張興蘭,李建楠

(北京工業(yè)大學(xué)信息學(xué)部，北京 100124)

0 引 言

云計算[1]作為一種新興的服務(wù)方式，把網(wǎng)絡(luò)中大量不同類型的資源整合起來，提供計算和存儲等功能，很大程度上降低了用戶成本,提高了資源的利用率。如何在云計算環(huán)境中保證數(shù)據(jù)的安全成為信息安全領(lǐng)域的研究熱點。

Sahai等[2]初次提出關(guān)于屬性加密的理念，為實現(xiàn)云環(huán)境下細粒度的訪問控制提供了可能。目前關(guān)于屬性加密的方案分為2種：1)密鑰策略的屬性加密(KP-ABE)[3]；2)密文策略的屬性加密(CP-ABE)[4-5]。在CP-ABE中，密鑰和密文都與屬性相關(guān)聯(lián)，用戶可以共享ABE中相同的屬性，對任何屬性進行撤銷都可能會牽連到具有這一屬性的其他用戶。

近年來，許多學(xué)者針對撤銷問題做了大量的研究。Pirretti等[6]的方案分別給每個屬性設(shè)置有效時間，從而達到屬性和密鑰階段性變更。該方法雖然簡單，但劃分有效時間段的粒度越細，存儲和更新密鑰的工作量會越大；隨著用戶數(shù)目的快速上升，可信機構(gòu)對應(yīng)的任務(wù)量也會急劇加大，可擴展性差；不能撤銷用戶對未解密數(shù)據(jù)的訪問權(quán)限。Bethencourt等[4]的方案對用戶屬性設(shè)置截止日期，解密數(shù)據(jù)時，不僅要求用戶的屬性集滿足加密時采用的訪問策略，且屬性對應(yīng)的截止時間必須在密文的有效期之后。該方法降低了存儲用戶密鑰的開銷，但不支持屬性的及時撤銷，且授權(quán)機構(gòu)的工作量比較大。Boldyreva等[7]的方案基于身份加密，但該方案僅支持用戶撤銷。Do等[8]的方案添加了特別管理組，負責屬性撤銷時更新密文，而密鑰的更新由云服務(wù)器來操作，該方案對云服務(wù)和資源沒有充分利用，造成資源消耗、效率低下等問題。Attrapadung等[9]的方案中，數(shù)據(jù)擁有者全權(quán)負責維護每個屬性組的成員列表，支持直接用戶撤銷，不適用于數(shù)據(jù)共享系統(tǒng)，因為數(shù)據(jù)擁有者將數(shù)據(jù)存儲到外部存儲服務(wù)器之后將不再直接控制數(shù)據(jù)。Tysowski等[10]的方案結(jié)合代理重加密思想，實現(xiàn)對用戶的撤銷，但是該方案不支持屬性撤銷，且無法抵抗合謀攻擊。文獻[11]中引入了半可信的第三方代理，用戶撤除是由服務(wù)器通過第三方代理重加密實現(xiàn)的，當用戶數(shù)量劇增時，第三方更新的工作量大，效率會受到嚴重影響，并且授權(quán)機構(gòu)負責生成包括代理密鑰在內(nèi)的所有密鑰，存在嚴重的密鑰托管問題。

由上可知，如何在保證數(shù)據(jù)機密性和降低數(shù)據(jù)擁有者計算代價的基礎(chǔ)上，利用云服務(wù)器的計算和存儲能力實現(xiàn)高效、細粒度的訪問控制是很有必要的。本文從4個方面作研究：1)優(yōu)化訪問控制結(jié)構(gòu)，在保證數(shù)據(jù)安全性的前提下，用戶權(quán)限變動的靈活性明顯提升，尤其是涉及大規(guī)模用戶屬性撤銷問題；2)提出屬性用戶組密鑰分發(fā)方法，不要求用戶一直在線，解決了密鑰更新滯后問題，實現(xiàn)及時撤銷操作；3)由于數(shù)據(jù)在服務(wù)器中始終是以密文形式存放，所以可以適當放寬對服務(wù)器的安全限制，將部分計算任務(wù)轉(zhuǎn)移給云服務(wù)器執(zhí)行；4)把對用戶的撤銷轉(zhuǎn)換成屬性級別的撤銷，使得訪問控制更加細粒度化，有效降低系統(tǒng)執(zhí)行撤銷時的計算和傳輸開銷。

