基于多授权机构属性基加密的文件安全共享的研究综述

1、基于多授权机构属性基加密的文件安全共享的研究综述摘要：属性加密是近些年来密码学研究的热点问题，它是在模糊身份基加密的基础上发展起来的一种公钥加密体制，能够同时实现信息的隐私性和访问控制的灵活性，它特别适合于分布式环境下解密房不固定的情况。信息提供者在加密信息时不需要关心具体由谁来解密信息，只要用户符合相应的条件便可解密。以CP-ABE方案为基础提出了一些多授权机构属性基加密方案。针对一些多授权机构ABE方案在是否采用CA、以及抵抗联合攻击方面等性能进行了比较分析，最后讨论了多授权机构属性加密未来需要进一步研究的问题。关键词：属性基加密;CP-ABE;多授权机构；A Review on Mult

2、i-authority ABE Files Sharing SecurelyAbstract: Attribute-based encryption is a hot topic in recent years .It is a public key encryption mechanism based on the fuzzy identity-based encryption and it makes the information with privacy and the access-control with flexibility. It is particularly suitab

3、le in the situation of distributed environments and not fixed decrypt side. Information providers need not care about the encrypted message decrypted by whom but the message recipient whether meeting the appropriate conditions. We provide some multi-authority attribute-based encryption schemes based

4、 on CP-ABE. The study elaborates the research problems relating to multi-authority ABE, including whether adopting a CA，collision resistance. Finally, we discuss the need-to-be solved problem in multi-authority ABE.Keywords：attribute-based encryption; CP-ABE; multi-authority1 引言随着网络技术和分布式计算的迅速发展与广泛普

5、及，网络信息安全技术越来越受到人民的青睐。在计算机环境中进行数据信息的共享与处理已成为人们彼此之间进行信息交流的需求。网络技术的快速发展带给人类社会在生活、工作、学习以及娱乐等方面便捷的同时，也给人类社会带来了越来越严重的安全隐患。信息的截取篡改、病毒的传播、黑客的入侵等各种攻击手段，严重威胁着人们的生活和社会的发展，因此急切需要一种技术来保护人们的的信息以及信息系统的安全性，密码学能够很好的保证消息的完整性、可控性、可用性以及抗攻击性。因此成为了信息安全领域的关键技术。1976年，Diffie和Hellman1发表了具有划时代意义的一篇文章密码学方向，提出了“公钥密码”的新概念。在公钥密码学

6、系统中，加密方式用的密钥和解密方使用的密钥不相同，并且从计算难度上来讲，由公钥计算出相应的私钥是困难的，在这种情况下，公钥持有者把公钥作为公开参数公布出来也不用担心私钥会被泄露，从而加密方和解密方便不需要在通信前进行密钥协商，降低密钥分发、管理等开销。但是加密方需要对每一个解密方进行加密，在多用户数据共享系统中，针对每个用户的数据加密，将极大增加了加密方的开销负担。1984年，Shamir2提出了身份基密码学的概念。为此，2005年，Sahai和Waters在Shamir2于1984提出的身份基密码学的基础上，首次提出了“基于属性加密（Ciphertext Policy Attribute-B

7、ased Encryption）”的概念和方法。在该方案中，用户的身份由一系列属性定义，访问控制策略将密文的解密密钥与用户的属性集合相关联。解密时，当且仅当用户解密密钥的属性集合与密文的属性集合之间的交集达到系统设定的门限值时才能解密，因此，在基于CPABE的加密方法中，加密方仅需要对密文解密属性进行定义，并一次性加密数据即可，大大降低了加密方的在数据加密中的计算开销。最初提出的基本ABE 机制3仅能支持门限访问控制策略。为了表示更灵活的访问控制策略,学者们进一步提出密钥-策略ABE(KP-ABE)4和密文-策略ABE(CP-ABE)5两类ABE 机制。在KP-ABE系统中，密钥与访问结构树有

