多機(jī)構(gòu)身份及屬性加密機(jī)制綜述

楊艷，陳性元,3，杜學(xué)繪

?

多機(jī)構(gòu)身份及屬性加密機(jī)制綜述

楊艷1,2，陳性元1,2,3，杜學(xué)繪2

（1. 北京交通大學(xué)計算機(jī)與信息技術(shù)學(xué)院，北京 100044；2. 信息工程大學(xué)密碼工程學(xué)院，河南 鄭州 450001；3. 密碼科學(xué)技術(shù)國家重點(diǎn)實驗室，北京 100878）

多機(jī)構(gòu)身份及屬性加密機(jī)制已經(jīng)成為云計算等分布式環(huán)境下，實現(xiàn)云服務(wù)端數(shù)據(jù)共享的細(xì)粒度訪問控制的一個研究熱點(diǎn)。在對基本身份及屬性加密機(jī)制的構(gòu)造和安全性研究的基礎(chǔ)上，分別從層次分級和分布式2種架構(gòu)方面，對現(xiàn)有多機(jī)構(gòu)身份及屬性加密機(jī)制的密鑰管理、架構(gòu)設(shè)計、加解密開銷、安全性等難點(diǎn)問題，進(jìn)行了深入探討和綜合對比分析。最后，總結(jié)了未來研究趨勢以及開放性問題，并給出了一種新趨勢的解決思路。

層次分級IBE；層次分級ABE；分布式ABE；多機(jī)構(gòu)ABE

1 引言

在分布開放的計算環(huán)境中，實現(xiàn)數(shù)據(jù)共享的安全訪問，迫切需要支持一對多的加密訪問，以及靈活的訪問控制。傳統(tǒng)的對稱加密及公鑰加密機(jī)制，不能實現(xiàn)一對多的訪問以及提供細(xì)粒度的訪問控制。1984年，Shamir[1]提出了基于身份加密（IBE，identity-based encryption）的概念，使用身份信息作為公鑰來加密消息，簡化了傳統(tǒng)的公鑰基礎(chǔ)設(shè)施中證書的管理。IBE要求每個用戶都是用唯一的身份來標(biāo)識，Sahai和Waters[2]提出基于屬性加密（ABE，attribute-based encryption）機(jī)制，用屬性集解決了IBE中每個用戶都是用唯一身份來標(biāo)識的問題。ABE以屬性為公鑰，根據(jù)該屬性集合來為用戶生成相應(yīng)的私鑰，密文是根據(jù)一個屬性集合生成的，是加密給滿足一定條件的群體用戶的。

在基礎(chǔ)型IBE和ABE中，一個授權(quán)中心管理所有密鑰，這種單授權(quán)中心會成為系統(tǒng)的性能瓶頸，而且容易受到集中攻擊。因此，借鑒公鑰基礎(chǔ)設(shè)施（PKI，public key infrastructure）的分級模式，出現(xiàn)了層次分級的HIBE（HIBE，hierarchical IBE）和層次分級的HABE（HABE，hierarchical ABE）。HIBE和HABE通過分級，重點(diǎn)解決了密鑰頒發(fā)的負(fù)載問題。在HIBE和HABE中，根授權(quán)機(jī)構(gòu)是最終信任源，按照一個信任域或組織內(nèi)策略共享信息。但現(xiàn)實生活中，用戶的不同信息由不同的部門管理，不能由一個管理機(jī)構(gòu)來管理所有信息和分發(fā)密鑰。分布式IBE和分布式ABE主要解決了這種身份及屬性信息分屬于不同授權(quán)機(jī)構(gòu)的訪問問題。層次分級和分布式的IBE和ABE，統(tǒng)稱為多機(jī)構(gòu)IBE（multi-authority IBE）和多機(jī)構(gòu)ABE（multi- authority ABE），多機(jī)構(gòu)IBE和ABE是近年來IBE及ABE的一個研究重點(diǎn)和熱點(diǎn)[3]，也是目前云計算中，解決共享秘密數(shù)據(jù)的關(guān)鍵技術(shù)。

本文主要關(guān)注了身份及屬性加密領(lǐng)域的一個新方向，即多機(jī)構(gòu)身份及屬性加密機(jī)制，分別從層次分級和分布式2種架構(gòu)，分析了多機(jī)構(gòu)身份及屬性加密機(jī)制的難點(diǎn)和重點(diǎn)問題，對已有的經(jīng)典方案，在密鑰管理、體系架構(gòu)及安全性等方面進(jìn)行了分析比較，最后，分析了目前存在的問題，探討了未來的研究發(fā)展趨勢，以及一種新趨勢的解決思路。

2 理論基礎(chǔ)

2.1 可證明安全理論

IBE和ABE屬于公鑰加密機(jī)制，安全性是構(gòu)造公鑰密碼方案的重要因素。在完全安全性的基礎(chǔ)上，Goldwasser和Micali[4]為公鑰密碼方案引入了“語義安全性”，在限定敵手具有有限的計算資源時，方案具有完全安全性，也是可證明安全理論的開端。可證明安全是根據(jù)某種安全性定義來證明密碼方案是安全的，通常使用“歸約”的方法，首先確定密碼方案所需要達(dá)到的安全目標(biāo)，然后根據(jù)攻擊者的能力去定義一個攻擊者模型，并指出這個攻擊者模型與密碼方案安全性之間的歸約關(guān)系。

公鑰密碼方案通?；?類模型進(jìn)行安全性證明：隨機(jī)預(yù)言模型（ROM，random oracle model）[5]和標(biāo)準(zhǔn)模型（SM，standard model）[6]。標(biāo)準(zhǔn)模型下的證明效率較低，而且通常要基于更強(qiáng)的計算假設(shè)。隨機(jī)預(yù)言模型下的證明，雖然在真實世界的有效性還存在爭議，但因其更好的性能，仍是當(dāng)前公鑰密碼中可證明安全研究領(lǐng)域使用最廣泛的證明方法。

2.2 基于身份及屬性加密機(jī)制的安全性

基于身份和屬性的加密機(jī)制，也可以看作特殊的公鑰加密機(jī)制。在公鑰加密方案的安全模型中，涉及的主要攻擊模型是選擇明文攻擊（CPA，chosen plaintext attack）模型和選擇密文攻擊（CCA，chosen ciphertext attack）模型[7-8]。公鑰加密方案中，通常會使用不可區(qū)分性（IND，indistinguishability）[9-10]來進(jìn)行語義安全的證明。因此產(chǎn)生了安全性定義：IND-CPA[9]和IND-CCA[7-8]。與CPA相關(guān)的安全性是公鑰加密機(jī)制的最基本要求，適應(yīng)性選擇密文攻擊（IND-CCA）則是傳統(tǒng)公鑰加密機(jī)制中最強(qiáng)的安全性概念，通常稱為選擇密文安全。

在基于身份加密的安全模型中，需要考慮攻擊者利用所知的不同身份（ID，identity）（或者身份對應(yīng)的私鑰）發(fā)起對目標(biāo)ID的攻擊。Boneh等[11]在標(biāo)準(zhǔn)IND-CPA定義的基礎(chǔ)上，對基于身份加密機(jī)制定義了新的安全性。攻擊者在獲得系統(tǒng)的公開參數(shù)之前，必須選擇一個身份后續(xù)進(jìn)行攻擊，稱為選擇身份安全（IND-sID-CPA，IND-selective identity-CPA），也稱為語義安全；攻擊者在獲取系統(tǒng)公開參數(shù)之后，可以適應(yīng)性地選擇一個合適的身份進(jìn)行攻擊，稱為適應(yīng)性選擇身份安全（IND-ID-CPA，IND-identity-CPA），也稱為完全安全。選擇身份安全比完全身份安全的安全性要弱一些。

