鄒秀斌

（江漢大學(xué) 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，湖北 武漢 430056）

多認(rèn)證機(jī)構(gòu)的屬性加密方案

鄒秀斌

（江漢大學(xué) 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，湖北 武漢 430056）

通常情況下，用戶所具有的屬性集合由不同的認(rèn)證機(jī)構(gòu)負(fù)責(zé)分配和認(rèn)證。針對(duì)這種情況，提出了一種多認(rèn)證機(jī)構(gòu)的屬性加密方案。在該方案中，將屬性全集分成若干個(gè)屬性子集，而且各個(gè)屬性子集之間相交結(jié)果是空集。對(duì)于每一個(gè)屬性子集，由一認(rèn)證機(jī)構(gòu)負(fù)責(zé)監(jiān)控用戶的屬性值并分配對(duì)應(yīng)該屬性值的密鑰。任意發(fā)送者可用一屬性集合加密信息，而具有該屬性集合的用戶可以解密已加密了的信息。所提方案滿足IND-sSET-CPA安全。

屬性加密；多認(rèn)證機(jī)構(gòu)的屬性加密；雙線性映射

1 概述

Sahai和Waters［1］介紹了一種新的IBE，即基于模糊身份加密FIBE（Fully Identity-Based Encryption）。在FIBE方案中，Sahai和Waters還創(chuàng)造性地稱它為基于屬性加密ABE（Attribute-Based Encryption）。

在當(dāng)今信息社會(huì)，將敏感的用戶數(shù)據(jù)放到Internet網(wǎng)上的第三方，這是大趨勢(shì)。為了保護(hù)好用戶的數(shù)據(jù)，用戶一般都要將他們的數(shù)據(jù)加密成密文后才放到第三方?？墒沁@樣做會(huì)產(chǎn)生一個(gè)問題：即我們僅能夠粗度層次地共享這些加密的數(shù)據(jù)（即將我們的密鑰給需要知道這些數(shù)據(jù)的人）。若不將我們的密鑰共享出來，則經(jīng)過加密的數(shù)據(jù)又限制了我們以良好細(xì)度層次方式共享這些數(shù)據(jù)。為了解決這個(gè)問題，Goyal［2-3］設(shè)計(jì)了一種ABE方案（我們將其稱為G-ABE方案）。在G-ABE方案中，加密者根據(jù)屬性集合標(biāo)識(shí)密文。每個(gè)私鑰都和一存取結(jié)構(gòu)相關(guān)聯(lián)，該存取結(jié)構(gòu)規(guī)定了該密鑰能夠解密那種類型的密文。由于存取結(jié)構(gòu)在密鑰中已確定，而密文用一組屬性集合加以標(biāo)示，所以Goyal將G-ABE方案稱為密鑰策略的ABE（即KP-ABE：Key-Policy Attribute-Based Encryption）方案。在很多時(shí)候，我們將敏感數(shù)據(jù)加密，但同時(shí)還需要建立一種確定誰可以解密該敏感數(shù)據(jù)的存取策略。例如，對(duì)于一上市股份制公司，其公司內(nèi)部的商業(yè)機(jī)密等重要數(shù)據(jù)都已加密了。為了公司發(fā)展的需要，該公司領(lǐng)導(dǎo)制定了讀取這些重要數(shù)據(jù)的存取結(jié)構(gòu)：

（部門=“銷售部”or部門=“財(cái)務(wù)部”）and職務(wù)=“總經(jīng)理”or職務(wù)=“董事長”。

通過上面的設(shè)定，來自銷售部的總經(jīng)理或者來自財(cái)務(wù)部的總經(jīng)理以及該公司董事長亦可以解密這些重要數(shù)據(jù)，以便相應(yīng)地制定公司的發(fā)展戰(zhàn)略。上例說明，擁有重要機(jī)密數(shù)據(jù)的人可基于基礎(chǔ)數(shù)據(jù)中的特定知識(shí)制定可以存取這些數(shù)據(jù)的存取結(jié)構(gòu)。對(duì)于那些可以讀取這些重要機(jī)密數(shù)據(jù)的人，數(shù)據(jù)發(fā)送者可能還不知道讀取數(shù)據(jù)者的身份信息。但是，他可以知道他們是否具有的屬性以及其資質(zhì)。

