杜瑞忠，閆沛文，劉妍

（1.河北大學(xué)網(wǎng)絡(luò)空間安全與計算機學(xué)院，河北 保定 071000；2.河北省高可信信息系統(tǒng)重點實驗室，河北 保定 071000）

1 引言

云計算通過基礎(chǔ)設(shè)施向用戶提供服務(wù)，為應(yīng)用提供彈性資源，但云計算提供的資源主要集中在遠離用戶的核心網(wǎng)絡(luò)中，這導(dǎo)致用戶和云之間交互信息時會產(chǎn)生時延。隨著用戶對低時延的需求越來越高，霧計算作為云計算的延伸被提出[1]。霧計算將云服務(wù)與靠近網(wǎng)絡(luò)邊緣的分布式資源相結(jié)合，使存儲和數(shù)據(jù)處理等貼近網(wǎng)絡(luò)邊緣設(shè)備，可以提供外包計算、資源分配和緩存等多種服務(wù)[2-4]，有效緩解了云計算中存在的時延問題，在智能醫(yī)療、智慧城市等對低時延需求較高的領(lǐng)域被廣泛應(yīng)用[5-6]。

霧計算更貼近終端用戶，數(shù)據(jù)中包含大量用戶隱私信息，由于存在虛假節(jié)點惡意獲取數(shù)據(jù)的情況，因此需要一種霧計算環(huán)境下高效的訪問控制方案[7-8]。在霧計算中，邊緣設(shè)備基于密文策略的屬性加密（CP-ABE,ciphertext policy attribute based encryption）是實現(xiàn)細粒度訪問控制的技術(shù)之一，數(shù)據(jù)所有者根據(jù)屬性對數(shù)據(jù)進行加密，而不需要知道用戶的確切身份，只有滿足屬性的用戶才能對數(shù)據(jù)進行訪問。CP-ABE 多采用門限秘密共享方案，需用多項式插值法來重建秘密，其解密階段配對和求冪開銷較大的計算，給霧計算中資源受限的邊緣設(shè)備帶來計算瓶頸。另外，霧計算中邊緣設(shè)備的屬性會頻繁變化，為防止用戶使用更新前屬性密鑰進行訪問，需要建立有效即時屬性撤銷機制以提高其靈活性。

為了解決上述問題，本文提出了一種霧計算中細粒度屬性更新的外包計算訪問控制方案；結(jié)合霧計算的特點，建立了云-霧-用戶分層的訪問控制架構(gòu)，用戶通過霧節(jié)點與云進行交互；采用CP-ABE技術(shù)實現(xiàn)數(shù)據(jù)機密性和細粒度訪問控制，并設(shè)計安全高效的外包加解密方案，將加密和解密中繁重的計算外包給霧節(jié)點，使用模加法技術(shù)構(gòu)建訪問控制樹，避免了多項式插值法產(chǎn)生的計算開銷，使加密、密鑰生成和解密階段的計算量更少，減少數(shù)據(jù)所有者和數(shù)據(jù)用戶的計算負擔(dān)；在霧節(jié)點建立組密鑰二叉樹生成屬性組密鑰，用戶提交訪問請求時對密文進行重加密，實現(xiàn)了屬性的細粒度更新與即時撤銷。通過霧節(jié)點對用戶進行管理，減小了組密鑰二叉樹規(guī)模與更新私鑰的用戶數(shù)量，并在更新時將屬性組內(nèi)用戶標記為未更新用戶，避免了頻繁更新私鑰的冗余操作，提升了屬性更新效率；對方案進行仿真實驗對比，實驗結(jié)果表明，用戶加解密時間消耗較小且穩(wěn)定，外包解密階段耗時更少，屬性更新時的效率更高。

本文主要的研究工作如下。

1) 建立更適用于霧計算的云-霧-用戶分層的訪問控制架構(gòu)，霧節(jié)點對用戶進行管理，用戶必須通過霧節(jié)點與云進行交互。

2) 改進模加法機制構(gòu)建訪問控制樹，降低計算開銷，利用外包加解密思想和重加密機制設(shè)計了一種霧計算環(huán)境下細粒度屬性更新的外包計算訪問控制方案。

3) 進行安全性分析，基于決策雙線性Diffie-Hellman 假設(shè)，證明了所提方案滿足明文攻擊安全。通過仿真實驗分析與其他方案在各階段運行時間進行對比，所提方案在滿足安全性前提下，效率更高。

