陳燕俐，楊華山

(南京郵電大學(xué) 計算機(jī)學(xué)院，南京 210023)

?

可支持屬性撤銷的基于CP-ABE可搜索加密方案

陳燕俐，楊華山

(南京郵電大學(xué) 計算機(jī)學(xué)院，南京 210023)

摘要：針對目前基于屬性的可搜索加密方案存在密鑰泄露以及不支持屬性撤銷的問題,提出了一種云環(huán)境下，安全高效、可支持屬性撤銷的基于CP-ABE (ciphertext-policy attribute based encryption)的可搜索加密方案。該方案不僅可支持細(xì)粒度的訪問控制，具有較高的計算效率，且用戶密鑰使用隨機(jī)值盲化后提交服務(wù)器，保證了用戶密鑰的保密性和安全性。該方案支持用戶屬性的撤銷，并在屬性撤銷過程中，將密文更新的大部分工作轉(zhuǎn)移給云服務(wù)提供商完成，方案在保證安全性的前提下，進(jìn)一步降低了用戶的計算代價。方案的安全性基于DL(decisional linear)假設(shè)，在通用模型下具有選擇明文攻擊安全，抗合謀攻擊，前向安全和后向安全。

關(guān)鍵詞：可搜索加密；屬性撤銷；基于屬性加密; 訪問控制結(jié)構(gòu)；云計算

0引言

隨著云計算和云存儲技術(shù)的發(fā)展，越來越多的用戶將數(shù)據(jù)存儲于云服務(wù)端，以獲得云端龐大便宜的存儲和檢索能力。由于可對加密數(shù)據(jù)進(jìn)行高效的檢索，以保證外包數(shù)據(jù)的安全性，可搜索加密目前已成為了云計算中加密系統(tǒng)中的研究熱點(diǎn)?？伤阉骷用苁且环N支持用戶在密文上進(jìn)行關(guān)鍵字查詢的密碼學(xué)原語，可實(shí)現(xiàn)在不解密密文的前提下，對密文進(jìn)行查詢操作。在云計算環(huán)境中，數(shù)據(jù)屬主可利用可搜索加密機(jī)制加密數(shù)據(jù)，并將加密好的數(shù)據(jù)上傳至云服務(wù)器端。當(dāng)用戶需要搜索某個關(guān)鍵字時，產(chǎn)生一個對應(yīng)關(guān)鍵字的門限值，將此門限值傳送至云服務(wù)器端。云服務(wù)器收到門限后，將此門限值和密文關(guān)鍵字進(jìn)行匹配，若匹配成功則將對應(yīng)密文返回給用戶，而用戶只需對返回的密文進(jìn)行解密?？伤阉骷用芗夹g(shù)不僅保證了外包數(shù)據(jù)的安全性和隱私，且不需要在對密文解密的情況下即可實(shí)現(xiàn)密文的關(guān)鍵字搜索。此外，用戶不需要解密沒有包含關(guān)鍵字的密文，節(jié)省了本地的計算資源。

大部分可搜索加密方案中，加密方與查詢方是多對一的關(guān)系。這在云環(huán)境的大背景下，顯然不能滿足用戶對數(shù)據(jù)共享的需求。越來越多的用戶希望將加密的數(shù)據(jù)提供給滿足條件的一群人共享。基于屬性的可搜索加密方案可以實(shí)現(xiàn)高效的數(shù)據(jù)共享和搜索功能，并且能實(shí)現(xiàn)細(xì)粒度的訪問控制和一對多的通信。但是目前基于屬性的可搜索加密方案中，存在用戶密鑰泄露、訪問控制結(jié)構(gòu)不夠靈活，計算效率不高的問題，并普遍不支持屬性撤銷功能，因此不能真正地實(shí)現(xiàn)細(xì)粒度的訪問控制。針對上述問題本文提出了一種支持屬性撤銷功能、安全、高效的基于屬性的可搜索加密方案。

1相關(guān)工作

1.1相關(guān)介紹

2000年，Wagner等[1]首次提出了可搜索加密(searchable encryption, SE)這一概念，要求在不解密密文的前提下，能對密文進(jìn)行查詢操作。之后改進(jìn)的對稱可搜索加密方案也相繼被提出[2-4]。2003年，Boneh等[5]首次提出了基于身份的加密方案(identity based encryption, IBE)?；谏矸莸募用芊桨覆皇褂米C書，直接將用戶身份作為公鑰，簡化公鑰基礎(chǔ)設(shè)施中基于證書的密鑰管理過程。2004年，Boneh等[6]首次提出了公鑰可搜索加密(public key encryption with keyword search, PEKS) 。數(shù)據(jù)發(fā)送方使用數(shù)據(jù)接收者的公鑰加密數(shù)據(jù)，將加密后的數(shù)據(jù)上傳至云服務(wù)器。數(shù)據(jù)接收者使用自身密鑰產(chǎn)生一個搜索門限值，將門限值發(fā)送至云服務(wù)器。若云服務(wù)存在包含門限關(guān)鍵字的密文，服務(wù)器將密文發(fā)送給接收者由接收者解密。之后具有連接關(guān)鍵詞，模糊關(guān)鍵詞以及一些高效率和高安全性的公鑰可搜索加密方案相繼被提出[7-10]。

