CN111901320B

CN111901320B - 基于属性撤销cp-abe的抗密钥伪造攻击加密方法及其系统

Info

Publication number: CN111901320B
Application number: CN202010686281.6A
Authority: CN
Inventors: 张文芳; 彭德红; 王小敏; 马征
Original assignee: Southwest Jiaotong University
Current assignee: Yami Technology Guangzhou Co ltd
Priority date: 2020-07-16
Filing date: 2020-07-16
Publication date: 2021-05-11
Anticipated expiration: 2040-07-16
Also published as: CN111901320A

Abstract

本发明公开了一种可撤销且抗密钥伪造攻击的密文策略属性基加密方法及其系统，该加密方法包括接收输入消息，并根据输入消息的类型分别进入下面四种情景对应的步骤，当输入消息为上传共享文件时，采用加密算法生成初始密文，将初始密文上传至云服务器并终止算法；当输入消息为授权请求时，根据系统主密钥和用户属性集合生成的属性密钥与授权密钥，并分别发送至用户与云服务器；当输入消息为撤销用户属性时，更新未被撤销用户的属性密钥，生成密文重加密密钥给云服务器并终止算法；当输入消息为请求下载共享文件时，接收用户上传部分属性密钥，并发送至云服务器；接收云服务器根据属性密钥合法性检验返回的信息，并在通过检验时下载云服务器中的加密文件，并在用户的属性未被撤销时，根据请求下载共享文件的用户的属性密钥对加密文件进行解密操作，解密完成后终止算法。

Description

基于属性撤销CP-ABE的抗密钥伪造攻击加密方法及其系统

技术领域

本发明涉及数据安全领域，具体涉及一种基于属性撤销CP-ABE的抗密钥伪造攻击加密方法及其系统。

背景技术

随着信息时代的发展，云计算及云存储技术得以广泛应用，企业或个人越来越倾向于将数据存储至云端。由于数据直接存储至云端，其安全性难以得到保证，用户需将数据加密后再存储至云端，然而采用传统密码学技术加密后的密文无法在开放的云环境下实现高效的数据共享。属性基加密能够较好地解决云存储中数据安全与密文数据细粒度访问控制之间的矛盾。属性基加密系统中，用户密钥遗失、泄露、属性变更等情况时有发生，属性基加密方案必须能够实时、动态的撤销失效用户或密钥。因此，属性撤销成为CP-ABE方案中亟待解决的关键问题。

Hur“Hur J，Noh D K.Attribute-based access control with efficientrevocation in data outsourcing systems[J].IEEE Transactions on Parallel andDistributed Systems，2010，22(7)：1214-1221.”(下文简称Hur et al 2010方案)的撤销方案是撤销领域发展的一个重要节点，但该方案存在用户合谋攻击的问题。该方案中将用户密钥分为解密密钥(Decryption Secret Key，DSK)与密钥加密密钥(Key EncryptingKey，KEK)，DSK即用户属性密钥，KEK是属性群管理员通过二叉树进行分发，由于用户之间的KEK可通用，致使该方案无法抵抗合谋攻击。

例如，用户Alice的KEK_A无效、DSK仍有效，用户Bob的KEK_B有效、DSK无效的情况下，Bob与Alice合谋可导致Alice、Bob均可解密。此外，文献“Zu L，Liu Z，Li J.Newciphertext-policy attribute-based encryption with efficient revocation[C].2014 IEEE International Conference on Computer and InformationTechnology.IEEE，2014：281-287.”(下文简称Zu et al 2014方案)可用类似的攻击方式证明可撤销CP-ABE方案存在合谋攻击。

除上述合谋攻击外，提出一种现有大多数属性可撤销方案未考虑的攻击方式-密钥伪造攻击。由于CP-ABE方案通过属性集合描述用户身份信息，属性是较为模糊的概念，用户密钥与身份信息耦合程度低，导致了用户可伪造密钥进行解密，进而致使撤销方案存在安全漏洞。如文献Zu et al 2014，设Alice为系统合法用户，属性集合为S_A，系统为他产生的密钥集合为：

其中g为群的生成元，α₁，a为系统主密钥，t为随机数，H(x)为Alice属性所对应群内的元素。Alice选择随机数r随机化处理SK_A得：

若Alice被撤销并列入撤销列表，他声称自己是用户Bob，属性集合为

拥有密钥

在此情况下，授权机构无法否认Bob密钥的合法性，Bob未在撤销列表内，且密钥合法，Alice仍能假借Bob之名解密密文，系统并未实质撤销Alice的解密权限。针对上述攻击方式，本方案称之为密钥伪造攻击。

以文献“Ma H，Zhang R，Sun S，et a1.Server-Aided Fine-Grained AccessControl Mechanism with Robust Revocation in Cloud Computing[J].IEEETransactions on Services Computing，2019”(下文简称Ma et al 2014方案)为代表的大属性可撤销的CP-ABE方案进行攻击，设Alice为系统合法用户，属性集合为S_A，系统为他产生的密钥为：

其中g为群的生成元，α₁，a为系统主密钥，w、u、h、r、r_i为随机数，A_i为Alice属性所对应群内的元素。Alice选择随机数x处理SK_A得：

Alice用同样的方式，也可对此类方案造成攻击。通过对上述两类撤销CP-ABE方案的有效攻击表明，密钥伪造攻击可严重威胁撤销机制的安全与稳定，克服密钥伪造攻击成为可撤销方案中亟待解决的问题。

发明内容

针对现有技术中的上述不足，本发明提供的基于属性撤销CP-ABE的抗密钥伪造攻击加密方法及其系统能够抵御抗密钥伪造攻击和用户合谋攻击，增强了现有属性可撤销CP-ABE系统的安全性。

为了达到上述发明目的，本发明采用的技术方案为：

第一方面为，提供一种基于属性撤销CP-ABE的抗密钥伪造攻击加密方法，该方法应用于授权机构构建的CP-ABE系统，其执行如下步骤：

S1、CP-ABE系统接收输入消息，并根据所述输入消息的类型分别进入步骤S2、S3、S4或S5；

S2、当输入消息为上传共享文件时，根据系统公钥和共享文件及上传共享文件用户的访问策略，采用加密算法生成初始密文，并将初始密文上传至云服务器，之后终止算法；

S3、当输入消息为授权请求时，根据系统主密钥和用户属性集合生成的属性密钥与授权密钥，并分别发送至用户与云服务器，之后终止算法；

S4、当输入消息为撤销用户属性时，根据授权机构发布的撤销列表，更新未被撤销用户的属性密钥，并生成密文重加密密钥给云服务器，之后终止算法；

S5、当输入消息为请求下载文档时，发送部分属性密钥给云端服务器，接收云服务器根据部分属性密钥合法性检验返回的信息，并判断返回的信息是否通过合法检验，若是，进入步骤S6，否则终止算法；

S6、下载云服务器中的加密文件，并判断请求下载共享文件的用户的属性是否被撤销，若是，不对加密文件解密，并终止算法；否则进入步骤S7；

S7、根据请求下载共享文件的用户的属性密钥对加密文件进行解密操作，解密完成后终止算法。

第二方面，提供一种CP-ABE系统，其采用授权机构构建而成，用于执行基于属性撤销CP-ABE的抗密钥伪造攻击加加密方法。

第三方面，提供一种基于属性撤销CP-ABE的抗密钥伪造攻击加密方法，该方法用于与CP-ABE系统配合的云服务器；当存在用户属性被撤销后，云服务器根据接收到的重生成的授权密钥执行如下操作：

B1、判断密文中的版本公钥信息P_ver与公开参数的P_ver是否一致，若是，则更新授权密钥

否则不更新授权密钥SK_csp；

B2、根据撤销列表RL、授权密钥与密文重加密密钥，选择随机数

进行密文重加密参数计算：

B3、当撤销列表

时，重加密密文：

密文集合为

B4、当撤销列表

且CP-ABE系统存在撤销属性时，云服务器根据撤销列表中的属性，重加密初始密文得：

密文集合为

其中，

为主密文，

为秘密值的公开承诺，

为密文版本，

为访问策略中属性锁对应的属性密文，

为随机数r_i的公开承诺；λ_i为秘密共享份额，λ_i＝A_iv，向量v中的第一个元素为欲分享的秘密值，其余为n-1个小于p的随机整数；h_ρ(i)为访问策略A中第i行进行映射后的属性值，r_i为h_ρ(i)对应的小于p的随机整数；消息

第四方面，提供一种基于属性撤销CP-ABE的抗密钥伪造攻击加密系统，其包括用于构建CP-ABE系统的授权机构、CP-ABE系统及执行和云服务器。

本发明的有益效果为：

(1)抗用户合谋攻击：本方案在密钥生成阶段各个参数的生成进行改进，且每个参数相互关联，使得用户无法对密钥伪造随机化处理，并在云端新增密钥合法性检验步骤，进一步验证用户密钥的合法性，使得方案能够抵抗用户合谋攻击，提高了撤销方案的安全性。

