基于屬性加密的云存儲方案研究

王光波 王建華

?

基于屬性加密的云存儲方案研究

王光波*①王建華②

①(解放軍信息工程大學 鄭州 450001)②(空軍電子技術研究所 北京 100195)

云存儲中往往采用屬性加密方案來實現細粒度的訪問控制，為了進一步保護訪問控制策略中的敏感信息，并解決授權中心單獨為用戶生成密鑰而產生的密鑰托管問題。該文對訪問控制策略中的屬性進行重新映射，以實現其隱私性。另外在密鑰生成算法中設計一個雙方計算協議，由用戶產生密鑰的部分組件，與授權中心共同生成密鑰以解決密鑰托管問題。最后在標準模型下對方案進行了安全證明，并進行了性能分析與實驗驗證，實驗結果表明，與已有相關方案相比，雖然為了實現訪問控制策略隱藏并且解決密鑰托管問題增加了額外的計算負載，但是由于該文將大部分解密工作授權給云存儲中心來執行，因此數據訪問者的計算負載較小。

屬性加密；控制策略隱藏；密鑰托管；外包解密

1 引言

隨著大數據時代的到來，出現越來越多的用戶數據，為了實現數據共享的同時降低成本，使用第三方的服務提供商成為外包數據的優先選擇。云存儲作為云計算的延伸與發展，其最大特點是存儲即服務，用戶可以在任何地點、任何時間，通過任何可連網設備方便地存取數據，因此得到了越來越廣泛的應用。但云存儲中用戶數據存儲在云服務器上，脫離了用戶的實際控制，因此如何保證用戶隱私和數據安全的同時盡可能地提高服務質量已經成為安全云存儲的關鍵問題。

Sahai等人在2005年提出了屬性加密[1](Attribute-Based Encryption, ABE)的概念，將密文與密鑰與一系列的屬性相關聯，通過定義訪問結構，指定能夠解密數據的屬性集合，實現細粒度的訪問控制，屬性加密方案憑借其靈活的訪問結構在云存儲中得到了廣泛的應用。最初的ABE只能實現門限操作，策略表達不夠豐富。因此，有學者提出了基于密文策略(Ciphertext-Policy, CP)和密鑰策略[5,6](Key-Policy, KP)的ABE機制，實現豐富的屬性操作，從而支持靈活的訪問控制策略。

然而，除了敏感數據需要保護外，訪問控制策略也非常重要，它能夠泄露用戶的敏感信息。因此實際的應用中不僅要保護用戶數據的安全性也要保證訪問控制策略的隱私性。另外基本的ABE應用中，授權中心負責為用戶生成屬性相關的密鑰，因此擁有所有用戶密鑰，產生密鑰托管問題。

Kapadia等人[7]提出了一種策略隱藏的CP-ABE方案，但是引入了一個在線的半可信服務器，為每個用戶重加密密文，因此使服務器成為整個系統瓶頸。Nishide等人[8]提出了2種實現策略隱藏的CP-ABE方案，通過多值屬性之間的與邏輯來表示訪問控制策略。Lai等人[9]基于子群判定性假設，在合數階雙線性群上提出了一種適應性安全的策略隱藏CP-ABE方案。隨后Wang等人[10]對文獻[9]進行了改進，提出一種素數階雙線性群上的策略隱藏CP-ABE方案，使私鑰規模與解密運算量成為常量，在大規模屬性應用環境中具有很高的效率。但這幾種方案只支持受限的訪問結構，策略由所有的屬性通過一個“與”門組合而成，可表達性非常弱。Hur等人[11]等提出了一個支持任意訪問機構的CP-ABE方案，對密文中的訪問策略進行盲化，實現了訪問策略隱私。而且該方案由云存儲中心代為解密，只需要1個對操作，大大提高了訪問者的解密效率。但是該方案被證明是通用群模型下安全的，通用群模型安全通常被認為是啟發式的安全，而不是可證明安全。最近，宋衍等人[12]在文獻[13]的基礎上，對訪問樹進行相應的改進，通過秘密共享在“與”、“或”、“門限”中的應用，將具有權限的屬性取值隱藏在系統所有的屬性取值中，從而實現基于訪問樹的策略隱藏。

