朱怡曉 趙 奎

(四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 四川 成都 610065)

0 引 言

云計(jì)算連接了大規(guī)模的存儲和計(jì)算資源,吸引大量數(shù)據(jù)外包到云服務(wù)器進(jìn)行存儲和共享[1]。在不同文獻(xiàn)提出的各種模型中,云服務(wù)器被定義為好奇但會(huì)誠實(shí)執(zhí)行程序的不完全受信任的實(shí)體[2]。由于數(shù)據(jù)外包存儲會(huì)造成數(shù)據(jù)所有者和數(shù)據(jù)管理權(quán)分離,當(dāng)用戶想刪除云端數(shù)據(jù)時(shí),云服務(wù)器可能為了潛在利益不按用戶要求徹底銷毀數(shù)據(jù)[3],如僅使數(shù)據(jù)對用戶不可見而數(shù)據(jù)本身仍保留在存儲介質(zhì)中,從而能夠回收這些數(shù)據(jù)進(jìn)行進(jìn)一步的挖掘和分析或轉(zhuǎn)賣給第三方,這大大增加了隱私泄露的風(fēng)險(xiǎn)[4]。如何實(shí)現(xiàn)數(shù)據(jù)確定性刪除是云存儲不可忽視但受關(guān)注相對較少的一個(gè)問題。

確定性刪除旨在使被刪除數(shù)據(jù)不可恢復(fù)[5]。從數(shù)據(jù)管理角度看,云服務(wù)器在執(zhí)行刪除時(shí)可能僅是移除一些索引或鏈接,并沒有真正清除存儲介質(zhì)上的數(shù)據(jù),這就使得數(shù)據(jù)可能被恢復(fù)而導(dǎo)致信息泄露。因此實(shí)際應(yīng)用中,基于密碼學(xué)的刪除方式被廣泛采納,通過使數(shù)據(jù)密文不可解密達(dá)到刪除數(shù)據(jù)的目的[6]。雖然密碼學(xué)刪除能夠一次快速刪除大量數(shù)據(jù),但文件的加密形式讓內(nèi)容共享變得不便[7],基于屬性的加密算法能夠?qū)崿F(xiàn)細(xì)粒度訪問控制和一對多文件共享,近年來在云計(jì)算中被廣泛應(yīng)用[8]。Tiplea等[9]提出一種基于雙線性映射的單調(diào)布爾電路密鑰策略屬性基加密方案,該方案基于秘密共享和雙線性映射,構(gòu)造了包含與門、或門和扇出門訪問結(jié)構(gòu),實(shí)現(xiàn)了細(xì)粒度的安全訪問控制,并證明了其在標(biāo)準(zhǔn)模型中的選擇性安全性。

針對云環(huán)境下數(shù)據(jù)的確定性刪除問題,國內(nèi)外研究者先后提出了多種方案，而大部分方案僅通過返回“成功”或“失敗”等結(jié)果告知用戶刪除操作的執(zhí)行情況, 因此用戶無法追蹤驗(yàn)證,只能無條件相信該結(jié)果[10]。Xue等[11]提出基于屬性基加密的可驗(yàn)證安全刪除方案,半可信云服務(wù)器利用Merkle Hash Tree(MHT)在執(zhí)行刪除后產(chǎn)生一個(gè)數(shù)據(jù)刪除證據(jù),數(shù)據(jù)擁有者也通過構(gòu)建新的MHT驗(yàn)證該證據(jù)的有效性,從而驗(yàn)證數(shù)據(jù)是否被確定性刪除。但該刪除方案僅支持較簡單的訪問策略,其對應(yīng)于用戶私鑰的訪問結(jié)構(gòu)由簡單的與門表示,缺乏對靈活的訪問控制策略的支持。

為實(shí)現(xiàn)支持靈活訪問策略的細(xì)粒度訪問控制、確定性刪除、刪除結(jié)果可驗(yàn)證,本文在文獻(xiàn)[9]和文獻(xiàn)[11]的基礎(chǔ)上,基于KP-ABE算法提出一種云存儲可驗(yàn)證安全刪除方案。使用屬性集合描述關(guān)聯(lián)加密數(shù)據(jù),引入支持與門、或門和(k,n)閾值門的布爾電路構(gòu)造用戶私鑰中的訪問結(jié)構(gòu),通過撤銷訪問數(shù)據(jù)所必需的屬性使數(shù)據(jù)無法訪問從而確定性地刪除數(shù)據(jù),并利用多分支路徑樹實(shí)現(xiàn)刪除的可驗(yàn)證性。

