劉海峰 高月月

(陜西科技大學(xué) 陜西 西安 710012)

0 引 言

云計(jì)算自出現(xiàn)以來就受到了廣泛的關(guān)注，并且發(fā)展極為快速，隨著云計(jì)算的發(fā)展逐漸深入，對(duì)云計(jì)算的安全性方面也提出了更高的要求。為了增強(qiáng)云計(jì)算的安全性，密文的檢索方案、可驗(yàn)證的數(shù)據(jù)審計(jì)和身份認(rèn)證等相繼提出。云存儲(chǔ)是云計(jì)算重要的一部分，隨著云存儲(chǔ)的發(fā)展，很多的企業(yè)用戶都將大量的數(shù)據(jù)直接外包在云存儲(chǔ)服務(wù)器中。為了保護(hù)數(shù)據(jù)的安全性，必須采用有效的加密方案來實(shí)現(xiàn)云存儲(chǔ)中細(xì)粒度的訪問控制。CP-ABE在基于密文策略的屬性加密中,用戶的密鑰與屬性集有關(guān),密文與訪問結(jié)構(gòu)有關(guān)。只有用戶的屬性集滿足訪問策略的時(shí)候,用戶才能夠解密密文。CP-ABE能夠?qū)崿F(xiàn)靈活的訪問控制，已經(jīng)被廣泛地運(yùn)用在云存儲(chǔ)系統(tǒng)中的訪問控制。訪問策略是容易泄露的，并且會(huì)泄露敏感信息；用戶可以具有不同權(quán)限的屬性，但是數(shù)據(jù)所有者制定能夠訪問敏感數(shù)據(jù)的多個(gè)權(quán)限。擁有多權(quán)限的屬性加密用戶能夠有不同權(quán)限下的不同屬性，所以更加適合云存儲(chǔ)系統(tǒng)的訪問控制。因此，本文提出了一種基于多權(quán)限屬性的加密方案，以實(shí)現(xiàn)云存儲(chǔ)系統(tǒng)中的細(xì)粒度訪問控制，從而實(shí)現(xiàn)訪問策略的隱私保護(hù)，該方案具有靈活性、實(shí)用性和安全性。

1 基礎(chǔ)知識(shí)

1.1 相關(guān)定義

定義1雙線性映射。設(shè)G和G1是p>2k(素?cái)?shù))階的乘法群，g為G的生成元，那么滿足以下三個(gè)性質(zhì)的映射e：G×G→G1為雙線性映射。

雙線性性：存在?a，b∈Zp,?u，v，u1，u2，v1，v2，g，h∈G，那么有e(ga,hb)=e(gb,ha)=e(g,h)ab，e(u1×u2,v)=e(u1,v)e(u2,v)，e(u,v1×v2)=e(u,v1)e(u,v2)。

非退化性：?u,v∈G，使得e(u,v)≠1，其中1是G1的單位元。

可計(jì)算性：?u,v∈G，存在一個(gè)高效的多項(xiàng)式時(shí)間算法計(jì)算e(u,v)。

定義2訪問結(jié)構(gòu)。設(shè)Ω={L1,L2,…,Ln},|Ω|=n代表系統(tǒng)所有的屬性集，而且每個(gè)屬性Li的取值集合是Fi={vi1,vi2,…，vini}，其中ni是Fi的階。用戶的屬性列表為w={l1=v1t1,l2=v2t2,…,lj=vjtj}，其中vjtj∈Fj，j是w的階。使用樹型結(jié)構(gòu)構(gòu)建訪問結(jié)構(gòu)FW，而且FW的內(nèi)部節(jié)點(diǎn)代表關(guān)系，分別為“與”門和“或”門，而所有的葉子節(jié)點(diǎn)代表屬性。

定義3線性秘密共享方案。如果在參與者集合P上的一個(gè)秘密共享方案滿足以下2個(gè)條件，那么就稱其為Zp上的線性秘密共享方案：

1) 每個(gè)實(shí)體的秘密份額構(gòu)成Zp上的一個(gè)向量；

2) 對(duì)于每個(gè)秘密共享方案，存在一個(gè)生成矩陣B(l×n)，對(duì)于矩陣B中的每一行i=1,2,…，l，映射ρ(i):{1,2,…l}→P把B的每一行映射到參與者ρ(i)，考慮向量v=(s,r2,r3,…,rn)T，s∈Zp是共享秘鑰，r2,r3,…,rn隨機(jī)選擇用來隱藏s，Bv是l個(gè)秘密份額形成的向量，其中λi=(Bv)i表示參與者ρ(i)所持有的秘密份額。

