一种面向云存储的高效动态密文访问控制方法的安全性分析与改进

莫乐群　李　锋　郭庚麒

1(广东交通职业技术学院计算机工程学院　广东 广州 510650)2(暨南大学管理学院　广东 广州 510632)



一种面向云存储的高效动态密文访问控制方法的安全性分析与改进

莫乐群1,2李锋1郭庚麒1

1(广东交通职业技术学院计算机工程学院广东 广州 510650)2(暨南大学管理学院广东 广州 510632)

摘要为解决云计算环境下文件共享的安全问题，Hong等人[1]提出了一种基于CP-ABE(Ciphertext-policy attributed-based encrtption)密文策略的动态密文访问控制方法HCRE，将访问控制结构转移到云端，实现高效的共享访问控制。针对该方案在用户访问权限撤销过程中存在严重的安全漏洞，通过给出实际的攻击案例不但指出该漏洞所在，而且分析其成因，并结合代理重加密提出一种新的改进方案。其在继承HCRE方案优点的同时，还弥补了安全漏洞，且在权限撤销阶段更具效率。

关键词密码学云存储动态密文访问控制基于属性的密文策略

0引言

最近几年，云存储技术得到极大的发展及应用，已经成为云计算环境下最重要的服务模式之一。用户可以将本地数据转移到云中，不但节省了大量的本地存储成本，而且只要能连接到互联网就能随时随地存取数据，极大地方便用户的各种共享应用。如计算机之间，或其与手机、平板等移动设备之间的数据共享，因此得到了用户广泛的支持。但是云存储技术在不断推广应用的过程中，也遇到了新的安全问题：若多个用户进行相互数据共享，云计算中心如何向用户保证其数据不会被非法访问。

访问控制是保护用户数据最直接有效的手段，但在云存储体系中，用户无法通过云服务商(CSP)的服务器端设置数据资源的访问控制模型以保证个人数据的安全性。因此只有通过密文访问控制技术才能真正在云计算环境下保证数据的机密性。

基于用户属性的加密方法的研究源于2005年，Sahai[2]等人在2005年提出了基于模糊身份的加密方法，并第一次引入了属性的概念，其核心内容是分别将密文与私钥与一组属性相关联。当这两种的关联属性的相互匹配度超过某个阈值，用户可以通过私钥成功解密密文。而后，2006年Goyal等人在此基础上进一步提出了基于属性的加密方案[3](ABE)，2007年在ABE的基础上Bethencourt等人提出了一种密文访问控制策略CP-ABE[4]。它通过建立属性集对用户做区分，每一个用户与若干属性相关联，而密文则与访问控制结构相关联，访问控制结果由属性树构成。因此一个用户是否拥有数据的解密权限，取决于其身份属性是否与访问控制结构上的属性相匹配。由于CP-ABE较好地解决了私钥分发频率问题，因此许多云计算下的加密控制访问方案都基于CP-ABE[5-8]，但在这些方案中普遍存在计算效率的问题，其计算时耗往往与用户属性数目及数据文件的大小成正比。此外不少基于CP-ABE的方案在属性撤销机制上也存在效率问题，如果要实现多用户共享数据，这类的加密方案对于数据所有者(DO)来说是难以接受的。

结合重加密的思想，Hong等人[1]在2011年提出了一种基于CP-ABE的云端动态加密共享方法HCRE。它通过使用对称加密算法对共享文件进行加密，并将用户属性与密钥的解密操作相关联，应用CP-ABE做共享安全控制，有效地解决了文件共享时云端的计算效率问题。但该方案存在一个严重的安全漏洞，即若被撤权的用户与某被授权用户都具有某个属性，则被撤权的用户依然可以使用自己的私钥解密所有DO新加密的密文。本文通过给出实际的攻击案例证明了这一点，同时还指出了该安全漏洞的成因，并提出一种基于代理重加密的改进方案。新方案不但弥补了HCRE的安全漏洞，而且在访问权限撤销阶段降低了云端的计算工作量，显著提高了共享的效率。

1预备知识

1.1CP-ABE[4]