(2)抗合谋攻击：原Zu et al 2014的撤销方案中若参数Vx保管不当，则会导致用户合谋攻击，本方案在密钥阶段与加密阶段嵌入版本相关密钥，使得不同用户之间无法实现合谋攻击。

(3)可扩展性：本方案使用秘密分割技术与重加密技术，通过云服务端承担了部分计算量，有效减轻了CP-ABE系统的工作量，避免了CP-ABE系统因负载过大导致整个系统效率低下的问题。

附图说明

图1为应用于CP-ABE系统的基于属性撤销CP-ABE的抗密钥伪造攻击加密方法的流程图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

参考图1，图1示出来了应用于CP-ABE系统的基于属性撤销CP-ABE的抗密钥伪造攻击加密方法，如图1所示，该方法应用于授权机构构建的CP-ABE系统，其执行步骤S1至步骤S7。

在步骤S1中，CP-ABE系统接收输入消息，并根据所述输入消息的类型分别进入步骤S2、S3、S4或S5。

在步骤S2中，当输入消息为上传共享文件时，根据系统公钥和共享文件及上传共享文件用户的访问策略，采用加密算法生成初始密文，并将初始密文上传至云服务器，之后终止算法。

在本发明的一个实施例中，所述步骤S2进一步包括：

S21、制定上传共享文件用户的访问策略

其中，A为由访问策略转化得到的l×n的矩阵，l为参与加密的相关属性个数；n与访问策略的结构复杂度成正相关；ρ为映射函数，用于将A的每一行映射为一个对应的值；

S22、根据上传共享文件用户的系统公钥、密文M和访问策略，生成初始密文CT′：

其中，

为主密文，

为秘密值的公开承诺，

为密文版本，

为访问策略中属性锁对应的属性密文，

为随机数r_i的公开承诺；P_ver版本公开信息；g为群

的生成元；α₁，α₂，a，r_ver，rk为小于p的非零整数

中的随机数；e为双线性映射函数；s为秘密共享参数；f为群

内随机选取的元素，群

为阶为p的循环群；λ_i为秘密共享份额，λ_i＝A_iv，向量v中的第一个元素为欲分享的秘密值，其余为n-1个小于p的随机整数；h_ρ(i)为访问策略A中第i行进行映射后的属性值，r_i为h_ρ(i)对应的小于p的随机整数；消息

l为访问策略包含的属性数；

S23、将初始密文CT′上传至云服务器。

在步骤S3中，当输入消息为授权请求时，根据系统主密钥和用户属性集合生成的属性密钥与授权密钥，并分别发送至用户与云服务器，之后终止算法。

实施时，本方案优选根据系统主密钥和用户属性集合生成的属性密钥和授权密钥包括：

A1、针对每个用户选取一个随机数t，之后生成身份标识为id的用户的属性密钥SK_id：

其中，SS＝{h₁，h₂，...，h_j}为用户拥有的属性集合，

L为用户身份密钥，θ为L的Hash值；K为用户主密钥，K_x为用户拥有各属性对应的属性密钥；h_x为身份标识为id的用户拥有的属性集合S中的第x个属性，j为属性集合S中属性的总数；t为不重复随机数，

A2、计算云服务器的授权密钥

并将授权密钥SK_csp通过安全信道传给云服务器。

属性密钥和授权秘钥为CP-ABE系统生成，其形成于CP-ABE系统生成时，或者为在CP-ABE系统中加入用户的属性集合时生成。

在步骤S4中，当输入消息为撤销用户属性时，根据授权机构发布的撤销列表，更新未被撤销用户的属性密钥，并生成密文重加密密钥给云服务器，之后终止算法。

实施时，本方案优选所述步骤S4进一步包括以下步骤：

S41、接收授权机构发布的撤销列表，随机选取参数

计算重加密密钥

将重加密密钥RK_x通过安全信道发送给云服务器，并更新版本公钥信息

S42、更新未被撤销用户的密钥

h_x为身份标识为id的用户拥有的属性集合S中的第x个属性。

在步骤S5中，当输入消息为请求下载文档时，发送部分属性密钥给云端服务器，接收云服务器根据部分属性密钥合法性检验返回的信息，并判断返回的信息是否通过合法检验，若是，进入步骤S6，否则终止算法；本方案的合法性检验在云服务器端执行。

