支持策略更新的外包属性加密

林素青



支持策略更新的外包属性加密

林素青1,2

（1. 中国科学院信息工程研究所信息安全国家重点实验室，北京100093；2. 中国科学院大学，北京100049）

为满足云存储密态数据高效灵活的访问需求，提出支持策略更新的外包属性加密方案。以经典的属性加密方案为基础模块，采用类密钥盲化方法和外包解密技术，在确保明文数据和用户私钥不泄露的条件下，实现密文访问策略的代理更新，同时切实有效地降低终端用户的解密计算量。方案支持非单调的访问结构，在标准模型和假设下可证明具有选择IND-CPA安全性和私钥安全性，与文献同类方案相比，实现了安全性和终端访问效率的进一步优化。

属性加密；外包解密；策略更新；私钥安全性

1 引言

属性加密（ABE）[1]在保护数据隐私性的同时，能实现细粒度且非交互的访问控制，在云计算的数据安全存储和信息资源共享方面有良好的应用前景，经过属性加密的云存储密态数据利用加密过程中嵌入访问策略可以完成对密态数据访问权限的设置。若授权访问的用户采用“下载—解密—重加密—上传”的方式来更新密态数据的访问策略，则需付出较高的计算和通信代价。密文策略的属性基代理重加密（CP-AB-PRE）[2]结合密文策略的属性加密（CP-ABE）和外包解密技术，借助代理服务器，可实现密态数据访问策略的代理更新，能有效减轻用户的计算量和通信量。

目前，关于CP-AB-PRE的研究工作很多，但安全性和效率方面均有待提高。2009年，Liang等[2]以文献[3]的CP-ABE方案为基础，构造出首个CP-AB-PRE方案，并在选择策略模型下证明方案具有选择明文不可区分（IND-CPA）安全性。此后，Luo等[4]提出在DBDH假设下可证明安全，具有重加密可控制性质的CP-AB-PRE方案，并用类似于文献[5]的方法，将解密中双线性对运算的个数减少为常数，但解密过程中包含双线性对运算，对于资源有限的弱终端用户仍然是难以承受的负担。2011年，Green等[6]提出支持外包解密的属性加密方案，利用密钥盲化方法，将解密过程中绝大部分双线性对和模指数运算外包给代理服务器，在不泄露明文数据和用户私钥的前提下，将终端用户的解密计算量降到最低。利用文献[6]的方法可将大多数基于双线性对运算而构造的属性加密方案[7~9]拓展为外包属性加密方案（OABE）。Lai等[10]在文献[6]方案的基础上考虑外包解密的安全验证问题，提出支持可验证外包解密的ABE方案，并在标准模型下证明方案的安全性。随后，Lin等[11]系统地解决了外包解密的安全验证问题，构造的方案在实现效率方面比文献[10]方案提高近一半。此外，Li等[12]运用MapReduce方法实现ABE的加密外包，Li等[13,14]借助2个代理服务器，构造密钥分发和解密运算均可外包的ABE方案。Ma等[15]全面考虑属性加密和解密的外包可验证问题，借鉴在线—离线CP-ABE方案[16]的构造方法，以文献[17]方案为基础模块，提出支持可验证外包加解密的在线—离线OABE方案。2015年，Shao等[18]提出在线—离线的CP-AB-PRE方案，支持线性秘密共享方案（LSSS, linear secret sharing scheme）表达的访问结构，实现密文访问策略的代理更新，同时，Shao等指出，结合外包解密方法，可大幅度地减少终端用户的解密计算量，并证明方案具有选择IND-CPA安全性。但该方案仅支持单调的LSSS访问结构，且安全性所基于的假设仅证明在通用群模型下成立。

