許城洲,王 晨,張文濤

(1.中國航天系統(tǒng)科學(xué)與工程研究院,北京 100037；2.中國航天科技集團有限公司,北京 100048)

1 引言

云技術(shù)為用戶提供了便捷的共享途徑和廉價的存儲成本。希捷預(yù)測，到2025年，全球數(shù)據(jù)的增長量將達到163 ZB，將數(shù)據(jù)上傳至云存儲服務(wù)器成為越來越多的人選擇。然而，將數(shù)據(jù)上傳至云端會降低用戶對數(shù)據(jù)的控制，有數(shù)據(jù)泄漏的風(fēng)險。研究人員提出了很多加密方案[1 - 3]。在基于云技術(shù)的數(shù)據(jù)共享應(yīng)用中，安全的數(shù)據(jù)保護和便捷的數(shù)據(jù)共享成為云環(huán)境中需要達成的目標(biāo)。密文策略屬性基加密CP-ABE(Ciphertext-Policy Attribute-Based Encryption)支持“一對多”的訪問模式和細粒度的訪問控制，被認(rèn)為是云環(huán)境中實現(xiàn)數(shù)據(jù)安全共享的理想途徑。研究人員針對云環(huán)境中不同應(yīng)用場景的數(shù)據(jù)安全共享，提出了許多CP-ABE方案，使屬性基加密機制在高效性、安全性和訪問結(jié)構(gòu)表達性等方面有了較大的提升。然而這些方案在前后向安全、用戶追蹤和撤銷等方面仍有較多需解決的問題。

在云環(huán)境的應(yīng)用中，用戶撤銷和用戶屬性撤銷是CP-ABE方案需要解決的重要問題。例如，用戶屬性時間到期、用戶密鑰被盜用和濫用時，方案需要安全撤銷機制以維護系統(tǒng)正常運行。撤銷分為直接撤銷[4 - 6]和間接撤銷[7 - 9]2種形式。直接撤銷通過證書撤銷列表、證書撤銷樹等實現(xiàn)撤銷，間接撤銷通過定期發(fā)布更新密鑰實現(xiàn)撤銷。撤銷也分為用戶撤銷[4，10，11]、用戶屬性撤銷[12，13]和系統(tǒng)屬性撤銷[14]。用戶撤銷、用戶屬性撤銷后，需要防止惡意用戶使用撤銷前的密鑰對密文進行解密，即方案需要具有前向安全性。Boldyreva等[15]首次提出了可撤銷ABE方案，授權(quán)機構(gòu)維護一個撤銷列表，周期性對系統(tǒng)用戶密鑰進行更新，通過不更新撤銷用戶密鑰實現(xiàn)用戶撤銷。文獻[16]利用時間戳為每個屬性設(shè)定有效時間，通過服務(wù)器周期性更新用戶密鑰實現(xiàn)用戶屬性撤銷。文獻[17]通過服務(wù)器代理進行屬性撤銷，在撤銷屬性時，通過重加密技術(shù)生成重加密密鑰對用戶密鑰和密文進行更新。文獻[18]提出的支持撤銷屬性基加密方案完善了撤銷方案的前向安全性，訪問策略支持“與門”和“或門”，但是在撤銷階段，用戶計算開銷較大。文獻[19]提出了基于屬性組的支持屬性撤銷的屬性基加密方案，方案可以抗合謀攻擊，但是用戶和屬性授權(quán)機構(gòu)存儲開銷較大。文獻[20]將用戶信息與二叉樹相關(guān)聯(lián)，并基于二叉樹的管理實現(xiàn)用戶撤銷和追蹤。文獻[21]同樣基于與用戶信息相關(guān)聯(lián)的二叉樹實現(xiàn)了方案的可撤銷和可追蹤功能，并通過將用戶屬性名和屬性特征值分離實現(xiàn)了隱私保護功能，但計算效率較低。

