許城洲,李 陸,張文濤

(1.中國航天系統(tǒng)科學與工程研究院,北京 100037;2.中國航天科技集團有限公司,北京 100048)

1 引言

云存儲作為一種將存儲資源放在云上供人存取的新型存儲方案,以其較低的成本、更好的備份和便捷的訪問等優(yōu)勢受到了許多用戶的青睞。然而云服務器并不是完全可靠的,云服務商也爆出了許多安全事故,導致用戶擔憂云服務的安全性[1]。為了實現(xiàn)數(shù)據(jù)在云環(huán)境中的安全存儲,用戶可以將數(shù)據(jù)加密后上傳至云端服務器。云存儲中有許多云服務器,他們通常分別發(fā)布和處理不同的信息,為用戶提供服務。傳統(tǒng)的公鑰加密和身份基加密IBE(Identity-Based Encryption)[2,3]無法滿足云存儲模式下的訪問控制需求,屬性基加密ABE(Attribute-Based Encryption)[4-6]特別是密文策略屬性基加密CP-ABE(Ciphertext-Policy ABE)[7],可以讓用戶為數(shù)據(jù)設置獨特的訪問策略,并實現(xiàn)“一對多”的訪問模式和細粒度的訪問控制,讓用戶更安全高效地享受新型網絡服務[8]。

訪問結構是ABE體制中的重要組成部分,會直接影響ABE方案的表達能力。本文中“復雜訪問策略”是指訪問策略中包含“與門”“或門”,也可能包含“非門”,且同一個屬性可以在訪問策略中以任何狀態(tài)(“需要”“不需要”“無所謂”)重復出現(xiàn)。Annane等[9]基于與門訪問結構,構造屬性基加密方案,該方案需要所有屬性參與,無法防止無關屬性干擾,且無法支持復雜訪問策略。Zhang等[10]基于樹形訪問結構構造屬性基加密方案,加強了對訪問策略的支持。Cheung等[11]提出基于與門的CP-ABE方案,為每個屬性設置“需要”“不需要”和“無所謂”3種狀態(tài)的特征值,避免了系統(tǒng)中無關屬性的干擾。Waters[12]提出了基于線性秘密分享方案LSSS(Linear Secret Sharing Scheme)訪問結構的CP-ABE方案。Balu等[13]提出了基于分布矩陣的CP-ABE方案。這些方案可以成功表示一些訪問策略,但是每個屬性只能在訪問結構中出現(xiàn)一次。Li等[14]基于有序二元決策圖OBDD(Ordered Binary Decision Diagram)訪問結構提出新型CP-ABE方案,充分利用了OBDD的高效性和高表達性,可以高效地表達帶有“與門”“或門”和“非門”的任意布爾函數(shù)的復雜訪問策略,但是OBDD訪問結構中有效路徑包含所有屬性,無關屬性干擾會導致訪問結構中冗余有效路徑較多。

屬性基加密廣泛使用的雙線性配對運算計算開銷較大,限制了屬性基密碼體制的應用。實驗結果表明,雙線性配對運算的計算開銷大約是橢圓曲線標量乘法的2～3倍[15],是群元素冪運算的3～5倍[16]。Odelu等[17]首次指出雙線性配對運算計算開銷過大,并基于橢圓曲線密碼、多項式函數(shù)和布爾運算實現(xiàn)屬性基加密方案,其加密和解密時間復雜度為O(n)。隨后,他們基于RSA屬性認證和布爾運算提出新的CP-ABE方案[16],其加密和解密時間復雜度降為O(1)。然而這2個方案均只支持與門訪問策略。丁晟等[18]基于OBDD訪問結構和橢圓曲線密碼構造無雙線性配對的CP-ABE方案,支持包含“與”“或”“非”組合的訪問策略,但是仍然受OBDD性能的影響。研究人員嘗試將部分計算外包給云服務器,從而降低本地的計算開銷。Green等[19]提出了支持解密運算外包的ABE方案。Li等[20]提出支持密鑰生成和解密運算外包的ABE方案,還增加了對返回結果的正確性驗證。趙志遠等[21]提出了一種可驗證的完全外包CP-ABE方案,將密鑰生成、加密和解密計算都外包給云服務器,降低了用戶本地計算開銷。Wang等[22]將計算任務外包給半可信第三方,降低本地計算開銷且本地計算開銷是固定的。Das等[23]使用橢圓曲線構建屬性基加密方案,并將方案中的計算部分外包給服務器,進一步降低了本地計算開銷。

