林素青

?

支持策略更新的外包屬性加密

林素青1,2

（1. 中國科學(xué)院信息工程研究所信息安全國家重點實驗室，北京100093；2. 中國科學(xué)院大學(xué)，北京100049）

為滿足云存儲密態(tài)數(shù)據(jù)高效靈活的訪問需求，提出支持策略更新的外包屬性加密方案。以經(jīng)典的屬性加密方案為基礎(chǔ)模塊，采用類密鑰盲化方法和外包解密技術(shù)，在確保明文數(shù)據(jù)和用戶私鑰不泄露的條件下，實現(xiàn)密文訪問策略的代理更新，同時切實有效地降低終端用戶的解密計算量。方案支持非單調(diào)的訪問結(jié)構(gòu)，在標(biāo)準(zhǔn)模型和假設(shè)下可證明具有選擇IND-CPA安全性和私鑰安全性，與文獻(xiàn)同類方案相比，實現(xiàn)了安全性和終端訪問效率的進(jìn)一步優(yōu)化。

屬性加密；外包解密；策略更新；私鑰安全性

1 引言

屬性加密（ABE）[1]在保護(hù)數(shù)據(jù)隱私性的同時，能實現(xiàn)細(xì)粒度且非交互的訪問控制，在云計算的數(shù)據(jù)安全存儲和信息資源共享方面有良好的應(yīng)用前景，經(jīng)過屬性加密的云存儲密態(tài)數(shù)據(jù)利用加密過程中嵌入訪問策略可以完成對密態(tài)數(shù)據(jù)訪問權(quán)限的設(shè)置。若授權(quán)訪問的用戶采用“下載—解密—重加密—上傳”的方式來更新密態(tài)數(shù)據(jù)的訪問策略，則需付出較高的計算和通信代價。密文策略的屬性基代理重加密（CP-AB-PRE）[2]結(jié)合密文策略的屬性加密（CP-ABE）和外包解密技術(shù)，借助代理服務(wù)器，可實現(xiàn)密態(tài)數(shù)據(jù)訪問策略的代理更新，能有效減輕用戶的計算量和通信量。

目前，關(guān)于CP-AB-PRE的研究工作很多，但安全性和效率方面均有待提高。2009年，Liang等[2]以文獻(xiàn)[3]的CP-ABE方案為基礎(chǔ)，構(gòu)造出首個CP-AB-PRE方案，并在選擇策略模型下證明方案具有選擇明文不可區(qū)分（IND-CPA）安全性。此后，Luo等[4]提出在DBDH假設(shè)下可證明安全，具有重加密可控制性質(zhì)的CP-AB-PRE方案，并用類似于文獻(xiàn)[5]的方法，將解密中雙線性對運算的個數(shù)減少為常數(shù)，但解密過程中包含雙線性對運算，對于資源有限的弱終端用戶仍然是難以承受的負(fù)擔(dān)。2011年，Green等[6]提出支持外包解密的屬性加密方案，利用密鑰盲化方法，將解密過程中絕大部分雙線性對和模指數(shù)運算外包給代理服務(wù)器，在不泄露明文數(shù)據(jù)和用戶私鑰的前提下，將終端用戶的解密計算量降到最低。利用文獻(xiàn)[6]的方法可將大多數(shù)基于雙線性對運算而構(gòu)造的屬性加密方案[7~9]拓展為外包屬性加密方案（OABE）。Lai等[10]在文獻(xiàn)[6]方案的基礎(chǔ)上考慮外包解密的安全驗證問題，提出支持可驗證外包解密的ABE方案，并在標(biāo)準(zhǔn)模型下證明方案的安全性。隨后，Lin等[11]系統(tǒng)地解決了外包解密的安全驗證問題，構(gòu)造的方案在實現(xiàn)效率方面比文獻(xiàn)[10]方案提高近一半。此外，Li等[12]運用MapReduce方法實現(xiàn)ABE的加密外包，Li等[13,14]借助2個代理服務(wù)器，構(gòu)造密鑰分發(fā)和解密運算均可外包的ABE方案。Ma等[15]全面考慮屬性加密和解密的外包可驗證問題，借鑒在線—離線CP-ABE方案[16]的構(gòu)造方法，以文獻(xiàn)[17]方案為基礎(chǔ)模塊，提出支持可驗證外包加解密的在線—離線OABE方案。2015年，Shao等[18]提出在線—離線的CP-AB-PRE方案，支持線性秘密共享方案（LSSS, linear secret sharing scheme）表達(dá)的訪問結(jié)構(gòu)，實現(xiàn)密文訪問策略的代理更新，同時，Shao等指出，結(jié)合外包解密方法，可大幅度地減少終端用戶的解密計算量，并證明方案具有選擇IND-CPA安全性。但該方案僅支持單調(diào)的LSSS訪問結(jié)構(gòu)，且安全性所基于的假設(shè)僅證明在通用群模型下成立。

