李 玥,宋祁朋,賈 皓,鄧 鑫,馬建峰

(1.西安電子科技大學(xué) 網(wǎng)絡(luò)與信息安全學(xué)院,陜西 西安 710071;2.西安電子科技大學(xué) 空天地一體化綜合業(yè)務(wù)網(wǎng)全國(guó)重點(diǎn)實(shí)驗(yàn)室,陜西 西安 710071;3.華北電力大學(xué) 控制與計(jì)算機(jī)工程學(xué)院,北京 102206)

1 引 言

云計(jì)算技術(shù)的快速發(fā)展,給人們?cè)谖募鎯?chǔ)、處理和共享等方面提供了很大的便捷。廉價(jià)的計(jì)算成本和巨大的存儲(chǔ)容量吸引了越來(lái)越多的企業(yè)以及個(gè)人用戶選擇將數(shù)據(jù)外包存儲(chǔ)至云計(jì)算平臺(tái)上。但是,云服務(wù)供應(yīng)商可能會(huì)在未經(jīng)用戶允許的情況下,擅自泄露篡改用戶隱私數(shù)據(jù)或重要文件,因此大部分的云服務(wù)供應(yīng)商并不能完全被信任。為保護(hù)數(shù)據(jù)隱私,數(shù)據(jù)擁有者通常會(huì)在上傳數(shù)據(jù)之前對(duì)數(shù)據(jù)進(jìn)行加密。但是云計(jì)算服務(wù)中存在大量共享數(shù)據(jù)的需求,密文數(shù)據(jù)并不能通過(guò)云服務(wù)器便捷地來(lái)分享給他人。因此,基于密碼學(xué)的云數(shù)據(jù)訪問(wèn)控制成為了近年來(lái)的研究熱點(diǎn)。

針對(duì)基于密碼學(xué)的云數(shù)據(jù)訪問(wèn)控制問(wèn)題,文獻(xiàn)[1]提出了混合加密(Hybrid Encryption,HE)思路。其基本思想是,在公鑰基礎(chǔ)設(shè)施的輔助下,利用對(duì)稱加密技術(shù)加密數(shù)據(jù),非對(duì)稱加密手段加密并分發(fā)數(shù)據(jù)對(duì)稱加密密鑰,但HE在一對(duì)多數(shù)據(jù)共享方面存在諸多不足。廣播加密(Broadcast Encryption,BE)致力于解決數(shù)據(jù)擁有者和一組用戶進(jìn)行一對(duì)多的密文數(shù)據(jù)共享。早期廣播加密方案[2]多基于公鑰基礎(chǔ)設(shè)施,為免去公鑰管理的負(fù)擔(dān),有學(xué)者提出身份基廣播加密(Identity Based Broadcast Encryption,IBBE)[3],利用標(biāo)識(shí)用戶的任意字符串作為公鑰,對(duì)數(shù)據(jù)進(jìn)行加密。只要用戶身份在共享用戶集合中,便可利用其私鑰進(jìn)行解密。和IBBE類似,基于屬性加密(Attribute Based Encryption,ABE)[4],通過(guò)為用戶以及數(shù)據(jù)定義一組屬性,支持?jǐn)?shù)據(jù)擁有者和群組用戶之間,進(jìn)行細(xì)粒度密文數(shù)據(jù)群體共享。

為了解決密文數(shù)據(jù)在不解密前提下共享給新用戶,代理重加密技術(shù)(Proxy ReEncryption,PRE)[5]應(yīng)運(yùn)而生,能對(duì)存儲(chǔ)在云服務(wù)器上的密文進(jìn)行安全轉(zhuǎn)換。在代理重加密中,基于授權(quán)人(Delegator)公鑰加密的密文可以被轉(zhuǎn)換為另一種密文,且保持對(duì)應(yīng)明文不變,被轉(zhuǎn)換后的密文可以由被授權(quán)人(Delegate)的私鑰進(jìn)行解密。該密文轉(zhuǎn)換過(guò)程由一個(gè)半可信的代理者(Proxy)執(zhí)行。為支持一對(duì)多的代理重加密,有學(xué)者提出了IBBE-PRE[6]。為解決代理權(quán)限過(guò)大帶來(lái)的隱患,且數(shù)據(jù)擁有者有時(shí)候只想共享一部分密文數(shù)據(jù),文獻(xiàn)[7]提出了條件代理重加密(Conditional PRE,CPRE)[7]。只有符合條件約束的密文才能被代理進(jìn)行密文轉(zhuǎn)化。條件代理重加密,只有密文滿足授權(quán)人設(shè)定的條件(關(guān)鍵字),代理者才能將授權(quán)人的密文轉(zhuǎn)換成受理人可解密的密文,即授權(quán)人可以通過(guò)關(guān)鍵字限制受理人的權(quán)限。文獻(xiàn)[8]提出了細(xì)粒度的基于身份的代理重加密機(jī)制,但并不支持群組共享。文獻(xiàn)[9]在文獻(xiàn)[8]的基礎(chǔ)上添加了一對(duì)多的群組共享支持。為近一步提升云數(shù)據(jù)共享的靈活性,文獻(xiàn)[10]提出了PBAA方案,同時(shí)支持群組共享、細(xì)粒度訪問(wèn)控制等功能。文獻(xiàn)[11]考慮了代理重加密的可驗(yàn)證性以及公平性問(wèn)題,并提出了VF-ABPRE,允許共享數(shù)據(jù)用戶驗(yàn)證云數(shù)據(jù)平臺(tái)返回的重加密密文是否正確,同時(shí)保障云平臺(tái)數(shù)據(jù)免于用戶的惡意控告。文獻(xiàn)[12]提出了一個(gè)基于屬性的云安全多群組數(shù)據(jù)共享加密方案。該方案構(gòu)建了可驗(yàn)證外包解密的可撤銷屬性基加密,實(shí)現(xiàn)了抗合謀的用戶撤銷,可以在不影響未撤銷用戶的情況下加入或撤銷任意數(shù)量的用戶。

