多屬性授權機構環(huán)境下屬性可撤銷的CP-ABE方案

張玉磊,,,

(西北師范大學 計算機科學與工程學院,蘭州 730070)

0 概述

云計算平臺可以將計算資源動態(tài)地提供給用戶,數據擁有者能夠將自己的數據存儲在云存儲服務器中。但存儲到云端的數據可能包含數據擁有者的敏感信息,因此,數據擁有者無法像管理本地數據一樣保護數據的隱私和安全。傳統公鑰密碼系統僅支持“一對一”加密形式,缺乏靈活的訪問控制策略。2005年,文獻[1]提出了一種新的公鑰加密體制,即屬性基加密(Attribute-based Encrytion,ABE)體制。屬性基加密可以實現“一對多”的數據加密和高效的細粒度信息共享,因此,被認為是云存儲平臺中靈活實現訪問控制的方法之一[2-3]。現有的以密文策略為基礎的屬性基加密方案[4-6]僅適用于用戶屬性和密鑰的分發(fā)屬于同一機構,然而用戶屬性可能保存在不同的云存儲服務器。在實際應用環(huán)境中,可能會發(fā)生屬性撤銷、用戶權限變更等操作,所以在多個服務器上實現數據安全共享并實現屬性撤銷成為亟待解決的問題。

對于單一授權機構的可撤銷屬性基加密體制[7-8],中央授權機構(Central Authority,CA)需管理所有用戶屬性和密鑰分發(fā),在計算規(guī)模較大的云存儲環(huán)境中,即使將加解密操作外包給第三方服務器,CA還是容易不堪重負造成運行效率低和數據安全威脅等問題。2007年,文獻[9]提出了一個將私鑰和用戶身份標記(GID)組合的屬性基加密方案。由于CA知道用戶私鑰和系統主密鑰,若CA遭到攻擊,那么所有的數據將被泄露,同時,該方案沒有考慮屬性撤銷功能。2014年,文獻[10]提出一個無CA且屬性授權機構(Attribute Authority,AA)之間不需要協同的方案,但該方案不能較好地實現身份隱藏。文獻[11]利用CA發(fā)布具有時間閾值期的密鑰實現屬性的撤銷問題,但該方案提出的這種撤銷方式不滿足前向和后向安全性。2015年,文獻[12]通過密鑰更新機制實現用戶撤銷,同時通過重加密操作保護云端的數據安全,但該方案未能實現屬性撤銷功能。2016年,文獻[13]提出了一個支持多授權方可撤銷屬性的屬性基加密方案,該方案滿足前向安全性和后向安全性,將時間期限加入到密文和解密密鑰中,實現屬性撤銷功能。本文提出一個多屬性授權機構環(huán)境下基于CP-ABE的屬性撤銷加密方案。該方案結合代理重加密和密文策略屬性基加密技術實現屬性撤銷,使用多個屬性授權機構,可降低單個屬性授權機構所帶來的安全威脅。用戶的私鑰由數據擁有者和多個屬性授權機構共同產生,以抵御多個屬性授權機構的共謀攻擊。

1 背景知識

背景知識定義如下:

1)雙線性映射。設置2個階為素數p的乘法循環(huán)群G和GT,存在一個雙線性映射e:G×G→GT能夠滿足如下性質:

(1)雙線性:?g,h∈G,?a,b∈Zp,滿足e(ga,hb)=e(g,h)ab。

(2)非退化性:?g∈G,滿足e(g,g)≠1,1是GT的單位元。

(3)可計算性:對P,Q∈G,能夠有效地計算e(P,Q)。

2)訪問結構[14]。設參與者的集合P={P1,P2,…,Pn},授權參與者的子集合Γc=2{P1,P2,…,Pn},非授權參與者的子集合Γc=2{P1,P2,…,Pn}Γ。若B∈Γ且B?C,B、C的子集表示為{P1,P2,…,Pn},則C∈Γ,那么就稱Γ?2P單調。

