適合云存儲的訪問策略可更新多中心CP-ABE方案

吳光強

(暨南大學(xué)信息科學(xué)技術(shù)學(xué)院 廣州 510632) (g.q.wu@foxmail.com)

?

適合云存儲的訪問策略可更新多中心CP-ABE方案

吳光強

(暨南大學(xué)信息科學(xué)技術(shù)學(xué)院 廣州 510632) (g.q.wu@foxmail.com)

云存儲作為一種新型的數(shù)據(jù)存儲體系結(jié)構(gòu)，近年來得到越來越廣泛的應(yīng)用.大多數(shù)用戶為了降低本地存儲開銷、實現(xiàn)數(shù)據(jù)共享選擇將自己的數(shù)據(jù)上傳到云服務(wù)器存儲.然而，云存儲系統(tǒng)存在的安全隱患也引發(fā)了社會越來越多的擔(dān)憂.例如，不完全可信的云服務(wù)提供商可能會竊取用戶的數(shù)據(jù)或讓未授權(quán)的其他用戶訪問數(shù)據(jù)等.因此，對用戶數(shù)據(jù)進(jìn)行加密并實現(xiàn)數(shù)據(jù)的訪問控制是確保云存儲中數(shù)據(jù)安全的有效方法.基于密文的屬性加密(CP-ABE)方案則能夠很好地實現(xiàn)安全云存儲目標(biāo)，它允許一個發(fā)送者加密數(shù)據(jù)并設(shè)置訪問控制結(jié)構(gòu)，只有符合條件的用戶才能對數(shù)據(jù)進(jìn)行解密.但是，傳統(tǒng)CP-ABE方案中存在的密鑰泄露等問題制約了屬性加密在云存儲系統(tǒng)中的應(yīng)用.針對上述的問題，提出了一個多授權(quán)機構(gòu)支持策略更新的CP-ABE方案，該方案與之前的方案相比，不僅可以通過多授權(quán)機構(gòu)避免密鑰泄露問題，同時將策略更新及密文更新過程交給服務(wù)器執(zhí)行，有效地降低了本地的計算開銷和數(shù)據(jù)傳輸開銷，充分利用云存儲的優(yōu)勢提供一個高效、靈活的安全數(shù)據(jù)存儲方案,對所提方案進(jìn)行了安全性證明，并對方案進(jìn)行了效率分析.

云存儲；訪問控制；基于密文的屬性加密；多授權(quán)機構(gòu)；策略更新

云存儲允許用戶將數(shù)據(jù)存儲在云端，并且可以隨時通過終端訪問數(shù)據(jù).這種存儲方式極大地降低了本地存儲開銷，同時能夠提高數(shù)據(jù)訪問的靈活性.近年來，隨著云計算的快速發(fā)展，在開放云存儲環(huán)境下進(jìn)行數(shù)據(jù)共享和數(shù)據(jù)處理的需求也越來越多.然而，云計算和云存儲給我們帶來便利的同時也帶來了眾多安全隱患.1)第三方云服務(wù)提供商往往是不可信的，一些惡意的云服務(wù)器可能會竊取或篡改數(shù)據(jù)擁有者的數(shù)據(jù)，給用戶造成損失;2)云存儲服務(wù)器無法保證數(shù)據(jù)擁有者的數(shù)據(jù)不會被未授權(quán)的用戶訪問.因此數(shù)據(jù)擁有者在共享數(shù)據(jù)時不僅要保證數(shù)據(jù)的機密性，同時還需要制定靈活的訪問控制策略.基于屬性的加密方案不僅可以實現(xiàn)對數(shù)據(jù)的加密，而且可以保證其機密性、數(shù)據(jù)訪問控制是保護(hù)數(shù)據(jù)最直接也是最有效的方法，對云端的數(shù)據(jù)進(jìn)行加密存儲是最直接有效的訪問控制策略，然而在云存儲環(huán)境中基于密文的屬性加密能實現(xiàn)安全、靈活的訪問控制，也是目前應(yīng)用最廣泛的方法.

