劉 錚，吳柯樺，葉春曉

(1.重慶醫(yī)科大學(xué)附屬第一醫(yī)院信息中心，重慶 400016; 2.重慶市生態(tài)環(huán)境大數(shù)據(jù)應(yīng)用中心，重慶 401147;3.重慶大學(xué)計(jì)算機(jī)學(xué)院，重慶 400044)

0 引 言

云存儲(chǔ)為數(shù)據(jù)所有者提供了方便的數(shù)據(jù)存儲(chǔ)服務(wù)和面向普通用戶的24小時(shí)不間斷數(shù)據(jù)訪問(wèn)服務(wù)。但是由于云服務(wù)器是不完全可信的，租用云服務(wù)器的企業(yè)無(wú)法直接對(duì)它們的數(shù)據(jù)進(jìn)行直接控制，而一些非法的云服務(wù)商可能因?yàn)槔娑欠ǔ鍪塾脩舻臄?shù)據(jù)資源。云存儲(chǔ)中的數(shù)據(jù)機(jī)密性與訪問(wèn)控制問(wèn)題是一個(gè)急需解決的問(wèn)題。云上保障數(shù)據(jù)安全的常用方法是在存儲(chǔ)數(shù)據(jù)之前對(duì)數(shù)據(jù)進(jìn)行加密?；诿芪牡牟呗詫傩约用?CP-ABE)[1]是云上數(shù)據(jù)訪問(wèn)控制的主要技術(shù)之一，該技術(shù)在支持?jǐn)?shù)據(jù)加密的基礎(chǔ)上，可以進(jìn)行細(xì)粒度訪問(wèn)控制策略，又支持?jǐn)?shù)據(jù)加密，且在CP-ABE中，訪問(wèn)策略由數(shù)據(jù)所有者決定，數(shù)據(jù)所有者可以直接控制數(shù)據(jù)。CP-ABE可分為2類：一類是具有單屬性的CP-ABE(SACP-ABE)，其中所有屬性都由屬性權(quán)威機(jī)構(gòu)管理[1-3]；另一類是具有多屬性權(quán)限的CPABE(MACP-ABE)，不同的屬性權(quán)威機(jī)構(gòu)負(fù)責(zé)管理不同的屬性集[4-7]。與SACP-ABE相比，MACP-ABE不僅減輕了密鑰管理和密鑰分配的壓力，而且避免了單點(diǎn)故障的風(fēng)險(xiǎn)，因此更適用于在云存儲(chǔ)中進(jìn)行數(shù)據(jù)的訪問(wèn)控制。

為了實(shí)現(xiàn)動(dòng)態(tài)的云數(shù)據(jù)訪問(wèn)控制，需要考慮屬性撤銷和策略更新。由于用戶訪問(wèn)的時(shí)間和地點(diǎn)的不同，可能獲得不同的屬性集合，進(jìn)而導(dǎo)致不同的訪問(wèn)權(quán)限。由于不同的用戶可能具有相同的屬性，因此在撤銷屬性時(shí)需要考慮2個(gè)安全問(wèn)題[8]：一個(gè)是后向安全，即被撤銷的用戶不能解密包含被撤銷屬性的密文；另一個(gè)是前向安全，只要分配給新用戶的屬性集符合數(shù)據(jù)訪問(wèn)策略，則新用戶仍然可以解密系統(tǒng)中已經(jīng)存在的密文。由于云服務(wù)是半可信的[8-12]，因此云服務(wù)與用戶可能存在合謀攻擊。根據(jù)屬性撤銷的粒度不同，撤銷可以分為用戶級(jí)用戶撤銷和屬性級(jí)屬性吊銷，用戶撤銷是指撤銷用戶的所有權(quán)限；屬性撤銷則只撤銷用戶的部分權(quán)限。一個(gè)用戶可以撤銷所有的屬性來(lái)實(shí)現(xiàn)用戶撤銷，本文主要研究屬性撤銷問(wèn)題。

本文首先在文獻(xiàn)[13]中發(fā)現(xiàn)NEDAC-MACS的一個(gè)安全漏洞，然后，對(duì)NEDAC-MACS中的部分算法進(jìn)行改進(jìn)，提高了系統(tǒng)的安全性。本文的主要工作歸納為以下3點(diǎn)：

