2024年4月26日发(作者:)
__________________________________________________________________________________________________
/021
年第
4期
[
技术研究
/-----------------------
N0TINFO
SECURITY
■
doi
:
10.3969/.1671-1122.2021
.04.003
多用户通信机制中支持隐私保护的属性基动态
广播加密
----------------------
游文婷
1,
张乐友
1,
叶亚迪
1,
李晖
2
--------------------------------
(1
.西安电子科技大学数学与统计学院
,
西安
710071;
2
.西安电子科技大学网络与信息安全学院
,
西安
710071
)
摘
要
:
云计算和物联网的快速发展使多用户信息共享机制备受关注
,
然而当用
户将个人数据上传到云服务器与不同用户共享时
,
未经授权的用户和不可信的第三方
云服务提供商会窥探这些隐私数据
,
对数据安全和用户隐私构成严重威胁
。
此外
,
多
用户共享机制还存在访问控制不灵活
、
用户撤销和动态管理等问题
。
为了解决这些问
题
,
文章结合属性基加密与广播加密技术提出一种动态广播加密机制
。
该方案在保证
数据安全的同时
,
利用不经意传输协议
,
实现了接收者的匿名
,
保护了用户隐私
。
此外
,
该方案还支持新用户随时动态加入系统
,
且不影响原用户在系统中的解密能力
,
并实
现了用户撤销和快速解密
。
性能分析表明
,
该方案较已有方案在安全性和效率方面有
明显优势
。
关键词
:
属性基广播加密
;
云计算
;
不经意传输协议
;
快速解密
中图分类号
:
TP309
文献标志码
:
A
文章编号
:
1671-1122
(2021)
04-0021-10
中文引用格式:游文婷
,
张乐友
,
叶亚迪
,
等.多用户通信机制中支持隐私保护的属性基动态广播加密
[J
]
.
信息网络安全
,
2021,
21(4
)
:
21-30.
英文引用格式
:
YOU
Wenting,
ZHANG
Leyou,
YE
Yadi,
et
aLPrivacy-preserving
Attribute-based
Dynamic
Broadcast
Encryption
Mechanism
in
Multi-user
Communication
System
卩
]
.
Netinfo
Security,
2021,
21(4):
21-30.
Privacy-preserving
Attribute-based
Dynamic
Broadcast
Encryption
Mechanism
in
Multi-user
Communication
System
YOU
Wenting
1
,
ZHANG
Leyou
1
,
YE
Yadi
1
,
LI
Hui
2
(1.
School
of
Mathematics
and
Statistics,
Xidian
University,
Xi'an
710071,
China;
2.
School
of
Network
Information
and
Security,
Xidian
University,
Xi
9
an
710071,
China)
Abstract:
Multi-user
information
sharing
mechanism
has
been
paid
more
and
more
attention
with
the
rapid
development
of
cloud
computing
and
the
Internet
of
things.
However,
when
users
upload
personal
data
to
the
cloud
server
to
share
with
different
users,
unauthorized
users
and
untrusted
third-party
cloud
service
providers
will
snoop
on
these
private
data,
which
will
pose
a
serious
threat
to
data
security
and
user
privacy.
In
addition,
收稿日期
:
2020-12-08
基金项目
:
国家自然科学基金
[
U19B2021
]
;
陕西省重点研发计划
[
2019KW-056
];
“
十三五
”
国家密码发展基金
[
MMJJ20180209
]
作者简介
:
游文婷
(
1994
—
),
女
,山西
,
博士研究生,
主要研究方向为匿名属性基加密
;
张乐友
(
1977
—
),
男
,
山东
,
教授
,
博士,
主要研究方向为公钥密码
、
隐私保护及信息安全
;
叶亚迪
(
1996—
),
女
,
山东
,
硕士研究生
,
主要研究方向为匿名加密
;
李晖
(
1968
—
),
男
,
河南
,
教授
,
博士
,
主要研究方向为密码与信息妥全
、信息论与编码理论
。
通信作者
:
张乐友
*******************.
21
n
C
tinfo
SECURITY
技术研究
2021
年第
4期
__________________________________________________________________________________________________
there
are
still
some
challenges
in
the
multiple-user
sharing
mechanism,
such
as
inflexible
access
control,
user
revocation
and
dynamic
management,
etc.
To
address
these
problems,
this
paper
proposes
a
dynamic
broadcast
encryption
mechanism.
It
combines
attribute-based
encryption
with
broadcast
encryption
techniques.
The
scheme
uses
the
oblivious
transmission
protocol
to
realize
the
receiver
anonymity
and
protect
the
user
privacy
while
ensuring
the
data
security.
Additionally,
the
scheme
supports
new
users
to
join
the
system
dynamically
at
any
time
without
affecting
the
decryption
ability
of
previous
users
in
the
system,
and
achieves
user
revocation
and
fast
decryption.
Performance
analysis
shows
that
the
scheme
has
obvious
advantages
in
security
and
efficiency
compared
with
existing
schemes.
