Attribute Based Privacy Protection Encryption Scheme Based on Inner Product Predicate

1.   引言

2005年Sahai和Waters^[1]在基于身份加密的基础上，提出了属性基加密(Attribute-Based Encryption, ABE)，ABE机制中包含属性及访问策略，其中属性描述事物的客观特征信息，策略则是特征之间的关系；若用户属性满足策略设置的最低阈值，那么则可成功解密。ABE机制凭借其1对多、细粒度的访问控制特点，受到业内学者的广泛关注，而后又延伸出了谓词加密、对偶策略、函数加密、匹配加密^[2]等密码原语。在诸多ABE方案中，考虑到隐私保护，一般分3个层面，分别是数据内容隐私、策略隐私以及属性隐私。

数据内容隐私通过加密算法所具备的机密性来实现，将隐私性绑定到密码系统的安全性上，而密码系统的安全性则依赖已知难解的困难问题及密钥的安全管理。在医疗数据隐私^[3]、外包安全计算^[4]等应用领域，使用ABE不仅确保了数据内容隐私的机密性，且能够提供细粒度的访问控制。通过加密来保障数据隐私的方法^[5-7]本质上是一种风险转移，将棘手的隐私数据保护转换为更易操作的ABE方案构造，但同时也带了新的问题，即ABE中的策略隐私与属性隐私。

策略隐私保护中主要有两种方式，分别是部分策略隐藏及完全策略隐藏。常见的部分策略隐藏方法有通配符替代、属性名与属性值分割^[8-10]等；完全策略隐藏大都采用对原始属性做映射变换的方式^[11]。Lai等人^[12]结合双系统加密技术，基于合数阶群提出了标准模型下的策略隐藏ABE方案，对策略属性进行映射变换，加密中需要使用两个秘密向量，虽然安全性较好，但也导致密文长度增加。Hur^[13]同样采用策略属性映射的方式进行方案构造，相比于文献[11]效率更优，但该方案依赖于一般群模型构造，未能达到可证明安全。Michalevsky等人^[14]基于内积谓词加密构造了支持接收者隐私的策略隐藏方案，对不属于加密策略的属性进行0值填充，但大量无效属性值导致策略冗余较为明显。Qian等人^[15]构造了策略完全隐藏的ABE方案，并额外给出了零知识性的密钥生成协议，但未验证其协议效率以及在完整方案中的可行性。

属性隐私具体指用户在向授权机构申请密钥阶段，自身属性信息的隐私性。Han等人^[16]较早关注到这一问题，提出了一种保护隐私的去中心化密钥策略ABE方案，通过在用户与授权机构之间进行零知识性的密钥协商协议，完成密钥的分发工作。该方案构造的零知识密钥协商保护了用户属性隐私不被授权机构泄露，但协议过程太过复杂，且被文献[17]指出其方案不具备用户合谋安全性：即通过更改与特定密钥相关联的标识符来删除单个用户密钥之间的关联性，进而未满足解密条件的多个用户可通过密钥聚合的方式完成解密操作。紧接着，Han等人^[18]对原工作做了改进，但方案中并未对原密钥协商协议进行简化，并且被文献[19]指出该方案仍不具备用户合谋安全性。

ABE隐私保护研究中部分工作侧重点是数据内容隐私^[3-7]；针对策略隐私的研究较多^[8-15]，但未兼顾用户属性隐私，方案中均假设授权机构完全可信且不涉及用户属性窃听及泄露；文献[16-19]从用户属性隐私的角度出发，但构造中未考虑策略隐私。究其原因，加解密用户分别在策略保护与属性保护中进行随机化操作后，很难将解密等式构造成功。

针对以上存在的问题，本文同时兼顾数据内容、用户属性、访问策略3方面隐私保护需求，构造了基于内积谓词的属性基隐私保护加密方案(attribute-based Privacy Protection Encryption Scheme based on inner product predicate, PPES)。概况地说，本文的主要工作有以下3点：

(1) 基于谓词加密算法保障了数据内容隐私，通过向量承诺协议将访问策略与用户属性分别进行盲化，兼顾了属性隐私和策略隐私；同时，改进了Catalano协议，使其适配于属性盲化承诺，能够在不暴露关键隐私信息的前提下，完成承诺验证。

