基于橢圓曲線加密且支持撤銷的屬性基加密方案

孫京宇，朱家玉，田自強(qiáng)，史國(guó)振，關(guān)川江

基于橢圓曲線加密且支持撤銷的屬性基加密方案

孫京宇1，朱家玉2，田自強(qiáng)1，史國(guó)振3，關(guān)川江4*

（1.西安電子科技大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，西安 710071； 2.北京電子科技學(xué)院 網(wǎng)絡(luò)空間安全系，北京 100070； 3.北京電子科技學(xué)院 電子與通信工程系，北京 100070； 4.西安電子科技大學(xué) 通信工程學(xué)院，西安 710071）（ ? 通信作者電子郵箱zuckerbery@163.com）

在云終端用戶資源受限的場(chǎng)景中，傳統(tǒng)屬性基加密方案中存在著計(jì)算開銷大以及不能實(shí)現(xiàn)實(shí)時(shí)撤銷的不足。為了實(shí)現(xiàn)云端數(shù)據(jù)安全高效的共享，提出了一種基于橢圓曲線加密（ECC）算法且支持細(xì)粒度撤銷的屬性基加密方案。該方案使用計(jì)算較輕量級(jí)的橢圓曲線上的標(biāo)量乘法代替?zhèn)鹘y(tǒng)屬性基加密方案中計(jì)算開銷較大的雙線性配對(duì)，以降低系統(tǒng)中用戶在解密時(shí)的計(jì)算開銷，提高系統(tǒng)的效率，使方案更適用于資源受限的云終端用戶場(chǎng)景。利用表達(dá)能力更強(qiáng)和計(jì)算更高效的有序二元決策圖（OBDD）結(jié)構(gòu)來描述用戶定義的訪問策略，以減少嵌入密文中的冗余屬性來縮短密文長(zhǎng)度。為每個(gè)屬性建立一個(gè)由擁有該屬性用戶組成的屬性組，并為組內(nèi)每個(gè)成員生成唯一的用戶屬性組密鑰。當(dāng)發(fā)生屬性撤銷時(shí)，利用最小子集覆蓋技術(shù)為組內(nèi)剩余成員生成新的屬性組，實(shí)現(xiàn)實(shí)時(shí)的細(xì)粒度屬性撤銷。安全分析表明，所提方案具有選擇明文攻擊不可區(qū)分性、前向安全性和后向安全性；性能分析表明，所提方案在訪問結(jié)構(gòu)表達(dá)和計(jì)算能力上優(yōu)于（，）門限秘密共享方案和線性秘密共享方案（LSSS），其解密計(jì)算效率滿足資源受限的云終端用戶的需求。

屬性基加密；有序二元決策圖；屬性撤銷；云計(jì)算；細(xì)粒度；橢圓曲線加密算法

0 引言

云計(jì)算［1］作為一種新興網(wǎng)絡(luò)計(jì)算技術(shù)給個(gè)人或企業(yè)帶來了大量的好處，包括快速部署、資源共享、個(gè)性化服務(wù)、降低成本和快捷訪問等。具有豐富的存儲(chǔ)和計(jì)算資源的云計(jì)算可以很好地幫助個(gè)人或企業(yè)代理存儲(chǔ)數(shù)據(jù)和處理數(shù)據(jù)。然而出于對(duì)數(shù)據(jù)安全和隱私泄露的擔(dān)憂，即使云計(jì)算具有很多優(yōu)勢(shì)，用戶并不愿意將數(shù)據(jù)外包到云上存儲(chǔ)，比如個(gè)人健康記錄、企業(yè)的財(cái)務(wù)數(shù)據(jù)以及政府機(jī)密文件等重要數(shù)據(jù)。這是因?yàn)橐坏?shù)據(jù)擁有者將數(shù)據(jù)外包存儲(chǔ)在云存儲(chǔ)平臺(tái)上，數(shù)據(jù)的所有權(quán)和物理控制權(quán)相分離，其安全性遭受到極大的挑戰(zhàn)。個(gè)人或企業(yè)的云端數(shù)據(jù)安全事件屢見不鮮，由此給數(shù)據(jù)所有者造成了巨大利益損失。雖然傳統(tǒng)的對(duì)稱加密和非對(duì)稱加密均能有效保護(hù)數(shù)據(jù)的安全，但是它們也帶來了兩個(gè)問題：1）在海量云用戶場(chǎng)景下，數(shù)據(jù)擁有者需要管理大量的密鑰和證書；2）對(duì)同一份數(shù)據(jù)進(jìn)行多次加密，數(shù)據(jù)擁有者需要承擔(dān)大量計(jì)算開銷，云端也需要承擔(dān)大量額外存儲(chǔ)開銷。因此，如何實(shí)現(xiàn)對(duì)加密數(shù)據(jù)的訪問控制，并在云服務(wù)器上共享加密數(shù)據(jù)是一個(gè)挑戰(zhàn)。

