鄧安遠 史姣麗 黃定 何凱

摘 要：云環(huán)境中，安全事件的頻繁發(fā)生加劇了用戶對個人愛好、閱讀行為模式等隱私安全的擔心，引發(fā)了用戶對云服務的信任危機。為解決用戶提交搜索關鍵字時隱私易泄露問題，提出一個支持關鍵詞隱私保護的密文共享系統(tǒng)（KPP-CSS）。該系統(tǒng)在支持訪問結構隱私保護的基礎上，基于雙線性映射理論，在DBDH困難性假設下，可進一步隱藏用戶查詢密文時提交的搜索關鍵詞，實現(xiàn)更完全的隱私安全保護。性能分析與仿真結果表明，該系統(tǒng)安全可行。

關鍵詞：密文共享系統(tǒng);屬性加密;隱私保護;訪問結構隱藏;關鍵詞隱藏

DOI：10. 11907/rjdk. 201951

中圖分類號：TP309.7 文獻標識碼：A 文章編號：1672-7800（2020）010-0228-05

Abstract：In cloud environment， the frequent occurrence of security incidents compels users to worry about their privacy security concerning personal hobbies， reading behavior pattern and so on. Based on the bilinear map theory， we propose a ciphertext sharing system supporting keywords privacy protection（KPP-CSS）. It supports keywords privacy protection and can avoid privacy leak in submitting search keywords by users. Under the DBDH difficult assumption， the KPP-CSS realizes privacy protection of access structure and keywords when data users want to search ciphertexts. Thus the KPP-CSS achieves more complete privacy protection. Security analyses indicate that the KPP-CSS is secure， and performance analyses and simulation indicate that it is feasible.

Key Words：ciphertext sharing system; attribute based encryption; privacy protection;access structure hiding; keywords hiding

0 引言

云計算在提供方便、快捷服務的同時，也給開放、復雜的網(wǎng)絡環(huán)境下用戶隱私安全帶來了巨大挑戰(zhàn)。云信息共享平臺開放性越強，用戶權限越大[1]。在2014年iCloud信息泄露與2015年互聯(lián)網(wǎng)平臺銅掌柜用戶隱私數(shù)據(jù)泄露事件中，受害用戶數(shù)高達60萬;2017年58同城全國簡歷被惡意竊取。安全事件的不斷發(fā)生加劇了用戶對隱私泄露的擔心，也引發(fā)了用戶對云存儲服務的信任危機。

文獻[2]結合RSA、SHA-256、Blowfish等算法優(yōu)點，針對醫(yī)學信息特點，提出一種新的快速壓縮加密算法;文獻[3]基于屬性加密（Attribute Based Encryption，ABE）算法，在訪問策略中使用與門、非門和通配符，隱藏每個屬性具體取值，在合數(shù)階群理論上實現(xiàn)了策略隱藏的密文共享方案;文獻[4]在考慮每個屬性可能取值的基礎上，增加了每個屬性可能的狀態(tài)描述，豐富了訪問結構，在素數(shù)階群理論上實現(xiàn)了外包數(shù)據(jù)的完全隱藏策略;文獻[5]提出可并行檢索的哈希索引結構;關鍵詞語義關系庫構建方法及具體的隱私密文數(shù)據(jù)搜索算法?，F(xiàn)有研究主要關注訪問結構的隱私保護，但每次用戶向云服務器申請密文時，其搜索關鍵詞仍暴露了密文、發(fā)布者等用戶隱私信息。

本文設計一個支持關鍵詞隱私保護的密文共享系統(tǒng)，不僅支持訪問結構隱私保護，當用戶作為數(shù)據(jù)使用者查詢密文時，還可隱藏搜索關鍵詞，實現(xiàn)更完全的隱私安全保護。對方案安全性進行分析論述和仿真，結果表明，該系統(tǒng)具有可行性。

