功能加密的理论与实现

陈洁，巩俊卿

华东师范大学

一 研究背景概述

在公钥密码学40年的发展历程中，公钥加密（Public-Key Encryption, PKE）一直是核心问题之一。1984年，Shamir提出了身份基加密（Identity-Based Encryption, IBE）的概念。用户公钥（User’s Public Key）不再是无结构的比特串，而可以是任何有意义的字符串——身份（Identity）；但是与其对应的用户私钥（User's Private Key）则须由一个权威机构颁发。IBE的初衷在于解决公钥基础设施中密钥管理的难题，但同时奠定了后续PKE扩展的系统框架。2005年由Waters和Sahai提出的属性基加密（Attribute-BasedEncryption, ABE）是对IBE的一次重要扩展。在ABE系统中，用户私钥均与一组属性（Attribute）关联，而密文则与一个访问策略（Access Policy）关联；一旦用户私钥的属性满足密文的访问策略，那么该私钥即可用于密文的解密操作。不同于IBE中“一一对应”的解密方式，ABE的密文能够使用多个私钥进行解密。2011年， Boneh、Sahai和Waters进一步发展了ABE的概念，提出了功能加密（Functional Encryption，FE）的一般性概念。在FE中，用户私钥与某一个函数（功能）关联，解密算法将得到该函数作用于明文的结果。

PKE概念的不断扩展和衍生为各类新兴的网络应用场景提供了安全通信的解决方案。若将IBE的身份定义成电子邮件地址，那么IBE系统便可作为一个安全邮件系统使用；而ABE和FE也有类似的直接应用，ABE可直接用于云存储中的细粒度访问控制；FE则可用于云计算环境下的隐私数据分析——数据以密文形式存储，私钥则与某一数据分析操作关联，私钥的持有者只能获得该分析的最终结果，无法获知原始数据的其他信息。此外，具有附加属性的IBE还能够用来构造可搜索加密（Searchable Encryption）。可见，功能加密对于未来网络安全至关重要。此外，近几年的研究还发现，ABE与可验证计算（Verifiable Computation）有密切的关系，而FE与不可区分混淆器（Indistinguishable Obfuscator）、可重用混淆电路（Reusable Garbled Circuit）等密码学源语（Primitive）有深刻的联系。

二 主要科学问题

目前，功能加密的研究主要涉及如下3个维度。

1.拓展功能

从实际应用角度看，ABE所支持的访问策略越复杂，就越能被用来提供更复杂精细的文件访问控制；类似地，若FE所支持的函数越复杂，它所能提供的数据分析操作也越丰富。因此，拓展ABE和FE所支持的功能（访问策略或函数）直接影响其实际使用的范围和有效性。

2.研究具有附加属性的功能加密

功能加密系统的基本安全性要求是保障加密消息的机密性。然而，仅仅如此是无法满足实际和理论需求的，因而考虑更多的效率属性、安全属性甚至系统结构扩展一直是功能加密研究的主流。

3.探索不同计算假设下的构造

目前大部分功能加密基于有限群中离散对数相关的计算假设和LWE（Learning With Error）假设，较为单一，因此，使用其他标准计算假设构造ABE和FE也是一个重要的课题，这样的多样性是完全必要的。

三 国际研究现状

1.功能方面

在标准计算假设和适应性安全（Adaptive Security）模型下，ABE支持的功能（访问策略）尚未逾越算术生成程序（Arithmetic Span Program）所能刻画的范畴：在基于双线性群的现有方案中，更加复杂的功能意味着其安全性将依赖于非标准的计算假设（如q-type假设）；而基于LWE假设的方案通常只能在选择性安全（Selective Security）模型下获得参数合理的方案。在类似的条件下，现有FE所支持的功能仅包含内积（Inner-Product FE，IPFE）和二次函数（Quadratic Function FE，quadFE），复杂功能的实现依赖于多线性配对（Multi-Linear Map）和不可区分混淆器等安全基础尚存疑的密码学源语或假设。

2.附加属性方面

在目前ABE和FE的研究中，较为重要的附加属性包括如下几种。

（1）非受限性（Unboundedness）：ABE和FE的系统规模不受系统参数的限制，如支持任何规模的属性集合、访问策略等。

（2）属性隐藏（Attribute Hiding）：ABE的密文不会泄露与其关联的属性。

（3）功能隐藏（Function Hiding）：ABE或FE的用户私钥不会泄露与其关联的访问策略或者函数。

（4）多输入（Multi-Input）：FE的密文可以来自多个独立的加密者。这些扩展的背后都有着深刻的应用背景。

3.假设方面

绝大部分ABE构造基于双线性群（Bilinear Group）中的假设或者LWE假设。Cocks以及Boneh、Gentry和Hamburg给出了基于二次剩余假设（Quadratic Residue Assumption）的IBE构造；近期，Garg和Dottling证明IBE的适应性安全性可以基于CDH（Computational Diffie-Hellman）假设、整数分解（Factoring）假设或者LPN（Learning Parity with Noise）假设。目前，基于标准假设的FE较少，IPFE的安全性可以建立在DDH假设、LWE假设或者DCR（Decisional Composite Residuosity）假设上，但是具有附加属性（如Function Hiding、Multi-Input）的IPFE需要借助双线性群及相关的假设；仅有的quadFE构造也需要使用双线性群，但是其选择性安全依赖于一个非标准假设。

四 国内研究现状

文献[1]提出了一个构造和分析ABE的框架。该框架兼容更加高效的素数阶群（Prime-Order Group），涵盖丰富的访问策略（或者功能）类型。利用此框架导出的具体ABE构造较以往的同类（支持相同的访问策略）构造有较大的效率优势。通过一些简单的扩展，该框架还可以支持属性隐藏。从概念上讲，该通用框架的一大优势在于允许方案的设计者借用已有的构造方法和技巧来设计效率更高、安全性更强的ABE新方案。

文献[2]提出了一个新框架来构造和分析具有非受限属性的ABE。这一框架借助常规（不满足非受限属性的）ABE将非受限ABE的分析清晰地划分为两步：（1）将非受限ABE的安全性规约到某个常规ABE的安全性；（2）分析该常规ABE的安全性。这一概念上的简化为进一步优化提供了便利：利用这一框架，不但给出了密文或私钥更短的非受限ABE新构造，还拓展了非受限ABE所支持的访问策略类型。

五 未来研究建议

借助非标准假设或者更加强力（但安全性存疑）的密码学源语，支持复杂功能甚至满足各种附加属性的ABE和FE是可以实现的。一个自然的问题是是否可以在更加可信的标准假设下完成类似的扩展和构造；另一个有意义的问题是是否能够将方案的安全性建立在不同的代数结构及相关（标准）假设上。最后，从实际应用的角度出发，改进这些ABE和FE的效率必然是一个值得深入的课题。

参考文献：

[1] CHEN J, GAY R, WEE H. Improved dual system ABE in prime-order groups via predicate encodings[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. 2015:595-624.

[2] CHEN J, GONG J Q, KOWALCZYK L, et al. Unbounded ABE via bilinear entropy expansion, revisited[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. 2018:503-534.