支持直接撤销的固长密文策略属性基加密方案

朱国斌，谢 鑫，张 星，赵 洋，熊 虎

(1. 电子科技大学信息与软件工程学院 成都 610054；2. 网络与数据安全四川省重点实验室 成都 610054)

随着以云存储为代表的大规模分布式存储技术的成熟与推广，具有隐私保护与访问控制功能的密码机制有了重要的应用价值[1-2]。在基于身份加密算法的基础上，文献[3]提出了属性基加密(attributebased encryption, ABE)方案。通过引入属性的概念，采用属性集替代用户身份，以实现对数据的细粒度访问。在属性基加密中，用户拥有的属性与加解密过程关联，只有当用户属性满足预定的访问结构时，用户才能够正确执行解密过程。属性基加密采用一对多的模式，将访问控制与数据加密相结合，通过用户属性的与、或、非和门限操作的组合，可以实现灵活的细粒度访问控制策略管理[4-5]。依据访问控制策略实现的方式，属性基加密算法可以被分为为两种类型：密文策略属性基加密(ciphertextpolicy ABE, CP-ABE)[6]和密钥策略属性基加密(keypolicy ABE, KP-ABE)[7]。KP-ABE 将密文与解密策略关联，CP-ABE 则将用户私钥与解密策略关联。

早期的研究工作中，多数ABE 方案主要关注对访问策略的表达与实现能力，未对用户属性撤销问题进行关注[8-11]。在实际应用中，不同用户通常拥有部分相同的属性，属性到期、属性变更、密钥泄露、用户动态加入与退出等情况往往会引发属性撤销的问题。具体地，实用的属性基加密应该在用户访问权限出现变化时，能够通过权限更新使得用户属性变化后不满足访问结构的用户无法使用旧密钥解密密文，同时不影响其他访问权限未发生变化的用户。因此，构建支持高效属性撤销的ABE 方案成为亟需解决的关键问题[12]。

1 相关工作

文献[13]首次提出用户属性撤销的概念。文献[14]采用基于身份的组播加密技术和线性秘密共享技术，提出了属性撤销的两种实现方式：间接撤销与直接撤销。间接撤销是指由可信的授权机构定期更新未撤销用户的密钥，被撤销的用户因不会收到更新而使得密钥失效。间接撤销的优势在于不需要维护撤销列表，其缺点是需要授权中心进行在线密钥更新，密钥更新的开销与用户数量线性相关，因此容易形成系统瓶颈。直接撤销由发送方在信息加密阶段将撤销用户的列表信息加入密文，从而实现对指定用户的撤销。直接撤销方案[15-17]中大部分使用了广播加密技术，开销较大。为减轻授权机构的工作量，文献[18]采用版本号标记密钥密文，同时引入代理服务器，将代理重加密技术与CP-ABE 相结合，降低了授权机构的工作量，实现了较小开销的属性撤销。文献[19]构造了一个基于中国剩余定理的可撤销CP-ABE 方案，在实现直接撤销的同时可保持固定的密文和密钥长度。上述所有支持撤销的属性基加密方案仍然存在着属性撤销开销较大的问题，具有进一步优化的空间。

本文结合中国剩余定理和多值通配与门访问策略，提出了一个支持直接撤销功能的CP-ABE 方案，该方案同时还具有密文长度和解密开销固定的特点。在给出形式化定义和安全模型后，采用双线性映射给出了方案的具体构造。形式化的安全证明和实验分析都表明本文方案是高效而安全的。

2 理论知识

2.1 中国剩余定理

以上方程组的解是唯一的：

2.2 多值通配与门

依据访问策略的不同，使用较多的是正负通配与门和多值通配与门，其中多值通配与门在相同访问策略下具有更好的灵活性，故本文选用了多值通配与门来表示访问控制结构。现假设有访问策略如表1 所示。

表1 访问策略示例

2.3 困难性问题假设

3 基于直接撤销的固长密文CP-ABE方案

3.1 方案模型

本方案中共有5 个参与者：数据访问者、数据拥有者、数据存储服务器、外包解密服务器、权威中心。具体说明如下：

1) 权威中心(trusted center, TC)：一个可信的第三方，其可以初始化系统的主公钥和主私钥，为用户生成和分发属性私钥。在用户撤销时，TC 执行撤销算法更新密文，使被撤销用户失去密文的解密权限。

2) 数据拥有者(data owner, DO)：将盲化处理后的明文发送给TC，并接收TC 加入撤销参数的返回结果，然后使用TC 生成的公钥对明文加密后发送给数据存储服务器。

3) 数据访问者(data visitor, DV)：从TC 中获取自身属性集关联的私钥，在属性集满足解密所需的访问策略时，DV 能使用私钥解密密文获得正确的明文。

4) 数据存储服务器(data storage server, DSS)：提供密文的存储服务。

5) 外包解密服务器(outsourcing decryption server, ODS)：主要协助DV 完成解密工作。方案中假定ODS 是不可信的，其计算产生的结果为中间密文，DV 需在本地执行少量计算获得明文。

