张应辉，郑 东，马 华

(1.西安邮电大学无线网络安全技术国家工程实验室，陕西西安 710121;2.中国科学院信息工程研究所信息安全国家重点实验室，北京 100093;3.西安电子科技大学数学与统计学院，陕西西安 710071)

随着云计算技术的快速发展，越来越多的组织和个人选择第三方云平台来存储自己的数据。然而，由于对数据安全和个人隐私的担忧，许多网络用户对云存储的广泛部署持反对意见。因此，研究云存储中的安全问题非常有实际意义。

为了实现安全的云存储系统，可采用基于属性的加密ABE(Attribute－Based Encryption，ABE)技术。自从Sahai和Waters［1］提出了 ABE 的概念以来，该领域的研究吸引了国内外大量学者的注意。Goyal等人将ABE分为两类，即密钥策略的基于属性的加密KPABE(Key－Policy ABE:KP－ABE)和密文策略的基于属性的加密(Ciphertext－ Policy ABE:CP － ABE)［2］。在KP－ABE中，每个属性私钥对应一个访问策略，密文则对应着属性列表。在CP－ABE中，密文与访问策略关联，由数据加密者确定访问策略，属性私钥则与用户的属性对应。一个用户能够解密密文且仅当他的属性与密文的访问策略匹配。与KP－ABE相比，CPABE更加适用于云计算环境，因此本文主要研究CPABE。Cheung 和 Newport［3］提出了一个标准模型下可证明安全的CP－ABE方案。近年来，关于云存储和ABE还有大量的研究，如图像密文检索［4］、属性撤销机制［5－6］、多中心机制［7－8］，以及密文大小恒定的ABE［9－10］等。

然而，由于访问策略被直接放置在密文中，上述方案都无法保护用户的属性隐私。隐私保护问题对用户而言至关重要［11］。为了保护用户的属性隐私，Nishide等人［12］也研究了匿名的 CP－ABE。然而，该方案的解密者只有在执行完整个解密算法之后才能判断解密是否成功，因此存在严重的效率缺陷。Zhang等人［13］在匿名ABE中引入了先匹配后解密技术，大幅提高了匿名ABE的效率。本文基于对称加密和匿名的基于属性的加密设计了具有隐私保护的云存储访问控制方案，不但可保障云存储的数据机密性，还可保护用户的属性隐私。

1 基础知识

1.1 双线性映射

设G是一个阶为大素数p的乘法循环群，g是G的一个生成元，GT是也是一个p阶的乘法循环群，1T是GT的单位元。若映射∶G×G→GT满足如下3个条件，则称为一个双线性映射:(1)双线性性:对任意的a，b∈Z*p(ga，gb)=(g，g)ab;(2)非退化性:存在g1，g2∈G，使得(g1，g2)≠1T;(3)可计算性:对任意的 g1，g2∈G，存在计算(g1，g2)的有效算法。

1.2 访问策略

访问策略就是CP－ABE中的密文策略。给定一个属性列表L=［L1，L2，…，Ln］和一个访问策略 W=［W1，W2，…，Wn］，对于 1≤i≤n，若 Li=Wi或 Wi=* ，则称Li∈Wi，否则Li∉Wi。L匹配W当且仅当每一个Li∈Wi均成立，记为 L╞W，否则 L不匹配 W，记为L=∨W。

2 具有隐私保护的云存储访问控制方案

本文采用混合加密体制实现具有隐私保护的云存储访问控制，其中公钥加密采用文献［12］中的匿名的密文策略下基于属性的加密机制，对称加密可选用任何经典的对称加密算法。

2.1 方案的定义

建立适用于云存储的具有隐私保护的访问控制系统需4个阶段:系统建立、用户加入、匿名数据创建和匿名数据访问，具体定义如下:

