支持多跳的格上屬性基同態代理重加密方案

王依然，陳燕俐，王慧婷

(南京郵電大學 計算機學院， 江蘇 南京 210023)

作為一種新型計算模式，云計算能夠為海量終端用戶提供可靠的、動態的計算環境。 遠端用戶對云資源進行訪問時，如何保護敏感數據的機密性和安全共享，是云計算和云存儲安全研究的重要方向。對存儲在云服務器的共享信息進行加密可以很好地解決云服務提供商（Cloud Service Provider，CSP）不完全可信場景下數據的機密性問題。 但這也造成了云計算環境中存在著大量用戶共享密文數據需要進行密文轉換的場景，而如果由不完全可信的CSP 在云端進行解密又重新加密處理，就會產生用戶數據泄露的風險，而代理重加密（Proxy Re-Encryption，PRE）方案可安全可靠地實現云環境下數據的共享和訪問。 代理重加密概念由Blaze 等［1］首次提出，允許一個半可信的代理服務器（Proxy Servers，PS）把用授權人（Delegator）Alice 的公鑰加密的密文轉換成用被授權人（Delegatee）Bob 的公鑰來加密的密文。 同時，此代理服務器對于該密文所對應的明文一無所知。 代理重加密方案根據密文的轉換次數，可以分為單跳（Single-hop）和多跳（Multi-hop），單跳的代理重加密方案只允許密文被轉換一次，多跳則可以被轉換多次。 代理重加密方案目前已在多個領域中得到了成功應用，如云計算訪問控制、加密電子郵件轉發、分布式文件系統的安全管理和垃圾郵件過濾等。

通常代理重加密的通信模型是一對一，即一個授權人對應者一個被授權人，這限制了重加密方案在很多一對多或者多對多實際場景的應用。 屬性基代理重加密（Attribute-based Proxy Re-encryption，ABPRE）［2］結合了代理重加密和屬性基加密［3］的概念，允許半可信代理將特定訪問策略或屬性集合下的密文轉換為另一個訪問策略下的密文，且無需透漏任何關于明文的信息，使得代理重加密更加靈活、方便和高效，更好地實現了云環境下多對多的細粒度數據共享。 隨著近年來量子計算機研究取得突飛猛進的進展［4］，由于可有效抵抗量子攻擊、且計算簡單、高效，格上的代理重加密算法以及屬性基代理重加密算法陸續被提出。 但目前的屬性基代理重加密雖然能實現在云端密文的代理，但卻無法實現密文的同態運算，包括新鮮密文和重加密密文之間的運算和處理。

全同態加密（Fully Homomorphic Encryption，FHE）不僅可滿足傳統加密的功能，并可在不知道密鑰的情況下，對密文進行任意計算。 針對目前格上屬性基代理重加密方案不能實現密文同態運算的問題，受文獻［5］同態代理重加密思想的啟發，在Brakerski 等［6］提出的目標同態屬性基加密方案（Target HABE，T-HABE）基礎上，首次提出一種多跳的格上屬性基同態代理重加密方案（Attributedbased Homomorphic Proxy Re-encryption，ABHPRE），在實現屬性基代理重加密的基礎上，實現了密文的全同態運算。 主要貢獻如下：

（1） 方案屬性加密基于KP-ABE，根據屬性集合x對消息進行加密，并根據基于布爾電路的訪問策略f生成密鑰。 只有當f（x）＝0 時，密文才能通過密鑰解密。 允許半可信代理將滿足某訪問策略的密文轉換為另一個訪問策略下的密文，很好地實現了云環境下多對多的細粒度數據共享。

（2） 方案新鮮密文和重加密密文格式相同，可實現單向多跳的密文代理重加密。 此外方案安全性高，可抵抗誠實重加密攻擊（Honest Re-encryption Attacks，HRA），即使惡意被授權人和半誠實代理人聯手得到重加密密文對應的輸入密文，也無法獲取授權人的私鑰。

