策略半隱藏且支持更新的多機(jī)構(gòu)屬性加密方案

閆璽璽， 劉　媛， 李子臣， 湯永利

(1. 河南理工大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河南 焦作 454003;2. 北京印刷學(xué)院 信息工程學(xué)院，北京 102600)

自2005年屬性基加密(Attribute Based Encryption， ABE)[1]被提出以來(lái)，迅速成為學(xué)者們研究的熱點(diǎn)并被應(yīng)用于云環(huán)境系統(tǒng)中，如個(gè)人健康病例系統(tǒng)、智能電網(wǎng)系統(tǒng)等．但是，由于加密者制定訪問(wèn)策略的屬性中往往會(huì)包含一些敏感的隱私信息，很容易泄露病人的隱私．另外，在實(shí)際應(yīng)用中經(jīng)常需要根據(jù)應(yīng)用場(chǎng)景重新設(shè)置訪問(wèn)策略，需要系統(tǒng)具有支持改變?cè)L問(wèn)策略的功能．因此，如何防止訪問(wèn)策略泄露隱私并支持訪問(wèn)策略動(dòng)態(tài)更新，是屬性基加密機(jī)制的研究熱點(diǎn)之一．

傳統(tǒng)的屬性基加密只有一個(gè)可信的機(jī)構(gòu)來(lái)管理所有的屬性，但在實(shí)際應(yīng)用中，屬性往往是由多個(gè)機(jī)構(gòu)管理運(yùn)行的．文獻(xiàn)[2]中提出第1個(gè)多機(jī)構(gòu)屬性基加密(Multi-Authority Attribute Based Encryption，MA-ABE)方案，由多個(gè)屬性機(jī)構(gòu)承擔(dān)管理不同的屬性集和分發(fā)密鑰的任務(wù)，系統(tǒng)負(fù)擔(dān)小，靈活性高，適用于如個(gè)人健康病例系統(tǒng)、智能電網(wǎng)系統(tǒng)等需多個(gè)機(jī)構(gòu)共同運(yùn)行的情況．可見(jiàn)，多機(jī)構(gòu)屬性基加密機(jī)制的研究更具有應(yīng)用價(jià)值．

在隱私保護(hù)方面，文獻(xiàn)[3]中首次提出無(wú)中央機(jī)構(gòu)的安全門限MA-ABE，采用密鑰分配技術(shù)和零秘密共享技術(shù)，代替了文獻(xiàn)[2]中的偽隨機(jī)函數(shù)．文獻(xiàn)[4]中的方案移除了可信的中央機(jī)構(gòu)，采用匿名證書(shū)技術(shù)隱藏用戶的全局惟一標(biāo)識(shí)(Global IDentifier，GID)，防止機(jī)構(gòu)累積用戶的信息來(lái)保護(hù)用戶的隱私．文獻(xiàn)[5]提出分權(quán)的多機(jī)構(gòu)屬性基加密，該方案將用戶的密鑰與全局惟一標(biāo)識(shí)相連以抵抗共謀攻擊．文獻(xiàn)[6]提出云計(jì)算中具有隱私意識(shí)的基于屬性的個(gè)人健康記錄共享系統(tǒng)，通過(guò)隱藏訪問(wèn)策略來(lái)保護(hù)訪問(wèn)用戶的隱私．文獻(xiàn)[7]利用承諾方案和零知識(shí)證明技術(shù)構(gòu)造隱私保護(hù)密鑰提取協(xié)議，從而保護(hù)用戶的全局惟一標(biāo)識(shí)和屬性，這是第1個(gè)保護(hù)用戶屬性的方案．但是，文獻(xiàn)[8]指出文獻(xiàn)[7]中設(shè)計(jì)的隱私保護(hù)密鑰提取協(xié)議僅能在用戶密鑰生成時(shí)保護(hù)用戶的隱私，并不能防止用戶訪問(wèn)策略中的屬性隱私泄露問(wèn)題．另外，由隱私保護(hù)密鑰提取協(xié)議生成的用戶密鑰存在多個(gè)用戶可以共謀攻擊的問(wèn)題，安全性較低．