其中，部分属性密钥为属性密钥中的用户身份密钥L和用户主密钥K。

在步骤S6中，下载云服务器中的加密文件，并判断请求下载共享文件的用户的属性是否被撤销，若是，不对加密文件解密，并终止算法；否则进入步骤S7：

在步骤S7中，根据请求下载共享文件的用户的属性密钥对加密文件进行解密操作，解密完成后终止算法。

在本发明的一个实施例中，所述步骤S7进一步包括：

S71、计算参数B和E：

其中，B、E为解密过程中的中间参数；e为双线性映射函数；g为群

的生成元；α₁，α₂，a，r_ver，rk为小于p的非零整数

中的随机数；θ为用户身份密钥L的Hash值；f为群

内随机选取的元素，群

为阶为p的循环群；s为秘密共享参数；t为不重复随机数，

S72、计算用户身份密钥L的Hash值θ＝H(L)；H为群

上的元素到

域上的Hash映射；

S73、当撤销列表

或下载共享文档的用户属性未被撤销时，对下载的密文进行解密操作：

其中，F、Y为解密过程中的中间参数；C_i、D_i为密文参数；m为原消息；为；C为主密文；RL为撤销列表；ω的取值约束为：∑_i∈lω_iA_i＝(1，0，...，0)，ω_i为向量ω中的第i个元素；M为解密后的共享文档；K_x为用户拥有各属性对应的属性密钥；

S74、当撤销列表

采用下载共享文档的用户已更新的属性密钥对下载的密文进行解密操作：

其中，K_x′为存在用户属性撤销时，更新后的用户拥有各属性对应的属性密钥。

本方案还提供一种CP-ABE系统，其采用授权机构构建而成，用于执行基于属性撤销CP-ABE的抗密钥伪造攻击加加密方法。

本方案还提供一种基于属性撤销CP-ABE的抗密钥伪造攻击加密方法，该方法用于与权利要求6所述的CP-ABE系统配合的云服务器；当存在用户属性被撤销后，云服务器根据接收到的重生成的授权密钥执行如下操作：

否则不更新授权密钥SK_csp；

进行密文重加密参数计算：

B3、当撤销列表

时，重加密密文：

密文集合为

B4、当撤销列表

密文集合为

其中，

为主密文，

为秘密值的公开承诺，

为密文版本，

为访问策略中属性锁对应的属性密文，

本方案通过云服务端承担部分计算量，有效减轻了CP-ABE系统的工作量，避免了CP-ABE系统因负载过大导致整个系统效率低下的问题。

实施时，应用于云服务器的抗密钥伪造攻击加密方法，在接收请求下载共享文件用户的属性密钥后，云服务器执行如下步骤：

根据属性密钥中的用户身份密钥L和用户主密钥K，计算θ^*＝H(L)并检验：

将密钥合法性检验结果发送给CP-ABE系统，并在密钥合法性检验通过时，允许CP-ABE系统下载密文。

本方案还提供一种基于属性撤销CP-ABE的抗密钥伪造攻击加密系统，其包括用于构建CP-ABE系统的授权机构、CP-ABE系统及云服务器。

本方案通过抗加密系统执行基于属性撤销CP-ABE的抗密钥伪造攻击加密方法，能够抗用户合谋攻击和抗合谋攻击，提高了加密的文件的安全性。

通过对本方案和背景技术中提到的几个算法，从算法上进行原理分析，分析结果如表1所示，本发明在安全性有较大改进。

表1功能对比

由表1可知，方案Hur et al 2010中访问策略使用的是树型结构，与LSSS相比树型结构需反复迭代计算，本方案使用LSSS技术计算效率较低，具有一定的优势。方案Hur etal 2010的安全性未被严格证明，其他方案与本方案均给出了严格的形式化安全证明，且安全性相同。本方案相对文献Zu et al 2014提出的一种可撤销的CP-ABE方案，本方案不仅能抵抗用户合谋攻击的问题，而且本方案解决了其他方案存在的密钥伪造攻击问题，比其他方案更加安全可靠。

属性基加密方案的计算复杂度对方案效率起着决定性的作用，本文所提出的可撤销CP-ABE方案与相关文献的计算开销对比如表2所示。其中E，P分别代表模指数运算与双线性对运算，设系统属性总数与用户总数分别为n_a，n_u，用户拥有属性的个数为m，加密时相关属性数为h，解密所需属性密钥数为d，撤销属性数为r，H表示字符串到群

上的映射。

表2计算开销对比

对比计算开销，从表2可知，Hur et al 2010方案解密计算开销最小，由于该方案将解密业务外包给云服务器端，因而在此阶段计算量最小。本发明与Zu et al 2014方案效率相当，在加解密阶段增加1次模指数运算，在密钥生成阶段增加一次Hash运算，其他阶段的计算量与同类方案相当。

综上分析，本发明的计算效率与其他方案相当，但增强了属性可撤销CP-ABE方案的安全性。