1 背景知識

1.1 基于屬性的加密

基于屬性的加密(Attribute-based Encryption, ABE)是在非對稱密碼學(xué)和基于身份的加密算法的基礎(chǔ)上發(fā)展起來的一種非對稱加密方案[12],將一系列屬性和訪問控制策略嵌入密文和用戶私鑰,只有當(dāng)屬性集合滿足相應(yīng)訪問規(guī)則時(shí)才能成功解密。

根據(jù)訪問策略部署方式,屬性基加密可分為密鑰策略屬性基加密(KP-ABE)[13]和密文策略屬性基加密(CP-ABE)[14]。在KP-ABE算法中,使用屬性集合關(guān)聯(lián)標(biāo)記密文,訪問策略被部署于用戶私鑰,算法由以下四個(gè)概率多項(xiàng)式時(shí)間算法元組構(gòu)成。

初始化Setup(s)：輸入安全參數(shù)s,輸出公共參數(shù)PP和主密鑰MSK。

加密Encryption(R,A,PP)：輸入待加密數(shù)據(jù)R、密文描述屬性集A和公共參數(shù)PP,輸出R對應(yīng)密文E。

密鑰生成KeyGenerate(AS,MSK)：輸入訪問結(jié)構(gòu)AS和主密鑰MSK,輸出用戶私鑰SK。

解密Decryption(E,SK)：輸入密文E和用戶私鑰SK,若E對應(yīng)的屬性集合A滿足SK對應(yīng)的訪問結(jié)構(gòu)AS,則解密密文,輸出明文信息R。

1.2 雙線性映射

G1和G2為兩個(gè)階為素?cái)?shù)p的乘法循環(huán)群,Zp為相應(yīng)的數(shù)域，g為G1的生成元。若映射e：G1×G1→G2是雙線性映射,則其具備下列三個(gè)特性[15]。

雙線性(Bilinear)：對任意x,y∈G1;a,b∈Zp,存在e(xa,yb)=e(x,y)ab；

可計(jì)算性(Computable)：對任意x,y∈G1,始終存在有效算法e以計(jì)算e(x,y)；

非退化性(Non-Degenerate)：e(g,g)是群G2的生成元,且e(g,g)≠1。

1.3 DBDH假設(shè)

決策性雙線性Diffie-Hellman假設(shè)[16]定義為：給定階為素?cái)?shù)p的乘法循環(huán)群G1,隨機(jī)選擇生成元g(G1,對于任意的元素a,b,c,z∈Zp,給定一個(gè)五元組(g,ga,gb,gc,e(g,g)abc),不存在算法能夠在概率多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢區(qū)分e(g,g)abc和e(g,g)z。

1.4 布爾電路

布爾電路由線路和節(jié)點(diǎn)組成,其中每個(gè)葉節(jié)點(diǎn)對應(yīng)一個(gè)屬性取值真值(True或False),內(nèi)部節(jié)點(diǎn)由與門、或門和非門3種邏輯門組成,任意節(jié)點(diǎn)的輸出只能作為一個(gè)上層節(jié)點(diǎn)的輸入[17]。本文將討論支持與門、或門和閾值門的單調(diào)布爾電路。其中(k,n)閾值門表示僅當(dāng)n個(gè)輸入中至少有k個(gè)輸入被計(jì)算為真時(shí),其輸出才為真。與門和或門可分別表示為(2,2)和(1,2)閾值門。

1.5 Shamir秘密共享算法

Shamir秘密共享算法[18]將秘密S分為n個(gè)子秘密,任意k個(gè)子秘密都可以恢復(fù)出S,而任意少于k個(gè)的子秘密無法恢復(fù)S。

加密過程中,取隨機(jī)數(shù)a1,a2,…,ak-1,令a0=S,構(gòu)造多項(xiàng)式f(x)=a0+a1x+…+ak-1xk-1,取n個(gè)數(shù)x1,x2,…,xn代入多項(xiàng)式得到f(x1),f(x2)…,f(xn)。解密時(shí),任取k個(gè)數(shù)據(jù)(x1,f(x1)),(x2,f(x2)),…,(xk,f(xk)),使用拉格朗日插值多項(xiàng)式計(jì)算出唯一的原k-1階多項(xiàng)式,從而恢復(fù)出秘密S。