2005年，Sahai等[11]在模糊的基于身份的加密算法基礎(chǔ)上首次提出了基于屬性的加密方案(attribute based encryption, ABE)。在基于屬性的加密方案中，用戶的密鑰和密文由一系列的屬性如性別、年齡、職位等所標(biāo)識，加密者無需知道解密者的詳細(xì)身份信息，而是掌握了解密者的一系列的描述屬性，當(dāng)用戶的密鑰與密文的標(biāo)識屬性相匹配時用戶就可以解密密文。Goyal等[12]提出基于屬性的加密體制可以分為密文策略的屬性加密體制(ciphertext-policy attribute based encryption,CP-ABE)和密鑰策略的基于屬性的加密體制(key-policy attribute based encryption，KP-ABE)。在密文策略的基于屬性的加密體制中，密文對應(yīng)一個訪問結(jié)構(gòu)而密鑰由用戶的屬性集合來描述，當(dāng)密鑰的屬性集合滿足密文的訪問結(jié)構(gòu)時用戶才可以解密；在密鑰策略的基于屬性加密體制中，密鑰對應(yīng)一個訪問結(jié)構(gòu)而密文對應(yīng)一個屬性集合，當(dāng)密文的屬性集合滿足密鑰的訪問結(jié)構(gòu)時用戶可以解密。2007年，Bethencourt等[13]提出在通用模型下可證明安全的CP-ABE。2011年，Waters[14]利用線性秘密共享(linear secret-sharing schemes,LSSS)訪問控制結(jié)構(gòu)提出了一種具有更高效率和安全性的屬性加密方案，并在標(biāo)準(zhǔn)模型下證明了該方案的安全性。在CP-ABE中訪問控制策略的設(shè)定由數(shù)據(jù)屬主完成。與KP-ABE相比CP-ABE更加適用于云環(huán)境?；趯傩缘募用芊桨改軌蛱峁┘?xì)粒度的訪問控制，但是它限制了加密數(shù)據(jù)的共享和搜索。

2013年，Kulvaibhavh等[15]構(gòu)造了基于CP-ABE可搜索加密的方案，該方案數(shù)據(jù)屬主利用訪問結(jié)構(gòu)加密關(guān)鍵詞，當(dāng)用戶想要進(jìn)行密文搜索時，根據(jù)自身屬性生成密鑰，加密待檢索的關(guān)鍵字生成關(guān)鍵字門限Trap，將Trap傳遞給服務(wù)器。服務(wù)器先判斷用戶密鑰屬性是否滿足密文的訪問結(jié)構(gòu)，當(dāng)屬性滿足時才能進(jìn)行關(guān)鍵詞驗(yàn)證。只有屬性和關(guān)鍵字同時匹配的情況下，服務(wù)器將包含該搜索門限的密文返回給用戶。該方案采用計算效率較低的樹形訪問控制結(jié)構(gòu)，且該方案在查詢過程中將密鑰在沒有加密的情況下直接上傳給云服務(wù)器，這種做法顯然存在密鑰泄露等不安全因素。2014年，Zheng等[16]提出了一種可驗(yàn)證的基于CP-ABKS的可搜索加密方案，該方案在加密過程中利用不同的訪問控制策略加密不同的關(guān)鍵字，在服務(wù)器執(zhí)行驗(yàn)證算法過程中對不同的訪問策略產(chǎn)生不同的返回信息，用戶根據(jù)返回的信息可以判斷服務(wù)器是否嚴(yán)格執(zhí)行了驗(yàn)證算法。該方案的不足之處在于方案采用效率較低的樹形訪問結(jié)構(gòu)。2014年，李雙等[17]提出了一種基于KP-ABE的可搜索加密方案，該方案的訪問控制結(jié)構(gòu)也采用樹形訪問控制結(jié)構(gòu)，在將門限交給服務(wù)器過程中將用戶密鑰在不加密情況下直接上傳服務(wù)器，這同樣存在用戶密鑰泄露問題。2015年，Liang等[18]提出了一種具有快速解密功能，支持關(guān)鍵字更新功能的密鑰策略的基于屬性可搜索加密方案，但是采用密鑰策略的屬性加密，數(shù)據(jù)屬主無法對密文的訪問策略進(jìn)行設(shè)定，并且該方案不支持用戶的屬性撤銷。2015年，Li等[19]提出了一種密文策略支持多關(guān)鍵字搜索的可搜索加密方案，用戶可以一次檢索多個關(guān)鍵字，提高了檢索效率和精確度，該方案的不足之處是訪問控制結(jié)構(gòu)采用樹形訪問控制。2015年，Liao等[20]提出了一種隱藏訪問向量的基于屬性可搜索加密方案，該方案隱藏了用戶的屬性向量，提高了屬性加密的安全性，但是該方案的不足之處在于不能支持用戶的屬性撤銷。表1對目前基于屬性的可搜索加密方案性能做出了對比。其中，N表示系統(tǒng)中屬性個數(shù)，n表示用戶屬性個數(shù)，|G|表示群G中元素位長度。

表1　基于屬性可搜索加密方案性能對比

在云計算環(huán)境中用戶的屬性是動態(tài)變化的。例如當(dāng)用戶權(quán)限降低，用戶會失去部分屬性，但此時失去的部分屬性對應(yīng)的密鑰仍然在該用戶手中，因此如果不對用戶失去的屬性進(jìn)行撤銷，該用戶仍能訪問和檢索加密的消息和文件，則云計算環(huán)境下密文訪問控制和檢索的安全性得不到保障。因此，對于基于屬性加密的密文訪問控制和搜索方案，支持屬性撤銷是非常必要和關(guān)鍵的。