1)發(fā)現(xiàn)了NEDAC-MACS的安全漏洞，并給出一種攻擊方法，證明被撤銷的用戶仍然可以通過(guò)與云服務(wù)器串通來(lái)解密更新的密文。

2)提出一種基于NEDAC-MACS的安全增強(qiáng)型數(shù)據(jù)訪問(wèn)控制方案(SEDAC-MACS)，該方案對(duì)NEDAC-MACS的模型進(jìn)行改進(jìn)，解決了云服務(wù)器與用戶的合謀問(wèn)題。

3)通過(guò)形式化的密碼分析，證明本文的方案能夠抵抗未授權(quán)用戶之間以及云服務(wù)器與用戶之間的合謀攻擊，保證前向安全性、后向安全性和數(shù)據(jù)保密性。

1 相關(guān)工作

傳統(tǒng)的基于屬性的加密方案中，Sahai等人[14]首次將IBE和ABAC技術(shù)結(jié)合，提出了基于屬性的加密(ABE)。Goyal等人[15]首先將ABE分為2類：密鑰策略ABE和密文策略ABE，同時(shí)給出了第一個(gè)密鑰策略ABE方案。相應(yīng)地，Bethencourt等人[1]提出了第一種基于密文策略的方案。Ostrovsky等人[16]提出了一種支持非單調(diào)訪問(wèn)策略的ABE方案，以提高ABE的表達(dá)能力。Lewko等人[17]提出了一種完全安全的密文策略ABE方案。在文獻(xiàn)[18]中，Waters提出了一種在標(biāo)準(zhǔn)模型下基于非交互假設(shè)的CP-ABE方案，該方案采用線性秘密共享方案擴(kuò)大了CP-ABE的應(yīng)用范圍。Rouselakis等人[19]利用素?cái)?shù)階群構(gòu)造了一個(gè)基于CP-ABE的支持大規(guī)模屬性域的方案。以上解決方案都是針對(duì)單屬性授權(quán)的應(yīng)用場(chǎng)景。為了提高密鑰分配的效率，便于密鑰管理，降低單點(diǎn)攻擊的風(fēng)險(xiǎn)，Chase[6]第一次提出了多屬性權(quán)威的ABE方案；隨后，Chase等人[7]提出了一個(gè)增強(qiáng)安全的多屬性權(quán)威ABE方案，以解決CA權(quán)力過(guò)大的問(wèn)題。在文獻(xiàn)[20]中，Lewko等人在隨機(jī)預(yù)言模型中構(gòu)造了一個(gè)基于MACP-ABE的方案。然而，上述基于多屬性權(quán)威的ABE方案中均未考慮撤銷問(wèn)題。

