支持访问策略更新的CP-ABE

原创于 2025-10-25 04:32:53 发布 · 780 阅读

27 ·

CC 4.0 BY-SA版权

文章标签：

#属性基加密 #访问策略更新 #CP-ABE

支持访问策略更新的密文策略属性基加密

姜寅豪(B)，威利·苏西洛，牟屹，郭富春
澳大利亚伍伦贡大学计算与信息技术学院计算机与信息安全研究中心{yj971,wsusilo,ymu,fuchun}@uow.edu.au

摘要

基于属性的加密（ABE）支持具有静态访问控制的一对多加密。在许多情况下，必须更新访问控制策略，并要求原始加密者重新加密消息，但由于加密者可能不可用，这种做法不切实际。遗憾的是，迄今为止的ABE研究尚未考虑此问题，从而阻碍了ABE在实际中的应用。在本研究中，我们探讨如何在无需重新加密的情况下，高效地更新密文策略基于属性的加密（CP‐ABE）系统中的访问策略。我们提出了一种支持访问策略更新的新型CP‐ABE概念，该概念涵盖了向访问策略中添加属性和撤销属性的功能。我们对此概念的形式化安全性需求进行了定义，并在此基础上构造了两个可证明安全的CP‐ABE方案，支持与门访问策略并生成用于用户解密的常数大小密文。所提方案的安全性基于增强型多序列指数判定性Diffie‐Hellman假设。

关键词 ：基于属性的加密 · 访问策略更新 · 密文策略

1 引言

基于属性的加密（ABE）通过安全的访问控制机制对加密数据进行解密，要求分配的属性必须满足与密文和私钥相关联的访问策略。ABE已成为一种提供一对多加密的有前景的密码学原语。ABE的概念最初由萨哈伊和沃特斯[22]提出，其最初概念称为模糊IBE，随后出现了许多其他相关研究。在ABE的概念中，存在两种变体，即密文策略基于属性的加密（CP‐ABE）和密钥策略基于属性的加密（KP‐ABE），具体取决于访问策略的位置。在前者中，访问策略嵌入在密文中，而在后者中，访问策略嵌入在私钥中。我们注意到，KP‐ABE不如CP‐ABE灵活，因为在KP‐ABE中，一旦用户的私钥被签发，其访问策略也已确定。

本文档由 funstory.ai 的开源 PDF 翻译库 BabelDOC v0.5.10 (http://yadt.io) 翻译，本仓库正在积极的建设当中，欢迎 star 和关注。

40 蒋等人

确定这一点使得加密更加困难，因为加密者需要将接收者的访问策略与其他所有用户的访问策略进行比较，以选择适合密文的属性集合。在CP‐ABE系统中，用户密钥由可信密钥生成机构标记上描述性属性集合并分发。系统中的密文被分配特定的访问策略，说明解密所需的属性。在这种系统中，仅当与用户密钥相关联的属性集合满足密文的访问策略时，该密文才能被用户的私钥解密。

当使用CP‐ABE向特定用户集合分发消息时，加密者只需构造一个访问策略，使得只有具备满足该访问策略属性集合的接收者才能解密密文。加密者可直接使用访问策略对消息M进行加密，并将生成的密文上传至存储服务器。该存储服务器无需被接收者信任，其仅作为代理执行预先分配的任务。然而，迄今为止，尚无支持密文访问策略变更的CP‐ABE方案。我们注意到，这是一个非常理想的功能，因为实际场景可能随时发生变化，若无法更新访问策略，CP‐ABE将难以在实际中应用。因此，必须实现对密文访问策略的高效更新机制。

有人可能认为，上述问题可以通过在访问策略更新时要求加密者重新加密消息来轻松解决。然而，这种方法非常不切实际且不可行，因为在访问策略更新期间，加密者可能根本无法参与。另一种方法是使用密文策略属性基代理重加密（CP‐AB‐PRE）系统来进行访问策略更新，如图1所示。CP‐AB‐PRE的工作方式如下：当访问控制机构决定更新某一批密文的访问策略时，他将使用自己的私钥为每个密文生成一个从旧访问策略到新访问策略的重加密密钥，并将所有重加密密钥上传至代理以修改密文。当代理接收到重加密密钥后，首先检查该重加密密钥所属者的属性集是否满足待重加密密文的访问策略。如果满足，则继续执行重加密操作。我们注意到，已有大量研究致力于开发和增强基于属性的代理重加密（AB‐PRE），包括CP‐AB‐PRE，这一解决方案功能强大。

AB‐PRE提供了一种高效的重新加密机制，即无需实际解密密文或获知明文内容，就能输出经解密后再用新访问策略加密的结果，从而实现访问策略更新，但其限制在于重加密者必须生成有效的重加密密钥。然而，当涉及的密文数量增加时，由更新发起者生成所有重加密密钥将变得效率低下，且上传带宽也可能受限，更不用说没有必要要求发起者的私钥能够解密所有相关密文，此时需要其他拥有可解密对应密文私钥的用户协助完成重加密。由此可见，要实现

示意图0

大量密文的访问策略将超出专用于重新加密的AB‐PRE的能力。

1.1 我们的贡献

在本研究中，我们的目标是为基于属性的加密（ABE）引入访问策略更新功能。我们提出了支持访问策略更新的密文策略属性基加密（CP‐ABE‐APU）的概念。在我们的设定中，加密者将生成加密数据以及用于访问策略更新的组件，并将这些组件发送给第三方，该第三方提供分布式存储服务器并充当访问策略更新代理。此第三方无需被信任；它仅为用户访问而存储加密数据，并按需执行访问策略更新算法，但无法获得解密任何密文的能力。我们提出了一种新的安全模型以满足这些需求，并给出了两个在增强假设下可证明安全的支持与门访问策略的构造方案。在我们的CP‐ABE‐APU构造中，密文由3个群元素组成，而用于访问策略更新的组件分别由 n − s − 1和t个群元素构成，用于属性添加和属性撤销。其中，在属性添加的构造中，与门访问策略由 s个属性组成，整个系统中共有 n个属性；在属性撤销的构造中，单个密文的最大撤销数量为 t（见表 1）。用于访问策略更新的组件仅存储在存储服务器中，从而使发送给用户用于解密的密文保持恒定大小，即3个群元素。我们还提供了所提构造方案的安全性证明以及增强假设的难解性证明。

1.2 相关工作

在萨哈伊和沃特斯提出基于属性的加密（ABE）概念后，戈亚尔等人提出了第一个密钥策略属性基加密系统（KP‐ABE），其中

42 江Y. 等

Table 1. 支持访问策略更新的两种构造方案之间的比较

方案	更新操作	属性全集	策略中的属性	策略/最大撤销	密文用于 user	密文用于 server
条件1	添加	n	s	3	n − s+2
条件2	撤销	n	t	3	t+3

