0 引言

现代社会中云计算快速发展，人们大量使用云计算来共享数据。为了加强数据安全和防止隐私泄露，需要对数据进行加密操作, 因此提出基于属性的加密方案(Attributed-Based Encryption, ABE)^[1]，ABE方案灵活地利用访问策略加密数据。根据密文与访问策略和属性的关系，可分为两大类^[2]：密文策略属性基加密(Ciphertext-Policy ABE, CP-ABE)和密钥策略属性基加密(Key-Policy ABE, KP-ABE)。

传统双线性对的ABE方案，存在大量的双线性对运算，计算量随着访问策略的复杂性而线性增加。这对于资源受限的用户设备完成解密是一个重大的挑战，为了减少用户解密算法中用户的计算量, Green等^[5]提出了解密计算外包给第三方云服务器，这有助于“瘦身客户机”实现解密，他们提出外包解密的一个关键的技术，使第三方云服务不泄露数据或被恶意攻击。用户提供转换密钥给云服务器，云服务器解密输出恒定大小的ElGamal密文，然后利用私钥恢复出明文。考虑以下场景：用户Alice想要把自己的病例传给某医院的医生Bob，但是Bob在休假且只能用移动电话的情况下，那么Alice先用加密方案加密数据(如KP-ABE); 然后把密文上传到云存储，医生B需要下载数据解密，假如他直接下载密文解密，他的移动电话不能承担如此大的计算量，因此，将解密过程外包给云端。一个重要的问题是密文长度，假如外包给云的密文非常长, 需要消耗移动电话大量电量，会严重缩短移动电话的使用时间，这是难以忍受的。还有外包密钥生成服务器，算法复杂生成外包密钥也会花费大量时间和手机电量。另外还要确保解密结果是正确的，否则，看错病，对病人是非常严重的问题，所以在外包解密时既要关心密文的长度也要关心解密的正确性。

为了确定第三方是诚实地进行外包计算, Lai等^[11]引入可验证性的外包解密ABE方案，在文献[5]加密/解密算法的基础上增加了额外的实例，用于验证外包结果的正确性。该方法明显增加了方案的计算开销，发送者需要加密一个额外的随机消息，计算同两个消息有关的校验值。虽然文献[11]方案很容易理解，但它存在两个缺点：第一，加密和解密的成本是其他ABE方案的两倍；第二，密文长度是其他ABE方案的两倍。2015年Qin等^[12]提出了一个非常有效的可验证外包解密方案，随机选择一个消息密钥K，利用密钥提取器提取对K操作生成对称加密的密钥，再对消息密钥K进行公钥加密，同时在加密过程中对消息密钥K进行哈希生成验证密钥，有效实现了外包解密结果的验证。但是，他们都没有关注密文的长度，其加密的密文随着属性数量的增加而增大, 而且也没有关注外包密钥生成时间，其外包密钥生成时间也随着属性数量的增加而增加。Attrapadung等^[13]提出了非单调访问结构的短密文KP-ABE方案，实现了固定长度的密文，但是其加解密的运算量很大。

本文在文献[12-13]方案的基础上实现了固定密文可验证外包解密，并在外包密钥生成算法上进行了改进。通过运用密钥提取器及两个散列碰撞函数，实现外包解密的验证性。与之前在ABE的外包解密方案相比，本方案不仅可以缩短外包密文的长度，还可有效节省外包密钥生成时间。

1 预备知识

定义1  双线性映射e:G₀×G₀=G₁。G₀、G₁是两个以素数p为阶的循环群，满足以下性质:

1) 双线性性。e(g^a, g^b)=e(g, g)^ab，∀a, b∈Z_p，∀p, q∈G₀。

2) 非退化性。存在g是G₀的生成元，使得e(g, g))≠1。

3) 可计算性。存在有效算法计算双线性对。

定义2  线性秘密共享方案(Linear Secret Sharing Scheme, LSSS)，当满足以下两个条件时，参与方集合P上的秘密共享方案在Z_p域上是线性的^{[12, 14]}。