2005年，Sahai和Waters[1]對基于身份加密(IBE)[2-4]進(jìn)行了推廣，提出了基于屬性加密(attri-bute-based encryption, ABE)的機制，解決了傳統(tǒng)加密中無法實現(xiàn)一對多的細(xì)粒度加密的問題.傳統(tǒng)加密中一個密文只能被一個用戶解密，而ABE則可以實現(xiàn)一個基于屬性的密文可以被滿足條件的多個用戶同時解密，并且可以對該條件進(jìn)行細(xì)粒度地控制.基于屬性加密可以分為密鑰策略的屬性基加密(key-policy attribute-based encryption, KP-ABE)和密文策略的屬性基加密(ciphertext-policy attri-bute-based encryption, CP-ABE)兩大類[5].密文策略的屬性基加密(CP-ABE)是在云存儲中進(jìn)行訪問控制的最好方法之一，因為它給予數(shù)據(jù)擁有者更直接的訪問策略.在密文策略的屬性基加密中，由一個授權(quán)中心負(fù)責(zé)管理屬性和密鑰的分配，該授權(quán)中心可以是云服務(wù)器提供商獨立的部門，也可以是某公司的人力資源管理處等.數(shù)據(jù)擁有者定義訪問策略并使用這個策略加密數(shù)據(jù)，每個用戶擁有一個與自己屬性相關(guān)的私鑰，當(dāng)且僅當(dāng)用戶私鑰中的屬性滿足訪問策略時才能解密密文.

目前有2種密文策略的屬性基加密系統(tǒng):單授權(quán)機構(gòu)(single-authority)的CP-ABE[6-10]，所有的屬性都由這個屬性授權(quán)機構(gòu)(attribute-authority, AA)管理；多授權(quán)機構(gòu)(multi-authority)的CP-ABE[11-15]，各個屬性授權(quán)機構(gòu)管理各自的屬性集并負(fù)責(zé)為用戶頒發(fā)相應(yīng)的屬性私鑰.在單授權(quán)機構(gòu)中，所有用戶的屬性私鑰都由這個屬性授權(quán)機構(gòu)分配，隨著用戶數(shù)量的增長，授權(quán)機構(gòu)會超負(fù)荷運行，其工作效率降低，系統(tǒng)出現(xiàn)癱瘓的可能性大，而且系統(tǒng)要求這個授權(quán)機構(gòu)完全可信，如果這個授權(quán)機構(gòu)存在信譽問題，那么系統(tǒng)將存在嚴(yán)重的安全隱患.此外，單授權(quán)機構(gòu)容易遭受攻擊，一旦這個授權(quán)機構(gòu)被攻陷，整個系統(tǒng)將不安全.多授權(quán)機構(gòu)的CP-ABE更適用于云存儲系統(tǒng)中的訪問控制，它能解決單授權(quán)機構(gòu)存在的問題.然而，由于密鑰泄露的問題，使用已有的CP-ABE方案實現(xiàn)云存儲的訪問控制還有一些局限性.

在多授權(quán)機構(gòu)支持策略更新的CP-ABE云存儲系統(tǒng)中，用戶的屬性應(yīng)該支持動態(tài)變化，例如，公司A有一批數(shù)據(jù)放在云端，公司A制定的訪問策略是{副經(jīng)理，經(jīng)理，技術(shù)總監(jiān)}，即只有滿足這3個屬性的員工才能訪問這批數(shù)據(jù)，但由于業(yè)務(wù)需要公司只想讓滿足{經(jīng)理，技術(shù)總監(jiān)}的員工訪問這批數(shù)據(jù).這就需要云存儲系統(tǒng)支持策略更新的功能.

