策略半隱藏且支持更新的多機構屬性加密方案

閆璽璽， 劉　媛， 李子臣， 湯永利

(1. 河南理工大學 計算機科學與技術學院，河南 焦作 454003;2. 北京印刷學院 信息工程學院，北京 102600)

自2005年屬性基加密(Attribute Based Encryption， ABE)[1]被提出以來，迅速成為學者們研究的熱點并被應用于云環境系統中，如個人健康病例系統、智能電網系統等．但是，由于加密者制定訪問策略的屬性中往往會包含一些敏感的隱私信息，很容易泄露病人的隱私．另外，在實際應用中經常需要根據應用場景重新設置訪問策略，需要系統具有支持改變訪問策略的功能．因此，如何防止訪問策略泄露隱私并支持訪問策略動態更新，是屬性基加密機制的研究熱點之一．

傳統的屬性基加密只有一個可信的機構來管理所有的屬性，但在實際應用中，屬性往往是由多個機構管理運行的．文獻[2]中提出第1個多機構屬性基加密(Multi-Authority Attribute Based Encryption，MA-ABE)方案，由多個屬性機構承擔管理不同的屬性集和分發密鑰的任務，系統負擔小，靈活性高，適用于如個人健康病例系統、智能電網系統等需多個機構共同運行的情況．可見，多機構屬性基加密機制的研究更具有應用價值．

在隱私保護方面，文獻[3]中首次提出無中央機構的安全門限MA-ABE，采用密鑰分配技術和零秘密共享技術，代替了文獻[2]中的偽隨機函數．文獻[4]中的方案移除了可信的中央機構，采用匿名證書技術隱藏用戶的全局惟一標識(Global IDentifier，GID)，防止機構累積用戶的信息來保護用戶的隱私．文獻[5]提出分權的多機構屬性基加密，該方案將用戶的密鑰與全局惟一標識相連以抵抗共謀攻擊．文獻[6]提出云計算中具有隱私意識的基于屬性的個人健康記錄共享系統，通過隱藏訪問策略來保護訪問用戶的隱私．文獻[7]利用承諾方案和零知識證明技術構造隱私保護密鑰提取協議，從而保護用戶的全局惟一標識和屬性，這是第1個保護用戶屬性的方案．但是，文獻[8]指出文獻[7]中設計的隱私保護密鑰提取協議僅能在用戶密鑰生成時保護用戶的隱私，并不能防止用戶訪問策略中的屬性隱私泄露問題．另外，由隱私保護密鑰提取協議生成的用戶密鑰存在多個用戶可以共謀攻擊的問題，安全性較低．

在策略更新方面，文獻[9]中提出支持動態證書和密文授權的屬性基加密方案，首次提出策略更新的思想，采用代理的方法更新密文，但其新的策略比原策略更嚴格．文獻[10]中提出新的動態策略更新方案，該方案可以支持任何形式的策略更新，但只在一般群模型下是安全的．文獻[11]中提出支持動態策略更新的半策略隱藏屬性加密方案，支持任何形式的策略更新并通過半策略隱藏的方式保護用戶的隱私．文獻[12]中通過引入第三方審計實現屬性撤銷，并設計策略更新算法實現動態更新，有效地將屬性基加密應用于智能電網中．文獻[13]提出個人健康病例系統中具有隱私保護的MA-ABE，采用匿名密鑰分發協議保護用戶的隱私，但該方案的策略更新采用的是傳統的策略更新方式，計算和通信開銷較大．文獻[14]中提出支持位置驗證和策略變更的屬性加密方案，該方案使用BGV(Brakerski-Gentry-Vaikuntanathan)同態加密技術保護移動辦公環境中用戶的位置隱私，并可支持訪問策略的變更．文獻[15]中提出第1個多機構的動態策略更新屬性基加密方案，通過引入簽名認證防止共謀攻擊，但系統有多個中央機構、多個屬性機構，用戶密鑰由中央機構生成的密鑰、屬性密鑰構成，密鑰生成的通信開銷較大．

從上述分析可以看出，多機構屬性基加密方案一般通過保護用戶全局惟一標識來保護用戶隱私，而很少考慮加密時采用的訪問策略所引起的隱私泄露問題．另外，多機構屬性基加密方案中存在多個屬性機構共同管理屬性，在策略更新時通信開銷和計算代價較高，在大規模應用場景中嚴重影響系統的整體效率．筆者提出一種支持訪問策略半隱藏和動態更新的多機構屬性基加密方案，實現對屬性隱私的保護，同時提供訪問策略的動態更新．方案中系統屬性分為屬性名和屬性值[16]兩部分，如科室: 內科、精神科、心臟科，其中科室是屬性名，內科、精神科、心臟科是屬性值，且用戶的每個屬性名下只能對應一個屬性值，加密時只加密屬性名，而將屬性值隱藏，從而保護用戶的隱私．引入動態策略更新算法，可以對密文的訪問策略實現動態更新．筆者主要提出以下3點創新:

(1) 在標準模型下采用策略半隱藏的方式對數據進行加密，防止訪問策略中屬性的公開引起用戶隱私的泄露，與傳統的策略隱藏方式對比，縮短了用戶密鑰和密文尺寸．

(2) 實現對用戶所有屬性隱私的保護，不再單一地通過隱藏用戶的全局惟一標識來保護隱私，而是將全局惟一標識作為用戶的一種屬性，通過保護屬性來保護用戶的全局惟一標識，實現對用戶的隱私保護．

(3) 采用線性秘密共享技術，并引入動態策略更新算法，從而支持與、或、非等任何類型的策略更新，縮短更新密鑰尺寸，減少傳統策略更新中的通信和計算開銷，提高系統效率．

1　算法定義與安全模型

1.1　算法定義

筆者提出的方案包括系統建立Global Setup(1λ)、屬性機構初始化Authority Setup(PP)、密鑰生成KeyGen(PP，KSi，Au)、加密Encrypt(PP，m， (M，ρ，Z))、解密Decrypt(PP，C，KSu)、動態更新密鑰生成算法KDmGen(En(m))、動態更新密文CipherUpdate(KDm)算法．具體如下:

(1) 系統初始化Global Setup(1λ)→PP: 系統初始化算法由系統執行，輸入安全參數1λ，輸出系統公共參數PP．

(2) 屬性機構初始化Authority Setup(PP)→(KPi，KSi): 算法由屬性機構執行，輸入公共參數PP，輸出屬性機構的公私鑰對．

(3) 密鑰生成KeyGen(PP，KSi，Au)→KSu: 算法由機構與用戶交互完成，輸入公共參數PP、屬性機構私鑰KSi、用戶屬性集Au，輸出用戶私鑰KSu．

(4) 加密Encrypt(PP，m， (M，ρ，Z))→C: 算法由用戶執行，輸入公共參數PP、明文m、訪問結構(M，ρ，Z)，輸出密文C，且用戶保留加密信息En(m)= (v，q1，…，ql)．

(5) 解密Decrypt(PP，C，KSu)→m: 算法由用戶執行，輸入公共參數PP、用戶私鑰KSu、密文C，輸出明文m．

(6) 動態更新密鑰生成算法KDmGen(En(m)，(M′，，ρ′，Z′)，(M，ρ，Z))→KDm: 算法由用戶執行，輸入用戶保留的加密信息，輸出動態更新密鑰KDm．

(7) 動態更新密文CipherUpdate(KDm)→C′: 算法由云服務器執行，輸入動態更新密鑰KDm，輸出更新的密文C′．

1.2　安全模型

本方案的安全模型是選擇訪問結構和選擇明文攻擊下的不可區分性(INDistinguishability against selective Access Structure and Chosen-Plaintext Attack，IND-sAS-CPA)游戲，游戲中包含一個挑戰者和一個敵手，挑戰者模擬系統運行并回答敵手的詢問．具體游戲如下:

開始: 敵手A提交要挑戰的訪問結構(M*，ρ*，Z*)給挑戰者．

Global Setup: 挑戰者運行Global Setup算法，生成公共參數PP，并發送給敵手．

Authorities Setup: 挑戰者運行Authorities Setup算法，生成屬性機構的公私鑰對，并將公鑰發送給敵手．

第1輪: 敵手選擇不屬于訪問結構(M*，ρ*，Z*)的屬性，并發出私鑰請求，挑戰者返回其私鑰．

挑戰者: 敵手發送兩個等長的消息m0，m1給挑戰者，挑戰者隨機選取c(c∈{0，1})，對mc進行加密，并將密文C發送給敵手．

第2輪: 重復第1輪．

猜想: 敵手輸出對c的猜想c′(c′∈{0，1})．

圖1　系統模型圖

定義本方案選擇明文攻擊(Chosen Plaintext Attack，CPA)是安全的，如果存在任意多項式時間的攻擊者攻擊游戲的優勢ε(ε= |Pr[c=c′]-1/2|)是可忽略的．