1.2本文貢獻(xiàn)

針對云環(huán)境下可搜索加密方案不支持用戶屬性撤銷，用戶密鑰存在泄露，普遍采用計算效率較低的樹形訪問結(jié)構(gòu)等問題，本文提出了一個基于LSSS訪問結(jié)構(gòu)的高效的支持屬性撤銷功能的可搜索加密方案。本文創(chuàng)新點(diǎn)如下。

1)針對傳統(tǒng)基于CP-ABE可搜索加密的方案中普遍采用效率較低的樹形訪問結(jié)構(gòu)的問題，提出一個效率較高基于LSSS矩陣的密文策略基于屬性的可搜索加密方案。

2)針對目前基于屬性的可搜索加密方案中，用戶在檢索密文時直接將自身密鑰提交給服務(wù)器而不做任何處理，存在密鑰泄露這一問題，本文將用戶密鑰盲化后再提交服務(wù)器。保證了用戶密鑰的保密性和安全性。

3)用戶屬性撤銷問題是基于屬性的可搜索加密算法的一個至關(guān)重要的問題，在基于屬性的可搜索加密算法中用戶屬性是一直變化的，而每個屬性被多個用戶共享，當(dāng)某個用戶失去部分屬性，必須對用戶屬性進(jìn)行撤銷，否則該用戶仍然具備訪問和檢索加密數(shù)據(jù)的能力。針對目前大部分基于屬性的可搜索加密方案不支持用戶屬性撤銷的問題，本文提出了一個能支持用戶屬性撤銷的基于屬性的可搜索加密方案。

2預(yù)備知識

2.1訪問結(jié)構(gòu)

定義1令P={P1,P2,…,Pn}為參與者的集合，若存在訪問結(jié)構(gòu)A?2P，如果對于任意的集合B，C有B∈A并且B?C，有C?A，那么稱A是單調(diào)的訪問結(jié)構(gòu)。訪問結(jié)構(gòu)A是集合2P的一個非空子集。訪問結(jié)構(gòu)A中的集合稱之為授權(quán)集合，不在訪問結(jié)構(gòu)A中的集合稱之為非授權(quán)集合。

2.2雙線性配對

定義2令G，GT為2個階為素數(shù)p的循環(huán)群，g是G的一個生成元。雙線性映射e:G×G→GT，同時滿足以下性質(zhì)：

1)雙線性：?a,b∈Zp:e(ga,gb)=e(g,g)ab。

2)非退化性：存在g∈G，使得e(g,g)≠1。

3)可計算性：?(u,v)∈G,e(u,v)都能有效的計算。

2.3線性秘密共享(LSSS)

一個定義在實(shí)體集P上的LSSS∏是指：

1)所有實(shí)體的共享組成Zp上的一個向量：

2.4困難性假設(shè)

本文的安全性基于DL假設(shè)(DecisionalLinearAssumption)，本文對DL假設(shè)做如下闡述。選擇一個階為q的群G，挑戰(zhàn)者選定生成元g,h,f，隨機(jī)值r1,r2∈Zp，敵手在獲得Y={g,f,h,fr1,gr2}以及G中一個隨機(jī)值Q后，敵手必須將hr1+r2∈G與G中的隨機(jī)值Q區(qū)分出來。定義輸出b∈{0,1}的算法解決判定DL的優(yōu)勢為ε，若(1)式成立，則有定義3。

|Pr[λ(g,f,h,fr1,gr2,hr1+r2)=1]-Pr[λ(g,f,h,fr1,gr2,Q)=1]|≥ε

(1)

定義3如果在任何多項式時間內(nèi)敵手只能以可以忽略的優(yōu)勢攻破DL假設(shè),那么我們認(rèn)為DL假設(shè)成立。

3模型和攻擊游戲

3.1系統(tǒng)模型

本文構(gòu)造的系統(tǒng)模型如圖1所示。系統(tǒng)中有4個實(shí)體：授權(quán)中心，云服務(wù)提供商，數(shù)據(jù)屬主，用戶。授權(quán)中心為系統(tǒng)產(chǎn)生公鑰和主密鑰參數(shù)，并為用戶產(chǎn)生密鑰，用戶的密鑰與自身屬性相關(guān)。數(shù)據(jù)屬主決定訪問策略，使用訪問策略加密關(guān)鍵字，將加密后的關(guān)鍵字和密文上傳給云服務(wù)器。云服務(wù)器存儲數(shù)據(jù)屬主上傳的已加密關(guān)鍵字，在屬性撤銷過程中負(fù)責(zé)密文更新，服務(wù)器使用用戶上傳的門限值對存儲的關(guān)鍵字進(jìn)行檢索，當(dāng)用戶的屬性滿足訪問策略，并且門限關(guān)鍵字和密文關(guān)鍵字匹配時，服務(wù)器才將檢索到的密文返回給用戶。

