基于密文策略属性加密体制的匿名云存储隐私保护方案
摘要:针对云存储中数据机密性问题,为解决密钥泄漏与属性撤销问题,从数据的机密性存储以及访问的不可区分性两个方面设计了基于密文策略属性加密体制(为何是CP_ABE,而不是CP-ABE,核实哪个是正确的摘要中的CP_ABE为何不是CPABE问题:下划线是强调密文策略,且统一于参考文献。
CP_ABE)的匿名云存储隐私保护方案。提出了关于密钥泄漏的前向安全的不可逆密钥更新算法;在层次化用户组以及改进的SubsetDifference算法基础上,利用云端数据重加密算法实现属性的细粒度撤销;基于同态加密算法实现k匿名l多样性数据请求,隐藏用户潜在兴趣,并在数据应答中插入数据的二次加密,满足关于密钥泄漏的后向安全。在标准安全模型下,基于l阶双线性DiffieHellman(判定性lBDHE)假设给出所提出方案的选择性安全证明,并分别从计算开销、密钥长度以及安全性等方面验证了方案的性能优势。
关键词:密文策略基于属性加密体制;可证明安全;重加密;密钥泄漏;属性撤销
中图分类号: TP309 文献标志码:A
英文摘要
Abstract:In order to solve the confidentiality issues such as key exposure and attribute revocation of data stored in cloud server, an advanced anonymous privacypreserving scheme based on CiphertextPolicy AttributedBased Encryption (CP_ABE) was proposed by considering confidentiality of data storage and indistinguishability of access. First, the scheme constructed a forwardsecure irreversible keyupdate algorithm to solve key exposure. On the basis of the classified usergroup and the advanced SubsetDifference algorithm, finegrained attribute revocation was implemented with the help of cloud data reencryption algorithm. The potential interests of user would be concealed when kanonymity ldiversity data request was introduced based on the homomorphic encryption algorithm. The backwardsecurity of key exposure was realized on the basis of secondary encryption inserted in data response. Under the lBilinear DiffieHellman Exponent Problem (lBDHE) assumption, selective security of the proposed scheme was proved in the standard model. The performance advantage of the proposed scheme was demonstrated respectively in terms of efficiency, key length and security.
英文关键词
Key words:CiphertextPolicy AttributedBased Encryption (CP_ABE); provable security; reencryption; key exposure; attribute revocation
0 引言
云存储作为云计算的延伸和发展,其最大特点是存储即服务。由于用户将数据上传到云服务器的同时失去了对数据的绝对控制权,因此如何在保证用户隐私和数据安全的同时尽可能地提高服务质量已经成为安全云存储的关键问题。
云存储中关心的数据的机密性问题包含两个方面,首先是数据存储的机密性,即对于云服务器的不可见性,这一部分可由层次化的加密算法实现。基于属性的加密算法(AttributeBased Encryption, ABE)是由基于身份的加密算法(IdentityBased Encryption, IBE)[1]发展而来。由于ABE算法通过访问结构关联密文与用户,提高了系统的访问效率,放宽了对服务器与访问存储器的安全限制,因此被广泛应用在云存储的访问控制中。其次是数据访问的不可区分性,由于云服务器存在的“最好有文献引用,含义不知道指什么?诚实但好奇”的特性,即诚实地执行用户的要求,但存在窥探用户数据隐私的可能性。即使数据在服务器中以密文形式保存,服务商也可以在统计用户对密文请求次数的基础上建立用
户与特定密文的关系,挖掘潜在的用户兴趣。
1 相关研究
来的安全隐患。魏江宏等[6]利用分层的身份加密的思想,通过离散化私钥生命周期的方法实现了前向安全的CP_ABE方案,但是没有考虑后向安全性,且缺乏对属性撤销的支持。王鹏翩等[7]采用合数阶双线性群双系统加密的方法实现细粒度的基于CP_ABE的访问控制,但是公钥长度与用户数量线性相关,这在云存储环境中容易造成公钥长度过长的问题。此外,Yu[8]、Hur[9]、Attrapadung[10]等也都提出了改进的CP_ABE方案,但是均存在密钥过长以及计算复杂度高等问题,并且在属性撤销方面粒度过粗,大多基于用户身份的属性撤销,使得加密方案在云存储环境中的应用受到限制。
本文从数据的机密性存储以及访问的不可区分性两个方面设计基于CP_ABE的匿名云存储的隐私保护方案(Anonymous PrivacyPreserving scheme for cloud storage based on CP_ABE, APPCP_ABE),着重解决密钥泄漏以及属性撤销问题。主要研究内容如下:
1)在魏江宏[6]的基础上改进了CP_ABE加密算法,通过维护离散化时间序列二叉树实现高效、不可逆的密钥更新方案,以满足密钥泄漏的前向安全性。
