鄭志恒，張敏情，戴曉明，王緒安

（武警工程大學 網絡與信息安全武警部隊重點實驗室，陜西 西安 710086）

高效的基于代理重加密的云存儲訪問控制方案*

鄭志恒，張敏情，戴曉明，王緒安

（武警工程大學 網絡與信息安全武警部隊重點實驗室，陜西 西安 710086）

針對在不可信的云存儲中，數據的機密性得不到保證的情況，提出一種基于身份的代理重加密(IBPRE)算法，并將其應用于云存儲訪問控制方案中，該方案將重加密密鑰分成兩部分，一部分用于重加密，一部分用于授權。證明了該訪問控制方案在第三方的不可信任的開放環(huán)境下云存儲中敏感數據的機密性。通過分析對比，發(fā)送方對密文的傳遞可控，在一對多的云存儲訪問控制方案中，授權者不需要對不同的受理者重新計算重加密密鑰，密文長度不隨著用戶的增長而線性增長，顯著降低了計算復雜度和通信中數據的交互量。該方案實現了云存儲中敏感數據的安全高效共享。

云存儲；代理重加密；訪問控制；數據機密性

0 引言

云計算作為一種新興的服務模式，將網絡中大量不同類型的資源整合起來協(xié)同工作，為用戶提供計算和存儲等功能，極大地提高了資源利用率，降低了用戶成本[1]。但由于云計算的數據處于不可控域中，這一模式的應用必然會產生許多信息安全問題，其中一個重要的問題就是如何保護云中用戶數據的機密性和實現數據合法高效的共享訪問[2]。

文獻[3]針對云計算中數據不是存儲在本地而是以密文形式托管到“云端”，導致已有的公平交換協(xié)議不能很好適應云環(huán)境這一問題，構造了一個可在隨機預言模型下證明安全的匿名條件的代理重加密方案。文獻[4]在基于屬性的加密基礎上提出了一種有效的云端重加密方法，將訪問控制策略變更導致的重加密過程轉移到云端執(zhí)行，實現高效的動態(tài)密文訪問控制。文獻[5]提出了一種可抗選擇密文攻擊的分類代理重加密方案，實現了一個基于 Hadoop云存儲平臺的云端數據共享原型系統(tǒng)，提高了數據共享的高效性和安全性。

本文在文獻[6]Wa-IBE方案基礎上提出了一種適合云存儲訪問控制的基于身份的代理重加密方案，并對其安全性進行了證明。本文方案將重加密密鑰分成兩個部分，一部分用于對原始密文的重加密，另一部分作為授權解密密文。發(fā)送者在與接收者交互過程中，只需要將授權解密密文給接收者，接收者即可利用自己的私鑰和授權解密密文解密重加密密文得到明文。與其他方案相比，本文方案對不同用戶不用完全重新生成重加密密鑰，只需要部分計算，計算復雜度較低，同時重加密密文長度不會隨著用戶的增長呈線性增長，密文的主要部分交由云存儲服務器存儲管理，減少了發(fā)送者與多接收者之間信道的通信量，降低了存儲的空間。

1 本文方案

1.1 方案介紹

傳統(tǒng)的基于代理重加密的云存儲訪問控制方案，一旦數據經過云服務器重加密后，數據擁有者就失去了對數據的控制力，代理的權限過大，而且由于重加密密鑰的計算量過大導致數據共享的效率不高。本文方案將數據擁有者將重加密密鑰分成兩個部分，一部分重加密云中的原始數據，另一部分作為授權解密密文，發(fā)送者確定接收者身份后，直接發(fā)送給接收者。接收者利用自己私鑰、云中下載的重加密密文、授權解密密文即可得到明文，如圖1所示。

圖1 云存儲訪問控制系統(tǒng)

1.2 本文所提方案

(1)初始化(Setup)

(2)密鑰生成(KeyGen)

這一部分由密鑰生成中心PKG完成。輸入公共參數μ=(g，g1，g2，F(·)，E1(·)，E2(·))，主密鑰 mk=，字符串v。讓v表示用戶身份信息。私鑰計算：dv=(F(v)r，gr)，r∈RZp。

(3)加密(Encrypt)

輸入μ和身份信息v，明文m∈{0，1}l，計算密文：Cv=(M·e(g1，g2)t，gt，F(v)t)，t∈RZp，M=E1(m)。將密文放到云服務器中。

(4)重加密密鑰生成(RKGen)

(5)重加密運算(Reencrypt)

(6)解密(Decrypt)

從方案中可以看出，只要接收者可以解密R得到k就可以解密重加密密文得到明文。因此，在面對多個接收者的情況時，發(fā)送者只需要根據不同接收者的身份信息簡單計算R，即可達到共享密文的目的，而不用完全重新計算重加密密鑰，大大提高了效率。同時，密文的長度隨著重加密次數的增長基本保持不變，節(jié)省了存儲空間。