本文基于簡化有序二元決策圖ROBDD(Reduced Ordered Binary Decision Diagram)訪問結構,構建支持復雜訪問策略的CP-ABE方案。該方案充分利用了ROBDD訪問結構的高效性和高表達性。相較于OBDD訪問結構,ROBDD不受系統(tǒng)中無關屬性干擾,節(jié)點和有效路徑更少,降低了加密計算開銷和密文存儲開銷。該方案使用群元素冪運算和布爾運算替代雙線性配對運算,降低了運算開銷。該方案通過布爾函數(shù)組合訪問結構中有效路徑特征值,當用戶獲得任一有效路徑,通過布爾函數(shù)運算可得密文解密參數(shù),從而對密文解密,密文不用額外存儲有效路徑特征值,降低了密文的存儲開銷。

2 相關知識

2.1 簡化有序二元決策圖

有序二元決策圖OBDD是一個有根節(jié)點、非葉子節(jié)點和葉子節(jié)點的有向非循環(huán)圖,可以高效表達帶有“與門”“或門”和“非門”的布爾函數(shù)。如果OBDD中節(jié)點的2個分支均指向同一子節(jié)點,則去除該節(jié)點,將該節(jié)點的父節(jié)點直接指向其子節(jié)點,同時,合并結構中2個分支子節(jié)點分別相同的節(jié)點。經過以上簡化后的決策圖稱為ROBDD。ROBDD有OBDD同等的表達能力,且ROBDD中節(jié)點數(shù)量和有效路徑數(shù)量更少,可以降低相應的計算開銷和存儲開銷。

Figure 1 Boolean functions expressed with OBDD

Figure 2 Boolean functions expressed with ROBDD

將ROBDD中的節(jié)點依次編號,最終生成的訪問結構為:ROBDD={Nodeid|id∈ID}。其中,ID是節(jié)點編號的集合;Nodeid是一個元組(id,pi,high,low),id是當前節(jié)點的編號,pi是標記該節(jié)點屬性的屬性特征值,high是當前節(jié)點的高分支子節(jié)點,low是當前節(jié)點的低分支子節(jié)點。

2.2 安全模型

本節(jié)給出所提CP-ABE方案的安全模型。該安全模型定義為攻擊者和挑戰(zhàn)者之間的交互性游戲,是選擇明文攻擊CPA(Chosen Plaintext Attack)下的不可區(qū)分性IND(INDistinguishability)游戲。通過安全模型,證明本文CP-ABE方案是IND-CPA安全的。具體描述如下:

(1)初始化:攻擊者輸出一個挑戰(zhàn)訪問結構T并發(fā)送給挑戰(zhàn)者。

(2)系統(tǒng)建立:挑戰(zhàn)者運行設置算法,為每個屬性生成屬性公私鑰對,生成系統(tǒng)參數(shù)(MSK,MPK)并將MPK發(fā)送給攻擊者。

(3)查詢階段1:攻擊者向挑戰(zhàn)者查詢屬性Pi的屬性私鑰,唯一的限制條件是攻擊者查詢的屬性集不能滿足訪問結構T。

(4)挑戰(zhàn):攻擊者選擇2個等長的數(shù)據(jù)(M0,M1)并發(fā)送給挑戰(zhàn)者,挑戰(zhàn)者拋擲一枚硬幣c∈{0,1},根據(jù)訪問結構T對數(shù)據(jù)Mc進行加密得到密文CT并發(fā)送給攻擊者。

