具有隱私保護(hù)的固定密文長度分布式屬性基加密方案

李非非 韓 笑 曾 琦

(河海大學(xué)計算機(jī)與信息學(xué)院 江蘇 南京 211100)

0 引 言

在信息安全領(lǐng)域，細(xì)粒度的訪問控制[1-2]可以靈活地指定不同用戶擁有不同的訪問權(quán)限。由Sahai等[3]首先提出的屬性基加密可以同時確保數(shù)據(jù)機(jī)密性和靈活的訪問控制，成為云存儲[3-5]等分布式環(huán)境中一種潛在的技術(shù)。屬性基加密方案通常由四個實體構(gòu)成：數(shù)據(jù)擁有者、用戶、認(rèn)證機(jī)構(gòu)和存儲服務(wù)器，如：云存儲服務(wù)器。數(shù)據(jù)擁有者使用選定的訪問結(jié)構(gòu)加密數(shù)據(jù)，并將加密后的數(shù)據(jù)上傳到云存儲服務(wù)器。認(rèn)證機(jī)構(gòu)負(fù)責(zé)為用戶頒發(fā)屬性私鑰。用戶從認(rèn)證機(jī)構(gòu)處獲得私鑰后，如果他想要訪問加密的數(shù)據(jù)，那么他應(yīng)先從云端下載加密數(shù)據(jù)，然后對比他的屬性列表是否滿足加密時由數(shù)據(jù)擁有者選擇的訪問策略。云存儲服務(wù)器負(fù)責(zé)提供計算和存儲功能。屬性基加密方案分為兩大類：密鑰-策略屬性基加密(KP-ABE)[6-9]和密文-策略屬性基加密(CP-ABE)[10-12]。在KP-ABE方案中，密文與一個屬性集合相關(guān)，訪問結(jié)構(gòu)嵌入在密鑰中。在CP-ABE方案中，訪問結(jié)構(gòu)嵌入在密文中，密鑰與一個屬性集合相關(guān)。

第一個KP-ABE[4]方案使用了單一的授權(quán)機(jī)構(gòu)。在這個方案中由于單一授權(quán)機(jī)構(gòu)可以生成任意用戶的私鑰，導(dǎo)致其權(quán)限過高而成為抵抗安全性攻擊的薄弱點(diǎn)，尤其是在大規(guī)模的系統(tǒng)中。因此，Chase[7]提出了多授權(quán)機(jī)構(gòu)的屬性基加密方案，該方案中多個授權(quán)機(jī)構(gòu)管理不相交的屬性集合。用戶與多個授權(quán)機(jī)構(gòu)進(jìn)行交互獲得解密密鑰。如果多授權(quán)機(jī)構(gòu)的屬性基加密方案未能保護(hù)用戶隱私，那么所有的授權(quán)機(jī)構(gòu)可以通過合謀來共享用戶一些特殊的信息(如：屬性)，從而泄露用戶的身份信息。因此，在屬性基加密方案中保護(hù)用戶的隱私是極其重要的。第一個隱私保護(hù)的分布式KP-ABE方案由韓等[9]提出，之后韓等[13]又提出了一個提高隱私性和安全性的分布式CP-ABE方案。不幸的是文獻(xiàn)[9]中的方案不能抵抗合謀攻擊[14]。因此，為了解決用戶合謀攻擊的問題，Yogachandran等[15]提出了一個抵抗用戶合謀攻擊的隱私保護(hù)的分布式KP-ABE。此外，Qian等[16]提出了一個保護(hù)用戶隱私且完全隱藏訪問策略的分布式CP-ABE。

在基本的CP-ABE方案中[4-5,12]，密文長度隨著訪問結(jié)構(gòu)中的屬性個數(shù)呈線性增長，從而增加了接收者的通信代價和存儲代價，從而限制了屬性基加密的應(yīng)用場景，尤其是傳感器等帶寬資源受限的設(shè)備。因此，本文在實現(xiàn)用戶隱私保護(hù)的同時，確保了密文長度固定。在多授權(quán)屬性基加密方案中，文獻(xiàn)[17]已實現(xiàn)了密文長度固定，但是該方案未能實現(xiàn)對用戶隱私的保護(hù)，且沒能解決密鑰托管問題。

目前，支持靈活擴(kuò)展[18-19]和屬性撤銷的屬性基[20]加密方案也被提出，并被廣泛使用在多種場合。由于文中所提方案確保數(shù)據(jù)機(jī)密性的同時還能夠保護(hù)用戶的隱私，以及減少用戶的通信代價和存儲代價，因此該方案可以應(yīng)用于智能電網(wǎng)系統(tǒng)中。智能電網(wǎng)控制中心可以通過我們提出的具有隱私保護(hù)功能的固定密文長度分布式屬性基加密方案(PCD)對用戶的用電信息進(jìn)行加密，指定的用戶群體獲取到相應(yīng)的解密密鑰后可以通過執(zhí)行解密算法獲得原始信息。