本文提出具有策略更新功能的密文策略外包屬性基代理重加密（CP-OAB-PRE）方案，以經(jīng)典的屬性加密方案[3]為基礎(chǔ)，借用文獻(xiàn)[4]中CP-AB-PRE方案的構(gòu)造方式，結(jié)合外包解密技術(shù)[6]，構(gòu)造支持非單調(diào)訪問結(jié)構(gòu)的CP-OAB-PRE方案，并全面考慮方案關(guān)于明文數(shù)據(jù)和用戶私鑰的安全性，在標(biāo)準(zhǔn)模型和假設(shè)下證明方案具有選擇IND-CPA安全性和私鑰安全性。與文獻(xiàn)同類方案相比，本文的方案能同時實現(xiàn)安全性和終端訪問效率的進(jìn)一步優(yōu)化。

2 預(yù)備知識

2.1 符號說明

2.2 雙線性映射與困難問題假設(shè)

下面描述計算Diffie-Hellman（CDH）假設(shè)和判定雙線性Diffie-Hellman（DBDH）假設(shè)。

2.3 訪問結(jié)構(gòu)

訪問結(jié)構(gòu)表示一些非空的訪問集合構(gòu)成的全體，其所含的訪問集合為授權(quán)集合，其余的訪問集合為非授權(quán)集合。

定義5[19]設(shè)個參與者全體表示為，是由參與者全體的子集構(gòu)成的集合。如果對于中任意的2個集合，均滿足：若，，則，那么稱集合是單調(diào)的。由參與者全體的非空子集構(gòu)成的集合就稱為一個訪問結(jié)構(gòu)，即。若是單調(diào)的，則稱為單調(diào)的訪問結(jié)構(gòu)。中的元素均為授權(quán)集合，不在中的元素均為非授權(quán)集合。

此方案基于與門訪問結(jié)構(gòu)，與門訪問結(jié)構(gòu)是用邏輯與操作聯(lián)結(jié)屬性（可以為正屬性或負(fù)屬性）而得的非單調(diào)訪問結(jié)構(gòu)。設(shè)屬性空間為，訪問策略用與門訪問結(jié)構(gòu)表示為，其中，代表一個屬性。稱一個屬性集合滿足訪問結(jié)構(gòu)（或訪問策略），對于任意的。

2.4 CP-OAB-PRE的算法描述

假設(shè)代理服務(wù)器是半可信任的，即代理服務(wù)器能誠實可靠地執(zhí)行計算但有偷窺私密信息的好奇心，構(gòu)造密文策略的外包屬性基代理重加密（CP-OAB-PRE）方案，算法描述如下。

正確性：CP-OAB-PRE方案是正確的，當(dāng)且僅當(dāng)對于任意正確產(chǎn)生的公共參數(shù)和主私鑰，任意的屬性集合、訪問結(jié)構(gòu)以及消息，若滿足，則有

2.5 CP-OAB-PRE的安全模型

本節(jié)分別定義CP-OAB-PRE方案關(guān)于密文和重加密密文的IND-CPA安全性，以及私鑰安全性。為刻畫方案關(guān)于密文的IND-CPA安全性，任意PPT敵手與挑戰(zhàn)者之間的游戲描述如下。

定義6 CP-OAB-PRE方案關(guān)于原密文是IND- CPA安全的，如果任意的PPT敵手在上述游戲中的優(yōu)勢是可忽略的，即。

下面定義CP-OAB-PRE方案關(guān)于重加密密文的安全性。、、、4個階段與上述定義相同，階段描述如下。

定義7 CP-OAB-PRE方案關(guān)于重加密密文是IND-CPA安全的，如果任意的PPT敵手在上述游戲中的優(yōu)勢是可忽略的，即。

在代理重加密過程中，代理服務(wù)器將獲取由用戶私鑰生成的重加密密鑰，為確保重加密密鑰不泄露用戶私鑰的信息，定義CP-OAB-PRE方案的私鑰安全性。任意PPT敵手與挑戰(zhàn)者之間的游戲描述如下。

5)與Gumbel(max)(極大值)函數(shù)相關(guān)系數(shù)的計算。生成3 180×1的Gumbel(max)(極大值)函數(shù)隨機(jī)矩陣數(shù)據(jù)，然后以z=corrcoef(A,F)指令計算相關(guān)系數(shù)，zGumbel(max)=-0.007 7。

