n-线性假设：给定一个群$\left( {p,{\text{ }}{G_1},{\text{ }}{G_2},{\text{ }}{G_T},{\text{ }}e} \right)$，不存在一个多项式区分者可以以不可忽略的优势区分${\mathcal{T}_0} = \left( {g_1,{\text{ }}g_2,{\text{ }}g_1^{\boldsymbol{R}},{\text{ }}g_1^{{\boldsymbol{R\gamma }}}} \right)$和${\mathcal{T}_1} = \left( {g_1,{\text{ }}g_2,{\text{ }}g_1^{\boldsymbol{R}},{\text{ }}g_1^{\boldsymbol{Z}}} \right)$，这里，${\boldsymbol{\gamma}} $是从${Z_p}$选取长度为$n$的随机矩阵，${\boldsymbol{Z}}$是从${Z_p}$选取$n + 1$行$1$列的随机矩阵，${\boldsymbol{R}}$为从${Z_p}$选取$n + 1$行$n$列的随机整数矩阵。

在图1所示的本系统模型中，涉及4种不同类型的实体: 权威机构、云服务器、数据拥有者、数据发送者。具体来说，首先权威机构生成系统公开参数，并向系统中的所有实体公开。此外，所有的权威机构为用户生成私钥，并将生产的私钥发送给用户。数据拥有者通过加密算法将其群智数据加密生成密文，并将生成的密文发送到云服务器上存储和共享。当数据使用者想访问存储在云服务器上的密文数据，他首先盲化其私钥生成盲化密钥和转换密钥，然后将盲化密钥发送给云服务器。云服务器在接收到盲化密钥时，执行外包解密操作，并将转换后的外包密文发送给该数据使用者。数据使用者在接收到转换的外包密文后，使用转换密钥恢复明文信息。

图  1  系统模型图

和其他类似方案的安全模型定义相同^{[14-15, 18]}，本方案中所有的权威机构都是半可信的第三方，即诚实好奇的第三方，它们能忠实地执行公钥生成和发布，为用户生成其各自的私钥，但可能伪装成合法用户非法访问数据。云服务器是半可信的，即为用户提供无限的存储资源以及为用户忠实地执行其指示的操作，但也很好奇地试图去了解其存储的数据或执行的解密内容。数据拥有者是诚实的数据发送方，主要负责上传数据，以分享给其他用户实现非交互式的数据访问。数据访问者是不可信的数据访问方，即非授权用户试图通过发起包含合谋攻击等手段以获取合法权限，从而达到其非法访问非授权用户数据的目的。

本方案由如下若干个算法组成。

${\rm{SETUP}}(\lambda )$: 输入安全参数$\lambda $，输出公共参数${\rm{pp}}$，该算法由所有权威机构执行。

${\rm{AuthSetup}}({\rm{pp}},{\text{ }}i)$: 输入公共参数${\rm{pp}}$、权威机构索引$i$，生成其公私钥${\rm{P}}{{\rm{K}}_i}$和${\rm{S}}{{\rm{K}}_i}$，该算法由权威机构执行。

${\rm{Encrypt}}({\rm{pp}},{\text{ }}{\rm{P}}{{\rm{K}}_i},{\text{ }}{\boldsymbol{x}},{\text{ }}m)$: 输入公共参数${\rm{pp}}$、公钥${\rm{P}}{{\rm{K}}_i}$、访问控制向量${\boldsymbol{x}}$、加密消息$m$，该加密算法输出密文${\rm{CT}}$，该算法由数据所有者执行。

${\rm{KeyGen}}({\rm{pp}},{\text{ }}{\rm{S}}{{\rm{K}}_i},{\text{ }}{\rm{P}}{{\rm{K}}_i},{\text{ }}{\rm{GID}},{\text{ }}{\boldsymbol{z}})$: 输入公共参数${\rm{pp}}$，所有权威机构私钥${\rm{S}}{{\rm{K}}_i}$、所有权威机构的公钥${\rm{P}}{{\rm{K}}_i}$、用户的全局身份${\rm{GID}}$、属性向量${\boldsymbol{z}}$，该密钥生成算法为用户生成私钥${\rm{U}}{{\rm{K}}_i}$，该算法由各权威机构执行。

${\rm{KeyGe}}{{\rm{n}}_{{\rm{out}}}}({\rm{pp}},{\text{ }}{\rm{U}}{{\rm{K}}_i})$: 输入公共参数${\rm{pp}}$、用户私钥${\rm{U}}{{\rm{K}}_i}$，该密钥盲化算法为用户生成盲化私钥$\left( {z',{\rm{U}}{{{\rm{K}}'}_i}} \right)$和转换密钥${\rm{tk}}$，该算法由数据使用者执行。

${\rm{Decryp}}{{\rm{t}}_{{\rm{out}}}}\left( {{\rm{pp}},{\text{ }}{\rm{CT}},{\text{ }}\left( {{\boldsymbol{z}}',{\text{ }}{\rm{U}}{{{\rm{K}}'}_i}} \right)} \right)$: 输入公共参数${\rm{pp}}$、密文${\rm{CT}}$、盲化私钥$\left( {{\boldsymbol{z}}',{\rm{U}}{{{\rm{K}}'}_i}} \right)$，该外包解密算法生成外包密文${\rm{CT}}'$，该算法由云服务器执行。

${\rm{Decrypt}}({\rm{pp}},{\text{ }}{\rm{CT}}',{\text{ }}{\rm{tk}})$: 输入公共参数${\rm{pp}}$、外包解密密文${\rm{CT}}'$、转换私钥${\rm{tk}}$，该解密算法输出明文消息$m$，该算法由数据使用者执行。

定义1　对所有攻击者$\mathcal{A}$来说，若能以可忽略的优势赢得与挑战者$\mathcal{C}$之间的游戏，那么本方案能够实现语义安全性，即明文的机密性。