Key
words:
attribute-based
broadcast
encryption;
cloud
computing;
oblivious
transfer
protocol;
fast
decryption
0
引言
随着云计算的快速发展
,
云计算已为各行业的业
等人提出一种恒定密文方案
,支持新用户动态加入系
统
,
且不需要修改系统原有用户的解密能力
。
2010
年,
务带来了巨大改变
,
越来越多的个人和企业将自己的
数据上传到云端或外包给一个专门的云服务机构进行
LEWKW
等人提出一种广播加密方案
,
支持撤销用户
和非单调机制
,
使得广播加密的应用更加灵活
。
然而,
垃方案及后续方案两
]
虽然实现了多用户共享同一消
管理和处理
。
然而云服务机构并不完全可信
,
用户不
能完全确认存储在云中的数据是否安全
。
此外
,
对云
服务机构的攻击也严重威胁着数据安全与隐私保护
。
息的优点
,
却无法实现的访问控制
。
属性基加密是一种在保证私有娜机密性的同时,
安全和隐私泄露问题已成为制约数据共享机制发展的
关键问
可以实现细粒度访问控制的加密机制叩
]
。
属性基加密
分为两类:密钥策略属性基加密
(
KP-ABE
)
与密文策
为保护用户隐私,
增强用户对共享数据的控制,
略属性基加密
(
CP-ABE
)
o
在
KP-ABE
中
,
用户的私有
密钥与访问策略相对应
,
密文与属性相对应
。
CP-ABE
大量支持细粒度访问控制的属性基加密
(
ABE
)
方案
被提出
。
在这些方案中
,
用户指定一个访问策略并对
则正好相反
。
为保护用户隐私
,
NISHII
田
"I
等人提出
一种利用通配符实现部分隐藏访问策略的方案。
随后,
数据加密
,
只有属性满足策略才能成功访问加密的数
据
。
然而
,
现有的许多方案只考虑数据的机密性
,
没
ZHANGS
等人提出一种部分隐藏访问策略的方案
,
实
现了大属性集和
,
快速解密的功能
,
但由于该方案基于合
有考虑接收者的隐私性。
支持访问策略隐藏的属性基
加密方案冋被提出以解决该问题
。
在这些方案中
,
敏
数阶群
,
实际的将成本和存储消耗都较大
。
此后
,
大
量部分隐藏访问策略的方案被提出
"-I®
。
PHUONG^
等
感的用户信息和用户定义的访问策略对系统交互是隐
人通过内积加密
(
IPE
)
国
21
]
和通配符实现了访问策略
的完全隐藏
,
但内积加密谕弋价大的缺陷仍未解决
。
藏的
。
然而这些方案解密代价较高
,
用户的动态添加
和直融销碗面临着挑战
。
基于属性的密
(
ABBE
)
密的師
1
相关研究
广播加密于
1993
年首次被提出问
,
随后多种方案
相继被提出
。
BONE
曲等人使用双线性映射提出广播
推广
。
LUBICK
等
AM
出^
S
广播加耐案
,
其中特
砸户组由一系列属
与属
的密:用户
。
然而
,
加密方案
,
该方案的私钥和密文达到常数级
,
支持抗
合谋攻击
,
同时规定广播者不再只能是一个可信的权
只能在弱的安全模型中证明安全性
。
ATTRARWUNGP
3
!
等人将属
ttSm
密
;
■的
BGW^
濮和
LEWKW
等人提出的方案相结合
,
同时提出
KP-ABBE
和
CP-ABBE
方案
,
从而能够支持有效撤销用户
。
然而
,
该方案中
威
,
可以是任何合法用户
。
然而,
该方案的用户数在方
案运行之初已经设定
,
不支持后续添加用户
。
CEOLEW
22
N0TINFO
SECURITY
__________________________________________________________________________________________________
2021
年第
4
期
技术研究
的密文长度随着策略中的属性数量呈线性增长
。
随后,
法确定接收者的选择
。
CANARD^
等人提出一种有效的
CP-ABBE,
支持常数大
小的私钥和换
^SABBE
族和
然而
,
有考虑用户的卿性
。
ZHOLP1
等
AM
出
f
支持与门访问策略
,
将属性分为正属性
、
负属性
2
准备工作
2.1
双线性映射
令
Gi
和
G2
是两个阶为
N
的循环群
,
讯血血
其中,
他血的为
3
个互不相等的素数
。
e
为
GixGiTg
的双线
和通配符的方案
,
既实现了密文长度的常数化设计,
又
实现了瞬
W
。
XIONCF]
等出一种完全瞬访问
性
IW,
且满足以下顷
:
策略离埶密林蹴了
財
,
但该族不裁用户撤销
。
KUMAR
的
1
)
双线性性
。
Vg,
辰
Gi,s
兴
Zy,
有
e
(
g,hf)
=e
(
g,h
)
^
o
2
)
非退化性
。
茨
Gi,
使得
eQT
)
在
%
的阶数为
N
。
令
G%,
Gq
2
,
Gq
3
分别为
G1
的阶为
91,
蚯
93
的子群
。
对于不同
子群中的任意两个元素禺和砌
,
其中询
,
有
e®,
砌
)
=1
该断表明不同子討的磊之间
MW
正交性
。
等川出一种基于阈值和通配符的广播加密殊该技
术触艇的访问策略
,
在不雄的
广播即疑性
。
m,
对于任
WS
的属性
,
该林
实现了定长密文
,
大大降低了通信开销和计算复杂度
。
但上述方案均未考虑用户的直接撤销和系统中用户的动
3
)
可计算性
。
对于任意的
e,
在多项式时间内都
存在有效畴法幡臨纵
2.2
线性秘密共享方案
设集合斤
{
戸屮
2,
…,
P
”
}
为参与方实体戦的集合
。
若秘密共享方案口满足以下两个条件
,
则称
H
为厶上
态力
[lAo
基于上述问题
,
本文提出一种匿名属性基动态广
播加密方案
。
方案中密钥不仅与用户身份索引相关联,
且与用户属性相关联
,
只有当用户身份索引属于授权用
的线性秘密共享方案
(
LSSS
)
O
户组且用户属性满足策略时
,
才能成功解密密文
。
同时
将用户身鹽引添加到指定的撤销用户列表实现
1
)
Pi,
…,
P
”
共同持有厶的
〜
秘密分享向量
。
2
)
存在的矩阵
4
表示
