一個安全可追蹤的策略隱藏屬性基加密方案

王 梅 孫 磊

(解放軍信息工程大學密碼工程學院 河南 鄭州 450000)

一個安全可追蹤的策略隱藏屬性基加密方案

王 梅 孫 磊

(解放軍信息工程大學密碼工程學院 河南 鄭州 450000)

傳統的屬性基加密方案中存在著訪問策略所包含的屬性會泄露用戶的敏感信息、惡意用戶泄露私鑰獲取非法利益而不會被追責的問題，同時私鑰長度、密文長度和解密運算量均會隨屬性數量增加而帶來較大的通信開銷和計算開銷。對現有多種隱藏策略的屬性基加密方案和可追蹤的屬性基加密方案分別進行深入研究，采用多屬性值的方法，并引入一個安全的簽名機制，提出了一個用戶私鑰長度、密文長度和解密運算量均固定的支持可追蹤和隱藏策略的密文屬性基加密方案，即STH-CP-ABE方案。并基于DBDH(Decisional Bilinear Diffie-Hellman)假設，在標準模型下證明了方案的安全性。

基于屬性加密 可追蹤 隱藏策略 DBDH假設

0 引 言

隨著云計算的應用研究日益增多，云計算模式帶來的好處日益凸顯，但云計算模式中的數據安全問題卻阻礙了它的廣泛應用。用Sahai等[1]提出的基于屬性的加密機制ABE(attribute-based encryption)對上傳的數據進行加密，可以在保護數據安全的同時進行靈活的訪問控制。ABE方案中通過將用戶私鑰和密文與屬性或屬性訪問結構相關聯，根據用戶的屬性是否能夠滿足訪問結構來對用戶的解密權限進行控制。基于屬性的加密機制根據訪問結構處于不同位置可分為密鑰-策略屬性基加密機制(KP-ABE)[2]和密文-策略屬性基加密機制(CP-ABE)[3]。

大多數屬性加密方案在保護消息機密性的同時，往往忽略了訪問策略可能泄露用戶隱私的問題。例如在醫療、電子商務、電子郵件、軍事通信及情報通信等各種網絡應用中，需要對用戶個人隱私進行保護，而訪問策略中蘊含的用戶屬性信息可能會泄露接收者的特點。針對這個問題，研究學者提出一些具有策略隱藏功能的屬性基加密方案。2007年，Kapadia等[4]通過引入一個可信第三方，首次提出可匿名的密文-策略屬性基加密方案，但該方案不能抵抗共謀攻擊。隨著設計具有策略隱藏功能的加密方案成為ABE的一個研究熱點，文獻[5-9]均提出了可對訪問策略進行隱藏的屬性基加密方案，但以上方案都無法對惡意泄露信息的用戶進行追蹤。由于用戶私鑰只與一組描述用戶的屬性相關，在實際應用中，合法用戶可能會為了獲取利益，惡意地將私鑰泄露給非法用戶而無法被追究責任。因此設計能對泄露信息的用戶進行追蹤的加密方案具有現實意義。

文獻[10]通過將用戶標識嵌入到屬性私鑰中，提出可追責的CP-ABE機制，對惡意用戶進行追蹤。文獻[11]提出一個高表達力并可對惡意用戶進行白盒追蹤的方案，但性能開銷較大。文獻[12]提出支持大規模屬性空間的可追蹤方案。但文獻[10-12]均不能對訪問策略進行隱藏。文獻[13]提出了一個可追蹤并隱藏部分屬性的密鑰策略基于屬性加密方案，該方案將屬性集分為三個子集：公共正常屬性基UPN，隱藏正常屬性集UHN，隱藏身份相關屬性集UHID，但方案只能隱藏部分屬性，且密文和用戶公鑰長度較長。在實際應用中，過長的密文會帶來較大的通信開銷。

本文在文獻[6]的系統模型上，結合文獻[14]中的簽名機制，提出一種具有可追蹤性并隱藏訪問結構的屬性基加密方案，即STH-CP-ABE方案，并在標準模型下證明了方案的安全性。同時，本方案在增加了可追蹤這一功能后，私鑰長度和密文長度固定，且解密運算中只需要進行兩次雙線性對計算。