参数建立阶段$\left( {{\rm{Setup}}} \right)$：挑战者$\mathcal{C}$执行${\rm{Setup}}\left( \lambda \right)$和${\rm{AuthSetup}}\left( {{\rm{pp}},{\text{ }}i} \right)$算法生成公共参数${\rm{pp}}$和权威机构的公共参数${\rm{P}}{{\rm{K}}_i}$，并将其发给攻击者$\mathcal{A}$。

密钥询问阶段 $\left( {{\rm{Key}}{\text{ }}{\rm{Query}}} \right)$：攻击者$\mathcal{A}$发送对于属性向量${\boldsymbol{z}}$的密钥请求，挑战者$\mathcal{C}$执行${\rm{KeyGen}} ({\rm{pp}}, {\text{ }}{\rm{S}}{{\rm{K}}_i},{\text{ }}{\rm{P}}{{\rm{K}}_i},{\text{ }}{\rm{GID}},{\text{ }}z)$为攻击者生成如下密钥${\rm{U}}{{\rm{K}}_{i,{\text{ }}{\rm{GID}},{\text{ }}z}}$。注意在此阶段，允许攻击者获取部分${\rm{U}}{{\rm{K}}_{i,{\text{ }}{\rm{GID}},{\text{ }}z}}$，且在获得密钥后允许执行${\rm{KeyGe}}{{\rm{n}}_{{\rm{out}}}}({\rm{pp}},{\text{ }}{\rm{U}}{{\rm{K}}_i})$进行密钥盲化。

密文生成阶段 $\left( {{\rm{Ciphertext}}} \right)$：攻击者$\mathcal{A}$选择两个等长的消息${m_c},{\text{ }}c \in \left\{ {0,{\text{ }}1} \right\}$以及发送访问向量${{\boldsymbol{x}}_0}$、${{\boldsymbol{x}}_1}$，挑战者$\mathcal{C}$执行${\rm{Encrypt}}({\rm{pp}},{\text{ }}{\rm{P}}{{\rm{K}}_i},{\text{ }}{\boldsymbol{x}},{\text{ }}m)$生成${\rm{C}}{{\rm{T}}_c}$。

猜测阶段${\rm{Guess}}$：攻击者$\mathcal{A}$输出一个对消息${m_c}$的猜测比特$c'$，若$c = c'$，则攻击者$\mathcal{A}$赢得该游戏。

${\rm{SETUP}}(\lambda )$：该算法由共同权威机构执行。输入安全参数$\lambda $，该算法首先选取一个双线性群${\rm{BG}} = (p,{\text{ }}{G_1},{\text{ }}{G_2},{\text{ }}{G_T},{\text{ }}e)$，其中，${g_1}$，${g_2}$分别表示群${G_1}$和${G_2}$的一个生成元。随后，该算法随机从${Z_p}$选取一个$n + 1$行$n$列的矩阵${\boldsymbol{R}} \in Z_p^{(n + 1) \times n}$，一个$n + 1$行$n + 1$列的矩阵${\boldsymbol{V}} \in Z_p^{(n + 1) \times (n + 1)}$。其次，选取$n + 2$个哈希函数$ H,{H_1},\cdots,{H_{n + 1}}:{\left\{ {0,1} \right\}^*} \to {Z_p} $。最后，该算法生成公共参数${\rm{pp}} = ({g_1},{\text{ }}{g_2},{\text{ }}H,{\text{ }}{H_1},{\text{ }}\cdots, {H_{n + 1}},{\text{ }}g_1^{\boldsymbol{R}}, g_1^{{{\boldsymbol{V}}^{\rm{T}}}{\boldsymbol{R}}})$。

${\rm{AuthSetup}}({\rm{pp}},{\text{ }}i)$：该算法由每个权威机构生成各自的公私钥。输入公共参数${\rm{pp}}$、权威机构索引$i$，该算法首先从${Z_p}$选取一个$n + 1$行$n + 1$列的矩阵${{\boldsymbol{S}}_i} \in Z_p^{(n + 1) \times (n + 1)}$、一个$n + 1$维向量${{\boldsymbol{\alpha}} _i} \in {Z_p}$、一个数$ {\beta _i} $，生成和存储其私钥${\rm{S}}{{\rm{K}}_i} = \left( {{{\boldsymbol{S}}_i},{\text{ }}{{\boldsymbol{\alpha }}_i},{\text{ }}{\beta _i}} \right)$，并公开其公钥$ {\rm{P}}{{\rm{K}}_i} = (g_1^{{\boldsymbol{S}}_i^{\rm{T}}{\boldsymbol{R}}},{\text{ }}e{(g_1,{\text{ }}g_2)^{{\boldsymbol{\alpha }}_i^{\rm{T}}{\boldsymbol{R}}}},y_i = g_2^{{\beta _i}}) $。

${\rm{Encrypt}}({\rm{pp}},{\text{ }}{\rm{P}}{{\rm{K}}_i},{\text{ }}x,{\text{ }}m)$: 输入公共参数${\rm{pp}}$、公钥${\rm{P}}{{\rm{K}}_i}$、访问控制向量$x$、加密消息$m$，该算法首先选取$n$维的一个随机向量${\boldsymbol{\gamma}} $，计算生成密文${\rm{CT}} =({C_0},{\text{ }}{C_i}, C')$：${C_0} = g_1^{{{\boldsymbol{R}}_\gamma }}$，$Ci = g_1^{({x_i}{\boldsymbol{V}}^{\rm{T}} + {\boldsymbol{S}}_i^{\rm{T}}){{\boldsymbol{R}}_\gamma }}$，$ C' = m \prod\limits_{i = 2}^n {e{{({g_1},{\text{ }}{g_2})}^{{\boldsymbol{\alpha }}_i^{\rm{T}}{{\boldsymbol{R}}_\gamma }}}} $。