屬性基加密技術(shù)［2］有效解決了如何在一對(duì)多的場(chǎng)景下將數(shù)據(jù)安全共享出去的問題，非常適合云端數(shù)據(jù)安全共享。屬性基加密主要分為兩大類：密鑰策略的屬性基加密（Key Policy Attribute Based Encryption， KP-ABE）［3］和密文策略的屬性基加密（Ciphertext Policy Attribute Based Encryption， CP-ABE）［4］。CP-ABE方案是將根據(jù)安全需求定義的訪問策略嵌入到密文中，讓用戶的解密私鑰與一組屬性集相關(guān)聯(lián)，只有屬性集與嵌入密文中訪問策略相匹配，才能正確恢復(fù)明文，適用于公有云上的數(shù)據(jù)加密存儲(chǔ)與細(xì)粒度共享。相反，KP-ABE方案是將根據(jù)安全需求選取的屬性集嵌入到密文中，而用戶的解密私鑰與授權(quán)中心（Certification Authority， CA）為其定義的訪問結(jié)構(gòu)相關(guān)聯(lián)，適用于付費(fèi)視頻網(wǎng)站、日志加密管理等應(yīng)用場(chǎng)景。

現(xiàn)有的CP-ABE方案大多是基于雙線配對(duì)設(shè)計(jì)，Lewko等［5］提出了合數(shù)階的CP-ABE方案，并給出自適應(yīng)安全性證明。相較于素?cái)?shù)階雙線群，合數(shù)階存在大量計(jì)算消耗。隨后，Okamoto等［6］提出了素?cái)?shù)階雙線群的CP-ABE方案。以上這些方案都能有效地保證云中數(shù)據(jù)的安全性且能實(shí)現(xiàn)細(xì)粒度的訪問控制，但這些方案中涉及大量線性配對(duì)運(yùn)算，計(jì)算開銷較大。雖然這些方案都有效實(shí)現(xiàn)了一對(duì)多的數(shù)據(jù)共享和細(xì)粒度訪問控制，但這些方案都使用密碼協(xié)議中被認(rèn)為計(jì)算開銷最大的配對(duì)運(yùn)算［7］，這使得這些方案很難在資源受限的云用戶場(chǎng)景下使用。Odelu等［8］從算法本身角度降低加解密的計(jì)算開銷，提出了基于橢圓曲線的CP-ABE方案，使用橢圓曲線上相對(duì)輕量級(jí)的標(biāo)量乘法替代復(fù)雜的雙線性配對(duì)運(yùn)算，但是該方案的訪問結(jié)構(gòu)表達(dá)能力和靈活性較差。