2 相關(guān)工作

2007 年，Bethencourt 等[9]首次提出CP-ABE 方案，之后其被廣泛應(yīng)用于云存儲環(huán)境中數(shù)據(jù)的細粒度訪問控制[10-11]，但由于加解密的計算開銷隨著訪問結(jié)構(gòu)中屬性的數(shù)量線性增加，該方案效率較低且不適用于資源受限的邊緣設(shè)備。Ibraimi 等[12]提出了一種高效的CP-ABE 算法，該算法使用模加法一致同意控制方案（UCCMA,unanimous consent control by modular addition）建立訪問控制樹，避免多項式插值法的計算開銷。為了進一步提高效率并減小用戶負擔(dān)，將加解密階段的復(fù)雜計算進行外包[13-14]。Jin 等[15]以文獻[12]為基礎(chǔ)，設(shè)計了安全輕量級的訪問控制方案用于移動云計算，引入加密服務(wù)提供商（ESP,encryption service provider）和解密服務(wù)提供商（DSP,decryption service provider）降低加解密過程中的計算開銷，在實現(xiàn)系統(tǒng)高效性的同時，將移動設(shè)備大部分計算外包給ESP 和DSP，使移動設(shè)備可以有效地對存儲在云端的數(shù)據(jù)進行訪問和管理。Green 等[16]改進了ABE（attribute based encryption）外包系統(tǒng)中的密鑰生成算法，使用盲密鑰技術(shù)生成轉(zhuǎn)換密鑰并發(fā)送給第三方代理，將滿足訪問策略的密文轉(zhuǎn)換為簡單密文，使明文恢復(fù)所需開銷較小。為解決外包計算的正確性問題，Mao等[17]和Kumar等[18]提出了基于屬性的可驗證外包解密的訪問控制方案，外包計算后驗證了數(shù)據(jù)的正確性，用戶解密密文時只需要進行恒定數(shù)量的計算。外包計算的訪問控制方案得到了廣泛應(yīng)用，Kibiwott 等[19]提出了基于云的電子健康大數(shù)據(jù)系統(tǒng)訪問控制方案，通過cloudlet 服務(wù)器進行外包計算，實現(xiàn)了機密性和數(shù)據(jù)完整性。但以上外包計算方案沒有考慮屬性撤銷問題，在動態(tài)性較強的霧計算中并不適用。

在CP-ABE 方案中，為防止用戶使用過期的屬性密鑰，必須使用密鑰撤銷機制。Al-dahhan 等[20]通過管理聯(lián)合屬性集存儲數(shù)據(jù)，提供策略更新和密鑰失效2 種技術(shù)來消除共謀攻擊，并解決密鑰撤銷問題，但密鑰維護代價和計算復(fù)雜度高。Zhang 等[21]提出了一種霧環(huán)境下外包加密和屬性更新方案，在屬性更新時，所有擁有該屬性的用戶必須對屬性密鑰進行更新，對未撤銷屬性進行大量計算，這會大大降低屬性更新的效率。為了避免撤銷屬性時密鑰的大量更新，Chen 等[22]在方案中引入衰落函數(shù)，使屬性密鑰可以隨時間進行動態(tài)更新，需要為每個屬性設(shè)置生存周期，但選取合適的生存周期是一個難題，且衰落函數(shù)存在產(chǎn)生沖突的情況。Hur 等[23]提出了一種建立二叉樹對密文雙重加密的方法，龐大的設(shè)備數(shù)量會導(dǎo)致二叉樹的維護開銷較大。Liu等[24]將用戶身份信息分配給葉子節(jié)點信息以跟蹤惡意用戶，并通過將惡意用戶添加到吊銷列表和更新密文，實現(xiàn)對惡意用戶的撤銷操作。張凱等[25]提出了高效撤銷的多機構(gòu)訪問控制方案，將撤銷列表嵌入密文對用戶的整體屬性進行撤銷，但無法對部分屬性進行撤銷操作，存在撤銷粒度較粗的問題。以上方案雖然解決了屬性撤銷問題，但目前屬性密鑰撤銷仍然給系統(tǒng)帶來較大的開銷。

綜上所述，傳統(tǒng)的訪問控制方案效率較低，并缺乏高效的屬性撤銷方法。為此，本文提出了霧計算中細粒度屬性更新的外包計算訪問控制方案，在保障安全的前提下，降低用戶開銷，提升屬性更新效率。

