標準模型下可證明安全的支持大規模屬性集與屬性級用戶撤銷的CP-ABE方案

王建華 王光波 徐開勇

?

標準模型下可證明安全的支持大規模屬性集與屬性級用戶撤銷的CP-ABE方案

王建華①②王光波*②徐開勇②

①(電子技術研究所 北京 100195)②(信息工程大學 鄭州 450000)

密文策略屬性加密方案，特別是不受某個特定值限制的大規模屬性集下的密文策略屬性加密方案在云存儲中得到了越來越廣泛的應用，它能夠實現細粒度的訪問控制。但是在原始的屬性加密方案中，解決動態的用戶與屬性撤銷，是當前面臨的重要挑戰。為了解決這一問題，該文提出一個標準模型下可證明安全的支持大規模屬性集的密文策略屬性加密方案，該方案能夠實現屬性級的用戶撤銷，即若用戶的某個屬性被撤銷，不會影響該用戶其他合法屬性的正常訪問。為了實現撤銷，將密鑰分為兩部分：為用戶生成的私鑰以及為云存儲中心生成的授權密鑰。在該方案中，若用戶的屬性被撤銷，那么該屬性對應的密文將進行更新，只有該屬性沒有被撤銷的用戶才能夠成功地進行密鑰更新而解密密文。該文基于q-type 假設在標準模型下對方案進行了選擇訪問結構明文攻擊的安全性證明。最后對方案進行了性能分析與實驗驗證，實驗結果表明，與已有相關方案相比，雖然為了實現屬性撤銷，增加了存儲中心的計算負載，但是不需要屬性中心的參與，因此降低了屬性中心的計算負載，而且用戶除了密鑰外不需要其它額外參數來實現屬性撤銷，因此大大節省了存儲空間。

密文策略屬性加密；數據外包；大規模屬性集；屬性級的用戶撤銷

1 引言

然而，所有這些ABE方案，都存在一個共同的缺陷，即僅支持小規模的屬性集，其屬性規模受某個特定值限制，需要在系統初始化時進行設定，因此限制了ABE的廣泛應用。為了解決這一問題，Lewko等人[7]第1次提出將ABE方案進行分類：小規模屬性集的ABE和大規模屬性集的ABE。在小規模屬性集的ABE中，系統初始設定的公鑰參數隨著屬性集成線性增長，而在大規模屬性集的ABE中，屬性集可以設定為任意數值，且公鑰參數保持不變。隨后，Rouselakis等人[8]提出了基于素數階雙線性群構造的兩個大屬性集下的ABE方案：CP-ABE和KP-ABE，該方案被證明為標準模型q-type假設下安全的。然而該方案并沒有涉及動態的屬性和用戶撤銷問題，而該問題在云存儲應用中至關重要。因為，云存儲環境下存在大量的用戶，而ABE中不同的用戶可能共享相同的屬性。若是某個用戶的某個屬性被撤銷，如何保證在不影響其他正常用戶訪問的前提下，對該用戶實現相應訪問權限的撤銷，成為亟待解決的問題。

近來，在ABE的實際應用中，用戶撤銷的重要性引起了人們的重視，Ostrovsky等人[9]提出了一種可實現用戶撤銷的ABE方案。該方案通過對撤銷用戶的身份進行AND的“非”操作來實現撤銷，但是效率太低。隨后，Staddon等人[10]提出了一種用戶可撤銷的KP-ABE方案，但是該方案只能在滿足密文相關屬性正好為整個屬性集的一半時才能被使用，因此限制太高，不符合實際應用。Liang等人[11]提出了一種利用二叉結構來實現用戶撤銷的CP-ABE方案，由屬性中心生成更新密鑰實現撤銷，但是效率較低，而且大大增加了屬性中心的負擔。

需要注意的是，以上幾種方案都只能實現系統級的用戶撤銷，即一旦某個用戶的某個屬性被撤銷，其失去了系統中所有其他屬性對應的訪問權限。在屬性級用戶撤銷方面，文獻[12~14]使用為每個屬性設置有效期來實現屬性撤銷，但是我們稱這種方式為粗粒度的撤銷，因為其不能實現實時撤銷。Yang等人[15]提出了一種云存儲下的CP-ABE方案，該方案為每個屬性生成兩個對應的公開參數，當進行屬性撤銷時，由屬性中心更新需要撤銷屬性對應的公開參數，并為用戶更新密鑰，因此不僅加重了屬性中心的計算負載，而且增大了屬性中心與用戶間的通信負載。

