曾輝祥，習(xí) 寧，謝晴晴，呂 靜，崔志浩，馬建峰

(1.西安電子科技大學(xué) 網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710126；(2.江蘇大學(xué) 計(jì)算機(jī)科學(xué)與通信工程學(xué)院，江蘇 鎮(zhèn)江 212013)

近年來(lái)，基于云的智能家居平臺(tái)發(fā)展迅速，集網(wǎng)絡(luò)通信、網(wǎng)絡(luò)系統(tǒng)以及自動(dòng)化控制于一體，通過(guò)互聯(lián)網(wǎng)技術(shù)將智能家庭設(shè)備聯(lián)系成家庭網(wǎng)絡(luò)，實(shí)現(xiàn)遠(yuǎn)程操控，為人們提供了舒適高效和便利的生活居住應(yīng)用[1-2]。在智能家居云[3-4]中，多個(gè)設(shè)備之間的服務(wù)協(xié)同極大地豐富了應(yīng)用的種類(lèi)，成為主流服務(wù)模式之一。例如，用戶(hù)在智能移動(dòng)終端上查看由智能家居醫(yī)療設(shè)備定期采集和上傳的個(gè)人體表特征數(shù)據(jù)。然而，在跨設(shè)備信息交互與共享的同時(shí)，用戶(hù)的數(shù)據(jù)面臨著許多安全威脅，例如體表特征數(shù)據(jù)，由于隱私性高，很容易遭到攻擊者的竊取。

為了保證云端多用戶(hù)、多終端數(shù)據(jù)安全共享，基于屬性加密訪(fǎng)問(wèn)控制(Attribute Based Encryption，ABE)方案[5]根據(jù)訪(fǎng)問(wèn)策略加密數(shù)據(jù)，適用于一對(duì)多加密，實(shí)現(xiàn)數(shù)據(jù)的細(xì)粒度訪(fǎng)問(wèn)控制。BETHENCOURT等[6]在屬性加密訪(fǎng)問(wèn)控制的基礎(chǔ)上，首次提出了密文策略屬性基加密(CP-ABE)。CP-ABE允許加密者以任意單調(diào)訪(fǎng)問(wèn)規(guī)則指定訪(fǎng)問(wèn)結(jié)構(gòu)，并且密文與訪(fǎng)問(wèn)策略相關(guān)，而密鑰與用戶(hù)屬性相關(guān)。傳統(tǒng)的CP-ABE方案依賴(lài)可信第三方，存在單點(diǎn)故障問(wèn)題。為了減輕對(duì)可信第三方的依賴(lài)，LEWKO等[7]提出了去中心化的分布式密文策略屬性基加密訪(fǎng)問(wèn)控制方案(Decentralized CP-ABE，DCP-ABE)。該方案中不需要中心權(quán)威機(jī)構(gòu)，而是由多屬性中心獨(dú)立工作，分別完成一部分任務(wù)。HAN等[8]針對(duì)分布式CP-ABE中的隱私性做了改善，提出了PPDCP-ABE(Privacy-Preserving DCP-ABE)，但分布式CP-ABE缺乏對(duì)屬性篡改攻擊的保護(hù)。為了克服這一缺陷，JEMEL等[9]將區(qū)塊鏈用于CP-ABE中的用戶(hù)合法性檢查。GAO等[10]提出了一種基于區(qū)塊鏈的去中心化隱藏策略可信CP-ABE。由于區(qū)塊鏈的不可篡改性，該方案有效地解決了分布式CP-ABE的缺陷。然而，在該方案中節(jié)點(diǎn)的接入與退出成本開(kāi)銷(xiāo)大和時(shí)延長(zhǎng)，無(wú)法抵御用戶(hù)假冒屬性攻擊，不利于節(jié)點(diǎn)狀態(tài)頻繁變動(dòng)的智能家居環(huán)境。邱云翔等[11]提出了一種基于 CP-ABE 算法的區(qū)塊鏈數(shù)據(jù)訪(fǎng)問(wèn)控制方案。但由于該方案基于原始CP-ABE算法，節(jié)點(diǎn)計(jì)算負(fù)擔(dān)大，數(shù)據(jù)共享時(shí)延長(zhǎng)。FAN等[12]提出了一種基于區(qū)塊鏈的車(chē)載社交網(wǎng)絡(luò)安全可驗(yàn)證數(shù)據(jù)共享方案。該方案依賴(lài)傳統(tǒng)的可信第三方AA服務(wù)器管理用戶(hù)屬性，由云服務(wù)提供商(Cloud Service Provider，CSP)保存屬性私鑰，因此存在第三方單點(diǎn)故障與攻擊者惡意假冒合法云服務(wù)提供商導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)。牛淑芬等[13]利用區(qū)塊鏈技術(shù)保證了CP-ABE可搜索加密方案中數(shù)據(jù)的完整性與不可篡改性。尚松超等[14]提出了基于區(qū)塊鏈的權(quán)重屬性基加密數(shù)據(jù)共享模型，靈活地解決企業(yè)不同級(jí)別部門(mén)間數(shù)據(jù)共享的問(wèn)題，但權(quán)重計(jì)算帶來(lái)了額外的計(jì)算開(kāi)銷(xiāo)。

