一種面向云存儲的動態(tài)授權(quán)訪問控制機(jī)制

王　晶　黃傳河　王金海

(武漢大學(xué)計(jì)算機(jī)學(xué)院　武漢　430072) (wjing@whu.edu.cn)

一種面向云存儲的動態(tài)授權(quán)訪問控制機(jī)制

王晶黃傳河王金海

(武漢大學(xué)計(jì)算機(jī)學(xué)院武漢430072) (wjing@whu.edu.cn)

摘要云存儲是一種新型的數(shù)據(jù)存儲體系結(jié)構(gòu)，云存儲中數(shù)據(jù)的安全性、易管理性等也面臨著新的挑戰(zhàn).首先，云存儲系統(tǒng)需要為用戶提供安全可靠的數(shù)據(jù)訪問服務(wù)，并確保云端數(shù)據(jù)的安全性.為此，研究者們針對云存儲中數(shù)據(jù)結(jié)構(gòu)復(fù)雜、數(shù)據(jù)存儲量大等特點(diǎn)提出了屬性加密(attribute-based encryption, ABE)方案，為云儲存系統(tǒng)提供細(xì)粒度的密文訪問控制機(jī)制.在該機(jī)制中，數(shù)據(jù)所有者使用訪問策略表示數(shù)據(jù)的訪問權(quán)限并對數(shù)據(jù)進(jìn)行加密.但數(shù)據(jù)的訪問權(quán)限常會因各種原因發(fā)生改變，從而導(dǎo)致云中存儲密文的頻繁更新，進(jìn)而影響數(shù)據(jù)的易管理性.為避免訪問權(quán)限管理造成大量的計(jì)算和通信開銷，提出了一種高效、安全、易管理的云存儲體系結(jié)構(gòu)：利用ABE加密機(jī)制實(shí)現(xiàn)對密文的訪問控制，通過高效的動態(tài)授權(quán)方法實(shí)現(xiàn)訪問權(quán)限的管理，并提出了不同形式的訪問策略之間的轉(zhuǎn)換方法，使得動態(tài)授權(quán)方法更為通用，不依賴于特定的訪問策略形式；針對授權(quán)執(zhí)行者的不同，制定了更新授權(quán)、代理授權(quán)和臨時授權(quán)3種動態(tài)授權(quán)形式，使得動態(tài)授權(quán)更為靈活、快捷；特別地，在該動態(tài)授權(quán)方法中，授權(quán)執(zhí)行者根據(jù)訪問策略的更改計(jì)算出最小增量集合，并根據(jù)該增量集合更新密文以降低密文更新代價.理論分析和實(shí)驗(yàn)結(jié)果表明，該動態(tài)授權(quán)方法能減小資源的耗費(fèi)、優(yōu)化系統(tǒng)執(zhí)行效率、提高訪問控制機(jī)制靈活性.

關(guān)鍵詞云存儲體系結(jié)構(gòu)；數(shù)據(jù)安全；動態(tài)授權(quán)；屬性加密；訪問控制系統(tǒng)

云存儲是一種新型的數(shù)據(jù)存儲體系結(jié)構(gòu)，與傳統(tǒng)的存儲體系相比，云存儲不是單一的硬件設(shè)備，而是由網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、服務(wù)器、應(yīng)用軟件、公共訪問接口和客戶端程序等多個部分組成的復(fù)雜系統(tǒng).云存儲以存儲設(shè)備為核心，通過網(wǎng)絡(luò)對分布式存儲資源進(jìn)行整合利用，對外提供方便數(shù)據(jù)存儲和訪問服務(wù)，是以存儲為核心為用戶提供各種數(shù)據(jù)服務(wù)的分布開放式服務(wù)系統(tǒng).

數(shù)據(jù)安全問題是云存儲體系中至關(guān)重要的問題.為確保云中的數(shù)據(jù)安全，需要為云存儲提供一種靈活可靠的數(shù)據(jù)訪問控制機(jī)制.顯然，傳統(tǒng)的粗粒度訪問控制機(jī)制在分布開放式的云環(huán)境中不再適用.為此，Goyal等人[1]提出了一種細(xì)粒度的密文訪問控制機(jī)制——基于屬性加密(attribute-basedencryption,ABE)的訪問控制機(jī)制.ABE以屬性定義密鑰，并結(jié)合訪問策略(accesspolicy)對數(shù)據(jù)進(jìn)行加密，從而定義密文的訪問權(quán)限.訪問策略作為ABE機(jī)制的核心部分，其表示形式較為多樣.目前，訪問策略主要有3種表示形式：單調(diào)的布爾公式(monotonicBooleanformulas)、訪問控制樹[1](accesstree)和線性秘密共享矩陣[2](linearsecretsharingschemematrix，LSSS-matrix).此3種表示形式各具優(yōu)點(diǎn)，其中LSSS矩陣由于其靈活的表現(xiàn)力及高效的計(jì)算方法而被廣泛應(yīng)用于ABE的研究領(lǐng)域中.

訪問策略是ABE實(shí)現(xiàn)數(shù)據(jù)細(xì)粒度訪問控制的關(guān)鍵，通過對其優(yōu)化可實(shí)現(xiàn)對數(shù)據(jù)訪問權(quán)限的高效管理，提高數(shù)據(jù)的易管理性.事實(shí)上，越復(fù)雜的訪問策略其表達(dá)能力越強(qiáng)，所能實(shí)現(xiàn)的權(quán)限管理也越靈活.然而，復(fù)雜的訪問策略也增大了系統(tǒng)的計(jì)算量和通信量，致使訪問策略的管理也需要花費(fèi)極大的計(jì)算和通信代價.在現(xiàn)有的ABE密文訪問控制機(jī)制中，數(shù)據(jù)所有者在更改某個數(shù)據(jù)塊的訪問權(quán)限時，需要重新制定訪問策略對數(shù)據(jù)進(jìn)行重加密并將新生成的密文重新上傳至云服務(wù)器，這使得數(shù)據(jù)所有者需要承擔(dān)較大的計(jì)算和通信開銷.由此可見，訪問策略的變動越頻繁，對數(shù)據(jù)管理造成的負(fù)擔(dān)也越大.因此，為了增加云存儲系統(tǒng)中訪問控制機(jī)制的靈活性，并提高數(shù)據(jù)權(quán)限管理的效率，本文在ABE密文訪問控制機(jī)制中引入動態(tài)授權(quán)方法，以優(yōu)化系統(tǒng)的訪問權(quán)限管理機(jī)制，減小因訪問策略變更所帶來的各方面開銷，提高系統(tǒng)的運(yùn)行效率并增強(qiáng)系統(tǒng)的易管理性.根據(jù)云存儲體系中不同的應(yīng)用需求，本文定義3類動態(tài)授權(quán)方式：

1) 更新授權(quán).數(shù)據(jù)所有者直接對數(shù)據(jù)的訪問策略進(jìn)行更改.數(shù)據(jù)加密后被存儲在云端，此后，數(shù)據(jù)所有者若要更改其訪問策略，僅需對云端的加密數(shù)據(jù)進(jìn)行局部更新即可.

2) 代理授權(quán).數(shù)據(jù)所有者委托第三方(代理方)對指定數(shù)據(jù)的部分訪問權(quán)限進(jìn)行管理，以實(shí)現(xiàn)間接授權(quán).由于某些數(shù)據(jù)的訪權(quán)限會頻繁變動，而數(shù)據(jù)所有者無法及時對訪問策略進(jìn)行直接調(diào)整，此時，通過將訪問策略的部分管理權(quán)限委托給第三方代為處理，以實(shí)現(xiàn)間接快速授權(quán).

3) 臨時授權(quán).授權(quán)機(jī)構(gòu)(authority)授予用戶的一次性訪問權(quán)限.緊急情況下，用戶需要訪問其權(quán)限范圍外的數(shù)據(jù)，而無法立即從數(shù)據(jù)所有者處獲取權(quán)限，則可從授權(quán)機(jī)構(gòu)處申請一次性的臨時訪問權(quán)限.