屬性基加密方案中訪問結(jié)構(gòu)具有多種表現(xiàn)形式。一種較好的訪問結(jié)構(gòu)不僅可以提高系統(tǒng)的效率和訪問策略的表達(dá)能力，還可以減少需要嵌入密文中屬性數(shù)量來縮短密文長(zhǎng)度、降低通信和存儲(chǔ)開銷。在訪問結(jié)構(gòu)上，Bethencourt等［4］提出了基于樹型結(jié)構(gòu)的方案，使用多項(xiàng)式插值將根節(jié)點(diǎn)秘密值劃分到每個(gè)葉子節(jié)點(diǎn)。Waters［9］基于靈活的線性秘密共享方案（Linear Secret Sharing Scheme， LSSS）訪問結(jié)構(gòu)設(shè)計(jì)了一種構(gòu)造方法，將LSSS矩陣的每一行映射到不同的屬性上；但在該訪問結(jié)構(gòu)中每個(gè)屬性只能出現(xiàn)一次，表達(dá)能力不豐富。Cheung等［10］提出了一種基于與門結(jié)構(gòu)的CP-ABE方案，該方案支持正屬性和負(fù)屬性，為了提高效率并提高安全性，使用分層屬性和Canetti-Halevi-Katz技術(shù)，該方案具有選擇密文安全。Li等［11］提出了一種基于有序二元決策圖（Ordered Binary Decision Diagram，OBDD）的CP-ABE方案，該結(jié)構(gòu)具有表達(dá)能力強(qiáng)和計(jì)算高效的特性。丁晟等［12］基于OBDD提出了一種新型的無(wú)配對(duì)CP-APE方案，降低了方案整體開銷，方案采用OBDD結(jié)構(gòu)可同時(shí)支持訪問策略中屬性的正負(fù)值。

此外，在實(shí)際應(yīng)用中，存在用戶屬性變更、密鑰泄露和屬性到期等問題，及時(shí)有效地撤銷用戶或?qū)傩允潜ＷC系統(tǒng)數(shù)據(jù)安全性的保障。在撤銷屬性上，從撤銷細(xì)粒度來分，分為用戶撤銷和屬性撤銷；從系統(tǒng)用戶來分，分為直接和間接屬性撤銷。Piretti等［13］為了解決社交網(wǎng)絡(luò)中松散耦合問題，提出了一種間接屬性撤銷的CP-ABE方案；隨后，Okamoto等［6］提出了一種直接屬性撤銷的CP-ABE方案；Hur等［14］為解決系統(tǒng)中用戶身份變更帶來的訪問權(quán)限變化問題，提出了一種具有強(qiáng)制撤銷能力的訪問控制方案。上述幾個(gè)方案在屬性撤銷中引入了屬性組的概念，具有相同屬性的用戶屬于相同的屬性組并分配屬性組密鑰，一旦屬性組中某成員被撤銷該屬性，就會(huì)生成一個(gè)新的組密鑰，并將其發(fā)送給除被撤銷用戶之外的所有組成員，密文用新的組密鑰更新，這使得被撤銷的用戶無(wú)法解密密文。但他們的方案不能防止撤銷用戶和未撤銷用戶之間的共謀攻擊。Yu等［15］和Zhang等［16］提出了基于與門結(jié)構(gòu)具有撤銷能力的CP-ABE方案，但該方案訪問結(jié)構(gòu)表達(dá)能力差。Li等［17］為了防止已撤銷屬性的用戶與未擁有屬性的用戶之間合作解密，提出了一種抵抗共謀攻擊支持屬性撤銷的CP-ABE方案，但該方案存在大量計(jì)算消耗。Xiang等［18］為了解決現(xiàn)有屬性撤銷方案粒度粗、不及時(shí)、效率低等問題，提出了一種支持實(shí)時(shí)撤銷的CP-ABE方案。為了減少用戶和屬性權(quán)威機(jī)構(gòu)的存儲(chǔ)、計(jì)算負(fù)擔(dān)并且提高屬性撤銷效率，高嘉昕［19］提出了一個(gè)基于加密密鑰樹的支持屬性撤銷的細(xì)粒度屬性基加密協(xié)議。李學(xué)俊等［20］針對(duì)目前基于時(shí)間的方案難以實(shí)現(xiàn)即時(shí)撤銷，基于第三方的方案往往需要重加密運(yùn)算，計(jì)算量大，不適用于海量密文數(shù)據(jù)的問題，提出了一種基于經(jīng)典LSSS型訪問結(jié)構(gòu)的CP-ABE方案。該方案支持用戶和屬性級(jí)別的即時(shí)撤銷方案。

本文利用OBDD訪問結(jié)構(gòu)和最小子集覆蓋技術(shù)，為云端數(shù)據(jù)共享提出了一種無(wú)線性配對(duì)且支持撤銷的屬性基加密方案。主要工作如下：

