一種可撤銷的屬性簽密方案

馬海峰，彭長根，朱義杰，李甲帥

(1.貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽 550025；2.貴州大學(xué) 密碼學(xué)與數(shù)據(jù)安全研究所，貴州 貴陽 550025)

?

一種可撤銷的屬性簽密方案

馬海峰，彭長根*，朱義杰，李甲帥

(1.貴州大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽 550025；2.貴州大學(xué) 密碼學(xué)與數(shù)據(jù)安全研究所，貴州 貴陽 550025)

屬性簽密機(jī)制在實(shí)際運(yùn)用中受限于屬性撤銷效率低的問題，傳統(tǒng)的屬性簽密方案大都無法實(shí)現(xiàn)撤銷操作并高效解決上述問題；針對(duì)云存儲(chǔ)環(huán)境下屬性簽密方案中無法實(shí)現(xiàn)屬性撤銷且開銷較大的不足，提出一種屬性可撤銷的簽密方案。在簽密技術(shù)實(shí)現(xiàn)同時(shí)加密與簽密目的的基礎(chǔ)上，結(jié)合密鑰分割和代理重加密方法，達(dá)到屬性撤銷的目的。引入中間代理結(jié)構(gòu)，基于撤銷列表建立屬性撤銷協(xié)議提高撤銷效率，實(shí)現(xiàn)基于屬性密碼并且屬性可撤銷的簽密方案，并對(duì)方案的安全性進(jìn)行證明。

屬性加密；撤銷；密鑰分割；簽密

云計(jì)算快速發(fā)展，數(shù)據(jù)外包作為云服務(wù)的一項(xiàng)主要功能，越來越多的用戶將數(shù)據(jù)存儲(chǔ)于云存儲(chǔ)服務(wù)器，實(shí)現(xiàn)數(shù)據(jù)共享，比如在線備份、云端存儲(chǔ)都屬于這類服務(wù)。傳統(tǒng)的訪問控制不能在云存儲(chǔ)環(huán)境下有效保證數(shù)據(jù)存儲(chǔ)的安全性。簽密技術(shù)以其計(jì)算量及通信開銷都低于傳統(tǒng)“先簽名后加密”方法的優(yōu)勢(shì)，能高效地同時(shí)完成加密和簽名[1]。屬性加密機(jī)制，將訪問控制結(jié)構(gòu)與用戶的屬性相關(guān)聯(lián)，當(dāng)且僅當(dāng)用戶屬性滿足訪問控制結(jié)構(gòu)時(shí)，才能正確解密密文，豐富了加密策略的靈活性和用戶權(quán)限的可描述性，從以往的一對(duì)一加密模式擴(kuò)展成一對(duì)多模式，實(shí)現(xiàn)非交互控制過程。為此，Guo，等[2]人提出了基于屬性的簽名方案，使得某個(gè)群組中的任意一員可以簽密一個(gè)具有特定屬性的文件，其并沒有考慮在實(shí)際操作過程中，不可避免的會(huì)出現(xiàn)一些屬性撤銷和用戶權(quán)限變更的操作以及對(duì)整個(gè)系統(tǒng)的性能影響[3]。

近幾年來，國內(nèi)外研究者提出了一些屬性撤銷方案。在最初的文獻(xiàn)[4,5]中，通過給每個(gè)用戶頒發(fā)一個(gè)額外的終止日期的屬性，來限制密鑰的使用時(shí)間。2012年，Sahai，等[6]人，通過二叉樹，結(jié)合“密文代理”性質(zhì)，提出了一個(gè)高效可撤銷屬性加密方案，使得權(quán)威機(jī)構(gòu)不需要與用戶進(jìn)行交互或存在安全信道。但是，這種撤銷本質(zhì)上是對(duì)用戶密鑰的完全撤銷[7]，Li，等[8]人針對(duì)直接撤銷方案，即由一個(gè)可信第三方公布撤銷用戶的名單，系統(tǒng)直接通過排除名單中被撤銷用戶來進(jìn)行撤銷操作。文獻(xiàn)[9]提出了標(biāo)簽機(jī)制和懶惰重加密機(jī)制來減少屬性撤銷時(shí)的開銷，但是產(chǎn)生了額外的版本維護(hù)開銷和延遲問題。

