張應(yīng)輝

(1.西安郵電大學(xué) 無線網(wǎng)絡(luò)安全技術(shù)國家工程實(shí)驗(yàn)室， 陜西 西安 710121; 2.中國科學(xué)院信息工程研究所 信息安全國家重點(diǎn)實(shí)驗(yàn)室， 北京 100093)

能保護(hù)隱私且屬性可擴(kuò)展的云數(shù)據(jù)共享

張應(yīng)輝1,2

(1.西安郵電大學(xué) 無線網(wǎng)絡(luò)安全技術(shù)國家工程實(shí)驗(yàn)室， 陜西 西安 710121; 2.中國科學(xué)院信息工程研究所 信息安全國家重點(diǎn)實(shí)驗(yàn)室， 北京 100093)

提出一種具有隱私保護(hù)且屬性可擴(kuò)展的云數(shù)據(jù)共享方案。采用混合加密體制實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性并保護(hù)用戶的屬性隱私，其中文件的加密采用標(biāo)準(zhǔn)的對稱加密算法，對稱密鑰的加密采用密文策略下基于屬性的加密算法。在匿名文件創(chuàng)建過程中，基于哈希函數(shù)對一個(gè)隨機(jī)參數(shù)和文件進(jìn)行綁定，實(shí)現(xiàn)系統(tǒng)的屬性擴(kuò)展。安全性分析表明，新方案具有語義安全性，可抵抗惡意用戶和云服務(wù)器的合謀攻擊，能在保護(hù)用戶屬性隱私的同時(shí)實(shí)現(xiàn)系統(tǒng)的屬性擴(kuò)展。

云計(jì)算；數(shù)據(jù)共享；隱私保護(hù)；屬性擴(kuò)展；基于屬性的加密

隨著云計(jì)算技術(shù)的快速發(fā)展，通過第三方云服務(wù)提供商進(jìn)行數(shù)據(jù)的共享越來越經(jīng)濟(jì)和方便。人們可以通過云平臺(tái)與親人朋友分享旅游相片，也可以與自己的主治醫(yī)生共享個(gè)人健康檔案信息。存儲(chǔ)在云平臺(tái)上的信息可能是用戶的敏感信息，因此，在云平臺(tái)被廣泛部署之前，有必要研究云數(shù)據(jù)共享中的安全問題。

基于屬性的加密(Attribute-Based Encryption，ABE)技術(shù)可用于實(shí)現(xiàn)云計(jì)算環(huán)境下的細(xì)粒度信息共享。ABE分為密鑰策略的基于屬性的加密 (Key-Policy ABE，KP-ABE)和密文策略的基于屬性的加密(Ciphertext-Policy ABE，CP-ABE)兩大類[1]。CP-ABE允許數(shù)據(jù)擁有者自己去制定訪問策略，更加適合于云計(jì)算環(huán)境。在一般群模型中設(shè)計(jì)的CP-ABE方案[2]，可以支持樹結(jié)構(gòu)的訪問策略，具有更加豐富的表達(dá)能力，但無法實(shí)現(xiàn)屬性撤銷。CP-ABE方案中的屬性撤銷機(jī)制包括間接屬性撤銷機(jī)制[3]和直接屬性撤銷機(jī)制[4-6]，它會(huì)使得密文的長度隨著屬性的個(gè)數(shù)線性增大。密文長度恒定的CP-ABE方案[7-9]解決了密文長度的線性增長問題，但僅支持單個(gè)屬性中心。多中心CP-ABE方案[10-11]能夠分散屬性中心的權(quán)力，但加解密效率不高。通過把計(jì)算任務(wù)外包給第三方服務(wù)器，外包CP-ABE方案[12]能夠緩解用戶在加解密過程中的計(jì)算負(fù)擔(dān)。由于訪問策略直接暴露在密文中，上述方案都會(huì)泄露用戶的屬性隱私，威脅用戶信息的安全[13]。匿名CP-ABE方案[14-15]通過隱藏訪問策略，可以保護(hù)用戶的屬性隱私。然而，安全高效的云數(shù)據(jù)共享方案必需同時(shí)實(shí)現(xiàn)用戶的屬性隱私保護(hù)和系統(tǒng)的屬性擴(kuò)展。

針對上述方案存在的問題，本文擬采用混合加密機(jī)制來設(shè)計(jì)具有隱私保護(hù)且屬性可擴(kuò)展的云數(shù)據(jù)共享方案，以求在保護(hù)用戶屬性隱私的同時(shí)，實(shí)現(xiàn)云數(shù)據(jù)共享系統(tǒng)的屬性擴(kuò)展。