密文与属性相关联，而私钥与访问策略相关联。随后，贝滕科特、萨海和沃特斯[2]定义了一种互补的概念，如[22],中所述，即CP‐ABE，但其安全性在通用群模型中得到证明。张和纽波特[6]提出了首个在标准模型下具有安全证明的CP‐ABE构造，该构造允许访问策略为包含正、负值及通配符属性的单个与门。戈亚尔等人[8]构建了一种CP‐ABE方案，但其密钥尺寸较大。沃特斯[25]设计了高效且表达性强的CP‐ABE系统，支持任意单调访问结构。阿特拉帕东等人[1]提出了一种针对阈值访问策略的高效CP‐ABE方案，具有常数大小密文，并在其解密算法中采用了来自聚合的算法<v25}。此后，沃特斯[26]提出了首个基于确定性有限自动机的功能加密系统，其中访问策略可用任意长度的正则语言表示。需要注意的是，文献中还存在一些传统属性基加密的变体，例如 [13,20,21,27]。

上述方案仅具有选择性安全，除了[2]在通用群模型中被证明安全。莱文科等人[11]将对偶系统加密技术引入到ABE密码体制中，将[25]中提出的一种CP‐ABE系统转化为完全安全的系统，但牺牲了一定的表达能力。随后，莱文科和沃特斯[12]引入了一种新方法，通过在对偶系统加密技术中采用选择性证明技术，在不损害表达能力的前提下实现了完全安全。

代理重加密方案最初由布莱兹、布卢默和斯特劳斯[3]形式化。结合ABE和PRE的概念，梁等人[17]提出了第一个基于支持非单调访问结构的CP‐ABE方案[21]的CP‐AB‐PRE方案。随后，罗等人[18]提出了另一种具有多值正属性的CP‐AB‐PRE方案。此外，徐等人[23]提出了一种具有常数配对运算延迟的CP‐AB‐PRE方案。梁等人构建了在选择密文攻击安全模型中被证明安全的CP‐AB‐PRE方案[14–16]。

最近，苏西洛等人[24]提出了一种新的可撤销接收者的基于身份的广播加密方案。在他们的方案中，加密者生成密文并将其发送给代理进行广播，该代理还能够在不知道明文的情况下从原始接收者集合中撤销某些身份。

1.3 路线图

本文的其余部分组织如下。在第2节中，我们介绍一些本文将用到的定义和背景知识。在第3节中，我们简要回顾本文所使用的双线性群和复杂性假设。我们在第4节中提出支持属性添加的CP‐ABE方案，并给出其安全性分析。第5节讨论支持属性撤销的CP‐ABE及其安全性分析。我们在第6节中给出了用于分析本方案的困难问题的难解性分析，该分析在通用群模型中进行。最后，我们在第7节中总结全文。

2 定义

我们首先给出支持访问策略更新的密文策略属性基加密安全性的正式定义。然后介绍关于配对和复杂性假设的背景信息。

2.1 访问结构 [6]

一般来说，属性上的访问结构是一个规则 A，它根据给定的属性集 W返回0或1。我们说 W满足 A当且仅当 A在 W上返回1。访问结构可以是布尔表达式、阈值树等。本文中，我们关注由单个与门构成的访问结构，其输入为属性。这表示为 A= ∧at∈Sat，其中 S是属性全集 P的一个子集，且每个at是 P中的一个属性。给定属性集合 W，当且仅当对于所有at ∈ S，at ∈ W时，A返回1。因此，W满足 A当且仅当 S ⊆ W。由于在许多应用场景中与门已足够，我们的方法仍具有重要意义。

2.2 支持访问策略更新的CP‐ABE定义

一个支持属性添加的密文策略属性加密系统由五个算法组成：设置、加密算法、密钥生成、更新和解密算法。

Setup(1λ,P) . 设置算法以属性全集 P和隐式安全性参数作为输入，输出公共参数params和主密钥msk。

Encrypt(params, M, A) . 加密算法接收公共参数params、消息 M以及关于属性全集的访问结构 A ，并输出一个密文 CT，使得仅有其私钥所关联的属性集满足该访问结构 A的用户才能解密 M。我们假设密文隐含包含 A。

44 江Y. 等

密钥生成(msk, W) . 密钥生成算法以主密钥msk和属性集合 W作为输入，输出与 W相关联的私钥 sk。

更新(params, CT, opt, U) . 添加算法以公共参数params、针对访问策略A= ∧at∈S在时刻t的密文 CT、操作指示符 opt= （添加或撤销）以及属性集合 U作为输入，其中若为 opt=添加，则包含U ∩ S= ∅，若为 opt=撤销，则包含 U ⊂ S。它根据 opt输出对应于新访问策略 A′=∧at∈S∪U或 ∧at∈S\U的新密文CT′。

解密算法Decrypt(params, CT, sk) . 该算法以公共参数 PK、针对访问结构 A的密文 CT以及与属性集 W相关联的私钥 sk作为输入。如果属性集 W满足访问结构 A，则该算法将解密密文并返回消息M。

支持访问策略更新的CP‐ABE选择性CPA安全模型

我们现在给出CP‐ABE系统的安全性定义——在选择性选择明文攻击下的不可区分性（简称IND‐sCPA安全性）。该定义通过挑战者与敌手之间关于安全参数 λ ∈ N的安全游戏来描述。游戏过程如下：

初始化 挑战者定义一个大小为 n 的属性宇宙 P，并将其交给对手 A。A选择一个包含一个属性集S ⊂P的挑战访问结构 A∗，其中 s= |S|，并将其交给挑战者。

Setup . 挑战者运行设置算法，并将公共参数params发送给对手。

阶段1 。对手向挑战者查询对应于属性集合 W1，…， Wq1的私钥，限制条件是这些集合均不满足访问策略 A ∗。

挑战阶段 。对手声明两个等长的消息 M0 和 M1，以及一个属性集 U ∗，满足 t= |U ∗| 且 U ∗ ⊂ S 或 U ∗ ∩ S= ∅，分别对应“opt”=添加或 “opt”=撤销。挑战者抛掷一枚随机硬币 β ∈{0, 1}，并对 Mβ 使用 A′= ∧at∈S\U ∗ 在“opt”=添加时进行加密，或在“opt”=撤销时进行加密，生成 CT ∗= Encrypt(params A ∗, Mβ)。如果 U ∗= ∅，则将 CT ∗ 发送给对手；否则，输出 CT′= Update(params CT ∗, opt,U ∗)。

阶段2 。对手向挑战者查询对应于属性集合 Wq1+1，…， Wq的私钥，且同样限制这些集合均不满足访问策略 A ∗。

猜测。对手输出对 β的猜测 β′。

对手在赢得此游戏中所具有的优势被定义为
Adv IND-sCPA A,CP-ABE-AA = | Pr[β′= β] − 1 2|.

