
Citation: | Cong Lin, Sha Yu-heng, Jiao Li-cheng. Application of Immune Clone Selection Algorithm to Image Segmentation[J]. Journal of Electronics & Information Technology, 2006, 28(7): 1169-1173. |
2005年Sahai和Waters[1]在基于身份加密的基础上,提出了属性基加密(Attribute-Based Encryption, ABE),ABE机制中包含属性及访问策略,其中属性描述事物的客观特征信息,策略则是特征之间的关系;若用户属性满足策略设置的最低阈值,那么则可成功解密。ABE机制凭借其1对多、细粒度的访问控制特点,受到业内学者的广泛关注,而后又延伸出了谓词加密、对偶策略、函数加密、匹配加密[2]等密码原语。在诸多ABE方案中,考虑到隐私保护,一般分3个层面,分别是数据内容隐私、策略隐私以及属性隐私。
数据内容隐私通过加密算法所具备的机密性来实现,将隐私性绑定到密码系统的安全性上,而密码系统的安全性则依赖已知难解的困难问题及密钥的安全管理。在医疗数据隐私[3]、外包安全计算[4]等应用领域,使用ABE不仅确保了数据内容隐私的机密性,且能够提供细粒度的访问控制。通过加密来保障数据隐私的方法[5-7]本质上是一种风险转移,将棘手的隐私数据保护转换为更易操作的ABE方案构造,但同时也带了新的问题,即ABE中的策略隐私与属性隐私。
策略隐私保护中主要有两种方式,分别是部分策略隐藏及完全策略隐藏。常见的部分策略隐藏方法有通配符替代、属性名与属性值分割[8-10]等;完全策略隐藏大都采用对原始属性做映射变换的方式[11]。Lai等人[12]结合双系统加密技术,基于合数阶群提出了标准模型下的策略隐藏ABE方案,对策略属性进行映射变换,加密中需要使用两个秘密向量,虽然安全性较好,但也导致密文长度增加。Hur[13]同样采用策略属性映射的方式进行方案构造,相比于文献[11]效率更优,但该方案依赖于一般群模型构造,未能达到可证明安全。Michalevsky等人[14]基于内积谓词加密构造了支持接收者隐私的策略隐藏方案,对不属于加密策略的属性进行0值填充,但大量无效属性值导致策略冗余较为明显。Qian等人[15]构造了策略完全隐藏的ABE方案,并额外给出了零知识性的密钥生成协议,但未验证其协议效率以及在完整方案中的可行性。
属性隐私具体指用户在向授权机构申请密钥阶段,自身属性信息的隐私性。Han等人[16]较早关注到这一问题,提出了一种保护隐私的去中心化密钥策略ABE方案,通过在用户与授权机构之间进行零知识性的密钥协商协议,完成密钥的分发工作。该方案构造的零知识密钥协商保护了用户属性隐私不被授权机构泄露,但协议过程太过复杂,且被文献[17]指出其方案不具备用户合谋安全性:即通过更改与特定密钥相关联的标识符来删除单个用户密钥之间的关联性,进而未满足解密条件的多个用户可通过密钥聚合的方式完成解密操作。紧接着,Han等人[18]对原工作做了改进,但方案中并未对原密钥协商协议进行简化,并且被文献[19]指出该方案仍不具备用户合谋安全性。
ABE隐私保护研究中部分工作侧重点是数据内容隐私[3-7];针对策略隐私的研究较多[8-15],但未兼顾用户属性隐私,方案中均假设授权机构完全可信且不涉及用户属性窃听及泄露;文献[16-19]从用户属性隐私的角度出发,但构造中未考虑策略隐私。究其原因,加解密用户分别在策略保护与属性保护中进行随机化操作后,很难将解密等式构造成功。
