云環(huán)境下密文策略的權重屬性多中心加密方案

杜瑞忠，趙芳華

(河北大學 計算機科學與技術學院，河北 保定 071002)

云環(huán)境下密文策略的權重屬性多中心加密方案

杜瑞忠，趙芳華

(河北大學 計算機科學與技術學院，河北 保定 071002)

在基于密文策略屬性加密方案中，中央授權中心(CA)作為參與生成用戶屬性私鑰的重要機構，對其安全性要求較高.傳統(tǒng)方案中，單個CA被攻擊，系統(tǒng)的安全性便無法保證.為了解決該問題，文章采用多授權中心.方案中各個CA同時計算用戶的解密密鑰；由各個屬性授權中心(AA)管理相應的屬性集合，并根據(jù)屬性集合進行屬性權重分割,實現(xiàn)屬性加權.通過理論分析，該方案在保證系統(tǒng)安全性的同時，更具有實際意義.

屬性加密；屬性權重；多授權中心

云計算的快速發(fā)展，給人們帶來便捷的同時，也帶來了來自安全方面的挑戰(zhàn)，其中就有在云平臺這個開放環(huán)境下，對于數(shù)據(jù)如何實現(xiàn)安全共享這個問題就顯得格外重要.數(shù)據(jù)所有者在上傳數(shù)據(jù)時不僅要制訂越發(fā)靈活地訪問控制方案，而且還要保證與用戶之間通信這個過程中的數(shù)據(jù)的機密性.Sahai等[1]在2005年初次提出了屬性基加密方案，這個方案的出現(xiàn)滿足了上述的要求.根據(jù)屬性以及策略是嵌入在密文還是在用戶的私鑰上，將加密方案分為了2種：基于密鑰策略的屬性加密(KP-ABE)還有基于密文策略的屬性加密(CP-ABE)[2].現(xiàn)今隨著云計算的飛速發(fā)展，而CP-ABE比KP-ABE更加適合用于云存儲系統(tǒng)，所以大部分的研究都是圍繞CP-ABE進行的.文獻[3]將權重這個概念引入到基于屬性加密方案中，但是僅僅支持的是單授權機構，單授權機構在管理密鑰的過程中會遇到負荷過重導致系統(tǒng)癱瘓等諸多的安全問題.為了解決單授權機構管理分配密鑰過程中存在的問題，提出了基于屬性的多授權中心加密方案(MA-ABE)[4]，但是這個方案是由一個擁有絕對權力的中央授權中心(CA)分發(fā)私鑰，假如CA受到攻擊，那么就無法保證整個系統(tǒng)的安全.為了解決上述問題，Chase等[5]又于2009年提出了一種去除了CA的多授權中心加密方案，目前的加密方案基本都是圍繞多授權中心展開的，在現(xiàn)有的加密方案中，每個屬性授權中心都分別單獨管理相應的屬性，在方案中，為了能夠管理每個相互獨立的屬性授權中心(AA)，就需要CA為各個屬性授權中心(AA)分發(fā)相應的密鑰，但CA的存在可能會給多授權中心加密方案帶來一些問題，比如一旦CA被攻擊，不可信，那么系統(tǒng)的私鑰就會暴露，還有在云計算這樣一個開放的大規(guī)模的網絡環(huán)境下面，難以找到一個能夠使所有的組織都信任的中央授權中心CA.陳文聰?shù)萚6]提出了一種基于密文策略的多授權中心權重加密方案，該方案實現(xiàn)了無可信中心的加密機制，但該方案用戶的系統(tǒng)密鑰以及屬性私鑰都由屬性授權中心計算，這樣必然會導致單個授權中心的計算量非常大，單個授權中心負荷過大，有可能會導致AA崩潰.陳丹偉等[13]提出層次化授權機構下的權重屬性基加密方案，利用不同層次的授權機構分發(fā)不同權重的屬性私鑰，從而實現(xiàn)更細粒度的訪問控制，但是該方案同樣沒有引入中央授權中心.

