基于CP-ABE的隐藏属性外包解密访问控制

2018年第5期计算机与现代化
JISUANJI YU XIANDAIHUA总第273期
文章编号：1006-2475 (2018 "05-0074-05
基于CP-ABE的隐藏属性外包解密访问控制
陈成，努尔买买提•黑力力
(新疆大学数学与系统科学学院，新疆乌鲁木齐830046)
摘要:传统的属性基加密方案中数据拥有者将访问结构和密文保存在一起，于是用户收到密文消息的同时也收到了访问结构，但访问结构本身就可能包含数据拥有者的隐私信息。

本文提出一种基于密文策略属性基加密（Ciphertext-Policy Attribute-Based E ncryption，CP-ABE )的隐藏属性外包解密访问控制方案。

该方案既能隐藏数据拥有者制定的访问控制策略中的属性，同时将计算密集型解密操作交给代理服务器完成，又能保证未经授权的属性授权中心或代理服务器不能独自解密共享的加密数据。

关键词：隐藏属性；外包解密；密文策略属性基加密；访问控制
中图分类号:T P309.7 文献标识码:A d o i:10. 3969/j. i n.1006-2475. 2018. 05. 016
Hidden Attrilbute Outsourced Decryption Access Control Scheme Based on CP-ABE
C H E N C h e n g，N urm am at H E L IL
(College of Mathematics and System Science，Xinjiang University，Urumqi 830046，China)
A b s tra c t: In c onventional attribute-based encryption schem es，the data owner embeds the access structure to the ciphertext，thus
the user receives the ciphertext with the access structure，however the access structure itself might contain private information of the data owner. This paper proposes a hidden attribute outsourced decryption access control scheme based on CP-ABE ( Cipher­text-Policy Attribute-Based E ncryption). The scheme can not only hide the attributes of the access control policy specified by the data owner，but also deliver the computation intensive decryption operations to the proxy server ized atrilDute authorization center or the proxy server can not decrypt tlie shared encrypted data a Key words%hidden a ttribute; outsourced decryption; ciphertext-policy attribute-based encryption; access control
；引言
随着计算机技术的快速发展和网络的广泛应用，数据共享愈发频繁。

人们开始使用云储存服务，将自己的数据储存在云端进行数据共享。

云储存服务给人们生活带来便捷的同时也引发了许多问题，如何实施云储存中共享数据的访问控制是一个棘手的问题。

A B E(A ttrib u te-B a s e d E n c ry p tio n)(1)的出现为解决该问题提供了很好的方法。

A B E有2种风格，分别是密钥策略属性基加密K P-A B E(K e y-P o lic y A ttrib u te-B a s e d E n c ry p tio n)(2-)和密文策略属性基加密C P-A B E(C ip h e rte x t-P o lic y A t­trib u te-B a se d E n c ry p tio n)[3—7)。

在 C P-A B E 中，数据拥有者将访问结构嵌入密文中以便表达用户的访问控制策略。

因此，C P-A B E比K P-A B E更适合应用在云储存系统中。

然而，一般的C P-A B E中访问结构中的属性和密文一起保存，没有考虑到访问策略的隐私，访问结构中的属性信息可能会暴露用户数据相关的。

针对以上问题，文献[8-18]围绕属性隐藏做了一些研究工作。

其中文献[8]提出将访问结构中的属性隐藏在密文中，但该方案只支持“与”操作，且用户的密钥长度与系统中属性的个数线性相关，解密需计算大量双线性对。

文献[12]在保证访问结构中属性隐私的同时，能支持任意门限或布尔表达式，且计算开销与文献[8 ]提出的方案相比大为减少，但其在计
收稿日期=2017-10-17
基金项目：国家自然科学基金资助项目（61562085，11261057，11461069);新疆维吾尔自治区人力资源和社会保障厅留学人员科技活动资助项目
作者简介:陈成（1992-)，男，湖北咸宁人，新疆大学数学与系统科学学院硕士研究生，研究方向:访问控制；努尔买买提•黑力力（1976-)，男（维吾尔族），新疆库车人，副教授，博士，研究方向：网络信息安全，访问控制。

