邱建兵 胡勇

針對(duì)屬性撤銷CP-ABE方案中密鑰更新時(shí)屬性授權(quán)機(jī)構(gòu)與用戶之間的通信開銷過大及密文更新時(shí)云存儲(chǔ)中心的計(jì)算復(fù)雜度過高的問題，本文提出一種基于異或運(yùn)算的、支持屬性級(jí)撤銷的密文策略屬性基加密方案. 在該方案中，屬性授權(quán)機(jī)構(gòu)先將需要撤銷的屬性名稱、被撤銷用戶的標(biāo)識(shí)及新的時(shí)間參數(shù)發(fā)送給云存儲(chǔ)中心，然后云存儲(chǔ)中心根據(jù)用戶標(biāo)識(shí)和新的時(shí)間參數(shù)的異或結(jié)果與密文的一部分進(jìn)行異或運(yùn)算，得到新密文.收到新密文后，正常用戶可以利用自己的密鑰解密得到原密文，進(jìn)而得到明文， 而被撤銷用戶則只能使用已撤銷屬性的新密鑰才能解密得到原密文，從而實(shí)現(xiàn)屬性級(jí)撤銷. 理論分析和數(shù)值模擬表明，在保證系統(tǒng)安全性的前提下，該方案能夠減少屬性授權(quán)機(jī)構(gòu)與用戶間的通信開銷，降低云存儲(chǔ)中心的計(jì)算復(fù)雜度.

訪問控制； 密文策略屬性基加密； 異或運(yùn)算； 屬性級(jí)撤銷

TP391.1 A 2024.013001

A CP-ABE scheme for attribute revocation based on XOR operation

QIU Jian-Bing， HU Yong

（School of Cyber Science and Engineering， ?Sichuan University， ?Chengdu 610065， ?China）

Aiming at the problems of high communication overhead between attribute authorization authority and normal users when the key is updated， ?high computational complexity in cloud center when the ciphertext is updated， an attribute-based ciphertext policy encryption scheme based on XOR operation is proposed to support attribute level revocation. Attribute authorization first sends the attribute name and the user ID to be revoked and the new time parameter to the cloud center. Then the cloud center uses the XOR result of the user ID and the new time parameter to perform the XOR operation with part of the ciphertext to obtain the new ciphertext. The normal user can decrypt the original ciphertext by using his own key， and further obtain the plaintext. The revoked user can decrypt the original ciphertext only by using the new key of the revoked attribute， thereby realizing attribute level revocation. The analysis shows that under the premise of ensuring system security， this scheme reduces the communication overhead between attribute authorization and users， and reduces the computing complexity in cloud center.

Access control; CP-ABE; XOR operation; Attribute level revokation

1 引 言

數(shù)據(jù)的云共享是共享經(jīng)濟(jì)的關(guān)鍵 ?［1］ ，當(dāng)前云存儲(chǔ)在用戶數(shù)據(jù)托管方面得到了廣泛的應(yīng)用. 但由于數(shù)據(jù)存放在用戶無法控制的云端，這可能帶來嚴(yán)重的數(shù)據(jù)隱私安全問題 ?［2，3］ .

屬性基加密方法（ABE） ?［4］ 能夠?qū)崿F(xiàn)細(xì)粒度的訪問控制. 其中，密文策略屬性基加密（CP-ABE）方法的出現(xiàn)使得用戶能更加靈活地設(shè)置訪問策略，控制其他用戶對(duì)存儲(chǔ)于遠(yuǎn)端服務(wù)器的數(shù)據(jù)的訪問 ?［5］ . 然而，在采用CP-ABE進(jìn)行訪問控制的多用戶應(yīng)用系統(tǒng)中，通常存在用戶身份變化的情況.此時(shí)為確保系統(tǒng)安全及用戶正確解密，就需要撤銷并更新相關(guān)屬性的私鑰組件. 按其影響范圍，這些撤銷可分為用戶部分屬性撤銷、用戶撤銷以及系統(tǒng)屬性撤銷 ?［6］ . 其中，用戶部分屬性撤銷即改變特定用戶的特定屬性值而不影響其他用戶和該用戶的其他屬性值，也稱為屬性級(jí)用戶撤銷，是最細(xì)粒度的撤銷方式.

