王尚平;余小娟;张亚玲
【摘 要】Revocable attribute-based encryption is an extension and generalization of attribute-based encryption. In this paper, a revocable key-policy attribute-based encryption scheme is constructed with two revocation lists, it extends a previous scheme which is designed with only one attribute revocation list, and in the new scheme two attribute revocation lists are involved, and the two lists are independent with each other. What’s more, the new scheme enjoys an important property that the trace algorithm return the user associated with this decryption key. Finally, under the assumption of decisional Bilinear Diffie-Hellman Exponent (BDHE), the proposed scheme is proved that is secure in the selective security model.%可撤销的属性加密方案是属性加密方案的延伸和扩展。该文构造了细粒度属性撤销下的具有两个可撤销属性列表的密钥策略的属性加密方案,该方案是对含有单个属性撤销列表方案的推广,新方案涉及两个属性撤销列表,允许两个列表中被撤销用户存在交集或者无关,同时利用追踪算法,判定了用户与私钥的关联性。在选择安全模型下 证明了方案的安全性,将方案的安全性规约到求解判定性双线性 Diffie-Hellman 指数问题上。
【期刊名称】《电子与信息学报》
【年(卷),期】2016(038)006
【总页数】6页(P1406-1411)
【关键词】属性加密;密钥策略;双线性映射;撤销
【作 者】王尚平;余小娟;张亚玲
【作者单位】西安理工大学理学院 西安 710054; 陕西省网络计算与安全技术重点实验室 西安 710048;西安理工大学理学院 西安 710054;陕西省网络计算与安全技术重点实验室 西安 710048
【正文语种】中 文
【中图分类】TN918.1
1 引言
2005年,文献[1]在基于身份加密的基础上,首次提出了基于属性加密技术。基于属性加密(ABE)分为密文策略的基于属性加密(CP-ABE)和密钥策略的基于属性加密(KP-ABE)。随着ABE的发展,研究可撤销属性的ABE方案[2]更能满足实际需要。文献[3]第1次提出了可撤销的基于属性加密方案,后来文献[4]在可撤销身份的基础上设计了可撤销的基于属性加密方案,但是这两个方案都要求权威中心周期性地补发用户密钥。文献[5]首次针对可撤销的基于属性加密中用户滥用密钥的现象,构造每个用户解密都需要一个第三方,从而使方案可以抵抗用户合谋攻击。但是由于方案的实际应用性不足,因此文献[6]借鉴基于身份加密中的通配符技术实现了方案的抗合谋攻击性。文献[7]中明确地提出了两种撤销模式,即间接撤销模式和直接撤销模式,其中间接撤销模式是通过密钥中心周期性发布密钥更新材料,而直接撤销模式是通过发送者指明加密中的撤销列表,同时他们结合CP-ABE和KP-ABE方案提出了一个基于属性加密的双重策略,并在KP-ABE中给出了两个完整且安全的直接/间接撤销方案。文献[8]提出了可撤销的密钥策略的基于属性加密方案,文献[9]将广播加密技术运用到CP-ABE, KP-ABE和多权威设置方案的撤销过程中,然而,此方案为了撤销恶意用户的解密能力,解密器的身份需要完成一次加密操作,增加了系统代价。文献[10]
提出了一个在直接撤销模式下具有细粒度属性的密钥策略的基于属性加密方案,撤销过程不再是撤销用户的所有属性,而是撤销单个属性下的某些用户[11],但该过程并不影响用户的其他属性,若用户在撤销局部属性后余下的属性集仍能满足访问结构,该用户仍可以完成解密工作。文献[12]在改进前人方案的基础上设计了更高效的可撤销的密文策略的基于属性加密方案,其方案的核心技术是应用线性秘密共享和二叉树技术。文献[13]构造了在直接撤销模型下的属性满足多值属性并且访问结构满足通配符的 AND 策略的密文长度恒定的可撤销的基于属性加密方案。
