張文芳,陳 楨,劉旭東,王小敏

1(西南交通大學 信息科學與技術學院,四川 成都 611756)

2(信息安全與國家計算網格實驗室(西南交通大學),四川 成都 611756)

通訊作者:王小敏,E-mail:xmwang@swjtu.edu.cn

隨著分布式存儲與計算技術(如云存儲和云計算)的迅速發(fā)展與成熟,研究具備匿名性特點的密碼機制變得尤為重要.Sahai 和Waters[1]將基于身份的加密算法加以擴展和改進,提出了基于模糊身份的加密方案.該方案首次引入屬性的概念,用屬性集合表示用戶,以實現(xiàn)對其的匿名性保護；同時,基于特定的訪問結構對數(shù)據(jù)進行加密,只有用戶屬性滿足訪問結構時,才能成功解密密文.在此基礎上,相關學者展開了一系列基于屬性的密碼機制研究[2-4],并根據(jù)訪問策略嵌入位置的不同,將屬性基加密算法分為密文策略和密鑰策略兩類:密鑰策略的屬性基加密方案(key-policy attribute-based encryption,簡稱KP-ABE)[2]將解密策略與用戶的私鑰綁定,密文策略的屬性基加密方案(ciphertext-policy attribute-based encryption,簡稱CP-ABE)[3]則將密文與解密策略綁定.

屬性基加密方案使用屬性集合來描述用戶,然而在實際應用中,不同的用戶往往具有部分相同的屬性,而且這些屬性存在屬性到期、密鑰泄露、屬性變更等問題.因此,屬性撤銷成為屬性基加密方案中亟需解決的問題,即:在用戶屬性變更時,如何及時更新用戶權限,確保用戶不能使用舊密鑰解密密文.其中研究的難點在于在對某一用戶的屬性進行撤銷時,不影響系統(tǒng)中擁有該屬性的其他用戶.此前,大多數(shù)的ABE 方案[5-8]主要關注訪問策略的表達能力,并未著重考慮屬性撤銷問題.2009 年,Attrapadung 等人[9,10]在已有ABE 方案的基礎上,結合基于身份的組播加密技術[11]與線性秘密共享(LSSS)技術[12],提出了ABE 方案的兩種撤銷模式:間接撤銷和直接撤銷.

· 間接撤銷由授權機構執(zhí)行,采用半可信仲裁者方式或在密鑰中加入時間信息,通過周期性地更換密鑰實現(xiàn)屬性撤銷.目前的大多數(shù)方案都采用間接撤銷[13-15],其優(yōu)勢在于加密時不需要獲取撤銷列表,使用比較靈活.但間接撤銷的撤銷代價比較大,且需要授權中心進行密鑰更新,容易形成系統(tǒng)瓶頸；

· 在直接撤銷模式下,發(fā)送方將撤銷列表直接嵌入到密文中完成用戶屬性的撤銷,因此不影響其他用戶,但存在撤銷粒度較粗的問題.而方案[10,16-18]只能解決用戶撤銷問題,即撤銷某用戶的所有權限,但不能針對部分權限進行修改,因此同樣無法實現(xiàn)細粒度的屬性撤銷.

為了實現(xiàn)細粒度的屬性直接撤銷,學者們先后提出了一系列改進方案[19-24].Hur[19]采用二叉樹方法,提出了一種支持屬性直接撤銷的CP-ABE 方案.然而,該方案缺乏嚴格的安全模型和安全性證明,并且無法抵抗合謀攻擊.王鵬翩等人[20]通過為用戶分配兩個訪問樹的方法實現(xiàn)了屬性的細粒度撤銷,但該方案只能在密文中嵌入一個屬性的撤銷信息,無法滿足屬性變化頻繁的實際應用需求.文獻[21]中,Ibraimi 等人通過半可信第三方持有部分密鑰與撤銷列表的方式實現(xiàn)屬性的即時撤銷,但需要確保第三方的高度可信與實時在線.上述所有支持撤銷的屬性基加密方案不僅在屬性撤銷上存在或多或少的不足,更普遍存在一個安全隱患:屬性授權中心掌握所有用戶的私鑰,因此可以偽裝成任意一名用戶解密密文[25].一旦授權中心被攻破,用戶存儲在云端的加密信息即可被非法獲取并使用.

