楊詩(shī)雨 李學(xué)俊

(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 陜西 西安 710071)

可密鑰驗(yàn)證的多授權(quán)屬性基加密方案

楊詩(shī)雨 李學(xué)俊

(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 陜西 西安 710071)

在多授權(quán)屬性基加密方案中，每個(gè)授權(quán)機(jī)構(gòu)都會(huì)給用戶發(fā)一個(gè)私鑰，當(dāng)用戶拿到所有的私鑰但不能成功解密時(shí)，就不知道是哪個(gè)授權(quán)機(jī)構(gòu)對(duì)應(yīng)得私鑰出錯(cuò)，所以只能要求所有的授權(quán)機(jī)構(gòu)重發(fā)一次，這樣既浪費(fèi)時(shí)間又浪費(fèi)資源。為了解決上述問(wèn)題，提出了一種可密鑰驗(yàn)證的多授權(quán)基于屬性的加密方案，實(shí)現(xiàn)了在矩陣訪問(wèn)結(jié)構(gòu)下對(duì)私鑰的正確性進(jìn)行驗(yàn)證，解決了當(dāng)合法用戶不能成功解密時(shí)需要大量的授權(quán)機(jī)構(gòu)重發(fā)私鑰的問(wèn)題。同時(shí)實(shí)現(xiàn)了抗共謀攻擊，提高了系統(tǒng)的安全性。最后證明了該方案在selective-set模型下達(dá)到選擇明文攻擊安全。

多授權(quán) 屬性基加密 密鑰驗(yàn)證 抗共謀攻擊

0 引 言

在屬性加密機(jī)制中，用戶的身份信息不是由單個(gè)信息來(lái)生成，而是由一系列描述性的屬性集合組成，增強(qiáng)了描述性。同時(shí)引入了靈活的訪問(wèn)結(jié)構(gòu)，實(shí)現(xiàn)了一對(duì)多通信，使得發(fā)送方在加密信息時(shí)不需要指定具體的接收方，只有符合相應(yīng)條件的接收者才能解密恢復(fù)出明文?；谶@一特性，屬性基加密可廣泛應(yīng)用于分布式環(huán)境下的信息安全，如云計(jì)算中的安全存儲(chǔ)。如今，屬性基加密也已成為公鑰加密機(jī)制的研究熱點(diǎn)之一。

2005年，Sahai等首次實(shí)現(xiàn)了模糊的基于身份的加密[1]方案,提出了基于屬性加密的概念。2006年，Goyal等首次提出可支持細(xì)粒度訪問(wèn)控制的密鑰策略屬性基加密方案[2]，方案中用一般的單調(diào)樹形訪問(wèn)結(jié)構(gòu)來(lái)描述用戶的屬性，將訪問(wèn)結(jié)構(gòu)嵌入到用戶私鑰中，只有當(dāng)密文中的屬性集合滿足用戶的訪問(wèn)結(jié)構(gòu)時(shí)才能正常解密。這一重大改進(jìn)大大擴(kuò)展了屬性加密的應(yīng)用范圍。2007年，Bethencourt等提出了一種密文策略屬性基加密方案[3]，方案中將樹形訪問(wèn)結(jié)構(gòu)嵌入到密文中，加密者可以自行決定哪些用戶可以解密消息，實(shí)現(xiàn)了更靈活的訪問(wèn)策略。

