隐藏访问策略的属性加密方案研究

ComputerScienceandApplication计算机科学与应用,2018,8(3),296-304PublishedOnlineMarch2018inHans.://doi.org/10.12677/csa.2018.83034文章引用:张兴兰,李建楠.隐藏访问策略的属性加密方案研究[J].计算机科学与应用,2018,8(3):296-304.DOI:10.12677/csa.2018.83034Attribute-BasedEncryptionSchemewithHiddenAccessPolicyXinglanZhang,JiannanLiDepartmentofInformation,BeijingUniversityofTechnology,BeijingReceived:Mar.10th,2018;accepted:Mar.22nd,2018;published:Mar.28th,2018AbstractInthetraditionalCiphertext-Policyattributed-basedencryptionscheme,althoughtheaccesspol-icycanbetterimplementattributeencryption,itwillalsobringtheproblemofdataprivacylea-kage,andthelargecomputationintheCiphertextdecryptionstage.Thispaperproposesanout-sourcedencryptionschemetohideaccesspolicy,whichgeneralizesthevaluesofattributes.Intheencryptionprocess,thevalidCiphertextandtheinvalidCiphertextareindistinguishablebyhidingsomesubsetvalues.Inaddition,outsourcingpartoftheCiphertextdecryptionreducesthecompu-tingburdenofthedatareceiverandgreatlyimprovestheefficiencyofdecryption.Theanalysisshowsthatthenewschemeenhancestheflexibilityofthesystemwhilehidingtheaccesspolicy,anditisprovedtobesafeundertheassumptionofDDH,whichhascertaintheoreticalandappliedvalue.KeywordsAttribute-BasedEncryption,AccessPolicy,Hidden,Outsourced隐藏访问策略的属性加密方案研究张兴兰，李建楠北京工业大学，北京收稿日期：2018年3月10日；录用日期：2018年3月22日；发布日期：2018年3月28日摘要传统基于密文策略的属性加密方案中，访问策略虽然能较好的实现属性加密，但也会带来数据隐私泄露问题，并且密文解密阶段的计算开销大。文章提出一种隐藏访问策略的外包加密方案，对属性的取值进张兴兰，李建楠DOI:10.12677/csa.2018.83034297计算机科学与应用行泛化处理，在加密过程中通过隐藏部分子集值使得有效密文和无效密文不可区分。此外，将密文解密的部分计算外包，减轻了数据接收方的计算负担，极大地提高了解密效率。分析表明，新方案在隐藏访问策略的同时增强了系统的灵活性，同时在DDH假设下证明是安全的，具有一定的理论和应用价值。关键词属性加密，访问策略，隐藏，外包Copyright©2018byauthorsandHansPublishersInc.ThisworkislicensedundertheCreativeCommonsAttributionInternationalLicense(CCBY).引言在传统的公钥加密体系中，通信采用“一对一”模型，使用特定公钥加密的数据，必须使用相应的私钥解密，例如基于身份的加密(IBE)[1]方案。实际上，许多加密系统采用的都是“一对多”的通信模型，例如共享数据库中的文档被多个用户访问，有线电视节目被多个订阅者观看等。属性加密(简称ABE)采用一系列属性来描述用户身份，可以引入访问控制策略把用户私钥和密文同属性相关联，具有“一对多”良好特性，能够灵活地进行访问控制，可以实现对密文细粒度的访问控制。这个想法最早由Sahai和Waters作为模糊IBE方案[2]的应用引入，其中密钥和密文与属性集合关联，当且仅当密文和密钥的属性集相交的属性个数至少达到固定的阈值时才能解密。近年来随着对属性加密方案研究[3][4]的不断深入细化，又分为密钥策略的属性解密(简称KP-ABE)[5]和密文策略的属性加密(简称CP-ABE)[6][7][8]。其中，Bethencourt等人提出第一个CP-ABE方案[7]，该方案要求访问控制策略在密文中公开，用于接收方完成属性对比和解密。考虑到某些隐私性,有些时候访问控制策略可能包含隐私信息，加密者需要将加密策略进行隐藏，但如果访问策略被隐藏,解密者将无法完成相应的解密工作。之后，Nishide等人[9]提出了一种隐藏访问控制策略的基于属性加密方法，由于采用了较多的双线性对运算和指数运算，对算法效率的影响较大。Kapadia等人[10]的方案要求一个在线的半可信服务器参与，且必须知道每个用户的属性值，发送方只具有发布密文的功能，当接收方检索密文时，半可信服务器重加密该密文，这一方案对第三方依赖太大，不能防止用户串谋。