${\rm{KeyGe}}{{\rm{n}}_{{\rm{out}}}}({\rm{pp}},{\text{ }}{\rm{S}}{{\rm{K}}_i},{\text{ }}{\rm{P}}{{\rm{K}}_i},{\text{ }}{\rm{GID}},{\text{ }}z)$：该算法由各权威机构执行。输入公共参数${\rm{pp}}$、所有权威机构私钥${\rm{S}}{{\rm{K}}_i}$、所有权威机构的公钥${\rm{P}}{{\rm{K}}_i}$、用户的全局身份${\rm{GID}}$、属性向量${\boldsymbol{z}}$，该算法首先计算${\mu _i} = \displaystyle\sum\limits_{j = 1}^{i - 1} H(y_j^{{\beta _i}},{\rm{GID}}, {\boldsymbol{z}}) - \displaystyle\sum\limits_{j = i + 1}^n {H(y_j^{{\beta _i}},{\rm{GID}},{\boldsymbol{z}})}$，注意$\displaystyle\sum\limits_{i = 1}^{{n}} {{\mu _i} = 0} $。其次，该算法使用${H_1}({\rm{GID}},{\text{ }}{\boldsymbol{z}}),{\text{ }}\cdots,{\text{ }}{H_{n + 1}}({\rm{GID}},{\text{ }}{\boldsymbol{z}})$生成$g_2^h$，这里$h = H({\rm{GID}},{\text{ }}{\boldsymbol{z}}) = {({H_1}\left.({\rm{GID}},{\boldsymbol{z}}),\cdots,{H_{n + 1}}\left.({\rm{GID}}, \right.\right.} {\left.\left.{\boldsymbol{z}}\right)\right)^{\rm{T}}}$。最后，该算法生成用户私钥${\rm{U}}{{\rm{K}}_i} = g_2^{{{\boldsymbol{\alpha }}_i} - {z_i}{{\boldsymbol{S}}_i}h + {\mu _i}}$。请注意本文中私钥的分配是通过安全信道分配和发送的。

${\rm{KeyGe}}{{\rm{n}}_{{\rm{out}}}}({\rm{pp}},{\text{ }}{\rm{U}}{{\rm{K}}_i})$：该算法由数据使用者执行。输入公共参数${\rm{pp}}$、用户私钥${\rm{U}}{{\rm{K}}_i}$、该算法首先从${Z_p}$中随机选取一个随机数$\hat t$，该算法生成用户盲化私钥$ {\rm{U}}{{\rm{K}}'_i} = {\rm{UK}}_i^{1/\hat t} = g_2^{({\alpha _i} - {z_i}{S_i}h + {\mu _i})/\hat t} $，${\boldsymbol{z}}' = ({z_1}/t,\cdots,{z_n}/\hat t)$，$ g_2^h = H({\rm{GID}},{\text{ }}{\boldsymbol{z}}) $，并保存转换密钥${\rm{tk}} = \hat t$。

${\rm{Decryp}}{{\rm{t}}_{{\rm{out}}}}\left( {{\rm{pp}},{\text{ }}{\rm{CT}},{\text{ }}\left( {{\boldsymbol{z}}',{\text{ }}{\rm{U}}{{{\rm{K}}'}_i}} \right)} \right)$：该算法由云服务器执行。输入公共参数${\rm{pp}}$、密文${\rm{CT}}$，盲化私钥$({\boldsymbol{z}}',{\text{ }}{\rm{U}}{{\rm{K}}'_i},{\text{ }}g_2^h)$，该算法首先计算并生成外包密文${\rm{CT}}'$为$e{({g_1},{\text{ }}{g_2})^{{{\boldsymbol{\alpha }}^{\rm{T}}}{R_\gamma }/t}}$。

${\rm{Decrypt}}({\rm{pp}},{\text{ }}{\rm{CT}}',{\text{ }}{\rm{tk}})$：该算法由数据使用者执行。输入公共参数${\rm{pp}}$，外包解密密文${\rm{CT}}'$，转换私钥$tk$，该算法可以恢复明文消息$m = C'/{({\rm{CT}}')^{\hat t}}$。

当用户的属性向量和访问向量正相交时，即$\left\langle {x,z} \right\rangle = 0$表示用户的属性集合满足密文中的访问控制，则以上等式$A = e{\left( {g_1,g_2} \right)^{{{\boldsymbol{\alpha}} ^{\rm{T}}}{R_\gamma }/\hat t}}$，其中，${\boldsymbol{\alpha }}= \displaystyle\sum\limits_{i = 1}^n {{{\boldsymbol{\alpha }}_i}} $。随后，用户可以正确恢复消息$m = C'/{A^{\hat t}}$。

为了能够证明本方案的语义安全性，定义了一系列的游戏$ {\rm{Game}} $如下。

$ {\rm{Gam}}{{\rm{e}}_0} $：该游戏与定义1中一样，模拟的是方案真实的安全游戏。

$ {\rm{Gam}}{{\rm{e}}_1} $：该游戏除了随机预言机回答的询问不一样外，其他均与游戏$ {\rm{Gam}}{{\rm{e}}_0} $和一样。具体来说随机预言机模拟的过程如下：挑战者$\mathcal{C}$从${Z_p}$中随机选取一个长度为$n$的向量${{{\boldsymbol{r}}}}$，计算${\boldsymbol{h}} = {\boldsymbol{Br}}$，然后存储${\boldsymbol{h}}$的值去回答攻击者的随机预言机询问。