然而，現(xiàn)存的策略更新方法[16-17]效率不高，無法很好地解決多授權(quán)機構(gòu)在云存儲系統(tǒng)中策略更新的問題.Huang等人[18]提出的方案雖然支持策略更新，但在密文更新算法中，重新加密密文的工作由數(shù)據(jù)擁有者完成，該方案會導(dǎo)致較多的通信、計算和存儲開銷.為了提高效率，我們提出的方案是：重新加密密文這個任務(wù)外包給云服務(wù)器，而非數(shù)據(jù)擁有者、數(shù)據(jù)擁有者只需關(guān)注第1次的加密，無需關(guān)注屬性變化之后的密文更新，外包給服務(wù)器很大程度上減少云服務(wù)器和數(shù)據(jù)擁有者之間的通信開銷(數(shù)據(jù)擁有者無需再次上傳重新加密后的密文)，降低數(shù)據(jù)擁有者本地的存儲開銷，減少數(shù)據(jù)擁有者的計算量，降低數(shù)據(jù)擁有者的成本.我們使用代理重加密的方法，即服務(wù)器在重新加密密文前不用先解密這些密文，而是直接在原有密文的基礎(chǔ)上轉(zhuǎn)化成另一種密文，從而進(jìn)一步提高系統(tǒng)的效率，使ABE方案更適用于云存儲環(huán)境下的訪問控制.

1 預(yù)備知識

1.1 訪問結(jié)構(gòu)

令U為屬性集合，A?2U，對?B,C：若B∈A且B?C，有C∈A，那么稱A是單調(diào)的.訪問結(jié)構(gòu)A是屬性集合的非空子集.設(shè)D表示屬性集的任一子集，如果D∈A，那么D叫做授權(quán)集合；如果D?A，那么D叫做非授權(quán)集合.

1.2 t-n秘密共享方案

該方案的主要思想是把秘密a分享給n個實體，任意一個包含t個或更多共享實體的子集都能夠重構(gòu)這個秘密，少于t個共享實體的子集不能重構(gòu)出這個秘密.這個方案是基于多項式插值法，函數(shù)f(x)是由t個點(xi,yi)定義的t-1次多項式.

1) Setup：

① 隨機選擇一個秘密a∈ZP;

② 令b0=a;

④ 計算si=f(i) modp，令si為秘密的第i個共享；

2) Secret Reconstruction：對于(t-n)秘密共享方案，令S∈{1,2,…,n}表示包含t個共享的任意子集.那么用這t個共享實體si:i∈S及拉格朗日插值法就可以重構(gòu)函數(shù)f(x)：

1.3 雙線性對

令G1和G2是階為素數(shù)p的循環(huán)群，設(shè)g是G1群的生成元，并且存在雙線性映射e：G1×G1→G2.雙線性映射e有3個性質(zhì)：

1) 雙線性(bilinear)：對于所有的x,y∈G1和c,d∈Zp，有e(xc,yd)=e(x,y)cd;

2) 非退化性(non-degenerate)：e(g,g)≠1；

3) 可計算性(computable)：對任意的x,y∈G1，存在有效的多項式算法，計算e(x,y)值.

1.4 困難問題

判定型雙線性Diffie-Hellman問題(DBDH):給定五元組(g,ga,gb,gc,r)，其中a,b,c∈Zp，r∈G2，g為循環(huán)群G1的一個生成元，判定r=e(g,g)abc是否成立.

2 云存儲系統(tǒng)模型與安全模型

2.1 系統(tǒng)模型

一個支持多授權(quán)機構(gòu)CP-ABE方案的云存儲模型主要由5類實體組成，即可信授權(quán)中心(certificate authority, CA)、屬性授權(quán)機構(gòu)(attribute authoritie, AA)、數(shù)據(jù)擁有者(data owner, DO)、云存儲服務(wù)器(Cloud Server)、數(shù)據(jù)消費者(User).系統(tǒng)模型如圖1所示：

Fig. 1 System model of data access control in multi-authority cloud storage.圖1 多授權(quán)機構(gòu)的云存儲訪問控制系統(tǒng)模型

CA在系統(tǒng)中作為全局可信授權(quán)中心，負(fù)責(zé)初始化系統(tǒng)并接受用戶和屬性授權(quán)機構(gòu)的注冊，但不參與屬性管理和屬性密鑰生成.CA會為系統(tǒng)中每個合法的用戶分配一個唯一的全局用戶uid，并為每個屬性授權(quán)機構(gòu)分配一個aid.

AA是一個獨立的屬性授權(quán)機構(gòu)，擁有自己管理的屬性集，主要負(fù)責(zé)根據(jù)用戶屬性集合為用戶分發(fā)對應(yīng)的密鑰.若用戶屬性私鑰中的屬性滿足密文中的訪問控制策略就能夠解密密文.

