彭宗鳳，彭長根,2，丁紅發(fā),3

〔1.貴州大學(xué)公共大數(shù)據(jù)國家重點實驗室（計算機科學(xué)與技術(shù)學(xué)院），貴州貴陽 550025；2.貴州大學(xué)密碼學(xué)與數(shù)據(jù)安全研究所，貴州貴陽 550025；3.貴州財經(jīng)大學(xué)信息學(xué)院，貴州貴陽 550025〕

1 引言

近年來，數(shù)據(jù)呈爆炸性增長，使得云存儲服務(wù)迅速普及。但數(shù)據(jù)外包存儲至云服務(wù)平臺時，數(shù)據(jù)擁有者失去對外包數(shù)據(jù)的控制權(quán)，因此，針對外包數(shù)據(jù)的訪問控制成為保證數(shù)據(jù)安全性的關(guān)鍵。在云存儲環(huán)境下，已有學(xué)者提出基于密碼學(xué)的訪問控制方案[1~3]，其中基于密文策略的訪問控制方案[2]（Ciphertext-Policy Attribute-Based Encryption，CP-ABE）解決了靈活且細(xì)粒度的訪問控制問題，迅速成為訪問控制領(lǐng)域的研究熱點。與此同時，云存儲環(huán)境下多人協(xié)同訪問需求逐漸增大[4]，訪問設(shè)備也越來越多，但CP-ABE方案只允許屬性集合滿足訪問結(jié)構(gòu)的單個用戶才能解密，無法解決多人協(xié)同訪問場景下的訪問控制問題。

針對該問題，同時考慮到用戶來源于多個不同組織或組織內(nèi)不同部門的特定協(xié)同需求，本文基于Xue等人[5]的協(xié)同訪問控制方案構(gòu)造了一個更靈活的多權(quán)威屬性協(xié)同訪問控制方案，本方案采取單權(quán)威與多權(quán)威相結(jié)合的框架，引入密鑰協(xié)商的思想，使本方案可以在不需要用戶組的情況下實現(xiàn)協(xié)同，打破了已有協(xié)同方案[5]的局限性，同時避免為來自不同組織的用戶協(xié)同建立用戶組，有效提升了協(xié)同效率。此外，本方案中的單權(quán)威（即中心權(quán)威）不需管理屬性和為用戶分發(fā)私鑰，即使中心權(quán)威被惡意敵手攻擊，敵手也無法恢復(fù)出有效的私鑰，進(jìn)一步保證了數(shù)據(jù)的安全性。具體而言，本文的主要貢獻(xiàn)為兩方面。

（1）構(gòu)建更靈活的屬性協(xié)同訪問控制方案。本方案遵循屬性的多來源特性，引入多權(quán)威的概念，設(shè)計一種用戶來自不同組織的協(xié)同訪問控制方案。

（2）提升協(xié)同的性能、保證協(xié)同的安全性。本方案中任意兩個需要參與協(xié)同的屬性權(quán)威只需進(jìn)行一次通信即可實現(xiàn)合法性認(rèn)證與協(xié)同密鑰協(xié)商，有效地降低了協(xié)同通信開銷；同時，由多個屬性權(quán)威負(fù)責(zé)管理屬性以及密鑰的分發(fā)，明顯地減輕了單個中心權(quán)威的計算負(fù)載。此外，利用隨機化的方法，使得不同用戶間無法共謀。

2 相關(guān)工作

2005年，Sahai和Waters[1]首次提出了基于屬性的加密技術(shù)（Attribute-Based Encryption，ABE），該方案首次將身份與屬性相關(guān)聯(lián)。2007年，Bethencourt等人[2]構(gòu)造出CP-ABE方案，該方案利用更為靈活的樹形訪問結(jié)構(gòu)提供訪問控制，但只在通用群模型下證明其安全性。近年來，在CP-ABE方案的安全性[6，7]、效率[8，9]、特定應(yīng)用領(lǐng)域[4]等得到深入研究。

針對特定的協(xié)同領(lǐng)域，協(xié)同訪問控制方案中的數(shù)據(jù)安全和隱私依賴多個參與者的協(xié)同防護(hù)[10]，Willy等人[11]利用合法用戶擴展訪問策略以實現(xiàn)協(xié)同訪問，但需要其他加密方法來保證擴展前后的數(shù)據(jù)完整性。與之相反，有學(xué)者從改進(jìn)和擴展原始ABE或CP-ABE的角度實現(xiàn)協(xié)同[12，5]。Li等人[12]提出面向組（Group）的屬性加密方案，該方案允許同一組中多個用戶合并后的屬性集合滿足協(xié)同訪問策略，但其無法靈活控制協(xié)同能力。Xue等人[5]基于用戶組[12]和轉(zhuǎn)移節(jié)點[13]的思想，提出一種可控的屬性協(xié)同訪問控制方案，即在訪問策略中規(guī)定只有擁有協(xié)同屬性的用戶才能參與協(xié)同。