基于属性的密文策略由以下访问控制树及四个算法构成：

• Access Tree T设P={P1,P2,…,Pn}为属性全集，且除空集{∅}外，T的所有叶子集合均为其子集，而T的所有非叶子节点分别代表与及或的关系，并通过阈值kx来表示该关系，如果kx=1表示子节点存在或关系，否则表示包含个kx子节点的与关系；

• Setup算法生成主密钥MK以及其他公开的参数；

• Encrypt(PK, M, T)→CT根据输入的用户公钥PK及访问控制树T，算法把明文M加密成密文CT；

• KeyGen(MK, S)→SKS根据系统主密钥key MK及输入的用户属性集S，算法生成与属性集S相关用户私钥SKs；

• Decrypt(CTT, SKS)→M根据输入的与访问控制树T相关的密文CT以及与属性集S相关用户私钥SK，算法解密出明文M或输出错误标记⊥。

1.2双线性映射

设G1和G2为2个大素数阶p的循环群，存在一个双线性映射e：G1×G1→G2，满足以下特性：

• 非退化性: 存在g1,g2∈G1使得e(g1,g2)≠1G2，其中1G2为群组G2的标识；

• 可计算性: 存在一个有效算法计算e(g1,g2)，其中∀g1,g2∈G1。

1.3代理重加密

在1998年的欧洲密码学会议上，Blaze等人[9]提出了一个对现今密码学研究影响非常大的概念，代理重加密PRE。在标准的PRE体系下，Alice可以授权Bob通过代理服务器解密发给她的密文。在该过程中，Alice只需要在代理服务器上设置重加密密钥就可以将使用其公钥进行加密的密文转换为使用Bob公钥进行加密的密文，并且不会暴露任何关于明文及其私钥的信息。

2HCRE方案的介绍[1]

本节描述了HCRE方案访问控制结构，密文策略及方案实施的过程步骤，其中的访问控制结构是基于CP-ABE做出的变换，并且其密文策略也称为SCP-ABE。

2.1HCRE的访问控制结构

HCRE的访问控制结构SAS(Simple Access Structure)是一个用于表示and与or关系的树形结构，其中root节点表示析取关系；非叶子节点表示合取关系，其子节点数不超过2；叶子节点为表示属性的节点，并且SAS不支持非单调访问控制结构[10]。

HCRE采用了与Benaloh and Leichter[11]类似的秘密共享方案：

(1) root节点值为s；

(2) 若非叶子节点值为si，其左子节点的节点值为随机数s′ ，其右子节点的节点值为si+s′。

2.2HCRE的密文策略SCP-ABE

SCP-ABE一共包含4个算法函数，结构如下：

• KeyGen(w,MK)生成属性集w所对应的私钥，方法如下：

• Encrypt(m,T,PK)根据访问控制结构T加密明文m，方法如下：

2.3HCRE的实施

2.3.1系统初始化

2.3.2共享文件创建

DO使用一足够安全的对称加密算法Enc加密共享文件f，得到Cf=(Enc(f,kf),Sig(Enc(f,kf)))，其中对称密钥为kf,Sig为签名算法；然后根据SCP-ABE以DO属性a0对kf做加密，即Ck=Encrypt(kf,a0,PK)；最后DO将Cf和Ck发送给CSP。

2.3.3共享授权

2.3.4文件访问

2.3.5撤权操作

C(1)′=C(1)·gβ(s′-s)

C(3)′=∀ai∈YT′:C(3)·gs′-s

(1)

C(4)′=∀ai∈YT′:C(4)·xis′-s

(2)

3HCRE方案的分析

本节描述了HCRE存在的一个安全漏洞，即用户被撤权后，若SAS中的对应属性值未被删除，则被撤权用户可以通过对新旧密文进行对比分析，获取新的共享文件加解密密钥，并分析其中的原因。