現(xiàn)有的CP-ABE方案中，訪問策略一般限定判斷用戶是否擁有某種屬性組合，從而實現(xiàn)訪問控制。這些方案無法限定用戶擁有屬性的時間，即不同用戶在不同時間擁有同一屬性在訪問策略的限定中同樣有效。云環(huán)境的訪問控制應(yīng)用中，用戶可能希望設(shè)定某一時間點之前或之后擁有特定屬性的人群能夠訪問自己的數(shù)據(jù)，因此在該應(yīng)用場景需求下，需要對用戶擁有屬性的時間進行區(qū)分，即方案需要具有后向安全性。文獻[22]設(shè)置時間周期樹結(jié)構(gòu)管理用戶密鑰，在用戶解密階段驗證用戶密鑰是否在有效期內(nèi)，從而實現(xiàn)基于時間的訪問控制。文獻[23]在其基礎(chǔ)上增加了可追蹤功能并通過外包降低了本地計算開銷，然而方案均基于系統(tǒng)整體時間限定用戶密鑰有效期，無法在文件中對單個屬性進行時間限制。群元素運算計算開銷較大，結(jié)合時間因子的屬性基加密方案解密階段包含時間認(rèn)證和屬性認(rèn)證2個階段，與多因素認(rèn)證在流程上相似，汪定等[24，25]提出的多因素認(rèn)證方案使用哈希運算和邏輯位運算實現(xiàn)參數(shù)加解密和驗證，方案計算開銷較低。

為了同時實現(xiàn)CP-ABE方案前后向安全、用戶追蹤和撤銷功能，本文提出一種基于時間因子的可撤銷可追蹤屬性基加密方案。該方案具有用戶追蹤、用戶撤銷和用戶屬性撤銷功能，且具有前后向安全性，主要研究工作如下：

(1)提出了一種基于時間因子的屬性基加密方案。該方案在生成用戶密鑰時，根據(jù)用戶獲取屬性時間生成時間因子并標(biāo)記用戶密鑰中的屬性特征值，數(shù)據(jù)擁有者上傳數(shù)據(jù)時對用戶擁有屬性時間進行限定，從而實現(xiàn)基于時間和屬性的訪問控制，豐富了系統(tǒng)訪問策略并實現(xiàn)了方案的后向安全性。

(2)實現(xiàn)了快速的用戶撤銷和用戶屬性撤銷。時間認(rèn)證服務(wù)器保留用戶屬性時間參數(shù)，在用戶解密時，基于屬性時間參數(shù)進行屬性時間認(rèn)證。用戶屬性撤銷時，時間認(rèn)證服務(wù)器更改屬性時間參數(shù)值并更新用戶其他屬性時間因子；用戶撤銷時，時間認(rèn)證服務(wù)器刪除屬性時間參數(shù)即可。方案降低了撤銷計算開銷，且避免了撤銷時對其他用戶造成干擾。

(3)實現(xiàn)了對惡意泄露密鑰用戶的高效追蹤和屬性時間認(rèn)證外包。將用戶唯一標(biāo)識uid加密后所得ruid融入用戶密鑰中，用戶密鑰泄露時通過分離并解密ruid實現(xiàn)用戶追蹤。采用認(rèn)證外包技術(shù)將屬性時間認(rèn)證外包給時間認(rèn)證服務(wù)器，降低了用戶解密時的本地計算開銷。

2 相關(guān)知識

2.1 雙線性映射

設(shè)循環(huán)乘法群G和GT的階為素數(shù)q，群G上的一個生成元為g，存在雙線性映射e:G×G→GT，該雙線性映射具有以下性質(zhì)：

(2)非退化性：?g1,g2∈G，滿足e(g1,g2)≠1。

(3)可計算性：?g1,g2∈G，e(g1,g2)可在多項式時間內(nèi)計算得到。

2.2 困難假設(shè)

設(shè)G是以g為生成元、階為素數(shù)q的循環(huán)乘法群，e為雙線性映射，a,b,c是Zq中的隨機元素，R是G中的隨機元素。判定性雙線性Diffie-Hellman DBDH(Decision Bilinear Diffie-Hellman)問題假設(shè)定義如下：

給定2個元組:(g,ga,gb,gc,e(g,g)abc)和(g,ga,gb,gc,R)。如果在任意多項式時間內(nèi)算法A解決G中的DBDH問題的優(yōu)勢為：

ε=|Pr[A(g,ga,gb,gc,Z=e(g,g)abc)=0]

-Pr[A(g,ga,gb,gc,Z=R)=0]|

定理1若對于任何多項式時間算法解決DBDH困難問題的優(yōu)勢ε是可以忽略的，DBDH問題假設(shè)成立。

2.3 安全模型

本節(jié)給出所提CP-ABE方案的安全模型。該安全模型由攻擊者A和挑戰(zhàn)者B之間的交互性游戲定義。攻擊者以不可忽略的優(yōu)勢攻破DBDH困難問題。

