第39卷  计  算  机  学  报  Vol.39 2016 论文在线出版号  No.180  CHINESE JOURNAL OF COMPUTERS  Online Publishing No.180 ——————————————— 本课题得到国家自然科学基金(No.61272436，No.61572303)、榆林市科技计划产学研项目(No.2014CXY-08-01)资助.张丽娜，女，1981年生，博士，副教授，是计算机学会(CCF)会员（28252M），主要研究领域为密码学与信息安全.E-mail:zhangln_ecc@163.com.  杨波（通讯作者），男，1963年生，博士，教授，主要研究领域为密码学与信息安全.E-mail: byang@snnu.edu.cn.  周彦伟，男，1986年生，博士研究生，主要研究领域为密码学、  匿名通信技术等.E-mail: zyw@snnu.edu.cn.  贾艳艳，女，1983年生，博士，讲师，主要研究领域为密码学与信息安全.E-mail: jiayy@xust.edu.cn.   适于任意深度电路结构的紧致属性基广播加密方案 张丽娜1) 2)  杨波1)      周彦伟1)   贾艳艳2)   1)(  陕西师范大学计算机学院,  西安  710072) 2)(  西安科技大学计算机科学与技术学院,  西安  710054)   摘  要  为了简化传统的公钥加密体制，Shamir于1984年提出了基于身份的加密方案。属性密码学由身份密码学发展而来，利用用户属性信息和相应的访问控制策略来替代机制中需要身份参与的运算。基于一般电路来表示访问策略及构造相关的属性密码方案是目前的研究热点和难点。2013年Garg 等利用多线性映射和一般电路来描述访问策略，首次给出了基于一般电路能抵抗回溯攻击的属性基加密方案。受限伪随机函数的概念于2013年提出，利用其安全性功能，可以将其与双线性和多线性映射，不可区分性混淆，同态加密等技术相结合，在多种场景得到应用。如何将受限伪随机函数与其他密码技术相结合来构造新兴的密码协议和方案成为受限伪随机函数研究的重要课题。基于Garg等的方案并将受限伪随机函数与基于电路的属性基相结合，本文基于现有的多线性映射给出了一个基于任意深度的一般电路访问结构的广播加密方案。主要创新点在于本方案的一般电路节点的深度' l不需要固定于电路的最大深度l，只需要满足条件' ll<即可，实现了一般电路中节点的跨层输入。该方案密文较短，与其他方案相比是密文紧致的，此外该方案不需要广播加密中的报头部件。本方案在标准模型下基于多线性判定性Diffie-Hellman假设被证明是具有选择安全的。尽管在2016年的欧洲密码年会上，Hu等人给出了攻破基于分级编码系统实现多线性映射方法的具体方案，但是基于多线性映射的构造和相关安全性模型仍在进一步完善和发展中。我们相信下阶段会有更实用安全的多线性映射实现方法，因此目前基于多线性映射原语的各类理论研究和实现方案仍具有较大的研究意义。 关键词  多线性映射；基于属性的密码学；选择安全；一般电路；广播加密 中图法分类号  TP309   论文引用格式 张丽娜，杨波，周彦伟，贾艳艳，适于任意深度电路结构的紧致属性基广播加密方案，2016，Vol.39：在线出版号  No.180 ZHANG Li-Na，YANG Bo，ZHOU Yan-Wei，JIA Yan-Yan，Compact Attribute-Based Broadcast Encryption Scheme for General Circuits with Arbitrary Depth，Chinese Journal of Computers,2016, Vol.39: Online Publishing No.180  Compact Attribute-Based Broadcast Encryption Scheme for General Circuits with Arbitrary Depth   ZHANG Li-Na1) 2)  YANG Bo1)  ZHOU Yan-Wei1)  JIA Yan-Yan2) 1) (School of Computer Science, Shaanxi Normal University, Xi'an 710072) 2) (Department of Computing Science and Technology, Xi'an University of Science and Technology, Xi'an 710054)   网络出版时间：2016-12-05 22:40:06网络出版地址：http://www.cnki.net/kcms/detail/11.1826.TP.20161205.2240.004.html2  计  算  机  学  报  2016年  Abstract  Identity-based  encryption  (IBE)  scheme  was  proposed  by  Shamir  in  1984  in  order  to  simplify  the traditional public key cryptography. Attributed-based encryption scheme is a special type of IBE. The identities could  be  instead  by  the  attributes  and the  corresponding  access  control  policy. Designing  access  structure  and related attribute-based encryption schemes for general circuit is difficult and has been a hot topic. It is really an interesting  work  to design schemes  that  be  able  to  realize  decryption  policies  representable  as  polynomial-size circuits. Based on the existence of multilinear maps, Garg et al. provided the first construction of attribute-based encryption  (ABE)  for  general  circuits  which  could  resist  the  backtracking  attack  in  2013.  Similarly,  our constructions are based  on  the  existence  of  multilinear  maps  and it  could resist the backtracking  attack. The concept  of  constrained  pseudorandom  functions  (CPRF)  were  introduced  in  2013, since  then  it  had  got  a  wide range  of  research.  With  the correspondingsecurity  feature,  constrained  pseudorandom  function  could  be combined with other technologies such as the bilinear and multilinear maps, indistinguishability obfuscation and homomorphic encryption etc. and to be applied in a variety of application situation. Associating with the Garg's scheme and constrained pseudorandom functions, we propose an attribute-based broadcast encryption scheme for general  circuits  with  arbitrary  depth. In  this scheme  the  depth  of  the  general  circuits ' l  could be smaller  than the maximal depth l, instead of equaling to the maximum and achieve cross layer output. Our main construction exposition  is  for  circuits  that  are  layed  and  monotonic  as  usual.  