$ {\rm{Gam}}{{\rm{e}}_{2,j,1}} $：该游戏几乎与游戏$ {\rm{Gam}}{{\rm{e}}_1} $一样，除了挑战者$\mathcal{C}$选择${\boldsymbol{R}}$,${{\boldsymbol{a}}^ \bot }$,${\boldsymbol{B}}$,${{\boldsymbol{b}}^ \bot }$,$\hat t$，使得${{\boldsymbol{R}}^{\rm{T}}}{{\boldsymbol{a}}^ \bot } = 0$以及${{\boldsymbol{B}}^{\rm{T}}}{{\boldsymbol{b}}^ \bot } = 0$，具体密钥询问如下。

1）前$j - 1$密钥询问的回答如下：$ {\rm{UK}} = g_2^{{\boldsymbol{\alpha }} + {{\boldsymbol{\alpha }}^ \bot }\hat t - {\displaystyle\sum\limits_{i = 1}^n} {{{\boldsymbol{z}}_i}{{\boldsymbol{S}}_i}{\boldsymbol{h}}} } $，这里$h$和游戏$ {\rm{Gam}}{{\rm{e}}_1} $中的一样，即挑战者$\mathcal{C}$从${Z_p}$中随机选取一个长度为$n$的向量${\boldsymbol{r}}$，计算$h = {\boldsymbol{B}}{\boldsymbol{r}}$。

2）第$j$个密钥询问的回答如下：${\rm{UK}} = g_2^{{\boldsymbol{\alpha}} - {\displaystyle\sum\limits_{i = 1}^n} {{{\boldsymbol{z}}_i}{{\boldsymbol{S}}_i}{\boldsymbol{h}}} }$，这里$h$和游戏$ {\rm{Gam}}{{\rm{e}}_1} $中的一样，即挑战者$\mathcal{C}$从${Z_p}$中随机选取一个长度为$n$的向量${\boldsymbol{r}}$以及一个随机数$\hat r$，使得$ h = B{\boldsymbol{r}} + {{\boldsymbol{a}}^ \bot }\hat r $。

3）最后$ q $—$j $个密钥询问回答如下: ${\rm{UK}} = g_2^{{\boldsymbol{\alpha}} - {\displaystyle\sum\limits_{i = 1}^n} {{{\boldsymbol{z}}_i}{{\boldsymbol{S}}_i}{\boldsymbol{h}}} }$，这里${\boldsymbol{h}} = {\boldsymbol{B}}{\boldsymbol{r}}$，${\boldsymbol{r}}$是从${Z_p}$中随机选取一个长度为$n$的向量。

$ {\rm{Gam}}{{\rm{e}}_{2,j,2}} $：该游戏几乎与游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,1}} $一样，除了第$j$个密钥询问时回答不同，具体来说，$ {\rm{UK}} = g_2^{{\boldsymbol{\alpha }}+ {{\boldsymbol{\alpha }}^ \bot }\hat t - {\displaystyle\sum\limits_{i = 1}^n} {{{\boldsymbol{z}}_i}{{\boldsymbol{S}}_i}{\boldsymbol{h}}} } $，这里挑战者$\mathcal{C}$从${Z_p}$中随机选取一个长度为$n$的向量${\boldsymbol{r}}$以及一个随机数$\hat r$，使得$ {\boldsymbol{h}} = {\boldsymbol{B}}{\boldsymbol{r}} + {{\boldsymbol{a}}^ \bot }\hat r $。

$ {\rm{Gam}}{{\rm{e}}_{2,j,3}} $：该游戏几乎与游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,2}} $一样，除了前$ j $个密钥询问时回答不同，具体来说，$ {\rm{UK}} = g_2^{{\boldsymbol{\alpha }}+ {{\boldsymbol{\alpha }}^ \bot }\hat t - {\displaystyle\sum\limits_{i = 1}^n} {{{\boldsymbol{z}}_i}{{\boldsymbol{S}}_i}{\boldsymbol{h}}} } $，这里挑战者$\mathcal{C}$从${Z_p}$中随机选取一个长度为$n$的向量${\boldsymbol{r}}$，使得${\boldsymbol{h}} = {\boldsymbol{B}}{\boldsymbol{r}}$。

$ {\rm{Gam}}{{\rm{e}}_3} $：该游戏几乎与游戏$ {\rm{Gam}}{{\rm{e}}_2} $一样，除了生成的挑战密文与其不同。具体来说，挑战者$\mathcal{C}$从${Z_p}$中选取一个长度为$n + 1$的向量${\boldsymbol{a}}$，并生成如下密文：${C_0} = g_1^{\boldsymbol{a}}$，${C_i} = g_1^{\left( {{{\boldsymbol{x}}_{b,i}}{{\boldsymbol{V}}^{\rm{T}}} + {\boldsymbol{S}}_i^{\rm{T}}} \right){\boldsymbol{a}}}$，$C' = {m_c} e{({g_1},{g_2})^{{{\boldsymbol{\alpha }}^{\rm{T}}}{\boldsymbol{a}}}}$。

$ {\rm{Gam}}{{\rm{e}}_4} $：该游戏几乎与游戏$ {\rm{Gam}}{{\rm{e}}_3} $一样，除了加密消息时随机选取的群中的元素。

$ {\rm{Gam}}{{\rm{e}}_5} $：该游戏几乎与游戏$ {\rm{Gam}}{{\rm{e}}_4} $一样，除了选取的访问向量${\boldsymbol{x}}$被一个随机向量${{\boldsymbol{x}}^*}$取代。注意该游戏从攻击者$\mathcal{A}$的角度无法区分加密的消息，因此无法以一定的优势赢得该游戏。

引理 1　游戏$ {\rm{Gam}}{{\rm{e}}_0} $和游戏$ {\rm{Gam}}{{\rm{e}}_1} $的不可区分性

如果存在一个攻击者$\mathcal{A}$能够区分游戏$ {\rm{Gam}}{{\rm{e}}_0} $和游戏$ {\rm{Gam}}{{\rm{e}}_1} $，那么就存在一个挑战者$\mathcal{C}$能够以不可忽略的优势解决线性判定性问题 （decisional linear problem）。

