张玉磊,,,

(西北师范大学 计算机科学与工程学院,兰州 730070)

0 概述

云计算平台可以将计算资源动态地提供给用户,数据拥有者能够将自己的数据存储在云存储服务器中。但存储到云端的数据可能包含数据拥有者的敏感信息,因此,数据拥有者无法像管理本地数据一样保护数据的隐私和安全。传统公钥密码系统仅支持“一对一”加密形式,缺乏灵活的访问控制策略。2005年,文献[1]提出了一种新的公钥加密体制,即属性基加密(Attribute-based Encrytion,ABE)体制。属性基加密可以实现“一对多”的数据加密和高效的细粒度信息共享,因此,被认为是云存储平台中灵活实现访问控制的方法之一[2-3]。现有的以密文策略为基础的属性基加密方案[4-6]仅适用于用户属性和密钥的分发属于同一机构,然而用户属性可能保存在不同的云存储服务器。在实际应用环境中,可能会发生属性撤销、用户权限变更等操作,所以在多个服务器上实现数据安全共享并实现属性撤销成为亟待解决的问题。

对于单一授权机构的可撤销属性基加密体制[7-8],中央授权机构(Central Authority,CA)需管理所有用户属性和密钥分发,在计算规模较大的云存储环境中,即使将加解密操作外包给第三方服务器,CA还是容易不堪重负造成运行效率低和数据安全威胁等问题。2007年,文献[9]提出了一个将私钥和用户身份标记(GID)组合的属性基加密方案。由于CA知道用户私钥和系统主密钥,若CA遭到攻击,那么所有的数据将被泄露,同时,该方案没有考虑属性撤销功能。2014年,文献[10]提出一个无CA且属性授权机构(Attribute Authority,AA)之间不需要协同的方案,但该方案不能较好地实现身份隐藏。文献[11]利用CA发布具有时间阈值期的密钥实现属性的撤销问题,但该方案提出的这种撤销方式不满足前向和后向安全性。2015年,文献[12]通过密钥更新机制实现用户撤销,同时通过重加密操作保护云端的数据安全,但该方案未能实现属性撤销功能。2016年,文献[13]提出了一个支持多授权方可撤销属性的属性基加密方案,该方案满足前向安全性和后向安全性,将时间期限加入到密文和解密密钥中,实现属性撤销功能。本文提出一个多属性授权机构环境下基于CP-ABE的属性撤销加密方案。该方案结合代理重加密和密文策略属性基加密技术实现属性撤销,使用多个属性授权机构,可降低单个属性授权机构所带来的安全威胁。用户的私钥由数据拥有者和多个属性授权机构共同产生,以抵御多个属性授权机构的共谋攻击。

1 背景知识

背景知识定义如下:

1)双线性映射。设置2个阶为素数p的乘法循环群G和GT,存在一个双线性映射e:G×G→GT能够满足如下性质:

(1)双线性:∀g,h∈G,∀a,b∈Zp,满足e(ga,hb)=e(g,h)ab。

(2)非退化性:∃g∈G,满足e(g,g)≠1,1是GT的单位元。

(3)可计算性:对P,Q∈G,能够有效地计算e(P,Q)。

2)访问结构[14]。设参与者的集合P={P1,P2,…,Pn},授权参与者的子集合Γc=2{P1,P2,…,Pn},非授权参与者的子集合Γc=2{P1,P2,…,Pn}Γ。若B∈Γ且B⊆C,B、C的子集表示为{P1,P2,…,Pn},则C∈Γ,那么就称Γ⊆2P单调。

Pr[B(ga,gb,gc,e(g,g)z)=1]|

2 多属性授权机构的可撤销ABE方案模型

2.1 可撤销ABE系统架构

系统主要包括数据拥有者(Data Owner,DO)、数据用户(Data User,DU)、N个属性授权中心(Attribute Authority,AA)和云存储服务器(Cloud Storage Server,CSS)4个主体。可撤销ABE系统架构如图1所示。

图1 可撤销ABE系统架构系统结构

1)数据拥有者:数据的拥有者为数据定制访问结构W并生成随机数用于用户解密,并对数据进行加密操作上传密文CT至云存储服务器。

2)云存储服务器:存储DO上传的密文CT,当属性授权中心AA通知需要更新密文时,对DO上传的密文进行重加密操作。

3)属性授权中心:系统中有N个AA,主要负责生成系统参数和主密钥,管理DO的不同属性集,为用户生成、分发部分私钥,要求AA被用户完全信任。

4)用户:数据的使用者。当版本号验证成功并且属性满足密文相对应的访问结构时可以解密密文。

2.2 可撤销ABE方案形式化结构

多授权机构的可撤销属性基加密方案包括以下算法:

1)Setup:多个属性授权中心运行该算法,首先生成一个属性集合U,每个AA管理一个不同的属性集合Ui,然后生成系统参数和系统主密钥。

3)Encrypt:该算法由DO执行。输入消息m,指定访问结构W,输出密文CT。

5)Decrypt:数据用户收到密文后,首先检查私钥版本号,若一致则进行解密操作,否则更新密钥并准备执行ReEncrypt算法;算法输入SKL和L,输出明文消息m。

6)Rekey Gen:当系统中的用户需要撤销时,属性授权中心将新的版本号ux通过安全信道发送给用户,输出代理重加密密钥Rsk。

7)ReEncrypt:该算法由CSS执行。输入密文CT和重加密密钥Rsk,输出重加密后的密文CT′。

2.3 可撤销属性基加密方案安全模型

下面将给出多属性授权机构环境下支持撤销的CP-ABE方案在选择明文攻击下的不可区分性的安全模型。在这种安全模型中,敌手A需要选择自己要挑战的访问结构发送给挑战者B,同时A能够从B中获得满足自己访问结构的属性集相应的私钥。通过敌手和挑战者的游戏来构建安全模型,模型为选择明文安全。

1)初始化(Init)

2)系统建立(Setup)

B运行Setup算法,将产生的系统参数params发送给A。

3)查询阶段1(Phase1)

A将自己的属性集提交给B,B运行密钥生成算法生成相应的私钥发送给A。

4)挑战阶段(Challenge)

A向B提交2个消息长度相等的明文M0和M1,B进行抛硬币实验随机得b∈{0,1},然后运行加密算法,将加密后的密文发给A。

5)查询阶段2(Phase2)

A进行与Phase1一致的操作。

6)猜测(Guess)

A对b进行猜测,若猜测的b′=b,则B赢得了游戏。B进行游戏获得成功的公式为:

3 多授权机构可撤销的密文策略ABE方案

3.1 方案构造

密文策略属性基加密方案如下:

1)Setup

2)KenGen(msk,L)

3)Encrypt(params,m,W)

5)Decrypt(CT,SKL,params)

6)Rekeygen(U,params)

7)ReEncrypt(CT,Rsk)

云存储服务器收到密文CT和重加密密钥Rsk后,执行以下计算:

输出重加密密文:

8)Rekey(SKL,Rsk)

3.2 方案的正确性分析

方案的正确性分析过程如下:

1)用户从云存储服务器获得的合法密文CT可以被正确解密。

D=e(C0,d1)=e(gs,gr)=e(g,g)sr

2)密钥更新后的重加密密文可以被正确解密。

3.3 方案的安全性分析

本文提出的加密方案支持多属性授权机构环境下属性撤销,下文将给出方案选择明文攻击下密文不可区分性IND-CPA证明过程。当用户属性撤销操作发生时,云服务器会重新计算密文,并更新版本号获得新的密钥。当新用户加入系统时,密钥中由DO生成的随机数已经改变,即使用户获得密钥前已经了解以前的密文并且满足访问结构,也不能解密出使用以前密钥所加密的密文。

定理若DBDH困难问题在群(G0,G1)上成立,则方案具有IND-CPA安全。

挑战者B随机选择a,b,c,z∈Zp,设G是乘法循环群,其阶为素数p,生成元是g;令e:G0×G0→G1是双线性映射。挑战者B随机抛硬币得到随机值μ∈{0,1},若μ=0,令Z=e(g,g)abc,即(g,A,B,C,Z)=(g,ga,gb,gc,gabc),否则令Z=e(g,g)z,即(g,A,B,C,Z)=(g,ga,gb,gc,gz)。然后挑战者B将所得结果发送给模拟者X,此时模拟者X在DBDH游戏中充当挑战者的角色。

1)初始化(Init)

2)系统建立(Setup)

3)查询阶段1(Phase1)

4)挑战阶段(Challenge)

5)查询阶段2(Phase2)

与查询阶段1一致。

6)猜测(Guess)

4 性能分析

本节对文献[6,13,16]的方案和本文方案的有无CA、单授权机构/多授权机构、属性撤销等方面进行分析比较。

与文献[6,16]的方案相比,本文方案支持属性撤销、无须CA、多属性授权机构,具有更多的功能和更好的灵活性。当发生用户属性撤销时,授权机构就会更新密钥中所包含的版本号,利用云服务器重加密技术计算新的解密密钥,因此,在用户属性撤销发生时,不会给DO和未被撤销的DU增加额外的计算开销。不同方案功能对比如表1所示,其中,√表示有,×表示无。

表1 不同方案功能对比

与文献[13]方案相比,两者均能实现多属性授权机构的属性撤销。通过理论数值分析,对本文方案和文献[13]方案的计算开销进行比较。P表示为双线性对运算、E表示为指数运算、M表示为点乘运算,这3种运算是开销对比过程中主要考虑的运算,其中双线性对运算的计算代价高。如表2所示,本文方案的加密过程对这3种运算的使用比文献[13]方案少;在解密过程中,本文方案比文献[13]方案的指数运算和双线性对运算也有明显减少。因此,与文献[13]方案相比,本文方案降低了加解密的计算开销,具有较高的运行效率。

表2 计算开销表

5 结束语

本文构造一个多属性授权机构环境下基于CP-ABE的属性撤销加密方案,该方案在DBDH困难问题假设下实现IND-CPA安全。通过版本号标记法实现用户属性撤销,建立访问树结构管理不同属性授权机构所颁发的属性,能够抵抗多个属性授权机构的联合攻击,有效保护数据用户的隐私,实现用户的细粒度访问。与文献[6,13,16]方案相比,本文方案对消息加解密的效率更高。同时,云存储平台和代理重加密技术可减少属性授权机构的工作量,降低用户的计算消耗。