抗連續(xù)輔助輸入泄漏的屬性基加密方案

馬海英　曾國蓀　包志華　陳建平　王金華　王占君

1(南通大學計算機科學與技術學院　江蘇南通　226019)2(同濟大學計算機科學與技術系　上?！?01804)3(南通大學電子信息學院　江蘇南通　226019)4　　　(南通大學理學院　江蘇南通　226019)

?

抗連續(xù)輔助輸入泄漏的屬性基加密方案

馬海英1曾國蓀2包志華3陳建平1王金華4王占君4

1(南通大學計算機科學與技術學院江蘇南通226019)2(同濟大學計算機科學與技術系上海201804)3(南通大學電子信息學院江蘇南通226019)4(南通大學理學院江蘇南通226019)

(m_hying@163.com)

針對屬性基加密(attribute-basedencryption,ABE)機制中邊信道攻擊下的密鑰泄漏問題，現(xiàn)有的解決方案僅允許密鑰的有界泄漏. 將連續(xù)輔助輸入泄漏模型和雙系統(tǒng)加密相結合，通過合理設計主密鑰和用戶私鑰的生成過程，提出了一種抗連續(xù)輔助輸入泄漏的ABE方案. 基于合數(shù)階群的子群判定假設和域GF(q)上Goldreich-Levin定理，在標準模型下，證明該方案在攻擊者獲知輔助輸入密鑰泄漏信息的情況下仍具有自適應安全性. 該方案實現(xiàn)了主密鑰和用戶私鑰的連續(xù)無界泄漏，在密鑰更新詢問時無需假定舊密鑰必須從內存中徹底清除，且具有較好的合成性質. 與相關的解決方案相比，該方案不僅具有最好的抗泄漏容忍性，而且具有較短的密鑰長度.

屬性基加密；連續(xù)輔助輸入泄漏；雙系統(tǒng)加密；Goldreich-Levin定理；可證明安全性

現(xiàn)代密碼學假定所有攻擊者均不能獲知保密密鑰的任何信息，但在實際應用中，攻擊者可以通過邊信道攻擊[1-3]，利用密碼算法運行時的物理特征信息(例如時間、能耗、音頻等)和內存泄漏[4]，獲知關于密鑰和系統(tǒng)內部秘密狀態(tài)的部分信息.針對邊信道攻擊下的密鑰泄漏問題，抗泄漏密碼機制[5-11]在允許攻擊者獲知密鑰和系統(tǒng)保密狀態(tài)泄漏信息的前提下，仍然能夠保障密碼系統(tǒng)的安全性.為了模擬密鑰泄漏的程度，該機制定義了作用在密鑰和系統(tǒng)內部秘密狀態(tài)上的可計算泄漏函數(shù)，并將該泄漏函數(shù)的輸出結果作為密鑰泄漏信息，顯然，必要的限制是泄漏函數(shù)不能完全暴露密鑰.2010年，Dodis等人[7]提出了抗泄漏密碼機制中的一個重要公開難題“允許密鑰的連續(xù)(和整體無界)泄漏，且不限制密鑰泄漏的類型”.

近年來，學者們提出了許多抗密鑰泄漏模型[6-11]，逐步減少對泄漏函數(shù)的限制.2009年Akavia等人[6]在密碼學理論會議(theoryofcryptographyconference,TCC)上首先提出了相對泄漏模型，要求泄漏函數(shù)輸出信息的總長度不能超過預定上界值，該上界值必須小于密鑰長度.2010年，Alwen等人[8]提出了有界檢索泄漏模型，減少了對泄漏函數(shù)限制，允許攻擊者獲知更多的泄漏信息.Dodis等人[9]在TCC會議上提出了輔助輸入泄漏模型，該模型對泄漏函數(shù)的唯一限制是，任意攻擊者利用泄漏信息計算出保密密鑰的概率都是可以忽略的.因此，輔助輸入泄漏模型能夠考慮泄漏能力更強的泄漏函數(shù)，進一步減少了對泄漏函數(shù)的限制.上述研究方案[5-9]僅考慮了密鑰在其整個生命周期中的泄漏問題.Brakerski等人[10]提出連續(xù)泄漏模型，允許密鑰進行更新，并限制在相鄰兩次更新之間密鑰泄漏信息不能超過預定上界值，但在系統(tǒng)的整個生命周期中密鑰泄漏的總量是整體無界的，解決了上述公開難題的第1部分.Yuen等人[11]將連續(xù)泄漏模型和輔助輸入泄漏模型相結合，提出了抗連續(xù)輔助泄漏的身份基加密機制，有效解決了身份基加密中抗密鑰泄漏的公開難題，但極大地增加了主密鑰和用戶私鑰的長度及相應的計算開銷.

在2005年歐洲密碼學會議上，Sahai和Waters[12]提出了屬性基加密機制(attribute-basedencryption,ABE)的概念.在該ABE方案[12]中，可信授權機構根據(jù)用戶的屬性集合為其頒發(fā)私鑰，密文和屬性集合相關，當私鑰屬性集合與密文屬性集合的匹配度滿足系統(tǒng)的門限策略時，用戶才能正確解密密文.為了在密文中表達更靈活的訪問控制策略，2007年Bethencourt等人[13]提出了“密文策略”的ABE機制(ciphertextpolicyABE,CP-ABE)，將訪問控制策略嵌入在密文中，密鑰與屬性集合相關聯(lián)，只有密鑰的屬性滿足密文的訪問策略時，才能正確恢復明文.然而，該CP-ABE方案僅滿足選擇安全性.Lewko等人[14]采用雙系統(tǒng)加密技術[15]實現(xiàn)了自適應安全的CP-ABE機制.由于ABE以屬性為公鑰，能夠表示靈活的訪問控制策略，顯著減少加密節(jié)點的處理開銷和傳輸共享數(shù)據(jù)的網(wǎng)絡帶寬，從而使它在細粒度訪問控制[16-18]、單向廣播[16]、群密鑰管理[19-20]、隱私保護[17,21-22]等領域具有廣泛的應用前景.此外，針對ABE機制中存在的密鑰撤銷開銷大、密鑰濫用、密鑰托管和密鑰盜版進化等問題[23]，學者們提出了不少好的研究成果[24-29].然而，目前解決ABE中邊信道攻擊下的密鑰泄漏問題的研究還不多見.