定义1 . 如果所有多项式时间的攻击者在此安全性游戏中最多只有可忽略的优势，则支持访问策略更新的密文策略属性加密系统是选择性明文攻击安全的。

支持访问45的密文策略属性基加密

值得注意的是，我们新定义的安全模型考虑了两种不同类型的攻击者。

当 U∗= ∅时，挑战密文 CT∗是加密算法的直接结果，未涉及访问策略更新算法。由此可见，这本质上体现了CP‐ABE方案的IND‐sCPA安全性：即一个不持有满足挑战访问策略的属性集合对应私钥的对手，无法区分所提交的消息中哪一个被加密为挑战密文。
当 U∗ ≠ ∅时，挑战密文 CT′是由加密 Mβ的密文的 U∗从A′更新而来。可以看出，在此情况下，它能够防止在更新前获得满足访问策略A的任何属性所关联私钥的攻击者获取关于明文M的任何信息。

3 配对与复杂性假设

我们的构造将使用具有双线性映射的群[5],以及两个新的计算假设，这两个假设符合博内、博延和高提出的广义Diffie‐Hellman指数框架[4]。

3.1 双线性映射

设 G1、 G2和 GT为三个素数阶循环群。双线性映射 e(·,·)是一个映射 G1 × G2 → GT，使得对于任意生成元 g1 ∈ G1、 g2 ∈ G2和a, b ∈ Zp，满足以下三个条件：

双线性 。 e(g1a, gb 2) = e(g1, g2) ab。
非退化性 。 e(g1, g2) ≠ 1。
可计算性 。存在高效的算法来计算所有群运算以及双线性映射 e(·,·)。

双线性映射群系统是由上述对象组成的元组 S=(p, G1, G2, GT, e(·,·))。

在我们的构造中，采用了一个任意的双线性映射群系统，无需任何特定的附加属性。特别是，它不要求 G1和G2不同或相等，也不需要从G1到 G2的有效同构，反之亦然。

3.2 复杂性假设

我们的方案的安全性归约到一个问题的困难性，我们称之为增强型多序列指数判定性Diffie-Hellman问题。该问题是从[10],中定义的(l, m, t)‐aMSE‐DDH问题修改而来，其通用复杂性由一般的Diffie‐Hellman覆盖

46 江Y. 等

基于Boneh、Boyen和Goh的指数定理[4],因为该问题处于他们框架的范围内。

首先，我们介绍将我们的CP‐ABE‐AA方案归约到的假设。设 S=(p, G1, G2, GT, e(·,·))为一个双线性映射群系统。设 g0是 G1的一个生成元， h0是 G2的一个生成元。设 n, s为两个整数。与 S相关的第一个(n, s)-增强型多序列指数判定Diffie-Hellman ((n, s)‐aMSE‐DDHA)问题如下：

输入。向量 →−x n=(x1,…, xn) 定义了互素多项式，其分量是 Zp 中两两不同的元素，
f(X)= ∏ {i=1}^{n−s} (X+ xi),
g(X)= ∏ {i=n−s+1}^{n} (X+ xi),
值
⎧
⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎨
⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎩
g0, g0γ,…, gγ^{n−2}, g^{κ·γ·f(γ)}_0 , (1.1)
g0α, gα·γ 0,…, gα·γ^{n−s+1} , (1.2)
g^{ω·γ}_0,…, g^{ω·γ^{n−1}}_0 , (1.3)
h0, hγ0,…, hγ^{s−2}, (1.4)
h^{κ·g(γ)}_0 , h^{κ·γ·g(γ)}_0 ,…, h^{κ·γ^{n−s}·g(γ)}_0 ,(1.5)
hα0, hα·γ 0,…, hα·γ^n , (1.6)
hω0, hω·γ 0,…, hω·γ^{s−1} , (1.7)
其中 κ, ω, α, γ ∈ Zp 是未知的随机元素，元素 e(g0, h0)^{κ·f(γ)} ∈ GT 和一个随机群元素 Tb ∈ GT，而 b 是一个公平硬币。

Output . 一位b′。如果输出为 b′=，则问题被正确解决 b.

以下陈述是[4]中定理A.2的推论。它在配备配对的群中的通用模型下提供了一个难解性界。我们强调，尽管该假设包含多个参数，但它是一个非交互式假设，因此易于证伪[19]。

推论1 （通用安全性）。对于任意一个最多对执行群运算的预言机进行 qG 次查询的概率算法 B ，其中群运算位于 G1、 G2、 GT 以及双线性映射 e(·,·)，其在求解 (n, s)-aMSE-DDHA 问题上的优势受限于
Adv(n,s)-aMSE-DDH A B (λ) ≤ (qG+ 5n+ 3)² · d / 2p
其中 d= 2n。

其次，我们介绍CP‐ABE‐AR方案所基于的假设。设 S=(p, G1, G2, GT, e (·,·))为一个双线性映射群系统。设 g0是 G1的一个生成元， h0是 G2的一个生成元。设 n, s为两个整数。与 S相关的第二个(n, s)-增强多序列指数判定 Diffie-Hellman((n, s)‐aMSE‐DDHB)问题如下：

支持访问4的密文策略属性基加密7

输入。向量 →−x n=(x1,…, xn) 定义了互素多项式，其分量是 Zp 中两两不同的元素，
f(X)= ∏ {i=1}^{n−s} (X+ xi),
g(X)= ∏ {i=n−s+1}^{n} (X+ xi),
这些值
⎧
⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎨
⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎪⎩
g0, g0γ,…, gγ^{n−2}, g^{κ·γ·f(γ)}_0 ,(2.1)
g0α, gα·γ 0,…, gα·γ^{2n−s} , (2.2)
g^{ω·γ}_0,…, g^{ω·γ^{n−1}} , (2.3)
h0, hγ0,…, hγ^{s−2}, (2.4)
h^{κ·g(γ)}_0 , (2.5)
hα0, hα·γ 0,…, hα·γ^n , (2.6)
hω0, hω·γ 0,…, hω·γ^{s−1} , (2.7)
其中 κ, ω, α, γ ∈ Zp 是未知的随机元素，元素 e(g0, h0)^{κ·f(γ)} ∈ GT 和一个随机群元素 Tb ∈ GT，而 b 是一个公平硬币。

Output . 一位 b′。如果输出为 b′= b，则问题被正确解决。

推论2 （通用安全性）。对于任意最多对执行群运算的预言机进行 qG 次查询的概率算法 B ，其中群运算位于 G1、 G2、 GT 以及双线性映射 e(·,·)，其在解决 (n, s)-aMSE-DDHB 问题上的优势受限于
Adv(n,s)-aMSE-DDHB B (λ) ≤(qG+ 5n+ s+ 4)² · d / 2p
其中 d= 2(2n − s)。

