论文部分内容阅读
作为传统公钥密码和基于身份密码学的扩展,基于属性的密码学利用属性来描述用户权限,提供了非常灵活的操作关系。在基于属性的加密(ABE)机制中,密文和密钥都与属性相关,加密者可以根据要加密的内容和接收者的特征信息制定一个由属性构成的加密策略并以此生成密文,用户的权限由一组属性表示,由密钥生成中心根据用户拥有的属性为其颁发私钥。当且仅当私钥对应的用户权限满足密文的加密策略时才能够解密成功。ABE提供了具有动态性和可表达性的一对多的加解密模式,在对消息进行机密性保护的同时,可以有效地实现对加密数据的非交互细粒度访问控制。本文的目标是设计具有高安全性、高效性且符合实际应用场景需求的基于属性密码方案。研究成果包括对具有隐私保护的分布式密文策略ABE方案的安全性分析;基于对偶系统加密通用框架扩展的完全安全ABE方案设计以及支持密钥撤销和密文更新机制的ABE系统构造。 为了避免传统ABE机制中的密钥托管问题并克服单一属性权威在实际应用需求上的不足,学者们提出了多权威ABE的概念,由多个属性分权威管理不同类别的属性并(独立)进行密钥颁发。已有的多权威ABE构造通过引入全局身份标识符(GID)来达到方案的抗合谋安全性。为了克服GID的使用以及申请私钥时一些敏感属性导致的用户隐私泄露问题,Han等学者提出了标准模型下具有隐私保护的分布式密文策略属性加密方案(ESORICS2014,IEEE TIFS2015),首先给出基本的分布式密文策略基于属性加密(CP-ABE)方案,然后设计出具有隐私保护性质的密钥抽取协议来保证用户在申请私钥过程中不会泄露GID和属性的任何信息。我们对该工作的设计方法进行了深入的分析,结果发现底层分布式CP-ABE方案不具有抗合谋的安全性,密钥抽取协议无法满足对属性的隐私性保护。对于底层分布式CP-ABE方案,我们通过构造一族合谋用户,其中单个用户的属性集合只需要满足加密策略定义在单个分权威上的访问结构,就可以计算得到该分权威下用于隐藏明文的秘密片段,一旦集齐所有分权威对应的秘密值,即使各合谋用户不具有统一的GID,仍可以从密文中恢复出全部明文信息。对于密钥抽取协议,恶意的分权威利用协议交互得到的消息,通过与自身所管理的属性参数依次进行双线性对的等式检查,就可以从中获取到用户的属性信息。 对偶系统加密技术自提出以来已经成功应用于许多加密方案的可证明安全方面。通过研究对偶系统加密技术的通用框架来设计和分析具有完全安全性的ABE方案,成为新的研究热点。其中的开创性工作之一是由Attrapadung提出的对偶系统加密框架(Eurocrypt2014),引入了“对编码”的密码学原语,并提出由对编码方案到完全安全ABE方案的通用构造。我们对该对偶系统加密框架进行扩展,定义了“扩展的完美安全性”来刻画对编码方案之间的计算不可区分性,并给出了基于该新型安全性得到ABE方案完全安全性的安全定理及相应证明。作为扩展框架的应用,我们设计出合数阶双线性群上具有优化公共参数规模的CP-ABE方案实例。已有的完全安全的CP-ABE方案构造,或者依赖于带参数的q-type假设,或者公共参数的大小与系统属性空间的大小成线性关系。在我们的构造中,公共参数规模仅与属性个数成对数关系,同时能够不依赖于q-type假设证明方案的完全安全性。 撤销机制是密码系统不可或缺的组成部分。针对云存储环境下用户的动态权限问题,Sahai等学者提出了可撤销-存储ABE密码系统(CRYPT02012)。为了得到进一步的优化,我们引入了“支持服务器辅助的可撤销-存储ABE”(SRS-ABE)的概念,将大部分工作委托给服务器来有效地实现ABE方案的密钥撤销机制和密文更新机制。我们提出了SRS-ABE的形式化定义和安全模型,并给出了具体的SRS-ABE方案。与已有的可撤销-存储ABE方案相比,我们的SRS-ABE方案具有以下优势:在安全性方面,SRS-ABE方案能够证明完全安全性并抵抗解密密钥泄露攻击;在效率方面,SRS-ABE系统将几乎所有的计算量都委托给服务器,用户本地存储的私钥仅为常数规模,解密代价仅为一次指数运算。