隱私保護的可驗證外包屬性基解密方案

李 聰,楊曉元,王緒安

1(武警工程大學 網絡與信息安全武警部隊重點實驗室,西安 710086)2(武警工程大學 密碼工程學院,西安 710086)

1 引 言

大數據時代,大量的數據快速產生于不同的來源(例如,智能手機,傳感器,社交網絡等),傳統的計算機系統已無法完成對這些數據的存儲和處理.隨著云計算的快速發展,用戶端可以將他們的數據存儲到云端,并依靠云服務器與其他用戶共享數據.當數據外包到云端時,終端用戶會失去對數據的物理控制,同時,云服務提供商也不可完全信任.Qin et al.[6]提出了可驗證的外包解密方案,通過建立驗證標簽,可有效檢驗云計算結果的正確性.但因訪問策略以明文形式附加在密文中,訪問策略可能泄露用戶隱私.例如,Alice加密她的數據給“眼科醫生”訪問,那么訪問策略可能包含屬性“眼科”和“醫生”.如果有人看到這些數據,雖然無法解密數據,但是仍然可以猜測,Alice可能是遭受了一些眼科疾病,這就泄漏了Alice的隱私.為了使終端用戶能夠有效控制自己的數據訪問,支持隱私保護的訪問控制方案被提出.

現有的基于屬性訪問控制方案可以處理屬性撤銷問題[3-5].Nishide et al.[8]提出進行部分屬性隱藏的訪問策略,但其只能應用在特殊的與門結構中.Li et al.[9]應用屬性的哈希值代表屬性值,進行訪問策略的部分信息隱藏.Lai et al.[11]提出了一個完全安全的部分隱藏訪問策略的CP-ABE方案,該方案僅限于一個特定的訪問策略.Boneh et al.[10]提出隱藏矢量加密的策略隱藏方案.然而,所有這些現有的方案只是運用通配符隱藏了屬性的值,或隱藏加密向量.隱藏屬性值可以在某種程度上保護用戶隱私,但屬性名也會泄露隱私信息.此外,大多數部分策略隱藏方案只支持特定的策略結構.Yang Kan et al.[7]提出了一個有效隱私保護的大數據訪問控制方案,利用屬性布魯姆過濾器可檢測定位屬性的位置,很好的實現了屬性策略的隱私保護,但是該方案加解密密文隨著策略復雜性而增加,加密解密數率慢不適用于小型移動設備.

針對CP-ABE訪問結構的隱私性和計算效率問題,本文提出了一個支持隱私保護和減少用戶解密代價的訪問控制方案,利用屬性布魯姆過濾器,簡單的移除屬性匹配函數來隱藏屬性,實現對訪問策略屬性的完全隱藏(包括屬性名及屬性值),即使解密者也不知道自己的哪些屬性可以解密密文.同時將計算代價大的解密操作外包給云服務器執行,以降低用戶的計算量,為防止云端的錯誤行為或惡意攻擊,提供了轉換密文的驗證功能,確保轉換密文的正確性.本文運用線性秘密共享方案LSSS中訪問結構,不局限在特定的訪問結構.此外,在保護政策隱私下沒有增加任何遠程訪問的開銷.

2 基礎知識

2.1 線性私密共享方案(LSSS)

定義1.當滿足以下兩個條件時,參與方P上的秘密共享方案Π在ZP域上是線性的[6].

1)各方共享的秘密形成一個ZP域上的矩陣;

2.2 布魯姆過濾器

布魯姆過濾器(BF)是由m位的數組和k個獨立的哈希函數組成[7].定義:hi:{0,1}*→[1,m],1≤i≤k.最初設置所有數組的位為0,當給集合增加一個元素e時,布魯姆過濾器構造算法計算元素e的所有位置指數,并設置數組中相應位置的值為1.如圖1,例如布魯姆過濾器設置集合{x,y},位上的值通過哈希函數h1(x),h2(x),h3(x),h1(y),h2(y),h3(y)等的索引設置為1.