近年來(lái),也有學(xué)者聚焦于云數(shù)據(jù)訪問(wèn)控制中數(shù)據(jù)分布式存儲(chǔ)以及跨群組共享問(wèn)題,文獻(xiàn)[13-15]基于區(qū)塊鏈CP-ABE技術(shù),提出了一種具有抗屬性篡改的密文數(shù)據(jù)共享機(jī)制。文獻(xiàn)[16]提出了基于區(qū)塊鏈的密文策略訪問(wèn)控制機(jī)制。文獻(xiàn)[17]提出了一種基于區(qū)塊鏈的跨群組的細(xì)粒度數(shù)據(jù)共享方案,通過(guò)群簽名來(lái)保證跨用戶組的細(xì)粒度訪問(wèn)控制,但沒(méi)有考慮群組用戶的動(dòng)態(tài)性,即群組中成員的動(dòng)態(tài)加入和撤銷。隨著隱私保護(hù)的概念漸入人心,不少學(xué)者關(guān)注數(shù)據(jù)共享相關(guān)的隱私保護(hù)問(wèn)題。文獻(xiàn)[18]關(guān)注了數(shù)據(jù)共享中的用戶身份隱私保護(hù)問(wèn)題。文獻(xiàn)[19]研究了IoT場(chǎng)景中的具有隱私保護(hù)屬性的訪問(wèn)控制機(jī)制。

綜合上述分析,云存儲(chǔ)平臺(tái)上密文數(shù)據(jù)的訪問(wèn)控制越來(lái)越靈活便捷,但大多數(shù)研究都是基于對(duì)的構(gòu)造方法,在計(jì)算開(kāi)銷上相較于傳統(tǒng)公鑰加密技術(shù),要慢一個(gè)數(shù)量級(jí)[20],因此計(jì)算復(fù)雜度越來(lái)越高。此外,大多數(shù)研究忽略了群組動(dòng)態(tài)變更的情況,即缺乏動(dòng)態(tài)群組訪問(wèn)控制管理能力。在管理群成員頻繁變動(dòng)的大用戶群時(shí),其所需的計(jì)算開(kāi)銷難以接受。針對(duì)云平臺(tái)上群組動(dòng)態(tài)訪問(wèn)控制管理問(wèn)題,筆者提出了低開(kāi)銷、細(xì)粒度的動(dòng)態(tài)群組訪問(wèn)控制機(jī)制,主要工作如下:

(1) 基于可信計(jì)算環(huán)境,即英特爾?軟件防護(hù)擴(kuò)展(Intel?Software Guard eXtensions,SGX)技術(shù),以PBAA方案為基礎(chǔ),構(gòu)建了CSP群組訪問(wèn)控制管理服務(wù)器,實(shí)現(xiàn)在不可信云存儲(chǔ)共享平臺(tái)上,以低計(jì)算復(fù)雜度和存儲(chǔ)開(kāi)銷,實(shí)現(xiàn)數(shù)據(jù)共享系統(tǒng)的群組成員的可信管理。

(2) 利用分治的思想,對(duì)密文數(shù)據(jù)共享用戶群體,實(shí)現(xiàn)層次化管理,降低了群組成員變更操作的開(kāi)銷。

(3) 給出系統(tǒng)實(shí)現(xiàn),并對(duì)方案進(jìn)行仿真分析,證明了方案的有效性與高效性。

2 基礎(chǔ)知識(shí)

2.1 Intel SGX

Intel SGX是Intel為滿足可信計(jì)算需求推出的一組擴(kuò)展指令集[21],與ARM Trustzone和Sanctum類似,SGX致力于在不受信的環(huán)境下,為用戶應(yīng)用程序提供可信執(zhí)行環(huán)境(Trusted Execution Environment,TEE)。為此,SGX允許用戶應(yīng)用程序在一段位于Enclave地址空間中,開(kāi)辟一段受保護(hù)的內(nèi)存空間。這段受保護(hù)空間實(shí)行嚴(yán)格的訪問(wèn)控制和加密操作,保護(hù)程序數(shù)據(jù)的機(jī)密性和代碼的完整性。SGX將信任域縮小至CPU制造商,減少了可信計(jì)算基(Trusted Computing Base,TCB)的大小。支持SGX的CPU提供了內(nèi)存加密引擎(Memory Encryption Engine,MEE)硬件單元,通過(guò)對(duì)保護(hù)內(nèi)存讀寫(xiě)的解密加密,保證了數(shù)據(jù)只有在Enclave內(nèi)存中才是明文。SGX依賴的關(guān)鍵技術(shù)如下:

(1) 內(nèi)存隔離。SGX從系統(tǒng)主存中征用128 MB作為處理器預(yù)留內(nèi)存(Processor Reserves Memory,PRM)。PRM中的所有代碼和數(shù)據(jù)在CPU之外是加密的。當(dāng)把數(shù)據(jù)加載到CPU時(shí),需要進(jìn)行相應(yīng)的解密和完整性檢查。諸如Hypervisor、BIOS、操作系統(tǒng)等特權(quán)應(yīng)用,都不能隨意訪問(wèn)這段PRM區(qū)域。操作系統(tǒng)被允許置換出Enclave頁(yè)面,SGX保證置換頁(yè)面的完整性、保密性和及時(shí)性,但是置換頁(yè)面會(huì)帶來(lái)較大性能開(kāi)銷。基于SGX的用戶應(yīng)用程序由Enclave部分和非受信任部分組成,其他進(jìn)程只能通過(guò)SGX提供的安全接口和Enclave交互。

(2) 認(rèn)證。SGX提供了本地認(rèn)證和遠(yuǎn)程認(rèn)證兩種機(jī)制。本地認(rèn)證是指在同一個(gè)平臺(tái)上的兩個(gè)Enclave在交換信息之間使用SGX報(bào)告機(jī)制彼此相互認(rèn)證。遠(yuǎn)程認(rèn)證功能則允許在遠(yuǎn)程系統(tǒng)上驗(yàn)證代碼或數(shù)據(jù)的完整性和真實(shí)性。這種驗(yàn)證是通過(guò)密碼學(xué)測(cè)度加載到Enclave中的初始代碼和數(shù)據(jù)來(lái)完成的。SGX的認(rèn)證功能保證了測(cè)度的真實(shí)性以及測(cè)度來(lái)源的可靠性。認(rèn)證的結(jié)果可以提供給第三方,以證明Enclave的真實(shí)性。此外,SGX遠(yuǎn)程認(rèn)證機(jī)制還允許在Enclave和外部實(shí)體之間建立一條安全信道用來(lái)加載敏感數(shù)據(jù)。

