王 梅 孫 磊

(解放軍信息工程大學(xué)密碼工程學(xué)院 河南 鄭州 450000)

一個(gè)安全可追蹤的策略隱藏屬性基加密方案

王 梅 孫 磊

(解放軍信息工程大學(xué)密碼工程學(xué)院 河南 鄭州 450000)

傳統(tǒng)的屬性基加密方案中存在著訪問策略所包含的屬性會(huì)泄露用戶的敏感信息、惡意用戶泄露私鑰獲取非法利益而不會(huì)被追責(zé)的問題，同時(shí)私鑰長度、密文長度和解密運(yùn)算量均會(huì)隨屬性數(shù)量增加而帶來較大的通信開銷和計(jì)算開銷。對(duì)現(xiàn)有多種隱藏策略的屬性基加密方案和可追蹤的屬性基加密方案分別進(jìn)行深入研究，采用多屬性值的方法，并引入一個(gè)安全的簽名機(jī)制，提出了一個(gè)用戶私鑰長度、密文長度和解密運(yùn)算量均固定的支持可追蹤和隱藏策略的密文屬性基加密方案，即STH-CP-ABE方案。并基于DBDH(Decisional Bilinear Diffie-Hellman)假設(shè)，在標(biāo)準(zhǔn)模型下證明了方案的安全性。

基于屬性加密 可追蹤 隱藏策略 DBDH假設(shè)

0 引 言

隨著云計(jì)算的應(yīng)用研究日益增多，云計(jì)算模式帶來的好處日益凸顯，但云計(jì)算模式中的數(shù)據(jù)安全問題卻阻礙了它的廣泛應(yīng)用。用Sahai等[1]提出的基于屬性的加密機(jī)制ABE(attribute-based encryption)對(duì)上傳的數(shù)據(jù)進(jìn)行加密，可以在保護(hù)數(shù)據(jù)安全的同時(shí)進(jìn)行靈活的訪問控制。ABE方案中通過將用戶私鑰和密文與屬性或?qū)傩栽L問結(jié)構(gòu)相關(guān)聯(lián)，根據(jù)用戶的屬性是否能夠滿足訪問結(jié)構(gòu)來對(duì)用戶的解密權(quán)限進(jìn)行控制?；趯傩缘募用軝C(jī)制根據(jù)訪問結(jié)構(gòu)處于不同位置可分為密鑰-策略屬性基加密機(jī)制(KP-ABE)[2]和密文-策略屬性基加密機(jī)制(CP-ABE)[3]。

大多數(shù)屬性加密方案在保護(hù)消息機(jī)密性的同時(shí)，往往忽略了訪問策略可能泄露用戶隱私的問題。例如在醫(yī)療、電子商務(wù)、電子郵件、軍事通信及情報(bào)通信等各種網(wǎng)絡(luò)應(yīng)用中，需要對(duì)用戶個(gè)人隱私進(jìn)行保護(hù)，而訪問策略中蘊(yùn)含的用戶屬性信息可能會(huì)泄露接收者的特點(diǎn)。針對(duì)這個(gè)問題，研究學(xué)者提出一些具有策略隱藏功能的屬性基加密方案。2007年，Kapadia等[4]通過引入一個(gè)可信第三方，首次提出可匿名的密文-策略屬性基加密方案，但該方案不能抵抗共謀攻擊。隨著設(shè)計(jì)具有策略隱藏功能的加密方案成為ABE的一個(gè)研究熱點(diǎn)，文獻(xiàn)[5-9]均提出了可對(duì)訪問策略進(jìn)行隱藏的屬性基加密方案，但以上方案都無法對(duì)惡意泄露信息的用戶進(jìn)行追蹤。由于用戶私鑰只與一組描述用戶的屬性相關(guān)，在實(shí)際應(yīng)用中，合法用戶可能會(huì)為了獲取利益，惡意地將私鑰泄露給非法用戶而無法被追究責(zé)任。因此設(shè)計(jì)能對(duì)泄露信息的用戶進(jìn)行追蹤的加密方案具有現(xiàn)實(shí)意義。