How  to  construct  a nonmonotonic  access structure  is  the  next  step  in  this research. Comparing  to  the  existing  works,  the  advantages  of  our  scheme  are short  ciphertext  and  featuring  compactness without adding the  broadcast  header. Essentially  it  is  a  symmetric broadcast  encryption  scheme  and  associated  with  constrained  pseudorandom  functions. Furthermore  our construction  is  of  the  key-policy  form  that  the  encryption  algorithm  takes  in  the  description  of  attributes and message  and  the key  generation  algorithm  takes  in  the  description  of  a  circuit. Our  scheme is  proved  to be selective security in the standard model under the multilinear decisional Diffie-Hellman assumption. We would have  a  further  exploring  on  its  application  scenarios  and  try  to  improve  its  efficiency. Since  2013  multilinear maps serve as a basis for a wide range of cryptographic applications. However, it was found to be insecure in the face of so-called zeroizing attacks that crucially relied on the ability of the adversary to create encodings of 0 by Hu  and  Jia (Eurocrypt’16) in 2016.This result provides a new opportunity for the study of the realization and application of multi linear maps in other directions. Some researchers proposed new “weak multilinear map models” that could capture all known polynomial-time  attacks  on  GGH13.  We  believe  that  the  related  results open a stimulating opportunity to study new constructions using a multilinear map abstraction. There would be more practical and secure schemes appeared and building ABE for circuits based on multilinear maps would be one of the most exciting challenges.  Key words  multilinear  maps;  attribute  based  encryption;  selective  security;  general  circuits;  broadcast encryption    1  引言 在传统的基于公钥基础设施PKI(Public  Key Infrastructure)的密码体制中，证书的产生、私钥证书的存储和公钥证书的认证等都需要较高的存储开销和安全机制来确保。为了简化传统的公钥密码体制，Shamir于1984年提出了基于身份的加密方案IBE(identity-based  encryption)[1], 该设计的概念为不使用任何证书，直接将用户的身份信息（甚至是任意字符串）作为公钥，以此来简化PKI中基于证书的密钥管理方案。直到2001年才由Boneh和Franklin 提出了第一个比较实用的解决方案,称为BF_IBE[2]，该方案使用Weil配对技术，基于有效的可计算双线性映射点群构造，并证明了其安全性在随机预言模型下是适应性选择密文安全。此后，论文在线出版号  No.180  张丽娜等：适于任意深度电路结构的紧致属性基广播加密方案  3  很多有效的基于身份的密码方案被提出和改进，这些公钥认证框架具有无公钥证书的优势, 可以利用用户的身份信息如电子邮件地址、手机号码等唯一的身份标识作为公钥，不需要与公钥基础设施相关的各项存储和管理开销，可以节约大量资源，已成为传统公钥体制的有力替代。 属性密码学[3]由身份密码学发展而来，利用用户属性信息和相应的访问控制策略来替代机制中需要身份参与的运算。2006年Goyal 等人[4]给出了基于密钥策略的属性基加密方案,该方案基于树形结构设计了访问策略并将其嵌入秘密钥中。此后，基于属性的各类密码方案及其应用得到了广泛研究和发展。由于访问树的结构能够与布尔表达式和电路描述直接对应，因此如何利用一般电路来表示访问策略是一个有意义的问题。2013年Garg等在文献[5]中首次给出了基于一般电路能抵抗回溯攻击的属性基加密方案，该方案利用多线性映射基于一般电路来描述访问策略。2015年Datta等[6]基于此方案进行了改进，给出了新的属性基加密方案和签密方案，该方案最大优点是减少了密文的个数。同年Xu等[7]基于文献[5]给出了基于一般电路支持代理可验证的属性基混合加密方案。Hu等[8]  于2016 年给出了基于一般电路密钥策略的属性加密方案，该方案是支持跨层输出的。这些方案均为标准模型下选择安全的。此外，Garg 等[9]和Attrapadung等[10]分别利用编码技术给出了基于多线性映射和编码的一般电路适应性安全方案。在2016年的欧洲密码年会上，Hu等人[11]给出了攻破基于分级编码系统实现多线性映射方法的具体方案，并证明了利用基于分级编码系统的多线性映射来构造各类高级密码应用也均为不安全的。此研究结论为多线性映射具体实现在其他方向的研究提供了新的契机，如文献[12]利用不可区分性混淆、同态加密和零知识证明结合基本困难问题来实现多线性映射群。我们相信下阶段会有更实用安全的多线性映射实现方法，因此目前基于多线性映射原语的各类理论研究和实现方案仍具有较大的研究意义。 2013年Boneh和Waters[13]，Kiayiaset 等[14]和Boyle 等[15]分别提出了受限伪随机函数的基本概念。文献[13]中Boneh等基于双线性对和多线性对给出了受限伪随机函数的三种构造和基于此的三个应用范例，分别是基于左-右谓词结构的密钥交换机制，基于比特-固定谓词结构的广播加密机制和基于电路谓词结构的策略型密钥分发机制。利用受限伪随机函数的性质，基于电路谓词结构来构造高效的属性基广播加密方案是本文的研究重点。 目前多线性映射和一般电路相结合的高效、实用方案是研究热点之一，如何构造标准模型下的全安全方案及其安全性证明也仍然需要进一步深入探讨，如何将新提出的受限伪随机函数及其性质与各类应用相结合也是值得研究的问题。 2  背景知识 2.1   双线性映射 定义  1[2]：令12, GG为两个阶为大素数的乘法循环群，1G到2G的双线性映射1 1 2: e ´® G G G应满足如下三个性质： （1）双线性：对于任意的1, PQÎG，, abÎZp，有( , ) ( , )a b abe P Q e P Q =。 （2）非退化性：存在1ÎG P，使得( , ) 1 e ¹ PP。 （3）可计算性：对于任意的1, PQÎG，, abÎZp，存在多项式时间的算法能有效计算2( , )abe P Q ÎG。 2.2   多线性映射 定义  2[16]：假设存在一个群产生算法G，通过输入安全参数l和一个正整数T来确定其级数，(1 , )lk G输出一系列的群1( ,..., ) Gk=urGG，其中每一个群的阶均为大素数p（这里2 pl>），且ig是Gi的正规生成元，这里记1gg=。 假设存在一个多线性映射集合,+ { | 1; }i j i j i je i j i j k ´ ® ³ + £ :G G G ,，对于每对有效的, ij，均存在一系列的双线性映射 ,( , )   ,a b abi j i j i j e g g g a b+ = " ÎZp 则称此映射集合为多线性映射。 假设1 k-多线性判定性Diffie-Hellman（-MDDH k）假设。一个挑战者运行(1 , )lk G来生成阶为大素数p的一系列群及其对应的生成元，然后选择随机数MDDH。