1 預(yù)備知識

1.1 雙線性映射

設(shè)p是素數(shù)，G1和G2均是p階乘法循環(huán)群，g是G1的生成元，e是雙線性映射[12]，表示為e:G1×G1→G2。雙線性映射e滿足如下3個性質(zhì)：

1)雙線性。對于任意的a,b∈Zp,h∈G1，都滿足e(ga,hb)=e(g,h)ab。

2)非退化性。e(g,g)≠1。

3)可計算性。對于任意g,h∈G1,存在計算e(g,h)值的有效多項式時間算法。

其中，e(*,*)是一個對稱操作,即e(ga,hb)=e(g,h)ab=e(gb,ha)；另外，e(g1·g2,h)=e(g1,h)e(g2,h)，其中g(shù)1,g2,h∈G1。

定義1DBDH問題假設(shè)。設(shè)G0和G1分別表示p階乘法群，g是群G0的生成元，e:G0×G0→G1是雙線性映射。輸入g,ga,gb,gc∈G0和元素Z∈G1，判定Z=e(g,g)abc的輸出。如果|Pr [Λ(g,ga,gb,gc,e(g,g)abc)=0]-Pr [Λ(g,ga,gb,gc,Z)=0]|≥ε且存在一個多項式時間算法β輸出b∈{0,1}，那么敵手在G1上就能以不可忽略的優(yōu)勢ε解決DBDH問題；如果不存在，則認為在G1上DBDH假設(shè)成立。

1.2 訪問控制結(jié)構(gòu)

定義2訪問結(jié)構(gòu)。假設(shè)參與訪問的集合是{P1,P2,…,Pn}，且P=2{P1,P2,…,Pn}。訪問結(jié)構(gòu)Α是集合{P1,P2,…,Pn}的非空子集，即Α?P{?}。若訪問結(jié)構(gòu)Α是單調(diào)的，則對于?B,C來說，若B∈A且B?C，那么C∈A。授權(quán)集是在訪問結(jié)構(gòu)Α中的集合，不在Α中的集合是未授權(quán)集[13]。

本文采用訪問控制樹描述訪問策略，葉子節(jié)點與屬性相關(guān)聯(lián)，內(nèi)部節(jié)點由∧、∨布爾運算符表示。例如，圖1是一種簡單的訪問控制結(jié)構(gòu)，同時具有屬性a1和a2或?qū)傩詁1和b2的用戶滿足訪問策略T=(a1∧a2)∨(b1∧b2)。

圖1 簡單訪問控制樹

如果某用戶要獲得訪問數(shù)據(jù)密文的許可，那么其對應(yīng)的屬性集必須符合數(shù)據(jù)加密時采用的訪問策略。對圖1來說，用戶集合{a1,a2}和集合{b1,b2}都滿足解密條件。

2 系統(tǒng)模型和方案形式化定義

2.1 系統(tǒng)模型

本文的系統(tǒng)架構(gòu)包括4個實體：可信權(quán)威機構(gòu)、數(shù)據(jù)擁有者、用戶和云服務(wù)器，如圖2所示。

圖2 系統(tǒng)架構(gòu)圖

1)可信權(quán)威機構(gòu)。根據(jù)用戶的角色和身份為其頒發(fā)相應(yīng)的屬性集；發(fā)布系統(tǒng)公鑰和私鑰信息。

2)數(shù)據(jù)擁有者。制定訪問控制策略、加密數(shù)據(jù)，然后將密文文件交給云服務(wù)器存儲。

3)云服務(wù)器。負責數(shù)據(jù)密文的存儲，管理用戶的訪問請求并提供響應(yīng)；發(fā)布、撤銷和更新屬性用戶組密鑰，為每個屬性用戶組分發(fā)隨機密鑰，供該組內(nèi)的成員所共享。當用戶的某一個屬性被撤除時，云服務(wù)器相應(yīng)地更換被撤銷屬性所對應(yīng)的組密鑰，對密文做相應(yīng)地更新操作，這樣新進入系統(tǒng)的用戶或未撤銷的用戶均可使用最新的私鑰解密數(shù)據(jù)，從而實現(xiàn)靈活的用戶和屬性撤銷。

