云計算環(huán)境中支持隱私保護的數(shù)字版權(quán)保護方案

黃勤龍，馬兆豐，傅鏡藝，楊義先，鈕心忻

（1. 北京郵電大學(xué) 信息安全中心，北京 100876；2. 北京郵電大學(xué) 災(zāi)備技術(shù)國家工程實驗室，北京 100876；3. 北京國泰信安科技有限公司，北京 100086）

1 引言

隨著互聯(lián)網(wǎng)和云計算技術(shù)的快速發(fā)展和不斷普及，云計算在提高使用效率的同時，為數(shù)字內(nèi)容安全與用戶隱私保護帶來極大的沖擊與挑戰(zhàn)[1]。數(shù)字版權(quán)管理（DRM，digital rights management）通過數(shù)字內(nèi)容的加密和安全許可等一系列手段防止數(shù)字內(nèi)容的非法誤用，確保數(shù)字內(nèi)容在公平、合理、安全許可框架下的條件使用和消費[2～5]。

云計算以動態(tài)的服務(wù)計算為主要技術(shù)特征，有著較大的靈活性和成本優(yōu)勢。企業(yè)能夠?qū)?nèi)容存儲和運營外包給云服務(wù)提供商,而不需自己購買設(shè)備和維護系統(tǒng)，還能在存儲需求變化時靈活地增減云資源的租用。同時，用戶也能夠方便地通過不同終端接入云服務(wù)，使用海量的數(shù)字內(nèi)容。然而，如何保護云環(huán)境下數(shù)字內(nèi)容的安全性和合理使用，同時防止云服務(wù)提供商挖掘或者泄露用戶隱私信息是云計算環(huán)境中數(shù)字版權(quán)保護無法回避的核心問題。

針對云計算環(huán)境中數(shù)字版權(quán)保護的需求，本文提出一種云計算環(huán)境中支持隱私保護的數(shù)字版權(quán)保護方案，實現(xiàn)數(shù)字內(nèi)容版權(quán)全生命周期的保護和用戶隱私的保護。本文的貢獻主要有3個方面。

1)提出云計算環(huán)境中數(shù)字內(nèi)容版權(quán)全生命周期保護和用戶隱私保護的框架，包括系統(tǒng)初始化、內(nèi)容加密、許可授權(quán)和內(nèi)容解密4個主要協(xié)議，支持云計算環(huán)境中細粒度的用戶授權(quán)和靈活的應(yīng)用模式。

2)采用基于屬性基加密和加法同態(tài)加密算法的內(nèi)容加密密鑰保護和分發(fā)機制，保證內(nèi)容加密密鑰的安全性。內(nèi)容加密密鑰由主密鑰、授權(quán)密鑰和輔助密鑰三部分組成，其中主密鑰使用內(nèi)容提供商設(shè)置的訪問策略加密，授權(quán)密鑰和輔助密鑰分別由授權(quán)服務(wù)器和密鑰服務(wù)器加密分發(fā)給用戶，用戶只有在其屬性滿足密文的訪問策略并且擁有有效許可證的情況下才能基于加法同態(tài)加密算法解密出內(nèi)容加密密鑰。

3)允許用戶匿名向云服務(wù)提供商訂購內(nèi)容和申請授權(quán)，有效保護用戶的隱私，同時防止云服務(wù)提供商、授權(quán)服務(wù)器和密鑰服務(wù)器等收集用戶使用習(xí)慣等敏感信息。

2 相關(guān)工作

云計算技術(shù)帶來的大規(guī)模在線存儲和按需使用的模式，使越來越多的用戶選擇云計算作為內(nèi)容的存儲平臺。然而，數(shù)字內(nèi)容的全生命周期保護包括內(nèi)容的安全性、內(nèi)容的合理使用等，是云計算發(fā)展和應(yīng)用中面臨的關(guān)鍵問題。在云計算快速發(fā)展的推動下，國內(nèi)外學(xué)者在云環(huán)境下版權(quán)保護方面的研究也在不斷深入，并取得不少研究成果，主要集中在內(nèi)容安全、訪問控制和隱私保護等方面[6～15]。

1)數(shù)字內(nèi)容安全。內(nèi)容加密是保護云環(huán)境中內(nèi)容安全的基本手段，JAFARI等人在2011年的ACM DRM 會議上提出支持云存儲環(huán)境的數(shù)據(jù)版權(quán)保護方案[6]，通過加密用戶上傳的數(shù)字內(nèi)容，并限制訪問者對內(nèi)容的使用權(quán)利，保護內(nèi)容的安全性。該方案不依賴于可信的云服務(wù)提供商，但是不支持細粒度的用戶授權(quán)。另外，在JAFARI等人的方案中，數(shù)據(jù)擁有者在為用戶授權(quán)時，使用用戶的公鑰加密內(nèi)容加密密鑰，導(dǎo)致用戶解密的計算復(fù)雜度較高。針對內(nèi)容加密密鑰的保護，WANG等人提出云計算中基于SIM卡的移動版權(quán)保護方案CS-DRM[7]，使用對稱加密技術(shù)加密內(nèi)容加密密鑰。但是，該方案需要通過SIM卡提前協(xié)商對稱密鑰，實用性不高，同時會泄露用戶使用內(nèi)容的習(xí)慣。

