云計(jì)算多授權(quán)中心CP-ABE代理重加密方案

劉尚，郭銀章

（太原科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，山西 太原 030024）

0 引言

隨著云計(jì)算服務(wù)領(lǐng)域的不斷擴(kuò)大，越來(lái)越多的企業(yè)和個(gè)人把數(shù)據(jù)外包存儲(chǔ)在云端。但云服務(wù)提供商（CSP，cloud service provider）是半可信的，人們對(duì)存儲(chǔ)的數(shù)據(jù)尤其是隱私數(shù)據(jù)的安全性和完整性未知[1]，失去了對(duì)數(shù)據(jù)的掌控[2]。而密文訪問(wèn)控制技術(shù)可以解決數(shù)據(jù)的安全訪問(wèn)問(wèn)題，采用密文策略基于屬性加密（CP-ABE，ciphertext-policy attribute-based encryption）算法，實(shí)現(xiàn)了細(xì)粒度的訪問(wèn)控制。

但是，現(xiàn)有CP-ABE仍然存在加解密開銷大、訪問(wèn)策略的變化導(dǎo)致重加密效率不高以及分享數(shù)據(jù)文件不便等問(wèn)題。因此引入代理重加密技術(shù)實(shí)現(xiàn)數(shù)據(jù)安全高效的分享。1998年，Blaze等[3]提出代理重加密的概念，其允許一個(gè)半可信代理服務(wù)器（PS，proxy sever）在不解密出原文的情況下，將授權(quán)人（delegator）Alice公鑰加密的密文轉(zhuǎn)換為被授權(quán)人（delegatee）Bob公鑰加密的密文，在解密過(guò)程中PS無(wú)法獲取明文的任何信息。

CP-ABE方案中的數(shù)據(jù)屬于主用訪問(wèn)結(jié)構(gòu)加密數(shù)據(jù)，無(wú)須了解用戶的身份，嵌入在用戶私鑰中的屬性與數(shù)據(jù)屬主設(shè)置的訪問(wèn)結(jié)構(gòu)匹配時(shí)，用戶可對(duì)數(shù)據(jù)進(jìn)行訪問(wèn)，這是實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制的有效手段之一[4]。將代理重加密技術(shù)引入CP-ABE中可實(shí)現(xiàn)策略轉(zhuǎn)換，即代理服務(wù)器將一種訪問(wèn)策略加密的密文轉(zhuǎn)換為另一種訪問(wèn)策略加密的密文，可以使?jié)M足后一種訪問(wèn)策略的用戶進(jìn)行數(shù)據(jù)的訪問(wèn)，實(shí)現(xiàn)數(shù)據(jù)分享，避免授權(quán)人想要分享給第三方時(shí)還需客戶端下載、解密再重加密的麻煩，整個(gè)過(guò)程在代理服務(wù)器完成，利用云計(jì)算強(qiáng)大計(jì)算能力的同時(shí)又不會(huì)帶來(lái)數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

代理重加密方案大多是單屬性授權(quán)機(jī)構(gòu)為所有用戶頒發(fā)密鑰，存在權(quán)限過(guò)大，易成為系統(tǒng)的性能瓶頸等問(wèn)題，因此本文提出多屬性授權(quán)機(jī)構(gòu)管理的方式。同時(shí)，現(xiàn)有的多屬性授權(quán)機(jī)構(gòu)下的代理重加密方案只滿足應(yīng)具有的部分特性，如單向性、非交互性，而不滿足可重復(fù)性、可控制性與可驗(yàn)證性[5]，因此基于文獻(xiàn)[6]的方案，本文提出了支持重復(fù)可控特性的云計(jì)算多授權(quán)中心CP-ABE代理重加密方案。該方案具有如下特點(diǎn)。

1) 在多屬性授權(quán)中心下支持代理重加密方案的5種特性。在重加密密鑰中設(shè)置隨機(jī)因子，代理無(wú)法得知隨機(jī)因子也就無(wú)法進(jìn)行解密，從而無(wú)法逆向重加密，實(shí)現(xiàn)了單向性；重加密密鑰在授權(quán)者客戶端獨(dú)立執(zhí)行，不需第三方交互，從而實(shí)現(xiàn)了非交互性；通過(guò)對(duì)隨機(jī)因子密文的重加密實(shí)現(xiàn)了重復(fù)性；是否擁有初始密文中設(shè)置的密文子項(xiàng)可以決定是否能對(duì)重加密密文進(jìn)行解密，實(shí)現(xiàn)了可控性；初始密文中的驗(yàn)證子項(xiàng)可對(duì)重加密結(jié)果進(jìn)行驗(yàn)證，實(shí)現(xiàn)了可驗(yàn)證性，提高了方案的可用性。