文獻(xiàn)[10]通過將用戶標(biāo)識(shí)嵌入到屬性私鑰中，提出可追責(zé)的CP-ABE機(jī)制，對(duì)惡意用戶進(jìn)行追蹤。文獻(xiàn)[11]提出一個(gè)高表達(dá)力并可對(duì)惡意用戶進(jìn)行白盒追蹤的方案，但性能開銷較大。文獻(xiàn)[12]提出支持大規(guī)模屬性空間的可追蹤方案。但文獻(xiàn)[10-12]均不能對(duì)訪問策略進(jìn)行隱藏。文獻(xiàn)[13]提出了一個(gè)可追蹤并隱藏部分屬性的密鑰策略基于屬性加密方案，該方案將屬性集分為三個(gè)子集：公共正常屬性基UPN，隱藏正常屬性集UHN，隱藏身份相關(guān)屬性集UHID，但方案只能隱藏部分屬性，且密文和用戶公鑰長度較長。在實(shí)際應(yīng)用中，過長的密文會(huì)帶來較大的通信開銷。

本文在文獻(xiàn)[6]的系統(tǒng)模型上，結(jié)合文獻(xiàn)[14]中的簽名機(jī)制，提出一種具有可追蹤性并隱藏訪問結(jié)構(gòu)的屬性基加密方案，即STH-CP-ABE方案，并在標(biāo)準(zhǔn)模型下證明了方案的安全性。同時(shí)，本方案在增加了可追蹤這一功能后，私鑰長度和密文長度固定，且解密運(yùn)算中只需要進(jìn)行兩次雙線性對(duì)計(jì)算。

1 預(yù)備知識(shí)

1.1 雙線性映射

設(shè)群G1、G2和GT均表示階數(shù)為素?cái)?shù)p的乘法循環(huán)群。設(shè)g是群G1的一個(gè)生成元，h是G2的一個(gè)生成元，一個(gè)映射e:G1×G2→GT是非對(duì)稱雙線性映射，若映射e滿足下列特征：

(1) 雙線性：對(duì)于任意的a,b∈Zp，都有等式e(ga,hb)=e(g,h)ab。

(2) 非退化性：e(g,h)≠1。

(3) 可計(jì)算性：對(duì)于任意g、h，能夠在有效的多項(xiàng)式時(shí)間算法內(nèi)計(jì)算e(g,h)。

1.2 訪問結(jié)構(gòu)

設(shè)U={att1,att2,…,attn}表示所有屬性的集合，集合Si={vi,1,vi,2,…,vi,mi}表示屬性atti的mi個(gè)取值，用L來表示用戶的屬性列表，L={l1,l2,…,ln}，li∈Si。設(shè)W={w1,w2,…,wn}是一個(gè)訪問結(jié)構(gòu)，其中wi∈Si。定義用戶的屬性列表L滿足訪問結(jié)構(gòu)W，當(dāng)且僅當(dāng)li=wi,i=1,2,…,n。

1.3 困難假設(shè)

定義1 如果不存在多項(xiàng)式時(shí)間算法以優(yōu)勢(shì)ε解決非對(duì)稱DBDH假設(shè)，則稱非對(duì)稱DBDH假設(shè)在群中是成立的。

1.4 方案結(jié)構(gòu)

一個(gè)STH-CP-ABE方案由初始化算法(Setup)、密鑰生成算法(Keygen)、加密算法(Encrypt)、解密算法(Decrypt)和追蹤算法(Trace)等5個(gè)算法組成。下面對(duì)5個(gè)算法進(jìn)行描述：

Setup 初始化算法，由授權(quán)機(jī)構(gòu)完成。系統(tǒng)建立輸入安全參數(shù)k，輸出主密鑰msk和公共參數(shù)pk。并產(chǎn)生一個(gè)包含二元組(c,id)的查詢列表T，初始化時(shí)查詢列表T為空集。

