一種可外包解密的高效密文策略的屬性基加密方案

李婷，常利偉

（1.山西財(cái)經(jīng)大學(xué) 網(wǎng)絡(luò)與信息教育技術(shù)中心，山西 太原 030006；2.山西財(cái)經(jīng)大學(xué) 信息學(xué)院，山西 太原 030006）

0 引言

公鑰加密是保護(hù)存儲(chǔ)和傳輸信息機(jī)密性的一種強(qiáng)大機(jī)制。傳統(tǒng)意義上，加密被視為一個(gè)用戶定向傳輸給指定用戶或者設(shè)備數(shù)據(jù)的一種方式。雖然這對(duì)“讓數(shù)據(jù)提供者明確知道他想要將該數(shù)據(jù)共享給誰的應(yīng)用”是非常有用的，但是在很多應(yīng)用中，是提供者想要根據(jù)一些屬性特征將數(shù)據(jù)信息發(fā)送給特定用戶，以共享私密數(shù)據(jù)信息。

云計(jì)算是一種非常迷人的計(jì)算范式，計(jì)算和存儲(chǔ)都從終端設(shè)備轉(zhuǎn)移到云上。這種新的流行范式為企業(yè)和個(gè)人管理在分發(fā)和共享內(nèi)容的方式上帶來了重要的變革和大膽的創(chuàng)新［1］。通過將自己的信息技術(shù)能力外包給一些云服務(wù)的提供商，云用戶可以大幅降低成本。如何保障云計(jì)算用戶的數(shù)據(jù)安全是公眾普遍關(guān)注的問題。部分外包數(shù)據(jù)是敏感的，只能由經(jīng)過授權(quán)的數(shù)據(jù)消費(fèi)者在遠(yuǎn)程位置訪問。

加密技術(shù)是實(shí)現(xiàn)這一目標(biāo)的基本方式。例如：屬性基加密（ABE）是一種功能強(qiáng)大的加密訪問方式。屬性基加密的概念最初是由Sahai和Waters提出的［2］。而根據(jù)其訪問控制策略部署方式可區(qū)分為兩種不同的加密系統(tǒng)，即密鑰策略的屬性基加密（KP-ABE）和密文策略的屬性基加密（CP-ABE）［3-7］。在 KP-ABE 方案中，密鑰與訪問控制結(jié)構(gòu)相關(guān)聯(lián)，密文與屬性相關(guān)聯(lián)（使用屬性集合對(duì)明文進(jìn)行加密，屬性相當(dāng)于公鑰），且其訪問控制結(jié)構(gòu)由私鑰產(chǎn)生中心（Private Key Generator，PKG）來控制分發(fā)，誰能解密不由加密人控制，而僅由PKG控制，PKG為每個(gè)屬性分發(fā)相應(yīng)的密鑰，而只有當(dāng)解密屬性集合滿足訪問結(jié)構(gòu)時(shí)才可解密；在CP-ABE方案中，密文與訪問控制結(jié)構(gòu)相關(guān)聯(lián)，密鑰與屬性相關(guān)聯(lián)（使用屬性集合對(duì)密文進(jìn)行解密），其訪問結(jié)構(gòu)由加密者控制，由加密者決定誰可以對(duì)密文進(jìn)行解密，因而靈活性更強(qiáng)，只要是滿足加密者所規(guī)定的訪問控制結(jié)構(gòu)的屬性集合的解密人均可對(duì)密文進(jìn)行解密，從而實(shí)現(xiàn)了一對(duì)多的訪問控制。此后在具體的非交互假設(shè)下，Waters等［8］提出了一種新的方案來實(shí)現(xiàn)抗合謀攻擊的密文策略的屬性基加密系統(tǒng)。這之后Lewko等［9］又提出了一個(gè)完全安全的屬性基加密方案，進(jìn)一步充實(shí)了屬性基加密的安全可用性。但屬性基加密的加解密過程都存在很多雙線性映射對(duì)的計(jì)算，很大程度限制了計(jì)算效率，而外包解密可極大提高屬性基加密的使用效率，如文獻(xiàn)［10-11］的方案。

