對類型可修改的基于身份代理重加密方案的改進(jìn)

張新鵬，許春香，張曉均，鄧　江，黃　新

(1. 電子科技大學(xué)計算機(jī)科學(xué)與工程學(xué)院　成都　611731；2. 成都軍區(qū)聯(lián)勤部信息中心　成都　610015)

對類型可修改的基于身份代理重加密方案的改進(jìn)

張新鵬1,2，許春香1，張曉均1，鄧江1，黃新2

(1. 電子科技大學(xué)計算機(jī)科學(xué)與工程學(xué)院成都611731；2. 成都軍區(qū)聯(lián)勤部信息中心成都610015)

類型可修改的基于身份的代理重加密方案不僅具有傳統(tǒng)代理重加密方案的核心功能，而且密文的擁有者可以隨時修改密文的類型信息，能夠滿足實(shí)際云存儲應(yīng)用中，密文類型信息需要動態(tài)轉(zhuǎn)換的應(yīng)用場景。對類型可修改的基于身份代理重加密方案進(jìn)行分析，發(fā)現(xiàn)該方案存在2個安全漏洞：1)類型修改缺乏驗(yàn)證，攻擊者可以隨意修改類型標(biāo)記；2)類型修改引起了新的條件性選擇明文攻擊問題。在分析這兩個安全漏洞的基礎(chǔ)上，提出了改進(jìn)方案，并給出了安全性分析。

云存儲;可證明安全性;代理重加密;基于類型和身份的代理重加密

1　簡述

云存儲中，代理重加密(PRE)[1]技術(shù)可以保障用戶數(shù)據(jù)在存儲第三方的安全性和可共享性。該技術(shù)的核心思想是：數(shù)據(jù)擁有者以密文形式將數(shù)據(jù)存儲在第三方；數(shù)據(jù)擁有者可以委托存儲第三方對其存儲的密文進(jìn)行重加密并共享給其他用戶。

針對現(xiàn)實(shí)應(yīng)用，基于文獻(xiàn)[2-3]的類型和身份的代理重加密方案，文獻(xiàn)[4]提出了一種類型可修改的基于身份代理重加密方案[5-8]。該方案不但實(shí)現(xiàn)PRE中細(xì)粒度的密文共享，還解決了原方案密文類型信息靜態(tài)，不能動態(tài)修改問題。文獻(xiàn)[4]發(fā)現(xiàn)了密文類型信息動態(tài)修改的現(xiàn)實(shí)意義與應(yīng)用場景。如數(shù)據(jù)擁有者(data owner,DO)為節(jié)省本地存儲開銷，或方便數(shù)據(jù)在不同終端的靈活使用，將標(biāo)記為“不可共享”類型的加密數(shù)據(jù)存儲于storage。DO根據(jù)現(xiàn)實(shí)需要希望將“不可共享”類型修改為“可共享”類型；一段時間后又需要將“可共享”類型恢復(fù)為“可共享”。類型信息的動態(tài)修改就可以很好的適應(yīng)此類應(yīng)用。

文獻(xiàn)[4]雖然具有很高的現(xiàn)實(shí)應(yīng)用價值，并且根據(jù)其安全性分析可知具有與文獻(xiàn)[2]相同的安全性。但是在對其所提方案進(jìn)行仔細(xì)研究后發(fā)現(xiàn)，在完成密文類型信息的修改后并沒有對密文類型信息進(jìn)行驗(yàn)證，如圖1所示。其方案存在兩個安全漏洞：1)類型修改缺乏驗(yàn)證，攻擊者可以隨意修改類型標(biāo)記，而不會被接收方發(fā)現(xiàn)。2)由于類型修改引起了新的條件性選擇明文攻擊問題。圖中實(shí)例所涉及的通信實(shí)體與文獻(xiàn)[4]保持一致。DO、數(shù)據(jù)共享者(receiver,R)、密鑰生成中心(KGC)、第三方存儲器(storage)。

