多云服务提供者环境下的一种用户密钥撤销方法

李拴保 王雪瑞 傅建明 张焕国

1 引言

云计算通过对资源、服务虚拟化整合与配置，为用户提供灵活的定制服务。互联云[1]由多个云服务提供者（Cloud Service Providers, CSP）组成，通过云之间互操作扩大计算能力和存储能力，为用户提供跨云资源租赁服务；但是互联云面临用户权限更新及信息泄露等安全威胁[2,3]。针对云环境下的用户权限更新问题，文献[4]提出了基于身份和属性的加密访问控制[57]-实现云安全服务体系，但是没有涉及互联云的用户权限更新。特别是CSP用户密钥撤销会导致互联云内其它用户信息泄露，使得多CSP的数据安全具有不确定性，因此云安全联盟把云服务滥用[2]列为2013年9个重要的云安全威胁之一。

云环境用户密钥撤销，从身份基加密和属性基加密（Attribute Base Encryption, ABE）两个角度提出解决方案。面向单CSP环境，身份基加密系统通过设置用户私钥生命周期，用户只能在有效期内访问服务。在ABE系统中，授权者为用户生成私钥，数据属主利用自身属性加密数据，密文满足私钥策略解密数据；或者，数据属主利用属性树加密数据，私钥满足密文策略解密数据；当属性被更新，私钥自动失效。面向多CSP环境，文献[8]提出了一种数字身份管理框架（Digital Identity Management Framework, DIMF），用户向注册者申请源证书，源CSP为用户提供认证证书，接受CSP响应源CSP请求为用户提供密文访问服务；注册者周期性更新证书，用户无法访问服务。

在单CSP环境下，ABE属性更新撤销用户私钥影响共享属性的其它用户访问，授权者控制属性更新，无法应用到多CSP环境。在多CSP系统中，注册者更新用户源证书，用户无法访问接受CSP服务，并且泄露用户密钥关联的隐私信息。特别在大规模用户背景下，证书更新成为用户权限更新的系统瓶颈。以DIMF为基础，源CSP控制用户匿名认证和访问，为用户提供细粒度数据服务，解决隐私泄漏难题。

云计算环境中用户密钥撤销主要有基于实体的撤销系统和基于证书的撤销系统两种方法。基于实体的撤销系统，CP-ABE（Ciphertext Policy-ABE）定义了用户访问密文的权限结构，适合云环境下的用户密钥管理。CP-ABE时间属性嵌入用户私钥[9]，周期性撤销用户密文访问权限；CP-ABE组合PRE[10,11]，撤销用户部分属性导致私钥失效，广播、CP-ABE和属性分割[12,13]组合从系统级和属性级撤销私钥，影响共享属性子集的用户访问；ABE和群签名[14]组合从属性级撤销私钥，没有定义新用户访问结构；CP-ABE和层级密钥[7,15]融合撤销用户私钥，降低了系统计算效率。基于证书的撤销系统，通过失效的代理认证撤销用户密钥。将与认证证书关联的源CSP[8]作为用户认证代理，撤销CSP服务特定属性使得用户密钥失效，攻击者根据撤销属性可以恢复整体属性，证书持续更新增加系统开销；对用户属性分类申请多个不同代理[16]，批处理撤销某类属性使密钥失效，增加额外审计开销；将属性分为多个元组，利用父类关系设置代理认证链[17]，撤销某一属性元组使得密钥失效，增加管理认证链开销；用户证书关联多个级别属性[6]，撤销级别较高属性使得证书密钥失效，需要定义与属性级别相关服务。综上所述，CP- ABE是云环境下实现用户密钥撤销与隐私信息保护的有效方式， DIMF证书管理是密钥撤销系统的一个计算瓶颈。因此，多CSP环境下保护隐私信息的用户密钥撤销方法仍是一个开放性难题。

2 预备知识

双线性映射[18]基本原理：假设G, GT分别是素数p阶的加法、乘法循环群，生成元g∈G，双线性映射e:G×G→GT具有下列特征：双线性性：∀u,v∈G和a,b∈Zp，有e（ua,vb）= e （u,v）ab；非退化性：e（g,g）≠1；可计算性： ∀ p,q∈GT，存在算法可计算e（p,q）。

