智慧医疗中具有策略完全隐藏的属性基加密方案

郭丽峰; 徐卓恒; 刘华

doi:10.13451/j.sxu.ns.2024029

山西大学学报(自然科学版) ›› 2025, Vol. 48 ›› Issue (05) : 933 -945. DOI: 10.13451/j.sxu.ns.2024029

信息科学

智慧医疗中具有策略完全隐藏的属性基加密方案

郭丽峰 ¹ ,
徐卓恒 ¹ ,
刘华 ²

作者信息 +

Attribute-based Encryption Scheme with Policies Fully Hidden in Smart Health

Author information +

文章历史 +

PDF (1914K)

摘要

随着物联网和云计算技术的快速发展，智慧医疗的医疗质量已经得到显著提高，但是医疗系统仍然存在数据安全和用户隐私泄露问题。基于密文策略的属性加密（Ciphertext-Policy Attribute Based Encryption， CP-ABE）被认为是目前最有效的解决方案之一。然而在大多数的CP-ABE方案中攻击者可以从访问策略中获取用户隐私信息，而且由于解密密钥仅与属性相关联，与用户身份无关，所以当密钥泄露时无法准确确认用户的身份。针对上述问题，本文提出了一种策略完全隐藏的可追踪可撤销的CP-ABE方案，使用隐匿集合求交（Private Set Intersection， PSI）技术隐藏策略中的属性值和属性名称，采用与用户相关联的二叉树来追踪和撤销用户。为了提高该方案在加解密阶段的速度，引入离线/在线加密和外包解密技术。最后基于q-BDHE（q-Bilinear Diffie-Hellman Exponent）假设，证明了该方案的安全性，实验结果表明该方案加密和解密算法花费时间呈常量级，相比其他方案，效率有显著提升。

Abstract

With the rapid development of the Internet of Things and cloud computing technologies, the quality of healthcare in smart health has been significantly improved, but the healthcare system still has the problems of data security and user privacy leakage. Ciphertext-Policy Attribute Based Encryption (CP-ABE) is considered to be one of the most effective solutions at present. However, in most CP-ABE schemes attackers can obtain user privacy information from access policies. Since the decryption key is only associated with attributes and not with the user's identity, it is impossible to accurately confirm the user's identity when the key is leaked. To resolve the above problems, this paper proposes a traceable and revocable CP-ABE scheme with policies fully hidden by using Private Set Intersection (PSI) technology to hide the attribute values and attribute names in the policy. Furthermore, this paper adopts binary tree associated with information to track and revoke users. In order to enhance the speed of the scheme in the encryption and decryption phases, this paper introduces the skill of offline/online encryption and outsourced decryption techniques. Finally, based on the q-BDHE assumption, the security of the scheme is proved. The experiment results show that the encryption and decryption algorithms of this scheme take a constant amount of time, which is a significant improvement in efficiency compared to other schemes.

Graphical abstract

关键词

策略完全隐藏 / 隐匿集合求交 / 可追踪 / 可撤销 / 在线/离线加密 / 外包解密

Key words

policy fully hidden / private set intersection / traceability / revocation / online/offline encryption / outsourced decryption

引用本文

引用格式 ▾

[Author(id=1223260500247573460, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, orderNo=0, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=lfguo@sxu.edu.cn, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1223260500528591849, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, authorId=1223260500247573460, language=EN, stringName=Lifeng GUO, firstName=Lifeng, middleName=null, lastName=GUO, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=¹, address=^1.School of Computer and Information Technology, Shanxi University, Taiyuan 030006, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1223260500805415925, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, authorId=1223260500247573460, language=CN, stringName=郭丽峰, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=¹, address=^1.山西大学计算机与信息技术学院，山西太原 030006, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1223260499563901859, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, xref=1., ext=[AuthorCompanyExt(id=1223260499576484773, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, companyId=1223260499563901859, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^1.School of Computer and Information Technology, Shanxi University, Taiyuan 030006, China), AuthorCompanyExt(id=1223260499593261991, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, companyId=1223260499563901859, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^1.山西大学计算机与信息技术学院，山西太原 030006)])]), Author(id=1223260501119987717, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, orderNo=1, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1223260501438754842, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, authorId=1223260501119987717, language=EN, stringName=Zhuoheng XU, firstName=Zhuoheng, middleName=null, lastName=XU, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=¹, address=^1.School of Computer and Information Technology, Shanxi University, Taiyuan 030006, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1223260501682024487, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, authorId=1223260501119987717, language=CN, stringName=徐卓恒, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=¹, address=^1.山西大学计算机与信息技术学院，山西太原 030006, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1223260499563901859, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, xref=1., ext=[AuthorCompanyExt(id=1223260499576484773, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, companyId=1223260499563901859, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^1.School of Computer and Information Technology, Shanxi University, Taiyuan 030006, China), AuthorCompanyExt(id=1223260499593261991, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, companyId=1223260499563901859, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^1.山西大学计算机与信息技术学院，山西太原 030006)])]), Author(id=1223260502114037818, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, orderNo=2, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1223260502378278982, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, authorId=1223260502114037818, language=EN, stringName=Hua LIU, firstName=Hua, middleName=null, lastName=LIU, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=², address=^2.Shanxi Yinfumeixun Technology Co. , Ltd. , Changzhi 047500, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1223260502697046105, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, authorId=1223260502114037818, language=CN, stringName=刘华, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=², address=^2.山西因弗美讯科技有限公司，山西长治 047500, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1223260499794588600, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, xref=2., ext=[AuthorCompanyExt(id=1223260499811365818, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, companyId=1223260499794588600, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^2.Shanxi Yinfumeixun Technology Co. , Ltd. , Changzhi 047500, China), AuthorCompanyExt(id=1223260499828143035, tenantId=1045748351789510663, journalId=1155139928303341656, articleId=1190600879641227277, companyId=1223260499794588600, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=^2.山西因弗美讯科技有限公司，山西长治 047500)])])] 郭丽峰,徐卓恒,刘华. 智慧医疗中具有策略完全隐藏的属性基加密方案[J]. 山西大学学报(自然科学版), 2025, 48(05): 933-945 DOI:10.13451/j.sxu.ns.2024029