4)用戶。用戶向云服務(wù)器提出訪問請求時，當且僅當用戶擁有的屬性集合符合加密數(shù)據(jù)時采用的訪問策略，方能解密。此外，用戶的屬性集可以動態(tài)變化，例如屬性撤銷。

2.2 本方案形式化定義

本方案有7個算法，描述如下：

1)初始化算法Setup：輸出系統(tǒng)公鑰PK和主私鑰MK。

2)用戶私鑰生成算法AttrKeyGen(MK,S,U)：輸入主密鑰MK、屬性集S∈Attr、屬性集S對應(yīng)的用戶集合U∈；輸出對應(yīng)用戶ut的私鑰SKt,ut∈U。

4)加密算法Encrypt(PK,M,T)：輸入系統(tǒng)的公鑰PK、訪問控制樹T和數(shù)據(jù)明文M；輸出密文CT。

5)密文重加密算法ReEncrypt(CT,f(T′),Ω)：輸入密文CT、最小屬性子集信息f(T′)和屬性用戶組集合Ω；輸出重加密后的密文CT′。

6)解密算法Decrypt(PK,SKt,CT′)：輸入系統(tǒng)的公鑰PK、密文CT′以及用戶私鑰SKt；若與私鑰SKt關(guān)聯(lián)的屬性集符合密文中的訪問控制樹，則允許解密；否則⊥。

7)密文更新算法CTUpdate(C T′)：當屬性用戶組Gi中發(fā)生變更，即撤銷某用戶的屬性ai，云服務(wù)器執(zhí)行屬性用戶組密鑰更新，進而對原密文相關(guān)成分做更新計算。

3 方案設(shè)計

本方案設(shè)計的思路是將CP-ABE算法同重加密的技術(shù)結(jié)合，在屬性層面完成高效的用戶撤銷。本方案并不是從頭開始建立一個新的CP-ABE方案，而是基于但不限于Cheung等人的CP-ABE[5]，通過構(gòu)建屬性用戶組密鑰分發(fā)方法，擴展密鑰的代理更新和密文重新加密的能力來增強現(xiàn)有的構(gòu)造。

3.1 初始化Setup

輸出系統(tǒng)公鑰PK={G,g,y,Tj(1jm)},主密鑰MK={α,tj(1jm)}。

3.2 密鑰生成

該階段有2個過程：可信權(quán)威機構(gòu)為用戶生成私鑰；服務(wù)器生成路徑信息，用戶可用于解密屬性用戶組密鑰。

1)AttrKeyGen。

輸入：主密鑰MK、用戶的屬性集S∈Attr以及具有S的用戶集合U∈。

輸出:用戶μt∈U對應(yīng)的私鑰SKt={d=gα-δ,{dj=gδtj-1}?aj∈S}。

2)KEKGen。

圖3 KEK二叉樹

每個用戶ut∈U對應(yīng)二叉樹的一個葉節(jié)點，保存了從對應(yīng)葉子節(jié)點到根節(jié)點路徑上的KEK值，即Pathut={vj∈Γ:KEKj}。例如，用戶u1的路徑信息為：Pathu1={KEK16,KEK8,KEK4,KEK2,KEK1}。

3.3 加密Encrypt

輸入：系統(tǒng)公鑰PK、數(shù)據(jù)明文M和訪問控制樹T。

圖4 訪問控制樹

1)采用秘密共享方法[15]，從根節(jié)點開始，如果節(jié)點的標識符為∧且它的孩子節(jié)點是未標記狀態(tài)，那么，對除最后一個孩子節(jié)點外的其他孩子節(jié)點分別分配一個隨機值si，其中1sip-1；最后一個孩子節(jié)點的值為(s′是該節(jié)點的值)，將得到值后的節(jié)點狀態(tài)標記為已分配。

2)若節(jié)點的標識符是∨，且該節(jié)點的孩子節(jié)點的狀態(tài)是未分配，設(shè)置每個孩子節(jié)點的值等于該節(jié)點的值，并將狀態(tài)標記為已分配。