本文針對現(xiàn)有方案的不足,提出一種抗不可信授權中心破譯攻擊的支持細粒度屬性直接撤銷的CP-ABE方案.該方案采用訪問樹結構實現(xiàn)訪問策略,當用戶屬性滿足訪問樹判別條件時,即可解密密文.針對不可信授權中心的問題,本方案中用于生成用戶私鑰的秘密參數(shù)β和tj分別由系統(tǒng)中心SA(system authority)和屬性授權機構AA(attribute of authority)產生,從而約束了不可信授權中心的攻擊能力,有效避免了密文破譯攻擊.在屬性撤銷方面,本方案采用屬性授權中心實時更新屬性撤銷名單,并結合密文重加密的方式,可以對任意用戶的任意屬性單獨進行撤銷,而不影響其他用戶,以確保屬性的細粒度撤銷.同時,通過在密文中嵌入與用戶撤銷屬性相關的秘密信息,產生與屬性撤銷名單一一對應的密文,保證密文只能夠被有效用戶解密.與Attrapadung 方案[10]相比,本文方案能夠實現(xiàn)細粒度的屬性直接撤銷.本文對屬性可直接撤銷的CP-ABE 方案進行了嚴格的形式化安全定義,并在隨機預言機模型下證明所提方案在適應性選擇密文攻擊下具備密文不可區(qū)分性,并能抵抗不可信授權中心的破譯攻擊.性能分析表明:本文方案在保證更細的撤銷粒度和系統(tǒng)安全性前提下,算法效率也具有一定的優(yōu)勢.

本文第1 節(jié)介紹相關的預備知識.第2 節(jié)給出屬性可直接撤銷的CP-ABE 方案及其安全性的形式化定義.第3 節(jié)提出支持細粒度屬性直接撤銷的CP-ABE 方案.第4 節(jié)從正確性、安全性、效率等3 個方面對所提方案進行證明和分析.最后對全文進行總結.

1 預備知識

本節(jié)給出基于屬性加密方案的相關定義與困難問題假設.

1.1 拉格朗日插值法

若已知f(x)在互不相同的d處的函數(shù)值,即函數(shù)過d個已知的點,那么能夠構造出d-1 階的x的多項式函數(shù)f(x),且此f(x)是存在且唯一確定的,其求解方法如下:

稱公式(1)為拉格朗日插值多項式.

1.2 訪問樹

訪問樹是訪問結構的一種表達形式,不僅支持門限方式的訪問策略,也支持表達“與”、“或”等邏輯運算.為方便表述,對于訪問樹中的任意節(jié)點x,有如下定義.

·Parent(x):節(jié)點x的父節(jié)點,對根節(jié)點root外的所有節(jié)點有效；

·Children(x):節(jié)點x的子節(jié)點集合；

·Num(x):節(jié)點x的子節(jié)點個數(shù)；

·index(x):節(jié)點x在同一層次節(jié)點中的序號,即為其父節(jié)點的子節(jié)點集合中的編號；

·attr(x):節(jié)點x表征的屬性,當且僅當x為葉子節(jié)點時有效.

訪問樹中的每一個非葉子節(jié)點都表征一個門限,門限值nx滿足1≤nx≤Mum(x).“或”門的門限值nx=1,“與”門的門限值nx=Num(x).

定義2(訪問結構(access structure)).令參與方集合為P={P1,P2,…,Pn},訪問結構A是2P的一個非空集合.訪問結構A中的集合稱為授權集合,不在訪問結構A中的集合稱為非授權集合.

1.3 困難問題假設

定義3(判定性q-BDHE 假設(decision q bilinear Diffie-Hellman exponent assumption)).設群G1,G2是p階循環(huán)群,雙線性映射e:G1×G1→G2,給定隨機生成元g,隨機數(shù)s,a∈Zp,計算:

給定隨機數(shù)V∈RG2,若不存在有效算法C能夠在多項式時間內以不可忽略的優(yōu)勢區(qū)分V與,則假設成立.