针对以上存在的问题,本文同时兼顾数据内容、用户属性、访问策略3方面隐私保护需求,构造了基于内积谓词的属性基隐私保护加密方案(attribute-based Privacy Protection Encryption Scheme based on inner product predicate, PPES)。概况地说,本文的主要工作有以下3点:
(1) 基于谓词加密算法保障了数据内容隐私,通过向量承诺协议将访问策略与用户属性分别进行盲化,兼顾了属性隐私和策略隐私;同时,改进了Catalano协议,使其适配于属性盲化承诺,能够在不暴露关键隐私信息的前提下,完成承诺验证。
(2) 借助内积向量的线性运算模式,实现了ABE隐私保护中多方随机元素消去操作,使得加解密双方分别进行随机化后,仍然能够进行解密等式构造(详见5.1节)。
(3) 基于判定性子群假设证明了所提方案满足标准模型下适应性选择明文安全,并且承诺具备不可伪造性。性能分析结果显示,所提方案比现有方案效率更高。
本节给出本文中用于构建PPES方案所用到的基础定义及基础协议。
定义1 (合数阶双线性映射)给定安全参数
(1)可计算性:双线性映射e在多项式时间内可被有效计算。
(2)双线性:
(3)非退化性:e(g, g)≠1。
定义2 (判定性子群假设)给定群生成器
(N=pqr,G,GT,e)R←Setup | (1) |
g1R←GP,g3R←GR,g1,2R←GpGQ | (2) |
D=(g1,g3,g1,2) | (3) |
T0R←GP,T1R←GpGQ | (4) |
对于公开元组D,任意概率多项式敌手A能够正确区分
Adv(λ):=|Pr[A(D,T0)=1]−Pr[A(D,T1)=1]| | (5) |
协议1 向量承诺协议(Vector Commitment, VC)。协议主体由4个多项式算法构成[20],分别是承诺密钥生成算法、承诺计算算法、承诺打开算法以及承诺验证算法。
PPES方案中,将加解密用户的盲化操作利用承诺协议进行提交,用于公开验证盲化操作的合法性。向量承诺协议能够对指定位置i处进行承诺验证,提供了位置绑定特性;由承诺封装带来的消息隐藏特性,能够确保所参与承诺的元素与机密信息无关,进而真实的属性信息不会被泄露。
协议2 谓词加密[7](Predicate Encryption, PE)是基于属性加密的延伸和扩展,内积谓词则是PE的构造形式之一,其中密钥对应布尔函数表示的谓词
本节给出论文中的模型定义,包括系统模型、安全模型及算法模型。
如图1所示,PPES方案涉及5个实体,分别是属性授权中心、云服务提供商、第三方验证者、数据用户及数据属主。考虑到策略隐私及属性隐私,DO需使用盲化后的属性构造访问策略;DU使用盲化后的属性申请私钥,并对盲化结果做出承诺。
属性授权中心(Attribute Authority, AA):该实体完全可信,负责系统初始化、主密钥、公共参数及用户公私钥生成。
云服务提供商(Cloud Service Provider, CSP):该实体为半可信服务器,为用户提供密文存储及下载服务。
第三方验证者(Third Party Verifier, TPV):向加解密双方提出验证请求,对加解密双方所提交承诺的有效性做验证。
数据用户(Data User, DU):从CSP下载密文,若满足解密要求,可对其进行解密;作为用户证明者(User Prover, U-Prover)回答验证者请求。
数据属主(Data Owner, DO):加密数据并上传到CSP;作为属主证明者(Owner Prover, O-Prover)回答验证者请求。
定义3 (数据内容隐私) 给定安全参数n,对任意多项式时间敌手A,如果在下述游戏中的优势是可忽略的,那么称PPES方案满足数据内容隐私。
(1)挑战者C运行初始化算法Setup(1n),获得公共参数
(2)随机选择
(3)敌手A输出比特
上述游戏中,敌手A的优势可定义为
Adv=|Pr[b=b′]−1/2| | (6) |
定义4 (策略隐私) 设谓词集合为
