李謝華，張蒙蒙，劉 鴻，王勇軍

（1．湖南大學(xué) 信息科學(xué)與工程學(xué)院，湖南 長(zhǎng)沙 410082；2．國防科學(xué)技術(shù)大學(xué) 計(jì)算機(jī)學(xué)院，湖南 長(zhǎng)沙 410073）

隨著云存儲(chǔ)業(yè)務(wù)的快速普及，數(shù)據(jù)在云端的安全性問題已經(jīng)成為阻礙其業(yè)務(wù)進(jìn)一步發(fā)展的瓶頸，為此加密技術(shù)被廣泛應(yīng)用于云數(shù)據(jù)存儲(chǔ)服務(wù)中．然而，在采用傳統(tǒng)加密方法的云存儲(chǔ)系統(tǒng)中，數(shù)據(jù)屬主（DO）需要針對(duì)每個(gè)用戶的數(shù)據(jù)進(jìn)行加密，不僅加密操作運(yùn)算量較大，而且難于實(shí)現(xiàn)數(shù)據(jù)的共享，不適用于云存儲(chǔ)中海量數(shù)據(jù)加密和用戶間數(shù)據(jù)的安全共享．為此，基于屬性加密（ABE）的方法被認(rèn)為是解決云存儲(chǔ)中數(shù)據(jù)安全和共享的有效加密機(jī)制［1］．

ABE方法是由Shamir［2］在身份基密碼學(xué)的基礎(chǔ)上提出的一種通過用戶屬性控制數(shù)據(jù)加解密的方法，用戶的身份由一系列的屬性定義，訪問控制策略將密文的解密私鑰和用戶的屬性集合相關(guān)聯(lián)．解密時(shí)，當(dāng)且僅當(dāng)用戶的屬性集合與密文的訪問控制結(jié)構(gòu)之間的交集達(dá)到系統(tǒng)設(shè)定的門限值時(shí)才能解密．ABE 方 法 分 為 Ciphertext－Policy ABE （CPABE）［3－4］和Key－Policy ABE（KP－ABE）［5］．在CPABE中，密鑰與屬性集相關(guān)，密文與訪問結(jié)構(gòu)樹相關(guān)，若屬性集滿足該訪問結(jié)構(gòu)樹，則用戶可以解密．在KP－ABE 中，密鑰與訪問結(jié)構(gòu)樹相關(guān)，密文與屬性集相關(guān)．針對(duì)云存儲(chǔ)中密文更新頻繁，用戶數(shù)量大的特點(diǎn)，CP－ABE方案更適合于云存儲(chǔ)中的數(shù)據(jù)訪問控制．因此，現(xiàn)有的許多密文訪問控制方法都以CP－ABE為基礎(chǔ)，如文獻(xiàn)［6］提出的數(shù)據(jù)外包系統(tǒng)中通過結(jié)合屬性加密和組密鑰分配實(shí)現(xiàn)密文的訪問控制和用戶權(quán)限撤銷，文獻(xiàn)［7］提出的將密鑰分割和代理重加密相結(jié)合實(shí)現(xiàn)云存儲(chǔ)中的密文訪問控制和權(quán)限撤銷．

以上這些方案均僅適用于單授權(quán)機(jī)構(gòu)環(huán)境下的密文訪問控制，即用戶屬性和密鑰的分發(fā)機(jī)構(gòu)均為同一機(jī)構(gòu)，然而，在云存儲(chǔ)快速發(fā)展的背景下，往往存在多個(gè)云服務(wù)提供商（即授權(quán)機(jī)構(gòu)）并存的情況．因此，如何實(shí)現(xiàn)在多授權(quán)機(jī)構(gòu)環(huán)境下數(shù)據(jù)的安全跨域共享和訪問控制成為當(dāng)前云數(shù)據(jù)安全領(lǐng)域亟待解決的關(guān)鍵問題．