定義4(DDH 問題假設(decision Diffie-Hellman problem)).設群G1,G2是p階循環(huán)群,雙線性映射e:G1×G1→G2,隨機生成元為g,隨機數(shù)x,y,z∈Zp,給定元組〈g,gx,gy,gxy〉和〈g,gx,gy,gz〉,若不存在有效算法C能夠在多項式時間內以不可忽略的優(yōu)勢判斷z是否等于xymodp,則假設成立.

2 算法形式化定義與安全模型

2.1 形式化定義

本節(jié)給出可撤銷的密文策略屬性基加密方案的形式化定義.CP-ABE 方案中,密文與斷言(Γ,term)相關聯(lián),其中,Γ代表屬性集合,Φ代表滿足term的Γ的非空子集.假設ω為解密者的屬性集合,只有存在ω′∈Φ使得ω′?ω,解密者才能成功解密密文.

直接可撤銷的密文策略的基于屬性加密(CP-ABE)方案涉及3 個實體:系統(tǒng)中心、屬性授權機構、用戶,由以下6 個算法構成.

(1)初始化算法Setup(1λ)→(PK,MK):由系統(tǒng)中心運行的概率性隨機算法,輸入安全參數(shù)1λ,系統(tǒng)中心輸出公開參數(shù)PK和系統(tǒng)主密鑰MK；

(2)密鑰生成算法KeyGen(ID,ω,MK)→SKID,ω:由屬性授權機構運行的概率性隨機算法,輸入MK、用戶的身份ID及其屬性集合ω,屬性授權機構輸出用戶的私鑰SKID,ω；

(3)加密算法Encrypt(,M,R,PK)→CT:由數(shù)據(jù)擁有者運行的一個概率性隨機算法,輸入系統(tǒng)公開參數(shù)PK、明文消息M、訪問策略和屬性撤銷信息R,輸出密文CT；

(4)重加密算法ReEncrypt(,M,R,PK)→CT:由系統(tǒng)中心運行的概率性隨機算法,輸入系統(tǒng)公開參數(shù)PK、密文CT、訪問策略和屬性撤銷信息R,輸出新密文CT；

(5)解密算法Decrypt(,SKID,ω,CT,R)→M:由解密者運行的一個確定性算法,輸入私鑰SKID,ω、與訪問策略對應的密文CT和屬性撤銷信息R,如果,且SKID,ω不涉及R中的撤銷事件時,則輸出明文消息M,否則輸出錯誤符號⊥；

(6)撤銷算法Revocation(MK,IDk,λk,attr(j))→R:由屬性授權機構運行的確定性算法,輸入待撤銷屬性attr(j)及用戶IDk,輸出屬性撤銷信息R.

2.2 安全模型

在此給出適用于本文算法的安全特性的形式化定義.

定義5.一個基于屬性的加密方案Π=(Set,KGen,Rev,Enc,ReE,Dec)在選擇密文攻擊下是不可區(qū)分的,如果沒有概率多項式時間的敵手A以一個不可忽略的優(yōu)勢ε在以下游戲中獲勝.

(1)初始化:挑戰(zhàn)者C運行初始化算法,利用系統(tǒng)安全參數(shù)產生公共參數(shù)PK和主密鑰MK.如果敵手A為惡意系統(tǒng)中心SA,C將PK和秘密參數(shù)〈α,β,λi〉發(fā)送給A,MK保密；如果敵手A為惡意屬性授權機構AAk,C將PK,MK和秘密參數(shù)α發(fā)送給A,秘密參數(shù)〈β,λi〉保密.敵手A輸出挑戰(zhàn)訪問策略和屬性撤銷列表R；

(2)階段 1:敵手A適應性地執(zhí)行一系列預言機詢問.

a)私鑰解析詢問:選擇用戶IDi及其屬性集ωi,向C詢問對應用戶的私鑰,要求IDi∈R或ωi不滿足訪問策略,C運行KeyGen算法產生私鑰,并將發(fā)送給A；

b)密文解析詢問:選擇密文CT,向C詢問在訪問策略下CT對應的明文M,C運行Decrypt算法恢復出明文M,并發(fā)送給A；

(3)挑戰(zhàn):敵手A選擇兩條長度相等的明文M0,M1發(fā)送給挑戰(zhàn)者.挑戰(zhàn)者C隨機選取b∈{0,1},運行Encrypt(,Mb,R,PK)算法,生成消息Mb在訪問策略下的詢問密文CT*,并返回結果給A；

(4)階段2:如階段1 所示,A繼續(xù)執(zhí)行私鑰解析詢問和密文解析詢問；

(5)猜測:敵手A輸出對b的猜測b′.如果滿足以下條件,則敵手A在游戲中獲勝.

i)b′=b；

ii)A未對(,CT*,R)進行密文解析詢問.

