李鎮(zhèn)林,張 薇,戴曉明

1.武警工程大學(xué) 電子技術(shù)系,西安710086; 2.武警部隊(duì) 密碼與信息安全保密重點(diǎn)實(shí)驗(yàn)室(武警工程大學(xué))，西安 710086)(*通信作者電子郵箱lizhenlin19921109@163.com)

支持安全多方同態(tài)乘積計(jì)算的謂詞加密方案

李鎮(zhèn)林1,2*,張 薇1,2,戴曉明1,2

1.武警工程大學(xué) 電子技術(shù)系,西安710086; 2.武警部隊(duì) 密碼與信息安全保密重點(diǎn)實(shí)驗(yàn)室(武警工程大學(xué))，西安 710086)(*通信作者電子郵箱lizhenlin19921109@163.com)

針對(duì)傳統(tǒng)安全多方計(jì)算(SMC)加密方案中,每一位參與者都能獲知最終結(jié)果,這種粗粒度的訪問(wèn)控制不適用于要求特定用戶對(duì)密文進(jìn)行解密的問(wèn)題,提出了對(duì)計(jì)算結(jié)果解密權(quán)限控制更精確的加密方案。通過(guò)與謂詞加密相結(jié)合,構(gòu)造了一種支持安全多方同態(tài)乘積計(jì)算的謂詞加密方案,具有乘法同態(tài)性。與現(xiàn)有的謂詞加密方案相比,該方案不僅支持同態(tài)操作,并且在對(duì)最終計(jì)算結(jié)果的解密權(quán)限上,該方案的控制更加精確。在當(dāng)前云環(huán)境背景下,實(shí)現(xiàn)了對(duì)計(jì)算結(jié)果訪問(wèn)控制細(xì)粒度更高的安全多方計(jì)算,并且驗(yàn)證方案達(dá)到不可區(qū)分的屬性隱藏抵抗選擇明文攻擊(IND-AH-CPA)安全。

安全多方計(jì)算;同態(tài)加密;謂詞加密;云計(jì)算;訪問(wèn)控制

0 引言

安全多方計(jì)算(Secure Multi-party Computation,SMC)[1]主要研究在網(wǎng)絡(luò)環(huán)境中互不信任的多用戶之間的協(xié)作計(jì)算問(wèn)題。它可以概括成以下數(shù)學(xué)模型:在一個(gè)分布式網(wǎng)絡(luò)中,有n個(gè)互不信任的參與者P1,P2,…,Pn,每個(gè)參與者Pi(本文i取值均為i=1,2,…,n)秘密輸入xi,他們共同執(zhí)行函數(shù)F:(x1,x2,…,xn)→y,在計(jì)算過(guò)程中,任意參與者Pi不能得到其他參與者Pj(j≠i)的任何輸入信息。

安全多方計(jì)算是由姚期智教授提出的百萬(wàn)富翁問(wèn)題(Millionaires’problem)[1]延伸而來(lái)。安全多方計(jì)算的參與者利用各自私密數(shù)據(jù)協(xié)同完成某種計(jì)算,但是并不泄露各自私密數(shù)據(jù),因而使人們?cè)谧畲笙薅壤盟矫軘?shù)據(jù)的同時(shí)又不破壞數(shù)據(jù)的隱私性。目前,安全多方計(jì)算的相關(guān)應(yīng)用十分廣泛[2-6]。Goldwasser[7]曾說(shuō):“安全多方計(jì)算是密碼學(xué)領(lǐng)域里一個(gè)極其重要的工具,豐富的理論將使它成為計(jì)算科學(xué)必不可少的組成部分?！?/p>

