魏巍陆幼骊俞艺涵

（1.海军指挥学院南京211800）（2.海军工程大学信息安全系武汉430033）

基于CP-ABE算法的云存储数据访问控制方案设计

魏巍1陆幼骊1俞艺涵2

（1.海军指挥学院南京211800）（2.海军工程大学信息安全系武汉430033）

云存储暴露出诸多安全问题，影响其发展速度。针对云存储安全问题，提出一项改进的基于密文策略属性加密的访问控制方案，通过使用门限访问控制结构对CP-ABE算法的原访问控制结构进行改进，以期提升运算效率，通过将用户ID与密钥绑定，增强云平台安全性。文章首先对研究背景进行介绍；其次对整体方案进行详细说明；最后对新方案的安全性与运行效率进行理论分析和仿真实验测试。安全性分析表明，论文方案可实现细粒度访问控制并有效防御多用户共谋攻击。仿真实验结果表明相比传统方案，加解密效率大幅提升。

云计算；数据存储；访问控制；CP-ABE算法；存储安全

Class NumberTP309

1 引言

云存储作为云计算所提供的诸多服务之一，允许用户在平台存储并共享数据，因其高效灵活、即付即用等优点受到广泛欢迎［1］。存储于云平台的数据处在不可控域中，数据所有者（Data Owner，DO）失去了对数据的控制，安全隐患较高［2］。数据加密上传至云平台后，用户希望通过云平台获取此数据时，必须要拥有其访问权限，为云存储平台制定合理的访问策略至关重要。

DO上传数据时，如果在加密操作采用传统公钥加密机制，则DO需为每个用户均执行一次数据加密操作，这不仅增加DO端计算负担，而且云服务提供商（Cloud Service Provider，CSP）在每次共享所存储数据后，也需如此重复操作，工作量巨大。为解决上述问题，Sahai和Waters［3］提出基于属性的加密方案（Attribute Based Encryption，ABE），方案将用户身份特征作为属性，选择部分或全部属性加解密数据。ABE允许DO共享数据时不必使用其他用户公钥，减少计算量，但不能阻止多用户间共谋攻击。在ABE方案基础上，Goyal等［4］提出基于密钥策略属性加密方案（Key-Policy Attribute Based Encryption，KP-ABE），DO在用户密钥中构建访问结构，使用属性集合对数据执行加密操作，可实现细粒度访问控制，并在管理用户权限上具有灵活性，但方案在密钥撤销中需对用户的全部密钥进行更新。Bethencourt等［5］提出基于密文策略属性加密方案（Cipher-text Policy Attribute Based Encryption，CP-ABE），该方案以密文为基础，简化密钥撤销过程，相比KP-ABE方案，计算开销更多。Sabrina等人［6］提出一项旨在加强隐私保护的云数据共享服务，其将访问控制结构转换为二进制访问控制树，但因结构限制，方案灵活性有限，存储效率未得到明显提高。

本文在此基础上提出具有灵活性的隐私保护云数据共享服务方案。该方案使用门限访问结构取代二进制访问结构，扩展文献［6］方案访问结构灵活性，以提升工作效能，与CP-ABE等相比计算开销更低。本方案中数据文件均与访问结构关联，允许拥有正确属性的用户获得密钥解密密文，通过将密钥与用户身份绑定，确保在多个用户拥有相同属性时，生成不同密钥，保证数据安全性。

2 方案设计

2.1 系统整体架构

本文方案由四个角色组成：

1）云服务提供商（CSP）：提供所需数据存储空间和计算能力。

2）数据所有者（DO）：于CSP存储数据，DO可以是个人或组织。

3）密钥管理中心（Private Key Generator，PKG）：计算用户私钥的可信第三方，PKG负责为用户生成私钥，向用户提供身份（Identity，ID）和公钥，PKG不保存有关密钥和存储于服务器的信息。

4）用户（User）：下载DO所共享数据，使用自身密钥对密文执行解密操作。

2.2 安全假设

本文采用主流应用情景［7］，假定云服务器是被半信任的，表示其行为在大多数情况下是正确的，但较特殊时会获取大量信息，系统中各角色间通信是安全的［8～9］。本文共考虑四种威胁：

1）内部威胁：来自CSP，欲获取未授权数据的User。

2）外部威胁：系统外部敌人。

3）CSP与User间共谋访问未授权数据。4）User间共谋访问未授权数据。

2.3 设计目标

本方案设计目标旨在DO将数据与访问控制结构连接，对存储在CSP数据实现细粒度访问控制，防止云服务器和未授权用户获取访问数据权限，有助于管理访问权限且不泄漏关于密钥或数据的信息。此外方案还满足以下安全要求：