圖1　系統(tǒng)模型圖Fig.1　System model

3.2方案的一般模型

令U表示全局的屬性集合，Α表示U上的訪問結(jié)構(gòu)，vx表示屬性x的版本號。支持屬性撤銷功能的基于CP-ABE的可搜索加密方案描述由以下7個算法組成。系統(tǒng)建立(Setup)，密鑰產(chǎn)生(KeyGen)，加密(Enc)，門限產(chǎn)生(TokenGen)，驗(yàn)證(Test)，密鑰及門限的更新(TokKeyUp)，密文更新(CiphUp)。

系統(tǒng)建立(U,l)：輸入全局屬性集合U和一個安全的系統(tǒng)參數(shù)l，產(chǎn)生系統(tǒng)公共參數(shù)PK和系統(tǒng)主密鑰MK。

密鑰產(chǎn)生(Att,MK,PK)：輸入用戶屬性集合、系統(tǒng)主密鑰及公共參數(shù)，產(chǎn)生用戶密鑰SK。

加密(A,Kw,PK)：輸入用戶定義的訪問結(jié)構(gòu)Α、待加密關(guān)鍵字Kw和系統(tǒng)公共參數(shù)，輸出密文CT。

驗(yàn)證(CT,Trap)：輸入密文CT和門限值Trap，當(dāng)用戶屬性滿足訪問結(jié)構(gòu)，并且待查關(guān)鍵字與密文關(guān)鍵字相匹配時輸出yes,否則輸出⊥。

3.3安全模型

在云計算環(huán)境下，可搜索加密系統(tǒng)中，授權(quán)中心為可信方，云服務(wù)器是一個可信但具有好奇心(嚴(yán)格執(zhí)行系統(tǒng)操作但是會試圖獲得額外信息)。安全的可搜索加密方案要求云服務(wù)器不能獲得搜索結(jié)果以外的任何關(guān)于明文信息。在文獻(xiàn)[16]中作者定義一個安全的可搜索加密方案必須滿足關(guān)鍵字的隱私性和密文關(guān)鍵字的選擇安全。密文關(guān)鍵字選擇安全是指，敵手在沒有獲得匹配的門限情況下，不能獲得密文關(guān)鍵字的任何明文關(guān)鍵字信息。關(guān)鍵字隱私性要求，敵手從關(guān)鍵字密文中獲得關(guān)鍵字信息的概率以可以忽略的優(yōu)勢大于關(guān)鍵字隨機(jī)猜測成功的概率。本方案中我們通過敵手模型形式化上述的安全定義，其中，IEnc表示與密文相關(guān)聯(lián)的訪問策略，IKeyGen表示與密鑰相關(guān)的屬性集合，函數(shù)F(IEnc,IKeyGen)=1表示密鑰的屬性集合滿足密文的訪問策略。在系統(tǒng)建立之前由敵手決定要挑戰(zhàn)的訪問策略IEnc。

3.3.1選擇關(guān)鍵字攻擊游戲

w0,w1?Lkw是為了防止敵手通過OTokenGen()產(chǎn)生Trap來猜測λ。

猜測：敵手輸出λ′，若λ′=λ。則敵手贏得游戲。

定義4若敵手在安全參數(shù)l下以一個可以忽略的優(yōu)勢贏得選擇關(guān)鍵字明文攻擊，則基于CP-ABE的可搜索加密方案是安全的。

3.3.2關(guān)鍵字隱私性游戲

系統(tǒng)建立：挑戰(zhàn)者執(zhí)行系統(tǒng)建立算法，產(chǎn)生系統(tǒng)公共參數(shù)pm和系統(tǒng)主密鑰mk。

階段1敵手可以在二項式時間內(nèi)多次查詢以下預(yù)言機(jī)。

OKeyGen(IKeyGen):挑戰(zhàn)者運(yùn)行密鑰產(chǎn)生算法產(chǎn)生一個相應(yīng)的密鑰SK，將SK返回給敵手。將IKeyGen加入LKeyGen。LKeyGen初始時為空。

OTokenGen(IKeyGen,w)：敵手輸入IKeyGen，挑戰(zhàn)者產(chǎn)生一個SK，挑戰(zhàn)者以SK,w輸入執(zhí)行門限產(chǎn)生算法產(chǎn)生一個門限值Trap，并返回給敵手。

猜測：敵手查詢了q個不同的關(guān)鍵字之后，敵手輸出w′，若w′=w*。則敵手贏得游戲。

4本方案描述

令U={u1,u2,…,un}表示系統(tǒng)所有屬性的集合。|U|表示U中元素個數(shù)。ui∈Zp。

1)系統(tǒng)建立(U,l)。

2) 密鑰產(chǎn)生(Att,PK,MK)。

當(dāng)一個新的用戶進(jìn)入系統(tǒng),授權(quán)中心根據(jù)用戶身份分配一個屬性集合Att。然后授權(quán)中心將用戶屬性集Att和系統(tǒng)公共參數(shù)作為輸入為用戶生成密鑰。授權(quán)中心隨機(jī)選取t∈Zp，然后計算密鑰為

(2)

