马 华,白翠翠,李 宾,刘振华

(西安电子科技大学数学与统计学院,陕西西安 710071)

支持属性撤销和解密外包的属性基加密方案

马 华,白翠翠,李 宾,刘振华

(西安电子科技大学数学与统计学院,陕西西安 710071)

为了有效地解决属性基加密中属性的撤销问题,减少解密过程中用户的计算量,提出了具有撤销和解密外包功能的属性基加密方案.新方案利用线性秘密共享技术实现了秘密的分割与重组,基于密钥加密密钥树实现了密钥的更新.在解密过程中,将部分解密运算外包给解密服务器,减少了用户的计算代价.安全性分析表明,新方案能够抵抗共谋攻击,保证数据的机密性和前向、后向安全性.仿真实验表明,新方案在密文更新和解密过程中所需时间都有很大程度降低.

属性基加密;属性;撤销;外包

近年来,云计算吸引了各行各业的广泛关注.尽管云计算能够为用户提供便捷的存储和计算服务,但是安全和访问控制问题已成为制约云计算快速发展的重要因素[1].由于数据存储在云服务器上[2],用户失去了对数据的直接控制,这可能会导致敏感信息的泄露.为了保证数据的机密性,通常将数据以密文形式进行存储,然而这种方法不利于用户之间的数据共享.另一方面,云平台的终端用户往往是资源受限的,而属性基加密的计算量相对比较大,因此研究外包计算技术有实际意义,它可以缓解终端用户的计算负担.

属性基加密的概念由Sahai和Waters[3]首次提出,它是身份加密的扩展和演化.属性基加密中数据拥有者可以和拥有某一特定属性集的用户共享加密数据.属性基加密分为密文策略的属性基加密和密钥策略的属性基加密.随后,Waters[4]提出了一个密文策略的属性基加密方案,然而该方案没有考虑到属性和用户的撤销问题.Boldyreva等[5]提出为每个属性设定一个截止日期,但是这种撤销机制不能实现属性和用户的即时撤销.Hur等[6]和Xie等[7]提出的方案可以实现属性的即时撤销,但是密文和密钥的更新使得方案的效率非常低.Zhang等[8]构造了匿名的属性基加密方案,然而没有考虑属性的撤销.最近,Fan等[9]提出的方案支持任意状态下用户成员和属性的动态变化,然而无法实现属性层的用户撤销.

此外,在属性基加密中,解密过程经常涉及到大量的双线性对和模指数运算,这对于资源受限的终端用户而言是一个巨大的挑战.作为一种新的计算模式,外包计算可以借助于计算能力强大的服务器帮助终端用户执行计算任务[10].Chung等[11]提出了基于同态加密的外包技术,该方案可以保证解密密钥和明文消息的隐私性,但是同态运算本身的计算量就比较大.Green等[12]提出将解密密钥分为两部分,分别由解密服务器和用户保留,服务器利用自己的解密密钥对密文进行部分解密,用户接着对部分解密的密文进行完全解密得到明文.该技术不仅可以保证明文消息的隐私性,而且极大地缓解了用户的计算负担.Li等[13]提出的方案同时实现了密钥分发和解密的外包,并且可以对外包计算的结果进行验证.

然而,已有的属性基加密方案很少同时考虑属性撤销和解密外包问题.笔者提出了一个同时支持属性撤销和解密外包的属性基加密方案.安全性和效率分析表明,新方案可以实现数据的机密性,抗共谋攻击和前向后向安全性,并且在密文更新和解密过程中的计算量远远低于已有方案.

1 背景知识

1.1 线性秘密共享方案

设参与者集合为P,如果P上的一个秘密共享方案Ⅱ满足如下两个条件,则称为线性的:

（1)每个参与者的秘密份额构成ZP上的一个向量.

（2)M是一个l×n的矩阵,映射将矩阵M的第i行映射到一个属性.随机选择一个列向量v=（s,r2,…,rn),其中s∈ZP,s是待共享的秘密;r2,…,rn∈ZP.令λi=Mi·v,i=1,2,…,l,λi是秘密s的第i个份额,份额λi属于参与者ρ（i).