1）细粒度访问控制：User只能访问自身被授权数据；

2）混淆抵抗：User间不能通过共享密钥，访问未授权数据；

3）隐私保护：CSP不保存用户的隐私信息。

2.4 流程设计

2.4.1 流程概述

本方案基于双线性映射结构，设G1与G2两个为素数p阶的乘法循环群，g为G1的生成元，e为双线性映射，e：G1×G1→G2，则双线性映射e具有以下特征：

1）双线性：∀u，v∈G1，a，b∈Zp}，使e(ua，vb) =e(u，v)ab；

2）非退化性：e(g，g)≠1；

3）可计算性：对于任意y，z∈G1，存在给定多项式时间算法计算e（y，z）∈G2。

本方案与CP-ABE相同，数据均由属性集合描述，此集合用于构建访问控制树并随后将被分配给数据。User均有描述其访问权限的属性集合（由DO分配）和唯一ID，对于每个分配给用户的属性，都拥有新建密钥。若User所持属性集合满足对应数据的访问控制树，则User可解密该数据。

方案分为参数初始化，加密操作，密钥生成，解密操作四个步骤。参数初始化阶段，DO选择所使用属性，并为每个属性生成系统参数。加密操作阶段，DO选择某属性集合并使用其构建门限访问控制结构，其次使用该结构加密数据文件。DO为每个User分配属性集合，在PKG生成User私钥后，使用User自身公钥对私钥加密，将加密结果发送至CSP。解密操作中，User使用自身私钥经解密算法来获取数据。

2.4.2 各步骤具体算法

1）参数初始化

DO选择素数P，循环群G1、G2，e：G1×G1→G2表示双线性映射，H表示哈希函数。将某User的IDu映射为G1的元素，其次DO定义属性集合W，每个属性i∈W，DO生成两个随机数αi，βi∈ZP，则用户的私钥和公钥为：

2）加密环节

加密信息M，DO选择属性i∈W，基于属性集合W定义访问结构P。选择多项式Qx与Px，选择方法与文献［5］相同且Qx（0）=s，Px（0）=0，访问控制结构每个叶节点x对应随机数rx，则计算：

最后上传加密文件D至CSP：

3）密钥生成

DO从PKG接收IDu并选择属性集合Iu分配用户，DO计算用户密钥如下：

密文加密方式如下

User公钥加密后的SkD经由云服务器递送给User，只有User自身私钥可以解密SkD。

4）解密环节

User下载已加密数据D，H(IDu)，其中D={∀x，Dx，1，Dx，2，Dx，3，P，Me}，User在属性集合中选择符合访问结构P的属性后计算：

最后User恢复加密数据为M：

3 方案分析

3.1 安全性分析

本方案可满足以下安全需求：

1）细粒度访问控制。每个User接收由DO所描述属性集合，只有符合属性要求的用户才能计算得到Qx（0）=s与Px（0）=0，从而恢复密钥e（g，g）s，因此本文方案可帮助DO实现细粒度访问控制的目标。

2）防共谋攻击。通过将IDu与User属性相联系，以防御共谋攻击。当多名用户组合其密钥试图破解密钥时，必须恢复e（g，g）s部分，这意味着必须求解公式中e（H（ID），g1）Px（0）部分，由于用户均具有不同ID，不可能通过串通从而完成对e（H（ID），g1）Px（0）部分的计算，所以本方案可有效防御共谋攻击。

3）用户访问权限机密性。本文方案不向除User本身以外泄漏任何密钥的信息，有效保护User在云平台的隐私；与文献［6］和CP-ABE方案相比，本方案仅向授权用户公开解密密钥，使CSP和未授权用户无法解密数据，用户机密性得到有效保障。

3.2 效率分析

本节根据方案中加解密结构分析计算开销。本方案与文献［6］相似，数据文件的加解密环节占据了大量计算开销。加密过程中，DO需为访问控制结构中每个叶节点执行两次标量计算Dx，1，一次标量计算Dx，2，一次标量计算Dx，3，因此DO最多需要执行4|I|次标量计算，故加密复杂度是O（|I|），其中|I|是访问结构中叶节点数量。解密过程中，User需为访问结构中每个叶节点至少执行一次标量计算，并为非叶节点执行一次标量计算求解故解密复杂度是O（max（|I|，N）），N为节点总数量。

如图3所示，二进制访问控制树结构相比于门限访问结构，在数据量相同情况下，二进制访问控制树大幅增加节点数量，导致加解密工作量激增，因此理论上可得出本文方案在加解密环节更加高效的结论。

4 仿真实验

实验过程中，通过增加属性数量扩大访问结构规模测试加密，密钥生成和解密三个环节的耗时情况，对比基于门限访问控制结构的本文方案、文献［6］方案、CP-ABE方案三者的性能，在整个实验过程中忽略数据传输过程中的网络延迟。整个实验环境中，处理器为Inter 2.2 GHZ CPU，内存为8GB，虚拟机为VMware Workstation 6.5.1，性能仿真软件为Ubuntu 10.10，部分实验代码基于CP-ABE-0.11库编写。