（3） 將屬性基同態加密與代理重加密相結合，實現了對新鮮密文和重加密密文的全同態運算，包括同態加法、同態乘法和與非運算。

1 相關工作

1．1 代理重加密

自從Blaze 等［1］于1998 年提出代理重加密以來，已經有越來越多的代理重加密方案提出，如基于EIGamal 的、基于EIGamal 和RSA 的以及基于雙線性對等。 2010 年，Xagawa 等［7］提出一個格上基于LWE 假設構造代理重加密方案，但方案是雙向的，并且不抗同謀。 2013 年，Aono 等［8］在文獻［9］公鑰加密方案基礎上，利用同態加密中密鑰轉換技術，提出了第一個基于LWE 假設的格上單向多跳代理重加密方案，在標準模型下選擇明文安全（CPA）性，但該方案只能實現弱密鑰隱私。 2014 年，Kirshanova 等［10］對陷門定義進行擴展，提出一個在選擇模型中選擇密文安全（CCA）的，同樣基于LWE假設的單向代理重加密方案，但該方案不能實現密鑰隱私。 2015 年，Nishimaki 等［11］分別基于Regev公鑰加密方案［12］和Lindner［9］公鑰加密方案提出兩個基于LWE 假設的密鑰隱私PRE 方案，方案通過對被授權人公鑰進行隨機化的方式對授權人匿名，從而實現密鑰隱私安全，該方案缺點是只具備單跳性質。 2016 年，Ma 等［5］提出一個同態代理重加密方案，即原始密文和重加密密文都可以實現同態運算。 2019 年，Fan 等［13］指出了文獻［1］方案存在的安全性問題，提出一個改進的CCA 安全的代理重加密方案。 2021 年，Singh 等［14］構造了一個可實現主密鑰安全（Master Secret Security）的單向代理重加密方案， 即不誠實的代理和惡意被授權人不能共謀計算出授權人的密鑰。

1．2 屬性基代理重加密

與屬性基加密方案相同，屬性基代理重加密分為兩種類型：密鑰策略屬性基代理重加密（Keypolicy Attribute-based Proxy Re-encryption， KPABPRE）和密文策略屬性基代理重加密（Ciphertextpolicy Attribute-based Proxy Re-encryption， CPABPRE）。 KP-ABRE 的密鑰和訪問結構相關，密文和屬性集合相關，代理重加密是將某訪問結構可以解密的密文轉換為另一個訪問結構下可解密的密文。 CP-ABPRE 的密文和訪問結構相關，密鑰和屬性集合相關，代理重加密是將某訪問結構下加密的密文轉換為另一個訪問結構下的密文。 2009 年，Liang 等［2］提出了第一個CP-ABPRE 方案，訪問策略采用基于正負屬性組成的與門結構，方案滿足選擇CPA 安全。 隨后，Liang 等［15］提出了一個滿足適應性CCA 安全的CP-ABPRE 方案。 2016 年，Ge等［16］構造了第一個可證CPA 安全的KP-ABPRE 方案。 但上述ABPRE 方案都是基于雙線性對，無法抵御量子攻擊。 2019 年，Li 等［17］提出第一個格上的單跳單向CP-ABPRE 方案，訪問策略基于正負屬性組成的與門結構，方案采用陷門采樣技術生成重加密密鑰，但必須輸入主密鑰作為參數，因此存在主密鑰泄露的安全性問題。 2021 年，Luo 等［18］構造了第一個多跳的KP-ABPRE 方案，方案支持多項式深度策略電路，具有較短的私鑰，密鑰的大小取決于支持的策略電路的深度，但該方案的私鑰是一個擴展矩陣的陷門，在解密時必須通過采樣函數重新生成私鑰，并且該方案只能實現CPA 安全。 2021 年，Susilo 等［19］提出了一個標準模型下可抵抗誠實重加密攻擊（Honest Re-encryption Attacks，HRA）的單跳KP-ABPRE 方案，方案通過密鑰轉換技術生成重加密密鑰，克服了CPA 安全模型中可能存在的被授權人在得到重加密消息的密文情況下泄露授權人私鑰的安全問題，但不能實現密文的同態。

2 預備知識

2．1 符號

本文用R 表示自然數集，用Z 表示整數集。Zq表示（－ q／2，q／2］ 中的整數。 對于任何正整數d ＞0，［d］ 表示｛1，2，…，d｝。 用「?表示向上取整。 設S是一個集合，P是S上的概率分布。a←S表示a∈S從S中隨機均勻采樣，b←P表示b∈S從P中采樣。 向量x的第i個元素由xi表示?！瑇‖∞表示向量x的l∞范數（最大范數）。＜x，y ＞表示兩個向量的內積。 矩陣X的第i列向量由X［i］ 表示。對于矩陣X∈Rm×n，X的l∞范數定義為‖X‖∞＝maxi∈［n］｛‖X［i］‖∞｝，XT表示X的轉置。 對于兩個矩 陣表示矩陣A和B串聯生成的矩陣。In表示n × n維單位矩陣，0n×m表示所有項都為0 的n × m維矩陣。 符號negl（λ） 表示λ∈N 的可忽略函數集。 本文依賴于有界域上支持的分布，如果整數集Z 上的分布χ僅支持分布在［－ B，B］ 上，則稱χ為B有界分布［6］。