Chase［4］提出了多認(rèn)證機(jī)構(gòu)的屬性加密方案（以下簡(jiǎn)稱為MA-ABE：Multi-Authority Attribute Based Encryption），在MA-ABE方案中，可以允許多項(xiàng)式數(shù)量（設(shè)該數(shù)量的值是n=f(λ)，其中λ是安全參數(shù)）的相互獨(dú)立的認(rèn)證結(jié)構(gòu)監(jiān)管、認(rèn)證用戶的屬性以及發(fā)布密鑰。對(duì)于k=1，2，…，n，密文發(fā)送者可以根據(jù)需要選擇合適的門限值tk，以及一屬性集合Rk（Rk中的屬性是由認(rèn)證機(jī)構(gòu)證實(shí)認(rèn)可的），然后加密任意消息mj（j為任意值）。那么，對(duì)于某用戶Useri，設(shè)認(rèn)證結(jié)構(gòu)確定用戶Useri的屬性集合為，如果|ˉk∩Rk|≥tk時(shí)，用戶Useri才能解密密文mj。然而，MA-ABE方案中的CA有權(quán)解密每個(gè)密文，而這與CA在許多潛在不可信認(rèn)證機(jī)構(gòu)之間分布控制的原始目標(biāo)相矛盾。而且，全局標(biāo)識(shí)符的運(yùn)用使得認(rèn)證機(jī)構(gòu)可以利用他們的信息得到用戶屬性全面的信息概況，這與用戶的私有性相矛盾。為了解決這兩個(gè)矛盾問題，2009年，Chase［5］又提出了一個(gè)改進(jìn)的多認(rèn)證機(jī)構(gòu)ABE方案（我們簡(jiǎn)稱IMA-ABE：Im?proved MA-ABE方案）。在IMA-ABE方案中，除去可信認(rèn)證機(jī)構(gòu)，通過防止認(rèn)證機(jī)構(gòu)共享出關(guān)于某個(gè)用戶的信息，從而使得ABE在實(shí)踐中更加可用。

本文提出了一種多認(rèn)證機(jī)構(gòu)的屬性加密方案。在該方案中，將屬性全集分成若干個(gè)屬性子集，而且各個(gè)屬性子集之間相交結(jié)果是空集。對(duì)于每一個(gè)屬性子集，由一認(rèn)證機(jī)構(gòu)負(fù)責(zé)監(jiān)控用戶的屬性值并分配對(duì)應(yīng)該屬性值的密鑰。任意發(fā)送者可用一屬性集合加密信息，而具有該屬性集合的用戶可以解密已加密了的信息。方案滿足IND-sSET-CPA安全。

2 預(yù)備知識(shí)

DBDHE（Decisional q-Bilinear Diffie-Hellman Exponent）問題定義如下：根據(jù)安全參數(shù)選擇一素?cái)?shù) p階群G1。隨機(jī)選擇a，s∈?p，選擇一生成員 g∈G1，令hi表示 gai。提供給敵手 y→=(g，h1，h2，…，hq，hq+2，…，h2q，gs)，敵手區(qū)分GT中的一元素與e(g，g)aq+1s∈GT。

定義1 在解決DBDHE問題時(shí)，如果非多項(xiàng)式時(shí)間敵手有不可忽略的優(yōu)勢(shì)，則說DBDHE假設(shè)成立。

定義2 令Φ=(SignKeyGen，Sign，SignVerify)是基于身份的簽名系統(tǒng)，其中SignKeyGen是簽名密鑰/驗(yàn)證密鑰產(chǎn)生算法，Sign是消息簽名算法，SignVerify是簽名驗(yàn)證算法。如果算法SignVerify驗(yàn)證簽名通過時(shí)，返回1，否則返回0。對(duì)于任意概率多項(xiàng)式時(shí)間敵手A而言，在以選擇消息攻擊簽名系統(tǒng)Φ時(shí)優(yōu)勢(shì)是可忽略的，則說簽名系統(tǒng)Φ是不可偽造簽名的。我們可以使用強(qiáng)RSA假設(shè)和2-SSDH（Strong Diffie-Hellman）假設(shè)構(gòu)造出這樣的簽名系統(tǒng)Φ。