目前，對(duì)于多授權(quán)機(jī)構(gòu)環(huán)境下的密文訪問控制研究主要有Chase［8］提出的多授權(quán)機(jī)構(gòu)ABE 方案，通過CA 將GID 和各屬性授權(quán)機(jī)構(gòu)（Attribute Authority，AA）生成的私鑰結(jié)合在一起．然而，由于CA 擁有系統(tǒng)的主密鑰和用戶私鑰，其一旦被攻破，將造成數(shù)據(jù)的泄露．為解決CA 造成的安全隱患，Lin等人［9］采用無CA 的密鑰分發(fā)和聯(lián)合的零秘密共享技術(shù)，但此技術(shù)最多只能防止m個(gè)用戶的聯(lián)合攻擊，一旦串謀用戶的數(shù)目達(dá)到m＋1，加密就會(huì)不安全．Lewko等人［10］提出了一種新的基于多授權(quán)機(jī)構(gòu)的CP－ABE 方案，此方案僅在初始化階段采用CA，由CA 為授權(quán)機(jī)構(gòu)分發(fā)公共參數(shù)并根據(jù)用戶的請(qǐng)求驗(yàn)證AA，此后CA 將不再參與任何運(yùn)算．Sushmita等人［11］提出了一種云端數(shù)據(jù)的隱私保護(hù)訪問控制方案，在不需要知道用戶身份的情況下云端可以認(rèn)證用戶的合法性．此外，本方案還能抵抗重放攻擊以及支持云端數(shù)據(jù)的更改．Yang等人［12］提出了DAC－MACS算法，CA 負(fù)責(zé)全局公鑰與私鑰的生成，并為用戶和所有的AA 分發(fā)唯一身份標(biāo)識(shí)，AA負(fù)責(zé)屬性的分發(fā)以及屬性私鑰的生成．Muller等人［13］提出了采用析取范式（DNF）訪問結(jié)構(gòu)的多授權(quán)的ABE 方案，CA 負(fù)責(zé)生成用戶的公鑰與私鑰，AA 負(fù)責(zé)屬性以及屬性私鑰的分發(fā)，用戶的屬性由授權(quán)機(jī)構(gòu)的身份標(biāo)識(shí)和描述屬性的標(biāo)識(shí)組成，每個(gè)授權(quán)機(jī)構(gòu)能夠獨(dú)立生成以及管理屬性．但是訪問結(jié)構(gòu)中僅支持或門和與門結(jié)構(gòu)，并且CA 必須完全可信．Li等人［14］提出了一種基于KP－ABE 的多授權(quán)機(jī)構(gòu)的ABE方案，但在云存儲(chǔ)環(huán)境下的訪問控制效率較低．Yang等人［15－16］提出了一種基于屬性的多授權(quán)機(jī)構(gòu)訪問控制方案，方案中都需要引用認(rèn)證機(jī)構(gòu)CA，CA 負(fù)責(zé)認(rèn)證所有的授權(quán)機(jī)構(gòu)和用戶，并為他們分發(fā)各自的身份標(biāo)識(shí)．當(dāng)需要進(jìn)行屬性撤銷時(shí)，AA 只需更新版本號(hào)以及公鑰，并將更新的公鑰發(fā)送給DO 和用戶．DO 將更新的信息以及秘鑰發(fā)送給服務(wù)器，服務(wù)器負(fù)責(zé)數(shù)據(jù)的代理重加密．此外，Li等人［17］提出了一種完全安全的分布式KP－ABE 方案，方案不需要采用CA，AA 之間不需進(jìn)行協(xié)商，用戶私鑰與GID 相關(guān)聯(lián)，本方案最多能容忍F－1個(gè)AA 被破壞，但不適用于云存儲(chǔ)環(huán)境的訪問控制．為了解決用戶身份保護(hù)問題，Taeho 等人［18］提出了一種匿名優(yōu)勢(shì)控制方案，實(shí)現(xiàn)云端數(shù)據(jù)的匿名訪問控制以及用戶的身份保護(hù)，訪問結(jié)構(gòu)采用優(yōu)勢(shì)樹，但是每個(gè)數(shù)據(jù)文件需要多個(gè)訪問結(jié)構(gòu)樹驗(yàn)證用戶的身份并賦予用戶相應(yīng)的訪問優(yōu)勢(shì)，與現(xiàn)有的方案相比，訪問結(jié)構(gòu)變的更加復(fù)雜．以上這些方法在CA 安全性、用戶信息保護(hù)等方面仍存在一些問題：1）CA 作為參與屬性私鑰生成的關(guān)鍵機(jī)構(gòu)，對(duì)其安全性要求較高，一旦CA 被攻破，整個(gè)系統(tǒng)的安全性將很難保證．2）用戶屬性私鑰的生成與其全局唯一標(biāo)示符（GID）密切相關(guān)，因此無法支持用戶的匿名通信和身份信息保護(hù)．3）雖然考慮了用戶間的聯(lián)合攻擊，但是對(duì)于授權(quán)機(jī)構(gòu)間的聯(lián)合攻擊缺乏必要的防護(hù)手段．4）現(xiàn)有的方法都無法在CP－ABE 庫上直接實(shí)現(xiàn)，加大了系統(tǒng)開發(fā)難度．

為解決以上問題，本文提出了一種基于訪問結(jié)構(gòu)樹的多授權(quán)機(jī)構(gòu)ABE 的跨域數(shù)據(jù)訪問控制方法（Access－Tree Based Multi－Authority ABE，ATBMA－ABE），實(shí)現(xiàn)了：1）CA 僅用于為用戶驗(yàn)證授權(quán)機(jī)構(gòu)的合法性，不參與屬性私鑰的管理和運(yùn)算，降低了由于使用CA 造成的安全風(fēng)險(xiǎn)．2）數(shù)據(jù)訪問和私鑰生成中無需使用GID，保護(hù)了用戶的身份信息，能夠支持用戶的匿名通信．3）DO 和授權(quán)機(jī)構(gòu)（AA）分別產(chǎn)生屬性私鑰組件，從而避免了授權(quán)機(jī)構(gòu)間的聯(lián)合攻擊．此外，DO 還通過將隨機(jī)數(shù)嵌入到私鑰中，避免了用戶間的聯(lián)合攻擊．