登录浏览全文

4963

注册一个新账户忘记密码

0 引言

智慧医疗是一个新兴领域，它将人工智能与数据科学相结合，以科学的方式将数据转化为知识，并应用于医疗和精准健康领域，以改善人们的健康和福祉。随着物联网和云计算技术的快速发展^［1］，基于云计算的智慧医疗有望提供理想的健康服务，但是在实际应用中仍有许多问题需要解决^［2］，特别是数据安全和用户隐私泄露。例如病人希望自己的电子健康记录只能由授权的专业医疗人员访问，如果使用传统的访问控制技术，要么会违反数据安全，要么只允许粗粒度的访问策略。

在密码学领域中，基于属性的加密^［3］（Attribute-Based Encryption， ABE）被视为实现细粒度访问控制的重要工具。这种加密方法主要分为密文策略的属性基加密^［4］和密钥策略的属性基加密^［5］两大类。在属性加密方案中由于访问策略与密文一起存储在云服务器中，因此任何能检索到密文的人都可以使用相关访问策略，但是访问策略中可能包含敏感信息。例如访问策略“Neurology AND （Doctor OR Nurses）”通过医疗记录可以看出患者有神经系统疾病。对于部分策略隐藏，例如访问策略“（PN：* OR Doctor：*）AND （Hospital：*）”，攻击者仍然可以看出数据和健康相关。因此具有策略完全隐藏的CP-ABE方案具有重要的研究意义。

由于解密密钥与属性紧密相关，所以发生密钥泄露事件时无法确认泄露源。例如，Alice和Bob他们共同拥有属性“Neuropathy AND Nurses”，二者均可以访问“Neurology AND （Doctor OR Nurses）”密钥加密的病历，如果解密密钥泄露，无法确切地判断是Alice还是Bob成了泄露源。为解决解密密钥泄漏和追踪恶意用户的问题，ABE系统对基于可追踪性的撤销机制提出了很高的要求。

针对访问策略会泄露用户敏感信息的问题，Nishide等^［6］第一次提出访问策略隐藏的概念，但是该方案计算开销较大。Zhang等^［7］提出的方案通过解密测试实现了解密前访问权限的验证，但其在权限验证阶段存在隐私泄露。Yang等^［8］利用bloom filter实现了一种具有全隐藏LSSS（Linear Secret Sharing Scheme）访问控制的CP-ABE方案，但其bloom filter有出现假阳性的概率。Zhang等^［9］利用隐藏向量加密技术（Hidden Vector Encryption，HVE）实现了完全策略隐藏的CP-ABE方案，同时提供可信验证和解密正确性的验证。Yang等^［10］基于PSI实现了大宇宙策略完全隐藏的CP-ABE方案，并使用外包可验证技术来提高解密速度，但其不支持身份的追踪和恶意用户撤销。Xue等^［11］提出一种具有可追踪可撤销的完全隐藏策略方案，结合LSSS和HVE实现全隐藏策略。Luo等^［12］提出一种基于ROBDD（Reduced Ordered Binary Decision Diagram）访问控制的CP-ABE方案，该结构具有更灵活的表达能力，利用Path Bloom Filter隐藏访问策略，降低解密成本，加快解密速度。

为了追踪恶意用户，Liu等^［13］提出了一种基于属性的白盒可跟踪CP-ABE方案。Ning等提出了一种支持灵活属性的白盒可跟踪CP-ABE方案^［14］和一种基于白盒的大宇宙CP-ABE方案^［15］，可以支持对恶意用户的追踪。Ning等^［16］还设计了一种白盒可追踪的CP-ABE方案，能够有效地追踪恶意泄露解密密钥的用户。

尽管一些ABE方案支持可追踪机制，但是追踪后用户不能被撤销。Liu等^［17］提出了一种先追踪后撤销的CP-ABE方案，但是它无法抵抗反串通攻击。Wang等^［18］提出的CP-ABE方案利用与用户信息相关的二叉树实现属性撤销和用户跟踪。Lian等^［19］提出了一种完全安全的追踪可撤销存储ABE方案，该方案只需要在撤销后更新部分密钥。Han等^［20］提出了一种策略部分隐藏的可撤销可追踪的CP-ABE方案，但是该方案不支持外包解密。文献［21-24］中提出了一种可以支持外包解密的CP-ABE方案，将大部分的解密工作交给云服务器，在本地用户只需要少量计算即可解密。文献［25-26］中提出了一种基于在线/离线技术的CP-ABE方案，在离线阶段进行复杂的加密计算，在线阶段只需要进行轻量级处理，提升了加密速度。

综合上述分析，以上方案都只从某一方面进行解决问题，因此本文提出了一种策略完全隐藏的可撤销可追踪的属性基加密方案，实现了隐藏策略、在线/离线加密、外包解密、可追溯性和可撤销性的全部功能。本文主要贡献如下：

（1）本文通过引入隐匿集合求交（PSI）技术实现完全隐藏访问策略，且方案是在大范围下实现。

（2）本方案提供了一种有效的方法来计算密钥和密文之间的映射，通过设计标签向量来定位最小授权集的属性在用户属性集中的确切位置，以便正确解密。

（3）引入一种白盒追踪方法，解密密钥可被验证格式正确与否，从而可有效地追踪恶意用户，该方法无须存储用户标识列表，可以直接输出用户标识。

（4）引入一种基于二叉树的撤销方法，该结构可以在不更新用户私钥的情况下实现用户撤销。

（5）为了提高效率，本文使用离线/在线加密技术和外包解密技术实现轻量级处理。

1 预备知识

1.1　双线性映射

G

和

G T

是两个乘法循环群，

g

是

G

的生成元，双线性映射^［3］

e : G × G → G T

有以下性质：

（1）对于

∀ a, b ∈ Z p

，有

e (g a, g b) = e (g, g) a b

；

（2）

e (g, g) ≠ 1

；

（3）存在多项式时间算法能够计算

e (g, g)

