高效可撤銷的霧協同云訪問控制方案

孫 梟，王 崢，李 玲

太原理工大學 信息與計算機學院，山西 晉中 030600

第5 代移動通信技術（5th generation mobile networks，5G）憑借較高的數據傳輸速率，使得霧計算（fog computing）在智慧交通、智能家居等對于時延較為敏感的應用領域成為可能，并成為重要的研究方向[1-2]。與云計算不同，霧計算由性能相對較弱、物理位置分散的各類可聯網設備組成[3]。在采用傳統的訪問控制方式時，霧計算復雜的分布式環境使其安全性受到了嚴重的挑戰[4]。因此，霧計算中基于密碼學方法的訪問控制技術仍然是近年來信息安全領域的研究熱點[5]。

2007 年，Bethencourt 等人[6]提出了密文策略屬性加密（ciphertext-policy attribute-based encryption，CP-ABE），將解密規則嵌入到加密算法中，在實現了細粒度訪問控制的同時，保證了數據的機密性，因此成為了云霧存儲系統中較為常用的技術。然而，用戶與屬性通常是多對多的關系，用戶與屬性的撤銷，都可能影響到系統中具有相同屬性的其他用戶，構造撤銷機制的難度較高。現有的方案大多需要頻繁地更新密鑰與重加密密文，撤銷效率低下，如何高效地實現用戶與屬性撤銷是亟待解決的問題。

Pirretti等人[7]通過在用戶密鑰中嵌入過期時間屬性進而實現了用戶撤銷，但該方法難以進行即時撤銷。唐忠原等人[8]在密文中建立了用戶撤銷列表，將用戶身份標識嵌入到列表中進行用戶撤銷，無形中增加了通信成本，導致開銷過大，難以適應復雜的應用環境。同時，該方案需要借助云服務器頻繁地維護撤銷列表，系統效率較低。陳紅松等人[9]利用可信中心對撤銷列表進行維護，通過生成的代理重密鑰將未撤銷用戶的密鑰進行更新并重加密密文。但撤銷操作發生后，該方案中所有未撤銷用戶的密鑰全部需要更新，靈活性較差。Cui 等人[10]使用不可信的服務器進行用戶撤銷，服務器必須一直在線，易導致單點故障和服務器瓶頸等問題。Jung等人[11]和Wan等人[12]提出的方案都無法更新部分密鑰，一旦用戶獲得部分密鑰，即使在撤銷后仍可解密密文。李繼國等人[13]的用戶撤銷方案中隱藏了訪問結構，但是計算相對復雜。

在實際應用中，用戶與屬性的關系更加復雜。因此，大量的研究致力于構造細粒度的屬性撤銷機制。Ibraimi等人[14]利用可信中心維護屬性撤銷列表，首次實現了屬性的即時撤銷。Hur 等人[15]利用KEK 樹和屬性組管理授權用戶，通過更新KEK 實現了完全細粒度的屬性撤銷，但密鑰維護成本較高，且無法抵抗共謀攻擊。Li 等人[16]將上述方案中的用戶密鑰與屬性組密鑰進行綁定，使方案能夠抵抗共謀攻擊，但密鑰更新效率較低。Li等人[17]改進了密鑰更新的計算方式，效率有所提高，但KEK樹的結點數仍隨用戶數量線性增加，進而導致用戶路徑密鑰增長，并不適用于具有海量用戶的應用場景。強衡暢等人[18]引入中國剩余定理，使得KEK樹的解密時間降為常數階，但仍需要重加密密文和更新群密鑰。宋可等人[19]利用代理重加密技術與版本號標識法實現屬性撤銷，但每次撤銷都需更新與版本號相關的所有密鑰與密文。Wang等人[20]提出了一種外包的支持策略隱藏與屬性撤銷的方案，但該方案中密鑰長度較長，存儲開銷較大。

針對上述問題，本文提出了一種高效可撤銷的霧協同云訪問控制方案。該方案通過RSA密鑰管理機制進行屬性認證，簡化了密鑰更新工作且無需更新密文，實現了高效的即時撤銷；固定了密鑰與密文的長度，降低了用戶端的存儲與通信開銷；實現了高效的加解密外包，減輕了用戶端的計算負擔。