3.4 密文重加密ReEncrypt

云服務(wù)器接到密文CT之后做重加密轉(zhuǎn)換計算。數(shù)據(jù)擁有者將訪問控制樹T的屬性關(guān)系表示成關(guān)系式形式，并轉(zhuǎn)換成由極小項構(gòu)成的主析取范式，提取每個極小項中的屬性元素，進一步化簡得到多個最小屬性子集，要求每個屬性只屬于一個最小屬性子集Qi。利用離散數(shù)學(xué)中范式[16]，以圖4的訪問控制樹T為例，轉(zhuǎn)化成關(guān)系式f(T)=((a1∧a2∧a3)∧(a4∨a5))∨((a6∧a7)∨a8)，再轉(zhuǎn)化成主析取范式f(T)=((a1∧a2∧a3)∧(a4∨a5))∨((a6∧a7)∨a8)=(a1∧a2∧a3∧a4)∨(a1∧a2∧a3∧a5)∨(a6∧a7)∨a8。f(T)中的極小項有：(a1∧a2∧a3∧a4)、(a1∧a2∧a3∧a5)、(a6∧a7)和a8，化簡得到最小屬性子集Q1=a1∧a2∧a3∧a4，Q2=a5，Q3=a6∧a7，Q4=a8，那么f(T′)=Q1∨Q2∨Q3∨Q4。

1)輸入：屬性用戶組集合Ω和最小屬性子集信息f(T′)。

2)生成頭部信息Hdr。

根據(jù)KEK二叉樹中最小覆蓋子樹根節(jié)點的信息加密屬性用戶組密鑰。最小覆蓋子樹是指能夠覆蓋所有與屬性用戶組Gj中用戶元素相對應(yīng)的葉子節(jié)點，定義為KEK(Gj)[17]。以圖3為例，屬性用戶組Gj={u1,u2,u3,u4,u7,u8}，節(jié)點v4是覆蓋葉子節(jié)點v1、v2、v3、v4的最小子樹的根節(jié)點，v11是覆蓋葉子節(jié)點v7、v8的最小子樹的根節(jié)點，那么KEK(Gj)={KEK4,KEK11}。對于不屬于屬性組中的用戶u，即u?Gj，則不可能得到關(guān)于Gj中的任何KEK信息。

Hdr={{(EK(Kaj))K∈KEK(Gj)}?aj∈T}

數(shù)據(jù)密文最終以(Hdr,CT′)的格式儲存在云服務(wù)器中，當其接收到來自用戶的訪問請求時，將(Hdr,CT′)返回。只要該用戶的屬性沒有撤銷，就可以從頭部信息Hdr中得到對應(yīng)的屬性用戶組密鑰。

3.5 解密

解密包含2個步驟：屬性用戶組密鑰解密和數(shù)據(jù)密文解密。

1)ReEncrypt。

若用戶ut(ut∈Gj)具有屬性aj，使用路徑信息Pathut同KEK(Gj)求交集得到KEK(KEK∈Pathut∩KEK(Gj))，從而解密Hdr得到屬性用戶組密鑰KQj。若用戶ut(ut?Gj)，則中止計算。接著，用戶ut利用屬性用戶組密鑰KQj更新私鑰SKt：

2)Decrypt。

若用戶u的屬性集S符合加密采用的訪問控制樹T，且用戶u相對于S中屬性元素來說是有效的，即aj∈S且u∈Gj；令集合S′?S，S′是用戶u滿足T的最小屬性集合,否則，不可解密。

①對每個屬性aj∈S′，計算：

=e(g,g)δs

②e(c0,d)·e(g,g)δs=e(gs,gα-δ)·e(g,g)δs

=e(g,g)αs

③最后，解密得到：

3.6 屬性撤銷

在云存儲環(huán)境中，用戶的訪問權(quán)限應(yīng)該是動態(tài)變化的。當撤除用戶的某個屬性aj時，權(quán)威機構(gòu)就將該用戶從屬性aj的用戶組Gj中剔除，告知云服務(wù)器相應(yīng)地更換Gj的密鑰。此過程不需要數(shù)據(jù)擁有者參與，而是由云服務(wù)器來執(zhí)行密文更新操作，在保證數(shù)據(jù)安全性前提下，極大地降低了數(shù)據(jù)擁有者的運算量。密文更新算法CTUpdate分2步執(zhí)行：

