麻付強,徐 崢,蘇振宇,亓開元

(1.浪潮(北京)電子信息產業(yè)有限公司,北京 100085;2.浪潮集團,山東 濟南 250101)

0 引 言

隨著互聯(lián)網(wǎng)、5G和云計算技術的快速發(fā)展,越來越多的用戶和企業(yè)將數(shù)據(jù)存儲在云計算平臺上,實現(xiàn)云存儲或者云共享,以提高資源利用率,降低開發(fā)及運維成本[1-2]。通常情況下,用戶數(shù)據(jù)在云計算平臺中并不是以加密的形式進行存儲,對數(shù)據(jù)的訪問控制是由云計算完成的。如果云計算平臺不可信或者遭受黑客入侵,用戶數(shù)據(jù)將面臨信息泄露的威脅,因此在共享之前對數(shù)據(jù)進行加密是必要的。

傳統(tǒng)的加密機制無法實現(xiàn)復雜云計算環(huán)境下一對多的細粒度訪問控制功能。因此,在不可信的云計算環(huán)境中實現(xiàn)信息安全,確保用戶數(shù)據(jù)的合法授權訪問成為了科學人員的研究熱點。為了最大限度地保護數(shù)據(jù)的隱私安全,實現(xiàn)更細粒度的訪問控制,研究人員提出了基于屬性的加密機制。

基于屬性加密(Attribute-Based Encryption,ABE)是從基于屬性的訪問控制發(fā)展來的[3]。Sahai[4]首次提出了基于屬性的加密,并實現(xiàn)了數(shù)據(jù)隱私保護和細粒度訪問控制功能。ABE利用授權屬性集構造一個訪問控制結構,實現(xiàn)對消息進行加密和解密。其特點是將屬性作為公鑰,來保證ABE的密文能夠被多個不同用戶的私鑰解密。

ABE是一種一對多的加密模式,能夠對加密后的信息進行細粒度的訪問控制。ABE有兩大基本類型,密鑰策略ABE(KP-ABE)和密文策略ABE(CP-ABE)[5]。KP-ABE中,密文與屬性集合關聯(lián),私鑰與訪問結構關聯(lián),用于審計日志,付費電視等。CP-ABE中,密文與訪問結構關聯(lián),私鑰與屬性集合關聯(lián),當解密方擁有的屬性匹配策略樹成功時,才能獲得解密密鑰,獲得對資源的訪問權,用于云共享、安全郵件列表等。兩種策略都是當且僅當屬性集合滿足訪問結構時,才能正確解密。因此,基于屬性的加密方案特別適用于在保證云平臺用戶隱私的前提下,對數(shù)據(jù)進行機密性保護。

楊騰飛[6]結合訪問控制、基于屬性加密、對象存儲等技術,提出了一種層次化授權訪問控制模型,提高了基于屬性加密方案的訪問控制策略的靈活性。鄭芳[7]將基于屬性加密應用到身份認證系統(tǒng)中,利用移動APP作為密鑰生成中心,以指紋多個特征提取模板與其它特征作為屬性,服務器端在不知道用戶指紋信息的前提下,根據(jù)用戶輸入的特征解密,以此證明該賬號和密碼屬于用戶本人。吳光強[8]針對傳統(tǒng)CP-ABE方案中存在的密鑰泄露等問題,提出了一個多授權機構支持策略更新的CP-ABE方案,并將策略更新及密文更新過程交給服務器執(zhí)行,有效地降低了本地的計算開銷和數(shù)據(jù)傳輸開銷。

上述大多數(shù)基于屬性加密方案[9-11]均需要屬性權威(Attribute Authority,AA)。不同于云服務器,屬性權威是基于屬性加密系統(tǒng)中唯一可信的第三方。授權中心負責生成系統(tǒng)的公共參數(shù),并生成系統(tǒng)公鑰和主密鑰。授權中心根據(jù)用戶具有的屬性信息將對應私鑰集合發(fā)送給用戶。系統(tǒng)所有密鑰均有屬性權威產生并保存,用戶沒有控制權限。屬性權威被惡意攻擊時,可利用用戶的密鑰進行解密,使得用戶數(shù)據(jù)的機密性受到威脅[12]。

