可撤銷和可追蹤的密鑰策略屬性基加密方案

齊芳，李艷梅，湯哲

?

可撤銷和可追蹤的密鑰策略屬性基加密方案

齊芳，李艷梅，湯哲

（中南大學(xué)信息科學(xué)與工程學(xué)院，湖南 長(zhǎng)沙 410083）

針對(duì)基于密鑰策略屬性基加密（KP-ABE, key-policy attribute-based encryption）方案不能兼顧屬性撤銷和用戶身份追蹤的問題，提出一種支持可撤銷和可追蹤的KP-ABE方案。首先，該方案能夠在不更新系統(tǒng)公鑰和用戶私鑰的情況下實(shí)現(xiàn)對(duì)用戶屬性的撤銷，更新代價(jià)比較小，同時(shí)可以根據(jù)解密密鑰追蹤到用戶身份，從而有效地防止匿名用戶的密鑰泄露問題。其次，該方案基于線性訪問結(jié)構(gòu)（LSSS, linear secret sharing scheme），與樹形訪問結(jié)構(gòu)相比，執(zhí)行效率更高。最后，該方案基于判定性-BDHE假設(shè)，給出了在標(biāo)準(zhǔn)模式下的安全性證明。通過與已有的KP-ABE方案進(jìn)行對(duì)比分析得出，該方案的公鑰長(zhǎng)度更短、加解密的計(jì)算開銷更低，且在實(shí)現(xiàn)屬性可撤銷的基礎(chǔ)上實(shí)現(xiàn)了用戶身份的可追蹤功能，具有較為明顯的優(yōu)勢(shì)。

基于密鑰策略屬性基加密；可撤銷；可追蹤；線性訪問結(jié)構(gòu)

1 引言

2007年，Bethencourt等[1]第一次提出了屬性基加密（ABE, attribute-based encryption）機(jī)制的概念，該機(jī)制將用戶私鑰、密文分別和一組屬性相關(guān)聯(lián)，用戶私鑰只有滿足密文訪問策略時(shí)才可對(duì)密文進(jìn)行解密，因此，可以實(shí)現(xiàn)細(xì)粒度的訪問控制?，F(xiàn)有的ABE機(jī)制根據(jù)解密策略的關(guān)聯(lián)方式可以大致分為兩種，一種是基于密鑰的屬性基加密機(jī)制[2-4]（KP-ABE, key-policy attribute-based encryption），該機(jī)制中用戶私鑰與訪問策略相關(guān)；另一種是基于密文的屬性基加密機(jī)制[5-6]（CP-ABE, ciphertext- policy attribute-based encryption），該機(jī)制將密文與訪問策略綁定。上述兩種方案都實(shí)現(xiàn)了基于屬性的細(xì)粒度訪問策略。Waters等[7]和Goyal等[8]的屬性加密方案都是基于樹形訪問結(jié)構(gòu)的，由文獻(xiàn)[8]可知，樹形訪問結(jié)構(gòu)下的密文長(zhǎng)度會(huì)隨訪問樹節(jié)點(diǎn)的增加呈指數(shù)級(jí)增長(zhǎng)，執(zhí)行效率比較低。而線性訪問結(jié)構(gòu)中密文和加密時(shí)間的長(zhǎng)度是隨著訪問結(jié)構(gòu)的增大呈線性增長(zhǎng)的，且文獻(xiàn)[9]中證明樹型訪問結(jié)構(gòu)與線性訪問結(jié)構(gòu)是可以相互轉(zhuǎn)換的，因此，本文的訪問結(jié)構(gòu)是基于LSSS的。

