張嘉偉，馬建峰，馬卓，李騰

（西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院，陜西 西安 710071）

1 引言

由于云計(jì)算技術(shù)[1]能夠減輕本地設(shè)備的計(jì)算和存儲(chǔ)負(fù)擔(dān)，越來越多的個(gè)人和組織用戶將其數(shù)據(jù)外包并通過云計(jì)算提供方便的數(shù)據(jù)共享服務(wù)，用戶可以隨時(shí)隨地訪問并獲取有用數(shù)據(jù)[2]。然而，共享在云計(jì)算的數(shù)據(jù)包含了大量的隱私和機(jī)密，一旦被非法訪問，可能造成隱私泄露等重大事故。因此，數(shù)據(jù)的機(jī)密保護(hù)和訪問控制成為云計(jì)算共享數(shù)據(jù)安全的關(guān)鍵[3]。密文策略屬性基加密（CP-ABE,ciphertext-policy attribute-based encryption）方案[4-6]可以同時(shí)提供數(shù)據(jù)機(jī)密性和數(shù)據(jù)的細(xì)粒度訪問控制，因此非常適于為云環(huán)境下的數(shù)據(jù)共享服務(wù)提供數(shù)據(jù)保護(hù)。目前，大量針對(duì)CP-ABE 的研究工作提出了適于云計(jì)算環(huán)境下各種應(yīng)用場(chǎng)景的安全數(shù)據(jù)共享[7-12]，并在效率、安全性、訪問策略可表示性和屬性空間規(guī)模等方面進(jìn)行提升。然而，這些方案在隱私保護(hù)、用戶追蹤和撤銷等方面還存在許多挑戰(zhàn)性問題。

在多數(shù)CP-ABE 方案中，訪問策略往往以明文形式和密文一起托管在公有云中。擁有共享密文訪問權(quán)限的用戶都能夠獲取與其關(guān)聯(lián)的訪問策略。然而，訪問策略屬性中的敏感信息可能被泄露。例如，在智慧醫(yī)療系統(tǒng)中，如果一個(gè)醫(yī)療記錄的訪問策略為“癌癥∧（醫(yī)生∨護(hù)士）”，則對(duì)應(yīng)患者的醫(yī)療記錄等隱私信息存在泄露風(fēng)險(xiǎn)。因此，訪問策略中包含敏感信息的屬性必須被保護(hù)。為了解決這個(gè)問題，文獻(xiàn)[13]提出了一種方案來隱藏訪問策略屬性值。該方案不僅能實(shí)現(xiàn)隱私保護(hù)，還支持靈活的可表示性和大規(guī)模屬性空間，而且在標(biāo)準(zhǔn)模型上達(dá)到完全安全。但其基于合數(shù)階群的雙系統(tǒng)構(gòu)造所帶來的高復(fù)雜度和低性能不適合在實(shí)際中使用。為了解決效率問題，文獻(xiàn)[14]基于素?cái)?shù)階群構(gòu)建屬性完全隱藏的方案，但其需要對(duì)訪問策略和用戶屬性集合同時(shí)進(jìn)行處理，因此效率也較低。為了提高實(shí)際運(yùn)行效率，文獻(xiàn)[15]基于素?cái)?shù)階群構(gòu)造屬性值隱藏的CP-ABE 方案。

除此之外，在CP-ABE 方案中存在許多惡意用戶共享其解密密鑰給非授權(quán)用戶，從而牟取非法利益，而解密密鑰僅取決于用戶的屬性，因此根據(jù)泄露的解密密鑰追蹤惡意用戶的身份是一個(gè)難題。文獻(xiàn)[16]在文獻(xiàn)[13]的基礎(chǔ)上提出了一種基于白盒追蹤的CP-ABE 方案，但其在合數(shù)階群基礎(chǔ)上的構(gòu)造導(dǎo)致效率很低。同時(shí)，僅用戶追蹤對(duì)于CP-ABE 系統(tǒng)是不夠的，還需要有效的用戶撤銷機(jī)制，而用戶撤銷是CP-ABE 的一個(gè)長(zhǎng)期存在的熱點(diǎn)問題。針對(duì)用戶撤銷，文獻(xiàn)[17-18]提出了不同的基于素?cái)?shù)階群構(gòu)建的可撤銷CP-ABE 方案，但是這些方案的效率都比較低。之后，文獻(xiàn)[19-21]結(jié)合在線/離線技術(shù)和可驗(yàn)證外包解密方法極大地提高了CP-ABE 中用戶撤銷的效率。與此同時(shí)，文獻(xiàn)[22]則將用戶撤銷功能加入可追蹤C(jī)P-ABE 方案中。針對(duì)該方案的隱私保護(hù)、串謀攻擊等問題，文獻(xiàn)[23]在其基礎(chǔ)上實(shí)現(xiàn)了隱私保護(hù)、用戶追蹤和撤銷的功能，但是仍然存在低效率等不足。而且，上述可撤銷CP-ABE 方案在用戶撤銷列表上也有較高的開銷，為了縮短用戶撤銷列表，文獻(xiàn)[24]引入了基于時(shí)間的用戶密鑰和密文解密周期，從而在用戶撤銷列表中通過移除密鑰失效的用戶來縮短列表長(zhǎng)度。但是該方案的效率很低且不具備可追蹤和隱私保護(hù)的特性。

