陳冬冬 曹珍富 董曉蕾

(上海市高可信計(jì)算重點(diǎn)實(shí)驗(yàn)室(華東師范大學(xué)計(jì)算機(jī)科學(xué)與軟件工程學(xué)院) 上海 200062) (51141500002@ecnu.cn)

?

在線/離線密文策略屬性基可搜索加密

陳冬冬 曹珍富 董曉蕾

(上海市高可信計(jì)算重點(diǎn)實(shí)驗(yàn)室(華東師范大學(xué)計(jì)算機(jī)科學(xué)與軟件工程學(xué)院) 上海 200062) (51141500002@ecnu.cn)

在云計(jì)算環(huán)境中，越來(lái)越多的手機(jī)用戶通過(guò)移動(dòng)網(wǎng)路來(lái)共享自己的數(shù)據(jù)文件.但是由于云不是完全可信的，所以會(huì)出現(xiàn)一些安全隱私上的問(wèn)題，針對(duì)這些問(wèn)題，隨之提出了各種基于屬性基加密的解決方案.然而，其中大部分的工作要么是在加解密階段存在大量的在線計(jì)算成本，要么是不支持加密數(shù)據(jù)的關(guān)鍵字搜索功能.而且大多的屬性基加密機(jī)制會(huì)對(duì)數(shù)據(jù)共享、信息查詢、數(shù)據(jù)細(xì)粒度管理等方面的效率性產(chǎn)生影響.為了解決這些問(wèn)題帶來(lái)的挑戰(zhàn)，提出了一種新的密碼學(xué)原語(yǔ)：在線離線密文策略屬性基可搜索加密方案(onlineoffline ciphertext-policy attribute-based searchable encryption scheme, OO-CP-ABSE).通過(guò)利用現(xiàn)有的在線離線屬性加密技術(shù)和屬性基加密的外包解密技術(shù)，構(gòu)造出高效的OO-CP-ABSE方案，使得數(shù)據(jù)擁有者端的在線計(jì)算代價(jià)最小化，同時(shí)使得數(shù)據(jù)用戶端的解密計(jì)算代價(jià)最低；還給出了在云計(jì)算環(huán)境下，OO-CP-ABSE方案在移動(dòng)設(shè)備上的應(yīng)用；最后，給出了OO-CP-ABSE方案的安全性分析(數(shù)據(jù)機(jī)密性、關(guān)鍵字隱私安全、搜索可控性、陷門(mén)安全性)以及同現(xiàn)有其他方案的效率比較.

云計(jì)算；安全和隱私；在線離線密文策略屬性基加密；關(guān)鍵字搜索；移動(dòng)設(shè)備

目前，云計(jì)算已經(jīng)廣泛應(yīng)用到了學(xué)術(shù)領(lǐng)域和工業(yè)領(lǐng)域，由于云計(jì)算強(qiáng)大的存儲(chǔ)能力和計(jì)算資源，促使越來(lái)越多的私人和企業(yè)將一些數(shù)據(jù)和一些服務(wù)外包給云服務(wù)器.同時(shí)，隨著移動(dòng)網(wǎng)絡(luò)的發(fā)展，在云計(jì)算環(huán)境中，通過(guò)移動(dòng)設(shè)備來(lái)進(jìn)行數(shù)據(jù)的分享和查詢也變得越來(lái)越普遍.雖然將數(shù)據(jù)存儲(chǔ)在云端，方便用戶管理和操作，但是同時(shí)也會(huì)帶來(lái)一些安全上的隱患，比如說(shuō)數(shù)據(jù)的隱私安全和訪問(wèn)控制.因?yàn)樵撇皇峭耆尚诺?，一個(gè)惡意的云服務(wù)器可能會(huì)將一些有價(jià)值的信息泄露給第三方或者攻擊者，從而從中獲得一些利益或者超越自己權(quán)限的權(quán)利等.而如今，數(shù)據(jù)的隱私保護(hù)在很多應(yīng)用場(chǎng)景中變得越來(lái)越重要，比如在線電子現(xiàn)金支付、支付寶轉(zhuǎn)賬、電子醫(yī)療系統(tǒng)等.因此，數(shù)據(jù)的安全性和隱私保護(hù)性在云環(huán)境中越來(lái)越受到人們的關(guān)注.

為了保護(hù)數(shù)據(jù)的安全和隱私性，一種最普遍的方式就是先將數(shù)據(jù)進(jìn)行加密，然后再將加密過(guò)的數(shù)據(jù)上傳到云服務(wù)器上.然而，這樣將會(huì)給數(shù)據(jù)的管理帶來(lái)一些問(wèn)題，比如加密數(shù)據(jù)的分享和查詢將會(huì)受到很大的限制.為了在加密數(shù)據(jù)上也可以做到安全且有效的細(xì)粒度訪問(wèn)控制，Sahai和Waters第1次提出了屬性基加密(attribute based encryption, ABE)機(jī)制[1]，數(shù)據(jù)擁有者利用訪問(wèn)控制策略對(duì)數(shù)據(jù)進(jìn)行加密從而達(dá)到對(duì)數(shù)據(jù)訪問(wèn)控制的目的，只有當(dāng)數(shù)據(jù)用戶的屬性滿足訪問(wèn)策略時(shí)才能夠?qū)?shù)據(jù)進(jìn)行解密.之后，屬性基加密(ABE)發(fā)展為2種形式：密鑰策略的屬性基加密(key-policy attribute based encryption, KP-ABE)[2]和密文策略的屬性基加密(ciphertext-policy attribute based encryption, CP-ABE)[3].CP-ABE是使用訪問(wèn)控制策略對(duì)密文進(jìn)行加密，而其私鑰與數(shù)據(jù)用戶的屬性集相關(guān).只有當(dāng)用戶私鑰中的屬性滿足嵌入在密文中的訪問(wèn)策略時(shí)，用戶才能夠解密；而在KP-ABE系統(tǒng)中，與之相反，密鑰與訪問(wèn)策略相關(guān)，用屬性對(duì)數(shù)據(jù)進(jìn)行加密，當(dāng)密文中的屬性滿足密鑰中的訪問(wèn)控制策略時(shí)才能夠?qū)?shù)據(jù)進(jìn)行解密.因此，CP-ABE經(jīng)常用于具有訪問(wèn)控制功能的應(yīng)用中，而KP-ABE則常用于帶有查詢功能的應(yīng)用場(chǎng)景中.

