《属性基加密》结合作者在属性基加密领域的科研实践, 介绍属性基加密的理论技术体系框架, 并对属性基加密的基础概念和模型、基本构建技术、高级构建技术、扩展面临的主要问题进行系统性阐述. 《属性基加密》重点介绍属性基加密的基础概念和安全模型、(模糊) 身份基加密、谓词编码和双系统技术、基于格的构建技术、通用转换和组合技术, 以及各类安全性扩展、功能性扩展、应用性扩展, 从不同角度对属性基加密的构造方法和证明技术进行阐述, 有助于感兴趣的读者较为全面地理解和把握这些技术。

**部分 绪论
第 1 章 引言
属性基加密是本书的核心内容， 本书引言部分主要介绍属性基加密的发端、发展沿革、应用建议及标准草稿. *后， 我们将提供本书概览.
1.1 属性基加密的发端
属性基加密 (Attribute-Based Encryption， ABE)， 也称为基于属性的加密[1， 2]，是传统公钥加密体制和身份基加密 (Identity-Based Encryption， IBE) 体制的一种拓展， 也是属性密码学的起源[3]. Sahai 和 Waters[1] 在 2005 年*次提出了 ABE的雏形， 即模糊身份基加密 (Fuzzy Identity-Based Encryption， FIBE) 方案， 该方案中的数据加密是基于用户的生物特征来完成的. 2006 年， Goyal 等[2] 在 Sahai和 Waters 的研究基础上， *次提出了可用于细粒度访问控制的 ABE 方案， 其中用户的特征被扩展为和用户特征有关的一系列属性.
通俗来说， 一个 ABE 系统主要涉及三个参与者: 权威中心、数据所有者和数据用户. 权威生成公钥并将其发送给数据所有者， 它还生成主密钥. 数据所有者利用公钥和访问策略 (或属性) 加密数据. 此外， 权威中心根据用户的属性 (或访问策略) 使用主密钥为用户生成解密密钥. 用户接收到解密密钥后对密文进行解密. 根据访问策略的不同， ABE 主要分为密钥策略属性基加密 (Key-Policy ABE，KP-ABE) 和密文策略属性基加密 (Ciphertext-Policy ABE， CP-ABE). 基于属性集合和访问策略之间的关系， ABE 可以有效地实现非交互式访问控制， 并衍生和发展了相关加密体制. Pirretti 等[4] 建立的基于 ABE 原语的新型信息管理系统，展示了 ABE 在隐私保护和分布式信息管理中的应用前景， 目前 ABE 已经被广泛应用在云存储、云计算、电子医疗、数据发布等实际应用中.
1.2 属性基加密的发展沿革
在属性基加密体制发展的过程中， 产生了众多与之相关的加密原语.
. 身份基加密 (Identity-Based Encryption， IBE). Shamir 于 1984 年正式提出关于 IBE 的构想， 并由 Boneh 和 Franklin 在 2001 年正式给出**个基于双线性配对的构造. 在 IBE 中， 用户的身份可以用任意字符串表示， 发送方可以直接用接收方的身份作为公钥加密消息， 私钥则由一个可信的私钥生成器 (Private Key Generator， PKG) 为用户派生， 消除了公钥基础设施 (Public Key Infrastructure， PKI) 系统从认证中心获取公钥证书带来的证书管理问题.
. 模糊身份基加密 (Fuzzy Identity-Based Encryption， FIBE). Sahai和 Waters 于 2005 年*次提出 FIBE 的概念， 在 FIBE 系统中， 用户的身份信息由一个属性集合表示， 加密公钥也是一个属性集合， 当且仅当这两个集合足够 “相近” 时， 解密才能正常执行. FIBE 能够容忍部分错误公钥信息， 其容错程度由度量集合近似度的方法决定， 适用于某些用户的身份信息不能被完全正确提取的场合， 如生物特征的识别等.
. 密钥策略属性基加密 (Key-Policy Attribute-Based Encryption， KPABE).Goyal 等在 2006 年引入了 KP-ABE 的概念， 密文对应于一个属性集合， 密钥对应于一个访问控制结构， 当密文中的属性能够满足用户所持有的密钥中的访问控制结构时， 用户才可以解密消息. 虽然经过多年的发展， 但 KP-ABE 方案中的数据拥有者并没有控制谁可以解密的权限， 这限制了 KP-ABE 的实际应用.