針對(duì)傳統(tǒng)CP-ABE依賴(lài)可信第三方、分布式CP-ABE難以抵御用戶(hù)屬性篡改以及基于區(qū)塊鏈的CP-ABE不利于節(jié)點(diǎn)移動(dòng)、無(wú)法抵御用戶(hù)假冒屬性攻擊的問(wèn)題，筆者提出了基于區(qū)塊鏈的去中心化密文數(shù)據(jù)安全共享方案，在實(shí)現(xiàn)去中心化功能的同時(shí)，減輕了智能設(shè)備的計(jì)算負(fù)擔(dān)，保證了數(shù)據(jù)共享的安全與高效。筆者的具體貢獻(xiàn)如下：

(1) 提出了基于區(qū)塊鏈的去中心化密文數(shù)據(jù)安全共享方案。通過(guò)結(jié)合聯(lián)盟區(qū)塊鏈、CP-ABE以及可驗(yàn)證外包解密等技術(shù)，實(shí)現(xiàn)了智能家居下數(shù)據(jù)分布式存儲(chǔ)和安全共享。

(2) 設(shè)計(jì)了基于智能合約的細(xì)粒度訪(fǎng)問(wèn)控制機(jī)制，以智能合約取代可信第三方，實(shí)現(xiàn)靈活、可擴(kuò)展的數(shù)據(jù)安全共享流程，解決傳統(tǒng)可信網(wǎng)絡(luò)中訪(fǎng)問(wèn)策略決策中心化的問(wèn)題。

(3) 通過(guò)結(jié)合可驗(yàn)證外包解密技術(shù)，提出了輕量級(jí)CP-ABE算法，減輕智能設(shè)備的計(jì)算負(fù)擔(dān)，保證智能家居環(huán)境下資源受限節(jié)點(diǎn)的可靠性。

(4) 對(duì)基于區(qū)塊鏈的去中心化密文數(shù)據(jù)安全共享方法進(jìn)行了測(cè)試，針對(duì)不同屬性/策略數(shù)量，分別測(cè)試系統(tǒng)與文獻(xiàn)[7，10-12]中的方案性能。實(shí)驗(yàn)結(jié)果表明，在基于區(qū)塊鏈實(shí)現(xiàn)去中心化的情況下，筆者提出的方案的時(shí)間開(kāi)銷(xiāo)在用戶(hù)屬性私鑰生成和加密部分與文獻(xiàn)[10-12]中的方案相近，在解密部分比文獻(xiàn)[10-11]中的方案顯著地降低了。此外，對(duì)比基于DCP-ABE的方案[7]，筆者提出的方案在時(shí)延方面大幅度減少了。

1 去中心化密文數(shù)據(jù)安全共享框架

1.1 預(yù)備知識(shí)

1) 雙線(xiàn)性映射

雙線(xiàn)性映射可將兩個(gè)循環(huán)群的元素映射至第3個(gè)循環(huán)群。

定義1雙線(xiàn)性映射e可表示為e：G0*G0=G1，其中G0和G1都是階為素?cái)?shù)p的乘法循環(huán)群。假設(shè)g是G0的一個(gè)生成元，Zp是一個(gè)有限域。雙線(xiàn)性映射e具有以下特點(diǎn)。

(1) 雙線(xiàn)性：?u，v∈G0，?a，b∈Zp，

e(ua，vb)=e(u，v)ab。

(1)

(2) 非退化性：若g為G0中的元素，則e(g，g)為G1中的元素。

(3) 可計(jì)算性：?u，v∈G0，計(jì)算e(u，v)是有效的。

筆者選擇G0為由一組橢圓曲線(xiàn)上的點(diǎn)構(gòu)成的一個(gè)群，G1為一個(gè)乘法有限域上的子群，參數(shù)的具體生成方法詳見(jiàn)文獻(xiàn)[15]。

2) 訪(fǎng)問(wèn)結(jié)構(gòu)

訪(fǎng)問(wèn)結(jié)構(gòu)是訪(fǎng)問(wèn)策略的具體表示。

定義2訪(fǎng)問(wèn)架構(gòu)?？杀硎緸榧夕?{a1，a2，…，an}，Γ代表本框架中所有屬性的集合，其中a1是一個(gè)屬性。用戶(hù)的屬性集以S表示，S?Γ{?}。訪(fǎng)問(wèn)結(jié)構(gòu)A?2|a1，a2，…，an|{?}。A是單調(diào)的。如果對(duì)?B，C有B∈A，且B∈C，則有C∈A。

3) 訪(fǎng)問(wèn)樹(shù)