(3) 數(shù)據(jù)密封。當(dāng)Enclave被實(shí)例化之后,硬件會(huì)對(duì)數(shù)據(jù)提供保護(hù)。但當(dāng)Enclave被關(guān)閉時(shí),Enclave內(nèi)部所有的數(shù)據(jù)都將丟失。為了對(duì)Enclave運(yùn)行時(shí)的數(shù)據(jù)進(jìn)行持久化,SGX提供了數(shù)據(jù)密封機(jī)制。目前的SGX有兩種密封數(shù)據(jù)的方法,分別是密封到安全區(qū)標(biāo)識(shí)和密封到密封標(biāo)識(shí)。數(shù)據(jù)密封機(jī)制首先使用一個(gè)密封密鑰來(lái)加密和保護(hù)數(shù)據(jù)完整性,此密封密鑰只能由特定平臺(tái)上的Enclave生成。然后,數(shù)據(jù)即可存儲(chǔ)在Enclave之外的不受信任的內(nèi)存或存儲(chǔ)中。只有具有相同密封密鑰的Enclave才能解開(kāi)數(shù)據(jù)的密封,保證了數(shù)據(jù)的安全性。

需要指出的是,SGX易遭受各式側(cè)信道攻擊,也有相關(guān)研究關(guān)注如何檢測(cè)和對(duì)抗側(cè)信道攻擊。如何保證SGX的安全不在文中考慮范圍之內(nèi)。

2.2 PBAA方案介紹

1) PBAA方案7種算法

原始PBAA方案[10]包含7個(gè)算法:Setup,Register,Encrypt,DKGen,ReEnc,Dec1和Dec2。各算法的大體工作流程如下:

(1) (PK,MSK)←Setup(1l,N):可信第三方(Certificate Authority,CA)執(zhí)行Setup算法完成系統(tǒng)初始化。給定安全參數(shù)l和一個(gè)密文的最大共享人數(shù)N,CA運(yùn)行Setup算法生成系統(tǒng)公鑰PK和主密鑰MSK。CA公開(kāi)PK參數(shù),保證MSK信息不泄露。

(2) SKID←Register(PK,MSK,ID):當(dāng)用戶ID申請(qǐng)加入云數(shù)據(jù)共享系統(tǒng)時(shí),CA負(fù)責(zé)驗(yàn)證用戶ID身份的真實(shí)性。在此基礎(chǔ)上,給定PK、MSK和身份ID,CA運(yùn)行Register算法來(lái)輸出用戶ID的私鑰SKID,并通過(guò)安全信道將SKID分發(fā)給用戶ID。

(3) CT←Encrpty(PK,M,S,L):當(dāng)用戶將數(shù)據(jù)外包到云存儲(chǔ)服務(wù)商之前,調(diào)用Encrypt算法來(lái)保護(hù)數(shù)據(jù)隱私。具體來(lái)說(shuō),數(shù)據(jù)所有者首先指定接收者用戶集和S(其中|S|≤N)和描述條件集L,然后用S和L對(duì)數(shù)據(jù)M進(jìn)行加密,然后數(shù)據(jù)所有者將生成的密文CT外包傳輸給CSP。

(4) DKID→S′|←DKGen(PK,SKID,S′,):當(dāng)數(shù)據(jù)所有者想要將加密數(shù)據(jù)共享給一組新的用戶S′時(shí),數(shù)據(jù)所有者需要制定一個(gè)訪問(wèn)策略,指定數(shù)據(jù)所有者希望共享數(shù)據(jù)的類型。隨后數(shù)據(jù)所有者通過(guò)調(diào)用DKGen算法,以PK、SKID、身份集S′(|S′|≤N)和訪問(wèn)策略為參數(shù),生成帶有S′和的委托密鑰(即重加密密鑰)DKID→S′|。

(5) CT′∕⊥←ReEnc(PK,CT,S,L,DKID→S′|):在收到數(shù)據(jù)擁有者發(fā)來(lái)的委托密鑰DKID→S′|之后,CSP通過(guò)調(diào)用ReEnc算法,以PK,在S和L下生成的原始密文CT,委托密鑰DKID→S′|為參數(shù),嘗試進(jìn)行密文轉(zhuǎn)換。如果數(shù)據(jù)用戶ID∈S且L滿足,則ReEnc算法,可針對(duì)S′輸出一個(gè)重加密密文CT′,否則返回錯(cuò)誤符號(hào)⊥。

(6)M∕⊥←Dec1(PK,SKID,CT,S):給定由PK、SKID和用戶集合S生成的原始密文CT,如果數(shù)據(jù)用戶ID∈S,那么運(yùn)行此解密算法可獲取原始消息M,否則收到錯(cuò)誤符號(hào)⊥。

(7)M∕⊥←Dec2(PK,SKID′,CT′,S′):給定由PK、SKID′和用戶集合S′生成的重加密密文CT′,如果數(shù)據(jù)用戶ID′∈S′,那么運(yùn)行此解密算法可獲取原始消息M,否則收到錯(cuò)誤符號(hào)⊥。

2) PBAA方案的優(yōu)勢(shì)

相比于群組密態(tài)數(shù)據(jù)共享方案,PBAA方案具有如下優(yōu)勢(shì):

(1) 基于身份的廣播數(shù)據(jù)共享,支持?jǐn)?shù)據(jù)所有者指定一組用戶,并用這些用戶的身份加密數(shù)據(jù),并進(jìn)行數(shù)據(jù)共享;

(2) 基于策略的重加密,支持?jǐn)?shù)據(jù)所有者對(duì)重加密密文制定細(xì)粒度的訪問(wèn)策略。

3 系統(tǒng)模型

方案系統(tǒng)模型如圖1所示,包含5個(gè)參與者:系統(tǒng)管理員(system ADMINistrator,ADMIN),云存儲(chǔ)服務(wù)提供商(Cloud Storage Provider,CSP),數(shù)據(jù)擁有者(Data Owner,DO),數(shù)據(jù)用戶(Data User,DU),可信第三方(CA)。

