理想格上支持隱私保護(hù)的屬性基加密方案

閆璽璽，劉媛，李子臣，湯永利，葉青

?

理想格上支持隱私保護(hù)的屬性基加密方案

閆璽璽1，劉媛1，李子臣2，湯永利1，葉青1

（1. 河南理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，河南 焦作 454003；2. 北京印刷學(xué)院信息工程學(xué)院，北京 102600）

理想格上的加密方案具有密鑰尺寸小、加密效率高的優(yōu)勢(shì)，利用理想格環(huán)上帶誤差學(xué)習(xí)（R-LWE, ring learning with error）問(wèn)題，構(gòu)造一種可以保護(hù)用戶屬性隱私的屬性基加密方案，支持靈活的訪問(wèn)策略，提供用戶隱私保護(hù)，并且提高方案效率，縮短密鑰尺寸。該方案通過(guò)采用半策略隱藏方式，保護(hù)用戶的隱私，從而避免用戶的敏感屬性值泄露給其他任何第三方。另外，將擴(kuò)展的Shamir門(mén)限秘密共享技術(shù)應(yīng)用于構(gòu)造方案的訪問(wèn)結(jié)構(gòu)，從而實(shí)現(xiàn)用戶屬性的“與”“或”“門(mén)限”這3種操作，具有更高的靈活性。經(jīng)安全性分析證明，該方案在標(biāo)準(zhǔn)模型下滿足自適應(yīng)選擇明文攻擊安全。通過(guò)與其他方案的對(duì)比，該方案系統(tǒng)公鑰、系統(tǒng)私鑰、用戶私鑰長(zhǎng)度以及密文長(zhǎng)度都有所優(yōu)化，在實(shí)際應(yīng)用中更加有效。

屬性基加密；理想格；隱私保護(hù)；環(huán)上帶誤差學(xué)習(xí)；訪問(wèn)樹(shù)

1 引言

隨著互聯(lián)網(wǎng)的高速發(fā)展及云計(jì)算的廣泛應(yīng)用，人們喜歡將個(gè)人數(shù)據(jù)外包給云端，但是這些外包給云端的數(shù)據(jù)中往往包含用戶的一些敏感信息，為了防止用戶隱私的泄露，經(jīng)常需要對(duì)敏感的隱私信息進(jìn)行加密處理。屬性基加密[1]（ABE, attribute based encryption）機(jī)制用一系列的屬性來(lái)表示用戶的身份信息，利用對(duì)用戶的密鑰或密文設(shè)置的訪問(wèn)策略或?qū)傩约系钠ヅ涑潭龋瑏?lái)判斷解密者的解密能力，可以實(shí)現(xiàn)用戶外包數(shù)據(jù)的一對(duì)多共享和細(xì)粒度訪問(wèn)控制，靈活性和實(shí)用性更高。自從ABE提出以來(lái)，基于各種困難假設(shè)和應(yīng)用環(huán)境的ABE方案不斷被提出，但大多ABE方案是以雙線性映射為基礎(chǔ)的，并不能很好地抵抗量子攻擊。而基于格的密碼系統(tǒng)具有較高的加密效率、密鑰尺寸小、抗量子攻擊等特點(diǎn)，成為后量子時(shí)代學(xué)者們的研究熱點(diǎn)。

Ajtai等[2]利用格理論構(gòu)造出第一個(gè)公鑰加密方案，該方案指出解決公鑰密碼系統(tǒng)中的平均困難問(wèn)題，與解決公鑰密碼系統(tǒng)中的最壞困難問(wèn)題是等價(jià)的，但該系統(tǒng)的效率極低。Regev[3]提出格上的帶誤差學(xué)習(xí)（LWE, learning with error）問(wèn)題，本文指出利用LWE問(wèn)題可以構(gòu)造如基于身份的加密方案和ABE方案等公鑰加密方案，且構(gòu)造的公鑰加密方案可以在最壞困難問(wèn)題下抵抗量子攻擊。Agrawal等[4]利用格上LWE問(wèn)題，分別針對(duì)大/小身份集合構(gòu)造出2種不同的模糊身份加密方案，并最后證明方案的安全性可規(guī)約為L(zhǎng)WE問(wèn)題。Boyen[5]利用LWE問(wèn)題構(gòu)造基于屬性的功能加密方案，該方案是一種密鑰策略的ABE方案，但是方案的訪問(wèn)策略是利用線性秘密共享技術(shù)構(gòu)造的，導(dǎo)致方案中用戶的密鑰尺寸過(guò)大。Liu等[6]提出一種格上支持“門(mén)限”的屬性分層加密方案，該方案基于LWE問(wèn)題，并在標(biāo)準(zhǔn)模型下證明滿足選擇明文攻擊（CPA, chosen-plaintext attack）安全。Zhao等[7]提出格上基于屬性的電路加密方案，該方案屬于密鑰策略ABE，支持“與”操作并在選擇模型下證明滿足LWE假設(shè)。Wang[8]提出標(biāo)準(zhǔn)模型下基于格的密文策略的ABE方案，該方案在文獻(xiàn)[4]的基礎(chǔ)上構(gòu)造2種屬性基加密方法，并支持“與”操作。