8、关，密文与属性集相关。正因为如此，提出了许多不同的ABE方案16,17,18。在CP-ABE中，密钥与属性集相关，密文与访问结构树相关,若属性集满足该访问结构树，则用户可以解密。2 ABE加密机制21 相关定义定义1 双线性对选取两个阶均为大素数的乘法循环群和，是的一个生成元，满足以下特性的双线性映射：称为双线性映射。（1）双线性。对于，有。（2）可计算性。对于，存在一个有效的多项式时间算法来计算。（3）非退化性。存在，使得。定义2 访问结构3是一个实体集，集合，若对于，当且时有，则称集合是单调的。一个访问结构是的一个非空子集，即。包含于的集合称为授权集合，不包含于的集合称为非授权集合。定义3

9、 离散对数问题令是一个阶位素数的群，选择为生成元。离散对数问题即为：给定的元素，求元素，使其满足。定义4 DBDH假设 给定阶为素数的乘法群，是的生成元。随机选取随机数，然后将元素和发送给攻击者，由攻击者来判定是否等于。如果没有多项式时间攻击者可以以不可忽略的优势来解决假设，我们则称在群上是成立的。22 可证安全模型2.2.1哈希函数哈希函数在现在密码学中起着非常重要的作用，它能够将任意长度的消息转化为固定长度的消息摘要。这样不仅能够提高密码算法的速度，还能够保证数据完整性，避免密码体制受到适应性的攻击33。定义 哈希函数：在密码学中，哈希函数通常是一个确定性的函数，它把任意长度的比特串映射为

10、固定长度的比特穿。设哈希函数，就是把任意长度的0，1符号串映射为长度为n的符号串，它满足如下安全特性：（1）散列性：对任何一个输入，其输出的哈希值应当与在区间0，中均匀分布的二进制符号串在计算上是不可区分的。（2）有效性：给出一个输入，对于哈希值的计算，可以在关于的长度规模的时间多项式时间范围内完成。（3）单向性：一直一个哈希值，找到一个输入符号串，使得在计算上是行不通的。（4）抗弱碰撞性：一直一个输入，找另一个输入，其中，使得，在计算上是行不通的。（5）抗强碰撞性：找出一对输入和，其中，使得，在计算上是行不通的。2.2.1标准模型标准模型指的是不需要使用随机预言机假设的安全模型。在安全证明过

11、程中，挑战者需要对一切真是的环境进行模拟，包括现实中对哈稀函数的运用，欺骗攻击者模拟环境攻击操作，利用攻击者的攻击能力解决挑战者面对的困难问题。安全证明过程中，最后总要规约到一个困难假设问题上，如CDH,DBDH假设等。如果在攻击游戏中，攻击者成功的对模拟环境进行攻击，则将会以不可忽略的概率判定或者解决这些困难问题，这与基本的假设是相矛盾的，从而证明系统的安全性。其流程如图所示：2.2 基本ABE Sahai 和Waters2提出基本ABE(fuzzy IBE),系统中的每个属性用散列函数映射到 中,密文和用户密钥都与属性相关.该机制支持基于属性的门限策略,即只有用户属性集与密文属性集相交的元

12、素数量达到系统规定的门限参数时才能解密。KeyGen算法采用Shamir门限秘密共享机制6,将秘密y嵌入到SK的各个构件中,实现门限策略;SK与随机多项式p有关,使得不同用户无法结合私钥实施串谋攻击.Encrypt算法采用双线性对加密消息,并且密文构件与属性相关,从而规定了解密必须的属性;随机数s可以防止多次加密情况下用户首次解密成功即可解密后续密文的问题。基本ABE 只能表示属性的“门限”操作,且门限参数由授权机构设置,访问控制策略并不能由发送方决定。由于ABE机制本身存在的缺陷，Goyal等人4提出由接收方制定访问策略的KP-ABE机制,支持属性的与、或、门限操作。Bethencourt等

13、人5提出由发送方规定密文的访问策略的CP-ABE机制。在KP-ABE中用户是访问结构树相对应的，而存储在云端的文件数据是和属性相关的。用户的私钥是由数据属主（DO data owner）以访问结构树和主密钥为输入生成的。存储在云端文件数据的密文是DO以公开参数和属性对信息M加密生成的。只要当用户的访问结构树满足文件数据的属性，用户才能解密得到明文。访问结构如图1所示： 图 1 KP-ABE的访问结构树而后，Bethencourt等人5提出了基于密文策略的属性加密方案(ciphertext-policy attribute-based encryption, CP-ABE)，和KP-ABE不同在

