張應輝，鄭 東，馬 華

(1.西安郵電大學無線網(wǎng)絡安全技術國家工程實驗室，陜西西安 710121;2.中國科學院信息工程研究所信息安全國家重點實驗室，北京 100093;3.西安電子科技大學數(shù)學與統(tǒng)計學院，陜西西安 710071)

隨著云計算技術的快速發(fā)展，越來越多的組織和個人選擇第三方云平臺來存儲自己的數(shù)據(jù)。然而，由于對數(shù)據(jù)安全和個人隱私的擔憂，許多網(wǎng)絡用戶對云存儲的廣泛部署持反對意見。因此，研究云存儲中的安全問題非常有實際意義。

為了實現(xiàn)安全的云存儲系統(tǒng)，可采用基于屬性的加密ABE(Attribute－Based Encryption，ABE)技術。自從Sahai和Waters［1］提出了 ABE 的概念以來，該領域的研究吸引了國內(nèi)外大量學者的注意。Goyal等人將ABE分為兩類，即密鑰策略的基于屬性的加密KPABE(Key－Policy ABE:KP－ABE)和密文策略的基于屬性的加密(Ciphertext－ Policy ABE:CP － ABE)［2］。在KP－ABE中，每個屬性私鑰對應一個訪問策略，密文則對應著屬性列表。在CP－ABE中，密文與訪問策略關聯(lián)，由數(shù)據(jù)加密者確定訪問策略，屬性私鑰則與用戶的屬性對應。一個用戶能夠解密密文且僅當他的屬性與密文的訪問策略匹配。與KP－ABE相比，CPABE更加適用于云計算環(huán)境，因此本文主要研究CPABE。Cheung 和 Newport［3］提出了一個標準模型下可證明安全的CP－ABE方案。近年來，關于云存儲和ABE還有大量的研究，如圖像密文檢索［4］、屬性撤銷機制［5－6］、多中心機制［7－8］，以及密文大小恒定的ABE［9－10］等。

然而，由于訪問策略被直接放置在密文中，上述方案都無法保護用戶的屬性隱私。隱私保護問題對用戶而言至關重要［11］。為了保護用戶的屬性隱私，Nishide等人［12］也研究了匿名的 CP－ABE。然而，該方案的解密者只有在執(zhí)行完整個解密算法之后才能判斷解密是否成功，因此存在嚴重的效率缺陷。Zhang等人［13］在匿名ABE中引入了先匹配后解密技術，大幅提高了匿名ABE的效率。本文基于對稱加密和匿名的基于屬性的加密設計了具有隱私保護的云存儲訪問控制方案，不但可保障云存儲的數(shù)據(jù)機密性，還可保護用戶的屬性隱私。

1 基礎知識

1.1 雙線性映射

設G是一個階為大素數(shù)p的乘法循環(huán)群，g是G的一個生成元，GT是也是一個p階的乘法循環(huán)群，1T是GT的單位元。若映射∶G×G→GT滿足如下3個條件，則稱為一個雙線性映射:(1)雙線性性:對任意的a，b∈Z*p(ga，gb)=(g，g)ab;(2)非退化性:存在g1，g2∈G，使得(g1，g2)≠1T;(3)可計算性:對任意的 g1，g2∈G，存在計算(g1，g2)的有效算法。

1.2 訪問策略

訪問策略就是CP－ABE中的密文策略。給定一個屬性列表L=［L1，L2，…，Ln］和一個訪問策略 W=［W1，W2，…，Wn］，對于 1≤i≤n，若 Li=Wi或 Wi=* ，則稱Li∈Wi，否則Li?Wi。L匹配W當且僅當每一個Li∈Wi均成立，記為 L╞W，否則 L不匹配 W，記為L=∨W。

2 具有隱私保護的云存儲訪問控制方案

本文采用混合加密體制實現(xiàn)具有隱私保護的云存儲訪問控制，其中公鑰加密采用文獻［12］中的匿名的密文策略下基于屬性的加密機制，對稱加密可選用任何經(jīng)典的對稱加密算法。

2.1 方案的定義

建立適用于云存儲的具有隱私保護的訪問控制系統(tǒng)需4個階段:系統(tǒng)建立、用戶加入、匿名數(shù)據(jù)創(chuàng)建和匿名數(shù)據(jù)訪問，具體定義如下:

系統(tǒng)建立。屬性權威機構生成訪問控制系統(tǒng)所需的系統(tǒng)公開參數(shù)和主私鑰，將系統(tǒng)公開參數(shù)公開并秘密保存主私鑰。

用戶加入。當一個用戶想要加入訪問控制系統(tǒng)時，他向?qū)傩詸嗤C構提出申請，屬性權威機構根據(jù)該用戶的屬性信息為其生成相應的屬性私鑰。

匿名數(shù)據(jù)創(chuàng)建。數(shù)據(jù)擁有者自己確定一個訪問控制策略，并基于此加密自己的數(shù)據(jù)，然后將不包含訪問策略的密文上傳到云存儲服務器上。

匿名數(shù)據(jù)訪問。當一個用戶想要訪問某個文件，首先從云存儲服務器上下載相應的密文數(shù)據(jù)，然后用自身的屬性私鑰匿名解密密文得到明文。

2.2 具體的訪問控制方案

(1)系統(tǒng)建立。屬性權威機構運行Setup算法，生成系統(tǒng)公開參數(shù)PK和主私鑰MK，然后將PK公開并自己秘密保存MK。

Setup(1λ):屬性權威機構選取安全參數(shù)和隨機參數(shù) y ∈RZp，針 對 每 一 個 屬 性 ωi選 取 參 數(shù) {ai，j，bi，j∈RZp}1≤j≤n和 {Ti，j∈RG}1≤j≤n。 計 算 {Ai，j=Tai，i，jj，iiBi，j=Tbi，i，jj}1≤j≤ni和 Y=e^(g，g)y，其中 g∈RG 是群 G 的一個生成元。最終生成的系統(tǒng)公開參數(shù)和主私鑰為:PK={g，Y，{{Ai，j，Bi，j}1≤i≤n}1≤j≤ni}，MK={y，{{ai，j，bi，j}1≤i≤n}1≤j≤ni}。

(2)用戶加入。假設一個用戶具有屬性L=［L1，L2，…，Ln］，該用戶將屬性列表L發(fā)送給屬性權威機構，以申請屬性私鑰。屬性權威機構根據(jù)下面的KeyGen算法為該用戶生成屬性私鑰SKL。

KeyGen(MK，L):屬性權威機構選取參數(shù) ri，λi∈RZp，令r= ∑ni=1ri，并計算D0=gy－r。對i∈［1，n］，設 Li=vi，ki，令 Di，0=gTigai，kibi，kiλi，Di，1=gai，kiλi，Di，1=gbi，kiλi。最終生成屬性私鑰 SKL={L，D0，{Di，0，Di，1，Di，2}1≤i≤n}。

(3)匿名數(shù)據(jù)創(chuàng)建。將數(shù)據(jù)外包給云服務提供商之前，數(shù)據(jù)擁有者必須對數(shù)據(jù)進行加密。數(shù)據(jù)擁有者首先選取一個標準的對稱加密算法SE={KSse，MSse，Ese，Dse}，其中 KSse是密鑰空間集，MSse是消息空間集，Ese是加密算法，Dse是解密算法。然后，數(shù)據(jù)擁有者選取 H1∶GT× MSse→Zp和 H2∶KSse兩個哈希函數(shù)。最后，數(shù)據(jù)擁有者根據(jù)下面的AnonEnc算法計算數(shù)據(jù)密文，并上傳給云存儲服務器。

AnonEnc(PK，D，W):當數(shù)據(jù)擁有者想要加密數(shù)據(jù)D∈MSse時，隨機選取參數(shù)M∈GT，計算s=H1(M D)，K=H2(M)，令CD=Ese(D，K)。針對數(shù)據(jù)D，數(shù)據(jù)擁有著自身定義一個訪問策略 W=［W1，W2，…，Wn］。然后計算=M·Ys和 C0=gs。對于每一個 i∈［1，n］，隨機選取參數(shù){si，ki∈Zp}1≤ki≤ni，若 vi，ki∈Wi，數(shù)據(jù)擁有者令 Ci，k，1=Bsi，i，kki，Ci，k，2=Asi，－ksi，ki;否則 vi，k?Wi，數(shù)據(jù)擁ii iii有者隨機選取 Ci，ki，1和 Ci，ki，2的值，從而得到 CM=，C0，{{Ci，ki，1，Ci，ki，2}1≤ki≤ni}1≤i≤n}。最終的數(shù)據(jù)密文是CTW={CD，CM}。數(shù)據(jù)擁有者把CTW外包給云服務提供商。

(4)匿名數(shù)據(jù)訪問。假設一個用戶具有屬性L=［L1，L2，…，Ln］，他從云存儲服務器上下載了數(shù)據(jù)密文CTW。作為解密者，該用戶根據(jù)下面的AnonDec算法可以恢復明文數(shù)據(jù)。

