閆璽璽 劉 媛 李子臣 湯永利

1(河南理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 河南焦作 454003) 2 (北京印刷學(xué)院信息工程學(xué)院 北京 102600) (yanxx@hpu.edu.cn)

隨著互聯(lián)網(wǎng)的發(fā)展以及云計算的應(yīng)用，越來越多的人趨于將數(shù)據(jù)存儲在云端，然而在這些數(shù)據(jù)中可能包含一些敏感信息(比如個人病歷)，為了保護(hù)用戶隱私，經(jīng)常需要對敏感的隱私信息進(jìn)行加密處理.屬性基加密(attribute based encryption, ABE)[1]作為一種新興的公鑰加密技術(shù)，將用戶的身份用一系列的屬性表示，通過對用戶的私鑰或密文設(shè)置屬性集或訪問結(jié)構(gòu)，只有屬性集和訪問結(jié)構(gòu)相匹配時才能解密，從而實現(xiàn)了一對多的通信以及對文件的細(xì)粒度訪問控制，解決了傳統(tǒng)公鑰密碼體制無法滿足云環(huán)境下的訪問控制、安全和效率問題，被認(rèn)為是云環(huán)境中高效的信息分享的最佳選擇.但是由于加密者制定訪問策略的屬性中往往會包含一些敏感的隱私信息，如個人健康病例系統(tǒng)中病人設(shè)置訪問策略為{人民醫(yī)院，醫(yī)生，心臟科}，這些屬性信息很容易泄露病人的隱私.因此，如何實現(xiàn)云環(huán)境數(shù)據(jù)共享中敏感信息的隱私保護(hù)便成為學(xué)者們研究的熱點.

傳統(tǒng)的ABE只有一個可信的機構(gòu)來管理所有的屬性，但在實際應(yīng)用中屬性往往是由多個機構(gòu)管理運行的.單個屬性機構(gòu)的ABE機制不能滿足大規(guī)模分布式環(huán)境的需求，屬性權(quán)威機構(gòu)易受到集中攻擊，另外，屬性權(quán)威機構(gòu)需要為所有的用戶認(rèn)證屬性分發(fā)密鑰，工作負(fù)荷過重，成為系統(tǒng)的性能瓶頸.在此基礎(chǔ)上Chase[2]提出第1個多機構(gòu)屬性基加密方案(multi-authority attribute based encryption, MA-ABE)，多個機構(gòu)分別管理不同的屬性集，并為其權(quán)限內(nèi)的屬性用戶分發(fā)密鑰，該方案有一個可信的中央機構(gòu)及多個屬性機構(gòu)，允許屬性機構(gòu)獨立地監(jiān)控屬性及分配密鑰，但該方案要求中央機構(gòu)完全可信，一旦中央機構(gòu)被破壞，則整個系統(tǒng)都會崩潰.