針對此問題,Chase[13]提出一個分布式 KP-ABE方案,利用多個屬性權威解決了密鑰托管問題,降低了密鑰泄露的風險。張星[14]利用密鑰生成中心和屬性權威協(xié)同生成用戶密鑰,屬性權威只有部分用戶密鑰,使得密鑰降低了對屬性權威安全性的依賴。Lin[15]采用密鑰分發(fā)和聯(lián)合的零秘密共享技術提出了一種無認證中心的多授權機構的ABE方案,但是數(shù)據(jù)擁有者無法指定訪問控制策略,無法有效地應用到數(shù)據(jù)共享系統(tǒng)中。Chen[16]提出了一種多屬性權威的ABE方案,每個屬性權威之間不需要交換信息來產生公共參數(shù),且能夠保證常數(shù)級密文長度。王于丁[17]提出了一種包含訪問權限的ABE模型,通過設置權限控制密鑰加密云中數(shù)據(jù)。

因此,云計算系統(tǒng)中可信的權威機構增加了云計算系統(tǒng)的復雜度。其次,隨著屬性集合的增加,用戶解密的計算量會線性增長。為了解決上述問題,該文提出了一種基于LDAP的屬性加密模型。LDAP是輕量級目錄訪問協(xié)議(Light Directory Access Protocol)[18],目錄是一個以一定規(guī)則排列的對象的屬性集合,是一個存儲著關于對象各種屬性的特殊數(shù)據(jù)庫,可以用于實現(xiàn)賬號管理、安全策略管理等。因此,利用LDAP和密鑰管理模塊代替?zhèn)鹘y(tǒng)屬性加密中的授權機構方案,利用組織內部的LDAP系統(tǒng)實現(xiàn)用戶身份的安全認證和屬性管理。

同時,用戶將屬性解密操作安全的外包給密鑰管理模塊,且在密鑰管理模塊的可信執(zhí)行環(huán)境中進行加解密操作[19-21],保證密鑰始終處于密鑰管理模塊的根密鑰保護下。Intel SGX(Software Guard Extensions)是一種通用的可信執(zhí)行環(huán)境,在應用程序的地址空間中劃分出一塊被保護的區(qū)域,為容器內的代碼和數(shù)據(jù)提供機密性和完整性的保護,免受擁有特殊權限的惡意軟件的破壞。Intel SGX具有較小的可信計算基礎并能實現(xiàn)物理隔離。通過將密鑰使用和基于屬性加密的關鍵代碼運行在Intel SGX提供的安全加密內存中,保證程序運行過程中,攻擊者無法窺探內存。有效地降低了用戶計算負載,并提高了系統(tǒng)的安全性。

1 理論基礎

設q是一個大素數(shù),G和GT均是階為q的循環(huán)群。g∈G是G的生成元,則雙線性映射e：G×G→GT為一個雙線性對。對于?g∈G,任意a,b∈Zp(Zp為素數(shù)C1階循環(huán)群)滿足以下特征：

雙線性：有e(ga,gb)=e(g,g)ab;

非退化性：滿足e(g,g)≠1;

可計算性：對于任意的g∈G,存在一個給定安全常數(shù)相關的多項式時間算法,可以高效地計算e(g,h)。

2 一種基于LDAP的屬性基加密模型

該文采用LDAP與密鑰管理模塊代替屬性權威,同時屬性解密操作由密鑰管理中的SGX模塊[19]執(zhí)行,降低了用戶計算負載,并提高了系統(tǒng)的安全性。

2.1 方案模型

一種基于LDAP的屬性加密模型包括：多個組織和一個云計算平臺,實現(xiàn)每個組織內部的云存儲以及云共享。其中每個組織包含多個數(shù)據(jù)使用者、多個數(shù)據(jù)擁有者、一個LDAP身份提供模塊;云計算平臺包含統(tǒng)一的云存儲模塊、多個密鑰管理模塊。其中每個密鑰管理模塊對應一個組織,實現(xiàn)組織的安全密鑰管理。云存儲模塊由存儲中心和訪問決策點組成;密鑰管理模塊由密鑰存儲模塊和屬性判別點組成。在每個組織內部,用戶通過安全通道與云計算平臺通信,模型如圖1所示。