14、于，在CP-ABE中，用户是和属性集相关，而文件数据是和访问结构树相关。用户的私钥是由DO以属性集和主密钥为输入而生成的，文件数据的密文是DO以访问结构树和公开参数对密文进行加密而生成的。只有当用户的属性集满足文件所对应的访问结构树时，用户才能解密得到密文。KP-ABE和CP-ABE的访问结构树： 由图1可知访问树的基本结构：叶子节点是属性，内部节点是阈值门，如“AND”或“OR”。在KP-ABE和CP-ABE中，都是采用这种访问结构。设T是一棵代表访问结构(即策略)的树，树的每一个非叶子节点由其孩子节点和一个门限值来描述，门限就是使得具有不同属性的用户可以通过不同的路径到达该门限所在节点(表

15、示特定的访问等级)的路径数。假设是非叶子节点 x的孩子节点数目， 是其门限值，则有。当时，门限是 OR 门；当时，门限是 AND 门，显然，还可以是非1和非的其他值。树的每一个叶子节点由一个属性和门限值描述。是节点 x的父节点，为x节点的子节点进行编号，用来表示节点x的编号，对以任意方式给定的密钥，存取结构中节点的值是唯一指定的。当x是叶子节点时，函数表示与树的叶子节点相联系的属性。访问树规定每个节点的孩子节点次序，即将每个节点的孩子节点从 编号。 以下将说明属性集如何满足策略树，即想要访问消息的用户的属性集包含加密消息的用户在制定访问策略时所定义的属性集。设访问树的根为r，表示的根为x的子树

16、，如果属性集满足存取树，就用 表示。计算如下： (1)如果x是非叶子节点，对x的所有孩子节点z计算.(2)当且仅当至少个孩子节点的返回1时，才返回1。 (3)如果x是叶子节点，且，则返回 1。我们对以上三种ABE机制进行比较。其中表示与用户相关的属性数目，表示与密文相关的属性数目。表示双线性群，表示满足访问控制树的内部节点数目（包括根节点），表示双线性配对操作。方案ABE8KP-ABE6CP-ABE7密钥大小密文大小加密开销解密开销基本的ABE算法，KP-ABE以及CP-ABE算法在复杂性假设，策略灵活性和使用范围方面都有明显的差别。基本ABE和KP-ABE均采用DBDH假设，而CP-ABE采

17、用一般双线性群模型假设。对于基本的ABE来说，利用线性秘密分享的思想给出了一个ABE的雏形，具有良好的容错性，但是访问结构不够灵活，应用方面较窄；公钥与系统的属性个数线性相关，双线性对数目和幂运算次数较多。KP-ABE给出了第一个比较完善的ABE方案，并提出了KP-ABE和CP-ABE的划分，引入属性访问控制结构，支持门限、与门、或门操作，但是其安全模型不够强。对于CP-ABE来说，公钥与主密钥的长度与系统中属性个数无关，发送方构造访问控制结构，并参与控制用户的解密，扩大了ABE的应用范围，具有更现实的应用意义。但是解密算法中双线性对操作翻倍。 为了在DBDH 假设下实现策略灵活的CP-ABE

18、 机制,Goyal 等人7和Liang 等人9采用有界树结构.Ibraimi等人10采用一般的访问树结构,消除了界限条件的约束。Ling cheung等人17等人提出了一个CP-ABE方案在DBDH假设下是选择选择明文安全（CPA）的，这个方案采用匿名性，这样可以使用更少的群元素来表示所有的属性。这样减少了密文的长度，加密指数的数量，解密中线性对运算的数量。但是访问策略没有达到一般的访问控制结构，只是正负属性描述和与门操作。Hur等人30在CP-ABE的基础上进行改进，采用双重加密，即基于属性的加密和每个属性群的群密钥加密，但是该方案不能抵抗用户的联合攻击。如果服务管理员不守信用，则会泄漏信息