Pr[B(ga,gb,gc,e(g,g)z)=1]|

2 多屬性授權機構的可撤銷ABE方案模型

2.1 可撤銷ABE系統架構

系統主要包括數據擁有者(Data Owner,DO)、數據用戶(Data User,DU)、N個屬性授權中心(Attribute Authority,AA)和云存儲服務器(Cloud Storage Server,CSS)4個主體。可撤銷ABE系統架構如圖1所示。

圖1 可撤銷ABE系統架構系統結構

1)數據擁有者:數據的擁有者為數據定制訪問結構W并生成隨機數用于用戶解密,并對數據進行加密操作上傳密文CT至云存儲服務器。

2)云存儲服務器:存儲DO上傳的密文CT,當屬性授權中心AA通知需要更新密文時,對DO上傳的密文進行重加密操作。

3)屬性授權中心:系統中有N個AA,主要負責生成系統參數和主密鑰,管理DO的不同屬性集,為用戶生成、分發(fā)部分私鑰,要求AA被用戶完全信任。

4)用戶:數據的使用者。當版本號驗證成功并且屬性滿足密文相對應的訪問結構時可以解密密文。

2.2 可撤銷ABE方案形式化結構

多授權機構的可撤銷屬性基加密方案包括以下算法:

1)Setup:多個屬性授權中心運行該算法,首先生成一個屬性集合U,每個AA管理一個不同的屬性集合Ui,然后生成系統參數和系統主密鑰。

3)Encrypt:該算法由DO執(zhí)行。輸入消息m,指定訪問結構W,輸出密文CT。

5)Decrypt:數據用戶收到密文后,首先檢查私鑰版本號,若一致則進行解密操作,否則更新密鑰并準備執(zhí)行ReEncrypt算法;算法輸入SKL和L,輸出明文消息m。

6)Rekey Gen:當系統中的用戶需要撤銷時,屬性授權中心將新的版本號ux通過安全信道發(fā)送給用戶,輸出代理重加密密鑰Rsk。

7)ReEncrypt:該算法由CSS執(zhí)行。輸入密文CT和重加密密鑰Rsk,輸出重加密后的密文CT′。

2.3 可撤銷屬性基加密方案安全模型

下面將給出多屬性授權機構環(huán)境下支持撤銷的CP-ABE方案在選擇明文攻擊下的不可區(qū)分性的安全模型。在這種安全模型中,敵手A需要選擇自己要挑戰(zhàn)的訪問結構發(fā)送給挑戰(zhàn)者B,同時A能夠從B中獲得滿足自己訪問結構的屬性集相應的私鑰。通過敵手和挑戰(zhàn)者的游戲來構建安全模型,模型為選擇明文安全。

1)初始化(Init)

2)系統建立(Setup)

B運行Setup算法,將產生的系統參數params發(fā)送給A。

3)查詢階段1(Phase1)

A將自己的屬性集提交給B,B運行密鑰生成算法生成相應的私鑰發(fā)送給A。

4)挑戰(zhàn)階段(Challenge)

A向B提交2個消息長度相等的明文M0和M1,B進行拋硬幣實驗隨機得b∈{0,1},然后運行加密算法,將加密后的密文發(fā)給A。

5)查詢階段2(Phase2)

A進行與Phase1一致的操作。

6)猜測(Guess)

A對b進行猜測,若猜測的b′=b,則B贏得了游戲。B進行游戲獲得成功的公式為:

3 多授權機構可撤銷的密文策略ABE方案

3.1 方案構造

密文策略屬性基加密方案如下:

1)Setup

2)KenGen(msk,L)

3)Encrypt(params,m,W)

5)Decrypt(CT,SKL,params)

6)Rekeygen(U,params)

7)ReEncrypt(CT,Rsk)

云存儲服務器收到密文CT和重加密密鑰Rsk后,執(zhí)行以下計算:

輸出重加密密文:

8)Rekey(SKL,Rsk)

3.2 方案的正確性分析

方案的正確性分析過程如下:

1)用戶從云存儲服務器獲得的合法密文CT可以被正確解密。

D=e(C0,d1)=e(gs,gr)=e(g,g)sr

2)密鑰更新后的重加密密文可以被正確解密。

3.3 方案的安全性分析

本文提出的加密方案支持多屬性授權機構環(huán)境下屬性撤銷,下文將給出方案選擇明文攻擊下密文不可區(qū)分性IND-CPA證明過程。當用戶屬性撤銷操作發(fā)生時,云服務器會重新計算密文,并更新版本號獲得新的密鑰。當新用戶加入系統時,密鑰中由DO生成的隨機數已經改變,即使用戶獲得密鑰前已經了解以前的密文并且滿足訪問結構,也不能解密出使用以前密鑰所加密的密文。

定理若DBDH困難問題在群(G0,G1)上成立,則方案具有IND-CPA安全。

挑戰(zhàn)者B隨機選擇a,b,c,z∈Zp,設G是乘法循環(huán)群,其階為素數p,生成元是g;令e:G0×G0→G1是雙線性映射。挑戰(zhàn)者B隨機拋硬幣得到隨機值μ∈{0,1},若μ=0,令Z=e(g,g)abc,即(g,A,B,C,Z)=(g,ga,gb,gc,gabc),否則令Z=e(g,g)z,即(g,A,B,C,Z)=(g,ga,gb,gc,gz)。然后挑戰(zhàn)者B將所得結果發(fā)送給模擬者X,此時模擬者X在DBDH游戲中充當挑戰(zhàn)者的角色。

1)初始化(Init)

2)系統建立(Setup)

3)查詢階段1(Phase1)

4)挑戰(zhàn)階段(Challenge)

5)查詢階段2(Phase2)

與查詢階段1一致。

6)猜測(Guess)

4 性能分析

本節(jié)對文獻[6,13,16]的方案和本文方案的有無CA、單授權機構/多授權機構、屬性撤銷等方面進行分析比較。

與文獻[6,16]的方案相比,本文方案支持屬性撤銷、無須CA、多屬性授權機構,具有更多的功能和更好的靈活性。當發(fā)生用戶屬性撤銷時,授權機構就會更新密鑰中所包含的版本號,利用云服務器重加密技術計算新的解密密鑰,因此,在用戶屬性撤銷發(fā)生時,不會給DO和未被撤銷的DU增加額外的計算開銷。不同方案功能對比如表1所示,其中,√表示有,×表示無。

表1 不同方案功能對比

與文獻[13]方案相比,兩者均能實現多屬性授權機構的屬性撤銷。通過理論數值分析,對本文方案和文獻[13]方案的計算開銷進行比較。P表示為雙線性對運算、E表示為指數運算、M表示為點乘運算,這3種運算是開銷對比過程中主要考慮的運算,其中雙線性對運算的計算代價高。如表2所示,本文方案的加密過程對這3種運算的使用比文獻[13]方案少;在解密過程中,本文方案比文獻[13]方案的指數運算和雙線性對運算也有明顯減少。因此,與文獻[13]方案相比,本文方案降低了加解密的計算開銷,具有較高的運行效率。

表2 計算開銷表

5 結束語

本文構造一個多屬性授權機構環(huán)境下基于CP-ABE的屬性撤銷加密方案,該方案在DBDH困難問題假設下實現IND-CPA安全。通過版本號標記法實現用戶屬性撤銷,建立訪問樹結構管理不同屬性授權機構所頒發(fā)的屬性,能夠抵抗多個屬性授權機構的聯合攻擊,有效保護數據用戶的隱私,實現用戶的細粒度訪問。與文獻[6,13,16]方案相比,本文方案對消息加解密的效率更高。同時,云存儲平臺和代理重加密技術可減少屬性授權機構的工作量,降低用戶的計算消耗。