1 預備知識

1.1 雙線性映射

設群G1、G2和GT均表示階數為素數p的乘法循環群。設g是群G1的一個生成元，h是G2的一個生成元，一個映射e:G1×G2→GT是非對稱雙線性映射，若映射e滿足下列特征：

(1) 雙線性：對于任意的a,b∈Zp，都有等式e(ga,hb)=e(g,h)ab。

(2) 非退化性：e(g,h)≠1。

(3) 可計算性：對于任意g、h，能夠在有效的多項式時間算法內計算e(g,h)。

1.2 訪問結構

設U={att1,att2,…,attn}表示所有屬性的集合，集合Si={vi,1,vi,2,…,vi,mi}表示屬性atti的mi個取值，用L來表示用戶的屬性列表，L={l1,l2,…,ln}，li∈Si。設W={w1,w2,…,wn}是一個訪問結構，其中wi∈Si。定義用戶的屬性列表L滿足訪問結構W，當且僅當li=wi,i=1,2,…,n。

1.3 困難假設

定義1 如果不存在多項式時間算法以優勢ε解決非對稱DBDH假設，則稱非對稱DBDH假設在群中是成立的。

1.4 方案結構

一個STH-CP-ABE方案由初始化算法(Setup)、密鑰生成算法(Keygen)、加密算法(Encrypt)、解密算法(Decrypt)和追蹤算法(Trace)等5個算法組成。下面對5個算法進行描述：

Setup 初始化算法，由授權機構完成。系統建立輸入安全參數k，輸出主密鑰msk和公共參數pk。并產生一個包含二元組(c,id)的查詢列表T，初始化時查詢列表T為空集。

Keygen 密鑰生成算法，輸入主密鑰msk、屬性列表L、公鑰pk和用戶身份id，輸出關于屬性列表L的私鑰skL。并將二元組(c,id)存入查詢列表T中。

Encrypt 數據加密算法，由信息發送方完成。輸入需要加密的消息M，訪問策略W和公共參數pk，并輸出密文CT。

Decrypt 加密算法，信息接受者輸入用戶公鑰pk、私鑰skL和密文CT。當解密密鑰中的屬性滿足密文中的訪問結構時，可以正確解密，得到信息M，否則輸出⊥。

Trace 追蹤算法，輸入用戶的公鑰pk、私鑰skL和查詢列表T。先驗證skL是否標準定義的，若驗證成功，輸出與skL對應的用戶身份id，否則輸出符號⊥。定義符號⊥表示該用戶私鑰不用追蹤。

1.5 安全模型

STH-CP-ABE方案的安全模型可通過以下攻擊者A和挑戰者C之間的交互式游戲來定義。

(1) 系統建立 挑戰者C運行系統初始化算法獲得公共參數pk和主密鑰msk，將公共參數pk交給攻擊者A，并自己保管msk。

階段1 攻擊者A自適應地向挑戰者C詢問與屬性列表L相對應的私鑰，挑戰者通過密鑰生成算法，返回關于屬性列表L的私鑰。可進行多次詢問。

(2) 挑戰 攻擊者A選擇兩個等長信息M0、M1和訪問結構W0、W1(要求W0、W1不滿足詢問過的任何屬性列表L)交給挑戰者C。挑戰者C隨機選取a∈{0,1}，b∈{0,1}，在訪問結構Wb下對信息Ma加密，將密文CT交給攻擊者A。

