非可信環(huán)境下的云端數(shù)據(jù)加密與授權(quán)方案*

劉慧紅，黃普善，毛得明，張宇光

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

隨著物聯(lián)網(wǎng)、5G 網(wǎng)絡(luò)、元宇宙等概念的提出與廣泛應(yīng)用，網(wǎng)絡(luò)用戶產(chǎn)生的數(shù)據(jù)量也越來越多。如圖1 所示為云存儲基本框架，用戶在面對與日俱增的數(shù)據(jù)、自身資源限制、數(shù)據(jù)使用與共享等情況時，通常會選擇將部分數(shù)據(jù)存儲于云端，如谷歌云、AWS、小米云空間等，在需要的時候進行讀取、共享等操作。云儲存給用戶帶來了極大的便利，用戶只需按需購買并使用云空間與網(wǎng)絡(luò)服務(wù)即可，同時又有效地降低了成本、提高了效率。然而，近年來數(shù)據(jù)泄露的問題頻發(fā)。2017 年百度網(wǎng)盤發(fā)生數(shù)據(jù)泄露事件，大量私人信息遭到泄露，包括身份證、車牌號等信息；2021 年Facebook 5.33 億用戶、領(lǐng)英7億用戶數(shù)據(jù)遭到泄露，并在暗網(wǎng)售賣。用戶數(shù)據(jù)一旦發(fā)送至云端進行存儲，用戶將失去對數(shù)據(jù)的控制權(quán)，同時面對非可信的網(wǎng)絡(luò)環(huán)境，用戶將時時刻刻面臨數(shù)據(jù)與隱私安全問題。

圖1 網(wǎng)絡(luò)云存儲

因此，如何有效地保護用戶數(shù)據(jù)安全、構(gòu)建安全的網(wǎng)絡(luò)空間環(huán)境得到了國家、機構(gòu)、廣大研究者和企業(yè)的重視。在2012 年，新加坡頒布了《個人數(shù)據(jù)保護法》[1]。2018 年，歐盟頒布了號稱史上最嚴苛的數(shù)據(jù)安全法案《通用數(shù)據(jù)保護條例》（General Data Protection Regulation）[2]。我國也在2016 年頒布了《中華人民共和國網(wǎng)絡(luò)安全法》[3]，2018 年頒布了《中華人民共和國密碼法》[4]，2021 年頒布了《中華人民共和國數(shù)據(jù)安全法》[5]和《中華人民共和國個人信息保護法》[6]等相關(guān)法律法規(guī)，從法律層面為組織、企業(yè)、個人等的數(shù)據(jù)與隱私安全保駕護航。

