郭麗峰，楊曉麗

（山西大學 計算機與信息技術(shù)學院，山西 太原 030006）

0 引言

隨著大數(shù)據(jù)時代的到來以及云計算的普及，為了減少本地數(shù)據(jù)的存儲負擔，越來越多的用戶選擇將海量數(shù)據(jù)上傳至云平臺存儲。然而，由于云是一個半可信的權(quán)威機構(gòu)，云上存儲的數(shù)據(jù)容易受到威脅，存儲在云上的數(shù)據(jù)需要加密存儲才能保障云上數(shù)據(jù)的安全。為了實現(xiàn)云上隱私數(shù)據(jù)的保密和數(shù)據(jù)共享，通常使用公鑰加密實現(xiàn)數(shù)據(jù)的一對一共享，即數(shù)據(jù)終端用戶先將數(shù)據(jù)加密，然后將加密數(shù)據(jù)的訪問授權(quán)分發(fā)給指定用戶，實現(xiàn)一對一的數(shù)據(jù)共享。然而，在許多應用場景下，例如：公司部門以及其他組織機構(gòu)之間的文件共享，醫(yī)療機構(gòu)下病人信息的共享，都需要實現(xiàn)數(shù)據(jù)的一對多共享。2005年，Waters［1］首次提出了一種模糊的基于身份加密方案，該思想是屬性基加密方案（Attribute-based Encryption，ABE）的雛形，可以用來實現(xiàn)數(shù)據(jù)的細粒度共享，由于其廣泛的應用場景，ABE 逐漸成為非常熱門的研究內(nèi)容。 為了更加靈活的使用ABE，將ABE 分為基于密鑰策略的屬性基加密（KP-ABE）［2-4］和基于密文策略的屬性基加密（CPABE）［5-8］方案。然而，由于屬性基加密方案中用戶的密鑰僅與用戶的屬性集合相關(guān)，而與用戶特有身份無關(guān)，屬性集合相同的用戶則擁有相同的密鑰，用戶可以將自己的密鑰共享給他人而不擔心被追責。為了有效解決密鑰的濫用問題，一系列可追蹤的屬性基加密方案［9-12］相繼被提出，在屬性基加密方案中引入用戶特有身份ID，將用戶特有身份ID和密鑰進行綁定，一旦發(fā)現(xiàn)用戶泄露密鑰，可以對用戶進行追責，有效防止用戶密鑰的濫用問題。然而，在現(xiàn)有可追蹤屬性基加密方案中，用戶密鑰的生成完全依賴于權(quán)威機構(gòu)，由于權(quán)威機構(gòu)是半可信的，一旦權(quán)威機構(gòu)受利益所惑，權(quán)威機構(gòu)容易偽造生成用戶的合法密鑰，將其共享給其他非法用戶，然后誣陷密鑰是由合法用戶所泄露，使得合法用戶被冤枉。同時，由于現(xiàn)有的可追蹤屬性基加密方案在密文生成過程中，計算代價隨著訪問策略復雜度的增長而增長，導致屬性基加密方案的效率不高，這給數(shù)據(jù)用戶在線加密帶來了重大挑戰(zhàn)。

綜上所述，現(xiàn)有的可追蹤屬性基加密方案存在如下兩個問題：（1）方案的效率比較低，導致方案不適合于實際的應用；（2）存在密鑰托管問題，由于用戶的私鑰完全由權(quán)威機構(gòu)生成，權(quán)威機構(gòu)可以偽造密鑰，發(fā)生密鑰泄露時，用戶可能被權(quán)威機構(gòu)構(gòu)陷，無法對權(quán)威機構(gòu)進行追責。