PETRLIC也提出云計算環(huán)境中支持細粒度授權(quán)的版權(quán)保護方案[8]，允許內(nèi)容提供商將加密的內(nèi)容上傳到云服務(wù)提供商，并設(shè)置使用權(quán)限。用戶在使用內(nèi)容時，云服務(wù)提供商利用代理重加密技術(shù)將內(nèi)容重加密為用戶公鑰加密的內(nèi)容，確保只有該用戶才能解密，并且在重加密過程中，云服務(wù)提供商也無法知道內(nèi)容的明文。該方案雖然可以保證內(nèi)容在云環(huán)境中的安全性，但是用戶每次使用內(nèi)容時都需要重加密內(nèi)容，當(dāng)用戶數(shù)量達到一定規(guī)模時會帶來很大的額外開銷。

另外，同態(tài)加密也廣泛應(yīng)用于數(shù)字內(nèi)容的安全保護，SAMANTHULA等人提出了云計算環(huán)境中基于代理重加密和同態(tài)加密技術(shù)的內(nèi)容安全共享方案[9]。CORENA等人也提出了基于云計算的財務(wù)數(shù)據(jù)安全整合和存儲的方案[10]，該方案基于加法同態(tài)加密和秘密共享技術(shù)實現(xiàn)數(shù)據(jù)在密文狀態(tài)下的運算。

2)內(nèi)容訪問控制。密文的訪問控制是云計算環(huán)境下加密內(nèi)容安全使用的關(guān)鍵問題，WU等人提出了一種云計算環(huán)境下基于屬性基加密的內(nèi)容保護方案[11]，以實現(xiàn)靈活的訪問控制。洪澄等人在屬性基加密的基礎(chǔ)上提出一種內(nèi)容保護和訪問控制方案[12]，設(shè)計出一種基于秘密共享方案的云端重加密方法，在不損失安全性的前提下將一部分重加密代價轉(zhuǎn)移到云端，降低權(quán)限管理的復(fù)雜度，實現(xiàn)密文訪問控制。MULLER等人首次提出基于屬性基加密的數(shù)字版權(quán)保護方案[13]，通過靜態(tài)規(guī)則和動態(tài)規(guī)則實現(xiàn)版權(quán)內(nèi)容的合理使用。其中，靜態(tài)規(guī)則是通過設(shè)置密文的訪問策略，實現(xiàn)用戶的訪問控制，動態(tài)規(guī)則是將用戶允許使用的權(quán)限通過許可證分發(fā)給用戶，實現(xiàn)內(nèi)容的使用控制。

3)用戶隱私保護。針對云計算環(huán)境下用戶使用內(nèi)容時隱私保護的問題，CONRADO等人最早提出支持隱私保護的版權(quán)保護方案[14]，允許用戶匿名購買內(nèi)容和申請授權(quán)。但是，該方案基于智能卡實現(xiàn)，缺乏實用性。PERLMAN等人提出基于匿名現(xiàn)金和盲簽名技術(shù)的用戶隱私保護方案[15]，允許用戶匿名使用內(nèi)容，同時防止云服務(wù)提供商跟蹤用戶的使用行為，但是不支持細粒度的用戶授權(quán)。在PERLMAN等人方案的基礎(chǔ)上，PETRLIC等人提出一種云計算環(huán)境中支持靈活用戶授權(quán)的內(nèi)容版權(quán)保護方案[16]，該方案基于同態(tài)加密和秘密共享技術(shù)實現(xiàn)云服務(wù)器上加密內(nèi)容的授權(quán)管理，結(jié)合重加密機制防止云服務(wù)器收集用戶的敏感數(shù)據(jù)。然而，該方案同樣在用戶每次使用內(nèi)容時都需重加密內(nèi)容，效率較低。

本文在上述工作成果的基礎(chǔ)上，提出適用于云計算環(huán)境的數(shù)字內(nèi)容版權(quán)全生命周期保護方案，允許內(nèi)容提供商上傳加密內(nèi)容到云存儲環(huán)境，采用屬性基加密和加法同態(tài)加密算法分發(fā)內(nèi)容加密密鑰，不僅保護內(nèi)容的安全性，支持靈活的訪問控制，而且允許用戶匿名獲取內(nèi)容和授權(quán)，同時防止云服務(wù)提供商獲得用戶使用內(nèi)容的記錄。

