收藏 分销(赏)
立即下载 开通VIP

云存储中高效可追踪可撤销的属性基加密方案_郭丽峰.pdf

上传人:自信****多点 文档编号:474472 上传时间:2023-10-16 格式:PDF 页数:15 大小:1.55MB
下载 相关 举报
云存储中高效可追踪可撤销的属性基加密方案_郭丽峰.pdf_第1页
第1页 / 共15页
云存储中高效可追踪可撤销的属性基加密方案_郭丽峰.pdf_第2页
第2页 / 共15页
云存储中高效可追踪可撤销的属性基加密方案_郭丽峰.pdf_第3页
第3页 / 共15页
亲,该文档总共15页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、密码学报ISSN 2095-7025 CN 10-1195/TNJournal of Cryptologic Research,2023,10(1):131145密码学报编辑部版权所有.E-mail:http:/Tel/Fax:+86-10-82789618云存储中高效可追踪可撤销的属性基加密方案*郭丽峰1,2,邢晓敏1,郭 慧31.山西大学 计算机与信息技术学院,太原 0300062.山西大学 大数据科学与产业研究院,太原 0300063.晋中学院 信息技术与工程系,晋中 030619通信作者:郭丽峰,E-mail:摘要:对泄露密钥用户的可追踪和属性可撤销是属性基加密在实际应用中亟待解决的问

2、题.本文提出了一个高效可追踪可撤销的密文策略属性基加密方案,支持对非法售卖密钥的恶意人员的追踪,通过用户撤销列表撤销解密权限,利用属性群密钥实现属性撤销,将所构造的方案应用在云存储中保证数据的细粒度访问控制.为了减少智能终端计算资源的损耗,解密和属性撤销的大部分计算外包到云服务器.基于CDH 困难性假设,证明了该方案在标准模型下具有选择明文安全性;仿真实验表明该方案更新密文的时间稳定在 0.022 s 左右,相比于其他方案,大幅提升了效率.关键词:身份追踪;属性级撤销;可验证解密外包;属性基加密中图分类号:TP309.7文献标识码:ADOI:10.13868/ki.jcr.000584中文引用

3、格式:郭丽峰,邢晓敏,郭慧.云存储中高效可追踪可撤销的属性基加密方案J.密码学报,2023,10(1):131145.DOI:10.13868/ki.jcr.000584英文引用格式:GUO L F,XING X M,GUO H.An efficient traceable and revocable attribute-basedencryption scheme in cloud storageJ.Journal of Cryptologic Research,2023,10(1):131145.DOI:10.13868/ki.jcr.000584An Efficient Traceabl

4、e and Revocable Attribute-based EncryptionScheme in Cloud StorageGUO Li-Feng1,2,XING Xiao-Min1,GUO Hui31.School of Computer and Information Technology,Shanxi University,Taiyuan 030006,China2.Research Institute of Big Data Science and Industry,Shanxi University,Taiyuan 030006,China3.Department of Inf

5、ormation Technology and Engineering,Jinzhong University,Jinzhong 030619,ChinaCorresponding author:GUO Li-Feng,E-mail:Abstract:Traceability for leaked key users and attribute revocability is an important problem forattribute-based encryption in practical applications.In this paper,an efficient tracea

6、ble and revocableciphertext policy attribute-based encryption scheme is proposed,where malicious users who illegally*基金项目:山西省自然科学基金面上项目(201901D111029);山西省重点研发项目(国际科技合作方面)(201903D421003);国家自然科学基金(62002210)Foundation:General Program of Natural Science Foundation of Shanxi Province(201901D111029);Key R

7、e-search and Development Program of Shanxi Province(International Science and Technology Cooperation Project)(201903D421003);National Natural Science Foundation of China(62002210)收稿日期:2022-01-11定稿日期:2022-04-11132Journal of Cryptologic Research 密码学报 Vol.10,No.1,Feb.2023sell keys and revoke their decr

8、yption privileges through the identity table can be tracked,and attributerevocation can be achieved using attribute group keys,and finally the constructed scheme is appliedto cloud storage to ensure fine-grained access control of data.In order to reduce the loss of computingresources in smart termin

9、als,most of the computations for decryption and attribute revocation areoutsourced to cloud servers.Based on the CDH assumption,the scheme is proved to have selectiveplaintext security under the standard model.Simulation experiments show that the time to update theciphertext of the scheme is stable

