一个ABE KP-ABE CP-ABE

CP-ABE和KP-ABE⾸先，要明⽩⼀个概念：访问结构。

访问架构（access structure）:访问结构是安全系统研究的术语，系统的访问结构是指被授权的集合的结构。

CP-ABE(ciphertext policy attribute based encryption，密⽂策略属性基加密系统)：所谓密⽂政策加密系统是指，密⽂对应于⼀个访问结构⽽密钥对应于属性集合，解密当且仅当属性集合中的属性能够满⾜此访问结构。

这种设计⽐较接近于现实中的应⽤场景，可以假象每个⽤户根据⾃⾝条件或者属性从属性机构得到密钥，然后加密者来制定对消息的访问控制。

CP-ABE应⽤图KP-ABE(key policy attribute based encryption，密钥策略属性基加密系统)：所谓密钥政策加密系统是指，密钥对应于⼀个访问控制⽽密⽂对应于⼀个属性集合，解密当且仅当属性集合中的属性能够满⾜此访问结构。

这种设计⽐较接近静态场景，此时密⽂⽤与其相关的属性加密存放在服务器上，当允许⽤户得到某些消息时，就分配⼀个特定的访问结构给⽤户。

KP-ABE应⽤图CP-ABE流程①设置：这是⼀个随机算法，输⼊隐藏的安全参数，输出公开参数PK和⼀个主密钥MK。

②加密：这是⼀个随机算法，输⼊⼀个消息m、⼀个访问结构A、公开参数PK，输出密⽂E。

③密钥⽣成：这是⼀个随机算法，输⼊⼀组属性Y、主密钥MK、公开参数PK，输出⼀个解密密钥D。

④解密算法输⼊：基于访问结构A加密的密⽂E，对应属性组Y的解密密钥D，公开参数PK。

如果Y∈A，输出X消息m。

KP-ABE流程①设置：这是⼀个随机算法，输⼊隐藏的安全参数，输出公开参数PK和⼀个主密钥MK。

②加密：这是⼀个随机算法，输⼊⼀个消息m、⼀组属性Y、公开参数PK，输出密⽂E。

③密钥⽣成：这是⼀个随机算法，输⼊访问结构A、主密钥MK、公开参数PK，输出⼀个解密密钥D。

④解密算法输⼊：基于属性组Y加密的密⽂E，对应访问结构A的解密密钥D，公开参数PK。

158 / CHINA MANAGEMENT INFORMATIONIZATION2016年12月第19卷第24期中国管理信息化China Management InformationizationDec.,2016Vol.19,No.240 引　言基于属性的加密方案（Attribute-Based Encryption，ABE）最早由Sahai 等人于2005年的欧洲密码学年会上提出。

这种加密体制是用属性的集合鉴别和表示用户的身份，相对与原有基于身份的加密体制（Identity-Based Encryption，IBE）而言有着根本的区别：在基于属性的加密方案中将密文和密钥引入访问控制结构。

基于属性的加密方案是基于身份加密方案的扩展和改进，它将基于身份加密方案中关于身份的概念泛化，抽象为属性的集合。

这种属性的集合模式使其能够和访问控制结构有效地结合，由此可以便捷地表示具有相同属性组合的身份类型，从而实现一对多的通信。

这也是基于属性加密所具有的重要优势，而传统基于身份的加密体制仅仅只能够实现一对一的通信，有一定的局限性。

目前，国内外关于ABE 方案的研究主要可以分为3个方向，分别是基于属性的密钥策略加密方案（KP-ABE）、基于属性的密文策略加密方案（CP-ABE）以及两者的混合策略。

在本文中，笔者将重点论述CP-ABE 算法的应用及其研究进展。

CP-ABE 算法最早由Bethencourt 等人于2007年提出。

该方案的主要思想是：将密文策略表示成访问控制树，并且将该访问控制树部署在密文中，这种部署方式恰恰与基于属性的密钥加密策略（KP-ABE）相反。

在CP-ABE 策略中，用户的私钥生成与其所拥有的属性集合相关，只有当用户的属性集合满足密文中的密文策略时，才能够解密得到明文数据。

基于属性的密文策略加密方案实施过程如图1所示。

Setup（过程一）：输入一个隐含的安全参数γ，无需再输入其他参数，输出系统公共参数PK 和系统主密钥MK。

Attribute-Based Encryption (ABE) 是一种公钥加密方案，它允许发送方根据接收方拥有的一系列属性来加密信息。

在ABE中，密文与一组属性相关联，而私钥则与一个访问策略相关联。

只有当私钥中的访问策略匹配密文中的属性时，才能成功解密密文。

ABE分为两种主要类型：
1. 密钥策略ABE (KP-ABE)：在这种类型的ABE中，访问策略与私钥关联，而密文与一组属性关联。

只有当密文中的属性满足私钥中的访问策略时，才能解密密文。

2. 密文策略ABE (CP-ABE)：与KP-ABE相反，在CP-ABE中，访问策略与密文关联，而私钥与一组属性关联。

同样地，只有当私钥中的属性满足密文中的访问策略时，才能解密密文。

ABE的关键步骤包括：
- 系统初始化：生成系统的公共参数和主密钥。

- 密钥生成：根据用户的访问策略生成私钥（KP-ABE）或根据用户的属性生成私钥（CP-ABE）。

- 加密：根据要加密的数据和一组属性生成密文（KP-ABE）或根据要加密的数据和访问策略生成密文（CP-ABE）。

- 解密：如果用户的私钥中的访问策略（或属性）满足密文中的访问策略（或属性），则可以解密密文。

云计算技术_南京邮电大学中国大学mooc课后章节答案期末考试题库2023年1.下列关于云计算的说法错误的是（）。

参考答案:主要基于非虚拟化资源池2.副本删除发生的原因主要包括（）。

参考答案:副本的生命周期结束3.下列典型虚拟化软件不包括（）。

参考答案:Eureka4.下列不属于半虚拟化技术的是（）。

参考答案:AMD-V5.相较于Swarm，Kubernetes的优势包括（）。

参考答案:以上都是6.用户合法获取云服务的第一道关卡是（）。

参考答案:身份认证7.与虚拟机相比，以下关于目前容器的叙述错误的是（）。

参考答案:容器的安全性比虚拟机强8.目前决定副本数量的主要方法不包括（）。

参考答案:随机复制9.在GFS中，客户端可以并行访问多个（），提高了系统的整体性能。

参考答案:数据块服务器10.同一台物理主机上一个虚拟机的崩溃或故障不会影响其他虚拟机，这主要得益于虚拟化技术的（）特征。

参考答案:隔离11.虚拟化技术的研究目的包括（）。

参考答案:以上都是12.Docker可以回滚到当前镜像的前一个版本，可以避免因为完成部分组件的升级而导致对整个环境的破坏，这是Docker的（）功能。

参考答案:版本控制13.分布式文件系统的性能要求主要包括（）。

参考答案:以上都是14.区块链的核心是（），是区块链网络中各个节点达成一致的方法。

参考答案:共识层15.云计算有许多关键技术，其中包含（）。

参考答案:以上都是16.证明云计算系统中的活动符合内部或外部要求的合规性机制是（）。

参考答案:云计算审计17.云计算的体系架构不包括（）。

参考答案:网络调度层18.云计算的产生与发展综合了许多技术，包括（）。

参考答案:以上都是19.存储虚拟化的实现方式包括（）。

参考答案:以上都是20.以下不属于云计算部署模型的是（）。

参考答案:企业云21.云计算的管理中间件层中包含对（）的管理功能。

参考答案:以上都是22.基于区块链的数据完整性验证通过（）计算哈希值并判断其与根哈希值是否一致。

信息安全中属性基加密算法的研究随着大数据时代的到来，信息安全问题愈加突出，各种攻击手段和技术层出不穷。

传统的加密算法在一定程度上无法满足信息安全的需求，因此，在信息安全领域，属性基加密算法的研究备受关注。

属性基加密算法(ABE)是一种基于访问控制的加密技术，与传统加密算法相比，其具有更高的灵活性和安全性。

它将密钥与一组属性联系起来，只有满足某些属性要求的用户才能解密文本。

与传统加密算法相比，ABE 技术具有天然的权限管理能力，能够有效控制数据的访问权限。

基于属性的加密算法主要分为两种类型：基于身份的加密 (Identity-Based Encryption, IBE) 和基于属性的加密(ABE) 。

IBE 算法将用户的身份作为其公钥，而ABE 算法则将用户的属性作为其公钥。

ABE 算法擅长处理一些对用户要求更严格的访问控制需求，比如细粒度访问控制以及多方参与的访问控制。

ABE技术的发展可以追溯到上世纪九十年代。

2005 年，Sahai 和 Waters 提出了一个相对实用的 ABE 方案，被称为 KP-ABE，即基于策略的加密算法（Key-Policy Attribute-Based Encryption）。

KP-ABE 以门限策略为基础，通过选择访问控制策略来控制加密文档。

KP-ABE非常灵活，极大地提高了加密算法的适用性。

KP-ABE 是目前最流行的属性基加密算法，在云计算、物联网、大数据等领域中得到了广泛的应用。

然而，KP-ABE 在实际应用时存在一些问题，如密文扩张和密钥管理等。

因此，研究者提出许多针对 KP-ABE 的改进方案，如基于多关键字搜索的加密算法 (MC-ABE) 和基于组合属性的加密算法（Ciphertext-PolicyAttribute-Based Encryption，CP-ABE ）。