1.6 多分支路徑樹

多分支路徑樹(Large Branching Tree, LBT)是基于哈希值的多叉樹,每個(gè)節(jié)點(diǎn)有多個(gè)兄弟節(jié)點(diǎn)但僅有一個(gè)父節(jié)點(diǎn),其中葉節(jié)點(diǎn)值為數(shù)據(jù)塊哈希值,而內(nèi)部節(jié)點(diǎn)值則是其所有子節(jié)點(diǎn)值的哈希值[19]。在葉節(jié)點(diǎn)數(shù)量相等情況下,多分支路徑樹的深度遠(yuǎn)小于MHT。

圖1展示了9個(gè)數(shù)據(jù)塊集合的多分支路徑樹。每個(gè)數(shù)據(jù)塊元素Ei都具有完整性輔助認(rèn)證集合,由該元素在到達(dá)根節(jié)點(diǎn)的路徑上的所有兄弟節(jié)點(diǎn)值組成,如E2的完整性輔助認(rèn)證集合為{h1,h3,h11,h12}。根據(jù)元素Ei及其完整性輔助認(rèn)證集合能夠計(jì)算出LBT根值。假設(shè)驗(yàn)證方知道原數(shù)據(jù)的LBT根值R,當(dāng)需要驗(yàn)證某元素完整性時(shí),從證明方獲得對應(yīng)的輔助認(rèn)證集合并計(jì)算得到樹根值R’,檢查R’是否等于R即可檢查該元素是否被證明方未改變地存儲。因此,多分支路徑樹被廣泛應(yīng)用于完整性驗(yàn)證。

圖1 多分支路徑樹示例

2 基于KP-ABE的可驗(yàn)證刪除方案

2.1 方案模型

為實(shí)現(xiàn)云存儲中數(shù)據(jù)的細(xì)粒度訪問控制、確定性刪除和可驗(yàn)證,提出基于KP-ABE的可驗(yàn)證安全刪除方案。方案涉及以下四種角色。

1) 數(shù)據(jù)擁有者：文件的創(chuàng)建者。將數(shù)據(jù)上傳至云服務(wù)器前,數(shù)據(jù)擁有者先對數(shù)據(jù)進(jìn)行加密,并希望在發(fā)出刪除指令后數(shù)據(jù)得到確定性刪除,即此前所有授權(quán)訪問的用戶均不能再獲取數(shù)據(jù)相應(yīng)信息。

2) 用戶：云服務(wù)器存儲數(shù)據(jù)的訪問者。不同用戶擁有不同私鑰,決定該用戶是否被數(shù)據(jù)擁有者授權(quán)訪問指定文件。

3) 半可信云服務(wù)器：具備強(qiáng)大的存儲資源和計(jì)算能力的實(shí)體。同時(shí),云服務(wù)器不完全受信任,可能由于潛在利益對存儲的數(shù)據(jù)進(jìn)行窺探或不按數(shù)據(jù)擁有者要求確定性地刪除數(shù)據(jù)。

4) 可信授權(quán)方：可信任的用戶私鑰和重加密密鑰的派發(fā)中心。

數(shù)據(jù)擁有者在將數(shù)據(jù)上傳至云服務(wù)器前,首先使用對稱加密算法AES加密該數(shù)據(jù),然后使用一系列屬性標(biāo)記加密AES密鑰,再將數(shù)據(jù)密文和密鑰密文一起上傳到云服務(wù)器?？尚攀跈?quán)方根據(jù)訪問結(jié)構(gòu)為數(shù)據(jù)擁有者和其他用戶派發(fā)私鑰,滿足訪問條件的用戶可正確解密密鑰密文,再通過解密所得AES密鑰解密數(shù)據(jù)密文。當(dāng)想要?jiǎng)h除云服務(wù)器上的數(shù)據(jù)時(shí),數(shù)據(jù)擁有者向可信授權(quán)方發(fā)送刪除請求,并獲得重加密密鑰。隨后數(shù)據(jù)擁有者將該重加密密鑰轉(zhuǎn)發(fā)至云服務(wù)器,通知云服務(wù)器執(zhí)行刪除操作。完成刪除后,云服務(wù)器向數(shù)據(jù)擁有者返回能夠用于驗(yàn)證刪除被正確執(zhí)行的證據(jù)。

