童 潛，何 亨，聶 雷，張攀峰

1.武漢科技大學 計算機科學與技術學院，武漢 430065

2.湖北省智能信息處理與實時工業(yè)系統(tǒng)重點實驗室，武漢 430065

3.桂林理工大學 信息科學與工程學院，廣西 桂林 541004

云存儲作為一種新興的數(shù)據(jù)存儲解決方案，為個人和企業(yè)的數(shù)據(jù)存儲提供了一種快捷和高效的選擇。隨著云存儲的廣泛應用，而云服務商是半可信的[1]，如何實現(xiàn)云環(huán)境中數(shù)據(jù)的隱私性和細粒度訪問控制成為了一個重要的問題。由Sahai 和Waters 于2005 年所提出的屬性基加密（attribute-based encryption，ABE）[2]非常適合解決上述問題。ABE可分為兩種形式：密鑰策略屬性基加密（key-policy ABE，KP-ABE）和密文策略屬性基加密（ciphertext-policy ABE，CP-ABE）。Goyal等人[3]于2006 年提出了第一個KP-ABE，在KP-ABE 中訪問策略被嵌入密鑰，屬性集合被嵌入密文，這很適合日志加密管理和付費視頻網(wǎng)站等，但不能保障數(shù)據(jù)分享者（data sharer，DS）對數(shù)據(jù)訪問權限的絕對控制。為解決此問題，Bethencourt等人[4]于2007年提出了第一個CP-ABE，在CP-ABE中訪問策略被嵌入密文，屬性集合被嵌入密鑰，支持DS直接控制數(shù)據(jù)的訪問權限，但存在合謀攻擊等安全性問題。此外，加解密時大量的復雜計算使得ABE的效率并不高。隨后大量提高現(xiàn)有ABE安全性和效率的算法被提出，如文獻[5-8]等。其中文獻[6]是線性秘密分享方案（linear secret sharing scheme，LSSS）的典型，其指出訪問策略可用LSSS正確表達，且在達到d-parallel BDHE 安全的前提下比樹型的訪問控制結構效率更高。為了防止用戶密鑰泄露，文獻[9-12]實現(xiàn)了可追溯和撤銷的CP-ABE。密鑰分發(fā)也是一個重要的研究方向，單授權機構系統(tǒng)可能存在單點瓶頸和安全問題，Wu等人[13]構建了具有多授權機構的CP-ABE。雖然在一般的訪問控制中都需應對合謀攻擊，但在一些場景中又需要允許擁有不同屬性的用戶協(xié)作以獲得密鑰，Xue等人[14]提出了一種允許用戶協(xié)同訪問的ABE，其將未授權的協(xié)作視為合謀。

由于物聯(lián)網(wǎng)和移動設備的蓬勃發(fā)展，非PC 端對數(shù)據(jù)的細粒度訪問控制同樣具有巨大需求，但沉重的加解密計算嚴重阻礙了ABE 的廣泛應用。Green 等人[5]于2011年首次提出將ABE中解密的大部分計算轉(zhuǎn)移到云服務器上進行，此思想適用于誠實但好奇的云環(huán)境。為了驗證云服務器是否誠實地完成計算任務，文獻[15-18]提出了可驗證的解密計算轉(zhuǎn)移方案，其中Ning等人[17]的方案還支持在某時間段內(nèi)限制用戶的訪問次數(shù)。以上方案雖然減少了用戶在解密階段的計算開銷，但用戶在加密階段的計算開銷仍然很大。Ma等人[19]提出了一種加解密計算都轉(zhuǎn)移至云服務器的計算轉(zhuǎn)移方案，但隨后被Xiong 等人[20]證明其加密計算轉(zhuǎn)移并不安全。Li 等人[21]提出了半可信云環(huán)境中加解密計算轉(zhuǎn)移都安全的方案。此方案使用了虛擬屬性的思想，采用樹型訪問結構，其用戶端的加解密效率較高，但云端的加解密效率并不高，且在處理訪問結構具有層次關系的大量數(shù)據(jù)時計算開銷依舊很大。使用層次化的思想對訪問結構進行優(yōu)化也是一個提高效率和節(jié)省存儲開銷的重要方向。Li等人[22]結合了CP-ABE和層次化的基于身份的加密（hierarchical ID-based encryption，HIBE）[23]，提出了樹型訪問結構的層次化屬性基加密方案。此方案較為實用，但對訪問控制的描述不夠充分且效率并不高。Wang等人[24]實現(xiàn)了層次化的CP-ABE，該方案組合多個數(shù)據(jù)具有層次關系的訪問結構，取得了較好的效果，但加解密效率有待進一步提升。Li等人[25]在文獻[24]的基礎上，在效率沒有明顯降低的前提下對其功能進行了擴展，使得其能夠更加適用于具有大量分層組織結構的機構或公司。He 等人[26]對文獻[24]的訪問結構進行了一定的優(yōu)化，使得其加解密效率沒有降低的同時私鑰的生成時間有所降低，私鑰存儲空間也有所降低。但文獻[22-26]的加解密計算全部由用戶完成，并不適用于計算能力受限的設備。