廣大學者也在相關(guān)領(lǐng)域進行了廣泛的研究。由于云服務(wù)提供商并非不可信的，因此將存在數(shù)據(jù)被泄露、篡改等風險，但將數(shù)據(jù)加密后上傳，數(shù)據(jù)的授權(quán)、分享將成為新的挑戰(zhàn)。蘇铓等人[7]針對傳統(tǒng)訪問控制無法應(yīng)對云計算、天地一體化網(wǎng)絡(luò)對云服務(wù)的需求，提出使用代理重加密技術(shù)和多要素訪問控制技術(shù)結(jié)合的方案。基于屬性的加密（Attribute-Based Encryption，ABE）方案也是廣泛研究與使用的方式，最早是2004 年由Sahai 等人[8]提出的。隨后研究人員在理論算法、應(yīng)用等方面進行了廣泛研究。Li 等人[9]為提升多媒體社交網(wǎng)絡(luò)的服務(wù)質(zhì)量，針對云存儲數(shù)據(jù)的安全和授權(quán)策略靈活性方面，結(jié)合ABE 方案進行了系統(tǒng)設(shè)計，但該方案的計算在復雜度等方面存在一定缺陷，難以適應(yīng)大規(guī)模的屬性加密系統(tǒng)。Wang 等人[10]針對智能電網(wǎng)與云端輔助存儲的安全與實用、智能電網(wǎng)等環(huán)境下設(shè)備資源受限等問題，利用橢圓曲線決策的Diffie-Hellman問題設(shè)計了基于屬性的加密方案，同時通過實驗評估的方法證明了方案的實用性。Sun 等人[11]由于之前基于容錯學習（Learning with errors，LWE）假設(shè)的研究多數(shù)都是在單一權(quán)威機構(gòu)下構(gòu)建的ABE，在效率方面受到約束，所以該文獻在基于環(huán)容錯學習（Ring-Learning with errors，R-LWE）假設(shè)的基礎(chǔ)上構(gòu)建了多權(quán)威的門限訪問結(jié)構(gòu)的ABE 方案，使得系統(tǒng)更加高效。曹來成等人[12]則通過引入可信第三方來解決數(shù)據(jù)加密過程中的計算開銷問題，該方案可以降低用戶端計算開銷，很好地適用于資源受限設(shè)備。Sandor 等人[13]設(shè)計了一種高效的ABE移動云數(shù)據(jù)存儲方案，其權(quán)威機構(gòu)是分散的，省去了全局用戶身份，取消了中央授權(quán)機構(gòu)，但引入了新的云用戶助理（Cloud User Assistant，CUA）。Li 等人[14]則使用多權(quán)威的屬性基加密解決云存儲在數(shù)據(jù)加密、共享時的高效與靈活性問題（這兩個是同一篇文獻）。Yang 等人[15]針對移動終端的存儲和計算能力有限，難以應(yīng)對設(shè)備與公有云之間的文件共享數(shù)據(jù)傳輸?shù)葐栴}，利用私有云輔助用戶進行數(shù)據(jù)的完整性校驗等操作。Li 等人[16]針對密文數(shù)據(jù)的存儲、計算過程存在的安全風險，提出了一種可驗證外包計算結(jié)果的方案，但該方案在面臨規(guī)模較大的計算任務(wù)時，用戶的計算成本依然較高。Truong 等人[17]考慮到數(shù)據(jù)所有者無法感知服務(wù)器的數(shù)據(jù)操作是否合規(guī)，提出了使用去中心化的機制處理用戶數(shù)據(jù)，即利用區(qū)塊鏈技術(shù)對數(shù)據(jù)的操作進行記錄。

但以往的研究工作中對抗量子攻擊的考慮較少。未來量子計算機的應(yīng)用將對基于雙線性映射等困難問題為基礎(chǔ)的密碼算法帶來一定挑戰(zhàn)。同時，數(shù)據(jù)加密雖然能夠有效阻止不可信的云服務(wù)提供商窺探用戶數(shù)據(jù)隱私，但難以應(yīng)對云服務(wù)提供商（非可信的云服務(wù)提供商）篡改、偽造用戶數(shù)據(jù)以及網(wǎng)絡(luò)傳輸過程中導致的數(shù)據(jù)丟失等問題。因此本文提出了一種基于屬性的云中數(shù)據(jù)加密授權(quán)方案。該方案將格理論構(gòu)建密鑰策略的屬性基加密（Ciphertext-Policy Attribute-Based Encryption，CPABE）算法用于保證數(shù)據(jù)安全與靈活授權(quán)，同時采用區(qū)塊鏈技術(shù)對用戶發(fā)布的數(shù)據(jù)信息進行存儲，保證了在非可信環(huán)境下數(shù)據(jù)的完整性檢驗。

本文的貢獻點如下：

（1）構(gòu)造了抗量子攻擊的CP-ABE 方案，同時考慮到單一授權(quán)機構(gòu)帶來的時延、系統(tǒng)穩(wěn)定性問題，采用多授權(quán)方案，有效提升了方案的實用性；

（2）考慮到數(shù)據(jù)在發(fā)布、存儲、共享過程中，面臨數(shù)據(jù)篡改、使用過程不明確等問題，使用區(qū)塊鏈技術(shù)對數(shù)據(jù)的完整性以及操作過程進行記錄；