1 預(yù)備知識

1.1 雙線性對映射

定義1設(shè)G和GT是具有素數(shù)階p的乘法循環(huán)群，假設(shè)g是G的生成元。設(shè)雙線性映射e:G×G→GT，那么它滿足以下屬性：

1) 雙線性：對于任意的u,v∈G和隨機(jī)選擇的x,y∈Zp，都有e(ux,vy)=e(uy,vx)=e(u,v)xy。

2) 非退化性：存在元素u,v∈G，使得e(u,v)≠1。

3) 可計算性：對于任意元素u,v∈G，存在一個有效的算法來計算e(u,v)。

1.2 復(fù)雜性假設(shè)

定義2判定性雙線性Diffie-Hellman困難問題，簡稱DBDH困難問題。

1.3 訪問結(jié)構(gòu)

2 具體的方案構(gòu)造

本文方案包含以下五個算法。

算法1設(shè)置算法

算法2認(rèn)證機(jī)構(gòu)設(shè)置算法

算法3加密算法

為了加密消息M∈GT基于訪問結(jié)構(gòu)，數(shù)據(jù)擁有者首先根據(jù)相應(yīng)的轉(zhuǎn)換規(guī)則將“與/或”門多值屬性訪問結(jié)構(gòu)轉(zhuǎn)換為樹訪問結(jié)構(gòu)。數(shù)據(jù)擁有者選取隨機(jī)數(shù)并計算其中In是認(rèn)證機(jī)構(gòu)索引的集合，這些認(rèn)證機(jī)構(gòu)管理的屬性用于加密消息M。

數(shù)據(jù)擁有者初始化根節(jié)點(diǎn)為t，標(biāo)記根節(jié)點(diǎn)為已讀狀態(tài)，同時標(biāo)記其所有孩子節(jié)點(diǎn)為未讀狀態(tài)。

(2) 如果訪問策略中的操作符是∨且它的孩子節(jié)點(diǎn)是未讀狀態(tài)，數(shù)據(jù)擁有者將其所有孩子節(jié)點(diǎn)設(shè)置為隨機(jī)數(shù)ti并標(biāo)記這些孩子節(jié)點(diǎn)為已讀狀態(tài)。

算法4密鑰提取算法

算法5解密算法

3 安全性分析

文中所提方案可以在選擇性安全模型中被證明滿足選擇明文攻擊安全。具體證明過程是將提出的基礎(chǔ)方案規(guī)約到判定性DBDH困難問題。假設(shè)敵手A能夠攻破我們的方案，那么存在算法B可以利用敵手A的優(yōu)勢攻破判定性DBDH困難問題。由于判定性DBDH困難問題不可解，因此假設(shè)不成立，從而得證本文方案的安全性。下面給出本方案的抵抗選擇明文攻擊安全的游戲模型，該模型中包含兩類參與者，分別是攻擊者A和挑戰(zhàn)者B。

全局設(shè)置階段挑戰(zhàn)者運(yùn)行上述方案中的設(shè)置算法輸出公開參數(shù)par，然后將其發(fā)送給攻擊者。

認(rèn)證機(jī)構(gòu)設(shè)置階段挑戰(zhàn)者運(yùn)行方案中的認(rèn)證機(jī)構(gòu)設(shè)置算法生成主公私鑰對(MPKi,MSKi)，該階段分以下三種情況：

(1) 對于合謀的認(rèn)證機(jī)構(gòu)，挑戰(zhàn)者將主公私鑰對(MSKi,MPKi)發(fā)送給攻擊者A。

(2) 對于誠實的認(rèn)證機(jī)構(gòu)，挑戰(zhàn)者僅將主公鑰MPKi其發(fā)送給攻擊者A。

(3) 對于半誠實的認(rèn)證機(jī)構(gòu)，挑戰(zhàn)者將主公鑰MPKi及部分主私鑰發(fā)送給攻擊者A。

詢問階段2與詢問階段1相同。

定義3如果一個具有隱私保護(hù)功能的固定密文長度分布式屬性基加密方案(PCD)是抵抗選擇明文攻擊安全的，那么所有的概率多項式時間的攻擊者贏得上述游戲的優(yōu)勢均是可忽略的。

4 性能分析

通過將本文所提出的方案與文獻(xiàn)[13]、文獻(xiàn)[16]、文獻(xiàn)[17]從功能實現(xiàn)、參數(shù)長度、加解密時間三個方面進(jìn)行比較，證實了我們方案的可行性以及實用性。從參數(shù)長度及加解密時間對比結(jié)果的分析中(如表1、表2所示)可以看出本文方案的參數(shù)長度及加解密時間代價均高于文獻(xiàn)[17]，但是我們方案的功能比較完善，如表3所示，且使用的訪問策略也比文獻(xiàn)[17]更加靈活。此外，本方案訪問策略不如文獻(xiàn)[13]靈活，但是文獻(xiàn)[13]中密文長度隨著訪問策略復(fù)雜性的增加呈線性增長，而本方案能夠確保密文長度固定。

