支持加密外包的基于屬性加密方案*

冷青松，羅王平

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

面對用戶日益增長的個人數據（如照片、文件等），移動設備有限的存儲空間難以滿足用戶的存儲需求。盡管將其備份在可以無限擴展的移動存儲介質是一個較好的辦法，但并不方便用戶的使用。一方面是隨身攜帶移動存儲介質會增加用戶的保管負擔，另一方面是在使用移動存儲介質時需要用移動設備物理接入，極不方便。

云中極為豐富的存儲資源為資源受限的移動設備提供了極大便利，但對不受控的云端，數據的安全性極為重要[1-3]。加密是解決該問題的主要手段，然而數據以密文的形態呈現在云端會導致數據無法在用戶間共享。密文策略基于屬性加密（Ciphertext-Policy Attribute-Based Encryption，CPABE）[4]。因為類似基于角色的訪問控制方式，具有“一次加密、多人共享”的特點，所以它可以同時滿足上述問題的安全性和密文共享要求。

然而，CP-ABE 應用于移動設備同樣存在缺陷，即移動設備有限的算力并不能高效計算包含耗時模指數運算的CP-ABE 加密算法，導致算法整體加密時間較長，不但耗時耗電，而且用戶的使用體驗較差。針對這一問題，提出一種支持加密外包的基于屬性加密方案。

該方案的主要貢獻如下。

（1）提出CP-ABE 的外包加密方法。根據文獻[5]的定理4 構造共享訪問矩陣，并將共享訪問策略外包給云加密服務器加密，使得移動設備僅需針對云加密服務器的加密結果做進一步處理，并把最后生成的完整密文存儲在云存儲服務器中。

（2）證明方案的有效性。性能測試表明，該方案在移動設備上運算非外包部分的效率較高，降低了CP-ABE 對移動設備的計算性能要求。

1 相關研究

密文策略基于屬性加密算法由Bethencourt 等在2007 年提出。它采用訪問樹結構作為密文的訪問策略，而用戶密鑰則采用該用戶擁有的屬性集合進行定義。只有當用戶的屬性集合滿足訪問策略時，該用戶才有權限且正確解密該訪問策略對應的密文[4]。為了實現該方案在隨機預言模型下是安全的，WATERS 利用線性秘密共享方案作為訪問策略提出標準模型下安全的CP-ABE 方案[6]，但其只支持小屬性空間。

模指數運算作為CP-ABE 算法的核心，使得該算法的加密效率并不高。ZHOU 等[7]提出一種移動云計算環境下計算外包的基于屬性加密方案，將訪問結構從根節點一分為二，在客戶端僅需完成計算量較少的部分，使得手機、平板等移動設備都能快速完成一次加密，但其外包過程暴露的參數容易被第三方竊取、利用而導致用戶數據泄露。李經緯[8]在ZHOU[7]的基礎上，提出采用平凡屬性代替根節點的右子樹（即客戶端加密的子樹），根節點的左子樹為原訪問結構樹，然后結合MapReduce 技術設計了一種外包加密方案。該方案將根節點分配給左子樹的秘密共享數分成N份，分別讓N個計算節點加密根左子樹，最后合并N個計算節點的加密結果得到完整根左子樹密文。但是，該方案假設主節點和至少一個計算節點是可信的，且沒有充分利用MapReduce 技術的計算能力。HUANG 等[9]考慮到物聯網環境下終端設備的計算性能較弱，面向物聯網環境提出了一種計算外包的細粒度訪問控制方案。該方案先將整個共享訪問結構樹的計算工作外包給霧計算，然后客戶端僅需要對霧計算返回的結果做進一步處理。此處理過程計算量較少，但加密后的密文再次被霧計算節點獲取后，霧計算節點很容易解密出明文。王磊采用離線/在線加密思路提出了一種靈活高效的快速CP-ABE 方案[10]。在設備空閑時，根據輸入的訪問結構樹對其進行離線加密。在有明文需要加密時，即刻執行在線加密算法。盡管采用離線/在線加密技術加快了客戶端的加密響應速度，但僅局限于訪問結構樹不變化的情況。閆璽璽等[11]采用模指數安全外包算法提出一種可驗證的CP-ABE 安全外包方案，采用兩組不同參數外包CP-ABE 中模指數運算，驗證了外包加密結果的正確性，但存在安全性問題，且外包過程也比較復雜。相比云計算環境，霧計算更接近移動設備，具有響應快等特點。因此，黃鳳鳴等[12]和曾萍等[13]分別提出兩種與HUANG 等人所提方案[9]類似的外包加密方案。兩種方案均將共享訪問策略外包給霧計算加密，而客戶端僅需要對共享訪問策略加密結果做簡單處理。不同之處在于，前者使用訪問結構樹，后者使用線性秘密共享方案。

