蔣瀝泉，秦志光

(電子科技大學(xué)信息與軟件工程學(xué)院 成都 611731)

隨著傳感技術(shù)、大數(shù)據(jù)技術(shù)以及移動(dòng)物聯(lián)網(wǎng)的快速發(fā)展，移動(dòng)群智技術(shù)作為一種新型大規(guī)模感知技術(shù)，能夠利用用戶隨身攜帶的移動(dòng)設(shè)備突破時(shí)間與地點(diǎn)的限制，隨時(shí)隨地地借助云服務(wù)平臺(tái)進(jìn)行大規(guī)模的實(shí)時(shí)數(shù)據(jù)感知、傳輸和共享[1-3]。隨著便攜式移動(dòng)設(shè)備傳感器集成的精細(xì)化以及功能的多樣化，其應(yīng)用也越來越廣泛，如交通導(dǎo)航、環(huán)境監(jiān)測(cè)、醫(yī)療服務(wù)等[4-5]。盡管移動(dòng)群智應(yīng)用能夠極大地提升人類生活質(zhì)量，然而由于在應(yīng)用過程中涉及大量的數(shù)據(jù)傳輸、交換和共享，這使得群智感知的應(yīng)用也面臨著一系列數(shù)據(jù)隱私和安全問題。如攻擊者可以通過非法獲取用戶上傳的群智醫(yī)療等敏感信息來推導(dǎo)其健康狀況，進(jìn)而進(jìn)行一系列惡意造謠和攻擊。社交用戶傳輸給應(yīng)用服務(wù)器的群智數(shù)據(jù)通常帶有時(shí)空信息（含有收集數(shù)據(jù)時(shí)的位置），攻擊者可以非法獲取這些數(shù)據(jù)并可能利用這些數(shù)據(jù)推導(dǎo)出用戶的生活習(xí)慣、行為、家庭住址等敏感信息，從而獲取用戶的隱私并可能對(duì)用戶發(fā)起惡意攻擊。因此，在保證數(shù)據(jù)隱私性的前提下，如何實(shí)現(xiàn)對(duì)群智數(shù)據(jù)的授權(quán)訪問是移動(dòng)群智應(yīng)用首要解決的問題[6-8]。

基于屬性加密的訪問控制技術(shù)是一種有效的解決方法[9-10]。在該技術(shù)中，用戶的私鑰和一組屬性集（或一個(gè)訪問控制）綁定在一起，加密的數(shù)據(jù)和訪問控制（或一組屬性集）綁定在一起。當(dāng)用戶私鑰中的屬性集（訪問控制）和密文中的訪問控制（屬性集）相匹配時(shí)，該用戶才有權(quán)訪問數(shù)據(jù)。然而，在現(xiàn)有的大多數(shù)基于屬性加密的訪問控制中，用戶的密鑰通常是由一個(gè)中央權(quán)威去生成和分配，這就需要該權(quán)威機(jī)構(gòu)是完全可信的。而在現(xiàn)實(shí)的應(yīng)用場(chǎng)景中，中央權(quán)威機(jī)構(gòu)由于托管著用戶所有的密鑰，可能偽裝成合法用戶去訪問用戶的數(shù)據(jù)，使得用戶數(shù)據(jù)隱私性遭到破壞。因此，如何實(shí)現(xiàn)去中心化和分布式的訪問控制減少中央權(quán)威的信任成為亟待解決的挑戰(zhàn)。此外，現(xiàn)有的大多數(shù)基于屬性的訪問控制方案中都過于專注用戶數(shù)據(jù)機(jī)密性的保護(hù)，很少考慮用戶屬性的隱私性。如在移動(dòng)群智的醫(yī)療服務(wù)場(chǎng)景中，群智用戶選擇一個(gè)訪問控制，如“人民醫(yī)院”“精神科醫(yī)生”“生理醫(yī)生”“心理醫(yī)生”，對(duì)自己的群智醫(yī)療數(shù)據(jù)進(jìn)行加密，使得只有人民醫(yī)院的精神科醫(yī)生、生理醫(yī)生或心理醫(yī)生才能訪問其醫(yī)療數(shù)據(jù)。然而，由于密文中的訪問控制是以明文的形式附加在密文數(shù)據(jù)上的，這就使得任何非法用戶即使不能解密其密文數(shù)據(jù)，也能通過訪問控制大致推測(cè)該用戶可能患有生理或心理疾病，這無疑在一定程度上損害了用戶的隱私。因此，如何防止訪問控制的隱私性泄漏也成為另一個(gè)待解決的挑戰(zhàn)之一。除了實(shí)現(xiàn)去中心化和分布式的訪問控制以及保證訪問控制的隱私性之外，考慮到大多數(shù)的基于屬性加密的方案其密文長(zhǎng)度過長(zhǎng)、解密效率過低，這對(duì)于資源受限的移動(dòng)群智用戶難以快速地解密并訪問數(shù)據(jù)，因此，如何保證資源有限的群智用戶能以最少的耗能快速實(shí)現(xiàn)對(duì)目標(biāo)數(shù)據(jù)的訪問也是一個(gè)現(xiàn)實(shí)的挑戰(zhàn)。

