改進屬性加密結(jié)合代理重加密的云計算安全訪問控制策略

王 磊 李 剛 王斐玉

1(蘇州大學(xué)信息化建設(shè)與管理中心 江蘇 蘇州 215006)2(新疆交通職業(yè)技術(shù)學(xué)院道路橋梁工程學(xué)院 新疆 烏魯木齊 831401)3(新疆交通職業(yè)技術(shù)學(xué)院運輸管理學(xué)院 新疆 烏魯木齊 831401)

0 引 言

云服務(wù)或云計算是大數(shù)據(jù)管理中信服度很高、低成本和高效率的解決方案[1]。當采用云解決方案來存儲大規(guī)模和高價值的數(shù)據(jù)時，其安全性和隱私性是非常重要的，通常需要部署加密技術(shù)和訪問控制模型以滿足云對安全性的需求[2]。訪問控制[3-4]是網(wǎng)絡(luò)安全最有效的解決方案之一。大數(shù)據(jù)的數(shù)據(jù)訪問控制不僅應(yīng)該支持安全需求，而且還應(yīng)該對大量用戶執(zhí)行的策略提供靈活的管理，同時需要保證對加密數(shù)據(jù)進行檢索和處理具備最佳的性能。

基于屬性的密文加密ABCE是為外包數(shù)據(jù)和未知解密方制定基于密碼和細粒度的訪問控制的有效方案。目前，國內(nèi)外研究人員對訪問控制在ABCE中的應(yīng)用進行了一些研究[5-8]，通過對這些研究進行分析可知，這些研究主要集中于最小化密鑰管理成本，降低數(shù)據(jù)擁有者與外包數(shù)據(jù)存儲，提高可擴展性，優(yōu)化撤銷成本等方面。

事實上，策略更新是訪問控制管理中最重要的管理任務(wù)之一。當客戶端的數(shù)據(jù)影響策略更新時，必須由客戶端進行重加密。ABCE中的策略更新使得數(shù)據(jù)所有者在進行重加密文件以及將加密文件加載回云的過程中，產(chǎn)生了較大的計算和通信開銷或成本。這些成本會降低數(shù)據(jù)訪問的服務(wù)質(zhì)量，因為如果頻繁更新和大量用戶同時訪問數(shù)據(jù)，這些成本將不可預(yù)測地增長。然而，僅有少量的研究[9-11]探討了處理模型中策略變化或策略更新的問題，并且這些方案依賴于將文件重加密過程外包給專用代理，或者根據(jù)策略中改變的屬性直接更新密文。

此外，大多數(shù)基于ABCE的訪問控制方案[12-14]通常采用代理重加密(proxy re-encryption，PRE)技術(shù)來支持由于屬性撤銷或策略更新而引起的密文重加密，主要目的是盡可能地減少重加密過程中的高昂開銷。由于客戶端在處理PRE過程時計算開銷被委托給位于云中的代理，因此現(xiàn)有PRE方案會給代理帶來沉重負擔(dān)。在云環(huán)境中，云提供商可能會在某些情況下根據(jù)CPU時間收取服務(wù)使用費。因此，通過減少重加密操作的頻率，可以有效降低使用成本，而現(xiàn)有的PRE方案大多忽略了這一方案。

針對以上問題，提出了優(yōu)化的、低成本的、安全的新型訪問控制方案，主要創(chuàng)新點為：1) 針對多權(quán)限云中的大數(shù)據(jù)，提出靈活、安全的訪問控制模型；2) 設(shè)計基于代理重加密的新型策略更新流程，提高策略更新速度；3) 制定高效的策略更新方案，降低計算開銷。最后，通過實驗證明了所提方案的有效性。