2018年第5期陈成等'基于CP-ABE的隐藏属性外包解密访问控制75
算时需大量运算。

[14]在的访问结构私的同时，加多计算。

文
[16]在支粒度访问控制和高钥分发的基础上，藏访问结构中的，并在计算密钥优势。

[18]在支粒度访问控制和藏访问结构中属性基础上，还支持任意门尔表达式。

计算成本和表达能力藏的C P-A B E方研究的。

本在[18]的基础
一种隐藏夕卜的C P-A B E访问控制方案，该方能够数据者制定的访问结构的隐私性，授心 实的，并大计算代务，授的 授权中心或代务器不能享的加数据。

1数据分享系统
本章描述数据分享系统结构和安全性要求的定。

1?系统描述
数据分享系统结构如图1所示。

数据拥有者 I f户
图1数据分享系统结构
授心：整系统生成公共和参数，同时用户生的 钥。

假设
实的，实执行系统分配的任务，但希望尽可能多加密的数据。

数据者:他数据的用户，他自己的数据务器，以 享。

数据者负责制定访，并在数据前根据访加密其数据。

务器：数据共享服务，负储存加密
数据并提供相应的内容服务。

假设务器是
实的。

代务器：用的访问请求后，按照
用 的 进行代以 轻用户
的计算量。

假设代务实的。

用户:他访问数据的。

假如用的属加 数据的访，他能够
并明文数据。

1.2算法构成
方案由S e tu p、K e y G e n、E n c r y p t、C e n T o k e n、P D e-c r y p t'D e c r y p t这6个算构成。

数据分享系统的工
程如下：，授心实行S e t u p算进
行系统化。

数据者享数据时，可以实行E n c r y p t算待共享的数据实施加密并发送给云务器。

如果用户想端数据，必须在
授心 ，授心实行K e y G e n算用 生 钥。

用 的密钥实行G e n T o k e n算生 ，并发送给代务器，请
定的实施代。

代务用
实行P D e c r y p t算法并将结果发送给用户。

用 结果后钥实行D e c r y p t算明文数据。

算介绍如下：
1"S e tu p(k"%(P K+，M K+ )，（P I K，M I K":属性授
心根据安全参数k输系统公共参数p a r a m。

之后，授心输的主公钥和主私钥对(P K+，M K a)，代务器输的主公钥和主私钥(P K S，M K S)。

2"K e y G e n(S，P K+，M K+"%S K:密钥生成算法以用 的 集S、授心主公钥P K+和主私钥M K+为输入，输出用钥S K = (z，T K)。

算法由 授心实行，它根据用的 其分
发相的 钥。

3"E n c r y p t(T，M，P K+，P K)"%C T:加密算法以访问结构T、明文信息M、P K+及P K)为输入，输出密文C T。

算法由数据拥有者实行。

4"G e n T o k e n(S K，5"%T〇K:令牌生成算法以S K 和用的 集S的子集5为输，输用户令T K。

算法由用户实行，用 时 生 ，并向代理服务以便使其实施代。

5)P D e c r p t(C T，T o K，P K A，M K S)%C T o u t:代理解密算法以C T，T〇K，P K+和M K)为输入，如果用户持的 的访问结构，算输分
的 C T o t，否则输出丄。