目前，針對(duì)各種形式的ABE方案關(guān)于屬性撤銷方面的研究比較少，已有的撤銷方案根據(jù)撤銷執(zhí)行方，可以分為直接撤銷和間接撤銷兩類，Imai等[10]指出間接撤銷是指只有未被撤銷的用戶，即非撤銷用戶才可以對(duì)密鑰進(jìn)行更新。Pirretti等[11]提出將有效期與一個(gè)屬性相關(guān)聯(lián)的撤銷方案，但該方案存在諸多問題，如密鑰存儲(chǔ)和更新的工作量較大、授權(quán)中心可擴(kuò)展性較差及無法實(shí)現(xiàn)屬性到期前的撤銷。Bethencourt等[12]提出的方案是在用戶屬性和密文中都添加時(shí)間信息，但是授權(quán)中心的工作量會(huì)隨著用戶數(shù)量的增多急劇增大，且不能實(shí)現(xiàn)用戶屬性的動(dòng)態(tài)及時(shí)撤銷。Boldyreva等[13]提出了利用二叉樹進(jìn)行撤銷的方案，但該方案仍不支持及時(shí)撤銷。直接撤銷是信息發(fā)送方將用戶的屬性撤銷列表直接嵌入密文中，從而完成屬性密鑰的撤銷，該思路是由OSW07[13]首次提出的，被撤銷的用戶失去了所有的解密屬性，但在該方案中僅支持用戶身份的撤銷，無法實(shí)現(xiàn)用戶部分屬性撤銷的問題。文獻(xiàn)[10]中定義了兩種撤銷模型：一種是間接撤銷模型，在這種模型下，用戶的屬性或身份，通過更新用戶私鑰來實(shí)現(xiàn)撤銷，加密消息時(shí)，發(fā)送者不關(guān)心撤銷列表；另一種是直接撤銷模型，該模型中，用戶的屬性或者身份在撤銷的時(shí)候會(huì)加入撤銷列表中，將撤銷列表加入密文中，而不影響用戶私鑰的生成。文獻(xiàn)[14]提出了一個(gè)支持身份吊銷的KP-ABE方案，但是該方案要求用戶加密的屬性集的大小必須是屬性集大小的一半。文獻(xiàn)[15]提出了一種直接撤銷模式下具有細(xì)粒度屬性撤銷機(jī)制的加密方案，該方案中撤銷的是單個(gè)屬性下的某些用戶，而不影響該用戶下的其他屬性，用戶的部分屬性被撤銷后如果余下的屬性集仍可以滿足訪問結(jié)構(gòu)，則該用戶還可以解密信息。文獻(xiàn)[16]在現(xiàn)有的研究基礎(chǔ)上，指出在不影響其他用戶私鑰的前提下，實(shí)現(xiàn)用戶屬性撤銷是未來的研究方向。目前，基于直接撤銷模式下的屬性基加密機(jī)制因其撤銷代價(jià)較小等優(yōu)勢(shì)，成為屬性基加密機(jī)制的研究熱點(diǎn)[17-19]，文獻(xiàn)[17]提出一種可直接撤銷的CP-ABE方案，針對(duì)KP-ABE,文獻(xiàn)[20]提出一種支持用戶撤銷的KP-ABE方案，但是該方案中僅支持用戶撤銷，還不能實(shí)現(xiàn)細(xì)粒度的撤銷模式，因而Wang等[21]提出支持細(xì)粒度撤銷機(jī)制的KP-ABE方案。文獻(xiàn)[22]提出一種基于代理的KP-ABE撤銷方案，該方案不需要更新用戶密鑰和已經(jīng)加密的舊密文，但是需要第三方代理機(jī)構(gòu)隨時(shí)在線且完全可信。

密鑰濫用問題一直是屬性基加密機(jī)制的研究熱點(diǎn)，因?yàn)橛脩羰峭ㄟ^屬性集來進(jìn)行身份標(biāo)識(shí)，所以可能會(huì)使不同用戶有相同的屬性集，無法唯一確定用戶身份，因此，如果合法用戶將自己的私鑰給其他惡意用戶分發(fā)出去，就會(huì)打亂事先定義的訪問策略，而且還不能對(duì)該用戶追責(zé)，因而引發(fā)密鑰濫用的問題。文獻(xiàn)[23-24]中引入了用戶身份信息，可以實(shí)現(xiàn)對(duì)惡意用戶身份追蹤，但文獻(xiàn)[23]中的撤銷機(jī)制僅針對(duì)惡意用戶。

