能保护隐私且属性可扩展的云数据共享

张应辉

(1.西安邮电大学 无线网络安全技术国家工程实验室， 陕西 西安 710121; 2.中国科学院信息工程研究所 信息安全国家重点实验室， 北京 100093)

能保护隐私且属性可扩展的云数据共享

张应辉1,2

(1.西安邮电大学 无线网络安全技术国家工程实验室， 陕西 西安 710121; 2.中国科学院信息工程研究所 信息安全国家重点实验室， 北京 100093)

提出一种具有隐私保护且属性可扩展的云数据共享方案。采用混合加密体制实现数据的机密性并保护用户的属性隐私，其中文件的加密采用标准的对称加密算法，对称密钥的加密采用密文策略下基于属性的加密算法。在匿名文件创建过程中，基于哈希函数对一个随机参数和文件进行绑定，实现系统的属性扩展。安全性分析表明，新方案具有语义安全性，可抵抗恶意用户和云服务器的合谋攻击，能在保护用户属性隐私的同时实现系统的属性扩展。

云计算；数据共享；隐私保护；属性扩展；基于属性的加密

随着云计算技术的快速发展，通过第三方云服务提供商进行数据的共享越来越经济和方便。人们可以通过云平台与亲人朋友分享旅游相片，也可以与自己的主治医生共享个人健康档案信息。存储在云平台上的信息可能是用户的敏感信息，因此，在云平台被广泛部署之前，有必要研究云数据共享中的安全问题。

基于属性的加密(Attribute-Based Encryption，ABE)技术可用于实现云计算环境下的细粒度信息共享。ABE分为密钥策略的基于属性的加密 (Key-Policy ABE，KP-ABE)和密文策略的基于属性的加密(Ciphertext-Policy ABE，CP-ABE)两大类[1]。CP-ABE允许数据拥有者自己去制定访问策略，更加适合于云计算环境。在一般群模型中设计的CP-ABE方案[2]，可以支持树结构的访问策略，具有更加丰富的表达能力，但无法实现属性撤销。CP-ABE方案中的属性撤销机制包括间接属性撤销机制[3]和直接属性撤销机制[4-6]，它会使得密文的长度随着属性的个数线性增大。密文长度恒定的CP-ABE方案[7-9]解决了密文长度的线性增长问题，但仅支持单个属性中心。多中心CP-ABE方案[10-11]能够分散属性中心的权力，但加解密效率不高。通过把计算任务外包给第三方服务器，外包CP-ABE方案[12]能够缓解用户在加解密过程中的计算负担。由于访问策略直接暴露在密文中，上述方案都会泄露用户的属性隐私，威胁用户信息的安全[13]。匿名CP-ABE方案[14-15]通过隐藏访问策略，可以保护用户的属性隐私。然而，安全高效的云数据共享方案必需同时实现用户的属性隐私保护和系统的属性扩展。

针对上述方案存在的问题，本文拟采用混合加密机制来设计具有隐私保护且属性可扩展的云数据共享方案，以求在保护用户属性隐私的同时，实现云数据共享系统的属性扩展。

1 双线性映射与访问策略

1.1 双线性映射

选取两个阶为大素数p的乘法循环群G和GT，设g是G的一个生成元，1T是GT的单位元，称映射

为双线性映射，如果它满足

(2) 非退化性：存在g,h∈G，使得

1.2 访问策略

在云数据共享系统中，访问策略决定一个加密文件能够被哪些用户访问。选取一种访问策略，它属于与门策略，支持属性的多个取值和通配符*。假设系统的属性域一共有n个属性，给定一个属性列表

L=[L1,L2,…,Ln]

和一个访问策略

W=[W1,W2,…,Wn]，

如果

Li=Wi, 或 Wi=* (i=1,2,…,n),

则称Li∈Wi，否则Li∉Wi。L匹配W当且仅当每个Li∈Wi都成立。

2 系统模型与安全目标

先给出云数据共享的系统模型，然后分析并给出云数据共享系统的安全目标。

2.1 系统模型

云数据共享的系统模型如图1所示。系统中的实体包括属性权威中心、数据拥有者、数据使用者和云服务提供商。云服务提供商由存储服务器和管理服务器组成，是诚实而好奇的实体，即它会执行协议所分配的任务，同时会尽可能去获取关于用户数据的机密信息。存储服务器保存着云数据共享系统中所有用户的数据资源，管理服务器负责管理和维护存储服务器。属性权威中心根据数据拥有者和数据使用者的具体属性，生成并颁发相应的属性私钥。数据拥有者自己确定访问策略，对想要共享的文件进行匿名加密，然后把密文上传到存储服务器上。数据使用者通过云服务提供商得到文件密文后，利用自己的属性私钥匿名解密密文，从而得到原始文件。