(2) 借助内积向量的线性运算模式，实现了ABE隐私保护中多方随机元素消去操作，使得加解密双方分别进行随机化后，仍然能够进行解密等式构造(详见5.1节)。

(3) 基于判定性子群假设证明了所提方案满足标准模型下适应性选择明文安全，并且承诺具备不可伪造性。性能分析结果显示，所提方案比现有方案效率更高。

2.   预备知识

本节给出本文中用于构建PPES方案所用到的基础定义及基础协议。

2.1   基础定义

定义1　(合数阶双线性映射)给定安全参数$\lambda$，令${\rm{Setup}}(\lambda)$表示双线性群生成算法，输出阶为合数$N = pqr$的乘法循环群G, G_T, p, q, r为互不相同的3个素数，g为群$G$生成元。定义双线性映射e:G×G→G_T满足如下性质：

(1)可计算性：双线性映射e在多项式时间内可被有效计算。

(2)双线性：$\forall$g, h$\in G$；a, b$\in$Z_N有$e({g^a},{h^b}) = e{(g,h)^{ab}}$。

(3)非退化性：e(g, g)≠1。

定义2　(判定性子群假设)给定群生成器${\rm{Setup}}(\lambda)$定义其子群分布为

对于公开元组D，任意概率多项式敌手A能够正确区分${T_0}$与${T_1}$的优势定义为

2.2   基础协议

协议1　向量承诺协议(Vector Commitment, VC)。协议主体由4个多项式算法构成^[20]，分别是承诺密钥生成算法、承诺计算算法、承诺打开算法以及承诺验证算法。

PPES方案中，将加解密用户的盲化操作利用承诺协议进行提交，用于公开验证盲化操作的合法性。向量承诺协议能够对指定位置i处进行承诺验证，提供了位置绑定特性；由承诺封装带来的消息隐藏特性，能够确保所参与承诺的元素与机密信息无关，进而真实的属性信息不会被泄露。

协议2　谓词加密^[7](Predicate Encryption, PE)是基于属性加密的延伸和扩展，内积谓词则是PE的构造形式之一，其中密钥对应布尔函数表示的谓词$\mathbb{F}$，密文则与属性集合$\varSigma$相关。当密钥SK_f对应谓词$f \in \mathbb{F}$，且密文关联属性$I \in \varSigma$满足$f(I) = 1$时解密成功。

3.   模型定义

本节给出论文中的模型定义，包括系统模型、安全模型及算法模型。

3.1   系统模型

如图1所示，PPES方案涉及5个实体，分别是属性授权中心、云服务提供商、第三方验证者、数据用户及数据属主。考虑到策略隐私及属性隐私，DO需使用盲化后的属性构造访问策略；DU使用盲化后的属性申请私钥，并对盲化结果做出承诺。

图  1  系统模型

下载: 全尺寸图片 幻灯片

属性授权中心(Attribute Authority, AA)：该实体完全可信，负责系统初始化、主密钥、公共参数及用户公私钥生成。

云服务提供商(Cloud Service Provider, CSP)：该实体为半可信服务器，为用户提供密文存储及下载服务。

第三方验证者(Third Party Verifier, TPV)：向加解密双方提出验证请求，对加解密双方所提交承诺的有效性做验证。

数据用户(Data User, DU)：从CSP下载密文，若满足解密要求，可对其进行解密；作为用户证明者(User Prover, U-Prover)回答验证者请求。

数据属主(Data Owner, DO)：加密数据并上传到CSP；作为属主证明者(Owner Prover, O-Prover)回答验证者请求。

3.2   安全模型

定义3　(数据内容隐私) 给定安全参数n，对任意多项式时间敌手A，如果在下述游戏中的优势是可忽略的，那么称PPES方案满足数据内容隐私。

(1)挑战者C运行初始化算法Setup(1ⁿ)，获得公共参数$pp:\{ N = pqr,G,{G_T},e( \cdot )\}$，${g_p}{g_q}{g_r}$分别对应3个子群生成元。

(2)随机选择$t \in {G_P}$, Q₁,Q₂$\in {G_Q}$, s,$\theta \in {Z_p}$，将$(N,G,{G_T},e( \cdot ),{g_p},{g_q},{g_r},t,g_p^s,{t^s}{Q_1},g_p^\theta {Q_2},e{({g_p},t)^\theta })$公开，并选择随机比特$b \in \{ 0,1\}$，如果$b = 0$，将$e{({g_p},t)^{\theta s}}$发送给敌手A，如果$b = 1$，则发送${\mathbb{G}_T}$中的随机元素。