IND-ID-CPA是IBE方案中重要的安全性定義，凡具有IND-ID-CPA安全性的IBE方案，均可由Canetti等[12]、Boyen等[13]和Boneh等[14]分別提出的通用方法，有效地擴(kuò)展為IND-ID-CCA安全，因此通常只證明方案具有IND-ID-CPA安全性即可。但有些方案只在較弱的IND-sID-CPA安全性下，才具有相對較實用的安全性歸約，而在IND-ID-CPA安全性下，歸約則完全不實用，因此這也是標(biāo)準(zhǔn)模型下構(gòu)建可證明安全的IBE方案的難點(diǎn)。

2.3 秘密共享技術(shù)

在IBE和ABE中，如何構(gòu)建秘密共享實現(xiàn)用戶的抗共謀攻擊，是方案設(shè)計的一個關(guān)鍵問題。秘密共享的概念最早由Shamir[15]和Blakley[16]分別提出。他們分別基于有限域上多項式的拉格朗日插值和有限幾何理論提出了第一個（,）門限秘密共享方案。此后出現(xiàn)了基于中國剩余定理的Asmuth-Bloom方案[17]和基于矩陣乘法的Karnin-Greene-Hellman方案[18]。在已有秘密共享方案中，Shamir方案具有安全性高、易于實現(xiàn)等優(yōu)點(diǎn)，成為秘密共享的經(jīng)典方案。

IBE中由集中的私鑰管理中心（PKG，private key generator）保存主密鑰，制約了IBE在分布式環(huán)境中的應(yīng)用，而秘密共享技術(shù)能夠增強(qiáng)方案在分布式環(huán)境下的應(yīng)用。目前基于IBE的秘密共享方案有2種實現(xiàn)方法，一種是將IBE系統(tǒng)的主密鑰作為共享秘密[11,19]，這類方法存在的一個缺點(diǎn)，就是要求PKG必須一直在線；另一種是將用戶的私鑰作為共享秘密[20-22]，這類方法提高了方案的可擴(kuò)展性。

ABE是IBE和訪問結(jié)構(gòu)相結(jié)合的結(jié)果，訪問結(jié)構(gòu)在ABE中起著重要的作用，訪問結(jié)構(gòu)的概念最初來源于門限秘密共享方案。Sahai和Waters[2]提出的ABE方案中就引入了（,）門限訪問結(jié)構(gòu)，當(dāng)且僅當(dāng)用戶的屬性集和密文的屬性集的交集，大于或等于門限值時，用戶才能解密密文?；趯傩缘募用軝C(jī)制中，通過引入門限結(jié)構(gòu)，能夠方便地表述解密密文所需要的條件。為了實現(xiàn)更加靈活的訪問策略描述，表示復(fù)雜的邏輯關(guān)系，在門限結(jié)構(gòu)的基礎(chǔ)上，又引入了訪問樹結(jié)構(gòu)[23]、與門訪問結(jié)構(gòu)[24]、線性秘密共享結(jié)構(gòu)[25]等。

3 基于身份及屬性的加密機(jī)制

3.1 基于身份的加密機(jī)制

安全性是構(gòu)建公鑰加密方案的基本目標(biāo)，在安全的基礎(chǔ)上提高效率是更高的目標(biāo)。公鑰加密方案的效率一般主要關(guān)注加解密開銷、密文空間大小等方面。IBE和ABE這2種方案的研究主要由安全性和效率2方面不斷推動向前發(fā)展的。

Shamir提出IBE的概念之后，Boneh和Franklin[11]，Sakai等[26]以及Cocks[27]分別提出不同的IBE架構(gòu)。Boneh-Franklin[11]方案是利用雙線性對構(gòu)造的第一個實用的IBE方案，是第一個在隨機(jī)預(yù)言機(jī)模型下，滿足IND-ID-CCA安全性，具有完全安全的基于身份加密方案。Canetti等[28]隨后提出了在標(biāo)準(zhǔn)模型下選擇身份安全的IBE方案，但效率較低。Boneh和Boyen[29]提出更為實用的，在標(biāo)準(zhǔn)模型下選擇身份安全的Boneh-Boyen2004-1方案，方案提出了一個較為通用的Boneh-Boyen結(jié)構(gòu)，該結(jié)構(gòu)可以很容易地擴(kuò)展到HIBE，但該方案在相對較強(qiáng)的IND-ID-CPA安全性定義下，規(guī)約十分松散，不具實用性。Boneh和Boyen[30]隨后提出了標(biāo)準(zhǔn)模型下完全安全的Boneh-Boyen2004-2方案，實現(xiàn)了IND-ID-CPA安全性下相對有效的歸約，但密文長度和加解密復(fù)雜度與身份信息的長度相關(guān)，降低了實用性。Waters[31]使用Boneh-Boyen結(jié)構(gòu)，構(gòu)造了標(biāo)準(zhǔn)模型下第一個高效的具有完全安全的Waters-IBE方案，實現(xiàn)了IND-ID-CPA安全性下相對有效的歸約。該方案具有常數(shù)級的密文長度和解密復(fù)雜度，執(zhí)行效率高，具有良好的擴(kuò)展性，常成為構(gòu)造其他IBE方案的基礎(chǔ)。但在Waters-IBE方案中，安全證明仍然不是緊規(guī)約，而且系統(tǒng)公共參數(shù)的長度與身份信息的長度也呈線性關(guān)系。Gentry[32]構(gòu)造了一個更為高效的、短公共參數(shù)的、安全證明緊規(guī)約的Gentry-IBE方案，但是需要基于大量的復(fù)雜性假設(shè)。Waters[33]引入了雙系統(tǒng)加密（dual system encryption）的概念，提出第一個基于簡單性假設(shè)、短公共參數(shù)的、具有完全安全的IBE和HIBE方案。雙系統(tǒng)加密技術(shù)目前已被應(yīng)用在很多IBE和ABE方案中[34-37]，成為目前IBE和ABE安全性證明中的主流技術(shù)。

3.2 基于屬性的加密機(jī)制

IBE使用身份信息作為公鑰來加密消息，雖然簡化了傳統(tǒng)的公鑰基礎(chǔ)設(shè)施中證書的管理，但是要求每個用戶都是用唯一的身份來標(biāo)識。Sahai和Waters[2]提出的ABE用屬性集解決了IBE中每個用戶都是用唯一身份來標(biāo)識的問題。ABE把屬性集合看作一個用戶的身份，以屬性為公鑰，根據(jù)該屬性集合來為用戶生成相應(yīng)的私鑰。同樣，密文不是為某個特定的用戶而加密的，而是根據(jù)一個屬性集合生成的，是加密給滿足一定條件的群體用戶的。ABE實質(zhì)上可以看作IBE系統(tǒng)在用戶的私鑰中或者密文中引入了一個訪問結(jié)構(gòu)而構(gòu)成的，這些結(jié)構(gòu)定義了具備哪些屬性的用戶可以解密某個密文，哪些用戶不能解密該密文。ABE系統(tǒng)同樣需要解決抗共謀問題。