從分析可以看出，盡管部分方案能將CP-ABE的部分加密計算外包給第三方，但其外包過程比較復雜，且外包計算時的安全性仍存在問題。

2 模型與算法定義

2.1 系統模型

如圖1 所示，該加密外包方案共有5 個實體，分別是授權中心、云加密服務器、云存儲服務器、數據所有者和數據使用者（圖1 中出現的數字和字母均在第2.2 章節中定義）。

圖1 系統模型

（1）授權中心是所有實體的可信區域，負責初始化整個系統（即執行初始化算法），并為所有用戶生成私鑰；

（2）云加密服務器是一個具有強大計算能力的云計算集群，加密數據所有者外包的共享訪問策略；

（3）云存儲服務器是一個具有強大存儲能力的云存儲集群，存儲數據所有者外包的數據密文，并為數據使用者提供數據密文的訪問服務（該方案假設云存儲服務器不能與云加密服務器共謀）；

（4）數據所有者也是數據使用者，是整個系統的數據提供者，負責執行加密算法，并將最終密文上傳至云存儲服務器存儲；

（5）數據使用者可以訪問數據所有者存儲在云加密服務器的數據密文，當該數據使用者的屬性集合滿足數據密文的訪問策略時，可以使用解密算法解密出對應的明文。

2.2 算法定義

定義1 支持加密外包的基于屬性加密方案包含以下5 個算法。

（1）(PK,MSK)←Setup(U)：初始化算法由授權中心執行，輸入系統屬性空間U，輸出系統的公鑰PK和主密鑰MSK；

（2）SK←KeyGen(PK,MSK,S)：私鑰生成算法由授權中心執行，輸入系統公鑰PK、系統主密鑰MSK和用戶屬性集合S，輸出用戶私鑰SK；

（3）CTOUT←OutEncrypt[PK(M,ρ)]：外包加密算法由云加密服務器執行，輸入系統公鑰PK、共享訪問策略(M,ρ)，輸出LSSS 共享訪問策略(M,ρ)的密文CTOUT；

（4）CT←Encrypt[PK,(M,ρ),m]：加密算 法由用戶客戶端執行，輸入系統公鑰PK、共享訪問策略(M,ρ)和數據明文m，調用外包加密算法OutEncrypt獲取LSSS 共享訪問策略密文CTOUT，輸出數據密文CT；

（5）m←Decrypt[CT,SK]：解密算法由用戶客戶端執行，輸入數據密文CT、用戶私鑰SK，輸出數據明文m。

2.3 共享訪問矩陣

根據文獻[5]的定理4，使用訪問結構樹轉換后的共享訪問矩陣M如下：

式中：{i1,i2,…,ini}為訪問結構樹從葉子節點i到根節點路徑上的所有非葉子節點；suc(j)為節點j在路徑上的后繼節點。

定理1 使用上述矩陣作為共享訪問矩陣時，將采用0 作為秘密共享數計算的屬性秘密共享數加上s與采用s作為秘密共享數計算的屬性秘密共享數相等。

證明：當采用0 作為秘密共享數時，選取隨機向量v=(0,s2,…,sn)計算屬性秘密共享數λi''=Miv=0+…+bijcijsj+…+bincinsn，再加上s得λi=λi''+s=s+…+bijcijsj+…+bincinsn。

當采用s作為秘密共享數時，隨機向量v'=(s,s2,…,sn)計算屬性秘密共享數λi'=Miv=s+…+bijcijsj+…+bincinsn。

由于λi=λi'，故命題成立。

3 方案構造

該方案包含初始化、私鑰生成、外包加密、加密和解密5 個部分。

3.1 初始化：Setup(U)