-MDDH k假设是指给定( )11 , ,...cc g g gk+，区分T和' T是困难的，其中[1, 1]jjTg kkkÎ+ Õ=ÎGc，' T为从kG中随机选择的一个群元素，其获胜优势不会超过基于安全参数l的一4  计  算  机  学  报  2016年  个可忽略概率。 2.3   访问结构[17] 设1{ ,..., }nPP为系统参与者的n个属性集合，1{ ,..., }2nPPÍ A，, BC表示属性集合的子集。假如对于任意的, BC，若BÎA且BCÍ，则CÎA，则称A是单调的。访问结构为集合1{ ,..., }nPP的所有非空子集构成的单调集合，即1{ ,..., }2 \ { }nPPf Í A。对于D "ÎA，称D为授权集合，对于DÏA，称D为非授权集合。 2.4   电路 本节由2.3节给出的访问结构继续给出一般电路的相关概念，并对一般电路[5]的描述进行定义。 电路一般由节点和线路组成。每个叶子节点对应一个属性，非叶子节点由AND门、OR门和NOT门构成，线路则是电路中连接连个节点的连线。本文所述电路为只包含均为两个输入和一个输出的AND门和OR门的单调电路。更进一步该电路为只有一个输出门的层级电路。本文中对于电路的描述用六元组=( , , , , , GateType) f n q l A B表示，表示该电路有n条输入线，q个输入端口，电路的最大深度为l，电路的输出线为+ nq条。用w表示电路中的某个节点， Gates Wires/ outputwire A ® :表示一个函数，用() Aw表示w的第一条输入线。同理，() Bw表示w的 第 二 条 输 入 线。 最 后GateType :{AND,OR}被用来表示这个电路的类型是与门还是或门。此外还需要定义一个函数depth W {1,..., } l ® :，当w是输入端口时，depth( )=1 w。当w非输入端口时，用变量j表示电路w的深度，则depth( )= wj。()wfx表示以w为根节点的电路输出结果。 下面描述本文中基于一般电路的访问结构，事实上一般电路的描述与访问结构树天然对应[4]。当电路对应一个映射:{0,1} {0,1}nf ®时，电路的n个输入对应一个n维向量{0,1}nxÎ，电路根据x的取值进行计算，最后电路根节点的输出为0或1，也即当属性集合的向量x满足电路描述的访问结构时,则( ) 1 fx=，即根结点的输出为  1。 以下举例说明属性向量与基于一般电路访问结构的对应关系。如图1  所示为某一给定的一般电路。该电路中属性的数量也即电路的输入线数量=5 n，输入端口=4 q，电路的深度=4 l。非叶子节点类型和相应深度可分别如表1所示。    图1  范例电路  表1. 范例电路中各节点类型及深度 节点类型  节点深度 6 ( ) AND GateType w = 6depth( ) 1 w = 7 ( ) AND GateType w = 7depth( ) 1 w = 8 ( ) OR GateType w = 8depth( ) 2 w = 9 ( ) OR GateType w = 9depth( ) 3 w =  当属性向量为=(00100) x时，对应的中间节点的电路输出可计算得6( ) 0wfx=，7( ) 1wfx=，8( ) 0wfx=，9( ) 1wfx=，因此可计算根节点对应的输出值( ) (00100) 1 f x f ==。表示对应的属性集合{C}满足访问结构。具体情况如图2所示。 同理，当属性向量为=(11000) x时，对应的电路输出可计算得6( ) 1wfx=，7( ) 1wfx=，8( ) 0wfx=和9( ) 1wfx=，因此可得( ) (11000) 1 f x f ==。表示对应的属性集合{A，B}也满足访问结构。 但是当属性向量为=(10010) x时，对应的电路ANDAND ORORA B C D Ew1 w2 w3w4w5w6w7w8w9论文在线出版号  No.180  张丽娜等：适于任意深度电路结构的紧致属性基广播加密方案  5  输出可计算得6( ) 0wfx=，7( ) 0wfx=，8( ) 0wfx=和9( ) 0wfx=，因此可得( ) (10010) 0 f x f ==。表示对应的属性集合{A，B}不满足访问结构。 2.5    受限伪随机函数 受限伪随机函数由伪随机函数[18]发展而来，其基本概念于2013年分别由文献[13-15]提出。所谓的受限伪随机函数[13]是指允许从伪随机函数的主密钥k中派生出一个受限密钥sk，这个受限密钥sk对应于定义域X的一个子集SÍX。拥有受限密钥sk的合法用户可以在多项式时间内，对于xS "Î计算( , )  F k x。反之对于没有受限密钥sk的非法用户，无法区分( , ) F k x与任意给定的随机数。 图2  =(00100) x时的电路输出范例 一个基本的受限伪随机函数受限于一个集合2 SÍX，由一个附加的密钥空间ck，两个附加的算法.constrain F和.eval F组成。 .constrain( , ) F k S算法输入为一个伪随机函数的密钥k和集合描述SÎS，算法输出为受限密钥sc kkÎ。对于xS "Î，此受限密钥sk可以被用来计算( , )  F k x，反之当xSÏ时，利用sk无法计算( , ) F k x。 .eval( , )sF k x  算法输入为受限密钥sc kkÎ和xSÎ。假如sk是伪随机函数的密钥k利用算法.constrain( , ) F k S派生出的有效受限密钥，则利用.eval( , )sF k x可计算得到( , ) F k x的正确结果。.eval( , )sF k x的具体描述如下。 ( , ).eval( , )=sF k x x SF k xÎ ìí^î 其他 定义3： 比特-固定的受限伪随机函数。 令{0,1}n= X是伪随机函数的定义域。对于向量{0,1,?}nvÎ，令vS ÍX是n比特长的字符串，当满足v在所有的坐标都有?iv ¹时，可称vS对于v是比特-固定的。 由比特-固定的受限伪随机函数定义可知，对于每一个形式为{0,1}n的子集SÍX，均有一个受限密钥SK，使得对于xSÎ能够计算得到( , ) F k x,但是对于xSÏ则无法计算。 定义 4：比特-固定的谓词结构 令: {0,1}nFK´®Y是一个伪随机函数。则可为向量{0,1,?}nvÎ定义一个谓词结构 ():{0,1} {0,1}BF nvp ® 使得满足特定比特形式的受限密钥vk,能够在所有点x计算得到( , ) F k x。对于所有1,..., in=，具体结构如下： ()( ) 1 ?BFv i i ip x v x v = Û = = 或                假如: {0,1}nFK´®Y受限于满足谓词结构():{0,1} {0,1}BF nvp ®的集合，则称其满足比特-固定的结构。 3  属性基广播加密系统 3.1   模型 广播加密方案[13,19]由三个随机算法组成。下述方案中num表示系统中用户数目，n表示系统中用户属性的最大个数，可以通过对系统中每个用户的属性集合描述进行编码，得到长度为n的二进制序列串{0,1}n。方案具体描述如下。 l 1(bk, ( ,... )) Setup(1 , )m d d numl ¬：  系统建立算法Setup的输入为安全参数l和系统最大用户数目num。输出为num个秘密钥1,...numdd和一个广播密钥bk。对于1,..., i num =,秘密钥id对应于接收者i。 ANDAND ORORA B C D Ew1 w2 w3 w4w5w6w7w8w90 0 1 0 001016  计  算  机  学  报  2016年  l (hdr, ) Encrypt(bk, ) kS¬： 加 密 算 法Encrypt的输入为广播者的密钥bk和接收者属性集合描述S。算法输出为一对参数(hdr, ) k，这里hdr为广播数据头，kKÎ是选自密钥空间K的消息加密密钥。 令*{0,1} mÎ为待广播的消息，当广播者需要将消息m广播给符合属性集合S的用户时，需要先利用加密算法(hdr, ) Encrypt(bk, ) kS¬得到加密密钥k，mc是利用对称密钥k对消息m进行加密得到的密文。最后广播数据由( , hdr, )mSc组成。 l Decrypt( , , , hdr)ii k S d S ¬： 解 密 算 法Decrypt输入用户i所对应的属性集合描述iS，用户i对应的秘密钥id，接收者属性集合描述S以及广播头hdr。根据2.4节对比特-固定谓词结构的描述，可定义受限集合为合法接收者属性集合S所对应的编码，假如对于比特-固定结构的谓词:{0,1} {0,1}np ®，假如用户属性集合满足( ) 1ipS =，则用户能够利用其秘密钥id通过计算得到对消息进行加密的对称密钥kKÎ。然后用户i可以利用k来解密广播主体mc，恢复其包含的信息m。 由上述系统模型可知，广播加密算法中所用秘密钥只有广播者自己掌握，因此该方案属于对称广播加密方案。该广播加密系统是正确的，意味着对于接收者属性集合描述S和所有的( ) 1ipS =，应满足对任意 1(bk, ( ,... )) Setup(1 , )Rn d d nl ¬¾¾ (hdr, ) Encrypt( , )Rk bk S ¬¾¾ 则有( , , , hdr)ii Decrypt S d S k =。 