基于多授權(quán)機構(gòu)屬性基加密的文件安全共享的研究綜述

1、基于多授權(quán)機構(gòu)屬性基加密的文件安全共享的研究綜述摘要：屬性加密是近些年來密碼學研究的熱點問題，它是在模糊身份基加密的基礎(chǔ)上發(fā)展起來的一種公鑰加密體制，能夠同時實現(xiàn)信息的隱私性和訪問控制的靈活性，它特別適合于分布式環(huán)境下解密房不固定的情況。信息提供者在加密信息時不需要關(guān)心具體由誰來解密信息，只要用戶符合相應(yīng)的條件便可解密。以CP-ABE方案為基礎(chǔ)提出了一些多授權(quán)機構(gòu)屬性基加密方案。針對一些多授權(quán)機構(gòu)ABE方案在是否采用CA、以及抵抗聯(lián)合攻擊方面等性能進行了比較分析，最后討論了多授權(quán)機構(gòu)屬性加密未來需要進一步研究的問題。關(guān)鍵詞：屬性基加密;CP-ABE;多授權(quán)機構(gòu)；A Review on Mult

2、i-authority ABE Files Sharing SecurelyAbstract: Attribute-based encryption is a hot topic in recent years .It is a public key encryption mechanism based on the fuzzy identity-based encryption and it makes the information with privacy and the access-control with flexibility. It is particularly suitab

3、le in the situation of distributed environments and not fixed decrypt side. Information providers need not care about the encrypted message decrypted by whom but the message recipient whether meeting the appropriate conditions. We provide some multi-authority attribute-based encryption schemes based

4、 on CP-ABE. The study elaborates the research problems relating to multi-authority ABE, including whether adopting a CA，collision resistance. Finally, we discuss the need-to-be solved problem in multi-authority ABE.Keywords：attribute-based encryption; CP-ABE; multi-authority1 引言隨著網(wǎng)絡(luò)技術(shù)和分布式計算的迅速發(fā)展與廣泛普

5、及，網(wǎng)絡(luò)信息安全技術(shù)越來越受到人民的青睞。在計算機環(huán)境中進行數(shù)據(jù)信息的共享與處理已成為人們彼此之間進行信息交流的需求。網(wǎng)絡(luò)技術(shù)的快速發(fā)展帶給人類社會在生活、工作、學習以及娛樂等方面便捷的同時，也給人類社會帶來了越來越嚴重的安全隱患。信息的截取篡改、病毒的傳播、黑客的入侵等各種攻擊手段，嚴重威脅著人們的生活和社會的發(fā)展，因此急切需要一種技術(shù)來保護人們的的信息以及信息系統(tǒng)的安全性，密碼學能夠很好的保證消息的完整性、可控性、可用性以及抗攻擊性。因此成為了信息安全領(lǐng)域的關(guān)鍵技術(shù)。1976年，Diffie和Hellman1發(fā)表了具有劃時代意義的一篇文章密碼學方向，提出了“公鑰密碼”的新概念。在公鑰密碼學

6、系統(tǒng)中，加密方式用的密鑰和解密方使用的密鑰不相同，并且從計算難度上來講，由公鑰計算出相應(yīng)的私鑰是困難的，在這種情況下，公鑰持有者把公鑰作為公開參數(shù)公布出來也不用擔心私鑰會被泄露，從而加密方和解密方便不需要在通信前進行密鑰協(xié)商，降低密鑰分發(fā)、管理等開銷。但是加密方需要對每一個解密方進行加密，在多用戶數(shù)據(jù)共享系統(tǒng)中，針對每個用戶的數(shù)據(jù)加密，將極大增加了加密方的開銷負擔。1984年，Shamir2提出了身份基密碼學的概念。為此，2005年，Sahai和Waters在Shamir2于1984提出的身份基密碼學的基礎(chǔ)上，首次提出了“基于屬性加密（Ciphertext Policy Attribute-B