方案模型如圖2所示。

圖2 方案模型

2.2 具體構(gòu)造

在方案構(gòu)建中,為屬性集合引入一個(gè)關(guān)鍵屬性akey,默認(rèn)情況下密文屬性集合和授權(quán)用戶訪問結(jié)構(gòu)中都含有該屬性并且取值為真。用戶訪問結(jié)構(gòu)最終輸出門為與門,akey作為該門的一個(gè)輸入。通過更改關(guān)鍵屬性的取值,密文將不再被包括數(shù)據(jù)擁有者在內(nèi)所有用戶的私鑰正確解密,從而達(dá)到數(shù)據(jù)刪除的目的。為實(shí)現(xiàn)刪除可驗(yàn)證,數(shù)據(jù)擁有者和云服務(wù)器可基于密文組件創(chuàng)建多分支路徑樹并獲取根值,重加密密文后云服務(wù)器將新的根值作為刪除證據(jù)發(fā)送給數(shù)據(jù)擁有者進(jìn)行驗(yàn)證。方案整體流程為初始化、加密、生成密鑰、解密、請求刪除、生成重加密密鑰、執(zhí)行刪除、驗(yàn)證刪除結(jié)果。

2.2.1初始化

可信授權(quán)方選擇兩個(gè)素?cái)?shù)階p的乘法循環(huán)群G1和G2,雙線性映射e：G1×G1→G2,g為G1的生成元。n為屬性個(gè)數(shù),隨機(jī)選擇y∈Zp,ti∈Zp,計(jì)算Y=e(g,g)y,Ti=gti，其中i∈[1,n]。輸出公共參數(shù)PP=(e,g,Y, {Ti}),保留主密鑰MSK=(y, {ti})。數(shù)據(jù)擁有者選擇隨機(jī)數(shù)r∈Zp,計(jì)算v=gr,生成簽名公私鑰對(sk,pk)。

2.2.2加 密

輸入明文R,數(shù)據(jù)擁有者使用AES算法加密數(shù)據(jù),輸出加密后的數(shù)據(jù)密文Rk,其中k為AES密鑰?；诠矃?shù)PP,關(guān)鍵屬性akey取值為真的密文屬性集A以及AES密鑰k,數(shù)據(jù)擁有者選擇隨機(jī)數(shù)s∈Zp,計(jì)算C1=k·Ys,C2=gs,C3={?ai∈A,Xi=Tis},輸出密文C=(A,C1,C2,C3),將數(shù)據(jù)密文Rk和密鑰密文C上傳至云服務(wù)器。

加密后,使用哈希函數(shù)對C3中元素進(jìn)行壓縮,將獲得的有序集{H(Xi)}作為葉子節(jié)點(diǎn)構(gòu)建多分支路徑樹,數(shù)據(jù)擁有者保存樹根值Root并使用私鑰sk對Root進(jìn)行簽名得到sk(Root)。同時(shí),為數(shù)據(jù)選擇唯一名稱Dname,記錄C3中關(guān)鍵屬性對應(yīng)的密文元素Xk、Xk對應(yīng)哈希值在葉節(jié)點(diǎn)中的索引index，以及Xk在多分支路徑樹中的完整性輔助認(rèn)證集合IAAS。為該外包數(shù)據(jù)生成標(biāo)簽L=(H(Dname‖Xk‖index))r,上傳(Dname,index,IAAS,L,sk(Root))至云服務(wù)器。

2.2.3生成密鑰

輸入主密鑰MSK和用戶訪問結(jié)構(gòu)電路Circuit,可信授權(quán)方自頂向下進(jìn)行遍歷。由于與門和或門均可表示為閾值門,因此基于Shamir秘密共享算法,以y為根秘密沿布爾電路向下構(gòu)造其子秘密,生成電路連線wirei和元素集合的映射S,輸出相應(yīng)密鑰D給用戶：

S=Share(y,Circuit)={〈wirei,elements〉}

式中：elements表示數(shù)域Zp中的元素；inputwirei表示第i個(gè)屬性值節(jié)點(diǎn)對應(yīng)的輸入線路；n為電路總輸入數(shù)。Share(y,Circuit)描述如下。