图1 系统模型

2.2 安全目标

设计安全的云数据共享系统，应该考虑以下3个安全目标。

(1) 数据机密性

云存储服务器上的外包数据可能涉及到数据拥有者的隐私信息，因此，安全的云数据共享系统必须保证：如果数据使用者的属性不匹配访问策略，他就无法解密密文。此外，即使是云服务提供商本身，如果没有获得属性授权，也无法获取明文。

(2) 抗合谋攻击

恶意的用户和云服务提供商都无法单独解密密文，但是他们可能会合谋以获取隐私信息，进行非授权的访问。安全的云数据共享系统必须能够抵抗这种合谋攻击。

(3) 属性隐私保护

在云计算环境中，基于属性的访问策略必然包含数据拥有者的属性信息。为了保护用户的属性隐私，云数据共享系统必须在文件密文中隐藏访问策略的信息。

3 云数据共享方案

采用混合加密体制实现具有隐私保护且属性可扩展的云数据共享方案，公钥加密采用文献[14]中的ABE机制，对称加密可以采用任何经典的加密算法。

3.1 系统初始化

在系统初始化阶段，属性权威中心选取安全参数λ，运行系统建立算法Setup，生成系统公开参数Kp并公开，生成主私钥Km秘密保存。

所谓Setup(1λ)是指，属性权威中心随机选取参数y,β∈Rp，设g∈RG是群G的一个生成元，对i∈{1,2,…,n}，随机选取{ai,j∈Rp}1≤j≤ni。然后计算和B=gβ。最终得到系统公开参数和主私钥

Kp={g,Y,B,{{Ai,j}1≤i≤n}1≤j≤ni},
Km={y,β,{{ai,j}1≤i≤n}1≤j≤ni} 。

3.2 新用户注册

所谓KeyGen(Km,L)是指，属性权威中心选取参数s∈Rp，计算

D0=g(y+s)/β。

对i∈{1,2,…,n}，设

Li=vi,ki，

随机选取λi∈Rp，令

Di,1=gs+ai,kiλi， Di,2=gλi，

从而得到属性私钥

3.3 匿名文件创建

由于云服务提供商是不可信的，因此数据拥有者在共享文件之前必须进行加密。为了不泄露自己的属性隐私，数据拥有者必须在密文中隐藏访问策略的信息。数据拥有者首先确定一个标准的对称加密算法

