張 凱 馬建峰 張俊偉 應(yīng)作斌 張 濤 劉西蒙

1(西安電子科技大學(xué)通信工程學(xué)院 西安 710071)

2(西安電子科技大學(xué)計(jì)算機(jī)學(xué)院 西安 710071)

3(安徽大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 合肥 230601)

4(新加坡管理大學(xué)信息系統(tǒng)學(xué)院 新加坡 178902)

(629zhangkai@163.com)

隨著云計(jì)算技術(shù)的快速發(fā)展，人們?cè)絹碓蕉嗟貙?shù)據(jù)存儲(chǔ)在云服務(wù)器上以減少本地的存儲(chǔ)和管理開銷.然而，使用云存儲(chǔ)服務(wù)在給人們帶來了極大便捷的同時(shí)，也對(duì)數(shù)據(jù)的安全性造成了威脅.遠(yuǎn)端云服務(wù)器可能會(huì)查看甚至出售用戶的敏感數(shù)據(jù)以獲取商業(yè)利益.因此，利用加密技術(shù)來保護(hù)用戶的敏感數(shù)據(jù)是非常必要的.傳統(tǒng)的公鑰加密技術(shù)能夠保證用戶將自己的數(shù)據(jù)秘密分享給一個(gè)指定的用戶.然而，在許多情形下，用戶希望所有滿足指定訪問策略的用戶都能夠訪問數(shù)據(jù)，從而實(shí)現(xiàn)細(xì)粒度的訪問控制.例如，病人希望自己的醫(yī)療數(shù)據(jù)能被A醫(yī)院的所有內(nèi)科醫(yī)生訪問.

為了解決上述問題，Sahai和Waters[1]在2005年提出了屬性加密(attribute-based encryption, ABE)的概念.在ABE方案中，用戶的解密能力依賴于自身的屬性.因此，ABE在保護(hù)數(shù)據(jù)機(jī)密性的同時(shí)，可以實(shí)現(xiàn)數(shù)據(jù)的細(xì)粒度訪問控制.在密文策略屬性加密[2](ciphertext-policy ABE, CP-ABE)中，用戶的私鑰對(duì)應(yīng)于自身屬性，密文對(duì)應(yīng)于一個(gè)訪問策略，當(dāng)且僅當(dāng)用戶的屬性滿足訪問策略時(shí)，用戶才能夠成功解密.雖然現(xiàn)有的ABE方案[2-6]支持細(xì)粒度訪問控制，但效率過低和私鑰泄露仍是阻礙其實(shí)際應(yīng)用的2個(gè)關(guān)鍵問題.

近年來，ABE中的私鑰泄露問題[7-11]越來越受到研究者們的重視.在CP-ABE方案中，多個(gè)用戶可能擁有相同的屬性，從而有相同的解密能力.若一個(gè)惡意用戶出售自己的私鑰，則難以通過這個(gè)私鑰找出該用戶.例如一個(gè)病人想利用ABE來分享自己的醫(yī)療信息給A醫(yī)院的內(nèi)科醫(yī)生，而張三和李四都是A醫(yī)院的內(nèi)科醫(yī)生.如果張三和李四中某人泄露了私鑰，則難以判斷是誰(shuí)泄露的私鑰.另一方面，ABE雖然實(shí)現(xiàn)了細(xì)粒度訪問控制，但效率要比傳統(tǒng)加密低得多.例如在CP-ABE方案中，用戶的加密時(shí)間是和訪問策略的復(fù)雜性成線性關(guān)系的.因此，使用CP-ABE加密會(huì)給用戶造成巨大的時(shí)間開銷和能源開銷，尤其是會(huì)對(duì)使用移動(dòng)設(shè)備進(jìn)行操作的用戶造成巨大挑戰(zhàn).