2　方案構造

圖1為筆者設計方案的系統模型圖．方案中包含多個屬性機構，負責為其權限下的用戶分發密鑰;數據擁有者將加密數據存儲至云服務器，數據訪問者的屬性集合若滿足數據擁有者設置的訪問策略，則可解密得到明文數據．

假設系統有n個不同的屬性機構AA1，AA2，…，AAn，屬性機構AAi管理屬性名為ai下的ni個屬性值，ai，ni表示由機構AAi管理的屬性名為ai的屬性值．

(1) 系統初始化Global Setup(1λ)．輸入安全參數λ，輸出PP=(e，p，g，h，G，GT)，其中G，GT是兩個階為素數p的乘法循環群，g、h是群G的生成元，e:G×G→GT．

(2) 屬性機構初始化Authority Setup(PP)．該算法輸入PP，輸出機構AAi的公私鑰對; 屬性機構AAi隨機選擇αi(αi∈Zp)，計算Ai=e(g，g)αi; 對其管理的屬性名ai，隨機選取ri(ri∈Zp)，計算Ri=gri; 對其下的每個屬性值ai，ni，隨機選擇ti，ni(ti，ni∈Zp)，計算Ti，ni=gti，ni．那么，屬性機構AAi的公鑰KPi= {Ai，Ri，(Ti，ni)?ai，ni∈Ai}，屬性機構AAi的私鑰KSi= {αi，ri，(ti，ni)?ai，ni∈Ai}．

(5) 解密Decrypt(PP，C，KSu)．該算法輸入公共參數PP、密文C及用戶密鑰KSu，輸出明文m．如果解密者屬性值ai，ti滿足訪問結構(M，ρ，Z)，則計算

(6) 動態更新密鑰生成算法KDmGen(En(m)，(M′，ρ′，Z′)，(M，ρ，Z))．當用戶發送到云服務器的文件的訪問策略需要變更時，用戶只需根據其保留的加密信息En(m)生成動態更新密鑰KDm，并將其發送給云服務器，由云端更新對應密文．

該算法輸入En(m)、新策略(M′，ρ′，Z′)、舊策略(M，ρ，Z)，輸出動態更新密鑰KDm，其中M′為l′×n′ 的矩陣，ρ′為新的映射，且屬性值zρ(i)是由訪問策略指定的，只會根據訪問策略的變化而變化，用戶將屬性值Z更新為新的屬性值Z′．

(7) 動態更新密文CipherUpdate(KDm)．云服務器接收到用戶的動態更新密鑰KDm后，對于j∈ [1，l′]，云服務器運行該算法，更新對應密文．

3　方案分析

3.1　安全性證明

q-PBDHE假設: 令G、GT為兩個階為素數p的乘法循環群，g為G的生成元，存在雙線性映射e:G×G→GT，隨機選擇a，s，b1，…，bq∈Zp，T∈GT，若敵手給定元組y= (g，gs，ga，…，g(aq)，g(aq+2)，…，g(a2q);ga/bj，…，gaq/bj，gaq+2/bj，…，ga2q/bj，1≤j≤q;gasbk/bj，…，gaqsbk/bj，1≤j，k≤q，k≠j)，判斷T=e(g，g)aq+1s是否成立．如果對于任一多項式時間的敵手A區分(y，e(g，g)aq+1s)和(y，T)的優勢AA= |Pr[A(y，e(g，g)aq+1s)=1]-Pr[A(y，T)=1]|≥ε是可忽略的，則在群(e，p，G，GT)上的q-PBDHE問題是困難的．

定義假設q-PBDHE假設成立，如果不存在任意多項式時間的敵手在選擇訪問結構(M*，ρ*，Z*)下攻擊支持策略動態更新的多機構屬性基加密方案成功，那么該方案是IND-sAS-CPA安全的．

游戲開始前挑戰者生成q-PBDHE挑戰(y，T)．

開始: 敵手A提交要挑戰的訪問結構(M*，ρ*，Z*)，其中M*是l*×n*的矩陣，且l*，n*≤q．

Global Setup: 挑戰者隨機選擇m∈Zp，計算h=gm，并將公共參數PP=(e，p，g，h，G，GT)發送給A．

(3)

令X為指數i的集，ρ*(i)=x(i∈[1，…，l*])，對每個屬性名ai且ρ*(i)=x，隨機選擇ri∈Zp，計算

(4)