外包解密的常用方法是對(duì)用戶的私鑰進(jìn)行盲化后再傳送給云服務(wù)器，然后云服務(wù)器利用盲化后的私鑰即轉(zhuǎn)換密鑰來對(duì)密文進(jìn)行部分解密從而得到相應(yīng)的轉(zhuǎn)換密文，用戶最后只需要對(duì)已經(jīng)部分解密過的轉(zhuǎn)換密文進(jìn)行解密計(jì)算即可，即進(jìn)行少量的計(jì)算便可得到密文相對(duì)應(yīng)的明文。用戶在本地只需要進(jìn)行簡(jiǎn)單的解密運(yùn)算即可得到明文消息，即以少量的計(jì)算資源為代價(jià)來換取消息的保密性，如文獻(xiàn)［12-15］的方案。近些年還出現(xiàn)了很多可追責(zé)、可驗(yàn)證及支持屬性撤銷的外包解密的屬性加密方案，如文獻(xiàn)［16-17］的方案。

本文給出了一個(gè)高效的、抗合謀攻擊可證明安全的可外包解密的密文策略的屬性基加密方案，其組織結(jié)構(gòu)為：第一部分，介紹了方案中所需的基礎(chǔ)知識(shí)；第二部分，給出高效外包解密方案的構(gòu)造及正確性分析；第三部分，對(duì)高效外包解密方案進(jìn)行了安全性證明；最后全文總結(jié)。

1 基礎(chǔ)知識(shí)

1.1 雙線性映射

假設(shè)存在兩個(gè)階為素?cái)?shù)p的乘法循環(huán)群G，GT及一個(gè)雙線性映射函數(shù)e：G×G→GT，且此雙線性映射e屬性如下：

（1）雙線性：對(duì)于所有的u，v∈G及a，b∈Zp，存在e(ua，vb)=e(u，v)ab；

（2）非退化性：e(g，g)≠1。

如果G上的群運(yùn)算及雙線性映射e：G×G→GT是可高效運(yùn)算的，則稱G為一個(gè)雙線性映射群。因?yàn)閑(ga，gb)=e(g，g)ab=e(gb，ga)，故而雙線性映射e具有對(duì)稱性。

1.2 判定性平行雙線性Diffie-Hellman冪元假設(shè)

選擇一個(gè)與安全參數(shù)相對(duì)應(yīng)的階為素?cái)?shù)p的群G，隨機(jī)選擇a，s，b1，…，bq∈Zp及生成元為g的群G。

如果一個(gè)敵手給出：

1.3 訪問結(jié)構(gòu)

1.4 線性密鑰共享方案（LSSS）

假設(shè)存在一個(gè)l×n的矩陣M，稱作分享生成矩陣，函數(shù)ρ表示矩陣M第i行的參與者，矩陣M第i行映射到ρ(i)屬性上。

設(shè)垂直向量 v=(s，r2，…，rn)，其中 s∈Zp是將要分享的密鑰，r2，…，rn∈Zp是隨機(jī)數(shù)，那么向量Mv表示對(duì)密鑰s分配給l個(gè)參與者的秘密份額。

LSSS方案具有線性重構(gòu)的特性。設(shè)S∈T是一個(gè)訪問授權(quán)集合，參與者下標(biāo)集合I={i：ρ(i)∈S}?{1，2，…}，那么可以在多項(xiàng)式時(shí)間內(nèi)找到一組常數(shù){ωi∈Zp}i∈I，如果{λi}是對(duì)秘密 s的有效分享份額，則等式 ∑ωiλi=s(i∈I)成立。

2 高效外包加密方案的構(gòu)造

參數(shù)生成（U）：參數(shù)生成算法，輸入系統(tǒng)中的屬性值。選擇一個(gè)階為素?cái)?shù)p的群G，選擇生成元 g和 U，隨機(jī)群元素 h1，…，hU∈G，是與系統(tǒng)中屬性U相關(guān)聯(lián)的。另外，選擇隨機(jī)冪元α，a ∈Zp。

公鑰為：PK=g，e(g，g)α，ga，h1，…，hU。

授權(quán)集合作為主密鑰：MSK=gα。

加密算法（PK，(M，ρ)，M）：加密算法，輸入公共參數(shù)PK和明文M，另外輸入密鑰共享訪問結(jié)構(gòu)(M，ρ)。函數(shù)ρ將矩陣M的行與屬性關(guān)聯(lián)起來。

M是l×n的一個(gè)矩陣。該算法首先選擇一個(gè)隨機(jī)矢量 v=(s，y2，…，yn)∈ Zp。該值將被用來共享加密冪次s。對(duì)從i=1到l，計(jì)算λi=υ·Mi，這里Mi是與M的第i行相對(duì)應(yīng)的矢量。另外，該算法選擇隨機(jī)數(shù)r1，…，rl∈Zp。