1) 各方共享的秘密形成一个Z_p域上的矩阵；

2) 存在一个行列的秘密共享矩阵A。存在一个函数把矩阵的每一个行映射到参与方P，即矩阵的第i(i=1, 2, …, l)行被标识为参与方ρ(i)，当考虑列向量ν=(α, r₂, r₃, …, r_n)，其中α∈Z_p是将要共享的秘密值，r₂, r₃, …, r_n是随机数, 则向量Αν为秘密α的l个共享子秘密，且(Αν)_i属于参与方ρ(i)。

假定一个LSSS秘密共享方案的访问结构为$ \mathscr{A} $^[14]。令S∈$ \mathscr{A} $为一个授权集合，定义I⊂{1, 2, …, l}且I={i:ρ(i)∈S}; 然后，存在常量值{ω_i∈Z_p}_i∈l, 假如{λ_i}_i∈l是真实合法的共享秘密α，则$ \sum\limits_{i \in I} {{\omega _i}{\lambda _i}} = \alpha $。

引理1^[15]  定义X、Y和Z为随机变量，假如Y有2^r种可能取值，则H_∞(X|(Y, Z))≥H_∞(X|Z)-r。

定理1^[15]  当H_∞(X|Z)≥log |$ \mathscr{Y} $|+2 log |1/ε|时，成对独立的哈希函数$ \mathscr{H} $:(h: $ \mathscr{X} $→$ \mathscr{Y} $)是平均(H_∞(X|Z)，ε)的强提取器。

随机提取器^[12]  当所有的随机变量(X, Z)，X∈$ \mathscr{X} $且H_∞(X|Z)≥k时，一个有效的函数Ext: $ \mathscr{X} $×{0, 1}^t→$ \mathscr{Y} $是平均(k, ε)的强提取器，可计算SD((Z, s, Ext(X, s)), (Z, s, U_y))≤ε，s←_R{0, 1}^t，U_y←_R$ \mathscr{Y} $，其中SD(*，*)代表的是两方的统计距离。

X为Ω的离散分布^[15]，定义它的最小熵为H_∞(X)=－log($ \mathop {\max }\limits_{\omega \in \mathit{\Omega} } \;\Pr \left[{X = \omega } \right] $)，X在Y的条件下的平均最小熵定义为$ \overline {{H_\infty }} \left( {X/Y} \right) =- \log \left( {{E_{y \leftarrow Y}}\left[{{2^{(-{H_\infty }(X/Y = y)}}} \right]} \right) $。

2 安全模型

访问结构用f表示，定义(I_enc, I_key)为加密操作和密钥生成操作，在KP-ABE中，有(I_enc, I_key)=(ω, f)，模型中允许敌手选择云服务提供者，并且腐化他们进行恶意攻击。S代表属性集，安全模型包括以下几个阶段：

1) 初始化。敌手A宣布一系列加密属性集S用于挑战阶段生成挑战密文，并把属性集S提交给挑战者。

2) 系统参数建立。挑战者运行初始化算法，将公共参数发给敌手A。

3) 阶段1。敌手重复发出私钥询问给相应的访问结构(L, π)，但是ω^*不满足访问结构(L, π)，ω^*是敌手准备攻击的属性。

4) 挑战。敌手输出两个属性长度相同的明文M₀和M₁，挑战者随机选择b∈{0, 1}，加密明文(M, S^*)，并把密文CT作为挑战发给敌手A。

5) 阶段2。敌手的属性在不满足挑战访问结构(L, π)的条件下，重复阶段1的过程，发出更多的询问。

6) 猜测。敌手输出猜测的β′, 假如β=β′，则敌手获胜，敌手在游戏中的优势为|Pr[β=β′]-1/2|。

3 固定密文长度的可验KP-ABE外包解密方案 3.1 可验证外包解密方案模型定义

可验证外包属性基解密方案模型通常由以下算法组成。

1) Setup (λ，n)。运行Setup′(λ，n)得一外包ABE密钥对(MPK′，MSK′)，对于消息空间$ \mathscr{M} $，选择两个哈希函数H₀：M→{0，1}^l_H0, H₁：{0，1}^*→{0，1}^l_H1和密钥提取器h∈$ \mathscr{H} $^[15]，及一个对称加密方案SE。输出主公钥MPK=(MPK′，H₀, H₁，h，SE)和主私钥MSK=(MPK，MSK′)。

