多機構身份及屬性加密機制綜述

楊艷，陳性元,3，杜學繪

?

多機構身份及屬性加密機制綜述

楊艷1,2，陳性元1,2,3，杜學繪2

（1. 北京交通大學計算機與信息技術學院，北京 100044；2. 信息工程大學密碼工程學院，河南 鄭州 450001；3. 密碼科學技術國家重點實驗室，北京 100878）

多機構身份及屬性加密機制已經成為云計算等分布式環境下，實現云服務端數據共享的細粒度訪問控制的一個研究熱點。在對基本身份及屬性加密機制的構造和安全性研究的基礎上，分別從層次分級和分布式2種架構方面，對現有多機構身份及屬性加密機制的密鑰管理、架構設計、加解密開銷、安全性等難點問題，進行了深入探討和綜合對比分析。最后，總結了未來研究趨勢以及開放性問題，并給出了一種新趨勢的解決思路。

層次分級IBE；層次分級ABE；分布式ABE；多機構ABE

1 引言

在分布開放的計算環境中，實現數據共享的安全訪問，迫切需要支持一對多的加密訪問，以及靈活的訪問控制。傳統的對稱加密及公鑰加密機制，不能實現一對多的訪問以及提供細粒度的訪問控制。1984年，Shamir[1]提出了基于身份加密（IBE，identity-based encryption）的概念，使用身份信息作為公鑰來加密消息，簡化了傳統的公鑰基礎設施中證書的管理。IBE要求每個用戶都是用唯一的身份來標識，Sahai和Waters[2]提出基于屬性加密（ABE，attribute-based encryption）機制，用屬性集解決了IBE中每個用戶都是用唯一身份來標識的問題。ABE以屬性為公鑰，根據該屬性集合來為用戶生成相應的私鑰，密文是根據一個屬性集合生成的，是加密給滿足一定條件的群體用戶的。

在基礎型IBE和ABE中，一個授權中心管理所有密鑰，這種單授權中心會成為系統的性能瓶頸，而且容易受到集中攻擊。因此，借鑒公鑰基礎設施（PKI，public key infrastructure）的分級模式，出現了層次分級的HIBE（HIBE，hierarchical IBE）和層次分級的HABE（HABE，hierarchical ABE）。HIBE和HABE通過分級，重點解決了密鑰頒發的負載問題。在HIBE和HABE中，根授權機構是最終信任源，按照一個信任域或組織內策略共享信息。但現實生活中，用戶的不同信息由不同的部門管理，不能由一個管理機構來管理所有信息和分發密鑰。分布式IBE和分布式ABE主要解決了這種身份及屬性信息分屬于不同授權機構的訪問問題。層次分級和分布式的IBE和ABE，統稱為多機構IBE（multi-authority IBE）和多機構ABE（multi- authority ABE），多機構IBE和ABE是近年來IBE及ABE的一個研究重點和熱點[3]，也是目前云計算中，解決共享秘密數據的關鍵技術。

本文主要關注了身份及屬性加密領域的一個新方向，即多機構身份及屬性加密機制，分別從層次分級和分布式2種架構，分析了多機構身份及屬性加密機制的難點和重點問題，對已有的經典方案，在密鑰管理、體系架構及安全性等方面進行了分析比較，最后，分析了目前存在的問題，探討了未來的研究發展趨勢，以及一種新趨勢的解決思路。

2 理論基礎

2.1 可證明安全理論

IBE和ABE屬于公鑰加密機制，安全性是構造公鑰密碼方案的重要因素。在完全安全性的基礎上，Goldwasser和Micali[4]為公鑰密碼方案引入了“語義安全性”，在限定敵手具有有限的計算資源時，方案具有完全安全性，也是可證明安全理論的開端。可證明安全是根據某種安全性定義來證明密碼方案是安全的，通常使用“歸約”的方法，首先確定密碼方案所需要達到的安全目標，然后根據攻擊者的能力去定義一個攻擊者模型，并指出這個攻擊者模型與密碼方案安全性之間的歸約關系。

公鑰密碼方案通常基于2類模型進行安全性證明：隨機預言模型（ROM，random oracle model）[5]和標準模型（SM，standard model）[6]。標準模型下的證明效率較低，而且通常要基于更強的計算假設。隨機預言模型下的證明，雖然在真實世界的有效性還存在爭議，但因其更好的性能，仍是當前公鑰密碼中可證明安全研究領域使用最廣泛的證明方法。

2.2 基于身份及屬性加密機制的安全性

基于身份和屬性的加密機制，也可以看作特殊的公鑰加密機制。在公鑰加密方案的安全模型中，涉及的主要攻擊模型是選擇明文攻擊（CPA，chosen plaintext attack）模型和選擇密文攻擊（CCA，chosen ciphertext attack）模型[7-8]。公鑰加密方案中，通常會使用不可區分性（IND，indistinguishability）[9-10]來進行語義安全的證明。因此產生了安全性定義：IND-CPA[9]和IND-CCA[7-8]。與CPA相關的安全性是公鑰加密機制的最基本要求，適應性選擇密文攻擊（IND-CCA）則是傳統公鑰加密機制中最強的安全性概念，通常稱為選擇密文安全。

在基于身份加密的安全模型中，需要考慮攻擊者利用所知的不同身份（ID，identity）（或者身份對應的私鑰）發起對目標ID的攻擊。Boneh等[11]在標準IND-CPA定義的基礎上，對基于身份加密機制定義了新的安全性。攻擊者在獲得系統的公開參數之前，必須選擇一個身份后續進行攻擊，稱為選擇身份安全（IND-sID-CPA，IND-selective identity-CPA），也稱為語義安全；攻擊者在獲取系統公開參數之后，可以適應性地選擇一個合適的身份進行攻擊，稱為適應性選擇身份安全（IND-ID-CPA，IND-identity-CPA），也稱為完全安全。選擇身份安全比完全身份安全的安全性要弱一些。