總體而言，當前仍然缺少一種云環(huán)境中在云端和用戶端都高效且安全，同時能夠適用于計算能力受限設備的輕量級數(shù)據(jù)訪問控制方案。針對現(xiàn)有研究存在的問題，本文的貢獻如下：結合層次化和虛擬屬性的思想，提出了一種云環(huán)境中層次化的輕量級訪問控制方案（hierarchical lightweight access control scheme in cloud environment，HLAC）。在HLAC 中，設計了一種基于LSSS 的層次化計算轉(zhuǎn)移的CP-ABE 算法（HLAC-CPABE）。該算法對具有層次關系的LSSS 訪問結構進行整合優(yōu)化，從而對相關的多份數(shù)據(jù)僅需加密一次，存儲一份密文，然后根據(jù)屬性滿足訪問結構的情況可以解密部分或全部密文，大幅降低了加解密運算和密文存儲開銷；同時引入了虛擬屬性和雙密鑰使得大部分耗時的加解密計算工作被安全地轉(zhuǎn)移至云服務器，且云端和用戶端的效率都較高。HLAC 基于HLAC-CP-ABE 實現(xiàn)，能夠?qū)υ骗h(huán)境中的大量密文數(shù)據(jù)高效地完成細粒度的訪問控制，且用戶端計算開銷顯著降低，與此同時，在整個執(zhí)行過程中能夠保證數(shù)據(jù)機密性并可以抵抗任意多個用戶的串謀攻擊。

1 預備知識

1.1 雙線性映射

設G0和G1是兩個以素數(shù)p為階的乘法循環(huán)群，g是G0的一個生成元，當映射：e:G0×G0→G1滿足如下條件時，e是一個雙線性映射：（1）雙線性，?a,b∈Z*p,?u,v∈G0可得e(ua,vb)=e(u,v)ab；（2）非退化性，e(g,g)≠1；（3）可計算性，?a,b∈Z*p,?u,v∈G0可在多項式時間內(nèi)計算出e(ua,vb)。

1.2 LSSS

LSSS[6]定義如下：對于系統(tǒng)屬性全集為U的秘密共享方案Π，若它滿足以下兩個條件，則它是線性的：（1）每個屬性都可以用Zp（p為素數(shù)）中的一個向量表示；（2）秘密共享方案Π 中存在一個l×n的矩陣M，令Mi表示M的第i行(i=1,2,…,l)，函數(shù)ρ(i)表示Mi所對應的屬性。取列向量v=(s,r2,r3,…,rn)T∈Znp，其中s為被分享的秘密，r2,r3,…,rn為隨機選取。由Π 可知λi=(Mv)i是s的l個子秘密。

1.3 決策性q-parallel BDHE假設

決策性q-parallel BDHE（decisionalq-parallel bilinear Diffie-Hellman exponent）假設[5]定義如下：令G0和G1是階為素數(shù)p，生成元為g的雙線性群，同時隨機選擇β,s,b1,b2,…,bq∈Zp。若敵手僅獲得：