Chase 等人[14]提出了一種分布式的 ABE 方案，使用多屬性授權中心模型來解決密鑰托管問題。在該方法中，眾多屬性管理機構都參與到密鑰生成的過程中。這種方式的缺點是系統的性能會隨著屬性數量的增長而不斷退化。另外其訪問結構的表達能力有限, 僅僅支持與門，從而限制了數據擁有者對訪問策略的制定。Yang 等人[15]提出了一個有效的CP-ABE 方案，采用了一個新的訪問控制策略來解決密鑰托管問題。用戶只有同時擁有來自屬性授權與數據擁有者的密鑰組件才能得到完整的密鑰從而解密密文。然而，新的訪問策略包含了用戶的身份，這意味著當有新加入的用戶時，數據擁有者必須保持在線狀態來重新加密數據。這在實際應用時不太可行。

Liu等人[16]通過借鑒文獻[17]的簽名方案，構造了一個可追蹤的CP-ABE，不僅支持任意單調訪問機構，而且被證明是標準模型安全的，方案最后對密鑰托管問題進行了研究，包含兩個不同的機構：授權中心和追蹤機構，授權中心負責為用戶生成密鑰，追蹤機構則負責追蹤，但是這種方法不能抵抗授權中心與追蹤機構的合謀攻擊，另外該方案也沒有解決策略隱藏問題。

本文在方案[16]的基礎上，通過構造用戶的盲化名與盲因子，對密文中的訪問控制策略進行盲化，實現策略隱私，同時在密鑰生成算法中，使用雙方計算協議，由用戶選擇進行追蹤的身份標識，實現追蹤的同時，解決密鑰托管問題。

2 相關技術

在方案提出之前，首先對文中將用到的相關技術進行簡單介紹，包括線性秘密分享方案、合數階雙線性群。

2.1 線性秘密分享方案

定義1 (線性秘密分享方案(Linear Secret- Sharing Scheme, LSSS)[18])參與者集合上的一個秘密分享方案如果滿足以下條件，則稱為(上的)線性秘密分享方案：

2.2 合數階雙線性群

合數階雙線性群由Boneh等人[17]提出，之后被廣泛應用到各種密碼系統中。令是一個群生成算法，以安全參數為輸入，輸出。其中是3個不同的素數，其大小由安全參數決定，和是兩個階循環群，是一個滿足下面條件的映射：

3 屬性加密方案

本節首先定義一個標準語義安全的安全游戲，即選擇明文攻擊下的密文不可區分性(ciphertext INDistinguishability under Chosen Plaintext Attacks, IND-CPA)[19]，接著對本文提出的屬性加密方案進行構造。

3.1 安全性定義

初始化階段：挑戰者運行初始化Setup算法，并把產生的系統公開密鑰參數PK傳遞給攻擊者。

查詢階段1：攻擊者適應性的向挑戰者提交一系列的身份-屬性對集合，，對于每個集合挑戰者與攻擊者進行密鑰生成協議。協議過程中，由攻擊者選擇用于進行身份追蹤的標識。

3.2 方案構造

3.2.1系統初始化

系統初始化階段，授權中心與用戶生成各自的相關參數。

大陸歌手的個人演唱會數量逐年遞增，前往臺北舉辦個人演唱會的大陸歌手數量也越來越多。1980年至2008年，僅有一名大陸歌手在臺北舉辦過一場演唱會，即騰格爾于1992年在臺北舉辦的演唱會，這也是大陸歌手在臺灣舉辦的首場個人演唱會。[1]402，[2]60此后的15年間，再無一位大陸歌手在臺北舉辦個人演唱會。（表5）自2008年起，大陸歌手又開始去臺北舉辦個人演唱會。雖然大陸歌手在臺北舉行個人演唱會的數量不多，但仍顯現了大陸流行音樂突飛猛進的趨勢，優秀歌手不斷涌現，競爭力增強，個人演唱會市場不斷擴大。隨著大陸流行音樂在華語流行樂壇的影響力不斷擴大，大陸已逐漸成為華語流行音樂的中心之一。