IND-ID-CPA是IBE方案中重要的安全性定義，凡具有IND-ID-CPA安全性的IBE方案，均可由Canetti等[12]、Boyen等[13]和Boneh等[14]分別提出的通用方法，有效地擴展為IND-ID-CCA安全，因此通常只證明方案具有IND-ID-CPA安全性即可。但有些方案只在較弱的IND-sID-CPA安全性下，才具有相對較實用的安全性歸約，而在IND-ID-CPA安全性下，歸約則完全不實用，因此這也是標準模型下構建可證明安全的IBE方案的難點。

2.3 秘密共享技術

在IBE和ABE中，如何構建秘密共享實現用戶的抗共謀攻擊，是方案設計的一個關鍵問題。秘密共享的概念最早由Shamir[15]和Blakley[16]分別提出。他們分別基于有限域上多項式的拉格朗日插值和有限幾何理論提出了第一個（,）門限秘密共享方案。此后出現了基于中國剩余定理的Asmuth-Bloom方案[17]和基于矩陣乘法的Karnin-Greene-Hellman方案[18]。在已有秘密共享方案中，Shamir方案具有安全性高、易于實現等優點，成為秘密共享的經典方案。

IBE中由集中的私鑰管理中心（PKG，private key generator）保存主密鑰，制約了IBE在分布式環境中的應用，而秘密共享技術能夠增強方案在分布式環境下的應用。目前基于IBE的秘密共享方案有2種實現方法，一種是將IBE系統的主密鑰作為共享秘密[11,19]，這類方法存在的一個缺點，就是要求PKG必須一直在線；另一種是將用戶的私鑰作為共享秘密[20-22]，這類方法提高了方案的可擴展性。

ABE是IBE和訪問結構相結合的結果，訪問結構在ABE中起著重要的作用，訪問結構的概念最初來源于門限秘密共享方案。Sahai和Waters[2]提出的ABE方案中就引入了（,）門限訪問結構，當且僅當用戶的屬性集和密文的屬性集的交集，大于或等于門限值時，用戶才能解密密文。基于屬性的加密機制中，通過引入門限結構，能夠方便地表述解密密文所需要的條件。為了實現更加靈活的訪問策略描述，表示復雜的邏輯關系，在門限結構的基礎上，又引入了訪問樹結構[23]、與門訪問結構[24]、線性秘密共享結構[25]等。

3 基于身份及屬性的加密機制

3.1 基于身份的加密機制

安全性是構建公鑰加密方案的基本目標，在安全的基礎上提高效率是更高的目標。公鑰加密方案的效率一般主要關注加解密開銷、密文空間大小等方面。IBE和ABE這2種方案的研究主要由安全性和效率2方面不斷推動向前發展的。

Shamir提出IBE的概念之后，Boneh和Franklin[11]，Sakai等[26]以及Cocks[27]分別提出不同的IBE架構。Boneh-Franklin[11]方案是利用雙線性對構造的第一個實用的IBE方案，是第一個在隨機預言機模型下，滿足IND-ID-CCA安全性，具有完全安全的基于身份加密方案。Canetti等[28]隨后提出了在標準模型下選擇身份安全的IBE方案，但效率較低。Boneh和Boyen[29]提出更為實用的，在標準模型下選擇身份安全的Boneh-Boyen2004-1方案，方案提出了一個較為通用的Boneh-Boyen結構，該結構可以很容易地擴展到HIBE，但該方案在相對較強的IND-ID-CPA安全性定義下，規約十分松散，不具實用性。Boneh和Boyen[30]隨后提出了標準模型下完全安全的Boneh-Boyen2004-2方案，實現了IND-ID-CPA安全性下相對有效的歸約，但密文長度和加解密復雜度與身份信息的長度相關，降低了實用性。Waters[31]使用Boneh-Boyen結構，構造了標準模型下第一個高效的具有完全安全的Waters-IBE方案，實現了IND-ID-CPA安全性下相對有效的歸約。該方案具有常數級的密文長度和解密復雜度，執行效率高，具有良好的擴展性，常成為構造其他IBE方案的基礎。但在Waters-IBE方案中，安全證明仍然不是緊規約，而且系統公共參數的長度與身份信息的長度也呈線性關系。Gentry[32]構造了一個更為高效的、短公共參數的、安全證明緊規約的Gentry-IBE方案，但是需要基于大量的復雜性假設。Waters[33]引入了雙系統加密（dual system encryption）的概念，提出第一個基于簡單性假設、短公共參數的、具有完全安全的IBE和HIBE方案。雙系統加密技術目前已被應用在很多IBE和ABE方案中[34-37]，成為目前IBE和ABE安全性證明中的主流技術。

3.2 基于屬性的加密機制

IBE使用身份信息作為公鑰來加密消息，雖然簡化了傳統的公鑰基礎設施中證書的管理，但是要求每個用戶都是用唯一的身份來標識。Sahai和Waters[2]提出的ABE用屬性集解決了IBE中每個用戶都是用唯一身份來標識的問題。ABE把屬性集合看作一個用戶的身份，以屬性為公鑰，根據該屬性集合來為用戶生成相應的私鑰。同樣，密文不是為某個特定的用戶而加密的，而是根據一個屬性集合生成的，是加密給滿足一定條件的群體用戶的。ABE實質上可以看作IBE系統在用戶的私鑰中或者密文中引入了一個訪問結構而構成的，這些結構定義了具備哪些屬性的用戶可以解密某個密文，哪些用戶不能解密該密文。ABE系統同樣需要解決抗共謀問題。

Sahai和Waters提出的基本ABE，只能表示屬性的“門限”操作，且門限參數由授權機構設置，無法支持靈活的訪問控制策略，只能實現比較粗粒度的訪問控制。因此為了解決復雜的訪問策略的需求，出現了基于密鑰策略的ABE（KP-ABE，key-policy ABE）[38]和基于密文策略的ABE（CP-ABE，ciphertext-policy ABE）[39]。KP-ABE和CP-ABE都采用樹訪問結構，區別在于訪問結構部署的位置不同，訪問控制策略可以實現屬性的與、或、非等門限操作，實現比基本ABE更靈活的訪問控制策略。在CP-ABE中，密鑰和屬性集關聯，密文和訪問策略關聯。在KP-ABE中，密鑰和訪問策略關聯，密文和屬性集相關聯。早期的CP-ABE和KP-ABE[38-43]都是選擇身份安全下的構造。2010年，Lewko等[34]利用Waters[33]中提出的雙系統加密思想，第一次提出了完全安全的ABE方案。Lewko等[44]在2012年還提出一種新的證明方法，可以將一些優化的選擇安全系統轉化為完全安全系統。

