0 引言

    云計(jì)算作為一種新興的服務(wù)模式，將網(wǎng)絡(luò)中大量不同類(lèi)型的資源整合起來(lái)協(xié)同工作，為用戶提供計(jì)算和存儲(chǔ)等功能，極大地提高了資源利用率，降低了用戶成本^[1]。但由于云計(jì)算的數(shù)據(jù)處于不可控域中，這一模式的應(yīng)用必然會(huì)產(chǎn)生許多信息安全問(wèn)題，其中一個(gè)重要的問(wèn)題就是如何保護(hù)云中用戶數(shù)據(jù)的機(jī)密性和實(shí)現(xiàn)數(shù)據(jù)合法高效的共享訪問(wèn)^[2]。

    文獻(xiàn)[3]針對(duì)云計(jì)算中數(shù)據(jù)不是存儲(chǔ)在本地而是以密文形式托管到“云端”，導(dǎo)致已有的公平交換協(xié)議不能很好適應(yīng)云環(huán)境這一問(wèn)題，構(gòu)造了一個(gè)可在隨機(jī)預(yù)言模型下證明安全的匿名條件的代理重加密方案。文獻(xiàn)[4]在基于屬性的加密基礎(chǔ)上提出了一種有效的云端重加密方法，將訪問(wèn)控制策略變更導(dǎo)致的重加密過(guò)程轉(zhuǎn)移到云端執(zhí)行，實(shí)現(xiàn)高效的動(dòng)態(tài)密文訪問(wèn)控制。文獻(xiàn)[5]提出了一種可抗選擇密文攻擊的分類(lèi)代理重加密方案，實(shí)現(xiàn)了一個(gè)基于 Hadoop云存儲(chǔ)平臺(tái)的云端數(shù)據(jù)共享原型系統(tǒng)，提高了數(shù)據(jù)共享的高效性和安全性。

    本文在文獻(xiàn)[6]Wa-IBE方案基礎(chǔ)上提出了一種適合云存儲(chǔ)訪問(wèn)控制的基于身份的代理重加密方案，并對(duì)其安全性進(jìn)行了證明。本文方案將重加密密鑰分成兩個(gè)部分，一部分用于對(duì)原始密文的重加密，另一部分作為授權(quán)解密密文。發(fā)送者在與接收者交互過(guò)程中，只需要將授權(quán)解密密文給接收者，接收者即可利用自己的私鑰和授權(quán)解密密文解密重加密密文得到明文。與其他方案相比，本文方案對(duì)不同用戶不用完全重新生成重加密密鑰，只需要部分計(jì)算，計(jì)算復(fù)雜度較低，同時(shí)重加密密文長(zhǎng)度不會(huì)隨著用戶的增長(zhǎng)呈線性增長(zhǎng)，密文的主要部分交由云存儲(chǔ)服務(wù)器存儲(chǔ)管理，減少了發(fā)送者與多接收者之間信道的通信量，降低了存儲(chǔ)的空間。

1 本文方案

1.1 方案介紹

    傳統(tǒng)的基于代理重加密的云存儲(chǔ)訪問(wèn)控制方案，一旦數(shù)據(jù)經(jīng)過(guò)云服務(wù)器重加密后，數(shù)據(jù)擁有者就失去了對(duì)數(shù)據(jù)的控制力，代理的權(quán)限過(guò)大，而且由于重加密密鑰的計(jì)算量過(guò)大導(dǎo)致數(shù)據(jù)共享的效率不高。本文方案將數(shù)據(jù)擁有者將重加密密鑰分成兩個(gè)部分，一部分重加密云中的原始數(shù)據(jù)，另一部分作為授權(quán)解密密文，發(fā)送者確定接收者身份后，直接發(fā)送給接收者。接收者利用自己私鑰、云中下載的重加密密文、授權(quán)解密密文即可得到明文，如圖1所示。

1.2 本文所提方案

    (1)初始化(Setup)

    從方案中可以看出，只要接收者可以解密R得到k就可以解密重加密密文得到明文。因此，在面對(duì)多個(gè)接收者的情況時(shí)，發(fā)送者只需要根據(jù)不同接收者的身份信息簡(jiǎn)單計(jì)算R，即可達(dá)到共享密文的目的，而不用完全重新計(jì)算重加密密鑰，大大提高了效率。同時(shí)，密文的長(zhǎng)度隨著重加密次數(shù)的增長(zhǎng)基本保持不變，節(jié)省了存儲(chǔ)空間。

2 安全性分析

    由于本方案是基于Wa-IBE方案提出的，下面證明如果Wa-IBE方案是IND-ID-CPA安全的，那么本方案滿足IND-PrID-CPA安全。對(duì)于本方案假定的攻擊者A，構(gòu)造一個(gè)算法B去攻擊Wa-IBE方案。這個(gè)算法保持一個(gè)三元組(β，v₁，v₂)的列表，其中β∈{0，1}，v₁和v₂代表兩個(gè)身份信息。必須針對(duì)身份信息v去詢問(wèn)Wa-IBE方案的私鑰生成預(yù)言機(jī)來(lái)回答A的RKEXTRACT(v，·)預(yù)言機(jī)詢問(wèn)。如果A進(jìn)行了RKEXTRACT(v，·)詢問(wèn)，并發(fā)送v作為挑戰(zhàn)身份，那么B得不到Wa-IBE方案的挑戰(zhàn)密文，B必定失敗。因此當(dāng)A進(jìn)行RKEXTRACT(v，·)詢問(wèn)時(shí)，B將身份信息v發(fā)送給Wa-IBE方案的私鑰生成預(yù)言機(jī)或者隨機(jī)生成一個(gè)重加密密鑰。如果B返回正確的密鑰，令β=1，否則β=0。

