标准模型下可证明安全的支持大规模属性集与属性级用户撤销的CP-ABE方案

2017-12-16 06:48王建华王光波徐开勇

电子与信息学报 2017年12期

王建华王光波徐开勇

王建华①②王光波*②徐开勇②

①(电子技术研究所北京 100195)②(信息工程大学郑州 450000)

密文策略属性加密方案，特别是不受某个特定值限制的大规模属性集下的密文策略属性加密方案在云存储中得到了越来越广泛的应用，它能够实现细粒度的访问控制。但是在原始的属性加密方案中，解决动态的用户与属性撤销，是当前面临的重要挑战。为了解决这一问题，该文提出一个标准模型下可证明安全的支持大规模属性集的密文策略属性加密方案，该方案能够实现属性级的用户撤销，即若用户的某个属性被撤销，不会影响该用户其他合法属性的正常访问。为了实现撤销，将密钥分为两部分：为用户生成的私钥以及为云存储中心生成的授权密钥。在该方案中，若用户的属性被撤销，那么该属性对应的密文将进行更新，只有该属性没有被撤销的用户才能够成功地进行密钥更新而解密密文。该文基于q-type 假设在标准模型下对方案进行了选择访问结构明文攻击的安全性证明。最后对方案进行了性能分析与实验验证，实验结果表明，与已有相关方案相比，虽然为了实现属性撤销，增加了存储中心的计算负载，但是不需要属性中心的参与，因此降低了属性中心的计算负载，而且用户除了密钥外不需要其它额外参数来实现属性撤销，因此大大节省了存储空间。

密文策略属性加密；数据外包；大规模属性集；属性级的用户撤销

1 引言

然而，所有这些ABE方案，都存在一个共同的缺陷，即仅支持小规模的属性集，其属性规模受某个特定值限制，需要在系统初始化时进行设定，因此限制了ABE的广泛应用。为了解决这一问题，Lewko等人[7]第1次提出将ABE方案进行分类：小规模属性集的ABE和大规模属性集的ABE。在小规模属性集的ABE中，系统初始设定的公钥参数随着属性集成线性增长，而在大规模属性集的ABE中，属性集可以设定为任意数值，且公钥参数保持不变。随后，Rouselakis等人[8]提出了基于素数阶双线性群构造的两个大属性集下的ABE方案：CP-ABE和KP-ABE，该方案被证明为标准模型q-type假设下安全的。然而该方案并没有涉及动态的属性和用户撤销问题，而该问题在云存储应用中至关重要。因为，云存储环境下存在大量的用户，而ABE中不同的用户可能共享相同的属性。若是某个用户的某个属性被撤销，如何保证在不影响其他正常用户访问的前提下，对该用户实现相应访问权限的撤销，成为亟待解决的问题。

近来，在ABE的实际应用中，用户撤销的重要性引起了人们的重视，Ostrovsky等人[9]提出了一种可实现用户撤销的ABE方案。该方案通过对撤销用户的身份进行AND的“非”操作来实现撤销，但是效率太低。随后，Staddon等人[10]提出了一种用户可撤销的KP-ABE方案，但是该方案只能在满足密文相关属性正好为整个属性集的一半时才能被使用，因此限制太高，不符合实际应用。Liang等人[11]提出了一种利用二叉结构来实现用户撤销的CP-ABE方案，由属性中心生成更新密钥实现撤销，但是效率较低，而且大大增加了属性中心的负担。

需要注意的是，以上几种方案都只能实现系统级的用户撤销，即一旦某个用户的某个属性被撤销，其失去了系统中所有其他属性对应的访问权限。在属性级用户撤销方面，文献[12~14]使用为每个属性设置有效期来实现属性撤销，但是我们称这种方式为粗粒度的撤销，因为其不能实现实时撤销。Yang等人[15]提出了一种云存储下的CP-ABE方案，该方案为每个属性生成两个对应的公开参数，当进行属性撤销时，由属性中心更新需要撤销属性对应的公开参数，并为用户更新密钥，因此不仅加重了属性中心的计算负载，而且增大了属性中心与用户间的通信负载。

