黃勤龍，馬兆豐，傅鏡藝，楊義先，鈕心忻

（1. 北京郵電大學(xué) 信息安全中心，北京 100876；2. 北京郵電大學(xué) 災(zāi)備技術(shù)國(guó)家工程實(shí)驗(yàn)室，北京 100876；3. 北京國(guó)泰信安科技有限公司，北京 100086）

1 引言

隨著互聯(lián)網(wǎng)和云計(jì)算技術(shù)的快速發(fā)展和不斷普及，云計(jì)算在提高使用效率的同時(shí)，為數(shù)字內(nèi)容安全與用戶隱私保護(hù)帶來(lái)極大的沖擊與挑戰(zhàn)[1]。數(shù)字版權(quán)管理（DRM，digital rights management）通過(guò)數(shù)字內(nèi)容的加密和安全許可等一系列手段防止數(shù)字內(nèi)容的非法誤用，確保數(shù)字內(nèi)容在公平、合理、安全許可框架下的條件使用和消費(fèi)[2～5]。

云計(jì)算以動(dòng)態(tài)的服務(wù)計(jì)算為主要技術(shù)特征，有著較大的靈活性和成本優(yōu)勢(shì)。企業(yè)能夠?qū)?nèi)容存儲(chǔ)和運(yùn)營(yíng)外包給云服務(wù)提供商,而不需自己購(gòu)買設(shè)備和維護(hù)系統(tǒng)，還能在存儲(chǔ)需求變化時(shí)靈活地增減云資源的租用。同時(shí)，用戶也能夠方便地通過(guò)不同終端接入云服務(wù)，使用海量的數(shù)字內(nèi)容。然而，如何保護(hù)云環(huán)境下數(shù)字內(nèi)容的安全性和合理使用，同時(shí)防止云服務(wù)提供商挖掘或者泄露用戶隱私信息是云計(jì)算環(huán)境中數(shù)字版權(quán)保護(hù)無(wú)法回避的核心問(wèn)題。

針對(duì)云計(jì)算環(huán)境中數(shù)字版權(quán)保護(hù)的需求，本文提出一種云計(jì)算環(huán)境中支持隱私保護(hù)的數(shù)字版權(quán)保護(hù)方案，實(shí)現(xiàn)數(shù)字內(nèi)容版權(quán)全生命周期的保護(hù)和用戶隱私的保護(hù)。本文的貢獻(xiàn)主要有3個(gè)方面。

1)提出云計(jì)算環(huán)境中數(shù)字內(nèi)容版權(quán)全生命周期保護(hù)和用戶隱私保護(hù)的框架，包括系統(tǒng)初始化、內(nèi)容加密、許可授權(quán)和內(nèi)容解密4個(gè)主要協(xié)議，支持云計(jì)算環(huán)境中細(xì)粒度的用戶授權(quán)和靈活的應(yīng)用模式。

2)采用基于屬性基加密和加法同態(tài)加密算法的內(nèi)容加密密鑰保護(hù)和分發(fā)機(jī)制，保證內(nèi)容加密密鑰的安全性。內(nèi)容加密密鑰由主密鑰、授權(quán)密鑰和輔助密鑰三部分組成，其中主密鑰使用內(nèi)容提供商設(shè)置的訪問(wèn)策略加密，授權(quán)密鑰和輔助密鑰分別由授權(quán)服務(wù)器和密鑰服務(wù)器加密分發(fā)給用戶，用戶只有在其屬性滿足密文的訪問(wèn)策略并且擁有有效許可證的情況下才能基于加法同態(tài)加密算法解密出內(nèi)容加密密鑰。

3)允許用戶匿名向云服務(wù)提供商訂購(gòu)內(nèi)容和申請(qǐng)授權(quán)，有效保護(hù)用戶的隱私，同時(shí)防止云服務(wù)提供商、授權(quán)服務(wù)器和密鑰服務(wù)器等收集用戶使用習(xí)慣等敏感信息。

2 相關(guān)工作

云計(jì)算技術(shù)帶來(lái)的大規(guī)模在線存儲(chǔ)和按需使用的模式，使越來(lái)越多的用戶選擇云計(jì)算作為內(nèi)容的存儲(chǔ)平臺(tái)。然而，數(shù)字內(nèi)容的全生命周期保護(hù)包括內(nèi)容的安全性、內(nèi)容的合理使用等，是云計(jì)算發(fā)展和應(yīng)用中面臨的關(guān)鍵問(wèn)題。在云計(jì)算快速發(fā)展的推動(dòng)下，國(guó)內(nèi)外學(xué)者在云環(huán)境下版權(quán)保護(hù)方面的研究也在不斷深入，并取得不少研究成果，主要集中在內(nèi)容安全、訪問(wèn)控制和隱私保護(hù)等方面[6～15]。

