p 上是线性的,当满足2个条件: 张 凯 1 马建峰 2 张俊伟 2 应作斌 3 张 涛 2 刘西蒙 4
1 (西安电子科技大学通信工程学院 西安 710071)
2 (西安电子科技大学计算机学院 西安 710071)
3 (安徽大学计算机科学与技术学院 合肥 230601)
4 (新加坡管理大学信息系统学院 新加坡 178902)
(629zhangkai@163.com)
随着云计算技术的快速发展,人们越来越多地将数据存储在云服务器上以减少本地的存储和管理开销.然而,使用云存储服务在给人们带来了极大便捷的同时,也对数据的安全性造成了威胁.远端云服务器可能会查看甚至出售用户的敏感数据以获取商业利益.因此,利用加密技术来保护用户的敏感数据是非常必要的.传统的公钥加密技术能够保证用户将自己的数据秘密分享给一个指定的用户.然而,在许多情形下,用户希望所有满足指定访问策略的用户都能够访问数据,从而实现细粒度的访问控制.例如,病人希望自己的医疗数据能被 A 医院的所有内科医生访问.
为了解决上述问题,Sahai和Waters [1] 在2005年提出了属性加密(attribute-based encryption, ABE)的概念.在ABE方案中,用户的解密能力依赖于自身的属性.因此,ABE在保护数据机密性的同时,可以实现数据的细粒度访问控制.在密文策略属性加密 [2] (ciphertext-policy ABE, CP-ABE)中,用户的私钥对应于自身属性,密文对应于一个访问策略,当且仅当用户的属性满足访问策略时,用户才能够成功解密.虽然现有的ABE方案 [2-6] 支持细粒度访问控制,但效率过低和私钥泄露仍是阻碍其实际应用的2个关键问题.
近年来,ABE中的私钥泄露问题 [7-11] 越来越受到研究者们的重视.在CP-ABE方案中,多个用户可能拥有相同的属性,从而有相同的解密能力.若一个恶意用户出售自己的私钥,则难以通过这个私钥找出该用户.例如一个病人想利用ABE来分享自己的医疗信息给 A 医院的内科医生,而张三和李四都是 A 医院的内科医生.如果张三和李四中某人泄露了私钥,则难以判断是谁泄露的私钥.另一方面,ABE虽然实现了细粒度访问控制,但效率要比传统加密低得多.例如在CP-ABE方案中,用户的加密时间是和访问策略的复杂性成线性关系的.因此,使用CP-ABE加密会给用户造成巨大的时间开销和能源开销,尤其是会对使用移动设备进行操作的用户造成巨大挑战.
针对上述问题,本文在素数阶群下构造了一个在线/离线的可追责CP-ABE(online/offline traceable CP-ABE, OO-T-CP-ABE)方案.此外,我们在标准模型下证明了方案是选择性安全(selectively secure)和可追责的.方案的特点总结为4点:
1) 可追责.当恶意用户泄露或出售自己的私钥时,能够利用追责算法追踪到该用户的身份.
2) 在线/离线加密.加密的绝大部分运算是在离线阶段提前执行的,在线加密数据所带来的计算开销较小,因此适合于资源受限的移动设备使用.
3) 大属性域(large universe).整个系统的属性域并不需要在系统建立时固定,而且公钥长度并不随属性个数的增加而增加.这使得方案有较好的扩展性.
4) 丰富的访问策略.访问策略可以表示为任意单调访问结构,从而能够支持灵活的访问控制.
Sahai和Waters [1] 在2005年首次提出了ABE的概念.随后,Goyal等人 [3] 将ABE划分为密钥策略ABE (key-policy ABE, KP-ABE)和CP-ABE.此后,选择性安全的CP-ABE方案 [2,4] 和自适应安全(adaptively secure)的CP-ABE方案 [5-6] 也被陆续提出.2011年,Lewko和Waters [12] 在合数阶群下构造了第1个支持大属性域的CP-ABE方案.相比于文献[1-6],文献[12]中的方案并不需要在系统建立时确定属性域,而且公钥的长度与属性个数无关.之后,Rouselakis和Waters [13] 在素数阶群下构造了一个更加高效的支持大属性域的CP-ABE方案.近年来,为了提高ABE方案的效率,可外包解密的ABE [14] 、在线/离线ABE [15] 和密文长度固定的ABE [16] 方案也被相继提出.然而,上述方案 [14-16] 并不能够对恶意用户进行追责,因此存在用户私钥泄露的风险.
文献[7-8]首先研究了ABE的追责问题.但是文献[7-8]中的访问策略只能表示为“与门和通配符(AND gates with wildcard)”.针对此问题,Liu等人提出了支持任意单调访问结构的白盒追责ABE [9] 和黑盒追责ABE [10] 方案.随后,Ning等人 [11] 提出了一个支持大属性域的可追责CP-ABE方案.但已有的可追责CP-ABE方案 [7-11] 的在线加密开销过大,从而会严重影响用户在移动设备上的使用体验.与文献[7-11]相比,本文提出的ABE方案不仅支持恶意用户追责,而且支持在线/离线加密,从而大幅减少了用户的在线加密开销.
