1、云计算环境下基于密文策略的权重属性加密方案刘西蒙 1,马建峰 2,熊金波 2,李琦 2,张涛 2,朱辉 1,3(1.西安电子科技大学 通信工程学院,陕西 西安 710071;2. 西安电子科技大学 计算机学院,陕西 西安 710071; 3. 网络与数据安全四川省重点实验室 成都 611731 ) 摘 要:在综合分析现有基于密文策略属性加密方案的基础上,针对现有基于密文策略属性加密方案较少考虑属性权重的现状,将权重的概念引入到基于密文策略的属性加密方案中,提出了基于密文策略的权重属性加密方案,证明了在选择权重属性集模型下安全性。并将此方案引入到云计算环境下,给出了系统级的基于密文策略的权重属性
2、加密方案。分析表明,基于密文策略权重属性的加密方案相比现有方案更适用于云计算环境。关键词:云计算;访问控制;公钥密码学中图分类号:TP309 文章编号: -Ciphertext-policy weighted attribute based encryption scheme in cloud computingLIU Xi-meng1, MA Jian-feng2, XIONG Jin-bo2, LI Qi 2, ZHANG Tao2, ZHU hui1,3(1.School of Telecommunication Engineering, Xidian University, Xian
3、710071, China; 2. School of Computer Science and Technology, Xidian University, Xian 710071, China;3. Network and Data Security Key Laboratory of Sichuan Province)Abstract: By analyzing existing ciphertext-policy attribute based encryption scheme, ciphertext-policy weighted attribute based encryptio
4、n scheme is proposed in this paper. To solve the existing scheme without considering the attribute with weight, the concept of weight is adopted into ciphertext-policy attribute based encryption scheme. Meanwhile, the security of ciphertext-policy weighted attribute based encryption scheme is proved
5、 under the selective-weighted attribute model. Moreover, the ciphertext-policy weighted attribute based encryption scheme is given which has effectively application in secure cloud computing environment. Analysis shows that our scheme is more appropriate for the cloud computing environment than the
6、existing schemes.Key words: cloud computing; access control; public key cryptography 云计算是一种非常有前景计算模式,其建立在虚拟化,并行与分布式计算,效用计算以及面向服务的体系结构上。云计算可以减少了企业的花销以及基础设施的建设,云端用户可灵活定制相应的服务、应用及资源,并且云具有超强大的计算和存储能力,近年来受到学术界以及工业界的广泛关注1。尽管云计算给学术界及工业界带来了巨大的好处,安全问题对云计算在未来的大规模使用产生了阻碍。首要的安全考虑为云计算环收稿日期: ;修回日期:基金项目:长江学者和创新团队发
7、展计划项(IRT1078);国家自然基金重点项目(U1135002);国家自然科学基金项目(61370078);国家科技部重大专项 (2011ZX03005-002, 2012ZX03001009);中央高校基本科研业务费项目(JY10000903001);陕西省自然科学基金(2011JQ8042).作者简介:刘西蒙,博士生,研究方向:密码学,信息安全,Email: .境下数据的安全性及隐私性。在云计算环境中,用户将数据都提交给云服务提供商进行存储和计算,但云服务提供商通常是一个商业公司,并不是完全可信的。由于数据对于任何一个组织来说都是一个重要的资产,将其暴漏在不可信的环境下对任何组织来说都