1)數(shù)字內(nèi)容安全。內(nèi)容加密是保護(hù)云環(huán)境中內(nèi)容安全的基本手段，JAFARI等人在2011年的ACM DRM 會(huì)議上提出支持云存儲(chǔ)環(huán)境的數(shù)據(jù)版權(quán)保護(hù)方案[6]，通過(guò)加密用戶上傳的數(shù)字內(nèi)容，并限制訪問(wèn)者對(duì)內(nèi)容的使用權(quán)利，保護(hù)內(nèi)容的安全性。該方案不依賴于可信的云服務(wù)提供商，但是不支持細(xì)粒度的用戶授權(quán)。另外，在JAFARI等人的方案中，數(shù)據(jù)擁有者在為用戶授權(quán)時(shí)，使用用戶的公鑰加密內(nèi)容加密密鑰，導(dǎo)致用戶解密的計(jì)算復(fù)雜度較高。針對(duì)內(nèi)容加密密鑰的保護(hù)，WANG等人提出云計(jì)算中基于SIM卡的移動(dòng)版權(quán)保護(hù)方案CS-DRM[7]，使用對(duì)稱加密技術(shù)加密內(nèi)容加密密鑰。但是，該方案需要通過(guò)SIM卡提前協(xié)商對(duì)稱密鑰，實(shí)用性不高，同時(shí)會(huì)泄露用戶使用內(nèi)容的習(xí)慣。

PETRLIC也提出云計(jì)算環(huán)境中支持細(xì)粒度授權(quán)的版權(quán)保護(hù)方案[8]，允許內(nèi)容提供商將加密的內(nèi)容上傳到云服務(wù)提供商，并設(shè)置使用權(quán)限。用戶在使用內(nèi)容時(shí)，云服務(wù)提供商利用代理重加密技術(shù)將內(nèi)容重加密為用戶公鑰加密的內(nèi)容，確保只有該用戶才能解密，并且在重加密過(guò)程中，云服務(wù)提供商也無(wú)法知道內(nèi)容的明文。該方案雖然可以保證內(nèi)容在云環(huán)境中的安全性，但是用戶每次使用內(nèi)容時(shí)都需要重加密內(nèi)容，當(dāng)用戶數(shù)量達(dá)到一定規(guī)模時(shí)會(huì)帶來(lái)很大的額外開銷。

另外，同態(tài)加密也廣泛應(yīng)用于數(shù)字內(nèi)容的安全保護(hù)，SAMANTHULA等人提出了云計(jì)算環(huán)境中基于代理重加密和同態(tài)加密技術(shù)的內(nèi)容安全共享方案[9]。CORENA等人也提出了基于云計(jì)算的財(cái)務(wù)數(shù)據(jù)安全整合和存儲(chǔ)的方案[10]，該方案基于加法同態(tài)加密和秘密共享技術(shù)實(shí)現(xiàn)數(shù)據(jù)在密文狀態(tài)下的運(yùn)算。

2)內(nèi)容訪問(wèn)控制。密文的訪問(wèn)控制是云計(jì)算環(huán)境下加密內(nèi)容安全使用的關(guān)鍵問(wèn)題，WU等人提出了一種云計(jì)算環(huán)境下基于屬性基加密的內(nèi)容保護(hù)方案[11]，以實(shí)現(xiàn)靈活的訪問(wèn)控制。洪澄等人在屬性基加密的基礎(chǔ)上提出一種內(nèi)容保護(hù)和訪問(wèn)控制方案[12]，設(shè)計(jì)出一種基于秘密共享方案的云端重加密方法，在不損失安全性的前提下將一部分重加密代價(jià)轉(zhuǎn)移到云端，降低權(quán)限管理的復(fù)雜度，實(shí)現(xiàn)密文訪問(wèn)控制。MULLER等人首次提出基于屬性基加密的數(shù)字版權(quán)保護(hù)方案[13]，通過(guò)靜態(tài)規(guī)則和動(dòng)態(tài)規(guī)則實(shí)現(xiàn)版權(quán)內(nèi)容的合理使用。其中，靜態(tài)規(guī)則是通過(guò)設(shè)置密文的訪問(wèn)策略，實(shí)現(xiàn)用戶的訪問(wèn)控制，動(dòng)態(tài)規(guī)則是將用戶允許使用的權(quán)限通過(guò)許可證分發(fā)給用戶，實(shí)現(xiàn)內(nèi)容的使用控制。

3)用戶隱私保護(hù)。針對(duì)云計(jì)算環(huán)境下用戶使用內(nèi)容時(shí)隱私保護(hù)的問(wèn)題，CONRADO等人最早提出支持隱私保護(hù)的版權(quán)保護(hù)方案[14]，允許用戶匿名購(gòu)買內(nèi)容和申請(qǐng)授權(quán)。但是，該方案基于智能卡實(shí)現(xiàn)，缺乏實(shí)用性。PERLMAN等人提出基于匿名現(xiàn)金和盲簽名技術(shù)的用戶隱私保護(hù)方案[15]，允許用戶匿名使用內(nèi)容，同時(shí)防止云服務(wù)提供商跟蹤用戶的使用行為，但是不支持細(xì)粒度的用戶授權(quán)。在PERLMAN等人方案的基礎(chǔ)上，PETRLIC等人提出一種云計(jì)算環(huán)境中支持靈活用戶授權(quán)的內(nèi)容版權(quán)保護(hù)方案[16]，該方案基于同態(tài)加密和秘密共享技術(shù)實(shí)現(xiàn)云服務(wù)器上加密內(nèi)容的授權(quán)管理，結(jié)合重加密機(jī)制防止云服務(wù)器收集用戶的敏感數(shù)據(jù)。然而，該方案同樣在用戶每次使用內(nèi)容時(shí)都需重加密內(nèi)容，效率較低。