1.2 KEK树

密钥加密密钥（Key Encryption Key,KEK)树[6]是指基于用户的二叉树,它可以为未撤销用户提供密钥更新信息,未撤销用户利用密钥更新信息更新自己的私钥,从而实现解密.如图1所示,设U={u1,u2,…,un},是系统中所有用户的集合;Gk是拥有属性θk的用户集合,称为属性群.数据服务管理者按如下步骤构造KEK树:

（1)U中每个成员都分布在树中的叶子节点上,每个节点vj都存储一个随机数NKEKj.

（2)路径密钥.从叶子节点到根节点上的所有NKEKj被定义为相应用户ut∈U的路径密钥KPt.比如,用户u2存储的路径密钥KP2={NKEK9,NKEK4,NKEK2,NKEK1}.

（3)最小覆盖元.设Gi是属性群,树中能够覆盖Gi中所有用户的最小的节点集合称为Gi的最小覆盖元,记为DKEK（Gi).比如,设属性群Gi={u1,u2,u4,u5,u7,u8},此时DKEK（Gi)={DKEK4,DKEK7,DKEK11,DKEK12}.

（4)考虑DKEK（Gi)与KPt的交集,每个用户ut∈Gi且拥有惟一的DKEK.

图1 KEK树示意图

2 方案描述

2.1 方案的形式化定义

笔者所考虑的系统模型如图2所示.数据拥有者将密文存储到数据服务管理器,属性机构分别为用户和解密服务器颁发属性密钥和转换密钥,然后解密服务器利用转换密钥对存储在数据服务管理器上的密文进行预解密,用户接着对部分解密的密文进行完全解密得到明文.

新的属性基加密方案由7个算法构成:系统建立输入安全参数k和系统属性空间L,输出公开参数PP和主密钥KMSK;数据加密算法输入PP,消息m以及访问结构（M,ρ),输出密文TC;密钥生成算法输入主密钥KMSK和描述用户的属性集S,输出相应的密钥KS和转换密钥KT;密文更新算法输入原始密文TC以及属性群密钥Sρ（j),输出更新后的密文;转换密钥更新算法输入原始的转换密钥KT,输出更新后的转换密钥;预解密算法输入密文（包括更新后的密文)和转换密钥,解密服务器对密文进行部分解密,输出部分解密后的密文T0;完全解密算法输入预解密后的密文和用户密钥,输出消息m.

图2 系统模型

2.2 具体方案

系统建立:属性机构执行系统建立算法.输入系统属性空间L={θ1,θ2,…,θt}和安全参数k.G和GT是两个阶为素数p的群,设g是群G的随机生成元,双线性映射e:G×G→GT.随机选取a,α∈ZP,h1,h2,…,ht∈G.输出公开参数PP=(g,e（g,g)α,ga,h1,h2,…,ht),并秘密保留主密钥KMSK=gα.最后,设G=,是属性群集合,其中Gk是拥有属性θk的用户集合,属性机构将G发送给数据服务管理者.

数据加密:数据拥有者运行加密算法.输入PP,消息m以及访问结构（M,ρ).随机选择一个向量v=（s,r2,…,rn),并计算λi=v·Mi,i=1,2,…,l.密文输出如下:

数据拥有者将密文存储到数据服务管理器.

密钥生成:属性机构执行密钥生成算法.输入主密钥KMSK和属性集S.随机选择t∈ZP,计算K′S=（K′=gαgat,L′=gt,∀x∈S,,然后随机选择λ∈ZP,计算转换密钥

用户密钥为KS=（λ,KT).将KT发送给解密服务器.

