基于身份加密的組合文檔安全刪除方案

戴素芬 沈薇薇

摘 要：文章針對可公開發(fā)布的組合文檔（Publicly Posted Composite Documents，PPCD）在用戶設定的有效期后的安全刪除問題，將基于身份加密系統(tǒng)（Identity-Based Encryption，IBE）、云存儲系統(tǒng)（Cloud Storage System，CSS）、隨機對稱加密密鑰以及對象存儲系統(tǒng)（Object Storage System，OSS）進行結合，同時引入分安全等級思想，提出基于身份加密的組合文檔安全刪除方案（ICDSS）;通過對該方案的綜合性分析，證明方案的安全性和可行性。

關鍵詞：PPCD;安全刪除;IBE;OSS

0 引言

組合文檔是由多個文檔組件組成，并由分散在世界各地的顧問、合作伙伴以及顧客等操作，操作的過程可跨越多個不安全的區(qū)域。同時，云環(huán)境中涉及有商業(yè)機密、個人隱私等重要的隱私性信息，例如政府的有關情報、企業(yè)新產品的相關定價策略、知識產權或是個人電子病歷等[1]。PPCD是近年新提出的一種組合文檔，而在PPCD完成相應的工作之后，其安全刪除是一個必須解決的問題。

數(shù)據(jù)安全刪除指的是能夠在用戶設置的有效時間后實現(xiàn)主動刪除，最具代表性的是Vanish系統(tǒng)，而該方案的缺陷是數(shù)據(jù)密文都存儲在CSS上。針對此問題，及專家提出SSDD方案[3]。同時，由于Vanish系統(tǒng)中使用DHT網絡存在Sybil攻擊，專家提出SelfDoc方案[4]。然在上述文獻方案中密鑰的有效時間由DHT網絡決定，而不是用戶指定。針對該問題，本文提出ICDSS方案。

1 預備知識

1.1? PPCD技術

PPCD[3]主要由3個部分組成。

入口表：為文檔參與者提供一個可以快速定位或識別對應映射記錄的記錄名。

映射記錄：存儲文檔參與者獲得密鑰到文檔組件的映射。

文檔組件：PPCD由多個文檔組件組合而成，且根據(jù)文檔參與者的權限訪問對應的文檔組件。

本文對PPCD進行分安全等級，引入PPCD分等級的新結構如圖1所示。并使用同一個隨機對稱加密密鑰對位于同一安全等級的文檔組件進行加密，達到減少隨機對稱加密密鑰的數(shù)量以及管理隨機對稱加密密鑰的開銷的目的。

1.2? OSS

OSS[5]主要由以下3個實體組成：

（1）用戶/應用程序;

（2）元數(shù)據(jù)服務器;

（3）存儲節(jié)點。每個存儲節(jié)點是一個對象存儲設備。其中的主動存儲對象（Active Storage Object，ASO）是根據(jù)用戶對象拓展的，用戶根據(jù)需要設定時間屬性（time-to-live，TTL），ASO可以實現(xiàn)在用戶設定的有效時間后主動安全刪除數(shù)據(jù)。

2 ? ICDSS方案的設計

定義PPCD安全主動刪除對象（PPCD Secure-destruction Object，CDSO）：首先，運用特定的封裝算法對PPCD進行封裝得到封裝密文;其次，將其中的一部分封裝密文運用相應的算法定義為CDSO，并存儲在CSS上，在文檔擁有者指定的有效期后變得不可讀。

2.1 方案的構造模型

本方案的構造模型如圖2所示，主要包括以下6個實體。

（1）PPCD文檔創(chuàng)建者：完成將CDSO發(fā)送到CSS上存儲，同時將提取密文和隨機對稱加密密鑰密文做處理后的混合密文份額發(fā)送到OSS上存儲，以及指定混合密文份額的TTL和授予不同PPCD文檔參與者相應的訪問權限。

（2）PPCD文檔參與者：根據(jù)具備的訪問權限，在有效期內對文檔進行操作。（3）PKG：生成具有訪問權限文檔參與者的公鑰和私鑰。（4）CSS：存儲CDSO。（5）OSS：存儲混合密文份額和實現(xiàn)在TTL后實現(xiàn)主動刪除。（6）潛在敵手：分別為對OSS和CSS進行攻擊。