2) 在多屬性授權(quán)中心下結(jié)合外包加解密技術(shù)。在加密階段，把一部分配對(duì)運(yùn)算轉(zhuǎn)移到云端；在解密階段，利用盲化后的私鑰對(duì)外包在云端的數(shù)據(jù)文件進(jìn)行解密，而用戶端只需要進(jìn)行一次指數(shù)運(yùn)算就可以解密，降低了用戶的計(jì)算開銷。

1 相關(guān)研究

訪問(wèn)控制是對(duì)用戶資源的訪問(wèn)進(jìn)行監(jiān)控，根據(jù)訪問(wèn)者身份來(lái)決定其是否有訪問(wèn)權(quán)限，是云數(shù)據(jù)安全的第一道屏障[7]，但在云計(jì)算環(huán)境中，訪問(wèn)者的身份未知，這時(shí)就需要對(duì)數(shù)據(jù)進(jìn)行加密。2007年，Bethencourt等[8]提出CP-ABE方案，該方案引起了學(xué)者們廣泛的研究。

代理重加密有許多方面的應(yīng)用，如云計(jì)算、文件管理系統(tǒng)[9]、電子郵件[10]、醫(yī)療系統(tǒng)電子病歷共享[11-12]，為了抵抗量子攻擊的基于格的代理重加密方案[13-14]等，這些應(yīng)用實(shí)現(xiàn)了數(shù)據(jù)安全、高效的共享。

代理重加密不是獨(dú)立存在與發(fā)展的，2009年，Liang等[15]將代理重加密技術(shù)引入 CP-ABE 中，提出密文策略基于屬性代理重加密方案，解決了CP-ABE共享訪問(wèn)策略轉(zhuǎn)換問(wèn)題，但該方案僅具有單向性、非交互性和可重復(fù)性，只達(dá)到了選擇明文安全。為提高方案的安全性，2015年，Liang[16]提出了具有適應(yīng)性選擇密文安全的代理重加密方案。Kawai[17]提出由授權(quán)中心外包生成重加密密鑰，當(dāng)訪問(wèn)結(jié)構(gòu)改變時(shí)，用戶執(zhí)行很小計(jì)算并向授權(quán)中心提出生成重加密密鑰請(qǐng)求，極大降低了用戶的計(jì)算開銷，但所有的重加密密鑰都由一個(gè)授權(quán)中心生成，易造成授權(quán)中心的計(jì)算“瓶頸”，同時(shí)用戶也失去了對(duì)重加密的掌控，此外，該方案僅具有單向性、非交互性。Ge等[18]提出了一種具有選擇密文安全的密鑰策略基于屬性代理重加密方案，其支持任意單調(diào)的訪問(wèn)結(jié)構(gòu)，但同樣僅具有單向性、非交互性。2019年，馮朝勝等[5]提出了支持多種特性的基于屬性代理重加密方案，該方案滿足5種特性，但該方案只達(dá)到了選擇明文安全。以上方案均是在單授權(quán)中心下構(gòu)建的，存在系統(tǒng)規(guī)模不易擴(kuò)充、安全和性能瓶頸以及權(quán)限過(guò)大等問(wèn)題。

Chase[19]提出多授權(quán)機(jī)構(gòu)屬性基于加密方案，有效降低了用戶密鑰泄露的安全隱患。為了降低客戶端計(jì)算開銷，Chen等[20]提出了帶預(yù)解密功能的多屬性授權(quán)中心屬性加密方案，適用于移動(dòng)云環(huán)境。關(guān)志濤等[21]提出一種基于屬性加密的多授權(quán)中心訪問(wèn)控制模型，降低了重加密屬性數(shù)量，提高系統(tǒng)重加密效率，但僅具有單向性、非交互性。仲紅等[22]提出了一種高效的、可驗(yàn)證的多授權(quán)機(jī)構(gòu)屬性基于加密方案，通過(guò)在線?離線加密技術(shù)，加解密流程的開銷下降，驗(yàn)證外包解密的正確性的同時(shí)保護(hù)用戶隱私。為解決多授權(quán)中心下合謀攻擊和不同域共享數(shù)據(jù)的問(wèn)題，楊小東等[23]將數(shù)據(jù)通過(guò)第三方處理降低了用戶的計(jì)算開銷，引入代理重加密方法實(shí)現(xiàn)了不同域之間以及相同域內(nèi)用戶數(shù)據(jù)分享，但該方案不支持可重復(fù)性、可控性。在移動(dòng)網(wǎng)絡(luò)社交中，羅思韜等[24]提出跨域環(huán)境下的代理重加密社交隱私保護(hù)方案，利用代理重加密技術(shù)實(shí)現(xiàn)訪問(wèn)結(jié)構(gòu)策略的變換，擴(kuò)大了交友范圍，但該方案只達(dá)到了選擇明文安全，且只滿足單向性、非交互性。Ge[25]提出了一種可驗(yàn)證的、公平的基于屬性的云數(shù)據(jù)共享代理重加密方案，但該代理重加密方案不滿足可重復(fù)性與可控性。對(duì)于代理服務(wù)器是否存在數(shù)據(jù)泄露，Guo[26]等提出可問(wèn)責(zé)的代理重加密方案，通過(guò)給代理和授權(quán)者設(shè)置不同的解密能力，通過(guò)輸出結(jié)果確定惡意方，該方案僅滿足單向性、非交互性與可驗(yàn)證性，同時(shí)不是基于屬性的代理重加密方案，不能實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制。