DO可將自己的數(shù)據(jù)加密后上傳到云服務(wù)器，并根據(jù)需要設(shè)置相應(yīng)的訪問控制策略.

User可向云服務(wù)器發(fā)送數(shù)據(jù)訪問請求，并從云服務(wù)器下載相應(yīng)的密文數(shù)據(jù)，若該用戶具有的屬性集合符合DO設(shè)置的訪問策略，則可正確解密獲取明文數(shù)據(jù)，否則無法獲取相應(yīng)的數(shù)據(jù).

2.2 基于多授權(quán)機構(gòu)支持策略更新的CP-ABE方案

多授權(quán)機構(gòu)的CP-ABE系統(tǒng)由1個可信授權(quán)中心和k個屬性授權(quán)中心組成，其中每個屬性授權(quán)中心被分配一個值sk.該系統(tǒng)包括由系統(tǒng)建立算法(Setup)、屬性授權(quán)機構(gòu)密鑰生成算法(AAKeyGen)、可信授權(quán)中心密鑰生成算法(CAKeyGen)、加密算法(Encrypt)、解密算法(Decrypt)和策略更新算法(Attribute Revocation)六個算法組成：

1) Setup(k)→(PK,MSK,SKaid).系統(tǒng)建立算法輸入一個隨機的安全參數(shù)k，輸出系統(tǒng)的公鑰PK、系統(tǒng)的主密鑰MSK和每個屬性授權(quán)機構(gòu)的密鑰SKaid.

2) AAKeyGen(SKaid,IDuid,sk,Auid)→SKuid.屬性授權(quán)機構(gòu)運行一個隨機算法，輸入屬性授權(quán)機構(gòu)的密鑰SKaid、用戶名IDuid、屬性授權(quán)機構(gòu)的值sk和用戶的屬性集合Auid(我們假設(shè)用戶的這些屬性已經(jīng)在算法運行前得到認(rèn)證)，輸出用戶的私鑰SKuid.

3) CAKeyGen(MSK,IDuid)→DCA.可信授權(quán)中心運行一個隨機算法，輸入系統(tǒng)的主密鑰MSK和用戶名IDuid，輸出用戶私鑰DCA.

4) Encrypt(M,T,PK)→CT.數(shù)據(jù)擁有者運行加密算法，輸入要加密的消息M、訪問結(jié)構(gòu)T和系統(tǒng)公鑰PK，生成密文CT，其中密文包含了訪問結(jié)構(gòu)T.只有當(dāng)用戶的屬性集合滿足訪問結(jié)構(gòu)T時，才能正確解密出消息.

5) Decrypt(CT,SKuid,DCA)→M.用戶運行解密算法，輸入密文CT、用戶的私鑰SKuid,DCA，只有當(dāng)用戶私鑰中的屬性集合滿足密文的訪問結(jié)構(gòu)T，那么算法才可以正確解密出消息M.

6) Attribute Revocation.這個階段包含2個算法：密鑰更新算法(UKeyGen)和密文更新算法(CTUpdate).

② CTUpdate(CT,μ)→CT*.云存儲服務(wù)器運行密文更新算法，輸入原始密文CT、更新密鑰μ,重新生成密文CT*.

其中，策略更新算法隱含滿足2個要求，即：

Ⅰ.包含撤銷屬性的用戶不能解密用新的共享密鑰重新加密后的密文.例如，在信息科學(xué)技術(shù)學(xué)院中，有些機密文件只允許學(xué)院的教授以上級別的用戶才能查看，那么學(xué)院指定一個訪問策略“信科院 AND 教授 AND 博導(dǎo)”,只有滿足這個訪問策略的用戶才能解密機密文件，用戶A最開始擁有屬性{信科院、教授、博導(dǎo)}，能解密機密文件，后來用戶A被撤銷博導(dǎo)資格，那么用戶A就不能解密這些機密文件.

Ⅱ.新加入的用戶可以解密之前所有的密文.

