一個(gè)防叛逆的屬性基加密方案

【摘 要】屬性基密碼體制是當(dāng)下密碼學(xué)領(lǐng)域研究的熱門(mén)問(wèn)題之一，隨著越來(lái)越多的重要數(shù)據(jù)存儲(chǔ)在第三方網(wǎng)站上并被頻繁訪問(wèn)，這些數(shù)據(jù)的加密問(wèn)題成為大家關(guān)注的焦點(diǎn)。使用傳統(tǒng)的基于證書(shū)和基于身份的加密體制效率并不高，而且還需要苛刻的條件。作為基于身份加密體制的改進(jìn)，屬性基加密利用訪問(wèn)控制策略控制用戶(hù)的解密能力從而改進(jìn)了方案。但密鑰克隆，密鑰濫用的問(wèn)題仍需要解決。本文把廣播加密系統(tǒng)中的叛逆者追蹤機(jī)制引入到了基于屬性基的加密系統(tǒng)中，創(chuàng)建了基于屬性的叛逆者追蹤的加密方案，很大程度上解決了上述問(wèn)題。

【關(guān)鍵詞】屬性基密碼體制；訪問(wèn)控制；叛逆者追蹤；密鑰濫用。

在基于屬性加密系統(tǒng)中，研究叛逆者追蹤的動(dòng)機(jī)很簡(jiǎn)單。在基于屬性加密系統(tǒng)中存取權(quán)限與用戶(hù)的私鑰相關(guān)聯(lián)。這導(dǎo)致如下的問(wèn)題，如果一個(gè)用戶(hù)創(chuàng)建了一個(gè)解密裝置，并且惡意分發(fā)該解密裝置，那么整個(gè)系統(tǒng)的存取控制策略將被破壞。

本文設(shè)計(jì)的方案將采用一對(duì)值（ω，id）來(lái)標(biāo)示系統(tǒng)中的每一個(gè)用戶(hù)，其中id表示用戶(hù)的身份，用于區(qū)分不同的用戶(hù)，ω表示該用戶(hù)擁有的屬性集合。不同的用戶(hù)可以擁有相同的屬性集合，但是系統(tǒng)要求一個(gè)用戶(hù)僅關(guān)聯(lián)一個(gè)屬性集合。采取這樣的形式來(lái)表示系統(tǒng)中的用戶(hù)，意味著密鑰生成中心將根據(jù)一對(duì)值（ω，id）來(lái)生成一個(gè)用戶(hù)的私鑰，也就是說(shuō)用戶(hù)的私鑰中包含有與身份id相關(guān)的部分組件。本文所設(shè)計(jì)的方案滿足了上述這要求。

一、形式化定義

以下描述一個(gè)基于屬性加密的叛逆者追蹤方案的形式化定義以及安全模型。在本章所設(shè)計(jì)的方案中，系統(tǒng)中的一個(gè)用戶(hù)將用一個(gè)對(duì)（ω，id）來(lái)標(biāo)示，其中id指示該用戶(hù)的身份，ω 表示該用戶(hù)擁有的屬性集合。所設(shè)計(jì)的方案允許不同的用戶(hù)擁有相同的屬性集合，但是需要一個(gè)用戶(hù)僅被賦值一個(gè)屬性集合。

二、防叛逆追蹤方案

本節(jié)描述所提出的一個(gè)基于屬性加密體制的叛逆者追蹤方案，方案的主要設(shè)計(jì)思路來(lái)源于Sahai和Waters[3]的基于屬性加密課題的方案二和基于身份的叛逆者追蹤課題。

