支持策略更新的外包屬性加密

林素青

?

支持策略更新的外包屬性加密

林素青1,2

（1. 中國科學院信息工程研究所信息安全國家重點實驗室，北京100093；2. 中國科學院大學，北京100049）

為滿足云存儲密態數據高效靈活的訪問需求，提出支持策略更新的外包屬性加密方案。以經典的屬性加密方案為基礎模塊，采用類密鑰盲化方法和外包解密技術，在確保明文數據和用戶私鑰不泄露的條件下，實現密文訪問策略的代理更新，同時切實有效地降低終端用戶的解密計算量。方案支持非單調的訪問結構，在標準模型和假設下可證明具有選擇IND-CPA安全性和私鑰安全性，與文獻同類方案相比，實現了安全性和終端訪問效率的進一步優化。

屬性加密；外包解密；策略更新；私鑰安全性

1 引言

屬性加密（ABE）[1]在保護數據隱私性的同時，能實現細粒度且非交互的訪問控制，在云計算的數據安全存儲和信息資源共享方面有良好的應用前景，經過屬性加密的云存儲密態數據利用加密過程中嵌入訪問策略可以完成對密態數據訪問權限的設置。若授權訪問的用戶采用“下載—解密—重加密—上傳”的方式來更新密態數據的訪問策略，則需付出較高的計算和通信代價。密文策略的屬性基代理重加密（CP-AB-PRE）[2]結合密文策略的屬性加密（CP-ABE）和外包解密技術，借助代理服務器，可實現密態數據訪問策略的代理更新，能有效減輕用戶的計算量和通信量。

目前，關于CP-AB-PRE的研究工作很多，但安全性和效率方面均有待提高。2009年，Liang等[2]以文獻[3]的CP-ABE方案為基礎，構造出首個CP-AB-PRE方案，并在選擇策略模型下證明方案具有選擇明文不可區分（IND-CPA）安全性。此后，Luo等[4]提出在DBDH假設下可證明安全，具有重加密可控制性質的CP-AB-PRE方案，并用類似于文獻[5]的方法，將解密中雙線性對運算的個數減少為常數，但解密過程中包含雙線性對運算，對于資源有限的弱終端用戶仍然是難以承受的負擔。2011年，Green等[6]提出支持外包解密的屬性加密方案，利用密鑰盲化方法，將解密過程中絕大部分雙線性對和模指數運算外包給代理服務器，在不泄露明文數據和用戶私鑰的前提下，將終端用戶的解密計算量降到最低。利用文獻[6]的方法可將大多數基于雙線性對運算而構造的屬性加密方案[7~9]拓展為外包屬性加密方案（OABE）。Lai等[10]在文獻[6]方案的基礎上考慮外包解密的安全驗證問題，提出支持可驗證外包解密的ABE方案，并在標準模型下證明方案的安全性。隨后，Lin等[11]系統地解決了外包解密的安全驗證問題，構造的方案在實現效率方面比文獻[10]方案提高近一半。此外，Li等[12]運用MapReduce方法實現ABE的加密外包，Li等[13,14]借助2個代理服務器，構造密鑰分發和解密運算均可外包的ABE方案。Ma等[15]全面考慮屬性加密和解密的外包可驗證問題，借鑒在線—離線CP-ABE方案[16]的構造方法，以文獻[17]方案為基礎模塊，提出支持可驗證外包加解密的在線—離線OABE方案。2015年，Shao等[18]提出在線—離線的CP-AB-PRE方案，支持線性秘密共享方案（LSSS, linear secret sharing scheme）表達的訪問結構，實現密文訪問策略的代理更新，同時，Shao等指出，結合外包解密方法，可大幅度地減少終端用戶的解密計算量，并證明方案具有選擇IND-CPA安全性。但該方案僅支持單調的LSSS訪問結構，且安全性所基于的假設僅證明在通用群模型下成立。