1.2 單向匿名密鑰協(xié)議

參與者的匿名性可以由一個(gè)單向匿名密鑰方案來實(shí)現(xiàn)。假設(shè)Alice(IDa)和Bob(IDb)是一個(gè)密鑰生成中心的用戶，他們的主密鑰都是s。Alice想對(duì)Bob保持匿名性，那么需要進(jìn)行以下步驟：

2) Bob用他的密鑰dB計(jì)算會(huì)話密鑰KA,B=e(PA,dB)=e(QA,QB)srA，其中di=H(IDi)s∈G1是用戶的私有密鑰，i∈{A,B}，H:{0,1}*→G1是強(qiáng)抗沖突散列函數(shù)。

1.3 問題重述

1.3.1系統(tǒng)模型

在云環(huán)境中一共有四個(gè)實(shí)體,分別是數(shù)據(jù)所有者、云存儲(chǔ)的服務(wù)器、屬性權(quán)限和數(shù)據(jù)用戶。

1) 數(shù)據(jù)所有者：在將數(shù)據(jù)外包到云存儲(chǔ)系統(tǒng)之前，數(shù)據(jù)的所有者根據(jù)在密文上強(qiáng)制執(zhí)行的訪問策略對(duì)其進(jìn)行加密，并負(fù)責(zé)定義訪問策略和模糊策略。一旦撤銷了一個(gè)用戶的屬性，所有者必須更新包含所有已撤銷屬性的部分密文組件。

2) 云存儲(chǔ)服務(wù)器：云存儲(chǔ)服務(wù)器是屬于數(shù)據(jù)所有者的共享文件，并且為用戶提供訪問服務(wù)。假設(shè)云存儲(chǔ)服務(wù)器是誠(chéng)實(shí)的，那么云存儲(chǔ)服務(wù)器不僅應(yīng)該隱藏?cái)?shù)據(jù)，還應(yīng)該隱藏密文中的訪問策略。

3) 屬性權(quán)限：屬性權(quán)限受信任并且獨(dú)立管理其各自的屬性集。同時(shí)，為每個(gè)合法用戶生成密鑰，當(dāng)一個(gè)用戶被撤銷時(shí)，權(quán)限將為未撤銷的用戶生成更新的密鑰。

4) 數(shù)據(jù)用戶：權(quán)限為每個(gè)數(shù)據(jù)用戶生成相關(guān)的私鑰。因此，只有私鑰滿足訪問控制策略的用戶才能夠獲得數(shù)據(jù)，而且任何合法的用戶都可以在云存儲(chǔ)服務(wù)器中下載任何的密文。

1.3.2安全性要求

本文對(duì)云存儲(chǔ)系統(tǒng)中的訪問控制方案有如下三個(gè)最基本的要求：

1) 數(shù)據(jù)的安全性：在云存儲(chǔ)系統(tǒng)中，只有滿足訪問策略的授權(quán)用戶才能夠解密密文獲得數(shù)據(jù)，但是被撤銷的用戶是不能解密密文的。

2) 抗共謀：云存儲(chǔ)中的所有屬性加密方案都需要抗共謀。抗共謀的意義是不同的用戶通過自己的私鑰組合來獲取不同的密文信息和訪問策略。

3) 策略隱私：數(shù)據(jù)外包在云存儲(chǔ)系統(tǒng)中時(shí)，所有的云服務(wù)器和沒有授權(quán)的用戶無法獲得任何有關(guān)密文的信息和訪問結(jié)構(gòu)。

2 方案設(shè)計(jì)及其分析

在多權(quán)限的屬性集加密訪問控制中,如果有較多的用戶滿足同一數(shù)據(jù)的訪問結(jié)構(gòu),那么會(huì)同時(shí)獲得相同的訪問權(quán)限。但是用戶的需求也正隨著云計(jì)算的發(fā)展而改變,對(duì)權(quán)限的要求也變得多種多樣，因此對(duì)權(quán)限的劃分應(yīng)該更加細(xì)粒度化。圖1為本文系統(tǒng)方案模型。

