面向物聯(lián)網(wǎng)數(shù)據(jù)安全共享的屬性基加密方案

趙志遠(yuǎn) 王建華 朱智強(qiáng) 孫 磊

1(61516部隊(duì) 北京 100071) >2(戰(zhàn)略支援部隊(duì)信息工程大學(xué) 鄭州 450001)

物聯(lián)網(wǎng)(Internet of things, IoT)被人們視為繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后信息技術(shù)產(chǎn)業(yè)發(fā)展的第3次革命.依托于物聯(lián)網(wǎng)的智能家居、車(chē)聯(lián)網(wǎng)、智慧醫(yī)療、智能電網(wǎng)等快速發(fā)展，萬(wàn)物互聯(lián)的時(shí)代已經(jīng)到來(lái)[1].Statista網(wǎng)站最新統(tǒng)計(jì)數(shù)據(jù)顯示，預(yù)計(jì)2020年突破300億個(gè)互聯(lián)設(shè)備[2].

物聯(lián)網(wǎng)中不計(jì)其數(shù)的智能終端將感知的海量數(shù)據(jù)通過(guò)復(fù)雜的信息通信渠道傳送至具有龐大數(shù)據(jù)存儲(chǔ)和處理能力的數(shù)據(jù)中心，其可以抽象為“終端-傳送管道-云端”架構(gòu)，也對(duì)應(yīng)著物聯(lián)網(wǎng)架構(gòu)的3個(gè)邏輯層次：感知層、傳輸層和應(yīng)用層.由于其網(wǎng)絡(luò)泛在、全面感知、可靠傳遞、智能處理的特征要素愈發(fā)凸顯，致使物聯(lián)網(wǎng)面臨著非常嚴(yán)峻的安全挑戰(zhàn)[1].

我國(guó)中國(guó)科學(xué)院大學(xué)張玉清教授等通過(guò)對(duì)2012年至2017年上半年已發(fā)表的大量物聯(lián)網(wǎng)安全相關(guān)論文進(jìn)行系統(tǒng)研究，分析出目前物聯(lián)網(wǎng)安全急需應(yīng)對(duì)的五大安全挑戰(zhàn)之一為數(shù)據(jù)共享的隱私保護(hù)方法，總結(jié)出未來(lái)五大安全研究熱點(diǎn)之一為隱私數(shù)據(jù)保護(hù)[3].目前在不能夠完全保證數(shù)據(jù)隱私的情況下，通過(guò)密碼技術(shù)將明文數(shù)據(jù)加密上傳存儲(chǔ)在數(shù)據(jù)中心是一個(gè)行之有效的方法.

密碼學(xué)作為信息安全的基石，可以提供信息的完整性、機(jī)密性、不可抵賴(lài)性、可控性及可用性[4].屬性基加密(attribute-based encryption, ABE)[5]源于身份基加密(identity-based encryption, IBE)，其作為一種新型的公鑰加密體制，可以根據(jù)用戶(hù)屬性實(shí)現(xiàn)對(duì)數(shù)據(jù)靈活的細(xì)粒度訪問(wèn)控制，是解決當(dāng)前物聯(lián)網(wǎng)數(shù)據(jù)安全共享的關(guān)鍵支撐技術(shù)之一[6].根據(jù)訪問(wèn)結(jié)構(gòu)嵌入位置的不同，ABE分為密鑰策略屬性基加密方案(key-policy ABE, KP-ABE)[7]和密文策略屬性基加密方案(ciphertext-policy ABE, CP-ABE)[8].在KP-ABE方案中，密文和屬性集合相關(guān)聯(lián)，私鑰和訪問(wèn)結(jié)構(gòu)相關(guān)聯(lián)，當(dāng)且僅當(dāng)密文關(guān)聯(lián)的屬性集合滿(mǎn)足私鑰關(guān)聯(lián)的訪問(wèn)結(jié)構(gòu)時(shí)，用戶(hù)才能解密密文以恢復(fù)出明文消息；在CP-ABE方案中，私鑰和屬性集合相關(guān)聯(lián)，密文和訪問(wèn)結(jié)構(gòu)相關(guān)聯(lián)，當(dāng)且僅當(dāng)與私鑰關(guān)聯(lián)的屬性集合滿(mǎn)足與密文關(guān)聯(lián)的訪問(wèn)結(jié)構(gòu)時(shí)，用戶(hù)才能解密密文以恢復(fù)出明文消息.由于把訪問(wèn)策略的制定權(quán)放在了數(shù)據(jù)擁有者手中，所以CP-ABE類(lèi)似于傳統(tǒng)訪問(wèn)控制中的基于角色的訪問(wèn)控制，指定具有某些屬性的用戶(hù)可以訪問(wèn)該密文，實(shí)現(xiàn)了“一對(duì)多”的加密模式.因此，CP-ABE能夠在物聯(lián)網(wǎng)中發(fā)揮極大價(jià)值，受到學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注[9].

當(dāng)CP-ABE應(yīng)用于物聯(lián)網(wǎng)時(shí)，其主要面對(duì)2方面問(wèn)題:1)一般CP-ABE在加密數(shù)據(jù)時(shí)連同訪問(wèn)結(jié)構(gòu)一同上傳至數(shù)據(jù)中心，而訪問(wèn)結(jié)構(gòu)本身也可能是敏感的隱私信息，惡意用戶(hù)能夠根據(jù)訪問(wèn)結(jié)構(gòu)得到其感興趣的信息.例如：個(gè)人健康檔案中，訪問(wèn)結(jié)構(gòu)中可能包含用戶(hù)的身份證、家族遺傳史等信息.因此，實(shí)現(xiàn)隱藏訪問(wèn)結(jié)構(gòu)對(duì)于保護(hù)物聯(lián)網(wǎng)中隱私信息十分必要.2)物聯(lián)網(wǎng)中的智能終端往往具有有限的計(jì)算能力、存儲(chǔ)能力及能量?jī)?chǔ)備.而CP-ABE方案中加解密時(shí)間往往與訪問(wèn)結(jié)構(gòu)復(fù)雜度成線性正相關(guān)，密文及私鑰大小同樣與屬性數(shù)量成線性正相關(guān)，資源有限的智能終端難以承擔(dān)復(fù)雜計(jì)算與大量存儲(chǔ)負(fù)擔(dān).因此，實(shí)現(xiàn)密文和私鑰定長(zhǎng)且高效的CP-ABE方案對(duì)于其在物聯(lián)網(wǎng)中廣泛應(yīng)用至關(guān)重要.