7、ased Encryption）”的概念和方法。在該方案中，用戶的身份由一系列屬性定義，訪問控制策略將密文的解密密鑰與用戶的屬性集合相關(guān)聯(lián)。解密時，當且僅當用戶解密密鑰的屬性集合與密文的屬性集合之間的交集達到系統(tǒng)設(shè)定的門限值時才能解密，因此，在基于CPABE的加密方法中，加密方僅需要對密文解密屬性進行定義，并一次性加密數(shù)據(jù)即可，大大降低了加密方的在數(shù)據(jù)加密中的計算開銷。最初提出的基本ABE 機制3僅能支持門限訪問控制策略。為了表示更靈活的訪問控制策略,學者們進一步提出密鑰-策略ABE(KP-ABE)4和密文-策略ABE(CP-ABE)5兩類ABE 機制。在KP-ABE系統(tǒng)中，密鑰與訪問結(jié)構(gòu)樹有

8、關(guān)，密文與屬性集相關(guān)。正因為如此，提出了許多不同的ABE方案16,17,18。在CP-ABE中，密鑰與屬性集相關(guān)，密文與訪問結(jié)構(gòu)樹相關(guān),若屬性集滿足該訪問結(jié)構(gòu)樹，則用戶可以解密。2 ABE加密機制21 相關(guān)定義定義1 雙線性對選取兩個階均為大素數(shù)的乘法循環(huán)群和，是的一個生成元，滿足以下特性的雙線性映射：稱為雙線性映射。（1）雙線性。對于，有。（2）可計算性。對于，存在一個有效的多項式時間算法來計算。（3）非退化性。存在，使得。定義2 訪問結(jié)構(gòu)3是一個實體集，集合，若對于，當且時有，則稱集合是單調(diào)的。一個訪問結(jié)構(gòu)是的一個非空子集，即。包含于的集合稱為授權(quán)集合，不包含于的集合稱為非授權(quán)集合。定義3

9、 離散對數(shù)問題令是一個階位素數(shù)的群，選擇為生成元。離散對數(shù)問題即為：給定的元素，求元素，使其滿足。定義4 DBDH假設(shè) 給定階為素數(shù)的乘法群，是的生成元。隨機選取隨機數(shù)，然后將元素和發(fā)送給攻擊者，由攻擊者來判定是否等于。如果沒有多項式時間攻擊者可以以不可忽略的優(yōu)勢來解決假設(shè)，我們則稱在群上是成立的。22 可證安全模型2.2.1哈希函數(shù)哈希函數(shù)在現(xiàn)在密碼學中起著非常重要的作用，它能夠?qū)⑷我忾L度的消息轉(zhuǎn)化為固定長度的消息摘要。這樣不僅能夠提高密碼算法的速度，還能夠保證數(shù)據(jù)完整性，避免密碼體制受到適應(yīng)性的攻擊33。定義 哈希函數(shù)：在密碼學中，哈希函數(shù)通常是一個確定性的函數(shù)，它把任意長度的比特串映射為

10、固定長度的比特穿。設(shè)哈希函數(shù)，就是把任意長度的0，1符號串映射為長度為n的符號串，它滿足如下安全特性：（1）散列性：對任何一個輸入，其輸出的哈希值應(yīng)當與在區(qū)間0，中均勻分布的二進制符號串在計算上是不可區(qū)分的。（2）有效性：給出一個輸入，對于哈希值的計算，可以在關(guān)于的長度規(guī)模的時間多項式時間范圍內(nèi)完成。（3）單向性：一直一個哈希值，找到一個輸入符號串，使得在計算上是行不通的。（4）抗弱碰撞性：一直一個輸入，找另一個輸入，其中，使得，在計算上是行不通的。（5）抗強碰撞性：找出一對輸入和，其中，使得，在計算上是行不通的。2.2.1標準模型標準模型指的是不需要使用隨機預(yù)言機假設(shè)的安全模型。在安全證明過

11、程中，挑戰(zhàn)者需要對一切真是的環(huán)境進行模擬，包括現(xiàn)實中對哈稀函數(shù)的運用，欺騙攻擊者模擬環(huán)境攻擊操作，利用攻擊者的攻擊能力解決挑戰(zhàn)者面對的困難問題。安全證明過程中，最后總要規(guī)約到一個困難假設(shè)問題上，如CDH,DBDH假設(shè)等。如果在攻擊游戲中，攻擊者成功的對模擬環(huán)境進行攻擊，則將會以不可忽略的概率判定或者解決這些困難問題，這與基本的假設(shè)是相矛盾的，從而證明系統(tǒng)的安全性。其流程如圖所示：2.2 基本ABE Sahai 和Waters2提出基本ABE(fuzzy IBE),系統(tǒng)中的每個屬性用散列函數(shù)映射到 中,密文和用戶密鑰都與屬性相關(guān).該機制支持基于屬性的門限策略,即只有用戶屬性集與密文屬性集相交的元