針對ABE中存在邊信道攻擊下的密鑰泄漏問題，2011年Lewko等人[30]在TCC年會上將雙系統(tǒng)加密和有界泄漏模型相結合，提出一種自適應安全的抗連續(xù)內存泄漏的ABE方案，同時支持主密鑰和用戶屬性私鑰的泄漏，但僅允許密鑰的有界泄漏，且要求在密鑰更新時舊密鑰必須從內存中安全刪除.到目前為止，屬性基加密機制中的抗密鑰泄漏的公開難題尚未完全解決.

為了探索解決ABE中抗密鑰泄漏的公開問題，本文將CP-ABE[14]方案和連續(xù)輔助輸入泄漏模型[11]相結合，提出抗連續(xù)輔助輸入泄漏的ABE模型.1)該模型具有較好的合成性質，即可以將ABE的屬性私鑰應用到簽名、認證等密碼方案中，只要這些方案在無泄漏情況下是可證明安全的，則它們的合成方案在該泄漏模型下依然是安全的.由于ABE的密鑰構造方法種類繁多，使得ABE較容易與其他密碼系統(tǒng)結合使用.2)該模型允許主密鑰和用戶屬性私鑰的連續(xù)無界泄漏，不限制密鑰泄漏的位數(shù)，且無需標識密鑰的版本號.3)每次密鑰更新時不需要將舊版本密鑰從內存中完全清除，即允許泄漏舊密鑰的信息.因此，本文試圖解決了ABE中的抗密鑰泄漏的公開難題，即允許密鑰的連續(xù)和整體無界泄漏，且不限制泄漏類型.

借鑒BHHO方案[9]中主密鑰和用戶私鑰的構造思想，本文通過修改CP-ABE[14]方案，將系統(tǒng)主密鑰擴展成一個m維向量，構造出m個CP-ABE子系統(tǒng)，并在保證安全性的前提下，通過共用m個子系統(tǒng)主密鑰中的關鍵盲化因子和m個子系統(tǒng)的屬性公鑰，大大縮減了主密鑰和系統(tǒng)公鑰的長度.為了證明文中方案的安全性，需要將方案中的正常密文和正常密鑰轉化成半功能密文和半功能密鑰，正常密鑰可以解密正常密文和半功能密文，但半功能密鑰只能解密正常密文.在證明過程中采用混合證明方法，首先將正常密文轉化成半功能的；然后，將用戶私鑰逐個轉變成半功能的，為了使攻擊者可以詢問主密鑰和解密私鑰的泄漏信息，需要使用修改的Goldreich-Levin定理[9]將半功能密鑰的盲化因子限制為λ位(λ為方案的安全參數(shù))，基于合數(shù)階群上的靜態(tài)假設，可以確保攻擊者不能感知這些轉變過程，從而證明該方案在攻擊者獲知輔助輸入密鑰泄漏信息的情況下仍具有自適應安全性.該方案允許主密鑰和屬性私鑰的連續(xù)無界泄漏，每次密鑰更新時無需將舊密鑰從內存中完全清除，且具有較好的合成性質.

1　預備知識

1.1符號說明

本文中，符號x←ZN表示在ZN中隨機選取元素x；x,y,z←ZN表示在ZN中獨立且均勻地隨機選取元素x,y,z.令negl(n):→表示一個對n可忽略的函數(shù)，即對任意c>0,有negl(n)≤n-c.令|x|表示項x二進位的個數(shù)，N和m是正整數(shù)，G是N階循環(huán)群，·表示向量的內積或群元素的乘積，*表示向量之間對應分量的乘積.對任意向量v=〈v1,v2,…,vm〉∈Gm,u∈G,b∈ZN,a=a1,a2,…,am,定義ua〈ua1,ua2,…,uam〉,vb〉.

1.2合數(shù)階雙線性群和困難性假設

一個合數(shù)階雙線性群可以用一個四元組(N=p1p2p3,G,GT,e)來描述，其中p1,p2,p3是3個互不相等素數(shù)， G和GT均是N階循環(huán)群，映射e:G×G→GT滿足：1)雙線性.?g,h∈G;a,b∈ZN;e(ga,hb)=e(g,h)a b.2)非退化性.?u∈G，使得e(u,u)在GT中的階為N.3)可計算性.群G和GT上的運算和雙線性映射e在多項式時間內可以完成計算.

為了證明文中方案的安全性，下面給出合數(shù)階群上子群判定假設，該假設在文獻[14]中已進行詳細介紹.在這些假設中，令λ是系統(tǒng)的安全參數(shù)， Pr是概率函數(shù)，PPT算法表示一個概率多項式時間算法.

1.3訪問結構和線性秘密共享方案(LSSS)

定義1. 訪問結構[24].設P={P1,P2,…,Pn}是n個屬性的集合，由P的某些非空子集構成的集族?2P?稱為訪問結構.如果對任意屬性集合B,C，滿足：若B∈且B?C，則C∈，那么稱訪問結構是單調的.中的所有屬性集合稱為授權集，不在中的屬性集合稱為非授權集.