訪(fǎng)問(wèn)結(jié)構(gòu)A以樹(shù)T表示，x是T的節(jié)點(diǎn)。Tx表示T中以x為根結(jié)點(diǎn)的子樹(shù)。T中的每一個(gè)非葉子節(jié)點(diǎn)Tx代表門(mén)限策略，由子節(jié)點(diǎn)數(shù)numx和門(mén)限閾值kx描述，其中kx∈[1，numx]。當(dāng)kx=1時(shí)，kx是一個(gè)或門(mén)。當(dāng)kx=numx時(shí)，kx是一個(gè)與門(mén)。Tx的每個(gè)葉子節(jié)點(diǎn)由用戶(hù)的屬性集S和門(mén)限閾值kx表示。Tx(S)=1，表示用戶(hù)屬性集S滿(mǎn)足Tx，x為非葉節(jié)點(diǎn)時(shí)計(jì)算所有子節(jié)點(diǎn)x。若Tx′(S)>kx，則Tx(S)=1。當(dāng)x為葉子節(jié)點(diǎn)時(shí)，若attr(x)∈S，則Tx(S)=1。

為了處理訪(fǎng)問(wèn)樹(shù)，定義函數(shù)attr(x)獲取x對(duì)應(yīng)的屬性；parent(x)獲取x在T中的父節(jié)點(diǎn)；num(x)表示x的子節(jié)點(diǎn)數(shù)；index(x)獲取x每個(gè)子節(jié)點(diǎn)的索引。

1.2 去中心化密文數(shù)據(jù)安全共享框架

針對(duì)數(shù)據(jù)共享去中心化、抵御用戶(hù)屬性假冒與篡改攻擊等需求，結(jié)合智能家居環(huán)境下智能設(shè)備低性能、狀態(tài)變化頻繁等要求，為了實(shí)現(xiàn)無(wú)可信第三方、節(jié)點(diǎn)低計(jì)算量的安全共享效果，筆者在聯(lián)盟區(qū)塊鏈、CP-ABE和外包解密等方法的基礎(chǔ)上構(gòu)建了面向智能家居的去中心化密文數(shù)據(jù)共享框架。具體如圖1所示。

圖1所示框架包含了3個(gè)實(shí)體，即數(shù)據(jù)擁有者(Data Owner，DO)、數(shù)據(jù)訪(fǎng)問(wèn)者(Data User，DU)、屬性權(quán)威機(jī)構(gòu)(Attribute Authorities，AAs)，以及身份屬性區(qū)塊鏈(Identity-Attribute Chain，IAC)與文件區(qū)塊信息鏈(File Information Chain，F(xiàn)IC)。

1) 屬性權(quán)威機(jī)構(gòu)

AAs是構(gòu)成區(qū)塊鏈網(wǎng)絡(luò)的節(jié)點(diǎn)群，也是聯(lián)盟鏈的參與者與維護(hù)者，由一組高性能服務(wù)器組成。AAs={Serveri|4≤i≤n}，其中n為服務(wù)器數(shù)量。AAs負(fù)責(zé)管理用戶(hù)屬性以及在用戶(hù)與部署在其本地的智能合約之間轉(zhuǎn)發(fā)數(shù)據(jù)。

AAs根據(jù)用戶(hù)身份分配相應(yīng)的屬性并通過(guò)智能合約計(jì)算和分發(fā)屬性私鑰，將身份與屬性以交易的形式記錄在IAC上。此外，AAs通過(guò)智能合約整合用戶(hù)上傳文件信息和文件密鑰密文形成交易上傳至FIC上。

AAs同時(shí)承擔(dān)著協(xié)助DU完成部分解密計(jì)算的角色。

2) 數(shù)據(jù)擁有者(DO)

DO是數(shù)據(jù)提供者，擁有數(shù)據(jù)的控制權(quán)。DO制定文件的訪(fǎng)問(wèn)策略T。當(dāng)屬性集滿(mǎn)足Tx(S)=1時(shí)，DU可以訪(fǎng)問(wèn)數(shù)據(jù)。DO為智能家居中的一組共享數(shù)據(jù)的智能設(shè)備。DO計(jì)算和存儲(chǔ)能力受限。DO可以將共享的文件加密后上傳至云存儲(chǔ)系統(tǒng)?？紤]智能設(shè)備的可移動(dòng)性，DO可以動(dòng)態(tài)加入或退出訪(fǎng)問(wèn)控制系統(tǒng)。

圖1 去中心化密文數(shù)據(jù)安全共享框架

3) 數(shù)據(jù)訪(fǎng)問(wèn)者(DU)

DU是數(shù)據(jù)消費(fèi)者，通過(guò)發(fā)起數(shù)據(jù)訪(fǎng)問(wèn)請(qǐng)求獲取相應(yīng)的文件。DU擁有屬性集S。實(shí)際中，一個(gè)智能設(shè)備可以同時(shí)為DO與DU。例如，它可能會(huì)同時(shí)分享和訪(fǎng)問(wèn)數(shù)據(jù)。DO與DU均為筆者提到的用戶(hù)。

