高效可撤銷(xiāo)的霧協(xié)同云訪問(wèn)控制方案

孫 梟，王 崢，李 玲

太原理工大學(xué) 信息與計(jì)算機(jī)學(xué)院，山西 晉中 030600

第5 代移動(dòng)通信技術(shù)（5th generation mobile networks，5G）憑借較高的數(shù)據(jù)傳輸速率，使得霧計(jì)算（fog computing）在智慧交通、智能家居等對(duì)于時(shí)延較為敏感的應(yīng)用領(lǐng)域成為可能，并成為重要的研究方向[1-2]。與云計(jì)算不同，霧計(jì)算由性能相對(duì)較弱、物理位置分散的各類(lèi)可聯(lián)網(wǎng)設(shè)備組成[3]。在采用傳統(tǒng)的訪問(wèn)控制方式時(shí)，霧計(jì)算復(fù)雜的分布式環(huán)境使其安全性受到了嚴(yán)重的挑戰(zhàn)[4]。因此，霧計(jì)算中基于密碼學(xué)方法的訪問(wèn)控制技術(shù)仍然是近年來(lái)信息安全領(lǐng)域的研究熱點(diǎn)[5]。

2007 年，Bethencourt 等人[6]提出了密文策略屬性加密（ciphertext-policy attribute-based encryption，CP-ABE），將解密規(guī)則嵌入到加密算法中，在實(shí)現(xiàn)了細(xì)粒度訪問(wèn)控制的同時(shí)，保證了數(shù)據(jù)的機(jī)密性，因此成為了云霧存儲(chǔ)系統(tǒng)中較為常用的技術(shù)。然而，用戶(hù)與屬性通常是多對(duì)多的關(guān)系，用戶(hù)與屬性的撤銷(xiāo)，都可能影響到系統(tǒng)中具有相同屬性的其他用戶(hù)，構(gòu)造撤銷(xiāo)機(jī)制的難度較高。現(xiàn)有的方案大多需要頻繁地更新密鑰與重加密密文，撤銷(xiāo)效率低下，如何高效地實(shí)現(xiàn)用戶(hù)與屬性撤銷(xiāo)是亟待解決的問(wèn)題。

Pirretti等人[7]通過(guò)在用戶(hù)密鑰中嵌入過(guò)期時(shí)間屬性進(jìn)而實(shí)現(xiàn)了用戶(hù)撤銷(xiāo)，但該方法難以進(jìn)行即時(shí)撤銷(xiāo)。唐忠原等人[8]在密文中建立了用戶(hù)撤銷(xiāo)列表，將用戶(hù)身份標(biāo)識(shí)嵌入到列表中進(jìn)行用戶(hù)撤銷(xiāo)，無(wú)形中增加了通信成本，導(dǎo)致開(kāi)銷(xiāo)過(guò)大，難以適應(yīng)復(fù)雜的應(yīng)用環(huán)境。同時(shí)，該方案需要借助云服務(wù)器頻繁地維護(hù)撤銷(xiāo)列表，系統(tǒng)效率較低。陳紅松等人[9]利用可信中心對(duì)撤銷(xiāo)列表進(jìn)行維護(hù)，通過(guò)生成的代理重密鑰將未撤銷(xiāo)用戶(hù)的密鑰進(jìn)行更新并重加密密文。但撤銷(xiāo)操作發(fā)生后，該方案中所有未撤銷(xiāo)用戶(hù)的密鑰全部需要更新，靈活性較差。Cui 等人[10]使用不可信的服務(wù)器進(jìn)行用戶(hù)撤銷(xiāo)，服務(wù)器必須一直在線，易導(dǎo)致單點(diǎn)故障和服務(wù)器瓶頸等問(wèn)題。Jung等人[11]和Wan等人[12]提出的方案都無(wú)法更新部分密鑰，一旦用戶(hù)獲得部分密鑰，即使在撤銷(xiāo)后仍可解密密文。李繼國(guó)等人[13]的用戶(hù)撤銷(xiāo)方案中隱藏了訪問(wèn)結(jié)構(gòu)，但是計(jì)算相對(duì)復(fù)雜。