文獻(xiàn)[3]中Lin等人首次提出無中央機構(gòu)的安全門限多機構(gòu)ABE，該方案采用密鑰分配技術(shù)和零秘密共享技術(shù)，代替了文獻(xiàn)[2]中的偽隨機函數(shù).文獻(xiàn)[4]中Müller等人提出密鑰策略的多機構(gòu)ABE，該方案的中央機構(gòu)只負(fù)責(zé)秘密用戶的密鑰分發(fā)，而屬性密鑰的分發(fā)由多個屬性機構(gòu)來完成，每個屬性分別和一個單獨的屬性機構(gòu)相關(guān).文獻(xiàn)[5]中Chase等人提出提高隱私和安全的多機構(gòu)ABE，該方案移除了可信的中央機構(gòu)，每個用戶都有一個唯一的全域身份標(biāo)識(global identifier, GID)，采用匿名證書技術(shù)隱藏用戶的GID，以防止機構(gòu)累積用戶的信息來保護(hù)用戶的隱私.文獻(xiàn)[6]中Lewko等人提出分權(quán)的多機構(gòu)ABE，該方案中任何一方都可以通過為不同的用戶生成公鑰和發(fā)放私鑰成為機構(gòu)，且提出一種將用戶的密鑰與GID相連的技術(shù)以抵抗共謀攻擊.文獻(xiàn)[7]中Xhafa等人提出云計算中具有隱私意識的基于屬性的個人健康記錄共享系統(tǒng)，該方案是一種密鑰策略的多機構(gòu)的ABE，通過隱藏訪問策略保護(hù)訪問用戶的隱私.文獻(xiàn)[8]中Han等人提出提高隱私和安全的分權(quán)的密文策略的多機構(gòu)ABE，該方案采用承諾方案和零知識證明技術(shù)來保護(hù)用戶的GID和屬性，這是第1篇保護(hù)用戶屬性的方案.但是，在文獻(xiàn)[9]中Wang等人指出文獻(xiàn)[8]中所提的方案并不能很好地保護(hù)用戶的屬性.文獻(xiàn)[10]中Qian等人提出基于多機構(gòu)屬性基加密的可撤銷屬性和隱私保護(hù)的個人健康病例系統(tǒng)，該方案提供用戶屬性的撤銷及策略更新.文獻(xiàn)[11]中關(guān)志濤等人提出面向云存儲的基于屬性加密的多授權(quán)中心訪問控制方案，該方案采用最小化屬性分組算法大大減少了用戶訪問文件時所需的密鑰量，系統(tǒng)開銷較小.文獻(xiàn)[12]中陶啟等人提出基于密文策略多機構(gòu)屬性基加密方案，該方案去除中央機構(gòu)，采用訪問樹策略及Shamir秘密共享技術(shù)，并支持屬性撤銷.文獻(xiàn)[13]中吳光強提出適合云存儲的訪問策略可更新多中心CP-ABE方案，該方案設(shè)置的多授權(quán)機構(gòu)可以防止密鑰泄露，增加系統(tǒng)的靈活性和安全性.但文獻(xiàn)[11-13]并不提供用戶的屬性隱私保護(hù).

從上述分析可以看出，多機構(gòu)ABE方案一般通過保護(hù)用戶GID來保護(hù)用戶隱私，而很少考慮用戶的其他屬性泄露所引起的隱私問題.例如高校招生系統(tǒng)中，系統(tǒng)將考生的報考檔案信息保存至云服務(wù)器，高校使用考生的姓名、身份證號、報考院校等加密考生的信息，訪問策略如圖1所示，但在這些屬性中，身份證號和報考院校等都是較為敏感的信息，其內(nèi)容涉及考生隱私，所有的屬性信息都需要進(jìn)行保護(hù).已有的多機構(gòu)ABE方案[6-11]大多數(shù)都是線性秘密共享(linear secret-sharing schemes, LSSS)技術(shù)，但是LSSS中分享矩陣如何表達(dá)訪問控制策略并沒有進(jìn)行詳細(xì)的描述.在標(biāo)準(zhǔn)假設(shè)下，LSSS矩陣和訪問樹結(jié)構(gòu)都支持屬性的與、或、門限操作，但是LSSS秘密分享矩陣構(gòu)造相對復(fù)雜.而訪問樹通常利用拉格朗日多項式插值來實現(xiàn)，構(gòu)造復(fù)雜度相對較低，因此基于訪問樹的ABE方案在應(yīng)用中更為實用.

Fig. 1 General access policy圖1 普通訪問策略

結(jié)合文獻(xiàn)[14]中的思想，本文基于訪問樹結(jié)構(gòu)，提出一種支持隱私保護(hù)的多機構(gòu)ABE方案，實現(xiàn)對用戶屬性的隱私保護(hù)，只利用屬性名進(jìn)行加密，從而有效保護(hù)用戶的隱私，具體訪問策略如圖2所示：

Fig. 2 Partially hidden access policy圖2 半隱藏訪問策略

本文主要包括3點創(chuàng)新：

1) 將屬性分為屬性名和屬性值2部分，加密時只針對屬性名進(jìn)行加密，而將屬性值隱藏，解密時只需提供其屬性值，看其是否滿足該屬性名下的屬性值.

2) 采用半策略隱藏的方式進(jìn)行加密訪問策略的設(shè)置，加密時僅對與用戶相關(guān)的屬性進(jìn)行加密，而不是對系統(tǒng)所有屬性進(jìn)行加密，改變了已有的隱私保護(hù)屬性基加密方式.