為了同時(shí)解決現(xiàn)存的基于CP-ABE 且具有隱私保護(hù)的數(shù)據(jù)共享方案中存在的用戶追蹤和撤銷以及相應(yīng)的效率較低和列表開銷較高等問題，本文提出一種基于時(shí)間和隱私保護(hù)的云數(shù)據(jù)共享方案。該方案在現(xiàn)有研究基礎(chǔ)上，同時(shí)實(shí)現(xiàn)了CP-ABE 的隱私保護(hù)、高效用戶追蹤和撤銷以及較短的撤銷列表，其效率也超過了相關(guān)工作。表1 列出了本文方案和現(xiàn)存的一些相關(guān)工作的特性對(duì)比。其中，F(xiàn)1 表示用戶撤銷，F(xiàn)2 表示短撤銷列表，F(xiàn)3 表示隱私保護(hù)，F(xiàn)4 表示用戶追蹤，F(xiàn)5 表示基于時(shí)間訪問控制，F(xiàn)6 表示高效率，F(xiàn)7 表示大屬性空間，F(xiàn)8 表示素?cái)?shù)運(yùn)算域。

表1 本文方案和現(xiàn)存的一些相關(guān)工作的特性對(duì)比

本文主要的研究工作如下。

1) 本文提出一種基于時(shí)間并具有隱私保護(hù)的云數(shù)據(jù)共享方案。該方案針對(duì)外包在云計(jì)算中的共享數(shù)據(jù)提供了基于時(shí)間的細(xì)粒度訪問控制，而且可以有效保護(hù)共享數(shù)據(jù)的訪問策略中包含的用戶隱私。同時(shí)，故意泄露解密密鑰的惡意用戶可以被高效追蹤并進(jìn)行短撤銷列表的直接撤銷。

2) 為了實(shí)現(xiàn)云數(shù)據(jù)共享服務(wù)中的基于時(shí)間的細(xì)粒度訪問控制，本文基于素?cái)?shù)域構(gòu)造設(shè)計(jì)了根據(jù)時(shí)間控制的密文策略屬性基加密方案，通過引入時(shí)間周期的形式化表示方法，控制對(duì)用戶密鑰和共享數(shù)據(jù)的有效使用期限。同時(shí)，為了保護(hù)密文訪問策略中的用戶隱私，該方案通過隱藏訪問策略的屬性值從而實(shí)現(xiàn)用戶隱私保護(hù)。

3) 本文方案不僅實(shí)現(xiàn)了對(duì)泄露解密密鑰的惡意用戶的高效追蹤和低開銷的直接用戶撤銷，還優(yōu)化了用戶端計(jì)算效率，利用在線/離線加密技術(shù)提升用戶加密的效率，而且通過可驗(yàn)證外包解密技術(shù)將繁雜的用戶解密操作卸載到云端，極大減少了用戶解密的時(shí)耗。

4) 本文方案通過安全分析證明其在選擇明文攻擊下的不可區(qū)分性，即IND-CPA（indistinguish ability under chosen-plaintext attack）攻擊類型。同時(shí)，大量的實(shí)驗(yàn)結(jié)果展示了本文方案較高的時(shí)間效率與空間占用方面較好的效能。與當(dāng)前相關(guān)方案的對(duì)比也驗(yàn)證了本文方案在實(shí)際運(yùn)行中的高效性和實(shí)用性。

2 背景知識(shí)

2.1 訪問結(jié)構(gòu)

定義1訪問結(jié)構(gòu)。假設(shè)存在一個(gè)n元素集合Q={Q1,Q2,…,Qn}，則Q上的訪問結(jié)構(gòu)P是一個(gè)集合，其元素為Q的非空子集，即P?2Q{?}。如果存在 2 個(gè)集合A和B滿足A∈P,A?B，有B∈P，則稱訪問結(jié)構(gòu)P為單調(diào)的。如果存在一個(gè)集合C∈P，則稱其為授權(quán)集合，否則稱為非授權(quán)集合。

2.2 線性秘密共享方案

2.3 用戶二叉樹

假設(shè)U表示全體系統(tǒng)用戶集合，RL表示用戶撤銷列表，Tu表示用戶二叉樹，用于管理系統(tǒng)用戶，它具有以下特性。

1) 每個(gè)葉子節(jié)點(diǎn)和一個(gè)用戶相關(guān)聯(lián)。由于系統(tǒng)用戶總數(shù)為|U|，則Tu的節(jié)點(diǎn)總數(shù)為2|U|-1且每個(gè)節(jié)點(diǎn)按照深度優(yōu)先遍歷的方式編號(hào)為0～2|U|-2。