SE={KSE,MSE,ESE,DSE}。

其中KSE,MSE,ESE和DSE分别代表密钥空间集、消息空间集、对称加密算法和对称解密算法。然后，选取两个哈希函数

H1:GT×MSE→p,
H2:GT→KSE。

最后，数据拥有者根据加密算法AnonExtenEnc对文件进行匿名加密，把密文上传给云存储服务器。

所谓AnonExtenEnc(Kp,F,W)是指，当数据拥有者想要加密文件F∈MSE时，随机选取一个参数M∈GT，计算

r=H1(M‖F),K=H2(M),

并令

CF=ESE(F,K)。

针对文件F，数据拥有者自己定义一个访问策略

W=[W1,W2,…,Wn]。

然后计算

对于每个i∈{1,2,…,n}，随机选取参数ri∈Rp,使得

计算

Ci,1=gri。

若vi,ki∈Wi，计算

否则vi,ki∉Wi，数据拥有者随机选取Ci,ki,2的值。令

最终的文件密文是

CW={CF,CM}。

数据拥有者把CW外包给云服务提供商实现数据共享。

当系统的属性域扩展后，数据拥有者只需在制定访问策略时嵌入新增加的属性即可，具体的加密过程不变。

3.4 匿名文件访问

假设一个数据使用者拥有属性列表L，从云存储服务器上下载文件密文CW后，该数据使用者可以根据解密算法AnonExtenDec恢复原始的明文数据。

然后再计算

K*=H2(M*),
F*=DSE(CF,K*),
r*=H1(M*‖F*)。

如果C0=Br*，则返回文件明文F=F*；否则返回错误符号⊥。

根据匿名文件的创建过程可知，当系统的属性域扩展后，数据使用者必须在解密之前，根据新的属性信息向属性权威中心申请新的属性私钥，否则将无法解密。

4 方案的安全性

如果云数据共享系统中所采用的对称加密方案是语义安全的[16]，则新方案是语义安全的，可以获得机密性、抗合谋攻击，并且可以保护用户的属性隐私。同时，新方案可以支持系统的属性扩展。事实上，攻击者是多个恶意用户的合谋者，这些用户包括恶意数据使用者以及云服务提供商。合谋的每一个用户都无法单独完成加密文件的解密，他们试图联合各自的属性私钥来解密更多的密文。根据数据共享系统的设计，为了从加密文件

CW={CF,CM}

中获取文件F的信息，攻击者需要解密CM得到M，再计算

K=H2(M)

得到对称密钥K，最后对CF进行对称解密得到

F=DSE(CF,K)。

然而，M的机密性由基于属性的加密体制保障，所以数据F的机密性由混合加密体制的安全性保证。根据文献[14,16]的结论可知，如果云数据共享系统中采用的对称加密算法具有语义安全性，则所提出的数据共享方案是语义安全的，可以获得机密性、抗合谋攻击，并且可以保护用户的属性隐私。

另一方面，在AnonExtenEnc算法中，对于每个密文分量，都有一个随机指数ri与其绑定，所有这些随机指数的和

又与对称加密密钥关联，即

进而通过

CF=ESE(F,K)

与明文绑定。当系统的属性扩展后，如果数据拥有者在访问策略中嵌入了新的属性，解密者必须申请新的属性私钥才能够利用所有的密文分量消去随机指数r，进而恢复原始文件。因此，新的云数据共享方案允许系统的属性扩展。

5 结语

针对云计算环境下的用户隐私泄露和属性扩展问题，首先提出了具有隐私保护的云数据共享的系统模型，然后在分析敌手能力的基础上，基于混合加密机制设计了一个云数据共享方案。在云计算环境下，该方案首次同时实现了用户的属性隐私保护和系统的属性扩展。安全性分析表明，在恶意用户与云服务器的合谋攻击下，新方案可以保障数据的机密性和用户的属性隐私，并支持系统的属性扩展。

[1] Goyal V, Pandey O, Sahai A, et al. Attribute-based Encryption for Fine-grained Access Control of Encrypted Data[C]//Shmatikov V. Proceedings of the 2006 ACM Conference on Computer and Communications Security-CCS’06. New York: ACM, 2006: 89-98.

[2] Bethencourt J, Sahai A, Waters B. Ciphertext-policy Attribute-based Encryption[C]//Proceedings of the 2007 IEEE Symposium on Security and Privacy-SP’07. Piscataway: IEEE, 2007: 321-334.

[3] Yu Shucheng, Wang Cong, Ren Kui, et al. Attribute Based Data Sharing with Attribute Revocation[C]//Feng Dengguo, Basin D. Proceedings of the 2010 ACM Symposium on Information, Computer and Communication Security-ASIACCS’10. New York: ACM, 2010: 261-270.

[4] Zhang Yinghui, Chen Xiaofeng, Li Jin, et al. FDR-ABE: Attribute-based Encryption with Flexible and Direct Revocation[C]//Fatos X. Proceedings of the 2013 International Conference on Intelligent Networking and Collaborative Systems-INCoS’13. Piscataway: IEEE, 2013: 38-45.

[5] Zhang Yinghui, Chen Xiaofeng, Li Jin, et al. Attribute-based Data Sharing with Flexible and Direct Revocation in Cloud Computing[J]. KSII Transactions on Internet & Information Systems, 2014, 8(11): 4028-4049.

[6] 王鹏翩, 冯登国, 张立武. 一种支持完全细粒度属性撤销的CP-ABE方案[J]. 软件学报, 2012, 23(10): 2805-2816.