12、素數(shù)量達到系統(tǒng)規(guī)定的門限參數(shù)時才能解密。KeyGen算法采用Shamir門限秘密共享機制6,將秘密y嵌入到SK的各個構(gòu)件中,實現(xiàn)門限策略;SK與隨機多項式p有關(guān),使得不同用戶無法結(jié)合私鑰實施串謀攻擊.Encrypt算法采用雙線性對加密消息,并且密文構(gòu)件與屬性相關(guān),從而規(guī)定了解密必須的屬性;隨機數(shù)s可以防止多次加密情況下用戶首次解密成功即可解密后續(xù)密文的問題?；続BE 只能表示屬性的“門限”操作,且門限參數(shù)由授權(quán)機構(gòu)設(shè)置,訪問控制策略并不能由發(fā)送方?jīng)Q定。由于ABE機制本身存在的缺陷，Goyal等人4提出由接收方制定訪問策略的KP-ABE機制,支持屬性的與、或、門限操作。Bethencourt等

13、人5提出由發(fā)送方規(guī)定密文的訪問策略的CP-ABE機制。在KP-ABE中用戶是訪問結(jié)構(gòu)樹相對應(yīng)的，而存儲在云端的文件數(shù)據(jù)是和屬性相關(guān)的。用戶的私鑰是由數(shù)據(jù)屬主（DO data owner）以訪問結(jié)構(gòu)樹和主密鑰為輸入生成的。存儲在云端文件數(shù)據(jù)的密文是DO以公開參數(shù)和屬性對信息M加密生成的。只要當用戶的訪問結(jié)構(gòu)樹滿足文件數(shù)據(jù)的屬性，用戶才能解密得到明文。訪問結(jié)構(gòu)如圖1所示： 圖 1 KP-ABE的訪問結(jié)構(gòu)樹而后，Bethencourt等人5提出了基于密文策略的屬性加密方案(ciphertext-policy attribute-based encryption, CP-ABE)，和KP-ABE不同在

14、于，在CP-ABE中，用戶是和屬性集相關(guān)，而文件數(shù)據(jù)是和訪問結(jié)構(gòu)樹相關(guān)。用戶的私鑰是由DO以屬性集和主密鑰為輸入而生成的，文件數(shù)據(jù)的密文是DO以訪問結(jié)構(gòu)樹和公開參數(shù)對密文進行加密而生成的。只有當用戶的屬性集滿足文件所對應(yīng)的訪問結(jié)構(gòu)樹時，用戶才能解密得到密文。KP-ABE和CP-ABE的訪問結(jié)構(gòu)樹： 由圖1可知訪問樹的基本結(jié)構(gòu)：葉子節(jié)點是屬性，內(nèi)部節(jié)點是閾值門，如“AND”或“OR”。在KP-ABE和CP-ABE中，都是采用這種訪問結(jié)構(gòu)。設(shè)T是一棵代表訪問結(jié)構(gòu)(即策略)的樹，樹的每一個非葉子節(jié)點由其孩子節(jié)點和一個門限值來描述，門限就是使得具有不同屬性的用戶可以通過不同的路徑到達該門限所在節(jié)點(表

15、示特定的訪問等級)的路徑數(shù)。假設(shè)是非葉子節(jié)點 x的孩子節(jié)點數(shù)目， 是其門限值，則有。當時，門限是 OR 門；當時，門限是 AND 門，顯然，還可以是非1和非的其他值。樹的每一個葉子節(jié)點由一個屬性和門限值描述。是節(jié)點 x的父節(jié)點，為x節(jié)點的子節(jié)點進行編號，用來表示節(jié)點x的編號，對以任意方式給定的密鑰，存取結(jié)構(gòu)中節(jié)點的值是唯一指定的。當x是葉子節(jié)點時，函數(shù)表示與樹的葉子節(jié)點相聯(lián)系的屬性。訪問樹規(guī)定每個節(jié)點的孩子節(jié)點次序，即將每個節(jié)點的孩子節(jié)點從 編號。 以下將說明屬性集如何滿足策略樹，即想要訪問消息的用戶的屬性集包含加密消息的用戶在制定訪問策略時所定義的屬性集。設(shè)訪問樹的根為r，表示的根為x的子樹