AnonDec(CTW，SKL):對于 i∈［1，n］，假設 Li=vi，ki，解密者令 C'i，1=C'i，ki，1，C'i，2=Ci，ki，2，然后計算解密者再計算采用s*作為隨機指數(shù)，若C0=gs*，則返回明文數(shù)據(jù)D=D*;否則返回錯誤符號⊥。

3 方案的安全性

定理1 若所采用的對稱加密具有Find－Guess安全性［14］，則新方案是選擇明文安全的，并可保護用戶的屬性隱私。

證明 根據(jù)本文的訪問控制方案，在訪問策略W下，對一個數(shù)據(jù)D加密后得到的密文是CTW={CD，CM}。因此，為了得到數(shù)據(jù)D的信息，攻擊者需要解密CM得到M，再計算K=H2(M)得到對稱密鑰K，最后對CD進行對稱解密得到D=Dse(CD，K)。然而，M由基于屬性的加密保證了機密性，所以數(shù)據(jù)D的機密性由混合加密體制的安全性保證。從文獻［12］和文獻［14］的結(jié)論可知，若采用安全的對稱加密算法，則本文所提出的訪問控制方案具有選擇明文安全性，且可保護用戶的屬性隱私。

4 結(jié)束語

針對云存儲所面臨的用戶隱私泄露問題，提出了具有隱私保護的云存儲訪問控制方案。采用密文策略下基于屬性的加密和對稱加密的混合體制設計了具體的訪問控制方案，并證明了新方案具有選擇明文安全性，且可保護用戶的屬性隱私。

［1］Sahai A，Waters B.Fuzzy identity － based encryption［C］.Berlin Heidelberg:Advances in Cryptology－Eurocrypt'05，Springer，2005:557 －557.

［2］Goyal V，Pandey O，Sahai A，et al.Attribute － based encryption for fine－grained access control of encrypted data［C］.New York:Proceedings of the ACM Conference on Computer and Communications Security－CCS'06，ACM，2006:89－98.

［3］Cheung L，Newport C.Provably secure ciphertext policy ABE［C］.Newyork:Proceedings of the ACM Conference on Computer and Communications Security－ CCS'07，ACM，2007:456－465.

［4］朱旭東，李暉，郭禎.云計算環(huán)境下加密圖像檢索［J］.西安電子科技大學學報:自然科學版，2014，41(2):151－158.

［5］Zhang Yinghui，Chen Xiaofeng，Li Jin，et al.FDR － ABE:Attribute－based encryption with flexible and direct revocation［C］.Piscataway:Proceedings of the International Conference on Intelligent Networking and Collaborative Systems－INCoS'13，IEEE，2013:38 －45.

［6］Zhang Yinghui，Chen Xiaofeng，Li Jin，et al.Attribute － based data sharing with flexible and direct revocation in cloud computing［J］.KSII Transactions on Internet＆ Information Systems，2014，8(11):4028 －4049.

［7］Chase M.Multi－ authority attribute based encryption［C］.Berlin Heidelberg:Proceedings of the Theory of Cryptography Conference － TCC'07，Springer，2007:515 －534.

［8］Lewko A，Waters B.Decentralizing attribute－ based encryption［C］.Berlin Heidelberg:Advances in Cryptology －EUROCRYPT'11，Springer，2011:568 －588.

［9］張應輝，鄭東，李進，等.密文長度恒定且屬性直接可撤銷的基于屬性的加密［J］.密碼學報，2014，1(5):465 －480.

［10］Zhang Yinghui，Zheng Dong，Chen Xiaofeng，et al.Computationally efficient ciphertext－policy attribute－based encryption with constant－ size ciphertexts［C］.Berlin Heidelberg:Proceedings of the International Conference on Provable Security－ ProvSec'14，Springer，2014:259 －273.

［11］鄭東，趙慶蘭，張應輝.密碼學綜述［J］.西安郵電大學學報，2013，18(6):1 －10.

［12］Nishide T，Yoneyama K，Ohta K.Attribute－ based encryption with partially hidden encryptor－specified access structures［C］.Berlin Heidelberg:Proceedings of the International Conference on Applied Cryptography and Network Security－ACNS'08，Springer，2008:111 －129.

［13］Zhang Yinghui，Chen Xiaofeng，Li Jin，et al.Anonymous attribute－based encryption supporting efficient decryption test［C］.Newyork:Proceedings of the ACM SIGSAC Symposium on Information，Computer and Communications Security，ACM，2013:511－516.

［14］Fujisaki E，Okamoto T.Secure integration of asymmetric and symmetric encryption schemes［C］.Berlin Heidelberg:Advances in Cryptology －CRYPTO'99，Springer，1999:537 －554.