论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　根据撤销由机构还是发送方执行,当前ABE撤销机制的研究工作分为间接撤销和直接撤销两类.根据Attrapadung和Imai的定义,在间接撤销模式下,授权机构周期性释放密钥的更新,只有未撤销的用户才能更新密钥,从而使已撤销用户的密钥无效.在直接撤销模式下,发送者在加密消息时规定撤销列表,直接实现属性密钥的撤销.间接撤销的优势在于发送者无需获取撤销列表.直接撤销的优势在于所有未撤销用户无需更新密钥,减轻授权机构的负担.AI09b结合两种撤销模式的优点,提出了混合撤销模式.

　　3.1间接撤销

　　ABE撤销机制的大部分研究工作都采用间接撤销模式.前期的研究由授权机构执行撤销,加密过程都与时间有关,属性只有到期失效时才能撤销;更新阶段,授权机构的工作量大.为减轻授权机构的负担并实现属性的即时撤销,后期工作引入半可信第三方,但要保证第三方的诚实性.

　　Pirretti等人最早提出ABE机制属性撤销的办法:每个属性包含一个有效期.授权机构周期性地释放属性的最新版本,并重新颁发所有用户的密钥信息.若删除系统的某个属性,机构停止发布该属性的最新版本,在周期性更新所有用户密钥时,不再颁发与该属性对应的密钥构件.如需撤销某个用户的属性,机构撤销用户私钥中该属性的最新版本.该方法简单,但存在不少缺点:加密方需与机构协商属性有效期;用户需保存每个时间段的密钥,撤销日期的粒度越细,密钥存储开销越大;属性密钥更新阶段,用户与机构在线交互,授权机构的工作量随用户数目线性增长,系统的可扩展性不好;属性也无法在到期前撤销.

　　为消除加密方与授权机构的协调,并降低用户密钥存储开销,Bethencourt等人提出一种CP-ABE的密钥更新思路.授权机构给每个用户的属性一个终止日期,密文附带时间信息.解密要求用户属性满足密文的访问策略,且终止日期在密文附带的时间之后.但在密钥更新过程中,用户仍需与授权机构在线交互,授权机构的工作量与属性到期的用户数量线性相关.另外,该机制不支持属性的即时撤销.

　　Boldyreva等人采用二叉树提出可撤销的ABE机制,支持KP-ABE中用户的撤销.每个用户与二叉树的叶节点相关,密钥更新数量与用户数量为对数关系.用户密钥分为两部分:一部分与访问结构相关,称为私钥,由授权机构生成;另一部分与时间相关,称为密钥更新,由授权机构公布,对全体用户可见,消除了密钥更新过程中的在线交互.授权机构撤销用户时,停止公布该用户的密钥更新,密文与属性集和时间相关.这种算法具有KPABE的抗串谋特性,保证了算法的安全性,但不支持属性的即时撤销.

　　为了实现属性的即时撤销,Ibraimi等人基于ITHJ09的CP-ABE引入半可信第三方作为仲裁者.仲裁者维持一个属性撤销列表,包括撤销的系统属性和用户属性信息.核心思想是,用户不再持有完整的密钥,而是将密钥分为两份,分别由仲裁者和用户持有.用户私钥与随机生成的用户标识相关,能够防止用户的串谋攻击.解密时,用户将满足访问树的最小属性集,密文和用户标识发送给仲裁者.仲裁者先判断该属性集中是否存在被撤销的属性,若无,则利用掌握的部分用户密钥执行与访问树叶节点相关的解密任务,并将结果返给用户,再由用户完成解密运算;否则,返回错误信号.该机制不需要更新未撤销属性的用户私钥.授权机构在为所有用户生成私钥后即可离线,减轻了授权机构的工作量.仲裁者持有部分密钥并参与解密运算,因此必须诚实,且保持在线.