4) 身份屬性鏈(IAC)

圖2 IAC交易結(jié)構(gòu)

IAC記錄用戶(hù)的身份注冊(cè)信息。IAC上的每一個(gè)交易對(duì)應(yīng)于一組用戶(hù)的身份屬性對(duì)。IAC交易結(jié)構(gòu)如圖2所示。聯(lián)盟鏈采用節(jié)點(diǎn)準(zhǔn)入管理機(jī)制和只有智能合約才能訪(fǎng)問(wèn)到身份屬性，有效地保護(hù)了用戶(hù)隱私。在本框架中，每個(gè)新成員都需要向AAs注冊(cè)，從而得到自己的屬性私鑰。注冊(cè)過(guò)程由AAs調(diào)用智能合約自主完成。智能合約構(gòu)造一個(gè)交易記錄用戶(hù)的身份、屬性集等信息，并在加密后存儲(chǔ)于IAC上。

除了通用的交易ID、簽名密鑰等一些信息外，IAC區(qū)塊上交易信息還包含以下內(nèi)容：

(1) 設(shè)備標(biāo)識(shí)符(Device Identity，DID)：DID={0，1}16，每個(gè)用戶(hù)獨(dú)有的身份標(biāo)識(shí)符。

(2) 屬性集(ATTRibute Set，ATTRS)：用戶(hù)身份對(duì)應(yīng)的屬性集，ATTRS?S。當(dāng)ATTRS發(fā)生改變時(shí)，用戶(hù)的訪(fǎng)問(wèn)權(quán)限也隨之改變。

5) 文件信息鏈(FIC)

FIC維護(hù)用戶(hù)上傳文件的元信息FileInfo={FileAddr，Keywords，hash，CTk}。IAC與FIC的區(qū)塊結(jié)構(gòu)如圖3所示。

圖3 IAC與FIC區(qū)塊結(jié)構(gòu)

圖4 FIC交易結(jié)構(gòu)

FIC交易結(jié)構(gòu)如圖4所示。

除了通用的交易ID、簽名密鑰等一些信息外，F(xiàn)IC上交易信息還包含以下內(nèi)容：

(1) FileAddr：文件在云存儲(chǔ)系統(tǒng)上的地址。用戶(hù)根據(jù)該地址請(qǐng)求對(duì)應(yīng)的加密文件；

(2) Keywords：文件關(guān)鍵詞集合，用于快速檢索與匹配用戶(hù)請(qǐng)求文件，即

Keywords={Keyword1，Keyword2，…}；

(3) Hash：加密文件的散列值，用于確保文件的完整性，避免由于網(wǎng)絡(luò)原因造成的數(shù)據(jù)缺失，Hash=SHA256(digest(file))；

(4) CTK：用戶(hù)加密文件所使用的對(duì)稱(chēng)加密密鑰K的密文。

6) 智能合約

為了實(shí)現(xiàn)去中心化，筆者設(shè)計(jì)了智能合約SCIA和SCFI。SCIA負(fù)責(zé)初始化系統(tǒng)，生成系統(tǒng)主密鑰對(duì)(MSK，PK)，為用戶(hù)生成屬性私鑰，將身份與屬性以交易的形式記錄在IAC上；SCFI負(fù)責(zé)記錄和維護(hù)用戶(hù)上傳文件信息和文件密鑰密文，并整合二者形成交易上傳至FIC上，為用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)提供查詢(xún)功能。SCIA和SCFI分別管理區(qū)塊鏈IAC與FIC。

1.3 威脅模型與安全目標(biāo)

在筆者提出的框架中，屬性管理服務(wù)器集群AAs是半誠(chéng)實(shí)的。AAs遵從所提出方案并且對(duì)請(qǐng)求結(jié)果正常響應(yīng)，但可能會(huì)篡改用戶(hù)屬性或同意用戶(hù)假冒本身未擁有的屬性。因此，有兩種攻擊者模型需要考慮：