定义1 . 访问结构 [17] .设{ P 1 , P 2 ,…, P n }为所有参与者组成的集合.一个集合 A ⊆2 { P 1 , P 2 ,…, P n } 是单调的,当且仅当对任意 B , C ,如果 B ∈ A ,且 B ⊆ C ,则 C ∈ A .一个(单调)访问结构(access structure) A 是由{ P 1 , P 2 ,…, P n }的非空子集组成的(单调)集合,即 A ⊆2 { P 1 , P 2 ,…, P n } \ {∅}.包含在 A 中的集合称为授权集合,不包含在 A 中的集合称为非授权集合.
定义2 . 线性秘密共享 [17] .定义在参与者集合 P 上的一个秘密共享方案 Π 称为在 p 上是线性的,当满足2个条件:
1) 每个参与者关于 s ∈ p 的秘密分享值组成 p 上的一个向量.
2) 存在一个 Π 的分享生成矩阵 M ∈ l × n p 和函数 ρ :[ l ]→ P .对于 i ∈[ l ],函数 ρ 将其映射到参与者
ρ ( i ).随机选择 y 2 , y 3 ,…, y n ∈ p ,令列向量 y =( s , y 2 , y 3 ,…, y n ) T ,则 My 是秘密 s 关于 Π 的 l 个分享份额.其中分享份额 λ i =( My ) i 属于参与者 ρ ( i ).
文献[17]指出任何一个线性秘密共享方案(linear secret sharing scheme, LSSS)都具有如下线性重构性质.如果 Π 是访问结构 A 的一个LSSS, S 是 A 中的一个授权集合, I ={ i : ρ ( i )∈ S }⊆{1,2,…, l },则存在常数{ ω i ∈ p }使得 
s .
本文将在素数阶双线性群(prime order bilinear groups)下构造方案,并基于素数阶双线性群中的2个困难问题假设来证明方案的安全性.
设 G 和 G T 都是阶为素数 p 的循环群, g 是 G 的生成元.双线性对 e : G × G → G T 是一个满足2个条件的映射:
1) 双线性.∀ u , v ∈ G , e ( u a , v b )= e ( u , v ) ab .
2) 非退化性. e ( g , g )≠1.
如果双线性对 e : G × G → G T 和群中的运算都是可以有效计算的,则称 G 是一个素数阶双线性群.
定义3 . q -1假设 [13] . G 是阶为素数 p 的双线性群, g 是 G 的生成元.群 G 中的 q -1难题定义如下:随机选取 a , s , b 1 , b 2 ,…, b q ∈ p ,给定
D =( p , g , G , G T , e , g , g s ,{ g a i , g b j , g s b j , g a i b j , 
} ( i , j )∈[ q , q ] ,{ 
} ( i , j , j ′)∈[2 q , q , q ], j ≠ j ′ ,
{ g a i / b j } ( i , j )∈[2 q , q ], i ≠ q +1 ,{ g s a i b j / b j ′ ,
区分 G T 中的随机元素 R 和 e ( g , g ) s a q +1 .
一个算法A解决群 G 中的 q -1难题的优势为 ε ,当:
| Pr [A( D , e ( g , g ) s a q +1 )=0]-
Pr [ A ( D , R )=0]|≥ ε .
若没有一个多项式时间算法能够以不可忽略的优势解决群中的 q -1难题,则称群中的 q -1假设成立.
定义4 . q ′-SDH假设 [18] . G 是阶为素数 p 的循环群, g 是 G 的生成元.群 G 中的 q ′-SDH难题定义如下:随机选取 x ∈ * p ,给定( g , g x , g x 2 ,…, g x q ′ ),计算 
其中 c ∈ * p .
一个算法A解决群 G 中的 q ′-SDH难题的优势为 ε ,当:
Pr [A( g , g x , g x 2 ,…, g x q ′ )=( c , 
)]≥ ε .
若没有一个多项式时间算法能够以不可忽略的优势解决群中的 q ′-SDH难题,则称群中的 q ′-SDH假设成立.
离线可追责ABE的定义和安全模型 本文方案是在密钥封装机制(key encapsulation mechanism, KEM)下定义的,即基于属性的加密是用来加密会话密钥的,而该会话密钥能够作为对称加密的密钥来加密任意长度的消息.
一个在线/离线的可追责密文策略属性密钥封装机制(online/offline traceable CP-AB-KEM, OO-T-CP-AB-KEM)包括6个算法:
1) Setup ( λ , U ).该算法输入安全参数 λ 和属性域 U ,输出公钥 PK 和主密钥 MSK .此外,该算法初始化一个追责列表 T =∅.