由于現(xiàn)有ABE中訪問策略的表示形式多樣，為使動態(tài)授權(quán)方法的應(yīng)用更為廣泛、不受訪問策略的形式所限制，該方法不能依賴于某種具體的訪問策略而存在，需要具備通用性.同時，計(jì)算代價和通信代價是動態(tài)授權(quán)方法2個重要的評測指標(biāo)，過大的計(jì)算代價會導(dǎo)致系統(tǒng)運(yùn)行效率降低而過大的通信代價則會造成網(wǎng)絡(luò)擁塞，動態(tài)授權(quán)方法必須以較低的代價實(shí)現(xiàn)對數(shù)據(jù)訪問權(quán)限的管理.而現(xiàn)有的大部分文獻(xiàn)都只針對特定的訪問策略類型而展開研究，且在計(jì)算效率及通信效率上并未加以優(yōu)化.如：文獻(xiàn)[1]提出了訪問樹更新機(jī)制；文獻(xiàn)[3]提出了LSSS矩陣更新機(jī)制.文獻(xiàn)[1,3]所實(shí)現(xiàn)的訪問策略更新機(jī)制都只能在原有的策略上增加新的限制條件；文獻(xiàn)[4]提出了更為靈活的訪問策略更新機(jī)制，能使新的訪問策略不受原有策略的限制且對常用的訪問策略分別提出了具體的更新方法，但沒解決策略結(jié)構(gòu)的高效更改問題，其通用性也存在一定的局限.此外，文獻(xiàn)[4]在處理門限結(jié)構(gòu)時效果并不理想，需要將其轉(zhuǎn)換為與門和或門的組合形式，再進(jìn)行相應(yīng)處理，這使得處理過程更為復(fù)雜，計(jì)算參量更多，降低了執(zhí)行效率，增大了計(jì)算復(fù)雜度.

ABE可以看作是上層的秘密分享方案(secretsharingscheme,SSS)和底層的公鑰(publickey, PK)加密方案的組合.在本文所提出的ABE方案中，上層SSS方案與下層公鑰加密方案之間相對較為獨(dú)立，更改上層不會對下層造成影響，反之亦然.不論是上層的訪問策略結(jié)構(gòu)更改還是底層的屬性更改，在本文所提出的方案中都能以最快的速度和最小的更新代價實(shí)現(xiàn).同時，在通用性上，本文在文獻(xiàn)[5]的基礎(chǔ)上提出由單調(diào)布爾公式及訪問控制樹向LSSS矩陣轉(zhuǎn)換的算法，通過該算法所轉(zhuǎn)換的訪問策略在邏輯結(jié)構(gòu)及數(shù)值結(jié)構(gòu)上都保持不變.特別地，本中將LSSS矩陣根據(jù)對應(yīng)訪問策略的結(jié)構(gòu)進(jìn)行分塊，并以“塊”為單位實(shí)現(xiàn)對訪問策略的管理，可靈活地更改訪問策略中的任意“塊”，也可對門限結(jié)構(gòu)直接進(jìn)行處理，簡化了處理流程，加快了處理效率，并能以最小的計(jì)算代價及通信代價實(shí)現(xiàn)密文更新，從而進(jìn)一步提高系統(tǒng)的運(yùn)行效率、靈活性和易管理性.

1相關(guān)研究

云存儲的出現(xiàn)為存儲系統(tǒng)帶來許多新的發(fā)展，許多企業(yè)建立了面向廣大用戶的云存儲服務(wù)系統(tǒng)，如亞馬遜的簡單存儲服務(wù)(S3)、RackSpace的Openstack以及微軟的Azure.同時，云存儲也受到的廣泛研究者的關(guān)注，文獻(xiàn)[2,6-8]中均針對云存儲的特征提出了適用于網(wǎng)絡(luò)環(huán)境的存儲體系結(jié)構(gòu).

數(shù)據(jù)安全問題是云存儲體系中1個至關(guān)重要的問題[9-11]，訪問控制機(jī)制是實(shí)現(xiàn)云端數(shù)據(jù)安全的一種有效手段.ABE是一種支持一對多的公鑰加密機(jī)制[12]，為云存儲系統(tǒng)提供了一種細(xì)粒度的密文訪問控制機(jī)制，它根據(jù)屬性定義密鑰并通過訪問策略定義數(shù)據(jù)訪問權(quán)限，適用于云中復(fù)雜的數(shù)據(jù)環(huán)境.最早提出的ABE也被稱為模糊的身份加密(fuzzyidentity-basedencryption，F(xiàn)IBE)，由Sahai等人于文獻(xiàn)[13]中提出.此后，文獻(xiàn)[1,14]在FIBE的基礎(chǔ)上分別提出了密鑰策略屬性加密(key-policyattribute-basedencryption，KP-ABE)和密文策略屬性加密(cipher-text-policyattribute-basedencryption，CP-ABE)，令數(shù)據(jù)的訪問控制機(jī)制更為靈活、更富表現(xiàn)力.文獻(xiàn)[15-17]中均以訪問樹為基礎(chǔ)實(shí)現(xiàn)數(shù)據(jù)細(xì)粒度的密文訪問控制方案.此后，文獻(xiàn)[18-22]中又根據(jù)線性秘密分享方案(linearsecretsharingscheme,LSSS)實(shí)現(xiàn)了以LSSS矩陣為訪問策略的ABE方案.LSSS矩陣相對訪問樹而言計(jì)算效率更高，實(shí)現(xiàn)更為方便;而文獻(xiàn)[4]中利用范德蒙行列式在LSSS矩陣中實(shí)現(xiàn)了門限結(jié)構(gòu)，增強(qiáng)了LSSS矩陣的表現(xiàn)力并提升了加解密運(yùn)行的效率.

ABE機(jī)制可實(shí)現(xiàn)細(xì)粒度的訪問控制，但其計(jì)算及通信開銷都較大.出于對系統(tǒng)性能的考慮，文獻(xiàn)[23-25]中提出了對ABE機(jī)制的優(yōu)化方案，提高了系統(tǒng)的執(zhí)行效率;文獻(xiàn)[26]中提出的在線離線方案，通過離線計(jì)算的方式降低系統(tǒng)的通信代價.但是，在訪問權(quán)限變動頻繁的系統(tǒng)中，上述方案都沒有提供有效的訪問權(quán)限管理接口，對系統(tǒng)整體性能的優(yōu)化有限.訪問權(quán)限的管理是基于ABE的訪問控制系統(tǒng)所要面臨的瓶頸問題，也會對系統(tǒng)的整體性能產(chǎn)生極大的影響.文獻(xiàn)[1]中為KP-ABE方案提供了最初的策略更新算法用于更新用戶密鑰，但對權(quán)限的管理能力有限，僅能執(zhí)行少量的管理操作.文獻(xiàn)[3]中提出的KP-ABE方案比文獻(xiàn)[1]中提出的方案更為完善，但仍只支持向訪問策略中動態(tài)添加新的約束條件.文獻(xiàn)[4]中提出了支持動態(tài)策略更新的CP-ABE方案，該方案中針對各種類型的訪問策略提出相應(yīng)的策略更新算法.但文獻(xiàn)[4]中對門限機(jī)構(gòu)的處理需先將其轉(zhuǎn)換為一個合取范式再進(jìn)行處理，這會增大密文的冗余也會影響加解密等操作執(zhí)行的效率.

2問題描述

2.1問題定義與設(shè)計(jì)目標(biāo)

云存儲系統(tǒng)是1個多設(shè)備、多應(yīng)用、多服務(wù)協(xié)同工作的集合體,它將大量不同類型的存儲設(shè)備通過軟件技術(shù)集合到一起協(xié)同工作，共同為數(shù)據(jù)存儲提供服務(wù).隨著云存儲的應(yīng)用越來越廣泛，對云存儲的安全也提出了更高的要求.用戶在希望能更多地使用云存儲服務(wù)的同時，也需要云存儲服務(wù)提供商給予他們足夠的安全保證及便捷的管理方法.云存儲系統(tǒng)在不安全的網(wǎng)絡(luò)環(huán)境中運(yùn)行，數(shù)據(jù)通過網(wǎng)絡(luò)進(jìn)行傳輸并存儲，網(wǎng)絡(luò)的安全問題勢必會對數(shù)據(jù)安全性帶來影響，造成數(shù)據(jù)的泄露.同時，云存儲中的海量數(shù)據(jù)存儲規(guī)模，也會為數(shù)據(jù)的管理帶來極大的困擾，耗費(fèi)大量的系統(tǒng)資源.因此，數(shù)據(jù)的安全性及易管理是本文云存儲體系設(shè)計(jì)的重點(diǎn)：

1) 安全性.確保數(shù)據(jù)在存儲和傳輸過程中的保密性，防止數(shù)據(jù)泄露.

2) 易管理性.由數(shù)據(jù)所有者自主管理數(shù)據(jù)訪問權(quán)限，為其提供高效可行的權(quán)限管理接口.