假设G是素数p阶的双线性群，在G上的判定双线性Diffie-Hellman[18]定义如下。生成元g∈G和指数 a ,b,s∈Zp。元组（g,ga,gb,gs）∈ G4和元素Z∈ GT作为输入，决定 Z= e （g,g）abs输出。如果|Pr[β （g,ga, gb, gs, （g,g）abs） = 0 ]- Pr[β （g,ga, gb, gs,z）=0]|≥ε，存在一个算法β输出b∈{0,1}，在G上具有优势ε解决DBDH难题。如果没有多项式时间算法具有不可忽略优势解决 DBDH难题，DBDH假设在G上成立。单调张成方案[19]，设θ:{0 ,1}n0,1}是一个单调布尔函数，→域F上的θ是域F入口的l×t矩阵A，标记函数a:[l][n]关联矩阵A每一行以θ作为输入变量，对任意{x1, x2,… ,xn}∈{0 ,1}n，满足下式θ（x1, x2,… ,xn）=1⇔ ∃∀v ∈Fl×t:[1,0,…,0]且（∀i:xa（i））=0,⇒vi=0。

3 多CSP用户密钥撤销系统与安全模型

本文以DIMF框架为基础，授权者、用户、CSP基于属性组成环即R= ω1∪ ω2∪ … ∪ ωn。在双线性映射、DBDH困难性假设和单调张成方案下，本文扩展与融合属性基环签名、撤销环、CP-ABE、高效属性签名和分布式属性基加密，构造不泄露用户隐私的用户密钥撤销方案。以密文访问方法中心，首先，引入属性基环签名[20]、多授权机制[21]生成公钥和私钥，源CSP利用解签名方法验证用户真实性，基于分布式属性基加密与单调张成算法[19]设计密文映射隐私保护方法；其次，引入撤销环签名[5]、CPABE[22]访问机制，撤销部分属性失效解密私钥，不影响共享属性用户访问；最后，引入高效属性签名与CP-ABE重构属性环，抵制用户共谋申请签名私钥，获得访问权限。文献[13,15]通过属性撤销与代理重加密撤销私钥，泄露部分隐私信息。在方案中，授权者管理系统参数和属性集合，用户作为环成员向授权者申请签名私钥，用户向源CSP验证身份访问接受CSP服务。该方案包含7个算法，其基本框架如图1所示。

图1 多CSP用户密钥撤销方案框架

多CSP环境下用户密钥撤销系统方案（Scheme on User Key Revocation in Multi-CSP System,SUKRMCS）基本定义如下。

定义1 多CSP环境下用户密钥撤销方案是下列算法的一个元组：Setup, Encrypt, Keygen,Signature, Verify, Decrypt和 Revoke。

初始化Setup（λ,R）→GP,MSK,PK。算法由授权者运行，用户、授权者、源CSP和接受CSP基于属性组成环R，输入R和给定安全参数λ；系统输出授权者公钥PK与私钥SK、系统参数GP和环主密钥MSK。

加密 Encrypt（M,R,（A,ρ）,GP,PK）CT。算法由接受 CSP运行，消息M, R，访问结构（A,ρ）, GP和PK作为输入，输出云中密文CT。

密钥生成Keygen（R,GP,ωa,ωu,MSK）Dωu。算法由授权者运行，R, GP，授权者属性集ωa, 用户属性集ωu和MSK作为输入，系统输出一个基于ωa,ωu和R的用户环签名私钥 Sωu。

环签名Signature（GP, R, M,ωu,A,Sωu）→ϑ 。算法由用户运行，GP, R, M,ωs, 单调张成矩阵A和签名私钥 Sωu作为输入，系统输出用户对M的环签名ϑ。