1.4 對稱加密

對稱加密主要由如下三個多項式時間函數(shù)構成：

（1）SKE.KeyGen(1k)→PT：密鑰生成函數(shù)以安全參數(shù)k為輸入，輸出對稱密鑰集PT。

（2）SKE.Enc(PT,Data)→Enc-Data：對稱加密函數(shù)以PT和數(shù)據(jù)明文集Data為輸入，使用PT中的每個對稱密鑰分別加密Data中的每個明文，輸出數(shù)據(jù)密文集Enc-Data。

（3）SKE.Dec(PT,Enc-Data)→Data：對稱解密函數(shù)以PT和Enc-Data為輸入，使用PT中的每個對稱密鑰分別解密Enc-Data中的每個密文，輸出數(shù)據(jù)明文集Data。

2 HLAC實現(xiàn)

2.1 方案概述及安全性假設

HLAC涉及五個實體，分別為：授權機構（authorized agency，AA）、云存儲服務器（cloud storage servers，CSS）、云計算服務器（cloud computing servers，CCS）、數(shù)據(jù)分享者（data sharer，DS）和數(shù)據(jù)請求者（data requester，DR）。

HLAC 的系統(tǒng)框架如圖1 所示，首先，AA 執(zhí)行初始化操作生成對外公開的系統(tǒng)公鑰PK和不對外公開的系統(tǒng)主密鑰MK；DS 生成對稱密鑰集PT并使用對稱加密算法（如AES）加密其需要分享的數(shù)據(jù)集Data，得到數(shù)據(jù)密文集Enc-Data后將其上傳至CSS保存；然后，DS 先通過HLAC-CP-ABE 算法加密對稱密鑰集PT得到中間密文集CTDS，再由CCS 加密得到最終密文集CT，并將CT上傳至CSS保存；當DR有數(shù)據(jù)請求需要時，CCS和DR分別從AA處獲得和該DR屬性有關的計算轉(zhuǎn)移密鑰CTK和用戶請求者密鑰DRK，然后CCS先對從CSS 處下載的密文集CT進行HLAC-CP-ABE算法解密操作得到中間明文集PTCT，再由DR 最終解得對稱密鑰集PT′。根據(jù)DR 的屬性，DR 可以解得部分或全部對稱密鑰集PT，從而可以在CCS處下載數(shù)據(jù)密文集Enc-Data后通過執(zhí)行對稱解密算法得到部分或全部Data。方案具體實現(xiàn)過程見2.3節(jié)。

HLAC 中各實體的安全性假設如下：AA 是完全可信的，AA與DR間存在安全通道用以傳輸密鑰。AA的具體部署可以采用多AA分布式的方式，相關研究如文獻[13]等，此問題不在本文討論范圍。CSS和CCS都是半可信的，這意味著云服務器會堅定不移地執(zhí)行用戶（用戶包括DS 和DR）的請求，但可能試圖獲取用戶數(shù)據(jù)。此外，DR 可能是不誠實的，DR 間存在串謀以試圖解密不屬于他們的。

2.2 算法設計

2.2.1 算法思想

ABE算法對于計算能力有限的設備而言并不輕松，且計算開銷會隨著訪問結構復雜度增加而增加，這一問題嚴重阻礙了ABE在移動設備上的廣泛應用；此外，數(shù)據(jù)的訪問結構可能存在層次關系。以電子病歷為例，病歷一般可分為兩部分數(shù)據(jù)：具有敏感性的個人信息，如住址和電話等；不具有敏感性的病情分析與診斷等，這部分可用于醫(yī)學研究。其中主治醫(yī)師可以訪問到所有數(shù)據(jù)，而其他醫(yī)學研究人員只被允許訪問到非敏感的數(shù)據(jù)。若不利用多個數(shù)據(jù)的訪問結構具有層次關系這一特性，則需要對每份數(shù)據(jù)分別加密，這會產(chǎn)生較大的加密計算和密文存儲開銷。