本文提出具有策略更新功能的密文策略外包屬性基代理重加密（CP-OAB-PRE）方案，以經典的屬性加密方案[3]為基礎，借用文獻[4]中CP-AB-PRE方案的構造方式，結合外包解密技術[6]，構造支持非單調訪問結構的CP-OAB-PRE方案，并全面考慮方案關于明文數據和用戶私鑰的安全性，在標準模型和假設下證明方案具有選擇IND-CPA安全性和私鑰安全性。與文獻同類方案相比，本文的方案能同時實現安全性和終端訪問效率的進一步優化。

2 預備知識

2.1 符號說明

2.2 雙線性映射與困難問題假設

下面描述計算Diffie-Hellman（CDH）假設和判定雙線性Diffie-Hellman（DBDH）假設。

2.3 訪問結構

訪問結構表示一些非空的訪問集合構成的全體，其所含的訪問集合為授權集合，其余的訪問集合為非授權集合。

定義5[19]設個參與者全體表示為，是由參與者全體的子集構成的集合。如果對于中任意的2個集合，均滿足：若，，則，那么稱集合是單調的。由參與者全體的非空子集構成的集合就稱為一個訪問結構，即。若是單調的，則稱為單調的訪問結構。中的元素均為授權集合，不在中的元素均為非授權集合。

此方案基于與門訪問結構，與門訪問結構是用邏輯與操作聯結屬性（可以為正屬性或負屬性）而得的非單調訪問結構。設屬性空間為，訪問策略用與門訪問結構表示為，其中，代表一個屬性。稱一個屬性集合滿足訪問結構（或訪問策略），對于任意的。

2.4 CP-OAB-PRE的算法描述

假設代理服務器是半可信任的，即代理服務器能誠實可靠地執行計算但有偷窺私密信息的好奇心，構造密文策略的外包屬性基代理重加密（CP-OAB-PRE）方案，算法描述如下。

正確性：CP-OAB-PRE方案是正確的，當且僅當對于任意正確產生的公共參數和主私鑰，任意的屬性集合、訪問結構以及消息，若滿足，則有

2.5 CP-OAB-PRE的安全模型

本節分別定義CP-OAB-PRE方案關于密文和重加密密文的IND-CPA安全性，以及私鑰安全性。為刻畫方案關于密文的IND-CPA安全性，任意PPT敵手與挑戰者之間的游戲描述如下。

定義6 CP-OAB-PRE方案關于原密文是IND- CPA安全的，如果任意的PPT敵手在上述游戲中的優勢是可忽略的，即。

下面定義CP-OAB-PRE方案關于重加密密文的安全性。、、、4個階段與上述定義相同，階段描述如下。

定義7 CP-OAB-PRE方案關于重加密密文是IND-CPA安全的，如果任意的PPT敵手在上述游戲中的優勢是可忽略的，即。

在代理重加密過程中，代理服務器將獲取由用戶私鑰生成的重加密密鑰，為確保重加密密鑰不泄露用戶私鑰的信息，定義CP-OAB-PRE方案的私鑰安全性。任意PPT敵手與挑戰者之間的游戲描述如下。

5)與Gumbel(max)(極大值)函數相關系數的計算。生成3 180×1的Gumbel(max)(極大值)函數隨機矩陣數據，然后以z=corrcoef(A,F)指令計算相關系數，zGumbel(max)=-0.007 7。

定義8 CP-OAB-PRE方案具有私鑰安全性，如果任意的PPT敵手贏得上述游戲的概率是可忽略的。

3 本文方案

結合文獻[6]的密鑰盲化方法和外包解密技術，構造支持策略更新的外包屬性加密方案，稱之為密文策略的外包屬性基代理重加密（CP-OAB-PRE）方案。為保證用戶私鑰的安全性，文獻[20]采用與密鑰盲化類似的方法，即類密鑰盲化方法生成重加密密鑰，使之即使在盲化因子遭遇泄露的情況下，敵手也不能獲取真正的解密密鑰。

