一種擴展的密文策略屬性基加密機制

在傳統(tǒng)的通用域名格式和ibme加密機制中，通信模型是一種單獨的關系。撒瑪利亞和水開發(fā)了屬性基加密機制（abe）。加密方不需要要求特定的訪問權限，也不需要知道特定的密鑰方。密鑰、用戶個人密鑰和特定屬性集之間的關系。當用戶個人密鑰關聯(lián)的屬性集與密鑰關聯(lián)的屬性集一致時，用戶可以解密。目前的ABE機制可以分為密鑰策略(KP-ABE)和密文策略(CP-ABE).CP-ABE更接近傳統(tǒng)的訪問控制模型,能夠在云計算環(huán)境下有效保護數(shù)據(jù),實現(xiàn)靈活的訪問控制功能.Bethencourt等提出CP-ABE機制(BSW07),支持較靈活的訪問策略,但是安全性證明不是基于標準的數(shù)值理論假設.此后很多學者針對這一不足進行研究,試圖設計出高效、支持靈活訪問策略并且具有可靠安全性的CP-ABE機制.這些機制所支持的訪問策略結構主要分為:“與”門結構、樹結構和LSSS(線性秘密共享機制)矩陣結構.其中以樹結構和LSSS矩陣結構較為靈活,支持“與”、“或”和“門限”操作.Waters采用LSSS矩陣結構表達訪問策略(W08),直接實現(xiàn)強數(shù)值假設下CPA安全、支持屬性“與”、“或”和“門”限操作的CP-ABE機制,策略表達能力不低于樹結構.文獻同樣采用LSSS矩陣結構,使用雙系統(tǒng)加密機制實現(xiàn)CCA安全的CP-ABE機制,支持任何單調(diào)的訪問公式表示策略.從安全性和訪問策略的表達能力兩方面分析,標準數(shù)值理論假設下只有W08和ITHJ09支持屬性的“與”、“或”和“門限”操作,其中ITHJ09的加解密開銷比W08低.對于需要使用not和比較運算符表達的訪問策略,本研究設計擴展的CP-ABE機制ECP-ABE,通過對訪問結構樹進行擴充,使其支持較復雜的訪問策略,增強CP-ABE機制的訪問控制能力,并且保證ECP-ABE機制在標準模型下為適應性選擇明文攻擊安全.1節(jié)點x關聯(lián)屬性的生成A.訪問樹.T表示一棵訪問樹,樹中每個非葉節(jié)點表示的是一個由子節(jié)點和閾值所描述的門限.假設節(jié)點x的子節(jié)點個數(shù)為nx,域值為kx,則有0<kx≤nx.當kx=1時“門限”表示“或”門,當kx=nx時表示“與”門.每個葉子節(jié)點關聯(lián)一個屬性且閾值kx=1.函數(shù)Parent(x)表示節(jié)點x的父節(jié)點,att(x)表示葉子節(jié)點x關聯(lián)的屬性值.T對每個節(jié)點的子節(jié)點進行編號,即從1到nx,函數(shù)index(x)返回節(jié)點x的編號.B.屬性集合滿足訪問樹.令T的根節(jié)點為r,Tx表示T中以節(jié)點x為根的子樹,因此T也可寫為Tr.Tx(S)=1表示屬性集合S滿足訪問樹Tx.可以通過以下方式遞歸計算Tx(S):若x是一個非葉子節(jié)點,則計算x所有子節(jié)點x′的Tx′(S);Tx(S)返回1,當且僅當至少kx個子節(jié)點返回1;若x為葉子節(jié)點,則Tx(S)返回1,當且僅當att(x)∈S.C.CP-ABE算法.一個CP-ABE機制由以下4個算法組成.a.Setup(k)初始化算法,輸入為安全參數(shù)k,輸出公共參數(shù)pk和主密鑰mk.b.Keygen(mk,S)密鑰生成算法,輸入為主密鑰mk和屬性集合S,輸出S關聯(lián)的密鑰sk.c.Encrypt(pk,M,T)加密算法,輸入為公共參數(shù)pk、消息M和訪問結構樹T,輸出密文cT,用戶能夠解密cT當且僅當密鑰關聯(lián)的屬性集合S滿足T.d.Decrypt(cT,sk)解密算法,輸入為密文cT、密鑰Sk,輸出消息M或者錯誤符號.2ecp-abe系統(tǒng)2.1用戶擴展部分的生成用戶本身的屬性集合是屬性全集U的子集,稱為基本屬性.在ABAC等訪問控制方法中,系統(tǒng)可以根據(jù)用戶本身的安全特性和請求的資源動態(tài)地計算用戶的訪問權限,根據(jù)這一想法,在n叉樹的基礎上對葉子節(jié)點進行擴展,使其成為擴展葉子節(jié)點,它有2個子節(jié)點,稱為擴展屬性節(jié)點.擴展葉子節(jié)點和擴展屬性節(jié)點稱為訪問策略樹的擴展部分,可以表達包含not,<,≤,>,≥等運算符的屬性表達式,將這些屬性稱為擴展屬性.將擴展前的樹結構稱為標準樹,擴展后的樹結構稱為擴展樹.擴展樹可以轉換為與之等價的標準樹,它們所表達的訪問策略相同.擴展樹中的擴展葉子節(jié)點和標準樹的葉子節(jié)點在加密算法中具有相同的意義.加密方使用擴展樹表達訪問策略,并將它作為參數(shù)調(diào)用加密算法.加密算法首先將擴展樹轉換為標準樹,使用標準樹進行加密,最后將擴展樹附在生成的密文中.用戶解密密文時,須要將自己的基本屬性集合和訪問策略樹的擴展部分發(fā)送給PKG請求生成私鑰.