2.3 選擇性安全模型定義

安全模型主要通過敵手與挑戰(zhàn)者的交互游戲進(jìn)行刻畫.跟傳統(tǒng)ABE的選擇性安全模型類似，這里也需要敵手在交互前將挑戰(zhàn)訪問結(jié)構(gòu)T*發(fā)送給挑戰(zhàn)者，并允許敵手向挑戰(zhàn)者發(fā)起密鑰查詢.其交互游戲描述如下：

1) Init.敵手A產(chǎn)生需要挑戰(zhàn)的訪問結(jié)構(gòu)T*，并將T*發(fā)送給挑戰(zhàn)者.

2) Setup.敵手發(fā)送屬性授權(quán)機構(gòu)管理的屬性集合Aaid并且指定被敵手攻破的屬性授權(quán)機構(gòu)列表.挑戰(zhàn)者運行系統(tǒng)建立算法，生成系統(tǒng)參數(shù)，包括系統(tǒng)公鑰及被攻破的屬性授權(quán)機構(gòu)的私鑰，發(fā)送給敵手A.

3) KeyQuery Ⅰ.敵手選擇屬性集合和用戶(Aaid,IDuid)，其中屬性集合Aaid不滿足訪問結(jié)構(gòu)T*.敵手向挑戰(zhàn)者詢問(Aaid,IDuid)對應(yīng)的密鑰，挑戰(zhàn)者將生成的密鑰發(fā)送給敵手.

4) Revocation Ⅰ.敵手發(fā)送密文C←(T,M)及策略更新后重新生成的訪問結(jié)構(gòu)T′，挑戰(zhàn)者用T′重新加密密文C，將更新后的密文C′發(fā)送給敵手.

5) Challenge.敵手提交2個相同長度的消息M0,M1挑戰(zhàn)者隨機選擇一個位b←{0,1}，在訪問結(jié)構(gòu)T*下加密消息Mb，將密文C*發(fā)送給敵手.

6) KeyQuery Ⅱ.與KeyQuery Ⅰ相同，敵手進(jìn)行多次私鑰詢問，其中詢問的屬性集合不滿足挑戰(zhàn)訪問結(jié)構(gòu)T*.

7) Revocation Ⅱ.與Revocation Ⅰ相同，敵手發(fā)送(C,T′)，但詢問的密文C不能與挑戰(zhàn)密文C*相同，并且訪問結(jié)構(gòu)T′不能夠被密鑰查詢中的屬性集合匹配.

8) Guess.敵手猜測b′←{0,1}.

若Aadv是可忽略的，則該方案滿足選擇性語義安全.

3 多中心支持更新的CP-ABE云存儲方案

在本節(jié)中，基于Huang等人的方案[18]本文提出了一個更為高效的多授權(quán)機構(gòu)支持策略更新的CP-ABE云存儲方案.在Huang等人的方案中，密文的策略更新需要數(shù)據(jù)擁有者在本地執(zhí)行，然后將更新的密文重新上傳至云服務(wù)器.而本文方案可以允許云服務(wù)器利用更新密鑰對密文直接進(jìn)行更新，從而降低了數(shù)據(jù)傳輸開銷.本文方案的具體構(gòu)造描述如下:

令G1和G2是階為p的循環(huán)群，p為素數(shù)，其中g(shù)是G1群的生成元，并且存在雙線性映射e：G1×G1→G2，選擇一個隨機函數(shù)F(x):S×ID→Zp和一個Hash函數(shù)H(x).

Setup：CA選擇m個種子{s1,s2,…,sm}∈Zp，把sk分配給第k個屬性授權(quán)機構(gòu)，每個屬性授權(quán)機構(gòu)隨機獨立的選擇一個yk∈p，計算Yk=e(g,gyk)，然后將Yk發(fā)送給CA.CA計算：

PK=(G0,g,h=gβ,f=g,e(g,g)y)，

系統(tǒng)主密鑰MSK=(s1,s2,…,sm,β)和每個屬性授權(quán)機構(gòu)AA的密鑰SKaid=(sk,yk,β).