針對(duì)上述問題，本文在素?cái)?shù)階群下構(gòu)造了一個(gè)在線/離線的可追責(zé)CP-ABE(online/offline traceable CP-ABE, OO-T-CP-ABE)方案.此外，我們?cè)跇?biāo)準(zhǔn)模型下證明了方案是選擇性安全(selectively secure)和可追責(zé)的.方案的特點(diǎn)總結(jié)為4點(diǎn)：

1) 可追責(zé).當(dāng)惡意用戶泄露或出售自己的私鑰時(shí)，能夠利用追責(zé)算法追蹤到該用戶的身份.

2) 在線/離線加密.加密的絕大部分運(yùn)算是在離線階段提前執(zhí)行的，在線加密數(shù)據(jù)所帶來的計(jì)算開銷較小，因此適合于資源受限的移動(dòng)設(shè)備使用.

3) 大屬性域(large universe).整個(gè)系統(tǒng)的屬性域并不需要在系統(tǒng)建立時(shí)固定，而且公鑰長(zhǎng)度并不隨屬性個(gè)數(shù)的增加而增加.這使得方案有較好的擴(kuò)展性.

4) 豐富的訪問策略.訪問策略可以表示為任意單調(diào)訪問結(jié)構(gòu)，從而能夠支持靈活的訪問控制.

1 相關(guān)工作

Sahai和Waters[1]在2005年首次提出了ABE的概念.隨后，Goyal等人[3]將ABE劃分為密鑰策略ABE (key-policy ABE, KP-ABE)和CP-ABE.此后，選擇性安全的CP-ABE方案[2,4]和自適應(yīng)安全(adaptively secure)的CP-ABE方案[5-6]也被陸續(xù)提出.2011年，Lewko和Waters[12]在合數(shù)階群下構(gòu)造了第1個(gè)支持大屬性域的CP-ABE方案.相比于文獻(xiàn)[1-6]，文獻(xiàn)[12]中的方案并不需要在系統(tǒng)建立時(shí)確定屬性域，而且公鑰的長(zhǎng)度與屬性個(gè)數(shù)無關(guān).之后，Rouselakis和Waters[13]在素?cái)?shù)階群下構(gòu)造了一個(gè)更加高效的支持大屬性域的CP-ABE方案.近年來，為了提高ABE方案的效率，可外包解密的ABE[14]、在線/離線ABE[15]和密文長(zhǎng)度固定的ABE[16]方案也被相繼提出.然而，上述方案[14-16]并不能夠?qū)阂庥脩暨M(jìn)行追責(zé)，因此存在用戶私鑰泄露的風(fēng)險(xiǎn).

文獻(xiàn)[7-8]首先研究了ABE的追責(zé)問題.但是文獻(xiàn)[7-8]中的訪問策略只能表示為“與門和通配符(AND gates with wildcard)”.針對(duì)此問題，Liu等人提出了支持任意單調(diào)訪問結(jié)構(gòu)的白盒追責(zé)ABE[9]和黑盒追責(zé)ABE[10]方案.隨后，Ning等人[11]提出了一個(gè)支持大屬性域的可追責(zé)CP-ABE方案.但已有的可追責(zé)CP-ABE方案[7-11]的在線加密開銷過大，從而會(huì)嚴(yán)重影響用戶在移動(dòng)設(shè)備上的使用體驗(yàn).與文獻(xiàn)[7-11]相比，本文提出的ABE方案不僅支持惡意用戶追責(zé)，而且支持在線/離線加密，從而大幅減少了用戶的在線加密開銷.

2 背景知識(shí)

2.1 訪問結(jié)構(gòu)

定義1. 訪問結(jié)構(gòu)[17].設(shè){P1,P2,…,Pn}為所有參與者組成的集合.一個(gè)集合A?2{P1,P2,…,Pn}是單調(diào)的，當(dāng)且僅當(dāng)對(duì)任意B,C，如果B∈A，且B?C，則C∈A.一個(gè)(單調(diào))訪問結(jié)構(gòu)(access structure)A是由{P1,P2,…,Pn}的非空子集組成的(單調(diào))集合，即A?2{P1,P2,…,Pn}{?}.包含在A中的集合稱為授權(quán)集合，不包含在A中的集合稱為非授權(quán)集合.