4 支持属性添加的CP‐ABE构造

在本节中，我们将提出支持带有操作指示符 opt= Add的访问策略更新的密文策略基于属性的加密方案。

在描述我们的方案之前，我们介绍解密过程中采用的算法Aggregate用于 [7]的群元素，但可以看出，它适用于任何素数阶群。 GT[7]。

聚合({g r γ + x i, xi}1≤i≤n) 。该算法输入值 {g r γ + x i, xi}1≤i≤n , r ，其中 g γ + x i ∈ G1, r, γ ∈ Z p 未知且 xi的值两两不同。它输出值聚合({g r γ + x i, xi}1≤i≤n) = g^{r / ∏_{i=1}^n (γ + x_i)} ∈ G1。

48 江Y. 等

4.1 描述

设置(1λ,P) . 私钥生成器选择一个合适的编码 τ，将属性集合U中的每个属性映射到（不同的）元素 τ（在）= δ ∈ Zp。它还选择一个双线性群系统 S=(p, G1, G2, GT, e(·,·))。它随机选取群 G1的两个生成元 g和群 G2的生成元 h。然后，私钥生成器随机选取 α, γ ∈ Zp，并设置 u= gαγ以及 v= e(gα, h)。

主私钥为 msk =(g, α, γ)，公开参数为
params=(P, n, u, v, h,{hαγ i }i=0,…,n, τ).

密钥生成(公共参数 W,主密钥) 。给定任意属性子集 W ⊂P，私钥生成器随机选取r ∈ Zp，计算 skW=({g r γ+τ (在i处}ati∈W)， h r−1 γ)。

Enc(params M{style id=‘2’>, A) . 给定一个由属性集合S ⊂ P构成的与门访问结构，其中 s= |S|，以及消息M ∈ GT，发送方随机选取κ ∈ Zp并计算
⎧
⎨
⎩
E0= h^{κ·α·∏_{at∈S}(γ+τ(at))},
E1= Eγ 0,…, En−s= Eγ^{n−s−1}
C1= u−κ,
CM= vκ · M

加密者发送给存储服务器的密文为 CTserver=(E0,…, En−s, C1, CM)，而 CT=(E0, C1, CM)部分将由用户访问以进行解密。

更新(params CT, “添加” U) . 给定一个具有属性集 S的与门访问结构的密文 CT，以及一组属性 U={，在′ 1, . . . , at′ t}处满足t= |U| 和 U ∩S= ∅，代理将 U中的属性添加到该密文 CT的与门访问结构中，具体如下。

令 F = ftx t+ ft−1x t−1+ ···+ f0 为如 (x) (∏ {at′∈U} (x+ τ(at′))) 中的多项式。
计算 E′ 0= E^{F(γ)}_0 = ∏ {i=0}^t E^{f_i}_i。然后新的密文为 CT′=(E′ 0,C1, CM)，其与门访问结构 A ′对应的属性集为 S ∪U。

解密算法(params CT, skW) . 任何具有一组属性 W且满足 W | = A的用户均可使用私钥对密文进行解密。

首先，用户计算 e(g, h)^{κ·α·r}，具体如下。用户计算
Aggregate({g^{r / (γ + τ(at_i))}, τ(ati)}ati ∈S)= g^{r / ∏ {at_i ∈ S} (γ + τ(ati))}.
用户随后计算 e(g, h)^{κ·α·r}= e(g^{r / ∏ {at_i ∈ S} (γ + τ(ati))} E0)。之后，用户计算 e (g, h)^{κ·α}= e(C1, h^{r − 1 / γ}) · e(g, h)^{κ·α·r}。最后，用户恢复消息 M= C M / e(g, h)^{κ · α}。

支持访问49的密文策略属性基加密

4.2 安全分析

在本节中，我们将证明在假设(n, s)‐aMSE‐DDHA问题难以解决的前提下，我们的CP‐ABE‐AA方案能够抵御选择性选择密文攻击。

定理1 . 设 λ为一个整数。对于任何针对我们的CP-ABE-AA加密方案SAA的 IND-sCPA安全性的对手 A，在大小为 n的属性宇宙P上，以及一个满足 s= |S|的挑战集合S，存在一个算法 B，用于求解(n, s)-aMSE-DDHA问题，使得
Adv(n,s)-aMSE-DDHA B (λ) ≥ AdvIND-sCPA A,SAA(λ).

证明 . 我们现在给出模拟的详细过程。从现在起，我们将用 WS表示子集 W ∩ S。

初始化 . B定义一个属性宇宙 P={at1,…,atn}，其基数为 n。 A向 B给出由与门策略 ∧at∈Sat定义的挑战访问结构 A∗，其中S ⊂P各自的基数为 s。这里我们假设 S={at n−s+1,…,atn}。

设置 . 算法 B定义 g:= g^{f(γ)}_0, h:= h0。然后 B可以计算
– 其输入值中第(1.2)行的值 u= g^{αγ}= g^{αγ·f(γ)}_0 ，因为指数 α · γ · f(γ)是 {α, α · γ,…, α · γ^{n−s+1}}和B所知的指数多项式的线性组合。
– 第(1.2)行和第(1.4)行中的值 v= e(g, h)^α= e(g^{α·f(γ)}_0 , h0)。
– {h^{αγ i}= h^{α·γ i}_0 }i=0,…,n中的元素对应第(1.6)行。
– 编码 τ定义为 τ(ati) = xi，其中 i= 1,…, n。可以看出，前 n−s个元素的编码是 f(X)根的相反数，属性集合 S中属性的编码是 g ({v11})根的相反数。

最后，B向A发送模拟的公开参数：(u, v, h,{h^{αγ i }}i=0,…,n, τ)。

阶段1 对手 A进行私钥查询。为了响应对属性集 W ⊂ P的查询，其中 W | = A ∗，算法 B必须生成一个形式为({g^{r / (γ+τ (at))}}at∈W ， h^{r−1 / γ})的元组。

注意，由于W | = A ∗所有允许的查询必须满足 |WS| < s。 B定义了多项式
QWS(X) ={1 |WS| = 0
λi ·∏ {at ∈WS} (X+ τ (at)) |WS| > 0，其中λ=(∏ {A ∈ ω S} τ(at))^{-1}，
并为 W模拟一个私钥，步骤如下：

B在 Z p 中随机选取 yW，并定义 r：=(1+ ωyW γ)QWS (γ)。然后 B计算 sk W的元素：
– 对于任意属性at ∈ W, g^{r / (γ + τ (at))}= g^{ωγ y W · f (γ) Q W S (γ) / (γ + τ (at))}_0 · g^{f (γ) Q W S (γ) / (γ + τ (at))}_0 。由于属性at ∈ W可以属于 W S或 P\ S，(γ+ τ(at))|f(γ)QWS (γ)。第一个