2 代理重加密方案

2.1 算法特性

（1）單向性

從Alice到Bob的解密不允許代理從Bob到Alice的重加密，即只允許一個(gè)方向的解密，不可逆向進(jìn)行重加密。因?yàn)榇聿恢乐丶用苊荑€中的隨機(jī)因子，就不可以對(duì)數(shù)據(jù)執(zhí)行解密操作，也就無(wú)法將Bob的訪問(wèn)策略(,)M''ρ變?yōu)锳lice的訪問(wèn)策略(,)Mρ，即代理不能逆向進(jìn)行重加密，具有單向性。

（2）非交互性

Alice可以使用Bob的公鑰生成重加密密鑰rk，此過(guò)程在用戶中心授權(quán)者客戶端執(zhí)行，不需要任何受信任的第三方交互。

（3）可重復(fù)性

PS可以對(duì)相同密文進(jìn)行多次重加密。將隨機(jī)因子d嵌入重加密密鑰組成部分中，并將編碼E(gd)與新的訪問(wèn)結(jié)構(gòu)相關(guān)組成重加密密鑰的一部分。利用重加密密鑰對(duì)密文進(jìn)行重加密，生成的重加密密文由含有隨機(jī)因子的密文和部分原始密文組成。若要對(duì)密文進(jìn)行多次重加密，對(duì)隨機(jī)因子的部分密文Crk進(jìn)行重加密即可。

（4）可控性

數(shù)據(jù)屬主（DO，data owner）可以控制數(shù)據(jù)是否能被進(jìn)行重加密。在密文解密過(guò)程中，只有重加密密文解密時(shí)才需要原始密文子項(xiàng)C4參與，因此是否擁有該密文子項(xiàng)決定了密文是否能被重新加密。

（5）可驗(yàn)證性

用戶可以驗(yàn)證重加密后的密文是否正確。若DO要驗(yàn)證重加密結(jié)果是否正確，則需要其結(jié)果A以及密文子項(xiàng)C0，C4發(fā)送給DO，驗(yàn)證：

若DO要驗(yàn)證外包數(shù)據(jù)解密的結(jié)果是否正確，則把密文子項(xiàng)C1、C3和預(yù)解密部分W進(jìn)行解密并驗(yàn)證:

2.2 網(wǎng)絡(luò)模型

多授權(quán)中心CP-ABE代理重加密方案網(wǎng)絡(luò)模型如圖1所示，包括中央授權(quán)機(jī)構(gòu)（CA， central authority）、屬性授權(quán)機(jī)構(gòu)（AA，a ttributeauthority） 、數(shù)據(jù)屬主（DO，d ataowner）、用戶（User）、云服務(wù)提供商（CSP，CloudSeverProvider） 。服務(wù)器主要包括內(nèi)容管理服務(wù)器、代理加密服務(wù)器、代理解密服務(wù)器、代理重加密服務(wù)器以及數(shù)據(jù)管理服務(wù)器。內(nèi)容管理服務(wù)器分析處理User客戶端提交的訪問(wèn)要求；代理加密服務(wù)器對(duì)DO的部分加密數(shù)據(jù)進(jìn)行完整加密；代理解密服務(wù)器對(duì)符合訪問(wèn)策略的User要求訪問(wèn)的數(shù)據(jù)進(jìn)行部分解密；代理重加密服務(wù)器可以在不解密出明文的條件下對(duì)加密的數(shù)據(jù)文件進(jìn)行訪問(wèn)策略的轉(zhuǎn)換，實(shí)現(xiàn)被授權(quán)者可以訪問(wèn)，達(dá)到了訪問(wèn)權(quán)限授權(quán)，實(shí)現(xiàn)了數(shù)據(jù)分享的目的；數(shù)據(jù)管理服務(wù)器用來(lái)存放加密后的數(shù)據(jù)文件。本文提出的支持重復(fù)可控特性的云計(jì)算多授權(quán)中心CP-ABE代理重加密方案流程如下。