在實(shí)際應(yīng)用中，用戶(hù)與屬性的關(guān)系更加復(fù)雜。因此，大量的研究致力于構(gòu)造細(xì)粒度的屬性撤銷(xiāo)機(jī)制。Ibraimi等人[14]利用可信中心維護(hù)屬性撤銷(xiāo)列表，首次實(shí)現(xiàn)了屬性的即時(shí)撤銷(xiāo)。Hur 等人[15]利用KEK 樹(shù)和屬性組管理授權(quán)用戶(hù)，通過(guò)更新KEK 實(shí)現(xiàn)了完全細(xì)粒度的屬性撤銷(xiāo)，但密鑰維護(hù)成本較高，且無(wú)法抵抗共謀攻擊。Li 等人[16]將上述方案中的用戶(hù)密鑰與屬性組密鑰進(jìn)行綁定，使方案能夠抵抗共謀攻擊，但密鑰更新效率較低。Li等人[17]改進(jìn)了密鑰更新的計(jì)算方式，效率有所提高，但KEK樹(shù)的結(jié)點(diǎn)數(shù)仍隨用戶(hù)數(shù)量線性增加，進(jìn)而導(dǎo)致用戶(hù)路徑密鑰增長(zhǎng)，并不適用于具有海量用戶(hù)的應(yīng)用場(chǎng)景。強(qiáng)衡暢等人[18]引入中國(guó)剩余定理，使得KEK樹(shù)的解密時(shí)間降為常數(shù)階，但仍需要重加密密文和更新群密鑰。宋可等人[19]利用代理重加密技術(shù)與版本號(hào)標(biāo)識(shí)法實(shí)現(xiàn)屬性撤銷(xiāo)，但每次撤銷(xiāo)都需更新與版本號(hào)相關(guān)的所有密鑰與密文。Wang等人[20]提出了一種外包的支持策略隱藏與屬性撤銷(xiāo)的方案，但該方案中密鑰長(zhǎng)度較長(zhǎng)，存儲(chǔ)開(kāi)銷(xiāo)較大。

針對(duì)上述問(wèn)題，本文提出了一種高效可撤銷(xiāo)的霧協(xié)同云訪問(wèn)控制方案。該方案通過(guò)RSA密鑰管理機(jī)制進(jìn)行屬性認(rèn)證，簡(jiǎn)化了密鑰更新工作且無(wú)需更新密文，實(shí)現(xiàn)了高效的即時(shí)撤銷(xiāo)；固定了密鑰與密文的長(zhǎng)度，降低了用戶(hù)端的存儲(chǔ)與通信開(kāi)銷(xiāo)；實(shí)現(xiàn)了高效的加解密外包，減輕了用戶(hù)端的計(jì)算負(fù)擔(dān)。

1 相關(guān)知識(shí)

1.1 “與”門(mén)訪問(wèn)結(jié)構(gòu)

1.2 密鑰管理

1.3 aMSE-DDH難題

采用aMSE-DDH難題[21]來(lái)證明本文方案的安全性。

構(gòu)造雙線性配對(duì)群G={G1,G2,GT,ρ,e} ，g0和h0分別是G1和G2的生成元，f(x)和g(x)是群Zρ[x]上互質(zhì)的多項(xiàng)式。

若對(duì)任意t多項(xiàng)式時(shí)間攻擊者，解決此難題的最大優(yōu)勢(shì)是ε，那么稱(chēng)它是(t,ε)困難的。

2 系統(tǒng)描述與方案構(gòu)造

2.1 系統(tǒng)描述

本文方案涉及5個(gè)不同的實(shí)體，分別是可信授權(quán)機(jī)構(gòu)、云服務(wù)器、霧節(jié)點(diǎn)、數(shù)據(jù)擁有者和數(shù)據(jù)用戶(hù)。它們之間的關(guān)系如圖1所示。

圖1 系統(tǒng)模型Fig.1 System model

（1）可信授權(quán)機(jī)構(gòu)（trusted authority，TA）：TA 完全可信，全局屬性集合由它管理。TA負(fù)責(zé)系統(tǒng)建立、密鑰生成和屬性撤銷(xiāo)。

