冯登国 等:属性密码学研究 3
务商, 为保护用户的数据安全和隐私, 属性密码学提供了一个很好的解决途径. 本文将对属性密码学做一
个系统的综述: 首先对属性密码学的基本概念进行介绍; 其次, 对当前研究现状和相关研究成果进行归纳
和总结; 最后, 对目前存在的一些未解决或尚未良好解决的公开问题进行了分析和探讨, 并指出一些未来
可能的研究方向.
2 属性密码学的基本概念
本节将重点介绍属性加密、属性签名和属性安全协议等基本概念.
2.1 属性加密
一个属性加密方案主要由以下 4 个算法组成:
1)
: 该算法输入安全参数
和一个系统属性描述
, 输出公共参数
和一个主私钥
.
2)
: 该算法输入主私钥
和一个权限
, 输出一个密钥
.
3)
: 该算法输入公共参数
, 一个密文索引(index)
和一个要加密的消息
, 输出
密文
.
4)
: 该算法输入公共参数
, 密钥
和密文
, 输出解密的结果
.
如果一个属性加密方案是正确的, 当且仅当对任意用户权限
和密文索引
, 若
满足
, 则
Dec PP,Keygen MSK, ,Enc PP, , =X Y m m
其中, 公共参数
和主私钥
都是正确产生的.
文献[2]中将属性加密(Attributed based encryption,
)分为两类, 密钥策略的属性加密(Key-Policy
ABE, KP-ABE)和密文策略的属性加密(Ciphertext-Policy ABE, CP-ABE). 在密文策略的属性加密方案中,
为一个属性集合, 密文索引
为一个访问结构,
满足
当且仅当
是
的授权集. 在密钥策略的属
性加密方案中, 正好相反, 即
为一个属性集合,
为一个访问结构,
满足
当且仅当
是
的授权
集. 访问结构的具体定义可参见文献[2,4].
为了刻画属性加密的安全性, 我们考虑一个敌手
和挑战者
之间的实验(如图 2). 最后, 敌手的优
势定义为
Adv Pr ' 1 2
A
k b b
我们称一个属性加密方案是自适应安全的, 当且仅当任意多项式敌手的优势都是可忽略的. 在实际
证明中, 常常也考虑一种弱化的安全模型, 称为选择模型. 在选择模型中要求敌手
必须提前选择自己的
攻击目标, 即公布自己的挑战密文索引
(如图 2 中框内所示), 在此模型下的安全则称为选择安全.
ind
ABE
KeyGen
01
KeyGen
Exp :
0,1
PP,MSK Setup ,
Msg ,Msg , PP
CT Enc PP, ,Msg
PP,CT
R
R
R
R
b
k
YA
b
kU
YA
Y
bA
选择模型
图 2 属性加密的安全模型
Figure 2 Security model of attribute-based encryption