Shiet等人[11]提出了一个基于大数范围查询的谓词加密方案，数据发送方在指定访问策略中的数字范围实现CP-ABE，采用的安全概念较弱，且要求属性个数少，该方案在属性数量上成指数型。Boneh和Waters[12]提出基于隐藏向量的谓词加密方案，使用子集谓词相反的语义实现策略隐藏，但是需要处理两个大素数阶的双线性对，在系统建立时指定访问策略中的属性以及每个属性的可能取值。而在我们的方案中，即使公共参数系统建立后，也可以在密文策略中增加属性。Lai等人[13]利用子群判定假设在合数阶群中提出了一个新的可以隐藏访问结构的加密方案，并证明是完全安全的。但是为了达到一定的安全级别，合数群的阶会取得比较大。Katz等人[14]提出一种支持内积的谓词加密方案，该方案实现访问策略的隐藏且通用性强，可以同时满足KP-ABE和CP-ABE方案。但是，该方案需要采用一种特殊的具有三个大素数的双线组，访问控制结构固定且在强假设下证明安全性。本文在文献[6]所构造的高效属性加密方案基础上，通过扩展每个属性的可能取值，在加密的过程中隐藏部分属性值的子集值，要求所有接收方都不知道发送方采用了何种访问策略加密数据。对比已有的OpenAccess张兴兰，李建楠DOI:10.12677/csa.2018.83034298计算机科学与应用方案，本文在实现策略隐藏的同时支持策略灵活、安全变更；在解密过程中加入了外包转换计算，提高解密效率。2.预备知识2.1.双线性映射关于双线性映射的研究是当前密码学的一个重要课题，自提出后被应用到各种加密、签名等方案中，一些密码学上的难题得到了很好的解决。设p是一个素数，12,GG是两个阶为p的乘法循环群，g为1G的生成元，e是一个双线性映射：112:eGGG×→。双线性映射e满足如下3个性质：1)双线性性质。对于任意的1,,pabZhG∈∈，满足()(),,ababeghegh=。2)非退化性。(),1egg≠。3)可计算性。对于任意的1,ghG∈,存在有效算法可在多项式时间内计算出(),egh的值。注意：(),e∗∗运算是一个对称操作,即()()(),,,ababbaegheghegh==；另外有()()()1212,,,eggheghegh⋅=⋅，其中121,,gghG∈。定义1(计算Diffie-Hellman(CDH)问题)随机选择,pabZ∈，给定三元组(),,abggg，计算abg。定义2(判定Diffie-Hellman(DDH)问题)随机选择,,pabcZ∈且未知，g为循环群1G的一个生成元，给定一个元组(),,,abcgggg，判定cabgg=是否成立。2.2.访问控制结构在CP-ABE方案中，数据发送方制定访问策略，若接收方的属性密钥满足发送方制定的访问策略，则可以解密密文。例如，访问结构()()ANDORANDTABCD=，接收方满足最小属性集合{},AB或{},CD，则可以解密访问控制结构T加密后的数据。本文对访问控制结构做如下定义：属性外部之间用与门，属性内部之间用或门。假设属性系统中的属性总个数为n，相应的索引为{}12,,,nΛΛΛ，每个属性拥有多个取值，数据接收方的属性列表定义为[]12,,,nLLLL=，[]12,,,n=表示访问控制策略，使用通配符*表示访问策略中无关属性的取值，W中的每个iW是iΛ所有可能取值的子集。当1,iiinLW≤≤=或iW=∗时，属性列表L满足访问控制策略W，否则L就不满足访问控制结构W。具体来说，例如iΛ有in个可能取值，用集合{},1,2,,,,iiiiinSννν=⋅⋅⋅表示，接收方的属性列表{}12,,,,,inLLLLL=，iiLS∈，加密使用的访问控制策略[]12,,,,,,inii=∈，这就意味着：当()()()()11,111,422,3,2,5,1,5iiiiiinniiννννννννΛ=∨Λ=∧Λ=∧⋅⋅⋅∧Λ=∨Λ=∨Λ=∧⋅⋅⋅∧Λ=∨加密者为iΛ指定属性值，即为iΛ指定了iiWS=，当且仅当1,iiinLW≤≤∈时，满足该属性列表L的接收方才可以解密。访问结构中iW隐藏每个属性iΛ的部分取值，即访问控制结构中与门结构里所有属性的部分取值。2.3.安全模型本方案的安全模型可以通过攻击者和挑战者之间的游戏过程来描述，若最终攻击者给出正确的猜测，则攻击者胜利，反之，挑战者胜利。游戏过程如下：Init：攻击者向挑战者发送访问控制策略0W和1W。Setup：挑战者运行初始化过程Setup，将公钥PK发送给攻击者。Phase1：攻击者发送属性列表L可以进行多次相关密钥查询，要求L同时满足或者不满足访问控制策略0W和1W。挑战者运行密钥生成算法KeyGen，将密钥LSK返还给攻击者。张兴兰，李建楠DOI:10.12677/csa.2018.83034299计算机科学与应用Challenge：攻击者向挑战者提交两个数据0M和1M。如果攻击者的属性列表L在Phase1满足访问策略0W和1W，则得到密钥LSK并要求01MM=。挑战者随机抛币得到{}0,1b∈，随机选择一个bM，用bW进行加密，将密文信息返回给攻击者。Phase2：重复Phase1。Guess：攻击者输出对b的猜测b′。攻击者获得游戏胜利的优势为：[]Pr12bb′=−。定义3在多项式时间内所有的攻击者，赢得上述游戏的优势都是可以忽略不计的，则称该方案是安全的。3.具体方案在文献[6]的基础上，本方案的参与方包括：可信授权方、数据发送方和数据接收方，本文系统模型如图1所示：其中，可信授权方负责监管和颁发属性公钥；数据发送方使用访问策略加密数据并将密文发送给服务器；数据接收方使用自己的属性私钥解密满足规定访问策略下密文。此外，本文在解密阶段将部分密文解密任务外包，减轻接收方的解密计算负担，提高解密效率。方案过程包括：初始化过程Setup、加密过程Encrypt、密钥提取过程KeyGen、外包转换计算OutS