ri
的共享生成矩阵
。
对于任意的日,
2,
•••,/,
/的第
i
行用函数助定义
。
给出
销用户
。
W,
族支持^»密
,
并且利用不经意传
输协议
,
在保证用户获得其相应属性密钥的同时
,
避免
用户的属曄被中央构获取
。
本文轄贡献如下:
一^列向量
V=
(
s,r
2
,-,r^,
其中
se%
是一^秘密共享
值
,
%
心弘
是随机选取的。
则向量石表示根据口
共享的/个秘密共享值
。
1
)
支持用户撤销的属性基动态广播加密
。
冷支
持用户动态管理
,
同时新用户动态加入不影响当前用
LSSS«
线性重构性质
,
即授权
P
内的成员可如
下恢复
$
:令集合申
(
骨口
1,2,
・
:
/
)
。
根据线性代数
户的解密能力
。
数据所有者可以在必要时撤销用户的
臧能力
。
的知识,
能够在多项式时间内计算常数集合泸厶
,
且
满足
L
从
=
s
。
其中
,
入=
(
么◎为
s
根据
n
所生成
2
)
快速解密
。
因为策略隐藏
,
用户很难知道自己
的属性集是否满足策略
。
为此
,
用户需要做许多额外
el
的/个秘密碎片形成的向量
。
运算来验证自己的属性是否满足访问策略
。
本文方案
解决了该缺陷
,
支持快速解密
,
将解密配对操作降低
2.3
复杂性假设
基于合数阶双线性群的静态假设如下刖:
假设
1
定义一个分布居
0=gM2g3,Gi,G2,e
)
,
geG%,
到常量级
。
3
)
不经意㈱协议
。
方案使用
(
1,"
)
不经意传输协
议
,
允许接收者只能从发送者那里接收
”
个属性私钥中
的一个,
剩下的私钥对接收者隐藏
。
同时
,
发送者无
耳叫
B^G
W
B^G
qi
,
gg
占
)
,
则攻击者
A
攻
击系统的妙定义为曲朗
Pr[A
(
Q
)
Bi
)
=l]_Pr[A
(
3
2
)
=l]|
。
假设
2
定义一个分布
7?=
弹
gig2%,Gi,G2,e
)
,
g^e
23
n
C
tinfo
SECURITY
技术研究
2021
年第
4期
__________________________________________________________________________________________________
Gq
、
,
Xi,
Y2
&G
q2,
I3
G
Gqg,
B'WGi,
B2W
Gq
p
q3
,
Q=g
g
无
X
3
,Y^,
则
A
攻击系统的优势定义为硕=珂迥国)=
-
1]
珂加
0^2
)
=1]|
。
假设
3
定义
f
分布
7?=(N=gi
却
sGGQwswZiv,
gwGqr
不,
E
’
NeG®
为
eG%,
B^=e(g,gf
s
,
B2&G2,
C1=(R,
g,g
a
X
2
,X
3
,g
s
Y
2,
Zj)
,
则
A
攻击系统的优势定义为風较
=
|Pr[A(Q
)
B
1
)=l]-P
r
[A(Q
)
B
2
)=l]|o
3
系统设计
3.1
系统模型
方案由
4
种实体组成:系统中的可信权威中心
、
数
据所有者
、
云服务料共商和癖用户
。
1)
权威中心
:
权威中心是完全可信的
,
负责管理
系统属性集合,
生成系统参数
,
I
十算每个用户的唯一
身份皱
,
为用户莎和分发私钥
。
2
)
数据所有者:数据所有者控制数据共享
,
可以
自由选择撤销用户集合
,
制定灵活的访问策略
,
将加
密后的消息上传到云服貓供用户访问
。
3
)
云服务提供商:云服务提供商存储数据所有者
加密的密文
,
属于半可信实体
,
会窥探包含在密文中
的瞬媾
4
)
数据用户:数据用户负责最终的解密
。
只有当
用户属于目标接收用户集合
,
且其属性列表满足密文
访问策略时
,
用户椎成功極
3.2
系统框架
方案由
4
个算法构成:系统初始化算法
、
密钥生成
算法
、
加密算法以舷
。
1)
系统初始化
(
Setq)
)
:
输入安全参数九输出公
钥圧和主密钥胚心
2
)
密钥生成
(KeyGen)
:
以
PK
、
MSK
、
用户的属
性集合
S
以及用户的身份索引
U
为输入
,
输出用户私
钥劇
。
3
)
加密
(Encrypt)
:
以
PK
、
撤销用户集合
S
、
指
定的访问策略
W=(^A,p),T)
以及明文消息
M
为输入
,
得
到密文
CT
。四中
,
/是访问矩阵
,
°
是从&的每行到属
24
性名的映射
,
T
是访问策略中的一组属性值且不与
CT
_同皱
。
4
)
解密
(
Decrypt)
:
输入刃
:
、
CT
以及劇
。
如果
UtUS,
且
S
满足叭则可以成功解密
;
否则
,终
1
陳法
。
3.3
安全模型
本节给出方案的安全模型
,
该安全模型由攻击者
A
和挑战者
C
站亍
。
1)
系统建立
:
C
运行方案中的
Setq)
算法
,
并且将
输出的圧交给
A,
将胚
K
私有
。
2
)
阶段
1
:
A
提交一个
S
和向
C
发起密钥询问
。
C
将生成的卿发送给
A
。
3
)
挑战
:
A
选取两个大小相同的消息曲
、
M*,
挑战的广播集合
US={U*,
疋
,
…
,備以矽匕战访问策略
W*,
确保在阶段
1
中询问过的
S
不满足旷且
UtUS*
o
C
根据随机硬币的结果心
,1}
来加密对应消息
,
生成
^CT^EncrypKPK,
US*,
矿,城)
并回复给
A
。
4
)
阶段
2
:
A
重复阶段
1
操作
,
继续向
C
发起密钥
询问
。
5
)
猜测
:
A
给出自己对鸭的猜测值
^(/e{0,l})
o
如果尸则
C
在游戏中失败
。
在该游戏中
A
取胜的
优^淀义为|
Pri//
=
旳
-
£
|
。
4
方案构造
1)
系统建立
(
Setup
)
o
算法输入安全参数九输出
元组
A=(N=gi@2?3,Gi,G2je)
。
其中
,
giG©
为不同素数,
6%©2
忌分别为阶为务盘©的不同子群
。
该算法随机
选取
a,a,b^,
ZwGq,,
g,heG%,
并计算沧
e(g,R
H=
AZo
因此
,
公钥嗨