2) KeyGen ( MSK , PK , id , S ).该算法输入主密钥 MSK 、公钥 PK 、用户的身份 id 和一个属性集合 S ⊆ U ,输出一个对应于( id , S )的用户私钥 SK i d , S ,并将 id 加入列表 T 中.
3) Offline . Encrypt ( PK ).该算法输入公钥 PK ,输出一个间接密文 IT .
4) Online . Encrypt ( PK , IT ,( M , ρ )).该算法输入公钥 PK 、间接密文 IT 和一个访问策略( M , ρ ),输出一个会话密钥 key 和一个密文 CT .
5) Decrypt ( SK i d , S , PK , CT ).该算法输入公钥 PK 、对应于属性集 S 的私钥 SK i d , S 、对应于访问策略( M , ρ )的密文 CT .如果属性集 S 不满足访问策略( M , ρ ),直接输出⊥表示解密失败;否则,输出一个会话密钥 key .
6) Trace ( PK , T , SK ).该算法输入公钥 PK 、追责列表 T 、私钥 SK .该算法首先检查 SK 是否为一个合理的私钥以确定是否有必要进行追责.如果 SK 是一个合理的私钥,则输出 SK 对应的身份 id ;否则,输出符号 Λ 表示 SK 不是一个合理的私钥.
本节通过一个敌手和挑战者之间的游戏给出OO-T-CP-AB-KEM的安全模型.具体游戏描述如下:
1) 初始化.敌手声明并发送自己要攻击的访问策略( M * , ρ * )给挑战者.
2) 系统建立.挑战者运行 Setup ( λ , U )→( PK , MSK ),并将公钥 PK 发给敌手.
3) 询问阶段1.敌手向挑战者询问对应于属性集( id 1 , S 1 ),( id 2 , S 2 ),…,( id q 1 , S q 1 )的私钥.对于所有 i ∈[ q 1 ],挑战者运行 KeyGen ( MSK , PK , id i , S i )→ SK i d i , S i ,并将 SK i d i , S i 发送给敌手.这里要求对任何 i ∈[ q 1 ], S i 都不满足访问策略( M * , ρ * ).
4) 挑战.挑战者运行 Online . Encrypt ( PK , Offline . Encrypt ( PK ),( M * , ρ * ))→( key * , CT * )算法,并随机选择 b ∈{0,1}.如果 b =0,则将( key * , CT * )发送给敌手;如果 b =1,则在会话密钥空间中选择一个随机值 R ,并将( R , CT * )发送给敌手.
5) 询问阶段2.这一阶段和询问阶段1相同.敌手继续向挑战者询问对应于属性集( id q 1 +1 , S q 1 +1 ),( id q 1 +2 , S q 1 +2 ),…,( id q s , S q s )的私钥.同样地,对于所有 i ∈[ q s ],要求 S i 不能满足访问策略( M * , ρ * ).
6) 猜测.敌手输出对于 b 的猜测结果 b ′∈{0,1}.
敌手在上述游戏中获胜的优势被定义为| Pr [ b = b ′]-1/2|.
定义5 . 如果任何多项式时间敌手在上述游戏中获胜的优势都是可忽略的,则称一个OO-T-CP-AB-KEM方案是选择性安全的.
本节通过一个敌手和挑战者之间的游戏给出OO-T-CP-AB-KEM中可追责性的定义.具体追责游戏描述如下:
1) 系统建立.挑战者运行 Setup ( λ , U )→( PK , MSK ),并将公钥 PK 发送给敌手.
2) 询问阶段.敌手向挑战者询问对应于属性集( id 1 , S 1 ),( id 2 , S 2 ),…,( id q s , S q s )的私钥.对于所有 i ∈[ q s ],挑战者运行 KeyGen ( MSK , PK , id i , S i )→ SK i d i , S i ,并将 SK i d i , S i 发送给敌手.
3) 私钥伪造.敌手输出一个私钥 SK * .
敌手在上述游戏中获胜的优势被定义为 Pr [ Trace ( PK , T , SK * )∉{ Λ , id 1 , id 2 ,…, id q s }].
定义6 . 如果任何多项式时间敌手在上述游戏中获胜的优势都是可忽略的,则称一个OO-T-CP-AB-KEM方案是可追责的.
离线加密的可追责CP - ABE方案 本节将在KEM情形下构造一个支持追责和在线/离线加密的CP-ABE方案,并且在标准模型下证明方案是选择安全和可追责的.最后,我们给出了本文方案和相关方案的性能对比.