在傳統(tǒng)的安全多方計(jì)算加密方案中,計(jì)算的參與方都能得到最終結(jié)果,比如保密電子拍賣[6],所有競(jìng)拍者均能獲知最高出價(jià)是多少。然而,這種粗粒度的訪問(wèn)控制可能不適用于一些應(yīng)用,現(xiàn)實(shí)中往往要求某些特定用戶才可得到最終結(jié)果。考慮這樣一個(gè)場(chǎng)景：一家大公司,n個(gè)員工將私密消息以密文形式存儲(chǔ)在公司云服務(wù)器上,現(xiàn)在調(diào)用某種安全多方算法對(duì)密文進(jìn)行計(jì)算,計(jì)算結(jié)果要求只能由公司董事會(huì)成員聯(lián)合解密。針對(duì)此場(chǎng)景,現(xiàn)行解決方案一般是由公司董事會(huì)成員生成聯(lián)合密鑰(PK,SK),員工使用公鑰PK加密明文,云服務(wù)器再將多方計(jì)算結(jié)果反饋給董事會(huì),董事會(huì)成員利用私鑰SK解密。但是,董事會(huì)成員只要有一人將私鑰SK泄露出去,非法用戶就能破解密文。因此,現(xiàn)行方案是不安全的。

謂詞加密(PredicateEncryption,PE)由Katz等[8]提出。謂詞加密是一種新的加密方式,可以提供更加精細(xì)、靈活的功能,如對(duì)加密數(shù)據(jù)的細(xì)粒度訪問(wèn)控制、帶細(xì)粒度關(guān)鍵字搜索的公鑰加密等。在謂詞加密系統(tǒng)中,密鑰與謂詞相關(guān)聯(lián),密文則與屬性向量相關(guān)聯(lián)。具體而言,私鑰skf對(duì)應(yīng)謂詞f,密文加密時(shí)被賦予屬性向量I,當(dāng)且僅當(dāng)用戶謂詞滿足f(I)=1時(shí),密文才能被正常解密,由此達(dá)到了對(duì)密文的訪問(wèn)控制的目的?；谥^詞加密可以構(gòu)建很多細(xì)粒度加密方案,比如IBE(Identity-BasedEncryption)[9-10]、ABE(Attribute-BasedEncryption)[11-12]、HVE(Hidden-VectorEncryption)[13]。

為了解決安全多方計(jì)算最終結(jié)果的訪問(wèn)控制問(wèn)題,借鑒謂詞加密的思想,本文在文獻(xiàn)[14-15]的謂詞加密方案的基礎(chǔ)上,構(gòu)建了一個(gè)不可區(qū)分的屬性隱藏抵抗選擇明文攻擊(INDistinguishableAttribute-HidingagainstChosenPlaintextAttacks,IND-AH-CPA)安全的支持安全多方同態(tài)乘積計(jì)算的謂詞加密方案,可以實(shí)現(xiàn)對(duì)安全多方計(jì)算結(jié)果的指定用戶聯(lián)合解密,該方案具有乘法同態(tài)性。

1 預(yù)備知識(shí)

1.1 雙線性映射

G、GT是由大素?cái)?shù)p生成的循環(huán)群,g為生成元,群階為p,若群G、GT中的離散對(duì)數(shù)問(wèn)題均為困難問(wèn)題,則雙線性映射e:G×G→GT滿足下列性質(zhì):

1)雙線性性:對(duì)任意u,v∈G和a,b∈Zp,都有e(ua,vb)=e(u,v)ab。

2)非退化性:存在u,v∈G,使得e(u,v)≠1。

3)可計(jì)算性:存在有效算法使得對(duì)任意u,v∈G,都可以計(jì)算出e(u,v)。

1.2 支持安全多方計(jì)算的謂詞加密

支持安全多方計(jì)算的謂詞加密方案支持以下函數(shù):

F:Keyfυ×CTχ→{0,1}*

支持安全多方計(jì)算的謂詞加密方案包括下列五個(gè)子算法：

1)初始化算法。輸入相關(guān)安全參數(shù)1λ,輸出公鑰PK和主密鑰MK。

2)密鑰產(chǎn)生算法。輸入主密鑰MK和用戶的謂詞向量υ,輸出解密密鑰skυ。

3)加密算法。輸入公鑰PK、屬性向量χ和對(duì)應(yīng)明文m,輸出密文c。

4)安全多方計(jì)算。輸入多個(gè)用戶產(chǎn)生的密文集合{ci},輸出最終加密結(jié)果C=f(c1,c2,…,cn)。

5)解密算法。輸入解密密鑰skυ與密文C,當(dāng)且僅當(dāng)fυ(χ)=1時(shí),輸出M=f(m1,m2,…,mn)。

1.3 應(yīng)用場(chǎng)景及系統(tǒng)模型

圖1為安全多方謂詞加密應(yīng)用場(chǎng)景及系統(tǒng)模型。

1.3.1 應(yīng)用場(chǎng)景

方案的構(gòu)造中使用三種實(shí)體:

1)普通用戶。存儲(chǔ)和計(jì)算能力都相對(duì)較弱,在參與安全多方計(jì)算時(shí),得不到其他任意用戶的任何輸入信息。

2)云服務(wù)器。有大量的存儲(chǔ)空間和強(qiáng)大的計(jì)算能力,能為用戶提供云存儲(chǔ)服務(wù)及云計(jì)算服務(wù),但是云服務(wù)器上的數(shù)據(jù)可能會(huì)遭受黑客的惡意攻擊,所以必須對(duì)數(shù)據(jù)加密以確保安全性。

3)指定聯(lián)合解密用戶。擁有最終結(jié)果的解密權(quán),云服務(wù)器將安全多方計(jì)算得到的最終結(jié)果反饋給事先指定用戶,由他們完成聯(lián)合解密。

1.3.2 方案步驟

第1步 普通用戶將各自明文加密后的密文集合{ci}傳送給云服務(wù)器;

第2步 云服務(wù)器調(diào)用安全多方謂詞加密算法完成同態(tài)乘積計(jì)算;

第3步 云服務(wù)器將計(jì)算結(jié)果反饋給事先指定的聯(lián)合解密用戶,由他們解密安全多方計(jì)算最終結(jié)果。

圖1 安全多方謂詞加密應(yīng)用場(chǎng)景及系統(tǒng)模型

1.4 安全模型

本文的安全模型借鑒自文獻(xiàn)[8]。

初始化 挑戰(zhàn)者運(yùn)行初始化算法得到相關(guān)參數(shù),把公鑰傳給敵手。

階段1 敵手被允許查詢多組謂詞向量υ所對(duì)應(yīng)的解密密鑰skυ。

階段2 敵手可以繼續(xù)按照階段1的方式進(jìn)行查詢且滿足fυ(χ0)≠1,fυ(χ1)≠1。

猜測(cè) 敵手輸出關(guān)于b的猜測(cè)b′。

定義1 支持安全多方計(jì)算的謂詞加密方案是IND-AH-CPA安全的,當(dāng)敵手在上述安全游戲中多項(xiàng)式時(shí)間內(nèi)優(yōu)勢(shì)可以忽略不計(jì)。

文獻(xiàn)[8]指出,謂詞方案達(dá)到attribute-hiding安全是指加密密文既隱藏明文信息又不泄露屬性信息,與之相對(duì)的payload-hiding安全則不保護(hù)屬性信息。在一些應(yīng)用場(chǎng)合,必須要求屬性信息也不能被泄密,所以payload-hiding安全是不能被接受的。

1.5 安全假設(shè)

本文設(shè)計(jì)的謂詞加密方案,其安全性建立在Boneh等[17]提出的基于雙線性映射子群判定問(wèn)題的擴(kuò)展問(wèn)題之上。

以下假設(shè)和定義來(lái)自文獻(xiàn)[14]。

定義大素?cái)?shù)p1、p2、p3,群G和GT為階N=p1p2p3的循環(huán)群,群Gp1、Gp2、Gp3是群G的子群,其階分別為p1、p2、p3,雙線性映射e:G×G→GT。

假設(shè)1 給定群生成算法ψ,定義如下分布:

Q=(N=p1p2p3,G,GT,e)←ψg,h←Gp1,X3←Gp3,D=(Q,g,h,X3),T0←Gp1,T1←Gp1p2

定義算法A能夠區(qū)分某一元素屬于Gp1或者Gp1p2的優(yōu)勢(shì)為:

定義2 如果對(duì)任意多項(xiàng)式時(shí)間算法A,優(yōu)勢(shì)Adv1ψ,А(λ)都是可以忽略不計(jì)的,那么群生成算法ψ就滿足假設(shè)1。

假設(shè)2 給定群生成算法ψ,定義如下分布:

Q=(N=p1p2p3,G,GT,e)←ψg,h,X1←Gp1,X2,Y2←Gp2,X3,Y3←Gp3,D=(Q,g,h,X3,X1X2,Y2Y3),T0←Gp1p3,T1←G

定義算法A能夠區(qū)分某一元素屬于Gp1p3或者G的優(yōu)勢(shì)為:

定義3 如果對(duì)任意多項(xiàng)式時(shí)間算法A,優(yōu)勢(shì)Adv2ψ,А(λ)都是可以忽略不計(jì)的,那么群生成算法ψ就滿足假設(shè)2。

假設(shè)3 給定群生成算法ψ,定義如下分布:

定義算法A能夠區(qū)分某一元素是T0或者屬于GT的優(yōu)勢(shì)為:

定義4 如果對(duì)任意多項(xiàng)式時(shí)間算法A,優(yōu)勢(shì)Adv3ψ,А(λ)都是可以忽略不計(jì)的,那么群生成算法ψ就滿足假設(shè)3。

2 支持安全多方同態(tài)乘積計(jì)算的謂詞加密方案

Setup(1λ):運(yùn)行初始化算法生成Q=(N=p1p2p3,G,GT,e),G,GT為N階循環(huán)群,隨機(jī)選擇g,h∈Gp1,定義Z=e(g,g),公鑰是

PK={g,h,g1=ga,{Ti=gti}}

KeyGen(MK,υ):用戶的謂詞向量為υ={v1,v2,…,vn},選擇隨機(jī)數(shù)s∈ZN,生成解密密鑰:

Enc(PK,mi):為方便展示算法細(xì)節(jié),本文指定最終結(jié)果只能由Alice(擁有謂詞向量υ1={v11,v12,…,v1n})和Bob(擁有謂詞向量υ2={v21,v22,…,v2n})兩人聯(lián)合解密。首先,Alice和Bob分別選擇隨機(jī)數(shù)a,b∈ZN,并公開(kāi)aυ1={av11,av12,…,av1n},bυ2={bv21,bv22,…,bv2n}。對(duì)n個(gè)不同用戶的明文{mi|mi∈GT},在ZN中選擇隨機(jī)數(shù)ki,生成密文ci。ci由ci1、ci2、ci3三部分組成:

SMC(ci):用戶將各自的密文ci傳送至云服務(wù)器上,由云服務(wù)器完成安全多方計(jì)算。

云服務(wù)器計(jì)算得到的最終結(jié)果為:

C={c1,{ci2},c3}

Dec(C,SK):安全計(jì)算的最終結(jié)果只能由指定用戶Alice和Bob聯(lián)合解密才可得到,為了保證Alice和Bob各自私鑰不被泄露,解密過(guò)程分為以下步驟:

第1步 Alice先用自己密鑰d1i解密密文c1,得到部分密文C′并將其傳送給Bob。其中,部分密文C′計(jì)算過(guò)程如下:

第2步 Bob得到Alice發(fā)送的部分密文C′后,再用自己密鑰d2i進(jìn)行解密并將結(jié)果反饋給Alice:

本文方案是以兩方解密安全多方計(jì)算結(jié)果為背景,當(dāng)然,指定聯(lián)合解密用戶的數(shù)量可以推廣到n(n≥3),只需在算法的細(xì)節(jié)上稍作處理即可。具體而言,在加密算法中,h的冪應(yīng)由2增加至n(n≥3);在解密算法中,所有指定聯(lián)合解密用戶依次解密前者的部分密文,共需n+1步,這一過(guò)程與本文所展示的解密過(guò)程并無(wú)實(shí)質(zhì)區(qū)別。

3 安全性及方案對(duì)比

3.1 安全性分析

為了證明該方案的安全性,本文采取文獻(xiàn)[14]方法。首先定義兩種結(jié)構(gòu):類密文和類密鑰,它們并不在實(shí)際加密中使用而只用于安全性證明。

基于第1章的假設(shè),通過(guò)證明下列Game的不可區(qū)分性,來(lái)證明方案的安全性。

Gamereal中密文與密鑰都是正常的,是實(shí)際加密情況;

Game0中密文是類密文,密鑰為正常密鑰;