3 預(yù)備知識

3.1 雙線性映射

G,GT是2 個階為P的循環(huán)群，g是G的生成元，雙線性映射e:G0×G0→GT滿足以下性質(zhì)。

1) 雙線性：對任意u,v∈G0和a,b∈Zp，都有e(u a,vb)=e(u,v)ab。

2) 非退化性：存在u,v∈G0使e(ua,vb) ≠ 1。

3) 可計算性：對于任意的u，v，存在一個有效的算法計算e(u,v) 。

3.2 訪問控制樹

令根節(jié)點為r的訪問控制樹T描述訪問控制策略，該策略指定了在解密密文時需要的屬性組合。T中的每一個內(nèi)部節(jié)點都是邏輯運算符，例如AND、OR。每個葉子節(jié)點都表示一種屬性。屬性可以是定義、分類或注釋用戶的任何描述性字符串。根據(jù)秘密共享的思想，訪問樹的每個節(jié)點表示一個秘密。在加密階段需要自頂向下遞歸地為每一個節(jié)點分配一個秘密。而在解密階段，需要自底向上回復(fù)根節(jié)點的秘密。

3.3 秘密分享

在秘密分享方案中，發(fā)放者將一個秘密S分割成t份，需要所有的分割部分才可以重新構(gòu)造出S。為了共享秘密S（0≤S≤p-1），發(fā)放者生成t-1個隨機數(shù)Si，即1≤Si≤p-1，1≤i≤t-1，同時。秘密S通過進行恢復(fù)，將Si分享給Pi個參與方，1≤i≤t。對每一個參與者Pi，得到的是0～p-1 的隨機數(shù)，因此，除了發(fā)放者之外沒有任何一方知道關(guān)于秘密S的任何信息。

3.4 決策雙線性

決策雙線性Diffie-Hellman（DBDH,decision bilinear Diffie-Hellman）問題的定義如下。挑戰(zhàn)者根據(jù)安全參數(shù)選擇一組階為素數(shù)p的G0。讓g作為生成元，選取隨機數(shù)a,b,s∈Zp。如果挑戰(zhàn)者給予對手(g,g a,g b,gs)，對于對手來說，將很難區(qū)分有效的元組e(g,g)abs∈GT與隨機元素R∈GT。

一個概率性多項式時間算法Q能夠以優(yōu)勢ε求解DBDH 問題，當(dāng)且僅當(dāng)滿足

如果概率多項式在解決DBDH 問題上的優(yōu)勢可以忽略不計，則DBDH 假設(shè)成立。

4 系統(tǒng)模型

4.1 整體框架

本文為解決霧計算中用戶加解密開銷大、屬性更新效率低的問題，設(shè)計了云-霧-用戶分層的系統(tǒng)模型，主要由5 類實體組成，系統(tǒng)結(jié)構(gòu)如圖1所示。

云服務(wù)提供商（CSP,cloud service provider）。CSP 提供數(shù)據(jù)存儲等方面的服務(wù)，在本文方案中假設(shè)CSP 可信。

霧節(jié)點。霧節(jié)點提供計算、存儲等服務(wù)，負責(zé)對密文進行外包加解密計算，生成組密鑰對密文進行重加密，并在未更新用戶提交訪問請求時，更新其私鑰。

圖1 系統(tǒng)結(jié)構(gòu)

數(shù)據(jù)所有者（DO,data owner）。DO 是有文件要上傳到云端存儲的用戶，為文件定義訪問結(jié)構(gòu)，然后生成部分密文發(fā)送到霧節(jié)點。

數(shù)據(jù)用戶（DU,data user）。DU 是訪問存儲在CSP 中的文件的用戶，當(dāng)數(shù)據(jù)用戶的屬性集滿足嵌入給定密文中的訪問結(jié)構(gòu)時，可以從密文中解密文件。若用戶被標記為未更新用戶，在請求訪問時需要先更新私鑰。

可信權(quán)威機構(gòu)（TA,trusted authority）。TA 是完全受信任的一方，遵循協(xié)議規(guī)范執(zhí)行分配任務(wù)，然后輸出正確的結(jié)果，主要負責(zé)處理用戶注冊，為每個系統(tǒng)用戶生成系統(tǒng)參數(shù)和密鑰SK，向霧節(jié)點發(fā)送屬性更新信息。

4.2 算法定義

本文系統(tǒng)由系統(tǒng)初始化（Setup）、私鑰生成（KeyGen）、數(shù)據(jù)加密（Encrypt）、組密鑰生成（GKeyGen）、密文重加密（reEncrypt）、私鑰更新（upGKeyGen）、密文解密（Decrypt）幾個算法構(gòu)成。

1) 系統(tǒng)初始化Setup(1k,L)→(PK,MSK)。初始化階段輸入安全參數(shù)k和屬性域L={a1,a2,…,am}，進行運算獲得系統(tǒng)的公鑰PK 和主密鑰MSK。

2) 私鑰生成KeyGen(MSK,S)→SK。私鑰生成算法通過輸入主密鑰MSK，以及私鑰所包含的屬性集合S，計算得到私鑰SK 并發(fā)送給用戶。

3) 數(shù)據(jù)加密Encrypt。為了獲得較高的加密效率，DO 首先使用隨機密鑰ck 對指定文件進行加密，然后使用對稱加密算法對ck 進行加密，該算法包含以下2 個子算法：DO 在本地運行DO.Encrypt，霧節(jié)點運行外包加密算法Fog.Encrypt。