圖1 系統(tǒng)模型

既有云數(shù)據(jù)訪問(wèn)控制方案,其工作基本原理是:數(shù)據(jù)擁有者和數(shù)據(jù)用戶,通過(guò)非可信CSP進(jìn)行數(shù)據(jù)共享業(yè)務(wù)。被共享的數(shù)據(jù)通過(guò)對(duì)稱加密算法,例如:AES算法,進(jìn)行加密。對(duì)稱加密的密鑰則通過(guò)所提出的動(dòng)態(tài)群組訪問(wèn)控制方案進(jìn)行加密并分發(fā)。系統(tǒng)細(xì)粒度訪問(wèn)控制以及代理重加密功能。數(shù)據(jù)擁有者,可以指定一組共享數(shù)據(jù)的用戶S和一組條件(例如:關(guān)鍵字等),對(duì)數(shù)據(jù)加密并上傳至CSP。密文數(shù)據(jù)擁有者,如果需要和一組新用戶S′共享數(shù)據(jù),則可在原始條件基礎(chǔ)上構(gòu)造一個(gè)訪問(wèn)結(jié)構(gòu),生成重加密密鑰。憑借重加密密鑰,CSP可對(duì)原始密文中滿足訪問(wèn)結(jié)構(gòu)的部分進(jìn)行重加密操作,以便新的用戶群S′可以用其私鑰順利重加密解密秘文。

為簡(jiǎn)化訪問(wèn)控制管理,筆者在CSP中引入基于Intel SGX的管理服務(wù)器。在數(shù)據(jù)擁有者擬和用戶群共享數(shù)據(jù)時(shí),會(huì)和管理服務(wù)器通信。后者負(fù)責(zé)創(chuàng)建針對(duì)待共享數(shù)據(jù)群密鑰。數(shù)據(jù)擁有者通過(guò)群,密鑰對(duì)數(shù)據(jù)加密,并上傳至CSP,同時(shí)管理服務(wù)器通過(guò)身份基廣播加密的方式生成訪問(wèn)控制相關(guān)元數(shù)據(jù),存于CSP之后,以便用戶群讀取。

管理服務(wù)器同時(shí)還承擔(dān)重加密過(guò)程中的代理角色,負(fù)責(zé)將需要重加密的密文進(jìn)行密文轉(zhuǎn)換。此外,當(dāng)用戶群體發(fā)生成員變更時(shí),例如增加/刪除群成員時(shí),動(dòng)態(tài)訪問(wèn)控制管理亦由管理服務(wù)器負(fù)責(zé)。

系統(tǒng)模型中的CA主要用于實(shí)現(xiàn)系統(tǒng)中初始信任關(guān)系的建立。

4 算法設(shè)計(jì)

4.1 用戶和Enclave間的初始信任建立

提出的方案依賴的可信基為管理服務(wù)中的Enclave部分。因此,在系統(tǒng)初始化階段,需要在Enclave程序和數(shù)據(jù)用戶之間建立雙向信任關(guān)系,建立起來(lái)的信任關(guān)系是用戶文件端到端安全的基石。為達(dá)成這一目的,可依賴可信第三方完成這一過(guò)程。圖2展示了初始信任建立過(guò)程。

圖2 用戶和Enclave程序的雙邊信任建立

(1) 用戶對(duì)Enclave的信任建立。其核心步驟在于Enclave可以向用戶出示CA簽發(fā)的證書(shū)。為此,在初始階段,首先Enclave在其內(nèi)部生成一對(duì)公鑰和私鑰。其中私鑰絕不離開(kāi)Enclave,公鑰連同Enclave測(cè)量結(jié)果一起發(fā)送給CA。CA向SGX機(jī)制中遠(yuǎn)程認(rèn)證服務(wù),例如:IAS,進(jìn)行驗(yàn)證,確定Enclave的真實(shí)性,并確定運(yùn)行在Enclave中代碼的可信性。一旦上述過(guò)程完成,CA簽發(fā)證書(shū)給Enclave,連同之前Enclave傳遞而來(lái)的公鑰,傳給Enclave。CA的公鑰被安全存放于Enclave中。憑借CA簽發(fā)的證書(shū),用戶完成對(duì)Enclave的信任建立,后續(xù)可以放心地管理服務(wù)器申請(qǐng)用于PBAA-SGX機(jī)制的私鑰。

(2) Enclave對(duì)數(shù)據(jù)用戶的信任建立。為避免用戶身份偽冒攻擊,Enclave需要對(duì)和自己交互的數(shù)據(jù)用戶進(jìn)行身份認(rèn)證。為此,每個(gè)數(shù)據(jù)用戶下向CA申請(qǐng)數(shù)字證書(shū)。CA簽發(fā)的證書(shū)中,包含用戶的身份信息,例如:用戶ID等。數(shù)據(jù)用戶可通過(guò)CA中含有的CA公鑰對(duì)所收到的證書(shū)進(jìn)行真實(shí)性驗(yàn)證。當(dāng)用戶和Enclave進(jìn)行安全通信時(shí),會(huì)向Enclave展示CA簽發(fā)的證書(shū)。Enclave憑借數(shù)字證書(shū)完成對(duì)數(shù)據(jù)用戶的信任建立。

4.2 PBAA-SGX構(gòu)造方案

由于Intel SGX的引入,數(shù)據(jù)共享的可信基發(fā)生了改變。因此,利用SGX提供的可信計(jì)算能力,在PBAA方案[10]基礎(chǔ)之上,構(gòu)建PBAA-SGX方案,在實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制同時(shí),將計(jì)算復(fù)雜度開(kāi)銷控制在合理范圍之內(nèi)。

4.2.1 系統(tǒng)設(shè)置階段

原版PBAA要求通過(guò)CA執(zhí)行Setup算法。由于SGX Enclave的可信性,PBAA-SGX在設(shè)計(jì),通過(guò)管理服務(wù)器的Enclave部分,執(zhí)行Setup算法。因此,主密鑰MSK可以在Enclave中以明文形式存在。當(dāng)需要持久化存儲(chǔ)時(shí),可以通過(guò)SGX數(shù)據(jù)密封技術(shù),在非可信存儲(chǔ)載體上進(jìn)行存儲(chǔ)。Setup算法(PK,MSK)←PBAA_SGX_Setup(1l,N)具體執(zhí)行過(guò)程和PBAA一致:假設(shè)和T是兩個(gè)素?cái)?shù)階p上的有限循環(huán)群,g是群的生成元,如果存在一個(gè)有效的雙線性映射e：×T,此映射要求對(duì)于所有的u∈,v∈以及a,b∈p都有e(ua,vb)=e(u,v)ab,以及e(g,g)≠1。

