刘帅南(1997-), 男, 硕士, 主要研究领域为云计算, 信息安全
刘彬(1996-), 男, 硕士, 主要研究领域为信息安全, 区块链, 联邦学习
郭真(1997-), 女, 硕士, 主要研究领域为云计算, 信息安全
冯朝胜(1971-), 男, 博士, 教授, 博士生导师, CCF高级会员, 主要研究领域为网络与信息安全, 云计算, 大数据安全
秦志光(1956-), 男, 博士, 教授, 博士生导师, CCF杰出会员, 主要研究领域为信息安全, 分布式计算
卿昱(1970-), 女, 研究员, 主要研究领域为网络与信息安全
文件分层的密文策略基于属性的加密(FH-CP-ABE)方案实现了同一访问策略的多层次文件加密, 节省了加解密的计算开销和密文的存储开销. 然而, 目前的文件分层CP-ABE方案不支持分级用户访问, 且存在越权访问的问题. 为此, 提出一种支持分级用户访问的文件分层CP-ABE方案. 在所提方案中, 通过构造分级用户访问树, 并重新构造密文子项以支持分级用户的访问需求, 同时消除用户进行越权访问的可能性. 安全性分析表明, 所提方案能够抵御选择明文攻击. 理论分析和实验分析均表明, 与相关方案相比, 所提方案在计算和存储方面具有更高的效率.
The file hierarchy ciphertext policy attribute-based encryption (FH-CP-ABE) scheme realizes multi-level files encryption with the single access policy, which saves the computation cost of encryption and decryption and the storage cost of ciphertext. Nevertheless, the existing file hierarchy CP-ABE scheme cannot support graded user access, while suffers due to the unauthorized access. For this reason, a file hierarchy CP-ABE scheme that supports graded user access is proposed. In the proposed scheme, the graded user access tree is constructed, and the ciphertext subsections are reconstructed to support the access requirements of graded users, thus eliminate the possibility of users to conduct unauthorized access. The security analysis shows that the proposed scheme can resist selective chosen-plaintext attack. Both theoretical and experimental analyses show that the proposed scheme is more efficient in terms of computation and storage compared to related scheme.
在实际应用中, 共享到云端的多个文件通常具有层次结构. 然而, 利用传统的CP-ABE方案实现多文件加密时需构造多个不同的访问策略, 导致加解密效率和存储效率低下. 文件分层CP-ABE方案(FH-CP-ABE)将多个具有层次关系的访问策略进行整合, 实现了在同一访问策略下加密多个层次文件, 节省了加解密的计算开销和密文的存储开销. 然而, 若用户仅存在等级关系, 而属性不存在包含关系, 那么FH-CP-ABE方案无法满足分级用户的访问需求. 同时, FH-CP-ABE方案中用户通过解密操作计算可获得
针对上述问题, 提出一种支持分级用户的文件分层CP-ABE方案. 本文的具体贡献包括:
(1) 构造分级用户访问树. 基于分层访问树, 引入控制节点和虚拟属性的概念, 构造用户分级访问模型以支持上述访问需求.
(2) 设计一种支持分级用户访问的文件分层CP-ABE方案. 基于分级用户访问树和CP-ABE方案, 重新构造密文子项以支持多层次文件的加密, 同时消除用户进行越权访问的可能性.
(3) 证明方案的有效性. 安全性分析表明. 本文方案能够抵御选择明文攻击. 性能分析表明, 本文方案与相关方案相比, 在加解密和存储方面均有更高的效率.
本文首先指出文件分层CP-ABE方案存在的主要问题, 并给出解决问题的方法和主要贡献. 本文第1节对相关研究进行了总结. 第2节给出本文所用的预备知识. 第3节给出本文的系统模型. 第4节给出所提方案的具体构造. 第5节给出所提方案的安全性分析. 第6节给出所提方案的性能分析. 最后对本文进行总结.
