多机构身份及属性加密机制综述

杨艳，陈性元,3，杜学绘



多机构身份及属性加密机制综述

杨艳1,2，陈性元1,2,3，杜学绘2

（1. 北京交通大学计算机与信息技术学院，北京 100044；2. 信息工程大学密码工程学院，河南 郑州 450001；3. 密码科学技术国家重点实验室，北京 100878）

多机构身份及属性加密机制已经成为云计算等分布式环境下，实现云服务端数据共享的细粒度访问控制的一个研究热点。在对基本身份及属性加密机制的构造和安全性研究的基础上，分别从层次分级和分布式2种架构方面，对现有多机构身份及属性加密机制的密钥管理、架构设计、加解密开销、安全性等难点问题，进行了深入探讨和综合对比分析。最后，总结了未来研究趋势以及开放性问题，并给出了一种新趋势的解决思路。

层次分级IBE；层次分级ABE；分布式ABE；多机构ABE

1 引言

在分布开放的计算环境中，实现数据共享的安全访问，迫切需要支持一对多的加密访问，以及灵活的访问控制。传统的对称加密及公钥加密机制，不能实现一对多的访问以及提供细粒度的访问控制。1984年，Shamir[1]提出了基于身份加密（IBE，identity-based encryption）的概念，使用身份信息作为公钥来加密消息，简化了传统的公钥基础设施中证书的管理。IBE要求每个用户都是用唯一的身份来标识，Sahai和Waters[2]提出基于属性加密（ABE，attribute-based encryption）机制，用属性集解决了IBE中每个用户都是用唯一身份来标识的问题。ABE以属性为公钥，根据该属性集合来为用户生成相应的私钥，密文是根据一个属性集合生成的，是加密给满足一定条件的群体用户的。

在基础型IBE和ABE中，一个授权中心管理所有密钥，这种单授权中心会成为系统的性能瓶颈，而且容易受到集中攻击。因此，借鉴公钥基础设施（PKI，public key infrastructure）的分级模式，出现了层次分级的HIBE（HIBE，hierarchical IBE）和层次分级的HABE（HABE，hierarchical ABE）。HIBE和HABE通过分级，重点解决了密钥颁发的负载问题。在HIBE和HABE中，根授权机构是最终信任源，按照一个信任域或组织内策略共享信息。但现实生活中，用户的不同信息由不同的部门管理，不能由一个管理机构来管理所有信息和分发密钥。分布式IBE和分布式ABE主要解决了这种身份及属性信息分属于不同授权机构的访问问题。层次分级和分布式的IBE和ABE，统称为多机构IBE（multi-authority IBE）和多机构ABE（multi- authority ABE），多机构IBE和ABE是近年来IBE及ABE的一个研究重点和热点[3]，也是目前云计算中，解决共享秘密数据的关键技术。

本文主要关注了身份及属性加密领域的一个新方向，即多机构身份及属性加密机制，分别从层次分级和分布式2种架构，分析了多机构身份及属性加密机制的难点和重点问题，对已有的经典方案，在密钥管理、体系架构及安全性等方面进行了分析比较，最后，分析了目前存在的问题，探讨了未来的研究发展趋势，以及一种新趋势的解决思路。

2 理论基础

2.1 可证明安全理论

IBE和ABE属于公钥加密机制，安全性是构造公钥密码方案的重要因素。在完全安全性的基础上，Goldwasser和Micali[4]为公钥密码方案引入了“语义安全性”，在限定敌手具有有限的计算资源时，方案具有完全安全性，也是可证明安全理论的开端。可证明安全是根据某种安全性定义来证明密码方案是安全的，通常使用“归约”的方法，首先确定密码方案所需要达到的安全目标，然后根据攻击者的能力去定义一个攻击者模型，并指出这个攻击者模型与密码方案安全性之间的归约关系。

公钥密码方案通常基于2类模型进行安全性证明：随机预言模型（ROM，random oracle model）[5]和标准模型（SM，standard model）[6]。标准模型下的证明效率较低，而且通常要基于更强的计算假设。随机预言模型下的证明，虽然在真实世界的有效性还存在争议，但因其更好的性能，仍是当前公钥密码中可证明安全研究领域使用最广泛的证明方法。

2.2 基于身份及属性加密机制的安全性

基于身份和属性的加密机制，也可以看作特殊的公钥加密机制。在公钥加密方案的安全模型中，涉及的主要攻击模型是选择明文攻击（CPA，chosen plaintext attack）模型和选择密文攻击（CCA，chosen ciphertext attack）模型[7-8]。公钥加密方案中，通常会使用不可区分性（IND，indistinguishability）[9-10]来进行语义安全的证明。因此产生了安全性定义：IND-CPA[9]和IND-CCA[7-8]。与CPA相关的安全性是公钥加密机制的最基本要求，适应性选择密文攻击（IND-CCA）则是传统公钥加密机制中最强的安全性概念，通常称为选择密文安全。

在基于身份加密的安全模型中，需要考虑攻击者利用所知的不同身份（ID，identity）（或者身份对应的私钥）发起对目标ID的攻击。Boneh等[11]在标准IND-CPA定义的基础上，对基于身份加密机制定义了新的安全性。攻击者在获得系统的公开参数之前，必须选择一个身份后续进行攻击，称为选择身份安全（IND-sID-CPA，IND-selective identity-CPA），也称为语义安全；攻击者在获取系统公开参数之后，可以适应性地选择一个合适的身份进行攻击，称为适应性选择身份安全（IND-ID-CPA，IND-identity-CPA），也称为完全安全。选择身份安全比完全身份安全的安全性要弱一些。

IND-ID-CPA是IBE方案中重要的安全性定义，凡具有IND-ID-CPA安全性的IBE方案，均可由Canetti等[12]、Boyen等[13]和Boneh等[14]分别提出的通用方法，有效地扩展为IND-ID-CCA安全，因此通常只证明方案具有IND-ID-CPA安全性即可。但有些方案只在较弱的IND-sID-CPA安全性下，才具有相对较实用的安全性归约，而在IND-ID-CPA安全性下，归约则完全不实用，因此这也是标准模型下构建可证明安全的IBE方案的难点。

2.3 秘密共享技术

在IBE和ABE中，如何构建秘密共享实现用户的抗共谋攻击，是方案设计的一个关键问题。秘密共享的概念最早由Shamir[15]和Blakley[16]分别提出。他们分别基于有限域上多项式的拉格朗日插值和有限几何理论提出了第一个（,）门限秘密共享方案。此后出现了基于中国剩余定理的Asmuth-Bloom方案[17]和基于矩阵乘法的Karnin-Greene-Hellman方案[18]。在已有秘密共享方案中，Shamir方案具有安全性高、易于实现等优点，成为秘密共享的经典方案。

IBE中由集中的私钥管理中心（PKG，private key generator）保存主密钥，制约了IBE在分布式环境中的应用，而秘密共享技术能够增强方案在分布式环境下的应用。目前基于IBE的秘密共享方案有2种实现方法，一种是将IBE系统的主密钥作为共享秘密[11,19]，这类方法存在的一个缺点，就是要求PKG必须一直在线；另一种是将用户的私钥作为共享秘密[20-22]，这类方法提高了方案的可扩展性。

ABE是IBE和访问结构相结合的结果，访问结构在ABE中起着重要的作用，访问结构的概念最初来源于门限秘密共享方案。Sahai和Waters[2]提出的ABE方案中就引入了（,）门限访问结构，当且仅当用户的属性集和密文的属性集的交集，大于或等于门限值时，用户才能解密密文。基于属性的加密机制中，通过引入门限结构，能够方便地表述解密密文所需要的条件。为了实现更加灵活的访问策略描述，表示复杂的逻辑关系，在门限结构的基础上，又引入了访问树结构[23]、与门访问结构[24]、线性秘密共享结构[25]等。

3 基于身份及属性的加密机制

3.1 基于身份的加密机制

安全性是构建公钥加密方案的基本目标，在安全的基础上提高效率是更高的目标。公钥加密方案的效率一般主要关注加解密开销、密文空间大小等方面。IBE和ABE这2种方案的研究主要由安全性和效率2方面不断推动向前发展的。

Shamir提出IBE的概念之后，Boneh和Franklin[11]，Sakai等[26]以及Cocks[27]分别提出不同的IBE架构。Boneh-Franklin[11]方案是利用双线性对构造的第一个实用的IBE方案，是第一个在随机预言机模型下，满足IND-ID-CCA安全性，具有完全安全的基于身份加密方案。Canetti等[28]随后提出了在标准模型下选择身份安全的IBE方案，但效率较低。Boneh和Boyen[29]提出更为实用的，在标准模型下选择身份安全的Boneh-Boyen2004-1方案，方案提出了一个较为通用的Boneh-Boyen结构，该结构可以很容易地扩展到HIBE，但该方案在相对较强的IND-ID-CPA安全性定义下，规约十分松散，不具实用性。Boneh和Boyen[30]随后提出了标准模型下完全安全的Boneh-Boyen2004-2方案，实现了IND-ID-CPA安全性下相对有效的归约，但密文长度和加解密复杂度与身份信息的长度相关，降低了实用性。Waters[31]使用Boneh-Boyen结构，构造了标准模型下第一个高效的具有完全安全的Waters-IBE方案，实现了IND-ID-CPA安全性下相对有效的归约。该方案具有常数级的密文长度和解密复杂度，执行效率高，具有良好的扩展性，常成为构造其他IBE方案的基础。但在Waters-IBE方案中，安全证明仍然不是紧规约，而且系统公共参数的长度与身份信息的长度也呈线性关系。Gentry[32]构造了一个更为高效的、短公共参数的、安全证明紧规约的Gentry-IBE方案，但是需要基于大量的复杂性假设。Waters[33]引入了双系统加密（dual system encryption）的概念，提出第一个基于简单性假设、短公共参数的、具有完全安全的IBE和HIBE方案。双系统加密技术目前已被应用在很多IBE和ABE方案中[34-37]，成为目前IBE和ABE安全性证明中的主流技术。

3.2 基于属性的加密机制

IBE使用身份信息作为公钥来加密消息，虽然简化了传统的公钥基础设施中证书的管理，但是要求每个用户都是用唯一的身份来标识。Sahai和Waters[2]提出的ABE用属性集解决了IBE中每个用户都是用唯一身份来标识的问题。ABE把属性集合看作一个用户的身份，以属性为公钥，根据该属性集合来为用户生成相应的私钥。同样，密文不是为某个特定的用户而加密的，而是根据一个属性集合生成的，是加密给满足一定条件的群体用户的。ABE实质上可以看作IBE系统在用户的私钥中或者密文中引入了一个访问结构而构成的，这些结构定义了具备哪些属性的用户可以解密某个密文，哪些用户不能解密该密文。ABE系统同样需要解决抗共谋问题。

Sahai和Waters提出的基本ABE，只能表示属性的“门限”操作，且门限参数由授权机构设置，无法支持灵活的访问控制策略，只能实现比较粗粒度的访问控制。因此为了解决复杂的访问策略的需求，出现了基于密钥策略的ABE（KP-ABE，key-policy ABE）[38]和基于密文策略的ABE（CP-ABE，ciphertext-policy ABE）[39]。KP-ABE和CP-ABE都采用树访问结构，区别在于访问结构部署的位置不同，访问控制策略可以实现属性的与、或、非等门限操作，实现比基本ABE更灵活的访问控制策略。在CP-ABE中，密钥和属性集关联，密文和访问策略关联。在KP-ABE中，密钥和访问策略关联，密文和属性集相关联。早期的CP-ABE和KP-ABE[38-43]都是选择身份安全下的构造。2010年，Lewko等[34]利用Waters[33]中提出的双系统加密思想，第一次提出了完全安全的ABE方案。Lewko等[44]在2012年还提出一种新的证明方法，可以将一些优化的选择安全系统转化为完全安全系统。

