可撤销和可追踪的密钥策略属性基加密方案

齐芳，李艳梅，汤哲



可撤销和可追踪的密钥策略属性基加密方案

齐芳，李艳梅，汤哲

（中南大学信息科学与工程学院，湖南 长沙 410083）

针对基于密钥策略属性基加密（KP-ABE, key-policy attribute-based encryption）方案不能兼顾属性撤销和用户身份追踪的问题，提出一种支持可撤销和可追踪的KP-ABE方案。首先，该方案能够在不更新系统公钥和用户私钥的情况下实现对用户属性的撤销，更新代价比较小，同时可以根据解密密钥追踪到用户身份，从而有效地防止匿名用户的密钥泄露问题。其次，该方案基于线性访问结构（LSSS, linear secret sharing scheme），与树形访问结构相比，执行效率更高。最后，该方案基于判定性-BDHE假设，给出了在标准模式下的安全性证明。通过与已有的KP-ABE方案进行对比分析得出，该方案的公钥长度更短、加解密的计算开销更低，且在实现属性可撤销的基础上实现了用户身份的可追踪功能，具有较为明显的优势。

基于密钥策略属性基加密；可撤销；可追踪；线性访问结构

1 引言

2007年，Bethencourt等[1]第一次提出了属性基加密（ABE, attribute-based encryption）机制的概念，该机制将用户私钥、密文分别和一组属性相关联，用户私钥只有满足密文访问策略时才可对密文进行解密，因此，可以实现细粒度的访问控制。现有的ABE机制根据解密策略的关联方式可以大致分为两种，一种是基于密钥的属性基加密机制[2-4]（KP-ABE, key-policy attribute-based encryption），该机制中用户私钥与访问策略相关；另一种是基于密文的属性基加密机制[5-6]（CP-ABE, ciphertext- policy attribute-based encryption），该机制将密文与访问策略绑定。上述两种方案都实现了基于属性的细粒度访问策略。Waters等[7]和Goyal等[8]的属性加密方案都是基于树形访问结构的，由文献[8]可知，树形访问结构下的密文长度会随访问树节点的增加呈指数级增长，执行效率比较低。而线性访问结构中密文和加密时间的长度是随着访问结构的增大呈线性增长的，且文献[9]中证明树型访问结构与线性访问结构是可以相互转换的，因此，本文的访问结构是基于LSSS的。

目前，针对各种形式的ABE方案关于属性撤销方面的研究比较少，已有的撤销方案根据撤销执行方，可以分为直接撤销和间接撤销两类，Imai等[10]指出间接撤销是指只有未被撤销的用户，即非撤销用户才可以对密钥进行更新。Pirretti等[11]提出将有效期与一个属性相关联的撤销方案，但该方案存在诸多问题，如密钥存储和更新的工作量较大、授权中心可扩展性较差及无法实现属性到期前的撤销。Bethencourt等[12]提出的方案是在用户属性和密文中都添加时间信息，但是授权中心的工作量会随着用户数量的增多急剧增大，且不能实现用户属性的动态及时撤销。Boldyreva等[13]提出了利用二叉树进行撤销的方案，但该方案仍不支持及时撤销。直接撤销是信息发送方将用户的属性撤销列表直接嵌入密文中，从而完成属性密钥的撤销，该思路是由OSW07[13]首次提出的，被撤销的用户失去了所有的解密属性，但在该方案中仅支持用户身份的撤销，无法实现用户部分属性撤销的问题。文献[10]中定义了两种撤销模型：一种是间接撤销模型，在这种模型下，用户的属性或身份，通过更新用户私钥来实现撤销，加密消息时，发送者不关心撤销列表；另一种是直接撤销模型，该模型中，用户的属性或者身份在撤销的时候会加入撤销列表中，将撤销列表加入密文中，而不影响用户私钥的生成。文献[14]提出了一个支持身份吊销的KP-ABE方案，但是该方案要求用户加密的属性集的大小必须是属性集大小的一半。文献[15]提出了一种直接撤销模式下具有细粒度属性撤销机制的加密方案，该方案中撤销的是单个属性下的某些用户，而不影响该用户下的其他属性，用户的部分属性被撤销后如果余下的属性集仍可以满足访问结构，则该用户还可以解密信息。文献[16]在现有的研究基础上，指出在不影响其他用户私钥的前提下，实现用户属性撤销是未来的研究方向。目前，基于直接撤销模式下的属性基加密机制因其撤销代价较小等优势，成为属性基加密机制的研究热点[17-19]，文献[17]提出一种可直接撤销的CP-ABE方案，针对KP-ABE,文献[20]提出一种支持用户撤销的KP-ABE方案，但是该方案中仅支持用户撤销，还不能实现细粒度的撤销模式，因而Wang等[21]提出支持细粒度撤销机制的KP-ABE方案。文献[22]提出一种基于代理的KP-ABE撤销方案，该方案不需要更新用户密钥和已经加密的旧密文，但是需要第三方代理机构随时在线且完全可信。