3 多認(rèn)證機(jī)構(gòu)的屬性加密方案

在本節(jié)中，筆者提出了多認(rèn)證機(jī)構(gòu)的屬性加密方案，簡(jiǎn)寫成Z-MAABE方案。

3.1 構(gòu)造Z-MAABE方案

在本方案中，參與方包括中心認(rèn)證機(jī)構(gòu)CA（Central Authority）、K個(gè)屬性認(rèn)證機(jī)構(gòu) AAi（Attribute Authority）以及一般用戶，其中i=1，2，…，K。對(duì)于i=1，2，…，K，設(shè)屬性認(rèn)證機(jī)構(gòu) AAk的身份是IDk∈?p。

初始化。設(shè)方案中的屬性認(rèn)證機(jī)構(gòu)個(gè)數(shù)是 K。令 ?=?1+?2+…+?K，U1={a1，1，a1，2，…，a1，?1}，U2={a2，1，a2，2，…，a2，?2}，…，UK={aK，1，aK，2，…，aK，?K}，此處U1，U2，…，UK彼此不相交，并且 ?≤q。屬性全集是U=U1∪U2∪…UK={a1，1，…，a1，?1，a2，1，…，a2，?2，…，aK，1，…，aK，?K}。對(duì)于i=1，…，K ，屬性認(rèn)證機(jī)構(gòu) AAk負(fù)責(zé)認(rèn)證屬性ak，1，…，ak，?k。再令MaxNum?是?1，?2，…，?K中的最大值。設(shè)η(x):{1，2，…，?}→U是雙射函數(shù)，u(x):U→{1，2，…，?}是雙射函數(shù)，η(x)是 u(x)的逆函數(shù)。對(duì)于i=1，…，K，vi(x):Ui→{1，2，…，MaxNum?}，該函數(shù)的作用是返回屬性機(jī)構(gòu)給定該屬性的編號(hào)。定義函數(shù)f(x):U→{1，2，…，K}，其作用是：返回負(fù)責(zé)管理屬性x的屬性機(jī)構(gòu)的編號(hào)。例如：ai，j∈U，f(ai，j)=i，vi(ai，j)=j。而我們可以得到負(fù)責(zé)認(rèn)證屬性 x的屬性認(rèn)證機(jī)構(gòu)編號(hào)為u(x)。構(gòu)造矩陣 M ，可以得到存取結(jié)構(gòu)(M，η)。隨機(jī)選擇α，a，c，d∈?p，并隨機(jī)選擇生成員g∈G1，令g1=gc，g2=gd，A=e(g，g)α，系統(tǒng)主密鑰MSK=gα，公開系統(tǒng)參數(shù)：

1）中心認(rèn)證機(jī)構(gòu)CA 功能包括兩個(gè)方面：

①為用戶分配私鑰（用戶公鑰為其中關(guān)鍵字屬性值VKA（Value of Key Attribute），該關(guān)鍵字屬性值VKA可以區(qū)分不同的用戶。

②對(duì)于k=1，…，K，中心認(rèn)證機(jī)構(gòu)CA隨機(jī)選擇sk，并秘密將sk發(fā)送給屬性認(rèn)證機(jī)構(gòu)AAk，并對(duì)外公開PKk，其中PKk=。屬性認(rèn)證機(jī)構(gòu)AAk只需驗(yàn)證

是否成立，如果（1）式成立，則屬性認(rèn)證機(jī)構(gòu) AAk知道中心認(rèn)證機(jī)構(gòu)CA發(fā)送的密鑰sk是正確的；否則，屬性認(rèn)證機(jī)構(gòu)AAk要求中心認(rèn)證機(jī)構(gòu)CA重新發(fā)送密鑰。

2）屬性認(rèn)證機(jī)構(gòu)AAk設(shè)屬性認(rèn)證機(jī)構(gòu)AAk負(fù)責(zé)集合Uk中的?k個(gè)屬性認(rèn)證分配。設(shè)屬性認(rèn)證機(jī)構(gòu) AAk的私鑰是 sk。對(duì)于用戶UserVKAi來說，其關(guān)鍵字屬性值為VKAi。屬性認(rèn)證機(jī)構(gòu) AAk運(yùn)行SignKeyGen算法，產(chǎn)生簽名密鑰/驗(yàn)證密鑰對(duì)是(SignKeyk，VerifyKeyk)，對(duì)外公布驗(yàn)證密鑰VerifyKeyk。

