高效撤销成员的密文策略属性基加密方案 袁钰 马海英 金超群 蒙忆雪摘要:针对密文策略属性基加密(CP-ABE)中成员撤销问题,该文将CP-ABE和子集不同方法相结合,提出一个可撤销成员的CP-ABE方案(R-CP-ABE),并將其合理布置在云储存平台上该方案利用一次多项式将主密钥分解为两部分,并将其分别用于生成用户私钥和更新钥此外,将时问属性嵌入用户更新钥和密文中,使得未撤销成员可以得到相应的更新钥,利用其私钥和更新钥可以获得一个正确的解密钥与现有方案相比,该文方案不仅可以高效撤销成员,而且具有较短的更新钥和密文长度,特别适用于云存储平台,实现安全的细粒度访问控制的数据共享服务关键词:密文策略属性加密;数据共享;子集不同方法;成员撤销:TP309 :A:1009-3044(2020)20-0001-05Revocable Ciphertext-Policy Attribute-Based Encryption SchemeYUAN Yu. MA Hai-ying*. Jlhr Chao-qun, MENC. Yi-xue(College of Computer Science and Technology, Nantong University, Nantong 226019, China)Abstract : For the memLer revocation problem in ciphertext-based attribute based encryption (CP - ABE), this paper combines CP- ABE and subset different methods, proposes a revocable CP - ABE scheme (R - CP - ABE), and reasonably deploys it in cloudstorage platform. our scheme uses a random polynomial of degree one to divide the master key into two parts-one for the user pri-vate key and the other for the update key. In addition, a time property is embedded into the user update key and the ciphertext si-multaneously, and the non-revoked users can get their update keys such that they can get their right decryption keys by their pri-vate keys and update keys. Compared with the existing schemes. our scheme not only can efficiently revoke users. but also has lessgroup elements in the update key and the ciphertext. Our scheme is especially suitable for cloud storage platform. and implementsthe fine-grainecl access control for data sharing service securely.Key words : ciphertext-policy attribute-based encryption; data sharing; suhset different methods: user revocation1引言由于云计算能够提供廉价方便的计算和存储服务,越来越多的用户尝试将其数据存储到云端。
云服务商不完全可信和黑客攻击,势必对数据安全和用户隐私造成很大威胁Google、雅虎等互联网巨头都曾发生过大批文件泄露事件密文策略属性加密(CP-ABE)能够对用户共享数据实现细粒度访问控制策略,有效地保护数据安全和用户隐私2005年,Sahai和Waters[1]首先提出属性加密的概念,采用用户属性描述其特征,用户私钥和密文都与属性集合相关,当密钥和密文的属性集合匹配度达到系统规定的门限值时,该用户可解密密文ABE的两种扩展形式为密钥策略属性基加密(KP-ABE)和密文策略属性基加密(CP-ABE)KP-ABE使用户密钥与访问控制策略相关,密文与属性集合相关,仅当密文中的属性能够满足用户私钥中的访问控制策略时,用户可解密密文CP-ABE[2]使用户密钥与属性集合相关,密文与访问控制策略相关,仅当用户属性满足密文的访问控制策略时,用户可解密密文此外,针对加解密计算成本过大、私钥滥用、密钥泄漏等问题,学者们提出了/离线加密机制[11-12]、可追踪并撤销叛徒[13-14]、抗连续辅助输入泄漏[15]的ABE方案由于CP-ABE允许数据拥有者直接将访问控制策略嵌入密文中,更适用于云计算环境下的数据共享[6,16]。