圖1 系統(tǒng)方案模型

2.1 相關(guān)定義

本文提出的多權(quán)限多屬性的訪問控制研究主要包括以下四個(gè)階段：

1) Setup：授權(quán)中心運(yùn)行隨機(jī)算法,為每個(gè)屬性權(quán)限輸出相應(yīng)的公私鑰,輸出系統(tǒng)的公鑰和主密鑰。

2) KeyGen：分別運(yùn)行Attribute Key Generation(AKG)和Central Key Generation(CKG)。AKG是屬性權(quán)限運(yùn)行隨機(jī)算法；CKG是授權(quán)中心運(yùn)行一個(gè)隨機(jī)算法,然后輸入用戶的GID和主密鑰，最后輸出用戶的私鑰。

3) EncSig：數(shù)據(jù)所有者進(jìn)行加密和簽名。

4) DecVer：用戶進(jìn)行兩項(xiàng)工作：解密和驗(yàn)證。

2.2 安全性分析

為了證明本文方案的安全性，采用的是屬性集攻擊模型，原型是身份安全模型。攻擊模型在攻擊者A和攻擊者C之間進(jìn)行，具體步驟如下：

Challenge：攻擊者A提交兩個(gè)等長(zhǎng)的消息M0和M1。挑戰(zhàn)者C給出一個(gè)隨機(jī)擲幣b∈{0,1}，計(jì)算在屬性集AC作用下的密文Mb，發(fā)送給攻擊者A。

More Queries：攻擊者A根據(jù)上述的限制進(jìn)行私鑰多次詢問。

Guess：攻擊者輸出一個(gè)關(guān)于b的猜測(cè)b′。如果b=b′，則攻擊者A攻擊成功。

2.3 方案分析

本文方案中有N個(gè)權(quán)限{P1,P2,…，PN}，且每個(gè)權(quán)限Pj對(duì)應(yīng)一組屬性Lj，j=1,2,…，N。首先，每個(gè)權(quán)限Pj隨機(jī)選擇一個(gè)數(shù)βj∈Zp，對(duì)于每一個(gè)屬性x∈Lj，Pj選擇一個(gè)隨機(jī)數(shù)vx∈Zp用于實(shí)現(xiàn)屬性撤銷。然后，計(jì)算公鑰為gβj，其中βj是Pj的部分秘密密鑰，用戶可以使用gβj來混淆屬性，βj包含在公鑰PK[j]中。

為了抵抗共謀攻擊，當(dāng)為用戶GID創(chuàng)建一個(gè)秘密密鑰時(shí)，每個(gè)Aj使用全局用戶身份GID來計(jì)算gαxvxH(GID)yx。如果兩個(gè)具有不同GID和GID′的用戶試圖通過合并他們的密鑰來進(jìn)行共謀攻擊，那么在解密的過程中就會(huì)出現(xiàn)一些e(g,g)μie(H(GID),gμi)，從而防止共謀攻擊的發(fā)生。

2.4 方案構(gòu)建

設(shè)G1和G2是階為p的兩個(gè)循環(huán)群，g是G1的生成元。e:G1×G1→G2是一個(gè)雙線性映射，還使用一個(gè)強(qiáng)抗碰撞散列函數(shù)H:{0,1}→G1，本文基于多權(quán)限的屬性集加密訪問控制方案中隱藏了策略，包括以下五個(gè)步驟。

1) 系統(tǒng)初始化。具有一組屬性Lj的每一個(gè)權(quán)限Pj(j∈N)運(yùn)行AASetup算法，每個(gè)屬性都沒有相交的集合(Li∩Lj=?,i≠j)。

SK[j]=({αx,yx,vx}x∈Lj,βj)

(1)

通過權(quán)限計(jì)算{e(g,g)αxvx,gyx}x∈Lj，公共權(quán)限密鑰Aj(j∈N)是：

PK[j]=({P1,x=e(g,g)αxvx,gyx}x∈Lj,gβj)

(2)

2) 生成密鑰。用戶在訪問數(shù)據(jù)的時(shí)候，請(qǐng)求密鑰中心分發(fā)密鑰，驗(yàn)證用戶的身份之后，每個(gè)權(quán)限運(yùn)行KenGen算法，權(quán)限Aj(j∈N)給用戶屬性集Ij,GID和相應(yīng)的私鑰Kj,GID。