3.2   安全性定义 属性基广播加密系统的语义安全[13,19]是指假如一个敌手获得了它对于所选的( ) 1ipS =对应的接收者密钥id，仍不能够攻破用于挑战的接收者属性集合*iS的广播密文的语义安全。敌手与挑战者的交互游戏描述如下。 （1）  系统建立阶段：首先由敌手向挑战者输出一个接收者属性集合描述*iS。挑战者运行1(bk, ( ,... )) Setup(1 , )Rn d d nl ¬¾¾，并将公共参数发送给敌手。 （2）  问询阶段1：在本阶段敌手可以向挑战者进行两类问询，具体描述如下。 l RK( )iS是一个接收者秘密钥问询，输入为iS，输出为id。 l SK( ) S是一个加密问询，输入为合法接收者属性集合S，输出为加密广播消息的对称密钥k。 这里要求接受者属性集合iS与系统建立阶段确定的待挑战属性集合*iS不相同。 （3）  挑战阶段：输入为在系统建立阶段确定的接收者属性集合*iS，选择随机比特{0,1} bÎ，计算1-RbkK¬¾¾和b(hdr, ) Encrypt(bk, )RkS¬¾¾，然后将01 (hdr, ) kk,返回给攻击者。 （4）  问询阶段2：与问询阶段1相同。 （5）  猜测阶段：最后敌手输出一个猜测' b。假如' bb=，则敌手赢得游戏，其获胜概率可定义为( ) 2 Pr[ '] 1A AdvBE b b l = = -。 在上述安全模型中，有两类密钥的问询，一类是广播接收者的秘密钥问询，另一类是协商出的密钥问询。事实上，该属性基广播加密系统安全模型中的接受者秘密钥问询谕言机RK可直接对应于2.4节受限伪随机函数定义中的谕言机.constrain F，加密问询的谕言机SK对应于受限伪随机函数定义中的谕言机.eval F。受限伪随机函数的安全性定义具体可见文献[13]。 定义5：假如对于所有概率多项式时间敌手A，函数()AAdvBE l是可忽略不计的，则这个广播加密系统是语义安全的。 4  紧的适于任意深度电路结构的属性基广播加密方案 本文借鉴了受限伪随机函数[13]和文献[6]的设计思路，利用多线性映射将用户的属性在指数上进行联合计算，密文量只有2个群元素，相较于以前方案[5,8]在每个密文中为每个属性生成一个群元素参数的方法，在密文的存储量上有显著下降，相较而言密文紧致。 在设计中本文对广播加密系统中每个用户的属性集合描述iS进行编码，得到长度为n的二进制论文在线出版号  No.180  张丽娜等：适于任意深度电路结构的紧致属性基广播加密方案  7  序列串{0,1}nxU =。编码规则为假定系统中用户属性的最大个数为n，属性集合可表示为{1, 2,..., } n。当用户拥有编号为i的属性时，可将xU的第i比特位置为1。相应的，当用户没有编号为i的属性时，可将xU的第i比特位置为0。设广播加密中合法接收用户的属性集合描述的编码为{0,1}nxÎ，用户的属性编码xU受限于合法接收用户的属性编码x，即()(U ) 1BFxx p =。 在2.3节和2.4节，给出了访问结构的定义和电路的相关概念。本方案中电路对应一个映射:{0,1} {0,1}nf ®，电路的n个输入对应一个n维向量{0,1}nxÎ，与用户的属性集合描述的编码一致，即当用户拥有第i个属性时，电路的第个输入为1，否则为0，最后电路根节点的输出为0或1，也即当用户属性集合满足电路描述的访问结构时,则( ) 1 fx=，即根结点的输出为  1。 4.1   方案描述 现在我们给出基于一般电路的属性基广播加密的具体方案。方案中电路节点的深度' l不需要固定于电路最大深度l，只需要满足条件' ll£即可。本文结合文献[13]中受限伪随机函数的概念，给出了适用于满足' ll£条件下任意深度电路结构的广播加密方案。方案由四部分组成，分别为Setup，KeyGen，Encrypt和Decrypt，具体方案说明如下。 Setup(1 , , ) nll 系统在初始化时首先输入安全参数l，最大属性数目n和电路的最大深度l。运行(1 , ) nllk=+ G输出一系列阶为大素数p的群1( ,..., ) Gk=urGG，对应生成元分别为1ggk,...,，这里不妨令1gg=。随机选择一个指数paÎZ，选择n个随机数对21,0 1,1 ,0 ,1( , ),..., ( , )n n p d d d d ÎZ，计算,,idiDgbb=，这里[1, n], {0,1} i b ÎÎ。 系统发布的公开参数PP为一系列群Gur的描述和, 1,..., ; {0,1}{}i i n Dbb=Î。 主密钥MKlga=由系统秘密保存。 KeyGen(MK, =( , , , , , GateType)) f n q l A B 密钥生成算法的输入为公共参数PP，主密钥MK和解密策略的电路描述f。该算法首先选择+1 nq-个随机数1 + 1,...,n q prr- ÎZ，与电路中的每个节点w相对应，然后令+=nqr a，根据w的不同类型（可能为输入线， AND门，或者是OR门），生成w对应的密钥组件。 l   Input wire 如果[1, n] wÎ，则说明其为第w个输入线，密钥生成算法生成相应的密钥组件为： ,12ww rdwKg= l   OR gate 假如Gates wÎ且GateType( ) OR w=时，设节点w的深度为= depth( ) jw，() Aw和() Bw的深度分别为1d和2d（12 1 , 1 d d j £ £ -），密钥生成算法选择随机数,w w pabÎZ，生成密钥组件为： 12 12,ww ab w j d w j dK g K g-- == ， ，( ) ( )34,w w A w w w B wr a r r b rw j w j K g K g- × - ×== ， ， l   AND gate 假如Gates wÎ且GateType( ) AND w=时，同样不妨设节点w的深度为= depth( ) jw，() Aw和() Bw的深度分别为1d和2d（12 1 , 1 d d j £ £ -），密钥生成算法选择随机数,w w pabÎZ，然后生成密钥组件为： 12 12,ww ab w j d w j dK g K g-- == ， ，( ) ( )3w w A w w B wr a r b rwj Kg- × - ×=， Encrypt(MK, ) S 该算法的输入参数为主密钥MK，合法接收用户的属性集合S，对应的编码为{0,1}nxÎ。令ix表示x的第i比特，那么可利用主密钥和公共参数生成对称密钥 ,[1, ]= ( , ) ( )xidnl k F MK x gakÎ=+Õ=iin 令mC是利用对称密钥k对消息m进行加密的密文，则最后输出的广播数据为( , hdr, )mSc。特别的，在本方案中hdr为空。 Decrypt( , )fkS 算法输入为电路描述=( , , , , , GateType) f n q l A B对应的密钥fk和合法接收用户对应的属性集合S。这里可设S对应的编码为{0,1}nxÎ。     8  计  算  机  学  报  2016年  本算法的主要目的是利用用户的秘密钥计算出对称密钥,[1, ]= ( , ) ( )xidnl k F MK x gakÎ=+Õ=iin。利用电路性质，可以从电路的底部开始，由下往上进行计算。考虑深度为' ll£的线路w，如果( )=1wfx，则本算法可利用输入参数计算,()wxirdw j nEg+Õ=ii（这里j为w的深度）作为k的中间值，否则如果( )=0wfx，则直接停止计算。本算法从1E开始，最终计算出= ( , )nqE F MK x+，即为对称密钥k的值。 下面展示当( )=1wfx时，本算法如何利用输入参数来计算wE，同密钥生成算法类似，也需要根据w的不同类型（可能为输入线，AND门，或者是OR门），分三种情况进行讨论。 l   Input wire 假如[1, n] wÎ，则说明其为第w个输入线，假如( )=1ww x f x =，则通过公共参数,,idiDgbb=（[1, n], {0,1} i b ÎÎ）和密钥wK，利用线性对运算可计算 ,[1,n],[1,n] ,1,[1,n]1211= ( , )= ( , )ixiiwixiiw www i xiidw w ndrdnrdnE e K ge g ggιιÎ--+ÕÕÕ= l   OR gate 假如Gates wÎ且GateType( ) OR w=时，设节点w的深度为= depth( ) jw，() Aw和() Bw的深度分别为1d和2d（12 1 , 1 d d j £ £ -）。假如( )=1wfx，则通过公共参数,,gidiDbb=（[1, n], {0,1} i b ÎÎ）和相应的密钥组件，利用线性对的运算，可分两种情况进行计算。 