2.2 方案算法的具體描述

（1）Setup（Θ）

選擇一個足夠大的安全參數(shù)Θ作為算法的輸入，算法根據(jù)Θ生成混合密文份額為n個、每次從密文中提取的bit數(shù)為ε、需要提取的次數(shù)共為φ、設置門限值為u、一個Hash函數(shù)H：{0，1}*→{0，1}m、N個隨機對稱加密密鑰k1，…，ki，…，kN，其中1

文檔創(chuàng)建者根據(jù)所有的文檔組件具有不同的隱私程度將PPCD分為N個不同安全等級的文檔組件mi∈M（1≤i≤N），然后使用同一個ki（1≤i≤N）將具有相同安全等級的文檔組件進行加密。相比將不同的文檔組件使用不同的ki進行加密，減少了使用ki的數(shù)量和管理ki的開銷。

（2）Encrypt（ψ，ki，mi）→C

將ψ、N個ki以及mi，其中1

（3）Partition（C，ψ）→（C=（D1，…，Di，…，Ds））

將ψ和C作為算法的輸入，算法將C分成大小均為ρbit的塊，假如密文的最后一塊的大小不足ρbit，使用0bit填充，因此，分成的所有密文塊長度是相等的，假設共分成s塊，則將C的形式定義為：C=（D1，…，Di，…，Ds）。

（4）Extract（C=（D1，…，Di，…，Ds），ψ）→（Ced，Cf）

將ψ和C=（D1，…，Di，…，Ds）作為算法的輸入，其中i=1，…，φ （φ

（5）QKDF（e（α，β））→K

文檔創(chuàng)建者根據(jù)文檔組件的安全等級賦予具備訪問權限的文檔參與者的身份，例如在本方案中應用的是文檔參與者的ID，用以生成該文檔參與者的偽私有密鑰r;接著，應用PKG的系統(tǒng)公鑰y，生成該文檔參與者的IBE加密密鑰K=QKDF（eH（ID）r，y））;最后，文檔創(chuàng)建者根據(jù)偽私有密鑰r計算得出一個偽公鑰z=gr，并將該偽公鑰安全地傳送給對應的文檔參與者。

（6）IBEEncrypt（K，ki）→Ck

將上述得到的K作為算法的輸入，利用同一密鑰生成算法QKDF，根據(jù)不同的身份D計算得出不同的K用以將對應的ki進行加密，其中1≤i≤N，生成對稱加密密鑰密文Cki，最后將所生成Cki組合得出密鑰密文Ck。

（9）MixSharesDistribute（Cms）→msi

將以上得到的Cms作為算法的輸入，算法通過將Cms與OSS系統(tǒng)中的存儲節(jié)點進行創(chuàng)建連接。如果能夠創(chuàng)建連接成功則選擇應用該存儲節(jié)點;根據(jù)預先設置的TTL來創(chuàng)建OSS并將Cms發(fā)送到對應的存儲節(jié)點上進行存儲;對節(jié)點中的對象進行標記;將所有IBE的加密密鑰K和ki都刪除。當預先設置的TTL為零時，系統(tǒng)將觸發(fā)OSS中的Cms進行主動刪除。

（10）CDSOEncapsulate（ψ，L，Cf）→CDSO

將ψ，一個隨機的密鑰定位器L以及Cf作為算法的輸入，應用特定的封裝算法對其進行封裝，然后將其形式定義為：CDSO=（ψ，L，Cf），并將CDSO發(fā)送到CSS上進行存儲。

（11）CDSODecapsulate（CDSO）→Cf

在PPCD的有效期內，通過對文檔參與者的訪問權限進行驗證，然后根據(jù)其訪問權限可從CSS上獲取對應的CDSO，算法應用L對其進行解封裝，最終解封裝出Cf。

（12）ExtractShares→（Ced，Ck）

在PPCD有效期內，首先，OSS系統(tǒng)對文檔參與者的訪問權限進行驗證后，通過獲取足夠多的Cms，即大于或等于u個的msi;然后，應用拉格朗日插值法得出φ+1個的多項式，得到Ced和Ck;最后，將Ced和Cf進行重構得出C。

（13）QKDF（e（α，β））→K'

具有訪問權限的文檔參與者可以得到偽公鑰z=gr，并且通過身份驗證后可以從PKG上獲取其身份IDi對應的私鑰kIDi=H（IDi）x∈G1，最后算法將計算出K'=QKDF（e（kIDi，z））。