（3）通過安全證明和理論分析證明了方案的安全性與執(zhí)行效率。

本文將在第2 節(jié)中對方案所涉及的理論知識進行簡要的概述；第3 節(jié)將對方案框架進行描述，包括方案各參與方及其功能、安全威脅等；在第4 節(jié)中將對所設(shè)計的算法進行詳細介紹；在第5 節(jié)中對方案的安全性以及效率進行分析；最后，將對本文的工作進行總結(jié)、分析，并對未來研究進行展望。

1 預(yù)備知識

本節(jié)中將對非可信環(huán)境下的云端數(shù)據(jù)加密與授權(quán)方案中使用到的基礎(chǔ)理論如格理論、基于屬性的加密方案以及區(qū)塊鏈技術(shù)等進行簡要介紹，以便后文更好地闡述系統(tǒng)模型。

1.1 格的定義

在這里定義Rn為n維歐幾里得空間，Rn中的一個格定義為 L。格 L 由一組線性無關(guān)的向量組成，假設(shè) L的基為B=(b1,b2,…,bm)∈Rn×m，因此可得：

式中：xi為n維歐幾里得空間的維度，取值范圍為整數(shù)。

關(guān)于格中相關(guān)的困難問題可以參考文獻[18]。

1.2 基于屬性的加密算法

ABE 方案最早是由Sahai 等人提出的。之后經(jīng)過學者的研究，基于屬性的加密大致分為兩種：一種是密鑰策略的屬性基加密方案（Key-Policy Attribute-Based Encryption，KP-ABE）[19]，其訪問策略包含于密鑰中，只有用戶密鑰策略滿足訪問屬性設(shè)置才可正確解密；另一種是密文策略的屬性基加密方案（CP-ABE）[20]，其訪問策略包含于密文中，只有用戶的屬性滿足授權(quán)集合才能正確解密密文。同時，隨著研究的深入，也有很多ABE 方案在不同困難問題下進行構(gòu)建，例如雙線性映射[21-23]、橢圓曲線[24-25]、格理論[26-29]等，但加解密的過程基本是相同的。由于本文采用的是CP-ABE 方案，因此這里僅簡單介紹CP-ABE的加解密過程。

CP-ABE 方案主要包括Setup、KeyGen、Encrypt、Decrypt 這4 個算法，下面將對這4 個算法進行形式化描述。

（1）Setup(1λ→σ)：由系統(tǒng)給出初始化參數(shù)1λ作為輸入，系統(tǒng)將輸出相應(yīng)的公開參數(shù)σ和主密鑰MK。

（2）KeyGen(MK,S→SK)：接下來，系統(tǒng)將主密鑰MK和用戶的屬性集S作為輸入，系統(tǒng)將輸出對應(yīng)的用戶屬性私鑰SK。

（3）Encrypt(σ,msg,A→C)：用戶將公開參數(shù)σ、要加密的消息msg和訪問控制策略A作為輸入，輸出密文C。

（4）Decrypt(SK,C→msg′)：當解密用戶欲解密密文C時，用戶將輸入自己的屬性私鑰SK、密文C，輸出結(jié)果msg′。當用戶的屬性私鑰不滿足密文C所包含的訪問控制策略時，系統(tǒng)輸出結(jié)果為⊥；當用戶的屬性私鑰滿足密文C所包含的訪問控制策略時，系統(tǒng)輸出結(jié)果msg′=msg。

1.3 區(qū)塊鏈

區(qū)塊鏈是一種共享型數(shù)據(jù)庫，能夠存儲數(shù)據(jù)或信息。由于其“誠實”和“透明”等特點使其具有良好的“信任”，常用來作仲裁中介等[30]。

如圖2 所示，一個區(qū)塊由區(qū)塊頭和區(qū)塊體構(gòu)成。區(qū)塊頭包含前一區(qū)塊的哈希值、時間戳、隨機數(shù)、區(qū)塊體的Merkle 樹根等信息。區(qū)塊體是一棵Merkle樹，葉子節(jié)點為數(shù)據(jù)（散列值），非葉子節(jié)點則存儲葉子節(jié)點哈希值。

圖2 區(qū)塊鏈結(jié)構(gòu)