10、at around 0.022 seconds,which is a great improvement in efficiencycompared with other schemes.Key words:identity tracing;attribute revocation;verifiable outsourced decryption;attribute-basedencryption1引言物联网的快速发展使数据在智能终端和云服务器的交互变得更加频繁,得益于云服务器企业实现了实时数据共享,降低了人工成本.但云服务器存储的数据大多包含一些敏感信息1,数据外包到云服务器后,用户失去对数

11、据的管理权限,使云服务器中数据的安全受到威胁,因此实现对数据的访问控制非常重要.Bethencourt,Sahai 和 Waters 提出了一种新的数据加密方式即属性基加密2(attribute-basedencryption,ABE).数据拥有者可以制定访问策略来限制相关人员对数据的访问.根据访问结构与密文或密钥的关系,ABE 分为两种类型:密钥策略的属性基加密3(key policy attribute-based encryption,KP-ABE)和密文策略的属性基加密4(ciphertext policy attribute-based encryption,CP-ABE),CP-A

12、BE实现了一对多的细粒度访问控制,是当前密码学领域的研究热点.在 CP-ABE 系统中,解密密钥与用户的身份信息无关,仅与属性有关,拥有相同属性的用户拥有相同的密钥,合法用户可以非法售卖密钥而不用担心被追责,这导致 ABE 体制中存在密钥泄露问题.为了追踪用户的身份信息,文献 6 基于匿名性 CP-ABE 方案5提出多授权的 CP-ABE 方案,该方案部分密文与用户身份信息相关,但方案的表达能力较弱,不能抵制用户的合谋攻击.文献 7 提出了白盒追踪的属性基加密方案,支持任意单调的访问结构且实现了标准模型下的适应性安全,但需要额外维护身份表.Ning等人在文献 8 和文献 9 分别引入 Sham

13、ir 的门限共享方案和 Paillier 的加密思想消除了身份表,但以上方案仅能追踪到恶意用户,无法撤销其访问加密数据的能力,同时,ABE 系统中用户的相关属性集时常更改.为了保证 ABE 系统的安全,属性撤销被提出.在 ABE 系统中部分属性被多个用户共用,任意用户属性的撤销都可能影响其他合法用户.Pirretti等人10首次提出实现用户间接撤销的 CP-ABE 方案,将属性的有效期和属性相关联,通过定期更新密钥来实现属性的撤销,但需要属性授权实时在线,不能实现属性的实时撤销.为了解决属性授权实时在线的问题,文献 11 提出了一个基于二叉树实现用户撤销的 CP-ABE 方案,属性授权通过更新

14、密钥参数实现用户撤销,导致方案效率较低,增加了属性授权机构的计算负担,同样也不能实现属性实时撤销.Hur 等人12引入属性群的概念,提出基于密钥加密密钥树的属性级用户撤销的 CP-ABE 方案,实现了细粒度的属性撤销,但是不能抵制撤销用户和未撤销用户的合谋攻击.Li 等人在文献 13 中指出了文献 12 的缺陷,并以此为基础在文献 14 中构造出一个新的 CP-ABE 方案,数据用户必须同时拥有私钥和属性群密钥才能成功解密密文,在发生撤销属性时,系统更新属性群密钥和密文,属性群密钥和密文一旦被更新,被撤销属性的数据用户将失去解密权限.文献 15 在文献 14 的基础上将属性群密钥的思想引入雾节

15、点的计算中,实现了雾节点中的用户和属性撤销.文献 16 将外包技术与多授权机构的 ABE 方案相结合,同样通过属性群密钥实现了属性撤销,扩展了属性撤销的应用范围.类似地,在云辅助协同电子健康系统中,文献 17 提出了一种基于 OBDD 访问结构的属性撤销方案,实现了抵抗用户合谋攻击和密文的前向后向安全.为了保护重要和敏感的电子健康记录,文献 18 构建了一个可撤销存储分层的 ABE 方案,该方案具有用户撤销、密钥委托和密文更新功能.文献 19 将区块链技术与物联网系统相结合,通过将变色龙哈希算法集成到区块链中,设计了一种带有属性更新的访问控制方案.数据用户可以灵活地注册和撤销,被撤销的用户由于