上述研究?jī)?nèi)容均不能同時(shí)有效解決用戶屬性細(xì)粒度撤銷和追蹤用戶身份的問題，因此，本文在現(xiàn)有的研究基礎(chǔ)上，通過在密文中嵌入用戶屬性撤銷列表，同時(shí)將用戶身份標(biāo)識(shí)和密鑰相結(jié)合，從而可以實(shí)現(xiàn)用戶部分屬性撤銷的細(xì)粒度訪問控制，而且可以通過密鑰追蹤到用戶身份，有效地防止了用戶密鑰泄露的問題，具有一定的實(shí)際應(yīng)用價(jià)值。

2 基礎(chǔ)知識(shí)

2.1 合數(shù)階群上的雙線性映射

2.2 訪問結(jié)構(gòu)

2.3 線性秘密共享方案

2.4 判定性q-BDHE假設(shè)

3 模型定義

3.1 系統(tǒng)結(jié)構(gòu)

支持可撤銷和可追蹤的KP-ABE方案由以下5個(gè)多項(xiàng)式時(shí)間算法組成。

trace追蹤算法：如果非法用戶擁有有效的解密密鑰，則可以通過本算法驗(yàn)證密鑰泄露者的身份，從而追蹤到用戶身份。

3.2 安全模型

4 具體方案

生成系統(tǒng)主密鑰為

再計(jì)算

最終計(jì)算得到

trace追蹤算法：因?yàn)槊荑€中嵌入了用戶的身份標(biāo)識(shí)，每個(gè)用戶都滿足

5 安全性證明

定理1 基于上述3.2節(jié)所定義的安全模型下，若-BDHE假設(shè)成立，則第4節(jié)給出的方案是IND-CPA安全的。

當(dāng)詢問滿足訪問結(jié)構(gòu)時(shí)

當(dāng)詢問不滿足訪問結(jié)構(gòu)時(shí)

第二階段：重復(fù)第一階段的操作。

綜上，模擬算法在q-BDHE游戲中獲勝的概率為

6 性能分析

表1通過對(duì)如上幾種方案從公鑰長(zhǎng)度、系統(tǒng)主密鑰長(zhǎng)度、密文長(zhǎng)度以及用戶解密密鑰長(zhǎng)度以及方案是否具有可撤銷性和可追蹤性等方面進(jìn)行比較，得出本文所提方案中的公鑰長(zhǎng)度與用戶密鑰是最短的，文獻(xiàn)[24]的系統(tǒng)主密鑰最短，密文中加入了撤銷列表，因此，實(shí)現(xiàn)了屬性的可撤銷，用戶解密密鑰中嵌入用戶的身份信息，因此，實(shí)現(xiàn)了用戶身份的精準(zhǔn)追蹤。表2是對(duì)相關(guān)文獻(xiàn)在計(jì)算開銷方面的對(duì)比，由表2可知，文獻(xiàn)[20]的加解密開銷比文獻(xiàn)[22]低，文獻(xiàn)[23]中由于涉及兩個(gè)循環(huán)群的運(yùn)算，所以加解密開銷文獻(xiàn)[22]要高，本文所提方案的加解密開銷低于文獻(xiàn)[24]，同時(shí)加密開銷為所有方案最低，解密開銷僅略高于文獻(xiàn)[20]。

綜上表述，本文所提方案的公鑰和用戶密鑰長(zhǎng)度最短，且加密開銷最低，同時(shí)可以實(shí)現(xiàn)細(xì)粒度的屬性撤銷和用戶追蹤。從密鑰長(zhǎng)度計(jì)算開銷以及實(shí)現(xiàn)功能方面來看，都有較明顯的優(yōu)勢(shì)。

表1 密文與密鑰長(zhǎng)度及功能性對(duì)比

表2 計(jì)算開銷比較

7 結(jié)束語

本文提出了一種基于LSSS訪問策略的可撤銷、可追蹤的KP-ABE加密方案，可以實(shí)現(xiàn)用戶部分屬性撤銷而不影響其他用戶的解密密鑰，同時(shí)可以通過用戶密鑰追蹤到用戶身份，可以有效解決用戶密鑰泄露的問題，且在標(biāo)準(zhǔn)模型下證明本文所提方案可以解決-BDHE假設(shè)，從而證明本文所提方案是IND-CPA安全的。未來相關(guān)的研究方案有：在現(xiàn)有的研究基礎(chǔ)上實(shí)現(xiàn)用戶身份的撤銷；針對(duì)單授權(quán)中心安全性隱患和性能瓶頸的問題，實(shí)現(xiàn)多授權(quán)中心的KP-ABE加密方案。

[1] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryp-tion[C]//IEEE Symposium on Security and Privacy. 2007: 321-334.