2 安全性分析

由于本方案是基于Wa-IBE方案提出的，下面證明如果Wa-IBE方案是IND-ID-CPA安全的，那么本方案滿足IND-PrID-CPA安全。對于本方案假定的攻擊者A，構造一個算法B去攻擊Wa-IBE方案。這個算法保持一個三元組(β，v1，v2)的列表，其中 β∈{0，1}，v1和 v2代表兩個身份信息。必須針對身份信息v去詢問Wa-IBE方案的私鑰生成預言機來回答A的RKEXTRACT(v，·)預言機詢問。如果A進行了RKEXTRACT(v，·)詢問，并發(fā)送v作為挑戰(zhàn)身份，那么B得不到Wa-IBE方案的挑戰(zhàn)密文，B必定失敗。因此當A進行RKEXTRACT(v，·)詢問時，B將身份信息v發(fā)送給Wa-IBE方案的私鑰生成預言機或者隨機生成一個重加密密鑰。如果B返回正確的密鑰，令β=1，否則β=0。

定理 1 假設攻擊者 A在游戲 ExpA，IND-PrID-CPA具有 ε的優(yōu)勢獲勝。那么算法B至少具有以下優(yōu)勢攻破Wa-IBE方案。，qE是攻擊者 A詢問私鑰預言機的最大次數，算法B的運行時間是O(time(A))。

證明：設A為攻擊本方案的攻擊者，構造一個攻擊Wa-IBE方案的算法 B。輸入方案 Wa-IBE的公共參數μ，B按以下步驟運行。注意B保持一個三元組的列表(β，v1，v2)∈{0，1}×{0，1}n×{0，1}n。*代表通配符。假設一個輸入只能詢問一次預言機。

(1)初始化

將公共參數μ發(fā)送給A。

(2)詢問階段1

攻擊者A可以做出以下詢問：

(a)私鑰提取詢問(Extract)：B首先對β做出一個隨機選擇，如果 β=0，或者(0，v，*)或(0，*，v)已經出現在表里，B就隨機輸出一個比特或者終止操作。否則，B詢問Wa-IBE方案的私鑰生成預言機來獲得私鑰 dv，同時將dv返回給A，并將(1，v，v)記錄在表里。

(b)重加密密鑰詢問(RKExtract)：B首先對 β做出一個隨機選擇，若 β=1，或者(1，v1，v1)或(1，v2，v2)已經出現在表里，B詢問 Wa-IBE方案的私鑰生成預言機來獲得v1的私鑰，然后計算重加密密鑰并返回給A。否則，隨機返回一個重加密密鑰。最后 B將元組(β，v1，v2)記錄在表里。

(3)挑戰(zhàn)階段

A發(fā)送(v*，m0，m1)給 B，如果對于任意的 v′，在表中都有(1，v*，v′)存在，B就隨機輸出一個比特或者終止操作。否則，發(fā)出相同的挑戰(zhàn)(v*，m0，m1)給Wa-IBE方案的挑戰(zhàn)者。當Wa-IBE方案的挑戰(zhàn)者返回密文C*，B將C*發(fā)送給A。

(4)詢問階段2

A繼續(xù)做出除以下限制之外的階段1中的詢問：

(a)私鑰提取詢問(Extract)：B像在階段1中一樣回答。

(b)重加密密鑰詢問(RKExtract)：對于所有的 v1≠v*，B詢問Wa-IBE方案的私鑰生成預言機來獲得v的私鑰，然后計算重加密密鑰并返回給 A。對于所有的v1=v*，B隨機返回一個重加密密鑰。最后 B將元組(0，v1，v2)記錄在表里。

(5)猜測階段

當A輸出對b的猜測b′，B也輸出b′。

可以看出如果B在游戲過程中不終止，攻擊者A所處的模擬環(huán)境和真實的攻擊環(huán)境是大致相同的，除了當β=0時。稍后將在引理1中證明A對隨機生成的密鑰具有不可區(qū)分性來說明這個情況。因此，只需要計算B終止游戲的可能性。假設A總共進行了qE次私鑰詢問。B在詢問階段1或2中不終止游戲的可能性為δqE。在挑戰(zhàn)階段不終止游戲的可能性為1-δ。因此，B不終止游戲的可能性是 δqE(1-δ)，這個值最大為 δopt=1-1/(qE+1)。所以B不終止游戲的可能性最少是1/e(1+qE)。因此B的優(yōu)勢至少是ε/e(1+qE)。

引理 1如果Wa-IBE方案是IND-ID-CPA安全的，那么證明定理1中的模擬算法具有可計算的不可區(qū)分性。

證明：除了當β=0時，證明定理1中的模擬環(huán)境和真實環(huán)境是一樣的。因此，只需要考慮對隨機生成的重加密密鑰(x，y，Encrypt(μ，v2，z))和真實的密鑰的不可區(qū)分性。由于(x，y)必須是(d1K-1，d2)的一種可用形式，K∈G，所以這個問題就等同于區(qū)別 z∈R{0，1}l和 k加密的可區(qū)分性。因此引理1得證。