2) 路徑path(η)表示從Tu的根節(jié)點(diǎn)到節(jié)點(diǎn)η的路徑上的節(jié)點(diǎn)集合。

3) 最小覆蓋集合cover(RL)表示可以覆蓋用戶撤銷列表RL之外的所有未撤銷用戶所關(guān)聯(lián)葉子節(jié)點(diǎn)的最小節(jié)點(diǎn)集合。

根據(jù)用戶二叉樹Tu的這些特征，如果一個(gè)用戶u未被撤銷且與Tu中的葉子節(jié)點(diǎn)ηu關(guān)聯(lián)，則存在唯一的節(jié)點(diǎn)ηi=path(ηu) ∩cover(RL)。

2.4 時(shí)間周期樹

用戶私鑰或者密文解密的有效期一般可表示成幾個(gè)時(shí)間段，為了減少有效期時(shí)間表示的空間和時(shí)間消耗，本文方案使用時(shí)間周期樹的方法。

假設(shè)Tt表示深度為d的時(shí)間周期樹，它的每個(gè)節(jié)點(diǎn)可以擁有最多m個(gè)子節(jié)點(diǎn)。根節(jié)點(diǎn)被賦值為1，每個(gè)節(jié)點(diǎn)的子節(jié)點(diǎn)從1 開始從左向右依次賦值。因此，每個(gè)節(jié)點(diǎn)可以被一個(gè)m進(jìn)制序列表示（從根節(jié)點(diǎn)到當(dāng)前節(jié)點(diǎn)的路徑的序列表示），即σ=(σ1,σ2,…,σlσ),lσ≤d,σi∈[m]。同時(shí)，每個(gè)節(jié)點(diǎn)（根節(jié)點(diǎn)除外）都表示一個(gè)具體的時(shí)間周期（例如，天、周、月、年等）。如果一個(gè)有效期包含了多個(gè)時(shí)間周期，可以使用最小覆蓋集合的方法對(duì)所有的有效時(shí)間周期進(jìn)行表示，這樣比枚舉方法更簡(jiǎn)潔高效。

圖1 表示一個(gè)深度為4 的時(shí)間周期樹，其第一層葉子節(jié)點(diǎn)表示年，第二層葉子節(jié)點(diǎn)表示月，第三層葉子節(jié)點(diǎn)表示天。如果一個(gè)用戶的密鑰在2020 年10 月1 日到2021 年12 月31 日期間有效，則該用戶密鑰的有效期可以表示為

圖1 時(shí)間周期數(shù)

2.5 雙線性群和復(fù)雜性問題假設(shè)

定義3雙線性映射。假設(shè)G1和G2為2 個(gè)階為大素?cái)?shù)p的乘法交換群，g是G1的一個(gè)生成元，則雙線性映射:G1×G1→G2滿足以下條件。

1) 雙線性。對(duì)于任意元素u,v∈G1,x,y∈Zp，有。

3) 可計(jì)算性。對(duì)于任意元素u,v∈G1，存在一個(gè)高效的算法計(jì)算。同時(shí)稱元組(G1,G2,p,e?)為一個(gè)素?cái)?shù)雙線性群。

定義4q-BDHE 假設(shè)。假設(shè)為素?cái)?shù)雙線性群及生成元g∈G1，隨機(jī)選擇a,b∈Zp和向量，則判定性q-BDHE 問題為區(qū)分∈G2和一個(gè)隨機(jī)元素Y∈G2。一個(gè)算法∏解決判定性q-BDHE 問題的優(yōu)勢(shì)可以定義為

判定性q-BDHE 假設(shè)成立的必要條件是當(dāng)且僅當(dāng)不存在一個(gè)多項(xiàng)式時(shí)間算法以不可忽略的優(yōu)勢(shì)解決判定性q-BDHE 問題。

3 系統(tǒng)定義和安全模型

3.1 系統(tǒng)模型和威脅模型

基于時(shí)間和隱私保護(hù)的可撤銷可追蹤數(shù)據(jù)共享的系統(tǒng)架構(gòu)如圖2 所示，該系統(tǒng)包括屬性機(jī)構(gòu)、公有云、數(shù)據(jù)所有者和數(shù)據(jù)使用者4 個(gè)實(shí)體。其中，屬性機(jī)構(gòu)負(fù)責(zé)管理用戶屬性、產(chǎn)生和分配用戶密鑰以及用戶追蹤和撤銷，同時(shí)負(fù)責(zé)將更新密鑰和最新的用戶撤銷列表發(fā)送至公有云進(jìn)行密文更新；公有云向用戶提供數(shù)據(jù)外包和共享服務(wù)并向授權(quán)用戶提供外包解密服務(wù)，同時(shí)，當(dāng)有用戶被撤銷時(shí)，公有云根據(jù)最新的用戶撤銷列表以及更新密鑰對(duì)相應(yīng)的密文進(jìn)行更新，從而保證被撤銷用戶無法訪問撤銷前加密的密文；數(shù)據(jù)所有者將其產(chǎn)生的數(shù)據(jù)經(jīng)過離線和在線加密后上傳到公有云進(jìn)行數(shù)據(jù)共享；被授權(quán)的數(shù)據(jù)使用者向公有云請(qǐng)求所需數(shù)據(jù)并得到其轉(zhuǎn)換密文，在經(jīng)過用戶解密后得到明文數(shù)據(jù)。