Keygen 密鑰生成算法，輸入主密鑰msk、屬性列表L、公鑰pk和用戶身份id，輸出關(guān)于屬性列表L的私鑰skL。并將二元組(c,id)存入查詢列表T中。

Encrypt 數(shù)據(jù)加密算法，由信息發(fā)送方完成。輸入需要加密的消息M，訪問策略W和公共參數(shù)pk，并輸出密文CT。

Decrypt 加密算法，信息接受者輸入用戶公鑰pk、私鑰skL和密文CT。當(dāng)解密密鑰中的屬性滿足密文中的訪問結(jié)構(gòu)時(shí)，可以正確解密，得到信息M，否則輸出⊥。

Trace 追蹤算法，輸入用戶的公鑰pk、私鑰skL和查詢列表T。先驗(yàn)證skL是否標(biāo)準(zhǔn)定義的，若驗(yàn)證成功，輸出與skL對(duì)應(yīng)的用戶身份id，否則輸出符號(hào)⊥。定義符號(hào)⊥表示該用戶私鑰不用追蹤。

1.5 安全模型

STH-CP-ABE方案的安全模型可通過以下攻擊者A和挑戰(zhàn)者C之間的交互式游戲來定義。

(1) 系統(tǒng)建立 挑戰(zhàn)者C運(yùn)行系統(tǒng)初始化算法獲得公共參數(shù)pk和主密鑰msk，將公共參數(shù)pk交給攻擊者A，并自己保管msk。

階段1 攻擊者A自適應(yīng)地向挑戰(zhàn)者C詢問與屬性列表L相對(duì)應(yīng)的私鑰，挑戰(zhàn)者通過密鑰生成算法，返回關(guān)于屬性列表L的私鑰?？蛇M(jìn)行多次詢問。

(2) 挑戰(zhàn) 攻擊者A選擇兩個(gè)等長信息M0、M1和訪問結(jié)構(gòu)W0、W1(要求W0、W1不滿足詢問過的任何屬性列表L)交給挑戰(zhàn)者C。挑戰(zhàn)者C隨機(jī)選取a∈{0,1}，b∈{0,1}，在訪問結(jié)構(gòu)Wb下對(duì)信息Ma加密，將密文CT交給攻擊者A。

階段2 重復(fù)階段1，此時(shí)要求屬性列表不能滿足訪問結(jié)構(gòu)W0，W1。

(3) 猜測(cè) 攻擊者A輸出對(duì){a,b}的猜測(cè){a′,b′}。若a=a′，b=b′，則攻擊者A贏得游戲。

定義2 一個(gè)支持可追蹤和隱藏策略的屬性基加密方案是完全安全的，當(dāng)且僅當(dāng)不存在多項(xiàng)式有界時(shí)間攻擊者能以不可忽略的優(yōu)勢(shì)贏得游戲。

2 方案描述

本文STH-CP-ABE方案實(shí)現(xiàn)由屬性權(quán)威中心、數(shù)據(jù)擁有者和數(shù)據(jù)者三者組成，具體對(duì)支持可追蹤和策略隱藏的屬性基加密方案的構(gòu)造方法描述如下：

pk={g1,g2,u1,u2,v,f1,f2,h,Ai,j,Y}

msk={α,β,δ,a,ai,j}

并產(chǎn)生一個(gè)包含二元組(t2,id)的查詢列表T，初始化時(shí)列表T為空集?。

Trace(pk,T,skL) 追蹤算法可以分為兩個(gè)階段：驗(yàn)證階段和查詢階段。根據(jù)輸入的用戶公鑰pk、私鑰skL和查詢列表T，輸出用戶id或符號(hào)⊥。

1) 驗(yàn)證階段：在驗(yàn)證階段，根據(jù)如下幾個(gè)公式驗(yàn)證skL={K,D0,D1,D2}是否為標(biāo)準(zhǔn)形式下的密鑰。驗(yàn)證方法如下：

K∈Zp,D0,D1,D2∈G2

(1)

(2)

(3)