MC-ABE 相对于 KP-ABE 有着更高的灵活性和可扩展性，在应对大规模数据处理时不会出现加密性能降低的情况。

一种素数阶群上构造的自适应安全的多授权机构 CP-ABE 方案李琦;马建峰;熊金波;刘西蒙;马骏【摘要】目前自适应安全的多授权机构基于属性的加密（Attribute-Based Encryption ，ABE）方案都是在合数阶群上构造，针对其计算开销较大的问题，利用对偶配对向量空间技术，在素数阶群上构造了一种支持单调的访问结构且自适应安全的多授权机构密文策略 ABE（Multi-Authority Ciphertext Policy ABE ，MA-CP-ABE）方案。

在标准模型下将该方案的安全性归约到判定性线性假设。

性能分析表明，该方案在达到自适应安全的同时，具有更高的计算效率。

%Previous adaptively secure multi-authority attribute-based encryption (ABE)schemes suffered from superfluous computation overhead on composite order groups .To tackle this problem ,an adaptively secure multi-authority ciphertext-policy ABE (MA-CP-ABE)scheme on prime order groups was proposed when a dual pairing vector space approach was employed .The pro-posed scheme supports any monotone access structure ,and is proven adaptively secure from the decisional linear assumption in the standard model .Performance analysis indicates that our scheme is more efficient while achieving the adaptive security .【期刊名称】《电子学报》【年(卷),期】2014(000)004【总页数】7页(P696-702)【关键词】基于属性的加密;多授权机构;密文策略;自适应安全;素数阶;标准模型【作者】李琦;马建峰;熊金波;刘西蒙;马骏【作者单位】西安电子科技大学计算机学院，陕西西安 710071; 西安电子科技大学陕西省网络与系统安全重点实验室，陕西西安 710071;西安电子科技大学计算机学院，陕西西安710071; 西安电子科技大学陕西省网络与系统安全重点实验室，陕西西安 710071;西安电子科技大学计算机学院，陕西西安 710071; 西安电子科技大学陕西省网络与系统安全重点实验室，陕西西安 710071;西安电子科技大学通信工程学院，陕西西安 710071; 西安电子科技大学陕西省网络与系统安全重点实验室，陕西西安 710071;西安电子科技大学计算机学院，陕西西安 710071; 西安电子科技大学陕西省网络与系统安全重点实验室，陕西西安 710071【正文语种】中文【中图分类】TP3091 引言基于属性的加密[1]最早由Sahai和Waters在2005年欧密会上提出.随后,Goyal等人在2006年CCS会议上提出了第一个密钥策略ABE算法[2],并将ABE算法分为两种类型:密钥策略ABE(Key-Policy ABE,KP-ABE)[2～5]与密文策略ABE(Ciphertext-Policy ABE,CP-ABE)[4～9].KP-ABE指的是密文与属性集合相关联,而密钥与访问控制策略相关联.与此相反,CP-ABE指的是密文与访问控制策略相关联,而密钥与属性集合相关联.Bethencourt等人在2007年S&P会议上提出了第一个CP-ABE算法[6].在上述方案中,系统属性集合由单个授权机构管理.这些方案不能很好处理用户的属性集来源于不同授权机构的情形.针对这种情况,Chase提出了首个多授权机构KP-ABE(Multi-Authority KP-ABE,MA-KP-ABE)方案[10],系统由一个中央授权机构(Central Authority,CA)、多个属性授权机构(Attribute Authority,AA)以及多个用户组成.用户从CA处获得关于身份的密钥,从AA处获得关于属性的密钥.为了阻止多个非授权用户的共谋攻击,系统给每个用户分配一个全局身份标识符(Global IDentifier,GID),每个用户从不同的AA处获得的密钥都与他的GID相关联.进一步地,Chase 和Chow在文献[11]中移除了CA,但是多个AA必须通过合作来建立系统.Müller等人提出了第一个MA-CP-ABE方案[12,13].然而,上述的MA-ABE方案[10～13]都是选择性安全的,也就是说,在安全性证明中,攻击者在游戏之前必须声明它的攻击目标(在安全性游戏中要挑战的属性集合或者访问结构).在文献[14]中,Lewko等人提出了第一个自适应安全的MA-CP-ABE方案.该方案不需要CA,也不需要所有的AA来协同建立系统,因此更适合于实际应用场景.该方案在合数阶群上构造,支持单调的访问结构,并在随机预言机模型下证明是自适应安全的.Liu等人在单个授权机构CP-ABE方案[5]的基础上,构造了一个标准模型下自适应安全的MA-CP-ABE方案[15].该方案同样在合数阶群上构造的.由于合数阶群的困难假设通常基于大整数分解的困难性.在同样安全性的情况下,合数阶群中元素的比特长度要高于素数阶群中元素的比特长度.因而合数阶群上的计算开销要高于素数阶群.由文献[16]可知,在1024比特长的合数阶群上构造的ABE 算法中,双线性配对运算的计算开销大概是对应安全级别170比特素数阶算法的50倍.因此,如何在素数阶群上构造自适应安全的多授权机构ABE方案是一个值得研究的课题.本文利用文献[17]中的对偶正交基技术,结合LCHWY方案[15]的系统模型,提出了一种新的MA-CP-ABE方案,该方案由一个CA,多个AA及多个用户组成.该方案在素数阶群上构造,支持任意单调的LSSS(Linear Secret Sharing Scheme)访问结构,并在标准模型下基于判定性线性假设证明了方案在选择性明文攻击下是自适应安全的.并且本文方案可以抵御至多个AA作弊的攻击.表示方案中AA的总数.与LCHWY方案相比,本文方案在达到自适应安全性的基础上,具有更高的计算效率.2 背景知识2.1 双线性配对定义1[18] 选取G和G1为两个阶为p的群,其中p是一个大素数,g是群G的一个生成元.定义一个可有效计算的双线性映射e:G×G→G1.这个映射必须要满足下面条件:(1)双线性:当e(ua,vb)=e(u,v)ab,对于所有的a,b∈Zp和所有的u,v∈G.(2)非退化性:e(g,g)≠1.注意,e(?,?)是对称操作,即e(ga,gb)=e(g,g)ab=e(gb,ga).2.2 对偶配对空间给定一个n维向量定义gv为群上的一个n元组:gv:=(gv1,gv2,…,gvn).类似地,我们可以定义指数上的乘法与加法.对于任意的有:gav:=(gav1,gav2,…,gavn)gv+w:=(gv1+w1,gv2+w2,…,gvn+wn)用双线性对en来定义向量的双线性对算法.记为:定义2[17] 给定维数n,如果上的两组基:满足:则称(B,B*)是对偶正交的.类似的,给定群G的一个生成元g,对于i≠j,有对于i=j,有我们用表示所有n维对偶正交基的集合.2.3 访问结构定义3[19] 令Λ={P1,P2,…,PT}表示参与方的集合,一个访问结构Φ⊆2{P1,P2,…,PT}被称作是单调的,则有:∀A1,A2,如果A1∈Φ,且A1⊆A2,则有A2∈Φ.访问结构Φ中的集合称作授权集合,不在Φ中的集合称为非授权集合.在ABE系统中,这里的参与方的角色被属性所取代.因此,访问结构将包含授权的属性.2.4 线性秘密共享体制(LSSS)定义4[19] 令Λ={P1,P2,…,PT}表示参与方的集合,Λ上的一个秘密共享方案Π是线性的,如果:(1)每个参与方关于秘密s的份额是Zp上的一个向量.(2)存在Π的一个o行f列的共享生成矩阵A.令ψ为一个从{1,2,…,o}到Λ的映射.即ψ将矩阵A的每一行映射到一个参与方.选择一个随机向量则Av是s关于Π的o个份额.而且第i个份额λi属于参与方ψ(i).文献[19]表明,单调的访问结构与线性秘密共享方案是等价.且任何一个线性秘密共享方案都具有线性重构的性质.令(A,ψ)表示一个访问结构Φ,S为一个授权集合,令集合I={i:ψ(i)∈S},存在常数{ωi∈Zp}i∈I使得:对于非授权集合,这样的常数是不存在的.2.5 系统模型定义5[15] 一个MA-CP-ABE系统由3类实体组成:(1)多个CA;(2)多个AA;(3)用户.令X={1,2,…,Q}表示CA的指标集.令Y={1,2,…,J}表示AA的指标集.给每个用户都分配一个唯一的GID.CA负责分发与用户GID相关的密钥,AA负责分发与用户属性相关的密钥.而且每个AAj管理一个属性域Uj.而且对于所有的i≠j∈Y,有Ui∩Uj=∅.令表示系统的属性域.GlobalSetup(λ)→(E):输入安全参数λ,输出系统全局公开参数E.CASetup(E,k)→(∂k,ρk,φk):输入E与CA的指标k,输出CAk的公开参数∂k与ρk,主密钥φk.ρk只会被AA使用.AASetu p(E,j,Uj)→(Γj,Ηj):输入E,AA的指标j与属性域Uj,输出AAj的公开参数Γj,主密钥Ηj.Encrypt(M,Φ,E,{∂k|k∈X},∪Γj)→(E):输入明文M,访问结构Φ,E,{∂k|k∈X}及与Φ相关的AA的公开参数∪Γj.输出密文E.CAKeyGen(GID,E,φk)→(ΘGID,k,ΥGID,k):每个CAk运行该算法,输入用户GID,E 及φk.输出用户身份私钥ΘGID,k以及用户的属性生成密钥ΥGID,k.ΥGID,k用来协助AA生成用户的属性密钥.AAKeyGen(SGID,j,E,{ΥGID,k|k∈X},{ρk|k∈X},Ηj)→(ΞS,GID,j):每个AAj运行该算法,输入用户与AAj相关的属性集SGID,j,E,{ΥGID,k|k∈X},{ρk|k∈X}及Ηj.首先验证{ΥGID,k|k∈X}的有效性,如果都是有效的,输出用户的属性密钥ΞS,GID,j.否则,输出终止符⊥.Decrypt(E,E,{ΘGID,k|k∈X},{ΥGID,k|k∈X},∪ΞS,GID,j)→(M):输入E,E,{ΘGID,k|k∈X},{ΥGID,k|k∈X},以及用户的属性密钥∪ΞS,GID,j.若用户的属性集合SGID=∪SGID,j满足访问结构Φ,则可以恢复出明文M.否则,输出终止符⊥. 2.6 安全模型定义6[15] 我们通过一个攻击游戏来定义MA-CP-ABE方案的安全性.攻击者A可以在收到公开参数以后指定它所要控制的CA与AA.令Xc⊂X表示A所要控制的CA的指标集.令Yc⊂Y表示A所要控制的AA的指标集.在至多Q-1个CA被A控制的情况下,我们的方案是安全的.不失一般性,我们假设A控制Q-1个CA除了CAk′.Setup:仿真者B运行GlobalSetup,CASetup与AASetup来生成公开参数,并将其发送给攻击者A.A指定一个不受其控制的CAk′,同时指定它想要控制的AA的指标集Yc.B将受A控制的CA与AA的主密钥也发送给A.Phase1:A可以通过以下的步骤来查询不受其控制的CA与AA颁发的密钥.注意:应当由受其控制的CA与AA产生的密钥可以由A自己生成.CKQ(GID,k′):A向CAk′询问关于用户GID的密钥,B将ΘGID,k′与ΥGID,k′返回给A.AKQ(SGID,j,{ΥGID,k|k∈X},j):A向AAj询问关于用户属性集SGID,j的密钥,其中j∈Y\Yc,B将ΞS,GID,j返回给A.Challenge:A提交两条同样长度的明文M0,M1及一个挑战访问结构Φ.B随机选择一个条明文Mb用Φ加密后返回给A.Phase2:与Phase1类似,A可以查询密钥,但是A不能查询满足下述条件的属性集合SGID,j:(∪j∈\cSGID,j)∪(∪j∈cUj)满足挑战访问结构Φ.Guess:A输出对b的猜测b′.攻击者A的优势定义为|Pr[b=b′]-1/2|.定义7 一个MA-CP-ABE方案是安全的,当且仅当对于上述的攻击游戏,任何多项式时间的攻击者的优势是可以忽略的.如文献[14,15]中的假设一样,我们假设访问结构中每个属性至多只能出现一次,并且针对一个GID,最多只能查询一次密钥.2.7 困难性假设定义8[17] 给定一个群生成算法I及2个正整数n和k,其中n≥并定义如下分布: G,Zp,R1:=gμ1b1+μ2bk+1+μ3b2k+1,R2:=gμ1b2+μ2bk+2+μ3b2k+2,…,Rk:=gμ1bk+μ2b2k+μ3b3k,定义敌手打破子空间假设的优势为:Adv=|Pr[A(D,V1,…,Vk)=1]-Pr[A(D,W1,…,Wk)=1]|如果对于任意的多项式时间算法(敌手A),该优势是可以忽略的,则该假设成立.根据文献[17],子空间假设可以归约到判定线性假设.3 素数阶群上的MA-CP-ABE方案文献[15]表明,如果令K=1,即只有一个CA,则该CA可以解密所有的密文,因此Liu 等人引入了多个CA的概念,来阻止CA解密密文.然而,方案的自适应安全性与CA 的个数是无关的[15].因此,本文中我们给出一个单个CA与多个AA的方案,该方案在标准模型下同样是自适应安全的.多个CA与多个AA的方案可以利用文献[15]中的方法类似得到.GlobalSetup(λ)→(E):给定一个安全参数λ并调用群生成算法I,得到(p,G,G1,e).设置n=5,并从得到对偶正交基(F,F*),令F=(d1,d2,d3,d4,d5)及同时,选择一个在自适应选择消息攻击下具有存在不可伪造性的(existentially UnForgeable under adaptive Chosen Message Attacks,UF-CMA)签名方案∑sign(=Keygen,Sign,Verify).全局公开参数E=(p,g,gd1,gd2,gd3,∑sign). CASetup(E)→(∂,ρ,φ):CA调用∑sign中的Keygen算法得到一对签名验证密钥(Signkey,Verifykey).Zp,令AASetup(E,j,Uj)→(Γj,Ηj):对于每一个属性i∈Uj,AAj选取ti,j∈Zp.令Γj=((gti,jd2,gti,jd3)∀i).令Ηj=(ti,j∀i).Encrypt(M,Φ,E,∂,∪Γj)→(E):令访问结构Φ为(A,ψ),其中A为o行f列的矩阵.随机选择s1,s2,s3∈Zp及2个向量与计算:对于访问控制矩阵A的每一行x,选择2个随机数rx,2,rx,3∈Zp,并计算:Cx=gAxvad2gAxuad3g-rx,2tρ(x)d2g-rx,3tρ(x)d3,Dx=grx,2d2grx,3d3. CAKeyGen(GID,E,φ)→(ΘGID,ΥGID):当一个用户提交他的GID来请求密钥时,CA 选择2个随机数m2,m3∈Zp,计算:然后用Signkey对(Signkey,GID‖L)签名,得到σGID.