唐廣鎮(zhèn),陳 卓

(湖北工業(yè)大學(xué)計算機學(xué)院,湖北 武漢 430068)

1 引言

隨著云技術(shù)的迅猛發(fā)展，廣大企業(yè)和個人開始選擇云服務(wù)商的服務(wù)實現(xiàn)計算和存儲。但是，在將海量計算和存儲轉(zhuǎn)移到云端的同時，云服務(wù)商通常是不受信任的，因此有效解決云端數(shù)據(jù)安全問題成為云服務(wù)突破發(fā)展瓶頸的重要手段[1]。密文策略屬性加密CP-ABE(Ciphertext-Policy Attribute-Based Encryption)[2]的創(chuàng)造性提出為實現(xiàn)用戶的細(xì)粒度訪問和云端數(shù)據(jù)的保密提供了新的思路，眾多研究人員對CP-ABE方案的功能從不同方面進行了拓展。

在傳統(tǒng)的CP-ABE方案中，沒有對違規(guī)行為進行追責(zé)，用戶會為了利益違規(guī)地將私鑰共享給具有相同屬性集的多個用戶，因此追責(zé)泄露私鑰的違規(guī)用戶是提高CP-ABE方案安全性的一個重要步驟。另外，解密者接收到的密文包含訪問策略，加密者的信息通常嵌在顯性策略中，存在信息被違規(guī)用戶泄露的可能性，因此隱匿訪問策略也十分重要。

Waters等[3]首次用秘密同享方案表達訪問策略。Zhang等[4]在合數(shù)階群下提出了一種滿足廣域的半策略隱匿方案。許盛偉等[5]和閆璽璽等[6]都提出了多權(quán)威層次授權(quán)的方案，均可以隱匿策略。Wu等[7]提出了一種可追責(zé)的方案，能讓第三方追溯私鑰的來源。Yadav等[8]提出了一個具有高表達力的方案，能對濫用密鑰的用戶進行白箱追責(zé)，但計算開銷較大。Ning等[9]在合數(shù)階群下也提出了能進行白箱追責(zé)的方案，而且存儲開銷小。馬瀟瀟等[10]提出了滿足廣域的可追蹤方案。Khan等[11]在方案中運用隱匿向量加密技術(shù),實現(xiàn)了完全隱匿。但是以上方案中，文獻[4-6]方案不支持密鑰的追責(zé)，文獻[8-10]方案不支持訪問策略的隱匿。為此，王梅等[12]提出了一種支持密鑰追責(zé)和策略隱匿的方案，公鑰和主密鑰會略有增長。Li等[13]實現(xiàn)的隱匿策略方案能夠進行黑箱追責(zé)且采用多權(quán)威機構(gòu)授權(quán)。Changhee等[14]實現(xiàn)的隱匿策略方案能夠進行白箱追責(zé)。石宇清等[15]提出了一種支持白箱追責(zé)的廣域隱匿方案。文獻[13,14]方案的實現(xiàn)均基于素數(shù)階，提升了計算效率，但訪問結(jié)構(gòu)用多值與門表達，訪問策略的安全性和表達力稍弱。胡媛媛等[16]提出的隱匿訪問策略方案，融合了密文搜索和代理重加密技術(shù)，但不支持用戶追責(zé)。

針對密鑰泄露和訪問策略顯性暴露的問題，本文基于樹訪問結(jié)構(gòu)，在合數(shù)階雙線性群下提出了一種可隱匿策略且可追責(zé)私鑰的層次屬性加密方案THH-CP-ABE(Traceable Hierarchical Hidden Ciphertext-Policy Attribute-Based Encryption)，并證明了本文方案在完全安全模型下是選擇明文安全。本文方案的特點如下所示：

(1)策略隱匿。訪問策略中插入合數(shù)階子群中的隨機元素，以合數(shù)階子群的正交特性，隱匿訪問策略。

(2)可追責(zé)。將用戶標(biāo)識加入其私鑰運算中，可對違規(guī)用戶追責(zé)。

(3)層次授權(quán)。使用層次授權(quán)體系，避免根權(quán)威的負(fù)荷過重和風(fēng)險過高，提高了安全性和效率。

(4)高表達力。用樹訪問結(jié)構(gòu)表達訪問結(jié)構(gòu)，提高了表達的靈活性。

2 背景知識

2.1 合數(shù)階雙線性群

設(shè)G和GT是階數(shù)為N的乘法循環(huán)群，其中，N=p*r，階N為2個不同素數(shù)p和r的乘積,g為G的生成元，映射e:G×G→GT滿足下列性質(zhì)：