具有撤銷機(jī)制的屬性加密方案。為了解決屬性撤銷問(wèn)題，Pirretti等人[21]為屬性設(shè)置了過(guò)期時(shí)間，當(dāng)過(guò)期時(shí)可以撤銷用戶權(quán)限。Bethencourt等人[1]設(shè)置了密鑰的過(guò)期時(shí)間來(lái)實(shí)現(xiàn)屬性撤銷。然而，由于這種撤銷不能及時(shí)進(jìn)行，無(wú)法保證前向安全和后向安全。Hur等人[22]通過(guò)引入密鑰加密密鑰樹(shù)和屬性組的概念提出了一種具有屬性撤銷功能的ABE方案，但是該方案是基于單屬性權(quán)威，且存在用戶與屬性撤銷用戶之間進(jìn)行合謀攻擊的安全漏洞。Chen等人[23]通過(guò)發(fā)送部分密文非撤銷用戶來(lái)實(shí)現(xiàn)用戶撤銷，但是這種方法引入了巨大的計(jì)算和通信開(kāi)銷。Li等人[24]提出了雙因子加密的ABE方案，該方案通過(guò)2次加密來(lái)實(shí)現(xiàn)用戶撤銷和屬性撤銷。Li等人[11]對(duì)該方案進(jìn)行了改進(jìn)，并給出了一種能夠抵抗合謀攻擊的屬性撤銷方案。Yang等人[8]使用屬性版本號(hào)來(lái)實(shí)現(xiàn)屬性撤銷，提出了一種具有屬性撤銷機(jī)制的多屬性權(quán)威的云存儲(chǔ)數(shù)據(jù)共享方案。Wu[13]等人對(duì)Yang等人[8]的方案進(jìn)行了2次攻擊，并提出了一種新的擴(kuò)展方案NEDAC-MACS。然而，該方案沒(méi)有考慮到云服務(wù)商是不可信的，存在與用戶進(jìn)行合謀的可能性。Yu等人[25]首先提出了將代理重加密與CP-ABE結(jié)合實(shí)現(xiàn)屬性撤銷，但該方案沒(méi)有考慮用戶隱私問(wèn)題。Kawai等人[26]提出了一種完全匿名的代理重加密方案實(shí)現(xiàn)數(shù)據(jù)共享，然而該方案沒(méi)有實(shí)現(xiàn)外包解密，因此效率不高。Chaudhari等人[27]提出了一種基于屬性的密文策略代理重加密方案(CP-ABPRE)，該方案能保證訪問(wèn)策略的隱私，同時(shí)實(shí)現(xiàn)屬性撤銷與高效率解密。Ziegler等人[28]提出了一種有效的可撤銷的屬性加密方案，實(shí)現(xiàn)了策略隱藏、用戶與屬性撤銷。Wang等人[29]針對(duì)云數(shù)據(jù)共享方案中密文搜索問(wèn)題，提出了多值獨(dú)立快速搜索的密文策略屬性基加密方案，提升搜索效率與保護(hù)用戶隱私。Zhang等人[30]針對(duì)大數(shù)據(jù)發(fā)布平臺(tái)中用戶動(dòng)態(tài)集中管理與用戶隱私保護(hù)的問(wèn)題，提出了一種可擴(kuò)展與可動(dòng)態(tài)更新的基于屬性隱私保護(hù)方案。Ziegler等人[28]針對(duì)具有復(fù)雜層次結(jié)構(gòu)的組織中數(shù)據(jù)安全共享與用戶管理問(wèn)題，提出了基于權(quán)限的多層次組織的云數(shù)據(jù)共享方案，有效提升用戶管理的效率。

2 準(zhǔn)備工作

2.1 主要定義

本節(jié)主要介紹雙線性對(duì)(Bilinear Maps)和線性秘密共享方案(Linear Secret Sharing Schemes, LSSS)的定義。

定義1 雙線性對(duì)。選取3個(gè)階數(shù)均為素?cái)?shù)p乘法循環(huán)群G1、G2和G3。令映射e:G1×G2→G3為一個(gè)雙線性對(duì)，當(dāng)映射滿足下列的3個(gè)性質(zhì)：

1)雙線性：?(u,v)∈G1×G2,a,b∈Zp，有e(ua,vb)=e(u,v)ab。

2)非退化性：?(u,v)∈G1×G2，使得e(u,v)≠1。

3)可計(jì)算性：存在有效的算法來(lái)計(jì)算出e(u,v), ?(u,v)∈G1×G2。本文中映射e是對(duì)稱的，e(ga,hb)=e(g,h)ab=e(gb,ha), ?(g,h)∈G1×G2。

在本文中G1=G2，即雙線性映射是對(duì)稱的。

ga·s·bk/bj,…,gaq·s·bk/bj)

其中，?1≤j,k≤q,k≠j，有難以區(qū)分的隨機(jī)元素R∈G與e(g,g)aq+1∈GT。算法β解決q-parallel BDHE問(wèn)題的優(yōu)勢(shì)為ε，如果：

定義3 當(dāng)沒(méi)有多項(xiàng)式時(shí)間算法的敵手以不可忽略的優(yōu)勢(shì)解決q-parallel BDHE問(wèn)題時(shí)，q-parallel BDHE假設(shè)成立。該假設(shè)在文獻(xiàn)[18]中被證明。