DO.Encrypt(PK,ck,A)→C1T，算法輸入PK、ck 和訪問結(jié)構(gòu)A，然后輸出部分密文C1T，最后DO將C1T 發(fā)送給霧節(jié)點。

Fog.Encrypt(PK,CT1)→CT，該算法輸入PK 和CT1，然后輸出密文CT 并發(fā)送給CSP。

4) 組密鑰生成GKeyGen(a1,a2,…,am)。該算法輸入屬性域L={a1,a2,…,am}給霧節(jié)點，霧節(jié)點為用戶生成二叉樹τ并推算出組密鑰Ej（1 ≤j≤m）。

5) 密文重加密reEncrypt(Ej,CT) →CT′。霧節(jié)點收到數(shù)據(jù)用戶訪問請求后，從CSP 獲取密文CT，利用生成的組密鑰Ej（1 ≤j≤m）與密文CT 進行運算，得到重加密密文CT′。

6) 私鑰的更新upGKeyGen(iE,SK) SK′→。用戶通過計算得到組密鑰Ej，與SK 中對應(yīng)的屬性私鑰進行更新運算，得到新私鑰SK′。

7) 密文解密Decrypt。霧節(jié)點接受用戶發(fā)來的部分密鑰SK′，與重加密之后的'CT 進行計算得到T，并發(fā)送給用戶。如果用戶的密鑰滿足訪問結(jié)構(gòu)A，則運行以下算法得到ck，該算法包括2 個子算法：霧節(jié)點運行外包解密算法Fog.Decrypt，用戶執(zhí)行本地子算法User.Decrypt。

Fog.Decrypt(PK,CT′,SK′)→T。輸入PK、CT′和SK′，通過計算輸出結(jié)果T，并將其發(fā)送給DO。

User.Decrypt(T,SK)→ck。使用T和SK 進行計算，生成密鑰ck。

因此，使用 ck 通過對稱解密算法將得到文件。

5 方案描述

本節(jié)描述了霧計算中細粒度屬性更新的外包計算訪問控制方案的具體結(jié)構(gòu)。霧計算應(yīng)用對低時延有較高需求，因此降低用戶計算復(fù)雜度和提高屬性更新效率成為用戶的重要需求。首先，本節(jié)提出一種安全外包加解密方法，以減少用戶在訪問控制過程中的計算負擔(dān)。外包方法主要是將加密和解密階段所有訪問結(jié)構(gòu)和屬性相關(guān)的操作外包給霧節(jié)點，留給數(shù)據(jù)所有者和數(shù)據(jù)用戶執(zhí)行少量操作。然后，利用重加密機制在霧節(jié)點和用戶之間構(gòu)建一個組密鑰二叉樹τ，隨機生成樹中的節(jié)點密鑰，并生成組密鑰，當(dāng)用戶的屬性要增加或者撤銷時，僅需改變屬性的組密鑰即可實現(xiàn)屬性的細粒度更新。

5.1 具體方案

假設(shè)系統(tǒng)中擁有m個屬性并表示為L={a1,a2,…,am}，將用戶所屬霧節(jié)點設(shè)置為一種屬性。e:G0×G0→GT為雙線性映射，G0為素數(shù)階p以g為生成元的雙線性群。哈希函數(shù)H:{0，1}*→G0，將任意屬性映射到G0的一個隨機元素上，具體細節(jié)如下。

階段1系統(tǒng)初始化Setup

Setup(1k,L)→(PK,MSK)。系統(tǒng)定義階為p、以g為生成元的雙線性映射群e:G0×G0→GT，隨機選取參數(shù)α∈Zp，對任意a j∈L選取一個隨機數(shù)vj，計算PKj=gvj，設(shè)置霧節(jié)點屬性值為Afg∈Zp，最后得到公鑰與主密鑰。

階段2私鑰生成KeyGen

KeyGen(MSK,S)→SK。該算法首先隨機選擇r=Z p，r是分配給每個系統(tǒng)用戶的唯一密鑰；然后，選取隨機數(shù)y∈Zp，將霧節(jié)點屬性標記為Dfg，計算私鑰。

階段3數(shù)據(jù)加密Encrypt

在文件M上傳到CSP 之前需要進行的步驟如下。

1) DO.Encrypt(PK,ck,A)→C1T。DO 定義一個訪問結(jié)構(gòu)A，并隨機選取密鑰ck，用對稱加密算法對M進行加密，加密后的密文表示為Eck(M)。DO隨機選擇S'∈Zp，計算=cke(g,g)βs'。輸出密文CT1={A,Eck(M)，=ck（e g,g）βs′C=gs′}。用戶DO 發(fā)送CT1給霧節(jié)點。