圖1 多授權(quán)中心CP-ABE代理重加密方案網(wǎng)絡(luò)模型Figure 1 The model of CP-ABE proxy re-encryption scheme for cloud computing based on multi-authority

（1）數(shù)據(jù)生成

Step1：數(shù)據(jù)屬主將數(shù)據(jù)用經(jīng)典對(duì)稱加密算法AES加密，得到數(shù)據(jù)密文AESC。

Step2：將對(duì)稱加密的密鑰key用訪問(wèn)結(jié)構(gòu)加密，得到密鑰密文m，上傳到代理加密服務(wù)器之后得到完整的數(shù)據(jù)密文并存儲(chǔ)在數(shù)據(jù)管理服務(wù)器中。

（2）數(shù)據(jù)訪問(wèn)

授權(quán)用戶與被授權(quán)用戶均可訪問(wèn)數(shù)據(jù)。授權(quán)用戶訪問(wèn)數(shù)據(jù)的步驟如下。

Step1：授權(quán)用戶向內(nèi)容管理服務(wù)器發(fā)起訪問(wèn)請(qǐng)求，請(qǐng)求AESC和m。

Step2：內(nèi)容管理服務(wù)器分析并提交請(qǐng)求至數(shù)據(jù)管理服務(wù)器，若用戶私鑰屬性滿足訪問(wèn)結(jié)構(gòu)，判定其為合法用戶，將m發(fā)送至代理解密服務(wù)器進(jìn)行預(yù)解密，并將預(yù)解密結(jié)果通過(guò)內(nèi)容管理服務(wù)器返回給授權(quán)用戶。

被授權(quán)用戶訪問(wèn)數(shù)據(jù)的步驟如下。

Step1：授權(quán)用戶運(yùn)行重加密密鑰生成算法，將自身私鑰和新的訪問(wèn)結(jié)構(gòu)生成重加密密鑰，發(fā)送給內(nèi)容管理服務(wù)器，內(nèi)容管理服務(wù)器分析再提交至代理重加密服務(wù)器，在此將利用重加密密鑰與m生成重加密密文（此時(shí)的重加密密文是用新的訪問(wèn)結(jié)構(gòu)加密的）。

Step2：生成的重加密密文被發(fā)送至代理解密服務(wù)器進(jìn)行預(yù)解密，然后發(fā)送至內(nèi)容管理服務(wù)器。被授權(quán)用戶若訪問(wèn)數(shù)據(jù)，則可以通過(guò)自身私鑰進(jìn)行解密，因?yàn)楸皇跈?quán)用戶私鑰屬性滿足新訪問(wèn)結(jié)構(gòu)。

2.3 算法執(zhí)行

本文所提算法執(zhí)行流程如下，其關(guān)系如圖2所示。

圖2 各算法之間的關(guān)系Figure 2 The relation between algorithms

對(duì)算法按照?qǐng)?zhí)行主體進(jìn)行分類如下。

（1）授權(quán)中心執(zhí)行

1) Setup(k)→(MSK,PK,{s})，初始化算法由授權(quán)中心執(zhí)行，輸入安全參數(shù)k，輸出主密鑰MSK，系統(tǒng)公鑰PK，各屬性管理中心的標(biāo)識(shí)s。

2) IDKeyGen(PK,MSK,IDu)→(PKu,SKu)，用戶身份私鑰生成算法由CA執(zhí)行。輸入系統(tǒng)公鑰PK，主密鑰MSK，用戶身份標(biāo)識(shí)IDu，輸出用戶身份公鑰PKu和用戶身份私鑰SKu。

（2）屬性管理中心執(zhí)行

1) AASetup(PK,s,i)→(APKi,ASKi)，屬性管理中心初始化算法由各個(gè)屬性管理中心執(zhí)行。輸入系統(tǒng)公鑰PK，該AA的標(biāo)識(shí)s，以及該AA管理的屬性i，輸出屬性i對(duì)應(yīng)的屬性公鑰APKi和屬性私鑰ASKi。

2) AttrKeyGen(PK,S,{ASKi},PKu)→SKS,u，用戶屬性私鑰生成算法由屬性管理中心執(zhí)行。輸入系統(tǒng)公鑰PK，用戶的屬性集S，屬性私鑰ASKi，用戶身份公鑰PKu，輸出用戶屬性私鑰SKS,u。

（3）數(shù)據(jù)屬主執(zhí)行

2) ReEncryptVerify(F,C0,C4)→(true/)，重加密驗(yàn)證算法由用戶執(zhí)行。輸入C(M',ρ')和密文組件C0、C4，若驗(yàn)證通過(guò)，則輸出true，否則輸出⊥。