管理服務(wù)器Enclave部分,首先根據(jù)給定安全參數(shù)l和一個(gè)密文的最大共享人數(shù)N,生成雙線性映射參數(shù)(p,g,,T,e),然后隨機(jī)選擇α∈p,μ,w,u,h,v∈,然后計(jì)算μ1=μα以及g1=gα,g2=gα2,…,gN=gαN;w1=wα,w2=wα2,…,wN=wαN;v1=vα,v2=vα2,…,vN=vαN。除此之外,管理服務(wù)器選取兩個(gè)公開(kāi)Hash函數(shù)H：{0,1}→p和F:T→,然后生成系統(tǒng)密鑰PK=(p,g,g1,…,gN,w,w1,…,wN,v,v,…,vN),以及主密鑰MSK=(μ,α)。

最大共享人數(shù)N是一個(gè)根據(jù)實(shí)際業(yè)務(wù)需求事先合理設(shè)定的系統(tǒng)參數(shù),其選取應(yīng)盡量避免出現(xiàn)群成員動(dòng)態(tài)管理中(例如:不斷增添新的共享成員)實(shí)際需要共享人數(shù)大于N的情況。如果共享人數(shù)超過(guò)了預(yù)設(shè)最大共享人數(shù),則系統(tǒng)應(yīng)當(dāng)重新執(zhí)行Setup,Register,Encrypt等一系列算法。對(duì)于以PBAA為代表的傳統(tǒng)方案,設(shè)定較大的N值會(huì)導(dǎo)致各項(xiàng)操作(例如添加新的成員)的時(shí)間復(fù)雜度的大幅提升(參見(jiàn)節(jié)5.2仿真實(shí)驗(yàn)分析部分的圖3～圖8)。由于所述方案在群成員管理方面時(shí)間復(fù)雜度的優(yōu)勢(shì),即使設(shè)置較大的N值,相較于原始PBAA方案,本方案動(dòng)態(tài)群組成員訪問(wèn)控制管理時(shí)間復(fù)雜度依然處于較低水平,因此能更好地應(yīng)對(duì)密態(tài)數(shù)據(jù)群組共享中群成員的動(dòng)態(tài)變化。

圖3 系統(tǒng)設(shè)置階段的時(shí)間開(kāi)銷

圖4 加密密鑰生成階段的時(shí)間開(kāi)銷

圖5 委托密鑰生成階段的時(shí)間開(kāi)銷

圖6 重加密密文生成階段的時(shí)間開(kāi)銷

圖7 原始密文解密階段的時(shí)間開(kāi)銷

圖8 重加密密文解密階段的時(shí)間開(kāi)銷

4.2.2 用戶注冊(cè)階段

PBAA-SGX在SGX Enclave中執(zhí)行用戶PBAA_SGX_Register算法。其過(guò)程與PBAA保持一致是,使用給定的用戶身份ID生成用戶私鑰SKIDμ1/α+H(ID)。SGX可以通過(guò)數(shù)據(jù)密封技術(shù),持久化保存用戶私鑰SKID。

4.2.3 加密密鑰生成階段

PBAA-SGX與原版PBAA方案最大不同之處在于,PBAA方案僅能使用系統(tǒng)公鑰PK,而PBAA-SGX可以同時(shí)使用PK和MSK。利用主密鑰,算法CT←PBAA_SGX_Encrpty(PK,MSK,M,S,L)的計(jì)算復(fù)雜度可以得到極大簡(jiǎn)化。

給定待分享數(shù)據(jù)用戶身份集合S以及描述數(shù)據(jù)特征的條件集合L,管理服務(wù)器首先生成一個(gè)用于加密數(shù)據(jù)的秘密值M∈T,生成隨機(jī)數(shù)s∈p,并計(jì)算:

(1)

C4,j=grj,C5,j=(uH(Lj)h)rj(Cw)-s,

(2)

g∏IDi∈S(α+H(IDi))=(gan)(gan-1)ε1(gan-2)ε2…(ga)εn-1,

(3)

此外,為減少用戶群成員關(guān)系變動(dòng)(例如:群成員增加,群成員刪除等操作)的計(jì)算開(kāi)銷,可以對(duì)Cg,Cv,Cw進(jìn)行持久化存儲(chǔ)(參見(jiàn)節(jié)4.3.2和4.3.3)。這些結(jié)構(gòu)可以完全通過(guò)系統(tǒng)公開(kāi)參數(shù)計(jì)算而言。

4.2.4 委托密鑰生成與重加密階段

PBAA-SGX對(duì)委托密鑰生成算法DKID→S′|←PBAA_SGX_DKGen(PK,MSK,SKID,S′,)進(jìn)行了計(jì)算復(fù)雜度優(yōu)化。由于管理服務(wù)器Enclave創(chuàng)建了用戶SKID且Enclave中的代碼都是可信的,假設(shè)只有當(dāng)執(zhí)行委托密鑰生成的時(shí)候,管理服務(wù)器Enclave可以訪問(wèn)密封態(tài)SKID,因此用戶可以創(chuàng)建訪問(wèn)控制策略,委托管理服務(wù)器執(zhí)行委托密鑰生成操作。具體操作流程和PBAA方案類似。由于PBAA_SGX_DKGen可以訪問(wèn)MSK,與節(jié)4.2.3中分析類似,PBAA_SGX_DKGen的計(jì)算復(fù)雜度可以得到簡(jiǎn)化。

PBAA-SGX中重加密操作CT′/⊥←PBAA_SGX_ReEnc(PK,MSK,CT,S,L,DKID→S′|),因含有結(jié)構(gòu)因此其計(jì)算過(guò)程可以通過(guò)直接訪問(wèn)MSK得以簡(jiǎn)化。其余計(jì)算,與PBAA方案保持一致,此處不予贅述。