当OR门的有效输入为w的第一条输入线() Aw时， ,[1,n]( ) ,[1,n]11,() [1,n],[1,n]( ) ,1 ,3( , ) ( , )( , )( , )ixiiA w i xiiwixi w w A w iw i xiidw A w w n wrdan d j ddr a rnjrdnjE e E K e g Ke g ge g ggÎÎÎÎ+--×+Õ=×Õ=Õ×Õ= 当OR门的有效输入为w的第二条输入线() Bw时，同理可计算 ,[1,n]( ) ,[1,n]21,() [1,n],[1,n]( ) ,2 ,4( , ) ( , )( , )( , )ixiiB w i xiiwixi w w B w iw i xiidw B w w n wrdbn d j ddr b rnjrdnjE e E K e g Ke g ge g ggÎÎÎÎ+--×+Õ=×Õ=Õ×Õ=  l   AND gate 假如Gates wÎ且GateType( ) AND w=时，设节点w的深度为= depth( ) jw，() Aw和() Bw的深度分别为1d和2d（12 1 , 1 d d j £ £ -），假如( )=1wfx，则通过公共参数,,gidiDbb=（[1, n], {0,1} i b ÎÎ）和相应的密钥组件，利用线性对的运算，可计算 ,[1,n]( ) ,[1,n]11( ) ,1 ( ) ,2,3( , ) ( , )( , )       ( , )   ixiiA w i xii ww A w w B w wdnwrdan d j dE e E K e E Ke g Ke g gÎÎ+-= × ×ÕÕ=× ( ) ,[1,n]22,( ) ( ) [1,n],[1,n]    ( , )( , )    B w i xiiwixi w w A w w B w iw i xiirdbn d j ddr a r b rnjrdnjgge g ggÎÎÎ+-- × - ×+ÕÕ×Õ= 当 电 路 深 度' ll=时，可 直 接 计 算,, [1,n] [1,n]'= = ( , )n q i x i xii ii r d dn q n l n l E g g F MK xa + ÎÎ + + +ÕÕ= 当电路深度' ll<时，可通过计算得到,, [1,n] [1,n]'' =n q i x i xii ii r d dn q n l n lE g ga+ÎÎ + + +ÕÕ=，再将nqE+与' llg-进行对运算，同样可得到,[1,n]= ( , )ixiidnlg F MK xaÎ+Õ。 因此当用户对应的属性集合编码{0,1}nxÎ满足电路描述即( )=1wfx时，本算法输出加密消息的对称密钥kKÎ。用户可以利用对称密钥k来解密广播主体mc，得到其包含的信息m。 4.2     安全性证明 现在证明4.1节中所给方案的安全性。我们将展示对于属性个数为n，任意电路深度为' ll£的系统，假如nl k=+的多线性判定性Diffie- Hellman（-MDDH k）假设成立，则通过选择合适的系列群及其相关安全参数，我们构造的算法是安全的。 定理1  假如存在一个多项式时间的攻击算法论文在线出版号  No.180  张丽娜等：适于任意深度电路结构的紧致属性基广播加密方案  9  A以优势( ) el攻破4.1节中基于电路结构的属性基广播加密方案，那么必然存在一个多项式时间的敌手B以优势( )/2nel攻破nl k=+的多线性判定性Diffie- Hellman（-MDDH k）假设。 证明：算法B收到一个- n l MDDH k=+的挑战，包括具体：一系列的群描述Gr，相应的生成元1 11= , ,...kc cg g g g+和T，这里T的值是[1, 1]jjkckgÎ+ Õ或kG中的一个随机元素。B选择一个随机数*{0,1}nx Î，然后对于{1, 2, } in Î L和{0 1} bÎ ，，选择随机数集合1,...,nzz来为, iDb赋值。其规则为： *,*=iiiiigxDgxbbbì =í¹îcz 通过这种方式，可以将需要进行挑战的*ix所对应的, iDb用定理1里-MDDH k假设的已知条件gic来赋值，将不需要进行挑战的普通位所对应的,Db i用已知的zgi来赋值。这也意味着，隐含地将秘密钥,db i设置为： *,*=cxdzxbbbì =í¹îiiiii 此外也可由上式知，隐含着将主密钥指数上的秘密值a设置为1 2 1 =n n n lc c c a+ + + +× K。 KeyGen  在本阶段，攻击者将进行电路描述=( , , ', , , GateType) f n q l A B所对应的秘密钥问询，这里要求*( )=0 fx。若*( )=1 fx，则算法终止，并输出一个随机值。若*( )=0 fx，谕言机输出电路f所对应的秘密钥。 下面描述如何为每一个节点w构造密钥组件，这里仍然根据w的不同类型（可能为输入线，OR门，或者AND门）进行讨论。 l   Input wire 若[1, n] wÎ，则说明其为第w条输入线。 如果*( )=1wfx，则选择随机数wr，可直接模拟密钥组件为： ,1* 2,( , )ww wird rwixK e g D g == 如果*( )=0wfx，则选择随机数wh ÎZp，由于1 ncg+，2 ncg+均为假设中的已知条件，通过设置122( , )w n n wr c cg e g g gh++ =×可以隐含地将wr设置为12 n n wcc h+++。由于wh为随机值，因此wr也可看做随机值。利用选择的随机数iz可模拟密钥组件为： ,1 1222 ( ( , ) ) gww n n wrd ccw K e g g gh ++ = × =iz  l   OR gate 假如Gates wÎ且GateType( ) OR w=时，设节点w的深度为= depth( ) jw，() Aw和() Bw的深度分别为1d和2d（12 1 , 1 d d j £ £ -）。 如果*( )=1wfx，则可直接选择随机数,, w w w pa b r ÎZ，模拟密钥组件为： 12 12,ww ab w j d w j dK g K g-- == ,,( ) ( )34,w w A w w w B wr a r r b rw j w j K g K g- × - ×== ,, 如果*( )=0wfx，则随机选择,, w w whjfÎZp，由于1 12nj nnc cc g g g++ ++L ，是假设中的已知条件，通过设置1 nj wwc ag g gj ++=×，1 nj wwc bg g gf ++=×和12 ( , )nj w n n wc r c cjj g e g g g gh + ++ =×L可 以 隐 含 设 置1=w n j wac j+++，1=w n j wbc f+++，也可设置wr为12 n n n j wc c c h+ + ++ L。此外利用类似方法还可通过设置()1Awrdg为12 () 111 n n n d Awc c cdd ggh+ + +×L隐含设置() Awr为11 2 ( ) n n n d A wc c c h+ + ++ L。同样的可隐含设置() Bwr为21 2 ( ) n n n d B wc c c h+ + ++ L。因此可模拟密钥组件为： 11112212                             n j w wn j w wc aw j d j dc bw j d j dK g gK g gjf+++++--+--====，，()1 2 1 1 2 ( )11 2 1 12 112 1 ( ) ( )13( ) ( )1=()( ) ( ) ( )w w A wn n n j w n j w n n n d A wn n n d n j n n n jwn n n d n j A w A wwwr a rwjc c c c c c cjc c c c c c cj j jc c c cj j jKggg g gg g gh j hhhhjj+ + + + + + + ++ + + + + + + ++ + + ++-×+ - + × +×-- --== × ×× × ×LLL LL， ()1 2 1 1 2 ( )21 2 1 12 212 1 ( ) ( )24( ) ( )1=()( ) ( ) ( )w w B wn n n j w n j w n n n d B wn n n d n j n n n jwn n n d n j B w B wwwr b rwjc c c c c c cjc c c c c c cj j jc c c cj j jKggg g gg g gh f hhhhff+ + + + + + + ++ + + + + + + ++ + + ++-×+ - + × +×-- --== × ×× × ×LLL LL， 10  计  算  机  学  报  2016年  由于1 2 +1 n n n lc c cg g g+ + + L ，均为假设中的已知条件，,w w wh j f ,为模拟者自己选取的数值，因此上述密钥组件可通过多次对运算和指数运算得到。此外由于,w w wh j f ,均为随机选取值，因此,, w w wa b r也可看做随机值。 l   AND gate 假如Gates wÎ且GateType( ) AND w=时，同样不妨设节点w的深度为= depth( ) jw，() Aw和() Bw的深度分别为1d和2d，这里要求12 1 , 1 d d j £ £ -。 