本文在上述工作成果的基礎(chǔ)上，提出適用于云計(jì)算環(huán)境的數(shù)字內(nèi)容版權(quán)全生命周期保護(hù)方案，允許內(nèi)容提供商上傳加密內(nèi)容到云存儲(chǔ)環(huán)境，采用屬性基加密和加法同態(tài)加密算法分發(fā)內(nèi)容加密密鑰，不僅保護(hù)內(nèi)容的安全性，支持靈活的訪問(wèn)控制，而且允許用戶匿名獲取內(nèi)容和授權(quán)，同時(shí)防止云服務(wù)提供商獲得用戶使用內(nèi)容的記錄。

3 預(yù)備知識(shí)

3.1 CP-ABE

屬性基加密（ABE）最初由SAHAI和WATERS提出[17]，它以屬性為公鑰，將密文和用戶私鑰與屬性關(guān)聯(lián)，能夠靈活地表示訪問(wèn)策略，當(dāng)用戶的私鑰與密文的訪問(wèn)策略相互匹配時(shí)，該用戶才能解密密文。ABE包括密鑰策略（KP-ABE）以及密文策略（CP- ABE）2類。其中，CP-ABE的密文與訪問(wèn)策略關(guān)聯(lián)，更加適合于云計(jì)算環(huán)境下的訪問(wèn)控制。

CP-ABE 算法包括以下4個(gè)組成部分。

1)ABE.Setup()。生成系統(tǒng)公鑰PK和系統(tǒng)主密鑰MK。

2)ASK=ABE.KeyGen(AS,MK)。使用用戶屬性AS和MK生成用戶的屬性私鑰ASK。

3)CT=ABE.Encrypt(AP,M,PK)。使用訪問(wèn)策略AP和PK將數(shù)據(jù)明文M加密為密文CT。

4)M=ABE.Decrypt(ASK,CT)。如果用戶的屬性AS滿足訪問(wèn)策略AP，使用屬性私鑰ASK解密密文CT得到明文M。

3.2 加法同態(tài)加密

同態(tài)加密技術(shù)允許用戶對(duì)加密數(shù)據(jù)進(jìn)行直接運(yùn)算或處理，是實(shí)現(xiàn)云計(jì)算安全中密文處理和隱私保護(hù)的重要基礎(chǔ)。同態(tài)加密[18]是在1978年由RIVEST等人提出的，是基于數(shù)學(xué)難題的計(jì)算復(fù)雜性理論的密碼學(xué)技術(shù)。2009年，GENTRY提出了基于多項(xiàng)式環(huán)上理想格的全同態(tài)加密算法[19]。2010年，DIJK等人提出針對(duì)整數(shù)加密的全同態(tài)加密算法[20]。

基于同態(tài)加密算法，可以對(duì)加密數(shù)據(jù)進(jìn)行運(yùn)算或處理，而不再需要先進(jìn)行解密。CASTELLUCCIA等人提出一種加法同態(tài)加密算法[21]，滿足如表1所示的屬性，包括加密算法、解密算法和密文加法，該方案是可證明安全的。

表1 加法同態(tài)加密算法

4 云計(jì)算環(huán)境中版權(quán)保護(hù)需求

1)靈活性

云計(jì)算由于可擴(kuò)展性和靈活性等特性，能夠滿足用戶對(duì)數(shù)字內(nèi)容不斷增長(zhǎng)的需求，并且支持按需使用的業(yè)務(wù)模式。因此，云計(jì)算環(huán)境中的版權(quán)保護(hù)方案在保證數(shù)字內(nèi)容安全性的前提下應(yīng)滿足靈活的業(yè)務(wù)需求和細(xì)粒度的用戶授權(quán)，并且支持內(nèi)容提供商設(shè)置靈活的訪問(wèn)控制。同時(shí)，云計(jì)算為用戶提供使用便利，用戶可以隨時(shí)隨地使用不同終端訪問(wèn)云服務(wù)提供商，購(gòu)買和租用數(shù)字內(nèi)容。因此，云計(jì)算環(huán)境中的版權(quán)保護(hù)方案應(yīng)支持靈活的應(yīng)用模式。

2)安全性

云計(jì)算允許內(nèi)容提供商將內(nèi)容發(fā)布到云存儲(chǔ)平臺(tái)，并快速分發(fā)給用戶，因此版權(quán)保護(hù)方案應(yīng)保證內(nèi)容的安全性，防止由于云服務(wù)系統(tǒng)內(nèi)部人員失職、外部黑客攻擊等引起的數(shù)字內(nèi)容泄露，保護(hù)內(nèi)容提供商的合法權(quán)利。同時(shí)，為了保證數(shù)字內(nèi)容的合理使用，版權(quán)保護(hù)方案應(yīng)確保數(shù)字內(nèi)容只能被授權(quán)用戶訪問(wèn)，防止假冒攻擊和重放攻擊等非授權(quán)訪問(wèn)，并且支持許可證的撤銷。

3)隱私保護(hù)

用戶通過(guò)云服務(wù)提供商訂購(gòu)內(nèi)容時(shí)，版權(quán)保護(hù)方案應(yīng)防止內(nèi)容提供商和云服務(wù)提供商等獲取用戶身份信息，保證用戶的匿名性。另外，云服務(wù)提供商在為用戶提供內(nèi)容服務(wù)的同時(shí)，往往通過(guò)網(wǎng)頁(yè)等技術(shù)收集并分析用戶的使用記錄，為用戶精準(zhǔn)地推薦相關(guān)內(nèi)容。因此，版權(quán)保護(hù)方案應(yīng)防止云服務(wù)提供商收集用戶的使用記錄等敏感信息，保護(hù)用戶的隱私。