圖2 系統(tǒng)架構(gòu)

在系統(tǒng)運(yùn)行中，公有云被認(rèn)為是“誠(chéng)實(shí)且好奇”的，該實(shí)體按照指定協(xié)議提供服務(wù)，但是可能會(huì)通過分析用戶數(shù)據(jù)獲取隱私和機(jī)密信息。數(shù)據(jù)所有者被認(rèn)為是可信的且不與服務(wù)器進(jìn)行串謀。權(quán)威機(jī)構(gòu)被認(rèn)為是可信的并且不與任何一方串謀。數(shù)據(jù)使用者被認(rèn)為是不可信任的，存在一些惡意的用戶非法訪問共享數(shù)據(jù)并且泄露訪問策略中包含的敏感和隱私信息，甚至篡改數(shù)據(jù)文件從而對(duì)用戶隱私帶來極大威脅。同時(shí)，一些數(shù)據(jù)使用者試圖將其解密密鑰和非授權(quán)用戶分享從而獲取額外利益。

根據(jù)以上威脅，本文方案需要滿足以下要求。

1) 隱私保護(hù)：密文中的訪問策略所包含的用戶隱私等信息需要得到保護(hù)。

2) 高效用戶追蹤：對(duì)于泄露的解密密鑰，需要能夠高效并精確追蹤到惡意用戶的身份。

3) 短撤銷列表用戶撤銷：在直接撤銷惡意用戶時(shí)，需要縮短用戶撤銷列表以節(jié)省開銷。

4) 大規(guī)模屬性空間：需要能夠支持大規(guī)模屬性空間，節(jié)省屬性管理復(fù)雜度，提高靈活性。

3.2 系統(tǒng)定義

基于時(shí)間和隱私保護(hù)的可撤銷可追蹤數(shù)據(jù)共享方案由以下多項(xiàng)式時(shí)間算法組成。

SysSetup(κ,d)。該算法由屬性機(jī)構(gòu)執(zhí)行。輸入安全參數(shù)κ和時(shí)間樹深度d，輸出系統(tǒng)公共參數(shù)PP和主密鑰MSK。

KeyGen(PP,MSK,Su,Tv)。該算法由屬性機(jī)構(gòu)執(zhí)行。輸入系統(tǒng)公共參數(shù)PP、主密鑰MSK、用戶u的屬性集合及其密鑰有效時(shí)間期限Tv，輸出用戶u的私鑰Du。

TKeyGen(PP,Du)。該算法由數(shù)據(jù)使用者執(zhí)行。輸入系統(tǒng)公共參數(shù)PP和用戶u的私鑰Du，輸出用戶轉(zhuǎn)換密鑰TKu和恢復(fù)密鑰RKu。

Encryptoff(PP)。該算法由數(shù)據(jù)所有者執(zhí)行。輸入系統(tǒng)公共參數(shù)PP，輸出2 個(gè)加密元素池。

Encrypton(PP,M,Td,RL,A)。該算法由數(shù)據(jù)所有者執(zhí)行。輸入系統(tǒng)公共參數(shù)PP、要加密的消息數(shù)據(jù)M、密文可解密時(shí)間段Td、用戶撤銷列表RL以及一個(gè)指定的數(shù)據(jù)，輸出相應(yīng)的密文CT。

Decryptout(PP,CT,TKu)。該算法由公有云執(zhí)行。輸入系統(tǒng)公共參數(shù)PP、密文CT以及用戶u的轉(zhuǎn)換密鑰TKu，輸出轉(zhuǎn)換密文CT*。

Decryptu(PP,CT*,RKu)。該算法由數(shù)據(jù)使用者執(zhí)行。輸入系統(tǒng)公共參數(shù)PP、轉(zhuǎn)換密文CT*以及用戶u的部分私鑰和恢復(fù)密鑰RKu，輸出解密驗(yàn)證后的明文消息M'。

Trace(PP,RL,Du)。該算法由屬性機(jī)構(gòu)執(zhí)行。輸入系統(tǒng)公共參數(shù)PP、用戶撤銷列表RL和用戶私鑰Du，輸出被追蹤用戶的身份u和更新后的用戶撤銷列表RL′。

CTUpdate(PP,RL′,CT)。該算法由屬性機(jī)構(gòu)和公有云之間的交互來完成。輸入更新后的用戶撤銷列表RL′，輸出更新后的密文CT′。

3.3 安全模型

基于時(shí)間和隱私保護(hù)的可撤銷可追蹤數(shù)據(jù)共享方案的IND-CPA 安全可以通過下述挑戰(zhàn)者C 和敵手A 之間的安全游戲進(jìn)行描述。

初始化。敵手A 提交規(guī)模為l*×n*的挑戰(zhàn)訪問策略A*=，用戶撤銷列表RL*和解密時(shí)間周期，其中，訪問策略的每個(gè)屬性只出現(xiàn)一次，其屬性值集合為