密文更新:假设Gk中的成员发生变化,即假设某一用户ut获得或失去属性θk（θk=ρ（j)),属性机构接收到属性群变化的请求后,将更新后的属性群发送给数据服务管理者.数据服务管理者随机选择s′,属性群密钥Sρ（j)∈ZP,更新密文为

转换密钥更新:根据KEK树的性质,拥有属性θk（θk=ρ（j))的用户ut解密C0,获得属性群密钥Sρ（j),并且利用属性群密钥Sρ（j)更新转换密钥.更新后的转换密钥为

密文转化:假设S满足访问结构（M,ρ),如果密文进行更新,则解密服务器利用转换密钥计算

解密:如果密文是式（2)中的已更新密文,则用户计算

否则,是式（1)中的原始密文,则用户计算

3 方案分析

3.1 安全性分析

抗共谋攻击:在方案中,即使多个非法用户合谋,并且他们的属性满足密文的访问结构,他们仍然不可以解密密文.这是因为属性机构在为用户生成密钥时,为每个用户选择一个随机数t随机化用户的私钥,而且每个用户在生成转换密钥时,随机选取λ,这样每个用户都可以计算出相应属性对应的值,但不能得到e（g,g)atλs.

前向安全:当用户离开某一属性群,属性机构将变化的属性群发送给数据管理者,数据管理者更新属性群密钥,根据KEK树的构造,离开这一属性群的用户由于不能通过解密C0得到相应的属性群密钥Sρ（i),所以无法更新自己的私钥,因此撤销的用户不能解密密文.

后向安全:当用户进入一个属性群,属性机构将更新后的属性群发送给数据管理者,数据管理者更新相应的属性群密钥根据KEK树的性质,只有该属性群中的用户才可以解密C0,得到更新后的属性群密钥Sρ（i).因此新加入的用户可以更新密钥,进而解密更新后的密文.

3.2 性能比较

表1和表2分别从功能特征和效率方面对新方案和已有方案进行了分析和比较.

表1 功能特征比较

表2 计算量比较

从表1可以看出,与BGK[5]相比,FHR[9]和笔者提出的方案都可以实现属性和用户的即时撤销.但FHR[9]只能实现系统层的用户撤销,而新方案可以实现属性层的用户撤销.此外,GHW[12]方案和LHC[13]方案没有考虑到属性撤销的问题.

表2给出了已有方案[5-7]以及新方案在密钥产生、密文更新以及解密阶段效率的比较分析,其中表示与用户相关的属性个数,l表示与密文相关的访问结构中的属性个数,n是系统中的用户个数,t是系统的属性个数,E和P分别表示模指数运算和双线性对运算.在FHR[9]的方案中,密钥生成所需的计算量不仅与用户的属性个数有关,还与整个系统的属性个数相关.在密文更新时,新方案和BJK[5]只需计算5个指数运算,解密过程中新方案用户只需计算两个双线性对运算和一个指数运算,而已有方案[6-7,9]所需运算都随着访问结构的复杂度或者属性个数增加而增加.

3.3 仿真实验

在Linux环境下,基于版本号为0.5.14的PBC（Pairing-Based Cryptography)密码库,对新方案和目前支持属性撤销的方案[5-7,9]进行了效率测试.程序运行在一个配置为Genuine Intel CPU、T1500@ 1.86 GHz、3 GB RAM的笔记本电脑上.在实验中,群G和GT中元素的模长选取为512 bit,用户属性的数量范围设置为10到50,最终时间结果是50次实验的平均值.图3和图4分别从密文更新和解密效率方面比较了新方案与已有方案[5-7,9].实验结果表明,新方案在密文更新和解密过程中所需时间都有明显的减少,并且为固定常数.

图3 密文更新效率对比

图4 解密效率对比

4 总 结

笔者提出了支持属性撤销和解密外包的属性加密方案,实现了属性的即时撤销和属性层的用户撤销,同时保证了数据机密性,抗共谋攻击和前向后向安全性.与已有方案相比,新方案在密文更新和解密过程所需时间都有明显减少,不会因为系统中撤销属性数量的增加而影响系统的性能.

[1]冯登国,张敏,张妍,等.云计算安全研究[J].软件学报,2011,22(1):71-83. Feng Dengguo,Zhang Min,Zhang Yan,et al.Study on Cloud Computing Security[J].Journal of Software,2011,22 (1):71-83.

