多中心的基于密鑰策略的屬性加密方案的安全性分析

何凱 龐浩霖 付有才

(1. 東莞理工學院 網(wǎng)絡與空間安全學院，廣東東莞 523808；2. 東莞理工學院 計算機科學與技術學院，廣東東莞 523808)

屬性基加密(ABE)[1]方案不僅可以保障數(shù)據(jù)的機密性，同時還能夠?qū)崿F(xiàn)數(shù)據(jù)的細粒度訪問控制功能，被廣泛的應用于云存儲中。屬性基加密分為基于密鑰策略的屬性加密[2]和基于密文策略的屬性加密[3]，前者是將策略嵌入到密鑰中、屬性嵌入到密文中；后者是將策略嵌入到密文中、屬性嵌入到密鑰中。在屬性基加密系統(tǒng)中，所有用戶的私鑰都是由一個中心實體生成，當實體不可信或遭受惡意攻擊時，可能會造成用戶密鑰泄露，這樣大大降低了云存儲數(shù)據(jù)的安全性和保密性。為了解決該問題，多中心實體的屬性基加密方案相繼被提出[4-6]，這些方案支持多個不同中心實體同時操作，每個中心實體管理一組屬性，并給用戶擁有其屬性頒發(fā)私鑰。Lekwo和Waters[7]提出了一個多中心的基于密文策略的屬性加密方案，其中每個中心實體無需相互協(xié)作就可以頒發(fā)私鑰。Han等人[8]提出了一個多中心的基于密鑰策略的屬性基加密方案。然而，Ge等人[9]指出Han等人[8]方案無法抵抗共謀攻擊，并提出了一種具體的攻擊，即當兩個擁有解密密鑰的用戶進行合謀時，能夠為一個未授權的用戶產(chǎn)生一個合法的私鑰。隨后，Y.Rahulamathavan等人[10]對Han等人的方案[8]進行了擴展，提出了一個能夠抵抗用戶合謀方案。然而，Zhang等人[11]發(fā)現(xiàn)方案[10]的解密算法存在安全漏洞，只需勾結(jié)的用戶們屬性集合合并起來能夠滿足密文訪問控制策略，就能產(chǎn)生一個有效私鑰成功地解密密文。因此，Zhang等人[11]改進了方案[10]的私鑰生成算法，聲稱改進后方案能夠抵抗共謀攻擊。然而，本文在方案[11]的攻擊場景的基礎上，增加了一個勾結(jié)的中心實體，當未授權的用戶與中心實體進行勾結(jié)，改進后的方案[11]也無法抵抗共謀攻擊。

1 基礎知識

1.1 準備知識

1)雙線性配對。

G1和G2是素數(shù)階p的兩個乘法循環(huán)群，g是群G1的生成元，e是雙線性配對，e:G1×G1→G2，雙線性配對具有以下屬性：

?雙線性：對于所有g,h∈G1，和a,b∈Zp。有a,b∈Zp,有e(ga,hb)=e(g,h)ab。

?非退化性：e(g,h)≠1。

?可計算性：對于g,h∈G1,計算e(g,h)是容易計算的。

2)判定雙線性迪菲-赫爾曼(Decisional Bilinear Diffie-Hellman，DBDH)假設。

隨機選擇a,b,c,z∈Zp，g是群G1的生成元，沒有多項式時間算法能夠以不可忽略的優(yōu)勢區(qū)分元組(ga,gb,gc,gabc)與元組(ga,gb,gc,gz)時，DBDH假設成立。算法的優(yōu)勢定義為

AdvBDBDH=|Pr[B(ga,gb,gc,gabc)=1]-

Pr[B(ga,gb,gc,gz)=1]|.

1.2 多中心的基于密鑰策略的屬性加密方案方案模型

1)多中心的基于密鑰策略的屬性加密(KP-ABE)方案由以下5個算法組成。

全局初始化：輸入安全參數(shù)l，系統(tǒng)輸出系統(tǒng)全局參數(shù)。

中心初始化：每個中心Ak產(chǎn)生自己的私鑰SKk和公鑰PKk和一個訪問控制結(jié)構Ak。

1.3 多中心的基于密鑰策略的屬性加密方案的安全模型

多中心的基于密鑰策略的屬性加密方案安全敵手和挑戰(zhàn)者之間的安全游戲如下：

全局設置：挑戰(zhàn)者運行Global Setup算法生成系統(tǒng)參數(shù)，并把它給A。

授權設置：每個授權者生成自己的私鑰SKk和公鑰PKk和訪問控制結(jié)構Ak。

1)對于Ak∈CA, 挑戰(zhàn)者將公、私鑰對(SKk,PKk)發(fā)送給敵手A。

2)對于Ak?CA,挑戰(zhàn)者只將公鑰發(fā)送給敵手A。

挑戰(zhàn)：敵手A提交兩個長度相同的消息m0和m1，挑戰(zhàn)者隨機選擇一比特b從{0,1}中，挑戰(zhàn)者計算挑戰(zhàn)密文CT*=Encryption(params,mb,AC)，并將CT*發(fā)送給A。

階段2：敵手進行密鑰查詢，與階段1相同。

猜測階段：敵手A輸出b′。

2 回顧Zhang等人[11]的多中心的屬性加密方案

首先，簡單回顧Zhang等人的多中心的屬性基加密方案[11]。

每個中心實體初始化：每個中心實體Ak選取{αk,βk,tk,1,…,tk,nk}∈RZp，并計算自己的主公鑰：

和Ak的主私鑰：

SKk={αk,βk,tk,1,…,tk,nk}.