圖1 基于屬性加密的系統(tǒng)模型

2.1.1 數(shù)據(jù)擁有者功能

向LDAP身份提供模塊進行注冊,成為合法用戶,并獲得對應的屬性集合;制定共享數(shù)據(jù)的授權屬性集合,建立相應的訪問控制策略,形成基于屬性的訪問控制矩陣;請求密鑰管理模塊生成授權屬性集合對應的密鑰;將數(shù)據(jù)根據(jù)訪問控制矩陣進行加密;將基于屬性加密的密文上傳到云存儲模塊;根據(jù)基于屬性加密的對稱密鑰解密加密數(shù)據(jù)獲得明文數(shù)據(jù)。

2.1.2 數(shù)據(jù)使用者功能

向LDAP身份提供模塊進行注冊,成為合法用戶,并獲得對應的屬性集合;根據(jù)基于屬性加密的對稱密鑰解密加密數(shù)據(jù)獲得明文數(shù)據(jù)。

2.1.3 LDAP身份提供模塊功能

為用戶提供身份注冊功能;驗證用戶的屬性合法性;驗證用戶登錄系統(tǒng)的合法性。

2.1.4 云儲存模塊功能

為基于屬性加密的密文提供存儲;訪問決策點根據(jù)訪問控制矩陣驗證用戶屬性集合的合法性。

2.1.5 密鑰管理模塊功能

為數(shù)據(jù)擁有者生成基于屬性加密的系統(tǒng)公共參數(shù),為組織內所有用戶提供公共參數(shù);根據(jù)文件標識、屬性生成非對稱密鑰,非對稱密鑰包括對應的公鑰和私鑰;在可信執(zhí)行環(huán)境中為數(shù)據(jù)文件生成對稱加密密鑰,并通過數(shù)據(jù)擁有者的公鑰加密并發(fā)送給數(shù)據(jù)擁有者;屬性判別點從LDAP獲得用戶的屬性集合,并驗證屬性對應的密鑰訪問權限;在可信執(zhí)行環(huán)境中實現(xiàn)對基于屬性加密的對稱密鑰進行解密,并將解密后的對稱密鑰通過數(shù)據(jù)使用者的公鑰加密并發(fā)送給數(shù)據(jù)使用者。所有加解密操作均在intel的SGX中操作,加密安全存儲相應的非對稱密鑰和對稱密鑰,保證系統(tǒng)安全。

2.2 方案實施

基于LDAP的屬性加密模型共5個階段：用戶注冊階段、系統(tǒng)參數(shù)設置、密鑰生成、加密階段、解密階段。

2.2.1 用戶注冊階段

如圖2所示,用戶(數(shù)據(jù)擁有者、數(shù)據(jù)使用者)經(jīng)過身份認證模塊向LDAP身份提供模塊進行身份注冊,包括用戶名和密碼,同時注冊相應的屬性集合。LDAP身份提供模塊負責驗證用戶屬性的合法性。用戶登錄系統(tǒng)時,由LDAP身份提供模塊驗證用戶身份的合法性,并返回用戶的屬性集合。用戶根據(jù)用戶id,向密鑰管理模塊注冊一對非對稱密鑰pku、sku,并通過安全通道發(fā)送給用戶。非對稱密鑰由項目密鑰加密,項目密鑰由密鑰管理模塊的根密鑰加密,根密鑰安全存儲在硬件安全模塊(HSM)[22]中。