1 訪問模型與加密方案

1.1 適應(yīng)大數(shù)據(jù)訪問的系統(tǒng)模型

在大數(shù)據(jù)的外包環(huán)境中，多個數(shù)據(jù)源高速、大量地生成數(shù)據(jù)流，從而實現(xiàn)數(shù)據(jù)在專用云存儲中的實時集成與處理。圖1說明了大數(shù)據(jù)訪問控制的系統(tǒng)模型。本文提出的訪問控制系統(tǒng)包括認證頒發(fā)機構(gòu)(CAA)、屬性管理機構(gòu)(AMA)、數(shù)據(jù)所有者和用戶，以及上述各組成部分之間的交互。

圖1 大數(shù)據(jù)云訪問與控制方案的系統(tǒng)模型

大數(shù)據(jù)云環(huán)境中參與者的角色和職能如下：

① 證書頒發(fā)機構(gòu)，受信任的第三方，能夠為所有實體頒發(fā)公鑰證書(X509證書)，這些實體包括用戶、屬性管理機構(gòu)、數(shù)據(jù)所有者和系統(tǒng)代理。在本文的系統(tǒng)框架中，實體所使用的證書只要在多數(shù)據(jù)所有者的可信列表中，就可以被使用。

② 屬性管理機構(gòu)，在特定域內(nèi)根據(jù)用戶角色來發(fā)布、撤銷、更新用戶屬性的獨立方。每個屬性管理機構(gòu)負責(zé)生成公共屬性密鑰，并向注冊在域中的用戶頒發(fā)密鑰。

③ 數(shù)據(jù)提供者或數(shù)據(jù)擁有者，將自身的交易或已處理的數(shù)據(jù)上傳到云中的實體，通過指定訪問控制策略來規(guī)范用戶如何訪問特定資源，并對資源權(quán)限進行分類和管理。本文假設(shè)訪問策略僅由數(shù)據(jù)所有者更新。

④ 用戶(U)或數(shù)據(jù)使用者，請求訪問(讀取或?qū)懭?由數(shù)據(jù)所有者外包的大數(shù)據(jù)的主體，屬性管理機構(gòu)為每個用戶分配一組與自身角色相關(guān)的屬性。

為了便于闡述本文的方案，給出如下定義：

? 屬性(Attr)，一組用于表征用戶與特定屬性“角色”關(guān)聯(lián)的變量，屬性由屬性授權(quán)機構(gòu)頒發(fā)。

? 角色(R)，分配用戶和相應(yīng)屬性的超級屬性集。

? 權(quán)限(P)，具有讀取(r)和寫入(w)值的動作。

? 訪問控制策略(ACP)，一個基于樹的結(jié)構(gòu)，ACP樹的每個非葉節(jié)點表示角色節(jié)點和閾值，其中角色節(jié)點是閾值節(jié)點的父節(jié)點。parent(x)表示樹中子節(jié)點x的父節(jié)點，函數(shù)attr(x)僅被定義在x的樹葉節(jié)點中。為了提供細粒度的訪問控制，本文引入與RBAC[15]類似的特殊屬性“權(quán)限”，用來標識角色的讀/寫權(quán)限。

1.2 改進屬性加密

本文提出一種采用多權(quán)限ABCE技術(shù)的密碼處理方案，使用屬性權(quán)限標識k來表示向用戶發(fā)布屬性的權(quán)限，通過屬性權(quán)限發(fā)布屬性的每個用戶都用下角標(uid,k)進行標識。具體的系統(tǒng)模型的協(xié)議加密過程為：首先，由CAA向AMA、數(shù)據(jù)所有者、用戶簽發(fā)公鑰證書，用戶解密密鑰加密和系統(tǒng)認證，一旦設(shè)置了AMA，他們就負責(zé)生成用戶解密密鑰，這些密鑰是發(fā)布給各個用戶的一組屬性；然后，生成的UDK通過用戶公鑰Certuid進行加密，并將它們發(fā)送到云中進行存儲；最后，數(shù)據(jù)所有者使用本文設(shè)計的加密功能，在將以加密格式數(shù)據(jù)發(fā)送到云端之前，對數(shù)據(jù)進行加密。為了訪問設(shè)計的多權(quán)限ABCE系統(tǒng)，用戶需要使用其有效證書登錄系統(tǒng)，如果證書認證成功，他們將被給予加密的憑證來解密密文。