3.1 方案的構造

3.2 安全性分析

定理1 若DBDH假設成立，則所構造的CP-OAB-PRE方案關于原密文具有選擇IND-CPA安全性。

證明 假設存在PPT敵手能以不可忽略的優勢攻破方案的選擇IND-CPA安全性，則可以構造算法B，以不可忽略的優勢解決DBDH問題。

定理2 若DBDH假設成立，則CP-OAB-PRE方案關于重加密密文具有選擇IND-CPA安全性。

證明 考慮挑戰者與敵手之間的兩類游戲。

與定理1證明完全類似的分析，可得，在DBDH假設下，任意PPT敵手攻破的優勢是可忽略的，而與是計算不可區分的，于是，任意PPT敵手攻破的優勢是可忽略的，從而，CP-OAB-PRE方案關于重加密密文具有選擇IND-CPA安全性。

定理3 若CDH假設成立，則CP-OAB-PRE方案具有選擇私鑰安全性。

證明 假設存在PPT敵手能以不可忽略的優勢攻破選擇私鑰安全性，則可以設計算法以不可忽略的概率求解CDH問題。得到挑戰問題組，其中，是素數階群的生成元，，為計算，調用執行如下步驟。

所以，若敵手能以不可忽略的概率輸出合法密鑰，則能以不可忽略的概率求解CDH問題，這與CDH假設矛盾。

4 方案的對比分析

將構造的CP-OAB-PRE方案與文獻同類方案進行比較，分別從安全性、功能和效率等方面分析，主要關注數據安全性，密鑰安全性，訪問策略的表達能力，以及終端用戶的解密計算量等。

如表1所示，本文方案與文獻[2, 4]方案均全面考慮了可能存在的安全隱患。由于代理服務器在得到重加密密鑰時，會獲取關于密鑰盲化因子的密文，而密鑰盲化因子的信息泄露將直接威脅到用戶私鑰和明文數據的安全性，因此，不僅需要討論明文數據的安全性，更需要論證用戶私鑰的安全性。文獻[18]僅提供方案的數據安全性的相關論證，密鑰安全性也可類似得證，但其安全性所基于的假設僅在通用群模型下證明成立。文獻[2]方案的安全性所基于的ADBDH假設[2]和CTDH假設[2]分別比標準的DBDH和CDH假設較強，而本文方案的安全性均基于標準的假設。

表1 安全性對比

如表2所示，本文方案與文獻[2, 4]的方案均適用于非單調的與門訪問結構，能表達正負屬性均存在的情形，而文獻[18]的方案適用于單調的訪問結構，表達僅存在正屬性的情形。本文方案支持外包解密運算，終端用戶的解密計算量僅需要一個模指數運算，這與文獻[18]的方案最少的終端解密計算量相同，而文獻[2, 4]方案的終端解密計算量均需要較多的雙線性對運算。

表2 功能效率對比

5 結束語

本文提出密文策略的外包屬性基代理重加密（CP-OAB-PRE）方案，既支持密態數據訪問策略的代理更新，又支持外包解密運算，滿足弱終端用戶的訪問需求。終端授權訪問用戶可將解密的大部分計算量外包給代理服務器處理，然后只需完成剩余極小的計算量，便可得到明文數據。本文方案考慮代理服務器為半可信任的情形，即需要確保代理服務器誠實可靠地執行代理重加密和外包解密運算。針對代理服務器不可信任的情形，利用文獻[11, 21]的方法可分別對外包解密和代理重加密增加驗證機制，得到可驗證的CP-OAB-PRE方案。

[1] SAHAI A, WATERS B. Fuzzy identity-based encryption[C]//International Conference on Theory and Applications of Cryptographic Techniques. c2005:457-473.

[3] CHEUNG L, NEWPORT C. Provably secure ciphertext policy ABE[C]//The 14th ACM conference on Computer and Communications Security. c2007: 456-465.

[5] HOHENBERGER S, WATERS B. Attribute-based encryption with fast decryption[M]//Public-Key Cryptography-PKC 2013. Berlin: Springer. 2013: 162-179.

[6] GREEN M, HOHENBERGER S, WATERS B. Outsourcing the Decryption of ABE Ciphertexts[C]//USENIX Security Symposium. c2011.