AAKeyGen(SKaid,IDuid,sk,Auid)：輸入第k個屬性授權(quán)機構(gòu)的主密鑰SKaid及sk、用戶IDuid和用戶的屬性集合Auid，產(chǎn)生私鑰SKuid，具體如下：隨機選擇r∈Zp;?j∈Auid，選擇rj∈Zp;使用隨機函數(shù)F(x)計算yk,u=Fsk(IDuid)；產(chǎn)生如下私鑰：

SKuid=(D=g(yk+yk,u+r)β,

Encrypt(PK,M,T): 加密算法對一個樹形訪問控制結(jié)構(gòu)T下的消息M進(jìn)行加密的過程如下：

1) 對于給定的訪問樹T(如圖2所示)，隨機選擇一個a∈Zp作為訪問樹T的根節(jié)點，把所有的子節(jié)點設(shè)置為未分配狀態(tài)，使用如下遞歸算法分配共享密鑰到訪問樹中未分配的非葉子節(jié)點.

Fig. 2 Access strategy structure.圖2 訪問樹結(jié)構(gòu)

如果節(jié)點實現(xiàn)的功能是“and”，并且它的子節(jié)點未分配，那么通過(t,n)秘密共享方案拆分密鑰，產(chǎn)生第i個子節(jié)點的秘密ai=f(i)，其中t=n，n是節(jié)點的子節(jié)點數(shù)，t是重構(gòu)密鑰所需要的子節(jié)點個數(shù).

如果節(jié)點實現(xiàn)的功能是“or”，并且它的子節(jié)點未分配，那么通過(t,n)秘密共享方案拆分密鑰，產(chǎn)生第i個子節(jié)點的秘密ai=f(i)，其中t=1.

2) 密文CT

Decrypt(SKuid,DCA,CT):如果用戶的屬性集合Auid不滿足訪問樹T，返回⊥；否則，選擇一個最小的屬性集合Sx，分別計算:

Attribute Revocation：策略更新這個階段包含2個算法：密鑰更新算法(UKeyGen)和密文更新算法(CTUpdate).

策略更新功能由屬性授權(quán)機構(gòu)、數(shù)據(jù)擁有者和服務(wù)器共同完成，它們同步一個集合Map(attri,n)，attri表示屬性，n表示擁有attri這個屬性的注冊用戶數(shù)，如果撤銷屬性attri，把屬性attri存到Map(attri,n)中，計算account(attri)=n.

當(dāng)用戶下載需要解密的數(shù)據(jù)時，首先用戶的屬性集合Auid要滿足更新后的訪問樹T*，然后查看Map(attri,n)集合，如果集合為空或用戶的屬性集合不包含屬性attri，那用戶可直接解密密文，否則需要為該用戶重新生成密鑰.

4 安全分析與性能分析

4.1 安全分析

定理1. 如果一個多項式時間敵手A以不可忽略的優(yōu)勢ε攻破該方案的語義安全性，那么就可以構(gòu)造另一個多項式時間敵手B以ε2的概率解決DBDH困難問題.

證明. 給定2個階為p的循環(huán)群G1,G2，設(shè)g是G1群 的生成元，e為雙線性映射.另外，給定敵手一個DBDH實例(ga,gb,gc,e(g,g)z)，其中z=abc或者是一個隨機數(shù)，B充當(dāng)挑戰(zhàn)者與敵手A進(jìn)行交互的過程如下：

Init：敵手A選擇一個訪問策略T*，把它發(fā)送給B.

Setup：B設(shè)置參數(shù)Y=e(g,g)ab，隨機選擇一個參數(shù)β∈Zp,h=gβ,f=g，把這些參數(shù)發(fā)送給敵手A.

KeyQuery Ⅰ：敵手A選擇屬性集合ωi={ai|ai∈Ω∩ai?T*∪IDuid}，其中Ω為屬性集合，屬性集合ωi不滿足訪問結(jié)構(gòu)T*，敵手A向B詢問關(guān)于屬性集合的密鑰.B為每個屬性授權(quán)機構(gòu)AAk隨機選擇一個函數(shù)Fsk，輸入用戶的IDuid，生成參數(shù)yu,k=Fsk(IDuid).選擇隨機參數(shù)r,yk∈Zp，用它生成參數(shù)D=g(yk+yu,k+r)β，如果ai∈ωi，設(shè)置參數(shù)，生成密鑰，將密鑰發(fā)送給敵手.

