基于多機構屬性加密的云數據確定性刪除方案

2024-01-24 09:20:28江艷惠胡學先郝增航

計算機技術與發展 2024年1期

江艷惠,胡學先,陳越,郝增航

(1.鄭州大學網絡空間安全學院,河南鄭州 450002;2.中國人民解放軍戰略支援部隊信息工程大學,河南鄭州 450001)

0 引言

隨著計算機和互聯網的發展,尤其是5G時代,數據生成量巨大,數據存儲需求隨之增加。云存儲通過網絡將不同類型的存儲設備連接到一起協同工作,可以為用戶提供巨大的數據存儲空間。因此,個人或企業為了節約本地存儲成本,按照自身需求將數據存儲在云服務器中。然而,在云存儲帶來便利的同時,也引入了云存儲的數據安全問題,其中包括如何確保數據的安全刪除。如何安全刪除云存儲數據的問題主要由數據的管理權和所有權分離和云存儲服務器半可信引起[1]。數據所有者請求刪除云存儲數據后,云存儲服務商響應刪除請求,但是云存儲服務商可能并沒有刪除數據而只是欺騙數據所有者數據已刪除。這將造成隱私泄露,威脅云存儲數據的安全,阻礙云存儲的應用和發展。因此,為保護數據的隱私和安全,應在數據所有者要求刪除數據后,該數據不能被恢復。

現有云存儲數據確定性刪除方案大都是基于密碼學的方案,即在數據加密之后再上傳到云服務器,這不僅能保證數據的機密性,而且可以將數據的刪除轉換為加密數據的密鑰的刪除。如Mo等人[2]提出基于密鑰分層結構的云數據確定性刪除方案;Hao等人[3]提出基于可信平臺模塊的可驗證數據刪除方案,用可信平臺模塊存儲密鑰;Perlman[4]提出基于時間的數據確定性刪除方案,當到達數據指定的過期時間時,數據自動消失。根據Perlman的思想,部分學者[5-7]提出基于分布式哈希表(Distributed Hash Table,DHT)的數據刪除方案,利用DHT在一定時間后被覆寫的特點自動銷毀密鑰。此外,為使刪除結果更可信和公開可驗證,Yang等人[8]提出基于區塊鏈的刪除方案,將區塊鏈用來存儲刪除證明。然而,以上方案并沒有考慮到云存儲數據的細粒度訪問控制。因此,學者們又將訪問策略應用于云存儲數據的確定性刪除。其中,Tang等人[9]提出基于訪問策略的文件確定性刪除方案(FADE),通過文件訪問策略的撤銷實現刪除,但訪問策略被限制在一層或二層的布爾表達式。Xiong等人[10]提出基于屬性基加密(Attribute-based Encryption,ABE)的安全文檔自毀方案;Xue等人[11]提出基于密鑰策略的屬性基加密的刪除方案;Yu等人[12]提出基于密文策略的屬性基加密(Ciphertext-Policy Attribute-based Encryption,CP-ABE)的數據確定性刪除方案;Tian等人[13]提出一種屬性關聯的數據刪除方案;Tian等人[14]提出一種基于雙服務器屬性密鑰管理系統的刪除方案;周等人[15]提出基于區塊鏈和屬性加密的云數據安全刪除方案。由上述發現,基于屬性加密的云數據確定性刪除方案,不僅可以保證數據的安全刪除,而且滿足數據的細粒度訪問控制。

然而,在現有基于屬性加密云數據確定性刪除方案中,大都采用單機構管理屬性和分發密鑰,授權機構工作量大且容易引起單點故障或造成系統瓶頸。并且,這種單機構的情景下,授權機構擁有所有的密鑰,可以用來解密系統中所有的密文,若授權機構被攻擊者攻破或數據泄露,將嚴重影響整個系統中的數據安全。針對單機構屬性加密面臨的問題,Lewko和Waters[16]提出去中心化的屬性基加密,一個中央機構用來生成系統的全局參數,多個屬性授權機構用來維護屬性和生成密鑰。另一方面,基于屬性加密云數據確定性刪除方案中,缺乏對訪問策略隱私的保護,這可能會泄露有關解密和加密實體的敏感信息。