Gamek中前k次密鑰查詢?yōu)轭惷荑€查詢;

Gamefinal中所有的密鑰查詢都為類密鑰查詢,密文為類密文。

證明 挑戰(zhàn)假設(shè)1,敵手β將(G,g,h,X3,T)作為算法的輸入,隨機(jī)選擇a,{ti}←ZN,公開(kāi)參數(shù)的設(shè)置與算法初始化相同。敵手β將模擬Gamereal和Game0與敵手A進(jìn)行交互。

在密鑰查詢階段,敵手β能夠由主密鑰MK通過(guò)密鑰生成算法產(chǎn)生相應(yīng)的正常解密密鑰。

對(duì)于敵手A選擇的挑戰(zhàn)明文(m0,m1)及相應(yīng)屬性(χ0,χ1),敵手β把假設(shè)1嵌入到挑戰(zhàn)密文中去,以拋擲硬幣的方式隨機(jī)選擇加密,生成密文c*。c*由c1、ci2、c3三部分組成:

證明 挑戰(zhàn)假設(shè)2,敵手β將(G,g,h,X3,X1X2,Y2Y3,T)作為算法的輸入,隨機(jī)選擇a,{ti}←ZN,公開(kāi)參數(shù)的設(shè)置與算法初始化相同。敵手β將模擬Gamek-1和Gamek與敵手A進(jìn)行交互。

在密鑰查詢階段,當(dāng)查詢次數(shù)大于k時(shí),敵手β由主密鑰MK通過(guò)密鑰生成算法產(chǎn)生相應(yīng)的正常解密密鑰；反之，當(dāng)查詢次數(shù)小于k時(shí)產(chǎn)生類密鑰。當(dāng)查詢次數(shù)小于k時(shí),隨機(jī)選擇s,d←ZN,類密鑰為:

在進(jìn)行第k次查詢時(shí),敵手β利用T,并選擇隨機(jī)數(shù),生成如下密鑰:

對(duì)于敵手A選擇的挑戰(zhàn)明文(m0,m1)及相應(yīng)屬性(χ0,χ1),敵手β以拋擲硬幣的方式隨機(jī)選擇加密,生成密文c*。c*由c1、ci2、c3三部分組成:

證明 挑戰(zhàn)假設(shè)2,敵手β將(G,g,h,X3,grX2,hY2,T)作為算法的輸入,隨機(jī)選擇a,{ti}←ZN,然后公開(kāi)下列參數(shù)PK={g,hY2,g1=ga,{Ti=gti}}。由于敵手A不清楚N的分解,無(wú)法區(qū)分hY2和h。所以敵手β將模擬Gameq和Gamefinal與敵手A進(jìn)行交互。

對(duì)于敵手A選擇的挑戰(zhàn)明文(m0,m1)及相應(yīng)屬性(χ0,χ1),敵手β把假設(shè)3嵌入到挑戰(zhàn)密文中去,以拋擲硬幣的方式隨機(jī)選擇加密,生成密文c*。c*由c1、ci2、c3三部分組成:

如果T=e(g,h2)r,密文c*為類密文。如果T∈GT,密文c*是對(duì)隨機(jī)明文消息加密生成的類密文,故可以模擬Gamefinal。

敵手β將可以利用A的輸出以概率ε解決假設(shè)3。

定理1 若假設(shè)1～3均為困難問(wèn)題,那么該方案達(dá)到IND-AH-CPA安全。

證明 若假設(shè)1～3均為困難問(wèn)題,那么根據(jù)上文引理可知,實(shí)際加密情況與Gamefinal是不可區(qū)分的。在Gamefinal中,挑戰(zhàn)密文不會(huì)泄露關(guān)于b的任何信息。因此,敵手A攻破該方案的優(yōu)勢(shì)是可以忽略不計(jì)的,該方案為IND-AH-CPA安全。

3.2 方案對(duì)比

通過(guò)與文獻(xiàn)[8]和文獻(xiàn)[14]中的謂詞方案相比較(見(jiàn)表1),本文構(gòu)造的支持安全多方同態(tài)乘積計(jì)算的謂詞加密方案,明顯拓展了同態(tài)功能,實(shí)現(xiàn)了多用戶在云環(huán)境下的安全多方計(jì)算,并且在對(duì)最終計(jì)算結(jié)果的解密權(quán)限上,本文方案的控制更加精確,更能滿足實(shí)際應(yīng)用場(chǎng)景。