一些加密方案[45-50]讨论了和基于属性加密同样的问题，只是没有考虑共谋攻击。这些加密系统中，数据加密时指定一个访问策略，只有符合访问策略的用户集才能解密数据。其他的还有一些匿名及谓词加密的基于属性加密方案[51-53]、关于属性撤销的一些加密方案[54-58]，以及提供更细粒度访问控制的属性加密方案等[59]。

4 层次分级的基于身份及属性加密机制

HIBE[33,35-36,60-65]主要为了解决基本IBE中，单授权中心带来的性能瓶颈问题，降低授权中心分发密钥的负载。HABE[66-74]则是在HIBE的基础上发展起来的。在IBE和ABE中，一个重要的问题是“共谋”，即是多个用户相互合作后的解密能力不应该超越他们的解密能力之和。单授权中心负责颁发所有密钥，每个用户的密钥是用不同的随机共享秘密生成，中心可以相对容易的重新随机相应的秘密共享，实现用户的抗共谋攻击问题。在HIBE和HABE中，抗共谋要求则更加复杂，即使一个攻击者能访问特定域内其他用户的私钥，也不能解密为特定域内特定用户加密的消息；或者是域内一定用户共谋，也不能访问域内其他用户的私钥；或者是A域的PKG和B域内的用户共谋，也不能解开B域下其他用户可解密的消息。针对抗共谋攻击需求及基本IBE和ABE的要求，HIBE和HABE目前主要采用层次型的密钥管理机制。

4.1 典型HIBE及HABE方案

4.1.1 Horwitz-Lynn方案

Horwitz-Lynn方案在域层面是完全抗共谋的，任意数目的域PKG共谋，根PKG的主密钥仍然是安全的。但在用户层是部分抗共谋的，如域内有超过一定数量的用户共谋，就能得到域PKG的密钥。如果不关注域以下层面的抗共谋攻击，这个架构还是比较实用的。因为在域级层次，个域PKG共谋的可能性，要比用户层的2个用户共谋的可能性要小（2个用户共谋，要求来自个不同域，每个域有个用户参与共谋才可以）。

Horwitz-Lynn方案在随机预言模型下是选择密文安全的。Horwitz-Lynn方案的架构当扩展到多层时，上一层密钥的大小随着层次深度呈指数递增，因此这种架构并不是高效的，通常适用于深度不超过两层的应用场景。

4.1.2 Gentry-Silverberg方案

Gentry-Silverberg方案的优点是域PKG的秘密泄露，只会影响其域内用户，而不会破坏上一级PKG的秘密。但加密给一个用户的文件，能够被用户以及用户所有祖先节点解密，以及密文长度和解密开销随着消息接收方的层次而线性增长。为了解决密文长度和层次深度有关，还提出一种更高效的双身份加密和签名方案，特别适合于发方和收方位于层次树中非常近的情况。

4.1.3 其他典型方案

最早的HIBE方案基本都是在随机预言模型下证明安全的，直到Canetti等[28]给出第一个标准模型下选择身份安全的HIBE，但是并不高效。

2004年，Boneh，Boyen[29-30]提出2种高效的不用随机预言模型的选择身份安全的IBE系统，即Boneh-Boyen04方案。Boneh-Boyen04的方案是类似于Gentry-Silverberg方案，但可以不用随机预言模型证明安全。Boneh-Boyen04方案重点在加密和解密的效率上，Boneh-Boyen2004-1[29]方案是基于DBDH（decision bilinear diffie-hellman）假设，可以扩展到一个不用随机预言模型的选择身份安全的HIBE，加密不要求双线性计算而解密只要求2次。Boneh-Boyen2004-2[30]方案基于一个新的假设称为DBDHI（decision bilinear diffie-hellman inversion），解密的只要求一次双线性计算，更加高效。这2个方案虽然都可以扩展到HIBE中，但在密文和私钥长度上，和加解密所需时间上，仍然是随着层次的深度线性增长的。

Boneh、Boyen和Goh[63]则提出一个不依赖于层次的深度，具有常数级的密文大小和解密开销，更高效的HIBE方案。对于任意深度的身份，加密时不要求任何双线性对计算，密文只包括3个组元素，解密只需要2次双线性对计算。该方案在标准模型下是选择身份安全；在随机预言模型下，则是完全安全的。

Waters-IBE方案[31]虽然没有给出具体的HIBE方案，但也可以扩展到标准模型下完全安全的HIBE方案。但是，Waters的HIBE方案以及同一时期的所有具有完全安全性的HIBE方案，都不能实现安全的紧规约。规约的证明，仅在常数等级的HIBE中有效，从安全的角度，实际应用中只能拥有2~3个等级。

Gentry、Halevi[64]提出了第一个具有多项式深度的完全安全的HIBE方案，但是该方案基于复杂性假设，而且密文大小仍然随着层次深度呈线性递增。Boyen和Waters[60]则提出了在标准模型下所有层次完全匿名的HIBE，加解密时间及密文大小也是随着层次深度呈线性增长。Waters2009方案[33]采用双系统加密技术，实现了标准模型下完全安全，但密文大小仍随着层次深度呈线性增长。Lewko-Waters2010方案[35]则是采用双系统加密技术，在简单性假设下，实现了固定密文长度，标准模型下完全安全的HIBE。以上方案通常需要在系统建立时，确定支持的最大层次数，Lewko和Waters[36]给出了第一个无界的HIBE方案，该方案无需事先确定层次数。

Guojun Wang[66-67]等利用Gentry-Silverberg方案中层次结构密钥生成的思想，并借鉴了Müller-Katzenbeisser方案中将访问结构表示成析取范式（DNF，disjunctive normal form）形式的思想，提出了层次型架构的ABE方案，同时支持基于属性和基于精确身份的访问结构，而且具有常数级的解密计算复杂度。Zhiguo Wan等[68]提出一种更弹性化和细粒度的HABE。