基于上述問題，結合了層次化和虛擬屬性的思想，在HLAC中設計了如圖2所示的訪問結構A=Apol∧Attvir，并基于A設計了HLAC-CP-ABE 算法，其中Apol為DS所定義的訪問策略對應的層次化訪問結構，Attvir為引入的虛擬屬性，每個DR都具有一個Attvir。

Attvir不代表任何具體的屬性，由本算法自動生成，且Attvir對于DR和DS而言都是透明。設DR的屬性集合為S′ ，則實際參與本算法計算的屬性集合S=S′?{Attvir}。在加密過程中，DS只需進行與虛擬屬性Attvir相關的少量計算，大部分計算開銷可轉(zhuǎn)移至CCS。虛擬屬性Attvir有關的具體操作過程見2.2.2 小節(jié)。在解密過程中，DR也只需要進行少量計算，大部分計算開銷也可轉(zhuǎn)移至CCS。上述過程不會造成任何數(shù)據(jù)泄露。

同時，對層次化訪問結構Apol按如下方式來整合生成，如圖3所示。兩份數(shù)據(jù)Data_1和Data_2的樹型訪問結構為A-1 和A-2，A-1 和A-2 具有層次關系，在HLACCP-ABE中其被整合為Apol。DS使用Apol對Data_1和Data_2只需進行一次加密，存儲一份密文。屬性集合為{Psychiatrist，Researcher}的DR-1滿足部分Apol，解得明文Data_1；屬性集合為{Psychiatrist，Professor，Attending Doctor}的DR-2滿足整個Apol，解得所有明文Data_1和Data_2；屬性集合為{Psychiatrist，Associate Professor}的DR-3完全不滿足Apol，故解密失敗。

HLAC-CP-ABE 將原本需要用戶執(zhí)行的大量計算安全地轉(zhuǎn)移到了CCS，并對訪問結構進行優(yōu)化從而顯著提高了方案的整體計算效率，降低了用戶的計算開銷，同時密文存儲開銷也有所減少。

2.2.2 HLAC-CP-ABE設計

對于系統(tǒng)屬性全集為U的HLAC-CP-ABE算法，其主要由如下六個多項式時間函數(shù)構成：

（1）Setup(1k,U)→(PK,MK)：系統(tǒng)初始化函數(shù)以安全參數(shù)k和系統(tǒng)中的屬性全集U為輸入，輸出系統(tǒng)公鑰PK和系統(tǒng)主密鑰MK。

（2）KeyGen(PK,MK,S)→(CTK,DRK)：密鑰生成函數(shù)以系統(tǒng)公鑰PK，系統(tǒng)主密鑰MK和用戶屬性集合S為輸入，輸出和S相關的密鑰SK。SK由計算轉(zhuǎn)移密鑰CTK和數(shù)據(jù)請求者密鑰DRK組成。

（4）Enc.CT(CTDS,PK)→CT：計算轉(zhuǎn)移加密函數(shù)以DS加密函數(shù)處理得到的中間密文集CTDS和系統(tǒng)公鑰PK為輸入，輸出最終密文集CT。

2.3 具體實現(xiàn)過程

HLAC 具體實現(xiàn)過程如圖4 所示，該過程包括如下9個步驟：

（1）AA執(zhí)行Setup()生成系統(tǒng)公鑰PK和系統(tǒng)主密鑰MK（考慮到簡潔性，圖4 及以下過程均省略PK和MK的使用描述）。

（2）DS 通過SKE.KeyGen() 生成對稱加密密鑰集PT={m1,m2,…,mn}。

（3）DS將需要分享的數(shù)據(jù)集Data={Data1,Data2,…,Datan}，使用PT執(zhí)行SKE.Enc()加密后得到密文數(shù)據(jù)集Enc-Data={Enc-Data1,Enc-Data2,…,Enc-Datan}，并將Enc-Data上傳至CSS保存。

