云外包中支持时效访问的匿名属性加密方案
2018-03-27徐明,方明
徐 明,方 明
(上海海事大学 信息工程学院,上海 201306)
1 引 言
云计算是一种应用前景广阔的计算模式,拥有虚拟化、并行和分布式处理,网格计算以及面向服务(Service-Oriented Architecture,SOA)的体系结构.以其低计算代价,基础设施要求低,高运行效率,强灵活性和可扩展性等优势吸引越来越多的用户和机构使用第三方来存储数据,但是敏感数据和使用者身份的隐私泄露问题随之引起了广泛的关注,成为阻碍云计算普及的主要原因.
属性基加密(Attribute-based encryption,ABE)的概念于2005年由Sahai和Waters[1]提出.用于保护加密的敏感数据,同时也解决了公钥密码体制的缺陷.Goyal等人[2]于2006年提出了密钥策略属性加密方案(Key-Policy Attribute Encryption,KP-ABE),将密文与属性相关,用户私钥和访问策略相关,只有密文相关的属性满足密钥相关的访问策略才能解密.Bethencourt等人[3]提出了密文策略属性加密方案(ciphertext-policy attribute-based encryption ,CP-ABE),与KP-ABE相反,将密文与访问策略相关,用户私钥与用户属性集合相关,当且仅当用户属性集合满足密文中策略时,用户才能解密.由于CP-ABE可以实现细粒度的访问控制,且密钥只与用户属性决定而与用户身份无关,因此被广泛应用到云计算环境中做属性加密设计,所以研究更广泛[4-6].本文提出的TA3ES方案就是一种CP-ABE方案.Wan等人[7]和Wang等人[8]提出了两个在云计算中基于密文策略的属性基加密方案,均同时实现了数据机密性和细粒度的访问控制策略,但是没有采取隐藏访问结构,云服务端面临着泄露用户信息的风险.隐藏访问结构的属性加密方案也被称为匿名的属性加密方案,意思是将访问结构不明显的部署在密文或者密钥中.在隐藏访问结构的策略研究上,目前的成果还是比较少的.Kapadia等人[9]提出能够实现隐藏访问结构的CP-ABE方案,需要引入一个在线的半可信服务器用来给每位用户进行重加密密文,然而此方案的安全性不足,安全和性能的瓶颈就在于该服务器.Nishide等人[10]提出两种实现隐藏策略的CP-ABE的构造方案,当中访问控制策略利用多值属性间“与”逻辑来表示,但是算法都运用了较多的指数运算和双线性对,相对拉低了算法的效率.Lai等人[11]在Waters等人[12]的双系统加密技术的基础上,提出了隐藏访问结构的CP-ABE方案,在安全性上得到了提升,但是增加了系统的通信代价,降低了系统效率.所以,设计出一种高效性和安全性相统一的匿名属性加密方案成了研究的热点.
本文提出一种高效的ABE云计算外包方案,即支持时效访问的隐藏访问结构的密文策略属性加密方案TA3ES(Time-limited access of anonymous attribute encryption scheme),实现细粒度访问控制,并且隐藏了访问结构,只有加密者和合格的解密者才能成功解密,降低了云服务器泄露隐私信息的风险.TA3ES在ABE云外包方案基础上新增DT算法,使用匹配密钥HK,将密文解密为短密文发给用户,大幅度减少用户解密密文工作量,提高系统运行效率的同时降低了用户的计算代价.另外,TA3ES在数据加密阶段和密钥生成阶段新置时间期限T,使密文和解密的密钥包含时间期限,实现云端的超期数据自我销毁,且由数据拥有者灵活控制时间期限.本文对方案的正确性和安全性给出了分析证明,通过与现有优秀方案对比,可以论证TA3ES方案能够满足安全性和高效性的统一.
2 TA3ES方案构造
2.1 TA3ES方案框架设计和形式化描述
如图1所示,本文提出的TA3ES方案包含了四个实体:可信的授权中心TA、数据拥有者DO、云存储服务提供商CSP和数据用户DU.可信的授权中心TA负责分配与解密者的属性相对应的私钥,数据拥有者DO设置访问结构控制可获得解密密文的解密者的条件.这里认为云服务器提供商CSP是不完全可信的,存在隐私泄露的危险.