本文通過ABE實(shí)現(xiàn)云存儲中細(xì)粒度的訪問控制機(jī)制，為用戶提供安全可靠的數(shù)據(jù)訪問及存儲服務(wù)，構(gòu)建安全的云存儲服務(wù)體系.該體系中，通過訪問策略實(shí)現(xiàn)安全可靠的數(shù)據(jù)訪問控制，但訪問策略的靈活多變也使得數(shù)據(jù)訪問權(quán)限的管理變得復(fù)雜且低效.為了實(shí)現(xiàn)高效快速的數(shù)據(jù)訪問權(quán)限管理，從而提高整個云存儲體系的運(yùn)行效率并增加訪問控制機(jī)制的靈活性及易管理性，本文為該體系設(shè)計(jì)了一種高效安全的動態(tài)授權(quán)方法.該動態(tài)授權(quán)方法可轉(zhuǎn)化為2個函數(shù)的定義及求解：

(1)

(2)

其中，F(xiàn)Attr表示計(jì)算2個訪問策略間的差量集合的函數(shù)；A表示訪問策略空間；Δ表示差量集合空間；F表示根據(jù)原密文和差量集合更新訪問策略生成新密文的函數(shù)；CT表示密文空間.差量集合Δ的大小決定了執(zhí)行策略更新所需花費(fèi)的計(jì)算及通信代價.為實(shí)現(xiàn)高效安全的權(quán)限管理，函數(shù)FAttr及F的設(shè)計(jì)需要著重考慮2個方面：

1) 執(zhí)行效率.計(jì)算出最小的增量集合Δ，降低策略管理所需的計(jì)算及通信代價.

2) 數(shù)據(jù)安全性.策略管理過程中，要確保數(shù)據(jù)的前向安全及后向安全.

2.2相關(guān)定義與假設(shè)

2.2.1雙線性映射

現(xiàn)有的ABE機(jī)制大多是基于雙線性映射實(shí)現(xiàn)的，現(xiàn)給出雙線性映射的定義及其復(fù)雜性假設(shè)如下：

定義1. 雙線性映射(bilinearmap).設(shè)G0,G1是2個階為素?cái)?shù)p的乘法循環(huán)群，g為群G0的1個生成元.e:G0×G0→G1為雙線性映射，若e滿足

1) 雙線性.?u,v∈G0，?a,b∈p,有e(ua,vb)=e(u,v)ab.

2) 非退化.e(g,g)≠1.

3) 可計(jì)算.?u,v∈G0,存在一個有效的多項(xiàng)式時間算法可計(jì)算e(u,v).

假設(shè)1. q -parallelBDHE[17](decisionalq -parallelbilinearDiffie-Hellmanexponentassumption).設(shè)有階為素?cái)?shù)p的乘法循環(huán)群G0,G1及雙線性映射e:G0×G0→G1.現(xiàn)選取隨機(jī)數(shù)a,s,b1,b2,…,bq∈p及G0的生成元g.記η0=e(g,g)aq+1s，η1為G1中任意元素.給定攻擊者如下數(shù)據(jù)：

在多項(xiàng)式時間內(nèi)，攻擊者無法區(qū)分η0和η1.即不存在多項(xiàng)式時間敵手在解決上述問題時存在不可忽略的優(yōu)勢.

2.2.2訪問結(jié)構(gòu)

訪問結(jié)構(gòu)是訪問策略的具體表現(xiàn)形式，其實(shí)現(xiàn)方式有多種.目前大多數(shù)ABE的研究中所定義的訪問結(jié)構(gòu)均為單調(diào)的，以下給出單調(diào)訪問結(jié)構(gòu)的通用定義.

定義2. 單調(diào)訪問結(jié)構(gòu)[20](monotonicaccessstructure).設(shè)P={P1,P2,…,PN}為一個屬性集合.訪問結(jié)構(gòu)A即為冪集2{P1,P2,…,PN}的一個非空的單調(diào)子集.設(shè)P′為P={P1,P2,…,PN}的一個子集，若P′∈A則稱為A的可滿足集，否則稱為A的不可滿足集.A?2{P1,P2,…,PN}是單調(diào)的，若?P′,P″有P′∈A,P″?P′?P″∈A.

2.2.3安全性模型

本方案的安全模型被定義為攻擊者A及挑戰(zhàn)者B之間的選擇性游戲(selectivity-game)，模型具體定義如下：

初始化.攻擊者A生成1個挑戰(zhàn)策略T并將T提交給挑戰(zhàn)者B.

建立.挑戰(zhàn)者生成系統(tǒng)公鑰(PK)及主鑰(masterkey, MK)并公布給攻擊者A.

階段1.攻擊者A向挑戰(zhàn)者B發(fā)出私鑰(secretkey, SK)查詢，所查詢私鑰都不能滿足訪問策略T.

挑戰(zhàn).A提交2個等長的密文μ0和μ1，挑戰(zhàn)者B隨機(jī)選取b∈{0,1}，并根據(jù)訪問策略及系統(tǒng)公鑰加密μb，并將生成的密文返回給A.

階段2.重復(fù)階段1.

猜測.攻擊者A給出對b的猜測b′.

將攻擊者A在上述游戲中的優(yōu)勢定義如下：

(3)

3安全易管理的云存儲體系

云存儲為用戶提供方便的數(shù)據(jù)訪問接口的同時也引發(fā)了用戶對數(shù)據(jù)安全性的擔(dān)憂，安全技術(shù)問題是云存儲技術(shù)普及所必須克服的瓶頸問題.基于ABE的密文訪問控制系統(tǒng)能為云存儲體系提供高效靈活的密文訪問控制，是解決云存儲中數(shù)據(jù)安全的關(guān)鍵技術(shù)之一.然而，ABE中靈活多變的訪問策略為數(shù)據(jù)的管理帶來了極大的困難：訪問權(quán)限的管理更新必然導(dǎo)致計(jì)算和通信開銷的急劇增大.因此，需要為基于ABE的密文訪問控制機(jī)制設(shè)計(jì)高效便捷的權(quán)限管理方法，以此提高整個云存儲體系中數(shù)據(jù)的易管理性.

基于ABE的密文訪問控制機(jī)制是上層的秘密分享方案及下層的公鑰加密機(jī)制的組合，所謂的訪問策略即由上層的秘密分享方案實(shí)現(xiàn).秘密分享方案可將一個秘密(secret)s根據(jù)指定的訪問結(jié)構(gòu)進(jìn)行分解并生成一個分量(shares)集合S={s1,s2,…,sK}，每個部分si,1≤i≤K由1個指定的屬性公鑰對其進(jìn)行加密.對應(yīng)屬性私鑰可還原相應(yīng)的si，當(dāng)解密者所擁有的屬性私鑰集合對應(yīng)訪問結(jié)構(gòu)的1個可滿足集時則可還原出s.本文借鑒文獻(xiàn)[5]中的矩陣生成算法實(shí)現(xiàn)訪問策略形式的轉(zhuǎn)換，并構(gòu)建具有分塊特性的矩陣來表示訪問策略.由于分塊矩陣中各塊之間相對較為獨(dú)立，改動其中1個“塊”不會對其他“塊”造成影響，因而可用較小的代價實(shí)現(xiàn)訪問結(jié)構(gòu)的更改，極大地提高訪問策略的可擴(kuò)展性，進(jìn)而提高數(shù)據(jù)的易管理性.

3.1云存儲體系結(jié)構(gòu)設(shè)計(jì)

在本文所設(shè)計(jì)的云存儲系統(tǒng)中，存在4類實(shí)體：授權(quán)機(jī)構(gòu)、數(shù)據(jù)所有者、云及用戶，如圖1所示.各類實(shí)體功能如下：

1) 授權(quán)機(jī)構(gòu).授權(quán)機(jī)構(gòu)負(fù)責(zé)生成并管理密鑰(包括MK,PK,SK).為便于系統(tǒng)的擴(kuò)展及功能模塊的劃分，該系統(tǒng)中設(shè)立了多個授權(quán)機(jī)構(gòu)：一個中央授權(quán)機(jī)構(gòu)(certificationauthority, CA)和多個屬性授權(quán)機(jī)構(gòu)(attributeauthority, AA).中央授權(quán)機(jī)構(gòu)具備最高管理權(quán)限，負(fù)責(zé)生成并管理全局密鑰(globalkey)，而屬性授權(quán)機(jī)構(gòu)負(fù)責(zé)生成并管理屬性密鑰(attributekey).

2) 數(shù)據(jù)所有者.數(shù)據(jù)所有者為數(shù)據(jù)制定訪問策略并用PK為數(shù)據(jù)加密，生成密文.

3) 云.云端負(fù)責(zé)存儲數(shù)據(jù)所有者上傳的密文并在用戶需要訪問數(shù)據(jù)時將該密文發(fā)送給用戶.

4) 用戶.用戶從授權(quán)機(jī)構(gòu)處獲取與自身屬性相關(guān)的私鑰SK，并通過私鑰SK解密具備訪問權(quán)限的密文.

Fig. 1　Architecture.圖1　系統(tǒng)架構(gòu)

3.2數(shù)據(jù)訪問控制及權(quán)限管理

在上述云存儲體系中，CA為全局唯一可信機(jī)構(gòu)，可對用戶及AA進(jìn)行管理；數(shù)據(jù)所有者可根據(jù)需要自主定義訪問策略，直接對數(shù)據(jù)訪問權(quán)限進(jìn)行管理；所有數(shù)據(jù)以密文形式存儲于云端，通過加密算法確保云端數(shù)據(jù)的安全；用戶從云端獲取密文，并用自身私鑰還原出明文.在整個系統(tǒng)中，僅有數(shù)據(jù)所有者和滿足訪問策略的用戶可獲取有效數(shù)據(jù)，有效解決了云存儲體系中的數(shù)據(jù)安全性問題.