(1)挑战者C运行初始化算法Setup(1n)生成公钥PK,私钥SK,大整数N,并将其发送给敌手A。
(2)敌手A输出
(3)敌手A对向量v1,v2,···,vl
(4)挑战者C随机选择
(5)在第(3)步的限制条件下,敌手A继续对其他谓词向量进行适应性私钥询问。
(6)敌手A输出
上述游戏中,敌手A的优势可定义为
Adv=|Pr[b=b′]−1/2| | (7) |
定义5 (属性隐私) 给定安全参数n,q阶循环群
(1)挑战者C运行初始化算法
(2)挑战者C随机选择
(3)敌手A输出比特
上述游戏中,敌手A的优势可定义为
Adv=|Pr[b=b′]−1/2| | (8) |
(1)系统初始化算法Setup(1n)→(pp, MPK, MSK):该算法由可信授权中心执行,输入安全参数,输出公共参数pp及系统主公钥与主私钥。
(2)加密算法Encrypt(MPK, MSK, M, (A, ρ), x)→(C):该算法由数据属主执行,首先将加密所需属性向量x盲化为h;使用盲化后的属性向量h构造LSSS访问策略,完成对谓词向量的张成,将明文M加密为密文C。
(3)用户属性盲化算法User-Blind(v)→(u):该算法由数据用户执行,用户将自身属性向量v盲化为u,然后将其发送给授权机构生成私钥。
(4)密钥生成算法KeyGen(MPK, MSK, u)→(SK):该算法由授权机构执行,根据数据用户的属性u生成数据用户私钥SK。
(5)解密算法Decrypt(SK, C)→(M):该算法由数据用户执行,输入私钥SK与密文C,若属性满足谓词授权集合,输出解密结果M。
(6)承诺提交及验证算法:Verify(Com, si, Aux)→(Result):该算法为证明者与验证者之间的交互。首先要求作为证明者的U-Prover与O-Prover在盲化操作完成后,分别提交盲化承诺,而后交由第三方验证。
本节给出方案的具体构造,并对算法模型中的多项式算法做进一步阐述。
(1)Setup
系统主密钥
(2)Encrypt
定义LSSS访问策略
(3)User-Blind
(4)KeyGen
(5)Decrypt
C′⋅e(C0,K)⋅n∏i=1e(C1,i,K1,i)⋅e(C2,i,K2,i)=M | (9) |
(6)Verify
Cre={EnCre=q∏i=1hi,DeCre=q∏i=1ui} | (10) |
并将Cre作为公开信息。作为证明者的O-Prover与U-Prover提交属性承诺
Com={EnCom=q∏i=1hi,DeCom=q∏i=1ui} | (11) |
验证者将其与承诺凭证比对后输出承诺有效性声明。而后验证者任选属性si将其发送给证明者,证明者计算辅助信息
本节对论文方案做综合分析,包括正确性证明、安全性证明及实验评估。
给定密文C与用户私钥SK,由合数阶各子群正交性质,解密等式推导为
C′⋅e(C0,K)⋅n∏i=1e(C1,i,K1,i)⋅e(C2,i,K2,i)=(M⋅Ts⋅e(gsp,r5ϑt−θn∏i=1p−γ1,i1,ip−γ2,i2,i)⋅n∏i=1e(Ps1,iQα⋅ρ(i)r3,i,gγ1,ipgf1⋅uiq)⋅e(Ps2,iQβ⋅ρ(i)r4,i,gγ2,ipgf2⋅uiq))=(M⋅Ts⋅e(gsp,t−θn∏i=1p−γ1,i1,ip−γ2,i2,i)⋅n∏i=1e(ps1,igα⋅ρ(i)q,gγ1,ipgf1⋅uiq)⋅e(ps2,igβ⋅ρ(i)q,gγ2,ipgf2⋅uiq))=M⋅Ts⋅e(gp,t)−θs⋅n∏i=1e(gq,gq)(αf1+βf2)ρ(i)ui=M⋅e(gq,gq)(αf1+βf2)<ρ,u>=M⋅e(gq,gq)cons<x,v>=M | (12) |
若满足解密条件,则
在承诺验证阶段,已知承诺Com与辅助信息Aux, U-Prover承诺验证推导为