在策略更新方面，文獻(xiàn)[9]中提出支持動(dòng)態(tài)證書(shū)和密文授權(quán)的屬性基加密方案，首次提出策略更新的思想，采用代理的方法更新密文，但其新的策略比原策略更嚴(yán)格．文獻(xiàn)[10]中提出新的動(dòng)態(tài)策略更新方案，該方案可以支持任何形式的策略更新，但只在一般群模型下是安全的．文獻(xiàn)[11]中提出支持動(dòng)態(tài)策略更新的半策略隱藏屬性加密方案，支持任何形式的策略更新并通過(guò)半策略隱藏的方式保護(hù)用戶的隱私．文獻(xiàn)[12]中通過(guò)引入第三方審計(jì)實(shí)現(xiàn)屬性撤銷，并設(shè)計(jì)策略更新算法實(shí)現(xiàn)動(dòng)態(tài)更新，有效地將屬性基加密應(yīng)用于智能電網(wǎng)中．文獻(xiàn)[13]提出個(gè)人健康病例系統(tǒng)中具有隱私保護(hù)的MA-ABE，采用匿名密鑰分發(fā)協(xié)議保護(hù)用戶的隱私，但該方案的策略更新采用的是傳統(tǒng)的策略更新方式，計(jì)算和通信開(kāi)銷較大．文獻(xiàn)[14]中提出支持位置驗(yàn)證和策略變更的屬性加密方案，該方案使用BGV(Brakerski-Gentry-Vaikuntanathan)同態(tài)加密技術(shù)保護(hù)移動(dòng)辦公環(huán)境中用戶的位置隱私，并可支持訪問(wèn)策略的變更．文獻(xiàn)[15]中提出第1個(gè)多機(jī)構(gòu)的動(dòng)態(tài)策略更新屬性基加密方案，通過(guò)引入簽名認(rèn)證防止共謀攻擊，但系統(tǒng)有多個(gè)中央機(jī)構(gòu)、多個(gè)屬性機(jī)構(gòu)，用戶密鑰由中央機(jī)構(gòu)生成的密鑰、屬性密鑰構(gòu)成，密鑰生成的通信開(kāi)銷較大．

從上述分析可以看出，多機(jī)構(gòu)屬性基加密方案一般通過(guò)保護(hù)用戶全局惟一標(biāo)識(shí)來(lái)保護(hù)用戶隱私，而很少考慮加密時(shí)采用的訪問(wèn)策略所引起的隱私泄露問(wèn)題．另外，多機(jī)構(gòu)屬性基加密方案中存在多個(gè)屬性機(jī)構(gòu)共同管理屬性，在策略更新時(shí)通信開(kāi)銷和計(jì)算代價(jià)較高，在大規(guī)模應(yīng)用場(chǎng)景中嚴(yán)重影響系統(tǒng)的整體效率．筆者提出一種支持訪問(wèn)策略半隱藏和動(dòng)態(tài)更新的多機(jī)構(gòu)屬性基加密方案，實(shí)現(xiàn)對(duì)屬性隱私的保護(hù)，同時(shí)提供訪問(wèn)策略的動(dòng)態(tài)更新．方案中系統(tǒng)屬性分為屬性名和屬性值[16]兩部分，如科室: 內(nèi)科、精神科、心臟科，其中科室是屬性名，內(nèi)科、精神科、心臟科是屬性值，且用戶的每個(gè)屬性名下只能對(duì)應(yīng)一個(gè)屬性值，加密時(shí)只加密屬性名，而將屬性值隱藏，從而保護(hù)用戶的隱私．引入動(dòng)態(tài)策略更新算法，可以對(duì)密文的訪問(wèn)策略實(shí)現(xiàn)動(dòng)態(tài)更新．筆者主要提出以下3點(diǎn)創(chuàng)新:

(1) 在標(biāo)準(zhǔn)模型下采用策略半隱藏的方式對(duì)數(shù)據(jù)進(jìn)行加密，防止訪問(wèn)策略中屬性的公開(kāi)引起用戶隱私的泄露，與傳統(tǒng)的策略隱藏方式對(duì)比，縮短了用戶密鑰和密文尺寸．

(2) 實(shí)現(xiàn)對(duì)用戶所有屬性隱私的保護(hù)，不再單一地通過(guò)隱藏用戶的全局惟一標(biāo)識(shí)來(lái)保護(hù)隱私，而是將全局惟一標(biāo)識(shí)作為用戶的一種屬性，通過(guò)保護(hù)屬性來(lái)保護(hù)用戶的全局惟一標(biāo)識(shí)，實(shí)現(xiàn)對(duì)用戶的隱私保護(hù)．

(3) 采用線性秘密共享技術(shù)，并引入動(dòng)態(tài)策略更新算法，從而支持與、或、非等任何類型的策略更新，縮短更新密鑰尺寸，減少傳統(tǒng)策略更新中的通信和計(jì)算開(kāi)銷，提高系統(tǒng)效率．

1　算法定義與安全模型

1.1　算法定義

筆者提出的方案包括系統(tǒng)建立Global Setup(1λ)、屬性機(jī)構(gòu)初始化Authority Setup(PP)、密鑰生成KeyGen(PP，KSi，Au)、加密Encrypt(PP，m， (M，ρ，Z))、解密Decrypt(PP，C，KSu)、動(dòng)態(tài)更新密鑰生成算法KDmGen(En(m))、動(dòng)態(tài)更新密文CipherUpdate(KDm)算法．具體如下:

(1) 系統(tǒng)初始化Global Setup(1λ)→PP: 系統(tǒng)初始化算法由系統(tǒng)執(zhí)行，輸入安全參數(shù)1λ，輸出系統(tǒng)公共參數(shù)PP．

(2) 屬性機(jī)構(gòu)初始化Authority Setup(PP)→(KPi，KSi): 算法由屬性機(jī)構(gòu)執(zhí)行，輸入公共參數(shù)PP，輸出屬性機(jī)構(gòu)的公私鑰對(duì)．

(3) 密鑰生成KeyGen(PP，KSi，Au)→KSu: 算法由機(jī)構(gòu)與用戶交互完成，輸入公共參數(shù)PP、屬性機(jī)構(gòu)私鑰KSi、用戶屬性集Au，輸出用戶私鑰KSu．

(4) 加密Encrypt(PP，m， (M，ρ，Z))→C: 算法由用戶執(zhí)行，輸入公共參數(shù)PP、明文m、訪問(wèn)結(jié)構(gòu)(M，ρ，Z)，輸出密文C，且用戶保留加密信息En(m)= (v，q1，…，ql)．

(5) 解密Decrypt(PP，C，KSu)→m: 算法由用戶執(zhí)行，輸入公共參數(shù)PP、用戶私鑰KSu、密文C，輸出明文m．

(6) 動(dòng)態(tài)更新密鑰生成算法KDmGen(En(m)，(M′，，ρ′，Z′)，(M，ρ，Z))→KDm: 算法由用戶執(zhí)行，輸入用戶保留的加密信息，輸出動(dòng)態(tài)更新密鑰KDm．

(7) 動(dòng)態(tài)更新密文CipherUpdate(KDm)→C′: 算法由云服務(wù)器執(zhí)行，輸入動(dòng)態(tài)更新密鑰KDm，輸出更新的密文C′．

1.2　安全模型

本方案的安全模型是選擇訪問(wèn)結(jié)構(gòu)和選擇明文攻擊下的不可區(qū)分性(INDistinguishability against selective Access Structure and Chosen-Plaintext Attack，IND-sAS-CPA)游戲，游戲中包含一個(gè)挑戰(zhàn)者和一個(gè)敵手，挑戰(zhàn)者模擬系統(tǒng)運(yùn)行并回答敵手的詢問(wèn)．具體游戲如下:

開(kāi)始: 敵手A提交要挑戰(zhàn)的訪問(wèn)結(jié)構(gòu)(M*，ρ*，Z*)給挑戰(zhàn)者．

Global Setup: 挑戰(zhàn)者運(yùn)行Global Setup算法，生成公共參數(shù)PP，并發(fā)送給敵手．

Authorities Setup: 挑戰(zhàn)者運(yùn)行Authorities Setup算法，生成屬性機(jī)構(gòu)的公私鑰對(duì)，并將公鑰發(fā)送給敵手．

第1輪: 敵手選擇不屬于訪問(wèn)結(jié)構(gòu)(M*，ρ*，Z*)的屬性，并發(fā)出私鑰請(qǐng)求，挑戰(zhàn)者返回其私鑰．

挑戰(zhàn)者: 敵手發(fā)送兩個(gè)等長(zhǎng)的消息m0，m1給挑戰(zhàn)者，挑戰(zhàn)者隨機(jī)選取c(c∈{0，1})，對(duì)mc進(jìn)行加密，并將密文C發(fā)送給敵手．

第2輪: 重復(fù)第1輪．

猜想: 敵手輸出對(duì)c的猜想c′(c′∈{0，1})．

圖1　系統(tǒng)模型圖

定義本方案選擇明文攻擊(Chosen Plaintext Attack，CPA)是安全的，如果存在任意多項(xiàng)式時(shí)間的攻擊者攻擊游戲的優(yōu)勢(shì)ε(ε= |Pr[c=c′]-1/2|)是可忽略的．

2　方案構(gòu)造

圖1為筆者設(shè)計(jì)方案的系統(tǒng)模型圖．方案中包含多個(gè)屬性機(jī)構(gòu)，負(fù)責(zé)為其權(quán)限下的用戶分發(fā)密鑰;數(shù)據(jù)擁有者將加密數(shù)據(jù)存儲(chǔ)至云服務(wù)器，數(shù)據(jù)訪問(wèn)者的屬性集合若滿足數(shù)據(jù)擁有者設(shè)置的訪問(wèn)策略，則可解密得到明文數(shù)據(jù)．

假設(shè)系統(tǒng)有n個(gè)不同的屬性機(jī)構(gòu)AA1，AA2，…，AAn，屬性機(jī)構(gòu)AAi管理屬性名為ai下的ni個(gè)屬性值，ai，ni表示由機(jī)構(gòu)AAi管理的屬性名為ai的屬性值．

(1) 系統(tǒng)初始化Global Setup(1λ)．輸入安全參數(shù)λ，輸出PP=(e，p，g，h，G，GT)，其中G，GT是兩個(gè)階為素?cái)?shù)p的乘法循環(huán)群，g、h是群G的生成元，e:G×G→GT．

(2) 屬性機(jī)構(gòu)初始化Authority Setup(PP)．該算法輸入PP，輸出機(jī)構(gòu)AAi的公私鑰對(duì); 屬性機(jī)構(gòu)AAi隨機(jī)選擇αi(αi∈Zp)，計(jì)算Ai=e(g，g)αi; 對(duì)其管理的屬性名ai，隨機(jī)選取ri(ri∈Zp)，計(jì)算Ri=gri; 對(duì)其下的每個(gè)屬性值ai，ni，隨機(jī)選擇ti，ni(ti，ni∈Zp)，計(jì)算Ti，ni=gti，ni．那么，屬性機(jī)構(gòu)AAi的公鑰KPi= {Ai，Ri，(Ti，ni)?ai，ni∈Ai}，屬性機(jī)構(gòu)AAi的私鑰KSi= {αi，ri，(ti，ni)?ai，ni∈Ai}．