5 方案設(shè)計(jì)思想

基于CP-ABE和加法同態(tài)加密算法，本文提出一種半可信云計(jì)算環(huán)境中支持隱私保護(hù)的數(shù)字版權(quán)全生命周期保護(hù)方案，保護(hù)版權(quán)內(nèi)容在上傳、存儲(chǔ)、傳輸和使用等環(huán)節(jié)的安全性和合理使用。如圖1所示，數(shù)字版權(quán)保護(hù)方案涵蓋屬性機(jī)構(gòu)、內(nèi)容提供商、密鑰服務(wù)器、授權(quán)服務(wù)器、云服務(wù)提供商和用戶等組成部分。

圖1 數(shù)字版權(quán)保護(hù)方案框架

1)屬性機(jī)構(gòu)：屬性機(jī)構(gòu)是可信的服務(wù)器，為用戶分配屬性，并生成用戶的屬性私鑰通過(guò)安全信道分發(fā)給用戶。

2)內(nèi)容提供商：內(nèi)容提供商通過(guò)加密組件使用隨機(jī)的主密鑰、授權(quán)密鑰、輔助密鑰相加得到內(nèi)容加密密鑰，使用內(nèi)容加密密鑰加密準(zhǔn)備上傳的數(shù)字內(nèi)容，并將加密后的數(shù)字內(nèi)容發(fā)布到云存儲(chǔ)平臺(tái)。同時(shí)，內(nèi)容提供商通過(guò)訪問(wèn)策略加密主密鑰以實(shí)現(xiàn)用戶的訪問(wèn)控制。

3)密鑰服務(wù)器：密鑰服務(wù)器接收內(nèi)容提供商加密的輔助密鑰，在申請(qǐng)內(nèi)容解密時(shí)為已授權(quán)用戶提供輔助密鑰。另外，在授權(quán)服務(wù)器撤銷許可證后，密鑰服務(wù)器拒絕已撤銷許可證的內(nèi)容解密請(qǐng)求。

4)授權(quán)服務(wù)器：授權(quán)服務(wù)器根據(jù)云服務(wù)提供商的內(nèi)容訂購(gòu)請(qǐng)求，為用戶生成許可證，并通過(guò)云服務(wù)提供商分發(fā)給用戶。許可證中包含加密的授權(quán)密鑰以及時(shí)間限制、次數(shù)限制等細(xì)粒度授權(quán)，并使用授權(quán)服務(wù)器的私鑰簽名。

5)云服務(wù)提供商：云服務(wù)提供商向用戶提供內(nèi)容服務(wù)，用戶通過(guò)云服務(wù)提供商購(gòu)買內(nèi)容提供商的內(nèi)容并獲取許可證，在此過(guò)程中云服務(wù)提供商不能獲取明文內(nèi)容、用戶隱私和敏感信息。

6)用戶：用戶獲取加密的內(nèi)容后，通過(guò)云服務(wù)提供商向授權(quán)服務(wù)器申請(qǐng)?jiān)S可證，在使用內(nèi)容時(shí)向密鑰服務(wù)器申請(qǐng)輔助密鑰。用戶設(shè)備上的可信DRM客戶端首先利用屬性私鑰解密出主密鑰，然后基于加法同態(tài)加密算法解密出授權(quán)密鑰與輔助密鑰的和，再與主密鑰相加得到內(nèi)容加密密鑰并解密明文內(nèi)容。DRM客戶端在執(zhí)行內(nèi)容使用權(quán)利約束的同時(shí)，保護(hù)內(nèi)容加密密鑰和明文內(nèi)容不被竊取或者轉(zhuǎn)存。

下面介紹數(shù)字版權(quán)全生命周期保護(hù)中系統(tǒng)初始化、內(nèi)容加密、許可授權(quán)和內(nèi)容解密4個(gè)主要的協(xié)議。文中用到的符號(hào)定義如表2所示。

表2 相關(guān)符號(hào)定義

5.1 系統(tǒng)初始化協(xié)議

系統(tǒng)初始化時(shí)，屬性機(jī)構(gòu)定義系統(tǒng)屬性為A={a1,a2,a3,…,an}，公開發(fā)布系統(tǒng)公鑰PK，并秘密保存系統(tǒng)主密鑰MK。

用戶注冊(cè)時(shí)，根據(jù)用戶的屬性AS為用戶生成屬性私鑰ASK，并通過(guò)安全信道發(fā)送給用戶秘密保存。

5.2 內(nèi)容加密協(xié)議

在內(nèi)容加密階段，內(nèi)容提供商的加密組件生成隨機(jī)的CEK，再使用CEK基于對(duì)稱加密算法加密內(nèi)容提供商上傳的內(nèi)容。

Step1 內(nèi)容提供商的加密組件隨機(jī)生成長(zhǎng)度為l的CMK、LK和AK，并相加得到CEK。

CEK=CMK + LK + AK∈ [0,M?1]，其中M≥2l+1

Step2 加密組件使用CEK加密PCD，并把加密結(jié)果ECD發(fā)布到云存儲(chǔ)平臺(tái)。

Step3 內(nèi)容提供商設(shè)置該內(nèi)容的訪問(wèn)策略AP，加密組件基于CP-ABE算法使用AP加密CMK，使用授權(quán)服務(wù)器的公鑰 PKS加密 LK，并將結(jié)果一并發(fā)送給授權(quán)服務(wù)器，同時(shí)使用密鑰服務(wù)器的公鑰PKK加密AK發(fā)送給密鑰服務(wù)器。