此处假定LSSS 访问策略中的矩阵最多有 P 行,后面将指出如何去除这个限制条件.具体的OO-T-CP-AB-KEM方案构造如下:
1) Setup ( λ , U ).该算法首先选择一个阶为素数 p 的双线性群 G . e : G × G → G T 是一个定义在 G 上的双线性对;然后随机选择 g , h , u , v , w ∈ G 和 α , a ∈ p ,输出公钥 PK =( G , p , g , h , u , v , w , e ( g , g ) α , g a )和主密钥 MSK =( α , a );最后建立一个空的追责列表 T .
2) KeyGen ( MSK , PK , id , S ={ A 1 , A 2 ,…, A k }⊆ p ).该算法随机选择 r , r 1 , r 2 ,…, r k ∈ p 和 c ∈ * p\ {- a },如果 c 已经存在于列表 T 中,则重新选择随机元 c ;然后计算 
并对所有 i ∈[ k ]计算 K i ,2 = g r i , K i ,3 =( u A i h ) r i v -( a + c ) r ;最后输出用户的私钥 SK i d , S =( S , K 0 , 
, K 1 , 
,{ K i ,2 , K i ,3 } i ∈[ k ] ),并将数组( c , id )加入到追责列表 T 中.
3) Offline . Encrypt ( PK ).该算法选择随机数 s ∈ p ,计算 key = e ( g , g ) α s , C 0 = g s , 
= g a s ;然后对所有的 j ∈[ P ],随机选择 
, x j , t j ∈ p ,并计算 
最后输出间接密文 IT =( key , s , C 0 , ,{ , t j , x j , C j ,1 , C j ,2 , C j ,3 } j ∈[ P ] ).
4) Online . Encrypt ( PK , IT ,( M , ρ )).该算法输入公钥 PK 、间接密文 IT 和LSSS访问策略( M , ρ ).其中 M 是一个 l × n 矩阵,且 l ≤ P , ρ :[ l ]→ p 将矩阵的每一行 M j 映射到属性 ρ ( j ).首先随机选择 y 2 ,…, y n ∈ p ,令向量 y =( s , y 2 ,…, y n ) T ;然后对所有的 j ∈[ l ],计算 λ j =( My ) j , C j ,4 = λ j - , C j ,5 = t j ( x j - ρ ( j ));最终得到会话密钥 key = e ( g , g ) α s 和密文 CT =(( M , ρ ), C 0 , ,{ C j ,1 , C j ,2 , C j ,3 , C j ,4 , C j ,5 } j ∈[ l ] ).
5) Decrypt ( SK i d , S , PK , CT ).KEM情形下的解密算法用来恢复会话密钥 key .该算法输入对应于访问策略( M , ρ )的密文 CT =(( M , ρ ), C 0 , ,{ C j ,1 , C j ,2 , C j ,3 , C j ,4 , C j ,5 } j ∈[ l ] )和对应于属性集 S 的私钥 SK i d , S =( S , K 0 , 
, K 1 , 
,{ K i ,2 , K i ,3 } i ∈[ k ] ).如果属性集 S 不满足访问策略( M , ρ ),直接输出⊥表示解密失败;否则,令 I ={ i : ρ ( i )∈ S }⊆{1,2,…, l },并计算常数{ ω i ∈ p }满足 
).然后计算得到:
key = 
,
其中 j 是属性 ρ ( i )在集合 S ={ A 1 , A 2 ,…, A k }中的索引,即 ρ ( i )= A j .
6) Trace ( PK , T , SK ).该算法输入公钥 PK 、追责列表 T 和私钥 SK .该算法首先检查 SK 是否为一个合理的私钥.如果 SK 的形式为 SK =( S , K 0 , , K 1 , ,{ K i ,2 , K i ,3 } i ∈[ k ] )且通过下面的私钥检查,则表明 SK 是一个合理的私钥,其中 k 表示属性集中包含属性的个数.然后在追责列表 T 中查找 
,并输出对应的身份 id .否则;输出符号 Λ 表示 SK 不是一个合理的私钥.具体的私钥检查条件如下:
S ={ A 1 , A 2 ,…, A k }⊆ p , 
∈ * p , K 0 , K 1 , 
, K i ,2 , K i ,3 ∈ G ;
(1)
e ( K 1 , g a )= e ( , g );
;
(3)
存在 i ∈[ k ]使得:
).
(4)
正确性.如果属性集 S 满足访问策略( M , ρ ),则有 
所以:
y ·(1,0,…,0)= s .
因此有:
( e ( w C i ,4 C i ,1 , 
) e ( C i ,2 u c i ,5 , K j ,2 ) e ( C i ,3 , K j ,3 )) ω i = ( e ( 
v t i , g cr g a r ) e (( u x i h ) - t i u t i ( x i - ρ ( i )) , g r j ) e ( g t i ,( u A j h ) r j v -( a + c ) r )) ω i = ( e ( w λ i , g ) ( a + c ) r e ( v t i , g ) ( a + c ) r e ( u - t i ρ ( i ) h , g ) - t i r j e ( g , u ρ ( i ) h ) t i r j e ( g , v ) -( a + c ) rt i ) ω i = ( e ( w λ i , g ) ( a + c ) r ) ω i = e ( w , g ) ( a + c ) rλ i ω i = e ( w , g ) 
= e ( w , g ) ( a + c ) r s .