Kj,GID=({D1,x=gαxvxH(GID)yx,

D2,x=H(x)βj}x∈Ij,GID)

(3)

αx,yx,vx,βj∈SK[j]，用戶的私鑰是在安全通道中傳輸?shù)摹?/p>

3) 加密。數(shù)據(jù)所有者將數(shù)據(jù)存儲(chǔ)在云系統(tǒng)中，然后對(duì)數(shù)據(jù)MSG的內(nèi)容進(jìn)行加密，定義相關(guān)屬性的訪問策略T，最后數(shù)據(jù)所有者使用加密算法對(duì)密文再次進(jìn)行加密。

為了實(shí)現(xiàn)訪問策略的隱私保護(hù)，數(shù)據(jù)所有者使用sy來替換訪問策略中的屬性λy。將訪問策略T轉(zhuǎn)換為L(zhǎng)SSS訪問矩陣Mm×h，其中Mi是M的第i行。

數(shù)據(jù)所有者通過下列算法加密數(shù)據(jù)MSG。

(2) 計(jì)算μi=Mi·v。

(4) 計(jì)算μi=Mi·ω。

(6) 計(jì)算密文：

C0=MSGe(g,g)s,h0=ga

C1,i=e(g,g)μie(g,g)vρ(i)αρ(i),?i∈[m]

C2,i=gσi,?i∈[m]

C3,i=gyρ(i)σigμi,?i∈[m]

(4)

(7) 密文CT外包在云存儲(chǔ)系統(tǒng)中。

CT=(C0,{C1,i,C2,i,C3,i}?i∈[m],h0,(M,ρ))

(5)

(1) 對(duì)于i∈R′，計(jì)算：

e(g,g)μie(H(GID),gμi)

(6)

(2) 獲得明文。

(7)

5) 用戶撤銷。用戶GID′的屬性集φj,GID′支持撤銷權(quán)限Pj，為了防止被撤銷屬性的用戶解密密文，擁有屬性集φj,GID′的未撤銷屬性的用戶將改變他們存儲(chǔ)的數(shù)據(jù)，用戶撤銷過程主要有兩個(gè)階段：

(2) 未撤銷用戶的密鑰更新。當(dāng)用戶收到更新后的密鑰UKj，運(yùn)行SKU算法更新私鑰。

(8)

密鑰UKj與已撤銷的用戶GID′相關(guān)聯(lián)，因此，非撤銷的用戶與撤銷的用戶能夠區(qū)分，被撤銷的用戶無法接受更新之后的密鑰UKj。

2.5 方案對(duì)比

本文方案與其他學(xué)者研究之間的對(duì)比如表1所示。

表1 方案比對(duì)

將本文方案與RSN方案的加密解密和再加密的計(jì)算過程進(jìn)行仿真，圖2為本文在Windows 7系統(tǒng)CoreTM i5- 4647在4 GB內(nèi)存中實(shí)現(xiàn)加密、解密和密文再加密的時(shí)間對(duì)比。

(a)

(b)

(c)圖2 方案對(duì)比結(jié)果

假設(shè)從授權(quán)中心獲得10個(gè)屬性,在每次實(shí)驗(yàn)中取得的結(jié)果是20次的平均值,結(jié)果對(duì)比如圖2所示?？梢钥闯觯疚姆桨冈诩用芙饷軙r(shí)間上和RSN的方案相差不多，但是本文在密文再加密的時(shí)間上卻遠(yuǎn)遠(yuǎn)比RSN方案少，因此總體上具有一定的優(yōu)勢(shì)，計(jì)算效率也更高。

3 結(jié) 語

本文研究了云存儲(chǔ)系統(tǒng)中多權(quán)限的屬性集加密訪問控制方案的改進(jìn),提出了一個(gè)安全的分散屬性加密方案,用于設(shè)計(jì)一個(gè)具有策略隱私的訪問控制方案。本文的訪問控制方案還支持?jǐn)?shù)據(jù)的隱私保護(hù),采用的是更加靈活的線性秘密共享方案,同時(shí)還支持對(duì)多權(quán)限的屬性加密方案的用戶撤銷,從而降低了用戶撤銷的時(shí)間成本和計(jì)算成本。最后通過實(shí)驗(yàn)驗(yàn)證了本文方案的可行性。