車載自組網(wǎng)中基于屬性的可搜索加密和屬性更新①

張露露,光笑黎,劉繼增

(長安大學 信息工程學院，西安 710064)

1 引言

車載自組網(wǎng)(VANET)是指在交通環(huán)境中車輛之間,車輛與固定接入點之間及車輛與行人之間相互通信形成的開放式移動網(wǎng)絡.VANET 的架構已被拓展到更廣泛的范疇,分為車內(nèi)通信(in-vehicle domain)、車間通信(Ad-hoc domain)和車路通信(Infrastructure domain)3 個域.車內(nèi)通信是車載單元(OBU)與用戶終端之間的通信,用戶終端可以是某種具體的設備.車間通信包括OBU 之間的通信(V2V)以及OBU 與路側單元(RSU)間的通信(V2R).車路通信是OBU,RSU以及基礎設施之間的通信.然而,車輛與RSU 采用的通信方式是專用短距離通信(Dedicated Short Range Communication),車輛與車輛之間的通信采用的是802.11p通信協(xié)議[1].VANET是實現(xiàn)智能交通系統(tǒng)(ITS)的一種方式,是將信息和通信技術傳授給交通基礎設施和車輛的一種技術.車輛與車輛和車輛與路邊基礎設施之間可以數(shù)據(jù)交換,用這些警告信息來提高乘客的安全,可以減少交通事故的發(fā)生,改善交通管理.通過物聯(lián)網(wǎng)的通信、數(shù)據(jù)處理等技術在交通領域的支撐性映射,來提供更好的服務.一般,我們都是將大量數(shù)據(jù)存儲在云服務器上,但是,云服務器本身的特點會造成網(wǎng)絡延遲.為了更好的解決問題,美國思科公司的Bonomi等在2012年首次提出霧計算的概念[2].與云計算相比,它能夠過濾信息,當聚合用戶信息時,只需要將核心信息發(fā)送給云,減少核心網(wǎng)絡壓力.而且,它比云擁有更小的網(wǎng)絡延遲,能夠及時的接收信息.此外,霧服務器設置在云服務器和物聯(lián)網(wǎng)設備,以便存儲和計算的數(shù)據(jù)傳輸盡可能多的霧服務器.因此,霧計算有助于減少云服務器的工作負載,提高整個系統(tǒng)的效率.由于,我們往往將注意力放在服務器的存儲和計算資源上,在這樣情況下,如何保證數(shù)據(jù)的安全,成為了我們需要關注的焦點.Song 等[3]提出了可搜索加密,在該方法中數(shù)據(jù)所有者將其加密的數(shù)據(jù)存儲在第三個存儲服務器中,允許用戶使用適當?shù)年P鍵字搜索加密數(shù)據(jù),并獲得所需的加密數(shù)據(jù).此方法,很好的解決了數(shù)據(jù)的安全性問題.雖然我們將大量數(shù)據(jù)存儲在云服務上,但是它并不是完全可信的.為了保證存儲在它上面的數(shù)據(jù)的隱私性和對數(shù)據(jù)的細粒度的訪問,Sahai 等[4]首次提出基于屬性加密(Attribute-Based Encryption,ABE)機制.接著,Goyal 和Bethencourt 等[5,6]提出了基于密鑰策略的屬性加密方案(KP-ABE)和基于密文策略的屬性加密方案(CP-ABE),兩方案均是屬性集合滿足訪問策略時,用戶才可以解密.然而,在2009年Huang等[7]首次針對車聯(lián)網(wǎng)中數(shù)據(jù)訪問控制提出了一種新的基于屬性的安全策略實施方案,該方案將基于密文策略屬性加密方案進行優(yōu)化,減少了加密和解密時間.2011年,Yeh 等[8]針對車聯(lián)網(wǎng)中非安全類應用緊急服務提出基于屬性訪問控制方案,該方案能夠?qū)崿F(xiàn)數(shù)據(jù)機密性和細粒度訪問控制.2013年,針對屬性加密密文問題,Rao 等[9]使用析取范式訪問策略設計車聯(lián)網(wǎng)中基于屬性訪問控制方案,方案中密文長度與屬性數(shù)無關,降低了通信開銷.2014年,Yeh 等[10]提出面向服務的車聯(lián)網(wǎng)細粒度訪問控制便攜式計費方案,該方案利用基于密鑰策略屬性加密實現(xiàn)復雜的訪問控制策略,并確保實體的真實性和電子硬幣的有效性.2016年,Bouabdellah 等[11]提出車聯(lián)網(wǎng)中基于屬性加密安全協(xié)作傳輸模型,該模型利用基于密文策略屬性加密來實現(xiàn)數(shù)據(jù)的機密性和細粒度訪問控制.Xia 等[12]提出車聯(lián)網(wǎng)中隱私保護的自適應多媒體數(shù)據(jù)轉發(fā)方案,該方案利用基于密文策略屬性加密將解密外包給路側單元,提高車輛的解密效率.大量的數(shù)據(jù)存儲在云中,很難滿足我們現(xiàn)在的需求,也會給我們帶來一些不便.為了減輕用戶的計算負擔,有學者將霧計算和云計算相結合,由于霧計算有計算能力,因此,可以將部分計算外包給霧,從而減輕用戶的計算代價.在2018年,Xue 等[13]提出車輛云計算中延遲敏感數(shù)據(jù)共享的霧輔助可驗證隱私保護訪問控制方案,該方案利用基于密文策略屬性加密將數(shù)據(jù)加密和解密外包給云和霧節(jié)點,減少了延遲和計算開銷.為了在車-霧-云環(huán)境中實現(xiàn)用戶撤銷,計算外包,可搜索加密,本文提出了一個VANET 中基于屬性的可搜索加密和屬性更新方案.本文的主要工作是:

(1)在車-霧-云環(huán)境下,本文設計了一個可搜索加密方案,將霧節(jié)點作為車輛和云服務器之間的橋梁,數(shù)據(jù)擁有者和車輛用戶都可以直接與霧節(jié)點連接,每個霧節(jié)點都與云服務器連接,減少了數(shù)據(jù)不必要的傳輸.

(2)本文提出的基于屬性的可搜索加密方案,是一個一對多的通信.車輛用戶可以根據(jù)關鍵字來詢問相關密文,不泄露相關信息.

(3)文章提出的CP-ABE 方案,將霧-云相結合,部分加密和解密外包給霧計算,減少了用戶的計算負擔,減少了網(wǎng)絡延遲.

2 基礎知識

2.1 訪問結構

令P={P1,P2,···,Pn}是參與者集合,存取結構A是2P的一個非空子集,即A?2P{?}.對任意集合B、C,如果B∈A且B?C,有C∈A,則稱存取結構A是單調(diào)的.存取結構A中的集合稱為授權集合,否則稱為非授權集合.

2.2 雙線性映射

令G為循環(huán)乘法群,其生成元為g,階為素數(shù)p.GT是階同為p的循環(huán)乘法群.假設e:G×G→GT為雙線性映射,也稱雙線性對,則其滿足下面的性質(zhì):

(1)雙線性性:對于任意u,v∈G,a,b∈Zp,恒有

(2)非退化性:存在g∈G,使得e(g,g)≠1.

(3)可計算性:對于任意u,v∈G,存在有效的算法計算e(u,v).

2.3 訪問樹

本文中,我們用訪問樹作為訪問策略.

T代表訪問樹,x代表它的節(jié)點,其中T的非葉節(jié)點x代表一個閾值門,numx表示x的子節(jié)點數(shù),則0 ＜kx≤numx.其中,當kx=1時,閾值為“或門”;當kx=numx時,閾值為“與門”,每個葉節(jié)點與屬性相關.為了方便,我們定義了以下公式:

(1)parent(x):代表除根節(jié)點外返回節(jié)點的父節(jié)點.

