计算机技术与网络安全研究
             Computer Technology and Cyber Security Research



            与属性集合相关。2007 年 Boneh 等人提出了支持在密文上进行合取、子集和范
            围查询的谓词加密（predicate encryption）方案。2008 年，Katz 等人提出了支持
            在密文上进行析取、多项式方程和内积等查询的谓词加密方案。在谓词加密中，
            密文与刻画其性质的属性 I 关联，与谓词 P 对应的私钥记做 skP，当 P(I)=1 成立时，
            skP 能够解密与 I 相联系的密文，否则不能，谓词加密涵盖了基于属性的加密

            和基于身份的加密。2008 年，Boneh 等人提出了空间加密（spatial encryption)，
            其中密钥标志（key-indices）为一个仿射空间的子空间，关联标志（associated
            indices）是仿射空间内的点，当关联标志是仿射子空间中的一个成员，则访问被

            允许，否则不被允许。同年，Waters 首次提出了函数加密（functionalencryption，
            FE）这一术语，此后函数加密被用来描述上述加密方案以与传统公钥加密方案
            相区分。
                 2010 年，Boneh 等人给出了函数加密的规范定义，并将上述各类加密方案统
            一到函数加密定义框架内。在其定义中，密钥生成算法生成主公钥 mpk 和主私

            钥 msk，其中主私钥 msk 持有者能够为函数族 F 中的任意函数 f 生成私钥 skf。
            给定密文［x］（对应的明文为 x）和私钥 skf，使得该私钥持有者能够在加密数
            据上计算得到 f（x）的值。函数加密的安全目标是：对于明文 x，攻击者不能

            获取除 f（x）和从 f（x）可推出的信息外有关 x 的任何其他信息。Boneh 等人针
            对这一安全要求给出了函数加密的两种安全定义形式：基于不可区分性的安全
            （indistinguish ability-based security，IND）和基于模拟的安全性（simulation-based
            security，SIM)，其中 SIM 安全性要高于 IND 安全性，换言之，满足 SIM 安全性
            的函数加密方案一定也是满足 IND 安全性要求的，反之则不一定成立。Shen 等

            人提出在基于属性加密方案中保护谓词即函数 f 的机密性，并构造了一个满足私
            钥函数机密性（function-private，FP）的内积加密方案。随后 Boneh 等人将私钥
            FP 函数加密扩展到公钥体制中。Agrawal 等人提出了 FP 函数加密框架，将私钥

            和公钥函数加密方案中的函数机密性作了统一的定义。尽管函数加密不是语义安
            全的，但是通过选取合适的函数 f，能够将关于 x 的信息泄露控制在一定范围内，
            从而大幅度提高加密数据计算的效率。
                 作为函数加密的一个重要研究分支，基于属性的加密被广泛应用于机密数
            据的访问控制中。前面列出的基于属性的加密方案都是传统的 ABE 方案，只能

            计算 NC1 电路函数，Gorbunov 等人基于 LWE 假设将访问控制结构扩展到能够


             156
             156