目前來說，大多數(shù)基于屬性的加密方案都只能部分解決以上挑戰(zhàn)。如具有去中心化功能的基于屬性的加密方案[11-18]僅能夠?qū)崿F(xiàn)中心化和分布式的訪問控制，無法實(shí)現(xiàn)對(duì)訪問控制的隱私保護(hù)和高效的數(shù)據(jù)訪問。具有策略隱藏功能的基于屬性的加密方案[19-25]僅能夠?qū)崿F(xiàn)對(duì)訪問控制的隱私保護(hù)，無法實(shí)現(xiàn)去中心化和高效的數(shù)據(jù)訪問；具有外包功能的基于屬性的加密方案[26-33]僅能夠?qū)崿F(xiàn)高效的數(shù)據(jù)訪問，而沒有考慮去中心化和訪問控制的隱私保護(hù)；此外，還有一些具有隱私保護(hù)的去中心化功能的基于屬性的加密方案或基于外包的具有隱私保護(hù)的屬性基加密方案要么沒有考慮用戶解密效率，要么未考慮去中心化問題[14,25,34-35]。

為了實(shí)現(xiàn)移動(dòng)群智應(yīng)用場(chǎng)景下的屬性隱藏、去中心化以及高效的數(shù)據(jù)訪問，本文提出了一個(gè)基于屬性隱藏的高效去中心化的移動(dòng)群智數(shù)據(jù)共享方案。本文的主要貢獻(xiàn)如下。

1）細(xì)粒度訪問控制：本方案允許群智用戶指定基于屬性的訪問控制用于加密群智數(shù)據(jù)，使得只有滿足訪問控制的用戶才能訪問該群智數(shù)據(jù)。與之前的細(xì)粒度訪問控制相比，本方案的訪問控制更高效。

2）權(quán)威去中心化：本方案允許多個(gè)權(quán)威機(jī)構(gòu)為群智用戶共同生成私鑰，使得單獨(dú)的權(quán)威機(jī)構(gòu)無法偽裝成合法的用戶非法訪問目標(biāo)數(shù)據(jù)。相較于之前中心化的屬性權(quán)威的問題，本方案能夠防止抗權(quán)威密鑰泄漏。

3）屬性隱藏： 本方案支持對(duì)訪問控制的隱私保護(hù)，本質(zhì)上來說訪問控制是一組屬性的描述，實(shí)現(xiàn)對(duì)訪問控制的隱私保護(hù)等同于實(shí)現(xiàn)對(duì)用戶屬性的隱藏。與之前的訪問控制方案相比，本方案考慮了訪問控制的屬性隱私。

4）外包解密： 本方案允許群智用戶能夠以最低的能耗去快速解密和訪問目標(biāo)數(shù)據(jù)。

1 理論知識(shí)

1.1 困難性問題

n-線性假設(shè)：給定一個(gè)群 (p,G1,G2,GT,e)，不存在一個(gè)多項(xiàng)式區(qū)分者可以以不可忽略的優(yōu)勢(shì)區(qū)分，這里， γ是 從Zp選 取長(zhǎng)度為n的 隨機(jī)矩陣，Z是 從Zp選取n+1行1列 的隨機(jī)矩陣，R為 從Zp選 取n+1行n列的隨機(jī)整數(shù)矩陣。

