基于霧節(jié)點(diǎn)的分布式屬性基加密方案

馬佳佳，張志強(qiáng)，曹素珍，竇鳳鴿，丁曉暉，王彩芬

（1.西北師范大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，蘭州 730070；2.深圳技術(shù)大學(xué) 大數(shù)據(jù)與互聯(lián)網(wǎng)學(xué)院，廣東 深圳 518118）

0 概述

2012 年，BONOMI 等［1］正式提出了霧計(jì)算，使用網(wǎng)絡(luò)中的邊緣設(shè)備來(lái)進(jìn)行數(shù)據(jù)的存儲(chǔ)和運(yùn)算，緩解中心網(wǎng)絡(luò)設(shè)備的壓力。作為新一代的分布式計(jì)算［2］，霧計(jì)算具有低延時(shí)、分布廣泛、帶寬壓力小、調(diào)度靈活等優(yōu)勢(shì)，未來(lái)將被廣泛應(yīng)用于物聯(lián)網(wǎng)和工業(yè)行業(yè)等領(lǐng)域中［3］。

2005 年，SSHAI 等［4］提出了屬性基加密（Attribute-Based Encryption，ABE）技術(shù)，將屬性合并為其密碼原語(yǔ)的輸入。屬性基加密分為密鑰策略的屬性基加密（Key-Policy Attribute-Based Encryption，KP-ABE）［5］和密文策略的屬性基加密（Ciphertext-Policy Attribute-Based Encryption，CP-ABE）［6］兩種。在CP-ABE 下訪問(wèn)策略與密文相關(guān)聯(lián)，更加符合實(shí)際需求［7］。2014 年，F(xiàn)AN 等［8］提出了權(quán)重屬性的概念，將二進(jìn)制狀態(tài)表示的屬性值擴(kuò)展到任意狀態(tài)，使其更廣泛地應(yīng)用于實(shí)際環(huán)境中，文獻(xiàn)［9］為減輕用戶端的解密運(yùn)算壓力，以密鑰分割的方式將運(yùn)算工作外包給霧節(jié)點(diǎn)，文獻(xiàn)［10］將終端設(shè)備中部分復(fù)雜的加解密運(yùn)算外包給霧節(jié)點(diǎn)。上述方案都未考慮單一授權(quán)中心單點(diǎn)失效的問(wèn)題，在單授權(quán)的ABE方案［11-13］中，授權(quán)機(jī)構(gòu)要為所有用戶生成屬性密鑰，容易受到集中攻擊并且存在性能瓶頸。為解決這一問(wèn)題，文獻(xiàn)［14］提出多授權(quán)的ABE 方案，有效地解決了單授權(quán)機(jī)構(gòu)單點(diǎn)失效的問(wèn)題。文獻(xiàn)［15］為解決傳統(tǒng)CP-ABE單一授權(quán)機(jī)構(gòu)存在的問(wèn)題，設(shè)計(jì)了基于區(qū)塊鏈的多授權(quán)訪問(wèn)控制方案。文獻(xiàn)［16］考慮到用戶系統(tǒng)用戶的合法性問(wèn)題，將惡意用戶追蹤機(jī)制引入到了多機(jī)構(gòu)中。為了降低用戶的計(jì)算開銷，文獻(xiàn)［17］提出支持計(jì)算外包的多授權(quán)CP-ABE 訪問(wèn)控制方案，將部分解密計(jì)算外包給代理服務(wù)器；文獻(xiàn)［18］提出了基于密文策略的基于屬性的加密方案，將部分解密外包給云服務(wù)器；文獻(xiàn)［19］采用多機(jī)構(gòu)屬性基加密方案，除了能夠滿足機(jī)密性與細(xì)粒度性之外，還提供了匿名認(rèn)證；文獻(xiàn)［20］使用邊緣霧節(jié)點(diǎn)來(lái)承擔(dān)大部分的用戶解密運(yùn)算操作，有效節(jié)省了用戶終端資源。

本文提出基于霧節(jié)點(diǎn)的分布式權(quán)重屬性CP-ABE外包解密方案。該方案通過(guò)霧節(jié)點(diǎn)實(shí)現(xiàn)外包解密計(jì)算，驗(yàn)證外包結(jié)果的正確性。為每個(gè)屬性定義權(quán)重值，默認(rèn)最小權(quán)重值，當(dāng)用戶屬性值小于最小權(quán)重值時(shí)，不能訪問(wèn)密文，使屬性從二進(jìn)制狀態(tài)“0”和“1”（即“滿足”和“不滿足”）擴(kuò)展到任意狀態(tài)，從而簡(jiǎn)化訪問(wèn)結(jié)構(gòu)，減少密文的存儲(chǔ)開銷和加密中的計(jì)算成本。