密钥滥用问题一直是属性基加密机制的研究热点，因为用户是通过属性集来进行身份标识，所以可能会使不同用户有相同的属性集，无法唯一确定用户身份，因此，如果合法用户将自己的私钥给其他恶意用户分发出去，就会打乱事先定义的访问策略，而且还不能对该用户追责，因而引发密钥滥用的问题。文献[23-24]中引入了用户身份信息，可以实现对恶意用户身份追踪，但文献[23]中的撤销机制仅针对恶意用户。

上述研究内容均不能同时有效解决用户属性细粒度撤销和追踪用户身份的问题，因此，本文在现有的研究基础上，通过在密文中嵌入用户属性撤销列表，同时将用户身份标识和密钥相结合，从而可以实现用户部分属性撤销的细粒度访问控制，而且可以通过密钥追踪到用户身份，有效地防止了用户密钥泄露的问题，具有一定的实际应用价值。

2 基础知识

2.1 合数阶群上的双线性映射

2.2 访问结构

2.3 线性秘密共享方案

2.4 判定性q-BDHE假设

3 模型定义

3.1 系统结构

支持可撤销和可追踪的KP-ABE方案由以下5个多项式时间算法组成。

trace追踪算法：如果非法用户拥有有效的解密密钥，则可以通过本算法验证密钥泄露者的身份，从而追踪到用户身份。

3.2 安全模型

4 具体方案

生成系统主密钥为

再计算

最终计算得到

trace追踪算法：因为密钥中嵌入了用户的身份标识，每个用户都满足

5 安全性证明

定理1 基于上述3.2节所定义的安全模型下，若-BDHE假设成立，则第4节给出的方案是IND-CPA安全的。

当询问满足访问结构时

当询问不满足访问结构时

第二阶段：重复第一阶段的操作。

综上，模拟算法在q-BDHE游戏中获胜的概率为

6 性能分析

表1通过对如上几种方案从公钥长度、系统主密钥长度、密文长度以及用户解密密钥长度以及方案是否具有可撤销性和可追踪性等方面进行比较，得出本文所提方案中的公钥长度与用户密钥是最短的，文献[24]的系统主密钥最短，密文中加入了撤销列表，因此，实现了属性的可撤销，用户解密密钥中嵌入用户的身份信息，因此，实现了用户身份的精准追踪。表2是对相关文献在计算开销方面的对比，由表2可知，文献[20]的加解密开销比文献[22]低，文献[23]中由于涉及两个循环群的运算，所以加解密开销文献[22]要高，本文所提方案的加解密开销低于文献[24]，同时加密开销为所有方案最低，解密开销仅略高于文献[20]。

综上表述，本文所提方案的公钥和用户密钥长度最短，且加密开销最低，同时可以实现细粒度的属性撤销和用户追踪。从密钥长度计算开销以及实现功能方面来看，都有较明显的优势。