系统建立。属性权威机构生成访问控制系统所需的系统公开参数和主私钥，将系统公开参数公开并秘密保存主私钥。

用户加入。当一个用户想要加入访问控制系统时，他向属性权威机构提出申请，属性权威机构根据该用户的属性信息为其生成相应的属性私钥。

匿名数据创建。数据拥有者自己确定一个访问控制策略，并基于此加密自己的数据，然后将不包含访问策略的密文上传到云存储服务器上。

匿名数据访问。当一个用户想要访问某个文件，首先从云存储服务器上下载相应的密文数据，然后用自身的属性私钥匿名解密密文得到明文。

2.2 具体的访问控制方案

(1)系统建立。属性权威机构运行Setup算法，生成系统公开参数PK和主私钥MK，然后将PK公开并自己秘密保存MK。

Setup(1λ):属性权威机构选取安全参数和随机参数 y ∈RZp，针 对 每 一 个 属 性 ωi选 取 参 数 {ai，j，bi，j∈RZp}1≤j≤n和 {Ti，j∈RG}1≤j≤n。 计 算 {Ai，j=Tai，i，jj，iiBi，j=Tbi，i，jj}1≤j≤ni和 Y=e^(g，g)y，其中 g∈RG 是群 G 的一个生成元。最终生成的系统公开参数和主私钥为:PK={g，Y，{{Ai，j，Bi，j}1≤i≤n}1≤j≤ni}，MK={y，{{ai，j，bi，j}1≤i≤n}1≤j≤ni}。

(2)用户加入。假设一个用户具有属性L=［L1，L2，…，Ln］，该用户将属性列表L发送给属性权威机构，以申请属性私钥。属性权威机构根据下面的KeyGen算法为该用户生成属性私钥SKL。

KeyGen(MK，L):属性权威机构选取参数 ri，λi∈RZp，令r= ∑ni=1ri，并计算D0=gy－r。对i∈［1，n］，设 Li=vi，ki，令 Di，0=gTigai，kibi，kiλi，Di，1=gai，kiλi，Di，1=gbi，kiλi。最终生成属性私钥 SKL={L，D0，{Di，0，Di，1，Di，2}1≤i≤n}。

(3)匿名数据创建。将数据外包给云服务提供商之前，数据拥有者必须对数据进行加密。数据拥有者首先选取一个标准的对称加密算法SE={KSse，MSse，Ese，Dse}，其中 KSse是密钥空间集，MSse是消息空间集，Ese是加密算法，Dse是解密算法。然后，数据拥有者选取 H1∶GT× MSse→Zp和 H2∶KSse两个哈希函数。最后，数据拥有者根据下面的AnonEnc算法计算数据密文，并上传给云存储服务器。

AnonEnc(PK，D，W):当数据拥有者想要加密数据D∈MSse时，随机选取参数M∈GT，计算s=H1(M D)，K=H2(M)，令CD=Ese(D，K)。针对数据D，数据拥有着自身定义一个访问策略 W=［W1，W2，…，Wn］。然后计算=M·Ys和 C0=gs。对于每一个 i∈［1，n］，随机选取参数{si，ki∈Zp}1≤ki≤ni，若 vi，ki∈Wi，数据拥有者令 Ci，k，1=Bsi，i，kki，Ci，k，2=Asi，－ksi，ki;否则 vi，k∉Wi，数据拥ii iii有者随机选取 Ci，ki，1和 Ci，ki，2的值，从而得到 CM=，C0，{{Ci，ki，1，Ci，ki，2}1≤ki≤ni}1≤i≤n}。最终的数据密文是CTW={CD，CM}。数据拥有者把CTW外包给云服务提供商。

(4)匿名数据访问。假设一个用户具有属性L=［L1，L2，…，Ln］，他从云存储服务器上下载了数据密文CTW。作为解密者，该用户根据下面的AnonDec算法可以恢复明文数据。

AnonDec(CTW，SKL):对于 i∈［1，n］，假设 Li=vi，ki，解密者令 C'i，1=C'i，ki，1，C'i，2=Ci，ki，2，然后计算解密者再计算采用s*作为随机指数，若C0=gs*，则返回明文数据D=D*;否则返回错误符号⊥。