Sahai和Waters提出的基本ABE，只能表示屬性的“門限”操作，且門限參數(shù)由授權(quán)機(jī)構(gòu)設(shè)置，無法支持靈活的訪問控制策略，只能實現(xiàn)比較粗粒度的訪問控制。因此為了解決復(fù)雜的訪問策略的需求，出現(xiàn)了基于密鑰策略的ABE（KP-ABE，key-policy ABE）[38]和基于密文策略的ABE（CP-ABE，ciphertext-policy ABE）[39]。KP-ABE和CP-ABE都采用樹訪問結(jié)構(gòu)，區(qū)別在于訪問結(jié)構(gòu)部署的位置不同，訪問控制策略可以實現(xiàn)屬性的與、或、非等門限操作，實現(xiàn)比基本ABE更靈活的訪問控制策略。在CP-ABE中，密鑰和屬性集關(guān)聯(lián)，密文和訪問策略關(guān)聯(lián)。在KP-ABE中，密鑰和訪問策略關(guān)聯(lián)，密文和屬性集相關(guān)聯(lián)。早期的CP-ABE和KP-ABE[38-43]都是選擇身份安全下的構(gòu)造。2010年，Lewko等[34]利用Waters[33]中提出的雙系統(tǒng)加密思想，第一次提出了完全安全的ABE方案。Lewko等[44]在2012年還提出一種新的證明方法，可以將一些優(yōu)化的選擇安全系統(tǒng)轉(zhuǎn)化為完全安全系統(tǒng)。

一些加密方案[45-50]討論了和基于屬性加密同樣的問題，只是沒有考慮共謀攻擊。這些加密系統(tǒng)中，數(shù)據(jù)加密時指定一個訪問策略，只有符合訪問策略的用戶集才能解密數(shù)據(jù)。其他的還有一些匿名及謂詞加密的基于屬性加密方案[51-53]、關(guān)于屬性撤銷的一些加密方案[54-58]，以及提供更細(xì)粒度訪問控制的屬性加密方案等[59]。

4 層次分級的基于身份及屬性加密機(jī)制

HIBE[33,35-36,60-65]主要為了解決基本IBE中，單授權(quán)中心帶來的性能瓶頸問題，降低授權(quán)中心分發(fā)密鑰的負(fù)載。HABE[66-74]則是在HIBE的基礎(chǔ)上發(fā)展起來的。在IBE和ABE中，一個重要的問題是“共謀”，即是多個用戶相互合作后的解密能力不應(yīng)該超越他們的解密能力之和。單授權(quán)中心負(fù)責(zé)頒發(fā)所有密鑰，每個用戶的密鑰是用不同的隨機(jī)共享秘密生成，中心可以相對容易的重新隨機(jī)相應(yīng)的秘密共享，實現(xiàn)用戶的抗共謀攻擊問題。在HIBE和HABE中，抗共謀要求則更加復(fù)雜，即使一個攻擊者能訪問特定域內(nèi)其他用戶的私鑰，也不能解密為特定域內(nèi)特定用戶加密的消息；或者是域內(nèi)一定用戶共謀，也不能訪問域內(nèi)其他用戶的私鑰；或者是A域的PKG和B域內(nèi)的用戶共謀，也不能解開B域下其他用戶可解密的消息。針對抗共謀攻擊需求及基本IBE和ABE的要求，HIBE和HABE目前主要采用層次型的密鑰管理機(jī)制。

4.1 典型HIBE及HABE方案

4.1.1 Horwitz-Lynn方案

Horwitz-Lynn方案在域?qū)用媸峭耆构仓\的，任意數(shù)目的域PKG共謀，根PKG的主密鑰仍然是安全的。但在用戶層是部分抗共謀的，如域內(nèi)有超過一定數(shù)量的用戶共謀，就能得到域PKG的密鑰。如果不關(guān)注域以下層面的抗共謀攻擊，這個架構(gòu)還是比較實用的。因為在域級層次，個域PKG共謀的可能性，要比用戶層的2個用戶共謀的可能性要?。?個用戶共謀，要求來自個不同域，每個域有個用戶參與共謀才可以）。

Horwitz-Lynn方案在隨機(jī)預(yù)言模型下是選擇密文安全的。Horwitz-Lynn方案的架構(gòu)當(dāng)擴(kuò)展到多層時，上一層密鑰的大小隨著層次深度呈指數(shù)遞增，因此這種架構(gòu)并不是高效的，通常適用于深度不超過兩層的應(yīng)用場景。

4.1.2 Gentry-Silverberg方案

Gentry-Silverberg方案的優(yōu)點(diǎn)是域PKG的秘密泄露，只會影響其域內(nèi)用戶，而不會破壞上一級PKG的秘密。但加密給一個用戶的文件，能夠被用戶以及用戶所有祖先節(jié)點(diǎn)解密，以及密文長度和解密開銷隨著消息接收方的層次而線性增長。為了解決密文長度和層次深度有關(guān)，還提出一種更高效的雙身份加密和簽名方案，特別適合于發(fā)方和收方位于層次樹中非常近的情況。

4.1.3 其他典型方案

最早的HIBE方案基本都是在隨機(jī)預(yù)言模型下證明安全的，直到Canetti等[28]給出第一個標(biāo)準(zhǔn)模型下選擇身份安全的HIBE，但是并不高效。

2004年，Boneh，Boyen[29-30]提出2種高效的不用隨機(jī)預(yù)言模型的選擇身份安全的IBE系統(tǒng)，即Boneh-Boyen04方案。Boneh-Boyen04的方案是類似于Gentry-Silverberg方案，但可以不用隨機(jī)預(yù)言模型證明安全。Boneh-Boyen04方案重點(diǎn)在加密和解密的效率上，Boneh-Boyen2004-1[29]方案是基于DBDH（decision bilinear di?e-hellman）假設(shè)，可以擴(kuò)展到一個不用隨機(jī)預(yù)言模型的選擇身份安全的HIBE，加密不要求雙線性計算而解密只要求2次。Boneh-Boyen2004-2[30]方案基于一個新的假設(shè)稱為DBDHI（decision bilinear di?e-hellman inversion），解密的只要求一次雙線性計算，更加高效。這2個方案雖然都可以擴(kuò)展到HIBE中，但在密文和私鑰長度上，和加解密所需時間上，仍然是隨著層次的深度線性增長的。

Boneh、Boyen和Goh[63]則提出一個不依賴于層次的深度，具有常數(shù)級的密文大小和解密開銷，更高效的HIBE方案。對于任意深度的身份，加密時不要求任何雙線性對計算，密文只包括3個組元素，解密只需要2次雙線性對計算。該方案在標(biāo)準(zhǔn)模型下是選擇身份安全；在隨機(jī)預(yù)言模型下，則是完全安全的。

Waters-IBE方案[31]雖然沒有給出具體的HIBE方案，但也可以擴(kuò)展到標(biāo)準(zhǔn)模型下完全安全的HIBE方案。但是，Waters的HIBE方案以及同一時期的所有具有完全安全性的HIBE方案，都不能實現(xiàn)安全的緊規(guī)約。規(guī)約的證明，僅在常數(shù)等級的HIBE中有效，從安全的角度，實際應(yīng)用中只能擁有2~3個等級。