16、更新的密文和私钥将不会收到链内数据的任何信息.文献 20 提出了在移动医疗上可追郭丽峰 等:云存储中高效可追踪可撤销的属性基加密方案133踪可撤销的访问控制方案,但该方案仅支持直接撤销,不能实现细粒度的属性撤销.属性基加密的巨大计算成本给计算资源有限的物联网设备造成了较大的负担,现有的大多数 ABE 方案都将复杂的计算外包到云服务器,本地数据用户以较少的资源消耗即可完成解密操作.Green 等人21提出基于 ABE 方案的外包解密方案,允许半可信的代理云服务器执行大部分的解密操作,本地用户只需进行常量级计算即可完成解密,但其正确性无法验证.而正确性对于本地用户至关重要.文献 22 在文献 14

17、 基础上实现了外包解密,但同样没有实现正确性的验证.文献 23 基于变色龙哈希算法实现了属性和用户撤销,此外还提供了外包解密、密文验证等功能,文献 24 介绍了一种匿名分布式、细粒度的访问控制方案,在云中进行可验证的外包解密.但以上方案没有实现对恶意用户的追踪.本文在以上工作的基础上提出了一个高效可追踪可撤销的外包属性基加密方案.在资源受限的设备上实现属性基加密,利用外包技术减少本地用户的计算量,同时可以追踪到泄露密钥恶意用户的身份,最后通过密钥加密密钥树来实现属性级用户的撤销.本文主要贡献为:(1)追踪并撤销恶意用户的权限.系统在生成的私钥中嵌入了用户的身份信息,发生密钥泄露时,在追踪恶意身

18、份的同时会相应撤销该用户解密数据的权限;当系统中部分属性撤销,更新相关的密文和密文头,保证方案的前向和后向安全.(2)提升系统效率.加密数据时不再共享秘密值,而是使用访问矩阵中的元素对明文进行加密,使系统整体的速度加快;由云服务器完成大部分解密操作,本地的数据用户以较少的资源消耗即可完成解密操作,同时实现了外包的正确性验证.(3)抵抗合谋攻击.每个用户的属性群密钥都嵌入了用户独有的身份信息,可以有效抵抗撤销用户与未撤销用户的合谋攻击.2预备知识2.1访问结构设 P=P1,P2,Pn 表示参与者的集合,令 2P=A|A P1,P2,Pn.集合 A 2P是单调的,当且仅当对于任意子集 B,C P,

19、如果 B A 且 B C,则 C A.若 A 是 P=P1,P2,Pn中的非空子集,即 A 2P1,P2,Pn,则称 A 是一个访问结构.对于任意集合 D,若 D A,则 D为授权集,否则为非授权集.2.2双线性映射令 表示某个群生成算法,该算法以安全参数 为输入,输出参数(p,G,GT,e,g),其中,p 为大素数,G、GT为 p 阶乘法循环群,g 为群 G 的生成元.e:G G GT为满足下列条件的双线性映射.(1)双线性性:对于 g,h G,a,b Zp,等式 e(ga,hb)=e(g,g)ab成立;(2)非退化性:存在 g,h G,使 e(g,h)在 GT中的阶为 p;(3)可计算性:

20、对于 g,h G,存在计算 e(g,h)的多项式时间算法.2.3线性密钥共享方案参与方集合为 P=P1,P2,Pn,如果满足以下条件,则是定义在 P 上的一个线性秘密共享 LSSS:(1)每个参与方持有的分享份额都可以构成 Zp上的一个向量;(2)存在一个 l 行 n 列的共享矩阵 M,对于矩阵 M 的每一行,函数(i)将矩阵的第 i 行映射到对应的参与者.随机选取一组向量 v=(s,r2,r3,rn)T,其中 s 为分享的秘密值,r2,r3,rnZp为随机选取的数,则向量 M v 表示秘密值 s 的 l 个分享份额,其中 i=Mvi是参与方(i)拥有的秘密份额;(3)LSSS 线性重构:S

21、A 是一个授权集合,其中集合 I=i:(i)Sil.存在一组常量wiiI,使iIwiMi=(1,0,0),可重构秘密值 s=iIwiMi v=iIwii,其中134Journal of Cryptologic Research 密码学报 Vol.10,No.1,Feb.2023i是秘密值 s 的有效分享份额.本方案借鉴文献 25 的算法思想,使用访问矩阵中的元素加密信息,解密时根据iIwiMi=(1,0,0)T,可计算nj=1iIMi,jwi=1.2.4密钥加密密钥树密钥加密密钥(key encryptiong key,KEK)树是基于用户集合建立的二叉树,为未撤销用户更新属性群密钥,实现属性