。

1.2　线性秘密共享

M

是一个

l × n

的矩阵，

ρ

是一个单射函数。有以下两个算法^［4］：

（1）秘密值分享：

M

共享秘密值

s ∈ Z p

，设向量

v = {s, v 2, v 3, ⋯, v n} T

，其中

v 2, v 3, ⋯, v n ∈ Z p

。在该算法中，

λ i = M i ⋅ v

表示属性名索引

ρ (i)

所持有的共享秘密值。

（2）秘密值重构：

S ∈ A

是一个授权集合，其中

I ⊂ {1,2, ⋯, l}

定义为

I = {i | ρ (i) ∈ S}

，存在一组常数

{ω i ∈ Z p} i ∈ I

，使

∑ i ∈ I ω i M i = (1,0, ⋯, 0)

，因此有

∑ i ∈ I ω i λ i = s

。

1.3　二叉树

设

| U |

是系统中的用户数，

R

是撤销列表。密钥加密密钥树（Key-Encryption-Key， KEK）^［18］

T

描述为：

（1）

p a t h (i)

是根结点到节点

i

的路径集合；

（2）最小覆盖集

c o v e r (R)

是覆盖

R

中未列出的所有用户的最小节点集；

（3）根据

c o v e r (R) ⋂ p a t h (u)

，一个不在

R

中的用户

u

，只有一个节点

j = c o v e r (R) ⋂ p a t h (u)

。

如图1所示的密钥加密密钥树T，

R = {u 3, u 5} = {9,11}

，则

c o v e r (R) = {3,10,12,6}

。

u 7

的路径：

p a t h (u 7) = {0,2, 6,13}

。因此唯一节点

j = c o v e r (R) ⋂ p a t h (u 7) = {6}

，利用二叉树的特征来实现撤销。

1.4　隐匿集合求交

P S I

^［10］指双方在不泄露任何信息的情况下，一方拥有数据集

A

，另一方拥有数据集

B

，它们可以通过交集来获取两个数据集的共同部分，即

A ⋂ B

。

A

方从

B

方获得的信息仅为

A

和

B

的交集，同理

B

方从

A

方获得的信息仅为

A

和

B

的交集。

1.5　困难问题假设

定义1 q-BDHE（q-Bilinear Diffie-Hellman Exponent）困难假设^［18］是指在任意多项式时间内算法都无法以不可忽略的优势

ε

将

e (g, g) α q + 1 ⋅ s

和

G T

中的一个随机的元素区分开来。

2 系统模型和算法定义

2.1　系统模型

系统模型如图2所示，由5个实体组成，每个实体负责的任务如下：

（1）授权中心（Central Authority，CA）：CA是完全可信的，它负责生成主密钥和公开参数，为用户生成解密密钥

S K

。此外，CA维护一个撤销列表

R

，并执行密钥检测算法来跟踪恶意用户。同时将更新密钥

X'

由CA发送到云端，实现可追溯和撤销。

（2）数据拥有者（Data Owner，DO）：通常为病人。DO指定访问策略，并根据访问策略对消息进行加密。

（3）数据用户（Data User，DU）：通常是医生。如果DU的属性满足访问策略，则能解密密文

C T

，获得明文消息。

（4）云服务器（Cloud Server，CS）：假设CS是半可信的，它负责存储密文并使用更新的密钥

S K'

来更新密文，实现恶意用户在系统中的撤销。

（5）云代理服务器（Cloud Proxy Server，CPS）：CPS为用户实现解密部分密文

C T'

，并将中间结果

M D

返回给解密用户。

2.2　算法定义

基于策略完全隐藏的可追踪可撤销的属性基加密方案由以下算法组成：

（1）

S e t u p (1 λ, T) → (p p, m s k)

：权威中心执行该算法，输入KEK树

T

和参数

λ

，输出公开参数

p p

和主密钥

m s k

，CA保留撤销列表

R

。

（2）

K e y G e n (p p, m s k, u, S) → S K

：权威中心执行该算法，输入

p p

、身份

u

、属性集

S

和主

m s k

，输出解密密钥

S K

，并将其发送给用户。其中

S K

由解密密钥

D K

和转换密钥

T K

组成。

（3）

E n c . O f f (p p) → I T

：数据所有者执行该算法，输入公开参数

p p

，输出中间密文

I T

。

（4）

E n c . O n (m, p p, (M, ρ), I T, R) → C T

：数据所有者执行该算法，输入

p p

、消息

m

、访问策略

(M, ρ)

、中间密文

I T

和撤销列表

R

，输出密文

C T

。

（5）

P o l i c y H i d e (p p, p o l i c y) → (C P, L, V)

：数据所有者执行该算法，输入公开参数

p p

、访问策略

p o l i c y

。输出密文策略

C P

、标签矩阵

L

和标签向量

V

。

（6）

D e c T e s t (p p, S, C P, L, V, S') → (T r u e / F a l s e, M a p)

：数据用户执行该算法，输入公开参数

p p

、属性集

S

、密文策略

C P

以及一些标签。通过计算用户属性集与策略的每个最小授权集之间的交集来确定授权关系。当用户的属性集包含它们的交集，该用户获得授权，如果用户的属性集不包含它们的交集，则用户是未授权的。当

S

是一个授权集时，输出True和密钥与密文之间的映射，否则输出False，算法终止。

（7）

D e c O u t (T K, C T, M a p, C P) → C T o u t

：云代理服务器执行该算法，输入转换密钥

T K

、密文

C T

、映射关系

M a p

和密文策略

C P

，输出部分密文

C T o u t

，并发送给DU。

（8）

D e c (p p, C T o u t, D K) → m

：数据用户执行该算法，以公共参数

p p

、密文

C T o u t

和解密密钥

D K

作为输入，输出消息

m

。

（9）

K e y S a n i t y C h e c k (p p, m s k, S K) → 0 / 1

：权威中心执行该算法，输入

p p

和

S K

，然后算法检查是否需要跟踪解密密钥

S K

，如果通过密钥检查，算法输出1，否则输出0。

（10）

T r a c e (p p, S K, R) → u / ⊥

：权威中心执行该算法，输入

p p

、

S K

和

R

。如果

S K

通过

K e y S a n i t y C h e c k

，则输出

u

并更新撤销列表

R' = R ∪ {u}

，否则算法终止，输出

⊥

。

（11）

C T U p d a t e (C T, R', X') → C T'