1) 外部攻擊者

外部這類(lèi)攻擊者企圖篡改用戶(hù)屬性，可以?huà)冻址?wù)器節(jié)點(diǎn)，在篡改用戶(hù)屬性后將其提交至區(qū)塊鏈。

2) 內(nèi)部攻擊者

內(nèi)部這類(lèi)攻擊者(例如服務(wù)器節(jié)點(diǎn)管理者)同意屬性假冒或篡改交易，以牟取私利。

針對(duì)以上安全威脅，將達(dá)到以下安全目標(biāo)：

(1) 數(shù)據(jù)機(jī)密性

攻擊者不滿(mǎn)足訪(fǎng)問(wèn)策略時(shí)無(wú)法獲取有效數(shù)據(jù)。

(2) 抵御用戶(hù)屬性假冒攻擊

攻擊者對(duì)AAs假冒自身未擁有屬性時(shí)，無(wú)法通過(guò)注冊(cè)和獲取訪(fǎng)問(wèn)權(quán)限。

(3) 抵御用戶(hù)屬性篡改攻擊

攻擊者無(wú)法篡改用戶(hù)屬性。

2 去中心化密文數(shù)據(jù)安全共享方法

在設(shè)計(jì)模型的基礎(chǔ)上，針對(duì)數(shù)據(jù)訪(fǎng)問(wèn)過(guò)程中用戶(hù)屬性存在假冒與篡改等風(fēng)險(xiǎn)，進(jìn)一步提出了基于區(qū)塊鏈的去中心化密文數(shù)據(jù)安全共享方法，支持區(qū)塊鏈記錄用戶(hù)屬性，保證了數(shù)據(jù)的機(jī)密性與完整性，提高了數(shù)據(jù)共享的效率。為了更好地描述所提出的方法，對(duì)其中涉及的常規(guī)加解密操作進(jìn)行定義。

定義3Encopt(·)，其中opt∈{AES，PPK}。AES表示對(duì)稱(chēng)加密AES(Advanced Encryption Standard)算法；PPK表示使用公鑰PPK執(zhí)行RSA加密算法。

定義4Decopt(·)，其中opt∈{AES，PPK}。PSK表示使用私鑰PSK執(zhí)行RSA解密算法。

筆者提出的方法包括4個(gè)階段：初始化階段(setup phase)、注冊(cè)階段(register phase)、文件上傳階段(upload phase)以及安全共享階段(secure sharing phase)。

2.1 初始化階段

初始化過(guò)程主要完成部署智能合約以及生成系統(tǒng)主密鑰對(duì)。初始化及注冊(cè)流程見(jiàn)圖5。

h=gb，

(2)

e(g，g)a，

(3)

生成主密鑰對(duì)(MSK={b，ga}，PK={G0，g，h，e(g，g)a})。MSK是系統(tǒng)主密鑰，PK為系統(tǒng)公鑰。

圖5 系統(tǒng)初始化及用戶(hù)注冊(cè)過(guò)程

2.2 注冊(cè)階段

當(dāng)新用戶(hù)加入系統(tǒng)時(shí)，它首先發(fā)送注冊(cè)請(qǐng)求至AAs處，注冊(cè)請(qǐng)求包含其設(shè)備標(biāo)識(shí)符DID。AAs根據(jù)DID驗(yàn)證用戶(hù)身份。驗(yàn)證通過(guò)后，AAs為用戶(hù)分配對(duì)應(yīng)的屬性集K和公私鑰對(duì)〈PPK，PSK〉，轉(zhuǎn)發(fā)〈DID，S〉至智能合約SCIA。SCIA選擇隨機(jī)數(shù)r∈Zp，計(jì)算

(4)

對(duì)S內(nèi)的每一個(gè)屬性j，選擇隨機(jī)數(shù)rj∈Zp，計(jì)算

(5)

得到屬性私鑰SK={SKr，SKs}。最后SCIA通過(guò)AAs將〈SK，PPK，PSK〉返回給用戶(hù)，并將〈DID，S〉以交易的形式上傳至IAC。

2.3 文件上傳階段

數(shù)據(jù)共享是用戶(hù)上傳數(shù)據(jù)的過(guò)程。文件上傳階段流程見(jiàn)圖6。在這個(gè)階段中，DO首先選擇密鑰K，計(jì)算Cf=EncAES(K，file)，并將Cf上傳至云存儲(chǔ)系統(tǒng)。隨后，DO加密K得到CTK。

圖6 文件上傳過(guò)程

DO選擇一個(gè)隨機(jī)數(shù)s∈Zp，計(jì)算

(6)

(7)

在T的葉子節(jié)點(diǎn)集Y，對(duì)?y∈Y計(jì)算

Cy=gqy(0)，

(8)

(9)

在計(jì)算CTS時(shí)，qx(·)的具體構(gòu)造過(guò)程如下：

(1) 從根節(jié)點(diǎn)R開(kāi)始，自頂向下對(duì)T的每一個(gè)節(jié)點(diǎn)x選擇一個(gè)多項(xiàng)式qx(·)。qx(·)的次數(shù)dx比其門(mén)限值kx小1，即dx=kx-1；

(2) 從根節(jié)點(diǎn)R開(kāi)始，選擇一個(gè)隨機(jī)數(shù)qR(0)=s，并隨機(jī)選擇qR(·)的dR個(gè)點(diǎn)完善qR(·)；

(3) 對(duì)其他節(jié)點(diǎn)x，設(shè)qx(0)=qparent(x)(index(x))，隨機(jī)選擇dx個(gè)點(diǎn)完善qx(·)。

最后，DO對(duì)FileInfo簽名，將〈FileInfo，σDO(FileInfo)〉通過(guò)AAs轉(zhuǎn)發(fā)至SCFI。SCFI驗(yàn)證簽名通過(guò)后，將FileInfo上傳至FIC。

2.4 安全共享階段

安全共享是用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)的過(guò)程，流程如圖7所示。在此階段中，DU通過(guò)屬性服務(wù)器集群AAs向合約發(fā)起訪(fǎng)問(wèn)請(qǐng)求〈DID，Keywords〉。SCIA根據(jù)DID判斷用戶(hù)是否為已注冊(cè)狀態(tài)。SCFI根據(jù)Keywords獲取對(duì)應(yīng)的FileInfo，計(jì)算CFI=EncPPKDU(FileInfo)并將其返回DU。

圖7 安全共享過(guò)程

DU通過(guò)FileAddr下載Cf，獲取FileInfo=DecPSKDU(CFI)。為了恢復(fù)K，DU選擇一個(gè)隨機(jī)數(shù)t∈Zp，轉(zhuǎn)換屬性私鑰

(10)

發(fā)送〈SK′，CTK〉至AAs。

AAs作為解密外包服務(wù)器(Decryption Server Provider，DSP)對(duì)T中的每個(gè)葉子節(jié)點(diǎn)x進(jìn)行解密計(jì)算：

DecryptLeaf(CTK，SK′，x)=e(g，g)rqx(0)，

(11)

然后返回結(jié)果給DU。

(12)

最終DU得到文件明文file=DecAES(K，Cf)。

DecryptLeaf(CTK，SK′，x)的具體計(jì)算過(guò)程如下：對(duì)T中的每個(gè)節(jié)點(diǎn)x，若x為葉子節(jié)點(diǎn)，令i=attr(x)，則當(dāng)i∈S時(shí)，

(13)

當(dāng)i?S時(shí)，規(guī)定DecryptLeaf(CTK，SK′，x)=⊥。

若x為非葉子節(jié)點(diǎn)，則對(duì)x所有子節(jié)點(diǎn)z，計(jì)算Fz=DecryptLeaf(TK，SK′，z)。

令Sx為x的子節(jié)點(diǎn)集合，且Sx大小為kx，F(xiàn)z≠⊥。若Sx不存在，則函數(shù)返回⊥；否則，算法使用多項(xiàng)式差值法計(jì)算下列函數(shù)值：

(14)

其中，i=index(z)，S′x={index(z)：z∈Sx}。

3 安全性分析

本節(jié)主要對(duì)提出方案的數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、共謀攻擊以及屬性篡改與假冒攻擊等幾個(gè)方面做了安全性分析，最后與其他方案做了對(duì)比，如表1所示。

表1 安全性對(duì)比

1)數(shù)據(jù)機(jī)密性保證

數(shù)據(jù)所有者對(duì)明文數(shù)據(jù)使用AES對(duì)稱(chēng)加密算法加密，對(duì)稱(chēng)密鑰K使用CP-ABE方案加密進(jìn)而上鏈，故在整個(gè)區(qū)塊鏈網(wǎng)絡(luò)中僅對(duì)該數(shù)據(jù)密文可見(jiàn)。數(shù)據(jù)所有者直接通過(guò)制定訪(fǎng)問(wèn)控制策略T對(duì)該數(shù)據(jù)的訪(fǎng)問(wèn)權(quán)限進(jìn)行限制，僅包含滿(mǎn)足策略T屬性的用戶(hù)才能對(duì)密文進(jìn)行正確解密，獲得有效明文。

2) 共謀攻擊

共謀攻擊有多用戶(hù)共謀、用戶(hù)與AAs共謀以及用戶(hù)與存儲(chǔ)服務(wù)器共謀三種情況。針對(duì)多用戶(hù)共謀的情況，因?yàn)橛脩?hù)在AAs上SCIA處獲取密鑰時(shí)，每個(gè)用來(lái)生成屬性密鑰的r都不相同，而在解密時(shí)只有由相同的r生成密鑰可以結(jié)合共同解密，所以不同屬性的多個(gè)用戶(hù)無(wú)法結(jié)合其屬性來(lái)解密密文，有效地防止了用戶(hù)間的共謀攻擊。針對(duì)用戶(hù)與AAs共謀的情況，由于用于加密K的隨機(jī)數(shù)s只存在于DO處，所以當(dāng)DU的屬性集不滿(mǎn)足訪(fǎng)問(wèn)策略時(shí)，AAs與DU均無(wú)法還原s從而獲取正確的屬性私鑰。針對(duì)用戶(hù)與存儲(chǔ)服務(wù)器共謀的情況，即使服務(wù)器可以將數(shù)據(jù)發(fā)送至不滿(mǎn)足訪(fǎng)問(wèn)控制策略的用戶(hù)，但由于得到的僅是密文，沒(méi)有正確屬性私鑰的用戶(hù)仍然無(wú)法得到有效的數(shù)據(jù)。