令ΥGID=(GID,L,σGID). AAKeyGen(SGID,j,E,ΥGID,ρ,Ηj)→(ΞS,GID,j):AAj首先用ρ对签名验证,如果签名是无效的,则输出⊥.否则,对于每个一个属性i∈SGID,j⊆Uj,计算:Decrypt(E,E,ΘGID,ΥGID,∪ΞS,GID,j)→(M):若用户的属性集合SGID=∪SGID,j不满足访问结构Φ,输出⊥.否则,对于集合I={x:ρ(x)∈SGID},存在常数{ωx∈Zp}x∈I,使得:计算:及M=C/N正确性:h1=e(Cx,L)4 安全性证明定理1 若子空间困难假设成立,并且签名方案∑s ign是UF-CMA安全的,则我们的MA-CP-ABE方案是安全的.本节的下述部分给出定理1的详细证明,以文献[20]提出的双重系统加密的证明技术为基础,证明了本方案的安全性.首先定义半功能密文及半功能密钥;半功能密文及半功能密钥只在攻击游戏中用到.然后基于半功能密文与半功能密钥构造一系列攻击游戏.最后,基于子空间困难假设,证明真实的攻击游戏与这些攻击游戏是不可区分的.进而证明攻击者在真实游戏中的攻击优势也是可以忽略.半功能密文:随机选择s4,s5∈Zp,计算:随机选择两个向量对于每个属性i∈Uj,选择一个随机数zi,j∈Zp.对于访问控制矩阵A的每一行x,选择2个随机数rx,4,rx,5∈Zp,计算:其中C0,Cx与Dx表示真实方案里的正常密文.半功能密钥:半功能密钥具有两种表现形式:类型一:Zp,计算:对于每一个属性i∈SGID,j,计算:类型二:L与Ki,j是正常的密钥(可以认为是令m6=m7=0).半功能密钥可以解密正常的密文,正常的密钥可以解密半功能密文.但是,当用半功能密钥解密半功能密文的时候,就会多出一个多余的项:当m5s5-m7c1=m5s5-m7c1=0时,半功能密钥也可以解密半功能密文,我们称这样的密钥是象征性的.我们利用文献[20]的证明方式,通过一系列两两不可区分的攻击游戏来证明系统的安全性.令q表示攻击者可以进行密钥查询的最大次数.令1≤l≤q.攻击游戏具体定义如下:Ωreal:该游戏是一个如第二节定义的真实游戏,即挑战密文与密钥都是正常的.(以下证明中挑战密文简称密文)Ω0:在该游戏中,密文是半功能的,密钥是正常的.Ωl,1:在该游戏中,密文是半功能的,前l-1个密钥是第二类半功能密钥,第l个密钥是第一类半功能密钥,剩下的密钥是正常的.Ωl,2:在该游戏中,密文是半功能的,前l个密钥是第二类半功能密钥,剩下的密钥是正常的.Ωq,2:在该游戏中,密文是半功能的,所有的密钥都是第二类半功能密钥.ΩFinal:在该游戏中,所有的密钥都是第二类半功能密钥,而密文要么是Mb加密后的半功能密文,要么是一个随机的消息.攻击者的优势为0.令子空间假设中k=1,n=5.仿真者B从假设得到及T.B的任务是区分还是不失一般性,我们假设A可以控制所有的AA除了AAj′.Lemma1:若存在一个多项式时间的攻击者A,能够以不可忽略的优势ε区分Ωreal 与Ω0.那么我们就可以构造一个多项式时间算法B以优势ε攻破子空间假设.证明仿真者B将与攻击者A模拟Ωreal或者Ω0.首先,定义F,F*如下:B选择参数Zp并令θ=θ′η,φ=φ′β.计算同样,可以计算gd1,gd2,gd3,gad2,gad3;及φ,Η等.尽管仿真者不能计算出但是并不会在计算正常的密钥时用到.所以并不会影响Ωreal或者Ω0.最后B将这些公开参数发给A.对于j∈Yc,B将相应的Η发给A.对于A的密钥询问请求.B可以利用正常的密钥生成算法回应以正常的密钥.挑战阶段:A提交两个消息M0,M1及一个访问结构Φ.B随机选择一个比特令s2=τ1,s3=τ2并加密Mb如下:对于访问控制矩阵A的每一行x,选择一个随机数并计算:注意到如果T=V1,该密文就是一个正常的密文.B与A进行的是Ωreal.如果T=W1,该密文就是一个半功能密文,因为和中均含有与A进行的是Ω0.因此,如果A能够以不可忽略的优势区分Ωreal与Ω0.那么B就可以以不可忽略的优势区分V1与W1.Lemma2:若存在一个多项式时间的攻击者A,能够以不可忽略的优势ε区分Ωl,1与Ωl-1,2.那么我们就可以构造一个多项式时间算法B以优势ε攻破子空间假设.证明仿真者B将与攻击者A模拟Ωl-1,2或者Ωl,1.首先,定义F,F*如下:B选择参数Zp,并令θ=η,φ=β.计算同样地,可以计算公开参数以及φ,Η等.最后B 将公开参数发给A.对于j∈Yc,B将相应的Η发给A.对于A前l-1次的密钥查询请求.B将回应以第二类的半功能密钥.具体过程如下:Zp,计算:B计算ΥGID,并将其发送给A.对于每个一个属性i∈SGID,j′,计算:对于A第l次的密钥查询请求.B将回应以第一类的半功能密钥.具体过程如下:令m2=τ1,m3=τ2,计算:B计算ΥGID,并将其发送给A.对于每个一个属性i∈SGID,j′,计算:Ki,j′=Tti,j′.对于>l次的密钥查询请求.B将回应以正常的密钥.挑战密文:随机选择1个向量Zp令s2=μ1,s3=μ2,s4=μ3.并加密Mb如下:对于访问控制矩阵的每一行x,选择一个随机向量个随机数并计算:如果T=V1,第l次的密钥就是一个正常的密钥.B与A进行的是Ωl-1,2.如果T=W1,第l次的密钥就是一个第一类的半功能密钥,因为K,L和Ki,j′中均含有与A进行的是Ωl,1.因此,如果A能够以不可忽略的优势区分Ωl-1,2与Ωl,1.那么B就可以以不可忽略的优势区分V1与W1.Lemma3:若存在一个多项式时间的攻击者A,能够以不可忽略的优势ε区分Ωl,1与Ωl,2.那么我们就可以构造一个多项式时间算法B以优势ε攻破子空间假设.证明仿真者B将与攻击者A模拟Ωl,1或者Ωl,2.与在Lemma2的证明中一样.B设置公开参数,φ与Η.最后B将公开参数以及受A 控制AA的主密钥发给A.针对A的前l-1次与>l次的密钥查询请求,B表现与在Lemma2的证明中一样. 针对A的第l次密钥查询请求,B选择2个随机数m4,m5∈Zp,令L=T,Ki,j′=Tti,j′.如果T=V1,第l次的密钥就是一个第二类的半功能密钥.B与A进行的是Ωl,2.如果T=W1,第l次的密钥就是一个第一类的半功能密钥.B与A进行的是Ωl,1.因此,如果A能够以不可忽略的优势区分Ωl,2与Ωl,1.那么B就可以以不可忽略的优势区分V1与W1.Lemma4:若存在一个多项式时间的攻击者A,能够以不可忽略的优势ε区分Ωq,2与ΩFinal.那么我们就可以构造一个多项式时间算法B以优势ε攻破子空间假设. 证明仿真者B将与攻击者A模拟Ωq,2或者ΩFinal.首先,定义F,F*如下:令Zp.计算:同样地,B设置公开参数,φ与Η.最后B将公开参数以及受A控制AA的主密钥发给A.B计算:B计算ΥGID,并将其发送给A.对于每个一个属性i∈SGID,j′,计算:选择s1,s2,s3,计算:对于访问控制矩阵的每一行x,选择3个随机数并计算:如果T=V1,该密文就是一个半功能的密文.B与A进行的是Ωq,2.如果T=W1,该密文就是一个随机消息加密后的密文,因为T中含有与A进行的是ΩFinal.因此,如果A能够以不可忽略的优势区分Ωq,2与ΩFinal.那么B就可以以不可忽略的优势区分V1与W1.至此,定理1证毕.5 性能分析在本文的方案之前,在文献[14,15]中还有两个自适应安全的MA-CP-ABE方案,即LW方案[14]与LCHWY方案[15].表1对这3个方案就解密时双线性配对运算的次数、解密计算开销以及是否在合数阶群上构造三个方面进行了比较.其中解密计算开销按照解密时需要进行的双线性配对运算次数进行比较.令I表示解密时所用的属性集合.令t表示素数阶群上一次配对计算需要的时间.根据文献[16]的分析,在80比特AES安全性上,1024比特合数阶群上的双线性对运算开销大概是170比特素数阶群上的50倍.如表1所示,即使本文使用了5倍于LW方案与LCHWY方案中的双线性配对次数,总的解密计算开销依然只是这两个方案的1/10.因此,本文的解密计算要比LW方案与LCHWY方案更有效率.表1 性能比较方案解密配对次数解密计算开销(80-bit)合数/素数LW方案[14]2|I|100|I|·t合数LCHWY方案[15]2|I|+1100|I|·t+50t合数本文方案10|I|+510|I|·t+5t素数6 总结本文针对合数阶上构造的自适应安全MA-CP-ABE算法存在计算开销过大的问题,提出了一种素数阶群上自适应安全的MA-CP-ABE方案.该方案以对偶正交基技术为基础构造,并支持单调的访问结构.将方案的安全性归约到子空间假设.利用Waters等人提出的攻击游戏两两不可区分的证明技术对方案进行安全性证明.性能分析表明,我们的方案在达到自适应安全的基础上,降低了方案中的计算开销.参考文献【相关文献】[1]SAHAI A,WATERS B.Fuzzy identity-based encryption[A].EUROCRYPT2005[C].Berlin:Springer,2005.457-473.[2]GOYAL V,PANDEY O,SAHAI A,et al.Attribute-based encryption for fine-grained access control of encrypted data[A].CCS2006[C].Alexandria,Virginia:ACM,2006.89-98.[3]OSTROVSKY R,SAHAI A,WATERS B.Attribute-based encryption with non-monotonic access structures[A].CCS2007[C].Alexandria,Virginia:ACM,2007.195-203.[4]OKAMOTO T,TAKASHIMA K.Fully secure functional encryption with general relations from the decisional linear assumption[A].CRYPTO 2010[C].Berlin:Springer,2010.191-208.[5]LEWKO A,OKAMOTO T,SAHAI A,et al.Fully secure functional encryption:Attribute-based encryption and(hierarchical)inner product encryption[A].EUROCRYPT2010[C].Berlin:Springer,2010.62-91.[6]BETHENCOURT J,SAHAI A,WATERS B.Ciphertext-policy attribute-basedencryption[A].IEEE Symposium on Security and Privacy 2007[C].Berkeley,CA:IEEE,2007.321-334.[7]CHEUNG L,NEWPORT C.Provably secure ciphertext policyABE[A].CCS2007[C].Alexandria,Virginia:ACM,2007.456-465.[8]GOYAL V,JAIN A,PANDEY O,et al.Bounded ciphertext policy attribute based encryption[A].ICALP 2008[C].Berlin:Springer,2008.579-591.[9]WATERS B.Ciphertext-policy attribute-based encryption:An expressive,efficient,and provably secure realization[A].PKC 2011[C].Berlin:Springer,2011.53-70.[10]CHASE M.Multi-authority attribute based encryption[A].TCC 2007[C].Berlin:Springer,2007.515-534.[11]CHASE M,CHOW S S M.Improving privacy and security in multi-authority attribute-based encryption[A].CCS2009[C].Chicago,Illinois:ACM,2009.121-130.[12]MüLLER S,KATZENBEISSER S,ECKERT C.Distributed attribute-based encryption[A].ICISC 2008[C].Berlin:Springer,2009.20-36.[13]MüLLER S,KATZENBEISSER S,ECKERT C.On multi-authority ciphertext-policy attribute-based encryption[J].Bulletin of the Korean Mathematical Society,2009,46(4):803-819. [14]LEWKO A,WATERS B.Decentralizing attribute-based encryption[A].EUROCRYPT2011[C].Berlin:Springer,2011.568-588.[15]LIU Z,CAO Z,HUANG Q,et al.Fully secure multi-authority ciphertext-policy attribute-based encryption without random oracles[A].ESORICS 2011[C].Berlin:Springer,2011.278-297.[16]FREEMAN D M.Converting pairing-based cryptosystems from composite-order groups to prime-order groups[A].EUROCRYPT 2010[C].Berlin:Springer,2010.44-61. [17]LEWKO A.Tools for simulating features of composite order bilinear groups in the prime order setting[A].EUROCRYPT 2012[C].Berlin:Springer,2012.318-335.[18]BONEH D,FRANKLIN M.Identity-based encryption from the Weil pairing[A].CRYPTO 2001[C].Berlin:Springer,2001.213-229.[19]BEIMEL A.Secure Schemes for Secret Sharing and Key Distribution[D].Haifa,Israel:Israel Institute of Technology,Technion,1996.[20]WATERS B.Dual system encryption:Realizing fully secure IBE and HIBE under simple assumptions[A].CRYPTO 2009[C].Berlin:Springer,2009.619-636.。