中心實體Ak設定授權用戶需要滿足訪問樹結(jié)構屬性的最小數(shù)量為mk(mk≤nk).

密鑰生成：每個Ak選取rk,u∈RZp，并為訪問樹T中的每個結(jié)點x選擇多項式qx。每個結(jié)點x的多項式qx的階為dx=kx-1，其中kx是該結(jié)點的閾值。對根結(jié)點r，設定qr(0)=rk,u；對其他結(jié)點x，設定qx(0)=qparent(x)(index(x))。然后，輸出用戶的私鑰：

C1=m∏k∈Ice(g,g)sαk,
C2=gs,

C3=∏k∈Icgsβk,

其中Ic表示中心實體管理的屬性集合的索引集。

解密：用戶u首先計算D′=hu，與X,Y,Sk：

X=∏k∈Ice(C2,Dk,u) ,

Y=e(C3,D′) ,

然后，用戶u計算消息m：

3 對方案[11]進行安全性分析

Zhang等人[11]提出了一個新的隱私保護多中心密鑰策略的屬性基加密方案，聲稱可以抵抗共謀攻擊。然而，在其私鑰Dk,u設計中，發(fā)現(xiàn)用戶的身份u和中心實體的私鑰β都在h的指數(shù)上(如huβ)。這樣，所有用戶的私鑰之間存在線性關系，容易受到用戶的共謀攻擊。因此，筆者提出了一個安全性分析，表明他們的改進方案對共謀攻擊是不安全的，具體分析如下。

考慮與Zhang等人的方案[11]相同的攻擊場景，不同之處在于我們的攻擊涉及到不懷好意的中心實體A3。假設A1,A2,A3是該系統(tǒng)的三個屬性中心實體。

中心實體A1為用戶u1生成私鑰：

中心實體A2為用戶u1生成私鑰：

中心實體A3為用戶u2生成私鑰：

密文如下：

C1=m∏k∈Ice(g,g)sαk,

C2=gs,

C3=∏k∈Icgsβk,

其中Ic={1,2,3}表示中心實體集的索引。

現(xiàn)在，用戶u1和u2利用他們的私鑰，勾結(jié)中心實體A3利用他的主私鑰β3，他們共謀能夠計算X,Y,S如下：

X=e(C2,D1,u1)e(C2,D2,u1)e(C2,D3,u2)=

e(g,g)-s(α1+α2+α3)·e(g,h)s(u1 β1+u1 β2+u2 β3)·

Y=e(C3,hu1)·e(C2,hu1)-β3e(C2,hu2)β3=

e(gs(β1+β2+β3),hu1)·e(gs,hu1)-β3e(gs,hu2)β3=

e(gs(β1+β2),hu1)·e(gs,hu2)β3=

e(g,h)s(u1β1+u1β2+u2β3)，

然后，用戶u1與u2共謀計算

因此，

綜上所述，未授權的用戶u1和u2與勾結(jié)的中心實體A3一起成功地完成了共謀攻擊。

此外，Han等人的方案[8]在解密算法上也有同樣的問題，所以他們的方案也會遭受同樣的攻擊，具體攻擊見附錄A。

4 結(jié)語

最近，Zhang等人[11]提出一個改進的隱私保護多中心的密鑰策略的屬性基加密方案，聲稱其方案能夠抵抗用戶合謀攻擊。然而，在安全模型下，對其方案進行了安全性分析，表明了其方案[11]不能滿足抗共謀的安全要求。

附錄A Han等人的多中心的屬性基加密方案的安全性分析

A.1 回顧Han等人的方案

在Han等人的方案[8]中，只有密鑰生成算法和解密算法與Zhang等人的方案[11]不同，全局初始化、中心實體初始化和加密是相同的。因此，僅回顧密鑰生成算法和解密算法：

Di,u=gαihri,uh1uβi，

因此，

A.2 對Han等人[8]的方案進行安全性分析

中心實體A1為用戶u1生成私鑰：

D1,u1=gα1hr1,u1h1u1β1,

中心實體A2為用戶u1生成私鑰：

D2,u1=gα2hr2,u1h1u1β2,

中心實體A3為用戶u2生成私鑰：

D3,u2=gα3hr3,u2h1u2β3,

密文如下：

C2=gs,

其中Ic={1,2,3}表示中心實體集的索引。

現(xiàn)在，用戶u1和u2利用他們的私鑰，而不懷好意的中心實體A3利用他的主私鑰β3，他們共謀計算X,Y,S如下：

X=e(C2,D1,u1)e(C2,D2,u1)e(C2,D3,u2)=

e(g,g)s(α1+α2+α3)·e(g,h)s(r1,u1+r2,u1+r3,u2)·

e(g,h1)s(u1β1+u1β2+u2β3)，

e(g,h1)s(u1β1+u1β2+u2β3)，

然后，用戶u1與u2共謀計算

S=S1·S2·S3=e(g,h)s(r1,u1+r2,u1+r3,u2).

因此，