3 預(yù)備知識

3.1 CP-ABE

屬性基加密（ABE）最初由SAHAI和WATERS提出[17]，它以屬性為公鑰，將密文和用戶私鑰與屬性關(guān)聯(lián)，能夠靈活地表示訪問策略，當(dāng)用戶的私鑰與密文的訪問策略相互匹配時，該用戶才能解密密文。ABE包括密鑰策略（KP-ABE）以及密文策略（CP- ABE）2類。其中，CP-ABE的密文與訪問策略關(guān)聯(lián)，更加適合于云計算環(huán)境下的訪問控制。

CP-ABE 算法包括以下4個組成部分。

1)ABE.Setup()。生成系統(tǒng)公鑰PK和系統(tǒng)主密鑰MK。

2)ASK=ABE.KeyGen(AS,MK)。使用用戶屬性AS和MK生成用戶的屬性私鑰ASK。

3)CT=ABE.Encrypt(AP,M,PK)。使用訪問策略AP和PK將數(shù)據(jù)明文M加密為密文CT。

4)M=ABE.Decrypt(ASK,CT)。如果用戶的屬性AS滿足訪問策略AP，使用屬性私鑰ASK解密密文CT得到明文M。

3.2 加法同態(tài)加密

同態(tài)加密技術(shù)允許用戶對加密數(shù)據(jù)進行直接運算或處理，是實現(xiàn)云計算安全中密文處理和隱私保護的重要基礎(chǔ)。同態(tài)加密[18]是在1978年由RIVEST等人提出的，是基于數(shù)學(xué)難題的計算復(fù)雜性理論的密碼學(xué)技術(shù)。2009年，GENTRY提出了基于多項式環(huán)上理想格的全同態(tài)加密算法[19]。2010年，DIJK等人提出針對整數(shù)加密的全同態(tài)加密算法[20]。

基于同態(tài)加密算法，可以對加密數(shù)據(jù)進行運算或處理，而不再需要先進行解密。CASTELLUCCIA等人提出一種加法同態(tài)加密算法[21]，滿足如表1所示的屬性，包括加密算法、解密算法和密文加法，該方案是可證明安全的。

表1 加法同態(tài)加密算法

4 云計算環(huán)境中版權(quán)保護需求

1)靈活性

云計算由于可擴展性和靈活性等特性，能夠滿足用戶對數(shù)字內(nèi)容不斷增長的需求，并且支持按需使用的業(yè)務(wù)模式。因此，云計算環(huán)境中的版權(quán)保護方案在保證數(shù)字內(nèi)容安全性的前提下應(yīng)滿足靈活的業(yè)務(wù)需求和細粒度的用戶授權(quán)，并且支持內(nèi)容提供商設(shè)置靈活的訪問控制。同時，云計算為用戶提供使用便利，用戶可以隨時隨地使用不同終端訪問云服務(wù)提供商，購買和租用數(shù)字內(nèi)容。因此，云計算環(huán)境中的版權(quán)保護方案應(yīng)支持靈活的應(yīng)用模式。

2)安全性

云計算允許內(nèi)容提供商將內(nèi)容發(fā)布到云存儲平臺，并快速分發(fā)給用戶，因此版權(quán)保護方案應(yīng)保證內(nèi)容的安全性，防止由于云服務(wù)系統(tǒng)內(nèi)部人員失職、外部黑客攻擊等引起的數(shù)字內(nèi)容泄露，保護內(nèi)容提供商的合法權(quán)利。同時，為了保證數(shù)字內(nèi)容的合理使用，版權(quán)保護方案應(yīng)確保數(shù)字內(nèi)容只能被授權(quán)用戶訪問，防止假冒攻擊和重放攻擊等非授權(quán)訪問，并且支持許可證的撤銷。

3)隱私保護

用戶通過云服務(wù)提供商訂購內(nèi)容時，版權(quán)保護方案應(yīng)防止內(nèi)容提供商和云服務(wù)提供商等獲取用戶身份信息，保證用戶的匿名性。另外，云服務(wù)提供商在為用戶提供內(nèi)容服務(wù)的同時，往往通過網(wǎng)頁等技術(shù)收集并分析用戶的使用記錄，為用戶精準地推薦相關(guān)內(nèi)容。因此，版權(quán)保護方案應(yīng)防止云服務(wù)提供商收集用戶的使用記錄等敏感信息，保護用戶的隱私。