：云服务器执行该算法，输入

C T

、

R'

和密钥

X'

，输出更新密文

C T'

并保存到云端。

2.3　策略隐藏安全模型定义

策略隐藏的安全模型^［10］：在策略隐藏方案中，有

A

和

B

两方，

A

希望隐藏访问策略中的属性，

A

的属性集为

S p

，

B

的属性集为

S

。

B

计算授权和匹配关系。

S p

和

S

之间的授权通过计算任意最小授权集与

S

之间的交集来判断，如果交集包含在

S

中，说明是授权集合。在求交中，双方在不暴露属性情况下计算授权。

设

P

表示一个策略隐藏方案，

f (x, y)

是一个用来计算

x

和

y

之间包含关系的函数。如果

x

包含

y

，则输出True，否则输出False。设

X

是

S p

的最小授权集之一，设

Y

是仅包含

S

的一个元素集合，当且仅当存在

X

，使

f (S, X)

为True时，

S

是

S p

的授权集。如果使

f (X, Y)

为True，并且

Y

的数量不小于

X

，则

f (X, S)

将为True。对于

∀ i ∈ A

，

f i (X, Y)

表示参与者

i

的计算，

v i e w i (X, Y)

表示

i

的视图，

o p i (X, Y)

表示

i

的输出。

P

秘密计算

f (S, X)

相当于秘密计算

f (X, Y)

。

定义2 如果存在PPT模拟器

S 1

和

S 2

，

P

秘密计算交集，使以下两个方程同时成立：

{(S 1 (x, f A (x, y)), f B (x, y))} = {(v i e w A (x, y), o p B (x, y))}

，（1）

{(f A (x, y)), S 2 (y, f B (x, y))} = {(o p A (x, y)), v i e w B (x, y)}

，（2）

（其中=是不可区分的）。

2.4　选择安全模型定义

Init：攻击者

A

选定挑战访问策略

(M *, ρ *)

和撤销列表

R *

之后将其发送给挑战者

B

。

Setup：

B

运行

S e t u p

算法，将

p p

发给

A

并保留主密钥

m s k

。

Phase 1：

A

向

B

发起关于属性集

(u 1, S 1) (u 2, S 2) ⋯ (u q, S q)

的密钥的询问。

1）如果属性集

S

是一个授权集并且用户

u ∉ R *

，游戏终止。

2）如果属性集

S

不是一个授权集并且用户

u ∈ R *

，挑战者

B

运行

K e y G e n

算法生成密钥

{S K u, S i, u i} i ∈ [1, q]

发给攻击者

A

。

Challenge：

A

向

B

提交两个等长的消息

m 0

和

m 1

。

B

随机选取

m b

，其中

b ∈ {0,1}

。然后

B

运行

E n c . o n (m, p p, (M *, ρ *), I T, R *)

生成密文

C T

，并将其发送给

A

。

Phase 2：同Phase 1，

A

继续向

B

询问私钥。

Guess：

A

输出值

b' ∈ {0,1}

，如果

b' = b

，则称

A

赢得该游戏。攻击者

A

在该游戏的优势定义为

ε = | P r [b = b'] - 1 / 2 |

。

定义3 如果攻击者无法在多项式时间内以不可忽略的优势

ε

攻破上述安全游戏，则称本文提出的CP-ABE方案是选择明文安全的。

3 方案构造

（1）

S e t u p (1 λ) → (p p, m s k)

。CA选取随机数

α ∈ Z p

，

h, u, v, w ∈ G

，关于

T

中每个节点，随机选取

{x i} i = 0 2 | U | - 2 ∈ Z p

并计算

{y i = g x i} i = 0 2 | U | - 2

，公共参数

p p

和主密钥

m s k

如下：

p p = (g, e (g, g) α, h, u, v, w)

m s k = (α, g α)

。

（2）

K e y G e n (p p, m s k, S) → S K

。CA选取随机数

z ∈ Z p

，选取

k + 1

个随机数

(r, r 1, r 2, ⋯, r k) ∈ Z p

。假设

p a t h (i d) = {i 0, ⋯, i d}

，其中

i 0 = r o o t

，

i d

是与用户

u

相关联的二叉树叶子节点的值，计算与用户

u

4 安全性证明

定理1 如果

q ⁃ B D H E

假设成立，则在选择明文攻击的条件下，任何攻击者都无法在多项式时间内以不可忽略的优势攻破本文方案。

证明如果攻击者

A

在

q

次询问后，能够以不可忽略的优势

ε

攻破本文方案，那么我们可以构造一个挑战者

B

，该挑战者

B

能够以不可忽略的优势

ε / 2

攻破该假设。

Init：攻击者

A

将要挑战的策略

(M *, ρ *)

和撤销列表

R *

发送给挑战者

B

。

Setup：

B

必须向

A

提供系统的公共参数。为了做到这一点，

B

隐式地将方案的主密钥设置为

α = a q + 1 + α ˜

，挑战者

B

随机选取

α ˜ ∈ Z p

，其中

a

，

q

是在假设中设置，

α

为正确分布，

a

是理论上对

A

隐藏的信息。然后

B

选择随机指数

u ˜, v ˜, h ˜ ∈ Z p

，使用假设给

A

提供以下公共参数：

g = g, w = g a

，

v = g v ˜ ⋅ ∏ (j, k ∈ [l, n]) (g a k b j) M j, k *, u = g u ˜ ⋅ ∏ (j, k ∈ [l, n]) (g a k b j 2) M j, k *

，

h = g h ˜ ⋅ ∏ (j, k ∈ [l, n]) (g a k b j) - ρ * (j) M j, k * e (g, g) α = e (g a, g a q) ⋅ e (g, g) α ˜

。

Phase１：攻击者

A

向挑战者

B

发起属性集

(u 1, S 1) (u 2, S 2) ⋯ (u q, S q)