软件学报ISSN 1000-9825, CODEN RUXUEW E-mail: jos@Journal of Software,2011,22(6):1299−1315 [doi: 10.3724/SP.J.1001.2011.03993] +86-10-62562563 ©中国科学院软件研究所版权所有. Tel/Fax:∗属性基加密机制苏金树, 曹丹+, 王小峰, 孙一品, 胡乔林(国防科学技术大学计算机学院,湖南长沙 410073)Attribute-Based Encryption SchemesSU Jin-Shu, CAO Dan+, WANG Xiao-Feng, SUN Yi-Pin, HU Qiao-Lin(School of Computer, National University of Defense Technology, Changsha 410073, China)+ Corresponding author: E-mail: luckycaodan@Su JS, Cao D, Wang XF, Sun YP, Hu QL. Attribute-Based encryption schemes. Journal of Software,2011,22(6):1299−1315. /1000-9825/3993.htmAbstract: Attribute-Based encryption (ABE) scheme takes attributes as the public key and associates theciphertext and user’s secret key with attributes, so that it can support expressive access control policies. Thisdramatically reduces the cost of network bandwidth and sending node’s operation in fine-grained access control ofdata sharing. Therefore, ABE has a broad prospect of application in the area of fine-grained access control. Afteranalyzing the basic ABE system and its two variants, Key-Policy ABE (KP-ABE) and Ciphertext-Policy ABE(CP-ABE), this study elaborates the research problems relating to ABE systems, including access structure designfor CP-ABE, attribute key revocation, key abuse and multi-authorities ABE with an extensive comparison of theirfunctionality and performance. Finally, this study discusses the need-to-be solved problems and main researchdirections in ABE.Key words: ABE; access control policy; revocation; key abuse; multi-authorities摘要: 由于属性基加密(attribute-based encryption,简称ABE)机制以属性为公钥,将密文和用户私钥与属性关联,能够灵活地表示访问控制策略,从而极大地降低了数据共享细粒度访问控制带来的网络带宽和发送结点的处理开销.因此,ABE在细粒度访问控制领域具有广阔的应用前景.在对基本ABE机制及其两种扩展:密钥-策略ABE(KP-ABE)和密文-策略ABE(CP-ABE)进行深入研究、分析后,针对ABE中的CP-ABE机制访问结构的设计、属性密钥撤销、ABE的密钥滥用、多授权机构等难点问题进行了深入探讨和综合分析,对比了现有研究工作的功能及开销.最后讨论了ABE未来需进一步研究的问题和主要研究方向.关键词: ABE;访问控制策略;密钥撤销;密钥滥用;多机构中图法分类号: TP393文献标识码: A随着互联网和分布式计算技术的发展,在分布开放的计算环境中进行数据共享和处理的需求越来越多.资源提供方需要制定灵活可扩展的访问控制策略,从而控制数据的共享范围,也需要在与用户的通信过程中保证∗基金项目: 国家高技术研究发展计划(863)(2009AA01A403-2); 国家重点基础研究发展计划(973)(2009CB320503)收稿时间: 2010-08-25; 定稿时间: 2011-01-31CNKI网络优先出版: 2011-03-07 17:14, /kcms/detail/11.2560.TP.20110307.1714.000.html1300 Journal of Software软件学报 V ol.22, No.6, June 2011数据的机密性.大规模分布式应用也迫切需要支持一对多的通信模式,从而降低为每个用户加密数据带来的巨大开销.传统的基于公钥基础设施(public key infrastructure,简称PKI)的加密机制能够保护数据机密性,但是存在3个重大缺陷:一是资源提供方必须获取用户的真实公钥证书,否则无法加密;二是资源提供方需要用接收群体中每个用户的公钥加密消息,并将密文分别发送给相应的用户,导致处理开销大和占用带宽多的问题;三是广播加密[1−3]技术虽然部分解决了效率问题,却要求资源提供方在加密前获取用户列表,这会产生另外两个次生问题:分布式难以一次获取接收群体的规模与成员身份;分布式应用列举用户身份会损害用户隐私.为了解决第1个重大缺陷,Shamir[4]和Boneh等人[5]提出并实现了基于双线性对技术的身份基加密(identity-based encryption,简称IBE)机制,直接使用用户的身份作为公钥,使得资源提供方无需在线查询用户的公钥证书.Sahai和Waters[6]在IBE技术的基础上提出属性基加密(attribute-based encryption,简称ABE)机制,实现基于属性的加解密,能够进一步解决第2个和第3个重大缺陷.ABE机制具有以下4个特点:一是资源提供方仅需根据属性加密消息,无需关注群体中成员的数量和身份,降低了数据加密开销并保护了用户隐私;二是只有符合密文属性要求的群体成员才能解密消息,从而保证数据机密性;三是ABE机制中用户密钥与随机多项式或随机数相关,不同用户的密钥无法联合,防止了用户的串谋攻击;四是ABE机制支持基于属性的灵活访问控制策略,可以实现属性的与、或、非和门限操作.ABE机制的高效性、抗串谋性和策略表示灵活性使得它在细粒度访问控制[7−9](审计日志、付费电视系统等)、定向广播[7]、组密钥管理[10,11]、隐私保护[8,12,13]等领域具有良好的应用前景.最初提出的基本ABE机制[6]仅能支持门限访问控制策略.为了表示更灵活的访问控制策略,学者们进一步提出密钥-策略ABE(KP-ABE)[7]和密文-策略ABE(CP-ABE)[14]两类ABE机制.ABE机制的复杂性导致其本身仍存在一些需要解决的重要问题:(1) CP-ABE机制中的策略由消息发送方制定,使得系统公钥设计的复杂性与策略复杂性相关,限制了访问结构的设计;(2) ABE机制中用户密钥与属性相关,属性的动态性增加了密钥撤销的开销和难度;(3) ABE机制中用户私钥由授权机构产生,且用户私钥与用户的隐私信息(如ID)无关,造成了授权机构和用户都可能泄露用户私钥,无法分清密钥泄露的责任;(4) 多机构ABE能够分担授权机构的责任,也满足分布式应用的多机构协作的需求,对ABE的设计也提出了挑战.针对以上提到的4个问题,ABE机制已成为近年来学者们研究的热点,并在密码和安全协议领域的期刊和学术会议上发布了不少好的研究成果.本文对当前研究成果进行归纳分析和总结,第1节给出本文符号和术语定义,详细阐述基本ABE,KP-ABE 和CP-ABE,并指出ABE中的难点问题.针对这些难点问题,第2节分析比较CP-ABE访问结构设计的与门、树和线性秘密共享机制(linear secret sharing scheme,简称LSSS)矩阵技术.第3节阐述ABE的3种属性撤销机制,即间接撤销、直接撤销以及混合撤销模式的主要算法.第4节对比分析防止密钥滥用的CP-ABE和KP-ABE技术.第5节分别介绍多机构ABE中采用与不采用中央授权机构的系统结构.最后进行总结,并指出ABE的未来可能研究方向.1 ABE机制ABE属于公钥加密机制,其面向的解密对象是一个群体,而不是单个用户.实现这个特点的关键是引入了属性概念.属性是描述用户的信息要素,例如:校园网中的学生具有院系、学生类别、年级、专业等属性;教师具有院系、职称、教龄等属性.群体就是指具有某些属性值组合的用户集合.例如,计算机学院本科生就是指院系属性值为计算机学院、学生类别属性值为本科生的一个群体.ABE使用群体的属性组合作为群体的公钥,所有用户向群体发送数据使用相同公钥.上例中,{计算机学院,本科生}作为向计算机学院本科生发送密文的公钥.而私钥由属性授权机构根据用户属性计算并分配给个体. 1.1 术语定义本文用到的符号见表1.ABE机制通过访问结构表示策略,以双线性对为技术基础,并基于各种数学难题和假设构建安全性.下面分别给出本文基本概念的形式化定义.苏金树 等:属性基加密机制1301定义1(访问结构[15]). 假定{P 1,P 2,…,P n }是参与方的集合,12{,,...,}2n P P P P =.访问结构A 是{P 1,P 2,…,P n }的非空子集,即A ⊆P \{∅}.若访问结构A 是单调的,则∀B ,C ,若B ∈A 且B ⊆C ,那么C ∈A .定义2(双线性对[5]). 映射e :G 1×G 1→G 2若满足下列特征就是双线性对:(1) 双线性:∀a ,bq ∀f ,h ∈G 1,都有e (f a ,h b )=e (f ,h )ab ,称映射e :G 1×G 1→G 2是双线性的;(2) 非退化性:∃f ∈G 1,使e (f ,f )≠1;(3) 可计算的:∀f ,h ∈G 1,存在一个有效的算法计算e (f ,h ).注意:e (*,*)是对称操作,即e (f a ,h b )=e (f ,h )ab a ).定义3(计算Diffie -Hellman (CDH )问题[16]). 随机选择*,q a b Z ∈(g ,g a ,g b ),计算g ab .定义4(判定双线性Diffie -Hellman (DBDH )问题[16]). 随机选择*2,,,q a b c Z R G ∈∈,给定元组(g ,g a ,g b ,g c ,R ),判断等式e (g ,g )abc =R 是否成立.定义5(判定线性(D -Linear )问题[17]). 随机选择阶为q 的群G 的生成元g ,f ,v ,随机选择指数a ,b ∈Z q ,R ∈G ,给定元组(g ,f ,v ,g a ,f b ,R ),判断等式v a +b =R 是否成立.定义6(选择密文攻击(IND -CCA )游戏[16]). 敌手和受挑战者进行如下交互:(1) 受挑战者对加密方案进行系统建立,输出公私钥对,并将公钥交给敌手;(2) 敌手可以向受挑战者进行一些解密询问,受挑战者解密密文,返回结果给敌手;(3) 敌手选择两个明文M 0,M 1,然后发送给受挑战者.受挑战者投掷一个公平硬币b ∈{0,1},对明文M b 加密,得到密文C *并发送给敌手;(4) 敌手可以继续向受挑战者进行一些同步骤(2)中的解密询问,但询问密文不能为C *;(5) 最后,受挑战者必须回答0或者1(记为b ′),作为对密文C *的猜测.若b ′=b ,则敌手在该游戏中获胜.