e(Com/ui,g)=e(q∏j=1,j≠iuj,g)=e(Aux,g) | (13) |
O-Prover承诺验证推导为
e(Com/hi,g)=e(q∏j=1,j≠ihj,g)=e(Aux,g) | (14) |
本节通过定理1与定理2证明了PPES方案的不可区分性及承诺不可伪造性,进而满足数据内容隐私、策略隐私及属性隐私。
本节通过构造7个游戏,证明密文的不可区分性,即所提PPES方案满足标准模型下的适应性选择明文安全。
定理1 如果PPES方案满足定义3与定义4,那么称该谓词加密方案满足数据内容隐私及策略隐私。
游戏定义:
游戏0:随机选择
游戏1:选择
游戏2:当使用0进行加密生成密文元组
游戏3:当使用
游戏4、游戏5:与游戏2、游戏3对称,继续选择
游戏6:使用
证明 借鉴Katz等人[7]中证明思路,若游戏0与游戏1在定义3下是不可区分的,那么游戏1与游戏5也满足不可区分性,而游戏5与游戏6的不可区分性证明与游戏0和游戏1对称。因此,以游戏0与游戏1为例展开不可区分性证明。
根据定义4,挑战者C将
初始化 敌手
挑战者随机选择
密钥生成 敌手A使用不同向量
令
K=(qr⋅n∏i=1((gω1,iptxi)−γ′1,i⋅(gθpQ2)kviω1,i)⋅((gω2,iptxi)−γ′2,i⋅(gθpQ2)kviω2,i)) | (15) |
K1,i=(gθpQ2)−kvi⋅gf1′viqgγ′1,ip=g−kviθ+γ′1,ipg(f1′−kc)⋅viq | (16) |
K2,i=(gθpQ2)−kvigf2′viqgγ′2,ip=g−kviθ+γ′2,ipg(f2′−kc)⋅viq | (17) |
在化简中,将
在上述模拟过程中与真实方案相比
f1=f1′−kc,γ1,i=−kviθ+γ′1,i | (18) |
f2=f2′−kc,γ2,i=−kviθ+γ′2,i | (19) |
因此密钥组件
n∏i=1(gω1,iptxi)−γ′1,i(gθp)kviω1,i=n∏i=1g−ω1,iγ′1,i+kθviω1,ipt−xiγ′1,i=n∏i=1g−ω1,i(γ1,i+kθvi)+kθviω1,ipt−xi(γ1,i+kθvi)=n∏i=1(txigω1,ip)−γ1,it−θkvixi=t−θ/2n∏i=1t−γ1,i1,i | (20) |
将
Kp=(n∏i=1((gω1,iptxi)−γ′1,i⋅(gθp)kviω1,i)⋅((gω2,iptxi)−γ′2,i⋅(gθp)kviω2,i))=t−θn∏i=1t−γ1,i1,it−γ2,i2,i | (21) |
在上述化简中,用到了前面步骤中的隐含条件,即
挑战密文生成 挑战者C随机选择
通过观察挑战密文元组在群
定理2 如果PPES方案满足定义5,那么称该谓词加密方案满足属性隐私。
证明 已知
其中
本节对PPES方案进行效率分析,基于TypeA1型合数阶椭圆曲线,在i5-11300H处理器通过IntelliJ IDEA平台对方案进行实验对比。PPES基于合数阶群构造,因此只针对同类型方案进行分析。
表1给出了数值分析中所用到的符号描述,其中E表示指数运算,P表示双线性对运算,n表示方案中涉及的属性个数,|G|表示子群元素大小。因为点乘运算耗时较小,相比于对运算与指数运算对方案总体效率影响不大,因此在表格中未作统计。
符号 | 含义 |
E | 指数运算 |
P | 双线性对运算 |
n | 属性个数 |
|G| | 群元素大小 |
如表2密文及密钥长度对比所示,PPES方案用户私钥长度短于王悦等人方案[10],相比于Zhang等人方案[11]、Lai方案[12]稍长,这是因为PPES方案中考虑到安全性,构造了两个属性相关的密钥组件;但在密文长度上,PPES方案均比对比方案更短,具备更好的存储性能,且兼顾策略隐私及属性隐私。