由于每一個區(qū)塊都包含前一區(qū)塊的哈希值，因此所有區(qū)塊有序地構(gòu)成一個鏈式結(jié)構(gòu)，且鏈上的數(shù)據(jù)是唯一的，每個節(jié)點將存儲一份，所有備份數(shù)據(jù)與原始數(shù)據(jù)是相同的，以便在有爭議時驗證鏈上數(shù)據(jù)的真實性。

2 方案模型

2.1 非可信環(huán)境下的云端數(shù)據(jù)加密與授權(quán)模型

在非可信環(huán)境下的云端數(shù)據(jù)加密與授權(quán)模型下共有5個參與方，分別為數(shù)據(jù)所有者、云存儲服務(wù)器、數(shù)據(jù)（非）授權(quán)用戶、區(qū)塊鏈基礎(chǔ)服務(wù)設(shè)施、密鑰分發(fā)機構(gòu)。非可信環(huán)境下的云端數(shù)據(jù)加密與授權(quán)框架如圖3 所示。

圖3 非可信環(huán)境下的云端數(shù)據(jù)加密與授權(quán)框架

2.1.1 數(shù)據(jù)所有者

該部分用戶是原始數(shù)據(jù)的產(chǎn)生或擁有者，其能夠?qū)υ紨?shù)據(jù)的使用權(quán)進行控制，主要功能包括將原始數(shù)據(jù)加密后上傳至云存儲服務(wù)器，同時生成原始數(shù)據(jù)的散列值并存儲于鏈上，以便進行后續(xù)的數(shù)據(jù)校驗。

2.1.2 云存儲服務(wù)器

該參與方提供數(shù)據(jù)的存儲、轉(zhuǎn)發(fā)功能，但該參與方并非可信的，其可能對存儲于自身空間的數(shù)據(jù)進行修改、偽造等操作。

2.1.3 數(shù)據(jù)（非）授權(quán)用戶

該參與方能夠查看數(shù)據(jù)所有者存儲在云服務(wù)器中的數(shù)據(jù)，其擁有密鑰分發(fā)機構(gòu)頒布的密鑰，該密鑰中包含數(shù)據(jù)授權(quán)信息，只有符合數(shù)據(jù)授權(quán)策略的用戶才能正確解密數(shù)據(jù)。

2.1.4 區(qū)塊鏈基礎(chǔ)服務(wù)設(shè)施

該參與方用于存儲原始數(shù)據(jù)的散列值，當數(shù)據(jù)的授權(quán)用戶對加密數(shù)據(jù)解密后的值存在疑問時，可以通過與鏈上存儲的數(shù)據(jù)散列值進行對比，以確定數(shù)據(jù)的真實性。

2.1.5 密鑰分發(fā)機構(gòu)

該機構(gòu)用戶為系統(tǒng)中的用戶頒發(fā)私鑰以及系統(tǒng)公鑰，由于該機構(gòu)僅在需要進行密鑰頒發(fā)、更新時才會進行相應(yīng)工作，并非時刻工作在方案系統(tǒng)中，因此未在系統(tǒng)框架中給出。

2.2 系統(tǒng)工作流程

本文將方案共分為密鑰分發(fā)、數(shù)據(jù)加密與數(shù)據(jù)信息鏈上存儲、數(shù)據(jù)解密、數(shù)據(jù)校驗4 個階段。在方案中存在一個中央授權(quán)機構(gòu)（Central Authority，CA）、多個屬性授權(quán)機構(gòu)（Attribute Authority，AA），由中央授權(quán)機構(gòu)為每個用戶分配全局屬性標識（Global IDentifier，GID），由系統(tǒng)用戶共同維護存儲數(shù)據(jù)信息區(qū)塊鏈。方案時序如圖4 所示。

圖4 方案時序

2.2.1 階段一：密鑰生成與分發(fā)