[2]朱旭东,李晖,郭祯.云计算环境下加密图像检索[J].西安电子科技大学学报,2014,41(2):152-158. Zhu Xudong,Li Hui,Guo Zhen.Privacy-preserving Query over the Encrypted Image in Cloud Computing[J].Journal of Xidian University,2014,41(2):152-158.

[3]Sahai A,Waters B.Fuzzy Identity-based Encryption[C]//Proceedings of the 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques.Berlin:Springer,2005:457-473.

[4]Waters B.Ciphertext-policy Attribute-based Encryption:an Expressive,Efficient,and Provably Secure Realization [C]//Proceedings of the 14th International Conference on Practice and Theory in Public Key Cryptography.Berlin: Springer,2011:53-70.

[5]Boldyreva A,Goyal V,Kumar V.Identity-based Encryption with Efficient Revocation[C]//Proceedings of the ACM Conference on Computer and Communications Security.New York:ACM,2008:417-426.

[6]Hur J,Noh D K.Attribute-based Access Control with Efficient Revocation in Data Outsourcing Systems[J].IEEE Transactions on Parallel and Distributed Systems,2011,22(7):1214-1221.

[7]Xie X,Ma H,Li J,et al.An Efficient Ciphertext-policy Attribute-based Access Control towards Revocation in Cloud Computing[J].Journal of Universal Computer Science,2013,19(16):2349-2367.

[8]Zhang Y,Chen X,Li J,et al.Anonymous Attribute-based Encryption Supporting Efficient Decryption Test[C]// Proceedings of the 8th ACM SIGSAC Symposium on Information,Computer and Communications Security.New York: ACM,2013:511-516.

[9]Fan C I,Huang V S M,Rung H M.Arbitrary-state Attribute-based Encryption with Dynamic Membership[J].IEEE Transactions on Computers,2014,63(8):1951-1961.

[10]Atallah M J,Pantazopoulos K N,Rice J R,et al.Secure Outsourcing of Scientific Computations[J].Advances in Computers,2002,54:215-272.

[11]Chung K M,Kalai Y,Vadhan S.Improved Delegation of Computation Using Fully Homomorphic Encryption[C]// Lecture Notes in Computer Science.Berlin:Springer Verlag,2010:483-501.

[12]Green M,Hohenberger S,Waters B.Outsourcing the Decryption of ABE Ciphertexts[C]//Proceedings of the 20th USENIX Conference on Security.Berkeley:USENIX Association,2011:34.

[13]Li J,Huang X,Chen X,et al.Securely Outsourcing Attribute-based Encryption with Checkability[J].IEEE Transactions on Parallel and Distributed Systems,2013,25(8):2201-2210.

（编辑:郭 华)

Attribute-based encryption scheme supporting attribute revocation and decryption outsourcing

MA Hua,BAI Cuicui,LI Bin,LIU Zhenhua
(School of Mathematics and Statistics,Xidian Univ.,Xi’an 710071,China)

Aiming to tackle the attribute revocation issue and reduce the user’s computational overheads,an attribute-based encryption scheme is proposed and it can support attribute revocation and decryption outsourcing.In the proposed scheme,the splitting and reconstruction of secrets is realized by the linear secret sharing technique,and key update is based on the KEK(Key Encrypting Key)tree.In decryption,our scheme outsources some decryption computational tasks to a decryption service provider,which reduces the computational cost on users’side.Security analysis indicates that the proposed scheme can resist collusion attack,and ensure data confidentiality and forward/backward secrecy.Experimental results show that the efficiency of ciphertext update and decryption is improved in terms of time cost.

attribute-based encryption;attribute;revocation;outsourcing

TN918

A

1001-2400（2015)06-0006-05

10.3969/j.issn.1001-2400.2015.06.002

2014-12-21

时间:2015-03-13

国家自然科学基金资助项目（61472470,61100229);陕西省自然科学基金资助项目（2014JM2-6091)

马 华（1963-),女,教授,E-mail:hma@mail.xidian.edu.cn.

http://www.cnki.net/kcms/detail/61.1076.TN.20150313.1719.002.html