1 相關研究

屬性加密用于云存儲數(shù)據(jù)訪問控制的研究已積累豐富成果，支持隱私保護的屬性加密訪問控制方法也備受關注。苗田田等[6]針對外包電子醫(yī)療記錄的安全性和病人隱私性，提出一種適用于電子醫(yī)療環(huán)境中支持用戶隱私保護的訪問控制方案，該方案利用屬性加密保證數(shù)據(jù)機密性，利用不經(jīng)意傳輸實現(xiàn)匿名;羅恩韜等[7]針對移動醫(yī)療計算高峰時的服務瓶頸，提出醫(yī)生授權代理，由代理處理用戶數(shù)據(jù)、保證用戶隱私，同時對代理的工作進行回溯追蹤;鄭芳等[8]提出一種利用屬性加密進行身份認證的隱私保護方案，引入移動APP作為密鑰生成中心，以指紋多個特征提取模板與其它特征作為屬性，服務器端在不知道用戶指紋信息的前提下，根據(jù)用戶輸入的特征解密，以此證明該賬號和密碼屬于用戶本人;劉勝杰等[9]針對社交網(wǎng)絡隱私安全和屬性更新低效的問題，提出具有策略隱藏和屬性撤銷的屬性基加密方案，通過分解密鑰產(chǎn)生方式降低用戶端計算量，引入合數(shù)階雙線性群，實現(xiàn)訪問策略隱藏;Tang等[10]針對移動眾包中的隱私保護問題，提出雙贏激勵下的隱私保護任務分解推薦方案，該方案將ABE分為預計算和線上計算，對計算任務和計算參與者以雙贏方式進行偶匹配。

2 理論基礎

2.1 雙線性映射

設p和q是素數(shù)，[G0]和[GT]分別是p階和q階的乘法循環(huán)群，稱映射[e：G0×G0→GT]為一個雙線性對，且映射e滿足兩個性質：①雙線性。對任意[a，b∈Zp]和[v，w∈G0]都有：[e（va，wb）=e（v，w）ab]。對任意[v1，v2，w∈G0]，有[e（v1v2，w）=e（v1，w）e（v2，w）];②可計算性。存在有效的多項式時間算法對任意的[v，w∈G0]計算[e（v，w）]的值。

2.2 DBDH假設

設G是素數(shù)階的循環(huán)群，其中g為G的生成元，然后選擇[x，y，z，u∈Zp]隨機元素，根據(jù)DBDH假設可知：在具有不能忽視的優(yōu)勢條件下，多項式時間算法無法區(qū)分以下兩個元組：元組A=[（g，gx，gy，gu，e（g，g）xyu）]，元組B=[（g，gx，gy，gu，] [e（g，g）z）]。

3 模型構建

3.1 KPP-CSS系統(tǒng)模型

KPP-CSS系統(tǒng)模型由4個部分構成。

（1）數(shù)據(jù)擁有者（Owner）?？墒褂霉_的公鑰（PK）對明文（M）進行加密成密文（C），同時也能生成關鍵詞集合W的索引I（W），并將密文和索引上傳至云服務器儲存起來;還可為檢索密文設置用戶屬性訪問控制列表，即只有用戶屬性滿足時才可訪問到密文，不滿足時便不可訪問。

（2）用戶（User）。擁有關于用戶本身屬性的訪問權限及屬性相關私鑰（SK，Secret Key），私鑰由可信授權中心頒發(fā)，并且可使用私鑰和關鍵詞生成搜索陷門（Trapdoor），用戶可向云服務器發(fā)送檢索請求，如果用戶屬性滿足訪問控制要求，則用戶可下載在云服務器中檢索的數(shù)據(jù)，并在用戶端利用自己的私鑰SK進行密文（C）解密。

（3）授權中心（AA）。授權中心不同于云服務器，它是唯一可信的第三方。授權中心負責生成系統(tǒng)的公共參數(shù)（Public Parameters，PP），生成系統(tǒng)公鑰（Public Key，PK）和主密鑰（Master Key，MK），其中公鑰公開，主密鑰保留在授權中心。授權中心還需根據(jù)用戶提供的屬性信息和主密鑰（MK）生成私鑰并分發(fā)給用戶。此外，授權中心還需要生成用戶的陷門驗證參數(shù)Pu并發(fā)給用戶。

（4）云服務器（Cloud server，CS）。提供數(shù)據(jù)存儲服務，為數(shù)據(jù)擁有者儲存密文以及關鍵詞索引，同時也會根據(jù)用戶檢索請求將用戶檢索相應加密數(shù)據(jù)提交給用戶，主要是根據(jù)用戶提供的搜索陷門（Trapdoor）及陷門驗證參數(shù)Pu。云服務器作為不完全可信的第三方，在通信過程中有試圖竊取用戶數(shù)據(jù)隱私的可能。

3.2 KPP-CSS系統(tǒng)安全需求

（1）用戶數(shù)據(jù)機密性。云服務器存儲加密數(shù)據(jù)，云端數(shù)據(jù)只有滿足訪問結構的用戶方可訪問，那些沒有合法權限的用戶無法獲得云端密文。

