基于匿名廣播加密的云存儲訪問控制方法

2017-04-20 05:37:36許盛偉林慕清

計算機應用 2017年2期

關鍵詞：用戶實驗

許盛偉，林慕清

(北京電子科技學院信息安全研究所，北京 100070)

(*通信作者電子郵箱linmq@besti.edu.cn)

基于匿名廣播加密的云存儲訪問控制方法

許盛偉，林慕清*

(北京電子科技學院信息安全研究所，北京 100070)

(*通信作者電子郵箱linmq@besti.edu.cn)

針對現有的匿名廣播加密方法在加解密性能和安全性方面的不足，提出一種基于拉格朗日插值多項式的匿名廣播加密方法。首先定義了可以抵御自適應敵手攻擊的匿名廣播加密安全模型；然后在合數階雙線性群環境下采用拉格朗日插值多項式對方案進行了構建，在保證用戶身份匿名性的同時，實現了高效的加解密；最后基于子群判定假設和合數階判定雙線性Diffie-Hellman假設，在標準模型下證明了方法針對自適應敵手具有密文的機密性和接收者匿名性。實驗與性能分析表明，方法具有較低的通信和計算開銷，可以有效地解決云存儲中密文數據的匿名訪問控制問題。

云存儲；訪問控制；匿名廣播加密；拉格朗日插值多項式；合數階雙線性群

0 引言

隨著計算機技術和互聯網應用的迅速發展，云存儲服務憑借著使用方便、節約成本等優勢得到了人們的廣泛關注與應用。然而，云存儲在具有諸多優勢的同時，也帶來了許多新的安全隱患[1-3]。在云存儲體系中，用戶的數據存儲于云服務提供商(Cloud Service Provider, CSP)的服務器上，脫離了用戶的絕對控制，其安全性完全取決于CSP的系統安全性、數據管理員的素質等，這對用戶來說都是不可控的因素。由于用戶并不能完全信任CSP，因此當需要對數據的訪問權限進行管理時，傳統的由CSP所實施的訪問控制方法已不再適用，因為CSP無法向用戶證明自己確實正確地實施了訪問控制。這時，為了保證數據的可控訪問，人們往往采用基于密碼學的訪問控制方法，即由用戶來對自己的數據進行加密，并通過控制密文數據的解密權限來實現數據的訪問控制。

目前針對云存儲的密文訪問控制方法主要可以分為基于屬性加密[4-6]和基于代理重加密[6-7]兩種。這些方法分別從不同角度、針對不同場景提出了許多有效的解決方案。然而，這些方法均未考慮到對用戶隱私的保護，其所產生的密文均含有授權用戶的身份信息，因此并不適用于一些隱私敏感的應用場景。

與基于屬性加密和代理重加密相比，廣播加密[8]是一種更簡單、靈活的對數據進行加密和訪問控制的方法。它能夠在不安全的信道(例如公共云存儲服務器)上利用安全的手段來向用戶共享數據，并且同時保證數據的機密性。這里的“廣播”不只局限于網絡通信中的廣播機制，而是指廣義上任何公開的信道。在廣播加密方法中，數據擁有者首先選定接收者集合，然后產生針對該集合的密文。當且僅當用戶屬于接收者集合時，才能夠正確地解密出明文；即使所有集合外的用戶共謀，也無法成功進行解密。與常見的組播通信不同的是，在廣播加密中，接收者集合是動態的，即它是由數據擁有者在對數據進行加密時自由選定的，并不是固定不變的。這意味著每個廣播加密密文都可以具有獨立的、不同的解密權限。這種特性使得廣播加密可以很自然地被應用于云存儲的訪問控制中。

廣播加密的概念由Fiat等[8]首次提出。隨后研究者們針對該問題展開了一系列的研究，并取得了許多成果，其中主要可以分為基于對稱密鑰的廣播加密[9-11]和基于公鑰的廣播加密[12-14]兩種。基于對稱密鑰的方案具有較高的加解密效率，但均為集中式的方案，即只有系統中的唯一權威機構才能有權限執行加密算法。這可以滿足諸如衛星電視節目的授權等領域的需求，但卻不適用于文件系統的訪問控制。而基于公鑰的廣播加密方案則較為靈活，它允許系統中的任意用戶作為數據擁有者，執行加密算法來向任意接收者集合共享數據。Boneh等[14]提出的方案將雙線性配對技術應用到廣播加密中，提出了第一個帶有常數長度的密文和私鑰的完全抗共謀廣播加密方案。隨后，Gentry等[15]提出了具有自適應選擇明文攻擊(Chosen Plaintext Attack, CPA)安全性的公鑰廣播加密方案。該方案包括了兩個廣播加密方案和兩個基于身份的廣播加密方案，均在隨機預言模型下實現了常數級的密文長度。Phan等[16]對文獻[14]中的第一個方案進行了改進，提出了一種帶有常數長度的密文和私鑰的選擇性選擇密文攻擊(Chosen Ciphertext Attack, CCA)安全的方案，隨后他們基于雙線性Diffie-Hellman指數(Bilinear Diffie-Hellman Exponent, BDHE)假設的一般化形式和KEA(Knowledge of Exponent Assumption)假設證明了該方案的自適應CCA安全性。

基于身份的廣播加密(Identity-Based Broadcast Encryption, IBBE)方案是公鑰廣播加密方案的一種特殊形式，它使用用戶的身份標識來進行加密與解密。與普通的公鑰廣播加密方案相比，IBBE方案在新加入用戶時不需要對整個系統的公鑰進行更新，因此用戶可以隨時加入系統。首個IBBE方案由Delerablée[17]提出，他構建了一種選擇性CPA安全的IBBE方法，并具有常數長度的密文和私鑰。由于方案是基于身份的，因此支持用戶的動態加入，不需要更新系統公鑰。Boneh等[18]使用分層身份加密結構在標準模型下構建了一個分層的廣播加密方案。Zhang等[19]提出了一種基于雙重加密技術的基于身份廣播加密方案，使用靜態假設在標準模型下實現了自適應安全性。