3.2.2密鑰生成

3.2.3數據加密

3.2.4令牌生成

令牌生成后，用戶將其發送給云存儲中心，請求云存儲中心進行部分解密的密文。令牌中的集合用來作為盲化后屬性的索引。雖然生成令牌需要進行個對操作，但是這一計算可以在發送查詢請求之前進行，并且計算一次以后可以繼續使用。

3.2.5部分解密

因為云存儲中心對密文進行了大部分解密工作，訪問者只需要進行一個簡單的指數操作，大大降低了訪問者的計算負載。

4 安全性證明

4.1 IND-CPA安全性

然后B與A進行如3.2.2節所示的密鑰生成協議，在協議中A隨機選擇和，協議執行后B得到值，且已經將對應的放入追蹤列表。B利用隨機選擇，并計算：

查詢階段2：與查詢階段1一樣。

由于公開參數、解密密鑰和挑戰密文與文獻[20]中的方案都具有一樣的分布，因此得出。

證畢

4.2 密鑰生成協議的安全性

3.2.2節的密鑰生成協議中，由用戶產生用于追蹤的身份標識信息，對授權中心是隱藏的，因此解決了密鑰托管問題。下面對該密鑰生成協議進行安全性證明。

首先對惡意用戶進行模擬，按照零知識證明的過程，定義一個仿真器，該仿真器以系統參數、追蹤身份信息的承諾和在理想功能下的密鑰為輸入，因此仿真器必須在不知道系統主密鑰的情況下，模擬一個誠實授權中心的功能。運行以下仿真過程：

5 方案分析與實驗驗證

5.1 方案分析

現將本文提出的方案與原始方案及已有幾種策略隱藏的方案進行性能與功能比較，主要考慮群階的性質、策略隱私性、密鑰托管、安全性及密文長度、用戶密鑰長度、解密運算量。具體比較結果如表1所示。表中所使用的描述符號如下：表示中數據元素的長度；表示中數據元素的長度；表示中數據元素的長度；表示與密文有關的屬性個數；表示用戶密鑰中屬性的個數；表示整個屬性集合中屬性的總個數；表示屬性的取值個數；表示文獻[12]中訪問結構中末端內部節點的個數。

功能方面：從表1可以看出，本文方案中的存儲中心通過比較屬性盲化后的索引來確定用戶提交的查詢令牌是否滿足密文中的訪問控制策略，因此密文與令牌中有關屬性的任何信息對存儲中心來說都是隱藏的。另外，本文方案在密鑰生成算法中，使用雙方計算協議，由用戶選擇追蹤身份標識，實現追蹤的同時解決了密鑰托管問題。最后本文方案在適應性模型下進行了安全證明。而其他方案只實現了其中的某項功能。

表1本文方案與不同方案之間的比較

方案群階策略隱私密鑰托管追蹤性安全性密文密鑰解密(對) 原始方案[16]合數否是是適應性 文獻[8]方案素數是是否選擇性 文獻[9]方案合數是是否適應性 文獻[11]方案素數是是否通用群1 文獻[12]方案合數是是否適應性 本文方案合數是否是適應性0

性能方面：從表1可以看出，本文方案的密文大小與原始CP-ABE相同，比文獻[11]方案增加了。而其他方案的密文長度均與整個屬性集合中的屬性總個數有關，這大大增加了密文長度。為了實現策略隱私，本文方案需要在密鑰中額外增加個與1個參數，因此密鑰長度相比原始方案增加了。解密過程中，本文方案與文獻[11]方案將部分解密操作交由存儲中心代為執行，因此文獻[11]方案只需要1個對操作而本文方案不需要進行對操作，大大提高了訪問者的解密效率。