階段2 重復階段1，此時要求屬性列表不能滿足訪問結構W0，W1。

(3) 猜測 攻擊者A輸出對{a,b}的猜測{a′,b′}。若a=a′，b=b′，則攻擊者A贏得游戲。

定義2 一個支持可追蹤和隱藏策略的屬性基加密方案是完全安全的，當且僅當不存在多項式有界時間攻擊者能以不可忽略的優勢贏得游戲。

2 方案描述

本文STH-CP-ABE方案實現由屬性權威中心、數據擁有者和數據者三者組成，具體對支持可追蹤和策略隱藏的屬性基加密方案的構造方法描述如下：

pk={g1,g2,u1,u2,v,f1,f2,h,Ai,j,Y}

msk={α,β,δ,a,ai,j}

并產生一個包含二元組(t2,id)的查詢列表T，初始化時列表T為空集?。

Trace(pk,T,skL) 追蹤算法可以分為兩個階段：驗證階段和查詢階段。根據輸入的用戶公鑰pk、私鑰skL和查詢列表T，輸出用戶id或符號⊥。

1) 驗證階段：在驗證階段，根據如下幾個公式驗證skL={K,D0,D1,D2}是否為標準形式下的密鑰。驗證方法如下：

K∈Zp,D0,D1,D2∈G2

(1)

(2)

(3)

2) 查詢階段：若驗證私鑰skL是有效的用戶私鑰，則從查詢列表T中對K進行查詢，并輸出與K對應的用戶id。若驗證無效，則輸出符號⊥。

3 方案分析

3.1 正確性分析

解密過程中，數據使用者需要輸入自己的屬性列表L={l1,l2,…,ln}，li∈Si。若數據接受者的屬性列表L滿足訪問結構W，即li=wi,i=1,2,…,n，則用戶可以正確解密密文。

具體解密過程如下：

如果數據接收者的屬性列表L不滿足密文中的訪問結構W，則不能正確解密密文。

3.2 安全性分析

本文STH-CP-ABE方案的安全目標是在上述安全模型下達到選擇明文的不可區分性，證明過程如下：

證明：假設存在攻擊者A可以以ε的優勢對游戲Game1和Game0進行區分，即Game1AdvA-Game0AdvA=ε，那么可以構建一個模擬器以ε的優勢解決非對稱DBDH問題。

模擬過程如下：

當φ=0時，Z=e(g1,g2)abc；

當φ=1時，Z=e(g1,g2)z。

階段2 重復階段1的詢問。

(3) 猜測 攻擊者A輸出對{γ,η}的猜測{γ′,η′}。若γ=γ′，η=η′，則挑戰者C輸出φ′=0；否則輸出φ′=1。根據假設，攻擊者以優勢ε攻破DBDH問題。

3.3 效率分析

表1 方案功能特征比較

從表1可以看出，文獻[4-9]只實現了叛徒追蹤，文獻[10-12]只實現了策略隱藏。文獻[13]雖然同時實現了可追蹤和策略隱藏，但只能對策略部分隱藏。本文方案可以同時實現可追蹤和策略隱藏。

表2 方案的相關參數大小

根據表2所示，與具有同時支持可追蹤和策略隱藏的文獻[13]中的方案相比，本文方案公鑰長度雖有增加，但私鑰長度和密文長度固定，且解密過程中只需要2個雙線性對運算，大大提高了解密效率。

4 結 語

本文結合簽名機制提出一個可同時對惡意泄露密鑰的用戶進行追蹤并隱藏訪問策略的屬性基加密方案，即STH-CP-ABE方案。并基于非對稱DBDH假設，在標準模型下證明該方案是完全安全的。同時，用戶私鑰和密文長度及解密運算量均為固定值，大大降低了通信開銷和計算開銷。但本方案的不足之處是只能進行白盒追蹤，因此下一步工作是實現能夠進行黑盒追蹤的加密方案。

[1]SahaiA,WatersB.Fuzzyidentity-basedencryption[C]//Proceedingofthe2005AnnualInternationalConferenceontheTheoryandApplicationsofCryptographicTechniques.Berlin,Germany:Springer,2005:457-473.

[2]GoyalV,PandeyO,SahaiA,etal.Attribute-basedencryptionforfine-grainedaccesscontrolofencrypteddata[C]//Proceedingsofthe13thACMConferenceonComputerandCommunicationsSecurity.NewYork,NY,USA:ACM,2006:89-98.