為了提高算法的效率，以上的這些方案往往將接收者集合以明文的形式與廣播加密密文一起傳送。然而在某些應用場景中，接收者的身份可能和密文本身一樣都是敏感信息，此時這些方案均不再適用，因為在通信中會泄露接收者的身份信息。一些研究者們開始研究如何在加密的同時實現對接收者身份的隱藏。Barth等[20]首次提出了私有廣播加密的概念，構建了兩種基于公鑰的方案，不會泄露關于接收者集合的任何信息。Fazio等[21]提出了一個基于子集覆蓋框架的方案，具有次線性的密文長度；在該方案中，接收者的身份對于集合外的用戶來說是匿名的，但對同一集合中的用戶來說卻是可見的。Libert等[22]首次給出了匿名廣播加密(Anonymous Broadcast Encryption, ANOBE)的形式化安全模型，其允許敵手進行自適應的腐蝕攻擊；然而，該方案的匿名性是由使用多份對稱加密的密文構成廣播體來實現的，通信開銷較大。Hur等[23]構建了一種隱私保護的基于身份廣播加密方案；該方案同樣是選擇性安全的，并且需要進行多次的解密嘗試才能正確地解密出明文。

雖然針對匿名廣播加密方法的研究取得了一定的進展，但目前還存在著一些不足。現有方法中解密算法的效率較低，因為現有方案所采用的方法都需要在解密時進行不斷的嘗試才能得到明文；另外，這些方案的安全模型均為選擇性安全模型，目前還沒有自適應安全的匿名廣播加密方案。

本文在假定CSP為不可信實體的基礎上，針對云存儲訪問控制中的匿名性問題，提出了一種新的匿名廣播加密方法。方法采用基于身份的公鑰廣播加密，支持用戶以身份標識直接參與運算，并且任意用戶都可以調用加密算法進行數據的加密。算法在合數階雙線性群及相關復雜性假設的基礎上構建，并采用拉格朗日插值多項式來實現對用戶的身份信息的隱藏。與同類方案相比，本文方法在具有更高的解密效率的同時，實現了標準模型下的自適應安全性。

1 預備知識

1.1 合數階雙線性群

合數階雙線性群的概念首次在文獻[24]中出現。給定安全參數k，選擇兩個素數p和q，令G和G分別為階為n=pq的循環群，e:G×G→G是一個雙線性映射，滿足以下性質：

雙線性對于所有g,h∈G,a,b∈Zn，有e(ga,hb)=e(g,h)ab；

非退化性存在g∈G，使得e(g,g)≠1，且是G的生成元；

可計算性群G、G中的運算以及映射e:G×G→G的計算都可以在多項式時間內完成。

令Gp和Gq分別為階為p和q的子群，g為群G的生成元，gp,gq分別為Gp和Gq的生成元。則對于任意hp∈Gp和hq∈Gq，元素e(hp,hq)為G中的單位元，即：

(1)

因為群G的階為n。

1.1.1 子群判定假設

子群判定問題定義如下：給定(n,G,G,e)和一個元素x∈G，判斷元素x的階是否等于p。換句話說，在不知道階n的因式分解的情況下，判斷該元素是否屬于G的一個子群。

對于一個算法來說，其解決子群判定問題的優勢可以定義為概率|Pr[solved]-1/2|。如果對于任意概率多項式時間(ProbabilisticPolynomialTime,PPT)算法A來說，解決(n,G,G,e)中的子群判定問題的優勢最高為一個可忽略值，則稱子群判定假設(SubgroupDecisionAssumption,SDA)成立。

1.1.2 合數階判定雙線性Diffie-Hellman假設

對于一個算法來說，其解決CDBDH問題的優勢可以定義為概率|Pr[solved]-1/2|。如果對于任意PPT算法A來說，解決(p,q,G,G,e)中的CDBDH問題的優勢最高為一個可忽略值，則稱CDBDH假設成立。

1.2 拉格朗日插值多項式

拉格朗日插值[25]方法可以確定一個多項式曲線，使其精確地穿過二維平面上的一系列已知點。給定n個不同的點(x1,y1),(x2,y2),…,(xn,yn)。令n個(n-1)次的首一多項式表示為：

滿足：

則插值多項式F(x)可以由以下方法給出：

2 系統模型

為了兼顧安全性和效率，目前針對密文的訪問控制方法主要采用混合加密機制來對數據進行加密，包括數據封裝機制(DataEncapsulationMechanism,DEM)和密鑰封裝機制(KeyEncapsulationMechanism,KEM)兩個部分。其中，DEM用于對具體要保護的數據文件進行加密，并且采用對稱加密方法來實現較高的加解密效率；而KEM則用于對DEM中的密鑰進行加密保護，主要采用公鑰密碼學的相關方法來實現較靈活的訪問控制特性。

圖1 廣播加密中的密鑰封裝機制

廣播加密是一種密鑰封裝機制。其中，用于加密數據文件的對稱密鑰是由加密算法輸出的，如圖1所示。給定一個數據文件M，數據的擁有者首先選定允許訪問M的授權用戶集合S，然后以S為輸入執行加密算法得到一個隨機的對稱密鑰K和一個廣播頭部Hdr，并使用密鑰K加密數據文件M，最后將加密后的文件C與廣播頭部Hdr一起上傳到云端。廣播頭部中包含了接收者的身份信息，合法的接收者可以使用自己的私鑰進行解密，重新還原出對稱密鑰K，進而用來解密密文數據C。

本文所提出的匿名廣播加密方案由三種實體構成。各種實體的角色與功能介紹如下：

1)私鑰生成器(PrivateKeyGenerator,PKG)。作為系統中的一個可信的第三方，負責進行系統的初始化和密鑰的生成。在生成系統的主密鑰和公鑰后，PKG還需要響應用戶的加入請求，來為每位用戶生成私鑰。PKG并不參與加密與解密，如果當前沒有用戶需要加入的話，其可以處于離線模式，暫時停止工作。

2)數據擁有者。數據擁有者是擁有數據、并準備向指定用戶共享數據的用戶。在公鑰廣播加密系統中，任何用戶都可以作為數據擁有者來向其他人共享數據。在每次加密時，數據擁有者都需要顯式地指定數據的接收者集合，然后針對該集合來加密數據，得到廣播密文并存儲至云端。

3)接收者。接收者是在每次加密中處于目標集合中的用戶，其可以使用自己的私鑰來解密從云端下載的廣播密文。同時，任何接收者都無法了解到集合中的其他用戶身份。

實際上，數據擁有者和接收者在系統中都屬于同一類型的用戶。本文主要基于用戶在算法中的不同角色和功能來將其劃分為這兩類實體。對于一個用戶來說，其既可以是某個數據文件的擁有者，同時也可以是另一個數據文件的接收者。