(2)非退化性：e(g,g)≠1。

(3)正交性：假設(shè)存在2個不同子群G1和G2的2個元素g1和g2，即g1∈G1，g2∈G2，則有e(g1,g2)=1，子群元素彼此正交。

2.2 安全模型

THH-CP-ABE方案的安全性證明是通過敵手A*同挑戰(zhàn)者C*之間的互動游戲模型給出的，詳細(xì)描述如下：

(1)初始化建立階段：敵手A*挑選并發(fā)送給挑戰(zhàn)者C*一個挑戰(zhàn)訪問結(jié)構(gòu)。C*運行參數(shù)初始化算法，得到主密鑰MK和公鑰PK。C*保留主密鑰MK并將PK發(fā)送給A*。

(2)第1階段：敵手A*向挑戰(zhàn)者C*發(fā)出屬性集L={v1,v2,…,vn}的私鑰輸出問詢。C*通過運行私鑰生成算法生成私鑰SK并發(fā)送給A*。

(3)挑戰(zhàn)階段：敵手A*遞交長度一致的2個明文M1和M2給挑戰(zhàn)者C*。C*隨機選擇Mγ，γ∈{1,2}，運行明文加密算法，得到密文Cγ，并發(fā)送給A*。

(4)第2階段：敵手A*多次進行第1階段的操作，繼續(xù)私鑰輸出問詢。

(5)猜測階段：敵手A*猜測并給出γ′∈{1,2}。

如若在任意多項式時間內(nèi)，敵手A*沒有以不可忽視的攻擊優(yōu)勢將選擇明文攻擊不可區(qū)分性IND-CPA(INDistinguishability under Chosen-Plaintext Attack)游戲贏下，則該方案被認(rèn)為是選擇明文(CPA)安全的。其中，攻擊成功的優(yōu)勢為Adv=|Pr[γ′=γ]-1/2|。

3 本文方案

3.1 方案描述

本文提出的基于樹訪問結(jié)構(gòu)的可隱藏策略且可追責(zé)私鑰的層次屬性加密方案(THH-CP-ABE)包括如下6個算法：

(1)Setup(1k)→(PK,MK)：輸入方案安全參數(shù)k，進行初始化運算，輸出公鑰PK和主密鑰MK。

(2)KeyGen(MK,L)→(SKTA)：輸入主密鑰MK、頂級權(quán)威的屬性集L，輸出頂級屬性權(quán)威的私鑰SKTA。

(3)Delegate(SKTA,L′,PK,MK,ID)→(SKU,Τ)：輸入頂級屬性權(quán)威的私鑰SKTA、公鑰PK、主密鑰MK及次級新成員的屬性集L′∈L，輸出新成員的私鑰SKU和查詢表T。

(4)Encrypt(m,Λ,PK)→(CT)：輸入需要加密的明文m、訪問結(jié)構(gòu)Λ及公鑰PK，將訪問結(jié)構(gòu)Λ按轉(zhuǎn)換規(guī)則轉(zhuǎn)換為訪問樹分派秘密s，輸出m的密文CT。

(5)Decrypt(CT,SKU,PK)→(mor ⊥)：輸入公鑰PK、包含用戶屬性集L′的用戶私鑰SKU和在訪問結(jié)構(gòu)Λ下加密生成的密文CT，屬性集L′只有滿足訪問結(jié)構(gòu)Λ要求時，方能計算并輸出明文m，否則輸出中止符號⊥，表示解密失敗。

(6)Trace(PK,T,SKU)→(IDor ⊥*)：輸入公鑰PK、查詢表T和私鑰SKU。若SKU檢驗通過，輸出用戶ID；否則輸出中止符號⊥*，表示不用追蹤。

3.2 方案模型

圖1為具有2級授權(quán)THH-CP-ABE方案的模型，由5個實體組成: 根權(quán)威、屬性權(quán)威、數(shù)據(jù)擁有者、云服務(wù)提供商和用戶(數(shù)據(jù)使用者)。根權(quán)威生成主密鑰和公鑰，為屬性權(quán)威頒發(fā)私鑰，擁有最高的權(quán)限，可以認(rèn)為是完全信任的；各級屬性權(quán)威為新加入的次級屬性權(quán)威、數(shù)據(jù)使用者或者數(shù)據(jù)擁有者頒發(fā)私鑰；數(shù)據(jù)擁有者依照選取的訪問結(jié)構(gòu)，將隱私文件加密成密文，并上傳到云端。用戶若想訪問此文件，當(dāng)且僅當(dāng)其屬性集滿足訪問結(jié)構(gòu)要求，才能從云端下載文件后用解密算法對密文進行解密，從而實現(xiàn)隱匿策略的屬性加密細(xì)粒度訪問控制。云服務(wù)商提供密文上傳、存儲和下載的服務(wù)，同時可以追責(zé)泄露私鑰的違規(guī)用戶。方案采用層次授權(quán)體系，有效分散授權(quán)私鑰的計算量，避免根權(quán)威的負(fù)擔(dān)過重和風(fēng)險過高，提升了安全性和效率。

