RO-CP-ABE方案系统

前言

做一篇论文阅读笔记
云存储环境下支持属性撤销的属性基加密方案
RO-CP-ABE: CP-ABE with attribute revocation and outsourced decryption 支持属性撤销和外包解密的属性基加密方案.
特点: 支持属性立即撤销, 并且通过基于CDH假设完成安全性证明.

系统模型

实体角色

属性机构(AA, attribute authority): 完全可信权威机构, 主要负责生成系统公钥和系统主私钥, 管控属性密钥分发.
云服务商(CSP, cloud service provider): 主要是指第三方云存储服务商, 包括DSM(数据服务管理者), 计算服务, 存储服务. 撤销属性需要DSM承担密文更新工作, 解密时CSP承担解密过程部分计算工作. 同时假设CSP是诚实和好奇的(指会按规定完成所有操作, 但想知道密文的内容信息).
数据拥有者(DO, data owner): DO用对称密钥PK加密待上传的数据, 然后加密对称密钥, 通过PK的安全共享完成细粒度访问控制.
数据用户(DU, data user): 属性机构AA为每个数据用户DU生成相应的属性私钥, 用于解密密钥和密文.

形式化定义

符号	含义
$S$	数据用户的属性集合
$(M,\rho )$	数据拥有者定义LSSS访问结构
$m$	明文
$PK,MSK$	系统公钥, 系统主私钥
$DPK,DSK$	DSM公钥, 主私钥
$RK$	数据用户私钥
$SK$	数据用户转换密钥
$KE{K}^{\prime }$	属性群初始密钥
$KEK$	属性群密钥
$\overline{KEK}$	属性撤销后属性群密钥
$C{T}^{\prime }$	中间密文
$CT$	密文
$\bar{C}\bar{T}$	转换密文
$\overline{CT}$	属性撤销后密文
$Hdr$	密文头
$\overline{Hdr}$	属性撤销后密文头

RO-CP-ABE方案五个阶段
(1) 系统初始化:
AAsetup($1^{\lambda }$) → {PK, MSK}
AA输入安全参数$\lambda$, 输出系统公钥PK和系统主私钥MSK.
DSMSetup(PK) → {DPK, DSK}
DSM输入PK, 输出公钥DPK, 主私钥DSK.

(2) 私钥生成:
AAKeyGen(id,PK,DPK,MSK, S) → {RK,SK, KEK’}
AA输入公钥PK, DSM公钥DPK, 主私钥MSK, 属性集合S, 输出用户私钥RK, 转换密钥SK, 属性群初始密钥KEK’.
DSMKeyGen(KEK’ , S) → KEK
DSM输入属性群初始密钥KEK’, 属性集合S, 输出用户属性群密钥KEK.

(3) 数据加密:
Encrypt(PK, (M, $\rho$), m) → CT’
数据拥有者DO输入系统公钥PK , 访问结构(M, $\rho$), 明文m, 输出中间密文CT′.
DSMEncrypt(PK,DSK,CT’) → {Hdr,CT}
DSM输入公钥PK 、DSM公钥DPK, 中间密文CT′, 输出密文头Hdr, 最终密文CT.

(4) 数据解密:
OutDecrypt(PK, Hdr, CT, SK, KEK) → $\bar{C}\bar{T}$
CSP输入公钥PK, 密文头Hdr, 最终密文CT, 用户转换密钥SK, 属性群密钥KEK, 输出转换密文$\bar{C}\bar{T}$.
Decrypt(PK, $\bar{C}\bar{T}$, CT, RK) → m
DU输入公钥PK, 转换密文$\bar{C}\bar{T}$, 最终密文CT, 用户私钥RK, 输出明文m.

(5) 用户属性撤销:
UpKEK(DSK, KEK, $at{t}_x$) → $\overline{KEK}$
DSM输入DSM公钥DSK, 属性群密钥KEK, 被撤销属性$at{t}_x$, 输出新的属性群密钥$\overline{KEK}$.
ReEncryption(Hdr, CT, $at{t}_x$) → {$\overline{Hdr},\overline{CT}$}
DSM输入密文头Hdr, 最终密文CT, 被撤销属性$at{t}_x$, 输出新的密文头$\overline{Hdr}$, 新密文$\overline{CT}$.