(5) 解密Decrypt(PP，C，KSu)．該算法輸入公共參數(shù)PP、密文C及用戶密鑰KSu，輸出明文m．如果解密者屬性值ai，ti滿足訪問(wèn)結(jié)構(gòu)(M，ρ，Z)，則計(jì)算

(6) 動(dòng)態(tài)更新密鑰生成算法KDmGen(En(m)，(M′，ρ′，Z′)，(M，ρ，Z))．當(dāng)用戶發(fā)送到云服務(wù)器的文件的訪問(wèn)策略需要變更時(shí)，用戶只需根據(jù)其保留的加密信息En(m)生成動(dòng)態(tài)更新密鑰KDm，并將其發(fā)送給云服務(wù)器，由云端更新對(duì)應(yīng)密文．

該算法輸入En(m)、新策略(M′，ρ′，Z′)、舊策略(M，ρ，Z)，輸出動(dòng)態(tài)更新密鑰KDm，其中M′為l′×n′ 的矩陣，ρ′為新的映射，且屬性值z(mì)ρ(i)是由訪問(wèn)策略指定的，只會(huì)根據(jù)訪問(wèn)策略的變化而變化，用戶將屬性值Z更新為新的屬性值Z′．

(7) 動(dòng)態(tài)更新密文CipherUpdate(KDm)．云服務(wù)器接收到用戶的動(dòng)態(tài)更新密鑰KDm后，對(duì)于j∈ [1，l′]，云服務(wù)器運(yùn)行該算法，更新對(duì)應(yīng)密文．

3　方案分析

3.1　安全性證明

q-PBDHE假設(shè): 令G、GT為兩個(gè)階為素?cái)?shù)p的乘法循環(huán)群，g為G的生成元，存在雙線性映射e:G×G→GT，隨機(jī)選擇a，s，b1，…，bq∈Zp，T∈GT，若敵手給定元組y= (g，gs，ga，…，g(aq)，g(aq+2)，…，g(a2q);ga/bj，…，gaq/bj，gaq+2/bj，…，ga2q/bj，1≤j≤q;gasbk/bj，…，gaqsbk/bj，1≤j，k≤q，k≠j)，判斷T=e(g，g)aq+1s是否成立．如果對(duì)于任一多項(xiàng)式時(shí)間的敵手A區(qū)分(y，e(g，g)aq+1s)和(y，T)的優(yōu)勢(shì)AA= |Pr[A(y，e(g，g)aq+1s)=1]-Pr[A(y，T)=1]|≥ε是可忽略的，則在群(e，p，G，GT)上的q-PBDHE問(wèn)題是困難的．

定義假設(shè)q-PBDHE假設(shè)成立，如果不存在任意多項(xiàng)式時(shí)間的敵手在選擇訪問(wèn)結(jié)構(gòu)(M*，ρ*，Z*)下攻擊支持策略動(dòng)態(tài)更新的多機(jī)構(gòu)屬性基加密方案成功，那么該方案是IND-sAS-CPA安全的．

游戲開(kāi)始前挑戰(zhàn)者生成q-PBDHE挑戰(zhàn)(y，T)．

開(kāi)始: 敵手A提交要挑戰(zhàn)的訪問(wèn)結(jié)構(gòu)(M*，ρ*，Z*)，其中M*是l*×n*的矩陣，且l*，n*≤q．

Global Setup: 挑戰(zhàn)者隨機(jī)選擇m∈Zp，計(jì)算h=gm，并將公共參數(shù)PP=(e，p，g，h，G，GT)發(fā)送給A．

(3)

令X為指數(shù)i的集，ρ*(i)=x(i∈[1，…，l*])，對(duì)每個(gè)屬性名ai且ρ*(i)=x，隨機(jī)選擇ri∈Zp，計(jì)算

(4)