1) 標(biāo)記訪問結(jié)構(gòu)中所有邏輯門為未訪問狀態(tài),即令F={unvisited,?gate∈Circuit}。

2) 將y賦值給映射S中訪問結(jié)構(gòu)最終輸出線o對應(yīng)的元素?cái)?shù)組,即S(o)={y}。

3) 自頂向下遍歷電路。若當(dāng)前(k,n)閾值門的狀態(tài)F(gate)==unvisited,那么將其更新為visited。該閾值門連接輸出線w和n個(gè)輸入線w1,w2,…,wn,對i∈{1,2，…,|S(w)|},選擇隨機(jī)數(shù)a1,a2,…,ak-1∈Zp,構(gòu)造秘密共享多項(xiàng)式p(x)=S(w)[i]+a1·x+a2·x2+…+ak-1·xk-1。然后對j∈{1,2,…,n},S(wj).add(p(j))。

2.2.4解 密

用戶從云服務(wù)器獲取數(shù)據(jù)密文Rk和密鑰密文C,基于公共參數(shù)PP及用戶密鑰D,創(chuàng)建葉節(jié)點(diǎn)編號與元素?cái)?shù)組的映射VA及電路連線wirei與元素?cái)?shù)組的映射R。對i∈{1,2,…,n}和j∈{1,2,…,|S(wirei)|},若屬性i∈A,執(zhí)行：

遍歷所有葉節(jié)點(diǎn)后,執(zhí)行秘密重建：

R=Reconstruct(Circuit,VA,gs)

Reconstruct(Circuit,VA,gs)過程描述如下：

1) 令F={unvisited, ?gate∈Circuit}。

2) 對于i∈{1,2,…,n},R(inputwirei)=VA(i)。

3) 自底向上遍歷電路。若當(dāng)前(k,n)閾值門的狀態(tài)F(gate)==unvisited,那么將其更新為visited。該閾值門連接輸出線w和n個(gè)輸入線w1,w2,…,wn,判定|R(w1)|=|R(w2)|=…=|R(wn)|并定義length=|R(w1)|,對i∈{1,2,…,length},執(zhí)行下列操作。

(1) 從R(w1)[i],R(w2)[i],…,R(wn)[i]中隨機(jī)選擇k個(gè)值Bi1,Bi2,…,Bik,使得?j∈{1,2,…,k}都有Bij!=null成立,其中i1,i2,…,ik代表值非空的gate編號。如果本次取值為i的循環(huán)中沒有足夠非空值,則用下一個(gè)i繼續(xù)。

(2) 對所有j∈{1,2,…,k},計(jì)算：

(3)w為輸出線路,計(jì)算：

(4)R(w).add(Rw)。

若密文屬性集合滿足該訪問結(jié)構(gòu),通過重建過程能夠得到R(o)[1]=e(g,g)y·s。根據(jù)密文和重建結(jié)果,可解密AES密鑰k=C1/R(o)[1],最終通過k解密數(shù)據(jù)密文Rk。

2.2.5請求刪除

當(dāng)想要?jiǎng)h除云服務(wù)器上的數(shù)據(jù)時(shí),數(shù)據(jù)擁有者分別向可信授權(quán)方和云服務(wù)器發(fā)送刪除請求{Dname,akey},請求可信授權(quán)方修改密文屬性集中關(guān)鍵屬性取值為假。云服務(wù)器接收請求后,將文件Dname中對應(yīng)關(guān)鍵屬性akey的相關(guān)信息{Xk,IAAS,L,index,sk(Root)}返回給數(shù)據(jù)擁有者。

通過驗(yàn)證e(g,L)=e(v,H(Dname‖Xk‖index))是否成立,數(shù)據(jù)擁有者可判定云服務(wù)器發(fā)送的Xk是否為akey對應(yīng)的正確密文元素。若成立,則數(shù)據(jù)擁有者使用Xk和云服務(wù)器發(fā)送的IAAS計(jì)算LBT樹根值R1,若sk(Root)=sk(R1),則證明該IAAS是正確有效的。