圖2 基于LDAP的屬性加密示意圖

2.2.2 系統(tǒng)參數(shù)及密鑰生成

數(shù)據(jù)擁有者請求密鑰管理模塊生成系統(tǒng)參數(shù)。密鑰管理模塊根據(jù)輸入的安全參數(shù)λ,生成全局參數(shù)GP。

密鑰管理模塊在可信執(zhí)行環(huán)境中生成一個對稱密鑰sk。如表1所示,在可信執(zhí)行環(huán)境中,根據(jù)文件標識IDf、共享數(shù)據(jù)的授權屬性集合S和全局參數(shù)GP,生成基于屬性加密的公鑰集合PK和私鑰集合SK,并將公私鑰加密存儲在密鑰管理模塊。采用數(shù)據(jù)擁有者的公鑰pku將對稱密鑰sk和公鑰集合PK加密發(fā)送給數(shù)據(jù)擁有者。

表1 密鑰管理模塊的密鑰存儲結構

2.2.3 加密階段

數(shù)據(jù)擁有者根據(jù)共享數(shù)據(jù)的授權屬性集合制定相應的訪問控制策略,建立基于屬性的訪問控制矩陣A。采用私鑰sku解密得到對稱密鑰sk和公鑰集合PK。利用對稱密鑰sk加密共享文件M,形成文件密文C1。利用公鑰集合PK和訪問控制矩陣A加密對稱密鑰sk,形成屬性密文CT={C2,C3,C4,C5}。因此,最終基于屬性加密的密文為C={IDf,(A,ρ),C1,CT,sign},其中sign表示數(shù)字簽名。將基于屬性加密的密文C上傳到云存儲模塊。

2.2.4 密鑰生成階段

密鑰管理模塊根據(jù)數(shù)據(jù)使用者的屬性集合、全局參數(shù)GP、私鑰集合SK生成相應的私鑰集合Kid。

2.2.5 解密階段

數(shù)據(jù)使用者從云存儲模塊請求基于屬性加密的密文C。云存儲模塊中的訪問決策點基于數(shù)據(jù)使用者id從LDAP系統(tǒng)中獲得數(shù)據(jù)使用者對應的屬性集合。根據(jù)基于屬性加密的密文C中的訪問控制矩陣A判定數(shù)據(jù)使用者對應的屬性集合的訪問合法性。如果數(shù)據(jù)使用者具有訪問權限,將基于屬性加密的密文C返還給數(shù)據(jù)使用者。數(shù)據(jù)使用者利用屬性密文CT訪問密鑰管理模塊。密鑰管理模塊中的屬性判別點基于數(shù)據(jù)使用者id從LDAP系統(tǒng)中獲得數(shù)據(jù)使用者對應的屬性集合。根據(jù)數(shù)據(jù)使用者對應的屬性集合和文件標識IDf確定屬性集合對應的私鑰集合。將私鑰集合、屬性密文CT、用戶公鑰pku發(fā)送到密鑰管理模塊中的可信執(zhí)行環(huán)境中。由可信執(zhí)行環(huán)境對對稱密鑰sk進行解密,并用數(shù)據(jù)使用者pku加密發(fā)送給數(shù)據(jù)使用者。數(shù)據(jù)使用者采用私鑰sku解密得到對稱密鑰sk,并用對稱密鑰sk解密文件密文C1,獲得共享文件M。

3 算法設計

在基于LDAP的屬性加密模型中,訪問控制矩陣被嵌入到密文中,而密鑰被綁定到一組屬性中。

3.1 系統(tǒng)參數(shù)及密鑰生成

首先,密鑰管理模塊根據(jù)數(shù)據(jù)擁有者的請求進行全局參數(shù)設置,函數(shù)為：Global Setup(λ)→GP。

一個雙線性群G的階為q,g1∈G。一個Hash函數(shù)具有映射功能H：{0,1}*→G。全局參數(shù)為：GP={g1,G,GT,Zp,q,p,H}。

根據(jù)文件標識IDf、共享數(shù)據(jù)的授權屬性集合S、全局參數(shù)GP、數(shù)據(jù)擁有者的公鑰pku向密鑰管理模塊請求生成一個對稱密鑰和共享數(shù)據(jù)的授權屬性集合對應的非對稱密鑰。函數(shù)為：GKeyGen(IDf,S,GP,pku)→PK,SK,sk。