1）為降低系統(tǒng)計(jì)算開銷，使用橢圓曲線上標(biāo)量乘法代替雙線性配對(duì)，降低系統(tǒng)用戶在解密數(shù)據(jù)時(shí)的計(jì)算開銷，使方案更適用于資源受限的云終端用戶場(chǎng)景。

2）傳統(tǒng)與門或樹型訪問結(jié)構(gòu)表達(dá)能力較差，過多冗余的屬性增加了密文密鑰長(zhǎng)度，為了減少系統(tǒng)存儲(chǔ)開銷、豐富訪問結(jié)構(gòu)表達(dá)性以及節(jié)省通信開銷，本文使用表達(dá)性更好和計(jì)算更高效的OBDD訪問結(jié)構(gòu)。

3）利用子集覆蓋技術(shù)實(shí)現(xiàn)細(xì)粒度屬性或用戶的撤銷，及時(shí)有效地更新密鑰和密文，防止被撤銷用戶能繼續(xù)訪問數(shù)據(jù)，進(jìn)一步提高系統(tǒng)數(shù)據(jù)安全性。

1 相關(guān)知識(shí)

1.1　橢圓曲線

如果方程組

這樣仿射Weierstrass方程（4）在仿射平面上定義了一條曲線，稱為仿射橢圓曲線。

1.2　OBDD訪問結(jié)構(gòu)

1）圖中只有終端節(jié)點(diǎn)和非終端節(jié)點(diǎn)。

2）終端節(jié)點(diǎn)被標(biāo)記為0或者1，并且沒有子節(jié)點(diǎn)。

4）從根節(jié)點(diǎn)到終端節(jié)點(diǎn)沿著定向路徑向下，每個(gè)變量只出現(xiàn)一次。

Bryant［22］在二元決策圖基礎(chǔ)上，通過指定二元決策圖中變量出現(xiàn)的順序必須一致，提出了有序二元決策圖（OBDD）。

算法1 訪問策略轉(zhuǎn)換為OBDD訪問結(jié)構(gòu)。

輸出 OBDD訪問結(jié)構(gòu)。

8） else

10） end if

11） else

16） end if

17） end function

圖1　OBDD訪問結(jié)構(gòu)

1.3　橢圓曲線的判定性Diffie-Hellman問題

1.4　子集覆蓋技術(shù)

圖2　子集覆蓋

2 本文方案框架

本章主要介紹本文方案的系統(tǒng)模型、算法形式化定義和安全模型。本文方案是在文獻(xiàn)［11］和文獻(xiàn)［13］所提方案基礎(chǔ)上提出的。文獻(xiàn)［11］的方案利用了OBDD結(jié)構(gòu)豐富的表達(dá)能力以及高效的計(jì)算性，但是該方案涉及到大量的復(fù)雜計(jì)算，對(duì)于資源受限的云終端用戶并不適用；文獻(xiàn)［13］的方案利用了最小子集覆蓋技術(shù)實(shí)現(xiàn)即時(shí)的屬性/用戶撤銷，但該方案不能防止撤銷用戶與未撤銷用戶之間共謀攻擊，并且該方案存在訪問結(jié)構(gòu)模式單一、表達(dá)度低等問題。此外，以上兩個(gè)方案都包含大量群上的指數(shù)運(yùn)算和雙線性配對(duì)運(yùn)算，嚴(yán)重影響系統(tǒng)的性能。本文方案在引入OBDD結(jié)構(gòu)以及最小子集覆蓋技術(shù)基礎(chǔ)上，使用橢圓曲線上的標(biāo)量乘法取代傳統(tǒng)CP-ABE方案中的雙線性配對(duì)運(yùn)算，從而有效地降低了算法的計(jì)算量，提高了系統(tǒng)的效率和安全性。

2.1　系統(tǒng)模型

本文方案系統(tǒng)模型是根據(jù)Waters［9］所提出的CP-ABE的原型并結(jié)合云環(huán)境下訪問控制模型設(shè)計(jì)的。該模型主要由云服務(wù)提供商（Cloud Service Provide， CSP）、數(shù)據(jù)擁有者（Data Owner， DO）、數(shù)據(jù)訪問者（Data Visitor， DV）和授權(quán)中心（CA）組成，它們之間的關(guān)系如圖3所示。