初始化：A選擇2個挑戰(zhàn)訪問結(jié)構(gòu)W0和W1，并發(fā)送給B。

系統(tǒng)建立：B運行設(shè)置算法，生成系統(tǒng)公開參數(shù)MPK，并將其發(fā)送給A。

猜測：攻擊者輸出對τ的猜測結(jié)果τ′，如果τ=τ′則A贏得該游戲。

A在該游戲中的優(yōu)勢定義為：adv=|Pr[τ=τ′]-1/2|。

定理2如果在任何多項式時間內(nèi)，A贏得該游戲的優(yōu)勢可以被忽略，則該CP-ABE方案被認(rèn)為是選擇性CPA安全的。

3 方案描述

3.1 系統(tǒng)形式化描述

本文方案中包含5類實體：屬性授權(quán)終端AA(AttributeAccess)，負責(zé)初始化系統(tǒng)并為每個用戶生成用戶密鑰，接收用戶撤銷請求或向用戶和時間認(rèn)證服務(wù)器發(fā)出屬性撤銷指令；數(shù)據(jù)擁有者DO(DataOwner)，為數(shù)據(jù)設(shè)置訪問策略并根據(jù)訪問策略對數(shù)據(jù)進行加密，最后將密文上傳至云存儲服務(wù)器CSS(CloudStorageServer)；CSS,負責(zé)存儲DO上傳的密文和響應(yīng)用戶數(shù)據(jù)下載需求；數(shù)據(jù)使用者DU(DataUser)，從授權(quán)中心獲取用戶密鑰，從CSS下載密文后將屬性密鑰時間參數(shù)上傳至?xí)r間驗證服務(wù)器TVS(TimeVerificationServer)進行驗證，用戶屬性和時間均滿足訪問策略即可對密文解密；TVS，接收DU上傳的用戶和密文屬性時間參數(shù)，進行時間驗證并返回驗證結(jié)果。方案的形式化定義描述如下：

(1)系統(tǒng)建立：AA根據(jù)安全參數(shù)ρ和系統(tǒng)屬性集生成系統(tǒng)公鑰MSK和系統(tǒng)私鑰MPK。

(2)密鑰生成：AA為用戶分配屬性集，并生成用戶唯一身份標(biāo)識uid、用戶唯一時間參數(shù)Tr和屬性密鑰，將Tr發(fā)送給TVS，將uid和屬性密鑰發(fā)送給用戶。

(3)加密：DO設(shè)置訪問策略P，使用加密算法對數(shù)據(jù)m進行加密，生成密文c。

(4)屬性時間認(rèn)證：DU將自己密鑰中屬性時間因子和密文中屬性時間因子上傳至TVS，TVS進行屬性時間認(rèn)證并將認(rèn)證結(jié)果返回給DU。

(5)解密：若TVS返回認(rèn)證結(jié)果表明DU的屬性集滿足P，DU可以進行解密并恢復(fù)數(shù)據(jù)m，否則解密失敗。

(6)用戶屬性撤銷：TVS為用戶選擇新的時間參數(shù)Tr′，對用戶密鑰時間參數(shù)進行重加密，用戶刪除該屬性相關(guān)參數(shù)。

(7)用戶撤銷：TVS刪除本地存儲的用戶時間參數(shù)Tr。

(8)追蹤：對用戶密鑰進行驗證，并根據(jù)用戶中參數(shù)解密用戶uid從而追蹤用戶。

3.2 方案概述

基于時間因子的可撤銷可追蹤的屬性基加密方案通過時間因子差異化不同用戶的同一屬性，豐富了訪問策略，同時使方案具有前向安全性和后向安全性，另外方案也支持用戶撤銷和用戶屬性撤銷，具體構(gòu)造如下：

(1)系統(tǒng)建立階段。

令A(yù)={A1,A2,…,An}為系統(tǒng)屬性空間，ρ為安全參數(shù)，循環(huán)乘法群G和GT的階為素數(shù)q，群G上的一個生成元為g，雙線性映射e:G×G→GT，隨機值α∈Zq，計算Y=e(g,g)α，為系統(tǒng)中每個屬性Ai選擇隨機值ki∈Zq(i∈[1,n])，計算Ki=gki。選擇2個單向抗碰撞的哈希函數(shù)H1:{0,1}*→{0,1}lT，H2:{0,1}*→{0,1}ρ，其中l(wèi)T為時間因子長度。選擇對稱加密算法Eu(ku,id)，其中ku為系統(tǒng)加密用戶身份標(biāo)識id密鑰。選擇非對稱加解密算法Ep(kY,m)和Dp(kx,c)，其中kY和kx分別代表加密公鑰和私鑰，系統(tǒng)公鑰和私鑰分別為：