2.2.6生成重加密密鑰

基于刪除請求和主密鑰MSK,可信授權(quán)方找到{ti}中對應(yīng)于關(guān)鍵屬性的值tkey,選擇隨機(jī)數(shù)tkey’,計(jì)算rk=tkey’/tkey,返回{Dname,akey,rk}給數(shù)據(jù)擁有者。接收重加密密鑰后,數(shù)據(jù)擁有者將該信息轉(zhuǎn)發(fā)給云服務(wù)器。

2.2.7執(zhí)行刪除

基于密鑰密文C和重加密密鑰,云服務(wù)器計(jì)算Xk’=Xkrk,并替換原始密文中的Xk為Xk’,輸出更新后的密文C’=(A’,C1,C2,C3’)。同時(shí),云服務(wù)器計(jì)算H(Xk’),更新原LBT獲取新的樹根值Rnew,將其作為刪除證據(jù)返回給數(shù)據(jù)擁有者。

2.2.8驗(yàn)證刪除結(jié)果

為驗(yàn)證云服務(wù)器是否誠實(shí)執(zhí)行刪除操作,數(shù)據(jù)擁有者使用rk對Xk進(jìn)行重加密得到Xnew。接收到云服務(wù)器發(fā)送的刪除證據(jù)Rnew后,數(shù)據(jù)擁有者使用Xnew和此前云服務(wù)器發(fā)送的IAAS生成樹根Rverify。若Rnew=Rverify,則證明云服務(wù)器確實(shí)刪除了該數(shù)據(jù)。

3 安全性分析

定理1若DBDH假設(shè)成立,那么不存在敵手能夠在多項(xiàng)式時(shí)間內(nèi)在基于屬性的選擇性模型下成功對方案進(jìn)行選擇明文攻擊。

本文安全模型中考慮兩種攻擊者：攻擊者A1旨在破壞密文的機(jī)密性；攻擊者A2旨在破壞刪除過程中生成的重加密密鑰的機(jī)密性。通過反證法假設(shè)攻擊者能以優(yōu)勢ε在CPA游戲中勝出,那么存在模擬者B能以不可忽略的優(yōu)勢ε/2解決DBDH問題實(shí)例。

給定模擬者DBDH問題實(shí)例如下：選擇兩個(gè)素?cái)?shù)p階乘法循環(huán)群G1和G2以及雙線性映射e,g為群G1的生成元,隨機(jī)選擇a,b,c,z∈Zp；通過擲硬幣結(jié)果v決定Zv的值,若v=0則Zv=e(g,g)abc,否則Zv=e(g,g)z。

初始化：攻擊者A(A1,A2)選擇要挑戰(zhàn)的非空屬性集合ω并發(fā)送給模擬者B。

設(shè)置：對于集合U中的屬性ai,模擬者B分別選擇一個(gè)與之對應(yīng)的隨機(jī)數(shù)ri∈Zp,然后設(shè)置ti如下：若ai∈ω,ti=ri, 否則ti=bri。B將公共參數(shù)(e,g,Y,{Ti})發(fā)送給A,其中Ti=gti,Y=e(ga,gb)=e(g,g)ab。

階段1：攻擊者進(jìn)行如下詢問。

密鑰詢問：攻擊者提交訪問結(jié)構(gòu)C給模擬者B以獲得相應(yīng)密鑰,B針對兩種攻擊者分別進(jìn)行應(yīng)答：

1) 對A1,默認(rèn)其選擇的屬性集合ω不滿足訪問結(jié)構(gòu)C,B執(zhí)行FakeShare過程將ga作為根秘密進(jìn)行共享生成私鑰,同時(shí)B提供基于秘密gb的密鑰。從A1角度看,密鑰生成流程與原方案相同,若同時(shí)通過一組授權(quán)屬性和該解密密鑰, Reconstruct過程應(yīng)返回e(g,g)abc。

采用符號Cw(A1)表示A1對訪問結(jié)構(gòu)C中電路連線w進(jìn)行評估時(shí)的取值,對A1提交的訪問結(jié)構(gòu)C,總是滿足Cw(A1)=0。FakeShare(ga,C)過程描述如下。

(1) 令F={unvisited, ?gate∈C}。

(2) 創(chuàng)建映射S,令S(o)={ga},o為電路C輸出線路。

(3) 自頂向下遍歷電路。若當(dāng)前(k,n)閾值門狀態(tài)F(gate)==unvisited,那么更新為visited。該閾值門連接輸出線w和n和輸入線w1,w2,…,wn,對i∈{1,2,…,|S(w)|},判斷執(zhí)行：