如表3方案计算开销对比所示,PPES方案构造了两个属性相关的密钥组件,在密钥生成阶段比Zhang等人方案[11]、Lai等人方案[12]开销略高,低于王悦等人方案[10];但在加密阶段与解密阶段,PPES方案均优于对比方案,用到了更少的对运算及指数运算,在效率方面有显著优势。
对各方案主要阶段耗时进行数值对比,结果如图2、图3、图4所示,其中横轴代表属性个数,单位为个;纵轴代表耗时,单位为ms。
如图2密钥生成阶段,PPES方案低于王悦等人方案[10],但略高于Zhang等人方案[11]、Lai等人方案[12],这与表2及表3分析结果相吻合。如图3,在加密阶段,PPES方案耗时均低于对比方案。主要原因是PPES相比于王悦等人方案[10]减少了8n+1个指数运算,相比于Zhang等人方案[11]减少了3n+2个指数运算,相比于Lai等人方案[12]减少了8n个指数运算及2个双线性对运算。
同样,如图4解密阶段数值效率对比,PPES方案在解密运算中耗时均低于对比方案。PPES相比于王悦等人方案[10]减少了2n+1个双线性对运算,相比于Zhang等人方案[11]减少了3n+1个指数运算及2n个双线性对运算,相比于Lai等人方案[12]减少了2n个指数运算及2n+1个双线性对运算。
本文基于内积谓词与向量承诺协议构造了兼顾3方面隐私保护需求的属性基加密方案,并做了标准模型下的安全性证明及性能分析。一方面,向量承诺协议确保策略属性与用户属性盲化操作的可靠性;另一方面,借助内积操作的线性运算特性,为解决多方随机数消去的等式构造提供了新思路,达到支撑数据内容隐私、策略隐私以及属性隐私3方面隐私需求的目的。为进一步提高效率,未来将考虑标准模型下的素数阶方案构造。
Kapur J N, Sahoo P K ,Wong A K C. A new method of gray level picture thresholding using the entropy of the histogram [J].Computer Vision, Graphics, and Image Processing.1985, 29(2):273-[2]Pal N R, Pal S K. A review on image segmentation techniques. Pattern Recognition, 1993, 26(9): 12771294. .[3]Pun T. A new method for gray-level picture thresholding using the entropy of the histogray[J].Signal Processing.1980, 2(3):223-[4]Yen J C, Chang F J, Chang S. A new criterion for automatic multilevel thresholding[J].IEEE Trans. on Image Processing.1995, 4(3):370-[5]Sahoo P K, Wong A K C. A survey of thresholding techniques[J].Computer Vision, Graphics, and Image Processing.1988, 41:233-[6]焦李成,杜海峰. 人工免疫系统进展与展望. 电子学报. 2003, 31(10): 1540.1548.[7]陈国良,王煦法等. 遗传算法及其应用. 北京:人民邮电出版社,1999.[8]杜海峰. 免疫克隆计算与人工免疫网络研究与应用,博士后研究工作报告,西安电子科技大学,2003.
|
符号 | 含义 |
E | 指数运算 |
P | 双线性对运算 |
n | 属性个数 |
|G| | 群元素大小 |