表1 本文方案和其他謂詞方案的對(duì)比分析

4 結(jié)語(yǔ)

本文構(gòu)造了一個(gè)支持安全多方同態(tài)乘積計(jì)算的謂詞加密方案,具有乘法同態(tài)性。與傳統(tǒng)安全多方計(jì)算加密方案相比,本文方案通過(guò)使用謂詞加密,能夠?qū)崿F(xiàn)對(duì)計(jì)算結(jié)果細(xì)粒度更高的訪問(wèn)控制。最后,分析并證明該方案達(dá)到IND-AH-CPA安全;與此同時(shí),拓展了同態(tài)加密的應(yīng)用場(chǎng)景。

)

[1]YAOAC.Protocolsforsecurecomputations[C]//Proceedingsofthe16thAnnualSymposiumonFoundationsofComputerScience.Piscataway,NJ:IEEE, 1982: 160-164.

[2]CHOISG,HWANGKW,KATZJ,etal.Securemulti-partycomputationofbooleancircuitswithapplicationstoprivacyinon-linemarketplaces[C]//CT-RSA2012:Proceedingsofthe2012Cryptographers’TrackattheRSAConferenceonTopicsinCryptology,LNCS7178.Berlin:Springer, 2012: 416-432.

[3]LOFTUSJ,SMARTNP.Secureoutsourcedcomputation[C]//AFRICACRYPT2011:Proceedingsofthe4thInternationalConferenceonProgressinCryptology,LNCS6737.Berlin:Springer, 2011: 1-20.

[4] 楊高明, 楊靜, 張健沛. 聚類的(α, k)-匿名數(shù)據(jù)發(fā)布[J]. 電子學(xué)報(bào), 2011, 39(8): 1941-1946.(YANGGM,YANGJ,ZHANGJP.Achieving(α, k)-anonymityviaclusteringindatapublishing[J].ActaElectronicaSinica, 2011, 39(8): 1941-1946.)

[5]ATALLAHMJ,DUW.Securemulti-partycomputationalgeometry[C]//WorkshoponAlgorithmsandDataStructures.Berlin:Springer, 2001: 165-179.

[6]CACHINC.Efficientprivatebiddingandauctionswithanobliviousthirdparty[C]//CCS1999:Proceedingsofthe6thACMConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 1999: 120-127.

[7]GOLDWASSERS.Multipartycomputations:pastandpresent[C]//ProceedingsoftheSixteenthAnnualACMSymposiumonPrinciplesofDistributedComputing.NewYork:ACM, 1997: 1-6.

[8]KATZJ,SAHAIA,WATERSB.Predicateencryptionsupportingdisjunctions,polynomialequations,andinnerproducts[C]//EUROCRYPT2008:Proceedingsofthe27thAnnualInternationalConferenceontheTheoryandApplicationsofCryptographicTechniques,LNCS4965.Berlin:Springer, 2008: 146-162.

[9]WATANABEY,SHIKATAJ.Identity-basedhierarchicalkey-insulatedencryptionwithoutrandomoracles[C]//PKC2016:Proceedingsofthe19thIACRInternationalConferenceonPracticeandTheoryinPublic-keyCryptography,LNCS9614.Berlin:Springer, 2016:255-279.

[10]CLEARM,TEWARIH,MCGOLDRICKC.AnonymousIBEfromquadraticresiduositywithimprovedperformance[C]//AFRICACRYPT2014:Proceedingsofthe7thInternationalConferenceonCryptologyonProgressinCryptology,LNCS8469.Berlin:Springer, 2014: 377-397.

[11]CLEARM,MCGOLDRICKC.Policy-basednon-interactiveoutsourcingofcomputationusingmultikeyFHEandCP-ABE[C]//SECRYPT2013:Proceedingsofthe2013InternationalConferenceonSecurityandCryptography.Piscataway,NJ:IEEE, 2013: 1-9.