（2）隱藏的訪問結構。為了保護用戶隱私，針對訪問結構進行隱藏處理，訪問策略對所有用戶都完全隱藏，即便用戶屬性滿足訪問策略也無法猜出隱藏的訪問策略。

（3）搜索關鍵詞隱藏。在用戶使用關鍵詞檢索密文時，用戶使用的關鍵詞不會泄露用戶隱私，即不能讓他人知曉用戶搜索的關鍵詞內容。

（4）抵抗共謀。單個用戶使用自己的密鑰無法解密密文，但是多個用戶可以通過各自密鑰信息進行組合，然后成功解密密文，這種共謀是不允許的。

4 KPP-CSS系統(tǒng)構造

KPP-CSS系統(tǒng)是在文獻[3]的基礎上增加了關鍵詞隱私保護，完整的系統(tǒng)框架如圖2所示。

KPP-CSS系統(tǒng)由初始化、密鑰分發(fā)、加密、解密4個階段構成。為體現(xiàn)系統(tǒng)完整性和可讀性，本文延續(xù)文獻[3]的變量命名規(guī)則。

4.1 初始化

授權中心運行算法Setup完成初始化。

其中，[n∈ZN]是屬性集的階。

4.2 密鑰分發(fā)

授權中心運行算法KeyGen完成密鑰分發(fā)。

4.3 加密數(shù)據(jù)

數(shù)據(jù)擁有者運行算法EncryptData加密數(shù)據(jù)，并建立索引I（W）。

4.4 解密數(shù)據(jù)

用戶生成檢索陷門Trapdoor，向云服務器提交Trapdoor及自己的Pu，云服務器修正[Y=Y'?e（gqw，gqPu）θ]，然后運行Match算法進行匹配，若成功則發(fā)送密文給用戶，用戶運行算法DecryptData讀取數(shù)據(jù)。

5 證明與分析

5.1 Match算法正確性證明

5.2 安全性分析

為實現(xiàn)關鍵詞隱私保護，檢索關鍵詞時以檢索陷門形式進行檢索，故不會在檢索過程中泄露關鍵詞，其次在在云服務器存儲的也僅是密文（C）和關鍵詞索引I（W），且云服務器也不可能通過密文猜測出用戶檢索的關鍵詞。此外，所有暴露在外的信息有陷門驗證參數(shù)（Pu）、檢索陷門（Trapdoor）、密文（C）、關鍵詞索引I（W）。即使擁有Pu以及Trapdoor，也只能通過云服務器獲得密文并且兩者不能顯示關鍵詞信息，同樣密文和索引也不能顯示關鍵詞信息。故用戶檢索隱私是安全的。

5.3 計算量分析

本文只對方案中生成元的指數(shù)運算及雙線性對運算進行統(tǒng)計分析，忽略運算量相對較低的運算。

計算量分析如表1所示。其中，Exp表示一次生成元的指數(shù)運算，而Pair表示一次雙線性對運算，|S|表示用戶私鑰屬性集的階，|T|表示密文訪問策略中屬性集的階。選取文獻 [3]作為本文的參照原因在于：本文方案KPP-CSS是在其基礎上進行關鍵詞隱私保護;而選擇文獻[11]作為參照的原因是該方案是偏重于屬性撤銷的典型方案。

表1分析結果表明：①本文方案比文獻 [3]在數(shù)據(jù)加密階段計算量更大，這是因為本文方案多了1個建立索引的步驟，該步驟花費的計算開銷為4Exp+Pair;②本文方案和文獻 [3]比文獻[11]在KeyGen和EncryptData階段計算量更大，這是因為本文方案和文獻[3]均隱藏了訪問策略，而文獻[11]沒有;③本文方案解密階段比文獻[3]多花費了2Exp的計算代價，這是因為本文為隱藏關鍵詞而產(chǎn)生了陷門計算量。

5.4 存儲開銷分析

與其它方案相同，本文只對方案中的群元素所需存儲量進行統(tǒng)計分析，忽略隨機整數(shù)存儲量。分析結果如表2所示。其中，[na，k]表示[AAk]管理的屬性數(shù)量，[na，k，ut]表示[AAk]為用戶[ut]發(fā)行的屬性數(shù)量，[nut，k]表示[AAk]管理的用戶數(shù)量，[ηi]表示文獻[11]中用戶路徑[pathGi]與用戶組集合[nodeGi]交集中結點的數(shù)量，n表示系統(tǒng)中屬性集的階。