2011年，Hur等 ?［7］ 提出了一個(gè)利用密鑰加密密鑰樹實(shí)現(xiàn)屬性級(jí)用戶撤銷的CP-ABE方案. 在該方案中，若用戶的某個(gè)屬性被撤銷，則云存儲(chǔ)中心將生成新的密鑰加密密鑰，并負(fù)責(zé)重新加密密文. 由于該方案中的屬性群密鑰對(duì)該群的用戶完全通用，因而不能抵抗撤銷用戶和未撤銷用戶的合謀攻擊. 為解決這個(gè)問題，近年來學(xué)術(shù)界提出了一些方法. 例如，2013年Yang等 ?［8］ 提出了一種面向云存儲(chǔ)的細(xì)粒度訪問控制方案，該方案為每個(gè)屬性生成兩個(gè)公開參數(shù)，當(dāng)進(jìn)行屬性撤銷時(shí)由屬性授權(quán)機(jī)構(gòu)負(fù)責(zé)更新屬性對(duì)應(yīng)的公開參數(shù)，并為用戶更新解密密鑰，而這也增加了屬性授權(quán)機(jī)構(gòu)的計(jì)算開銷以及其與用戶之間的通信開銷. 2017年，閆璽璽等 ?［9］ 提出了具有隱私保護(hù)的屬性撤銷方案，該方案通過設(shè)置屬性陷門更新用戶的屬性私鑰，并以令牌樹機(jī)制控制數(shù)據(jù)共享的范圍，該方案不能抵抗撤銷用戶與未撤銷用戶的合謀攻擊. 2018年，Xue等 ?［10］ 提出了一種基于非單調(diào)訪問結(jié)構(gòu)的屬性撤銷方案，該方案基于合數(shù)階群構(gòu)建，效率較低. 2022年， 董國芳等 ?［11］ 提出了支持撤銷屬性的CP-ABE密鑰更新方法，該方法有效減少了屬性授權(quán)中心在更新密鑰時(shí)的計(jì)算開銷，但該方案由屬性授權(quán)中心創(chuàng)建并維護(hù)用戶撤銷列表及屬性密鑰撤銷列表，增加了屬性授權(quán)中心的存儲(chǔ)開銷.

鑒于現(xiàn)有的多數(shù)方案都主要針對(duì)性能或安全性等單個(gè)問題進(jìn)行研究，而在實(shí)現(xiàn)高性能的同時(shí)保證強(qiáng)的安全性卻是屬性級(jí)用戶撤銷的研究趨勢， 本文提出一個(gè)性能和安全性兼顧的方案. 該方案使用異或運(yùn)算對(duì)密文進(jìn)行更新，減少云存儲(chǔ)中心的計(jì)算開銷，同時(shí)通過只更新被撤銷用戶的密鑰的方式達(dá)到減少屬性授權(quán)機(jī)構(gòu)與數(shù)據(jù)用戶之間的通信開銷的目的，并通過兩個(gè)定理證明了該方案的安全性.

2 算法定義及安全模型

本文的方案（后文簡稱方案）包括四類實(shí)體：數(shù)據(jù)擁有者（Data Owner， DO），云存儲(chǔ)中心（Cloud Center， CC），屬性授權(quán)機(jī)構(gòu)（Attribute Authority， AA）和數(shù)據(jù)用戶（Data User， DU），各實(shí)體間的聯(lián)系如圖1所示.

2.1 算法定義

方案主要由以下幾個(gè)算法構(gòu)成.

（1） ?Setup （）：AA運(yùn)行該算法對(duì)系統(tǒng)進(jìn)行初始化， 輸出系統(tǒng)公鑰 PK 和系統(tǒng)主密鑰 MK .

（2） ?KeyGen （）：AA運(yùn)行該算法以系統(tǒng)主密鑰 MK 和屬性集合 S 作為輸入，輸出用戶私鑰 Sk .

（3） ?Encrypt （）：DO運(yùn)行該算法，基于訪問樹結(jié)構(gòu) T 對(duì)數(shù)據(jù)明文 M 進(jìn)行加密，并將加密得到的密文 CT 發(fā)送給CC.

（4） ?CTUpdate （）：CC收到AA的新的時(shí)間參數(shù)、要撤銷的用戶標(biāo)識(shí)以及屬性標(biāo)識(shí)后，運(yùn)行該算法進(jìn)行與屬性標(biāo)識(shí)有關(guān)的密文更新.

（5） Decrypt（）：DU獲得CC發(fā)送的密文后，首先解密該密文得到原始密文 CT ，接著使用自己的私鑰解密 CT ，當(dāng)其擁有的屬性集合滿足對(duì)應(yīng)的訪問策略時(shí)便可解密得到明文 M .

2.2 安全模型

方案將安全模型定義為挑戰(zhàn)者S與攻擊者A間的安全游戲 ?［12］ ，具體規(guī)則如下.

參數(shù)設(shè)置階段：S運(yùn)行系統(tǒng)初始化算法 Setup ，生成系統(tǒng)主密鑰 MK 和系統(tǒng)公開密鑰 PK ，并將系統(tǒng)公開密鑰 PK 發(fā)送給A.

密鑰查詢階段1：A適應(yīng)性地提交一系列屬性集合 （ S ??1 ， S ??2 ，…， S ???q ??1 ?） 給S，S運(yùn)行密鑰生成算法 KeyGen 生成對(duì)應(yīng)的私鑰 SK ，并將其發(fā)送給A.

