杜瑞忠，趙芳華

(河北大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河北 保定 071002)

云環(huán)境下密文策略的權(quán)重屬性多中心加密方案

杜瑞忠，趙芳華

(河北大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河北 保定 071002)

在基于密文策略屬性加密方案中，中央授權(quán)中心(CA)作為參與生成用戶屬性私鑰的重要機(jī)構(gòu)，對其安全性要求較高.傳統(tǒng)方案中，單個(gè)CA被攻擊，系統(tǒng)的安全性便無法保證.為了解決該問題，文章采用多授權(quán)中心.方案中各個(gè)CA同時(shí)計(jì)算用戶的解密密鑰；由各個(gè)屬性授權(quán)中心(AA)管理相應(yīng)的屬性集合，并根據(jù)屬性集合進(jìn)行屬性權(quán)重分割,實(shí)現(xiàn)屬性加權(quán).通過理論分析，該方案在保證系統(tǒng)安全性的同時(shí)，更具有實(shí)際意義.

屬性加密；屬性權(quán)重；多授權(quán)中心

云計(jì)算的快速發(fā)展，給人們帶來便捷的同時(shí)，也帶來了來自安全方面的挑戰(zhàn)，其中就有在云平臺(tái)這個(gè)開放環(huán)境下，對于數(shù)據(jù)如何實(shí)現(xiàn)安全共享這個(gè)問題就顯得格外重要.數(shù)據(jù)所有者在上傳數(shù)據(jù)時(shí)不僅要制訂越發(fā)靈活地訪問控制方案，而且還要保證與用戶之間通信這個(gè)過程中的數(shù)據(jù)的機(jī)密性.Sahai等[1]在2005年初次提出了屬性基加密方案，這個(gè)方案的出現(xiàn)滿足了上述的要求.根據(jù)屬性以及策略是嵌入在密文還是在用戶的私鑰上，將加密方案分為了2種：基于密鑰策略的屬性加密(KP-ABE)還有基于密文策略的屬性加密(CP-ABE)[2].現(xiàn)今隨著云計(jì)算的飛速發(fā)展，而CP-ABE比KP-ABE更加適合用于云存儲(chǔ)系統(tǒng)，所以大部分的研究都是圍繞CP-ABE進(jìn)行的.文獻(xiàn)[3]將權(quán)重這個(gè)概念引入到基于屬性加密方案中，但是僅僅支持的是單授權(quán)機(jī)構(gòu)，單授權(quán)機(jī)構(gòu)在管理密鑰的過程中會(huì)遇到負(fù)荷過重導(dǎo)致系統(tǒng)癱瘓等諸多的安全問題.為了解決單授權(quán)機(jī)構(gòu)管理分配密鑰過程中存在的問題，提出了基于屬性的多授權(quán)中心加密方案(MA-ABE)[4]，但是這個(gè)方案是由一個(gè)擁有絕對權(quán)力的中央授權(quán)中心(CA)分發(fā)私鑰，假如CA受到攻擊，那么就無法保證整個(gè)系統(tǒng)的安全.為了解決上述問題，Chase等[5]又于2009年提出了一種去除了CA的多授權(quán)中心加密方案，目前的加密方案基本都是圍繞多授權(quán)中心展開的，在現(xiàn)有的加密方案中，每個(gè)屬性授權(quán)中心都分別單獨(dú)管理相應(yīng)的屬性，在方案中，為了能夠管理每個(gè)相互獨(dú)立的屬性授權(quán)中心(AA)，就需要CA為各個(gè)屬性授權(quán)中心(AA)分發(fā)相應(yīng)的密鑰，但CA的存在可能會(huì)給多授權(quán)中心加密方案帶來一些問題，比如一旦CA被攻擊，不可信，那么系統(tǒng)的私鑰就會(huì)暴露，還有在云計(jì)算這樣一個(gè)開放的大規(guī)模的網(wǎng)絡(luò)環(huán)境下面，難以找到一個(gè)能夠使所有的組織都信任的中央授權(quán)中心CA.陳文聰?shù)萚6]提出了一種基于密文策略的多授權(quán)中心權(quán)重加密方案，該方案實(shí)現(xiàn)了無可信中心的加密機(jī)制，但該方案用戶的系統(tǒng)密鑰以及屬性私鑰都由屬性授權(quán)中心計(jì)算，這樣必然會(huì)導(dǎo)致單個(gè)授權(quán)中心的計(jì)算量非常大，單個(gè)授權(quán)中心負(fù)荷過大，有可能會(huì)導(dǎo)致AA崩潰.陳丹偉等[13]提出層次化授權(quán)機(jī)構(gòu)下的權(quán)重屬性基加密方案，利用不同層次的授權(quán)機(jī)構(gòu)分發(fā)不同權(quán)重的屬性私鑰，從而實(shí)現(xiàn)更細(xì)粒度的訪問控制，但是該方案同樣沒有引入中央授權(quán)中心.