對(duì)于 j=1，…，?k，屬性認(rèn)證機(jī)構(gòu) AAk隨機(jī)選擇rk，j∈?p，計(jì)算用戶UserVKAi對(duì)應(yīng)于屬性ak，j的私鑰，公開元組

并將私鑰 SKVKAi，ak，j秘密發(fā)送給用戶UserVKAi。用戶UserVKAi只需驗(yàn)證下面等式

是否成立。如果該等式成立，則用戶UserVKAi認(rèn)為屬性認(rèn)證機(jī)構(gòu) AAk發(fā)送給自己的密鑰SKVKAi，ak，j是正確的；否則他要求屬性認(rèn)證機(jī)構(gòu) AAk重新發(fā)送一個(gè)新的密鑰。而任何人可以知道元組Tk，VKAi，ak，j是屬性認(rèn)證機(jī)構(gòu)AAk發(fā)布的。令

任何人只需驗(yàn)證下面兩式

是否成立。如果（2）、（3）式成立，則他便知道Tk，VKAi，ak，j是屬性認(rèn)證機(jī)構(gòu)AAk發(fā)布的元組，而且該值是正確無誤的。

3）KeyGen(MSK，S) 輸入系統(tǒng)主密鑰和屬性集合S，產(chǎn)生對(duì)應(yīng)于屬性集合S的私鑰KS。隨機(jī)選擇，得到KS=(K0，K1=gαgat，K2=gt)。

3.2 Z-MAABE方案安全分析

定理1 假定DBDHE假設(shè)成立，則Z-MAABE方案滿足IND-sSET-CPA安全。

證明 假設(shè)存在多項(xiàng)式敵手在選擇性地攻擊Z-MAABE方案時(shí)有不可忽略優(yōu)勢(shì)ε。給定矩陣?和某用戶關(guān)鍵字屬性值VKA*，此處?≤q。

首先，挑戰(zhàn)者Challenger繼承如上面方案所定義的公共參數(shù) params=(G1，GT，K，U，g，A，g1，g2，η(x)，u(x)，f(x)，vi(x)|i=1，2，…，K)。令生成元 g∈G ，α∈，并設(shè) yi=g(αi)。定義 DL是元組 (g，gs，y1，y2，…，yq，yq+2，…，y2q，T)的分布（T=e(g，g)(aq+1)·s），而 DR是 (g，gs，y1，y2，…，yq，yq+2，…，y2q，T)元組的分布（T∈GT）。

將(g，gs，y1，y2，…，yq，yq+2，…，y2q，T)發(fā)送給挑戰(zhàn)者Challenger。當(dāng)(g，gs，y1，y2，…，yq，yq+2，…，y2q，T)來自分布 DL時(shí)，則挑戰(zhàn)者Challenger輸出1；而當(dāng)(g，gs，y1，y2，…，yq，yq+2，…，y2q，T)來自分布 DR時(shí)，則挑戰(zhàn)者輸出0。

初始化。敵手Adversary在游戲開始之前，敵手Adversary選擇一個(gè)屬性集合S*={b1，b2，…，bd}，對(duì)于i=1，2，…，d，bi∈U，而且敵手Adversary選擇一個(gè) M?*×?*和VKA*。

設(shè)置階段。挑戰(zhàn)者Challenger首先得到 g，gs，y1，y2，…，yq，yq+2，…，y2q，和 M?*×?*、VKA*。挑戰(zhàn)者隨機(jī)選擇 α′，并通過e(g，g)α=e(g，g)aq+1·e(g，g)α′含蓄地設(shè)α=α′+aq+1。將公共參數(shù) params=(G1，GT，K，U，g，A，g1，g2，η(x)，u(x)，f(x)，vi(x)|i=1，2，…，K)發(fā)送給敵手Adversary。

密鑰查詢階段1。敵手Adversary向挑戰(zhàn)者發(fā)起多次關(guān)于屬性集合的密鑰查詢。在此處，我們僅僅考慮一次密鑰查詢。即查詢對(duì)應(yīng)于屬性集合S的密鑰。這里，要求屬性集合S≠S*，而且S不滿足存取結(jié)構(gòu)*(M*，η)。挑戰(zhàn)者Challenger找到一列向量(u1，u2，…，u?)T∈，且滿足0。隨機(jī)選擇r∈?p，挑戰(zhàn)者Challenger令t=r+u1aq+…+u?aq-(?-1)，而且u1=-1。則