挑戰(zhàn)階段：A提交長度相等的兩個(gè)消息 ?M ??0 、 M ??1 ?和一個(gè)訪問控制策略 （ A ??* ，ρ） 給S，S公平地選擇 b ∈{0，1}，并基于訪問控制策略對(duì)消息 ?M ??b ?進(jìn)行加密，將生成的密文 ?CT ??* ?發(fā)送給A.

密鑰查詢階段2：與密鑰查詢階段1類似，A繼續(xù)適應(yīng)性地提交一系列屬性集合，但需滿足如下限制：（1） 提交的屬性集合都不能滿足訪問策略； （2） 更 新后的解密密鑰都不能解密挑戰(zhàn)密文.

猜測階段：A輸出值 ?b ′ ∈{0，1}作為對(duì) b 的猜測，如果 ?b=b ′ ，則認(rèn)為A贏得了該游戲，定義A在該游戲中的優(yōu)勢為 ε=|Pr［b= b ′］-1/2|. ?對(duì)于一個(gè)屬性撤銷CP-ABE方案，如果在任意多項(xiàng)式時(shí)間內(nèi)A的優(yōu)勢 ε 是可忽略的，即A幾乎不可能贏得游戲的勝利，則稱該方案是抗選擇明文攻擊（IND-CPA）安全的.

3 方案描述

方案主要包括五個(gè)算法，具體構(gòu)造如下.

（1） 系統(tǒng)初始化算法 Setup .

令 ?G ??0 ?為一個(gè)階為素?cái)?shù) p 的雙線性群， g 為 ?G ??0 ?的生成元. 此外，令 e： G ??0 × G ??0 → G ??1 ?表示雙線性映射.群的大小由安全參數(shù) λ 決定. 對(duì)于 i∈ Z ??p ?和 ?Z ??p ?中元素組成的集合 S ，定義拉格朗日系數(shù) ?Δ ????i，S ?為

Δ ????i，S （x）=∏ ??j∈S，j≠i ?x-j i-j ??（1）

此外，應(yīng)用哈希函數(shù) ?H：{0，1} ??* → G ??0 ?，并將其作為一個(gè)隨機(jī)預(yù)言機(jī). 此函數(shù)將以字符串描述的屬性值映射為一個(gè)隨機(jī)群元素.

屬性授權(quán)機(jī)構(gòu)運(yùn)行 Setup 算法對(duì)系統(tǒng)進(jìn)行初始化. 選擇一個(gè)階為素?cái)?shù) p 的雙線性群 ?G ??0 ?，該群的生成元為 g. ?然后隨機(jī)選擇加密指數(shù) α，β∈ Z ??p ， 輸出系統(tǒng)公鑰為

PK=（ G ??0 ，g，h= g ??β ，f= g ??1/β ，e （g，g） ??α ） ?（2）

系統(tǒng)主密鑰 MK為（β， g ??α ） .

（2） 密鑰生成算法 SkeyGen.

屬性授權(quán)機(jī)構(gòu)維護(hù)初始的時(shí)間參數(shù) T ，運(yùn)行密鑰生成算法 SkeyGen 生成用戶的解密密鑰 Sk ，將 Sk 和 Sk⊕T 發(fā)送給用戶，并將該初始時(shí)間參數(shù) T 發(fā)送給云存儲(chǔ)中心.

該算法以系統(tǒng)主密鑰 MK 和屬性集合 S 作為輸入，輸出用戶私鑰 Sk .該算法首先選擇一個(gè)隨機(jī)數(shù) r∈ Z ??p ?，然后對(duì)每個(gè)屬性 j∈S ，隨機(jī)選擇 ?r ??j ∈ Z ??p ， ?計(jì)算用戶私鑰：

Sk=（D= g ??（α+γ）/β ，

j∈S： D ??j = g ??r ·H （j） ???r ??j ?， D ′ ?j = g ???r ??j ?） ?（3）

其中 H 為哈希函數(shù).

（3） 數(shù)據(jù)加密算法 Encrypt .

數(shù)據(jù)擁有者在將數(shù)據(jù) M 外包給云存儲(chǔ)中心之前，需要運(yùn)行數(shù)據(jù)加密算法 Encrypt 對(duì)數(shù)據(jù) M 加密. 該算法基于訪問樹結(jié)構(gòu) T 對(duì)數(shù)據(jù) M 進(jìn)行加密. 該算法首先為樹 T 中的每個(gè)節(jié)點(diǎn) x （包括葉子）選擇一個(gè)多項(xiàng)式 ?q ??x ?. 這些多項(xiàng)式采用自頂向下的方式從根節(jié)點(diǎn) R 進(jìn)行選擇. 對(duì)于樹中的每個(gè)節(jié)點(diǎn) x ，設(shè)多項(xiàng)式 ?q ??x ?的階 ?d ??x ?為節(jié)點(diǎn) x 的閾值 ?k ??x ?減1，即 ?d ??x = k ??x -1.