Revocation Ⅰ：敵手發(fā)送密文C←(T,M)及策略更新后重新生成的訪問結(jié)構(gòu)T′，挑戰(zhàn)者用T′重新加密密文C，將更新后的密文C′發(fā)送給敵手.

KeyQuery Ⅱ：與KeyQuery Ⅰ相同.

Revocation Ⅱ：與Revocation Ⅰ相同.

Guess：敵手提交猜測的位b′=b，如果b′=b，模擬器輸出0，表明Z=e(g,g)abc；否則輸出1，表明敵手沒有獲得關(guān)于Mb的任何消息.

1) 如果b′≠b，那么:

2) 如果b′=b，敵手的優(yōu)勢為ε，那么:

所以模擬器在DBDH游戲中的優(yōu)勢為

4.2 性能分析

本節(jié)我們將文獻(xiàn)[13,18]的方案和我們的方案進(jìn)行比較，這些都是多授權(quán)機構(gòu)的方案.文獻(xiàn)[13]的方案不支持策略更新；文獻(xiàn)[18]的方案雖然支持策略更新，但撤銷中密文更新的工作由數(shù)據(jù)擁有者完成，這會造成極大的傳輸開銷，也增加了數(shù)據(jù)擁有者的負(fù)擔(dān)，沒有充分利用云計算的優(yōu)勢；我們改進(jìn)的方案中密文更新的工作由云服務(wù)器承擔(dān)，極大地減輕了用戶的負(fù)擔(dān).表1是這3種模式的性能比較：

Table1 Performance Analysis

5 結(jié)束語

CP-ABE是云存儲訪問控制中應(yīng)用前景最好的方法之一，但由于不支持策略更新，很大程度上限制了其在實際中的應(yīng)用.本文中我們提出一種更符合實際情況的基于多授權(quán)機構(gòu)支持策略更新的CP-ABE云存儲方案，并證明在標(biāo)準(zhǔn)模型下的安全性.該方案把密文更新這個繁重的工作交給云服務(wù)器完成，大大降低了數(shù)據(jù)擁有者的工作量及通信成本，使得云存儲訪問控制更加高效、靈活，使其能在云存儲系統(tǒng)中得到更廣泛的應(yīng)用.

[1]Sahai A, Waters B. Fuzzy identity-based encryption[C] //Proc of the 24th Int Conf on the Theory and Applications of Cryptographic Techniques. Berlin: Springer, 2005: 457-473

[2]Dan B, Franklin M. Identity-based encryption from the weil pairing[J]. SIAM Journal on Computing, 2015, 32(3): 213-229

[3]Dan B, Boyen X. Efficient selective identity-based encryption without random oracles[J]. Journal of Cryptology, 2011, 24(4): 659-693

[4]Waters B. Efficient identity-based encryption without random oracles[C] //Proc of the 24th Annual Int Conf on the Theory and Applications of Cryptographic Techniques. Berlin: Springer, 2005: 114-127

[5]Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C] //Proc of the 13th ACM Conf on Computer and Communications Security. New York: ACM, 2006: 89-98

[6]Wang Pengpian, Feng Dengguo, Zhang Liwu. CP-ABE scheme supporting fully fine-grained attribute revocation[J]. Journal of Software, 2012, 23(10): 2805-2816 (in Chinese)(王鵬翩, 馮登國, 張立武. 一種支持完全細(xì)粒度屬性撤銷的CP-ABE方案[J]. 軟件學(xué)報, 2012, 23(10): 2805-2816)

[7]Bethencourt J, Sahai A, Waters B. Ciphertext-policy attribute-based encryption[C] //Proc of the 2007 IEEE Symp on Security and Privacy. Los Alamitos, CA: IEEE Computer Society, 2007: 321-334

[8]Waters B. Ciphertext-policy attribute-based encryption: An expressive, efficient, and provably secure realization[C] //Proc of the 14th Int Conf on Practice and Theory in Public Key Cryptography. Berlin: Springer, 2011: 53-70