. 密文策略属性基加密 (Ciphertext-Policy Attribute-Based Encryption，CP-ABE). Bethencourt 等在 2007 年提出了 CP-ABE 的概念， 密文对应于一个访问控制结构， 密钥对应于一个属性集合， 当密钥中的属性能够满足密文中的访问控制结构时， 用户才可以解密消息. 与 KP-ABE *大的不同是， CP-ABE 中的数据拥有者拥有控制解密者身份的权限， 这使得 CP-ABE 在访问权限控制的实际应用中更加得心应手.
. 布尔表达式加密 (Boolean Expression Encryption). 布尔表达式可以由一系列真或假的布尔常量、布尔型变量、布尔运算符和布尔值函数组成.一个布尔表达式的秘密共享方案支持用户在生成陷门时根据需求以合取、析取或任意布尔表达式制定关键字搜索策略， 云服务器可以通过陷门搜索到满足秘密共享方案搜索策略的关键字密文， 以此实现更加高效的细粒度多关键字搜索功能.
. 内积加密 (Inner Product Encryption， IPE). 相比于传统的公钥密码体制， 内积加密能为用户提供细粒度和更复杂的访问策略， 在云计算等新兴领域中有着广泛的应用. 内积加密可以看作是身份基加密的一般化， 它可以作为一种工具来构造谓词加密、属性基加密和公钥可搜索加密等密码方案.
. 广播加密 (Broadcast Encryption， BE). 广播加密被广泛用在云计算、物联网等应用中， 实现多用户数据共享和秘密共享. 数据发送者*先选择一组接收者， 然后利用这一组接收者的公钥集合对数据进行加密， 并通过公开信道传输密文， 只有公钥属于集合里的用户才能正确解密并获得明文数据， 非授权用户即使合谋也不能得到加密数据的内容.
. 基于确定性有限自动机加密 (Deterministic Finite Automata BasedEncryption). Waters 于 2012 年提出了支持正则语言的 ABE， 使用确定性有限自动机 (Deterministic Finite Automata， DFA) 作为访问结构生成解密密钥， 以此识别任意长度的属性字符串. 基于 DFA 访问结构的属性基加密方案能够对任意长度的属性字符串进行运算， 相比传统的 ABE 能得到更加灵活的访问策略.
除此之外， 属性基加密体制在发展过程中还有如下功能性扩展:
. 可撤销属性基加密 (Revocable Attribute-Based Encryption). 当用户关联的属性发生变化或用户密钥被泄露时， ABE 中的密钥组件需要进行相应的更新和撤销操作， 这催生了可撤销 ABE 的发展. 已有的撤销方案根据撤销执行方， 可以分为直接撤销和间接撤销两类.
. 可追踪属性基加密 (Traceable Attribute-Based Encryption). 为了应对可能的密钥泄露风险， 可追踪安全的 ABE 也得到了深入的研究， 根据密钥追责时是否需要知晓被泄露的密钥和解密算法， 可将可追踪安全的ABE 方案分为白盒和黑盒追踪 ABE.
. 多权威属性基加密 (Multi-Authority Attribute-Based Encryption).随着大规模云服务应用中用户数量的不断增加， 单权威管理分发密钥以及管理用户属性所需的开销急剧增加， 容易造成系统崩溃. 2007 年 Chase 等通过引入多权威 ABE 方案， 降低了单权威机构的计算负担.
. 访问策略隐藏属性基加密 (Hidden Access Policy Attribute-BasedEncryption). CP-ABE 方案中的访问策略与密文相关且绑定， 但很多时候， 访问策略本身就是敏感信息， 若以明文形式存放在云端会造成用户数据的泄露. 如果 CP-ABE 方案不能隐藏访问策略， 那么用户的隐私信息可能被泄露.
. 抗泄露的属性基加密 (Attribute-Based Encryption Against Leakage)方案. 针对 ABE 机制中侧信道攻击下的密钥泄露问题， 现有的解决方案仅允许密钥的有界泄露. 将连续辅助输入泄露模型和双系统加密相结合， 通过合理设计主密钥和用户私钥的生成过程， 可构造抗泄露的 ABE 方案， 实现主密钥和用户私钥的连续无界泄露.
. 属性基签名 (Attribute-Based Signature， ABS). 为了解决数据完整性、认证性以及用户细粒度访问控制问题， Maji 等于 2011 年*次提出ABS 方案. 在 ABS 中， 签名者密钥由不同的属性生成， 只有当所拥有的属性满足给定的签名策略时才能产生有效签名， 验证者不需要知道签名者的真实身份就能验证签名是否有效， ABS 因其匿名性而受到广泛关注.
