朱國(guó)斌，謝 鑫，張 星，趙 洋，熊 虎

(1. 電子科技大學(xué)信息與軟件工程學(xué)院 成都 610054；2. 網(wǎng)絡(luò)與數(shù)據(jù)安全四川省重點(diǎn)實(shí)驗(yàn)室 成都 610054)

隨著以云存儲(chǔ)為代表的大規(guī)模分布式存儲(chǔ)技術(shù)的成熟與推廣，具有隱私保護(hù)與訪問(wèn)控制功能的密碼機(jī)制有了重要的應(yīng)用價(jià)值[1-2]。在基于身份加密算法的基礎(chǔ)上，文獻(xiàn)[3]提出了屬性基加密(attributebased encryption, ABE)方案。通過(guò)引入屬性的概念，采用屬性集替代用戶(hù)身份，以實(shí)現(xiàn)對(duì)數(shù)據(jù)的細(xì)粒度訪問(wèn)。在屬性基加密中，用戶(hù)擁有的屬性與加解密過(guò)程關(guān)聯(lián)，只有當(dāng)用戶(hù)屬性滿(mǎn)足預(yù)定的訪問(wèn)結(jié)構(gòu)時(shí)，用戶(hù)才能夠正確執(zhí)行解密過(guò)程。屬性基加密采用一對(duì)多的模式，將訪問(wèn)控制與數(shù)據(jù)加密相結(jié)合，通過(guò)用戶(hù)屬性的與、或、非和門(mén)限操作的組合，可以實(shí)現(xiàn)靈活的細(xì)粒度訪問(wèn)控制策略管理[4-5]。依據(jù)訪問(wèn)控制策略實(shí)現(xiàn)的方式，屬性基加密算法可以被分為為兩種類(lèi)型：密文策略屬性基加密(ciphertextpolicy ABE, CP-ABE)[6]和密鑰策略屬性基加密(keypolicy ABE, KP-ABE)[7]。KP-ABE 將密文與解密策略關(guān)聯(lián)，CP-ABE 則將用戶(hù)私鑰與解密策略關(guān)聯(lián)。

早期的研究工作中，多數(shù)ABE 方案主要關(guān)注對(duì)訪問(wèn)策略的表達(dá)與實(shí)現(xiàn)能力，未對(duì)用戶(hù)屬性撤銷(xiāo)問(wèn)題進(jìn)行關(guān)注[8-11]。在實(shí)際應(yīng)用中，不同用戶(hù)通常擁有部分相同的屬性，屬性到期、屬性變更、密鑰泄露、用戶(hù)動(dòng)態(tài)加入與退出等情況往往會(huì)引發(fā)屬性撤銷(xiāo)的問(wèn)題。具體地，實(shí)用的屬性基加密應(yīng)該在用戶(hù)訪問(wèn)權(quán)限出現(xiàn)變化時(shí)，能夠通過(guò)權(quán)限更新使得用戶(hù)屬性變化后不滿(mǎn)足訪問(wèn)結(jié)構(gòu)的用戶(hù)無(wú)法使用舊密鑰解密密文，同時(shí)不影響其他訪問(wèn)權(quán)限未發(fā)生變化的用戶(hù)。因此，構(gòu)建支持高效屬性撤銷(xiāo)的ABE 方案成為亟需解決的關(guān)鍵問(wèn)題[12]。

1 相關(guān)工作

文獻(xiàn)[13]首次提出用戶(hù)屬性撤銷(xiāo)的概念。文獻(xiàn)[14]采用基于身份的組播加密技術(shù)和線性秘密共享技術(shù)，提出了屬性撤銷(xiāo)的兩種實(shí)現(xiàn)方式：間接撤銷(xiāo)與直接撤銷(xiāo)。間接撤銷(xiāo)是指由可信的授權(quán)機(jī)構(gòu)定期更新未撤銷(xiāo)用戶(hù)的密鑰，被撤銷(xiāo)的用戶(hù)因不會(huì)收到更新而使得密鑰失效。間接撤銷(xiāo)的優(yōu)勢(shì)在于不需要維護(hù)撤銷(xiāo)列表，其缺點(diǎn)是需要授權(quán)中心進(jìn)行在線密鑰更新，密鑰更新的開(kāi)銷(xiāo)與用戶(hù)數(shù)量線性相關(guān)，因此容易形成系統(tǒng)瓶頸。直接撤銷(xiāo)由發(fā)送方在信息加密階段將撤銷(xiāo)用戶(hù)的列表信息加入密文，從而實(shí)現(xiàn)對(duì)指定用戶(hù)的撤銷(xiāo)。直接撤銷(xiāo)方案[15-17]中大部分使用了廣播加密技術(shù)，開(kāi)銷(xiāo)較大。為減輕授權(quán)機(jī)構(gòu)的工作量，文獻(xiàn)[18]采用版本號(hào)標(biāo)記密鑰密文，同時(shí)引入代理服務(wù)器，將代理重加密技術(shù)與CP-ABE 相結(jié)合，降低了授權(quán)機(jī)構(gòu)的工作量，實(shí)現(xiàn)了較小開(kāi)銷(xiāo)的屬性撤銷(xiāo)。文獻(xiàn)[19]構(gòu)造了一個(gè)基于中國(guó)剩余定理的可撤銷(xiāo)CP-ABE 方案，在實(shí)現(xiàn)直接撤銷(xiāo)的同時(shí)可保持固定的密文和密鑰長(zhǎng)度。上述所有支持撤銷(xiāo)的屬性基加密方案仍然存在著屬性撤銷(xiāo)開(kāi)銷(xiāo)較大的問(wèn)題，具有進(jìn)一步優(yōu)化的空間。