环验证Verify（R,ϑ ,M,A,GP） →签名ϑ 是否有效。算法由源CSP运行，R,ϑ, M, A和GP作为输入，系统输出用户签名ϑ是否有效。

解密 Decrypt（CT,GP,SK,R） →M。算法由用户运行，CT, GP, SK和R作为输入，系统输出明文M。

环撤销Revoke（R,ωu,ωa,GP）→R',ω'u。算法由授权者运行，R,ωu,ωa和GP作为输入，系统输出新环R'和新用户属性集 ω'。

u

SUKRMCS系统安全模型假设授权者可信，CSP不可信，给出系统IND-SUKRMCS-CCA2安全规则。

系统建立（Setup）： 挑战者C输入安全参数λ、授权者属性集ωa，运行Setup，计算GP, MSK和授权者密钥（PK,SK）, C以GP响应攻击者A。

第1阶段（Phase 1）： A执行多项式数量级界的自适应性密文、密钥、签名、验证、解密和撤销询问，每一次询问取决于前面已询问的结果，C运行相应算法响应A。

加密询问（Encrypt Query）：A输入 R,M,GP,（A,ρ）和PK, C以一个密文CT响应。

密钥询问（Keygen Query）：A输入ωa,ωu,R和GP, C以一个密钥 Sωu响应。

签名询问（Signature Query）：A输入M,ωu, R和 Sωu, C以一个签名ϑ响应。

验证询问（Verify Query）：A发送ϑ, M和GP,C以逻辑数值True或False响应。

解密询问（query）：A输入R, CT和GP, C以明文M响应。

撤销询问（Revoke Query）：A发送ωu,ωa, R和GP, C以新环R'和新用户属性集 ω'u响应。

挑战阶段（Challenge）：A发送两个元组（a0,m0,ωa0,PKa0,）与（a1, m1, ωa1,PKa1）随机选择一个比特b∈（0,1）, C生成签名私钥（S0,S1）响应A。

第2阶段（Phase 2）： 和第1阶段一样。

猜测阶段（Guess）： 最后，A提交一个b'。如果 b '= b ，那么A在游戏中获胜。攻击者A的优势定义为 adv（A ）= | 2 Pr[ b '= b ]-1|，其中 Pr[ b '= b ]表示 b '= b 的概率。

定义2 一个多CSP环境下的 SUKRMCS系统在自适应选择密文攻击下是安全的，如果任何多项式时间算法攻击者在 IND-SUKRMCS-CCA2游戏中获胜的概率最多具备一个可忽略的优势。

4 多 CSP用户密钥撤销方案具体构造与性能分析

4.1 具体构造

多 CSP用户密钥撤销方案涉及 4方实体，源CSP、接受 CSP、用户和授权者。具体构造包括 7个阶段：用户密钥撤销系统建立、接受CSP数据加密服务、授权者环签名私钥生成服务、用户签名服务、源CSP验证服务、用户解密服务及授权者撤销密钥服务。

4.1.1 用户密钥撤销系统建立阶段 授权者管理环系统参数、密钥生成环境的初始化，为其他服务运行提供参数准备。

第1步 定义含有d个点q（1）, q（2）,…,q（d）的d-1度多项式环上的拉格朗日插值公式Δj,φ（x），对∀i∈Zp，假设φ是Zp中的d -元素集合；

第2步 定义多项式环R，授权者与用户、源CSP和接受CSP构造一个环R=ω1∪ ω2∪ …∪ ωn；

第 3步 setup（λ,R）算法初始化，给定λ,R，系统选择G加法循环群、 GT乘法循环群，→两个阶均为素数 N =p1p2p3；双线性映射e:G×GGT，生成元g∈G。设Ω={Ω1, Ω2, … , Ωd-1}一个 d -1缺省属性集合，满足拉格朗日插值公式（1）；设U是通用属性集合，且U=max；

第4步 系统选择随机数 w ∈ZN和生成元g1∈G，计算 g2=gw和β= e （g1, g2）；第5步 定义密码学哈希函数 H1,H2,（0, 1）*:，用于密文不可区分以及属性集到群 GT元素的映射；

第6步 系统选择生成元 t1, t2,… , tmax∈G及随机数a,b,c,q∈ ZN，计算C= gc, A0=, Aj=Bj=（∀j ∈[m ax]）；

第7步 授权者属性集ωa，系统选择随机数αi,yi∈ ZN，计算授权者公钥 P Kωa={ e（g2, g2）αi,}、私钥SKωa= {αi,yi}（∀i） ；