所提方案包括：屬性權(quán)限初始化(attribute authority setup，AAS)、生成用戶密鑰(user key generation，UKG)、根解密密鑰生成(root decryption key generation，RDKG)、加密(encryption，ENC)和解密(decryption，DEC)。AMA運行AAS、UKG和RDKG，數(shù)據(jù)所有者或用戶執(zhí)行ENC和DEC。此外，本文選用雙線性映射作為系統(tǒng)設(shè)置和用戶密鑰生成協(xié)議中的構(gòu)造方案。表1 列出了本文所提方案中使用的符號及其含義。

表1 方案符號及含義

(1) AAS:

每個AMAk(k∈所有權(quán)威SA的集合)；令S是一組由權(quán)威AMAk簽署并管理的屬性；AMA(AMAk)選擇兩個隨機數(shù)α,β∈Zp；G1是階數(shù)為素數(shù)的線性群，g為G1的生成元；公鑰PKk為：

PKk=〈g1/βk,gβk,e(g,g)αk〉

私鑰SKk為：

SKk=〈βk,gαk〉

(2) UKG：

UKG方案包括UDKG和EDKG兩部分，分別用于生成UDKuid,k和EDKuid,k：

① UDKG的輸入是屬性Suid,k的集合，屬性頒發(fā)的私鑰為SKk，用戶證書為Certuid，之后它返回一個用戶解密密鑰UDKuid,aid的集合方案。首先選擇一個隨機數(shù)r∈Zp，然后對每一個屬性i∈Suid,k選擇一個隨機數(shù)ri∈Zp，最后計算得到密鑰：

② EDKG使用用戶公鑰證書Certuid對UDKuid,k進行加密，并輸出一個加密后的解密密鑰EDKuid,k，加密過程可以描述為：

UDKuid,k→ENCRSA(Certuid,UDKuid,aid)≡EDKuid,k

(3) RDKG：

RDKG將屬性授權(quán)機構(gòu)提供的密鑰SKk、數(shù)據(jù)擁有者的實體屬性oid以及數(shù)據(jù)擁有者的數(shù)字簽名DS作為輸入，并產(chǎn)生一個根解密密鑰RDKoid用于后續(xù)的重加密密鑰的生成過程。

(4) ENC：

文件在加密之前，需將其壓縮為gzip格式。然后，加密方案將基于此壓縮文件進行操作，操作包括兩個步驟：

① 消息M的加密。

M→ENCC-CP-ARBE(PKaid,ACP,M)≡CT，該方案將授權(quán)的公鑰PKk、訪問控制策略ACP以及數(shù)據(jù)M作為輸入，并返回一個密文CT。

② 加密密文CT和SS。

式中：ω[i]為屬性標記，其取值為-1、0、1，分別表示“不關(guān)心”、“必須沒有”、“必須有”；σi為隨機數(shù)。

其次，將組角色參數(shù)GRP作為密鑰與AES方案一起生成會話密鑰，稱為保密封條SS；對密文CT進行加密，并將方案返回加封密文SCT：

CT→ENCAES(SS,CT)≡SCT

SS的加密。SS使用用戶公鑰Certuid加密，方案返回加密后的SS(也就是ESS)，并存儲于云服務(wù)器上，其加密方案為：

SS→ENCRSA(Certuid,SS)≡ESS

(5)DEC：

解密方案包括兩個步驟：

① 解密SS和SCT。

該方案使用了用戶的全局私鑰GSKuid，然后返回了會話密鑰SS，進而使用SS解密SCT并獲得CT。

② 解密CT。

首先，進行一次解密。如果ω[i]=1，則e(Ci,j,1)=e(g,g)rai。

如果ω[i]=0，則e(Ci,j,2)=e(g,g)rbi。

如果ω[i]=-1，則e(Ci,j,1)=e(Ci,j,2)=e(g,g)rci。

由以上公式可得：

其次，利用云請求EDKuid,k進行二次解密。解密過程如下：

該方案使用用戶的全局私鑰GSKuid來解密加密后的用戶解密密鑰EDKuid,k，并使用UDKuid,k解密密文CT。如果屬性S滿足ACP結(jié)構(gòu)，方案返回壓縮后的信息M。最后，方案對M進行解壓縮從而返回原始信息M。利用上述改進的屬性加密方案，可以有效提升數(shù)據(jù)訪問的安全性，阻止未授權(quán)用戶的非法訪問與操作。