一些加密方案[45-50]討論了和基于屬性加密同樣的問題，只是沒有考慮共謀攻擊。這些加密系統中，數據加密時指定一個訪問策略，只有符合訪問策略的用戶集才能解密數據。其他的還有一些匿名及謂詞加密的基于屬性加密方案[51-53]、關于屬性撤銷的一些加密方案[54-58]，以及提供更細粒度訪問控制的屬性加密方案等[59]。

4 層次分級的基于身份及屬性加密機制

HIBE[33,35-36,60-65]主要為了解決基本IBE中，單授權中心帶來的性能瓶頸問題，降低授權中心分發密鑰的負載。HABE[66-74]則是在HIBE的基礎上發展起來的。在IBE和ABE中，一個重要的問題是“共謀”，即是多個用戶相互合作后的解密能力不應該超越他們的解密能力之和。單授權中心負責頒發所有密鑰，每個用戶的密鑰是用不同的隨機共享秘密生成，中心可以相對容易的重新隨機相應的秘密共享，實現用戶的抗共謀攻擊問題。在HIBE和HABE中，抗共謀要求則更加復雜，即使一個攻擊者能訪問特定域內其他用戶的私鑰，也不能解密為特定域內特定用戶加密的消息；或者是域內一定用戶共謀，也不能訪問域內其他用戶的私鑰；或者是A域的PKG和B域內的用戶共謀，也不能解開B域下其他用戶可解密的消息。針對抗共謀攻擊需求及基本IBE和ABE的要求，HIBE和HABE目前主要采用層次型的密鑰管理機制。

4.1 典型HIBE及HABE方案

4.1.1 Horwitz-Lynn方案

Horwitz-Lynn方案在域層面是完全抗共謀的，任意數目的域PKG共謀，根PKG的主密鑰仍然是安全的。但在用戶層是部分抗共謀的，如域內有超過一定數量的用戶共謀，就能得到域PKG的密鑰。如果不關注域以下層面的抗共謀攻擊，這個架構還是比較實用的。因為在域級層次，個域PKG共謀的可能性，要比用戶層的2個用戶共謀的可能性要小（2個用戶共謀，要求來自個不同域，每個域有個用戶參與共謀才可以）。

Horwitz-Lynn方案在隨機預言模型下是選擇密文安全的。Horwitz-Lynn方案的架構當擴展到多層時，上一層密鑰的大小隨著層次深度呈指數遞增，因此這種架構并不是高效的，通常適用于深度不超過兩層的應用場景。

4.1.2 Gentry-Silverberg方案

Gentry-Silverberg方案的優點是域PKG的秘密泄露，只會影響其域內用戶，而不會破壞上一級PKG的秘密。但加密給一個用戶的文件，能夠被用戶以及用戶所有祖先節點解密，以及密文長度和解密開銷隨著消息接收方的層次而線性增長。為了解決密文長度和層次深度有關，還提出一種更高效的雙身份加密和簽名方案，特別適合于發方和收方位于層次樹中非常近的情況。

4.1.3 其他典型方案

最早的HIBE方案基本都是在隨機預言模型下證明安全的，直到Canetti等[28]給出第一個標準模型下選擇身份安全的HIBE，但是并不高效。

2004年，Boneh，Boyen[29-30]提出2種高效的不用隨機預言模型的選擇身份安全的IBE系統，即Boneh-Boyen04方案。Boneh-Boyen04的方案是類似于Gentry-Silverberg方案，但可以不用隨機預言模型證明安全。Boneh-Boyen04方案重點在加密和解密的效率上，Boneh-Boyen2004-1[29]方案是基于DBDH（decision bilinear di?e-hellman）假設，可以擴展到一個不用隨機預言模型的選擇身份安全的HIBE，加密不要求雙線性計算而解密只要求2次。Boneh-Boyen2004-2[30]方案基于一個新的假設稱為DBDHI（decision bilinear di?e-hellman inversion），解密的只要求一次雙線性計算，更加高效。這2個方案雖然都可以擴展到HIBE中，但在密文和私鑰長度上，和加解密所需時間上，仍然是隨著層次的深度線性增長的。

Boneh、Boyen和Goh[63]則提出一個不依賴于層次的深度，具有常數級的密文大小和解密開銷，更高效的HIBE方案。對于任意深度的身份，加密時不要求任何雙線性對計算，密文只包括3個組元素，解密只需要2次雙線性對計算。該方案在標準模型下是選擇身份安全；在隨機預言模型下，則是完全安全的。

Waters-IBE方案[31]雖然沒有給出具體的HIBE方案，但也可以擴展到標準模型下完全安全的HIBE方案。但是，Waters的HIBE方案以及同一時期的所有具有完全安全性的HIBE方案，都不能實現安全的緊規約。規約的證明，僅在常數等級的HIBE中有效，從安全的角度，實際應用中只能擁有2~3個等級。

Gentry、Halevi[64]提出了第一個具有多項式深度的完全安全的HIBE方案，但是該方案基于復雜性假設，而且密文大小仍然隨著層次深度呈線性遞增。Boyen和Waters[60]則提出了在標準模型下所有層次完全匿名的HIBE，加解密時間及密文大小也是隨著層次深度呈線性增長。Waters2009方案[33]采用雙系統加密技術，實現了標準模型下完全安全，但密文大小仍隨著層次深度呈線性增長。Lewko-Waters2010方案[35]則是采用雙系統加密技術，在簡單性假設下，實現了固定密文長度，標準模型下完全安全的HIBE。以上方案通常需要在系統建立時，確定支持的最大層次數，Lewko和Waters[36]給出了第一個無界的HIBE方案，該方案無需事先確定層次數。