針對現(xiàn)有可追蹤屬性基加密方案存在的問題，本文的主要貢獻如下：

（1）本文引入完全同態(tài)加密，通過權(quán)威機構(gòu)和云交互生成用戶密鑰，有效解決密鑰托管問題。同時，為了防止權(quán)威機構(gòu)和云合謀偽造用戶密鑰，本文在密鑰中嵌入數(shù)據(jù)用戶的簽名，可同時實現(xiàn)對用戶和半可信權(quán)威機構(gòu)的追責，有效防止密鑰的濫用，實現(xiàn)了隱私數(shù)據(jù)的保護。

（2）本文數(shù)據(jù)所有者在正式加密之前，預先對部分密文進行加密，有效提高了密文的生成效率，使方案更適用于實際應用。

1 基礎(chǔ)知識

1.1 訪問結(jié)構(gòu)

訪問結(jié)構(gòu)。{P1，P2，…，Pn}是n個屬性集合，集合A?2{P1，P2，P3，…，Pn}{Φ}，A是 集 合{P1，P2，…，Pn}上的一個單調(diào)的訪問控制結(jié)構(gòu)，如果B∈A且B?C，則C∈A。如果D∈A，則D為授權(quán)集合，否則D為非授權(quán)集合。

1.2 雙線性群

雙線性映射。G和GT是階為p的2 個素數(shù)階乘法循環(huán)群，雙線性映射e：G×G→GT，如果映射滿足如下3 個條件：

1）雙線性。對于任意u，v∈G，a，b∈Z*p，滿足e(ua，vb)=e(u，v)ab。

2）非退化性。存在g∈G，滿足e(g，g)≠1。

3）可計算性。對于任意的u，v∈G，存在算法可以計算出e(u，v)。

1.3 線性秘密共享方案LSSS

（LSSS線性密鑰共享）：一個參與者集合的秘密共享方案在Zp上是線性的，則滿足：

1）所有參與者的分享份額構(gòu)成Zp的一個向量。

2）存在一個l行n列的矩陣M，M為共享矩陣，對于i=1，2，3，…，l，函數(shù)ρ(i)映射為矩陣第i行對應的參與者，向量v=(s，r2，r3，…，rn)，其中s為要共享的秘密，r2，r3，…，rn∈Zp為隨機選取的數(shù)，則向量Mv表 示 對 秘 密s的n個 分 享 份 額，Mvi是 第i個 分 享份額，它屬于參與者ρ(i)。

3）LSSS具有線性重構(gòu)特性。s∈A是一個授權(quán)集合，I={i：ρ(i)∈S}i∈[l]，則可以在多項式時間內(nèi)找到一組常數(shù){wi}i∈[I]，如果λi是秘密s的有效分享份額，則通過等式=s可恢復出秘密值s。

1.4 l-SDH假設(shè)

G是 階 為p的 素 數(shù) 群，g為 群G的 生 成 元，在 群G下l-SDH 問題定義如下：給定l+1 個元組(g，gx，gx2，…，gxl) 作 為 輸 入，輸 出 一 個 元 組(c，g1/(c+x))∈Z*p×G。 如果滿足如下條件：

|Pr [A(g，gx，gx2，…，gxl)=(c，g1/(c+x))] |≥ε，則算法A 以ε的 優(yōu)勢解決l-SDH 問題。

1.5 全同態(tài)加密

全同態(tài)加密包括如下算法：

（1）密鑰生成：取安全參數(shù)k作為輸入，算法輸出公私鑰對(hpk，hsk)。

（2）加密算法：以消息m和公鑰hpk為輸入，加密算法輸出密文ct=HEnchpk(m)。

（3）解密算法：以密文和私鑰hsk為輸入，解密算法輸出消息m=HDechsk(ct)。

（4）同態(tài)加法：取兩個密文ct1=HEnchpk(m1)和ct2=HEnchpk(m2)為輸入，算法輸出一個密文ct=ct1⊕ct2，其中⊕為同態(tài)加法，那么HDechsk(ct)=m1+m2。