8、是不利的。因此,保证用户数据的安全性以及隐私性是一个重要的问题。此外,对云计算模型提供一个灵活的细粒度的访问控制策略也是非常重要的2。在现有的访问控制方案中,大部分系统中的数据拥有者和服务提供商在一个信任域中。但是在云计算环境中,数据的拥有者与服务的提供商通常并不在同一个信任域中。这就对云计算环境下的访问控制策略提出了挑战。并且,在云计算环境下密文共享是一个繁琐的事情,如何有效的实现不同用户之间密文共享是急需解决的问题。为了同时实现数据机密性以及细粒度的访问控制策略。文献3通过在云计算环境下结合基于密钥策略的属性加密的方案(Key-Policy Attribute-Based Encrypti
9、on, KP-ABE)提出了一个云计算环境下的访问控制机制。文献2, 4利用了基于密文策略的属性加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)方案达到了类似的结果。基于属性的加密的概念首次是在文章5中被引入。文献6根据属性与策略是依附于密文还是用户的私钥上,提出了对基于属性加密方案的一种划分,即:基于密钥策略的属性加密(KP-ABE) 算法和基于密文策略的属性加密(CP-ABE)算法。在KP-ABE算法中,密文与一个属性集相关联而密钥相对应于访问结构,只有当密文中的属性集满足私钥中的访问结构时,解密者才能获得相对应的明文。与KP
10、-ABE算法对应,CP-ABE中的密文与一个访问结构相关联而密钥对应于一个属性集合,只有私钥中的属性满足了密文中的访问结构时才能获得明文。文献7采用了与门表示访问策略,首次在DBDH假设下证明了CP-ABE机制的安全性。文献8等人采用树形结构来表示灵活的访问控制策略,其安全性的证明基于一般的群假设,文献9采用LSSS访问结构,采用判定并行性双线性Diffie-Hellman假设,直接实现了支持与或和门限操作的CP-ABE机制。文献10也采用LSSS访问结构来解决基于密文策略的权重属性加密方案,但是其不适用于云计算环境。虽然现在有很多基于属性的加密的方案,但这些方案都有一个共同的特点,并没有考虑
11、到属性的权重,也就是说,属性之间的地位是平等的。但是在现实的生活中,属性带有权值是具有实际意义的。每一个属性在系统中所担任的角色不同,相应的他们在系统中所具有的发言权也不同。与之前的云计算环境下基于属性的加密相比,我们将属性的权重引入到系统中,使得本方案更加贴近于实际情况,是具有实际意义的。1 系统模型与安全模型1.1 系统模型本文提出的机制中包括 4 个参与方: 数据提供者,可信第三方授权中心,云存储服务器和云端用户。系统模型如图 1 所示。方案描述如下:数据提供者从可信授权中心获得系统公钥后,用权重门限访问结构将数据加密后上传至云存储服务器。当一个新云端用户加入系统后,针对用户的私钥申请请
12、求,可信授权中心针对用户所提交的属性集合与属性所对应的权重生成密钥。如果云端用户私钥中的属性集合的权重满足密文数据的权重门限访问结构则可以解密密文 。d数据提供者云端用户 数据文件可信第三方授权中心 云存储服务器权重访问结构私钥私钥公开参数图 1 系统模型Fig.1 System model2.2 安全模型我们给出基于密文策略的权重属性加密的选择属性集的安全模型初始化:敌手给出想要挑战的属性集合。属性集分割:挑战者将收到的属性集并依据属性对应的权重进行分割,构成的集合称为属性权重分割集 *。系统建立:挑战者运行系统建立算法,将产生的公共参数交给敌手。阶段 1:敌手可以对多个属性集进行私钥的询问
13、,但对攻击者提交的属性集合不满足被挑战的访问结构。挑战:敌手提交两个等长的消息 。挑01,m战者翻动一个随机的硬币 ,将消息 用访问结bb构 加密,并将密文传回个敌手。阶段 2:与阶段 1 相同。猜测:敌手猜测随机值 ,记猜测值为 。敌手 的优势定义为: 。A1Pr2b定义 1:方案在权重选择属性集模型下是安全的如果对于所有的多项式时间的敌手在上述的游戏中的优势至多是可忽略的。2 预备知识2.1 访问结构定义 2(访问结构11):令 为12,nP参与者的集合,对于 的集合 ,如A果 :若 且 ,有 ,那么称,BCBC是单调的。访问结构 是非空参与者的子集构A成的集合。设 表示参与者的任一子集,
14、如果D,叫做授权集合,如果 ,那么叫做非授权集合。定义 3(权重门限访问结构12): 为全体属性的集合,令 为一个权重函数,:N为门限值。定义 并且T():()uA,那么 称为是 的权AT重门限访问结构。在本方案中,我们运用上述权重门限访问结构。叶子节点所对应的是属性的权值,根节点对应的是门限值。如图 2,我们给出了一个访问结构的例子,有三个叶子节点,为一个人的职位,年龄,部门所对应的权值,只有当私钥的这三部分的权重之和大于门限 ,才可以恢复出密文.假设用t户 1 具有的属性为教授;年龄:50;计算机学院 ,用户 2 所具有的属性为讲师;年龄:35;理学院 。系统根据实际情况对用户 1 与用户
15、 2 的3 个属性分别赋予权值 与 。如果42, , ,3访问结构要求只有当门限大于等于 时,才可以7恢复明文。用户 1 所具有的权重和为 8,超过了门限值 7,因此可以解密密文,而用户 2 所具有的权重只和为 6,没有超过门限值,因此恢复不出明文。 t门 限()职 位 年 龄 ()部 门1用 户教 授 计 算 机 学 院年 龄 : 502用 户讲 师 年 龄 : 35理 学 院图 2 权重门限访问结构Fig. 2 Weighted threshold access structure2.2 双线性对令 和 是以素数阶为 的循环群,设GTp是 的生成元并且 为双线性映射ge。双线性映射有以下的