的密钥询问。

如果

S

不满足访问策略并且

u ∈ R *

，

A

随机选取向量

w = {w 1, w 2, w 3, ⋯, w n} T ∈ Z p

，其中

w 1 = - 1

和

M i * ⋅ w = 0

。对于所有的

i ∈ I = {i | ρ (i) ∈ S}

，随机选取

r ˜, z ∈ Z p

，隐式定义如下：

r = r ˜ + w 1 a q + w 2 a q - 1 + ⋯ + w n a q + 1 - n = r ˜ + ∑ i ∈ [n] w i a q + 1 - i,

K 0 = g α z g r w r = g α ˜ z (g a) r ˜ ∏ i = 2 n (g a q + 1 - i z) w i g r ˜ ∏ i = 2 n (g a q + 1 - i) w i

L = g r = g r ˜ ∏ i ∈ [n] (g a q + 1 - i) w i

。

假设

p a t h (i d) = {i 0, ⋯, i d}

，因为

u ∈ R *

，所以

i d ∈ I R *, x i d = v i d + d i d

。

接下来，

B

计算

K u = (g t ∏ i = 1 n * g w i d q + 1 - i) 1 (v i d + d i d) ⋅ (a + c) = g r x i d

。

此外，对于所有

i ∈ [| S |]

，计算

K 1, i = g r i

和

K 2, i = (u A i h) r i v - r

。

v - r = v - r ˜ (g v ˜ ∏ (j, k ∈ [l, n]) g a k M j, k * / b j) - ∑ w i a q + 1 - i = v - r ˜ ∏ i ∈ [n] (g a q + 1 - i) - v ˜ w i ⋅ ∏ (i, j, k ∈ [n, l, n]) (g a q + 1 - i / b j) - w i M j, k * ⏟ Δ ⋅ ∏ (i, j) ∈ [n, l] g - w i M j, k * a q + 1 / b j = Δ ⋅ ∏ j ∈ [l] g - < w ⃗, M j * > a q + 1 / b j = Δ ⋅ ∏ j ∈ [l] ρ * (j) ∉ S g - < w ⃗, M j * > a q + 1 / b j 。

计算

(u A i h) r i

，对于每个属性

A i ∈ S

进行隐式定义：

r i = r ˜ i + r ⋅ ∑ i' ∈ [l] ρ * (i') ∉ S b i' A i - ρ * (i') = r ˜ i + r ⋅ ∑ i' ∈ [l] ρ * (i') ∉ S b i' A i - ρ * (i') + ∑ (i, i') ∈ [n, l] ρ * (i') ∉ S w i b i' a q + 1 - i A i - ρ * (i')

。

计算

K 2, i = (u A i h) r i v - r

。

(u A i h) r i = (u A i h) r ˜ i ⋅ (g u ˜ A i + h ˜ ∏ (j, k) ∈ [l, n] g (A i - ρ * (j)) M j, k * a k / b j 2) r ˜ ⋅ ∑ i' ∈ [l] ρ * (i') ∉ S b i' A i - ρ * (i') ⋅ (g u ˜ A i + h ˜ ∏ (j, k) ∈ [l, n] g (A i - ρ * (j)) M j, k * a k / b j 2) ∑ (i, i') ∈ [n, l] ρ * (i') ∉ S w i b i' a q + 1 - i A i - ρ * (i') = Ψ ⋅ ∏ (i, j) ∈ [n, l] ρ * (j) ∉ S g (A i - ρ * (j)) w i M j, k * b i' a q + 1 - i + k / (A i - ρ * (j)) b j 2 = Ψ ⋅ ∏ j ∈ [l] ρ * (j) ∉ S g < w ⃗, M j * > a q + 1 / b j,

其中

Ψ = (u A i h) r ˜ i ⋅ (K i, 1 / g r ˜ i) u ˜ A i + h ˜ ⋅ ∏ (i', j, k ∈ [l, l, n]) ρ * (i') ∉ S (g b i' a k / b j 2) r ˜ (A i - ρ * (j)) M j, k * / (A i - ρ * (i')) ⋅ ∏ (i, i', j, k ∈ [n, l, l, n]) ρ * (i') ∉ S (g b i' a q + 1 + k - i / b j 2) (A i - ρ * (j)) w i M j, k * / (A i - ρ * (i'))

K 1, i = g r i = g r ˜ i ⋅ ∏ i' ∈ [l] ρ * (i') ∉ S (g b i') r ˜ / (A i - ρ * (i')) ⋅ ∏ (i, i') ∈ [n, l] ρ * (i') ∉ S (g b i' a q + 1 - i) w i / (A i - ρ * (i'))

。

(u A i h) r i

的第二部分恰好与

v - r

有问题的部分抵消。因此挑战者可以为所有的

A i ∈ S

计算

K 1, i

和

K 2, i

，并将密钥

s k = {K, L, K u, K 1, i, K 2, i}

发送给攻击者A。

Challenge：攻击者将输出一对相同长度的消息

(m 0, m 1)

。在此阶段，挑战者抛出随机硬币

b ∈ {0,1}

并构造

C = m b ⋅ T ⋅ e (g, g) α ˜ s

，

C 0 = g s

，其中

T

是挑战项，

g s

是假设的对应项。

挑战者设置

y = (s, s a + y ˜ 2, s a 2 + y ˜ 3, ⋯, s a n - 1 + y ˜ n) ⊥

，其中

(y ˜ 2, y ˜ 3, ⋯, y ˜ n) ∈ Z p

。由于

λ = M ⋅ y

，本文有

λ T = ∑ i ∈ [n] M T, i * s a i - 1 + ∑ i = 2 n M T, i * y ˜ i = ∑ i ∈ [n] M T, i * s a i - 1 + λ ˜ T

。

λ ˜ T = ∑ i = 2 n M T, i * y ˜ i

挑战者已知，对于每一行

T ∈ [l]