[3]BethencourtJ,SahaiA,WatersB.Ciphertext-policyattribute-basedencryption[C]//Proceedingofthe2007IEEESymposiumonSecurityandPrivacy.Piscataway,NJ,USA:IEEE,2007:321-334.

[4]KapadiaA,TsangPP,SmithSW.Attribute-basedpublishingwithhiddencredentialsandhiddenpolicies[C]//2007Network&DistributedSystemSecuritySymposium,2007:179-192.[5]LaiJ,DengRH,LiY.Fullysecurecipertext-policyhidingCP-ABE[C]//Proceedingsofthe7thInternationalConferenceonInformationSecurityPracticeandExperience,2011:24-39.

[6] 解理,任艷麗.隱藏訪問結構的高效基于屬性加密方案[J].西安電子科技大學學報(自然科學版),2015,42(3):97-102.

[7]PhuongTVX,YangG,SusiloW.Hiddenciphertextpolicyattribute-basedencryptionunderstandardassumptions[J].IEEETransactionsonInformationForensicsandSecurity,2015,11(1):35-45.

[8]LaiJ,DengRH,LiY.ExpressiveCP-ABEwithpartiallyhiddenaccessstructures[C]//Proceedingsofthe7thACMSymposiumonInformation,ComputerandCommunicationsSecurity.ACM,2012:18-19.

[9]CamenischJ,DubovitskayaM,EnderleinRR,etal.Oblivioustransferwithhiddenaccesscontrolfromattribute-basedencryption[C]//Proceedingsofthe8thInternationalConferenceonSecurityandCryptographyforNetworks.Springer,2012:559-579.

[10]LiJ,RenK,ZhuB,etal.Privacy-awareattribute-basedencryptionwithuseraccountability[C]//Proceedingsofthe12thInternationalConferenceonInformationSecurity.Springer,2009:347-362.

[11]LiuZ,CaoZ,WongDS.White-boxtraceableciphertext-policyattribute-basedencryptionsupportinganymonotoneaccessstructures[J].IEEETransactionsonInformationForensicsandSecurity,2013,8(1):76-88.

[12]NingJ,CaoZ,DongX,etal.Largeuniverseciphertext-policyattribute-basedencryptionwithwhite-boxtraceability[C]//19thEuropeanSymposiumonResearchinComputerSecurity,Wroclaw,Poland.Springer,2014:55-72.

[13]YuS,RenK,LouW,etal.DefendingagainstkeyabuseattacksinKP-ABEenabledbroadcastsystems[C]//5thInternationalConferenceonSecurityandPrivacyinCommunicationNetworks.Springer,2009:311-329.

[14]BonehD,BoyenX.ShortsignatureswithoutrandomOraclesandtheSDHassumptioninbilineargroups[J].JournalofCryptology,2008,21(2):149-177.

A SECURE AND TRACEABLE ATTRIBUTE-BASED ENCRYPTION SCHEME WITH ACCESS STRUCTURES

Wang Mei Sun Len

(PasswordEngineeringInstitute,PLAInformationEngineeringUniversity,Zhengzhou450000,Henan,China)

Referring to the problem that the traditional attribute-based Encryption schemes could not trace the malicious use and hide access structures at the same time, and the shortage that length of ciphertext and secret key increased with the number of attributes and large computing in decryption, large researches were put into several attribute-based encryption schemes with traitor tracing and hidden access structures separately. Combined with secure signature mechanism and the method of multi attribute value, a ciphertext-policy attribute-based encryption scheme supporting traitor tracing and hidden access structures was proposed. Based on the decisional bilinear Diffie-Hellman (DBDH) assumption, the scheme was proved fully secure. Moreover, it achieves constant size of private key and ciphertext and constant number of pairing computations.

Attribute-based encryption Traceability Hidden access structures DBDH assumption

2015-12-23。國家重點基礎研究發展計劃項目(2011CB311801)。王梅，碩士生，主研領域：云計算，信息安全。孫磊，副研究員。

TP309

A

10.3969/j.issn.1000-386x.2017.02.048