4.2 典型HIBE方案的分析与比较

从表1可以看出，目前典型的这些HIBE方案，大部分方案的加解密开销、密文及密钥大小，都会和层次数直接相关，随着层次深度呈线性增长趋势。Boneh-Boyen-Goh及Lewko-Waters2010方案中，虽然解密时间和密文大小和层次无关，但加密时间和密钥大小仍然和系统层次及用户所在层次有关。

5 分布式的基于属性加密机制

HIBE及HABE虽然解决了中心授权机构密钥分发的负载问题，但在大规模、分布式系统中，用户信息及属性信息由不同的部门管理，因此不能由一个属性管理机构来管理所有属性和分发密钥，需要有多个不同授权机构同时工作，每个管理不同属性集的密钥。目前分布式的多机构IBE及ABE，主要以分布式ABE为主。

表1 典型HIBE方案的比较

在单授权机构的ABE中，中心授权机构可以容易地将秘密值在用户私钥的不同部分（代表不同属性）中进行分割，实现抗共谋攻击。分布式ABE包含多个属性授权机构（AA，attribute authority），每个用户的密钥要在多个授权机构间分割，授权机构间没有必然联系，因此如何构建秘密共享实现抗共谋攻击，是分布式ABE的研究难点。

目前分布式ABE主要采用用户全局身份标识（GID，global identifier）来防止用户共谋，根据是否采用中心授权机构来保证解密的正确运行，分为采用中心授权机构和不采用中心授权机构2类。采用中心授权机构的以Chase07[75]及Müller-Katzenbeisser[76]等方案为主，不采用中心授权机构的以Lewko-Waters2011[37]、Lin-Cao[77]及Chase09[78]等方案为主。

5.1 采用中心授权机构的机制

5.1.1 Chase07方案

Chase07方案[75]最先采用用户GID和中心授权机构解决分布式ABE的抗共谋问题。分布式ABE中，必须区分2种情形，一种是一个用户具有密文要求的属性集；一种是不同用户共同拥有构成密文要求的属性集。由于属性集不能区分用户，因此Chase07方案中第一次引入了GID来实现用户全网唯一，用户在每个授权机构用同一个GID得到相应的密钥集，解密的能力也依赖于GID。

Chase07方案最早提出中心授权机构和GID来解决分布式ABE的抗共谋问题，不足之外，一是中心授权机构要求绝对可信，为了重构秘密，中心授权机构需要了解所有授权机构私钥，而且能够解密所有用户密文；二是访问策略比较固定，不能支持比较复杂的访问策略，用户必须具有每个授权机构要求的固定属性数，而且局限于只能对预先的属性集表达严格的“与”策略；三是可扩展性弱，新加一个授权机构，全网系统密钥都要改变。

5.1.2 Müller-Katzenbeisser方案

Müller-Katzenbeisser方案中由于各属性授权机构之间不用建立信任关系，可扩展性好，支持任何时候动态添加新的用户和属性授权机构，并且支持相对复杂的访问策略表示。不足的地方，一是访问策略要以析取范式的形式表示，加密开销和密文长度会与析取范式中合取子句的数量成比例增加；二是仍然不能实现很复杂的访问策略。

5.2 不采用中心授权机构的机制

早期的分布式ABE方案基本都采用中心授权机构，来解决各授权机构相互不信任的情况，确保用户不能进行共谋。这种架构中，普遍要求中心授权机构必须是全网可信，中心授权机构的安全关系到全部系统，如果系统的规模更大时，中心授权机构会成为瓶颈。因此为解决使用中心授权机构带来的安全脆弱性，一些不使用中心授权机构的方案相继推出。

5.2.1 Lewko-Waters2011方案

Lewko、Waters[37]提出了不需要中心授权机构的Lewko-Waters2011方案，使用GID将不同授权机构颁发给同一个用户的属性私钥联系起来。加密数据的访问控制要求的属性分属不同的授权机构，可以按照任意属性的布尔式加密数据，解密时只有具有所有要求的属性私钥且为同一用户的可以解密。

Lewko-Waters方案设置时，要求既满足密钥产生的自治性，又要抗共谋攻击。密钥产生的自治性意味着密钥随机化的建立机制不能被应用，因为没有一方能够将密钥的所有部分收集齐。密钥的每一个组件可能来自于不同的授权机构，授权机构间也没有建立信任关系。因此，Lewko-Waters方案提出一种新的技术将密钥组件绑定在一起，以阻止不同的GID的用户间的共谋攻击。利用可计算单调布尔函数的单调张成方案，构造线性秘密共享，实现秘密值在访问策略中不同的属性间分割。同时使用GID将属于一个指定用户的不同属性绑定在一起，解密时符合条件的属性且为同一用户，才能解密密文，共同实现抗共谋攻击。

Lewko-Waters2011方案不要求中心授权机构，避免了中心授权机构带来的性能瓶颈，以及绝对可信问题，不仅在效率方面还是在安全方面，都是重要的改进。各授权机构完全独立地工作，一些授权机构的失败和中断不会影响到其他授权机构的功能操作，这也使系统更强壮。

Lewko-Waters2011方案除了创建公共参数初始集，不要求任何授权机构提前建立信任关系。采用访问树的策略描述，支持复杂访问策略描述。方案虽然不需要中心授权机构来管理用户及分发密钥，但使用了GID实现用户全网的唯一性，为了保证GID的真实性，各授权机构必须依赖于管理用户身份标识的机构提供支撑。而且方案中用户的GID也是向所有授权机构公开的，会造成用户隐私的泄露。

5.2.2 其他典型方案

Lin、Cao[77]等提出基于门限架构，不依赖于中心授权机构的分布式方案。Lin-Cao方案采用一个密钥分发协议，生成各个授权机构的秘密值，所有授权机构的秘密值重构出总的秘密值。不足的是属性集及要求的授权机构在系统建立时必须提前固定，系统只能在不超过固定用户数时才能抗共谋。而且不能任意添加新的授权机构，扩展性弱。Lin-Cao方案中用户的GID仍然是向授权机构公开的。

