趙志遠(yuǎn) 王建華, 徐開(kāi)勇 郭松輝

1(中國(guó)人民解放軍信息工程大學(xué) 鄭州 450001)2 (空軍電子技術(shù)研究所 北京 100195)

云存儲(chǔ)是基于云計(jì)算建立起來(lái)的一種新型的網(wǎng)絡(luò)存儲(chǔ)技術(shù)，其可以為數(shù)據(jù)用戶提供“無(wú)限”的存儲(chǔ)空間[1].當(dāng)用戶將數(shù)據(jù)資源上傳至云存儲(chǔ)系統(tǒng)后，其將失去對(duì)數(shù)據(jù)的實(shí)際控制，尤其對(duì)于敏感的數(shù)據(jù)資源，數(shù)據(jù)擁有者應(yīng)該能夠控制數(shù)據(jù)的訪問(wèn)權(quán)限.因此，將數(shù)據(jù)加密處理并設(shè)計(jì)靈活細(xì)粒度的訪問(wèn)控制機(jī)制對(duì)于保護(hù)云存儲(chǔ)系統(tǒng)中數(shù)據(jù)資源的安全至關(guān)重要.屬性基加密(attribute based encryption， ABE)[2]作為一種公鑰密碼原語(yǔ)，可以為云存儲(chǔ)系統(tǒng)提供靈活細(xì)粒度的訪問(wèn)控制，對(duì)于保護(hù)云中數(shù)據(jù)資源安全發(fā)揮重要作用.依據(jù)訪問(wèn)策略位置的不同，可以將ABE分為密鑰策略屬性基加密(key-policy ABE，KP-ABE)方案[3]和密文策略屬性基加密(ciphertext-policy ABE， CP-ABE)方案[4].ABE概念提出后，相關(guān)學(xué)者提出大量研究工作[5-7].

隨著移動(dòng)互聯(lián)網(wǎng)和移動(dòng)智能終端的快速發(fā)展，使用移動(dòng)終端訪問(wèn)云存儲(chǔ)系統(tǒng)中的數(shù)據(jù)成為一種趨勢(shì)，而移動(dòng)智能終端受限的計(jì)算資源和電量資源致使其不能承載過(guò)大的計(jì)算負(fù)擔(dān)和通信負(fù)擔(dān).傳統(tǒng)的屬性基加密在私鑰生成、數(shù)據(jù)加密和解密階段往往需要大量的計(jì)算，且計(jì)算量與屬性集合或訪問(wèn)策略復(fù)雜度呈線性增長(zhǎng)關(guān)系，這將給屬性授權(quán)機(jī)構(gòu)和移動(dòng)終端帶來(lái)嚴(yán)重的計(jì)算負(fù)擔(dān)和電量損耗.為解決該問(wèn)題，相關(guān)學(xué)者提出外包ABE方案[8-10].即，在保證數(shù)據(jù)機(jī)密性的情況下將部分計(jì)算外包給云服務(wù)商，而屬性授權(quán)機(jī)構(gòu)和移動(dòng)終端只需要少量的計(jì)算即可.

Green等人[11]提出一種解密運(yùn)算外包ABE方案，該方案在解密過(guò)程中首先將密文傳送給解密外包服務(wù)器，解密外包服務(wù)器對(duì)密文進(jìn)行一次密文轉(zhuǎn)換獲得中間密文再傳送給用戶，達(dá)到降低本地解密計(jì)算量的目的.王皓等人[12]在給出外包ABE方案的形式化定義后，構(gòu)造了一個(gè)具體的外包CP-ABE方案.該方案在標(biāo)準(zhǔn)模型下基于雙系統(tǒng)加密技術(shù)證明了方案是自適應(yīng)安全，但該方案效率較低.Lai等人[13]所提方案在實(shí)現(xiàn)外包解密的同時(shí)，支持了外包計(jì)算的正確性驗(yàn)證.Li等人[14]通過(guò)MapReduce實(shí)現(xiàn)了ABE數(shù)據(jù)加密的外包計(jì)算，且該方案支持樹(shù)形訪問(wèn)策略，具有豐富的表達(dá)能力，但該方案沒(méi)有考慮外包解密計(jì)算.

Li等人[15]提出一種支持私鑰生成和解密計(jì)算外包的ABE方案，但該方案不能驗(yàn)證外包計(jì)算結(jié)果的正確性.Zhou等人[16]提出一種同時(shí)支持加密和解密計(jì)算外包ABE方案.該方案將訪問(wèn)策略分成“AND”門(mén)連接的2部分子訪問(wèn)策略，然后將一部分訪問(wèn)策略的加密任務(wù)外包給加密服務(wù)提供商，用戶只需完成一個(gè)屬性的加密任務(wù)，通過(guò)該方法隱藏隨機(jī)盲化因子s.但該方案只支持根節(jié)點(diǎn)為“AND”門(mén)的訪問(wèn)策略樹(shù)；另外，該方案支持解密計(jì)算外包.Li等人[17]提出一個(gè)支持私鑰生成和解密外包的ABE方案.該方案雇傭2個(gè)密鑰生成服務(wù)提供商，共同幫助屬性授權(quán)機(jī)構(gòu)完成私鑰生成工作.Fan等人[18]提出一種可驗(yàn)證外包的多授權(quán)訪問(wèn)控制方案.該方案將大部分加密和解密計(jì)算任務(wù)外包給霧節(jié)點(diǎn)，以減輕用戶的計(jì)算負(fù)擔(dān).同時(shí)該方案能夠驗(yàn)證外包計(jì)算結(jié)果的正確性.Li等人[19]提出一種新奇的可驗(yàn)證外包解密ABE方案.該方案的密文長(zhǎng)度與訪問(wèn)策略復(fù)雜度無(wú)關(guān)，但該方案只支持解密計(jì)算外包，且訪問(wèn)策略的表達(dá)能力有限.