16、，如果屬性集滿足存取樹，就用 表示。計算如下： (1)如果x是非葉子節(jié)點，對x的所有孩子節(jié)點z計算.(2)當且僅當至少個孩子節(jié)點的返回1時，才返回1。 (3)如果x是葉子節(jié)點，且，則返回 1。我們對以上三種ABE機制進行比較。其中表示與用戶相關(guān)的屬性數(shù)目，表示與密文相關(guān)的屬性數(shù)目。表示雙線性群，表示滿足訪問控制樹的內(nèi)部節(jié)點數(shù)目（包括根節(jié)點），表示雙線性配對操作。方案ABE8KP-ABE6CP-ABE7密鑰大小密文大小加密開銷解密開銷基本的ABE算法，KP-ABE以及CP-ABE算法在復(fù)雜性假設(shè)，策略靈活性和使用范圍方面都有明顯的差別?；続BE和KP-ABE均采用DBDH假設(shè)，而CP-ABE采

17、用一般雙線性群模型假設(shè)。對于基本的ABE來說，利用線性秘密分享的思想給出了一個ABE的雛形，具有良好的容錯性，但是訪問結(jié)構(gòu)不夠靈活，應(yīng)用方面較窄；公鑰與系統(tǒng)的屬性個數(shù)線性相關(guān)，雙線性對數(shù)目和冪運算次數(shù)較多。KP-ABE給出了第一個比較完善的ABE方案，并提出了KP-ABE和CP-ABE的劃分，引入屬性訪問控制結(jié)構(gòu)，支持門限、與門、或門操作，但是其安全模型不夠強。對于CP-ABE來說，公鑰與主密鑰的長度與系統(tǒng)中屬性個數(shù)無關(guān)，發(fā)送方構(gòu)造訪問控制結(jié)構(gòu)，并參與控制用戶的解密，擴大了ABE的應(yīng)用范圍，具有更現(xiàn)實的應(yīng)用意義。但是解密算法中雙線性對操作翻倍。 為了在DBDH 假設(shè)下實現(xiàn)策略靈活的CP-ABE

18、 機制,Goyal 等人7和Liang 等人9采用有界樹結(jié)構(gòu).Ibraimi等人10采用一般的訪問樹結(jié)構(gòu),消除了界限條件的約束。Ling cheung等人17等人提出了一個CP-ABE方案在DBDH假設(shè)下是選擇選擇明文安全（CPA）的，這個方案采用匿名性，這樣可以使用更少的群元素來表示所有的屬性。這樣減少了密文的長度，加密指數(shù)的數(shù)量，解密中線性對運算的數(shù)量。但是訪問策略沒有達到一般的訪問控制結(jié)構(gòu)，只是正負屬性描述和與門操作。Hur等人30在CP-ABE的基礎(chǔ)上進行改進，采用雙重加密，即基于屬性的加密和每個屬性群的群密鑰加密，但是該方案不能抵抗用戶的聯(lián)合攻擊。如果服務(wù)管理員不守信用，則會泄漏信息

19、。與CP-ABE5采用的樹訪問結(jié)構(gòu)不同，Waters8實現(xiàn)了強數(shù)值假設(shè)下支持與門、或門、門限操作，采用判定性并行雙線性Diffie-Hellman 指數(shù)(decisional Parallel Bilinear Diffie-HellmanExponent,簡稱DPBDHE)11假設(shè)。采用LSSS 訪問結(jié)構(gòu)12 ,其中為矩陣。但是這種機制的密文長度，加/解密時間都會隨著訪問結(jié)構(gòu)的復(fù)雜度線性增長。Lewko 等人13采用雙系統(tǒng)加密機制14,15,首先用完全可行的方法實現(xiàn)CCA 安全的CP-ABE 機制.訪問結(jié)構(gòu)也采取LSSS 矩陣, 與以往ABE 機制不同,群G1,G2 以3個不同素數(shù)的乘積作為

