楊小東 李 婷 麻婷春 陳桂蘭 王彩芬②

①(西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 蘭州 730070)

②(深圳技術(shù)大學(xué)大數(shù)據(jù)與互聯(lián)網(wǎng)學(xué)院 深圳 518118)

1 引言

云存儲(chǔ)具有較高的存儲(chǔ)效率和較低的存儲(chǔ)成本，給個(gè)人和企業(yè)提供了便利的存儲(chǔ)服務(wù)[1]。然而，云存儲(chǔ)安全策略還未形成標(biāo)準(zhǔn)、規(guī)范的體系結(jié)構(gòu)，導(dǎo)致云端數(shù)據(jù)面臨隱私泄露、數(shù)據(jù)損壞等安全問(wèn)題[2]?；诿芪牟呗缘膶傩约用芊桨?Ciphertext-Policy Attribute-Based Encryption, CP-ABE)[3]確保了云端數(shù)據(jù)的機(jī)密性和完整性，并且支持靈活、細(xì)粒度的訪問(wèn)控制，提高了云端數(shù)據(jù)的安全性。為了保護(hù)用戶隱私，節(jié)省密文存儲(chǔ)開(kāi)銷，國(guó)內(nèi)外學(xué)者從策略隱藏、密文長(zhǎng)度恒定等方面對(duì)CP-ABE方案進(jìn)行了研究和拓展。

傳統(tǒng)的CP-ABE方案[4,5]通常以明文的形式公布訪問(wèn)策略，任何獲得密文的人(包括云服務(wù)提供商)都可以推斷出密文的部分秘密信息，導(dǎo)致解密用戶面臨私密信息泄露的風(fēng)險(xiǎn)。為解決此問(wèn)題，文獻(xiàn)[6,7]提出了帶有部分隱藏策略的CP-ABE方案，隱藏訪問(wèn)策略中的屬性值以保護(hù)私密信息，但面臨離線字典攻擊的安全問(wèn)題。文獻(xiàn)[8,9]將屬性分為屬性名和屬性值兩部分，采用隱藏屬性值的思想設(shè)計(jì)了支持部分策略隱藏的CP-ABE方案。盡管這些方案在某種程度上能夠保護(hù)策略隱私，但存在部分屬性信息泄露的問(wèn)題。針對(duì)使用部分隱藏策略的CP-ABE方案引起的安全性和隱私問(wèn)題，一系列可完全隱藏訪問(wèn)策略的CP-ABE方案[10-13]相繼被提出，確保了數(shù)據(jù)的完整性和私密性。但文獻(xiàn)[10-13]使用隱藏的訪問(wèn)策略加密數(shù)據(jù)，使得解密者需要執(zhí)行若干配對(duì)操作來(lái)解密密文，存在計(jì)算開(kāi)銷較大的問(wèn)題。此外，上述方案均沒(méi)有考慮密文長(zhǎng)度這一重要技術(shù)指標(biāo)，都存在密文長(zhǎng)度隨屬性個(gè)數(shù)正向增長(zhǎng)的問(wèn)題。

為了降低密文存儲(chǔ)開(kāi)銷，Emura等人[14]提出了一種密文長(zhǎng)度恒定的CP-ABE方案，但該方案的訪問(wèn)結(jié)構(gòu)單一。Herranz等人[15]采用多項(xiàng)式重構(gòu)的思想，構(gòu)造了一種密文長(zhǎng)度恒定的CP-ABE方案；Ge等人[16]提出了選擇明文攻擊下可證安全且密文長(zhǎng)度恒定的CP-ABE方案。然而，文獻(xiàn)[15,16]加密和解密涉及的配對(duì)運(yùn)算較多，存在計(jì)算開(kāi)銷大的問(wèn)題。Zhang等人[17]基于多值通配符的AND門(mén)訪問(wèn)策略，提出了一種密文長(zhǎng)度恒定的CP-ABE方案，有效地提升了計(jì)算效率，但安全性較低。文獻(xiàn)[18-21]構(gòu)造了一種策略隱藏且密文長(zhǎng)度恒定的屬性加密方案，確保了用戶隱私信息的安全，并且節(jié)省了密文存儲(chǔ)開(kāi)銷。然而，隨著云存儲(chǔ)中加密文件數(shù)量的增多，已有的同類方案[22,23]未能同時(shí)支持云端數(shù)據(jù)的公開(kāi)審計(jì)、關(guān)鍵詞搜索，這已成為云存儲(chǔ)中一個(gè)重要且具有挑戰(zhàn)性的問(wèn)題。