[7] GOYAL V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//The 13th ACM Conference on Computer and Communications Security. c2006: 89-98.

[8] LEWKO A, OKAMOTO T, SAHAI A, et al. Fully secure functional encryption: attribute-based encryption and (hierarchical) inner product encryption[C]//Advances in Cryptology-EUROCRYPT. c2010: 62-91.

[9] WATERS B. Ciphertext-policy attribute-based encryption: An expressive, efficient, and provably secure realization[C]//Public Key Cryptography-PKC. c2011: 53-70.

[10] LAI J, DENG R H, GUAN C, et al. Attribute-based encryption with verifiable outsourced decryption[J]. Information Forensics and Security, 2013, 8(8): 1343-1354.

[11] LIN S, ZHANG R, MA H, et al. Revisiting attribute-based encryption with verifiable outsourced decryption[J]. Information Forensics and Security, 2015, 10(10): 2119-2130.

[12] LI J, JIA C, LI J, et al. Outsourcing encryption of attribute-based encryption with mapreduce[C]//The 14th Information and Communications Security. c2012: 191-201.

[13] LI J, CHEN X, LI J, et al. Fine-grained access control system based on outsourced attribute-based encryption[C]//Computer Security-ESORICS. c2013: 592-609.

[14] LI J, HUANG X, LI J, et al. Securely outsourcing attribute-based encryption with checkability[J]. Parallel and Distributed Systems, 2014, 25(8): 2201-2210.

[15] MA H, ZHANG R, WAN Z, et al. Verifiable and exculpable outsourced attribute-based encryption for access control in cloud computing[J]. IEEE Transactions on Parallel and Distributed Systems, 2015:1.

[16] HOHENBERGER S, WATERS B. Online/offline attribute-based encryption[M]//Public-Key Cryptography–PKC 2014. Berlin: Springer, 2014: 293-310.

[17] ROUSELAKIS Y, WATERS B. Practical constructions and new proof methods for large universe attribute-based encryption[C]//The 2013 ACM SIGSAC Conference on Computer & Communications Security. c2013: 463-474.

[18] SHAO J, LU R, LIN X. Fine-grained data sharing in cloud computing for mobile devices[C]//Computer Communications (INFOCOM). c2015: 2677-2685.

[19] BEIMEL A. Secure schemes for secret sharing and key distribution[M]//Israel Institute of Tec hnology. Haifa: Technion, 1996.

[20] LIANG K, SUSILO W. Searchable attribute-based mechanism with efficient data sharing for secure cloud storage[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(9): 1981-1992.

[21] LIIN S, ZHANG R, WANG M. Verifiable attribute-based proxy re-encryption for secure public cloud data sharing[J]. Security and Communication Networks, 2016.

Outsourced attribute-based encryption with policy update

LIN Su-qing1,2

(1. The State Key Lab of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China; 2. University of Chinese Academy of Sciences, Beijing 100049, China)

In order to achieve the efficient and flexible access control for the encrypted data stored in the cloud, an outsourced attribute-based encryption scheme with policy update was proposed. Based on the standard attribute-based encryption scheme, the functionality of policy update from delegation for a ciphertext without revealing any confidential information of the plaintext and private keys by utilizing the techniques of key blinding and outsourcing decryption was accomplished. Simultaneously, the decryption overhead for a user to recover the plaintext was effectively reduced. The scheme supports non-monotonic access structure and can be proved to have selective IND-CPA security and private key security under standard assumptions, respectively, in the standard model. Compared with similar schemes from literatures, the scheme provides better security and efficiency.

The National Natural Science Foundation of China (No.61379142)

attribute-based encryption, outsourced decryption, policy update, private key security

TP309.7

A

10.11959/j.issn.2096-109x.2016.00055

2016-04-05；

2016-05-08。

林素青，suqinglin2016@126.com

國家自然科學基金資助項目（No.61379142）

林素青（1982-），女，浙江溫州人，中國科學院信息工程研究所博士生，主要研究方向為信息安全、密碼學。