2.1 模型的形式化定義

本文所提出的匿名廣播加密方案由四個多項式時間算法組成，即ANOBE=(Setup,Join,Encrypt,Decrypt)，具體描述如下：

1)(MSK,PK)←Setup(1k)：由PKG執行，用于生成系統密鑰。算法以安全參數k為輸入，輸出主密鑰MSK和公鑰PK。

2)ski←Join(MSK,IDi)：由PKG執行，用于為用戶頒發私鑰。算法輸入主密鑰MSK和用戶的身份IDi，輸出針對該用戶的私鑰ski。

3)(Hdr,K)←Encrypt(PK,S)：由數據擁有者執行，用于生成會話密鑰。算法輸入公鑰PK和用戶身份集合S={…,IDi,…}，輸出廣播頭部Hdr和一個會話密鑰K。

4)K←Decrypt(IDi,ski,Hdr)：由接收者執行，用于解密所收到的廣播頭部。算法輸入用戶身份IDi、對應該身份的私鑰ski和一個廣播頭部，輸出一個會話密鑰K。

在初始化階段中，PKG運行Setup算法來產生系統的主密鑰和公鑰。隨后，對于每一個新用戶，PKG運行Join算法來為用戶生成私鑰。該階段可以看成是用戶的注冊階段。只要PKG在線，新用戶可以在任何時候加入系統。

給定一個要共享的數據文件M，數據擁有者首先選定一個接收者集合S，然后運行Encrypt算法來輸出一個廣播頭部Hdr和一個會話密鑰K。隨后，數據擁有者可以使用對稱加密算法以K為密鑰對M進行加密，得到密文CM。因此最終實際存放在云端的內容為(Hdr,CM)，稱為廣播密文。實際上在該步驟中，數據擁有者選定的接收者集合S可以包含任意用戶，甚至那些未加入系統中的用戶，因為集合中只需要包含用戶的身份即可。用戶可以在以后的任意時刻向PKG申請私鑰，然后去嘗試解密消息。

對于從云端下載到的廣播密文(Hdr,CM)，用戶可以通過運行Decrypt算法來判斷自己是否為接收者。如果該用戶是接收者的話，那么Decrypt算法會輸出一個正確的密鑰K；如果用戶不是接收者，那么算法會輸出一個不確定的其他值，因此不能解密CM。與普通廣播加密算法不同的是，該算法不再需要以集合S作為輸入。

如果對于所有集合S和所有IDi∈S，方案滿足等式：

Pr[(MSK,PK)←Setup(1k);ski←Join(MSK,IDi); (Hdr,K)←Encrypt(PK,S);K′←Decrypt(IDi,ski,Hdr):K=K′]=1

則稱該匿名廣播加密方案是正確的。

2.2 安全性定義

直觀上，一個安全的匿名廣播加密方案應該滿足以下安全性質：

1)方案應該滿足完全抗共謀性。給定一個廣播密文，只有屬于接收者集合的用戶才能解密得到消息。任何集合外的用戶都無法從密文中獲得任何有用信息，即使所有集合外用戶在一起共謀。

2)接收者的身份應該是完全匿名的。給定一個廣播密文，任何用戶應該只能檢驗自己是否為接收者，無法判斷其他任何用戶是否能解密，即無法確定同一集合中其他用戶的身份。

本節使用挑戰者C和敵手A之間的攻擊實驗來定義匿名廣播加密方案的選擇密文安全性模型。在攻擊實驗中，挑戰者和敵手為相互交互的概率過程。該安全模型針對自適應敵手構建，相對于文獻[22-23]中的靜態安全模型來說，進一步提高了敵手的攻擊能力。兩種敵手的主要區別是，在靜態敵手模型中，敵手必須首先選定想要攻擊的用戶集合，然后才開始進行交互實驗；而在自適應敵手模型中，敵手可以在生成公鑰、并完成第一階段的質詢后再選擇想要進行攻擊的用戶集合。在這種情況下，敵手在發起挑戰前所擁有的信息遠多于靜態敵手，因此具有更高的攻擊能力。

2.2.1 密文機密性

密文的機密性指，即使敵手擁有質詢所有其他用戶私鑰的能力，也無法區分真實的密文和一個隨機給定的值。以下定義描述了方案在自適應選擇密文攻擊下的加密不可區分性(IND-ADA-CCA1)。

定義1IND-ADA-CCA1安全性。給定一個ANOBE方案，令A為一個自適應敵手，C為一個挑戰者。考慮以下實驗：

初始化挑戰者C運行Setup(1k)得到主密鑰MSK和公鑰PK，并將PK發送給A。

階段1 A可以向以下兩種預言機發起至多多項式次質詢：

1)加入質詢：對于A選擇的任意身份IDi，C運行Join(MSK,IDi)得到私鑰ski并發送給A。

2)解密質詢：對于A選擇的頭部(Hdri,Si)，C隨機選擇一個ID∈Si，然后生成該ID的私鑰sk，運行Decrypt(ID,sk,Hdri)得到Ki并發送給A。

挑戰 A選擇一個身份集合S*，其中集合中的身份均未在階段1中質詢過。C運行Encrypt(PK,S*)對集合S*進行加密，并得到(Hdr*,K*)。然后C選擇一個隨機值b∈{0,1}，并設置Kb=K*，K1-b=K′，其中K′為G中的一個隨機元素。最后C將(Hdr*,K0,K1)發送給A。

階段2 A可以繼續發起至多多項式次階段1中的加入質詢，但不能針對IDi∈S*發起質詢。

猜測 A輸出一個針對b的猜測b′。如果b′=b，則A獲勝。

2.2.2 接收者匿名性

接收者匿名性是指，給定一個密文和兩個同樣大小的接收者集合，敵手無法區分該密文是由哪個接收者集合通過加密算法生成的。以下定義描述了方案在自適應選擇密文攻擊下的匿名加密不可區分性(ANON-ADA-CCA1)。

定義2ANON-ADA-CCA1安全性。給定一個ANOBE方案，令A為一個自適應敵手，C為一個挑戰者。考慮以下實驗：

初始化挑戰者C運行Setup(1k)得到主密鑰MSK和公鑰PK，并將PK發送給A。

階段1 A可以向以下兩種預言機發起至多多項式次質詢：

1)加入質詢：對于A選擇的任意身份IDi，C運行Join(MSK,IDi)得到私鑰ski并發送給A。

2)解密質詢：對于A選擇的頭部(Hdri,Si)，C隨機選擇一個ID∈Si，然后生成該ID的私鑰sk，運行Decrypt(ID,sk,Hdri)得到Ki并發送給A。

挑戰 A選擇兩個不同的接收者集合S0和S1，使兩個集合的大小|S0|=|S1|，并且A未在階段1中質詢過IDi∈S0ΔS1=(S0S1)∪(S1S0)。C選擇一個隨機值b∈{0,1}，然后運行Encrypt(PK,Sb)對集合Sb進行加密，并得到(Hdrb,Kb)。最后C將(Hdrb,Kb)發送給A。