2.2 線性秘密共享

定義2. 線性秘密共享[17].定義在參與者集合P上的一個(gè)秘密共享方案Π稱為在p上是線性的，當(dāng)滿足2個(gè)條件：

1) 每個(gè)參與者關(guān)于s∈p的秘密分享值組成p上的一個(gè)向量.

2) 存在一個(gè)Π的分享生成矩陣M∈l×np和函數(shù)ρ:[l]→P.對(duì)于i∈[l]，函數(shù)ρ將其映射到參與者

ρ(i).隨機(jī)選擇y2,y3,…,yn∈p，令列向量y=(s,y2,y3,…,yn)T，則My是秘密s關(guān)于Π的l個(gè)分享份額.其中分享份額λi=(My)i屬于參與者ρ(i).

文獻(xiàn)[17]指出任何一個(gè)線性秘密共享方案(linear secret sharing scheme, LSSS)都具有如下線性重構(gòu)性質(zhì).如果Π是訪問結(jié)構(gòu)A的一個(gè)LSSS，S是A中的一個(gè)授權(quán)集合，I={i:ρ(i)∈S}?{1,2,…,l}，則存在常數(shù){ωi∈p}使得s.

2.3 雙線性群和困難問題假設(shè)

本文將在素?cái)?shù)階雙線性群(prime order bilinear groups)下構(gòu)造方案，并基于素?cái)?shù)階雙線性群中的2個(gè)困難問題假設(shè)來證明方案的安全性.

設(shè)G和GT都是階為素?cái)?shù)p的循環(huán)群，g是G的生成元.雙線性對(duì)e:G×G→GT是一個(gè)滿足2個(gè)條件的映射：

1) 雙線性.?u,v∈G,e(ua,vb)=e(u,v)ab.

2) 非退化性.e(g,g)≠1.

如果雙線性對(duì)e:G×G→GT和群中的運(yùn)算都是可以有效計(jì)算的，則稱G是一個(gè)素?cái)?shù)階雙線性群.

定義3.q-1假設(shè)[13].G是階為素?cái)?shù)p的雙線性群，g是G的生成元.群G中的q-1難題定義如下：隨機(jī)選取a,s,b1,b2,…,bq∈p，給定

{gai/bj}(i,j)∈[2q,q],i≠q+1,{gs aibj/bj′,

區(qū)分GT中的隨機(jī)元素R和e(g,g)s aq+1.

一個(gè)算法A解決群G中的q-1難題的優(yōu)勢(shì)為ε，當(dāng)：

|Pr[A(D,e(g,g)s aq+1)=0]-
Pr[A(D,R)=0]|≥ε.

若沒有一個(gè)多項(xiàng)式時(shí)間算法能夠以不可忽略的優(yōu)勢(shì)解決群中的q-1難題，則稱群中的q-1假設(shè)成立.

定義4.q′-SDH假設(shè)[18].G是階為素?cái)?shù)p的循環(huán)群，g是G的生成元.群G中的q′-SDH難題定義如下：隨機(jī)選取x∈*p，給定(g,gx,gx2,…,gxq′)，計(jì)算其中c∈*p.

一個(gè)算法A解決群G中的q′-SDH難題的優(yōu)勢(shì)為ε，當(dāng)：

若沒有一個(gè)多項(xiàng)式時(shí)間算法能夠以不可忽略的優(yōu)勢(shì)解決群中的q′-SDH難題，則稱群中的q′-SDH假設(shè)成立.

3 在線離線可追責(zé)ABE的定義和安全模型

本文方案是在密鑰封裝機(jī)制(key encapsulation mechanism， KEM)下定義的，即基于屬性的加密是用來加密會(huì)話密鑰的，而該會(huì)話密鑰能夠作為對(duì)稱加密的密鑰來加密任意長(zhǎng)度的消息.

3.1 定 義

一個(gè)在線/離線的可追責(zé)密文策略屬性密鑰封裝機(jī)制(online/offline traceable CP-AB-KEM， OO-T-CP-AB-KEM)包括6個(gè)算法：

1)Setup(λ,U).該算法輸入安全參數(shù)λ和屬性域U，輸出公鑰PK和主密鑰MSK.此外，該算法初始化一個(gè)追責(zé)列表T=?.