(3)敌手A输出比特$b'$，当$b = b'$时，攻击成功。

上述游戏中，敌手A的优势可定义为

定义4　(策略隐私) 设谓词集合为$\mathbb{F}$，属性集合为$\mathbb{S}$，安全参数为n。对任意多项式时间敌手A，在下述游戏中优势可忽略，那么称该谓词加密方案满足策略隐私。

(1)挑战者C运行初始化算法Setup(1ⁿ)生成公钥PK，私钥SK，大整数N，并将其发送给敌手A。

(2)敌手A输出${\boldsymbol{x}},{\boldsymbol{y}} \in Z_N^n$。

(3)敌手A对向量v₁,v₂,···,v_l$\in Z_N^n$所对应密钥做适应性请求，其中所有的i都需满足$< {{\boldsymbol{v}}_{{i}}},{\boldsymbol{x}} > = 0{\rm {mod}} N$，当且仅当$< {{\boldsymbol{v}}_{{i}}},{\boldsymbol{y}} > = 0{\rm {mod}} N$。挑战者C运行${{\rm{Genkey}}_{{\rm{SK}}}} ({{\text{f}}_{{{\text{v}}_{\boldsymbol{i}}}}})$算法将对应的私钥${{\rm{SK}}_{{{\text{v}}_{\boldsymbol{i}}}}}$返回给敌手A。

(4)挑战者C随机选择$b \in \{ 0,1\}$，当$b = 0$时，输出密文${{C = {\rm{En}}}}{{\text{c}}_{{\text{PK}}}}({\boldsymbol{x}})$；当$b = 1$时，输出密文${{C=}} {\rm{En}}{{\text{c}}_{{\text{PK}}}}({\boldsymbol{y}})$。

(5)在第(3)步的限制条件下，敌手A继续对其他谓词向量进行适应性私钥询问。

(6)敌手A输出$b'$，若满足$b = b'$，那么敌手攻击成功。

上述游戏中，敌手A的优势可定义为

定义5　(属性隐私) 给定安全参数n，q阶循环群${G_1}$，其生成元为P。对任意多项式时间敌手A，在下述游戏中的优势是可忽略的，那么称PPES方案满足属性隐私。

(1)挑战者C运行初始化算法${\text{Setup(}}{{\text{1}}^n}{\text{)}}$，生成公共参数${\rm{pp}} = \{ {G_1},q,P\}$。

(2)挑战者C随机选择$a,b \in Z_q^*$，计算(aP, bP)$\in {G_1}$并公开。选择随机比特$b \in \{ 0,1\}$，如果$b = 0$，将abP发送给敌手A，如果$b = 1$，则发送${G_1}$中的随机元素。

(3)敌手A输出比特$b'$，当$b = b'$时，攻击成功。

上述游戏中，敌手A的优势可定义为

3.3   算法模型

(1)系统初始化算法Setup(1ⁿ)→(pp, MPK, MSK)：该算法由可信授权中心执行，输入安全参数，输出公共参数pp及系统主公钥与主私钥。

(2)加密算法Encrypt(MPK, MSK, M, (A, ρ), x)→(C)：该算法由数据属主执行，首先将加密所需属性向量x盲化为h；使用盲化后的属性向量h构造LSSS访问策略，完成对谓词向量的张成，将明文M加密为密文C。

(3)用户属性盲化算法User-Blind(v)→(u)：该算法由数据用户执行，用户将自身属性向量v盲化为u，然后将其发送给授权机构生成私钥。

(4)密钥生成算法KeyGen(MPK, MSK, u)→(SK)：该算法由授权机构执行，根据数据用户的属性u生成数据用户私钥SK。

(5)解密算法Decrypt(SK, C)→(M)：该算法由数据用户执行，输入私钥SK与密文C，若属性满足谓词授权集合，输出解密结果M。

(6)承诺提交及验证算法：Verify(Com, s_i, Aux)→(Result)：该算法为证明者与验证者之间的交互。首先要求作为证明者的U-Prover与O-Prover在盲化操作完成后，分别提交盲化承诺，而后交由第三方验证。