定義2.LSSS[24].稱屬性集合P={P1,P2,…,Pn}上的一個秘密共享方案Π是線性的，如果滿足：1)將屬性的秘密分享值構造成Zp上的一個向量；2) 對于方案Π，存在一個秘密份額生成矩陣An1×n2和行標號函數(shù)ρ:{1,2,…,n1}→P，令s∈Zp是待共享的秘密值，隨機選擇r2,r3,…,rn2∈Zp，構成向量v=〈s,r2,…,rn2〉，令vT為v的轉置，則AvT是n1個秘密份額構成的向量，利用標號函數(shù)，將秘密份額λi=(AvT)i(1≤i≤n1)分配給屬性ρ(i).

LSSS的可重構性質：假定Π是訪問結構的線性秘密共享方案，令S∈是授權集，定義I={i:ρ(i)∈S}?{1,2,…,n1}，則存在多項式時間算法計算{ci∈Zp}i∈I，使得對于秘密共享值s的任意有效份額{λi}i∈{1,2,…,n1}，滿足Σi∈Iciλi=s.

1.4域GF(q)上Goldreich-Levin定理

定理1. 域GF(q)上的Goldreich-Levin定理[9].令q是一個大素數(shù)，H是GF(q)的任意子集，n是一個正整數(shù)，任意函數(shù)f：Hn→{0,1}*.令s←Hn,ξ←f(s),r←GF(q)n，如果存在區(qū)分器D在時間t內使得|Pr[D(ξ,r,(r·s))=1]-Pr[ζ←GF(q):D(ξ,r,ζ)=1]|=ε,則存在一個可逆器A,在t′=t ·poly(n,|H|,1ε)時間內求得s的概率為

2　抗連續(xù)輔助輸入泄漏ABE及其安全模型

2.1抗連續(xù)輔助輸入泄漏ABE的定義

一個抗連續(xù)輔助輸入泄漏的ABE方案由以下6個算法構成：初始化(Setup)、加密(Enc)、私鑰生成(Keygen)、解密(Dec)、主密鑰更新(MskUpdate)、用戶私鑰更新(UskUpdate).

1)Setup(λ,U)→(PK,MSK).該概率多項式時間(PPT)初始化算法輸入系統(tǒng)安全參數(shù)λ和系統(tǒng)的屬性全集U，輸出系統(tǒng)主密鑰MSK和公鑰PK.

2)Enc(M,,PK)→C.該PPT加密算法輸入一個待加密消息M、一個訪問結構(A,ρ)和系統(tǒng)公鑰PK，輸出密文C.

3)KeyGen(ω,MSK)→SKω.該PPT私鑰生成算法輸入用戶的屬性集合ω、主密鑰MSK，輸出用戶私鑰SKω.

4)Dec(SKω,C)→M.解密算法輸入用戶私鑰SKω和在(A,ρ)下加密的密文C，僅當ω滿足訪問結構(A,ρ)時，用戶才能解密密文，否則，解密失敗.

5)MskUpdate(MSK)→MSK′.主密鑰更新算法輸入當前主密鑰MSK，輸出更新后的主密鑰MSK′.

除了在成品中添加Nisin抑制微生物生長外，也可在發(fā)酵過程中加入，這優(yōu)于化學防腐劑的特性。如在白酒發(fā)酵過程中加入Nisin，可有效降低白酒總酸，抑制白酒發(fā)酵中乳酸菌的生長繁殖，控制白酒醪液中乳酸、乳酸乙酯的生成，提高白酒品質[12]；而醬油等調味品由多菌種天然釀造而成，發(fā)酵過程中添加Nisin也可抑制特定菌種或雜菌對品質的影響。

2.2安全性模型

定義3. 本文方案的安全模型可以通過攻擊者A和挑戰(zhàn)者C之間的交互游戲進行定義如下:

1) 初始化階段.挑戰(zhàn)者C運行方案中的Setup算法，生成系統(tǒng)當前主密鑰MSK和公鑰PK，將PK發(fā)送給攻擊者A，創(chuàng)建列表LMSK，用于保存主密鑰MSK的所有版本，包括每個時間段更新前的MSK和當前最新MSK.挑戰(zhàn)者C創(chuàng)建列表LUSK，并將其置為空集?.

2) 詢問階段1.A可以向C多次詢問下面3類預言機：①私鑰生成預言機KGO(·).A提交一個屬性集合ω?U給C，C運行KeyGen(MSK,ω)算法，輸出私鑰SKω，并將其保存到列表LUSK.然后，C將SKω發(fā)送給A.②泄漏預言機MLO(·).給定一個概率多項式時間可計算的函數(shù)族F，A輸入一個多項式時間可計算函數(shù)f∈F，計算f(LMSK,?,MSK,?,PK,?)，獲知關于主密鑰MSK的泄漏信息.③主密鑰更新預言機UMO(·).C運行UpdateMSK(MSK)，輸出更新后的主密鑰MSK′，并設置MSK←MSK′.

4) 詢問階段2.A可以向C多次詢問下面4類預言機：①私鑰生成預言機KGO(·).與詢問階段1相同.②泄漏預言機MLO(·).A輸入一個多項式時間可計算函數(shù)f∈F，計算f(LMSK,L,MSK,SKω*,PK,*)，獲知關于主密鑰MSK和解密私鑰SKω*的泄漏信息.③主密鑰更新預言機UMO(·).與詢問階段1相同.④用戶私鑰更新預言機UUO(·).C運行UpdateUSK(SKω*)算法，生成一個新的用戶私鑰，設置.

6) 詢問階段3.A僅能詢問KGO(·)，且要求這

7) 猜測階段.A依據(jù)密文C*給出一個猜測值b′.