THH-CP-ABE方案進行如下安全性假設(shè)：(1)假設(shè)云服務(wù)提供商會切實有效地履行用戶的上傳或下載請求，但同時存在好奇心，串通惡意用戶對隱私文件進行窺視或竊取，是半可信的；(2)假設(shè)數(shù)據(jù)使用者只能用只讀方式訪問隱私文件；(3)假設(shè)每個實體之間所有通信信道風(fēng)險極低，都是安全可靠的。

3.3 方案構(gòu)造

(1)Setup(1k)。

(2)KeyGen(MK,L)。

(3)Delegate(SKTA,L′,PK,MK,ID)。

(4)Encrypt(m,Λ,PK)。

①若節(jié)點標(biāo)識符是∧(與操作)，使用(t,n)Shamir秘密共享方案來共享秘密s，n是孩子節(jié)點的個數(shù)，門限值t=n。向所有孩子節(jié)點依次分派si=f(i)并標(biāo)注為已分派。

②若節(jié)點標(biāo)識符是∨(或操作)，t=0，向所有孩子節(jié)點依次分派s并標(biāo)注為已分派。

③若節(jié)點標(biāo)識符是of(門限操作)，且使用(t,n)Shamir秘密共享方案來共享秘密s，t是用來重構(gòu)秘密s的孩子節(jié)點數(shù)。向所有孩子節(jié)點依次分派si=f(i)并標(biāo)注為已分派。

密文由樹中葉子節(jié)點的值組成，i表示葉子節(jié)點的位置索引，t表示孩子節(jié)點個數(shù)，aj表示從U中隨機取出的屬性。

(5)Decrypt(CT,SKU,PK)。

計算檢驗函數(shù)的值F，若F=(L′?Λ)=0，返回⊥。若F=(L′?Λ)=1，計算明文m′：

其中，li(0)是樹索引i計算出來的拉格朗日系數(shù)。輸出明文m′。

(6)Trace(PK,T,SKU)。

4 方案分析

4.1 正確性證明

執(zhí)行解密算法Decrypt()階段，數(shù)據(jù)使用者獲得密文CT后，唯有數(shù)據(jù)使用者自身的屬性集L′滿足了訪問結(jié)構(gòu)Λ的要求，才能用解密算法對密文進行解密，本文方案的正確性證明如下所示：

由于合數(shù)階雙線性群的正交性原理，THH-CP-ABE方案在加密算法中引入合數(shù)階子群中的隨機元素R′0和R′j，將訪問結(jié)構(gòu)隱形嵌入在密文中實現(xiàn)策略隱匿。從上述的正確性證明中可以看出，解密結(jié)果的正確性不受隨機元素影響，能有效地防止敵手通過訪問結(jié)構(gòu)中的信息推斷出用戶隱私。

4.2 安全性證明

假設(shè)敵手A*能用不可忽視的優(yōu)勢ε/2勝得IND-CPA游戲打破本文方案，則存在挑戰(zhàn)者C*可用優(yōu)勢ε/2解決DBDH假設(shè)。具體證明過程如下：

①若節(jié)點標(biāo)識符是∧，f(i)的階數(shù)設(shè)為n-1，n是葉子節(jié)點的總數(shù)。

②若節(jié)點標(biāo)識符是∨，f(i)的階數(shù)設(shè)為0，f(0)=c。

③若節(jié)點標(biāo)識符是of，f(i)的階數(shù)設(shè)為t-1，t是可恢復(fù)秘密的葉子節(jié)點的總數(shù)。

(5)第2階段：多次進行第1階段私鑰輸出問詢。

(6)猜測階段：敵手A*對γ′進行猜測,γ′∈{1,2}，有以下2種情況：

①若γ′=γ，說明敵手A*能猜想Z=e(g1,g1)abc，挑戰(zhàn)者C*能獲得有效密文，其優(yōu)勢為Pr[γ′=γ|Z=e(g1,g1)abc]=1/2+ε。