階段2 A可以繼續發起至多多項式次階段1中的加入質詢，但不能針對IDi∈S0ΔS1發起質詢。

猜測 A輸出一個針對b的猜測b′。如果b′=b，則A獲勝。

3 本文方案構建

3.1 設計思路

構建方案的主要思路如下。在系統中，處于接收者集合中的每個用戶都關聯著一個抽象的點(x,y)。在點(x,y)中，x坐標為一個長度為l比特的大整數，代表用戶的身份ID；y坐標為一個群元素，其具體的值由用戶的ID值參與計算得到。顯然這不是常規意義上的二維平面上的點，但并不影響對多項式的計算。每個用戶的x坐標是固定的，即用戶的身份不變；但y坐標在每次加密時都會發生變動，因為在計算過程中用到了隨機量。

令(x1,x2,…,xn)為接收者集合中的身份。在一次加密中，數據擁有者首先選擇一個隨機量參與計算得到會話密鑰K和每個接收者的y坐標，然后使用((x1,y1),(x2,y2),…,(xn,yn))來構造拉格朗日插值多項式：

使用拉格朗日插值多項式的主要目的是將這些y坐標隱藏到多項式中，因為只有這些值才包含了解密信息。若將某個身份xi∈(x1,x2,…,xn)代入到F(x)中進行計算的話，會得到一個對應的值yi=F(xi)。然而，如果xi?(x1,x2,…,xn)，那么代入到F(x)中后，會產生一個不可預測的yi值，因為多項式F(x)中的系數均為群中的離散元素。這也意味著，給定多項式F(x)，無法從中恢復出點((x1,y1),(x2,y2),…,(xn,yn))。在本方案的構造中，多項式F(x)是廣播頭部Hdr的主要組成部分。

對于每個用戶來說，用戶的私鑰、用戶的y坐標和當前的會話密鑰之間存在著聯系，可以由前兩個值計算出會話密鑰。在這種機制下，接收者的身份對其他用戶來說是隱藏的。例如，一個敵手A希望測試某個身份ID是否屬于接收者集合。A可以將該ID代入到F(x)中，得到一個值y。這個y可能是正確的，但由于A并沒有該ID所對應的私鑰，因此無法利用該y值來計算會話密鑰。也就是說，敵手A無法判斷所生成的y值的正確性，即無法判斷該用戶是否是一個接收者。

3.2 詳細算法設計

本節詳細介紹本文所提出的方案中的算法。整個系統基于合數階雙線性群構建。為了表示方便，本文會同時使用乘法和加法來表示群運算。在實現時，兩種運算的含義相同，均表示橢圓曲線群中的點運算。

選擇適當的l值作為用戶ID的長度，并選擇一個長度為l的素數s來構建整數群Zs。選擇哈希函數H:{0,1}*→Zs用來將任意長度的用戶身份映射到Zs中。在本文接下來的內容中，均使用哈希值ID∈Zs來代表用戶的身份;以l、s、H作為整個系統的公共參數，來進行具體的算法設計。

3.2.1 系統初始化算法

(MSK,PK)←Setup(1k)：進行系統的初始化和系統密鑰生成。主要步驟如下：

1)選擇兩個長度為k的素數p和q，并生成雙線性配對參數(n,G,G,e)，其中n=pq是群G和G的階。令Gp和Gq分別為階為p和q的子群，gp,gq分別為Gp和Gq的生成元。參數(n,G,G,e)作為公共參數公開。

3.2.2 用戶加入算法

ski←Join(MSK,IDi)：為用戶頒發私鑰。主要步驟如下：

1)將用戶的身份IDi按比特位展開成(IDi,1,…,IDi,l)，其中每個IDi, j∈{0,1}。隨機選擇r∈Zn，并計算私鑰(這里的群運算用乘法表示)：

2)輸出ski。

3.2.3 加密算法

(Hdr,K)←Encrypt(PK,S)：針對集合S進行加密并生成會話密鑰。給定系統公鑰PK=(gq,Q,Q,e(g1,g2))和接收者集合S=(ID1,ID2,…,ID|S|)，算法主要步驟如下：

1)對于i=1,2,…,|S|，令xi=IDi，則xi∈Zs。構造以下多項式：

使得fi(xi)=1，fi(xj)=0。其中所有運算均為在Zs中的模s運算。

2)隨機選擇t∈Zn，v∈Gq，(v1,v2,…,v|S|)∈Gq，計算K=e(g1,g2)t，C=v·Qt。

3)對于i=1,2,…,|S|，計算(這里的群運算用乘法表示)：

4)對于i=1,2,…,|S|，將aj,i作為大整數，計算(這里的群運算用加法表示)：

5)令Hdr=(T1,T2,…,T|S|,C),并輸出(Hdr,K)。

3.2.4 解密算法

K←Decrypt(IDi,ski,Hdr)：對廣播頭部進行解密得到會話密鑰。給定IDi，ski=(di,1,di,2)和Hdr=(T1,T2,…,T|S|,C)，算法主要步驟如下：

2)計算：

K=e(di,1,C)/e(di,2,δi)

3)輸出會話密鑰K。

3.3 算法的正確性

方案的正確性可以由以下推導得出：

根據式(1)，對于任意元素hp∈Gp和hq∈Gq，總是存在e(hp,hq)=1。因此，在解密算法中，

實際上，在廣播頭部Hdr中的元組(T1,T2,…,T|S|)可以看作為拉格朗日插值多項式F(x)的系數，其中：

F(x)=T1+xT2+…+x|S|-1T|S|=f1(x)y1+f2(x)y2+…+f|S|(x)y|S|

滿足F(xi)=δi=yi。

4 安全性分析

本章將對本文方案的安全性進行詳細的分析與證明。在接下來的內容中，將通過構造一個挑戰者C和一個敵手A之間的攻擊實驗來證明所提出的方案在CDBDH假設和SDA假設下針對自適應敵手的密文機密性和接收者匿名性。

4.1 密文機密性

定理1 若CDBDH假設成立，則本文所提出的ANOBE方案是IND-ADA-CCA1安全的。

證明該安全性意味著，對于定義1中的實驗，任何PPT敵手都只有最多可忽略的優勢獲勝。接下來的證明過程將顯示，如果存在一個PPT敵手A可以以不可忽略的優勢ε在實驗中獲勝，那么就存在一個PPT挑戰者C可以以不可忽略的概率解決CDBDH問題的一個實例。換句話說，挑戰者C可以借助敵手A的能力來解決CDBDH問題，因此違反了CDBDH假設。