文章在以上方案的基礎(chǔ)上，提出了更加適用于云計(jì)算環(huán)境下的基于密文策略的權(quán)重屬性多授權(quán)中心加密方案，方案引入多CA多AA，不再依賴單個(gè)中央授權(quán)中心，方案中CA不管理用戶屬性，各個(gè)CA根據(jù)用戶GID[4]值生成用戶的公私鑰，一旦有一個(gè)CA受到攻擊，攻擊者只能獲得一部分用戶私鑰，解決了傳統(tǒng)方案中由于單CA給系統(tǒng)帶來的缺陷；AA負(fù)責(zé)相應(yīng)的屬性集合，并為其可分配密鑰的屬性定義屬性權(quán)重分割集，為其管理的屬性生成屬性私鑰，多個(gè)AA相互獨(dú)立，每個(gè)新加入的AA都要被所有的CA認(rèn)證，理論分析方案引入多授權(quán)中心，在保證安全性的同時(shí)，又對屬性加權(quán)，使方案更有實(shí)際意義.

1 預(yù)備知識(shí)

1.1 訪問結(jié)構(gòu)

定義1(訪問結(jié)構(gòu)[8])令{P1,P2,…,Pn}為參與者的集合，對于集合A?2{P1,P2,…,Pn}，如果?D,E：若D∈A，且D?E，有E∈A，那么稱A是單調(diào)的.訪問結(jié)構(gòu)A是非空參與者的子集的集合.在A中的集合就叫授權(quán)集合，反之，就是非授權(quán)集合.

1.2 雙線性映射

定義3(雙線性映射)令G和GT是素?cái)?shù)階為p的循環(huán)群，設(shè)g為G的生成元并且e為雙線性映射e:G×G→GT.雙線性映射有以下的性質(zhì).

1)雙線性：對于所有的U,V∈G和a,b∈zp,有e(Ua,Vb)=e(U,V)ab；

2)非退化性：e(g,g)≠1.

如果對于群G中的運(yùn)算和雙線性運(yùn)算e:G×G→GT都能進(jìn)行有效地運(yùn)算，那么則稱G為雙線性群，e(*,*)是一個(gè)對稱操作，即e(Ua,Vb)=e(U,V)ab=e(Ub,Va).

1.3 屬性分割

定義4(屬性分割算法[6])輸入一個(gè)屬性集合，系統(tǒng)按照每個(gè)屬性的重要程度去給其賦加不等的權(quán)值.對于集合A={a1,a2,…,ar}中的每個(gè)屬性aj,允許最大權(quán)值為ωj=ω(aj),ωj是整數(shù).對每個(gè)屬性aj按照權(quán)重分割，分割后的屬性aj對應(yīng)于(aj,1),(aj,2)，…,(aj，ωj)，假定分割后的最小單位為1，稱其構(gòu)成的集合稱為屬性權(quán)重分割集A′.

1.4 符號(hào)定義及說明

本文使用的符號(hào)及定義如表1所示.