但是，由于基于LWE的密碼方案中固有的二次乘法開(kāi)銷(xiāo)，導(dǎo)致系統(tǒng)的效率較低，因此，Lyubashevsky等[9]提出環(huán)上帶誤差學(xué)習(xí)（R-LWE, ring learning with error）問(wèn)題，相較于LWE密碼體制，具有密鑰尺寸小、加密效率高的優(yōu)勢(shì)。Zhu等[10]首次利用理想格上R-LWE問(wèn)題，構(gòu)造ABE方案，該方案的加解密算法設(shè)計(jì)簡(jiǎn)單、加解密效率高、密鑰尺寸短。隨后，Tan等[11]提出格上基于R-LWE問(wèn)題的密文策略屬性基加密方案，采用線性秘密共享技術(shù)實(shí)現(xiàn)訪問(wèn)策略的控制，并引入密鑰隨機(jī)化技術(shù)來(lái)抵抗共謀攻擊。吳立強(qiáng)等[12]提出理想格上的高效模糊身份加密方案，方案基于理想格上的R-LWE問(wèn)題，并利用用戶身份信息的屬性集合與加密屬性集合足夠“相近”時(shí)才能解密的思想，構(gòu)造加密方案，方案可在標(biāo)準(zhǔn)模型下證明其滿足選擇身份和選擇明文攻擊安全。孫澤棟等[13]利用R-LWE的提出的密鑰策略ABE方案，可以支持任意長(zhǎng)度的屬性集合，并滿足半適應(yīng)性安全，另外，方案的最后設(shè)計(jì)一個(gè)編譯器，可以將ABE方案轉(zhuǎn)化為全同態(tài)加密方案。楊海斌[14]利用理想格上的R-LWE問(wèn)題提出一種新的身份分層加密方案，改進(jìn)理想格上的陷門(mén)函數(shù)，并利用改進(jìn)的陷門(mén)函數(shù)為用戶產(chǎn)生私鑰，方案的安全性可規(guī)約為判定R-LWE問(wèn)題。閆璽璽等[15]提出一種理想格上的多機(jī)構(gòu)屬性基加密隱私保護(hù)方案，支持多個(gè)屬性機(jī)構(gòu)管理不同的屬性集，并證明其滿足自適應(yīng)選擇明文攻擊安全。

從上述分析可以看出，格上的ABE方案并不成熟，大多方案僅支持“與”操作或“門(mén)限”操作，操作方式單一、靈活性不高。另外，大多方案很少考慮用戶屬性的泄露而導(dǎo)致用戶敏感隱私的泄露。例如，在個(gè)人健康病例系統(tǒng)中，病人將自己的病例信息保存在云服務(wù)器，設(shè)置的訪問(wèn)策略如圖1所示，但在這些屬性中，身份證號(hào)和科室等都是病人較為敏感的信息，其內(nèi)容涉及病人隱私，需要提供保護(hù)服務(wù)。因此，本文在理想格上首次提出一種支持隱私保護(hù)的屬性基加密方案，主要思想包括3點(diǎn)。1) 利用理想格上的R-LWE問(wèn)題構(gòu)造ABE方案，縮短密鑰尺寸，提高加密效率。2) 擴(kuò)展的Shamir門(mén)限秘密共享技術(shù)的靈活運(yùn)用，可以實(shí)現(xiàn)屬性的“與”“或”“門(mén)限”操作，提高系統(tǒng)的靈活性。3) 采用半策略隱藏方式，將屬性分為屬性名和屬性值2個(gè)部分，通過(guò)對(duì)屬性名進(jìn)行加密，將用戶的具體屬性值隱藏進(jìn)密文，從而有效保護(hù)用戶的屬性隱私，具體訪問(wèn)策略如圖2所示。

圖1 普通訪問(wèn)策略

圖2 本文采用的半隱藏訪問(wèn)策略

2 相關(guān)知識(shí)

