基于離線/在線加密技術(shù)的適應(yīng)性安全的密文策略屬性加密方案*

李 鋒，王光波，劉永慶

（1.中國人民解放軍31008 部隊，北京 100089；2.中國人民解放軍91977 部隊，北京 100841）

0 引言

屬性加密方案（Attribute Based Encryption，ABE）是由Sahai 等人在2005 年提出的一種對身份加密方案[1]進(jìn)行擴展的全新的密碼學(xué)方案[2]，該方案，能夠?qū)崿F(xiàn)更加細(xì)粒度的訪問控制，因此，自提出后得到了學(xué)術(shù)界廣泛的研究。ABE 方案根據(jù)訪問控制策略[3]與密文和密鑰的不同關(guān)系，可以分為密鑰策略屬性加密方案[4]（Key-Policy Attribute Based Encryption，KP-ABE）和密文策略屬性加密方案[5]（Ciphertext-Policy Attribute Based Encryption，CPABE），其中CP-ABE 方案可以實現(xiàn)由用戶自己定義訪問控制策略，因此在云存儲[6]環(huán)境下得到了廣泛應(yīng)用。另外，ABE 方案的安全性由低到高可以分為啟發(fā)式安全、選擇性安全和適應(yīng)性安全。因此，本文選取能夠?qū)崿F(xiàn)適應(yīng)性安全的經(jīng)典CP-ABE 方案[7]進(jìn)行研究和改進(jìn)，具有典型的示范意義。但是，在原始方案中，密文長度和密文計算量都與需要加密的訪問控制矩陣A的行向量l成正比，隨著l的增加而變大，加重了系統(tǒng)負(fù)擔(dān)。為了提高方案的加密性能，本文提出了一種基于離線/在線技術(shù)的CP-ABE 方案，對加密算法進(jìn)行了改進(jìn)，分為離線和在線兩個加密過程。其中，離線加密可以在準(zhǔn)備階段完成加密預(yù)處理，在線加密則可以基于預(yù)處理結(jié)果快速高效地完成最終加密。

1 相關(guān)定義

本節(jié)首先對方案將用到的合數(shù)階雙線性群和Decisional Bilinear Diffie-Hellman（DBDH）假設(shè)進(jìn)行介紹。

1.1 合數(shù)階雙線性群

定義1。令 (p1,p2,p3,G, GT,e)表示合數(shù)階雙線性群參數(shù)，其中p1,p2和p3代表3 個不同的大素數(shù)，G 和TG 代表2個階為N=p1p2p3的合數(shù)群，e:G×G→GT代表某個雙線性映射，并且需要滿足如下條件：

（1）任意選取參數(shù)x,y∈G和j,k∈NZ，滿足等式e(xj,yk)=e(x,y)jk。

（2）存在某個參數(shù)g∈G滿足e(g,g)階為N。

1.2 靜態(tài)假設(shè)

本節(jié)主要描述方案證明所基于的3 個靜態(tài)假設(shè)如下。

假設(shè)1：給定假設(shè)參數(shù)如下：

定義攻擊者A 攻破假設(shè)1 的優(yōu)勢為：

假設(shè)2：給定假設(shè)參數(shù)如下：

定義攻擊者A 攻破假設(shè)2 的優(yōu)勢為：

假設(shè)3：給定假設(shè)參數(shù)如下：

定義攻擊者A 攻破假設(shè)3 的優(yōu)勢為：

2 基于離線/在線加密的CP-ABE 方案

本節(jié)首先給出了基于離線/在線加密的適應(yīng)安全性CP-ABE 方案的算法定義，接著，給出了方案的安全模型，并對方案進(jìn)行了具體的構(gòu)造，最后，對方案進(jìn)行了安全證明和性能分析。

2.1 算法定義

本小節(jié)給出能夠?qū)崿F(xiàn)離線/在線加密的追蹤性密文策略屬性加密方案的算法定義，主要包括以下5 個多項式時間算法。

（1）CP-ABE.Setup(GDS,U)→(PP,MK)

系統(tǒng)參數(shù)設(shè)置算法以群描述參數(shù)GDS和屬性集合U為輸入，最后算法輸出系統(tǒng)公開密鑰PP和主密鑰MK。

（2）CP-ABE.GenKey(S,MK,PP)→(SKS)

