后，若用戶的屬性值集合L滿足訪問結(jié)構(gòu)W（即L|=W），則可按照以下過程解密得出明文：

2.3.5 密鑰更新算法

假設(shè)有某個標(biāo)識符為GID的用戶，其屬性值集合中的屬性值vi,j被標(biāo)識符為AID的授權(quán)機構(gòu)撤銷。屬性撤銷過程包括密鑰更新和密文重加密兩個算法。

AAAID隨機選擇作為被撤銷屬性值對應(yīng)的新私鑰，并計算新的公鑰為

此后，AAAID為其他未撤銷此屬性值的用戶計算更新密鑰，過程如下：

在通過安全信道接收AAAID發(fā)送的更新密鑰后，仍擁有屬性值vi,j的用戶利用RKi,AID更新自己的屬性私鑰，計算過程如下：

對于其他屬性值不受影響的用戶，不必進(jìn)行屬性私鑰的更新。

2.3.6 密文重加密算法

為確保擁有屬性值vi,j的用戶仍然可以成功解密之前下載的密文，除更新屬性私鑰外，還需對包含vi,j的密文重新進(jìn)行加密。為減輕AA和DO的計算開銷，這里運用代理重加密技術(shù)，將繁重的計算任務(wù)轉(zhuǎn)移給云端服務(wù)器，具體的計算過程如下。

若DO加密得到的密文中包含vi,j，則將密文組件C1發(fā)送給對應(yīng)的AAAID。然后，AAAID為CSP計算轉(zhuǎn)換密鑰：

AAAID將轉(zhuǎn)換密鑰TK1i,AID通過安全信道發(fā)送給CSP，CSP則重新計算密文：

3 安全性證明及分析

3.1 安全證明

基于q-BDHE假設(shè)證明本文方案在安全模型下是選擇明文攻擊安全的。

定義1 在任意多項式時間內(nèi)，若不存在以不可忽略的優(yōu)勢贏得2.5節(jié)挑戰(zhàn)游戲的敵手A，則稱本方案在安全模型下是選擇明文攻擊安全的。

定理1 假設(shè)簽名方案在安全模型下是存在性無法偽造的，若q-BDHE假設(shè)在群(G,GT,g,p,e)中成立，則不存在概率多項式時間敵手A在安全模型下以不可忽略的優(yōu)勢ε攻破本方案。

引理1 安全模型下，假設(shè)存在敵手A能夠以不可忽略的優(yōu)勢ε攻破本方案，則可構(gòu)造一個模擬器B在A的幫助下打破q-BDHE假設(shè)。

證明：假設(shè)挑戰(zhàn)者輸入一個基于群(G, GT,p, g, e)上的q-BDHE代表atti可能取值的個數(shù)）。挑戰(zhàn)者隨機進(jìn)行一次拋硬幣實驗，選擇隨機數(shù)τ∈{0,1}。若τ=0，則T=e( gq+1,h)；若τ=1，則T為群GT上的一個隨機值。

（1）初始化階段。敵手A選擇一個要挑戰(zhàn)的訪問結(jié)構(gòu)W發(fā)送給模擬器B。定義I={1,…,m}，B隨機選取并為W中的屬性值選擇ai,j,ci,j∈Zp。

（a）對于i=i*，B按如下過程計算。

若vi,j=Wi，則：

若vi,j≠Wi，則：

（b）對于i∈I-{i*}，B按如下過程計算：

若vi,j=Wi，則：

若vi,j≠Wi，則：

（c）對于i?I，則：

（2）查詢階段1。A向B提交GID和屬性值集合L進(jìn)行私鑰查詢。為不失一般性，假設(shè)存在屬對于哈希函數(shù)H( x)，此處規(guī)定A每進(jìn)行一次私鑰查詢，B隨機選擇z∈Zp，計算

當(dāng)'i≠i時，B按如下過程為A計算屬性私鑰：

（a）若*i=i，則：

當(dāng)T為隨機值時，'CT為無法讀取的隨機密文。

（4）查詢階段2。與查詢階段1過程相同。

由以上分析可得，B成功打破q-BDHE假設(shè)的概率為：

證畢。

由以上證明可知，若A在安全模型下能夠以不可忽略的優(yōu)勢ε攻破本方案，那么B也能以同樣的優(yōu)勢打破q-BDHE假設(shè)。因此，本方案在安全模型下是無法攻破的。