針對(duì)上述問(wèn)題，本文設(shè)計(jì)了一種支持策略隱藏且密文長(zhǎng)度恒定的可搜索屬性加密方案。該方案基于可搜索加密機(jī)制，實(shí)現(xiàn)了密文長(zhǎng)度的恒定。將訪問(wèn)策略隱藏在密文和關(guān)鍵詞中，確保了數(shù)據(jù)的隱私性。采用數(shù)據(jù)公開(kāi)審計(jì)的思想，實(shí)現(xiàn)了云端數(shù)據(jù)的完整性驗(yàn)證。相比于現(xiàn)有的同類方案，本文方案不僅從加密、解密和搜索3方面提升了計(jì)算效率，而且大大降低了云端數(shù)據(jù)的存儲(chǔ)成本。通過(guò)對(duì)相關(guān)領(lǐng)域的文獻(xiàn)搜索，本文方案是第1個(gè)同時(shí)具備策略隱藏、密文長(zhǎng)度恒定、關(guān)鍵詞搜索和公開(kāi)審計(jì)的屬性加密方案。

2 預(yù)備知識(shí)

2.1 雙線性映射

設(shè) G1和GT分別是兩個(gè)階為素?cái)?shù)p 的乘法循環(huán)群，其中 g 為G1的一個(gè)生成元，e:G1×G1→GT是滿足以下條件的雙線性映射[24]。

(2) 非退化性：e (g,g)/=1；

(3) 可計(jì)算性：對(duì)于群 G1中的任意兩個(gè)元素g1,g2， 存在一個(gè)有效算法計(jì)算e (g1,g2)。

2.2 決策性q-BDHE假設(shè)

決策性q-BDHE(q -Decisional Bilinear Diffie-Hellman Exponent)問(wèn)題：假設(shè) T 為群GT中的一個(gè)隨機(jī)數(shù)，給定 yg,α.q=(g1,g2,···,gq,gq+1,···,g2q,gr)，其中 α,r ∈, gi=gαi，區(qū) 分(g,yg,α,q,e(gq+1,gr))和(g,yg,α,q,T)。

定義1決策性q-BDHE假設(shè)。如果攻擊者在多項(xiàng)式時(shí)間內(nèi)無(wú)法以不可忽略的優(yōu)勢(shì)區(qū)分元組(g,yg,α,q,e(gq+1,gr)) 和(g,yg,α,q,T) ，則 表 明G1和GT上的q-BDHE問(wèn)題是困難的[20]。

2.3 CDH假設(shè)

定義2CDH假設(shè)。如果攻擊者在多項(xiàng)式時(shí)間內(nèi)無(wú)法以不可忽略的優(yōu)勢(shì)計(jì)算出 gxy，則表明G1上的CDH問(wèn)題是困難的[25]。

3 支持策略隱藏且密文長(zhǎng)度恒定的可搜索屬性加密方案

3.1 系統(tǒng)模型

本文方案的系統(tǒng)模型如圖1所示，包含數(shù)據(jù)擁有者(Data Owner, DO)、云服務(wù)提供商(Cloud Service Provider, CSP)、屬性權(quán)威中心(Attribute Authority Center, AAC)、訪問(wèn)用戶(Accessing Users, AU)和第三方審計(jì)者(Third-Party Auditors,TPA)5個(gè)實(shí)體。各實(shí)體的功能介紹如下：

圖1 系統(tǒng)模型

(1) DO：根據(jù)數(shù)據(jù)文件和關(guān)鍵詞生成對(duì)應(yīng)的關(guān)鍵詞索引，并將數(shù)據(jù)文件和索引加密后上傳至CSP。

(2) CSP：存儲(chǔ)數(shù)據(jù)擁有者上傳的密文數(shù)據(jù)，并處理訪問(wèn)用戶的搜索請(qǐng)求。

(3) AAC：負(fù)責(zé)生成系統(tǒng)公共參數(shù)和系統(tǒng)中各個(gè)實(shí)體的私鑰。

(4) AU：向云服務(wù)提供商發(fā)送密文的搜索請(qǐng)求，并解密云服務(wù)提供商返回的密文數(shù)據(jù)文件。

(5) TPA：負(fù)責(zé)驗(yàn)證云端數(shù)據(jù)的完整性，并將審計(jì)結(jié)果返回給數(shù)據(jù)擁有者。H0,H1,H2,H3,{Ai,j,Yi,j}1≤i≤n,1≤j≤ni，秘密保存主密鑰m sk=(a,b,ai,j)。