算由代务实行，它在用 后对用户请求的进行代，并结果发送用 。

76计算机与现代化2018年第5期
S K为输入，如果用户持有的属性满足密文中的访问结
构，算法输出M,否则输出'。

算法由用户实行，用户
收到代理解密的结果C<ut后进一步进行解密，如果
其持有的属性满足访问结构，那么用户能够解密密文。

1.3安全性要求
1)数据机密性：防止不满足访问策略的未经授
权的用户访问数据明文。

此外，属性授权中心是半诚
实的，因此，应该防止属性授权中心和代理服务器访
问数据明文。

2)防合谋%若干用户不能通过组合他们的属性 来解密密文，除非他们其中至少有一个用户能够使用
自己的密钥单独解密。

3)策略隐藏:云服务器和非授权用户不能从密 文对应的访问控制策略中获取属性信息，避免访问控
制策略中的属性信息泄露加密数据有关的信息。

2方案提出
2.1预备知识
定义1访问结构(6)。

设|P i，P"，…，g l是一个
集合，对于V B，C，如果当B e A且B7C时有C e A，
那么称集合A72iPl，P2，"，P A l是单调的。

一个访问结构
(常指单调的访问结构）是丨P$，P"，…，Pn l■的一个非
空子集合 A，即A72i P l，P2,…，\{0|。

定义2双线性对。

设G〇和是阶为素数r
的乘法循环群，g是C的生成元。

映射9G〇x G。

％
G i是一个双线性对，如果e满足如下3个性质％
1)双线性：对1?，〇!〇。

，13>!20，都有9 (PD，Q b) =e(P，Q)D。

2) 非退化性:e(g，g) *1。

3) 可计算性:对V P，Q! G〇，存在有效算法计算
e(P，Q)。

定义3 D B D H问题。

给定双线性对e%G〇x G〇%G$，g是G〇的生成
元，随机选取a，b，C，d!Z0，D B D H问题是指不能在
多项式时间内以不可忽略的优势对给定元组（g，g K，
呂<：，9(8,8)111>°)和元组（811，81>，8°，9(8,8)<1)进行有效
区分。

树形访问结构和满足属性访问结构的详细定义
参见文献[6]。

2.2方案描述
设G〇是阶为素数r的双线性群，g是G〇的一个
生成元，e%G〇x G〇%G$是一个双线性对。

安全参数
k决定群的大小。

同时定义拉格朗日系数A i，A(x)=n是属于Z0的成员集。

选取哈希
j e A，j*i l-J P P
函数 H%*0，1| 0%G〇 和 H i:G i%{0，i r°gp。

Setup:属性授权中心根据安全参数k选取以g 为生成元的阶为素数P的双线性群G〇,同时选取哈 希函数 H:{0，i r%G〇 和 H i:G i%{0，i r°gP。

公共 参数 param 由（G〇，g，H，H i)组成。

对系统中属性集合L的每个属性i，属性授权中 心唯一选取t ! Z0，并随机选取a，a! Z0，其主公钥 和主私钥分别是PK+ = (P =ga，Pi =#，/，、= g'ILI，。

(呂^”和 M I(a = (a，g a)。

代理服务器随机选取Z0，其主公钥和主私钥 分别是PIK = g、和MIK = H (ID)r，其中（S是代理 服务器的身份。

KeyGen:算法以用户对应的属性集S'PK a和 MK+为输入，对于用户的属性集S，算法随机选取r，z !Z0，不同用户M X均不相同。

计算：
TK= (D(1)=(g a•ga M)1/z，D(2)=(g)L/z，V y e S:Dy3)=(h;)L/z，Dy4)=hJ)
算法输出用户对应的密钥SK= (z，T K)。

Encrypt:算法以访问结构T'消息M! G i、PK+和 PK)为输入。

算法为访问树T的每个节点x构造多 项式qx，从根节点R开始自顶向下构造。

对于树中 的每个节点x，q x的度为kx - 1，其中k x为节点x对 应的门限值。

对根节点Z随机选取@ ! Z0，令qR (0) = s，对于其他节点x，令 qx(0 )= qp(x)(index (x))。

设Y是访问树T的叶子节点的集合，算法随机 选取 0e Z0，对 V y!-，计算 @y =e((g a)0，h&)，用 Hi(sy)替换访问树T中明文存在的&，同时将g0 — 起发布。