文章在以上方案的基礎上，提出了更加適用于云計算環(huán)境下的基于密文策略的權重屬性多授權中心加密方案，方案引入多CA多AA，不再依賴單個中央授權中心，方案中CA不管理用戶屬性，各個CA根據(jù)用戶GID[4]值生成用戶的公私鑰，一旦有一個CA受到攻擊，攻擊者只能獲得一部分用戶私鑰，解決了傳統(tǒng)方案中由于單CA給系統(tǒng)帶來的缺陷；AA負責相應的屬性集合，并為其可分配密鑰的屬性定義屬性權重分割集，為其管理的屬性生成屬性私鑰，多個AA相互獨立，每個新加入的AA都要被所有的CA認證，理論分析方案引入多授權中心，在保證安全性的同時，又對屬性加權，使方案更有實際意義.

1 預備知識

1.1 訪問結構

定義1(訪問結構[8])令{P1,P2,…,Pn}為參與者的集合，對于集合A?2{P1,P2,…,Pn}，如果?D,E：若D∈A，且D?E，有E∈A，那么稱A是單調的.訪問結構A是非空參與者的子集的集合.在A中的集合就叫授權集合，反之，就是非授權集合.

1.2 雙線性映射

定義3(雙線性映射)令G和GT是素數(shù)階為p的循環(huán)群，設g為G的生成元并且e為雙線性映射e:G×G→GT.雙線性映射有以下的性質.

1)雙線性：對于所有的U,V∈G和a,b∈zp,有e(Ua,Vb)=e(U,V)ab；

2)非退化性：e(g,g)≠1.

如果對于群G中的運算和雙線性運算e:G×G→GT都能進行有效地運算，那么則稱G為雙線性群，e(*,*)是一個對稱操作，即e(Ua,Vb)=e(U,V)ab=e(Ub,Va).

1.3 屬性分割

定義4(屬性分割算法[6])輸入一個屬性集合，系統(tǒng)按照每個屬性的重要程度去給其賦加不等的權值.對于集合A={a1,a2,…,ar}中的每個屬性aj,允許最大權值為ωj=ω(aj),ωj是整數(shù).對每個屬性aj按照權重分割，分割后的屬性aj對應于(aj,1),(aj,2)，…,(aj，ωj)，假定分割后的最小單位為1，稱其構成的集合稱為屬性權重分割集A′.

1.4 符號定義及說明

本文使用的符號及定義如表1所示.

表1 符號定義及說明Tab.1 Symbol definition and description

2 權重屬性多中心加密方案

2.1 系統(tǒng)架構系統(tǒng)方案

本文系統(tǒng)共包括5個實體：數(shù)據(jù)提供者、云存儲服務器、用戶、多個中央授權中心CA、多個屬性授權機構AA.如圖1所示：假設該方案中有m個CA，分別記做CA1,CA2,…,CAm;有n個AA，分別記作AA1,AA2,…,AAn.全部屬性分為n個互不相交的集合，每個AA都管理一個屬性集合.CA不管理任何用戶屬性，當用戶申請加入系統(tǒng)時，每個CA同時針對用戶gid生成與用戶gid相關的密鑰.每個AA分別為管理的屬性生成屬性私鑰，這個過程需要CA產生的用戶公鑰作為輸入.數(shù)據(jù)提供者用系統(tǒng)公鑰GPK和權重門限訪問結構T將文件加密，上傳到云存儲服務器.只有當用戶屬性私鑰中的屬性還有屬性權重滿足屬性權重訪問結構才可以解密密文，恢復明文.

圖1 基于多授權中心的訪問控制系統(tǒng)模型Fig.1 Access control system model based on the multi-authorization centers

該系統(tǒng)方案主要包括：1)系統(tǒng)初始化；2)新文件生成；3)新用戶加入；4)用戶的撤銷；5)文件訪問.

1)系統(tǒng)初始化

系統(tǒng)根據(jù)安全參數(shù)k，然后調用初始化算法計算輸出系統(tǒng)公鑰.每個授權中心都進行初始化工作，輸出各個授權中心的公鑰.

2)新文件生成

數(shù)據(jù)提供者將明文M，系統(tǒng)公鑰GPK、權重門限訪問結構Г、需要的加密屬性公鑰，調用加密算法，生成密文后上傳到CSP.

