支持策略隱藏且密文長度恒定的可搜索加密方案

楊小東 李 婷 麻婷春 陳桂蘭 王彩芬②

①(西北師范大學計算機科學與工程學院 蘭州 730070)

②(深圳技術大學大數據與互聯網學院 深圳 518118)

1 引言

云存儲具有較高的存儲效率和較低的存儲成本，給個人和企業提供了便利的存儲服務[1]。然而，云存儲安全策略還未形成標準、規范的體系結構，導致云端數據面臨隱私泄露、數據損壞等安全問題[2]。基于密文策略的屬性加密方案(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)[3]確保了云端數據的機密性和完整性，并且支持靈活、細粒度的訪問控制，提高了云端數據的安全性。為了保護用戶隱私，節省密文存儲開銷，國內外學者從策略隱藏、密文長度恒定等方面對CP-ABE方案進行了研究和拓展。

傳統的CP-ABE方案[4,5]通常以明文的形式公布訪問策略，任何獲得密文的人(包括云服務提供商)都可以推斷出密文的部分秘密信息，導致解密用戶面臨私密信息泄露的風險。為解決此問題，文獻[6,7]提出了帶有部分隱藏策略的CP-ABE方案，隱藏訪問策略中的屬性值以保護私密信息，但面臨離線字典攻擊的安全問題。文獻[8,9]將屬性分為屬性名和屬性值兩部分，采用隱藏屬性值的思想設計了支持部分策略隱藏的CP-ABE方案。盡管這些方案在某種程度上能夠保護策略隱私，但存在部分屬性信息泄露的問題。針對使用部分隱藏策略的CP-ABE方案引起的安全性和隱私問題，一系列可完全隱藏訪問策略的CP-ABE方案[10-13]相繼被提出，確保了數據的完整性和私密性。但文獻[10-13]使用隱藏的訪問策略加密數據，使得解密者需要執行若干配對操作來解密密文，存在計算開銷較大的問題。此外，上述方案均沒有考慮密文長度這一重要技術指標，都存在密文長度隨屬性個數正向增長的問題。

為了降低密文存儲開銷，Emura等人[14]提出了一種密文長度恒定的CP-ABE方案，但該方案的訪問結構單一。Herranz等人[15]采用多項式重構的思想，構造了一種密文長度恒定的CP-ABE方案；Ge等人[16]提出了選擇明文攻擊下可證安全且密文長度恒定的CP-ABE方案。然而，文獻[15,16]加密和解密涉及的配對運算較多，存在計算開銷大的問題。Zhang等人[17]基于多值通配符的AND門訪問策略，提出了一種密文長度恒定的CP-ABE方案，有效地提升了計算效率，但安全性較低。文獻[18-21]構造了一種策略隱藏且密文長度恒定的屬性加密方案，確保了用戶隱私信息的安全，并且節省了密文存儲開銷。然而，隨著云存儲中加密文件數量的增多，已有的同類方案[22,23]未能同時支持云端數據的公開審計、關鍵詞搜索，這已成為云存儲中一個重要且具有挑戰性的問題。

針對上述問題，本文設計了一種支持策略隱藏且密文長度恒定的可搜索屬性加密方案。該方案基于可搜索加密機制，實現了密文長度的恒定。將訪問策略隱藏在密文和關鍵詞中，確保了數據的隱私性。采用數據公開審計的思想，實現了云端數據的完整性驗證。相比于現有的同類方案，本文方案不僅從加密、解密和搜索3方面提升了計算效率，而且大大降低了云端數據的存儲成本。通過對相關領域的文獻搜索，本文方案是第1個同時具備策略隱藏、密文長度恒定、關鍵詞搜索和公開審計的屬性加密方案。

2 預備知識

2.1 雙線性映射

設 G1和GT分別是兩個階為素數p 的乘法循環群，其中 g 為G1的一個生成元，e:G1×G1→GT是滿足以下條件的雙線性映射[24]。

(2) 非退化性：e (g,g)/=1；

(3) 可計算性：對于群 G1中的任意兩個元素g1,g2， 存在一個有效算法計算e (g1,g2)。

2.2 決策性q-BDHE假設

決策性q-BDHE(q -Decisional Bilinear Diffie-Hellman Exponent)問題：假設 T 為群GT中的一個隨機數，給定 yg,α.q=(g1,g2,···,gq,gq+1,···,g2q,gr)，其中 α,r ∈, gi=gαi，區 分(g,yg,α,q,e(gq+1,gr))和(g,yg,α,q,T)。

定義1決策性q-BDHE假設。如果攻擊者在多項式時間內無法以不可忽略的優勢區分元組(g,yg,α,q,e(gq+1,gr)) 和(g,yg,α,q,T) ，則 表 明G1和GT上的q-BDHE問題是困難的[20]。

