可撤銷和可追蹤的密鑰策略屬性基加密方案

齊芳，李艷梅，湯哲

?

可撤銷和可追蹤的密鑰策略屬性基加密方案

齊芳，李艷梅，湯哲

（中南大學信息科學與工程學院，湖南 長沙 410083）

針對基于密鑰策略屬性基加密（KP-ABE, key-policy attribute-based encryption）方案不能兼顧屬性撤銷和用戶身份追蹤的問題，提出一種支持可撤銷和可追蹤的KP-ABE方案。首先，該方案能夠在不更新系統公鑰和用戶私鑰的情況下實現對用戶屬性的撤銷，更新代價比較小，同時可以根據解密密鑰追蹤到用戶身份，從而有效地防止匿名用戶的密鑰泄露問題。其次，該方案基于線性訪問結構（LSSS, linear secret sharing scheme），與樹形訪問結構相比，執行效率更高。最后，該方案基于判定性-BDHE假設，給出了在標準模式下的安全性證明。通過與已有的KP-ABE方案進行對比分析得出，該方案的公鑰長度更短、加解密的計算開銷更低，且在實現屬性可撤銷的基礎上實現了用戶身份的可追蹤功能，具有較為明顯的優勢。

基于密鑰策略屬性基加密；可撤銷；可追蹤；線性訪問結構

1 引言

2007年，Bethencourt等[1]第一次提出了屬性基加密（ABE, attribute-based encryption）機制的概念，該機制將用戶私鑰、密文分別和一組屬性相關聯，用戶私鑰只有滿足密文訪問策略時才可對密文進行解密，因此，可以實現細粒度的訪問控制。現有的ABE機制根據解密策略的關聯方式可以大致分為兩種，一種是基于密鑰的屬性基加密機制[2-4]（KP-ABE, key-policy attribute-based encryption），該機制中用戶私鑰與訪問策略相關；另一種是基于密文的屬性基加密機制[5-6]（CP-ABE, ciphertext- policy attribute-based encryption），該機制將密文與訪問策略綁定。上述兩種方案都實現了基于屬性的細粒度訪問策略。Waters等[7]和Goyal等[8]的屬性加密方案都是基于樹形訪問結構的，由文獻[8]可知，樹形訪問結構下的密文長度會隨訪問樹節點的增加呈指數級增長，執行效率比較低。而線性訪問結構中密文和加密時間的長度是隨著訪問結構的增大呈線性增長的，且文獻[9]中證明樹型訪問結構與線性訪問結構是可以相互轉換的，因此，本文的訪問結構是基于LSSS的。

目前，針對各種形式的ABE方案關于屬性撤銷方面的研究比較少，已有的撤銷方案根據撤銷執行方，可以分為直接撤銷和間接撤銷兩類，Imai等[10]指出間接撤銷是指只有未被撤銷的用戶，即非撤銷用戶才可以對密鑰進行更新。Pirretti等[11]提出將有效期與一個屬性相關聯的撤銷方案，但該方案存在諸多問題，如密鑰存儲和更新的工作量較大、授權中心可擴展性較差及無法實現屬性到期前的撤銷。Bethencourt等[12]提出的方案是在用戶屬性和密文中都添加時間信息，但是授權中心的工作量會隨著用戶數量的增多急劇增大，且不能實現用戶屬性的動態及時撤銷。Boldyreva等[13]提出了利用二叉樹進行撤銷的方案，但該方案仍不支持及時撤銷。直接撤銷是信息發送方將用戶的屬性撤銷列表直接嵌入密文中，從而完成屬性密鑰的撤銷，該思路是由OSW07[13]首次提出的，被撤銷的用戶失去了所有的解密屬性，但在該方案中僅支持用戶身份的撤銷，無法實現用戶部分屬性撤銷的問題。文獻[10]中定義了兩種撤銷模型：一種是間接撤銷模型，在這種模型下，用戶的屬性或身份，通過更新用戶私鑰來實現撤銷，加密消息時，發送者不關心撤銷列表；另一種是直接撤銷模型，該模型中，用戶的屬性或者身份在撤銷的時候會加入撤銷列表中，將撤銷列表加入密文中，而不影響用戶私鑰的生成。文獻[14]提出了一個支持身份吊銷的KP-ABE方案，但是該方案要求用戶加密的屬性集的大小必須是屬性集大小的一半。文獻[15]提出了一種直接撤銷模式下具有細粒度屬性撤銷機制的加密方案，該方案中撤銷的是單個屬性下的某些用戶，而不影響該用戶下的其他屬性，用戶的部分屬性被撤銷后如果余下的屬性集仍可以滿足訪問結構，則該用戶還可以解密信息。文獻[16]在現有的研究基礎上，指出在不影響其他用戶私鑰的前提下，實現用戶屬性撤銷是未來的研究方向。目前，基于直接撤銷模式下的屬性基加密機制因其撤銷代價較小等優勢，成為屬性基加密機制的研究熱點[17-19]，文獻[17]提出一種可直接撤銷的CP-ABE方案，針對KP-ABE,文獻[20]提出一種支持用戶撤銷的KP-ABE方案，但是該方案中僅支持用戶撤銷，還不能實現細粒度的撤銷模式，因而Wang等[21]提出支持細粒度撤銷機制的KP-ABE方案。文獻[22]提出一種基于代理的KP-ABE撤銷方案，該方案不需要更新用戶密鑰和已經加密的舊密文，但是需要第三方代理機構隨時在線且完全可信。