1 系統(tǒng)模型與安全模型

表1中列出了文中的符號(hào)變量及其所代表的含義．

表1 符號(hào)及其意義Tab．1 Symbol and meaning

1．1 系統(tǒng)模型和框架

基于多授權(quán)機(jī)構(gòu)ABE的跨域數(shù)據(jù)訪問控制方案系統(tǒng)模型如圖1所示．系統(tǒng)模型由以下5部分組成．

圖1 系統(tǒng)模型Fig．1 System model

1）DO．DO 為數(shù)據(jù)屬主，負(fù)責(zé)根據(jù)安全策略定義訪問結(jié)構(gòu)樹，并用訪問結(jié)構(gòu)樹對(duì)數(shù)據(jù)進(jìn)行加密，然后將密文傳遞給云端服務(wù)器．此外，DO 將生成部分私鑰組件，并通過安全信道發(fā)送給用戶．

2）共享用戶．任何用戶均可以自由獲取服務(wù)器上的密文文件，但當(dāng)且僅當(dāng)用戶擁有的屬性滿足密文訪問結(jié)構(gòu)樹時(shí)才能夠解密密文．用戶的屬性由多個(gè)授權(quán)機(jī)構(gòu)根據(jù)用戶權(quán)限進(jìn)行分發(fā)，從而實(shí)現(xiàn)密文的跨域訪問．為防止用戶間的聯(lián)合攻擊，DO 還需將隨機(jī)數(shù)嵌入到屬性私鑰中．

3）AA．每個(gè)AA 負(fù)責(zé)向授權(quán)用戶和數(shù)據(jù)屬主分發(fā)屬性以及生成部分屬性私鑰組件．為了防止服務(wù)器之間的聯(lián)合攻擊，DO 也將計(jì)算生成部分屬性私鑰并直接通過安全信道發(fā)送給用戶．

4）CA．CA是一個(gè)可信的中央認(rèn)證機(jī)構(gòu)，首先CA生成一系列的公共參數(shù)，所有想成為屬性授權(quán)機(jī)構(gòu)的實(shí)體都會(huì)生成一個(gè)與公共參數(shù)相關(guān)聯(lián)的認(rèn)證密鑰（VK）．AA 利用VK 對(duì)分發(fā)給用戶的屬性進(jìn)行簽名（Sig（j）），并將Sig（j）分發(fā)給用戶，用戶將所有AA的簽名（Sig）和VK 一并發(fā)送給CA，由CA 驗(yàn)證授權(quán)機(jī)構(gòu)的合法性，其中Sig＝Sig（1）‖Sig（2）‖…‖Sig（j），‖符號(hào)表示數(shù)據(jù)的級(jí)聯(lián)．本文的VK 與公共參數(shù)的生成采用文獻(xiàn)［10］的方法．

5）云服務(wù)器．本文中的云服務(wù)器為不可信的存儲(chǔ)介質(zhì)，主要用于存儲(chǔ)用戶數(shù)據(jù)，因此服務(wù)器中的數(shù)據(jù)均為密文形式，并且云服務(wù)器不知道任何一個(gè)屬性私鑰組件．

1．2 安全模型

這里通過一個(gè)挑戰(zhàn)者與攻擊者之間的游戲來定義安全模型，游戲分為以下幾個(gè)階段：

1）初始化．攻擊者選取一個(gè)挑戰(zhàn)訪問結(jié)構(gòu)T，并將其交給挑戰(zhàn)者．

2）建立階段．挑戰(zhàn)者運(yùn)行Setup算法，產(chǎn)生公鑰PK，并將其交給攻擊者．

3）查詢階段1．攻擊者多次向挑戰(zhàn)者提交屬性集S1…Sq進(jìn)行私鑰查詢，但是這些屬性并不滿足上述訪問結(jié)構(gòu)樹，挑戰(zhàn)者運(yùn)行屬性密鑰生成算法，生成對(duì)應(yīng)于屬性集的屬性私鑰，并將其交給攻擊者．

4）挑戰(zhàn)階段．攻擊者提交兩個(gè)等長(zhǎng)的明文M0和M1，挑戰(zhàn)者隨機(jī)拋一枚硬幣得b∈ ｛0 ，1｝ ，并用訪問結(jié)構(gòu)T加密消息Mb，生成密文后將其送給攻擊者．

5）查詢階段2．與查詢階段1一致．

6）輸出階段．攻擊者輸出一個(gè)對(duì)b的猜測(cè)b′，如果b′＝b，則稱其贏得了游戲．上述游戲中攻擊者稱為選擇明文攻擊，攻擊者在這次游戲中的優(yōu)勢(shì)為Pr ［b＇＝b］ －1／2．

定義1 本方案使用選擇性明文安全假設(shè)，即在任意多項(xiàng)式時(shí)間內(nèi)，如果攻擊者在安全游戲中的優(yōu)勢(shì)是可忽略的，則方案是安全的．