2)KeyGen(MSK,PK,id,S).該算法輸入主密鑰MSK、公鑰PK、用戶的身份id和一個(gè)屬性集合S?U，輸出一個(gè)對(duì)應(yīng)于(id,S)的用戶私鑰SKi d,S，并將id加入列表T中.

3)Offline.Encrypt(PK).該算法輸入公鑰PK，輸出一個(gè)間接密文IT.

4)Online.Encrypt(PK,IT,(M,ρ)).該算法輸入公鑰PK、間接密文IT和一個(gè)訪問策略(M,ρ)，輸出一個(gè)會(huì)話密鑰key和一個(gè)密文CT.

5)Decrypt(SKi d,S,PK,CT).該算法輸入公鑰PK、對(duì)應(yīng)于屬性集S的私鑰SKi d,S、對(duì)應(yīng)于訪問策略(M,ρ)的密文CT.如果屬性集S不滿足訪問策略(M,ρ)，直接輸出⊥表示解密失??；否則，輸出一個(gè)會(huì)話密鑰key.

6)Trace(PK,T,SK).該算法輸入公鑰PK、追責(zé)列表T、私鑰SK.該算法首先檢查SK是否為一個(gè)合理的私鑰以確定是否有必要進(jìn)行追責(zé).如果SK是一個(gè)合理的私鑰，則輸出SK對(duì)應(yīng)的身份id；否則，輸出符號(hào)Λ表示SK不是一個(gè)合理的私鑰.

3.2 選擇性安全模型

本節(jié)通過一個(gè)敵手和挑戰(zhàn)者之間的游戲給出OO-T-CP-AB-KEM的安全模型.具體游戲描述如下：

1) 初始化.敵手聲明并發(fā)送自己要攻擊的訪問策略(M*,ρ*)給挑戰(zhàn)者.

2) 系統(tǒng)建立.挑戰(zhàn)者運(yùn)行Setup(λ,U)→(PK,MSK)，并將公鑰PK發(fā)給敵手.

3) 詢問階段1.敵手向挑戰(zhàn)者詢問對(duì)應(yīng)于屬性集(id1,S1),(id2,S2),…,(idq1,Sq1)的私鑰.對(duì)于所有i∈[q1]，挑戰(zhàn)者運(yùn)行KeyGen(MSK,PK,idi,Si)→SKi di,Si，并將SKi di,Si發(fā)送給敵手.這里要求對(duì)任何i∈[q1]，Si都不滿足訪問策略(M*,ρ*).

4) 挑戰(zhàn).挑戰(zhàn)者運(yùn)行Online.Encrypt(PK,Offline.Encrypt(PK),(M*,ρ*))→(key*,CT*)算法，并隨機(jī)選擇b∈{0,1}.如果b=0，則將(key*,CT*)發(fā)送給敵手；如果b=1，則在會(huì)話密鑰空間中選擇一個(gè)隨機(jī)值R，并將(R,CT*)發(fā)送給敵手.

5) 詢問階段2.這一階段和詢問階段1相同.敵手繼續(xù)向挑戰(zhàn)者詢問對(duì)應(yīng)于屬性集(idq1+1,Sq1+1),(idq1+2,Sq1+2),…,(idqs,Sqs)的私鑰.同樣地,對(duì)于所有i∈[qs]，要求Si不能滿足訪問策略(M*,ρ*).

6) 猜測(cè).敵手輸出對(duì)于b的猜測(cè)結(jié)果b′∈{0,1}.

敵手在上述游戲中獲勝的優(yōu)勢(shì)被定義為|Pr[b=b′]-1/2|.

定義5. 如果任何多項(xiàng)式時(shí)間敵手在上述游戲中獲勝的優(yōu)勢(shì)都是可忽略的，則稱一個(gè)OO-T-CP-AB-KEM方案是選擇性安全的.