解密算法(CT，TK，SK)：解密算法，輸入相對(duì)于訪問結(jié)構(gòu)(M，ρ)的密文CT和集合S的私鑰SK及相對(duì)應(yīng)的轉(zhuǎn)換密鑰TK。假設(shè)S滿足這個(gè)訪問結(jié)構(gòu)，則令 I?{1，2，…，l}定義為 I={i：ρ(i)∈ S}。同時(shí)假設(shè){ωi∈ Zp}i∈I是這樣一個(gè)常數(shù)集合，如果{λi}是任意與M相關(guān)的秘密s的有效共享，且滿足 ∑i∈Iωiλi=s。（注意，存在其他的方法來選擇ωi值來滿足該要求）。

（1）外包解密

3 安全性證明

3.1 CP-ABE的安全模型

參數(shù)生成 挑戰(zhàn)者運(yùn)行參數(shù)生成算法，生成公共參數(shù)，并將公鑰PK發(fā)送給敵手。

階段1 敵手不斷重復(fù)生成與屬性集合S1，…，Sq1

相對(duì)應(yīng)的私鑰。挑戰(zhàn)階段 敵手發(fā)出兩個(gè)等長(zhǎng)的明文消息M0和M1。此外敵手給出一個(gè)挑戰(zhàn)訪問結(jié)構(gòu)A*使得來自階段1的集合S1，…，Sq1都不滿足該訪問結(jié)構(gòu)。挑戰(zhàn)者投擲一枚硬幣b，在訪問機(jī)構(gòu)A*加密明文Mb。并將密文CT*發(fā)送給敵手。

階段2 階段1在限制條件下重復(fù)，屬性集Sq1+1，…，Sq不滿足與挑戰(zhàn)對(duì)應(yīng)的訪問結(jié)構(gòu)。

猜測(cè)階段 敵手輸出猜測(cè)結(jié)果b′或者b。

3.2 安全性證明

在證明我們系統(tǒng)安全中的一個(gè)重要步驟是簡(jiǎn)化“程序”的挑戰(zhàn)密文為公共參數(shù)。

定理1 假定決策性q-parallelBDHE假設(shè)成立。不存在敵手可以在多項(xiàng)式時(shí)間內(nèi)成功攻破該方案，其挑戰(zhàn)矩陣為 l*× n*，且 l*，n*＜ q。

假定存在一個(gè)敵手A有不可忽略的優(yōu)勢(shì)∈=AdvA在選擇安全游戲中攻破該方案。此外，假定該敵手A選擇了一個(gè)維數(shù)小于q的矩陣M*。下面我們來演示模擬一個(gè)隨機(jī)預(yù)言機(jī)B來模擬決策性q-parallelBDHE問題。

初始化 隨機(jī)預(yù)言機(jī)從q-parallelBDHE挑戰(zhàn)中取得參數(shù)y，T。敵手發(fā)送挑戰(zhàn)訪問結(jié)構(gòu)(M*，ρ*)，其中 M*有 n*行。

參數(shù)生成 隨機(jī)預(yù)言機(jī)選擇隨機(jī)數(shù)α′∈Zp，并 且 令 α=α′+aq+1， 則 有 e(g，g)α=e(ga，gaq)e(g，g)α′。 我 們 描 述 隨 機(jī) 預(yù) 言 機(jī) 生 成群元素h1，…，hU。對(duì)每一個(gè)滿足1≤x≤U的x選擇隨機(jī)值z(mì)x，再設(shè)X為指標(biāo)i的集合，且有ρ*(i)=x。隨機(jī)預(yù)言機(jī)程序hx值為；

注意到，如果X=?則有hx=gzx；且由于的取值，故而這些參數(shù)是隨機(jī)分布的。

階段3 在這一階段隨機(jī)預(yù)言機(jī)回答私鑰詢問。假定隨機(jī)預(yù)言機(jī)收到一個(gè)集合S中的私鑰詢問，該集合S是不滿足矩陣M*的。則隨機(jī)預(yù)言機(jī)首先選擇隨機(jī)數(shù)z，r∈Zp，然后找到一個(gè)向量 ω =(ω1，…，ωn*)∈，其中 ω1=-1且對(duì)所有的 ρ*(i)∈S 中的 i都有 ω·M*i=0。通過前文中LSSS的定義可知一定存在這樣的向量。注意，如果這樣的向量不存在，則向量（1，0，0，…，0）在S張成的空間中。見階段2中的討論。