2) Fog.Encrypt(PK,CT1)→CT。霧節(jié)點根據(jù)收到的訪問結(jié)構(gòu)A建立訪問控制樹T，如圖2 所示，為T的根節(jié)點賦值為S，隨機選擇Sfg∈Zp將其作為根節(jié)點的右子樹，其他子節(jié)點標記為未賦值，對于每個未賦值的非葉子節(jié)點遞歸地執(zhí)行以下操作。

如果運算符是AND 且它的子節(jié)點未賦值，使用模加法方案為每個子節(jié)點賦值，對于除了最后一個子節(jié)點之外的每一個節(jié)點賦值為隨機數(shù)Si（1 ≤Si≤p-1），將最后一個子節(jié)點賦值為。

如果運算符是OR，為每一個子節(jié)點賦值S。T樹中葉子節(jié)點的值用來生成密文。為每一個葉子節(jié)點屬性a∈T，計算屬性密鑰C=gvjsi，i為訪問樹的索引屬性，對于給定的訪問結(jié)構(gòu)，索引值被唯一地以排序的方式分配給節(jié)點。

圖2 訪問控制樹

最后通過計算得到

階段4組密鑰生成GKeyGen

組密鑰二叉樹τ的構(gòu)成原理如下。霧節(jié)點根據(jù)管理用戶構(gòu)建二叉樹τ，如圖3 所示，將所有用戶分配到葉子節(jié)點，并為τ中的每一個節(jié)點生成一個節(jié)點密鑰un,m∈Zp，用戶葉子節(jié)點到根節(jié)點通過的節(jié)點稱為路徑節(jié)點，用戶存儲路徑節(jié)點的節(jié)點密鑰。霧節(jié)點為屬性定義一個公開參數(shù)γj∈Zp，根據(jù)屬性所對應(yīng)的用戶組，找到包含用戶的最大覆蓋子樹，建立組密鑰Ej={V1,1,V2，1,…,Vn,m||γj}，通過門限法將Ej設(shè)置為(S,2)秘密共享，推算出Ej。假設(shè)屬性ωj的用戶組為{u1,u2,u3,u4,u7,u8}，在組密鑰二叉樹中的最大覆蓋節(jié)點為{V2,1,V3,4}，則屬性ωj的組密鑰為Ej={V2,1,V3，4||γj}。

圖3 屬性組密鑰二叉樹

階段5密文重加密reEncrypt

當(dāng)用戶向霧節(jié)點請求訪問數(shù)據(jù)后，霧節(jié)點從CSP 獲取密文CT，然后通過組密鑰Ej對CT 進行重加密，計算得到

階段6密鑰更新upGKeyGen

霧節(jié)點接收到DO 的訪問請求之后，如果數(shù)據(jù)用戶被標記為未更新用戶。霧節(jié)點將其需要更新屬性路徑節(jié)點所在二叉樹層數(shù)發(fā)送給用戶。門限方案中Ei設(shè)置為(S,2)秘密共享，只要知道兩部分就可以計算出組密鑰Ei，由于γi是公開的，因此只要屬性覆蓋用戶組內(nèi)包含該用戶，便能夠計算出Ei，DO 利用E進行計算，=，則更新之后的私鑰為

階段7密文解密Decrypt

如果用戶擁有的屬性滿足訪問結(jié)構(gòu)A，則運行下面的解密算法解密CT，獲得內(nèi)容密鑰ck，用戶可以使用ck 解密Eck(M) 并獲得明文M，由于密文和密鑰進行雙線性配對操作需要大量的計算開銷，因此解密的計算開銷非常大，為了減少用戶的計算開銷，將這些操作外包給霧節(jié)點。該解密算法分為外包解密算法Fog.decrypt 和User.Decrypt。

1) Fog.Decrypt(PK,CT′,SK′)→T。霧節(jié)點從用戶接受部分密鑰SK''={D'=g y,D''=gyr,?aj∈S:D=grv-j1E-j1,D=grAfg-1}對私鑰中的D與重加密后的CT′中的Cj,i進行如下運算