3.3 可追責(zé)性安全模型

本節(jié)通過一個(gè)敵手和挑戰(zhàn)者之間的游戲給出OO-T-CP-AB-KEM中可追責(zé)性的定義.具體追責(zé)游戲描述如下：

1) 系統(tǒng)建立.挑戰(zhàn)者運(yùn)行Setup(λ,U)→(PK,MSK)，并將公鑰PK發(fā)送給敵手.

2) 詢問階段.敵手向挑戰(zhàn)者詢問對(duì)應(yīng)于屬性集(id1,S1),(id2,S2),…,(idqs,Sqs)的私鑰.對(duì)于所有i∈[qs]，挑戰(zhàn)者運(yùn)行KeyGen(MSK,PK,idi,Si)→SKi di,Si，并將SKi di,Si發(fā)送給敵手.

3) 私鑰偽造.敵手輸出一個(gè)私鑰SK*.

敵手在上述游戲中獲勝的優(yōu)勢(shì)被定義為Pr[Trace(PK,T,SK*)?{Λ,id1,id2,…,idqs}].

定義6. 如果任何多項(xiàng)式時(shí)間敵手在上述游戲中獲勝的優(yōu)勢(shì)都是可忽略的，則稱一個(gè)OO-T-CP-AB-KEM方案是可追責(zé)的.

4 支持在線離線加密的可追責(zé)CP-ABE方案

本節(jié)將在KEM情形下構(gòu)造一個(gè)支持追責(zé)和在線/離線加密的CP-ABE方案，并且在標(biāo)準(zhǔn)模型下證明方案是選擇安全和可追責(zé)的.最后，我們給出了本文方案和相關(guān)方案的性能對(duì)比.

4.1 方案構(gòu)造

此處假定LSSS 訪問策略中的矩陣最多有P行，后面將指出如何去除這個(gè)限制條件.具體的OO-T-CP-AB-KEM方案構(gòu)造如下：

1)Setup(λ,U).該算法首先選擇一個(gè)階為素?cái)?shù)p的雙線性群G.e:G×G→GT是一個(gè)定義在G上的雙線性對(duì);然后隨機(jī)選擇g,h,u,v,w∈G和α,a∈p，輸出公鑰PK=(G,p,g,h,u,v,w,e(g,g)α,ga)和主密鑰MSK=(α,a);最后建立一個(gè)空的追責(zé)列表T.

2)KeyGen(MSK,PK,id,S={A1,A2,…,Ak}?p).該算法隨機(jī)選擇r,r1,r2,…,rk∈p和c∈*p{-a}，如果c已經(jīng)存在于列表T中，則重新選擇隨機(jī)元c;然后計(jì)算并對(duì)所有i∈[k]計(jì)算Ki,2=gri,Ki,3=(uAih)riv-(a+c)r;最后輸出用戶的私鑰SKi d,S=(S,K0,,K1,,{Ki,2,Ki,3}i∈[k])，并將數(shù)組(c,id)加入到追責(zé)列表T中.

3)Offline.Encrypt(PK).該算法選擇隨機(jī)數(shù)s∈p，計(jì)算key=e(g,g)α s,C0=gs,=ga s;然后對(duì)所有的j∈[P]，隨機(jī)選擇,xj,tj∈p，并計(jì)算最后輸出間接密文IT=(key,s,C0,，{,tj,xj,Cj,1,Cj,2,Cj,3}j∈[P]).

4)Online.Encrypt(PK,IT,(M,ρ)).該算法輸入公鑰PK、間接密文IT和LSSS訪問策略(M,ρ).其中M是一個(gè)l×n矩陣，且l≤P，ρ:[l]→p將矩陣的每一行Mj映射到屬性ρ(j).首先隨機(jī)選擇y2,…,yn∈p，令向量y=(s,y2,…,yn)T;然后對(duì)所有的j∈[l]，計(jì)算λj=(My)j，Cj,4=λj-,Cj,5=tj(xj-ρ(j));最終得到會(huì)話密鑰key=e(g,g)α s和密文CT=((M,ρ),C0,，{Cj,1,Cj,2,Cj,3,Cj,4,Cj,5}j∈[l]).

