云存储给用户带来了极大的便利，但在存储过程中敏感数据的安全性和隐私性保护引起了用户的广泛担忧^[1]，安全已成为云计算普及的重要阻碍.

Shamir首次提出身份基加密的概念，Sahai和Waters^[2]在身份基加密方法的基础上提出了属性基加密机制. 之后，Goyal等^[3]提出了密钥策略属性加密方案，Bethencourt 等^[4]提出了密文策略属性加密方案. 然而，上述两种方案都存在着不足. 采用单一的授权中心机制，用户和授权中心的频繁交互不仅给系统负载能力带来瓶颈，同时增加了潜在的安全隐患，所以，Chase^[5]提出了一种多授权中心的属性基加密方案(multi-authority ABE)，但该方案依赖中央授权中心(CA,central authority)，访问策略受限于“AND”策略，缺少访问的灵活性. Chase和Chow^[6]提出的MA-ABE移除了CA，然而访问策略同样受限于“AND”策略，用户必须从每个授权中心获取至少1个属性，并且不支持用户的即时撤销. Bǒzovíc等^[7]基于DBDH假设提出一种将CA视为诚实但好奇的方案，但仅在增加新授权中心时才为每个用户生成1个私钥. 笔者提出了一种新型的无CA分散的多机构属性基加密(DMA-ABE,decentralizing multi-authority attribute based encryption)方案，并给出了安全性分析.

DMA-ABE算法包括以下几个部分.

1) 系统初始化Setup(1λ)：由属性授权中心(AA,attibute authority)执行，将系统的安全参数1λ作为输入参数. 选取阶为q，生成元为g的双线性群G0，Zq为G0中所有元素的集合，以及双线性映射e:G0×G0→GT. 选择散列函数H:{0,1}*→G0将用户的全局标识符I映射到G0中. 授权中心AAi(i=1,2,…,n)根据自己管理的属性集Ui产生随机数αj,hj∈Zq(j∈Ui)，选择随机数θj∈Zq(j∈Ui)作为属性密钥. 则AAi主密钥Qi={αj,θj,j∈Ui}，公钥为Pi={e(g,g)αj,hj,Γj=gθj,j∈Ui}. AAi的属性授权密钥为Wi={h1/θjj,j∈Ui}.

系统的主密钥为Q={Q_i}_i=1,2,…,n，公钥为P={P_i}_i=1,2,…,n，属性授权密钥为W={W_i}_i=1,2,…,n. 生成的W发送给代理服务器.

2) 密钥生成KeyGen(Q,T,I)：由AA执行，将主密钥Q、用户属性集合T以及用户的全局标识符I作为输入参数. 对于集合T中的属性t∈T由某个AA管理，AA根据自己的主密钥Q计算出属性t对应的私钥组件σ_t=g^α_tH(I)^h_t，$ {{K}_{t}}=h_{t}^{\frac{H\left( I \right)}{{{\theta }_{t}}}} $，则用户的私钥为S_I={σ_t,K_t,g^H(I),t∈T}.

3) 加密Encrypt(M,(R,ρ),P)：由数据拥有者(DO,data owner)执行，将消息M、线性秘密共享方案(LSSS,linear secret sharing schemes)访问结构(R,ρ)、公共参数P作为输入参数. 假设R是一个l×m的矩阵，ρ将R的行映射到访问策略的某个属性. 随机选择s,y₂,…,y_m∈Z_q向量v=(s,y₂,…,y_m)，w=(0,y₂,…,y_m)，令λ_x=R_x·v^T，w_x=R_x·w^T，其中R_x是矩阵R的第x行，对于每个R_x选取随机数r_x∈Z_q，x=1,2,…,l. 计算出密文组件为

C=Me(g,g)^s

C_1,x=e(g,g)^λ_xe(g,g)^α_ρ(x)rx

C2,x=grx,C3,x=ghρ(x)rxgwx,C4,x=gλxh-rxρ(x)

C_5,x=g^θ_ρ(x)r_x,C_6,x=g^λ_xg^w_x

则密文为

Z={(R,ρ),C,{C_1,x,C_2,x,C_3,x,C_4,x,C_5,x,C_6,x}_x=1,…,l}

4) 重加密系统密钥Re KeyGen(Q,γ)：由AA执行，算法的输入参数为主密钥Q以及待更新的属性集γ. 对于任意属性x∈γ，属性所属的AA重新产生随机的属性密钥θ′_x∈Z_q，并且计算Γ′_x=gθ′_x，重加密密钥 $ {{r}_{x\to x'}}=\frac{\theta _{x}^{'}}{{{\theta }_{x}}}. $ 然后将主密钥中的相应组件更新为θ′_x，公钥中的Γ_x更新为Γ′_x. 则新的主密钥为Q′，公钥为P′，重加密密钥为r=r_xx∈γ，其中r发送给代理服务器.