上述方案都沒(méi)有實(shí)現(xiàn)完全外包，即將私鑰生成、加密和解密計(jì)算同時(shí)外包給第三方.Zhang等人[20]提出一種完全外包CP-ABE方案，即將密鑰產(chǎn)生、加密和解密都外包給云服務(wù)商，并且完成了方案的安全性證明.但該方案無(wú)法驗(yàn)證外包計(jì)算結(jié)果的正確性，而可驗(yàn)證性對(duì)于云存儲(chǔ)系統(tǒng)應(yīng)用至關(guān)重要.

針對(duì)上述問(wèn)題，本文提出一種支持可驗(yàn)證的完全外包CP-ABE方案.該方案可以同時(shí)實(shí)現(xiàn)密鑰生成、加密和解密的計(jì)算外包，并且其能夠驗(yàn)證外包計(jì)算結(jié)果的正確性.具體來(lái)說(shuō)，屬性授權(quán)機(jī)構(gòu)雇傭2個(gè)不能合謀的密鑰生成云服務(wù)商生成中間私鑰ISKx，其中x={1,2}.然后屬性授權(quán)機(jī)構(gòu)根據(jù)ISKx只需簡(jiǎn)單計(jì)算便可完成私鑰生成工作；本文引入一個(gè)缺省屬性ξ重新構(gòu)造訪問(wèn)策略完成加密外包工作；通過(guò)私鑰SK重新構(gòu)造轉(zhuǎn)換密鑰TK和取回密鑰RK，然后解密云服務(wù)商通過(guò)TK完成密文的部分解密工作；另外，通過(guò)2個(gè)雜湊函數(shù)完成外包計(jì)算結(jié)果的正確性驗(yàn)證.該方案可以有效減輕屬性授權(quán)機(jī)構(gòu)和用戶的計(jì)算負(fù)擔(dān).本文基于決策性q-BDHE(q-bilinear Diffie-Hellman exponent)假設(shè)在隨機(jī)預(yù)言機(jī)模型下證明了所提方案的選擇明文攻擊的不可區(qū)分安全性，提供了所提方案的可驗(yàn)證性證明.最后，理論分析與實(shí)驗(yàn)驗(yàn)證表明所提方案在功能性和效率方面具有優(yōu)勢(shì)，更加適合實(shí)際應(yīng)用情況.

1 理論基礎(chǔ)知識(shí)

本節(jié)主要介紹文中所需的相關(guān)技術(shù)，包括雙線性群、線性秘密共享方案和決策性q-BDHE假設(shè).

1.1 雙線性群

雙線性群是密碼系統(tǒng)中重要的關(guān)鍵技術(shù).令ψ是一個(gè)群生成算法，其以安全參數(shù)λ作為輸入，輸出(p,G,GT,e).其中p是由安全參數(shù)λ決定的素?cái)?shù)，G和GT是階為素?cái)?shù)p的循環(huán)群.雙線性映射e:G×G→GT滿足下列性質(zhì)：

1) 雙線性.對(duì)于?u,v∈G，a,b∈p，有e(ua,vb)=e(u,v)ab.

2) 非退化性.存在g∈G，使得e(g,g)在GT中的階是p.

3) 可計(jì)算性.對(duì)于?u,v∈G，可以有效計(jì)算e(u,v).

1.2 線性秘密共享方案

線性秘密共享方案(linear secret sharing scheme， LSSS)的定義是參與者集合P上的一個(gè)密鑰共享方案Π如果滿足下列2個(gè)條件，則被稱(chēng)為p上的線性秘密共享方案.

2) 對(duì)于每個(gè)秘密共享方案Π，存在一個(gè)生成矩陣M(l×n)，對(duì)于矩陣M中的每一行i=1,2,…,l，映射ρ:{1,2,…,l}→P把M的每一行映射到參與者ρ(i)，ρ為單射函數(shù).考慮向量v=(s,y2,…,yn)，s∈p是共享密鑰，y2,…,yn∈p隨機(jī)選擇用來(lái)隱藏s，Mv是l個(gè)秘密份額形成的向量，其中λi=(Mv)i表示參與者ρ(i)所持有的秘密份額.

LSSS方案具有線性重構(gòu)特性.假設(shè)Π是訪問(wèn)策略的一個(gè)線性秘密共享，設(shè)S∈是一個(gè)訪問(wèn)授權(quán)集合，定義為I={i:ρ(i)∈S}.如果{λi}是對(duì)秘密s的有效共享份額，那么可以在多項(xiàng)式時(shí)間內(nèi)找到一組常數(shù){wi∈p}i∈I，使等式λi=s成立.