（1）由中央授權(quán)機構(gòu)隨機選取安全參數(shù)作為輸入，輸出中央授權(quán)機構(gòu)公鑰CAmpk和全局公開參數(shù)GP。

（2）由屬性權(quán)威機構(gòu)將全局公開參數(shù)GP作為輸入，輸出全局屬性私鑰和屬性公鑰。

（3）完成上述兩步之后，將為系統(tǒng)用戶頒發(fā)用戶私鑰。由屬性權(quán)威機構(gòu)確定用戶的屬性集合，根據(jù)用戶屬性為其頒發(fā)屬性私鑰（用戶屬性真包含于全局屬性中），如果用戶擁有屬性Ai，該屬性為積極的，表示為；如果用戶未擁有屬性Ai，該屬性為消極的，表示為。最后輸出用戶私鑰。

2.2.2 階段二：數(shù)據(jù)的加密與信息鏈上存儲

（1）數(shù)據(jù)所有者首先確定授權(quán)訪問集合，并將MSG進行編碼（編碼后的消息第i位為msgi∈{0,1}），然后利用屬性公鑰加密消息msgi∈{0,1}，最后輸出密文C。

（2）同時，對消息MSG計算散列值hash(MSG)，將hash(MSG)上傳到區(qū)塊鏈中進行存儲。

2.2.3 階段三：數(shù)據(jù)解密

授權(quán)用戶將密文和自己所擁有的私鑰作為輸入，如果該用戶自身屬性密鑰不滿足數(shù)據(jù)所有者制定的授權(quán)訪問集合，系統(tǒng)將輸出⊥；如果該用戶自身屬性密鑰滿足數(shù)據(jù)所有者制定的授權(quán)訪問集合，將解密消息msgi∈{0,1}，并可以解碼消息MSG。

2.2.4 階段四：數(shù)據(jù)校驗

授權(quán)用戶在得到消息MSG′后可以計算散列值hash(MSG′)，由于MSG散列值hash(MSG) 是存儲在鏈上的，因此可以進行公開比對，如果hash(MSG′)=hash(MSG)，就可以確定消息MSG是正確被解密的。

2.3 威脅模型

本文中的威脅模型來自云存儲服務(wù)提供商，在這里假設(shè)云存儲服務(wù)提供商是惡意的，它可能會不遵守協(xié)議或者利用惡意手段對用戶的數(shù)據(jù)（結(jié)果或中間值）進行推測，以及未能有效地保存用戶的數(shù)據(jù)，進而造成用戶的數(shù)據(jù)丟失、篡改、泄露等。授權(quán)用戶也不是完全可信的，其可能利用不滿足訪問控制策略的密鑰嘗試解密密文。區(qū)塊鏈是完全可信的，用于存儲數(shù)據(jù)所有者的消息（散列值），幫助授權(quán)用戶校驗解密數(shù)據(jù)真實性與完整性。假設(shè)區(qū)塊鏈中的礦工規(guī)模足夠龐大，足以保證區(qū)塊鏈系統(tǒng)的穩(wěn)定與安全。

3 算法構(gòu)建

非可信環(huán)境下的云端數(shù)據(jù)加密與授權(quán)方案如圖4 所示。接下來將對方案進行詳細論述。

3.1 階段一：系統(tǒng)初始化與密鑰的分發(fā)

3.2 階段二：數(shù)據(jù)信息的鏈上存儲與加密

（1）Hash(MSG)：數(shù)據(jù)所有者計算欲加密數(shù)據(jù)MSG散列值H(MSG)，并上傳至鏈上進行存儲。在存儲過程中，H(MSG)并非實時寫入?yún)^(qū)塊中，因為需要達到足夠數(shù)量的交易節(jié)點才能完成區(qū)塊的構(gòu)建。首先，將全部H(MSG)進行編排，構(gòu)成Merkle樹的葉子節(jié)點，并構(gòu)建區(qū)塊體。區(qū)塊頭由前一區(qū)塊的散列值hi-1、時間值t，隨機數(shù)rnum、Merkle 樹的根節(jié)點Mroot以及版本號V構(gòu)成。