4.   方案构造

本节给出方案的具体构造，并对算法模型中的多项式算法做进一步阐述。

(1)Setup$({1^n}) \to (pp,{\text{MPK}},{\text{MSK}})$：运行初始化算法${\text{Setup(}}{{\text{1}}^n}{\text{)}}$，记属性全集为S，获得公共参数$pp:\{ N = pqr,G,{G_T},e( \cdot ),g,{G_1}\}$。

$G = {G_P} \times {G_Q} \times {G_R}$, ${g_p}{g_q}{g_r}$分别对应3个子群生成元，加法循环群${G_1}$生成元为g。随机选择${r_{1,i}},{r_{2,i}} \in {G_R}$, ${p_{1,i}},{p_{2,i}},t \in {G_P}$, ${r_0} \in {G_R}$, $\theta \in {Z_N}$，其中$i \in [1,n]$。生成系统公钥：MPK={g_p, g_r, g, T=e(g_p,t)^θ,$Q={g}_{q}{r}_{0},\;\{{P}_{1,i}={p}_{1,i}\cdot {r}_{1,i},{P}_{2,i}= {p}_{2,i}\cdot {r}_{2,i}\}_{i=1}^{n}$}。

系统主密钥${\text{MSK}} = (p,q,r,{g_q},{t^{ - \theta }},\{ {p_{1,i}}, {p_{2,i}}\} _{i = 1}^n)$。

(2)Encrypt$({\text{MPK}},{\text{MSK}},M,(A,\rho ),{\boldsymbol{x}}) \to (C)$：定义访问策略属性向量${\boldsymbol{x}} = ({x_1},{x_2}, \cdots ,{x_n}) \in S$，随机选择$z \in {Z_N}$，计算${h_i} = z \cdot {x_i} \cdot g$, ${x_i} \in {Z_N}$, $i \in [1,n]$。

定义LSSS访问策略$({\boldsymbol{A}},\rho )$，其中${\boldsymbol{A}} = ({{\boldsymbol{A}}_{n,m}}) \subset {\boldsymbol{Z}}_N^{l \times |S|}$为$n \times m$矩阵，线性映射函数ρ将A的每一行A_i映射到一个盲化后属性ρ(h_i)，记为ρ(i)。随机选择$s,\alpha ,\beta \in {Z_N}$, ${r_{3,i}},{r_{4,i}} \in {G_R}$, 对明文消息M进行加密，输出密文为：$C=C'=M\cdot {T}^{s},\;{C}_{0}={g}_{p}^{s}$, $\{{C}_{1,i}={P}_{1,i}^{s} \cdot {Q}^{\alpha \cdot \rho (i)}\cdot {r}_{3,i}\}_{i=1}^{n},\;{\{{C}_{2,i}={P}_{2,i}^{s}\cdot {Q}^{\beta \cdot \rho (i)}\cdot {r}_{4,i}\}}_{i=1}^{n}$。

(3)User-Blind$({\boldsymbol{v}}) \to ({\boldsymbol{u}})$：用户定义属性向量${\boldsymbol{v}} = ({v_1},{v_2}, \cdots ,{v_n}) \in S$，随机选择$y \in {Z_N}$，计算${u_i} = y \cdot {v_i} \cdot g$，将盲化后的属性${\boldsymbol{u}} = ({u_1},{u_2}, \cdots ,{u_n})$发送给授权机构获取私钥。

(4)KeyGen$({\text{MPK}},{\text{MSK}},{\boldsymbol{u}}) \to ({\text{SK}})$：随机选择${\gamma _{1,i}},{\gamma _{2,i}} \in {Z_p}$, ${f_1},{f_2} \in {Z_q}$, ${r_5} \in {G_R}$, $\vartheta \in {G_Q}$, 计算用户私钥：${\text{SK}} = \{ K = {r_5} \cdot \vartheta \cdot {t^{ - \theta }} \cdot \displaystyle\prod\nolimits_{i = 1}^n {p_{1,i}^{ - {\gamma _{1,i}}}} \cdot p_{2,i}^{ - {\gamma _{2,i}}}, \{ {K_{1,i}} = g_p^{{\gamma _{1,i}}} \cdot g_q^{{f_1} \cdot {u_i}}\} _{i = 1}^n,\{ {K_{2,i}} = g_p^{{\gamma _{2,i}}} \cdot g_q^{{f_2} \cdot {u_i}}\} _{i = 1}^n\}$。