由于對(duì)存儲(chǔ)在云服務(wù)器上的數(shù)據(jù)進(jìn)行了加密，所以會(huì)給數(shù)據(jù)的搜索和查詢帶來(lái)巨大的挑戰(zhàn).傳統(tǒng)的關(guān)鍵字搜索都是在明文上進(jìn)行操作的，而在密文上進(jìn)行搜索將不再適用.Boneh等人提出了公鑰加密的關(guān)鍵字搜索方案[4]，實(shí)現(xiàn)了對(duì)密文數(shù)據(jù)的關(guān)鍵字搜索功能，但是該方案并不支持?jǐn)?shù)據(jù)的細(xì)粒度訪問(wèn)控制.隨后，一些屬性基加密的關(guān)鍵字可搜索方案不斷被提出，比如文獻(xiàn)[5-8]等.在文獻(xiàn)[5]中，提出了一種同時(shí)基于KP-ABE和CP-ABE的關(guān)鍵字可搜索方案，數(shù)據(jù)用戶可以通過(guò)KP-ABE機(jī)制，自己定義關(guān)鍵字搜索策略，搜索感興趣的數(shù)據(jù)文件；在文獻(xiàn)[6]中，提出了基于密文策略屬性基加密的關(guān)鍵字可搜索方案；在文獻(xiàn)[7]中，提出了可驗(yàn)證的屬性基關(guān)鍵字搜索方案；在文獻(xiàn)[8]中，作者應(yīng)用屬性基構(gòu)造出了適應(yīng)群組的公鑰加密搜索.然而，由于屬性基加密機(jī)制中有大量的配對(duì)運(yùn)算操作(配對(duì)運(yùn)算比其他運(yùn)算的計(jì)算代價(jià)要大很多)，而且配對(duì)操作隨著屬性個(gè)數(shù)的增加呈線性增長(zhǎng)，屬性基加密和解密的計(jì)算代價(jià)也會(huì)隨著屬性個(gè)數(shù)或者訪問(wèn)結(jié)構(gòu)復(fù)雜程度的增加而增加.所以，以上方案[5-8]加解密的計(jì)算代價(jià)很大，方案的效率并不理想，不適合在實(shí)際當(dāng)中應(yīng)用.針對(duì)ABE機(jī)制中加解密計(jì)算代價(jià)大的問(wèn)題，Green等人[9]和Hohenberger等人[10]提出了密鑰轉(zhuǎn)換技術(shù)和在線離線ABE技術(shù).前者將ABE的解密操作外包給云服務(wù)器，云服務(wù)器將ABE密文通過(guò)密鑰轉(zhuǎn)換技術(shù)轉(zhuǎn)換成簡(jiǎn)單的密文，雖然進(jìn)行了部分的解密操作，但是并不會(huì)泄露有關(guān)明文的任何信息.后者提出了一種新的ABE技術(shù)，將加密算法分為2個(gè)階段：1)離線階段，在不知道相關(guān)屬性集合或者訪問(wèn)控制策略的情況下，將自動(dòng)完成大量加密計(jì)算的預(yù)處理工作;2)在線階段，可以快速地完成整個(gè)加密過(guò)程，因?yàn)樵跍?zhǔn)備階段，大量的計(jì)算操作已經(jīng)被完成，在線階段只需要簡(jiǎn)單地計(jì)算，就可以快速地完成屬性基的加密.通過(guò)這種方法，可以將計(jì)算量大的操作盡可能多地提前處理，減少在線階段的工作.在文獻(xiàn)[11]的方案中，利用這2種技術(shù)實(shí)現(xiàn)了在移動(dòng)設(shè)備上的數(shù)據(jù)分享，還通過(guò)重代理加密的方法來(lái)處理數(shù)據(jù)用戶的屬性撤銷問(wèn)題.本文，我們將結(jié)合這2種技術(shù)來(lái)提出一種新的高效的關(guān)鍵字搜索加密方案.

2) 在本文的方案中，大量的計(jì)算操作將會(huì)在離線階段執(zhí)行或者外包給云服務(wù)器來(lái)執(zhí)行，比如ABE加密過(guò)程中大量的預(yù)計(jì)算將在離線階段完成，關(guān)鍵字搜索和密文轉(zhuǎn)換操作也將外包給云服務(wù)器來(lái)處理.總之，在加密和解密階段，數(shù)據(jù)擁有者和數(shù)據(jù)用戶不需要做任何昂貴的在線計(jì)算操作.

3) 我們給出了OO-CP-ABSE方案的安全性分析，分析表明我們的方案具有數(shù)據(jù)機(jī)密性、關(guān)鍵字隱私保護(hù)性、查詢關(guān)鍵字的隱私保護(hù)性和搜索的可控性.我們還給出了方案的效率比較，表明我們方案的高效性.

1 系統(tǒng)模型

圖1展現(xiàn)了我們方案的系統(tǒng)模型，在系統(tǒng)模型中，分為4個(gè)實(shí)體部分：可信機(jī)構(gòu)、云服務(wù)器端、數(shù)據(jù)擁有者、數(shù)據(jù)用戶.

1) 可信機(jī)構(gòu)(trusted authority, TA).它負(fù)責(zé)系統(tǒng)參數(shù)的初始化和私鑰的生成，根據(jù)用戶的屬性集合生成屬性私鑰并返還給用戶.

2) 云服務(wù)器端(cloud services provider, CSP).假設(shè)云服務(wù)器是半可信的，也就是說(shuō)，它在一般情況下會(huì)遵循協(xié)議的規(guī)則，但是，它也有可能去試圖查找并泄露一些隱私的信息.它具有強(qiáng)大的存儲(chǔ)能力和計(jì)算資源.它負(fù)責(zé)用戶身份的驗(yàn)證、關(guān)鍵字的搜索以及ABE密文的轉(zhuǎn)換.

3) 數(shù)據(jù)擁有者(data owner, DO).數(shù)據(jù)擁有者負(fù)責(zé)數(shù)據(jù)的加密以及關(guān)鍵字索引的加密.首先用對(duì)稱加密密鑰加密數(shù)據(jù)文件，然后結(jié)合ABE將對(duì)稱加密密鑰進(jìn)行封裝,同時(shí)建立關(guān)鍵字索引集合并進(jìn)行加密，最后將它同密文數(shù)據(jù)一起上傳到云端.

4) 數(shù)據(jù)用戶(data user, DU).數(shù)據(jù)用戶將自己的屬性集合發(fā)送給可信機(jī)構(gòu)，獲取屬性私鑰.利用私鑰生成加密的查詢關(guān)鍵字，并發(fā)送到云端.當(dāng)接收到云端返還的密文之后，恢復(fù)出對(duì)稱加密密鑰并解密數(shù)據(jù)文件.

Fig. 1 The system architecture of our construction.圖1 系統(tǒng)模型圖

2 預(yù)備知識(shí)

2.1 雙線性映射

1) 雙線性.對(duì)?a,b∈p以及?g1,g2∈，滿足.

2) 非退化性.e(g,g)≠1.

3) 可計(jì)算性.對(duì)于?u,v∈,e(u,v)可以有效地計(jì)算出來(lái).

則稱e是一個(gè)有效的從到T的雙線性映射.

2.2 訪問(wèn)結(jié)構(gòu)

定義2. 訪問(wèn)結(jié)構(gòu).假定U是一個(gè)屬性全集，訪問(wèn)結(jié)構(gòu)A是集合U上的一個(gè)非空子集合，即A?2U{?}.在A中的集合被稱為授權(quán)集合，否則稱作非授權(quán)集合.我們認(rèn)為A是單調(diào)的，若對(duì)?B,C∈A，有B∈A且B?C，那么C∈A.

2.3 線性秘密分享

定義3. 線性秘密分享.一個(gè)秘密分享方案Π在屬性全集U上是線性的，需要滿足2個(gè)條件：

有關(guān)線性秘密分享(linear secret sharing scheme, LSSS)的詳細(xì)介紹，可以參閱文獻(xiàn)[12].

f(Ikey,Ienc)

1) Setup(λ,U)→(PK,MK).該算法為初始化算法，安全參數(shù)λ、一個(gè)屬性全集U(這里定義為系統(tǒng)授權(quán)的所有屬性集合)作為系統(tǒng)的輸入，生成系統(tǒng)的公開(kāi)參數(shù)PK和主密鑰MK.