對(duì)每個(gè)屬性名ai且ρ*(i)≠x，隨機(jī)選取ri∈Zp，計(jì)算Ri=gri; 對(duì)其下的每個(gè)屬性值ai，ni，隨機(jī)選擇ti，ni∈Zp，計(jì)算Ti，ni=gti，ni，則屬性機(jī)構(gòu)AAi的公鑰KPi= {Ai，Ri，(Ti，ni)?ai，ni∈Ai}，屬性機(jī)構(gòu)AAi的私鑰KSi= {αi，ri，(ti，ni)?ai，ni∈Ai}．挑戰(zhàn)者將屬性機(jī)構(gòu)公鑰KPi發(fā)送給敵手．

第1輪: 敵手為其不屬于(M*，ρ*，Z*)的屬性集S=(ai:ai，ti)詢問(wèn)私鑰，其中ai，ti∈Ai．挑戰(zhàn)者檢查其屬性集，對(duì)每個(gè)屬性名ai且ρ*(i)=x，計(jì)算

(5)

挑戰(zhàn)者將密文C={C0，C1，(C2，i，C3，i)i∈(1，…，l*)}發(fā)送給敵手．

第2輪: 重復(fù)第1輪．

猜想: 敵手輸出對(duì)c的猜想c′(c′∈{0，1})．如果c′=c，則挑戰(zhàn)者輸出θ=0，表示T=e(g，g)aq+1s，此時(shí)敵手的優(yōu)勢(shì)Pr[c′=c|θ= 0]= 1/2+ε．如果c′≠c，則輸出θ=1，表示T是群GT中的一個(gè)隨機(jī)元素，此時(shí)敵手的優(yōu)勢(shì)Pr[c′=c|θ= 1]= 1/2．

因此，攻擊者攻擊q-PBDHE假設(shè)的優(yōu)勢(shì)為 |Pr[c′=c|θ=0]/2+Pr[c′=c|θ=1]/2-1/2|=ε/2．任何多項(xiàng)式時(shí)間內(nèi)敵手贏得IND-sAS-CPA游戲的優(yōu)勢(shì)是可忽略的．

3.2　性能分析

表1　相關(guān)方案對(duì)比

從表1可以看出，除文獻(xiàn)[11]外，筆者提出的方案和其他文獻(xiàn)中的方案均支持多機(jī)構(gòu)，僅包含多個(gè)屬性機(jī)構(gòu)．而文獻(xiàn)[15]設(shè)置多個(gè)中央機(jī)構(gòu)和多個(gè)屬性機(jī)構(gòu)，用戶需同時(shí)和所有的機(jī)構(gòu)進(jìn)行交互，通信代價(jià)較大．筆者提出的方案提供對(duì)用戶所有屬性進(jìn)行保護(hù)，并支持訪問(wèn)策略的動(dòng)態(tài)更新．文獻(xiàn)[5-7]中的方案可以保護(hù)用戶隱私但無(wú)法支持策略更新，文獻(xiàn)[5，10，15]中的方案僅僅是保護(hù)用戶全局惟一標(biāo)識(shí)，并不能保護(hù)用戶的其他屬性所引起的隱私問(wèn)題．文獻(xiàn)[6]中通過(guò)隱藏訪問(wèn)策略保護(hù)用戶的隱私．文獻(xiàn)[7]中保護(hù)用戶的全局惟一標(biāo)識(shí)及屬性，這是首次提出保護(hù)用戶屬性的思想，但文獻(xiàn)[8]通過(guò)安全性分析證明文獻(xiàn)[7]中方案并不能很好地保護(hù)屬性．筆者提出的方案不僅能保護(hù)用戶全局惟一標(biāo)識(shí)，通過(guò)對(duì)屬性值的隱藏也可以保護(hù)用戶的所有屬性，采用半策略隱藏方式防止訪問(wèn)策略所引起的隱私泄露問(wèn)題．從安全方面看，文獻(xiàn)[5，10]中的方案滿足隨機(jī)預(yù)言模型下的安全，而筆者提出的方案和文獻(xiàn)[6-7，11，15]中的方案滿足標(biāo)準(zhǔn)模型下的安全，安全性更高．