定義6.一個基于屬性的加密方案Π=(Set,KGen,Rev,Enc,ReE,Dec)能夠抵抗不可信授權中心的破譯攻擊,如果沒有概率多項式時間的敵手A以一個不可忽略的優(yōu)勢ε在以下游戲中獲勝.

(1)初始化:挑戰(zhàn)者C運行初始化算法,利用系統(tǒng)安全參數(shù)產生公共參數(shù)PK和主密鑰MK.如果敵手A為惡意系統(tǒng)中心SA,C將PK和秘密參數(shù)〈α,β,λi〉發(fā)送給A,MK保密；如果敵手A為惡意屬性授權機構AAk,C將PK,MK和秘密參數(shù)α發(fā)送給A,秘密參數(shù)〈β,λi〉保密.敵手A輸出挑戰(zhàn)訪問策略和屬性撤銷列表R；

(2)階段1:敵手A適應性地執(zhí)行一系列預言機詢問.

a)私鑰解析詢問:選擇用戶IDi及其屬性集ωi,向C詢問對應用戶的私鑰,要求IDi∈R或ωi不滿足訪問策略,C運行KeyGen算法產生私鑰,并將發(fā)送給A；

b)密文解析詢問:選擇密文CT,向C詢問在訪問策略下CT對應的明文M,C運行Decrypt算法恢復出明文M,并發(fā)送給A；

(3)挑戰(zhàn):C運行Encrypt(,M*,R,PK)算法生成消息M*在訪問策略下的密文CT*,并返回結果給A；

(4)階段2:如階段1 所示,A繼續(xù)執(zhí)行私鑰解析詢問與密文解析詢問；

(5)攻擊:游戲最后,A輸出消息M′,如果滿足以下條件,則A在游戲中獲勝.

i)M′=M*；

ii)A未對(,CT*,R)進行密文解析詢問.

3 細粒度屬性直接可撤銷的CP-ABE 加密方案

本文在Attrapadung 等人方案[10]的基礎上,提出一種屬性可直接撤銷的CP-ABE 方案,所提CP-ABE 方案支持加密方定制訪問樹結構.方案由初始化、密鑰生成、屬性撤銷、加密、重加密、解密這6 個階段組成.

3.1 初始化Setup(1λ)

系統(tǒng)中心SA(system authority)選擇一個雙線性映射e:G1×G1→G2,其中,G1,G2是兩個q階循環(huán)群.然后,選取生成元g,h,v∈G1,隨機數(shù)α,β∈Zq,并且計算Z=e(g,g)β,vβ.最后輸出系統(tǒng)公開參數(shù)PK=〈g,vβ,e,Z,q〉.對于系統(tǒng)中的每一名認證用戶IDi,SA 選取唯一的秘密參數(shù)λi∈Zq,通過安全信道發(fā)送λi,β至用戶,發(fā)送α,h至各個屬性授權機構AAk,其中,k∈{1,...,n}為各屬性屬權機構的編號,n為系統(tǒng)中屬性授權機構的數(shù)量.

定義屬性域U,U中的元素為屬性映射的整數(shù)(modq).對于任意屬性j∈U,若屬性授權機構AAk擁有其密鑰分發(fā)權限,即j∈AAk,則AAk選擇秘密隨機數(shù),計算.最后輸出屬性公鑰、屬性私鑰.

3.2 密鑰生成KeyGen(λi,ω,MK)

具有屬性集ω的用戶IDi向屬性授權機構AAk發(fā)送λi并申請對應私鑰,AAk針對任意屬性j∈ω∩AAk,計算:

用戶IDi收到Si,j,Wi后,計算.最終用戶IDi的私鑰為.