定義8 CP-OAB-PRE方案具有私鑰安全性，如果任意的PPT敵手贏得上述游戲的概率是可忽略的。

3 本文方案

結(jié)合文獻(xiàn)[6]的密鑰盲化方法和外包解密技術(shù)，構(gòu)造支持策略更新的外包屬性加密方案，稱之為密文策略的外包屬性基代理重加密（CP-OAB-PRE）方案。為保證用戶私鑰的安全性，文獻(xiàn)[20]采用與密鑰盲化類似的方法，即類密鑰盲化方法生成重加密密鑰，使之即使在盲化因子遭遇泄露的情況下，敵手也不能獲取真正的解密密鑰。

3.1 方案的構(gòu)造

3.2 安全性分析

定理1 若DBDH假設(shè)成立，則所構(gòu)造的CP-OAB-PRE方案關(guān)于原密文具有選擇IND-CPA安全性。

證明 假設(shè)存在PPT敵手能以不可忽略的優(yōu)勢攻破方案的選擇IND-CPA安全性，則可以構(gòu)造算法B，以不可忽略的優(yōu)勢解決DBDH問題。

定理2 若DBDH假設(shè)成立，則CP-OAB-PRE方案關(guān)于重加密密文具有選擇IND-CPA安全性。

證明 考慮挑戰(zhàn)者與敵手之間的兩類游戲。

與定理1證明完全類似的分析，可得，在DBDH假設(shè)下，任意PPT敵手攻破的優(yōu)勢是可忽略的，而與是計算不可區(qū)分的，于是，任意PPT敵手攻破的優(yōu)勢是可忽略的，從而，CP-OAB-PRE方案關(guān)于重加密密文具有選擇IND-CPA安全性。

定理3 若CDH假設(shè)成立，則CP-OAB-PRE方案具有選擇私鑰安全性。

證明 假設(shè)存在PPT敵手能以不可忽略的優(yōu)勢攻破選擇私鑰安全性，則可以設(shè)計算法以不可忽略的概率求解CDH問題。得到挑戰(zhàn)問題組，其中，是素數(shù)階群的生成元，，為計算，調(diào)用執(zhí)行如下步驟。

所以，若敵手能以不可忽略的概率輸出合法密鑰，則能以不可忽略的概率求解CDH問題，這與CDH假設(shè)矛盾。

4 方案的對比分析

將構(gòu)造的CP-OAB-PRE方案與文獻(xiàn)同類方案進(jìn)行比較，分別從安全性、功能和效率等方面分析，主要關(guān)注數(shù)據(jù)安全性，密鑰安全性，訪問策略的表達(dá)能力，以及終端用戶的解密計算量等。

如表1所示，本文方案與文獻(xiàn)[2, 4]方案均全面考慮了可能存在的安全隱患。由于代理服務(wù)器在得到重加密密鑰時，會獲取關(guān)于密鑰盲化因子的密文，而密鑰盲化因子的信息泄露將直接威脅到用戶私鑰和明文數(shù)據(jù)的安全性，因此，不僅需要討論明文數(shù)據(jù)的安全性，更需要論證用戶私鑰的安全性。文獻(xiàn)[18]僅提供方案的數(shù)據(jù)安全性的相關(guān)論證，密鑰安全性也可類似得證，但其安全性所基于的假設(shè)僅在通用群模型下證明成立。文獻(xiàn)[2]方案的安全性所基于的ADBDH假設(shè)[2]和CTDH假設(shè)[2]分別比標(biāo)準(zhǔn)的DBDH和CDH假設(shè)較強(qiáng)，而本文方案的安全性均基于標(biāo)準(zhǔn)的假設(shè)。

表1 安全性對比

如表2所示，本文方案與文獻(xiàn)[2, 4]的方案均適用于非單調(diào)的與門訪問結(jié)構(gòu)，能表達(dá)正負(fù)屬性均存在的情形，而文獻(xiàn)[18]的方案適用于單調(diào)的訪問結(jié)構(gòu)，表達(dá)僅存在正屬性的情形。本文方案支持外包解密運算，終端用戶的解密計算量僅需要一個模指數(shù)運算，這與文獻(xiàn)[18]的方案最少的終端解密計算量相同，而文獻(xiàn)[2, 4]方案的終端解密計算量均需要較多的雙線性對運算。

表2 功能效率對比

5 結(jié)束語

本文提出密文策略的外包屬性基代理重加密（CP-OAB-PRE）方案，既支持密態(tài)數(shù)據(jù)訪問策略的代理更新，又支持外包解密運算，滿足弱終端用戶的訪問需求。終端授權(quán)訪問用戶可將解密的大部分計算量外包給代理服務(wù)器處理，然后只需完成剩余極小的計算量，便可得到明文數(shù)據(jù)。本文方案考慮代理服務(wù)器為半可信任的情形，即需要確保代理服務(wù)器誠實可靠地執(zhí)行代理重加密和外包解密運算。針對代理服務(wù)器不可信任的情形，利用文獻(xiàn)[11, 21]的方法可分別對外包解密和代理重加密增加驗證機(jī)制，得到可驗證的CP-OAB-PRE方案。

[1] SAHAI A, WATERS B. Fuzzy identity-based encryption[C]//International Conference on Theory and Applications of Cryptographic Techniques. c2005:457-473.

