孫 梟，王 崢，李 玲

太原理工大學 信息與計算機學院，山西 晉中 030600

第5 代移動通信技術（5th generation mobile networks，5G）憑借較高的數(shù)據(jù)傳輸速率，使得霧計算（fog computing）在智慧交通、智能家居等對于時延較為敏感的應用領域成為可能，并成為重要的研究方向[1-2]。與云計算不同，霧計算由性能相對較弱、物理位置分散的各類可聯(lián)網(wǎng)設備組成[3]。在采用傳統(tǒng)的訪問控制方式時，霧計算復雜的分布式環(huán)境使其安全性受到了嚴重的挑戰(zhàn)[4]。因此，霧計算中基于密碼學方法的訪問控制技術仍然是近年來信息安全領域的研究熱點[5]。

2007 年，Bethencourt 等人[6]提出了密文策略屬性加密（ciphertext-policy attribute-based encryption，CP-ABE），將解密規(guī)則嵌入到加密算法中，在實現(xiàn)了細粒度訪問控制的同時，保證了數(shù)據(jù)的機密性，因此成為了云霧存儲系統(tǒng)中較為常用的技術。然而，用戶與屬性通常是多對多的關系，用戶與屬性的撤銷，都可能影響到系統(tǒng)中具有相同屬性的其他用戶，構造撤銷機制的難度較高。現(xiàn)有的方案大多需要頻繁地更新密鑰與重加密密文，撤銷效率低下，如何高效地實現(xiàn)用戶與屬性撤銷是亟待解決的問題。

Pirretti等人[7]通過在用戶密鑰中嵌入過期時間屬性進而實現(xiàn)了用戶撤銷，但該方法難以進行即時撤銷。唐忠原等人[8]在密文中建立了用戶撤銷列表，將用戶身份標識嵌入到列表中進行用戶撤銷，無形中增加了通信成本，導致開銷過大，難以適應復雜的應用環(huán)境。同時，該方案需要借助云服務器頻繁地維護撤銷列表，系統(tǒng)效率較低。陳紅松等人[9]利用可信中心對撤銷列表進行維護，通過生成的代理重密鑰將未撤銷用戶的密鑰進行更新并重加密密文。但撤銷操作發(fā)生后，該方案中所有未撤銷用戶的密鑰全部需要更新，靈活性較差。Cui 等人[10]使用不可信的服務器進行用戶撤銷，服務器必須一直在線，易導致單點故障和服務器瓶頸等問題。Jung等人[11]和Wan等人[12]提出的方案都無法更新部分密鑰，一旦用戶獲得部分密鑰，即使在撤銷后仍可解密密文。李繼國等人[13]的用戶撤銷方案中隱藏了訪問結構，但是計算相對復雜。

在實際應用中，用戶與屬性的關系更加復雜。因此，大量的研究致力于構造細粒度的屬性撤銷機制。Ibraimi等人[14]利用可信中心維護屬性撤銷列表，首次實現(xiàn)了屬性的即時撤銷。Hur 等人[15]利用KEK 樹和屬性組管理授權用戶，通過更新KEK 實現(xiàn)了完全細粒度的屬性撤銷，但密鑰維護成本較高，且無法抵抗共謀攻擊。Li 等人[16]將上述方案中的用戶密鑰與屬性組密鑰進行綁定，使方案能夠抵抗共謀攻擊，但密鑰更新效率較低。Li等人[17]改進了密鑰更新的計算方式，效率有所提高，但KEK樹的結點數(shù)仍隨用戶數(shù)量線性增加，進而導致用戶路徑密鑰增長，并不適用于具有海量用戶的應用場景。強衡暢等人[18]引入中國剩余定理，使得KEK樹的解密時間降為常數(shù)階，但仍需要重加密密文和更新群密鑰。宋可等人[19]利用代理重加密技術與版本號標識法實現(xiàn)屬性撤銷，但每次撤銷都需更新與版本號相關的所有密鑰與密文。Wang等人[20]提出了一種外包的支持策略隱藏與屬性撤銷的方案，但該方案中密鑰長度較長，存儲開銷較大。

針對上述問題，本文提出了一種高效可撤銷的霧協(xié)同云訪問控制方案。該方案通過RSA密鑰管理機制進行屬性認證，簡化了密鑰更新工作且無需更新密文，實現(xiàn)了高效的即時撤銷；固定了密鑰與密文的長度，降低了用戶端的存儲與通信開銷；實現(xiàn)了高效的加解密外包，減輕了用戶端的計算負擔。