本文提出具有策略更新功能的密文策略外包属性基代理重加密（CP-OAB-PRE）方案，以经典的属性加密方案[3]为基础，借用文献[4]中CP-AB-PRE方案的构造方式，结合外包解密技术[6]，构造支持非单调访问结构的CP-OAB-PRE方案，并全面考虑方案关于明文数据和用户私钥的安全性，在标准模型和假设下证明方案具有选择IND-CPA安全性和私钥安全性。与文献同类方案相比，本文的方案能同时实现安全性和终端访问效率的进一步优化。

2 预备知识

2.1 符号说明

2.2 双线性映射与困难问题假设

下面描述计算Diffie-Hellman（CDH）假设和判定双线性Diffie-Hellman（DBDH）假设。

2.3 访问结构

访问结构表示一些非空的访问集合构成的全体，其所含的访问集合为授权集合，其余的访问集合为非授权集合。

定义5[19]设个参与者全体表示为，是由参与者全体的子集构成的集合。如果对于中任意的2个集合，均满足：若，，则，那么称集合是单调的。由参与者全体的非空子集构成的集合就称为一个访问结构，即。若是单调的，则称为单调的访问结构。中的元素均为授权集合，不在中的元素均为非授权集合。

此方案基于与门访问结构，与门访问结构是用逻辑与操作联结属性（可以为正属性或负属性）而得的非单调访问结构。设属性空间为，访问策略用与门访问结构表示为，其中，代表一个属性。称一个属性集合满足访问结构（或访问策略），对于任意的。

2.4 CP-OAB-PRE的算法描述

假设代理服务器是半可信任的，即代理服务器能诚实可靠地执行计算但有偷窥私密信息的好奇心，构造密文策略的外包属性基代理重加密（CP-OAB-PRE）方案，算法描述如下。

正确性：CP-OAB-PRE方案是正确的，当且仅当对于任意正确产生的公共参数和主私钥，任意的属性集合、访问结构以及消息，若满足，则有

2.5 CP-OAB-PRE的安全模型

本节分别定义CP-OAB-PRE方案关于密文和重加密密文的IND-CPA安全性，以及私钥安全性。为刻画方案关于密文的IND-CPA安全性，任意PPT敌手与挑战者之间的游戏描述如下。

定义6 CP-OAB-PRE方案关于原密文是IND- CPA安全的，如果任意的PPT敌手在上述游戏中的优势是可忽略的，即。

下面定义CP-OAB-PRE方案关于重加密密文的安全性。、、、4个阶段与上述定义相同，阶段描述如下。

定义7 CP-OAB-PRE方案关于重加密密文是IND-CPA安全的，如果任意的PPT敌手在上述游戏中的优势是可忽略的，即。

在代理重加密过程中，代理服务器将获取由用户私钥生成的重加密密钥，为确保重加密密钥不泄露用户私钥的信息，定义CP-OAB-PRE方案的私钥安全性。任意PPT敌手与挑战者之间的游戏描述如下。

5)与Gumbel(max)(极大值)函数相关系数的计算。生成3 180×1的Gumbel(max)(极大值)函数随机矩阵数据，然后以z=corrcoef(A,F)指令计算相关系数，zGumbel(max)=-0.007 7。

定义8 CP-OAB-PRE方案具有私钥安全性，如果任意的PPT敌手赢得上述游戏的概率是可忽略的。

3 本文方案

结合文献[6]的密钥盲化方法和外包解密技术，构造支持策略更新的外包属性加密方案，称之为密文策略的外包属性基代理重加密（CP-OAB-PRE）方案。为保证用户私钥的安全性，文献[20]采用与密钥盲化类似的方法，即类密钥盲化方法生成重加密密钥，使之即使在盲化因子遭遇泄露的情况下，敌手也不能获取真正的解密密钥。