算法

(1) 系统初始化
AAsetup($1^{\lambda }$) → {PK, MSK}
生成阶为素数p的循环群$G,G_T$, g是G的生成元, 存在映射e: $G\times G\to G_T$, 随机数$\alpha ,a\in Z_p,h_1,h_2,...,h_n\in G$. 则系统的
主私钥 MSK = $g^{\alpha }$
系统公钥 MPK = $(g,e(g,g{)}^{\alpha },g^a,h_1,h_2,...,h_n)$

DSMSetup(PK) → {DPK, DSK}
$每个属性at{t}_i,选择一个随机数t_i\in Z_p,计算T_i=g^{t_i},(1\le i\le n)$.
DSM公钥 D P K = { T i ∣ 1 ≤ i ≤ n } DPK = \{T_i | 1 \leq i \leq n\} DPK={Ti​∣1≤i≤n}
主私钥 D S K = { t i ∣ 1 ≤ i ≤ n } DSK = \{t_i | 1 \leq i \leq n\} DSK={ti​∣1≤i≤n}

(2) 私钥生成
AAKeyGen(id,PK,DPK,MSK, S) → {RK,SK, KEK’}
随机数$r_{id}\in Z_p$, 然后计算
$K^{\prime }=g^{\alpha +a{r}_{id}}$, 注意是$\alpha +a{r}_{id}$
$L^{\prime }=g^{r_{id}}$
对于$\forall at{t}_i\in S$, 计算
$K_i^{\prime }=h_i^{r_{id}}$
$ke{k}_i^{\prime }=T_i^{r_{id}}$
随机选择用户私钥$RK=\lambda ,(\lambda \in Z_p)$, 计算
$K=(K^{\prime }{)}^{\lambda }$
$L=(L^{\prime }{)}^{\lambda }$
$K_i=(K_i^{\prime }{)}^{\lambda }$
$ke{k}_i=(ke{k}_i^{\prime }{)}^{\lambda }$
转换密钥$SK=(K,L,K_i)=((g^{\alpha +a{r}_{id}}{)}^{\lambda },(g^{r_{id}}{)}^{\lambda },(h_i^{r_{id}}{)}^{\lambda })=(g^{(\alpha +a{r}_{id})\lambda },g^{r_{id}\lambda },h_i^{r_{id}\lambda })$
属性群初始密钥 K E K ′ = { a t t i , k e k i } = { a t t i , ( T i r i d ) λ } = { a t t i , g t i r i d λ } KEK' = \{att_i, kek_i\} = \{att_i, (T_i^{r_{id}})^\lambda\} = \{att_i, g^{t_i r_{id} \lambda}\} KEK′={atti​,keki​}={atti​,(Tirid​​)λ}={atti​,gti​rid​λ}, $at{t}_i\in S$

DSMKeyGen(KEK’ , S) → KEK
对每一个$at{t}_i\in S$, DSM计算${\phi }_i=Path(u_{id})\cap Mincs(G_i)$
若${\phi }_i\ne \varnothing$, 计算$KE{K}_i=(ke{k}_i{)}^{\frac{1}{{\theta }_j}}=g^{\frac{t_i{r}_{id}\lambda }{{\theta }_j}}$, 其中随机值${\theta }_j$是结点$v_j$对应的随机值.
输出属性群密钥 K E K = { a t t i , v j , k e k i , K E K i } , a t t i ∈ S KEK = \{att_i, v_j, kek_i, KEK_i \}, att_i \in S KEK={atti​,vj​,keki​,KEKi​},atti​∈S
(注意这里的$v_j$只有一个, 即$j$是固定值, 这个性质的理解可见这篇文章的阐述, 分别对于每一个$at{t}_i$求KEK; ${\phi }_i=\varnothing$的$at{t}_i$跳过

(3) 数据加密
Encrypt(PK, (M, $\rho$), m) → CT’
选择随机向量$v=(s,y_2,y_3,...,y_n)\in Z_p^n$ 用于共享加密指数s.
计算 ${\lambda }_i=M_{i}v$, $M_i$是$M$的第$i$行分量. 计算每一个 $1\le i\le l$.
$C=me(g,g{)}^{\alpha s}$
$C^{\prime }=g^s$
$C_i=g^{a{\lambda }_i}{h}_{\rho (i)}^{-s},1\le i\le l$
输出中间密文
C T ′ = ( C , C ′ , { C i } ) , 1 ≤ i ≤ l CT' = (C, C', \{C_i\}), 1 \leq i \leq l CT′=(C,C′,{Ci​}),1≤i≤l