2．2 LWE 問題

誤差學習（Learning With Errors， LWE）問題由Regev［12］提出，已經被證明為一個難解的多項式復雜程度的非確定性（Non-deterministic Polynomial，NP）問題。

定義1判定性LWE（Decisional LWE，DLWE）問題。 設安全參數λ，參數n ＝n（λ），q ＝q（λ） ≥2為整數模數，χ ＝χ（λ） 為Z 上的高斯分布。D0＝χ。 DLWE 問題就是上述兩個分布：D0、D1不可區分。

2．3 Gadget 矩陣和位分解

對于任意模數q，l ＝「lgq?， 行向量g ＝（20，Gadget 矩 陣Gn ＝In?g∈

函數g－1：Zq→Zl，表示將一個數分解為二進制數，對于任意a∈Zq，列向量x ＝g－1（a） 是｛0，1｝向量，并且有＜ g，x ＞＝a。 符號表示對矩陣A的每個元素進行二進制分解，得到行擴張的矩陣，有G·G－1（A）＝A。

2．4 格陷門和離散高斯分布

定理1陷門生成算法TrapGen（1n，1m，q） →（A，TA）［20］。 存在一個概率多項式隨機算法，當m ＝Θ（nlgq），輸出一對使得A統計接近均勻分布且TA是的一個短基，且

定理2右擴展算法ExtendRight（A，TA，B） →TA‖B［20］。 給定矩陣的一個基TA，算法輸出格的一個短基T［A‖B］，其中，‖TA‖GS ＝‖TA‖B‖GS。

定理3左擴展 算法ExtendLeft（A，G，TG，S） →TA‖B［20］。 給定矩陣，格Λ⊥（G）的一個短基TG， 隨機矩陣S∈Zm×mq算法輸出格的 一 個 短 基T［A‖G＋AS］， 其 中，‖T［A‖G＋AS］‖GS≤‖TG‖GS·（1＋‖S‖2）。

引理1預采樣算法［20］。SamplePre（A，TA，u，σ）→e：給定一個矩陣的一個基TA，一個向量和一個高斯參數σ，算法輸出一個采樣于分布的向量e。

2．5 HABE 同態運算函數

定義2［6］令n，q，l∈N，N ＝n「lgq?，B1，…，假設訪問策略f∈｛0，1｝l→｛0，1｝ 的電路深度為d，且只包含與非門電路。 將B1，…，Bl接入電路的線路端口，對f中每個線路端w，u，v為其的左右輸入，定義Bw ＝G －Bu G－1（Bv），則可以遞歸得到矩陣Bf，算法表示為

推論1［6］則存在一個多項式時間的算法EvRelation， 令H ＝那么有另外，如果則有計算則有Bf ＝ARf ＋f（x）G。

2．6 KP-ABHPRE 形式化定義和安全模型

令訪問策略集F ＝｛f：｛0，1｝l→｛0，1｝｝，消息空間M，一個密鑰策略的屬性基同態代理重加密（KP-ABHPRE） 方 案 由 算 法Setup、KenGen、Enc、Dec、Eval、ReKeyGen和ReEnc組成，具體描述如下。

（1）Setup（1λ，l） →（PP，msk）：輸入安全參數λ、屬性數量l，輸出公共參數PP、主密鑰msk。

（2）KenGen（PP，msk，f） →skf： 輸入公共參數PP、主密鑰msk和訪問策略f∈F，輸出私鑰skf。

（3）Enc（PP，x，μ） →c：輸入公共參數PP、消息μ∈M和屬性x∈｛0，1｝l，輸出密文c。

（4）Dec（PP，skf，c） →μ：輸入密鑰skf、屬性x加密下的密文c，如果f（x）＝0，輸出消息μ；否則，輸出⊥。

（5）ReKeyGen（PP，skfi，fj） →rk（i→j）：輸入公共參數PP、訪問策略fj和訪問策略fi私鑰skfi， 輸出重加密密鑰rk（i→j）， 該密鑰可將屬性x（i）加密下的密文 重 加 密 為 屬 性x（j）加 密 下 的 密 文， 滿 足fj（x（j））＝0。