通常，根據(jù)CP-ABE的各類衍生方案中參與密鑰分配的權(quán)威（Authority）數(shù)量，可將其分為單權(quán)威（Single-Authority）[5，10~12]和多權(quán)威（Multi-Authority）[14]兩類。在單權(quán)威方案[5，10~12]中，只有一個權(quán)威中心負(fù)責(zé)管理全部屬性，并且為所有用戶生成和分發(fā)屬性私鑰，在單權(quán)威方案中，單點（Single-Point）性能瓶頸問題較為突出[15]。因而，為解決用戶屬性來源于多個權(quán)威的問題。Chase等人[16]基于ABE方案首次提出多權(quán)威方案，該方案中多個相互獨立的權(quán)威負(fù)責(zé)管理屬性以及分發(fā)相應(yīng)的私鑰，其中包含一個中心權(quán)威（Central Authority，CA）。隨后，一些沒有CA的多權(quán)威ABE方案被提出[17]。同樣，也有基于CP-ABE的多權(quán)威方案研究[18，19]，Ruj等人[20]將Lewko等人[19]的思想應(yīng)用到訪問控制中。

由上述分析可知，已有屬性協(xié)同訪問控制方案[5]仍屬于單權(quán)威方案，依舊面臨單點瓶頸問題以及更復(fù)雜的多人協(xié)同訪問需求。如何使屬性協(xié)同訪問控制從單權(quán)威擴展到多權(quán)威，仍無有效解決方案。目前，亟需更加靈活的多權(quán)威屬性協(xié)同訪問控制方案，滿足跨域大規(guī)模用戶訪問控制的屬性管理和私鑰分發(fā)需求。

3 預(yù)備知識

本文所用到的縮略詞如表1所示。

本方案的中心權(quán)威CA和屬性權(quán)威AA是可信的，但云服務(wù)提供商CSP是“誠實且好奇的”（Honest but Curious）。

3.1 相關(guān)定義

定義1：訪問結(jié)構(gòu)[21]。設(shè)為n個參與者集合，是參與者集合的一個非空子集且集合A是單調(diào)的，即，若，且，則。屬于A中的集合稱為授權(quán)集合，否則，稱為非授權(quán)集合。

3.2 困難假設(shè)

定義3：判定雙線性Diffie-Hellman（Decisional Bilinear Diffie-Hellman，DBDH）問題。假設(shè)給定兩個階為q的循環(huán)加法群和循環(huán)乘法群、一個雙線性映射，的生成元為g。DBDH問題就是給定一個四元組，，判斷這個四元組是DBDH四元組，還是隨機四元組。如果在多項式時間內(nèi)解決DBDH的概率是可忽略的，那么DBDH問題是困難的。

4 模型定義

4.1 MA-ABCAC方案模型

圖1給出本文所提MA-ABCAC（Attributebased Collaborative Access Control with Multi-Authority）方案模型。

圖1 MA -ABCAC方案模型

為防止不同權(quán)威間的用戶共謀，CA分別為請求注冊的AA和用戶生成標(biāo)識符和。AA負(fù)責(zé)管理用戶屬性及為用戶分發(fā)私鑰，AA驗證用戶合法性后將私鑰發(fā)送給用戶，簡便起見，將記作。協(xié)同過程中，參與協(xié)同的任意兩個AA間只需進(jìn)行一次通信即可得到協(xié)同所需的通信密鑰，即協(xié)同密鑰。

4.2 安全模型

本方案算法的安全性基于可選擇安全，其形式化定義如下。

（2）系統(tǒng)建立：挑戰(zhàn)者運行密鑰生成算法，生成公鑰和私鑰，并將公鑰發(fā)送給敵手。

（5）詢問階段2：重復(fù)詢問階段1的步驟。

定義4：IND-CPA安全。若多項式時間敵手擁有可忽略的優(yōu)勢攻破上述游戲，則所提MAABCAC方案是IND-CPA安全的，敵手優(yōu)勢為。

5 MA-ABCAC方案

在協(xié)同密鑰生成過程，結(jié)合Diffie-Hellman密鑰協(xié)商[22]的思想，使協(xié)同過程中的任意兩個AA只需一次通信即可得到協(xié)同密鑰，協(xié)同密鑰能聚集不同用戶的解密權(quán)限，是實現(xiàn)協(xié)同訪問的關(guān)鍵。協(xié)同密鑰生成過程如圖2所示，簡單起見，僅描述兩個AA間的通信過程，協(xié)同訪問策略為，在協(xié)同場景下一個用戶無法同時擁有屬性集合，如婦產(chǎn)科醫(yī)生不可能擁有精神科醫(yī)生的屬性。其中，表示協(xié)同屬性，即允許其他擁有屬性的用戶參與協(xié)同，此類用戶稱作協(xié)同者。