2) Extract(MK,Ikey)→SK.該算法為私鑰提取算法，輸入主密鑰MK、一個(gè)訪問(wèn)控制結(jié)構(gòu)(分別地，屬性集合)Ikey，生成與屬性相關(guān)聯(lián)的私鑰.

3) Offline.Encrypt(PK)→IT.該算法為離線加密算法，以系統(tǒng)公開(kāi)參數(shù)PK作為輸入，生成一個(gè)中間密文IT.

4) Online.Encrypt(PK,IT,Ienc)→(ke,CT).該算法為在線加密算法，輸入系統(tǒng)公開(kāi)參數(shù)PK、中間密文IT和屬性集合(分別地，訪問(wèn)結(jié)構(gòu))Ienc，生成一個(gè)會(huì)話密鑰ke和一個(gè)最終的ABE密文CT.

5) Decrypt(SK,CT)→ke.該算法為解密算法，算法輸入Ikey的私鑰SK、與Ienc相關(guān)的密文CT.如果屬性S滿足訪問(wèn)結(jié)構(gòu)A，算法恢復(fù)出來(lái)一個(gè)會(huì)話密鑰ke；否則，算法終止，輸出⊥.

正確性：對(duì)一個(gè)固定的屬性集合U，并且λ∈，算法KP-ABE的正確性：對(duì)所有的S?U,所有的(PK,MK)∈Setup(λ,U)，以及SK∈Extract(MK,A),如果(ke,CT)∈Online.Encrypt(PK,IT,S)(這里的Offline.Encrypt(PK)→IT)成立，并且S滿足A，那么解密算法Decrypt(SK,CT)正確輸出封裝密鑰ke.CP-ABE的正確性定義與KP-ABE相似，除了Extract和Online.Encrypt最后的輸入與KP-ABE相反之外.

2.5 外包解密ABE

定義5. 外包解密ABE[9].這里，S代表一個(gè)屬性集合，A表示一個(gè)訪問(wèn)控制結(jié)構(gòu)，Ikey為密鑰提取函數(shù)，Ienc為在線加密函數(shù).函數(shù)f的定義與OO-ABKEM相同.外包解密ABE算法由5個(gè)算法部分構(gòu)成：

1) Setup(λ,U).該算法輸入系統(tǒng)安全參數(shù)和屬性集合，生成系統(tǒng)公開(kāi)參數(shù)PK和一個(gè)主密鑰MK.

2) Encrypt(PK,M,Ienc).該算法為加密算法，輸入系統(tǒng)公開(kāi)參數(shù)PK、消息M和訪問(wèn)控制結(jié)構(gòu)(分別地，屬性集合)Ienc，輸出一個(gè)密文CT.

3) KeyGenout(MK,Ikey).該算法為密鑰生成算法，輸入主密鑰MK和一個(gè)屬性集合(分別地，訪問(wèn)結(jié)構(gòu))，生成一個(gè)私鑰SK和一個(gè)轉(zhuǎn)換密鑰TK.

4) Transform(TK,CT).該算法進(jìn)行密文的轉(zhuǎn)換，以由Ikey生成的轉(zhuǎn)換密鑰TK和由Ienc加密生成的密文CT作為輸入.如果S∈A，那么輸出部分解密密文CT′；否則，算法終止，輸出⊥.

5) Decryptout(SK,CT′).該算法為解密算法，算法輸入一個(gè)由Ikey生成的私鑰SK和由Ienc加密生成，然后部分解密后得到的密文CT′.如果S∈A，那么輸出消息M；否則，算法終止，輸出⊥.

3 模型定義

3.1 方案模型

本節(jié)介紹了方案的框架模型，通過(guò)密鑰封裝機(jī)制來(lái)實(shí)現(xiàn)對(duì)稱加密和公鑰加密的混合加密，首先，選取一個(gè)現(xiàn)有的對(duì)稱加密方案對(duì)數(shù)據(jù)文件進(jìn)行加密，然后再用在線離線屬性基加密對(duì)對(duì)稱加密密鑰進(jìn)行加密.OO-CP-ABSE方案利用在線離線屬性基加密和外包解密屬性基加密2種新的密碼學(xué)技術(shù)，同時(shí)實(shí)現(xiàn)了加密數(shù)據(jù)在云端的分享、云端數(shù)據(jù)的關(guān)鍵字查詢，以及對(duì)云端數(shù)據(jù)的訪問(wèn)控制.應(yīng)用在線離線屬性基加密技術(shù)的目的在于用戶可以在不知道具體的訪問(wèn)策略或者屬性集合的前提下將屬性基加密中大量的加密工作放在線下提前完成，而用戶在線時(shí)，只需要進(jìn)行簡(jiǎn)單的計(jì)算就可以完成整個(gè)加密過(guò)程，從而節(jié)省用戶設(shè)備的電量消耗；應(yīng)用外包解密屬性基的目的在于可以將屬性基密文外包給云服務(wù)器去處理(部分的解密)，將之轉(zhuǎn)換成簡(jiǎn)單的密文，使得解密過(guò)程中大量的配對(duì)操作在云端完成，在用戶端只需要簡(jiǎn)單的計(jì)算就可以完成解密過(guò)程.

在本方案中S表示屬性集合，A表示訪問(wèn)策略.方案由這9個(gè)算法部分組成：Setup，KeyGen，KeyGenout，Offline.Encrypt，Online.Encrypt，Encrypt_Index，Trapdoor，Search(Test和Transformout)和Decrypt.我們可以將OO-CP-ABSE方案分為3個(gè)框架模型來(lái)定義：在線離線ABE加密模型、ABE外包解密模型和關(guān)鍵字可搜索加密模型.這3個(gè)模塊組成了在線離線密文策略屬性基可搜索加密方案(OO-CP-ABSE).雖然可以分別用不同的ABE加密方案、不同的外包解密方案和不同的關(guān)鍵字可搜索方案來(lái)構(gòu)造出一套新的方案，但是OO-CP-ABSE方案的效率最理想，可以做到用戶端計(jì)算代價(jià)的最小化.下面給出方案的3個(gè)框架模型：

該模型由5個(gè)算法組成：Setup，KeyGen，Offline.Encrypt，Online.Encrypt，Test.這里給出在線離線屬性基加密的一般算法定義，也是在OO-CP-ABSE方案中應(yīng)用到的主要算法步驟.該框架模型也可以用不同的ABE方案替代.

① Setup(λ,U)→(PP,MSK).該算法是初始化算法，由TA系統(tǒng)運(yùn)行，輸入安全參數(shù)λ和屬性全集U，生成系統(tǒng)公開(kāi)參數(shù)PP、主密鑰MSK.

② KeyGen(MSK,PP,S)→SK.該算法是私鑰生成算法，由TA來(lái)執(zhí)行，系統(tǒng)公開(kāi)參數(shù)PP、主密鑰MSK、數(shù)據(jù)用戶的屬性集合S作為輸入，生成屬性私鑰SK.

③ Offline.Encrypt(PP,Ke)→IT.該算法是離線加密算法，由數(shù)據(jù)擁有者來(lái)執(zhí)行，在這個(gè)階段該算法在不知道相關(guān)屬性集合或者訪問(wèn)控制策略的情況下， 將自動(dòng)完成大量加密計(jì)算的預(yù)處理工作，以系統(tǒng)公開(kāi)參數(shù)PP、封裝密鑰Ke作為輸入，生成中間密文IT.