表1 本文方案與其他方案的存儲代價對比

表2 本文方案與其他方案的加解密計算代價對比

表3 本文方案與其他方案的功能對比

5 結(jié) 語

本文提出了一個具有固定密文長度且支持隱私保護(hù)和完全隱藏訪問結(jié)構(gòu)的分布式CP-ABE方案，方案中密文長度和解密代價是固定的，與訪問結(jié)構(gòu)的復(fù)雜性無關(guān)，從而有效降低了用戶端的通信代價，存儲代價以及計算開銷。通過實現(xiàn)用戶隱私的保護(hù)拓寬了屬性基加密方案的應(yīng)用場景。目前該方案的安全性滿足選擇性安全模型下選擇明文攻擊安全，下一階段我們的工作是將其擴(kuò)展到選擇密文攻擊安全。

參考文獻(xiàn)

[1] Rafaeli S, Hutchison D. A survey of key management for secure group communication[J].ACM Computing Surveys, 2003, 35(3):309-329.

[2] Boneh D, Franklin M. Identity based encryption from the Weil pairing [J]. Siam Journal on Computing, 2012, 32(3):213-229.

[3] Sahai A, Waters B. Fuzzy identity-based encryption[C]//International Conference on Theory and Applications of Cryptographic Techniques. Springer-Verlag, 2005:457-473.

[4] Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//ACM Conference on Computer and Communications Security. ACM, 2006:89-98.

[5] Bethencourt J, Sahai A, Waters B. Ciphertext-Policy Attribute-Based Encryption[C]//IEEE Symposium on Security and Privacy. IEEE Computer Society, 2007:321-334.

[6] Ostrovsky R, Sahai A, Waters B. Attribute-based encryption with non-monotonic access structures[C]//Ccs 07 Acm Conference on Computer & Communications Security,2007:195-203.

[7] Chase M. Multi-authority Attribute Based Encryption[M]//Theory of Cryptography. Springer Berlin Heidelberg, 2007:515-534.

[8] Chase M, Chow S S M. Improving privacy and security in multi-authority attribute-based encryption[C]//ACM Conference on Computer and Communications Security. ACM, 2009:121-130.

[9] Han J, Susilo W, Mu Y, et al. Privacy-Preserving Decentralized Key-Policy Attribute-Based Encryption[J]. IEEE Transactions on Parallel & Distributed Systems, 2012, 23(11):2150-2162.

[10] Ling C, Newport C. Provably secure ciphertext policy ABE[C]//ACM Conference on Computer and Communications Security. ACM, 2007:456-465.

[11] Herranz J, Laguillaumie F, Ràfols C. Constant Size Ciphertexts in Threshold Attribute-Based Encryption[C]//International Conference on Practice and Theory in Public Key Cryptography. Springer-Verlag, 2010:19-34.

[12] Waters B. Ciphertext-Policy Attribute-Based Encryption:An Expressive, Efficient, and Provably Secure Realization[C]//International Workshop on Public Key Cryptography. Springer, Berlin, Heidelberg, 2011:53-70.

[13] Han J, Susilo W, Mu Y, et al. Improving Privacy and Security in Decentralized Ciphertext-Policy Attribute-Based Encryption[J]. IEEE Transactions on Information Forensics & Security, 2015, 10(3):665-678.

[14] Ge A, Zhang J, Zhang R, et al. Security Analysis of a Privacy-Preserving Decentralized Key-Policy Attribute-Based Encryption Scheme[J]. IEEE Transactions on Parallel & Distributed Systems, 2013, 24(11):2319-2321.

[15] Rahulamathavan Y, Veluru S, Han J, et al. User Collusion Avoidance Scheme for Privacy-Preserving Decentralized Key-Policy Attribute-Based Encryption[J]. IEEE Transactions on Computers, 2016, 65(9):2939-2946.

[16] Qian H, Li J, Zhang Y. Privacy-Preserving Decentralized Ciphertext-Policy Attribute-Based Encryption with Fully Hidden Access Structure[M]//Information and Communications Security. Springer International Publishing, 2013:363-372.

[17] Chen Y, Song L, Yang G. Attribute-Based Access Control for Multi-Authority Systems with Constant Size Ciphertext in Cloud Computing[J]. 中國通信(英文版), 2016, 13(2):146-162.

[18] Yu S, Wang C, Ren K, et al. Achieving secure, scalable, and fine-grained data access control in cloud computing[C]//Conference on Information Communications. IEEE Press, 2010:534-542.

[19] Wan Z, Liu J, Deng R H. HASBE:A Hierarchical Attribute-Based Solution for Flexible and Scalable Access Control in Cloud Computing[J]. IEEE Transactions on Information Forensics & Security, 2012, 7(2):743-754.

[20] Yang K, Jia X, Ren K. Attribute-based fine-grained access control with efficient revocation in cloud storage systems[C]//ACM Sigsac Symposium on Information, Computer and Communications Security. ACM, 2013:523-528.