密鑰生成算法以用戶屬性集合S、主密鑰MK和系統(tǒng)公開密鑰PP為輸入，最后，算法輸出用戶解密密鑰SKS。

（3）CP-ABE.OfflineEncrypt(PP)→(ICH)離線加密算法以系統(tǒng)公開密鑰PP為輸入，最后，算法輸出預(yù)處理的中間密文ICH。

（4）CP-ABE.OnEncrypt(M,(A,ρ),ICH,PP)→CH(A,ρ)

在線加密算法以明文消息M、訪問控制策略(A,ρ)、中間密文ICH和系統(tǒng)公開密鑰PP為輸入。最后，加密算法基于訪問控制策略(A,ρ)和中間密文ICH加密明文消息M后輸出最終密文CH(A,ρ)。

（5）CP-ABE.Decrypt(CH(A,ρ),SKid,S,PP)→M

解密算法以訪問控制策略(A,ρ)下的密文頭CH(A,ρ)、屬性集合S下的解密密鑰SKS和系統(tǒng)公開密鑰PP為輸入，若屬性集合S滿足訪問控制策略(A,ρ)，那么算法解密成功輸出明文消息M。

2.2 安全模型定義

本節(jié)將在標(biāo)準(zhǔn)模型下對基于離線/在線加密的適應(yīng)安全性CP-ABE 方案進(jìn)行證明，其證明基于Lewko等人提出的標(biāo)準(zhǔn)的適應(yīng)安全性CP-ABE方案[7]進(jìn)行構(gòu)造，該安全模型的具體描述如下：

參數(shù)設(shè)置：仿真者B 運行CP-ABE.Setup算法，生成公開密鑰PP和主密鑰MK。

密鑰查詢階1：攻擊者A 適應(yīng)性地提交一系列的與屬性集合(S1,S2,…,Sq1)有關(guān)的密鑰查詢。

密文挑戰(zhàn)：A 提交挑戰(zhàn)明文M0、M1和訪問策略 (A*,ρ*)，并且限制如下：任何在密鑰查詢1 中提交的屬性集合(S1,S2,…,Sq1)都不能滿足訪問策略(A*,ρ*)。然后，仿真者B 隨機選擇參數(shù)β∈{0,1}，并加密Mβ，生成挑戰(zhàn)密文CT*。最后，B 將CT*發(fā)送給A。

密鑰查詢2：繼續(xù)進(jìn)行與密鑰查詢1 類似的密鑰查詢。

猜測：A 輸出對β的猜測β′∈{0,1}

2.3 方案構(gòu)造

本文所提方案主要包括以下5 個算法。

（1）CP-ABE.Setup(GDS,U)→(PP,MK)

系統(tǒng)參數(shù)設(shè)置算法以群描述參數(shù)GDS=((N=p1p2p3,G,TG,e),g,p1,p2,p3)和屬性集合為輸入。然后，算法隨機選擇指數(shù)a,和隨機元素。對于每個屬性i∈U，算法隨機選擇指數(shù)。最后，算法設(shè)置主密鑰為MK=(α,X3)，并設(shè)置系統(tǒng)公開密鑰如下：

（2）CP-ABE.GenKey(S,MK,PP)→(SKS)

密鑰生成算法以用戶屬性集合S、主密鑰MK和系統(tǒng)公開密鑰PP為輸入。算法首先隨機選擇參數(shù)。最后，算法設(shè)置用戶私鑰如下：

（3）CP-ABE.OfflineEncrypt(PP)→ICH

離線加密算法以系統(tǒng)公開密鑰PP為輸入。首先，我們構(gòu)造一個特定場景的離線加密系統(tǒng)，該系統(tǒng)假設(shè)最大可能的屬性集合為P。對于每個屬性i∈P，隨機選擇，然后進(jìn)行如下密文組件計算：

（4）CP-ABE.OnEncrypt(M,(A,ρ),ICH,PP)→CH(A,ρ)

在線加密算法以以明文消息M、訪問控制策略(A,ρ)、離線加密階段的中間密文ICH和系統(tǒng)公開密鑰PP為輸入，其中A是一個l×n階矩陣，且滿足l≤|P|。加密算法首先選擇隨機參數(shù)，并計算密文組件C1=gs。然后，算法隨機選擇向量，并且對A的每一行Ai，計算內(nèi)積，并計算密文組件。最后，算法設(shè)置最終密文為：