②若γ′≠γ，說明敵手A*能猜想Z=e(g1,g1)θ，只能獲得隨機密文，無法獲得有效密文，挑戰(zhàn)者C*的優(yōu)勢為Pr[γ′≠γ|Z=e(g1,g1)θ]=1/2。

因此，挑戰(zhàn)者C*可以解決DBDH假設(shè)，其解決優(yōu)勢為ε/2。THH-CP-ABE方案在此安全模型中是安全的。

4.3 效率分析

本節(jié)將比對THH-CP-ABE方案與其他屬性加密方案，以說明THH-CP-ABE方案的優(yōu)勢。

從表1中可以看出，本文方案與文獻[6,12]方案相比較，主密鑰和密文長度會更短，本文方案與文獻[6]方案的公鑰長度一樣長，但比文獻[12]方案的公鑰長度稍短。本文方案的構(gòu)造是基于合數(shù)階群，私鑰長度會稍長，但提高了安全性，同時引入層次化授權(quán)結(jié)構(gòu)，提高了分發(fā)私鑰的授權(quán)中心的效率。一般情況下，|u|和|E|小于n，且在復(fù)雜的方案中，下級用戶個數(shù)和訪問結(jié)構(gòu)中屬性數(shù)量越多，|u|、|E|和n的差會越大，因此本文方案的通信和存儲代價更小，更便于傳輸和私鑰保存。

從表2中可以看出，本文方案的加密和解密計算開銷都比文獻[6]方案的更優(yōu)，同時本文方案還支持密鑰追責(zé)。對比文獻[12]方案，參與加密屬性數(shù)量較少時，本文方案加密計算開銷略高，在屬性數(shù)量增多后，本文方案體現(xiàn)出加密優(yōu)勢，在解密開銷方面也小于文獻[12]方案的。文獻[16]方案同樣可以使訪問策略隱匿，但在解密中，比本文方案增加了|L|+1次雙線性對運算，加密中群G上的運算次數(shù)也有所增加。文獻[5]方案也是基于訪問樹提出的，與本文方案一樣，同樣支持策略隱匿和層次加密。在解密開銷方面，本文方案的雙線性對運算次數(shù)減少了|L|+1次，在加密開銷方面，本文方案則遠(yuǎn)遠(yuǎn)優(yōu)于文獻[5]方案。

Table 1 Keys and ciphertext length comparison of different schemes

Table 2 Characteristic and time cost comparison of different schemes

為了更精準(zhǔn)地評估本文方案的運行效率，通過實驗對本文方案和文獻[6,12]的方案進行計算開銷仿真測試比對。仿真測試的PC機配置3.30 GHz的Intel Core i5-4590 CPU與8 GB RAM，使用Java的JPBC密碼庫。圖2和圖3分別表示THH-CP-ABE方案與2種對比方案在不同數(shù)量屬性參與的加密和解密過程的時間消耗對比。

從圖2可以看出，隨著屬性數(shù)量的增加，文獻[6,12]方案的加密開銷隨之線性上升，本文方案在參與加密的屬性數(shù)量為5～20個時，加密開銷略高于對比方案，隨著屬性數(shù)量|E|增加，本文方案將具有明顯優(yōu)勢。

從圖3中能看出，本文方案和對比方案的解密計算開銷均隨參與解密的屬性數(shù)量的增加而線性變化，本文方案解密開銷略低于文獻[12]方案的解密開銷，明顯低于文獻[6]方案的解密開銷。

5 結(jié)束語

本文在合數(shù)階雙線性群下基于樹訪問結(jié)構(gòu)，提出了一種可隱匿策略且可追責(zé)私鑰的層次屬性加密方案THH-CP-ABE。THH-CP-ABE方案使用層次授權(quán)體系，減少了根權(quán)威的負(fù)荷和風(fēng)險；采用樹訪問結(jié)構(gòu)，使訪問策略具有高表達力和高拓展性；運用合數(shù)階群的正交性原理，將合數(shù)階子群的隨機元素加進密鑰生成算法中，實現(xiàn)了隱匿訪問策略；通過用戶標(biāo)識能夠及時有效地追責(zé)違規(guī)泄露私鑰的用戶。實驗結(jié)果和效率分析顯示，THH-CP-ABE方案在加解密效率上優(yōu)于對比方案，且在功能上更豐富。后續(xù)研究方向是在現(xiàn)有方案中加入在線離線加密和屬性撤銷支持，使方案能更高效、更安全地運用。