3) 屬性篡改與假冒攻擊

考慮到屬性管理節(jié)點(diǎn)面臨攻擊者劫持以及注冊(cè)過(guò)程中屬性假冒攻擊，造成用戶(hù)屬性集的泄露或篡改，威脅屬性私鑰的安全。筆者提出的方案結(jié)合區(qū)塊鏈技術(shù)，在基于拜占庭容錯(cuò)協(xié)議的聯(lián)盟鏈網(wǎng)絡(luò)上建立多屬性管理服務(wù)器集群(AAs)，以區(qū)塊鏈的形式維護(hù)用戶(hù)的屬性集。屬性管理服務(wù)器會(huì)遭到惡意攻擊而成為拜占庭節(jié)點(diǎn)。

證明 設(shè)拜占庭節(jié)點(diǎn)為f。為了保證網(wǎng)絡(luò)達(dá)成安全共識(shí)，當(dāng)f同時(shí)為故障節(jié)點(diǎn)和惡意節(jié)點(diǎn)時(shí)，網(wǎng)絡(luò)包含f+1個(gè)正常節(jié)點(diǎn)，即n≥2f-1；當(dāng)故障節(jié)點(diǎn)與惡意節(jié)點(diǎn)不同時(shí)，有f個(gè)故障節(jié)點(diǎn)和f個(gè)惡意節(jié)點(diǎn)，網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)滿(mǎn)足n-2f>f，即n>3f。

因此，在拜占庭節(jié)點(diǎn)占比不超過(guò)1/3時(shí)，本方案可抵御屬性假冒與篡改攻擊。

與相關(guān)工作對(duì)比，文獻(xiàn)[7]使用分布式AA服務(wù)器管理用戶(hù)屬性，而文獻(xiàn)[12]基于傳統(tǒng)的可信第三方AA服務(wù)器。兩者[7，12]抵御屬性假冒攻擊的安全閾值為100%，但對(duì)用戶(hù)屬性遭到篡改攻擊時(shí)無(wú)能為力。文獻(xiàn)[10]抵御屬性篡改攻擊的安全閾值為75%，但由于沒(méi)有屬性管理功能，無(wú)法抵御屬性假冒攻擊。文獻(xiàn)[11]無(wú)AA管理用戶(hù)屬性，缺乏對(duì)用戶(hù)屬性篡改與假冒攻擊的保護(hù)。

4)數(shù)據(jù)完整性

文件信息FileInfo中的Hash為文件數(shù)據(jù)的散列值。由于FileInfo存儲(chǔ)于區(qū)塊鏈上，攻擊者無(wú)法對(duì)其篡改。在用戶(hù)完成解密獲得最終的數(shù)據(jù)明文后，可通過(guò)對(duì)明文進(jìn)行散列運(yùn)算完成文件數(shù)據(jù)的完整性檢驗(yàn)，保障了數(shù)據(jù)的完整性。

從表1可以看出，筆者提出的方案克服了文獻(xiàn)[7，11-12]中難以防御屬性篡改攻擊和文獻(xiàn)[10-11]中缺乏對(duì)屬性假冒攻擊保護(hù)的缺陷，提高了數(shù)據(jù)訪(fǎng)問(wèn)的安全性，為智能家居下的數(shù)據(jù)安全共享提供了可靠的保障。

4 性能分析

在筆者提出的方案中，采用雙線(xiàn)性配對(duì)運(yùn)算和指數(shù)運(yùn)算開(kāi)銷(xiāo)兩項(xiàng)指標(biāo)來(lái)探討其計(jì)算性能。為了方便描述，用AU表示數(shù)據(jù)訪(fǎng)問(wèn)者屬性數(shù)量，用Ap表示密文訪(fǎng)問(wèn)策略屬性數(shù)量，用TG0代表一次G0域指數(shù)運(yùn)算，用TG1代表一次G1域的指數(shù)運(yùn)算，用B代表一次雙線(xiàn)對(duì)運(yùn)算，一個(gè)群元素空間所占存儲(chǔ)大小為L(zhǎng)。筆者提出的方案中所使用的可驗(yàn)證外包解密CP-ABE算法的性能見(jiàn)表2和表3。

1) 計(jì)算性能

2) 存儲(chǔ)性能

本方案中私鑰需要存儲(chǔ)空間為(2AU+1)L，密文需要存儲(chǔ)空間為(2Ap+2)L，與其他文獻(xiàn)對(duì)比如表3所示。

表2 用戶(hù)計(jì)算開(kāi)銷(xiāo)對(duì)比

表3 存儲(chǔ)開(kāi)銷(xiāo)對(duì)比

5 實(shí)驗(yàn)分析

筆者提出的方案在PBC庫(kù)和CP-ABE基礎(chǔ)開(kāi)發(fā)工具包的基礎(chǔ)上進(jìn)行實(shí)驗(yàn)，使用橢圓曲線(xiàn)為y2=x3+x，實(shí)驗(yàn)環(huán)境為主頻4.0 GHz的雙核CPU，內(nèi)存16 GB，Ubuntu18.04 64位操作系統(tǒng)。此外，以AAs為區(qū)塊鏈節(jié)點(diǎn)，基于Hyperledger-Fabric系統(tǒng)與使用拜占庭容錯(cuò)共識(shí)機(jī)制構(gòu)建區(qū)塊鏈網(wǎng)絡(luò)。