2.2 NEDAC-MACS模型簡(jiǎn)介

NEDAC-MACS包含5個(gè)階段：系統(tǒng)初始化、密鑰生成、加密、解密和屬性撤銷。

2.2.1 系統(tǒng)初始化

CA Setup。CA運(yùn)行CA Setup算法進(jìn)行系統(tǒng)初始化，CA首先選擇2個(gè)素?cái)?shù)階為p的乘法循環(huán)群G和GT，然后選擇一個(gè)雙線性映射G×G→GT。選擇一個(gè)Hash函數(shù)使H:{0,1}*→G，最后隨機(jī)選擇一個(gè)a∈Zp作為系統(tǒng)主密鑰MSK。計(jì)算出系統(tǒng)參數(shù)SP=(g,ga,G,GT,H)。

CA為每個(gè)合法的AA(屬性權(quán)威機(jī)構(gòu))分配一個(gè)全局身份aid，為每個(gè)合法的用戶分配全局唯一的身份標(biāo)識(shí)uid。然后CA隨機(jī)選擇2個(gè)數(shù)uuid,zuid∈Zp為每個(gè)用戶計(jì)算出對(duì)應(yīng)的全局公私鑰對(duì)GPKuid=guuid和GSKuid=zuid，為用戶生成數(shù)字證書(shū)Cert(uid)=Enc(uid,uuid,g1/zuid)。

AA Setup。屬性權(quán)威機(jī)構(gòu)AAy隨機(jī)選擇3個(gè)數(shù)字αy,βy,γy∈Zp作為自己的私鑰SΚy=(αy,βy,γy)。對(duì)于每個(gè)屬性xy∈SAy, AAy將會(huì)選擇一個(gè)版本的VKxy=uxy，生成屬性公鑰PKxy=(guxyH(xy))γy。AAy的屬性公鑰計(jì)算為：

2.2.2 密鑰生成

每個(gè)用戶首先要提交自己的數(shù)字證書(shū)Certuid到AAy，然后AAy使用驗(yàn)證密鑰ukCA驗(yàn)證用戶合法性之后，AAy為用戶分配一組屬性Sj,y，否則AAy拒絕為用戶提供服務(wù)。之后AAy隨機(jī)選擇2個(gè)數(shù)tj,y,hj,y∈Zp，計(jì)算生成用戶密鑰SKj,y：

其中，j∈SU,y∈SA。

2.2.3 數(shù)據(jù)加密

2.2.4 數(shù)據(jù)解密

令I(lǐng)={IAy}y∈IA表示密文中包含的屬性的索引集合，其中IAy?{1,2,…,l}表示屬性權(quán)威AAy管理的屬性的索引集合，定義為IAy={i:ρ(i)∈SAy}。令NA=|IA|表示密文中涉及的屬性權(quán)威的數(shù)量。解密算法選擇一個(gè)常數(shù)集{ωi∈Zp}i∈I，當(dāng)集合{λi}是指數(shù)s的合法共享時(shí)，恢復(fù)加密指數(shù)s=∑b∈Iωbλb，算法解密指令TK的計(jì)算方法為：

接下來(lái)算法計(jì)算密鑰k,k=C/(TKzj)，最后用戶Uj使用內(nèi)容密鑰k解密密文。

2.2.5 屬性撤銷

3 NEDAC-MACS漏洞分析

=gαλb((guρ(b)H(ρ(b)))γy)-rb

=grb/βy

=g-rbγy/βy

根據(jù)以上分析，被撤銷的用戶仍然可以通過(guò)與云服務(wù)器合謀來(lái)解密更新的密文數(shù)據(jù)。這個(gè)結(jié)論與文獻(xiàn)[13]中只有新版本的密鑰才能解密更新密文的說(shuō)法相矛盾。因此在NEDAC-MACS中的屬性撤銷機(jī)制不能抵抗云服務(wù)器與撤銷用戶的合謀攻擊，這造成了NEDAC-MACS方案的安全漏洞，進(jìn)而使方案無(wú)法滿足后向安全的要求。

4 系統(tǒng)模型和安全模型

在本章中，將基于文獻(xiàn)[8,13]給出本文方案的系統(tǒng)模型、安全假設(shè)和安全模型。

4.1 系統(tǒng)模型

系統(tǒng)模型中有6個(gè)角色，如圖1所示。

圖1 系統(tǒng)模型

1)全局認(rèn)證中心(Certificate Authority, CA)。CA是一個(gè)全局可信的認(rèn)證機(jī)構(gòu)，主要職責(zé)為負(fù)責(zé)用戶和屬性權(quán)威的注冊(cè)以及系統(tǒng)初始化。