（4）CSP加密代理服務(wù)器執(zhí)行

3) OutDecrypt(C(M,ρ),TK)→Z，外包解密算法由CSP執(zhí)行，輸入密文C(M,ρ)和轉(zhuǎn)換密鑰TK，當(dāng)S|=(M,ρ)時(shí)，輸出部分解密密文Z，否則輸出⊥。

（5）授權(quán)用戶執(zhí)行

1)ReKeyGen(PK,{APKi},SKu,SKS,u,S,(M',ρ'))→rkS→(M',ρ')，重加密密鑰生成算法由授權(quán)用戶（delegator）執(zhí)行，輸入系統(tǒng)公鑰PK，屬性公鑰APKi，授權(quán)用戶身份私鑰SKu，用戶屬性私鑰SKS,u，屬性集S和新的LSSS訪問(wèn)結(jié)構(gòu)(M',ρ')，輸出一個(gè)重加密密鑰rkS→(M',ρ')。若重加密密鑰中，授權(quán)用戶屬性私鑰SKS,u對(duì)應(yīng)的屬性集S，滿足密文的訪問(wèn)結(jié)構(gòu)(M,ρ)時(shí)，代理服務(wù)器可以利用該重加密密鑰用于將訪問(wèn)結(jié)構(gòu)(M,ρ)對(duì)應(yīng)的密文向訪問(wèn)結(jié)構(gòu)(M',ρ')對(duì)應(yīng)的密文的替換。

2) OutKeyGen(SK,PKu)→(TK,DK)，轉(zhuǎn)換密鑰生成算法由用戶執(zhí)行。輸入用戶私鑰SK和身份公鑰PKu，輸出外包至CSP解密的轉(zhuǎn)換密鑰TK，以及最終用戶解密時(shí)的密鑰DK。

3) Dec(PK,DK,Z)→m，解密算法由授權(quán)用戶執(zhí)行，輸入部分解密密文Z，用戶保留的密鑰DK，輸出數(shù)據(jù)m。

（6）被授權(quán)用戶執(zhí)行

DecR(Z',,DK')→m重加密密文解密算法由被授權(quán)用戶執(zhí)行，如果被授權(quán)用戶屬性集滿足新的訪問(wèn)結(jié)構(gòu)(M',ρ')，即S|=(M',ρ')，則輸出明文m，否則輸出⊥。

正確性：對(duì)于任意屬性集S∈U，任意訪問(wèn)結(jié)構(gòu)(M,P)和任意明文m，若S|=(M,P)，S'|=(M',P')，則有：

3 方案構(gòu)造

本文提出的方案包括CA建立、AA建立、用戶私鑰生成、數(shù)據(jù)加密、外包加密、重加密密鑰生成、密文重加密、重加密驗(yàn)證、轉(zhuǎn)換密鑰生成、外包解密以及解密（原始密文解密和重加密密文解密）。

（1）CA建立：Setup(k)

k為系統(tǒng)安全參數(shù)，CA選擇階為素?cái)?shù)p的乘法循環(huán)群G和GT，生成元g,g1∈G。哈希函數(shù)，H2:GT→{0,1}2k，H3:{0,1}k→。選擇經(jīng)典的對(duì)稱密碼算法AES= (AES.Enc(?),AES.Dec(?))。設(shè)屬性空間為U，屬性最大個(gè)數(shù)為n，屬性域?yàn)閁={1,2,…,n}。系統(tǒng)中有k個(gè)屬性管理中心AAk，每個(gè)AA管理互不交叉的屬性組，一個(gè)AA可管理多個(gè)屬性。

CA隨機(jī)選擇元素P，g2∈G，α∈Zp，利用偽隨機(jī)函數(shù)為k個(gè)屬性管理中心{AA}k生成標(biāo)識(shí)s1,s2,…,sk。CA生成系統(tǒng)公鑰如下：PK=，主密鑰MSK=(gα)。

（2）AA建立：AASetup(PK,s,a)

對(duì)AAk管理的每一個(gè)屬性i，生成隨機(jī)值ti=PRFsk(i)∈Zp，生成屬性i的私鑰ASKi=ti，屬性i的公鑰。

（3）用戶私鑰生成

1) 用戶身份私鑰生成：IDKeyGen(PK, MSK,ID)。

CA對(duì)注冊(cè)的每一個(gè)新用戶，分配一個(gè)唯一身份標(biāo)識(shí)符u∈Zp，CA隨機(jī)選擇一個(gè)對(duì)應(yīng)值mku∈Zp，生成用戶的身份公鑰，用戶身份私鑰。