20、階,以這3 個素數(shù)為階的G1的子群具有正交性。該機制基于3個3素數(shù)子群判定問題(3P-SDP)15證明了CCA 安全。3 多授權(quán)機構(gòu)的屬性基加密（Multi-authority ABE）基本ABE屬于單授權(quán)機構(gòu)情形,不能滿足大規(guī)模分布式應(yīng)用對不同機構(gòu)協(xié)作的需求;授權(quán)機構(gòu)必須完全可信,違背了分布式應(yīng)用要求信任分散的安全需求;授權(quán)機構(gòu)管理系統(tǒng)中所有屬性,為用戶頒發(fā)密鑰,工作量大,成為系統(tǒng)的性能瓶頸.多授權(quán)機構(gòu)ABE不僅能夠滿足分布式應(yīng)用的需求,而且可將單授權(quán)機構(gòu)的信任和工作量分散到系統(tǒng)的所有授權(quán)機構(gòu)上,所以研究多機構(gòu)情況下的ABE是必要的。但是,每個授權(quán)機構(gòu)獨立頒發(fā)密鑰和用戶密鑰準確性的需求,給多

21、機構(gòu)ABE 的研究帶來了挑戰(zhàn)。多機構(gòu)ABE 系統(tǒng)包含多個屬性授權(quán)機構(gòu)(AA)和大量用戶.用戶向某個AA 證明自己具有某些該機構(gòu)管理的屬性,請求相應(yīng)的解密密鑰。每個AA 都有一個主密鑰.為保證解密的正確運行,所有AA 的主密鑰之和應(yīng)為系統(tǒng)的主密鑰。但是,如果AA 用相同的主密鑰為每個用戶生成私鑰,那么具有足夠多屬性的用戶將能夠重構(gòu)AA的主密鑰,不同用戶串謀就可恢復(fù)出系統(tǒng)主密鑰,從而威脅系統(tǒng)安全性。因而,解密正確性和系統(tǒng)安全性之間存在矛盾,這是多機構(gòu)ABE 的研究難點。目前,關(guān)于多機構(gòu)ABE 的研究工作都以基本ABE機制為基礎(chǔ),采用用戶全局唯一標識(GID)10來防止用戶串謀.根據(jù)是否采用中央授權(quán)

22、機構(gòu)(central authority,簡稱CA)來保證解密的正確運行,目前的研究分為采用CA10,11的多機構(gòu)ABE和無CA12,13的多機構(gòu)ABE兩類.3.1 采用CA的多機構(gòu)ABE機制首先Chase10提出了一種Multi-authority ABE，采用用戶GID，偽隨機函數(shù)和CA來解決多授權(quán)ABE,在MA-ABE中，AA獨立為用戶頒發(fā)密鑰，CA參與授權(quán)，但不知道用戶的屬性，系統(tǒng)增加新AA時,CA選擇新的系統(tǒng)主密鑰和公鑰,保存新AA的PRF種子.所有從新AA獲取屬性私鑰的用戶必須從CA獲取新的,但無需從舊AA獲取私鑰構(gòu)件.缺點是CA掌握了主密鑰以及所有屬性機構(gòu)的偽隨機種子，致使能夠解

23、密用戶密文,必須完全可信，并且只能支持與門訪問策略。另外,用戶需要向AA提交GID,使得AA之間能夠根據(jù)GID恢復(fù)用戶的完整輪廓,可能危害到用戶隱私.而且,用戶屬性變更會引起GID變更。S.Muller等人32提出了一種Multi-authority ABE，但是仍需要采用CA管理所有的屬性，沒有從根本上解決系統(tǒng)瓶頸。為了解決MA-ABE中CA完全可信的問題，Bozovic等人11基于DBDH假設(shè)提出一種將CA視為誠實但好奇的方法：CA誠實地遵守協(xié)議，同時好奇地解密密文。3.2 采用無CA的多機構(gòu)ABE機制為了避免CA給系統(tǒng)帶來瓶頸，Lin等人12等人采用密鑰分發(fā)和聯(lián)合的零秘密共享技術(shù)14解決

24、研究挑戰(zhàn)，基于DBDH假設(shè)提出一種多AA的ABE機制。但是該機制最多只能防止個用戶的聯(lián)合攻擊，只要串謀用戶數(shù)目達到（+1），加密就不安全。增加新AA時需要重新初始化整個系統(tǒng)，開銷很大。Chase等人13后來提出了Multi-authority ABE機制剞劂了只能防止個用戶串謀的問題，避免了用戶向AA提交GID帶來的隱私危害，該機制在初始化階段執(zhí)行一次共享，解密的最后階段與GID無關(guān)，保證了解密能力僅由用戶屬性決定。只要至少有兩個AA是誠實的，就能保證該機制是安全的，最多容忍（）個AA被破壞。同時采用匿名密鑰頒發(fā)協(xié)議保護用戶隱私，用戶與AA交互時采用別名，對AA隱藏身份GID。缺點是增加AA時