　　Yu等人在CN07的CP-ABE机制基础上引入半信任的代理服务器,采用代理重加密技术,支持可撤销的KP-ABE.授权机构用版本号标记主密钥的演化版本,初始化时置为1,系统公钥、密文、用户私钥和代理重密钥都用版本号标记,以表示由主密钥的哪个版本产生.当发生撤销时,授权机构更新主密钥中与被撤销属性对应1308JournalofSoftware软件学报Vol.22,No.6,June2011的构件,将版本号的值加1,然后生成新的代理重密钥.代理服务器用最新版本的代理重密钥再加密存储的密文,为所有未被撤销的用户更新密钥.被撤销属性用户的私钥构件的版本号不是最新,无法解密,从而实现属性的即时撤销.该机制将授权机构的部分负担转移到代理服务器,减轻授权机构的工作量,但是代理服务器和授权机构必须在线,而且代理服务器要更新全部未撤销用户的私钥.

　　3.2直接撤销

　　OSW07首次提出CP-ABE的直接撤销思想,将用户标识作为一种属性,把被撤销用户标识的“非”与密文关联起来,使得撤销的用户无法解密密文,但是增加了密文和用户私钥的大小.Attrapadung等人采取同样的思路,减少了撤销的开销,提出BroadcastABE机制,实现KP-ABE和CP-ABE的直接撤销.设W=U\R,其中:U为系统中用户的标识集;R为用户撤销列表,包含了被撤销用户的ID.密文与W相关,而用户私钥与其唯一标识ID相关.KP-ABE中,用与门将W与密文属性连接起来;在CP-ABE中,用与门将W与密文访问策略连接起来.接收者只有满足ID∈W且属性与策略匹配时,才能解密密文.

　　直接撤销模式下,未撤销用户无需周期性更新密钥.发送方加密时规定一个系统属性撤销列表可实现系统属性的撤销.但OSW07和AI09a都采用用户标识,仅支持整个用户的撤销,没有解决用户属性撤销的情况,而且增加了系统公钥长度.

　　3.3混合模式

　　Attrapadung等人充分利用两种撤销模式的优势,采取二叉树,针对KP-ABE的撤销问题提出混合可撤销机制HR-ABE.发送方在加密时可以选择直接或间接的撤销模式.若选择直接模式,则直接规定用户撤销列表R;若选择间接模式,则选择当前时间t.HR-ABE包括两个子系统:直接可撤销的ABE和间接可撤销的ABE.发送方根据所选模式使用相应的子系统.用户密钥与访问结构和唯一标识ID相关.每个用户的密钥由来自每个子系统的密钥组成,能够解密以任何模式构造的密文.直接模式下,接收方用密钥即可解密;间接模式下,授权机构在创建更新的密钥时会规定用户撤销列表R,接收方在时刻t后必须从授权机构获取更新的密钥.若密文属性集满足接收方的密钥访问结构且ID.R,则解密成功.该方法只解决了用户撤销的问题,无法处理用户属性的撤销;而两个子系统的使用,显著增加了用户密钥长度.

　　3.4分析

　　上述关于ABE撤销机制的研究工作,二叉树将密钥更新数量减少为用户的对数级;少数撤销机制无需更新未撤销用户的密钥.对比分析了上述撤销机制.AA(attributeauthority)表示授权机构.对于没有在线方要求的系统,用户通过AA的张贴获取更新信息.对于有在线方要求的系统,用户需与在线方交互获取信息.

　　混合模式下,直接模式的执行者为发送方,间接模式的执行者为AA,撤销速度与执行者相关.目前由发送方执行的撤销机制虽消除了在线约束,实现了即时撤销,但没有解决用户属性的撤销.因而,未来仍需研究无在线交互,达到所有撤销要求,并实现即时撤销的ABE撤销机制.