選擇兩個階為大素數p的乘法循環群G和GT，參數g∈G為群G的生成元，定義雙線性映射e∶G×G→GT。從群G中隨機選擇一組元素h1,…,hU∈G，依次表示屬性空間U中的屬性，并選擇兩個隨機數α和a。

系統公鑰PK為：

系統主密鑰MSK=gα。

3.2 私鑰生成：KeyGen(PK,MSK,S)

選擇隨機數t∈Zp（系統中每個用戶對應該隨機數具有唯一性），構造的用戶私鑰SK為：

3.3 外包加密：OutEncrypt[PK,(M,ρ)]

令M為l×n規模的矩陣，云加密服務器根據文獻[5]的定理4 構造共享訪問矩陣。從群Zp中選擇一組隨機元素，即v=(0,s2,…,sn)因此秘密共享數為0。定義矩陣M的第i行的行向量為Mi，計算λi'=Miv。針對所有行向量選擇一組隨機數r1,…,rl∈Zp，計算LSSS 共享訪問策略(M,ρ)的密文如下：

3.4 加密：Encrypt(PK,(M,ρ),m)

將LSSS 訪問策略CTOUT發送至云加密服務器，調用OutEncrypt算法計算LSSS 共享訪問策略的密文CTOUT并將計算結果返回客戶端。客戶端選擇隨機的秘密共享數s∈Zp，令λi=s+λi'，因此生成的密文CT如下：

3.5 解密：Decrypt(CT,SK)

假設用戶屬性集合S滿足密文的訪問策略，即解密屬性集合I?{1,2,…,l}且I={i∶ρ(i)∈S}，計算一組常數{wi∈Zp}i∈I使得∑i∈Iwiλi=s，其中參數λi是解密屬性在加密時的秘密共享數）。

先計算：

后計算數據明文m=C/e(g,g)αs。

4 安全性與性能分析

4.1 安全性分析

該方案在WATERS 方案[6]的基礎上構造，其生成的用戶私鑰和數據密文所包含的結構均與WATERS 方案相同。在外包加密過程中，云加密服務器只能獲得共享訪問策略及其加密該共享訪問策略后的密文，而經用戶客戶端進一步處理后的完整密文只能由云存儲服務器保存，云加密服務器無法獲取。因此，云加密服務器并不會獲取到其他可以利用的數據，而云存儲服務器僅能獲取到完整的密文。可見，該方案與WATERS 方案的安全性一致，在標準模型下可達到選擇明文安全的要求。

4.2 性能分析

為了驗證該方案的性能，從理論和實驗兩種方式出發，對比分析該方案與WATERS 方案[6]。

在理論方面，由于這兩種方案主要的耗時運算是指數運算和雙線性對運算，因此采用這兩個指標來衡量兩個方案的性能。本文方案與WATERS 方案[6]的計算性能對比，如表1 所示。其中，EG表示群G的一次指數運算所消耗的時間；ET表示群GT的一次指數運算所消耗的時間；B表示一次雙線性對運算所消耗的時間。由于本文方案重點對加密進行優化，因此私鑰生成和解密的計算性能與WATERS 方案一致，而客戶端加密僅需要恒定且較少的計算量。

表1 方案的計算開銷對比

在實驗方面，采用Android 模擬器進行模擬實驗。Android 模擬器是Pixel 2 XL，配置x86 處理器、4 GB 內存和Android 7.1.1。該實驗所構建的群均從y2=x3+x中選擇，其元素長度為512 位。該實驗采用的屬性數量依次是1，10，20，…，100，每項實驗結果取50 次運算結果的均值。兩種方案的客戶端加密時間對比如圖2 所示。WATERS 方案的加密時間隨著屬性數量的遞增呈線性增長，而本文方案的客戶端的加密時間比較恒定，在0.07 s 左右。

圖2 客戶端加密時間

該方案的關注點是對加密進行外包，沒有設計對解密進行外包。若需要實現解密外包，參考GREEN 等[14]所提出的方案改造即可。

5 結語

面對基于屬性加密高耗時的運算量，移動設備極難快速響應用戶的加密請求。針對這一問題，提出一種支持加密外包的基于屬性加密方案，采用外包方式將共享訪問策略的加密工作交由云加密服務器完成，減輕了移動設備的計算壓力。理論分析和實驗分析都表明，該方案具有有效性。