2) 查詢階段：若驗(yàn)證私鑰skL是有效的用戶私鑰，則從查詢列表T中對(duì)K進(jìn)行查詢，并輸出與K對(duì)應(yīng)的用戶id。若驗(yàn)證無效，則輸出符號(hào)⊥。

3 方案分析

3.1 正確性分析

解密過程中，數(shù)據(jù)使用者需要輸入自己的屬性列表L={l1,l2,…,ln}，li∈Si。若數(shù)據(jù)接受者的屬性列表L滿足訪問結(jié)構(gòu)W，即li=wi,i=1,2,…,n，則用戶可以正確解密密文。

具體解密過程如下：

如果數(shù)據(jù)接收者的屬性列表L不滿足密文中的訪問結(jié)構(gòu)W，則不能正確解密密文。

3.2 安全性分析

本文STH-CP-ABE方案的安全目標(biāo)是在上述安全模型下達(dá)到選擇明文的不可區(qū)分性，證明過程如下：

證明：假設(shè)存在攻擊者A可以以ε的優(yōu)勢(shì)對(duì)游戲Game1和Game0進(jìn)行區(qū)分，即Game1AdvA-Game0AdvA=ε，那么可以構(gòu)建一個(gè)模擬器以ε的優(yōu)勢(shì)解決非對(duì)稱DBDH問題。

模擬過程如下：

當(dāng)φ=0時(shí)，Z=e(g1,g2)abc；

當(dāng)φ=1時(shí)，Z=e(g1,g2)z。

階段2 重復(fù)階段1的詢問。

(3) 猜測(cè) 攻擊者A輸出對(duì){γ,η}的猜測(cè){γ′,η′}。若γ=γ′，η=η′，則挑戰(zhàn)者C輸出φ′=0；否則輸出φ′=1。根據(jù)假設(shè)，攻擊者以優(yōu)勢(shì)ε攻破DBDH問題。

3.3 效率分析

表1 方案功能特征比較

從表1可以看出，文獻(xiàn)[4-9]只實(shí)現(xiàn)了叛徒追蹤，文獻(xiàn)[10-12]只實(shí)現(xiàn)了策略隱藏。文獻(xiàn)[13]雖然同時(shí)實(shí)現(xiàn)了可追蹤和策略隱藏，但只能對(duì)策略部分隱藏。本文方案可以同時(shí)實(shí)現(xiàn)可追蹤和策略隱藏。

表2 方案的相關(guān)參數(shù)大小

根據(jù)表2所示，與具有同時(shí)支持可追蹤和策略隱藏的文獻(xiàn)[13]中的方案相比，本文方案公鑰長度雖有增加，但私鑰長度和密文長度固定，且解密過程中只需要2個(gè)雙線性對(duì)運(yùn)算，大大提高了解密效率。

4 結(jié) 語

本文結(jié)合簽名機(jī)制提出一個(gè)可同時(shí)對(duì)惡意泄露密鑰的用戶進(jìn)行追蹤并隱藏訪問策略的屬性基加密方案，即STH-CP-ABE方案。并基于非對(duì)稱DBDH假設(shè)，在標(biāo)準(zhǔn)模型下證明該方案是完全安全的。同時(shí)，用戶私鑰和密文長度及解密運(yùn)算量均為固定值，大大降低了通信開銷和計(jì)算開銷。但本方案的不足之處是只能進(jìn)行白盒追蹤，因此下一步工作是實(shí)現(xiàn)能夠進(jìn)行黑盒追蹤的加密方案。

[1]SahaiA,WatersB.Fuzzyidentity-basedencryption[C]//Proceedingofthe2005AnnualInternationalConferenceontheTheoryandApplicationsofCryptographicTechniques.Berlin,Germany:Springer,2005:457-473.

[2]GoyalV,PandeyO,SahaiA,etal.Attribute-basedencryptionforfine-grainedaccesscontrolofencrypteddata[C]//Proceedingsofthe13thACMConferenceonComputerandCommunicationsSecurity.NewYork,NY,USA:ACM,2006:89-98.