又因为 
所以有:
key = 
= e ( g , g ) α s .
本节将证明本文方案在 q -1假设下是选择性安全的.首先证明如下引理.
引理1 . 如果 HW (Hohenberger-Waters)方案 [15] 是选择性安全的,则本文的OO-T-CP-AB-KEM 方案是选择性安全的.
证明. 为了证明这个引理,我们将指出:在选择性安全模型下,如果有一个多项式时间敌手A能以不可忽略的优势 ε 攻破OO-T-CP-AB-KEM方案,则能利用敌手A构造一个模拟者B以同样的优势 ε 攻破HW方案.C是HW方案中与模拟者B交互的挑战者.
1) 初始化.敌手A首先发送自己要攻击的访问策略( M * , ρ * )给模拟者B,B将( M * , ρ * )发送给挑战者C.其中 M * 是一个 l × n 矩阵, ρ * : l → p 将矩阵的每一行 
映射到属性 ρ * ( j ).
2) 系统建立.挑战者C将HW方案的公钥 
( G , p , g , h , u , v , w , e ( g , g ) α )发送给模拟者B.B随机选择 a ∈ * p ,建立一个追责列表 T =∅,并将公钥 PK =( G , p , g , h , u , v , w , e ( g , g ) α , g a )发送给敌手A.
3) 询问阶段1.在这一阶段,模拟者B回答敌手A的私钥询问.当A发送( id , S )给B并询问OO-T-CP-AB-KEM方案中对应的私钥时,B将属性集 S 发送给挑战者C并询问HW方案中对应的私钥.C将HW方案中的私钥 
发送给B.B随机选择 c ∈ * p\ {- a },并取 
/( a + c )= r ,然后计算:
K 0 =( 
= 
= 
w r , = c , K 1 =( 
= 
= g r , =( K 1 ) a = g a r ,
B将私钥 SK i d , S =( S , K 0 , , K 1 , ,{ K i ,2 , K i ,3 } i ∈[ k ] )发送给A,并将数组( c , id )加入到追责列表 T 中.
4) 挑战.挑战者C运行HW方案的加密算法得到会话密钥 
和密文 
).C随机选择 b ∈{0,1},如果 b =0,则令 
如果 b =1,则在会话密钥空间中选择一个随机值 R ,并令 
R .然后C将 
发送给B.B计算 
= 
并令挑战密文为
CT * =(( M * , ρ * ), C 0 = g s , 
= g a s , 
C j ,4 = λ j - 
, C j ,5 = t j ( x j - ρ ( j ))} j ∈[ l ] ).
最后B将 
发送给敌手A.
5) 询问阶段 2.这一阶段和询问阶段1相同.
6) 猜测.敌手A发送给B对于 b 测猜结果 b ′.最后,B输出 b ′.
由于上述分布对于敌手A来说是完美的,因此,如果A能够以优势 ε 攻破我们的OO-T-CP-AB-KEM方案,则模拟者B能以同样的优势 ε 攻破HW方案.
证毕.
此外,下述2个引理已在文献[13,15]中被证明.
引理2 [15] .如果RW(Rouselakis-Waters)方案 [13] 是选择性安全的,则HW方案 [15] 也是选择性安全的.
引理3 [13] .如果 q -1假设成立,且挑战矩阵 M * 的大小 l × n 满足 l , n ≤ q ,则RW方案是选择性安全的.
定理1 . 如果 q -1假设成立,且挑战矩阵 M * 的大小 l × n 满足 l , n ≤ q ,则本文的OO-T-CP-AB-KEM方案是选择性安全的.
证明. 由引理1、引理2和引理3可以直接得出.
证毕.
本节将证明本文方案在 q ′-SDH假设下是可追责的.首先证明如下引理.
引理4 . 假设BB(Boneh-Boyen)签名方案 [18] 在弱选择消息攻击下是存在性不可伪造的,则本文的OO-T-CP-AB-KEM方案是可追责的.
证明. 假设对于本文的OO-T-CP-AB-KEM方案,存在一个多项式时间敌手A能以不可忽略的优势 ε 赢得3.3中的追责游戏,则能构造出一个模拟者B在弱选择消息攻击下,以同样的优势 ε 伪造一个BB签名.C是BB签名方案中与模拟者B交互的挑战者.
1) 系统建立.挑战者C将BB签名方案中的公钥 
发送给模拟者B.B随机选择 h , u ∈ G 和 α , β , γ ∈ p ,将公钥 PK =( G , p , g , h , u , v = g β , w = g λ , e ( g , g ) α , g a )发送给敌手A,并建立追责列表 T =∅.