④ Online.Encrypt(PP,IT,A)→CT.該算法是在線加密算法，由數(shù)據(jù)擁有者來(lái)執(zhí)行，在這個(gè)階段，算法只需要很少的計(jì)算量就可以很快地完成屬性基加密的過(guò)程，該算法輸入公開(kāi)參數(shù)PP、中間密文IT、訪問(wèn)控制結(jié)構(gòu)A，生成最終的屬性基密文CT.

⑤ Test(PP,CTw,Tw)→DT.該算法是Search算法中第1個(gè)階段執(zhí)行的算法，由云服務(wù)器執(zhí)行，輸入公開(kāi)參數(shù)PP、與密文數(shù)據(jù)相關(guān)聯(lián)的安全關(guān)鍵字索引集合CTw以及由搜索關(guān)鍵字加密生成的陷門(mén)函數(shù)值Tw，生成部分解密數(shù)據(jù)DT.

2) 屬性基加密的外包解密模型

該模型有2個(gè)算法構(gòu)成：KeyGenout和Transformout.采用屬性基加密的外包解密方案的核心思想，利用轉(zhuǎn)換密鑰來(lái)實(shí)現(xiàn)密文的轉(zhuǎn)化.我們給出主要算法步驟，同時(shí)也是嵌入在本方案中的算法.該模型也可以用不同的外包ABE方案與在線離線屬性基加密模型相結(jié)合生成新的方案.

① KeyGenout(MSK,PP,S)→SKt.該算法為轉(zhuǎn)換密鑰生成算法，由TA執(zhí)行.首先TA運(yùn)行算法KeyGen生成屬性私鑰SK，輸入公開(kāi)參數(shù)PP、主密鑰MSK、屬性集合S，然后設(shè)置轉(zhuǎn)換密鑰，一般形式為T(mén)K=SK，最終生成的私鑰為SKt(包含有屬性集合S和轉(zhuǎn)換密鑰TK).

② Transformout(CT,TK,DT)→CT′.該算法為密文轉(zhuǎn)換算法，將ABE屬性密文轉(zhuǎn)換為一般加密的密文，由云服務(wù)器運(yùn)行.該算法在Search算法中的第2個(gè)階段執(zhí)行，輸入密文CT、轉(zhuǎn)換密鑰TK以及由Test算法生成的部分解密密文DT，生成轉(zhuǎn)換密文CT′(由ABE屬性密文轉(zhuǎn)換生成).

3) 關(guān)鍵字可搜索加密模型

該模型有3個(gè)算法構(gòu)成：Encrypt_Index，Trapdoor，Search.這里給出關(guān)鍵字加密的一般算法步驟，同時(shí)也是應(yīng)用在本方案中基本算法步驟.該模型也可以用其他關(guān)鍵字可搜索方案來(lái)實(shí)現(xiàn).

① Encrypt_Index(PP,W)→CTw.該算法是關(guān)鍵字索引加密算法，由數(shù)據(jù)擁有者運(yùn)行，數(shù)據(jù)文件的關(guān)鍵字索引集合生成之后，運(yùn)行該加密算法，輸入系統(tǒng)公開(kāi)參數(shù)PP、關(guān)鍵字索引集合，生成與加密數(shù)據(jù)文件相關(guān)的加密關(guān)鍵字索引CTw.

② Trapdoor(PP,SKt,w)→Tw.該算法是陷門(mén)生成算法，由數(shù)據(jù)用戶運(yùn)行，輸入系統(tǒng)公開(kāi)參數(shù)PP、私鑰SKt(包含有轉(zhuǎn)換密鑰TK)以及用戶要查詢的關(guān)鍵字w，生成陷門(mén)函數(shù)值(也稱為標(biāo)記)Tw.

③ Search(PP,CTw,Tw)→CT′.該算法是關(guān)鍵字查詢算法，由云服務(wù)器運(yùn)行，該算法由2個(gè)算法組成:Test和Transformout，輸入公開(kāi)參數(shù)PP、與加密數(shù)據(jù)文件相關(guān)的加密關(guān)鍵字索引CTw以及包含查詢關(guān)鍵字的陷門(mén)函數(shù)值Tw，由Test算法執(zhí)行，生成部分解密數(shù)據(jù)DT，然后作為T(mén)ransformout算法的輸入再進(jìn)行屬性密文的轉(zhuǎn)換，最終生成轉(zhuǎn)換后的簡(jiǎn)單密文CT′.

3.2 安全模型

本文方案的安全模型步驟如下：

開(kāi)始設(shè)置階段：挑戰(zhàn)者運(yùn)行Setup算法，并給敵手公開(kāi)參數(shù)PK.

詢問(wèn)階段1：挑戰(zhàn)者初始化一個(gè)空表Ttable，一個(gè)空集合D和一個(gè)計(jì)數(shù)整數(shù)j=0.自適應(yīng)性過(guò)程中，敵手可以重復(fù)以下的任何詢問(wèn):

① Create(Ikey)：挑戰(zhàn)者設(shè)置jj+1，并運(yùn)行密鑰生成算法獲得SK，然后挑戰(zhàn)者在Ikey上運(yùn)行外包密鑰生成算法去獲得(SKt,TK),并將它存儲(chǔ)在表Ttable的(j,Ikey,SKt,TK)條目中.挑戰(zhàn)者將轉(zhuǎn)換密鑰TK返還給敵手(注意：Create可以對(duì)相同的輸入進(jìn)行重復(fù)查詢).

② Corrupt(i)：如果表Ttable中存在第i條目，那么挑戰(zhàn)者獲得條目(i,Ikey,SKt,TK),并設(shè)置DD∪{Ikey},然后將私鑰SKt返還給敵手；如果不存在，輸出⊥.

③ Decrypt(i,CT)：如果表Ttable中存在第i條目，那么挑戰(zhàn)者獲得條目(i,Ikey,SKt,TK)，并以(SKt,CT)作為解密算法的輸入，將得到的結(jié)果返還給敵手.如果不存在，輸出⊥.

詢問(wèn)階段2：除了以下的限制條件，階段2敵手的詢問(wèn)與階段1相同.這里限制敵手不能夠：

② 發(fā)布對(duì)挑戰(zhàn)密文CT*的解密詢問(wèn).

猜測(cè)階段：敵手給出對(duì)b′的猜測(cè)b.當(dāng)且僅當(dāng)b=b′時(shí)，敵手獲勝.

定義6. 方案OO-CP-ABSE是安全的，當(dāng)且僅當(dāng)對(duì)于上述攻擊游戲，任何概率多項(xiàng)式時(shí)間的敵手有可忽略的優(yōu)勢(shì)在上述游戲中獲勝.

4 具體方案

本節(jié)介紹了本方案的詳細(xì)構(gòu)造.本文借鑒了Waters等人[9-11]方案中的思想，以Waters等人的在線離線ABE方案與ABE的外包解密方案為基礎(chǔ)，同時(shí)借鑒Wang等人[6]方案中的思想，以Boneh等人[4]的公鑰加密關(guān)鍵字可搜索方案為基礎(chǔ)，構(gòu)造出在線離線密文策略屬性基可搜索加密方案(OO-CP-ABSE).