{A,g,
出片
,0,
尹
,
耳
Hi,
丫}。
其中
,
H
将一个属性值映射到
Z
”
中的一个元素
,
闿将身份索
引映射到
Z
n
中的一元素
。
主密钥
MSd{a,aA%}
。
2
)
密钥生成
(
KeyGen
)□
在该算法中
,
可信权威
中心首先检查用户是否合法
,
也就是说
,
用户首先提
交能够证明其身份的内容
,
如用户身份诚
/,
权威中心
为每个用户生成一个唯一的身份索引
0
密钥生成算
法以
MSK
、
PK
、
U
和用户属性列表
S=(N
s
,V^
为输入
。
其中
,
侃表示用户属性名索引集合
,
匕表示属性名对
N0TINFO
SECURITY
__________________________________________________________________________________________________
2021
年第
4
期
技术研究
应的属性值集合
。
算法随机选择
reZN,
并生成身份私
钥盼
{
K1
辰,西
}
及属性私钥恳
。
其中
,
轨叱,
y
严㈣,
K
越,
心讯昵
此外
,
该权威中心
还维护一个列表
,
列表中包含权威中心为系统中的用
户生成的与
U
相关联的随机数屜/
(
叭该列表类似
于一^字典表
,
向系统中的用户公开
,
以帮助用户解密
。
密钥生成算法运用不经意传输协议隐藏用户的
属性私钥
。
下面以可信权威中心传输与用户属性值
{
空
3
相关联的属性私钥为例
,
给出一个
(
1,"
)
不经意传输协议的具体过程
。
(
1
)
可信权威中心传输系统参数@,局,压
〉
,
h
2
为哈希函数
,
且该参数对可信权威中心与用户公开
。
(
2
)
可信权威中心生成属性私钥心
(
3
)
数据用户将与一个属性相对应的
”
个属性值
{
氏
}
*发送给可信权威中心
,
并选取
/
(
1#W
“
,
该〃
为娠用户稠
,
不紗
)
。
同时磐畑附
,
诧码,
并将丿发送给可信权威中
、
(
4
)
可信权威中心收到丿并计算
p=g
;
,
Ci=K
:
Q
H
幻吨,
s
品
。将
p
和
G
发送给癖用户
。
(
5
)
第据用户通过
0
和
G
计算耳
,
即均
=0©
曰
(
0
)
。
通过不经意传输协议
,
用户可以选择自己的私钥
。
这确保了权威中心无法知道用户的选择
,
用户也无法
获鮎其确性倚寸应的希
。
3
)
加密
(
Encryption
£
该算法输入撤销的用户索引
集合心
U
仏
…
,
U
}
,
PK,
访问策略
0=
(
⑷
>
)
7
)
和明文
消息胚
其中
,
阻砂剜为属性值
。
算法随机选
择
S
沁•令壬,
满足
S=E
酗耳
(
⑺
)
。
构造向量
D=
(
SQ,
划
…
,%
)
。
其中
,
饥堆
…
,
轴是
Zv
中的随机数
,
S
是共享的
磐
44
辺
。
此九第却觥
i
諏知
A
胡
《
気
,
geZ^o
出密文炉
(
3/
)
卫
0
)
^,
宓
{
4,1,
弘
)
。
其
中
,
G=
(
M|
沁,
g
严
,
C1
即?
1,
G=g
込
(
g%3
力
)
》
氐
,
Cu
_
g
»
s
m
R
^
,
玄占严抵
。
4
)
般
(
Decrypt
)
。
娠用户接恫
CT
后,首辯
J
用凡和/计算集合曰咖
(
X
)
*
}
以及常数集合
{
a
)
x
}
x
^
,
然后姗私钥对
CT
进密
。
如果且牖足
3,
从
则输出
M
;
否则
,
终厨法
。
解密计算过程如下:
卧
e
(
GA2HQ
xe
I
®2=e
(f[Ks
US
,
G
)
i^U
0
3
=e
(
n
Ui^USXU
}
Cu
(
口归
C
了
Mg=&
]
®
2
/®3
下面给出解密算法的正确性分析
。
因为
,
G
)
尸
e
(
C/2
匚[砖
)
XGI
=e
(
g
国,
gK"'g
隔◎匸[@叱
)
%
严
)
XGI
=e
(
g,g
)
"e
(
g,g
)
%
(
g,g
严%
S
si^H
(
y
x
)
&
x
st^jOx
e
(
g,g
)
心
e
(
g,h
)
g
US
US
.
$也
US
1(5)
®
2
=e(YK
Ul
,C
l
)=e(l[g
m
,g
s
R
l
)=e(g,g)
I
却
iAJ
MJ
®3=e(IIse{«SU}Cs
Al)e(Cunxe/Cy
5X3)
=e(H
叭礙丽
R»,g
隔邛.
e
(
n
产
g
旳呵
7?TI
迫
g
込
(g%3
疗皿詔)
US
=e(g,g)
“
叫
(g,g)
s"l(S)
,
e(g,g
严
M
工
77
(%)
绥
st^o
x
e(g,g)
R
e(h,g)
R
可得
Mg®2©
。
因此
,
解密算法正确
。
5
安全性证明
本文采用双系统加密技术证明方案的安全性
。
双
系统加密机制中通常有两个半功能结构:半功能密文
和半功能密钥。
正常密钥可以解密半功能密文和正常
密文
,
僦半功能密钥不删密半功能密文
。
半功能密钥分为两种类型
。
获取时首
》
^[
7
和
S
获得正常密钥
SKy=
{
K
{
,
Ki,
Ki,
K
;
}
;
然后为每个属性
V
x
随机选择唯一元素牡
Z
n
。
随机选取/沁
Z
”
,
设置
g2
为
%
的生成元
,
计算
&=Kfg£,
K^Kigf,
K*gJ
3
蹬,
这是第
1
种类型的半功能密钥
;
或者计算
K
X
=K
{
,
&沁
/,
K
3
=Kj,
W
这是第
2
种类型的半
功能密钥。
获取半功能密文则首先通过加密算法生成正常密
25
n
C
tinfo
SECURITY
技术研究
2021
年第
4期
__________________________________________________________________________________________________
文
;
然后随机选取加鬲和一个向量
Z
=
伽
,
也
•
•
•
,
讥
樽半功能密文
eacMi
创,
g
}
k
Qg
庐%
c
歹闵
g
泸,
c
Ut
=
务
g?