Guojun Wang[66-67]等利用Gentry-Silverberg方案中層次結構密鑰生成的思想，并借鑒了Müller-Katzenbeisser方案中將訪問結構表示成析取范式（DNF，disjunctive normal form）形式的思想，提出了層次型架構的ABE方案，同時支持基于屬性和基于精確身份的訪問結構，而且具有常數級的解密計算復雜度。Zhiguo Wan等[68]提出一種更彈性化和細粒度的HABE。

4.2 典型HIBE方案的分析與比較

從表1可以看出，目前典型的這些HIBE方案，大部分方案的加解密開銷、密文及密鑰大小，都會和層次數直接相關，隨著層次深度呈線性增長趨勢。Boneh-Boyen-Goh及Lewko-Waters2010方案中，雖然解密時間和密文大小和層次無關，但加密時間和密鑰大小仍然和系統層次及用戶所在層次有關。

5 分布式的基于屬性加密機制

HIBE及HABE雖然解決了中心授權機構密鑰分發的負載問題，但在大規模、分布式系統中，用戶信息及屬性信息由不同的部門管理，因此不能由一個屬性管理機構來管理所有屬性和分發密鑰，需要有多個不同授權機構同時工作，每個管理不同屬性集的密鑰。目前分布式的多機構IBE及ABE，主要以分布式ABE為主。

表1 典型HIBE方案的比較

在單授權機構的ABE中，中心授權機構可以容易地將秘密值在用戶私鑰的不同部分（代表不同屬性）中進行分割，實現抗共謀攻擊。分布式ABE包含多個屬性授權機構（AA，attribute authority），每個用戶的密鑰要在多個授權機構間分割，授權機構間沒有必然聯系，因此如何構建秘密共享實現抗共謀攻擊，是分布式ABE的研究難點。

目前分布式ABE主要采用用戶全局身份標識（GID，global identifier）來防止用戶共謀，根據是否采用中心授權機構來保證解密的正確運行，分為采用中心授權機構和不采用中心授權機構2類。采用中心授權機構的以Chase07[75]及Müller-Katzenbeisser[76]等方案為主，不采用中心授權機構的以Lewko-Waters2011[37]、Lin-Cao[77]及Chase09[78]等方案為主。

5.1 采用中心授權機構的機制

5.1.1 Chase07方案

Chase07方案[75]最先采用用戶GID和中心授權機構解決分布式ABE的抗共謀問題。分布式ABE中，必須區分2種情形，一種是一個用戶具有密文要求的屬性集；一種是不同用戶共同擁有構成密文要求的屬性集。由于屬性集不能區分用戶，因此Chase07方案中第一次引入了GID來實現用戶全網唯一，用戶在每個授權機構用同一個GID得到相應的密鑰集，解密的能力也依賴于GID。

Chase07方案最早提出中心授權機構和GID來解決分布式ABE的抗共謀問題，不足之外，一是中心授權機構要求絕對可信，為了重構秘密，中心授權機構需要了解所有授權機構私鑰，而且能夠解密所有用戶密文；二是訪問策略比較固定，不能支持比較復雜的訪問策略，用戶必須具有每個授權機構要求的固定屬性數，而且局限于只能對預先的屬性集表達嚴格的“與”策略；三是可擴展性弱，新加一個授權機構，全網系統密鑰都要改變。

5.1.2 Müller-Katzenbeisser方案

Müller-Katzenbeisser方案中由于各屬性授權機構之間不用建立信任關系，可擴展性好，支持任何時候動態添加新的用戶和屬性授權機構，并且支持相對復雜的訪問策略表示。不足的地方，一是訪問策略要以析取范式的形式表示，加密開銷和密文長度會與析取范式中合取子句的數量成比例增加；二是仍然不能實現很復雜的訪問策略。

5.2 不采用中心授權機構的機制

早期的分布式ABE方案基本都采用中心授權機構，來解決各授權機構相互不信任的情況，確保用戶不能進行共謀。這種架構中，普遍要求中心授權機構必須是全網可信，中心授權機構的安全關系到全部系統，如果系統的規模更大時，中心授權機構會成為瓶頸。因此為解決使用中心授權機構帶來的安全脆弱性，一些不使用中心授權機構的方案相繼推出。

5.2.1 Lewko-Waters2011方案

Lewko、Waters[37]提出了不需要中心授權機構的Lewko-Waters2011方案，使用GID將不同授權機構頒發給同一個用戶的屬性私鑰聯系起來。加密數據的訪問控制要求的屬性分屬不同的授權機構，可以按照任意屬性的布爾式加密數據，解密時只有具有所有要求的屬性私鑰且為同一用戶的可以解密。

Lewko-Waters方案設置時，要求既滿足密鑰產生的自治性，又要抗共謀攻擊。密鑰產生的自治性意味著密鑰隨機化的建立機制不能被應用，因為沒有一方能夠將密鑰的所有部分收集齊。密鑰的每一個組件可能來自于不同的授權機構，授權機構間也沒有建立信任關系。因此，Lewko-Waters方案提出一種新的技術將密鑰組件綁定在一起，以阻止不同的GID的用戶間的共謀攻擊。利用可計算單調布爾函數的單調張成方案，構造線性秘密共享，實現秘密值在訪問策略中不同的屬性間分割。同時使用GID將屬于一個指定用戶的不同屬性綁定在一起，解密時符合條件的屬性且為同一用戶，才能解密密文，共同實現抗共謀攻擊。

Lewko-Waters2011方案不要求中心授權機構，避免了中心授權機構帶來的性能瓶頸，以及絕對可信問題，不僅在效率方面還是在安全方面，都是重要的改進。各授權機構完全獨立地工作，一些授權機構的失敗和中斷不會影響到其他授權機構的功能操作，這也使系統更強壯。

Lewko-Waters2011方案除了創建公共參數初始集，不要求任何授權機構提前建立信任關系。采用訪問樹的策略描述，支持復雜訪問策略描述。方案雖然不需要中心授權機構來管理用戶及分發密鑰，但使用了GID實現用戶全網的唯一性，為了保證GID的真實性，各授權機構必須依賴于管理用戶身份標識的機構提供支撐。而且方案中用戶的GID也是向所有授權機構公開的，會造成用戶隱私的泄露。