（4）DS 指定訪問策略，使用計算開銷較小的Enc.DS()對PT進行初次加密得到中間密文CTDS，并將其發(fā)送至CCS。

（5）CCS將CTDS經(jīng)過計算轉(zhuǎn)移加密Enc.CT()后得到最終密文集CT，并將CT上傳至CSS保存。

（6）當DR對某個數(shù)據(jù)有訪問需要時，先通過AA執(zhí)行KeyGen()獲得與自身屬性相關的密鑰SK，SK由計算轉(zhuǎn)移密鑰CTK和數(shù)據(jù)請求者密鑰DRK組成，然后向CSS 發(fā)起數(shù)據(jù)請求，CSS 將該數(shù)據(jù)的CT發(fā)送至CCS，同時AA將相應的CTK發(fā)送至CCS。

（7）CCS 得到CT和CTK后執(zhí)行計算轉(zhuǎn)移解密Dec.CT()獲得中間明文集PTCT，并將PTCT發(fā)送至DR。

（8）DR 使用DRK對PTCT進行計算開銷極小的Dec.DR()操作后得到最終的對稱密鑰集PT′。若DR的屬性完全不滿足DS 指定的訪問策略，則解密失敗得PT′=⊥；若DR的屬性滿足DS指定的部分訪問策略，則解得部分PT，即PT′={…,mj,…}，j∈(1,n)；若DR 的屬性完全滿足DS 指定的訪問策略，則解得整個PT，即

PT′=PT={m1,m2,…,mn}。

（9）DR從CSS處得到相應的Enc-Data后，使用PT′執(zhí)行SKE.Dec()解密獲得對應的數(shù)據(jù)明文集Data′。

2.4 安全模型

在HLAC 中，AA、CSS、CCS 和DR 的安全性在2.1節(jié)中已給出說明，本節(jié)通過挑戰(zhàn)者C 與敵手A 的選擇明文攻擊（chosen plaintext attack，CPA）博弈游戲描述安全模型，以證實屬性不滿足訪問控制條件的用戶無法獲得與明文相關的任何信息。在本節(jié)中挑戰(zhàn)者C 為AA，敵手A 為惡意DR、CSS或CCS。

Init：敵手A 將挑戰(zhàn)的訪問策略(M*,ρ*)發(fā)送給挑戰(zhàn)者C 。

Setup：挑戰(zhàn)者C 執(zhí)行Setup()算法，并將公共密鑰PK發(fā)送給敵手A ，主密鑰MK保留。

Phase 1：在該階段，允許敵手A 向挑戰(zhàn)者C 申請獲得與屬性集合Atts(Atts?{S1,S2,…,Sq1})相關的密鑰SK={CTK,DRK}（該屬性集合Atts不滿足Init 階段的訪問策略），且該申請可以重復提交有限次，敵手A 每次申請后挑戰(zhàn)者C 通過求得SK，并將其返回至敵手A。

Challenge：敵手A 提交兩個等長的數(shù)據(jù)明文m0和m1，挑戰(zhàn)者C 隨機選擇b∈{0,1}并使用訪問策略(M*,ρ*)加密mb，最后將密文CT*返回至敵手A。

Phase 2：該階段與Phase 1 類似，敵手A可以繼續(xù)用不同的屬性集合向挑戰(zhàn)者C 發(fā)起密鑰申請。

定義1 若不存在多項式時間算法以不可忽略的優(yōu)勢攻破上述安全模型，那么認為本文方案是選擇性安全的。

3 安全性分析

3.1 安全性證明

本節(jié)基于2.4節(jié)給出的安全模型證明定理1。

定理1 若決策性q-Parallel BDHE 假設在群G0和G1中成立，那么不存在敵手能以大小為l*×n*(l*,n*≤q)的挑戰(zhàn)訪問策略(M*,ρ*)在多項式時間內(nèi)選擇性地攻破本方案。

證明 假設存在敵手A 在本文的選擇性安全游戲中有不可忽略的優(yōu)勢AdvA=ε，那么可以構建挑戰(zhàn)者C以不可忽略的優(yōu)勢AdvC解決決策性q-Parallel BDHE問題。