其中j是屬性ρ(i)在集合S={A1,A2,…,Ak}中的索引，即ρ(i)=Aj.

S={A1,A2,…,Ak}?p,
∈*p,K0,K1,,Ki,2,Ki,3∈G；

(1)

(3)

存在i∈[k]使得:

(4)

因此有：

4.2 選擇性安全證明

本節(jié)將證明本文方案在q-1假設(shè)下是選擇性安全的.首先證明如下引理.

引理1. 如果 HW (Hohenberger-Waters)方案[15]是選擇性安全的，則本文的OO-T-CP-AB-KEM 方案是選擇性安全的.

證明. 為了證明這個(gè)引理，我們將指出：在選擇性安全模型下，如果有一個(gè)多項(xiàng)式時(shí)間敵手A能以不可忽略的優(yōu)勢(shì)ε攻破OO-T-CP-AB-KEM方案，則能利用敵手A構(gòu)造一個(gè)模擬者B以同樣的優(yōu)勢(shì)ε攻破HW方案.C是HW方案中與模擬者B交互的挑戰(zhàn)者.

1) 初始化.敵手A首先發(fā)送自己要攻擊的訪問策略(M*,ρ*)給模擬者B，B將(M*,ρ*)發(fā)送給挑戰(zhàn)者C.其中M*是一個(gè)l×n矩陣，ρ*:l→p將矩陣的每一行映射到屬性ρ*(j).

5) 詢問階段 2.這一階段和詢問階段1相同.

6) 猜測(cè).敵手A發(fā)送給B對(duì)于b測(cè)猜結(jié)果b′.最后，B輸出b′.

由于上述分布對(duì)于敵手A來說是完美的，因此，如果A能夠以優(yōu)勢(shì)ε攻破我們的OO-T-CP-AB-KEM方案，則模擬者B能以同樣的優(yōu)勢(shì)ε攻破HW方案.

證畢.

此外，下述2個(gè)引理已在文獻(xiàn)[13,15]中被證明.

引理2[15].如果RW(Rouselakis-Waters)方案[13]是選擇性安全的，則HW方案[15]也是選擇性安全的.

引理3[13].如果q-1假設(shè)成立，且挑戰(zhàn)矩陣M*的大小l×n滿足l,n≤q，則RW方案是選擇性安全的.

定理1. 如果q-1假設(shè)成立，且挑戰(zhàn)矩陣M*的大小l×n滿足l,n≤q，則本文的OO-T-CP-AB-KEM方案是選擇性安全的.

證明. 由引理1、引理2和引理3可以直接得出.

證畢.

4.3 可追責(zé)性安全證明

本節(jié)將證明本文方案在q′-SDH假設(shè)下是可追責(zé)的.首先證明如下引理.

引理4. 假設(shè)BB(Boneh-Boyen)簽名方案[18]在弱選擇消息攻擊下是存在性不可偽造的，則本文的OO-T-CP-AB-KEM方案是可追責(zé)的.

證明. 假設(shè)對(duì)于本文的OO-T-CP-AB-KEM方案，存在一個(gè)多項(xiàng)式時(shí)間敵手A能以不可忽略的優(yōu)勢(shì)ε贏得3.3中的追責(zé)游戲，則能構(gòu)造出一個(gè)模擬者B在弱選擇消息攻擊下，以同樣的優(yōu)勢(shì)ε偽造一個(gè)BB簽名.C是BB簽名方案中與模擬者B交互的挑戰(zhàn)者.

2) 詢問階段.在這一階段，敵手A進(jìn)行q次私鑰詢問，模擬者B回答A的私鑰詢問.當(dāng)A進(jìn)行第j(j≤q)次私鑰詢問時(shí)，A發(fā)送(idj,Sj={A1,A2,…,AK}?p)給B并詢問OO-T-CP-AB-KEM方案中對(duì)應(yīng)的私鑰.B首先隨機(jī)選擇cj∈*p，如果cj已經(jīng)在列表T中，則重新選擇cj∈*p，然后向C詢問cj的BB簽名.C返回給B簽名).B隨機(jī)選擇r,r1,r2,…,rk∈p，然后計(jì)算：

對(duì)于cj=-a這種極小概率發(fā)生的情形，C返回給B的簽名為(cj,1)，這時(shí)B需要重新選擇cj∈*p，并重復(fù)上述過程.最后將私鑰SKi dj,Sj=(Sj,K0,j,,K1,j,,{Ki,2,j,Ki,3,j}i∈[k])發(fā)送給A，并將數(shù)組(c,id)加入到追責(zé)列表T中.