2)屬性權(quán)威機(jī)構(gòu)(Attribute Authority, AA)。每個(gè)屬性權(quán)威機(jī)構(gòu)只負(fù)責(zé)管理所管轄區(qū)域的屬性集，生成與分發(fā)相對(duì)應(yīng)的屬性公鑰。同時(shí)接受用戶的私鑰請(qǐng)求，為合法用戶生成與分發(fā)屬性集對(duì)應(yīng)的私鑰。

3)云存儲(chǔ)服務(wù)器(Cloud Storage Server, CS)。CS是半可信的服務(wù)器，主要負(fù)責(zé)為用戶提供數(shù)據(jù)存儲(chǔ)與數(shù)據(jù)訪問(wèn)服務(wù)。

4)代理服務(wù)器(Proxy Server, PS)。PS是一個(gè)全局可信服務(wù)器，負(fù)責(zé)為用戶提供密文更新服務(wù)，以及為合法用戶生成解密口令。

5)數(shù)據(jù)所有者(Data Owner, DO)。DO負(fù)責(zé)制定數(shù)據(jù)訪問(wèn)策略和加密數(shù)據(jù)，并將加密的密文數(shù)據(jù)上傳到云端。

6)用戶(User)。每個(gè)用戶都有一個(gè)全局的身份標(biāo)識(shí)，合法的用戶可以向PS請(qǐng)求密文，只有當(dāng)用戶的屬性集滿足數(shù)據(jù)訪問(wèn)策略時(shí)才能解密密文數(shù)據(jù)。

4.2 各實(shí)體安全假設(shè)

在SEDAC-MACS中，本文有如下假設(shè)：

1)CA是可信的，但不允許CA解密任何密文。

2)每個(gè)AA也是可信的，但它可能會(huì)被攻擊導(dǎo)致服務(wù)不可用。

3)云服務(wù)器是半可信的，它不會(huì)拒絕向任何授權(quán)用戶提供服務(wù)，并且會(huì)正確執(zhí)行用戶分配的任務(wù)，但云服務(wù)器可能對(duì)云上存儲(chǔ)的數(shù)據(jù)內(nèi)容或接收到的數(shù)據(jù)內(nèi)容好奇。

4)用戶是不可信的，用戶可能通過(guò)合謀來(lái)獲取未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)。

5)代理服務(wù)器是可信的，不會(huì)與被撤銷的用戶以及云服務(wù)器合謀。

4.3 安全模型

與文獻(xiàn)[8]、文獻(xiàn)[6]、文獻(xiàn)[20]、文獻(xiàn)[9]和文獻(xiàn)[13]中的安全模型類似，屬性權(quán)威機(jī)構(gòu)只能被靜態(tài)地破壞。敵手被允許查詢密鑰，但查詢得到的密鑰不能解密將要挑戰(zhàn)的密文。密文不能用來(lái)解密這些密鑰。本方案的安全模型基于文獻(xiàn)[13]。

5 SEDAC-MACS訪問(wèn)控制方案

在本章中，介紹SEDAC-MACS方案。SEDAC-MACS包括5個(gè)階段：系統(tǒng)初始化、密鑰生成、加密、解密和屬性撤銷。在SEDAC-MACS的系統(tǒng)初始化、密鑰生成、加密過(guò)程中，所有相應(yīng)的算法與NEDAC-MACS相同。

在SEDAC-MACS的數(shù)據(jù)解密階段，該方案與NEDAC-MACS略有不同。當(dāng)用戶向云服務(wù)發(fā)送數(shù)據(jù)請(qǐng)求時(shí)，云服務(wù)首先驗(yàn)證用戶的身份信息。如果用戶證書(shū)是合法的，并且用戶的屬性集合滿足密文中的訪問(wèn)控制策略時(shí)，云服務(wù)器將用戶所需的密文發(fā)送給代理服務(wù)器。代理服務(wù)器在收到密文后根據(jù)收到的密文密鑰來(lái)更新密文，根據(jù)解密算法獲得解密口令。如果用戶是非法的，云服務(wù)器將拒絕用戶的請(qǐng)求。