22、级用户的撤销,如图1所示.图 1 KEK 树Figure 1 KEK tree令 U=u1,u2,un 表示用户集合,L=1,2,n 表示系统内的属性集合.Gi U 表示拥有属性 i的用户集合,作为某个对属性 i的访问列表或撤销列表.G=G1,G2,Gn 表示属性群集合.例如:若用户 u1,u2,u3分别拥有属性 1,2,1,2,3,2,3,那则 G1=u1,u2,G2=u1,u2,u3,G3=u2,u3.属性管理器(attribute manager,AM)按如下过程计算构建密钥加密密钥树为用户生成相关参数:(1)二叉树中的叶子节点代表用户集合 U 中的用户,每个非叶子节点 vj存储一个随机

23、值 j;(2)路径节点算法 Path(uk).对于每一个用户 uk,从叶子节点到根节点上所有节点定义为用户 uk的路径节点.如 Path(u2)=v9,v4,v2,v1;(3)最小覆盖集算法 Mincs(Gi).对于拥有属性 i的属性群 Gi,树中能覆盖 Gi的所有用户的最小节点集合为最小覆盖集.如 G2=u1,u2,u3,则 Mincs(G2)=v4,v10;(4)Path(uk)和 Min(Gi)的交集:若用户 uk拥有属性 i,即 uk Gi,则交集有且只有一个节点 vj存储的随机值 j.如(2)和(3)中的 u2只拥有节点 v4存储的随机值 4.2.5CDH 困难性假设CDH 问题:给

24、定攻击者 A 三元组(g,ga,gb)G3,其中,G 的阶为素数 p,指数 a,b Zp且未知,要求计算 gab的值.A 成功输出 gab的概率为 AdvCDHA=|PrA(ga,gb)=gab|,其中 是可忽略的,则 CDH 问题是 困难的.CDH 困难性假设:若不存在多项式时间内的算法以不可忽略的优势来解决素数阶双线性群 G 和 GT下的 CDH 问题,那么 CDH 假设成立.3系统方案的形式化定义和安全模型定义3.1系统模型本文提出了一个高效可追踪可撤销的外包属性基加密方案,系统模型如图2所示,主要由属性授权机构(attribute authoroty,AA)、属性管理器(attribu

25、te manager,AM)、数据拥有者(data owner,DO)、数据用户(data user,DU)、云服务提供商(cloud service provider,CSP)组成.属性授权机构(attribute authority,AA):负责实施系统的参数设置,生成系统的公开密钥和主密钥,为数据用户生成密钥和转换密钥,为属性管理器生成属性群初始密钥,初始化身份撤销列表.郭丽峰 等:云存储中高效可追踪可撤销的属性基加密方案135属性管理器(attribute manager,AM):它维护图1中的 KEK 树,生成属性群密钥.除此之外,还对数据拥有者上传的密文进行重加密,并在发生属性撤销

26、时更新属性群密钥和密文.数据拥有者(data owner,DO):指定访问策略并根据访问策略加密数据.数据用户(data user,DU):若数据用户的属性集合满足访问策略,则可解密密文,获得明文消息.云服务提供商(cloud service provider,CSP):云服务提供商是诚实且好奇的,提供存储服务和部分外包解密功能.图 2 系统模型Figure 2 System models3.2算法定义(1)系统初始化阶段.该阶段包含 AASetup 和 AMSetup 两个算法.AASetup()(PK,MSK):属性授权机构执行该算法,以安全参数 作为输入,输出系统公钥PK 和主密钥 MS

27、K,初始化用户撤销列表,存储撤销用户的身份信息.AMSetup(PK)(APK,ASK):属性管理器执行该算法,以系统公钥 PK 作为输入,输出属性管理器的公钥 APK 和主私钥 ASK.当系统发生属性撤销时,属性管理器的公私钥将被更新.(2)私钥生成阶段.该阶段包含 AAKeyGen 和 AMKeyGen 两个算法.AAKenGen(id,PK,APK,MSK,S)(SK,KEK,TK):属性授权机构执行该算法,以用户身份 id、系统公钥 PK、属性管理器公钥 APK、系统主私钥 MSK 和数据用户属性集合 S 为输入,输出数据用户私钥 SK、属性群初始密钥 KEK,转换密钥 TK.其中,属