本文在此基礎(chǔ)上，建立云存儲(chǔ)環(huán)境下的訪問控制模型，針對(duì)現(xiàn)有簽密方案的不足，借鑒文獻(xiàn)[10]中的半可信中間人結(jié)構(gòu)，采用密鑰分割方法，使用戶的完整密鑰需要結(jié)合中間代理密鑰生成，中間代理運(yùn)用重加密技術(shù)實(shí)現(xiàn)重密鑰生成，減輕授權(quán)中心的計(jì)算負(fù)擔(dān)。通過撤銷列表實(shí)現(xiàn)細(xì)粒度的屬性撤銷。在可信任授權(quán)中心和中間代理之間，設(shè)計(jì)撤銷協(xié)議，保證撤銷列表的同步，實(shí)現(xiàn)屬性的及時(shí)撤銷。方案中，云存儲(chǔ)服務(wù)器只完成對(duì)密文的存儲(chǔ)，所以用戶不用擔(dān)心云存儲(chǔ)服務(wù)器自身的安全問題。

1　基礎(chǔ)知識(shí)

1.1密鑰分割

在文獻(xiàn)[10]中，引入中間代理結(jié)構(gòu)，并隨機(jī)設(shè)置一組與用戶所有的屬性集合無關(guān)的無關(guān)屬性集X={x1,x2,…,xk}，通過這個(gè)無關(guān)屬性集構(gòu)造一個(gè)無關(guān)屬性訪問控制樹Tx；設(shè)傳統(tǒng)密文中的訪問控制樹為Tc，通過如圖1所示方式將兩個(gè)控制樹結(jié)合形成一個(gè)最終簽密時(shí)采用的訪問控制樹T：

圖1　訪問控制樹

授權(quán)中心為用戶和中間代理分別發(fā)送各自的私鑰，其中，以Tc生成用戶私鑰SKu，以Tx生成中間代理的密鑰SKx，這樣就完成了對(duì)密鑰的分割。

該方案通過隨機(jī)生成的無關(guān)屬性集，重新構(gòu)造新的訪問控制樹，然后對(duì)明文進(jìn)行簽密。中間代理保存根據(jù)無關(guān)屬性集所生成的私鑰，用戶對(duì)所有簽密文的訪問，都需要經(jīng)過中間代理對(duì)訪問申請(qǐng)進(jìn)行轉(zhuǎn)發(fā)，而屬性撤銷是通過用戶撤銷列表和屬性撤銷列表，中間代理服務(wù)器通過對(duì)這兩張表的維護(hù)來判斷用戶的撤銷情況，如果用戶未被撤銷，則將簽密文發(fā)送給用戶進(jìn)行解簽密，由于用戶保存的是部分私鑰，不能對(duì)簽密文進(jìn)行完全解簽密，所以，部分解簽密操作完成后，用戶將自己的最小解簽密屬性集發(fā)送給中間代理，中間代理通過查看屬性撤銷列表中的信息，判斷用戶是否有屬性被撤銷，如果沒有，則用代理重密鑰對(duì)自己的特殊私鑰進(jìn)行重加密，然后將重加密后的私鑰發(fā)送給用戶完成剩余的解簽密操作。并且通過撤銷時(shí)更新密文和中間代理私鑰版本號(hào)，避免用戶間的合謀。