证明：挑战者$\mathcal{C}$接收一个判定性线性问题的实例$\left( {g_2^B,g_2^h} \right)$，目标是区分$h = Br$或$h$是${Z_p}$中一个随机数，其中$r$是${Z_p}$中随机选取的。可以很容易观察到公共参数、权威机构的公钥和挑战密文如实际方案被构建出来。针对用户私钥询问，可以通过如下计算得出$ {\rm{UK}} = g_2^\alpha {\displaystyle\prod\limits_{i = 1}^n {\left( {g_2^{\boldsymbol{h}}} \right)} ^{ - {{\boldsymbol{z}}_i}{{\boldsymbol{S}}_i}}} = g_2^{{\boldsymbol{\alpha }}- {\displaystyle\sum\limits_{i = 1}^n} {{{\boldsymbol{z}}_i}{{\boldsymbol{S}}_i}{\boldsymbol{h}}} } $。

当$h \in {\rm{Span}}\left( B \right)$$ h\in {\rm{Span}}\left(\mathit{B}\right) $时，密钥和随机预言机响应的分布与游戏$ {\rm{Gam}}{{\rm{e}}_1} $完全相同，而在另一种情况下，其分布与游戏$ {\rm{Gam}}{{\rm{e}}_0} $完全相同。通过$ k $-判定性线性问题，可以得知攻击者$\mathcal{A}$只能够以可忽略的优势区分这两个游戏。

引理 2　游戏$ {\rm{Gam}}{{\rm{e}}_{2,j - 1,3}} $和游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,1}} $的不可区分性

如果存在一个攻击者$\mathcal{A}$能够区分游戏$ {\rm{Gam}}{{\rm{e}}_{2,j - 1,3}} $和游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,1}} $，那么就存在一个挑战者$\mathcal{C}$能够以不可忽略的优势解决线性判定性问题。

证明：挑战者$\mathcal{C}$接收一个判定性线性问题的实例$\left( {g_2^{\boldsymbol{B}},g_2^{\boldsymbol{h}}} \right)$，目标是区分${\boldsymbol{h}} = {\boldsymbol{Br}}$或${\boldsymbol{h}}$是${Z_p}$中的一个随机数，其中${\boldsymbol{t}}$是${Z_p}$中随机选取长度为$n$的向量。

参数建立阶段$\left( {{\rm{Setup}}} \right)$：挑战者$\mathcal{C}$如实际方案中一样随机选择一个长度为$n + 1$的向量${{\boldsymbol{\alpha }}_i} \in {Z_p}$、一个随机数$\hat t \in {Z_p}$、随机矩阵${\boldsymbol{R}}$，${{\boldsymbol{a}}^ \bot }$，${{\boldsymbol{S}}_i}$，${\boldsymbol{V}}$，生成公开参数$g_1^{\boldsymbol{R}}$，$g_1^{{{\boldsymbol{V}}^{\rm{T}}}{\boldsymbol{R}}}$以及权威机构的公钥$g_1^{{\boldsymbol{S}}_i^{\rm{T}}{\boldsymbol{R}}}$，$e{\left( {{g_1},{g_2}} \right)^{{\boldsymbol{\alpha }}_i^{\rm{T}}{\boldsymbol{R}}}}$。

密钥询问阶段$\left( {{\rm{Key}},{\rm{Query}}} \right)$：输入第$m$个密钥询问，挑战者$\mathcal{C}$为攻击者生成如下密钥：

式中，${\boldsymbol{r}}$表示从${Z_p}$中选取的随机值组成的一个长度为$n$的向量。注意攻击者在拿到密钥后可以进行密钥盲化，模拟外包的过程。

密文生成阶段 $\left( {{\rm{Ciphertext}}} \right)$：攻击者$\mathcal{A}$选择两个等长的消息${m_b},b \in \left\{ {0,1} \right\}$，挑战者$\mathcal{C}$随机选择一个${\boldsymbol{\gamma}} $，计算如下：${C_0} = g_1^{{{\boldsymbol{R}}_{\boldsymbol{\gamma }}}}$，${C_i} = g_1^{\left( {{{\boldsymbol{x}}_{b,i}}{{\boldsymbol{V}}^{\rm{T}}} + {\boldsymbol{S}}_i^{\rm{T}}} \right){{\boldsymbol{R}}_{\boldsymbol{\gamma }}}}$，$C' = {m_b} e{({g_1},} {g_2})^{{{\boldsymbol{\alpha }}^{\rm{T}}}{{\boldsymbol{R}}_{\boldsymbol{\gamma }}}}$。

当$h \in {\rm{Span}}\left( B \right)$时，密钥和随机预言机响应的分布与游戏$ {\rm{Gam}}{{\rm{e}}_{2,j - 1,3}} $完全相同，而在另一种情况下，其分布与游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,1}} $完全相同。通过$ k $-判定性线性问题，可以得知攻击者$\mathcal{A}$只能够以可忽略的优势区分这两个游戏。

引理 3　游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,1}} $和游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,2}} $不可区分性

如果存在一个攻击者$\mathcal{A}$能够区分游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,1}} $和游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,2}} $，那么就存在一个挑战者$\mathcal{C}$能够以不可忽略的优势解决线性判定性问题。

证明：两种游戏的不同之处在于在后面的游戏中需要用$g_2^{{{\boldsymbol{a}}^ \bot }\hat t}$乘以第$j$个密钥，其中$\hat t$是由挑战者$\mathcal{C}$从${Z_p}$中随机采样的。在第$j$个密钥询问中，攻击者$\mathcal{A}$向挑战者$\mathcal{C}$发送有关密钥的属性向量${\boldsymbol{z}}$，挑战者$\mathcal{C}$执行如下操作：