為增強(qiáng)云存儲體系中數(shù)據(jù)的易管理性，本文將根據(jù)執(zhí)行者的不同提出3種動態(tài)授權(quán)方法：數(shù)據(jù)所有者執(zhí)行的更新授權(quán)、第三方代理服務(wù)器執(zhí)行的代理授權(quán)及CA所執(zhí)行的臨時授權(quán)，如圖2所示.

Fig. 2　Dynamic privilege.圖2　動態(tài)授權(quán)

1) 更新授權(quán).數(shù)據(jù)所有者要更改某個數(shù)據(jù)的訪問權(quán)限時，先根據(jù)該數(shù)據(jù)訪問權(quán)限的變動計(jì)算最小增量集合，再將該集合上傳至云端.云服務(wù)器只需根據(jù)增量集合對相應(yīng)密文進(jìn)行局部更新，即可實(shí)現(xiàn)數(shù)據(jù)訪問權(quán)限的更改.

2) 代理授權(quán).數(shù)據(jù)所有者可將數(shù)據(jù)的部分訪問權(quán)限委托給第三方(代理服務(wù)器)進(jìn)行管理.數(shù)據(jù)所有者在加密數(shù)據(jù)的同時生成1個代理集合，并將該代理集合交付給指定的代理授權(quán)服務(wù)器.代理服務(wù)器可根據(jù)代理集合計(jì)算更改訪問權(quán)限所需的增量集合，以實(shí)現(xiàn)對數(shù)據(jù)訪問權(quán)限的間接管理.

3) 臨時授權(quán).在緊急情況下，用戶可向CA申請某些數(shù)據(jù)的臨時訪問權(quán)限.當(dāng)接收CA到1組用戶的臨時訪問申請時，先根據(jù)原密文生成臨時密文，再為每個滿足條件的用戶生成臨時會話密鑰，最后將臨時密文及會話密鑰返回給該組用戶，令用戶獲取一次性的臨時訪問權(quán)限.

3.3訪問策略形態(tài)轉(zhuǎn)換

訪問結(jié)構(gòu)的表示方法很多，其性能各不相同：單調(diào)布爾公式中只是簡單地對s進(jìn)行分割，計(jì)算簡單，但表現(xiàn)力較差，且可擴(kuò)展性不強(qiáng)；訪問樹表現(xiàn)力強(qiáng)，邏輯結(jié)構(gòu)清晰，但需逐層進(jìn)行計(jì)算，效率不高；LSSS矩陣不僅具備豐富的表現(xiàn)力且計(jì)算效率相對較高.為使動態(tài)授權(quán)方法具備通用性，本文給出將單調(diào)布爾公式和訪問樹轉(zhuǎn)換為LSSS矩陣的算法，再以LSSS矩陣為基礎(chǔ)構(gòu)建靈活的動態(tài)授權(quán)方法.該方法在不改變原有shares集合S的前提下，將原有的訪問策略以其他形式表示出來，使其在邏輯上及數(shù)值上都是等效的.因此，通過該算法對訪問策略進(jìn)行轉(zhuǎn)換時密文部分不需要進(jìn)行更改.

3.3.1訪問樹轉(zhuǎn)換為LSSS矩陣

文獻(xiàn)[1]對訪問樹給出了具體的定義及實(shí)現(xiàn)方法.在訪問樹中，若節(jié)點(diǎn)node為非葉子節(jié)點(diǎn)(即t-out-of-n節(jié)點(diǎn))，則node對應(yīng)1個常數(shù)項(xiàng)為s(node)的t-1階多項(xiàng)式fnode(x)及1個插值xnode：若node為根節(jié)點(diǎn)，則s(node)為選定的秘密s，否則令s(node)=fp(xnode)(p為node的父節(jié)點(diǎn))；若node為葉子節(jié)點(diǎn)，則node與1個屬性相關(guān)，僅有xnode而沒有fnode(x).

記非葉子節(jié)點(diǎn)node對應(yīng)的多項(xiàng)式為fnode(x)=at-1xt-1+at-2xt-2+…+a1x+s(node)，node的每個子節(jié)點(diǎn)ci(1≤i≤n)對應(yīng)1個插值xi(?xi≠xj,i≠j)，則該節(jié)點(diǎn)可表示為如下向量v(node)和矩陣M(node)：

(4)

(5)

顯然，s(ci)=fnode(xi)=M(node)i·v(node)T.由范德蒙矩陣的性質(zhì)可知M(node)的任意t行可構(gòu)成1個秩為t的子矩陣M*(node)，故存在向量W∈t有WM*(node)=(1,0,…,0).因此M(node)可作為node的節(jié)點(diǎn)矩陣.圖3所示為1個節(jié)點(diǎn)矩陣轉(zhuǎn)換示例.

Fig. 3　Tree node to node LSSS matrix.圖3　訪問樹節(jié)點(diǎn)轉(zhuǎn)換為LSSS矩陣及向量

本文根據(jù)文獻(xiàn)[5]中提出的LSSS矩陣生成算法改進(jìn)，得到遞歸算法TreeToLSSS(node,φ,M,V)可將整個訪問樹轉(zhuǎn)化為LSSS矩陣.其中，node表示訪問樹中的節(jié)點(diǎn);φ表示從整數(shù)集合到訪問數(shù)中節(jié)點(diǎn)集合的映射函數(shù);M和V分別表示訪問樹對應(yīng)的LSSS矩陣和隨機(jī)向量，分別由多個節(jié)點(diǎn)矩陣M(node)和節(jié)點(diǎn)向量v(node)合并而成.令root表示樹的根節(jié)點(diǎn)，M0=(1)表示LSSS矩陣M的初始狀態(tài)，V0=(s)則表示向量V的初始狀態(tài)，φ0表示初始化的映射函數(shù)且φ0(1)=root.通過執(zhí)行算法TreeToLSSS(root,φ0,M0,V0)對整個訪問樹進(jìn)行深度優(yōu)先遍歷，并生成對應(yīng)的LSSS矩陣M及相應(yīng)的向量V.由算法1所生成的隨機(jī)向量V及LSSS矩陣M的行向量Mk,1≤k≤l均可以看成分塊向量.記行向量Mk=(1,Mk,n1,Mk,n2,…,Mk,nl)，隨機(jī)向量V=(s,Vn1,Vn2,…,Vnl)，其中ni,i∈*l為訪問樹中的非葉子節(jié)點(diǎn).向量中每個分塊Vnode,Mk,node對應(yīng)樹形結(jié)構(gòu)中的1個非葉子節(jié)點(diǎn)node：

(6)

(7)

其中，Anc(φ(k))表示φ(k)祖先節(jié)點(diǎn)的集合，ci表示node的第i個子節(jié)點(diǎn)且ci∈Anc(φ(k))∪φ(k)，節(jié)點(diǎn)多項(xiàng)式fnode(x)=at-1xt-1+at-2xt-2+…+a1+s(node)，am,1≤m≤t-1為fnode(x)中的非常數(shù)項(xiàng)系數(shù).本文中所定義的LSSS矩陣均具備此分塊特征，該特征使得LSSS矩陣具備較好的可擴(kuò)展性且易于管理.同時，通過該算法轉(zhuǎn)化所得LSSS矩陣與原有訪問樹在邏輯上及數(shù)值上都是等效的，其邏輯結(jié)構(gòu)與shares集合都不需改變.

算法1. TreeToLSSS(node,φ,M,V).

輸入：訪問樹T中的節(jié)點(diǎn)node、矩陣M∈l×m、向量V∈m、從M中行坐標(biāo)到數(shù)樹中節(jié)點(diǎn)的映射函數(shù)φ；

輸出：矩陣M′∈l×m、向量V′∈m、映射函數(shù)φ′.

Ifnode為葉子節(jié)點(diǎn)do

V′←V；

M′←M；

φ′←φ；

Else

V′←(V,a1,a2,…,at-1)；*node為t-out-of-n節(jié)點(diǎn)，

k←1；

Forallj∈{1,2,…,l}do

Ifρ(j)=nodedo

Foralli∈{1,2,…,n}do

φ′(k)←ci；

k←k+1；

EndFor

Else

φ′(k)←φ(j)；

k←k+1；

EndIf

EndFor

Foralli∈{1,2,…,n}do

(M′,V′,φ′)←TreeToLSSS(ci,φ′,M′,V′)；

EndFor

EndIf

Return(M′,V′,φ′).