3.2 安全性分析

3.2.1 數(shù)據(jù)機密性

只有屬性值集合滿足訪問結(jié)構(gòu)的用戶才能成功解密密文。本方案中，CA不生成系統(tǒng)主密鑰，除發(fā)布公共參數(shù)和驗證AA﹑用戶身份外，不參與任何屬性密鑰的生成。也就是說，CA無法單獨解密任何密文，解決了傳統(tǒng)方案存在的密鑰托管問題，保證了云端數(shù)據(jù)的機密性。

3.2.2 策略機密性

方案中，訪問策略涉及的屬性信息全部通過秘密值s隱藏在對應(yīng)的密文組件中，只有屬性值集合滿足訪問結(jié)構(gòu)的用戶才能獲取策略信息?；陔x散對數(shù)難題，惡意用戶無法通過密文獲取訪問策略中的敏感信息，更無法掌握訪問策略的具體構(gòu)造。

3.2.3 抗合謀攻擊

3.2.4 前后向安全性

當(dāng)用戶屬性值集合中的某個屬性被授權(quán)機構(gòu)撤銷時，對應(yīng)的AA會更新其對應(yīng)的公鑰和私鑰，并生成更新密鑰和密文轉(zhuǎn)換密鑰，使包含此屬性值的用戶私鑰和密文及時得到更新。而被撤銷屬性的用戶無法對自己的屬性私鑰進(jìn)行更新，因此無法成功解密使用新版本公鑰加密的密文。即使在撤銷屬性前用戶已成功恢復(fù)但因其無法獲取私鑰的值，進(jìn)而無法恢復(fù)出也將無法解密密文。因此，本方案保證了數(shù)據(jù)的后向安全性。

當(dāng)有新用戶加入系統(tǒng)時，因其獲得的均是更新后最新版本的屬性私鑰，因此當(dāng)屬性值集合滿足訪問結(jié)構(gòu)時，新用戶也可對之前的密文進(jìn)行解密。因此，本方案能夠保證數(shù)據(jù)的前向安全性。

4 性能分析

4.1 理論分析

為較為全面地分析本方案的性能，本節(jié)選取部分有代表性的方案進(jìn)行性能對比分析。表1為不同方案在訪問結(jié)構(gòu)﹑策略隱藏﹑固定密文長度﹑屬性撤銷和授權(quán)機構(gòu)數(shù)目方面的比較情況。從表1的結(jié)果可以看出，盡管本方案在訪問結(jié)構(gòu)的靈活性上不如文獻(xiàn)[9]的方案，但本方案可在多授權(quán)機構(gòu)環(huán)境下同時實現(xiàn)策略隱藏和固定長度密文，且具備屬性撤銷功能。

表1 不同方案的特征比較

設(shè)k1代表訪問策略中的屬性數(shù)目，k2代表用戶私鑰中的屬性數(shù)目，|G|和GT分別表示群G和GT中元素的長度，te表示一次指數(shù)運算花費的時間，tb表示一次雙線性對運算花費的時間。表2為各方案密文長度和用戶私鑰長度的對比結(jié)果。表3對各方案的加密和解密時間的理論分析。

從表2的結(jié)果可以看出，本方案的密文長度明顯小于文獻(xiàn)[5-6，9，18]的方案，而與文獻(xiàn)[14-15，17]的方案保持一致。在用戶私鑰長度上，與方案[5-6，9，14-15，18]相比，本方案長度最小。盡管文獻(xiàn)[16-17]的方案同時實現(xiàn)了固定的密文長度和用戶私鑰長度，但這兩個方案僅支持單一的授權(quán)機構(gòu)，且定義的函數(shù)比較復(fù)雜，應(yīng)用難度較大。