4.2.5 原始密文與重加密密文解密階段

PBAA-SGX算法在解密算法方面(包括原始密文和重加密密文的解密),其操作流程與原版PBAA一致。因?yàn)槠溆?jì)算流程無(wú)法通過(guò)SGX的引入得以簡(jiǎn)化。由于其計(jì)算復(fù)雜度大致為O(|S|2),因此可以通過(guò)引入子群劃分的思想(分治思想),對(duì)原始用戶集合進(jìn)行再分組,降低解密算法的復(fù)雜度。具體內(nèi)容參見(jiàn)節(jié)4.3。

4.3 基于子群劃分的管理

盡管PBAA-SGX對(duì)群組成員動(dòng)態(tài)管理方面做了優(yōu)化,但當(dāng)共享用戶集合規(guī)模龐大且用戶成員頻繁變動(dòng)時(shí),在訪問(wèn)控制管理方面仍然存在難以承受的計(jì)算開(kāi)銷。為解決這一問(wèn)題,提出了基于子群劃分的群成員層次化管理機(jī)制。基本出發(fā)點(diǎn)是,PBAA-SGX中解密操作的執(zhí)行時(shí)間和用戶群規(guī)模有關(guān)。如果將用戶群近一步分成子群,則有望降低解密操作的復(fù)雜度。每個(gè)子群通過(guò)子群廣播密鑰bk對(duì)群密鑰Sk進(jìn)行加密,以便處于同一群但在不同子群的成員可以通過(guò)Sk進(jìn)行安全可靠的通信。

子群劃分機(jī)制其核心思想是,首先將整個(gè)用戶集合,按照某種子群劃分策略,劃分成一系列子群。管理服務(wù)器利用PBAA-SGX中的PBAA_SGX_Encrpty算法,針對(duì)每個(gè)子群p,生成子群廣播密鑰bk,以及密文ck。值得指出的是,子群劃分在管理服務(wù)器中的Enclave中執(zhí)行。因此,管理服務(wù)器無(wú)法獲取Sk以及廣播密鑰bk。當(dāng)群組成員發(fā)生變動(dòng)時(shí),管理服務(wù)器在更新完群成員信息之后,只需要針對(duì)發(fā)生具體變動(dòng)的子群更新群組管理數(shù)據(jù),并對(duì)元數(shù)據(jù)進(jìn)行更新(參見(jiàn)圖1)。用戶端通過(guò)監(jiān)聽(tīng)子群元數(shù)據(jù)變動(dòng)事件,即可及時(shí)獲取群訪問(wèn)控制信息。

子群劃分策略對(duì)訪問(wèn)控制性能有一定的影響。較小的用戶子群可以降低用戶端的授權(quán)密鑰延時(shí),但有可能增加管理服務(wù)器端的群組變更操作數(shù)量。可以考慮的方案有:按照群組成員被移出群組的概率進(jìn)行排布。本方案采用最簡(jiǎn)單的等數(shù)量劃分作為子群劃分策略。最優(yōu)子群劃分策略將作為后續(xù)研究工作的一個(gè)研究點(diǎn)?；谧尤簞澐值墓芾頇C(jī)制,主要由用戶子群創(chuàng)建、用戶群成員添加、用戶群成員刪除等算法構(gòu)成:

4.3.1 用戶子群創(chuàng)建

子群創(chuàng)建的流程如算法1所示。管理服務(wù)器依據(jù)指定的子群劃分策略對(duì)用戶群做群組劃分,隨后針對(duì)用戶集合S生成群密鑰Sk。算法中步驟③～⑥,由管理服務(wù)器中的Enclave部分執(zhí)行。遍歷用戶子群集合,針對(duì)每個(gè)子群p調(diào)用PBAA_SGX_Encrypt算法,生成子群公有密鑰cp,bp。其中bp用作對(duì)稱加密算法(如AES算法),對(duì)群密鑰Sk進(jìn)行加密,并返回密文yp。數(shù)據(jù)用戶DU可以通過(guò)解密cp得到bp。作為密態(tài)數(shù)據(jù)的訪問(wèn)控制元數(shù)據(jù),被公開(kāi)存儲(chǔ)于CSP平臺(tái)上。算法1步驟⑥調(diào)用SGX的數(shù)據(jù)密封機(jī)制,對(duì)群密鑰Sk進(jìn)行持久化存儲(chǔ)。

算法1用戶集合子群創(chuàng)建。

輸入:用戶集合S={DU1,…,DUn},子群劃分策略Policy

輸出:用戶集合公有訪問(wèn)密鑰,訪問(wèn)控制元數(shù)據(jù)

② 生成用戶集合S公有訪問(wèn)密鑰:Sk←RandomKey()

③ forp∈do

④ (bp,cp)←sgx_pbaa_encrypt(PK,MSK,L,p)

⑤yp←sgx_aes(sgx_sha(bp),Sk)

⑥ sealed_Sk←sgx_seal(Sk)

⑦ Store:(1) sealed_Sk;(2) ?p∈P：〈?u∈p,yp,cp〉

4.3.2 用戶群成員添加

當(dāng)和大量用戶共享密文數(shù)據(jù)時(shí),經(jīng)常會(huì)有添加新用戶群成員至用戶集合中的操作。為用戶群添加新成員的更新流程如算法2所示:以用戶群增加單一用戶DUnew為例,首先要根據(jù)子群劃分策略,為待添加用戶選取最合適的子群。如果此子群不存在,則執(zhí)行算法1中子群創(chuàng)建流程。如果發(fā)現(xiàn)目標(biāo)子群,則需要將用戶添加至此群。為了保障新入群用戶可以訪問(wèn)過(guò)去數(shù)據(jù),不對(duì)群里面實(shí)施更新操作。算法2中的步驟④～⑥、步驟在Enclave環(huán)境中執(zhí)行。需要指出的是,由于管理服務(wù)器運(yùn)行PBAA_SGX時(shí),可直接訪問(wèn)系統(tǒng)主密鑰MSK,且式(1)和式(2)中的Cg,Cv以及Cw已被存儲(chǔ)至CSP。以式(1)中C1更新為例,可C1←(C1)α+H(DUnew),計(jì)算復(fù)雜度為常數(shù)時(shí)間。