28、性授权机构通过安全信道将私钥 SK分发给用户,将属性群初始密钥 KEK发送给属性管理器,用于生成属性群密钥;将转换密钥 TK 发送给云服务器,用于云服务器的外包解密.AMKeyGen(KEK,S)KEK:属性管理器执行该算法,以属性群初始密钥 KEK和用户属性集合 S 为输入,输出用户的属性群密钥 KEK.属性管理器将属性群密钥 KEK 发送给云服务器,用于云服务器的外包解密.(3)数据加密阶段.该阶段包含 Encrypt 和 AMEncrypt 两个算法.Encrypt(PK,(M,),m)CT:数据拥有者执行该算法,以系统公钥 PK、访问结构(M,)和明文 m 为输入,计算对称密钥 k,将

29、消息 m 加密为 CTm,输出中间密文 CT.AMEncrypt(PK,ASK,CT)(Hdr,CT):属性管理器执行该算法,以系统公钥 PK、属性授权机构私钥 ASK 和中间密文 CT为输入,输出密文头 Hdr 和密文 CT.(4)数据解密阶段.该阶段包含 CSPDecrypt 和 DUDecrypt 两个算法.CSPDecrypt(PK,CT,Hdr,KEK,TK)D:云服务器执行该算法,以系统公钥 PK、密文 CT、外包密钥 TK 以及属性群密钥 KEK 作为输入,输出转换密文 TCT,将其发送给数据用户.DUDecrypt(SK,CT,TCT)m:数据用户执行该算法,以密文 CT、用户

30、私钥 SK 和转换密文TCT 为输入,数据用户解密获得对称密钥 key 即可解密消息 CTtrans为 m.(5)密钥检查阶段.属性授权机构执行该算法,检测用户的私钥格式是否正确.136Journal of Cryptologic Research 密码学报 Vol.10,No.1,Feb.2023KeyCheck(PK,MSK,SK)0 或 1:以系统公钥 PK、系统主私钥 MSK 和用户私钥 SK 作为输入.检查私钥 SK 是否为形式正确的密钥,如果形式正确,密钥检查算法输出 1;否则,密钥检查算法输出 0.(6)数据用户追踪阶段.发生密钥泄露时,属性授权机构执行该算法,提取数据用户的身份

31、信息,添加到用户撤销列表,之后将用户撤销列表发送给云服务器.Trace(PK,MSK,SK)ID 或:追踪算法输入系统公钥 PK、主私钥 MSK、和用户私钥 SK.若密钥检查算法输出 1,追踪算法从私钥 SK 中提取身份 id,添加到用户撤销列表,否则追踪算法输出.(7)用户属性撤销阶段.该阶段包含 UpKEK 和 AMReEncrypt 两个算法.属性管理器更新属性群密钥和密文.UpKEK(DSK,KEK,attx)KEK:属性管理器执行该算法,以属性管理器的私钥 ASK、用户属性群密钥 KEK 和被撤销的属性 attx为输入,输出新的用户属性群密钥 KEK.AMReEncryption(H

32、dr,CT,attx)(Hdr,CT):属性管理器执行该算法,以密文头 Hdr、密文 CT 和被撤销的属性 attx为输入,输出新密文头 Hdr 和新密文 CT.3.3选择安全模型定义本文借鉴文献 14 安全模型的思想对方案进行安全性证明,可撤销 CP-ABE 方案的基本要求是能抵制撤销用户和未撤销用户的合谋攻击,因此本方案中攻击者询问两种类型的私钥:(1)询问属性集满足访问结构但挑战属性被撤销的用户私钥;(2)询问属性集不满足访问结构,但拥有挑战属性的用户的私钥.本方案的 IND-CPA 通过挑战者 B 和攻击者 A 之间的博弈游戏进行刻画,具体过程如下.Init.A 选定挑战访问结构 A和