圖3　系統(tǒng)模型

對(duì)每一個(gè)實(shí)體的描述如下：

1）授權(quán)中心（CA）。CA是整個(gè)系統(tǒng)中唯一可信實(shí)體，根據(jù)用戶的身份信息來為用戶分配屬性。CA主要負(fù)責(zé)系統(tǒng)初始化，并在此過程中生成其他實(shí)體必要的系統(tǒng)參數(shù)，給系統(tǒng)中定義的所有屬性生成公私鑰對(duì)，并公布所有屬性公鑰。在收到用戶私鑰請(qǐng)求后，為用戶生成與該用戶屬性相關(guān)的屬性私鑰以及密鑰加密密鑰并安全地返回給用戶；同時(shí)，當(dāng)系統(tǒng)中出現(xiàn)屬性撤銷時(shí)，生成新的屬性組私鑰用來更新用戶密鑰，并且根據(jù)新的最小子集生成屬性組信息，發(fā)送給云服務(wù)提供商完成密文重加密。此外，系統(tǒng)中所有參與者的屬性集都是由CA分配。系統(tǒng)中每個(gè)屬性都有由擁有該屬性的用戶組成唯一的屬性組，每個(gè)屬性組有唯一的屬性組私鑰用于生成屬性組公鑰和組用戶密鑰。因此，用戶密鑰由屬性私鑰和組用戶密鑰組成。最后，假設(shè)CA永久在線。

2）數(shù)據(jù)擁有者（DO）。DO是私密數(shù)據(jù)產(chǎn)生者，主要依據(jù)系統(tǒng)中定義的屬性，根據(jù)數(shù)據(jù)的安全需求設(shè)置一個(gè)訪問控制策略；然后使用該訪問策略對(duì)外包數(shù)據(jù)進(jìn)行加密，最后上傳到云端存儲(chǔ)。

3）數(shù)據(jù)訪問者（DV）。所有系統(tǒng)參與者中想要訪問數(shù)據(jù)的用戶都是DV。DV根據(jù)需求向云服務(wù)提供商發(fā)送密文數(shù)據(jù)請(qǐng)求以獲取密文數(shù)據(jù)，然后向CA申請(qǐng)屬性私鑰和密鑰加密密鑰。對(duì)于任意一個(gè)DV，只有當(dāng)他的屬性私鑰滿足數(shù)據(jù)擁有者在加密數(shù)據(jù)明文時(shí)定義的OBDD訪問策略時(shí)才能解密成功。DV是不可信的，在各自無(wú)法獨(dú)立解密情況下，可能發(fā)起共謀攻擊。

4）云服務(wù)提供商（CSP）。與其他方案一樣，假設(shè)CSP是一個(gè)誠(chéng)實(shí)但好奇的實(shí)體，也就是說，它嚴(yán)格執(zhí)行系統(tǒng)算法，但是它希望盡可能地多收集秘密信息并且嘗試解密存儲(chǔ)在云端的密文以獲取利益。云負(fù)責(zé)存儲(chǔ)DO上傳的密文數(shù)據(jù)和響應(yīng)DV的數(shù)據(jù)請(qǐng)求，此外，系統(tǒng)中有屬性撤銷發(fā)生時(shí)，負(fù)責(zé)對(duì)相關(guān)密文數(shù)據(jù)進(jìn)行重加密。

2.2　形式化定義

本文方案涉及的9個(gè)多項(xiàng)式時(shí)間復(fù)雜度算法分別如下。

2.3　安全模型

5）階段2。重復(fù)階段1。

3 具體方案

3.1　系統(tǒng)初始化

3.2　密鑰生成

3.3　數(shù)據(jù)加密

3.4　數(shù)據(jù)解密

算法2 搜索OBDD有效路徑。

5） return fail

8） else

11） end if

12） else

14） return fail

17） else

20） end if

21） end if

22） end function

3.5　屬性撤銷

4 安全性分析

4.1　前向安全性分析

撤銷屬性后，與已撤銷屬性關(guān)聯(lián)的屬性組密鑰和系統(tǒng)版本將被更新，這些成為新加入系統(tǒng)用戶的組密鑰和系統(tǒng)版本。需要注意，每次有屬性被撤銷時(shí)，本文方案中的密鑰更新和密文更新算法都用于保持密文更新，這樣可以保證前向安全性。