Chase，Sherman等[78]提出的Chase09方案，沿用Chase07方案的秘密分割方式，不使用中心授权机构将各授权机构的秘密值重构，但所有授权机构在初始化阶段，要两两协商种子密钥参数，建立复杂的信任关系；方案的另一个特点是采用匿名密钥分发协议，实现了匿名信任，用户不用出示GID，可以从授权机构得到解密密钥，实现隐私保护，不足的是协议较为复杂。

Rahulamathavan和Veluru等[79]提出的分布式方案，没有采用中心授权机构，对Chase09方案中的匿名密钥分发协议更改，增强了GID和用户解密密钥之间的绑定，保护了用户的隐私，降低了复杂性。但不足的是密钥分发协议仍然需要交互多次，需要多个密钥参数来实现。文献[80-82]中也使用了匿名方案，保护用户的隐私，但基本上也都采用了相对复杂的匿名密钥分发协议。其他还有一些分布式的ABE方案[83-92]。

5.3 典型分布式ABE方案的分析与比较

分布式ABE主要是属性分属于不同授权机构，各机构管理属性及颁发密钥都是相互独立的，只是因为工作需要，而建立一些信任关系，需要各机构的属性密钥才能共享一些数据。分布式ABE的构造不同，主要体现在是否使用用户GID和中心授权机构，以及各授权机构间信任关系建立方式等方面。

Müller-Katzenbeisser方案中没有使用GID来区分用户，但中心授权机构为每个用户生成的唯一的私钥，实现了用户身份在全网的唯一性；Lin-Cao方案和Lewko-Waters2011方案中用户的GID是全网公开的。Chase09方案和Rahulamathavan-Veluru方案中，采用匿名密钥分发协议，使用户的GID不对外公开，保护了用户的隐私。

6 结束语

本文在基本IBE及ABE的研究基础上，对多机构IBE及ABE的密钥管理、架构设计、安全性等方面进行了深入研究探讨。由于多机构IBE及ABE是新兴的研究领域，也存在着很多的开放性问题，这些问题也指引了该领域未来的研究趋势，总结如下。

1) HIBE及HABE

HIBE及HABE主要解决了基本IBE及ABE中，单授权中心带来的性能瓶颈问题。根PKG是最终信任根，授权机构按层次进行密钥管理，解决了密钥颁发的负载问题；同时，身份的认证和密钥的传输在内部完成，大大提高了系统效率。但普遍存在着随着层次深度的增长，密文及密钥大小或加解密开销也随之增长的问题，以及带来的安全性降低的问题。设计和层次深度不直接相关的方案，是目前的研究难点和趋势。

表2 典型的分布式ABE方案的比较

2) 分布式ABE

分布式ABE，主要解决了属性分属不同授权机构的访问问题。各授权机构之间没有信任关系，每个授权机构负责颁发本域内的属性和密钥。目前主要分为2大类，一类采用中心授权机构的方案，优点是各授权机构之间，不需要构建复杂的信任关系；但中心授权机构负责管理用户或分发密钥，实现秘密分割。此类方案工作负载大，存在可信度要求高，以及授权机构扩展性不好等问题。另一类不采用中心授权机构的方案，优点是授权机构的扩展性好，允许授权机构破坏的冗余度高，但在授权机构之间，需要交换必需的参数信息，构建信任关系实现秘密共享，或者采用复杂的密钥交换协议。

有中心授权机构的方案，管理更简单，更适合于实际应用。无中心授权机构的方案，则以授权机构间，简单的密钥交换为发展趋势。用户具有全网唯一性，目前主要以GID方式为主，存在问题就是如何保证用户身份在全网公开而带来的隐私泄露问题。

3) 层次分级和分布式相结合的多机构IBE及ABE

现实应用中，如企业内部，通常是层次分级的管理模式，而当企业之间合作时，则是分布式的管理模式。针对这样的应用场景，需要层次分级和分布式相结合的多机构IBE及ABE。目前针对这种混合架构的方案较少，使用中心授权机构所要求的全网可信，带来了瓶颈和可扩展性问题，不使用中心授权机构的方案，基本上采用用户GID的方法，但仍依赖于相关管理中心提供用户身份管理。

[1] SHAMIR A. Identity-based cryptosystems and signature schemes[C]// Proceedings of CRYPTO 84 on Advances. 1984: 47-53.

[2] SAHAI A, WATERS B. Fuzzy identity-based encryption[C]//Proceedings of the 24th annual international conference on Theory and Applications of Cryptographic Techniques. 2005: 457-473.

[3] 苏金树, 曹丹, 王小峰, 等. 属性基加密机制[J]. 软件学报. 2011, 22(6): 1299-1315.

SU J S, CAO D, WANG X F, et al. Attribute-based encryption schemes[J]. Journal of Software, 2011, 22(6): 1299-1315.

[4] GOLDWASSER S, MICALI S. Probabilistic encryption[J]. Journal of Computer Systems Science, 1984, 28(2): 270-299.

[5] BELLARE M, ROGAWAY P. Random oracles are practical: a paradigm for designing efficient protocols[C]//Proceedings of the 1th ACM conference on Computer and Communications Security (CCS1993). 1993:62-73.

[6] CRAMER R, SHOUP V. A practical public key cryptosystem provable secure against adaptive chosen ciphertext attack[C]//Proceedings of the 18th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 1998). 1998: 414-426.

[7] NAOR M, YUNG M. Public-key cryptosystems provably secure against chosen ciphertext attacks[C]//Proceedings of the 22th annual ACM Symposium on Theory of Computing (STOC 90). 1990: 427-437.

[8] RACKOFF C, SIMON D. Non-interactive zero-knowledge proof of knowledge and chosen ciphertext attack[C]//Proceedings of the 11th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 91). 1991:433-444.

[9] GOLDWASSER S, MICALI S．Probabilistic encryption[J]．Journal of Computer and System Sciences, 1984, 28(2): 270-299.