19、。与CP-ABE5采用的树访问结构不同，Waters8实现了强数值假设下支持与门、或门、门限操作，采用判定性并行双线性Diffie-Hellman 指数(decisional Parallel Bilinear Diffie-HellmanExponent,简称DPBDHE)11假设。采用LSSS 访问结构12 ,其中为矩阵。但是这种机制的密文长度，加/解密时间都会随着访问结构的复杂度线性增长。Lewko 等人13采用双系统加密机制14,15,首先用完全可行的方法实现CCA 安全的CP-ABE 机制.访问结构也采取LSSS 矩阵, 与以往ABE 机制不同,群G1,G2 以3个不同素数的乘积作为

20、阶,以这3 个素数为阶的G1的子群具有正交性。该机制基于3个3素数子群判定问题(3P-SDP)15证明了CCA 安全。3 多授权机构的属性基加密（Multi-authority ABE）基本ABE属于单授权机构情形,不能满足大规模分布式应用对不同机构协作的需求;授权机构必须完全可信,违背了分布式应用要求信任分散的安全需求;授权机构管理系统中所有属性,为用户颁发密钥,工作量大,成为系统的性能瓶颈.多授权机构ABE不仅能够满足分布式应用的需求,而且可将单授权机构的信任和工作量分散到系统的所有授权机构上,所以研究多机构情况下的ABE是必要的。但是,每个授权机构独立颁发密钥和用户密钥准确性的需求,给多

21、机构ABE 的研究带来了挑战。多机构ABE 系统包含多个属性授权机构(AA)和大量用户.用户向某个AA 证明自己具有某些该机构管理的属性,请求相应的解密密钥。每个AA 都有一个主密钥.为保证解密的正确运行,所有AA 的主密钥之和应为系统的主密钥。但是,如果AA 用相同的主密钥为每个用户生成私钥,那么具有足够多属性的用户将能够重构AA的主密钥,不同用户串谋就可恢复出系统主密钥,从而威胁系统安全性。因而,解密正确性和系统安全性之间存在矛盾,这是多机构ABE 的研究难点。目前,关于多机构ABE 的研究工作都以基本ABE机制为基础,采用用户全局唯一标识(GID)10来防止用户串谋.根据是否采用中央授权

22、机构(central authority,简称CA)来保证解密的正确运行,目前的研究分为采用CA10,11的多机构ABE和无CA12,13的多机构ABE两类.3.1 采用CA的多机构ABE机制首先Chase10提出了一种Multi-authority ABE，采用用户GID，伪随机函数和CA来解决多授权ABE,在MA-ABE中，AA独立为用户颁发密钥，CA参与授权，但不知道用户的属性，系统增加新AA时,CA选择新的系统主密钥和公钥,保存新AA的PRF种子.所有从新AA获取属性私钥的用户必须从CA获取新的,但无需从旧AA获取私钥构件.缺点是CA掌握了主密钥以及所有属性机构的伪随机种子，致使能够解

23、密用户密文,必须完全可信，并且只能支持与门访问策略。另外,用户需要向AA提交GID,使得AA之间能够根据GID恢复用户的完整轮廓,可能危害到用户隐私.而且,用户属性变更会引起GID变更。S.Muller等人32提出了一种Multi-authority ABE，但是仍需要采用CA管理所有的属性，没有从根本上解决系统瓶颈。为了解决MA-ABE中CA完全可信的问题，Bozovic等人11基于DBDH假设提出一种将CA视为诚实但好奇的方法：CA诚实地遵守协议，同时好奇地解密密文。3.2 采用无CA的多机构ABE机制为了避免CA给系统带来瓶颈，Lin等人12等人采用密钥分发和联合的零秘密共享技术14解决