MPK=(H1,H2,g,Y,kY,{Ki})

MSK=(α,{ki},ku,kx)

(2)密鑰生成。

系統(tǒng)為每個用戶分配唯一身份標(biāo)識uid，選擇隨機值作為Tr并由AA和TVS保存，計算ruid=Eu(ku,uid)，D0,1=ruid，D0,2=uid，選擇隨機值vuid∈Zq，計算D1=gα+vuid，授權(quán)中心為用戶屬性集Uid中每個屬性Ai選擇隨機值λi∈Zq，計算D2,i=gλi，標(biāo)記用戶獲取屬性Ai的時間為Ti,1，計算D3,i=gkiλi+vuidruid，計算D4,i,1=H1(ruid‖uid‖atti‖Tr)⊕Ti,1，其中atti為屬性Ai的名稱，D4,i,2=H1(uid‖ruid‖Tr‖Ti,1)，用戶密鑰為(D0,1,D0,2,D1,{D2,i},{D3,i},{D4,i,1,D4,i,2})。

(3)加密。

(4)屬性時間認(rèn)證。

DU將密文中的{C3,i}和密鑰中的{D4,i,1,D4,i,2}上傳至TVS，TVS計算：

ai‖Ti,2‖attm‖BA=Dp(kx,C3,i)

ht′i=H1(r′uid‖uid′‖att′i‖Tr)

T′i,1=D4,i,1⊕ht′i

TVS根據(jù)標(biāo)記BA比較Ti,2和T′i,1，如果BA標(biāo)記為前向，Ti,2≥Ti,1；如果BA標(biāo)記為后向，Ti,2

當(dāng)用戶屬性集中所有屬性滿足訪問策略屬性時間要求時，TVS返回用戶{TVi}。

(5)解密。

DU的屬性集時間認(rèn)證成功會從TVS處返回{TVi}，DU計算：

∏e(g,g)si vuid ruid

DU可以通過計算Cm=H2(c‖m)來判斷是否解密成功。如果解密成功，則輸出明文m，如果解密失敗，返回⊥。

(6)用戶屬性撤銷。

當(dāng)系統(tǒng)中用戶uid需要撤銷屬性Ai時，AA向TVS發(fā)送屬性撤銷指令，TVS暫停對用戶uid的屬性時間認(rèn)證，用戶上傳自己密鑰中的{D4,j,1,D4,j,2|Aj∈Uid}。TVS為用戶重新選擇Tr′，計算：

ht′j=H1(ruid‖uid‖attj‖Tr)

Tj,1=D4,j,1⊕htj

D′4,j,1=H1(ruid‖uid‖attj‖Tr′)⊕Tj,1

D′4,j,2=H1(ruid‖uid‖Tr′‖Tj,1)

TVS向用戶返回{D′4,j,1,D′4,j,2}，更新用戶時間參數(shù)Tr為Tr′。用戶收到TVS返回的消息后，更新本地密鑰中的{D4,j,1,D4,j,2}并刪除(D2,i,D3,i,D4,i,1,D4,i,2)。