表1 符號(hào)定義及說明Tab.1 Symbol definition and description

2 權(quán)重屬性多中心加密方案

2.1 系統(tǒng)架構(gòu)系統(tǒng)方案

本文系統(tǒng)共包括5個(gè)實(shí)體：數(shù)據(jù)提供者、云存儲(chǔ)服務(wù)器、用戶、多個(gè)中央授權(quán)中心CA、多個(gè)屬性授權(quán)機(jī)構(gòu)AA.如圖1所示：假設(shè)該方案中有m個(gè)CA，分別記做CA1,CA2,…,CAm;有n個(gè)AA，分別記作AA1,AA2,…,AAn.全部屬性分為n個(gè)互不相交的集合，每個(gè)AA都管理一個(gè)屬性集合.CA不管理任何用戶屬性，當(dāng)用戶申請加入系統(tǒng)時(shí)，每個(gè)CA同時(shí)針對用戶gid生成與用戶gid相關(guān)的密鑰.每個(gè)AA分別為管理的屬性生成屬性私鑰，這個(gè)過程需要CA產(chǎn)生的用戶公鑰作為輸入.數(shù)據(jù)提供者用系統(tǒng)公鑰GPK和權(quán)重門限訪問結(jié)構(gòu)T將文件加密，上傳到云存儲(chǔ)服務(wù)器.只有當(dāng)用戶屬性私鑰中的屬性還有屬性權(quán)重滿足屬性權(quán)重訪問結(jié)構(gòu)才可以解密密文，恢復(fù)明文.

圖1 基于多授權(quán)中心的訪問控制系統(tǒng)模型Fig.1 Access control system model based on the multi-authorization centers

該系統(tǒng)方案主要包括：1)系統(tǒng)初始化；2)新文件生成；3)新用戶加入；4)用戶的撤銷；5)文件訪問.

1)系統(tǒng)初始化

系統(tǒng)根據(jù)安全參數(shù)k，然后調(diào)用初始化算法計(jì)算輸出系統(tǒng)公鑰.每個(gè)授權(quán)中心都進(jìn)行初始化工作，輸出各個(gè)授權(quán)中心的公鑰.

2)新文件生成

數(shù)據(jù)提供者將明文M，系統(tǒng)公鑰GPK、權(quán)重門限訪問結(jié)構(gòu)Г、需要的加密屬性公鑰，調(diào)用加密算法，生成密文后上傳到CSP.

3)新用戶加入

當(dāng)一個(gè)用戶申請加入系統(tǒng)時(shí)，各個(gè)中央授權(quán)中心(CA)同時(shí)針對用戶gid值生成與gid相關(guān)的用戶公鑰和私鑰.用戶將自己的屬性集發(fā)送給相應(yīng)的AAs，AAs則根據(jù)其管理的屬性權(quán)重分割集還有用戶系統(tǒng)公鑰作為輸入，計(jì)算生成用戶的屬性私鑰.CAs和AAs分別發(fā)送用戶系統(tǒng)私鑰和屬性私鑰給用戶.

4)用戶的撤銷

如果一個(gè)用戶被撤銷后，系統(tǒng)必須保證被撤銷的用戶不能再繼續(xù)訪問云服務(wù)器上的文件，本文采用文獻(xiàn)[11]中一種針對CP-ABE密鑰更新思路，AAs可以通過賦予每個(gè)用戶一個(gè)時(shí)間戳屬性X來實(shí)現(xiàn)用戶撤銷的功能，時(shí)間信息B附帶于密文中的訪問控制策略中，用戶只有符合密文的訪問控制機(jī)構(gòu)，并且截止必須在密文中附帶的時(shí)間之后(X≥B)才能解密，用戶只有必須符合上面的所有條件，才可以解密文件信息.

5)文件訪問

用戶訪問云服務(wù)器并將文件下載到本地，然后調(diào)用解密算法并利用從各個(gè)授權(quán)中心獲得的密鑰來解密文件，如果用戶私鑰中的屬性權(quán)重集符合密文中的權(quán)重門限結(jié)構(gòu)才可以正確恢復(fù)明文，否則就不能解密.

2.2 算法方案

加密方案由以下5個(gè)算法實(shí)現(xiàn)：初始化算法，創(chuàng)建屬性授權(quán)機(jī)構(gòu)算法，密鑰產(chǎn)生算法，加密算法，解密算法.

1)初始化：

G、GT是素?cái)?shù)p階的循環(huán)群，e:G×G→GT是雙線性映射，g為G的生成元.輸入一個(gè)安全參數(shù)k，計(jì)算Y=e(g,g)y，輸出系統(tǒng)的公鑰GPK和系統(tǒng)的主密鑰GSK.

Step1：隨機(jī)選取y∈Zp、h∈G，和一個(gè)可抗碰撞的哈希函數(shù)H:{0,1}*→Zp.