對每個屬性名ai且ρ*(i)≠x，隨機選取ri∈Zp，計算Ri=gri; 對其下的每個屬性值ai，ni，隨機選擇ti，ni∈Zp，計算Ti，ni=gti，ni，則屬性機構AAi的公鑰KPi= {Ai，Ri，(Ti，ni)?ai，ni∈Ai}，屬性機構AAi的私鑰KSi= {αi，ri，(ti，ni)?ai，ni∈Ai}．挑戰者將屬性機構公鑰KPi發送給敵手．

第1輪: 敵手為其不屬于(M*，ρ*，Z*)的屬性集S=(ai:ai，ti)詢問私鑰，其中ai，ti∈Ai．挑戰者檢查其屬性集，對每個屬性名ai且ρ*(i)=x，計算

(5)

挑戰者將密文C={C0，C1，(C2，i，C3，i)i∈(1，…，l*)}發送給敵手．

第2輪: 重復第1輪．

猜想: 敵手輸出對c的猜想c′(c′∈{0，1})．如果c′=c，則挑戰者輸出θ=0，表示T=e(g，g)aq+1s，此時敵手的優勢Pr[c′=c|θ= 0]= 1/2+ε．如果c′≠c，則輸出θ=1，表示T是群GT中的一個隨機元素，此時敵手的優勢Pr[c′=c|θ= 1]= 1/2．

因此，攻擊者攻擊q-PBDHE假設的優勢為 |Pr[c′=c|θ=0]/2+Pr[c′=c|θ=1]/2-1/2|=ε/2．任何多項式時間內敵手贏得IND-sAS-CPA游戲的優勢是可忽略的．

3.2　性能分析

表1　相關方案對比

從表1可以看出，除文獻[11]外，筆者提出的方案和其他文獻中的方案均支持多機構，僅包含多個屬性機構．而文獻[15]設置多個中央機構和多個屬性機構，用戶需同時和所有的機構進行交互，通信代價較大．筆者提出的方案提供對用戶所有屬性進行保護，并支持訪問策略的動態更新．文獻[5-7]中的方案可以保護用戶隱私但無法支持策略更新，文獻[5，10，15]中的方案僅僅是保護用戶全局惟一標識，并不能保護用戶的其他屬性所引起的隱私問題．文獻[6]中通過隱藏訪問策略保護用戶的隱私．文獻[7]中保護用戶的全局惟一標識及屬性，這是首次提出保護用戶屬性的思想，但文獻[8]通過安全性分析證明文獻[7]中方案并不能很好地保護屬性．筆者提出的方案不僅能保護用戶全局惟一標識，通過對屬性值的隱藏也可以保護用戶的所有屬性，采用半策略隱藏方式防止訪問策略所引起的隱私泄露問題．從安全方面看，文獻[5，10]中的方案滿足隨機預言模型下的安全，而筆者提出的方案和文獻[6-7，11，15]中的方案滿足標準模型下的安全，安全性更高．

從通信代價方面看，文獻[5，7，10-11]中的用戶私鑰相對較小，但其密文長度相對較復雜．文獻[6]中的整體通信代價都較高，尤其是密文長度和系統所有屬性數目相關，而其他方案均和用戶加密時訪問策略中的屬性個數相關．文獻[15]中用戶私鑰由多個中央機構、多個屬性機構共同生成，用戶私鑰大小與中央機構、屬性機構以及用戶屬性個數線性相關，私鑰長度較長．而筆者提出的方案中僅設置多個屬性機構，用戶僅需與屬性機構進行交互生成密鑰，用戶密鑰長度僅和用戶屬性個數相關，遠遠小于文獻[15]的．在策略更新方面，文獻[5-7]中的方案不提供策略更新功能，筆者提出的方案更新密鑰大小比文獻[10-11]中的短，與文獻[15]中的相同．在解密代價方面，文獻[6]中的解密代價與系統屬性和用戶全局惟一標識長度相關，代價較高; 文獻[7]與筆者提出的方案解密代價均與解密所需的屬性個數和加密時使用的屬性所屬的機構數相關，但筆者提出的方案比文獻[7]的更優．從整體來看，筆者提出的方案在通信代價和計算代價方面都做到了優化．

綜合分析可知，筆者提出的方案對用戶所有屬性進行保護，并支持訪問策略的更新，性能方面也比其他方案的性能具有一定的優勢，適用于如個人健康病例系統等需要保護用戶的屬性隱私并更改訪問策略的情況．