1.2訪問樹構(gòu)建

基于文獻(xiàn)[1]構(gòu)建基于密文策略的簽密方案的訪問控制樹，其中，x為訪問樹T的結(jié)點(diǎn)，n為非葉子結(jié)點(diǎn)的個(gè)數(shù)，且訪問數(shù)結(jié)點(diǎn)存在順序?yàn)?至num編號(hào)，對(duì)于每個(gè)非葉子結(jié)點(diǎn)設(shè)定級(jí)別，對(duì)于非葉子結(jié)點(diǎn)的門限，由子結(jié)點(diǎn)個(gè)數(shù)，門限值以及對(duì)應(yīng)的級(jí)別進(jìn)行描述，numx代表x的子結(jié)點(diǎn)數(shù)量，kx代表結(jié)點(diǎn)的門限值，當(dāng)x為葉子結(jié)點(diǎn)時(shí)，代表屬性中的某個(gè)特定屬性，且門限值kx=1，屬性滿足訪問結(jié)構(gòu)，Tr表示一棵以r為根結(jié)點(diǎn)的訪問樹，Tx表示以x為根結(jié)點(diǎn)的Tr子樹，如果一個(gè)屬性集合滿足訪問樹Tx，表示訪問結(jié)構(gòu)A包含屬性集的授權(quán)集合，記為Tx(γ)=1，其中Tx(γ)的值用以下方法遞歸計(jì)算而來，當(dāng)x為非葉子結(jié)點(diǎn)，計(jì)算結(jié)點(diǎn)x的所有子結(jié)點(diǎn)x'的Tx'(γ)，那么Tx(γ)=1，當(dāng)且僅當(dāng)至少kx個(gè)子結(jié)點(diǎn)x'的Tx'(γ)=1，當(dāng)x是葉子結(jié)點(diǎn)，則Tx(γ)=1當(dāng)且僅當(dāng)att(x)∈γ。

2　可撤銷的屬性簽密方案

利用代理重加密原理，將密鑰分割[10]與簽密方案[1]相結(jié)合，實(shí)現(xiàn)屬性簽密方案的屬性撤銷，并構(gòu)建一個(gè)撤銷協(xié)議，改善以往撤銷操作產(chǎn)生的撤銷延遲問題，并提高效率使得方案可以實(shí)現(xiàn)云存儲(chǔ)環(huán)境下的屬性撤銷。

2.1模型

模型由四個(gè)部分組成，分別為授權(quán)中心，云存儲(chǔ)服務(wù)器，數(shù)據(jù)所有者，數(shù)據(jù)使用者，中間代理四部分構(gòu)成，方案如圖2所示：

圖2　訪問控制模型

(1)授權(quán)中心：授權(quán)中心負(fù)責(zé)生成系統(tǒng)屬性，及無關(guān)屬性集，生成用戶和中間代理各自的私鑰，通過安全信道向中間代理和用戶分配解密密鑰；生成執(zhí)行撤銷操作的代理重密鑰，通過定義好的撤銷協(xié)議，向代理發(fā)送撤銷數(shù)據(jù)庫更新；

(2)中間代理：中間代理負(fù)責(zé)將用戶的文件傳輸請(qǐng)求轉(zhuǎn)發(fā)給云存儲(chǔ)服務(wù)器，并通過重密鑰計(jì)算新的無關(guān)屬性私鑰。代理通過維護(hù)用戶撤銷列表和屬性撤銷列表，判斷某一個(gè)請(qǐng)求用戶的撤銷情況。

(3)云存儲(chǔ)服務(wù)器：云存儲(chǔ)服務(wù)器根據(jù)代理轉(zhuǎn)發(fā)而來的用戶請(qǐng)求，對(duì)數(shù)據(jù)進(jìn)行保存和檢索的操作。

(4)數(shù)據(jù)所有者：將數(shù)據(jù)通過設(shè)定的訪問控制結(jié)構(gòu)，然后用自己的私鑰進(jìn)行簽密，然后將密文存儲(chǔ)在云存儲(chǔ)服務(wù)器。

(5)數(shù)據(jù)使用者：對(duì)存儲(chǔ)在云存儲(chǔ)服務(wù)器上的信息進(jìn)行訪問。

2.2撤銷協(xié)議

授權(quán)中心和中間代理之間可以通過這個(gè)協(xié)議進(jìn)行安全的同步撤銷列表的操作。協(xié)議假設(shè)中間代理總是在線；授權(quán)中心在線狀態(tài)不保證；并且，中間代理的撤銷列表總是最新的，而且撤銷操作是立刻執(zhí)行的。

協(xié)議包含4種類型的消息，每個(gè)消息包含目的碼、有效載荷、數(shù)字簽名、時(shí)間戳四個(gè)元素。其中，數(shù)字簽名是由授權(quán)中心的公鑰和其他三個(gè)元素的哈希值簽名得到，以保證消息的完整性和來源的真實(shí)性。