針對(duì)問(wèn)題1，2008年Nishide等人[10]基于多值屬性的與門(mén)訪問(wèn)結(jié)構(gòu)提出了2種可以隱藏訪問(wèn)結(jié)構(gòu)的CP-ABE方案，能夠同時(shí)保護(hù)明文消息和訪問(wèn)結(jié)構(gòu)的隱私信息，并完成了方案的選擇性安全證明.2011年Lai等人[11]基于合數(shù)階雙線性群提出一種隱藏訪問(wèn)結(jié)構(gòu)的CP-ABE方案，其采用多值屬性與門(mén)訪問(wèn)結(jié)構(gòu)，并完成了方案的完全安全證明.2015年宋衍等人[12]基于合數(shù)階雙線性群提出一種訪問(wèn)結(jié)構(gòu)隱藏的屬性基加密方案，其采用訪問(wèn)樹(shù)作為訪問(wèn)結(jié)構(gòu)，并完成了方案的完全安全證明.同年，Xu等人[13]基于合數(shù)階群提出一種訪問(wèn)結(jié)構(gòu)隱藏的CP-ABE方案，該方案支持訪問(wèn)樹(shù)策略，并完成方案的選擇安全證明.2016年Wang等人[14]基于合數(shù)階雙線性群提出一種訪問(wèn)結(jié)構(gòu)隱藏的CP-ABE方案，該方案支持線性秘密共享方案(linear secret sharing scheme, LSSS)訪問(wèn)結(jié)構(gòu)，并基于靜態(tài)假設(shè)完成方案的選擇安全證明.

但是上述方案只實(shí)現(xiàn)了隱藏訪問(wèn)結(jié)構(gòu)，而密文及私鑰大小與訪問(wèn)結(jié)構(gòu)復(fù)雜度及屬性數(shù)量成線性正相關(guān)，加解密需要大量的計(jì)算.

針對(duì)問(wèn)題2，國(guó)內(nèi)外相關(guān)研究學(xué)者展開(kāi)大量研究工作.2007年Cheung等人[15]首次提出基于與門(mén)訪問(wèn)結(jié)構(gòu)的密文定長(zhǎng)的CP-ABE方案，但該方案只在一般群模型下討論了方案的安全性.2010年Emura等人[16]第1次提出基于支持多值屬性與門(mén)訪問(wèn)結(jié)構(gòu)的密文定長(zhǎng)的CP-ABE方案.隨后，Herranz等人[17]第1次提出基于陷門(mén)訪問(wèn)結(jié)構(gòu)的密文長(zhǎng)度恒定的CP-ABE方案，該方案訪問(wèn)結(jié)構(gòu)的表達(dá)能力要強(qiáng)于文獻(xiàn)[15].2011年Chen等人[18]提出一種支持非單調(diào)與門(mén)訪問(wèn)結(jié)構(gòu)的CP-ABE方案，該方案能夠?qū)崿F(xiàn)密文長(zhǎng)度恒定且僅需要定量計(jì)算完成解密.2012年Attrapadung等人[19]提出一種基于陷門(mén)訪問(wèn)結(jié)構(gòu)的CP-ABE方案，該方案具有較短的密文.2014年Zhang等人[20]提出一種密文長(zhǎng)度恒定的屬性基加密方案，該方案基于支持多值屬性和通配符的與門(mén)訪問(wèn)結(jié)構(gòu)，并且在隨機(jī)預(yù)言機(jī)模型下基于判定性q-BDHE假設(shè)完成安全性證明.2016年Odelu等人[21]提出一種基于素?cái)?shù)階雙線性群的CP-ABE方案，該方案能夠同時(shí)實(shí)現(xiàn)密文和用戶(hù)私鑰長(zhǎng)度恒定.2017年Teng等人[22]提出一種定長(zhǎng)密文的層次結(jié)構(gòu)CP-ABE方案，該方案解密計(jì)算也只需恒定的雙線性對(duì)操作，且該方案基于判定性q-BDHE假設(shè)實(shí)現(xiàn)了CCA2安全.

但是上述方案只考慮了計(jì)算效率問(wèn)題，沒(méi)有實(shí)現(xiàn)訪問(wèn)結(jié)構(gòu)隱藏，其在應(yīng)用于物聯(lián)網(wǎng)環(huán)境時(shí)，易通過(guò)訪問(wèn)結(jié)構(gòu)屬性信息泄露用戶(hù)隱私.

為使CP-ABE方案更好地適用于物聯(lián)網(wǎng)環(huán)境，相關(guān)學(xué)者同時(shí)針對(duì)上述2個(gè)問(wèn)題也有一定研究.2013年Rao等人[23]提出了一種匿名接收的CP-ABE方案，該方案采用與門(mén)訪問(wèn)結(jié)構(gòu)，并證明該方案是完全安全.2015年Zhou等人[24]提出一種密文長(zhǎng)度恒定且訪問(wèn)結(jié)構(gòu)隱藏的CP-ABE方案，該方案支持正負(fù)屬性及通配符的與門(mén)訪問(wèn)結(jié)構(gòu)，并完成了方案的選擇安全證明.2018年Zhang等人[25]基于合數(shù)階群提出訪問(wèn)結(jié)構(gòu)隱藏的基于屬性的密文策略廣播加密(ciphertext-policy attribute-based broadcast encryption, CP-ABBE)方案，該方案支持與門(mén)訪問(wèn)結(jié)構(gòu)，同時(shí)其密文長(zhǎng)度恒定，且完成了方案的完全安全證明.

為進(jìn)一步提高CP-ABE方案計(jì)算效率，減少用戶(hù)存儲(chǔ)負(fù)擔(dān)，使其更加適用于物聯(lián)網(wǎng)環(huán)境的數(shù)據(jù)安全共享，本文提出一種將IBE轉(zhuǎn)換為支持多值屬性與門(mén)CP-ABE的通用轉(zhuǎn)換方法，并且轉(zhuǎn)換后的CP-ABE能夠繼承IBE的特征.例如，基于接收者匿名IBE轉(zhuǎn)換的CP-ABE方案具有訪問(wèn)結(jié)構(gòu)隱藏的特性，且方案安全性與原IBE方案安全級(jí)別相同.然后基于該轉(zhuǎn)換方法將Wee[26]提出的接收者匿名IBE方案轉(zhuǎn)換為訪問(wèn)結(jié)構(gòu)隱藏的CP-ABE方案，該方案實(shí)現(xiàn)了密文、用戶(hù)私鑰、公鑰和主私鑰長(zhǎng)度恒定，且解密只需一個(gè)雙線對(duì)運(yùn)算.而后將其應(yīng)用至物聯(lián)網(wǎng)中的智慧醫(yī)療應(yīng)用場(chǎng)景，并給出應(yīng)用的系統(tǒng)模型及步驟.最后對(duì)方案進(jìn)行了理論分析與實(shí)驗(yàn)驗(yàn)證，分析和實(shí)驗(yàn)結(jié)果表明本文方案在計(jì)算效率和存儲(chǔ)負(fù)擔(dān)方面具有優(yōu)勢(shì)，同時(shí)能夠?qū)崿F(xiàn)訪問(wèn)結(jié)構(gòu)隱藏，為物聯(lián)網(wǎng)環(huán)境下的數(shù)據(jù)安全共享提供新的解決思路.