　　4、责任认定

　　ABE中,防止密钥滥用的难点在于定位盗版密钥的来源,即查清是哪个用户或者授权机构所为.目前,盗版密钥责任认定的方案有:(1)关于CP-ABE机制中的追责性,LRK09将责任定位到用户或授权机构,LRZW09将责任定位到用户,同时实现策略隐藏.(2)关于KP-ABE机制中的追责性,YRLL09将责任定位到用户,且发送方隐藏部分属性.

　　4.1防止密钥滥用的CP-ABE

　　LRK09基于DBDH和CDH假设,提出可追责的CP-ABE(CP-A2BE)机制,解决了CP-ABE中认定用户或授权机构责任性的问题.用户首先通过可信第三方-公钥证书中心注册得到自己的证书公钥,然后向授权机构申请属性私钥.用户的解密密钥包含了与证书公钥对应的私钥,仅用户知道.假设证书中密钥的机密性高于授权机构颁发的属性私钥.用户若共享其解密密钥,会泄露密级更高的证书私钥.盗版密钥追踪算法判断密钥中的证书私钥是否存在相应的有效证书公钥.若存在,说明是持有该证书的用户泄露了其解密密钥;否则,说明是授权机构的不良行为.CP-A2BE假设盗版设备中有格式规范的解密密钥,只能进行白盒追踪;仅支持属性的“与”操作,表达策略的能力有限;另外,公钥证书中心负责为所有用户颁发证书,工作量大,严重影响系统性能.

　　为实现策略隐藏以达到接收方匿名性,LRZW09基于DBDH和D-Linear假设提出可追责的匿名CP-ABE(CP-A3BE)机制,解决了用户的责任认定问题.其核心思想是,将用户标识嵌入属性私钥来阻止用户之间非法共享密钥.加密算法采取与NYO08类似的技术实现策略隐藏,达到接收方匿名的效果,使得追踪加密与普通加密算法对于用户来说是不可分辨的.但是,追踪加密算法产生的密文标识域为可疑用户,只有属性集满足密文策略的可疑用户才能解密该消息,从而确定盗版密钥的产生者.CP-A3BE具有黑盒追踪的特点,即仅观察对某些输入的输出就能追踪盗版设备.该机制支持策略隐藏,保护发送方的隐私,但是显著增加解密密钥和密文的长度,只能表示“与”策略.

　　4.2防止密钥滥用的KP-ABE

　　YRLL09基于DBDH和D-Linear假设提出无滥用KP-ABE(AFKP-ABE)机制,解决了KP-ABE机制中合法用户与他人分享密钥造成的密钥滥用问题.采用根为“与”门的访问树,用户具有唯一标识.标识的每一位都作为属性嵌入到用户私钥中,这些属性称为标识相关属性,其余属性为普通属性.追踪算法将可疑标识对应的标识相关属性与密文关联起来,使得只有可疑标识的用户才能解密追踪密文,从而提供盗版的证据.追踪算法采用与NYO08类似的技术,在加密时隐藏标识相关属性和部分普通属性,使得盗版设备不能探测追踪行为.

　　AFKP-ABE以叛徒追踪系统的定义为基础,是黑盒追踪.

　　4.3分析

　　对比分析了上述3种机制.它们都解决了由用户导致的密钥滥用问题的责任认定.LRK09虽可认定授权机构,但假设盗版设备中的密钥格式规范,缺乏可行性.LRZW09和YRLL09都考虑保护发送方的隐私,但是YRLL09仅隐藏部分属性.只有YRLL09支持属性的与、或、门限操作.因而,还需研究策略灵活的可追责的CP-ABE,以及保护发送方隐私的可追责的KP-ABE.

　　5、多机构ABE

　　多机构ABE系统包含多个属性授权机构(AA)和大量用户.用户向某个AA证明自己具有某些该机构管理的属性,请求相应的解密密钥.每个AA都有一个主密钥.为保证解密的正确运行,所有AA的主密钥之和应为系统的主密钥.但是,如果AA用相同的主密钥为每个用户生成私钥,那么具有足够多属性的用户将能够重构AA的主密钥,不同用户串谋就可恢复出系统主密钥,从而威胁系统安全性.因而,解密正确性和系统安全性之间存在矛盾,这是多机构ABE的研究难点.