1 雙線性映射與訪問策略

1.1 雙線性映射

選取兩個(gè)階為大素?cái)?shù)p的乘法循環(huán)群G和GT，設(shè)g是G的一個(gè)生成元，1T是GT的單位元，稱映射

為雙線性映射，如果它滿足

(2) 非退化性：存在g,h∈G，使得

1.2 訪問策略

在云數(shù)據(jù)共享系統(tǒng)中，訪問策略決定一個(gè)加密文件能夠被哪些用戶訪問。選取一種訪問策略，它屬于與門策略，支持屬性的多個(gè)取值和通配符*。假設(shè)系統(tǒng)的屬性域一共有n個(gè)屬性，給定一個(gè)屬性列表

L=[L1,L2,…,Ln]

和一個(gè)訪問策略

W=[W1,W2,…,Wn]，

如果

Li=Wi, 或 Wi=* (i=1,2,…,n),

則稱Li∈Wi，否則Li?Wi。L匹配W當(dāng)且僅當(dāng)每個(gè)Li∈Wi都成立。

2 系統(tǒng)模型與安全目標(biāo)

先給出云數(shù)據(jù)共享的系統(tǒng)模型，然后分析并給出云數(shù)據(jù)共享系統(tǒng)的安全目標(biāo)。

2.1 系統(tǒng)模型

云數(shù)據(jù)共享的系統(tǒng)模型如圖1所示。系統(tǒng)中的實(shí)體包括屬性權(quán)威中心、數(shù)據(jù)擁有者、數(shù)據(jù)使用者和云服務(wù)提供商。云服務(wù)提供商由存儲(chǔ)服務(wù)器和管理服務(wù)器組成，是誠實(shí)而好奇的實(shí)體，即它會(huì)執(zhí)行協(xié)議所分配的任務(wù)，同時(shí)會(huì)盡可能去獲取關(guān)于用戶數(shù)據(jù)的機(jī)密信息。存儲(chǔ)服務(wù)器保存著云數(shù)據(jù)共享系統(tǒng)中所有用戶的數(shù)據(jù)資源，管理服務(wù)器負(fù)責(zé)管理和維護(hù)存儲(chǔ)服務(wù)器。屬性權(quán)威中心根據(jù)數(shù)據(jù)擁有者和數(shù)據(jù)使用者的具體屬性，生成并頒發(fā)相應(yīng)的屬性私鑰。數(shù)據(jù)擁有者自己確定訪問策略，對想要共享的文件進(jìn)行匿名加密，然后把密文上傳到存儲(chǔ)服務(wù)器上。數(shù)據(jù)使用者通過云服務(wù)提供商得到文件密文后，利用自己的屬性私鑰匿名解密密文，從而得到原始文件。

圖1 系統(tǒng)模型

2.2 安全目標(biāo)

設(shè)計(jì)安全的云數(shù)據(jù)共享系統(tǒng)，應(yīng)該考慮以下3個(gè)安全目標(biāo)。

(1) 數(shù)據(jù)機(jī)密性

云存儲(chǔ)服務(wù)器上的外包數(shù)據(jù)可能涉及到數(shù)據(jù)擁有者的隱私信息，因此，安全的云數(shù)據(jù)共享系統(tǒng)必須保證：如果數(shù)據(jù)使用者的屬性不匹配訪問策略，他就無法解密密文。此外，即使是云服務(wù)提供商本身，如果沒有獲得屬性授權(quán)，也無法獲取明文。

(2) 抗合謀攻擊

惡意的用戶和云服務(wù)提供商都無法單獨(dú)解密密文，但是他們可能會(huì)合謀以獲取隱私信息，進(jìn)行非授權(quán)的訪問。安全的云數(shù)據(jù)共享系統(tǒng)必須能夠抵抗這種合謀攻擊。

(3) 屬性隱私保護(hù)

在云計(jì)算環(huán)境中，基于屬性的訪問策略必然包含數(shù)據(jù)擁有者的屬性信息。為了保護(hù)用戶的屬性隱私，云數(shù)據(jù)共享系統(tǒng)必須在文件密文中隱藏訪問策略的信息。

3 云數(shù)據(jù)共享方案

采用混合加密體制實(shí)現(xiàn)具有隱私保護(hù)且屬性可擴(kuò)展的云數(shù)據(jù)共享方案，公鑰加密采用文獻(xiàn)[14]中的ABE機(jī)制，對稱加密可以采用任何經(jīng)典的加密算法。