2.1 格的相關(guān)定義

2.2 困難問(wèn)題

2.3 擴(kuò)展的Shamir(t,n)門(mén)限秘密共享

3 算法定義和安全模型

3.1 算法定義

本文方案包括4個(gè)算法，即系統(tǒng)初始化算法、密鑰生成算法、加密算法和解密算法，具體如下。

3.2 安全模型

Phase 2 重復(fù)Phase 1。

4 方案構(gòu)造

1) 系統(tǒng)初始化

2) 密鑰生成

3) 加密

4) 解密

5 方案分析

5.1 正確性

5.2 安全性證明

Setup

Phase 1

Challenge

Phase 2

Guess

5.3 隱私保護(hù)分析

5.4 性能分析

從表1可以看出，本文支持對(duì)用戶的所有屬性隱私的保護(hù)，而其他方案并不提供隱私保護(hù)功能；本文方案采用訪問(wèn)樹(shù)結(jié)構(gòu)支持屬性的“與”“或”“門(mén)限”這3種操作，而文獻(xiàn)[8]僅支持“與”操作，文獻(xiàn)[10,12]支持“門(mén)限”操作，方式單一，靈活性較低。

綜合分析，本文方案支持用戶的所有屬性隱私的保護(hù)，同時(shí)采用訪問(wèn)樹(shù)結(jié)構(gòu)支持屬性的“與”“或”“門(mén)限”這3種操作，提高系統(tǒng)的靈活性與安全性。另外，方案在系統(tǒng)公私鑰、用戶密鑰和密文大小方面都有所優(yōu)化，加密效率高，密文膨脹率低，在實(shí)際應(yīng)用中更加有效。

6 結(jié)束語(yǔ)

本文利用理想格上的R-LWE問(wèn)題構(gòu)造ABE方案，解決數(shù)據(jù)外包環(huán)境下外包數(shù)據(jù)中用戶的屬性隱私泄露問(wèn)題，相比于標(biāo)準(zhǔn)格上ABE方案中只能加密單個(gè)比特明文數(shù)據(jù)，本文可加密bit的明文，既提高系統(tǒng)的加密效率，又減小密鑰長(zhǎng)度和密文長(zhǎng)度。同時(shí)，利用擴(kuò)展的Shamir門(mén)限秘密共享機(jī)制設(shè)置訪問(wèn)策略，實(shí)現(xiàn)屬性的“與”“或”“門(mén)限”這3種操作，增加系統(tǒng)的靈活性。另外，將用戶的屬性分成2個(gè)部分：屬性名和屬性值，加密時(shí)使用屬性名進(jìn)行加密，而將屬性值隱藏，從而保護(hù)用戶的具體屬性值不被泄露給任何第三方。實(shí)際應(yīng)用中用戶將加密數(shù)據(jù)存儲(chǔ)在云服務(wù)器中，有時(shí)會(huì)根據(jù)需要撤銷(xiāo)某些屬性，下一步將對(duì)格上用戶屬性的即時(shí)撤銷(xiāo)方案進(jìn)行研究。

表1 相關(guān)方案對(duì)比

[1] SAHAI A, WATERS B. Fuzzy identity-based encryption[C]//Advances in Cryptology-EUROCRYPT. 2005: 457-473.

[2] AJTAI M, DWORK C. A public-key cryptosystem with worst- case/average-case equivalence[C]//ACM Symposium on Theory of Computing(STOC). 1997:284-293.

[3] REGEV O. On lattices, learning with errors, random linear codes, and cryptography[C]//The Symposium on Theory of Computing. 2005: 84-93.

[4] AGRAWAL S, BOYEN X, VAIKUNTANATHAN V, et al. Functional encryption for threshold functions (or fuzzy IBE) from lattices[C]//International Conference on Practice and Theory in Public Key Cryptography. 2012:280-297.

[5] BOYEN X. Attribute-based functional encryption on lattices[C]//The 10th Theory of Cryptography Conference, Lecture Notes in Computer Science. 2013: 122-142.

[6] LIU X M, MA J F, XIONG J B, et al. Threshold attribute-based encryption with attribute hierarchy for lattices in the standard model[J]. IET Information Security, 2014, 8(4):217-223.

[7] ZHAO J, GAO H Y, ZHANG J Q. Attribute-based encryption for circuits on lattices[J]. Tsinghua Science and Technology, 2014, 45(5):463-469.

[8] WANG Y T. Lattice ciphertext policy attribute-based encryption in the standard model[J]. International Journal of Network Security, 2014, 16(6):444-451.

[9] LYUBASHEVSKY V, PEIKERT C, REGEV O. On ideal lattices and learning with errors over rings[C]//Advances in Cryptology- EUROCRYPT 2010, International Conference on the Theory and Applications of Cryptographic Techniques. 2010:1-23.

[10] ZHU W L , YU J P, ZHANG P, et al. Efficient attribute-based encryption from R-LWE[J]. Chinese Journal of Electronics, 2014, 23(4): 778-782.

[11] TAN S F, SAMSUDIN A. Lattice ciphertext-policy attribute-based encryption from ring-LWE[C]//International Symposium on Technology Management and Emerging Technologies. 2015:258-262.