如今, 互联网和信息技术的飞速发展推动了社会的进步, 越来越多的人将数据存储在云端. 然而, 全球范围内爆发的众多信息泄露事故, 使得云存储中数据的安全性和隐私性成为云计算发展中所面临的重大难题. 解决数据安全存储的一个直接有效的方法就是在数据上传前进行加密, 但是传统的加密机制仅适用于“一对一”及粗粒度的访问控制. 为解决这一问题, 基于属性的加密ABE (attribute-based encryption)[
基于属性的加密方案通常没有考虑将属性之间的关系列入研究范围. 然而, 在实际应用中, 属性之间往往存在层次关系, 因此有必要提出既能实现细粒度访问, 又能反映属性层次关系的方案. 2002年, Horwritz等人[
在实际应用场景中, 云环境下共享的数据文件大都具有层次关系的特点, 为解决此问题, 文件分层CP-ABE方案被相继提出. 2014年, Wang等人[
假设
设
(1) 双线性: 对于任何的
(2) 非退化性: 存在
(3) 可计算性:
上述双线性映射
挑战者随机选取
在
如果没有概率多项式时间(PPT)在解决DBDH难题上具有不可忽略的优势, 那么DBDH假设成立.
某企业设立若干部门, 如财务部、技术部、人力部等. 该企业在云环境中共享多个数据文件, 其中数据文件
分级用户访问结构构造过程
文件
本文方案引入控制节点和虚拟属性的概念, 将访问结构树
设
两层分级用户访问树示例
本文方案的系统模型如
云计算中数据共享示例
授权机构(CA): 授权机构CA是完全可信的实体, 它能够诚实地执行相应的操作并给用户返回结果. CA负责执行初始化算法
云服务提供者(CSP): 云服务提供者CSP是半可信的实体, 它可以诚实地执行分配的任务并返回正确的结果, 但云服务提供者是诚实且好奇的, 它希望从分配的任务中找出尽可能多的敏感内容. CSP负责提供密文存储和传输服务.
数据所有者(DO): 数据所有者有大量的数据需要在云端存储和共享, 其负责定义与密文相关的访问策略并执行加密
用户(DU): 用户需要在云端访问大量数据. 其下载相应的密文, 并使用其私钥执行解密算法
本文方案由
(1)
(2)
(3)
(4)
本节为本文方案定义了针对性(selective)选择明文攻击CPA安全模型, 即sCPA.
准备: 敌手选择
初始化: 挑战者执行
查询阶段1: 敌手选择属性集合
挑战: 敌手向挑战者提交两个等长的消息
查询阶段2: 敌手重复阶段1的查询, 但是敌手获取的私钥
猜测: 敌手随机输出一个猜测
在该游戏中, 敌手赢得该安全游戏的优势被定义为
本文方案以文献[
(1) 初始化:
算法输入系统安全参数
(2) 私钥生成:
该算法输入
(3)加密:
该算法输入
在
多项式构造规则: 首先从根节点
设
在
数据所有者输出整合的密文
(4)解密:
该算法输入
如果
如果
如果
如果
如果集合
否则, 计算
如果属性集合
通过如下公式进一步计算
基于层次节点, 如果属性集合
因此可依次计算获得
最后, 使用内容密钥
如何在用户之间仅存在等级关系, 而属性之间不存在包含关系的情形下实现多文件加密是本文需要解决的一大难题. 本文方案首先引入控制节点作为一类特殊的传输节点, 其继承了传输节点的作用, 即高等级用户可通过传输节点向下解密低等级文件; 其次, 如
方案构造说明示例
定理
在本文方案的选择性安全游戏中, 假设存在敌手
证明: 挑战者
准备: 敌手
初始化: 模拟器
查询阶段1: 敌手
挑战: 敌手
查询阶段2: 敌手
猜测: 敌手
通过以上描述, 不存在概率多项式时间敌手
为保证方案的安全性, 层次节点的秘密值
本文方案实现了分级用户访问的多文件加密, 且解决了越权访问的安全问题,
特性分析
文献 | 多文件加密 | 用户分级访问 | 越权访问 |
文献[ |
|||
文献[ |
|||
本文 |
本文方案将与文献[
符号定义
符号 | 定义 | 符号 | 定义 | |
|
群
|
|
传输节点集合 | |
|
群
|
|
满足访问结构的最小内部节点 | |
|
双线性配对运算 |
|
|
|
|
用户
|
|
|
|
|
密文
|
|
|
本文方案和文献[
性能对比
指标 | 文献[ |
文献[ |
本文方案 |
加密时间 |
|
|
|
解密时间 |
|
|
|
PK长度 |
|
|
|
MSK长度 |
|
|
|
SK长度 |
|
|
|
CT长度 |
|
|
|
数据所有者加密
在存储开销方面, 本文方案与文献[
本文实验基于CP-ABE工具包和JPBC库, 在512 bit的A类超奇曲线
为了更为清楚地描述, 仍以
加解密时间随属性数量变化对比
加解密时间随文件数量变化对比
同时由
存储开销对比
由
与计算开销方类似地, 由于本文方案改变了访问结构树的构造和相关密文的构造, 因此存储开销也略高于文献[
针对现有的文件分层CP-ABE方案普遍不支持分级用户访问, 且构造方面存在用户越权访问的问题, 本文提出了支持分级用户访问的文件分层CP-ABE方案. 该方案通过引入控制节点和虚拟属性, 构造了分级用户访问树, 并在加密阶段重新构造与传输节点相关的密文子项以避免用户越权访问, 解决了分级用户的层次文件共享问题. 本文方案加密和解密的时间开销和密文存储开销相比于传统的CP-ABE方案均有大幅度降低. 此外, 本文方案证明了在DBDH假设下选择明文攻击CPA是安全的.