當檢測一個元素x是否在集合S中時,ABFQuery算法計算所有的哈希函數的值{hi(x)}i∈[1,k],獲得數組中k個位置,如果這k個位置的值都是0,那么,元素x不在集合S中,如果所有位的值都是1,則元素x是可能在集合S中.也有可能元素x?S,但是hi(x)相應位的數值也是1,這稱為假陽性.如圖1中元素w,w?{x,y}但是其相應的位也都是1.

圖1 布魯姆過濾器Fig.1 An example bloom filter

2.3 密鑰提取器

定理1.當H∞(X|Z)≥log|Y|+2log|1/|時,成對獨立的哈希函數H:(h:X→Y)是平均(H∞(X|Z),)的強提取器[6].

3 本文方案模型及安全模型

3.1 方案模型

定義2.大數據訪問控制方案由以下五個算法組成:

1)Setup(1λ):該算法輸入安全參數λ,輸出共公參數MPK和主私鑰MSK.

2)KeyGen′(MPK,MSK,S):該算法輸入主私鑰MSK、共公參數MPK和一組屬性S,輸出相應私鑰SK′.

3)Encrypt(PK,m,(M,ρ)):該加密算法包括:加密子算法·Enc和屬性布魯姆過濾器構造子算法·ABFBuild.

·Enc(MPK,m,(M,ρ)):該算法輸入共公參數MPK、明文消息m和訪問結構(M,ρ),輸出驗證密鑰VK=Lab和密文CT.

·ABFBuild(M,ρ):該算法輸入訪問策略(M,ρ),輸出屬性布魯姆過濾器ABF.

4)KeyGenout(MPK,MSK,S):該算法輸入共公參數MPK,主私鑰MSK和屬性集S,輸出轉換私鑰為SK=z,轉換公鑰為TK.

5)Decrypt(M,ABF,TK,SK,CT):該解密算法是由三個子算法組成·ABFQuery,·Tranformout和·Dec.

·ABFQuery(ABF,MPK,S):該ABF詢問算法輸入屬性集S、屬性布魯姆過濾器和共公參數MPK.輸出重構的屬性映射函數ρ′={(rownum,att)}S,ρ′可以展現所有屬性att∈S在訪問矩陣中的行數.

·Tranformout(TK,CT,(M,ρ′)):該數據解密算法輸入密鑰TK和密文CT,還有訪問矩陣和重構的映射函數ρ′.可以獲得轉換密文CTout=(U,Q,CSE,C).

·Dec(SK,CTout):該數據解密算法輸入密鑰SK和密文CTout,然后驗證轉換結果的正確性,輸出⊥或者恢復明文得m.

3.2 安全模型

本文方案是不可區分的選擇明文攻擊安全,定義安全游戲模型,敵手A和挑戰者模擬器B.

Init:敵手選擇一個挑戰訪問結構(M*,ρ*),M*是l*×n*的矩陣,ρ*是將矩陣M*中的每一行映射給某一屬性.

Setup:挑戰者運行初始化算法,把共公參數PK傳給敵手A.

Phase1:敵手發布與屬性Satt有關的相關私鑰的詢問.

1)假如Satt滿足(M*,ρ*),則終止詢問.

2)如果Satt不滿足(M*,ρ*),則挑戰者生成屬性相關的私鑰發送給敵手A.

Challenge:敵手A提交兩個等長的消息m0和m1給挑戰者,挑戰者B選擇隨機數b∈{0,1},并在挑戰訪問結構(M*,ρ*)下加密消息mb,最后生成挑戰密文CT*發送給敵手A.

Phase2:階段2繼續進行階段1相同的詢問.

Guess:敵手輸出猜測的b′,敵手成功的優勢為Adv(A)=|Pr[b′=b]-1/2|.