2 訪問策略更新方案

基于上文給出的相關(guān)定義，設(shè)計訪問控制策略的更新方案。為了進行策略更新，需要完成兩項任務(wù)，包括：策略更新和文件重加密。為此，本文提出了一種策略更新方案和一種改進的代理重加密技術(shù)，分別用來執(zhí)行所需完成的任務(wù)。

2.1 策略更新管理方案

在典型的基于云的訪問控制系統(tǒng)中，當策略發(fā)生變化時，數(shù)據(jù)所有者需要采用新策略對本地文件重加密，并將其發(fā)送回云服務(wù)器，但這些操作增加了數(shù)據(jù)所有者的計算開銷。因此，需要設(shè)計快速的更新策略，以便使數(shù)據(jù)所有者或管理員以更為高效的方式管理存儲在云服務(wù)器中的策略屬性，包括添加、更新和刪除操作。

本文提出一種新的策略更新方案來控制策略在云中的更新過程，不僅可以提高計算速度，而且允許數(shù)據(jù)所有者隨時隨地對策略進行更新。本文所提出的策略更新方案包括：添加、更新、刪除策略中的屬性，語法檢查。對于語法檢查，方案會檢查對屬性類型和屬性值采取的可能操作數(shù)。

在本文所提出的方案中，在策略更新完成之后，代理將自動采用更新后的策略來重加密被更新前的策略加密的密文。

方案1策略更新方案

1. 策略更新

輸入：新葉子節(jié)點Y′；當前葉子節(jié)點Y；策略更新類型typeupdate；ACP

IF (typeupdate==delete)

{

IF (ANDgate associated toY)，設(shè)置新策略

ACP′=ACP.DelAttr(xj) from_AND(xj=Y)

ELSE IF(ORgate associate toY)，設(shè)置新策略

ACP′=ACP.DelAttr(xj) from_OR(xj=Y)

ELSE IF (KofNgate associated toY)，設(shè)置新策略

ACP′=ACP.DelAttr(xj) from_KofN(xj=Y)

}

ELSE IF (typeupdate=edit)

{

SETACP′=ACP.update(Y,Y′)

}

ELSE IF (typeupdate=add)

{

IF (ANDgate associated toY)，設(shè)置新策略ACP′=ACP.AddAttr(xn+1) from 2AND(xn+1=Y′)

ELSE IF (ORgate associate toY)，設(shè)置新策略

ACP′=ACP.AddAttr(xn+1) from2OR(xn+1=Y′)

ELSE IF (KofNgate associated toY)，設(shè)置新策略

ACP′=ACP.AddAttr(xn+1) from2KofN(xn+1=Y′) }

IF (verifyPolicySyntax(ACP′))，輸出ACP′

ELSE，輸出“策略語法錯誤”

2. 確認策略語法

輸入：ACP

IF (ACP包含負整數(shù)或非整數(shù))，輸出false

ELSE IF (ACP包含閾值)，輸出false

ELSE IF (ACP以整數(shù)開始)，輸出false

ELSE IF (ACP包含閾值操作符)，輸出false

ELSE，輸出true

2.2 改進代理重加密

改進代理重加密是一個擴展的代理重加密模型，專門為訪問控制中的屬性撤銷或策略更新提供穩(wěn)定的代理重加密操作。改進代理重加密的實現(xiàn)過程分為兩個階段，包括：生成重加密密鑰，更新重加密密鑰。當存在屬性撤銷或策略更新時，所提出的兩階段改進代理重加密即被觸發(fā)。代理使用重加密密鑰RK(rks1→s2)將密文CTk1轉(zhuǎn)換為CTk2，其中RK由代理服務(wù)器生成。