5) 重加密密文Re Enc(y(=ρ(x)),C_5,x,L_y)：由代理服务器执行，算法的输入参数为待更新属性y(=ρ(x))、密文组件C_5,x以及属性y的一个重加密密钥列表L_y. 首先检查属性y的版本号，如果y的版本号为最新，则输出⊥并退出；否则，令θ_y⁽ⁿ⁾为属性y的最新版本的属性密钥，计算r_{y→y⁽ⁿ⁾}=r_{y→y⁽¹⁾}…r_{y^(n－1)→y⁽ⁿ⁾}= $ \frac{{{\theta }_{y\left( n \right)}}}{{{\theta }_{y}}} $. 然后输出重加密密文部件C′_5,x=(C_5,x)^r_y→y(n)=g^θ_y(n)rx.

6) 重加密用户密钥Re Key(w,I,K_w,L_w)：由代理服务器执行，算法的输入参数为用户的全局标识符I、待更新属性w、w的私钥组件K_w以及属性w的重加密密钥列表L_w. 首先检查属性w的版本号，如果w的版本号为最新，则输出⊥并退出；否则，令θ_w⁽ⁿ⁾为属性w的最新版本的属性密钥，计算r_{w→w⁽ⁿ⁾}=r_{w→w⁽¹⁾}…r_{w^(n－1)→w⁽ⁿ⁾}= $ \frac{{{\theta }_{w\left( n \right)}}}{{{\theta }_{w}}}$. 然后输出最新的私钥部件K′_w=K_w^r－1_{w→w⁽ⁿ⁾}= $ h_{w}^{\frac{H\left( I \right)}{{{\theta }_{w}}\left( n \right)}}$.

7) 代理属性授权GrantAttr(v,I,W_v,L_v)：由代理服务器执行，算法的输入参数为属性v、用户的全局标识符I、对应属性的授权密钥W_v以及属性v的重加密密钥列表L_v. 首先检查属性v的版本号，如果v的版本号为最新，则输出⊥并退出；否则，令θ_v⁽ⁿ⁾为属性v的最新版本的属性密钥，计算r_{v→v⁽ⁿ⁾}=r_{v→v⁽¹⁾}…r_{v^(n－1)→v⁽ⁿ⁾}= $ \frac{{{\theta }_{v\left( n \right)}}}{{{\theta }_{v}}}\ $. 然后输出属性v最新的私钥部件K′_v=W_v^H(I)·r－1_{v→v⁽ⁿ⁾}= $ h_{w}^{\frac{H\left( I \right)}{{{\theta }_{w}}\left( n \right)}} $.

8) 解密Decrypt(Z,S_I)：由用户执行，算法的输入参数为用户私钥S_I、密文Z. 假设用户的属性集T满足访问结构，令F={x:ρ(x)∈T}(F⊂{1,2,…,l})，{c_x∈Z_q}_x∈F是一组常数. 如果与R对应的{λ_x}是R中秘密s的有效部分，$ \sum\limits_{x\in F}{{{c}_{x}}{{\lambda }_{x}}=s,\sum\limits_{x\in F}{{{c}_{x}}{{w}_{x}}=0}} $. 解密为

则

由此可得

证明 假设存在敌手能以不可忽略的优势ε按照攻破DMA-ABE算法，则将证明可以以不可忽略的优势ε2解决判定性双线性Diffie-Hellman(DBDH,decisional bilinear diffie-hellman)问题.

定义双线性映射e:G₀×G₀→G₁，G₀是阶为p，生成元为g的乘法循环群. 首先DBDH问题挑战者抛掷一枚公平硬币b，设置元组：

其中a,b,c,d∈Z_p是随机选取的.挑战者随后将元组(g,A,B,C,Z)=(g,g^a,g^b,g^c,Z)发送给模拟器，在下面的DBDH游戏中，模拟器充当了挑战者的角色.