上述幾種基于屬性的加密方案中都只有一個(gè)授權(quán)機(jī)構(gòu)管理屬性，計(jì)算密鑰并發(fā)送給不同的用戶，工作量大，負(fù)擔(dān)重，并且整個(gè)系統(tǒng)的安全性很低，一旦授權(quán)機(jī)構(gòu)被攻破，所有的信息都會(huì)泄露，風(fēng)險(xiǎn)較大。為了解決上述問(wèn)題，在2007年Chase首次提出多授權(quán)機(jī)構(gòu)的屬性基加密系統(tǒng)[4]。但在該方案中還是需要一個(gè)可信的中央機(jī)構(gòu)來(lái)管理授權(quán)機(jī)構(gòu)集合，一旦中央機(jī)構(gòu)被攻破，系統(tǒng)安全性就受到威脅。所以在2015年，Longo等便提出了去除中央機(jī)構(gòu)的多授權(quán)屬性基加密方案[6]。該方案雖然避免了中央機(jī)構(gòu)帶來(lái)的安全隱患，但是不能抵抗共謀攻擊，系統(tǒng)安全性較低。同時(shí)也不能驗(yàn)證用戶得到的私鑰是否正確，當(dāng)用戶不能成功解密時(shí)就只能所有的授權(quán)機(jī)構(gòu)重發(fā)一次密鑰，這樣既浪費(fèi)時(shí)間又浪費(fèi)資源。

本文針對(duì)文獻(xiàn)[6]中的兩個(gè)問(wèn)題，提出了一種可密鑰驗(yàn)證的多授權(quán)屬性基加密方案。該方案可以抵抗共謀攻擊，即使不同的用戶聯(lián)合起來(lái)共享他們所得的密鑰也無(wú)法成功解密出明文，提高了系統(tǒng)的安全性。并且利用密鑰可驗(yàn)證的構(gòu)造思想[5]實(shí)現(xiàn)了用戶私鑰的正確性驗(yàn)證，當(dāng)用戶得到授權(quán)機(jī)構(gòu)分發(fā)的私鑰時(shí)運(yùn)行驗(yàn)證算法驗(yàn)證其正確性。如果該私鑰不正確則只需對(duì)應(yīng)的授權(quán)機(jī)構(gòu)重發(fā)一次，不用所有的授權(quán)機(jī)構(gòu)都重發(fā)一次私鑰，大大減輕了授權(quán)機(jī)構(gòu)的負(fù)擔(dān)，也減少了不必要的資源浪費(fèi)。

1 背景知識(shí)

1.1 雙線性映射

設(shè)G0和G1為乘法循環(huán)群，階為素?cái)?shù)p。假設(shè)離散對(duì)數(shù)問(wèn)題DLP在這兩個(gè)循環(huán)群中為困難問(wèn)題，定義映射e:G0×G0→G1，如果e滿足下面這些性質(zhì)，則e為一個(gè)雙線性對(duì)：

1) 雙線性：e(ga,hb)=e(g,h)ab，其中g(shù),h∈G0，a,b∈Zp。

2) 非退化性：存在g∈G0，滿足e(g,g)≠1，1表示G1中的單位元。

3) 可計(jì)算性：對(duì)?P,Q∈G0，e(P,Q)都是可計(jì)算的。

如果存在上述雙線性映射e:G0×G0→G1以及群G1，則稱G0為雙線性群。又因?yàn)橛成錆M足e(ga,gb)=e(g,g)ab=e(gb,ga)，所以映射e具有對(duì)稱性。

1.2 困難假設(shè)

1.3 訪問(wèn)結(jié)構(gòu)

定義1(訪問(wèn)結(jié)構(gòu)) 對(duì)于一個(gè)實(shí)體集合{P1,P2,…,Pn}，任何B和C，如果當(dāng)B∈A且B?C時(shí)，都有C∈A，我們就稱集合A?2{P1,P2,…,Pn}是單調(diào)的。一個(gè)單調(diào)的訪問(wèn)結(jié)構(gòu)是{P1,P2,…,Pn}的非空子集合A，即A?2{P1,P2,…,Pn}{φ}。包含于A的集合為授權(quán)集合，不包含于A的集合為非授權(quán)集合。

