CP-ABE方案形式化定义及安全模型总结

形式化定义

基本的形式化定义包含4个基本的多项式算法.
(1) 系统初始化:
Setup(λ\lambdaλ) → {PK, MSK}
输入安全参数λ\lambdaλ, 输出系统公钥PK和系统主私钥MSK.

(2) 私钥生成:
KeyGen(PK, MSK, S) → SK
输入公钥PK, 主私钥MSK, 属性集合S, 用户密钥SK.

(3) 数据加密:
Encrypt(PK, A\mathbb{A}A, M) → CT
输入系统公钥PK , 访问结构A\mathbb{A}A, 明文M, 输出密文CT.

(4) 数据解密:
Decrypt(PK, CT, SK) → M
输入公钥PK, 密文CT, 用户私钥SK, 输出明文M. 否则解密失败.

安全模型

基本的CP-ABE方案安全性基于挑战者和攻击者之间的博弈过程进行证明. 过程概括为
(1) 系统初始化: 攻击者A\mathcal{A}A选择一个挑战访问结构A∗\mathbb{A}^*A∗发送给挑战者B\mathcal{B}B. (目的是攻击所选择的挑战访问结构, 尝试通过非对应的私钥询问解密挑战结构的密文.

(2) 参数设置阶段: 挑战者B\mathcal{B}B运行Setup算法, 得到PK, MSK, 将PK发送给A\mathcal{A}A, 然后保留MSK.

(3) 密钥查询阶段 1: 攻击者A\mathcal{A}A查询一系列与属性集合S1,S2,...,Sq′S_1, S_2, ..., S_{q'}S1,S2,...,Sq′有关的密钥, 即A\mathcal{A}A发送属性集合给B\mathcal{B}B, 然后B\mathcal{B}B返回对应私钥给A\mathcal{A}A. 但要求所有的私钥查询都不能满足挑战访问结构A∗\mathbb{A}^*A∗.

(4) 挑战阶段: A\mathcal{A}A提交两个等长消息M0∗,M1∗M_0^*, M_1^*M0∗,M1∗给B\mathcal{B}B, B\mathcal{B}B随机选择β∈{0,1}\beta \in \{0, 1\}β∈{0,1}, 加密Mβ∗M_\beta^*Mβ∗得到挑战密文CTb∗CT_b^*CTb∗, 然后发送给A\mathcal{A}A.(即不可区分性安全目标

(5) 密钥查询阶段 2: 类似密钥查询阶段 1, 攻击者A\mathcal{A}A再查询另一系列与属性集合Sq′+1,Sq′+2,...,SqS_{q' + 1}, S_{q' + 2}, ..., S_qSq′+1,Sq′+2,...,Sq有关的密钥, 即A\mathcal{A}A发送属性集合给B\mathcal{B}B, 然后B\mathcal{B}B返回对应私钥给A\mathcal{A}A. 但要求所有的私钥查询都不能满足挑战访问结构A∗\mathbb{A}^*A∗.

(6) 猜测阶段: 攻击者A\mathcal{A}A输出β′∈{0,1}\beta' \in \{0, 1\}β′∈{0,1}, 如果β′=β\beta' = \betaβ′=β, 称A\mathcal{A}A赢得游戏. A\mathcal{A}A在游戏中的优势为
AdvA=∣Pr[β′=β]−12∣Adv_{\mathcal{A}} = | Pr[\beta' = \beta] - \frac{1}{2}| AdvA=∣Pr[β′=β]−21∣

定义
如果没有多项式时间内的攻击者A\mathcal{A}A以不可忽略的优势攻破上述安全模型, 则称基本CP-ABE方案是安全的.