隨機(jī)預(yù)言機(jī)隱式定義了t值，

現(xiàn)在必須計(jì)算出Kx(?x∈S)。首先，考慮到當(dāng)x∈S，則不存在i令ρ*(i)=x成立，則我們簡(jiǎn)單的令Kx=Lyx。

更加困難任務(wù)是為屬性x∈S構(gòu)建對(duì)應(yīng)私鑰組件的Kx，其中x在訪問控制結(jié)構(gòu)中使用。對(duì)于這些私鑰組件，必須確保無法被模擬。但由于ω·Mi*=0，因此，所有的項(xiàng)都可以被消除。

同樣，設(shè)X是所有i的集合，且ρ*(i)=x。在此基礎(chǔ)上，隨機(jī)預(yù)言機(jī)創(chuàng)建Kx如下：

挑戰(zhàn)階段 最后，我們構(gòu)建一個(gè)挑戰(zhàn)密文。敵手給出兩個(gè)挑戰(zhàn)密文M0和M1，并發(fā)送給隨機(jī)預(yù)言機(jī)。隨機(jī)預(yù)言機(jī)擲一枚硬幣β，并給出密文C=MβTe(gs，gα′)和C′=gs。

棘手的部分是模擬Ci值，因?yàn)槠浒覀儽仨毾サ捻?xiàng)。此外，隨機(jī)預(yù)言機(jī)可以選擇密鑰分割以此來消除這些項(xiàng)。直觀上，隨機(jī)預(yù)言機(jī)將會(huì)選擇隨機(jī)數(shù)y′2，…，y′n*，同時(shí)共享密鑰使用向量為：

另外，其選擇隨機(jī)值r1′，…，rl′。

對(duì) 于i=1，…，n*，我 們 定 義 對(duì) 于 所 有 的k≠i滿足ρ*(i)=ρ*(k)組成的集合Ri。換句話說，與行i具有相同屬性的所有其他行索引的集合。然后生成挑戰(zhàn)密文組成部分：

階段2與階段1相同。

猜測(cè)階段 最后敵手將輸出對(duì)β的猜測(cè)β′。如果β=β′，則隨機(jī)預(yù)言機(jī)輸出0，并猜測(cè)T=e(g，g)aq+1s；否則，如果β≠β′，則輸出 1，則T為GT中的一個(gè)隨機(jī)群元素。

當(dāng)T是一個(gè)元組時(shí)，隨機(jī)預(yù)言機(jī)B給出來看完美模擬，因此可以得到

當(dāng)T是隨機(jī)群元素，信息Mβ對(duì)敵手是完全隱藏的，則有

因此，B可以以不可忽略的優(yōu)勢(shì)攻破決策性q-parallelBDHE游戲。

4 效率與安全性比較

表1中，我們總結(jié)了我們的方案和BSW加密方案及GJPS方案在密文個(gè)數(shù)和密鑰大小及解密時(shí)間方面的比較。n為訪問公式的大小，U為方案中定義的屬性個(gè)數(shù)，nmax定義為任意訪問公式的一個(gè)界值，EG表示本方案的外包解密的時(shí)間。密文的大小以組元素的數(shù)量來表示，解密時(shí)間以配對(duì)的數(shù)量來表示。

表1 本文方案與相關(guān)方案的功能和性能比較Table 1 Comparison of function and performance between proposed scheme and other related schemes

綜上所述，本方案實(shí)現(xiàn)了與BSW加密方案相同的參數(shù)效率，但是本方案是在一個(gè)具體的安全假設(shè)下可證明安全的。同時(shí)在與GJPS加密方案相同的假設(shè)下，證明了d-BDH結(jié)構(gòu)在性能方面得到了顯著提升。

5 結(jié)論

本文構(gòu)造了一個(gè)高效的抗合謀攻擊的密文策略的可外包解密的屬性基加密方案，該方案允許一個(gè)加密算法以任何訪問公式來指定訪問公式。我們使用線性密鑰共享方案矩陣表示系統(tǒng)的訪問控制。以前使用的結(jié)構(gòu)，如公式（相當(dāng)于樹結(jié)構(gòu)），可以用線性密鑰共享方案簡(jiǎn)單表示出來。與以往使用的訪問樹結(jié)構(gòu)描述相反，使用更通用的線性密鑰共享方案表示不會(huì)損失任何效率并且可獲得相同的性能和功能，并給出了該方案在一個(gè)具體且非交互模型下是可證明安全的。