選擇兩個隨機數(shù)αi,yi∈Zp,其中i是訪問控制矩陣中的第i屬性,共有K個屬性。對應的公鑰為PK={e(g1,g1)αi,g1yi},其私鑰為SK={αi,yi},i∈{1,2,…,K}。

3.2 加密階段

數(shù)據(jù)擁有者對文件進行基于屬性加密,函數(shù)為：Encrypt(M,(A,ρ),GP,{PK},sk)→C。

數(shù)據(jù)擁有者利用對稱密鑰sk加密文件,形成文件密文C1。

C1=Encsk(M)

(1)

數(shù)據(jù)擁有者根據(jù)訪問控制結構和公鑰集合對對稱密鑰sk進行基于屬性加密,將這些訪問控制矩陣封裝到密文中,形成屬性密文CT={C2,C3,C4,C5}。因此,基于屬性加密的密文為C={IDf,(A,ρ),C1,CT,sign},其中sign表示數(shù)字簽名。

C2=sk·e(g1,g1)s

(2)

C3,i=e(g1,g1)λie(g1,g1)αρ(i)ri

(3)

C4,i=g1ri

(4)

C5,i=g1yρ(i)ri

(5)

基于屬性加密的密文C={IDf,(A,ρ),C1,CT,sign}上傳到云存儲模塊。

3.3 密鑰生成階段

密鑰管理模塊根據(jù)數(shù)據(jù)使用者的屬性集合、全局參數(shù)GP、私鑰集合SK生成相應的私鑰集合Kid,函數(shù)為KeyGen(id,x,S,GP,SK)→Kx,id。

(6)

x∈{1,2,…,K'}為第x個屬性,數(shù)據(jù)使用者的屬性集合為共享數(shù)據(jù)的授權屬性集合S的子集。

3.4 解密階段

解密的時候,用戶只有自身屬性集合對應的私鑰集合,只要符合訪問控制矩陣的都可以解密。解密函數(shù)為：Decrypt(C,Kid,GP)→sk,Decsk(C1)→M。

根據(jù)用戶擁有的屬性集合,從C3,ρ(x),C4,ρ(x),C5,ρ(x)中獲取對應的數(shù)據(jù)。其中,ρ(x)將數(shù)據(jù)使用者的屬性x映射到基于屬性的訪問控制矩陣A的第ρ(x)行。

C3,ρ(x)e(H(id),C5,ρ(x))/e(Kx,id,C4,ρ(x))=

e(g1,g1)λρ(x)

(7)

計算常量cx∈N,使得計算e(g1,g1)s,其中λρ(x)=Aρ(x)v,v·(1,0,…,0)=s。

(8)

對對稱密鑰進行解密,獲得對稱密鑰sk：

sk=C2/e(g1,g1)s

(9)

利用對稱密鑰sk解密文件密文C1,獲得明文數(shù)據(jù)。

M=Decsk(C1)

(10)

4 安全性分析

4.1 機密性

數(shù)據(jù)機密性既保證數(shù)據(jù)為授權者所有而不會泄露給未經(jīng)授權者。在ABE-LDAP中,僅當用戶屬性集合滿足基于屬性的訪問控制矩陣,才能從云存儲模塊獲取加密數(shù)據(jù),未經(jīng)授權的用戶因無法滿足系統(tǒng)的訪問控制結構,所以保證了數(shù)據(jù)的機密性。

基于屬性加密的密鑰始終存在密鑰管理模塊中,未授權用戶不能獲取屬性集合對應的密鑰,保證了密鑰的機密性。

僅當用戶屬性集合滿足基于屬性的訪問控制矩陣,密鑰管理模塊才執(zhí)行對稱密鑰的解密過程,未授權用戶無法獲得加密數(shù)據(jù)的對稱密鑰,保證了數(shù)據(jù)的機密性。

同時密鑰管理模塊所有加解密操作均在可信執(zhí)行環(huán)境中執(zhí)行,保證了密鑰的安全性。

4.2 抗合謀攻擊

抗合謀是ABE系統(tǒng)要求的重要安全特性之一。合謀攻擊是指即使每個用戶不能單獨解密密文,他們可以通過組合他們的屬性來解密密文。在ABE-LDAP中,由于用戶的屬性密鑰與用戶身份標識結合,因而阻止了多個用戶之間的合謀攻擊。