Gentry、Halevi[64]提出了第一個具有多項式深度的完全安全的HIBE方案，但是該方案基于復(fù)雜性假設(shè)，而且密文大小仍然隨著層次深度呈線性遞增。Boyen和Waters[60]則提出了在標(biāo)準(zhǔn)模型下所有層次完全匿名的HIBE，加解密時間及密文大小也是隨著層次深度呈線性增長。Waters2009方案[33]采用雙系統(tǒng)加密技術(shù)，實現(xiàn)了標(biāo)準(zhǔn)模型下完全安全，但密文大小仍隨著層次深度呈線性增長。Lewko-Waters2010方案[35]則是采用雙系統(tǒng)加密技術(shù)，在簡單性假設(shè)下，實現(xiàn)了固定密文長度，標(biāo)準(zhǔn)模型下完全安全的HIBE。以上方案通常需要在系統(tǒng)建立時，確定支持的最大層次數(shù)，Lewko和Waters[36]給出了第一個無界的HIBE方案，該方案無需事先確定層次數(shù)。

Guojun Wang[66-67]等利用Gentry-Silverberg方案中層次結(jié)構(gòu)密鑰生成的思想，并借鑒了Müller-Katzenbeisser方案中將訪問結(jié)構(gòu)表示成析取范式（DNF，disjunctive normal form）形式的思想，提出了層次型架構(gòu)的ABE方案，同時支持基于屬性和基于精確身份的訪問結(jié)構(gòu)，而且具有常數(shù)級的解密計算復(fù)雜度。Zhiguo Wan等[68]提出一種更彈性化和細(xì)粒度的HABE。

4.2 典型HIBE方案的分析與比較

從表1可以看出，目前典型的這些HIBE方案，大部分方案的加解密開銷、密文及密鑰大小，都會和層次數(shù)直接相關(guān)，隨著層次深度呈線性增長趨勢。Boneh-Boyen-Goh及Lewko-Waters2010方案中，雖然解密時間和密文大小和層次無關(guān)，但加密時間和密鑰大小仍然和系統(tǒng)層次及用戶所在層次有關(guān)。

5 分布式的基于屬性加密機(jī)制

HIBE及HABE雖然解決了中心授權(quán)機(jī)構(gòu)密鑰分發(fā)的負(fù)載問題，但在大規(guī)模、分布式系統(tǒng)中，用戶信息及屬性信息由不同的部門管理，因此不能由一個屬性管理機(jī)構(gòu)來管理所有屬性和分發(fā)密鑰，需要有多個不同授權(quán)機(jī)構(gòu)同時工作，每個管理不同屬性集的密鑰。目前分布式的多機(jī)構(gòu)IBE及ABE，主要以分布式ABE為主。

表1 典型HIBE方案的比較

在單授權(quán)機(jī)構(gòu)的ABE中，中心授權(quán)機(jī)構(gòu)可以容易地將秘密值在用戶私鑰的不同部分（代表不同屬性）中進(jìn)行分割，實現(xiàn)抗共謀攻擊。分布式ABE包含多個屬性授權(quán)機(jī)構(gòu)（AA，attribute authority），每個用戶的密鑰要在多個授權(quán)機(jī)構(gòu)間分割，授權(quán)機(jī)構(gòu)間沒有必然聯(lián)系，因此如何構(gòu)建秘密共享實現(xiàn)抗共謀攻擊，是分布式ABE的研究難點(diǎn)。

目前分布式ABE主要采用用戶全局身份標(biāo)識（GID，global identifier）來防止用戶共謀，根據(jù)是否采用中心授權(quán)機(jī)構(gòu)來保證解密的正確運(yùn)行，分為采用中心授權(quán)機(jī)構(gòu)和不采用中心授權(quán)機(jī)構(gòu)2類。采用中心授權(quán)機(jī)構(gòu)的以Chase07[75]及Müller-Katzenbeisser[76]等方案為主，不采用中心授權(quán)機(jī)構(gòu)的以Lewko-Waters2011[37]、Lin-Cao[77]及Chase09[78]等方案為主。

5.1 采用中心授權(quán)機(jī)構(gòu)的機(jī)制

5.1.1 Chase07方案

Chase07方案[75]最先采用用戶GID和中心授權(quán)機(jī)構(gòu)解決分布式ABE的抗共謀問題。分布式ABE中，必須區(qū)分2種情形，一種是一個用戶具有密文要求的屬性集；一種是不同用戶共同擁有構(gòu)成密文要求的屬性集。由于屬性集不能區(qū)分用戶，因此Chase07方案中第一次引入了GID來實現(xiàn)用戶全網(wǎng)唯一，用戶在每個授權(quán)機(jī)構(gòu)用同一個GID得到相應(yīng)的密鑰集，解密的能力也依賴于GID。

Chase07方案最早提出中心授權(quán)機(jī)構(gòu)和GID來解決分布式ABE的抗共謀問題，不足之外，一是中心授權(quán)機(jī)構(gòu)要求絕對可信，為了重構(gòu)秘密，中心授權(quán)機(jī)構(gòu)需要了解所有授權(quán)機(jī)構(gòu)私鑰，而且能夠解密所有用戶密文；二是訪問策略比較固定，不能支持比較復(fù)雜的訪問策略，用戶必須具有每個授權(quán)機(jī)構(gòu)要求的固定屬性數(shù)，而且局限于只能對預(yù)先的屬性集表達(dá)嚴(yán)格的“與”策略；三是可擴(kuò)展性弱，新加一個授權(quán)機(jī)構(gòu)，全網(wǎng)系統(tǒng)密鑰都要改變。

5.1.2 Müller-Katzenbeisser方案

Müller-Katzenbeisser方案中由于各屬性授權(quán)機(jī)構(gòu)之間不用建立信任關(guān)系，可擴(kuò)展性好，支持任何時候動態(tài)添加新的用戶和屬性授權(quán)機(jī)構(gòu)，并且支持相對復(fù)雜的訪問策略表示。不足的地方，一是訪問策略要以析取范式的形式表示，加密開銷和密文長度會與析取范式中合取子句的數(shù)量成比例增加；二是仍然不能實現(xiàn)很復(fù)雜的訪問策略。

5.2 不采用中心授權(quán)機(jī)構(gòu)的機(jī)制

早期的分布式ABE方案基本都采用中心授權(quán)機(jī)構(gòu)，來解決各授權(quán)機(jī)構(gòu)相互不信任的情況，確保用戶不能進(jìn)行共謀。這種架構(gòu)中，普遍要求中心授權(quán)機(jī)構(gòu)必須是全網(wǎng)可信，中心授權(quán)機(jī)構(gòu)的安全關(guān)系到全部系統(tǒng)，如果系統(tǒng)的規(guī)模更大時，中心授權(quán)機(jī)構(gòu)會成為瓶頸。因此為解決使用中心授權(quán)機(jī)構(gòu)帶來的安全脆弱性，一些不使用中心授權(quán)機(jī)構(gòu)的方案相繼推出。

5.2.1 Lewko-Waters2011方案

Lewko、Waters[37]提出了不需要中心授權(quán)機(jī)構(gòu)的Lewko-Waters2011方案，使用GID將不同授權(quán)機(jī)構(gòu)頒發(fā)給同一個用戶的屬性私鑰聯(lián)系起來。加密數(shù)據(jù)的訪問控制要求的屬性分屬不同的授權(quán)機(jī)構(gòu)，可以按照任意屬性的布爾式加密數(shù)據(jù)，解密時只有具有所有要求的屬性私鑰且為同一用戶的可以解密。