2.3 CDH假設

定義2CDH假設。如果攻擊者在多項式時間內無法以不可忽略的優勢計算出 gxy，則表明G1上的CDH問題是困難的[25]。

3 支持策略隱藏且密文長度恒定的可搜索屬性加密方案

3.1 系統模型

本文方案的系統模型如圖1所示，包含數據擁有者(Data Owner, DO)、云服務提供商(Cloud Service Provider, CSP)、屬性權威中心(Attribute Authority Center, AAC)、訪問用戶(Accessing Users, AU)和第三方審計者(Third-Party Auditors,TPA)5個實體。各實體的功能介紹如下：

圖1 系統模型

(1) DO：根據數據文件和關鍵詞生成對應的關鍵詞索引，并將數據文件和索引加密后上傳至CSP。

(2) CSP：存儲數據擁有者上傳的密文數據，并處理訪問用戶的搜索請求。

(3) AAC：負責生成系統公共參數和系統中各個實體的私鑰。

(4) AU：向云服務提供商發送密文的搜索請求，并解密云服務提供商返回的密文數據文件。

(5) TPA：負責驗證云端數據的完整性，并將審計結果返回給數據擁有者。H0,H1,H2,H3,{Ai,j,Yi,j}1≤i≤n,1≤j≤ni，秘密保存主密鑰m sk=(a,b,ai,j)。

(2) 密鑰生成(K eyGen): AAC收到用戶發送的屬性列表 L={L1,L2,···,Lu}后，按照以下步驟生成 L對應的私鑰。

(a) 隨機選取 s k,α,β ∈Zp， 計算τi=(g·H3(sk))-ai,j,X =φα和 K =g(a+β)/b。對任意屬性a tti, AAC隨機選 擇 λi∈Zp，計(算s ki,1=gβ-λi||ai,j，)得 到 私 鑰SKL，即 S KL=sk,K,{τi,ski,1}1≤i≤n。

(b) 隨機選取 sskF∈Zp作為任意數據文件塊F(1 ≤F ≤m)的 簽名私鑰，通過安全信道將s skF發送給用戶。計算p k=gsskF，并將p k作為公鑰。

(3) 數據文件加密( E ncrypt): DO在訪問策略W下對數據文件M 執行如下的加密操作。

(b) 將密文數據 CT 劃分為m 塊，即CT=(CT1,CT2,···,CTm)。

(c)為每個密文數據塊 CTj計算標簽δj=(H2(j)gCTj)sskF。

(d) 輸出文件M的密文CT=(C1,C2,C3)和相應的標簽δj，將其發送給CSP。

3.2 具體方案

(1) 系統建立(S etup(k) ) ：輸入安全參數k ，令G1和GT為階為素數p 的乘法循環群，g 為G1的生成元， e:G1×G1→GT是一個雙線性映射。假定U ={att1,att2,···,attn} 為 系 統 屬 性 集，Si={vi,1,vi,2,···,vi,j}表 示屬性a tti的取值集合。AAC按照如下步驟生成系統參數 PP和 主密鑰m sk。

(a) 選擇哈希函數H0:×{0,1}log2n×{0,1}log2m→, H1:{0,1}?→G1, H3:Zp→G1和一個帶密鑰 的 哈 希 函 數 Hk:{0,1}?→Zp。 隨 機 選 取a,b,c ∈Zp，計算φ =e(g,g)a,γ =gb和p k=gc。

(b) 對任意屬性 atti(a tt ∈U)，隨機選取xi,j∈Zp， 計算ai,j=H0(a||xi,j), Ai,j=g-ai,j和 Yi,j=e(g,g)ai,j， 其中i ,j ∈(1,2,···,(n)， “| |”表示連接符。

(c)公開系統參數PP=G1,GT,e,p,g,φ,γ,pk,

4 安全性分析

4.1 機密性

定理1如果q-BDHE假設成立，則沒有任何多項式敵手A 能夠以不可忽略的優勢攻破本文方案。

證明：假設在多項式時間t內，存在一個敵手A 以不可忽略的優勢εA攻破本文方案，則可以構建一個挑戰者 B 以不可忽略的優勢εB解決q-BDHE問題。給定q-BDHE挑戰元組 (g,yg,α,q,T)，其中yg,α.q=(g1,g2,···,gq,gq+1,···,g2q,gs), T ∈GT, B 和A進行如下的模擬游戲。

詢問階段2：重復詢問階段1的工作，但不能繼續詢問明文消息M0和M1。

4.2 索引的不可區分性

定理2如果CDH假設成立，則本文提出的方案滿足索引不可區分性。

詢問階段1：F 選擇屬性集合L={L1,L2,···,Lu}發送給C ，向 C發起如下的哈希詢問和陷門詢問。

(1) OH0(ai,j) 詢問：C 輸入屬性a tti向F 發起H0詢 問，C 維護初始列表LH0=[atti,a,ai,j]，先在列表 LH0中查詢a tti是否存在，如果存在，則將對應值返回給 C；否則，為屬性a tti隨機選擇xi′,j∈ZP，令ai′,j=H0(a||xi′,j)， 其 中a ∈ZP，并在列表LH0中添加( atti,a,ai′,j) ，將ai′,j返回給F 。