（2）云服務(wù)器（cloud server，CS）：CS 是半可信的，可能存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)，即它奉命執(zhí)行任務(wù)但可能窺探數(shù)據(jù)中的隱私。CS 負(fù)責(zé)存儲(chǔ)DO 上傳的數(shù)據(jù)，并為DU提供訪問(wèn)數(shù)據(jù)的服務(wù)。

（3）霧節(jié)點(diǎn)（fog node，F(xiàn)N）：FN 是半可信的，每個(gè)FN 都與CS 相連，它們是DO、DU 與CS 通信的橋梁。FN承擔(dān)了部分加、解密工作。

（4）數(shù)據(jù)擁有者（data owner，DO）：DO 是想要將數(shù)據(jù)上傳至CS 存儲(chǔ)的一方。DO 制定訪問(wèn)策略規(guī)定了訪問(wèn)者的屬性，并將部分密文完全加密后上傳。

（5）數(shù)據(jù)用戶(hù)（data user，DU）：DU是想要訪問(wèn)存儲(chǔ)在CS中數(shù)據(jù)的一方。只有自身屬性滿足訪問(wèn)策略，F(xiàn)N才能將密文部分解密，DU進(jìn)而才能夠獲得數(shù)據(jù)。

2.2 方案構(gòu)造

本文方案包括6 個(gè)階段，分別是系統(tǒng)建立、數(shù)據(jù)加密、密鑰生成、數(shù)據(jù)解密、用戶(hù)撤銷(xiāo)、屬性撤銷(xiāo)。

2.2.1 系統(tǒng)建立

Setup(λ,U)→(uid,PK,MSK)：TA執(zhí)行該算法，輸入安全參數(shù)λ和全局屬性集合U={A1,A2,…,An}，輸出身份標(biāo)識(shí)uid，公共參數(shù)PK和主密鑰MSK。具體步驟如下：

（3）構(gòu)造雙線性配對(duì)群G={G1,G2,GT,ρ,e}，并計(jì)算

（3）生成部分加密密文CT={U,V,eP}，并發(fā)送給DO。

Encrypt.DO(PK,CT,M,k)→CT′：DO 執(zhí)行該算法，輸入公共參數(shù)PK，部分加密密文CT，待加密的明文消息M和對(duì)稱(chēng)密鑰k，輸出密文CT′。具體步驟如下：

3 安全性分析

4 性能評(píng)估

4.1 理論分析

4.1.1 功能比較

符號(hào)的定義如表1所示。

表1 符號(hào)定義Table 1 Symbol definition

表2 將相關(guān)方案的功能進(jìn)行比較。文獻(xiàn)[8]實(shí)現(xiàn)了密鑰與密文定長(zhǎng)且支持用戶(hù)撤銷(xiāo)，但無(wú)任何外包能力，且不支持屬性撤銷(xiāo)。文獻(xiàn)[17]較文獻(xiàn)[8]增加了屬性撤銷(xiāo)功能，且支持加解密外包，適用于霧計(jì)算環(huán)境，但密鑰與密文的長(zhǎng)度隨屬性數(shù)量線性增長(zhǎng)。文獻(xiàn)[18]僅實(shí)現(xiàn)了屬性撤銷(xiāo)。文獻(xiàn)[19]較文獻(xiàn)[18]增加了密鑰定長(zhǎng)，但方案仍存在較多不足。本文方案實(shí)現(xiàn)了霧環(huán)境下的加解密外包，支持用戶(hù)與屬性撤銷(xiāo)，且密鑰與密文定長(zhǎng)，更適用于資源有限的物聯(lián)網(wǎng)設(shè)備。

表2 功能比較Table 2 Comparison of function

4.1.2 撤銷(xiāo)效率比較

表3 將相關(guān)方案的撤銷(xiāo)效率進(jìn)行比較。本文方案用戶(hù)撤銷(xiāo)僅需刪除霧節(jié)點(diǎn)密鑰即可，故屬性撤銷(xiāo)引起的密鑰與密文更新所需的計(jì)算量決定了撤銷(xiāo)的效率。