3.3.2單調(diào)布爾公式轉(zhuǎn)換為訪問樹

在單調(diào)布爾公式中，門限結(jié)構(gòu)(Tht,n)是由AND(∧)和OR(∨)組合表示的，如：

Th2,3(A,B,C)?(A∧B)∨(A∧C)∨(B∧C).

因此，為簡單起見，可假定單調(diào)的布爾公式中只存在AND和OR兩種謂詞邏輯且AND和OR均為二元操作，即任意單調(diào)的布爾公式均可看成1棵完全二叉樹，如圖4所示.

Fig. 4　Monotonous Boolean expression to complete binary tree.圖4　單調(diào)布爾公式的完全二叉樹表示

在單調(diào)布爾公式中，秘密s的劃分如下：AND謂詞將對應(yīng)的s分解為2個分量s1,s2分別賦予左右2子節(jié)點(diǎn)，且s1+s2=s；OR謂詞則將對應(yīng)的s直接賦值于其子節(jié)點(diǎn)，即s1=s2=s.將布爾公式對應(yīng)的完全二叉樹轉(zhuǎn)換為訪問樹需要計(jì)算各節(jié)點(diǎn)的節(jié)點(diǎn)多項(xiàng)式和節(jié)點(diǎn)插值.若node為或(OR)節(jié)點(diǎn)，節(jié)點(diǎn)對應(yīng)的多項(xiàng)式函數(shù)為常函數(shù)fnode(x)=s(node);若node為與(AND)節(jié)點(diǎn)，節(jié)點(diǎn)多項(xiàng)式記fnode(x)=ax+s(node)，node的左子節(jié)點(diǎn)記為l，右子節(jié)點(diǎn)記為r，于是有方程組：

(8)

3.4基于ABE的訪問控制機(jī)制

本文通過ABE為云存儲體系構(gòu)建訪問控制機(jī)制，提供安全可靠的數(shù)據(jù)訪問服務(wù).基于ABE的訪問控制系統(tǒng)中包括4個基本功能模塊：Setup，KeyGen，Encrypt，Decrypt.Setup中，CA及AA定義公鑰PK及主鑰MK；KeyGen中，CA及各AA為合法用戶分發(fā)私鑰SK；Encrypt由數(shù)據(jù)所有者執(zhí)行，以明文m、公鑰PK及訪問策略T為輸入，生成密文CT及T對應(yīng)的LSSS矩陣；Decrypt由訪問數(shù)據(jù)的用戶執(zhí)行，以用戶私鑰SK、密文CT及其相關(guān)的LSSS矩陣為輸入，當(dāng)且僅當(dāng)用戶私鑰對應(yīng)屬性集合為該LSSS矩陣確定的1個可滿足集時，用戶可還原明文.

1) Setup(1l).CA根據(jù)安全參數(shù)l生成p階的雙線性群G0,G1和雙線性映射e:G0×G0→G1.CA

選取g1,g2∈G0以及x,w∈*p并令 MKglobal={w,x}，生成全局公鑰：

設(shè)系統(tǒng)中共有N個屬性授權(quán)機(jī)構(gòu)，AAi表示第i個屬性授權(quán)機(jī)構(gòu)，Si={Ai,j}1≤j≤ni為AAi定義的屬性集合，其中Ai,j表示AAi定義的第j個屬性且#Si=ni.每個AAi選取整數(shù)集合MKi={ai,j∈p}1≤j≤ni并計(jì)算：

PKi={Pi,j=(P″)ai,j}1≤j≤ni，

其中，ai,j與Pi,j分別表示屬性Ai,j對應(yīng)的主鑰及公鑰.于是可得到完整的系統(tǒng)主鑰MK及公鑰PK：

MK={MKglobal,MKi}1≤i≤N，

PK={PKglobal,PKi}1≤i≤N.

2) KeyGen(u,Us,MK).用戶選取隨機(jī)值su∈p及u,p∈G0，計(jì)算U=upsu并將元組〈U,p〉發(fā)送給CA及各AA申請全局私鑰及屬性私鑰.CA返回給用戶如下元組：

AAi生成元組TKi并發(fā)送給CA：

其中，Us表示用戶的屬性集合.CA根據(jù)TKi計(jì)算TKatt并返回給用戶：

用戶計(jì)算：

(9)

(10)

于是，得到用戶完整的私鑰

SKu={Dglobal,u,Di,j}Ai,j∈Us.

(11)

(12)

(13)

其中，Mk表示矩陣M的第k行，ρ(k)表示Mk關(guān)聯(lián)的一個屬性.完整的密文表示為

4) Decrypt(CT,SKu).若用戶屬性集合滿足密文的訪問策略，則必存在集合{ρ(k)|1≤k≤l}的1個子集Iu，有Iu?Us且：

于是有：

3.5動態(tài)授權(quán)

靈活高效的動態(tài)授權(quán)方法可增強(qiáng)云存儲體系中數(shù)據(jù)的易管理性，并有效提高系統(tǒng)的整體運(yùn)行效率.本文根據(jù)授權(quán)操作執(zhí)行者的不同提出3類動態(tài)授權(quán)方法：數(shù)據(jù)所有者的更新授權(quán)、代理三方的代理授權(quán)以及CA授予的臨時授權(quán).3類動態(tài)授權(quán)方法適用于不同的應(yīng)用場景.同時，由于樹形的訪問策略在表示上邏輯結(jié)構(gòu)更為清晰、便于理解，本文的動態(tài)授權(quán)方法用樹形結(jié)構(gòu)描述訪問策略的結(jié)構(gòu)更改，再對相應(yīng)的LSSS矩陣進(jìn)行更新，從而實(shí)現(xiàn)訪問策略的更新.

3.5.1更新授權(quán)

1) UpdateTh(nυ,tυ).該函數(shù)將訪問策略中的1個t-out-of-n節(jié)點(diǎn)nυ變?yōu)閠υ-out-of-n，?Mk,k∈及V中僅需要修改Mk,nυ及Vnυ部分.記為

(14)

(15)

若tυ>t，則有：

(16)

(17)

于是有：

(18)

若tυ

(19)

(20)

且：

(21)

2) Updatapath(rυ,pυ).該函數(shù)將訪問策略中1棵以rυ為根節(jié)點(diǎn)的子樹更改為節(jié)點(diǎn)pυ的子樹.記分段向量Mrυ=(1,Mrυ,n1,Mrυ,n2,…,Mrυ,nl)且：

(22)

(23)

Δλk=Δλrυ.

3) Removesubtree(rυ).該函數(shù)將刪除訪問策略樹形結(jié)構(gòu)中以節(jié)點(diǎn)rυ為根節(jié)點(diǎn)的1棵子樹.由于矩陣中各分塊相對獨(dú)立，刪除矩陣中某些分塊并不會對其他分塊產(chǎn)生影響.因此，刪除子樹時可直接對矩陣的某些行列進(jìn)行刪除：刪除行向量{Mk′|φ(k′)∈sub(rυ)}和列分塊{Mk,node|node∈sub(rυ),φ(k)?sub(rυ)}及{Vnode|node∈sub(rυ)}，其中sub(rυ)表示該子樹中所有節(jié)點(diǎn)的集合.顯然，所有分塊{Mk,node|node∈sub(rυ),φ(k)?sub(rυ)}均為零向量，于是有Δλk=0,φ(k)?sub(rυ) ，因此 {Δλk|Δλ≠0}=?.

4) Addsubtree(rυ,pυ).該函數(shù)將在樹形結(jié)構(gòu)中的指定節(jié)點(diǎn)pυ下插入1棵以rυ為根節(jié)點(diǎn)的子樹.記該子樹的LSSS矩陣為M(rυ)，隨機(jī)向量為Vrυ，映射函數(shù)為φrυ，S為原樹中非葉子節(jié)點(diǎn)的集合，Srυ為所增加子樹中的非葉子節(jié)點(diǎn)集合.為rυ選取插值xrυ，記向量Vpυ=(1,Mpυ,n1,Mpυ,n2,…,Mpυ,nl)且:

(24)

(25)

(26)

(27)

(28)

(29)

其中，φ(k)∈Supdate.再對密文進(jìn)行更新：

(30)

(31)

3.5.2代理授權(quán)

若局部的訪問策略需要頻繁變動而數(shù)據(jù)所有者無法及時對策略進(jìn)行更新，則可將該訪問策略委托給第三方(代理方)代為管理.數(shù)據(jù)所有者在樹形結(jié)構(gòu)中指定一個葉子節(jié)點(diǎn)nυ作為代理節(jié)點(diǎn)，代理服務(wù)器可在代理節(jié)點(diǎn)下插入代理子樹，并負(fù)責(zé)對代理子樹進(jìn)行管理，如圖5所示:

Fig. 5　Agency noderow vector in access policy.圖5　訪問策略中的代理節(jié)點(diǎn)行向量

(32)

(33)

(34)

(35)

(36)

(37)

其中，ρTsub表示由M(Tsub)的行坐標(biāo)到集合Snυ的映射函數(shù).代理方將元組Agent傳送給云端，云端服務(wù)器將Agent加入到原密文中，即完成了代理方對訪問策略的更新.若要對代理子樹Tsub的結(jié)構(gòu)作調(diào)整，同樣可通過調(diào)用UpdateTh，Updatepath，Removesubtree，Addsubtree等函數(shù)實(shí)現(xiàn).