本方案的工作流程可描述为：1) TC 初始化系统，DO 从TC 处获取公钥，依据访问结构和撤销参数，对明文进行加密处理，然后将密文发送给DSS 存储；2) 在数据访问过程中，DV 首先从DSS 上下载密文，并将转换密钥和密文一起发送给ODS 进行预解密操作，并接收从ODS 发回的预解密结果；3) DV 在预解密结果上执行本地解密过程，最后获取解密后的明文；4) 当需要进行用户撤销时，TC 执行撤销过程，对DSS 中涉及用户撤销的密文进行更新，完成对用户透明的撤销过程。

3.2 算法定义

3.3 方案实现

4 方案分析

4.1 安全性分析

在属性基加密方案的安全分析中，通常做法是将敌手对方案的攻击归约到具体困难问题的求解，由于这些困难问题利用现有知识无法在多项式时间内找到其对应的解，因此其对应算法是安全的。

本节将证明方案在DBDH 假设下是选择明文攻击下的不可区分性(indistinguishability under chosenplaintext attack, IND-CPA)安全的，IND-CPA 游戏模式如图1 所示。不可区分选择明文安全模型中包含两个参与方，分别是敌手和挑战者。敌手通过对挑战者发起询问，可以得到任意明文所对应的密文信息。根据已知的明文与密文的对应关系，敌手将尝试对加密系统进行破解。在之后的挑战阶段，敌手会向挑战者发送两条等长的明文，挑战者将随机选择一条明文进行加密，并将加密后的密文发送给敌手，敌手根据该密文猜测其对应明文，如果敌手能够以不可忽略的优势猜出对应明文，则称敌手在该过程中取得胜利。

图1 IND-CPA 游戏

4.2 性能分析

本节对方案的性能进行分析，如表2 所示。

表2 性能对比

本文的性能分析主要选取的指标为：1)密文长度，该指标主要反映DSS 上存储加密文件的开销；2)用户私钥的大小，该指标主要反映DV 本地存储密钥的开销；3)解密开销：该指标主要反映DV 解密密文的计算开销[26]。在考虑解密开销时，仅考虑DV 本地计算的开销，忽略方案中外包计算的开销。群G和Gt中单个成员的比特长度用|G|和|Gt|表示，n为属性域中的属性个数。在解密开销中，主要考虑双线性运算和指数运算这两类开销最大的计算次数。TGt为在群Gt上完成指数运算的时间，Te为完成双线性映射运算的时间。

文献[18]、[19]和[22]均实现了密文固长。文献[18]在实现了固长密文和密钥的同时降低了DSS 和DV 的存储开销，但其解密开销为本方案的两倍。本文方案的密文长度比文献[16]和文献[19]小，但略大于文献[22]。文献[22]通过牺牲应用的灵活性，对存储开销和计算开销都进行了优化，但优化导致该方案在应用时要求所有满足或不满足访问结构的属性均对应才能解密，因此降低了实用性。

由于本方案实现了密文固长，且密文长度只有2|G|+|Gt|，与实现了撤销功能的文献[18]、[19]、[25]和实现了外包功能的文献[20]相比，本方案有更小的密文与密钥存储开销。

如表3 所示，除了文献[20]和[22]以外，其他的文献都实现了撤销机制，而方案[18]实现了间接撤销。除了文献[18]和[22]，其他在适应性安全模型下都是安全的。而本文所提方案是支持直接撤销的CP-ABE，且方案安全性在适应性安全模型中被规约到DBDH 假设上。

在解密开销方面，本方案实现了外包计算，将方案中复杂双线性计算的部分交由外包服务器完成，DV 在本地只需进行少量运算，开销仅为2TGt，故DV 的运算开销相比于文献[18]、文献[22]、文献[24]、文献[25]和解密复杂度与撤销次数相关的文献[21]更小。

表3 各文献方案比较

此外，在具有Intel Core i5-8 400 CPU @ 2.8GHz和16 GB 内存的Windows 10 PC 的实验环境下，使用JPBC 库对性能分析中所涉及的方案通过实验模拟进一步进行分析和比较[27]。实验主要模拟了各方案的解密过程。由图2 所示，随着属性域中属性个数的增加，文献[18]、[21]、[22]、[24]以及 [25]的解密时间增加。本文所提方案、文献[19]、[20]以及[22]所提方案的解密所需时间基本保持不变，而又在这几个方案之中，本文所提出的方案具有最短的解密时间，因此具有较高的效率。

图2 解密时间比较

5结束语

本文提出了一种高效直接撤销且具有外包解密功能的属性基加密方案。该方案以中国剩余定理为基础实现了用户撤销功能，只需更新密文即可撤销用户权限，达到了可撤销存储的目的，确保了系统的前向安全性，不影响未撤销用户的私钥，满足高效、便捷的动态权限变更需求。同时，方案采用了相对更加灵活的多值通配与门构造基础方案，降低了访问策略的构造复杂度。本方案实现了密文固长，显著降低了存储开销。此外，为减少用户本地的解密开销，本方案将复杂运算安全地外包至第三方服务器，进一步降低了解密过程开销。在安全性上，本方案采用IND-CPA 安全模型，将安全性规约至DBDH 问题，完成了安全性证明。与同类方案的对比分析结果表明，本方案在灵活性和性能上有一定的优势，有良好的实用价值。