33、挑战属性 attx,之后将其发送给挑战者 B.其中,attx是一个满足A的必要属性.Setup.挑战者 B 运行 AASetup 和 AMSetup 算法获得系统公钥 PK、系统主私钥 MSK、属性管理器的公钥 APK 和主私钥 ASK;随后挑战者 B 更新关联属性 attx的密钥对 APK 和 ASK;最后挑战者 B 把 PK、APK 和 APK 发给攻击者 A,自己保留 MSK、ASK 和 ASK.Phase1.攻击者 A 询问两种类型的私钥.(1)Type-I 私钥询问 uI,SI:用户 uI的属性集合满足访问结构 A,但是 uI的属性 attx已被撤销.挑战者 B 运行 AAKeyGe

34、n 和 AMKeyGen 算法获得 SK 和 KEK,随后将它们发给攻击者 A.(2)Type-II 私钥询问 uII,SII:用户 uII的属性集合不满足访问结构 A,但 uII拥有属性 attx.挑战者 B 运行 AAKeyGen 和 AMKeyGen 算法获得 SK 和 KEK,随后将它们发给攻击者 A.Challenge.攻击者 A 提交两个等长的消息 m0和 m1.挑战者 B 随机选择 b 0,1,运行 Encrypt和 AMEncrypt 算法产生密文头 Hdr和密文 CTb,并将其发给攻击者 A.Phase2.类似 Phase1,攻击者 A 继续向挑战者 B 询问私钥.Guess

35、.攻击者 A 输出值 b 0,1 作为对 b 的猜测.如果 b=b,则称攻击者 A 赢得该游戏.攻击者 A 在游戏中的优势定义为 AdvA=|Prb=b 12|.定义 1 若没有多项式时间内的攻击者以不可忽略的优势来攻破上述安全模型,则称本方案提出的可撤销 CP-ABE 方案具有选择明文安全性.4算法构造(1)系统初始化阶段.属性授权机构和属性管理器分别进行初始化建立系统.AASetup()(PK,MSK):属性授权机构选择阶为素数 p 的两个乘法循环群 G 和 GT,g是 G 的生成元,e 为双线性映射 G G GT.系统选取,a Zp,哈希函数 H1:0,1 G1和 H2:0,1 Zp.选

36、取 k1,k2 K 作为对称加密算法的密钥.输出属性授权机构的公钥 PK=g,e(g,g),ga,H1,H2 和主私钥 MSK=g,k1,k2,初始化用户撤销列表.AMSetup(PK)(APK,ASK):属性管理器为每一个属性 atti(1 i n)随机选取指数ti Zp,计算 ti=gti,输出属性管理器的公钥 APK=ti|1 i n 和主私钥 ASK=ti|1 i n.郭丽峰 等:云存储中高效可追踪可撤销的属性基加密方案137(2)私钥生成阶段.属性授权机构生成与属性集合相关的用户私钥 SK,转换密钥 TK 和属性群初始密钥 KEK;属性管理器生成与属性集合相关的属性群密钥 KEK.A

37、AKenGen(id,PK,APK,MSK,S)(SK,KEK,TK):算法随机选取,z Zp,计算 =SEnck1(id),=SEnck2(|).计算 L=g、K=g+a和 K1=gazH(0|1|1|1)z.对于任意属性atti S,计算 ki=H(atti|1|1)z和 keki=tzi.输出用户私钥 SK=K,L,RK=z,转换密钥 TK=K1,KiattiS 和属性群初始密钥 KEK=atti,kekiattiS,属性授权机构通过安全信道给用户分发私钥 SK,将转换密钥 TK 发送给云服务器,属性群初始密钥 KEK发送给属性管理器.AMKeyGen(KEK,S)KEK:算法根据 KE

38、K 树为用户生成属性群密钥.对于任意属性 attiS,属性管理器计算 i Path(uid)Mincs(Gi),判断 i是否为空,若 i=,属性管理器停止计算,若i=,属性管理器计算 KEKi=(keki)1/j=gtiz/j,其中,随机值 j所对应的节点 vj i.属性管理器输出 KEK=atti,vj,keki,KEKiattiS.(3)数据加密阶段.该阶段分两步执行,第一步数据拥有者指定访问策略并加密明文.第二步属性管理器重新加密密文,输出密文头.Encrypt(PK,(M,),m)CT:加密算法输入公钥 PK、消息 m 和访问策略矩阵(M,),假设矩阵 M 有 l 行 n 列,函数 将