1 相關知識

1.1 “與”門訪問結構

1.2 密鑰管理

1.3 aMSE-DDH難題

采用aMSE-DDH難題[21]來證明本文方案的安全性。

構造雙線性配對群G={G1,G2,GT,ρ,e} ，g0和h0分別是G1和G2的生成元，f(x)和g(x)是群Zρ[x]上互質(zhì)的多項式。

若對任意t多項式時間攻擊者，解決此難題的最大優(yōu)勢是ε，那么稱它是(t,ε)困難的。

2 系統(tǒng)描述與方案構造

2.1 系統(tǒng)描述

本文方案涉及5個不同的實體，分別是可信授權機構、云服務器、霧節(jié)點、數(shù)據(jù)擁有者和數(shù)據(jù)用戶。它們之間的關系如圖1所示。

圖1 系統(tǒng)模型Fig.1 System model

（1）可信授權機構（trusted authority，TA）：TA 完全可信，全局屬性集合由它管理。TA負責系統(tǒng)建立、密鑰生成和屬性撤銷。

（2）云服務器（cloud server，CS）：CS 是半可信的，可能存在數(shù)據(jù)泄露的風險，即它奉命執(zhí)行任務但可能窺探數(shù)據(jù)中的隱私。CS 負責存儲DO 上傳的數(shù)據(jù)，并為DU提供訪問數(shù)據(jù)的服務。

（3）霧節(jié)點（fog node，F(xiàn)N）：FN 是半可信的，每個FN 都與CS 相連，它們是DO、DU 與CS 通信的橋梁。FN承擔了部分加、解密工作。

（4）數(shù)據(jù)擁有者（data owner，DO）：DO 是想要將數(shù)據(jù)上傳至CS 存儲的一方。DO 制定訪問策略規(guī)定了訪問者的屬性，并將部分密文完全加密后上傳。

（5）數(shù)據(jù)用戶（data user，DU）：DU是想要訪問存儲在CS中數(shù)據(jù)的一方。只有自身屬性滿足訪問策略，F(xiàn)N才能將密文部分解密，DU進而才能夠獲得數(shù)據(jù)。

2.2 方案構造

本文方案包括6 個階段，分別是系統(tǒng)建立、數(shù)據(jù)加密、密鑰生成、數(shù)據(jù)解密、用戶撤銷、屬性撤銷。

2.2.1 系統(tǒng)建立

Setup(λ,U)→(uid,PK,MSK)：TA執(zhí)行該算法，輸入安全參數(shù)λ和全局屬性集合U={A1,A2,…,An}，輸出身份標識uid，公共參數(shù)PK和主密鑰MSK。具體步驟如下：

（3）構造雙線性配對群G={G1,G2,GT,ρ,e}，并計算

（3）生成部分加密密文CT={U,V,eP}，并發(fā)送給DO。

Encrypt.DO(PK,CT,M,k)→CT′：DO 執(zhí)行該算法，輸入公共參數(shù)PK，部分加密密文CT，待加密的明文消息M和對稱密鑰k，輸出密文CT′。具體步驟如下：

3 安全性分析

4 性能評估

4.1 理論分析

4.1.1 功能比較

符號的定義如表1所示。

表1 符號定義Table 1 Symbol definition

表2 將相關方案的功能進行比較。文獻[8]實現(xiàn)了密鑰與密文定長且支持用戶撤銷，但無任何外包能力，且不支持屬性撤銷。文獻[17]較文獻[8]增加了屬性撤銷功能，且支持加解密外包，適用于霧計算環(huán)境，但密鑰與密文的長度隨屬性數(shù)量線性增長。文獻[18]僅實現(xiàn)了屬性撤銷。文獻[19]較文獻[18]增加了密鑰定長，但方案仍存在較多不足。本文方案實現(xiàn)了霧環(huán)境下的加解密外包，支持用戶與屬性撤銷，且密鑰與密文定長，更適用于資源有限的物聯(lián)網(wǎng)設備。

表2 功能比較Table 2 Comparison of function

4.1.2 撤銷效率比較

表3 將相關方案的撤銷效率進行比較。本文方案用戶撤銷僅需刪除霧節(jié)點密鑰即可，故屬性撤銷引起的密鑰與密文更新所需的計算量決定了撤銷的效率。

表3 撤銷效率比較Table 3 Comparison of revocation efficiency

由于群上的指數(shù)運算與雙線性配對帶來的計算開銷遠大于模乘運算，因此指數(shù)運算與雙線性配對是撤銷效率的主要影響因素。

文獻[17]利用KEK樹進行撤銷，密鑰與密文更新所需的指數(shù)運算的次數(shù)都隨撤銷屬性的數(shù)量線性增長。文獻[18]利用中國剩余定理求解同余方程組的思想，簡化了KEK 樹求解最小用戶子樹的過程，但密鑰更新效率只有本文方案的三分之一，且密文更新所需的指數(shù)運算的次數(shù)與訪問策略中的屬性數(shù)量線性正相關。文獻[19]利用版本號標識法進行撤銷，每當撤銷發(fā)生時，與其相關所有密鑰和密文都需要進行更新。而本文方案密鑰更新只需簡單的模乘運算且不需要更新密文。因此，本文方案具有較高的撤銷效率。