在此過程中,由于各屬性授權機構AAk無法得到秘密參數(shù)β,而系統(tǒng)中心SA 無法獲取屬性私鑰tj的信息,因此可以確保不可信的屬性授權機構和系統(tǒng)中心均無法解密用戶密文.

3.3 屬性撤銷Revocation(MK,IDk,λk,attr(j))

各屬性授權中心AAk公開維護一個用戶屬性撤銷列表Rk.

當用戶IDrev的屬性attr(j)被撤銷時,將λrev加入屬性attr(j)的撤銷列表Listattr(j)中并計算,最終將屬性attr(j)的相關撤銷信息加入Rk.

· 若用戶IDrev被撤銷,則計算該用戶所有屬性的Lattr(j),rev,并添加至Rk.

3.4 加密Encrypt(,M,R,PK)

獲取所有屬性授權機構AAk最新的屬性撤銷列表.加密方選擇隨機數(shù),計算C0=M·Zsr,C*=gsr.

· 根節(jié)點root:qroot(0)=s,其余nroot-1 個系數(shù)隨機選取；

· 內部節(jié)點x:qx(0)=qparent(index(x))；

· 對于任意屬性j∈ω*,Listj=?,計算；

· 對于任意屬性j∈ω*,Listj≠?,遍歷j的撤銷列表Listj,選擇|Listj|個隨機數(shù),滿足,計算；

3.5 重加密ReEncrypt(,M,R,PK)

· 若撤銷前,屬性j∈ω*,Listj=?,則選擇隨機數(shù),計算重加密密文:·,替換原有密文即可；

· 若撤銷前,屬性j∈ω*,Listj≠?,則選擇隨機數(shù),計算重加密密文,,替換原有密文即可.

3.6 解密Decrypt(,SKID,ω,CT,R)

· 若該屬性無相關撤銷信息,即j∈ω∩ω*,Listj=?,計算:

· 若該屬性具有撤銷信息,即j∈ω∩ω*,Listj≠?,計算:

當且僅當用戶ID所擁有的屬性集ω滿足,用戶才能遞歸計算出.

最后,通過如下計算恢復明文M:

4 方案分析

4.1 正確性分析

用戶能夠成功解密的條件是用戶的屬性集ω滿足訪問樹結構,且用戶用于解密的屬性不在撤銷名單中.利用拉格朗日插值定理,可以遞歸地恢復出s,進而解密出明文,具體推導過程如下:

4.2 安全性分析

定理1.在隨機預言機模型及q-BDHE 問題假設下,本文提出的基于屬性的加密方案在適應性選擇密文攻擊下是密文不可區(qū)分的.

證明:假設存在敵手A以不可忽略的優(yōu)勢ε攻破上述方案的密文不可區(qū)分性,則可以構造一個有效的算法C,以不可忽略的優(yōu)勢解決q-BDHE 問題.記攻擊者A訪問私鑰解析預言機、密文解析預言機的次數(shù)分別為qk,qD.

假定給算法C一個q-BDHE 問題的實例:給定與隨機數(shù)V∈RG2,C的目標是調用A為子程序,區(qū)分出隨機數(shù)V與.C仿真如下.

(1)初始化:挑戰(zhàn)者C隨機選擇元素s,a,計算.然后,挑戰(zhàn)者C運行Setup(1λ)算法,拋擲一枚公平的二元隨機硬幣μ∈{0,1}:若μ=0,令β=an+1,計算,其中,n表示屬性個數(shù)；否則,隨機選擇元素V∈G2.挑戰(zhàn)者將Y=(Y′,V)發(fā)送給A.令tj=aj,j∈[1,n),產生公鑰PK=〈g,vβ,e,Z,q,{Tj}j∈U〉與系統(tǒng)主密鑰MK,將公鑰發(fā)送給敵手A,敵手A輸出挑戰(zhàn)身份、挑戰(zhàn)訪問策略和屬性撤銷列表R；

(2)階段1:敵手A進行多項式界次數(shù)的預言機詢問.

a)私鑰解析詢問:C維護一個含有數(shù)組的列表keylist.當A選擇用戶IDi及其屬性集ωi,向C詢問對應用戶的私鑰時,C檢查列表keylist中是否有對應的詢問結果:如果有,則返回對應值；否則,C操作如下.

b)密文解析詢問:C維護一個含有數(shù)組的列表Declist.當A在訪問結構下發(fā)送一個挑戰(zhàn)用戶λi、一個屬性集合ωi與密文CTk給挑戰(zhàn)者C進行密文解析詢問時,C檢查列表Declist中是否有對應的詢問結果:如果有,則返回對應明文Mk；否則,C操作如下.