表3 撤銷(xiāo)效率比較Table 3 Comparison of revocation efficiency

由于群上的指數(shù)運(yùn)算與雙線性配對(duì)帶來(lái)的計(jì)算開(kāi)銷(xiāo)遠(yuǎn)大于模乘運(yùn)算，因此指數(shù)運(yùn)算與雙線性配對(duì)是撤銷(xiāo)效率的主要影響因素。

文獻(xiàn)[17]利用KEK樹(shù)進(jìn)行撤銷(xiāo)，密鑰與密文更新所需的指數(shù)運(yùn)算的次數(shù)都隨撤銷(xiāo)屬性的數(shù)量線性增長(zhǎng)。文獻(xiàn)[18]利用中國(guó)剩余定理求解同余方程組的思想，簡(jiǎn)化了KEK 樹(shù)求解最小用戶(hù)子樹(shù)的過(guò)程，但密鑰更新效率只有本文方案的三分之一，且密文更新所需的指數(shù)運(yùn)算的次數(shù)與訪問(wèn)策略中的屬性數(shù)量線性正相關(guān)。文獻(xiàn)[19]利用版本號(hào)標(biāo)識(shí)法進(jìn)行撤銷(xiāo)，每當(dāng)撤銷(xiāo)發(fā)生時(shí)，與其相關(guān)所有密鑰和密文都需要進(jìn)行更新。而本文方案密鑰更新只需簡(jiǎn)單的模乘運(yùn)算且不需要更新密文。因此，本文方案具有較高的撤銷(xiāo)效率。

4.1.3 存儲(chǔ)與通信開(kāi)銷(xiāo)比較

如表4 將相關(guān)方案中終端設(shè)備的存儲(chǔ)與通信開(kāi)銷(xiāo)進(jìn)行比較。存儲(chǔ)開(kāi)銷(xiāo)與用戶(hù)密鑰的長(zhǎng)度相關(guān)，通信開(kāi)銷(xiāo)與用戶(hù)密文的長(zhǎng)度相關(guān)。

表4 存儲(chǔ)與通信開(kāi)銷(xiāo)比較Table 4 Comparison of storage and communication cost

在存儲(chǔ)開(kāi)銷(xiāo)方面，文獻(xiàn)[17]和[18]中用戶(hù)密鑰的長(zhǎng)度隨用戶(hù)屬性數(shù)量線性增長(zhǎng)，此外文獻(xiàn)[17]利用KEK樹(shù)進(jìn)行撤銷(xiāo)，還需要額外存儲(chǔ)KEK 密鑰。因此上述方案造成較大的存儲(chǔ)負(fù)擔(dān)。文獻(xiàn)[8]和[19]與本文方案固定了密鑰長(zhǎng)度，但本文方案的存儲(chǔ)開(kāi)銷(xiāo)低于其他方案，僅為一個(gè)群元素的長(zhǎng)度。

在通信開(kāi)銷(xiāo)方面，文獻(xiàn)[18]中密文的長(zhǎng)度隨訪問(wèn)策略中的屬性數(shù)量線性增長(zhǎng)。文獻(xiàn)[19]中密文的長(zhǎng)度與全局屬性數(shù)量呈線性正相關(guān)。因此上述文獻(xiàn)造成較大的通信負(fù)擔(dān)。文獻(xiàn)[8]和[17]與本文方案將密文長(zhǎng)度固定，本文方案的通信開(kāi)銷(xiāo)僅為4個(gè)群元素的長(zhǎng)度，同樣較優(yōu)。

4.2 實(shí)驗(yàn)分析

通過(guò)實(shí)驗(yàn)對(duì)比了本文方案與文獻(xiàn)[17]和[19]的加解密時(shí)間，密鑰與密文更新時(shí)間。實(shí)驗(yàn)環(huán)境采用Windows 64位操作系統(tǒng)，AMD Ryzen 7 PRO 2700八核處理器，8 GB內(nèi)存。通過(guò)Eclipse軟件，基于JPBC庫(kù)，使用512 位有限域中超奇異曲線y2=x3+x的160 位橢圓曲線群對(duì)相關(guān)方案進(jìn)行模擬，實(shí)驗(yàn)結(jié)果如圖2～5所示。