如果產(chǎn)生屬性撤銷，那么操作流程如下。

屬性增加：授權(quán)中心在執(zhí)行Setup之后，向中間代理發(fā)送一條消息，消息的載荷包含屬性的總數(shù)量、屬性的長度、屬性名稱；中間代理收到消息后，驗(yàn)證成功之后，將屬性名稱存儲(chǔ)在它的數(shù)據(jù)庫中。

增加用戶：授權(quán)中心在執(zhí)行KeyExtraction之后，向中間代理發(fā)送一條消息，消息的載荷為用戶的數(shù)量、用戶名、每個(gè)用戶名相關(guān)的屬性。中間代理收到消息后，驗(yàn)證成功之后，將用戶信息儲(chǔ)存在數(shù)據(jù)庫中。

撤銷：在授權(quán)中心執(zhí)行撤銷操作，更新自己的撤銷列表之后，向中間代理發(fā)送一條消息，消息的載荷指出撤銷是否是針對(duì)整個(gè)系統(tǒng)，并且包含屬性撤銷的數(shù)量或者撤銷的用戶的用戶名。這條消息可以撤銷系統(tǒng)的某些屬性，也可以只撤銷某些用戶。

沒有屬性撤銷操作時(shí)，授權(quán)中心和中間代理之間也會(huì)發(fā)送一條和撤銷消息載荷類似的消息來同步他們的撤銷列表。

2.3算法描述

整個(gè)系統(tǒng)由系統(tǒng)參數(shù)初始化方法Setup、用戶私鑰生成方法KeyExtraction1、中間代理私鑰生成方法KeyExtraction2、簽密算法Signencryption、代理重密鑰生成方法Rekeygen、解簽密算法DeSignencryption六個(gè)方法構(gòu)成。

Setup：授權(quán)中心初始化系統(tǒng)的屬性集合，輸入安全參數(shù)，生成公鑰PK和主密鑰MK。

KeyExtraction1：用戶私鑰生成算法。用戶將在系統(tǒng)中獲得的屬性集合發(fā)送給授權(quán)中心，授權(quán)中心通過接收到的屬性集合為用戶生成私鑰并通過安全信道發(fā)送給用戶。

2.1.礦體特征。齊家溝金礦床主要形成于燕山期，與該時(shí)期該地區(qū)的大規(guī)模巖漿活動(dòng)密切相關(guān)，同時(shí)，流體運(yùn)動(dòng)也引起了相關(guān)礦元素的遷移以及富集作用，該金礦的形成還受到了相關(guān)斷裂構(gòu)造系統(tǒng)的影響，同時(shí)與玲瓏花崗巖和膠東群變質(zhì)巖的相互作用密切相關(guān)。

KeyExtraction2：中間代理密鑰生成算法。授權(quán)中心隨機(jī)生成無關(guān)屬性集合，并生成訪問控制樹，將密鑰版本值，初始化為1，結(jié)合無關(guān)屬性集選取隨機(jī)參數(shù)生成私鑰，然后將私鑰發(fā)送給中間代理服務(wù)器。

Signencryption：簽密算法。輸入系統(tǒng)公鑰、訪問控制樹、簽密用戶的私鑰，對(duì)明文消息進(jìn)行簽密操作，并在簽密文中包含當(dāng)前版本，初始值為1，最后發(fā)送給存儲(chǔ)服務(wù)器。其中，代理服務(wù)器密鑰的版本號(hào)與簽密文中的版本號(hào)是相同的。

Rekeygen：代理重密鑰生成算法。授權(quán)中心根據(jù)每一個(gè)不同的簽密文，分別生成兩個(gè)不同的代理重密鑰，然后將它們發(fā)送給中間代理進(jìn)行存儲(chǔ)。

DeSignencryption：解簽密方法。輸入簽密文和進(jìn)行解簽密操作用戶的私鑰，如果用戶的屬性集合滿足訪問結(jié)構(gòu)，則可以解簽密得到明文。

2.4具體算法

2.4.1Setup

授權(quán)中心隨機(jī)選取生成元g，雙線性群G0的階為p，雙線性映射為e:G0×G0=GT，選擇四個(gè)隨機(jī)數(shù)α1，α2，β1，β2∈Zp，生成公鑰與主密鑰：

PK1=(G0,g,h1=gβ1,e(g,g)α1)