[12]LONGOR,MARCOLLAC,SALAM.Collaborativemulti-authorityKP-ABEforshorterkeysandparameters[EB/OL]. [2016- 03- 10].https://eprint.iacr.org/2016/262.pdf.

[13]BONEHD,WATERSB.Conjunctive,subset,andrangequeriesonencrypteddata[C]//TCC2007:Proceedingsofthe4thConferenceonTheoryofCryptography.Berlin:Springer, 2007: 535-554.

[14]ZHANGM,WANGX,YANGX,etal.Efficientpredicateencryptionsupportingconstructionoffine-grainedsearchableencryption[C]//Proceedingsofthe2013 5thInternationalConferenceonIntelligentNetworkingandCollaborativeSystems.Piscataway,NJ:IEEE, 2013: 438-442.

[15]TANZ,ZHANGW.Apredicateencryptionschemesupportingmultipartycloudcomputation[C]//Proceedingsofthe2015InternationalConferenceonIntelligentNetworkingandCollaborativeSystems.Piscataway,NJ:IEEE, 2015: 252-256.

[16]LEWKOA,OKAMOTOT,SAHAIA,etal.Fullysecurefunctionalencryption:attribute-basedencryptionand(hierarchical)innerproductencryption[C]//EUROCRYPT2010:Proceedingsofthe29thAnnualInternationalConferenceonTheoryandApplicationsofCryptographicTechniques.Berlin:Springer, 2010: 62-91.

[17]BONEHD,GOHEJ,NISSIMK.Evaluating2-DNFformulasonciphertexts[C]//TCC2005:ProceedingsoftheSecondInternationalConferenceonTheoryofCryptography.Berlin:Springer, 2005: 325-341.

ThisworkispartiallysupportedbytheNationalNaturalScienceFoundationofChina(62172492)andtheNaturalScienceFoundationofShaanxiProvince(2016JQ6037).

LI Zhenlin, born in 1992, M. S. candidate. His research interests include cryptology.

ZHANG Wei, born in 1976, Ph. D., associate professor. Her research interests include cryptology, information security.

DAI Xiaoming, born in 1991, M. S. candidate. His research interests include cryptology.

Predicate encryption scheme supporting secure multi-party homomorphic multiplicative computation

LI Zhenlin1,2*, ZHANG Wei1,2, DAI Xiaoming1,2

(1. Department of Electronic Technology, Engineering College of Chinese Armed Police Force, Xi’an Shaanxi 710086, China;2. Key Laboratory of Chinese Armed Police Force for Cryptology and Information Security (Engineering College of Chinese Armed Police Force), Xi’an Shaanxi 710086, China)

In the traditional Secure Multi-party Computation (SMC), each participant can obtain the final result, but this coarse-grained access control may not be suitable for the requirements of specific users to decrypt ciphertexts, thus a new encryption scheme which has more accurate access control on the decryption authority of computation results was put forward. Combined with predicate encryption, a predicate encryption scheme with multiplicative homomorphic property for the secure multi-party computation was constructed. Compared with the existing predicate encryption, it supports the homomorphic operation, and is more accurate in access control on the decryption authority of computation results. In the current background of cloud environment, the secure multi-party computation of more fine-grained access control on computation results is realized, which is proved secure under INDistinguishable Attribute-Hiding against Chosen Plaintext Attacks (IND-AH-CPA).

Secure Multi-party Computation (SMC); homomorphic encryption; predicate encryption; cloud computation; access control

2016- 09- 14;

2016- 12- 22。

國(guó)家自然科學(xué)基金資助項(xiàng)目(61272492);陜西省自然科學(xué)基金資助項(xiàng)目(2016JQ6037)。

李鎮(zhèn)林(1992—),男,四川巴中人,碩士研究生,主要研究方向:密碼學(xué); 張薇(1976—),女,陜西西安人,副教授,博士,主要研究方向:密碼學(xué)、信息安全; 戴曉明(1991—),男,河北隆化人,碩士研究生,主要研究方向:密碼學(xué)。

1001- 9081(2017)04- 0999- 05

10.11772/j.issn.1001- 9081.2017.04.0999

TP309.7

A