[3]BethencourtJ,SahaiA,WatersB.Ciphertext-policyattribute-basedencryption[C]//Proceedingofthe2007IEEESymposiumonSecurityandPrivacy.Piscataway,NJ,USA:IEEE,2007:321-334.

[4]KapadiaA,TsangPP,SmithSW.Attribute-basedpublishingwithhiddencredentialsandhiddenpolicies[C]//2007Network&DistributedSystemSecuritySymposium,2007:179-192.[5]LaiJ,DengRH,LiY.Fullysecurecipertext-policyhidingCP-ABE[C]//Proceedingsofthe7thInternationalConferenceonInformationSecurityPracticeandExperience,2011:24-39.

[6] 解理,任艷麗.隱藏訪問結(jié)構(gòu)的高效基于屬性加密方案[J].西安電子科技大學(xué)學(xué)報(bào)(自然科學(xué)版),2015,42(3):97-102.

[7]PhuongTVX,YangG,SusiloW.Hiddenciphertextpolicyattribute-basedencryptionunderstandardassumptions[J].IEEETransactionsonInformationForensicsandSecurity,2015,11(1):35-45.

[8]LaiJ,DengRH,LiY.ExpressiveCP-ABEwithpartiallyhiddenaccessstructures[C]//Proceedingsofthe7thACMSymposiumonInformation,ComputerandCommunicationsSecurity.ACM,2012:18-19.

[9]CamenischJ,DubovitskayaM,EnderleinRR,etal.Oblivioustransferwithhiddenaccesscontrolfromattribute-basedencryption[C]//Proceedingsofthe8thInternationalConferenceonSecurityandCryptographyforNetworks.Springer,2012:559-579.

[10]LiJ,RenK,ZhuB,etal.Privacy-awareattribute-basedencryptionwithuseraccountability[C]//Proceedingsofthe12thInternationalConferenceonInformationSecurity.Springer,2009:347-362.

[11]LiuZ,CaoZ,WongDS.White-boxtraceableciphertext-policyattribute-basedencryptionsupportinganymonotoneaccessstructures[J].IEEETransactionsonInformationForensicsandSecurity,2013,8(1):76-88.

[12]NingJ,CaoZ,DongX,etal.Largeuniverseciphertext-policyattribute-basedencryptionwithwhite-boxtraceability[C]//19thEuropeanSymposiumonResearchinComputerSecurity,Wroclaw,Poland.Springer,2014:55-72.

[13]YuS,RenK,LouW,etal.DefendingagainstkeyabuseattacksinKP-ABEenabledbroadcastsystems[C]//5thInternationalConferenceonSecurityandPrivacyinCommunicationNetworks.Springer,2009:311-329.

[14]BonehD,BoyenX.ShortsignatureswithoutrandomOraclesandtheSDHassumptioninbilineargroups[J].JournalofCryptology,2008,21(2):149-177.

A SECURE AND TRACEABLE ATTRIBUTE-BASED ENCRYPTION SCHEME WITH ACCESS STRUCTURES

Wang Mei Sun Len

(PasswordEngineeringInstitute,PLAInformationEngineeringUniversity,Zhengzhou450000,Henan,China)

Referring to the problem that the traditional attribute-based Encryption schemes could not trace the malicious use and hide access structures at the same time, and the shortage that length of ciphertext and secret key increased with the number of attributes and large computing in decryption, large researches were put into several attribute-based encryption schemes with traitor tracing and hidden access structures separately. Combined with secure signature mechanism and the method of multi attribute value, a ciphertext-policy attribute-based encryption scheme supporting traitor tracing and hidden access structures was proposed. Based on the decisional bilinear Diffie-Hellman (DBDH) assumption, the scheme was proved fully secure. Moreover, it achieves constant size of private key and ciphertext and constant number of pairing computations.

Attribute-based encryption Traceability Hidden access structures DBDH assumption

2015-12-23。國家重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃項(xiàng)目(2011CB311801)。王梅，碩士生，主研領(lǐng)域：云計(jì)算，信息安全。孫磊，副研究員。

TP309

A

10.3969/j.issn.1000-386x.2017.02.048