(1)

MK1=(β1,gα1)

(2)

(3)

MK2=(β2,gα2)

(4)

2.4.2KeyExtraction1

算法輸入主密鑰MK1，以及用戶u對(duì)應(yīng)的屬性集A={a1,a2,…,ak}，選取隨機(jī)數(shù)r∈Zp，A中的每一個(gè)屬性aj隨機(jī)選擇一個(gè)值rj∈Zp，生成私鑰為：

(5)

2.4.3KeyExtraction2

輸入無關(guān)屬性集X，選取隨機(jī)數(shù)r0,t∈Zp，以及無關(guān)屬性集X={x1,x2,…,xk}中每一個(gè)xi隨機(jī)選擇一個(gè)值，ri∈Zp設(shè)置版本號(hào)為V，默認(rèn)為1，生成無關(guān)屬性集私鑰為：

(6)

2.4.4Signencryption

輸入系統(tǒng)公鑰PK1，待簽密明文M，訪問控制樹T，以及簽密用戶私鑰。其中，訪問控制樹中包含的所有非葉子節(jié)點(diǎn)集合為L={l1,l2,…,lk}，所有葉子節(jié)點(diǎn)集合為Y={y1,y2,…,yk}。由根節(jié)點(diǎn)開始，從上往下，設(shè)每一個(gè)節(jié)點(diǎn)Li的拉格朗日多項(xiàng)式qi的次數(shù)為di。對(duì)于根節(jié)點(diǎn)lR，隨機(jī)選取s∈Zp，且qR(0)=s，之后任意選擇dR個(gè)值，完成對(duì)qR的定義。對(duì)于非根節(jié)點(diǎn)li， qx(0)=qparent(x)(index(i))，之后任意選擇di個(gè)值，完成對(duì)qi的定義。具體簽密方案：

(1)?li∈L:Ci=qk(0)h1

(2)?li∈L:hi=H1(mi⊕Ci)

(4)?li∈L:Wi=e(g,g)α·qi(0)

2.4.5Rekeygen

輸入主密鑰MK2生成無關(guān)屬性集時(shí)保存的隨機(jī)數(shù)t∈Zp并選取隨機(jī)數(shù)t′∈Zp，生成代理重密鑰為：

(7)

(8)

2.4.6DeSignencryption

輸入包含訪問控制結(jié)構(gòu)的簽密文CT，及解簽密用戶的私鑰SK，解簽密算法的執(zhí)行要考慮是否出現(xiàn)撤銷操作，執(zhí)行步驟如下：

若用戶未被撤銷，那么中間代理響應(yīng)用戶請(qǐng)求，將密文發(fā)送給用戶，用戶用自己的私鑰進(jìn)行解密，用戶將得到的解密部分密文的最小屬性集S發(fā)送給中間代理，中間代理根據(jù)屬性撤銷列表判斷該用戶是否有被撤銷的屬性，如果S未在屬性撤銷列表中，則中間代理執(zhí)行重密鑰算法Rekey(rk2,SKx)得到：

(9)

用戶收到密鑰之后，調(diào)用解密算法Decrypt(CT,SKu)，DecryptNode(CT,SKu,m)，m為訪問控制結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)，如果用戶的屬性集滿足訪問策略，則計(jì)算：

A1=Fr=DecryptNode(CT,SKu,r)=e(g,g)r·s1，

(10)

M1=M·e(g,g)α2·s2,mx,hx

(11)

當(dāng)且僅當(dāng)

若相等：

=e(g,g)r0·s2·t

(12)

=M·e(g,g)α2·s2·e(g,g)r0·s2·t/e(g,g)s2(α2+r0t)

=M

(13)

若出現(xiàn)用戶撤銷操作，則代理服務(wù)器對(duì)密鑰進(jìn)行重加密Rekey(rk1,SKx)：

(14)

即可實(shí)現(xiàn)屬性的撤銷。

3　安全性證明

本方案中，由Bethencourt，等[11]人的文獻(xiàn)可知，當(dāng)用戶的屬性集合不滿足控制結(jié)構(gòu)時(shí)，該基于密文策略的屬性加密方案能抵抗選擇密文攻擊，那么對(duì)手想要攻破方案，就只有在屬性撤銷情況下。