1 預(yù)備知識(shí)

1.1 符號(hào)說(shuō)明

本文方案中的部分符號(hào)說(shuō)明如表1 所示。

表1 符號(hào)說(shuō)明Table 1 Symbol description

1.2 困難問(wèn)題假設(shè)

定義1 設(shè)G、GT是兩個(gè)階為素?cái)?shù)p的乘法循環(huán)群，g是G的生成元，e為雙線性映射e：G×G→GT。隨機(jī)選取a,s,b1,b2,…,bq?Zp，公開：

判定性q?parallel BDHE 假設(shè)是指不存在多項(xiàng)式時(shí)間的算法以不可忽略的優(yōu)勢(shì)區(qū)分和GT中的某一隨機(jī)元素R。

1.3 線性秘密共享方案

定義2每個(gè)參與方P上的線性秘密共享方案（Linear Secret Sharing Scheme，LSSS）Π。

存在一個(gè)l×n的矩陣M稱為Π 的共享生成矩陣，對(duì)于所有的i=1,2,…,l，定義M的第i行Mi被標(biāo)識(shí)為參與方ρ(i)，同時(shí)有列向量v=(s,r2,r3,…,rn)，其中s?Zp是要共享的秘密值，r2,r3,…,rn?Zp是隨機(jī)數(shù)，則根據(jù)秘密共享方案Π，向量M˙v是l的秘密份額，并且(M˙v)i屬于ρ(i)。

假定Π 的訪問(wèn)結(jié)構(gòu)為A，令授權(quán)集合S?A，定義I?{1,2,…,l}且I={i：ρ(i)?S}。存在常量{ωi?Zp}i?I，對(duì)于任意合法共享秘密{λi}，有(Mi˙v)=ε˙v=s，其中ε=(1,0,…,0)。{ωi}在共享生成矩陣M的大小相關(guān)的時(shí)間多項(xiàng)式中，約定向量(1,0,…,0)是任何線性秘密共享方案的目標(biāo)向量。對(duì)于M中任何滿足的行集I，得到目標(biāo)向量在I的跨度內(nèi)，而任何未經(jīng)授權(quán)的行集I，目標(biāo)向量不在集合I的行的跨度內(nèi)，并且存在一個(gè)向量ω，使得ω˙(1,0,…,0)=-1，ω˙Mi=0。

2 方案描述

2.1 系統(tǒng)模型

本文方案由6個(gè)實(shí)體構(gòu)成，即云服務(wù)商（Cloud Service Provider，CSP）、中央授權(quán)機(jī)構(gòu)（Center Authority，CA）、屬性授權(quán)機(jī)構(gòu)（Attribute Authority，AA）、霧節(jié)點(diǎn)（Fog）、數(shù)據(jù)屬主（Data Owner，DO）以及數(shù)據(jù)用戶（Data User，DU）。系統(tǒng)模型如圖1 所示，其中，m 表示明文，CT 表示密文。

圖1 系統(tǒng)模型Fig.1 System model

系統(tǒng)模型主要包括以下部分：

1）云服務(wù)商（CSP）。半可信云服務(wù)提供商，負(fù)責(zé)存儲(chǔ)密文。

2）中央授權(quán)機(jī)構(gòu)（CA）。可信的第三方，為整個(gè)系統(tǒng)生成公共參數(shù)。

3）屬性授權(quán)機(jī)構(gòu)（AA）。管理用戶屬性集，并為用戶生成密鑰。不同的授權(quán)機(jī)構(gòu)為每個(gè)用戶生成唯一的全局身份標(biāo)識(shí)符GID，在為用戶生成密鑰時(shí)，用戶GID 與屬性綁定在一起，同時(shí)授權(quán)機(jī)構(gòu)維護(hù)用戶的屬性列表。

4）霧節(jié)點(diǎn)（Fog）。霧節(jié)點(diǎn)是誠(chéng)實(shí)且好奇的，主要負(fù)責(zé)解密DU 從CSP 下載的部分密文。

5）數(shù)據(jù)屬主（DO）。將加密的數(shù)據(jù)文件上傳至CSP，在加密時(shí)，DO 指定一個(gè)滿足用戶屬性的訪問(wèn)結(jié)構(gòu)，然后將數(shù)據(jù)文件加密成密文上傳至CSP。

6）數(shù)據(jù)用戶（DU）。自由地訪問(wèn)CSP 中的密文數(shù)據(jù)資源，當(dāng)DU 能夠滿足訪問(wèn)策略時(shí)，才能夠成功地解密密文數(shù)據(jù)。

2.2 方案構(gòu)造

設(shè)e為G×G→GT的一個(gè)雙線性映射。定義G、GT為素?cái)?shù)階p的雙線性群，生成元為g。選擇哈希函數(shù)H：{0,1}*→G，將身份ID 映射到中。