DSMEncrypt(PK,DSK,CT’) → {Hdr,CT}
访问结构($M,\rho$)中每一个$at{t}_i$, DSM随机选择$k_i\in Z_p$, 调用$Mincs(G_i)$算法, 加密中间密文$C{T}^{\prime }$得到
最终密文 C T = ( C , C ′ , { C i g k i } ) , 1 ≤ i ≤ l CT = (C, C', \{C_ig^{k_i}\}), 1 \leq i \leq l CT=(C,C′,{Ci​gki​}),1≤i≤l
密文头 H d r = { v j , E ( k i ) = g k i θ j t i } , v j ∈ M i n c s ( G i ) , 1 ≤ i ≤ l Hdr = \{v_j, E(k_i) = g^{\frac{k_i \theta_j}{t_i}}\}, v_j \in Mincs(G_i), 1 \leq i \leq l Hdr={vj​,E(ki​)=gti​ki​θj​​},vj​∈Mincs(Gi​),1≤i≤l
输出$(Hdr,CT)$到CSP进行存储
(注意, 这里的$v_j$是最小覆盖集$Mincs(G_i)$的节点, $\ge 1$个, 对比上面的$v_j$是至多一个
(而且$k_i和at{t}_i$ 是一 一对应的

(4) 数据解密
OutDecrypt(PK, Hdr, CT, SK, KEK) → $\bar{C}\bar{T}$
CSP的解密相当于用户外包部分计算的解密, 实现是通过将最终密文CT解密出来成转换密文$\bar{C}\bar{T}$, 再把最终密文CT和转换密文$\bar{C}\bar{T}$发送给用户做O(1)时间的解密即可得到原明文, 就是让CSP承担大部分计算工作, 用户只需做很小的计算量就能得到明文, 减小用户负担. 一共需要计算三个量T’, T’’, $\bar{C}\bar{T}$. (计算稍微复杂, 把之前的相关表达式都搬过来, 好做对照. 还需要线性秘密共享方案相关概念
$$\begin{gathered} \{\begin{array}{l}L=g^{r_{id}\lambda }\\ C_i=g^{a{\lambda }_i}{h}_{\rho (i)}^{-s}\\ K_i=h_i^{r_{id}\lambda }\\ C^{\prime }=g^s\\ KE{K}_i=(ke{k}_i{)}^{\frac{1}{{\theta }_j}}=g^{\frac{t_i{r}_{id}\lambda }{{\theta }_j}}\\ E(k_i)=g^{\frac{k_i{\theta }_j}{t_i}}\\ K=g^{(\alpha +a{r}_{id})\lambda }\end{array} \\ \begin{array}{rl}{T}^{\prime }& ={\Pi }_{i\in I}(\frac{e(L,C_i{g}^{k_i})e(K_i,C^{\prime })}{e(KE{K}_i,E(k_i))}{)}^{w_i}\\ & ={\Pi }_{i\in I}(\frac{e(g^{r_{id}\lambda },g^{a{\lambda }_i}{h}_{\rho (i)}^{-s}{g}^{k_i})e(h_i^{r_{id}\lambda },g^s)}{e(g^{\frac{t_i{r}_{id}\lambda }{{\theta }_j}},g^{\frac{k_i{\theta }_j}{t_i}})}{)}^{w_i}\\ & ={\Pi }_{i\in I}(\frac{e(g^{r_{id}\lambda },g^{a{\lambda }_i})e(h_i^{r_{id}\lambda },g^{k_i})}{e(g^{r_{id}\lambda },g^{k_i})}{)}^{w_i}\\ & ={\Pi }_{i\in I}(e(g^{r_{id}\lambda },g^{a{\lambda }_i}){)}^{w_i}\\ & =e(g,g{)}^{r_{id}a\lambda s}\end{array} \\ \begin{array}{rl}{T}^{\prime \prime }& =e(K,C^{\prime })=e(g^{(\alpha +a{r}_{id})\lambda },g^s)\\ & =e(g,g{)}^{(\alpha +a{r}_{id})\lambda s}\end{array} \\ \begin{array}{rl}\bar{C}\bar{T}& =\frac{T^{\prime \prime }}{T^{\prime }}\\ & =\frac{e(g,g{)}^{(\alpha +a{r}_{id})\lambda s}}{e(g,g{)}^{r_{id}a\lambda s}}\\ & =e(g,g{)}^{\alpha \lambda s}\end{array} \end{gathered}$$