2) 用戶屬性私鑰生成：AttrKeyGen(PK,S,{ASKi},PKu)

AA為合法用戶輸出屬性i對(duì)應(yīng)的屬性私鑰。

用戶的屬性集私鑰SKS,u={SKi,u,?i∈S}。

（4）數(shù)據(jù)加密：Enc(PK,m,{APKi},(M,ρ))

DO根據(jù)對(duì)稱加密算法AES=(AES.Enc(?), AES.Dec(?))，產(chǎn)生對(duì)稱密鑰key∈{0,1}k，選擇隨機(jī)值β∈{0,1}k，令s=H1(key,β)。

DO對(duì)key進(jìn)行加密，定義訪問(wèn)結(jié)構(gòu)(M,ρ)（M是一個(gè)l×n的矩陣，ρ是矩陣每一行Mi到屬性ρ(i)的映射關(guān)系）。隨機(jī)選擇一個(gè)向量v=(s,v2,v3,…,vn)，其中，v2,v3,…,vn∈。隨機(jī)選擇z∈，，C1=H2(e(g,g)αs)⊕(key||β)。隨機(jī)選擇r1,r2,…,rn∈，C2=gs，C3=，?i∈[1,l]，。將，Z，以及數(shù)據(jù)密文CAES發(fā)送給CSP。部分密文：,。

（6）重加密密鑰生成：ReKeyGen(PK, SK,(M′,ρ′)) 。

隨機(jī)選擇β′,δ∈{0,1}k，令s′=H1(β′,δ)，選擇隨機(jī)向量，對(duì)i=1…l′，令是l′×n′的矩陣M′第i行的向量)，，,。

（7）密文重加密：ReEncrypt(PK,C(M,ρ),

Crk=，選擇常數(shù)ωi，使。計(jì)算：

（8）重加密驗(yàn)證

User使用重加密后的A，驗(yàn)證因子,C0，C4對(duì)重加密結(jié)果進(jìn)行正確性驗(yàn)證。

（9）轉(zhuǎn)換密鑰生成：OutKeyGen(SK)

（10）外包解密：OutDecrypt(C(M,ρ),TK)

選擇ωi，使。

（11）解密

對(duì)于被重加密的密文，按照上面的解密算法對(duì)Crk解密得到E(gd)，解碼得gd。設(shè)I′?{1,2,…,l′}被定義為I′={i:ρ′(i)∈S′},是一個(gè)常數(shù)集，是M′對(duì)秘密s′的共享秘密份額，。代理解密服務(wù)器計(jì)算：

4 安全性分析

判定性q-parallelBDHE（bilineardiffie-Hellman exponent）假設(shè)。給定階為素?cái)?shù)p的群G，g是G的一個(gè)生成元，隨機(jī)選取a,s,b1,…,bq∈Zp和一個(gè)隨機(jī)元素T∈GT。判定性q-parallelBDHE 問(wèn)題描述為：如果給定敵手γ，

判斷T是還是群GT中的一個(gè)隨機(jī)元素R。敵手使用多項(xiàng)式算法B攻破上述假設(shè)的優(yōu)勢(shì)為：。

定義1如果不存在概率多項(xiàng)式時(shí)間（PPT）算法以不可忽略的優(yōu)勢(shì)解決判定性q-parallelBDHE 問(wèn)題，則稱q-parallelBDHE 問(wèn)題是困難的。

定理1假設(shè)判定性q-parallelBDHE假設(shè)在(G,GT)上成立，那么不存在敵手A能在一個(gè)多項(xiàng)式時(shí)間內(nèi)選擇訪問(wèn)結(jié)構(gòu)(M*,ρ*)攻破本文方案，本文方案在標(biāo)準(zhǔn)模型下可證IND-sAS-CCA-Or （selevetiveaccessstructureandchooseciphertext securityatoriginalciphertext）安全。

證明假設(shè)存在A能在IND-sAS- CCA-Or中以ε=AdvA的優(yōu)勢(shì)攻破本文方案，則可根據(jù)判定性q-parallelBDHE 假設(shè)，判斷出還是屬于TG的隨機(jī)值。挑戰(zhàn)者C和敵手A按下面方式進(jìn)行游戲。

（1）初始化階段

A將要挑戰(zhàn)的訪問(wèn)結(jié)構(gòu)**(,)Mρ發(fā)送給挑戰(zhàn)者C，M*是一個(gè)l*×n*的矩陣，l*,n*≤q。A公布攻破的屬性管理中心AAW′。C輸入?yún)?shù)γ和T。