4.1.3 存儲與通信開銷比較

如表4 將相關方案中終端設備的存儲與通信開銷進行比較。存儲開銷與用戶密鑰的長度相關，通信開銷與用戶密文的長度相關。

表4 存儲與通信開銷比較Table 4 Comparison of storage and communication cost

在存儲開銷方面，文獻[17]和[18]中用戶密鑰的長度隨用戶屬性數(shù)量線性增長，此外文獻[17]利用KEK樹進行撤銷，還需要額外存儲KEK 密鑰。因此上述方案造成較大的存儲負擔。文獻[8]和[19]與本文方案固定了密鑰長度，但本文方案的存儲開銷低于其他方案，僅為一個群元素的長度。

在通信開銷方面，文獻[18]中密文的長度隨訪問策略中的屬性數(shù)量線性增長。文獻[19]中密文的長度與全局屬性數(shù)量呈線性正相關。因此上述文獻造成較大的通信負擔。文獻[8]和[17]與本文方案將密文長度固定，本文方案的通信開銷僅為4個群元素的長度，同樣較優(yōu)。

4.2 實驗分析

通過實驗對比了本文方案與文獻[17]和[19]的加解密時間，密鑰與密文更新時間。實驗環(huán)境采用Windows 64位操作系統(tǒng)，AMD Ryzen 7 PRO 2700八核處理器，8 GB內(nèi)存。通過Eclipse軟件，基于JPBC庫，使用512 位有限域中超奇異曲線y2=x3+x的160 位橢圓曲線群對相關方案進行模擬，實驗結果如圖2～5所示。

圖2 DO加密時間對比Fig.2 Comparison of DO encryption time

加解密階段的實驗數(shù)據(jù)為各方案在屬性數(shù)量為10、20、30、40、50情況下分別模擬20次的平均值。文獻[19]中加解密時間隨著屬性數(shù)量線性增長，文獻[17]與本文方案都進行了加解密外包，將加密過程中與訪問策略相關的復雜計算和解密過程中的雙線性配對等操作轉(zhuǎn)載到霧節(jié)點，數(shù)據(jù)擁有者與用戶只需完成少量計算即可，時間開銷幾乎為一個定值。但本文方案的加解密效率仍優(yōu)于文獻[17]。

圖3 DU解密時間對比Fig.3 Comparison of DU decryption time

圖4 密鑰更新時間對比Fig.4 Comparison of keys update time

圖5 密文更新時間對比Fig.5 Comparison of ciphertexts update time

撤銷階段的實驗數(shù)據(jù)為各方案在撤銷屬性數(shù)量為2、4、6、8、10 情況下分別模擬20 次的平均值。令文獻[19]中與版本號相關的密鑰和密文數(shù)量等于撤銷的屬性數(shù)量。文獻[17]和[19]與本文方案的密鑰更新時間都隨撤銷屬性數(shù)量線性增長，且文獻[17]引入KEK 密鑰，造成了更高的時間開銷，但本文方案僅需要更新部分RSA 密鑰即可，密鑰更新效率較高。文獻[17]和[19]中密文更新時間也隨撤銷屬性數(shù)量線性增長，而本文方案無需更新密文。綜上，本文方案的撤銷效率較高。

5 結束語

本文對現(xiàn)有的密文策略屬性加密方案進行改進，提出了一種支持用戶與屬性撤銷的輕量級訪問控制方案。該方案建立在云霧架構下，利用RSA 密鑰管理實現(xiàn)了靈活的用戶與屬性即時撤銷，通過將密鑰與密文定長和部分加解密外包，減少了存儲與通信開銷，減輕了用戶端的計算負擔。另外基于aMSE-DDH 難題，在隨機預言機模型中，可以證明本文方案具有選擇密文攻擊安全性。最后通過理論分析和實驗仿真，表明所提方案適合應用于5G時代用戶終端受限的設備與霧計算平臺交互的訪問控制環(huán)境中，具有較高的系統(tǒng)效率。但目前本文方案僅基于單授權中心，易導致單點失效與負擔過重等問題。因此，如何在去中心化的環(huán)境下實現(xiàn)數(shù)據(jù)的安全共享是接下來研究工作的重點[22]。