(5)Decrypt$({\text{SK}},C) \to (M)$：记密文为：C=($C'$, ${C_0},\{ {C_{1,i}},{C_{2,i}}\} _{i = 1}^n)$,密钥为${\text{SK}} = (K,\{ {K_{1,i}}, {K_{2,i}}\} _{i = 1}^n)$，若解密属性满足访问结构，则通过线性计算后的属性向量之间仍满足正交关系，即存在$< {\boldsymbol{x}},{\boldsymbol{v}} > = 0$，那么解密计算后可获得明文$M$，即

(6)Verify$({\text{Com}},{s_i},{\text{Aux}}) \to ({\text{Result}})$：首先声明属性全集$S = \{ {s_1},{s_2}, \cdots ,{s_q}\}$及承诺向量$\{ {\boldsymbol{u}},{\boldsymbol{h}}\}$。AA发布承诺凭证

并将Cre作为公开信息。作为证明者的O-Prover与U-Prover提交属性承诺

验证者将其与承诺凭证比对后输出承诺有效性声明。而后验证者任选属性s_i将其发送给证明者，证明者计算辅助信息${\text{Aux}} = \{ {\text{EnAu}}{{\text{x}}_j} = \displaystyle\prod\nolimits_{j = 1,j \ne i}^q {{h_j}} , {\text{DeAu}}{{\text{x}}_j}$$= \displaystyle\prod\nolimits_{j = 1,j \ne i}^q {{u_j}} \}$并返回给验证者，验证者进行计算验证$e({\text{Com}}/{h_i},g) = e({\text{Aux}},g), e({\text{Com}}/{u_i},g) = e({\text{Aux}},g)$判断结果是否正确，否则承诺无效。

5.   方案分析

本节对论文方案做综合分析，包括正确性证明、安全性证明及实验评估。

5.1   正确性证明

给定密文C与用户私钥SK，由合数阶各子群正交性质，解密等式推导为

若满足解密条件，则$(\alpha {f_1} + \beta {f_2}) < {\boldsymbol{\rho }},{\boldsymbol{u}} >$可看作线性变换后$< {\boldsymbol{x}},{\boldsymbol{v}} >$与常数系数cons的乘积，即${\text{cons}} < {\boldsymbol{x}},{\boldsymbol{v}} >$，由$< {\boldsymbol{x}},{\boldsymbol{v}} > = 0$可得解密结果M。

在承诺验证阶段，已知承诺Com与辅助信息Aux, U-Prover承诺验证推导为

O-Prover承诺验证推导为

5.2   安全性证明

本节通过定理1与定理2证明了PPES方案的不可区分性及承诺不可伪造性，进而满足数据内容隐私、策略隐私及属性隐私。

5.2.1   不可区分性证明

本节通过构造7个游戏，证明密文的不可区分性，即所提PPES方案满足标准模型下的适应性选择明文安全。

定理1　如果PPES方案满足定义3与定义4，那么称该谓词加密方案满足数据内容隐私及策略隐私。

游戏定义：

游戏0：随机选择$s,\alpha ,\beta \in {Z_N}$，${r_{3,i}},{r_{4,i}} \in {G_R}$并且利用向量${\boldsymbol{x}}$生成${M_0}$的挑战密文：$C=\{C'={M}_{0}\cdot {T}^{s}$, ${C_0} = g_p^s\{ {C_{1,i}} = P_{1,i}^s \cdot {Q^{\alpha \cdot {x_i}}} \cdot {r_{3,i}}\} _{i = 1}^n\}$ $\{ {C_{2,i}} = P_{2,i}^s \cdot {Q^{\beta \cdot {x_i}}} \cdot {r_{4,i}}\} _{i = 1}^n\}$。

游戏1：选择${G_T}$中的随机元素作为密文$C'$的取值，其余密文元组仍然按照游戏0利用向量${\boldsymbol{x}}$生成：$C=\{C'\in {G}_{T},{C}_{0}={g}_{p}^{s},{\{{C}_{1,i}={P}_{1,i}^{s}\cdot {Q}^{\alpha \cdot {x}_{i}}\cdot {r}_{3,i}\}}_{i=1}^{n}$, $\{{C}_{2,i}= P_{2,i}^s \cdot {Q^{\beta \cdot {x_i}}} \cdot {r_{4,i}}\} _{i = 1}^n\}$。