? 否則,C停止并輸出“FAILURE”(該事件用E2表示)；

(3)挑戰(zhàn):敵手A挑戰(zhàn)方案的不可區(qū)分性:A分別選擇兩條長度相等的明文M0,M1.挑戰(zhàn)者C隨機選取b∈{0,1},運行Encrypt(,Mb,R,PK)算法,生成消息Mb在訪問策略下的密文CT*,并返回結果給A；若μ=0,則令r=1,,C*=gsr=gs；若μ=1,則令C0=Vsr,C*=gsr；

(4)階段2:如階段1 所示,A繼續(xù)執(zhí)行多項式界次數(shù)的私鑰解析和密文解析詢問；

(5)猜測:敵手A輸出對b的猜測b′.

若b=b′,C輸出對μ的猜測μ′=0；否則,輸出對μ的猜測μ′=1.所以,C成功輸出作為對q-BDHE 問題的一個實例的解答.

分析C在這個游戲中的優(yōu)勢:

i)預言機的回答是有效的,除非事件E1,E2發(fā)生；

ii)如果A能夠區(qū)分密文與密文間的不同,則C能解決q-BDHE 問題的一個實例.

總而言之,如果事件E1,E2都沒有發(fā)生,則A能攻破所提方案的不可區(qū)分性.現(xiàn)在計算C能解決q-BDHE 問題的優(yōu)勢:當μ=0 時,是一條合法密文,攻擊者可以發(fā)揮全部攻擊優(yōu)勢ε=Pr[b=b′]-

1/2,則μ=0 時,C獲勝的概率為Pr[b=b′|μ=0]=Pr[b=b′]=ε+1/2；當μ=1 時,C0=MbVsr相當于G2上隨機選取的元素,不包含明文Mb的任何信息,因此攻擊者失去攻擊優(yōu)勢,則μ=1 時,C獲勝的概率為Pr[b=b′|μ=1]=Pr[b≠b′]=1/2.綜上所述,C能解決q-BDHE 問題的優(yōu)勢為

定理2.在隨機預言機模型及DDH 問題假設下,本文提出的基于屬性的加密方案能夠抵抗不可信授權中心的破譯攻擊.

證明:假設存在敵手A以不可忽略的優(yōu)勢ε攻破上述方案,則可以構造一個有效的算法C,以ε′≈ε/2 的優(yōu)勢解決DDH 問題.記攻擊者A訪問私鑰解析預言機、密文解析預言機的次數(shù)分別為qk,qD.

假定給算法C一個DDH 問題的實例:輸入gx,gy,gz∈G1,挑戰(zhàn)者C的目標是以A作為子程序,判斷z=xymodq是否成立.C仿真過程如下所示.

(1)初始化:挑戰(zhàn)者C運行Setup(1λ)算法,產生公鑰PK=〈g,vβ,e,Z,q,{Tj}j∈U〉與系統(tǒng)主密鑰MK.C拋擲一枚公平的二元隨機硬幣μ∈{0,1}:若μ=0,令z=β,計算Z=e(g,g)z；否則,隨機選擇x,y∈Zq,計算Z=e(g,g)xy.若敵手A為惡意系統(tǒng)中心SA,C將PK和秘密參數(shù)〈α,β,λi〉發(fā)送給A,MK保密；若敵手A為惡意屬性授權機構AAk,C將PK,MK和秘密參數(shù)α發(fā)送給A,秘密參數(shù)〈β,λi〉保密.敵手A輸出挑戰(zhàn)訪問策略和屬性撤銷列表R；

(2)階段1:敵手A進行多項式界次數(shù)的預言機詢問.

b)密文解析詢問:C維護一個含有數(shù)組的列表Declist.當A在訪問結構下發(fā)送一個挑戰(zhàn)用戶λi、一個屬性集合ωi與密文CTk給挑戰(zhàn)者C進行密文解析詢問時,C檢查列表Declist中是否有對應的詢問結果:如果有,則返回對應明文Mk；否則,C操作如下.