1.3 決策性q-BDHE假設(shè)

令G表示階為素?cái)?shù)p的雙線性群，g和h為群G的2個(gè)獨(dú)立生成元，選取隨機(jī)值α∈，然后定義yg,α,l=(g1,g2,…,gl,gl+2,…,g2l)∈G2l-1，其中g(shù)i=g(αi).算法通過(guò)輸出值z(mì)∈{0,1}進(jìn)行猜測(cè)，若|Pr[B(g,h,yg,α,l,e(gl+1,h))=0]-Pr[B(g,h,yg,α,l,Z)=0]|≥ε，則定義其擁有優(yōu)勢(shì)ε來(lái)解決群G和GT下的決策性q-BDHE問(wèn)題.若無(wú)多項(xiàng)式時(shí)間算法以不可忽略的優(yōu)勢(shì)來(lái)解決決策性q-BDHE問(wèn)題，那么我們就說(shuō)決策性q-BDHE假設(shè)在群G和GT中是成立的.

2 VFO-CP-ABE方案系統(tǒng)及安全模型

2.1 混合訪問(wèn)策略

本文基于Waters的CP-ABE方案[21]提出支持可驗(yàn)證的完全外包CP-ABE方案，方案中的用戶私鑰與屬性集合S相關(guān)聯(lián)，密文與訪問(wèn)策略(M,ρ)相關(guān)聯(lián).為了確保在外包加密過(guò)程中數(shù)據(jù)的機(jī)密性，本文建立了一個(gè)混合訪問(wèn)策略Str=(M,ρ)∧{ξ}，其中∧代表“AND”門(mén)，(M,ρ)代表原訪問(wèn)策略，ξ代表缺省屬性.也就是說(shuō)，在任意一個(gè)指定的訪問(wèn)策略(M,ρ)中，本文通過(guò)“AND”門(mén)在原訪問(wèn)策略(M,ρ)中引入缺省屬性ξ來(lái)構(gòu)造混合訪問(wèn)策略Str=(M,ρ)∧{ξ}.本文通過(guò)這種巧妙的構(gòu)造，使得原訪問(wèn)策略可以是任意形式.在加密過(guò)程中，數(shù)據(jù)擁有者完成ξ的加密，E-CSP完成(M,ρ)的加密，且不會(huì)泄露明文信息.

2.2 系統(tǒng)模型

本文所用相關(guān)名詞及其縮寫(xiě)如表1所示：

Table 1 Related Terms and Their Acronyms表1 相關(guān)名詞及其縮寫(xiě)

Fig. 1 System model of fully outsourced ABE圖1 完全外包屬性基加密系統(tǒng)模型

本文所提方案的系統(tǒng)模型如圖1所示.其中，密鑰生成云服務(wù)商(KG-CSP)、加密云服務(wù)商(E-CSP)、解密云服務(wù)商(D-CSP)和存儲(chǔ)云服務(wù)商(S-CSP)是該系統(tǒng)模型實(shí)現(xiàn)完全外包功能的核心組件.它們分別提供私鑰生成服務(wù)、數(shù)據(jù)加密服務(wù)、數(shù)據(jù)解密服務(wù)和數(shù)據(jù)存儲(chǔ)服務(wù).但在服務(wù)過(guò)程中，它們不能知道用戶私鑰和數(shù)據(jù)明文.本文方案中，數(shù)據(jù)擁有者(DO)可以使用移動(dòng)計(jì)算終端加密明文信息并存儲(chǔ)到云端；數(shù)據(jù)用戶(DU)可以使用移動(dòng)計(jì)算終端從云端下載密文信息并解密，且移動(dòng)計(jì)算終端可以承受這種計(jì)算負(fù)載.

本文假設(shè)屬性授權(quán)機(jī)構(gòu)(AA)是一個(gè)完全可信的密鑰分發(fā)機(jī)構(gòu)；云服務(wù)商是誠(chéng)實(shí)但好奇的(honest but curious)[22]，即云服務(wù)商會(huì)誠(chéng)實(shí)地按照正確的步驟執(zhí)行，但是由于好奇心，其會(huì)在工作過(guò)程中窺探數(shù)據(jù)中的隱私.2個(gè)KG-CSP不能互相合謀共享數(shù)據(jù)，因此最終獲得的ISK對(duì)于2個(gè)KG-CSP是信息隱藏的.

本文所提VFO-CP-ABE方案(fully outsourced CP-ABE with verifiability)包含9個(gè)多項(xiàng)式時(shí)間算法.

Setup(1λ)：該算法由AA運(yùn)行，其以安全參數(shù)λ作為輸入，輸出系統(tǒng)公鑰PK和主私鑰MSK.

KeyGeninit(PK,N)：該算法由KG-CSPx運(yùn)行，其以系統(tǒng)公鑰PK和系統(tǒng)屬性集合N(系統(tǒng)屬性總數(shù)量)作為輸入，輸出中間私鑰ISKx，其中x={1,2}.