上述計算過程是針對發(fā)生用戶變更的屬性用戶組。對于沒有變更的其他屬性用戶組來說，這一過程不是必須的。

2)云服務(wù)器為屬性aj對應(yīng)的屬性用戶組Gj中的用戶重新選擇最小覆蓋子樹，用于計算更新后的頭部信息Hdr。

4 安全性證明及性能分析

4.1 安全性證明

定義：若在所有多項式時間內(nèi)，挑戰(zhàn)者能以不可忽略的優(yōu)勢贏得這場游戲的勝利，則證明方案達到選擇明文攻擊安全。

定理1假設(shè)DBDH問題成立。若挑戰(zhàn)者能攻破上述安全模型，則至少存在一個能以不能忽略的優(yōu)勢解決DBDH的多項式時間算法。

證明：本文采用反證法進行證明。假設(shè)存在一個挑戰(zhàn)者Α按照上述模型能夠以不能忽略的優(yōu)勢ε攻破本方案，那么模擬器Β就能以不能忽略的優(yōu)勢ε/2來解決DBDH問題。

Init：挑戰(zhàn)者Α選擇訪問控制樹T*并提供給模擬器Β。

Setup：模擬器Β隨機選擇x′∈Zp，并隱含設(shè)置α=ab+x′，有e(g,g)α=e(g,g)abe(g,g)x′。對于每個aj∈Attr,1jm，分別選擇一個隨機值kj∈Zp，若aj?T*,則Tj=B1/kj,tj=b/kj；若aj∈T*,tj=kj，則Tj=gkj。模擬器Β保存主密鑰MSK，并發(fā)送系統(tǒng)的公鑰PK給挑戰(zhàn)者Α。

模擬器Β向挑戰(zhàn)者Α返回云服務(wù)器產(chǎn)生的屬性組密鑰KQj和用戶私鑰skt={d,{dj}?aj∈S}。

Challenge：挑戰(zhàn)者Α發(fā)送2個明文消息M0,M1∈GT。模擬器Β拋一枚公平二進制硬幣b，返回加密消息Mb。加密過程如下：

2)將訪問控制樹T*的根節(jié)點的值設(shè)置為gc，根節(jié)點標識為分配狀態(tài)，其他子節(jié)點為未分配狀態(tài)。遞歸地對每個未分配的葉子節(jié)點，執(zhí)行如下操作：

①從根節(jié)點開始，若標識符為∧且它的孩子節(jié)點都是未標記狀態(tài)，模擬器Β為除最后一個孩子節(jié)點外的其他子節(jié)點選擇一個值hi，其中1hip-1，并給它們分配ghi，為最后一個孩子節(jié)點分配值將分配值后的節(jié)點標記為分配狀態(tài)。

②若標識符是∨且它的孩子節(jié)點是未標記分配狀態(tài)，將其每個孩子節(jié)點的值設(shè)置為gc，標記狀態(tài)成已分配。

③對每個葉子節(jié)點所對應(yīng)的屬性aj∈T*，計算cj=ghjkj。

Phase2：重復(fù)Phase1的密鑰詢問過程。

Guess：挑戰(zhàn)者Α輸出猜測u′∈{0,1}。若b′=b，模擬器Β輸出μ=0，表明模擬器接收到的元組是DBDH元組中Zμ=e(g,g)abc；否則，模擬器Β輸出μ=1，表明接收到的元組是隨機的且Zμ=e(g,g)θ。

在上述DBDH游戲中，若D，那么Zμ=e(g,g)θ，則密文CT*是隨機密文，挑戰(zhàn)者沒有獲得關(guān)于Mb的信息，所以：Pr[ b ′≠b|μ=1]=1/2。

當b′≠b時，模擬器Β猜測μ′=1，所以，

Pr [μ′=μ|μ=1]=1/2

若μ=0，那么Zμ=e(g,g)abc，CT*是有效密文,根據(jù)定義知挑戰(zhàn)者有ε的優(yōu)勢攻破本方案，所以：

Pr [b′=b|μ=0]=1/2+ε

當b′=b時，模擬器Β猜測μ′=0，所以，

Pr [μ′=μ|μ=0]=1/2+ε

那么，模擬器Β可以解決DBDH困難問題的總體優(yōu)勢是：

綜上可證，如果挑戰(zhàn)者A按照以上安全模型以不能忽略的優(yōu)勢ε攻破了本方案，則存在一種能以不能忽略的優(yōu)勢ε/2解決DBDH問題的多項式時間算法。因為不存在一種多項式時間算法能以不能忽略的優(yōu)勢解決DBDH問題，該問題已知是難解的。所以，不存在能以不能忽略的優(yōu)勢攻破本方案的挑戰(zhàn)者A，即證明了本文提出的方案達到CPA安全。