1 相關知識

1.1 “與”門訪問結構

1.2 密鑰管理

1.3 aMSE-DDH難題

采用aMSE-DDH難題[21]來證明本文方案的安全性。

構造雙線性配對群G={G1,G2,GT,ρ,e} ，g0和h0分別是G1和G2的生成元，f(x)和g(x)是群Zρ[x]上互質的多項式。

若對任意t多項式時間攻擊者，解決此難題的最大優勢是ε，那么稱它是(t,ε)困難的。

2 系統描述與方案構造

2.1 系統描述

本文方案涉及5個不同的實體，分別是可信授權機構、云服務器、霧節點、數據擁有者和數據用戶。它們之間的關系如圖1所示。

圖1 系統模型Fig.1 System model

（1）可信授權機構（trusted authority，TA）：TA 完全可信，全局屬性集合由它管理。TA負責系統建立、密鑰生成和屬性撤銷。

（2）云服務器（cloud server，CS）：CS 是半可信的，可能存在數據泄露的風險，即它奉命執行任務但可能窺探數據中的隱私。CS 負責存儲DO 上傳的數據，并為DU提供訪問數據的服務。

（3）霧節點（fog node，FN）：FN 是半可信的，每個FN 都與CS 相連，它們是DO、DU 與CS 通信的橋梁。FN承擔了部分加、解密工作。

（4）數據擁有者（data owner，DO）：DO 是想要將數據上傳至CS 存儲的一方。DO 制定訪問策略規定了訪問者的屬性，并將部分密文完全加密后上傳。

（5）數據用戶（data user，DU）：DU是想要訪問存儲在CS中數據的一方。只有自身屬性滿足訪問策略，FN才能將密文部分解密，DU進而才能夠獲得數據。

2.2 方案構造

本文方案包括6 個階段，分別是系統建立、數據加密、密鑰生成、數據解密、用戶撤銷、屬性撤銷。

2.2.1 系統建立

Setup(λ,U)→(uid,PK,MSK)：TA執行該算法，輸入安全參數λ和全局屬性集合U={A1,A2,…,An}，輸出身份標識uid，公共參數PK和主密鑰MSK。具體步驟如下：

（3）構造雙線性配對群G={G1,G2,GT,ρ,e}，并計算

（3）生成部分加密密文CT={U,V,eP}，并發送給DO。

Encrypt.DO(PK,CT,M,k)→CT′：DO 執行該算法，輸入公共參數PK，部分加密密文CT，待加密的明文消息M和對稱密鑰k，輸出密文CT′。具體步驟如下：

3 安全性分析

4 性能評估

4.1 理論分析

4.1.1 功能比較

符號的定義如表1所示。

表1 符號定義Table 1 Symbol definition

表2 將相關方案的功能進行比較。文獻[8]實現了密鑰與密文定長且支持用戶撤銷，但無任何外包能力，且不支持屬性撤銷。文獻[17]較文獻[8]增加了屬性撤銷功能，且支持加解密外包，適用于霧計算環境，但密鑰與密文的長度隨屬性數量線性增長。文獻[18]僅實現了屬性撤銷。文獻[19]較文獻[18]增加了密鑰定長，但方案仍存在較多不足。本文方案實現了霧環境下的加解密外包，支持用戶與屬性撤銷，且密鑰與密文定長，更適用于資源有限的物聯網設備。

表2 功能比較Table 2 Comparison of function

4.1.2 撤銷效率比較

表3 將相關方案的撤銷效率進行比較。本文方案用戶撤銷僅需刪除霧節點密鑰即可，故屬性撤銷引起的密鑰與密文更新所需的計算量決定了撤銷的效率。

表3 撤銷效率比較Table 3 Comparison of revocation efficiency

由于群上的指數運算與雙線性配對帶來的計算開銷遠大于模乘運算，因此指數運算與雙線性配對是撤銷效率的主要影響因素。

文獻[17]利用KEK樹進行撤銷，密鑰與密文更新所需的指數運算的次數都隨撤銷屬性的數量線性增長。文獻[18]利用中國剩余定理求解同余方程組的思想，簡化了KEK 樹求解最小用戶子樹的過程，但密鑰更新效率只有本文方案的三分之一，且密文更新所需的指數運算的次數與訪問策略中的屬性數量線性正相關。文獻[19]利用版本號標識法進行撤銷，每當撤銷發生時，與其相關所有密鑰和密文都需要進行更新。而本文方案密鑰更新只需簡單的模乘運算且不需要更新密文。因此，本文方案具有較高的撤銷效率。