3) 私鑰偽造.敵手A輸出一個(gè)私鑰SK*給B.

S={A1,A2,…,Ak}?p,
∈*p,K0,K1,,Ki,2,Ki,3∈G;

(5)

(7)

假設(shè)K1=gt，其中t是p中的未知元.由式(6)可得因此由式(7)可得

證畢.

此外，由文獻(xiàn)[18]，我們有以下引理.

引理5[18].如果q′-SDH假設(shè)成立，且進(jìn)行私鑰詢問的次數(shù)qs≤q′，則在弱選擇消息攻擊下BB簽名方案[18]是存在性不可偽造的.

定理2. 如果q′-SDH假設(shè)成立，且進(jìn)行私鑰詢問的次數(shù)qs≤q′，則本文的OO-T-CP-AB-KEM方案是可追責(zé)的.

證明. 由引理4和引理5可以直接得出.

證畢.

4.4 移除對(duì)訪問策略的限制

4.5 方案對(duì)比

表1給出了本文方案與相關(guān)方案的性能對(duì)比.其中,l表示LSSS訪問策略中矩陣的總行數(shù)，ET表示群GT中的指數(shù)運(yùn)算，EG和MG分別表示群G中的指數(shù)和乘法運(yùn)算.相比群G和GT中的運(yùn)算，p中的運(yùn)算開銷很小，因此表1中忽略了p中的運(yùn)算開銷.

從表1中可以看出，文獻(xiàn)[15]中方案的在線加密開銷很小，但是并不支持對(duì)惡意用戶追責(zé)，存在惡意用戶出售私鑰的風(fēng)險(xiǎn).文獻(xiàn)[9，11]和本文方案都支持用戶追責(zé)和LSSS訪問策略，因此在實(shí)現(xiàn)靈活訪問控制的同時(shí)，可以追蹤泄露私鑰的用戶身份.然而，文獻(xiàn)[9]并不支持大屬性域，即系統(tǒng)的屬性域需要在系統(tǒng)建立之初確定.如果后面新加入的屬性超出了屬性域，則需要重新建立系統(tǒng)，這導(dǎo)致文獻(xiàn)[9]中方案的可擴(kuò)展性較差.文獻(xiàn)[11]盡管支持大屬性域，但方案的加密過程全部需要用戶在線完成，這會(huì)使得在線加密的時(shí)間和能源開銷較大，不適用于移動(dòng)設(shè)備進(jìn)行加密.相比于文獻(xiàn)[9，11]，本文方案的加密開銷幾乎全部在離線階段，這樣使用移動(dòng)設(shè)備的用戶可以在能源充足時(shí)進(jìn)行離線加密操作，當(dāng)需要加密具體數(shù)據(jù)時(shí)，只需要消耗較少能源就能夠快速完成在線加密.

5 結(jié)束語(yǔ)

本文在素?cái)?shù)階雙線性群下構(gòu)造了一個(gè)支持在線/離線加密的可追責(zé)CP-ABE方案，并且在標(biāo)準(zhǔn)模型下證明了方案是選擇性安全和可追責(zé)的.在本文方案中，如果一個(gè)惡意用戶泄露自己的私鑰，則可以通過追責(zé)算法確定惡意用戶的身份.本文方案不僅支持任意的單調(diào)訪問結(jié)構(gòu)，而且絕大部分的加密操作是在離線階段完成的，更適用于資源受限的移動(dòng)設(shè)備.此外，本文方案是支持大屬性域的，因此在實(shí)際應(yīng)用中具有較好的擴(kuò)展性.