Tsai TT, Tseng YM, Wu TY. RHIBE: Constructing revocable hierarchical ID-based encryption from HIBE. Informatica, 2014, 25(2): 299–326.
Wan ZG, Liu JE, Deng RH. HASBE: A hierarchical attribute-based solution for flexible and scalable access control in cloud computing. IEEE Trans. on Information Forensics and Security, 2012, 7(2): 743–754.
Deng H, Wu QH, Qin B, Domingo-Ferrer J, Zhang L, Liu JW, Shi WC. Ciphertext-policy hierarchical attribute-based encryption with short ciphertexts. Information Sciences, 2014, 275: 370–384.
Huang QL, Yang YX, Shen MS. Secure and efficient data collaboration with hierarchical attribute-based encryption in cloud computing. Future Generation Computer Systems, 2017, 72: 239–249.
Ali M, Mohajeri J, Sadeghi MR, Liu XM. A fully distributed hierarchical attribute-based encryption scheme. Theoretical Computer Science, 2020, 815: 25–46.
Wang SL, Zhou JW, Liu JK, Yu JP, Chen JY, Xie WX. An efficient file hierarchy attribute-based encryption scheme in cloud computing. IEEE Trans. on Information Forensics and Security, 2016, 11(6): 1265–1277.
Sandhia GK, Raja SVK, Jansi KR. Multi-authority-based file hierarchy hidden CP-ABE scheme for cloud security. Service Oriented Computing and Applications, 2018, 12(3–4): 295–303.
Guo R, Li X, Zheng D, Zhang YH. An attribute-based encryption scheme with multiple authorities on hierarchical personal health record in cloud. The Journal of Supercomputing, 2020, 76(7): 4884–4903.
Chandrasekaran B, Nogami Y, Balakrishnan R. An efficient file hierarchy attribute based encryption using optimized tate pairing construction in cloud environment. Journal of Applied Security Research, 2020, 15(2): 270–278.
He H, Zheng LH, Li P, Deng L, Huang L, Chen X. An efficient attribute-based hierarchical data access control scheme in cloud computing. Human-centric Computing and Information Sciences, 2020, 10(1): 49.
Challagidad PS, Birje MN. Efficient multi-authority access control using attribute-based encryption in cloud storage. Procedia Computer Science, 2020, 167: 840–849.
Li GJ, Chen NY, Zhang YC. Extended file hierarchy access control scheme with attribute-based encryption in cloud computing. IEEE Trans. on Emerging Topics in Computing, 2021, 9(2): 983–993.