敌手在游戏中的优势定义为Pr[b ′=b ]−1/2.若在上面的交互中,敌手不能进行任何解密询问,则此游戏称为选择明文攻击(IND-CPA)游戏.对于一个加密方案,如果任意概率多项式时间(PPT)的敌手在上述游戏中的优势是可忽略的,则称该加密方案是IND-CCA 安全,简称CCA 安全.对应选择明文攻击游戏,称为IND-CPA 安全,简称CPA 安全.CPA 安全是公钥加密机制的最基本要求,CCA 安全是公钥加密机制更强的安全性要求.目前所提出的ABE 方案基本上都是CPA 安全,但很多达不到CCA 安全.Table 1 Notations表1 符号说明1.2 ABE 基本机制ABE 访问控制系统的参与实体包括授权机构和用户.授权机构监管属性并为用户颁发属性密钥;用户分为消息发送方和接收方.Sahai 和Waters [6]提出基本ABE(fuzzy IBE),系统中的每个属性用散列函数映射到*q Z 中,密文和用户密钥都与属性相关.该机制支持基于属性的门限策略,即只有用户属性集与密文属性集相交的元素数量达到系统规定的门限参数时才能解密.例如,图书馆中某论文的属性集为{计算机,安全,英文,博士},且该论文的属性加密门限参数为2,则属性集为{计算机,路由,博士}的用户可以访问该论文,而属性集为{机械,博士}的用户无法访问该论文.基本ABE 机制包括4种算法:Setup,Extract,Encrypt,Decrypt.系统初始化时根据安全参数运行BDH 参数生成器[5],产生两个阶为素数q 的群G 1,G 2,以及双线性对e :G 1×G 1→G 2.d 为门限参数.(1) Setup(d ):授权机构执行,选择y ,t 1,…,t n ∈Z q ,系统公钥PK 为11(,...,,(,))n t t y n T g T g Y e g g ===.主密钥MK1302Journal of Software 软件学报 V ol.22, No.6, June 2011为(y ,t 1,…,t n ). (2) KeyGen:授权机构执行,生成用户u 的私钥.随机选择一个(d −1)次多项式p ,令p (0)=y ,用户私钥SK 为(){}.u i t p i i i A D g ∀∈=(3) Encrypt:发送方执行,用属性集A C 加密消息2M G ∈.随机选择s ∈Z q ,密文为(,(,),{}).i C t s s ys C i i A A E Y M e g g M E g ∀∈===(4) Decrypt:接收方执行.若|A u ∩A C |>d ,则选择d 个属性i ∈A u ∩A C ,计算e (E i ,D i )=e (g ,g )p (i )s ,再用拉格朗日插值找到Y s =e (g ,g )p (0)s =e (g ,g )ys ,得到M =E /Y s .上述机制中,KeyGen 算法采用Shamir 门限秘密共享机制[18],将秘密y 嵌入到SK 的各个构件D i 中,实现门限策略;SK 与随机多项式p 有关,使得不同用户无法结合私钥实施串谋攻击.Encrypt 算法采用双线性对加密消息,并且密文构件E i 与属性相关,从而规定了解密必须的属性;随机数s 可以防止多次加密情况下用户首次解密成功即可解密后续密文的问题.在上述基本ABE 机制中,PK 与系统属性数目线性相关,幂运算次数和双线性对数目较多.Pirretti 等人[19]和Baeky 等人[20]提出了性能更优的算法.基本ABE 只能表示属性的“门限”操作,且门限参数由授权机构设置,访问控制策略并不能由发送方决定.而许多现实应用需要按照灵活的访问控制策略支持属性的与、或、门限和非操作,实现发送方在加密时规定访问控制策略.由于基本ABE 无法支持灵活的访问控制策略,Goyal 等人[7]提出由接收方制定访问策略的KP-ABE 机制,支持属性的与、或、门限操作.Bethencourt 等人[14]提出由发送方规定密文的访问策略的CP-ABE 机制.图1和图2分别说明了KP-ABE 和CP-ABE 的工作流程.KP-ABE 机制[7]如图1所示,用户密钥采取树结构描述访问策略A u -KP ,树的叶节点集合为A u .密文与属性集A C 相关,只有A C 满足A u -KP ,用户才能解密密文.KP-ABE 与基本ABE 机制的区别在于KeyGen 和Decrypt 算法. KeyGen 算法仍采用秘密共享机制,采取自顶向下的方式为树中每个节点x 定义一个次数比节点的门限值小1的随机多项式p x ,令p x (0)=p parent (x )(index (x )),其中,parent (x )表示x 的父节点,index (x )表示x 的父节点给x 的编号.而根节点r 的p r (0)=y ,使得主密钥y 分散到对应于叶节点的私钥构件D i 中.Decrypt 算法对访问策略树自底向上采用递归过程解密每个节点,得到恢复明文所需的秘密值.图1中,A C 满足策略A u 1-KP ,解密需计算的树中内部节点集合S 为{AND}.由于共享机制不支持属性的“非”操作,Ostrovsky 等人[21]采用Naor 和Pinkas [22]的广播撤销机制实现表示“非”的KP-ABE 机制,策略表示更加灵活.但是该机制的密文和用户密钥大小,加解密开销都翻倍.Lewko 和Waters [17]改进OSW07[21]的算法,缩短系统公钥长度,但增加了密文长度. A : {comedy,English,USA}Sender Reciver 1Reciver 2A C ): CKP ): SKKP action KP AND comedy AND Fig.1 KP-ABE illustration图1 KP-ABE 机制示意图CP-ABE 机制[14]如图2所示,密文采取树结构描述访问策略A C -CP ,实现由消息发送方决定的访问控制策略.苏金树 等:属性基加密机制 1303 CP-ABE 中,用户密钥与属性集A u 相关,只有A u 满足A C -CP ,用户才能解密密文.CP-ABE 与基本ABE 的算法不同,且PK 和MK 的长度与系统属性数目无关.CP-ABE 的KeyGen 算法采用两级随机掩码方式防止用户串谋,用户私钥构件与第2级随机数相关.Encrypt 算法中,访问树的实现方式与KP-ABE [7]的KeyGen 算法相似,区别是p r (0)=s ,并且叶节点对应密文构件E i .Decrypt 算法与KP-ABE [7]类似,但双线性对操作数目翻倍.图2中,A u 1满足A C -CP ,解密需计算的树中内部节点集合S 为{OR,2-of-3,AND}.Ostrovsky 等人[21]也可以实现表示“非”的CP-ABE 机制. SenderReciver 1Reciver 2cryptlogy : {doctor,attack,cryptology}: {master, cryptology, analyze}SKFig.2 CP-ABE illustration图2 CP-ABE 机制示意图上述3种ABE 算法在复杂性假设、策略灵活性和适用范围方面有着明显的差别.基本ABE [6]和KP-ABE [7]均采取DBDH 假设,而CP-ABE [14]采取一般群模型.基本ABE 仅表示门限策略,适用于对策略要求简单的应用. KP-ABE 和CP-ABE 机制支持复杂策略,适用于细粒度数据共享的应用.KP-ABE 机制中,用户规定对接收消息的要求,适用于查询类的应用,如付费电视系统、视频点播系统、数据库访问等;而CP-ABE 机制中,发送方规定访问密文的策略,适合访问控制类应用,如社交网站的访问、电子医疗系统等.3种基本机制的比较见表2.Table 2 Comparision of basic ABE, KP-ABE and CP-ABE表2 基本ABE,KP-ABE 和CP-ABE 的比较SystemCiphertext User’s secret key Encrypt Decrypt Policy Basic ABE [6]12||C G G A L L + 1||u G A L |A C |G 1+2G 2 dC e +2dG 2 Threshold KP-ABE [7]12||C G G A L L +1||u G A L |A C |G 1+2G 2 |A C |C e +2|S |G 2 And, or, threshold CP-ABE [14] 12(2||1)C G G A L L ++ 1(2||1)u G A L + (2|A C |+1)G 1+2G 22|A u |C e +(2|S |+2)G 2 And, or, threshold1.3 ABE 难点问题与研究内容算法的正确性和安全性、密钥管理、可扩展性是安全协议研究的核心问题.ABE 机制采用访问结构表示访问策略,而策略的灵活性会导致访问结构的复杂.当前的KP-ABE 实现了复杂的访问结构,支持灵活的访问策略,并基于DBDH 假设达到CPA 安全.而CP-ABE 中策略的灵活性使得系统公钥设计复杂,限制了访问结构的设计. ABE 系统中,属性的动态性增加了密钥撤销的复杂性;且属性密钥与用户标识无关,导致无法预防和追踪非法用户持有合法用户的私钥(盗版密钥).而大规模的分布式应用需要ABE 机制支持多机构协作,以满足可扩展性、容错性的需求.这些因素给ABE 的研究带来了挑战,主要包括以下几个方面:(1) CP-ABE 机制访问结构设计难.KP-ABE 的系统公钥以及与复杂访问结构相对应的用户私钥都由授权机构生成,密文的解密只由授权机构控制.而CP-ABE 的系统公钥由授权机构产生,访问结构由加密者设计,密文的解密由授权机构与加密者共同控制.因此在CP-ABE 中,访问结构的复杂度增加了系统公钥设计的复杂性,从1304 Journal of Software 软件学报 V ol.22, No.6, June 2011 而增加了采用标准的复杂性假设证明机制安全性的难度,使访问结构的设计受限;(2) 属性密钥撤销开销大.ABE 中,用户密钥与属性相关,而系统的动态变化经常引起属性失效或从属关系变更,因而ABE 属性密钥的撤销成为研究重点.ABE 的属性密钥撤销分为3种情况:整个用户的撤销、用户的部分属性撤销和系统属性的撤销.撤销用户需作废该用户的密钥,而不影响未撤销的用户;撤销用户的某个属性,不能影响具备该属性其他用户的权限;系统属性撤销影响具有该属性的所有用户.ABE 中,属性与用户的多对多关系增加了支持上述3种撤销需求的属性密钥撤销机制的设计难度;(3) ABE 的密钥滥用.ABE 中,用户私钥只与用户属性相关,而与用户的任何特定信息无关,无法防止盗版密钥的产生.除了用户会泄露自己的私钥外,掌握所有用户私钥的授权机构也可能透露合法用户的私钥.故在出现盗版密钥时,无法确定是用户还是授权机构泄露了私钥,责任追究困难.盗版密钥难预防和难界定责任,使ABE 机制中的密钥滥用问题尤为突出,难以解决;(4) 多机构下的用户授权.基本ABE 属于单授权机构情形,不能满足大规模分布式应用对不同机构协作的需求;授权机构必须完全可信,违背了分布式应用要求信任分散的安全需求;授权机构管理系统中所有属性,为用户颁发密钥,工作量大,成为系统的性能瓶颈.多授权机构ABE 不仅能够满足分布式应用的需求,而且可将单授权机构的信任和工作量分散到系统的所有授权机构上,故研究多机构情况下的ABE 是必要的.但是,每个授权机构独立颁发密钥和用户密钥准确性的需求,给多机构ABE 的研究带来了挑战.当前,ABE 的研究工作分为ABE 机制、ABE 的撤销机制、ABE 的可追责性以及多授权机构ABE 机制,重点研究内容如图3所示.根据图3中研究内容的分类,下面主要分析ABE 的研究进展.Fig.3 Research of ABE图3 ABE 研究内容2 CP-ABE 的访问结构设计CP-ABE 机制中,加密者控制访问策略,策略越复杂,系统公钥设计得也越复杂,机制的安全性证明越困难.为达到标准复杂性假设下的CPA 安全,CP-ABE 的主要研究工作都集中于表示访问策略的访问结构的设计.