3)加密((M,ρ),Kw,PK)。

用戶輸入密鑰和待查關(guān)鍵字。算法首先產(chǎn)生一個隨機(jī)值s,然后計算門限值：

5)驗(yàn)證(CT,Trap)。

T1=e(W0,Tok2).Eroot，

T2=(W,Tok1)e(W1,Tok3)。

當(dāng)加密關(guān)鍵字和門限關(guān)鍵字相等時，即T1=T2。

正確性驗(yàn)證：

顯然當(dāng)密文關(guān)鍵字和門限關(guān)鍵字相等時T1=T2。

6)密鑰和門限更新(vx,PKx)。

7)更新密文(CT)。

當(dāng)某個用戶的屬性被撤銷時，系統(tǒng)需要對用戶的屬性密鑰進(jìn)行更新，并且需要對密文進(jìn)行同步更新。若將密文更新的工作交給數(shù)據(jù)屬主，將會給屬主帶來巨大的計算負(fù)擔(dān)。本方案采用代理重加密技術(shù)，將重加密的任務(wù)交給云服務(wù)器，這樣能大大降低屬主的計算負(fù)擔(dān)。

5安全性分析與證明

5.1關(guān)鍵字隱私性

挑戰(zhàn)者隨機(jī)選擇a,b,c∈Zp,f∈G,H1(單向的哈希函數(shù))。系統(tǒng)主密鑰MK={a,b,c}，公共參數(shù)PK={e,g,ga,gb,gc,f}。對?i∈[1,|U|]，挑戰(zhàn)者隨機(jī)選擇αi∈Zp，返回gαi作為屬性值。

階段1敵手可以在任意多項式時間內(nèi)查詢以下預(yù)言機(jī)。

ΟKeyGen(Att):挑戰(zhàn)者產(chǎn)生sk←KeyGen(Att,MK)，

將sk返回給敵手，將Att添加至一個初始狀態(tài)為空的IkeyGen鏈中。

ΟTokenGen(Att,w)：挑戰(zhàn)者執(zhí)行密鑰產(chǎn)生算法產(chǎn)生sk，然后計算門限值Trap，并將Trap返回給敵手。

挑戰(zhàn)階段：敵手選擇一個屬性集合Att*，挑戰(zhàn)者選定一個訪問控制策略(M,ρ)，并且屬性集合滿足訪問策略。調(diào)用KeyGen(mk,Att*)產(chǎn)生一個SK*，挑戰(zhàn)者從關(guān)鍵字空間中隨機(jī)平均地選擇一個關(guān)鍵字w*，調(diào)用加密和門限產(chǎn)生算法輸出密文和門限cph*,Tok*。

猜測階段：敵手輸出關(guān)鍵字w'給挑戰(zhàn)者。挑戰(zhàn)者計算密文cph←Enc(w,(M,ρ))，調(diào)用驗(yàn)證算法，若返回值為yes。敵手贏得游戲。

因此本方案能夠達(dá)到關(guān)鍵字的隱私性。

5.2選擇密文安全

引理1在通用模型下若DL假設(shè)成立，則不存在多項式時間，敵手以不可忽略的優(yōu)勢區(qū)分選擇關(guān)鍵字攻擊游戲。

階段1敵手可以在任意多項式時間內(nèi)查詢以下預(yù)言機(jī)OKeyGen,OToken。

階段2假設(shè)?δ∈Zp，對于gδ，若敵手能夠從預(yù)言機(jī)的輸出中構(gòu)造出e(g,g)δa(t1+t2)，則敵手可以區(qū)分gΘ，ga(t1+t2)。因此，我們需要證明敵手只能以可以忽略的優(yōu)勢構(gòu)造e(g,g)δa(t1+t2)，即敵手只能以可以忽略的優(yōu)勢贏得選擇關(guān)鍵字攻擊游戲。

在通用模型中φ0,φ1是從Zp到一個元素個數(shù)為p3集合的內(nèi)射函數(shù)，敵手只能以可以忽略的概率從φ0,φ1的映射中猜中元素。因此，我們考慮敵手從預(yù)言機(jī)輸出中構(gòu)造e(g,g)δa(t1+t2)的概率。

我們考慮對一些gδ如何構(gòu)造e(g,g)δa(t1+t2)，t1只在ct1中出現(xiàn)，為了構(gòu)造e(g,g)δa(t1+t2)，δ需要包含c。δ=δ′c，對δ′，敵手為了構(gòu)造e(g,g)δa(t1+t2)，需要構(gòu)造δ′act2。這將要使用到t2,ac+bt，因?yàn)椋瑃2·(ac+bt)=act2+btt2。敵手需要消去btt2，為了消去btt2，需要使用λi,ri,t，λi是根據(jù)訪問結(jié)構(gòu)(M,ρ)共享t2的共享秘密。但是根據(jù)這些元組不可能構(gòu)造出btt2。因?yàn)閎tt2當(dāng)且僅當(dāng)和密鑰相關(guān)的屬性集合滿足密文的訪問策略時可以被重構(gòu)。

因此我們可以得出結(jié)論，敵手只能以一個可以忽略的優(yōu)勢贏得改進(jìn)的選擇關(guān)鍵字攻擊游戲。 證畢。

5.3抗合謀攻擊

基于屬性的可搜索加密算法最大的威脅就是防止合謀用戶的攻擊。在本方案中秘密共享值嵌入在密文之中，用戶或者合謀攻擊者需要將e(g,g)btst2恢復(fù)出來才能進(jìn)行關(guān)鍵字的比較操作。合謀用戶必須使用密文組件Ci,Di及其他合謀用戶的密鑰組件L,Kx做相應(yīng)的雙線性對配對運(yùn)算。用戶的密鑰由系統(tǒng)主密鑰和一個隨機(jī)值t唯一生成。因?yàn)槊總€用戶的t值不相同，并且對于給定的密鑰組合謀者不能分離出t值，因此即使用戶合謀也不能恢復(fù)出e(g,g)btst2，也就不能通過合謀進(jìn)行關(guān)鍵字查詢。