對(duì)實(shí)驗(yàn)性能的評(píng)估主要從屬性私鑰生成、用戶(hù)加密和解密以及方案總開(kāi)銷(xiāo)時(shí)間方面進(jìn)行對(duì)比，采用策略屬性數(shù)量逐漸增加的方式進(jìn)行實(shí)驗(yàn)。文獻(xiàn)[7]是基于分布式計(jì)算實(shí)現(xiàn)去中心化數(shù)據(jù)共享，從表2可以看出，此方案在計(jì)算時(shí)延方面大于其余方案，并且隨著分布式節(jié)點(diǎn)數(shù)與屬性或策略數(shù)增加，其所需的傳輸時(shí)延也急劇增加，故與其他方案存在顯著差距。為了使筆者提出的方案與其他方案開(kāi)銷(xiāo)對(duì)比明顯，文獻(xiàn)[7]的開(kāi)銷(xiāo)不在實(shí)驗(yàn)比較結(jié)果中展出。

在圖8中，隨著屬性的增加，屬性私鑰的計(jì)算更加復(fù)雜，而筆者提出的方案耗時(shí)與文獻(xiàn)[10-12]的相近。

由圖9至圖11可看出，隨著訪(fǎng)問(wèn)策略或?qū)傩詳?shù)量的增加，相較于基于區(qū)塊鏈可信數(shù)據(jù)共享方案[10]以及基于CP-ABE的區(qū)塊鏈數(shù)據(jù)訪(fǎng)問(wèn)控制方案[11]，筆者提出的方案在各方面上的時(shí)間開(kāi)銷(xiāo)均有顯著降低。由此可見(jiàn)，與基于區(qū)塊鏈的可信數(shù)據(jù)共享方案[10]以及基于CP-ABE的區(qū)塊鏈數(shù)據(jù)訪(fǎng)問(wèn)控制方案[11]相比，筆者提出的方案在降低數(shù)據(jù)共享的時(shí)間開(kāi)銷(xiāo)的情況下，實(shí)現(xiàn)了防止用戶(hù)屬性假冒與篡改等安全性，提高了數(shù)據(jù)共享的可靠性；與使用CSP代理計(jì)算的基于區(qū)塊鏈車(chē)載數(shù)據(jù)共享方案[12]對(duì)比，筆者提出的方案基于外包解密技術(shù)而降低了用戶(hù)解密時(shí)延，在保證數(shù)據(jù)共享效率的同時(shí)，可有效地抵御用戶(hù)的屬性篡改與惡意用戶(hù)竊取CSP屬性私鑰而導(dǎo)致數(shù)據(jù)泄露的威脅。

圖8 用戶(hù)屬性私鑰生成時(shí)間

圖10 用戶(hù)解密時(shí)間

此外，文獻(xiàn)[10]由于以用戶(hù)作為區(qū)塊鏈網(wǎng)絡(luò)節(jié)點(diǎn)，在訪(fǎng)問(wèn)控制發(fā)生前首先需要為用戶(hù)接入?yún)^(qū)塊鏈網(wǎng)絡(luò)與部署智能合約，所以存在用戶(hù)接入網(wǎng)絡(luò)的計(jì)算開(kāi)銷(xiāo)。

筆者提出的方案以AAs為區(qū)塊鏈網(wǎng)絡(luò)節(jié)點(diǎn)，用戶(hù)只需與AAs進(jìn)行交互，無(wú)須成為區(qū)塊鏈系統(tǒng)節(jié)點(diǎn)，從而降低了方案的整體時(shí)延，提高了智能家居環(huán)境下數(shù)據(jù)共享的效率。因此，筆者提出的方案在保證安全性的同時(shí)，有效地提升了智能家居環(huán)境下數(shù)據(jù)共享的效率。

6 結(jié)束語(yǔ)

通過(guò)結(jié)合聯(lián)盟區(qū)塊鏈以及外包解密CP-ABE技術(shù)，筆者提出了一種新型去中心化密文數(shù)據(jù)安全共享模型與方法?；谕獍饷蹸P-ABE技術(shù)，筆者提出的方案有效地解決了智能家居中數(shù)據(jù)共享一對(duì)多的問(wèn)題，同時(shí)克服了現(xiàn)有的分布式CP-ABE、區(qū)塊鏈與CP-ABE結(jié)合方案存在的中心單點(diǎn)失效、屬性篡改以及節(jié)點(diǎn)動(dòng)態(tài)接入性差等問(wèn)題，保證了數(shù)據(jù)的機(jī)密性和完整性，提高了數(shù)據(jù)共享的效率。實(shí)驗(yàn)及分析結(jié)果證明，該系統(tǒng)能滿(mǎn)足智能家居環(huán)境下智能設(shè)備數(shù)據(jù)安全共享的高效性與安全性等需求。