本文結(jié)合中國(guó)剩余定理和多值通配與門(mén)訪問(wèn)策略，提出了一個(gè)支持直接撤銷(xiāo)功能的CP-ABE 方案，該方案同時(shí)還具有密文長(zhǎng)度和解密開(kāi)銷(xiāo)固定的特點(diǎn)。在給出形式化定義和安全模型后，采用雙線性映射給出了方案的具體構(gòu)造。形式化的安全證明和實(shí)驗(yàn)分析都表明本文方案是高效而安全的。

2 理論知識(shí)

2.1 中國(guó)剩余定理

以上方程組的解是唯一的：

2.2 多值通配與門(mén)

依據(jù)訪問(wèn)策略的不同，使用較多的是正負(fù)通配與門(mén)和多值通配與門(mén)，其中多值通配與門(mén)在相同訪問(wèn)策略下具有更好的靈活性，故本文選用了多值通配與門(mén)來(lái)表示訪問(wèn)控制結(jié)構(gòu)?，F(xiàn)假設(shè)有訪問(wèn)策略如表1 所示。

表1 訪問(wèn)策略示例

2.3 困難性問(wèn)題假設(shè)

3 基于直接撤銷(xiāo)的固長(zhǎng)密文CP-ABE方案

3.1 方案模型

本方案中共有5 個(gè)參與者：數(shù)據(jù)訪問(wèn)者、數(shù)據(jù)擁有者、數(shù)據(jù)存儲(chǔ)服務(wù)器、外包解密服務(wù)器、權(quán)威中心。具體說(shuō)明如下：

1) 權(quán)威中心(trusted center, TC)：一個(gè)可信的第三方，其可以初始化系統(tǒng)的主公鑰和主私鑰，為用戶(hù)生成和分發(fā)屬性私鑰。在用戶(hù)撤銷(xiāo)時(shí)，TC 執(zhí)行撤銷(xiāo)算法更新密文，使被撤銷(xiāo)用戶(hù)失去密文的解密權(quán)限。

2) 數(shù)據(jù)擁有者(data owner, DO)：將盲化處理后的明文發(fā)送給TC，并接收TC 加入撤銷(xiāo)參數(shù)的返回結(jié)果，然后使用TC 生成的公鑰對(duì)明文加密后發(fā)送給數(shù)據(jù)存儲(chǔ)服務(wù)器。

3) 數(shù)據(jù)訪問(wèn)者(data visitor, DV)：從TC 中獲取自身屬性集關(guān)聯(lián)的私鑰，在屬性集滿(mǎn)足解密所需的訪問(wèn)策略時(shí)，DV 能使用私鑰解密密文獲得正確的明文。

4) 數(shù)據(jù)存儲(chǔ)服務(wù)器(data storage server, DSS)：提供密文的存儲(chǔ)服務(wù)。

5) 外包解密服務(wù)器(outsourcing decryption server, ODS)：主要協(xié)助DV 完成解密工作。方案中假定ODS 是不可信的，其計(jì)算產(chǎn)生的結(jié)果為中間密文，DV 需在本地執(zhí)行少量計(jì)算獲得明文。