密鑰濫用問題一直是屬性基加密機制的研究熱點，因為用戶是通過屬性集來進行身份標識，所以可能會使不同用戶有相同的屬性集，無法唯一確定用戶身份，因此，如果合法用戶將自己的私鑰給其他惡意用戶分發出去，就會打亂事先定義的訪問策略，而且還不能對該用戶追責，因而引發密鑰濫用的問題。文獻[23-24]中引入了用戶身份信息，可以實現對惡意用戶身份追蹤，但文獻[23]中的撤銷機制僅針對惡意用戶。

上述研究內容均不能同時有效解決用戶屬性細粒度撤銷和追蹤用戶身份的問題，因此，本文在現有的研究基礎上，通過在密文中嵌入用戶屬性撤銷列表，同時將用戶身份標識和密鑰相結合，從而可以實現用戶部分屬性撤銷的細粒度訪問控制，而且可以通過密鑰追蹤到用戶身份，有效地防止了用戶密鑰泄露的問題，具有一定的實際應用價值。

2 基礎知識

2.1 合數階群上的雙線性映射

2.2 訪問結構

2.3 線性秘密共享方案

2.4 判定性q-BDHE假設

3 模型定義

3.1 系統結構

支持可撤銷和可追蹤的KP-ABE方案由以下5個多項式時間算法組成。

trace追蹤算法：如果非法用戶擁有有效的解密密鑰，則可以通過本算法驗證密鑰泄露者的身份，從而追蹤到用戶身份。

3.2 安全模型

4 具體方案

生成系統主密鑰為

再計算

最終計算得到

trace追蹤算法：因為密鑰中嵌入了用戶的身份標識，每個用戶都滿足

5 安全性證明

定理1 基于上述3.2節所定義的安全模型下，若-BDHE假設成立，則第4節給出的方案是IND-CPA安全的。

當詢問滿足訪問結構時

當詢問不滿足訪問結構時

第二階段：重復第一階段的操作。

綜上，模擬算法在q-BDHE游戲中獲勝的概率為

6 性能分析

表1通過對如上幾種方案從公鑰長度、系統主密鑰長度、密文長度以及用戶解密密鑰長度以及方案是否具有可撤銷性和可追蹤性等方面進行比較，得出本文所提方案中的公鑰長度與用戶密鑰是最短的，文獻[24]的系統主密鑰最短，密文中加入了撤銷列表，因此，實現了屬性的可撤銷，用戶解密密鑰中嵌入用戶的身份信息，因此，實現了用戶身份的精準追蹤。表2是對相關文獻在計算開銷方面的對比，由表2可知，文獻[20]的加解密開銷比文獻[22]低，文獻[23]中由于涉及兩個循環群的運算，所以加解密開銷文獻[22]要高，本文所提方案的加解密開銷低于文獻[24]，同時加密開銷為所有方案最低，解密開銷僅略高于文獻[20]。