2 相关技术

在方案提出前，首先对文中将用到的相关技术进行简单介绍，包括双线性群及确定性q-type假设。

2.1 双线性群

(3)计算性：存在有效的对运算算法。

2.2 确定性q-type假设

3 大规模属性集下支持属性级用户撤销的 CP-ABE方案

本节首先对提出的大规模属性集下支持属性级用户撤销的CP-ABE方案进行构造，接着对其进行了安全性证明。

3.1方案构造

3.1.1系统初始化系统初始化阶段，属性中心生成系统的相关参数，包括公开密钥与主密钥。

3.1.2密钥生成为了实现外包解密，提高效率，生成密钥如下：

3.1.6解密用户得到部分解密密文后，进行最后解密如下：

3.2 安全证明

令

4 方案分析与实验验证

4.1 功能对比

表1可以看出，Liang方案[11]实现了系统级的用户撤销，一旦用户的某个属性被撤销，那么该用户就失去了系统内所有其他合法属性的访问权限，这不符合实际应用环境。而本文提出的方案与Hur方案[16]、Yang方案[15]实现了属性级的用户撤销，如果用户的某个属性被撤销，不影响其他合法属性的正常访问。另外，本文方案和Hur方案支持大规模属性集合，灵活性更强，但是Hur方案仅为通用群模型下可证明安全的，而一般群模型下的安全性被认为是启发式的安全，并不是可证明安全，很多一般群模型下可证明安全的方案在实际应用中被发现并不安全。Yang方案实现了随机预言模型下的可证明安全性，虽然随机预言模型下的安全性是可证明安全，但是模型进行了理想化的假设，安全性较低，而且该方案只支持小规模属性集合。本文方案不仅支持大规模属性集合，而且实现了标准模型下的可证明安全性，安全性较高。

4.2 存储成本

表1功能对比

方案撤销粒度属性集模型假设 Liang方案[11]系统级的用户撤销小规模标准模型DBDH假设 Hur方案[16]属性级的用户撤销大规模通用群模型- Yang方案[15]属性级的用户撤销小规模随机预言模型q-parallel BDHE假设本文方案属性级的用户撤销大规模标准模型q-type 假设

表2存储成本对比

实体Liang方案[11]Hur方案[16]Yang方案[15]本文方案 AA O CSP U

4.3 计算效率

图1 参数生成时间

图2 密钥生成时间

图3 加密时间

图4 解密时间

图5 重新加密时间对比

5 结束语

本文提出了一个大规模属性集下的密文策略属性加密方案，该方案能够实现属性级的用户撤销，即若用户的某个属性被撤销，不会影响该用户其他合法属性的正常访问。为了实现撤销，我们将密钥分为两部分：为用户生成的私钥以及为云存储中心生成的授权密钥。在本文方案中，若用户的属性被撤销，那么该属性对应的密文将进行更新，只有该属性没有被撤销的用户才能够成功地进行密钥更新而解密密文。最后对方案进行了性能分析与实验验证，实验结果表明，与已有相关方案相比，虽然为了实现属性撤销，增加了存储中心的计算负载，但是不需要属性中心的参与，因此降低了属性中心的计算负载，而且用户除了密钥外不需要其它额外参数来实现属性撤销，因此大大节省了存储空间。

[1] SAHAI A and WATERS B. Fuzzy Identity-Based Encryption [M]. Heidelberg, Berlin, Springer, 2005: 457-473. doi: 10.1007 /11426639_27.

[2] YADAV U C. Ciphertext-policy attribute-based encryption with hiding access structure[C]. 2015 IEEE International Advance Computing Conference (IACC), Bangalore, India, 2015: 6-10. doi: 10.1109/IADCC.2015.7154664.

[3] WANG M, ZHANG Z, and CHEN C. Security analysis of a privacy-preserving decentralized ciphertext-policy attribute- based encryption scheme[J].&&, 2016, 28(4): 1237-1245. doi: 10.1002/ cpe.3623.

[4] NARUSE T, MOHRI M, and SHIRAISHI Y. Provably secure attribute-based encryption with attribute revocation and grant function using proxy re-encryption and attribute key for updating[J].-, 2015, 5(1): 1-13. doi: 10.1186/s13673-015-0027-0.

[5] LEWKO A, OKAMOTO T, SAHAI A,. Fully Secure Functional Encryption: Attribute-based Encryption and (Hierarchical) inner Product Encryption[M]. Heidelberg, Berlin, Springer, 2010: 62-91. doi: 10.1007/978-3-642-13190- 5_4.

[6] RAHULAMATHAVAN Y, VELURU S, HAN J,. User collusion avoidance scheme for privacy-preserving decentralized key-policy attribute-based encryption[J]., 2016, 65(9): 2939-2946. doi: 10.1109/TC.2015.2510646.

[7] LEWKO A and WATERS B. Unbounded HIBE and attribute-based encryption[C]. International Conference on Theory and Applications of Cryptographic Techniques: Advances in Cryptology, Tallinn, Estonia, 2011: 547-567.

[8] ROUSELAKIS Y and WATERS B. Practical constructions and new proof methods for large universe attribute-based encryption[C]. ACM Sigsac Conference on Computer & Communications Security, Berlin, Germany, 2013: 463-474.