50 江Y. 等

第一个因子可以使用第(1.3)行计算，因为其指数是关于 γ的次数最多为 n−1的多项式，第二个因子可以使用第(1.1)行计算，因为其指数是关于的次数最多为 n −2的多项式。
– 值 h^{rγ−1}= h^{ωyW QWS(γ)}_0 · h^{QWS(γ)−1 / γ}_0 ，其中第一个因子可由第(1.7)行计算得出，第二个因子可由第(1.4)行计算得出，因为根据定义 QWS(γ) 是一个常数项为1的多项式，因此 QWS(γ)−1 / γ 是{1, γ,…, γ^{s−2}}的线性组合。

挑战阶段 。一旦 A向 B发送了两条消息M0和 M1以及一个更新的属性集 U∗， B便抛掷一枚硬币 β ∈{0, 1}，并设置 C∗ M= T0 · Mβ。为了模拟挑战密文的其余部分， B隐式地将加密的随机性定义为 κ∗= κ/α，并设置 E∗ 0= h^{κ∗α·g(γ)} = h^{κ·g(γ)}_0 （如(1.5)行所示）以及 E∗ 1,…, E∗ n−s。为了完成密文，B从(1.1)行计算C∗ 1= u−κ∗= g^{−κγf(γ)}_0 。 B给出挑战密文 CT∗=(E∗ 0, E∗ 1,…, E∗ n−s, C ∗ M)。

阶段2 。在挑战阶段之后， A可以提出其他密钥提取查询，这些查询将按之前的方式予以响应。

猜测。 A输出一个β′。如果 β′= β， B输出0；否则 B输出1。

概率分析

设 I=(→−x n, γ, κ, ω, α, Tb, T1−b)为算法 B的输入，且敌手 A以优势AdvIND-sCPA A SAA ,( λ)攻破我们的CP‐ABE方案。接下来我们分两种情况分析该模拟过程。

情况 1 E∗ 0= h^{κ·g(γ)} 0 = h^{κ ∗·α·∏ {at ∈ S}} U ∗= ∅ κ= κ∗ · α γ+τ C∗ 1= g^{−κ·γ·f(γ)}_0 = g^{−κ ∗·α·γ·f γ}_0 = u−κ ∗ ((at))且 ()。对于 C∗ M κf(γ)· Mβ= e b= 0 T0= e g0 h0 κf(γ) C∗ M= e g0 h0 g α h κ ∗ · Mβ= vκ ∗ · Mβ B，我们还注意到，如果， (,) ，则 (,)(,) 。因此，对的模拟是完美的，对手 A将根据其优势猜测比特 β。故若 b= 0，我们有
|Pr[B(I)= 0|b= 0] − 1 2| = AdvIND-sCPA A (λ).

否则，如果 b= 1和 T0在 GT中是均匀随机的， C∗ M在 GT中是均匀随机且独立的，并且 β的值对于 A的视图也是独立的，
Pr[B(I)= 0|b= 1]= 1 2.

因此，在情况1中， B在解决(n, s)‐aMSE‐DDHB问题上的优势为
Adv(n,s)−aMSE B -DDH B (λ)= |Pr[B(I)= 0|b= 0] − Pr[B(I)= 0|b= 1]| ≥ Adv IND-sCPAwAR A (λ).

情况2 (U ∗={at′ 1 , at′ 2 ,…,at′ t} = ∅)。在这种情况下，我们首先说明在真实游戏中挑战密文应如何生成。形式上，

支持访问策略更新的密文策略属性基加密 51

令 S′= S\ U∗。运行加密算法Enc(params A′=∧at∈S′ at Mβ)以得到 CT∗。更准确地说，它选择一个随机性 κ′ ∈ Zp并计算，
CT∗=(E∗ 0, E∗ 1,···, E∗ n−s+t, C ∗ M)
=(h^{κ ′·α·∏ {at∈S′}(γ+τ(at))},…, h^{κ′·α·γ^{n−s+t}·∏ {at∈S′}(γ+τ(at))}, u−κ′, v^{κ′} · M).
运行添加算法Add(paramsCT ∗,U ∗)，将属性集U ∗添加到密文 CT ∗的访问策略中。其处理过程如下。
设 F ∗ = f ∗ t x t+ f ∗ t−1x t−1+ ···+ f ∗ 0 为如 (x) (∏ {at′∈U∗} (x+ τ(at′))) 所示的多项式。
计算 E0′ ∗=(E∗ 0)^{F∗ (γ)}=∏ {i=0}^t (E ∗ i)^{f ∗ i}。
最后，真实游戏中的挑战密文生成为 CT′=(E′ 0 ∗, C∗ 1, C∗ M)。
现在我们假设用于生成 CT ∗的随机性 κ′被定义为κ′ · α= κ。挑战密文 CT′结果如下，
C∗ M= Mβ · v^{κ′}= Mβ · v^{κ / α},
E′ 0 ∗= h^{κ ′·α·∏ {at∈S}(γ+τ(at))}= h^{κ·∏ {at∈S}(γ+τ(at))}= h^{κ·g(γ)}_0 ,
C∗ 1= u−κ ′= g^{κ·γ·f(γ)}_0 .
可以看出，如果 b= 0, T0= e(g0, h0)^{κ·f(γ)}，真实游戏中的挑战密文与模拟挑战密文完全相同。若能证明从 A的视角来看， κ′的设置与真实随机值不可区分，则该模拟游戏将是一个完美模拟。由于 κ对 A是随机的，这就足够了。
因此，如果 b= 0我们有
|Pr[B(I)= 0|b= 0] − 1 2| = AdvIND-sCPA A,SAA(λ).
另一方面，如果 b= 1和 T0是来自 GT的随机元素，则 C∗ M对于 A而言是随机且独立的。
|Pr[B(I)= 0|b= 1]= 1 2.
因此，我们在情况2中解决(n, s)‐aMSE‐DDHB问题的优势为 B
Adv(n,s)−aMSE B -DDH B (λ)= |Pr[B(I)= 0|b= 0] − Pr[B(I)= 0|b= 1]| ≥ AdvIND-sCPAwAR A,SAA (λ).
这完成了证明。

5 CP‐ABE 支持属性撤销构造

在本节中，我们将介绍支持带有操作指示符 opt=Revoke的访问策略更新的密文策略属性基加密方案。

52 江Y. 等

5.1 描述

设置(1λ,P) . 私钥生成器选择一个合适的编码 τ，将属性集合U中的每个属性映射到不同元素 τ(at) = δ ∈ Zp。它还选择一个双线性群系统S=(p, G1, G2, GT, e(·, ·))。随机选取群 G1的两个生成元 g以及群G2的生成元 h。然后，私钥生成器随机选取 α, γ ∈ Zp，并设置{ui= g^{αγ i}}i=1…n和 v= e(gα, h)。
主私钥为 msk =(g, α, γ)，公开参数为
params=(P, n,{ui}i=1,…,n, v, h,{h^{αγ i }}i=0,…,n, τ}).