算法2用戶群成員添加。

①P′←?p∈,suchthat|p|

③pnew←{unew}

④ (bnew,cnew)←sgx_i_create_partition(MSK,pnew)

⑤ Sk←sgx_unseal(sealed_gk)

⑥ynew←sgx_aes(sgx_sha(bnew),Sk)

⑦ Store:〈unewynew,cnew〉

⑧ else

⑨pnew←RandomItem(′)

⑩pnew←pnew∪DUnew

4.3.3 用戶群成員刪除

從用戶群中刪除指定成員的具體流程如算法3所示:以刪除單一用戶DUnew為例,該算法核心思想在于,更新群密鑰Sk,同時(shí)對(duì)于所有子群更新廣播密鑰bk,實(shí)現(xiàn)Sk的安全分發(fā)。具體過(guò)程如下:確定待刪除用戶所在子群后,更新群密鑰Sk。對(duì)于待刪除用戶所在子群,得益于PBAA-SGX的設(shè)計(jì),可以通過(guò)諸如C1←(C1)α+H(DUrem)-1操作,實(shí)現(xiàn)新子群廣播密鑰bk的常數(shù)復(fù)雜度計(jì)算(算法3步驟④)。

對(duì)于其他沒(méi)有成員變更的子群,則可以實(shí)現(xiàn)廣播密鑰更新的操作(算法3步驟⑦)。由于Cg,Cv,Cw等元素已經(jīng)被存儲(chǔ)起來(lái),只需要在執(zhí)行PBAA_SGX_Encrpty操作時(shí),更新式(1)～(3)所需的隨機(jī)數(shù)即可。偽代碼算法3步驟③～⑨在Enclave中執(zhí)行。

算法3用戶群成員刪除。

①prem←p∈,suchthat DUrem∈p

②prem←prem{DUrem

③ Sk←RandomKey()

④ (brem,crem)←sgx_remove_user(MSK,prem,DUrem)

⑤yrem←sgx_aes(sgx_sha(brem),Sk)

⑥ forp∈premdo

⑦ (bp,cp)←sgx_rekey_partition(p)

⑧yp←sgx_aes(sgx_sha(bp),Sk)

⑨ sealed_Sk←sgx_seal(Sk)

⑩ Update:(1)〈?ui∈prem,yrem,crem〉

5 性能分析

5.1 理論分析

5.1.1 PBAA-SGX的計(jì)算復(fù)雜度分析

和原始PBAA方案相比,PBAA-SGX通過(guò)SGX技術(shù)以及子群劃分機(jī)制的引入,各階段操作的復(fù)雜度均有明顯降低。理論分析結(jié)果如表 1所示,表中S和|S|表示用戶集合以及用戶數(shù)量,S′和|S′|代表能解密重加密數(shù)據(jù)的用戶集合以及對(duì)應(yīng)的用戶數(shù)量,p和|p|分別為用戶群劃分后的子群集合以及其中子群的用戶數(shù)量。

表1 PBAA-SGX與PBAA各操作計(jì)算復(fù)雜度比較

原版 PBAA 在系統(tǒng)設(shè)置方面,其計(jì)算復(fù)雜度和用戶群數(shù)量有關(guān),即O(|S|)。PBAA-SGX 針對(duì)各個(gè)子群分別執(zhí)行Setup算法,計(jì)算復(fù)雜度可視為O(|p|)。兩種機(jī)制在用戶注冊(cè)階段復(fù)雜度一致,均為常數(shù)級(jí)復(fù)雜度。對(duì)于加密階段,原始 PBAA 方案需要完成大量類似于式(3)中Cg結(jié)構(gòu)的計(jì)算,由于涉及多項(xiàng)式展開(kāi)操作,因此計(jì)算復(fù)雜度為O(|S|2)。PBAA-SGX方案在管理服務(wù)器(參見(jiàn)圖1)的SGX Enclave中來(lái)執(zhí)行加密操作。主密鑰MSK、用戶注冊(cè)時(shí)獲取的SKID在Enclave中均以明文的方式存在。因此,PBAA-SGX 可以直接用式(3)左邊部分完成計(jì)算,而不用通過(guò)多項(xiàng)式展開(kāi),因此時(shí)間復(fù)雜度降低至O(|S|)。此外,由于子群劃分機(jī)制的引入,時(shí)間復(fù)雜度可進(jìn)一步降低至O(|p|)。

對(duì)于解密階段、委托密鑰生成階段以及密文重加密階段,由于PBAA-SGX方案可以直接訪問(wèn)位于SGX Enclave中的敏感數(shù)據(jù),因此和加密階段時(shí)間復(fù)雜度分析類似,在SGX技術(shù)和子群劃分機(jī)制的協(xié)同作用下,時(shí)間復(fù)雜度降低至O(|p|)。對(duì)于原始密文解密階段和重加密密文解密階段,原始PBAA方案和PBAA-SGX 都必須通過(guò)執(zhí)行多項(xiàng)式展開(kāi)操作來(lái)完成解密,但是PBAA-SGX通過(guò)子群劃分,可以將時(shí)間復(fù)雜度從O(|S|2)降低為O(|p|2)。

5.2 仿真實(shí)驗(yàn)分析

筆者提出的方案,在Intel SGX SDK(version 2.5)、適配Intel SGX的PBC函數(shù)庫(kù)以及GMP函數(shù)庫(kù)基礎(chǔ)上,采用C/C++語(yǔ)言實(shí)現(xiàn)。實(shí)驗(yàn)環(huán)境為配備有Intel(R) i7-7700k CPU和16 GB內(nèi)存的Ubuntu18.04 64位操作系統(tǒng)。實(shí)驗(yàn)分析將比較在相同用戶數(shù)量的情況下,當(dāng)管理服務(wù)器采用原版PBAA方案,與采用基于子群劃分的PBAA-SGX方案,在不同操作下的時(shí)間開(kāi)銷。實(shí)驗(yàn)部分采用簡(jiǎn)單的均分的子群劃分策略,下述的p代表用戶分區(qū)中的最多用戶數(shù)量,主要考慮p=500和p=1 000兩種情況。采用共享數(shù)據(jù)用戶數(shù)量逐漸增加的方式進(jìn)行實(shí)驗(yàn)。