本文研究具有两个可撤销属性列表的密钥策略的属性加密方案,方案针对密钥生成过程中的用户是否包含在两个撤销列表进行了详细的讨论分析,判定了用户与私钥之间的关联性[14],同时利用双线性对运算技术,将攻击方案的安全性规约到了判定性双线性Diffie-Hellman指数问题上。
2 准备工作
(1)判定性双线性q-Diffie-Hellman指数 假设[15]: 令是阶为素数的双线性,给定向量,如果没有多项式时间算法可以以不可忽略的优势区分中元素和随机元素,则说明该判定性
假设是成立的。
(2)线性秘密共享(LSSS)[16]: 本文使用LSSS技术,可以将一个访问策略转换为访问结构,是由一个索引映射和一个行列的共享生成矩阵组成,关于LSSS技术细节请参阅文献[16]。
(3)零内积[10]: 将所有用户身份转换成相应的索引形式,令身份的私钥为向量 ,其中,撤销用户所构成的撤销列表是,令是的系数向量: ,关于零内积详见参考文献[10]。
3 具体方案
本方案针对两个属性和属性构建撤销列表和,撤销列表表示撤销属性的所有用户,记为,撤销列表表示撤销了属性的用户,记为,其中允许。方案中的用户可以在任意一个撤销列表中,也可以同时存在于两个撤销列表中。令表示系统中所有用户集,设系统中属性最大个数是,用户在加密时的属性集,其中 ,撤销列表中用户的最大个数是。
系统设置::令和是阶为素数的,其中是的生成元,定义双线性映射 。
随机选取向量,向量,随机选取 ,并定义函数,其中,这里。同时令:
该算法主私钥为 ,相应的公共参数为 。
密钥生成::将访问策略通过LSSS技术转换为访问结构,矩阵是一个的矩阵,是矩阵相应的第行,映射将映射到属性上,该算法用于生成用户在访问结构下的私钥。
首先根据输入的身份,定义向量 ,满足。随机选取,定义向量 ,向量 ,向量和向量。对任意 和,计算相应内积。随机选择,从而输出在访问结构下的私钥:
其中,对于, 。注意:上述可以借助矩阵转换为 ,其中矩阵的具体结构是。
加密::对包含属性的用户撤销列表和包含属性的用户撤销列表,其中,在属性集下对消息进行加密。
(1)首先根据撤销列表内的撤销用户集定义了,作为式的系数向量。(2)同理根据定义,并将其作为式的系数向量。(3)选取随机值。在属性集下,针对包含属性的用户撤销列表和包含属性的用户撤销列表构造密文 ,其中,
解密::已知用户在访问结构下形成的私钥,以及在属性集下加密的密文和撤销列表和,
完成解密还需要。当且仅当变更后的新属性集满足用户私钥中的访问结构时,用户才能成功解密。结合已知,通过判定是否在撤销列表和,分4种情况进行解密操作,具体过程如下:
(1)若,根据定义 ,属性集为。根据撤销列表定义,作为式的系数向量,同理根据撤销列表定义,作为式的系数向量,计算:
当和时(即有 。根据矩阵,令,则可以在概率多项式时间内能到一组常数集,满足,计算: ,结合的值,有,已知 ,可成功解密。
(2)若,则,有令,存在常数集,满足,计算: ,可得到,结合,可解密出。
(3)若,则,有 ,令 ,存在常数集,满足,从而计算: ,有,结合,解密得。
(4)若,则属性集为 ,同理有相应的和存在,计算:,利用,解密得到。
追踪::令 是一个有效的解密密钥,则追踪算法计算:
该算法是用于判定是否存在一个用户 ,使得,其中 。若存在这样的用户,则说明该用户与
私钥是相关的;反之,,则该用户与私钥无关,从而获取了方案中的用户责任。
4 方案的正确性分析
不难验证上述方案是正确的,限于篇幅的关系,推导的细节省略。
5 方案的安全性分析
本文的安全模型采用文献[10]中使用的选择安全模型。
定理 假设存在一个概率多项式时间敌手,可以在选择安全下以优势攻击新方案,则可以建立模拟者,以优势求解判定性问题。
证明 下面将设计一个游戏,模拟者通过调用敌手对方案的攻击,实现对判定性困难问题的求解。假设挑战者设置: ,并随机抛一枚硬币,如果,挑战者令,否则挑战者就从中随机抽取一个元素作为。随后,挑战者将元组提交给模拟者对的取值进行判断。进行如下操作:
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议