39、矩阵 M 映射到用户属性集合.定义 Mi,j为矩阵 M 的第(i,j)个元素.令 s=H2(m,R),其中 R GT,加密具体过程如下:C=Re(g,g)s,C=gs,Ci=H(i)|1|1)snj=1H(0|j|1|1)sMi,jil,计算 k=H(R),使用对称密钥 k 将消息 m 进行加密,即 CTm=Enck(m),输出中间密文 CT=(CTm,C,C,Ciil).AMEncrypt(PK,ASK,CT)(Hdr,CT):对于访问策略矩阵(M,)中的每一个属性atti(1 i n),属性管理器随机选择 ki Zp并调用 Mincs(Gi)算法,重新加密中间密文 CT获得密文 CT=(C

40、Tm,C,C,Ci gki1in).计算密文头 Hdr=vj,E(ki)=gkij/tivjMincs(Gi),1in.属性管理器将(CT,Hdr)上传到云服务器进行存储.(4)数据解密阶段.CSPDecrypt(PK,CT,Hdr,KEK,TK)TCT:数据用户向云服务器发出外包解密请求.云服务器接收到解密请求时首先根据数据用户的 id 判断数据用户是否在用户撤销列表中,若存在,算法返回终止符号.若数据用户的属性集合 S 满足访问策略(M,),那么存在一组常量 wiiI,使iIwiMi=(1,0,0),否则,算法返回终止符号.云服务器按以下方式计算转换密文 TCT.TCT=e(iIKwii,

41、C)e(K1,C)iIe(KEKi,E(ki)wi,云服务器将转换密文 TCT 发送给数据用户.DUDecrypt(SK,CT,TCT)m:数据用户接收到转换密文 TCT 后,按照以下计算步骤,即可恢复消息 m.R=C TCT1RK e(L,iICi gki)wie(K,C),计算 k=H(R),m=Deck(CTm).若 C=gH2(m,R)成立,则 m 是解密正确的密文;反之,m 无效.(5)密钥检查阶段.KeyCheck(PK,MSK,SK)0 或 1:属性授权机构验证用户私钥是否符合以下条件:令 A=e(K,g),B=e(L,ga),计算 A/B,若 A/B=e(g,g),密钥检查算法

42、返回 1.否则,密钥检查算法返回 0.138Journal of Cryptologic Research 密码学报 Vol.10,No.1,Feb.2023(6)数据用户追踪阶段.发生密钥泄露时,属性授权机构通过该算法提取数据用户的 id.Trace(PK,MSK,SK)ID 或:发生密钥泄露时,属性授权机构执行该算法,如果密钥检查算法输出 0,这意味 SK 不是一个格式良好的密钥.如果密钥检查算法输出 1,则 SK 是构造良好的密钥.追踪算法可按照以下计算方式从私钥 SK 中提取身份 id.否则,追踪算法输出.计算(|)=SDeck2(),用户的 id 可通过 id=SDeck1()获得,

43、并将用户身份添加到用户撤销列表,并将用户撤销列表发送给云服务器.(7)用户属性撤销阶段.当发生用户属性撤销时,属性管理器更新用户的属性群密钥.更新密文,确保方案的前向和后向安全.UpKEK(DSK,KEK,attx)KEK:当用户 ui的属性 attx被撤销时,属性管理器随机选择 x并计算 Tx=Txx和 tx=tx x,用 Tx和 tx代替 APK 和 ASK 中的 Tx和 tx,获得新的属性管理器公钥 APK 和私钥 ASK.属性管理器更新用户属性群 Gx并重新计算最小覆盖集 Mincs(Gx).对于每一个用户 uk Gx,属性管理器计算 x Path(uk)Mincs(Gx),之后计算

44、kekx=(kekx)x和 KEKx=(kekx)1/j,其中 j所对应节点 vj x.最后,属性管理器用 attx,vj,kekx,KEKx 替换 KEK 中的 attx,vj,kekx,KEKx.AMReEncrypt(Hdr,CT,attx)(Hdr,CT):属性管理器随机选择 s,kx Zp,更新密文和密文头CT=CTm,C=C e(g,g)s,C=C gs,Ci=Ci H(i)|1|1)snj=1H(0|j|1|1)sMi,jil gkxkxi=xCi=Ci H(i)|1|1)snj=1H(0|j|1|1)sMi,jil1in,i=xHdr=vj,E(kx)=gkxj/txvjMin