2 基于ATB－MAABE的數(shù)據(jù)訪問控制

2．1 訪問結(jié)構(gòu)樹定義

本文采用樹形訪問控制結(jié)構(gòu)，由DO 定義訪問結(jié)構(gòu)樹，并以此進(jìn)行數(shù)據(jù)加密．設(shè)Γ是一棵代表訪問控制結(jié)構(gòu)（即安全策略）的樹，樹的每一個(gè)非葉子節(jié)點(diǎn)代表一個(gè)由其子節(jié)點(diǎn)和邏輯運(yùn)算符組成的門限關(guān)系函數(shù)，numx表示節(jié)點(diǎn)x的孩子節(jié)點(diǎn)數(shù)目，kx表示門限．其中0≤kx≤numx，樹的每個(gè)葉子節(jié)點(diǎn)x代表屬性并且其kx＝1，p（x）代表節(jié)點(diǎn)x的父節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)的孩子的編號(hào)從1到num，父節(jié)點(diǎn)的值kx取決于其子節(jié)點(diǎn)的數(shù)量，當(dāng)kx＝1時(shí)，閾值門表示或門；當(dāng)kx＝numx時(shí)，閾值門表示與門，即所有葉節(jié)點(diǎn)的和．函數(shù)index（x）返回一個(gè)與節(jié)點(diǎn)x相關(guān)的數(shù)字，并且每個(gè)節(jié)點(diǎn)的索引值是唯一的．

當(dāng)且僅當(dāng)用戶屬性滿足訪問結(jié)構(gòu)樹定義時(shí)，才能夠解密相關(guān)的數(shù)據(jù)．滿足訪問結(jié)構(gòu)樹的條件為：Γ是根節(jié)點(diǎn)t的訪問結(jié)構(gòu)樹，Γx是訪問策略Γ中節(jié)點(diǎn)x的子樹．如果屬性集r滿足訪問結(jié)構(gòu)樹Γx，則Γx（r）＝1．可以定義遞歸運(yùn)算如下：如果x是非葉子節(jié)點(diǎn)，則計(jì)算節(jié)點(diǎn)x的所有孩子x′的?！鋢（r），如果至少有kx個(gè)孩子節(jié)點(diǎn)Γx＇（r）返回1，則Γx（r）＝1．如果x是葉子節(jié)點(diǎn)，則Γx（r）＝1．本方案所構(gòu)造的訪問結(jié)構(gòu)樹有以下幾個(gè)特征：

1）訪問結(jié)構(gòu)樹是一棵n叉樹，根節(jié)點(diǎn)必須是and節(jié)點(diǎn)．

2）根節(jié)點(diǎn)下的每棵子樹代表每個(gè)對(duì)消息進(jìn)行加密的授權(quán)機(jī)構(gòu)的訪問結(jié)構(gòu)樹，而且根節(jié)點(diǎn)的孩子節(jié)點(diǎn)同樣必須是and節(jié)點(diǎn)．

3）葉子節(jié)點(diǎn)代表各個(gè)授權(quán)機(jī)構(gòu)所分配的屬性，每個(gè)屬性的第一個(gè)字節(jié)用于標(biāo)識(shí)分配該屬性的授權(quán)機(jī)構(gòu)．

2．2 用戶的屬性獲取

系統(tǒng)初始化階段由CA 生成一系列公共參數(shù)，所有想成為屬性授權(quán)機(jī)構(gòu)的實(shí)體就會(huì)生成一個(gè)與公共參數(shù)相關(guān)聯(lián)的VK．用戶從不同的授權(quán)機(jī)構(gòu)中獲取屬性私鑰．假設(shè)授權(quán)機(jī)構(gòu)生成的屬性如圖2所示，用戶可以從擁有VK1的授權(quán)機(jī)構(gòu)A 中獲取屬性A．teacher以及擁有VK2的屬性授權(quán)機(jī)構(gòu)B 中獲取屬性B．manager．用戶獲取屬性私鑰的過程如下：

首先用戶分別從兩個(gè)授權(quán)機(jī)構(gòu)獲取關(guān)于屬性A．teacher的Sig（1）以及屬性B．manager 的Sig（2），其中Sig（1）利用VK1生成，Sig（2）利用VK2生成．然后用戶將獲得的簽名以及VK1和VK2提交給CA，CA 利用生成VK1和VK2的公共參數(shù)進(jìn)行認(rèn)證，從而驗(yàn)證授權(quán)機(jī)構(gòu)的合法性．在CA 為用戶驗(yàn)證AA 合法性之后便不再參與任何操作，并且不負(fù)責(zé)生成用戶屬性和任何私鑰組件，因此系統(tǒng)的安全性與CA 關(guān)聯(lián)性不大，避免了由于使用CA 所引入的安全隱患．最后合法的授權(quán)機(jī)構(gòu)向用戶分發(fā)屬性以及屬性私鑰．

圖2 訪問結(jié)構(gòu)樹Fig．2 Access tree

2．3 加密方案

令乘法群G階數(shù)為p，g是G的生成元，構(gòu)造雙線性映射為e：G×G→GT，安全參數(shù)κ代表線性群的大小．對(duì)于任意的i∈Zp，定義拉格朗日系數(shù)Δi，S，對(duì)于Zp中的元素集，本文的數(shù)據(jù)安全訪問控制方案如下：