图1 方案框架Fig.1 Scheme framework
TA3ES方案形式化描述如下:
1)开始阶段,授权中心TA输入属性集合U和安全参数1λ,算法返回公钥PK和一个主密钥MSK.把公钥PK向所有用户公开,主密钥MSK只由授权中心TA保管.
2)加密阶段,这个过程由数据持有者DO完成,其指定访问结构W,同消息M、时间期限Ti和公钥PK输入进行加密,返回密文CT.将密文CT和时间期限Ti直接上传至云端存放.
3)密钥生成阶段,由授权机构TA执行,将用户的属性列表L,主密钥MSK,时间期限Ti和公钥PK作为输入,算法返回用户的私钥SK.把私钥SK发送给用户.
4)云平台解密阶段,云服务器把符合访问结构W的数据用户DU挑选出来,即若L=W,输出该用户属性,否则输出⊥.对数据拥有者DO存储的数据进行部分解密,然后把部分解密的密文PCT发送给数据用户DU.
5)解密阶段,数据用户DU执行剩下的一部分运算,即可得到信息明文m.
2.2 安全模型
基于文献[13,14],给出一个敌手和挑战者的攻击游戏来定义本方案的adaptively-CCA安全模型.
Setup:挑战者运行系统建立算法,输入安全参数1λ和系统属性U,将算法输出的公共参数PP和公钥PK发送给敌手,自己保存主密钥MSK.
Phase 1:敌手可以对多个属性{S1,S2,S3,…,Sn}进行私钥的询问,整理出属性集合的私钥SK,并将私钥SK返回给敌手.
Guess:敌手依据以上结构给出k的一个猜测值k′.如果k=k′,则敌手获胜.
定义:如果不存在多项式时间有界的攻击者获得成功的优势是不可忽略的,则这个隐藏访问策略的属性加密方案是adaptively-CCA安全的.
2.3 TA3ES方案具体化描述
2.3.1Setup(1λ,U)初始化算法
令U={att1,att2,att3,…,attn}代表一个系统属性空间,某个用户的属性列表为L={l1,l2,l3,…,ln},atti有li个值{atti,1,atti,2,atti,3,…,atti,li}.
输入:安全参数1λ
过程:可信任授权中心TA选择一个素数阶p的乘法循环群G.g是G的生成元,双线性对e:G×G→GT,再选择一个散列函数H0:{0,1}*→G.系统选择随机数值a1,a2,b,c∈Zp,授权中心随机生成元g0,v,v1,v2,u1,1,…,u1,li,…,un,1,…,un,ln∈G,计算π1=vv1a1,π2=vv2a2,Y=e(g,g)c·a1·b.
2.3.2Encrypt(W,PK,m,Ti)加密算法
输入:访问结构W={w1,w2,w3,…,wn}(这里访问结构属性具备多个值且支持与“与”操作)、公钥PK、时间期限Ti和信息m.
输出:密文CT,和时间期限Ti一起发送给云服务商.
2.3.3Kengen(L,MSK,PK,Ti)密钥生成算法
输入:用户J的属性列表L={l1,l2,l3,…,ln}、主私钥MSK,时间期限Ti和公钥PK.
输出:私钥SK,发送给用户.
2.3.4 Dec-Tra(SK,CT)算法
不同于一般的云外包方案,这里新增一个DT算法将密文先在云端进行大部分的解密,把少部分的解密工作留给用户,这样大幅度减少用户的计算量,也降低直接解密用户身份被泄露的风险.
输入:私钥SK=(x,HK)和密文CT
输出:部分解密之后的密文CT′,发送给用户.
2.3.5Decrypt(L,W)解密算法
这一阶段由需要访问数据的用户来执行.
输入:用户自身属性L={l1,l2,l3,…,ln},访问结构W={w1,w2,w3,…,wn}
输出:明文m
3 方案分析与证明
3.1 正确性分析
解密过程如下:
综上,本方案的正确性可以得到验证.
3.2 安全性证明
本文基于复杂性假设,证明本文隐藏访问策略的属性加密方案在标准模型中是adaptively-CCA安全的.
在上述安全模型中可以找到一个算法在对真实模型中的复杂性假设以不可忽略的优势ε进行解答.
Phase 1:私钥查询,挑战者有主密钥可以生成任意属性集合私钥.