2)层次化用户与属性的关系,提出用户组和用户组二叉树的概念,通过设计改进的SubsetDifference(Advanced Subset Difference,AdvSubsetDifference)算法实现属性级别的细粒度的属性撤销;并证明了提出的撤销算法满足前向安全与后向安全性。
3)基于同态加密算法并利用时间周期的二元序列的唯一性,使得用户向云端提交的数据请求具有k匿名l多样性,且不需引入额外的可信机构,在保证访问的不可区分性的同时抵御拒绝服务(Deny of Service,DoS)与重放攻击。通过在数据应答中插入密文的二次代理重加密,实现方案关于密钥泄漏的后向安全性。
4)基于l双线性DiffieHellman(Bilinear DiffieHellman Exponent, BDHE)假设,在标准安全模型上证明了提出方案的选择安全性。
2 预备知识
3 形式化定义与核心思路
3.1 APPCP_ABE的形式化定义
定义5 用户组。设密文CT的访问结构Γ对应的属性集合为U,ui∈U,设用户群中,拥有属性ui的用户构成属性ui的用户组UsrGroupi,U与所对应的用户组的集合{UsrGroup}构成二部图。
选择性安全的云存储隐私保护方案由以下九个多项式时间算法组成:
2)用户向云服务器发送注册申请Register并生成二元序列bin。
3)密钥生成KeyGen:根据系统主密钥msk以及公共参数pub和用户属性集S等,输出时间周期t0时用户私钥Uskt0S,同时生成用于同态加密的公私密钥对(epk,esk)。
4)密钥更新KeyUpdate:根据公共参数pub、当前时间周期用户私钥UsktyS、下一时间周期tn,生成UsktnS。
5)加密算法Encrypt:根据公共参数pub、明文m、时间周期tn以及访问结构Γ,生成密文CT。
6)代理重加密ReEncrypt:根据访问结构Γ、密文CT以及Γ中每个属性对应的用户组,生成重加密密文CTR。
7)数据包请求DataRequest:根据用户对云端数据包请求的聚类,设计k匿名l差异性的数据包请求,并于数据应答中插入数据的二次加密。
8)解密算法Decrypt:根据公共参数pub、用户属性集S以及对应的时间周期tv、密钥UsktvS,输出明文m。
9)属性更新KeyProUpdate:撤销属性相关的密文CTR,更新的属性集S′,生成新的密文CT′R。
3.2 APPCP_ABE的核心思路
常规的基于CP_ABE安全方案分为四个算法:系统初始化、密钥生成、加密和解密。本文提出APPCP_ABE模型在常规CP_ABE算法基础上侧重于解决密钥泄漏和属性撤销问题,通过密文组件和两次代理加密将两个目标相关联。
为解决魏江宏等[6]模型中密钥泄漏后向安全问题,引入客户端的注册过程Register,保证不同的用户在云端拥有不同的随机ID序列。在密钥生成和更新算法中基于ID序列的模2加性,实现随机ID与密钥的绑定。数据请求DataRequest算法除了实现k匿名l多样性的数据包外,还包含了密文的二次加密,从而使不同用户基于相同密钥更新得到不同的新密钥,而只有合法用户才可以解密云端的密文,实现了密钥泄漏的后向安全性。
通过一个攻击游戏来定义APPCP_ABE方案的标准安全模型[6]。
1)Init:敌手选择并公布挑战的访问结构Γ*,挑战的时间周期t*c。
2)Setup:生成pub以及msk,并将pub发送给敌手A,同时保存msk。
3)Query1:敌手进行多项式次数的关于属性集合S、时间周期tv的私钥询问。其中S和tv均不满足访问结构Γ*和挑战时间周期t*c。挑战者运行KeyGen算法计算私钥UsktvS。
4)Challenge:敌手选择两个等长的密文m0、m1,挑战者抛硬币并从m0、m1中等概率选择明文mθ进行加密,将密文返回给敌手。
5)Query2:敌手继续进行多项式时间的私钥提问,过程与Query1相同。
6)Guess:敌手输出对θ的猜测θ′,如果θ=θ′,称敌手赢得游戏。
定义6 如果多项式时间的敌手A赢得上述游戏的攻击优势AdvA是可忽略的,则称隐私保护方案关于标准安全模型是选择性安全的。
4 APPCP_ABE的实施
4.1 方案基本定理
5 APPCP_ABE的安全分析
5.1 安全性证明
本节改进了魏江宏等[6]的标准安全模型,使之适用于APPCP_ABE方案的安全性验证。
定理3 若存在概率多项式时间敌手A以优势AdvA=ε赢得第3章定义的安全游戏,则存在概率多项式时间算法B以优势AdvB=ε/T解决判定性lBDHE假设。
证明 定义安全模型中挑战者C为概率多项式时间算法B,通过构造半功能密文,利用lBDHE假设证明半功能密文和随机密文的不可区分,由于敌手解密随机密文的优势是可忽略的,从而敌手攻破APPCP_ABE方案的优势是可忽略的。
5.3 密钥泄漏的安全性
对于用户密钥泄漏问题,本文提出的安全模型通过时间周期完全二叉树进行密钥更新,将时间周期与用户私钥绑定,使用户私钥在每个时间周期内均不相同。假设ty > ty ′,按密钥更新算法KeyUpdate将密钥Uskty ′S更新为UsktyS。由于更新过程不可逆,从而使得当UsktyS发生泄漏时,之前需使用Uskty ′S解密的密文依然是安全的(前向安全性)。反之,如果Uskty ′S发生泄漏,敌手获取了Uskty ′S并通过KeyUpdate将Uskty ′S更新到UsktyS,然而由于敌手与原用户使用RG生成的二元序列bini不一致,用户与敌手更新到的密钥UsktyS中,uk的阶不同。对于云端来说,其发送给用户的密文是基于用户的二元序列bin重加密过的,根据解密算法Decrypt,只有密文C2与密钥d0中关于uk的阶相同时才可以解密,即敌手无法通过更新密钥来解密ty时间周期的密文(后向安全性)。本文方案关于密钥泄漏是安全的。
6 APPCP_ABE的性能分析
分析可知,APPCP_ABE方案较已有方案在属性撤销以及密钥泄漏方面具有更好的安全性,尽管时间复杂度与空间复杂度有所提高,但提高的幅度至多在O(log T)或O(log N)级别,均在可接受范围内。
7 结语
本文在CP_ABE加密的基础上,引入用户组二叉树与时间周期序列二叉树,给出了关于密钥泄漏的安全的CP_ABE方案;在二次代理重加密算法的基础上设计细粒度的访问控制策略;基于高效的同态加密算法实现了具有k匿名l多样性的数据请求;通过标准安全模型证明了方案的选择安全性。
参考文献: