史姣麗 黃傳河 何 凱 沈燮陽(yáng) 華 超

1(武漢大學(xué)計(jì)算機(jī)學(xué)院 武漢 430072)2 (九江學(xué)院 江西九江 332005)

?

支持多用戶協(xié)同編輯的云存儲(chǔ)訪問(wèn)控制方法

史姣麗1,2黃傳河1何 凱1沈燮陽(yáng)1華 超1

1(武漢大學(xué)計(jì)算機(jī)學(xué)院 武漢 430072)2(九江學(xué)院 江西九江 332005)

(shijiaoli@whu.edu.cn)

以往的云存儲(chǔ)屬性基訪問(wèn)控制研究大多數(shù)是對(duì)外包數(shù)據(jù)的讀權(quán)限進(jìn)行控制，很少考慮多個(gè)用戶協(xié)同編輯云端同一個(gè)外包數(shù)據(jù)時(shí)的寫權(quán)限控制.多用戶協(xié)同編輯控制存在挑戰(zhàn)：1)資源有限的數(shù)據(jù)擁有者希望云輔助自己對(duì)外包數(shù)據(jù)的寫權(quán)限進(jìn)行控制，但不希望云獲得數(shù)據(jù)內(nèi)容，也不希望云感知匹配內(nèi)容，甚至不希望云能夠預(yù)測(cè)用戶的寫權(quán)限;2)布爾公式的訪問(wèn)結(jié)構(gòu)無(wú)法表達(dá)寫權(quán)限控制策略;3)雙線性映射運(yùn)算計(jì)算代價(jià)大，不適合多用戶協(xié)同編輯控制.提出一個(gè)支持多用戶協(xié)同編輯的云存儲(chǔ)訪問(wèn)控制方法：數(shù)據(jù)擁有者采用表達(dá)能力更豐富的circuit定義寫權(quán)限訪問(wèn)控制策略，委托半可信云采用矩陣運(yùn)算快速判斷用戶提交的修改數(shù)據(jù)是否應(yīng)該接受，并且云不可預(yù)測(cè)每個(gè)用戶是否具有寫權(quán)限.分析與實(shí)驗(yàn)表明:該方法具有多用戶協(xié)同編輯的訪問(wèn)控制能力，并且在讀權(quán)限控制時(shí)，利用云輔助解密方法使得用戶端存儲(chǔ)量和加解密計(jì)算量是較小的.

云存儲(chǔ)；訪問(wèn)控制；屬性加密；多用戶協(xié)同編輯；云輔助寫權(quán)限控制

云作為近年來(lái)發(fā)展較快的分布式架構(gòu)，不僅具有存儲(chǔ)數(shù)據(jù)的能力，而且能為大量用戶提供隨時(shí)隨地的訪問(wèn).但是，云服務(wù)器不能完全被用戶信任，因而需要研究合適的云存儲(chǔ)訪問(wèn)控制方法：1)控制合法用戶能夠訪問(wèn)授權(quán)數(shù)據(jù);2)控制半可信的云服務(wù)器無(wú)法得知數(shù)據(jù)的內(nèi)容.

屬性加密(attribute-based encryption, ABE)訪問(wèn)控制方法減弱了數(shù)據(jù)擁有者和數(shù)據(jù)訪問(wèn)者之間的耦合性，因而比傳統(tǒng)訪問(wèn)控制方法更適合上述云存儲(chǔ)訪問(wèn)控制應(yīng)用場(chǎng)景.ABE分為2類：密鑰策略屬性加密(key-policy attribute-based encryption, KP-ABE)和密文策略屬性加密(ciphertext-policy attribute-based encryption, CP-ABE).前者適應(yīng)于用戶檢索外包數(shù)據(jù)的應(yīng)用場(chǎng)景;后者適應(yīng)于用戶讀取外包數(shù)據(jù)的應(yīng)用場(chǎng)景.后者(CP-ABE)采用Data-binding-policy方法(將訪問(wèn)策略綁定在數(shù)據(jù)上)保證外包數(shù)據(jù)可以被多個(gè)用戶按需讀取，因而企業(yè)無(wú)需建設(shè)數(shù)據(jù)基礎(chǔ)設(shè)施.然而，大多數(shù)研究只關(guān)注用戶對(duì)云端密文的讀權(quán)限控制[1-2]，很少有研究關(guān)注上述無(wú)基礎(chǔ)設(shè)施的情況下如何實(shí)現(xiàn)密文協(xié)同編輯控制.

多個(gè)用戶同時(shí)編輯同一個(gè)外包密文數(shù)據(jù)時(shí)，可能出現(xiàn)5種控制要求：

1) 多個(gè)用戶的寫權(quán)限級(jí)別不同，他們同時(shí)提交修改數(shù)據(jù)時(shí)，需要保留高權(quán)限用戶提交的修改數(shù)據(jù)，忽略低權(quán)限用戶提交的修改數(shù)據(jù)；

2) 惡意編輯者一直寫數(shù)據(jù)，致使正常的其他編輯者無(wú)法寫成功；

3) 云環(huán)境下多個(gè)用戶提交的修改數(shù)據(jù)在傳輸時(shí)時(shí)延不同，會(huì)使得修改數(shù)據(jù)的發(fā)出時(shí)間順序與到達(dá)服務(wù)器的時(shí)間順序不同，數(shù)據(jù)在具體應(yīng)用時(shí)需要確定保留修改數(shù)據(jù)版本的時(shí)間順序；

4) 每個(gè)用戶的多個(gè)訪問(wèn)狀態(tài)之間存在偏序關(guān)系，例如用戶A在某個(gè)狀態(tài)提出訪問(wèn)數(shù)據(jù)請(qǐng)求時(shí)，要求該用戶曾經(jīng)經(jīng)歷過(guò)其他狀態(tài)；

5) 多個(gè)用戶之間在訪問(wèn)狀態(tài)上存在約束關(guān)系，例如用戶A在某個(gè)狀態(tài)提出數(shù)據(jù)請(qǐng)求時(shí)，要求其他用戶集合{uj}的狀態(tài)滿足指定的偏序關(guān)系.

以往的云存儲(chǔ)訪問(wèn)控制在處理多用戶協(xié)同編輯時(shí)，都是按照修改數(shù)據(jù)的到達(dá)時(shí)間(如文獻(xiàn)[3])，如果直接使用以前研究所提出的任何一種云存儲(chǔ)訪問(wèn)控制方法，都無(wú)法實(shí)現(xiàn)上述多用戶協(xié)同編輯細(xì)粒度訪問(wèn)控制需求.