（6）ReEnc（PP，rk（i→j），fi，ct（i）） →ct（j）：輸入公共參數PP、重加密密鑰rk（i→j）、 訪問策略fi、 屬性x（i）加密下的密文ct（i）和重加密密鑰rk（i→j）， 如果fi（x（i））＝0， 輸出屬性x（j）加密下的重加密密文ct（j），否則，輸出⊥。

（7）Eval（PP，f，g，（ct1，…，ctn）） →ct?： 輸入公共參數PP、目標訪問策略f、 同態運算電路g和符合訪問策略f的密文ct1，…，ctn，輸出同態運算密文ct?。

定義3KP-ABHPRE 正確性。 一個密鑰策略的屬性基同態代理重加密（KP-ABHPRE） 方案（Setup，KenGen，Enc，Dec，Eval，ReKeyGen，ReEnc）可正確解密得到消息μ∈M，如果滿足：

（1） 對于任意的（PP，msk） ←Setup（1λ，l），任意的f∈F， 任意消息μ∈M和任意屬性x∈｛0，1｝l，如果f（x）＝0， 則有Dec（PP，skf，Enc（PP，x，μ））＝μ。

（2） 對于任意rk（i→j）←ReKeyGen（PP，skfi，fj），任意的ct（i）←Enc（PP，x（i），μ），如果fj（x（j））＝0，則Dec（PP，skfj，ct（j））＝μ， 其 中，ct（j）←ReEnc（PP，rk（i→j），fi，ct（i）），并且fi（x（i））＝0。

（3） 對于任意λ，任意μ1，…，μn∈M，有g（μ1，…，μn）＝Dec（skf，（Eval（PP，f，g，ct1，…，ctn）））。

定義4如果對于多項式時間的攻擊者在如下游戲中的優勢是可忽略的，那么KP-ABHPRE 方案在誠實重加密攻擊下是不可區分（IND-HRA）安全的。

（1） 初始化。 攻擊者A發送目標屬性集x?給挑戰者。

（2） 設 置。 挑 戰 者 運 行Setup（1λ，l）， 獲 得（PP，msk），并將公共參數PP發送給A。 挑戰者引入一個計數器Count，初始為0；一個存儲鍵值的集合H，初始為空；一個集合Set，初始為空。

（3） 查詢階段1。 攻擊者A可以任意多項式次地對以下預言進行查詢。

－OKeyGen：輸入策略f∈F，當f（x?）＝0 時，隨機預言機輸出⊥，否則，輸出策略f下的私鑰skf←KeyGen（PP，msk，f）。

－OReKeyGen：輸入兩個策略fi和fj，當fi（x?）＝0，fj（x?） ≠0 時，隨機預言機輸出⊥，否則，輸出重加密密鑰rkf→g←ReKeyGen（PP，skfi，fj）。

－ OEnc：輸入屬性集x和消息μ，隨機預言機輸出密文c←Enc（PP，x∈｛0，1｝l，μ）。Count值加1，并將鍵（x，Count） 和密文c添加到集合H中。

－ OReEnc：輸 入 策略fi， 鍵（x，k）， 其 中k≤Count，如果H中沒有與鍵（x，k） 對應的值，隨機預言機輸出⊥，否則，讓c作為H中對應的值。 如果fi（x） ≠0，輸出⊥代表c是無效的，否則，輸出重加密密文ct（j）←ReEnc（PP，rkf→g，c）。

（4） 挑戰。 攻擊者A在屬性集x?下提交兩個消息μ0，μ1∈M給挑戰者。 挑戰者通過選擇一個隨機比特b∈｛0，1｝， 輸出一個挑戰密文Enc（PP，x?，μ）。Count值加1，并將Count添加到集合Set中。 將值及對應的鍵（x?，Count） 添加到H中。

（5） 查詢階段2。 在接收到挑戰密文后，攻擊者A仍有權限訪問查詢階段1 中的OKeyGen，OReKeyGen，OEnc和OReEnc， 除了OReEnc中的以下 約束：如 果fj（x?） ≠0 ∧k∈Set，輸出⊥。

（6） 猜測。 在A輸入b′，如果b ＝b′，隨機預言機輸出1，否則，輸出0。

在游戲中，攻擊者A的優勢定義為Adv（λ）＝｜Pr［b′ － b］－1／2｜，如果對于任何多項式時間里的攻擊者，有Adv（λ）＝negl（λ），則認為方案是誠實重加密攻擊下的不可區分安全的。