在最初的屬性基加密方案中都是采用樹形訪問(wèn)結(jié)構(gòu)[2]，本文采用矩陣訪問(wèn)結(jié)構(gòu)。文獻(xiàn)[7]中詳細(xì)講解了怎么將一個(gè)訪問(wèn)樹轉(zhuǎn)化為矩陣結(jié)構(gòu)。下面我們來(lái)回顧一下線性秘密共享機(jī)制LSSS(Linear Secret-Sharing Schemes)。假設(shè)一個(gè)秘密共享方案Π擁有p個(gè)屬性(在Zp中)，如果滿足下列條件，則稱其為線性的：

(1) 每個(gè)屬性都可以由Zp中的一個(gè)向量來(lái)表示。

任意滿足上述定義的線性秘密共享方案都滿足線性重構(gòu)性質(zhì)，重構(gòu)性質(zhì)如下：令Π是一個(gè)LSSS，其訪問(wèn)結(jié)構(gòu)為A，授權(quán)集合為S。令I(lǐng)={i:ρ(i)∈S}表示矩陣中與屬性相關(guān)的行的集合，其中I?{1,2,…,l}。那么存在常數(shù)ωi∈Zp,i∈I，使得如果λi是主秘密s的有效分享，則有∑i∈Iωiλi=s。

并且在文獻(xiàn)[8]中指出常數(shù)ωi可以在生成矩陣M大小的多項(xiàng)式時(shí)間內(nèi)找到。本文的構(gòu)造方案中就很好地利用LSSS的重構(gòu)性質(zhì)進(jìn)行解密。更多關(guān)于LSSS和訪問(wèn)結(jié)構(gòu)的細(xì)節(jié)可參見(jiàn)文獻(xiàn)[8-9]。

2 方案描述及安全性證明

2.1 安全模型

在本方案中，每個(gè)授權(quán)機(jī)構(gòu)獨(dú)立生成自己的公開(kāi)參數(shù)。每個(gè)用戶都有一個(gè)全局身份標(biāo)識(shí)GID[5](Global Identifier)，將用戶的GIDu嵌入主密鑰中，這樣可以防止用戶1和用戶2聯(lián)合得到主密鑰，以抵抗共謀攻擊。加密者選擇屬性集S和一系列信任的授權(quán)機(jī)構(gòu)，利用一系列公開(kāi)參數(shù)對(duì)明文進(jìn)行加密。用戶向授權(quán)機(jī)構(gòu)詢問(wèn)并得到私鑰，私鑰中嵌入了用戶的GID和訪問(wèn)結(jié)構(gòu)A。只有當(dāng)密文中的屬性集滿足用戶的訪問(wèn)結(jié)構(gòu)，即S∈A時(shí)，用戶才有可能成功解密出明文。整個(gè)方案在selective-set模型下達(dá)到選擇明文攻擊安全I(xiàn)ND-CPA(Indistinguishability under chosen-plaintext attack)。其安全模型定義如下：

1) 初始化：敵手申明要挑戰(zhàn)的屬性集S和授權(quán)機(jī)構(gòu)集合A，并且選擇一個(gè)誠(chéng)實(shí)的授權(quán)機(jī)構(gòu)k0∈A。

2) 建立階段：挑戰(zhàn)者運(yùn)行生成密鑰算法，初始化授權(quán)機(jī)構(gòu)，將公開(kāi)參數(shù)交給敵手。

3) 查詢階段1：敵手對(duì)私鑰和驗(yàn)證信息進(jìn)行詢問(wèn)。對(duì)每一個(gè)GID，授權(quán)機(jī)構(gòu)k0只回答對(duì)不滿足S的訪問(wèn)結(jié)構(gòu)A(即S?A)所對(duì)應(yīng)的私鑰和驗(yàn)證信息作出的詢問(wèn)。而其他的授權(quán)機(jī)構(gòu)回答所有的詢問(wèn)。

4) 挑戰(zhàn)階段：敵手向挑戰(zhàn)者提交兩個(gè)等長(zhǎng)的消息m0和m1。挑戰(zhàn)者隨機(jī)拋一枚硬幣，根據(jù)其結(jié)果b∈{0,1}來(lái)決定加密消息mb。再將密文發(fā)給敵手。