4.2　后向安全性分析

4.3　CPA安全性分析

基于DDH假設(shè)，在選擇安全性模型下給出本文方案的安全性證明。

模擬器贏得博弈游戲的優(yōu)勢(shì)為

5 性能分析

表1　訪問結(jié)構(gòu)對(duì)比

圖4?。╰，n）門限結(jié)構(gòu)表示訪問策略

圖5　LSSS訪問結(jié)構(gòu)表示訪問策略

本文方案與文獻(xiàn)［11，13-14，19］方案在訪問結(jié)構(gòu)、撤銷能力、前向安全性和后向安全性方面的對(duì)比如表2所示。文獻(xiàn)［11］方案與本文方案都是采用OBDD結(jié)構(gòu)來表達(dá)訪問策略，而文獻(xiàn)［21，23］方案采用LSSS結(jié)構(gòu)來表達(dá)訪問策略，文獻(xiàn)［14］方案則采用（，）門限結(jié)構(gòu)。文獻(xiàn)［14］方案和文獻(xiàn)［23］方案與本文方案都具備屬性立即撤銷能力，而文獻(xiàn)［11］方案和文獻(xiàn)［21］方案不具備屬性撤銷能力。具有屬性撤銷的方案中，文獻(xiàn)［23］方案與本文方案都具有前向安全性和后向安全性，文獻(xiàn)［14］方案只具備前向安全性，不具備后向安全性。

圖6　OBDD訪問結(jié)構(gòu)表示訪問策略

表2　不同方案的對(duì)比

表3　符號(hào)示例

表4　不同方案的計(jì)算開銷對(duì)比

6 結(jié)語(yǔ)

本文為云端數(shù)據(jù)共享提出了一種安全高效的CP-ABE方案。方案中使用較為輕量級(jí)的橢圓曲線標(biāo)量乘法代替復(fù)雜的線性配對(duì)運(yùn)算，從算法上降低計(jì)算開銷，使方案適用于資源受限的云終端用戶場(chǎng)景；同時(shí)利用OBDD結(jié)構(gòu)豐富的表達(dá)能力和高效的計(jì)算能力來縮短密文長(zhǎng)度、降低通信開銷；為每個(gè)屬性建立屬性組，采用子集覆蓋技術(shù)、版本號(hào)和用戶屬性組密鑰來實(shí)現(xiàn)實(shí)時(shí)的屬性/用戶細(xì)粒度撤銷，保障私密數(shù)據(jù)前向安全性和后向安全性；同時(shí)，抵抗撤銷用戶與未撤銷之間共謀攻擊。該方案存在單點(diǎn)失效和系統(tǒng)性能瓶頸的局限和不足，因此，后續(xù)研究增加屬性授權(quán)機(jī)構(gòu)的數(shù)量，進(jìn)一步提升系統(tǒng)的魯棒性。

[1] Wikipedia. Cloud computing［EB/OL］. ［2021-02-21］.http：//en.wikipedia.org/wiki/Cloud_computing.

[2] SAHAI A， WATERS B R. Fuzzy identity-based encryption［C］// Proceedings of the 2005 Annual International Conference on Theory and Applications of Cryptographic Techniques， LNSC 3494. Berlin： Springer， 2005： 457-473.

[3] GOYAL V， PANDEY O， SAHAI A， et al. Attribute-based encryption for fine-grained access control of encrypted data［C］// Proceedings of the 13th ACM Conference on Computer and Communications Security. New York： ACM， 2006： 89-98.

[4] BETHENCOURT J， SAHAI A， WATERS B. Ciphertext-policy attribute-based encryption［C］// Proceedings of the 2007 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2007： 321-334.