3.5.3臨時授權(quán)

(38)

(39)

(40)

(41)

3.6安全性證明

假設(shè)有攻擊者A在本文定義的選擇性游戲(安全模型)中具備不可忽略的優(yōu)勢ε，則有模擬器B可在解決q-parallelBDHE假設(shè)時具備不可忽略的優(yōu)勢ε2.

1) 初始化.模擬器B獲得1個q -parallelBDHE元組，元組中參數(shù)η=ηv且v服從伯努利分布Bern(0.5).攻擊者給出1個訪問結(jié)構(gòu)對應(yīng)的LSSS矩陣M*∈l*×n*p及相關(guān)映射函數(shù)ρ*，其中n*≤q.

2) 建立.模擬器運(yùn)行算法Setup(1t)生成系統(tǒng)參數(shù).令g1=g2=g，w=aq+1，x=ax′,x′∈，于是有Y=e(g,g)aq+1=e(ga,gaq)且P′=g，P″=(ga)x′.對每個屬性Ai,j，令：

于是有：

(42)

其中，Si,j表示所有滿足ρ*(k)=Ai,j的行索引k的集合，Ml,n為M*中第l行第n列的分量.若Si,j=?，則有Pi,j=gai,j.

(43)

由于Us不能滿足訪問策略，因此必定存在1組CA及各AA根據(jù)所選參數(shù)為用戶生成全局私鑰D′及屬性私鑰Di,j：

(44)

(45)

由于：

(46)

因此有：

(47)

由于D′及Di,j中不包含未知項(xiàng)gaq+1，因此可簡單計(jì)算出.

(48)

由此，可得：

Cρ*(k)=gx λk+rkaρ*(k)x=

(49)

(50)

5) 階段2.重復(fù)階段1.

猜測.攻擊者給出對b的猜測b′.若b′=b，模擬器給出v′=0即η=e(g,g)aq+1，否則v′=1即η為群G1中1個隨機(jī)元素.

計(jì)算模擬器B得到正確猜測結(jié)果v′=v的優(yōu)勢計(jì)算如下:

Pr[v=0]Pr[v′=0|v=0]+

(51)

若AdvA=ε為不可忽略的優(yōu)勢，v=0時攻擊者A在該游戲中獲勝的概率為

(52)

v=1時，攻擊者獲勝的概率為

(53)

于是AdvB=ε2也為不可忽略的優(yōu)勢.模擬器可在多項(xiàng)式時間內(nèi)以不可忽略的優(yōu)勢ε2解決q -parallelBDHE假設(shè).

4性能分析

本文通過ABE構(gòu)建安全靈活的數(shù)據(jù)訪問控制機(jī)制，并以此建立云存儲服務(wù)體系，為用戶提供安全可靠的數(shù)據(jù)存儲和訪問服務(wù).同時，本文在該體系中引入高效安全的動態(tài)授權(quán)方法，增強(qiáng)了系統(tǒng)中數(shù)據(jù)的易管理性并提升了系統(tǒng)的運(yùn)行效率.該動態(tài)授權(quán)方法能有效降低由于更新訪問策略引起的計(jì)算及通信方面的資源耗費(fèi)，表1對現(xiàn)有的4個方案中的訪問策略更新方法做出了分析比較.

Table 1　Performance Comparison of Policy Updating Schemes

首先，由于本文通過算法1實(shí)現(xiàn)訪問策略形式的無差別轉(zhuǎn)換(保持邏輯結(jié)構(gòu)及shares數(shù)值集合不變)，使得本文的策略更新方法具備通用性而不依賴于具體策略形式，文獻(xiàn)[1]和文獻(xiàn)[3]分別針對訪問樹和LSSS矩陣提出其策略更新方法;而文獻(xiàn)[4]中的方法雖然也支持多種形式的訪問策略，但僅是針對每種具體的形式提出相應(yīng)的更新方法法，通用性仍存在一定不足.其次，本文對上層的SSS方案的更新進(jìn)行了優(yōu)化：根據(jù)分塊矩陣的特征，可以每個分塊為單位進(jìn)行對訪問策略的更新、生成增量集合，其他文獻(xiàn)中所提方案則需要針對策略中各點(diǎn)逐一計(jì)算其更新增量.特別地，文獻(xiàn)[4]中提出的方法在對門限結(jié)構(gòu)進(jìn)行更新時，處理過程較繁瑣、處理效率也較低.最后，本文的動態(tài)授權(quán)方法在對密文進(jìn)行更新時沒有任何限制，可進(jìn)行任意的更新，其代價是需在本地存儲部分密文信息，占用少量存儲空間，而在文獻(xiàn)[1]和文獻(xiàn)[3]中，訪問策略的更新是受到一定限制的.

以下分別對更新授權(quán)、代理授權(quán)和臨時授權(quán)3種動態(tài)授權(quán)方式進(jìn)行性能分析和比較.

4.1更新授權(quán)性能分析

更新授權(quán)由數(shù)據(jù)所有者執(zhí)行，本文定義了4個更新訪問策略的基本函數(shù)：UpdateTh，Updatepath，Removesubtree，Addsubtree.訪問策略的任意更新均可經(jīng)由這4個基本函數(shù)的組合操作實(shí)現(xiàn).表2給出了這4個函數(shù)與計(jì)算及通信效率相關(guān)的評測參數(shù)：這4個算法對LSSS矩陣的更改較少、生成的增量集合Δ較小，因此數(shù)據(jù)所有者只需花費(fèi)少量的計(jì)算代價和通信量代價即可實(shí)現(xiàn)訪問策略的更新.更新策略的計(jì)算復(fù)雜度為O(|Δ|)，通信量為|Δ|×|g|+P.其中，|Δ|表示集合Δ中元素的個數(shù)，|g|表示雙線性群G0中1個元素所占用的字節(jié)數(shù)，P表示更新矩陣所需傳輸?shù)膮?shù)大小.由于僅需給定幾個相關(guān)的參數(shù)，即可由云存儲服務(wù)器自行更新LSSS矩陣，因此P遠(yuǎn)小于密文增量集合的大小.

為進(jìn)一步對該動態(tài)授權(quán)方法進(jìn)行評測，本文對所提出的方案進(jìn)行了仿真實(shí)驗(yàn).本文所有實(shí)驗(yàn)均在1個Linux虛擬機(jī)(CPU2.78Hz,RAM1GB)下執(zhí)行，實(shí)驗(yàn)中通過pbclab(pairingbasedencryptionlab)

Table 2　Evaluation Parameters of Policy Updating Schemes

Note: nυdenotesat-out-of-nnode; tυdenotesthethresholdofnυ;Δt=|t-tυ|; ldenotesthenumberofleavesofthesubtreewithrootnυrυ;mdenotesthenumberofcolumnsofsubmatrixwhichdescribesthesubtreewithrootnυrυ.

包中提供的a型曲線生成雙線性群G0，該群的階|G0|為160b的質(zhì)數(shù)，群中元素g的大小|g|=512b.實(shí)驗(yàn)結(jié)果如圖6所示，圖6中所統(tǒng)計(jì)的數(shù)據(jù)均為程序執(zhí)行20次所測數(shù)據(jù)的平均值.由于文獻(xiàn)[2]中該操作的運(yùn)行時間及通信效率與該文中定義的lr集合中節(jié)點(diǎn)個數(shù)成正比，其浮動較大，本文僅考慮所需操作子樹中所關(guān)聯(lián)的屬性均連續(xù)排列的情況.在該條件下，文獻(xiàn)[2]中的策略更新所需平均運(yùn)行時間及通信代價較低，且分析較為簡單.