KeyGenpackage(MSK,S,ISK1,ISK2)：該算法由AA運(yùn)行，其以系統(tǒng)主私鑰MSK、用戶屬性集合S和中間私鑰ISKx(x={1,2})作為輸入，輸出用戶私鑰SK.

KeyBlind(SK)：該算法由DU運(yùn)行，其以用戶私鑰SK作為輸入，輸出轉(zhuǎn)換密鑰TK和取回密鑰RK.

Encryptinit(m)：該算法由DO運(yùn)行，其以明文消息m∈M作為輸入，輸出加密密鑰對(duì)(EKE-CSP，EKDO).

EncryptE-CSP(PK,(M,ρ),EKE-CSP)：該算法由E-CSP運(yùn)行，其以系統(tǒng)公鑰PK、訪問(wèn)策略(M,ρ)和加密密鑰EKE-CSP作為輸入，輸出中間密文CTE-CSP.

EncryptDO(PK,(M,ρ),EKDO,CTE-CSP,m)：該算法由DO運(yùn)行，其以系統(tǒng)公鑰PK、訪問(wèn)策略(M,ρ)、加密密鑰EKDO、中間密文CTE-CSP和明文消息m∈M作為輸入，輸出密文CT和驗(yàn)證標(biāo)志VKm.最后，DO將CT和VKm發(fā)送給S-CSP.

DecryptD-CSP(TK,CT)：該算法由D-CSP運(yùn)行，其以轉(zhuǎn)換密鑰TK和密文CT作為輸入，輸出轉(zhuǎn)換密文TC.

DecryptDU(TC,VKm,RK)：該算法由DU運(yùn)行，其以轉(zhuǎn)換密鑰TC、驗(yàn)證標(biāo)志VKm和取回密鑰RK作為輸入，輸出明文消息m或者中止符⊥.

2.3 安全模型

本文考慮這樣一個(gè)敵手：敵手A是一些惡意用戶并且能夠與KG-CSPx(x只能為1或者只能為2)，E-CSP，D-CSP，S-CSP進(jìn)行合謀，其能夠獲取惡意用戶的私鑰，KG-CSPx的ISKx(x只能為1或者只能為2)，E-CSP的加密密鑰EKE-CSP和中間密文CTE-CSP，D-CSP的轉(zhuǎn)換密鑰TK，S-CSP的密文CT.不失一般性，本文假設(shè)x=1，然后A試圖去解密其他正常用戶的密文.

選擇明文攻擊安全游戲.本文針對(duì)提出的VFO-CP-ABE方案描述了選擇性選擇明文攻擊(chosen plaintext attack， CPA)安全游戲.具體描述如下.

系統(tǒng)初始化：敵手A將要挑戰(zhàn)的訪問(wèn)策略(M*,ρ*)傳送給仿真者B.

系統(tǒng)建立：B執(zhí)行Setup算法，然后將PK發(fā)送給敵手A.

查詢階段1：仿真者B初始化空表T0，空集合E和整數(shù)j=0.敵手A可以對(duì)屬性集合S重復(fù)進(jìn)行以下任何查詢.

1)Create(S)：仿真者B設(shè)置jj+1，運(yùn)行2次KenGeninit算法獲得中間私鑰ISK1和ISK2，運(yùn)行KenGenpackage獲得關(guān)聯(lián)屬性集合S的私鑰SK，運(yùn)行KeyBlind算法獲得轉(zhuǎn)換密鑰TK和取回密鑰RK.最后將(j,S,SK,TK,RK,ISK1)存儲(chǔ)于表T0中.

注意：敵手可以重復(fù)詢問(wèn)相同的屬性集合S.其中，f((M*,ρ*),S)≠1.但A能夠提交滿足(M*,ρ*)的屬性集合S′進(jìn)行CorruptISK1詢問(wèn).

2) CorruptSK(i)：B驗(yàn)證第i個(gè)實(shí)體(i,S,SK)是否存在于表T0中.如果存在，設(shè)置EE∪{S}并且返回SK；否則返回終止符⊥.

3) CorruptISK1(i)：仿真者B驗(yàn)證第i個(gè)實(shí)體(i,S,ISK1)是否存在于表T0中.如果存在，返回ISK1；否則返回終止符⊥.

4) CorruptTK(i)：B驗(yàn)證第i個(gè)實(shí)體(i,S,TK)是否存在于表T0中.如果存在，返回TK；否則返回終止符⊥.

猜測(cè)階段：敵手A輸出一個(gè)值b′∈{0,1}作為對(duì)b的猜測(cè).如果b′=b，我們稱(chēng)敵手A贏得了該游戲.敵手A在該游戲中的優(yōu)勢(shì)定義為：

定義1. 若無(wú)多項(xiàng)式時(shí)間敵手以不可忽略的優(yōu)勢(shì)來(lái)攻破上述安全模型，那么我們就說(shuō)本文提出的VFO-CP-ABE方案是選擇明文安全.

可驗(yàn)證性游戲.可驗(yàn)證性可以確保轉(zhuǎn)換階段是否被正確執(zhí)行，通過(guò)仿真者B和敵手A之間的博弈游戲描述VFO-CP-ABE方案的可驗(yàn)證性，具體過(guò)程如下.

