面向外包數據的可追蹤防泄漏訪問控制方案

彭維平，郭凱迪，宋 成，閆璽璽

河南理工大學 計算機科學與技術學院，河南 焦作454003

1 引言

隨著云計算的廣泛應用，基于“云”模式的外包服務已日趨成為外包行業發展的主流和趨勢[1]。其中，醫院信息管理系統是一個比較典型的應用。在現代醫療信息管理應用中，醫院的電子病歷數據龐大，且涉及到醫生、護士和病人等多方用戶，由于云服務器并不完全可信，其信息的存儲、安全訪問和隱私保護都是云外包服務模式下亟待解決的問題[2-3]。根據電子病歷的多角色和多權限等特性，應用基于屬性基加密（Attribute-Based Encryption，ABE）的可追蹤外包數據泄漏的安全訪問是解決上述問題的一種可行途徑。Sahai 等人[4]首次提出ABE 的方案，其基本思想是將用戶身份標識視為一系列描述用戶身份的屬性，實現了用戶的隱私保護，但是在靈活性和效率性方面還存在不足。Goyal 等人[5]提出了密鑰策略屬性基加密（Key-Policy Attribute-Based Encryption，KP-ABE）方案，該方案中密鑰對應于訪問結構而密文關聯于屬性集合，方案加強了數據的安全性和訪問策略的靈活性，但其公鑰長度會隨著用戶屬性的增加而增加。Bethencourt 等人[6]提出密文策略屬性基加密（Ciphertext-Policy Attribute-Based Encryp‐tion，CP-ABE）方案，該方案中用戶私鑰是根據用戶屬性集合生成，而密文策略則以訪問結構的形式部署在密文中，發送者根據密文自己制定訪問結構，從而增強了靈活性。但是，在ABE 機制中私鑰僅與屬性關聯，與用戶的其他特征信息無關，當合法用戶有意或無意泄漏私鑰被發現后也無法確認出與其關聯的合法用戶。Hinek等人[7]提出了基于標記的ABE 方案，使得密鑰代理會泄漏用戶的隱私，對預防密鑰泄漏起到了震懾作用，但該方案無法確認密鑰泄漏者的身份。文獻[8]提出了屬性基叛徒追蹤方案，方案采用聯合安全編碼和叛徒追蹤技術確定泄密者身份，但聯合編碼的應用使得密文及公鑰長度增加，降低了系統效率。文獻[9]中提出的基于CP-ABE 的數據訪問控制方案較好地解決了云服務器不完全可信的問題，提高了數據訪問的安全性，但密鑰濫用依然不能追蹤到用戶身份。文獻[10]提出了一個支持任意單調訪問結構可追蹤ABE 方案，支持強表達能力，但追蹤到的是與用戶對應的隨機數，而隨機數與用戶身份不具有可公開驗證的關聯，無法明確用戶身份。文獻[11]提出了密文策略分層屬性基加密（CPHABE）方案，該方案降低了公鑰和密文長度。但方案由于權限委托在抵抗攻擊和用戶密鑰泄漏追蹤方面存在不足。文獻[12]提出一個固定追蹤存儲空間的白盒追蹤方案，實現了用戶的追蹤，但是解密操作與訪問控制策略線性相關，增大了計算量，且只有發現了惡意用戶的密鑰才能進行追蹤，無法對用戶的解密行為進行統計記錄。文獻[13]提出了一個可隱藏的密文屬性基加密方案，方案實現了信息的隱私安全保護，也在一定程度上降低了私鑰的長度，但是與門的訪問策略在訪問靈活性上還有不足。文獻[14]將叛徒追蹤機制和聯合安全編碼引入到方案中，提出一個適應性安全可追蹤的屬性基加密方案，方案對用戶私鑰濫用實現了有效的追蹤，但是方案在密文長度和公鑰長度上會隨著屬性的增加而增加。文獻[15]提出了一個可追蹤的云存儲屬性基加密訪問控制方案，該方案通過對密文進行簽名，在追蹤階段對簽名進行驗證從而實現追蹤用戶，但這在一定程度上增加了密文的長度，同時方案在訪問靈活性上有所不足。