3)新用戶加入

當一個用戶申請加入系統(tǒng)時，各個中央授權中心(CA)同時針對用戶gid值生成與gid相關的用戶公鑰和私鑰.用戶將自己的屬性集發(fā)送給相應的AAs，AAs則根據(jù)其管理的屬性權重分割集還有用戶系統(tǒng)公鑰作為輸入，計算生成用戶的屬性私鑰.CAs和AAs分別發(fā)送用戶系統(tǒng)私鑰和屬性私鑰給用戶.

4)用戶的撤銷

如果一個用戶被撤銷后，系統(tǒng)必須保證被撤銷的用戶不能再繼續(xù)訪問云服務器上的文件，本文采用文獻[11]中一種針對CP-ABE密鑰更新思路，AAs可以通過賦予每個用戶一個時間戳屬性X來實現(xiàn)用戶撤銷的功能，時間信息B附帶于密文中的訪問控制策略中，用戶只有符合密文的訪問控制機構，并且截止必須在密文中附帶的時間之后(X≥B)才能解密，用戶只有必須符合上面的所有條件，才可以解密文件信息.

5)文件訪問

用戶訪問云服務器并將文件下載到本地，然后調用解密算法并利用從各個授權中心獲得的密鑰來解密文件，如果用戶私鑰中的屬性權重集符合密文中的權重門限結構才可以正確恢復明文，否則就不能解密.

2.2 算法方案

加密方案由以下5個算法實現(xiàn)：初始化算法，創(chuàng)建屬性授權機構算法，密鑰產生算法，加密算法，解密算法.

1)初始化：

G、GT是素數(shù)p階的循環(huán)群，e:G×G→GT是雙線性映射，g為G的生成元.輸入一個安全參數(shù)k，計算Y=e(g,g)y，輸出系統(tǒng)的公鑰GPK和系統(tǒng)的主密鑰GSK.

Step1：隨機選取y∈Zp、h∈G，和一個可抗碰撞的哈希函數(shù)H:{0,1}*→Zp.

Step2：輸出系統(tǒng)公鑰{G,GT,H,h,e,g,Y}，主密鑰為gy.

①CA初始化：由第m個中央授權中心CAm運行，進行其自己的初始化工作.

Step1：CAm選擇一個隨機數(shù)z∈Zp，輸入系統(tǒng)公鑰GPK.

Step2：輸出CAm的公鑰CPKm=g(g,g)z,私鑰CSKm=gz.

2)創(chuàng)建屬性授權中心算法：由屬性授權中心AAn運行.

Step1:輸入為全局公鑰GPK，授權中心表示符號n，AAn負責的屬性集Un,對每個屬性y∈Un，隨機取一個數(shù)φ∈Zp;

Step2:計算輸出為屬性授權中心AAn的公鑰APKn={H=gy}y∈Un，私鑰ASKn={φ}y∈Un.

3)密鑰產生算法

①中央授權中心CA計算用戶密鑰：當用戶申請加入系統(tǒng)，由CAm運行算法.

Step1：用戶將gid值發(fā)送給CAm，根據(jù)全局公鑰GPK以及私鑰CMKm，隨機取rgid,d∈Zp;

Step2:輸出為用戶的公鑰upkgid,d=grgid,d和私鑰uskgid,d=gy·hrgid,d.

②屬性授權中心AA計算用戶屬性私鑰：由屬性授權中心AAn運行算法.

4)加密算法

輸入為系統(tǒng)的全局公鑰GPK，加密消息M，訪問樹Γ，屬性授權機構的表示符號n，屬性公鑰Ti.設W表示葉子節(jié)點的集合，W*為W對應的屬性權重分割集.

①隨機選取s∈Zp，計算C0=mYs=me(g,g)ys,C1=gs.

③輸出密文：C=(C0,C1,Γ,Cj,t∶?aj,t∈L′).

5)解密算法

然后可以根據(jù)恢復出明文.

3 安全性分析和性能分析

3.1 安全性分析

3.1.1 直接攻擊下的安全

如果攻擊者的權重屬性集不滿足訪問結構控制樹，這個時候，如果攻擊者要想獲得明文m，就必須知道e(g,g)ys,攻擊者只能必須使用已知的信息，就是讓用戶系統(tǒng)私鑰USK=gy·hrgid和密文中C1=gs建立配對，即e(gy·hrgid,gs)=e(g,g)yse(h,g)rgids.攻擊者在不滿足訪問控制樹的情況下無法獲得正確的屬性密鑰，不能計算出e(h,g)rgids,得不到e(g,g)ys，所以攻擊者不能成功的解密密文.