1 理論基礎(chǔ)知識(shí)

本節(jié)主要介紹文中所需的相關(guān)技術(shù)，首先給出合數(shù)階雙線性群和支持多值屬性的與門(mén)訪問(wèn)結(jié)構(gòu)，其是構(gòu)造所提方案的基礎(chǔ).本文為提高計(jì)算效率，首先用對(duì)稱(chēng)加密方案加密明文，然后基于CP-ABE方案加密對(duì)稱(chēng)密鑰，所以給出了對(duì)稱(chēng)加密方案定義.另外，本節(jié)給出了IBE和CP-ABE的定義及CP-ABE方案的CCA安全模型，以便理解IBE和CP-ABE的工作原理，更好地理解本文所提的通用轉(zhuǎn)換方案.

1.1 合數(shù)階雙線性群

雙線性群是密碼系統(tǒng)中重要的關(guān)鍵技術(shù).令ψ表示某個(gè)群生成算法，該算法以安全參數(shù)λ為輸入，輸出參數(shù)p1,p2,p3,G,GT,e，其中p1,p2,p3表示3個(gè)不同的大素?cái)?shù)，G和GT表示2個(gè)N=p1p2p3階循環(huán)群，e:G×G→GT表示一個(gè)滿(mǎn)足下列條件的雙線性映射.

1) 雙線性.對(duì)于任意的u,v∈G和a,b∈ZN，等式e(ua,vb)=e(u,v)ab成立.

2) 非退化性.?g∈G使得e(g,g)在GT中的階為N.

3) 可計(jì)算性.對(duì)于?u,v∈G，可以在多項(xiàng)式時(shí)間內(nèi)有效計(jì)算e(u,v).

假設(shè)Gp1，Gp2，Gp3分別表示群G中階為p1，p2，p3的子群.若hi∈Gpi，hj∈Gpj且i≠j，那么可以得出e(hi,hj)=1.

為了驗(yàn)證上述結(jié)果，假設(shè)h1∈Gp1，h2∈Gp2.令g∈G為生成元，那么可以得出gp1p2生成群Gp3，gp1p3生成群Gp2，gp2p3生成群Gp1.因此，對(duì)于參數(shù)α1與α2，可以得出h1=(gp2p3)α1，h2=(gp1p3)α2.最后計(jì)算e(h1,h2)=e((gp2p3)α1,(gp1p3)α2)=e(gα1p3,gα2)p1p2p3=1.

1.2 訪問(wèn)結(jié)構(gòu)

CP-ABE方案中，加密者為密文指定一個(gè)訪問(wèn)結(jié)構(gòu)，若解密者擁有關(guān)聯(lián)私鑰的屬性集合滿(mǎn)足關(guān)聯(lián)密文的訪問(wèn)結(jié)構(gòu)，則解密者能夠正確解密密文.本文采用一種支持多值屬性與門(mén)的訪問(wèn)結(jié)構(gòu)[16].假設(shè)系統(tǒng)中共有n個(gè)屬性，則該屬性集合為U={att1,att2,…,attn}；每個(gè)屬性atti能擁有多個(gè)屬性值Vi={vi,1,vi,2,…,vi,ni}，即ni=|Vi|.假設(shè)解密者擁有屬性集合S={L1,L2,…,Ln}，Li∈Vi，加密者定義訪問(wèn)結(jié)構(gòu)A={W1,W2,…,Wn}，Wi∈Vi.對(duì)于滿(mǎn)足1≤i≤n的i，若Li=Wi，則S滿(mǎn)足A，即SA；否則S不滿(mǎn)足A，即S|≠A.對(duì)于每一個(gè)屬性atti，數(shù)據(jù)擁有者必須從Vi={vi,1,vi,2,…,vi,ni}中選取1個(gè)值vi,*.

1.3 相關(guān)加密方案定義

1.3.1 對(duì)稱(chēng)加密方案

具有密鑰空間K={0,1}lSE的對(duì)稱(chēng)加密算法SE=(SE.Enc,SE.Dec)包含2個(gè)多項(xiàng)式時(shí)間算法.

1)SE.Enc(K,M).該算法以加密密鑰K∈K和明文M∈M作為輸入，輸出密文C.

2)SE.Dec(K,C).該算法以解密密鑰K和密文C作為輸入，輸出明文M.

敵手A攻破該算法的優(yōu)勢(shì)可以表述為

AdvA(λ)

(1)

若任何多項(xiàng)式時(shí)間敵手A的優(yōu)勢(shì)AdvA(λ)是可忽略的，那么一次對(duì)稱(chēng)加密方案是語(yǔ)義安全的.

1.3.2 IBE定義

IBE方案包含4個(gè)多項(xiàng)式時(shí)間算法.

1)Setup(1λ)→{PK,MSK}.權(quán)威機(jī)構(gòu)執(zhí)行該算法.該算法以安全參數(shù)λ作為輸入，輸出公共參數(shù)PK和主私鑰MSK.

2)KeyGen(PK,MSK,ID)→SK.權(quán)威機(jī)構(gòu)執(zhí)行該算法.該算法以用戶(hù)身份ID∈{0,1}*、主私鑰MSK和公共參數(shù)PK作為輸入，輸出解密密鑰SK.

3)Encrypt(PK,ID,M)→CT.加密者執(zhí)行該算法.該算法以明文消息M、用戶(hù)身份ID∈{0,1}*和公共參數(shù)PK作為輸入，輸出密文CT.

4)Decrypt(PK,CT,SK)→M.解密者執(zhí)行該算法.該算法以密文CT、解密密鑰SK和公共參數(shù)PK作為輸入.如果IDSK=IDCT，則可以解密成功，獲得明文消息M，否則算法終止.

1.3.3 CP-ABE定義

CP-ABE方案包含4個(gè)多項(xiàng)式時(shí)間算法.

1)Setup(1λ)→{PK,MSK}.屬性授權(quán)機(jī)構(gòu)執(zhí)行該算法.該算法以安全參數(shù)λ作為輸入，輸出系統(tǒng)公鑰PK和主私鑰MSK.

2)KeyGen(PK,MSK,S)→SK.屬性授權(quán)機(jī)構(gòu)執(zhí)行該算法.該算法以屬性集合S、主私鑰MSK和系統(tǒng)公鑰PK作為輸入，輸出用戶(hù)私鑰SK.

3)Encrypt(PK,A,M)→CT.數(shù)據(jù)擁有者執(zhí)行該算法.該算法以明文消息M、訪問(wèn)結(jié)構(gòu)A和系統(tǒng)公鑰PK作為輸入，輸出密文CT.