系統(tǒng)建立：仿真者B執(zhí)行Setup算法，然后將PK發(fā)送給敵手A，自己保留主私鑰MSK.

查詢階段1：B按照方案私鑰生成方式響應(yīng)敵手A的詢問(wèn).因?yàn)锽知道MSK，所以其能回答所有私鑰詢問(wèn).

查詢階段2：B按照查詢階段1方式響應(yīng)敵手A的詢問(wèn)，但是敵手A不能詢問(wèn)滿足訪問(wèn)策略(M*,ρ*)的屬性集合S.

For the saturated regime, as shown in Fig. 3, the distribution of the depletion layer was made in five regions, and therefore:

定義2. 若無(wú)多項(xiàng)式時(shí)間敵手以不可忽略的優(yōu)勢(shì)來(lái)攻破上述安全模型，那么我們就說(shuō)本文提出的VFO-CP-ABE方案具有可驗(yàn)證性.

3 VFO-CP-ABE方案構(gòu)造

本節(jié)給出VFO-CP-ABE方案的詳細(xì)構(gòu)造過(guò)程，及方案的選擇性CPA安全證明和可驗(yàn)證性證明.

3.1 具體方案

VFO-CP-ABE方案包含9個(gè)多項(xiàng)式時(shí)間算法.每個(gè)算法詳細(xì)敘述如下.

Setup(1λ)：該算法選擇一個(gè)階為素?cái)?shù)p的雙線性群G，g為群G的生成元，hξ,h1,…,hU∈G為隨機(jī)群元素.另外，隨機(jī)選擇指數(shù)α,β∈p并計(jì)算g1=gβ.選擇雜湊函數(shù)H0:{0,1}2λ→{0,1}*，H1:{0,1}*→p，H2:{0,1}*→{0,1}λ.最后，輸出系統(tǒng)主私鑰MSK=gα和系統(tǒng)公鑰PK=G,g,g1,e(g,g)α,hξ,h1,…,hU,H0,H1,H2.

KeyBlind(SK)：該算法選擇一個(gè)隨機(jī)值δ∈p，然后計(jì)算，.對(duì)于j∈S∪{ξ}，計(jì)算.最后，輸出取回密鑰RK=δ和轉(zhuǎn)換密鑰TK=,,.

Encryptinit(m)：該算法隨機(jī)選擇R∈GT，并計(jì)算s=H1(R,m).然后，其隨機(jī)指定一個(gè)一次多項(xiàng)式q(·)，其中q(0)=s.進(jìn)一步設(shè)置s1=q(1)，s2=q(2).最后，輸出加密密鑰EKE-CSP={s1}和EKDO={s,s2,R}.

EncryptE-CSP(PK,(M,ρ),EKE-CSP)：該算法輸入PK，(M,ρ)，EKE-CSP.其中，M是一個(gè)l×n矩陣；函數(shù)ρ是一個(gè)單射函數(shù)，其將M的每一行映射到一個(gè)屬性.該算法隨機(jī)選擇向量v=(s1,y2,…,yn)∈p，其用于共享加密指數(shù)s1.對(duì)于i=1到l，計(jì)算λi=(vM)i，其中Mi是矩陣M的第i行.最后，輸出中間密文為CTE-CSP=C′=gs1,{Ci=gβ λi}1≤i≤l.

最后，DO輸出密文CT=CTDO,CTE-CSP，然后將VKm和CT發(fā)送給S-CSP.

DecryptD-CSP(TK,CT)：假設(shè)用戶私鑰關(guān)聯(lián)的屬性集合S∪{ξ}滿足密文CT關(guān)聯(lián)的混合訪問(wèn)策略Str=(M,ρ)∧{ξ}.參與者下標(biāo)集合I?{1,2,…,l}被定義為I={i:ρ(i)∈S}，如果{λi}是對(duì)秘密s1的有效共享份額，那么可以在多項(xiàng)式時(shí)間內(nèi)找到一組常數(shù){wi∈p}i∈I使得λi=s1.我們注意到，可能有幾種不同的方法來(lái)選擇wi來(lái)滿足上述公式.另外，解密算法只需要知道M和I就能確定這些常數(shù).DU將TK發(fā)送到D-CSP，D-CSP按下列公式計(jì)算：

(1)

(2)

然后我們能夠計(jì)算獲得T=e(g,g)αsδ.輸出轉(zhuǎn)換密文TC=C,C″,T.最后，D-CSP將轉(zhuǎn)換密文TC發(fā)送給DU.

DecryptDU(TC,VKm,RK)：DU接收到TC后，計(jì)算R=C(T)，t=H2(R).若H0(t‖C″)≠VKm，則輸出終止符⊥；否則計(jì)算m=C″⊕t和s=H1(R,m).若C=R·e(g,g)α s，T=e(g,g)α s δ，輸出m；否則輸出終止符⊥.

3.2 安全證明

定理1. 假設(shè)決策性q-BDHE假設(shè)在群G和GT中成立，那么本文所提VFO-CP-ABE方案是隨機(jī)預(yù)言機(jī)模型下選擇性CPA安全.

