云存储中可扩展访问策略与节点捕获攻击的研究

# 云存储中可扩展访问策略与节点捕获攻击的研究 ## 1 可扩展属性加密方案的系统模型与基础概念 ### 1.1 系统模型 可扩展属性加密（ABE）方案的系统模型包含以下实体： - **权威机构（Authority）**：在系统中具有全局信任，负责管理公钥（PK）、私钥（SK）和主密钥（MK）。此外，在策略更新期间，它还负责处理中间集 $\{\Delta C'_t\}$ 并生成密文增量 $\{\Delta C_t, \Delta \overline{C}_t\}$。 - **云（Cloud）**：为客户端提供数据存储和访问服务。其另一个重要角色是更新代理，负责策略更新期间的大部分计算。 - **所有者（Owner）**：将密文 CT 上传到云，并在策略更新期间向云生成参数集 $\{\Delta_i, \Theta_i\}$。 - **用户（User）**：访问存储在云中的密文 CT。 以下是系统模型的简单示意： ```mermaid graph LR A[权威机构] -->|管理| C[云] O[所有者] -->|上传密文| C U[用户] -->|访问| C ``` ### 1.2 双线性映射 双线性映射在 ABE 中起着关键作用。假设 $G_0$ 和 $G_T$ 是两个具有素数阶 $p$ 的乘法循环群，$g$ 是 $G_0$ 的生成元。函数 $e: G_0 \times G_0 \to G_T$ 是双线性映射，需满足以下三个条件： 1. **双线性性**：对于任意的 $u, v \in G_0$ 和 $a, b \in Z_p$，有 $e(u^a, v^b) = e(u, v)^{ab}$。 2. **非退化性**：对于任意的 $u, v \neq g^0$，有 $e(u, v) \neq 1$。 3. **可计算性**：$e$ 可以高效计算。 此外，还定义了双线性映射群 $G_0$ 中的一些矩阵和向量运算。设 $g \in G_0$ 和 $M = (m_{i,j})_{m\times n}$，$g^M$ 表示 $G_0$ 中的矩阵，如下所示： \[ g^M = \begin{pmatrix} g^{m_{1,1}} & \cdots & g^{m_{1,n}} \\ \vdots & \ddots & \vdots \\ g^{m_{m,1}} & \cdots & g^{m_{m,n}} \end{pmatrix} \] 假设 $v = (v_1, \cdots, v_n) \in Z^n$ 和 $g = (g_1, \cdots, g_n) \in G_0^n$，定义 $g^v = \prod_{i=1}^{n} g_i^{v_i}$。 ## 2 可扩展 ABE 方案的功能模块 该方案包含五个功能模块：设置（Setup）、密钥生成（KeyGen）、加密（Encrypt）、解密（Decrypt）和更新（Update）。 ### 2.1 设置（Setup） 权威机构生成一个元组 $\{p, G_0, G_T, e\}$ 作为公共参数，其中 $p \in Z$，$G_0$ 和 $G_T$ 是阶为 $p$ 的群，$e: G_0 \times G_0 \to G_T$ 是双线性映射。然后，随机选取 $g_1, g_2 \in G_0$ 和 $\gamma_1, \gamma_2 \in Z_p$，并设置 $\gamma = \gamma_1 \gamma_2$。设 $S = \{A_1, \cdots, A_n\}$ 是权威机构定义的属性集，$s = \{a_1, \cdots, a_n\}$ 是 $S$ 在 $Z_p$ 中的映像集。公钥 PK 和主密钥 MK 计算如下： \[ PK = \{Y = e(g_1, g_2)^w, g_2, P' = g_1, P'' = g_1^{\gamma}, P_r = g_1^{\gamma_1}, P_c = g_1^{\gamma_2}, P_i = g_1^{\gamma a_i}, 1 \leq i \leq n\} \] \[ MK = \{w, \gamma_1, \gamma_2, \gamma, a_i, 1 \leq i \leq n\} \] ### 2.2 密钥生成（KeyGen） 设 $U_s \subset S$ 是用户的属性集。权威机构随机选取 $p_u \in G_0$ 并计算私钥 SK： \[ SK_u = \{D' = g_2^{\omega} p_u^{-\gamma}, D'' = p_u, D_i = p_u^{\gamma a_i}, A_i \in U_s\} \] ### 2.3 加密（Encrypt） 设 $M$ 是明文，$M(T) \in Z_p^{l\times m}$ 是描述访问策略 $T$ 的块 LSSS 矩阵。所有者计算 $C_0 = M Y^s$ 和 $C' = P'^s$，其中 $s \in Z_p$ 是随机选择的。然后，选取向量 $V = (s, v_2, \cdots, v_m)$ 并计算 $C_k = P_{\rho(k)}^{r_k} P''^{s_k}$，$\overline{C}_k = P'^{r_k}$，其中 $s_k = V M(T)_k$ 且 $r_k \in Z_p$。最终，密文为： \[ CT = \{C_0, C', C_k, \overline{C}