-
本文方案的安全性证明基群判定性问题假设,
通过一系列不可区分的游戏来进行。
这些不可区分的
游戏定义如下
:
在皿叫中
,
密文和密钥正常
。
在
G
叫中
,
密钥是正常的
,
而密文是半功能的
。
Gorney
中的挑战密文与
Goweb
中的密文相同
,
都为半功能的
;
密钥分为
3
个部分
,
前
T
个私钥是类型
2
的半功能密
钥
,
第
f
个私钥是类型
1
的半功能密钥
,
剩余私钥是正
常的
。
中的密文为半功能的
;
前
f-1
个私钥为类
型
2
的半功能密钥
,
剩下的私钥均为正常的
。
Gorney
中的密文为半功能的
;
前
f-2
个私钥为类型
2
的半功
能密钥
,
剩下的私钥均为正常的
。
以此类推
。
特别
地
,
如果假设攻击者在密钥査询阶段最多进行
q
次查
询
,
则血%
2
中的所有密钥都是类型
2
的半功能密钥
。
GsneFinai
中的密钥与
Gameq,
2
中
的密钥完全相同
,
密文
是对
GqxG/G%
中的
〜
随机元素遊厅加密
。
下面通过
4
个引理证明这些游戏的^
W
分性
。
引理
1
如果假设
1
成立
,
则攻击者
A
区分血叫
与
Gameo
的优势是可以忽略的
。
证明
:
挑战者
C
接收一个元组@&出
)
作为输入,
其中
B
电曲
或
2
凸兔
。
具体为程如下所示
。
1
)
系统建立
。
C
随机选取
a/
诂
,
①
aw
鬲
,
ZwGqp
g,
肚陽
,
并幡
H=hZ,
h=g
a
0o将公钥略
{
g,
庄
1
}
发送给
A
。
同时将主密钥胚
K#,a,%
}
2
)
阶段
1
。
A
提交用户身份索引
U
、
属性集
S
进行
密钥查询
,
C
将酗的私钥瞬提交给
A
。
3
)
挑战
。
A
提交大小相同的消息曲
、
M*,
挑战的
撤销用户集合US*=
{
S*,
为,
…
,備以划匕战访问策略
W*
给
C
。
C
掷一枚随机硬币代
{
0,1
}
,
并随机选取&屁,知,
知
,
恐
e%,
{
s
屛
1,
手恋
,
满足
^
lSl
U-=l
o
随机选取一
个向量
0=
(
1,
仍,巧,
…
,o
”
)
eZ
丸计算山厶
0
。
计算密文
组俶口下:
0
)
=
(
劇|翅,的
,
C
现
,
C
护皿映沁
R
”
26
US*
羽
1
(
Cu
即㈣知,
C
Vi
=B
>
5
)
7?2
丿
。
C
将生成的密文
cr=
(
QC1,
隔心
{
Cq
,仇仏
)
发送给
A
。
下面以为例
,
给出具体的密文组件计算
。
如果
Bgd
,
则忌餾
,
那么
3@
财
0
)
吨,
g
)
“
,
Ci=gSg£Ri=gSRig£
,
C
尸血护*
(
呕严虻呱尸严
•
方熄屮酬鬆艸
=0
妒倔观麝%
C
常
@g
驴刊
®Ri
尸严
H
㈣尸严码
(
叫
『
,
c
v
=
畝沖%詔珈谟壮円%必其
中,
,
c=Pa,
d=P
,
欣
R+ao,
y=pb,
y'=s
US
》
//
i
(
U
)
,
4=
SjHiQ
)
,
b'=sb,
入=$
2
o
4
)
阶段
2
。
A
重复与阶段
1
中相同的操作
,
继续向
C
发起密钥询问
,
条件是查询的用户身份索引必须满足
血岔以圃^峻
S
不满足挑战阶段指定的访问策略
。
5
)
猜测
。
A
给出对鸭的猜测值鸭仁
{
0,1
}
。
女嗥
/v
,
则&赢得游戏
。
如果从
-G%%,
则
C
模拟的是伽砂
;
如
果则
C
模拟的是因此如果&能以不可
忽略的妙区分伽
26
嗣和论
6,
则
C
能以相同的优势
攻破假设
1
。
弓
I
理
2
如果假设
2
成立
,
则攻击者
A
区分
G
如%
1
詁
与
Garnet
」
的优势是可以忽略的
。
证明
:
挑战者
C
接收一
4*
元组@
,
石&屈卫
E,B
)
作
为输入
,
其中
B
心或
B&%
。
具体过程如下所示
。
1
)
系统建立
。
C
随机选取
a,a,b,ob,awZN,
ZeG%,
g,heG
9i
,^Tf^l^e
(
g,gr
,
H=hZ,
h=^
a
将公钥略
{
g,
£0,
比尹,庄
?