因此,基于Lewko和Waters[16]提出的去中心化的屬性基加密并結合區塊鏈技術和策略隱藏方法[17],提出一種基于多機構屬性基加密的云數據確定性刪除方案,可以實現對數據的細粒度訪問控制和數據刪除驗證,并提高了系統的安全性。該文首次將多機構屬性基加密應用在云存儲數據的確定性刪除,避免了單機構屬性基加密容易引起單點故障的問題,滿足存在多個機構管理屬性場景下在對云存儲數據的確定性刪除。此外,該方案使用策略隱藏保護多機構屬性基加密中的策略隱私。其次,使用區塊鏈保存刪除證明,實現刪除結果公開可驗證和可追溯。

1 基于多機構屬性加密的確定性刪除方案

1.1 系統模型

該方案包括五個實體:數據所有者(Data Owner,DO)、數據用戶(Data User,DU)、屬性授權機構(Attribute Authority,AA)、云服務提供商(Cloud Server Provider,CSP)、區塊鏈。

(1)屬性授權機構:多個屬性授權機構負責給通過驗證的用戶授權屬性,并生成對應于屬性的私鑰。所有的屬性授權機構作為聯盟鏈的節點,共同維護聯盟鏈。在聯盟鏈中部署智能合約用于將屬性和身份信息加密后作為交易存儲在區塊鏈中。屬性授權機構可能被攻擊者劫持,從而可能造成用戶屬性的篡改,而通過使用區塊鏈來管理用戶屬性可有效抵抗該攻擊。

(2)數據所有者:使用對稱密鑰加密消息生成密文,再將對稱密鑰通過多機構CP-ABE加密方案加密生成對稱密鑰的密文。最后,在轉換訪問策略以保護策略中屬性的隱私之后將密文和密鑰密文上傳到云端。作為數據的屬主,數據所有者是可信的,不會泄露數據的任何信息。

(3)數據用戶:從屬性授權機構獲得屬性私鑰,并從云存儲中獲取密文,只有擁有的屬性集滿足密文中的訪問策略時,才能解密密文。

(4)云服務提供商:有強大的計算和存儲資源,提供數據存儲、訪問控制和數據處理服務。云服務器是誠實且好奇的,即云存儲服務器按照提前商定的協議執行操作,但同時又對用戶的數據隱私保持好奇。

(5)區塊鏈:區塊鏈主要包括聯盟鏈和證據鏈。聯盟鏈由屬性授權機構作為節點共同維護,用來存儲用戶屬性,以抵抗屬性篡改攻擊;證據鏈用于存儲刪除證明,實現刪除結果的公開可驗證和責任可追溯。

系統模型如圖1所示。

圖1 系統模型

首先,用戶向一個或多個屬性授權機構提交注冊申請。屬性授權機構驗證用戶身份通過后,為用戶派發相應的屬性和屬性私鑰,然后將用戶的身份和屬性信息記錄在聯盟鏈中。數據所有者用對稱密碼方案加密消息生成密文,將密文上傳到云端,并將對稱加密密鑰通過多機構CP-ABE方案加密,將對稱加密密鑰的密文上傳到云存儲服務器,并且隱藏需上傳到云服務器中的訪問策略。然后,數據用戶下載密文,只有數據用戶擁有的屬性滿足密文中的訪問策略時,才能解密密文得到對稱加密密鑰,根據對稱加密密鑰即可獲得明文。最后,數據所有者請求刪除數據,云存儲服務器通過重加密密文,并生成具有其簽名的刪除證明上傳到證據鏈中,實現刪除公開可驗證、責任可追溯。

1.2 安全模型

本節描述一個基于多機構CP-ABE的云數據刪除方案的安全模型。在該方案的安全定義中,敵手將選擇一個挑戰訪問結構(A*,ρ*)標識的密文進行挑戰,并請求任何不滿足(A*,ρ*)的屬性集。該安全模型可以由挑戰者C和敵手A之間的游戲定義,具體描述如下:

初始化:敵手A選擇一個挑戰訪問結構(A*,ρ*),并將它發送給挑戰者C。

挑戰階段:敵手A發送兩個長度相等的明文消息M0和M1,并將它們發送給挑戰者。C隨機選擇β∈{0,1}并在訪問結構Γ*=(A*,ρ*)下執行加密算法Encrypt加密消息Mβ,生成密文CTβ發送給敵手A。