5.2.2 其他典型方案

Lin、Cao[77]等提出基于門限架構，不依賴于中心授權機構的分布式方案。Lin-Cao方案采用一個密鑰分發協議，生成各個授權機構的秘密值，所有授權機構的秘密值重構出總的秘密值。不足的是屬性集及要求的授權機構在系統建立時必須提前固定，系統只能在不超過固定用戶數時才能抗共謀。而且不能任意添加新的授權機構，擴展性弱。Lin-Cao方案中用戶的GID仍然是向授權機構公開的。

Chase，Sherman等[78]提出的Chase09方案，沿用Chase07方案的秘密分割方式，不使用中心授權機構將各授權機構的秘密值重構，但所有授權機構在初始化階段，要兩兩協商種子密鑰參數，建立復雜的信任關系；方案的另一個特點是采用匿名密鑰分發協議，實現了匿名信任，用戶不用出示GID，可以從授權機構得到解密密鑰，實現隱私保護，不足的是協議較為復雜。

Rahulamathavan和Veluru等[79]提出的分布式方案，沒有采用中心授權機構，對Chase09方案中的匿名密鑰分發協議更改，增強了GID和用戶解密密鑰之間的綁定，保護了用戶的隱私，降低了復雜性。但不足的是密鑰分發協議仍然需要交互多次，需要多個密鑰參數來實現。文獻[80-82]中也使用了匿名方案，保護用戶的隱私，但基本上也都采用了相對復雜的匿名密鑰分發協議。其他還有一些分布式的ABE方案[83-92]。

5.3 典型分布式ABE方案的分析與比較

分布式ABE主要是屬性分屬于不同授權機構，各機構管理屬性及頒發密鑰都是相互獨立的，只是因為工作需要，而建立一些信任關系，需要各機構的屬性密鑰才能共享一些數據。分布式ABE的構造不同，主要體現在是否使用用戶GID和中心授權機構，以及各授權機構間信任關系建立方式等方面。

Müller-Katzenbeisser方案中沒有使用GID來區分用戶，但中心授權機構為每個用戶生成的唯一的私鑰，實現了用戶身份在全網的唯一性；Lin-Cao方案和Lewko-Waters2011方案中用戶的GID是全網公開的。Chase09方案和Rahulamathavan-Veluru方案中，采用匿名密鑰分發協議，使用戶的GID不對外公開，保護了用戶的隱私。

6 結束語

本文在基本IBE及ABE的研究基礎上，對多機構IBE及ABE的密鑰管理、架構設計、安全性等方面進行了深入研究探討。由于多機構IBE及ABE是新興的研究領域，也存在著很多的開放性問題，這些問題也指引了該領域未來的研究趨勢，總結如下。

1) HIBE及HABE

HIBE及HABE主要解決了基本IBE及ABE中，單授權中心帶來的性能瓶頸問題。根PKG是最終信任根，授權機構按層次進行密鑰管理，解決了密鑰頒發的負載問題；同時，身份的認證和密鑰的傳輸在內部完成，大大提高了系統效率。但普遍存在著隨著層次深度的增長，密文及密鑰大小或加解密開銷也隨之增長的問題，以及帶來的安全性降低的問題。設計和層次深度不直接相關的方案，是目前的研究難點和趨勢。

表2 典型的分布式ABE方案的比較

2) 分布式ABE

分布式ABE，主要解決了屬性分屬不同授權機構的訪問問題。各授權機構之間沒有信任關系，每個授權機構負責頒發本域內的屬性和密鑰。目前主要分為2大類，一類采用中心授權機構的方案，優點是各授權機構之間，不需要構建復雜的信任關系；但中心授權機構負責管理用戶或分發密鑰，實現秘密分割。此類方案工作負載大，存在可信度要求高，以及授權機構擴展性不好等問題。另一類不采用中心授權機構的方案，優點是授權機構的擴展性好，允許授權機構破壞的冗余度高，但在授權機構之間，需要交換必需的參數信息，構建信任關系實現秘密共享，或者采用復雜的密鑰交換協議。

有中心授權機構的方案，管理更簡單，更適合于實際應用。無中心授權機構的方案，則以授權機構間，簡單的密鑰交換為發展趨勢。用戶具有全網唯一性，目前主要以GID方式為主，存在問題就是如何保證用戶身份在全網公開而帶來的隱私泄露問題。

3) 層次分級和分布式相結合的多機構IBE及ABE

現實應用中，如企業內部，通常是層次分級的管理模式，而當企業之間合作時，則是分布式的管理模式。針對這樣的應用場景，需要層次分級和分布式相結合的多機構IBE及ABE。目前針對這種混合架構的方案較少，使用中心授權機構所要求的全網可信，帶來了瓶頸和可擴展性問題，不使用中心授權機構的方案，基本上采用用戶GID的方法，但仍依賴于相關管理中心提供用戶身份管理。

[1] SHAMIR A. Identity-based cryptosystems and signature schemes[C]// Proceedings of CRYPTO 84 on Advances. 1984: 47-53.

[2] SAHAI A, WATERS B. Fuzzy identity-based encryption[C]//Proceedings of the 24th annual international conference on Theory and Applications of Cryptographic Techniques. 2005: 457-473.

[3] 蘇金樹, 曹丹, 王小峰, 等. 屬性基加密機制[J]. 軟件學報. 2011, 22(6): 1299-1315.

SU J S, CAO D, WANG X F, et al. Attribute-based encryption schemes[J]. Journal of Software, 2011, 22(6): 1299-1315.

[4] GOLDWASSER S, MICALI S. Probabilistic encryption[J]. Journal of Computer Systems Science, 1984, 28(2): 270-299.

[5] BELLARE M, ROGAWAY P. Random oracles are practical: a paradigm for designing efficient protocols[C]//Proceedings of the 1th ACM conference on Computer and Communications Security (CCS1993). 1993:62-73.

[6] CRAMER R, SHOUP V. A practical public key cryptosystem provable secure against adaptive chosen ciphertext attack[C]//Proceedings of the 18th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 1998). 1998: 414-426.