根据采取的访问结构不同,CP-ABE 的研究工作分为“与”门、访问树和LSSS 矩阵3类.2.1 “与”门访问结构Cheung 和Newport [10]采用“与”门表示访问策略,首次在DBDH 假设下证明CP-ABE 机制的安全性.之后, Nishide 等人[23]和Emura 等人[24]在CN07[10]的基础上分别实现了策略的隐藏和效率的提高.CN07[10]最先基于DBDH 假设构建CPA 安全的CP-ABE 机制,并采用CHK [25]技术扩展到CCA 安全.引入文字i 表示属性i 与其非¬i ,访问结构为文字上的与门,不出现在与门中的系统属性用无关紧要表示.Setup 算法中,随机选择y ,t 1,…,t 3n ∈Z q 作为主密钥,系统公钥中的T k 由3部分组成,分别对应属性在与门中为正、非 Research of ABE ABE schemes KP-ABE CP-ABE Basic ABE Multi-authoritiesABE Accountability of ABE Revocation schemes of ABE Direct revocation Indirect revocation Hybrid mode With CA Without CA Trusted CA Honest but curious CA AnonymityNo anonymityKP-ABE CP-ABE Hidden policy Published policy Authority Semi-trusted third party AND gate Tree LSSS matrix Two values per attribute Several values per attribute Tree without bound Bounded tree苏金树 等:属性基加密机制1305和无关紧要的情况.KeyGen 算法为每个系统属性i 选择一个随机数r i ,令1,n y r i i r r Dg −===∑ ;并根据i 与用户属性集A u 的关系生成密钥构件/()i i r t i u D g i A =∈或/()i n i r t i u D g i A +=∉;然后计算2/i n i r t i F g +=,组成用户私钥{1,...,}(,{,})i i i n SK D D F ∈= .Encrypt 算法选择随机数s 加密消息,并根据系统属性i 与密文属性集A C 的关系生成密文构件s i i E T =(i ∈A C 且i =i )或s i n i E T +=(i ∈A C 且i =¬i ),而i ∉A C 时,2s i n i E T +=.Decrypt 算法根据A C 中每个属性与 A u 的关系选择私钥构件进行解密运算.但访问结构仅实现了属性的“与”和“非”操作,并且PK 和密文的大小以及加/解密时间都与系统属性数目线性相关,效率低.基于DBDH 和D-Linear 假设,Nishide 等人[23]提出抗串谋的、策略隐藏的CP-ABE 机制.系统属性有多个候选值.访问结构采用“与”门,每项可以是对应属性候选值集合的一个子集.发送方根据访问结构中各项对系统属性取值的不同要求产生两部分密文构件,Decrypt 算法根据用户属性集中各项的值选择相应的密文构件解密,从而隐藏密文策略.采取BW07[26]技术使接收方获取解密成功与否的消息,但增加了密文和用户密钥长度以及解密开销.Emura 等人[24]基于DBDH 假设,采用与NYO08[23]相同的访问结构,首次提出密文长度不变的CP-ABE 机制,提高了算法效率.上述两种算法仅支持属性的与操作.2.2 树访问结构提出CP-ABE 机制的BSW07[14]采用树结构表示灵活的访问控制策略,但其安全性证明仅基于一般的群假设.为了在DBDH 假设下实现策略灵活的CP-ABE 机制,Goyal 等人[27]和Liang 等人[28]采用有界树结构.Ibraimi 等人[29]采用一般的访问树结构,消除了界限条件的约束.Goyal 等人[27]基于DBDH 假设提出有界的密文-策略属性基加密(BCP-ABE),提供一种将KP-ABE 转换为CP-ABE 的方法,支持任何有界多项式大小的访问公式(包括与、或和门限操作).主要技术与GPSW06[7]类似.Setup 算法规定参数(d ,c ),d 为访问树最大高度,c 为树中非叶节点的子女节点最大数目.同时,构造一棵(d ,c )-通用访问树T u ,然后根据T u 生成PK 和MK .安全性证明中,(d ,c )控制了攻击者的询问能力.Encrypt 算法将(d ,c )-有限访问树T 转换为(d ,c )-有限标准访问树T n ,然后构造T n 到T u 的映射,最后根据映射完成加密.但是,标准型转换添加了大量非叶节点,增加了加密开销.T 的叶节点高度越不整齐,系统效率越低,因此该方法实际并不可行.Liang 等人[28]改进了BCP-ABE [27]机制,跳过中间标准型的转化,直接构造新的T u .T 直接映射到T u ,缩短了系统公钥、用户私钥和密文的长度,提高了加/解密算法的效率.在T 的叶节点高度不整齐时,效果显著.另外,该机制采用DBDH 假设和不可伪造的一次签名(one time signature,简称OTS)技术,扩展为CCA 安全.Ibraimi 等人[29]基于DBDH 假设,提出一种新思路实现支持属性的与、或和门限操作的CP-ABE 机制.首先实现一个基本CP-ABE 机制,访问结构为由与、或节点组成的l 叉树(l >1).Encrypt 算法采用模加机制赋值给与节点的子女节点,直接将秘密值赋给或节点的子女节点.用户的私钥与一个随机数相关,能够防止用户串谋.然后采用Shamir 的门限秘密共享技术[18]扩展基本CP-ABE 机制,得到支持属性与、或、门限操作的CP-ABE 机制,其加解密开销低于BSW07[14].2.3 LSSS 矩阵访问结构与GJPS08[27]采取转换方式实现CP-ABE 不同,Waters [30]首次直接实现强数值假设下支持属性与、或和门限操作的CP-ABE 机制.采用判定性并行双线性Diffie-Hellman 指数(decisional Parallel Bilinear Di ffie-Hellman Exponent,简称DPBDHE)[31]假设.采用LSSS 访问结构[15](M ,ρ),其中,M 为A ×n 矩阵.Setup 算法选择随机数a , α∈Z q ,h 1,…,h n ∈G 1,令MK =g α,PK =(g ,e (g ,g )α,g a ,h 1,…,h n ).KeyGen 选取随机数t ,(,,at t SK K g g L g α=== |)t x x u K h x A =∀∈.加密算法选择向量2(,,...,)n n q v s y y Z =∈G 产生密钥构件.使用CHK [25]技术能够扩展为CCA 安 全.但W08[30]机制的密文长度、加/解密时间都随着访问结构的复杂性线性增长.Lewko 等人[32]采用双系统加密机制[33,34],首先用完全可行的方法实现CCA 安全的CP-ABE 机制.访问结构也采取LSSS 矩阵,支持任何单调的访问公式表示策略.先构造一次使用CP-ABE 机制,规定公式中每个属性只能使用一次;然后将一次使用CP-ABE 机制转换为属性多次使用的ABE 机制,Setup 算法规定了属性被使用的1306 Journal of Software 软件学报 V ol.22, No.6, June 2011 最大次数.转换不会增加密钥和密文的大小.与以往ABE 机制不同,群G 1,G 2以3个不同素数的乘积作为阶,以这3个素数为阶的G 1的子群具有正交性.该机制基于3个3素数子群判定问题(3P-SDP)[34]证明了CCA 安全.2.4 分 析综上所述,CN07[10]首先提出在DBDH 假设下可证安全的CP-ABE.W08[30]最先在DPBDHE 假设下实现支持属性“与”、“或”和“门限”操作的CP-ABE.LOST10[32]提出可行的CCA 安全的CP-ABE.表3对比分析了各机制采取的访问结构、支持的策略、安全证明采用的假设和ID 模型.表4比较了各机制中系统公钥、主密钥、用户私钥和密文的长度.其中,密文的长度不计访问结构.表5比较了各机制的加解密时间.访问结构为(d ,c )-有界 树T [27,28]的情形下(d ≥1,c ≥2),用Σ*表示将树*扩展为子女数目都为c 的树所增节点集合,则||||1n T T ΣΣ>>.设 LOST10[32]中3个素数分别为q 1,q 2和q 3,则群的阶q ′=q 1q 2q 3.ITHJ09[29]中w ′⊆A u 为满足访问结构最小属性集.Table 3 Comparision of security proof and policy complexity in CP-ABE表3 CP-ABE 机制的安全证明与策略复杂性对比 Access structureSystem Assumption Model Supported policy Two values/attributeCN07[10] DBDH Selective And, not NYO08[23] DBDH, D-Linear Selective And AND gate Several values/attributeEMNOS09[24]DBDH Selective And BSW07[14] Group model Adaptive And, or, threshold Tree without boundITHJ09[29] DBDH Selective And, or, threshold GJPS08[27] DBDH Selective Bounded and, or, threshold TreeBounded treeLCLX09[28] DBDH Selective Bounded and, or, threshold W08[30] DPBDHE SelectiveAnd, or, threshold LSSS matrix LOST10[32] 3P-SDP Adaptive And, or, thresholdTable 4 Comparision of size of keys and ciphertext in CP-ABE表4 CP-ABE 机制中各密钥与密文长度的比较Table 5 Comparision of computational time in CP-ABE表5 CP-ABE 机制的计算开销比较System Encrypt Decrypt CN07[10] (n +1)G 1+2G 2 (n +1)C e +(n +1)G 2NYO08[23] (2N ′+1)G 1+2G 2(3n +1)C e +(3n +1)G 2 EMNOS09[24] (n +1)G 1+2G 2 2C e +2G 2 BSW07[14] (2|A C |+1)G 1+2G 2 2|A u |C e +(2|S |+2)G 2ITHJ09[29] (|A C |+1)G 1+2G 2 (|w ′|+1)C e +(|w ′|+1)G 2GJPS08[27]12(|||)2|n C T A G G Σ++2(||||)2(||||)n n u T e T A C S G ΣΣ+++LCLX09[28] (|A C |+|ΣT |)G 1+2G 2 (|A u |+|ΣT |)C e +2(|S |+|ΣT |)G 2W08[30] (4|A C |+1)G 1+2G 2 (2|A u |+1)C e +3|A u |G 2LOST10[32] (4|A C |+1)G 1+2G 2 (2|A u |+1)C e +3|A u |G 2由表3可知:在标准假设下,只有W08[30]和ITHJ09[29]支持属性的与、或、门限操作;只有CN07[10]支持属性。