證明本方案在DBDH下滿足CPA安全。假設(shè)敵手A可以在多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢(shì)ε贏得游戲，則能以不可忽略的優(yōu)勢(shì)ε/2解決DBDH問題。

挑戰(zhàn)者隨機(jī)選取a,b,c,z∈Zp，及以g為生成元的群G0，挑戰(zhàn)者以隨機(jī)概率選擇b∈{0,1}，當(dāng)b=0時(shí)，Z=e(g,g)abc，當(dāng)b=1時(shí)，Z=e(g,g)z，挑戰(zhàn)者將(g,ga,gb,gc,Z)發(fā)送給模擬器，模擬器在游戲中充當(dāng)挑戰(zhàn)者的角色。

(1)初始化階段

敵手A選擇訪問控制結(jié)構(gòu)T′，然后向挑戰(zhàn)者發(fā)送用戶撤銷列表以及屬性撤銷列表。

(2)建立階段

模擬器執(zhí)行Setup。敵手隨機(jī)生成無關(guān)屬性集合X∈{x1,x2,…,xn}，并且對(duì)于訪問控制結(jié)構(gòu)T′，?xi∈X都不滿足。若用戶被撤銷，即用戶在用戶撤銷列表中，或者某個(gè)屬性被撤銷，生成挑戰(zhàn)者私鑰和無關(guān)屬性私鑰：

(15)

SKx=(V,D2=g(α2+r0)/β2,?xi∈X:Dx=(gr0·H(xi)ri)t,

(16)

(3)挑戰(zhàn)階段

A選擇兩個(gè)不同用戶U0,U1，挑戰(zhàn)者以隨機(jī)概率拋一枚硬幣μ,μ∈{0,1}，并發(fā)送以T′簽密的簽密文CT′給A:

Ci=qk(0)h1,hi=H1(mi⊕Ci),

(17)

Wi=e(g,g)α·qi(0),Cj=qj(0)g,

(18)

(19)

(20)

A可以用SKi進(jìn)行部分解簽密，卻由于t≠t′，不能得到真正的明文。由離散指數(shù)問題的困難性可知，A想要得到正確的無關(guān)屬性密鑰必須確定α2·β2，而該問題是困難的。進(jìn)一步，由于r0是隨機(jī)數(shù)，就算A獲得正確的α2·β2，對(duì)于r0的確定，也是無能為力的。

如果uμ沒有被撤銷，則A可以向挑戰(zhàn)者發(fā)送兩個(gè)屬性集A0,A1，同樣的，挑戰(zhàn)者以隨機(jī)概率拋硬幣μ,μ∈{0,1}，并發(fā)送以T′加密的CT′給A，如果撤銷列表對(duì)Aμ中的屬性進(jìn)行了撤銷，由于上面已證明A恢復(fù)得到無關(guān)屬性私鑰是困難的，那么A不能解簽密得到明文。

(4)猜想階段

A輸出猜想μ′∈{0,1}。若μ′=μ，那么模擬器輸出1，否則輸出0，會(huì)出現(xiàn)以下兩種情況：

若Z=e(g,g)abc且A獲勝的優(yōu)勢(shì)是ε，則

Pr[x=1|Z=e(g,g)abc]

=Pr[μ′=μ|Z=e(g,g)abc]=1/2+ε

(21)

(b)若Z=e(g,g)z且A沒有猜測(cè)出μ的優(yōu)勢(shì)，那么

Pr[x=0|Z=e(g,g)z]

=Pr[μ′≠μ|Z=e(g,g)z]=1/2

(22)

綜上可得，挑戰(zhàn)者解決DBDH假設(shè)的優(yōu)勢(shì)為：

(23)

4　結(jié)語

為解決傳統(tǒng)屬性加密方案中，無法在實(shí)現(xiàn)簽密的同時(shí)實(shí)現(xiàn)屬性的撤銷問題，本方案在云存儲(chǔ)訪問控制框架下，結(jié)合密文策略屬性簽密方案和基于密鑰分割的屬性撤銷，給出了屬性可撤銷的屬性簽密方案，并運(yùn)用安全性證明技術(shù)分析得出方案在DBDH假設(shè)下是CPA安全的。由于系統(tǒng)用戶的數(shù)量影響著方案中的公共參數(shù)和計(jì)算代價(jià)，本方案依然存在改進(jìn)空間。如何在提高系統(tǒng)效率的同時(shí)，使其不受系統(tǒng)中用戶數(shù)量的限制，是下一步研究的重點(diǎn)。

[1] 王偉茹,彭長根,原志龍. 基于密文策略的屬性簽密方案[J]. 貴州大學(xué)學(xué)報(bào)(自然科學(xué)版),2013,30(4):74-78.