针对ABE的成员撤销问题,现有ABE机制借鉴可撤销的身份加密[4-5]中成员撤销的方法,提出了许多可撤销成员的ABE方案现有的可撤销ABE方案[7-10]分为直接撤销和间接撤销两种在直接撤销模式中,数据拥有者将用户撤销列表直接嵌入密文中,不需要周期性颁发更新钥,密文长度与成员撤销列表有关,势必造成密文长度与撤销列表线性增大;在间接撤销模式中,密钥分发中心需要为未撤销用户周期性颁发更新钥,未撤销用户利用其私钥与更新钥获得解密密钥,撤销用户不能获取正确的更新钥,从而失去解密能力然而,现有的直接撤销ABE方案采用完全子树方法实现成员的撤销,由于其更新钥长度过大,从而使分发更新钥的服务器将成为系统的瓶颈本文借鉴Lee等[3]的撤销方案,将子集不同方法与CP-ABE方案结合,提出一种可撤销成员的CP-ABE方案(R-CP-ABE)该方案利用一次多项式将主密钥分解为两部分,并将其分别用于生成用户私钥和更新钥为了撤销成员,增加一个时间属性,并将其嵌入用户更新钥和密文中,使得未撤销成员可以得到相应的更新钥,进而获得一个正确的解密钥与现有方案相比,本文方案不仅可以高效撤销成员,而且具有较短的密文和更新钥长度,将更新钥长度从O(rlog(|N|/r))减少到O(r),其中,|N|表示用户的总数,r表示撤销成员的个数。
因此,本文R-CP-ABE方案能够实现安全的细粒度访问控制的数据共享服务,适用于在云存储平台上布置共享数据的细粒度安全访问2预备知识2.1符号说明本文中,符号x←Zp表示在Zp中随机选取元素x当A表示某个算法时,符号A(a1,a2,…,an)→b1,…,bm表示算法A以a1,a2,…,an为输入,输出b1,…,bm2.2访问结构和线性秘密共享方案(LSSS)定义1(访问结构[6]):设P ={P1,P2,…,Pn}是n个属性的集合,访问结构是P的某些非空子集构成的集族A(或单调集族),即A∈2P\Φ,A中的集合称为授权集,不在A中的集合称为非授权集对任意集合B、C,都有:若B∈A且B∈C,则C∈A定义2(LSSS[6]):属性集合P={P1,P2,…,Pn}上的一个秘密共享方案Ⅱ是线性的,如果①属性的秘密分享值构成Zp上的一个向量;②对于Ⅱ,存在一个秘密份额生成矩阵Alh和行标号函数p:{1,…,l)→P,设S∈Zp是待共享的秘密值,随机选择r2,…,rh∈Zp,构成向量v=(s,r2,…,rh),令v为v的转置,则Av是1个秘密份额构成的向量,根据标号函数将秘密份额λi=(Av)I(1≤i≤1)分配给属性p(i)。
重构性:假定S∈A是授权集,定义I=(i:p(i)∈S)∈{1,…,l},则可以找到多项式时间算法计算重构系数{ci∈Zp}i∈I,使得对于秘密值s的任意有效份额{λi}i∈{1,…,l}满足∑i∈Iciλi=s2.3双线性群和困难假设令p是一个大素数,G和GT是p阶循环群,g是群G的生成元,ζ是群生成算法该算法ζ输入系统的安全参数λ,输出一个对双线性群G的描述,即ζ输出一个元组(p,G,GT,e),其中映=(Av)I(1≤i≤1)分配给属性p(i)重构性:假定S∈A是授权集,定义I=(i:p(i)∈S)∈{1,…,l},则可以找到多项式时间算法计算重构系数{ci∈Zp}i∈I,使得对于秘密值s的任意有效份额{λi}i∈{1,…,l}满足∑i∈Iciλi=s2.3双线性群和困难假设令p是一个大素数,G和GT是p阶循环群,g是群G的生成元,ζ是群生成算法该算法ζ输入系统的安全参数λ,输出一个对双线性群G的描述,即ζ输出一个元组(p,G,GT,e),其中映射e:GxG→G,满足:(1)双线性:Vu,v∈G;a,b∈ZN; e(ua,vb)=e(u,v)ab.(2)非退化性:g∈G使得e{g,g)在GT中的阶为N.(3)可计算性:G和GT中的运算以及双线性映射e都是在多项式时间内可计算的。
假设1(确定性q-parallel BDHE假设).令g是群G的生成元,随机选择a,s,b1,…,bq∈Zp,计算向量y如下:g,gs,ga,…,g(aq),g(aq+2),…,g(a2q)在敌手A获知向量y的情况下,选择一个随机元素R∈GT,A仅能以可忽略的优势区分R和g(aq+2),则称确定性q-parallelBDHE假设是成立的2.4完全二叉树在一个完全二叉树T中,除叶结点外,每个结点都有两个孩子令N表示叶结点的总数,则丁有2N-l个结点对i=l到2N-1,用vi表示T的一个结点,令di表示结点vi的高度,是从根结点到结点vi的路径长度,根结点的高度为0,二叉树T的高度是从其根结点到叶结点的路径长度T的同一层结点是指具有相同高度的结点的集合令Si表示以vi为根结点的子树中叶结点的集合选择两个结点vi和vj,且vi是vj的父结点,定义Sij=Si-Sj,即以vi为根结点的子树中叶结点的集合减去以vj为根结点的子树中叶结点的集合在T中每条边,右分支对应位串“1”,左分支对应位串“0”令结点vi的标识符Li定义为从根结点到vi的路径中所有边的比特串连接起来,L(Si,j)被定义为标识符(Li,Lj)的元组。
群标签GL定义为{Si,j}中以结点vi为根节点,且具有相同高度子孙结点集合的标识符,即结点vi相同且具有相同高度vi结点集合的标签将Lable(Si,j)定义为一个群标签函数,该函数唯一地将一个子集Si,j映射到标识符(Li,Lj)为了实现成员的撤销,为每一个群标签GL分配了一个隨机多项式fGL(x)=aGLx+α,其中,aGL是一个随机值,α是系统的主密钥令R表示被撤销的用户集合,ST(R)是由根结点和集合冗生成的Steiner树T,该树T是包含根结点和所有在集合冗中的叶结点的最小子树2.5子集不同方法子集覆盖框架[10]作为一个通用的撤销方法,包括完全子树方法和子集不同(SD)方法,SD作为完全子树方案的改进而被提出,其定义如下:定义5(子集不同)SD方法由Setup、Assign、Cover、Match四个算法组成,定义如下:SD.Setup(Nmax):初始化算法输入最大用户数集合N,给定一个高度为n的完全二叉树T,令|N|表示最大用户数量且|N|=2n该算法将T中一个叶结点分配给一个用户,使得每个用户与T中一个叶结点相对应对任意两个结点vi,vj∈T且vi是vj的父结点,得到子集{Si,j}的集族S。
该算法输出T和SSD.Ass。