素数阶群上快速解密的KP-ABE方案李作辉;陈性元【摘要】大部分基于属性的加密方案(ABE)解密开销随解密时用到的属性数量呈线性增长,解密时双线性对运算为常数次的快速解密ABE方案(FABE)能用来解决此问题.针对现有自适应安全的FABE方案在合数阶群上构造,解密运算时双线性配对计算开销过大的问题,提出一种素数阶群上快速解密的密钥策略ABE(PFKP-ABE)方案.首先基于对偶正交基和线性秘密共享(LSSS)技术提出一个PFKP-ABE方案,然后采用对偶系统加密技术构建一系列两两不可区分的攻击游戏证明该方案在标准模型下是自适应安全的.性能分析表明,与现有的合数阶群上一种快速解密自适应安全密钥策略ABE方案(FKP-ABE)相比,该方案在自适应安全的前提下,解密计算速率提高了约15倍.【期刊名称】《计算机应用》【年(卷),期】2016(036)003【总页数】5页(P637-641)【关键词】基于属性的加密;密文策略;快速解密;自适应安全;素数阶【作者】李作辉;陈性元【作者单位】信息工程大学,郑州450001;信息工程大学,郑州450001【正文语种】中文【中图分类】TP309.7基于属性的加密(Attribute-Based Encryption, ABE)最早源于Sahai等[1]提出的基于模糊身份的加密(Fuzzy Identity-Based Encryption, FIBE)，由于能支持实现细粒度访问控制，受到云计算研究者广泛的关注。