2) 询问阶段.在这一阶段,敌手A进行 q 次私钥询问,模拟者B回答A的私钥询问.当A进行第 j ( j ≤ q )次私钥询问时,A发送( id j , S j ={ A 1 , A 2 ,…, A K }⊆ p )给B并询问OO-T-CP-AB-KEM方案中对应的私钥.B首先随机选择 c j ∈ * p ,如果 c j 已经在列表 T 中,则重新选择 c j ∈ * p ,然后向C询问 c j 的BB签名.C返回给B签名 
).B随机选择 r , r 1 , r 2 ,…, r k ∈ p ,然后计算:
= c j ,
K 1, j = g r , 
=( g a ) r = g a r ,
K i ,2, j = g r i ,
K i ,3, j =( u A i h ) r i ( g a g c j ) - β r =
( u A i h ) r i ( g β ) -( a + c j ) r =( u A i h ) r i ( v ) -( a + c j ) r .
对于 c j =- a 这种极小概率发生的情形,C返回给B的签名为( c j ,1),这时B需要重新选择 c j ∈ * p ,并重复上述过程.最后将私钥 SK i d j , S j =( S j , K 0, j , 
, K 1, j , 
,{ K i ,2, j , K i ,3, j } i ∈[ k ] )发送给A,并将数组( c , id )加入到追责列表 T 中.
3) 私钥伪造.敌手A输出一个私钥 SK * 给B.
假设敌手A在上述游戏中获胜,则 Trace ( PK , T , SK * )∉{ Λ , id 1 , id 2 ,…, id q }.因此 SK * =( S , K 0 , , K 1 , ,{ K i ,2 , K i ,3 } i ∈[ k ] )通过私钥合理性检查,且 ∉{ c 1 , c 2 ,…, c q }.所以有:
S ={ A 1 , A 2 ,…, A k }⊆ p , ∈ * p , K 0 , K 1 , , K i ,2 , K i ,3 ∈ G ;
(5)
e ( K 1 , g a )= e ( , g );
).
(7)
假设 K 1 = g t ,其中 t 是 p 中的未知元.由式(6)可得 
因此由式(7)可得
所以 
模拟者B计算:
由于 ∈ * p ,所以 
是一个有效的BB签名.又因 ∉{ c 1 , c 2 ,…, c q },所以模拟者B在弱选择消息攻击下,以优势 ε 对BB签名方案进行了存在性伪造.
证毕.
此外,由文献[18],我们有以下引理.
引理5 [18] .如果 q ′-SDH假设成立,且进行私钥询问的次数 q s ≤ q ′,则在弱选择消息攻击下BB签名方案 [18] 是存在性不可伪造的.
定理2 . 如果 q ′-SDH假设成立,且进行私钥询问的次数 q s ≤ q ′,则本文的OO-T-CP-AB-KEM方案是可追责的.
证明. 由引理4和引理5可以直接得出.
证毕.
在4.1节中,LSSS访问策略中的矩阵行数不能超过 P ,这将会限制方案的实际应用.在现实生活中我们会使用不同大小的访问策略,如果访问策略对应的矩阵行数大于 P ,则不能够完成在线加密操作;如果访问策略对应的矩阵行数小于 P ,就会造成在离线阶段产生和存储的一些中间密文不能被利用,从而造成不必要的计算和存储开销.为了移除这个限制条件,这里我们利用文献[15]中的“池化(pooling)”技术来对加密阶段做出改进.首先将间接密文 IT 分为2部分:主要模块 IT main =( key = e ( g , g ) α s , s , C 0 = g s , = g a s )和属性模块 IT att, j =( , t j , x j , C j ,1 , C j ,2 , C j ,3 ).其中 
然后在离线阶段分别独立产生大量 IT main 和 IT att, j .在线加密过程中,当访问策略对应的矩阵 M 是一个 l × n 矩阵时,只要输入1个主模块和 l 个属性模块,并执行4.1节中的在线加密算法就能够生成一个有效的密文 CT 和会话密钥 key = e ( g , g ) α s .由于任意的主要模块 IT main 可以和任意的属性模块 IT att, j 结合,所以剩下的主要模块 IT main 和属性模块 IT att, j 可以用到以后密文的产生,因此不会造成资源浪费.由于这里的改进并没有影响最终密文 CT 的结构和分布,所以改进后方案与4.1节中方案的安全性分析是一样的.
表1给出了本文方案与相关方案的性能对比.其中, l 表示LSSS访问策略中矩阵的总行数, E T 表示群 G T 中的指数运算, E G 和 M G 分别表示群 G 中的指数和乘法运算.相比群 G 和 G T 中的运算, p 中的运算开销很小,因此表1中忽略了 p 中的运算开销.