25、，系統(tǒng)公鑰改變，用戶必須向所有的AA重新申請密鑰，開喜愛隨用戶數(shù)目線性增長。在15中，Lewko等人提出了一種新的綜合方案，不再需要中央機構(gòu)CA，它采用用戶的GID來抵抗用戶的合謀攻擊，采用布爾公式來表達屬性，最終將布爾公式轉(zhuǎn)化為LSSS訪問矩陣。但是該方案中采用混合階線性群，導致計算代價很大。Rujs31等人在Lewko15基礎(chǔ)上進行改進，提出了DACC（Distributed Access Control in Clouds）方案，但是數(shù)據(jù)屬主DO的存儲代價太大，DO需要存儲每一個密文的加密密鑰，仍然沒有解決DO的存儲與計算代價。表2 多授權(quán)機構(gòu)ABE方案的比較方案采用CA訪問策略容忍度A

26、KI貢獻C07101CA門限0CA0開創(chuàng)了多機構(gòu)ABE方案研究的難點問題；各授權(quán)機構(gòu)獨立分發(fā)密鑰LCLS08110CA門限個用戶0首次實現(xiàn)了無CA的ABE方案BSSV09121CA門限0CA0采用了“誠實但好奇”的CA，且CA無解密能力CC09130CA門限（）個AA無中央授權(quán)機構(gòu)；能夠保護用戶的隱私4 結(jié)束語通過對上述文獻的了解與分析，多授權(quán)機構(gòu)屬性基加密存在的問題仍然沒有很好的解決。通過對上述文獻的了解與分析，多授權(quán)機構(gòu)屬性基加密中的許多問題仍然沒有很好的解決。第一，許多Multi-authority ABE方案中都采用CA,系統(tǒng)需要定期地維護CA，這樣增加了系統(tǒng)的開銷。第二，一些方案中采

27、用用戶GID，由于用戶必須向每個授權(quán)機構(gòu)提交相同的GID，所以這樣很容易導致用戶隱私信息的泄漏。第三，目前的Multi-authority ABE方案都是處在理論階段，還沒有真正的系統(tǒng)能夠?qū)崿F(xiàn)基于多授權(quán)機構(gòu)的跨域數(shù)據(jù)安全共享。所以針對于以上幾個問題，我們提出一種基于多授權(quán)機構(gòu)的跨域數(shù)據(jù)安全共享方案，不需要采用CA以及用戶GID。我們首先完成用戶跨域數(shù)據(jù)安全共享方案，在此基礎(chǔ)上研究建立基于Linux系統(tǒng)的多授權(quán)機構(gòu)跨域數(shù)據(jù)安全共享的原型系統(tǒng)，使用戶能夠在不通的授權(quán)主體訪問環(huán)境下安全、高效的訪問密文數(shù)據(jù)。參考文獻1 W.Diffie,M.E.Hellman,(1976).New direction

28、s in cryptography.IEEE Trans.Inf. Theory.22(6). 644-654.2A.Shamir,“ Identity-based cryptosystems and signature schemes,” in Proceedings of the 4st Annual International Cryptology Conference: Advances in Cryptology - CRYPTO84. Springer, 1984, pp. 4753.3 Sahai A, Waters B. Fuzzy identity based encrypt

29、ionC/ Proceedings of the Advances in Cryptology (EUROCRYPT), Aarhus, Denmark, 2005. Berlin, Heidelberg: Springer- Verlag, 2005: 457473.4Vipul Goyal，Omkant Pandey，Amit Sahai，and Brent Waters，(2006)Attribute-based encryption for fine-grained access control of encrypted dataACM Conference on Computer a

30、nd communications Security8998，5Bethencourt，J，Sahai，A，Waters，B(2007)Ciphertext-policy attribute-based encryptionIEEE Symposium on Security and Privacy，IEEE Computer Society32 13346Shamir A. How to share a secretJ. Communications of the ACM, 1979, 24(11): 612613.7 Goyal V, Jain A, Pandey O, Sahai A.