，挑战者

B

隐式设置

t T = - s b T

，利用以上，

B

可以计算出：

C 1, T = w λ T' v t T = w λ ˜ T' ⋅ ∏ i ∈ [n] g M T, i * s a i ⋅ (g s b T) - v ˜ ⋅ w λ ˜ T' ⋅ ∏ (j, k) ∈ [l, n] g - M j, k * a k s b T / b j = w λ ˜ T' ⋅ (g s b T) - v ˜ ⋅ ∏ (j, k) ∈ [l, n] j ≠ T (g s a k b T / b j) - M j, k * C 2, T = (u ρ * (T) h) - t T = (g s b T) - (u ˜ ρ * (T) + h ˜) ⋅ (∏ (j, k) ∈ [l, n] g (ρ * (T) - ρ * (j)) M j, k * a k / b j 2) - s b T = (g s b T) - (u ˜ ρ * (T) + h ˜) ⋅ ∏ (j, k) ∈ [l, n] j ≠ T (g s a k b T / b j 2) - (ρ * (T) - ρ * (j)) M j, k *, C 3, T = g t T = (g s b T) - 1 。

此外，挑战者

B

随机选取

β T, ε T ∈ Z p

，挑战者

B

计算：

C 4, T = β T, C 5, T = ε T 。

∀ j ∈ c o v e r (R *)

，有

x j = v j + d q

和

y j = g v j + d q

，然后

B

计算出

T j = (g s) v j + d q = y j s

。

注意，通过使用

t T = - s b T

，与

w λ T'

的未知次幂相抵消。因此挑战者

B

将密文

C T = (C, C 0, {C 1, i, C 2, i, C 3, i, C 4, i, C 5, i} i ∈ [l], {T j} j ∈ c o v e r (R)})

交给攻击者

A

。

Phase2：与查询阶段１相同。

Guess：攻击者为挑战位输出一个猜测

b'

。如果

b' = b

，挑战者

B

输出0，即它声称挑战项是

T = e (g, g) s a q + 1

，否则输出1。

如果

T = e (g, g) s a q + 1

，则

A

进行了安全游戏，即可计算

C = m b ⋅ T ⋅ e (g, g) α ˜ s = m b ⋅ e (g, g) α s

。如果攻击者

A

以不可忽略的优势攻破了方案，那么挑战者

B

就能以不可忽略的优势攻破

q

B D H E

假设。因此证明了定理1。

定理2 对于任何PPT敌手来说，本文方案的PolicyHide算法是安全的。

证明通过构造一个满足方程1和2的模拟器来证明该定理。在此场景中，DO为

A

，DU为

B

。

A

在模拟器中计算相关参数，

B

得到最终结果，在这个场景中不会出现公式2。在交集中有如下两种情况：假设构建了模拟器

S 1

，

f A (x, y) = f B (x, y) = (Y ⊂ X)

，并让

(X, f A (X, Y))

作为输入：

f A (X, Y) = f B (X, Y) = (Y ⊂ X), f A (X, Y) = f B (X, Y) = (Y ⊄ X)

。

（1）

S 1

取

(X, Y ⊂ X)

作为输入。首先它随机选择持有

f A (X, Y) = f A (X, Y ¯)

的集合

Y ¯ = y ¯ 1, y ¯ 2, ⋯, y ¯ m

。然后

S 1

为

X

传导多项式

f (x)

，其中

A = (a 0, a 1, ⋯, a n)

为

f

的系数集。

（2）

S 1

选择一个较大的随机元素

r' ∈ Z p

。它根据

A

来计算

A ⃗' = (g r' a 0, g r' a 1, ⋯, g r' a n)

。然后，它计算

B ⃗ = (m, (y ¯ 1 + y ¯ 2 + ⋯ y ¯ m), ⋯, (y ¯ 1 - n + y ¯ 2 - n + ⋯ + y ¯ m - n))

。实体

A

也选择一个较大的随机元素

r ∈ Z p

进行计算

A ⃗ = (g r a 0, g r a 1, ⋯, g r a n)

。

（3）

S 1

的计算如下：

C' = g r' a 0 m ⋅ g r' a 1 (y ¯ 1 + y ¯ 2 + ⋯ + y ¯ m) ⋅ (⋯) ⋅ g r' a n (y ¯ 1 - n + y ¯ 2 - n + ⋯ + y ¯ m - n) = g r' [f (y ¯ 1) + ⋯ + f (y ¯ m)]

，实体

B

的计算如下：

C = g r a 0 m ⋅ g r a 1 (y ¯ 1 + y ¯ 2 + ⋯ + y ¯ m) ⋅ (⋯) ⋅ g r a n (y ¯ 1 - n + y ¯ 2 - n + ⋯ + y ¯ m - n) = g r [f (y ¯ 1) + ⋯ + f (y ¯ m)]

。

然后，

v i e w A (X, Y) = {X, A, A ⃗, r}

，

S 1 (X, Y) = {X, A, A ⃗', r', C'}

，

f B (X, Y) = o u t p u t B (X, Y) = {C}

。根据假设，我们得到

C' = C = (Y ∈ X)

。当

r' = r

，

A ⃗' = A ⃗

。因此公式1成立。

5 方案分析

5.1　功能对比

将本文提出的策略完全隐藏的可追踪可撤销的CP-ABE方案与其他基于策略隐藏、大宇宙、在线/离线、解密测试、外包解密、追踪和撤销功能的CP-ABE方案［10］和［20］进行比较，对比结果如表1所示。

从表1中可以看出，TR-CPABE（Traceable and Revocable Ciphertext Policy Attribute-based Encryption）^［10］和FH-CPABE（Fully Hidden Ciphertext Policy Attribute-based Encryption）^［10］都不支持在线/离线加密技术，FH-CPABE^［12］虽然支持外包解密，但不支持密钥的追踪和用户的撤销，因此该方案不具有实用性。TR-CPABE ^［20］支持追踪和撤销，但不支持策略完全隐藏和大宇宙，方案不具有可扩展性。本方案结合了TR-CPABE ^［20］和FH-CPABE ^［10］的优点，同时支持全隐藏、大宇宙、在线/离线、解密测试、外包解密、追踪撤销的功能，因此具有更强可用性。