3 方案的安全性

定理1 若所采用的对称加密具有Find－Guess安全性［14］，则新方案是选择明文安全的，并可保护用户的属性隐私。

证明 根据本文的访问控制方案，在访问策略W下，对一个数据D加密后得到的密文是CTW={CD，CM}。因此，为了得到数据D的信息，攻击者需要解密CM得到M，再计算K=H2(M)得到对称密钥K，最后对CD进行对称解密得到D=Dse(CD，K)。然而，M由基于属性的加密保证了机密性，所以数据D的机密性由混合加密体制的安全性保证。从文献［12］和文献［14］的结论可知，若采用安全的对称加密算法，则本文所提出的访问控制方案具有选择明文安全性，且可保护用户的属性隐私。

4 结束语

针对云存储所面临的用户隐私泄露问题，提出了具有隐私保护的云存储访问控制方案。采用密文策略下基于属性的加密和对称加密的混合体制设计了具体的访问控制方案，并证明了新方案具有选择明文安全性，且可保护用户的属性隐私。

［1］Sahai A，Waters B.Fuzzy identity － based encryption［C］.Berlin Heidelberg:Advances in Cryptology－Eurocrypt'05，Springer，2005:557 －557.

［2］Goyal V，Pandey O，Sahai A，et al.Attribute － based encryption for fine－grained access control of encrypted data［C］.New York:Proceedings of the ACM Conference on Computer and Communications Security－CCS'06，ACM，2006:89－98.

［3］Cheung L，Newport C.Provably secure ciphertext policy ABE［C］.Newyork:Proceedings of the ACM Conference on Computer and Communications Security－ CCS'07，ACM，2007:456－465.

［4］朱旭东，李晖，郭祯.云计算环境下加密图像检索［J］.西安电子科技大学学报:自然科学版，2014，41(2):151－158.

［5］Zhang Yinghui，Chen Xiaofeng，Li Jin，et al.FDR － ABE:Attribute－based encryption with flexible and direct revocation［C］.Piscataway:Proceedings of the International Conference on Intelligent Networking and Collaborative Systems－INCoS'13，IEEE，2013:38 －45.

［6］Zhang Yinghui，Chen Xiaofeng，Li Jin，et al.Attribute － based data sharing with flexible and direct revocation in cloud computing［J］.KSII Transactions on Internet＆ Information Systems，2014，8(11):4028 －4049.

［7］Chase M.Multi－ authority attribute based encryption［C］.Berlin Heidelberg:Proceedings of the Theory of Cryptography Conference － TCC'07，Springer，2007:515 －534.

［8］Lewko A，Waters B.Decentralizing attribute－ based encryption［C］.Berlin Heidelberg:Advances in Cryptology －EUROCRYPT'11，Springer，2011:568 －588.

［9］张应辉，郑东，李进，等.密文长度恒定且属性直接可撤销的基于属性的加密［J］.密码学报，2014，1(5):465 －480.

［10］Zhang Yinghui，Zheng Dong，Chen Xiaofeng，et al.Computationally efficient ciphertext－policy attribute－based encryption with constant－ size ciphertexts［C］.Berlin Heidelberg:Proceedings of the International Conference on Provable Security－ ProvSec'14，Springer，2014:259 －273.

［11］郑东，赵庆兰，张应辉.密码学综述［J］.西安邮电大学学报，2013，18(6):1 －10.

［12］Nishide T，Yoneyama K，Ohta K.Attribute－ based encryption with partially hidden encryptor－specified access structures［C］.Berlin Heidelberg:Proceedings of the International Conference on Applied Cryptography and Network Security－ACNS'08，Springer，2008:111 －129.

［13］Zhang Yinghui，Chen Xiaofeng，Li Jin，et al.Anonymous attribute－based encryption supporting efficient decryption test［C］.Newyork:Proceedings of the ACM SIGSAC Symposium on Information，Computer and Communications Security，ACM，2013:511－516.

［14］Fujisaki E，Okamoto T.Secure integration of asymmetric and symmetric encryption schemes［C］.Berlin Heidelberg:Advances in Cryptology －CRYPTO'99，Springer，1999:537 －554.