在PKG端定義函數(shù)verify,該函數(shù)驗證用戶的基本屬性是否滿足擴展部分所表達的屬性要求,若滿足則返回擴展葉節(jié)點對應表達式的字符串形式,即用戶的擴展屬性.驗證完成后得到包含基本屬性和擴展屬性的用戶屬性集合,然后針對這一集合生成對應的私鑰并發(fā)送給用戶,用戶解密當且僅當擴展后的用戶屬性集合滿足轉換后的標準樹.2.2ecp-abe支持的擴展運算符擴展葉子節(jié)點只有屬性t,t的取值由原來的t=1變?yōu)閠<0,不同的t值對應不同的運算符,如t=-1表示not,t=-2表示>.擴展葉子節(jié)點的2個子節(jié)點擴展屬性節(jié)點分別表示t對應的運算符所關聯(lián)的屬性名和屬性值.通過這樣的結構,可以表達包含<,≤,>,≥和not等運算符的擴展屬性.ECP-ABE支持的擴展運算符包括比較運算符(<,≤,>,≥)和邏輯運算符(not).PKG端verify函數(shù)的函數(shù)原型為Stringverify(Stringattribute-name,Stringattribute-value,Stringoperator).函數(shù)的參數(shù)attribute-name,attribute-value和operator分別表示屬性名、屬性值和運算符.該函數(shù)將首先提取用戶的基本屬性集合,然后遍歷基本屬性集合尋找是否存在基本屬性滿足函數(shù)輸入?yún)?shù)中對應屬性的要求.若存在,則返回〈attribute-name,operator,attribute-value〉的字符串表達,該字符串即為用戶的擴展屬性,否則返回null.2.3用戶的私鑰解密在擴展方案中,密文的訪問策略使用擴展樹表達,密文中保存的訪問策略樹也是擴展樹,而加密過程使用的是與擴展樹等價的標準樹,因此ECP-ABE機制的加解密算法直接使用ITHJ09機制的算法,可參考文獻.這里重點分析擴展樹的處理部分.引入擴展樹后,用戶的私鑰與特定的訪問策略樹關聯(lián),因此針對使用不同訪問策略加密的密文,用戶需要向PKG請求不同的私鑰.假設用戶A和B希望解密密文,用戶A的基本屬性為{student,school=computer-science,age=20},用戶B的基本屬性為{student,school=computer-science,age=17}.首先用戶A和B需要從密文中獲取TF*,然后將自己的基本屬性、TF*的擴展部分一起提交給PKG,PKG為A生成屬性集合{student,school-not-software-engineering,age>18}和對應的私鑰,為B生成屬性集合{student,school-not-software-engineering,age=17}和對應的私鑰.可以看出用戶A可以解密文件F而用戶B不能.3擴展訪問結構樹ECP-ABE機制對訪問策略樹進行擴展,用戶使用擴展樹表達訪問策略,私鑰生成基于擴展屬性集合,加密過程使用與擴展樹等價的標準樹,即加密、解密過程與ITHJ09機制相同.ITHJ09機制的安全性通過IND-sAtt-CPA游戲定義,ECP-ABE機制仍然使用這一模型,只是攻擊者在Init階段給出的挑戰(zhàn)樹變?yōu)閿U展結構.游戲過程如下.a.Init攻擊者選擇要挑戰(zhàn)的訪問結構樹T*發(fā)送給挑戰(zhàn)者,T*為擴展樹.b.Setup挑戰(zhàn)者將T*轉換為標準樹T,生成主公鑰pk、主私鑰mk并將pk發(fā)給攻擊者.c.Phase1攻擊者使用屬性集w={aj|aj∈U}進行密鑰請求,其中U為屬性全集,aj為屬性,aj∈T*,并且aj不滿足T*中擴展部分所表達的策略屬性的要求.挑戰(zhàn)者運行verify函數(shù)生成擴展后的屬性集w*,最后針對w*生成密鑰并返回給攻擊者.d.Challenge攻擊者將2條長度相同的消息m0和m1發(fā)送給挑戰(zhàn)者,挑戰(zhàn)者隨機選擇mb,b∈{0,1}進行加密,返回密文Cb.e.Phase2攻擊者重復Phase1.f.Guess攻擊者給出對b的猜測b′.攻擊者贏得此游戲的概率ε=|Pr[b′=b]-1/2|.定理1ECP-ABE機制是適應性選擇明文攻擊安全的,如果任意概率多項式時間的攻擊者使用擴展的訪問結構樹贏得IND-sAtt-CPA游戲的概率ε都是可忽略的.在上述攻擊游戲中,攻擊者使用擴展樹代替標準樹進行挑戰(zhàn),在安全性方面有如下分析.a.攻擊者在Phase1階段給出的基本屬性集w={aj|aj∈U}滿足aj?T*,并且aj的屬性值不滿足T*中擴展部分所表達的策略屬性的要求.可以得出:對于擴展后的屬性集w*中的任意屬性bj,滿足?bj∈w*,bj?T.故在攻擊者密鑰查詢過程中,訪問策略樹的變化不會引入新的安全性問題,即攻擊者得到的任何密鑰都無法解密使用T加密的密文.b.雖然攻擊者在Init階段給出的為擴展樹T*,但是simulator在加密過程中使用的是標準樹T.T*到T的轉換對攻擊者而言是透明的,Phase1,Challenge和Phase2階段攻擊者可以針對