[5] LEWKO A， OKAMOTO T， SAHAI A， et al. Fully secure functional encryption： attribute-based encryption and （hierarchical） inner product encryption［C］// Proceedings of the 2010 Annual International Conference on the Theory and Applications of Cryptographic Techniques， LNSC 6110. Berlin： Springer， 2010： 62-91.

[6] OKAMOTO T， TAKASHIMA K. Fully secure functional encryption with general relations from the decisional linear assumption［C］// Proceedings of the 2010 Annual Cryptology Conference， LNSC 6223. Berlin： Springer， 2010： 191-208.

[7] CHEN X F， SUSILO W， LI J， et al. Efficient algorithms for secure outsourcing of bilinear pairings［J］. Theoretical Computer Science， 2015， 562： 112-121.

[8] ODELU V， DAS A K. Design of a new CP-ABE with constant-size secret keys for lightweight devices using elliptic curve cryptography［J］. Security and Communication Networks， 2016， 9（17）：4048-4059.

[9] WATERS B. Ciphertext-policy attribute-based encryption： an expressive， efficient， and provably secure realization［C］// Proceedings of the 2011 International Workshop on Public Key Cryptography， LNSC 6571. Berlin： Springer， 2011：53-70.

[10] CHEUNG L， NEWPORT C. Provably secure ciphertext policy ABE［C］// Proceedings of the 14th ACM Conference on Computer and Communications Security. New York： ACM， 2007： 456-465.

[11] LI L， GU T， CHANG T， et al. A ciphertext-policy attribute-based encryption based on an ordered binary decision diagram［J］. IEEE Access， 2017， 5： 1137-1145.

[12] 丁晟，曹進(jìn)，李暉. 基于OBDD訪問結(jié)構(gòu)的無(wú)配對(duì)CP-ABE方案［J］. 通信學(xué)報(bào)， 2019， 40（12）：1-8.（DING S， CAO J， LI H. Efficient pairing-free CP-ABE based on ordered binary decision diagram［J］. Journal on Communications， 2019， 40（12）： 1-8.）

[13] PIRRETTI M， TRAYNOR P， McDANIEL P， et al. Secure attribute-based systems［J］. Journal of Computer Security， 2010， 18（5）： 799-837.

[14] HUR J， NOH D K. Attribute-based access control with efficient revocation in data outsourcing systems［J］. IEEE Transactions on Parallel and Distributed Systems， 2011， 22（7）： 1214-1221.

[15] YU S， WANG C， REN K， et al. Attribute based data sharing with attribute revocation［C］// Proceedings of the 5th ACM Symposium on Information， Computer and Communications Security. New York： ACM， 2010：261-270.

[16] ZHANG Y H， CHEN X F， LI J， et al. FDR-ABE： attribute-based encryption with flexible and direct revocation［C］// Proceedings of the 5th International Conference on Intelligent Networking and Collaborative Systems. Piscataway： IEEE， 2013：38-45.

[17] LI J G， YAO W， HAN J G， et al. User collusion avoidance CP-ABE with efficient attribute revocation for cloud storage［J］. IEEE Systems Journal， 2018， 12（2）： 1767-1777.

[18] XIANG G L， LI B L， FU X N， et al. An attribute revocable CP-ABE scheme［C］// Proceedings of the 7th International Conference on Advanced Cloud and Big Data. Piscataway： IEEE， 2019： 198-203.

[19] 高嘉昕. 云計(jì)算環(huán)境下的可撤銷屬性訪問控制協(xié)議的研究［D］. 濟(jì)南：山東大學(xué)， 2020.（GAO J X. Attribute-based encryption with attribute revocation in cloud computing［D］. Jinan： Shandong University， 2020.）

[20] 李學(xué)俊，張丹，李暉. 可高效撤銷的屬性基加密方案［J］. 通信學(xué)報(bào)， 2019， 40（6）：32-39.（LI X J， ZHANG D， LI H. Efficient revocable attribute-based encryption scheme［J］. Journal on Communications， 2019， 40（6）：32-39.）

[21] ZHANG Y H， ZHENG D， DENG R H. Security and privacy in smart health： efficient policy-hiding attribute-based access control［J］. IEEE Internet of Things Journal， 2018， 5（3）： 2130-2145.