3) 實現(xiàn)對用戶所有屬性的保護(hù)，不再單一通過對GID隱藏進(jìn)行隱私保護(hù)，而是將GID作為用戶的一種屬性，通過保護(hù)屬性保護(hù)用戶的GID，實現(xiàn)對用戶的隱私保護(hù).

1 相關(guān)知識

1.1 雙線性對

令G0，G1為2個階為素數(shù)p的乘法循環(huán)群，g0為G0的生成元，存在雙線性映射e:G0×G0→G1，且有3個特征：

1) 雙線性.?x,y∈p，?m,n∈G0，有e(mx,ny)=e(m,n)xy.

2) 可計算性.?m,n∈G0，存在有效算法計算e(m,n).

3) 非退化性.e(g0,g0)≠1.

1.2 訪問結(jié)構(gòu)

假定{p1,p2,…,pn}為參與方的集合，集合P?2{p1,p2,…,pn}，若對于?X,Y：若X∈P且X?Y，有Y∈P，則稱P是單調(diào)的；訪問結(jié)構(gòu)是{p1,p2,…,pn}的非空子集P，即P?2{p1,p2,…,pn}{?}，包含在P內(nèi)的集合是授權(quán)集合，不包含在P內(nèi)的集合是非授權(quán)集合.

1.3 Shamir(t,n)門限秘密共享

Shamir(t,n)門限秘密共享[15]是將秘密s按一定的方法分成n個共享，任意t個共享都可恢復(fù)出s，其中t≤n；它是以一個t-1階的多項式y(tǒng)=p(x)為基礎(chǔ)的，其具體描述如下：

1.4 素數(shù)階群上的判斷雙線性Diffie-Hellman假設(shè)(DBDH假設(shè))

令G0，G1為2個階為素數(shù)p的乘法循環(huán)群，g0為G0的生成元，存在雙線性映射e:G0×G0→G1，隨機選擇a,b,c∈和V∈G1，給定元組判斷V=e(g0,g0)a bc是否成立.如果對于任一多項式時間的敵手A的優(yōu)勢

2 算法定義與安全模型

2.1 算法定義

本文方案包括系統(tǒng)初始化Setup(1λ)、屬性機構(gòu)初始化Authority-Step(PP)、密鑰生成KeyGen(PP,SKi,Auser)、加密Encrypt(PP,m,(A,T))、解密Decrypt(PP,CT,SKuser)這5個算法，具體如下：

1) 系統(tǒng)初始化Setup(1λ)→PP.系統(tǒng)初始化算法由系統(tǒng)執(zhí)行，輸入安全參數(shù)1λ，輸出系統(tǒng)公共參數(shù)PP.

2) 屬性機構(gòu)初始化Authority-Step(PP)→(PKi,SKi).算法由屬性機構(gòu)執(zhí)行，輸入公共參數(shù)PP，輸出屬性機構(gòu)的公私鑰對.

3) 密鑰生成KeyGen(PP,SKi,Auser)→SKuser.算法由機構(gòu)與用戶交互完成，輸入公共參數(shù)PP、屬性機構(gòu)私鑰SKi、用戶屬性值A(chǔ)user，輸出用戶私鑰SKuser.

4) 加密Encrypt(PP,m,(A,T))→CT.算法由用戶執(zhí)行，輸入公共參數(shù)PP、明文m、訪問結(jié)構(gòu)(A,T)，輸出密文CT.

5) 解密Decrypt(PP,CT,SKuser)→m.算法由用戶執(zhí)行，輸入公共參數(shù)PP、用戶私鑰SKuser、密文CT，輸出明文m.

2.2 安全模型

本方案的安全模型是選擇屬性和選擇明文攻擊下的不可區(qū)分性(indistinguishability against selective attribute and chosen-plaintext attack, IND-sAtt-CPA)游戲，游戲中包含一個挑戰(zhàn)者和一個敵手，挑戰(zhàn)者模擬系統(tǒng)運行并回答敵手的詢問.具體游戲如下：

1) 初始化.敵手選擇要挑戰(zhàn)的訪問結(jié)構(gòu)樹(A,T*)，并將它發(fā)送給挑戰(zhàn)者.

2) 建立.挑戰(zhàn)者執(zhí)行Setup(1λ)和Authority-Setup(PP)算法，生成公共參數(shù)PP及屬性機構(gòu)的公私鑰(PKi，SKi)，并將PP及PKi發(fā)送給敵手.