系統(tǒng)建立。C 運(yùn)行SysSetup 算法，生成系統(tǒng)公共參數(shù)和主密鑰，并將系統(tǒng)公共參數(shù)發(fā)送給敵手A。

詢問1。敵手A 適應(yīng)性地向挑戰(zhàn)者C 提交針對(duì)q個(gè)包含元組(u1,S1,T1),…,(uq,Sq,Tq)的用戶密鑰詢問。若Si?A*，或ui∈RL*，或?Ti，即屬性集合Si不滿足挑戰(zhàn)訪問策略A*，或用戶ui未被撤銷，或挑戰(zhàn)解密時(shí)間不被密鑰有效期Ti完全覆蓋，則C 計(jì)算對(duì)應(yīng)的用戶密鑰并返回給敵手A。

挑戰(zhàn)者應(yīng)答。敵手A 輸出2 個(gè)等長(zhǎng)消息m0和m1給挑戰(zhàn)者C。C 隨機(jī)選擇b∈{0,1}，根據(jù)挑戰(zhàn)訪問策略A*加密消息mb得到密文CT*并返回給A。

詢問2。敵手A 重復(fù)詢問1。

猜測(cè)。敵手A 輸出對(duì)c的猜測(cè)c'，如果c=c'，則敵手A 贏得該安全游戲。其優(yōu)勢(shì)定義為

定義 5如果任意隨機(jī)多項(xiàng)式時(shí)間（PPT,probabilistic polynomial time）敵手最多只能以一個(gè)可忽略的優(yōu)勢(shì)贏得上述安全游戲，則本文方案在選擇明文攻擊下是不可區(qū)分性安全的。

4 具體方案構(gòu)造

在本文中，每個(gè)屬性包括屬性名稱和屬性值兩部分，系統(tǒng)時(shí)間使用時(shí)間周期樹進(jìn)行描述。訪問策略可表示為，其中是一個(gè)l×n的秘密生成矩陣，ρ是一個(gè)從A? 的每一行到屬性名稱索引的映射，V是訪問策略中的屬性值集合。以下是本文方案的具體構(gòu)造。

SysSetup(κ,d)。屬性機(jī)構(gòu)首先生成一個(gè)雙線性群并隨機(jī)選擇一個(gè)生成元g0∈G1以及幾個(gè)元素μ,ν∈RG1和x,y∈RZp，選取一個(gè)隨機(jī)對(duì)稱加密算法(Es,Ds)和一個(gè)隨機(jī)對(duì)稱密鑰ks。同時(shí)，創(chuàng)建一個(gè)用戶二叉樹Tu和深度為d的系統(tǒng)時(shí)間樹Tt，其中，用戶二叉樹Tu的每個(gè)葉子節(jié)點(diǎn)和一個(gè)用戶u相關(guān)聯(lián)并賦予一個(gè)唯一值vu∈RZp。對(duì)于Tu中的每個(gè)節(jié)點(diǎn)ηj，選擇ξj∈RZp得到并且計(jì)算接著，隨機(jī)選取元素L0,L1,…,Ld∈RG1并輸出系統(tǒng)公共參數(shù)PP和主密鑰MSK

KeyGen(PP,MSK,Su={Iu,Su},Tv)。屬性機(jī)構(gòu)為合法用戶u按照如下步驟生成其私鑰。

最后，該算法輸出用戶u的私鑰

TKeyGen(PP,Du)。數(shù)據(jù)使用者u首先選擇一個(gè)隨機(jī)數(shù)zu∈Zp作為其恢復(fù)密鑰RKu并按照如下方式生成其轉(zhuǎn)換密鑰。

其中，

最后，輸出用戶恢復(fù)密鑰RKu和轉(zhuǎn)換密鑰TKu。

Encryptoff(PP)。數(shù)據(jù)所有者按照如下步驟生成中間密文。

最后，該算法輸出中間密文IT={ITm,ITa}。

Encrypton(PP,M,IT,Td,RL,A)。數(shù)據(jù)所有者按照如下步驟計(jì)算密文。

首先，從中間密文的主密文模塊ITm中隨機(jī)選擇一個(gè)元，計(jì)算消息驗(yàn)證Vm=H(Ru,M)并對(duì)消息數(shù)據(jù)M加密得到密文元素Cs=Es(ku,M)。

其次，將密文解密周期Td按照時(shí)間周期樹的方法表示為σd=(σ1,…,)，其中σd是一個(gè)m進(jìn)制序列且ld

其中，vρ(x)是訪問策略中屬性ρ(x)對(duì)應(yīng)的屬性值。

再次，通過用戶二叉樹算法cover(RL)得到撤銷列表的最小覆蓋集合，根據(jù)該集合中的各節(jié)點(diǎn)選擇密文元素

最后，得到最終密文

Decryptout(PP,CT,TKu)。公有云首先檢測(cè)用戶u是否在密文CT的用戶撤銷列表RL中，如果在，則算法終止，返回失??；否則，根據(jù)用戶屬性集合和密文訪問策略，獲取一個(gè)行索引集合Ir={i:ρ(i)∈Iu∧i∈[l]}和一個(gè)常量集合使當(dāng){λi}有效時(shí)，=s成立。同時(shí)，如果用戶私鑰中嵌入的屬性值αi和密文中嵌入的訪問策略值vρ(i)一致（vρ(i)=αρ(i)），可以得到