挑戰(zhàn)階段。一旦敵手Adversary認(rèn)為密鑰查詢階段1結(jié)束了，便輸入兩個(gè)等長的明文m0、m1，這兩個(gè)明文是他希望挑戰(zhàn)的，唯一的限制是以前未發(fā)起針對(duì)屬性集合S*的密鑰查詢。另外還輸入存取結(jié)構(gòu)M，η)。Challenger還可以得到公開信息 Tk，VKAx=(Ak，x，1，Ak，x，2，Ak，x，3，x，VKAi，Ak，VKAx)，其中x∈S。對(duì)于x∈S，隨機(jī) ρx∈?p。挑戰(zhàn)者Challenger拋幣方式得到d∈{0，1}，并得到

x∈S時(shí)，挑戰(zhàn)者將密文CT發(fā)送給敵手Adversary。

密鑰查詢階段2。類似于密鑰查詢階段1，唯一的要求是查詢密鑰對(duì)應(yīng)的屬性集合S和存取結(jié)構(gòu)′(M′，η)分別不同于密鑰查詢階段1中的屬性集合和存取結(jié)構(gòu)。

猜測(cè)階段。敵手輸出關(guān)于 d的猜測(cè) d′。如果 d=d′，則挑戰(zhàn)者Challenger輸出1，說明元組(g，gs，y1，y2，…，yq，yq+2，…，y2q，T)來自分布 DL，此處T=e(g，g)(aq+1)·s；否則輸出0，說明(g，gs，y1，y2，…，yq，yq+2，…，y2q，T)來自分布 DR，此處T∈GT。而當(dāng)元組(g，gs，y1，y2，…，yq，yq+2，…，y2q，T)來自分布DR，敵手Adversary認(rèn)為挑戰(zhàn)密文CT與d值無關(guān)。令=(y1，y2，…，yq，yq+2，…，y2q)，于是可以得到

［1］ Sahai A，Waters B.Fuzzy identity-based encryption［C］//Advances in cryptology EUROCRYPT 2005.Heidelberg：Spring?er，2005，3494：557.

［2］ Goyal V，Pandey O，Sahai A，et al.Attribute-based encryption for fine-grained access control of encrypted data［C］// CCS06 Proceedings of the 13th ACM Conference on Computer and Communications Security，New York：ACM，2006，537060：89-98.

［3］ Goyal V，Jain A，Pandey O，et al.Bounded ciphertext policy attribute based encryption［C］//Automata，Languages and Pro?gramming.Heidelberg：Springer，2008，5126：579-591.

［4］ Chase M.Multi-authority attribute based encryption［J］.Theory of Cryptography，2007，4392：515-534.

［5］ Chase M，Chow S S M.Improving privacy and security in multi-authority attribute-based encryption［C］//CCS’09 Proceed?ings of the 16th ACM Conference on Computer and Communications Security.New York：ACM，2009，537091：121-130.

Attribute Encryption Scheme of Multi-authority

ZOU Xiu-bin
（School of Mathematics and Computer Science，Jianghan University，Wuhan 430056，Hubei，China）

A user's attributs are usually distributed and authenticated by the different authori?ties.Proposes a multi-authority attribute-based encryption scheme for this case.The universal attri?bute set is divided into a number of attribute subsets，moreover，the attribute subsets intersect is null set.For every attribute subset，an authority takes charge of monitoring the attribute value and as?signs a key corresponding to the attribute value.Every senter can encrypt the information with a cer?tain attribute set，and the user obtaining the attribute set can decrypt the encrypted information.The proposed scheme meets the security of IND-sSET-CPA.

attribute-based encryption；multi-authority attribute-based encryption；bilinear Map

TP309.7

：A

：1673-0143（2013）01-0061-06

（責(zé)任編輯：強(qiáng)士端）

2012－12－02

國家自然科學(xué)基金資助項(xiàng)目（60903175）；湖北省自然科學(xué)基金資助項(xiàng)目（2009CBD307）

鄒秀斌（1974—），男，講師，博士，研究方向：公鑰密碼體制及其安全分析。