? 否則,C停止并輸出“FAILURE”(該事件用E2表示)；

(3)挑戰(zhàn):A分別選擇兩條長度相等的明文M0,M1.挑戰(zhàn)者C隨機選取b∈{0,1},運行Encrypt(,Mb,R,PK)算法,生成消息Mb在訪問策略下的密文CT*,將CT*發(fā)送給A；

(4)階段2:如階段1,攻擊者進行多項式次預言機詢問；

(5)猜測:攻擊者A輸出對b的猜測b′,若b=b′則A贏得游戲,則C成功輸出μ=μ′作為對DDH 問題的一個實例的解答,即該方案無法抵抗不可信授權中心的破譯攻擊.

分析C 在這個游戲中的優(yōu)勢.

i)只要事件E1,E2不發(fā)生,則預言機返回的的結果是正確的；

ii)若A贏得游戲,則C能夠解決給定DDH 問題的實例.

總而言之,如果事件E1,E2都沒有發(fā)生,則A能攻破所提方案的不可區(qū)分性.現(xiàn)在計算C能解決DDH 問題的優(yōu)勢:當μ=0 時,C0=Mb·Zsr=Mb·e(g,g)zsr是一條合法密文,攻擊者可以發(fā)揮全部攻擊優(yōu)勢ε=Pr[b=b′]-1/2,則μ=0 時,C獲勝的概率為Pr[b=b′|μ=0]=Pr[b=b′]=ε+1/2；當μ=1 時,C0=Mb·e(g,g)xysr相當于G2上隨機選取的元素,因此攻擊者失去攻擊優(yōu)勢,則μ=1 時,C獲勝的概率為Pr[b=b′|μ=1]=Pr[b≠b′]=1/2.綜上所述,C能解決DDH 問題的優(yōu)勢為

若所提方案無法抵抗不可信授權中心的破譯攻擊,則該方案是適應性選擇密文攻擊下的不可展性不安全的.因為若敵手以一種可控的方式,通過修改密文來修改相應的明文,則它可以對挑戰(zhàn)密文進行修改,然后通過預言機的幫助獲取修改后密文對應的明文,最后,利用明文間的相互關系輸出挑戰(zhàn)密文對應的明文.由于公鑰密碼體制適應性選擇密文攻擊下的不可區(qū)分性等價于適應性選擇密文攻擊下的不可展性,因此敵手無法在多項式時間內解密挑戰(zhàn)密文,所以本文所提的基于屬性的加密方案能夠抵抗不可信授權中心的破譯攻擊.

4.3 性能分析

本節(jié)就密鑰長度、密文長度、加密階段和解密階段的計算代價、撤銷機制、訪問策略、重加密功能、能否解決授權中心不可信問題等方面與文獻[10,13,16-18,21-24]中的方案進行對比,以評估本方案的性能.比較結果見表1.

Table 1 Performance comparison of the proposal against other schemes表1 本方案與其他方案性能比較

表1 中,Tbp表示一次雙線性對運算所需的時間復雜度,Texp表示一次G1群上的模冪運算所需的時間復雜度,|A|表示所有屬性的數(shù)量,|B|表示訪問策略中聲明的屬性的數(shù)量,|C|表示用戶擁有屬性的數(shù)量,|D|表示用戶解密使用的屬性的數(shù)量,r表示撤銷事件的數(shù)量.

從表1 可以看出:在已有的結果中,本方案的密鑰長度僅次于文獻[24]中的方案.文獻[13,23]需要給每個用戶頒發(fā)所有屬性相應的密鑰,因此密鑰長度較長；而文獻[10,16-18,21,22]中的方案與本方案類似,只需要給每個用戶頒發(fā)自身屬性相應的密鑰,減少了密鑰長度.同時,為了確保能夠抵抗合謀攻擊,本方案引進了一個私有變量,因此比文獻[24]中的方案增加了1|G1|bit.