5 方案設(shè)計思想

基于CP-ABE和加法同態(tài)加密算法，本文提出一種半可信云計算環(huán)境中支持隱私保護的數(shù)字版權(quán)全生命周期保護方案，保護版權(quán)內(nèi)容在上傳、存儲、傳輸和使用等環(huán)節(jié)的安全性和合理使用。如圖1所示，數(shù)字版權(quán)保護方案涵蓋屬性機構(gòu)、內(nèi)容提供商、密鑰服務(wù)器、授權(quán)服務(wù)器、云服務(wù)提供商和用戶等組成部分。

圖1 數(shù)字版權(quán)保護方案框架

1)屬性機構(gòu)：屬性機構(gòu)是可信的服務(wù)器，為用戶分配屬性，并生成用戶的屬性私鑰通過安全信道分發(fā)給用戶。

2)內(nèi)容提供商：內(nèi)容提供商通過加密組件使用隨機的主密鑰、授權(quán)密鑰、輔助密鑰相加得到內(nèi)容加密密鑰，使用內(nèi)容加密密鑰加密準備上傳的數(shù)字內(nèi)容，并將加密后的數(shù)字內(nèi)容發(fā)布到云存儲平臺。同時，內(nèi)容提供商通過訪問策略加密主密鑰以實現(xiàn)用戶的訪問控制。

3)密鑰服務(wù)器：密鑰服務(wù)器接收內(nèi)容提供商加密的輔助密鑰，在申請內(nèi)容解密時為已授權(quán)用戶提供輔助密鑰。另外，在授權(quán)服務(wù)器撤銷許可證后，密鑰服務(wù)器拒絕已撤銷許可證的內(nèi)容解密請求。

4)授權(quán)服務(wù)器：授權(quán)服務(wù)器根據(jù)云服務(wù)提供商的內(nèi)容訂購請求，為用戶生成許可證，并通過云服務(wù)提供商分發(fā)給用戶。許可證中包含加密的授權(quán)密鑰以及時間限制、次數(shù)限制等細粒度授權(quán)，并使用授權(quán)服務(wù)器的私鑰簽名。

5)云服務(wù)提供商：云服務(wù)提供商向用戶提供內(nèi)容服務(wù)，用戶通過云服務(wù)提供商購買內(nèi)容提供商的內(nèi)容并獲取許可證，在此過程中云服務(wù)提供商不能獲取明文內(nèi)容、用戶隱私和敏感信息。

6)用戶：用戶獲取加密的內(nèi)容后，通過云服務(wù)提供商向授權(quán)服務(wù)器申請許可證，在使用內(nèi)容時向密鑰服務(wù)器申請輔助密鑰。用戶設(shè)備上的可信DRM客戶端首先利用屬性私鑰解密出主密鑰，然后基于加法同態(tài)加密算法解密出授權(quán)密鑰與輔助密鑰的和，再與主密鑰相加得到內(nèi)容加密密鑰并解密明文內(nèi)容。DRM客戶端在執(zhí)行內(nèi)容使用權(quán)利約束的同時，保護內(nèi)容加密密鑰和明文內(nèi)容不被竊取或者轉(zhuǎn)存。

下面介紹數(shù)字版權(quán)全生命周期保護中系統(tǒng)初始化、內(nèi)容加密、許可授權(quán)和內(nèi)容解密4個主要的協(xié)議。文中用到的符號定義如表2所示。

表2 相關(guān)符號定義

5.1 系統(tǒng)初始化協(xié)議

系統(tǒng)初始化時，屬性機構(gòu)定義系統(tǒng)屬性為A={a1,a2,a3,…,an}，公開發(fā)布系統(tǒng)公鑰PK，并秘密保存系統(tǒng)主密鑰MK。

用戶注冊時，根據(jù)用戶的屬性AS為用戶生成屬性私鑰ASK，并通過安全信道發(fā)送給用戶秘密保存。

5.2 內(nèi)容加密協(xié)議

在內(nèi)容加密階段，內(nèi)容提供商的加密組件生成隨機的CEK，再使用CEK基于對稱加密算法加密內(nèi)容提供商上傳的內(nèi)容。

Step1 內(nèi)容提供商的加密組件隨機生成長度為l的CMK、LK和AK，并相加得到CEK。

CEK=CMK + LK + AK∈ [0,M?1]，其中M≥2l+1

Step2 加密組件使用CEK加密PCD，并把加密結(jié)果ECD發(fā)布到云存儲平臺。

Step3 內(nèi)容提供商設(shè)置該內(nèi)容的訪問策略AP，加密組件基于CP-ABE算法使用AP加密CMK，使用授權(quán)服務(wù)器的公鑰 PKS加密 LK，并將結(jié)果一并發(fā)送給授權(quán)服務(wù)器，同時使用密鑰服務(wù)器的公鑰PKK加密AK發(fā)送給密鑰服務(wù)器。