當b′=b，且在詢問階段1,2,3中，攻擊者A沒有詢問滿足訪問結構*的用戶私鑰，稱A贏得這個游戲，且定義A在該游戲中的優(yōu)勢為|Pr[b′=b]-12|.

借鑒Yuen等人[11]提出的抗連續(xù)輔助輸入泄漏模型，給出在CP-ABE中連續(xù)輔助輸入函數(shù)族的定義.令LMSK為CP-ABE中系統(tǒng)主密鑰MSK的集合，S*表示所有滿足挑戰(zhàn)訪問結構*的私鑰集合，S表示其他私鑰集合，使得S*∩S=?.假設L表示滿足挑戰(zhàn)訪問結構*的一些私鑰集合，即L?S*，MSK和SKω*分別表示當前主密鑰和當前滿足挑戰(zhàn)訪問結構的私鑰，k為私鑰SKω*的長度.

定義4. 連續(xù)輔助輸入函數(shù)族F(χ(k))是一類概率多項式時間(PPT)可計算的函數(shù)族f:{0,1}*→{0,1}*,使得對所有的PK,*,S,f(LMSK,L,MSK,SKω*,PK,*)，任意PPT算法輸出一個SKω*∈S*的概率均不超過χ(k)，其中，困難參數(shù)χ(k)≥2-k，且MSK,PK,SKω*,S,LMSK,L和*都是隨機生成的.

定義5. 如果對于任意概率多項式時間的攻擊者A在上述安全模型游戲中的優(yōu)勢均是可忽略的，且安全模型中的F是連續(xù)輔助輸入函數(shù)族F(χ(k))，則稱該ABE方案在F(χ(k))下是IND-CPA安全的，記作χ(k)-CAI-CPA安全性，其中，χ(k)≥2-k.

3　抗連續(xù)輔助輸入泄漏的ABE方案

令G,GT是階為N=p1p2p3的循環(huán)群，其中，p1,p2,p3是3個互不相同的素數(shù)，e:G×G→GT是雙線性映射，Gi是群G的階為pi的子群，Gi,j是群G的階為pipj的子群(i≠j).U為系統(tǒng)全體屬性的集合.

1)Setup(λ,U).令0<ε<1，m=(3×lbp2)，初始化算法選擇隨機向量和，選擇隨機生成元g1,h1,h2,…,hm∈G1,g3∈G3.對每個屬性i∈U,隨機選取si∈ZN和一個G3部分隨機數(shù).該算法隨機選取和G3部分隨機向量,計算并輸出系統(tǒng)公鑰PK和主密鑰MSK如下：

SKω=(ω,K=〈k1,k2,…,km〉,L,Ki,?i∈ω)=

3)Enc(M,(A,ρ))→C.訪問結構(A,ρ)由一個n1×n2矩陣A和一個映射ρ:{1,2,…,n1}→U組成，加密算法隨機選取一個向量v=s,v2,…,vn2.對矩陣A的每一行Ax和j=1,2,…,m,隨機選擇rj,x∈ZN，計算密文為

恢復消息M=C0ys.

4　安全性證明和泄漏性能分析

4.1安全性證明

為了證明本文抗連續(xù)輔助輸入泄漏ABE的安全性，需要構造半功能私鑰和半功能密文，半功能私鑰分為Ⅰ型半功能私鑰和Ⅱ型半功能私鑰.為了生成半功能私鑰和密文，對每個屬性i∈U，隨機選擇qi∈ZN，半功能密文和半功能私鑰定義如下：

定義6.KeygenSF1(MSK,ω).該Ⅰ型半功能私鑰生成算法隨機選擇θ∈ZN，隨機向量γ=〈γ1,γ2,…,γm〉∈[0,λ]m,利用正常私鑰SKω=(ω,K,L,Ki,?i∈ω)，計算Ⅰ型半功能私鑰SKω-Ⅰ如下：

定義7.KeygenSF2(MSK,ω).該Ⅱ型半功能私鑰生成算法選擇隨機向量γ=〈γ1,γ2,…,γm〉∈[0,λ]m,利用正常私鑰，計算Ⅱ型半功能私鑰SKω-Ⅱ如下：

注意：與Ⅰ型半功能私鑰不同的是，該Ⅱ型半功能私鑰中的θ=0.

定義8.EncSF(M,(A,ρ)).該半功能密文生成算法隨機選擇δ∈ZN，對訪問矩陣A的每一行Ax和j=1,2,…,m,隨機選擇δj,x∈ZN,隨機向量，利用正常密文，計算半功能密文C-SF如下：

C-SF=((A,ρ),C0=M,?).

基于合數(shù)階群上的子群判定假設，采用混合爭論技術，借助一系列相鄰游戲(GameReal,Game0,Game1,1,Game1,2,…,Gamek-1,2,Gamek,1,Gamek,2,…,GameQ-1,2,GameQ,1,GameQ,2,GameFinal)的不可區(qū)分性，證明本文方案的安全性，其中，Q表示在安全性游戲中詢問KGO(·)預言機的次數(shù).

1) GameReal：真實的安全性游戲，私鑰和密文都是正常的.

2) Game0：與GameReal類似，除了挑戰(zhàn)密文是半功能密文.

3) Gamek,1：挑戰(zhàn)密文是半功能密文，前k-1次詢問的私鑰是Ⅱ型半功能的，第k次詢問私鑰是Ⅰ型半功能的，剩余的私鑰是正常的.

4) Gamek,2：與Gamek,1類似，除了第k次詢問的私鑰是Ⅱ型半功能的.

5) GameFinal：在這個安全性游戲中，所有詢問私鑰都是Ⅱ型半功能的，且挑戰(zhàn)密文是對一個隨機明文加密生成的半功能密文.

