可撤銷動靜態屬性的車聯網屬性基加密方法

何 倩 劉 鵬 王 勇 (廣西云計算與大數據協同創新中心(桂林電子科技大學) 廣西桂林 54004) (認知無線電與信息處理教育部重點實驗室(桂林電子科技大學) 廣西桂林 54004)

(heqian@guet.edu.cn)

可撤銷動靜態屬性的車聯網屬性基加密方法

何 倩1,2劉 鵬1,2王 勇11(廣西云計算與大數據協同創新中心(桂林電子科技大學) 廣西桂林 541004)2(認知無線電與信息處理教育部重點實驗室(桂林電子科技大學) 廣西桂林 541004)

(heqian@guet.edu.cn)

2(Key Laboratory of Cognitive Radio and Information Processing (Guilin University of Electronic Technology), Ministry of Education, Guilin, Guangxi 541004)

車載自組織網絡(vehicular ad hoc network, VANET) (也稱車聯網)數據安全共享通常采用群加密方式，高速移動的車載終端給群組構建和群密鑰管理帶來困難.密文策略屬性基加密(ciphertext-policy attribute-based encryption, CP-ABE)為車聯網通信安全帶來了新的解決方案，但是傳統的CP-ABE方案解密計算復雜度高，屬性撤銷需要整個密文進行全部更新，策略樹的構建不夠靈活，導致在車聯網中的應用受限.為了解決上述問題，圍繞車聯網云存儲數據安全分享，設計可撤銷動靜態屬性的屬性基加密方案.將動態屬性和靜態屬性分開管理，構建組合策略樹，引入解密代理將高復雜度的屬性基解密過程的主要部分外包到服務端，車輛終端通過中央和本地認證中心進行屬性撤銷和動態屬性更新.可撤銷動靜態屬性的車聯網屬性基加密方案是安全的，在空間和加解密時間復雜度上較傳統CP-ABE算法具有優勢，實驗還分析了車載終端解密、屬性撤銷和系統并發等性能.

車聯網；屬性基加密；動靜態屬性；可撤銷屬性；解密代理

近年來，隨著互聯網、物聯網、云計算等新興技術的發展和普及，一種新型的Ad Hoc網絡應用，即車載自組織網絡(vehicular ad hoc network, VANET)(也稱車聯網), 越來越受到人們的關注[1-2].車聯網由感知層、網絡層和應用層組成，當車輛行駛到某個環境中，通過感知層獲取環境和行車狀態等信息，然后由網絡層實現車與車、車與人和車與應用平臺等進行交互，最后分析獲取交通、商務等信息，已逐漸成為降低交通事故、提高交通效率和改善駕駛員駕車體驗的關鍵技術[2].

與此同時，車聯網中的信息安全問題也逐漸成為阻礙其發展的重要原因.為保證數據安全，應用信息發布者(application service provider, ASP) 將數據發布到云存儲平臺(cloud storage provider, CSP)時通常采用加密的方式存儲，只有被授權的用戶能夠訪問數據內容.車聯網是一種特殊的自組織網絡，同傳統的無線網絡相比，車聯網中車載終端(vehicular terminal, VT)具有數量眾多、高度動態性和移動性等特點，當數據分享的數量增多時，這種方案將會帶來巨大的管理密鑰的開銷[3-4]，車聯網中群組構建、密鑰分發和組成員管理都將是比較困難的.在文獻[5]中，Sampigethaya等人提出將相同的車速和保持一定距離的VT構成群組，該方式構建群組過于嚴格，當VT高速移動時該方式難以實現.車聯網中的數據共享通常采用群加密的方式，由于VT高度的動態性，群組成員頻繁的變動，使得群組的構建受限以及群密鑰的管理開銷過大，難以在實際中應用.

Sahai等人在文獻[6-7]中提出屬性基加密方法(attribute based encryption, ABE)，ABE是一種非常有效的面向群分享的數據訪問控制方法，是基于身份的加密方案[8-9]和門限秘密共享方案[10]的發展.ABE主要包括密鑰策略ABE(KP-ABE)和密文策略ABE(ciphertext-policy attribute-based encryption, CP-ABE).CP-ABE將訪問控制策略融入密文，消息的發送者按照一定的訪問控制策略樹對數據進行加密后傳輸，消息的接收者所擁有的屬性集合如果滿足訪問控制策略樹，則能夠進行解密消息.CP-ABE按照用戶所擁有的屬性進行群組的劃分，提供一種有效的群組構建方式，只有屬性集合滿足該群組的條件時才能夠加入本群組，對接收到該群組的消息進行解密，能夠有效地適應用戶群組成員多變的特性，非常適合車聯網應用.

車聯網中VT具有高速移動性的特點，將會導致部分屬性頻繁地更新，如所在城市、街道和行車方向等屬性，稱為動態屬性(dynamic attribute,Adyn).同時車輛還存在一些固有屬性，如車輛所屬類型、所屬單位和注冊編號等屬性稱為靜態屬性 (static attribute,Asta).當系統對權限分配進行更新時，需要撤銷用戶的部分權限.然而傳統的CP-ABE的解密過程計算復雜度較大，不適合在車聯網中直接應用.Zhang等人提出了無須雙線性對運算的CP-ABE，但該算法基于n元格難問題，其運行效率也不高[11].在文獻[12]中提出在線/離線密文策略屬性基可搜索加密方案，采用加解密外包技術，降低了解密端的計算開銷.

原始CP-ABE沒有實現屬性撤銷和更新，已有的具備屬性撤銷功能的CP-ABE都沒有將動靜態屬性進行區分，在單獨的屬性進行撤銷更新時，需要更新整體密文.在車聯網中動態屬性頻繁更新的過程中，將會帶來極大的系統消耗.Pirretti等人在文獻[13]中提出一種屬性撤銷方案，但是該方法不具實時性，需要頻繁進行密鑰的維護，導致開銷較大.Hur和Xie等人在文獻[14-15]中提出一種屬性即時撤銷方案，然而該方案的密鑰和密文的更新效率比過低.Fan等人在文獻[16]中提出一種任意狀態下屬性和用戶成員的動態變化，但無法實現用戶的屬性撤銷.

針對以上問題，圍繞車聯網云存儲數據安全分享，本文提出了一種可撤銷動靜態屬性的屬性基加密方案.主要創新點包括3點：1)針對車聯網的高移動性等特性，根據時間變化快慢，將屬性分為動態屬性和靜態屬性，同時引入策略群組的概念，方便群組成員管理，減少密鑰管理帶來的開銷；2)對傳統的CP-ABE進行改進，使得在屬性進行更新和撤銷的過程中，僅需要屬性權威和解密代理的參與，進而降低屬性撤銷對用戶的影響，引入解密代理承擔大部分的解密運算，從而提高VT的解密效率；3)理論分析了改進方案的安全性以及空間、時間復雜度，構造模擬實驗驗證了改進方案在車聯網應用的可行性.

1 相關知識

1.1雙線性映射

設G1,G2分別是階為p的加法群和乘法群，g為群G1的生成元.e:G1×G1→G2為滿足3種性質的雙線性對：

e(aP,bQ)=e(abP,Q)=e(P,abQ)=e(P,Q)a b.

2) 非退化性.?P,Q∈G1，滿足e(P,Q)≠1.

3) 可計算性.對于P,Q∈G1，存在一個有效的計算方法e(P,Q).

1.2車聯網的基本模型

Fig. 1 Basic model of VANET圖1 車聯網基本模型

車聯網主要有移動車載終端如安裝有通信單元(on-board unit, OBU)、固定節點如路邊基礎設施(road-side unit, RSU)和認證中心(trusted authority, TA)這3部分組成.如圖1所示，認證中心TA是車聯網中的誠實可信的安全中心，是最高權威機構.TA主要負責車聯網系統中所有的OBU和RSU的注冊、身份認證以及發放證書等.OBU是車聯網中的移動終端，并且具有一定的存儲和計算能力.車輛在加入到車聯網之前需要獲得TA認證，并將注冊信息存儲在存儲單元中，未經TA授權無法更改，同時車輛節點是在高速移動中，車載的部分屬性信息是在頻繁地更新中，如位置、車速和行駛方向等.路邊單元RSU接入車聯網同樣需要獲得TA認證，同時可以為OBU提供豐富的行車信息.

2 動靜態屬性基加密算法

本文中的屬性基加密算法是在文獻[7]基礎上的改進CP-ABE，結合車聯網中VT高速移動的特性，將隨時間變化的動態屬性引入到算法中；同時，考慮到對時延比較高的要求，引入解密代理提高VT解密速度.主要由5個算法構成：

1) Setup(λ,U)={PK,MSK}.初始化算法由屬性權威執行，算法的輸入為安全參數λ和屬性全集U.該算法選取階位p的循環群G1，生成元為g以及隨機參數α∈Zp.對每一屬性獲取隨機參數ti,v∈Zp，i∈|U|，并計算hi,v=H(F(ti,v,f(t))),i∈|U|.輸出系統主鑰為： MSK={a,α,ti,v},i∈|U|，系統公鑰為：PK={g,e(g,g)α,ga,hi,v},i∈|U|.

3) Keygen(MSK,PK,S)={TK,SK,USP}.密鑰生成算法由屬性權威執行，輸入MSK、PK和用戶屬性集合S，選取隨機數t∈Zp，輸出用戶轉換密鑰TK={K=g·g,L=g,{Kx=[hx]}x∈s}，用戶私鑰SK=z，用戶保密參數USP=βz.

4) Transform(CT,TK)=CT′.代理解密算法由解密代理服務器執行.該算法輸入密文CT和轉換密鑰TK.如果用戶屬性集合S滿足訪問控制策略，則存在ρ(i)∈S，同時生成向量W=(w1,w2,…,wl),wi∈Zp,使得W·M=(1,0,0,…,0)，然后計算R=e(C′,K)E，其中然后輸出半解密密文CT′={R,C}，否則直接輸出CT′=⊥.

5) Decrypt(CT′,SK)=OUT.解密算法由車輛節點執行，輸入半解密密文CT′和用戶私鑰SK，輸出明文OUT.

3 車聯網屬性基加密系統模型

3.1系統架構

車聯網屬性基加密系統是動態的屬性基加密系統，主要由中央認證中心(global trusted authority, GTA)、本地認證中心(local trusted authority, LTA)、解密代理(decrypt proxy, DP) 、應用服務的提供者ASP、云存儲提供者CSP和車載終端VT這6個部分組成，系統架構如圖2所示:

Fig. 2 ABE system architecture for vehicle networking圖2 車聯網屬性基加密系統架構

ASP將數據采用對稱加密后上傳到CSP，同時將密鑰采用CP-ABE加密后存儲到密鑰管理中心.車載終端滿足訪問控制策略則可以解密獲得對稱密鑰.GTA部署在云端，主要負責VT和RSU注冊、靜態屬性以及靜態密鑰生成管理等，并且管理多個LTA；LTA部署在RSU上，主要負責對車輛動態屬性和動態密鑰的管理等，需要定時和GTA進行同步，保證數據的同步；DP部署在RSU上，主要負責對密文CT的預解密和屬性的撤銷更新等；同時RSU的部署時采用分等級和分布式的方式部署.在系統中車載終端之間和車輛與服務器間均通過無線廣播的形式相互通信，其他服務器之間通過高速有線網絡通信.

本系統架構中主要涉及2種加密算法:1)對密鑰進行加密階段使用的基于密文的CP-ABE，該加密方式主要是針對密鑰進行加密，將加密生成的密文CT和對應文件的FID存儲在本地的RSU中；2)利用密鑰對消息進行加密階段使用到的對稱加密，將加密生成的數據存儲到云平臺上.車載終端根據需求獲取存儲在RSU上的CT和FID，然后將CT進行屬性基解獲得密鑰，然后對從云端獲取的應用文件進行對稱解密獲得應用信息.

3.2動態策略群密鑰分發

車聯網中當車輛進入一個新的區域，首先VT和LTA進行相互認證，認證通過后向管理該區域的LTA請求動態屬性更新，并且生成新的動態密鑰，主要過程分為3個部分：

1) LTA和VT做相互認證，認證通過后LTA獲取VT新的動態屬性集；

2) LTA使用新的動態屬性集執行初始化算法，并且產生動態公鑰PKdyn和動態主密鑰MSKdyn；

3) 為該范圍內的所有VT生成動態密鑰SKdyn，然后使用PKdyn進行簽名解密后發送給每個車輛節點.

VT在進行動態屬性基解密時，必須進行屬性的同步，例如在時刻t1使用動態屬性attr1進行加密數據，則在時刻t2屬性未進行更新時，應該是不能夠解密消息的.本文將文獻[17]提出的對每個動態屬性引入衰退方程應用到方案中，在指定的時間單元t中，通過衰退方程計算出該屬性的值，從而使屬性動態地變化.不同的動態屬性變化的時間單元t的大小在本文不做討論.

3.3組合策略群組的構建

車聯網中動態屬性更新頻繁，為了方便屬性的管理，該系統中靜態屬性和動態屬性分開管理，靜態屬性由中央認證機構GTA在車輛注冊的過程中預置到車輛當中，同時為車輛生成靜態加密參數；動態屬性是在車輛行駛過程中，由本地認證中心LTA進行分發，同時為VT生成動態參數.然后通過組合策略樹的方式構建整體的訪問控制策略.

在方案中首先引入策略群的概念，每一個LTA具有固定的管理區域，并且在該區域的車輛的部分動態屬性如位置和日期等相同.當車輛進入一個新的區域，首先VT和LTA進行相互認證，認證完成后通過GTA和LTA進行屬性同步(attribute synch-ronization, SYNA)，并且分別為車輛節點生成靜態密鑰和動態密鑰.能夠滿足相同訪問控制策略的車輛構成一個群組，該策略群的構建方式同傳統的群組構建方式相比，該方式在每一個LTA管理區域具有相同動態屬性的車輛節點構成一個策略群，有效地減少為密鑰的管理、群組成員頻繁的添加和刪除產生額外的開銷.

在策略群中只使用動態屬性構成動態策略樹加密消息時，所有的群組成員都能夠進行解密，這將帶來極大的不便.如某出租車公司想在CSP上分享的特定應用信息，只對該公司在特定區域內的車輛提供服務，而不希望被其他公司的出租車或者該公司在其他區域內的出租車獲取，那么采用組合策略樹加密信息將能夠很好地解決該問題.如圖3所示，在進行數據加密的過程中，采用動態屬性和靜態屬性混合的方式構成訪策略樹，該方式能夠使得策略群再次進行群組的劃分，構成子策略群組，即能夠提高數據的細粒度訪問控制.

Fig. 3 Combined policy tree圖3 組合策略樹

由于該系統中動靜態屬性的分開管理，因此動靜態屬性的加密參數不同.如圖3所示，當應用信息的發布者使用組合策略樹發布消息時，采用靜態屬性構建策略樹PT1和動態屬性構建策略樹PT2，然后將靜態策略樹和動態策略樹再組合為一個組合策略樹，使用組合策略樹作為訪問策略加密消息.首先使用動態策略樹PT2加密消息M生成密文CT2;然后將CT2中的Cy作為一個秘密，使用靜態策略樹PT1進行加密;最后生成組合策略樹加密的密文CT.具體的加密過程如下：

1) 創建靜態策略樹PT1和動態策略樹PT2；

2) 使用加密算法Encrypt(M,PK,PT2)=CT2，其中CT2={PT2,C,C′,{Cy,Dy}y∈Adyn}；

3) 隨機從CT2選取一個C作為秘密，然后使用加密算法Encrypt(Cy,PK,PT1)=CT1，其中CT1={PT1,C′,C″,{Cx,Dx}x∈Asta}；

4) 混合策略樹中加密的密文輸出為CT={CT1;CT2C;PT={PT1;PT2}}.

將靜態策略樹和動態策略樹分開建立，然后再構建成組合策略樹.一方面將屬性分開管理，可降低集中管理對單一節點所帶來的壓力，同時還可以分散集中攻擊的危害性；另一方面可以更加方便地解決動態屬性更新問題，減少屬性更新開銷.

4 關鍵技術實現

4.1屬性撤銷

中央認證中心GTA是系統的核心部分，在進行屬性撤銷更新過程中起主導作用，撤銷過程如圖4所示.假設GTA需要將一個OBU的屬性attr進行撤銷，具體過程如下：

Fig. 4 The process of attribute revocation圖4 屬性撤銷過程

1)GTA根據當前的屬性attr生成一個新的屬性值tattr,v_new∈Zp，然后計算其公鑰參數hattr,v_new=H(F(tattr,v_new,f(t)))并發送給加密者，再次加密則使用新版本的公鑰參數,同時將tattr,v_new和hattr,v_new發送到解密代理.

在屬性撤銷的過程中，GTA為CT中attr屬性的屬性參數由hattr,v_old升級到hattr,v_new.對于未被撤銷該屬性的用戶，GTA為其TK生成升級密鑰UUK，TK獲得升級.屬性被撤銷的用戶由于未獲得升級密鑰，所以其轉換密鑰TK失效，即屬性被撤銷.更加值得注意的是在屬性撤銷過程中，只有GTA和解密代理參與，并不需要車輛節點參與和對已有的CT進行重加密，從而降低屬性更新的開銷.

4.2動態屬性更新

車輛節點進入LTA管理區域后請求更新屬性，LTA為該車輛節點生成動態密鑰參數，同時為每個動態屬性賦予衰退方程，LTA和車輛節點擁有相同的衰退方程，并且進行時間同步.動態屬性主要由LTA進行管理，當動態屬性Adyn需要更新時，主要步驟如下：

車聯網高速移動性的特點會導致屬性頻繁的更新，屬性同步是動態屬性的重要組成部分.車輛節點VT在進入一個新的LTA管理區域后，首先VT和本地LTA進行相互認證，認證完成后由本地LTA為VT生成動態參數和進行時鐘同步.本文將文獻[17]中為每個動態屬性引入的衰退方程應用到本方案中.LTA和VT對同一個動態屬性擁有相同的衰退方程，從而實現動態屬性同步，由于不同動態屬性的衰退方程中的衰退因子不同，所以動態屬性的變化快慢不同.本方案中為每個屬性均賦予版本號，在動態屬性每次更新的過程中對屬性版本號進行遞增.

4.3代理解密

至此，解密代理的半解密過程完成.由以上的解密過程和車載終端執行的解密算法可以看出，車輛節點在獲得半解密密文后，僅僅執行一次指數運算和一次乘法運算即可完成解密，并且不會受到屬性數量的影響.

5 方案分析

5.1安全性分析

定理1. 本文提出的可撤銷動靜態屬性的車聯網屬性基加密方法是CPA安全的.

證明. 本文提出的屬性基加密算法是文獻[7]的改進，同文獻[7]的不同之處有3點：

1) 系統公鑰中與屬性相關聯的隨機群元素，在文獻[7]中采用隨機數h1,h2,…,h|U|∈G，而在本方案中則采用h1,v,h2,v,…,h|U|,v∈G,其中v代表屬性的版本號，這完全不會影響該方案的安全性；

3) 增加Transform(CT,TK)算法，該算法由解密代理服務器執行，輸出CT′={R,C}，其中R=e(g,g)，C=PT·e(g,g)α s.敵手想要從CT′中獲取用戶私鑰z，相當于求解離散對數問題，該求解過程是不可行的.

綜上所述本文提出的ABE-RDS方案不會降低文獻[7]的安全級別，由文獻[7]提出的CP-ABE方案是CPA安全的，故本方案也是CPA安全的.

證畢.

定理2. 所提方案的屬性撤銷功能滿足前向安全性.

證畢.

定理3. 所提方案具有防止聯合串謀的抵抗性.

證明. 代理解密的過程，通過分析本方案和方案[7]的密鑰生成算法可知，本方案的TK即為方案[7]私鑰的z次冪.本方案中私鑰z由用戶持有，當進行代理解密時，輸出半解密密文CT′，如果解密代理想要獲得明文，必須獲得用戶私鑰，但是這是不可能的.

當解密代理和車輛節點進行串謀時，由密鑰生成過程看出，車輛節點的每一個屬性同隨機數βz進行綁定.假設車輛節點V1擁有屬性Dattr1和V2擁有屬性Dattr2，當V1企圖獲得屬性Dattr2時，則通過與V2和解密代理進行串謀獲得屬性Dattr2，由轉換密鑰的結構可知，他們必須獲得然后計算出構成V1新的轉換密鑰.盡管在V2的轉換密鑰中有同時能夠從私鑰中獲得但是無法獲得因此該過程無法獲得則V1無法獲得Dattr2，所以解密代理能夠抗串謀攻擊.

證畢.

5.2復雜性分析

本方案所采用的CP-ABE是基于文獻[7]的改進，下面將本方案的空間復雜度和時間復雜度與文獻[7,18-19]進行對比.在CP-ABE中配對運算tp和指數運算te是最為耗時的2個運算，因此本文只討論指數運算和配對運算.為了討論空間復雜度(即保障加密系統的通信帶寬復雜度)消耗，設一個群元素字節數為l，訪問控制策略樹中屬性的個數為k，屬性全集為n，車輛節點的屬性集為m.計算本方案和文獻[7,18-19]的PK和CT的空間復雜度，如表1所示:

Table 1 Comparison of Space Complexity

由表1可以看出本方案PK與文獻[18-19]的PK隨著屬性全集呈線性增長.在本方案中密文CT的長度為(2n+2)l，同文獻[18-19]相似，均隨著訪問控制策略的增加呈線性增長.

另外，車載終端解密時，向解密代理發送密文CT，使用Transform算法將CT代理解密為CT′，然后將CT′一起返回，用戶使用Decrypt算法進行解密獲得明文信息.則來回通信數據為CT+ CT′，空間復雜度為(2k+2)l +2l =(2k+4)l.

在解密過程中的時間開銷主要包括代理解密部分解密開銷2mtp+mte和車載終端解密開銷te.屬性基加解密計算復雜度對比如表2所示:

Table 2 Comparison of Time Complexity

由表2可知，本方案的加密性能與文獻[18-19]相當；采用代理機制之后，車輛終端的計算復雜度明顯降低，與文獻[7,18-19]相比具有明顯優勢.

6 實驗與結果

6.1實驗環境

實驗軟件基于Java語言和JPBC庫，手機端編程采用Android.考慮到車輛節點的計算性能存在差異，采用筆記本電腦和手機分別模擬高性能和低性能車載終端.實驗硬件環境包括1臺曙光W5801-G10服務器(CPU：2*Intel Xeon E5-2630(6 cores,2.3 GHz),Memory:64 GB)、1臺聯想ThinkPad E450c筆記本電腦和1部手機，并且在曙光服務器上配置3臺VMware的虛擬機作為GTA,LTA和DP，具體配置如表3所示：

Table 3 Configuration of Device

6.2解密性能

解密性能實驗在動態策略樹以及組合策略樹2種條件下進行，本方案的解密性能測試包括了完整地從車載終端提交解密請求到代理，代理返回中間結果，然后在車載終端完成最終解密的全過程.車載終端包括高性能和低性能，比較的ABE算法包括傳統CP-ABE和本方案.

6.2.1 動態策略樹下的解密時間對比

車載終端在獲取僅有動態屬性構成的訪問策略樹加密的資源時，使用傳統CP-ABE解密算法和本方案解密的時間對比如圖5和圖6所示:

Fig. 5 High-vehicular decryption time comparison under various attributes圖5 高性能車載終端在不同加密屬性數下解密時間比較

Fig. 6 Low-vehicular decryption time comparison under various attributes圖6 低性能車載終端在不同加密屬性個數下解密時間比較

由圖5和圖6可知，隨著CT中屬性個數的增多，使用代理解密的優勢更加突出，在擁有較高計算性能的車載終端，當CT中屬性個數增加到50個時，解密時間降低了0.6 s；計算能力較差的車載終端隨著CT中屬性個數的增加，則增速更加明顯，增速比最高達到將近27倍.

6.2.2 組合策略樹下的解密時間對比

如果車輛獲取到的應用資源采用組合策略樹構成的訪問控制策略，在解密過程中使用傳統CP-ABE解密和使用本方案的解密時間對比如圖7和圖8所示:

Fig. 7 High-vehicular decryption time comparison under various attributes圖7 高性能車載終端在不同加密屬性數下解密時間比較

Fig. 8 Low-vehicular decryption time comparison under various attributes圖8 低性能車載終端在不同加密屬性個數下解密時間比較

由圖7和圖8可以看出，同策略群中僅使用動態屬性加密的資源相似.當CT中屬性個數增加時，采用解密代理進行解密的優勢越發顯得突出，尤其是在計算性能較低的車輛節點中，當CT中相關的屬性個數達到100個時，在性能較低的車輛節點中的解密加速比將近30倍.

通過分析CP-ABE的解密算法可知，傳統的屬性基解密算法中進行配對運算的次數同CT中屬性的個數成正比，在CT中隨著屬性個數的增加，解密時間將會呈線性增長，但是在本方案中采用解密代理對CT預解密后獲得CT′，之后所有的配對運算等復雜運算都將在解密代理上執行，而在車輛節點上只需進行簡單的乘法等運算即可對CT′進行解密獲得對稱加密密鑰，所以隨著屬性個數的增加，采用解密代理的CP-ABE解密優勢將會更加明顯，尤其是在當計算能力較差的車輛節點中，使用該方案將會有更明顯的加速效果.

6.3屬性撤銷性能

改變車輛節點數目和屬性數，分析屬性撤銷的性能如表4所示:

Table 4 Attribute Revocation Time Under Various Vehiculars and CTs

通過表4可以看出，隨著CT和用戶數量的增加，屬性撤銷的時間呈線性增長.通過分析以上屬性撤銷算法可知，在屬性撤銷過程中，GTA要為密文CT和解密代理的TK生成更新密鑰，由于生成更新密鑰的算法的時間復雜度是固定的，所以隨著車輛節點和CT數的增加，屬性撤銷時間定會呈線性增長，這同實驗結果是一致的.該過程對于車輛節點來說幾乎是透明的，極大地方便了屬性的撤銷.

6.4并發性能分析

使用LoadRunner測試工具對解密代理和動態屬性密鑰參數生成的并發處理能力進行測試.

6.4.1 動態密鑰生成并發

動態密鑰參數生成并發測試是針對車輛進入到一個新的LTA管理范圍，同時向LTA請求同步新的動態屬性并且生成新的動態密鑰.該并發測試的并發用戶有5～25，并且分別擁有10個動態屬性，在不同的并發用戶情況下，LTA的響應時間如表5所示:

Table 5 Dynamic Key Generation Time Under Various Concurrent Numbers

當同時由15個車輛節點請求更新動態屬性時，LTA的響應時間為2.021 s，在實際情況中，雙向八車道能夠同時有8車輛節點請求更新屬性，LTA的響應時間將在1.5 s以內，如果設定一個LTA管理區域通過時間在30 min左右，顯然單個LTA就能滿足管理要求.另外，因為整個系統是采用分布式的方式部署，可以分散LTA節點計算壓力，有效解決LTA的高并發問題.

6.4.2 解密并發

解密代理并發測試針對并發車輛數有5～25，并且密文CT中包含有10個屬性，在不同并發用戶的情況下，解密代理的響應時間如表6所示:

Table 6 Decryption Time Under Various Concurrent

由表6可知，當同時有5個車輛節點向同一個解密代理請求解密時，響應時間僅為279 ms，隨著請求解密代理的車輛節點的增多，當并發解密請求達到25時，響應時間也在1 s左右.考慮到解密代理的部署也是按分布式的方式部署，當單個解密代理性能不足時，可以增加新的解密代理，即可認為解密代理的計算資源是巨大的，具有良好的可擴展性.因此解密代理通過分散節點壓力，可以進一步提高并發解密速度，滿足更多車輛節點的解密任務.

7 總 結

為保護車聯網通信安全，特別是為了實現車聯網中的云存儲數據安全分享，本文面向車聯網設計了一種可撤銷動靜態屬性的屬性基加密算法.針對車聯網的高移動等特點，將動態屬性和靜態屬性分開管理，構建組合策略樹，能夠方便群組的構建和管理.引入解密代理將高復雜度的屬性基解密過程的大量計算放在服務端，降低了車輛節點的解密時間，滿足車聯網的實際要求.車輛節點通過中央認證中心可以方便地進行屬性撤銷，進入LTA管理區域后可以進行動態屬性更新.通過與其他CP-ABE方案進行時間復雜度和空間復雜度分析，證明本方案解密速度要優于其他CP-ABE方案，進一步構建實驗系統，模擬高、低性能車載終端，驗證了系統的有效性，適合在車聯網中應用.

[1]Xie Yong, Wu Libing, Zhang Yubo, et al. Anonymous mutual authentication and key agreement protocol in multi-server architecture for VANETs[J]. Journal of Computer Research and Development, 2016, 53(10): 2323-2333 (in Chinese)(謝永, 吳黎兵, 張宇波, 等. 面向車聯網的多服務器架構的匿名雙向認證與密鑰協商協議[J]. 計算機研究與發展, 2016, 53(10): 2323-2333)

[2]Lin Hongliang, Huang Xiaopeng. Summarization of vehicle networking technology[J]. Mechatronics Engineering, 2014, 31(9): 1235-1238 (in Chinese)(藺宏良, 黃曉鵬. 車聯網技術研究綜述[J]. 機電工程, 2014, 31(9): 1235-1238)

[3]Feng Dengguo, Zhang Min, Zhang Yan, et al. Study on cloud computing security[J]. Journal of Software, 2011, 22(1): 71-83 (in Chinese)(馮登國, 張敏, 張妍, 等. 云計算安全研究[J]. 軟件學報, 2011, 22(1): 71-83)

[4]Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]Proc of the 13th ACM Conf on Computer and Communications Security. New York: ACM, 2006: 89-98

[5]Sampigethaya K, Huang L, Li M, et al. CARAVAN: Providing location privacy for VANET[C]Proc of the 3rd Workshop on Embedded Security in Cars (ESCAR 2005). Cologne, Germany: ESCAR, 2005 [2017-05-10]. https:www.ee.washington.eduresearchnslpapersESCAR-05.pdf

[6]Bethencourt J, Sahai A, Waters B. Ciphertext-policy attribute-based encryption[C]Proc of the 2007 IEEE Symp on Security and Privacy. Los Alamitos, CA: IEEE, 2007: 321-334

[7]Waters B. Ciphertext-policy attribute-based encryption: An expressive, efficient, and provably secure realization [C]Proc of the 14th Int Conf on Practice and Theory in Public Key Cryptography. Berlin: Springer, 2011: 53-70

[8]Shamir A. Identity-based cryptosystems and signature schemes[G]LNCS 196: Proc of CRYPTO’84. Berlin: Springer, 1984: 47-53

[9]Dan B, Franklin M K. Identity-based encryption from the Weil pairing[C]Proc of CRYPTO 2001. Berlin: Springer, 2001: 213-229

[10]Shamir A. How to share a secret[J]. Communications of the ACM, 1979, 22(11): 612-613