霧節(jié)點接著計算

將得到的T={Eck(M),C～=cke(g,g)αs′,C=g s′,ω}發(fā)送給用戶。

2) User.Decrypt(T,SK')→ck。用戶收到霧節(jié)點發(fā)送的T，與私鑰SK'計算得到ck。

因此，使用ck 通過對稱解密算法將得到M。

5.2 屬性更新

1) 屬性添加與撤銷

當(dāng)用戶屬性進行添加或撤銷時，霧節(jié)點根據(jù)更新后用戶葉子節(jié)點重新尋找其最大子樹的根節(jié)點，運行GKeyGen 算法完成組密鑰的更新。用戶添加或撤銷新的屬性jω時，TA 將屬性的更新信息發(fā)送給霧節(jié)點，霧節(jié)點根據(jù)更新后屬性jω包含的用戶組，尋找能覆蓋所有用戶的最大子樹節(jié)點，根據(jù)組密鑰的構(gòu)成方法計算得到新Ej′。將其他擁有屬性jω的用戶標記為未更新用戶，當(dāng)未更新用戶向霧節(jié)點發(fā)送訪問請求時，進行私鑰更新，避免在屬性頻繁更新時，給用戶帶來冗余操作。屬性jω的組密鑰更新不會影響其他霧節(jié)點域內(nèi)屬性的組密鑰，僅需要該霧節(jié)點域內(nèi)持有該屬性的用戶更新私鑰，減小了更新所帶來的操作開銷。

2) 用戶整體變更

對用戶的變更分為用戶加入與撤銷，可以看作向新用戶分配屬性和將老用戶的所有屬性進行撤銷。因此，用戶的整體變更可以歸納為對屬性更新。

①當(dāng)用戶節(jié)點加入系統(tǒng)時，將用戶分配到空葉子節(jié)點，為用戶生成組密鑰，并對用戶私鑰進行更新。

② 當(dāng)用戶節(jié)點離開系統(tǒng)時，則修改用戶從葉子節(jié)點到根節(jié)點的所有密鑰鏈。首先霧節(jié)點生成隨機數(shù)Vtmp∈Zp，Vtmp與密鑰鏈節(jié)點進行XOR 操作生成新的節(jié)點密鑰；完成更新的節(jié)點將其節(jié)點密鑰通過廣播加密的方式發(fā)送給其子樹的葉子節(jié)點。

6 安全性分析

在所提霧計算中細粒度屬性更新和外包計算訪問控制方案中選擇明文攻擊安全模型，基于DBDH問題進行安全性分析。設(shè)G,GT為2個階為P、生成元為g的雙線性群，雙線性映射e:G0×G0→GT。模型生成（g,g a,g b,g s,Z)，其中a,b,s,θ∈，設(shè)置參數(shù)?∈{0,1}，一個隨機元素R∈GT，當(dāng)參數(shù)?=0時，Z=e(g,g)abs；否則Z=R。

定理1如果故手A 能夠在一個概率多項式時間內(nèi)以不可忽略的優(yōu)勢ε＞0 求解，那么算法φ能夠區(qū)分一個DBDH 元組和一個隨機元組，并且優(yōu)勢為ε/2。

證明敵手A 和挑戰(zhàn)者B 執(zhí)行操作如下。

初始化敵手A 定義訪問控制樹T*，并發(fā)送給挑戰(zhàn)者B。

系統(tǒng)設(shè)置挑戰(zhàn)者B 對系統(tǒng)進行初始化，B 選擇一個隨機數(shù)χ′∈Zp，計算α=χ′+ab。設(shè)置u=e(g,g)α=e(g,g)χ'e(g,g)ab。對每一個屬性a j∈L，B 選擇隨機數(shù)sj，如果a j∈T*，則v j=；如果a j?T*，則v j=sj。最后B 將公鑰PK={G0,g,u,{PKj|a j∈L}}發(fā)送給敵手A。

挑戰(zhàn)階段敵手A 向挑戰(zhàn)者B 發(fā)送長度相同的兩段信息m0和m1，B 選擇一個值S′∈Zp，隨機選取參數(shù)?∈{0,1}，通過執(zhí)行Encrypt 和reEncrypt 算法對信息m?進行加密。B 構(gòu)造密文CT1中的和C。

然后，將CT1發(fā)送到霧節(jié)點，霧節(jié)點設(shè)S為訪問控制樹T*的根節(jié)點的值，根據(jù)訪問控制樹T*的構(gòu)造方法對每個葉子節(jié)點屬性aj,i∈T*，計算C=gvjsi，gs，則C'=g s'gs=Sgs，C=gAfgSfg得j,ifg到密文CT，霧節(jié)點運行重加密算法將CT 更新為

挑戰(zhàn)者B 將密文返還給A。

階段2同階段1，敵手A 可以繼續(xù)向挑戰(zhàn)者B 進行詢問。

猜測游戲中如果?'=?，挑戰(zhàn)者B 輸出0，表明Z=e(g,g)abs；否則，B 輸出1，表明Z=R。當(dāng)Z=e(g,g)abs時，A 獲得有效的密文，則A 的優(yōu)勢為