鑒于以上不足，本文基于醫院電子病歷外包數據的安全訪問和泄漏追蹤問題，結合雙線性理論和秘密共享機制提出了一個面向服務外包數據的可追蹤防泄漏安全訪問控制方案。患者病歷經加密后上傳至云服務器存儲，由病歷科對病人病歷的讀取權限進行授權，醫護人員以及患者均可查看病歷。當用戶需訪問病歷數據時則根據授權屬性與策略進行匹配，若滿足則服務器反饋給用戶解密參數，用戶根據私鑰進一步解密數據。反之，則不能訪問數據。同時，方案中將身份特征嵌入私鑰實現了抵抗合謀攻擊以及用戶身份的追蹤確認。方案通過與傳統的外包數據訪問控制方案和部分改進方案相比較，實現了對數據安全性和效率性的優化。

2 預備知識

2.1 雙線性映射

設G1和G2為兩個p 階乘法循環群且p 為素數。設g 是G1的生成元，且在群G1和G2上計算離散對數問題是困難的。則是G1×G1→G2的一個雙線性映射，若滿足以下三個性質[16]，則稱為一個從G1到G2的有效雙線性映射：

（1）雙 線 性：?u,v ∈G1和?m,n ∈Zp，都 存 在(um,vn)=(u,v)mn的運算關系。

（2）非退化性：?u,v ∈G1，使得(u,v)1，即映射不能將所有G1×G1都映射到G2中某個相同元素。

（3）可計算性：對?u,v ∈G1，存在有效的算法可計算(u,v)，即(um,vn)=(u,v)mn=(un,vm)。

2.2 判定雙線性Diffie-Hellman問題

雙線性Diffie-Hellman 問題是指：對于乘法循環群G1和G2，隨 機 選 取m,n,k ∈Zp，給 定 任 意 四 元 組(g,gm,gn,gk)，計算e(g,g)mnk∈G2，其中g 是群G1中的生成元。而判定雙線性Diffie-Hellman 問題是指：設g 是乘法循環群G1中的生成元，m,n,k ∈Zp且未知，r ∈G2，給定一個五元組(g,gm,gn,gk,r)，判定r=e(g,g)nmk是否成立。

攻擊者驗證r 與e(g,g)nmk是否相等的前提條件是需要分別從gm、gn、gk中計算獲取m、n、k 的值。而由于g 是群G1中 的 生 成 元，m,n,k ∈Zp，設 定N=gm，計 算，可知其為離散對數困難問題，故攻擊者通過計算得到m 是不可行的，同理n與k亦是如此。此時假設攻擊者能夠驗證r 與e(g,g)nmk相等的概率為κ，則攻擊者的優勢函數AdvDBDHB(κ)定義如下：

2.3 (t,n)門限共享方案

秘密共享方案是由Shamir[17]提出的，其主要思想是將秘密分割成若干份并分別由若干可信用戶保管，只有秘密的份額大于規定的門限值時才能重建。在(t,n)門限共享方案中，將一個共享密鑰K 分成n個子密鑰k1,k2,...,kn，且分配給n 個用戶。方案需滿足兩個條件[18]：

（1）任意大于等于t 個用戶執有ki值才可解得K。

（2）任意小于等于t-1個用戶執有ki值不可解得K。

(t,n)門限共享方案的具體設計描述如下：

選擇共享密鑰k ∈Zp以及素數，授權中心給n(n ＜p)個參與者pi(1 ≤i ≤n)分配秘密值[19]：

（1） 選 取 隨 機 的 t-1 次 多 項 式ξ(x)=at-1xt-1+at-2xt-2+ +a1x1+a0，令a0=k，則 有ξ(0)=k。

（2）任意選取n 個非零且互不相同的元素x1,x2, ,xn，計算(yi=ξ(xi))1≤i≤n。

（3）把(xi,yi)1≤i≤n分配給第i個參與者pi，其中yi是pi的子密鑰且xi公開。

3 系統模型

3.1 相關定義

設定U={Ai,i ∈[1,n]}為所有的屬性集合，且每個屬性Ai設定三個取值其中表示屬性值為真，表示屬性值為假，表示此屬性值任意取值。在訪問中，每個用戶均具備不同的特征和身份，通過屬性取值來區分。為了標識不同的用戶，在此為每個用戶分配一個屬性集L，定義如下：