3 密鑰策略的屬性基同態代理重加密方案KP-ABHPRE

設訪問策略集Fl，dF ＝｛f：｛0，1｝l→｛0，1｝｝，其中，l、dF分別為屬性數以及訪問策略電路的最大深度；消息空間為M。 KP-ABHPR 方案由算法Setup、KenGen、Enc、Dec、Eval、ReKeyGen和ReEnc組成，具體構造如下。

（1）Setup（1λ，1l）

選取DLWE 參數n、q、B、χ和m，有n≥λ，q≤2n，lq ＝「lgq?，N ＝nlq，m ＝Θ（nlq），M ＝（m ＋N ＋1）lq，χ ＝χ（n） 為B有界的錯誤分布。 進行如下操作：

①生成矩陣陷門對（Α，TA） ←TrapGen（1n，1m，q），其中，

（2）Keygen（PP，msk，f）

①給定一個｛0，1｝l→｛0，1｝ 的訪問策略電路f，按照2.5 節計算

②使 用 右 擴 展 函 數 生 成 陷 門T［A‖Β0＋Βf］←ExtendRight（A，TA，Β0＋Βf），再使用采樣函數生成rf←SamplePre（［A‖Β0＋Βf］，T［A‖Β0＋Βf］，v，σ），令私 鑰skf ＝［－ rf‖1］， 可 以 看 出skf·［Α‖Β0＋Βf‖v］T＝0T。

③輸出私鑰skf。

（3）Enc（PP，x∈｛0，1｝l，μ∈｛0，1｝）

②計算

③對于每個屬性xk，k∈［l］， 計算Ck ＝

（4）ReKeyGen（PP，skfi，fi，ct（i））

①選取一個滿足fj（x（j））＝0 的屬性集x（j）＝

⑤輸 出 重 加 密 密 鑰rk（i→j）＝（x（j），Μ（i→j），N（i→j））。

（5）ReEnc（PP，rk（i→j），fi，ct（i））

①調用子函數Cfi←ApplyF（ct（i），fi）， 將屬性加密x（i）下的密文ct（i）轉換為對應的訪問策略fi加密下的密文其中，為Cfi的前（m ＋N）lq列，為Cfi的最后lq列。

② 計 算 并 輸 出C（j）＝ M（i→j）（I（m＋N＋1）?

（6）Dec（PP，skf，ct）

①將屬性加密x下的密文轉換為對應的訪問策略f加密下的密文，ctf←ApplyF（ct，f）。

②計算c ＝skfctf ＝［－ rf‖1］Cf。 令uT＝計算如果則μ ＝0，否則，μ ＝1。

（7）ApplyF（ct，f）

該函數是輔助子函數，功能是對密文ct ＝（x，根據f∈F進行如下同態運算：

③輸出密文ctf ＝Cf。

（8）Eval（PP，f，g，（ct（1），…，ct（n）））

對 每 一 個i∈ ［n］， 計 算ApplyF（ct（i），f） ，計算并輸出同態運算密文ct?＝

4 方案分析

4．1 正確性分析

證明：下面根據密文的類型分兩種情況證明。

ApplyF（ct（i），fi） →Cfi ＝（［A‖（B0＋Bfi）‖v］TS ＋E ＋μGm＋N＋1）

c ＝skfiCfi ＝［－ rfi‖1］（［A‖（B0＋Bfi）‖v］T·S ＋E ＋μGm＋N＋1）＝μ［－ rfi‖1］G ＋［－ rfi‖1］E

誤差：

因 此， 當 且 僅 當 誤 差 ‖e‖＝時，新鮮密文可以正確解密。

由于：

又因為：

4．2 同態性分析

從4.1 分析中可以看到原始密文和重加密密文表達式相同，設

其中，誤差＝［－ rf‖1］（E1＋E1）。

其中， 誤 差＝μ1［－ rf‖1］E2＋［－ rf‖1］ ·

其中， 誤差＝μ1［－ rf‖1］E2＋［－ rf‖1］·

綜上所述，KP-ABHPRE 方案密文滿足同態性。

4．3 安全性證明

定理5 KP-ABHPRE 方案在DLWE 假設下是IND-HRA 安全的。

證明：方案的密文CPA 安全證明和文獻［1］相同，是在一系列游戲中進行的，故此省略。 下面只給出HRA 安全的證明。

（1）Sim．Setup（1λ，l）

（2）Sim．KeyGen（PP，f∈F，f（x?） ≠0）

③ 使用左擴展函數生成陷門T←再使用采樣函數rf←SamplePre（［A‖B0＋Bf］，T，v，σ） →e，生成 私 鑰skf ＝［－ rf‖1］， 可 以 看 出，skf·［Α‖Β0＋Βf‖v］T＝0T。

