張銳 譚高升 馬暉 陶楊

摘要 提出支持全同態(tài)密文計算的訪問控制加密（FH-ACE）方案，并給出基于帶錯學(xué)習(xí)（Learning with Error）困難性問題的具體構(gòu)造.首先，根據(jù)全同態(tài)加密（Fully Homomorphic Encryption）概念和訪問控制加密（Access Control Encryption）概念，給出支持全同態(tài)密文計算的訪問控制加密方案的定義以及需要滿足的安全模型；其次，提出以滿足特定條件的全同態(tài)加密方案為基本模塊的黑盒構(gòu)造，并分析基于目前的全同態(tài)加密方案，具體構(gòu)造所面臨的困難點以及解決方法；最后，基于帶錯學(xué)習(xí)困難性問題，給出支持全同態(tài)密文計算的訪問控制加密方案的具體構(gòu)造.

關(guān)鍵詞 訪問控制加密；全同態(tài)加密；帶錯學(xué)習(xí)；密文計算

中圖分類號TN918.4

文獻標志碼A

0 引言

訪問控制加密[1]是一種新的密碼原語，它不僅實現(xiàn)對發(fā)送消息的加密保護，而且控制發(fā)送者的消息發(fā)送權(quán)限.這與傳統(tǒng)的基于屬性的加密方案[2-4]不同，傳統(tǒng)的基于屬性的加密方案只對解密者的身份進行控制，而不限制消息發(fā)送者的發(fā)送權(quán)限.另一方面，全同態(tài)加密[5-9]是近些年密碼學(xué)研究的熱點，其主要實現(xiàn)數(shù)據(jù)的密文操作.由于這兩種加密具有重要的應(yīng)用價值，因此，構(gòu)造同時具有訪問控制加密和全同態(tài)加密功能的加密方案顯得更具意義，我們將其稱為支持全同態(tài)密文計算的訪問控制加密（FH-ACE）.FH-ACE非常適合保護大數(shù)據(jù)的安全性，其既可以保護數(shù)據(jù)在傳輸中的機密性，又可防止因計算機病毒等原因“腐化”的用戶向低權(quán)限用戶泄露信息，同時可以支持云服務(wù)器下對大數(shù)據(jù)的機密處理.

本文首先提出FH-ACE方案的定義及安全模型，再以全同態(tài)加密方案為基本模塊，給出FH-ACE方案的抽象構(gòu)造和證明，最后，基于全同態(tài)加密中的GSW方案[9]，給出FH-ACE的具體構(gòu)造.

FH-ACE的安全模型與ACE的安全模型相似，但增加了全同態(tài)密文計算預(yù)言機（Oracle）查詢.因為全同態(tài)算法可以公開計算，所以，全同態(tài)算法的存在不會增加攻擊者的優(yōu)勢.但是，對于多公鑰下的全同態(tài)加密方案，因為不同公鑰間的用戶密文可以相互同態(tài)計算，而FH-ACE安全模型下，敵手可以查詢某些密文的明文信息，所以，無法通過不同用戶之間的獨立性消除全同態(tài)計算算法對安全性的影響，加之多公鑰全同態(tài)加密研究較少，我們暫且不考慮這種情形下的FH-ACE.為保證FH-ACE的安全性，全同態(tài)加密方案需要滿足特定的性質(zhì)，我們將在后文詳細介紹.

Damgrd等[1]在2016年首次提出ACE的概念，并基于加法同態(tài)性，給出了基于DDH和Paillier假設(shè)的具體構(gòu)造，但是他們的方案不支持全同態(tài)密文計算；之后，F(xiàn)uchsbauer等[10]構(gòu)造了不同謂詞策略下，密文長度是用戶數(shù)量多項式對數(shù)復(fù)雜度（Polylog）的ACE方案.而我們的工作則將全同態(tài)計算功能與訪問控制加密功能結(jié)合起來，構(gòu)造支持全同態(tài)密文計算的訪問控制加密方案.

1 FH-ACE定義與安全模型

記FH-ACE=（Setup，Gen，Enc，San，Eval，Dec）為支持全同態(tài)密文計算的訪問控制加密方案，由于篇幅限制，我們只給出Eval算法的定義，其余算法與文獻[1]中ACE的定義完全相同.

推論1 GSW方案可以作為構(gòu)造支持全同態(tài)密文計算的訪問控制加密方案的基本方案：

通過觀察分析，GSW類方案（目前存在許多關(guān)于GSW方案的變形）可能是構(gòu)造FH-ACE方案的最佳選擇，其他方案主要受限于支持的明文空間不是超多項式規(guī)模，無法保證方案加密密鑰的安全性.對于定理2所要求的均勻不可區(qū)分性，只是構(gòu)造方案的充分條件之一，而尋找構(gòu)造FH-ACE的全同態(tài)方案所滿足的充要條件，則需要進一步研究.

4 結(jié)束語

本文構(gòu)造了一種新的密碼學(xué)原語，支持全同態(tài)密文操作的訪問控制加密（FH-ACE），此處的訪問控制加密與已有的基于屬性的加密不同，其既可以保護傳輸消息的機密性，又可以控制消息發(fā)送者的發(fā)送權(quán)限，而后者是基于屬性的加密方案所不具備的.本文首先提出了支持全同態(tài)密文操作的訪問控制加密方案的定義與安全模型，然后給出作為基本模塊的全同態(tài)加密方案需要滿足的性質(zhì)，并給出FH-ACE的抽象構(gòu)造和證明，最后基于GSW方案，給出方案的具體構(gòu)造和分析.

參考文獻

References

[1] Damgrd I，Haagh H，Orlandi C.Access control encryption：Enforcing information flow with cryptography[C]∥Theory of Cryptography Conference，2016：547-576

[2] Goyal V，Pandey O，Sahai A，et al.Attribute-based encryption for fine-grained access control of encrypted data[C]∥ACM conference on Computer and Communications Security，2006：89-98

[3] Waters B.Ciphertext-policy attribute-based encryption：An expressive，efficient，and provably secure realization[C]∥International Conference on Practice and Theory in Public Key Cryptography，2011：53-70

[4] Bethencourt J，Sahai A，Waters B.Ciphertext-policy attribute-based encryption[C]∥IEEE Symposium on Security and Privacy，2007：321-334

[5] Gentry C.Fully homomorphic encryption using ideal lattices[J].ACM Symposium on Theory of Computing，2009，9（4）：169-178

[6] Dijk M V，Gentry C，Halevi S，et al.Fully homomorphic encryption over the integers[C]∥International Conference on Theory and Applications of Cryptographic Techniques，2010：24-43

[7] Brakerski Z，Vaikuntanathan V.Efficient fully homomorphic encryption from （standard） LWE[J].SIAM Journal on Computing，2014，43（2）：831-871

[8] Brakerski Z，Gentry C，Vaikuntanathan V.（Leveled） fully homomorphic encryption without bootstrapping[J].ACM Transactions on Computation Theory，2014，6（3）：1-13

[9] Gentry C，Sahai A，Waters B.Homomorphic encryption from learning with errors：Conceptually-simpler，asymptotically-faster，attribute-based[C]∥Advances in Cryptology-CRYPTO，2013：75-92

[10] Fuchsbauer G，Gay R，Kowalczyk L，et al.Access control encryption for equality，comparison，and more[C]∥IACR International Workshop on Public Key Cryptography，2017：88-118