表2 密文長度和用戶私鑰長度對比

表3 加密和解密時間對比

從表3的結(jié)果可以看出，與實現(xiàn)策略隱藏的方案[9]相比，本方案的加解密時間更短。因為本方案的整個加密過程僅需要3次指數(shù)運算，解密過程僅需要2次雙線性對運算。指數(shù)運算和雙線性對運算的次數(shù)與訪問策略中的屬性數(shù)目無關(guān)。文獻(xiàn)[5]中，用戶的解密時間僅需要tb+te，這是由于大部分雙線性對計算被轉(zhuǎn)移到云端服務(wù)器，但此方案需要一個額外的存儲服務(wù)器，且用戶的加密時間過長。盡管文獻(xiàn)[6]的方案中用戶的解密操作僅需要1次指數(shù)運算，大部分解密的計算代價被外包給云服務(wù)商，但其加密時間與訪問策略中的屬性數(shù)目呈線性關(guān)系。與實現(xiàn)固定密文長度的文獻(xiàn)[14-18]的方案相比，本方案的加解密時間小于文獻(xiàn)[16，18]的方案，與文獻(xiàn)[14-15，17]的方案保持一致，且可應(yīng)用于多授權(quán)機構(gòu)的系統(tǒng)。

4.2 實驗分析

通過仿真實驗對本文方案﹑多授權(quán)機構(gòu)文獻(xiàn)[9]方案和文獻(xiàn)[18]方案的加解密時間進(jìn)行對比分析。實驗環(huán)境為Intel(R) Core(TM) i5 4210H處理器，主頻2.90 GHz，內(nèi)存4 GB，操作系統(tǒng)為Ubuntu14.04。在cpabe-0.11庫的基礎(chǔ)上，調(diào)用版本為0.5.14的線性配對密碼庫。實驗中，設(shè)置AA的數(shù)目為5，每個AA管理的屬性數(shù)目相同，系統(tǒng)屬性總數(shù)為50。加﹑解密的實驗結(jié)果分別如圖1﹑圖2所示。

從圖1和圖2的結(jié)果可以看出，文獻(xiàn)[9]方案的加密和解密時間隨訪問策略中的屬性數(shù)目線性增長。這是因為在加密過程中，對于訪問結(jié)構(gòu)中的每個屬性值，方案[9]要進(jìn)行5次指數(shù)運算和1次雙線性對運算。在解密過程中，對于每一個屬性值，方案[9]也要對應(yīng)進(jìn)行2次雙線對運算和1次指數(shù)運算。在文獻(xiàn)[18]方案中，盡管加密時間和解密時間基本保持不變，但方案未能實現(xiàn)策略隱藏，且與本方案相比，加密和解密時間仍然較長。

圖1 加密時間對比

圖2 解密時間對比

本文方案的平均加密時間約為12.5 ms，平均解密時間約為33.3 ms。這是因為在加解密過程中，雖然乘法運算的次數(shù)與訪問策略中的屬性數(shù)目呈線性關(guān)系，但是與指數(shù)運算和雙線性對運算相比，乘法運算的代價很低，所以加解密時間增長的幅度很小?？梢?，實驗結(jié)果與理論分析的結(jié)果保持一致。

5 結(jié) 語

為解決現(xiàn)有方案存在的密鑰托管﹑訪問策略公開以及密文長度較長的問題，本文面向多授權(quán)機構(gòu)環(huán)境提出了一種支持策略隱藏和固定密文長度的屬性基加密方案。方案中，中央授權(quán)機構(gòu)不保留主密鑰，也不參與用戶私鑰的計算過程。用戶私鑰由多個授權(quán)機構(gòu)共同生成，能夠有效抵抗非法用戶和授權(quán)機構(gòu)的合謀攻擊。訪問策略隱藏在密文組件中，且加密時的指數(shù)運算次數(shù)和解密時的雙線性對運算次數(shù)均是固定值，既實現(xiàn)了策略的完全隱藏，又實現(xiàn)了常數(shù)級的密文長度。此外，本文還給出了屬性撤銷的具體算法，進(jìn)一步增強了方案的實用性。下一步將重點研究無中央授權(quán)機構(gòu)的屬性基加密方案。

[1] Bethencourt J,Sahai A,Waters B.Ciphertext-policy attribute-based encryption[C].IEEE Symposium on Security and Privacy(SP'07),2007:321-334.

[2] Nishide T,Yoneyama K,Ohta K.Attribute-based Encryption with Partially Hidden Encryptor-specified Access Structures[C].Proceedings of ACNS 2008,2008:111-129.