游戏2：当使用0进行加密生成密文元组$\{ {C_{2,i}}\}$时，随机选择$s,\alpha \in {Z_N}$, ${r_{3,i}},{r_{4,i}} \in {G_R}$, $C' \in {G_T}$计算密文如下：$C = \{ C' \in {G_T},{C_0} = g_p^s,\{ {C_{1,i}} = P_{1,i}^s \cdot {Q^{\alpha \cdot {x_i}}} \cdot {r_{3,i}}\} _{i = 1}^n$$\{ {C_{2,i}} = P_{2,i}^s \cdot {r_{4,i}}\} _{i = 1}^n\}$。

游戏3：当使用${\boldsymbol{y}}$进行加密生成密文元组$\{ {C_{2,i}}\}$时，随机选择$s,\alpha ,\beta \in {Z_N}$, ${r_{3,i}},{r_{4,i}} \in {G_R}$, $C' \in {G_T}$计算密文如下：$C = \{ C' \in {G_T},{C_0} = g_p^s,\{ {C_{1,i}} = P_{1,i}^s{Q^{\alpha \cdot {x_i}}}{r_{3,i}}\} _{i = 1}^n$$\{ {C_{2,i}} = P_{2,i}^s{Q^{\beta \cdot {y_i}}}{r_{4,i}}\} _{i = 1}^n\}$。

游戏4、游戏5：与游戏2、游戏3对称，继续选择${G_T}$中的随机元素作为密文$C'$的取值，但游戏5将使用${\boldsymbol{y}}$对${G_T}$中的随机元素做正确加密。

游戏6：使用${\boldsymbol{y}}$生成${M_1}$的正确挑战密文。

证明　借鉴Katz等人^[7]中证明思路，若游戏0与游戏1在定义3下是不可区分的，那么游戏1与游戏5也满足不可区分性，而游戏5与游戏6的不可区分性证明与游戏0和游戏1对称。因此，以游戏0与游戏1为例展开不可区分性证明。

根据定义4，挑战者C将$\{ N = pqr,G,{G_T}, e( \cdot ), {g_p},$${g_q},{g_r},t,g_p^s,{t^s}{Q_1},g_p^\theta {Q_2},e{({g_p},t)^\theta }$以及与$e{({g_p},t)^{\theta s}}$等长的元素L公开给敌手，其中$L$满足${G_T}$中均匀分布。

初始化　敌手${\rm{A}}$输出${\boldsymbol{x}},{\boldsymbol{y}} \in Z_N^n$，将其发送给挑战者C。

挑战者随机选择${\omega _{1,i}},{\omega _{2,i}} \in {Z_N}$, ${r_{1,i}},{r_{2,i}},{r_0} \in {G_R}$，设置公钥：${\text{PK}} = \{ {g_p},{g_r},g,T = e{({g_p},t)^\theta }Q = {g_q}{r_0}, \{ {P_{1,i}} =$${t^{{x_i}}}g_p^{{\omega _{1,i}}}{r_{1,i}}\} _{i = 1}^n\{ {P_{2,i}} = {t^{{x_i}}}g_p^{{\omega _{2,i}}}{r_{2,i}}\} _{i = 1}^n\}$。与原方案公钥参数相对比，在$\{ {P_{1,i}},{P_{2,i}}\}$的构造中，由${t^{{x_i}}}g_p^{{\omega _{1,i}}}$, ${t^{{x_i}}}g_p^{{\omega _{2,i}}}$代替了${t_{1,i}}$${t_{2,i}}$, 即${t_{1,i}} = {t^{{x_i}}}g_p^{{\omega _{1,i}}}$, ${t_{2,i}} = {t^{{x_i}}}g_p^{{\omega _{2,i}}}$。

密钥生成　敌手A使用不同向量${\boldsymbol{v}}$做私钥请求，其中$< {\boldsymbol{v}},{\boldsymbol{x}} > \ne 0$，挑战者C按照如下形式做构造密钥，对私钥请求做出回应：