}
发送给
A,
同时将主密钥胚於匕
a,b,h
}
2
)
阶段
1
。
A
提交用户身份索引
U
、
属性集
S
进行
密钥查询
,
具体査询过程如下
:
当
A
询问第丘个密钥时
,
若
k C 随机选择刖 w%, 并時 K 冷日砂, 於严严 i ( 叱, K 3 =g r , K 十艸 来生成第丘个密钥以响应 A 的私钥査询 , C 隐式地设置 Y^=gf; 若 d,C 直接用主密钥来生成私鼠 当 A 询问第/个私钥时 , 生成的密钥为类型 1, 即 &9 坷 ( 唤,於 g 叨计®辰= 7?, 心砂 4% 这里 , C 隐式地将丈设置为陽的一部分 。 如果 B 竺 G , 则设置頁为 N0TINFO SECURITY __________________________________________________________________________________________________ 2021 年第 4 期 技术研究 B 的 $2 的一部分 , 生成的半功能密钥为类型 1 的 。 其 中 , 知呵 ( U ) +oo, r « ( 於属 1 ( 6 ) , Zi=H ( V^ o 如果 B 如,, 则就的第/个密钥为正常私钥 。 3 ) 挑战 。 A 提交大小相同的消息曲 、城 , 挑战的 撤销用户集合以矽匕战访问策略 W* 给 C 。 C 掷一枚随机硬币陆 { 0,1 } , 并随机选取鳳咫伦 1, Ri 風 %, 阳 , 护, 满足% sQ : =1 。 随机选取 f 向量 0= ( 1,%®, • • •^ ) eZ^,i-f#VAi5 oH 算密文组件如下: “ 两衣昭 ,0 ) ,C1=0! 極 1 , 缶血旳%讹 ” US* 他=辭 ) 昭 ( 吻 5, 仇 =3 氐 2 ) 护㈱ 7?2 丿 。 C 将生成的 密文 cr= ( Q,G, gm { CqG } U ) 发送给 a , 且隐式 us 9 设置 c=3, d 邙 , 甘 HQQ+ 闵, y=pb, 丫'= 0 弓乩 ( 口 ) , b-sb 0 4 ) 阶段 2 。 A 重复与阶段 1 中相同的操作 , 继续向 C 蛇密钥询问 , 釧槌査询的用户身濮引必须满足 u^us* 以及属濟 S 不满足挑战阶段指定的访问策略 。 5 ) 猜测 。 A 给出对 v 的猜测值必 { 0,1 } 。 如果奶予 , 贝!| A 赢得游戏 。 如果 B<-G 隔 , 则 C 模拟的是 ( ?叭_ 1,2 。 如果 B<-G, 则 C 模拟的是 Ga 哼 * 因此如果 A 能以不 可忽略的优势区分 Gog* 和 Gorney, 则 C 能以相同 的优势攻破假设 2 。 弓 I 理 3 如题设 2 慰 , 则攻击者 A 区分论"与 Gamete 的优势是可以忽略的 。 证明 : 挑战者 C 接收一个元组陀, 作为输入 , 其中 BdG 或 Bgid 。 在系统建立阶段, C 随机选取% a,b,%aeZN, ZeG%, g,heG qi , 并计算 N 舷就 , H=hZ, h=^ o 将公钥严, ? , 护 , 尹 , 庄 7 } 发送给 A, 将主密钥胚忌 { a, 耐保持私有 。 在阶段 1, 对于 A 的私钥查询 , C 使用与引理 2 相 同的方法来生成前 11 个私钥 。 对于最后 g-r 个密钥 , C 运行密钥生成算法生成私钥 。对于第/个私钥 , C 随机 选择时 Z ” 并计算&=严 ( 切 T, K 尸严严㈣ Y ; , K 3 = 昭呢 这里, C 隐式地将丈设置为 G% 的一部分 。 如果第 / 个密钥为类型 2 的半功能密钥 , 则 C 模 拟了 Garnet, 2。 如果層 第/个密钥为类型 1 的半 功能密钥 , 则 C 模拟了 6 叫 。 其他阶段与弓 I 理 2 的证明相同 。 引理 4 如果假设 3 成立 , 则攻击者 A 区分 G 劲勺 ,2 与 Gamete 的优势是可以忽略的 。 证明 : 挑战者 C 接收一个元组跖 作为输入 , 其中 B=e ( g,gT 或具体过程如 To 1 ) 系统建立 。 C 随机选取 a,a,b,ao,a&Z N , ZeG® g,hwG%, 并樽耳%,劝=呛 0, H=hZ, h=^ o 将 公钥略 { g, 0, 孑,比尹,育, 7 } 发送给 A, 将主密钥胚於 { a, aA% } 保持私有 。 2 ) 阶段 1 。 A 提交用户身份索引仄 属性集 S 进 行密钥查询 。 C 选取 r,veZ y 并计算 & 詔网 心 严护■坷&=小 K 尸 g 畛 } f 。 3 ) 挑战 。 A 提交大小相同的消息曲、 M*. 挑战 的撤销用户集合 吩口, 眩 • • •, U : } 以及挑战访问策略 旷给 C 。 C 掷一枚随机硬币陆 { 0,1 } , 并随机选取 7?1, 局, 凡 ,1, 人 1, 胡 2 」 wGg3, { Sj } £i, G w Z n , 满足 EI i S/T ; =1 O 随机 选取一个向量 0= ( 1,°2, 。 3, … ,0 ” ) eZ$, 计算 2 日 0 。 计算密文组件如下 : 0 ) = ( 矚*||訓 , Ci=@ 出 ) 7?i, G= ②昭@刈叫 ) +呗 , C 歹輕艸 ( 叽 ” c Ut = US* (gZ ) 卩⑷ ◎ 。 c 将戦的密文 CT*= ( C 0 , Cl, { C x } vx, { Cu 區 } U ) 发送给 A, 并隐含地设置 ^Y 2 =g s gfi, c=Pa, d 邙, ( 弦 US* ) ) +Oo, y=pb, , &i=SjHi ( 5 。 4 ) 阶段 2 。 A 重复与阶段 1 审相同的操作 , 继续向 C 发起密钥询问 , 条件是查询的用户身份索引必须满足 &血以及属瞬 S 不满足挑战阶段指定的访问策略 。 5 ) 猜测 。 A 给出对 ” 的猜测值怜仁 { 0,1 } 。 如果庐% 贝 ( I A 赢得游戏 。 如果尿 e ( g,g 严 , 则 C 模拟的是 Gh%,2 。 如果 B 是 G ■的随机兀素 , 则 C 模拟的是 GaWK^inaio 因此, 如果 A 能以不可忽略的优势区分 60» 甩 2 和 GcOT^Hnai, 则 C 能以相同的优静攻破假设 3 。 6 性能比较分析 1 ) 疑性比较 表 1 给出了本文方案与文献 [ 25 ] 、 文献 [ 29 ] 和文献卩 2 ] 方案在安全性方面的比较 。 由表 1 可以看出 , 本文方案 27 n C tinfo security 技术研究 2021 年第 4 期 基于合数阶群 , 支持 LSSS 策略 , 且支持隐私保护和用 户撤销 。 文献 [ 25 ] 和文献 [ 29 ] 方案是基于素数阶的 , 但 它们只支持与门 ( AND ) 的访问策略 , 且文献 [ 25 ] 方 案不支持隐私保护 。 文献 [ 32 ] 方案虽然支持 LSSS 策略, 但它基于合数阶群且不支持隐私保护 。 文献 [ 25 ] 、 文 献 [ 29 ] 和文献 [ 32 ] 方案都没有考虑用户动态加入系统以 及用户有效撤销的问题 。 表 1 安全性比较 方案 群的阶数访问策略隐私保护 用户撤销 文献 [ 25 ] 方案 P AND XX 文献 [ 29 ] 方案 P AND 7 X 文献 [ 32 ] 方案 PIP2P3 LSSS X X 本文方案 PIP2P3 LSSS 7 7 2 ) 其他性能比较 将本文^案与文献 [ 25 ] 、 文献 [ 29 ] 和文献 [ 32 ] 方案在 大小 、 密钥大小 、 密文大小和解密代价等方面进行 比较 , 女口表 2 所示 。 其中 , 〃为属性数量 ,/为 LSSS 访问 矩阵的最大行数 , 加为用户的最大数量 。 p 耘 G t 中的 双线性配对运算 。 G 和 ©I 分别表示 G 和 G 冲元素的 比特长 , 将 G 、 G ” 和 G? 中元素的大小设置为 512bit 。 I 和出分别表示最小用户集和它的大小 。 表 2 其他性能比较 方案 公钥长度 密钥长度 密文长度 解密代价 文献 [ 25 ] 方案 (2m+n+2)|G| (2 ” +5)|G| 4|G|+|Grl 11P 文献 [ 29 ] 方案 (2/n+8n+3)|G|(4 ” +2)|G| (4"+3)|G|+|G 『 2p 文献 [ 32 ] 方案 (加 +〃+ 2)|G|+|Gd (加 +"+1) 阳 ⑵ +2)|G|+|G 『 (2|/|+2)p 本文方案 6IGI+GI ( ” +3)|G|( /+2+ 加 ) 区田 G 『 4p 将方案在 Inter ( R ) Core ( TM ) i5-4210U CPU 、 4 GB RAM 上进行仿真实验 , 图 1 和图 2 给出了随属性数量 变化 , 各方案密钥生成时间和解密时间的比较 , 图 3 和图 4 给出了随属性个数变化 , 各方案公钥长度和密 钥长度的比较 。 