5.2 實驗驗證

本文通過實驗分析執行效率，為了衡量可追蹤并解決策略隱藏與密鑰托管問題帶來的計算開銷，本文主要對以下過程進行分析：

(1)數據擁有者加密數據；(2)數據訪問者解密數據。需要注意的是，在本文中，為了實現訪問控制策略隱藏并且解決密鑰托管問題，訪問者需要進行額外的計算，因此實驗時將其一并考慮，歸為功能操作。

實驗環境為64 bit Ubuntu 14.04 操作系統、Intel?CoreTMi7-3770CPU (3.4 GHz)、內存4 G，實驗代碼基于Pairing-based Cryptography Library (PBC-0.5.14)[22]與cpabe-0.11[23]進行修改與編寫，并且實現128 bit的安全級別。實驗數據取運行20次所得的平均值。

將本文方案與同樣采用合數階雙線性群的原始CP-ABE方案[16], 文獻[9]方案、文獻[12]方案進行實驗驗證并比較，主要考慮對運算與群與G中的指數運算，在合數階雙線性群中，運行一次對運算需要的時間大約為1.26 s,中的指數運算大約為0.53 s,G中的指數運算大約為0.18 s。其計算時間對比如表2所示。

如表2所示，相比于原始CP-ABE方案，在加密過程中，為了實現密文中的訪問控制策略隱藏，本文提出的方案需要數據擁有者額外計算個對操作和2個中的指數操作。而在訪問者解密數據時，需要個對操作來產生屬性隱藏后的信息索引。但是需要主要的是這些額外的對操作與指數操作，可以提前被計算，以后繼續使用，因此表2列出的是本文方案在最差情況下的計算負載。另外數據訪問者需要額外計算(+1)個中的指數操作來實現密鑰托管問題。雖然，為了實現策略隱藏并且解決密鑰托管問題，訪問者需要計算額外的對操作和指數操作，但是由于本文方案將大部分解密操作授權給存儲中心進行，而訪問者只需要執行1個中的指數操作即可。從表2可以得出，在本文方案中訪問者的計算時間為(1.79+0.53+0.53) ms=(1.79+ 1.06) s，而原始CP-ABE方案需要(2.52+2.32) s，文獻[9]方案需要(1.26+1.26) s，文獻[12]方案則需要s，而代表的是整個屬性集合中屬性的總個數，因此本文方案最終訪問者解密所需計算時間略多于文獻[12]的最優方案()，但是小于所有其他方案，包括文獻[12]的次優方案()。

不失一般性，本文假設用戶擁有的屬性數目為5，系統的屬性數目在5~50之間，與密文有關的屬性數目為系統數目的一半，并假設文獻[9]方案與文獻[12]方案中的屬性平均擁有4個不同的屬性取值，且文獻[12]方案訪問結構中末端內部節點的個數取最優方案1與次優方案2。

表2計算時間對比

操作時間(s)原始CP-ABE[16]文獻[9]方案文獻[12]方案本文方案 加密解密加密解密加密解密加密功能解密 Pairing1.260000 Exp.inG0.533t+22003t+4k+11 Exp.inG0.1810100100 計算時間0.53

圖1給出了5種方案在不同系統屬性數目下的加密耗時對比，由此可見，本文為了實現密文中的訪問控制策略隱藏，需要額外計算個對操作和2個中的指數操作，因此加密耗時要大于原始方案，但是優于其他3種方案。特別是文獻[12]方案，隨著訪問結構中末端內部節點個數地增加，加密耗時大大增加。