24、研究挑战，基于DBDH假设提出一种多AA的ABE机制。但是该机制最多只能防止个用户的联合攻击，只要串谋用户数目达到（+1），加密就不安全。增加新AA时需要重新初始化整个系统，开销很大。Chase等人13后来提出了Multi-authority ABE机制剞劂了只能防止个用户串谋的问题，避免了用户向AA提交GID带来的隐私危害，该机制在初始化阶段执行一次共享，解密的最后阶段与GID无关，保证了解密能力仅由用户属性决定。只要至少有两个AA是诚实的，就能保证该机制是安全的，最多容忍（）个AA被破坏。同时采用匿名密钥颁发协议保护用户隐私，用户与AA交互时采用别名，对AA隐藏身份GID。缺点是增加AA时

25、，系统公钥改变，用户必须向所有的AA重新申请密钥，开喜爱随用户数目线性增长。在15中，Lewko等人提出了一种新的综合方案，不再需要中央机构CA，它采用用户的GID来抵抗用户的合谋攻击，采用布尔公式来表达属性，最终将布尔公式转化为LSSS访问矩阵。但是该方案中采用混合阶线性群，导致计算代价很大。Rujs31等人在Lewko15基础上进行改进，提出了DACC（Distributed Access Control in Clouds）方案，但是数据属主DO的存储代价太大，DO需要存储每一个密文的加密密钥，仍然没有解决DO的存储与计算代价。表2 多授权机构ABE方案的比较方案采用CA访问策略容忍度A

26、KI贡献C07101CA门限0CA0开创了多机构ABE方案研究的难点问题；各授权机构独立分发密钥LCLS08110CA门限个用户0首次实现了无CA的ABE方案BSSV09121CA门限0CA0采用了“诚实但好奇”的CA，且CA无解密能力CC09130CA门限（）个AA无中央授权机构；能够保护用户的隐私4 结束语通过对上述文献的了解与分析，多授权机构属性基加密存在的问题仍然没有很好的解决。通过对上述文献的了解与分析，多授权机构属性基加密中的许多问题仍然没有很好的解决。第一，许多Multi-authority ABE方案中都采用CA,系统需要定期地维护CA，这样增加了系统的开销。第二，一些方案中采

27、用用户GID，由于用户必须向每个授权机构提交相同的GID，所以这样很容易导致用户隐私信息的泄漏。第三，目前的Multi-authority ABE方案都是处在理论阶段，还没有真正的系统能够实现基于多授权机构的跨域数据安全共享。所以针对于以上几个问题，我们提出一种基于多授权机构的跨域数据安全共享方案，不需要采用CA以及用户GID。我们首先完成用户跨域数据安全共享方案，在此基础上研究建立基于Linux系统的多授权机构跨域数据安全共享的原型系统，使用户能够在不通的授权主体访问环境下安全、高效的访问密文数据。参考文献1 W.Diffie,M.E.Hellman,(1976).New direction

28、s in cryptography.IEEE Trans.Inf. Theory.22(6). 644-654.2A.Shamir,“ Identity-based cryptosystems and signature schemes,” in Proceedings of the 4st Annual International Cryptology Conference: Advances in Cryptology - CRYPTO84. Springer, 1984, pp. 4753.3 Sahai A, Waters B. Fuzzy identity based encrypt

29、ionC/ Proceedings of the Advances in Cryptology (EUROCRYPT), Aarhus, Denmark, 2005. Berlin, Heidelberg: Springer- Verlag, 2005: 457473.4Vipul Goyal，Omkant Pandey，Amit Sahai，and Brent Waters，(2006)Attribute-based encryption for fine-grained access control of encrypted dataACM Conference on Computer a

30、nd communications Security8998，5Bethencourt，J，Sahai，A，Waters，B(2007)Ciphertext-policy attribute-based encryptionIEEE Symposium on Security and Privacy，IEEE Computer Society32 13346Shamir A. How to share a secretJ. Communications of the ACM, 1979, 24(11): 612613.7 Goyal V, Jain A, Pandey O, Sahai A.