協(xié)同編輯訪問(wèn)控制與讀權(quán)限訪問(wèn)控制存在不同：讀訪問(wèn)時(shí)，決定是否可讀的是用戶端的屬性私鑰，即如果用戶的屬性私鑰滿足密文關(guān)聯(lián)的訪問(wèn)策略，那么該用戶就可以讀取密文.協(xié)同編輯時(shí)，由于數(shù)據(jù)擁有者的終端設(shè)備在計(jì)算、存儲(chǔ)和通信等方面能力有限，因而需要云輔助數(shù)據(jù)擁有者實(shí)現(xiàn)寫權(quán)限控制.然而，在云輔助寫權(quán)限控制時(shí)存在2種挑戰(zhàn)：1)數(shù)據(jù)擁有者希望云輔助自己判斷是否接受每個(gè)用戶的修改數(shù)據(jù)；2)數(shù)據(jù)擁有者又不希望云獲得數(shù)據(jù)內(nèi)容，更不希望云能預(yù)測(cè)用戶下一次提交的數(shù)據(jù)是否可寫.

考慮以上安全控制需求，本文嘗試在云存儲(chǔ)環(huán)境下研究多用戶協(xié)調(diào)編輯訪問(wèn)控制方法，主要貢獻(xiàn)總結(jié)有3點(diǎn)：

1) 設(shè)計(jì)了云輔助解密方法，減輕了用戶端的計(jì)算代價(jià)，并證明了該方法在離散對(duì)數(shù)困難問(wèn)題假設(shè)下沒(méi)有減弱安全性.

2) 提出了多用戶協(xié)同編輯訪問(wèn)控制方法.該方法支持Collaborative-Edit：考慮到常用的布爾公式訪問(wèn)結(jié)構(gòu)無(wú)法表達(dá)復(fù)雜的寫權(quán)限控制策略，Owner采用表達(dá)能力更豐富的circuit定義復(fù)雜的寫權(quán)限控制策略，將策略關(guān)聯(lián)到密文數(shù)據(jù)，然后上傳到云.多個(gè)用戶提出編輯請(qǐng)求時(shí)，云根據(jù)Owner定義的策略確定最新數(shù)據(jù)版本，實(shí)現(xiàn)Data-binding-policy的細(xì)粒度寫權(quán)限控制.

3) 設(shè)計(jì)了MOR(many-to-one recoding)原語(yǔ)，對(duì)TOR(two-to-one recoding)原語(yǔ)[4]進(jìn)行維度擴(kuò)展，基于LWE(learning with error)理論實(shí)例化所設(shè)計(jì)的MOR原語(yǔ)，實(shí)現(xiàn)了多用戶協(xié)同編輯訪問(wèn)控制方法：考慮到基于雙線性映射及其安全假設(shè)構(gòu)建的ABE訪問(wèn)控制方法計(jì)算代價(jià)大，本文采用代價(jià)更小的矩陣運(yùn)算實(shí)現(xiàn)寫策略匹配，能夠在半信任云上快速判斷用戶提交的修改數(shù)據(jù)是否應(yīng)該接受，并且云不可預(yù)測(cè)每個(gè)用戶是否具有寫權(quán)限.

1 相關(guān)工作

支持協(xié)同編輯的云存儲(chǔ)訪問(wèn)控制研究方面，Dong等人[3]基于HIBE(hierarchical identity-based encryption)設(shè)計(jì)了SECO方案，該方案是根據(jù)修改數(shù)據(jù)到達(dá)云服務(wù)器的時(shí)間來(lái)確定最終的數(shù)據(jù)版本；Ruj等人[5]只提出了使用Claim Policy控制單個(gè)用戶寫權(quán)限控制；Li等人[6]將時(shí)間劃分為時(shí)間片，用Hash鏈和簽名技術(shù)控制寫權(quán)限，但只考慮Create-Writing情形，沒(méi)有考慮Collaborative-Writing情形；范艷芳等人[7]考慮協(xié)作環(huán)境下的訪問(wèn)控制模型，在經(jīng)典BLP模型上擴(kuò)充主客體的安全標(biāo)記，提高了傳統(tǒng)訪問(wèn)控制模型的靈活性.

ABE方案的研究方面，Yang等人[1]考慮大數(shù)據(jù)訪問(wèn)控制時(shí)的動(dòng)態(tài)策略更新問(wèn)題，討論了布爾公式、門限結(jié)構(gòu)及LSSS結(jié)構(gòu)的更新過(guò)程；Lai等人[8]使用半信任代理，在密文上修改訪問(wèn)策略，同時(shí)不泄漏任何信息給半信任代理；Chun等人[9]提出了支持動(dòng)態(tài)組成員管理的ABE方案；Hur等人[2]在軍用容斷網(wǎng)絡(luò)的應(yīng)用環(huán)境中，設(shè)計(jì)的CP-ABE方案支持多個(gè)AA分發(fā)重復(fù)屬性；Rouselakis等人[10]指出應(yīng)該由Owner自己指定其數(shù)據(jù)的訪問(wèn)屬性；王皓等人[11]給出了外包ABE的形式化定義，構(gòu)造并證明了一個(gè)外包ABE的方案；Li等人[6]針對(duì)PHR(personal health records)系統(tǒng)的訪問(wèn)控制需求，將屬性域分為個(gè)人屬性域和公共屬性域,個(gè)人屬性域由每個(gè)Owner自己進(jìn)行定義，而公共屬性域由AA進(jìn)行定義,ABE方案的格實(shí)現(xiàn)方面，研究者認(rèn)為格可以抵御量子計(jì)算機(jī)的攻擊;Boyen[12]提出了適合處理復(fù)雜訪問(wèn)策略的格操作框架：私鑰用Ephemeral Lattices，論文利用Basis Splicing技術(shù)，允許接受者將Ephemeral Lattices基轉(zhuǎn)換為任意其他格的基，可以處理規(guī)范或者非規(guī)范的訪問(wèn)策略；Liu等人[13]提出了基于格的門限層次ABE(t-HABE)，在LWE困難問(wèn)題假設(shè)下，降低了屬性數(shù)量；ABE方案的高效性研究方面，Hohenberger等人[14]將ABE方案分成線上和線下2部分，減少了線上計(jì)算量.

在實(shí)現(xiàn)ABE方案時(shí)，訪問(wèn)策略的形式可以是布爾公式、circuit等.Garg等人[15]基于多線性映射構(gòu)造了一個(gè)circuit ABE方案：只加密1位明文，密文長(zhǎng)度只與輸入集合中xi=1的個(gè)數(shù)有關(guān)，用戶私鑰與circuit的深度depth有關(guān)，公鑰與input的數(shù)量n有關(guān)；Xu等人[16]在Garg等人[15]的基礎(chǔ)上，設(shè)計(jì)了Complement circuit CP-ABE，實(shí)現(xiàn)了云輔助解密的結(jié)果驗(yàn)證，可以防止云服務(wù)器欺騙用戶.

circuit ABE方案也可以基于LWE困難假設(shè)構(gòu)造，其理論基礎(chǔ)是Regev[17]證明的結(jié)論：解決LWE平均困難問(wèn)題相當(dāng)于最壞困難問(wèn)題，因此，LWE困難假設(shè)可以作為密碼學(xué)的一個(gè)Central Fixture；Gorbunov等人[4]設(shè)計(jì)了一個(gè)TOR原語(yǔ)，并基于LWE困難假設(shè)實(shí)例化了TOR原語(yǔ)，提出了一個(gè)circuit ABE方案：策略是以扇入度為2的Gates組成的邏輯電路，且私鑰的長(zhǎng)度與circuit的長(zhǎng)度成正比.