(1) 第一階段：生成重加密密鑰。

初始化階段由預(yù)處理(PREC)、生成重加密密鑰(RKG)兩部分組成，這兩部分的詳細過程如下：

① 預(yù)處理：由數(shù)據(jù)擁有者進行初始運行。

PREC(IPproxy,Certownerid)→PREConFV1

該方案將代理服務(wù)器的網(wǎng)絡(luò)地址IPproxy以及數(shù)據(jù)擁有者的公鑰證書Certownerid輸入代理服務(wù)器，用來執(zhí)行RKG之前的認證，輸出PRE配置文件PREConFV1。一旦生成預(yù)處理配置文件，就可以一直使用，直至輸入?yún)?shù)發(fā)生變化。PREConFV1將作為生成重加密密鑰RKG方案的輸入?yún)?shù)param。

②GenR(R{rs1,rs2,…,rsn})→Rvn

該方案隨機選擇一組種子rs作為輸入，生成安全隨機數(shù)R。

該方案輸出一個重加密密鑰rks2→(M′,ACP′)，該密鑰用來將基于(M,ACP)的密文轉(zhuǎn)換為另一個基于(M′,ACP′)的密文。

⑤ReEnc(param;rks2→(M′,ACP′),CMR,CT(M,ACP))→CTk2

該方案將參數(shù)param、重加密密鑰rks2→(M′,ACP′)、組合匹配移除函數(shù)CMR以及原始加密密文CT(M,ACP)作為輸入，輸出一個重加密密文CT′ (M′,ACP′)。

根據(jù)rks2，通過嵌入組合匹配移除函數(shù)CMR來支持重加密過程，函數(shù)過程如下：

? 從Rvn(RDKoid)中移除R

RDKoid用來解密舊密文，然后方案應(yīng)用新的ACP′對數(shù)據(jù)進行重加密，最后代理服務(wù)器使用SS對新的密文CTk2進行加密。

(2) 第二階段：更新重加密密鑰。

更新重加密密鑰由兩個方案組成，具體為：

使用這一方案，代理服務(wù)器不需要隨著策略的更新而重新計算一個新的重加密密鑰，只需要更新秘鑰成分即可，因此可以有效減少計算開銷，提高計算效率。

3 實驗評估

為了驗證本文所提方案的有效性，在搭建的仿真實驗平臺上進行了相關(guān)實驗。首先，測試了重加密方案的計算性能；其次，將本文方案與文獻[16]中的經(jīng)典方案以及文獻[17]中的最新方案在策略開銷和解密計算開銷兩個方面進行了對比分析；最后，分析了所提方案的服務(wù)器吞吐量。本文的仿真試驗環(huán)境為：代理服務(wù)器DELL R430 1U機架式ERP，E5-2630V4，十核，8 GB/1 TB SAS3.5/H330/DVDRW；安裝Ubuntu Linux操作系統(tǒng)；客戶端云DEL i7-8750H 16 GB 512GSSD GTX1050Ti MaxQ 4 G。

3.1 重加密方案性能測試

本文首先測量重加密過程所花費的時間，包括重加密密鑰生成、重加密密鑰更新和重加密密鑰更換。實驗中，使用由15個屬性組成的訪問策略來加密15 GB的文件，使用隨機數(shù)發(fā)生器作為重加密密鑰生成的一部分。圖2給出了用于執(zhí)行重加密方案及其密文重加密的處理時間。由圖2可見，密鑰更新方案可以用最少的時間來更新重加密密鑰，如果存在需要重新生成重加密密鑰的策略更新，則其可以顯著地降低計算開銷或成本；與RKG流程相比，重加密方案將成本降低了約72%；對于重加密密鑰更換的處理，與初始重加密密鑰生成相比，提出的重加密方案只需較少的處理時間，這是因為重新生成加密密鑰時，初始系統(tǒng)參數(shù)不需要重新計算。由于策略或密文的大小沒有變化，因此用于密文重加密的時間對于所有單獨的重加密過程來說都是相同的。