1.3 属性基加密应用建议及标准草稿
欧洲电信标准组织 (European Telecommunications Standards Institute， ETSI)网络安全技术委员会在 2018 年发布了两个有关属性基加密的规范， 这些规范描述了如何使用细粒度的访问控制来安全地保护个人数据.
目前， ETSI 已将属性基加密确定为用于高度分布式系统 (如 5G 和 IoT) 中访问控制的关键支持技术. 这两个规范分别是
. ETSI TS 103 458: 它描述了属性基加密的高级要求， 目的是提供给用户身份保护， 防止泄露给未授权实体. 它同时定义了物联网设备、WLAN、云和移动服务上的个人数据保护， 其中基于用户身份进行数据共享.
. ETSI TS 103 532: 它使用属性基加密来指定信任模型、功能和协议， 以控制对数据的访问， 从而提高了数据安全性和隐私性. 它提供了一个加密层，可以在各种级别的安全保证中支持 ABE 的两种变体——密文策略和密钥策略. 这种性能上的灵活性适合各种形式的部署， 无论是在云中、移动网络中还是在 IoT 环境中. 加密层是可扩展的， 新的方案可以集成到标准中，以支持未来的行业需求并应对后量子时代的数据保护挑战.
使用 ABE 的标准在行业中具有多个优势. 它提供了一种有效的默认安全访问控制机制来进行数据保护， 不再依赖传统身份标识进行访问控制， 而是基于匿名身份或匿名属性进行绑定. ABE 为工业场景提供了一种可互操作的、高度可扩展的机制， 在工业场景中， 必须进行快速、离线的访问控制， 并且操作员需要以同步方式从设备以及从云中的更大数据池中访问数据. 因此， “ETSI TS 103 532” 规范特别适合工业物联网和公共部门. 由于它可以在保护数据之后引入访问控制策略， 因此可以与未来的业务和法律要求保持前向兼容性， 例如引入新的利益相关者以及对社会福利计划的支持.
并且， 国际互联网工程任务组 (Internet Engineering Task Force， IETF) 在2007 年发布了一个身份基密码技术标准草案. 该草案规范了实现 Boneh-Franklin(BF) 和 Boneh-Boyen (BB1) 的 IBE 方案. IETF 在 2020 年也相继发布了三个标准草案， 分别是 BLS 签名草案、哈希到椭圆*线草案， 以及配对友好*线草案.
. BLS 签名. 这是一种具有聚合属性的数字签名方案， 给定一组签名 (Sign1，？？？ ， Signn)， 任何人都可以生成聚合签名， 聚合也可以在私钥和公钥上完成. 此外， BLS 签名方案是确定的、不可延展的以及高效的. 它的简单性和加密性质使其可以在各种场景中使用， 特别是在需要*小存储空间或者带宽的情况下.

目录
“密码理论与技术丛书” 序
前言
符号表
**部分 绪 论
第 1 章 引言 3
1.1 属性基加密的发端 3
1.2 属性基加密的发展沿革 3
1.3 属性基加密应用建议及标准草稿 .6
1.4 全书概览 7
第 2 章 基础概念和模型 9
2.1 密码学基础知识 9
2.1.1 概念和符号 9
2.1.2 归约 9
2.1.3 困难问题 10
2.2 属性基加密的形式化定义 12
第二部分 属性基加密的基本构建技术
第 3 章 双线性群和身份基加密 17
3.1 双线性群 17
3.1.1 双线性群的定义 17
3.1.2 椭圆*线和 Weil 配对 17
3.2 全域哈希构建技术 19
3.2.1 单向安全身份基加密 19
3.2.2 选择密文安全身份基加密 21
3.3 交换盲化构建技术 23
3.3.1 基于 BDH 假设的可选择身份安全的分层身份基加密 23
3.3.2 基于 BDHI 假设的高效可选择身份安全身份基加密 26
3.3.3 高效的 CCA2-安全公钥系统扩展 30
3.4 指数逆构建技术 31
3.4.1 方案 1: 选择明文安全 31
3.4.2 方案 2: 选择密文安全 34
第 4 章 秘密共享和模糊身份基加密 40
4.1 秘密共享 40
4.1.1 秘密共享的概念 40
4.1.2 Shamir 秘密共享方案 41
4.1.3 秘密共享与安全多方计算 41
4.2 模糊身份基加密 44
4.2.1 Sahai-Waters 模糊身份基加密方案 44
4.2.2 大属性空间中模糊身份基加密方案 47
第 5 章 属性基加密的构建技术 52