密钥生成(公共参数 W,主密钥) . 给定任意属性子集 W ⊂P，私钥生成器随机选取r ∈ Zp，并计算 skW=({g^{r / (γ+τ (在i)}}ati∈W , h^{r−1 / γ}).

Enc(params M, A, l) . 给定一个属性集合的与门访问结构S ⊂ P ，其中 s= |S|，消息M ∈ GT以及一个额外输入即最大撤销数量 l ≤ s，发送方随机选取 κ ∈ Zp并计算
⎧
⎨
⎩
E0= h^{κ·α·∏ {at∈S}(γ+τ(at))}
C1= u−κ 1,…, Cl+1= u^{−κ} {l+1},
CM= vκ · M
加密者发送给存储服务器的密文为 CTserver=(E0, C1,…, Ct+1, CM)，而 CT=(E0, C1, CM)部分将供用户解密时访问。

更新(params CT,”revoke′′,U) . 给定一个针对与门访问结构 A= ∧at∈S的密文 CT=(E0, C1,…, Ct+1,CM)，以及撤销属性集 U={at′ 1,…,at′ t} ⊆ S（其中 t ≤ l）和公共参数params，撤销更新算法工作如下。
设 F(x)为关于 x的多项式
F(x)= \frac{1}{∏ {at′∈U} τ(at′)} ∏ {at′∈U} (x+ τ(at′))= f_t x^t+ f_{t−1}x^{t−1}+ ···+ f_0.
计算
– C′ M= CM · e(∏ {i=1}^t C^{−f_i}_i , h)= M · e(g^{κ·α·∑ {i=0}^t f_i γ^i}, h)= M · v^{κ·F(γ)},
– E′ 0= E^{1 / ∏ {at′∈U} τ(at′)}_0 = h^{κ·α·∏ {at∈S\U} (γ+τ(at))·F(γ)},
– C′ 1=∏ {i=1}^{t+1} C^{f {i-1}}_i = g^{−κ·α·γ·F(γ)}= u^{−κ·F(γ)}_1 .
新的密文为 CT=(E′ 0 , C′ 1 , C′ M)，其中包含新的随机性 κ · F(γ)。

Dec(params CT, sk W) . 任何具有一组属性 W且满足 W | = A的用户都可以使用私钥解密密文。

支持访问53的密文策略属性基加密

首先，用户按如下方式计算 e(g, h)^{κ·α·r}。用户计算
Aggregate({g^{r / (γ+τ(ati))}, τ(ati)}ati∈S1)= g^{r / ∏ {ati∈S1} (γ+τ(ati))}.
用户计算 e(g, h)^{κ·α·r}= e(g^{r / ∏ {ati∈S1} (γ+τ(ati))} E0)。然后，用户计算 e(g, h)^{κ·α}= e(C1, h^{rγ−1})·e(g, h)^{κ·α·r}。最后，用户恢复消息 M= CM / e(g, h)^{κ·α}。

5.2 安全分析

在本节中，我们证明在假设(n, s)‐aMSE‐DDHB问题难以解决的情况下，我们的方案能够抵御选择性密文攻击。

定理2 。设 λ为一个整数。对于任何针对我们的CP-ABE-AR加密方案SAR的 IND-sCPA安全性的对手 A，在属性宇宙P大小为 n，且挑战集合S满足 s= |S|的情况下，存在一个算法 B，能够解决(n, s)-aMSE-DDHB问题，使得
Adv(n,s)-aMSE-DDHB B (λ) ≥ AdvIND-sCPA A,SAR(λ).
我们现在给出模拟的详细信息。

初始化 B定义了一个属性全集 P={at1,…,atn}，其基数为 n。 A向 B给出挑战访问结构 A ∗，该结构由一个与门策略 ∧at∈Sat 定义，其中各属性集合的基数分别为 s。此处我们假设 S={atn−s+1,…,atn}。

设置。该算法 B 定义 g:= g^{f(γ)}_0 ， h:= h0。 B 随后可以计算
– 根据输入值的第(2.2)行，计算 ui= g^{αγ i}= g^{αγ i·f(γ)}_0 的值，因为指数 α·γ^i· f(γ) 是 {g^{2(γ)}·α、…、 g^{2(γ)}·α·γ^{2n−s}} 和 B 所知的指数多项式的线性组合。
– 根据 g^{α·f(γ)}_0 的第(2.2)行和 h0 的第(2.2)行，计算 v= e(g, h)^α= e(g^{α·f(γ)}_0 , h0) 的值。
– 根据第(2.6)行计算 {h^{αγ i}= h^{α·γ i}_0 }i=0,…, n 中的元素。
– 编码 τ 定义为 τ(ati) = xi，其中 i= 1, …, n。可以看出，前 n−s 个元素的编码是 f(X) 根的相反数，属性集合 S中属性的编码是 g(X) 根的相反数。
(2.4)
最后，B向A发送模拟的公开参数：(u, v, h,{h^{αγ i }}i=0,…,n, τ)。

阶段1 。对手 A进行私钥查询。为了响应对属性集 W ⊂ P的查询，其中 W | = A ∗，算法 B必须生成一个形式为({g^{r / (γ + τ （ at ）}}at∈W ， h^{r − 1 / γ})的元组。
注意到由于W | = A ∗所有允许的查询必须满足 |WS| < s。 B定义了多项式 QWS(X) ={1 |WS| = 0 λi ·∏ {at ∈ W S} (X+ τ (at)) |WS| > 0，其中λ=(∏ {A ∈ ω S} τ(at))^{-1}，并如下模拟访问策略A的私钥 W：
54 江Y. 等
B在 Zp中随机选取 yW，并定义 r：=(1+ ωyWγ)QWS(γ)。然后 B计算 skW 的元素：
– 对于任意属性 at ∈ W, g^{r / (γ+τ(at))}= g^{ωγyW· f(γ)QWS (γ) / (γ+τ(at))}_0 · g^{f(γ)QWS (γ) / (γ+τ(at))}_0。由于属性at ∈ W可以属于 WS或 P(S)，(γ+ τ(at))|f(γ)g2(γ)QWS(γ)。第一个因子可通过第(2.3)行计算，因为其指数是关于 γ的次数不超过 n − 1的多项式；第二个因子可通过第(2.1)行计算，因为其指数是关于 γ的次数不超过 n −2的多项式。
– 值 h^{r−1 / γ}= h^{ωyW QWS( γ)}_0 · h^{QWS(γ) −1 / γ}_0 ，其中第一个因子可由第(2.7)行计算得到，第二个因子可由第(2.4)行计算得到，因为根据定义 QWS1 (γ) 是一个常数项为1的多项式，因此 QWS(γ) −1 / γ 是{1, γ,…, γ^{s−2}}的线性组合。