（5）同態(tài)乘法：取兩個密文ct1=HEnchpk(m1)和ct2=HEnchpk(m2)為輸入，算法輸出一個密文ct=ct1?ct2，其中?為同態(tài)乘法，那么HDechsk(ct)=m1·m2。

2 可追蹤的屬性基加密方案

2.1 系統(tǒng)模型

本文系統(tǒng)模型如圖1 所示：主要包括4 個實體：數(shù)據(jù)用戶(DU)、數(shù)據(jù)所有者(DO)、云服務器(CS)和權(quán)威機構(gòu)(KGC)。

圖1 系統(tǒng)模型圖Fig. 1 System model

1）數(shù)據(jù)所有者(DO)：數(shù)據(jù)所有者在確定要加密的消息之前，首先預先計算生成密文的一些中間運算，然后，在正式生成密文時可以快速生成密文。

2）數(shù)據(jù)用戶(DU)：數(shù)據(jù)用戶向權(quán)威機構(gòu)提交自己的身份ID 和屬性集合S，權(quán)威機構(gòu)和云服務器通過交互為用戶生成密鑰SKID，S，當且僅當數(shù)據(jù)用戶的屬性集合S滿足密文中的訪問策略，用戶可以成功解密。

3）云服務器(CS)：云上存儲數(shù)據(jù)所有者的加密后的密文，為合法用戶返回相應密文，當且僅當數(shù)據(jù)用戶的屬性集合滿足密文的訪問策略，數(shù)據(jù)用戶才可成功獲得密文。

4）權(quán)威機構(gòu)(KGC)：權(quán)威機構(gòu)KGC 初始化生成公鑰PK1和主私鑰MSK1，公鑰PK1對外公開，主私鑰MSK1由KGC 秘密保存。然后KGC 和CS 通過交互為合法用戶生成合法密鑰。

2.3 追蹤安全模型

本節(jié)中，通過描述敵手A 和挑戰(zhàn)者B 之間進行的游戲給出追蹤性的安全定義，游戲具體過程如下：

初始化階段：挑戰(zhàn)者B 首先運行系統(tǒng)初始化算法Setup(1λ)，然后將系統(tǒng)公鑰PK發(fā)送給敵手A。

密鑰詢問階段：敵手A 向挑戰(zhàn)者B 提交屬性和身 份(ID1，S1)，(ID2，S2)，(ID2，S2)，···，(IDq，Sq)請 求對應的解密密鑰。 挑戰(zhàn)者B 將生成的密鑰SKi發(fā)送給敵手A。

密鑰偽造：敵手A 輸出偽造的密鑰sk*。 如果sk*滿足如下兩個條件：

1）Trace(PK，MSK，INS(t－1，n)，sk*)≠⊥。

2）Trace(PK，MSK，INS(t－1，n)，sk*)?{ID1，ID2，…，IDq}。則敵手A 贏得該游戲。

3 系統(tǒng)方案

KGCSetup(λ)→(PK1，MSK1)：權(quán)威機構(gòu)KGC 以安全參數(shù)λ作為輸入，運行群生成算法，得到關(guān)于群的 元 組{p，G，GT，e}。定 義U為 屬 性 集 合，其 中U?ZP。 然 后 隨 機 選 取g，u，v，h，w∈G和a，α1∈Z*p，計 算X1=e(g，g)α1。除 此 之 外，KGC 選擇一個對稱加密算法Enck，其對稱密鑰為k，以及一個哈希函數(shù)f0：{0，1}*→Zp。權(quán)威機構(gòu)KGC 的公鑰PK1和系統(tǒng)主私鑰MSK1設(shè)置為：

PK1={g，u，v，h，w，ga，X1}，MSK1={a，α1，k}。

CSSetup→(PK2，MSK2)：云服務器以安全參數(shù)λ為輸入，隨機選擇α2∈Z*p，然后計算X2=e(g，g)α2。云服務器的公鑰PK2和主私鑰MSK2設(shè)置為：