查詢階段2:已經收到Mβ的敵手A可以在查詢階段1中查詢多項式時間有限次,但敵手A不能查詢滿足訪問策略Γ*=(A*,ρ*)的屬性集的相關密鑰。

猜測階段:敵手A猜測β′∈{0,1},如果β′=β,則敵手A勝利。敵手獲得勝利的優勢是:

(1)

若在多項式時間內,沒有敵手能以不可忽略的優勢攻破以上安全模型,那么就說該方案是選擇明文安全的。

2 具體方案

2.1 概述

該文提出了一種基于多機構屬性基加密的云數據確定性刪除方案,作為一種新的在云存儲環境中對外包數據進行加密訪問控制和刪除的安全機制。該方案是基于Lewko和Waters[16]在2011年提出的基于多機構屬性基加密的方案。將多機構屬性基加密方案引入到云存儲數據的確定性刪除方案中,同時將策略隱藏[17]應用于該方案保護訪問策略的隱私。

2.2 具體構造

(1)初始化階段。

①系統初始化。

Setup(1λ):輸入安全參數λ,在區塊鏈中部署智能合約SCA,屬性授權機構通過調用SCA構造階為p的雙線性群G和GT,以及雙線性映射e:G×G→GT,然后選擇哈希函數H:{0,1}*→G。輸出全局參數GP={G,p,e:G×G→GT,H}。

AASetup(GP):輸入全局參數GP,每個屬性授權機構AAj維護一個屬性集SAAj,并且各個屬性授權機構維護的屬性集不相交。對于屬性授權機構中的屬性x(x∈SAAj),屬性授權機構AAj選擇隨機數αx,yx∈Zp,并且隨機選擇一個隨機數tj∈Zp,然后生成屬性授權機構AAj的公鑰PKAAj和私鑰SKAAj。

PKAAj=({g,e(g,g)αx,gyx},gtj)

(2)

SKAAj=({αx,yx},tj)

(3)

②用戶初始化。

KeyGen(GP,GID,Sj,GID,SKAAj):用戶向屬性授權機構發送注冊請求,注冊請求包括用戶的全局唯一身份標識GID和與屬性授權機構AAj(j∈N)相關的屬性集Sj,GID。屬性授權機構驗證用戶身份GID,驗證通過后,將加密并簽名之后以交易的形式轉發至區塊鏈。屬性授權機構AAj計算屬性集Sj,GID的相應私鑰Kj,GID發送給擁有相應屬性的用戶GID。

(4)

(2)文件上傳階段。

Encrypt(GP,{PKAAj},(A,ρ),M):首先,DO選擇一個隨機值a∈Zp,并計算替換值qi:

qi=e((gtj)a,H(xi))

(5)

其中,{xi}i∈F表示訪問策略(A,ρ)中的一個屬性,而F為訪問結構中的屬性數量。為了確保訪問策略的隱私保護特性,數據所有者將訪問結構(A,ρ)中指定的每個屬性xi替換為qi。

h0=ga

(6)

C0=k·e(g,g)s

(7)

C1,i=e(g,g)λie(g,g)αρ(i)τi

(8)

C2,i=gτi

(9)

C3,i=gyρ(i)τigωi

(10)

DO在本地生成公私鑰對(PKDO,SKDO),同時,CSP在本地也生成公私鑰對(PKCSP,SKCSP)。這里公私鑰對的生成方式類似,即任選一個隨機數φ∈Zp作為私鑰,計算D=gφ作為公鑰。數據所有者的每個文件有一個唯一的文件名fname。用C2,i的哈希值H(C2,i)作為葉節點生成默克爾樹,得到該樹的根值Rn,并在根節點Rn上簽上數據所有者的簽名SignSKDO(Rn),上傳{fname,PKDO,SignSKDO(Rn),CT,ind,Ωind}到云服務器,ind表示MHT中葉子節點的索引,Ωind是指從第ind個葉節點到根的路徑上節點的所有兄弟節點。

(3)文件解密階段。

(11)

其解密過程如下:

C1,i·e(H(GID),C3,i)/e(Kρ(i),GID,C2,i)=e(g,g)λie(H(GID),g)ωi,?i∈I′

(12)

已知λi=Ai·v和ωi=Ai·ω,因此v·(1,0,…,0)=s和ω·(1,0,…,0)=0,可計算:

(13)

最后計算對稱密鑰k=C0/e(g,g)s,再由k解密C,得到明文M。

(4)刪除階段。

在屬性集中,擁有一個默認屬性attr,它有兩個值available或unavailable,密文中的此屬性置為unavailable時,任何人都無法訪問該密文。

①刪除請求。

DelRequest(fname,attr,SKDO):數據所有者向云服務器發送刪除請求,隨機選擇d∈Zp作為私鑰保存,計算θ=gdmodp,并將θ和全局標識GID、文件名fname、將要刪除的屬性attr、刪除標識delete一起簽名得到SigDel=SignSKDOH(delete‖GID‖fname ‖attr‖θ)。然后,將得到的刪除請求DR={delete‖GID‖fname‖attr‖θ‖SigDel}發送給云服務器。

②驗證刪除請求。

云服務器接收到數據所有者發來的刪除請求后,用PKDO驗證刪除請求DR中的簽名是否正確,若正確則繼續第3步,若返回錯誤則終止操作。

③重加密。

④證據上鏈。

如圖2所示,將刪除證據proofn交給區塊鏈節點,節點將證據作為交易打包到區塊中,生成一條證據鏈。如圖所示,區塊鏈中包括區塊頭和區塊體,區塊頭中的哈希值Hn=(Hn-1‖Tn‖Qn)表示當前區塊的哈希值。Hn-1表示前一區塊的哈希值,Tn當前區塊的時間戳,Qn表示當前區塊的MHT樹的根值,該MHT由proofn做為葉子節點生成。

圖2 區塊鏈結構

(5)驗證階段。

3 方案分析

3.1 安全性分析

根據選擇明文安全的安全模型來證明文中方案的安全性。

定理1:如果存在多項式時間的敵手A以不可忽略的優勢ε攻破此方案,則一定存在一個多項式時間算法B以不可忽略的優勢ε/2解決DBDH假設。

(14)

查詢階段:敵手A可以進行H(GID)、Kx,GID詢問,在這兩種情況中,敵手B以下述值回應。

當A進行H(GID)詢問時,B隨機選擇f∈Zp,令H(GID)=gf,并建表Q存儲GID對應值,以便在下次請求該值時,能夠以相同的H(GID)值回應。

當A進行(x,GID)私鑰詢問時,敵手B首先查詢GID值是否在表Q中,如果H(GID)不在表中,則按上述H(GID)查詢的過程創建H(GID),B計算(x,GID)對應的Kx,GID如下:

(15)

B在Zp中隨機選擇向量u1,滿足第一項為1,且u1與B中所有行正交。選擇隨機向量u2,其第一項為0,其余項隨機。令v=acu1+u2,λx=Ax·v=acAx·u1+Ax·u2。

(17)

對于Ax∈B,B選擇τx∈Zp,計算C1,x=e(g,gb)Ax·u2+αρ(x)τx。

(18)

(19)

對于Ax∈B,B選擇τx∈Zp,計算C3,x=gyρ(x)τx。

3.2 性能分析

為了進一步說明文中方案的性能優勢,從刪除驗證、細粒度訪問控制、策略隱藏、責任可追溯和多授權機構五個方面與其他方案進行了比較。如表1所示,表中的“-”表示未比較,從文中方案和方案[3]、方案[8]、方案[11]、方案[13]、方案[15]的對比分析可以得出以下結論:文中方案在實現了數據的安全刪除和刪除驗證的基礎上,和方案[3]、方案[8]相比,也實現了數據的細粒度訪問控制。其次,與方案[11]、方案[13]、方案[15]相比,文中方案采用策略隱藏保護數據隱私。同時,與方案[11]、方案[13]相比,文中方案使用區塊鏈實現責任可追溯。最后,文中方案采用的多授權機構機制可解決傳統單機構帶來的單點故障威脅。因此,文中方案在性能對比上具有一定的優勢。