(5)查詢階段2:攻擊者可以繼續(xù)向挑戰(zhàn)者詢問屬性Pi的屬性私鑰,限制條件依然是攻擊者查詢的屬性構成的屬性集不能滿足訪問結構T。

(6)猜測:攻擊者輸出對c的猜測結果c′,如果c=c′則攻擊者贏得該游戲。

攻擊者在該游戲中的優(yōu)勢定義為:ε=Pr[c=c′]-1/2。

定理1如果在任何多項式時間內,攻擊者的優(yōu)勢可以被忽略,則該CP-ABE方案被認為是IND-CPA安全的。

2.3 困難假設

設G是階為素數(shù)r的循環(huán)群,g是循環(huán)群G的生成元,Zr是模r的簡化剩余系,a和b是Zr中的隨機元素,R是G中的一個隨機元素。DDH(Decisional Diffie-Hellman)假設定義如下:給定元組(g,ga,gb,gab)和(g,ga,gb,R),在任意多項式時間內算法B解決循環(huán)群G中的DDH假設的優(yōu)勢如式(1)所示:

ε=|Pr[A(g,ga,gb,Z=gab)=0]-

Pr[A(g,ga,gb,Z=R)=0]|

(1)

定理2若對于任何多項式時間算法解決DDH困難問題的優(yōu)勢ε是可以忽略的,DDH假設成立。

3 支持復雜訪問策略的屬性基加密方案描述

3.1 系統(tǒng)模型

系統(tǒng)模型由5個部分構成,如圖3所示。

Figure 3 System model

(1)屬性授權機構AA(Attribute Authority):系統(tǒng)管理員角色,負責初始化系統(tǒng),為系統(tǒng)選擇加解密方式,生成系統(tǒng)公共參數(shù)和私有參數(shù),為系統(tǒng)中用戶生成用戶私鑰,將用戶公鑰發(fā)送給解密服務器DSP(Decryption Service Provider),為數(shù)據(jù)擁有者提供系統(tǒng)公鑰。AA是完全可信的。

(2)云端服務器CSS(Cloud Storage Server):存儲數(shù)據(jù)擁有者DO(Data Owner)上傳的加密數(shù)據(jù),并向用戶提供下載服務。CSS是半可信的。

(3)解密服務器:在數(shù)據(jù)使用者DU(Data User)對密文進行解密時分攤計算量較大的屬性集認證部分,并返回用戶半解密密文。

(4)數(shù)據(jù)擁有者:為數(shù)據(jù)設置訪問策略,生成相應的訪問結構,并對數(shù)據(jù)進行加密,將加密后的密文上傳至CSS。

(5)數(shù)據(jù)使用者:從CSS下載密文,向DSP提交處理過的屬性集私鑰,得到半解密密文,當DU的屬性集滿足訪問策略時,可對數(shù)據(jù)進行后續(xù)解密,否則解密失敗。

3.2 方案框架

完整的屬性基加密方案通常由5個部分組成:系統(tǒng)建立、密鑰生成、加密、屬性集認證和解密。各個部分定義如下:

(1)系統(tǒng)建立:AA根據(jù)系統(tǒng)屬性集生成系統(tǒng)參數(shù)MSK和MPK。

(2)密鑰生成:AA為用戶分配屬性集Uid,生成用戶唯一身份標識uid和用戶密鑰,將參數(shù)發(fā)送給用戶。

(3)加密:數(shù)據(jù)擁有者DO設定訪問策略ST并生成訪問結構,使用加密算法對數(shù)據(jù)M進行加密,生成密文CT,并將密文上傳至CSS。

(4)屬性集認證:數(shù)據(jù)使用者DU將自己部分的密鑰和密文上傳至DSP,DSP進行屬性認證并將屬性認證結果返回給DU。

(5)解密:若DSP返回的認證結果表明DU的屬性集滿足訪問策略,DU可以對DSP返回的計算結果進行下一步解密計算并恢復數(shù)據(jù)M,否則解密失敗。

3.3 方案定義

本節(jié)將給出本文方案各個部分的具體構造,其中相關參數(shù)在表1中說明。

Table 1 Parameters explanation

本文方案各部分具體定義如下:

(1)系統(tǒng)建立。

屬性授權機構AA選擇2個不相等的大素數(shù)p,q,計算N=pq,系統(tǒng)屬性全集為={P1,P2,…,Pn},用戶的屬性集為Uid,為系統(tǒng)中每個屬性Pi隨機選擇滿足gcd(pi,φ(N))=1的素數(shù)pi,計算滿足piqi≡1(modφ(N))的值qi。選擇滿足2

(2)密鑰生成。

AA為每個用戶分配唯一身份標識uid,隨機選擇滿足gcd(auid,φ(N))=1的素數(shù)auid,計算滿足auidbuid≡1(modφ(N))的值buid,根據(jù)用戶的屬性集Uid計算用戶密鑰(buid,{auidqimodφ(N)|Pi∈Uid})。

(3)加密。

數(shù)據(jù)擁有者DO設置訪問策略ST,根據(jù)ST生成ROBDD訪問結構,選擇隨機值s,計算gsmodN,ROBDD決策節(jié)點結構為(id,gspi+smodN,high,low),gspi+s為節(jié)點對應屬性Pi標記值。ROBDD中的有效路徑為{PTi,i∈[1,BN]},BN為有效路徑數(shù)量。計算式(2):

(2)

生成加密密文CT=(gs,Cm,Dm,Sm,ROBDD),DO將密文上傳至CSS。

(4)屬性集認證。

DU將{auidqi|Pi∈Uid}上傳至DSP,DSP通過以下遞歸過程進行屬性集認證:

步驟1將ROBDD的根節(jié)點作為當前節(jié)點,提取當前節(jié)點值gspi+s。

步驟2計算:

(gspi+s)auidqimodN=gsauid+sauidqimodN

(3)

如果Pi∈Uid,轉到步驟3;否則,轉到步驟4。

步驟3搜索當前節(jié)點的high分支節(jié)點。

①如果high分支節(jié)點是終端節(jié)點0,過程結束,并返回屬性集認證失敗。

②如果high分支節(jié)點是終端節(jié)點1,DU屬性集對應有效路徑為PT,計算式(4):

(4)

其中,k為路徑PT中節(jié)點數(shù)量,過程結束,并返回屬性集認證成功和(QT,k)。

③如果high分支節(jié)點為非終端節(jié)點,則將該節(jié)點定義為當前節(jié)點,提取當前節(jié)點值gspi+s,轉到步驟2。

步驟4搜索當前節(jié)點low分支節(jié)點:

①如果low分支節(jié)點是終端節(jié)點0,過程結束,并返回屬性集認證失敗。

②如果low分支節(jié)點是終端節(jié)點1,DU屬性集對應有效路徑為PT,計算式(5):

(5)

其中,k為路徑PT中節(jié)點數(shù)量,過程結束,并返回屬性集認證成功和(QT,k)。

③ 如果low分支節(jié)點為非終端節(jié)點,則將該節(jié)點定義為當前節(jié)點,提取當前節(jié)點值gspi+s,轉到步驟2。

(5)解密密文。

DU的屬性集認證成功會從CSS處返回(QT,k),DU計算式(6)和式(7):

(6)

M′=Cm&H2(K′i)|Dm&～H2(K′i)

(7)

DU通過計算Sm=H1(gs,M′)驗證是否解密成功。如果解密成功,則輸出明文M。

4 安全性分析

4.1 抗串謀攻擊

串謀攻擊是屬性基加密方案中需要面臨的重要安全挑戰(zhàn)。一個完整的屬性基加密方案需要具備抗串謀攻擊的特性,即數(shù)個屬性集不滿足訪問條件的用戶無法通過相互交換自身信息來滿足訪問條件,從而對密文進行解密。