5.3 許可授權(quán)協(xié)議

用戶通過(guò)云服務(wù)提供商訂購(gòu)內(nèi)容后，云服務(wù)提供商向授權(quán)服務(wù)器申請(qǐng)LIC，授權(quán)服務(wù)器根據(jù)用戶的訂購(gòu)權(quán)限生成LIC，并通過(guò)云服務(wù)提供商分發(fā)給用戶。許可授權(quán)協(xié)議時(shí)序如圖2所示。

圖2 許可授權(quán)協(xié)議時(shí)序

Step1 用戶隨機(jī)生成密鑰UK，向云服務(wù)提供商提交內(nèi)容訂購(gòu)請(qǐng)求，包括CID、用戶使用權(quán)限REX和許可授權(quán)請(qǐng)求LAQ。其中，LAQ包括CID、REX和UK，并使用PKS加密。

Step2 云服務(wù)提供商處理用戶的內(nèi)容訂購(gòu)請(qǐng)求后，向授權(quán)服務(wù)器提交許可生成請(qǐng)求 LSQ和簽名。其中，LSQ包括LAQ和T等。

Step3 授權(quán)服務(wù)器收到許可生成請(qǐng)求LSQ和簽名后，驗(yàn)證LSQ的簽名是否正確，并驗(yàn)證T是否有效。驗(yàn)證通過(guò)后，授權(quán)服務(wù)器首先使用SKS解密出CID、REX和UK。其次，授權(quán)服務(wù)器根據(jù)CID隨機(jī)生成長(zhǎng)度為l的HKS和HKK（滿足HKS+ HKK∈[0,M?1]，其中每個(gè)內(nèi)容的HKK均相同）。根據(jù)許可證權(quán)利描述為用戶生成 LIC并返回給云服務(wù)提供商。LIC中包括AP加密的CMK、HKS加密的LK、許可授權(quán)憑證 LAT和許可證標(biāo)識(shí) LID等，并使用SKS簽名。

Step4 云服務(wù)提供商將LIC發(fā)送給用戶，用戶使用PKS驗(yàn)證LIC的完整性，并保存LIC。

5.4 內(nèi)容解密協(xié)議

用戶使用內(nèi)容時(shí)，將已申請(qǐng)的LIC中的LAT發(fā)送給密鑰服務(wù)器請(qǐng)求AK。用戶獲取AK后，基于加法同態(tài)加密算法解密出LK與AK的和。內(nèi)容解密協(xié)議時(shí)序如圖3所示。

圖3 內(nèi)容解密協(xié)議時(shí)序

Step1 用戶使用內(nèi)容時(shí)首先判斷 LIC是否存在，若LIC存在并且有效時(shí)，用戶從LIC提取出LAT發(fā)給密鑰服務(wù)器申請(qǐng)AK。

Step2 密鑰服務(wù)器收到 LAT后，使用 PKS驗(yàn)證LAT的完整性，并使用SKK解密出CID和HKK。然后，密鑰服務(wù)器使用SKK解密出該內(nèi)容的AK，并使用HKK加密AK后，將Enc(HKK,AK)返回給用戶。

Step3 用戶使用ASK從LIC中解密出CMK。

Step4 用戶使用UK從LIC中解密出HKS+HKK。

Step5 基于加法同態(tài)加密算法，用戶使用(HKS+HKK)解密出(LK + AK)。

Step6 用戶使用CEK解密ECD，并按照LIC中的REX執(zhí)行權(quán)利約束。

6 方案應(yīng)用模式

1)云在線應(yīng)用模式

云計(jì)算將大量計(jì)算資源、存儲(chǔ)資源與內(nèi)容資源通過(guò)網(wǎng)絡(luò)連接在一起，推動(dòng)了在線應(yīng)用和在線內(nèi)容服務(wù)的快速發(fā)展。本文方案支持云環(huán)境下數(shù)字內(nèi)容在線使用場(chǎng)景下靈活的版權(quán)控制，例如在線播放多媒體內(nèi)容、在線閱讀電子書等。用戶通過(guò)安裝在終端的DRM客戶端向授權(quán)服務(wù)器在線申請(qǐng)?jiān)S可證，獲取許可證后實(shí)時(shí)解密在線傳輸?shù)募用軆?nèi)容流，并按照許可證中規(guī)定的權(quán)利進(jìn)行使用控制。通過(guò)方案中的隱私保護(hù)方法，用戶不僅可以享受云計(jì)算帶來(lái)的在線數(shù)字內(nèi)容服務(wù)，而且無(wú)需擔(dān)心隱私和敏感記錄的泄露。

2)云超級(jí)分發(fā)應(yīng)用模式

云計(jì)算通過(guò)CDN等技術(shù)消除網(wǎng)絡(luò)運(yùn)營(yíng)商之間的互通瓶頸，將數(shù)字內(nèi)容分發(fā)到離用戶最近的網(wǎng)絡(luò)節(jié)點(diǎn)，為用戶提供更快的內(nèi)容超級(jí)分發(fā)服務(wù)。本文方案支持許可證與內(nèi)容獨(dú)立分發(fā)的模式，加密的數(shù)字內(nèi)容可以在用戶之間或者用戶的不同終端設(shè)備之間進(jìn)行超級(jí)分發(fā)。用戶使用加密內(nèi)容時(shí)，需要通過(guò)云服務(wù)提供商向授權(quán)服務(wù)器申請(qǐng)?jiān)S可證。本文方案不僅滿足云環(huán)境中數(shù)字內(nèi)容分發(fā)和共享的需求，而且保護(hù)用戶使用內(nèi)容過(guò)程中的隱私。