1）GlobalSetup(k)→PP

全局初始化算法由CA 執(zhí)行。該算法輸入安全參數(shù)k，定義全局屬性A={a1,a2,…,an}及權(quán)重集W={w1,w2,…,wn}，輸出公共參數(shù)PP={G,GT,A,W,H,g}發(fā)送給授權(quán)中心。

2）AuthoritySetup(PP)→(PK,MSK)

輸入公共參數(shù)PP，由屬性授權(quán)機(jī)構(gòu)運(yùn)行該算法。每個(gè)授權(quán)機(jī)構(gòu)管理用戶的不同屬性，對(duì)其管理的每個(gè)屬性i，隨機(jī)選取兩個(gè)數(shù)αi,yi?Zp，生成系統(tǒng)的公鑰PK=和主密鑰MSK={αi,yi}。其中，系統(tǒng)公鑰PK 是公開的，主密鑰MSK 是保密的。

3）KeyGen(MSK,GID,S)→(TSK,DSK)

輸入系統(tǒng)主密鑰MSK、用戶身份GID 以及用戶屬性集合S，AA 為用戶GID 的權(quán)重屬性i生成屬性密鑰，其權(quán)重為wk?W，并將該屬性i記錄在與其身份對(duì)應(yīng)的屬性列表中。對(duì)于屬性i?S，隨機(jī)選取a,t,z?Zp，計(jì)算L=gt/z，Ki,GID=，生成霧節(jié)點(diǎn)的轉(zhuǎn)換密鑰TSK=(PK,L,{Ki,GID})，設(shè)置用戶驗(yàn)證密鑰以及用戶私鑰DSK=(z,TSK)。

4）Encrypt(PK,m,(M,ρ))→CT

輸入系統(tǒng)公鑰PK、消息m以及LSSS訪問(wèn)策略(M,ρ)，輸出密文CT。該算法由數(shù)據(jù)屬主運(yùn)行，M為l×n的矩陣，Mi為M的第i行，函數(shù)ρ將矩陣M的每一行映射到一個(gè)屬性。隨機(jī)選取v=(s,r2,r3,…,rn)?，λi=Miv,i?(1,l)，s為共享秘密值。隨機(jī)選取r1,r2,…,rl?Zp，計(jì)算C=m˙e(g,g)αis,C′=gs/z，。輸出密文CT=((M,ρ),C,C′,Ci,Di,i?(1,l))。

5）FogParDec(TSK,CT)→parCT

輸入S對(duì)應(yīng)的TK 以及(M,ρ)的密文CT，該算法由霧節(jié)點(diǎn)解密。若S滿足訪問(wèn)結(jié)構(gòu)，則X={x|ρ(x)?S且wi≤wk}，其中，wi是訪問(wèn)矩陣M第x行Mx對(duì)應(yīng)屬性的權(quán)重，wk是用戶該屬性的權(quán)重。存在{cx?Zp}x?X，對(duì)任意合法分享{λi}，有×(Miv)=s。令k=ρ(x)表示訪問(wèn)矩陣M第x行Mx所對(duì)應(yīng)屬性，x?[1,l]。對(duì)所有x?[1,l]進(jìn)行分類計(jì)算，如果k?S或k?S,wi>wk，則返回┴；如果k?S且wi≤wk，對(duì)于?x?X，計(jì)算半解密密文：

6）UserVerParDec(C′,SKu,parCT)→CT′

用戶驗(yàn)證階段由授權(quán)中心執(zhí)行，輸入部分密文C′、用戶的驗(yàn)證密鑰SKu以及半解密密文parCT，計(jì)算：

7）Decrypt(DSK,C,CT′)→m

用戶解密消息m，輸入用戶密鑰DSK，密文構(gòu)件C、CT′，計(jì)算：

3 安全性證明

定義3在訪問(wèn)結(jié)構(gòu)(M*,ρ*)下，如果存在多項(xiàng)式時(shí)間的敵手Α 以ε的優(yōu)勢(shì)攻破本文方案，那么存在另一個(gè)敵手B 以的優(yōu)勢(shì)解決判定性q?parallelBDHE假設(shè)，其中，M*是l*×n*的矩陣，l*，n*≤q。

證明挑戰(zhàn)者B 首先選取兩個(gè)乘法循環(huán)群G1、G2，g為G1的生成元，以及雙線性映射G1×G1→G2，隨機(jī)選取a,s,b1,…,bq?Zp，公開：