(2) 密鑰生成(K eyGen): AAC收到用戶發(fā)送的屬性列表 L={L1,L2,···,Lu}后，按照以下步驟生成 L對(duì)應(yīng)的私鑰。

(a) 隨機(jī)選取 s k,α,β ∈Zp， 計(jì)算τi=(g·H3(sk))-ai,j,X =φα和 K =g(a+β)/b。對(duì)任意屬性a tti, AAC隨機(jī)選 擇 λi∈Zp，計(jì)(算s ki,1=gβ-λi||ai,j，)得 到 私 鑰SKL，即 S KL=sk,K,{τi,ski,1}1≤i≤n。

(b) 隨機(jī)選取 sskF∈Zp作為任意數(shù)據(jù)文件塊F(1 ≤F ≤m)的 簽名私鑰，通過(guò)安全信道將s skF發(fā)送給用戶。計(jì)算p k=gsskF，并將p k作為公鑰。

(3) 數(shù)據(jù)文件加密( E ncrypt): DO在訪問(wèn)策略W下對(duì)數(shù)據(jù)文件M 執(zhí)行如下的加密操作。

(b) 將密文數(shù)據(jù) CT 劃分為m 塊，即CT=(CT1,CT2,···,CTm)。

(c)為每個(gè)密文數(shù)據(jù)塊 CTj計(jì)算標(biāo)簽δj=(H2(j)gCTj)sskF。

(d) 輸出文件M的密文CT=(C1,C2,C3)和相應(yīng)的標(biāo)簽δj，將其發(fā)送給CSP。

3.2 具體方案

(1) 系統(tǒng)建立(S etup(k) ) ：輸入安全參數(shù)k ，令G1和GT為階為素?cái)?shù)p 的乘法循環(huán)群，g 為G1的生成元， e:G1×G1→GT是一個(gè)雙線性映射。假定U ={att1,att2,···,attn} 為 系 統(tǒng) 屬 性 集，Si={vi,1,vi,2,···,vi,j}表 示屬性a tti的取值集合。AAC按照如下步驟生成系統(tǒng)參數(shù) PP和 主密鑰m sk。

(a) 選擇哈希函數(shù)H0:×{0,1}log2n×{0,1}log2m→, H1:{0,1}?→G1, H3:Zp→G1和一個(gè)帶密鑰 的 哈 希 函 數(shù) Hk:{0,1}?→Zp。 隨 機(jī) 選 取a,b,c ∈Zp，計(jì)算φ =e(g,g)a,γ =gb和p k=gc。

(b) 對(duì)任意屬性 atti(a tt ∈U)，隨機(jī)選取xi,j∈Zp， 計(jì)算ai,j=H0(a||xi,j), Ai,j=g-ai,j和 Yi,j=e(g,g)ai,j， 其中i ,j ∈(1,2,···,(n)， “| |”表示連接符。

(c)公開(kāi)系統(tǒng)參數(shù)PP=G1,GT,e,p,g,φ,γ,pk,

4 安全性分析

4.1 機(jī)密性

定理1如果q-BDHE假設(shè)成立，則沒(méi)有任何多項(xiàng)式敵手A 能夠以不可忽略的優(yōu)勢(shì)攻破本文方案。

證明：假設(shè)在多項(xiàng)式時(shí)間t內(nèi)，存在一個(gè)敵手A 以不可忽略的優(yōu)勢(shì)εA攻破本文方案，則可以構(gòu)建一個(gè)挑戰(zhàn)者 B 以不可忽略的優(yōu)勢(shì)εB解決q-BDHE問(wèn)題。給定q-BDHE挑戰(zhàn)元組 (g,yg,α,q,T)，其中yg,α.q=(g1,g2,···,gq,gq+1,···,g2q,gs), T ∈GT, B 和A進(jìn)行如下的模擬游戲。

詢問(wèn)階段2：重復(fù)詢問(wèn)階段1的工作，但不能繼續(xù)詢問(wèn)明文消息M0和M1。

4.2 索引的不可區(qū)分性

定理2如果CDH假設(shè)成立，則本文提出的方案滿足索引不可區(qū)分性。

詢問(wèn)階段1：F 選擇屬性集合L={L1,L2,···,Lu}發(fā)送給C ，向 C發(fā)起如下的哈希詢問(wèn)和陷門(mén)詢問(wèn)。