注：為提高計(jì)算效率，數(shù)據(jù)擁有者可以先用對(duì)稱(chēng)密鑰K加密數(shù)據(jù)M，然后數(shù)據(jù)擁有者指定一個(gè)基于屬性的訪問(wèn)結(jié)構(gòu)A用于加密對(duì)稱(chēng)密鑰K.

4)Decrypt(PK,CT,SK)→M.數(shù)據(jù)用戶(hù)執(zhí)行該算法.該算法以密文CT(基于訪問(wèn)結(jié)構(gòu)A)、解密密鑰SK(基于屬性集合S)和系統(tǒng)公鑰PK作為輸入.如果S滿(mǎn)足A，則可以解密成功，獲得明文消息M，否則算法終止.

1.4 CP-ABE方案的CCA安全模型

通過(guò)仿真者B和敵手A之間的博弈游戲描述訪問(wèn)結(jié)構(gòu)隱藏CP-ABE方案的CCA(choose ciphertext attack)安全，具體過(guò)程如下:

系統(tǒng)建立.仿真者B運(yùn)行Setup算法獲得系統(tǒng)公鑰PK和系統(tǒng)主私鑰MSK，然后將PK發(fā)送給敵手A，自己保留主私鑰MSK.

詢(xún)問(wèn)階段1. 敵手A可以適應(yīng)性進(jìn)行下列私鑰詢(xún)問(wèn)和密文的解密詢(xún)問(wèn).

1) 私鑰詢(xún)問(wèn).敵手A將屬性集合Si發(fā)送給仿真者B，然后B將關(guān)聯(lián)Si的私鑰SKSi返回給A；

2) 解密詢(xún)問(wèn).敵手A將密文CTi和屬性集合Si發(fā)送給仿真者B，然后B將明文Mi返回給A.

詢(xún)問(wèn)階段2. 類(lèi)似詢(xún)問(wèn)階段1，A繼續(xù)向B詢(xún)問(wèn).但不能詢(xún)問(wèn)滿(mǎn)足挑戰(zhàn)訪問(wèn)結(jié)構(gòu)的屬性集合，也不能夠詢(xún)問(wèn)挑戰(zhàn)密文.

猜測(cè)階段.敵手A輸出一個(gè)值b′∈{0,1}作為對(duì)b的猜測(cè).如果b′=b，我們稱(chēng)A贏得了該游戲.敵手A在該游戲中的優(yōu)勢(shì)定義為

AdvA=|Pr[b′=b]-12|.

定義1.若無(wú)多項(xiàng)式時(shí)間敵手以不可忽略的優(yōu)勢(shì)來(lái)攻破上述安全模型，那么訪問(wèn)結(jié)構(gòu)隱藏的CP-ABE方案是CCA安全.

2 通用轉(zhuǎn)換方法

1.3.2節(jié)和1.3.3節(jié)分別詳細(xì)介紹了IBE和CP-ABE的形式化定義，基于這些定義，本節(jié)首先討論ABE和IBE的關(guān)系，給出一種將IBE轉(zhuǎn)換為支持多值屬性與門(mén)CP-ABE的通用轉(zhuǎn)換方法，并且轉(zhuǎn)換后的CP-ABE能夠繼承IBE的特征.例如，基于接收者匿名IBE轉(zhuǎn)換的CP-ABE方案具有訪問(wèn)結(jié)構(gòu)隱藏的特性.然后給出基于IBE轉(zhuǎn)換為CP-ABE的理論方案.最后給出轉(zhuǎn)換方案的安全性證明.

2.1 訪問(wèn)結(jié)構(gòu)與身份的轉(zhuǎn)換算法

參考多值屬性與門(mén)訪問(wèn)結(jié)構(gòu)的定義，假設(shè)系統(tǒng)共有n個(gè)屬性名U={att1,att2,…,attn}，每個(gè)屬性名有ni=|Vi|個(gè)屬性值Vi={vi,1,vi,2,…,vi,ni}.然后定義一個(gè)正整數(shù)k，將每個(gè)屬性值轉(zhuǎn)換為一個(gè)k位的二進(jìn)制串.因此可以得到ni≤2k，即每個(gè)屬性名最多有2k個(gè)屬性值.假設(shè)轉(zhuǎn)換成身份ID具有|U|位，則可以得到nk=|U|.當(dāng)給一個(gè)訪問(wèn)結(jié)構(gòu)A={W1,W2,…,Wn}時(shí)，對(duì)于每一個(gè)Wj∈A，通過(guò)二進(jìn)制編碼將Wj轉(zhuǎn)換為相應(yīng)的k位二進(jìn)制串bitj，并且這種轉(zhuǎn)換是一一對(duì)應(yīng)的.具體轉(zhuǎn)換算法如算法1所示.具體實(shí)施例將在3.4節(jié)給出.

算法1.屬性到身份的轉(zhuǎn)換算法.

輸入：訪問(wèn)結(jié)構(gòu)A={W1,W2,…,Wn}，整數(shù)k≥1，集合U,其中nk=|U|；

輸出：用戶(hù)身份IDA.

① 令I(lǐng)DA[i]是IDA的第i位；

② 令I(lǐng)DA[i,i-1,…,i-k+1]是IDA的第i至i-k+1位；

③ 令Wj是A={W1,W2,…,Wn}的第j個(gè)屬性；

④ forj=1 tondo

⑤i=j×k；

⑥IDA[i,i-1,…,i-k+1]=bitj；

的第k位相關(guān)聯(lián)*

⑦ end for

⑧ returnIDA.

2.2 基于IBE的CP-ABE方案

假設(shè)一個(gè)身份加密方案IBE有4個(gè)多項(xiàng)式算法：IBE.Setup，IBE.KeyGen，IBE.Encrypt，IBE.Decrypt，然后通過(guò)下述過(guò)程構(gòu)建CP-ABE方案.

1)Setup(1λ)→{PK,MSK}.該算法以安全參數(shù)λ作為輸入，然后運(yùn)行

IBE.Setup(1λ)→{IBE.PK,IBE.MSK}.

(2)

最后輸出系統(tǒng)公鑰PK=IBE.PK和系統(tǒng)主私鑰MSK=IBE.MSK.

2)KeyGen(PK,MSK,S)→SK.該算法以屬性集合S、主私鑰MSK和系統(tǒng)公鑰PK作為輸入.然后該算法調(diào)用算法1將屬性集合S轉(zhuǎn)換為身份IDS∈{0，1}|U|，并運(yùn)行

IBE.KeyGen(PK,MSK,IDS)→IBE.SK.

(3)

最后輸出用戶(hù)私鑰SK=IBE.SK.

3)Encrypt(PK,A,M)→CT.該算法以明文消息M、訪問(wèn)結(jié)構(gòu)A和系統(tǒng)公鑰PK作為輸入.然后該算法調(diào)用算法1將訪問(wèn)結(jié)構(gòu)A轉(zhuǎn)換為身份IDA∈{0，1}|U|，并運(yùn)行

IBE.Encrypt(PK,IDA,M)→IBE.CT.