4.1.3 存儲與通信開銷比較

如表4 將相關方案中終端設備的存儲與通信開銷進行比較。存儲開銷與用戶密鑰的長度相關，通信開銷與用戶密文的長度相關。

表4 存儲與通信開銷比較Table 4 Comparison of storage and communication cost

在存儲開銷方面，文獻[17]和[18]中用戶密鑰的長度隨用戶屬性數量線性增長，此外文獻[17]利用KEK樹進行撤銷，還需要額外存儲KEK 密鑰。因此上述方案造成較大的存儲負擔。文獻[8]和[19]與本文方案固定了密鑰長度，但本文方案的存儲開銷低于其他方案，僅為一個群元素的長度。

在通信開銷方面，文獻[18]中密文的長度隨訪問策略中的屬性數量線性增長。文獻[19]中密文的長度與全局屬性數量呈線性正相關。因此上述文獻造成較大的通信負擔。文獻[8]和[17]與本文方案將密文長度固定，本文方案的通信開銷僅為4個群元素的長度，同樣較優。

4.2 實驗分析

通過實驗對比了本文方案與文獻[17]和[19]的加解密時間，密鑰與密文更新時間。實驗環境采用Windows 64位操作系統，AMD Ryzen 7 PRO 2700八核處理器，8 GB內存。通過Eclipse軟件，基于JPBC庫，使用512 位有限域中超奇異曲線y2=x3+x的160 位橢圓曲線群對相關方案進行模擬，實驗結果如圖2～5所示。

圖2 DO加密時間對比Fig.2 Comparison of DO encryption time

加解密階段的實驗數據為各方案在屬性數量為10、20、30、40、50情況下分別模擬20次的平均值。文獻[19]中加解密時間隨著屬性數量線性增長，文獻[17]與本文方案都進行了加解密外包，將加密過程中與訪問策略相關的復雜計算和解密過程中的雙線性配對等操作轉載到霧節點，數據擁有者與用戶只需完成少量計算即可，時間開銷幾乎為一個定值。但本文方案的加解密效率仍優于文獻[17]。

圖3 DU解密時間對比Fig.3 Comparison of DU decryption time

圖4 密鑰更新時間對比Fig.4 Comparison of keys update time

圖5 密文更新時間對比Fig.5 Comparison of ciphertexts update time

撤銷階段的實驗數據為各方案在撤銷屬性數量為2、4、6、8、10 情況下分別模擬20 次的平均值。令文獻[19]中與版本號相關的密鑰和密文數量等于撤銷的屬性數量。文獻[17]和[19]與本文方案的密鑰更新時間都隨撤銷屬性數量線性增長，且文獻[17]引入KEK 密鑰，造成了更高的時間開銷，但本文方案僅需要更新部分RSA 密鑰即可，密鑰更新效率較高。文獻[17]和[19]中密文更新時間也隨撤銷屬性數量線性增長，而本文方案無需更新密文。綜上，本文方案的撤銷效率較高。

5 結束語

本文對現有的密文策略屬性加密方案進行改進，提出了一種支持用戶與屬性撤銷的輕量級訪問控制方案。該方案建立在云霧架構下，利用RSA 密鑰管理實現了靈活的用戶與屬性即時撤銷，通過將密鑰與密文定長和部分加解密外包，減少了存儲與通信開銷，減輕了用戶端的計算負擔。另外基于aMSE-DDH 難題，在隨機預言機模型中，可以證明本文方案具有選擇密文攻擊安全性。最后通過理論分析和實驗仿真，表明所提方案適合應用于5G時代用戶終端受限的設備與霧計算平臺交互的訪問控制環境中，具有較高的系統效率。但目前本文方案僅基于單授權中心，易導致單點失效與負擔過重等問題。因此，如何在去中心化的環境下實現數據的安全共享是接下來研究工作的重點[22]。