再次，計(jì)算轉(zhuǎn)換密文元素

最后，該算法輸出最終的轉(zhuǎn)換密文CT*={RL,Vm,Ct,Cs,C0,{Ej}j∈cover(RL)}。

Decryptu(PP,CT*,,RKu)。假設(shè)用戶u未被撤銷，其首先根據(jù)用戶二叉樹中與用戶u相關(guān)聯(lián)的葉子節(jié)點(diǎn)ηu獲取一個(gè)唯一的節(jié)點(diǎn)ηj=path(ηu) ∩cover(RL)。

Trace(PP,RL,Du)。該算法首先對(duì)用戶私鑰Du執(zhí)行如下檢查。

如果用戶私鑰Du通過該檢查，則計(jì)算vu=Ds(ks,D3)。根據(jù)vu在Tu中進(jìn)行搜索得到對(duì)應(yīng)的用戶身份u，并將其加入用戶撤銷列表中，得到RL'=RL∪{u}。

CTUpdate(PP,RL',CT)。首先，屬性機(jī)構(gòu)隨機(jī)選擇π∈Zp，計(jì)算更新密鑰ξ'=并將其通過安全信道發(fā)送給公有云。

其次，公有云根據(jù)更新后的用戶撤銷列表RL'得到其最小覆蓋集合cover(RL')。對(duì)于該集合中的每個(gè)節(jié)點(diǎn)∈cover(RL')，對(duì)以下2 種情況升級(jí)對(duì)應(yīng)的密文CT。

情況1如果對(duì)于升級(jí)前的用戶撤銷列表RL，存在一個(gè)節(jié)點(diǎn)ηj∈cover(RL) 使，則設(shè)置=Ej。

最后，更新后的密文為

5 安全性分析

在本文方案中，IND-CPA 安全可以規(guī)約到判定性q-BDHE 困難性問題上。

定理1如果判定性q-BDHE 困難性假設(shè)成立，任意PPT 敵手選擇訪問策略和選擇明文攻擊下最多只能以一個(gè)可忽略的優(yōu)勢(shì)攻破本文方案，其中，q>2|U|-2。

定理2如果存在一個(gè)PPT 敵手A 可以以優(yōu)勢(shì)ε攻破本文方案，則可以構(gòu)建一個(gè)模擬器B 以ε/2的優(yōu)勢(shì)解決q-BDHE 困難問題。該模擬過程描述如下。

B 根據(jù)已知消息選擇的參數(shù)按照KeyGen 和TKeyGen 算法分別生成用戶解密密鑰和轉(zhuǎn)換密鑰并返回給敵手A。

詢問2。敵手A 重復(fù)詢問1。

另外，本文方案的可追蹤性采用文獻(xiàn)[23]中的機(jī)制，因此保持了相同的強(qiáng)可追蹤性，其安全性證明也相近，此處因篇幅限制不做專門證明。

6 性能分析

本節(jié)通過將本文方案與文獻(xiàn)[13]方案、文獻(xiàn)[16]方案和文獻(xiàn)[23]方案在計(jì)算開銷和存儲(chǔ)開銷方面進(jìn)行對(duì)比，給出本文方案的理論性能分析。其中，|S|表示用戶屬性集大小，|I|表示訪問策略復(fù)雜度，E1(E2)、M1(M2)、P分別表示素?cái)?shù)階群G1(G2)上的指數(shù)、乘法運(yùn)算和雙線性映射運(yùn)算，|G1|、|G2|、|Zp|分別表示素?cái)?shù)階群G1、G2、Zp上的元素長(zhǎng)度，Ei(ET)、Mij(MT)、Pij分別表示合數(shù)階群Gi(GT)上的指數(shù)、乘法運(yùn)算和雙線性映射運(yùn)算，|Gij|、|GT|、|ZN|表示合數(shù)階群Gi、GT、ZN上的元素長(zhǎng)度，|C|表示撤銷列表在用戶二叉樹中最小覆蓋集合大小，|P|表示用戶二叉樹中路徑長(zhǎng)度。

表2 給出了本文方案和文獻(xiàn)[13,16,23]方案的計(jì)算開銷對(duì)比。在加密算法中，本文方案實(shí)現(xiàn)了最小的加密開銷，由于引入了在線/離線技術(shù)，加密過程中省去了文獻(xiàn)[23]方案中的訪問策略相關(guān)開銷；文獻(xiàn)[13]方案和文獻(xiàn)[16]方案的復(fù)雜度高于本文方案而且其是在合數(shù)階群上進(jìn)行的設(shè)計(jì)，因此效率很低。在解密過程中，由于外包解密的引入，本文方案僅需要一次雙線性映射操作，訪問策略相關(guān)操作都外包至公有云，因此開銷遠(yuǎn)小于文 獻(xiàn)[23]方案；在文獻(xiàn)[13]方案和文獻(xiàn)[16]方案中，解密過程也需要大量合數(shù)階群上的指數(shù)和雙線性運(yùn)算，效率很低。