(4)

最后輸出密文CT=IBE.CT.

注：為提高計(jì)算效率，數(shù)據(jù)擁有者可以先用對(duì)稱(chēng)密鑰K加密數(shù)據(jù)M，然后數(shù)據(jù)擁有者指定一個(gè)基于屬性的訪問(wèn)結(jié)構(gòu)A用于加密對(duì)稱(chēng)密鑰K.

4)Decrypt(PK,CT,SK)→M.該算法以密文CT(基于訪問(wèn)結(jié)構(gòu)A)、解密密鑰SK(基于屬性集合S)和系統(tǒng)公鑰PK作為輸入.然后運(yùn)行

IBE.Decrypt(PK,CT,SK)→IBE.M.

(5)

如果S滿(mǎn)足A，則可以解密成功，獲得明文消息M=IBE.M；否則算法終止.

2.3 安全證明

定理1.若底層匿名IBE方案是CCA安全，那么通過(guò)IBE轉(zhuǎn)換獲得的訪問(wèn)結(jié)構(gòu)隱藏的CP-ABE方案是CCA安全.

證明. 假設(shè)敵手A能夠以不可忽略的優(yōu)勢(shì)攻破訪問(wèn)結(jié)構(gòu)隱藏的CP-ABE方案，那么我們能夠構(gòu)造仿真者B以不可忽略的優(yōu)勢(shì)攻破底層匿名IBE方案.B是IBE的挑戰(zhàn)者.安全證明的具體思路如圖1所示：

Fig. 1 Schematic diagram of proof圖1 安全證明示意圖

挑戰(zhàn)者C、仿真者B與敵手A的交互過(guò)程為：

系統(tǒng)建立.仿真者B與挑戰(zhàn)者C交互獲得系統(tǒng)公鑰PK，然后仿真者B將PK發(fā)送給A.

詢(xún)問(wèn)階段1. 敵手A可以適應(yīng)性進(jìn)行下列私鑰詢(xún)問(wèn)和密文的解密詢(xún)問(wèn).

1) 私鑰詢(xún)問(wèn).敵手A將屬性集合Si發(fā)送給仿真者B，然后B調(diào)用算法1將Si轉(zhuǎn)換為身份IDi并將IDi發(fā)送給挑戰(zhàn)者C進(jìn)行私鑰詢(xún)問(wèn)，B接收到C的私鑰SKIDi后，將其發(fā)送給敵手A.

2) 解密詢(xún)問(wèn).敵手A將密文CTi和屬性集合Si發(fā)送給仿真者B，然后B調(diào)用算法1將Si轉(zhuǎn)換為身份IDi并將CTi和IDi發(fā)送給挑戰(zhàn)者C進(jìn)行解密詢(xún)問(wèn).B接收到C返回的明文Mi后，將其發(fā)送給A.

詢(xún)問(wèn)階段2. 類(lèi)似詢(xún)問(wèn)階段1，A繼續(xù)向B詢(xún)問(wèn).但不能詢(xún)問(wèn)滿(mǎn)足挑戰(zhàn)訪問(wèn)結(jié)構(gòu)的屬性集合，也不能夠詢(xún)問(wèn)挑戰(zhàn)密文.

猜測(cè)階段. 敵手A輸出一個(gè)值b′∈{0,1}作為對(duì)b的猜測(cè).

若b′=b，則敵手A贏得了該游戲，即攻破了本文訪問(wèn)結(jié)構(gòu)隱藏CP-ABE方案.然后，仿真者B同樣輸出b′∈{0,1}作為對(duì)挑戰(zhàn)者C的猜測(cè)，b′一定滿(mǎn)足b′=b，仿真者B攻破了底層匿名IBE方案.因此，若底層匿名IBE方案是CCA安全，那么通過(guò)IBE轉(zhuǎn)換獲得的訪問(wèn)結(jié)構(gòu)隱藏的CP-ABE方案是CCA安全.

證畢.

3 EHAS-CP-ABE方案構(gòu)造及應(yīng)用

本節(jié)通過(guò)第2節(jié)的通用轉(zhuǎn)換方法將Wee[26]的IBE方案轉(zhuǎn)換為具有隱藏訪問(wèn)結(jié)構(gòu)的高效密文策略屬性基加密(efficient ciphertext-policy attribute-based encryption with hidden access structure, EHAS-CP-ABE)方案，即本節(jié)提出一種高效安全的CP-ABE方案.該方案具有隱藏訪問(wèn)結(jié)構(gòu)，密文、用戶(hù)私鑰、系統(tǒng)公鑰和主私鑰長(zhǎng)度恒定以及快速解密等優(yōu)點(diǎn).首先本節(jié)給出所提方案的系統(tǒng)理論模型，然后基于IBE方案給出方案的具體理論構(gòu)造及安全證明，最后給出該方案應(yīng)用于個(gè)人健康檔案管理系統(tǒng)的實(shí)例.

3.1 EHAS-CP-ABE系統(tǒng)模型

本文提出一種支持訪問(wèn)結(jié)構(gòu)隱藏的高效密文策略屬性基加密方案EHAS-CP-ABE，為物聯(lián)網(wǎng)中數(shù)據(jù)共享的隱私保護(hù)提供理論支撐.其系統(tǒng)模型包括屬性授權(quán)機(jī)構(gòu)(attribute authority, AA)、云服務(wù)商(cloud service provider, CSP)、數(shù)據(jù)擁有者(data owner, DO)和數(shù)據(jù)用戶(hù)(data user, DU)四部分.

1) 屬性授權(quán)機(jī)構(gòu).屬性授權(quán)機(jī)構(gòu)是一個(gè)完全可信的權(quán)威機(jī)構(gòu)，其主要負(fù)責(zé)生成系統(tǒng)公鑰和系統(tǒng)主私鑰，同時(shí)其管控屬性密鑰分發(fā)等工作.

2) 云服務(wù)商.云服務(wù)商主要是指第三方云存儲(chǔ)提供商.數(shù)據(jù)擁有者將加密的數(shù)據(jù)上傳至云服務(wù)商，減少其存儲(chǔ)負(fù)擔(dān).假設(shè)云服務(wù)商是誠(chéng)實(shí)并好奇的(honest but curious)，即云服務(wù)商會(huì)誠(chéng)實(shí)地提供服務(wù)，但其也會(huì)窺探存儲(chǔ)數(shù)據(jù)中的隱私.

3) 數(shù)據(jù)擁有者.數(shù)據(jù)擁有者在將數(shù)據(jù)上傳至云服務(wù)商之前需要用對(duì)稱(chēng)密鑰K加密數(shù)據(jù).然后數(shù)據(jù)擁有者指定一個(gè)基于屬性的訪問(wèn)結(jié)構(gòu)用于加密對(duì)稱(chēng)密鑰K.只有當(dāng)數(shù)據(jù)用戶(hù)的屬性集合滿(mǎn)足訪問(wèn)結(jié)構(gòu)時(shí)，才能正確解密密鑰密文獲得K，然后用對(duì)稱(chēng)密鑰K解密內(nèi)容密文獲得最終明文.