2 MOR原語(yǔ)及實(shí)例化設(shè)計(jì)

2.1 MOR原語(yǔ)

存在1組偽隨機(jī)函數(shù)Encode(·)和1個(gè)重編碼密鑰rk，使得轉(zhuǎn)換可以實(shí)施：

(Encode(pk1,w),Encode(pk2,w),…,

Encode(pkN,w))|→Encode(pktgt,w)，

轉(zhuǎn)換密鑰rk可以由任意公鑰pkb對(duì)應(yīng)的私鑰skb生成，w是高斯種子隨機(jī)數(shù).

2.2 設(shè)計(jì)思路

在Gorbunov等人[4]基于LWE困難假設(shè)實(shí)例化的TOR原語(yǔ)中，有：

(1)其中，R∈2m×mq，A∈n×mq，s∈nq，R是滿足[A0‖A1]R=Atgt的一個(gè)低秩矩陣，映射為密鑰rk；矩陣Ab∈n×mq(A0或A1)映射為公鑰pkb(pk0或pk1)，后門矩陣Tb∈m×mq(T0或T1)映射為私鑰skb(sk0或映射為編碼過(guò)程Encode(Ab,w).eb滿足高斯分布D，界為σ.矩陣RT表示對(duì)矩陣R進(jìn)行轉(zhuǎn)置運(yùn)算.

根據(jù)LWE困難假設(shè)[17]，能夠區(qū)分{A,ATs+e}和{A,u}兩個(gè)分布的優(yōu)勢(shì)可以忽略，其中，u∈mq.因而，式(1)可以擴(kuò)展為

(2)

其中，R∈Nm×mq.

2.3 實(shí)例化設(shè)計(jì)

根據(jù)式(2)，對(duì)MOR原語(yǔ)進(jìn)行詳細(xì)的實(shí)例化設(shè)計(jì).

Keygen(PP)：調(diào)用后門函數(shù)，生成矩陣A及其后門矩陣T，分別作為公鑰和私鑰：pk=A，sk=T，其中，A∈n×mq，T∈m×mq.

Encode(pk,w)：選擇Error向量e∈Xm和s∈nq，計(jì)算并輸出φ=ATs+e.

ReKeygen(pk1,pk2,…,pkN,skb,pktgt)：選擇N-1個(gè)離散高斯矩陣Ri∈(D)m×m，計(jì)算U=pktgt-，其中，i≠b，計(jì)算Rb=SampleD(Ab,Tb,U)，輸出：

2.4 MOR原語(yǔ)的特性

MOR原語(yǔ)具有不可預(yù)測(cè)性和可重用性.

1) 不可預(yù)測(cè)性.對(duì)于N輸入的門G:{0,1}×…×{0,1}→{0,1}和N個(gè)輸入L1,L2,…,LN，已知轉(zhuǎn)換表(rk,φ1,φ2,…,φN,φtgt)和φi=Encode(pki,w)，容易計(jì)算Encode(G(L1,L2,…,LN),w)，但Encode(1-G(L1,L2,…,LN),w)仍然保持隱藏.

2) 可重用性.s與轉(zhuǎn)換過(guò)程完全獨(dú)立，因而可以通過(guò)選擇隨機(jī)數(shù)s刷新轉(zhuǎn)換表的方式達(dá)到可重用的目的.

3 建 模

3.1 系統(tǒng)模型

如圖1所示，系統(tǒng)由4部分實(shí)體組成：屬性授權(quán)中心(attribute authorities, AA)、云服務(wù)器(Cloud Server)、數(shù)據(jù)擁有者(Owner)、用戶(User).

Fig. 1 System model圖1 系統(tǒng)模型

1) AA是可信屬性授權(quán)中心.負(fù)責(zé)管理屬性集合，為User分發(fā)代表讀權(quán)限的私鑰SKut和代表寫權(quán)限的憑證nsut‖Tokenut,nsi，其中，ut表示用戶編號(hào)，nsut表示用戶ut的當(dāng)前狀態(tài)，nsi表示所有用戶的狀態(tài)向量.

2) Owner是數(shù)據(jù)擁有者.Owner先用內(nèi)容密鑰運(yùn)行對(duì)稱密碼算法加密，得到Cm；然后用本地指定的讀權(quán)限訪問(wèn)策略對(duì)內(nèi)容密鑰進(jìn)行CP-ABE加密，得到Cp；接著定義多用戶協(xié)同編輯策略Ct;最后將Cm‖Cp‖Ct上傳云端.

3.2 安全要求

1) 防止共謀.2個(gè)合法用戶不能通過(guò)合并其屬性私鑰而提升原本單獨(dú)不具備的讀權(quán)限.另外，假設(shè)用戶A為了避免責(zé)任，不會(huì)將代表了寫權(quán)限的憑證Tokenut,nsi共享給用戶B，即每個(gè)用戶為了自身利益考慮，不會(huì)將代表了責(zé)任的Tokenut,nsi分享給他人.

2) 數(shù)據(jù)機(jī)密性.Owner提交的數(shù)據(jù)在服務(wù)器端加密存儲(chǔ)，Server或非授權(quán)用戶無(wú)法獲知數(shù)據(jù)的內(nèi)容.

Fig. 2 The proposed framework for collaborative edit access control 圖2 多用戶協(xié)同編輯訪問(wèn)控制框架

3) 不可預(yù)測(cè)性.假設(shè)Server是半可信的，即，Server會(huì)忠實(shí)地完成代理匹配寫權(quán)限的任務(wù)，但是對(duì)匹配的內(nèi)容敏感.同時(shí)，Server不可預(yù)測(cè)每個(gè)用戶是否可寫，除非該User提交了正確的憑證.

3.3 安全模型的定義

定義1. 如果在多項(xiàng)式時(shí)間內(nèi)，敵手勝出下述安全游戲的最大優(yōu)勢(shì)是可忽略的，則所提出的方案是安全的.

初始化階段. 挑戰(zhàn)者運(yùn)行Initial算法生成公共參數(shù)和主鑰.公共參數(shù)公開(kāi)給敵手，主鑰秘密保存在AA上.

階段1.敵手通過(guò)向挑戰(zhàn)者提交屬性集Iut,k查詢屬性私鑰SKut,k.挑戰(zhàn)者運(yùn)行Setup算法為敵手生成屬性私鑰SKut,k.階段1可以重復(fù)多次.

挑戰(zhàn)階段.敵手提交2個(gè)消息：m0和m1，并給出讀權(quán)限控制樹(shù)policyr，但該控制樹(shù)不能被階段1中所提交的Iut,k匹配.接著，挑戰(zhàn)者拋硬幣選擇b∈{0,1}，并運(yùn)行EncryptData算法輸入policyr加密mb，得到加密結(jié)果cb，然后將cb發(fā)送給敵手.