SEDAC-MACS的主要改動(dòng)在屬性撤銷階段，步驟如下：

1)更新密鑰生成。

2)密鑰更新。

3)密文更新。

在密文更新后以及密文不包含撤銷屬性的情況下，PS使用用戶上傳的私鑰SK執(zhí)行解密算法計(jì)算出解密口令，并將TK發(fā)送給用戶。

6 安全分析

如表1所示，本文對(duì)文獻(xiàn)[5]、文獻(xiàn)[13]和SEDAC-MACS在撤銷安全、合謀攻擊和抗屬性權(quán)威被破壞的可證明安全等方面進(jìn)行了比較。

表1 CP-ABE方案安全性對(duì)比

1)后向安全和前向安全。

在屬性撤銷的過(guò)程中，屬性權(quán)威機(jī)構(gòu)會(huì)對(duì)每個(gè)非撤銷用戶根據(jù)他們的身份標(biāo)識(shí)來(lái)生成對(duì)應(yīng)的密鑰更新密鑰以便更新他們自己的私鑰，而被撤銷的用戶無(wú)法獲得更新密鑰也就不能將他們的私鑰更新到最近的版本。同時(shí)，由于密文更新密鑰與屬性更新密鑰不能被撤銷的用戶或云服務(wù)獲得或計(jì)算出，因此本文的方案滿足后向安全。另外，屬性權(quán)威機(jī)構(gòu)將密文更新密鑰安全地轉(zhuǎn)發(fā)給代理服務(wù)器，然后代理服務(wù)器將密文更新到最近的版本，擁有新版本屬性的用戶就能夠解密之前的密文從而獲得明文數(shù)據(jù)，因此本文的方案也滿足前向安全。

2)抗合謀攻擊。

每個(gè)用戶都有一個(gè)全局身份標(biāo)識(shí)，并且用戶與屬性相關(guān)的密鑰組件是與屬性權(quán)威機(jī)構(gòu)選擇的隨機(jī)數(shù)相關(guān)的，因此每個(gè)用戶的密鑰組件都不相同，用戶無(wú)法將他們的密鑰通過(guò)結(jié)合的方式實(shí)現(xiàn)非授權(quán)訪問(wèn)。另外，云存儲(chǔ)服務(wù)只負(fù)責(zé)提供存儲(chǔ)服務(wù)，可信的代理服務(wù)器提供可靠計(jì)算服務(wù)，因此撤銷的用戶或者敵手無(wú)法通過(guò)與半可信的云服務(wù)合謀進(jìn)行非授權(quán)的訪問(wèn)。

3)可證明安全。

本文在4.3節(jié)中所描述的安全模型可被以下理論證明SEDAC-MACS是安全的。

定理1 當(dāng)q-parallel BDHE假設(shè)成立時(shí)，多項(xiàng)式時(shí)間內(nèi)敵手有一個(gè)大小為Mi(1

證明：由于SEDAC-MACS是在NEDAC-MACS方案的基礎(chǔ)上改進(jìn)的，并未給NEDAC-MACS帶來(lái)新的安全漏洞，而NEDAC-MACS已被證明是安全的，因此SEDAC-MACS能夠抵抗屬性權(quán)威機(jī)構(gòu)的靜態(tài)合謀攻擊。

7 性能分析

在本章，將從存儲(chǔ)代價(jià)與通信代價(jià)等方面通過(guò)與文獻(xiàn)[5]方案和文獻(xiàn)[13]方案比較來(lái)分析本文方案的性能。令|p|為群G、GT、Zp的元素的個(gè)數(shù)。假設(shè)系統(tǒng)有NA個(gè)屬性權(quán)威機(jī)構(gòu)，每個(gè)權(quán)威機(jī)構(gòu)AAy管理na,k個(gè)屬性。令用戶uid從屬性權(quán)威機(jī)構(gòu)AAy獲得的屬性數(shù)量記為nuid,y=|Suid,y|，令tc為密文中訪問(wèn)結(jié)構(gòu)相關(guān)聯(lián)的屬性總數(shù)，nc,x為云存儲(chǔ)中包含撤銷屬性x的密文總數(shù)，nr為要被撤銷的屬性總數(shù)，nc為云存儲(chǔ)中密文總數(shù)。