4) 數(shù)據(jù)用戶(hù).數(shù)據(jù)用戶(hù)即數(shù)據(jù)的訪問(wèn)者，能夠自由地訪問(wèn)云中的密文數(shù)據(jù)資源.屬性授權(quán)機(jī)構(gòu)根據(jù)其屬性為其生成私鑰用于解密密鑰密文.

EHAS-CP-ABE系統(tǒng)的結(jié)構(gòu)示意圖如圖2所示：

Fig. 2 Schematic diagram of CP-ABE圖2 CP-ABE結(jié)構(gòu)示意圖

3.2 方案構(gòu)造

通過(guò)第2節(jié)的通用轉(zhuǎn)換方法，基于Wee[26]的IBE方案提出EHAS-CP-ABE方案.由于Wee[26]的IBE方案的密文、用戶(hù)私鑰、公鑰和主私鑰定長(zhǎng)，且解密只需一個(gè)雙線對(duì)運(yùn)算，所以本文所提EHAS-CP-ABE方案也具有這些性質(zhì).所提方案包含4個(gè)多項(xiàng)式時(shí)間算法.

4)Decrypt(PK,CT,SK)→M.數(shù)據(jù)用戶(hù)執(zhí)行該算法.該算法以密文CT(基于訪問(wèn)結(jié)構(gòu)A)、解密密鑰SK(基于屬性集合S)和PK作為輸入.首先運(yùn)行Wee.IBE.Decrypt(PK,CT,SK)，若S滿(mǎn)足A，則可以獲得IDS=IDA，然后可以計(jì)算并獲得K=H(e(C1,SK))=H(e(g1,u)s)，調(diào)用對(duì)稱(chēng)解密算法計(jì)算M=SE.Dec(K,C)，最終獲得明文消息M.

3.3 安全證明

定理2.若Wee[26]的IBE方案具有接收者匿名特性且是完全CCA安全，那么本文所提EHAS-CP-ABE方案是訪問(wèn)結(jié)構(gòu)隱藏且完全CCA安全.

證明. 本文所提EHAS-CP-ABE方案是在Wee[26]的IBE方案基礎(chǔ)上通過(guò)第2節(jié)通用轉(zhuǎn)換方法獲得.所以EHAS-CP-ABE方案的安全性滿(mǎn)足定理1.又因?yàn)閃ee[26]的IBE方案是完全CCA安全且接收者匿名，所以本文所提EHAS-CP-ABE方案也是完全CCA安全且訪問(wèn)結(jié)構(gòu)隱藏的.

證畢.

3.4 個(gè)人健康檔案中的應(yīng)用

物聯(lián)網(wǎng)中的智慧醫(yī)療受到學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注，通過(guò)可穿戴設(shè)備收集個(gè)人健康記錄同時(shí)基于醫(yī)院等信息構(gòu)建一個(gè)醫(yī)療信息集成平臺(tái)，從而解決醫(yī)療信息孤島問(wèn)題[27].個(gè)人健康檔案(personal health record, PHR)是智慧醫(yī)療的核心基礎(chǔ)數(shù)據(jù)，我國(guó)也于2009年計(jì)劃在每個(gè)區(qū)市建立規(guī)范統(tǒng)一標(biāo)準(zhǔn)的居民健康檔案.

由于個(gè)人健康檔案涉及用戶(hù)非常多的個(gè)人隱私信息，同時(shí)又要將這些數(shù)據(jù)安全共享給相關(guān)醫(yī)生和親戚朋友，所以數(shù)據(jù)和相關(guān)設(shè)備的安全至關(guān)重要，尤其是如何實(shí)現(xiàn)以病人為中心的數(shù)據(jù)的細(xì)粒度訪問(wèn)控制.

而屬性基加密方案通過(guò)定義訪問(wèn)結(jié)構(gòu)能夠天然地實(shí)現(xiàn)“一對(duì)多”的細(xì)粒度訪問(wèn)控制，所以將其應(yīng)用在個(gè)人健康檔案的細(xì)粒度訪問(wèn)控制受到許多學(xué)者關(guān)注.通過(guò)研究相關(guān)文獻(xiàn)，目前屬性基加密方案應(yīng)用在個(gè)人健康記錄中，由于屬性信息也可能泄露用戶(hù)隱私信息，所以實(shí)現(xiàn)訪問(wèn)結(jié)構(gòu)隱藏的屬性基加密方案是研究重點(diǎn)；另外，隨著移動(dòng)網(wǎng)絡(luò)和智能設(shè)備的發(fā)展，尤其是可穿戴設(shè)備的大量應(yīng)用，減少設(shè)備的存儲(chǔ)成本和計(jì)算成本至關(guān)重要，因此設(shè)計(jì)密文、用戶(hù)私鑰、系統(tǒng)公鑰和主私鑰長(zhǎng)度恒定，計(jì)算效率高的屬性基加密方案是另一個(gè)研究熱點(diǎn).

本文通過(guò)通用轉(zhuǎn)換方法獲得的CP-ABE方案能夠繼承原IBE方案的性質(zhì)，通過(guò)轉(zhuǎn)換Wee[26]的IBE方案，EHAS-CP-ABE方案實(shí)現(xiàn)了訪問(wèn)結(jié)構(gòu)隱藏，密文、用戶(hù)私鑰、系統(tǒng)公鑰和主私鑰定長(zhǎng)，且解密只需一個(gè)雙線對(duì)運(yùn)算.所以其非常適用于個(gè)人健康檔案的加密共享.下面給出一個(gè)具體應(yīng)用實(shí)例.

根據(jù)Zhou等人[28]意見(jiàn)，將一個(gè)小區(qū)或區(qū)市的病人組成一個(gè)群體，然后該群體擁有一個(gè)屬性授權(quán)機(jī)構(gòu)，其系統(tǒng)模型如圖3所示：

Fig. 3 System model of personal health record圖3 個(gè)人健康檔案系統(tǒng)模型

屬性授權(quán)機(jī)構(gòu)保持個(gè)人健康檔案的屬性名和屬性值結(jié)構(gòu)，如圖4所示：

Fig. 4 Attribute structure of personal health record圖4 個(gè)人健康檔案屬性結(jié)構(gòu)

通過(guò)算法1給出一個(gè)具體轉(zhuǎn)換實(shí)例.假設(shè)k=8，n=5，|Unk=40.給出一個(gè)實(shí)際訪問(wèn)結(jié)構(gòu)A=[PatientName:126Xu,Age:62,MedicalHistory:86Prescriptions,Hospital:72HospitalK,Department:42Central Sterile Services Department]，則通過(guò)算法1將每一個(gè)屬性名對(duì)應(yīng)的屬性值轉(zhuǎn)換成相應(yīng)的二進(jìn)制數(shù)值，如PatientName:126Xu轉(zhuǎn)換成二進(jìn)制數(shù)為11111110.以此類(lèi)推，將所有屬性名對(duì)應(yīng)的二進(jìn)制數(shù)連接在一起，即可獲得轉(zhuǎn)換結(jié)果：

因此只有擁有屬性集合S={PatientName:126Xu,Age:62,MedicalHistory:86Prescriptions,Hospital:72HospitalK,Department:42Central Sterile Services Department}的用戶(hù)才能通過(guò)算法1轉(zhuǎn)換S獲得：

因?yàn)镾A，所以IDA=IDS.最終用戶(hù)才能正確解密獲得明文數(shù)據(jù).