1) 系统初始化：敌手选择一个被挑战的访问策略T^*.

2) 系统建立：模拟器运行 “系统初始化”算法，生成系统主密钥Q^*={α_j,θ_j,j∈U_i}_i=1,…,n和公钥P^*={e(g,g)^α_j,h_j,Γ_j=g^θ_j,j∈U_i}_i=1,…,n，挑战者保留Q^*，并将P^*发送给敌手.

3) 查询阶段1：敌手对属性集合T₁,T₂,…,T_q请求构造私钥，但任意T_i,1≤i≤q都不符合访问策略树T^*，模拟器调用私钥构造方法计算：

并将生成的对应私钥S_i,1≤i≤q发送给敌手.

4) 挑战阶段：敌手选择两个等长度的明文M₀和M₁发送给模拟器，模拟器抛掷一枚公平硬币μ得到结果μ∈{0,1}，并利用访问策略T^*加密M_μ，将密文Z^*发送给敌手.

当b=0时，D=e(g,g)^abc，则Z^*是一个密文，因为C=M_μD=M_μe(g,g)^s. 当b=1时，D=e(g,g)^d，C=M_μD=M_μe(g,g)^d，因为d是随机选择的，与系统无关，所以C是G₀上的一个随机元素，C不包含有关M_μ的信息.

5) 查询阶段2：重复“查询阶段1”的操作.

6) 猜测阶段：敌手输出对μ的猜测.若敌手猜测正确，即μ′=μ，则模拟器输出b′=0，表明模拟器收到是DBDH元组(g,g^a,g^b,g^c,e(g,g)^abc)；否则，模拟器输出b′=1，表明模拟器收到的元组是随机五元组(g,g^a,g^b,g^c,e(g,g)^z).

在上述DBDH游戏中，若b=1，则敌手未收到任何与M_μ相关的信息，所以Pr[μ^′≠u|b=1]=$\frac{1}{2}$. 因为当μ′≠μ时，模拟器猜测b′=1，所以Pr[b′=b|b=1]= $\frac{1}{2}$.

若b=0，则敌手得到密文M_μ，根据定义，敌手有不可忽略的优势ε攻破方案，所以Pr[μ′≡u|b=0]=12+ε. 因为当μ′=μ时，模拟器猜测b′=0，所以Pr[b′=b|b=0]=$\frac{1}{2}$+ε.

所以模拟器在上述DBDH游戏中正确猜测b′=b的优势为

综上可证，如果敌手能以不可忽略的优势ε攻破方案，则存在一种多项式时间算法能以不可忽略的优势 ${\frac{\varepsilon }{2}}$解决DBDH问题.

将提出的电子健康记录共享系统与已有的几个典型方案进行比较，比较结果如表1所示. 由表1可以看出，所提出的方案在安全性方面可以抵抗N-1 AA合谋攻击，安全强度高，并支持任意的LSSS访问结构，同时也支持属性即时撤销.

表1

表1

表1 安全性比较 方案 安全性 用户域 访问策略类型 撤销机制 用户属性授权 文献[8] 单个信任机构 公共域 任何单调的公式 属性即时撤销 AA产生新的私钥 文献[9] 单个信任机构 公共域 基于属性和ID的策略 访问控制列表级别撤销 AA产生新的私钥 文献[10] 抵抗N-1 AA合谋攻击 公共域 任何单调的布尔公式 属性即时撤销 AA产生新的私钥 文献[11] 抵抗N-2 AA合谋攻击，有CA 私有域&公共域 带通配符的合取形式 属性即时撤销 AA产生新的私钥 所提方案 抵抗N-1 AA合谋攻击，无CA 私有域&公共域 任意的LSSS访问结构 属性即时撤销 代理服务器给用户增加属性私钥

表1 安全性比较

所提出的DMA-ABE算法，能够实现多个AA进行密钥管理，不需要CA对AA进行协调，增强了安全性. 该方案能够抵抗N-1 AA合谋攻击，访问策略灵活，支持任意的LSSS访问结构，属性撤销和授权的相关操作交由代理服务器执行，减轻了AA的负担，并且证明了该方案达到选择明文攻击(CPA,chosen plaintext attack)安全.