本文從根節(jié)點(diǎn) R 開始隨機(jī)選擇 s∈ Z ??p ?，并設(shè)置 ?q ??R （0）=s . 然后，隨機(jī)選擇多項(xiàng)式 ?q ??R ?的其他 ?d ??R ?個(gè)節(jié)點(diǎn)來定義該多項(xiàng)式. 對(duì)于其他的任何節(jié)點(diǎn) x ，令 ??q ??x （0） = q ???parent （x） （ index （x）） 且隨機(jī)選擇多項(xiàng)式 ?q ??x ?的其他 ?d ??x ?個(gè)點(diǎn)來定義該多項(xiàng)式.

令 Y 為樹 T 的葉子節(jié)點(diǎn)的集合. 接著，通過訪問樹結(jié)構(gòu) T 構(gòu)建如下的密文：

CT=（T， C ?=M e（g，g） ??αs ，C= h ??s ，

y∈Y： C ??y = g ???q ??y （0） ， C ′ ?y =H（att （y） ???q ??y （0） ）） ?（4）

其中 h 的值為 ?g ??β ?.

（4） 密文更新算法 CTUpdate .

一旦收到屬性授權(quán)機(jī)構(gòu)的新的時(shí)間參數(shù) ?T ′ 、要撤銷的用戶標(biāo)識(shí) ?U ???id 以及屬性標(biāo)識(shí) x ，則運(yùn)行密文更新算法 CTUpdate 進(jìn)行與屬性標(biāo)識(shí) x 有關(guān)的密文更新. 以密文 ?CT ??1 ?為例，該算法選取密文 ?CT ??1 ?最前面的一小部分定義為密文前部 ?CT ??1 _1 ，首先將要撤銷的用戶標(biāo)識(shí) ?U ???id 與新的時(shí)間參數(shù) ?T ′ 進(jìn)行異或運(yùn)算得到 ?T ′ ⊕ ?U ???id ，接著分別用初始的時(shí)間參數(shù) T 、 ?T ′⊕ U ???id 與密文前部 ?CT ??1 _1 進(jìn)行異或運(yùn)算生成新的密文：

CT ??* ??1 = T⊕ CT ??1 _1， T ′⊕ U ???id ?⊕ CT ??1 _1， U ???id ??+

CT ′ ?1 ??（5）

其中 ?CT ′ ?1 ?為選取密文 ?CT ??1 ?中除密文前部 ?CT ??1 _1 外剩下的部分; T 為屬性授權(quán)機(jī)構(gòu)維護(hù)的初始時(shí)間參數(shù).

（5） 數(shù)據(jù)解密算法 Decrypt .

數(shù)據(jù)用戶獲得云存儲(chǔ)中心發(fā)送的密文 ?CT ??* ??1 = T⊕ CT ??1 _1， T ′⊕ U ??id ⊕ CT ??1 _1， U ??id ?+ CT ′ ?1 ?后，首先需要解密該密文得到原始密文，具體步驟為：利用屬性授權(quán)機(jī)構(gòu)發(fā)送的解密密鑰 Sk 和 Sk⊕ T ???user 進(jìn)行異或運(yùn)算得到時(shí)間參數(shù) ?T ???user ，接著判斷當(dāng)前的用戶標(biāo)識(shí)是否為要撤銷的用戶標(biāo)識(shí) ?U ???id . 如果是，則計(jì)算 （ T ???user ?⊕ U ???id ?）⊕ （T ′⊕ U ???id ?⊕ CT ??1 _1）+ CT ′ ?1 ?作為原密文 CT ，否則計(jì)算 ?T ???user ?⊕（T⊕ CT ??1 _1）+ CT ′ ?1 ?作為原密文 CT ，流程如圖2所示.

然后，定義遞歸算法DecryptNode（ CT ， SK ， x ），該算法的輸入 為一個(gè)密文 CT=（T， C ?，C，y∈ ??Y： C ??y ， C ′ ?y ） ，一個(gè)基于屬性集 S 的私鑰 SK 和樹 T 中的一個(gè)節(jié)點(diǎn) x .

假如節(jié)點(diǎn) x 為葉子節(jié)點(diǎn)，令 i = att （ x ），假如 ?i ∈ S ?，定義

DecryptNode= e（ D ??i ， C ??x ） e（ D ?? ??i ， C ?? ??x ） =

e（ g ??r ·H ?i ????r ??i ?， g ???q ??x （0） ） e（ g ???r ??i ?，H ?i ????q ??x （0） ） =e （g，g） ??r q ??x （0） ??（6）

其中 ?D ??i ?和 ?D ?? ??i ?是密鑰組件的一部分； ?C ??x ?和 ?C ?? ??x ?是密文的一部分，具體表達(dá)式在式（3）和式（4）中已給出. 假如 iS ，定義DecryptNode（ CT ， SK ， x ）=⊥.