[10] MICALI S, RACKOFF C, SLOAN R．The notion of security for probabilistic cryptosystems[J]. SIAM Journal on Computing, 1988, 17(2):412-426.

[11] BONEH D, FRANKLIN M. Identity-based encryption from the weil pairing[C]//Proceedings of the 21st Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2001). 2001: 213-229.

[12] CANETTI R, HALEVI S, KATZ J. Chosen-ciphertext security from identity-based encryption[C]//Proceedings of the 23th annual international conference on Theory and Applications of Cryptographic Techniques (EUROENCRYPT 2004). 2004: 207-222.

[13] BOYEN X, MEI Q, WATERS B. Direct chosen ciphertext security from identity-based techniques[C]//Proceedings of the 12th ACM conference on Computers and Communication Security (CCS 2005). 2005: 320-329.

[14] BONEH D, KATZ J. Improved efficiency for CCA-secure cryptosystems built using identity-based encryption[C]//In Proceedings of CT-RSA 2005. 2005: 87-103.

[15] SHAMIR A. How to share a secret[J]. Communications of the ACM, 1979, 22(11):612-613.

[16] BLAKLEY G R. Safeguarding cryptographic key[C]//AFIPS 1979 National Computer Conference. 1979:313-317.

[17] ASMUTH C, BLOOM J. Modular approach to key safeguarding[J]. IEEE transaction on Information Theory, 1983, 29(2):208-210.

[18] KARNIN E D, MEMBER S, GREENE J W, et al. On sharing secret system[J]. IEEE Transactions on Information Theory, 1983, 29(1):35-41.

[19] LIBERT B, QUISQUATER J J. Efficient revocation and threshold pairing based cryptosystems[C]//Symposium on Principles of Distributed Computing 2003. 2003:163-171.

[20] DODIS Y, YUNG M. Exposure-resilience for free: the hierarchical id-based encryption case[C]//Proceedings of IEEE security in Storage Workshop 2002. 2002:45-52.

[21] BAEK J, ZHENG Y. Identity-based threshold decryption[C]//Public Key Cryptography Proceedings of PKC’04, 2004:262-276.

[22] LIU S, CHEN K, QIU W. Identity-based threshold decryption revisited[C]//Proceedings of the 3rd international conference on Information security practice and experience (ISPEC 07). 2007:329-343.

[23] BEIMEL A. Secure schemes for secret sharing and key distribution[D]. Haifa: Israel Institute of Technology. 1996.

[24] CHEUNG L, NEWPORT C. Porvably secure ciphertext policy ABE[C]//Proceedings of the 14th ACM Conference on Computer and Communications Security (CCS 2007). 2007:456-465.

[25] ATTRAPADUNG N, IMAI H. Dual-policy attribute based encryption[C]//Proceedings of the 7th International Conference on Applied Cryptography and Network Security (ACNS 2009). 2009:168-185.

[26] SAKAI R, OHGISHI K, KASAHARA M. Cryptosystems based on pairing[C]//Symposium on Cryptography and Information Security (SCIS 2000). 2000:233-238.

[27] COCKS C. An identity based encryption scheme based on quadratic residues[C]//Cryptography and Coding 2001. 2001:360-363.

[28] CANETTI R, HALEVI S, KATZ J. A forward-secure public-key encryption scheme[C]//Proceedings of the 22th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2003). 2003: 255-271.

[29] BONEH D, BOYEN X. Efficient selective-ID secure identity based encryption without random oracles[C]//Proceedings of the 23th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2004). 2004:223-238.

[30] BONEH D, BOYEN X. Secure identity based encryption without random oracles[C]//Proceedings of the 24th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2004). 2004:443-459．

[31] WATERS B. Efficient identity-based encryption without random oracles[C]//Proceedings of the 24th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2005). 2005:114-127.

[32] GENTRY C. Practical identity-based encryption without random oracles[C]//Proceedings of the 25th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2006). 2006:445-464.

[33] WATERS B. Dual system encryption: Realizing fully secure IBE and HIBE under simple assumptions[C]//Proceedings of the 29th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2009). 2009:619-636.

[34] LEWKO A, OKAMOTO T, SAHAI A, et al. Fully secure functional encryption: attribute-based encryption and (hierarchical) inner product encryption[C]//Proceedings of the 29th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2010). 2010:62-91.

[35] LEWKO A, WATERS B. New techniques for dual system encryption and fully secure HIBE with short ciphertexts[C]//Proceedings of the 7th conference on Theory of cryptography (TCC 2010). 2010:455-479.

[36] LEWKO A, WATERS B. Unbounded HIBE and attribute-based encryption[C]//Proceedings of the 30th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2011). 2011:547-567.

[37] LEWKO A, WATERS B. Decentralizing attribute-based encryption[C]//Proceedings of the 30th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2011). 2011:568-588.

[38] GOYAL V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//Proceedings of the 13th ACM Conference on Computer and Communications Security (CCS 2006). 2006:99-112.

[39] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryption[C]//Proceedings of the 28th IEEE Symposium on Security and Privacy (S&P 2007). 2007:321-334.

[40] CHEUNG L, NEWPORT C. Provably secure ciphertext policy ABE[C]//Proceedings of the 14th ACM conference on Computer and communications security (CCS 2007). 2007:456-465.

[41] OSTROVKSY R, SAHAI A, WATERS B. attribute based encryption with non-monotonic access structures[C]//Proceedings of the 14th ACM conference on Computer and communications security (CCS 2007). 2007:195-203.

[42] GOYAL V, JAIN A, PANDEY O, et al. Bounded ciphertext policy attribute-based encryption[C]//Proceedings of the 35th international colloquium on Automata, Languages and Programming (ICALP 2008). 2008: 579-591.

[43] WATERS B. Ciphertext-policy attribute-based encryption: An Expressive, Efficient, and Provably Secure Realization[R]. Public Key Cryptography – PKC 2011. 2011:53-70.