16、性质::e1) 双线性性:对于所有的 和 ,,uvG,pabZ我们有 。(,)(,ababeuv2) 非退化性: 。1g如果对于群 中的运算和双线性运算G都可以有效的计算,那么我们称T:是双线性群。注意到 是对称操作,也就(*,)e是说, .(,)ababaeuvuv2.3 困难性假设定义 4(判定性双线性 Diffie-Hellman 假设5) 假定挑战者随机的选择 ,判定性的,pczZ双线性 Diffie-Hellman 假设就是说不存在多项式时间的敌手以不可忽略的优势来分辨四元组与(,(,)abcabcAgBCge。z定义 5(改进的判定性双线性 Diffie-Hellman (MBDH
17、)假设5 ) 假定挑战者随机的选择,判定性的双线性 Diffie-Hellman 假,pabczZ设就是说不存在多项式时间的敌手以不可忽略的优势来分辨四元组与(,(,)ababccAgBCge。zZ3 基于密文策略的权重属性加密我们将权重的概念引入到基于属性的加密中,因为考虑实际应用环境中,每个属性值的地位可能并不相同。我们所使用上述介绍的权重门限访问结构。系统中用户的每一个属性都被分配了一个权值,只有当密钥中所含有的属性满足密文中的访问结构时,才可以正确解密。文献13证明了任何的权重门限访问结构都可以定义为权重为自然数的门限访问结构,因此本文仅仅考虑属性的权重值为正整数。3.1 算法级基于密
18、文策略的权重属性加密方案包含 5 个算法:属性集分割算法,系统建立算法,加密算法,密钥生成算法,解密算法.属性集分割 :属性集分割算法输入为系统()中的属性。对于属性集 中的每一12,r个属性 ,分配属性 允许在系统中的最大权值ii为 ,注意到这里的权值仅是整数。()iweght将属性集 中的每一个属性 ,依据权重进行分i割,分割后属性 对应于 ,我们i(,1),)i设定分割后的最小的份额为 ,其构成的集合称为属性权重的分割集 。*系统建立 :将安全参数 输入系统建立(1)1算法中,并定义属性权重分割集 中的全体元素。*我们取 上的前 个元素,也就是说,取*pZ*|。接着,我们独立随机的从|(
19、m)1,od中选择 ,最后,算法从 中独立随*1|,t pZ机的选择元素 ,那么公开参数为:y主密钥为:1*|*|,(,).tt yTgYeg*|.加密算法 :加密算法输入为公钥(PK,)m参数 ,消息 ,访问结构 ,令 为叶子*W节点的集合,为 对应的属性权重的分割集。那么密文公布为 *CT=,:=ssiEYiET密钥产生算法 :输入为主密钥和属性权()S重的分割集为 ,算法随机选择一个 阶的多* 1d项式 ,使得 。私钥为q0y。 ()*SK=,iqtiiDg解密算法 :如果密文中的属性满足CTS了访问结构,也就是说,那么我们从集合*()dSpWweihtp中选出 个元素。那么解密为:*,
20、(0)/(iKiiKED,(0)(),)/,iKiiqtstsyiKmegeg,(0)()(,iKsysqi3.2 系统级我们主要关注于:1)系统初始化, 2)新文件生成,3)新用户产生,4)用户撤销,5)文件访问, 6)文件删除,而这些操作都是调用权重的密文策略的属性加密方案。1)系统初始化 数据提供者选择一个安全参数并且调用系统建立算法,输出系统公共参数和系统主密钥。数据提供者对每一个元素进行签名,然后将系统公共参数和系统主密钥连同签名一起发送给可信授权中心。可信授权中心通过了验证签名,则利用数据提供者所提交的公共参数和系统主密钥为系统新用户分发密钥。2)新文件生成数据拥有者为文件定义一个
21、访问结构 并且调用加密算法对新文件进行加密,新文件加密后被上传到云端服务器。3)新用户产生当一个用户加入系统的时候,用户对其所拥有的属性集合签名,提交给可信授权中心。可信授权中心对其签名进行验证。如果通过验证,可信授权中心首先调用属性集分割算法,并将输出的属性权重的分割集作为密钥产生算法的输入产生新用户的私钥。可信授权中心将这个私钥发送给新用户。4)文件访问 首先用户选择将云端的数据文件下至本地。调用解密算法对文件进行解密。如果用户私钥中的属性分割集满足密文的权重门限访问策略,则可以正确解密,否则则不能解密。5)用户撤销一旦用户被撤销,系统要保证被撤销的用户不能再访问云服务器的数据文件,并且要
22、保证未被撤销的用户不受影响。为了使撤销用户无需周期性的更新密钥,我们使用文献8人提出的一种CP-ABE 的密钥更新思路,可信授权中心给每一个用户的属性增加一个时间戳属性 ,密文中访问X控制策略附带时间信息 ,只有用户的属性满足Z密文的访问策略,且终止日期在密文附带的时间之后( 即: )才可以解密。如用户不满足上面X的任意一条,则无法解密获得数据文件信息。系统可以通过给不同的用户授予不同的属性 来完成用户撤销的功能。这样可以有效的减少数据提供者和可信授权中心的交互次数,降低通信开销。6)文件删除 文件删除操作只能由数据提供者发起,数据提供者提供要删除文件与其签名,云存储服务器验证签名,如果通过验