5) 查詢階段2：重復(fù)查詢階段1的操作。

6) 猜測(cè)階段：敵手猜測(cè)b的值，輸出b′∈{0,1}，如果b′=b，那么就說(shuō)明敵手贏得勝利。

2.2 具體方案構(gòu)造

選取素?cái)?shù)階雙線性群G,G1，雙線性映射e:G×G→G1，生成元g∈G。假設(shè)有N個(gè)獨(dú)立的授權(quán)機(jī)構(gòu)，全部屬性被劃分為N個(gè)互不相交的集合，每個(gè)屬性集合由不同的授權(quán)機(jī)構(gòu)負(fù)責(zé)管理。隨機(jī)選擇偽隨機(jī)算法(PRF)種子s1,s2,…，sn。屬性集合為U。

1) 初始化：假設(shè)加密者選取其中A個(gè)授權(quán)機(jī)構(gòu)進(jìn)行加密，對(duì)每一個(gè)授權(quán)機(jī)構(gòu)k∈A，隨機(jī)選取αk∈Zp，和zk,i∈Zp，其中i∈U。授權(quán)機(jī)構(gòu)私鑰為{sk,αk}，系統(tǒng)的公開(kāi)參數(shù)為PKk=(e(g,g)αk,{Ti=gzk,i}i∈U)。

2) 加密：輸入系統(tǒng)的公開(kāi)參數(shù)PKk，屬性集合S和明文m。隨機(jī)選取一個(gè)s∈Zp，加密后輸出密文如下：

3) 密鑰生成：

? 對(duì)任意用戶u，令yk,u=FSk(u)，F(xiàn)sk(·)為偽隨機(jī)函數(shù)。則授權(quán)機(jī)構(gòu)k的主密鑰MKk,u=(yk,u,{zk,i}i∈U)。

? 最后計(jì)算hk,i=e(g,g)λk,i，Y=e(g,g)yk,u，Tk,m={e(g,g)rm}m=2,…,n。

? 輸出Qu，驗(yàn)證信息{hk,i，Y，Tk,m}和私鑰SKk,u。

4) 驗(yàn)證：用戶得到私鑰和一些驗(yàn)證信息之后，首先檢查是否e(kk,i,ck,ρk(i))=hk,i。如果相等則說(shuō)明私鑰中的λk,i和hk,i中的λk,i一致。之后再檢查λk,i是否正確。驗(yàn)證如下等式：

當(dāng)?shù)仁匠闪r(shí)，則表示該行通過(guò)驗(yàn)證。如果有一項(xiàng)未通過(guò)驗(yàn)證，則表明私鑰有錯(cuò)，可要求該授權(quán)機(jī)構(gòu)重發(fā)對(duì)應(yīng)部分的私鑰。當(dāng)所有項(xiàng)都通過(guò)驗(yàn)證時(shí)，則表示該私鑰正確，用戶可繼續(xù)解密。

5) 解密： 輸入密文CT，授權(quán)機(jī)構(gòu)集合A和私鑰。對(duì)每個(gè)授權(quán)機(jī)構(gòu)k，(Mk,ρk)是矩陣訪問(wèn)結(jié)構(gòu)，假設(shè)屬性集合Sk是授權(quán)集合(即訪問(wèn)結(jié)構(gòu)滿足屬性集Sk)，其中Sk表示授權(quán)機(jī)構(gòu)k對(duì)應(yīng)的屬性集合，便可以找到ωk,i∈Zp，i∈Ik,使得∑i∈Ikλk,i·ωk,i=yk,u，其中Ik={i,ρ(i)∈Sk},Ik∈{1，2，…，l}。解密過(guò)程如下：