3.1 系統(tǒng)初始化

在系統(tǒng)初始化階段，屬性權(quán)威中心選取安全參數(shù)λ，運(yùn)行系統(tǒng)建立算法Setup，生成系統(tǒng)公開參數(shù)Kp并公開，生成主私鑰Km秘密保存。

所謂Setup(1λ)是指，屬性權(quán)威中心隨機(jī)選取參數(shù)y,β∈Rp，設(shè)g∈RG是群G的一個(gè)生成元，對i∈{1,2,…,n}，隨機(jī)選取{ai,j∈Rp}1≤j≤ni。然后計(jì)算和B=gβ。最終得到系統(tǒng)公開參數(shù)和主私鑰

Kp={g,Y,B,{{Ai,j}1≤i≤n}1≤j≤ni},
Km={y,β,{{ai,j}1≤i≤n}1≤j≤ni} 。

3.2 新用戶注冊

所謂KeyGen(Km,L)是指，屬性權(quán)威中心選取參數(shù)s∈Rp，計(jì)算

D0=g(y+s)/β。

對i∈{1,2,…,n}，設(shè)

Li=vi,ki，

隨機(jī)選取λi∈Rp，令

Di,1=gs+ai,kiλi， Di,2=gλi，

從而得到屬性私鑰

3.3 匿名文件創(chuàng)建

由于云服務(wù)提供商是不可信的，因此數(shù)據(jù)擁有者在共享文件之前必須進(jìn)行加密。為了不泄露自己的屬性隱私，數(shù)據(jù)擁有者必須在密文中隱藏訪問策略的信息。數(shù)據(jù)擁有者首先確定一個(gè)標(biāo)準(zhǔn)的對稱加密算法

SE={KSE,MSE,ESE,DSE}。

其中KSE,MSE,ESE和DSE分別代表密鑰空間集、消息空間集、對稱加密算法和對稱解密算法。然后，選取兩個(gè)哈希函數(shù)

H1:GT×MSE→p,
H2:GT→KSE。

最后，數(shù)據(jù)擁有者根據(jù)加密算法AnonExtenEnc對文件進(jìn)行匿名加密，把密文上傳給云存儲(chǔ)服務(wù)器。

所謂AnonExtenEnc(Kp,F,W)是指，當(dāng)數(shù)據(jù)擁有者想要加密文件F∈MSE時(shí)，隨機(jī)選取一個(gè)參數(shù)M∈GT，計(jì)算

r=H1(M‖F(xiàn)),K=H2(M),

并令

CF=ESE(F,K)。

針對文件F，數(shù)據(jù)擁有者自己定義一個(gè)訪問策略

W=[W1,W2,…,Wn]。

然后計(jì)算

對于每個(gè)i∈{1,2,…,n}，隨機(jī)選取參數(shù)ri∈Rp,使得

計(jì)算

Ci,1=gri。

若vi,ki∈Wi，計(jì)算

否則vi,ki?Wi，數(shù)據(jù)擁有者隨機(jī)選取Ci,ki,2的值。令

最終的文件密文是

CW={CF,CM}。

數(shù)據(jù)擁有者把CW外包給云服務(wù)提供商實(shí)現(xiàn)數(shù)據(jù)共享。

當(dāng)系統(tǒng)的屬性域擴(kuò)展后，數(shù)據(jù)擁有者只需在制定訪問策略時(shí)嵌入新增加的屬性即可，具體的加密過程不變。

3.4 匿名文件訪問

假設(shè)一個(gè)數(shù)據(jù)使用者擁有屬性列表L，從云存儲(chǔ)服務(wù)器上下載文件密文CW后，該數(shù)據(jù)使用者可以根據(jù)解密算法AnonExtenDec恢復(fù)原始的明文數(shù)據(jù)。

然后再計(jì)算

K*=H2(M*),
F*=DSE(CF,K*),
r*=H1(M*‖F(xiàn)*)。

如果C0=Br*，則返回文件明文F=F*；否則返回錯(cuò)誤符號(hào)⊥。

根據(jù)匿名文件的創(chuàng)建過程可知，當(dāng)系統(tǒng)的屬性域擴(kuò)展后，數(shù)據(jù)使用者必須在解密之前，根據(jù)新的屬性信息向?qū)傩詸?quán)威中心申請新的屬性私鑰，否則將無法解密。