6 仿真

在數(shù)據(jù)加密和解密過程中，用戶端計算代價仿真如圖3所示。仿真實驗運行平臺在VMware虛擬機上運行Ubuntu操作系統(tǒng)，單核處理器，RAM 1G，對運算函數(shù)庫采用PBC（Pairing Based Cryptography Library），大整數(shù)數(shù)據(jù)庫采用GMP（The GNU MP Bignum Library）。橢圓曲線選擇曲線，群的階均為160bit，域的大小為512bit。為使實驗結果穩(wěn)定，運行時間取10次運行的平均。

綜合分析圖3（彩圖掃描OSID二維碼可見）的仿真結果可知，本文方案與文獻[3]、文獻 [11]在加密、解密階段的計算量同在一個數(shù)量級上。

圖3（a）表明，本文方案與文獻 [3]相比，為進行關鍵詞隱私保護而在加密階段產(chǎn)生索引的計算代價并未與屬性數(shù)量呈線性關系，是常數(shù)量，且遠小于加密數(shù)據(jù)的計算代價。

圖3（b）、3（c）表明，與文獻[3]相同，本文方案解密代價也與屬性數(shù)量呈線性關系，不同的是本文方案增加了兩個計算代價：云端修正密文計算量是3Exp+Pair，密文數(shù)據(jù)陷門與索引匹配的計算量是2Exp+Pair，此二者計算代價也未與屬性數(shù)量呈線性關系，是常數(shù)量，且遠小于解密密文計算代價。

7 結語

本文在合數(shù)階群理論及文獻[3]的基礎上，提出了一個支持關鍵詞隱私保護的密文共享系統(tǒng)KPP-CSS，在實現(xiàn)訪問結構隱私保護的基礎上，實現(xiàn)了用戶密文搜索時搜索關鍵詞隱藏，以此實現(xiàn)了更完全的隱私保護。

下一步研究方向是兼顧系統(tǒng)可擴展性。KPP-CSS雖然實現(xiàn)了更完全的隱私保護，但系統(tǒng)僅適合于小規(guī)模的密文數(shù)據(jù)共享，因為方案屬性集必須在初始化階段定義，限制了系統(tǒng)規(guī)模，下一步研究重點是將屬性集定義從初始化階段轉移到后續(xù)階段。

參考文獻：

[1] 周琳娜，劉丹. 網(wǎng)絡信息安全問題及防護策略[J]. 軟件導刊， 2019，18（10）：166-8.

[2] 劉浩然.? 一種安全性高的醫(yī)療大數(shù)據(jù)隱私保護模型[J].? 軟件導刊，2019，18（8）：200-203.

[3] 江澤濤，趙嘉旭，吳輝. 策略隱藏的CP_ABE訪問控制方案 [J].? 計算機工程與設計，2017，38（6）：1429-934.

[4] 劉雪艷，鄭等鳳. 基于素數(shù)群完全隱藏訪問結構的CP_ABE方案 [J]. 計算機工程，2016，42（10）：140-145.

[5] 劉洋. 云存儲中隱私保護密文數(shù)據(jù)檢索算法的研究 [D].? 北京：華北電力大學，2019.

[6] 苗田田，楊惠杰，沈劍. 電子醫(yī)療環(huán)境中支持用戶隱私保護的訪問控制方案[J]. 網(wǎng)絡空間安全，2019，10（10）： 16-22.

[7] 羅恩韜，段國云，周雷，等. 移動醫(yī)療中一種匿名代理可追蹤隱私保護方案[J]. 計算機研究與發(fā)展，2020，57（5）：1070-1079.

[8] 鄭芳，馮麗萍，李平珍，等. 一種利用屬性加密進行身份認證的隱私保護方案[J]. 網(wǎng)絡安全技術與應用，2020，230（2）： 33-36.

[9] 劉勝杰，王靜. 云環(huán)境下SNS隱私保護方案[J]. 計算機科學，2019，46（2）：133-138.

[10] TANG W J，ZHANG K，REN J， et al. Privacy-preserving task recommendation with win-win incentives for mobile crowdsourcing [J].? Information Sciences，2020，527：477-492.

[11] LI J G， YAO W， HAN J G， et al. User collusion avoidance CP-ABE with efficient attribute revocation for cloud storage[J].? IEEE Systems Journal， 2018， 12（2）： 1767-1777.

（責任編輯：江 艷）