Setup：選擇階為素?cái)?shù)p的乘法群G，g是G的生成元，構(gòu)造雙線性映射為e：G×G→GT，隨機(jī)選取α，η∈Zp，生成公鑰為：

Encrypt（PK，M，Γ）：DO 利用系統(tǒng)的公鑰和訪問結(jié)構(gòu)樹對(duì)消息M進(jìn)行加密．隨機(jī)選取s，η∈Zp，使得訪問結(jié)構(gòu)樹根節(jié)點(diǎn)的值為qr（0）＝s．令Y為樹Γ葉子節(jié)點(diǎn)的集合．密文構(gòu)建如下：

KeyGen（MSK，S）：私鑰的生成由DO 和AA共同完成．

1）DO 隨機(jī)選取λ∈Zp，生成私鑰組件如下：D＝g（α－λ）／η，并將D和參數(shù)λ通過安全信道發(fā)送給用戶．由于每個(gè)用戶私鑰中的λ值不同，因此可以防止用戶之間的聯(lián)合攻擊．

2）每個(gè)AA 隨機(jī)選取ri∈Zp，對(duì)于任意的屬性k∈Sj，生成相應(yīng)的屬性私鑰組件：

SKj＝（?k∈Sj，Vi＝g·gtiri，Li＝gri），其中j＝1，…，n，Sj代表第j個(gè)AA 分發(fā)給用戶的屬性集合．令每個(gè)AA 將SKj通過安全信道發(fā)送給用戶．

Decrypt（CT，SK）：當(dāng)且僅當(dāng)用戶的屬性滿足訪問結(jié)構(gòu)樹時(shí)，用戶才能夠解密密文．解密算法輸入包含訪問結(jié)構(gòu)樹的密文以及私鑰SK，其中SK ＝（D‖SK1‖SK2‖…‖SKn），通過遞歸算法生成解密所需的參數(shù)．令i＝attr（y），attr（y）代表葉子節(jié)點(diǎn)y相對(duì)應(yīng)的屬性值．如果x是葉子節(jié)點(diǎn)且x∈S，則

如果x不是葉子節(jié)點(diǎn)，對(duì)于節(jié)點(diǎn)x的所有孩子z，我們將解密輸出的結(jié)果記為Fz，令Sx為任意的大小為kx的子節(jié)點(diǎn)z的集合．如果這樣的集合不存在，則節(jié)點(diǎn)不滿足解密，函數(shù)將返回null．計(jì)算：

算法調(diào)用生成訪問結(jié)構(gòu)樹的拉格朗日插值函數(shù)，如果屬性集合S滿足訪問結(jié)構(gòu)樹Γ，則A＝e（g，g）qR（0）＝e（g，g）s．用戶根據(jù)DO 發(fā)送的參數(shù)λ進(jìn)行解密．計(jì)算：

最后得到：

3 分 析

3．1 安全分析

定義2 （DBDH 假設(shè)）給定階為素?cái)?shù)p的乘法群（G，GT），g為G的生成元．隨機(jī)選取隨機(jī)數(shù)a，b，c∈Zp，然后將元素g，ga，gb，gc∈G和Z∈GT發(fā)送給攻擊者，由攻擊者來判定Z是否等于e（g，g）abc．如果在多項(xiàng)式時(shí)間內(nèi)，攻擊者不能以不可忽略的優(yōu)勢(shì)來解決DBDH 假設(shè)，則稱DBDH 假設(shè)在群（G，GT）上是成立的．

定理1 如果DBDH 假設(shè)在群（G，GT）上成立，則本方案在標(biāo)準(zhǔn)模型［19］下是選擇明文安全的．

證 假設(shè)存在一個(gè)概率時(shí)間多項(xiàng)式攻擊者Adv能夠以不可忽略的優(yōu)勢(shì)ε贏得游戲，構(gòu)造一個(gè)模擬者Sim 利用攻擊者的能力能夠以不可忽略的優(yōu)勢(shì)ε／2解決DBDH 游戲．

令e：G×G→GT是一個(gè)雙線性映射，其中G是階為素?cái)?shù)p的多乘法線性群，g為G的生成元．首先挑戰(zhàn)者隨機(jī)拋一枚硬幣，得到隨機(jī)值μ＝ ｛0 ，1｝ ，如果μ＝1，則 令（g，A，B，C，Z）＝（g，ga，gb，gc，e（g，g）abc），否則令（g，A，B，C，Z）＝（g，ga，gb，gc，e（g，g）z），其中隨機(jī)數(shù)a，b，c∈Zp，挑戰(zhàn)者將（g，A，B，C，Z）＝（g，ga，gb，gc，Z）發(fā)送給模擬者Sim，然后模擬者Sim 在下面的游戲中相當(dāng)于挑戰(zhàn)者．