當(dāng)Z=R時，A 無法獲得任何明文信息，即

因此，φ的優(yōu)勢為

在以上挑戰(zhàn)過程中，假設(shè)DBDH 成立，如果沒有敵手在多項式時間內(nèi)完成，則本文方案是滿足選擇明文攻擊安全的，且該方案具有前后向安全性、抗共謀安全性。

1) 在本文方案屬性更新機制中，當(dāng)添加或者撤銷用戶屬性時，霧節(jié)點運行GKeyGen 算法更新組密鑰得到Ej'，再運行upGKeyGen 算法對用戶私鑰進行更新得到SK'，因為在門限方案中將E′j設(shè)置為(S,2)秘密分享，在該屬性用戶組內(nèi)的用戶可以利用Lagrange 插值得出組密鑰，所以已撤銷屬性的用戶無法推出；同理，添加屬性的用戶也無法通過，在霧節(jié)點進行外包解密計算FR時，。因為組密鑰無法匹配問題，無法計算得到 (,)rsL e g g，便無法對密文進行解密，所以本文方案滿足前向后向安全性。

2)DO設(shè)置訪問結(jié)構(gòu)A對文件進行加密，只有DU 的屬性S∈A時才能解密cke(g,g)βs'。假設(shè)多個未滿足訪問結(jié)構(gòu)的用戶相互勾結(jié)交換密鑰，組成了滿足訪問結(jié)構(gòu)中的屬性集。根據(jù)密鑰生成KeyGen算法，不同用戶的身份標識r都是隨機數(shù)，則產(chǎn)生不同的私鑰D j=grv-j1，若互相勾結(jié)的用戶身份表示分別為r1,r2，通過計算得到FR=e(g,g)r1r2sL，A=e(g,g)r1r2s，便無法推出e(g,g)rs'，所以仍然無法對密文進行解密。因此，方案具有抗串謀攻擊性。

證畢。

7 性能分析

在性能分析中，對本文方案在理論上和實驗上進行分析，證明其可行性。將本文方案與其他方案進行功能比較，結(jié)果如表1 所示。

表1 功能比較

7.1 理論分析

在理論分析中，將本文方案與其他方案在性能和計算開銷方面進行了比較。為了更好地理解分析，表2 總結(jié)了所使用的符號，表3 針對方案中加解密開銷與屬性更新開銷進行了比較。

從表3 可以看出，文獻[12,24]方案沒有進行加解密的外包，用戶的計算開銷是巨大的，會隨著訪問結(jié)構(gòu)的復(fù)雜化而加大計算量。但使用了模加一致性構(gòu)建訪問控制樹的文獻[12]方案在用戶加密與解密時，計算開銷小于使用了線性秘密分享方案（LSSS,linear secret sharing scheme）訪問結(jié)構(gòu)的文獻[24]方案。其他方案對加解密計算進行了外包，因此用戶的計算量是恒定的，與屬性以及訪問控制結(jié)構(gòu)無關(guān)。文獻[18]方案在用戶解密時直接將對稱密鑰通過第三方審計平臺發(fā)送給用戶，使用戶只需要進行一次對稱解密就可以解密密文，雖然解密效率更高，但存在安全隱患，對稱密鑰如果泄露，數(shù)據(jù)將會被獲取。在用戶外包解密方案中，本文方案使用了模加法技術(shù)構(gòu)建訪問控制樹，減小霧節(jié)點外包解密的開銷，在外包解密中本文方案是最優(yōu)的。在屬性撤銷方面，文獻[21]方案為了實現(xiàn)用戶屬性的即時撤銷，在屬性發(fā)生撤銷時，需要對該用戶以及其他持有該屬性的用戶更新私鑰，當(dāng)用戶數(shù)量龐大且屬性需要頻繁更新時，計算開銷是巨大的。文獻[24]方案為了實現(xiàn)撤銷機制，將撤銷方法嵌入加解密中，使用戶所持有屬性在加解密時都要進行是否撤銷的判斷操作。本文方案通過霧節(jié)點對密文進行重加密便可以實現(xiàn)對屬性的即時撤銷。綜上所述，本文方案為實現(xiàn)外包加解密和屬性更新，在保證安全性的前提下，計算開銷與其他方案相比較低。

表2 性能分析中使用的符號

7.2 實驗分析

通過仿真實驗將本文方案與文獻[18,21,24]方案在外包加密、外包解密與屬性更新等方面進行比較分析。本文在charm-crypto 框架內(nèi)進行仿真實驗，使用英特爾i5-4200U 2.3 GHz 處理器，8 GB 內(nèi)存，搭建環(huán)境為Ubuntu14.04 64 位系統(tǒng)與Python2.7。實驗中所有結(jié)果均為10 次結(jié)果的平均值。