　　目前,关于多机构ABE的研究工作都以基本ABE机制为基础,采用用户全局唯一标识(GID)来防止用户串谋.根据是否采用中央授权机构(centralauthority,简称CA)来保证解密的正确运行,目前的研究分为采用CA[43,44]的多机构ABE和无CA[45,46]的多机构ABE两类.

　　5.1采用CA的多机构ABE

　　基于BDH假设,Chase[43]最先采用用户GID,伪随机函数(PRF)和CA解决多机构ABE的研究难点,提出多AA的ABE(MA-ABE)机制.MA-ABE中,系统主密钥为y0.AAk的私钥由种子sk和n个随机数tk,i组成,其中,k∈{1,…,N},i∈{1,…,n}.先用PRF计算yk,u=Fsk(u),u为用户的GID,然后令随机多项式的p(0)=yk,u,颁发用户私钥构件()/,pitkiDki=g.yk,u能够防止不同用户对AAk的串谋攻击.CA的私钥为(y0,{sk}|k=1,…,N),可以根据用户的GID重构AAk计算的yk,u颁发用户私钥部件01,NkkuyyDCAg==.Σ.MA-ABE的加解密思想与SW05[6]一致.DCA帮助用户使用来自多个AA的密钥解密消息,使解密独立于GID.

　　AA独立为用户颁发密钥.CA参与授权,但不知用户属性.系统增加新AA时,CA选择新的系统主密钥和公钥,保存新AA的PRF种子.所有从新AA获取属性私钥的用户必须从CA获取新的DCA,但无需从旧AA获取私钥构件.缺点是CA能够解密用户密文,必须完全可信.另外,用户需要向AA提交GID,使得AA之间能够根据GID恢复用户的完整轮廓,可能危害到用户隐私.而且,用户属性变更会引起GID变更.

　　为解决MA-ABE中CA完全可信的问题,B.zovíc等人基于DBDH假设提出一种将CA视为诚实但好奇的方法:CA诚实地遵守协议,同时好奇地解密密文.CA向每个AA发送消息,通过反馈得到系统公钥,仅在增加新的AA时才为每个用户生成一个私钥,其在初始化阶段的诚实性保证了加密的不可区分性.密钥生成、防止串谋和加解密的思想与C07类似.

　　5.2无CA的多机构ABE

　　为避免使用CA带来的安全脆弱性,Lin等人采用密钥分发(DKG)和联合的零秘密共享(JZSS)技术[47]解决研究挑战,基于DBDH假设提出一种多AA的ABE(thresholdMA-FIBE)机制.Setup算法设置决定系统效率和安全性的常数m,运行2次DKG协议产生系统主密钥a0和b0,并形成a0与b0的一个(t,N)门限秘密共享,a0用于加密,b0用于生成用户私钥.AAk仅具有a0的份额ak,0和b0的份额bk,m+1.运行m次JZSS协议产生系数ak,j(j=1,…,m),形成0的一个(t,N)门限多项式秘密共享.用户随机选择一个GID提交给AAk,由AAk验证GID有效后,用多项式pk(x)=ak,0+ak,1x+…+ak,mxm生成用户私钥,其中,pk(0)=ak,0+ak,1GID+…+ak,mGIDm.Encrypt算法将一串0作为密文后缀,用以检验解密是否有效.根据DKG协议,用户需从至少(t+1)个诚实的AAk获得pk(0)(其中,t≤n/2)才能在解密的最后步骤消去GID,得到a0,使解密独立于GID.该机制最多只能防止m个用户串谋,只要串谋用户数目达到(m+1),加密就不安全.增加新AA时需要重新初始化整个系统,开销巨大.