Init：挑 戰(zhàn) 者C 以 挑 戰(zhàn) 元 組(y,T) 為 輸 入，T∈{e(g,g)βq+1s,R}，敵手A 選擇一個訪問策略(M*,ρ*)。

Phase 1：挑戰(zhàn)者C 回應敵手A 的密鑰申請，其中

Phase 2：與Phase 1 類似，敵手A可繼續(xù)提交密鑰申請，限制條件與Phase 1相同。

Guess：敵手A 給出猜測值b′∈{0,1}，若b′=b，則挑戰(zhàn)者C 輸出0，代表T=e(g,g)βq+1s；若b′≠b，則挑戰(zhàn)者C 輸出1，代表T=R，R∈G1。當T=e(g,g)βq+1s時挑戰(zhàn)者C 可以輸出一個有效的仿真，由2.4節(jié)的安全模型能得到敵手A 的優(yōu)勢為：

3.2 機密性分析

在數(shù)據(jù)存儲和計算轉(zhuǎn)移加解密過程中CSS 和CCS能夠知曉用戶的中間密文數(shù)據(jù)并可能試圖解密獲得明文，此外DR間可能存在串謀問題。

對于CSS：在HLAC中CSS的主要作用是存儲真實數(shù)據(jù)集Data經(jīng)過對稱加密后的密文集Enc-Data和存儲對稱密鑰集PT經(jīng)過HLAC-CP-ABE 加密后的密文集CT。常用的對稱加密算法普遍認為是安全的，從3.1 節(jié)可知HLAC 是CPA 安全的，CSS 無法從CT中得到任何有效信息，只有當DR 的屬性滿足DS 加密時設定的訪問策略時才能解得明文集PT。

對于CCS：在HLAC中CCS的主要作用是將中間密文集CTDS二次加密Enc.CT()得到最終密文集CT以及將密文集CT初次解密Dec.CT() 得到中間明文集PTCT。CCS執(zhí)行Enc.CT()時其只有CTDS和公鑰PK的信息，涉及私密性的v，(r1,r2,…,rl-1)和rvir由DS隨機選擇；λvir和(λ1,λ2,…,λl-1) 由DS 計算；核心組件C*j,Cj,Cvir,Dvir的計算也在DS 處進行；且與虛擬屬性Attvir有關的rvir和λvir不會發(fā)送給CCS，因此CCS無法根據(jù)CTDS反推出mj，j∈(1,n)。初次解密Dec.CT()時CCS 通過計算轉(zhuǎn)移密鑰CTK解得PTCT，若CCS 想解得明文集PT，那么必須先通過數(shù)據(jù)請求者密鑰DRK求得到Φ=e(g,g)αsj然后才能由C*j/Φ解得mj，但DRK只有AA 和滿足訪問策略的DR 知曉且AA 是完全可信的，故只有該DR 可以解得mj，若DR 的屬性完全不滿足其請求數(shù)據(jù)的訪問策略，則PTCT=⊥從而PT′=⊥；若滿足部分訪問策略則解得部分PT；若完全滿足則解得完整的PT。

對于串謀攻擊：若DRw與DRu想通過組合它們的屬性Sw和Su偽造合法屬性S，那么必須使K、L、Kvir完全一致。但KeyGen()時AA 隨機選擇t,δ∈Zp，對于DRw與DRu而言tw≠tu,δw≠δu，從而Kw≠Ku,Lw≠Lu,Kvirw≠Kviru；若DR 想自我計算密鑰，那么必須獲得主密鑰MK=gα，但MK由AA 創(chuàng)建保管，并不對外公布，所以DR 無法自我有效計算。綜上可知HLAC 可以有效防止串謀攻擊。