Phase 2:步骤同第一阶段,敌手继续适应性地进行密钥查询,查询期间不能询问和访问结构W0′={w0,1,…,w0,n} 和W1′={w1,1,…,w1,n}属性集合相关的信息.
Guess:敌手根据上面的问询信息提出对于信息k的猜测k′,如果T=πc1+c2,则密文CT为正常密文,其中的s1=s1′-c2,s2=s2′+c1+c2,否则密文CT为半功能密文.因此,挑战者根据敌手的猜测输出不可忽视的优势ε来解决模型中的复杂性假设.
推论:如果复杂性假设成立,那么我们可以认为本文方案是adaptively-CCA安全的.
3.3 匿名性分析
另外,时间期限Ti也是由数据加密者选定,Encrypt算法和Kengen算法生成带有Ti的密文和密钥,控制过期数据的自动销毁.
4 方案比较
本节给出TA3ES方案与现有其他优秀的方案在计算开销和功能上的对比.选取的对比方案是现有云外包方案、匿名和不匿名方案中一些具有代表性的方案.
4.1 开销对比
本文提出的TA3ES方案与文献[1,16,17]所提的方案进行了开销对比.
表1 开销对比Table 1 Comparison of computation cost
如表1所示,将各方案的开销进行对比,表中的x表示矩阵M行数,n表示用户属性个数.三种运算中双线性对计算开销最大,然后是幂运算,线性乘法最小,主要考虑开销最大的运算,四种方案中文献[1]和文献[16]用到的双线性对运算比TA3ES方案多很多,我们的方案计算代价会小很多.TA3ES方案比文献[17]少一个双线性对运算,并且TA3ES方案带有隐藏访问结构和数据时间期限可控,安全性相对较强.
4.2 功能对比
本文提出的TA3ES方案与文献[1,18,19,20]进行功能对比,主要比较了方案的能否隐藏访问结构,访问结构的表达能力,是否支持外包等.
表2 功能对比Table 2 Comparison of function
如表2所示,文献[18],文献[19]和文献[1]不能支持保护用户隐私.文献[20]虽然提供外包操作,但是接入结构单一,没有隐藏访问结构,系统灵活性较弱.TA3ES方案不仅支持隐藏访问结构,并且能够支持外包大部分给云服务端,提高系统运行效率.
5 实验仿真
实验重点考察TA3ES方案在计算开销方面的表现.为验证TA3ES方案性能,评估方案的效率,选取文献[1]和文献[17]进行对比,考察指标为加密和解密时间.实验中硬件配置为Intel(R)Core(TM)i5-3230M CPU 2.6GHz,内存4GB,仿真平台:操作系统Ubuntu 10.04,使用开源代码库PBC.λ值设为150,属性值测试数目定为5.分别给出方案加密、解密的计算开销对比图.
图2表明三个方案在加密时间上都和系统属性个数呈线性关系,文献[17]的加密耗时增幅远高于另外两方案,TA3ES方案和文献[1]在加密过程中时间接近.原因是TA3ES方案和文献[1]都是采用素数阶群,比采用合数阶群的文献[17]明显省时高效.
图2 加密算法计算开销Fig.2 Computationcostofencryptionarithmetic图3 解密算法计算开销Fig.3 Computationcostofdecryptionarithmetic
从图3看出文献[1]的解密计算时间与系统属性个数呈线性关系,但是TA3ES方案和文献[17]的时间维持在常数范围,且TA3ES方案更低.原因是我们的方案将大部分解密运算外包给了云服务器,用户端只需要少量计算便可得到结果.以上仿真结果和理论分析相符合,证明TA3ES方案在加密和解密效率都优于其他方案.
6 结 语
本文针对云端数据和访问者属性的安全问题提供了一个高效安全的解决方案TA3ES,并做了正确性分析和安全性证明.该方案采用隐藏访问结构的策略,分两次解密得到明文,即使攻击者对方案进行攻击,也不会得到有用的信息.方案还能动态控制时间期限,实现已分享数据的超期自我毁灭.通过和其他优秀方案在计算开销和功能方面的对比,论证了此方案是高效,安全的.特别地,访问结构会随多变的应用环境越发复杂,加大解密难度的同时也会增加系统负担,所以寻求更简单易行的访问结构便成为后续研究工作.