現(xiàn)在考慮當(dāng) x 是非葉子節(jié)點(diǎn)的遞歸情況. 算法DecryptNode（ CT ， SK ， x ）的計(jì)算情況如下：對(duì)于節(jié)點(diǎn) x 的所有子節(jié)點(diǎn) z ，調(diào)用函數(shù)DecryptNode（ CT ， SK ， z ）并且存儲(chǔ)結(jié)果為 ?F ??z ?. 令 ?S ??x ?為一個(gè)任意的大小為 ?k ??x ?的子節(jié)點(diǎn) z 的集合，且滿足 ?F ??z ?≠⊥. 如果不存在這樣的集合，函數(shù)返回⊥. 否則計(jì)算 ?F ??x =∏ ?z∈ S ??x ???F ???Δ ??i， S ′ ?x ?（0） ??z ?，其中 i= index （z ），

S ′ ??x = ?index （z）：z∈ S ???x ?=

∏ ?z∈ S ???x ???（e （g，g） ???r q ???z （0） ） ????Δ ???i， S ′ ??x ?（0） =

∏ ?z∈ S ??x ???（e （g，g） ???r q ????parent （z） （ index （z）） ） ????Δ ???i， S ′ ??x ?（0） =

∏ ?z∈ S ??x ???（e （g，g） ???r q ???x （i） ） ???Δ ???i， S ′ ??x ?（0） =e （g，g） ???r q ???x （0） ??（7）

并且返回上述計(jì)算結(jié)果.

定義函數(shù)DecryptNode后，解密算法通過調(diào)用樹 T 的根節(jié)點(diǎn) R 上的函數(shù)開始執(zhí)行. 如屬性集合 S 滿足訪問樹 T ，則令

A ′= DecryptNode ?CT，SK，R =

e （g，g） ??r q ??R （0） =e （g，g） ??rs ??（8）

則解密運(yùn)算就是

C ?/（e（C，D）/ A ′）=

C ?/（e（ h ??s ， g ??（α+γ）/β ）/e （g，g） ??rs ）=M ?（9）

M 即為數(shù)據(jù)擁有者外包的原始數(shù)據(jù).

4 安全性證明

本方案的安全性證明主要基于第2.2節(jié)的安全模型及以下兩個(gè)定理.

定理4.1 ???若確定性的 q -parallel BDHE假設(shè)成立，則不存在多項(xiàng)式的時(shí)間內(nèi)攻擊者能夠選擇性地攻破本方案，其中挑戰(zhàn)矩陣規(guī)模為 ?l ??* × n ??* （ n ??* ≤q） ??［13］ .

證明 ?假定 A 是一個(gè)在選擇性安全挑戰(zhàn)場景下?lián)碛袃?yōu)勢 ??Adv ????A ??的攻擊者，他選擇一個(gè)不超過 q 列的挑戰(zhàn)矩陣 ?A ??* ?. 在沒有一個(gè)解密密鑰 Sk 能夠成功解密挑戰(zhàn)者密文的限制下，構(gòu)建一個(gè)具有不可忽略優(yōu)勢的挑戰(zhàn)者 S 來解決確定性的 q -parallel BDHE問題.

定理4.2 ???本方案的訪問控制模式能夠抵抗用戶的非授權(quán)訪問 ?［14］ .

證明 ?非授權(quán)的用戶訪問主要包括兩種情形. （1） 擁有不滿足訪問控制策略屬性集合的用戶嘗試訪問并解密數(shù)據(jù)；（2）當(dāng)用戶的某些屬性被撤銷后，其仍嘗試用以前的解密密鑰訪問數(shù)據(jù).

情形1 ???擁有不滿足訪問控制策略屬性集合的用戶無法成功解密密文. 同時(shí)，還要考慮到多用戶的合謀攻擊. 在本方案中，所有用戶都需先使用時(shí)間參數(shù) t 和用戶id與收到的密文進(jìn)行異或運(yùn)算得到原始密文后才能使用密鑰進(jìn)行解密，這就可以實(shí)現(xiàn)即使某些用戶擁有相同的屬性集合，他們?nèi)詿o法進(jìn)行合謀來解密密文.

情形2 ???假設(shè)用戶的某個(gè)屬性被撤銷，屬性授權(quán)機(jī)構(gòu)將生成一個(gè)新的時(shí)間參數(shù) t 來更新被撤銷用戶的密鑰， 并將新的時(shí)間參數(shù) t 、被撤銷用戶 id 發(fā)送給云存儲(chǔ)中心，用于更新與被撤銷屬性相關(guān)的密文. 經(jīng)過這樣處理后，被撤銷用戶的舊密鑰由于時(shí)間參數(shù) t 不同而不能解密得到原密文， 從而不能解密得到明文. 另一方面，使用新密鑰能得到原密文，但由于密鑰組件不匹配，同樣無法解密原密文得到明文，即被撤銷用戶無法使用以前的密鑰解密密文.