階段2.過(guò)程與階段1相同，只是添加了一條限制：policyr不能被所挑戰(zhàn)的屬性集匹配.敵手也可以詢問(wèn)SKut,k的解密委托密鑰Part_SKut，如此，敵手就可從挑戰(zhàn)者獲得Part_SKut.

猜測(cè)階段.敵手輸出猜想結(jié)果b′∈{0,1}，如果b′=b，則敵手勝出.

敵手勝出該游戲的優(yōu)勢(shì)Adv定義為

4 多用戶協(xié)同編輯訪問(wèn)控制方法

4.1 基本思想

采用CP-ABE方法對(duì)外包數(shù)據(jù)進(jìn)行訪問(wèn)控制時(shí)，Owner不希望永遠(yuǎn)在線，并且本地存儲(chǔ)容量有限，所以O(shè)wner在指定讀權(quán)限訪問(wèn)策略policyr并加密數(shù)據(jù)后，立即將密文上傳云服務(wù)器進(jìn)行存儲(chǔ)，以便其他用戶可以隨時(shí)隨地讀取數(shù)據(jù)或者編輯數(shù)據(jù).

多個(gè)用戶從云端下載密文后，用自己的私鑰解密并讀取數(shù)據(jù)，接著，用戶也可以編輯數(shù)據(jù)，并將修改數(shù)據(jù)提交給云，云有2種處理方法：1)Owner審核多個(gè)用戶提交的數(shù)據(jù)編輯內(nèi)容，并決定數(shù)據(jù)的最新版本.基于這種處理方法，設(shè)計(jì)的多用戶協(xié)同控制方法詳見(jiàn)前期研究成果[18].2)云根據(jù)Owner定義的協(xié)同編輯控制策略決定數(shù)據(jù)的最新版本.本文基于這種處理方法，設(shè)計(jì)多用戶協(xié)同編輯訪問(wèn)控制方法，如圖2所示.為研究方便，暫不考慮并發(fā)機(jī)制的實(shí)現(xiàn).

為了控制云端同一個(gè)密文被多個(gè)用戶進(jìn)行協(xié)同編輯，Owner定義密文的寫權(quán)限控制策略Ct，并將Ct連同密文一起上傳云端，由云輔助Owner進(jìn)行寫權(quán)限策略匹配.密文數(shù)據(jù)的一致性由Owner定義的Ct來(lái)決定，即Owner可以通過(guò)任意定義Ct指定一致性規(guī)則.這種將數(shù)據(jù)與策略綁定并且策略決定數(shù)據(jù)訪問(wèn)權(quán)限的方法稱為Data-binding-policy，適應(yīng)于云存儲(chǔ)等分布式系統(tǒng)的數(shù)據(jù)訪問(wèn)控制.

讀權(quán)限控制要求云不能獲知明文數(shù)據(jù).以往的CP-ABE方案中，用戶下載密文后在本地解密，因而可以滿足“云不能獲知明文數(shù)據(jù)”這一安全要求.為了減少用戶端計(jì)算代價(jià)，將大部分解密工作委托給云服務(wù)器，并且仍然保證“云不能獲知數(shù)據(jù)”.本文設(shè)計(jì)了用戶委托解密密鑰，能夠讓云使用該密鑰完成大部分的解密工作，同時(shí)，該密鑰又不能破壞數(shù)據(jù)的機(jī)密性.

與讀權(quán)限控制不同，協(xié)同編輯權(quán)限控制要求：云不能獲知數(shù)據(jù)內(nèi)容，不能感知匹配內(nèi)容，甚至也不能通過(guò)先前的匹配結(jié)果預(yù)測(cè)后續(xù)匹配的結(jié)果.同時(shí)，讀策略policyr采用的布爾公式描述方法也不適應(yīng)于協(xié)同編輯策略Ct，這是因?yàn)椴紶柟奖容^適合描述屬性是否配對(duì)，無(wú)法描述復(fù)雜的控制需求(見(jiàn)本文引言部分).

復(fù)雜的協(xié)同編輯控制策略涉及到數(shù)值大小的比較(例如時(shí)間的先后比較等)，需要更豐富的表達(dá)能力(例如多用戶之間的狀態(tài)條件).相對(duì)于布爾公式，circuit具有復(fù)雜控制需求的描述能力，因而本文采用circuit描述協(xié)同編輯控制策略.

關(guān)于協(xié)同編輯控制策略的云輔助匹配，本文采用LWE理論的矩陣運(yùn)算，而不是policyr匹配時(shí)的雙線性映射運(yùn)算.這是因?yàn)椴捎妙愃朴趐olicyr匹配時(shí)的雙線性映射運(yùn)算進(jìn)行匹配時(shí)，需要將協(xié)同編輯策略映射為訪問(wèn)控制樹(shù)，將用戶權(quán)限映射為屬性集，然后在云服務(wù)器上進(jìn)行雙線性映射匹配.這種方法存在2個(gè)問(wèn)題：1)云在匹配運(yùn)算之前就能預(yù)測(cè)下一個(gè)用戶提交數(shù)據(jù)是否會(huì)被接受；2)匹配效率低.假設(shè)用戶數(shù)量為N，用戶狀態(tài)的數(shù)量為M.極端情況下，需要對(duì)每個(gè)用戶在每個(gè)狀態(tài)下訪問(wèn)數(shù)據(jù)時(shí)指定一個(gè)控制樹(shù)，每個(gè)樹(shù)的屬性數(shù)目是N×M，則每個(gè)數(shù)據(jù)的協(xié)同編輯策略需要N2×M2個(gè)屬性來(lái)定義.假如用戶用數(shù)量為K的屬性集來(lái)表示，則需要K2×M2個(gè)屬性來(lái)定義協(xié)同編輯策略.

考慮上述安全及效率問(wèn)題，本文設(shè)計(jì)了基于LWE假設(shè)的MOR原語(yǔ)和新的協(xié)同編輯控制策略匹配方法，利用MOR原語(yǔ)的不可預(yù)測(cè)性和可重用性，使得本文提出的方法既能讓云高效地完成寫權(quán)限的輔助匹配，又能保證云在匹配運(yùn)算之前無(wú)法預(yù)測(cè)用戶提交的修改數(shù)據(jù)是否被接受(即云的不可預(yù)測(cè)性).

4.2 詳細(xì)工作流程

各個(gè)階段運(yùn)行不同算法，如圖3所示.

1) 初始化階段(initialization phase).AA調(diào)用Initial算法，生成全局公共參數(shù)params和主鑰MK=(MK1,MK2)，將params和MK2發(fā)送給申請(qǐng)注冊(cè)的Owner.接著，AA調(diào)用Setup算法，為用戶生成屬性私鑰SKut、云輔助解密密鑰對(duì)(DPKut,DSKut)，將SKut，DPKut，DSKut通過(guò)密鑰交換協(xié)議發(fā)送給User.然后，AA調(diào)用SetupCollaborativeEdit算法生成協(xié)同編輯控制參數(shù)mpki，mski，pkout，并將mpki和pkout廣播給Owner，將mski通過(guò)密鑰交換協(xié)議發(fā)送給User.值得注意的是，屬性字符串在Setup算法中由AA任意指定，無(wú)需在Initial算法以枚舉類型羅列出來(lái)，即屬性域無(wú)需明確定義，這樣設(shè)計(jì)靈活性更強(qiáng).