1）初始化．攻擊者Adv 選取挑戰(zhàn)的訪問結(jié)構(gòu)Γ＊，并將其交給模擬者．

2）建立階段．模擬者Sim 生成公共參數(shù)Y：＝e（A，B）＝e（g，g）ab．如果屬性i∈S：隨機(jī)選擇di∈Zp，使得gti＝gdi（ti＝di），否則選擇隨機(jī)數(shù)βi∈Zp，使得gti＝gbβi＝Bβi，并將公共參數(shù)發(fā)送給攻擊者Adv．

3）查詢階段1．攻擊者Adv 多次提交屬性集S1，S2，…，Sq進(jìn)行查詢，但是這些屬性并不滿足訪問結(jié)構(gòu)樹Γ＊．模擬者在接受到私鑰查詢請(qǐng)求之后，計(jì)算對(duì)應(yīng)于攻擊者查詢請(qǐng)求的屬性私鑰．模擬者首先為每個(gè)葉子結(jié)點(diǎn)定義一個(gè)多項(xiàng)式qx．對(duì)于結(jié)點(diǎn)x滿足訪問結(jié)構(gòu)樹，則多項(xiàng)式qx是完整的；如果不滿足，則gqx（0）也是知道的．模擬者令qR（0）＝a，對(duì)于訪問結(jié)構(gòu)樹中的每一個(gè)結(jié)點(diǎn)x，定義最后的多項(xiàng)式為Qx（·）＝bqx（·）．令s＝Qr（0）＝ab，對(duì)于任意的i∈Sk，計(jì)算：＝gri，否則，然后模擬者將生成的屬性私鑰發(fā)送給攻擊者Adv．

4）挑戰(zhàn)．攻擊者Adv提交兩個(gè)挑戰(zhàn)的消息M0和M1給模擬者，模擬者隨機(jī)拋一枚硬幣b，生成密文：

并將密文發(fā)送給攻擊者．

如果μ＝1，Z＝e（g，g）abc，我們令α＝ab，s＝c，則有Z＝e（g，g）abc＝e（g，g）αs，而且因此CT是有效密文．否則，如果μ＝0，Z＝e（g，g）z，則C＇＝Mbe（g，g）z．由于z∈Zp是一個(gè)隨機(jī)元素，則C＇∈GT也是一個(gè)隨機(jī)元素．因此CT 是無效密文．

5）查詢階段2．重復(fù)查詢階段1的操作．

6）猜測(cè)．攻擊者Adv輸出一個(gè)對(duì)b猜測(cè)b′．如果b′＝b，模擬者Sim 輸出μ＝1，并指出給他的元組屬于DBDH 元組，否則輸出μ＝0，并指出給他的元組屬于隨機(jī)元組．

當(dāng)μ＝1時(shí)，攻擊者Adv獲得一個(gè)關(guān)于消息Mb的有效密文．根據(jù)定義，此時(shí)攻擊者具有不可忽略的優(yōu)勢(shì)來猜測(cè)正確的b′．其成功的概率為：

當(dāng)μ＝0時(shí)，攻擊者沒有獲得關(guān)于b的任何消息，沒有優(yōu)勢(shì)來猜測(cè)正確的b′，其成功的概率為那么模擬者在與挑戰(zhàn)者之間的游戲中成功的概率為：

證畢．

定理2 本文的方案是能抵抗用戶的聯(lián)合攻擊和授權(quán)機(jī)構(gòu)之間的聯(lián)合攻擊．

證 在本方案中，為了能夠解密，攻擊者必須得到e（g，g）αs，攻擊者將密文組件C和私鑰組件D進(jìn)行雙線性配對(duì)得到（e（g，g）（α－λ）／η），然而計(jì)算得到的結(jié)果中仍然會(huì)有e（g，g）λs．對(duì)于非法用戶來說，每個(gè)用戶的屬性集不滿足訪問結(jié)構(gòu)樹，無法獨(dú)立進(jìn)行解密．當(dāng)多個(gè)非法用戶進(jìn)行聯(lián)合攻擊時(shí)，由于都是非法用戶，DO 只會(huì)將私鑰組件D＝g（α－λ）／η以及參數(shù)λ發(fā)送給合法用戶，他們無法得到可以解密密文的私鑰組件D＝g（α－λ）／η以及參數(shù)λ，所以即使非法用戶通過計(jì)算獲得e（g，g）s也無法進(jìn)行解密．對(duì)于加密文件，只要有用戶撤銷，DO 就會(huì)重新加密明文，得到新的密文Me（g，g）α′s以及新的私鑰組件D＝g（α′－λ′）／η和參數(shù)λ′，而已撤銷用戶只擁有以前的D＝g（α－λ）／η和參數(shù)λ，用戶通過計(jì)算只能得到e（g，g）s而不知道λ′，所以用戶不能解密，因此本方案能夠抵抗用戶的聯(lián)合攻擊．對(duì)于授權(quán)機(jī)構(gòu)來說，每個(gè)授權(quán)機(jī)構(gòu)只負(fù)責(zé)生成屬性私鑰組件，即使多個(gè)服務(wù)器進(jìn)行聯(lián)合攻擊，授權(quán)機(jī)構(gòu)執(zhí)行解密操作只能得到e（g，g）s，參數(shù)λ只有DO 和合法用戶知道，所以服務(wù)器不能獲得e（g，g）λs，因此無法計(jì)算解密私鑰，從而阻止了授權(quán)機(jī)構(gòu)之間的聯(lián)合攻擊．