2 相關技術

在方案提出前，首先對文中將用到的相關技術進行簡單介紹，包括雙線性群及確定性q-type假設。

2.1 雙線性群

(3)計算性：存在有效的對運算算法。

2.2 確定性q-type假設

3 大規模屬性集下支持屬性級用戶撤銷的 CP-ABE方案

本節首先對提出的大規模屬性集下支持屬性級用戶撤銷的CP-ABE方案進行構造，接著對其進行了安全性證明。

3.1方案構造

3.1.1系統初始化 系統初始化階段，屬性中心生成系統的相關參數，包括公開密鑰與主密鑰。

3.1.2密鑰生成 為了實現外包解密，提高效率，生成密鑰如下：

3.1.6解密 用戶得到部分解密密文后，進行最后解密如下：

3.2 安全證明

令

4 方案分析與實驗驗證

4.1 功能對比

表1可以看出，Liang方案[11]實現了系統級的用戶撤銷，一旦用戶的某個屬性被撤銷，那么該用戶就失去了系統內所有其他合法屬性的訪問權限，這不符合實際應用環境。而本文提出的方案與Hur方案[16]、Yang方案[15]實現了屬性級的用戶撤銷，如果用戶的某個屬性被撤銷，不影響其他合法屬性的正常訪問。另外，本文方案和Hur方案支持大規模屬性集合，靈活性更強，但是Hur方案僅為通用群模型下可證明安全的，而一般群模型下的安全性被認為是啟發式的安全，并不是可證明安全，很多一般群模型下可證明安全的方案在實際應用中被發現并不安全。Yang方案實現了隨機預言模型下的可證明安全性，雖然隨機預言模型下的安全性是可證明安全，但是模型進行了理想化的假設，安全性較低，而且該方案只支持小規模屬性集合。本文方案不僅支持大規模屬性集合，而且實現了標準模型下的可證明安全性，安全性較高。

4.2 存儲成本

表1功能對比

方案撤銷粒度屬性集模型假設 Liang方案[11]系統級的用戶撤銷小規模標準模型DBDH假設 Hur方案[16]屬性級的用戶撤銷大規模通用群模型- Yang方案[15]屬性級的用戶撤銷小規模隨機預言模型q-parallel BDHE假設 本文方案屬性級的用戶撤銷大規模標準模型q-type 假設

表2存儲成本對比

實體Liang方案[11]Hur方案[16]Yang方案[15]本文方案 AA O CSP U

4.3 計算效率

圖1 參數生成時間

圖2 密鑰生成時間

圖3 加密時間

圖4 解密時間

圖5 重新加密時間對比

5 結束語

本文提出了一個大規模屬性集下的密文策略屬性加密方案，該方案能夠實現屬性級的用戶撤銷，即若用戶的某個屬性被撤銷，不會影響該用戶其他合法屬性的正常訪問。為了實現撤銷，我們將密鑰分為兩部分：為用戶生成的私鑰以及為云存儲中心生成的授權密鑰。在本文方案中，若用戶的屬性被撤銷，那么該屬性對應的密文將進行更新，只有該屬性沒有被撤銷的用戶才能夠成功地進行密鑰更新而解密密文。最后對方案進行了性能分析與實驗驗證，實驗結果表明，與已有相關方案相比，雖然為了實現屬性撤銷，增加了存儲中心的計算負載，但是不需要屬性中心的參與，因此降低了屬性中心的計算負載，而且用戶除了密鑰外不需要其它額外參數來實現屬性撤銷，因此大大節省了存儲空間。

[1] SAHAI A and WATERS B. Fuzzy Identity-Based Encryption [M]. Heidelberg, Berlin, Springer, 2005: 457-473. doi: 10.1007 /11426639_27.

[2] YADAV U C. Ciphertext-policy attribute-based encryption with hiding access structure[C]. 2015 IEEE International Advance Computing Conference (IACC), Bangalore, India, 2015: 6-10. doi: 10.1109/IADCC.2015.7154664.

[3] WANG M, ZHANG Z, and CHEN C. Security analysis of a privacy-preserving decentralized ciphertext-policy attribute- based encryption scheme[J].&&, 2016, 28(4): 1237-1245. doi: 10.1002/ cpe.3623.

[4] NARUSE T, MOHRI M, and SHIRAISHI Y. Provably secure attribute-based encryption with attribute revocation and grant function using proxy re-encryption and attribute key for updating[J].-, 2015, 5(1): 1-13. doi: 10.1186/s13673-015-0027-0.

[5] LEWKO A, OKAMOTO T, SAHAI A,. Fully Secure Functional Encryption: Attribute-based Encryption and (Hierarchical) inner Product Encryption[M]. Heidelberg, Berlin, Springer, 2010: 62-91. doi: 10.1007/978-3-642-13190- 5_4.

[6] RAHULAMATHAVAN Y, VELURU S, HAN J,. User collusion avoidance scheme for privacy-preserving decentralized key-policy attribute-based encryption[J]., 2016, 65(9): 2939-2946. doi: 10.1109/TC.2015.2510646.

[7] LEWKO A and WATERS B. Unbounded HIBE and attribute-based encryption[C]. International Conference on Theory and Applications of Cryptographic Techniques: Advances in Cryptology, Tallinn, Estonia, 2011: 547-567.