3) 階段1.敵手為其屬性集合AD發(fā)出私鑰請求，且AD?(A,T*)，挑戰(zhàn)者返回其私鑰SKD.

4) 挑戰(zhàn).敵手發(fā)送2個等長的消息m0，m1給挑戰(zhàn)者，挑戰(zhàn)者隨機選取c∈{0,1}，對mc進(jìn)行加密，返回Cc=Encrypt(PP,mc,(A,T*)).

5) 階段2.敵手繼續(xù)如階段1一樣地限制查詢私鑰.

6) 猜想.敵手輸出對c的猜想c′∈{0,1}.

3 本文方案

方案將屬性分為屬性名和屬性值2部分，假設(shè)系統(tǒng)的全部屬性包括n個不同的屬性名，且n=(a1,a2,…,an)，每個屬性名ai下有ni個不同的屬性值A(chǔ)i=(ai,1,ai,2,…,ai,ni)，用戶的屬性集合為Auser=(a1:a1,t1,a2:a2,t2,…,an:an,tn)，其中ai,ti∈Ai.假設(shè)系統(tǒng)有n個不同的屬性機構(gòu)AA1,AA2,…,AAn，屬性機構(gòu)AAi管理屬性名為ai下的ni個屬性值，ai,ni表示由機構(gòu)AAi管理的屬性名為ai的屬性值.

1) 系統(tǒng)初始化.該算法輸入安全參數(shù)1λ，輸出系統(tǒng)公共參數(shù)PP={e,G,G1,g1,g2,p}，其中g(shù)1,g2是循環(huán)群G的生成元，p為群的素數(shù)階，雙線性映射e:G×G→G1.

2) 屬性機構(gòu)初始化.該算法輸入PP，輸出機構(gòu)AAi的公私鑰對；屬性機構(gòu)AAi隨機選擇αi∈計算：Xi=e(g1,g1)αi；對其管理的屬性名ai，隨機選取ωi∈計算：對其下的每個屬性值ai,ni，隨機選擇ωi,ni∈計算：

則： 屬性機構(gòu)公鑰PKi={Xi,Yi,(Wi,ni)?ai,ni∈Ai}，

屬性機構(gòu)私鑰SKi={αi,ωi,(ωi,ni)?ai,ni∈Ai}.

3) 密鑰生成.該算法由用戶與屬性機構(gòu)AAi交互，屬性機構(gòu)首先檢查用戶的屬性值ai,ti是否是其權(quán)限下的屬性值，若不是，則輸出⊥；否則，隨機選擇γi∈計算：

則用戶私鑰SKuser={Di,Di,ti}(1≤i≤n).

4) 加密.該算法輸入明文m、訪問結(jié)構(gòu)(A,T)，輸出密文CT.利用Shamir門限秘密共享構(gòu)造訪問樹，將葉子節(jié)點與加密者設(shè)置的屬性名ai相對應(yīng)，秘密共享如下：隨機選取s∈設(shè)置訪問樹根節(jié)點為s，并標(biāo)記該節(jié)點已分配，其孩子節(jié)點標(biāo)記為未分配，對所有未分配的非葉子節(jié)點做3個操作.

① 若操作符為∨，且其孩子節(jié)點未分配，則為其孩子節(jié)點賦值s，并標(biāo)記已分配；

② 若操作符為∧，且其孩子節(jié)點未分配，則隨機選擇si∈其中n為其孩子節(jié)點個數(shù)，第n個孩子節(jié)點賦值并標(biāo)記已分配；

③ 若操作符為of，且其孩子節(jié)點未分配，則隨機選取一個t-1階的多項式p(x)，令p(0)=s，利用Shamir(t,n)對s進(jìn)行分割，其中t為門限值，n為孩子節(jié)點數(shù)，對其孩子節(jié)點賦值si=p(i)，并標(biāo)記為已分配.

同樣，隨機選取s′∈按上述方法進(jìn)行分割，對葉子節(jié)點賦值.

令A(yù)τ為葉子節(jié)點表示的屬性名集合，IA為被選屬性機構(gòu)的索引集，對訪問樹的每個葉子節(jié)點進(jìn)行計算：

則密文C=(CT，CT′).