假設A可以發起最多μ次加入質詢和μ′次解密質詢。令l為用戶身份的比特串長度。挑戰者C按照以下方式和敵手A進行交互：

對于每位用戶的身份IDi=(IDi,1,IDi,2,…,IDi,l)，定義以下三個輔助函數：

從A的角度來看，收到的這些值與從實際方案中獲得的值并沒有區別。

階段1 在該階段中，A可以向C發起兩種質詢。對于加入質詢，C按照以下方式響應：

設A針對IDi發起質詢。如果K(IDi)=0，則C終止實驗并隨機輸出一個針對CDBDH問題的猜測θ。若K(IDi)≠0，C選擇一個隨機值r∈Zn，并構造私鑰：

從A的角度來看，這是一個有效的私鑰，因為如果令

那么有：

同時，還有：

因此該私鑰ski與實際方案中的私鑰具有相同的結構。當L(IDi)≠0時，該私鑰是可計算的。為了便于分析，這里使用了L(IDi)≠0的充分條件K(IDi)≠0。

對于A的解密質詢(Hdri,Si)，C首先為集合Si中的一個身份生成私鑰，然后運行解密算法得到會話密鑰Ki并發送給A。

挑戰 A選擇一個身份集合S*，其中集合中的身份均未在階段1中質詢過。C按以下方式對集合S*進行加密。

對于任意IDi∈S*，如果存在：

則C終止實驗并隨機輸出一個針對CDBDH問題的猜測θ；否則，C執行以下步驟：

1)對于i=1,2,…,|S*|，令xi=IDi,構造以下多項式：

使得fi(xi)=1，fi(xj)=0。

4)對于i=1,2,…,|S*|，計算：

5)令Hdr*=(T1,T2,…,T|S*|,C)，并輸出(Hdr*,K*)。

如果T=e(gp,gp)αβγ，則(Hdr*,K*)是一個有效的密文，因為K*=T=e(gp,gp)αβγ=e(g1,g2)γ，并且有：

如果階段1的解密預言機曾經向A發送過值K*，則C終止實驗并隨機輸出一個針對CDBDH問題的猜測θ。這是因為如果發送過值K*，那么這意味著A在該階段質詢的是(Hdr*,S*)或其他有效形式，因此A可以很容易在這種情況下獲勝。

相反，如果階段1的解密預言機沒有向A發送過值K*的話，那么就意味著敵手并沒有從解密預言機中獲得任何有用信息。這時，C選擇一個隨機的元素K′∈G和一個隨機值b∈{0,1}，設置Kb=K*，K1-b=K′，并將(Hdr*,K0,K1)發送給A。

階段2 A可以繼續發起至多多項式次階段1中的加入質詢，但不能針對IDi∈S*發起質詢。

猜測 A輸出一個針對b的猜測b′。如果b′=b，則A獲勝。

實驗結束后，如果A獲勝，則C輸出針對CDBDH問題的猜測θ=1，即認為T=e(gp,gp)αβγ；反之，若A失敗，則C輸出針對CDBDH問題的猜測θ=0，即認為T是G中的一個其他的隨機值。

分析接下來將分析挑戰者C可以解決該CDBDH問題實例的概率。

實驗可能在正常結束之前就被C中止。如果發生了中止，C只有1/2的概率能解決該問題，因為中止實驗后，C的猜測是隨機選擇的。此外，如果給定的T是G中的隨機值的話，那么A的優勢為0，因此無論實驗中止與否，C都只有1/2的概率能解決該問題。因此CDBDH問題被解決的概率：

其中ε是A在實驗中獲勝的優勢。接下來將討論當T=e(gp,gp)αβγ，實驗被C中止的概率。中止可能在以下三種情況下發生：

1)在加入質詢中，當K(IDi)=0時；

3)在挑戰階段，當K*等于解密預言機在階段1中回答過的某個值時。

前兩種情況是相互獨立的，因為敵手在進行加入質詢中用到的身份與挑戰階段的接收者集合中的身份沒有任何重復。將這三種情況導致的中止事件分別定義為abort1、abort2和abort3，因此有：

和：

那么整個實驗不中止的概率為：

從以上分析可以看出，如果敵手在實驗中獲勝的優勢ε是一個不可忽略的值的話，那么挑戰者C同樣可以以一個不可忽略的優勢來解決CDBDH問題，這與CDBDH假設相矛盾。因此可以得到結論，即若CDBDH假設成立，則任何PPT敵手在該實驗中獲勝的優勢都是一個可忽略的值，所以本文所提出的ANOBE方案是IND-ADA-CCA1安全的。

4.2 接收者匿名性

定理2 若SDA假設成立，則本文所提出的ANOBE方案是ANON-ADA-CCA1安全的。

證明在本節中，通過定義一個實驗序列0,1,2,…來對該定理進行證明。其中，實驗0為原始攻擊實驗，即為定義2中所描述的攻擊實驗；令序列中的最后一個實驗為目標實驗，使得其中敵手的獲勝概率僅為1/2。任何相鄰的兩個實驗之間的變化都非常小，即實驗i和實驗i+1之間的差異對所有PPT敵手來說都是可忽略的，敵手無法區分當前進行的是實驗i還是實驗i+1。由于實驗的總數是個常數，因此可以得出一個結論，即在原始實驗中，敵手獲勝的概率與1/2之間的差異也是可忽略的，從而敵手的優勢為一個可忽略值。

假設A可以發起最多μ次加入質詢和μ′次解密質詢。定義實驗序列如下：

實驗0 在該實驗中，挑戰者C使用原始方案算法與敵手A進行交互。C首先運行Setup(1k)生成主密鑰MSK和公鑰PK，并將PK發送給A。在階段1中，A可以發起兩種質詢。對于A的每個質詢，C都運行對應的算法并將結果發送給A。在挑戰階段，C接收到A的集合S0和S1，并選擇一個隨機值b∈{0,1}，然后對集合Sb進行加密，得到(Hdrb,Kb)并發送給A。在階段2，A針對IDi?S0ΔS1繼續發起加入質詢，C運行Join(MSK,IDi)并返回結果。最后，A輸出一個猜測b′。若b′=b則A獲勝。

定義事件S0為敵手A在實驗0中獲勝。

實驗1 在該實驗中，對上述實驗0進行一個微小的改動。定義實驗1為：在實驗0的階段1中，令解密預言機從未向敵手A回答過Kb。

定義事件S1為敵手A在實驗1中獲勝。

令事件F為C在階段1中向A應答過值Kb。如果事件F發生，則A可能會有一定的優勢獲勝。如果事件F沒有發生的話，那么A并不能從解密預言機中獲得任何有用的信息，同時實驗0和實驗1完全相同，有著同樣的輸出。即有S0∧F? S1∧F。因此：

|Pr[S0]-Pr[S1]|=|Pr[S0∧F]+Pr[S0∧F]- Pr[S1∧F]-Pr[S1∧F]|= |Pr[S0∧F]-Pr[S1∧F]|≤Pr[F]