設(shè)nυ為訪問策略中的1個中間節(jié)點(diǎn)，nυ下的子樹的葉子節(jié)點(diǎn)總數(shù)記為l.圖6(a)和圖6(e)所示為l=10時各方案中數(shù)據(jù)所有者更改nυ的閾值t所需運(yùn)行時間及通信量.在本文提出的方法中，更改閾值t的運(yùn)行時間及通信與nυ的子節(jié)點(diǎn)個數(shù)n成正比，而文獻(xiàn)[1]中該操作的執(zhí)行時間及通信量均與nυ下葉子節(jié)點(diǎn)總數(shù)l成正比.文獻(xiàn)[2]中所提供方法運(yùn)行效率及通信量均與lr集合中節(jié)點(diǎn)個數(shù)成正比，其浮動較大.顯然，本文方法具備較高的執(zhí)行效率及較低的通信代價.文獻(xiàn)[3]對門限結(jié)構(gòu)的處理較為復(fù)雜，需要將該節(jié)點(diǎn)轉(zhuǎn)換為或門和與門的組合，再轉(zhuǎn)換為相應(yīng)的LSSS矩陣，效率明顯低于其他方案，不宜一起做比較.圖6(b)及圖6(f)所示為數(shù)據(jù)所有者移動1棵子樹的位置時所需的運(yùn)行時間及通信量.文獻(xiàn)[1,3-4]中沒有專門針對此類操作的算法，該操作只能分為2步執(zhí)行：先刪除對應(yīng)子樹，再在所指定的位置插入相同結(jié)構(gòu)的子樹.由圖6可知本方案中所提方法的執(zhí)行效率明顯高于其他方案而通信代價也相對較小.圖6(c)及圖6(g)所示為l=10時數(shù)據(jù)所有者刪除nυ下的1棵子樹所需的操作時間和通信量.在本文及文獻(xiàn)[1]提出的方法中，只需指定待刪除葉子節(jié)點(diǎn)對應(yīng)的密文Ci,j即可.文獻(xiàn)[3]中要先計(jì)算lr，再根據(jù)lr集合計(jì)算更新節(jié)點(diǎn)密文，其計(jì)算量及通信量均與lr中元素個數(shù)成正比.文獻(xiàn)[4]中，在刪除節(jié)點(diǎn)時存在2種情況：若nυ為或門，該方案與其他方案的操作類似，直接進(jìn)行刪除操作即可；若nυ為與門，文獻(xiàn)[4]中需重構(gòu)SSS方案，其操作時間與nυ下剩余的葉子節(jié)點(diǎn)數(shù)成正比.顯然，圖6(c)中黑色曲線統(tǒng)計(jì)的是文獻(xiàn)[4]刪除AND節(jié)點(diǎn)下的葉子節(jié)點(diǎn)所花費(fèi)的時間.圖6(d)和圖6(h)所示為l=10時數(shù)據(jù)所有者在nυ下插入1棵子樹時所需的操作時間及通信量，如圖6所示，本方案的執(zhí)行時間明顯少于其他方案而通信代價也相對較小.

Fig. 6Runtime and communications of updating privilege.

圖6更新授權(quán)操作的運(yùn)行時間及通信量

由實(shí)驗(yàn)結(jié)果可知，本文所提更新授權(quán)方法通過調(diào)用UpdateTh，Updatepath，Removesubtree，Addsubtree四個函數(shù)實(shí)現(xiàn)訪問策略的更新，其執(zhí)行效率明顯高于其他方案，同時其通信代價也大幅度降低.

4.2代理授權(quán)性能分析

Fig. 7　Runtime and communications of agency privilege and re-encryption.圖7　代理授權(quán)與重加密的運(yùn)行時間及通信量

代理授權(quán)由數(shù)據(jù)所有者指定的第三方代理執(zhí)行，數(shù)據(jù)所有者僅需在生成密文的同時指定1個代理節(jié)點(diǎn)并生成1個代理集合Sa交付給第三方代理即可，代理節(jié)點(diǎn)可根據(jù)代理集合對代理子樹進(jìn)行管理，實(shí)現(xiàn)間接授權(quán).對于需要頻繁更改訪問策略的數(shù)據(jù)，代理授權(quán)有效降低了數(shù)據(jù)所有者的計(jì)算、通信開銷并提升整個屬性加密機(jī)制的性能.圖7為采用代理授權(quán)與直接進(jìn)行重加密的實(shí)現(xiàn)效果對比圖.

Fig. 8　Runtime and communications of temporary privilege.圖8　臨時授權(quán)的運(yùn)行時間及通信量

設(shè)有LSSS矩陣M，矩陣行數(shù)為10.圖7(a)及圖7(c)所示為在訪問策略中插入1棵代理子樹和執(zhí)行同等效果的重加密所需的執(zhí)行時間及通信量.其中，委托代理三方插入代理子矩陣(即初始化代理子樹)及相應(yīng)密文時所花費(fèi)時間與代理子樹中的葉子節(jié)點(diǎn)數(shù)成正比.與之相比，執(zhí)行重加密所花費(fèi)的時間遠(yuǎn)遠(yuǎn)大于通過代理授權(quán)實(shí)現(xiàn)策略更新所需花費(fèi)的時間.圖7(c)中曲線表示相應(yīng)操作所需通信量，代理加密的通信代價明顯低于重加密.此后，代理方也可采用更新授權(quán)中的4個更新函數(shù)來提高代理授權(quán)的執(zhí)行效率、降低通信量，其效果與更新授權(quán)類似.圖7(b)和圖7(d)所示為連續(xù)更新訪問策略10次時，數(shù)據(jù)所有者采用代理授權(quán)和執(zhí)行重加密分別所花費(fèi)的時間及通信量，圖7(b)(d)中橫坐標(biāo)表示集合Sa的元素的個數(shù).訪問策略更新越頻繁，數(shù)據(jù)所有者執(zhí)行重加密時所花費(fèi)的時間也越多，通信代價也越大；而采用代理授權(quán)，數(shù)據(jù)所有者只需花費(fèi)計(jì)算Sa的時間即可實(shí)現(xiàn)多次的間接授權(quán)，相應(yīng)的通信量也只與集合Sa中元素的個數(shù)相關(guān).

4.3臨時授權(quán)性能分析

本文所提出的臨時授權(quán)方法可將臨時密文的訪問權(quán)限同時授予多個用戶，且分別為各個用戶生成會話密鑰，該方法可極大地提升臨時授權(quán)的運(yùn)行效率.圖8(a)及圖8(b)中所示為CA將臨時訪問權(quán)限同時授予多個用戶時所花費(fèi)的時間及通信量，其中一條曲線表示為多個用戶分別生成臨時密文及會話密鑰的情況，另一條曲線表示多個用戶共享1個臨時密文的情況.圖8中橫坐標(biāo)表示被授予臨時訪問權(quán)限的用戶個數(shù)，隨著用戶個數(shù)的增加，共享臨時密文時計(jì)算量及通信量的增長并不大，對CA造成的負(fù)載相對較小.

5結(jié)束語

云存儲通過網(wǎng)絡(luò)對分布式存儲資源進(jìn)行整合利用，在云存儲體系中數(shù)據(jù)的安全性及易管理性是評測系統(tǒng)性能的2項(xiàng)重要指標(biāo).本文首先借助ABE機(jī)制設(shè)計(jì)出一種安全可靠的云存儲服務(wù)體系，該體系中數(shù)據(jù)所有者通過訪問策略自主定義數(shù)據(jù)的訪問權(quán)限，并將數(shù)據(jù)以密文形式上傳至云端，以確保云端數(shù)據(jù)的安全性.其次，本文提出了常見的訪問策略之間的轉(zhuǎn)換方法，通過該方法轉(zhuǎn)換的訪問策略在邏輯上和數(shù)值上均保持不變.最后，本文在此基礎(chǔ)上提出了一種通用的訪問策略動態(tài)更新方法，實(shí)現(xiàn)了支持動態(tài)授權(quán)的屬性加密機(jī)制.本文所提出的動態(tài)授權(quán)方法根據(jù)授權(quán)方的不同分為3類：數(shù)據(jù)所有者執(zhí)行的更新授權(quán)、第三方代理執(zhí)行的代理授權(quán)以及CA執(zhí)行的臨時授權(quán)，并針對SSS方案的更改進(jìn)行優(yōu)化，降低了策略更新代價.這3類動態(tài)授權(quán)方式分別適用于不同的應(yīng)用場景，能有效降低數(shù)據(jù)傳輸量、計(jì)算量，提升系統(tǒng)性能及執(zhí)行效率.動態(tài)授權(quán)方法的實(shí)現(xiàn)使得數(shù)據(jù)所有者對加密數(shù)據(jù)的管理更為靈活便捷，使得屬性加密機(jī)制能適用到更為廣泛的應(yīng)用環(huán)境中.