若Cw(A1)=1,選擇隨機(jī)數(shù)a1,a2,…,ak-1∈Zp,構(gòu)造多項(xiàng)式p(x)=S(w)[i]+a1·x+…+ak-1·xk-1。對j∈{1,2,…,n},執(zhí)行：

若Cw(A1)=0,選擇隨機(jī)數(shù)a1,a2,…,ak-1∈Zp,構(gòu)造多項(xiàng)式p(x)=gS(w)[i]+a1·x+…+ak-1·xk-1。對j∈{1,2,…,n},執(zhí)行：

S=FakeShare(ga,C),私鑰D={Di},Di取值如下：

2) 對A2,默認(rèn)它能對任何訪問結(jié)構(gòu)C進(jìn)行私鑰詢問,包括其選擇的屬性集合滿足的訪問結(jié)構(gòu)。通過Share過程對秘密y=ab進(jìn)行共享,得到S=Share(y,C)及有效密鑰D={Di}={gbS(i, j)/ri|j∈[1, |S(i)|]}。

重加密密鑰詢問：A2發(fā)送一個(gè)刪除請求{Dname,akey},B隨機(jī)選擇rkey’,生成重加密密鑰rk=rkey’/rkey,然后將{Dname,akey,rk}返回給A2。

刪除執(zhí)行詢問：A2將信息{Dname,akey,rk}提交給模擬者B,B替換原始密文中關(guān)鍵屬性對應(yīng)的密文組件,輸出重加密后的密文CT’。

挑戰(zhàn)：攻擊者A(A1,A2)選擇兩條長度相等的明文m0和m1并發(fā)送給模擬者B,B隨機(jī)選擇u({0, 1}和Zv({Z0,Z1}以使用Zv來加密mu。

對A1,返回密文CT=(ω,mu·Zv,gs, {Xi=Tic=gcri}i∈ω)。

對A2,B先執(zhí)行重加密操作撤銷關(guān)鍵屬性akey,為其隨機(jī)選擇ti’,令tkey=ti’,返回密文CT=(ω’,mu·Zv,gs,{Xi=Tic=gcri}i∈ω’)。

階段2：攻擊者A(A1,A2)進(jìn)行同階段1的額外詢問,B返回相應(yīng)結(jié)果。

猜測：A輸出猜測結(jié)果u’,若u’=u,B輸出v’=0；否則B輸出v’=1。已知A在CPA游戲中勝出的優(yōu)勢為ε,B的優(yōu)勢計(jì)算如下：

式中：P(v=0)=P(v=1)=1/2。當(dāng)v=0時(shí)Zv=e(g,g)abc,CT是與屬性集合ω相關(guān)的有效密文,因此有：

當(dāng)v=1時(shí)Zv=e(g,g)z,C1是來自G2的一個(gè)隨機(jī)元素,即密文CT與攻擊者選擇的屬性集合ω?zé)o關(guān),故有：

綜上可得B在DBDH游戲中的優(yōu)勢為ε/2,故方案是選擇明文安全的。

4 性能分析

為驗(yàn)證方案有效性并評估其性能,在Windows 7系統(tǒng)64位計(jì)算機(jī)上進(jìn)行相關(guān)實(shí)驗(yàn),具體配置為Intel(R) Core(TM) i7-7700 @3.60 GHz處理器,8 GB RAM。方案基于Java語言并通過調(diào)用Java Pairing Based Cryptography(jPBC)庫進(jìn)行實(shí)現(xiàn),下面從加密解密、生成用戶私鑰及刪除驗(yàn)證階段評估方案效率,實(shí)驗(yàn)結(jié)果均取10次實(shí)驗(yàn)的平均值。

選擇1 MB大小的文件,首先增加密文屬性集合中屬性個(gè)數(shù)以觀察在各個(gè)階段的時(shí)間開銷。固定用戶訪問結(jié)構(gòu)布爾電路中邏輯門個(gè)數(shù),使密文描述屬性集合元素個(gè)數(shù)從3開始遞增至15。