通過對定理1的證明過程可知，對于一次加密來說，K等于Kb的概率為1/p。由于A最多可以發起μ′次解密質詢，因此：

|Pr[S0]-Pr[S1]|≤Pr[F]≤μ′/p

是一個可忽略的值。

實驗2 在該實驗中，對實驗1中挑戰階段對集合Sb的加密方式進行更改。令元素(ID1,ID2,…,IDm)∈Sb為不同時存在于S0和S1中的身份，即{ID1,ID2,…,IDm}=Sb(S0∩S1)，其中1≤m≤|Sb|。為了描述方便，這里使用{ID1,…,IDm,IDm+1,…,ID|Sb|}來表示集合Sb。在加密算法的步驟3)中，增加一步判斷過程，即對于i=1,2,…,|Sb|，如果1≤i≤m，則按以下方式計算yi:

否則，仍然按原來的方式來計算yi。

定義事件S2為敵手A在實驗2中獲勝。接下來將要說明，實驗1和實驗2對于敵手來說是無法區分的。

實驗2中所生成的密文(Hdrb,Kb)是一個有效密文，因為經過了更改的y1,y2,…,ym是原始版本的有效變換形式。給定(Hdrb,Kb)，A可以選擇一個IDi并代入到多項式中，得到一個對應的yi。根據選擇的IDi的不同，可以分為以下三種情況：

1)如果其選擇的IDi∈S0∩S1，那么在實驗1和實驗2中計算出的yi是相同的，因為都采用了同樣的計算方式。

2)如果IDi∈{ID1,ID2,…,IDm}，那么A在實驗1中得到的是原始版本的yi∈G；在實驗2中得到的是修改過的yi∈Gp。

3)如果IDi∈S1-b且IDi?S0∩S1，則敵手在實驗1和實驗2中計算出的yi都是屬于群G的一個無法預測的隨機值，不能用于解密，因為該IDi不是一個合法的接收者。

根據SDA假設，敵手A無法區分給定的元素是屬于群G還是屬于子群Gp。因此對于每個yi∈{y1,y2,…,ym}，實驗1和實驗2之間的差異對于A來說是可忽略的。令ε1為敵手A在SDA假設中的優勢，進而有：

|Pr[S1]-Pr[S2]|≤|Sb|·ε1

也是一個可忽略的值。

實驗3 在該實驗中，繼續對y1,y2,…,ym進行更改。在挑戰階段，對集合Sb進行加密的步驟3)中，C從群Gp中選擇m個隨機元素作為y1,y2,…,ym的值。其他步驟保持不變。

定義事件S3為敵手A在實驗3中獲勝。

主密鑰中的(u0,u1,…,ul)是從Gp中隨機選擇的，敵手無法獲知這些值。在這兩個實驗中，除非加密步驟2)中的隨機指數t取到相同的值，否則敵手A是無法區分實驗2中的原始yi和實驗3中的隨機yi值的。因此從A的角度看，實驗2中yi和實驗3中的yi是不可區分的。因此有：

|Pr[S2]-Pr[S3]|≤1/p

在實驗3中，如果A將IDi?S0∩S1代入到多項式中進行計算的話，不管該IDi是否屬于集合Sb，都會得到一個隨機的元素。此外，由于A不能針對IDi∈S0ΔS1發起加入質詢，也就無法得到IDi對應的私鑰，因此不能通過嘗試解密yi來判斷IDi是否屬于Sb。也就是說，實驗3中在挑戰階段所輸出的密文(Hdrb,Kb)并不包含關于身份IDi∈S0ΔS1的任何信息。因此，

Pr[S3]=1/2

綜上所述，有：

也是一個可忽略的值。敵手在原始的攻擊實驗中獲勝的優勢是一個可忽略值，因此本文所提出的ANOBE方案是ANON-ADA-CCA1安全的。

5 實驗與性能分析

5.1 與現有方案的對比

本章通過與現有的匿名廣播加密方案進行對比，來從理論上分析本文方案的性能和特性。分別從以下幾個方面與文獻[20-23]中的方案進行對比：系統公鑰長度、用戶私鑰長度、廣播密文長度和解密嘗試次數。同時，還將本文方案從功能特性角度與現有方案進行了對比。其中，“任意發送者”是指允許系統中的任意用戶作為數據擁有者來共享數據；“動態加入”是指用戶可以在任何時刻加入系統，不需要更新系統公鑰；“基于身份”是指方案支持用戶使用任意比特串作為身份，而不需要為用戶分配一個編號；“自適應安全性”是指方案針對自適應敵手的攻擊是否是安全的。

表1給出了本文方案與現有方案的對比結果。其中：N表示系統中的總用戶數，t表示在接收者集合中的用戶數，r表示在文獻[21]中被撤銷的用戶數，l表示用戶身份的比特串長度，v表示群元素的長度，e表示雙線性配對的長度(即G中元素的長度)，|M|表示要加密的明文消息的長度；符號“√”表示方案具有該特性，“×”表示方案無該特性。

表1 幾種方案的對比

由表1可以看出，與現有的匿名廣播加密方案相比，本文所提出的方案只需要一次即可成功解密，而其他現有方案卻需要不斷地嘗試才能找到正確的密文分塊來解密得到明文。同時，本文所提出的方案在略微犧牲一些公鑰和私鑰長度的情況下，換取了最短的廣播密文長度。在功能方面，與現有方案相比，本文方案實現了表中所列出的所有特性，同時在自適應敵手的攻擊下是安全的。

5.2 仿真實驗分析

本節通過對算法進行編碼實現，并對算法的開銷進行測試的方式來分析本文所提出的云存儲訪問控制系統在實際應用中的性能表現。

在實驗中，算法采用C++語言實現，系統的安全參數為256位。使用OpenSSL庫中的SHA1來對用戶的身份進行處理，因此參與運算的ID串的長度為160比特。使用PBC(Pairing-BasedCryptography)庫來進行群運算，包括雙線性配對運算和橢圓曲線上點的指數運算。雙線性群的階為256位，其基本域的階為512位。使用NTL(NumberTheoryLibrary)庫來實現多項式環中的相關運算。算法均采用單線程的形式運行于Ubuntu14.04LTS系統下，硬件環境為IntelCorei7-2630QM, 2.0GHz，8GBRAM。