挑战阶段 。一旦 A向 B发送了两条消息M0和 M1 ，以及一个属性集 U∗，其中 t= |U∗| 和 U∗ ∩ S= ∅包含所有需要撤销的属性， B抛掷一枚硬币 β ∈{0, 1}，并设置 C∗ M= T0·Mβ。为了模拟密文其余部分， B设置 E∗ 0= h^{κ·g(γ)}_0 ，其值在公式(2.5)中给出。然后，B从公式(2.1)计算 C∗ 1=( g^{κγf(γ)}_0 )^{−1} 。 B向 A提供挑战密文 CT∗=(E∗ 0, C∗ 1, C∗ M)。
这里我们观察到
如果 U∗= ∅， t= 0 B应向对手输出 CT= Enc(params,A ∗, 0, Mβ) =(E0, C1, CM)，对应访问结构 A ∗ 的挑战密文，其形式相匹配；
如果 U∗ = ∅ B应输出 CT′= Revoke(params, Enc(params A′, t, Mβ) U ∗) = (E′ 0, C′ 1, CM)，用于访问结构 A ∗，其中挑战密文也符合该形式。

阶段2 。在挑战阶段之后， A可以提出其他密钥提取查询，这些查询将按之前的方式进行回答。

猜测。 A输出一个β′。如果 β′= β， B输出0；否则 B输出1。

概率分析
设 I=(→−x n, γ, κ, ω, α, Tb, T1−b)为算法 B的输入，且敌手 A以优势AdvIND-sCPA (λ) 攻破我们的CP‐ABE方案。下面我们分两种情况分析该模拟过程。

情况 1 E ∗ 0 = h^{κ·g(γ)} 0 = h^{κ ∗·α·γ·∏ {at∈S}} U ∗= ∅ κ ∗= κ · α γ+τ C ∗ 1 = g^{− κ·γ·f(γ)}_0 = g^{− κ ∗·α·γ·f γ}_0 = u^{− κ ∗}_1 (( at ))且 ()。设。可以验证在此情况下，(( at ))且 ()。对于 C ∗ M C ∗ M = e b= 0 T 0 = e g0 h 0 h 0 g0 κ f( γ ) · Mβ = e g α h κ ∗ · Mβ = v κ ∗ · Mβ B，我们还注意到，如果，(,) κ f( γ )，那么 (,)(,) 。因此，对的模拟是完美的，对手 A将凭借其优势猜测比特 β。因此，如果 b= 0我们有
|Pr[B(I)= 0|b= 0] − 1 2| = Adv IND-sCPA A (λ).
支持访问策略更新的密文策略属性基加密 55
否则，如果 b= 1和 T0在 GT中是均匀随机的， C∗ M在 GT中是均匀随机且独立的，并且 β的值对于 A的视角也是独立的，
Pr[B(I)= 0|b= 1]= 1 2.
因此，我们在情况1中求解(n, s)‐aMSE‐DDHB问题的优势为 B
Adv(n,s)−aMSEB-DDH B (λ)= |Pr[B(I)= 0|b= 0] − Pr[B(I)= 0|b= 1]| ≥ AdvIND-sCPAwAR A (λ).

情况2 (U ∗ = ∅)。在此情况下，我们首先说明在真实游戏中挑战密文应如何生成。形式上，正确的步骤如下。
令 S′= U∗∪S。运行加密算法Enc(params A′=∧at∈S′ at t, Mβ)以得到 CT∗。更准确地说，它选择一个随机数 κ′ ∈ Zp并计算，
CT∗=(E∗ 0, C∗ 1,···, C∗ t+1, C∗ M)
=(h^{κ ′·α·∏ {at∈S1}(γ+τ(at))}, u−κ ′_1 ,…, u−κ ′ {t+1}, CM= v^{κ ′} · M).
运行撤销算法Revoke(params CT∗,U∗)以从密文 CT∗的访问策略中撤销属性集 U∗。其处理过程如下。
令 F(x)为 x中的多项式，其形式为
F(x)= \frac{1}{∏ {at′∈U ∗} τ(at′)} ∏ {at′∈U ∗} (x+ τ(at′))= f_t x^t+ f_{t−1}x^{t−1}+ ···+ f_0.
计算 C′ M= CM · e(∏ {i=1}^l C^{f_i}_i, h) = Mβ · v^{κ ′·F(γ)}。
1计算 E′ 0= E^{1 / ∏ {在 ′ ∈U} τ(在)} 0 = h^{κ ′·α·F ′ (在)(γ)·∏ {at ∈ S}(γ+τ(在))}。计算 C′ 1=∏ {i=1}^{l+1} C^{f {i-1}} i = u^{−κ ′·F (γ)}_1。
最后，真实游戏中的挑战密文生成为 CT′=(E′ 0, C′ 1, C′ M)。
现在我们假设用于生成 CT∗的随机性 κ′定义为κ′= κ / (α · F （γ）)。然后令 κ∗= κ/α，挑战密文 CT′结果如下所示，
C′ M= Mβ · v^{κ ∗},
E′ 0= h^{κ·∏ {at ∈ S} (γ+τ(at))}= h^{κ ∗·α·γ·∏_{at ∈ S} (γ+τ(at))},
C′ 1 = u^{− κ / α}_1 = u^{κ ∗}_1 .
可以看出，如果 b= 0, T0= e(g0, h0)^{κ·f(γ)}，真实游戏中的挑战密文与模拟挑战密文完全相同。若能证明该设置，则模拟游戏将是一个完美模拟。
56 江Y. 等
κ′对于 A而言与真正的随机值无法区分。由于 κ对 A是随机的，这就足够了。因此，如果 b= 0我们有
|Pr[B(I)= 0|b= 0] − 1 2| = AdvIND-sCPA A,SAR(λ).
另一方面，如果 b= 1和T0是来自 GT的随机元素，则 C∗ M在 A的视角下是随机且独立的，Pr[B(I) = 0|b= 1]= 1 2。因此，我们得到 B在情况2中求解(n, s)‐ aMSE‐DDHB问题的优势为
Adv(n,s)−aMSEB-DDH B (λ)= |Pr[B(I)= 0|b= 0] − Pr[B(I)= 0|b= 1]| ≥ AdvIND-sCPAwAR A,SAR (λ).
证明完成。