7 方案分析

7.1 正確性分析

已知 HKS+ HKK∈ [0,M?1]，LK + AK∈ [0,M?1]，M是一個(gè)大整數(shù)。

基于CASTELLUCCIA等人提出的加法同態(tài)加密算法[21]可以得出

則由上述等式，可得

由CEK=CMK + LK + AK，用戶可以正確解密內(nèi)容。

7.2 安全性分析

定理1 用戶只有滿足訪問(wèn)策略并獲取有效的許可證后才能解密內(nèi)容。

加密服務(wù)器使用 CEK加密數(shù)字內(nèi)容，用戶只有獲取 CEK才能解密內(nèi)容。用戶通過(guò)云服務(wù)提供商向授權(quán)服務(wù)器申請(qǐng) LIC，LIC中包含AP加密的CMK、HKS加密的LK、Enc(UK,HKS+ HKK)和LAT等。在使用加密內(nèi)容時(shí)，用戶將LIC中的LAT發(fā)送給密鑰服務(wù)器，密鑰服務(wù)器驗(yàn)證有效后，返回Enc(HKK,AK)給用戶，用戶然后使用屬性私鑰ASK解密出 CMK，再基于加法同態(tài)加密算法解密出CEK。因此，用戶只有滿足屬性結(jié)構(gòu)并獲取有效的許可證后才能解密內(nèi)容。另外，撤銷的用戶由于無(wú)法通過(guò)密鑰服務(wù)器獲取加密的 AK，因此也無(wú)法解密內(nèi)容。

定理2 云服務(wù)提供商、授權(quán)服務(wù)器和密鑰服務(wù)器均無(wú)法獲得內(nèi)容加密密鑰。

在許可授權(quán)階段，由于CMK使用AP加密，因此云服務(wù)提供商和授權(quán)服務(wù)器均無(wú)法獲得CEK。在內(nèi)容解密階段，密鑰服務(wù)器可以根據(jù)Enc(PKK,AK)解密出AK，但是無(wú)法獲得CMK和LK，因此也無(wú)法獲得CEK。另外，如果攻擊者試圖偽造LAT，隨機(jī)生成 HKK'并發(fā)送 Enc(PKK,CID || HKK' || T)||Sig(SKS',CID || HKK' || T)給密鑰服務(wù)器。密鑰服務(wù)器使用PKS驗(yàn)證簽名Sig(SKS',CID || HKK' || T)不通過(guò)，攻擊者無(wú)法獲取 AK。因此，云服務(wù)提供商也不能聯(lián)合攻擊者獲得CEK。

定理3 攻擊者不能重放云服務(wù)提供商的許可生成請(qǐng)求。

在許可授權(quán)階段，云服務(wù)器提供商向授權(quán)服務(wù)器提交許可生成請(qǐng)求。攻擊者試圖重放許可生成請(qǐng)求，發(fā)送LSQ’ || Sig(SKSP,LSQ’)給授權(quán)服務(wù)器。授權(quán)服務(wù)器驗(yàn)證LSQ’的簽名正確，然后使用SKS解密LAQ || T’得到LAQ和時(shí)間戳T’等，但是驗(yàn)證時(shí)間戳T’與授權(quán)服務(wù)器時(shí)間不符。因此，攻擊者無(wú)法通過(guò)重放攻擊獲取授權(quán)服務(wù)器頒發(fā)的許可證。

7.3 隱私保護(hù)分析

1)匿名性

用戶在內(nèi)容訂購(gòu)時(shí)，生成隨機(jī)的UK向授權(quán)服務(wù)器申請(qǐng)授權(quán)，云服務(wù)提供商和授權(quán)服務(wù)器無(wú)法獲取用戶的身份信息。用戶在使用內(nèi)容時(shí)向密鑰服務(wù)器提交的LAT也不包含用戶的身份信息。因此，本文方案能夠保證用戶的匿名性，防止泄露用戶的身份信息。

2)敏感記錄保護(hù)

用戶向云服務(wù)提供商訂購(gòu)內(nèi)容時(shí)，隨機(jī)生成密鑰 UK封裝在許可授權(quán)請(qǐng)求中發(fā)送給云服務(wù)提供商。由于每次訂購(gòu)時(shí)UK都不相同，因此云服務(wù)提供商無(wú)法將該內(nèi)容訂購(gòu)請(qǐng)求與特定的匿名用戶聯(lián)系起來(lái)，也無(wú)法收集匿名用戶的內(nèi)容訂購(gòu)記錄。同時(shí)，許可授權(quán)申請(qǐng)中每次的時(shí)間戳 T都不相同，因此授權(quán)服務(wù)器也無(wú)法統(tǒng)計(jì)特定匿名用戶的授權(quán)記錄。

用戶在使用內(nèi)容時(shí)，向密鑰服務(wù)器提交LAT，由于 HKK是隨機(jī)生成的，并且每個(gè)內(nèi)容的 HKK均相同，因此密鑰服務(wù)器也無(wú)法分析用戶的內(nèi)容使用習(xí)慣。