綜上表述，本文所提方案的公鑰和用戶密鑰長度最短，且加密開銷最低，同時可以實現細粒度的屬性撤銷和用戶追蹤。從密鑰長度計算開銷以及實現功能方面來看，都有較明顯的優勢。

表1 密文與密鑰長度及功能性對比

表2 計算開銷比較

7 結束語

本文提出了一種基于LSSS訪問策略的可撤銷、可追蹤的KP-ABE加密方案，可以實現用戶部分屬性撤銷而不影響其他用戶的解密密鑰，同時可以通過用戶密鑰追蹤到用戶身份，可以有效解決用戶密鑰泄露的問題，且在標準模型下證明本文所提方案可以解決-BDHE假設，從而證明本文所提方案是IND-CPA安全的。未來相關的研究方案有：在現有的研究基礎上實現用戶身份的撤銷；針對單授權中心安全性隱患和性能瓶頸的問題，實現多授權中心的KP-ABE加密方案。

[1] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryp-tion[C]//IEEE Symposium on Security and Privacy. 2007: 321-334.

[2] GOVALl V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//ACM Conference on Computer and Communications Security. 2006: 89-98.

[3] ATTRAPADUNG N, LIBERT B, PANAFIEU E. Expressive key-policy attribute-based encryption with constant-size cipher-texts[C]//International Conference on Practice and Theory in Public Key Cryptography. 2011:90-108.

[4] ATTRAPADUNG N, IMAI H. Conjunctive broadcast and attribute-based encryp-tion[C]//Pairing-Based Cryptography-Pairing 2009. 2009: 248-265.

[5] ROY S, CHUAH M. Secure data retrieval based on ciphertext policy attribute-based encryption CP-ABE system for the DTNs[R]. Lehigh CSETech. 2009.

[6] ATTRAPADUNG N, HERRANZ J, LIBERT B, et al. Attribute-based encryption schemes with constant size ciphertexts[J]. Theoretical Computer Science, 2012, 422(3): 15-38.

[7] SAHAI A, WATERS B. Fuzzy identity-based encryption[M]. Advances in Cryptology EURO-CRYPT. 2005: 457-473.

[8] GOYAL V, JAIN A, PANDEY O, et al. Bounded ciphertext policy attribute based encryption[M]. Automata, Languages and Programming. 2008: 579-591.

[9] BEIMEL A. Secure schemes for secret sharing and key distribution[J]. International Journal of Pure & Applied Mathematics, 1996.

[10] ATTRAPADUNG N, IMAI H. Attribute-based encryption supporting direct/indirect revoca-tion modes[C]//Ima International Conference on Cryptography and Coding. 2009: 278-300.

[11] PIRRETTI M, TRAYNOR P, MCDANIEL P, et al. Secure attribute-based systems[C]//ACM Conference on Computer and Communications Security. 2006: 799-837.

[12] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryption [C]//IEEE Symposium on Security and Privacy. 2007: 321-334.

[13] BOLDYREVA A, GOYAL V, KUNMAR V. Identity-based encryption with efficient re-vocation modes[C]//The ACM Conference on Computer and Communications Security. 2008: 417-426.

[14] OSTROVSKY R, SAHAI A, WATERS B. Attribute-based encryption with non-monotonic access structures[C]//CCS 07 ACM Conference on Computer & Commu-nications Security. 2007: 195-203.

[15] STADDON J, GOLLE P, RASMUSSEN P. A content-driven access control sys-tem[C]//Symposium on Identity and Trust on the Internet. 2008: 26-35.

[16] WANG P, FENG D, ZHANG L. Towards attribute revocation in key-policy attribute based encryption[C]//International Conference on Cryptology and Network Security. 2011: 272-291.

[17] 蘇金樹, 曹丹, 王小峰, 等. 屬性基加密機制[J]. 軟件學報, 2011, 22(6): 1299-1315.

SU J S, CAO D, WANG X F, et al. Attribute-based encryption schemes[J]. Journal of Software, 2011,22(6): 1299-1315

[18] 閆璽璽, 孟慧. 支持直接撤銷的密文策略屬性基加密方案[J]. 通信學報, 2016, 37(5): 44-50.