5.2　存储成本对比

存储开销是访问控制方案中最重要的问题之一。令

| e T |

为

G T

中的元素大小，

| e |

为

G

和

Z p

中的元素大小，

l

为策略中属性的个数，

s

为用户属性集中的属性个数，

| c |

为密文大小，

M

为客户端存储的数字对的平均个数，

S m a

为最小授权集。

从表2中可以看出，本方案的密文分布在不同的服务器上。但在TR-CPABE^［20］中，云服务器负责存储所有密文，当多个用户同时访问时，会有较大的延迟。同时，TR-CPABE^［20］中的策略密文通常随着系统中属性集的增加而增加，而本方案的策略密文随着

∑ j = 1 N | S m a |

的值而增加，

S m a

的值取决于策略的复杂度。

5.3　实验分析

为了进一步评价本方案的性能，在PyCharm编译器中引入Charm库^［27］，用Python实现了本方案、TR-CPABE ^［20］和FH-CPABE ^［10］。实验运行环境如下：操作系统为Linux，镜像为Ubuntu 18.04.6，运行内存4 GB。访问策略中的属性数量从 0 增加到 25，同时满足访问策略的用户属性数量也从0增加到25，实验一共进行50次，取均值为最终结果。

如图4所示，在初始化方面，文献［10］中FH-CPABE的初始化时间花费少，因为此方案没有追踪和撤销功能，而本方案和TR-CPABE^［20］为了实现追踪和撤销，在初始化阶段需要初始化一个二叉树，因此消耗的时间比FH-CPABE^［10］长。如图5所示，在密钥生成方面，三个方案密钥生成消耗的时间均与属性数量呈线性关系。如图6所示，在数据拥有者加密方面，TR-CPABE ^［20］和FH-CPABE^［10］加密所需时间与属性数量呈线性关系，而本文方案呈常量级，因为本方案加密阶段把大量计算转移到离线阶段，在线阶段只需要执行轻量级操作。如图7所示，在数据用户解密方面，TR-CPABE ^［20］的解密时间与属性数量呈线性关系，而FH-CPABE^［10］和本方案的解密时间呈常量级，因为大部分解密到外包到代理云服务器，用户只需要执行少量解密运算。在本方案中，有一个主要因素影响策略隐藏的时间，即策略的复杂性。实验中，本方案使用两个简单的值来表示复杂度：最小授权集的平均大小|

S m a

|和最小授权集的数量

N

。从图8中可以看出，策略隐藏时间随着策略复杂度的增加而增加。

综上所述，本方案兼并了文献［20］TR-CPABE和文献［10］FH-CPABE的优点，功能更丰富，实用性更强，并且在加密和解密阶段所消耗时间达到了常量级。整体来看，本方案的表现力更强。

6 结论

本文提出了一个具有策略完全隐藏的属性基加密方案，有效地解决了医疗系统中数据所有者的隐私和数据安全性问题，在保护用户隐私的基础上增加了追踪和撤销功能，使方案更具有可用性。方案使用PSI技术实现了策略的完全隐藏，使用在线/离线技术提高了算法的加密速度，采用外包解密技术，将大部分密文给医疗云服务器计算，从而降低用户的计算开销。此外，本方案可以根据用户的解密密钥追踪用户，使用与用户信息相关联的二叉树的叶节点值来撤销用户。最后通过困难性假设证明了该方案的安全性。

参考文献

原文顺序 | 出版日期 | 本文引用

[1]	WANG C G, BI Z M, XU L D. IoT and Cloud Computing in Automation of Assembly Modeling Systems[J]. IEEE Trans Ind Inform, 2014, 10(2): 1426-1434. DOI: 10.1109/TII.2014.2300346 .

[2]	XU B Y, XU L D, CAI H M, et al. The Design of an M-health Monitoring System Based on a Cloud Computing Platform[J]. Enterp Inf Syst, 2017, 11(1): 17-36. DOI: 10.1080/17517575.2015.1053416 .

[3]	SAHAI A, WATERS B. Fuzzy Identity-based Encryption[C]//Proceedings of the 24th annual international conference on Theory and Applications of Cryptographic Techniques. New York: ACM, 2005: 457-473. DOI: 10.1007/11426639_27 .

[4]	BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy Attribute-based Encryption[C]//2007 IEEE Symposium on Security and Privacy (SP '07). New York: IEEE, 2007: 321-334. DOI: 10.1109/SP.2007.11 .

[5]	GOYAL V, PANDEY O, SAHAI A, et al. Attribute-based Encryption for Fine-grained Access Control of Encrypted Data[C]//Proceedings of the 13th ACM conference on Computer and communications security. New York: ACM, 2006: 89-98. DOI: 10.1145/1180405.1180418 .

[6]	NISHIDE T, YONEYAMA K, OHTA K. Attribute-based Encryption with Partially Hidden Encryptor-specified Access Structures[C]//Proceedings of the 6th international conference on Applied cryptography and network security. New York: ACM, 2008: 111-129. DOI: 10.5555/1788857.1788864 .

[7]	ZHANG Y H, CHEN X F, LI J, et al. Anonymous Attribute-based Encryption Supporting Efficient Decryption Test[C]//Proceedings of the 8th ACM SIGSAC symposium on Information, computer and communications security. New York: ACM, 2013: 511-516. DOI: 10.1145/2484313.2484381 .

[8]	YANG K, HAN Q, LI H, et al. An Efficient and Fine-grained Big Data Access Control Scheme with Privacy-preserving Policy[J]. IEEE Internet Things J, 2017, 4(2): 563-571. DOI: 10.1109/JIOT.2016.2571718 .

[9]	ZHANG Z Q, ZHANG J B, YUAN Y L, et al. An Expressive Fully Policy-hidden Ciphertext Policy Attribute-based Encryption Scheme with Credible Verification Based on Blockchain[J]. IEEE Internet Things J, 2022, 9(11): 8681-8692. DOI: 10.1109/JIOT.2021.3117378 .

[10]	YANG L, LI C, CHENG Y T, et al. Achieving Privacy-preserving Sensitive Attributes for Large Universe Based on Private Set Intersection[J]. Inf Sci, 2022, 582: 529-546. DOI: 10.1016/j.ins.2021.09.034 .