由表 2 和图 1 〜 图 4 可知 , 虽然文献 [ 29 ] 方案实现了 快速解密 , 但主要是通过将繁重的计算外包给不可信 的第三方云服务提供商来实现的 。 文献 [ 25 ] 方案虽然实 现了恒定密文大小和恒定的解密代价 , 但是以牺牲用 28 — ♦ — 文献 [ 32 ] 方案 一*一文献 [ 29 ] 方案 — — — 文献 本文方乘 [ 25 ]方案 S E 、 钦 汪 叵 富 證 去 金 m ® s 200 0 10 15 20 属性个数 / 个 图 1 密钥生成时间比较 f- 文献 [ 32 ] 方案 一 ♦ — 文献 [ 29 ] 方案 文献 [ 25 ]方案 — 本文方柬 0 5 10 15 20 属性个数 / 个 图 2 解密时间比较 f- 文献 [ 32 ] 方案 Y — 文献 [ 29 ] 方案 f- 文献 [ 25 ] 方案 — 本文方柬 10 15 20 属性个数/ 个 图 3 公钥长度比较 __________________________________________________________________________________________________ #021 年第 4 期 n C tinfo security 图 4 密钥长度比较 户隐私保护为代价实现的 。 本文方案在密钥生成时间 、 解密时间 、 公钥和密钥大小等方面明显优于其他方案。 7 结束语 为解决已有方案的缺陷, 本文结合属性基加密与 广播加密的优势 , 提岀了一种支持动态管理的广播加 密方案 。该方案不仅实现了灵活的访问控制、 有效撤 销用户和动态添加新用户 , 还确保了用户属性的隐藏 和快速解密 。 此外 , 在密钥生成阶段 , 使用不经意传 输协议来确保用户属性对可信权威中心的保密 。 然而, 本文方案仍基于合数阶群 。 因此 , 高效的基于匿名属 性的素数阶动态广播方案将是下一步的研究重点 。 参考文献 : [1] BONEH D, GOHEJ, NISSIM K. Evaluating 2-DNF Formulas on Ciphertexts [M]/7 Springer. Theory of Cryptography. Heidelberg: Springer, 2005:325-341. [2] OSTROVSKY R, SAHAI A, WATERS B. Attribute-based Encryption with Non — monotonic Access Structures[C]/ZACM. The 14th ACM Conference on Computer and Communications Security, October 29-November 2, 2007, Alexandria Virginia, USA. New York: ACM, 2007: 195-203. ⑶ LAI Junzuo, DENG R H, LI Yingjiu, et al. Fully Secure Key-policy Attribute — based Encryption with Constant — size Ciphertexts and Fast Decryption[C]//ACM. The 9th ACM Symposium on Information, Computer and Communications Security, June 4 — 6, 2014, Kyoto, Japan. New York: ACM, 2014: 239-248. [4] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy 技术研究 Attribute — based Encryption[C]//IEEE. IEEE Symposium on Security & Privacy, May 20-23,2007, Berkeley, CA, USA. NJ: IEEE, 2007: 321-334. [5] CHEUNG L, NEWPORT C. Provably Secure Ciphertext Policy ABE[C]// ACM. The 14th ACM Conference on Computer and Communications Security, October 29 — November 2, 2007, Alexandria Virginia, USA. New York: ACM, 2007: 456-465. [6] FIAT A, NAOR M. Broadcast EncryptionfM]// Springer. Advances in Cryptology — CRYPTO1 93. Heidelberg: Springer, 1993: 480-491. [7] BONEH D, GENTRY C, WATERS B. CoUusion Resistant Broadcast Encryption with Short Ciphertexts and Private Keys[M]//Springer. Advances in Cryptology-CRYPTO 2005. Heidelberg: Springer, 2005:258-275. [8] CECILE Delerablee, PAILLIER P, POINTCHEVAL D. Fully Collusion Secure Dynamic Broadcast Encryption with Constant- Size Ciphertexts or Decryption Keys[M]//Springer. Pairing — based Cryptography — Pairing 2007. Heidelberg: Springer, 2007: 39 — 59. [9] LEWKO A, SAHAI A, WATERS B. Revocation Systems with Very Small Private Keys[C]Z/IEEE. 2010 IEEE Symposium on Security and Privacy, May 16-19, 2010, Berkeley, Oakland, CA, USA. NJ: IEEE, 2010: 273-285. [10] CHEN Liqing, LI Jiguo, ZHANG Yichen. Adaptively Secure Efficient Broadcast Encryption with Constant — size Secret key and CiphertextfJ]. Soft Computing, 2019,24(8): 4589 — 4606. [11] ACHARYA K. Secure and Efficient Public Key Multi-channel Broadcast Encryption Schemes[EB/OL] . / science/article/abs/pii/S22899,2020-10-30. [12] RAO Y S. A Secure and Efficient Ciphertext — policy Attribute — based Signcryption for Personal Health Records Sharing in Cloud Computing^]. Future Generations Computer Systems, 2017, 67(2): 133-151. [13] Lljiguo, YAO Wei, ZHANG Yichen, et al. Flexible and Fine-grained Attribute — based Data Storage in Cloud ConiputingfJ]. IEEE Transactions on Services Computing, 2017,10(5): 785 — 796. [14] NISHIDE T, YONEYAMAK, OHTAK. Attribute-based Encryption with Partially Hidden Encryptor — specified Access Structures[M]^Springer. Applied Cryptography and Network Security. Heidelberg: Springer, 