(1) OH0(ai,j) 詢問(wèn)：C 輸入屬性a tti向F 發(fā)起H0詢 問(wèn)，C 維護(hù)初始列表LH0=[atti,a,ai,j]，先在列表 LH0中查詢a tti是否存在，如果存在，則將對(duì)應(yīng)值返回給 C；否則，為屬性a tti隨機(jī)選擇xi′,j∈ZP，令ai′,j=H0(a||xi′,j)， 其 中a ∈ZP，并在列表LH0中添加( atti,a,ai′,j) ，將ai′,j返回給F 。

(2) OH3(sk)詢 問(wèn)：F 輸入屬性a tti向 C 發(fā)起H3詢問(wèn)， C維護(hù)初始列表LH3=[atti,ai,j,sk,τi]，先查詢sk 是 否存在于列表L3。如果存在，則C 將對(duì)應(yīng)值返回給F ；否則，C 隨機(jī)選取s k′∈ZP，對(duì)于每個(gè)屬性atti， 隨機(jī)選擇xi′,j∈ZP， 計(jì)算τi=(g·H3(sk′))-ai′,j，將其添加至列表LH3并 發(fā)送給 F。

詢問(wèn)階段2：重復(fù)詢問(wèn)階段1，但 F 不能繼續(xù)詢問(wèn)關(guān)鍵詞集合k w1和k w2或 者k w1和k w2的子集。

5 性能分析

5.1 理論分析

本節(jié)從計(jì)算開(kāi)銷和存儲(chǔ)開(kāi)銷兩個(gè)方面將本文方案與支持關(guān)鍵詞搜索的屬性加密方案[20,26,27]進(jìn)行比較。為便于表述，用 na表示系統(tǒng)中屬性總個(gè)數(shù)，nω表 示包含在訪問(wèn)控制策略中的屬性個(gè)數(shù)，nd表示解密時(shí)所需要的屬性個(gè)數(shù)，ns表示搜索時(shí)所需屬性個(gè)數(shù)， nk表 示密鑰中的屬性個(gè)數(shù)，| G1|和| GT|分別表示群 G1和 GT中的元素長(zhǎng)度，| Zp|表 示Zp中元素長(zhǎng)度 ，指數(shù)運(yùn)算和對(duì)數(shù)運(yùn)算分別用Te和Tp表示。

5.1.1 計(jì)算成本

在表1中，文獻(xiàn)[20]的解密開(kāi)銷，文獻(xiàn)[26]的加密開(kāi)銷、關(guān)鍵詞搜索開(kāi)銷以及文獻(xiàn)[27]的加密開(kāi)銷、解密開(kāi)銷和關(guān)鍵詞搜索開(kāi)銷均與屬性個(gè)數(shù)呈線性增長(zhǎng)關(guān)系。本文方案具有密文長(zhǎng)度恒定，加密開(kāi)銷、解密開(kāi)銷和關(guān)鍵詞搜索開(kāi)銷均與屬性個(gè)數(shù)無(wú)關(guān)，具有較小的計(jì)算量。因此，本文方案具有更高的計(jì)算效率。

5.1.2 存儲(chǔ)成本

在屬性加密方案中，屬性權(quán)威中心承擔(dān)主密鑰的存儲(chǔ)開(kāi)銷，數(shù)據(jù)擁有者和訪問(wèn)用戶分別用來(lái)存儲(chǔ)公鑰和私鑰，云服務(wù)提供商的存儲(chǔ)開(kāi)銷主要源于密文。由表2可知，本文方案與文獻(xiàn)[20,26,27]的屬性權(quán)威中心、數(shù)據(jù)擁有者和訪問(wèn)用戶的存儲(chǔ)開(kāi)銷相當(dāng)。文獻(xiàn)[26,27]密文存儲(chǔ)開(kāi)銷與訪問(wèn)策略中的屬性個(gè)數(shù)呈正相關(guān)關(guān)系，未實(shí)現(xiàn)密文長(zhǎng)度恒定。雖然文獻(xiàn)[20]方案的密文長(zhǎng)度恒定，但該方案將密文分為密文頭和中間密文兩部分，存儲(chǔ)開(kāi)銷高于本文方案。因此，本文方案具有較低的存儲(chǔ)開(kāi)銷。