[1] Sahai A, Waters B. Fuzzy identity-based encryption[G] //LNCS 3494: Proc of EUROCRYPT’05. Berlin: Springer, 2005: 457-473

[2] Bethencourt J, Sahai A, Waters B. Ciphertext-policy attribute-based encryption[C] //Proc of IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2007: 321-334

[3] Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C] //Proc of the 13th ACM Conf on Computer and Communications Security. New York: ACM, 2006: 89-98

[4] Waters B. Ciphertext-policy attribute-based encryption: An expressive, efficient, and provably secure realization[G] //LNCS 6571: Proc of PKC’11. Berlin: Springer, 2011: 53-70

[5] Lewko A, Okamoto T, Sahai A, et al. Fully secure functional encryption: Attribute-based encryption and (hierarchical) inner product encryption[G] //LNCS 6110: Proc of EUROCRYPT’10. Berlin: Springer, 2010: 62-91

[6] Okamoto T, Takashima K. Fully secure functional encryption with general relations from the decisional linear assumption[G] //LNCS 6223: Proc of CRYPTO’10. Berlin: Springer, 2010: 191-208

[7] Hinek M J, Jiang Shaoquan, Safavi-Naini R, et al. Attribute-based encryption with key cloning protection [EB/OL]. International Association for Cryptologic Research (IACR), (2008-11-12)[2017-01-08]. http://eprint.iacr.org/2008/478

[8] Li Jin, Ren Kui, Kim K. A2BE: Accountable attribute-based encryption for abuse free access control [EB/OL]. International Association for Cryptologic Research (IACR), (2009-04-14) [2017-01-08]. http://eprint.iacr.org/2009/118

[9] Liu Zhen, Cao Zhenfu, Wong D S. White-box traceable ciphertext-policy attribute-based encryption supporting any monotone access structures[J]. IEEE Trans on Information Forensics and Security, 2013, 8(1): 76-88

[10] Liu Zhen, Cao Zhenfu, Wong D S. Traceable CP-ABE: How to trace decryption devices found in the wild[J]. IEEE Trans on Information Forensics and Security, 2015, 10(1): 55-68

[11] Ning Jianting, Dong Xiaolei, Cao Zhenfu, et al. White-box traceable ciphertext-policy attribute-based encryption supporting flexible attributes[J]. IEEE Trans on Information Forensics and Security, 2015, 10(6): 1274-1288

[12] Lewko A, Waters B. Unbounded HIBE and attribute-based encryption[G] //LNCS 6632: Proc of EUROCRYPT’11. Berlin: Springer, 2011: 547-567

[13] Rouselakis Y, Waters B. Practical constructions and new proof methods for large universe attribute-based encryption[C] //Proc of the 20th ACM Conf on Computer and Communications Security. New York: ACM, 2013: 463-474

[14] Green M, Hohenberger S, Waters B. Outsourcing the decryption of ABE ciphertexts[C] //Proc of USENIX the Security Symp. Berkeley, CA: USENIX Association, 2011: 523-538

[15] Hohenberger S, Waters B. Online/offline attribute-based encryption[G] //LNCS 8383: Proc of PKC’14. Berlin: Springer, 2014: 293-310

[16] Xiao Siyu, Ge Aijun, Ma Chuangui. Decentralized attribute-based encryption scheme with constant-size ciphertexts[J].Journal of Computer Research and Development, 2016, 53(10): 2207-2215 (in Chinese)

(肖思煜, 葛愛軍, 馬傳貴. 去中心化且固定密文長(zhǎng)度的基于屬性加密方案[J]. 計(jì)算機(jī)研究與發(fā)展, 2016, 53(10): 2207-2215)

[17] Beimel A. Secure schemes for secret sharing and key distribution [D]. Haifa, Israel: Technion-Israel Institute of Technology, Faculty of Computer Science, 1996

[18] Boneh D, Boyen X. Short signatures without random oracles and the SDH assumption in bilinear groups[J]. Journal of Cryptology, 2008, 21(2): 149-177