圖1 文獻(xiàn)[4]的方案基本工作流程

2　類型可修改的基于身份代理重加密方案的安全漏洞分析

2.1類型修改缺乏驗(yàn)證

文獻(xiàn)[4]方案在文獻(xiàn)[2-3]的基礎(chǔ)上，添加了密文類型的修改功能。在密文類型修改階段中DO可以生成用于修改密文類型的密鑰，并將其發(fā)送給storage;根據(jù)接收到的密鑰，storage可以修改密文類型的信息，并生成新的預(yù)共享密文。在經(jīng)過密文共享階段的重加密后再生成共享密文，最終實(shí)現(xiàn)數(shù)據(jù)的安全共享。仔細(xì)分析整個工作流程，在添加了密文類型修改階段后，該方案直接使用了原來的密文共享步驟，并沒有在后面重加密和解密步驟對修改后的密文類型的狀態(tài)做出相應(yīng)的驗(yàn)證。整個方案的完整性遭到了破壞。

由于類型修改缺乏驗(yàn)證，攻擊者可以隨意修改密文類型標(biāo)記t′。將修改后t′代入后面的代理重加密過程和解密過程。如下面推導(dǎo)過程所示t′是否被修改，與這兩個過程是否正確執(zhí)行并不相關(guān)。相應(yīng)的服務(wù)器、數(shù)據(jù)持有者、數(shù)據(jù)共享對象也無法及時地發(fā)現(xiàn)密文類型是否被攻擊者所修改。

1)攻擊者截獲算法8)[4]中，由數(shù)據(jù)擁有者執(zhí)行算法生成的并傳送于云存儲服務(wù)器的修改密文類型密鑰，有：

將t′修改成t′后傳于云存儲服務(wù)器。

2)云存儲服務(wù)器執(zhí)行算法9)[4]中的TSet(c,TK)算法為：

攻擊者截獲后，仍將t′修改成t′后傳于云存儲服務(wù)器為：

4)云存儲服務(wù)器執(zhí)行算法6)[4]中的REnc算法，得到。

5)R執(zhí)行算法7)[4]的算法，解密得到明文。

根據(jù)上面的推導(dǎo)，可以清晰地看到由于重加密過程與解密過程不涉及密文類型標(biāo)識t′，因此可任意修改。攻擊者只需要針對密文類型修改密鑰和代理重加密密鑰的傳輸過程做出相應(yīng)的篡改，就可以將原本的可共享類型修改為不可共享類型，將不可共享類型修改為可共享類型。

2.2由于類型修改引起了新的條件性選擇明文攻擊問題分析

在文獻(xiàn)[4]中出現(xiàn)的PRE方案“即使storage不可信，storage也無法知道數(shù)據(jù)的內(nèi)容”。但是該方案在提供數(shù)據(jù)類型可修改功能的過程中，實(shí)際上泄露了部分的數(shù)據(jù)信息內(nèi)容，造成了新的選擇明文攻擊問題。

攻擊者與服務(wù)器合謀，攻擊者在storage處獲取到在密文類型為t1情況下的密文：其攻擊目標(biāo)為恢復(fù)相應(yīng)的明文m1。攻擊者與云服務(wù)器合謀攻擊步驟如下。

首先攻擊者采用選擇明文攻擊，獲取到密文類型為t2情況下的明密文對為：

從上面可以看出，如果密文類型不可修改，該方案是可以抵御選擇明文攻擊的。但是由于數(shù)據(jù)類型明文存放、傳輸并可修改，帶來了新的問題。如果云服務(wù)器出于好奇，將歷史的代理重加密密鑰與密文類型轉(zhuǎn)換密鑰記錄，其中密文類型轉(zhuǎn)換記錄如表1所示。