4　結 束 語

針對云環境實際應用中需保護屬性隱私且更新訪問策略的問題，筆者提出支持訪問策略半隱藏和動態更新的多機構屬性基加密方案．通過半策略隱藏的方式實現對用戶所有屬性的保護，并將密文的訪問策略的更新分為3種類型，實現策略的動態更新，用戶只需將更新密鑰發送給云服務器，密文更新由云服務器操作，大大節省了系統的通信與計算開銷．在大數據環境下，用戶不僅對系統的功能有需求，對系統的計算能力、通信能力也有著更高的需求，因此，更短密文、短密鑰且具備豐富表達能力的多機構屬性基加密方案是一個值得深入研究的方向．

參考文獻：

[1] SAHAI A, WATERS B. Fuzzy Identity-based Encryption[C]//Lecture Notes in Computer Science: 3494. Heidelberg: Springer Verlag, 2005, 457-473 .

[2]CHASE M. Multi-authority Attribute Based Encryption[C]//Lecture Notes in Computer Science: 4392. Heidelberg: Springer Verlag, 2007, 515-534.

[3]LIN H , CAO Z F, LIANG X H, et al. Secure Threshold Multi-authority Attribute Based Encryption without a Central Authority[C]//Lecture Notes in Computer Science: 5365. Heidelberg: Springer-Verlag, 2008: 426-436.

[4]CHASE M, CHOW S S M. Improving Privacy and Security in Multi-authority Attribute-based Encryption[C]//Proceedings of the 2009 ACM Conference on Computer and Communication Security. New York: ACM, 2009: 121-130.

[5]LEWKO A, WATERS B. Decentralizing Attribute-based Encryption[C]//Lecture Notes in Computer Science: 6632. Heidelberg: Springer Verlag, 2011: 568-588.

[6]XHAFA F, FENG J L, ZHANG Y H, et al. Privacy-aware Attribute-based PHR Sharing with User Accountability in Cloud Computing[J]. Journal of Supercomputing, 2015, 71(5): 1607-1619.

[7]HAN J G, SUSILO W, MU Y, et al. Improving Privacy and Security in Decentralized Ciphertext-policy Attribute-based Encryption[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(3): 665-678.

[8]WANG M Q, ZHANG Z F, CHEN C. Security Analysis of a Privacy-preserving Decentralized Ciphertext-policy Attribute-based Encryption Scheme[J]. Concurrency Computation, 2016, 28(4): 1237-1245.

[9]SAHAI A, SEYALIOGLU H, WATERS B. Dynamic Credentials and Ciphertext Delegation for Attribute-based Encryption[C]//Lecture Notes in Computer Science: 7417. Heidelberg: Springer Verlag, 2012: 199-217.

[10] YANG K, JIA X H, REN K. Secure and Verifiable Policy Update Outsourcing for Big Data Access Control in the Cloud[J]. IEEE Transactions on Parallel and Distributed Systems, 2015, 26(12): 3461-3470.

[11]應作斌, 馬建峰, 崔江濤. 支持動態策略更新的半策略隱藏屬性加密方案[J]. 通信學報, 2015, 36(12): 178-189.

YING Zuobin, MA Jianfeng, CUI Jiangtao. Partially Policy Hidden CP-ABE Supporting Dynamic Policy Updating[J]. Journal on Communications, 2015, 36(12): 178-189.

[12]LI H W, LIU D X, ALHARBI K, et al. Enabling Fine-grained Access Control with Efficient Attribute Revocation and Policy Updating in Smart Grid[J]. KSII Transactions on Internet and Information Systems, 2015, 9(4): 1404-1423.

[13]QIAN H L, LI J G, ZHANG Y C, et al. Privacy-preserving Personal Health Record Using Multi-authority Attribute-based Encryption with Revocation[J]. International Journal of Information Security, 2014, 14(6): 487-497.

[14]應作斌, 馬建峰, 崔江濤. 支持位置驗證和策略變更的屬性加密方案[J]. 西安電子科技大學學報, 2017, 44(2): 57-62.

YING Zuobin, MA Jianfeng, CUI Jiangtao. Attribute-based Encryption with Location Verification and Policy Adjusting Supporting the Cloud Mobile Office[J]. Journal of Xidian University, 2017, 44(2): 57-62.

[15]YING Z B, LI H, MA J F, et al. Adaptively Secure Ciphertext-policy Attribute-based Encryption with Dynamic Policy Updating[J]. Science China Information Sciences, 2016, 59(4): 042701.

[16]LAI J Z, DENG R H, LI Y J. Expressive CP-ABE with Partially Hidden Access Structures[C]//Proceedings of the 2012 7th ACM Symposium on Information, Computer and Communications Security. New York: ACM, 2012: 18-19 .