23、证则删除文件。4 安全性证明定理:如果敌手可以在权重选择属性集模型下攻破我们的方案,那么模拟器就可以以不可忽略的概率被构造来攻破改进的判定性双线性 Diffie-Hellman 假设。证明:假定存在多项式时间的敌手 可以以A优势 攻破我们的系统,我们建立模拟器 以B的优势来模拟改进的判定性的双线性假设游戏,2模拟的步骤如下:我们首先令挑战者设定群 和 ,双线性GT映射 和生成元 。在模拟器 的视线之外,挑egB战者随机掷硬币 。如果 ,对于随0,1b=0b机的 ,挑战者设定 为,abcz,ABCZ表 1 方案比较Tab.1 Comparisons among the existing sche
24、mes方案 安全模型 使用的假设 系统级算法 属性是否带权重文献5 标准模型 MBDH 文献8 RO 模型 一般双线性群 文献3 标准模型 DBDH 我们的方案 标准模型 MBDH ;否则,挑战者将(,()ababccgeg设定为 。并且ABCZ,()czeg我们假定属性集的全体 已经被定义。初始化:模拟器 运行 ,并且收到挑战访A问结构 中所包含的属性集合 。W属性集分割:模拟器将属性集全体 中的每一个属性依据权重进行分割,其构成的集合称为属性权重的分割集 。并将属性集 依照上述方*法进 行分割,构成属性权重分割集 。*系统建立:模拟器设定公钥参数如下,设定参数 。对于所有的 ,(,)(,)
25、aYeaAg*i模拟器随机的选择 并且令 。ipZiiciTCg对于所有的 ,我们选择随机的 ,*iWipwZ并且令 。iwiTg模拟器随后将公开参数交给 ,所有参数在A构的时候都是随机的。阶段 1: 假定 请求私钥 ,使得私钥中所包含的属性集的分割集 满足 。我们*S*d定义以下三个集合: 。定义,。*SW为任意满足的集合并且满足 。 |1集合 满足 。0接下来,我们在来在 下定义 :iiD若 满足 ,那么 ,其中 为i isigS上的随机元素。pZ若 满足 ,那么 ,其中iiwiDg为 上的随机元素。iwpZ我们来随机的选择 次的多项式 使得1d()qx其中的 个点随机选择以及 。对于1d
26、0a,我们有 ,对于 ,我i()iqcsi们有 ()i对于 模拟器计算 如下:iD, ,0,()()()(j ji iiswwij jDCgA通过插值法,模拟器就可以计算出对于 ,有 。()iqwig因此,模拟器可以构造出与原方案一致的相对应属性集 的私钥。S挑战:敌手 将两个挑战消息 与 提交A0m1给模拟器,模拟器翻动一个二元硬币 ,并且返回 的加密值,密文的输出为:m*CT=,:=iiEZiSEB当 时,由前可知 。我们令0b(,)abceg,那么 并rc rmY且 ,因此,密文是对消息()iibcri iEBgT的随机加密。m当 时,有 ,我们有1,zZeg。由于 是随机的,那么对于敌
27、(,)ze手的视角而言 在 上也是随机的元素,其中TG没有包含任何 的信息。m阶段 2:与阶段 1 相同。猜测:敌手 提交 的猜测值 ,如果A,那么模拟器就输出 表明模拟器给0b定的是 MBDH-组,否则,则输出 表明给定1的是随机 4 元组。在模拟器构造公开参数和私钥的时候我们表明了与实际方案是相同的。当 时,敌手没有得到关于 的任何消息,1b因此 。由于当 时,|r2P,那么有 。 |1rb如果 ,那么敌手可以知道 的加密。0bm在这种情况下,敌手 在这种情况下的优势为 。A因此, ,又因为在1Pr2|时,有 ,因此有0b。r|模拟器 模拟改进的判定性的双线性假设游B戏的优势为 111Pr
28、Pr222| |0bb5 方案分析在这一节中,我们将基于密文策略的权重属性加密与现有文献358 的方案相比较。文献5中的方案给出的访问结构为门限结构,其中,为用户私钥的属性集, 为与密文相关的属性集。当 与 相交的属性超过门限值 时,该 d用户可以解密密文。该方案没有给出系统级方案,并且不能体现出属性重要性。 文献8中的方案使用访问控制树来实现访问控制。当私钥中的访问控制树与密文相关联的属性相匹配时,用户就可以解密密文。但是,该方案给所使用安全模型是随机寓言机模型(RO 模型),安全性依赖于一般双线性群,并且没有给出系统级方案。 文献2中的方案给出了系统模型,其所使用的基础 ABE 文献6所提
29、出,所使用的是标准模型,安全性基于判定性双线性 Diffie-Hellman(DBDH) 假设。但是没有考虑到属性权重的问题,我们提出的方案不仅给出了基于密文策略的权重属性的算法级及系统级加密算法,并且可以体现出属性的重要性,并且在标准模型下证明了本方案的安全性。我们将基于密文策略的权重属性加密与文献358的方案在表 1 中相比较,由于本方案支持权重属性,更适用于云计算环境。6 结 语在实际的环境中权重是一个值得考虑的方面,将权重引入到方案中可以更加贴近于实际情况。本文根据当前的云计算环境下的基于密文策略的属性加密方法,将权重的概念引入到属性中,提出了一种更符合实际情况的基于密文策略的权重属性