表1 文類型轉(zhuǎn)換記錄表

在表中除自身的轉(zhuǎn)換外，每一項(xiàng)都對應(yīng)了一次密文類型轉(zhuǎn)換。這些項(xiàng)代表storage記錄了相應(yīng)的密文類型轉(zhuǎn)換所需的密文類型轉(zhuǎn)換密鑰。分析算法8)[4]密文類型轉(zhuǎn)換密鑰得知，其數(shù)據(jù)結(jié)構(gòu)只與相關(guān)。這說明storage對密文類型轉(zhuǎn)換的操作是可以多次疊加的。將TK=()中的密文類型轉(zhuǎn)換密鑰記做RTKtt′→。如果密文類型轉(zhuǎn)換記錄表中存在一個t1與t2共同指向的密文類型t?，將由t1轉(zhuǎn)換到t?中間所經(jīng)歷的密文類型記錄為一個非空集合，1≤l≤n。storage可以通過查詢記錄表獲取所需的密文類型修改密鑰組：。對密文類型修改密鑰進(jìn)行乘積處理，有：

storage最終可以通過計算得到由類型t1到共同類型t?的密文類型轉(zhuǎn)換密鑰RTKt1→t?。再經(jīng)過算法9)[4]進(jìn)行密文類型轉(zhuǎn)換為：

得到新類型t?下的預(yù)共享密文，同理可得由t2轉(zhuǎn)換到t?情況下的預(yù)共享密文為：

接下來在代理重加密過程中，服務(wù)器根據(jù)記錄的代理重加密密鑰為：

修改有：

其中，有：

攻擊者最終通過合法解密過程7)[4]得到：

攻擊者攻擊成功，由上可見在一定條件下，即攻擊者與云服務(wù)器合謀時，密文類型修改會引起新的選擇明文攻擊問題。

3　對類型可修改的基于身份代理重加密方案的改進(jìn)

針對上述兩個安全漏洞，本文對文獻(xiàn)[4]的方案做出了以下改進(jìn)：1)增加一個對類型t的完整性驗(yàn)證環(huán)節(jié)；2)對數(shù)據(jù)塊進(jìn)行編號排序。

3.1 方案改進(jìn)

相應(yīng)將算法4)[4]修改為：

將算法5)[4]修改為，其中有：

算法6)[4]中storage將傳輸，

其中有：

算法7)[4]為：

算法8)[4]為：

算法9)[4]為：

3.2正確性驗(yàn)證

通過上述改進(jìn)，可以看到R可正常解密共享密文，最終取得mk。

1)storage存儲：

2)DO解密正確性：

3)storage存儲預(yù)共享密文通過代理重加密后轉(zhuǎn)換成最終共享密文：

4)R進(jìn)行最后的數(shù)據(jù)解密：

3.3安全性分析

文獻(xiàn)[4]方案安全漏洞的產(chǎn)生是由于只添加了密文類型修改功能，而沒有在其后的環(huán)節(jié)做出相應(yīng)的驗(yàn)證，使方案整體的完整性遭到了破壞。針對密文類型修改所引起的兩個安全漏洞，本文在其方案相應(yīng)的位置做出了修改，下面通過對比來進(jìn)行說明此修改是否會引起問題。

首先在密文存儲階段引入了對數(shù)據(jù)塊進(jìn)行區(qū)分的編號信息k，并將c2由改為。這樣就對數(shù)據(jù)的密文與數(shù)據(jù)的編號信息進(jìn)行了位置綁定，阻止了可能的指數(shù)項(xiàng)合并。在遭遇攻擊時，云服務(wù)器無法將不同編號數(shù)據(jù)塊所對應(yīng)的預(yù)共享密文順利的改變?yōu)橄嗤念愋徒Y(jié)構(gòu)，從而抵御了選擇明文攻擊。

其次為解決密文類型修改的驗(yàn)證問題，本文在代理重加密階段將RKey()中的由變?yōu)椤?/p>

根據(jù)文獻(xiàn)[2]的安全性證明與文獻(xiàn)[4]的安全性分析。本文的方案對比文獻(xiàn)[4]方案只增加了密文與數(shù)據(jù)塊明文編號信息的綁定，以及最后一階段對明文傳輸密文類型信息t的驗(yàn)證，因此本文的方案具有與文獻(xiàn)[2]一致的安全性。