Lewko-Waters方案設(shè)置時，要求既滿足密鑰產(chǎn)生的自治性，又要抗共謀攻擊。密鑰產(chǎn)生的自治性意味著密鑰隨機(jī)化的建立機(jī)制不能被應(yīng)用，因為沒有一方能夠?qū)⒚荑€的所有部分收集齊。密鑰的每一個組件可能來自于不同的授權(quán)機(jī)構(gòu)，授權(quán)機(jī)構(gòu)間也沒有建立信任關(guān)系。因此，Lewko-Waters方案提出一種新的技術(shù)將密鑰組件綁定在一起，以阻止不同的GID的用戶間的共謀攻擊。利用可計算單調(diào)布爾函數(shù)的單調(diào)張成方案，構(gòu)造線性秘密共享，實現(xiàn)秘密值在訪問策略中不同的屬性間分割。同時使用GID將屬于一個指定用戶的不同屬性綁定在一起，解密時符合條件的屬性且為同一用戶，才能解密密文，共同實現(xiàn)抗共謀攻擊。

Lewko-Waters2011方案不要求中心授權(quán)機(jī)構(gòu)，避免了中心授權(quán)機(jī)構(gòu)帶來的性能瓶頸，以及絕對可信問題，不僅在效率方面還是在安全方面，都是重要的改進(jìn)。各授權(quán)機(jī)構(gòu)完全獨(dú)立地工作，一些授權(quán)機(jī)構(gòu)的失敗和中斷不會影響到其他授權(quán)機(jī)構(gòu)的功能操作，這也使系統(tǒng)更強(qiáng)壯。

Lewko-Waters2011方案除了創(chuàng)建公共參數(shù)初始集，不要求任何授權(quán)機(jī)構(gòu)提前建立信任關(guān)系。采用訪問樹的策略描述，支持復(fù)雜訪問策略描述。方案雖然不需要中心授權(quán)機(jī)構(gòu)來管理用戶及分發(fā)密鑰，但使用了GID實現(xiàn)用戶全網(wǎng)的唯一性，為了保證GID的真實性，各授權(quán)機(jī)構(gòu)必須依賴于管理用戶身份標(biāo)識的機(jī)構(gòu)提供支撐。而且方案中用戶的GID也是向所有授權(quán)機(jī)構(gòu)公開的，會造成用戶隱私的泄露。

5.2.2 其他典型方案

Lin、Cao[77]等提出基于門限架構(gòu)，不依賴于中心授權(quán)機(jī)構(gòu)的分布式方案。Lin-Cao方案采用一個密鑰分發(fā)協(xié)議，生成各個授權(quán)機(jī)構(gòu)的秘密值，所有授權(quán)機(jī)構(gòu)的秘密值重構(gòu)出總的秘密值。不足的是屬性集及要求的授權(quán)機(jī)構(gòu)在系統(tǒng)建立時必須提前固定，系統(tǒng)只能在不超過固定用戶數(shù)時才能抗共謀。而且不能任意添加新的授權(quán)機(jī)構(gòu)，擴(kuò)展性弱。Lin-Cao方案中用戶的GID仍然是向授權(quán)機(jī)構(gòu)公開的。

Chase，Sherman等[78]提出的Chase09方案，沿用Chase07方案的秘密分割方式，不使用中心授權(quán)機(jī)構(gòu)將各授權(quán)機(jī)構(gòu)的秘密值重構(gòu)，但所有授權(quán)機(jī)構(gòu)在初始化階段，要兩兩協(xié)商種子密鑰參數(shù)，建立復(fù)雜的信任關(guān)系；方案的另一個特點(diǎn)是采用匿名密鑰分發(fā)協(xié)議，實現(xiàn)了匿名信任，用戶不用出示GID，可以從授權(quán)機(jī)構(gòu)得到解密密鑰，實現(xiàn)隱私保護(hù)，不足的是協(xié)議較為復(fù)雜。

Rahulamathavan和Veluru等[79]提出的分布式方案，沒有采用中心授權(quán)機(jī)構(gòu)，對Chase09方案中的匿名密鑰分發(fā)協(xié)議更改，增強(qiáng)了GID和用戶解密密鑰之間的綁定，保護(hù)了用戶的隱私，降低了復(fù)雜性。但不足的是密鑰分發(fā)協(xié)議仍然需要交互多次，需要多個密鑰參數(shù)來實現(xiàn)。文獻(xiàn)[80-82]中也使用了匿名方案，保護(hù)用戶的隱私，但基本上也都采用了相對復(fù)雜的匿名密鑰分發(fā)協(xié)議。其他還有一些分布式的ABE方案[83-92]。

5.3 典型分布式ABE方案的分析與比較

分布式ABE主要是屬性分屬于不同授權(quán)機(jī)構(gòu)，各機(jī)構(gòu)管理屬性及頒發(fā)密鑰都是相互獨(dú)立的，只是因為工作需要，而建立一些信任關(guān)系，需要各機(jī)構(gòu)的屬性密鑰才能共享一些數(shù)據(jù)。分布式ABE的構(gòu)造不同，主要體現(xiàn)在是否使用用戶GID和中心授權(quán)機(jī)構(gòu)，以及各授權(quán)機(jī)構(gòu)間信任關(guān)系建立方式等方面。

Müller-Katzenbeisser方案中沒有使用GID來區(qū)分用戶，但中心授權(quán)機(jī)構(gòu)為每個用戶生成的唯一的私鑰，實現(xiàn)了用戶身份在全網(wǎng)的唯一性；Lin-Cao方案和Lewko-Waters2011方案中用戶的GID是全網(wǎng)公開的。Chase09方案和Rahulamathavan-Veluru方案中，采用匿名密鑰分發(fā)協(xié)議，使用戶的GID不對外公開，保護(hù)了用戶的隱私。

6 結(jié)束語

本文在基本IBE及ABE的研究基礎(chǔ)上，對多機(jī)構(gòu)IBE及ABE的密鑰管理、架構(gòu)設(shè)計、安全性等方面進(jìn)行了深入研究探討。由于多機(jī)構(gòu)IBE及ABE是新興的研究領(lǐng)域，也存在著很多的開放性問題，這些問題也指引了該領(lǐng)域未來的研究趨勢，總結(jié)如下。

1) HIBE及HABE

HIBE及HABE主要解決了基本IBE及ABE中，單授權(quán)中心帶來的性能瓶頸問題。根PKG是最終信任根，授權(quán)機(jī)構(gòu)按層次進(jìn)行密鑰管理，解決了密鑰頒發(fā)的負(fù)載問題；同時，身份的認(rèn)證和密鑰的傳輸在內(nèi)部完成，大大提高了系統(tǒng)效率。但普遍存在著隨著層次深度的增長，密文及密鑰大小或加解密開銷也隨之增長的問題，以及帶來的安全性降低的問題。設(shè)計和層次深度不直接相關(guān)的方案，是目前的研究難點(diǎn)和趨勢。