[2] GUO Shanqing, ZENG Yingpei. Attribute-based Signature Scheme[C]//International Conference on Information Security and Assurance,USA:IEEE, 2008:509-511.

[3] 潘寧,朱智強(qiáng),孫磊,等. 一種用于云存儲(chǔ)的可撤銷的屬性加密方案[J].計(jì)算機(jī)應(yīng)用研究,2014(5):1488-1490，1515.

[4] Goyal V,Pandey O,Sahai A,et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//Proceedings of the 13th ACM Conference on Computer and Communications Security.USA：ACM,2006:89-98.

[5] Pirretti M,Traynor P,McDaniel P,et al.Secure attribute-based systems[C]//ACM Conference on Computer and Communications Security-CSS 2006.USA：ACM,2006:99-112.

[6] Sahai A, Seyalioglu H, Waters B. Dynamic credentials and ciphertext delegation for attribute-based encryption[C]//Advances in Cryptology-CRYPTO 2012. Berlin Heidelberg：Springer，2012: 199-217.

[7] 馮登國,陳成. 屬性密碼學(xué)研究[J]. 密碼學(xué)報(bào),2014(1):1-12.

[8] Li Q, Feng D, Zhang L. An attribute based encryption scheme with fine-grained attribute revocation[C]//Global Communications Conference (GLOBECOM), 2012 IEEE. USA：IEEE, 2012: 885-890.

[9] Yu S, Wang C, Ren K, et al. Attribute based data sharing with attribute revocation[C]//Proceedings of the 5th ACM Symposium on Information, Computer and Communications Security. USA：ACM, 2010: 261-270.

[10]Ibraimi L, Petkovic M, Nikova S, et al. Mediated ciphertext-policy attribute-based encryption and its application[M].Information security applications. Berlin Heidelberg：Springer, 2009: 309-323.

[11]Bethencourt J, Sahai A, Waters B. Ciphertext-Policy Attribute-Based Encryption[J]. 2007, 2008(4):321-334.

(責(zé)任編輯：周曉南)

A Ciphertext-Policy Attribute-Based Sincryption Scheme with Revocation

MA Haifeng, PENG Changgen*,ZHU Yijie, LI Jiashuai

(1.College of Computer Science & Technology, Guizhou University, Guiyang 550025,China;2. Institute of Cryptography & Data Security, Guizhou University, Guiyang 550025,China)

The Attribute-Based signcryption schemes are limited by the low efficiency in the practical application. The traditional Attribute-Based signcryption schemes can not solve the above problems. To solve the problem of attributes unable to be revoked and the problem of efficiency, a ciphertext-policy attribute-based sincryption scheme with revocation was proposed. Secret splitting and proxy re-encryption were combined to achieve the purpose of attributes revocation on the basis of the signcryption. The efficiency of attributes revocation was improved by importing a mediate proxy and revocation protocol was established based on revocation list. Finally, the security of this scheme was proved.

attribute-based encryption；revocation；secret splitting；signcryption

A

1000-5269(2016)03-0096-06

10.15958/j.cnki.gdxbzrb.2016.03.23

2015-12-28

國家自然科學(xué)基金項(xiàng)目資助 (61262073，61363068)；全國統(tǒng)計(jì)科學(xué)研究計(jì)劃基金項(xiàng)目資助 (2013LZ46);貴州省統(tǒng)計(jì)科學(xué)研究課題項(xiàng)目資助(201511)

馬海峰(1990-)，男，在讀碩士，研究方向：密碼學(xué)與可信計(jì)算，Email: 599163431@qq.com.

彭長根，Email：peng_stud@163.com.

TP309