值得注意的是，这些配对计算可以一次性预 先计算。

为了在访问树T下加密消息M，计算IK = e ((g、）0，H(ID)))，然后构造密文为：
CT= (T，C=M •K) •e(g，g)a s，C=g s，
V y!Y:C y=g，(0).h;s)
GenToken:算法以用户密钥）K、用户对应属性集 )的子集A为输入。

对所有j ! A，随机选取7 ! Z0，通过获取所要访问密文对应的g0，构造令牌为：T〇K= (B=g0A，B⑴=(D⑴）7，B⑵=(D(2))7，
V j e A%B j3)= (D j3))7，B j4)= (D j4))7)
PDecrypt:算法以密文CT、令牌T o K'PK a和MK)为输入。

对 V j! A，计算 @ = e ( B，B?4))= e (呂^)!10，进而计算4(@)。

如果有只1(@])与访问树
2018年第5期陈成等:基于
CP -ABE 的隐藏属性外包解密访问控制
77
中叶子节点x 相对应，那么计算：
D ecryptN ode ( CT $ T o K $ x )
=e (C x ,B (2)) • e (C ,BX 3))
= e (g DX 0). h ;@,(E )7>. e (g @,(hX )仏)= (e (g ,g )-x0)广
S Z
,4D e c ry p tN o d e (C T ,T o K ,x )='。

对于访问树中非叶子节点x ,定义一个递归算法
D e cryp tN o d e (C T ,T o K ,x
):对于非叶子节点x 的所有
子节点 X ,计算 D ecryptN ode (C T , T o K , z ),并令 F z =
D e cryp tN o d e (C T ,T o K ,z )。

设存在一个随机的大小为 k x
的节点集合Sx ,集合中节点都是x 的子节点且满
足Fz *'。

如果没有这样的集合存在，则节点x 不满 足算法，即F x ='。

否则，计算：
F x = n F 24i,S 'x (0) where
2 e S x i = in d e x (z )
S ’x = * in d e x (z ) :z e Sx +
=n (e (g ，g r q z W )>8s 'x (0)
2 ! S x
恢复出e (g ，g )(,即无法解密出相应的明文。

另一方面，当数据拥有者将加密数据发至云服务 器时，属性授权中心无法解密密文，因为密文中的组件
C
被K )盲化。

而K )仅能由数据拥有者和代理服
务器生成。

而且，当用户请求代理服务器对密文进行 部分解密时，代理服务器通过令牌完成代理解密并将 转换密文发给用户，属性授权中心仍然无法对转换密 文进行解密，因为e (g ，g ) 被用户选取的随机数7化。

3.2抗合谋
本文方案中，分享的秘密值s 被嵌入密文中。

为 了解密密文，攻击者们必须恢复出e (g ，g )(,那么攻 击者（假设攻击者没有属性y )必须使用另一个持有 属性y 的合谋用户密钥中的BJ2)进行计算。

然而, 用户令牌被随机数r 盲化，r 对每个用户而言都是唯 一且随机的。

因此，攻击者不能恢复出e (g ，g )(。

=n (e (g ，g )a rqp (z )(in d e x (z )))予Ai ，sp (0)ze S x =
n (e (g ，
g r q x ⑴）十68s 'x (0)ze S x
=(e ( g g
) DTx(0)) 7z
并返回结果。

算法仅调用D e c ry p tN o d e 在访问树根节点R 的 值。

假如用户持有的属性满足访问树，那么可得W = D e cryp tN o d e (C T ,T o K ,R ) =(e (g ,g )ars )7’z 。

代理服务器计算K s
=e
(g 0,M K s )= C /K s =M e (g ,g )(,同时计算 W $
=e (g ，g )(7> 令 W 〇(g 0,H (ID s ”)和C
(C ,B ⑴）= W =
C P
可得
/ s / a
ar r 7 z \
e (g ,(g
• g )
)
(e (g ，g )
a s )7z
C Tout = (W 〇,W $)。