（14）IBEDecrypt（K，Ck）→ki

根據(jù)雙線性對函數(shù)e的性質，得出e（kIDi，z）= e（H（IDi）r，y），即K'=K，則算法利用K'解密Ck后可以獲得原始的N個ki（1≤i≤N）。

（15）Recover（ψ，ki，C）

將ψ、N個ki（1≤i≤N）以及C作為算法的輸入，算法應用對應的ki解密相應的Cpi得到mi，最后將解密好的N個文檔組件集合后得到原始PPCD明文M。

3 ICDSS方案的綜合性分析

3.1 方案的安全性分析

3.1.1 抵抗傳統(tǒng)算法攻擊的安全性分析

在本方案中，首先，使用同一個對稱加密密鑰將具有相同安全等級的文檔組件進行加密，同時，利用IBE算法將對稱加密密鑰進行加密;接著，利用特定的混合算法將密鑰密文和提取密文做相應的混合處理。所以，如果無法獲取完整的密文和解密密鑰，將不能解密出原始的明文。

在本方案中利用特定的算法使PPCD的密文變得不完整，且密鑰空間的大小是由密鑰密文和提取密文做混合處理得到的混合密文的長度決定的。這樣加大了密鑰空間，使得蠻力攻擊變得更加困難。因此，該方案可有效抵抗傳統(tǒng)的蠻力攻擊。

同時，在本方案中沒有將完整的密文存儲在OSS系統(tǒng)上。因此，也可有效抵抗傳統(tǒng)的密碼分析攻擊。

3.1.2 在任意時刻抵抗攻擊的安全性分析

該方案可抵抗第三種類型的攻擊，即在PPCD的全生命周期內，同時對CSS和OSS進行攻擊。假設在PPCD全生命周期內的某一時刻，潛在敵手同時對CSS和OSS發(fā)起攻擊，并獲得足夠多的混合密文份額和CDSO，但由于PKG是可信的，因此潛在敵手不可能得到具有訪問權限的文檔參與者的IBE私鑰，從而無法解密出原始的明文。因此，該方案可以同時抵抗?jié)撛跀呈謱SS和OSS的攻擊，達到本方案的整體安全。

綜合以上的論述，證明該方案是安全的。

3.2 方案的性能試驗

本方案只對應用到的關鍵算法進行循環(huán)試驗，執(zhí)行300次后取平均值。本方案對PPCD進行分安全等級，在試驗時將其分成4個不同的安全等級，即令N=4，門限值u=10，提取密文的次數(shù)φ=20。試驗得到位于4個不同的安全等級的文檔組件的時間開銷，如表1所示。

實驗結果顯示，當4個位于不同安全等級的文檔組件的大小越大時，使用對稱加密密鑰進行加密的時間也越大，但是，相比引入IBE系統(tǒng)后方案獲得的安全性，此時間開銷是合理的。

4 結語

本文針對PPCD在全生命周期內的安全問題提出ICDSS方案，相比已有的方案，本方案將IBE系統(tǒng)、CSS、OSS、對稱加密密鑰以及引入多級安全思想等結合起來實現(xiàn)，并對方案的綜合性進行分析和試驗。

[參考文獻]

[1]BALINSKY H，CHEN L，SIMSKE S J.Premature silent workflow termination in publicly posted composite documents[C].Alaska： In Proc.of the 2011 IEEE International Conference on Systems，Man，and Cybernetics（SMC），2011（4）：1292-1297.

[2]GEAMBASU R，KOHNO T，LEVY A，et al.Vanish：Increasing data privacy with self-destructing data[C].Montreal：In Proc.of the 18th USENIX Security Symposium，2009（3）：299-315.

[3]WANG G，YUE F，LIU Q.A secure self-destructing scheme for electronic data[C].Hong Kong：Journal of Computer and System Sciences，2013（2）：279–290.

[4]熊金波，姚志強.基于屬性加密的組合文檔安全自毀方案[J].電子學報，2014（2）：366-376.

[5]ZENG L，CHEN S，WEI Q，et al.SeDas：A self-destructing data system based on active storage framework[J].IEEE Transactions on Magnetics，2013（6）：2548-2554.

（編輯 傅金睿）