證明. 假設(shè)存在一個(gè)多項(xiàng)式時(shí)間敵手A能夠以不可忽略的優(yōu)勢(shì)ε在選擇性CPA安全模型下攻破本文方案，那么我們能夠構(gòu)建一個(gè)仿真者B以不可忽略的優(yōu)勢(shì)解決決策性q-BDHE困難問(wèn)題.敵手A是一些惡意用戶并且能夠與KG-CSPx(x只能為1或者只能為2)、E-CSP、D-CSP、S-CSP進(jìn)行合謀.本文假設(shè)2個(gè)KG-CSP不能互相合謀共享數(shù)據(jù)，而ISK是由ISK1和ISK2計(jì)算獲得，所以在敵手A的視角里ISK是信息隱藏的.不失一般性，本文假設(shè)x=1，然后敵手A試圖去解密其他正常用戶的密文.因此，敵手A能夠提交滿足(M*,ρ*)的屬性集合S′進(jìn)行ISK1詢問(wèn)，而其不能獲取任何關(guān)于ISK的有用的信息.

B輸入決策性q-BDHE挑戰(zhàn)元組(g,h,yg,α,l,Z)，其中，Z是群GT中的隨機(jī)元素或者是e(gl+1,h)，yg,α,l=(g1,g2,…,gl,gl+2,…,g2l)∈G2l-1.

系統(tǒng)初始化：敵手A選擇一個(gè)需要挑戰(zhàn)的訪問(wèn)策略T*=(M*,ρ*)并發(fā)送給仿真者B.

系統(tǒng)建立：B按照Waters方案[21]中挑戰(zhàn)者C的方式計(jì)算PK=G,g,g1=ga,e(g,g)α,h1,…,hU,hξ，然后仿真者B將公鑰PK發(fā)送給敵手A.

查詢階段1：B初始化空表T0,T1,T2，空集合E和整數(shù)j=0.敵手A可以對(duì)屬性集合重復(fù)進(jìn)行以下任何查詢.

1) Random Oracle HashH1(R,m)：若表T1中存在實(shí)體(R,m,s)，則返回s；否則，選擇一個(gè)隨機(jī)值s∈p，并在表T1中記錄(R,m,s)，返回s.

2) Random Oracle HashH2(R)：若表T2中存在實(shí)體(R,t)，則返回t；否則，選擇一個(gè)隨機(jī)值t∈{0,1}λ，在表T2中記錄(R,t)，返回t.

3) Creat(S)：B從敵手A處接收到屬性集合S的私鑰詢問(wèn)后，在屬性集合中增加缺省屬性ξ，即私鑰詢問(wèn)集合為S∪{ξ}.然后，B設(shè)置jj+1，并按照Waters方案[21]中挑戰(zhàn)者C的方式計(jì)算獲得SK=D,L,{Dj}j∈S∪{ξ}.B運(yùn)行KenGeninit獲得ISK1，運(yùn)行KeyBlind獲得轉(zhuǎn)換密鑰TK和取回密鑰RK.最后將(j,S,SK,TK,RK,ISK1)存儲(chǔ)于表T0中.

注意：A可以重復(fù)詢問(wèn)相同的屬性集合S，其中S滿足f((M*,ρ*),S)≠1.但A能夠提交滿足(M*,ρ*)的屬性集合S′進(jìn)行ISK1詢問(wèn).

4) CorruptSK(i)：B驗(yàn)證第i個(gè)實(shí)體(i,S,SK)是否存在于表T0中.如果存在，設(shè)置EE∪{S}并且返回SK；否則返回終止符⊥.

5) CorruptISK1(i)：仿真者B驗(yàn)證第i個(gè)實(shí)體(i,S,ISK1)是否存在于表T0中.如果存在，返回ISK1；否則返回終止符⊥.

6) CorruptTK(i)：B驗(yàn)證第i個(gè)實(shí)體(i,S,TK)是否存在于表T0中.如果存在，返回TK；否則返回終止符⊥.

查詢階段2：類(lèi)似查詢階段1，敵手A繼續(xù)向B提交一系列屬性列表.

猜測(cè)階段：敵手A輸出一個(gè)值b′∈{0,1}作為對(duì)b的猜測(cè).如果b′=b，B輸出0表示猜測(cè)Z=e(gn+1,h)；否則輸出1表示猜測(cè)Z為群GT中的隨機(jī)元素.當(dāng)Z=e(gn+1,h)時(shí)，仿真者B能夠提供一個(gè)有效的仿真.因此得出：Pr[B(g,h,yg,α,l,e(gl+1,h))=0]=12+AdvA；當(dāng)Z為GT中的隨機(jī)元素時(shí)，mb對(duì)于A來(lái)說(shuō)是完全隨機(jī)的，因此得出：Pr[B(g,h,yg,α,l,Z)=0]=12.因此，B能以不可忽略的優(yōu)勢(shì)攻破決策性q-BDHE假設(shè).

證畢.

定理2. 假設(shè)H0和H2是抵抗合謀攻擊的雜湊函數(shù)，那么VFO-CP-ABE方案具有可驗(yàn)證性.

查詢階段1：B按照方案算法適應(yīng)性回答敵手A的詢問(wèn).