引理1. 若假設1成立，對于任意PPT攻擊者A，則A區(qū)分GameReal和Game0的優(yōu)勢均是可以忽略的.

證明. 假定存在一個PPT攻擊者A以不可忽略的優(yōu)勢區(qū)分GameReal和Game0，則可以構造一個PPT算法B，B能以不可忽略的優(yōu)勢打破假設1.B接收到假設1的條件{g1,g3,T}，能夠模擬GameReal或Game0.B執(zhí)行初始化算法，令m=(3×lbp2),選擇隨機向量,計算,?j∈[1,m].對每個屬性i∈U，隨機選擇si∈ZN.B生成系統(tǒng)公鑰?i∈U),并將其發(fā)送給A,其中，N,g1,g3由假設1給定.

1) 詢問階段1.由于已知 〈α1,α2,…,αm〉,B執(zhí)行初始化算法,生成系統(tǒng)正常主密鑰MSK，可以回答攻擊者A的所有私鑰生成詢問、主密鑰泄漏和更新詢問.

3) 詢問階段2.與詢問階段1類似，此外，B可以回答A對私鑰SKω*的所有泄漏信息和更新信息.

5) 詢問階段3.與詢問階段1相同，除了A只能進行私鑰生成詢問.

Mb(e(h1,g1)α1e(h2,g1)α2…e(hm,g1)αm)z,

因此，如果A能以不可忽略的優(yōu)勢區(qū)分GameReal和Game0，則B可以相同的優(yōu)勢打破假設1.

證畢.

引理2. 如果假設2成立，對于任意PPT攻擊者A，則A區(qū)分Gamek-1,2和Gamek,1的優(yōu)勢均是可忽略的.

3) 詢問階段2.與詢問階段1類似，此外，B可以回答A的所有私鑰SKω*的泄漏信息.

該密文是半功能的，其中

當挑戰(zhàn)私鑰是Ⅰ型半功能私鑰時，私鑰和挑戰(zhàn)密文中的其余半功能參數(shù)如下：

私鑰γ=θ′〈a1,a2,…,am〉,θ=θ′.

注意uj的第1個分量總是等于ajv，而攻擊者可以從γ的第j個分量和δ分別獲知aj和v模p2的值，γ中的κ可從θ獲知.若第k個私鑰的屬性滿足挑戰(zhàn)訪問結構時，且

0modp2，

則該私鑰是名義半功能私鑰.

由安全性定義可知，A只能對該解密鑰進行泄漏詢問，而不能進行解密鑰生成詢問.使用下面引理3證明：當挑戰(zhàn)私鑰的屬性集合滿足挑戰(zhàn)密文的訪問策略時，攻擊者A區(qū)分第k個挑戰(zhàn)私鑰是名義半功能的或真正半功能的優(yōu)勢是可以忽略的.

證畢.

引理3. 若域GF(p2)上的Goldreich-Levin定理成立，對任意PPT攻擊者A，則A區(qū)分第k個挑戰(zhàn)私鑰是名義半功能的或真正半功能的優(yōu)勢是可忽略的.

證明.Goldreich-Levin定理的挑戰(zhàn)者C選取Γ∈[0,λ]m,ξ=f(Γ)，1=〈1,1,…,1〉∈GF(p2)m,隨機數(shù)ζ∈GF(p2).

B和A模擬Gamek,1，B設置m=(3×lbp2)，選擇隨機向量.對每個屬性i∈U，隨機選擇計算：

由于B已知系統(tǒng)主密鑰和所有子群的生成元，它既可以生成正常私鑰也能生成半功能私鑰.因此，B可以回答詢問階段1中A的所有私鑰生成詢問.

1) 挑戰(zhàn)階段1.攻擊者A提交一個挑戰(zhàn)訪問結構(A*,ρ*)，A*是一個n1×n2的矩陣，B選擇一個屬性集合ω*，使得ω*滿足A*.注意：由安全性定義可知，A不能得到與ω*對應的私鑰，僅能獲得該私鑰的泄漏信息.

2) 詢問階段2.B不生成與ω*對應挑戰(zhàn)私鑰，而是將A對挑戰(zhàn)私鑰的泄漏詢問編碼成定義域為[0,λ]m的一元PPT函數(shù).通過固定其他私鑰的所有值和固定挑戰(zhàn)私鑰的非半功能參數(shù)可以實現(xiàn)這種泄漏，具體過程如下：B收到一個實例(f(Γ),1,ζ ),其中，1=〈1,1,…,1〉,ζ=?！?或是隨機值.B用f(Γ)來回答A關于挑戰(zhàn)私鑰的泄漏詢問，并隱式地定義解密私鑰.

3) 挑戰(zhàn)階段2.A提交2個等長消息M0和M1給B，B用向量ui和δ=r2∈Zp2構造挑戰(zhàn)密文，其中ui,1=τi.如果ζ=Γ·1，則:

此時，挑戰(zhàn)私鑰是名義半功能私鑰.如果ζ≠?！?，則挑戰(zhàn)私鑰是真正半功能的，且是均勻分布的.

4) 詢問階段3.B可以回答A的所有詢問.

5) 猜測階段.B可用A的輸出區(qū)分(f(Γ),1,?！?)和(f(Γ),1,ζ).由Goldreich-Levin定理可知，若A能以Δ的優(yōu)勢區(qū)分上述的2個元組，B能以至少

的概率輸出Γ，與泄漏函數(shù)f是不可逆函數(shù)矛盾，因此，A不能區(qū)分該挑戰(zhàn)私鑰是名義半功能或真正半功能的.