2.3 安全性證明

上述方案在selective-set安全模型下可以達(dá)到IND-CPA安全。并且確保只要有一個(gè)完全誠(chéng)實(shí)的授權(quán)機(jī)構(gòu)存在，該方案就是安全的。下面描述如何將方案的安全性規(guī)約到DBDH困難問(wèn)題上。

定理1 假設(shè)存在一個(gè)敵手能夠在多項(xiàng)式時(shí)間內(nèi)攻破該方案，那么就可以構(gòu)造一個(gè)以不可忽略的優(yōu)勢(shì)解決DBDH困難問(wèn)題的模擬器。

首先假設(shè)對(duì)每個(gè)誠(chéng)實(shí)的授權(quán)機(jī)構(gòu)，當(dāng)偽隨機(jī)函數(shù)PRFFSK被替換為真正的隨機(jī)函數(shù)時(shí)，敵手仍然能以相同的優(yōu)勢(shì)攻破方案。因?yàn)槿绻惶鎿Q，我們就可以區(qū)分PRF和隨機(jī)函數(shù)，這和PRF的定義相矛盾。

挑戰(zhàn)者選取兩個(gè)群G1、G2和這兩個(gè)群上的一個(gè)雙線性映射e，設(shè)G1的生成元為g。之后挑戰(zhàn)者私下拋一枚硬幣，查看其結(jié)果v∈{0,1}。如果v=1，則選取A=ga，B=gb，C=gc，Z=e(g,g)abc。如果v=0，則選取A=ga，B=gb，C=gc，Z=e(g,g)z。其中a，b，c，z都是隨機(jī)整數(shù)。

e(g,g)αk=e(gb,g-rk) ?k∈A{k0}

由以上公式可以得出：

αk0=ab+b∑k∈A{k0}rk

αk=-rkb?k∈A{k0}

由以上公式可以得到公開(kāi)參數(shù)gzk,i的值如下：

對(duì)所有的i，模擬器計(jì)算:

Tk0,m={e(g,g)um}m=2,…n

對(duì)所有的i，模擬器計(jì)算:

Y=e(gb,ghk,1)=e(g,g)-b·tk,u=e(g,g)yk,u

Tk,m={e(gb,ghk,m)=e(g,g)bhk,m}m=2,…,n

3 方案分析

3.1 密鑰可驗(yàn)證性分析

3.2 抗共謀分析

在本方案中，系統(tǒng)的主密鑰由各個(gè)授權(quán)機(jī)構(gòu)產(chǎn)生的密鑰主密鑰份額組成，而各個(gè)授權(quán)機(jī)構(gòu)的主密鑰嵌入了每個(gè)用戶的GID(我們要求每個(gè)用戶的GID是唯一的可識(shí)別的，并且每個(gè)用戶不能給不同的授權(quán)機(jī)構(gòu)發(fā)送不同的GID)，從而保證了系統(tǒng)的抗共謀攻擊能力。

3.3 效率對(duì)比分析

文獻(xiàn)[10]中陳勤等提出了一種多認(rèn)證機(jī)構(gòu)可驗(yàn)證的屬性基加密方案。表1和表2將本文的方案和文獻(xiàn)[10]中的方案進(jìn)行效率對(duì)比分析。表中P和E分別代表雙線性對(duì)和冪指數(shù)運(yùn)算。U、SC、SK和I分別代表系統(tǒng)的屬性域，加密所用的屬性集，密鑰生成所用的屬性集和解密所用的屬性集。F代表授權(quán)機(jī)構(gòu)的數(shù)量，D代表樹形訪問(wèn)結(jié)構(gòu)中非葉子節(jié)點(diǎn)對(duì)應(yīng)的多項(xiàng)式次數(shù)，n代表矩陣訪問(wèn)結(jié)構(gòu)的列數(shù)。

表1 計(jì)算量對(duì)比

表2 公開(kāi)參數(shù)、私鑰、驗(yàn)證信息和密文大小對(duì)比

4 結(jié) 語(yǔ)