5.1 布尔表达式加密 52
5.1.1 访问结构 52
5.1.2 布尔表达式的秘密共享方案 52
5.2 内积加密和广播加密 55
5.2.1 内积加密 55
5.2.2 广播加密 58
5.3 自动机加密 59
5.3.1 确定性有限自动机 59
5.3.2 自动机加密方案 60
第 6 章 谓词编码和双系统技术 66
6.1 合数阶双线性群 66
6.2 双系统身份基加密 67
6.2.1 方案构造 67
6.2.2 安全分析 68
6.3 谓词编码和通用框架 72
6.3.1 谓词编码 72
6.3.2 双线性 73
6.3.3 双线性编码谓词加密 74
6.4 双系统群 75
6.4.1 定义与性质 75
6.4.2 合数阶双线性群上的双系统群实例 76
6.5 通过谓词编码实现素数阶群中的双系统 ABE 80
6.5.1 Zp-双线性谓词编码 80
6.5.2 编码示例 81
6.5.3 来自双系统群和谓词编码的 ABE .82
6.5.4 ABE 谓词编码示例 88
第三部分 属性基加密的高级构建技术
第 7 章 基于格的构建技术 93
7.1 格基本理论 93
7.2 随机预言机模型下基于 LWE 的身份基加密 95
7.2.1 基于 LWE 的对偶加密系统 96
7.2.2 基于 LWE 的 IBE 方案 97
7.3 标准模型下基于 LWE 问题的身份基加密 99
7.3.1 基本工具 99
7.3.2 基于 LWE 的 IBE 方案 100
7.4 基于 LWE 的属性基加密 105
7.4.1 基本工具 105
7.4.2 基于 LWE 的完全密钥同态公钥加密 105
7.4.3 基于 LWE 的 ABE 方案 .110
第 8 章 通用转换和组合技术 .112
8.1 密钥策略和密文策略的转换 112
8.2 策略组合技术 116
8.2.1 双策略 ABE 116
8.2.2 双谓词定义 118
8.2.3 配对编码定义 119
8.2.4 对完全安全 ABE 的影响 121
8.2.5 通用连词与双策略的转换 122
8.2.6 隐含的实例化 124
第 9 章 其他构建方法 126
9.1 基于剩余理论的构建方法 126
9.2 非黑盒构建技术 127
9.2.1 技术工具 127
9.2.2 非黑盒构建的 IBE 方案 131
9.2.3 非黑盒构建的 HIBE 方案 136
第四部分 属性基加密的扩展
第 10 章 安全性扩展: 属性隐藏和函数隐藏 145
10.1 属性隐藏的属性基加密 145
10.1.1 谓词加密 145
10.1.2 属性隐藏编码 146
10.1.3 属性隐藏的双系统群 146
10.1.4 弱属性隐藏谓词加密 148
10.2 函数隐藏的身份基加密 149
10.2.1 模型定义 150
10.2.2 随机预言机模型下的函数隐藏方案 152
10.2.3 标准模型下的函数隐藏方案 155
10.3 函数隐藏的内积加密 160
10.3.1 模型定义 160
10.3.2 函数隐藏的子空间成员加密通用构造 .161
10.3.3 函数隐藏子空间成员加密的应用 163
第 11 章 功能性扩展: 函数加密 168
11.1 函数加密相关定义 168
11.1.1 函数加密方案的通用语法 168
11.1.2 函数加密的子类 169
11.2 函数加密的安全性 169
11.2.1 基于模拟的安全性定义 170
11.2.2 模拟安全函数加密的不可能性 171
11.3 函数加密方案 172
11.3.1 基本工具 173
11.3.2 基于 MDDH 假设的 IPFE 174
11.3.3 基于 Bi-MDDH 假设的 QFE 176
11.3.4 基于 MDDH 和 Bi-MDDH 假设的 QFE 181
11.3.5 具体方案 183
第 12 章 应用性扩展: 审计、追踪、撤销及其他 186
12.1 可审计扩展 186
12.2 可追踪扩展 193
12.3 可撤销扩展 199
12.4 外包服务 203
12.5 去中心化 208
12.6 其他 211
12.6.1 面向云服务的应用 211
12.6.2 访问策略隐藏属性基加密 213
12.6.3 抗泄露的属性基加密 213
12.6.4 属性基签名 214
第 13 章 总结与展望 215
参考文献 216
索引 229
“密码理论与技术丛书”已出版书目 231