2) Encrypt(MPK，M，I_enc)。随机消息K，明文M，运行Encrypt′(MPK′，K，I_enc)，输出密文C。另外定义标签为Lab₀=H₀(K)计算对称加密密钥K_SE=h(K)，计算对称加密密文C_SE=SE.Enc(K_SE, M)和标签Lab=H₁(Lab₀‖C_SE)，输出最后密文CT_Ienc=(C, C_SE)和验证密钥VK=Lab。

3) KeyGen_out(MPK，MSK，I_key)。外包密钥生成算法输入主私钥MSK，主公钥MPK和密钥生成算法I_key，输出转换公钥Tk_out和转换私钥Sk_out。

4) Transform(Tk_out，CT_Ienc)。密文转换算法输入转换公钥Tk_out和密文CT_Ienc。输出部分解密密文即转换密文CT_out=(CT_out′, C_SE)。

5) Decrypt_out(MPK，Sk_out，CT_out)。首先解密算法计算出随机消息K，然后计算Lab₀=H₀(K)，若H(Lab₀‖C_SE)≠VK输出⊥，否则计算K_SE=h(K)，输出明文M=SE.Dec(K_SE，C_SE)。

3.2 固定密文长度的可验证外包解密方案

1) Setup (λ，n)。初始化算法输入安全参数λ∈N和n∈N，n表示在密文中属性数，随机选择循环双线性群(G₀, G₁)，以素数p > 2^λ为阶，g为G₀的生成元。对于消息空间$ \mathscr{M} $，选择两个哈希函数H₀：$ \mathscr{M} $→{0，1}^l_H0, H₁：{0，1}^*→{0，1}^l_H1，和密钥提取器h∈$ \mathscr{H} $^[15]，及一个对称加密方案SE。定义Η=(h₁，h₂，…，h_n)^T和h_i=g^β_i, i∈{1, 2, …, n}且β=(β₁, β₂, …, β_n)^T← Z_pⁿ，随机选择α←Z_p。输出公共参数mpk=(g, e(g, g)^α, Η=g^β, H₀, H₁, h, SE)和主私钥msk=(mpk, α)。

2) KeyGen(msk, A′)。定义非单调访问结构A′=NM(A)，A为单调访问结构^[16]。该算法利用线性秘密共享方案，获得主密钥α的共享数据{λ_i}, 共享数据λ_i可以用潜在属性素数x′_i来表示，随机选择r_i←Z_p定义ρ_i=(ρ_{i, 1}, ρ_{i, 2}, …, ρ_{i, n})^T=(1, x_i, x_i², …, x_i^n-1)，ρ_{i, j}=x_i^j-1。输出私钥sk_A′=(D_{i, 1}, D_{i, 2}, K_{ρi, i})，i∈{1, 2，…, n}则:

$ \begin{array}{l} {D_{i, 1}} = {g^{{\lambda _i}}} \cdot {h_1}^{{r_i}}, {D_{i, 2}} = {g^{{\lambda _i}}}, \\ {K_{{\rho _{i, j}}}} = {\left\{ {{K_{i, j}} = {{\left( {{h_1}^{-{\rho _{i, n}}/{\rho _{i, 1}}}\cdot{h_j}} \right)}^{{r_i}}}} \right\}_{j = 2, 3, \ldots, n}}\\ s{k_{{A'}}} = {\left\{ {{D_i}} \right\}_{{{x}'_i} \in {P_i}}} \in {G^{l \times \left( {n + 1} \right)}}。\end{array} $