為了實現(xiàn)對用戶屬性的細粒度撤銷,本方案采用在密文中直接嵌入撤銷信息的方法,需要產生與屬性撤銷名單一一對應的密文,因此在密文長度上本方案并不具備優(yōu)勢,為(2|B|+2)|G1|bit.雖然文獻[23,24]中的方案的密文長度較小且具有恒定大小,為5|G1|,但這兩個方案只支持AND 結構的訪問策略,不夠靈活,并且大部分計算任務需要由屬性授權中心執(zhí)行,在用戶與屬性數(shù)目較大時,易造成性能瓶頸.文獻[13,21]中的方案的密文長度比本文方案略短,但文獻[13]中的方案采用了間接撤銷模式,而文獻[21]中的方案則通過與半可信第三方的交互來實現(xiàn)屬性的直接撤銷,通信代價較大.文獻[10,16,18]中的方案的密文長度與本方案相近,但這3 個方案只支持用戶撤銷,不支持屬性撤銷,撤銷粒度粗.文獻[17,22]中的方案為了抵抗合謀攻擊,需要對密文進行隨機化處理,因此這兩個方案密文長度較大,分別為(4|B|+1)|G1|bit 和(3|B|+2r+2)|G1|bit.總體而言,在保證良好的系統(tǒng)安全性、靈活性以及更細的屬性撤銷粒度前提下,本文方案具有較短的密文長度.

綜合加密與解密的計算量,文獻[24]中的方案的計算代價最少,為5Texp+(5+r)Tbp,但該方案將大量的計算任務交由屬性授權中心執(zhí)行,其安全性高度依賴于屬性授權中心的可靠性,且該方案的解密計算量與屬性撤銷頻率呈線性關系,不適用于屬性變化頻繁的云計算環(huán)境中.相比于其他方案,本方案在計算代價上具有較大優(yōu)勢,僅比文獻[21]中的方案增加了(|B|+1)Texp.而文獻[21]中的方案使用了兩部分密鑰,且解密時需要跟屬性授權中心進行認證,增加了通信代價.方案[13]采用屬性的間接撤銷,需要在屬性變化時頒發(fā)新的密鑰,并且計算代價與所有屬性的集合大小相關,當屬性集合過大時,解密方可能無法負荷相應的計算量.而文獻[10,16-18,22,23]中的方案都存在計算代價大且與屬性撤銷頻率呈線性關系的問題.本文方案不僅實現(xiàn)了細粒度屬性的直接撤銷,并且采用了訪問樹結構,能夠保證密文的靈活使用,在計算效率上也進行了優(yōu)化,更加實用.

從功能性進行分析,主要集中于細粒度屬性直接撤銷,而重加密是實現(xiàn)上述功能的重要方法,即:當用戶屬性撤銷事件發(fā)生時,對已經生成并發(fā)布的密文重新進行加密,以避免屬性被撤銷用戶解密該密文.文獻[10,17,21,22]并不支持重加密,文獻[13,16,18,23,24]中的方案雖然具備重加密功能,但是存在撤銷粒度粗(如文獻[16,18]中的方案),或訪問策略表達能力弱(如文獻[13,23,24]中的方案)的缺點.本文方案在樹狀訪問結構基礎上,通過引入屬性撤銷列表,給出了高效的重加密算法,從而實現(xiàn)了細粒度的屬性直接撤銷功能.在安全性方面,本文方案能夠防止不可信授權中心的侵權行為,而絕大多數(shù)方案都不具備該特性,因此,本文方案在安全性上得以加強.

綜上所述,本文方案采用樹狀訪問結構實現(xiàn)了用戶屬性的細粒度直接撤銷,在保證安全性的前提下,具有更高的撤銷效率；同時,所提方案能夠抵抗不可信授權中心的破譯攻擊,更加適用于用戶屬性變化頻繁的云計算環(huán)境中.

5 結 論

本文提出一種支持細粒度屬性直接撤銷的CP-ABE 方案,該方案采用樹結構的訪問策略,有效解決了現(xiàn)有方案撤銷代價與安全性難以兼顧的問題.性能分析表明,新方案在密鑰長度與計算量上具有一定優(yōu)勢,并且能夠防止不可信授權中心解密用戶隱私數(shù)據(jù)的行為,可以有效避免云計算環(huán)境中因數(shù)據(jù)共享帶來的安全隱患.