5 性能分析

通過與Hur ?［7］ 方案和Yang ?［8］ 方案的比較，我們分析了本方案的存儲(chǔ)開銷、通信開銷和計(jì)算效率.令| p |為 ?Z ??p ?中元素的長度. 設(shè)| g |和 | g ??T | 分別為 G 和 ?G ??T ?中的元素長度， ??n ??a ?和 ?n ??u ?分別表示系統(tǒng)中屬性和用戶的總數(shù)， ??n ??r ?表示要更新密鑰的用戶的數(shù)量. 設(shè) ?n ??a，i ?表示用戶 i 擁有的屬性數(shù)量， l 表示與密文相關(guān)的屬性的數(shù)量， r 表示被撤銷的屬性數(shù)量， | T |表示時(shí)間參數(shù)的長度， ?| u ???id |表示用戶標(biāo)識(shí) ?U ???id 的長度.

5.1 存儲(chǔ)開銷

表1顯示了系統(tǒng)中各實(shí)體的存儲(chǔ)開銷的比較. 屬性授權(quán)機(jī)構(gòu)的主要存儲(chǔ)開銷來自Hur方案中的主密鑰. 除主密鑰外，在Yang方案中屬性授權(quán)機(jī)構(gòu)還需要為每個(gè)屬性持有一個(gè)版本密鑰. 與Yang方案相比，本方案不需要為每個(gè)屬性持有一個(gè)版本密鑰，但需要維護(hù)一個(gè)時(shí)間參數(shù).

在Yang方案中，公鑰參數(shù)和公鑰屬性密鑰都為數(shù)據(jù)擁有者貢獻(xiàn)了存儲(chǔ)開銷，這與系統(tǒng)中的屬性總數(shù)呈線性關(guān)系. 在Hur方案和Yang方案中，加密數(shù)據(jù)帶來的存儲(chǔ)開銷是相同的，本方案與Yang方案中數(shù)據(jù)擁有者的存儲(chǔ)開銷相同.

Yang方案只需要云存儲(chǔ)中心存儲(chǔ)密文，而Hur方案中的云存儲(chǔ)中心需要同時(shí)存儲(chǔ)消息頭和密文，且密文與系統(tǒng)用戶數(shù)呈線性關(guān)系. 本方案與Yang方案相比，還需存儲(chǔ)被撤銷屬性以及被撤銷用戶的標(biāo)識(shí) ?U ???id .

在Yang方案中，每個(gè)用戶的存儲(chǔ)開銷與它擁有的屬性數(shù)量相關(guān). 而在Hur方案中，每個(gè)數(shù)據(jù)用戶的存儲(chǔ)開銷不僅與它擁有的屬性數(shù)量呈線性關(guān)系，而且與系統(tǒng)中的用戶數(shù)量呈線性關(guān)系. 本方案中數(shù)據(jù)用戶的存儲(chǔ)開銷與Yang方案相同. 通常，用戶的數(shù)量遠(yuǎn)大于系統(tǒng)中屬性的數(shù)量，這意味著本方案和Yang方案中數(shù)據(jù)用戶產(chǎn)生更少的存儲(chǔ)開銷.

5.2 通信開銷

如表2所示，系統(tǒng)的通信開銷主要是由密鑰和密文造成的. 在Yang方案中，屬性授權(quán)機(jī)構(gòu)與數(shù)據(jù)用戶之間的通信開銷來自于數(shù)據(jù)用戶的密鑰和更新密鑰. 而在Hur方案中，屬性授權(quán)機(jī)構(gòu)與數(shù)據(jù)用戶之間的通信開銷只與密鑰有關(guān). 本方案中屬性授權(quán)機(jī)構(gòu)與數(shù)據(jù)用戶之間的通信開銷同樣來自數(shù)據(jù)用戶的密鑰和更新密鑰，與Yang方案不同的是，本方案只更新被撤銷用戶的密鑰，通信開銷小很多.

在Hur方案中，公鑰耗費(fèi)了屬性授權(quán)機(jī)構(gòu)與數(shù)據(jù)擁有者之間的大部分通信開銷. 在Yang方案中，當(dāng)需要進(jìn)行屬性撤銷時(shí)數(shù)據(jù)擁有者需要獲取被撤銷屬性的最新公共屬性密鑰. 本方案與Hur方案相同，主要是分發(fā)密鑰貢獻(xiàn)了屬性授權(quán)機(jī)構(gòu)與數(shù)據(jù)擁有者之間的通信開銷.

在Yang方案中，云存儲(chǔ)中心和數(shù)據(jù)用戶之間的通信開銷來自于密文. 但在Hur方案中，除了密文之外，消息頭也會(huì)增加云存儲(chǔ)中心與數(shù)據(jù)用戶之間的通信開銷，該開銷與系統(tǒng)中所有用戶的數(shù)量呈線性關(guān)系. 本方案無額外的消息頭，故而通信開銷與Yang方案處于一個(gè)數(shù)量級(jí).