D e c ry p t :算法以C T o u t 和S K
为输入。

如果用户
持有的属性满足密文中的访问结构时，用户通过令牌
能从代理服务器处得到转换密文C T o t 。

因此，用户 计算明文如下：
M e ( g g
) a s
=M
(e ( g
g
) a S 7/z )
w 0/w z
3方案分析
3.1数据机密性
一方 $如果用
的
的访
问结构时，用户无法恢复出e (g ，g )as ,即解密失败。

在本文中，代理服务器是半诚实的，它可能试图解密
数据拥有者加密的明文信息，但其至多只能恢复出e
(g ，g )a s //z ,因为其无法获取对应的/和z ,因此无法
3.3策略隐藏
当数据拥有者将加密数据发往云服务器时，其已 用H ( e ( ( g a ) 0 , h & ))替换了访问树中的每个属性 &,只有持有相应i 性的用户才能计算。

云服务器和 其他非授权用户不知道0和a ,因此不能算出H ( e
((g a )0,h &)),从而无法对各属性实现有效区分,6P
不能从访A 控制策略中取得额外的信息。

3.4理论分析
表1对文献和本文方案中属性隐藏保护能力和 属性表达能力进行了比较。

从表1可以看出文献
(8 ]、文献(12 ]、文献（18 ]和本文方案都支持属性隐 藏;文献[8]在属性表达能力方面仅支持与操作，而 文献(12]、文献（18 ]和本文方案都支持任意门限或 布尔表达式。

表1表达能力与属性隐藏比较
方案
表达能力属性隐藏文献[8]方案2与操作
有文献[12]方案任意门限或布尔表达式有文献[18]方案任意门限或布尔表达式有本文方案
任意门限或布尔表达式
有
表2对各方案中的系统公钥长度、密钥长度和密
文长度进行了比较。

系统公钥保存在本地或在需要 时向授权中心申请，分别对应储存和通信开销。

密钥 由用户储存，因此密钥长度对应用户的储存开销。

数 据拥有者将密文传给云服务器，用户从代理服务器取 得密文，因此密文长度反映了系统中的通信开销。

其 中C0和
C
分别表t C 〇和
C
中兀素的长度,C 表t
78计算机与现代化2018年第5期
系统中全体属性的个数，t表示与用户密钥相关联的
属性的个数，k表示与密文相关联的属性的个数。

表2通信与储存代价比较
方案系统公钥长度密钥长度密文长度
文献[8]方案2C1b(u+ 1)c0(2u+ l)C0C b(2u b1)C0
文献[12]方案C+2C0(3t b1)C0C b(2k+ 1)C0
文献[18]方案C b(2b u)C0(2t+ 2)C0C b(k b i)c0
本文方案C b(3b u)C(2t+ 2)C0C b(k b i)c0
4结束语
云存储因其高效率和低成本的优势将是未来发
展的趋向，怎样在实行数据共享的同时最大化地保护
用户隐私信息是至关重要的。