從通信代價(jià)方面看，文獻(xiàn)[5，7，10-11]中的用戶私鑰相對(duì)較小，但其密文長(zhǎng)度相對(duì)較復(fù)雜．文獻(xiàn)[6]中的整體通信代價(jià)都較高，尤其是密文長(zhǎng)度和系統(tǒng)所有屬性數(shù)目相關(guān)，而其他方案均和用戶加密時(shí)訪問(wèn)策略中的屬性個(gè)數(shù)相關(guān)．文獻(xiàn)[15]中用戶私鑰由多個(gè)中央機(jī)構(gòu)、多個(gè)屬性機(jī)構(gòu)共同生成，用戶私鑰大小與中央機(jī)構(gòu)、屬性機(jī)構(gòu)以及用戶屬性個(gè)數(shù)線性相關(guān)，私鑰長(zhǎng)度較長(zhǎng)．而筆者提出的方案中僅設(shè)置多個(gè)屬性機(jī)構(gòu)，用戶僅需與屬性機(jī)構(gòu)進(jìn)行交互生成密鑰，用戶密鑰長(zhǎng)度僅和用戶屬性個(gè)數(shù)相關(guān)，遠(yuǎn)遠(yuǎn)小于文獻(xiàn)[15]的．在策略更新方面，文獻(xiàn)[5-7]中的方案不提供策略更新功能，筆者提出的方案更新密鑰大小比文獻(xiàn)[10-11]中的短，與文獻(xiàn)[15]中的相同．在解密代價(jià)方面，文獻(xiàn)[6]中的解密代價(jià)與系統(tǒng)屬性和用戶全局惟一標(biāo)識(shí)長(zhǎng)度相關(guān)，代價(jià)較高; 文獻(xiàn)[7]與筆者提出的方案解密代價(jià)均與解密所需的屬性個(gè)數(shù)和加密時(shí)使用的屬性所屬的機(jī)構(gòu)數(shù)相關(guān)，但筆者提出的方案比文獻(xiàn)[7]的更優(yōu)．從整體來(lái)看，筆者提出的方案在通信代價(jià)和計(jì)算代價(jià)方面都做到了優(yōu)化．

綜合分析可知，筆者提出的方案對(duì)用戶所有屬性進(jìn)行保護(hù)，并支持訪問(wèn)策略的更新，性能方面也比其他方案的性能具有一定的優(yōu)勢(shì)，適用于如個(gè)人健康病例系統(tǒng)等需要保護(hù)用戶的屬性隱私并更改訪問(wèn)策略的情況．

4　結(jié) 束 語(yǔ)

針對(duì)云環(huán)境實(shí)際應(yīng)用中需保護(hù)屬性隱私且更新訪問(wèn)策略的問(wèn)題，筆者提出支持訪問(wèn)策略半隱藏和動(dòng)態(tài)更新的多機(jī)構(gòu)屬性基加密方案．通過(guò)半策略隱藏的方式實(shí)現(xiàn)對(duì)用戶所有屬性的保護(hù)，并將密文的訪問(wèn)策略的更新分為3種類型，實(shí)現(xiàn)策略的動(dòng)態(tài)更新，用戶只需將更新密鑰發(fā)送給云服務(wù)器，密文更新由云服務(wù)器操作，大大節(jié)省了系統(tǒng)的通信與計(jì)算開(kāi)銷．在大數(shù)據(jù)環(huán)境下，用戶不僅對(duì)系統(tǒng)的功能有需求，對(duì)系統(tǒng)的計(jì)算能力、通信能力也有著更高的需求，因此，更短密文、短密鑰且具備豐富表達(dá)能力的多機(jī)構(gòu)屬性基加密方案是一個(gè)值得深入研究的方向．

參考文獻(xiàn)：

[1] SAHAI A, WATERS B. Fuzzy Identity-based Encryption[C]//Lecture Notes in Computer Science: 3494. Heidelberg: Springer Verlag, 2005, 457-473 .