第8步 系统发布系统参数GP={G,g,g1, g2,β,H1, H2,A0, … ,Amax, B1, … ,Bmax,C}，保存环主密钥MSK=（a,b,c,q）。

4.1.2 接受CSP数据加密服务阶段 接受CSP定义密文访问结构（A,ρ），A是单调张成算法矩阵，ρ为矩阵行映射到用户属性集ωu。接受CSP利用（A, ρ）,R,GP和 P Kωa加密M输出密文CT。

第 1 步 Encrypt（R,M,（A,ρ）,GP,{ P Kωa}）算法初始化，（A,ρ）为n×l行列式；

第2步 定义多项式 QR（0）= Qθ（n×l）（A） ，设 dR表示 QR的度， kR表示环内的成员数， dR=kR-1；

第3步 系统选择随机数s∈ ZN且 QR（0）=s；选择随机矢量 w , v ∈，设ρ表示θ⋅ω为矩阵第ω行，r表示θ⋅v为矩阵第v列。系统计算密文为

第 4 步 系统选择随机数 f ∈ZN，计算哈希值C'= H2（R||C T0||C T1||C T2||C T3|| f ）H1（ Ω || dR），输出密文CT={R,C T0,CT1,CT2,CT3,C'}。

4.1.3 授权者密钥生成服务阶段 授权者为用户生成签名私钥，用于向源CSP验证真实属性，访问接受CSP的密文数据服务。

第1步 算法Keygen（R,GP,ωa,ωu,MSK）初始化，系统验证ωu⊂R且Qωu（A）=0；

第2步 系统选择随机数 w ∈ZN，选择d-1次数多项式 QR使得 QR（0 ） = w ，满足拉格朗日插值公式（1）；扩展新属性集ˆωu=ωu∪Ω，对∀j∈φ选择随机数 d ,z,rj∈ ZN，系统计算

系统计算Sˆωu=（d d0, d1） （∀i,j∈ φ ）。 ←

第3步 设属性集A∈R，选择生成元KG，系统计算

第4步 设 S0= K0且 S1= Kωa,R,ˆωuKt，输出用户环签名私钥 Sˆωu=（S0,S1） （∀ j ∈ ˆωu,t∈A且t≤n）。

4.1.4 用户签名服务阶段 用户映射属性信息为矩阵变量，向源CSP认证扩展属性签名消息。

第1步 Signature（GP,R,M,Sˆωu,ωu,A）算法初始化，源CSP公钥为GP，用户和源CSP通过安全通道交换密钥；

第 2步 系统选择 d个元素 εd={ ε1,… ,εf}∈{Amax}，选∪择d个元素εd'={εd+1,…, ε2d}∈{ Bmax}且（{Amax}{ Bmax}）⊆Ω；均满足 d - 1 度多项式（A）且（0）=0；