密文是云存儲(chǔ)中心和數(shù)據(jù)擁有者之間通信的主要開銷. 由于本方案與Yang方案中密文的大小比Hur方案中的密文小得多，因此云存儲(chǔ)中心與數(shù)據(jù)擁有者之間的通信開銷比Hur方案中的密文小得多.

5.3 計(jì)算效率

我們在Windows系統(tǒng)上實(shí)現(xiàn)本文方案、Hur方案 ?［7］ 和Yang方案 ?［8］ . 該系統(tǒng)采用AMD Ryzen 54 600 G CPU，主頻3.7 GHz，內(nèi)存16 GB. 代碼使用JPBC庫實(shí)現(xiàn)上述方案. 使用512 bit有限域上的超奇異曲線 ?y ??2 = x ??3 +x ?中的160 bit橢圓曲線群. 實(shí)驗(yàn)數(shù)據(jù)取運(yùn)行20次所得的平均值. 在實(shí)驗(yàn)中，JPBC庫進(jìn)行一次 雙線性對(duì)運(yùn)算的時(shí)間大約為46 ms，進(jìn)行一次群 G 中指數(shù)運(yùn)算的時(shí)間大約為6.0 ms，進(jìn)行一次群 ?G ??T ?中指數(shù)運(yùn)算的時(shí)間大約為0.6 ms. 我們主要對(duì)本方案與現(xiàn)有方案在密鑰生成時(shí)間、加密時(shí)間、解密時(shí)間與重加密時(shí)間方面進(jìn)行了比較.

如圖3a所示，密鑰生成時(shí)間隨著用戶的屬性個(gè)數(shù)呈線性增長，Hur方案中的密鑰生成包括屬性授權(quán)機(jī)構(gòu)執(zhí)行的屬性密鑰生成算法和云存儲(chǔ)中心執(zhí)行的 KEK 生成算法，故其密鑰生成時(shí)間比Yang方案以及本方案要長.

如圖3b所示，加密時(shí)間與系統(tǒng)中總數(shù)呈線性關(guān)系. Yang方案中的加密階段所需時(shí)間比Hur方案更少. 這是由于在Hur方案中，數(shù)據(jù)所有者首先運(yùn)行CP-ABE方案中的數(shù)據(jù)加密算法加密數(shù)據(jù)，然后將密文發(fā)送到云存儲(chǔ)中心. 云存儲(chǔ)中心收到數(shù)據(jù)所有者發(fā)送的密文后，會(huì)使用隨機(jī)生成的加密指數(shù)對(duì)密文進(jìn)行重新加密. 然后，云存儲(chǔ)中心用廣播加密方法以一組屬性組密鑰加密該指數(shù). 本方案與Yang方案的加密算法類似，故加密時(shí)間與Yang方案相差不大.

如圖3c所示，各方案的解密時(shí)間都隨著解密屬性數(shù)量的增長而增長. 其中，Hur方案的數(shù)據(jù)解密階段包含了對(duì)消息頭 Hdr 的屬性組密鑰解密和對(duì)密文的解密，所需時(shí)間較長. Yang方案中的密文在密文更新階段使用代理重加密技術(shù)，而本方案使用的是異或運(yùn)算進(jìn)行密文更新，故在解密時(shí)所需解密時(shí)間小于Yang方案.

如圖3d所示，用戶的某個(gè)屬性被撤銷時(shí)，需要對(duì)相應(yīng)的密文進(jìn)行更新. Yang方案只需更新與被撤銷屬性相關(guān)的密文組件，而Hur方案需要重新加密密文的所有組件. 此外，Hur方案中的重加密需要產(chǎn)生新的加密指數(shù)，故其重加密時(shí)間比Yang方案所需時(shí)間長. 本方案也只需更新與被撤銷屬性相關(guān)的密文. 不同的是，本方案使用異或運(yùn)算進(jìn)行密文更新，所需時(shí)間比Yang方案更少.

6 結(jié) 論

本文提出一個(gè)基于異或運(yùn)算的屬性撤銷CP-ABE方案，通過使用被撤銷用戶的標(biāo)識(shí)以及新的時(shí)間參數(shù)對(duì)密文進(jìn)行異或運(yùn)算實(shí)現(xiàn)了細(xì)粒度的屬性撤銷. 通過挑戰(zhàn)者與攻擊者之間的安全博弈，本文證明了方案的安全性. 理論分析和實(shí)驗(yàn)結(jié)果表明，該方案能有效降低密鑰更新時(shí)的通信開銷以及密文更新時(shí)的計(jì)算開銷. 未來我們將繼續(xù)優(yōu)化云存儲(chǔ)中心所需的存儲(chǔ)開銷.