5.3 許可授權(quán)協(xié)議

用戶通過云服務(wù)提供商訂購內(nèi)容后，云服務(wù)提供商向授權(quán)服務(wù)器申請LIC，授權(quán)服務(wù)器根據(jù)用戶的訂購權(quán)限生成LIC，并通過云服務(wù)提供商分發(fā)給用戶。許可授權(quán)協(xié)議時序如圖2所示。

圖2 許可授權(quán)協(xié)議時序

Step1 用戶隨機生成密鑰UK，向云服務(wù)提供商提交內(nèi)容訂購請求，包括CID、用戶使用權(quán)限REX和許可授權(quán)請求LAQ。其中，LAQ包括CID、REX和UK，并使用PKS加密。

Step2 云服務(wù)提供商處理用戶的內(nèi)容訂購請求后，向授權(quán)服務(wù)器提交許可生成請求 LSQ和簽名。其中，LSQ包括LAQ和T等。

Step3 授權(quán)服務(wù)器收到許可生成請求LSQ和簽名后，驗證LSQ的簽名是否正確，并驗證T是否有效。驗證通過后，授權(quán)服務(wù)器首先使用SKS解密出CID、REX和UK。其次，授權(quán)服務(wù)器根據(jù)CID隨機生成長度為l的HKS和HKK（滿足HKS+ HKK∈[0,M?1]，其中每個內(nèi)容的HKK均相同）。根據(jù)許可證權(quán)利描述為用戶生成 LIC并返回給云服務(wù)提供商。LIC中包括AP加密的CMK、HKS加密的LK、許可授權(quán)憑證 LAT和許可證標識 LID等，并使用SKS簽名。

Step4 云服務(wù)提供商將LIC發(fā)送給用戶，用戶使用PKS驗證LIC的完整性，并保存LIC。

5.4 內(nèi)容解密協(xié)議

用戶使用內(nèi)容時，將已申請的LIC中的LAT發(fā)送給密鑰服務(wù)器請求AK。用戶獲取AK后，基于加法同態(tài)加密算法解密出LK與AK的和。內(nèi)容解密協(xié)議時序如圖3所示。

圖3 內(nèi)容解密協(xié)議時序

Step1 用戶使用內(nèi)容時首先判斷 LIC是否存在，若LIC存在并且有效時，用戶從LIC提取出LAT發(fā)給密鑰服務(wù)器申請AK。

Step2 密鑰服務(wù)器收到 LAT后，使用 PKS驗證LAT的完整性，并使用SKK解密出CID和HKK。然后，密鑰服務(wù)器使用SKK解密出該內(nèi)容的AK，并使用HKK加密AK后，將Enc(HKK,AK)返回給用戶。

Step3 用戶使用ASK從LIC中解密出CMK。

Step4 用戶使用UK從LIC中解密出HKS+HKK。

Step5 基于加法同態(tài)加密算法，用戶使用(HKS+HKK)解密出(LK + AK)。

Step6 用戶使用CEK解密ECD，并按照LIC中的REX執(zhí)行權(quán)利約束。

6 方案應(yīng)用模式

1)云在線應(yīng)用模式

云計算將大量計算資源、存儲資源與內(nèi)容資源通過網(wǎng)絡(luò)連接在一起，推動了在線應(yīng)用和在線內(nèi)容服務(wù)的快速發(fā)展。本文方案支持云環(huán)境下數(shù)字內(nèi)容在線使用場景下靈活的版權(quán)控制，例如在線播放多媒體內(nèi)容、在線閱讀電子書等。用戶通過安裝在終端的DRM客戶端向授權(quán)服務(wù)器在線申請許可證，獲取許可證后實時解密在線傳輸?shù)募用軆?nèi)容流，并按照許可證中規(guī)定的權(quán)利進行使用控制。通過方案中的隱私保護方法，用戶不僅可以享受云計算帶來的在線數(shù)字內(nèi)容服務(wù)，而且無需擔(dān)心隱私和敏感記錄的泄露。

2)云超級分發(fā)應(yīng)用模式

云計算通過CDN等技術(shù)消除網(wǎng)絡(luò)運營商之間的互通瓶頸，將數(shù)字內(nèi)容分發(fā)到離用戶最近的網(wǎng)絡(luò)節(jié)點，為用戶提供更快的內(nèi)容超級分發(fā)服務(wù)。本文方案支持許可證與內(nèi)容獨立分發(fā)的模式，加密的數(shù)字內(nèi)容可以在用戶之間或者用戶的不同終端設(shè)備之間進行超級分發(fā)。用戶使用加密內(nèi)容時，需要通過云服務(wù)提供商向授權(quán)服務(wù)器申請許可證。本文方案不僅滿足云環(huán)境中數(shù)字內(nèi)容分發(fā)和共享的需求，而且保護用戶使用內(nèi)容過程中的隱私。