4.1 基本思想

4.2 方案的構(gòu)造

OO-CP-ABSE方案由9個(gè)算法構(gòu)成:

1) Setup(λ,U)→(PP,MSK).令U為屬性集合空間，e:×→T為雙線性映射，p是循環(huán)群和T的階，且與安全系數(shù)λ相關(guān).TA隨機(jī)選取g,h,u,v,w∈，然后挑選一個(gè)隨機(jī)值α∈P并計(jì)算e(g,g)α，H:{0,1}→p為一個(gè)安全的Hash函數(shù)，F(xiàn)為常見(jiàn)的消息認(rèn)證函數(shù).算法輸出系統(tǒng)公開(kāi)參數(shù)和主密鑰：

PP=(,T,p,g,h,u,v,w,e(g,g)α,H,F),

MSK=(α).

2) KeyGen(MSK,PP,S)→SK.數(shù)據(jù)用戶將自己的屬性集合S={A1,A2,…,Ak}?p發(fā)送給TA，TA選取隨機(jī)數(shù)r,r1,r2,…,rk?P，然后計(jì)算,對(duì)于?τ∈[1,k]，TA計(jì)算:

3) KeyGenout(MSK,PP,S)→SKt.密鑰生成算法先運(yùn)行KeyGen(MSK,PP,S)得到SK，然后TA選取一個(gè)隨機(jī)數(shù)t∈p，計(jì)算D′=wrgtα,D=D，然后計(jì)算轉(zhuǎn)換密鑰TK如下：

算法輸出私鑰SKt=(t,S,D,TK).

4) Offline.Encrypt(PP,Ke)→IT.在這里我們引入文獻(xiàn)[10]中“pooling”的概念，用來(lái)建立一個(gè)大屬性集的CP-ABE系統(tǒng)，將中間密文分成2類邏輯主體:1)ITmain;2)ITatt.用這種方法來(lái)消除離線階段由于不同類型屬性(屬性值長(zhǎng)度不一致)造成存儲(chǔ)空間的浪費(fèi).在這個(gè)階段，數(shù)據(jù)用戶分別計(jì)算出任意個(gè)數(shù)的ITmain和ITatt.

離線加密算法加密對(duì)稱加密密鑰Ke，數(shù)據(jù)用戶選擇一個(gè)隨機(jī)數(shù)s∈p并計(jì)算：

C=Kee(g,g)αs,

C0=gs.生成ITmain=(C,C0).用戶選取隨機(jī)數(shù)λ′,x,z∈p并計(jì)算：

C1=wλ′vz,

C2=(uxh)-z,

C3=gz.

生成ITatt=(λ′,x,z,C1,C2,C3),算法輸出中間密文IT=(ITmain,ITatt).

Cτ,5=-zτ(ρ(τ)-xτ),

最終，算法生成密文:

CT=((M,ρ),C,C0,{Cτ,1,Cτ,2,Cτ,3,

Cτ,4,Cτ,5}τ∈[1,l]).

6) Encrypt_Index(PP,W)→CTw.加密關(guān)鍵字索引生成算法輸入系統(tǒng)公開(kāi)參數(shù)和由數(shù)據(jù)文件生成的關(guān)鍵字索引集合W，對(duì)每一個(gè)關(guān)鍵字wi∈W，算法選一個(gè)隨機(jī)位字符串ti并計(jì)算ki=e(g,g)αs×e(g,H(wi)s)，然后將ti和ki作為消息認(rèn)證函數(shù)的輸入，算法輸出加密的關(guān)鍵字索引：

CTw={(ti,F(ki,ti))}wi∈W,i={1,2,…,n}.

7) Trapdoor(PP,SKt,w)→Tw.陷門(mén)生成算法輸入系統(tǒng)公開(kāi)參數(shù)PP和私鑰SKt(包含轉(zhuǎn)換密鑰TK)以及用戶要查詢的關(guān)鍵字w，計(jì)算Qw=H(w)×D，生成查詢關(guān)鍵字w的陷門(mén)函數(shù)值：Tw=(Qw,TK)，其中：

TK=(D0,D1,{Dτ,2,Dτ,3}τ∈[1,k]).

8) Search(PP,CTw,Tw)→CT′.數(shù)據(jù)用戶將生成的陷門(mén)Tw以及自己的屬性集合S發(fā)送給云服務(wù)器，云服務(wù)器運(yùn)行關(guān)鍵字搜索算法.首先，在算法的第1個(gè)階段，云服務(wù)器執(zhí)行算法：Test(PP,CTw,Tw)→DT，該算法輸入系統(tǒng)公開(kāi)參數(shù)PP、門(mén)限值Tw以及加密的關(guān)鍵字索引集合CTw.云服務(wù)器首先驗(yàn)證用戶的屬性集合是否滿足密文中的訪問(wèn)控制策略，如果不滿足，算法終止，返回用戶⊥；如果滿足，找出一個(gè)集合I?{1,2,…,l}，使得I={i:ρ(i)∈S}，假設(shè){λi}是秘密s分享之后的結(jié)果，那么一定存在一個(gè)可計(jì)算的常數(shù)向量{ωi∈p}i∈I，使得ωiλi=s成立，云端服務(wù)器計(jì)算：

e(Ci,2uCi,5,Dτ,2)e(Ci,3,Dτ,3))ωi=e(g,w)rst

和

kw=e(C0,Qw)DT=e(g,g)αse(g,H(w)s)，

其中，τ是屬性集合S中屬性值ρ(i)的下標(biāo)(它取決于i).然后，云服務(wù)器計(jì)算F(kw,ti)并且與在云端存儲(chǔ)的加密關(guān)鍵字索引CTw(F(ki,ti)，i∈[1,n])進(jìn)行比較，如果匹配成功，云服務(wù)器將利用計(jì)算出的結(jié)果進(jìn)一步執(zhí)行算法第2階段：Transformout(CT,TK,DT)→CT′.算法輸入密文CT，轉(zhuǎn)換密鑰TK，以及第一階段的部分解密數(shù)據(jù)DT，云服務(wù)器計(jì)算：e(C0,D0)DT=e(g,g)αst.最終，算法輸出轉(zhuǎn)換密文:CT′=(C,e(g,g)αst)(C是密文CT中的一部分，即加密的對(duì)稱加密密鑰，我們可以將CT′看作ElGamal密文).最后，云服務(wù)器將CT′和搜索到的密文數(shù)據(jù)一同發(fā)送給數(shù)據(jù)查詢用戶.

9) Decrypt(SKt,CT′)→Ke.解密算法由數(shù)據(jù)用戶執(zhí)行，以用戶的私鑰SKt=(t,S,D,TK)和轉(zhuǎn)換密文CT′作為輸入，數(shù)據(jù)用戶計(jì)算：T0，得到封裝密鑰Ke，其中T0=C,T1=e(g,g)αst.最終，數(shù)據(jù)用戶用對(duì)稱加密密鑰Ke對(duì)密文數(shù)據(jù)文件進(jìn)行解密得到明文數(shù)據(jù).

搜索算法中部分?jǐn)?shù)據(jù)的解密和關(guān)鍵字匹配計(jì)算：

e((uxih)-ziu-zi(ρ(i)-xi),grτ))ωit=

e(g,h)zirτe(g,u)ziAτrτe(g,v)-zir)ωit=

kw=e(C0,Qw)DT=

e(gs,H(w)wrtgα)e(g,w)rst=

e(g,g)αse(g,H(w)s)，

密文轉(zhuǎn)換的計(jì)算：

e(C0,D0)DT=e(gs,gαtwrt)e(g,w)rst=

e(g,g)αst.