3) Encrypt(mpk, M, S)。随机选一个消息R∈G_T运行加密算法Encrypt(mpk, R, S)，访问矩阵A是l行乘n列，函数ρ的作用是把矩阵中的行映射到属性。随机选择s←_RZ_p是将要共享的秘密值，随机选择列向量ν=(s, r₂, …, r_n)，r₂, r₃, …, r_n∈Z_p是随机数，则向量Αν为秘密s的l个共享子秘密，且(Αν)_i属于参与方ρ(i)。定义I⊂{1, 2, …, l}，计算{λ_i}_i∈I=(Αν)_i，存在常量值{ω_i∈Z_p}_i∈I, 则$ \sum\limits_{i \in I} {{\omega _i}{\lambda _i} = \alpha } $。属性为S(|S| < n)，该算法定义Υ=(y₁, y₂, …, y_n)^T作为P_S[Z]多项式的系数坐标向量，P_s[Z]=$ \sum\limits_{i = 1}^{q + 1} {{y_i}{Z^{i-1}} = \prod\limits_{j \in S} {\left( {Z-j} \right)} } $，假如q+1 < n，令y_i=0，q+2≤j≤n，计算密文：

$ C = ({C_0}, {C_1}, {C_2}) = (R \cdot e{\left( {g, g} \right)^{\alpha s}}, {g^s}, {\left( {{\rm{}}h_1^{{y_1}}, h_2^{{y_2}}, \cdots, h_n^{{y_n}}} \right)^s}) $

另外Lab₀=H₀(R)，计算对称加密密钥K_SE=h(R)，利用对称加密方案加密明文得C_SE=SE.Enc(K_SE, M)，而后生成验证标签Lab=H₁(Lab₀, C_SE), 最后输出密文CT=(C, C_SE)和验证密钥VK=Lab。

4) KeyGen_out(sk_A′, z)。外包密钥生成算法输入私钥sk_A′和随机数z∈Z_p，输出外包私钥Sk_out=z，外包公钥Tk_out=D_i ′=(D′_{i, 1}, D′_{i, 2}, K′_{ρi, i})，i={1, 2, …, n}：

$ \begin{array}{l} {D_{i, 1}}^\prime = {g^{{\lambda _i}/{z}}}{h_1}^{{r_i}}\\ {D_{i, 2}}^\prime = {g^{{r_i}}}\\ {K_{{\rho _{i, i}}}} = {\left\{ {{K_{i, j}} = {{\left( {{h_1}^{-{\rho _{i, n}}/{\rho _{i, 1}}}\cdot{h_j}} \right)}^{{r_i}}}} \right\}_{j = 2,3, \ldots, n}} \end{array} $

5) Decrypt_out(Tk_out, A′, CT, S)。非单调访问结构A′=NM(A)，A为单调访问结构。如果属性集S不属于A′，则输出⊥；否则，利用线性秘密共享方案LSSS，可以得S′=N(S), 让I=(i:x_i′∈S′), 因为S′是在A中授权的，外包云服务器可以有效计算系数{ω_i∈Z_p}_i∈I, 则$ \sum\limits_{i\in I}{{{\omega }_{i}}{{\lambda }_{i}}=\alpha } $。然后计算：

$ \begin{align} &{{K}_{i}}=\underset{j=2}{\overset{n}{\mathop \prod }}\, {{K}_{i, j}}^{{{y}_{i}}}={{\left( {{h}_{1}}^{-\left\langle {{\mathit{\boldsymbol{\rho}}}_{i}}, \mathit{\boldsymbol{Y}} \right\rangle /{{\rho }_{i, 1}}}\cdot {{h}_{1}}^{{{y}_{1}}}\cdot\ \cdots\ \cdot\ {{h}_{n}}^{{{y}_{n}}} \right)}^{{{r}_{i}}}} \\ &C{{{{T}'}}_{\rm{out}}}=e({{C}_{1}}, {{(\underset{i\in I}{\mathop \prod }\, {{{{D}'}}_{i, 1}})}^{{{\omega }_{i}}}})\cdot \\ &\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ {{\left( \frac{e\left( {{C}_{1}}, {{(\prod\limits_{i\in I}{{{K}_{i}}})}^{{{\omega }_{i}}}} \right)}{e\left( {{C}_{2}}, {{(\prod\limits_{i\in I}{{{{{D}'}}_{i, 2}}})}^{{{\omega }_{i}}}} \right)} \right)}^{\frac{{{\rho }_{I, 1}}}{\left\langle {{\mathit{\boldsymbol{ \rho}}}_{i}}, \mathit{\boldsymbol{Y}} \right\rangle }}}=e{{\left( g, g \right)}^{\alpha s/z}} \\ \end{align} $