7 方案分析

7.1 正確性分析

已知 HKS+ HKK∈ [0,M?1]，LK + AK∈ [0,M?1]，M是一個大整數(shù)。

基于CASTELLUCCIA等人提出的加法同態(tài)加密算法[21]可以得出

則由上述等式，可得

由CEK=CMK + LK + AK，用戶可以正確解密內(nèi)容。

7.2 安全性分析

定理1 用戶只有滿足訪問策略并獲取有效的許可證后才能解密內(nèi)容。

加密服務(wù)器使用 CEK加密數(shù)字內(nèi)容，用戶只有獲取 CEK才能解密內(nèi)容。用戶通過云服務(wù)提供商向授權(quán)服務(wù)器申請 LIC，LIC中包含AP加密的CMK、HKS加密的LK、Enc(UK,HKS+ HKK)和LAT等。在使用加密內(nèi)容時，用戶將LIC中的LAT發(fā)送給密鑰服務(wù)器，密鑰服務(wù)器驗證有效后，返回Enc(HKK,AK)給用戶，用戶然后使用屬性私鑰ASK解密出 CMK，再基于加法同態(tài)加密算法解密出CEK。因此，用戶只有滿足屬性結(jié)構(gòu)并獲取有效的許可證后才能解密內(nèi)容。另外，撤銷的用戶由于無法通過密鑰服務(wù)器獲取加密的 AK，因此也無法解密內(nèi)容。

定理2 云服務(wù)提供商、授權(quán)服務(wù)器和密鑰服務(wù)器均無法獲得內(nèi)容加密密鑰。

在許可授權(quán)階段，由于CMK使用AP加密，因此云服務(wù)提供商和授權(quán)服務(wù)器均無法獲得CEK。在內(nèi)容解密階段，密鑰服務(wù)器可以根據(jù)Enc(PKK,AK)解密出AK，但是無法獲得CMK和LK，因此也無法獲得CEK。另外，如果攻擊者試圖偽造LAT，隨機生成 HKK'并發(fā)送 Enc(PKK,CID || HKK' || T)||Sig(SKS',CID || HKK' || T)給密鑰服務(wù)器。密鑰服務(wù)器使用PKS驗證簽名Sig(SKS',CID || HKK' || T)不通過，攻擊者無法獲取 AK。因此，云服務(wù)提供商也不能聯(lián)合攻擊者獲得CEK。

定理3 攻擊者不能重放云服務(wù)提供商的許可生成請求。

在許可授權(quán)階段，云服務(wù)器提供商向授權(quán)服務(wù)器提交許可生成請求。攻擊者試圖重放許可生成請求，發(fā)送LSQ’ || Sig(SKSP,LSQ’)給授權(quán)服務(wù)器。授權(quán)服務(wù)器驗證LSQ’的簽名正確，然后使用SKS解密LAQ || T’得到LAQ和時間戳T’等，但是驗證時間戳T’與授權(quán)服務(wù)器時間不符。因此，攻擊者無法通過重放攻擊獲取授權(quán)服務(wù)器頒發(fā)的許可證。

7.3 隱私保護分析

1)匿名性

用戶在內(nèi)容訂購時，生成隨機的UK向授權(quán)服務(wù)器申請授權(quán)，云服務(wù)提供商和授權(quán)服務(wù)器無法獲取用戶的身份信息。用戶在使用內(nèi)容時向密鑰服務(wù)器提交的LAT也不包含用戶的身份信息。因此，本文方案能夠保證用戶的匿名性，防止泄露用戶的身份信息。

2)敏感記錄保護

用戶向云服務(wù)提供商訂購內(nèi)容時，隨機生成密鑰 UK封裝在許可授權(quán)請求中發(fā)送給云服務(wù)提供商。由于每次訂購時UK都不相同，因此云服務(wù)提供商無法將該內(nèi)容訂購請求與特定的匿名用戶聯(lián)系起來，也無法收集匿名用戶的內(nèi)容訂購記錄。同時，許可授權(quán)申請中每次的時間戳 T都不相同，因此授權(quán)服務(wù)器也無法統(tǒng)計特定匿名用戶的授權(quán)記錄。

用戶在使用內(nèi)容時，向密鑰服務(wù)器提交LAT，由于 HKK是隨機生成的，并且每個內(nèi)容的 HKK均相同，因此密鑰服務(wù)器也無法分析用戶的內(nèi)容使用習(xí)慣。

通過以上分析，本文方案能夠有效防止用戶敏感記錄的泄露和分析。

7.4 實驗分析

1)實驗環(huán)境

下面將設(shè)計實驗對本文方案的性能進行分析。實驗環(huán)境是Ubuntu 12.10虛擬機（Intel Core i52.53 GHz，分配2 GB內(nèi)存）。實驗的編碼實現(xiàn)基于cpabe庫[22]，對稱加密算法使用128 bit AES算法。