定義1（用戶屬性集L）定義用戶的屬性集L={Bj,j ∈[1,k]}，且。可知，屬性集L是U 的一個非空子集，即L ?U。僅當用戶具備并滿足屬性Ai時，即設定為；當無需考慮該屬性，即該屬性可以任意時，設定為。否則，表示該用戶不具備該屬性項。屬性總數為n 的屬性集最多能夠用來鑒別2n個用戶。

定義2（訪問結構T[20]）設定訪問結構T 是系統屬性全集U的一個非空子集，即T ?2{A1,A2,,An}{?}。T 表示為屬性的判斷條件：在T 中的屬性集合即為授權集合，不在T 中的屬性集合即為非授權集合。

定義3（訪問樹[21]）訪問結構的采用訪問樹來實現。將T 定義為一棵訪問結構樹，訪問樹的每一個非葉子節點代表一個關系函數，關系函數可以是AND（n of n）、OR（1 of n）和Threshold（m of n，n ＞m）等，節點的值由其子節點以及門限值來確定。定義節點x 的子節點數量 為numx，設 其 門 限 值 為kx，則 有0 ≤kx≤numx。當kx=1時，代表的關系函數為OR，當kx=numx時，代表的關系函數為AND。訪問樹的每一個葉子節點x 定義為一個屬性項，其門限值kx=1。同時，定義節點x 的父節點為par(x)，定義葉子節點x 的相關聯的屬性為att(x)，定義index(x)為節點x的子節點位置返回值。

定義4（授權）設T 代表根節點為r 的訪問樹，設R代表訪問樹T 在根節點x 的子樹，則有R和T 具有相同的性質。假設一個屬性集合γ 符合訪問樹R，則令R(γ)=1。應用遞歸方式來計算R(γ)，即當所計算的節點x 為非葉子節點時，計算節點x 的所有的子節點x′的Rx′(γ)值。當且僅當至少有kx個子節點返回值為1 時，Rx′(γ)返回值才為1；如果節點x 為葉子節點時，當且僅當該葉子節點屬性值滿足att(x)∈γ，Rx′(γ)返回值才為1。

3.2 應用模型

本醫療云外包數據安全訪問系統模型主要由4 類實體組成：病歷科、醫護人員、云服務商和用戶，如圖1所示。

圖1 系統架構圖

（1）病歷科：作為第三方授權機構（Third-Party Authority，TPA），主要負責執行初始化算法生成公鑰和主密鑰，根據數據擁有者發送的策略，為其返回加密數據的參數。同時也為用戶分發私鑰，保存可追蹤列表。

（2）醫護人員：作為病歷上傳者（Data Owner，DO），主要是對病歷進行加密并將密文發送至云端。

（3）云服務商（Cloud Service Provider，CSP）：主要用來存儲加密數據，同時為訪問者進行屬性匹配并為匹配成功者分發中間解密參數。云服務提供者是半可信或者是不可信的。

（4）用戶（User）：擁有一組屬性，當屬性滿足密文訪問策略時即可獲得云端反饋的解密參數并解密密文。

系統整體執行如下：首先，病歷科作為TPA 執行系統初始化過程，生成系統公鑰和主密鑰；隨后①醫護人員根據不同病歷類型，定義不同訪問權限的訪問策略，并發送給病歷科；②病歷科根據該訪問策略中所包含的屬性集合生成訪問策略的根節點，連同系統公鑰返回給醫護人員；③醫護人員根據病歷科返回根節點和系統公鑰，生成加密所需的加密密鑰等參數，完成醫療信息的加密并上傳至云服務器；④當某一用戶需要訪問該醫療數據時，首先將該用戶的屬性信息集合發送給病歷科；⑤病歷科根據該用戶的屬性集合，生成用戶私鑰和中間參數返回給該用戶；⑥用戶將中間參數和自身的屬性集合發送給云服務器，由云服務器實施策略匹配；⑦若匹配成功，云服務器將中間解密參數和密文發送給用戶，用戶即可根據自己的私鑰解密密文；⑧云服務器將中間參數和用戶屬性集合發送給病歷科，由病歷科執行追蹤用戶解密行為。

3.3 安全分析模型

本文方案使用選擇明文攻擊（IND-CPA）模型，其模型可以定義為一個攻擊者?和一個挑戰者?的游戲，具體方案定義如下：

初始階段：攻擊者?選擇挑戰訪問結構。

建立階段：挑戰者? 運行初始化算法，并將生成的公鑰PK提供給攻擊者?。

查詢階段1：根據屬性集對應的屬性密鑰進行查詢，挑戰者? 執行密鑰生成算法，同時將私鑰交給攻擊者?，其屬性基不能滿足訪問結構T。

挑戰階段：攻擊者?向挑戰者?提交兩個等長的消息M1、M2以及挑戰屬性集合，且有挑戰者? 未曾查詢挑戰屬性集的密鑰，挑戰者?隨機選擇一個數u ∈{0,1}，并且利用T 加密，生成挑戰密文并發送給攻擊者?。

查詢階段2：重復執行查詢階段1。

猜測階段：攻擊者?輸出一個猜測的數u′∈{0,1}，若有u′=u，則攻擊者勝利。攻擊者? 在游戲中的優勢定義為：

若攻擊者贏得游戲的概率Adv?(k)可以忽略，則稱該方案是安全的。

4 方案設計

4.1 系統初始化Setup(λ,U)→(MK,PK,W)

由TPA執行初始化操作，屬性全域U 以及安全隨機數λ作為初始化算法的輸入，得到主密鑰MK、公共密鑰PK，同時生成一個二元組為（用戶ID，隨機參數）的可查詢列表W，W 初始化為?。

e:G×G →GT是雙線性映射，且由素數階P 和生成元g 組成。定義系統全域屬性集合U 且對其屬性值進行index 編號，按index 進行排序，同時為每個屬性Ai∈U 選擇一個隨機參數ti∈Zp。從循環群G 中選擇兩個隨機參數α,β ∈ZP，同時定義?y ∈Zp。TPA 執行Setup()，則有：

4.2 密鑰生成KeyGen(MK,uk,L′)→(SKu,DKu)

TPA 為User 分配私鑰。將主密鑰MK，User 的ID號uk以及User 的屬性授權L′作為輸入，TPA 運行密鑰生成算法，生成用戶私鑰SKu和中間參數DKu。在生成密鑰后，將ID和隨機參數記錄在列表W 中。設定用戶的授權屬性集合為L′，即L′={Ai′}且L′?S，同時，根據User的ID分配一個隨機參數?，TPA 將用戶ID和參數?寫入列表W。TPA執行KeyGen()，則有：

4.3 數據加密Encrypt(PK,P,M)→(Cp)

數據擁有者DO 對數據進行加密處理，輸入公共密鑰PK和指定的策略P以及明文M，生成密文文件Cp。具體執行如下：

（1）DO 將制定的訪問策略Policy 發送給授權機構TPA，TPA 根據公鑰PK 去除Policy 中所有的*（*代表其通配符）屬性，同時將其屬性按照指定的優先級進行排序，形成新的屬性集合L。將L中的屬性映射到U 中，構建訪問樹。

定義屬性集合L={W1,W2, ,Wm}，并將L 屬性Ai作為樹的葉子節點，根據訪問結構樹T 對明文M 加密。為T 的每個節點x 選擇一個多項式qx，該多項式依照由上至下，從根節點r 開始進行選擇。對T 的每個節點x為其定義多項式qx的階次為dx，且與該節點的門限值kx滿足關系式：dx=kx-1。算法以根節點r 開始，算法隨機選擇多項式qr剩余dr個點的值。對于剩余節點x，令qx(0)=qpar(x)(index(x，)同)樣隨機選擇其他dx個點的值。若多項式被確定后，那么每一個葉子節點x，將定義一個秘密值，即：

TPA將根節點r 的qr(0)返回給DO。

（2）DO 在接收到TPA 反饋的參數之后，令qr(0)=ε，選擇隨機參數y ∈ZP，生成密文文件Cp，則有：

數據擁有者DO 將生成的密文文件發送給CSP，存儲數據。

4.4 策略匹配Delegate(DKu,L′)→(Fu,ψ*)

由User 發送DKu和L′給CSP，如果User 授權屬性與DO 定義的策略P 相匹配，則將中間解密參數Fu和ψ*返回給User。具體如下：

（1）用戶User訪問云端數據時需將自己的屬性集合L′和中間參數DKu發送給CSP，CSP 將用戶屬性集合與訪問策略進行比較，以確定是否擁有訪問權限。同時計算{TAi}Ai∈L′的集合，即中間參數DL′，則：

定義遞歸算法DepNode(Hp,D,x)，輸入密文文件參數秘密值集合D 以及訪問樹節點x，輸出G2的一組元素或者是⊥。若節點x 為葉子節點，則有i=att(x)，滿足公式（8）：

若x 為非葉子節點，則遞歸算法DepNode(Hp,D,x)定義如下：關于節點x 的所有子節點z，運算DepNode(Hp,D,x)，且將結果記為fz，若滿足存在節點x的子節點集合為Sx，且其值為kx，則繼續執行遞歸算法，若不然，則有fz=⊥。

令i =index(x),S′x={index(z)|z ∈，S則x}有：

以上算法詳細地定義了DepNode(Hp,D,x)的運算方式，系統中的解密算法只能調用該遞歸算法在根節點r 的值。所以只有在用戶屬性集關聯的私鑰滿足指定的訪問樹時，即Tx(r)=1時，有：

Fu=DepNode(Hp,D,r)=e(g,ω)yqr(0)=e(g,ω)εy（10）

（2）若用戶屬性集合滿足訪問，則根據用戶屬性的授權集合，計算出用戶ID對應的參數，即有：

CSP將中間解密參數Fu和ψ*返回給用戶。

4.5 數據解密Decrypt(SKu,ψ*,Fu,Cp)→(M)

User 根據TPA 為其分配的SKu以及中間解密參數Fu和ψ*，運行算法得到明文M。當用戶User 收到CSP反饋的參數Fu和ψ*，根據公式（12）得到參數G，再根據公式（13）解得明文M。

4.6 用戶追蹤Trace(DKu,W,L)→(ID/⊥)

本文方案中，TPA 為每個User 產生密鑰時均將其ID和對應的參數? 記錄在列表W 中，并且當用戶訪問數據時，云服務器不僅實施策略匹配，也會將用戶的屬性集合L 和中間參數DKu通過安全信道發送給TPA。由此，TPA 可根據公鑰PK、中間參數DKu和屬性集合L進行驗證，若驗證用戶DKu是TPA 分發的有效中間參數，則根據參數? 在列表W 中即可查找出對應的用戶ID，以此來監測用戶的解密行為，為追蹤惡意散布解密密鑰用戶提供參考因子。若驗證無效，則說明該用戶不能解密即無需追蹤。

本文方案的用戶追蹤分為檢驗和查詢兩個階段，具體流程如下：

（1）檢驗階段：在檢驗階段，TPA 根據用戶的屬性集合L、中間參數DKu和公鑰PK 驗證中間參數DKu是否為有效參數，依據以下計算方法：

根據訪問者的屬性和公式（14）可計算出公鑰中對應屬性的Ti連乘運算，只有當用戶中間參數是根據其屬性集合分配得到的，才能使得公式（15）成立。若公式（15）成立，則表明其為有效用戶；反之，為非授權用戶。

（2）查詢階段：若驗證參數為有效的用戶中間參數，則可以根據查詢列表W 對? 進行查詢，并輸出與? 對應的用戶ID，若驗證無效，則輸出⊥。

5 方案分析

5.1 正確性分析

本文所設計算法的正確與否體現于密文數據能否被成功解密以及泄密用戶能否被追蹤。在解密過程中，用戶需先將自己的屬性集合和中間參數DKu提交給云服務器，云服務器對其進行策略匹配，當用戶屬性集合L′滿足訪問結構L，即，用戶才能獲取到解密參數Fu和ψ*，然后根據公式（12）解得參數G，最后根據公式（13）解密密文得到明文。由此可知，本解密算法的正確性驗證可等價于對公式（12）和（13）的正確性驗證。而泄密用戶的檢測和追蹤主要是通過驗證中間參數DKu的有效性來實現的，可等價于對公式（15）的正確性驗證。

（1）用戶收到解密參數Fu和ψ*后，執行解密算法，根據公式（12）解得參數G，這里驗證公式（12）的正確性：

（2）獲得參數G后進一步根據公式（13）解密密文，這里驗證公式（13）的正確性：

若用戶屬性不能夠滿足訪問策略，則不能獲取解密參數，從而不能夠正確解密密文。

（3）對公式（15）的正確性證明如下：

5.2 安全性分析

5.2.1 IND-CPA模型下證明安全性

以下證明是基于上述IND-CPA 安全模型和DBDH問題上進行分析論證的。假設DBDH成立，則攻擊者無法在多項式時間內選擇訪問策略T*攻破該方案，則方案是IND-CPA安全的。

證明如果存在一個攻擊者? 能夠攻破本文方案，則存在一個算法B 可以攻破DBDH 問題，即輸入(ga,ωb,gc,Z=e(g,ω)z)，算法B決定等式Z=e(g,ω)abc是否成立，其過程如下：

挑戰者定義系統參數：生成元為g 和ω 的群G1和G2、有效映射e 和隨機參數a,b,c,z ∈Zp。同時挑戰者執 行 拋 幣 值 u，若 u=1，則 挑 戰 者 設 置(A,B,F,Z)=(ga,ωb,gc,e(g,ω)z)；若u=0，則挑戰者設置(A,B,F,Z)=(ga,ωb,gc,e(g,ω)abc)。

（1）初始階段：攻擊者?選擇挑戰的訪問結構T*，并將其提交給挑戰者?。

（2）建立階段：選擇隨機數λ，設置e(g,ω)α=e(A,B)，使α=ab計算Y=e(g,ω)α；對于每個屬性Aj∈U，則有：

（4）挑戰階段：攻擊者? 提交兩個挑戰消息M1、M2，挑戰者? 執行擲幣游戲選取μ ∈{0,1}，并進行以 下 操 作 。 隨 機 選 擇 c ∈Zp計 算，同時 設置訪問樹T*的根節點值為待共享的值為c。對于每一個葉子節點Aj∈T*，計算。執行加密算法，返回加密數據Mμ，輸出密文：

并將其返回給攻擊者?。

若u=0時，則有Z=e(g,ω)abc和C′=e(g,ω)yc·Z，所以是有效隨機加密。

若u=1時，則有Z=e(g,ω)z和C′=Mμ·e(g,ω)cy+z，因為z的隨機性，從攻擊者的角度來看C′將是G2的隨機元素，得不到Mμ。

（5）查詢階段2：重復查詢階段1。

（6）猜測階段：攻擊者? 輸出一個猜測的數μ′∈{0,1}，若有μ′=u，則用u′=0 表示一個有效的BDH組，反之，則用u′=1表示一個隨機組。

當u=1 時，攻擊者不能獲取信息μ，則有Pr[μ′≠μ|u=1]=1 。2那么挑戰者在μ′≠μ時猜測u′=1，則有Pr[u′=u|u=1]=1 。2當u=0時能獲取信息μ，那么攻擊者的優勢通過 κ 來定義，所以有Pr[μ′=μ|u=0]1= 2+κ，那 么 挑 戰 者 在μ′=μ 時 猜 測u′=0， 則 有 Pr[u′=u|u=0]=1 2+。κ 因 此Pr[u′=u|u=0]-Pr[u′=u|u=1]2=1+κ-12≥κ 成立，即假定攻擊者能夠以優勢κ 求解DBDH。

綜上分析，假設DBDH 成立，則沒有攻擊者能夠在多項式時間內選擇訪問策略T*下攻破方案，則方案是安全的。

5.2.2 抗攻擊等特性分析

（1）抗合謀攻擊

當多個用戶試圖將自己的屬性私鑰進行聯合，組合屬性私鑰以實施對密文解密時，授權中心為用戶分配屬性私鑰和中間參數時為每一個屬性嵌入了一個與該用戶ID對應的唯一隨機數? ∈Zp，這就說明只有嵌入相同隨機數的屬性私鑰才可以進行組合使用，則加大了屬性私鑰組合的難度。例如，用戶1 的私鑰和中間參數分別為SK1u=g(α+?1)/β和用戶2 的私鑰和中間參數分別為SK2u=g(α+?2)/β和。那么它們聯合之后則會在聯合私鑰和中間參數中出現兩個隨機數，不符合中心頒發的私鑰和中間參數，即不可解密密文。同時密文與e(g,ω)ε(y+α)有關，若要獲取明文則需通過計算e(ψ*,ωε先)解得G，因為SKu中嵌入了用戶私有的隨機數? ∈Zp，所以用戶之間無法通過組合解得G，以此實現了抗合謀攻擊。

（2）抗中間人攻擊

在通信過程中存在攻擊者以中間人身份來實施對數據的破獲。本文方案中若要破獲數據則需要計算中間參數G，而計算中間參數則需要私鑰SKu。如，存在中間人截獲了解密中間參數Fu和ψ*后，想去破解密文則 需 要 通 過 計 算C′/G/Fu，而G則 通 過 計 算獲取，但中間人無法獲取私鑰SKu則無法獲取G即無法解密，同時在數據加解密的過程中都引入了隨機參數，故中間人無法恢復云端發來的消息，即方案能夠抗中間人攻擊。

（3）抗云服務器端泄密

本應用場景中涉及到病歷科、醫護人員、用戶和CSP 四類實體，其中病歷科作為授權中心是完全可信的，但CSP 是半可信的。CSP 除了提供安全的密文存儲和策略匹配之外，由于其能直接對密文進行訪問和管理，故也存在試圖獲取私密性數據的可能。為防止CSP端泄密，在本文方案中設計的解密密鑰由兩部分參數通過公式（12）產生，除了由CSP 產生的中間解密參數Fu和ψ*之外，另外一部分參數SKu掌握在訪問用戶端。因而，即使CSP 獲得了解密的中間參數，由于接觸不到私鑰，仍然不能對密文進行解密，故無法破壞數據的隱私性。同時用戶想要獲取到明文也需要滿足數據者制定的訪問策略，擁有權限才可解密。

（4）提供用戶可追蹤性

在訪問控制過程中，針對可能出現的用戶無意或是有意泄漏私鑰的問題，方案定義了用戶追蹤驗證算法。當用戶訪問時，TPA 對用戶中間參數有效性進行驗證，根據訪問者的屬性和公式（14）來計算公鑰中對應屬性的Ti連乘運算，然后根據公式（15）驗證是否為有效私鑰，只有當用戶中間參數是根據其屬性集合分配得到才能使得公式（15）成立，因而，根據參數? 在列表W 中即可查找出對應的用戶ID，實現了用戶可追蹤。

5.2.3 安全性比較

與文獻[6]、[13]、[14]、[15]比較可知，本文方案除了和上述文獻均滿足IND-CPA 模型下證明安全性且支持抗合謀攻擊和抗中間人攻擊之外，與文獻[6]和[13]相比，支持用戶解密行為的追蹤；與文獻[6]、[13]和[15]相比，在訪問策略上采用訪問樹的模式具備更高的靈活性；與文獻[14]具備相同的特性。具體如表1所示。

5.3 效率分析

表1 特性分析

由于文獻[7-12]在方案構造上使用了分層結構、聯合編碼方式或者是單調訪問結構，與本文方案在構造上存在較大差異，無可比性，故以下僅將本文方案與文獻[6]、[13]、[14]、[15]進行比較。表2、3 中n代表系統中屬性域中屬性的數目；k 表示用戶屬性集合中屬性的數目；|w |表示訪問結構中屬性集合中屬性的數目；ni代表文獻[13]第i 個屬性的取值個數；a、b 分別代表文獻[13]、[14]中用戶屬性矩陣行和列的數目；|G |和 | GT|表示群G 和群GT中每個元素的長度；|Zp|代表Zp中每一個元素的長度；tb代表線性對運算時間；te代表一次指數運算時間；其余操作忽略不計。

表2 時間復雜度對比

表3 公私鑰及密文長度對比

5.3.1 時間復雜度分析

從表2 對比結果可以看出，本文方案在解密時間和公鑰生成時間上長于文獻[6]，但是在加密時間、私鑰生成時間和密文生成時間上實現了縮短。其次，本文方案與文獻[13]相比，私鑰生成時間一致，另外雖然在加密時間、公鑰和密文生成時間上都與屬性數目線性相關，但也有所減少且解密時間更短。本文方案與文獻[14]均實現了用戶追蹤，但是在加解密時間、公私鑰和密文生成時間上本文方案更具有優勢，文獻[15]雖然在加密時間上更短，但是其加密時間與用戶屬性數目線性相關，同時在公私鑰和密文生成時間上本文方案具有一定優勢。

5.3.2 空間復雜度分析

從表3 對比結果可以看出，本文方案與文獻[6]和[15]相比，在公鑰長度方面有所增加，但是與私鑰長度和密文長度相比略有縮短，一定程度上降低了空間開銷和解密開銷。方案與文獻[13]和[14]相比雖然在公鑰長度、私鑰長度和密文長度方面均與屬性有線性關系，但是相比于文獻[13]和[14]在這些方面均對空間大小有所壓縮。

綜上所述，從總體來看，本文方案在加解密時間上實現了縮短且在私鑰長度和密文長度方面也進行了縮短，同時實現了安全訪問的靈活性，與其他方案相比在功能上實現了追蹤和性能效率上有所提高。

6 結束語

當前外包數據的安全隱患依然制約著云服務的發展，如何提高云外包數據的安全性依然是一個好的研究方向。本文引入第三方可信機構在基于CP-ABE 的經典方案上做出改進，首先在私鑰分配階段和數據加密階段對算法進行了改進，縮短了私鑰長度和密文長度，降低了存儲開銷和通信時間成本；其次在為用戶分配私鑰時根據其ID 隨機生成一個參數嵌入私鑰中，當用戶訪問數據時只有用戶屬性滿足訪問策略才能獲取中間參數從而解密密文，增強了抗合謀攻擊和中間人攻擊能力；然后對于用戶私鑰泄漏的問題定義了用戶追蹤驗證，追蹤用戶的身份；最后方案是基于訪問樹結構，利用Shamir 秘密共享機制實現策略的與或、門限操作，提高了系統的靈活性。分析表明，方案在基于DBDH假設下證明是安全的，通過方案比較，本文方案在加解密時間、私鑰長度和密文長度方面有所優化，實現了性能和功能的優化。由于在方案中對于泄密的合法用戶未實施叛逃撤銷，因而后續將針對追蹤到的泄密用戶的撤銷做進一步的研究。