6 (n, S)‐aMSE‐DDH假设的难解性

在本节中，我们对n、 s‐aMSE-DDH问题的难解性进行分析。该难解性分析基于 [7]中通用群模型的分析。

6.1 符号说明

为简便起见，我们将问题限定在对称情况下的双线性映射群系统（G1= G2= G）。设 S=(p, G, G, GT, e(·,·))为一个双线性映射群系统。令 g ∈ G是 G的一个生成元，并设 gT= e(g, g) ∈ GT。令 s、 m为两个正整数， P、 Q ∈ Fp[X1,…, Xm]^s为两个包含定义在 Fp上的 s m‐元多项式的列表。因此， P和 Q可分别写成P=(p1,p2, . . . ,ps) 和 Q=(q1, q2, . . . , qs)，并要求满足 p1= q1= 1。对于任意函数 h: Fp → Ω以及向量(x1, . . . , xm) ∈ F^m_p，记号 h(P(x1, . . . , xm))表示(h(p1(x1, . . . , xm)), . . . , h(ps(x1, . . . , xm))) ∈ Ω^s。我们对 s‐元组 Q使用类似的符号表示。令 f ∈ Fp[X1,…, Xm]。当存在线性分解f= ∑ {1≤i,j≤s} a {i,j} · p_i · p_j+∑ {1≤i≤s} b_i · q_i，其中a {i,j}, b_i ∈ Z_p时，称 f依赖于(P, Q)，我们将其记作 f ∈ 〈P, Q〉。设 P, Q如上所述，并令 f ∈ F_p[X1,…, Xm]。(P, Q, f)‐广义Diffie‐Hellman指数问题定义如下。

定义2 ((P, Q, f)‐广义Diffie‐Hellman指数 [4])。给定元组
H(x1,…, xm)=(g^{P(x1,…,x m)}, g^{Q(x1,…,x m)}_T ) ∈ G^s × G^s_T,
计算 g^{f(x1,…,x m)}。

定义 3 ((P, Q, f)‐广义动态Diffie‐Hellman指数)。给定如上所述的 H(x1, …, xm) ∈ G^s× G^s_T ，以及 T ∈ GT，判定是否 T= g^{f(x1 ,…,x m)}。
我们参考[4]以证明在 f ∈ 〈P, Q〉条件下，(P, Q, f)‐GDHE 和 (P, Q, f)‐ GDDHE 具有通用安全性。我们将通过首先列出安全证明中涉及的多项式 P、 Q和 f，然后证明 f ∈ 〈P, Q〉，从而证明我们的构造是安全的。

密文策略属性基加密支持访问57

6.2 (n, S)‐aMSE‐DDH

在本节中，我们证明了区分（n, s）‐aMSE-DDHA问题中涉及的两个分布的难解性（参见第1节，第3.2节推论）。对于（n, s）‐aMSE-DDHB问题的难解性的证明（参见第2节，第3.2节推论）与推论1的证明类似，因此我们省略该证明。

证明（推论1的证明） 为了完成推论1，我们需要说明(n, s)-aMSE-DDHA问题符合[4]中定理A.2的框架。如上所述，我们考虑最弱情况下的问题 G1= G2= G 并设定 g0= g, h0= g^β。我们的问题可重新表述为(P, Q, F)-GDDHE其中
P=
⎛
⎜⎜⎜⎜⎜⎜⎜⎜⎜⎜⎝
1, γ,…, γ^{n−2},
κ · γ · f(γ),
α, α · γ,…, α · γ^{n−s+1},
ω′ · γ, ω · γ^2,…, ωγ^{n−1},
β, β · γ,…, β · γ^{s−2},
βκ · g(γ), βκ · γ · g(γ),…, βκ · γ^{n−s} · g(γ),
βα, βα · γ,…, β · α · γ^n
βω, βω · γ,…, βω · γ^n,
⎞
⎟⎟⎟⎟⎟⎟⎟⎟⎟⎟⎠
Q=(1)
F= βκ · f(γ).
我们需要证明 F相对于〈P, Q〉的独立性。通过将 P中两个多项式的所有可能乘积且为 βκ的倍数的情况列出，我们希望证明从下面列表 R中任意多项式的和均不会得到 F：
R=
⎧
⎪⎪⎪⎪⎪⎨
⎪⎪⎪⎪⎪⎩
βκ · γ · A(γ)f(γ)
βκ · B(γ)g(γ)
βκ · γ · B(γ)g(γ)
…
βκ · γ^{s−2} · B(γ)g(γ)
其中 A、 B是 γ中的多项式。
在简化列表 R后可以看出，如果 F不独立于〈P, Q〉，则可以从以下列表推导出 γ· f(γ)： R′={γ · A B′ γ(γ)f(γ) ( )g(γ) 其中 A, B′是 γ中具有 0 ≤ deg A ≤ s− 2, 0 ≤度 B ′ ≤ n+ s−4.
因此，我们得到以下方程：
f(γ)= γ · A(γ)f(γ)+ B′(γ)g(γ)
可以重写为 (1 − γ · A(γ))f(γ) = B′(γ)g(γ)，其中 1 −γ · A(γ) = 0，deg B1( γ) ≤ n+ s − 4。由于 f 和 g 互素，我们必须有 g(γ)|(1 − γ · A(γ))。然而，deg (1 −γ · A(γ)) < deg g(γ) 将导致 1 −γ · A(γ) = 0，这与事实 1 −γ · A(γ) = 0 相矛盾。
58 江Y.等人。

7 结论

本文研究了基于属性的加密方案中访问策略更新的问题，该问题使得基于属性的加密方案更具实用性。当一个基于属性的加密方案缺乏高效的访问策略更新机制时，由于策略更新是动态环境中必不可少的功能，因此该方案无法实际应用。我们概述了一些简单的解决方案，包括使用基于属性的代理重加密系统，并指出了访问策略更新与密文重加密之间的区别，从而突显出构建一种通用的高效访问策略更新机制的重要性。我们提出了支持属性添加和撤销的密文策略基于属性的加密概念，并相应地设计了两个新的CP‐ABE方案，分别具备属性添加和属性撤销的功能。此外，我们还为具有这些新特性的CP‐ABE提出了一种新的选择性CPA模型。最后，我们证明了所提方案的安全性。所提出的方案在增强型多序列指数判定性Diffie‐Hellman（aMSE-DDH）问题难解的假设下，被证明在选择性CPA模型下是安全的。aMSE-DDH问题的难解性是在通用群模型下，基于广义Diffie‐Hellman指数问题框架内得到证明的，见于[4]。如何构造一个集成高效访问策略更新机制、支持表达力更强的访问策略，并能在更一般的计算假设下证明安全性的方案，仍然是一个开放问题。