圖3給出了用戶加解密時(shí)間開銷。可以發(fā)現(xiàn)加密時(shí)間隨屬性個(gè)數(shù)增加大致呈線性增加趨勢,同時(shí)由于解密階段也與密文屬性集合大小相關(guān),因此解密時(shí)間也隨屬性個(gè)數(shù)增加增大。本文方案在文獻(xiàn)[13]的基礎(chǔ)上提高了訪問結(jié)構(gòu)的靈活性,當(dāng)屬性個(gè)數(shù)為15時(shí),加密和解密時(shí)間開銷分別為138 ms和88 ms,低于方案文獻(xiàn)[13],且對于用戶是可接受的。

圖3 加密及解密時(shí)間開銷

圖4給出了生成用戶私鑰和刪除驗(yàn)證的時(shí)間開銷。由于用戶私鑰所關(guān)聯(lián)的訪問結(jié)構(gòu)與屬性個(gè)數(shù)相關(guān),因此隨著屬性個(gè)數(shù)增多,生成用戶私鑰的時(shí)間開銷增大,當(dāng)屬性個(gè)數(shù)增至15時(shí),該階段時(shí)間開銷為137 ms。在刪除驗(yàn)證階段,數(shù)據(jù)擁有者需要執(zhí)行雙線性對運(yùn)算,進(jìn)行重加密和LBT的重構(gòu),并對比云服務(wù)器作為刪除證據(jù)發(fā)送的LBT樹根值和驗(yàn)證階段產(chǎn)生的樹根值。如圖4所示,刪除驗(yàn)證過程中數(shù)據(jù)擁有者的時(shí)間開銷約為44 ms,且與密文屬性集合元素個(gè)數(shù)無關(guān)。

圖4 生成用戶私鑰及刪除驗(yàn)證時(shí)間開銷

圖5顯示了固定密文屬性集合中屬性個(gè)數(shù)為15,遞增用戶訪問結(jié)構(gòu)中邏輯門個(gè)數(shù)從1至14時(shí)生成用戶私鑰的時(shí)間開銷變化。由于用戶訪問結(jié)構(gòu)中的與門和或門均可用(k,n)閾值門進(jìn)行表示,且一個(gè)閾值門與其等價(jià)的若干閾值門在生成插值多項(xiàng)式時(shí)的計(jì)算量相當(dāng),因此在生成用戶私鑰階段,與訪問結(jié)構(gòu)中邏輯門個(gè)數(shù)無關(guān),可信授權(quán)方的時(shí)間開銷約為139 ms。

圖5 訪問結(jié)構(gòu)邏輯門數(shù)-生成用戶私鑰時(shí)間開銷

為分析構(gòu)建LBT的時(shí)間開銷,固定密文屬性個(gè)數(shù)為15,給出樹的構(gòu)建時(shí)間與其出度的關(guān)系如圖6所示。出度為2時(shí),表示結(jié)構(gòu)為二叉樹,對應(yīng)于文獻(xiàn)[13]中使用的MHT。本文方案中樹的出度大于2,可以看到LBT的構(gòu)建時(shí)間比MHT的構(gòu)建時(shí)間大大減少,同時(shí)隨著出度的增加逐漸減小,能夠減輕數(shù)據(jù)擁有者和云服務(wù)器的計(jì)算負(fù)擔(dān)。

圖6 多分支路徑樹構(gòu)建時(shí)間開銷

5 結(jié) 語

本文針對云存儲中數(shù)據(jù)確定性刪除問題,提出一種新的可驗(yàn)證安全刪除方案?；贙P-ABE算法,通過撤銷訪問密文必需的關(guān)鍵屬性和構(gòu)建多分支路徑樹實(shí)現(xiàn)外包數(shù)據(jù)的安全刪除和刪除結(jié)果可驗(yàn)證,同時(shí)引入含(k,n)閾值門的單調(diào)布爾電路支持靈活的訪問控制策略。安全性分析證明在基于屬性的選擇性模型下,該方案能夠抵御選擇明文攻擊。進(jìn)一步實(shí)驗(yàn)結(jié)果表明該方案能以可接受的時(shí)間開銷實(shí)現(xiàn)加解密及刪除驗(yàn)證,證明了其有效性和實(shí)用性。未來可針對數(shù)據(jù)多副本關(guān)聯(lián)刪除、批量數(shù)據(jù)可驗(yàn)證性刪除方面展開進(jìn)一步研究。