本文在文献（18 ]的基
础上提出了一种基于C P-A B E的隐藏属性外包解密
访问控制方案。

该方案能有效地隐藏数据拥有者制
定的访问结构中的属性，同时对属性授权中心只要求
半诚实，减轻了对属性授权中心的完全依赖，降低了
系统中非法解密密文的风险。

参考文献：
[1 ] Sahai A，W aters B. Fuzzy identity-lDased encryption[ C]//
International Conference on Theory and Applications of
Cryptographic Techniques. 2005 ：457-473.
[2]Goyal V，Pandey 0，Sahai A，et al. AttrilDute-lDased en­
cryption for fine-grained access control of encrypted data
[C] //ACM Conference on Computer and Communications
Security. 2006:89-98.
[3]Ostrovsky R，Sahai A，W aters B. Attril D ute-lDased encryp­
tion witli non-monotonic access structures [ C] //ACM Con­
ference on Computer & Communications Security. 2007:
195-203.
[4] Attrapadung N，Imai H. Conjunctive broadcast and atrilD-
ute-lDased encryption[ C]//Proceedings of 2009 3rd Inter­
national Conference on Pairing-I5ased Cryptography. 2009:
248-265.
[5 ] Attrapadung N，Imai H. Attril D ute-lDased encryption support­
ing direct/indirect revocation modes [ C ] //International
Conference on Cryptography and Coding. 2009:278-300.
(上接第73页）
[14]赵丽娟.w e应用程序渗透测试方法研究[D].长沙:
中南大学，2014.
[15]王丹，赵文兵，丁治明.应用常见注人式安全漏洞检测
关键技术综述['].北京工业大学学报，2016,42(12):
1822-1832.
[16]韩心慧，王东祺，陈兆丰，等.云端服务器敏感数据保护
方法研究['].清华大学学报（自然科学版），2016,56
⑴：51-57.[6]Bethencourt 'Sahai A，W aters B. C iphertext-policyat-
trilDute-lDased encryption [ C] //IEEE Symposium on Secur­
ity and Privacy. 2007:321-334.
[7]Waters B. Cif)hertext-]3〇licy attrilDute-lDased encryption: An
expressive，efficient，and provahly secure realization [ C ] //
International Workshop on PuD ic Key Cryptography. 2011 :
53-70.
[8]Nishide T，Yoneyama K，Ohta K. AttrilDute-lDased encryp­
tion withi partially hidden encryptor-sjDecified access struc­
tures [ C] //International Conference on Applied C r y p tg r-
phy and Network Security. 2008:111-129.
[9]Yu Shucheng，Ren K ui，Lou Wenjing. AtrilDute-lDased
content distrilDution withi hidden policy [ C] //IEEE Worl^-
shop on Secure Network Protocols. 2008:39-4.
[10]Lai Junzuo, Deng R H，Li Y ingiu. F ullysecurecipertex t-
policy hidingC P-A B E[ C ]//International Conference on
Information Security Practice and Experience. 2011:24-39. [11]Lai Junzuo, Deng R H，Li Y ingiu. Expressive CP-ABE
withi partially hidden access structures [ C] //ACM Sympo­
sium on Information，Computer and Communications Secur­
ity. 2012:18-19.
[12]Hur J. AttrilDute-lDased secure data sharing withi hidden pol­
icies in smart grid [ J ]. IEEE Transactions on Parallel &
Distril^uted System s，2013，24( 11 ):2171-2180.
[13]Zhang Y inghui，Chen Xiaofeng，Li J in，et
atrilDute-lDased encryption supporting efficient decryption
test[ C]//ACM Symposium on Information，Computer and
Communications Security. 2013:511-516.
[14]宋衍，韩臻，刘凤梅，等.基于访问树的策略隐藏属性加
密方案[J].通信学报，2015,36(9):119-126.
[15]应作斌，马建峰，崔江涛.支持动态策略更新的半策略隐
藏属性加密方案[J].通信学报，2015,36(12):178-189. [16]雷蕾，蔡权伟，荆继武，等.支持策略隐藏的加密云存储
访问控制机制[J].软件学报，2016,27(6):1432-1450. [17]张赛，杨庚，韩亚梅，等.支持属性撤销的策略隐藏与层
次化访问控制[J].计算机工程与应用，2017,53(4):
51-58.
[18]杜瑞颖，沈剑，陈晶，等.基于策略隐藏属性加密的云访
问控制方案[J].武汉大学学报（理学版），2016,62
(3):242-248.
[17]宋雅楠，刘萍.渗透测试的信息抓取策略研究[J].计
算机系统应用，2017,26(8):232-237.
[18]王扬品，程绍银，蒋凡.应用漏洞扫描系统[J].计算机
系统应用，2015,24(12):58-63.
[19]Dashevskyi S，Brucker A D，Massacci F. On the security
cost of using a free and open source component in a propri­
etary product^ C]//International Symposium on Engineer­
ing Secure Soft^vare and Systems. 2016:190-206.。