5.2.1 系統(tǒng)設(shè)置階段的時(shí)間開(kāi)銷

圖3展示了PBAA方案,子群大小為1 000的PBAA-SGX方案以及子群大小為500的PBAA-SGX方案,在系統(tǒng)設(shè)置階段的時(shí)間消耗對(duì)比結(jié)果?？梢杂^察到,原始的PBAA方案在系統(tǒng)設(shè)置階段需要的時(shí)間與最大共享用戶數(shù)量呈線性關(guān)系。采用子群劃分的PBAA-SGX方案在系統(tǒng)初始化階段,其消耗時(shí)間基本保持不變,因?yàn)槠溆?jì)算復(fù)雜度與子群的最大容量有關(guān),并且子群用戶越少,時(shí)間消耗越少。

此外,當(dāng)子群大小為1 000且最大共享用戶數(shù)量在2 000以內(nèi)時(shí),PBAA-SGX在系統(tǒng)設(shè)置階段時(shí)間開(kāi)銷明顯高于原始PBAA方案,這是由于PBAA-SGX方案使用SGX技術(shù)引入了額外的開(kāi)銷。PBAA-SGX系統(tǒng)設(shè)置階段運(yùn)行在SGX Enclave中,因此創(chuàng)建和初始化Enclave區(qū)域需要額外時(shí)間開(kāi)銷。此外,系統(tǒng)設(shè)置執(zhí)行過(guò)程,Enclave和非可信部分的交互也會(huì)導(dǎo)致所需計(jì)算時(shí)間的增加。但是當(dāng)用戶數(shù)量大于2 000時(shí),可以觀察到PBAA-SGX在此階段所需的計(jì)算時(shí)間低于原始PBAA方案。

需要指出的是,SGX技術(shù)雖然會(huì)引入一定的開(kāi)銷(主要體現(xiàn)在系統(tǒng)設(shè)置,即初始化階段,且開(kāi)銷增加完全可以接受),但換取了后續(xù)其他群組成員動(dòng)態(tài)管理操作上時(shí),時(shí)間復(fù)雜度大幅優(yōu)化。

5.2.2 加密密鑰生成階段的計(jì)算時(shí)間開(kāi)銷

圖4展示了原始的PBAA方案、p=1 000的PBAA-SGX方案以及p=500的PBAA-SGX方案在加密密鑰生成階段的時(shí)間消耗。由于原始PBAA方案在加密密鑰生成階段計(jì)算復(fù)雜度為O(|S|2),因此其為數(shù)據(jù)共享用戶集合生成群密鑰的時(shí)間隨著用戶數(shù)量的增加而急速增加。在PBAA-SGX方案中,在SGX技術(shù)和子群劃分技術(shù)的協(xié)同作用下,此操作的時(shí)間復(fù)雜度降低至O(|p|),其中,p為子群容量。因此 PBAA-SGX方案在此階段的計(jì)算開(kāi)銷,相對(duì)于原始PBAA方案要少很多,尤其是在用戶數(shù)量較大時(shí),PBAA-SGX方案的優(yōu)勢(shì)更加明顯。

此外,系統(tǒng)在設(shè)置階段需要設(shè)定較大的N值,以盡可能避免出現(xiàn)群成員動(dòng)態(tài)管理中(例如:不斷增添新的共享成員)實(shí)際需要共享人數(shù)大于N的情況。由圖4可知,較大的N值會(huì)導(dǎo)致加密群共享密鑰時(shí)間復(fù)雜度的大幅提升,而PBAA-SGX則能更好地應(yīng)對(duì)這一問(wèn)題。

5.2.3 委托密鑰生成和重加密階段的計(jì)算時(shí)間開(kāi)銷

圖 5和圖 6分別展示了原始PBAA方案、分區(qū)大小為1 000的PBAA-SGX方案以及分區(qū)大小為500的PBAA-SGX方案,在委托密鑰生成階段以及密文重加密階段的時(shí)間開(kāi)銷。明顯可以看出,在此階段PBAA-SGX方案相較于原始的PBAA方案,在時(shí)間開(kāi)銷方面具有顯著的優(yōu)勢(shì),可以更好地支持密文數(shù)據(jù)大規(guī)模群體共享。

5.2.4 解密階段的時(shí)間開(kāi)銷

圖 7和圖 8分別展示了原始PBAA方案、分區(qū)大小為1 000的PBAA-SGX方案以及分區(qū)大小為500的PBAA-SGX方案,對(duì)原始密文解密以及重加密密文解密的時(shí)間消耗。在此階段原始PBAA方案與PBAA-SGX方案的時(shí)間復(fù)雜度分別為O(|S|2)和O(|p|2)。但PBAA-SGX方案中引入了子群劃分機(jī)制,使得用戶解密的時(shí)間復(fù)雜度,只依賴于子群大小,而不隨著用戶數(shù)量的增多而改變,因此在用戶數(shù)量較多時(shí),PBAA-SGX方案所消耗的時(shí)間會(huì)遠(yuǎn)遠(yuǎn)小于原始PBAA方案。

6 結(jié)束語(yǔ)

針對(duì)加密云數(shù)據(jù)群組訪問(wèn)控制這一問(wèn)題,筆者基于文獻(xiàn)中現(xiàn)有的PBAA方案,提出了PBAA-SGX方案。PBAA-SGX通過(guò)引入Intel SGX可信計(jì)算技術(shù)以及子群劃分機(jī)制,在CSP平臺(tái)上提供了輕量且靈活的群組訪問(wèn)控制功能。實(shí)驗(yàn)結(jié)果表明,相較于PBAA方案,PBAA-SGX方案計(jì)算復(fù)雜度得到了極大降低,實(shí)現(xiàn)以低計(jì)算開(kāi)銷、細(xì)粒度的加密云存儲(chǔ)數(shù)據(jù)的訪問(wèn)控制。在后續(xù)研究中,擬在文中的基礎(chǔ)上增加子群大小動(dòng)態(tài)調(diào)整機(jī)制,探尋業(yè)務(wù)感知的子群劃分機(jī)制,進(jìn)一步提升云平臺(tái)數(shù)據(jù)的動(dòng)態(tài)群組訪問(wèn)控制的靈活性。