2)實驗結(jié)果

針對不同內(nèi)容大小和屬性個數(shù)的情況進行加密和解密實驗，圖4展示了訪問策略中屬性個數(shù)為8的情況下加密和解密時間開銷與內(nèi)容大小的對比關(guān)系，圖5展示了解密時間開銷與訪問策略中屬性個數(shù)的對比關(guān)系。實驗結(jié)果可以看出，加密和解密的時間開銷與內(nèi)容大小和訪問策略中屬性個數(shù)成線性關(guān)系，加密 10 M大小的內(nèi)容所需的時間小于1 s，解密時間也遠小于加密時間，因此，本文所提方案在內(nèi)容加密和解密操作的時間開銷方面具有優(yōu)勢。

圖4 內(nèi)容加密和解密時間開銷與內(nèi)容大小的關(guān)系

圖5 內(nèi)容解密時間開銷與屬性個數(shù)的關(guān)系

7.5 與其他方案的比較

本文方案使用對稱加密算法加密內(nèi)容，保護內(nèi)容的安全性，支持許可證的細粒度用戶授權(quán)，如是否允許播放、時間限制和次數(shù)限制等，同時支持在線和超級分發(fā)應(yīng)用模式。通過引入CP-ABE和加法同態(tài)加密機制分發(fā)內(nèi)容加密密鑰，保證內(nèi)容加密密鑰的安全性。另外，本文在保證用戶匿名性的同時，能夠防止用戶敏感記錄的泄露和分析。本文方案與現(xiàn)有的云計算環(huán)境中內(nèi)容保護方案對比分析的結(jié)果如表3所示。

與文獻[6,7]相比，本文方案支持細粒度的用戶授權(quán)，同時允許用戶匿名使用云計算環(huán)境中的版權(quán)保護服務(wù)，保護用戶敏感記錄。與文獻[16]相比，本文方案使用對稱加密算法加密內(nèi)容，安全性更高，并且在使用內(nèi)容時不需要重新加密內(nèi)容，效率更高，同時也支持超級分發(fā)模式。與文獻[12,13]相比，本文方案支持對用戶敏感記錄等隱私的保護。

表3 云計算環(huán)境中內(nèi)容保護方案功能對比分析

8 結(jié)束語

針對云計算環(huán)境中數(shù)字版權(quán)保護的需求，本文提出一種云計算環(huán)境中支持隱私保護的數(shù)字版權(quán)保護方案。首先，提出云計算環(huán)境中數(shù)字內(nèi)容版權(quán)全生命周期保護和用戶隱私保護的框架，描述了數(shù)字內(nèi)容版權(quán)全生命周期中系統(tǒng)初始化、內(nèi)容加密、許可授權(quán)和內(nèi)容解密4個主要的協(xié)議。其次，本文提出基于屬性基加密和加法同態(tài)加密算法的內(nèi)容加密密鑰保護和分發(fā)機制,保證內(nèi)容加密密鑰的安全性。內(nèi)容加密密鑰由主密鑰、授權(quán)密鑰和輔助密鑰組成，分別獨立加密分發(fā)到用戶。用戶在其屬性滿足密文的訪問策略并且擁有有效許可證的情況下，可以首先解密出主密鑰，然后基于加法同態(tài)加密算法解密出授權(quán)密鑰與輔助密鑰的和，最后得到內(nèi)容加密密鑰。同時，本文允許用戶匿名向云服務(wù)提供商訂購內(nèi)容和申請授權(quán)，有效保護用戶的隱私，防止云服務(wù)提供商、授權(quán)服務(wù)器和密鑰服務(wù)器等收集匿名用戶使用習(xí)慣等敏感信息。此外，本文支持云計算環(huán)境中靈活的業(yè)務(wù)模式和許可證的細粒度授權(quán)，支持在線和超級分發(fā)應(yīng)用模式。

安全性、隱私保護和實驗分析表明，與現(xiàn)有的云計算環(huán)境中數(shù)字版權(quán)保護方案相比，本文方案靈活性及安全性較高，能夠有效保護用戶的隱私，支持靈活的訪問控制，在云計算環(huán)境中具有較好的實用性。

[1]馮登國,張敏,張妍等. 云計算安全研究[J]. 軟件學(xué)報,2011,22(1):71-83.FENG D G,ZHANG M,ZHANG Y,et al. Study on cloud computing security[J]. Journal of Software,2011,22(1):71-83.

[2]俞銀燕,湯幟. 數(shù)字版權(quán)保護技術(shù)研究綜述[J]. 計算機學(xué)報,2005,28(12):957-968.YU Y Y,TANG Z. A survey of the research on digital rights management[J]. Chinese Journal of Computers,2005,28(12):957-968.