如果*( )=1wfx，可选择随机数,, w w w pa b r ÎZ，模拟密钥组件为： 12 12,ww ab w j d w j dK g K g-- == ,,( ) ( ),3gw w A w w B wr a r b rwj K- × - ×= 如果*( )=0wfx，则需要分情况进行讨论。 （1）  若*()( )=0Awfx，*()( )=1Bwfx，敌手B选择随机数,, w w whjfÎZp，同样的，通过设置1 nj wwc ag g gj ++=×，1 nj wwc bg g gf ++=×和wrjg为12 ( , )nj n n wc ccje g g g gh + ++ × L可以隐含地设置wr为12 n n n j wc c c h+ + ++ L，wa为1 n j wc j+++和wb为1 n j wc f+++。通过设置1 2 ( ) () 111n n n d A w Awc c c rdd gg h+ + ++=L可隐含设置1( ) 1 2 ( ) A w n n n d A wr c c c h+ + + =+L，选择随机数() Bwr，可模拟密钥组件为： 11 1 1 2 2 12,n j w n j w wwcc ab w j d j d w j d j d K g g K g gjf + + + + ++ - - - - = = = =,, ( ) ( )1 2 1 1 2 ( ) 1 ( )11 2 1 12 112 1 ( ) ( )13( ) ( ) ( )1=()( ) ( ) ( )w w A w w B wn n n j w n j w n n n d A w n j w B wn n n d n j n n n jwn n n d n j A w A wwwr a r b rwjc c c c c c c c rjc c c c c c cj j jc c c cj j jKggg g gg g gh j h fhhhjj+ + + + + + + + + ++ + + + + + + ++ + + ++- × - ×+ - + × + - + ××----== × ×× × ×LLL LL,1 ( ) ( )( ) ( )n j B w B wwc r rjj ggf ++-- ×× 同样的，由于12 n n n lc c cg g g+ + + L ，均为假设中的已知条件，,, w w whjf为模拟者自己选取的数值，因此上述密钥组件可通过多次对运算和指数运算得到。此外由于,, w w whjf均为随机选取值，因此,, w w wa b r也可看做随机值。 （2）  若*()( )=1Awfx，*()( )=0Bwfx，该情况与情况（1）类似，需要将() Aw和() Bw的角色和参数进行对换。 其过程为敌手B选择随机数,, w w whjfÎZp，同样的，通过设置1 nj wwc ag g gj ++=×，1 nj wwc bg g gf ++=×和wrjg为12 ( , )nj n n wc ccje g g g gh + ++ × L可以隐含地设置wr为12 n n n j wc c c h+ + ++ L，wa为1 n j wc j+++和wb为1 n j wc f+++。通过设置1 2 ( ) () 122n n n d B w Bwc c c rdd gg h+ + ++=L可隐含设置2( ) 1 2 ( ) B w n n n d B wr c c c h+ + + =+L，选择随机数() Awr，可模拟密钥组件为： 11 1 1 2 2 12,n j w n j w wwcc ab w j d j d w j d j d K g g K g gjf + + + + ++ - - - - = = = =,, ( ) ( )1 2 1 ( ) 1 1 2 B( )21 2 1 12 21 ( ) ( )1 ( )3( ) ( ) ( )1=()( ) ( )( ) (w w A w w B wn n n j w n j w A w n j w n n n d wn n n d n j n n n jwn j A w A wwn j B wr a r b rwjc c c c r c c c cjc c c c c c cj j jc r rjjc cjjKggg g gggggh j f hhjh+ + + + + + + + + ++ + + + + + + +++++- × - ×+ - + × - + × +×----== × ×××××LLL L,12 () 2) ( )n n n d Bw ww ccjghff + + + --×L 同样的，由于12 n n n lc c cg g g+ + + L ，均为假设中的已知条件，,, w w whjf为模拟者自己选取的数值，因此上述密钥组件可通过多次对运算和指数运算得到。此外由于,, w w whjf均为随机选取值，因此,, w w wa b r也可看做随机值。 （3）  若*()( )=0Awfx，*()( )=0Bwfx，敌手B选择随机数,, w w whjfÎZp。同样的，通过设置12 ( , )nj w n n wc r c cjj g e g g g gh + ++ =×L，1 nj wwc ag g gj ++=×和1 nj wwc bg g gf ++=×可隐含设置wr为12 n n n j wc c c h+ + ++ L，wa为1 n j wc j+++和wb为1 n j wc f+++。通过设()1Awrdg为1 2 ( )11n n n d A wc c cdgh+ + ++ L可设1( ) 1 2 ( ) A w n n n d A wr c c c h+ + + =+L，通过设置()2Bwrdg为1 2 ( )22n n n d B wc c cdgh+ + ++ L隐含将21 2 ( ) n n n d B wc c c h+ + ++ L赋予() Bwr，因此可模拟密钥组件为： 11112212n j wwn j wwcaw j d j dcbw j d j dK g gK g gjf+++++--+--====,, 论文在线出版号  No.180  张丽娜等：适于任意深度电路结构的紧致属性基广播加密方案  11  ( ) ( )1 2 1 1 2 1112 1 ( ) ( )11 2 1 1 ( )212 2311()( ) ( ) ( )( ) ( )( ) (w w A w w B wn n n d n j n n n jwn n n d n j A w A wwwn n n d n j n j B wn n n dwr a r b rwjc c c c c c cj j jc c c cj j jc c c c cjj c c cjKgg g gg g ggg gghhhjjhf+ + + + + + + + ++ + + +++ + + + + +++ + +- × - ××----× ---== × ×× × ××× ××L LLLL,())Bw wjhf - 同样的，上述密钥组件可通过多次对运算和指数运算得到，,, w w wa b r也可看做随机值。 Encrypt  在这个阶段攻击者给B一个属性集合编码{0,1}nxÎ。可分两种情况进行讨论。 （1）  假如*= xx，B终止计算。 （2）  假如*xx¹，则必然存在某一个i，使得*ii xx¹。 算法首先利用假设中的已知条件12 nn cc gg++,，+1 nlcg+L等进行多次对运算，可得到临时变量1 2 111 () n n n lc c cll H g ga+ + + +×++ ==L。对于所有ji¹，这里[1, n] iÎ，利用12 nc cc g g g L ，可计算tempH的值,1()jxjjidng¹-Õ，然后再利用所选随机数zi对,ixdi进行赋值，即令,=ii x idz并将其乘到tempH的指数，可得到,[1,n]1' ( ) ( )jxjjidztemp nH H gÎ-Õ==，最后计算 ,[1,n]1 2 1,[1, ]11 ( , ) ( , )=( )jxjjn n n lxidc c clndnle H H' e g ggakÎ + + + +Î×+-=+Õ=ÕLiin 挑战  最后，攻击者A将输入一个挑战值x%。假如xx*¹ %，那么敌手B随机的输出一个猜测' {0,1} d Î。假如xx*= %，那么B输出T作为对此阶段问询的响应。 至此，完成了对敌手B的描述。由于T为MDDH元组的一部分，因此真实游戏和敌手B进行的游戏模拟中的T具有相同分布。令d表示T是 否是一个MDDH元组，' d表示敌手B的输出，则B猜测是正确的概率为  1(1 2 )+ Pr[ ' | abort] (2 )211(1 2 )+( + ) (2 )221(2 )2dd -----= - = ×= - ×= + ×nnnnnee 上式中第二个等式是由于敌手B在游戏模拟中没有终止的概率是2-n。第三个等式成立是由于攻击者在给定条件下获胜而不被终止的概率与攻击者获胜的概率是相同的。由上述式子可知B的获胜优势为2ne/。 5  效率分析 下面将本文方案与文献[5,6,8]中提出的方案进行对比。表2  列出了在公共参数、密文量、多线性假设的层数、解密密钥的个数、电路是否支持跨层输出等方面对通信和存储效率进行了对比。表3.