[1] Sahai A,Waters B.Fuzzy identity-based encryption[C].Advances in Cryptology-EUROCRYPT 2005,Lecture Notes in Comput Sci,2005,3494:457-473.
[2] Goyal V,Pandet O,Sahai A,et al.Attribute based encryption for fine-grained access control of encrypted data[C].ACM Conference on Computer and Communications Security,Alexandria:ACM,2006:89-98.
[3] Bethencourt J,Sahai A,Waters B.Ciphertext-policy attribute-based encryption[C].IEEE Symposium on Security and Privacy(SP07),Berkeley:IEEE,2007:321-334.
[4] Yuan Q,Ma C,Lin J.Fine-grained access control for big data based on CP-ABE in cloud computing [M].Proceeding of Intelligent Computation in Big Data Era,2015:344-352.
[5] Ji Y,Tan J,Liu H,et al.A privacy protection method based on CP-ABE and KP-ABE for cloud computing[J].Journal of Softw are,2014,9(6):1367-1375.
[6] Yang K,Jia X.Expressive,efficient,and revocable data access con-trol for multi-authority cloud storage[J].IEEE Transactions on Par-allel and Distributed Systems,2014,25(7):1735-1744.
[7] Wan Z,Liu J,Deng R.A hierarchical atttribute-based solution for flexible and scalable access control in cloud computing[J].IEEE Transactions on Information Forensics and Security,2012,7(2):743-754.
[8] Wang G,Liu Q,Wu J.Hierarchical attribute-based encryption for fine-hrained access control in cloud storage services [C].Proceedings of the 17th ACM Conference on Computer and Communications Security,2010:735-737.
[9] Kapadia A,Tsang P P,Smith S W.Attribute-based publishing with hidden credential and hidden policies[C].Proceedings of the 14th Annual Network and Distributed System Security Symposim(NDSS 2007),2007:179-192.
[10] Nishide T,Yoneyama K,Ohta K.Attribute-based encryption with partially hidden encryptor-specified access structures[C].Applied Cryptography and Network Security,Springer Berlin Heidelberg,2008,5037:111-129.
[11] Lai Jun-zuo,Deng Hui-jie,Li Ying-jiu.Fully secure cipertext-policy hiding CP-ABE [G].LNCS 6672:Proc of Information Security Practice and Experience,Berlin:Springer,2011,6672(2):24-39.
[12] Waters B.Dual system encryption:realizing fully secure IBE and HIBE under simple assumptions[C].Advances in Cryptology-CRYPTO,2009,5677:619-636.
[13] Feng Deng-guo,Chen Cheng.Research on attribute-based cryptography[J].Journal of Cryptologic Research,2014,1(1):1-12.
[14] Liu Xi-meng,Ma Jian-feng,Xiong Jin-bo,et al.Ciphertext-policy weighted attribute based encryption scheme[J].Journal of Xi’an Jiaotong University:Natural Science,2013(8):44-48.
[15] Li X,Gu D,Ren Y,et al.Effieient ciphertext-policy attribute based encryption with hidden policy [C].Proceeding of Internet and Distribute Computing System,2012,7646:146-159.
[16] Wang Hai-bin,Chen Shao-zhen.Hide the access structure based on the attribute encryption scheme[J].Journal of Electronics & Information Technology,2012,34(2):457-461.
[17] Green M,Hohenberger S,Waters B.Outsourceing the decryption of ABE ciphertexts[J].Proceedings of the Usenix Security Symposium,2011:34-34;2012,32(2):457-461.
[18] Yu Shu-cheng,Wang Cong,Ren Kui,et al.Attribute based data sharing with attribute revocation[C].Proc of the 5th ACM Symposium on Information,Computer and Communications Security,2010:261-270.
[19] Balu A,Kuppusamy K.Privacy preserving ciphertext policy attribute based encryption[G].CCIS 89:Proc of the Recent Trends in Network Security and Applicatings,2010:402-409.
[20] Green M,Hohenberger S,Waters B.Outsourceing the decryption of ABE ciphertexts[C].Proc of the USENIX Security Symp,2011:3-23.
附中文参考文献:
[13] 冯登国,陈 成.属性密码学研究[J].密码学报,2014,1(1):1-12.
[16] 王海斌,陈少真.隐藏访问结构的基于属性加密方案[J].电子与信息学报,2012,34(2):457-461.