表2 典型的分布式ABE方案的比較

2) 分布式ABE

分布式ABE，主要解決了屬性分屬不同授權(quán)機(jī)構(gòu)的訪問問題。各授權(quán)機(jī)構(gòu)之間沒有信任關(guān)系，每個授權(quán)機(jī)構(gòu)負(fù)責(zé)頒發(fā)本域內(nèi)的屬性和密鑰。目前主要分為2大類，一類采用中心授權(quán)機(jī)構(gòu)的方案，優(yōu)點(diǎn)是各授權(quán)機(jī)構(gòu)之間，不需要構(gòu)建復(fù)雜的信任關(guān)系；但中心授權(quán)機(jī)構(gòu)負(fù)責(zé)管理用戶或分發(fā)密鑰，實現(xiàn)秘密分割。此類方案工作負(fù)載大，存在可信度要求高，以及授權(quán)機(jī)構(gòu)擴(kuò)展性不好等問題。另一類不采用中心授權(quán)機(jī)構(gòu)的方案，優(yōu)點(diǎn)是授權(quán)機(jī)構(gòu)的擴(kuò)展性好，允許授權(quán)機(jī)構(gòu)破壞的冗余度高，但在授權(quán)機(jī)構(gòu)之間，需要交換必需的參數(shù)信息，構(gòu)建信任關(guān)系實現(xiàn)秘密共享，或者采用復(fù)雜的密鑰交換協(xié)議。

有中心授權(quán)機(jī)構(gòu)的方案，管理更簡單，更適合于實際應(yīng)用。無中心授權(quán)機(jī)構(gòu)的方案，則以授權(quán)機(jī)構(gòu)間，簡單的密鑰交換為發(fā)展趨勢。用戶具有全網(wǎng)唯一性，目前主要以GID方式為主，存在問題就是如何保證用戶身份在全網(wǎng)公開而帶來的隱私泄露問題。

3) 層次分級和分布式相結(jié)合的多機(jī)構(gòu)IBE及ABE

現(xiàn)實應(yīng)用中，如企業(yè)內(nèi)部，通常是層次分級的管理模式，而當(dāng)企業(yè)之間合作時，則是分布式的管理模式。針對這樣的應(yīng)用場景，需要層次分級和分布式相結(jié)合的多機(jī)構(gòu)IBE及ABE。目前針對這種混合架構(gòu)的方案較少，使用中心授權(quán)機(jī)構(gòu)所要求的全網(wǎng)可信，帶來了瓶頸和可擴(kuò)展性問題，不使用中心授權(quán)機(jī)構(gòu)的方案，基本上采用用戶GID的方法，但仍依賴于相關(guān)管理中心提供用戶身份管理。

[1] SHAMIR A. Identity-based cryptosystems and signature schemes[C]// Proceedings of CRYPTO 84 on Advances. 1984: 47-53.

[2] SAHAI A, WATERS B. Fuzzy identity-based encryption[C]//Proceedings of the 24th annual international conference on Theory and Applications of Cryptographic Techniques. 2005: 457-473.

[3] 蘇金樹, 曹丹, 王小峰, 等. 屬性基加密機(jī)制[J]. 軟件學(xué)報. 2011, 22(6): 1299-1315.

SU J S, CAO D, WANG X F, et al. Attribute-based encryption schemes[J]. Journal of Software, 2011, 22(6): 1299-1315.

[4] GOLDWASSER S, MICALI S. Probabilistic encryption[J]. Journal of Computer Systems Science, 1984, 28(2): 270-299.

[5] BELLARE M, ROGAWAY P. Random oracles are practical: a paradigm for designing efficient protocols[C]//Proceedings of the 1th ACM conference on Computer and Communications Security (CCS1993). 1993:62-73.

[6] CRAMER R, SHOUP V. A practical public key cryptosystem provable secure against adaptive chosen ciphertext attack[C]//Proceedings of the 18th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 1998). 1998: 414-426.

[7] NAOR M, YUNG M. Public-key cryptosystems provably secure against chosen ciphertext attacks[C]//Proceedings of the 22th annual ACM Symposium on Theory of Computing (STOC 90). 1990: 427-437.

[8] RACKOFF C, SIMON D. Non-interactive zero-knowledge proof of knowledge and chosen ciphertext attack[C]//Proceedings of the 11th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 91). 1991:433-444.

[9] GOLDWASSER S, MICALI S．Probabilistic encryption[J]．Journal of Computer and System Sciences, 1984, 28(2): 270-299.

[10] MICALI S, RACKOFF C, SLOAN R．The notion of security for probabilistic cryptosystems[J]. SIAM Journal on Computing, 1988, 17(2):412-426.

[11] BONEH D, FRANKLIN M. Identity-based encryption from the weil pairing[C]//Proceedings of the 21st Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2001). 2001: 213-229.

[12] CANETTI R, HALEVI S, KATZ J. Chosen-ciphertext security from identity-based encryption[C]//Proceedings of the 23th annual international conference on Theory and Applications of Cryptographic Techniques (EUROENCRYPT 2004). 2004: 207-222.

[13] BOYEN X, MEI Q, WATERS B. Direct chosen ciphertext security from identity-based techniques[C]//Proceedings of the 12th ACM conference on Computers and Communication Security (CCS 2005). 2005: 320-329.

[14] BONEH D, KATZ J. Improved efficiency for CCA-secure cryptosystems built using identity-based encryption[C]//In Proceedings of CT-RSA 2005. 2005: 87-103.

[15] SHAMIR A. How to share a secret[J]. Communications of the ACM, 1979, 22(11):612-613.

[16] BLAKLEY G R. Safeguarding cryptographic key[C]//AFIPS 1979 National Computer Conference. 1979:313-317.

[17] ASMUTH C, BLOOM J. Modular approach to key safeguarding[J]. IEEE transaction on Information Theory, 1983, 29(2):208-210.

[18] KARNIN E D, MEMBER S, GREENE J W, et al. On sharing secret system[J]. IEEE Transactions on Information Theory, 1983, 29(1):35-41.

[19] LIBERT B, QUISQUATER J J. Efficient revocation and threshold pairing based cryptosystems[C]//Symposium on Principles of Distributed Computing 2003. 2003:163-171.

[20] DODIS Y, YUNG M. Exposure-resilience for free: the hierarchical id-based encryption case[C]//Proceedings of IEEE security in Storage Workshop 2002. 2002:45-52.

[21] BAEK J, ZHENG Y. Identity-based threshold decryption[C]//Public Key Cryptography Proceedings of PKC’04, 2004:262-276.

[22] LIU S, CHEN K, QIU W. Identity-based threshold decryption revisited[C]//Proceedings of the 3rd international conference on Information security practice and experience (ISPEC 07). 2007:329-343.

[23] BEIMEL A. Secure schemes for secret sharing and key distribution[D]. Haifa: Israel Institute of Technology. 1996.

[24] CHEUNG L, NEWPORT C. Porvably secure ciphertext policy ABE[C]//Proceedings of the 14th ACM Conference on Computer and Communications Security (CCS 2007). 2007:456-465.

[25] ATTRAPADUNG N, IMAI H. Dual-policy attribute based encryption[C]//Proceedings of the 7th International Conference on Applied Cryptography and Network Security (ACNS 2009). 2009:168-185.

[26] SAKAI R, OHGISHI K, KASAHARA M. Cryptosystems based on pairing[C]//Symposium on Cryptography and Information Security (SCIS 2000). 2000:233-238.

[27] COCKS C. An identity based encryption scheme based on quadratic residues[C]//Cryptography and Coding 2001. 2001:360-363.

[28] CANETTI R, HALEVI S, KATZ J. A forward-secure public-key encryption scheme[C]//Proceedings of the 22th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2003). 2003: 255-271.