2008: 111-129. [15] ZHANG Leyou, HU Gongcheng, MU Yi, et al. Hidden Ciphertext Policy Attribute — based Encryption with Fast Decryption for Personal Health Record SystemfJ]. IEEE Access, 2019,7(3): 33202-33213. [16] ZHANG Yinghui, CHEN Xiaofeng, LI Jin, et al. Anonymous attribute — based Encryption Supporting Efficient Decryption Test[C] 〃 ACM. The 8th ACM SIGSAC Symposium on Information, Computer and Communications Security May 8 — 10, 2013, Hangzhou, China. New York: ACM, 2013:511-516. [17] ZHANG Yichen, LI Jiguo, HAO Yan. Constant Size Ciphertext Distributed CP — ABE Scheme with Privacy Protection and Fully Hiding Access Structure[J]. IEEE Access, 2019, 7(9): 47982-47990. [18] WANG Zhiwei, HE Mingjun. CP-ABE with Hidden Policy from Waters Efficient Construction[EB/OL] . /doi/ abs/10.1155/2016/3257029, 2016-01-28. 29 n C tinfo SECURITY 技术研究 2021 年第 4期 __________________________________________________________________________________________________ [19] PHUONG TVX, YANG Guomin, SUSILO W. Hidden Ciphertext Policy Attribute — based Encryption Under Standard Assumptions [J]. IEEE Iransactions on Infonnation Forensics & Security, 2016,11(1): 35 — 45. [20] KATZ J, K, SAHAI A, WATERS B. Predicate Encryption Supporting Disjunctions, Polynomial Equations, and Inner Productsp4]Z/Sprmger. Advances in Gyptdc^y^-EUROCRYPTl Heidelberg: Springer, 2008:146 — 162. [21] SHI E, WATERS B. Delegating Capabilities in Predicate Encryption Systems[M] // Springer. Automata, Languages and Programming. Heidelberg: Springer, 2008:560 — 578. [22] LUBICZ D, SIRVENT T. Attribute — based Broadcast Encryption Scheme Made Efficient[M] //Springer. Progress in Cryptology — AFRICACRYPT 2008. Heidelberg: Springer, 2008: 325 — 342. [23] ATTRAPADUNG N, IMAI H. Conjunctive Broadcast and Attribute — based Encryption[M]/7Springer. Pairing — based Cryptography- Pairing 2009. Heidelberg: Springer, 2009:248 — 265. [24] CANARD S, PHAN D H, TRINH V C. Attribute-based Broadcast Encryption Scheme for Lightweight Devices[J]. IET Information Security, 2017,12(1): 52-59. [25] PHUONG T V X, YANG Guomin, SUSILO et aL Attribute-based Broadcast Encryption with Short Ciphertext and Decryption Key^4|//Springer. Computer Security — ESORICS 2015. Cham: Sprin^r; 2015:252 — 269. [26] CANARD S, TRINH V C. Constant — size Ciphertext Attribute — 30 based Encryption from Multi-channel Broadcast Encryption[M] // Springer. Information Systems Security. Cham: Springer, 2016:193 — 211. [27] ZHOU Zhibin, HUANG Dijiang. On Efficient Ciphertext policy Attribute — based Encryption and Broadcast Encryption[J]. IEEE Transactions on Computers, 2010, 2010(1): 753 — 755. [28] ZHOU Zhibin, HUANG Dijiang, WANG 乙 Efficient Privacy preserving Ciphertext — policy Attribute —based Encryption and Broadcast Encryption^]. IEEE Transactions on Computers, 2015, 64(1): 126 — 138. [29] XIONG Hu, ZHANG Hao, SUNJianfei. Attribute-based Privacy preserving Data Sharing for Dynamic Groups in Cloud Computing[J]. IEEE systems journal, 2019,13 ⑶ : 2739 — 2750. [30] KUMAR G S, KRISHNA A S. Privacy Sustaining Constant Length Ciphertext — policy Attribute — based Broadcast Encryption: Methods and Protocols[EB/OL] . https :〃 www. /publication/330434647_ Privacy_Sustaining_Constant_Length_Ciphertext — Policy_Attribute — Based_Broadcast_Encryption_Methods_and_Protocok, 2020 — 10 —29. [31] LEWKO A, OKAMOTO X SAHAI A, et al Fully Secure Functional Encryption: Attribute — based Encryption and (Hierarchical) Inner Product Encryption[M|Z^Springer. Advances in Cryptology-rEUROCRYPT 2010. Heidelberg: Springer, 2010:62 — 91. [32] LI Qingyi, ZHANG Fengli. A Fully Secure Attribute — based Broadcast Encryption SchemeQ]. International Journal ofNetwork Security 2015,17(3): 263-271.
发布评论