[2]CHASE M. Multi-authority Attribute Based Encryption[C]//Lecture Notes in Computer Science: 4392. Heidelberg: Springer Verlag, 2007, 515-534.

[3]LIN H , CAO Z F, LIANG X H, et al. Secure Threshold Multi-authority Attribute Based Encryption without a Central Authority[C]//Lecture Notes in Computer Science: 5365. Heidelberg: Springer-Verlag, 2008: 426-436.

[4]CHASE M, CHOW S S M. Improving Privacy and Security in Multi-authority Attribute-based Encryption[C]//Proceedings of the 2009 ACM Conference on Computer and Communication Security. New York: ACM, 2009: 121-130.

[5]LEWKO A, WATERS B. Decentralizing Attribute-based Encryption[C]//Lecture Notes in Computer Science: 6632. Heidelberg: Springer Verlag, 2011: 568-588.

[6]XHAFA F, FENG J L, ZHANG Y H, et al. Privacy-aware Attribute-based PHR Sharing with User Accountability in Cloud Computing[J]. Journal of Supercomputing, 2015, 71(5): 1607-1619.

[7]HAN J G, SUSILO W, MU Y, et al. Improving Privacy and Security in Decentralized Ciphertext-policy Attribute-based Encryption[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(3): 665-678.

[8]WANG M Q, ZHANG Z F, CHEN C. Security Analysis of a Privacy-preserving Decentralized Ciphertext-policy Attribute-based Encryption Scheme[J]. Concurrency Computation, 2016, 28(4): 1237-1245.

[9]SAHAI A, SEYALIOGLU H, WATERS B. Dynamic Credentials and Ciphertext Delegation for Attribute-based Encryption[C]//Lecture Notes in Computer Science: 7417. Heidelberg: Springer Verlag, 2012: 199-217.

[10] YANG K, JIA X H, REN K. Secure and Verifiable Policy Update Outsourcing for Big Data Access Control in the Cloud[J]. IEEE Transactions on Parallel and Distributed Systems, 2015, 26(12): 3461-3470.

[11]應(yīng)作斌, 馬建峰, 崔江濤. 支持動(dòng)態(tài)策略更新的半策略隱藏屬性加密方案[J]. 通信學(xué)報(bào), 2015, 36(12): 178-189.

YING Zuobin, MA Jianfeng, CUI Jiangtao. Partially Policy Hidden CP-ABE Supporting Dynamic Policy Updating[J]. Journal on Communications, 2015, 36(12): 178-189.

[12]LI H W, LIU D X, ALHARBI K, et al. Enabling Fine-grained Access Control with Efficient Attribute Revocation and Policy Updating in Smart Grid[J]. KSII Transactions on Internet and Information Systems, 2015, 9(4): 1404-1423.

[13]QIAN H L, LI J G, ZHANG Y C, et al. Privacy-preserving Personal Health Record Using Multi-authority Attribute-based Encryption with Revocation[J]. International Journal of Information Security, 2014, 14(6): 487-497.

[14]應(yīng)作斌, 馬建峰, 崔江濤. 支持位置驗(yàn)證和策略變更的屬性加密方案[J]. 西安電子科技大學(xué)學(xué)報(bào), 2017, 44(2): 57-62.

YING Zuobin, MA Jianfeng, CUI Jiangtao. Attribute-based Encryption with Location Verification and Policy Adjusting Supporting the Cloud Mobile Office[J]. Journal of Xidian University, 2017, 44(2): 57-62.

[15]YING Z B, LI H, MA J F, et al. Adaptively Secure Ciphertext-policy Attribute-based Encryption with Dynamic Policy Updating[J]. Science China Information Sciences, 2016, 59(4): 042701.

[16]LAI J Z, DENG R H, LI Y J. Expressive CP-ABE with Partially Hidden Access Structures[C]//Proceedings of the 2012 7th ACM Symposium on Information, Computer and Communications Security. New York: ACM, 2012: 18-19 .