通過(guò)以上分析，本文方案能夠有效防止用戶敏感記錄的泄露和分析。

7.4 實(shí)驗(yàn)分析

1)實(shí)驗(yàn)環(huán)境

下面將設(shè)計(jì)實(shí)驗(yàn)對(duì)本文方案的性能進(jìn)行分析。實(shí)驗(yàn)環(huán)境是Ubuntu 12.10虛擬機(jī)（Intel Core i52.53 GHz，分配2 GB內(nèi)存）。實(shí)驗(yàn)的編碼實(shí)現(xiàn)基于cpabe庫(kù)[22]，對(duì)稱加密算法使用128 bit AES算法。

2)實(shí)驗(yàn)結(jié)果

針對(duì)不同內(nèi)容大小和屬性個(gè)數(shù)的情況進(jìn)行加密和解密實(shí)驗(yàn)，圖4展示了訪問(wèn)策略中屬性個(gè)數(shù)為8的情況下加密和解密時(shí)間開銷與內(nèi)容大小的對(duì)比關(guān)系，圖5展示了解密時(shí)間開銷與訪問(wèn)策略中屬性個(gè)數(shù)的對(duì)比關(guān)系。實(shí)驗(yàn)結(jié)果可以看出，加密和解密的時(shí)間開銷與內(nèi)容大小和訪問(wèn)策略中屬性個(gè)數(shù)成線性關(guān)系，加密 10 M大小的內(nèi)容所需的時(shí)間小于1 s，解密時(shí)間也遠(yuǎn)小于加密時(shí)間，因此，本文所提方案在內(nèi)容加密和解密操作的時(shí)間開銷方面具有優(yōu)勢(shì)。

圖4 內(nèi)容加密和解密時(shí)間開銷與內(nèi)容大小的關(guān)系

圖5 內(nèi)容解密時(shí)間開銷與屬性個(gè)數(shù)的關(guān)系

7.5 與其他方案的比較

本文方案使用對(duì)稱加密算法加密內(nèi)容，保護(hù)內(nèi)容的安全性，支持許可證的細(xì)粒度用戶授權(quán)，如是否允許播放、時(shí)間限制和次數(shù)限制等，同時(shí)支持在線和超級(jí)分發(fā)應(yīng)用模式。通過(guò)引入CP-ABE和加法同態(tài)加密機(jī)制分發(fā)內(nèi)容加密密鑰，保證內(nèi)容加密密鑰的安全性。另外，本文在保證用戶匿名性的同時(shí)，能夠防止用戶敏感記錄的泄露和分析。本文方案與現(xiàn)有的云計(jì)算環(huán)境中內(nèi)容保護(hù)方案對(duì)比分析的結(jié)果如表3所示。

與文獻(xiàn)[6,7]相比，本文方案支持細(xì)粒度的用戶授權(quán)，同時(shí)允許用戶匿名使用云計(jì)算環(huán)境中的版權(quán)保護(hù)服務(wù)，保護(hù)用戶敏感記錄。與文獻(xiàn)[16]相比，本文方案使用對(duì)稱加密算法加密內(nèi)容，安全性更高，并且在使用內(nèi)容時(shí)不需要重新加密內(nèi)容，效率更高，同時(shí)也支持超級(jí)分發(fā)模式。與文獻(xiàn)[12,13]相比，本文方案支持對(duì)用戶敏感記錄等隱私的保護(hù)。

表3 云計(jì)算環(huán)境中內(nèi)容保護(hù)方案功能對(duì)比分析

8 結(jié)束語(yǔ)

針對(duì)云計(jì)算環(huán)境中數(shù)字版權(quán)保護(hù)的需求，本文提出一種云計(jì)算環(huán)境中支持隱私保護(hù)的數(shù)字版權(quán)保護(hù)方案。首先，提出云計(jì)算環(huán)境中數(shù)字內(nèi)容版權(quán)全生命周期保護(hù)和用戶隱私保護(hù)的框架，描述了數(shù)字內(nèi)容版權(quán)全生命周期中系統(tǒng)初始化、內(nèi)容加密、許可授權(quán)和內(nèi)容解密4個(gè)主要的協(xié)議。其次，本文提出基于屬性基加密和加法同態(tài)加密算法的內(nèi)容加密密鑰保護(hù)和分發(fā)機(jī)制,保證內(nèi)容加密密鑰的安全性。內(nèi)容加密密鑰由主密鑰、授權(quán)密鑰和輔助密鑰組成，分別獨(dú)立加密分發(fā)到用戶。用戶在其屬性滿足密文的訪問(wèn)策略并且擁有有效許可證的情況下，可以首先解密出主密鑰，然后基于加法同態(tài)加密算法解密出授權(quán)密鑰與輔助密鑰的和，最后得到內(nèi)容加密密鑰。同時(shí)，本文允許用戶匿名向云服務(wù)提供商訂購(gòu)內(nèi)容和申請(qǐng)授權(quán)，有效保護(hù)用戶的隱私，防止云服務(wù)提供商、授權(quán)服務(wù)器和密鑰服務(wù)器等收集匿名用戶使用習(xí)慣等敏感信息。此外，本文支持云計(jì)算環(huán)境中靈活的業(yè)務(wù)模式和許可證的細(xì)粒度授權(quán)，支持在線和超級(jí)分發(fā)應(yīng)用模式。

安全性、隱私保護(hù)和實(shí)驗(yàn)分析表明，與現(xiàn)有的云計(jì)算環(huán)境中數(shù)字版權(quán)保護(hù)方案相比，本文方案靈活性及安全性較高，能夠有效保護(hù)用戶的隱私，支持靈活的訪問(wèn)控制，在云計(jì)算環(huán)境中具有較好的實(shí)用性。

[1]馮登國(guó),張敏,張妍等. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào),2011,22(1):71-83.FENG D G,ZHANG M,ZHANG Y,et al. Study on cloud computing security[J]. Journal of Software,2011,22(1):71-83.