5.4用戶密鑰安全

目前大多數(shù)基于屬性的可搜索加密方案中，用戶的密鑰在不加密的情況下直接交給服務(wù)器，服務(wù)器利用密鑰判斷用戶密鑰屬性是否滿足密文的方案結(jié)構(gòu)。這直接導(dǎo)致了用戶密鑰的泄露，密鑰的保密性和安全性得不到保證。本方案在執(zhí)行門限產(chǎn)生算法時，用戶密鑰使用隨機(jī)值盲化，保證了用戶密鑰的安全性和保密性。

5.5前向和后向安全

某個用戶在某一個時刻獲得滿足密文訪問結(jié)構(gòu)的屬性集合，某一時刻該用戶屬性集中的某個屬性需要進(jìn)行更新，系統(tǒng)通知合法用戶進(jìn)行密鑰更新，并通過安全的渠道將更新后的密鑰和門限值返回給有效用戶。而密文中與秘密值t2相關(guān)的所有密文組件使用一個新的值s′重新加密，同時密文中與更新屬性相關(guān)的密文使用新的屬性密鑰進(jìn)行重新加密。即使該用戶保存了獲得屬性集合之前的系統(tǒng)中的密文，該用戶也無法進(jìn)行關(guān)鍵字搜索操作。因?yàn)榧词乖撚脩艨梢杂嬎愠鰁(g,g)bts(t2+s′)，由于無法獲得s′，該用戶無法計算出e(g,g)btst2。因此，本方案的撤銷算法具有后向安全。

某個用戶擁有滿足訪問結(jié)構(gòu)的屬性集，某一時刻該屬性集中某個屬性需要被撤銷。系統(tǒng)通知未被撤銷該屬性的用戶進(jìn)行密鑰和門限的更新(不包含該用戶)，系統(tǒng)通過安全渠道將更新后的密鑰和門限返回給有效用戶。密文中與秘密值t2相關(guān)的密文組件都需要通過云服務(wù)器產(chǎn)生一個隨機(jī)值s′重新加密，同時與更新的屬性相關(guān)的組件使用新的屬性密鑰進(jìn)行重新加密。被撤銷的屬性，由于無法獲得更新的屬性密鑰，無法對密鑰和門限值進(jìn)行重新計算，因此，不能對更新的密文進(jìn)行合法的搜索。即使該用戶保存了沒更新之前的e(g,g)btst2，由于密文使用了隨機(jī)值s′進(jìn)行了重加密，因而該用戶無法計算出e(g,g)bts(t2+s′)。因此，無法進(jìn)行關(guān)鍵字的匹配，所以本方案的屬性撤銷具有前向安全。

6性能分析

下面首先給出本文提出的方案和文獻(xiàn)[16]提出的CP-ABKS方案在通信開銷、存儲開銷、計算開銷方面的性能比較和分析。接著對方案進(jìn)行了實(shí)驗(yàn)仿真，并與文獻(xiàn)[16]提出的CP-ABKS方案進(jìn)行了仿真比較。

6.1理論分析

下面從通信，存儲開銷和計算開銷方面對方案進(jìn)行性能分析。其中，N指的是方案中訪問結(jié)構(gòu)中的屬性個數(shù)，S指的是用戶所擁有的屬性個數(shù)，U指的是系統(tǒng)所擁有的屬性個數(shù)。

1)通信、存儲開銷。

通過對本方案和文獻(xiàn)[16]方案的比較。2個方案存儲開銷比較見表2,|G|表示G群中一個元素的長度，|GT|表示GT群中一個元素的長度。在可搜索加密方案中，通信開銷主要指密文長度，存儲開銷主要指密鑰長度。文獻(xiàn)[16]在通信開銷上與本方案相同，但是其存儲開銷是與密鑰相關(guān)屬性的2倍，而本方案僅僅是密鑰屬性值的1倍。并且本方案支持屬性撤銷功能，而文獻(xiàn)[16]方案卻不能。

表2　方案性能比較

2)計算開銷。

通過對本文方案和文獻(xiàn)[16]方案計算量進(jìn)行理論分析，得到表3。分別使用Pair,E,ET表示雙線性配對運(yùn)算、G上的指數(shù)運(yùn)算和GT上的指數(shù)運(yùn)算。H1是將屬性值映射成G上元素的哈希函數(shù)。從表3可以看出本方案大大減少了密鑰計算的開銷，并且由于文獻(xiàn)[16]在加密算法中使用的哈希函數(shù)比G上的指數(shù)運(yùn)算開銷大，此外，文獻(xiàn)[16]加密和解密算法都使用遞歸運(yùn)算，而本方案所使用的LSSS訪問結(jié)構(gòu)則不需要，因此，本方案在加密和解密效率上也是高于文獻(xiàn)[16]的方案。