31、Bounded ciphertext policy attribute based encryption. In: Aceto L, Damgård I, Goldberg LA,Halldórsson M M, Ingólfsdóttir A, Walukiewicz I, eds. Proc. of the ICALP 2008. Berlin, Heidelberg: Springer-Verlag, 2008.579591. doi: 10.1007/978-3-540-70583-3_47.8 Waters B. Ciphertext-Poli

32、cy attribute-based encryption: An expressive, efficient, and provably secure realization. /2008/290.pdf doi: 10.1007/978-3-642-19379-8_4.9 Liang XH, Cao ZF, Lin H, Xing DS. Provably secure and efficient bounded ciphertext policy attribute based encryption. In: Proc.of the ASIAN

33、ACM Symp. on Information, Computer and Communications Security (ASIACCS 2009). New York: ACM Press,2009. 343352. doi: 10.1145/1533057.1533102.10 Ibraimi L, Tang Q, Hartel P, Jonker W. Efficient and provable secure ciphertext-policy attribute-based encryption schemes. In: Proc.of the Information Secu

34、rity Practice and Experience. Berlin, Heidelberg: Springer-Verlag, 2009. 112. doi: 10.1007/978-3-642-00843-6_1.11 Attrapadung N, Imai H. Conjunctive broadcast and attribute-based encryption. In: Shacham H, Waters B, eds. Proc. of the Pairing-Based Cryptography-Pairing 2009. Berlin, Heidelberg: Sprin

35、ger-Verlag, 2009. 248265. doi: 10.1007/978-3-642-03298-1_16 .12 Beimel A. Secure schemes for secret sharing and key distribution Ph.D. Thesis. Technion: Israel Institute of Technology, 1996.13 Lewko A, Okamoto T, Sahai A, Takashima K, Waters B. Fully secure functional encryption: Attribute - Based e

36、ncryption and (hierarchical) inner product encryption. In: Advances in Cryptology-EUROCRYPT 2010. LNCS 6110, Berlin, Heidelberg:Springer-Verlag, 2010. 6291. doi: 10.1007/978-3-642-13190-5_414 Waters B. Dual system encryption: Realizing fully secure abe and hide under simple assumptions. In: Halevi S

37、, ed. Advances in Cryptology-CRYTO 2009. Berlin, Heidelberg: Springer-Verlag, 2009. 619636. doi: 10.1007/978-3-642-03356-8_36.15 Lewko A, Waters B. New techniques for dual system encryption and fully secure hide with short ciphertexts. In: Proc. of the 7th Theory of Cryptography Conf. (TCC 2010). Be

38、rlin, Heidelberg: Springer -Verlag, 2010. 455479. doi: 10.1007/978-3-642-11799-2_27 .16 M. Chase. Multi-authority attribute based encryption. In TCC, pages 515-534, 2007.17 L. Cheung and C. Newport. Provably secure ciphertext policy abe. In ACM Con- ference on Computer and Communications Security, p

39、ages 456-465, 2007.18 R. Ostrovksy, A. Sahai, and B. Waters. Attribute Based Encryption with Non-Monotonic Access Structures. In ACM conference on Computer and Communications Security, pages 195-203, 2007.19 Boovi V, Socek D, Steinwandt R, Villányi VI. Multi-Authority attribute based encryption

40、 with honest-but-curious centralauthority 2009. /2009/083.pdf.20 Lin H, Cao ZF, Liang X, Shao J. Secure threshold multi authority attribute based encryption without a central authority. In: Chowdhury DR, Rijmen V, Das A, eds. Proc. of the Cryptology inIndia-INDOCRYPT 2008. Berli

41、n, Heidelberg: Springer-Verlag,2008. 426436. doi: 10.1007 /978-3-540-89754-5_33.21 Chase M, Chow SSM. Improving privacy and security in multi-authority attribute-based encryption. In: Proc. of the ACM Conf. on Computer and Communications Security. New York: ACM Press, 2009. 121130. doi: 10.1145/1653

42、662.1653678.22 A. Lewko and B. Waters, “Decentralizing attribute-based encryption,”Advances in CryptologyEUROCRYPT 2011, pp. 568588, 2011.23 Goyal V, Lu S, Sahai A, Waters B. Black-Box accountable authority identity-based encryption. In: Proc. of the ACM Conf. onComputer and Communications Security. New York: ACM Press, 2008. 427436. doi: 10.1145/1455770.1455824.24 劉帆，楊明.一種用于云存儲