令$k = 1/2 < {\boldsymbol{x}},{\boldsymbol{v}} > {\rm {mod}} N$，在此条件下，如果$\gcd ( < {\boldsymbol{x}},{\boldsymbol{v}} > ,N) \ne 1$，敌手可对N做因子分解，但该情况发生概率可忽略不计。挑战者C随机选择${f'_1},{f'_2},\{ \gamma {'_{1,i}},\gamma {'_{2,i}}\} \in {Z_N}$, $qr \in {G_{QR}}$，计算

在化简中，将${Q_2}$表示为$c$，其中$c = {\log _{{g_q}}}{Q_2}$。最终挑战者用${\rm{SK}} = (K,\{ {K_{1,i}},{K_{2,i}}\} _{i = 1}^n)$回复敌手的密钥请求。

在上述模拟过程中与真实方案相比

因此密钥组件$\{ {K_{1,i}},{K_{2,i}}\}$的构造满足${Z_N}$中均匀独立分布。在对密钥组件$K$的构造中，由于

将${K_p}$看作$K$在${G_T}$群中的投影，那么同理可得

在上述化简中，用到了前面步骤中的隐含条件，即${t_{1,i}} = {t^{{x_i}}}g_p^{{\omega _{1,i}}}$, ${t_{2,i}} = {t^{{x_i}}}g_p^{{\omega _{2,i}}}$, $< {\boldsymbol{x}},{\boldsymbol{v}} > = 1/2k{\rm {mod}} N$，进而得出最后化简结果，并可从等式中看出${K_p}$和$K$满足均匀分布。

挑战密文生成　挑战者C随机选择${r_{7,i}},{r_{8,i}} \in {G_R}$, ${Q_1}' \in {G_Q}$，令$C' = {M_0} \cdot L$, ${C_0} = g_p^s$，然后计算挑战密文如下：${C_{1,i}} = {(g_p^s)^{{\omega _{1,i}}}} \cdot {({t^s}{Q_1})^{{x_i}}} \cdot {r_{7,i}} = {({t^{{x_i}}}g_p^{{\omega _{1,i}}})^s} \cdot Q_1^{{x_i}} \cdot {r_{7,i}}$$= t_{1,i}^s \cdot Q_1^{{x_i}} \cdot {r_{7,i}}$; ${C_{2,i}} = {(g_p^s)^{{\omega _{2,i}}}} \cdot {({t^s}{Q_1})^{{x_i}}} \cdot {({Q_1}')^{{x_i}}} \cdot {r_{8,i}}= {({t^{{x_i}}}g_p^{{\omega _{2,i}}})^s} \cdot {({Q_1}{Q_1}')^{{x_i}}}$ $\cdot {r_{8,i}} = t_{2,i}^s \cdot {({Q_1}{Q_1}')^{{x_i}}} \cdot {r_{8,i}}$。

通过观察挑战密文元组在群${G_P},{G_T},{G_R}$中的投影，可以验证当$T = e{({g_p},t)^{\theta s}}$时，挑战密文的分布与游戏0相同。当T是从${G_T}$群中随机选择的元素时，挑战密文的分布与游戏1相同。因此，在定义2下，游戏0与游戏1是不可区分的，即PPES方案满足不可区分性。证毕

5.2.2   承诺不可伪造性

定理2　如果PPES方案满足定义5，那么称该谓词加密方案满足属性隐私。

证明　 已知$(P,aP,bP) \in {G_1}$，其中$a,b \in Z_q^*$为随机选取，则求解abP即为${G_1}$群中的计算性迪菲-赫尔曼(Computational Diffie-Hellman, CDH)困难问题。方案承诺构造形式为：$\{ {\text{EnCom}} = \displaystyle\prod\nolimits_{i = 1}^q {{h_i}} , {\text{DeCom}} = \displaystyle\prod\nolimits_{i = 1}^q {{u_i}} \}$。

其中${h_i} = {z_i}{x_i}g$, ${u_i} = {y_i}{v_i}g$, g为群${G_1}$生成元。当敌手试图伪造Com来通过验证时，需确保$e({\text{Com}}/{h_i},g) = e({\text{Aux}},g)$或$e({\text{Com}}/{u_i},g) = e({\text{Aux}},g)$成立。而辅助信息Aux由证明者计算生成，若使得验证等式成立，敌手需伪造与证明者相同的真实承诺值，其中${x_i},{z_i},{y_i},{v_i} \in {Z_N}$随机选取，即通过计算获取${y_i}{v_i}g$与${z_i}{x_i}g$是困难的。证毕