分別從通信開銷和計算開銷兩個方面來對算法進行評估。由于廣播加密算法是一種密鑰封裝機制，密文的最終形式為廣播密文(Hdr,CM)，其中CM為使用對稱加密方法所生成的密文，開銷僅與明文大小、所選擇的對稱加密算法有關，與廣播加密算法無關，因此這里不再考慮CM所產生的開銷。

5.2.1 通信開銷

系統中會產生額外通信開銷的有系統公鑰PK、每個用戶的私鑰ski和廣播頭部Hdr。其中PK和ski的大小為常數，分別為164個群元素和2個群元素；采用點壓縮存儲時，每個群元素占用65B，因此公鑰PK和私鑰ski分別占用10.7KB和130B。廣播頭部Hdr的大小與該次加密的目標接收者集合的大小成線性關系。分別選擇從5個到50個接收者進行加密，所得到的廣播頭部Hdr的大小變化如圖2所示。

圖2 密文大小與接收者數量的關系

5.2.2 計算開銷

算法的初始化和用戶加入兩個部分的計算用時為固定值，所花費的時間與用戶數量無關。同時，這兩個部分在整個系統的正常工作過程中很少用到，其中初始化算法只需運行一次，用戶加入算法對每個用戶來說也只需運行一次,因此這里主要測試算法的加解密用時。分別隨機選擇5到50個接收者，執行加密算法生成密文,測試得到算法用時如圖3所示。

針對圖3中的密文數據，隨機選擇接收者集合中的一個用戶，生成對應的私鑰，并執行解密算法得到K。測試得到算法用時如圖4所示。

由圖3和圖4可以看出，隨著接收者集合的增大，加密與解密算法的執行時間均呈上升趨勢。其中加密算法的增長速度約為二次多項式級，這與算法在理論上的開銷相吻合。此外，由于應用到了拉格朗日插值多項式，解密算法的效率有很大提升，與接收者數量成線性關系，并且耗時遠低于加密算法。

圖3 加密時間與接收者數量的關系

圖4 解密時間與接收者數量的關系

6 結語

匿名廣播加密是廣播加密方案的一個重要的衍生形式，可以在進行數據共享的過程中有效地保護接收者的隱私，因此可以廣泛地應用于隱私敏感的訪問控制場景中。

在匿名廣播加密方案中，使用拉格朗日插值多項式可以有效地隱藏接收者的身份，同時提高解密階段的效率。本文方案在合數階雙線性群環境下構建，具有在標準模型下針對自適應敵手攻擊的密文機密性和接收者身份匿名性。與同類方案相比，本文方案同時具有了任意發送者、動態加入、基于身份等特性。對算法的仿真實驗表明，本文方案是正確、高效的。作為現有針對云存儲的密文訪問控制方法的重要補充，本文所提出的基于匿名廣播加密的訪問控制方法具有廣泛的實用價值和應用前景。

由于實現方法的限制，本文所構建的匿名廣播加密方案為CCA1安全性，在安全模型方面仍然存在進一步改進的空間。在未來的研究計劃中，可重點研究如何實現CCA2模型，以增強整體方案的安全性。同時，應考慮如何進一步提高整個系統的加解密效率，降低計算開銷，以滿足諸如移動互聯網等低能耗場景中的應用需求。

)

[1]MATHERT,KUMARASWAMYS,LATIFS.Cloudsecurityandprivacy:anenterpriseperspectiveonrisksandcompliance[M]//CloudSecurityandPrivacy:AnEnterprisePerspectiveonRisks.Sebastopol,CA:O’ReillyMedia, 2009: 35-72.

[2] 傅穎勛,羅圣美,舒繼武.安全云存儲系統與關鍵技術綜述[J].計算機研究與發展,2013,50(1):136-145.(FUYX,LUOSM,SHUJW.Surveyofsecurecloudstoragesystemandkeytechnologies[J].JournalofComputerResearchandDevelopment, 2013, 50(1): 136-145.)

[3] 李暉,孫文海,李鳳華,等.公共云存儲服務數據安全及隱私保護技術綜述[J].計算機研究與發展,2014,51(7):1397-1409.(LIH,SUNWH,LIFH,etal.Secureandprivacy-preservingdatastorageserviceinpubliccloud[J].JournalofComputerResearchandDevelopment, 2014, 51(7): 1397-1409.)

[4]YUS,WANGC,RENK,etal.Achievingsecure,scalable,andfine-graineddataaccesscontrolincloudcomputing[C]//INFOCOM2010:Proceedingsofthe29thConferenceonInformationCommunications.Piscataway,NJ:IEEE, 2010: 1-9.

[5] 關志濤,楊亭亭,徐茹枝,等.面向云存儲的基于屬性加密的多授權中心訪問控制方案[J].通信學報,2015,36(6):116-126.(GUANZT,YANGTT,XURZ,etal.Multi-authorityattribute-basedencryptionaccesscontrolmodelforcloudstorage[J].JournalonCommunications, 2015, 36(6): 116-126.)

[6] 洪澄,張敏,馮登國.面向云存儲的高效動態密文訪問控制方法[J].通信學報, 2011, 32(7): 125-132.(HONGC,ZHANGM,FENGDG.Achievingefficientdynamiccryptographicaccesscontrolincloudstorage[J].JournalonCommunications, 2011, 32(7): 125-132.)

[7] 郎訊,魏立線,王緒安,等.基于代理重加密的云存儲密文訪問控制方案[J].計算機應用,2014,34(3):724-727.(LANGX,WEILX,WANGXA,etal.Cryptographicaccesscontrolschemeforcloudstoragebasedonproxyre-encryption[J].JournalofComputerApplications, 2014, 34(3): 724-727.)

[8]FIATA,NAORM.Broadcastencryption[C]//CRYPTO’93:Proceedingsofthe13thAnnualInternationalCryptologyConferenceonAdvancesinCryptology,LNCS773.Berlin:Springer-Verlag, 1994: 480-491.

[9]NAORD,NAORM,LOTSPIECHJ.Revocationandtracingschemesforstatelessreceivers[C]//CRYPTO’01:Proceedingsofthe21stAnnualInternationalCryptologyConferenceonAdvancesinCryptology,LNCS2139.Berlin:Springer-Verlag, 2001: 41-62.

[10]HALEVYD,SHAMIRA.TheLSDbroadcastencryptionscheme[C]//CRYPTO’02:Proceedingsofthe22ndAnnualInternationalCryptologyConferenceonAdvancesinCryptology,LNCS2442.Berlin:Springer-Verlag, 2002: 47-60.