1.2 系統(tǒng)模型

在圖1 所示的本系統(tǒng)模型中，涉及4 種不同類型的實(shí)體: 權(quán)威機(jī)構(gòu)、云服務(wù)器、數(shù)據(jù)擁有者、數(shù)據(jù)發(fā)送者。具體來說，首先權(quán)威機(jī)構(gòu)生成系統(tǒng)公開參數(shù)，并向系統(tǒng)中的所有實(shí)體公開。此外，所有的權(quán)威機(jī)構(gòu)為用戶生成私鑰，并將生產(chǎn)的私鑰發(fā)送給用戶。數(shù)據(jù)擁有者通過加密算法將其群智數(shù)據(jù)加密生成密文，并將生成的密文發(fā)送到云服務(wù)器上存儲(chǔ)和共享。當(dāng)數(shù)據(jù)使用者想訪問存儲(chǔ)在云服務(wù)器上的密文數(shù)據(jù)，他首先盲化其私鑰生成盲化密鑰和轉(zhuǎn)換密鑰，然后將盲化密鑰發(fā)送給云服務(wù)器。云服務(wù)器在接收到盲化密鑰時(shí)，執(zhí)行外包解密操作，并將轉(zhuǎn)換后的外包密文發(fā)送給該數(shù)據(jù)使用者。數(shù)據(jù)使用者在接收到轉(zhuǎn)換的外包密文后，使用轉(zhuǎn)換密鑰恢復(fù)明文信息。

圖1 系統(tǒng)模型圖

和其他類似方案的安全模型定義相同[14-15,18]，本方案中所有的權(quán)威機(jī)構(gòu)都是半可信的第三方，即誠實(shí)好奇的第三方，它們能忠實(shí)地執(zhí)行公鑰生成和發(fā)布，為用戶生成其各自的私鑰，但可能偽裝成合法用戶非法訪問數(shù)據(jù)。云服務(wù)器是半可信的，即為用戶提供無限的存儲(chǔ)資源以及為用戶忠實(shí)地執(zhí)行其指示的操作，但也很好奇地試圖去了解其存儲(chǔ)的數(shù)據(jù)或執(zhí)行的解密內(nèi)容。數(shù)據(jù)擁有者是誠實(shí)的數(shù)據(jù)發(fā)送方，主要負(fù)責(zé)上傳數(shù)據(jù)，以分享給其他用戶實(shí)現(xiàn)非交互式的數(shù)據(jù)訪問。數(shù)據(jù)訪問者是不可信的數(shù)據(jù)訪問方，即非授權(quán)用戶試圖通過發(fā)起包含合謀攻擊等手段以獲取合法權(quán)限，從而達(dá)到其非法訪問非授權(quán)用戶數(shù)據(jù)的目的。

1.3 形式化定義

本方案由如下若干個(gè)算法組成。

SETUP(λ): 輸入安全參數(shù) λ ， 輸出公共參數(shù) pp，該算法由所有權(quán)威機(jī)構(gòu)執(zhí)行。

AuthSetup(pp,i): 輸入公共參數(shù) pp、 權(quán)威機(jī)構(gòu)索引i，生成其公私鑰 PKi和 SKi，該算法由權(quán)威機(jī)構(gòu)執(zhí)行。

Encrypt(pp, PKi,x,m): 輸入公共參數(shù) pp、公鑰PKi、 訪問控制向量x、 加密消息m，該加密算法輸出密文 CT ，該算法由數(shù)據(jù)所有者執(zhí)行。

KeyGen(pp, SKi, PKi, GID,z) : 輸入公共參數(shù) pp，所有權(quán)威機(jī)構(gòu)私鑰 SKi、 所有權(quán)威機(jī)構(gòu)的公鑰 PKi、用戶的全局身份 GID、 屬性向量z，該密鑰生成算法為用戶生成私鑰U Ki，該算法由各權(quán)威機(jī)構(gòu)執(zhí)行。

KeyGenout(pp, UKi): 輸入公共參數(shù) pp、用戶私鑰 UKi，該密鑰盲化算法為用戶生成盲化私鑰(z′,UK′i)和 轉(zhuǎn)換密鑰 tk ，該算法由數(shù)據(jù)使用者執(zhí)行。

Decryptout(pp, CT, (z′, UK′i)): 輸 入 公 共 參 數(shù)pp、 密文 CT、 盲化私鑰 (z′,UK′i)，該外包解密算法生成外包密文 CT′，該算法由云服務(wù)器執(zhí)行。

Decrypt(pp, CT′, tk): 輸入公共參數(shù) pp、 外包解密密文 CT′、 轉(zhuǎn)換私鑰 tk，該解密算法輸出明文消息m，該算法由數(shù)據(jù)使用者執(zhí)行。