綜上所述，本方案滿足IND-PrID-CPA安全。

3 效率分析

本文通過存儲過程中計算復雜度和存儲開銷對方案的效率進行分析。首先令 Npar表示雙線性運算，Nexp1和Nexp2分別代表群 G1和 G2中的指數運算；群 G1中元素的長度為 l1bit，群 G2中元素的長度為 l2bit，Zp中元素的長度為l3bit。在云存儲應用環(huán)境中，大都是一個發(fā)送者對n個接收者的情形，表1是文獻[7]方案與本文方案在計算代價上的比較，表2是文獻[7]方案與本文方案在通信帶寬上的比較。

表1 兩種方案的計算代價比較

表2 兩種方案的通信帶寬比較

對比分析可知，在云存儲環(huán)境一個發(fā)送者對n個接收者的情形下，本文方案在計算代價和通信帶寬方面較文獻[7]方案有明顯優(yōu)勢。本文沒有討論權限撤銷的問題，這是非必要的，因為每次的授權解密密文是不同的。發(fā)送者通過對授權解密密文的控制，很好地實現了數據的授權和撤銷。

4 結束語

本文提出了一種適合云存儲訪問控制的基于身份的代理重加密方案，并對其進行了安全性證明，結果表明，本文方案基本能滿足云環(huán)境下數據共享的安全性要求。

但是在面對移動云計算的環(huán)境下，方案還有很大的缺陷，下一步將繼續(xù)完善方案，使之能適應移動終端的需要。

[1]張婧，陳克非，呂林，等.云存儲中的用戶數據安全[J].計算機科學與探索，2013，7(12)：1093-1103.

[2]趙麗麗.代理重加密技術在云計算中的應用[J].信息安全與通信保密，2012，3(11)：135－137.

[3]藍才會，王彩芬.構造適合云的公平交換協(xié)議[J].通信學報，2013，34(3)：111-11.

[4]洪澄，張敏，馮登國.面向云存儲的高效動態(tài)密文訪問控制方法[J].通信學報，2011，(32)7：125-132.

[5]龐巖梅，李曉東，葉思水.基于代理重加密的云數據共享機制的研究與實現[J].南京理工大學學報，2015，39(1)：84-88.

[6]WATERS B.Efficient identity-based encryption without random oracles[C].In Proceedings of Advances in Cryptology-EUROCRYPT′05，Springer，2005，3494：114-127.

[7]LIANG K，HUANG Q，SCHLEGEL R，et al.A conditional proxy broadcast re-encryption scheme supporting timedrelease[C].Proc.ISPEC 2013，LNCS 7863，Springer，Heidelberg，2013：132-146.

Access control with high efficiency scheme for cloud storage based on proxy re-encryption

Zheng Zhiheng，Zhang Minqing，Dai Xiaoming，Wang Xu′an
(Key Laboratory of Network&Information Security of CAPF，Engineering University of CAPF，Xi′an 710086，China)

Concerning the data's confidentiality when being stored in the untrusted cloud storage,an Identity based Proxy Re-Encryption(IBPRE)encryption algorithm is proposed,and applied in the access control scheme for the cloud storage.The scheme divides the re-encryption key into two parts,one is used to re-encrypt the original ciphertext,and the other is used to grant authorization.It is proven that the scheme can ensure the confidentiality of the sensitive data stored in the cloud storage under the third untrusted open environment.By contrast,the experimental results show the transmission of ciphertexts can be controlled by the sender.In the multi-users cloud environment,the data sender cannot need to calculate the re-encryption key repeatedly.The number of ciphertexts'operation and storage does not increase linearly with the increase of the users.It decreases the data computation cost,interactive cost,and the space of the data storage effectively.The scheme achieves sharing securely and efficiently when the sensitive data is stored in the cloud．

cloud storage；Proxy Re-Encryption；access control；data confidentiality

TN014；TP309

A

10.16157/j.issn.0258-7998.2016.11.026

鄭志恒，張敏情，戴曉明，等.高效的基于代理重加密的云存儲訪問控制方案[J].電子技術應用，2016，42 (11)：99-101，105.

英文引用格式：Zheng Zhiheng，Zhang Minqing，Dai Xiaoming，et al.Access control with high efficiency scheme for cloud storage based on proxy re-encryption[J].Application of Electronic Technique，2016，42(11)：99-101，105.

2016-05-24)

鄭志恒(1992－)，通信作者，男，碩士研究生，主要研究方向：密碼學、信息安全，E-mail：1994066924@qq.com。

張敏情(1967－)，女，教授，博導，主要研究方向：密碼學、信息安全。

戴曉明(1991－)，男，碩士研究生，主要研究方向：密碼學、信息安全。

陜西省自然科學基金（2014JM8300）