[7] NAOR M, YUNG M. Public-key cryptosystems provably secure against chosen ciphertext attacks[C]//Proceedings of the 22th annual ACM Symposium on Theory of Computing (STOC 90). 1990: 427-437.

[8] RACKOFF C, SIMON D. Non-interactive zero-knowledge proof of knowledge and chosen ciphertext attack[C]//Proceedings of the 11th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 91). 1991:433-444.

[9] GOLDWASSER S, MICALI S．Probabilistic encryption[J]．Journal of Computer and System Sciences, 1984, 28(2): 270-299.

[10] MICALI S, RACKOFF C, SLOAN R．The notion of security for probabilistic cryptosystems[J]. SIAM Journal on Computing, 1988, 17(2):412-426.

[11] BONEH D, FRANKLIN M. Identity-based encryption from the weil pairing[C]//Proceedings of the 21st Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2001). 2001: 213-229.

[12] CANETTI R, HALEVI S, KATZ J. Chosen-ciphertext security from identity-based encryption[C]//Proceedings of the 23th annual international conference on Theory and Applications of Cryptographic Techniques (EUROENCRYPT 2004). 2004: 207-222.

[13] BOYEN X, MEI Q, WATERS B. Direct chosen ciphertext security from identity-based techniques[C]//Proceedings of the 12th ACM conference on Computers and Communication Security (CCS 2005). 2005: 320-329.

[14] BONEH D, KATZ J. Improved efficiency for CCA-secure cryptosystems built using identity-based encryption[C]//In Proceedings of CT-RSA 2005. 2005: 87-103.

[15] SHAMIR A. How to share a secret[J]. Communications of the ACM, 1979, 22(11):612-613.

[16] BLAKLEY G R. Safeguarding cryptographic key[C]//AFIPS 1979 National Computer Conference. 1979:313-317.

[17] ASMUTH C, BLOOM J. Modular approach to key safeguarding[J]. IEEE transaction on Information Theory, 1983, 29(2):208-210.

[18] KARNIN E D, MEMBER S, GREENE J W, et al. On sharing secret system[J]. IEEE Transactions on Information Theory, 1983, 29(1):35-41.

[19] LIBERT B, QUISQUATER J J. Efficient revocation and threshold pairing based cryptosystems[C]//Symposium on Principles of Distributed Computing 2003. 2003:163-171.

[20] DODIS Y, YUNG M. Exposure-resilience for free: the hierarchical id-based encryption case[C]//Proceedings of IEEE security in Storage Workshop 2002. 2002:45-52.

[21] BAEK J, ZHENG Y. Identity-based threshold decryption[C]//Public Key Cryptography Proceedings of PKC’04, 2004:262-276.

[22] LIU S, CHEN K, QIU W. Identity-based threshold decryption revisited[C]//Proceedings of the 3rd international conference on Information security practice and experience (ISPEC 07). 2007:329-343.

[23] BEIMEL A. Secure schemes for secret sharing and key distribution[D]. Haifa: Israel Institute of Technology. 1996.

[24] CHEUNG L, NEWPORT C. Porvably secure ciphertext policy ABE[C]//Proceedings of the 14th ACM Conference on Computer and Communications Security (CCS 2007). 2007:456-465.

[25] ATTRAPADUNG N, IMAI H. Dual-policy attribute based encryption[C]//Proceedings of the 7th International Conference on Applied Cryptography and Network Security (ACNS 2009). 2009:168-185.

[26] SAKAI R, OHGISHI K, KASAHARA M. Cryptosystems based on pairing[C]//Symposium on Cryptography and Information Security (SCIS 2000). 2000:233-238.

[27] COCKS C. An identity based encryption scheme based on quadratic residues[C]//Cryptography and Coding 2001. 2001:360-363.

[28] CANETTI R, HALEVI S, KATZ J. A forward-secure public-key encryption scheme[C]//Proceedings of the 22th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2003). 2003: 255-271.

[29] BONEH D, BOYEN X. Ef?cient selective-ID secure identity based encryption without random oracles[C]//Proceedings of the 23th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2004). 2004:223-238.

[30] BONEH D, BOYEN X. Secure identity based encryption without random oracles[C]//Proceedings of the 24th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2004). 2004:443-459．

[31] WATERS B. Efficient identity-based encryption without random oracles[C]//Proceedings of the 24th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2005). 2005:114-127.

[32] GENTRY C. Practical identity-based encryption without random oracles[C]//Proceedings of the 25th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2006). 2006:445-464.

[33] WATERS B. Dual system encryption: Realizing fully secure IBE and HIBE under simple assumptions[C]//Proceedings of the 29th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2009). 2009:619-636.

[34] LEWKO A, OKAMOTO T, SAHAI A, et al. Fully secure functional encryption: attribute-based encryption and (hierarchical) inner product encryption[C]//Proceedings of the 29th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2010). 2010:62-91.

[35] LEWKO A, WATERS B. New techniques for dual system encryption and fully secure HIBE with short ciphertexts[C]//Proceedings of the 7th conference on Theory of cryptography (TCC 2010). 2010:455-479.

[36] LEWKO A, WATERS B. Unbounded HIBE and attribute-based encryption[C]//Proceedings of the 30th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2011). 2011:547-567.

[37] LEWKO A, WATERS B. Decentralizing attribute-based encryption[C]//Proceedings of the 30th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2011). 2011:568-588.

[38] GOYAL V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//Proceedings of the 13th ACM Conference on Computer and Communications Security (CCS 2006). 2006:99-112.

[39] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryption[C]//Proceedings of the 28th IEEE Symposium on Security and Privacy (S&P 2007). 2007:321-334.

[40] CHEUNG L, NEWPORT C. Provably secure ciphertext policy ABE[C]//Proceedings of the 14th ACM conference on Computer and communications security (CCS 2007). 2007:456-465.

[41] OSTROVKSY R, SAHAI A, WATERS B. attribute based encryption with non-monotonic access structures[C]//Proceedings of the 14th ACM conference on Computer and communications security (CCS 2007). 2007:195-203.

[42] GOYAL V, JAIN A, PANDEY O, et al. Bounded ciphertext policy attribute-based encryption[C]//Proceedings of the 35th international colloquium on Automata, Languages and Programming (ICALP 2008). 2008: 579-591.

