论文部分内容阅读
作为一种新的计算模式,云计算能够为海量终端用户提供可靠的、定制化且动态的计算环境。尽管云计算有着非常吸引人的优势,数据安全和隐私问题却严重阻碍了云计算的大规模部署及实际应用。作为一个非常具有应用前景的密码学原语,基于属性的加密(Attribute-Based Encryption,ABE)可用于实现针对云计算中共享数据的细粒度的访问控制。特别地,除了数据机密性之外,基于属性的签密(Attribute-Based Signcryption,ABSC)则进一步实现了身份认证。然而,目前还没有任何基于属性的签密方案能够支持密钥进化。密钥进化的密码学旨在减小用户密钥泄露对整个密码系统带来的危害。对于实际应用中的密码系统而言,密钥泄露是非常严重的安全威胁。在传统的公钥环境下,密钥进化的本质思想在于随着时间对用户的私钥进行更新,而保持公钥始终不变。从更加实用的角度来讲,人们更乐意在密钥进化的分层的基于身份的环境下实现签密。由于只考虑了时间和身份两个属性,因此这一环境是基于属性的环境的一个特例。在基于属性的加密中,很多属性信息是非常敏感的,并且与合法用户的身份密切相关。为了实现用户的隐私保护,匿名ABE进一步在密文中隐藏了访问策略的信息。但是,在已有的匿名ABE方案中,用户只有在重复的解密尝试之后才能判断属性和密文策略是否匹配。此外,每一次解密的计算量会随着访问策略的复杂度的增大而线性增长,从而需要大量的双线性对运算。可见,这种针对匿名ABE的直接的解密方法存在严重的效率缺陷。另一方面,对于基于属性的系统而言,实现属性和用户的撤销也是很有意义的。特别地,在实际应用中,用户的属性可能会经常变动,而且多个用户往往会具有某些共同的属性。因此,实现有效的撤销机制是非常重要而又十分具有挑战性的任务。据作者所知,由于需要对用户的属性私钥和所有的密文进行更新,已有的ABE方案都不支持灵活且直接的撤销机制。为了解决以上问题,本文研究并构造了安全性增强的基于属性的加密和签密方案。一方面,本文研究了基于属性的签密的一个特例,即密钥进化的分层的基于身份的签密(Key-Evolving Hierarchical Identity-based Signcryption,ke-HIBSC)。实际上,我们主要考虑了时间和身份这两个属性,但是支持属性的分层。另一方面,为了获得安全性增强的基于属性的加密,我们主要研究了匿名ABE,并有效地构造了支持属性和用户撤销的ABE。本文取得以下主要成果:(1)在基于属性的签密方面,本文给出了ke-HIBSC的形式化定义和安全模型,并构造了一个具体的方案。作为第一个ke-HIBSC方案,所提出的方案是可扩展且与用户加入时间无关的,并允许用户自己对私钥进行更新。在BDH假设和CDH假设下,方案在随机预言机模型下被证明是安全的。具体地讲,除了基本的机密性和认证性之外, ke-HIBSC还具有不可否认性、密文匿名性和强前向安全性。与传统的先签名再加密方法sign-then-encrypt相比,本文的方案具有更小的计算代价和更高的通信效率。(2)为了获得实用的匿名ABE,本文提出了一个新技术match-then-decrypt。该技术在解密阶段之前加入了一个属性匹配阶段。该match-then-decrypt技术在密文中引入了一些专用分量,用于实现解密之前的属性匹配检测,以判定属性私钥是否与密文中潜在的访问策略相匹配。在所提出的方案中,这样的检测的代价远远小于一次解密的代价。在DBDH假设和D-Linear假设下,所给出的基本匿名ABE构造及其扩展方案都是可证明安全的。此外,仿真实验表明,所提出的匿名ABE方案都是非常有效且实用的,都极大的提高了匿名ABE的解密效率。(3)对于基于属性的密码体制中的撤销问题,本文给出了支持灵活且直接撤销的密文策略下基于属性的加密(Ciphertext-Policy ABE with Flexible and DirectRevocation,FDR-CP-ABE)的形式化定义和安全模型,并构造了一个具体的FDR-CP-ABE。所提出的方案支持直接的属性撤销和直接的用户撤销,并且适用于数据共享环境。直接撤销的一个优势是撤销不会影响没有被涉及到的用户,也就是说,在撤销事件中没有被涉及到的用户任何时候都不需要对其属性私钥进行更新。我们通过引入一个辅助函数并结合广播加密技术来实现这一目标。该辅助函数可用于判定一个密文是否受到某个撤销事件的影响。基于此,采用广播加密技术只对那些受到撤销事件影响的密文进行更新。与已有的支持撤销的方案相比,由于具有恒定大小的密文,并且只需要对部分密文进行更新,所提出的FDR-CP-ABE具有更高的效率。此外,在标准模型下,所提出的方案是可证明安全的。特别地,所提出的撤销技术也适用于密钥策略下基于属性的加密。