5) 解密.解密時，算法首先計算滿足訪問結(jié)構(gòu)(A,T)的最小子樹min(A,T)，確定解密者是否存在與最小訪問子樹相匹配的屬性值，使得:

Δi(0)為拉格朗日系數(shù)，若存在，則計算:

否則，判斷解密失敗.

4 方案分析

4.1 安全性證明

定義2. 如果DBDH假設(shè)成立，則不存在任何多項式時間內(nèi)的敵手攻擊成功.

游戲開始前挑戰(zhàn)者生成雙線性群(e,p,G,G1)，隨機選擇生成元g1∈G，a,b,c∈拋擲一枚均勻的硬幣，得到數(shù)θ∈{0,1}，如果θ=0，將發(fā)送給敵手，否則，發(fā)送給敵手，其中a,b,c,v∈挑戰(zhàn)者與敵手的游戲如下：

1) 初始化.敵手選擇要挑戰(zhàn)的訪問結(jié)構(gòu)樹(A,T*)，并發(fā)送給挑戰(zhàn)者.

2) 建立.挑戰(zhàn)者隨機選擇xi∈令Xi=e(g1,g1)αi=e(g1,g1)abe(g1,g1)xi，顯然αi=ab+xi，對于機構(gòu)AAi，對其管理的屬性名ai，隨機選取ki∈若αi∈(A,T*)，計算：其中ki=ωi；若αi?(A,T*)，計算：其中對其下的每個屬性值ai,ni，隨機選擇ki,ni∈若ai,ni∈αi∈(A,T*)，計算：其中ki,ni=ωi,ni；若ai,ni∈αi?(A,T*)，計算：其中則屬性機構(gòu)公鑰PKi={Xi,(Yi)?ai,(Wi,ni)?ai,ni}，屬性機構(gòu)私鑰SKi={xi,(ki)?ai,(ki,ni)?ai,ni}；挑戰(zhàn)者將屬性機構(gòu)公鑰PKi發(fā)送給敵手.

4) 挑戰(zhàn).敵手隨機選擇2個等長的消息m0，m1給挑戰(zhàn)者，挑戰(zhàn)者隨機選取c∈{0,1}，對mc進(jìn)行加密.

① 計算：

挑戰(zhàn)者將密文Cc=(C0,C1,C2,C3)發(fā)送給敵手.

5) 階段2.敵手繼續(xù)如階段1同樣地限制查詢私鑰.

6) 猜想.敵手輸出對c的猜想c′∈{0,1}.如果c′≠c，則輸出θ=1，V=e(g1,g1)v，此時敵手不能得到任何有用的信息，即敵手輸出c′≠c的優(yōu)勢為Pr[c′≠c|θ=1]=12，所以敵手輸出c′=c即猜出明文的優(yōu)勢為Pr[c′=c|θ=1]=1-Pr[c′≠c|θ=1]=12.如果c′=c，則輸出θ=0，V=e(g1,g1)a bc，挑戰(zhàn)者挑戰(zhàn)成功，此時敵手的優(yōu)勢Pr[c′=c|θ=0]=

因此，敵手攻擊DBDH假設(shè)的優(yōu)勢為

任何多項式時間內(nèi)敵手贏得IND-sAtt-CPA游戲的優(yōu)勢是可忽略的，因此本文是選擇明文攻擊安全的.

4.2 性能分析

本文通過屬性機構(gòu)公鑰長度、用戶密鑰、密文長度、加解密代價、隱私保護(hù)和安全性假設(shè)6個方面進(jìn)行比較，結(jié)果如表1所示.其中n表示屬性機構(gòu)的個數(shù)，N表示系統(tǒng)屬性個數(shù)，ni表示屬性機構(gòu)AAi所管理的屬性個數(shù)，LG和LG1分別群G和群G1中一個元素的比特長度，Lver表示版本號的長度(文獻(xiàn)[10]中引入了版本號)，Auser和Acip分別表示用戶和密文的屬性個數(shù)，Icip表示加密時使用的屬性所屬的屬性機構(gòu)個數(shù)，ρ表示用戶GID的大小，exp表示指數(shù)運算，e表示雙線性映射，解密代價指解密運算的雙線性對的次數(shù).