圖2給出了5種方案在不同系統屬性數目下的解密耗時對比，可見本文方案、原始CP-ABE方案與文獻[12]方案的解密耗時與系統屬性數目無關，而文獻[9]方案中，隨著系統屬性數目的增加，解密耗時不斷增加。另外，本文方案為了實現功能操作，一定程度上增加了訪問者的解密耗時，但是由于本文將大部分解密操作交由存儲中心執行，因此總的解密耗時小于原始CP-ABE方案。而文獻[12]方案的解密耗時雖然與系統屬性數目無關，但是與訪問結構中末端內部節點個數有關，內部節點數越多，解密耗時越大，從圖中可以看出，本文方案的解密耗時要略大于文獻[12]的最優方案1，但小于文獻[12]的次優方案2。

6 結束語

本文從用戶角度出發，提出了一種訪問控制策略隱藏的標準模型安全的屬性加密方案，并且在密鑰生成算法中設計一個雙方計算協議，解決密鑰托管問題。本文對方案在標準模型下進行了安全證明，并且進行了性能分析與實驗驗證，實驗結果表明，與已有相關方案相比，雖然為了實現訪問控制策略隱藏并且解決密鑰托管問題增加了額外的計算負載，但是由于本文將大部分解密工作授權給云存儲中心來執行，因此數據訪問者的計算負載較小，降低了其成本。

圖1 加密耗時與系統屬性數目的關系????????圖2 解密耗時與系統屬性數目的關系

[1] SAHAI A and WATERS B. Fuzzy Identity-Based Encryption [M]. Heidelberg, Berlin, Springer, 2005: 457-473. doi: 10.1007 /11426639_27.

[2] YADAV U C. Ciphertext-policy attribute-based encryption with hiding access structure[C]. 2015 IEEE International Advance Computing Conference (IACC), Bangalore, India, 2015: 6-10. doi: 10.1109/IADCC.2015.7154664.

[3] NARUSE T, MOHRI M, and SHIRAISHI Y. Provably secure attribute-based encryption with attribute revocation and grant function using proxy re-encryption and attribute key for updating[J].-, 2015, 5(1): 1-13.

[4] WANG H, YANG B, and WANG Y. Server aided ciphertext- policy attribute-based encryption[C]. IEEE International Conference on Advanced Information Networking & Applications Workshops, Gwangju, Korea, 2015: 440-444. doi: 10.1109/WAINA.2015.11.

[5] QI L, MA J, RUI L,. Large universe decentralized key- policy attribute-based encryption[J].&, 2015, 8(3): 501-509.

[6] WANG X, ZHANG J, SCHOOLER E M,. Performance evaluation of attribute-based encryption: Toward data privacy in the IoT[C]. IEEE International Conference on Communications (ICC), Sydney, Australia, 2014: 725-730.

[7] KAPADIA A, TSANG P P, and SMITH S W. Attribute- based publishing with hidden credentials and hidden policies [C]. Network and Distributed System Security Symposium, NDSS 2007, San Diego, CA, USA, 2007: 179-192.

[8] NISHIDE T, YONEYAMA K, and OHTA K. Attribute- based Encryption with Partially Hidden Encryptor-specified Access Structures[M]. Heidelberg, Berlin, Springer, 2008: 111-129. doi: 10.1007/978-3-540-68914-0_7.

[9] LAI J, DENG R H, and LI Y. Fully secure cipertext-policy hiding CP-ABE[J]., 2011, 6672: 24-39.

[10] 王海斌, 陳少真. 隱藏訪問結構的基于屬性加密方案[J]. 電子與信息學報, 2012, 34(2): 457-461.

WANG Haibin and CHEN Shaozhen. Attribute-based encryption with hidden access structures[J].&, 2012, 34(2): 457-461.

[11] HUR J. Attribute-based secure data sharing with hidden policies in smart grid[J].&, 2013, 24(11): 2171-2180. doi: 10.1109/ TPDS.2012.61.

[12] 宋衍, 韓臻, 劉鳳梅, 等. 基于訪問樹的策略隱藏屬性加密方案[J]. 通信學報, 2015, 36(9): 119-126.

SONG Yan, HAN Zhen, LIU Fengmei,. Attribute-based encryption with hidden policies in the access tree[J]., 2015, 36(9): 119-126.