1.4 安全游戲

定義1 對(duì)所有攻擊者 A來說，若能以可忽略的優(yōu)勢(shì)贏得與挑戰(zhàn)者 C之間的游戲，那么本方案能夠?qū)崿F(xiàn)語義安全性，即明文的機(jī)密性。

參數(shù)建立階段 (Setup) ：挑戰(zhàn)者 C執(zhí)行Setup(λ)和AuthSetuppp,i算法生成公共參數(shù)pp和權(quán)威機(jī)構(gòu)的公共參數(shù) PKi， 并將其發(fā)給攻擊者 A。

密鑰詢問階段 ( Key Query)： 攻擊者 A 發(fā)送對(duì)于屬性向量z的密鑰請(qǐng)求，挑戰(zhàn)者 C 執(zhí) 行KeyGen(pp,SKi, PKi, GID,z)為 攻擊者生成如下密鑰 UKi,GID,z。注意在此階段，允許攻擊者獲取部分 U Ki,GID,z，且在獲得密鑰后允許執(zhí)行 K eyGenout(pp, UKi)進(jìn)行密鑰盲化。

密文生成階段 ( Ciphertext) ： 攻擊者 A 選擇兩個(gè)等長(zhǎng)的消息mc,c∈{0, 1}以 及發(fā)送訪問向量x0、x1，挑戰(zhàn)者 C 執(zhí)行E ncrypt(pp, PKi,x,m)生 成C Tc。

猜測(cè)階段 Guess： 攻擊者 A輸出一個(gè)對(duì)消息mc的 猜測(cè)比特c′， 若c=c′， 則攻擊者 A贏得該游戲。

2 基本構(gòu)造方案

SETUP(λ)：該算法由共同權(quán)威機(jī)構(gòu)執(zhí)行。輸入安全參數(shù) λ，該算法首先選取一個(gè)雙線性群BG=(p,G1,G2,GT,e)， 其 中，g1，g2分 別 表示 群G1和G2的 一個(gè)生成元。隨后，該算法隨機(jī)從Zp選取一 個(gè)n+1行n列 的 矩 陣，一 個(gè)n+1行n+1列 的矩陣。其次，選取n+2個(gè)哈希函數(shù)H,H1,···,Hn+1:{0,1}*→Zp。最后，該算法生成公共參數(shù)

AuthSetup(pp,i)：該算法由每個(gè)權(quán)威機(jī)構(gòu)生成各自的公私鑰。輸入公共參數(shù) pp、權(quán)威機(jī)構(gòu)索引i，該算法首先從Zp選 取一個(gè)n+1行n+1列的矩陣、一 個(gè)n+1維 向 量 αi∈Zp、一 個(gè) 數(shù)βi，生成和存儲(chǔ)其私鑰 SKi=(Si, αi, βi)，并公開其公鑰

3 正確性和安全性分析

3.1 正確性分析

當(dāng)用戶的屬性向量和訪問向量正相交時(shí)，即〈x,z〉=0表示用戶的屬性集合滿足密文中的訪問控制，則以上等式，其中，隨后，用戶可以正確恢復(fù)消息m=C′/At?。

3.2 安全性分析

為了能夠證明本方案的語義安全性，定義了一系列的游戲G ame如下。

Game0：該游戲與定義1 中一樣，模擬的是方案真實(shí)的安全游戲。

Game1：該游戲除了隨機(jī)預(yù)言機(jī)回答的詢問不一樣外，其他均與游戲 G ame0和一樣。具體來說隨機(jī)預(yù)言機(jī)模擬的過程如下：挑戰(zhàn)者 C從Zp中隨機(jī)選取一個(gè)長(zhǎng)度為n的 向量r，計(jì)算h=Br，然后存儲(chǔ)h的值去回答攻擊者的隨機(jī)預(yù)言機(jī)詢問。

Game4： 該游戲幾乎與游戲 Game3一樣，除了加密消息時(shí)隨機(jī)選取的群中的元素。

Game5： 該游戲幾乎與游戲 Game4一樣，除了選取的訪問向量x被一個(gè)隨機(jī)向量x*取代。注意該游戲從攻擊者 A的角度無法區(qū)分加密的消息，因此無法以一定的優(yōu)勢(shì)贏得該游戲。