Table 1 Comparison of Multi-Authority ABE Schemes表1 多機構(gòu)ABE方案對比

從表1可以看出,本文方案提供對用戶屬性和GID進(jìn)行保護(hù);文獻(xiàn)[6，10]僅僅是保護(hù)用戶GID;文獻(xiàn)[7]通過隱藏訪問策略保護(hù)用戶的隱私;文獻(xiàn)[8]保護(hù)用戶的GID及屬性，這是首次提出保護(hù)用戶屬性的思想,但文獻(xiàn)[9]證明其并不能很好地保護(hù)屬性，本文方案將用戶的屬性分為屬性名和屬性值2部分，通過隱藏屬性值保護(hù)用戶的隱私，并將GID作為屬性進(jìn)行保護(hù).從安全方面來看，文獻(xiàn)[6]僅僅滿足一般群模型下安全，而本文方案和文獻(xiàn)[7，10]是滿足DBDH假設(shè)的.

性能方面，本文在通信代價及計算代價兩方面，與其他方案相比相對較優(yōu).通過對屬性機構(gòu)公鑰長度比較，本文方案比文獻(xiàn)[6-8]縮短了近乎一半，比文獻(xiàn)[10]減少了1個版本號的長度.用戶密鑰長度方面，本文方案比文獻(xiàn)[7-8]大大縮短，達(dá)到了文獻(xiàn)[6]相同的長度.文獻(xiàn)[10]中用戶密鑰盡管較短，但用戶密鑰的生成需要用戶與n個屬性機構(gòu)運行匿名密鑰生成協(xié)議生成，大部分計算由用戶執(zhí)行，計算量較大.密文長度方面，本文方案相比其他方案長度得到優(yōu)化，僅與加密訪問策略中屬性個數(shù)和屬性機構(gòu)個數(shù)相關(guān)，而文獻(xiàn)[7]與屬性總個數(shù)呈線性相關(guān)，文獻(xiàn)[10]與屬性機構(gòu)總個數(shù)相關(guān)，都遠(yuǎn)遠(yuǎn)大于本文方案.計算代價方面從加密計算和解密計算2部分進(jìn)行分析，加密代價本文方案減少了指數(shù)運算和雙線性映射的計算次數(shù)，比其他方案更顯優(yōu)勢.解密代價方面，本文方案遠(yuǎn)遠(yuǎn)小于同樣保護(hù)隱私的文獻(xiàn)[7-8]，僅和用戶的屬性個數(shù)相關(guān)，而文獻(xiàn)[7-8]中如果每個屬性機構(gòu)管理的屬性個數(shù)比較大，用戶解密所付出的代價太大.雖然本文方案解密代價相比文獻(xiàn)[6，10]略高，但是文獻(xiàn)[6，10]并不提供對用戶所有屬性的保護(hù).

綜合分析，本文方案實現(xiàn)對用戶所有屬性的隱私保護(hù)，性能方面也有很大的提高，適用于實際應(yīng)用中用戶屬性規(guī)模遠(yuǎn)遠(yuǎn)小于系統(tǒng)屬性規(guī)模的情況.

5 結(jié)束語

針對云存儲環(huán)境中敏感信息保護(hù)需求，本文提出一種支持隱私保護(hù)的多機構(gòu)ABE方案，并證明其在標(biāo)準(zhǔn)模型下滿足自適應(yīng)性選擇明文安全.本文方案中將屬性分為屬性名和屬性值兩部分，通過對屬性值進(jìn)行隱藏，僅僅對屬性名進(jìn)行加密，有效保護(hù)了用戶的隱私，避免用戶的具體屬性值泄露給其他任何第三方，惡意的用戶無法分析出任何潛在的隱私信息.與其他方案對比結(jié)果顯示，該方案在計算代價和存儲代價方面都有明顯優(yōu)勢.

云環(huán)境中數(shù)據(jù)擁有者經(jīng)常需要動態(tài)地更新訪問策略，這種策略半隱藏方式有利于用戶屬性的動態(tài)更新，只需要對用戶的屬性值進(jìn)行更新，屬性名保持不變，下一步工作我們將針對策略更新進(jìn)行深入地研究.