圖2 協(xié)同密鑰生成示意圖

5.1 協(xié)同訪問結(jié)構(gòu)

在協(xié)同場景下，由數(shù)據(jù)擁有者指定訪問結(jié)構(gòu)以及允許參與協(xié)同的屬性，因此解密密鑰中的屬性集合由不同用戶的屬性集合構(gòu)成，若屬性集合全部來自同一個參與者（用戶），則訪問結(jié)構(gòu)“退化”為定義1中的一般訪問結(jié)構(gòu)。本方案在定義1的基礎(chǔ)上，給出協(xié)同訪問結(jié)構(gòu)的定義。

5.2 算法構(gòu)造

本方案根據(jù)上述協(xié)同訪問結(jié)構(gòu)的定義進(jìn)行算法構(gòu)造。

算法1：初始化算法

算法2：密鑰生成算法

算法3：加密算法

算法4：解密算法

6 方案分析

6.1 安全性分析

定理1：若DBDH問題是困難的，則不存在PPT的敵手能以不可忽略的優(yōu)勢贏得第4.2節(jié)定義的安全游戲，即所構(gòu)造的MA-ABCAC方案具有不可區(qū)分選擇明文攻擊（Indistinguishable Chosen-Plaintext Attack， IND-CPA）安全。

證畢。

定理2：MA-ABCAC方案能夠抵抗共謀攻擊。

證明：所提MA-ABCAC方案中用全局唯一標(biāo)識符標(biāo)記用戶和AAs，每個用戶具備唯一的 ，因而用戶間無法產(chǎn)生共謀。此外，AAs具有唯一的，即使不同的AAs管理相同的屬性，其管理的屬性之間依舊具有可區(qū)分性。

尤其針對協(xié)同屬性，本方案只有在AAs間通過合法性認(rèn)證后才能進(jìn)行協(xié)同密鑰協(xié)商，即建立了可信的交互基礎(chǔ)，同時只有具備的用戶才具備協(xié)同能力，故本方案的協(xié)同功能具有抗共謀特性。

6.2 性能分析

本方案建立在Xue等人[5]提出的協(xié)同方案之上，故與該方案進(jìn)行分析與對比，存儲通信開銷和計算開銷對比如表2和表3所示。本節(jié)用表示密文中屬性總數(shù)，表示用戶擁有的屬性總數(shù)，表示用戶u中由屬性權(quán)威a管理的屬性總數(shù)，表示協(xié)同屬性總數(shù)，表示屬性權(quán)威總數(shù)，m表示用戶組總數(shù)，表示解密時訪問樹中非葉子節(jié)點總數(shù)，表示指數(shù)操作所需時間，表示雙線性配對操作所需時間。

表2 存儲和通信開銷對比

表2為本方案與Xue等人[5]提出的屬性協(xié)同訪問控制方案的存儲及通信開銷對比，且假定文獻(xiàn)[5]中的用戶屬性均來自多個不同的組織。由表2可知，本方案的協(xié)同通信效率較同等情況下的協(xié)同訪問效率要高，且具有近似的密文長度和密鑰長度。本方案具有更高的通信效率是由于本方案只需要參與協(xié)同的任意兩個AA間進(jìn)行一次通信，即可達(dá)到協(xié)同的目的，如圖3(a)所示。而Xue等人[5]提出的協(xié)同方案需要為每次協(xié)同建立用戶組，如圖3(b)所示，可根據(jù)協(xié)同的先后為參與協(xié)同的用戶 劃分不同類型的用戶組，因而系統(tǒng)復(fù)雜性更高，協(xié)同通信代價更大。

表3 計算開銷對比

表3為本方案與文獻(xiàn)[5]的計算開銷對比，本方案結(jié)合單個CA和多個AA的模式，由多個AA負(fù)責(zé)管理屬性和為用戶分發(fā)私鑰，在參數(shù)設(shè)置和密鑰生成階段進(jìn)一步減輕了CA的計算負(fù)載，在加密、解密階段具有近似的計算開銷，此外AA不再受用戶組的限制，進(jìn)而增強了協(xié)同的靈活性、降低了協(xié)同的復(fù)雜度。

圖3 (a)多AA下的協(xié)同 (b) 用戶組內(nèi)的協(xié)同

7 結(jié)束語

本文提出的一種靈活的多權(quán)威屬性協(xié)同訪問控制方案，采用單個CA和多AA的屬性管理和密鑰分發(fā)模式，解決了用戶屬性來源于多屬性權(quán)威時的協(xié)同訪問問題。性能分析表明，本方案提供了更靈活的協(xié)同訪問控制，且更貼合實際需求。所提方案在DBDH困難假設(shè)下具有選擇明文不可區(qū)分性，并能抵抗共謀攻擊。