(2)index(x):代表假定每個節(jié)點的子節(jié)點被標記為1 到num,這里返回的是與節(jié)點x相關的數(shù)字.

(3)att(x):代表一個葉節(jié)點相關的屬性.

2.4 困難問題及安全假設

問題1.判定性雙線性Diffie-Hellman (簡稱DBDH)問題:

令G、GT是階為素數(shù)p的群,g是G的生成元,e:G×G→GT是雙線性映射.給定g,ga,gb,gc∈G以及Z∈GT,其中a,b,c∈為隨機選取的未知數(shù),判斷Z=e(g,g)abc是否成立.

定義算法ADBDH解DBDH 問題的優(yōu)勢為:

假設1.對于任意多項式時間算法ADBDH,其解DBDH問題的優(yōu)勢是可忽略的.

3 系統(tǒng)和安全模型

3.1 系統(tǒng)模型

本文設計的方案由以下7 部分組成:

云服務器(CSP):CSP 作為可信的實體,提供多種服務,比如:數(shù)據(jù)存儲.當收到VU 的搜索陷門時,CSP提供關鍵字搜索.當對車輛用戶進行撤銷時,CSP 可以通過更新用戶屬性來更新密文,實現(xiàn)用戶撤銷.

霧節(jié)點(Fog):Fog 作為可信的實體,提供多種服務,比如:低延遲,存儲.Fog 可以產(chǎn)生部分密文并發(fā)送給用戶,最終上傳給CSP.它也可以解密從CSP 上獲得的部分密文.

數(shù)據(jù)擁有者(DO):DO 定義訪問結構并產(chǎn)生部分密文和關鍵字索引,最后將完整密文和索引發(fā)送給Fog,最終存儲在CSP.

車輛用戶(VU):VU 可以產(chǎn)生搜索的陷門并發(fā)送給CSP,CSP 找到包含此關鍵字的密文,然后將其發(fā)送給Fog 進行部分解密.最后,VU 得到部分解密密文,并解密.

數(shù)據(jù)擁有者(DO):DO 定義訪問結構并產(chǎn)生部分密文和關鍵字索引,最后將完整密文和索引發(fā)送給Fog,最終存儲在CSP.

車輛用戶(VU):VU 可以產(chǎn)生搜索的陷門并發(fā)送給CSP,CSP 找到包含此關鍵字的密文,然后將其發(fā)送給Fog 進行部分解密.最后,VU 得到部分解密密文,并解密.

屬性權威(AA):AA 作為可信的實體,負責生產(chǎn)系統(tǒng)參數(shù),屬性管理和密鑰生成.當VU 的屬性需要更新時,AA 為VU 產(chǎn)生更新密鑰.

系統(tǒng)模型如圖1所示.

3.2 方案定義

我們提出的VANET 中基于屬性的可搜索加密和屬性更新方案具體包含以下8 個步驟:

(1)算法輸入安全參數(shù)λ 和屬性集合L,輸出系統(tǒng)參數(shù)PP,主密鑰MSK,CSP 的公私鑰對(PKs,SKs).

(2)密鑰生成

KeyGen(MS K,S)→(S K,Apri,Apub):算法輸入主密鑰MSK和用戶的屬性集合S,輸出用戶的私鑰SK,用戶的公私鑰對(Apri,Apub).

(3)數(shù)據(jù)加密和生成關鍵字索引

DU 用對稱加密算法的對稱密鑰ck對進行消息M加密,生成Eck(M),然后用加密算法對ck加密.

Fog 執(zhí)行Encrypt(PP,ck,T)→(CT1):算法輸入系統(tǒng)參數(shù)PP,對稱密鑰ck,訪問結構T,輸出部分密文CT1.

DO 執(zhí)行Encrypt(PP,CT1)→(CT):算法輸入系統(tǒng)參數(shù)和部分密文CT1,輸出密文CT.