（2）系統(tǒng)建立階段

A隨機(jī)選擇α′∈Zp，設(shè)置α=α′+αq+1,則有。C運(yùn)行初始化算法將PK=e(g,g)發(fā)送給A。C運(yùn)行AASetup算法，分為兩種情況。若管理屬性x被攻破，則C隨機(jī)選擇zx，，否則?。

對(duì)于未被攻破的AA，C僅將對(duì)應(yīng)的APK發(fā)送給A；對(duì)于已被攻破的屬性管理中心，C把該屬性管理中心的APK和ASK都發(fā)送給A。

A進(jìn)行如下詢問(wèn)。

1)H1(m,β)：若在表ListH1中存在(m,β,s)，則返回s給A；否則選擇隨機(jī)數(shù)s∈Zp，將(m,β,s)記錄在表ListH1中并返回s給A。

2)H2(R)：若在表ListH2中存在(R,r)，則返回r給A；否則選擇隨機(jī)數(shù)r∈{0,1}2k，將(R,r)記錄在表ListH2中并返回r給A。

3)H3(δ)：若在表ListH3中存在(δ,ζ)，則返回r給A；否則選擇隨機(jī)數(shù)，將(δ,ζ)記錄在表ListH3中并返回ζ給A。

（3）查詢階段1

1) A向C提出請(qǐng)求Qsk(u,S)，且對(duì)同一用戶u只能進(jìn)行一次查詢。一個(gè)用戶的私鑰由SKu和SKa,u兩部分組成。

由于用戶S|=(M*,ρ*)，因此式(12)、式(13)構(gòu)造PKu和SKu：

2) A向C提出查詢請(qǐng)求Qrk(u,S,(M',ρ'))，若元組已經(jīng)存在于對(duì)應(yīng)的表中，C則把返回給A。否則，若S|=(M*,ρ*)，且S'|=(M',ρ')，已被詢問(wèn)過(guò)的對(duì)應(yīng)私鑰不能再次詢問(wèn)，若沒(méi)有詢問(wèn)過(guò)且對(duì)應(yīng)的私鑰不存在于重加密密鑰列表里，構(gòu)建如下：A隨機(jī)選擇,，記錄到表ListRK中并返回給C。

3) A向C提出重加密密文查詢：Qre(u,S,(M′,ρ′),C(M,ρ))。

（4）挑戰(zhàn)階段

A給C提交消息m0和m1，C隨機(jī)選擇一個(gè)mb（b=0或1），加密并返回密文,給A。

（5）查詢階段2

繼續(xù)查詢階段1中的詢問(wèn)。

（6）猜測(cè)階段

A對(duì)b進(jìn)行猜測(cè)輸出b'∈{0,1}，若猜測(cè)正確，即b'=b，得到；否則得到的是GT中的隨機(jī)T。

5 性能分析

下面從計(jì)算開銷和存儲(chǔ)開銷兩方面對(duì)本文所提方案進(jìn)行分析。假設(shè)系統(tǒng)中的屬性個(gè)數(shù)為N，屬性管理中心AA的數(shù)量為k，Np為共享訪問(wèn)策略中的屬性數(shù)。其中，雙線性運(yùn)算B和指數(shù)運(yùn)算E運(yùn)行時(shí)間最長(zhǎng)（用ET、EG分別表示GT群和G群的指數(shù)運(yùn)算），其他計(jì)算開銷遠(yuǎn)小于這兩個(gè)運(yùn)算的計(jì)算開銷可被忽略為0，所以用B和E來(lái)衡量性能。

5.1計(jì)算開銷

表1列舉并對(duì)比了幾種經(jīng)典方案的用戶客戶端計(jì)算開銷，下面進(jìn)行詳細(xì)分析。

用戶客戶端加密數(shù)據(jù)，包括用對(duì)稱密鑰key加密數(shù)據(jù)文件，以及使用基于密文策略的屬性加密算法對(duì)key進(jìn)行加密得到密鑰密文。前者的計(jì)算復(fù)雜度與數(shù)據(jù)文件的大小有關(guān)，而后者的計(jì)算開銷如下：密文中Z,C0,C1,C2,C3,C4需執(zhí)行6次指數(shù)運(yùn)算，ρ中每個(gè)屬性ρ(i)需執(zhí)行兩次指數(shù)運(yùn)算，計(jì)算開銷為(2Np+5)EG+ET。云服務(wù)器為L(zhǎng)SSS共享訪問(wèn)結(jié)構(gòu)中每個(gè)屬性ρ(i)執(zhí)行一次指數(shù)運(yùn)算，開銷為NpEG。

生成重加密密鑰時(shí)，加密隨機(jī)值δ并生成重加密密鑰。主要計(jì)算開銷為(2Np+8)B+ET，還需執(zhí)行一次對(duì)編碼E(gd)的加密過(guò)程。