4 方案的安全性

如果云數(shù)據(jù)共享系統(tǒng)中所采用的對稱加密方案是語義安全的[16]，則新方案是語義安全的，可以獲得機(jī)密性、抗合謀攻擊，并且可以保護(hù)用戶的屬性隱私。同時(shí)，新方案可以支持系統(tǒng)的屬性擴(kuò)展。事實(shí)上，攻擊者是多個(gè)惡意用戶的合謀者，這些用戶包括惡意數(shù)據(jù)使用者以及云服務(wù)提供商。合謀的每一個(gè)用戶都無法單獨(dú)完成加密文件的解密，他們試圖聯(lián)合各自的屬性私鑰來解密更多的密文。根據(jù)數(shù)據(jù)共享系統(tǒng)的設(shè)計(jì)，為了從加密文件

CW={CF,CM}

中獲取文件F的信息，攻擊者需要解密CM得到M，再計(jì)算

K=H2(M)

得到對稱密鑰K，最后對CF進(jìn)行對稱解密得到

F=DSE(CF,K)。

然而，M的機(jī)密性由基于屬性的加密體制保障，所以數(shù)據(jù)F的機(jī)密性由混合加密體制的安全性保證。根據(jù)文獻(xiàn)[14,16]的結(jié)論可知，如果云數(shù)據(jù)共享系統(tǒng)中采用的對稱加密算法具有語義安全性，則所提出的數(shù)據(jù)共享方案是語義安全的，可以獲得機(jī)密性、抗合謀攻擊，并且可以保護(hù)用戶的屬性隱私。

另一方面，在AnonExtenEnc算法中，對于每個(gè)密文分量，都有一個(gè)隨機(jī)指數(shù)ri與其綁定，所有這些隨機(jī)指數(shù)的和

又與對稱加密密鑰關(guān)聯(lián)，即

進(jìn)而通過

CF=ESE(F,K)

與明文綁定。當(dāng)系統(tǒng)的屬性擴(kuò)展后，如果數(shù)據(jù)擁有者在訪問策略中嵌入了新的屬性，解密者必須申請新的屬性私鑰才能夠利用所有的密文分量消去隨機(jī)指數(shù)r，進(jìn)而恢復(fù)原始文件。因此，新的云數(shù)據(jù)共享方案允許系統(tǒng)的屬性擴(kuò)展。

5 結(jié)語

針對云計(jì)算環(huán)境下的用戶隱私泄露和屬性擴(kuò)展問題，首先提出了具有隱私保護(hù)的云數(shù)據(jù)共享的系統(tǒng)模型，然后在分析敵手能力的基礎(chǔ)上，基于混合加密機(jī)制設(shè)計(jì)了一個(gè)云數(shù)據(jù)共享方案。在云計(jì)算環(huán)境下，該方案首次同時(shí)實(shí)現(xiàn)了用戶的屬性隱私保護(hù)和系統(tǒng)的屬性擴(kuò)展。安全性分析表明，在惡意用戶與云服務(wù)器的合謀攻擊下，新方案可以保障數(shù)據(jù)的機(jī)密性和用戶的屬性隱私，并支持系統(tǒng)的屬性擴(kuò)展。

[1] Goyal V, Pandey O, Sahai A, et al. Attribute-based Encryption for Fine-grained Access Control of Encrypted Data[C]//Shmatikov V. Proceedings of the 2006 ACM Conference on Computer and Communications Security-CCS’06. New York: ACM, 2006: 89-98.

[2] Bethencourt J, Sahai A, Waters B. Ciphertext-policy Attribute-based Encryption[C]//Proceedings of the 2007 IEEE Symposium on Security and Privacy-SP’07. Piscataway: IEEE, 2007: 321-334.

[3] Yu Shucheng, Wang Cong, Ren Kui, et al. Attribute Based Data Sharing with Attribute Revocation[C]//Feng Dengguo, Basin D. Proceedings of the 2010 ACM Symposium on Information, Computer and Communication Security-ASIACCS’10. New York: ACM, 2010: 261-270.

[4] Zhang Yinghui, Chen Xiaofeng, Li Jin, et al. FDR-ABE: Attribute-based Encryption with Flexible and Direct Revocation[C]//Fatos X. Proceedings of the 2013 International Conference on Intelligent Networking and Collaborative Systems-INCoS’13. Piscataway: IEEE, 2013: 38-45.

[5] Zhang Yinghui, Chen Xiaofeng, Li Jin, et al. Attribute-based Data Sharing with Flexible and Direct Revocation in Cloud Computing[J]. KSII Transactions on Internet & Information Systems, 2014, 8(11): 4028-4049.

[6] 王鵬翩, 馮登國, 張立武. 一種支持完全細(xì)粒度屬性撤銷的CP-ABE方案[J]. 軟件學(xué)報(bào), 2012, 23(10): 2805-2816.