Fig. 3 Phases and algorithms圖3 階段與算法

2) 數(shù)據(jù)準(zhǔn)備階段(data preparing phase).Owner調(diào)用EncryptData算法，用對(duì)稱密鑰Kcontent對(duì)明文數(shù)據(jù)M運(yùn)行對(duì)稱密碼算法進(jìn)行加密得到Cm，Owner定義具有讀權(quán)限的策略policyr，用policyr對(duì)對(duì)稱密鑰Kcontent進(jìn)行CP-ABE加密得到Cp，將Cm‖Cp上傳到服務(wù)器.

定義協(xié)同編輯條件(collaborative edit policy definition)，Owner運(yùn)行EncryptCollaborativeEdit算法，定義協(xié)同編輯條件Ct，上傳到服務(wù)器，服務(wù)器將Ct附在Cm‖Cp后面，得到Cm‖Cp‖Ct后存儲(chǔ).

3) 數(shù)據(jù)讀取階段(data read phase).當(dāng)User向服務(wù)器申請(qǐng)數(shù)據(jù)時(shí)，User提交其Part_SKut，服務(wù)器使用用戶提交的Part_SKut，運(yùn)行DecryptNode算法計(jì)算出Part_Decrypt，然后將Part_Decrypt連同Cm‖Cp一起發(fā)送給用戶，用戶運(yùn)行DecryptData算法使用SKut和Cp獲得Kcontent，并使用Kcontent和Cm運(yùn)行對(duì)稱解密算法，即可讀取明文.

4.3 核心算法

1)Initial算法

MK=(MK1=ga,MK2=e(g,g)b)，

其中a,b∈*p.

2)Setup算法

Setup算法運(yùn)行在AA上.AA接受用戶的注冊(cè)，并為每個(gè)合法的用戶生成密鑰.假設(shè)每個(gè)用戶ut的屬性集為Iut，AA對(duì)用戶ut的每個(gè)屬性選擇隨機(jī)數(shù)r1,r2,…,rj,…∈p，生成用戶私鑰SKut：

D=MK1grt=gagrt，

Dj=grtH(λj)rj，

為了完成云輔助解密，AA還要為User生成委托解密的密鑰對(duì)：

選擇隨機(jī)數(shù)ru∈*p，計(jì)算DPKut=gru+b，DSKut=gru+a.

AA通過(guò)密鑰交換協(xié)議將SKut，DSKut，DPKut發(fā)送給用戶.

3)SetupCollaborativeEdit算法

AA為每一個(gè)參與協(xié)同編輯的用戶生成2個(gè)密鑰向量：

mpki=(pki,1,pki,2,…,pki,M)，

mski=(statuski,1,statuski,2,…,statuski,M)，

pki,j=Ai,j∈n×mq，

statuski,j=Ti,j∈m×mq,

其中，pki,j和statuski,j是通過(guò)運(yùn)行后門生成算法TrapGen(1n,1m,q)生成的矩陣Ai,j和后門矩陣Ti,j.

最后，AA為協(xié)同編輯的用戶集合生成一個(gè)狀態(tài)控制公鑰：pkout=Aout∈n×mq.

AA將mpki和pkout廣播于Owner用戶，并將mski通過(guò)密鑰交換協(xié)議分發(fā)給用戶.

4)EncryptData算法

EncryptData算法運(yùn)行在Owner上.先用對(duì)稱加密算法將明文M加密成Cm，然后加密密鑰Kcontent用CP-ABE方法加密得到Cp，CP-ABE加密時(shí)，使用數(shù)據(jù)讀策略policyr.接著Owner將Cm‖Cp上傳到服務(wù)器.

Owner對(duì)數(shù)據(jù)進(jìn)行讀權(quán)限控制的CP-ABE加密過(guò)程如下：選擇隨機(jī)數(shù)sc∈*p，令qR(0)=sc，其中，R表示policyr的根節(jié)點(diǎn),qR(x)表示根節(jié)點(diǎn)R的多項(xiàng)式.Owner以嵌套的方式設(shè)置每個(gè)節(jié)點(diǎn)x的多項(xiàng)式qx.每個(gè)節(jié)點(diǎn)x的門限為kx，qx的度設(shè)為dx=kx-1.qx的常數(shù)項(xiàng)qx(0)設(shè)置為qparent(x)(index(x))，qx的其他項(xiàng)系數(shù)是隨機(jī)選取的整數(shù).Cp的構(gòu)造如下：

Cr=gsc，

Ci=gqi(0)，

其中，ST是訪問(wèn)策略樹(shù)policyr所有屬性(即，葉子節(jié)點(diǎn))的集合.

5)EncryptCollaborativeEdit算法

EncryptCollaborativeEdit算法運(yùn)行在Owner上.Owner將每個(gè)用戶作為circuit的一個(gè)input wire，并對(duì)于用戶狀態(tài)約束條件抽象化的合取范式抽象為circuit，將circuit編碼為Ct：

Ct=(φ1,φ2,…,φN,Γ)，

φi=Encode(pki,nsi,w)，

Owner將Ct上傳，并附于Cm‖Cp之后，存儲(chǔ)于云.

6)MatchCollaborativeEdit算法

rk=RekeyGen({pki,nsi},Tokenut,nsi,pkout)，

φout=Recode(rk,φ1,φ2,…,φN)，

為了確保Cloud對(duì)編輯請(qǐng)求的不可預(yù)測(cè)性，需要在每一次成功覆蓋時(shí)重新刷新circuit.

7)DecryptData算法

DecryptData算法運(yùn)行在User上，使用用戶的私鑰SKut解密密文中的Cp，如果用戶的屬性集Iut滿足Cp中關(guān)聯(lián)的訪問(wèn)策略，則解密成功，獲得對(duì)稱密鑰Kcontent，繼而通過(guò)對(duì)稱解密算法解密Cm，獲得明文M.

使用SKut解密Cp的過(guò)程如下：

用戶將DSKut附到Dj后，得到Part_SKut：

用戶將Part_SKut發(fā)送給服務(wù)器，請(qǐng)求其輔助解密，服務(wù)器收到用戶請(qǐng)求后，從訪問(wèn)策略樹(shù)policyr的根節(jié)點(diǎn)開(kāi)始，以遞歸方式調(diào)用DecryptNode算法.假設(shè)用戶私鑰中的屬性集為Iut，policyr的葉子節(jié)點(diǎn)集合為ITree，λi為節(jié)點(diǎn)xi的屬性.DecryptNode算法描述如下：

算法1.DecryptNode.