4　結(jié) 束 語

本文針對文獻(xiàn)[4]方案中兩個安全漏洞進(jìn)行了分析與改進(jìn)，并在其基礎(chǔ)上提出了對類型可修改的基于身份代理重加密方案的改進(jìn)方案。在經(jīng)過對該方案的正確性驗(yàn)證與安全性分析后表明，該方案與傳統(tǒng)的基于類型和身份的代理重加密方案相比，具有相同的安全性。

[1]BLAZE M,BLEUMER G,STRAUSS M. Divertible protocols and atomic proxy cryptography[C]//Advances in Cryptology-EUROCRYPT'98,LNCS 1403. Heidelberg: Springer-Verlag,1998.

[2]IBRAIMI L,TANG Q,HARTEL P,et al. A type-andidentity-based proxy re-encryption scheme and its application in healthcare[C]//Secure Data Management 2008,LNCS 5159. Heidelberg: Springer,2008.

[3]IBRAIMI L,TANG Q,HARTEL P,et al. Exploring type-and-identity-based proxy re-encryption scheme to securely manage personal health records[J]. Innovations in Data Methodologies and Computational Algorithms for Medical Applications,2012,1(2):1-21.

[4]劉志遠(yuǎn),崔國華. 類型可修改的基于身份代理重加密方案[J]. 電子科技大學(xué)學(xué)報,2014,43(3): 408-412. LIU Zhi-yuan,CUI Guo-hua. A dynamic type and identitybased proxy re-encryption scheme[J]. Journal of University of Electronic Scienceand Technology of China 2014,43(3): 408-412.

[5]GREEN M,ATENIESE G. Identity-based proxy re-encryption[C]//Applied Cryptography and Network Security (ACNS),LNCS 4521. Heidelberg: Springer-Verlag,2007.

[6]CHU C K,TZENG W G. Identity-based proxy re-encryption without random oracles[C]//ISC 2007,LNCS 4779. Heidelberg: Springer,2007.

[7]MATSUO T. Proxy re-encryption systems for identity-based encryption[C]//Pairing-Based Cryptography-Pairing 2007. Tokyo,Japan: Computer Science,2007.

[8]LIBERT B,DAMIEN V. Unidirectional chosen-ciphertext secure proxy re-encryption[C]//Public Key Cryptography PKC 2008,LNCS 4939. Heidelberg: Springer-Verlag,2008.

編輯黃莘

Further Improvement of a Dynamic Type and Identity-Based Proxy Re-Encryption Scheme

ZHANG Xin-peng1,2,XU Chun-xiang1,ZHANG Xiao-jun1,DENG Jiang1and Huang Xin2
(1. School of Computer Science and Engineering,University of Electronic Science and Technology of ChinaChengdu611731; 2. Logistic Information Center,Joint Logistics Department,Chengdu Military RegionChengdu610015)

Dynamic type information of ciphertext can be modified properly so that it can be well applied in a practical cloud storage environment. In order to meet the application requirements,Liu et al proposed a dynamic type and identity-based proxy re-encryption (PRE)scheme based on Ibraimi et al’s scheme. Their scheme not only keeps the traditional core function of PRE scheme,but also makes sure that the owner of ciphertext can modify the type information at any time. However,after careful security analysis it found that Liu et al.’s scheme has two security flaws. Firstly,the dynamic type information lacks of verification,the adversary can modify the type tag. Secondly,the dynamic type information causes a conditional chosen plaintext attack. Thus we further improve Liu et al.’s scheme and give the security analysis.

cloud storage;provable;proxy re-encryption;type and identity-based proxy re-encryption security

TP309

A

10.3969/j.issn.1001-0548.2016.06.015

2015 ? 03 ? 23；

2015 ? 06 ? 05

國家自然科學(xué)基金(61370203)；總后研究所項(xiàng)目(BS211L019-3)

張新鵬(1978 ? )，男，博士，主要從事信息安全密碼學(xué)方面的研究.