本方案的工作流程可描述為：1) TC 初始化系統(tǒng)，DO 從TC 處獲取公鑰，依據(jù)訪問(wèn)結(jié)構(gòu)和撤銷(xiāo)參數(shù)，對(duì)明文進(jìn)行加密處理，然后將密文發(fā)送給DSS 存儲(chǔ)；2) 在數(shù)據(jù)訪問(wèn)過(guò)程中，DV 首先從DSS 上下載密文，并將轉(zhuǎn)換密鑰和密文一起發(fā)送給ODS 進(jìn)行預(yù)解密操作，并接收從ODS 發(fā)回的預(yù)解密結(jié)果；3) DV 在預(yù)解密結(jié)果上執(zhí)行本地解密過(guò)程，最后獲取解密后的明文；4) 當(dāng)需要進(jìn)行用戶(hù)撤銷(xiāo)時(shí)，TC 執(zhí)行撤銷(xiāo)過(guò)程，對(duì)DSS 中涉及用戶(hù)撤銷(xiāo)的密文進(jìn)行更新，完成對(duì)用戶(hù)透明的撤銷(xiāo)過(guò)程。

3.2 算法定義

3.3 方案實(shí)現(xiàn)

4 方案分析

4.1 安全性分析

在屬性基加密方案的安全分析中，通常做法是將敵手對(duì)方案的攻擊歸約到具體困難問(wèn)題的求解，由于這些困難問(wèn)題利用現(xiàn)有知識(shí)無(wú)法在多項(xiàng)式時(shí)間內(nèi)找到其對(duì)應(yīng)的解，因此其對(duì)應(yīng)算法是安全的。

本節(jié)將證明方案在DBDH 假設(shè)下是選擇明文攻擊下的不可區(qū)分性(indistinguishability under chosenplaintext attack, IND-CPA)安全的，IND-CPA 游戲模式如圖1 所示。不可區(qū)分選擇明文安全模型中包含兩個(gè)參與方，分別是敵手和挑戰(zhàn)者。敵手通過(guò)對(duì)挑戰(zhàn)者發(fā)起詢(xún)問(wèn)，可以得到任意明文所對(duì)應(yīng)的密文信息。根據(jù)已知的明文與密文的對(duì)應(yīng)關(guān)系，敵手將嘗試對(duì)加密系統(tǒng)進(jìn)行破解。在之后的挑戰(zhàn)階段，敵手會(huì)向挑戰(zhàn)者發(fā)送兩條等長(zhǎng)的明文，挑戰(zhàn)者將隨機(jī)選擇一條明文進(jìn)行加密，并將加密后的密文發(fā)送給敵手，敵手根據(jù)該密文猜測(cè)其對(duì)應(yīng)明文，如果敵手能夠以不可忽略的優(yōu)勢(shì)猜出對(duì)應(yīng)明文，則稱(chēng)敵手在該過(guò)程中取得勝利。

圖1 IND-CPA 游戲

4.2 性能分析

本節(jié)對(duì)方案的性能進(jìn)行分析，如表2 所示。

表2 性能對(duì)比

本文的性能分析主要選取的指標(biāo)為：1)密文長(zhǎng)度，該指標(biāo)主要反映DSS 上存儲(chǔ)加密文件的開(kāi)銷(xiāo)；2)用戶(hù)私鑰的大小，該指標(biāo)主要反映DV 本地存儲(chǔ)密鑰的開(kāi)銷(xiāo)；3)解密開(kāi)銷(xiāo)：該指標(biāo)主要反映DV 解密密文的計(jì)算開(kāi)銷(xiāo)[26]。在考慮解密開(kāi)銷(xiāo)時(shí)，僅考慮DV 本地計(jì)算的開(kāi)銷(xiāo)，忽略方案中外包計(jì)算的開(kāi)銷(xiāo)。群G和Gt中單個(gè)成員的比特長(zhǎng)度用|G|和|Gt|表示，n為屬性域中的屬性個(gè)數(shù)。在解密開(kāi)銷(xiāo)中，主要考慮雙線性運(yùn)算和指數(shù)運(yùn)算這兩類(lèi)開(kāi)銷(xiāo)最大的計(jì)算次數(shù)。TGt為在群Gt上完成指數(shù)運(yùn)算的時(shí)間，Te為完成雙線性映射運(yùn)算的時(shí)間。

文獻(xiàn)[18]、[19]和[22]均實(shí)現(xiàn)了密文固長(zhǎng)。文獻(xiàn)[18]在實(shí)現(xiàn)了固長(zhǎng)密文和密鑰的同時(shí)降低了DSS 和DV 的存儲(chǔ)開(kāi)銷(xiāo)，但其解密開(kāi)銷(xiāo)為本方案的兩倍。本文方案的密文長(zhǎng)度比文獻(xiàn)[16]和文獻(xiàn)[19]小，但略大于文獻(xiàn)[22]。文獻(xiàn)[22]通過(guò)犧牲應(yīng)用的靈活性，對(duì)存儲(chǔ)開(kāi)銷(xiāo)和計(jì)算開(kāi)銷(xiāo)都進(jìn)行了優(yōu)化，但優(yōu)化導(dǎo)致該方案在應(yīng)用時(shí)要求所有滿(mǎn)足或不滿(mǎn)足訪問(wèn)結(jié)構(gòu)的屬性均對(duì)應(yīng)才能解密，因此降低了實(shí)用性。