表3　計算開銷比較

6.2實(shí)驗(yàn)仿真

為了證實(shí)上述理論分析，評估本方案的效率，對本方案及文獻(xiàn)[16]方案的密鑰產(chǎn)生算法、門限產(chǎn)生算法及加密和驗(yàn)證算法進(jìn)行了實(shí)驗(yàn)仿真。仿真硬件為Intel(R)Core(TM)i5-3230MCPU@2.60GHz，內(nèi)存為4GB，仿真平臺：Windows7，代碼庫PBC，使用的大素數(shù)為512位。本文使用橢圓曲線為512位，該橢圓曲線的階數(shù)為160位，即p是一個160位的大數(shù)。

本方案與文獻(xiàn)[16]在密鑰產(chǎn)生算法上的計算開銷仿真結(jié)果如圖2。圖2表明文獻(xiàn)[16]方案和本方案的密鑰算法在計算開銷上雖然都和屬性呈線性關(guān)系，但是本方案的計算開銷的增幅遠(yuǎn)小于文獻(xiàn)[16]，可見本方案的密鑰產(chǎn)生算法的計算開銷優(yōu)于文獻(xiàn)[16]方案。

圖2　密鑰產(chǎn)生算法計算開銷Fig.2　Computation cost of KeyGen arithmetic

本方案和文獻(xiàn)[16]方案的加密和驗(yàn)證算法計算開銷的仿真結(jié)果如圖3、圖4所示。圖3表明本方案和文獻(xiàn)[16]的加密計算開銷都與屬性個數(shù)呈線性關(guān)系，但是由于文獻(xiàn)[16]方案中需要使用哈希函數(shù)和遞歸算法，而哈希函數(shù)的計算開銷比G上的指數(shù)運(yùn)算開銷要大，仿真結(jié)果和理論分析相符，本方案的計算開銷明顯優(yōu)于文獻(xiàn)[16]。圖4表明本方案和文獻(xiàn)[16]在驗(yàn)證算法上的計算開銷也與屬性個數(shù)呈線性關(guān)系，仿真結(jié)果和理論分析相符合。文獻(xiàn)[16]方案采用效率較低的樹形訪問結(jié)構(gòu)，驗(yàn)證算法需要使用遞歸，而本方案不需要。因此，本方案在驗(yàn)證算法的計算開銷上略高于文獻(xiàn)[16]。

圖3　加密算法計算開銷Fig.3　Computation cost of Encryption arithmetic

圖4　驗(yàn)證算法計算開銷Fig.4　Computation cost of Test arithmetic

7結(jié)束語

本方案是在基于屬性的可搜索加密基礎(chǔ)上，引入了屬性撤銷的概念，進(jìn)而提出了一種支持屬性撤銷功能的基于屬性的可搜索加密方案。本方案采用LSSS訪問控制結(jié)構(gòu)，提升了方案的密鑰產(chǎn)生、門限產(chǎn)生及加密和驗(yàn)證算法的效率。在屬性撤銷的過程中，將密文重加密的計算負(fù)擔(dān)交給云服務(wù)提供商，密鑰和門限的重加密過程交由授權(quán)中心完成，這樣大大降低了用戶端的計算開銷。本文具有抗合謀攻擊前向，后向安全。但本文的密文長度和驗(yàn)證過程的雙線性對配對個數(shù)仍然和屬性個數(shù)呈線性關(guān)系，如何減少密文長度和驗(yàn)證過程的雙線性配對個數(shù)是我們今后需要進(jìn)一步研究的問題。

參考文獻(xiàn)：

[1]WAGNER S D, PERRIG A. Practical Techniques for Searches on Encrypted Data[C]∥Proceeding of the 2000 IEEE symposium on Security and Privacy. Berkeley, CA: IEEE Computer Society, 2000:44-55.

[2]CHANG Y, MITZENMACHER M. Privacy preserving keyword searches on remote encrypted data[C]∥Proceeding of the third International Conference on Applied Cryptography and Network Security, ACNS 2005. New York, USA: Springer Verlag, 2005: 442-455.

[3]LI J, WANG Q, WANG C, et al. Fuzzy keyword search over encrypted data in cloud computing[C]∥Proceeding of the 2010 INFO-COM IEEE conference on computer communication. San Diego, CA: IEEE Computer Society, 2010:1-5.

[4]CURTMOLA R, GARAY J, KAMARA S, et al. Searchable symmetric encryption: Improved definitions and efficient constructions[C]∥Proceeding of ACM Conference on Computer and Communications Security. New York: ACM, 2006:79-88.

[5]BONEH D, FRANKLIN M. Identity-Based encryption from the Weil pairing[C]∥Proceeding of 21stAnnual International Cryptology Conference, CRYPTO 2001. Santa Barbara, CA: Springer Verlag,2001:213-229.

[6]BONEH D, CRESCENZO G, OSTROVSKY R, et al. Public key encryption with keyword search[C]∥Proceeding of 23rd International Conference on the Theory and Applications of Cryptographic Techniques, Eurocrypt. Interlaken, Switzerland: Springer Verlag, 2004:506-522.

[7]GOLLE P, STADDON J, WATERS B. Secure conjunctive keyword search over encrypted data[C]∥Proceeding of 2ndInternational Conference on Applied Cryptography and Network Security, ACNS 2004. Yellow Mountain, China: Springer Verlag,2004:31-45.

[8]KHADER D. Public key encryption with keyword search based on K-resilient IBE[C]∥Proceeding of ICCSA 2006: International Conference on Computational Science and Its Applications. Glasgow, United kingdom: Springer Verlag, 2006:298-308.