Step2：輸出系統(tǒng)公鑰{G,GT,H,h,e,g,Y}，主密鑰為gy.

①CA初始化：由第m個(gè)中央授權(quán)中心CAm運(yùn)行，進(jìn)行其自己的初始化工作.

Step1：CAm選擇一個(gè)隨機(jī)數(shù)z∈Zp，輸入系統(tǒng)公鑰GPK.

Step2：輸出CAm的公鑰CPKm=g(g,g)z,私鑰CSKm=gz.

2)創(chuàng)建屬性授權(quán)中心算法：由屬性授權(quán)中心AAn運(yùn)行.

Step1:輸入為全局公鑰GPK，授權(quán)中心表示符號(hào)n，AAn負(fù)責(zé)的屬性集Un,對每個(gè)屬性y∈Un，隨機(jī)取一個(gè)數(shù)φ∈Zp;

Step2:計(jì)算輸出為屬性授權(quán)中心AAn的公鑰APKn={H=gy}y∈Un，私鑰ASKn={φ}y∈Un.

3)密鑰產(chǎn)生算法

①中央授權(quán)中心CA計(jì)算用戶密鑰：當(dāng)用戶申請加入系統(tǒng)，由CAm運(yùn)行算法.

Step1：用戶將gid值發(fā)送給CAm，根據(jù)全局公鑰GPK以及私鑰CMKm，隨機(jī)取rgid,d∈Zp;

Step2:輸出為用戶的公鑰upkgid,d=grgid,d和私鑰uskgid,d=gy·hrgid,d.

②屬性授權(quán)中心AA計(jì)算用戶屬性私鑰：由屬性授權(quán)中心AAn運(yùn)行算法.

4)加密算法

輸入為系統(tǒng)的全局公鑰GPK，加密消息M，訪問樹Γ，屬性授權(quán)機(jī)構(gòu)的表示符號(hào)n，屬性公鑰Ti.設(shè)W表示葉子節(jié)點(diǎn)的集合，W*為W對應(yīng)的屬性權(quán)重分割集.

①隨機(jī)選取s∈Zp，計(jì)算C0=mYs=me(g,g)ys,C1=gs.

③輸出密文：C=(C0,C1,Γ,Cj,t∶?aj,t∈L′).

5)解密算法

然后可以根據(jù)恢復(fù)出明文.

3 安全性分析和性能分析

3.1 安全性分析

3.1.1 直接攻擊下的安全

如果攻擊者的權(quán)重屬性集不滿足訪問結(jié)構(gòu)控制樹，這個(gè)時(shí)候，如果攻擊者要想獲得明文m，就必須知道e(g,g)ys,攻擊者只能必須使用已知的信息，就是讓用戶系統(tǒng)私鑰USK=gy·hrgid和密文中C1=gs建立配對，即e(gy·hrgid,gs)=e(g,g)yse(h,g)rgids.攻擊者在不滿足訪問控制樹的情況下無法獲得正確的屬性密鑰，不能計(jì)算出e(h,g)rgids,得不到e(g,g)ys，所以攻擊者不能成功的解密密文.

3.1.2 抗共謀安全性

基于屬性的多授權(quán)中心加密方案中存在的問題其中之一就是防止同謀，比如user1擁有屬性a1，user2擁有屬性a2，如果二者合謀就會(huì)有2個(gè)屬性，就有可能合謀騙取密鑰，為解決這個(gè)問題，方案中每個(gè)用戶都有自己獨(dú)有的gid，用戶的私鑰是由各個(gè)中央授權(quán)中心根據(jù)用戶的gid，輸入隨機(jī)數(shù)生成用戶的私鑰，所以不可能有擁有不同的gid的用戶合謀騙取解密密鑰.

3.2 性能分析

3.2.1 靈活性分析

在該加密方案中，因?yàn)楦鱾€(gè)屬性授權(quán)中心都有各自的機(jī)構(gòu)符號(hào)以及屬性私鑰，每個(gè)屬性授權(quán)中心僅需分配各自負(fù)責(zé)的屬性私鑰，當(dāng)有新的屬性加入的時(shí)候，整個(gè)系統(tǒng)的參數(shù)就不用修改，可以直接方便加入到某個(gè)屬性機(jī)構(gòu)管理的屬性集中.所以，該方案具有良好的靈活性.