(7)用戶撤銷。

當(dāng)系統(tǒng)需要撤銷用戶uid時，AA向TVS發(fā)送用戶撤銷指令，TVS刪除本地用戶時間參數(shù)Tr即可。

(8)用戶追蹤。

首先對用戶進行以下檢查：

D0,1,D0,2∈Zp

D1,{D2,i},{D3,i}∈G

e(D2,i,Ki)e(D1g-α,gD0,1)=e(g,D3,i)≠1

如果用戶私鑰通過檢查，計算uid=Du(ku,ruid)，根據(jù)uid得到對應(yīng)用戶；否則，返回⊥。

4 安全性分析

4.1 抗串謀攻擊

CP-ABE方案能夠抵抗串謀攻擊，是為了避免多個屬性集不滿足訪問策略的用戶，通過相互交換信息，從而得到滿足訪問策略的用戶屬性集。用戶對密文進行解密時，須計算得到e(g,g)αs，得到e(g,g)αs需要對密文中的{C1,i}和用戶D1進行雙線性配對運算：∏e(C1,i,D1)=e(g,g)αs+vuids。vuid是隨機生成的，不同的用戶的vuid不相等，用戶無法通過D1=gα+vuid計算得到α+vuid，因為這是離散對數(shù)問題DLP(DiscreteLogarithmProblem)困難的。在用戶密鑰中vuid同時存在于D3,i=gkiλi+vuidruid中，用戶可得gki和gλi，但是無法計算得到gkiλi，這是判定性Diffie-HellmanDDH(DecisionDiffie-Hellmam)困難的。在用戶撤銷和用戶屬性撤銷時，通過更新或刪除用戶密鑰中的時間參數(shù)Tr實現(xiàn)，參數(shù)中不包含vuid，用戶撤銷過程不會造成參數(shù)泄露。綜上，用戶之間合謀也無法突破盲化因子vuid對密文的保護，因此本文方案可以抵抗合謀攻擊。

4.2 安全證明

本節(jié)采用文獻[26]中的安全證明方法證明所提方案在DBDH假設(shè)下是選擇性CPA安全的。

證明若攻擊者A可以以一個不可忽略的優(yōu)勢ε>0在多項式時間內(nèi)破解本文方案，那么存在一個模擬器β可以在多項式時間內(nèi)以不可忽略的優(yōu)勢ε/2解決DBDH問題。

循環(huán)乘法群G和GT的階為素數(shù)q，群G上的一個生成元為g，雙線性映射e:G×G→GT，a,b,c是Zq中的隨機元素，R是GT中的隨機元素。挑戰(zhàn)者D拋擲一枚硬幣τ1∈{0,1}，選擇四元組(ga,gb,gc,Z)發(fā)送給β，模擬器β在之后的步驟中扮演挑戰(zhàn)者的角色。當(dāng)τ1=0時，四元組(ga,gb,gc,Z)=(ga,gb,gc,e(g,g)abc);當(dāng)τ1=1時，四元組(ga,gb,gc,Z)=(ga,gb,gc,R)。

(1) 初始化。

A首先提交2個挑戰(zhàn)訪問結(jié)構(gòu)W0和W1，并將其發(fā)送給β，β隨機拋擲一枚硬幣選取隨機數(shù)τ1∈{0,1}。

(2) 系統(tǒng)建立。

計算Y=e(ga,gb)=e(g,g)ab，為系統(tǒng)中每個屬性Ai選擇隨機值ki∈Zq，計算Ki=gki。選擇2個哈希函數(shù)H1:{0,1}*→{0,1}lT，H2:{0,1}*→{0,1}ρ。選擇對稱加密算法Eu(ku,id)，選擇非對稱加解密算法Ep(kY,m)和Dp(kx,c)。

β將參數(shù)(H1,H2,g,Y,kY,{Ki})發(fā)送給攻擊者A。

(3) 查詢階段1。

(4) 挑戰(zhàn)。

A隨機選擇2個等長的數(shù)據(jù)M0和M1，并將它們提交給β。β隨機選擇數(shù)τ∈{0,1}對數(shù)據(jù)Mτ進行加密計算：C1,i=gsi，C2,i=gkisi+aiTi,2，C3,i=Ep(kY,ai‖Ti,2‖attm‖BA)，c=MτV，Cm=H2(c‖Mτ)并發(fā)送給A。生成加密密文CT=(c,Cm,{C1,i},{C2,i},{C3,i}),β將密文返回給A。

(5) 查詢階段2。

A重復(fù)查詢階段1的詢問，限制條件與階段1相同，β如查詢階段1一樣回應(yīng)A。

(6) 猜測。

A提交一個對τ的猜測值τ′。如果τ=τ′，則τ1=0；否則τ≠τ′，則τ1=1。

當(dāng)Z=e(g,g)abc時，由DBDH問題，A猜測到τ=τ′的優(yōu)勢為ε，此時：

Pr[τ=τ′|V=e(g,g)abc]≥1/2+ε

當(dāng)τ=τ′時，β提交對τ1的猜想τ′1=0，此時：

Pr[τ1=τ′1|V=e(g,g)abc]=1/2+ε

當(dāng)Z=R時，由DBDH問題假設(shè)，V是選擇的隨機數(shù)，A無法得到關(guān)于τ的任何消息，當(dāng)τ≠τ′時，A無法區(qū)分τ1，此時有Pr[τ≠τ′|V=R]=1/2。當(dāng)τ≠τ′時，β提交對τ1的猜想τ′1=1，此時有Pr[τ1=τ′1|V=R]=1/2。