[11]	XUE J, SHI L, ZHANG W, et al. Poly-ABE: A Traceable and Revocable Fully Hidden Policy CP-ABE Scheme for Integrated Demand Response in Multi-Energy Systems[J]. J Syst Architect, 2023, 143: 102982. DOI: 10.1016/j.sysarc.2023.102982 .

[12]	LUO C, SHI J, XIE M, et al. A Lightweight Access Control Scheme Supporting Policy Hidden Based on Path Bloom Filter[C]//International Conference on Information Security and Cryptology. Singapore: Springer Nature Singapore, 2023: 433-451. DOI: 10.1007/978-981-97-0942-7_22 .

[13]	LIU Z, CAO Z F, WONG D S. White-box Traceable Ciphertext-policy Attribute-based Encryption Supporting any Monotone Access Structures[J]. IEEE Trans Inf Forensics Secur, 2013, 8(1): 76-88. DOI: 10.1109/TIFS.2012.2223683 .

[14]	NING J T, DONG X L, CAO Z F, et al. White-box Traceable Ciphertext-policy Attribute-based Encryption Supporting Flexible Attributes[J]. IEEE Trans Inf Forensics Secur, 2015, 10(6): 1274-1288. DOI: 10.1109/TIFS.2015.2405905 .

[15]	NING J T, CAO Z F, DONG X L, et al. Large Universe Ciphertext-policy Attribute-based Encryption with White-box Traceability[C]//Computer Security-ESORICS 2014. New York: ACM,: 55-72. DOI: 10.1007/978-3-319-11212-1_4 .

[16]	NING J T, CAO Z F, DONG X L, et al. White-box Traceable CP-ABE for Cloud Storage Service: How to Catch People Leaking Their Access Credentials Effectively[J]. IEEE Trans Dependable Secure Comput, 2018, 15(5): 883-897. DOI: 10.1109/TDSC.2016.2608343 .

[17]	LIU Z H, DUAN S H, ZHOU P L, et al. Traceable-then-revocable Ciphertext-policy Attribute-based Encryption Scheme[J]. Future Gener Comput Syst, 2019, 93(C): 903-913. DOI: 10.1016/j.future.2017.09.045 .

[18]	WANG S P, GUO K K, ZHANG Y L. Traceable Ciphertext-policy Attribute-based Encryption Scheme with Attribute Level User Revocation for Cloud Storage[J]. PLoS One, 2018, 13(9): e0203225. DOI: 10.1371/journal.pone.0203225 .

[19]

LIAN H J, WANG G B, WANG Q X. Fully Secure Traceable and Revocable-storage Attribute-based Encryption with Short Update Keys via Subset Difference Method[C]//2018 Third International Conference on Security of Smart Cities, Industrial Control System and Communications (SSIC). New York: IEEE, 2018: 1-8. DOI: 10.1109/SSIC.2018.8556734 .

[20]	HAN D Z, PAN N N, LI K C. A Traceable and Revocable Ciphertext-policy Attribute-based Encryption Scheme Based on Privacy Protection[J]. IEEE Trans Dependable Secure Comput, 2022, 19(1): 316-327. DOI: 10.1109/TDSC.2020.2977646 .

[21]	LIU Z C, JIANG Z L, WANG X, et al. Practical Attribute-based Encryption: Outsourcing Decryption, Attribute Revocation and Policy Updating[J]. J Netw Comput Appl, 2018, 108: 112-123. DOI: 10.1016/j.jnca.2018.01.016 .

[22]	CUI H, WAN Z G, WEI X L, et al. Pay as you Decrypt: Decryption Outsourcing for Functional Encryption Using Blockchain[J]. IEEE Trans Inf Forensics Secur, 2020, 15: 3227-3238. DOI: 10.1109/TIFS.2020.2973864 .

[23]	GREEN M, HOHENBERGER S, WATERS B. Outsourcing the Decryption of ABE Ciphertexts[C]//Proceedings of the 20th USENIX conference on Security. New York: ACM, 2011: 34. DOI: 10.5555/2028067.2028101 .

[24]	LI J, CHEN X F, LI J W, et al. Fine-grained Access Control System Based on Outsourced Attribute-based Encryption[C]//European Symposium on Research in Computer Security. Berlin, Heidelberg: Springer, 2013: 592-609.10.1007/978-3-642-40203-6_33

[25]	HOHENBERGER S, WATERS B. Online/Offline Attribute-based Encryption[C]//International Workshop on Public Key Cryptography. Berlin, Heidelberg: Springer, 2014: 293-310.10.1007/978-3-642-54631-0_17

[26]	DATTA P, DUTTA R, MUKHOPADHYAY S. Fully Secure Online/Offline Predicate and Attribute-based Encryption[C]//International Conference on Information Security Practice and Experience. Cham: Springer, 2015: 331-345.10.1007/978-3-319-17533-1_23

[27]	AKINYELE J A, GARMAN C, MIERS I, et al. Charm: a framework for rapidly prototyping cryptosystems[J]. J Cryptogr Eng, 2013, 3:111-128. DOI: 10.1007/s13389-013-0057-3 .

基金资助

山西省自然科学基金(202203021221012)

AI Summary AI Mindmap

PDF (1870KB)

177

访问

被引

详细

导航

Received	Accepted	Published
2023-10-13	2024-01-30
Issue Date
2025-10-30

摘要

Abstract

Graphical abstract

关键词

Key words

引用本文

0 引言

1 预备知识

1.1 双线性映射

1.2 线性秘密共享

1.3 二叉树

1.4 隐匿集合求交

1.5 困难问题假设

2 系统模型和算法定义

2.1 系统模型

2.2 算法定义

2.3 策略隐藏安全模型定义

2.4 选择安全模型定义

3 方案构造

4 安全性证明

5 方案分析

5.1 功能对比

5.2 存储成本对比

5.3 实验分析

6 结论

参考文献

基金资助

AI思维导图

1.1　双线性映射

1.2　线性秘密共享

1.3　二叉树

1.4　隐匿集合求交

1.5　困难问题假设

2.1　系统模型

2.2　算法定义

2.3　策略隐藏安全模型定义

2.4　选择安全模型定义

5.1　功能对比

5.2　存储成本对比

5.3　实验分析