45、cs(Gx)vj,E(ki)=gkxj/tivjMincs(Gi),1in,i=x输出新密文头 Hdr 和新密文 CT,并将(Hdr,CT)上传到云服务器.正确性验证:TCT=e(iIKwii,C)e(K1,C)iIe(KEKi,E(ki)wi=e(iIH(atti|1|1)wiz,gs)e(gazH(0|1|1|1)z,gs)iIe(gtiz/j,gkij/ti)wi=e(iIH(atti|1|1)wiz,gs)e(H(0|1|1|1)z,gs)e(g,g)asze(gz,iIgkiwi),P=e(L,iI(Ci gki)wi)=e(g,iIH(i)|1|1)snj=1H(0|j|1|1)s

46、Mi,jwi gkiwi)=e(g,iIH(i)|1|1)swi)e(g,iInj=1H(0|j|1|1)sMi,jwi)e(g,iIgkiwi)=e(g,iIH(i)|1|1)swi)e(g,nj=1H(0|j|1|1)siIMi,jwi)e(g,iIgkiwi)郭丽峰 等:云存储中高效可追踪可撤销的属性基加密方案139=e(g,iIH(i)|1|1)swi)e(g,H(0|1|1|1)s)e(g,iIgkiwi),TCT1RK P=(e(iIH(atti|1|1)wiz,gs)e(H(0|1|1|1)z,gs)e(g,g)asze(gz,iIgkiwi)1z e(g,iIH(i)|1|1)

47、swi)e(g,H(0|1|1|1)s)e(g,iIgkiwi)=e(iIH(atti|1|1)wi,gs)e(H(0|1|1|1),gs)e(g,g)ase(g,iIgkiwi)e(g,iIH(i)|1|1)swi)e(g,H(0|1|1|1)s)e(g,iIgkiwi)=e(g,g)as,R=C TCT1RK Pe(K,C)=Re(g,g)se(g,g)ase(g+a,gs)=Re(g,g)se(g,g)ase(g,g)se(g,g)as=R.5安全性证明下面基于 CDH 假设在标准模型下给出本方案的 IND-CPA 安全证明.定理 1 若 CDH 假设在群 G 中成立,那么没有 CPA

48、攻击者能够在多项式时间内以不可忽略的优势选择性的攻破本节所提方案.证明:假设攻击者 A 在进行 qI次 Type-I 询问和 qII次 Type-II 询问后,能以不可忽略的优势AdvA=选择性地攻破本节所提方案,那么,能够构造挑战者 B 已不可忽略的优势 AdvB=/(qI qII)攻破 CDH 假设.挑战者 B 和攻击者 A 可以按如下步骤模拟游戏交互过程.Init.挑战者 B 输入随机 CDH 挑战 A=ga和 B=gb.攻击者 A 选择挑战访问结构(M,)和挑战属性 attx,将其传送给挑战者 B.其中 att是一个满足(M,)的必要属性.Setup.挑战者 B 随机选取,c Zp和

49、k1,k2 K,输出系统公钥 PK=g,e(g,g),gc 和系统主私钥 MSK=g,k1,k2.对于每一个属性 atti(1 i n,i=x),挑战者 B 随机选择指数ti Zp计算 ti=gti.对于 attx,挑战者 B 随机选取 tx Zp并计算 Tx=gtx,输出属性管理器的公钥 APK=ti|1 i n,i=x Tx 和主私钥 ASK=ti|1 i n,i=x tx.挑战者 B 更新 attx的密钥对 Tx=(Tx)a=Atx,设置 tx=b tx.之后挑战者 B 更新属性管理器的公钥APK=ti|1 i n,i=x Tx 和主私钥 ASK=ti|1 i n,i=x tx,tx为理

50、论值,实际情况下挑战者 B 不知道 b,因此并不能计算 tx的值.Phase1.攻击者 A 询问两种类型的私钥.挑战者 B 设置两个列表 LI和 LII,并初始化两个列表为空.(1)Type-I 私钥询问 uI,SI:用户 uI的属性集合 SI满足访问结构(M,),但是 uI的属性 attx已被撤销.挑战者 B 首先判断 LI=uI,KEKSI,SKI 中是否存在 uI,若存在,B 将(KEKSI,SKI)发送给攻击者 A;否则 B 按以下方式回应 A.B 选取 uI的身份 idI,随机选取 I,zI Zp,计算 I=SEnck1(idI),I=SEnck2(I|I),隐含设置 I=b I,其

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 品牌综合 > 临存文档

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服