[9]ABDALLA M, BELLARE M, CATALANO D, et al. Searchable encryption revisited: Consistency properties, relation to anonymous IBE, and extensions[J]. Springer New York LLC, 2008:21(3):350-391.

[10] XU P, JIN H. Public-Key encryption with fuzzy keyword search: A provably secure scheme under keyword guessing attack[J]. IEEE Computer Society, 2013, 62(11):2266-2277.

[11] SAHAI A, WATERS B. Fuzzy identity-based encryption[C]∥Proceeding of 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques: Advances in Cryptology-EUROCRYPT 2005.arhus,Denmark:Springer Verlag,2005:457-473.

[12] GOYAL V, PANDEY O, SAHAI A, et al. Attribute based encryption for fine-grained access control of encrypted data[C]∥Proceedings of the 13th ACM Conference on Computer and Communications Security. New York: ACM,2006:89-98.

[13] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext policy Attribute-based Encryption[C]∥Proceedings of the 2007 IEEE Symposium on Security and Privacy. Washington: IEEE Computer Society, 2007: 321-334.

[14] WATERS B. Ciphertext-policy attribute-based encryption: An expressive, efficient, and provably secure realization[C]∥Proceedings of 14th International Conference on Practice and Theory in Public Key Cryptography, PKC 2011. Taormina, Italy: Springer Verlag, 2011: 53-70.

[15] KULVAIBHAV K, VIJAYARAGHAVAN V, RAJARATHNAM N. Multi-user Attribute Based Searchable Encryption[C]∥Proceeding of International Conference on Mobile Data Management. Milan: IEEE Computer Society, 2013: 200-205.

[16] ZHENG Q, XU S, ATENIESE G. VABKS: Verifiable attribute-based keyword search over outsourced encrypted data[C]∥Proceeding of the 2014 INFO-COM IEEE conference on computer communication. Toronto, ON: IEEE Computer Society, 2014:522-530.

[17] 李雙，徐志茂. 基于屬性的可搜索加密[J].計算機(jī)學(xué)報, 2014, 37(5):1018-1024.

LI Shuang,XU Zhimao.Attribute-Based Public Encryption with Keyword Search[J]. Journal of Computer Science,

2014, 37(5):1018-1024.[18] LIANG K, SUSILO W. Searchable Attribute-Based Mechanism With Efficient Data Sharing for Secure Cloud Storage[J]. Information Forensics and Security, IEEE Transactions on, 2015, 10(9): 1981-1992.

[19] LI H, LIU D, JIA K, et al. Achieving authorized and ranked multi-keyword search over encrypted cloud data[C]∥Communications (ICC), 2015 IEEE International Conference on.[s.l.] :IEEE, 2015: 7450-7455.

[20] LIAO Zhenhua, WANG Jinmiao, LANG Bo. A ciphertext-policy hidden vector encryption scheme supporting multiuser keyword search[J]. Security and Communication Networks, 2015, 8(6): 879-887.

DOI：10.3979/j.issn.1673-825X.2016.04.016

收稿日期：2016-03-02

修訂日期：2016-06-15通訊作者：楊華山744925473@qq.com

基金項目：國家自然科學(xué)基金資助項目(編號：61272084，61202004，61202353，61300240，61302158)、江蘇省自然科學(xué)基金(BK2011754)、江蘇省高校自然科學(xué)研究重大項目“無線傳感器網(wǎng)絡(luò)數(shù)據(jù)融合安全關(guān)鍵技術(shù)研究”(11KJA520002)

Foundation Items：The National Nature Science Foundation of China(61272084，61202004，61202353，61300240，61302158);The Natural Science Foundation of Jiangsu Province(BK2011754); The Natural Science Foundation of the Jiangsu Higher Education Institutions of China(11KJA520002)

中圖分類號：TP393.08

文獻(xiàn)標(biāo)志碼：A

文章編號：1673-825X(2016)04-0545-10

作者簡介：

陳燕俐(1969-)，女，江蘇蘇州常熟人，教授，博士。主要研究方向?yàn)橛嬎銠C(jī)網(wǎng)絡(luò)，信息安全。E-mail: chenyl@njupt.edu.cn。

楊華山(1991-)，男，安徽滁州明光市人，研究生，主要研究方向?yàn)樾畔踩?。E-mail: 744925473@qq.com.

(編輯：魏琴芳)

CP-ABE based searchable encryption with attribute revocation

CHEN Yanli，YANG Huashan

(College of Computer Science and Technology, Nanjing University of Posts and Telecommunications, Nanjing 210023, P.R. China)

Abstract:Against the drawback of present searchable encryistion based attribute in secret key leak and non-supported attribute revocation, a secure and efficient CP-ABE (ciphertext-policy attribute based ercryption) searchable encryption scheme supporting attribute revocation is presented. It supports fine-grained access control, and has perfect computational efficiency. Moreover, the secret key is blinded by using a random number before submitting to sever. In the process of attribute revocation, the work of re-encryption ciphertext is completed by the cloud sever. Furthermore, the analysis shows that the security can be proved under the Decisional Linear assumption. And in the general model, the formula can achieve chosen plaintext attack security. Moreover it can resist collusion attack and has forward and backward secrecy.

Keywords：searchable encryption; attribute revocation; attribute-based encryption; access control structure; could computing