[43] WATERS B. Ciphertext-policy attribute-based encryption: An Expressive, Efficient, and Provably Secure Realization[R]. Public Key Cryptography – PKC 2011. 2011:53-70.

[44] LEWKO A, WATERS B. New proof methods for attribute-based encryption: achieving full security through selective techniques[C]//In Proc of Advances in Cryptology-CRYPTO’12. 2012: 180-198.

[45] AL-RIYAMI S. S, MALONE-LEE J, SMART N.P. Escrow-free encryption supporting cryptographic workflow[J]. International Journal of Information Security, 2006, 5(4): 217-229.

[46] BAGGA W, MOLVA R, CROSTA S. Policy-based encryption schemes from bilinear pairings[C]//In ASIACCS2006. 2006: 368-368.

[47] BARBOSA M, FARSHIM P. Secure cryptographic work flow in the standard model[C]//In INDOCRYPT2006. 2006: 379-393.

[48] BRADSHAW R, HOLT J, SEAMONS K. Concealing complex policies with hidden credentials[C]//In ACM Conference on Computer and Communications Security. 2004: 146-157,

[49] MIKLAU G, SUCIU D. Controlling access to published data using cryptography[C]//In Proceedings of the 29th international conference on Very large data bases, VLDB'03. 2003, Volume 29: 898-909.

[50] SMART N. Access control using pairing based cryptography[C]//In CT-RSA. 2003: 111-121.

[51] ABDALLA M, BELLARE M, CATALANO D, et al. Searchable encryption revisited: Consistency properties, relation to anonymous ibe, and extensions[J]. In Journal of Cryptology, 2008, volume 21: 350-391.

[52] KATZ J, SAHAI A, WATERS B. Predicate encryption supporting disjunctions, polynomial equations, and inner products[C]//In EUROCRYPT2008.2008:146-162.

[53] SHI E, WATERS B. Delegating capabilities in predicate encryption systems[C]//In Automata, Languages and Programming. 2008: 560-578.

[54] YU S, WANG C, REN K, et al. Attribute based data sharing with attribute revocation[C]//The 5th ACM Symp.Information, Computer and Comm. Security (ASIACCS’10). 2010: 261-270.

[55] LI M, YU S, ZHENG Y, et al. Scalable and secure sharing of personal health records in cloud computing using attribute-based encryption[J]. IEEE Trans. Parallel Distributed Systems, 2013, 24(1): 131-143.

[56] HUR J, NOH D.K. Attribute-based access control with efficient revocation in data outsourcing systems[J]. IEEE Trans. Parallel Distributed Systems, 2011, 22(7): 1214-1221.

[57] JAHID S, MITTAL P, BORISOV N. Easier: Encryption-Based Access Control in Social Networks with Efficient Revocation[C]//In Proc. 6th ACM Symp. Information, Computer and Comm. Security (ASIACCS’11). 2011: 411-415.

[58] RUJ S, NAYAK A, STOJMENOVIC I. DACC: Distributed Access Control in Clouds[C]// In Proc. 10th IEEE Int’l Conf.TrustCom. 2011: 91-98.

[59] SHUCHENG YU, CONG WANG, KUI REN, et al. Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing[C]//INFOCOM'10 Proceedings of the 29th conference on Information communications. 2010,29(16): 534-542.

[60] BOYEN X, WATERS B. Anonymous Hierarchical Identity-Based Encryption (Without Random Oracles)[C]//Proceedings of the 26th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2006). 2006: 290-307.

[61] HORWITZ J, LYNN B. Towards hierarchical identity-based encryption[C]//Proceedings of the 21th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2002). 2002: 466–481.

[62] GENTRY C, SILVERBERG A. Hierarchical ID-based cryptography[C]//Proceedings of the 8th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology (ASIACRYPT 2002). 2002: 548-566.

[63] BONEH D, BOYEN X, GOH E J. Hierarchical identity based encryption with constant size ciphertext[C]//Proceedings of the 24th annual international conference on Theory and Applications of Cryptographic Techniques (EUROCRYPT2005). 2005:440-456.

[64] GENTRY C, HALEVI S. Hierarchical identity based encryption with polynomially many levels[C]//Proceedings of the 6th conference on Theory of cryptography (TCC 2009). 2009:437-456.

[65] FUYANG FANG, BAO LI, XIANHUI LU, et al. (Deterministic) Hierarchical identity-based encryption from learning with rounding over small modulus[C]//ASIA CCS’16. 2016: 907-912.

[66] WANG G J, LIU Q, WU J. Hierarchical attribute-based encryption for ?ne-grained access control in cloud storage services[C]//Proceedings of the 17th ACM conference on Computer and communications security (CCS 2010). 2010:735-737.

[67] WANG G J, LIU Q, WU J, et al. Hierarchical attribute-based encryption and scalable user revocation for sharing data in cloud servers[J]. Computers & security, 2011, 30 (5):320-331.

[68] WAN Z G, LIU J, DENG R H. HASBE: A hierarchical attribute-based solution for flexible and scalable access control in cloud computing[C]//IEEE Transactions on Information Forensics and Security 2012. 2012:743-753.

[69] ASIM M, IGNATENKO T, PETKOVIC M, et al. Enforcing access control in virtual organizations using hierarchical attribute-based encryption[C]//Seventh International Conference on Availability, Reliability and Security. 2012,329 (6): 212-217.

[70] LIU J, WAN Z, GU M. Hierarchical attribute-set based encryption for scalable, flexible and fine-grained access control in cloud computing[C]//Information Security Practice and Experience. ISPEC2011. 2011,6672 (2): 98-107.

[71] DENG H, WU Q, QIN B, et al. Ciphertext-policy hierarchical attribute-based encryption with short ciphertexts: efficiently sharing data among large organizations[J]. Information Sciences, 2014,275 (11): 370-384.

[72] LIU X, MA J, XIONG J, et al. Ciphertext-policy hierarchical attribute-based encryption for fine-grained access control of encryption data[J]. International Journal of Network Security, 2014,16(6): 437-443.