[12] 吳立強(qiáng), 楊曉元, 韓益亮. 基于理想格的高效模糊身份加密方案[J]. 計(jì)算機(jī)學(xué)報(bào), 2015, 38(4):775-782.

WU L Q, YANG X Y, HAN Y L. An efficient FIBE scheme based on ideal lattices[J]. Chinese Journal of Computers, 2015, 38(4):775-782.

[13] 孫澤棟, 祝躍飛, 顧純祥, 等. 基于RLWE的密鑰策略屬性加密體制[J]. 通信學(xué)報(bào)，2016, 37(Z1): 125-131.

SUN Z D, ZHU Y F, GU C X, et al. RLWE-based key-policy ABE scheme[J]. Journal on Communications, 2016, 37(Z1): 125-131.

[14] 楊海斌. 一種新的格上基于身份的分層加密方案[J]. 武漢大學(xué)學(xué)報(bào)（理學(xué)版）, 2016, 62(2):155-160.

YANG H B. A new hierarchical identity-based encryption scheme based on lattices[J]. Journal of Wuhan University (Nature Science Edition), 2016, 62(2):155-160.

[15] 閆璽璽, 劉媛, 李子臣, 等. 云環(huán)境下理想格上的多機(jī)構(gòu)屬性基加密隱私保護(hù)方案[J]. 信息網(wǎng)絡(luò)安全, 2017(8): 19-25. YAN X X, LIU Y, LI Z C, et al. A privacy-preserving multi-authority attribute encryption scheme on ideal lattices in the cloud environment[J]. Netinfo Security, 2017(8): 19-25.

Privacy-preserving attribute-based encryption scheme on ideal lattices

YAN Xixi1, LIU Yuan1, LI Zichen2, TANG Yongli1, YE Qing1

1.School of Computer Science and Technology, Henan Polytechnic University, Jiaozuo 454003, China 2. School of Information Engineering, Beijing Institute of Graphic Communication, Beijing 102600, China

Based on the small key size and high encryption efficiency on ideal lattices, a privacy-preserving attribute-based encryption scheme on ideal lattices was proposed, which could support flexible access policies and privacy protection for the users. In the scheme, a semi-hidden policy was introduced to protect the users’ privacy. Thus, the sensitive values of user’s attributes are hidden to prevent from revealing to any third parties. In addition, the extended Shamir secret-sharing schemes was used to construct the access tree structure which can support “and”“or” and “threshold” operations of attributes with a high flexibility. Besides, the scheme was proved to be secure against chosen plaintext attack under the standard mode. Compared to the existing related schemes, the scheme can yield significant performance benefits, especially the size of system public/secret keys, users’ secret key and ciphertext. It is more effective in the large scale distributed environment.

attribute based encryption, ideal lattices, privacy-preserving, R-LWE, access tree

TP309

A

10.11959/j.issn.1000-436x.2018048

2017-06-06；

2017-12-13

湯永利，yltang@hpu.edu.cn

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61300216）；國(guó)家密碼管理局“十三五”國(guó)家密碼發(fā)展基金資助項(xiàng)目（No.MMJJ20170122）；河南省教育廳科研基金資助項(xiàng)目（No.16A520013）；河南理工大學(xué)博士基金資助項(xiàng)目（No.B2014-044）

The National Natural Science Foundation of China (No.61300216), The “13th Five-Year” National Crypto Development Foundation(No.MMJJ20170122), The Scientific Research Project of Henan Province (No.16A520013)，Research Fund for the Doctoral Program of Henan Polytechnic University (No.B2014-044)

閆璽璽（1985-），女，河南靈寶人，博士，河南理工大學(xué)副教授、碩士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、數(shù)字版權(quán)管理、數(shù)字內(nèi)容安全和密碼學(xué)。

劉媛（1989-），女，河南濮陽(yáng)人，河南理工大學(xué)碩士生，主要研究方向?yàn)槊艽a學(xué)、網(wǎng)絡(luò)與信息安全。

李子臣（1965-），男，河南溫縣人，北京印刷學(xué)院教授、博士生導(dǎo)師，主要研究方向?yàn)樾畔踩?、電子商?wù)和密碼學(xué)。

湯永利（1972-），男，河南焦作人，博士后，河南理工大學(xué)教授、碩士生導(dǎo)師，主要研究方向?yàn)槊艽a學(xué)算法檢測(cè)、網(wǎng)絡(luò)與信息安全。

葉青（1981-），女，遼寧營(yíng)口人，博士，河南理工大學(xué)講師、碩士生導(dǎo)師，主要研究方向?yàn)槊艽a學(xué)和數(shù)字簽名。