表2 本文方案和相關(guān)方案的計(jì)算開銷比較

表3 給出了本文方案和文獻(xiàn)[13,16,23]方案的存儲(chǔ)開銷對(duì)比。由于支持用戶撤銷，本文方案和文獻(xiàn)[23]方案都引入了額外的用戶空間相關(guān)的公共參數(shù)元素，另外，本文方案還引入了時(shí)間周期樹的相關(guān)元素，因此具有更長(zhǎng)的公共參數(shù)，但是，以上全部方案的公共參數(shù)均為常數(shù)，因此都支持大屬性空間。在用戶密鑰長(zhǎng)度上，本文方案由于采用了外包解密機(jī)制，僅需要保存恢復(fù)密鑰和用戶密鑰中與用戶二叉樹路徑相關(guān)的部分。而其他方案則需要保存較長(zhǎng)的密鑰，特別是文獻(xiàn)[13]方案和文獻(xiàn)[16]方案的用戶密鑰在合數(shù)階群上的長(zhǎng)度更長(zhǎng)。在密文長(zhǎng)度方面，本文方案由于采用了在線/離線加密技術(shù)，因此比文獻(xiàn)[23]方案有更多的開銷，但是由于所增加的長(zhǎng)度為素?cái)?shù)階群Zp上的元素長(zhǎng)度，因此額外開銷很少。

表3 本文方案和相關(guān)方案的存儲(chǔ)開銷對(duì)比

此外，本文通過實(shí)現(xiàn)4 個(gè)方案并對(duì)其進(jìn)行仿真實(shí)驗(yàn)和對(duì)比分析真實(shí)運(yùn)行數(shù)據(jù)來展示本文方案的實(shí)際性能。使用Java 編程語言和JPBC 庫[25]對(duì)4 個(gè)方案進(jìn)行實(shí)現(xiàn)，采用JPBC 庫的Type A 曲線E(Fq):y2=x3+x生成2 個(gè)階為素?cái)?shù)p的乘法循環(huán)群G1,G2，其 中，p=80，q=160。因此，|G1|=|G2|=320，|Zp|=160。所有實(shí)驗(yàn)都在一臺(tái)硬件配置為Core i5-6500 CPU @ 2.60 GHz、6 GB內(nèi)存并安裝Windows Server 2013 操作系統(tǒng)的服務(wù)器上運(yùn)行和測(cè)試。

圖3 描繪了4 個(gè)方案的文件加密時(shí)間和密文長(zhǎng)度。圖3(a)和圖3(b)對(duì)比了這4 個(gè)方案在不同的撤銷列表最小覆蓋集設(shè)置|C|的文件加密時(shí)間?？梢院苊黠@看出，本文方案在加密過程中需要的時(shí)間損耗遠(yuǎn)小于其他方案，而且隨著訪問策略復(fù)雜度的增長(zhǎng)，本文方案所需的加密時(shí)間增長(zhǎng)較緩慢。圖3(c)和圖3(d)展示了4 個(gè)方案在不同的撤銷列表最小覆蓋集設(shè)置|C|下的密文長(zhǎng)度。其中，4 個(gè)方案的密文大小均隨著訪問策略的復(fù)雜度的增大而增加。由于引入了在線離線技術(shù)，本文方案的密文長(zhǎng)度要大于文獻(xiàn)[23]方案，但是僅限于群Zp上元素的量級(jí)。而文獻(xiàn)[13]方案和文獻(xiàn)[16]方案由于在合數(shù)階群上構(gòu)建，因此其實(shí)際的開銷遠(yuǎn)大于其他2 個(gè)方案。

圖3 4 個(gè)方案的文件加密時(shí)間和密文長(zhǎng)度

圖4 展示了4 個(gè)方案中文件解密時(shí)間隨著密文個(gè)數(shù)的變化情況。圖4(a)和圖4(b)分別為在訪問策略復(fù)雜度|I|=5和|I|=10的設(shè)置下，4 個(gè)方案的解密時(shí)間對(duì)比。從圖4 可以看出，在同樣的訪問策略復(fù)雜度設(shè)置下對(duì)同樣個(gè)數(shù)的密文進(jìn)行解密時(shí)，本文方案所需的解密時(shí)間要遠(yuǎn)小于其他方案，而且其隨文件個(gè)數(shù)增長(zhǎng)的變化非常緩慢。