[13] LUAN Ibraimi, QIANG Tang, PITER Hartel,. Efficient and Provable Secure Ciphertext-policy Attribute-Based Encryption Schemes. Information Security Practice and Experience[M]. Heidelberg, Berlin, Springer, 2009: 1-12.

[14] CHASE M and CHOW S S M. Improving privacy and security in multi-authority attribute-based encryption[C]. ACM Conference on Computer and Communications Security, Chicago, IL, USA, 2009: 121-130. doi: 10.1145/1653662. 1653678.

[15] YANG M, LIU F, HAN J L,. An efficient attribute based encryption scheme with revocation for outsourced data sharing control[C]. 2011 First International Conference on Instrumentation, Measurement, Computer, Communication and Control, Beijing, China, 2011: 516-520.

[16] LIU Z, CAO Z, and WONG D. Traceable ciphertext-policy attribute-based encryption supporting any monotone access structures[J]., 2013, 8(1): 76-88.

[17] BONEH D and BOYEN X. Short signatures without random oracles[C]. Advances in Cryptology-EUROCRYPT 2004, Switzerland, 2004: 56-73.

[18] ZAVATTONI E, PEREZ L J D, MITSUNARI S,. Software implementation of an attribute-based encryption scheme[J]., 2015, 64(5): 1429-1441.

[19] CHEUNG L and NEWPORT C. Provably secure ciphertext policy ABE[C]. Proceedings of the 14th ACM Conference on Computer and Communications Security, New York, USA, 2007: 456-465. doi: 10.1145/1315245.1315302.

[20] LEWKO A, OKAMOTO T, SAHAI A,. Fully Secure Functional Encryption: Attribute-based Encryption and (Hierarchical) Inner Product Encryption[M]. Heidelberg, Berlin, Springer, 2010: 62-91. doi: 10.1007/978-3-642-13190- 5_4.

[21] BELENKIY M, CAMENISCH J, CHASE M,. Randomizable Proofs and Delegatable Anonymous Credentials[M]. Heidelberg, Berlin, Springer, 2009: 108-125. doi: 10.1007/978-3-642-03356-8_7.

[22] LYNN B. The pairing-based cryptography (PBC) library[OL]. http://crypto.stanford.edu/pbc, 2006.

[23] BETHENCOURT J, SAHAI A, and WATERS B. Advanced crypto software collection: The cpabetoolkit[OL]. http://acsc. cs.utexas.edu/cpabe,2011.

Research on Cloud Storage Scheme with Attribute-based Encryption

WANG Guangbo①WANG Jianhua②

①(,450001,)②(,100195,)

Attribute-Based Encryption (ABE) is often used in cloud storage to achieve fine-grained access control. In order to further protect the sensitive information of access control policy and solve the key escrow caused by the authority center generating the private key for users alone. In this paper, the attributes of access control policy are remapped to achieve its privacy. Additionally, a two-party computing protocol in which the user generates partial private key component is devised to solve the problem of key escrow. At last, the security of this scheme is proved in the standard model, and the performance analysis and experiment validation are conducted, which show that although some additional computation overhead is added for achieving the privacy of access control policy and solving the problem of key escrow, the receiver in proposed scheme has smaller computation overhead compared with the existing related schemes because most of the decryption is delegated to the storage center to carry out.

Attribute-Based Encryption (ABE); Access control policy hidden; Key escrow; Outsource decryption

TP393.08

A

1009-5896(2016)11-2931-09

10.11999/JEIT160064

2016-01-15；改回日期：2016-08-15；

2016-10-09

王光波 691759571@qq.com

國家高技術研究發展計劃(2012AA012704)，鄭州市科技領軍人才項目(131PLJRC644)

The National High-tech R&D Program of China (2012AA012704), The Science and Technology Leading Talent Project of Zhengzhou (131PLJRC644)

王光波： 男，1987年生，博士生，研究方向為屬性加密、網絡信息安全.

王建華： 男，1962年生，教授，博士生導師，研究方向為信息安全、安全管理.