第3步 设θ（A）=1,A ∈ （A）l×t,θ:[l]；设δ=H2（R ‖ M ‖ θ ），系统计算用户属性映射为矩阵变量

第4步 随机选择 ∀ f ∈ ZN且1≤f≤d，设用户签名为 ϑ 包括 4部分即 ϑ = { ϑf1, ϑf2,ϑf3,U}1≤f≤d；系统分别计算。

系统输出ϑ并传递给源CSP。

4.1.5 源CSP验证签名服务阶段 源CSP验证用户环签名的真实性、有效性和环内成员，源CSP无法获得用户的任何属性信息。

第 1步 Verify（R,ϑ,M,A,GP）算法初始化，验证消息M和ω︿u签名ϑ的真实性与有效性，系统计算

式（18）成立，用户环签名是真实的且有效；

第2步 验证用户来自环内成员，系统计算

式（19）成立，用户完整属性属于环 R，环成员是真实的；

第3步 用户签名不是伪造的，系统计算

式（20）成立，用户签名不是伪造的。式（18）～式（20）均成立，系统输出“True”传递给接受CSP，用户可以访问密文服务。

4.1.6 用户解密服务阶段 用户通过源CSP验证，作为环内成员访问接受 CSP密文服务，接受 CSP无法获得用户的任何属性信息；非法用户共谋无法解密密文。

第 1步 算法 Decrypt（CT,GP,R,SK）初始化，系统计算密文可解性

式（21）成立，密文是可解密的；

第2步 系统选择随机数 t ∈ ZN, ∑xtA=（1,0,…,0），矩阵 A 的ω （1,0,…,0）=s，列 r.（1,0,…,0） =0，系统计算

解密得明文 M = CT0/e（g1, g1）s且密文不可区分；

第3步 系统计算

第4步 系统计算

式（21）～式（24）成立，用户组合属性共谋无法解密密文。

4.1.7 授权者撤销密钥服务阶段 用户解密密文后，

授权者自动撤销用户私钥，并且不泄露用户任何属性信息。

第 1 步 撤销算法Revoke（R,ωs,GP）初始化。从环R中撤销用户ωu部分属性，定义ωu属性子集和ωs属性个数满足（k,n）门限保密方案[23]；定义R的属性子集R'，使得 R '= R -；

第 2步 基于R'计算 C '=H2（ R',CT0, CT1, CT2,CT3），基于新C'输出重加密密文 CT={ R ',CT0,CT1, CT2, CT3,C',}；

第 3步 系统计算 Keygen（R',GP, ωa,,MSK）用户私钥 Dω'u'，用户无法通过源CSP验证不能解密密文；

第 4 步 系统计算

用户解密密文后，密钥被撤销得到验证。

4.2 性能分析

本文方案授权者、CSP和用户之间通信成本来自于系统参数、密钥、签名和密文，设N表示 ZN元素规模，g,gT表示G,GT元素规模， nu为用户总数，nr为属性总数，与文献[13,15]比较如表1所示。计算成本与DBDH困难性假设相关，设 Ha为哈希计算， Pa为双线性对计算，T为单调张成矩阵指数计算，Exp为群指数运算；在标准模型下，本文系统指数运算、哈希运算与密文规模成本优于文献[13]和文献[15]方案，见表2。

计算时间实验环境，基于AMD A6-3650主频2.6 Ghz Hadoop云服务器，RedHat Linux和8 G内存，利用版本号为0.5.14的密码库（Pairing-Based Crypt-ography），利用对称椭圆曲线基域规模为1024位、植入度为1的-α曲线，并且-α曲线有256位长素数P，明文规模为512 kB。计算时间与环和用户数量成正比，与文献[13]和文献[15]比较结果如图2所示，计算时间增长率小。计算效率包括计算时间和计算成本，比较通信成本和计算效率两个方面，本文系统主要在通信成本、哈希运算和密文规模优于文献[13]和文献[15]方案。

表1 通信成本比较

表2 计算成本比较

图2 计算时间比较

5 结束语

用户密钥撤销是多CSP服务用户权限更新焦点，DIMF是重要的身份管理基础设施。以DIMF为基础的环签名用户密钥撤销系统，通过扩展属性环签名、单调张成矩阵与多授权机制，实现扩展属性集的密钥生成与用户属性映射为矩阵策略访问树；通过融合扩展CP-ABE、单调张成矩阵、撤销环，实现无用户属性信息泄露的签名验证与密文访问，以及密文不可伪造与用户环成员真实性证明；利用单调张成矩阵与CP-ABE访问控制机制，撤销属性失效解密私钥，达到不影响共享属性用户访问；对用户和环属性重构，抵制用户签名私钥重放与共谋获得访问权限。在标准模型下，系统简化了运算规模与存储规模的复杂度，如何提高环指数运算效率需要进一步深入研究。

[1] Buyya R, Ranjan R, and Calheiros N R. InterCloud: utilityoriented federation of cloud computing environments for scaling of application services[C]. Proceedings of Algorithms and Architectures for Parallel Processing, Berlin, 2010:13-31.

[2] Alliance C S. The notorious nine cloud computing top threats in 2013[OL]. http://cloudsecurityalliance.org/research/top threats, 2013.9.

[3] 李拴保, 傅建明, 张焕国. 环境下基于环签密的用户身份属性保护方案[J]. 通信学报，2014, 35（9）: 99-111.Li Shuan-bao, Fu Jian-ming, and Zhang Huan-guo. Scheme on user identity attribute preserving based on ring signcryption for cloud computing[J]. Journal on Communications, 2014, 35（9）: 99-111.