返回密文CT_out=(C₀, CT′_out, C_SE)。

6) Decrypt(Sk_out, CT_out, VK)。运行解密算法，计算得e(g, g)^αs=(CT′_out)^z=(e(g, g)^αs/z)^z，那么可以恢复随机消息R=C₀/e(g, g)^αs。然后计算Lab₀=H₀(R)：假如H₁(Lab₀‖C_SE)≠VK，则输出⊥；否则计算K_SE=h(R)，解密出明文M=SE.Dec(K_SE, C_SE)。

正确性判断：

$ \begin{align} &{{\left( \frac{e\left( {{C}_{1}}, {{(\prod\limits_{i\in I}{{{K}_{i}}})}^{{{\omega }_{i}}}} \right)}{e\left( {{C}_{2}}, {{(\prod\limits_{i\in I}{{{{{D}'}}_{i, 2}}})}^{{{\omega }_{i}}}} \right)} \right)}^{\frac{{{\rho }_{i, 1}}}{\left\langle {{\mathit{\boldsymbol{ \rho}}}_{i}}, \mathit{\boldsymbol{Y}} \right\rangle }}}= \\ &{{\left( \frac{e\left( {{g}^{s}}, {{\left( {{\prod\limits_{i\in I}{\left( {{h}_{1}}^{-\left\langle {{\mathit{\boldsymbol{\rho }}}_{i}}, \mathit{\boldsymbol{Y}} \right\rangle /{{\rho }_{i, 1}}}\cdot {{h}_{1}}^{{{y}_{1}}}\cdot\ \cdots\ \cdot {{h}_{n}}^{{{y}_{n}}} \right)}}^{{{r}_{i}}}} \right)}^{{{\omega }_{i}}}} \right)}{e\left( {{\left( {{h}_{1}}^{{{y}_{1}}}\cdot {{h}_{2}}^{{{y}_{2}}}\cdot\ \cdots\ \cdot {{h}_{n}}^{{{y}_{n}}} \right)}^{s}}, {{(\prod\limits_{i\in I}{{{g}^{{{r}_{i}}}}})}^{{{\omega }_{i}}}} \right)} \right)}^{\frac{{{\rho }_{i, 1}}}{\left\langle {{\mathit{\boldsymbol{\rho }}}_{i}}, \mathit{\boldsymbol{Y}} \right\rangle }}}= \\ &\prod\limits_{i\in I}{e{{\left( g, {{h}_{1}} \right)}^{-\left( s{{\omega }_{i}}{{r}_{i}} \right)}}} \\ \end{align} $

所以：

$ \begin{align} &e({{C}_{1}}, {{(\underset{i\in I}{\mathop \prod }\, {{{{D}'}}_{i, 1}})}^{{{\omega }_{i}}}})\cdot \underset{i\in I}{\mathop \prod }\, e{{\left( g, {{h}_{1}} \right)}^{-\left( s{{\omega }_{i}}{{r}_{i}} \right)}}= \\ &\underset{i\in I}{\mathop \prod }\, e{{\left( g, g \right)}^{{{\omega }_{i}}{{\lambda }_{i}}s/z}}=e{{\left( g, g \right)}^{\alpha s/z}} \\ \end{align} $

4 方案分析 4.1 安全分析

RCCA(Replayable Chosen Ciphertext Attacks)安全：运用RCCA安全^[13]对于可验证ABE外包解密，它们之间的区别是对手获得一个固定长度的密文，这可能与加密的消息中的挑战密文有关。游戏1包含挑战者和敌手A₁，具体包括以下步骤:

Setup：挑战者运行Setup(κ, U)生成主密钥对(mpk, msk)，把msk给敌手。

Phase 1：挑战者初始化一个空表T，一个空属性集D和一个计数器j:=0。敌手可以重复对下面的问题进行适应性的询问：

Create(I_key)：挑战者设置j:=j+1，首先运行KeyGen_out(msk, I_key)获得密钥对(Tk_{out, Ikey}, Sk_{out, Ikey})，然后发送Tk_{out, Ikey}给敌手，并存储在表T中，一行实体为(j, I_key, Tk_{out, Ikey}, Sk_{out, Ikey})。

Corrupt(i)：假如表中存在第i个实体(i, I_key, Tk_{out, Ikey}, Sk_{out, Ikey})，挑战者获得这个实体(i, I_key, Tk_{out, Ikey}, Sk_{out, Ikey})。假如if(I_enc^*, I_key)=1，则返回⊥，否则返回选手解密密钥Sk_{out, Ikey}和属性D:=D∪{I_key}。假如不存在这样的实体则返回⊥。

Decrypt(i, (VK, CT_out)):假如表中存在第i个实体，挑战者获得实体(i, I_key, Tk_{out, Ikey}, Sk_{out, Ikey})并发送解密密文Decrypt(Sk_{out, Ikey}, VK, CT_out)给敌手；如果不存在这样的实体则返回⊥。

Challenge：敌手提交两个等长的消息M₀和M₁和挑战算法I_enc^*，其中不能进行私钥询问即if(I_enc^*, I_key)≠1，挑战者随机选择b∈{0, 1}，运行加密算法Encrypt(mpk, M_b, I_enc^*)获得挑战密文$ CT_{I_{\rm{enc}}^{\rm{*}}}^{*} $和验证密钥VK_Mb^*, 并发送($ CT_{I_{\rm{enc}}^{\rm{*}}}^{*} $, VK_Mb^*)给敌手。

Phase 2:重复阶段1的询问，但是除了以下的询问：

1) 敌手不能进行Corrupt(i)来询问I_key∈D, 使得if(I_enc^*, I_key)=1。

2) 如果解密出明文为M₀或M₁，那么挑战者则回应特殊的消息⊥。

Guess:敌手猜测b′=b。敌手猜对的优势为Adv_{ABEout, A}^rcca(κ):=|Pr[b=b′]－1/2|。

定义3  可验证ABE外包解密是RCCA安全，当在概率多项式时间(Probabilistic Polynomial Time, PPT)内，敌手猜测成功的优势可忽略。

定理2  假设传统外包ABE方案是CPA(Chosen-Plaintext Attack)安全，$ \mathscr{H} $是一对独立的哈希函数，SE是对称加密方案，那么，本文方案可验证ABE外包解密方案是CPA安全。

证明  本文定义三个游戏：游戏1、游戏2、游戏3。其中：游戏1是原始传统CPA安全证明，目的是证明任意两个游戏之间对于敌手是不可区分的，在游戏3中，敌手不可区分加密的是消息M₀还是M₁。令S_i代表敌手在游戏i中成功的可能性。

游戏1  这是原始的CPA安全，令($ CT_{I_{\rm{enc}}^{\rm{*}}}^{*} $, VK^*)=(($ C_{I_{\text{enc}}^{\text{*}}}^{'*} $, C_SE^*), Lab^*)代表敌手选择挑战I_enc^*的挑战密文和验证密钥。选择随机消息K^*∈$ \mathscr{M} $加密生成密文$ C_{I_{\text{enc}}^{\text{*}}}^{'*} $，提取对称密钥K_SE^*=h^*(K)加密明文。

游戏2  选择随机消息R^*∈$ \mathscr{M} $独立与随机消息随机消息K^*，除了生成的$ C_{I_{\text{enc}}^{\text{*}}}^{'*} $、K_SE^*和Lab₀^*不同外，其他均与游戏1相同。