[22] BRYANT R E. Graph-based algorithms for Boolean function manipulation［J］. IEEE Transactions on Computers， 1986， C-35（8）： 677-691.

[23] WANG S P， GUO K K， ZHANG Y L. Traceable ciphertext-policy attribute-based encryption scheme with attribute level user revocation for cloud storage［J］. PLoS ONE， 2018， 13（9）： No.e0203225.

[24] LEE C Y. Representation of switching circuits by binary-decision programs［J］. The Bell System Technical Journal， 1959， 38（4）： 985-999.

SUN Jingyu， born in 1998， M. S. candidate. His research interests include cloud data security.

ZHU Jiayu， born in 1996， M. S. candidate. Her research interests include cloud data security.

TIAN Ziqiang， born in 1997， M. S. candidate. His research interests include cloud data security.

SHI Guozhen， born in 1974， Ph. D.， professor. His research interests include network security， embedded system.

GUAN Chuanjiang， born in 1995， M. S. candidate. His research interests include cloud data security， network and system security.

Attribute based encryption scheme based on elliptic curve cryptography and supporting revocation

SUN Jingyu1， ZHU Jiayu2， TIAN Ziqiang1， SHI Guozhen3， GUAN Chuanjiang4*

（1，，’710071，；2，，100070，；3，，100070，；4，，’710071，）

In view of the scenarios where the resources of cloud terminal users are limited， the traditional attribute based encryption schemes have the disadvantages of high computing cost and being unable to achieve real-time revocation. In order to realize the safe and efficient sharing of cloud data， an attribute based encryption scheme based on Elliptic Curve Cryptography （ECC） algorithm and supporting fine-grained revocation was proposed. In the scheme， the relatively lightweight scalar multiplication on the elliptic curve was used to replace the bilinear pairing with higher computational cost in the traditional attribute based encryption schemes， thereby reducing the computational cost of users during decryption in the system， improving the efficiency of the system and making the scheme more suitable for resource constrained cloud terminal user scenarios. In order to reduce the redundant attributes embedded in the ciphertext to shorten the length of the ciphertext， the more expressive and computationally efficient Ordered Binary Decision Diagram （OBDD） structure was used to describe the user-defined access policy. An attribute group composed of users with the attribute was established for each attribute， and a unique user attribute group key was generated for each member of the group. When the attribute revocation occurred， the minimum subset cover technology was used to generate a new attribute group for the remaining members in the group to realize real-time fine-grained attribute revocation. Security analysis shows that the proposed scheme has the indistinguishability of selective plaintext attacks， forward security and backward security. Performance analysis shows that the proposed scheme outperforms （，） threshold secret sharing scheme and Linear Secret Sharing Scheme （LSSS） in terms of access structure expression and computing capability， and has the decryption computational efficiency meeting the need of resource constrained cloud terminal users.

attribute based encryption; Ordered Binary Decision Diagram （OBDD）; attribute revocation; cloud computing; fine-grained; Elliptic Curve Cryptography （ECC） algorithm

This work is partially supported by National Key Research and Development Program of China （2017YFB0801803）.

TP309

A

1001-9081（2022）07-2094-10

10.11772/j.issn.1001-9081.2021040602

2021?04?19；

2021?07?02；

2021?07?05。

國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目（2017YFB0801803）。

孫京宇（1998—），男，陜西西安人，碩士研究生，主要研究方向：云數(shù)據(jù)安全； 朱家玉（1996—），女，黑龍江大興安嶺人，碩士研究生，主要研究方向：云數(shù)據(jù)安全； 田自強(qiáng)（1997—），男，湖北潛江人，碩士研究生，主要研究方向：云數(shù)據(jù)安全； 史國(guó)振（1974—），男，河南濟(jì)源人，教授，博士，主要研究方向：網(wǎng)絡(luò)安全、嵌入式系統(tǒng)； 關(guān)川江（1995—），男，重慶人，碩士研究生，主要研究方向：云數(shù)據(jù)安全、網(wǎng)絡(luò)與系統(tǒng)安全。