階段2與階段1 類似。

猜測(cè)Α 輸出對(duì)β的猜測(cè)β′。如果β′=β，則Β 輸出μ′=0，表示，否則Z為群G1中的隨機(jī)元素。

4 性能分析

表2 是文獻(xiàn)［9，15-16］方案與本文方案的特征比較分析。通過(guò)比較可以發(fā)現(xiàn)，本文最大的優(yōu)勢(shì)在于使用加權(quán)屬性簡(jiǎn)化訪問(wèn)結(jié)構(gòu)，從而減少系統(tǒng)的計(jì)算開銷。

表2 相關(guān)方案特征比較Table 2 Comparison of characteristics of relevant schemes

表3 為方案計(jì)算開銷比較。令E1和E2分別是群G和GT上的指數(shù)運(yùn)算，P表示雙線性運(yùn)算的次數(shù)，|M|表示滿足訪問(wèn)結(jié)構(gòu)的屬性個(gè)數(shù)，|S|表示用戶屬性個(gè)數(shù)，|AAA|表示加密時(shí)授權(quán)機(jī)構(gòu)的個(gè)數(shù)，|I|表示滿足訪問(wèn)結(jié)構(gòu)屬性個(gè)數(shù)。

表3 相關(guān)方案計(jì)算開銷比較Table 3 Calculation of cost comparison of relevant schemes

為了更直觀地說(shuō)明本文方案的優(yōu)勢(shì)，對(duì)本文方案與現(xiàn)有方案進(jìn)行比較。實(shí)驗(yàn)環(huán)境為Intel?CoreTMi5-8250UCPU@1.60 GHz，1.80 GHz 處理器，8.00 GRAM的個(gè)人筆記本電腦，使用語(yǔ)言為Java，算法實(shí)現(xiàn)基于JPBC（Java Pairing-Based Cryptography Library）。

圖2 所示是隨著訪問(wèn)結(jié)構(gòu)屬性個(gè)數(shù)的變化數(shù)據(jù)擁有者在加密密文時(shí)所消耗的時(shí)間，本文方案因?yàn)橐霗?quán)重屬性，簡(jiǎn)化了訪問(wèn)結(jié)構(gòu)，所以其加密階段的計(jì)算開銷小于文獻(xiàn)［15-16］方案。圖3 所示是在解密階段用戶屬性滿足密文中包含的屬性個(gè)數(shù)變化時(shí)終端用戶所消耗的時(shí)間。在用戶解密階段，本文方案將部分解密運(yùn)算外包給了霧節(jié)點(diǎn)，而文獻(xiàn)［15-16］方案解密運(yùn)算由用戶獨(dú)立完成，因此本文方案用戶的計(jì)算開銷遠(yuǎn)遠(yuǎn)小于［15-16］方案。圖4 所示是隨著用戶屬性的變化，多個(gè)授權(quán)機(jī)構(gòu)為用戶生成密鑰所消耗的時(shí)間，多授權(quán)機(jī)構(gòu)分擔(dān)不同的屬性的密鑰工作，避免了單一機(jī)構(gòu)密鑰分發(fā)單點(diǎn)失效的問(wèn)題。通過(guò)本文方案與文獻(xiàn)［15-16］方案的加解密以及密鑰生成的計(jì)算開銷對(duì)比可以發(fā)現(xiàn)，因?yàn)楸疚囊霗?quán)重屬性，并將部分解密外包給了霧節(jié)點(diǎn)，所以本文方案在加密和用戶解密時(shí)的計(jì)算開銷優(yōu)于文獻(xiàn)［15-16］方案。

圖2 數(shù)據(jù)擁有者的計(jì)算開銷Fig.2 Computational overhead of data owner

圖3 終端用戶的計(jì)算開銷Fig.3 Computing overhead of end user

圖4 密鑰生成的計(jì)算開銷Fig.4 Computational overhead of key generation

5 結(jié)束語(yǔ)

本文提出一種基于霧節(jié)點(diǎn)的權(quán)重屬性CP-ABE 方案。利用分布式授權(quán)解決單授權(quán)機(jī)構(gòu)單點(diǎn)失效的問(wèn)題，引入權(quán)重屬性簡(jiǎn)化訪問(wèn)結(jié)構(gòu)，并且通過(guò)霧節(jié)點(diǎn)進(jìn)行部分解密，減少了終端用戶的計(jì)算開銷。基于判定性q?parallel BDHE 問(wèn)題，在隨機(jī)預(yù)言機(jī)模型下證明了本文方案的安全性。實(shí)驗(yàn)結(jié)果表明，該方案在加解密以及密鑰生成部分具有更小的計(jì)算開銷。下一步將考慮在標(biāo)準(zhǔn)模型下設(shè)計(jì)屬性加密方案，以實(shí)現(xiàn)更加安全高效的基于霧節(jié)點(diǎn)的分布式屬性基加密方案。