本文構(gòu)造出一種無(wú)中央機(jī)構(gòu)的多授權(quán)可驗(yàn)證的屬性基加密方案，避免了因中央機(jī)構(gòu)被攻破而導(dǎo)致整個(gè)系統(tǒng)安全受到威脅的問(wèn)題。方案采用矩陣訪問(wèn)結(jié)構(gòu)，實(shí)現(xiàn)了密鑰驗(yàn)證，解決了當(dāng)合法用戶不能成功解密時(shí)需要大量的授權(quán)機(jī)構(gòu)重發(fā)私鑰的問(wèn)題。并且整個(gè)方案可以抵抗共謀攻擊，增強(qiáng)了系統(tǒng)的安全性。

[1] Sahai A, Waters B. Fuzzy identity-based encryption[C]// LNCS 3494: Proceedings of Eurocrypt’05.Berlin: Springer, 2005:457-473.

[2] Goyal V, Pandey O, Sahai A, et al. Attribute Based Encryption for Fine-Grained Access Control of Encrypted Data[C]// Proceedings of CCS’06.New York: ACM Press, 2006:89-98.

[3] Bethencourt J, Sahai A, Waters B. Ciphertext-Policy Attribute-Based Encryption[C]// Security and Privacy, 2007. SP '07. IEEE Symposium on. IEEE Xplore, 2007:321-334.

[4] Melissa Chase. Multi-authority attribute based encryption[C]//LNCS 4392: Proceedings of TCC’07.Springer, 2007: 515-534.

[5] Tang Qiang, Ji Dongyao. Verifiable Attribute Based Encryption [J]. International Journal of Network Security, 2010, 10(2): 114-120.

[6] Riccardo Longo, Chiara Marcolla, Massimiliano Sala. Key-Policy Multi-authority Attribute-Based Encryption[C]// LNCS 9270:Proceedings of CAI’15.Switzerland:Springer,2015:152-164.

[7] Lewko A, Waters B. Decentralizing attribute-based encryption[C]// LNCS 6632: Proceedings of Cryptology Eurocrypt’11. Berlin: Springer, 2011:568-588.

[8] Beimel A. Secure schemes for secret sharing and key distribution[D]. Israel: Faculty of computer science, Technion-Israel Institute of technology, 1996.

[9] Liu Z, Cao Z. On efficiently transferring the linear secret-sharing scheme matrix in ciphertext-policy attribute-based encryption[Z]. IACR Cryptology ePrint Archive, 2010.

[10] Chen Qin, Dang ZhengQin, Zhang Jinman, et al. Verifiable attribute based encryption scheme with multi-authority[J]. Application Research of Computers, 2012, 29(1):308-311.

MULTI-AUTHORIZATION ATTRIBUTE-BASED ENCRYPTION WITH KEY VERIFICATION

Yang Shiyu Li Xuejun

(InstituteofNetworkandInformationSecurity,XidianUniversity,Xi’an710071,Shaanxi,China)

In the multi-authorization attribute-based encryption scheme, each authority will send a private key to the user. When the user to get all the private key but can not be successfully decrypted, the authority does not know which is the corresponding private key error, it can only ask all authorized agencies to re-send time, so that a waste of time and waste of resources. In order to solve the above problems, a multi-authorization attribute-based encryption scheme with key verification is proposed. This method can verify the correctness of the private key under the matrix access structure, and solves the problem that a large number of authorized institutions need to retransmit the private key when the legitimate user can not decrypt successfully. At the same time, it realizes the anti-collusion attack and improves the security of the system. Finally, it is proved that the proposed scheme achieves the security of selective plaintext attack in the selective-set model.

Multi-authorization Attribute-based encryption Key verification Resist collusion attack

2016-06-29。楊詩(shī)雨，碩士，主研領(lǐng)域：密碼學(xué)。李學(xué)俊，副教授。

TP309.2

A

10.3969/j.issn.1000-386x.2017.05.054