5 性能分析

該文使用了CPU型號為Intel(R) Xeon(R) Gold 6326 CPU@2.90 GHz,內存為256 G,操作系統(tǒng)為Ubuntu20.04的支持SGX平臺,部署安裝了基于LDAP的屬性加密模型。本節(jié)從ABE-LDAP復雜度、SGX的機密性及ABE-LDAP的加解密時間進行性能分析。

5.1 ABE-LDAP算法復雜度

下面將文中模型與Chen方案[16]、DACPCC方案[17]進行對比分析,如表2所示。設|s1|為群G的元素長度,|s2|為群GT的元素長度,|s3|為群Zp的元素長度 ,|M|是選取的數(shù)據(jù)明文的空間大小,na為考慮范圍內的所有屬性數(shù)量,nu為某個用戶具有的屬性數(shù)量,E為群G的冪運算復雜度,ET為群GT的冪運算復雜度,P為群G的雙線性運算復雜度。

表2 ABE-LDAP性能分析

通過理論分析可知,文中方案在加密、解密開銷上與Chen方案和DACPCC方案類似。但是文中方案的屬性解密執(zhí)行是在云端的密鑰管理模塊中,顯著降低了用戶的計算開銷,提高了系統(tǒng)性能。在密文長度方面,文中方案采用層次加密方案,密文長度相對較大,但是安全性相對更高。

5.2 ABE-LDAP的機密性測試

分別在采用SGX和不采用SGX技術的情況下,驗證密鑰管理模塊的機密性,以驗證密鑰信息和加解密過程是否存在泄露風險。在密鑰管理模塊中添加機密性測試字符串“0123456789abcdef0a1b2c3d4e 5f0123456789abcdef”,來驗證字符串是否明文出現(xiàn)在內存中。利用RFSD、rfdk-gui、winhex等工具進行內存抓取。

如圖3所示,密鑰管理模塊沒有運行在SGX中,可以從內存中顯示出測試字符串信息。如圖4所示,密鑰管理模塊運行在SGX中,無法從內存中獲取測試字符串信息。因為密鑰管理模塊屬于SGX的保護范圍,除了SGX的Enclave結構外,外界無法獲取其中任何數(shù)據(jù)及代碼信息。實現(xiàn)了密鑰管理模塊中密鑰和加解密運算過程的機密性。

圖3 未采用SGX的密鑰管理模塊機密性

圖4 采用SGX的密鑰管理模塊機密性

5.3 ABE-LDAP的加解密測試

本節(jié)對ABE-LDAP的加解密性能分別進行了測試。所有屬性數(shù)量na設置為6,某個用戶具有的屬性數(shù)量nu設置為4。密鑰管理模塊分別采用SGX技術和不采用SGX技術。對基于屬性加解密過程進行了5次實驗。通過圖5和表3可以得出,采用SGX保護密鑰管理模塊會降低整個系統(tǒng)的性能,但是性能開銷相對較小,在系統(tǒng)可以接受的范圍內。同時,密鑰管理模塊可以安全的部署在云平臺上,實現(xiàn)密鑰和解密運算的機密性。

表3 ABE-LDAP的平均加解密時間

圖5 ABE-LDAP的加解密性能

6 結束語

該文利用LDAP和密鑰管理模塊代替?zhèn)鹘y(tǒng)屬性加密中的授權機構,利用組織內部的LDAP系統(tǒng)實現(xiàn)用戶身份的安全認證和屬性管理,利用密鑰管理模塊實現(xiàn)屬性密鑰的生成與存儲。同時,用戶將屬性解密操作安全的外包給密鑰管理模塊,且在密鑰管理模塊的可信執(zhí)行環(huán)境中進行加解密操作。安全性分析表明,該方案能夠有效保障數(shù)據(jù)機密性,實現(xiàn)安全高效和細粒度數(shù)據(jù)訪問控制,并有效降低了用戶的計算量,實現(xiàn)了密鑰的安全存儲。