通過(guò)EHAS-CP-ABE方案實(shí)現(xiàn)PHR的細(xì)粒度訪問(wèn)控制具體實(shí)施有4個(gè)階段.

1) 系統(tǒng)初始化階段.AA首先運(yùn)行Setup算法獲得系統(tǒng)公鑰PK和主私鑰MSK，將PK公布于該小區(qū)用戶(hù)，自己保留MSK.

2) 數(shù)據(jù)加密階段.病人Alice定義訪問(wèn)結(jié)構(gòu)A后，運(yùn)行Encrypt算法獲得PHR的密文CT，然后將CT上傳至PHR Storage.

3) 私鑰生成階段.醫(yī)生Bob想要訪問(wèn)Alice的PHR，其首先提交一個(gè)屬性集合S至AA，然后AA驗(yàn)證屬性集合的合法性，最后運(yùn)行KeyGen為Bob生成其私鑰SK.

4) 數(shù)據(jù)解密階段.Bob從PHR Storage下載密文后，用私鑰解密密文，最后獲得明文數(shù)據(jù)M.

因?yàn)镋HAS-CP-ABE方案是訪問(wèn)結(jié)構(gòu)隱藏的，所以屬性信息不會(huì)泄露用戶(hù)的隱私；而明文數(shù)據(jù)通過(guò)算法本身完成數(shù)據(jù)加密實(shí)現(xiàn)信息隱藏；病人Alice通過(guò)自己定義的訪問(wèn)結(jié)構(gòu)A完成加密，只有擁有滿(mǎn)足A的屬性集合的用戶(hù)才能完成解密，讀取明文，實(shí)現(xiàn)了數(shù)據(jù)的細(xì)粒度訪問(wèn)共享.

4 方案分析及實(shí)驗(yàn)驗(yàn)證

4.1 理論分析

本節(jié)主要在安全性及各種參數(shù)大小方面將本文方案與已有5種隱藏訪問(wèn)結(jié)構(gòu)方案進(jìn)行對(duì)比.對(duì)比過(guò)程中所使用描述符定義為：|N|表示ZN中數(shù)據(jù)元素的長(zhǎng)度；|g|表示G中數(shù)據(jù)元素的長(zhǎng)度；|gT|表示GT中數(shù)據(jù)元素的長(zhǎng)度；h表示文獻(xiàn)[25]方案中的用戶(hù)總數(shù)；l表示訪問(wèn)矩陣M的行數(shù)，Y表示訪問(wèn)樹(shù)T的葉子節(jié)點(diǎn)數(shù)，α表示訪問(wèn)樹(shù)T的末端內(nèi)部節(jié)點(diǎn)數(shù)，n表示與門(mén)中屬性的數(shù)量，ni表示支持多值屬性與門(mén)中每個(gè)屬性取值的總數(shù).為簡(jiǎn)單起見(jiàn)，l，Y，n統(tǒng)一用n表示，同時(shí)假設(shè)用戶(hù)私鑰關(guān)聯(lián)的屬性個(gè)數(shù)也為n.

不同隱藏訪問(wèn)結(jié)構(gòu)方案在安全性及相關(guān)參數(shù)大小方面的對(duì)比情況如表1所示.

從表1的參數(shù)大小(parameter size)列可以看出，本文方案的公鑰、主私鑰、私鑰及密文都達(dá)到了恒定長(zhǎng)度，與訪問(wèn)結(jié)構(gòu)復(fù)雜度及屬性集合數(shù)量無(wú)關(guān).文獻(xiàn)[14]的主私鑰為|g|；文獻(xiàn)[24]的主私鑰為2|N|，同時(shí)其密文實(shí)現(xiàn)恒定長(zhǎng)度為2|g|+|gT|.文獻(xiàn)[25]的密文實(shí)現(xiàn)恒定長(zhǎng)度為3|g|+|gT|，私鑰長(zhǎng)度與廣播集合中用戶(hù)總數(shù)成線性正相關(guān)，為(h+2)|g|.其他方案都與訪問(wèn)結(jié)構(gòu)復(fù)雜度及屬性數(shù)量成線性正相關(guān).系統(tǒng)中各系統(tǒng)模塊的存儲(chǔ)負(fù)擔(dān)及相互之間的通信負(fù)載正是與這些參數(shù)大小密切相關(guān)，所以本文方案各個(gè)系統(tǒng)模塊的存儲(chǔ)負(fù)擔(dān)及相互之間的通信負(fù)載非常小，更加適用于具有大量資源有限的智能感知終端的物聯(lián)網(wǎng)環(huán)境.

Table 1 Comparison of Different Hidden Access Structure Schemes表1 不同隱藏訪問(wèn)結(jié)構(gòu)方案對(duì)比

4.2 實(shí)驗(yàn)分析

通過(guò)理論分析，本文方案在安全性和參數(shù)長(zhǎng)度方面具有優(yōu)勢(shì).為進(jìn)一步評(píng)估本文方案的實(shí)際性能，通過(guò)下面實(shí)驗(yàn)測(cè)試了本文方案和相關(guān)方案在系統(tǒng)建立、私鑰生成、數(shù)據(jù)加密和數(shù)據(jù)解密方面的計(jì)算時(shí)間.

1) 實(shí)驗(yàn)環(huán)境.64 b Ubuntu 14.04操作系統(tǒng)、Intel?CoreTMi5-6200U(2.3 GHz)、內(nèi)存4 GB，實(shí)驗(yàn)代碼基于PBC-0.5.14[30]與cpabe-0.11[31]進(jìn)行修改與編寫(xiě)，并且使用基于512 b有限域上的超奇異曲線y2=x3+x中的160 b橢圓曲線群.