3.2.2 計(jì)算開銷

在現(xiàn)在云計(jì)算環(huán)境下，單個(gè)CA的存在顯然已經(jīng)無法滿足實(shí)際的需要，再加上現(xiàn)有的基于屬性的加密方案中很少考慮到屬性權(quán)重的問題，文章提出了一個(gè)多CA多AA的基于密文策略的權(quán)重屬性加密方案，以下主要分析和現(xiàn)有的多中心基于屬性的加密方案性能進(jìn)行比較.

定義H表示哈希運(yùn)算，m是中央授權(quán)中心CA的個(gè)數(shù)，n是屬性授權(quán)中心AA的個(gè)數(shù)，|A|表示屬性集A中的屬性個(gè)數(shù)，E和ME是群GT和的點(diǎn)乘運(yùn)算和多點(diǎn)乘運(yùn)算，M是G和GT上點(diǎn)加運(yùn)算，e表示的是雙線性配對計(jì)算，me表示Zp上的模數(shù)運(yùn)算.將方案與已有的方案進(jìn)行比較，如表2所示.

表2的結(jié)果顯示，與傳統(tǒng)方案對比，方案中，引入多CA，把傳統(tǒng)的單個(gè)CA的工作量分擔(dān)給多個(gè)CA同時(shí)進(jìn)行工作，使得單個(gè)CA和單個(gè)AA的計(jì)算量都適中，同時(shí)能夠保證一旦一個(gè)CA受到攻擊，攻擊者只能得到一部分密鑰，降低系統(tǒng)承受的風(fēng)險(xiǎn)，同時(shí)還可以看出的是，該方案中，密文長度相對較小，減少了傳送過程中的通信開銷，雖然在加密和解密過程中的計(jì)算量比較大，但跟目前現(xiàn)有的方案對比還是比較適中的，在保證安全性的同時(shí)又引入了屬性權(quán)重，更具有實(shí)際意義.

表2 性能對比Tab.2 Performance comparision

4 結(jié)束語

本文提出了一種基于密文策略的多中心屬性權(quán)重加密方案，該方案改變傳統(tǒng)方案中單個(gè)CA，通過引入多CA，使得一旦一個(gè)CA不可信，系統(tǒng)的安全不會(huì)受到威脅，方案在保證安全性的同時(shí)，又實(shí)現(xiàn)了對屬性進(jìn)行加權(quán)，理論分析表明在保證方案的安全的同時(shí)又對屬性加權(quán)，使之更有實(shí)際意義.但是方案依然存在不足，用戶屬性私鑰的生成與用戶身份標(biāo)識(shí)碼gid密切相關(guān)，因此無法支持用戶的匿名通信和用戶的身份信息保護(hù)，此外加密方案在訪問結(jié)構(gòu)中僅僅考慮到了門限訪問結(jié)構(gòu)，下一步可以考慮引入更加復(fù)雜的訪問結(jié)構(gòu).

[1] SAHAIA,WATERS B.Fuzzy identity-based encryption[C]//International Conference on Theory and Applicection of Crytographic Techniques,Springer-Verlay,2005:457-473.

[2] GOYAL V,PANDEY O,SAHAI A,et al.Attribute-based encryption for fine-grained access control encrypted data[C]//Proceeding of the 13thACM Conference on Computer and Communication Security,Alexandria,Virginia,USA,2006:89-98.

[3] 劉西蒙,馬建峰,熊金波,等.密文策略的權(quán)重屬性基加密方案[J].西安交通大學(xué)學(xué)報(bào),2013,47(8)：44-48.DOI:10.7652/xjtuxb201308008.

LIU X M,MA J F,XIONG J B,et al.Ciphertext-Policy Weighted Attribute Based Encryption Scheme[J].Journal of Xi’AN JIAOTONG University,2013,47(8):44-48.DOI:10.7652/xjtuxb201308008.

[4] CHASE M.Multi-authority attribute based encrytion[C]//Proceedings of the Theory of Cryptography Conference,Berlin,Germany:Springer-Verlag,2007:515-534.