31、Bounded ciphertext policy attribute based encryption. In: Aceto L, Damgård I, Goldberg LA,Halldórsson M M, Ingólfsdóttir A, Walukiewicz I, eds. Proc. of the ICALP 2008. Berlin, Heidelberg: Springer-Verlag, 2008.579591. doi: 10.1007/978-3-540-70583-3_47.8 Waters B. Ciphertext-Poli

32、cy attribute-based encryption: An expressive, efficient, and provably secure realization. /2008/290.pdf doi: 10.1007/978-3-642-19379-8_4.9 Liang XH, Cao ZF, Lin H, Xing DS. Provably secure and efficient bounded ciphertext policy attribute based encryption. In: Proc.of the ASIAN

33、ACM Symp. on Information, Computer and Communications Security (ASIACCS 2009). New York: ACM Press,2009. 343352. doi: 10.1145/1533057.1533102.10 Ibraimi L, Tang Q, Hartel P, Jonker W. Efficient and provable secure ciphertext-policy attribute-based encryption schemes. In: Proc.of the Information Secu

34、rity Practice and Experience. Berlin, Heidelberg: Springer-Verlag, 2009. 112. doi: 10.1007/978-3-642-00843-6_1.11 Attrapadung N, Imai H. Conjunctive broadcast and attribute-based encryption. In: Shacham H, Waters B, eds. Proc. of the Pairing-Based Cryptography-Pairing 2009. Berlin, Heidelberg: Sprin

35、ger-Verlag, 2009. 248265. doi: 10.1007/978-3-642-03298-1_16 .12 Beimel A. Secure schemes for secret sharing and key distribution Ph.D. Thesis. Technion: Israel Institute of Technology, 1996.13 Lewko A, Okamoto T, Sahai A, Takashima K, Waters B. Fully secure functional encryption: Attribute - Based e

36、ncryption and (hierarchical) inner product encryption. In: Advances in Cryptology-EUROCRYPT 2010. LNCS 6110, Berlin, Heidelberg:Springer-Verlag, 2010. 6291. doi: 10.1007/978-3-642-13190-5_414 Waters B. Dual system encryption: Realizing fully secure abe and hide under simple assumptions. In: Halevi S

37、, ed. Advances in Cryptology-CRYTO 2009. Berlin, Heidelberg: Springer-Verlag, 2009. 619636. doi: 10.1007/978-3-642-03356-8_36.15 Lewko A, Waters B. New techniques for dual system encryption and fully secure hide with short ciphertexts. In: Proc. of the 7th Theory of Cryptography Conf. (TCC 2010). Be

38、rlin, Heidelberg: Springer -Verlag, 2010. 455479. doi: 10.1007/978-3-642-11799-2_27 .16 M. Chase. Multi-authority attribute based encryption. In TCC, pages 515-534, 2007.17 L. Cheung and C. Newport. Provably secure ciphertext policy abe. In ACM Con- ference on Computer and Communications Security, p

39、ages 456-465, 2007.18 R. Ostrovksy, A. Sahai, and B. Waters. Attribute Based Encryption with Non-Monotonic Access Structures. In ACM conference on Computer and Communications Security, pages 195-203, 2007.19 Boovi V, Socek D, Steinwandt R, Villányi VI. Multi-Authority attribute based encryption

40、 with honest-but-curious centralauthority 2009. /2009/083.pdf.20 Lin H, Cao ZF, Liang X, Shao J. Secure threshold multi authority attribute based encryption without a central authority. In: Chowdhury DR, Rijmen V, Das A, eds. Proc. of the Cryptology inIndia-INDOCRYPT 2008. Berli

41、n, Heidelberg: Springer-Verlag,2008. 426436. doi: 10.1007 /978-3-540-89754-5_33.21 Chase M, Chow SSM. Improving privacy and security in multi-authority attribute-based encryption. In: Proc. of the ACM Conf. on Computer and Communications Security. New York: ACM Press, 2009. 121130. doi: 10.1145/1653

42、662.1653678.22 A. Lewko and B. Waters, “Decentralizing attribute-based encryption,”Advances in CryptologyEUROCRYPT 2011, pp. 568588, 2011.23 Goyal V, Lu S, Sahai A, Waters B. Black-Box accountable authority identity-based encryption. In: Proc. of the ACM Conf. onComputer and Communications Security. New York: ACM Press, 2008. 427436. doi: 10.1145/1455770.1455824.24 刘帆，杨明.一种用于云存储