CSP重加密時(shí)，計(jì)算共享策略的每個(gè)屬性ρ(i)都參與兩次B運(yùn)算和一次E運(yùn)算，計(jì)算A時(shí)，分子還需要進(jìn)行兩次雙線性運(yùn)算，計(jì)算開銷為(2Np+2)B+NpET。CSP為新訪問(wèn)結(jié)構(gòu)中的每個(gè)屬性ρ(i)執(zhí)行一次E運(yùn)算的開銷為NpEG，PS的計(jì)算代價(jià)為(2Np+2)B+NpET+NpEG。User對(duì)重加密結(jié)果進(jìn)行正確性驗(yàn)證，計(jì)算開銷為B+ET+EG。

文件解密時(shí)使用CP-ABE解密算法解密密鑰密文，得到對(duì)稱密鑰key，再利用key進(jìn)行對(duì)稱解密即可得到數(shù)據(jù)文件。對(duì)稱解密的復(fù)雜度與數(shù)據(jù)文件的大小有關(guān)，而前者的計(jì)算開銷分為原始密文的解密和重加密密文解密兩種情況。

原始密文解密時(shí)，User對(duì)Z執(zhí)行一次E運(yùn)算，驗(yàn)證需要一次E運(yùn)算，故總代價(jià)為ET+EG。

重加密密文解密時(shí)，對(duì)隨機(jī)因子進(jìn)行一次解密，User需進(jìn)行兩次GT上的E運(yùn)算，一次B運(yùn)算，驗(yàn)證需再進(jìn)行一次G上的E運(yùn)算，所以在用戶客戶端的計(jì)算開銷為2ET+EG+B。CSP解密流程與重加密流程類似，計(jì)算開銷為NpET+2NpB。

5.2 存儲(chǔ)開銷

存儲(chǔ)開銷主要包括以下3個(gè)階段。

用戶私鑰生成：包括用戶身份私鑰和用戶屬性私鑰。身份私鑰和屬性私鑰分別由一個(gè)G群元素和sN個(gè)G群元素組成。

文件加密：DO將數(shù)據(jù)文件用對(duì)稱密鑰key進(jìn)行加密后，將密鑰密文和數(shù)據(jù)密文傳送給CSP。密鑰密文由2Np+4個(gè)G群元素構(gòu)成。方案中需要增加驗(yàn)證消息，故增加了一個(gè)G群上的元素。

重加密密文：PS對(duì)密文進(jìn)行重加密生成的重加密密文由兩個(gè)G群元素和一個(gè)GT群元素組成，由于需要驗(yàn)證正確性增加了一個(gè)G群元素。

私鑰與密文存儲(chǔ)開銷對(duì)比如表2所示。

6 結(jié)束語(yǔ)

云計(jì)算環(huán)境存在大量密文流通、轉(zhuǎn)換的場(chǎng)景，代理重加密技術(shù)可以在不解密密文的情況下實(shí)現(xiàn)訪問(wèn)策略的轉(zhuǎn)換，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)訪問(wèn)權(quán)限的傳遞?；诿芪牟呗詫傩源碇丶用芊桨复蠖嘀粷M足理想方案特性中的部分特性如：?jiǎn)蜗蛐?、非交互性，而?duì)可重復(fù)性、可控性和可驗(yàn)證性的研究不足。基于密文策略屬性代理多重加密方法，一般只能解決理想方案特性中的一部分特征，如單向性、非交互性等，但對(duì)可重復(fù)性、可控性和可驗(yàn)證性方面的研究還不夠。管理方案一般在單屬性授權(quán)中心下，面臨著密鑰泄露、中央授權(quán)機(jī)構(gòu)權(quán)限過(guò)大且易出現(xiàn)性能瓶頸等問(wèn)題，為分散中央授權(quán)機(jī)構(gòu)的管理權(quán)力，減少工作量，引入了多屬性管理中心管理用戶不同的屬性組，用戶私鑰由各個(gè)屬性管理中心發(fā)放，在一定限度上增強(qiáng)了穩(wěn)定性。因此，本文提出了支持重復(fù)可控特性的云計(jì)算多授權(quán)中心CP-ABE代理重加密方案，該方案在多屬性授權(quán)中心框架下構(gòu)建且支持大多數(shù)代理重加密方案不滿足的重復(fù)性、可控性與可驗(yàn)證性，同時(shí)，為了降低客戶端計(jì)算開銷使用了外包加解密技術(shù)，利用云計(jì)算強(qiáng)大的計(jì)算能力，分擔(dān)了客戶端的計(jì)算代價(jià)。且通過(guò)安全性證明，本文方案達(dá)到了選擇密文安全。