表1 性能對比

對于文中方案的計算開銷,主要從加密、解密、刪除和驗證的計算開銷四個方面分析。其中,用TE,TM,TP,TH,Tsig,分別表示指數運算,乘法運算,雙線性運算,哈希運算,簽名算法,驗證簽名算法。由于文中使用的AES算法是高效的,數據所有者對數據M進行對稱加密的時間開銷較小,因此無需考慮對稱加密算法的時間開銷,只需考慮由多機構屬性加密方案加密對稱密鑰的時間開銷。由此分析,對于用l行n列的訪問矩陣A,數據所有者進行加密時的開銷主要是(5l+1)TE+2lTM+1TP。解密時的主要計算開銷為解密對稱密鑰的開銷,為(3TE+3TM+2TP)i+1TM,其中i表示A中映射到滿足訪問策略的屬性的行數。刪除階段對應了上文中的DelRequest算法和ReEncrypt算法,其主要開銷是4TE+2Tsig+1Tver+(log2l+2)TH。最后是在刪除后,數據所有者對刪除結果進行驗證,其主要計算開銷為2TE+Tver+(log2l+1)TH。

實驗部署在Windows 10操作系統上,配置為Intel(R) Core(TM) i7-9700 CPU @ 3.00 GHz八核處理器,32 GB內存,使用Java語言并基于JPBC函數庫進行編程開發,同時使用密鑰長度為128 bits的AES對稱加密,多機構屬性加密方案的安全參數設置為80。實驗數據為測試20次的平均時間。

實驗主要測試屬性數量對加密時間、解密時間、刪除時間和驗證時間的影響,并將文中方案和其它和類似的刪除方案進行比較分析。圖3為不同屬性個數下的加密時間變化?？梢钥闯?加密時間隨著屬性個數的增加呈線性增長,文中方案加密時間大于文獻[11]的,且由于文中方案增速較快,在屬性個數大于12后,文中方案加密時間也大于文獻[13]的,但整體來說加密時間相差不大。然后,對比分析了在不同屬性個數下的解密時間變化,如圖4所示。可以看出,文中方案比文獻[11]和文獻[13]的解密時間要小,證明文中方案在解密數據時有較好的效率。此外,還對比了不同屬性個數下的刪除時間變化,如圖5所示?？梢钥吹?文中方案的刪除時間明顯比文獻[11]和文獻[13]的低。最后,圖6給出了不同屬性個數下驗證時間的變化。由圖顯示,文中方案相比于文獻[11]和文獻[13]驗證時間差別很小。綜上所述,文中方案在性能和功能上整體而言相對于其他方案具有較好的優勢。

圖3 不同屬性個數下的加密時間變化

圖4 不同屬性個數下的解密時間變化

圖5 不同屬性個數下的刪除時間變化

圖6 不同屬性個數下的驗證時間變化

同時,云存儲將刪除證明上傳到區塊鏈和數據擁有者驗證刪除證明的過程通過FISCO BCOS聯盟鏈部署,以測試區塊鏈刪除證明的性能。在區塊鏈中共創建三個用戶分別為Owner、Cloud和User分別對應于數據擁有者、云存儲服務器和User。通過部署智能合約生成證明和驗證證明,包括newEvidenc()和getEvidence()兩個算法。Cloud通過調用newEvidence()將證據上傳到區塊鏈,并返回一個證據地址。Owner或User輸入地址參數調用getEvidence()算法得到證據,然后通過上文3.2節的Verify()算法進行刪除驗證。通過分析,區塊鏈只需執行一個交易用來將證據上鏈,因此只需要消耗很小的時間。根據文獻[18]的分析,一個10節點的Fisco-Bcos區塊鏈平臺的交易吞吐量大概為每秒1 200個交易,因此分析得到區塊鏈發起一個交易的時間是毫秒級的。最后,通過實驗分析比較文中方案和其它方案在區塊鏈上的交易生成時間,如圖7所示?？梢钥吹?文中方案相較于文獻[19]有較好的性能,這是因為文中方案只需調用一個簡單的智能合約就能將證據上傳到區塊鏈,而方案[19]中的刪除階段,區塊鏈交易包括了加解密算法和簽名算法,增加了時間開銷。