3.1用户被撤权后的攻击实例

图1　权限撤销示图

作为敌手，被撤权用户u的私钥为SKPu并且具有被撤权前的明文密文Ck，它们分别为：

Ck={C(1)=gβs,C(2)=kf·e(g,g)αs

3.2漏洞成因

上述攻击之所以能够成功实施，主要原因有以下两点：

(1) 在HCRE方案中，撤权时密文的重加密过程存在即定的运算规律，本应该完全独立的访问控制结构中的文件共享阈值s及s′在权限撤销过程中出现了关联，即DO在权限撤销阶段需要使用关于s′-s的表达式消去原密文中的阈值s。而敌手却可以利用该运算规律可以构造出含有共享阈值s及s′的表达式，通过这些表达式，利用所拥有的私钥就可以破解密文。此外，CSP在文件访问过程中没有对用户的权限情况进行检测，仅通过判定用户属性集是否满足访问控制结构来进行密文的发放，而属性本身具有重复的特性，如(大学，老师)、(大学，学生)与(中学，老师)，因此在云计算环境下对用户进行权限撤销操作后，在密文中依然保留用户属性信息的情况是很可能发生的。

(2) 在云计算环境下，通过会话劫持、路由劫持、DNS劫持等手段实现用户身份的冒充是目前网络攻击的主要手段之一，相关的黑客工具在网络上轻而易举地就可以下载。因此冒充合法用户获取密文并不是一件很困难的事情，被撤权用户通过该类方式获取新密文的可能性很高。

4新的改进方案

本节描述了在继续沿用SAS简单权限结构的基础上的一种新的改进方案，该方案不但能抵御上面的攻击行为，而且还继承了HCRE方案的优点。

4.1新的加解密算法

• KeyGen(w,MK)生成属性集w所对应的公私密钥对并公布公钥，方法如下：

• Re-KeyGen(SKi,PKw)输入属性i的私钥及属性集合w的公钥，输出重加密密钥：

• Encrypt(m,T,PKi)根据访问控制结构T，使用某一属性值i的公钥PKi将明文m加密为CTT={CT(1),CT(2),CT(3),CT(4),CT(5)}，方法如下，随机选取σ：

CT(3)=e(g1,g1)βαm·e(g,g)αs,

其中YT为T的叶子节点对应的属性集，s为共享门限值，si为叶子节点的节点值。

对于∀aj∈w，若rki,j不存在，输出⊥，否则计算：

对于∀aj∈YT，计算：

若w满足T，则可以计算得到e(g,g)rs，最后得到明文m：

(3)

4.2新的动态密文共享方案

4.2.1初始化

4.2.2文件的存储加密

DO首先随机生成密钥kf，并对原始文件f进行对称加密，得到密文Cf=Enc(f,kf)(这里的Enc是一种足够安全对称加密算法，例如AES)。然后使用自身属性a0及其对应的公钥PK0加密kf，得到密钥密文Ck=Encrypt(kf,Ta0,PK0)，其中Ta0为属性a0对应的访问控制结构，最后将Cf及Ck一起发送到CSP。

4.2.3授权操作

DO根据实际需要以及被授权者的属性，将密文访问权限一次赋予一个或者多个被授权者。设被授权者属性集为Pu，其对应的访问控制结构为Tu，f的当前访问控制树为Tf，DO的授权过程如下：

4.2.4存储访问

4.2.5权限撤销

设文件f的访问属性结构为Tf，现DO需要撤销用户u(属性结构为Tu)对f访问的权限，可通过以下方法实现：

4.3新方案的安全性分析

4.4性能对比分析

新方案与HCRE效率对比如表1所示。新方案不但继承了HCRE方案在文件访问授权时高效的特点，而且在撤权操作过程使用随机数做重加密更新，从而无需对整个SAS结构作重新共享赋值，使得CSP在撤权时的无需像HCRE方案一样对密文中与访问控制结构树相关的部分进行密文值重计算，即式(1)、式(2)的计算，提高了该阶段的计算效率。

表1　权限管理的时间复杂度比较

注：Y表示共享文件的访问控制结构的大小，A表示被授权/撤权用户的属性数目，F表示文件的大小，一般情况下，Y>>A

5结语

在现今的互联网中，冒充、盗用合法用户身份的网络攻击屡见不鲜。本文通过给出一个冒充合法用户的攻击例子，指出了HCRE方案在共享权限撤销过程中存在安全漏洞，即若被撤权的用户属性相关信息未被删除，则其可以通过冒充合法用户的方法获取密文，进而利用所拥有的私钥解开DO所有新加密的密文。此外，在分析该漏洞的形成原因的基础上，还提出了一种新的改进方案，该方案不但可以抵御上述的基于新旧密文分析的攻击，而且继承了HCRE方案在授权访问过程中的高效特点，并在权限撤销阶段有比HCRE方案更好的数据处理效率。

参考文献

[1] 洪澄,张敏,冯登国.面向云存储的高效动态密文访问控制方法[J].通信学报,2011,32(7):125-132.