[7] Ge Aijun, Zhang Rui, Chen Chen, et al. Threshold Ciphertext Policy Attribute-based Encryption with Constant Size Ciphertexts[C]//Susilo W, Mu Yi, Seberry J. Proceedings of the 2012 Australasian Conference Information Security and Privacy-ACISP’12. Berlin: Springer, 2012: 336-349.

[8] 张应辉, 郑东, 李进, 等. 密文长度恒定且属性直接可撤销的基于属性的加密[J]. 密码学报, 2014, 1(5): 465-480.

[9] Zhang Yinghui, Zheng Dong, Chen Xiaofeng, et al. Computationally Efficient Ciphertext-policy Attribute-based Encryption with Constant-size Ciphertexts[C]//Chow S. Proceedings of the 2014 International Conference on Provable Security-ProvSec’14, Berlin: Springer, 2014: 259-273.

[10] Lewko A, Waters B. Decentralizing Attribute-based Encryption[C]//Paterson G. Advances in Cryptology-EUROCRYPT’11. Berlin: Springer, 2011: 568-588.

[11] Liu Zhen, Cao Zhenfu, Huang Qiong, et al. Fully Secure Multi-authority Ciphertext-policy Attribute-based Encryption without Random[C]//Atluri V, Diaz C. Proceedings of the 2011 European Symposium on Research in Computer Security-ESORICS’11. Berlin: Springer, 2011: 278-297.

[12] Li Jin, Chen Xiaofeng, Li Jingwei, et al. Fine-grained Access Control System Based on Outsourced Attribute-based Encryption[C]//Crampton J, Jajodia S. Proceedings of the 2013 European Symposium on Research in Computer Security-ESORICS’13. Berlin: Springer, 2013: 592-609.

[13] 郑东, 赵庆兰, 张应辉. 密码学综述[J]. 西安邮电大学学报, 2013, 18(6): 1-10.

[14] Nishide T, Yoneyama K, Ohta K. Attribute-based Encryption with Partially Hidden Encryptor-specified Access Structures[C]//Bellovin M, Gennaro R. Proceedings of the 2008 International Conference on Applied Cryptography and Network Security-ACNS’08, Berlin: Springer, 2008: 111-129.

[15] Zhang Yinghui, Chen Xiaofeng, Li Jin, et al. Anonymous Attribute-based Encryption Supporting Efficient Decryption Test[C]//Chen Kefei, Xie Qi. Proceedings of the 2013 ACM SIGSAC Symposium on Information, Computer and Communications Security-ASIACCS’13. New York: ACM, 2013: 511-516.

[16] Fujisaki E, Okamoto T. Secure Integration of Symmetric and Symmetric Encryption Schemes[C]//Wiener M. Advances in Cryptology-CRYPTO’99. Berlin: Springer, 1999: 537-554.

[责任编辑:瑞金]

Cloud-based data sharing scheme with preserved privacy and supported attribute extension

ZHANG Yinghui1,2

(1. National Engineering Laboratory for Wireless Security, Xi’an University of Posts and Telecommunications, Xi’an 710121, China;2. State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China)

A cloud-based data sharing scheme with preserved privacy and supported attribute extension is proposed. In the proposed scheme, a hybrid encryption mechanism is adopted to realize data confidentiality and users’ attribute privacy protection, where files are encrypted based on a standard symmetric encryption algorithm and symmetric keys are encrypted by a ciphertext-policy attribute-based encryption algorithm. In the phase of anonymous file creation, system attribute extension is achieved by binding a random parameter with a file based on hash functions. A security analysis indicates that the proposed has semantic security and is secure against collusion attacks from malicious users and cloud servers. In addition, it can simultaneously protect users’ attribute privacy and support system attribute extension.

cloud computing, data sharing, privacy protection, attribute extension, attribute-based encryption

2015-03-25

国家自然科学基金资助项目(61402366，61272037)；国家科技重大专项课题(2013ZX03002004)；陕西省自然科学基础研究计划资助项目(2013JZ020，2015JQ6236);陕西省教育厅科学研究计划资助项目(15JK1686)

张应辉(1985-)，男，博士，讲师，从事公钥密码学和云存储安全研究。E-mail: yhzhaang@163.com

10.13682/j.issn.2095-6533.2015.06.016

TP309.2

A

2095-6533(2015)06-0074-05