3．2 性能分析

3．2．1 通信代價(jià)

在表2中將文獻(xiàn)［10］和文獻(xiàn)［15］與本方案進(jìn)行對(duì)比，其中U表示屬性空間，Sc表示與密文相關(guān)的屬性集，Sk表示與私鑰相關(guān)的屬性，I表示用戶屬性集，E表示一次指數(shù)操作，P表示一次配對(duì)操作，k表示授權(quán)機(jī)構(gòu)的個(gè)數(shù)．本方案在初始化階段的通信代價(jià)比文獻(xiàn)［10］和文獻(xiàn)［15］低，因?yàn)楸痉桨傅某跏蓟僮鞲L問策略的屬性集無關(guān)．文獻(xiàn)［15］在加密和密鑰方面比本方案和文獻(xiàn)［10］的代價(jià)高，由于其加解密操作不僅跟屬性相關(guān)，還跟授權(quán)機(jī)構(gòu)的個(gè)數(shù)相關(guān)．從表2可以看出，特別是在云存儲(chǔ)環(huán)境多個(gè)授權(quán)機(jī)構(gòu)并存情況下，在公共參數(shù)與加解密操作方面，本方案較文獻(xiàn)［15］的方案有明顯的優(yōu)勢(shì)．與現(xiàn)有的方案相比本文方案采用樹形訪問控制策略，在抵抗AA 的聯(lián)合攻擊以及用戶的身份信息保護(hù)以及通信代價(jià)方面有很大改進(jìn)．因?yàn)椋?）用戶在獲取屬性私鑰時(shí)不再需要向AA 提交GID，因此用戶的身份信息受到保護(hù)．2）用戶的屬性私鑰分別由DO 和AA共同生成，從而避免了AA 之間的聯(lián)合攻擊．

表2 訪問策略靈活性以及通信代價(jià)Tab．2 Comparison of access policy flexibility and computation cost

3．2．2 計(jì)算代價(jià)

下面從解密與加密時(shí)間兩個(gè)方面對(duì)文獻(xiàn)［10］、文獻(xiàn)［15］的方案和本文的方案進(jìn)行比較．方案采用的實(shí)驗(yàn)環(huán)境為Inter（R）Core（TM）i3 CPU 主 頻3．19GHz，內(nèi)存2GB，VMware Workstation 虛擬機(jī)上的Ubuntu系統(tǒng)，實(shí)驗(yàn)代碼是基于cpabe－0．11庫［20］改進(jìn)，使用PBC 庫，版本為0．5．12，對(duì)稱加密使用 基 于openssl－1．0．0c庫 的128 位AES 加 密算法．

圖3為加解密時(shí)間與授權(quán)機(jī)構(gòu)個(gè)數(shù)的關(guān)系比較圖，其中每個(gè)AA 所擁有的屬性為5個(gè)．圖4為加解密時(shí)間與每個(gè)授權(quán)機(jī)構(gòu)屬性個(gè)數(shù)的關(guān)系比較圖，其中AA 的個(gè)數(shù)為5個(gè)．由圖3和圖4可知，本文的方案在系統(tǒng)加解密效率方面與文獻(xiàn)［10］相比有了較大的提高，與文獻(xiàn)［15］相比，雖然本文方案在加密方面的性能稍差，但解密的性能卻有了較大的提高．因此，本文提出的方案能夠進(jìn)一步提高多授權(quán)機(jī)構(gòu)下用戶解密數(shù)據(jù)的效率．

圖3 加密與解密時(shí)間與授權(quán)機(jī)構(gòu)個(gè)數(shù)的關(guān)系比較Fig．3 Comparison with different numbers of authorities between encryption and decryption

圖4 加解密時(shí)間與每個(gè)授權(quán)機(jī)構(gòu)的屬性個(gè)數(shù)的關(guān)系比較Fig．4 Comparison with different numbers of attributes between encryption and decryption

4 結(jié)束語

本文提出了一種基于Multi－Authority ABE 的密文訪問控制方法，通過建立訪問結(jié)構(gòu)樹管理不同授權(quán)機(jī)構(gòu)分發(fā)的屬性，實(shí)現(xiàn)用戶安全靈活的跨域數(shù)據(jù)存儲(chǔ)和訪問控制．理論分析和實(shí)驗(yàn)驗(yàn)證說明了本文提出的方案不僅能夠?qū)崿F(xiàn)密文訪問控制的安全性目標(biāo)，防止用戶和授權(quán)機(jī)構(gòu)的聯(lián)合攻擊，保護(hù)用戶身份信息，而且還提高了密文加解密的效率．因此，本文提出的方法能夠應(yīng)用于云存儲(chǔ)環(huán)境下多授權(quán)機(jī)構(gòu)并存條件下的高效數(shù)據(jù)加解密操作，并為數(shù)據(jù)跨域訪問和共享提供了行之有效的方法．此外，本文實(shí)現(xiàn)了用戶私鑰與GID 分離，為今后云存儲(chǔ)中的用戶匿名訪問研究提供了思路．