列出了在算法建立、密钥生成、加密和解密等方面对各方案的计算效率进行了对比。 表  2中，相关符号的具体含义为：n表示系统属性数量，l表示电路中的最大深度。k表示多线性映射的最大层数，q表示电路中门数量，PP表示公共参数的长度，CTx表示密文的长度，(DEC)SKf表示秘密钥的长度。MDDH表示多线性的判定性Diffie-Hellman假设。      Pr[ ' ] Pr[ ' | abort] Pr[abort]Pr[ ' | abort] Pr[abort]d d d ddd= = = ×+ = ×12  计  算  机  学  报  2016年  表2 相关方案通信和存储对比结果 方案名称  安全性  复杂性假设 PP CTx k (DEC)SKf 是否支持跨层 Garg方案  选择安全 MDDH 2 n+ 2 n+ 1 l + 2 4 +1 nq+  否 Datta方案  选择安全 MDDH 21n+ 2 +1 nl+ 4 +1 nq+  否 Hu方案  选择安全 MDDH 2 n+ 2 n+ 1 l + 2 4 +3 nq+  是 本文方案  选择安全 MDDH 21n+ 2 nl+ 4 +1 nq+  是   表3 相关方案中多线性运算次数对比结果 方案名称 Setup KeyGen Encrypt Decrypt Garg方案 2 n+ 3 4 +1 nq+ 2 n+ 2 3 +1 nq+ Datta方案 22n+ 2 4 +1 nq+  3 3 +3 nq+ Hu方案 1 n+ 3 4 +3 nq+ 2 n+ 2 3 +2 nq+ 本文方案 21n+ 24nq+  2 3 +2 nq+  由表2可以看到，第一，本文的方案密文数量较紧，与Datta方案一致，只包括两个群元素，相较于Garg方案和Hu方案在密文的存储量上有显著下降。第二，与Datta方案相比，本方案支持跨域输出，可以进一步减少KeyGen算法中的秘密钥颁发量。第三，从方案可看出，本文提出的广播加密方案不需要广播头部件，因而可以减少通信数据包结构中的大小，从而降低每次需要传输的数据负荷量，提高通信效率。 表  3中，相关符号的具体含义为：n表示系统属性数量，q表示电路中门数量，表中列出了本方案与文献[5,6,8]中各方案在算法建立、密钥生成、加密和解密等各个阶段中多线性运算的次数。由于,[1, ]xidngÎ Õ iin可通过预计算得到，本方案与文献[6]的密文量均较为紧致，因此相应地在加密阶段所需要进行的对运算次数也较少。 6  结束语 本文利用受限伪随机函数的性质，实现了基于任意深度电路结构的属性基广播加密方案，该方案在标准模型下基于多线性判定性Diffie-Hellman（- MDDH k）假设被证明是具有选择安全的。特别的，该方案不需要广播加密中的报头部件，可以有效减少广播加密中每次需要广播的主体，从而节省带宽。受限伪随机函数是于2013年提出的新概念，基于受限伪随机函数的各类构造和相关性质已用于外包计算的研究之中。如何设计更加简捷高效的基于一般电路的广播加密方案是下一步需要研究的问题。此外如何结合属性密码，实现基于任意深度一般电路的加密方案和密钥协商方案也是值得探索的问题。 参 考 文 献 [1]  Shamir  A.  Identity-based  Cryptosystems  and  Signature Schemes//Proceedings of the 1984 International Cryptology Conference (CRYPTO’ 1984). Santa Barbara, USA, 1984: 47-53 [2] Boneh D, Franklin M. Identity-based encryption from the Weil pairing// Proceedings  of  the 21th Annual  International  Cryptology  Conference (CRYPTO’ 2001). Santa Barbara, USA, 2001: 213-229 [3] Sahai A, Waters B. Fuzzy identity-based encryption// Proceedings of the 24th Annual  International  Conference  on the  Theory  and  Applications of Cryptographic Techniques (EUROCRYPT’ 2005). Aarhus, Denmark, 2005: 457-473 [4]  Goyal  V,  Pandey  O,  Sahai  A,  et  al.  Attribute-based  encryption  for fine-grained  access  control  of  encrypted  data//Proceedings  of  the  13th 论文在线出版号  No.180  张丽娜等：适于任意深度电路结构的紧致属性基广播加密方案  13  ACM conference on Computer and communications security. NewYork, USA, 2006: 89-98 [5] Garg S, Gentry C, Halevi S, et al. Attribute-based encryption for circuits from  multilinear  maps//Proceedings  of  the 33th  Annual International Cryptology  Conference(CRYPTO’ 2013).  Santa  Barbara,  USA,  2013: 479-499 [6]  Datta  P,  Dutta  R,  Mukhopadhyay  S.  Compact  Attribute-Based Encryption  and  Signcryption  for  General  Circuits  from  Multilinear Maps//Proceedings of the 16th International Conference on Cryptology in India, Bangalore, India, 2015: 3-24 [7]  Xu  J,  Wen  Q,  Li  W,  et  al.  Circuit  Ciphertext-policy  Attribute-based Hybrid  Encryption  with  Verifiable  Delegation  in  Cloud  Computing., IEEE  Transactions  on  Parallel  and  Distributed  Systems,  2016,  27(1): 119-129 [8]  HU  P,  GAO  H.  Key-Policy  Attribute-Based  Encryption  Scheme  for General  Circuits,  Ruan  Jian  Xue  Bao/Journal  of  Software,  2016, 27(6):1498-1510 (in Chinese) （胡鹏,  高海英.  一种实现一般电路的密钥策略的属性加密方案. 软件学报, 2016, 27(6): 1498-1510 [9]  Garg  S,  Gentry  C,  Halevi  S,  et  al.  Fully  Secure  Attribute  Based Encryption from Multilinear Maps. Cryptology ePrint Archive: IACR, Report: 2014/622, 2014 [10] Attrapadung N. Fully Secure and Succinct Attribute Based Encryption for Circuits from Multi-linear Maps. Cryptology ePrint Archive: IACR, Report: 2014/772, 2014 [11]  Hu  Y,  Jia  H.  Cryptanalysis  of  GGH  map//Proceedings  of  the 35th Annual  International  Conference  on  the  Theory  and  Applications  of Cryptographic  Techniques  (EUROCRYPT’  2016).  Vienna,  Austria, 2016: 537-565 [12]  Albrecht  M  R,  Farshim  P,  Hofheinz  D,  et  al.  Multilinear  maps  from obfuscation//Proceedings  of  the  13th  Theory  of  Cryptography Conference. Tel Aviv, Israel, 2016: 446-473 [13]  Boneh  D,  Waters  B.  