Goyal等[2]首次提出了密钥策略ABE(Key-Policy Attribute-Based Encryption, KP-ABE)方案。

Bethencourt等[3]首次提出了密文策略ABE(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)方案。

属性密码学作为一种新型的密码学原语，是近年来密码学研究中的一个热门方向[4]。

CP-ABE⽅案研究现状总结（更新中）引⾔密⽂策略属性加密⽅案(Ciphertext Policy Attribute Based Encryption, CP-ABE), 可由⽤户制定访问控制策略, ⽅便灵活, 成为云存储环境⽤户数据安全的主流技术. 密钥与属性集合相关, 密⽂与访问结构相关, 只有属性集合与访问结构符和, 才能解密成功密⽂得到明⽂, 以此实现云数据细粒度的访问控制。

与之相对应的是密钥策略属性加密⽅案(Key-Policy Attribute Based Encryption, KP-ABE), 两者刚好相反, 密钥和访问结构对应, 密⽂和属性集合对应。

虽然看起来两者正好互补, 但实际应⽤差别较⼤, KP-ABE因为密钥和访问结构对应, 反⽽不如CP-ABE的密⽂与访问结构对应更灵活, 数据访问控制上CP-ABE更适⽤于云数据环境。

发展历史2005 IBE、FIBE起初是IBE，后来为了增加容错性，出现了FIBE。

2006 KP-ABE（可⽤）、CP-ABE2007 ⾮单调访问结构KP-ABE & 线性秘密共享（LSSS）2007 访问控制树CP-ABE2008 ⾼效通⽤CP-ABE2010 对偶系统加密技术、合数阶双线性群CP-ABE（效率低）2010 对偶配对向量空间、素数阶双线性群CP-ABE2012 标准模型下适应性安全的通⽤⽅法扩展追踪性CP-ABE撤销性CP-ABE计算外包CP-ABE多权威机构CP-ABE多权威机构（AA）的出现解决了单权威机构的单点失效问题，但是同时带来了共谋攻击问题。

主密钥变成由各权威机构密钥的⼀个聚合。

Step 1. ⼀⼈⼀个不同的多项式来防⽌共谋（针对⽤户）；针对密钥托管的问题，MA-ABE⽅案将⼀个密钥产⽣中⼼（KGC）“分裂为”多个属性机构，每个属性机构只是负责管理与该属性有关的⽤户，属性机构之间没有任何关联，管理的属性集合之间也没有交集；针对共谋攻击的问题，MA-ABE⽅案⾸次提出GID的概念，即针对每个⽤户以及每个属性机构分配⼀个全局唯⼀的⾝份标识符，⽤户私钥的的产⽣与这些唯⼀的标志相关联。

可追责和完全可验证外包解密CP-ABE方案李聪;杨晓元;白平;王绪安【摘要】在密文策略属性加密方案(CP-ABE)中,解密密钥定义在多个用户共享的属性上,任何私钥无法追溯到原有密钥的所有者,恶意用户可能为了经济利益泄露他们的解密权限给第三方,并且不会被发现.另外,大多数现有CP-ABE方案的解密成本和密文大小随访问结构的复杂程度呈线性增长.上述问题严重限制了CP-ABE的应用.为此,通过定义追责列表来追溯故意泄露密钥的用户,通过外包运算降低解密运算成本,提出一个可追责和完全可验证外包解密的CP-ABE方案.该方案可以同时检查授权用户和非授权用户转换密文结果的正确性,而且支持任意单调访问结构,可追责性不会给其他安全性带来任何影响.最后在标准模型中证明了该方案是选择明文攻击(CPA)安全的.【期刊名称】《计算机应用》【年(卷),期】2018(038)008【总页数】7页(P2249-2255)【关键词】属性基加密;完全可验证性;外包解密;可追责;双线性映射;多线性映射;选择明文攻击安全【作者】李聪;杨晓元;白平;王绪安【作者单位】武警工程大学密码工程学院,西安710086;网络与信息安全武警部队重点实验室,西安710086;武警工程大学密码工程学院,西安710086;网络与信息安全武警部队重点实验室,西安710086;武警工程大学密码工程学院,西安710086;网络与信息安全武警部队重点实验室,西安710086;武警工程大学密码工程学院,西安710086;网络与信息安全武警部队重点实验室,西安710086【正文语种】中文【中图分类】TP309.70 引言近年来，云计算得到了飞速发展，可为用户提供各种服务，如外包委托计算、数据存储等，用户可以将大量数据上传到云服务提供者(Cloud Service Provider, CSP)与其他用户共享数据。

另外，CSP根据用户需求对大量的数据进行计算，大大降低了用户的本地计算成本。