參考文獻(xiàn)

[1]GoyalV,PandeyO,SahaiA,etal.Attribute-basedencryptionforfine-grainedaccesscontrolofencrypteddata[C] //Procofthe13thACMConfonComputerandCommunicationsSecurity.NewYork:ACM, 2006: 89-98

[2]SuWenchi,ChangShuchihErnest.Integratedcloudstoragearchitectureforenhancingservicereliability,availabilityandscalability[C] //ProcofIEEEIntConfonInformationScience,ElectronicsandElectricalEngineering.Piscataway,NJ:IEEE, 2014: 764-768

[3]SahaiA,SeyaliogluH,WatersB,etal.Dynamiccredentialsandciphertextdelegationforattribute-basedencryption[C] //Procofthe32ndCryptologyConf.Berlin:Springer, 2012: 199-217

[4]YangKan,JiaXiaohua,RenKui,etal.Enablingefficientaccesscontrolwithdynamicpolicyupdatingforbigdatainthecloud[C] //Procofthe33rdAnnualIEEEIntConfonComputerCommunications.NewYork:IEEECommunicationsSociety, 2014: 2013-2021

[5]LiuZhen,CaoZhenfu.Onefficientlytransferringthelinearsecret-sharingschemematrixinciphertext-policyattribute-basedencryption[R/OL].IACRCryptologyePrintArchive, 2010 [2010-06-29].http://eprint.iacr.org/2010/374

[6]FuYingxun,LuoShengmei,ShuJiwu.Secureonlinestoragesystembasedoncloudstorageenvironment[J].JournalofSoftware, 2014, 25(8): 1831-1843 (inChinese)(傅穎勛, 羅圣美, 舒繼武. 一種云存儲環(huán)境下的安全網(wǎng)盤系統(tǒng)[J]. 軟件學(xué)報, 2014, 25(8): 1831-1843)

[7]ZhangGuigang,LiChao,ZhangYong,etal.Akindofcloudstoragemodelresearchbasedonmassiveinformationprocessing[J].JournalofComputerResearchandDevelopment, 2012, 49(Suppl1): 32-36 (inChinese)(張桂剛, 李超, 張勇, 等. 一種基于海量信息處理的云存儲模型研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2012, 49(增刊1): 32-36

[8]BuyyaR,CheeSY,VenugopalS.Market-orientedcloudcomputing:Vision,hype,andrealityfordeliveringitservicesascomputingutilities[C] //Procofthe10thIEEEIntConfonHighPerformanceComputingandCommunications.Piscataway,NJ:IEEE, 2008: 5-13

[9]BeimelA.Secureschemesforsecretsharingandkeydistribution[D].Haifa,Israel:FacultyofComputerScience,Technion-IsraelInstituteofTechnology, 1996

[10]AndersenA,TrygveA,SchirmerN.Privacyforcloudstorage[C] //ProcofSecuringElectronicBusiness.Berlin:Springer, 2014: 211-219

[11]UllahS,ZhengXuefeng.TCLOUD:Atrustedstoragearchitectureforcloudcomputing[J].InternationalJournalofAdvancedScienceandTechnology, 2014, 63(6): 65-72

[12]SuJinshu,CaoDan,WangXiaofeng,etal.Attributebasedencryptionschemes[J].JournalofSoftware, 2011, 22(6): 1299-1315 (inChinese)(蘇金樹, 曹丹, 王小峰, 等. 屬性基加密機(jī)制[J]. 軟件學(xué)報, 2011, 22(6): 1299-1315)

[13]SahaiA,WatersB.Fuzzyidentity-basedencryption[C] //Procofthe24thAnnualIntConfonTheTheoryandApplicationsofCryptographicTechniques.Berlin:Springer, 2005: 457-473

[14]BethencourtJ,SahaiA,WatersB.Ciphertext-policyattribute-basedencryption[C] //ProcoftheIEEESymponSecurityandPrivacy.LosAlamitos,CA:IEEEComputerSociety, 2007: 321-334

[15]GoyalV,JainA,PandeyO,etal.Boundedciphertextpolicyattributebasedencryption[C] //Procofthe35thIntColloquiumonAutomata,LanguagesandProgramming.Berlin:Springer, 2008: 579-591

[16]XhafaF,LiJingwei,ZhaoGansen,etal.Designingcloud-basedelectronichealthrecordsystemwithattribute-basedencryption[J/OL].MultimediaToolsandApplications, 2014 [2015-02-15].http://link.springer.com/article/10.1007/s11042-013-1829-6

[17]LiJin,ChenXiaofeng,LiJingwei,etal.Fine-grainedaccesscontrolsystembasedonoutsourcedattribute-basedencryption[C] //Procofthe18thEuropeanSymponResearchinComputerSecurity.Berlin:Springer, 2013: 592-609

[18]WatersB.Ciphertext-policyattribute-basedencryption:Anexpressive,efficient,andprovablysecurerealization[C] //Procofthe14thIntConfonPracticeandTheoryinPublicKeyCryptography.Berlin:Springer, 2011: 53-70

[19]YangKan,JiaXiaohua,RenKui,etal.Dac-macs:Effectivedataaccesscontrolformulti-authoritycloudstoragesystems[J].IEEETransonInformationForensicsandSecurity, 2013, 8(11): 1790-1801

[20]HohenbbergerS,WatersB.Attribute-basedencryptionwithfastdecryption[C] //Procofthe16thIntConfonPracticeandTheoryinPublic-KeyCryptography.Berlin:Springer, 2013: 162-179

[21]NaruseT,MohriM,ShiraishiY.Attribute-basedencryptionwithattributerevocationandgrantfunctionusingproxyre-encryptionandattributekeyforupdating[C] //Procofthe5thIntConfonFutureInformationTechnology.Berlin:Springer, 2014: 119-125

[22]LaiJunzuo,DengRobert,YangYanjiang,etal.Adaptableciphertext-policyattribute-basedencryption[C] //Procofthe6thIntConfonPairing-BasedCryptography.Berlin:Springer, 2014: 199-214

[23]WatersB.Ciphertext-policyattribute-basedencryption:Anexpressive,efficient,andprovablysecurerealization[C] //Procofthe14thIntConfonPracticeandTheoryinPublicKeyCryptography.Berlin:Springer, 2011: 53-70

[24]SongYun,LiZhihui,LiYongming,etal.Anewmulti-usemulti-secretsharingschemebasedonthedualsofminimallinearcodes[J].SecurityandCommunicationNetworks, 2014, 8(2): 202-211

[25]RaoYS,DuttaR.Dynamicciphertext-policyattribute-basedencryptionforexpressiveaccesspolicy[C] //Procofthe10thIntConfonDistributedComputingandInternetTechnology.Berlin:Springer, 2014: 275-286

[26]HohenbergerS,WatersB.Online/offlineattribute-basedencryption[C] //Procofthe17thIntConfonPracticeandTheoryinPublic-KeyCryptography.Berlin:Springer, 2014: 293-310

WangJing,bornin1986.PhDofWuhanUniversity.Herresearchinterestsincludesecurityandprivacyofcloud(wjing@whu.edu.cn).

HuangChuanhe,bornin1963.ProfessorandPhDsupervisorofWuhanUniversity.MemberofChinaComputerFederation.Hismainresearchinterestsincludecryptography,wirelesssecurityandtrustmanagement,SDN,opportunisticnetworkandwirelessnetwork.

WangJinhai,bornin1982.PhDofWuhanUniversity.Hisresearchinterestsincludecloudcomputingandhighperformancecomputing.

AnAccessControlMechanismwithDynamicPrivilegeforCloudStorage

WangJing,HuangChuanhe,andWangJinhai

(Computer School, Wuhan University, Wuhan 430072)

AbstractCloud storage is a novel data storage architecture. There are some challenges about data security and manageability in cloud. Cloud needs to provide secure and reliable data access service for users. Because of the variety and volume of the data in cloud, a fine-grained access control mechanism named attribute-based encryption (ABE) has been proposed to ensure data security. In ABE mechanism, data owner describes access privileges of data by access policies and encrypts the data with the policy. User can recover the data if and only if he matches with the policy. Due to various reasons, the access privilege is dynamic and changeable, which increases the difficulty of data management and costs lot of system resource in cloud. Thus, we construct a cloud storage architecture provided by fine-grained ciphertext access control mechanism by use of utilizing ABE which supports efficient, security and manageable data access service. Firstly, we propose a transformation method amongst the common types of access policy, such that the access policy is expressed more generaly. Secondly, we provide three methods to manage access policy: updating privilege, agency privilege and temporary privilege. All of the methods can reduce a lot of computation and communication cost brought by policy updating. Finally, we give the analysis and simulation about our scheme. The results show that our cloud storage architecture is security, efficient and manageable.

Key wordscloud storage architecture; data security; dynamic privilege; attribute-based encryption (ABE); access control system

收稿日期：2015-02-15；修回日期：2015-05-14

基金項(xiàng)目：國家自然科學(xué)基金項(xiàng)目(61373040,61173137)；高等學(xué)校博士學(xué)科點(diǎn)專項(xiàng)科研基金項(xiàng)目(20120141110002)；湖北省自然科學(xué)基金重點(diǎn)項(xiàng)目(2010CDA004)

通信作者：黃傳河(huangch@whu.edu.cn)

中圖法分類號TP303; TP309

ThisworkwassupportedbytheNationalNaturalScienceFoundationofChina(61373040,61173137),ResearchFundfortheDoctoralProgramofHigherEducationofChina(20120141110002),andtheNaturalScienceFoundationofHubeiProvinceofChina(2010CDA004).