[73] HUANG Q, WANG L, YANG Y. DECENT: Secure and fine-grained data access control with policy updating for constrained IoT devices[J]. World Wide Web, 2017 (11):1-17.

[74] SERVOS D, OSBORN SL. HGAA: An architecture to support hierarchical group and attribute-based access control[C]//the Third ACM Workshop. 2018:1-12.

[75] CHASE M. Multi-authority attribute based encryption[C]//Proceedings of the 4th conference on Theory of cryptography (TCC 2007). 2007:515-534.

[76] MüLLER S, KATZENBEISSER S, ECKERT C. Distributed attribute-based encryption[C]//Proceedings of the 11th International Conference on Information Security and Cryptology (ICISC 2008). 2008:20-36.

[77] LIN H, CAO Z F, LIANG X H, et al. Secure threshold multi authority attribute based encryption without a central authority[C]//Proceedings of the 9th International Conference on Cryptology in India: Progress in Cryptology (INDOCRYPT 2008). 2008:426-436.

[78] CHASE M, CHOW S. Improving privacy and security in multi-authority attribute-based encryption[C]//Proceedings of the 16th ACM conference on Computer and communications security (CCS 2009). 2009:121-130.

[79] RAHULAMATHAVAN Y, VELURU S, HAN J, et al. User collusion avoidance scheme for Privacy-Preserving Decentralized Key-Policy Attribute-Based Encryption[J]. IEEE Transactions on Computers, 2016, 65(9): 2939-2946.

[80] HAN J, SUSILO W, MU Y, et al. Privacy-preserving decentralized key-policy attribute-based encryption[J]. IEEE Transactions on Parallel and Distributed Systems, 2012, 23(11): 2150–2162.

[81] HAN J, SUSILO W, MU Y, et al. Improving privacy and security in decentralized ciphertext-policy attribute-based encryption[J]. IEEE Transactions on Information Forensics and Security, 2015,10(3): 665-678.

[82] QIAN H, LI J, ZHANG Y. Privacy-preserving decentralized ciphertext-policy attribute-based encryption with fully hidden access structure[C]//In Proc. ICICS’13. 2013: 363–372.

[83] LI J, HUANG Q, CHEN X, et al. Multi-authority ciphertext-policy attribute-based encryption with accountability[C]//In Proc. ASIACCS’11. 2011: 386–390.

[84] LIU Z, CAO Z, HUANG Q, et al. Fully secure multi-authority ciphertext-policy attribute-based encryption without random oracles[C]//In Proc. ESORICS’11. 2011: 278–297.

[85] YANG K, JIA X. Attribute-based access control for multi-authority systems in cloud storage[C]//In Proc. 32th IEEE International Conference on Distributed Computing Systems (ICDCS’12). 2012:1-10.

[86] YANG K, JIA X, REN K, et al. DAC-MACS: Effective data access control for multiauthority cloud storage systems[J]. IEEE Transactions On Information Forensics And Security, 2013, 8(11): 1790-1801.

[87] YANG K, JIA X. Expressive, efficient, and revocable data access control for multi-authority cloud storage[J]. IEEE Transactions on Parallel and Distributed Systems, 2014: 25(7).

[88] JUNG T, LI X, WAN ZH, et al. Privacy preserving cloud data access with multi-authorities[C]//2013 Proceedings IEEE INFOCOM. 2013, 12(11): 2625-2633.

[89] GE A, ZHANG J, ZHANG R, MA C, et al. Security analysis of a privacy-preserving decentralized key-policy attribute-based encryption scheme[J]. IEEE Transactions on Parallel and Distributed Systems, 2013, 24(11): 2319-2321.

[90] KUEHNER H, HARTENSTEIN H. Decentralized secure data sharing with attribute-based encryption: a resource consumption analysis[C]//SCC’16. 2016: 74-81.

[91] PUSSEWALAGE H S G, OLESHCHUK V A. A distributed multi-authority attribute based encryption scheme for secure sharing of personal health records[C]//Proceedings of the 22nd ACM on Symposium on Access Control Models and Technologies, SACMAT'17. 2017: 255-262.

[92] LI X, WANG Y, XU M, et al. Decentralized attribute-based encryption and data sharing scheme in cloud storage[J]. China Communications, 2018, 15(2): 138-152.

Survey of multi-authority identity-based and attribute-based encryption scheme

YANG Yan1,2, CHEN Xingyuan1,2,3, DU Xuehui2

1. School of Computer and Information Technology, Beijing Jiaotong University, Beijing 100044 2. College of Cryptography Engineering, Information Engineering University, Zhengzhou, 450001 3. State Key Laboratory of Cryptology, Beijing, 100878

Multi-Authority Identity-Based Encryption (IBE) and Attribute-Based Encryption (ABE) have become a popular research direction of fine-grained access control for encrypting out-sourced data in distributed environments such as cloud computing. Firstly, systematic analysis on the construction and security of basic IBE and ABE was conducted. Then, from the two aspects of hierarchical and decentralizing architecture, the research problems relating to Multi-Authority IBE and ABE were researched and discussed in depth, including key management, architecture, encryption overhead, decryption overhead and security with a comprehensive comparison of their functionality and performance. Finally, the future research trends and open issues were summarized, and a solution to the new trend was given.

hierarchical IBE, hierarchical ABE, decentralizing ABE, multi-authority ABE

TP393.08

A

10.11959/j.issn.1000?436x.2018219

楊艷（1973?），女，河南息縣人，博士，信息工程大學教授，主要研究方向為云計算安全、大數據安全、數據安全與防護。

陳性元（1963?），男，安徽無為人，博士，信息工程大學教授，主要研究方向為電子政務安全、網絡空間安全、大數據安全。

杜學繪（1968?），女，河南輝縣人，博士，信息工程大學教授，主要研究方向為網絡空間安全、電子政務安全、數據安全交換。

2017?11?30；

2018?08?06

國家高技術研究發展計劃（No.2015AA016006）；國家重點研發計劃項目（No.2016YFB0501900）

The National High Technology Research and Development Program of China (No.2015AA016006), The National Key R&D Plan of China (No.2016YFB0501900)