[2] GOVALl V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//ACM Conference on Computer and Communications Security. 2006: 89-98.

[3] ATTRAPADUNG N, LIBERT B, PANAFIEU E. Expressive key-policy attribute-based encryption with constant-size cipher-texts[C]//International Conference on Practice and Theory in Public Key Cryptography. 2011:90-108.

[4] ATTRAPADUNG N, IMAI H. Conjunctive broadcast and attribute-based encryp-tion[C]//Pairing-Based Cryptography-Pairing 2009. 2009: 248-265.

[5] ROY S, CHUAH M. Secure data retrieval based on ciphertext policy attribute-based encryption CP-ABE system for the DTNs[R]. Lehigh CSETech. 2009.

[6] ATTRAPADUNG N, HERRANZ J, LIBERT B, et al. Attribute-based encryption schemes with constant size ciphertexts[J]. Theoretical Computer Science, 2012, 422(3): 15-38.

[7] SAHAI A, WATERS B. Fuzzy identity-based encryption[M]. Advances in Cryptology EURO-CRYPT. 2005: 457-473.

[8] GOYAL V, JAIN A, PANDEY O, et al. Bounded ciphertext policy attribute based encryption[M]. Automata, Languages and Programming. 2008: 579-591.

[9] BEIMEL A. Secure schemes for secret sharing and key distribution[J]. International Journal of Pure & Applied Mathematics, 1996.

[10] ATTRAPADUNG N, IMAI H. Attribute-based encryption supporting direct/indirect revoca-tion modes[C]//Ima International Conference on Cryptography and Coding. 2009: 278-300.

[11] PIRRETTI M, TRAYNOR P, MCDANIEL P, et al. Secure attribute-based systems[C]//ACM Conference on Computer and Communications Security. 2006: 799-837.

[12] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryption [C]//IEEE Symposium on Security and Privacy. 2007: 321-334.

[13] BOLDYREVA A, GOYAL V, KUNMAR V. Identity-based encryption with efficient re-vocation modes[C]//The ACM Conference on Computer and Communications Security. 2008: 417-426.

[14] OSTROVSKY R, SAHAI A, WATERS B. Attribute-based encryption with non-monotonic access structures[C]//CCS 07 ACM Conference on Computer & Commu-nications Security. 2007: 195-203.

[15] STADDON J, GOLLE P, RASMUSSEN P. A content-driven access control sys-tem[C]//Symposium on Identity and Trust on the Internet. 2008: 26-35.

[16] WANG P, FENG D, ZHANG L. Towards attribute revocation in key-policy attribute based encryption[C]//International Conference on Cryptology and Network Security. 2011: 272-291.

[17] 蘇金樹, 曹丹, 王小峰, 等. 屬性基加密機(jī)制[J]. 軟件學(xué)報(bào), 2011, 22(6): 1299-1315.

SU J S, CAO D, WANG X F, et al. Attribute-based encryption schemes[J]. Journal of Software, 2011,22(6): 1299-1315

[18] 閆璽璽, 孟慧. 支持直接撤銷的密文策略屬性基加密方案[J]. 通信學(xué)報(bào), 2016, 37(5): 44-50.

YAN X X, MENG H. Ciphertext policy attribute-based encryption scheme supporting direct revocation[J]. Journal on Communications, 2016, 37(5): 44-50.

[19] 胡海英, 商威. 一種可撤銷的KP-ABE方案[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用, 2013, 22(9): 123-128.