Decrypt(PK, $\bar{C}\bar{T}$, CT, RK) → m
用户接收转换密文$\bar{C}\bar{T}$, 用 用户私钥 RK = $\lambda$ 解密得到明文
注意: 用户也会接收 最终密文 C T = ( C , C ′ , { C i g k i } ) , 1 ≤ i ≤ l CT = (C, C', \{C_ig^{k_i}\}), 1 \leq i \leq l CT=(C,C′,{Ci​gki​}),1≤i≤l
$$m=\frac{C}{(\bar{C}\bar{T}{)}^{\frac{1}{RK}}}=\frac{me(g,g{)}^{\alpha s}}{(e(g,g{)}^{\alpha \lambda s}{)}^{\frac{1}{\lambda }}}$$

(5) 用户属性撤销
UpKEK(DSK, KEK, $at{t}_x$) → $\overline{KEK}$
DSM公钥 D P K = { T i ∣ 1 ≤ i ≤ n } DPK = \{T_i | 1 \leq i \leq n\} DPK={Ti​∣1≤i≤n}
主私钥 D S K = { t i ∣ 1 ≤ i ≤ n } DSK = \{t_i | 1 \leq i \leq n\} DSK={ti​∣1≤i≤n}
撤销属性$at{t}_x$时, DSM随机选择${\sigma }_x$计算每个属性对应的DPK, DSK中的分量并更新
${\overline{T}}_x=T_x^{{\sigma }_x}$, ${\overline{t}}_x=t_x{\sigma }_x$
得到更新的, DSM公钥$\overline{DPK}$, 主私钥$\overline{DSK}$
同时更新属性群得到${\overline{G}}_x$, 并计算$Mincs({\overline{G}}_x)$.
之后对于每个数据用户$u_k\in {\overline{G}}_x$, 计算${\overline{\phi }}_x=Path(u_k)\cap Mincs({\overline{G}}_x)$,
计算${\overline{kek}}_x=(ke{k}_x{)}^{{\sigma }_x}$, ${\overline{KEK}}_x=({\overline{kek}}_x{)}^{\frac{1}{\overline{{\theta }_{j^{\prime }}}}}=({kek}_x{)}^{\frac{{\sigma }_x}{\overline{{\theta }_{j^{\prime }}}}}$
最后更新属性群密钥KEK
K E K = { a t t x , v j , k e k x , K E K x } ← { a t t x , v ‾ j ′ , k e k ‾ x , K E K ‾ x } KEK = \{att_x, v_j, kek_x, KEK_x\} ← \{att_x, \overline{v}_{j'}, \overline{kek}_x, \overline{KEK}_x\} KEK={attx​,vj​,kekx​,KEKx​}←{attx​,vj′​,kekx​,KEKx​}