从表1中可以看出,文献[15]中方案的在线加密开销很小,但是并不支持对恶意用户追责,存在恶意用户出售私钥的风险.文献[9,11]和本文方案都支持用户追责和LSSS访问策略,因此在实现灵活访问控制的同时,可以追踪泄露私钥的用户身份.然而,文献[9]并不支持大属性域,即系统的属性域需要在系统建立之初确定.如果后面新加入的属性超出了属性域,则需要重新建立系统,这导致文献[9]中方案的可扩展性较差.文献[11]尽管支持大属性域,但方案的加密过程全部需要用户在线完成,这会使得在线加密的时间和能源开销较大,不适用于移动设备进行加密.相比于文献[9,11],本文方案的加密开销几乎全部在离线阶段,这样使用移动设备的用户可以在能源充足时进行离线加密操作,当需要加密具体数据时,只需要消耗较少能源就能够快速完成在线加密.
Table 1 Comparison with Other Related Schemes
表1 与相关方案的对比
本文在素数阶双线性群下构造了一个支持在线/离线加密的可追责CP-ABE方案,并且在标准模型下证明了方案是选择性安全和可追责的.在本文方案中,如果一个恶意用户泄露自己的私钥,则可以通过追责算法确定恶意用户的身份.本文方案不仅支持任意的单调访问结构,而且绝大部分的加密操作是在离线阶段完成的,更适用于资源受限的移动设备.此外,本文方案是支持大属性域的,因此在实际应用中具有较好的扩展性.
参考文献
[1] Sahai A, Waters B. Fuzzy identity-based encryption[G] //LNCS 3494: Proc of EUROCRYPT’05. Berlin: Springer, 2005: 457-473
[2] Bethencourt J, Sahai A, Waters B. Ciphertext-policy attribute-based encryption[C] //Proc of IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2007: 321-334
[3] Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C] //Proc of the 13th ACM Conf on Computer and Communications Security. New York: ACM, 2006: 89-98
[4] Waters B. Ciphertext-policy attribute-based encryption: An expressive, efficient, and provably secure realization[G] //LNCS 6571: Proc of PKC’11. Berlin: Springer, 2011: 53-70
[5] Lewko A, Okamoto T, Sahai A, et al. Fully secure functional encryption: Attribute-based encryption and (hierarchical) inner product encryption[G] //LNCS 6110: Proc of EUROCRYPT’10. Berlin: Springer, 2010: 62-91
[6] Okamoto T, Takashima K. Fully secure functional encryption with general relations from the decisional linear assumption[G] //LNCS 6223: Proc of CRYPTO’10. Berlin: Springer, 2010: 191-208
[7] Hinek M J, Jiang Shaoquan, Safavi-Naini R, et al. Attribute-based encryption with key cloning protection [EB/OL]. International Association for Cryptologic Research (IACR), (2008-11-12)[2017-01-08]. http://eprint.iacr.org/2008/478
[8] Li Jin, Ren Kui, Kim K. A2BE: Accountable attribute-based encryption for abuse free access control [EB/OL]. International Association for Cryptologic Research (IACR), (2009-04-14) [2017-01-08]. http://eprint.iacr.org/2009/118
[9] Liu Zhen, Cao Zhenfu, Wong D S. White-box traceable ciphertext-policy attribute-based encryption supporting any monotone access structures[J]. IEEE Trans on Information Forensics and Security, 2013, 8(1): 76-88
[10] Liu Zhen, Cao Zhenfu, Wong D S. Traceable CP-ABE: How to trace decryption devices found in the wild[J]. IEEE Trans on Information Forensics and Security, 2015, 10(1): 55-68
[11] Ning Jianting, Dong Xiaolei, Cao Zhenfu, et al. White-box traceable ciphertext-policy attribute-based encryption supporting flexible attributes[J]. IEEE Trans on Information Forensics and Security, 2015, 10(6): 1274-1288
[12] Lewko A, Waters B. Unbounded HIBE and attribute-based encryption[G] //LNCS 6632: Proc of EUROCRYPT’11. Berlin: Springer, 2011: 547-567
[13] Rouselakis Y, Waters B. Practical constructions and new proof methods for large universe attribute-based encryption[C] //Proc of the 20th ACM Conf on Computer and Communications Security. New York: ACM, 2013: 463-474
[14] Green M, Hohenberger S, Waters B. Outsourcing the decryption of ABE ciphertexts[C] //Proc of USENIX the Security Symp. Berkeley, CA: USENIX Association, 2011: 523-538
[15] Hohenberger S, Waters B. Online/offline attribute-based encryption[G] //LNCS 8383: Proc of PKC’14. Berlin: Springer, 2014: 293-310
[16] Xiao Siyu, Ge Aijun, Ma Chuangui. Decentralized attribute-based encryption scheme with constant-size ciphertexts[J].Journal of Computer Research and Development, 2016, 53(10): 2207-2215 (in Chinese)
(肖思煜, 葛爱军, 马传贵. 去中心化且固定密文长度的基于属性加密方案[J]. 计算机研究与发展, 2016, 53(10): 2207-2215)
[17] Beimel A. Secure schemes for secret sharing and key distribution [D]. Haifa, Israel: Technion-Israel Institute of Technology, Faculty of Computer Science, 1996
[18] Boneh D, Boyen X. Short signatures without random oracles and the SDH assumption in bilinear groups[J]. Journal of Cryptology, 2008, 21(2): 149-177
Zhang Kai 1 , Ma Jianfeng 2 , Zhang Junwei 2 , Ying Zuobin 3 , Zhang Tao 2 , and Liu Ximeng 4