引理 1 游戲G ame0和 游戲G ame1的不可區(qū)分性

如果存在一個(gè)攻擊者 A能夠區(qū)分游戲 Game0和游戲 Game1， 那么就存在一個(gè)挑戰(zhàn)者 C能夠以不可忽略的優(yōu)勢(shì)解決線性判定性問題 （decisional linear problem）。

當(dāng)h∈Span(B)h∈Span(B)時(shí)，密鑰和隨機(jī)預(yù)言機(jī)響應(yīng)的分布與游戲 G ame1完全相同，而在另一種情況下，其分布與游戲 Game0完 全相同。通過k-判定性線性問題，可以得知攻擊者 A只能夠以可忽略的優(yōu)勢(shì)區(qū)分這兩個(gè)游戲。

引理 2 游戲 Game2,j-1,3和 游戲 Game2,j,1的不可區(qū)分性

如果存在一個(gè)攻擊者 A 能夠區(qū)分游戲Game2,j-1,3和 游戲 G ame2,j,1，那么就存在一個(gè)挑戰(zhàn)者C能夠以不可忽略的優(yōu)勢(shì)解決線性判定性問題。

參數(shù)建立階段 ( Setup) ：挑戰(zhàn)者 C 如實(shí)際方案中一樣隨機(jī)選擇一個(gè)長(zhǎng)度為n+1的 向量 αi∈Zp、一個(gè)隨機(jī)數(shù)t? ∈Zp、 隨機(jī)矩陣R，a⊥，Si，V，生成公開參數(shù)以及權(quán)威機(jī)構(gòu)的公鑰，。

密鑰詢問階段( Key,Query) ：輸入第m個(gè)密鑰詢問，挑戰(zhàn)者 C為攻擊者生成如下密鑰：

式中，r表示從Zp中選取的隨機(jī)值組成的一個(gè)長(zhǎng)度為n的向量。注意攻擊者在拿到密鑰后可以進(jìn)行密鑰盲化，模擬外包的過程。

密文生成階段( Ciphertext) ： 攻擊者 A 選擇兩個(gè)等長(zhǎng)的消息mb,b∈{0,1}， 挑戰(zhàn)者 C隨 機(jī)選擇一個(gè) γ，計(jì)算如下：

當(dāng)h∈Span(B)時(shí)，密鑰和隨機(jī)預(yù)言機(jī)響應(yīng)的分布與游戲 Game2,j-1,3完全相同，而在另一種情況下，其分布與游戲 Game2,j,1完 全相同。通過k-判定性線性問題，可以得知攻擊者 A只能夠以可忽略的優(yōu)勢(shì)區(qū)分這兩個(gè)游戲。

引理 3 游戲G ame2,j,1和 游戲G ame2,j,2不可區(qū)分性

如果存在一個(gè)攻擊者 A能夠區(qū)分游戲Game2,j,1和游戲 Game2,j,2， 那么就存在一個(gè)挑戰(zhàn)者 C 能夠以不可忽略的優(yōu)勢(shì)解決線性判定性問題。

以第j個(gè)密鑰，其中t?是由挑戰(zhàn)者C從Zp中 隨機(jī)采樣的。在第j個(gè)密鑰詢問中，攻擊者A向挑戰(zhàn)者 C 發(fā)送有關(guān)密鑰的屬性向量z，挑戰(zhàn)者C執(zhí)行如下操作：

從以上可以看出Si和的分布顯然是相同的。此外，還可以得知若密文和權(quán)威機(jī)構(gòu)的公鑰是使用而 不是Si生成的，則二者沒有區(qū)別。具體來說，對(duì)于公鑰的生成如下：

對(duì)于密文生成如下：

式中，h=Br+(t/n)a⊥；r∈；t∈Zp?？梢缘玫?/p>

因此，用戶私鑰可以得到:

這樣可以輕易得知游戲G ame2,j,2的精確分布。

引理 4 游戲G ame2,j,2和 游戲G ame2,j,3的不可區(qū)分性

如果存在一個(gè)攻擊者 A能夠區(qū)分游戲Game2,j,2和游戲 Game2,j,3， 那么就存在一個(gè)挑戰(zhàn)者 C能夠以不可忽略的優(yōu)勢(shì)解決k-線性判定性問題（decisional linear problem）。

參數(shù)建立階段( Setup)：挑戰(zhàn)者 C如實(shí)際方案中一樣隨機(jī)選擇一個(gè)長(zhǎng)度為n+1的 向量 αi∈Zp，一個(gè)隨機(jī)數(shù)t∈Zp， 隨機(jī)矩陣R，a⊥，Si，V，生成公開參數(shù)以及權(quán)威機(jī)構(gòu)的公鑰。