[2]俞銀燕,湯幟. 數(shù)字版權(quán)保護(hù)技術(shù)研究綜述[J]. 計(jì)算機(jī)學(xué)報(bào),2005,28(12):957-968.YU Y Y,TANG Z. A survey of the research on digital rights management[J]. Chinese Journal of Computers,2005,28(12):957-968.

[3]馬兆豐,范科峰,陳銘等. 支持時(shí)空約束的可信數(shù)字版權(quán)管理安全許可協(xié)議[J]. 通信學(xué)報(bào),2008,29(10):153-164.MA Z F,FAN K F,CHEN M,et al. Trusted digital rights management protocol supporting for time and space constraint[J]. Journal on Communications,2008,29(10):153-164.

[4]ZHANG Z Y,PEI Q Q,YANG L,et al. Establishing multi-party trust architecture for DRM by using game-theoretic analysis of security policies[J]. Chinese Journal of Electronics,2009,18(3):519-524.

[5]QIU Q,TANG Z,LI F,et al. A personal DRM scheme based on social trust[J]. Chinese Journal of Electronics,2012,21(4):719-724.

[6]JAFARI M,SAFAVI-NAINI R,SHEPPARD N P. A rights management approach to protection of privacy in a cloud of electronic health records[A]. Proceedings of the 11th Annual ACM Workshop on Digital Rights Management[C]. Chicago,USA,2011.23-29.

[7]WANG C K,ZOU P,LIU Z,et al. CS-DRM: a cloud-based SIM DRM scheme for mobile internet[J]. Eurasip Journal on Wireless Communications and Networking,2011,2011:1-30.

[8]PETRLIC R. Proxy re-encryption in a privacy-preserving cloud computing DRM scheme[A]. Proceedings of the 4th International Symposium on Cyberspace Safety and Security,CSS 2012[C]. Melbourne,Australia,2012.194-211.

[9]SAMANTHULA B K,HOWSER G.,ELMEHDWI Y,et al. An efficient and secure data sharing framework using homomorphic encryption in the cloud[A]. Proceedings of the 1st International Workshop on Cloud Intelligence[C]. Istanbul,Turkey,2012.1-8.

[10]CORENA J C,OHTSUKI T. Secure and fast aggregation of financial data in cloud-based expense tracking applications[J]. Journal of Network and Systems Management,2012,20(4):534-560.

[11]WU Y D,WEI Z,DENG R H. Attribute-based access to scalable media in cloud-assisted content sharing networks[J]. IEEE Transactions on Multimedia,2013,15(4):778-788.

[12]洪澄,張敏,馮登國(guó). 面向云存儲(chǔ)的高效動(dòng)態(tài)密文訪問(wèn)控制方法[J].通信學(xué)報(bào),2011,32(7):125-132.HONG C,ZHANG M,FENG D G. Achieving efficient dynamic cryptographic access control in cloud storage[J]. Journal on Communications,2011,32(7):125-132.

[13]MULLER S,KATZENBEISSER S. A new DRM architecture with strong enforcement[A]. Proceedings of the 5th International Conference on Availability,Reliability,and Security,ARES 2010[C]. Krakow,Poland,2010.397-403.

[14]CONRADO C,PETKOVIC M,JONKER W. Privacy-preserving digital rights management[A]. Proceedings of the Secure Data Management 2004[C]. Toronto,Canada,2004.83-99.

[15]PERLMAN R,KAUFMAN C,PERLNER R. Privacy-preserving DRM[A]. Proceedings of the 9th Symposium on Identity and Trust on the Internet,IDtrust 2010[C]. New York,USA,2010.69-83.

[16]PETRLIC R,SORGE C. Privacy-preserving DRM for cloud computing[A]. Proceedings of 26th IEEE International Conference on Advanced Information Networking and Applications Workshops,WAINA 2012[C]. Fukuoka,Japan,2012.1286-1291.

[17]SAHAI A,WATERS B. Fuzzy identity-based encryption[A]. Proceedings of EUROCRYPT 2005[C]. Aarhus,Denmark,2005.457-473.

[18]RIVEST R,SHARMIR A,DERTOUZONS M. On Data Banks and Privacy Homomorphisms[M]. Orlando: Academic Press,1978.

[19]GENTRY C. Fully homomorphic encryption using ideal lattices[A].Proceedings of the 41st Annual ACM Symposium on Theory of Computing[C]. New York,USA,2009.169-178.

[20]DIJK M,GENTRY C,HALEVI S,et al. Fully homomorphic encryption over the integers[A]. Proceedings of Advances in Cryptology-Eurocrypt 2010[C]. Riviera,France,2010.24-43.

[21]CASTELLUCCIA C,MYKLETUN E,TSUDIK G. Efficient aggregation of encrypted data in wireless sensor networks[A]. Proceedings of the Second Annual International Conference on Mobile and Ubiquitous Systems: Networking and Services[C]. San Diego,USA,2005.109-117.

[22]BETHENCOURT J,SAHAI A,WATERS B. Advanced crypto software collection[EB/OL]. http://acsc.cs.utexas.edu/cpabe/.