[9]Li Jiguo, Shi Yuerong, Zhang Yichen. A privacy preserving attribute-based encryption scheme with user revocation[J]. Journal of Computer Research and Development, 2015, 52(10): 2281-2292 (in Chinese)(李繼國, 石岳蓉, 張亦辰. 隱私保護(hù)且支持用戶撤銷的屬性基加密方案[J]. 計算機研究與發(fā)展, 2015, 52(10): 2281-2292)

[10]Liu F, Yang M. Ciphertext policy attribute based encryption scheme for cloud storage[J]. Application Research of Computers, 2012, 29(4): 1452-1456

[11]Rouselakis Y, Waters B. Efficient Statically-Secure Large-Universe Multi-Authority Attribute-Based Encryption[M]. Berlin: Springer, 2015: 315-332

[12]Yang K, Jia X. Expressive, efficient, and revocable data access control for multi-authority cloud storage[J]. IEEE Trans on Parallel & Distributed Systems, 2014, 25(7): 1735-1744

[13]Chase M. Multi-authority attribute based encryption[C] //Proc of the 4th Theory of Cryptography Conf on Theory of Cryptography. Berlin: Springer, 2007: 515-534

[14]Li Qi, Ma Jianfeng, Xiong Jinbo, et al. An adaptively secure multi-authority ciphertext-policy ABE scheme on prime order groups [J]. Acta Electronica Sinica, 2014, 42(4): 696-702 (in Chinese)(李琦, 馬建峰, 熊金波, 等. 一種素數(shù)階群上構(gòu)造的自適應(yīng)安全的多授權(quán)機構(gòu)CP-ABE方案[J]. 電子學(xué)報, 2014, 42(4): 696-702)

[15]Chase M, Chow S S M. Improving privacy and security in multi-authority attribute-based encryption[C] //Proc of ACM Conf on Computer and Communications Security. New York: ACM, 2015: 121-130

[16]Jahid S, Mittal P, Borisov N. EASiER: Encryption-based access control in social networks with efficient revocation[C] //Proc of ACM Symp on Information, Computer and Communications Security. New York: ACM, 2011: 411-415

[17]Hur J, Dong K N. Attribute-based access control with efficient revocation in data outsourcing systems[J]. IEEE Trans on Parallel & Distributed Systems, 2010, 22(7): 1214-1221

[18]Huang Xiaofang, Tao Qi, Qin Baodong, et al. Multi-authority attribute based encryption scheme with revocation[C] //Proc of Int Conf on Computer Communication and Networks. Piscataway, NJ: IEEE, 2015: 1-5

Wu Guangqiang, born in 1991. Master candidate. His main research interests include cryptography and information security.

Multi-Authority CP-ABE with Policy Update in Cloud Storage

Wu Guangqiang

(CollegeofInformationScienceandTechnology,JinanUniversity,Guangzhou510632)

Cloud storage, as a novel data storage architecture, has been widely used to provide services for data draw to store and share their data in cloud. However, the security concerns of cloud storage also draw much attention of the whole society. Since some cloud service providers are not trustworthy, the data stored in their cloud servers could be stolen or accessed by unauthorized users. Ciphertext-policy attribute based encryption (CP-ABE) can be used to solve such security problems in cloud, which can encrypt data under a specified access policy thus to maintain data confidentiality as well as access control. Unfortunately, traditional CP-ABE schemes suffer from key escrow problems and are lack of policy update. In this paper, we propose a new multi-authority CP-ABE scheme with policy update, which can efficiently cut down the computation cost and communication cost compared with other schemes in literature. We also prove the semantic security for our scheme, and also analyze its efficiency.

cloud storage; access control; ciphertext-policy attribute-based encryption (CP-ABE); multi-authority; policy update

2016-06-16；

2016-08-13

國家自然科學(xué)基金重點項目(61133014)；國家自然科學(xué)基金面上項目(61272413，61272534)

TP309

This work was supported by the Key Program of the National Natural Science Foundation of China (61133014) and the General Program of the National Natural Science Foundation of China (61272413,61272534).