密鑰詢問階段 (Key,Query) ：輸入第m個(gè)密鑰詢問，挑戰(zhàn)者 C為攻擊者生成如下密鑰：

式中，r表示從Zp中選取的隨機(jī)值組成的一個(gè)長(zhǎng)度為n的向量。注意攻擊者在拿到密鑰后可以進(jìn)行密鑰盲化，模擬外包的過程。

密文生成階段 ( Ciphertext) ： 攻擊者 A 選擇兩個(gè)等長(zhǎng)的消息mb,b∈{0,1}， 挑戰(zhàn)(者 C 隨 機(jī))選擇一個(gè) γ，計(jì)算如下：

當(dāng)h∈Span(B)時(shí)，密鑰和隨機(jī)預(yù)言機(jī)響應(yīng)的分布與游戲 Game2,j-1,3完全相同，而在另一種情況下，其分布與游戲 Game2,j,2完 全相同。通過k-判定性線性問題，可以得知攻擊者 A只能夠以可忽略的優(yōu)勢(shì)區(qū)分這兩個(gè)游戲。

引理 5 游戲 Game2,q,3和 游戲 Game3的不可區(qū)分性

如果存在一個(gè)攻擊者 A能夠區(qū)分游戲Game2,q,3和游戲 Game3， 那么就存在一個(gè)挑戰(zhàn)者 C能夠以不可忽略的優(yōu)勢(shì)解決線性判定性問題。

當(dāng)a∈Span(R)時(shí)，密鑰和隨機(jī)預(yù)言機(jī)響應(yīng)的分布與游戲Game3完全相同，而在另一種情況下，其分布與游戲 Game2,q,3完 全相同。通過k-判定性線性問題，可以得知攻擊者 A只能夠以可忽略的優(yōu)勢(shì)區(qū)分這兩個(gè)游戲。

引理 6 游戲 Game3和 游戲 Game4的不可區(qū)分性

如果存在一個(gè)攻擊者 A能夠區(qū)分游戲 Game3和游戲 Game4， 那么就存在一個(gè)挑戰(zhàn)者 C 能夠以不可忽略的優(yōu)勢(shì)解決線性判定性問題。

證明：挑戰(zhàn)者 C隨機(jī)化選取一個(gè)矩陣R，a⊥，使得RT a⊥=0 ， 一個(gè)從Zp中選取的隨機(jī)值組成的一個(gè)長(zhǎng)度為n+1隨機(jī)向量 α，一個(gè)從Zp中選取的隨機(jī)數(shù)s? 。隨后，挑戰(zhàn)者 C 計(jì) 算α ?=α-a⊥s?。

參數(shù)建立階段 ( Setup) ：挑戰(zhàn)者 C如實(shí)際方案中一樣生成公開參數(shù)以及權(quán)威機(jī)構(gòu)的公鑰

密鑰詢問階段 Key,Query: 挑戰(zhàn)者 C 為攻擊者生成如下密鑰:

注意在此階段，攻擊者在拿到密鑰后可以進(jìn)行密鑰盲化，模擬外包的過程。

密文生成階段 ( Ciphertext) ： 攻擊者 A 選擇兩個(gè)等長(zhǎng)的消息mc,c∈{0,1}， 挑戰(zhàn)者 C 隨機(jī)選擇一個(gè)向量 γ，一 個(gè) 隨 機(jī) 數(shù) γ? ，令隨后計(jì)算由以上公式可以得知元素m′很大概率是群中的一個(gè)隨機(jī)值。那么，密文可以被計(jì)算如下：

很容易可以得知游戲 Game3被準(zhǔn)確模擬出來，攻擊者 A只能夠以可忽略的優(yōu)勢(shì)區(qū)分這兩個(gè)游戲。

引理 7 游戲 Game4和 游戲 Game5的不可區(qū)分性

如果存在一個(gè)攻擊者 A能夠區(qū)分游戲 Game4和游戲 Game5， 那么就存在一個(gè)挑戰(zhàn)者 C能夠以不可忽略的優(yōu)勢(shì)解決線性判定性問題。