[11]PHANDH,POINTCHEVALD,STREFLERM.Decentralizeddynamicbroadcastencryption[CM]//SCN2012:Proceedingsofthe8thInternationalConferenceSecurityandCryptographyforNetworks,LNCS7485.Berlin:Springer-Verlag, 2012: 166-183.

[12]NAORM,PINKASB.Efficienttraceandrevokeschemes[C]//FC2000:Proceedingsofthe4thInternationalConferenceonFinancialCryptography,LNCS1962.Berlin:Springer-Verlag, 2001: 1-20.

[13]DODISY,FAZION.Publickeybroadcastencryptionforstatelessreceivers[M]//DRM2002:ProceedingsoftheACMCCS-9WorkshoponDigitalRightsManagement,LNCS2696.Berlin:Springer-Verlag, 2003: 61-80.

[14]BONEHD,GENTRYC,WATERSB.Collusionresistantbroadcastencryptionwithshortciphertextsandprivatekeys[C]//CRYPTO2005:Proceedingsofthe25thAnnualInternationalCryptologyConferenceonAdvancesinCryptology,LNCS3621.Berlin:Springer-Verlag, 2005: 258-275.

[15]GENTRYC,WATERSB.Adaptivesecurityinbroadcastencryptionsystems(withshortciphertexts) [C]//EUROCRYPT’09:Proceedingsofthe28thAnnualInternationalConferenceontheTheoryandApplicationsofCryptographicTechniques,LNCS5479.Berlin:Springer-Verlag, 2009: 171-188.

[16]PHAND-H,POINTCHEVALD,SHAHANDASHTISF,etal.AdaptiveCCAbroadcastencryptionwithconstant-sizesecretkeysandciphertexts[J].InternationalJournalofInformationSecurity, 2013, 12(4): 251-265.

[17]DELERABLéEC.Identity-basedbroadcastencryptionwithconstantsizeciphertextsandprivatekeys[C]//ASIACRYPT2007:Proceedingsofthe13thInternationalConferenceontheTheoryandApplicationofCryptologyandInformationSecurity,LNCS4833.Berlin:Springer-Verlag, 2007: 200-215.

[18]BONEHD,HAMBURGM.Generalizedidentitybasedandbroadcastencryptionschemes[C]//ASIACRYPT2008:Proceedingsofthe14thInternationalConferenceontheTheoryandApplicationofCryptologyandInformationSecurity,LNCS5350.Berlin:Springer-Verlag, 2008: 455-470.

[19]ZHANGL,HUY,WUQ.Adaptivelysecureidentity-basedbroadcastencryptionwithconstantsizeprivatekeysandciphertextsfromthesubgroups[J].MathematicalandComputerModelling, 2012, 55(1/2): 12-18.

[20]BARTHA,BONEHD,WATERSB.Privacyinencryptedcontentdistributionusingprivatebroadcastencryption[C]//FC2006:Proceedingsofthe10thInternationalConferenceonFinancialCryptographyandDataSecurity,LNCS4107.Berlin:Springer-Verlag, 2006: 52-64.

[21]FAZION,PERERAIM.Outsider-anonymousbroadcastencryptionwithsublinearciphertexts[C]//PKC2012:Proceedingsofthe15thInternationalConferenceonPracticeandTheoryinPublicKeyCryptography,LNCS7293.Berlin:Springer-Verlag, 2012: 225-242.

[22]LIBERTB,PATERSONKG,QUAGLIAEA.Anonymousbroadcastencryption:adaptivesecurityandefficientconstructionsinthestandardmodel[C]//PKC2012:Proceedingsofthe15thInternationalConferenceonPracticeandTheoryinPublicKeyCryptography,LNCS7293.Berlin:Springer-Verlag, 2012: 206-224.

[23]HURJ,PARKC,HWANGSO.Privacy-preservingidentity-basedbroadcastencryption[J].InformationFusion, 2012, 13(4): 296-303.

[24]BONEHD,GOHE-J,NISSIMK.Evaluating2-DNFformulasonciphertexts[C]//TCC2005:ProceedingsoftheSecondTheoryofCryptographyConference,LNCS3378.Berlin:Springer-Verlag, 2005: 325-341.

[25]HILDEBRANDFB.IntroductiontoNumericalAnalysis[M].2ndedition.NewYork:DoverPublications, 1987: 25-28.

ThisworkispartiallysupportedbytheOpen-fundProjectoftheKeyLaboratoryofInformationSecurity(JBKYYWF2014KF_XSW),theDoctorialInitializingProjectofBeijingElectronicScienceandTechnologyInstitute(2016BSQD-LMQ).

XU Shengwei, born in 1976, Ph.D., associate research fellow.His research interests include information security, applied cryptography application.

LIN Muqing, born in 1987, Ph.D., assistant research fellow.His research interests include cryptography, network security.

Anonymous broadcast encryption based access control method for cloud storage

XU Shengwei, LIN Muqing*

(InformationSecurityInstitute,BeijingElectronicScienceandTechnologyInstitute,Beijing100070,China)

Focusing on the deficiencies on performance and security of the existing anonymous broadcast encryption scheme, a new anonymous broadcast encryption scheme based on the Lagrange interpolation polynomial was proposed.Firstly, an anonymous broadcast encryption security model against adaptive adversaries was defined.Then the scheme was constructed based on the Lagrange interpolation polynomial under the composite order bilinear group settings, which ensures user identity anonymity and achieves an efficient encryption and decryption at the same time.Finally, based on the subgroup decision assumption and the composite decisional bilinear Diffie-Hellman assumption, the security was proved in standard model, which shows that the proposed scheme has both ciphertext confidentiality and receiver anonymity against adaptive adversaries.Experimental results and performance analysis show that the proposed method has low communication and computing overhead, and can efficiently solve the anonymous access control issues of ciphertext data in cloud storage.

cloud storage; access control; anonymous broadcast encryption; Lagrange interpolation polynomial; composite order bilinear group

2016- 08- 29;

2016- 09- 30。基金項目:中共中央辦公廳信息安全重點實驗室開放基金資助項目(基本科研業務費2014KF_XSW)；北京電子科技學院博士啟動項目(2016博士啟動-林慕清)。

許盛偉(1976—)，男，江西吉安人，副研究員，博士，主要研究方向：信息安全、密碼應用；林慕清(1987—)，男，安徽宿州人，助理研究員，博士，主要研究方向：密碼學、網絡安全。

1001- 9081(2017)02- 0473- 10

10.11772/j.issn.1001- 9081.2017.02.0473

TP309.2