用戶加解密時間的比較如圖4 所示。從圖4可以看出，沒有涉及外包加解密的文獻[24]方案隨著屬性數(shù)量的增多，用戶加密時間線性增長；本文方案與其他外包加解密方案在用戶進行加解密操作時，將復(fù)雜計算外包出去計算，用戶所消耗的時間是基本恒定的，因此不會隨著屬性數(shù)量的增加而增長。在圖4(a)中，在用戶加密的效率方面使用了外包加密的方案所消耗時間較相近，可以看到本文方案是較優(yōu)的。在圖4(b)中，文獻[18]方案在設(shè)計外包解密時，由第三方審計直接將對稱加密密鑰發(fā)送給用戶，用戶在解密時只需要進行一次對稱解密，所以用戶解密時間要低于本文方案，但是直接將對稱加密的密鑰進行傳輸，會帶來一些安全性問題。在安全性的前提下，本文方案用戶解密效率較高。

表3 計算開銷比較

圖4 用戶加解密時間的比較

外包加解密時間的比較如圖5 所示。從圖5 可以看出，外包加密時方案之間的差異較小，時間消耗隨著屬性數(shù)量的增加線性增長，所以訪問控制策略越復(fù)雜加密時間也會越大。外包解密中，因為本文方案使用UCCMA 技術(shù)建立訪問控制樹，避免了多項式插值法產(chǎn)生的巨大計算開銷，計算時間上低于其他方案，隨著屬性數(shù)量的不斷增多，這種優(yōu)勢將逐漸擴大。

圖5 外包加解密時間的比較

屬性更新時間的比較如圖6 所示。仿真實驗中，假設(shè)所有的用戶都擁有要更新的屬性，圖6(a)中設(shè)定用戶數(shù)量為30，圖6(b)中設(shè)定更新次數(shù)為2 次。文獻[24]方案為了實現(xiàn)對屬性的撤銷，將屬性撤銷嵌入加解密過程中，導(dǎo)致用戶在進行加解密操作時所持有屬性都需要進行計算，使用戶在加解密時開銷太大，所以在此不做比較。文獻[21]方案在屬性更新時，為了實現(xiàn)屬性的即時更新，需要立即對所有持有該屬性的用戶進行私鑰的更新，隨著用戶數(shù)量的增多，以及屬性更新次數(shù)的增加，該方案在屬性更新時的開銷會越來越大。本文方案實現(xiàn)對屬性的即時更新，只需要改變屬性對應(yīng)組密鑰并對密文進行重加密操作，因為用戶由不同霧節(jié)點管理，更新用戶私鑰時只需要對當(dāng)前霧節(jié)點內(nèi)用戶私鑰進行更新，當(dāng)短時間內(nèi)屬性頻繁更新時，未與霧節(jié)點進行交互的用戶只需要更新一次私鑰即可。圖6(a)中用戶數(shù)量恒定，隨著更新次數(shù)的增加本文方案時間消耗趨于穩(wěn)定，文獻[21]方案呈線性增加趨勢。圖6(b)中更新次數(shù)為2 次時，隨著用戶數(shù)量的增加，本文方案與文獻[21]方案均呈線性增加趨勢，但本文方案增加速率相對較慢。所以本文方案在屬性更新方面效率較高。

圖6 屬性更新時間的比較

8 結(jié)束語

本文提出了一種霧計算中細粒度屬性更新的外包計算訪問控制方案，將加解密的復(fù)雜運算外包給霧節(jié)點，降低了用戶的計算開銷，并通過重加密的方法實現(xiàn)了屬性的細粒度更新，能夠根據(jù)需求完成對屬性的添加與撤銷。在安全性的前提下保證了其高效率，通過決策雙線性Diffie-Hellman 假設(shè)分析了安全性，通過仿真實驗計算了在用戶加解密、外包加解密和屬性更新時的計算開銷，得出本文方案中的用戶終端設(shè)備開銷較小，屬性更新時效率較高，更適用于霧計算。

本文還存在一些不足，方案中通過霧節(jié)點對用戶進行管理，沒有涉及霧節(jié)點域的劃分，并且隨著萬物互聯(lián)的發(fā)展，海量邊緣設(shè)備的增多，存在虛假節(jié)點或用戶騙取數(shù)據(jù)的情況。在用戶跨域訪問時實現(xiàn)跨域的認證至關(guān)重要，因此霧環(huán)境下用戶如何跨域認證實現(xiàn)動態(tài)高效且安全的訪問控制是下一步需要研究的內(nèi)容。