查詢階段2：B按照查詢階段1方式響應(yīng)敵手A的詢問(wèn)，但是敵手A不能詢問(wèn)滿足訪問(wèn)策略(M*,ρ*)的屬性集合S.

猜測(cè)階段：A輸出屬性集合S*(f((M*,ρ*),S)=1)和轉(zhuǎn)換密文TC=〈C,C″,T〉.

通過(guò)上述分析完成定理2的安全證明.

證畢.

4 方案分析及實(shí)驗(yàn)驗(yàn)證

4.1 理論分析

為評(píng)估本文所提VFO-CP-ABE方案的計(jì)算效率，本節(jié)從理論層面分析了私鑰生成、加密和解密階段的計(jì)算開(kāi)銷(xiāo)，將本文方案與文獻(xiàn)[12,18-21]中相關(guān)ABE方案在計(jì)算效率方面進(jìn)行對(duì)比分析.對(duì)比過(guò)程中，|U|表示系統(tǒng)所有屬性數(shù)量；|S|表示DU所擁有的屬性數(shù)量；s和l分別表示滿足解密需求的屬性集合和LSSS中矩陣M的行數(shù).另外，EG和EGT分別表示G和GT中的模指數(shù)運(yùn)算；P表示雙線性對(duì)運(yùn)算.為對(duì)比公平，假設(shè)文獻(xiàn)[18]只有一個(gè)AA.表2給出了原理方面的效率對(duì)比.文獻(xiàn)[12]加密階段采用離線在線技術(shù)，為便于比較，將其與其他方案外包技術(shù)等同對(duì)比.

Table 2 Comparison of Efficiency and Outsourcing Capability表2 效率及外包能力對(duì)比分析

各方案效率及外包能力對(duì)比如表2所示.其中文獻(xiàn)[21]是一個(gè)基本CP-ABE方案，本文基于文獻(xiàn)[21]提出VFO-CP-ABE方案.本文方案實(shí)現(xiàn)了可驗(yàn)證的完全外包功能.這種方法能夠減少AA，DO，DU的計(jì)算量，極大緩解計(jì)算資源受限終端的計(jì)算負(fù)擔(dān).在原始文獻(xiàn)[21]中，屬性授權(quán)機(jī)構(gòu)、數(shù)據(jù)用戶和數(shù)據(jù)擁有者都需要計(jì)算大量的對(duì)運(yùn)算和指數(shù)運(yùn)算.文獻(xiàn)[19]僅支持外包解密計(jì)算，可以驗(yàn)證計(jì)算結(jié)果的正確性.文獻(xiàn)[19]雖然不支持密鑰生成和加密的外包計(jì)算功能，但是其實(shí)現(xiàn)了密文長(zhǎng)度恒定，在密鑰生成和加密階段只需較少的計(jì)算，其不足之處是僅支持“AND”門(mén)訪問(wèn)策略，表達(dá)能力有限.文獻(xiàn)[12]支持離線在線加密和解密計(jì)算外包功能，但該方案不支持外包解密正確性驗(yàn)證，且AA需要計(jì)算大量的指數(shù)運(yùn)算.文獻(xiàn)[18]支持加密和解密計(jì)算外包功能，并且可以驗(yàn)證計(jì)算結(jié)果的正確性，但是其AA需要計(jì)算大量的指數(shù)運(yùn)算.文獻(xiàn)[20]和本文方案同時(shí)實(shí)現(xiàn)了密鑰生成、加密和解密計(jì)算外包功能.但文獻(xiàn)[20]不支持可驗(yàn)證性，不能保證計(jì)算結(jié)果的正確性.

綜合分析，只有本文方案實(shí)現(xiàn)了密鑰生成、加密和解密的外包計(jì)算功能，減少了終端的計(jì)算量，支持可驗(yàn)證性.外包計(jì)算對(duì)于電量和計(jì)算資源有限的移動(dòng)設(shè)備具有重要意義.本文所提方案是有效且實(shí)際的.

4.2 實(shí)驗(yàn)分析

通過(guò)理論分析，本文方案在功能和效率方面具有優(yōu)勢(shì).為了進(jìn)一步評(píng)估本文方案的實(shí)際性能，本節(jié)通過(guò)以下實(shí)驗(yàn)環(huán)境測(cè)試了文獻(xiàn)[20]和本文方案在私鑰生成、數(shù)據(jù)加密和數(shù)據(jù)解密方面的計(jì)算時(shí)間.

實(shí)驗(yàn)環(huán)境：64 b Ubuntu 14.04操作系統(tǒng)、Intel?CoreTMi5-6200U(2.3 GHz)、內(nèi)存4 GB，實(shí)驗(yàn)代碼基于PBC-0.5.14 (pairing-based cryptography library)與CPABE-0.11進(jìn)行修改與編寫(xiě)，并且使用224 b MNT的橢圓曲線.

實(shí)驗(yàn)設(shè)置：在CP-ABE方案中，訪問(wèn)策略的復(fù)雜度影響加密和解密時(shí)間.為了說(shuō)明這一點(diǎn)，本文用(S1ANDS2AND…ANDSn)形式的訪問(wèn)策略模擬最復(fù)雜的情況，其中每個(gè)Si都是一個(gè)屬性.這種方法保證了所有密文組件都參與解密計(jì)算.本文以這種形式每次遞增10，從10增加到100產(chǎn)生10種不同的訪問(wèn)策略.對(duì)于每個(gè)訪問(wèn)策略，重復(fù)20次實(shí)驗(yàn)且每次實(shí)驗(yàn)完全獨(dú)立，然后取平均值作為實(shí)驗(yàn)結(jié)果.