在云服務(wù)器執(zhí)行關(guān)鍵字搜索的過(guò)程中，算法Transformout對(duì)于每個(gè)密文只需要進(jìn)行一次雙線性配對(duì)運(yùn)算，而對(duì)于每個(gè)陷門(mén)值，Test算法則大致需要3|I|+1次線性配對(duì)操作.事實(shí)上，這里我們可以使用運(yùn)算上的技巧來(lái)減少Test算法中配對(duì)操作的次數(shù)：

如此，云服務(wù)器執(zhí)行搜索算法的計(jì)算過(guò)程中只需要進(jìn)行4次配對(duì)計(jì)算即可.

5 應(yīng)用場(chǎng)景的描述

本節(jié)將簡(jiǎn)要描述在云計(jì)算環(huán)境中OO-CP-ABSE方案在移動(dòng)設(shè)備上的應(yīng)用，分為5個(gè)階段來(lái)描述：系統(tǒng)初始化階段、離線計(jì)算階段、數(shù)據(jù)上傳階段、數(shù)據(jù)檢索階段、數(shù)據(jù)下載階段.

1) 系統(tǒng)初始化階段.在這個(gè)階段，①由TA運(yùn)行初始化算法Setup(λ,U)，得到系統(tǒng)公開(kāi)參數(shù)PP和主密鑰MSK；②將公開(kāi)參數(shù)公布，保留主密鑰；③數(shù)據(jù)用戶將屬性集合S發(fā)送給TA；④TA運(yùn)行私鑰生成算法生成屬性私鑰SK，然后算法KeyGenout輸入SK，生成私鑰SKt(包含轉(zhuǎn)換密鑰TK)；⑤TA將私鑰SKt發(fā)送給數(shù)據(jù)用戶，具體流程如圖2所示:

Fig. 2 The high level description of system setup stage.圖2 初始化階段流程圖

2) 離線計(jì)算階段.在這個(gè)階段，數(shù)據(jù)擁有者(DO)對(duì)數(shù)據(jù)文件進(jìn)行對(duì)稱加密，然后將對(duì)稱密鑰用ABE進(jìn)行密鑰封裝.當(dāng)DO的移動(dòng)設(shè)備正在充電時(shí)，自動(dòng)運(yùn)行Offline.Encrypt算法，屬性基加密的預(yù)計(jì)算(對(duì)稱密鑰的封裝)將會(huì)在這個(gè)階段完成，DO通過(guò)運(yùn)行算法Online.Encrypt去得到中間密文CT并將它預(yù)先存儲(chǔ)在數(shù)據(jù)擁有者的移動(dòng)設(shè)備上，此時(shí)，ABE加密的大量計(jì)算工作被自動(dòng)地完成了，所以可以大大地減少數(shù)據(jù)用戶端在線階段的計(jì)算量，進(jìn)而為用戶的移動(dòng)設(shè)備節(jié)省大量的電量消耗.

3) 數(shù)據(jù)上傳階段.在這個(gè)階段，主要完成ABE的加密后續(xù)工作并進(jìn)行數(shù)據(jù)的上傳.在離線階段，完成了數(shù)據(jù)的對(duì)稱加密和會(huì)話密鑰的加密.當(dāng)DO的移動(dòng)設(shè)備在線時(shí)，運(yùn)行算法：Online.Encrypt和Encrypt_Index分別完成在線ABE的加密過(guò)程以及關(guān)鍵字索引的加密過(guò)程，然后DO將加密數(shù)據(jù)文件、ABE密文和加密關(guān)鍵字索引集合發(fā)送到云端.

4) 數(shù)據(jù)檢索階段.在這個(gè)階段，數(shù)據(jù)用戶(DU)對(duì)他感興趣的數(shù)據(jù)文件進(jìn)行搜索，首先DU執(zhí)行算法Trapdoor去得到包含要搜索關(guān)鍵字的門(mén)限值，將它發(fā)送給云服務(wù)器，云服務(wù)器執(zhí)行關(guān)鍵字搜索算法Search，搜索算法第1個(gè)階段的Test算法，驗(yàn)證DU的屬性是否滿足ABE密文中的訪問(wèn)策略，即驗(yàn)證用戶是否是授權(quán)用戶，如果是，進(jìn)行部分的解密計(jì)算，然后進(jìn)行關(guān)鍵字的匹配，匹配成功，將繼續(xù)執(zhí)行第2階段的Transofrmout算法，將匹配到關(guān)鍵字所對(duì)應(yīng)的ABE密文進(jìn)一步轉(zhuǎn)換，轉(zhuǎn)換為簡(jiǎn)單的密文形式，但是整個(gè)過(guò)程中的部分解密運(yùn)算并不會(huì)泄露有關(guān)明文的任何信息.最后云服務(wù)器將搜索到的加密數(shù)據(jù)文件以及ABE轉(zhuǎn)換密文CT′一同返還給數(shù)據(jù)用戶.

5) 數(shù)據(jù)下載階段.在這個(gè)階段，DU接收到云端返回的查詢結(jié)果并下載到移動(dòng)設(shè)備端，然后DU運(yùn)行解密算法去得到封裝密鑰Ke，對(duì)加密數(shù)據(jù)文件進(jìn)行解密，最終DU得到數(shù)據(jù)文件的明文.

6 安全性分析

本節(jié)將對(duì)我們方案的安全性進(jìn)行分析，方案滿足下述的安全性要求.

6.1 數(shù)據(jù)機(jī)密性

通過(guò)以下定理的證明，可以表明我們提出的方案具有數(shù)據(jù)機(jī)密性.

定理1. OO-CP-ABSE方案是安全的，當(dāng)且僅當(dāng)對(duì)于3.2節(jié)中的攻擊游戲，任何多項(xiàng)式時(shí)間的敵手有可忽略的優(yōu)勢(shì)在上述游戲中獲勝.

證明. 如果存在多項(xiàng)式時(shí)間的敵手以不可忽略的優(yōu)勢(shì)在本方案的攻擊游戲中獲勝，那么就可以構(gòu)造出一個(gè)敵手以不可忽略的優(yōu)勢(shì)在在線離線ABE[10]的攻擊游戲中獲勝.從一般ABE的構(gòu)造來(lái)分析，OO-CP-ABSE方案與文獻(xiàn)[10]方案的不同之處在于本方案中加入了轉(zhuǎn)換密鑰算法和ABE密文的轉(zhuǎn)換算法，生成了2個(gè)密鑰.第1個(gè)是短的El Gamal類型的密鑰t，它是保密的；第2個(gè)稱作轉(zhuǎn)換密鑰TK，它可以與代理(云服務(wù)器)分享，也能夠?qū)ν夤?對(duì)于授權(quán)的用戶，云服務(wù)器驗(yàn)證通過(guò)之后，利用轉(zhuǎn)換密鑰將ABE密文轉(zhuǎn)換成El Gamal密文形式，返還給用戶，用戶可以用私鑰t進(jìn)行解密.轉(zhuǎn)換密鑰生成算法，在原有私鑰上加入了一個(gè)隨機(jī)數(shù)1t，本質(zhì)上是對(duì)密鑰的一次盲化，方案的安全性得以加強(qiáng)；而密文轉(zhuǎn)換算法，其實(shí)是將ABE密文通過(guò)代理的形式轉(zhuǎn)換成了El Gamal形式的密文，雖然需要進(jìn)行部分的解密操作，但是并不會(huì)泄露私鑰和明文的任何信息.在本方案的攻擊游戲中，與文獻(xiàn)[10]中OO-ABKEM的不同之處在于：詢問(wèn)階段1，敵手私鑰的詢問(wèn)，挑戰(zhàn)者會(huì)將轉(zhuǎn)換密鑰TK一同返還給敵手，因?yàn)檗D(zhuǎn)換密鑰本來(lái)就是公開(kāi)的，所以同OO-ABKEM的攻擊游戲相比較，假設(shè)的敵手能力并沒(méi)有增強(qiáng)，所以并不影響原有方案的安全性，我們可以通過(guò)在線離線ABE[10]的安全性，來(lái)推出OO-CP-ABSE方案的安全性，本文由于篇幅有限，具體的證明將會(huì)在以后的工作中展示出來(lái)，讀者也可以查閱文獻(xiàn)[9-10]，先了解在線離線ABE安全性的詳細(xì)證明，這里我們將不再給出.