从以上可以看出${{\boldsymbol{S}}_i}$和${{\boldsymbol{S}}'_i}$的分布显然是相同的。此外，还可以得知若密文和权威机构的公钥是使用${{\boldsymbol{S}}'_i}$而不是${{\boldsymbol{S}}_i}$生成的，则二者没有区别。具体来说，对于公钥的生成如下：

对于密文生成如下：

挑战者$\mathcal{C}$使用${S'_i}$可以针对攻击者$\mathcal{A}$针对第$j$个密钥询问做如下操作:

式中，${\boldsymbol{h}} = {\boldsymbol{Br}} + \left( {{\boldsymbol{t}}/n} \right){{\boldsymbol{a}}^ \bot }$；${\boldsymbol{r}} \in Z_p^n$；$ {\boldsymbol{t}} \in {Z_p}$。可以得到

因此，用户私钥可以得到:

这样可以轻易得知游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,2}} $的精确分布。

引理 4　游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,2}} $和游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,3}} $的不可区分性

如果存在一个攻击者$\mathcal{A}$能够区分游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,2}} $和游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,3}} $，那么就存在一个挑战者$\mathcal{C}$能够以不可忽略的优势解决$ k $-线性判定性问题（decisional linear problem）。

证明：挑战者$\mathcal{C}$接收一个判定性线性问题的实例$\left( {g_2^{\boldsymbol{B}},g_2^{\boldsymbol{h}}} \right)$，目标是区分${\boldsymbol{h}} = {\boldsymbol{Br}}$或${\boldsymbol{h}}$是${Z_p}$中的一个随机数，其中${\boldsymbol{t}}$是${Z_p}$中随机选取长度为$n$的向量。

参数建立阶段 $\left( {{\rm{Setup}}} \right)$：挑战者$\mathcal{C}$如实际方案中一样随机选择一个长度为$n + 1$的向量${{\boldsymbol{\alpha }}_i} \in {Z_p}$，一个随机数$ {\boldsymbol{t}} \in {Z_p}$，随机矩阵${\boldsymbol{R}}$，${{\boldsymbol{a}}^ \bot }$，${{\boldsymbol{S}}_i}$，${\boldsymbol{V}}$，生成公开参数$g_1^{\boldsymbol{R}}$，$g_1^{{{\boldsymbol{V}}^{\rm{T}}}{\boldsymbol{R}}}$以及权威机构的公钥$g_1^{{\boldsymbol{S}}_i^{\rm{T}}{\boldsymbol{R}}}$，$e{\left( {{g_1},{g_2}} \right)^{{\boldsymbol{\alpha }}_i^{\rm{T}}{\boldsymbol{R}}}}$。

密钥询问阶段 $\left( {{\rm{Key}},{\rm{Query}}} \right)$：输入第 $m$个密钥询问，挑战者$\mathcal{C}$为攻击者生成如下密钥：

式中，${\boldsymbol{r}}$表示从${Z_p}$中选取的随机值组成的一个长度为n的向量。注意攻击者在拿到密钥后可以进行密钥盲化，模拟外包的过程。

密文生成阶段 $\left( {{\rm{Ciphertext}}} \right)$：攻击者$\mathcal{A}$选择两个等长的消息${m_b},b \in \left\{ {0,1} \right\}$，挑战者$\mathcal{C}$随机选择一个${\boldsymbol{\gamma }}$，计算如下：${C_0} = g_1^{{{\boldsymbol{R}}_{\boldsymbol{\gamma }}}}$，${C_i} = g_1^{\left( {{{\boldsymbol{x}}_{b,i}}{{\boldsymbol{V}}^{\rm{T}}} + {\boldsymbol{S}}_i^{\rm{T}}} \right){{\boldsymbol{R}}_{\boldsymbol{\gamma }}}}$，$C' = {m_b} \times e{({g_1},{g_2})^{{{\boldsymbol{\alpha }}^{\rm{T}}}{{\boldsymbol{R}}_{\boldsymbol{\gamma }}}}}$

当${\boldsymbol{h}} \in {\rm{Span}}\left( {\boldsymbol{B}} \right)$时，密钥和随机预言机响应的分布与游戏$ {\rm{Gam}}{{\rm{e}}_{2,j - 1,3}} $完全相同，而在另一种情况下，其分布与游戏$ {\rm{Gam}}{{\rm{e}}_{2,j,2}} $完全相同。通过$ k $-判定性线性问题，可以得知攻击者$\mathcal{A}$只能够以可忽略的优势区分这两个游戏。

引理 5　游戏$ {\rm{Gam}}{{\rm{e}}_{2,q,3}} $和游戏$ {\rm{Gam}}{{\rm{e}}_3} $的不可区分性

如果存在一个攻击者$\mathcal{A}$能够区分游戏$ {\rm{Gam}}{{\rm{e}}_{2,q,3}} $和游戏$ {\rm{Gam}}{{\rm{e}}_3} $，那么就存在一个挑战者$\mathcal{C}$能够以不可忽略的优势解决线性判定性问题。

证明：给定一个判定性线性问题的实例$\left( {g_1^{\boldsymbol{R}},g_1^{\boldsymbol{a}}} \right)$，目标是判断${\boldsymbol{a}} = {{\boldsymbol{R}}_\gamma }$或${\boldsymbol{a}}$是一个从${Z_p}$中随机采样长度为$n + 1$的随机分布。挑战者$\mathcal{C}$如实际方案中一样随机选取矩阵样本${\boldsymbol{V}}$，${{\boldsymbol{S}}_i}$以及一个向量${{\boldsymbol{\alpha}} _i}$，并输出公开参数$g_1^{\boldsymbol{R}}$，$g_1^{{{\boldsymbol{V}}^{\rm{T}}}{\boldsymbol{R}}}$以及权威机构的公钥$g_1^{{\boldsymbol{S}}_i^{\rm{T}}{\boldsymbol{R}}}$，$e\left( {g_1^{\boldsymbol{R}},g_2^{{{\boldsymbol{\alpha }}_i}}} \right) = e{\left( {{g_1},{g_2}} \right)^{{\boldsymbol{\alpha}} _i^{\rm{T}}{\boldsymbol{R}}}}$。