當挑戰(zhàn)私鑰的屬性不滿足挑戰(zhàn)訪問結構時，A可以詢問該私鑰.由于文中限制在訪問結構中每個屬性只能使用一次，我們可以斷定uj,1= ajvmodp2在信息理論上是隱藏的.

6) 詢問階段3.與詢問階段1相同，除了A不能詢問泄漏預言機.

基于假設2，B完美模擬了Gamek-1,2或者以幾乎為1的概率模擬Gamek,1.因此，如果存在一個攻擊者A能以不可忽略的優(yōu)勢區(qū)分Gamek-1,2和Gamek,1，則B能以幾乎相同的優(yōu)勢打破假設2.

證畢.

引理4. 如果假設2成立，則任意PPT攻擊者A區(qū)分Gamek,1和Gamek,2的優(yōu)勢是可以忽略的.

γ=k〈a1,a2,…,am〉+μh,θ=k,δ=v,uj=ajv·v′.

證畢.

引理5. 如果假設3成立，則任意PPT攻擊者A區(qū)分GameQ,2和GameFinal的優(yōu)勢是可以忽略的.

1) 初始化階段.B設置m=(3×lbp2)，選擇隨機向量,對每個屬性i∈U，隨機選擇,隱式設置：

計算公鑰PK并發(fā)送給A，其中，N,g1,g3是由B給定.

3) 挑戰(zhàn)階段1.攻擊者A提交一個挑戰(zhàn)訪問結構(A*,ρ*)，A*是一個n1×n2的矩陣，B選擇一個屬性集合ω*，使得ω*滿足A*，并使用詢問階段1相同的方法，為其生成一個Ⅱ型半功能挑戰(zhàn)私鑰.

4) 詢問階段2.與詢問階段1相同，此外，A還可以詢問解密私鑰的泄漏信息.

6) 詢問階段3.與詢問階段1相同，除了A不能詢問泄漏預言機.

如果T=e(g1,g1)α z,挑戰(zhàn)密文為消息Mb的半功能密文.否則，挑戰(zhàn)密文是隨機消息的半功能密文.因此，B可以利用A的輸出攻破假設3.

證畢.

定理2. 如果假設1,2,3成立，則文中抗連續(xù)輔助輸入泄漏的屬性基加密方案是2-mε-CAI-CPA安全的.

證明. 由引理1～5可知，GameReal和GameFinal是不可區(qū)分的.在GameFinal中由于挑戰(zhàn)密文是隨機消息的密文，因此，攻擊者A在GameFinal的優(yōu)勢是0.綜上所述，A在GameReal的優(yōu)勢是可以忽略的.

證畢.

4.2泄漏性能和密鑰長度對比

抗密鑰泄漏的容忍程度是衡量一種密碼機制安全性的重要指標.總的來說，抗泄漏密碼機制的主要目標是盡可能預防和抵抗更多不同類型的邊信道攻擊，使系統(tǒng)在實際應用中的安全性得到可靠的保障.本節(jié)對比本文方案和相關的2個知名方案在抗泄漏容忍程度、主密鑰長度和用戶私鑰長度等方面的性能，表明了本文方案不僅具有最好的抗泄漏容忍性，而且具有較短的主密鑰長度和用戶私鑰長度.

表1將本文方案和相關的2個知名方案在密鑰泄漏容忍程度、主密鑰長度和用戶私鑰長度方面進行詳細比較，其中，n≥2，|U|表示系統(tǒng)全體屬性U的個數(shù)，|ω|表示用戶屬性集合ω中屬性的個數(shù)，|G|表示群G或GT中元素的長度，0<ε<1，YCZY[11]方案中的m=(3λ)，p2是群G2階，本文方案令m=(3×lbp2).

Table 1　 Performance Comparison表1　性能比較

根據(jù)表1可以看出，LRW方案[30]提出了一種自適應安全的抗密鑰連續(xù)泄漏的ABE方案，僅允許主密鑰和用戶屬性私鑰的有界泄漏，且要求舊版本的密鑰必須從內存中完全清除.此外，該方案不能與其他密碼學方案組合使用.與該方案相比，本文方案允許主密鑰和用戶屬性私鑰的連續(xù)無界泄漏，每次密鑰更新時允許泄漏舊密鑰信息，且可以與其他密碼方案組合應用.雖然本文方案適當增加了主密鑰和用戶私鑰的長度，但具有更強的抗密鑰泄漏安全性.與YCZY-IBE方案[11]相比，在具有相同抗泄漏容忍性的前提下，本文方案的主密鑰和用戶私鑰長度顯著減少，且能實現(xiàn)加密數(shù)據(jù)的細粒度共享訪問控制.

5　結　　論

針對屬性基加密機制中邊信道攻擊下的密鑰泄漏問題，本文將連續(xù)輔助輸入泄漏模型[11]和雙系統(tǒng)加密[15]相結合，通過合理設計主密鑰和用戶私鑰的生成過程，提出一種抗連續(xù)輔助輸入泄漏的ABE方案，一定程度上解決了ABE中的抗密鑰泄漏的公開難題.基于合理假設，證明本文方案在攻擊者獲知輔助輸入密鑰泄漏信息的情況下仍具有自適應安全性.本文方案的主要貢獻有3個方面：1)允許主密鑰和用戶屬性私鑰的連續(xù)無界泄漏；2)允許ABE的屬性私鑰應用到其他密碼系統(tǒng)中，具有較好的合成性質；3)每次密鑰更新時無需假定將舊版本密鑰從內存中完全清除，允許泄漏舊版本密鑰的信息.與相關的2個知名方案相比，本文方案不僅具有最好的抗泄漏容忍性，而且具有相對較短的主密鑰長度和用戶私鑰長度.