游戏3  在这个游戏中除了K_SE^*被替换成真正随机的R_SE^*∈{0, 1}^l_SE外，其他均同于游戏2。

假设1  假如外包ABE方案是CPA安全，那么敌手对游戏1和游戏2在计算上是不可区分的。

证明  首先定义一个概率多项式时间算法Sim，希望能在敌手A₁的帮助下打破CPA安全的ABE方案，Sim依靠挑战密文来模仿敌手A₁看待游戏1和游戏2的观点。

初始化  Sim首先运行挑战者，获得挑战共公参数mpk′^*，选择两个耐碰撞散列函数H₀^*和H₁^*，选择一密钥提取器h^*∈$ \mathscr{H} $用于生成对称加密密钥，最后，挑战者发送共公参数(mpk′^*, H₀^*, H₁^*, h^*)给敌手A₁。

阶段1  敌手A₁可以重复进行Create(I_key)和Corrupt(i)进行询问。

挑战  敌手发送两个等长的消息M₀和M₁和加密方法I_enc^*，模拟器Sim选择两个随机密钥K^*、R^*∈$ \mathscr{M} $，敌手发送((R^*, K^*), I_enc^*)给挑战者，挑战者返回挑战密文$ C_{I_{\text{enc}}^{\text{*}}}^{'*} $给模拟器，然后Sim选择一个随机消息b∈{0, 1}，计算K_SE^*=h^*(R^*)、Lab₀^*=H₀^*(R^*)和C_SE^*=SE^*(K_SE^*, M_b)、VK^*=H₁^*(C_SE^*‖Lab₀^*)。最后挑战者发送$ CT_{I_{\rm{enc}}^{\rm{*}}}^{*}=\left( C_{I_{\text{enc}}^{\text{*}}}^{'*}, C_{SE}^{*} \right) $和VK^*发送给敌手，如果加密的是随机密钥K^*, 那么$ CT_{I_{\rm{enc}}^{\rm{*}}}^{*} $作为游戏1的挑战密文，否则作为游戏2的挑战密文。

阶段2  敌手重复阶段1的相关询问，但是不能进行满足f(I_enc^*, I_key)=1的相关询问。

猜测  模拟器可以完全模拟敌手在游戏1、2中的观点，所以可得出：

$ |\Pr [{{S}_{0}}]-\Pr [{{S}_{1}}]|\le 2Adv_{AB{{E}_{\rm{out}}}, \mathscr{B}}^{\rm{cpa}}(\kappa ) $

多个敌手$ \mathscr{B} $攻击CPA安全的外包ABE方案。

假设2  假设$ \mathscr{H} $是一对独立的哈希函数，那么敌手对游戏2、3是统计上不可区分的。

证明  选择游戏2和游戏3的随机密钥R^*、随机提取器h^*和主公钥mpk，另外计算Lab₀^*=H₀^*(R^*)有2^l_H0种可能取值，因此：

$ \begin{align} &\overline{{{H}_{\infty }}}({{R}^{*}}|(mpk, C_{I_{\rm{enc}}^{*}}^{'*}, {{h}^{*}}, Lab_{0}^{*}))\ge \\ &\ \ \ \ \ \ \ \overline{{{H}_{\infty }}}({{R}^{*}}|(mpk, C_{I_{\rm{enc}}^{*}}^{'*}, {{h}^{*}}))-{{l}_{{{H}_{0}}}}=\log |\mathscr{M}|-{{l}_{{{H}_{0}}}} \\ \end{align} $

对敌手来说0 < l_SE≤log |$ \mathscr{M} $|-l_H0-2 log 1/ε_H，由h^*(R^*)提取的对称密钥K_SE^*与真实随机的对称密钥R_SE^*∈{0, 1}^l_SE统计上不可区分。那么由K_SE^*生成密文C_SE^*，由Lab₀^*和C_SE^*生成Lab^*，就不会增加上两个分布的距离，因此，|Pr[S₁]－Pr[S₂]|≤ε_l。

假设3  假如对称加密方案SE是语义安全的，那么敌手在游戏3中有可忽略的优势。

证明  在游戏3中获得真实随机的对称加密密钥R_SE^*，那么我们可以直接构建一个算法$ \mathscr{B} $让敌手A₁攻击对称加密方案的语义安全，因此，选择一个恰当的敌手$ \mathscr{B} $攻击SE^*的语义安全的优势|Pr[S₂]－1/2|≤Adv_{SE^*, $ \mathscr{B} $}^ss(κ)。