PK2={X2}，MSK2={α2}。

KeyGen(MSK1，MSK2，ID，S)→SKID，S：數(shù) 據(jù)用 戶 將 身 份ID 和 屬 性 集 合S=｛attr1，attr2，attr3，...，attri｝提交給KGC 權(quán)威機構(gòu)，KGC 首先計算c=Enck(ID)，令L′=c，然后將L′發(fā)送給數(shù)據(jù)用戶。數(shù)據(jù)用戶隨機選擇xid∈Zp，計算yid=gxid，然后計算簽名σ=f0(L′，yid)xid，數(shù)據(jù)用戶將計算生成的簽名σ發(fā)送給KGC。KGC 和CS 開始交互生成用戶密鑰：

1）CS 首先選擇一個同態(tài)加密的公私鑰對(hpk，hsk)，其中公鑰hpk公開，私鑰hsk由CS 自己保存。然后，CS 計算Y1=HEnchpk(α2)，將Y1發(fā)送給權(quán)威機構(gòu)KGC。

Pre-encrypted(PK1，PK2)→(CT′)：數(shù) 據(jù) 所 有者確定要加密的消息之前，可提前離線計算一些中間密文。假設(shè)P為一個很大的數(shù)，數(shù)據(jù)所有者隨機選 取s∈Z*p，對 于 每 個i∈P，數(shù) 據(jù) 所 有 者 選 取xi，λ′i，ti∈Z*p，預加密過程如下。

數(shù)據(jù)用戶預加密獲得的密文CT′={s，C′，C0，C′0，{xi，ti，λ′i，C′i，1，C′i，2，C′i，3}i∈P}。

Encrypt(PK，m，(Ml×n，ρ)，CT′)→CT：加密算法以中間密文CT′和訪問策略(Ml×n，ρ)作為輸入，數(shù)據(jù)所有者選擇一組向量v={s，r2，r3，···，rn}，對于每個i∈[l]，計算λi=Miv。數(shù)據(jù)所有者通過中間密文CT′，計算密文CT：

數(shù)據(jù)用戶生成的密文

CT={(M，ρ)，C，C0，C′0，{Ci，1，Ci，2，Ci，3}i∈[l]}，然后將生成的密文CT 上傳到云上。

正確性驗證：

KeyCheck(MSK1，PK1，PK2，SKID，S)→1 or 0： 密鑰檢查算法以主私鑰MSK1、公鑰PK1、公鑰PK2和用戶秘密密鑰SKID，S為輸入，如果用戶密鑰SKID，S滿足下列情況：

（1）SKID，S的 形 式 為SKID，S={K，L，L′，L′′，{Ki，1，Ki，2}i∈S} 和K，L，L′′，{Ki，1，Ki，2}i∈S∈G，L′∈Zp；

（2）e(L，ga)=e(L′′，g)；

（3）e(K，gagL′)=e(g，g)α1e(g，g)α2e(w，LL′L′′)；則表明密鑰SKID，S通過密鑰檢查算法，算法輸出1，否則，算法輸出為0。

Trace(SKID，S)→ID or ⊥：如 果 密 鑰 檢 查 算 法KeyCheck 輸 出 為1，表 明 密 鑰SKID，S為 形 式 正 確 的密鑰，KGC 則提取ID=Deck(L′)，否則，追蹤算法輸出為⊥。

Aduit：如果追蹤到的用戶堅稱自己是無辜的，密鑰是被權(quán)威機構(gòu)KGC 和云服務器CS 共謀偽造的，不是自己的密鑰。第三方審計機構(gòu)要求用戶提交自己擁有的密鑰SK′ID，S={σ，K，L，L′，L′，{Ki，1，Ki，2}i∈S}，并 且滿足SK′ID，S≠SKID，S，然后驗證等式e(σ，g)=e(f0(L′，yid)，yid)是否成立。如果等式不成立，算法終止，表示該用戶為惡意用戶。否則，第三方審計機構(gòu)運行密鑰檢查算法KeyCheck，如果密鑰SK′ID，S通過密鑰檢查算法，表明追蹤到的用戶確實是無辜的，密鑰為權(quán)威機構(gòu)KGC 和CS 共謀偽造。