盡管本文方案在一定程度上解決了ABE抵制邊信道攻擊下密鑰泄漏的難題，顯著增強了ABE系統(tǒng)的安全性，但與原來的CP-ABE方案[14]相比，系統(tǒng)的密文、主密鑰和用戶私鑰的長度增加較大，且加解密效率較低.因此，如何減少本文方案中的系統(tǒng)主密鑰、用戶私鑰和密文長度，提高加解密的計算效率，將是我們未來研究工作的重要方向.

[1]KocherPC.TimingattacksonimplementationsofDiffie-Hellman,RSA,DSS,andothersystems[G] //LNCS1109:Procofthe16thAnnualIntCryptologyConf.Berlin:Springer, 1996: 104-113

[2]BonehD,DeMilloRA,LiptonRJ.Ontheimportanceofcheckingcryptographicprotocolsforfaults[G] //LNCS1233:ProcoftheIntConfontheTheoryandApplicationofCryptographicTechniques.Berlin:Springer, 1997: 37-51

[3]KocherPC,JaffeJ,JunB.Differentialpoweranalysis[G] //LNCS1666:Procofthe19thAnnualIntCryptologyConf.Berlin:Springer, 1999: 388-397

[4]HaldermanA,SchoenS,HeningerN,etal.Lestweremember:Coldbootattacksonencryptionkeys[C] //Procofthe17thUSENIXSecuritySymp.Berkeley,CA:USENIXAssociation, 2008: 45-60

[5]NaorM,SegevG.Public-keycryptosystemsresilienttokeyleakage[G] //LNCS5677:Procofthe29thIntCryptologyConf.Berlin:Springer, 2009: 18-35

[6]AkaviaA,GoldwasserS,VaikuntanathanV.Simultaneoushardcorebitsandcryptographyagainstmemoryattacks[G] //LNCS5444:Procofthe29thIntCryptologyConf.Berlin:Springer, 2009: 474-495

[7]DodisY,HaralambievK,L’opez-AltA,etal.Cryptographyagainstcontinuousmemoryattacks[C] //Procofthe51stAnnualSymponFoundationsofComputerScience.LosAlamitos,CA:IEEEComputerSociety, 2010: 511-520

[8]AlwenJ,DodisY,NaorM,etal.Public-Keyencryptioninthebounded-retrievalmodel[G] //LNCS6110:Procofthe29thAnnualIntConfontheTheoryandApplicationofCryptographicTechniques.Berlin:Springer, 2010: 113-134

[9]DodisY,GoldwasserS,KalaiYT,etal.Public-keyencryptionschemeswithauxiliaryinputs[G] //LNCS5978:ProcoftheTheoryofCryptographyConf.Berlin:Springer, 2010: 361-381

[10]BrakerskiZ,KalaiYT,KatzJ,etal.Overcomingtheholeinthebucket:Public-keycryptographyresilienttocontinualmemoryleakage[C] //Procofthe51stAnnualSymponFoundationsofComputerScience.LosAlamitos,CA:IEEEComputerSociety, 2010: 511-520

[11]YuenTH,ChowSSM,ZhangY,etal.Identity-basedencryptionresilienttocontinualauxiliaryleakage[G] //LNCS7237:Procofthe31stAnnualIntConfontheTheoryandApplicationofCryptographicTechniques.Berlin:Springer, 2012: 117-134

[12]SahaiA,WatersB.Fuzzyidentitybasedencryption[G] //LNCS3494:ProcoftheEUROCRYPT2005.Berlin:Springer, 2005: 457-473

[13]BethencourtJ,SahaiA,WatersB.Ciphertext-policyattribute-basedencryption[C] //Procofthe2007IEEESymponSecurityandPrivacy.LosAlamitos,CA:IEEEComputerSociety, 2007: 321-334

[14]LewkoA,OkamotoT,SahaiA,etal.Fullysecurefunctionalencryption:Attribute-Basedencryptionand(hierarchical)innerproductencryption[G] //LNCS6110:ProcoftheEUROCRYPT2010.Berlin:Springer, 2010: 62-91

[15]WatersB.Dualsystemencryption:Realizingfullysecureibeandhibeundersimpleassumptions[G] //LNCS5677:Procofthe29thIntCryptologyConf.Berlin:Springer, 2009: 619-636

[16]GoyalV,PandeyO,SahaiA,etal.Attribute-Basedencryptionforfine-grainedaccesscontrolofencrypteddata[C] //Procofthe13thACMConfonComputerandCommunicationsSecurity.NewYork:ACM, 2006: 89-98

[17]YuSC,RenK,LouWJ.Attribute-basedcontentdistributionwithhiddenpolicy[C] //Procofthe4thWorkshoponSecureNetworkProtocols(NPSec).LosAlamitos,CA:IEEEComputerSociety, 2008: 39-44

[18]TraynorP,ButlerK,EnckW,etal.Realizingmassive-scaleconditionalaccesssystemsthroughattribute-basedcryptosystems[C] //Procofthe15thAnnualNetworkandDistributedSystemSecuritySymp.LosAlamitos,CA:IEEEComputerSociety, 2008: 1-13

[19]CheungL,NewportC.ProvablysecureciphertextpolicyABE[C] //ProcoftheACMConfonComputerandCommunicationsSecurity.NewYork,ACM, 2007: 456-465

[20]CheungL,CooleyJA,KhazanR,etal.Collusion-Resistantgroupkeymanagementusingattribute-basedencryption[OL].[2014-06-15].http://eprint.iacr.org//2007//161.pdf

[21]YuSC,RenK,LouWJ.Attribute-basedon-demandmulticastgroupsetupwithmembershipanonymity[J].ComputerNetworks, 2010, 54(3): 377-386