[29] BONEH D, BOYEN X. Ef?cient selective-ID secure identity based encryption without random oracles[C]//Proceedings of the 23th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2004). 2004:223-238.

[30] BONEH D, BOYEN X. Secure identity based encryption without random oracles[C]//Proceedings of the 24th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2004). 2004:443-459．

[31] WATERS B. Efficient identity-based encryption without random oracles[C]//Proceedings of the 24th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2005). 2005:114-127.

[32] GENTRY C. Practical identity-based encryption without random oracles[C]//Proceedings of the 25th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2006). 2006:445-464.

[33] WATERS B. Dual system encryption: Realizing fully secure IBE and HIBE under simple assumptions[C]//Proceedings of the 29th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2009). 2009:619-636.

[34] LEWKO A, OKAMOTO T, SAHAI A, et al. Fully secure functional encryption: attribute-based encryption and (hierarchical) inner product encryption[C]//Proceedings of the 29th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2010). 2010:62-91.

[35] LEWKO A, WATERS B. New techniques for dual system encryption and fully secure HIBE with short ciphertexts[C]//Proceedings of the 7th conference on Theory of cryptography (TCC 2010). 2010:455-479.

[36] LEWKO A, WATERS B. Unbounded HIBE and attribute-based encryption[C]//Proceedings of the 30th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2011). 2011:547-567.

[37] LEWKO A, WATERS B. Decentralizing attribute-based encryption[C]//Proceedings of the 30th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2011). 2011:568-588.

[38] GOYAL V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//Proceedings of the 13th ACM Conference on Computer and Communications Security (CCS 2006). 2006:99-112.

[39] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryption[C]//Proceedings of the 28th IEEE Symposium on Security and Privacy (S&P 2007). 2007:321-334.

[40] CHEUNG L, NEWPORT C. Provably secure ciphertext policy ABE[C]//Proceedings of the 14th ACM conference on Computer and communications security (CCS 2007). 2007:456-465.

[41] OSTROVKSY R, SAHAI A, WATERS B. attribute based encryption with non-monotonic access structures[C]//Proceedings of the 14th ACM conference on Computer and communications security (CCS 2007). 2007:195-203.

[42] GOYAL V, JAIN A, PANDEY O, et al. Bounded ciphertext policy attribute-based encryption[C]//Proceedings of the 35th international colloquium on Automata, Languages and Programming (ICALP 2008). 2008: 579-591.

[43] WATERS B. Ciphertext-policy attribute-based encryption: An Expressive, Efficient, and Provably Secure Realization[R]. Public Key Cryptography – PKC 2011. 2011:53-70.

[44] LEWKO A, WATERS B. New proof methods for attribute-based encryption: achieving full security through selective techniques[C]//In Proc of Advances in Cryptology-CRYPTO’12. 2012: 180-198.

[45] AL-RIYAMI S. S, MALONE-LEE J, SMART N.P. Escrow-free encryption supporting cryptographic workflow[J]. International Journal of Information Security, 2006, 5(4): 217-229.

[46] BAGGA W, MOLVA R, CROSTA S. Policy-based encryption schemes from bilinear pairings[C]//In ASIACCS2006. 2006: 368-368.

[47] BARBOSA M, FARSHIM P. Secure cryptographic work flow in the standard model[C]//In INDOCRYPT2006. 2006: 379-393.

[48] BRADSHAW R, HOLT J, SEAMONS K. Concealing complex policies with hidden credentials[C]//In ACM Conference on Computer and Communications Security. 2004: 146-157,

[49] MIKLAU G, SUCIU D. Controlling access to published data using cryptography[C]//In Proceedings of the 29th international conference on Very large data bases, VLDB'03. 2003, Volume 29: 898-909.

[50] SMART N. Access control using pairing based cryptography[C]//In CT-RSA. 2003: 111-121.

[51] ABDALLA M, BELLARE M, CATALANO D, et al. Searchable encryption revisited: Consistency properties, relation to anonymous ibe, and extensions[J]. In Journal of Cryptology, 2008, volume 21: 350-391.

[52] KATZ J, SAHAI A, WATERS B. Predicate encryption supporting disjunctions, polynomial equations, and inner products[C]//In EUROCRYPT2008.2008:146-162.

[53] SHI E, WATERS B. Delegating capabilities in predicate encryption systems[C]//In Automata, Languages and Programming. 2008: 560-578.

[54] YU S, WANG C, REN K, et al. Attribute based data sharing with attribute revocation[C]//The 5th ACM Symp.Information, Computer and Comm. Security (ASIACCS’10). 2010: 261-270.

[55] LI M, YU S, ZHENG Y, et al. Scalable and secure sharing of personal health records in cloud computing using attribute-based encryption[J]. IEEE Trans. Parallel Distributed Systems, 2013, 24(1): 131-143.

[56] HUR J, NOH D.K. Attribute-based access control with efficient revocation in data outsourcing systems[J]. IEEE Trans. Parallel Distributed Systems, 2011, 22(7): 1214-1221.

[57] JAHID S, MITTAL P, BORISOV N. Easier: Encryption-Based Access Control in Social Networks with Efficient Revocation[C]//In Proc. 6th ACM Symp. Information, Computer and Comm. Security (ASIACCS’11). 2011: 411-415.

[58] RUJ S, NAYAK A, STOJMENOVIC I. DACC: Distributed Access Control in Clouds[C]// In Proc. 10th IEEE Int’l Conf.TrustCom. 2011: 91-98.

[59] SHUCHENG YU, CONG WANG, KUI REN, et al. Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing[C]//INFOCOM'10 Proceedings of the 29th conference on Information communications. 2010,29(16): 534-542.

[60] BOYEN X, WATERS B. Anonymous Hierarchical Identity-Based Encryption (Without Random Oracles)[C]//Proceedings of the 26th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2006). 2006: 290-307.

[61] HORWITZ J, LYNN B. Towards hierarchical identity-based encryption[C]//Proceedings of the 21th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2002). 2002: 466–481.

[62] GENTRY C, SILVERBERG A. Hierarchical ID-based cryptography[C]//Proceedings of the 8th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology (ASIACRYPT 2002). 2002: 548-566.

[63] BONEH D, BOYEN X, GOH E J. Hierarchical identity based encryption with constant size ciphertext[C]//Proceedings of the 24th annual international conference on Theory and Applications of Cryptographic Techniques (EUROCRYPT2005). 2005:440-456.

[64] GENTRY C, HALEVI S. Hierarchical identity based encryption with polynomially many levels[C]//Proceedings of the 6th conference on Theory of cryptography (TCC 2009). 2009:437-456.

[65] FUYANG FANG, BAO LI, XIANHUI LU, et al. (Deterministic) Hierarchical identity-based encryption from learning with rounding over small modulus[C]//ASIA CCS’16. 2016: 907-912.

[66] WANG G J, LIU Q, WU J. Hierarchical attribute-based encryption for ?ne-grained access control in cloud storage services[C]//Proceedings of the 17th ACM conference on Computer and communications security (CCS 2010). 2010:735-737.

[67] WANG G J, LIU Q, WU J, et al. Hierarchical attribute-based encryption and scalable user revocation for sharing data in cloud servers[J]. Computers & security, 2011, 30 (5):320-331.