[4] 冯登国, 张敏, 杨妍妍. 云计算安全研究[J]. 软件学报, 2011,22（1）: 71-83.Feng Deng-guo, Zhang Min, and Yang Yan-yan. Study on cloud computing security[J]. Journal of Software, 2011, 22（1）:71-83.

[5] Liu D Y W, Liu J K, and Mu Y. Revocable ring signature[J].Journal of Computer Science and Technology, 2007, 12（6）:785-794.

[6] Chuang I-hsun and Li Syuan-hao. An effective privacy protection scheme for cloud computing[C]. Proceedings of Advanced Communication Technology, Gangwon-Do, 2011:260-265.

[7] Wang Guo-jun and Liu Qin. Hierarchical attribute-based encryption for fine-grained access control in cloud storage services[C]. Proceedings of Computer and Communications Security, Pairs, 2010: 735-737.

[8] Sherman S M C and He Yi-jun. Simple privacy-preserving identity-management for cloud environment[C]. Proceedings of Applied Cryptography and Network Necurity, Berlin, 2012:526-543.

[9] Mao Shao-wu and Zhang Huan-guo. A resistant quantum key exchange protocol and its corresponding encryption scheme[J]. China Communications, 2014, 11（9）: 12-23.

[10] 张倩颖, 冯登国, 赵世军. 基于可信芯片的平台身份证明方案研究[J]. 通信学报，2014, 35（8）: 95-106.Zhang Qian-ying, Feng Deng-guo, and Zhao Shi-jun.Research of platform identity attestation based on trusted chip[J]. Journal on Communications, 2014, 35（8）: 95-106.

[11] 冯登国, 张敏, 李昊. 大数据隐私与安全保护[J]. 计算机学报,2014, 37（1）: 246-258.Feng Den-guo, Zhang Min, and Li Hao. Big data privacy and security protection[J]. Journal of Computer, 2014, 37（1）:246-258.

[12] Yu Shu-cheng and Wang Cong. Achieving secure, scalable,and fine-grained data access control in cloud computing[C].Proceedings of Computer Communications, Pairs, 2010b:15-19.

[13] Yu Shu-cheng and Wang Cong. Attribute based data sharing with attribute revocation[C]. Proceedings of Information,Computer and Communications Security, Pairs, 2010a:261-270.

[14] Dalia K. Attribute based group signature with revocation[OL]. http://eprint.iacr.org/2007/241.pdf, 2007.6.

[15] Wang Guo-jun and Liu Qin. Hierarchical attribute-based encryption and scalable user revocation for sharing data in cloud servers[J]. Computers &Security, 2011, 30（3）: 320-331.[16] Wei Li-fei and Zhu Hao-jin. Security and privacy for storage and computation in cloud computing[J]. Information Sciences, 2014, 258: 371-386.

[17] Adeela W and Asad R. A framework for preservation of cloud users’ data privacy using dynamic reconstruction of metadata[J]. Journal of Network and Computer Applications, 2013,36（2）: 235-248.

[18] Dan B and Matt F. Identity-based encryption from the weil pairing[C]. Proceedings of Cryptology, Berlin, 2001: 213-229.

[19] Zhang Yan, Feng Deng-guo, and Zhang Zheng-feng. On the security of an efficient attribute-based signature[C].Proceedings of Network and System Security, Berlin, 2013:381-392.

[20] Jin Li and Kwangjo. Attribute based ring signatures[OL].http:// eprint.iacr.org/2008/394.pdf, 2008.6.

[21] Lewko A and Waters B. Decentralizing attribute-based encryption[C]. Proceedings of EUROCRYPT, Paterson, 2011:568-588.

[22] Bethencourt J, Sahai A, and Waters B. Ciphertext-policy attribute-based encryption[C]. Proceedings of the IEEE Security and Privacy, Paris, 2007: 321-334.

[23] Shamir A. How to share secret[J]. Communication of Association for Computing Machinery, 2002, 40（11）: 612-613.