[7] Ge Aijun, Zhang Rui, Chen Chen, et al. Threshold Ciphertext Policy Attribute-based Encryption with Constant Size Ciphertexts[C]//Susilo W, Mu Yi, Seberry J. Proceedings of the 2012 Australasian Conference Information Security and Privacy-ACISP’12. Berlin: Springer, 2012: 336-349.

[8] 張應(yīng)輝, 鄭東, 李進(jìn), 等. 密文長度恒定且屬性直接可撤銷的基于屬性的加密[J]. 密碼學(xué)報(bào), 2014, 1(5): 465-480.

[9] Zhang Yinghui, Zheng Dong, Chen Xiaofeng, et al. Computationally Efficient Ciphertext-policy Attribute-based Encryption with Constant-size Ciphertexts[C]//Chow S. Proceedings of the 2014 International Conference on Provable Security-ProvSec’14, Berlin: Springer, 2014: 259-273.

[10] Lewko A, Waters B. Decentralizing Attribute-based Encryption[C]//Paterson G. Advances in Cryptology-EUROCRYPT’11. Berlin: Springer, 2011: 568-588.

[11] Liu Zhen, Cao Zhenfu, Huang Qiong, et al. Fully Secure Multi-authority Ciphertext-policy Attribute-based Encryption without Random[C]//Atluri V, Diaz C. Proceedings of the 2011 European Symposium on Research in Computer Security-ESORICS’11. Berlin: Springer, 2011: 278-297.

[12] Li Jin, Chen Xiaofeng, Li Jingwei, et al. Fine-grained Access Control System Based on Outsourced Attribute-based Encryption[C]//Crampton J, Jajodia S. Proceedings of the 2013 European Symposium on Research in Computer Security-ESORICS’13. Berlin: Springer, 2013: 592-609.

[13] 鄭東, 趙慶蘭, 張應(yīng)輝. 密碼學(xué)綜述[J]. 西安郵電大學(xué)學(xué)報(bào), 2013, 18(6): 1-10.

[14] Nishide T, Yoneyama K, Ohta K. Attribute-based Encryption with Partially Hidden Encryptor-specified Access Structures[C]//Bellovin M, Gennaro R. Proceedings of the 2008 International Conference on Applied Cryptography and Network Security-ACNS’08, Berlin: Springer, 2008: 111-129.

[15] Zhang Yinghui, Chen Xiaofeng, Li Jin, et al. Anonymous Attribute-based Encryption Supporting Efficient Decryption Test[C]//Chen Kefei, Xie Qi. Proceedings of the 2013 ACM SIGSAC Symposium on Information, Computer and Communications Security-ASIACCS’13. New York: ACM, 2013: 511-516.

[16] Fujisaki E, Okamoto T. Secure Integration of Symmetric and Symmetric Encryption Schemes[C]//Wiener M. Advances in Cryptology-CRYPTO’99. Berlin: Springer, 1999: 537-554.

[責(zé)任編輯:瑞金]

Cloud-based data sharing scheme with preserved privacy and supported attribute extension

ZHANG Yinghui1,2

(1. National Engineering Laboratory for Wireless Security, Xi’an University of Posts and Telecommunications, Xi’an 710121, China;2. State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China)

A cloud-based data sharing scheme with preserved privacy and supported attribute extension is proposed. In the proposed scheme, a hybrid encryption mechanism is adopted to realize data confidentiality and users’ attribute privacy protection, where files are encrypted based on a standard symmetric encryption algorithm and symmetric keys are encrypted by a ciphertext-policy attribute-based encryption algorithm. In the phase of anonymous file creation, system attribute extension is achieved by binding a random parameter with a file based on hash functions. A security analysis indicates that the proposed has semantic security and is secure against collusion attacks from malicious users and cloud servers. In addition, it can simultaneously protect users’ attribute privacy and support system attribute extension.

cloud computing, data sharing, privacy protection, attribute extension, attribute-based encryption

2015-03-25

國家自然科學(xué)基金資助項(xiàng)目(61402366，61272037)；國家科技重大專項(xiàng)課題(2013ZX03002004)；陜西省自然科學(xué)基礎(chǔ)研究計(jì)劃資助項(xiàng)目(2013JZ020，2015JQ6236);陜西省教育廳科學(xué)研究計(jì)劃資助項(xiàng)目(15JK1686)

張應(yīng)輝(1985-)，男，博士，講師，從事公鑰密碼學(xué)和云存儲(chǔ)安全研究。E-mail: yhzhaang@163.com

10.13682/j.issn.2095-6533.2015.06.016

TP309.2

A

2095-6533(2015)06-0074-05