[3] CHEUNG L, NEWPORT C. Provably secure ciphertext policy ABE[C]//The 14th ACM conference on Computer and Communications Security. c2007: 456-465.

[5] HOHENBERGER S, WATERS B. Attribute-based encryption with fast decryption[M]//Public-Key Cryptography-PKC 2013. Berlin: Springer. 2013: 162-179.

[6] GREEN M, HOHENBERGER S, WATERS B. Outsourcing the Decryption of ABE Ciphertexts[C]//USENIX Security Symposium. c2011.

[7] GOYAL V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//The 13th ACM Conference on Computer and Communications Security. c2006: 89-98.

[8] LEWKO A, OKAMOTO T, SAHAI A, et al. Fully secure functional encryption: attribute-based encryption and (hierarchical) inner product encryption[C]//Advances in Cryptology-EUROCRYPT. c2010: 62-91.

[9] WATERS B. Ciphertext-policy attribute-based encryption: An expressive, efficient, and provably secure realization[C]//Public Key Cryptography-PKC. c2011: 53-70.

[10] LAI J, DENG R H, GUAN C, et al. Attribute-based encryption with verifiable outsourced decryption[J]. Information Forensics and Security, 2013, 8(8): 1343-1354.

[11] LIN S, ZHANG R, MA H, et al. Revisiting attribute-based encryption with verifiable outsourced decryption[J]. Information Forensics and Security, 2015, 10(10): 2119-2130.

[12] LI J, JIA C, LI J, et al. Outsourcing encryption of attribute-based encryption with mapreduce[C]//The 14th Information and Communications Security. c2012: 191-201.

[13] LI J, CHEN X, LI J, et al. Fine-grained access control system based on outsourced attribute-based encryption[C]//Computer Security-ESORICS. c2013: 592-609.

[14] LI J, HUANG X, LI J, et al. Securely outsourcing attribute-based encryption with checkability[J]. Parallel and Distributed Systems, 2014, 25(8): 2201-2210.

[15] MA H, ZHANG R, WAN Z, et al. Verifiable and exculpable outsourced attribute-based encryption for access control in cloud computing[J]. IEEE Transactions on Parallel and Distributed Systems, 2015:1.

[16] HOHENBERGER S, WATERS B. Online/offline attribute-based encryption[M]//Public-Key Cryptography–PKC 2014. Berlin: Springer, 2014: 293-310.

[17] ROUSELAKIS Y, WATERS B. Practical constructions and new proof methods for large universe attribute-based encryption[C]//The 2013 ACM SIGSAC Conference on Computer & Communications Security. c2013: 463-474.

[18] SHAO J, LU R, LIN X. Fine-grained data sharing in cloud computing for mobile devices[C]//Computer Communications (INFOCOM). c2015: 2677-2685.

[19] BEIMEL A. Secure schemes for secret sharing and key distribution[M]//Israel Institute of Tec hnology. Haifa: Technion, 1996.

[20] LIANG K, SUSILO W. Searchable attribute-based mechanism with efficient data sharing for secure cloud storage[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(9): 1981-1992.

[21] LIIN S, ZHANG R, WANG M. Verifiable attribute-based proxy re-encryption for secure public cloud data sharing[J]. Security and Communication Networks, 2016.

Outsourced attribute-based encryption with policy update

LIN Su-qing1,2

(1. The State Key Lab of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China; 2. University of Chinese Academy of Sciences, Beijing 100049, China)

In order to achieve the efficient and flexible access control for the encrypted data stored in the cloud, an outsourced attribute-based encryption scheme with policy update was proposed. Based on the standard attribute-based encryption scheme, the functionality of policy update from delegation for a ciphertext without revealing any confidential information of the plaintext and private keys by utilizing the techniques of key blinding and outsourcing decryption was accomplished. Simultaneously, the decryption overhead for a user to recover the plaintext was effectively reduced. The scheme supports non-monotonic access structure and can be proved to have selective IND-CPA security and private key security under standard assumptions, respectively, in the standard model. Compared with similar schemes from literatures, the scheme provides better security and efficiency.

The National Natural Science Foundation of China (No.61379142)

attribute-based encryption, outsourced decryption, policy update, private key security

TP309.7

A

10.11959/j.issn.2096-109x.2016.00055

2016-04-05；

2016-05-08。

林素青，suqinglin2016@126.com

國家自然科學(xué)基金資助項目（No.61379142）

林素青（1982-），女，浙江溫州人，中國科學(xué)院信息工程研究所博士生，主要研究方向為信息安全、密碼學(xué)。