屬性基加密一般與對(duì)稱(chēng)加密相互配合實(shí)現(xiàn)明文數(shù)據(jù)的加密，即首先用對(duì)稱(chēng)密鑰加密明文，然后用屬性基加密封裝對(duì)稱(chēng)密鑰.因此，本文為獲得基準(zhǔn)結(jié)果，基于上述訪問(wèn)策略封裝了一個(gè)128 b對(duì)稱(chēng)密鑰.測(cè)試實(shí)驗(yàn)結(jié)果如圖2所示.

Fig. 2 Comparison of simulation time圖2 仿真時(shí)間對(duì)比

圖2有6個(gè)子圖.每個(gè)子圖給出本文方案與文獻(xiàn)[20]方案的執(zhí)行時(shí)間對(duì)比情況.

圖2(a)和圖2(d)說(shuō)明KG-CSP承擔(dān)大部分密鑰生成工作，且密鑰生成時(shí)間與屬性數(shù)量呈線性增長(zhǎng)關(guān)系.屬性授權(quán)機(jī)構(gòu)只需承擔(dān)少量計(jì)算即可完成密鑰生成工作.在4.1節(jié)中，本文分析AA的計(jì)算量為0，這是因?yàn)楸疚暮雎粤顺朔ㄟ\(yùn)算、雜湊運(yùn)算等計(jì)算量小的運(yùn)算，它們是次要的因素.圖2(b)和圖2(e)說(shuō)明E-CSP承擔(dān)大部分的加密工作，且加密時(shí)間與訪問(wèn)策略的復(fù)雜度呈線性增長(zhǎng)關(guān)系.數(shù)據(jù)擁有者只需恒定的計(jì)算量即可完成加密工作.圖2(c)和圖2(f)說(shuō)明D-CSP承擔(dān)大部分的解密工作，密文轉(zhuǎn)換時(shí)間與訪問(wèn)策略的復(fù)雜度呈線性增長(zhǎng)關(guān)系.用戶解密只需要常量計(jì)算即可完成解密工作，與訪問(wèn)策略的復(fù)雜性無(wú)關(guān).

圖2(a)、圖2(b)和圖2(c)說(shuō)明密鑰生成時(shí)間、加密時(shí)間和解密時(shí)間隨屬性集合或訪問(wèn)策略復(fù)雜度的增加而增加.同時(shí)，通過(guò)2種方案對(duì)比發(fā)現(xiàn)，本文方案在云端的計(jì)算花費(fèi)小于文獻(xiàn)[20]，這種優(yōu)勢(shì)隨著屬性數(shù)量或訪問(wèn)策略復(fù)雜度的增加而變得更加明顯.圖2(d)說(shuō)明文獻(xiàn)[20]和本文方案的AA都只需較少計(jì)算量即可完成密鑰生成工作，且效率相當(dāng).圖2(e)和圖2(f)說(shuō)明文獻(xiàn)[20]的DO和DU較本文方案需要更少的計(jì)算，但是這種差距是非常小的，且不會(huì)隨著屬性數(shù)量或訪問(wèn)策略復(fù)雜度的增加而變化.

綜上所述，本文方案在云端的計(jì)算小于文獻(xiàn)[20]方案，且隨著屬性數(shù)量或訪問(wèn)策略復(fù)雜度的增加而變得更加明顯，這有助于AA和用戶租用較少的云計(jì)算資源，節(jié)約成本.本文方案在本地計(jì)算量略高于文獻(xiàn)[20]方案，但這種差距非常小且不隨著屬性數(shù)量或訪問(wèn)策略復(fù)雜度的增加而變化.另外，本文方案支持解密外包可驗(yàn)證性，文獻(xiàn)[20]不具備該能力.

5 結(jié)束語(yǔ)

為提高CP-ABE方案效率，本文提出一種支持可驗(yàn)證的完全外包CP-ABE方案VFO-CP-ABE.該方案可以同時(shí)實(shí)現(xiàn)密鑰生成、加密和解密計(jì)算外包功能，并且能夠驗(yàn)證外包計(jì)算結(jié)果的正確性.該方案可以有效緩解屬性授權(quán)機(jī)構(gòu)、數(shù)據(jù)擁有者和數(shù)據(jù)用戶的計(jì)算負(fù)擔(dān)，尤其面向具有大量用戶的云存儲(chǔ)系統(tǒng)和資源有限的用戶，優(yōu)勢(shì)更加明顯.然后，在隨機(jī)預(yù)言機(jī)模型下證明了所提方案的選擇明文攻擊的不可區(qū)分安全性，提供了所提方案的可驗(yàn)證性證明.最后，理論分析與實(shí)驗(yàn)驗(yàn)證結(jié)果表明所提方案在功能性和效率方面具有優(yōu)勢(shì)，更加適合實(shí)際應(yīng)用情況.