3.1.2 抗共謀安全性

基于屬性的多授權中心加密方案中存在的問題其中之一就是防止同謀，比如user1擁有屬性a1，user2擁有屬性a2，如果二者合謀就會有2個屬性，就有可能合謀騙取密鑰，為解決這個問題，方案中每個用戶都有自己獨有的gid，用戶的私鑰是由各個中央授權中心根據(jù)用戶的gid，輸入隨機數(shù)生成用戶的私鑰，所以不可能有擁有不同的gid的用戶合謀騙取解密密鑰.

3.2 性能分析

3.2.1 靈活性分析

在該加密方案中，因為各個屬性授權中心都有各自的機構符號以及屬性私鑰，每個屬性授權中心僅需分配各自負責的屬性私鑰，當有新的屬性加入的時候，整個系統(tǒng)的參數(shù)就不用修改，可以直接方便加入到某個屬性機構管理的屬性集中.所以，該方案具有良好的靈活性.

3.2.2 計算開銷

在現(xiàn)在云計算環(huán)境下，單個CA的存在顯然已經無法滿足實際的需要，再加上現(xiàn)有的基于屬性的加密方案中很少考慮到屬性權重的問題，文章提出了一個多CA多AA的基于密文策略的權重屬性加密方案，以下主要分析和現(xiàn)有的多中心基于屬性的加密方案性能進行比較.

定義H表示哈希運算，m是中央授權中心CA的個數(shù)，n是屬性授權中心AA的個數(shù)，|A|表示屬性集A中的屬性個數(shù)，E和ME是群GT和的點乘運算和多點乘運算，M是G和GT上點加運算，e表示的是雙線性配對計算，me表示Zp上的模數(shù)運算.將方案與已有的方案進行比較，如表2所示.

表2的結果顯示，與傳統(tǒng)方案對比，方案中，引入多CA，把傳統(tǒng)的單個CA的工作量分擔給多個CA同時進行工作，使得單個CA和單個AA的計算量都適中，同時能夠保證一旦一個CA受到攻擊，攻擊者只能得到一部分密鑰，降低系統(tǒng)承受的風險，同時還可以看出的是，該方案中，密文長度相對較小，減少了傳送過程中的通信開銷，雖然在加密和解密過程中的計算量比較大，但跟目前現(xiàn)有的方案對比還是比較適中的，在保證安全性的同時又引入了屬性權重，更具有實際意義.

表2 性能對比Tab.2 Performance comparision

4 結束語

本文提出了一種基于密文策略的多中心屬性權重加密方案，該方案改變傳統(tǒng)方案中單個CA，通過引入多CA，使得一旦一個CA不可信，系統(tǒng)的安全不會受到威脅，方案在保證安全性的同時，又實現(xiàn)了對屬性進行加權，理論分析表明在保證方案的安全的同時又對屬性加權，使之更有實際意義.但是方案依然存在不足，用戶屬性私鑰的生成與用戶身份標識碼gid密切相關，因此無法支持用戶的匿名通信和用戶的身份信息保護，此外加密方案在訪問結構中僅僅考慮到了門限訪問結構，下一步可以考慮引入更加復雜的訪問結構.

[1] SAHAIA,WATERS B.Fuzzy identity-based encryption[C]//International Conference on Theory and Applicection of Crytographic Techniques,Springer-Verlay,2005:457-473.

[2] GOYAL V,PANDEY O,SAHAI A,et al.Attribute-based encryption for fine-grained access control encrypted data[C]//Proceeding of the 13thACM Conference on Computer and Communication Security,Alexandria,Virginia,USA,2006:89-98.

[3] 劉西蒙,馬建峰,熊金波,等.密文策略的權重屬性基加密方案[J].西安交通大學學報,2013,47(8)：44-48.DOI:10.7652/xjtuxb201308008.

LIU X M,MA J F,XIONG J B,et al.Ciphertext-Policy Weighted Attribute Based Encryption Scheme[J].Journal of Xi’AN JIAOTONG University,2013,47(8):44-48.DOI:10.7652/xjtuxb201308008.