1 ( School of Telecommunications Engineering , Xidian University , Xi ’ an 710071) 2 ( School of Computer Science and Technology , Xidian University , Xi ’ an 710071) 3 ( School of Computer Science and Technology , Anhui University , Hefei 230601) 4 ( School of Information Systems , Singapore Management University , Singapore 178902)
Abstract Attribute-based encryption (ABE), as a public key encryption, can be utilized for fine-grained access control. However, there are two main drawbacks that limit the applications of attribute-based encryption. First, as different users may have the same decryption privileges in ciphertext-policy attribute-based encryption,it is difficult to catch the users who sell their secret keys for financial benefit. Second, the number of resource-consuming exponentiation operations required to encrypt a message in ciphertext-policy attribute-based encryption grows with the complexity of the access policy, which presents a significant challenge for the users who encrypt data on mobile devices. Towards this end, after proposing the security model for online 
offline traceable attribute-based encryption, we present an online offline traceable ciphertext-policy attribute-based encryption scheme in prime order bilinear groups, and further prove that it is selectively secure in the standard model. If a malicious user leaks his her secret key to others for benefit, he she will be caught by a tracing algorithm in our proposed scheme. Extensive efficiency analysis results indicate that the proposed scheme moves the majority cost of an encryption into the offline encryption phase and is suitable for user encryption on mobile devices. In addition, the proposed scheme supports large universe of attributes, which makes it more flexible for practical applications.
Key words attribute-based encryption (ABE); traceability; online offline; large universe; standard model
摘 要 作为一种公钥加密,属性加密能够实现细粒度的访问控制.然而,由于在密文策略属性加密中多个用户可能会拥有相同的解密权限,所以抓获那些出售自己私钥的用户是困难的.其次,在密文策略的属性加密中,加密一个消息所要用到的指数运算是随着访问策略复杂性的增长而增长的,由此带来的计算开销对使用移动设备进行加密的用户造成了重大挑战.针对上述问题,给出了在线 离线可追责属性加密的安全模型,然后在素数阶双线性群下构造了一个在线 离线的可追责密文策略属性加密方案,并在标准模型下证明了方案是选择性安全的.当一个恶意用户泄露的自己私钥给别人时,该方案能够通过一个追责算法将其抓获.效率分析表明该方案加密的主要开销是在离线阶段,更适用于移动设备进行加密.此外,所提方案支持大属性域,在实际应用中更加灵活.
关键词 属性加密;可追责;在线 离线;大属性域;标准模型
中图法分类号 TP309
收稿日期: 2016-11-04;
修回日期: 2017-02-21
基金项目: 国家“八六三”高技术研究发展计划基金项目(2015AA016007);中央高校基本科研业务费专项资金项目(BDZ011402);国家自然科学基金项目(U1405255, 61472310)
This work was supported by the National High Technology Research and Development Program of China (863 Program) (2015AA016007), the Fundamental Research Funds for the Central Universities (BDZ011402), and the National Natural Science Foundation of China (U1405255, 61472310).
通信作者: 马建峰(jfma@mail.xidian.edu.cn)
Zhang Kai , born in 1987. PhD candidate in the School of Telecommunications Engineering, Xidian University. His main research interests include cryptography and information security.
Ma Jianfeng , born in 1963. PhD. Professor and PhD supervisor in the School of Computer Science and Technology, Xidian University. Fellow member of CCF. His main research interests include information security, coding theory, and cryptography.
Zhang Junwei , born in 1982. PhD. Associate professor in the School of Computer Science and Technology, Xidian University. Member of CCF. His main research interests include cryptography and information security (jwzhang@xidian.edu.cn).
Ying Zuobin , born in 1982. PhD. Lecturer in the School of Computer Science and Technology, Anhui University. His main research interests include information security and security in big data (yingzb82@163.com).
Zhang Tao , born in 1986. PhD. Lecturer in the School of Computer Science and Technology, Xidian University. His main research interests include trusted computing and social network (taozhang@xidian.edu.cn).
Liu Ximeng , born in 1988. PhD. Research fellow in the School of Information Systems, Singapore Management University. His main research interests include cloud security, applied cryptography and big data security (snbnix@gmail.com).