4 性能評估

總的計算開銷由CCS 計算開銷和用戶計算開銷組成。由表1可知當屬性數(shù)量固定時，四種方案的各計算開銷大多與訪問結構層次數(shù)n正相關，但由于LDSS并未考慮到訪問結構可能具有層次，其加解密的理論總開銷大于FH、EFH 和HLAC。具體而言，隨著n的增加，LDSS方案的加密總開銷增量為((2|Apol|+3)EG0+EG1)Δn，其他三種方案都為(EG0+EG1)Δn。但在FH和EFH中所有的加解密操作都由用戶執(zhí)行，故用戶設備的計算能力越弱，計算的總時間越長。當n固定時，用戶承擔的計算量與屬性成正比，但在LDSS 和HLAC 中用戶都只需執(zhí)行少量計算，大部分計算都轉(zhuǎn)移至CCS處進行，故即使用戶設備的計算能力較弱，但總的計算時間仍然較短。以加密操作為例，LDSS和HLAC方案的DS加密開銷分別為3nEG0+nEG1和(3+n)EG0+nEG1，而FH和EFH的DS 加密開銷分別達到了(2|Apol|+n)EG0+(2|AT|+n)EG1和(2|Apol|+|AT|+n)EG0+(2|AT|+n)EG1，這遠大于其他兩種方案，且此開銷隨著屬性數(shù)量和n的增加而增加。由表2 可知LDSS 較其他三種方案，CT存儲開銷存在較大差異。這是由于LDSS 未考慮到訪問結構可能具有層次，訪問結構每增加一層，相應的CT需要再存儲一次，當屬性數(shù)量固定時，LDSS比其他三種方案多O(n)次LG0的存儲開銷，且該存儲開銷增量隨著屬性數(shù)量的增加而增加。

表1 理論計算開銷對比Table 1 Comparison of theoretical calculation cost

表2 理論存儲開銷對比Table 2 Comparison of theoretical storage cost

實驗仿真PC 配置為Windows 10，Intel Xeon E3-1220V2 @3.1 GHz，8 GB RAM；移動端配置為Android 4.1，Qualcomm Snapdragon APQ8064 @1.5 GHz，2 GB RAM。實驗算法基于Java Pairing-Based Cryptography library（JPBC-1.2.1）[27]和libfenc ABE library[28]編寫，并使用基于512 位有限域上的超奇異曲線y2=x3+x的160 位Type A 橢圓曲線群，所有的實驗結果為30 次實驗的平均值，表3為各設備中的基礎運算和存儲開銷。

表3 基礎運算和存儲開銷Table 3 Cost of basic calculation and storage cost

圖5為四種方案在不同情況下的加解密開銷對比，圖5（a）、圖5（b）訪問結構層次固定為2，圖5（c）、圖5（d）屬性數(shù)量固定為30。從圖5（a）可知，各方案的加解密總開銷都隨著屬性數(shù)量的增加而增加（加密總開銷為CCS 加密開銷與DS 加密開銷之和，解密總開銷為CCS解密開銷與DR 解密開銷之和）。但LDSS 和HLAC 都將大部分計算轉(zhuǎn)移到了CCS進行，計算能力有限的移動設備只需執(zhí)行少量計算，F(xiàn)H 和EFH 中所有加解密計算都由移動設備執(zhí)行，故隨著屬性數(shù)量的增長，F(xiàn)H和EFH的加解密總開銷大幅增加，LDSS 和HLAC 加解密總開銷小幅增加。此外HLAC 的訪問策略基于LSSS 構建，加密時較LDSS 少了(|Apol|+1)EG0的計算開銷，解密時較LDSS少了2|Apol|PG0的計算開銷，故HLAC較LDSS所需加解密總時間更短。當屬性數(shù)量為30時，HLAC加密總開銷僅為1 342 ms，解密總開銷僅為486 ms。由圖5（b）可知，用戶加解密時LDSS 和HLAC 方案的計算開銷都不隨屬性數(shù)量的變化而變化，且相差不大。這是因為在LDSS和HLAC中用戶加解密時都只需要執(zhí)行常數(shù)次Gi(i∈{0,1})上的冪運算，但在FH 和EFH 中，所有的計算都由用戶完成，故FH和EFH的用戶加解密開銷遠大于其他兩種方案。由圖5（c）可知，F(xiàn)H、EFH和HLAC的加解密總開銷隨著訪問結構層次的增加而小幅增加，但LDSS并未考慮訪問結構具有層次的問題，訪問結構層次每增加一層，CCS加密開銷增加了2|Apol|EG0，CCS解密開銷增加了|Apol|EG1+(2|Apol|+1)PG0，故其加解密總開銷隨著訪問結構層次的增加而大幅增加，且在訪問結構層次為6 時其加密總開銷已經(jīng)超過FH 和EFH，達到了10 056 ms。由圖5（d）可知，隨著訪問結構層次的增加，LDSS 的用戶加解密開銷大幅增加，這是因為在LDSS 中用戶需要進行冗余的計算，訪問結構層次每增加一層，DS加密開銷增加了3EG0+EG1，DR解密開銷增加了|Ao|EG1，當訪問結構層次為8 時其用戶加密和解密開銷分別達到了3 976 ms 和3 812 ms，而HLAC 僅為795 ms和98 ms。雖然FH、EFH和HLAC的用戶加解密開銷都隨著訪問結構層數(shù)的增加而緩慢增加，但由于HLAC 的用戶只需要承擔少部分計算任務，而FH 和EFH的用戶承擔了全部計算任務，故FH和EFH的用戶加解密開銷遠大于HLAC。