（3）Sim．ReKeyGen（PP，fi，fj∈F，fi（x?）＝0）

對于fi（x?）＝0， 如果fj（x?） ≠0， 輸出⊥；否則，選取隨機矩陣

輸 出 重 加 密 密 鑰rk（f→g）＝（x?，M（i→j），N（i→j））。

（4）Sim．ReEnc1（PP，ct（i）（x ＝x?），fi，fj∈F）

如果f（x?） ≠0，輸出⊥，否則：

①選取一個滿足fj（x（j））＝0 的屬性集x（j）＝選 擇 隨 機矩 陣S（i→j）， 誤 差 矩 陣以及誤差向量，對每一個a∈［0，1，…，l］，b∈［（m ＋（l ＋1）N ＋1）lq］，采樣1｝m×N， 計 算 誤 差 矩 陣計 算 并 輸 出

②將ct（i）表示為

（5）Sim．ReEnc2（PP，ct（x≠x?），fi，fj∈F，f（x?）＝0）

如果f（x） ≠0，輸出⊥。 否則，對于f（x）＝0，執行以下操作：

①因為x≠x?，至少存在一個i∈｛1，…，l｝，使得不失一般性，假設0。 因為的陷門，因此，首先計算然 后 用ExtendRight算 法 計 算F ＝［A‖xlG ＋Bl‖B0‖x1G ＋B1…‖xl－1G ＋Bl－1‖v］陷門TF ＝ExtendRight（Α‖xlG ＋Bl，T（?。黿lG＋Bl），［B0‖x1G ＋B1‖…‖xl－1G ＋Bl－1‖v］），通過行交換得到F′ ＝［A‖B0‖v‖x1G ＋B‖…‖xlG ＋Bl］的 陷 門TF′。 最 后 通 過 采 樣 函 數rf←SamplePre（F′，TF′，v，σ） →e。

②選 取 一 個 滿 足fj（x（j））＝0 屬 性 集x（j）＝選擇隨機矩 陣S（i→j）， 誤差矩陣以及誤差向量，對每一個a∈［0，1，…，l］，b∈［（m ＋（l ＋1）N ＋1）lq］，采樣1｝m×N， 計 算 誤 差 矩 陣計 算并輸出

③將ct（i）表示為

④計 算 并 輸 出C（j）＝M（i→j）·（Im＋N＋1）?

Sim．ReEn1或Sim．ReEn2模擬生成的重加密密文需要正確解密。 對于模擬生成的重加密密文的正確性，當fj（x（j））＝0 時，對重加密密文進行運算得到分布中采樣的，有因此現在令計算通過選擇參數，可正確解密模擬重加密密文。

綜上所述證明成立。

4．4 性能分析

首先對本文ABHPRE 方案與文獻［17－19］的屬性基代理重加密方案進行性能比較。 如表1 所示，文獻［17］方案是基于CP-ABE，訪問策略采用與門結構，訪問策略不夠靈活。 文獻［18］構造了第一個多跳的KP-ABPRE 方案，但該方案只能實現CPA安全。 文獻［19］可實現HRA，但只能實現單跳，并且同樣不能實現密文同態運算。 而本文提出的ABHPRE 方案不僅可以實現單向多跳、滿足HRA安全，而且可以實現密文同態運算。

表1 方案性能比較

從公鑰大小、主私鑰大小、私鑰大小、重加密密鑰大小、密文大小和重加密密文大小等方面，將本文方案與文獻［19］方案進行比較，比較結果如表2 所示。 可以看到本文方案私鑰較小，但由于本文方案滿足多跳功能，并且可實現同態運算，因此密文是矩陣形式，長度大于文獻［19］方案。

表2 方案的密文密鑰大小比較

5 結束語

本文提出一種格上的可抵抗HRA 攻擊的屬性基同態多跳代理重加密方案。 方案代理重加密是基于密鑰策略的，允許半可信代理將符合特定訪問策略的的密文轉換為符合另一個訪問策略下的密文。與以往方案相比，本文方案不僅可以實現單向多跳，并對密文進行多次重加密，還實現了對新鮮密文和重加密密文的全同態運算。 但目前方案還只能實現相同策略的密文同態運算，下一步工作要提出可實現不同訪問策略密文同態運算的格上屬性基同態代理重加密方案，進一步提高訪問控制的靈活性。