ReEncryption(Hdr, CT, $at{t}_x$) → {$\overline{Hdr},\overline{CT}$}
DSM重新选择随机数$s^{\prime },{\overline{k}}_x\in Z_p$
{ C = m e ( g , g ) α s C ′ = g s C i = g a λ i h ρ ( i ) − s , 1 ≤ i ≤ l C T = ( C , C ′ , { C i g k i } ) , 1 ≤ i ≤ l  ⁣ { C ‾ = C e ( g , g ) α s ′ = m e ( g , g ) α ( s + s ′ ) C ′ ‾ = C g s ′ C x ‾ = C x h ρ ( x ) − s ′ g k ‾ x − k x { C i g k i h ρ ( i ) − s ′ } , 1 ≤ i ≤ l , i ≠ x  ⁣ 属 性 撤 销 后 密 文 C T ‾ = { C ‾ , C ′ ‾ , C x ‾ , { C i g k i h ρ ( i ) − s ′ } } , 1 ≤ i ≤ l , i ≠ x \left\{ \begin{array}{l} C = me(g, g)^{\alpha s} \\ C' = g^s \\ C_i = g^{a\lambda_i}h^{-s}_{\rho(i)}, 1 \leq i \leq l \\ CT = (C, C', \{C_ig^{k_i}\}), 1 \leq i \leq l \end{array} \right. \\ \! \\ \left\{ \begin{array}{l} \overline{C} = Ce(g, g)^{\alpha s'} = me(g, g)^{\alpha (s + s')} \\ \overline{C'} = Cg^{s'} \\ \overline{C_x} = C_x h^{-s'}_{\rho(x)} g^{\overline{k}_x - k_x} \\ \{C_i g^{k_i} h^{-s'}_{\rho(i)}\}, 1 \leq i \leq l, i \neq x \end{array} \right. \\ \! \\ 属性撤销后密文\overline{CT} = \{\overline{C}, \overline{C'}, \overline{C_x}, \{C_i g^{k_i} h^{-s'}_{\rho(i)}\} \}, 1 \leq i \leq l, i \neq x ⎩⎪⎪⎨⎪⎪⎧​C=me(g,g)αsC′=gsCi​=gaλi​hρ(i)−s​,1≤i≤lCT=(C,C′,{Ci​gki​}),1≤i≤l​⎩⎪⎪⎪⎨⎪⎪⎪⎧​C=Ce(g,g)αs′=me(g,g)α(s+s′)C′=Cgs′Cx​​=Cx​hρ(x)−s′​gkx​−kx​{Ci​gki​hρ(i)−s′​},1≤i≤l,i​=x​属性撤销后密文CT={C,C′,Cx​​,{Ci​gki​hρ(i)−s′​}},1≤i≤l,i​=x
最后更新密文头
H d r ‾ = { { v ‾ j ′ , E ( k ‾ i ) = g k ‾ i θ ‾ j t ‾ i } , v ‾ j ′ ∈ M i n c s ( G ‾ x ) { v j , E ( k i ) = g k i θ j t i } , v j ∈ M i n c s ( G i ) , 1 ≤ i ≤ l , i ≠ x \overline{Hdr} = \begin{cases} \{\overline{v}_{j'}, E(\overline{k}_i) = g^{\frac{\overline{k}_i \overline{\theta}_j}{\overline{t}_i}}\},\quad \overline{v}_{j'} \in Mincs({\overline{G}_x}) \\[2ex] \{v_j, E(k_i) = g^{\frac{k_i \theta_j}{t_i}}\}, \quad v_{j} \in Mincs(G_i), 1 \leq i \leq l, i \neq x \end{cases} Hdr=⎩⎪⎨⎪⎧​{vj′​,E(ki​)=gti​ki​θj​​},vj′​∈Mincs(Gx​){vj​,E(ki​)=gti​ki​θj​​},vj​∈Mincs(Gi​),1≤i≤l,i​=x​

算法过程比较复杂, 不过可以跟着模拟一遍流程, 然后验证属性撤销后是否依然可以完成从最终密文到转换密文的计算, 发现其实对于 C ‾ x 和 { C i g k i h ρ ( i ) − s ′ } , 1 ≤ i ≤ l , i ≠ x \overline{C}_x 和 \{C_i g^{k_i} h^{-s'}_{\rho(i)}\}, 1 \leq i \leq l, i \neq x Cx​和{Ci​gki​hρ(i)−s′​},1≤i≤l,i​=x, 可以看作是更新后的 { C i g k i } , 1 ≤ i ≤ l \{C_ig^{k_i}\}, 1 \leq i \leq l {Ci​gki​},1≤i≤l, 当作 { C ‾ x } ∪ { C i g k i h ρ ( i ) − s ′ } , 1 ≤ i ≤ l , i ≠ x \{\overline{C}_x \} \cup \{C_i g^{k_i} h^{-s'}_{\rho(i)}\}, 1 \leq i \leq l, i \neq x {Cx​}∪{Ci​gki​hρ(i)−s′​},1≤i≤l,i​=x, 形式上依然是统一的, 所以算法没有问题.

源码实现

先开个坑, 之后论文复现源码会上传到github

(立下了一个很大的flag, 做完本科毕设之后没再继续研究CP-ABE, 最近在忙别的事, 可能得等下学期研究生开学了QAQ, 应该会做吧, 另外CP-ABE目前开源代码稀缺, 很难找到完善的轮子(学术界发论文的人都没有太多开源精神, 我也无奈), 基本得自己写, java下的CP-ABE方案有比较好的开源项目, python目前没找到, 需要借鉴源码的朋友可以看看下面的链接

这是一个云加密算法库
https://github.com/liuweiran900217/CloudCrypto

作者的博客贴在这
https://www.zhihu.com/people/liu-wei-ran-8-34/posts

安全性证明

下一篇文章