各方案密文存儲開銷隨屬性數(shù)量和訪問結構層次的變化如圖6 所示，圖6（a）訪問結構層次固定為2，圖6（b）屬性數(shù)量固定為30。由圖6（a）可知，各方案密文存儲開銷都與屬性數(shù)量成正比，在LDSS中存儲開銷隨屬性數(shù)量變化的增量為4| ΔApol|LG0，其增長系數(shù)為4，而FH、EFH和HLAC的增量都為2| ΔApol|LG0，增長系數(shù)都為2，故LDSS的增幅較大，每增加5個屬性，其密文增加8 KB 左右，此項數(shù)據(jù)FH、EFH 和HLAC 都僅為4 KB 左右。由圖6（b）可知，各方案密文存儲開銷都與訪問結構層次數(shù)成正比，但LDSS未考慮訪問結構具有層次的問題，其需要存儲冗余的密文，每增加一層訪問結構，密文增加了(2|Apol|+3)LG0+LG1，達到了22.5 KB 左右，而FH、EFH和HLAC對具有層次的訪問結構進行了優(yōu)化，每增加一層訪問結構，密文都僅增加了1 KB左右。

綜上可知HLAC 的加解密開銷和密文存儲開銷在屬性數(shù)量和訪問結構層次增加時都具有一定優(yōu)勢，并且在云端和用戶端都具有較高的效率。

5 結束語

本文提出了一種適用于計算能力受限設備的層次化輕量級訪問控制方案HLAC，HLAC 基于HLAC-CPABE實現(xiàn)。HLAC引入了虛擬屬性和雙密鑰，使得用戶在加密和解密階段都只需要執(zhí)行少量計算，大部分計算被安全地轉(zhuǎn)移至云端執(zhí)行；且HLAC對具有層次關系的多個LSSS 訪問結構進行整合優(yōu)化，避免了冗余的加解密計算和密文存儲，更進一步提高了效率。此外，本文基于決策性q-Parallel BDHE假設對HLAC進行了選擇明文攻擊的安全性證明，同時機密性分析表明HLAC能夠保證數(shù)據(jù)機密性并可以有效抵抗串謀攻擊。最后，性能評估顯示HLAC 在用戶設備計算能力有限和訪問結構具有層次時，云端和用戶端都具有較高的計算效率，且顯著降低了用戶端的計算開銷，同時密文存儲開銷也較小。因此HLAC 尤其適用于當前移動互聯(lián)網(wǎng)環(huán)境中基于云存儲的大量數(shù)據(jù)安全訪問的場景。