圖2 DO加密時(shí)間對(duì)比Fig.2 Comparison of DO encryption time

加解密階段的實(shí)驗(yàn)數(shù)據(jù)為各方案在屬性數(shù)量為10、20、30、40、50情況下分別模擬20次的平均值。文獻(xiàn)[19]中加解密時(shí)間隨著屬性數(shù)量線性增長(zhǎng)，文獻(xiàn)[17]與本文方案都進(jìn)行了加解密外包，將加密過(guò)程中與訪問(wèn)策略相關(guān)的復(fù)雜計(jì)算和解密過(guò)程中的雙線性配對(duì)等操作轉(zhuǎn)載到霧節(jié)點(diǎn)，數(shù)據(jù)擁有者與用戶(hù)只需完成少量計(jì)算即可，時(shí)間開(kāi)銷(xiāo)幾乎為一個(gè)定值。但本文方案的加解密效率仍?xún)?yōu)于文獻(xiàn)[17]。

圖3 DU解密時(shí)間對(duì)比Fig.3 Comparison of DU decryption time

圖4 密鑰更新時(shí)間對(duì)比Fig.4 Comparison of keys update time

圖5 密文更新時(shí)間對(duì)比Fig.5 Comparison of ciphertexts update time

撤銷(xiāo)階段的實(shí)驗(yàn)數(shù)據(jù)為各方案在撤銷(xiāo)屬性數(shù)量為2、4、6、8、10 情況下分別模擬20 次的平均值。令文獻(xiàn)[19]中與版本號(hào)相關(guān)的密鑰和密文數(shù)量等于撤銷(xiāo)的屬性數(shù)量。文獻(xiàn)[17]和[19]與本文方案的密鑰更新時(shí)間都隨撤銷(xiāo)屬性數(shù)量線性增長(zhǎng)，且文獻(xiàn)[17]引入KEK 密鑰，造成了更高的時(shí)間開(kāi)銷(xiāo)，但本文方案僅需要更新部分RSA 密鑰即可，密鑰更新效率較高。文獻(xiàn)[17]和[19]中密文更新時(shí)間也隨撤銷(xiāo)屬性數(shù)量線性增長(zhǎng)，而本文方案無(wú)需更新密文。綜上，本文方案的撤銷(xiāo)效率較高。

5 結(jié)束語(yǔ)

本文對(duì)現(xiàn)有的密文策略屬性加密方案進(jìn)行改進(jìn)，提出了一種支持用戶(hù)與屬性撤銷(xiāo)的輕量級(jí)訪問(wèn)控制方案。該方案建立在云霧架構(gòu)下，利用RSA 密鑰管理實(shí)現(xiàn)了靈活的用戶(hù)與屬性即時(shí)撤銷(xiāo)，通過(guò)將密鑰與密文定長(zhǎng)和部分加解密外包，減少了存儲(chǔ)與通信開(kāi)銷(xiāo)，減輕了用戶(hù)端的計(jì)算負(fù)擔(dān)。另外基于aMSE-DDH 難題，在隨機(jī)預(yù)言機(jī)模型中，可以證明本文方案具有選擇密文攻擊安全性。最后通過(guò)理論分析和實(shí)驗(yàn)仿真，表明所提方案適合應(yīng)用于5G時(shí)代用戶(hù)終端受限的設(shè)備與霧計(jì)算平臺(tái)交互的訪問(wèn)控制環(huán)境中，具有較高的系統(tǒng)效率。但目前本文方案僅基于單授權(quán)中心，易導(dǎo)致單點(diǎn)失效與負(fù)擔(dān)過(guò)重等問(wèn)題。因此，如何在去中心化的環(huán)境下實(shí)現(xiàn)數(shù)據(jù)的安全共享是接下來(lái)研究工作的重點(diǎn)[22]。