生成挑战密文如下：${C_0} = g_1^{\boldsymbol{a}}$，${C_i} = g_1^{\left( {{{\boldsymbol{x}}_{b,i}}{V^{\rm{T}}} + {\boldsymbol{S}}_i^{\rm{T}}} \right){\boldsymbol{a}}}$，$C' = {m_c} e{({g_1},{g_2})^{{{\boldsymbol{\alpha}} ^{\rm{T}}}{\boldsymbol{a}}}}$。

当$a \in {\rm{Span}}\left( {\boldsymbol{R}} \right)$时，密钥和随机预言机响应的分布与游戏Game₃完全相同，而在另一种情况下，其分布与游戏$ {\rm{Gam}}{{\rm{e}}_{2,q,3}} $完全相同。通过$ k $-判定性线性问题，可以得知攻击者$\mathcal{A}$只能够以可忽略的优势区分这两个游戏。

引理 6　游戏$ {\rm{Gam}}{{\rm{e}}_3} $和游戏$ {\rm{Gam}}{{\rm{e}}_4} $的不可区分性

如果存在一个攻击者$\mathcal{A}$能够区分游戏$ {\rm{Gam}}{{\rm{e}}_3} $和游戏$ {\rm{Gam}}{{\rm{e}}_4} $，那么就存在一个挑战者$\mathcal{C}$能够以不可忽略的优势解决线性判定性问题。

证明：挑战者$\mathcal{C}$随机化选取一个矩阵${\boldsymbol{R}}$，${{\boldsymbol{a}}^ \bot }$，使得${{\boldsymbol{R}}^T}{{\boldsymbol{a}}^ \bot } = 0$，一个从${Z_p}$中选取的随机值组成的一个长度为$n + 1$随机向量$ {\boldsymbol{\alpha}} $，一个从${Z_p}$中选取的随机数$\hat s$。随后，挑战者$\mathcal{C}$计算$\hat {\boldsymbol{\alpha }}= {\boldsymbol{\alpha }}- {{\boldsymbol{a}}^ \bot }\hat s$。

参数建立阶段$\left( {{\rm{Setup}}} \right)$：挑战者$\mathcal{C}$如实际方案中一样生成公开参数$g_1^{\boldsymbol{R}}$，$g_1^{{{\boldsymbol{V}}^{\rm{T}}}{\boldsymbol{R}}}$以及权威机构的公钥$g_1^{{\boldsymbol{S}}_i^{\rm{T}}{\boldsymbol{R}}}$，$e\left( {g_1^{\boldsymbol{R}},g_2^{{{\boldsymbol{\alpha}} _i}}} \right) = e{\left( {{g_1},{g_2}} \right)^{{\boldsymbol{\alpha}} _i^{\rm{T}}{\boldsymbol{R}}}}$。

密钥询问阶段$\left( {{\rm{Key}},{\rm{Query}}} \right)$: 挑战者$\mathcal{C}$为攻击者生成如下密钥:

注意在此阶段，攻击者在拿到密钥后可以进行密钥盲化，模拟外包的过程。

密文生成阶段$\left( {{\rm{Ciphertext}}} \right)$：攻击者$\mathcal{A}$选择两个等长的消息${m_c},c \in \left\{ {0,1} \right\}$，挑战者$\mathcal{C}$随机选择一个向量${\boldsymbol{\gamma }}$，一个随机数$\hat \gamma $，令$a = {{\boldsymbol{R}}_{\boldsymbol{\gamma }}} + {{\boldsymbol{b}}^{\rm{T}}}\hat \gamma $。随后计算$m' = {m_c} e{\left( {{g_1},{g_2}} \right)^{{{\left( {{{\boldsymbol{a}}^ \bot }\hat s} \right)}^{\rm{T}}}{\boldsymbol{a}}}} = {m_c} e{\left( {g_1,g_2} \right)^{\hat \gamma \hat s{{\left( {{{\boldsymbol{a}}^ \bot }} \right)}^{\rm{T}}}{{\boldsymbol{b}}^{\rm{T}}}}}$，由以上公式可以得知元素$ {m'} $很大概率是群中的一个随机值。那么，密文可以被计算如下：

很容易可以得知游戏$ {\rm{Gam}}{{\rm{e}}_3} $被准确模拟出来，攻击者$\mathcal{A}$只能够以可忽略的优势区分这两个游戏。

引理 7　游戏$ {\rm{Gam}}{{\rm{e}}_4} $和游戏$ {\rm{Gam}}{{\rm{e}}_5} $的不可区分性

如果存在一个攻击者$\mathcal{A}$能够区分游戏$ {\rm{Gam}}{{\rm{e}}_4} $和游戏$ {\rm{Gam}}{{\rm{e}}_5} $，那么就存在一个挑战者$\mathcal{C}$能够以不可忽略的优势解决线性判定性问题。

证明：挑战者$\mathcal{C}$可以生成如下密文：

式中，${\boldsymbol{R}},{\boldsymbol{\gamma}} \in Z_p^n$，${{\boldsymbol{b}}^ \bot } \in Z_p^n$，使得${{\boldsymbol{B}}^{\rm{T}}}{{\boldsymbol{b}}^ \bot } = 0$。此外，当$\hat {\boldsymbol{\gamma}} \in {Z_p}$，给定$g_1^{\boldsymbol{R}}$，$g_1^{{\boldsymbol{R\gamma }}+ {{\boldsymbol{b}}^{\rm{T}}}\hat \gamma }$，$ g_1^{{\boldsymbol{S}}_i^{\rm{T}}{\boldsymbol{R}}} $以及$g_2^{\boldsymbol{B}}$，那么可以得到$g_1^{{\boldsymbol{S}}_i^{\rm{T}}\left( {{\boldsymbol{R\gamma}} + {{\boldsymbol{b}}^{\rm{T}}}\hat \gamma } \right)}$在群${G_1}$中均匀分布的。也就是说${C_{1,i}}$在群${G_1}$中均匀分布的。因此，攻击者$\mathcal{A}$只能够以可忽略的优势区分这两个游戏。