（5）CP-ABE.Decrypt(CH(A,ρ),SKid,S,PP)→M

解密算法以訪問控制策略CH(A,ρ)=(C,C1,{C2,i,C3,i,C4,i}1≤i≤l)、解密密鑰SKS=(K,K1,{K2,i}i∈S)和系統(tǒng)公開密鑰PP為輸入，若屬性集合S滿足訪問控制策略(A,ρ)，那么算法設(shè)置I={i:ρ(i)∈S}，并在多項式時間內(nèi)計算參數(shù)使以下等式成立：。然后算法計算：

最后，算法輸出明文消息M如下：

2.4 安全性證明

本節(jié)主要對所提方案進(jìn)行安全性證明，將本文方案（記為Σoocpabe）的安全性規(guī)約到原始CP-ABE方案[7]（記為Σcpabe）的安全性。

證明：假設(shè)存在某個攻擊者A 能夠以不可忽略的優(yōu)勢AduAΣoocpabe攻破方案Σoocpabe，那么我們同樣可以構(gòu)造算法B 以優(yōu)勢AduBΣcpabe攻破方案Σcpabe，并且AduBΣcpabe等于AduAΣoocpabe。

參數(shù)階段：仿真者B向方案Σcpabe查詢公開密鑰，得到相應(yīng)的公開密鑰PP=((N,G,TG,e),g,ga,{Ti=gti}i∈U,Λ=e(g,g)α1)后，B 將PP發(fā)送給攻擊者A。

查詢查詢1：當(dāng)A 向B 提交屬性集合S進(jìn)行密鑰查詢時，B 將S提交給方案Σcpabe，并得到如下形式的解密密鑰：

最后，B 將解密密鑰SKS發(fā)送給A。

得到CT′后，B 隨機選擇參數(shù)，并計算：

最后B 將挑戰(zhàn)密文CT發(fā)送給攻擊者A。

密鑰查詢2：與密鑰密鑰查詢1 類似。

猜測：攻擊者A 輸出值β′∈{0,1}作為對β的猜測，然后B 將β′發(fā)送給方案Σcpabe作為輸出。

從上述證明過程可以看出，本文構(gòu)造的公開參數(shù)、密鑰和挑戰(zhàn)密文與文獻(xiàn)[7]具有一樣的分布，因此，優(yōu)勢滿足AduBΣcpabe=AduAΣoocpabe。

3 方案分析

本節(jié)將對提出的基于離線/在線加密的適應(yīng)安全性CP-ABE 方案與文獻(xiàn)[7]提出的原始適應(yīng)安全性CP-ABE 方案進(jìn)行具體的性能分析，包括加密計算量和密文長度。E代表 G下的指數(shù)計算，ET代表GT下的指數(shù)計算，| G|代表 G中的元素長度，| GT|代表TG 中的元素長度，l代表訪問控制策略(A,ρ)中矩陣A的行數(shù)，|P|代表離線加密階段假設(shè)的屬性集合規(guī)模，代表中的元素長度。

如表1 所示為本節(jié)提出的基于離線/在線加密的適應(yīng)安全性CP-ABE 方案與文獻(xiàn)[7]提出的原始適應(yīng)安全性CP-ABE 方案進(jìn)行的性能對比，雖然為了實現(xiàn)離線/在線的加密操作，本節(jié)提出的基于離線/在線加密的方案需要增加額外的參數(shù)，因此密文長度要高于原始方案，但是采用了離線加密技術(shù)，在線加密的計算量要遠(yuǎn)遠(yuǎn)小于原始方案的加密計算量。

表1 性能對比

4 結(jié)語

本文針對CP-ABE 加密性能問題，提出了一種新的CP-ABE 加密技術(shù)，將CP-ABE 方案的加密算法分為兩個階段：離線加密和在線加密。其中，離線加密可以在未得到具體加密訪問結(jié)構(gòu)的前提下，完成大部分的加密預(yù)處理計算，在線加密則可以利用離線加密的計算結(jié)果，快速高效地完成最終加密，大大提高了CP-ABE 方案的加密性能。