4.2 性能分析

將本文方案與文獻[9]和文獻[11]分別從功能分析、存儲開銷和屬性撤銷代價3個方面進行對比，具體情況如表1～表3所示。

表1 系統(tǒng)功能分析

方案密鑰更新用戶撤銷屬性撤銷文獻[9]及時支持不支持文獻[11]延時支持不支持本文方案及時支持支持

表2 存儲開銷對比

方案主密鑰MSK公鑰PK密文CT私鑰SK文獻[9]2|p|(m+7)|g|+|gT|(n+1)|g|+|gT|+|CT|(n+4)|g|文獻[11](3m+1)|p|(3m+1)|g|+|gT|(m+1)|g|+|gT|+|CT| (2n+1)|g|本文方案(m+1)|p|(m+1)|g|+|gT||g|+|gT|+|CT|(n+1)|g|

表3 撤銷屬性時計算時間對比

方 案階 段數(shù)據(jù)擁有者加密云服務(wù)器計算重加密文獻[9]E=2(nT-λ)·ΓΔ+ΓeR=nT·ΓΔ文獻[11]--R=(nT-λ)·ΓΔ本文方案--R=(nT-λi)·ΓΔ+Γe

由表1可知，相比于其它2個文獻的方案，本文同時支持用戶和屬性撤銷，靈活性有了很大的改善，并且在撤銷后做到了密鑰的及時更新，保障了系統(tǒng)數(shù)據(jù)的安全性。

在表3中，Γe代表運行一次雙線性配對運算所需要的時間，ΓΔ代表執(zhí)行一次模冪運算的時間，nT是訪問控制樹中的屬性個數(shù)，λ是撤銷屬性的個數(shù)，且λnT，λ′是最小屬性子集中屬性的個數(shù)。對比3種方案，當撤銷屬性ai∈T時，本方案在系統(tǒng)整體的開銷上有了明顯改善，這一結(jié)果會在4.3節(jié)中給出驗證。

4.3 實驗驗證

圖5 撤銷屬性時重加密計算時間

本文在屬性撤銷時，數(shù)據(jù)擁有者不需要對文件重加密，這一點相比于文獻[9]優(yōu)勢明顯。本節(jié)僅對比實施撤銷操作時3中方案中云服務(wù)器執(zhí)行重加密密文的時間開銷。實驗采用Matlab進行仿真，并導(dǎo)入MIRACL庫和PBC庫以滿足相關(guān)運算需求。假設(shè)系統(tǒng)撤銷比率為10%，那么撤銷屬性個數(shù)為λ=nT×10%。已知，最小屬性子集互不相交，設(shè)每個最小屬性子集中屬性平均個數(shù)為4，那么λ′=4λ。本文分別對屬性個數(shù)為10,15,…,50時，執(zhí)行密文重加密工作的時間開銷進行對比，如圖5所示。

由上可知，本文進行屬性撤銷時花費的計算時間顯著降低。在無需數(shù)據(jù)擁有者參與的情況下，云計算服務(wù)器盡可能地減少重加密工作，降低系統(tǒng)整體計算負擔并滿足了及時撤銷的要求，進一步提升了現(xiàn)有的支持撤銷方案的高效性以及靈活性。另外，隨著屬性數(shù)量不斷地增多，本方案的優(yōu)勢也會更加明顯。

5 結(jié)束語

本方案基于CP-ABE并借助屬性用戶組密鑰實現(xiàn)雙重加密，在此過程中運用了秘密共享方案，采用的訪問控制結(jié)構(gòu)可以靈活地表達任意訪問策略。此外，本文將用戶撤銷從系統(tǒng)級別轉(zhuǎn)化為屬性級別，利用云服務(wù)器的計算能力執(zhí)行密文重加密工作，有效降低數(shù)據(jù)擁有者的計算開銷，實現(xiàn)高效的訪問控制，特別是在撤銷時用戶和屬性數(shù)量規(guī)模大的情況下，系統(tǒng)效率優(yōu)勢會體現(xiàn)得更加明顯。