輸入:Cp,Part_SKut,Iut；

輸出:Part_Decrypt；

Ifxi∈ITreeThen

Ifλi∈IutThen

e(g,g)(rt+ru+a)qi(0)；

End If

Ifλi?IutThen

Part_Decrypt=⊥；

End If

End If

Ifxi∈policyrandxi?ITreeThen

End If

Ifxi==root(policyr) Then

ReturnPart_Decrypt;

End If

其中，Part_Decryptz表示節(jié)點(diǎn)xi的孩子z上DecryptNode算法的運(yùn)算結(jié)果.i=index(z)，sx={index(z),z∈Ixi}，Ixi表示節(jié)點(diǎn)xi的所有孩子節(jié)點(diǎn)組成的集合.如果policyr匹配成功，即可獲得：Part_Decrypt=e(g,g)(rt+ru+a)·sc.

服務(wù)器將Part_Decrypt連同Cm‖Cp一起發(fā)送給用戶ut.用戶從服務(wù)器獲得Part_Decrypt和Cm‖Cp后，計(jì)算Kcontent：

用戶得到內(nèi)容密鑰Kcontent后，解密Cm，讀取明文M.

5 分 析

5.1 正確性

1) MOR原語(yǔ)的正確性分析

分析完畢.

2) 多用戶協(xié)同編輯控制方法的正確性分析

下面分別闡述刷新circuit對(duì)φi和Γ帶來(lái)的影響，為方便表達(dá)，2個(gè)向量相乘的結(jié)果就是對(duì)應(yīng)位上元素相乘得到的向量，向量與數(shù)字相乘就是向量的每一個(gè)元素都乘以該數(shù)字.

?！′時(shí)，

Fig. 4 Reusable parameters圖4 可重用參數(shù)

5.2 安全性分析與證明

1) 抗共謀分析

即使半可信云與惡意用戶之間共謀，也不能讓惡意用戶獲得更多權(quán)限.云不能通過(guò)合并用戶A和用戶B的Part_SKut，以便讓用戶A獲得更多權(quán)限.

{(grBtH(λj)rj,rBt)}}，

2) 數(shù)據(jù)機(jī)密性安全分析

明文通過(guò)對(duì)稱加密算法加密成Cm存儲(chǔ)于服務(wù)器，而對(duì)稱加密時(shí)的密鑰Kcontent也用policyr加密成Cp放在服務(wù)器.只有密鑰攜帶的屬性集與policyr匹配的用戶才可以解密Cp，得到Kcontent，從而使用Kcontent從Cm中恢復(fù)出明文.非授權(quán)用戶和服務(wù)器即使獲得Cm和Cp，也不能夠恢復(fù)明文M.

3) 不可預(yù)測(cè)性分析

Server不能通過(guò)多次輸入(L1,L2,…,LN)記錄Encode(G(L1,L2,…,LN),w)提升共謀用戶的編輯權(quán)限.分析如下：MOR原語(yǔ)具有不可預(yù)測(cè)性，也就是說(shuō)，Encode(G(L1,L2,…,LN),w)的計(jì)算結(jié)果不增加計(jì)算Encode(1-G(L1,L2,…,LN),w)的優(yōu)勢(shì)，即，當(dāng)且僅當(dāng)G(L1,L2,…,LN)=1成立時(shí)，才能獲得正確的Encode(G(L1,L2,…,LN),w).多次記錄G(L1,L2,…,LN)=0時(shí)的Encode(G(L1,L2,…,LN),w)結(jié)果是無(wú)用的，因而云對(duì)每一次提交的寫請(qǐng)求結(jié)果具有不可預(yù)測(cè)性；又因?yàn)镸OR原語(yǔ)具有可重用性，因而可以在每一次成功寫之后實(shí)現(xiàn)轉(zhuǎn)換表的刷新.綜合上述2條原因，先驗(yàn)知識(shí)不能幫助敵手獲得更多的優(yōu)勢(shì).

4) 數(shù)據(jù)機(jī)密性安全證明

在Bethencourt等人[19]的基礎(chǔ)上，本文構(gòu)造了讀權(quán)限訪問(wèn)控制方法：云輔助解密時(shí)，用戶需要將Part_SKut發(fā)送給服務(wù)器.接下來(lái)，證明在離散對(duì)數(shù)困難問(wèn)題假定下，Part_SKut暴露給敵手并不能增加其勝出安全游戲的優(yōu)勢(shì).

5) 用戶編輯權(quán)限控制分析

授權(quán)用戶可以得到寫權(quán)限：根據(jù)構(gòu)造后門應(yīng)具有的安全特性(文獻(xiàn)[20]中命題5.1)，矩陣及其后門是一一對(duì)應(yīng)的，擁有后門的用戶可以獲得正確的解密結(jié)果.本文方法中，SetupCollaborativeEdit算法運(yùn)行后，每一個(gè)參與協(xié)同編輯的用戶從AA獲得mski，這個(gè)向量的每一和個(gè)分量對(duì)應(yīng)了后門算法生成的后門矩陣Ti,j.另外，Owner運(yùn)行EncryptCollaborativeEdit算法生成的Ct是以mpki和pkout為參數(shù)構(gòu)造的，mpki的每一個(gè)分量對(duì)應(yīng)了后門算法的矩陣Ai,j，根據(jù)本文5.1節(jié)MOR原語(yǔ)和本文方法的正確性分析，擁有寫權(quán)限的用戶具有合適的憑證Tokenut,nsi,會(huì)得到成功的Ct匹配結(jié)果.

5.3 讀權(quán)限控制的代價(jià)分析

1) 存儲(chǔ)代價(jià)分析

表1給出了已有方法[2,21]與本文方法之間存儲(chǔ)開(kāi)銷方面的比較.

表1中，LG表示群G中一個(gè)元素的存儲(chǔ)量；na,k表示授權(quán)機(jī)構(gòu)AAk管理下的屬性數(shù)量；na,k,ut表示授權(quán)機(jī)構(gòu)AAk為用戶ut生成的私鑰中關(guān)聯(lián)的屬性數(shù)量；nut,k表示授權(quán)機(jī)構(gòu)AAk管理的用戶數(shù)量；tr表示Owner指定的policyr中的屬性數(shù)量；NA表示密文中關(guān)聯(lián)的AA數(shù)量；LS表示密文Ct中的存儲(chǔ)量.與文獻(xiàn)[2，21]已有方法相同，表1忽略隨機(jī)整數(shù)的存儲(chǔ)代價(jià).

Table 1 Comparison of Storage Cost表1 存儲(chǔ)代價(jià)比較

由表1可知，本文方法在Owner上的存儲(chǔ)代價(jià)都比較小，適合輕量級(jí)終端應(yīng)用.但本文方法在服務(wù)器上的存儲(chǔ)代價(jià)與密文中狀態(tài)約束控制所用的Ct相關(guān)，這是因?yàn)楸疚姆椒紤]了多用戶協(xié)同編輯控制，而其他2個(gè)方法只考慮了讀權(quán)限控制.