[68] WAN Z G, LIU J, DENG R H. HASBE: A hierarchical attribute-based solution for flexible and scalable access control in cloud computing[C]//IEEE Transactions on Information Forensics and Security 2012. 2012:743-753.

[69] ASIM M, IGNATENKO T, PETKOVIC M, et al. Enforcing access control in virtual organizations using hierarchical attribute-based encryption[C]//Seventh International Conference on Availability, Reliability and Security. 2012,329 (6): 212-217.

[70] LIU J, WAN Z, GU M. Hierarchical attribute-set based encryption for scalable, flexible and fine-grained access control in cloud computing[C]//Information Security Practice and Experience. ISPEC2011. 2011,6672 (2): 98-107.

[71] DENG H, WU Q, QIN B, et al. Ciphertext-policy hierarchical attribute-based encryption with short ciphertexts: efficiently sharing data among large organizations[J]. Information Sciences, 2014,275 (11): 370-384.

[72] LIU X, MA J, XIONG J, et al. Ciphertext-policy hierarchical attribute-based encryption for fine-grained access control of encryption data[J]. International Journal of Network Security, 2014,16(6): 437-443.

[73] HUANG Q, WANG L, YANG Y. DECENT: Secure and fine-grained data access control with policy updating for constrained IoT devices[J]. World Wide Web, 2017 (11):1-17.

[74] SERVOS D, OSBORN SL. HGAA: An architecture to support hierarchical group and attribute-based access control[C]//the Third ACM Workshop. 2018:1-12.

[75] CHASE M. Multi-authority attribute based encryption[C]//Proceedings of the 4th conference on Theory of cryptography (TCC 2007). 2007:515-534.

[76] MüLLER S, KATZENBEISSER S, ECKERT C. Distributed attribute-based encryption[C]//Proceedings of the 11th International Conference on Information Security and Cryptology (ICISC 2008). 2008:20-36.

[77] LIN H, CAO Z F, LIANG X H, et al. Secure threshold multi authority attribute based encryption without a central authority[C]//Proceedings of the 9th International Conference on Cryptology in India: Progress in Cryptology (INDOCRYPT 2008). 2008:426-436.

[78] CHASE M, CHOW S. Improving privacy and security in multi-authority attribute-based encryption[C]//Proceedings of the 16th ACM conference on Computer and communications security (CCS 2009). 2009:121-130.

[79] RAHULAMATHAVAN Y, VELURU S, HAN J, et al. User collusion avoidance scheme for Privacy-Preserving Decentralized Key-Policy Attribute-Based Encryption[J]. IEEE Transactions on Computers, 2016, 65(9): 2939-2946.

[80] HAN J, SUSILO W, MU Y, et al. Privacy-preserving decentralized key-policy attribute-based encryption[J]. IEEE Transactions on Parallel and Distributed Systems, 2012, 23(11): 2150–2162.

[81] HAN J, SUSILO W, MU Y, et al. Improving privacy and security in decentralized ciphertext-policy attribute-based encryption[J]. IEEE Transactions on Information Forensics and Security, 2015,10(3): 665-678.

[82] QIAN H, LI J, ZHANG Y. Privacy-preserving decentralized ciphertext-policy attribute-based encryption with fully hidden access structure[C]//In Proc. ICICS’13. 2013: 363–372.

[83] LI J, HUANG Q, CHEN X, et al. Multi-authority ciphertext-policy attribute-based encryption with accountability[C]//In Proc. ASIACCS’11. 2011: 386–390.

[84] LIU Z, CAO Z, HUANG Q, et al. Fully secure multi-authority ciphertext-policy attribute-based encryption without random oracles[C]//In Proc. ESORICS’11. 2011: 278–297.

[85] YANG K, JIA X. Attribute-based access control for multi-authority systems in cloud storage[C]//In Proc. 32th IEEE International Conference on Distributed Computing Systems (ICDCS’12). 2012:1-10.

[86] YANG K, JIA X, REN K, et al. DAC-MACS: Effective data access control for multiauthority cloud storage systems[J]. IEEE Transactions On Information Forensics And Security, 2013, 8(11): 1790-1801.

[87] YANG K, JIA X. Expressive, efficient, and revocable data access control for multi-authority cloud storage[J]. IEEE Transactions on Parallel and Distributed Systems, 2014: 25(7).

[88] JUNG T, LI X, WAN ZH, et al. Privacy preserving cloud data access with multi-authorities[C]//2013 Proceedings IEEE INFOCOM. 2013, 12(11): 2625-2633.

[89] GE A, ZHANG J, ZHANG R, MA C, et al. Security analysis of a privacy-preserving decentralized key-policy attribute-based encryption scheme[J]. IEEE Transactions on Parallel and Distributed Systems, 2013, 24(11): 2319-2321.

[90] KUEHNER H, HARTENSTEIN H. Decentralized secure data sharing with attribute-based encryption: a resource consumption analysis[C]//SCC’16. 2016: 74-81.

[91] PUSSEWALAGE H S G, OLESHCHUK V A. A distributed multi-authority attribute based encryption scheme for secure sharing of personal health records[C]//Proceedings of the 22nd ACM on Symposium on Access Control Models and Technologies, SACMAT'17. 2017: 255-262.

[92] LI X, WANG Y, XU M, et al. Decentralized attribute-based encryption and data sharing scheme in cloud storage[J]. China Communications, 2018, 15(2): 138-152.

Survey of multi-authority identity-based and attribute-based encryption scheme

YANG Yan1,2, CHEN Xingyuan1,2,3, DU Xuehui2

1. School of Computer and Information Technology, Beijing Jiaotong University, Beijing 100044 2. College of Cryptography Engineering, Information Engineering University, Zhengzhou, 450001 3. State Key Laboratory of Cryptology, Beijing, 100878

Multi-Authority Identity-Based Encryption (IBE) and Attribute-Based Encryption (ABE) have become a popular research direction of fine-grained access control for encrypting out-sourced data in distributed environments such as cloud computing. Firstly, systematic analysis on the construction and security of basic IBE and ABE was conducted. Then, from the two aspects of hierarchical and decentralizing architecture, the research problems relating to Multi-Authority IBE and ABE were researched and discussed in depth, including key management, architecture, encryption overhead, decryption overhead and security with a comprehensive comparison of their functionality and performance. Finally, the future research trends and open issues were summarized, and a solution to the new trend was given.

hierarchical IBE, hierarchical ABE, decentralizing ABE, multi-authority ABE

TP393.08

A

10.11959/j.issn.1000?436x.2018219

楊艷（1973?），女，河南息縣人，博士，信息工程大學(xué)教授，主要研究方向為云計算安全、大數(shù)據(jù)安全、數(shù)據(jù)安全與防護(hù)。

陳性元（1963?），男，安徽無為人，博士，信息工程大學(xué)教授，主要研究方向為電子政務(wù)安全、網(wǎng)絡(luò)空間安全、大數(shù)據(jù)安全。

杜學(xué)繪（1968?），女，河南輝縣人，博士，信息工程大學(xué)教授，主要研究方向為網(wǎng)絡(luò)空間安全、電子政務(wù)安全、數(shù)據(jù)安全交換。

2017?11?30；

2018?08?06

國家高技術(shù)研究發(fā)展計劃（No.2015AA016006）；國家重點(diǎn)研發(fā)計劃項目（No.2016YFB0501900）

The National High Technology Research and Development Program of China (No.2015AA016006), The National Key R&D Plan of China (No.2016YFB0501900)