2) 實(shí)驗(yàn)設(shè)置.在CP-ABE方案中，訪問(wèn)策略的復(fù)雜程度影響加密和解密時(shí)間.為了說(shuō)明這一點(diǎn)，本文用(S1ANDS2AND … ANDSn)形式的訪問(wèn)策略模擬最復(fù)雜的情況，其中每個(gè)Si都是一個(gè)屬性.這種方法保證了所有密文組件都參與解密計(jì)算.同時(shí)假設(shè)文獻(xiàn)[12]中的α=1；文獻(xiàn)[25]中的h=10；多值屬性與門(mén)中ni=4.本文以這種形式屬性數(shù)量每次遞增10，從10增加到100產(chǎn)生10種不同的訪問(wèn)策略.對(duì)于每個(gè)訪問(wèn)策略，重復(fù)20次實(shí)驗(yàn)且每次實(shí)驗(yàn)完全獨(dú)立，然后取平均值作為實(shí)驗(yàn)結(jié)果.不同方案各階段仿真時(shí)間對(duì)比情況如圖5所示：

Fig. 5 Comparison of simulation time圖5 仿真時(shí)間對(duì)比

如圖5(b)所示，密鑰生成時(shí)間與用戶(hù)屬性集合大小成線性增長(zhǎng)關(guān)系.該階段文獻(xiàn)[24]的執(zhí)行時(shí)間遠(yuǎn)遠(yuǎn)超過(guò)其他方案，這是因?yàn)樵摲桨冈诿荑€生成階段需要為用戶(hù)屬性集合中的每個(gè)屬性計(jì)算2個(gè)私鑰組件.文獻(xiàn)[12-14]方案的私鑰生成時(shí)間整體相當(dāng)，小于文獻(xiàn)[24]，但依然與用戶(hù)屬性集合大小成線性正相關(guān).文獻(xiàn)[25]方案的私鑰生成時(shí)間與廣播集合中用戶(hù)數(shù)量成線性正相關(guān)，因?yàn)楸疚募僭O(shè)用戶(hù)數(shù)量h=10，所以其私鑰生成時(shí)間恒定.而本文方案只需1個(gè)G中的指數(shù)運(yùn)算即可.

如圖5(c)所示，加密時(shí)間與訪問(wèn)結(jié)構(gòu)中的屬性數(shù)量成線性增長(zhǎng)關(guān)系.因?yàn)樵诩用茈A段，文獻(xiàn)[12-14]需要為每個(gè)屬性計(jì)算密文組件，所以它們的加密時(shí)間與訪問(wèn)結(jié)構(gòu)復(fù)雜度成線性正相關(guān).而文獻(xiàn)[24-25]和本文方案只需定量計(jì)算即可完成數(shù)據(jù)加密，與訪問(wèn)結(jié)構(gòu)復(fù)雜度無(wú)關(guān).

如圖5(d)所示，解密時(shí)間與解密所需屬性數(shù)量成線性增長(zhǎng)關(guān)系.文獻(xiàn)[12-14,24]方案的解密時(shí)間都隨著解密所需屬性數(shù)量的增長(zhǎng)而增長(zhǎng)，且文獻(xiàn)[14]大概是其他3種方案的2倍.文獻(xiàn)[25]方案解密階段只需4個(gè)雙線對(duì)操作，本文方案解密階段只需1個(gè)雙線對(duì)操作和1次雜湊運(yùn)算，然后用獲得的解密密鑰最終解密密文，整個(gè)過(guò)程中解密時(shí)間與屬性數(shù)量無(wú)關(guān).

綜合分析，本文方案在各個(gè)階段的計(jì)算時(shí)間都與屬性數(shù)量無(wú)關(guān)，達(dá)到了常數(shù)級(jí)別.而系統(tǒng)公鑰、主私鑰、用戶(hù)密鑰及密文長(zhǎng)度同樣與屬性數(shù)量無(wú)關(guān)，實(shí)現(xiàn)定長(zhǎng).方案在實(shí)現(xiàn)隱藏訪問(wèn)結(jié)構(gòu)的同時(shí)，其安全性較其他方案更高.所以，本文方案更加適用于計(jì)算、存儲(chǔ)及能量資源有限的智能感知終端，為物聯(lián)網(wǎng)環(huán)境中數(shù)據(jù)安全共享提供新的解決思路.

5 結(jié)束語(yǔ)

物聯(lián)網(wǎng)的迅速發(fā)展使其融入至每一個(gè)人的生活中，但數(shù)據(jù)共享的隱私保護(hù)依然是制約物聯(lián)網(wǎng)發(fā)展的一個(gè)重要因素.因此，本文提出一種基于屬性密碼方案的物聯(lián)網(wǎng)數(shù)據(jù)安全共享方法.本文首先提出一種將IBE轉(zhuǎn)換為支持多值屬性與門(mén)CP-ABE的通用轉(zhuǎn)換方法，并且轉(zhuǎn)換后的CP-ABE能夠繼承IBE的特征.例如基于接收者匿名IBE轉(zhuǎn)換的CP-ABE方案具有訪問(wèn)結(jié)構(gòu)隱藏的特性，且方案安全性與原IBE方案安全級(jí)別相同.然后基于該轉(zhuǎn)換方法將Wee[26]提出的接收者匿名IBE方案轉(zhuǎn)換為訪問(wèn)結(jié)構(gòu)隱藏的CP-ABE方案(EHAS-CP-ABE)，該方案實(shí)現(xiàn)了密文、用戶(hù)私鑰、公鑰和主私鑰長(zhǎng)度恒定，且解密只需一個(gè)雙線對(duì)運(yùn)算.而后將其應(yīng)用至物聯(lián)網(wǎng)中的智慧醫(yī)療應(yīng)用場(chǎng)景，并給出應(yīng)用的系統(tǒng)模型及步驟.最后對(duì)方案進(jìn)行了理論分析與實(shí)驗(yàn)驗(yàn)證，分析和實(shí)驗(yàn)結(jié)果表明本文方案在計(jì)算效率和存儲(chǔ)負(fù)擔(dān)方面具有優(yōu)勢(shì)，同時(shí)能夠?qū)崿F(xiàn)訪問(wèn)結(jié)構(gòu)隱藏，為物聯(lián)網(wǎng)環(huán)境下的數(shù)據(jù)安全共享提供新的解決思路.

通用轉(zhuǎn)換算法中，當(dāng)k=1時(shí)，表示將IBE轉(zhuǎn)換為只支持與門(mén)訪問(wèn)結(jié)構(gòu)的ABE.另外，可以采用相似的方法將相應(yīng)ABE轉(zhuǎn)換為IBE方案，即實(shí)現(xiàn)本文提出轉(zhuǎn)換算法的反轉(zhuǎn)換.本文方案中每個(gè)屬性有相同的屬性值個(gè)數(shù)k，下一步將根據(jù)每個(gè)屬性的實(shí)際屬性值個(gè)數(shù)選取不同的取值個(gè)數(shù)，以及研究具有豐富表達(dá)能力且訪問(wèn)結(jié)構(gòu)隱藏的屬性基加密方案.