［1］SAHAI A，WATERS B．Fuzzy identity－based encryption［C］／／Proceeding of Advances in Cryptology－EUROCRYPT’05．Aarhus：Springer Berlin Heidelberg，2005：457－473．

［2］SHAMIR A．Identity－based cryptography systems and signature schemes［C］／／Proceeding of Advances in Cryptology－CRYPTO’84．Berlin：Springer Berlin Heidelberg，1984：47－53．

［3］BETHENCOURT J，SAHAI A，WATERS B．Ciphertextpolicy attribute－based encryption［C］／／Proceeding of IEEE Symposium Security and Privacy．Berkeley，CA：IEEE，2007：321－334．

［4］WATERS B．Ciphertext－policy attribute－based encryption：An expressive，efficient，and provably secure realization［C］／／Proceeding of PKC’11．Taormina，Italy：Springer Berlin Heidelberg，2011：53－70．

［5］GOYAL V，PANDEY O，SAHAI A，etal．Attribute－based encryption for fine－grained access control of encrypted data［C］／／Proceeding of ACM Conference on Computer and Communications Security．Virginia：ACM，2006：89－98．

［6］HUR J，NOH D K．Attribute－based access control with efficient revocation in data outsourcing systems［J］．IEEE Transactions on Parallel and Distributed Systems，2011，22（7）：1214－1221．

［7］呂志泉，張敏，馮登國．云存儲(chǔ)密文訪問控制方案［J］．計(jì)算機(jī)科學(xué)與技術(shù)，2011，5（9）：835－844．

LV Zhi－quan，ZHANG Min，F(xiàn)ENG Deng－guo．Cryptographic access control scheme for cloud storage［J］．Computer Science and Technology，2011，5（9）：835－844．（In Chinese）

［8］CHASE M．Multi－authority attribute based encryption［C］／／Proceeding of Cryptography Conference on Theory of Cryptography（TCC’07）．Amsterdam：Springer Berlin Heidelberg，2007：515－534．

［9］LIN H，CAO Z F，LIANG X．Secure threshold multi－authority attribute－based encryption without a central authority［C］／／Proceeding ofInternational Conference on Cryptology．India：Springer Berlin Heidelberg，2008：426－436．

［10］LEWKO A ，WATERS B．Decentralizing attribute－based encryption［C］／／Proceeding of International Conference on the Theory and Applications of Cryptographic Techniques．Tallinn：Springer Berlin Heidelberg，2011：568－588．

［11］SUSHMITA R，MILOS S，AMIYA N．Privacy preserving access control with authentication for securing data in clouds［C］／／Proceeding of IEEE／ACM International Symposium on Cluster，Cloud and Grid Computing （CCGrid）．Ottawa：IEEE，2012：556－563．

［12］YANG K，JIA X，REN K．DAC－MACS：Effective date access control for multi－authority cloud storage systems［J］．IEEE Transactions on Information Forensics and Security，2013，8（11）：1790－1801．

［13］MULLER S，KATZENBEISSER S，ECKERT C．Distributed attribute－based encryption［C］／／Proceeding of Information Security and Cryptology（ICISC’08）．Seoul：Springer Berlin Heidelberg，2008：20－36．

［14］LI M，YU S，ZHENG Y，etal．Scalable and secure sharing of personal health records in cloud computing using attributebased encryption［J］．IEEE Transactions on Parallel and Distributed Systems，2012，24（1）：131－143．

［15］YANG K，JIA X．Attribute－based access control for multi－authority system in cloud storage［C］／／Proceeding of International Conference on Distributed Computing Systems （ICDCS）．Macau：IEEE，2012：536－545．

［16］YANG K，JIA X．Expressive，Efficient and revocable data access control for multi－authority cloud storage［J］．IEEE Transactions on Parallel and Distributed Systems，2014，25（7）：1735－1744．

［17］LI Q，MA J，XIONG J，etal．Full secure decentralized keypolicy attribute－based encryption［C］／／Proceeding of Intelligent Networking and Collaborative System （INCS）．Xi’an：IEEE，2013：220－225．

［18］TAEHO J，LI X，WAN Z，etal．Privacy preserving cloud data access with multi－authorities［C］／／Proceeding of IEEE INFOCOM．Turin：IEEE，2013：2625－2633．

［19］王鑫，賈慶軒，高欣，等．可證明安全的輕量級(jí)無服務(wù)型RFID安全搜索協(xié)議［J］．湖南大學(xué)學(xué)報(bào)：自然科學(xué)版，2014，41（8）：117－124．

WANG Xin，JIA Qing－xuan，GAO Xin，etal．Provable security lightweight service－less rfid security search protocol［J］．Journal of Hunan University：Natural Sciences，2014，41（8）：117－124．（In Chinese）

［20］BETHENCOURT J，SAHAI A，WATERS B．The cpabe toolkit［EB／OL］．（2006－12－01）［2011－03－24］．http：／／acsc．csl．sri．com／cpabe／．