5.3   实验评估

本节对PPES方案进行效率分析，基于TypeA1型合数阶椭圆曲线，在i5-11300H处理器通过IntelliJ IDEA平台对方案进行实验对比。PPES基于合数阶群构造，因此只针对同类型方案进行分析。

表1给出了数值分析中所用到的符号描述，其中E表示指数运算，P表示双线性对运算，n表示方案中涉及的属性个数，|G|表示子群元素大小。因为点乘运算耗时较小，相比于对运算与指数运算对方案总体效率影响不大，因此在表格中未作统计。

表  1  符号描述

符号	含义
E	指数运算
P	双线性对运算
n	属性个数
|G|	群元素大小

下载: 导出CSV 

| 显示表格

如表2密文及密钥长度对比所示，PPES方案用户私钥长度短于王悦等人方案^[10]，相比于Zhang等人方案^[11]、Lai方案^[12]稍长，这是因为PPES方案中考虑到安全性，构造了两个属性相关的密钥组件；但在密文长度上，PPES方案均比对比方案更短，具备更好的存储性能，且兼顾策略隐私及属性隐私。

表  2  密文及密钥长度对比

方案	用户私钥	密文长度
王悦等人[10]	(4n+2)|G|	(4n+3)|G|
Zhang[11]	(n+2)|G|	(3n+4)|G|
Lai[12]	(n+2)|G|	(4n+4)|G|
PPES	(2n+1)|G|	(2n+2)|G|

下载: 导出CSV 

| 显示表格

如表3方案计算开销对比所示，PPES方案构造了两个属性相关的密钥组件，在密钥生成阶段比Zhang等人方案^[11]、Lai等人方案^[12]开销略高，低于王悦等人方案^[10]；但在加密阶段与解密阶段，PPES方案均优于对比方案，用到了更少的对运算及指数运算，在效率方面有显著优势。

表  3  方案计算开销对比

方案	密钥生成	加密阶段	解密阶段
王悦等人[10]	(13n+1)E	(12n+3)E	(4n+2)P
Zhang[11]	(2n+3)E	(7n+4)E	(3n+1)E+(4n+1)P
Lai[12]	(2n+4)E	(10n+2)E+2P	(2n)E+(4n+2)P
PPES	(6n+1)E	(4n+2)E	(2n+1)P

下载: 导出CSV 

| 显示表格

对各方案主要阶段耗时进行数值对比，结果如图2、图3、图4所示，其中横轴代表属性个数，单位为个；纵轴代表耗时，单位为ms。

图  2  密钥生成阶段

下载: 全尺寸图片 幻灯片

图  3  加密阶段

下载: 全尺寸图片 幻灯片

图  4  解密阶段

下载: 全尺寸图片 幻灯片

如图2密钥生成阶段，PPES方案低于王悦等人方案^[10]，但略高于Zhang等人方案^[11]、Lai等人方案^[12]，这与表2及表3分析结果相吻合。如图3，在加密阶段，PPES方案耗时均低于对比方案。主要原因是PPES相比于王悦等人方案^[10]减少了8n+1个指数运算，相比于Zhang等人方案^[11]减少了3n+2个指数运算，相比于Lai等人方案^[12]减少了8n个指数运算及2个双线性对运算。

同样，如图4解密阶段数值效率对比，PPES方案在解密运算中耗时均低于对比方案。PPES相比于王悦等人方案^[10]减少了2n+1个双线性对运算，相比于Zhang等人方案^[11]减少了3n+1个指数运算及2n个双线性对运算，相比于Lai等人方案^[12]减少了2n个指数运算及2n+1个双线性对运算。

6.   结束语

本文基于内积谓词与向量承诺协议构造了兼顾3方面隐私保护需求的属性基加密方案，并做了标准模型下的安全性证明及性能分析。一方面，向量承诺协议确保策略属性与用户属性盲化操作的可靠性；另一方面，借助内积操作的线性运算特性，为解决多方随机数消去的等式构造提供了新思路，达到支撑数据内容隐私、策略隐私以及属性隐私3方面隐私需求的目的。为进一步提高效率，未来将考虑标准模型下的素数阶方案构造。