(2) OH3(sk)詢 問：F 輸入屬性a tti向 C 發起H3詢問， C維護初始列表LH3=[atti,ai,j,sk,τi]，先查詢sk 是 否存在于列表L3。如果存在，則C 將對應值返回給F ；否則，C 隨機選取s k′∈ZP，對于每個屬性atti， 隨機選擇xi′,j∈ZP， 計算τi=(g·H3(sk′))-ai′,j，將其添加至列表LH3并 發送給 F。

詢問階段2：重復詢問階段1，但 F 不能繼續詢問關鍵詞集合k w1和k w2或 者k w1和k w2的子集。

5 性能分析

5.1 理論分析

本節從計算開銷和存儲開銷兩個方面將本文方案與支持關鍵詞搜索的屬性加密方案[20,26,27]進行比較。為便于表述，用 na表示系統中屬性總個數，nω表 示包含在訪問控制策略中的屬性個數，nd表示解密時所需要的屬性個數，ns表示搜索時所需屬性個數， nk表 示密鑰中的屬性個數，| G1|和| GT|分別表示群 G1和 GT中的元素長度，| Zp|表 示Zp中元素長度 ，指數運算和對數運算分別用Te和Tp表示。

5.1.1 計算成本

在表1中，文獻[20]的解密開銷，文獻[26]的加密開銷、關鍵詞搜索開銷以及文獻[27]的加密開銷、解密開銷和關鍵詞搜索開銷均與屬性個數呈線性增長關系。本文方案具有密文長度恒定，加密開銷、解密開銷和關鍵詞搜索開銷均與屬性個數無關，具有較小的計算量。因此，本文方案具有更高的計算效率。

5.1.2 存儲成本

在屬性加密方案中，屬性權威中心承擔主密鑰的存儲開銷，數據擁有者和訪問用戶分別用來存儲公鑰和私鑰，云服務提供商的存儲開銷主要源于密文。由表2可知，本文方案與文獻[20,26,27]的屬性權威中心、數據擁有者和訪問用戶的存儲開銷相當。文獻[26,27]密文存儲開銷與訪問策略中的屬性個數呈正相關關系，未實現密文長度恒定。雖然文獻[20]方案的密文長度恒定，但該方案將密文分為密文頭和中間密文兩部分，存儲開銷高于本文方案。因此，本文方案具有較低的存儲開銷。

表1 計算開銷對比

5.2 實驗仿真分析

以Intel(R) Core(TM) i5-2400 @ 3.10 GHz的處理器、4 GB的內存、Windows10 X64專業版的操作系統以及jpbc-2.0.0密碼庫為實驗環境，將本文方案與已有的支持關鍵詞搜索的屬性加密方案[26,27]進行搜索開銷、加密開銷和解密開銷比較。在相同設備條件下進行多次實驗，得到圖2比較結果。

圖2(a)表明，在數據文件搜索階段，文獻[26,27]的搜索時間與訪問策略中屬性個數呈正相關關系。由于本文方案實現了關鍵詞索引的長度恒定，所以搜索時間不會隨屬性個數的增加而線性增長，始終保持在0.023 s左右。因此，本文方案具有較高的搜索效率。

由圖2(b)所示，當屬性數量為10～30時，文獻[26]和本文方案加密時間接近。隨著屬性數量的增加，文獻[26]花費的加密時間緩慢增長；而本文方案的密文長度恒定，加密時間和屬性數量無關，加密時間始終保持在0.02 s左右；文獻[27]的加密開銷一直高于本文方案。綜上所述，本文方案具有較低的加密開銷。

由圖2(c)可知，訪問策略中的屬性數量為10時，本文方案與文獻[27]的解密開銷相當。但隨著屬性數量的增加，文獻[27]的解密時間增幅較大，和屬性數量呈正相關關系。本文方案中采用密文長度恒定技術，解密時間保持在0.2 s左右。因此，用戶需要負擔較小的解密花費。

如圖2(d)所示，假設屬性數量為5，本文方案與同類方案[26,27]在存儲開銷上相比具有明顯優勢。影響存儲開銷最關鍵的因素是密文的大小，所以圖2顯示了本文方案與文獻[26,27]的密文尺寸，文獻[26]和文獻[27]密文大小分別為1536 bit和2432 bit，而本文方案密文長度恒定，僅需要花費384 bit來存儲密文。

表2 存儲開銷對比

圖2 計算和存儲開銷對比

6 結束語

針對現有方案面臨的存儲開銷隨屬性數量正向增長、用戶隱私泄露及數據可用性較低等安全性問題，本文面向云存儲提出一種支持策略隱藏且密文長度恒定的可搜索屬性加密方案。該方案在支持關鍵詞搜索的前提下，實現了密文長度恒定，降低了云服務提供商的存儲開銷。通過對密文數據和關鍵詞中的訪問策略進行隱藏，提高了數據安全性。引入公開審計功能，確保了數據的完整性。分析結果表明：該方案在實現數據隱私性和完整性的同時，降低了云服務提供商的存儲成本，提高了計算性能，在云存儲環境中具有更好的應用性。然而，該方案僅滿足CPA安全，下一步將對滿足選擇密文安全的屬性加密方案進行探究。