在本文方案中,N是系統(tǒng)公共參數(shù),由大整數(shù)因子分解困難問題可得φ(N)不可由N在多項式時間內計算的得到。用戶密鑰中auid,buid和qi均是在模φ(N)下運算,且auid,qi,φ(N)和{ki}均未知,通過用戶密鑰構建的n+1階等式(見式(8))中未知數(shù)的數(shù)量為2n+2,參數(shù)有無限多個解。通過多個用戶密鑰構建n階等式(見式(9))中未知數(shù)的數(shù)量為2n+2,參數(shù)也有無限多個解。綜上,用戶無法在多項式時間內通過自己密鑰獲得qi的確切值,因此本文方案可以抗串謀攻擊。

(8)

(9)

4.2 安全證明

本節(jié)證明本文方案在DDH假設下是IND-CPA安全的。

證明若攻擊者A可以以一個不可忽略的優(yōu)勢ε>0在多項式時間內破解本文方案,那么存在一個算法B可以在多項式時間內以不可忽略的優(yōu)勢ε/2解決DDH問題。

設G是階為素數(shù)r的循環(huán)群,g是群G的生成元,a和b是Zr中隨機元素,R是G中的一個隨機元素。挑戰(zhàn)者B拋擲一枚硬幣c∈{0,1},當c=0時,四元組為(g,ga,gb,gab);當c=1時,四元組為(g,ga,gb,R)。

(1)初始化。

A首先設置挑戰(zhàn)訪問策略,根據(jù)訪問策略生成ROBDD訪問結構T。

(2)系統(tǒng)建立。

B選擇2個不相等的大素數(shù)p,q,計算N=pq,為系統(tǒng)中每一個屬性選擇滿足gcd(pi,φ(N))=1的不同素數(shù){pi,i∈[1,n]},然后計算滿足piqi≡1(modφ(N))的值qi,選擇2個單向的抵抗哈希碰撞的哈希函數(shù)H1:{0,1}*→{0,1}lN和H2:{0,1}*→{0,1}lM,其中l(wèi)N為N的長度,lM為M的長度。系統(tǒng)公鑰如式(10)所示:

MPK={N,g,gp1,gp2,…,gpn,gaq1,gaq2,…,gaqn}

(10)

系統(tǒng)私鑰如式(11)所示:

MPK={φ(N),q1,q2,…,qn}

(11)

B將公鑰分發(fā)給A。

(3)查詢階段1。

A向B查詢屬性Ai的屬性私鑰qi,唯一的限制條件是A查詢的屬性集不能滿足訪問結構T。

(4)挑戰(zhàn)。

A隨機選擇2個等長的數(shù)據(jù)M0和M1,并將它們提交給B。B隨機選擇數(shù)c∈{0,1}后根據(jù)訪問結構T對數(shù)據(jù)Mc進行加密。計算式(12)生成加密密文CT=(gb,Cm,Dm,Sm,ROBDD),B將密文返回給A。

(12)

(5)查詢階段2。

重復查詢階段1,限制條件與階段1的相同。

(6)猜測

A提交一個對c的猜測值c′。如果c=c′,則Z=gab;如果c≠c′,則Z=R。

如果c=c′,則A猜測正確,表明Mc′為真正的密文。在這種情況下,攻擊者擁有的優(yōu)勢為ε,可以計算得到Pr[c=c′|Z=gab]=1/2+ε;如果c≠c′,此時Z=R,對于A而言是完全隨機的,從而有Pr[c=c′|Z=R]=1/2。

B破解DDH問題的優(yōu)勢如式(13)所示:

Pr[α′=α|α=0]Pr[α=0]+

(13)

若攻擊者可以在一個概率多項式時間內以一個不可忽略的優(yōu)勢贏得游戲,則可以以優(yōu)勢ε/2解決DDH問題。因此,攻擊者不存在以不可忽略的優(yōu)勢打破本文方案,本文方案是IND-CPA安全的。