證明：挑戰(zhàn)者 C 可以生成如下密文：

屬性隱私：攻擊者很容易從密文中獲取訪問控制屬性的隱私，這是因?yàn)閷?duì)于基于屬性相關(guān)的密碼體制來說，訪問控制通常以明文的形式附貼在密文上。在本方案中，將屬性和訪問控制轉(zhuǎn)化成屬性和訪問向量，這兩種向量分別用于私鑰和密文的生成。在密文生成過程中，訪問向量不必以明文的形式附貼在密文上，而是隱藏在密文中，從而避免了攻擊者從密文中獲取訪問控制屬性的隱私的可能。

4 性能分析

4.1 功能分析

從表1 可以得知，文獻(xiàn)[11]僅支持細(xì)粒度訪問控制，而不支持權(quán)威去中心化、訪問控制的屬性隱私保護(hù)和高效的數(shù)據(jù)訪問；文獻(xiàn)[12-13, 16-17, 19]支持細(xì)粒度訪問控制和權(quán)威去中心化，而不支持訪問控制的屬性隱私保護(hù)和高效的數(shù)據(jù)訪問；文獻(xiàn)[14, 15, 35]支持細(xì)粒度訪問控制、權(quán)威去中心化、訪問控制的屬性隱私保護(hù)，但不支持高效的數(shù)據(jù)訪問；文獻(xiàn)[18]支持細(xì)粒度訪問控制、權(quán)威去中心化、高效的數(shù)據(jù)訪問，但不支持訪問控制的屬性隱私保護(hù)；本方案支持細(xì)粒度訪問控制、權(quán)威去中心化、訪問控制的屬性隱私保護(hù)和高效的數(shù)據(jù)訪問。

表1 基于多權(quán)威的屬性基的方案對(duì)比

4.2 計(jì)算和存儲(chǔ)開銷理論分析

由于文獻(xiàn)[14, 15, 35]與本方案大部分的功能實(shí)現(xiàn)相類似，因此本部分僅將文獻(xiàn)[14, 15, 35]與本方案進(jìn)行理論開銷對(duì)比分析。表2 展示了多權(quán)威去中心化屬性隱藏的屬性基方案的各算法計(jì)算開銷對(duì)比。m，n分別代表權(quán)威機(jī)構(gòu)的個(gè)數(shù)和用戶屬性的個(gè)數(shù)；e0，e1分 別表示在群G1，GT中一個(gè)指數(shù)運(yùn)算的執(zhí)行時(shí)間，p指的是一個(gè)對(duì)運(yùn)算的執(zhí)行時(shí)間。|G1|和|GT|分 別代表G1和GT中元素的長(zhǎng)度。

表2 相關(guān)方案各算法計(jì)算開銷對(duì)比

從表2 可以得知，在以上所有多權(quán)威去中心化屬性隱藏的屬性基方案中，每一個(gè)權(quán)威機(jī)構(gòu)參數(shù)建立算（AuthSetup）的計(jì)算開銷都與系統(tǒng)中用戶的屬性個(gè)數(shù)相關(guān)；用戶私鑰生成算法（KeyGen）的計(jì)算開銷與用戶屬性的個(gè)數(shù)和權(quán)威機(jī)構(gòu)的個(gè)數(shù)有關(guān)；加密算法（Encryption）的計(jì)算開銷與權(quán)威機(jī)構(gòu)個(gè)數(shù)和屬性個(gè)數(shù)都相關(guān)；在解密算法（Decryption）的計(jì)算開銷方面，只有本方案能夠?qū)崿F(xiàn)高效的解密，即其開銷與用戶的屬性個(gè)數(shù)和權(quán)威機(jī)構(gòu)的個(gè)數(shù)無關(guān)。此外，可以很明顯觀察到在密鑰生成和解密方面，本方案相較于其他方案計(jì)算開銷最低。

從表3 中可以得知，在以上方案中，存儲(chǔ)權(quán)威機(jī)構(gòu)生成的公開參數(shù)開銷與屬性個(gè)數(shù)和權(quán)威機(jī)構(gòu)的個(gè)數(shù)呈正相關(guān)；存儲(chǔ)用戶私鑰的開銷同樣與屬性個(gè)數(shù)和權(quán)威機(jī)構(gòu)的個(gè)數(shù)相關(guān)；文獻(xiàn)[14-15, 35]存儲(chǔ)密文的開銷與屬性個(gè)數(shù)和權(quán)威機(jī)構(gòu)的個(gè)數(shù)相關(guān)，而本方案的密文存儲(chǔ)開銷僅與屬性個(gè)數(shù)相關(guān)。此外，很容易從表3 觀察到本方案用戶私鑰和密文的存儲(chǔ)開銷相較于其他方案的存儲(chǔ)較低。