3.1 方案的构造

3.2 安全性分析

定理1 若DBDH假设成立，则所构造的CP-OAB-PRE方案关于原密文具有选择IND-CPA安全性。

证明 假设存在PPT敌手能以不可忽略的优势攻破方案的选择IND-CPA安全性，则可以构造算法B，以不可忽略的优势解决DBDH问题。

定理2 若DBDH假设成立，则CP-OAB-PRE方案关于重加密密文具有选择IND-CPA安全性。

证明 考虑挑战者与敌手之间的两类游戏。

与定理1证明完全类似的分析，可得，在DBDH假设下，任意PPT敌手攻破的优势是可忽略的，而与是计算不可区分的，于是，任意PPT敌手攻破的优势是可忽略的，从而，CP-OAB-PRE方案关于重加密密文具有选择IND-CPA安全性。

定理3 若CDH假设成立，则CP-OAB-PRE方案具有选择私钥安全性。

证明 假设存在PPT敌手能以不可忽略的优势攻破选择私钥安全性，则可以设计算法以不可忽略的概率求解CDH问题。得到挑战问题组，其中，是素数阶群的生成元，，为计算，调用执行如下步骤。

所以，若敌手能以不可忽略的概率输出合法密钥，则能以不可忽略的概率求解CDH问题，这与CDH假设矛盾。

4 方案的对比分析

将构造的CP-OAB-PRE方案与文献同类方案进行比较，分别从安全性、功能和效率等方面分析，主要关注数据安全性，密钥安全性，访问策略的表达能力，以及终端用户的解密计算量等。

如表1所示，本文方案与文献[2, 4]方案均全面考虑了可能存在的安全隐患。由于代理服务器在得到重加密密钥时，会获取关于密钥盲化因子的密文，而密钥盲化因子的信息泄露将直接威胁到用户私钥和明文数据的安全性，因此，不仅需要讨论明文数据的安全性，更需要论证用户私钥的安全性。文献[18]仅提供方案的数据安全性的相关论证，密钥安全性也可类似得证，但其安全性所基于的假设仅在通用群模型下证明成立。文献[2]方案的安全性所基于的ADBDH假设[2]和CTDH假设[2]分别比标准的DBDH和CDH假设较强，而本文方案的安全性均基于标准的假设。

表1 安全性对比

如表2所示，本文方案与文献[2, 4]的方案均适用于非单调的与门访问结构，能表达正负属性均存在的情形，而文献[18]的方案适用于单调的访问结构，表达仅存在正属性的情形。本文方案支持外包解密运算，终端用户的解密计算量仅需要一个模指数运算，这与文献[18]的方案最少的终端解密计算量相同，而文献[2, 4]方案的终端解密计算量均需要较多的双线性对运算。

表2 功能效率对比

5 结束语

本文提出密文策略的外包属性基代理重加密（CP-OAB-PRE）方案，既支持密态数据访问策略的代理更新，又支持外包解密运算，满足弱终端用户的访问需求。终端授权访问用户可将解密的大部分计算量外包给代理服务器处理，然后只需完成剩余极小的计算量，便可得到明文数据。本文方案考虑代理服务器为半可信任的情形，即需要确保代理服务器诚实可靠地执行代理重加密和外包解密运算。针对代理服务器不可信任的情形，利用文献[11, 21]的方法可分别对外包解密和代理重加密增加验证机制，得到可验证的CP-OAB-PRE方案。

[1] SAHAI A, WATERS B. Fuzzy identity-based encryption[C]//International Conference on Theory and Applications of Cryptographic Techniques. c2005:457-473.

[3] CHEUNG L, NEWPORT C. Provably secure ciphertext policy ABE[C]//The 14th ACM conference on Computer and Communications Security. c2007: 456-465.

[5] HOHENBERGER S, WATERS B. Attribute-based encryption with fast decryption[M]//Public-Key Cryptography-PKC 2013. Berlin: Springer. 2013: 162-179.

[6] GREEN M, HOHENBERGER S, WATERS B. Outsourcing the Decryption of ABE Ciphertexts[C]//USENIX Security Symposium. c2011.

[7] GOYAL V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//The 13th ACM Conference on Computer and Communications Security. c2006: 89-98.