圖4 4 個(gè)方案中文件解密時(shí)間隨著密文個(gè)數(shù)的變化情況

圖5 展示了4 個(gè)方案在密鑰生成時(shí)間、用戶密鑰長(zhǎng)度和公共參數(shù)長(zhǎng)度方面的性能對(duì)比。圖5(a)和圖5(b)顯示了4 個(gè)方案在不同的時(shí)間周期樹深度d設(shè)置下密鑰生成時(shí)間隨著用戶屬性集合大小的變化情況。可以看出，由于基于合數(shù)階群構(gòu)建，文獻(xiàn)[13]方案和文獻(xiàn)[16]方案的密鑰生成時(shí)間遠(yuǎn)超過另外2 個(gè)方案。本文方案在密文生成算法引入了基于時(shí)間的操作，因此開銷比文獻(xiàn)[23]方案大。但是，在實(shí)際中d一般很小，因此本文方案中額外引入的與系統(tǒng)時(shí)間周期樹深度d相關(guān)的計(jì)算和存儲(chǔ)開銷也非常小。圖5(c)和圖5(d)顯示了4 個(gè)方案在不同路徑長(zhǎng)度|P|設(shè)置下用戶密鑰長(zhǎng)度隨著用戶屬性集合大小的變化情況。本文方案由于采用了外包解密機(jī)制，需要保存的用戶密鑰僅為恢復(fù)密鑰以及和路徑相關(guān)的解密密鑰部分，因此用戶密鑰長(zhǎng)度很小，隨著屬性集合大小的變化也很小。文獻(xiàn)[13]方案和文獻(xiàn)[16]方案由于采用合數(shù)階群實(shí)現(xiàn)，因此密鑰長(zhǎng)度遠(yuǎn)大于另外2 個(gè)方案。圖5(e)和圖5(f)描繪了在不同的時(shí)間周期樹深度d設(shè)置下系統(tǒng)公共參數(shù)長(zhǎng)度隨系統(tǒng)屬性集合的變化情況。很明顯，4 個(gè)方案的公共參數(shù)的大小均不受系統(tǒng)屬性全集大小影響，即均支持大規(guī)模屬性集合。文獻(xiàn)[23]方案和本文方案由于支持用戶撤銷，因此需要更多的參數(shù)開銷，同時(shí)本文方案還支持時(shí)間有效性而引入了時(shí)間相關(guān)的公共參數(shù)，因此，公共參數(shù)長(zhǎng)度大于文獻(xiàn)[23]方案。

圖5 4 個(gè)方案在密鑰生成時(shí)間、用戶密鑰長(zhǎng)度和公共參數(shù)長(zhǎng)度方面的性能對(duì)比

圖6 展示了本文方案和文獻(xiàn)[23]方案、文獻(xiàn)[16]方案在用戶追蹤時(shí)間和存儲(chǔ)方面的真實(shí)開銷對(duì)比。圖6(a)對(duì)比評(píng)估了3 個(gè)方案的用戶追蹤時(shí)間。由于文獻(xiàn)[16]方案基于合數(shù)階群進(jìn)行構(gòu)建，而且其追蹤用戶的算法基于用戶列表查找，因此計(jì)算開銷高于另外2 個(gè)方案。圖6(b)是3 個(gè)方案在存儲(chǔ)方面的實(shí)際消耗對(duì)比。由于本文方案和文獻(xiàn)[23]方案在實(shí)現(xiàn)用戶追蹤時(shí)不需要用戶列表，其用戶追蹤的存儲(chǔ)開銷為0；而文獻(xiàn)[16]方案的用戶追蹤需要維護(hù)一個(gè)額外的用戶列表，因此，文獻(xiàn)[16]方案在存儲(chǔ)方面消耗較大，而且隨著用戶個(gè)數(shù)增多，列表存儲(chǔ)開銷增大。

圖6 3 個(gè)方案在用戶追蹤時(shí)間和存儲(chǔ)方面的真實(shí)開銷對(duì)比

綜上所述，本文方案由于在系統(tǒng)公共參數(shù)中引入時(shí)間相關(guān)的一些固定參數(shù)，因此在公共參數(shù)的存儲(chǔ)開銷中有所增加。然而，本文方案在計(jì)算性能和其他存儲(chǔ)空間開銷方面都遠(yuǎn)超文獻(xiàn)[13,16,23]方案。因此，本文方案更具有實(shí)用性和高效性。

7 結(jié)束語

為了解決當(dāng)前CP-ABE 方案中存在的隱私保護(hù)和用戶追蹤以及撤銷等嚴(yán)重問題，本文設(shè)計(jì)了一種可撤銷可追蹤的基于時(shí)間且具有隱私保護(hù)的云數(shù)據(jù)共享方案，實(shí)現(xiàn)了基于時(shí)間的細(xì)粒度訪問控制和訪問策略的用戶隱私保護(hù)。同時(shí)，對(duì)于惡意泄露密鑰的用戶，設(shè)計(jì)了一種高效追蹤用戶并進(jìn)行直接用戶撤銷的機(jī)制，該機(jī)制具有很短的用戶撤銷列表。本文方案的加密過程只需要簡(jiǎn)單的整數(shù)計(jì)算，而在解密過程中只需要一個(gè)雙線性映射運(yùn)算，相比已有方案，整體效率有很大提升。此外，在判定性q-BDHE假設(shè)下，本文方案是IND-CPA 安全的，而且支持大規(guī)模屬性空間，非常適于云環(huán)境下數(shù)據(jù)共享的實(shí)際應(yīng)用。