[11]Zhang Jiang, Zhang Zhenfeng. A ciphertext policy attribute-based encryption scheme without pairings[C]Proc of Int Conf on Information Security and Cryptology. Berlin: Springer, 2012: 324-340

[12]Chen Dongdong, Cao Zhenfu, Dong Xiaolei. Onlineoffline ciphertext-policy attribute-based searchable encryption[J]. Journal of Computer Research and Development, 2016, 53(10): 2365-2375 (in Chinese)(陳冬冬, 曹珍富, 董曉蕾. 在線離線密文策略屬性基可搜索加密[J]. 計算機研究與發展, 2016, 53(10): 2365-2375)

[13]Pirretti M, Traynor P, Mcdaniel P, et al. Secure attribute-based systems[J]. Journal of Computer Security, 2010, 18(5): 799-837

[14]Hur J, Noh D K. Attribute-based access control with efficient revocation in data outsourcing systems[J]. IEEE Trans on Parallel amp; Distributed Systems, 2010, 22(7): 1214-1221

[15]Xie Xingxing, Ma Hua, Li Jin, et al. An efficient ciphertext-policy attribute-based access control towards revocation in cloud computing[J]. Journal of Universal Computerence, 2013, 19(16): 2349-2367

[16]Fan Chunyi, Huang Shiming, Rung Heming. Arbitrary-state attribute-based encryption with dynamic membership[J]. IEEE Trans on Computers, 2013, 63(8): 1951-1961

[17]Chen Nanxi, Gerla M, Huang Dijiang, et al. Secure, selective group broadcast in vehicular networks using dynamic attribute based encryption[C]Proc of Ad Hoc Netw Workshop. Piscataway, NJ: IEEE, 2010: 1-8

[18]Hohenberger S, Waters B. Attribute-based encryption with fast decryption[C]Proc of Public-Key Cryptography (PKC 2013). Berlin: Springer, 2013: 162-179

[19]Deng Hua, Wu Qinghong, Qin Bo, et al. Ciphertext-policy hierarchical attribute-based encryption with short ciphertexts[J]. Information Sciences, 2014, 275(11): 370-384

HeQian, born in 1979. PhD, professor. Senior member of CCF. His main research interests include cloud service, distributed computing, and information security.

LiuPeng, born in 1990. MSc candidate. Student member of CCF. His main research interests include distribution computing, and information security.

WangYong, born in 1963. PhD, professor, PhD supervisor. Member of CCF. His main research interests include computer network technology and applica-tion, cloud computing, information security.

AttributeBasedEncryptionMethodwithRevocableDynamicandStaticAttributesforVANETs

He Qian1,2, Liu Peng1,2, and Wang Yong1

1(Guangxi Collaborative Innovation Center of Cloud Computing and Big Data (Guilin University of Electronic Technology), Guilin, Guangxi 541004)

The data secure sharing in vehicular ad hoc network (VANET) usually uses group encryption mode. However it is difficult to construct group and to manage group key for vehicular terminal with high mobility. Ciphertext-policy attribute-based encryption (CP-ABE) is a kind of new solution for VANETs’ communication security. In the traditional CP-ABE strategy, it has several shortcomings, such as high decryption computation complex, and attributes revoking requires the re-encrypting of the whole cipher-text and the inflexible construction of access policy tree. These shortcomings lead to the limited application of CP-ABE in VANETs. In order to solve these problems, an ABE with revocable dynamic and static attributes (ABE-RDS) is proposed for the data secure sharing of cloud storage in VANETs. In the ABE-RDS, dynamic attribute and static attribute are managed separately, and combination policy tree is constructed, and main decryption part with high computation cost is delegated to servers using decryption proxy. In addition, the vehicular terminal can revoke attributes and refresh dynamic attributes through global and local trusted authority. The proposed ABE-RDS is secure, and it has superiority over traditional CP-ABE in space and time complexity. The performance of ABE-RDS in vehicular terminal decryption, attribute revocation, and system concurrent is evaluated with experiments.

vehicular ad hoc network (VANET); attribute based encryption (ABE); dynamic and static attribute; revocable attribute; decryption proxy

2017-05-31；

2017-08-07

國家自然科學基金項目(61661015,61572148)；認知無線電與信息處理教育部重點實驗室基金項目(CRKL160101)；廣西云計算與大數據協同創新中心基金項目(YD16801)

This work was supported by the National Natural Science Foundation of China (61661015, 61572148), the Key Laboratory of Cognitive Radio and Information Processing Fund, Ministry of Education (CRKL160101), and the Guangxi Collaborative Innovation Center of Cloud Computing and Big Data Fund (YD16801).

TP393