[4] CHASE M.Multi-authority attribute based encrytion[C]//Proceedings of the Theory of Cryptography Conference,Berlin,Germany:Springer-Verlag,2007:515-534.

[5] CHASE M,CHOW S S M.Improving privacy and security in multi-authotity attribute-based encryption[C]//Proceedings of the 16th ACM Conference on Computer and Communications Security,New York,USA:Acm Press,2009:121-130.

[6] 陳文聰,張應輝,鄭東.基于密文策略的權重多中心屬性加密方案[J].桂林電子科技大學學報,2015,35(5):386-390.DOI:10.16725/j.cnki.cn45-1351/tn.2015.05.009.

CHEN W C,ZHANG Y H,ZHENG D.Weighted multi-authority attribute encryption based on ciphertext policy[J].Journal of GuiLin University of Electronic Technology,2015,35(5):386-390.DOI:10.16725/j.cnki.cn45-1351/tn.2015.05.009.

[7] BEIMEL A.Secure schemes for secret and key distribution[D].Haifa:Technion-Israel Institute of Technology Sivan,1996.

[8] BEIMEL A,TASSA T.WEINREB E.Characterzing ideal weighted threshold secret sharing[C]// International Conference on Theory of Cryptography,Springer-verlay,2005:600-619.

[9] SHSCHAM H,WATERS B.Efficient ring signatures without random oracles[M].Springer Berlin Heidelberg:Public Key Cryptography-PKC,2007:166-180.

[10] DOSHI N,JINWALA D.Constant ciphertext length in multi-authority ciphertext policy attribute based encryption[C]//Computer and Communication Technology(ICCCT),2011 2nd International Conference onIEEE,Springer Berlin Heidelberg,2011,7135(2):515-523.

[11] LI J,HUANG Q,CHEN X,et al.Multi-authority ciphertext-policy attribute-based encryption with accountability[Z].ACM Symposium on Information,Hong Kong,China,2011.

[12] HAN J,SUSILO W,MU Y,et al.Privacy-preserving decentralized key-policy attribute-based encryption[J].IEEE Transantions on Parallel &Distributed systems,2012,23(11):2150-2162.DOI:10.1109/TPDS.2012.50.

[13] 陳丹偉,劉書雅,李琦.層次化授權機構下的權重屬性基加密方案[J].南京郵電大學學報(自然科學版),2016，36(5):18-23.DOI:10.14132/j.cnki.1673-5439.2016.05.003.

CHEN D W,LIU S Y,LI Q.Multi-authority hierarchical weighted attribute-based encryption scheme[J].Journal of Nanjing University of Posts and Telecommunications(Natural Science Edition),2016,36(5):18-23.DOI:10.14132/j.cnki.1673-5439.2016.05.003.

[14] WANG Y,ZHANG D L,ZHONG H.Multi-authority based weighted attribute encryption scheme in cloud computing[Z].International Conference on Natural Computation,Yantai,China,2014.

(責任編輯：孟素蘭)

Multi-centerencryptionschemeforweightattributesofciphertextpolicyincloudcomputingenvironment

DURuizhong,ZHAOFanghua

(School of Computer Science and Technology,Hebei University,Baoding 071002,China)

In the attribute encryption scheme based on the ciphertext policy,the central authorization center (CA),as an important organization involved in generating the private key of the user attribute,thus,the central anthorization center is required for the high security.In the traditional scheme,if the single CA is attacked,the security of the system can not be guaranteed.In order to solve this problem,the paper adopts the multi-authorization center.In this scheme,each CA calculates the decryption key of the user at the same time.The attribute authority(AA)manages the corresponding attribute set and divides the attribute weight according to the attribute set to realize weight attributes.By the theoretical analysis,the scheme not only ensures the security of the scheme,but also makes it more practical.

attribute encryption;attribute weight;multi-anthorization center

TP309.7

A

1000-1565(2017)05-0531-06

10.3969/j.issn.1000-1565.2017.05.013

2017-03-02

河北省自然科學基金資助項目(F2014201099；F2014201098)；河北省高等學校科學技術研究項目(ZD2016043)

杜瑞忠(1975-)，男，河北滄州人，河北大學教授，博士，主要從事分布計算與信息安全等方向研究.E-mail:durz@hbu.edu.cn