[44] LEWKO A, WATERS B. New proof methods for attribute-based encryption: achieving full security through selective techniques[C]//In Proc of Advances in Cryptology-CRYPTO’12. 2012: 180-198.

[45] AL-RIYAMI S. S, MALONE-LEE J, SMART N.P. Escrow-free encryption supporting cryptographic workflow[J]. International Journal of Information Security, 2006, 5(4): 217-229.

[46] BAGGA W, MOLVA R, CROSTA S. Policy-based encryption schemes from bilinear pairings[C]//In ASIACCS2006. 2006: 368-368.

[47] BARBOSA M, FARSHIM P. Secure cryptographic work flow in the standard model[C]//In INDOCRYPT2006. 2006: 379-393.

[48] BRADSHAW R, HOLT J, SEAMONS K. Concealing complex policies with hidden credentials[C]//In ACM Conference on Computer and Communications Security. 2004: 146-157,

[49] MIKLAU G, SUCIU D. Controlling access to published data using cryptography[C]//In Proceedings of the 29th international conference on Very large data bases, VLDB'03. 2003, Volume 29: 898-909.

[50] SMART N. Access control using pairing based cryptography[C]//In CT-RSA. 2003: 111-121.

[51] ABDALLA M, BELLARE M, CATALANO D, et al. Searchable encryption revisited: Consistency properties, relation to anonymous ibe, and extensions[J]. In Journal of Cryptology, 2008, volume 21: 350-391.

[52] KATZ J, SAHAI A, WATERS B. Predicate encryption supporting disjunctions, polynomial equations, and inner products[C]//In EUROCRYPT2008.2008:146-162.

[53] SHI E, WATERS B. Delegating capabilities in predicate encryption systems[C]//In Automata, Languages and Programming. 2008: 560-578.

[54] YU S, WANG C, REN K, et al. Attribute based data sharing with attribute revocation[C]//The 5th ACM Symp.Information, Computer and Comm. Security (ASIACCS’10). 2010: 261-270.

[55] LI M, YU S, ZHENG Y, et al. Scalable and secure sharing of personal health records in cloud computing using attribute-based encryption[J]. IEEE Trans. Parallel Distributed Systems, 2013, 24(1): 131-143.

[56] HUR J, NOH D.K. Attribute-based access control with efficient revocation in data outsourcing systems[J]. IEEE Trans. Parallel Distributed Systems, 2011, 22(7): 1214-1221.

[57] JAHID S, MITTAL P, BORISOV N. Easier: Encryption-Based Access Control in Social Networks with Efficient Revocation[C]//In Proc. 6th ACM Symp. Information, Computer and Comm. Security (ASIACCS’11). 2011: 411-415.

[58] RUJ S, NAYAK A, STOJMENOVIC I. DACC: Distributed Access Control in Clouds[C]// In Proc. 10th IEEE Int’l Conf.TrustCom. 2011: 91-98.

[59] SHUCHENG YU, CONG WANG, KUI REN, et al. Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing[C]//INFOCOM'10 Proceedings of the 29th conference on Information communications. 2010,29(16): 534-542.

[60] BOYEN X, WATERS B. Anonymous Hierarchical Identity-Based Encryption (Without Random Oracles)[C]//Proceedings of the 26th Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2006). 2006: 290-307.

[61] HORWITZ J, LYNN B. Towards hierarchical identity-based encryption[C]//Proceedings of the 21th International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2002). 2002: 466–481.

[62] GENTRY C, SILVERBERG A. Hierarchical ID-based cryptography[C]//Proceedings of the 8th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology (ASIACRYPT 2002). 2002: 548-566.

[63] BONEH D, BOYEN X, GOH E J. Hierarchical identity based encryption with constant size ciphertext[C]//Proceedings of the 24th annual international conference on Theory and Applications of Cryptographic Techniques (EUROCRYPT2005). 2005:440-456.

[64] GENTRY C, HALEVI S. Hierarchical identity based encryption with polynomially many levels[C]//Proceedings of the 6th conference on Theory of cryptography (TCC 2009). 2009:437-456.

[65] FUYANG FANG, BAO LI, XIANHUI LU, et al. (Deterministic) Hierarchical identity-based encryption from learning with rounding over small modulus[C]//ASIA CCS’16. 2016: 907-912.

[66] WANG G J, LIU Q, WU J. Hierarchical attribute-based encryption for fine-grained access control in cloud storage services[C]//Proceedings of the 17th ACM conference on Computer and communications security (CCS 2010). 2010:735-737.

[67] WANG G J, LIU Q, WU J, et al. Hierarchical attribute-based encryption and scalable user revocation for sharing data in cloud servers[J]. Computers & security, 2011, 30 (5):320-331.

[68] WAN Z G, LIU J, DENG R H. HASBE: A hierarchical attribute-based solution for flexible and scalable access control in cloud computing[C]//IEEE Transactions on Information Forensics and Security 2012. 2012:743-753.

[69] ASIM M, IGNATENKO T, PETKOVIC M, et al. Enforcing access control in virtual organizations using hierarchical attribute-based encryption[C]//Seventh International Conference on Availability, Reliability and Security. 2012,329 (6): 212-217.

[70] LIU J, WAN Z, GU M. Hierarchical attribute-set based encryption for scalable, flexible and fine-grained access control in cloud computing[C]//Information Security Practice and Experience. ISPEC2011. 2011,6672 (2): 98-107.

[71] DENG H, WU Q, QIN B, et al. Ciphertext-policy hierarchical attribute-based encryption with short ciphertexts: efficiently sharing data among large organizations[J]. Information Sciences, 2014,275 (11): 370-384.

[72] LIU X, MA J, XIONG J, et al. Ciphertext-policy hierarchical attribute-based encryption for fine-grained access control of encryption data[J]. International Journal of Network Security, 2014,16(6): 437-443.

[73] HUANG Q, WANG L, YANG Y. DECENT: Secure and fine-grained data access control with policy updating for constrained IoT devices[J]. World Wide Web, 2017 (11):1-17.