4 追蹤安全性證明

在這節(jié)中，我們基于l-SDH 假設(shè)給出可追蹤的安全性證明。

定理 如果l-SDH 假設(shè)成立，那么本文構(gòu)造的方案是完全可追蹤的。

證明 假設(shè)存在一個多項式敵手A，在經(jīng)過q(q＜l)次詢問過后，敵手以不可忽略的優(yōu)勢ε贏得追蹤游戲。假設(shè)l=q+1，那么我們可以構(gòu)造一個多項式算法B 以不可忽略的優(yōu)勢解決l-SDH 問題。給定B 關(guān)于l-SDH 問題假設(shè)如下：

G為 階 為p的 素 數(shù) 群，g為 群G的 生 成 元，雙 線性映射e：G×G→GT，a∈Z*p。 給B 一個l-SDH 假設(shè)的實例

B 隨 機 選 取α，θ∈Zp和u，h，v∈G，公 開 參 數(shù)pk=(GD，g，u，h，w=gθ，v，ga，e(g，g)α)，然 后B 將公開參數(shù)pk發(fā)送給A。

B 然后將密鑰

SKID，S={K，K′，L，L′，{Ki，1，Ki，2}i∈S}

發(fā)送給敵手A。

密鑰偽造階段：A 將偽造的密鑰SK 提交給B，定義εA為A 贏得游戲的事件。SK 滿足密鑰形式

SK={K，K′，L，L′，{Ki，1，Ki，2}i∈S}

和

K′?{c1，c2，…，cq}。

如果事件εA不發(fā)生，B 隨機選擇一個元組(cs，ws)∈Zp×G來 解 決l-SDH 問 題。如 果 事 件εA發(fā)生，B 用長除法將多項式寫為

因此，B 解決l-SDH 問題的概率為：

因此，B 以不可忽略的優(yōu)勢解決l-SDH 問題，這與l-SDH 假設(shè)是矛盾的，因此本文的方案證明是完全可追蹤的。

5 性能分析

5.1 理論分析

本文構(gòu)造的方案和文獻［9］、文獻［12］方案特征進行對比，比較結(jié)果如表1 所示。

5.2 實驗分析

本文的實驗基于64 位Windows 10 操作系統(tǒng)，處 理 器 為Core（TM）i7-7700 CPU＠3.60 GHz（3.60 GHz），內(nèi) 存 為8 GB，使 用JAVA 語言引入斯坦福大學的的JPBC 庫在Eclipse 平臺下實現(xiàn)。 本文設(shè)置屬性數(shù)量從10 到100 遞增，運行100 次后取平均時間作為實驗結(jié)果，分別與文獻［9］、［12］方案比較系統(tǒng)初始化代價、密鑰生成代價、密文生成代價、解密計算代價，實驗結(jié)果分別如圖2－5 所示。

圖2 系統(tǒng)初始化計算代價Fig. 2 Computational cost of system initialization

圖3 密鑰生成計算代價Fig. 3 Computational cost of key generation

圖4 密文生成計算代價Fig. 4 Computational cost of ciphertext generation

6 結(jié)論

本文構(gòu)造了一個基于云平臺下可追蹤的屬性基加密方案，該方案解決了密鑰托管問題，實現(xiàn)了同時追蹤惡意用戶和權(quán)威機構(gòu)，除此之外，該方案實現(xiàn)了密文的預計算，有效提高了密文的生成效率。然而，本文方案解密速度還有待提高，下一步，我們計劃構(gòu)造一個效率更高效的同時支持權(quán)威機構(gòu)和惡意用戶的可追蹤屬性基加密方案。

圖5 解密計算代價Fig. 5 Computational cost of decryption