1)存儲(chǔ)開(kāi)銷。

存儲(chǔ)代價(jià)是云存儲(chǔ)系統(tǒng)中數(shù)據(jù)訪問(wèn)控制方案最重要的問(wèn)題之一。如表2所示，本文分析了系統(tǒng)中每個(gè)實(shí)體的存儲(chǔ)代價(jià)。當(dāng)系統(tǒng)中密文數(shù)或者與撤銷屬性相關(guān)聯(lián)的密文數(shù)很大時(shí)，本文方案的存儲(chǔ)代價(jià)幾乎與文獻(xiàn)[13]方案相同，優(yōu)于文獻(xiàn)[5]方案。

表2 CP-ABE存儲(chǔ)開(kāi)銷比較

對(duì)于屬性權(quán)威機(jī)構(gòu)來(lái)說(shuō)，每個(gè)屬性權(quán)威機(jī)構(gòu)都應(yīng)該存儲(chǔ)它所管理的屬性的相關(guān)信息。本文的方案和文獻(xiàn)[13]方案的存儲(chǔ)代價(jià)均比文獻(xiàn)[5]方案的代價(jià)小，因?yàn)?個(gè)方案均要求屬性權(quán)威機(jī)構(gòu)存儲(chǔ)每個(gè)用戶的公鑰與私鑰以及屬性公鑰，然而文獻(xiàn)[13]方案需要額外存儲(chǔ)所管理屬性的屬性密鑰。

對(duì)于數(shù)據(jù)擁有者來(lái)說(shuō)，存儲(chǔ)代價(jià)主要來(lái)源于公共參數(shù)。本文的方案與文獻(xiàn)[13]方案都比文獻(xiàn)[5]方案的存儲(chǔ)代價(jià)小，因?yàn)槲墨I(xiàn)[5]方案需要數(shù)據(jù)所有者除了存儲(chǔ)公共參數(shù)外還要存儲(chǔ)密文。

對(duì)于數(shù)據(jù)共享用戶來(lái)說(shuō)，存儲(chǔ)代價(jià)主要來(lái)源于屬性權(quán)威機(jī)構(gòu)發(fā)布的與用戶自己相關(guān)的私鑰。本文的方案與文獻(xiàn)[13]方案都比文獻(xiàn)[5]方案的存儲(chǔ)代價(jià)小，因?yàn)槲墨I(xiàn)[5]方案要求用戶既要存儲(chǔ)私鑰也要存儲(chǔ)與撤銷屬性相關(guān)聯(lián)的密文組件。

對(duì)于云服務(wù)來(lái)說(shuō)，3個(gè)方案中云存儲(chǔ)服務(wù)器有著相同的存儲(chǔ)代價(jià)，存儲(chǔ)代價(jià)都來(lái)源于密文的數(shù)目，在這里本文沒(méi)有考慮要被加密的明文的長(zhǎng)度。

對(duì)于代理服務(wù)器來(lái)說(shuō)，本文的方案需要代理服務(wù)器存儲(chǔ)密文更新密鑰，而其他方案不需要。

2)通信開(kāi)銷。

本文只比較在屬性撤銷階段的通信代價(jià)，因?yàn)?個(gè)方案在加密與解密階段的通信代價(jià)幾乎相同。如表3所示，文獻(xiàn)[5]方案中屬性撤銷階段的通信代價(jià)是與包含撤銷屬性的密文數(shù)目線性相關(guān)的。而本文的方案與文獻(xiàn)[13]方案在屬性撤銷階段都有著固定的通信代價(jià)。

表3 CP-ABE通信開(kāi)銷比較

8 結(jié)束語(yǔ)

本文指出了NEDAC-MACS的安全漏洞，提出了一種安全增強(qiáng)的多權(quán)限云存儲(chǔ)數(shù)據(jù)訪問(wèn)控制方案。與NEDAC-MACS相比，該方案在滿足NEDAC-MACS的安全要求的同時(shí)，還能抵抗云服務(wù)器與被撤銷用戶之間的合謀攻擊，更適合于云數(shù)據(jù)訪問(wèn)控制。最后證明了SEDAC-MACS能夠保證數(shù)據(jù)安全和撤銷安全。