[74] SERVOS D, OSBORN SL. HGAA: An architecture to support hierarchical group and attribute-based access control[C]//the Third ACM Workshop. 2018:1-12.

[75] CHASE M. Multi-authority attribute based encryption[C]//Proceedings of the 4th conference on Theory of cryptography (TCC 2007). 2007:515-534.

[76] MÜLLER S, KATZENBEISSER S, ECKERT C. Distributed attribute-based encryption[C]//Proceedings of the 11th International Conference on Information Security and Cryptology (ICISC 2008). 2008:20-36.

[77] LIN H, CAO Z F, LIANG X H, et al. Secure threshold multi authority attribute based encryption without a central authority[C]//Proceedings of the 9th International Conference on Cryptology in India: Progress in Cryptology (INDOCRYPT 2008). 2008:426-436.

[78] CHASE M, CHOW S. Improving privacy and security in multi-authority attribute-based encryption[C]//Proceedings of the 16th ACM conference on Computer and communications security (CCS 2009). 2009:121-130.

[79] RAHULAMATHAVAN Y, VELURU S, HAN J, et al. User collusion avoidance scheme for Privacy-Preserving Decentralized Key-Policy Attribute-Based Encryption[J]. IEEE Transactions on Computers, 2016, 65(9): 2939-2946.

[80] HAN J, SUSILO W, MU Y, et al. Privacy-preserving decentralized key-policy attribute-based encryption[J]. IEEE Transactions on Parallel and Distributed Systems, 2012, 23(11): 2150–2162.

[81] HAN J, SUSILO W, MU Y, et al. Improving privacy and security in decentralized ciphertext-policy attribute-based encryption[J]. IEEE Transactions on Information Forensics and Security, 2015,10(3): 665-678.

[82] QIAN H, LI J, ZHANG Y. Privacy-preserving decentralized ciphertext-policy attribute-based encryption with fully hidden access structure[C]//In Proc. ICICS’13. 2013: 363–372.

[83] LI J, HUANG Q, CHEN X, et al. Multi-authority ciphertext-policy attribute-based encryption with accountability[C]//In Proc. ASIACCS’11. 2011: 386–390.

[84] LIU Z, CAO Z, HUANG Q, et al. Fully secure multi-authority ciphertext-policy attribute-based encryption without random oracles[C]//In Proc. ESORICS’11. 2011: 278–297.

[85] YANG K, JIA X. Attribute-based access control for multi-authority systems in cloud storage[C]//In Proc. 32th IEEE International Conference on Distributed Computing Systems (ICDCS’12). 2012:1-10.

[86] YANG K, JIA X, REN K, et al. DAC-MACS: Effective data access control for multiauthority cloud storage systems[J]. IEEE Transactions On Information Forensics And Security, 2013, 8(11): 1790-1801.

[87] YANG K, JIA X. Expressive, efficient, and revocable data access control for multi-authority cloud storage[J]. IEEE Transactions on Parallel and Distributed Systems, 2014: 25(7).

[88] JUNG T, LI X, WAN ZH, et al. Privacy preserving cloud data access with multi-authorities[C]//2013 Proceedings IEEE INFOCOM. 2013, 12(11): 2625-2633.

[89] GE A, ZHANG J, ZHANG R, MA C, et al. Security analysis of a privacy-preserving decentralized key-policy attribute-based encryption scheme[J]. IEEE Transactions on Parallel and Distributed Systems, 2013, 24(11): 2319-2321.

[90] KUEHNER H, HARTENSTEIN H. Decentralized secure data sharing with attribute-based encryption: a resource consumption analysis[C]//SCC’16. 2016: 74-81.

[91] PUSSEWALAGE H S G, OLESHCHUK V A. A distributed multi-authority attribute based encryption scheme for secure sharing of personal health records[C]//Proceedings of the 22nd ACM on Symposium on Access Control Models and Technologies, SACMAT'17. 2017: 255-262.

[92] LI X, WANG Y, XU M, et al. Decentralized attribute-based encryption and data sharing scheme in cloud storage[J]. China Communications, 2018, 15(2): 138-152.

Survey of multi-authority identity-based and attribute-based encryption scheme

YANG Yan1,2, CHEN Xingyuan1,2,3, DU Xuehui2

1. School of Computer and Information Technology, Beijing Jiaotong University, Beijing 100044 2. College of Cryptography Engineering, Information Engineering University, Zhengzhou, 450001 3. State Key Laboratory of Cryptology, Beijing, 100878

Multi-Authority Identity-Based Encryption (IBE) and Attribute-Based Encryption (ABE) have become a popular research direction of fine-grained access control for encrypting out-sourced data in distributed environments such as cloud computing. Firstly, systematic analysis on the construction and security of basic IBE and ABE was conducted. Then, from the two aspects of hierarchical and decentralizing architecture, the research problems relating to Multi-Authority IBE and ABE were researched and discussed in depth, including key management, architecture, encryption overhead, decryption overhead and security with a comprehensive comparison of their functionality and performance. Finally, the future research trends and open issues were summarized, and a solution to the new trend was given.

hierarchical IBE, hierarchical ABE, decentralizing ABE, multi-authority ABE

TP393.08

A

10.11959/j.issn.1000−436x.2018219

杨艳（1973−），女，河南息县人，博士，信息工程大学教授，主要研究方向为云计算安全、大数据安全、数据安全与防护。

陈性元（1963−），男，安徽无为人，博士，信息工程大学教授，主要研究方向为电子政务安全、网络空间安全、大数据安全。

杜学绘（1968−），女，河南辉县人，博士，信息工程大学教授，主要研究方向为网络空间安全、电子政务安全、数据安全交换。

2017−11−30；

2018−08−06

国家高技术研究发展计划（No.2015AA016006）；国家重点研发计划项目（No.2016YFB0501900）

The National High Technology Research and Development Program of China (No.2015AA016006), The National Key R&D Plan of China (No.2016YFB0501900)