本节实验中，属性数量均由0增加到10000，三个环节实验结果如图4～6所示。

通过分析实验结果图4～6可知，本文方案加密耗时随着测试中属性|W|的数量线性增加，其他两方案随着属性数量增加耗时剧增，实验结果与3.2节复杂度分析一致。相比其他两个方案，本方案可实现更低的加解密耗时。本方案通过使用门限访问控制结构取代二进制访问结构扩展文献［6］的灵活性，这种改变虽然会在密钥生成过程中增加较小的开销，但在加密和解密两个环节更加高效。随着访问结构的复杂度增加，在加密中使用阈值门限访问结构将会更加高效。

5 结语

本文在文献［6］的基础上使用门限访问控制结构取代二进制访问结构树，提出一项基于CP-ABE算法的云存储数据访问控制方案。本文方案能够实现比CP-ABE更低的密钥生成和加密开销，同时相比文献［6］方案拥有更高的灵活性。当访问结构更加复杂时，本方案的加密过程将会更加高效。在下一步工作中，将尝试在本方案中增加数据完整性验证和数据源验证过程。

参考文献

［1］傅颖勋，罗圣美，舒继武.安全云存储系统与关键技术综述［J］.计算机研究与发展，2013，50（1）：136-145.

［2］冯登国，张敏，张妍.云计算安全研究［J］.软件学报，2011，22（1）：71-83.

［3］SAHAI A，WATERS B.Fuzzy Identity Based Encryption［M］.Heidelberg：Springer-Verlag.2005：457-473.

［4］GOYAL V，PANDEY O，SAHAI A.Attribute Based Encryption for Fine-grained Access Control of Encrypted Data［M］.New York：ACM，2006：89-98.

［5］BETHENCOURT J，SAHAI A，WATERS B.Ciphertext-policy Attribute-based Encryption［C］//New Jersey：IEEE.2007：321-334.

［6］Sabrina V，Sara F，Riccardo M.A Dynamic Tree-based Data Structure for Access Privacy in the Cloud［C］//New York：IEEE.2016：391-398.

［7］Shucheng Yu，Cong Wang，Kui Ren.Attribute based data sharingwithattributerevocation［C］//NewYork：ACM.2010.261-270.

［8］李琦，马剑锋，熊金波.一种素数阶群上构造的自适应安全带多授权机构CP-ABE方案［J］.电子学报，2014，4（42）：696-702.

［9］程思嘉，张昌宏，潘帅卿.基于CP-ABE算法的云存储数据访问控制方案设计［J］.信息网络安全，2016，3（2）：1-6.

［10］王意洁，孙伟东，周松.云计算环境下的分布存储关键技术［J］.软件学报，2012，23（4）：962-986.

［11］王鹏翩，冯登国，张立武.一种支持完全细粒度属性撤销的CP-ABE方案［J］.软件学报，2012，23（10）：2805-2816.

［12］邹徐熹，王磊，史兆鹏.云计算下基于特殊差分方程的（m+1，t+1）门限秘密共享方案［J］.计算机工程，2017，43（1）：8-12.

Data Access Control Scheme Design for Cloud Storage Based on CP-ABE Algorithm

WEI Wei1LU Youli1YU Yihan2
（1.Naval Command College，Nanjing211800）（2.Department of Information Security，Naval University of Engineering，Wuhan430033）

In the process of cloud storage development，it exposed a lot of security issues，affecting the cloud computing's development.In order to solve the security problem of cloud storage，this paper proposes an improved access control scheme based on cipher-text policy attribute encryption.Threshold access control structure is used to improve the original access control structure，in order to enhance the efficiency of the operation.Making the user's ID and key binding is to increase the cloud platform security.Firstly，the test introduces background of the research.Secondly，the whole scheme is described in detail.Finally，the security and operational efficiency of the scheme are theoretically analyzed and simulated by experiment.Security analysis shows that this scheme can achieve fine-grained access control and defense of multi-user conspiracy attacks.Simulation results show that compared with the traditional scheme，the efficiency of the new scheme is greatly improved when the number of user attributes increases.

cloud computing，data storage，access control，CP-ABE algorithm，storage safety

TP309

10.3969/j.issn.1672-9730.2017.07.018

2017年1月17日，

2017年2月23日

国家自然科学基金项目（编号：61100042）；信息保障技术国防重点实验室基金项目（编号：KJ-13-111）资助。

魏巍，男，助教，研究方向：云计算与云安全。陆幼骊，男，硕士，副教授，研究方向：云计算与云安全。俞艺涵，男，博士研究生，研究方向：云存储安全。