CP-ABE方案形式化定义及安全模型总结

形式化定义

基本的形式化定义包含4个基本的多项式算法.
(1) 系统初始化:
Setup($\lambda$) → {PK, MSK}
输入安全参数$\lambda$, 输出系统公钥PK和系统主私钥MSK.

(2) 私钥生成:
KeyGen(PK, MSK, S) → SK
输入公钥PK, 主私钥MSK, 属性集合S, 用户密钥SK.

(3) 数据加密:
Encrypt(PK, $\mathbb{A}$, M) → CT
输入系统公钥PK , 访问结构$\mathbb{A}$, 明文M, 输出密文CT.

(4) 数据解密:
Decrypt(PK, CT, SK) → M
输入公钥PK, 密文CT, 用户私钥SK, 输出明文M. 否则解密失败.

安全模型

基本的CP-ABE方案安全性基于挑战者和攻击者之间的博弈过程进行证明. 过程概括为
(1) 系统初始化: 攻击者$\mathcal{A}$选择一个挑战访问结构${\mathbb{A}}^{\ast }$发送给挑战者$\mathcal{B}$. (目的是攻击所选择的挑战访问结构, 尝试通过非对应的私钥询问解密挑战结构的密文.

(2) 参数设置阶段: 挑战者$\mathcal{B}$运行Setup算法, 得到PK, MSK, 将PK发送给$\mathcal{A}$, 然后保留MSK.

(3) 密钥查询阶段 1: 攻击者$\mathcal{A}$查询一系列与属性集合$S_1,S_2,...,S_{q^{\prime }}$有关的密钥, 即$\mathcal{A}$发送属性集合给$\mathcal{B}$, 然后$\mathcal{B}$返回对应私钥给$\mathcal{A}$. 但要求所有的私钥查询都不能满足挑战访问结构${\mathbb{A}}^{\ast }$.

(4) 挑战阶段: $\mathcal{A}$提交两个等长消息$M_0^{\ast },M_1^{\ast }$给$\mathcal{B}$, $\mathcal{B}$随机选择 β ∈ { 0 , 1 } \beta \in \{0, 1\} β∈{0,1}, 加密$M_{\beta }^{\ast }$得到挑战密文$C{T}_b^{\ast }$, 然后发送给$\mathcal{A}$.(即不可区分性安全目标

(5) 密钥查询阶段 2: 类似密钥查询阶段 1, 攻击者$\mathcal{A}$再查询另一系列与属性集合$S_{q^{\prime }+1},S_{q^{\prime }+2},...,S_q$有关的密钥, 即$\mathcal{A}$发送属性集合给$\mathcal{B}$, 然后$\mathcal{B}$返回对应私钥给$\mathcal{A}$. 但要求所有的私钥查询都不能满足挑战访问结构${\mathbb{A}}^{\ast }$.

(6) 猜测阶段: 攻击者$\mathcal{A}$输出 β ′ ∈ { 0 , 1 } \beta' \in \{0, 1\} β′∈{0,1}, 如果${\beta }^{\prime }=\beta$, 称$\mathcal{A}$赢得游戏. $\mathcal{A}$在游戏中的优势为
$$Ad{v}_{\mathcal{A}}=|Pr[{\beta }^{\prime }=\beta ]-\frac{1}{2}|$$

定义
如果没有多项式时间内的攻击者$\mathcal{A}$以不可忽略的优势攻破上述安全模型, 则称基本CP-ABE方案是安全的.