證畢.

6.2 關(guān)鍵字隱私保密性

在OO-CP-ABSE方案中，由數(shù)據(jù)文件生成的關(guān)鍵字索引集合，在算法Encrypt_Index中進(jìn)行加密，生成了安全關(guān)鍵字索引.首先是用Hash函數(shù)H對(duì)關(guān)鍵字進(jìn)行處理；然后用Online.Encrypt算法中的秘密值s以及系統(tǒng)的公開(kāi)參數(shù)PP對(duì)關(guān)鍵字進(jìn)行加密，其中用到了一次配對(duì)的加密操作，這種構(gòu)造方法類似于文獻(xiàn)[6]中加密關(guān)鍵字的構(gòu)造，與關(guān)鍵字搜索算法密切相關(guān).因此，分析表明，加密后的關(guān)鍵字索引，不會(huì)泄露任何有關(guān)關(guān)鍵字和數(shù)據(jù)文件的明文信息，所以，云端服務(wù)器不會(huì)從加密的關(guān)鍵字索引中得知任何有用的信息，所以方案是具有關(guān)鍵字隱私保密性的.

6.3 搜索的可控性

OO-CP-ABSE方案，將關(guān)鍵字搜索功能與ABE相結(jié)合，從而達(dá)到了對(duì)關(guān)鍵字搜索的權(quán)限控制，如果數(shù)據(jù)用戶進(jìn)行關(guān)鍵字的搜索，首先要通過(guò)算法Test來(lái)驗(yàn)證用戶的身份，云服務(wù)器執(zhí)行Test算法，判斷用戶的屬性集合S是否滿足密文的訪問(wèn)控制策略，如果不滿足則算法終止，否則云服務(wù)器才會(huì)執(zhí)行關(guān)鍵字的搜索操作.因此，通過(guò)分析表明，方案具有搜索的可控性.

6.4 Trapdoor的隱私保密性

方案中的Trapdoor由Qw和TK組成，其中Qw=H(w)×D，算法首先用Hash函數(shù)H對(duì)關(guān)鍵字w進(jìn)行處理，然后乘上D，將查詢關(guān)鍵字進(jìn)行加密，D是私鑰的一部分，由算法KeyGenout輸出，通過(guò)對(duì)私鑰進(jìn)行指數(shù)上的加密操作而生成，所以，D和TK都是安全的參數(shù)，不會(huì)泄露任何有關(guān)私鑰的信息.通過(guò)分析表明，本方案具有Trapdoor的隱私保密性.

7 性能分析

本節(jié)對(duì)方案的性能進(jìn)行分析.首先，從方案算法構(gòu)造的角度來(lái)分析我們方案的效率，然后給出與其他方案的效率對(duì)比，表明本方案在性能上的優(yōu)勢(shì).

在OO-CP-ABSE方案中，加密算法分為2個(gè)部分：在線階段和離線階段，大量的預(yù)加密工作可以在離線階段提前計(jì)算并將計(jì)算結(jié)果存儲(chǔ)在設(shè)備上，利用這個(gè)特點(diǎn)，可以使得當(dāng)用戶的移動(dòng)設(shè)備在充電或者不繁忙時(shí)，通過(guò)離線階段自動(dòng)完成，而在線階段，通過(guò)簡(jiǎn)單的運(yùn)算就可以完成加密過(guò)程.在線離線技術(shù)，使得數(shù)據(jù)擁有者的在線計(jì)算代價(jià)最小化，從而節(jié)省了移動(dòng)設(shè)備大量的電量消耗，而在其他大多數(shù)可搜索方案中沒(méi)有提出過(guò).

在OO-CP-ABSE方案中，通過(guò)將復(fù)雜的計(jì)算外包給云服務(wù)器，使得方案的效率性進(jìn)一步提高.因?yàn)樵品?wù)器的計(jì)算能力足夠強(qiáng)大，能夠快速地處理復(fù)雜的計(jì)算操作，我們將關(guān)鍵字搜索和ABE密文的轉(zhuǎn)換操作交給云端處理，并且云端不會(huì)知道任何有關(guān)明文的信息，因此，進(jìn)一步減少了數(shù)據(jù)用戶端的計(jì)算代價(jià).

上面分析表明，方案中在線加密和解密以及關(guān)鍵字搜索的過(guò)程，數(shù)據(jù)擁有者和數(shù)據(jù)用戶不需要做任何高代價(jià)的計(jì)算操作，因此本方案的效率很理想.

雙線性配對(duì)運(yùn)算比其他的運(yùn)算操作復(fù)雜得多.文獻(xiàn)[11]對(duì)一般運(yùn)算的效率進(jìn)行了實(shí)驗(yàn)，在Samsung Galaxy S3的安卓操作系統(tǒng)上通過(guò)Pairing-Based Cryptograph (PBC)對(duì)各種運(yùn)算操作進(jìn)行效率的測(cè)試.實(shí)驗(yàn)表明，運(yùn)行雙線性配對(duì)操作的時(shí)間要比其他運(yùn)算花費(fèi)的時(shí)間長(zhǎng)很多.因此，可以看出，配對(duì)運(yùn)算是影響方案效率的主要因素，而且配對(duì)運(yùn)算操作的次數(shù)會(huì)隨著數(shù)據(jù)加解密過(guò)程中用到屬性個(gè)數(shù)的增加而呈線性的增加，所以，在方案中減少配對(duì)運(yùn)算的次數(shù)就顯得尤為重要，而OO-CP-ABSE方案的配對(duì)操作次數(shù)要比其他方案少很多.首先我們列出算法涉及到的所有計(jì)算符號(hào)，然后以表格的形式給出本方案與文獻(xiàn)[6-7]中方案的效率比較.H′表示{0,1}→P，F(xiàn)表示消息認(rèn)證函數(shù)，P表示一個(gè)雙線性配對(duì)操作，n表示數(shù)據(jù)用戶屬性的個(gè)數(shù)，N[7]表示基于樹(shù)訪問(wèn)結(jié)構(gòu)中葉子節(jié)點(diǎn)的個(gè)數(shù)，l表示訪問(wèn)控制矩陣M的行向量個(gè)數(shù)，|I|表示解密過(guò)程中用到的屬性個(gè)數(shù)，Δ表示在解密配對(duì)操作中特殊屬性的個(gè)數(shù)，E表示在群上的指數(shù)運(yùn)算，ET表示在群T上的指數(shù)運(yùn)算.表1給出了方案的安全關(guān)鍵字索引生成算法、查詢關(guān)鍵字生成算法和數(shù)據(jù)解密算法的漸進(jìn)復(fù)雜度分析以及與其他方案的比較.從表1中可以看出，在OO-CP-ABSE方案中，陷門(mén)生成算法的復(fù)雜度減少為0；解密算法的復(fù)雜度減少為O(1).方案總的在線計(jì)算復(fù)雜度也比其他方案要小很多，分析表明，我們方案的效率高，數(shù)據(jù)用戶的在線計(jì)算量非常小.