[1]Sahai A, Waters B. Fuzzy identity-based encryption[C]Proc of the 24th Int Conf on Theory and Applications of Cryptographic Techniques. Berlin: Springer, 2005: 457-473

[2]Chase M. Multi-authority attribute based encryption[C]Proc of Theory of Cryptography Conf. Berlin: Springer, 2007: 515-534

[3]Lin Huang, Cao Zhenfu, Liang Xiaohui, et al. Secure threshold multi-authority attribute based encryption without a central authority[C]Proc of Int Conf on Cryptology in India. Berlin: Springer, 2008: 426-436

[4]Müller S, Katzenbeissior S, Eckert C. On multi-authority ciphertext-policy attribute-based encryption[J]. Bulletin of the Korean Mathematical Society, 2009, 46(4): 803-819

[5]Chase M, Chow S S. Improving privacy and security in multi-authority attribute-based encryption[C]Proc of the 16th ACM Conf of Computer and Communication Security. New York: ACM, 2009: 121-130

[6]Lewko A, Waters B. Decentralizing attribute-based encryption[G]LNCS 6632: Proc of the 30th Int Conf on Theory and Applications of Cryptographic Techniques. Berlin: Springer, 2011: 568-588

[7]Xhafa F, Feng Jianglang, Zhang Yinghui, et al. Privacy-aware attribute-based PHR sharing with user accountability in cloud computing[J]. Journal of Supercomputing, 2015, 71(5): 1607-1619

[8]Han Jinguang, Susilo W, Mu Yi, et al. Improving privacy and security in decentralized ciphertext-policy attribute-based encryption[J]. IEEE Trans on Information Forensics and Security, 2015, 10 (3): 665-678

[9]Wang Minqian, Zhang Zhenfeng, Chen Cheng. Security analysis of a privacy-preserving decentralized ciphertext-policy attribute-based encryption scheme[J]. Concurrency & Computation Practice & Experience, 2016, 28(4): 1237-1245

[10]Qian Huiling, Li Jiguo, Zhang Yichen, et al. Privacy-preserving personal health record using multi-authority attribute-based encryption with revocation[J]. International Journal of Information Security, 2015, 14(6): 487-497

[11]Guan Zhitao, Yang Tingting, Xu Ruzhi, et al. Multi-authority attribute-based encryption access control model for cloud storage[J]. Journal on Communications,2015, 36(6): 116-126 (in Chinese)(關(guān)志濤, 楊亭亭, 徐茹枝, 等. 面向云存儲的基于屬性加密的多授權(quán)中心訪問控制方案[J]. 通信學(xué)報, 2015, 36(6): 116-126)

[12]Tao Qi, Huang Xiaofang. Multi-authority ciphertext-policy attribute-based encryption scheme[J]. Journal of Wuhan University: Nature Science, 2015, 61(6): 545-548 (in Chinese)(陶啟, 黃曉芳. 基于密文策略多機構(gòu)屬性基加密方案[J]. 武漢大學(xué)學(xué)報: 理學(xué)版, 2015, 61(6): 545-548)

[13]Wu Guangqiang. Multi-authority CP-ABE with policy update in cloud storage[J]. Journal of Computer Research and Development, 2016, 53(10): 2393-2399 (in Chinese)(吳光強. 適合云存儲的訪問策略可更新多中心CP-ABE方案[J]. 計算機研究與發(fā)展, 2016, 53(10): 2393-2399)

[14]Lai Junzuo, Deng Huijie, Li Yingjiu. Expressive CP-ABE with partially hidden access structures[C]Proc of the 7th ACM Symp on Information, Computer and Communications Security. New York: ACM, 2012: 18-19

[15]Ibraimi L, Tang Qiang, Hartal P. Efficient and provable secure ciphertext-policy attribute-based encryption schemes[C]Proc of the 5th Int Conf on Information Security Practice and Experience. Berlin: Springer, 2009: 1-12YanXixi, born in 1985. PhD. Member of CCF. Her main research interests include the digital rights management, digital content security.

LiuYuan, born in 1989. Master candidate. Her main research interests include network and information security, cryptography.

LiZichen, born in 1965. PhD. Professor. His main research interests include information security, electronic commerce, and cryptography.

TangYongli, born in 1972. PhD. Professor. Senior member of CCF. His main research interests include the cryptography algorithm detection, network and information security.