表1 密文与密钥长度及功能性对比

表2 计算开销比较

7 结束语

本文提出了一种基于LSSS访问策略的可撤销、可追踪的KP-ABE加密方案，可以实现用户部分属性撤销而不影响其他用户的解密密钥，同时可以通过用户密钥追踪到用户身份，可以有效解决用户密钥泄露的问题，且在标准模型下证明本文所提方案可以解决-BDHE假设，从而证明本文所提方案是IND-CPA安全的。未来相关的研究方案有：在现有的研究基础上实现用户身份的撤销；针对单授权中心安全性隐患和性能瓶颈的问题，实现多授权中心的KP-ABE加密方案。

[1] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryp-tion[C]//IEEE Symposium on Security and Privacy. 2007: 321-334.

[2] GOVALl V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//ACM Conference on Computer and Communications Security. 2006: 89-98.

[3] ATTRAPADUNG N, LIBERT B, PANAFIEU E. Expressive key-policy attribute-based encryption with constant-size cipher-texts[C]//International Conference on Practice and Theory in Public Key Cryptography. 2011:90-108.

[4] ATTRAPADUNG N, IMAI H. Conjunctive broadcast and attribute-based encryp-tion[C]//Pairing-Based Cryptography-Pairing 2009. 2009: 248-265.

[5] ROY S, CHUAH M. Secure data retrieval based on ciphertext policy attribute-based encryption CP-ABE system for the DTNs[R]. Lehigh CSETech. 2009.

[6] ATTRAPADUNG N, HERRANZ J, LIBERT B, et al. Attribute-based encryption schemes with constant size ciphertexts[J]. Theoretical Computer Science, 2012, 422(3): 15-38.

[7] SAHAI A, WATERS B. Fuzzy identity-based encryption[M]. Advances in Cryptology EURO-CRYPT. 2005: 457-473.

[8] GOYAL V, JAIN A, PANDEY O, et al. Bounded ciphertext policy attribute based encryption[M]. Automata, Languages and Programming. 2008: 579-591.

[9] BEIMEL A. Secure schemes for secret sharing and key distribution[J]. International Journal of Pure & Applied Mathematics, 1996.

[10] ATTRAPADUNG N, IMAI H. Attribute-based encryption supporting direct/indirect revoca-tion modes[C]//Ima International Conference on Cryptography and Coding. 2009: 278-300.

[11] PIRRETTI M, TRAYNOR P, MCDANIEL P, et al. Secure attribute-based systems[C]//ACM Conference on Computer and Communications Security. 2006: 799-837.

[12] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryption [C]//IEEE Symposium on Security and Privacy. 2007: 321-334.

[13] BOLDYREVA A, GOYAL V, KUNMAR V. Identity-based encryption with efficient re-vocation modes[C]//The ACM Conference on Computer and Communications Security. 2008: 417-426.

[14] OSTROVSKY R, SAHAI A, WATERS B. Attribute-based encryption with non-monotonic access structures[C]//CCS 07 ACM Conference on Computer & Commu-nications Security. 2007: 195-203.

[15] STADDON J, GOLLE P, RASMUSSEN P. A content-driven access control sys-tem[C]//Symposium on Identity and Trust on the Internet. 2008: 26-35.

[16] WANG P, FENG D, ZHANG L. Towards attribute revocation in key-policy attribute based encryption[C]//International Conference on Cryptology and Network Security. 2011: 272-291.

[17] 苏金树, 曹丹, 王小峰, 等. 属性基加密机制[J]. 软件学报, 2011, 22(6): 1299-1315.

SU J S, CAO D, WANG X F, et al. Attribute-based encryption schemes[J]. Journal of Software, 2011,22(6): 1299-1315

[18] 闫玺玺, 孟慧. 支持直接撤销的密文策略属性基加密方案[J]. 通信学报, 2016, 37(5): 44-50.