30、加密,并给出了算法级与系统级方案。此外,我们还证明了基于权重的密文策略的属性加密方案在权重选择属性集模型下的安全性。然而,我们提出的基于密文策略的权重属性加密方案在访问结构上仅考虑了门限访问结构,下一步的研究工作的重点是将更复杂的访问结构引入到我们的方案中。参考文献:1 Armbrust M, Fox A, Griffith R et al. A view of cloud computingJ. Communications of the ACM, 2010 53(4):50-58.2 Wan Z, Liu J, and Deng R. H: A Hierarchical Attribute
31、-Based Solution for Flexible and Scalable Access Control in Cloud ComputingJ. IEEE Transactions on Information Forensics and Security, 2012, 7(2):743-754.3 YU S, Wang C, Ren K et al. Achieving secure, scalable, and fine-grained data access control in cloud computingC. International Conference on Com
32、puter Communications, San Diego, March 2010.1-9.4 Wang G, Liu Q, and Wu J. Hierarchical attribute-based encryption for fine-grained access control in cloud storage servicesC. Proceedings of the 17th ACM Conference on Computer and Communications Security, Chicago, USA, October 2010, 735-737.5 Sahai A
33、, and Waters B. Fuzzy identity-based encryptionC, Advances in CryptologyEUROCRYPT 2005, 2005, 557-557.6 Goyal V, Pandey O, Sahai A et al. Attribute-based encryption for fine-grained access control of encrypted dataC. Proceedings of the 13th ACM Conference on Computer and Communications Security. Ale
34、xandria, Virginia, USA, October, 2006, 89-98.7 Cheung L, and Newport C. Provably secure ciphertext policy ABEC. Proceedings of the 14th ACM Conference on Computer and Communications Security. Alexandria, Virginia, USA, October, 2007. 456-465.8 Bethencourt J, Sahai A, and Waters B, Ciphertext-policy
35、attribute-based encryptionC. IEEE Symposium on Security and Privacy, Berkeley,USA, May 2007.321-334.9 Waters B. Ciphertext-policy attribute-based encryption: An expressive, efficient, and provably secure realizationC, Public Key CryptographyPKC 2011, Taormina, Italy, March 2011, 53-70.10 Liu X., Ma
36、J., Xiong J., et al. Ciphertext-Policy Weighted Attribute Based Encryption SchemeJ.Journal of Xian Jiaotong University,2013,(08):44-48. 刘西蒙,马建峰,熊金波,等.密文策略的权重属性基加密方案J.西安交通大学学报自然版,2013,(08):44-48.11 Beimel A, Secure schemes for secret sharing and key distributionD, DSc dissertation, 1996.12 Beimel A, Tassa T, and Weinreb E. Characterizing ideal weighted threshold secret sharingJ. Theory of Cryptography, 2005,3378:600-619.13 Morillo P, Padr C, Sez G et al. Weighted threshold secret sharing schemesJ. Information Processing Letters, 1999, 70(5): 211-216.