HU H Y, SHANG W. A revocable KP-ABE scheme[J]. Computer Systems and Application, 2013, 22(9): 123-128.

[20] SHI Y, ZHENG Q, LIU J, et al. Directly revocable key-policy attribute-based encryption with verifiable ciphertext delegation[J]. Information Sciences, 2015, 295: 221-231.

[21] 王鵬翩, 馮登國(guó), 張立武. 一個(gè)基于訪問樹的支持用戶撤銷的KP-ABE方案[C]//中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全學(xué)術(shù)會(huì)議. 2011. WANG P P, FENG D G, ZHANG L W. A KP-ABE scheme supporting user revocation based on access tree[C]//China Computer Networks and Information Security Conference. 2011.

[22] 林娟, 薛慶水, 曹珍富. 基于代理的即時(shí)屬性撤銷KP-ABE方案[J]. 計(jì)算機(jī)工程, 2014, 40(10): 20-24.

LING J, XUE Q X, CAO Z F. Proxy-based immediate attribute revocation KP-ABE Scheme[J]. Computer Engineering, 2014, 40(10): 20-24.

[23] 馬海英, 曾國(guó)蓀. 可追蹤并撤銷叛徒的屬性基加密方案[J]. 計(jì)算機(jī)學(xué)報(bào), 2012, 35(9): 1845-1855.

MA H Y, ZENG G S. An attribute-based en-cryption scheme for traitor tracing and revo-cation together[J].Chinese Journal of Computers, 2012, 35(9): 1845-1855.

[24] 馬海英, 曾國(guó)蓀, 陳建平, 等. 適應(yīng)性安全的可追蹤叛徒的基于屬性加密方案[J]. 通信學(xué)報(bào), 2016, 37(1): 76-87.

MA H Y, ZENG G S, CHEN J P, et al. Adaptively secure attribute-based encryption for traitor tracing[J]. Journal on Communications, 2016, 37(1): 76-87.

Revocable and traceable key-policy attribute-based encryption scheme

QI Fang, LI Yanmei, TANG Zhe

School of Information Science and Engineering, Central South University, Changsha 410083, China

The existing key-policy attribute-based encryption (KP-ABE) scheme can not balance the problem of attribute revocation and user identity tracking. Hence, a KP-ABE scheme which supported revocable and traceable was proposed. The scheme could revoke the user attributes without updating the system public key and user private key with a less update cost. Meanwhile, it could trace the user identity based on decryption key which could effectively prevent anonymous user key leakage problem. The proposed scheme was based on linear secret sharing scheme (LSSS), which was more efficient than tree-based access structure. Based on the deterministic-BDHE hypothesis, the proposed scheme gave security proof until standard mode. Finally, compared with the existing KP-ABE scheme, the scheme has a shorter public key length, lower computational overhead and realizes the traceability function of user identity based on the revocable attribute, which has obvious advantages.

KP-ABE, revocable, traceable, linear secret sharing scheme

TN918.1

A

10.11959/j.issn.1000?436x.2018231

齊芳（1978–），女，湖南長(zhǎng)沙人，博士，中南大學(xué)副教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全、通信協(xié)議。

李艷梅（1990–），女，山西呂梁人，中南大學(xué)碩士生，主要研究方向?yàn)樾畔踩?、現(xiàn)代密碼學(xué)。

湯哲（1977–），男，湖南長(zhǎng)沙人，博士，中南大學(xué)副教授、碩士生導(dǎo)師，主要研究方向?yàn)橹悄芗夹g(shù)、機(jī)器人、工業(yè)控制、電池管理與應(yīng)用。

2018–01–11；

2018–05–19

李艷梅，liyanmei_@csu.edu.cn

國(guó)家自然科學(xué)基金重點(diǎn)項(xiàng)目（No.61632009）；長(zhǎng)沙市科技計(jì)劃基金資助項(xiàng)目（No.kq1701089）；國(guó)家重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.2018YFD0700500）

The National Natural Science Foundation of China (No.61632009), The Science and Technology Project of Changsha (No.kq1701089), The National Key Research and Development Program of China (No.2018YFD0700500)