[5] CHASE M,CHOW S S M.Improving privacy and security in multi-authotity attribute-based encryption[C]//Proceedings of the 16th ACM Conference on Computer and Communications Security,New York,USA:Acm Press,2009:121-130.

[6] 陳文聰,張應(yīng)輝,鄭東.基于密文策略的權(quán)重多中心屬性加密方案[J].桂林電子科技大學(xué)學(xué)報(bào),2015,35(5):386-390.DOI:10.16725/j.cnki.cn45-1351/tn.2015.05.009.

CHEN W C,ZHANG Y H,ZHENG D.Weighted multi-authority attribute encryption based on ciphertext policy[J].Journal of GuiLin University of Electronic Technology,2015,35(5):386-390.DOI:10.16725/j.cnki.cn45-1351/tn.2015.05.009.

[7] BEIMEL A.Secure schemes for secret and key distribution[D].Haifa:Technion-Israel Institute of Technology Sivan,1996.

[8] BEIMEL A,TASSA T.WEINREB E.Characterzing ideal weighted threshold secret sharing[C]// International Conference on Theory of Cryptography,Springer-verlay,2005:600-619.

[9] SHSCHAM H,WATERS B.Efficient ring signatures without random oracles[M].Springer Berlin Heidelberg:Public Key Cryptography-PKC,2007:166-180.

[10] DOSHI N,JINWALA D.Constant ciphertext length in multi-authority ciphertext policy attribute based encryption[C]//Computer and Communication Technology(ICCCT),2011 2nd International Conference onIEEE,Springer Berlin Heidelberg,2011,7135(2):515-523.

[11] LI J,HUANG Q,CHEN X,et al.Multi-authority ciphertext-policy attribute-based encryption with accountability[Z].ACM Symposium on Information,Hong Kong,China,2011.

[12] HAN J,SUSILO W,MU Y,et al.Privacy-preserving decentralized key-policy attribute-based encryption[J].IEEE Transantions on Parallel &Distributed systems,2012,23(11):2150-2162.DOI:10.1109/TPDS.2012.50.

[13] 陳丹偉,劉書雅,李琦.層次化授權(quán)機(jī)構(gòu)下的權(quán)重屬性基加密方案[J].南京郵電大學(xué)學(xué)報(bào)(自然科學(xué)版),2016，36(5):18-23.DOI:10.14132/j.cnki.1673-5439.2016.05.003.

CHEN D W,LIU S Y,LI Q.Multi-authority hierarchical weighted attribute-based encryption scheme[J].Journal of Nanjing University of Posts and Telecommunications(Natural Science Edition),2016,36(5):18-23.DOI:10.14132/j.cnki.1673-5439.2016.05.003.

[14] WANG Y,ZHANG D L,ZHONG H.Multi-authority based weighted attribute encryption scheme in cloud computing[Z].International Conference on Natural Computation,Yantai,China,2014.

(責(zé)任編輯：孟素蘭)

Multi-centerencryptionschemeforweightattributesofciphertextpolicyincloudcomputingenvironment

DURuizhong,ZHAOFanghua

(School of Computer Science and Technology,Hebei University,Baoding 071002,China)

In the attribute encryption scheme based on the ciphertext policy,the central authorization center (CA),as an important organization involved in generating the private key of the user attribute,thus,the central anthorization center is required for the high security.In the traditional scheme,if the single CA is attacked,the security of the system can not be guaranteed.In order to solve this problem,the paper adopts the multi-authorization center.In this scheme,each CA calculates the decryption key of the user at the same time.The attribute authority(AA)manages the corresponding attribute set and divides the attribute weight according to the attribute set to realize weight attributes.By the theoretical analysis,the scheme not only ensures the security of the scheme,but also makes it more practical.

attribute encryption;attribute weight;multi-anthorization center

TP309.7

A

1000-1565(2017)05-0531-06

10.3969/j.issn.1000-1565.2017.05.013

2017-03-02

河北省自然科學(xué)基金資助項(xiàng)目(F2014201099；F2014201098)；河北省高等學(xué)?？茖W(xué)技術(shù)研究項(xiàng)目(ZD2016043)

杜瑞忠(1975-)，男，河北滄州人，河北大學(xué)教授，博士，主要從事分布計(jì)算與信息安全等方向研究.E-mail:durz@hbu.edu.cn