綜上，挑戰(zhàn)者β破解DBDH困難問題的優(yōu)勢為：

Pr[τ1=τ′1|V=R])-1/2≥ε/2

不存在攻擊者在多項式時間內(nèi)可以以不可忽略的優(yōu)勢破解DBDH困難問題，因此不存在以不可忽略的優(yōu)勢打破本文方案，本文方案是選擇性CPA安全的。

5 性能分析

本節(jié)將文獻[8]方案、文獻[20]方案、文獻[21]方案、文獻[23]方案和本文方案在功能和計算開銷2個方面進行分析比較。方案中雙線性配對運算、橢圓曲線標(biāo)量乘法和群元素冪運算的運算開銷較大，因此忽略其他運算開銷較小的運算，如哈希運算、邏輯位運算和加減運算等。部分方案采用計算外包的方式降低本地計算開銷，方案計算代價分析時僅考慮本地計算開銷。表1中列舉了在進行方案性能對比時所用到的符號和說明，其中文獻[20,21,23]使用密鑰加密密鑰KEK(KeyEncryptionKey)樹結(jié)構(gòu)。

Table 1 Symbol explanation表1 符號說明

表2給出了本文方案和文獻[8,20,21,23]方案的功能對比，本文方案同時實現(xiàn)了用戶撤銷和用戶屬性撤銷，其余方案僅實現(xiàn)用戶撤銷或者用戶屬性撤銷。本文方案在撤銷用戶屬性時，僅需要更新用戶密鑰中的時間標(biāo)記因子，不需要更新所有密文，降低了運算開銷。本文方案在撤銷用戶時，僅需要刪除用戶時間參數(shù)Tr，從而實現(xiàn)快速撤銷；文獻[20,21，23]需要更新系統(tǒng)密文；文獻[8]需要通過額外設(shè)置系統(tǒng)版本標(biāo)簽和更新用戶密鑰實現(xiàn)。本文方案同時實現(xiàn)了可追蹤和可驗證功能，文獻[8,20,21]中部分實現(xiàn)該功能。本文方案通過為用戶每個屬性標(biāo)記屬性獲取時間，并在解密時與密文中時間標(biāo)記進行比較，增加了訪問策略中對用戶擁有屬性時間限制功能，實現(xiàn)了方案的后向安全，文獻[23]通過標(biāo)記用戶屬性有效期實現(xiàn)了方案的后向安全，但是方案沒有細化標(biāo)記用戶屬性時間；本文方案通過用戶密鑰更新和Tr標(biāo)識管理，保證撤銷屬性用戶和撤銷用戶無法繼續(xù)解密密文，實現(xiàn)了方案的前向安全性，計算開銷基于用戶撤銷和用戶屬性撤銷。最后方案通過將認(rèn)證流程外包給時間認(rèn)證服務(wù)器，降低了用戶本地計算開銷。

Table 2 Comparison of functions表2 功能比較

表3給出了本文方案和文獻[8,20,21,23]方案的性能對比。本文方案對用戶獲取屬性時間進行標(biāo)記，解密時進行時間驗證，從而實現(xiàn)了方案的前后向安全并豐富了系統(tǒng)的訪問策略；在密鑰生成階段和加密階段為每個屬性生成隨機因子，增加了系統(tǒng)抗串謀攻擊的能力和提升了密文的安全性；將時間因子相關(guān)計算采用哈希運算，降低了因添加訪問功能導(dǎo)致的加密階段和密鑰生成階段計算開銷。本文方案通過關(guān)鍵參數(shù)控制的方式實現(xiàn)用戶撤銷和用戶屬性撤銷，不需要通過KEK樹實現(xiàn)，不需要進行文獻[20,21,23]中與KEK樹相關(guān)的計算，且方案中使用群元素乘法較少，所以方案中的加密時間和密鑰生成時間少于其他方案的。在解密階段，由于本文方案加密和密鑰生成階段為每個屬性生成隨機值，解密時需要逐個配對和消解，帶來一定的計算開銷，本文方案解密開銷低于文獻[8,21]方案的，高于文獻[20,23]方案的。在用戶屬性撤銷階段，由于僅需要更新撤銷用戶密鑰中屬性時間標(biāo)記，且撤銷過程中運算為哈希運算和邏輯位運算，計算均由TVS執(zhí)行，本地計算開銷可忽略不計，文獻[20,21,23]需要更新系統(tǒng)中密文實現(xiàn)，用戶屬性撤銷開銷低于其他開銷，當(dāng)系統(tǒng)撤銷用戶時，僅需要刪除用戶時間參數(shù)Tr即可，計算開銷忽略不計。