由于本方案實(shí)現(xiàn)了密文固長(zhǎng)，且密文長(zhǎng)度只有2|G|+|Gt|，與實(shí)現(xiàn)了撤銷(xiāo)功能的文獻(xiàn)[18]、[19]、[25]和實(shí)現(xiàn)了外包功能的文獻(xiàn)[20]相比，本方案有更小的密文與密鑰存儲(chǔ)開(kāi)銷(xiāo)。

如表3 所示，除了文獻(xiàn)[20]和[22]以外，其他的文獻(xiàn)都實(shí)現(xiàn)了撤銷(xiāo)機(jī)制，而方案[18]實(shí)現(xiàn)了間接撤銷(xiāo)。除了文獻(xiàn)[18]和[22]，其他在適應(yīng)性安全模型下都是安全的。而本文所提方案是支持直接撤銷(xiāo)的CP-ABE，且方案安全性在適應(yīng)性安全模型中被規(guī)約到DBDH 假設(shè)上。

在解密開(kāi)銷(xiāo)方面，本方案實(shí)現(xiàn)了外包計(jì)算，將方案中復(fù)雜雙線性計(jì)算的部分交由外包服務(wù)器完成，DV 在本地只需進(jìn)行少量運(yùn)算，開(kāi)銷(xiāo)僅為2TGt，故DV 的運(yùn)算開(kāi)銷(xiāo)相比于文獻(xiàn)[18]、文獻(xiàn)[22]、文獻(xiàn)[24]、文獻(xiàn)[25]和解密復(fù)雜度與撤銷(xiāo)次數(shù)相關(guān)的文獻(xiàn)[21]更小。

表3 各文獻(xiàn)方案比較

此外，在具有Intel Core i5-8 400 CPU @ 2.8GHz和16 GB 內(nèi)存的Windows 10 PC 的實(shí)驗(yàn)環(huán)境下，使用JPBC 庫(kù)對(duì)性能分析中所涉及的方案通過(guò)實(shí)驗(yàn)?zāi)M進(jìn)一步進(jìn)行分析和比較[27]。實(shí)驗(yàn)主要模擬了各方案的解密過(guò)程。由圖2 所示，隨著屬性域中屬性個(gè)數(shù)的增加，文獻(xiàn)[18]、[21]、[22]、[24]以及 [25]的解密時(shí)間增加。本文所提方案、文獻(xiàn)[19]、[20]以及[22]所提方案的解密所需時(shí)間基本保持不變，而又在這幾個(gè)方案之中，本文所提出的方案具有最短的解密時(shí)間，因此具有較高的效率。

圖2 解密時(shí)間比較

5結(jié)束語(yǔ)

本文提出了一種高效直接撤銷(xiāo)且具有外包解密功能的屬性基加密方案。該方案以中國(guó)剩余定理為基礎(chǔ)實(shí)現(xiàn)了用戶(hù)撤銷(xiāo)功能，只需更新密文即可撤銷(xiāo)用戶(hù)權(quán)限，達(dá)到了可撤銷(xiāo)存儲(chǔ)的目的，確保了系統(tǒng)的前向安全性，不影響未撤銷(xiāo)用戶(hù)的私鑰，滿(mǎn)足高效、便捷的動(dòng)態(tài)權(quán)限變更需求。同時(shí)，方案采用了相對(duì)更加靈活的多值通配與門(mén)構(gòu)造基礎(chǔ)方案，降低了訪問(wèn)策略的構(gòu)造復(fù)雜度。本方案實(shí)現(xiàn)了密文固長(zhǎng)，顯著降低了存儲(chǔ)開(kāi)銷(xiāo)。此外，為減少用戶(hù)本地的解密開(kāi)銷(xiāo)，本方案將復(fù)雜運(yùn)算安全地外包至第三方服務(wù)器，進(jìn)一步降低了解密過(guò)程開(kāi)銷(xiāo)。在安全性上，本方案采用IND-CPA 安全模型，將安全性規(guī)約至DBDH 問(wèn)題，完成了安全性證明。與同類(lèi)方案的對(duì)比分析結(jié)果表明，本方案在靈活性和性能上有一定的優(yōu)勢(shì)，有良好的實(shí)用價(jià)值。