DO 執(zhí)行Index(W,Apub)→(IW):算法輸入關鍵字集合W,數(shù)據(jù)擁有者的搜索公鑰Apub,輸出關鍵字索引IW.

(4)Trapdoor 生成

TrapdoorGen(w,PKs,Apri)→Tw:算法輸入關鍵字w,CSP 的公鑰PKs,DV 搜索私鑰Apri,輸出Tw.

(5)文件檢索

CSP 執(zhí)行Test(IW,Tw)→(0,1):算法輸入關鍵字索引集合IW,DV 的搜索陷門Tw,輸出(0,1).

(6)數(shù)據(jù)預解密

Fog 執(zhí)行PDecrypt(CT,S K′)→CT1:算法輸入密文CT,密鑰S K′,輸出部分密文CT1.

(7)車輛用戶解密

DV 執(zhí)行Decrypt(CT1,S K)→ck:算法輸入密文CT1,密鑰SK,輸出ck.

最后,車輛用戶解密Eck(M),得到M.

(8)屬性更新

假設用戶的一個屬性aj通過AA 被更新為aj′.屬性更新算法包括以下幾步:

UKeyGen(PP,MS K,S K,aj,aj′)→(UK,UK′):算法輸入系統(tǒng)參數(shù)PP,主密鑰MSK,用戶密鑰SK,屬性aj,aj′,輸出更新算法UK,UK′.

SKUpdate(S K,UK,UK′)→S Ku:算法輸入密鑰SK,更新算法UK,UK′,輸出更新的密鑰S Ku.

3.3 安全模型

在我們的方案中,霧節(jié)點和云服務器都是誠實可信的,意味著它們可以執(zhí)行操作并可以抵制獲得非授權數(shù)據(jù).安全模型包括以下幾個方面.

(1)細粒度訪問控制:數(shù)據(jù)擁有者可以靈活的定義訪問結構,只有用戶的屬性集合滿足定義的訪問結構時,用戶才可以訪問和更新數(shù)據(jù).

(2)抗共謀:兩個或多個用戶不能結合來獲得他們的私鑰.

4 方案構造

(1)系統(tǒng)初始化

AA Setup:AA 輸入安全參數(shù) λ和屬性集合L={a1,a2,···,am}.它選擇一個雙線性對e:G0×G0→GT,其中G0是階為p雙線性群,g是它的生成元.AA 隨機選擇兩個元素α,β ∈Zp,也選擇h∈G0,隨機選擇xs∈Zp,讓S Ks=xs,PKs=gxs作為云的密鑰對,讓Apri=u作為用戶搜索私鑰,Apub=gu作為用戶搜索公鑰,對于每個屬性aj∈L,它選擇一個隨機vj并計算PKj=gv>j.最后輸出公鑰和主密鑰.

(2)密鑰生成

AA 運行算法,選擇r,ε ∈Zp,生成用戶私鑰S K=D=gβ(α+r)和外包密鑰.

AA 將用戶的外包密鑰發(fā)送給Fog.

(3)加密階段和生成關鍵字索引

①加密階段

數(shù)據(jù)上傳到云之前,數(shù)據(jù)擁有者隨機選擇一個ck作為對稱密鑰數(shù)據(jù)M進行加密,生成Eck(M),數(shù)據(jù)擁有者定義訪問結構T并發(fā)給Fog.

Fog 加密:Fog 首先從根節(jié)點R開始自上而下的為每個節(jié)點x選擇一個多項式qx,多項式的次數(shù)取為dx=kx?1,其中kx為節(jié)點x的門限值.numx表示x的子節(jié)點數(shù),則0≤kx≤numx.

從根節(jié)點R開始,Fog 隨機選擇s1∈Zp并 有qR(0)=s1,對于其他節(jié)點x,設置qx(0)=qparent(x)(index(x)),在訪問樹中,X是葉節(jié)點相關的屬性集合,生成的部分密文為:

Fog 將CT1發(fā)送給數(shù)據(jù)擁有者.