4 隱私保護的可驗證外包數據訪問控制方案

本文訪問控制方案是在方案[6]的基礎上構造的,本文的訪問策略隱私保護方法,可以保護任何的CP-ABE方案(基于LSSS結構的訪問策略).

1)初始化算法

2)密鑰生成算法

每一個數據使用者都應該在屬性權威中心登記和身份鑒定,如果有數據使用者不合法,則該算法立刻終止.若合法,則屬性權威中心會根據使用者的角色,在屬性空間U中設置一組屬性S,并產生相應的私鑰SK′.

3)加密算法

C=R·e(g,g)αs,C′=gs,

傳統的布魯姆過濾器只提供了成員查詢,我們不僅需要評估一個屬性是否在訪問策略中,還需要定位屬性在訪問矩陣中的精確行數.此外,由于假陽性性能,傳統布魯姆過濾器不能應用于屬性定位.為此,我們采用了亂碼布魯姆過濾器[7]作為我們的屬性定位算法.

圖2 LSSS訪問結構和屬性布魯姆過濾器Fig.2 LSSS access policy and attribute bloom filter

雖然亂碼屬性布魯姆過濾器實現假陽性低得多,它仍然是只對成員查詢.為了精確地將屬性定位到相應訪問矩陣中的行數,我們使用一個特定的字符串作為的亂碼布魯姆過濾器元件.如圖3,元素是兩個固定長度字符串的串聯:Lrownum表示行數,Latt表示屬性,Lrownum+Latt=λ.

圖3 屬性字符串Fig.3 Attribute string

ABFBuild(M,ρ):該算法輸入訪問策略(M,ρ),然后,結合訪問策略中的屬性和該屬性所在的行數,構造Se={i‖atte}i∈[1,l],即atte=ρ(i),行數和屬性的二進制位的左邊添加0字符串達到最大位.在屬性布魯姆過濾器中,每次在Se中添加一個元素e,該算法首先利用(k,k)秘密共享方案,隨機生成k-1個λ位的字符串r1,e,r2,e,…,rk-1,e,并設置rk,e=r1,e⊕r2,e⊕…⊕rk-1,e⊕e,來共享屬性e.然后計算:

H1(atte),H2(atte),…,Hk(atte)

每一個Hi(atte)(i∈[1,k])代表屬性e在ABF中的一個位置索引.如圖4,在ABF中存儲第i個屬性,通過Hi(atte)索引共享的ri位置如下:

r1,e→H1(atte),…,rk,e→Hk(atte)

假如繼續在ABF增加元素e2,當新增加的屬性位置與已經存在的屬性的位置相同時,如圖4,即Hi(atte1)與Hj(atte2)相同,那么令ri,e1=rj,e2.如果改變屬性e2的位置,解密時就不能恢復出屬性e2.

圖4 ABE的例子Fig.4 An example of ABF

最后,終端用戶將密文數據(CT,ABF,(M,ρ))外包存儲在云服務器上.

4)外包密鑰生成算法

5)解密算法

ABFQuery(ABF,MPK,S):該ABF詢問算法輸入屬性集S、屬性布魯姆過濾器ABF和共公參數PK.對于所有數據使用者擁有的屬性att∈S,該算法在首先經過哈希計算其位置目錄,得H1(att),H2(att),…,Hk(att).然后,從ABF中獲得與Hi(att)相對應的位置字符串,

H1(atte)→r1,e,…,Hk(atte)→rk,e

然后,計算e:

e=r1,e⊕r2,e⊕…⊕rk-1,e⊕rk,e

=r1,e⊕r2,e⊕…⊕rk-1,e⊕r1,e⊕r2,e⊕…⊕rk-1,e⊕e

屬性e的格式如圖3一樣,e=i‖atte,去除Latt左邊的所有0位,得到屬性atte的字符串,如果屬性atte與屬性att不相同,則此屬性不在訪問結構中.否則,屬性att在訪問策略中,再去除Lrownum左邊所有的0位,得到屬性att在訪問矩陣中的行數,如圖5.然后輸出重構的屬性映射ρ′={rownum,att}att∈S.