□

5 性能分析

本節(jié)將本文方案與文獻[12,14,15,18]中的方案在功能和性能2個方面進行分析比較。設G,GT是循環(huán)群,群G和GT中有雙線性映射e:G×G→GT。方案中雙線性配對運算、群元素冪運算等計算開銷較大,因此忽略其他計算開銷較小的運算,如哈希運算、布爾運算等。表1中列舉了進行方案性能對比時所用到的符號和說明。

表2從方案的主要功能進行對比分析,從中可知所有方案均支持復雜訪問策略。文獻[12,14,18]中的方案均不支持解密外包,解密階段計算均由本地承擔。本文方案采用ROBDD訪問結構,文獻[12,15]中方案采用LSSS訪問結構,均不需要系統(tǒng)所有屬性參與,可防止無關屬性干擾。文獻[14,18]中方案采用OBDD訪問結構,訪問結構中包含系統(tǒng)所有屬性,無關屬性干擾會導致系統(tǒng)計算和存儲開銷較大。本文方案通過布爾函數(shù)整合解密參數(shù),密文定長且密文存儲開銷較低,其余方案未整合解密參數(shù),密文長度隨訪問策略變化而變化,且密文存儲開銷較高。文獻[14,15]均采用雙線性配對運算,文獻[18]中方案采用輕量級橢圓曲線標量乘法,本文方案采用計算開銷更低的群元素冪運算,降低了方案的整體計算開銷。本文方案通過設置冗余參數(shù)實現(xiàn)解密結果可驗證。

Table 2 Function comparison

表3從方案計算代價進行對比分析。加密階段本文計算開銷與有效路徑數(shù)量相關,由于本文方案訪問結構為ROBDD,有效路徑比文獻[14,18]方案的少,方案加密計算開銷更低。文獻[12,15]方案使用LSSS訪問結構,需要進行矩陣運算和其他參數(shù)運算,加密開銷較高。密鑰生成階段本文方案僅需要普通的乘法,計算開銷可以忽略不計。解密階段本文方案僅需要輕量級群元素冪運算,計算開銷較低且固定。文獻[12,14]中方案需要進行雙線性配對運算,計算開銷較高。本文方案通過布爾函數(shù)整合解密參數(shù),密文長度較小且定長。

Table 3 Comparison of computing overhead

6 仿真實驗

本文對表2中部分方案進行了仿真實驗,實驗運行環(huán)境為Intel?CoreTMi5-8259UCPU@3.2GHz,8GB內存,MacOSBigSur11.3操作系統(tǒng)。仿真程序采用Python(版本3.8),基于PyPBC庫(版本0.2)、PyEDA庫(版本0.28.0)和PyCharm開發(fā)環(huán)境編寫。本文方案對訪問結構、運算方式和解密參數(shù)等進行優(yōu)化,支持復雜訪問策略并可防止無關屬性干擾。因此,仿真實驗中訪問策略為復雜訪問策略,實驗過程中訪問策略和系統(tǒng)屬性集如式(14)所示:

(14)

由圖4可知,文獻[14,18]方案中訪問策略的變化和系統(tǒng)屬性集屬性數(shù)量的增加使訪問結構中有效路徑數(shù)量接近冪次增加,本文方案加密時間線性增加;當訪問策略不變時,系統(tǒng)屬性集中的屬性增加時,文獻[14,18]方案的加密時間接近冪次增加,本文方案加密時間不再增加。用戶計算有效路徑特征值時,涉及的群元素冪運算和標量乘法計算開銷較大,對方案加密時間產生了影響。ROBDD可以避免無關屬性干擾,降低了訪問結構中的有效路徑,因此本文方案的加密時間比文獻[14,18]方案的加密時間更短。文獻[14,18]方案的密文需要存儲有效路徑特征值,密文大小與訪問結構中有效路徑數(shù)量成正比。由圖5可知,文獻[14,18]方案的密文大小接近冪次增加,本文方案密文大小不變。本文方案密文中的初始參數(shù)數(shù)量比文獻[14,18]方案中的初始參數(shù)多,但是本文方案將解密參數(shù)整合使密文長度不受有效路徑數(shù)量影響,且增加了密文解密驗證功能,因此本文方案性能更高。