數(shù)據(jù)擁有者隨機選擇s2∈Zp,生成最終的密文CT:

②生成關鍵字索引

數(shù)據(jù)擁有者從文件中提取關鍵字集合W={w1,w2,···,wn},執(zhí)行索引生成算法

輸入關鍵字和用戶搜索公鑰,索引生成算法為每個關鍵字隨機選擇ζi∈Zp并計算計算最后輸出關鍵字索引的集合由數(shù)據(jù)擁有者經(jīng)過霧節(jié)點存儲到云上.

(4)Trapdoor 生成

輸入關鍵字,云的公鑰和用戶私鑰,算法隨機選擇 σ∈Zp并計算T1=gσ,T2=(PKs)σ·H1(w)Apri.輸出TrapdoorTw.

(5)文件檢索

輸入關鍵字索引和用戶搜索Trapdoor,云收到用戶的搜索請求后,首先要檢查用戶的屬性是否滿足訪問結構.如果是,云檢查Tw是否和Iw匹配.

云計算:

再根據(jù)關鍵字索引計算:

判斷H2(θ1)=I2,如果成立,說明匹配成功.

(6)數(shù)據(jù)預解密

Fog 首先從云上獲得關鍵字索引相關的密文,用部分密鑰解密,進行如下操作:

如果用戶的屬性集合滿足定義的訪問策略,那么用戶就能解密.算法輸入密文CT,部分密鑰S K′和一個節(jié)點x.

①如果節(jié)點x是葉節(jié)點,讓aj=att(x),如果aj∈S,則:

②如果aj?S有:

③如果是x非葉節(jié)點算法定義是:對于x所有的孩子節(jié)點n,它執(zhí)行Fn=Fog.DecryptNode(CT,S K′,n),讓,如果沒有這個集合存在,則Fn=⊥,否則,計算:

讓j=index(n)>和S′x={index(n):n∈Sx}.如果屬性集合S滿足訪問策略T.則整個計算結果是:

然后,霧節(jié)點計算:

(7)車輛用戶解密

霧節(jié)點把預解密密文發(fā)送給用戶,用戶用自己的私鑰解密得到對稱密鑰;

最后再用對稱密鑰解密Eck(M)得到消息.

(8)屬性更新

更新密鑰生成:算法輸入公鑰,主密鑰和屬性aj,aj′.計算屬性更新密鑰權威選擇一個隨機數(shù)它為沒有更新的用戶產(chǎn)生用以更新云中的密文.分別發(fā)送及給更新用戶,未更新用戶和云.更新的公共屬性密鑰

更新的用戶私鑰:

5 安全分析

假如存在多項式時間的敵手以不可忽略的優(yōu)勢攻破本文方案,則存在一個算法以一定的優(yōu)勢解決DBDH問題.我們方案的安全性是基于DBDH 困難問題假設做的,證明在文獻[14]中.本方案的安全性能分析如下:

(1)細粒度的訪問控制

為了能夠靈活的訪問數(shù)據(jù),就需要細粒度的訪問加密數(shù)據(jù),我們利用CP-ABE 來管理系統(tǒng)的加密密鑰.在加密階段,數(shù)據(jù)擁有者定義訪問結構并用對稱密鑰對消息進行加密.當有用戶要訪問數(shù)據(jù)時,需要自己的屬性集合滿足定義的訪問策略,否則,解密失敗.因此,本方案在訪問控制方面具有靈活性.

(2)抗共謀

當兩個或多個用戶想要結合他們的密鑰來訪問加密數(shù)據(jù)時,這個操作是實現(xiàn)不了的.在本方案中,屬性權威會給每個用戶產(chǎn)生不同的私鑰,這個私鑰是和一個隨機數(shù)相關的,多個用戶密鑰結合不能恢復出來訪問密鑰.