表2給出了在線加密階段OO-CP-ABSE方案的漸進(jìn)復(fù)雜度分析，這里，不考慮Hash函數(shù)計(jì)算和乘法計(jì)算的復(fù)雜度.從表2中可以看出，在線加密階段，數(shù)據(jù)擁有者也不需要做任何代價(jià)高的計(jì)算操作.

Table1 Comparison with the Schemes in Ref [6-7]

* Total online computation includes：Secure index,Trapdoor, Decryption and Online encryption.

Table 2 Computational Cost of Online Encryption on Data Owner Side

*tSKE.GandtSKE.Erepresent the key generation algorithm and the symmetric encryption algorithm of the symmetric encryption respectively.

總的分析表明，OO-CP-ABSE方案是高效的，在云計(jì)算環(huán)境中，適合在移動(dòng)設(shè)備上的應(yīng)用.

8 總 結(jié)

[1]Sahai A, Waters B. Fuzzy identity-based encryption[G] //LNCS 3494: Proc of EUROCRYPT’05. Berlin: Springer, 2005: 457-473

[2]Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted data [C] //Proc of the 13th ACM Conf on Computer and Communications Security. New York: ACM, 2006: 89-98

[3]Bethencourt J, Sahai A, Waters B. Ciphertext-policy attribute-based encryption[C] //Proc of IEEE Symp on Security and Privacy (SP’07). Piscataway, NJ: IEEE, 2007: 321-334

[4]Boneh D, Di Crescenzo G, Ostrovsky R, et al. Public key encryption with keyword search[G] //LNCS 3027: Proc of EUROCRYPT’04. Berlin: Springer, 2004: 506-522

[5]Li J, Zhang L. Attribute-based keyword search and data access control in cloud[C] //Proc of the 10th IEEE Int Conf on Computational Intelligence and Security. Piscataway, NJ: IEEE, 2014: 382-386

[6]Wang C, Li W, Li Y, et al. A ciphertext-policy attribute-based encryption scheme supporting keyword search function[G] //LNCS 8300: Proc of the 5th Int Symp on Cyberspace Safety and Security. Berlin: Springer, 2013: 377-386

[7]Zheng Q, Xu S, Ateniese G. VABKS: verifiable attribute-based keyword search over outsourced encrypted data[C] //Proc of the 33rd IEEE Int Conf on Computer Communications. Piscataway, NJ: IEEE, 2014: 522-530

[8]Li Shuang, Xu Maozhi. Attribute-based public encryption with keywords search[J]. Chinese Journal of Computers, 2014, 37(5): 1017-1024 (in Chinese)(李雙, 徐茂智. 基于屬性的可搜索加密方案[J]. 計(jì)算機(jī)學(xué)報(bào), 2014, 37(5): 1017-1024)

[9]Green M, Hohenberger S, Waters B. Outsourcing the decryption of ABE ciphertexts[C] //Proc of the USENIX Security Symp. Berkeley, CA: USENIX Association, 2011: 3-23

[10]Hohenberger S,Waters B. Online/offline attribute-based encryption [G] //LNCS 8383: Proc of Public-Key Cryptography. Berlin: Springer, 2014: 293-310

[11]Shao J, Lu R, Lin X. Fine-grained data sharing in cloud computing for mobile devices[C] //Proc of the 34th IEEE Int Conf on Computer Communications. Piscataway, NJ: IEEE, 2015: 2677-2685

[12]Rouselakis Y, Waters B. Practical constructions and new proof methods for large universe attribute-based encryption[C] //Proc of the 2013 ACM SIGSAC Conf on Computer and Communications Security. New York: ACM, 2013: 463-474

Chen Dongdong, born in 1990. Master candidate in School of Computer Science and Software Engineering, East China Normal University. His main research interests include cryptography and information security, in particular, public key encryption, attribute-based encryption.

Cao Zhenfu, born in 1962. Received his PhD degree in Harbin Institute of Technology. Currently distinguished professor and PhD supervisor in School of Computer Science and Software Engineering, East China Normal University. His main research interests include number theory, cryptography, trusted network and information security.

Dong Xiaolei, born in 1971. Received her PhD degree in Harbin Institute of Technology. Currently distinguished professor and PhD supervisor in School of Computer Science and Software Engineering, East China Normal University. Her main research interests include number theory, cryptography and trusted computing (dongxiaolei@sei.ecnu.edu.cn).

Chen Dongdong, Cao Zhenfu, and Dong Xiaolei

(ShanghaiKeyLaboratoryforTrustworthyComputing(SchoolofComputerScienceandSoftwareEngineering,EastChinaNormalUniversity),Shanghai200062)

It is quite common for data owners to share the data via mobile phones in cloud computing. But because the cloud is not fully trusted, a series of privacy concerns emerge from it, and various schemes based on the attribute-based encryption have been proposed to these problems. However, most work either cannot support the keyword search function for the encrypted data, or bring a large of online computational cost in encryption and decryption phase. The efficiency of the data sharing and information query as well as the fined-grained of the data sharing will be affected by the most attribute-based encryption mechanism. To deal with these challenging concerns, we propose a new cryptographic primitive named onlineoffline ciphertext-policy attribute-based searchable encryption scheme (OO-CP-ABSE). By using the onlineoffline attribute-based encryption and the outsourcing decryption technique, we construct our scheme with minimum online computational cost on the data owner side and least decrypted computational cost on the data user side. Furthermore, we give the description of the application of OO-CP-ABSE in cloud computing for mobile devices. At last, we also present the efficiency of our scheme in comparison to other schemes and the security in terms of data confidentiality, keyword privacy, controlled searching, trapdoor privacy.

cloud computing; security and privacy; onlineoffline ciphertext-policy attribute-based encryption; keyword search; mobile device

2016-06-14；

2016-08-10

國(guó)家自然科學(xué)基金項(xiàng)目(61373154，61371083，61632012，61672239，61602180)；高等學(xué)校博士學(xué)科點(diǎn)專項(xiàng)科研基金項(xiàng)目(20130073130004)；上海市2016年度“科技創(chuàng)新行動(dòng)計(jì)劃”高新技術(shù)領(lǐng)域項(xiàng)目(16511101400)；上海市自然科學(xué)基金項(xiàng)目(16ZR1409200)

曹珍富(zfcao@sei.ecnu.edu.cn)

TP309

This work was supported by the National Natural Science Foundation of China (61373154, 61371083, 61632012, 61672239, 61602180), the Specialized Research Fund for the Doctoral Program of Higher Education of China (20130073130004), the Shanghai High-Tech Field Project (16511101400), and the Natural Science Foundation of Shanghai (16ZR1409200).