表1 計(jì)算開(kāi)銷對(duì)比

5.2 實(shí)驗(yàn)仿真分析

以Intel(R) Core(TM) i5-2400 @ 3.10 GHz的處理器、4 GB的內(nèi)存、Windows10 X64專業(yè)版的操作系統(tǒng)以及jpbc-2.0.0密碼庫(kù)為實(shí)驗(yàn)環(huán)境，將本文方案與已有的支持關(guān)鍵詞搜索的屬性加密方案[26,27]進(jìn)行搜索開(kāi)銷、加密開(kāi)銷和解密開(kāi)銷比較。在相同設(shè)備條件下進(jìn)行多次實(shí)驗(yàn)，得到圖2比較結(jié)果。

圖2(a)表明，在數(shù)據(jù)文件搜索階段，文獻(xiàn)[26,27]的搜索時(shí)間與訪問(wèn)策略中屬性個(gè)數(shù)呈正相關(guān)關(guān)系。由于本文方案實(shí)現(xiàn)了關(guān)鍵詞索引的長(zhǎng)度恒定，所以搜索時(shí)間不會(huì)隨屬性個(gè)數(shù)的增加而線性增長(zhǎng)，始終保持在0.023 s左右。因此，本文方案具有較高的搜索效率。

由圖2(b)所示，當(dāng)屬性數(shù)量為10～30時(shí)，文獻(xiàn)[26]和本文方案加密時(shí)間接近。隨著屬性數(shù)量的增加，文獻(xiàn)[26]花費(fèi)的加密時(shí)間緩慢增長(zhǎng)；而本文方案的密文長(zhǎng)度恒定，加密時(shí)間和屬性數(shù)量無(wú)關(guān)，加密時(shí)間始終保持在0.02 s左右；文獻(xiàn)[27]的加密開(kāi)銷一直高于本文方案。綜上所述，本文方案具有較低的加密開(kāi)銷。

由圖2(c)可知，訪問(wèn)策略中的屬性數(shù)量為10時(shí)，本文方案與文獻(xiàn)[27]的解密開(kāi)銷相當(dāng)。但隨著屬性數(shù)量的增加，文獻(xiàn)[27]的解密時(shí)間增幅較大，和屬性數(shù)量呈正相關(guān)關(guān)系。本文方案中采用密文長(zhǎng)度恒定技術(shù)，解密時(shí)間保持在0.2 s左右。因此，用戶需要負(fù)擔(dān)較小的解密花費(fèi)。

如圖2(d)所示，假設(shè)屬性數(shù)量為5，本文方案與同類方案[26,27]在存儲(chǔ)開(kāi)銷上相比具有明顯優(yōu)勢(shì)。影響存儲(chǔ)開(kāi)銷最關(guān)鍵的因素是密文的大小，所以圖2顯示了本文方案與文獻(xiàn)[26,27]的密文尺寸，文獻(xiàn)[26]和文獻(xiàn)[27]密文大小分別為1536 bit和2432 bit，而本文方案密文長(zhǎng)度恒定，僅需要花費(fèi)384 bit來(lái)存儲(chǔ)密文。

表2 存儲(chǔ)開(kāi)銷對(duì)比

圖2 計(jì)算和存儲(chǔ)開(kāi)銷對(duì)比

6 結(jié)束語(yǔ)

針對(duì)現(xiàn)有方案面臨的存儲(chǔ)開(kāi)銷隨屬性數(shù)量正向增長(zhǎng)、用戶隱私泄露及數(shù)據(jù)可用性較低等安全性問(wèn)題，本文面向云存儲(chǔ)提出一種支持策略隱藏且密文長(zhǎng)度恒定的可搜索屬性加密方案。該方案在支持關(guān)鍵詞搜索的前提下，實(shí)現(xiàn)了密文長(zhǎng)度恒定，降低了云服務(wù)提供商的存儲(chǔ)開(kāi)銷。通過(guò)對(duì)密文數(shù)據(jù)和關(guān)鍵詞中的訪問(wèn)策略進(jìn)行隱藏，提高了數(shù)據(jù)安全性。引入公開(kāi)審計(jì)功能，確保了數(shù)據(jù)的完整性。分析結(jié)果表明：該方案在實(shí)現(xiàn)數(shù)據(jù)隱私性和完整性的同時(shí)，降低了云服務(wù)提供商的存儲(chǔ)成本，提高了計(jì)算性能，在云存儲(chǔ)環(huán)境中具有更好的應(yīng)用性。然而，該方案僅滿足CPA安全，下一步將對(duì)滿足選擇密文安全的屬性加密方案進(jìn)行探究。