6 性能分析

6.1 功能性比較

在這部分,我們將本方案與其他方案進行了對比,這里我們更注重功能和計算復雜度的比較.表1是功能比較,表中√表示滿足,×表示不滿足.

在這里可以看出,文獻[15]實現(xiàn)了撤銷和關鍵字搜索,但沒有實現(xiàn)霧計算和外包.文獻[16]僅實現(xiàn)了撤銷,其他都沒實現(xiàn).文獻[17]僅實現(xiàn)了撤銷,其他功能均沒有實現(xiàn).文獻[18]實現(xiàn)了外包,撤銷和關鍵字搜索,沒有實現(xiàn)解密外包和霧計算.本方案以上功能均實現(xiàn)了,看出本方案功能齊全,有優(yōu)勢.本方案以上功能均實現(xiàn)了,看出本方案功能齊全,有優(yōu)勢.

表1 功能性比較

6.2 計算開銷

本節(jié)對文獻[15–18]等方案的計算開銷進行了測試.

設p表示雙線性配對所需的時間,e表示在群G中標量乘法所需的時間.本方案在i5-M60,2.53 GHz,i5 CPU,4 GB 內(nèi)存和64 位Windows 10 上進行仿真.表2列出了操作的平均運行時間.

表2 平均運行時間

假設在密文生成,密鑰生成,密鑰更新,外包解密等階段數(shù)據(jù)使用者從屬性授權得到的屬性數(shù)量l是一致的.表3中總結了本文方案和文獻[15–18] 方案的計算開銷,對每個過程所需要的計算量進行了量化,對應的實驗仿真結果如圖2–圖5所示.

表3 計算開銷比較

圖2 密鑰生成時間

圖3 密文生成時間

圖4 密鑰更新時間

圖5 外包解密時間

在表3中,m表示集合中屬性的個數(shù);e表示GT,G中的指數(shù)運算;p表示一個對運算;l表示各個操作中涉及的屬性的個數(shù).

圖2–圖5分別表示的是密鑰生成時間,密文生成時間,密鑰更新時間以及外包解密時間與屬性數(shù)量的關系,其中密鑰中涉及到的屬性數(shù)量被設置為10,即l=10.從圖2–圖5可知,這幾個階段的計算開銷隨著涉及到的屬性數(shù)量的變化呈線性增長.

在圖2中,本文方案的密鑰生成時間低于文獻[16–18]等對比方案,計算成本更低.在圖3中,本文方案的密文生成時間低于所有對比方案,計算成本低且更有效.在圖4中,本文方案的密鑰更新生成時間低于文獻[15–17]等對比方案,計算成本低.在圖5中,本文方案的外包解密計算時間低于文獻[17,18]等對比方案,計算成本低,其他方案沒有實現(xiàn)外包.

經(jīng)分析可知,本文提出的方案在加密、解密和密文更新階段所需的計算開銷是最低的,比文獻[15–18]方案有更多的優(yōu)勢.

7 總結

本文提出了車載自組網(wǎng)中基于屬性的可搜索加密和屬性撤銷方案.首先,將車輛用戶的敏感數(shù)據(jù)和訪問策略經(jīng)過加密通過霧節(jié)點外包給云服務器,并將部分加密和解密外包給霧節(jié)點,從而減輕了車輛用戶的計算負擔.其次,我們的應用場景是車載自組網(wǎng),方案中車輛擁有者能夠?qū)?shù)據(jù)通過霧節(jié)點安全的存儲在云服務器上,以便其他用戶可以有效的訪問.再者,我們的方案支持關鍵字的可搜索加密和細粒度的訪問控制以及屬性更新,避免不合法用戶對數(shù)據(jù)的訪問.最后,經(jīng)過比較,我們的方案功能更加齊全,擁有更大的優(yōu)勢.在未來工作中,我們將繼續(xù)研究多授權、分層、多關鍵字搜索等在基于屬性的加密中的應用.