方案采用非對(duì)稱(chēng)雙線性對(duì)技術(shù)來(lái)構(gòu)建，即e? ： G1×G2→GT，并假定群G2上CBDH和DBDH以及群G1上DDH問(wèn)題困難的情況下（注意此時(shí)意味著存在一個(gè)可有效計(jì)算的同構(gòu)映射φ ： G2→G1，但不存在一個(gè)可有效計(jì)算的從群G1到群G2的同構(gòu)映射，通過(guò)在MNT曲線上選擇適當(dāng)?shù)娜嚎梢詽M足上述的假定），證明了方案的安全性。本方案利用Zp中的所有元素作為全局屬性集合，假定系統(tǒng)中用戶(hù)擁有的屬性個(gè)數(shù)的最大值為n1，系統(tǒng)設(shè)置的門(mén)限參數(shù)值為d。設(shè)系統(tǒng)中所有用戶(hù)的集合為：U = {id1， id2， . . . ， idN}。設(shè)符號(hào)字母表的大小為s，一個(gè)碼字的長(zhǎng)度為?個(gè)字符。為了使任意的字符串可以作為系統(tǒng)中的屬性使用，可以通過(guò)一個(gè)抗碰撞哈希函數(shù)來(lái)實(shí)現(xiàn)h ： {0，1}→ Zp。

設(shè)k ∈ Zp，S是Zp中的元素組成的一個(gè)集合。定義拉格朗日系數(shù)為：

設(shè)cw∈{0，1}n2 表示一個(gè)碼字的位串，cwj表示cw的第j位。定義一個(gè)長(zhǎng)度為（n2+1）向量V = （vi）， i ∈ {0， 1， . . . ， n2}，該向量的元素均勻隨機(jī)選之于G2。設(shè)ui= φ（vi），U表示向量V在同構(gòu)映射φ下的象，即：U = （ui）。利用向量V定義Waters哈希函數(shù)如下：

此處B表示cwj= 1的所有j的集合。同時(shí)為了簡(jiǎn)化標(biāo)記起見(jiàn)，定義：

注意此處G（cw）可以通過(guò)向量U來(lái)直接計(jì)算，也可以先通過(guò)向量V計(jì)算得到一個(gè)值，在利用同構(gòu)映射φ 來(lái)計(jì)算。所提方案如下：

Setup： 系統(tǒng)的參數(shù)如下生成，首先根據(jù)安全參數(shù)κ生成非對(duì)稱(chēng)的雙線性對(duì)群G1，G2和GT，同時(shí)生成向量V和U。在群G2中選擇一個(gè)隨機(jī)元h，并設(shè)g = φ（h）。隨機(jī)選擇一個(gè)秘密值α∈Zp，并設(shè)g1= gα和h1= hα。此外，隨機(jī)選擇元h2∈ G2，并 設(shè)g2= φ（h2）。 然 后，設(shè)N表示 集合{1， . . . ， n1+ 1}， 在群G2中 均勻隨機(jī) 選擇t1， . . . ， tn1+1，對(duì)i ∈ N計(jì)算ci= φ（ti）。定義函數(shù)T 如下

選擇秘密隨機(jī)置換π和用于共謀安全碼C的秘密隨機(jī)性r ∈ {0，1}ρ。設(shè)置主公鑰mpk和主私鑰msk如下：mpk = {g， g1， h2， U = （u0， . . . ， un2）， c1， . . . ， cn1+1}， msk = {α， h， V， t1， . . . ， tn1+1}.

本文所設(shè)計(jì)的方案解決了基于屬性加密體制中存在的密鑰濫用、密鑰克隆以及幾個(gè)用戶(hù)共謀產(chǎn)生非法密鑰并分發(fā)的問(wèn)題。如果一些用戶(hù)創(chuàng)建了解密盒或盜版解碼器并分發(fā)，并且密鑰生成中心發(fā)現(xiàn)了相應(yīng)的解密盒或盜版解碼器，那么密鑰生成中心可以追蹤到是哪些用戶(hù)實(shí)施了該非法行為，然后給予相應(yīng)的懲罰。

參考文獻(xiàn)：

[1] W. Diffie， M. Hellman， New directions in cryptography， IEEE Transaction on Information Theory，IT-22（6）：644-654， November， 1976.

[2] R. L. Rivest， A. Shamir， L. Adleman， A method for obtaining digital signatures and public-key cryptosystems， Com. of ACM， vol. 21， pp. 120-126， 1978.

作者簡(jiǎn)介：王偉（1992-），男，山西太原人，職稱(chēng)：在讀，學(xué)歷：本科，所學(xué)專(zhuān)業(yè)：機(jī)械設(shè)計(jì)制造及其自動(dòng)化。