[22]BadenR,BenderA,SpringN,etal.Persona:Anonlinesocialnetworkwithuser-definedprivacy[C] //ProcoftheACMSIGCOMM2009ConfonDataCommunication.NewYork:ACM, 2009: 135-146

[23]SuJinshu,CaoDan,WangXiaofeng,etal.Attribute-basedencryptionschemes[J].JournalofSoftware, 2011, 22(6): 1299-1315 (inChinese)

(蘇金樹, 曹丹, 王小峰. 等. 屬性基加密機制[J]. 軟件學報, 2011, 22(6): 1299-1315)

[24]YuSC,RenK,LouWJ,etal.DefendingagainstkeyabuseattacksinKP-ABEenabledbroadcastsystem[C] //ProcoftheSecurityandPrivacyinCommunicationNetworks.NewYork:ACM, 2009: 311-329

[25]LiJ,RenK,ZhuB,etal.Privacy-awareattribute-basedencryptionwithuseraccountability[G] //LNCS5735:ProcoftheInformationSecurityConf.Berlin:Springer, 2009: 347-362

[26]WangYT,ChenKF,ChenJH.Attribute-basedtraitortracing[J].JournalofInformationScienceandEngineering, 2011, 27(1): 181-195

[27]BoldyrevaA,GoyalV,KumarV.Identity-basedencryptionwithefficientrevocation[C] //Procofthe14thACMConfonComputerandCommunicationSecurity.NewYork:ACM, 2008: 417-426

[28]LiuZ,CaoZF,WongDCS.BlackboxtraceableCP-ABE:Howtocatchpeopleleakingtheirkeysbysellingdecryptiondevicesonebay[C] //Procofthe20thACMConfonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 475-486

[29]MaHaiying,ZengGuosun.Anattribute-basedencryptionschemefortraitortracingandrevocationtogether[J].ChineseJournalofComputers, 2012, 35(9): 1845-1855 (inChinese)

(馬海英, 曾國蓀. 可追蹤并撤銷叛徒的屬性基加密方案[J]. 計算機學報, 2012, 35(9): 1845-1855)

[30]LewkoA,RouselakisY,WatersB.AchievingLeakageresiliencethroughdualsystemencryption[C] //Procofthe8thTheoryofCryptographyConf.NewYork:ACM, 2011: 70-88

MaHaiying,bornin1977.PhD,associateprofessorinNantongUniversity.MemberofChinaComputerFederation.Hermainresearchinterestsincludepublickeycryptographyandnetworksecurity.

ZengGuosun,bornin1964.ProfessorandPhDsupervisorinTongjiUniversity.Hismainresearchinterestsincludeinformationsecurityandparallelcomputing.

BaoZhihua,bornin1955.ProfessorinNantongUniversity.Hismainresearchinterestsincludemoderncommunicationtheoryandtechnology,communications-specificintegratedcircuitdesigns.

ChenJianping,bornin1960.ProfessorinNantongUniversity.Hismainresearchinterestsincludeinformationsecurityandnumericcomputation.

WangJinhua,bornin1963.PhD,professor,PhDsupervisor.Hismainresearchinterestsincludecombinatorialdesigntheory,combinedcodingtheory,cryptography,andtheirintersectionalfields.

WangZhanjun,bornin1978.ReceivedhismasterdegreefromHenanNormalUniversity.Hismaincurrentresearchinterestsincludepublickeycryptosystemandalgebra.

Attribute-BasedEncryptionSchemeResilientAgainstContinuousAuxiliary-InputsLeakage

MaHaiying1,ZengGuosun2,BaoZhihua3,ChenJianping1,WangJinhua4,andWangZhanjun4

1(School of Computer Science and Technology, Nantong University, Nantong, Jiangsu 226019)2(Department of Computer Science and Technology, Tongji University, Shanghai 201804)3(School of Electronics and Information, Nantong University, Nantong, Jiangsu 226019)4(School of Science, Nantong University, Nantong, Jiangsu 226019)

Fortheleakageofsecretkeyingmaterialunderside-channelattacksinattribute-basedencryption,theseexistingsolutionsonlyallowattackerstogetlength-boundedleakageonthesecretkey.Firstofall,wecombinethemodelofcontinuousauxiliary-inputsleakagewithdualsystemencryptiontoachievestrongleakageresilience.Secondly,wereasonablydesignthegenerationofsecretkeytoreduceitssize,andthendevisethefirstattribute-basedencryptionthatremainssecureeveniftheattackercanobtaintheleakageofcontinuousauxiliaryinputs.Intheend,ourschemeisprovedfullysecureinthestandardmodelbasedonreasonableassumptions,eveniftheattackergetstheleakageofthesecretkeyfromanauxiliary-inputfunction.Ourschemeachievesthecontinuousandunboundedleakageofboththemasterkeyandtheprivatekey,anddoesnotassumefullyerasureofoldsecretkeysduringthekey-updatequery.Inaddition,ithasadesirablecompositionfeature.Comparedwithrelevantsolutions,thisschemenotonlybenefitsthebestleakageresilience,butalsohasshorterlengthofmasterkeysandprivatekeys.

attribute-basedencryption;continuousauxiliary-inputsleakages;dualsystemencryption;Goldreich-Levintheorem;provablesecurity

2014-08-28；

2015-04-16

國家自然科學基金項目(61402244,61371111,11371207,61272107,61273103)；南通大學博士科研啟動基金項目(15B10)；南通大學校級自然科學基金項目(15z06)

TP309

ThisworkwassupportedbytheNationalNaturalScienceFundationofChina(61402244, 61371111, 11371207, 61272107, 61273103),theDoctoralStart-upScientificResearchFoundationofNantongUniversity(15B10),andtheNaturalScienceFoundationofNantongUniversity(15z06).