2) 計(jì)算代價(jià)分析

表2比較了已有方法[2,21]與本文方法之間核心算法運(yùn)行時(shí)的計(jì)算代價(jià).表2中，EG表示群G上指數(shù)運(yùn)算的計(jì)算量；PG表示群G上雙線性映射運(yùn)算的計(jì)算量；k表示用戶屬性私鑰攜帶的屬性數(shù)量；IAk表示密文中關(guān)聯(lián)的授權(quán)機(jī)構(gòu)AAk管理的屬性數(shù)量.與文獻(xiàn)[2,21]已有方法相同，表2忽略乘法與除法的計(jì)算代價(jià).

Table 2 Comparison of Computation Cost表2 計(jì)算代價(jià)比較

由表2可知，本文方法的用戶端(包括Owner和User)在加密解密時(shí)的計(jì)算量都比較小，適合輕量級(jí)終端應(yīng)用.同時(shí)，文獻(xiàn)[2，21]只考慮了單用戶獨(dú)立訪問(wèn)讀取數(shù)據(jù)的情景.

6 仿 真

6.1 讀權(quán)限訪問(wèn)控制方法的仿真實(shí)驗(yàn)

仿真實(shí)驗(yàn)運(yùn)行平臺(tái)為Ubuntu操作系統(tǒng)，雙線性映射運(yùn)算函數(shù)庫(kù)采用PBC(pairing based cryptography library)，大整數(shù)數(shù)據(jù)庫(kù)采用GMP(GNU MP Bignum library).數(shù)據(jù)加密和解密過(guò)程中用戶端的計(jì)算代價(jià)仿真如圖5所示，橢圓曲線選擇α，群的階均為160 b，域的大小為512 b.policyr中的屬性個(gè)數(shù)和用戶屬性私鑰中所含屬性的個(gè)數(shù)默認(rèn)設(shè)置為20.為了使實(shí)驗(yàn)結(jié)果穩(wěn)定，運(yùn)行時(shí)間取20次運(yùn)行的平均.

圖5(a)是Owner端加密過(guò)程仿真結(jié)果，可以看到，3個(gè)方法的加密時(shí)間與policyr中的屬性個(gè)數(shù)都成線性關(guān)系，同時(shí)，文獻(xiàn)[21]的加密代價(jià)明顯高于本文所提方法和文獻(xiàn)[2]，這是因?yàn)槲墨I(xiàn)[21]中的加密是計(jì)算C,C′,C″,{Ci,D1,i,D2,i}，計(jì)算C,C′,C″分別需要1次指數(shù)運(yùn)算.計(jì)算Ci,D1,i,D2,i分別需要2次、1次和1次指數(shù)運(yùn)算.

Fig. 5 Simulation of encryption and decryption costs on User圖5 用戶端加解密計(jì)算代價(jià)的仿真

Fig. 6 Simulation of the core algorithms in the MOR primitive圖6 MOR核心算法的仿真

圖5(b)(c)是User端解密過(guò)程仿真結(jié)果，可以看到，policyr中的屬性個(gè)數(shù)變化對(duì)User端解密時(shí)間影響不大.文獻(xiàn)[2]的User端解密時(shí)間明顯高于本文所提方法和文獻(xiàn)[21]的方法，這是因?yàn)楸疚乃岱椒ê臀墨I(xiàn)[21]方法都采用了解密外包的方法.另外，文獻(xiàn)[2]中SKut中的屬性數(shù)量與User端的解密時(shí)間成線性關(guān)系，而本文所提方法和文獻(xiàn)[21]方法將解密運(yùn)算外包之后，User端的解密時(shí)間與SKut中的屬性數(shù)量無(wú)關(guān).

6.2 MOR原語(yǔ)的仿真實(shí)驗(yàn)

為了仿真MOR原語(yǔ)，采用FLINT(fast library for number theory)，MPFR(multiple precision floating point reliable library，MPIR(multiple precision integer and rational library)實(shí)現(xiàn)任意精度運(yùn)算.其中，LWE維度參數(shù)的位數(shù)設(shè)為n設(shè)為512 b或1 024 b，高斯分布抽樣數(shù)目的位數(shù)m設(shè)為關(guān)于n的多項(xiàng)式poly(n).算法SampleD使用Nearest-Plane方法(Gentry[20]和Ducas[22]).

圖6(a)(c)中，以線性標(biāo)尺顯示MOR原語(yǔ)核心算法的計(jì)算代價(jià)，圖6(b)(d)則以對(duì)數(shù)標(biāo)尺顯示.仿真實(shí)驗(yàn)結(jié)果表明，算法E和D的運(yùn)行時(shí)間與參數(shù)m的位數(shù)無(wú)關(guān)，而算法ReKeyGen和算法Encode的運(yùn)行時(shí)間隨著參數(shù)m位數(shù)的增加快速增加.

假設(shè)用戶可接受的延遲時(shí)間臨界值是103ms，那么，當(dāng)參數(shù)n=512 b時(shí)，無(wú)論參數(shù)m設(shè)置多大，延遲時(shí)間都是用戶可以接受的.如果參數(shù)n=1 024 b，則只有參數(shù)m的位數(shù)小于2 000 b，延遲時(shí)間才可以接受.

7 結(jié)束語(yǔ)

本文分析了云存儲(chǔ)環(huán)境中多用戶協(xié)同編輯訪問(wèn)控制產(chǎn)生的用戶狀態(tài)控制需求，在Multi-Read-Collaborative-Edit情景下，提出了一個(gè)支持多用戶協(xié)同編輯的訪問(wèn)控制方法.該方法具有3個(gè)主要特性：

2) 實(shí)現(xiàn)了Data-binding-policy訪問(wèn)控制方法.Owner將指定的讀權(quán)限策略和編輯權(quán)限策略綁定在數(shù)據(jù)上，只有User的私鑰滿足讀權(quán)限策略時(shí)才能讀取明文，只有在協(xié)同編輯策略匹配成功時(shí)才能更新數(shù)據(jù).協(xié)同編輯控制的復(fù)雜性要求Owner采用表達(dá)能力更豐富的circuit定義協(xié)同編輯策略，云端根據(jù)該策略確定最終修改版本.

3) 實(shí)現(xiàn)了云輔助協(xié)同編輯策略匹配的不可預(yù)測(cè)性.本文設(shè)計(jì)的MOR原語(yǔ)具有可重用性和不可預(yù)測(cè)性，因而基于該原語(yǔ)設(shè)計(jì)的協(xié)同編輯策略匹配方法能夠快速判斷用戶提交的修改數(shù)據(jù)是否應(yīng)該接受，并且云不可預(yù)測(cè)每個(gè)用戶是否具有寫權(quán)限.