參考文獻(xiàn)：

［1］ ??Qin J C， Wang Y， Dong Y C. Investigating the impact of risk attitude and privacy protection on consumers data sharing behavior［J］. J ?Sichuan Univ（Nat Sci Ed）， 2021， 58： 067002.［秦軍昌， 王淵， 董玉成. 風(fēng)險(xiǎn)態(tài)度和隱私保護(hù)對(duì)消費(fèi)者共享數(shù)據(jù)行為影響的機(jī)制研究［J］. 四川大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2021， 58： 067002.］

［2］ ?Rivera D， García A， Martín-Ruiz M L， ?et al . Secure communications and protected data for an internet of things smart toy platform ［J］. IEEE Int Things J， 2019， 1： 1.

［3］ ?Zhang J， Wang B， Wang X A， ?et al . New group user based privacy preserving cloud auditing protocol ［J］. Future Gener Comput Syst， 2020， 106： 585.

［4］ ?Wang Y D， Yang J H， Xu C， ?et al . Survey on access control technologies for cloud computing［J］. J Software， 2015， 26： 1129.［王于丁， 楊家海， 徐聰， 等. 云計(jì)算訪問控制技術(shù)研究綜述［J］. 軟件學(xué)報(bào)， 2015， 26： 1129.］

［5］ ?Shao ?L， Niu W N， Zhang X S. Cybersecurity threats assessment of self-service terminals in IoT application scenarios and corresponding countermeasures［J］. J Sichuan Univ（Nat Sci Ed）， 2023， 60： 013004.［邵林， 牛偉納， 張小松. 物聯(lián)網(wǎng)應(yīng)用場景下自助終端網(wǎng)絡(luò)安全威脅評(píng)估與應(yīng)對(duì)［J］. 四川大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2023， 60： 013004.］

［6］ ?Fang L， Yin L H， Guo Y C， ?et al . A survey of key technologies in attribute-based access control scheme［J］. Chin J Comp， 2017， 40： 1680.［房梁， 殷麗華， 郭云川， 等. 基于屬性的訪問控制關(guān)鍵技術(shù)研究綜述［J］. 計(jì)算機(jī)學(xué)報(bào)， 2017， 40： 1680.］

［7］ ?Hur J， Dong K N. Attribute-based access control with efficient revocation in data outsourcing systems ［J］. IEEE Trans Parallel Distrib Syst， 2011， 22： 1214.

［8］ ?Yang K， Jia X， Ren K. Attribute-based fine-grained access control with efficient revocation in cloud storage systems ［C］//Acm SIGSAC Symposium on Information. New York： ACM， 2013.

［9］ ?Yan X X， Ye Q， Liu Y. Attribute-based encryption scheme supporting privacy preserving and user revocation in the cloud environment ［J］. Netinfo Secur， 2017， 17： 14.［閆璽璽， 葉青， 劉宇. 云環(huán)境下支持隱私保護(hù)和用戶撤銷的屬性基加密方案［J］. 信息網(wǎng)絡(luò)安全， 2017， 17： 14.］

［10］ ?Xue L， Yu Y， Li Y， et al . Efficient attribute-based encryption with attribute revocation for assured data deletion ［J］. Inform Sci， 2018， 2018： 640.

［11］ Dong G F， Lu Y K， Zhang C W， ?et al . CP-ABE key update method supporting revocation attribute［J］. Appli Res Comp， 2023， 40： 6.［董國芳， 魯燁堃， 張楚雯，等. 支持撤銷屬性的CP-ABE密鑰更新方法［J］. 計(jì)算機(jī)應(yīng)用研究， 2023， 40： 6.］

［12］ Bethencourt J， Sahai A， Waters B. Ciphertext-policy attribute-based encryption ［C］//IEEE ?Symposium on Security & Privacy. Piscataway： IEEE， ??2007.

［13］ Zhao Z Y， Zhu Z Q， Wang J H， ?et al . Revocable attribute-based encryption with escrow-free in cloud storage［J］. J Electr Inform Technol， 2018， 40： 1.［趙志遠(yuǎn)， 朱智強(qiáng)， 王建華， 等. 云存儲(chǔ)環(huán)境下無密鑰托管可撤銷屬性基加密方案研究［J］. 電子與信息學(xué)報(bào)， 2018， 40： 1.］

［14］ Fan Y D， Wu X P. Cloud storage access control scheme based on policy hiding attribute encryption［J］. Comp Eng， 2018， 44： 139.［范運(yùn)東， 吳曉平. 基于策略隱藏屬性加密的云存儲(chǔ)訪問控制方案［J］. 計(jì)算機(jī)工程， 2018， 44： 139.］

收稿日期： ?2023-02-12

作者簡介： ??邱建兵（1996-）， 男， 江西鷹潭人， 碩士研究生，主要研究方向?yàn)閿?shù)據(jù)安全. E-mail： 1711130224@qq.com

通訊作者： ?胡勇. E-mail： huyong@scu.edu.cn