[9] OSTROVSKY R, SAHAI A, and WATERS B. Attribute- based encryption with non-monotonic access structures[C]. CCS 07 ACM Conference on Computer & Communications Security, Alexandria, Virginia, USA, 2007: 195-203.

[10] STADDON J, GOLLE P,. A content-driven access control system[C]. Proceedings of the 7th Symposium on Identity and Trust on the Internet, Gaithersburg, Maryland, USA, 2008: 26-35.

[11] LIANG X, LU R, and LIN X. Ciphertext policy attribute based encryption with efficient revocation[OL].https:// www.ResearchGate.net/publication/255670422, 2010.

[12] BETHENCOURT J, SAHAI A, and WATERS B. Ciphertext-policy attribute-based encryption[C]. IEEE Symposium on Security and Privacy, Oakland, California, USA, 2007: 321-334.

[13] BOLDYREVA A, GOYAL V, and KUMAR V. Identity- based encryption with efficient revocation[C]. ACM Conference on Computer and Communications Security, Alexandria, Virginia, USA, 2008: 417-426.

[14] PIRRETTI M, TRAYNOR P, MCDANIEL P,. Secure attribute-based systems[C]. ACM Conference on Computer and Communications Security, Alexandria, VA, USA, 2006: 799-837.

[15] YANG K, JIA X, and REN K. Attribute-based fine-grained access control with efficient revocation in cloud storage systems[C]. ACM Sigsac Symposium on Information, Computer and Communications Security, Denver, Colorado, 2015: 523-528.

[16] HUR J and NOH D K. Attribute-based access control with efficient revocation in data outsourcing systems[J].&, 2011, 22(7): 1214-1221.

[17] BONEH D and BOYEN X. Efficient selective-ID Secure identity-based encryption without random oracles[C].Advancesin Cryptology-EUROCRYPT 2004, Lecture Notes in Computer Science, Berlin, Heidelberg, 2004, 3027: 223-238.

[18] DAN B, GENTRY C, and WATERS B. Collusion Resistant Broadcast Encryption with Short Ciphertexts and Private Keys[M]. Heidelberg, Berlin, Springer, 2005: 258-275.

[19] LYNN B. The Pairing-Based Cryptography (PBC) library [OL]. http://crypto.stanford.edu/pbc,2006.

[20] BETHENCOURT J, SAHAI A, and WATERS B. Advanced crypto software collection: The cpabetoolkit[OL]. http://acsc. cs.utexas.edu/cpabe,2011.

王建华：男，1962年生，教授，博士生导师，研究方向为信息安全.

王光波：男，1987年生，博士生，研究方向为属性加密、网络信息安全.

徐开勇：男，1962年生，研究员，硕士生导师，研究方向为信息安全.

Ciphertext Policy Attribute-based Encryption Scheme SupportingAttribute Level User Revocation Under Large Universe

WANG Jianhua①②WANG Guangbo②XU Kaiyong②

①(,100195,)②(,450000,)

Ciphertext-Policy Attribute-Based Encryption (CP-ABE), especially large universe CP-ABE that is not bounded with the attribute set, is getting the more and the more extensive application to the cloud storage. However, there exists an important challenge in original large universe CP-ABE, namely dynamic user and attribute revocation. In this paper, a large universe CP-ABE scheme with efficient attribute level user revocation is proposed, namely the revocation to an attribute of some user can not influence the common access of other legitimate attributes. To achieve the revocation, the master key is divided into two parts: delegation key and secret key, which are sent to the cloud provider and user separately. In this scheme proposed, if an attribute is revoked, then the ciphertext corresponding to this attribute should be updated so that only persons who are not revoked will be able to carry out key updating and decrypt the ciphertext successfully. Note that, the proposed scheme is proved selectively secure in the standard model under “q-type” assumption. Finally, the performance analysis and experimental verification are carried out in this paper, and the experimental results show that, compared with the existing revocation schemes, although the proposed scheme increases the Computational load of Storage service Provider (CSP) in order to achieve the attribute revocation, it does not need the participation of Attribute Authority (AA), which reduces the computational load of AA. Moreover, the user does not need any additional parameters to achieve the attribute revocation except of the private key, thus saving the storage space greatly.

Ciphertext-Policy Attribute-Based Encryption (CP-ABE); Outsourced decryption; Large universe; Attribute level user revocation

TP393.08

1009-5896(2017)12-3013-10

10.11999/JEIT170199

2017-03-06；

2017-08-06；

2017-11-01

通信作者：王光波 691759571@qq.com

国家973计划项目(2013CB338001)

The National 973 Program of China (2013 CB338001)