YAN X X, MENG H. Ciphertext policy attribute-based encryption scheme supporting direct revocation[J]. Journal on Communications, 2016, 37(5): 44-50.

[19] 胡海英, 商威. 一种可撤销的KP-ABE方案[J]. 计算机系统应用, 2013, 22(9): 123-128.

HU H Y, SHANG W. A revocable KP-ABE scheme[J]. Computer Systems and Application, 2013, 22(9): 123-128.

[20] SHI Y, ZHENG Q, LIU J, et al. Directly revocable key-policy attribute-based encryption with verifiable ciphertext delegation[J]. Information Sciences, 2015, 295: 221-231.

[21] 王鹏翩, 冯登国, 张立武. 一个基于访问树的支持用户撤销的KP-ABE方案[C]//中国计算机网络与信息安全学术会议. 2011. WANG P P, FENG D G, ZHANG L W. A KP-ABE scheme supporting user revocation based on access tree[C]//China Computer Networks and Information Security Conference. 2011.

[22] 林娟, 薛庆水, 曹珍富. 基于代理的即时属性撤销KP-ABE方案[J]. 计算机工程, 2014, 40(10): 20-24.

LING J, XUE Q X, CAO Z F. Proxy-based immediate attribute revocation KP-ABE Scheme[J]. Computer Engineering, 2014, 40(10): 20-24.

[23] 马海英, 曾国荪. 可追踪并撤销叛徒的属性基加密方案[J]. 计算机学报, 2012, 35(9): 1845-1855.

MA H Y, ZENG G S. An attribute-based en-cryption scheme for traitor tracing and revo-cation together[J].Chinese Journal of Computers, 2012, 35(9): 1845-1855.

[24] 马海英, 曾国荪, 陈建平, 等. 适应性安全的可追踪叛徒的基于属性加密方案[J]. 通信学报, 2016, 37(1): 76-87.

MA H Y, ZENG G S, CHEN J P, et al. Adaptively secure attribute-based encryption for traitor tracing[J]. Journal on Communications, 2016, 37(1): 76-87.

Revocable and traceable key-policy attribute-based encryption scheme

QI Fang, LI Yanmei, TANG Zhe

School of Information Science and Engineering, Central South University, Changsha 410083, China

The existing key-policy attribute-based encryption (KP-ABE) scheme can not balance the problem of attribute revocation and user identity tracking. Hence, a KP-ABE scheme which supported revocable and traceable was proposed. The scheme could revoke the user attributes without updating the system public key and user private key with a less update cost. Meanwhile, it could trace the user identity based on decryption key which could effectively prevent anonymous user key leakage problem. The proposed scheme was based on linear secret sharing scheme (LSSS), which was more efficient than tree-based access structure. Based on the deterministic-BDHE hypothesis, the proposed scheme gave security proof until standard mode. Finally, compared with the existing KP-ABE scheme, the scheme has a shorter public key length, lower computational overhead and realizes the traceability function of user identity based on the revocable attribute, which has obvious advantages.

KP-ABE, revocable, traceable, linear secret sharing scheme

TN918.1

A

10.11959/j.issn.1000−436x.2018231

齐芳（1978–），女，湖南长沙人，博士，中南大学副教授、博士生导师，主要研究方向为网络信息安全、通信协议。

李艳梅（1990–），女，山西吕梁人，中南大学硕士生，主要研究方向为信息安全、现代密码学。

汤哲（1977–），男，湖南长沙人，博士，中南大学副教授、硕士生导师，主要研究方向为智能技术、机器人、工业控制、电池管理与应用。

2018–01–11；

2018–05–19

李艳梅，liyanmei_@csu.edu.cn

国家自然科学基金重点项目（No.61632009）；长沙市科技计划基金资助项目（No.kq1701089）；国家重点研发计划基金资助项目（No.2018YFD0700500）

The National Natural Science Foundation of China (No.61632009), The Science and Technology Project of Changsha (No.kq1701089), The National Key Research and Development Program of China (No.2018YFD0700500)