Table 3 Comparison of computing overhead表3 計算代價比較

6 實驗仿真

本文對表2中方案進行了實驗仿真，實驗運行環(huán)境為Intel(R) Core(TM) i5-8259U CPU @3.2 GHz，8.00 GB內(nèi)存，MacOS Big Sur 11.3操作系統(tǒng)。仿真程序采用Python(版本3.8)，基于PyPBC庫(版本0.2)和PyCharm開發(fā)環(huán)境編寫。

圖1展示了5個方案密鑰生成時間對比。由圖1可知，本文方案密鑰生成階段時間計算開銷低于對比方案的，隨著用戶屬性數(shù)量的增加，本文方案所需密鑰生成時間增長低于對比方案的。

Figure 1 Comparison of key generation time 圖1 密鑰生成時間對比

圖2展示了5個方案加密時間對比。由圖2可知，本文方案加密階段時間計算開銷總體低于對比方案的，隨著訪問策略中屬性數(shù)量的增加，本文方案所需加密時間與其他方案增長速度接近。

Figure 2 Comparison of encryption time圖2 加密時間對比

圖3展示了方案的解密時間對比。由圖3可知，本文解密時間高于文獻[8,20,23]方案的，本文方案為每個屬性生成一個隨機值，并添加參數(shù)實現(xiàn)追蹤功能，解密階段所需消除的參數(shù)較多，方案僅將時間認(rèn)證外包給服務(wù)器，本地解密階段計算開銷較大。

Figure 3 Comparison of decryption time圖3 解密時間對比

圖4展示了方案的用戶撤銷時間對比。由圖4可知，本文用戶撤銷時間遠低于其他方案的，這是因為文獻[21,23]需要維護一個撤銷列表，在撤銷用戶時，更新撤銷列表并對密文進行重加密，本文方案在用戶撤銷時，僅需要TVS刪除用戶時間參數(shù)Tr即可，計算量可忽略。

Figure 4 Comparison of user revocation time圖4 用戶撤銷時間對比

圖5和圖6分別展示了5個方案密文大小和用戶密鑰大小對比。由圖中可知，本文方案的用戶密鑰大小隨著屬性數(shù)量增加，增長較快，存儲開銷高于其他方案的，這是因為本文為用戶屬性和訪問策略中屬性增加了時間因子相關(guān)的標(biāo)記和時間因子驗證項，增加了存儲開銷。密文存儲開銷稍低于其他方案的，但增長速度與其他方案的相近。

Figure 5 Comparison of ciphertext size圖5 密文大小對比

Figure 6 Comparison of user key size圖6 用戶密鑰大小對比

7 結(jié)束語

為了解決CP-ABE方案中存在的前后向安全、用戶追蹤和撤銷等問題，本文提出了一種基于時間因子的可撤銷可追蹤的屬性基加密方案，通過為屬性添加時間標(biāo)記因子，實現(xiàn)了方案基于時間因子的細粒度訪問控制，豐富了系統(tǒng)訪問控制策略，實現(xiàn)了方案前后向安全。對于系統(tǒng)中存在用戶泄露密鑰的風(fēng)險，增加了可追蹤功能。設(shè)計了高效的用戶屬性撤銷和用戶撤銷機制，系統(tǒng)僅需要更新用戶密鑰，不會對其他用戶造成干擾和不需要對系統(tǒng)中文件進行重加密，相比已有的方案，方案撤銷效率更高，更適合在用戶和系統(tǒng)數(shù)據(jù)較多的應(yīng)用場景。本文方案可抗合謀攻擊，且在DBDH假設(shè)下是選擇性CPA安全的。但是，本文方案仍存在一些待優(yōu)化的問題，如解密階段用戶計算量較大，密鑰存儲開銷和密文存儲開銷較大，未來工作中希望能夠研究并解決。