在上述安全性证明中，本文只考虑(选择性)CPA安全。同时，如果潜在的外包加密方案是RCCA安全同时对称加密方案也是RCCA安全，也可证明可验证性外包解密方案也是RCCA安全。到目前为止，所有的RCCA安全外包ABE依靠Random Oracle(RO)，因此由此产生的可验证方案只是RO模型下是RCCA安全。

定理3  假设H₀和H₁是耐碰撞散列函数，那么本文外包解密ABE方案是可验证的。

证明  考虑敌手A₁攻击可验证性，本文建立一个有效算法Sim打破哈希函数(H₀, H₁)的抗碰撞性。假设两个挑战哈希函数(H₀^*, H₁^*)。Sim运行初始化算法，生成主公钥MPK和主私钥MSK。因为Sim知道主私钥，因此它可以在阶段1和阶段2过程中模仿敌手的询问。敌手发送一个挑战明文M^*和加密方法I_enc^*，模拟器先随机选择一个密钥K^*∈l, 然后运行加密算法Encrypt′(mpk′, M, I_enc^*)获得密文$ C_{I_{\text{enc}}^{\text{*}}}^{'*} $，计算Lab₀^*=H₀^*(K^*)，K_SE^*=h^*(K^*)，C_SE^*=SE^*(K_SE^*, M^*)，VK^*=H₁^*(C_SE^*‖Lab₀^*)。然后模拟器发送密文$ CT_{I_{\rm{enc}}^{\rm{*}}}^{*}=\left( C_{I_{\text{enc}}^{\text{*}}}^{'*}, C_{SE}^{*} \right) $和验证密钥VK^*给敌手。最后，敌手输出一个真实密钥I_key^*(f(I_enc^*, I_key^*)=1)和转换密文CT_out=(C₀, CT′_out, C_SE)。假如敌手破坏验证性，Sim通过解密算法计算出来的明文K$ \notin $(K^*, ⊥), 现在讨论敌手成功的可能性，那么Lab₀^*=H₀^*(K)则H₁^*(C_SE‖Lab₀)≠VK^*，最后解密输出⊥。因此本文仅需要考虑下面两种情形：

情形1  (C_SE, Lab₀)≠(C_SE^*, Lab₀^*)，假如这种情形出现，那么Sim获得的碰撞哈希函数H₁^*。

情形2  (C_SE, Lab₀)=(C_SE^*, Lab₀^*)，但是，K≠K^*则可得H₀^*(K)=Lab₀=Lab₀^*=H₀^*(K^*)，那么说明抗碰撞哈希函数H₀^*被破坏。

4.2 性能分析

基于benchmark中的实验数据，通过对模指数和双线性对的理论分析，下面从通信开销和计算开销方面对方案进行性能分析，给出本文方案和文献[5, 11-13]方案的性能比较，如表 1所示。其中n指的是方案的访问结构中的属性个数，|G₀|表示群G₀中元素的长度, l_H代表CRH函数的输出大小。本方案外包密钥生成时运算次数需进行n次G₀群上的指数运算；Green等方案需进行2n次G₀群上的指数运算。综上，本方案在通信开销和外包密钥生成算法上比较有优势，节省时间。综合考虑无疑本方案更加适用于实际环境。在表中，l代表LSSS访问结构中的l行，Out.CT.size代表外包密文大小，Ken.out表示外包密钥运算次数。

5 结语

本文分析了有效验证属性基外包解密方案。结果表明, 该方案没有关注外包密文的长度，密文大小随着属性的增加而增大，这不利于通信传输。外包密钥生成时间随着属性而增加，同时也不适用于计算能力有限的小型移动设备。本文改进了该方案，实现固定密文大小的可验证KP-ABE外包解密方案，有效缩短外包密钥生成时间，并在标准模型下证明了其安全性。