圖2 重加密過程的性能

3.2 性能對比分析

為了驗證所提方案的運算性能，將所提方案與文獻[16]以及文獻[17]中的方案進行了對比分析。本文使用基于配對的加密庫(PBC library)來模擬這三種方案的加密結(jié)構(gòu)，利用總處理時間來衡量運行策略更新方案和所提重加密過程的開銷或成本。

為了展示這兩種方案的策略更新成本的明確影響，本文選擇“添加屬性”來衡量性能。在測試中，訪問策略最初包含400個屬性，混合了10個門，每個門包含5個“OR”，“AND”和“K of N”門限。首先，使用三種策略來加密1 GB的文件；然后，使用訪問策略中增加的屬性數(shù)量來衡量策略更新的處理時間。圖3顯示了這三種方案的策略更新性能，由該圖可見，文獻[16]中的經(jīng)典方案計算開銷最大，這是因為該方案的主要工作在于提出一種新的用戶證書描述形式，而并未在計算性能上進行深入研究；文獻[17]利用多授權(quán)機構(gòu)把單授權(quán)機構(gòu)的信任和工作量進行了分散承擔(dān)，有效減輕了傳統(tǒng)的單授權(quán)機構(gòu)的計算開銷，但隨著數(shù)據(jù)量的成倍增長，其計算性能會因為多授權(quán)機構(gòu)之間的協(xié)調(diào)而產(chǎn)生一定的折損。本文提出的方案雖然比文獻[17]方案的更新開銷稍大，但是由于將主要的重加密操作全部外包給代理，從而使得數(shù)據(jù)所有者一方的計算量顯著減少。在本文的方案中，數(shù)據(jù)所有者只更新策略，并將后續(xù)成本全部外包給委托代理，更適合用于大數(shù)據(jù)量的處理。

圖3 策略更新所產(chǎn)生的開銷對比

圖4給出了三種方案的解密開銷。與圖3所示的策略開銷實驗結(jié)果類似，文獻[16]并未提出較好性能的解密方案，因此其開銷較大；文獻[17]訪問策略樹支持AND、OR及Threshold 豐富表達，將用戶的身份ID直接放入訪問樹中進行設(shè)計，用戶動態(tài)撤銷后，云只需存儲中心更新部分密文，即可使得撤銷用戶不能再通過解密數(shù)據(jù)來獲得明文信息，從而減少了整個系統(tǒng)的計算開銷；本文所提方案因為需要進行兩次解密操作，故計算速度與文獻[17]相比稍慢，但與經(jīng)典方案相比仍具備非常好的解密速度。

圖4 解密開銷對比

在大數(shù)據(jù)環(huán)境中，需要基于一個包含大量屬性和運算符的策略對集成數(shù)據(jù)進行加密。單純依賴于邏輯運算符的屬性數(shù)量或類型的策略更新方案通常會降低大數(shù)據(jù)訪問控制中策略更新管理的整體性能。本文方案由于將重加密操作外包給代理，數(shù)據(jù)所有者只更新策略，并將后續(xù)成本外包給委托代理，使得數(shù)據(jù)所有者一方的計算量顯著減少，因此，更適合用于大數(shù)據(jù)量的處理。

4 結(jié) 語

本文針對大數(shù)據(jù)環(huán)境中的安全策略更新問題，提出了新的訪問控制模型。策略更新方案旨在安全有效地支持大數(shù)據(jù)云中的訪問策略的變化，同時降低重加密成本或開銷。此外，本文對重加密及相關(guān)的策略更新方案進行了比較分析和性能評估。實驗結(jié)果表明，本文提出的策略更新方案提供了有效的策略更新，與相關(guān)方案相比，需要的計算成本更少。當有多個策略更新事件發(fā)生時，本文所提出的方案在實際部署中有希望支持大量的重加密請求。