[3] LAI Jun-zuo,Deng R H,Li Ying-jiu.Expressive CP-ABE with Partially Hidden Access Structures[C].Proceedings of the 7th ACM Symposium on Information,Computer and Communications Security,2012:18-19.

[4] 應(yīng)作斌,馬建峰,崔江濤.支持動態(tài)策略更新的半策略隱藏屬性加密方案[J].通信學(xué)報,2015,36(12):178-189.

YING Zuo-bin,MA Jian-feng,CUI Jiang-tao.Semistrategy Hidden Attribute Encryption Scheme Supporting Dynamic Policy Update[J].Journal of Communications,2015,36(12):178-189.

[5] Hur J.Attribute-based Secure Data Sharing with Hidden Policies in Smart Grid[J].Parallel and Distributed Systems,2013,24(11):2171-2180.

[6] 杜瑞穎,沈劍,陳晶等.基于策略隱藏屬性加密的云訪問控制方案[J].武漢大學(xué)學(xué)報:理學(xué)版,2016,62(03):242-248.

DU Rui-ying,SHEN Jian,CHEN Jing,et al.An Access Control Scheme in Cloud Storage with Policy Hiding ABE[J].Journal of Wuhan University(Natural Science Edition),2016,62(03):242-248

[7] XU Run-hua,LANG Bo.A CP-ABE Scheme with Hidden Policy and Its Application in Cloud Computing[J].Int. J.Cloud Computing,2015,4(04):279-298.

[8] GAO Ang,LI Zeng-zhi.Improving User’s Privacy for Multi-authority ABE Using Privacy Homomorphism[J].IEICE Transactions on Fundamentals on Electronics Communications and Computer Sciences,2013,E96.A(03):724-727.

[9] ZHONG Hong,ZHU Wen-long,XU Yan,et al.Multiauthority Attribute-based Encryption Access Control Scheme with Policy Hidden for Cloud Storage[EB/OL].(2016-09-02)[2017-05-10].https://www.researchgate.net/publication/307627811.

[10] Emura K,Miyaji A,Nomura A,et al.A Ciphertext-policy Attribute-based Encryption Scheme with Constant Ciphertext Length[C].Proceedings of the 5th International Conference,2009:13-23.

[11] Herranz J,Laguillaumie F,Rafols C.Constant Size Ciphertexts in Threshold Attribute-based Encryption[C].Proceedings of 13th International Conference on Practice and Theory in Public Key Cryptography,2010:19-34.

[12] GE Ai-jun,ZHANG Rui,CHEN Cheng,et al.Threshold Ciphertext Policy Attribute-based Encryption with Constant Size Ciphertexts[C].Proceedings of the 17th Australasian conference on Information Security and Privacy,2012:336-349.

[13] Attrapadung N,Herranz J,Laguillaumie F,et al.Attribute-based Encryption Schemes with Constant Size Ciphertexts[J].Theoretical Computer Science,2012,422(03):15-38.

[14] Doshi N,Jinwala D C.Fully Secure Ciphertext Policy Attribute-based Encryption with Constant Length Ciphertext and Faster Decryption[J].Security and Communications Networks,2014,7(11):1988-2002.

[15] XU Peng,TANG Yong,JIANG Wen-bin,et al.Ciphertextpolicy Attribute-based Encryption with Short Keys[J].Chinese Journal of Electronics,2014,23(04):655-660.

[16] Odelu V,Das A K,Rao Y S,et al.Pairing-based CPABE with Constant-size Ciphertexts and Secret Keys for Cloud Environment[J].Computer Standards and Interfaces,2017,54(01):3-9.

[17] 解理,任艷麗.隱藏訪問結(jié)構(gòu)的高效基于屬性加密方案[J].西安電子科技大學(xué)學(xué)報:自然科學(xué)版,2015,42(03):97-102.XIE Li,REN Yan-li.Efficient Attribute-Based Encryption with Hidden Access Structures[J].Journal of Xidian University(Natural Science Edition),2015,42(03):97-102.

[18] Doshi N,Jinwala D.Constant Ciphertext Length in Multi-authority Ciphertext Policy Attribute based Encryption[C].Proceedings of the 2nd International Conference,Computer and Communication Technology(ICCCT),2011:451-456.