Multi-Authority Attribute Based Encryption

Multi-Authority Attribute Based Encryption

---

Abstract

本文主要是开发了一个多权威授权中心的ABE方案，允许发送方为每个权限k指定一组由其负责的属性和某个阈值，以便消息由每个权限中拥有给定数量属性的用户进行解密。

1 Introduction

在基于身份的加密方案中，每个用户都由唯一的身份字符串标识。相比之下，基于属性的加密方案( Attribute Based Encryption Scheme，ABE )中每个用户由一组属性标识，这些属性的某些函数用于确定每个密文的解密能力。
Sahai和Waters描述的一个方案(称为SW)，在这个方案中，发送方指定一个属性集和一个数字d对消息进行加密，这样当至少拥有d个给定属性的接收方才能解密该消息。比如个人武汉市参保记录，武汉市居住证，武汉某所高校学生证等等属性。然而，SW方案有一个主要的限制，就是用户必须去向某个受信任的一方证明他的身份，以便获得一个密钥，该密钥将允许他解密消息。在这种情况下，每个用户必须转到受信任的服务器，证明他有一组特定的属性，然后接收与每个属性对应的密钥。因此，Sahai和Waters提出了以下挑战:是否有可能构建一个基于属性的加密方案，在这个方案中，许多不同的权威同时操作，每个权威为不同的一组属性分发密钥。
SW方案的主要限制：用户必须要向一个CA进行身份认证来获得解密密钥，对CA压力过大。
本系统设计的方案主要区别在于，在这个系统中，私钥不再对应于用户拥有的一组简单属性，而是对应的一组属性，相反，每个私钥都表示一个公式，它描述了密文中必须出现哪些属性集，以便该用户进行解密。

2 Preliminaries

可以将全部的属性划分为K个部分，每个部分受到不同的权威监督，以及一个监督各权威的中央机构（中央机构不监视属性），每个权威分配一个dk。

首先：为属性机构输出一个公钥、秘钥对，同时为中央机构输出一个系统公钥和主秘钥属性的密钥生成：
将用户的GID、权威的dk、以及权威所代表的相应属性作为输入，为用户输出密钥。
中央密钥的生成：将主密钥和用户的GID作为输入，并为用户输出密钥。

接下来一段敌方的挑战过程：

图片转载于：https://zhuanlan.zhihu.com/p/386569505
相关内容也可参考https://zhuanlan.zhihu.com/p/386569505

挑战内容：adv发送两个信息M0、M1，挑战者选择一个bit将其加密，将其发送给adv。
如果敌手能够正确识别加密消息，即b = b′，则称敌手成功。

疑问：

1、为什么之前adv需要向每个当局发送属性列表、提供不能包括中央机构的腐败当局的列表？
2、为什么挑战者要向adv发送系统生成的参数（为什么意味着公开了密钥）？

注意，本次方案只针对静态属性设计：每个授权机构只会为每个GID颁发一组密钥。意味着用户的一个GID
只能对应一组属性，如果用户想要进行属性变化，需要重新进行GID，向每个授权进行申请。

3 Single Authority ABE

介绍以下简单的单权威的ABE系统，演示如何将最基础的ABE系统转换成多权威的属性加密系统。
(1)

实质就是运用拉格朗日插值法进行插值计算。

费尔德曼可验证秘密共享方案参考：https://blog.csdn.net/qq_29283623/article/details/105107273

(2)

	为了实现上述要求，我们引进了双线性映射。

因此，通过为所需集合中的每个属性 i 提供 gti ，加密器可以指定哪些属性是相关的

与前者的区别在于加入 ti 来进行特定属性的标识，此时的 gp(0) 在理论上也还是隐藏的信息。

(3)

但是上述方案存在几个明显的问题。首先，我们希望能够加密多次，而无需解密者每次都需要得到一个新
的秘钥。但是，一旦用户获得了e(g,g)p(0)，他就可以解密任何后续的加密，无论他是否拥有合适的属性
集。
如果在我们的加密中不给e(g,g)p(0)m，而是给e(g,g)p(0)sm，其中s是每个加密的不同随机数?如果我
们也给出{ Ei = gtis }≤i∈AC而不是{ Ei = gti },上述过程将允许具有适当属性的用户找到
e(g,g)p(0)s，从而解密m。注意，现在我们的秘密e(g,g)p(0)s对每个密文都是不同的。

4 Multiple Authorities

5 MultiAuthority + Large Universe and Complex Access Structures

6 Extensions

补充

GID可能是一个名称或SSN或任何其他标识字符串，用户有可证明的凭据，并且当用户的属性被验证时，这些信息很可能会出现。