[3]馬兆豐,范科峰,陳銘等. 支持時空約束的可信數(shù)字版權(quán)管理安全許可協(xié)議[J]. 通信學(xué)報,2008,29(10):153-164.MA Z F,FAN K F,CHEN M,et al. Trusted digital rights management protocol supporting for time and space constraint[J]. Journal on Communications,2008,29(10):153-164.

[4]ZHANG Z Y,PEI Q Q,YANG L,et al. Establishing multi-party trust architecture for DRM by using game-theoretic analysis of security policies[J]. Chinese Journal of Electronics,2009,18(3):519-524.

[5]QIU Q,TANG Z,LI F,et al. A personal DRM scheme based on social trust[J]. Chinese Journal of Electronics,2012,21(4):719-724.

[6]JAFARI M,SAFAVI-NAINI R,SHEPPARD N P. A rights management approach to protection of privacy in a cloud of electronic health records[A]. Proceedings of the 11th Annual ACM Workshop on Digital Rights Management[C]. Chicago,USA,2011.23-29.

[7]WANG C K,ZOU P,LIU Z,et al. CS-DRM: a cloud-based SIM DRM scheme for mobile internet[J]. Eurasip Journal on Wireless Communications and Networking,2011,2011:1-30.

[8]PETRLIC R. Proxy re-encryption in a privacy-preserving cloud computing DRM scheme[A]. Proceedings of the 4th International Symposium on Cyberspace Safety and Security,CSS 2012[C]. Melbourne,Australia,2012.194-211.

[9]SAMANTHULA B K,HOWSER G.,ELMEHDWI Y,et al. An efficient and secure data sharing framework using homomorphic encryption in the cloud[A]. Proceedings of the 1st International Workshop on Cloud Intelligence[C]. Istanbul,Turkey,2012.1-8.

[10]CORENA J C,OHTSUKI T. Secure and fast aggregation of financial data in cloud-based expense tracking applications[J]. Journal of Network and Systems Management,2012,20(4):534-560.

[11]WU Y D,WEI Z,DENG R H. Attribute-based access to scalable media in cloud-assisted content sharing networks[J]. IEEE Transactions on Multimedia,2013,15(4):778-788.

[12]洪澄,張敏,馮登國. 面向云存儲的高效動態(tài)密文訪問控制方法[J].通信學(xué)報,2011,32(7):125-132.HONG C,ZHANG M,FENG D G. Achieving efficient dynamic cryptographic access control in cloud storage[J]. Journal on Communications,2011,32(7):125-132.

[13]MULLER S,KATZENBEISSER S. A new DRM architecture with strong enforcement[A]. Proceedings of the 5th International Conference on Availability,Reliability,and Security,ARES 2010[C]. Krakow,Poland,2010.397-403.

[14]CONRADO C,PETKOVIC M,JONKER W. Privacy-preserving digital rights management[A]. Proceedings of the Secure Data Management 2004[C]. Toronto,Canada,2004.83-99.

[15]PERLMAN R,KAUFMAN C,PERLNER R. Privacy-preserving DRM[A]. Proceedings of the 9th Symposium on Identity and Trust on the Internet,IDtrust 2010[C]. New York,USA,2010.69-83.

[16]PETRLIC R,SORGE C. Privacy-preserving DRM for cloud computing[A]. Proceedings of 26th IEEE International Conference on Advanced Information Networking and Applications Workshops,WAINA 2012[C]. Fukuoka,Japan,2012.1286-1291.

[17]SAHAI A,WATERS B. Fuzzy identity-based encryption[A]. Proceedings of EUROCRYPT 2005[C]. Aarhus,Denmark,2005.457-473.

[18]RIVEST R,SHARMIR A,DERTOUZONS M. On Data Banks and Privacy Homomorphisms[M]. Orlando: Academic Press,1978.

[19]GENTRY C. Fully homomorphic encryption using ideal lattices[A].Proceedings of the 41st Annual ACM Symposium on Theory of Computing[C]. New York,USA,2009.169-178.

[20]DIJK M,GENTRY C,HALEVI S,et al. Fully homomorphic encryption over the integers[A]. Proceedings of Advances in Cryptology-Eurocrypt 2010[C]. Riviera,France,2010.24-43.

[21]CASTELLUCCIA C,MYKLETUN E,TSUDIK G. Efficient aggregation of encrypted data in wireless sensor networks[A]. Proceedings of the Second Annual International Conference on Mobile and Ubiquitous Systems: Networking and Services[C]. San Diego,USA,2005.109-117.

[22]BETHENCOURT J,SAHAI A,WATERS B. Advanced crypto software collection[EB/OL]. http://acsc.cs.utexas.edu/cpabe/.