Figure 4 Comparison of encryption time between schemes from reference[14,18]and this paper’s scheme

Figure 5 Comparison of ciphertext size between schemes from reference[14,18]and this paper’s scheme

文獻[12,15]方案中采用LSSS訪問結構,不支持訪問策略中同一個屬性多次出現(xiàn)?；谕鹊膶嶒灜h(huán)境,本節(jié)將本文方案與文獻[12,15]方案進行對比分析。對比分析時,訪問策略僅包含“與”“或”門,同一個屬性在訪問策略中僅出現(xiàn)一次。

圖6和圖7分別從方案的加密時間和解密時間進行對比分析。由圖6可知,本文方案在僅包含“與”“或”門的訪問策略時,加密時間整體短于文獻[12,15]中方案的,由于本文方案需要計算ROBDD中有效路徑特征值和訪問結構中節(jié)點特征值,文獻[12,15]中方案需要生成LSSS矩陣向量特征值和隨機因子,因此方案的加密時間隨著訪問策略中屬性數(shù)量增加而增長,本文方案與文獻[12,15]中方案增長效率接近。由圖7可知,由于本文方案將計算開銷較大的屬性集認證運算外包給解密服務器,用戶本地承擔的計算開銷較低且固定,本文方案的解密時間不隨著訪問策略中屬性數(shù)量的增長出現(xiàn)明顯的增長;文獻[12,15]中方案均采用LSSS訪問結構,用戶本地需計算滿足解LSSS矩陣的參數(shù),并進行相關參數(shù)配對運算,本地計算開銷較大,且方案解密時間隨著訪問策略中屬性數(shù)量增加而明顯增加。文獻[12]中方案包含較多雙線性配對運算,方案解密計算開銷較高;文獻[15]中方案采用輕量級橢圓曲線標量乘法,方案解密計算開銷低于文獻[12]的。

Figure 6 Comparison of encryption time between schemes from reference[12,15]and this paper’s scheme

Figure 7 Comparison of decryption time between schemes from reference[12,15]and this paper’s scheme

圖8從方案的密文大小進行對比分析。由圖8可知,本文方案采用布爾函數(shù)參數(shù)整合結構整合解密參數(shù),密文存儲開銷較低且固定;文獻[12,15]中方案,均需要存儲LSSS矩陣生成的相關參數(shù),密文存儲開銷較大,且文獻[12,15]中方案隨著訪問策略中屬性數(shù)量增加,密文存儲開銷明顯增加。

Figure 8 Comparison of ciphertext size between schemes from reference[12,15]and this paper’s scheme

綜上,本文方案相對于其他方案有更高的加解密效率和更低的存儲開銷。

7 結束語

本文基于ROBDD構建一個支持復雜訪問策略并能夠防止無關屬性干擾的屬性基加密方案,充分發(fā)揮了ROBDD的高效性和高表達性。使用群元素冪運算和布爾運算替代雙線性配對運算,降低了方案的計算開銷。通過布爾函數(shù)整合多個有效路徑對應的有效路徑特征值,擁有任一有效路徑特征值的用戶通過布爾函數(shù)計算可得到密文解密參數(shù),密文中不用額外存儲有效路徑特征值,解密時也不需要進行解密參數(shù)配對,降低了密文存儲開銷。本文方案將屬性認證外包給解密服務器,降低了本地運算開銷。最后在安全模型下證明了本文方案在DDH假設下是IND-CPA安全的。性能分析和仿真分析均表明本文方案更具有優(yōu)勢。