圖5 元素抽象的字符串Fig.5 String abstraction from the element

Q=e(C′,g)

可以獲得轉換密文CTout=(U,Q,CSE,C).

5 方案分析

5.1 安全分析

定理2.在q-BDHE假設下,多項式時間敵手不能利用挑戰訪問矩陣選擇性攻擊我們的大數據訪問控制方案.

證明:本文是在方案[6]的基礎上建立的,在q-BDHE假設下,方案[6]已經證明是(選擇性)CPA安全.在方案[6]中,假如有敵手A在選擇性安全游戲中有不可忽略的優勢ε=AdvA.可以在q-BDHE假設下,通過構建模擬器B計算其不可忽略優勢.

因此,證明本文大數據訪問控制方案的安全性.假如有敵手A在選擇性安全游戲中有不可忽略的優勢ε=AdvA,我們同樣可以通過構建模擬器B′來計算敵手的不可忽略優勢.B′的結構與B相同,B′選擇一些屬性布魯姆過濾器的隨機預言模型.在密鑰詢問階段,階段與B.Phase1相同,階段與B.Phase2相同,不同點在挑戰階段,B′的加密算法是由兩個子算法組成,對于布魯姆過濾器構建算法的模擬,模擬器B′在ABFBuild的預言模型下詢問;而加密算法相同.由于敵手是在初始化階段之前選擇挑戰矩陣,所以,構建ABF與明文的選擇無關.這說明,ABFBuild不會增加敵手在安全游戲中的優勢.類似方案[6]的證明,我們可以證明敵手在q-BDHE假設下安全攻擊的優勢可忽略.

定理3.多項式時間敵手具有安全參數λ的攻擊情況下,我們的大數據訪問控制方案具有隱私保護安全.

證明:在本文方案中,只有數據使用者可以從屬性空間U獲取屬性字符串,敵手是不知道加密策略中的屬性串的,也不可能在多項式時間內進行蠻力攻擊猜測屬性字符串.所以,敵手不能獲得私鑰信息,通過由矩陣?和布魯姆過濾器ABF組成的訪問策略.

數據使用者僅可以檢測他們的屬性是否在訪問策略中,但是他們不可以檢測系統屬性空間中的所有屬性,除非數據使用者擁有屬性空間中的所有屬性,或者多個數據使用者進行合謀攻擊.由于ABF是由λ位字符串嵌入到布魯姆過濾器的亂碼布魯姆過濾器構建的,所以ABF的假陽性概率可以減少到1/2λ.

5.2 性能分析

本文方案與方案[6,7]加密解密的對比如表1,在表中l表示LSSS訪問結構中行數,lH表示CRH大小,P-P Policy表示

表1 方案性能對比
Table 1 Programme performance comparison

schemeP-P PolicyOut CT SizeOut Key OpLocal Dec DC[6]×(1+2l)|G|+lH12[7]W-H-P(1+2l)|G|×2n+1OursW-H-P(1+2l)|G|+lH11

策略隱私保護,W-H-P表示訪問策略全部隱藏,Out CT Size表示外包密文大小,Out Key Op表示計算生成外包密鑰的模指數運算量,Local Dec Op 代表當地解密雙線性對運算量,Ver表示部分解密密文結果的驗證.

6 結 論

本文提出了一個高效和細粒度數據訪問控制方案,利用方案[7]的屬性布魯姆過濾器,可以隱藏整個屬性的訪問策略.由于屬性基加密方案的缺點,解密計算量隨著屬性增加而線性增加,這給合法用戶解密帶來巨大的挑戰和困難.為了提高解密效率,本文提出把解密過程外包給云服務器進行部分解密,然后通過驗證密鑰驗證部分解密的正確性.本文證明是(選擇性)CPA安全.