Constrained  pseudorandom  functions  and  their applications//Proceedings  of  the 19th Annual International  Conference on the Theory and Application of Cryptology and Information Security (ASIACRYPT’ 2013). Bangalore, India, 2013: 280-300 [14]  Kiayias  A,  Papadopoulos  S,  Triandopoulos  N,  et  al.  Delegatable pseudorandom  functions  and  applications//Proceedings  of  the  2013 ACM  SIGSAC  conference  on  Computer  &  communications  security (CCS’ 13). New York, USA, 2013: 669-684 [15]  Boyle  E,  Goldwasser  S,  Ivan  I.  Functional  signatures  and pseudorandom  functions//  Proceedings  of  the  17th  International Conference on Practice and Theory in Public-Key Cryptography (PKC’ 2014). Buenos Aires, Argentina, 2014: 501-519 [16]  Garg  S,  Gentry  C,  Halevi  S.  Candidate  Multilinear  Maps  from  Ideal Lattices// Proceedings  of the 32th  Annual  International  Conference  on the  Theory  and  Applications  of  Cryptographic  Techniques (EUROCRYPT’ 2013). Athens, Greece, 2013, 7881: 1-17 [17]  Amos  Beimel.  Secure  Schemes  for  Secret  Sharing  and  Key Distribution[Ph.D.  thesis].  Israel  Institute  of  Technology,  Technion, Haifa, Israel, 1996 [18] Goldreich  O,  Goldwasser  S, Micali  S.  How  to  construct  random functions. Journal of the ACM (JACM), 1986, 33(4): 792-807 [19] Fiat A, Naor M. Broadcast encryption//Proceedings of the 13th Annual International  Cryptology  Conference  (CRYPTO’ 93).  Santa  Barbara, USA, 1993: 480-491         ZHANG  Li-Na,  born  in  1981,  Ph.D., associate professor. Her research interests include  information  security  and cryptography. YANG  Bo,  born  in  1963,  Ph.D.,  professor,  Ph.D.  supervisor. His  research  interests  include  information  security  and cryptography. ZHOU  Yan-Wei,  born  in  1986, Ph.D.  candidate. His  research interests include cryptography and anonymous communication. JIA  Yan-Yan,  born  in  1983,  Ph.D.,  lecturer.  Her  research interests include information security and cryptography. Background Identity-based encryption (IBE) scheme was proposed by Shamir  in  1984  in  order  to  simplify  the  traditional  public  key cryptography.  IBE  provides  a  public-key  encryption mechanism where the public key is the identity to the client and even an arbitrary string. Attributed-based encryption scheme is a  special  type  of  IBE. The  identities  could  be  instead  by  the attributes and the corresponding access control policy. It is an interesting work to design schemes that be able to realize  decryption  policies  representable  as  polynomial-size circuits.  In  2013, Garg  et  al.  provided  the  first  construction  of attribute-based encryption  (ABE)  for  general  circuits  which could  resist  the  backtracking  attack.  Then  many  related schemes  were  proposed.  In  2015  Datta  et  al.  presented  a key-policy scheme supporting  general  polynomial-size  circuit realizable decryption policies and the ciphertexts were short. In 2016,  Hu  et  al.  proposed  a  key-policy  scheme  for  general  14  计  算  机  学  报  2016年  circuits and achieved cross layer output. We  propose  an  attribute-based  broadcast  encryption scheme  for  general  circuits  with  arbitrary  depth  based  on the Garg's scheme. Our scheme has short  ciphertexts and does not require  the  broadcast  header.  Essentially  it  is  a  symmetric broadcast  encryption  scheme  and  associated with  constrained pseudorandom  functions.  Our  scheme  is  proved  to  achieve selective  security  in  the  standard  model  under  the  multilinear decisional  Diffie-Hellman  assumption.  We would  have  a further exploring on its application scenarios and try to improve its efficiency. This research is supported by the National Natural Science Foundation  of  China  under  Grant  Nos.  61272436，61572303 and  by  the  Science  and  Technology  Program  of  Yulin,  China under Grant No. 2014CXY-08-01.