表3 相關(guān)方案參數(shù)存儲(chǔ)開銷對(duì)比

綜上所述，本方案在密鑰生成和解密的計(jì)算開銷相較于其他兩個(gè)方案明顯較低。在存儲(chǔ)用戶私鑰和密文的開銷方面，本方案相較于其他方案同樣明顯較低。

4.3 實(shí)驗(yàn)分析

由于本方案使用基于屬性向量和訪問向量來實(shí)現(xiàn)策略隱藏，而文獻(xiàn)[14-15]方案都是基于線性秘密共享矩陣或訪問樹的訪問結(jié)構(gòu)實(shí)現(xiàn)訪問策略隱藏。通過以上理論分析可以發(fā)現(xiàn)，本方案在計(jì)算效率和存儲(chǔ)效率存在一定的優(yōu)勢(shì)。因此，本部分主要對(duì)屬性個(gè)數(shù)和權(quán)威機(jī)構(gòu)個(gè)數(shù)對(duì)本方案的各算法計(jì)算性能進(jìn)行評(píng)估。本方案在64 bit 的Ubuntu 118.04.6 LTS版本中安裝python 3.5 的運(yùn)行環(huán)境，使用的是Charm-Crypto 0.43 的PBC 安裝包[35]，本實(shí)驗(yàn)是基于512位基本字段的對(duì)稱曲線SS512。電腦硬件的配置如下: Intel Core i9-9900K CPU@3.60GHz*16，Graphics:GetForce RTX 2 070 Super/PCIe/SSE2，32 GB 內(nèi)存。

圖2 表示的是當(dāng)權(quán)威機(jī)構(gòu)的個(gè)數(shù)固定為5 時(shí)，本方案中相應(yīng)算法運(yùn)算時(shí)間隨著屬性向量的長(zhǎng)度的變化。圖3 表示的是屬性向量的長(zhǎng)度固定為5 時(shí)，本方案中相應(yīng)算法運(yùn)算時(shí)間隨著權(quán)威機(jī)構(gòu)的個(gè)數(shù)的變化。從圖2 中可以看出，當(dāng)權(quán)威機(jī)構(gòu)的個(gè)數(shù)固定時(shí)，本方案的AuthSetup，Encryption 和KeyGen 算法的計(jì)算時(shí)間隨著屬性向量的長(zhǎng)度呈線性關(guān)系，而Decryption 算法的計(jì)算時(shí)間與屬性向量的長(zhǎng)度無關(guān)。

圖3 各算法隨權(quán)威機(jī)構(gòu)個(gè)數(shù)變化的計(jì)算開銷

從圖3 中可以看出，當(dāng)屬性向量的長(zhǎng)度固定時(shí)，本方案的Encryption 和KeyGen 算法的計(jì)算時(shí)間隨著權(quán)威機(jī)構(gòu)的個(gè)數(shù)呈線性關(guān)系，而AuthSetup和Decryption 算法的計(jì)算時(shí)間與屬性向量的長(zhǎng)度無關(guān)。

綜上所知，本方案的解密計(jì)算開銷基本保持恒定，表明本方案能夠使移動(dòng)用戶在資源受限的條件下依然可以高效訪問密文數(shù)據(jù)。

5 結(jié) 束 語

本文針對(duì)移動(dòng)群智場(chǎng)景中數(shù)據(jù)共享過程存在安全、隱私和效率的問題，提出了一個(gè)基于屬性隱藏的高效去中心化的移動(dòng)群智數(shù)據(jù)共享方案。本方案能夠?qū)崿F(xiàn)細(xì)粒度的授權(quán)訪問、訪問控制的隱私保護(hù)、權(quán)威去中心化以及高效數(shù)據(jù)訪問。并通過嚴(yán)格的安全性分析和性能分析，證明了本方案在應(yīng)用到移動(dòng)群智數(shù)據(jù)共享場(chǎng)景中的安全性、高效性和可行性。本方案訪問控制的表達(dá)性較弱，即僅支持與門的訪問控制的向量轉(zhuǎn)化。未來工作將基于本方案進(jìn)行擴(kuò)展，設(shè)計(jì)出支持可搜索、可撤銷的方案。