[1]Yang Kan, Jia Xiaohua, Ren Kui, et al. Enabling efficient access control with dynamic policy updating for big data in the cloud[C]Proc of IEEE INFOCOM 2014. Piscataway, NJ: IEEE, 2014: 2013-2021

[2]Hur J, Kang K. Secure data retrieval for decentralized disruption-tolerant military networks[J]. IEEEACM Trans on Networking, 2014, 22(1): 16-26

[3]Dong Xin, Yu Jiadi, Zhu Yanmin, et al. SECO: Secure and scalable data collaboration services in cloud computing[J]. Computers and Security, 2015, 50(1): 91-105

[4]Gorbunov S, Vaikuntanathan V, Wee H. Attribute-based encryption for circuits[C]Proc of the 45th Annual ACM Symp on Theory of Computing (STOC). New York: ACM, 2013: 545-554

[5]Ruj S, Stojmenovic M, Nayak A. Decentralized access control with anonymous authentication of data stored in clouds[J]. IEEE Trans on Parallel and Distributed Systems, 2014, 25(2): 384-394

[6]Li Ming, Yu Shucheng, Zheng Yao, et al. Scalable and secure sharing of personal health records in cloud computing using attribute-based encryption[J]. IEEE Trans on Parallel and Distributed Systems, 2013, 24(1): 131-143

[7]Fan Yanfang, Cai Ying. Collaboration supported mandatory access control model[J]. Journal of Computer Research and Development, 2015, 52 (10): 2411-2421 (in Chinese)(范艷芳, 蔡英. 支持協(xié)作的強(qiáng)制訪問(wèn)控制模型[J]. 計(jì)算機(jī)研究與發(fā)展, 2015, 52 (10): 2411-2421)

[8]Lai Junzuo, Deng R H, Yang Yanjiang, et al. Adaptable ciphertext-policy attribute-based encryption[G]LNCS 8365: Proc of the Pairing 2013. Berlin: Springer, 2013: 199-214

[9]Chun I F, Huang V S M, Ruan Heming. Arbitrary state attribute-based encryption with dynamic membership[J]. IEEE Trans on Computers, 2014, 63(8): 1951-1961

[10]Rouselakis Y, Waters B. New constructions and proof methods for large universe attribute-based encryption[EBOL]. 2012[2015-11-05]. http:eprint.iacr.org2012583.pdf

[11]Wang Hao, Zheng Zhihua, Wu Lei, et al. Adaptively secure outsourcing ciphertext-policy attribute-based encryption[J]. Journal of Computer Research and Development, 2015, 52 (10): 2270-2280 (in Chinese)(王皓, 鄭志華, 吳磊, 等. 自適應(yīng)安全的外包CP-ABE方案研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2015, 52 (10): 2270-2280)

[12]Boyen X. Attribute-based functional encryption on lattices[G]LNCS 7785: Proc of TCC 2013. Berlin: Springer, 2013: 122-142

[13] Liu Ximeng, Ma Jianfeng, Xiong Jinbo, et al. Threshold attribute-based encryption with attribute hierarchy for lattices in the standard model[J]. IET Information Security. 2014, 8(4): 217-223

[14]Hohenberger S, Waters B. Onlineoffline attribute-based encryption[G]LNCS 8383: Proc of PKC 2014. Berlin: Springer, 2014: 293-310

[15] Garg S, Gentry C, Halevi S, et al. Attribute-based encryption for circuits from multilinear maps[G]LNCS 8043: Proc of CRYPTO 2013. Berlin: Springer, 2013: 479-499

[16] Xu Jie, Wen Qiaoyan, Li Wenmi, et al. Circuit ciphertext-policy attribute-based hybrid encryption with verifiable delegation in cloud computing[J]. IEEE Trans on Parallel and Distributed Systems, 2016, 27(1): 119-129

[17] Regev O. On lattices, learning with errors, random linear codes, and cryptography[J]. Journal of the ACM, 2009, 56(6): 34：1-34：40

[18]Shi Jiaoli, Huang Chuanghe, Wang Jing, et al. Multi-user collaborative access control scheme in cloud storage[J]. Journal on Communications, 2016, 37(1): 88-99 (in Chinese)(史姣麗, 黃傳河, 王晶, 等. 云存儲(chǔ)下多用戶協(xié)同訪問(wèn)控制方案[J]. 通信學(xué)報(bào), 2016, 37(1): 88-99)

[19] Bethencourt J, Sahai A, Waters B. Ciphertext-policy attribute-based encryption[C]Proc of IEEE Symp on Security and Privacy. Piscataway, NJ: IEEE, 2007: 321-334

[20]Gentry C, Peikert C, Vaikuntanathan V. Trapdoors for hard lattices and new cryptographic constructions[C]Proc of the 40th ACM Symp on Theory of Computing (STOC2008). New York: ACM, 2008: 197-206

[21]Yang Kan, Jia Xiaohua, Ren Kui, et al. DAC-MACS: Effective data access control for multi-authority cloud storage systems[C]Proc of IEEE INFOCOM 2013. Piscataway, NJ: IEEE, 2013: 2895-2903

[22]Ducas L, Lyubashevsky V, Prest T. Efficient identity-based encryption over NTRU lattices[G]LNCS 8874: Proc of ASIACRYPT 2014. Berlin: Springer, 2014: 22-41

Shi Jiaoli, born in 1979. PhD candidate, associate professor. Member of CCF. Her main research interests include network security and CDN.

Huang Chuanhe, born in 1963. PhD, professor, PhD supervisor. Senior member of CCF. His main research interests include network security, WDM networks, mobile ad hoc networks, CDN, and quantum computing.

He Kai, born in 1987. PhD. His main research interests include network security and cryptography.

Shen Xieyang, born in 1988. PhD candidate. His main research interests include network security and cryptography.

Hua Chao, born in 1992. Master. His main research interest is long distance wireless network.

An Access Control Method Supporting Multi-User Collaborative Edit in Cloud Storage

Shi Jiaoli1,2, Huang Chuanhe1, He Kai1, Shen Xieyang1, and Hua Chao1

1(SchoolofComputerScience,WuhanUniversity,Wuhan430072)2(JiujiangUniversity,Jiujiang,Jiangxi332005)

As for attribute-based access control in cloud storage, most of researches focus on reading permission control when multiple users read the same out-sourced data simultaneously. They dot’t consider writing permission control when multiple users modify the same data simultaneously. In multi-user collaborative edit scene, challenges have emerged: 1) A data owner with limited capabilities of computation, storage and communication, would like cloud to aid him with writing permission control, but would not like it to know the content of data, or get what is matched, or even predict the users’ writing permission either. 2) Boolean formula cannot describe writing permission policy. 3) Bilinear pairing operations bring great computational costs. In this work, a collaborative edit access control method is presented in cloud storage. That is, a data owner defines writing permission policy represented by a circuit, and semi-trusted cloud decides whether or not the writing succeeds by matching writing policy without the prediction of acceptability of the next edit request. Analyses and simulations show that our method is provided with the ability of multi-user collaborative access control for cloud storage, and the storage cost and the computation cost of encrypting and decrypting are both lesser at user end in reading permission control with cloud-aided decryption.

cloud storage; access control; attribute-based encryption (ABE); multi-user collaborative edit; cloud-aided writing permission control

2015-12-20；

2016-10-10

國(guó)家自然科學(xué)基金項(xiàng)目(61373040,61572370) This work was supported by the National Natural Science Foundation of China (61373040, 61572370).

黃傳河(huangch@whu.edu.cn)

TP309.2; TP303