3.3 階段三：密文數(shù)據(jù)的解密

3.4 階段四：解密后密文數(shù)據(jù)完整性校驗

Check(H(MSG′))：授權(quán)用戶計算解密得到的數(shù)據(jù)MSG′散列值H(MSG′)，并與上傳至鏈上存儲的H(MSG)進行對比。如果H(MSG′)=H(MSG)，則說明數(shù)據(jù)是真實可信的；否則說明數(shù)據(jù)遭到篡改。

4 安全性分析與性能評估

4.1 安全性分析

4.1.1 數(shù)據(jù)完整性

在本方案中，數(shù)據(jù)需要通過加密后再上傳至云存儲，因此保證了密文數(shù)據(jù)不會被誠實而好奇的參與方竊取任何信息；但本文假設(shè)云服務(wù)提供商是惡意的，其可能篡改、偽造數(shù)據(jù)等，對數(shù)據(jù)的安全存儲構(gòu)成威脅，因此采用區(qū)塊鏈技術(shù)在加密數(shù)據(jù)之前將數(shù)據(jù)的信息上傳至鏈上進行存儲，以備后期進行公開驗證。

4.1.2 抗共謀攻擊

由于惡意的云服務(wù)提供商可能勾結(jié)部分礦工節(jié)點進行虛假交易，因此會對公開驗證階段構(gòu)成威脅。但區(qū)塊鏈技術(shù)提供了安全可信的執(zhí)行環(huán)境，內(nèi)部存在大量節(jié)點存儲、備份、計算區(qū)塊鏈的正確性。如果說存在某個云服務(wù)提供商能夠通過與部分節(jié)點共謀的方式修改、控制該區(qū)塊鏈，也意味其可以修改控制其他區(qū)塊鏈系統(tǒng)。

4.1.3 訪問控制管理

在方案中，數(shù)據(jù)使用基于格的屬性加密算法生成密文，同時將訪問控制策略一同寫入密文中，只有授權(quán)用戶的屬性信息滿足訪問控制策略時才可以正確解密密文。因此方案既有效地保證了數(shù)據(jù)的云存儲安全，又實現(xiàn)了大數(shù)據(jù)下的數(shù)據(jù)靈活訪問授權(quán)。

4.2 性能評估

目前，基于雙線性映射與橢圓曲線構(gòu)建的屬性基加密方案居多，因此本文將基于雙線性映射、橢圓曲線以及格上的方案都進行了分析與對比，同時在以往方案中多數(shù)假設(shè)用戶數(shù)據(jù)上傳至云端后，數(shù)據(jù)是被安全存儲的，即云存儲服務(wù)提供商是誠實且好奇的，但本文假設(shè)云存儲服務(wù)提供商是不可信的，其可能是惡意的，也可能由于部分因素將用戶存儲的數(shù)據(jù)丟失，因此，還需要驗證用戶存儲在云端的數(shù)據(jù)的完整性。方案安全性對比如表1 所示。

表1 方案安全性對比

5 結(jié)語

現(xiàn)如今數(shù)據(jù)量正在呈爆炸式增長，用戶選擇將數(shù)據(jù)存儲在云端，以減輕本地設(shè)備的存儲負擔以及便捷的數(shù)據(jù)訪問與使用，但網(wǎng)絡(luò)存在諸多安全挑戰(zhàn)。為在非可信的網(wǎng)絡(luò)環(huán)境下構(gòu)建更加安全的數(shù)據(jù)云端存儲與授權(quán)模式，本文提出了一種基于格的屬性加密方案，同時結(jié)合區(qū)塊鏈技術(shù)保證數(shù)據(jù)在非可信云存儲服務(wù)提供商環(huán)境下的數(shù)據(jù)完整存儲。該方案不僅考慮到量子計算對傳統(tǒng)數(shù)據(jù)加密所帶來的威脅，還基于區(qū)塊鏈技術(shù)構(gòu)建了數(shù)據(jù)完整性管理機制。最后，對本文提出的方案進行了安全性分析與理論性能對比，結(jié)果表明本文的方案具有更高的安全性，可以更好地適應(yīng)非可信環(huán)境下云端的數(shù)據(jù)存儲與共享。