属性隐私：攻击者很容易从密文中获取访问控制属性的隐私，这是因为对于基于属性相关的密码体制来说，访问控制通常以明文的形式附贴在密文上。在本方案中，将属性和访问控制转化成属性和访问向量，这两种向量分别用于私钥和密文的生成。在密文生成过程中，访问向量不必以明文的形式附贴在密文上，而是隐藏在密文中，从而避免了攻击者从密文中获取访问控制属性的隐私的可能。

从表1可以得知，文献[11]仅支持细粒度访问控制，而不支持权威去中心化、访问控制的属性隐私保护和高效的数据访问；文献[12-13, 16-17, 19]支持细粒度访问控制和权威去中心化，而不支持访问控制的属性隐私保护和高效的数据访问；文献[14, 15, 35]支持细粒度访问控制、权威去中心化、访问控制的属性隐私保护，但不支持高效的数据访问；文献[18]支持细粒度访问控制、权威去中心化、高效的数据访问，但不支持访问控制的属性隐私保护；本方案支持细粒度访问控制、权威去中心化、访问控制的属性隐私保护和高效的数据访问。

由于文献[14, 15, 35]与本方案大部分的功能实现相类似，因此本部分仅将文献[14, 15, 35]与本方案进行理论开销对比分析。表2展示了多权威去中心化属性隐藏的属性基方案的各算法计算开销对比。$m$，$n$分别代表权威机构的个数和用户属性的个数；${e_0}$，${e_1}$分别表示在群${G_1}$，${G_T}$中一个指数运算的执行时间，$p$指的是一个对运算的执行时间。$\left| {{G_1}} \right|$和$\left| {{G_T}} \right|$分别代表${G_1}$和${G_T}$中元素的长度。

从表2可以得知，在以上所有多权威去中心化属性隐藏的属性基方案中，每一个权威机构参数建立算（AuthSetup）的计算开销都与系统中用户的属性个数相关；用户私钥生成算法（KeyGen）的计算开销与用户属性的个数和权威机构的个数有关；加密算法（Encryption）的计算开销与权威机构个数和属性个数都相关；在解密算法（Decryption）的计算开销方面，只有本方案能够实现高效的解密，即其开销与用户的属性个数和权威机构的个数无关。此外，可以很明显观察到在密钥生成和解密方面，本方案相较于其他方案计算开销最低。

从表3中可以得知，在以上方案中，存储权威机构生成的公开参数开销与属性个数和权威机构的个数呈正相关；存储用户私钥的开销同样与属性个数和权威机构的个数相关；文献[14-15, 35]存储密文的开销与属性个数和权威机构的个数相关，而本方案的密文存储开销仅与属性个数相关。此外，很容易从表3观察到本方案用户私钥和密文的存储开销相较于其他方案的存储较低。

综上所述，本方案在密钥生成和解密的计算开销相较于其他两个方案明显较低。在存储用户私钥和密文的开销方面，本方案相较于其他方案同样明显较低。

由于本方案使用基于属性向量和访问向量来实现策略隐藏，而文献[14-15]方案都是基于线性秘密共享矩阵或访问树的访问结构实现访问策略隐藏。通过以上理论分析可以发现，本方案在计算效率和存储效率存在一定的优势。因此，本部分主要对属性个数和权威机构个数对本方案的各算法计算性能进行评估。本方案在64 bit的Ubuntu 118.04.6 LTS版本中安装python 3.5的运行环境，使用的是Charm-Crypto 0.43的PBC安装包^[35]，本实验是基于512 位基本字段的对称曲线SS512。电脑硬件的配置如下: Intel Core i9-9900K CPU@3.60GHz*16，Graphics: GetForce RTX 2070 Super/PCIe/SSE2，32 GB内存。

图2表示的是当权威机构的个数固定为5时，本方案中相应算法运算时间随着属性向量的长度的变化。图3表示的是属性向量的长度固定为5时，本方案中相应算法运算时间随着权威机构的个数的变化。从图2中可以看出，当权威机构的个数固定时，本方案的AuthSetup，Encryption和KeyGen算法的计算时间随着属性向量的长度呈线性关系，而Decryption算法的计算时间与属性向量的长度无关。

图  2  各算法随属性向量长度变化的计算开销

从图3中可以看出，当属性向量的长度固定时，本方案的Encryption和KeyGen算法的计算时间随着权威机构的个数呈线性关系，而AuthSetup和Decryption算法的计算时间与属性向量的长度无关。

图  3  各算法随权威机构个数变化的计算开销

综上所知，本方案的解密计算开销基本保持恒定，表明本方案能够使移动用户在资源受限的条件下依然可以高效访问密文数据。

本文针对移动群智场景中数据共享过程存在安全、隐私和效率的问题，提出了一个基于属性隐藏的高效去中心化的移动群智数据共享方案。本方案能够实现细粒度的授权访问、访问控制的隐私保护、权威去中心化以及高效数据访问。并通过严格的安全性分析和性能分析，证明了本方案在应用到移动群智数据共享场景中的安全性、高效性和可行性。本方案访问控制的表达性较弱，即仅支持与门的访问控制的向量转化。未来工作将基于本方案进行扩展，设计出支持可搜索、可撤销的方案。