[8] LEWKO A, OKAMOTO T, SAHAI A, et al. Fully secure functional encryption: attribute-based encryption and (hierarchical) inner product encryption[C]//Advances in Cryptology-EUROCRYPT. c2010: 62-91.

[9] WATERS B. Ciphertext-policy attribute-based encryption: An expressive, efficient, and provably secure realization[C]//Public Key Cryptography-PKC. c2011: 53-70.

[10] LAI J, DENG R H, GUAN C, et al. Attribute-based encryption with verifiable outsourced decryption[J]. Information Forensics and Security, 2013, 8(8): 1343-1354.

[11] LIN S, ZHANG R, MA H, et al. Revisiting attribute-based encryption with verifiable outsourced decryption[J]. Information Forensics and Security, 2015, 10(10): 2119-2130.

[12] LI J, JIA C, LI J, et al. Outsourcing encryption of attribute-based encryption with mapreduce[C]//The 14th Information and Communications Security. c2012: 191-201.

[13] LI J, CHEN X, LI J, et al. Fine-grained access control system based on outsourced attribute-based encryption[C]//Computer Security-ESORICS. c2013: 592-609.

[14] LI J, HUANG X, LI J, et al. Securely outsourcing attribute-based encryption with checkability[J]. Parallel and Distributed Systems, 2014, 25(8): 2201-2210.

[15] MA H, ZHANG R, WAN Z, et al. Verifiable and exculpable outsourced attribute-based encryption for access control in cloud computing[J]. IEEE Transactions on Parallel and Distributed Systems, 2015:1.

[16] HOHENBERGER S, WATERS B. Online/offline attribute-based encryption[M]//Public-Key Cryptography–PKC 2014. Berlin: Springer, 2014: 293-310.

[17] ROUSELAKIS Y, WATERS B. Practical constructions and new proof methods for large universe attribute-based encryption[C]//The 2013 ACM SIGSAC Conference on Computer & Communications Security. c2013: 463-474.

[18] SHAO J, LU R, LIN X. Fine-grained data sharing in cloud computing for mobile devices[C]//Computer Communications (INFOCOM). c2015: 2677-2685.

[19] BEIMEL A. Secure schemes for secret sharing and key distribution[M]//Israel Institute of Tec hnology. Haifa: Technion, 1996.

[20] LIANG K, SUSILO W. Searchable attribute-based mechanism with efficient data sharing for secure cloud storage[J]. IEEE Transactions on Information Forensics and Security, 2015, 10(9): 1981-1992.

[21] LIIN S, ZHANG R, WANG M. Verifiable attribute-based proxy re-encryption for secure public cloud data sharing[J]. Security and Communication Networks, 2016.

Outsourced attribute-based encryption with policy update

LIN Su-qing1,2

(1. The State Key Lab of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China; 2. University of Chinese Academy of Sciences, Beijing 100049, China)

In order to achieve the efficient and flexible access control for the encrypted data stored in the cloud, an outsourced attribute-based encryption scheme with policy update was proposed. Based on the standard attribute-based encryption scheme, the functionality of policy update from delegation for a ciphertext without revealing any confidential information of the plaintext and private keys by utilizing the techniques of key blinding and outsourcing decryption was accomplished. Simultaneously, the decryption overhead for a user to recover the plaintext was effectively reduced. The scheme supports non-monotonic access structure and can be proved to have selective IND-CPA security and private key security under standard assumptions, respectively, in the standard model. Compared with similar schemes from literatures, the scheme provides better security and efficiency.

The National Natural Science Foundation of China (No.61379142)

attribute-based encryption, outsourced decryption, policy update, private key security

TP309.7

A

10.11959/j.issn.2096-109x.2016.00055

2016-04-05；

2016-05-08。

林素青，suqinglin2016@126.com

国家自然科学基金资助项目（No.61379142）

林素青（1982-），女，浙江温州人，中国科学院信息工程研究所博士生，主要研究方向为信息安全、密码学。