[2] Sahai A,Waters B.Fuzzy indentity-based encryption[C]//Proceedings of EUROCRYPT Berlin,2005.

[3] Goyal V,Pandey O,Sahai A,et al.Attribute-based encryption for fine-grained access control of encrypted data[C]//Proc.of the 13thACM Conference on Computer and Communications Security New York,USA,2006.

[4] Bethencourt J,Sahai A,Waters B.Ciphertext-policy attribute-based encryption[C]//Proceedings of 2007 IEEE Symposium on Security and Privacy Berkeley,USA,2007.

[5] 孙国梓,董宇,李云.基于CP-ABE 算法的云存储数据访问控制[J].通信学报,2011,32(7):146-152.

[6] Malek B,Miri A.Combining attribute-based and access systems[C]//Proceedings of 12thIEEE int’l Conf on Computational Science and Engineering Vancouver,Cannada,2009.

[7] 张浩军,范学辉.一种基于可信第三方的CP-ABE云存储访问控制[J].武汉大学学报:理学版,2013,59(2):153-158.

[8] Luan I,Muhammad A,Milan P.An encryption scheme for a secure policy updating[C]//Proc.of International Conference on Security and Cryptography Athens,Greece,2010.

[9] Blaze M,Bleumer G,Strauss M.Divertible protocols and atomic proxy cryptography[C]//advances in Cryptology-Eurocrypt,1998:127-144.

[10] Ostrovsky R,Sahai A,Waters B.Attribute-based encryption with non-monotonic access structures[C]//Proc. of the 14th ACM Conference on Computer and Communications Security New York,USA,2007.

[11] Benaloh J,Leichter J.Generalized Secret Sharing and Monotone Functions[M].Springer-Verlag,1990.

[12] Cheung L,Newport C.Provably secure ciphertext policy ABE[C]//Proc.of the ACM Conf. on Computer and Communications Security New York:ACM Press,2007:456-465.

SECURITY ANALYSIS OF EFFICIENT DYNAMIC CRYPTOGRAPHIC ACCESS CONTROL AND ITS IMPROVEMENT FOR CLOUD STORAGE

Mo Lequn1,2Li Feng1Guo Gengqi1

1(SchoolofComputerEngineering,GuangdongCommunicationPolytechnic,Guangzhou510650,Guangdong,China)2(SchoolofManagement,JinanUniversity,Guangzhou510632,Guangdong,China)

AbstractTo solve security problem of file sharing in cloud computing environment, Hong et al.[1]proposed a CP-ABE ciphertext strategy-based dynamic cryptographic access control method, named HCRE, it transfers the access control structure to cloud side, and achieves efficient sharing access control. But in the process of revoking user’s access privileges, HCRE has serious security vulnerability. In light of this, by giving the actual attack case we point out where the vulnerability is, and analyse the causes of it as well, furthermore we propose an improved scheme in combination with the proxy re-encryption. While inheriting the advantages of HCRE, it also makes up the security vulnerabilities, and is more efficient in the process of revoking privileges.

KeywordsCryptographyCloud storageDynamic cryptographic access controlCiphertext-policy attribute-based encryption

收稿日期：2014-12-02。国家自然科学基金项目(61272415，6127 2413，61133014)；广东省教育科研“十二五”规划2013年度研究项目(2013JK213)；广东省高等职业技术教学研究会重点课题(GDGZ14Y0 95)。莫乐群，副教授，主研领域：信息系统及信息安全。李锋，讲师。郭庚麒，教授。

中图分类号TP309

文献标识码A

DOI:10.3969/j.issn.1000-386x.2016.05.080