YAN X X, MENG H. Ciphertext policy attribute-based encryption scheme supporting direct revocation[J]. Journal on Communications, 2016, 37(5): 44-50.

[19] 胡海英, 商威. 一種可撤銷的KP-ABE方案[J]. 計算機系統應用, 2013, 22(9): 123-128.

HU H Y, SHANG W. A revocable KP-ABE scheme[J]. Computer Systems and Application, 2013, 22(9): 123-128.

[20] SHI Y, ZHENG Q, LIU J, et al. Directly revocable key-policy attribute-based encryption with verifiable ciphertext delegation[J]. Information Sciences, 2015, 295: 221-231.

[21] 王鵬翩, 馮登國, 張立武. 一個基于訪問樹的支持用戶撤銷的KP-ABE方案[C]//中國計算機網絡與信息安全學術會議. 2011. WANG P P, FENG D G, ZHANG L W. A KP-ABE scheme supporting user revocation based on access tree[C]//China Computer Networks and Information Security Conference. 2011.

[22] 林娟, 薛慶水, 曹珍富. 基于代理的即時屬性撤銷KP-ABE方案[J]. 計算機工程, 2014, 40(10): 20-24.

LING J, XUE Q X, CAO Z F. Proxy-based immediate attribute revocation KP-ABE Scheme[J]. Computer Engineering, 2014, 40(10): 20-24.

[23] 馬海英, 曾國蓀. 可追蹤并撤銷叛徒的屬性基加密方案[J]. 計算機學報, 2012, 35(9): 1845-1855.

MA H Y, ZENG G S. An attribute-based en-cryption scheme for traitor tracing and revo-cation together[J].Chinese Journal of Computers, 2012, 35(9): 1845-1855.

[24] 馬海英, 曾國蓀, 陳建平, 等. 適應性安全的可追蹤叛徒的基于屬性加密方案[J]. 通信學報, 2016, 37(1): 76-87.

MA H Y, ZENG G S, CHEN J P, et al. Adaptively secure attribute-based encryption for traitor tracing[J]. Journal on Communications, 2016, 37(1): 76-87.

Revocable and traceable key-policy attribute-based encryption scheme

QI Fang, LI Yanmei, TANG Zhe

School of Information Science and Engineering, Central South University, Changsha 410083, China

The existing key-policy attribute-based encryption (KP-ABE) scheme can not balance the problem of attribute revocation and user identity tracking. Hence, a KP-ABE scheme which supported revocable and traceable was proposed. The scheme could revoke the user attributes without updating the system public key and user private key with a less update cost. Meanwhile, it could trace the user identity based on decryption key which could effectively prevent anonymous user key leakage problem. The proposed scheme was based on linear secret sharing scheme (LSSS), which was more efficient than tree-based access structure. Based on the deterministic-BDHE hypothesis, the proposed scheme gave security proof until standard mode. Finally, compared with the existing KP-ABE scheme, the scheme has a shorter public key length, lower computational overhead and realizes the traceability function of user identity based on the revocable attribute, which has obvious advantages.

KP-ABE, revocable, traceable, linear secret sharing scheme

TN918.1

A

10.11959/j.issn.1000?436x.2018231

齊芳（1978–），女，湖南長沙人，博士，中南大學副教授、博士生導師，主要研究方向為網絡信息安全、通信協議。

李艷梅（1990–），女，山西呂梁人，中南大學碩士生，主要研究方向為信息安全、現代密碼學。

湯哲（1977–），男，湖南長沙人，博士，中南大學副教授、碩士生導師，主要研究方向為智能技術、機器人、工業控制、電池管理與應用。

2018–01–11；

2018–05–19

李艷梅，liyanmei_@csu.edu.cn

國家自然科學基金重點項目（No.61632009）；長沙市科技計劃基金資助項目（No.kq1701089）；國家重點研發計劃基金資助項目（No.2018YFD0700500）

The National Natural Science Foundation of China (No.61632009), The Science and Technology Project of Changsha (No.kq1701089), The National Key Research and Development Program of China (No.2018YFD0700500)