[8] ROUSELAKIS Y and WATERS B. Practical constructions and new proof methods for large universe attribute-based encryption[C]. ACM Sigsac Conference on Computer & Communications Security, Berlin, Germany, 2013: 463-474.

[9] OSTROVSKY R, SAHAI A, and WATERS B. Attribute- based encryption with non-monotonic access structures[C]. CCS 07 ACM Conference on Computer & Communications Security, Alexandria, Virginia, USA, 2007: 195-203.

[10] STADDON J, GOLLE P,. A content-driven access control system[C]. Proceedings of the 7th Symposium on Identity and Trust on the Internet, Gaithersburg, Maryland, USA, 2008: 26-35.

[11] LIANG X, LU R, and LIN X. Ciphertext policy attribute based encryption with efficient revocation[OL].https:// www.ResearchGate.net/publication/255670422, 2010.

[12] BETHENCOURT J, SAHAI A, and WATERS B. Ciphertext-policy attribute-based encryption[C]. IEEE Symposium on Security and Privacy, Oakland, California, USA, 2007: 321-334.

[13] BOLDYREVA A, GOYAL V, and KUMAR V. Identity- based encryption with efficient revocation[C]. ACM Conference on Computer and Communications Security, Alexandria, Virginia, USA, 2008: 417-426.

[14] PIRRETTI M, TRAYNOR P, MCDANIEL P,. Secure attribute-based systems[C]. ACM Conference on Computer and Communications Security, Alexandria, VA, USA, 2006: 799-837.

[15] YANG K, JIA X, and REN K. Attribute-based fine-grained access control with efficient revocation in cloud storage systems[C]. ACM Sigsac Symposium on Information, Computer and Communications Security, Denver, Colorado, 2015: 523-528.

[16] HUR J and NOH D K. Attribute-based access control with efficient revocation in data outsourcing systems[J].&, 2011, 22(7): 1214-1221.

[17] BONEH D and BOYEN X. Efficient selective-ID Secure identity-based encryption without random oracles[C].Advancesin Cryptology-EUROCRYPT 2004, Lecture Notes in Computer Science, Berlin, Heidelberg, 2004, 3027: 223-238.

[18] DAN B, GENTRY C, and WATERS B. Collusion Resistant Broadcast Encryption with Short Ciphertexts and Private Keys[M]. Heidelberg, Berlin, Springer, 2005: 258-275.

[19] LYNN B. The Pairing-Based Cryptography (PBC) library [OL]. http://crypto.stanford.edu/pbc,2006.

[20] BETHENCOURT J, SAHAI A, and WATERS B. Advanced crypto software collection: The cpabetoolkit[OL]. http://acsc. cs.utexas.edu/cpabe,2011.

王建華： 男，1962年生，教授，博士生導師，研究方向為信息安全.

王光波： 男，1987年生，博士生，研究方向為屬性加密、網絡信息安全.

徐開勇： 男，1962年生，研究員，碩士生導師，研究方向為信息安全.

Ciphertext Policy Attribute-based Encryption Scheme SupportingAttribute Level User Revocation Under Large Universe

WANG Jianhua①②WANG Guangbo②XU Kaiyong②

①(,100195,)②(,450000,)

Ciphertext-Policy Attribute-Based Encryption (CP-ABE), especially large universe CP-ABE that is not bounded with the attribute set, is getting the more and the more extensive application to the cloud storage. However, there exists an important challenge in original large universe CP-ABE, namely dynamic user and attribute revocation. In this paper, a large universe CP-ABE scheme with efficient attribute level user revocation is proposed, namely the revocation to an attribute of some user can not influence the common access of other legitimate attributes. To achieve the revocation, the master key is divided into two parts: delegation key and secret key, which are sent to the cloud provider and user separately. In this scheme proposed, if an attribute is revoked, then the ciphertext corresponding to this attribute should be updated so that only persons who are not revoked will be able to carry out key updating and decrypt the ciphertext successfully. Note that, the proposed scheme is proved selectively secure in the standard model under “q-type” assumption. Finally, the performance analysis and experimental verification are carried out in this paper, and the experimental results show that, compared with the existing revocation schemes, although the proposed scheme increases the Computational load of Storage service Provider (CSP) in order to achieve the attribute revocation, it does not need the participation of Attribute Authority (AA), which reduces the computational load of AA. Moreover, the user does not need any additional parameters to achieve the attribute revocation except of the private key, thus saving the storage space greatly.

Ciphertext-Policy Attribute-Based Encryption (CP-ABE); Outsourced decryption; Large universe; Attribute level user revocation 

TP393.08

A

1009-5896(2017)12-3013-10

10.11999/JEIT170199

2017-03-06；

2017-08-06；

2017-11-01

通信作者：王光波 691759571@qq.com

國家973計劃項目(2013CB338001)

The National 973 Program of China (2013 CB338001)