    定理1  假設(shè)攻擊者A在游戲Exp^{A，IND-PrID-CPA}具有ε的優(yōu)勢(shì)獲勝。那么算法B至少具有以下優(yōu)勢(shì)攻破Wa-IBE方案。q_E是攻擊者A詢問(wèn)私鑰預(yù)言機(jī)的最大次數(shù)，算法B的運(yùn)行時(shí)間是O(time(A))。

    證明：設(shè)A為攻擊本方案的攻擊者，構(gòu)造一個(gè)攻擊Wa-IBE方案的算法B。輸入方案Wa-IBE的公共參數(shù)μ，B按以下步驟運(yùn)行。注意B保持一個(gè)三元組的列表(β，v₁，v₂)∈{0，1}×{0，1}ⁿ×{0，1}ⁿ。*代表通配符。假設(shè)一個(gè)輸入只能詢問(wèn)一次預(yù)言機(jī)。

    (1)初始化

    將公共參數(shù)μ發(fā)送給A。

    (2)詢問(wèn)階段1

    攻擊者A可以做出以下詢問(wèn)：

    (a)私鑰提取詢問(wèn)(Extract)：B首先對(duì)β做出一個(gè)隨機(jī)選擇，如果β=0，或者(0，v，*)或(0，*，v)已經(jīng)出現(xiàn)在表里，B就隨機(jī)輸出一個(gè)比特或者終止操作。否則，B詢問(wèn)Wa-IBE方案的私鑰生成預(yù)言機(jī)來(lái)獲得私鑰d_v，同時(shí)將dv返回給A，并將(1，v，v)記錄在表里。

    (3)挑戰(zhàn)階段

    A發(fā)送(v*，m₀，m₁)給B，如果對(duì)于任意的v′，在表中都有(1，v*，v′)存在，B就隨機(jī)輸出一個(gè)比特或者終止操作。否則，發(fā)出相同的挑戰(zhàn)(v*，m₀，m₁)給Wa-IBE方案的挑戰(zhàn)者。當(dāng)Wa-IBE方案的挑戰(zhàn)者返回密文C*，B將C*發(fā)送給A。

    (4)詢問(wèn)階段2

    (5)猜測(cè)階段

    當(dāng)A輸出對(duì)b的猜測(cè)b′，B也輸出b′。

    可以看出如果B在游戲過(guò)程中不終止，攻擊者A所處的模擬環(huán)境和真實(shí)的攻擊環(huán)境是大致相同的，除了當(dāng)β=0時(shí)。稍后將在引理1中證明A對(duì)隨機(jī)生成的密鑰具有不可區(qū)分性來(lái)說(shuō)明這個(gè)情況。因此，只需要計(jì)算B終止游戲的可能性。假設(shè)A總共進(jìn)行了q_E次私鑰詢問(wèn)。B在詢問(wèn)階段1或2 中不終止游戲的可能性為。在挑戰(zhàn)階段不終止游戲的可能性為1-δ。因此，B不終止游戲的可能性是(1-δ)，這個(gè)值最大為δ_opt=1-1/(q_E+1)。所以B不終止游戲的可能性最少是1/e(1+q_E)。因此B的優(yōu)勢(shì)至少是ε/e(1+q_E)。

    引理 1 如果Wa-IBE方案是IND-ID-CPA安全的，那么證明定理1中的模擬算法具有可計(jì)算的不可區(qū)分性。

    證明：除了當(dāng)β=0時(shí)，證明定理1中的模擬環(huán)境和真實(shí)環(huán)境是一樣的。因此，只需要考慮對(duì)隨機(jī)生成的重加密密鑰(x，y，Encrypt(μ，v₂，z))和真實(shí)的密鑰的不可區(qū)分性。由于(x，y)必須是(d₁K^-1，d₂)的一種可用形式，K∈G，所以這個(gè)問(wèn)題就等同于區(qū)別z∈_R{0，1}^l和k加密的可區(qū)分性。因此引理1得證。

    綜上所述，本方案滿足IND-PrID-CPA安全。

3 效率分析

    本文通過(guò)存儲(chǔ)過(guò)程中計(jì)算復(fù)雜度和存儲(chǔ)開(kāi)銷(xiāo)對(duì)方案的效率進(jìn)行分析。首先令N_par表示雙線性運(yùn)算，N_exp1和N_exp2分別代表群G₁和G₂中的指數(shù)運(yùn)算；群G₁中元素的長(zhǎng)度為l₁ bit，群G₂中元素的長(zhǎng)度為l₂ bit，Z_p中元素的長(zhǎng)度為l₃ bit。在云存儲(chǔ)應(yīng)用環(huán)境中，大都是一個(gè)發(fā)送者對(duì)n個(gè)接收者的情形，表1是文獻(xiàn)[7]方案與本文方案在計(jì)算代價(jià)上的比較，表2是文獻(xiàn)[7]方案與本文方案在通信帶寬上的比較。

    對(duì)比分析可知，在云存儲(chǔ)環(huán)境一個(gè)發(fā)送者對(duì)n個(gè)接收者的情形下，本文方案在計(jì)算代價(jià)和通信帶寬方面較文獻(xiàn)[7]方案有明顯優(yōu)勢(shì)。本文沒(méi)有討論權(quán)限撤銷(xiāo)的問(wèn)題，這是非必要的，因?yàn)槊看蔚氖跈?quán)解密密文是不同的。發(fā)送者通過(guò)對(duì)授權(quán)解密密文的控制，很好地實(shí)現(xiàn)了數(shù)據(jù)的授權(quán)和撤銷(xiāo)。

4 結(jié)束語(yǔ)

    本文提出了一種適合云存儲(chǔ)訪問(wèn)控制的基于身份的代理重加密方案，并對(duì)其進(jìn)行了安全性證明，結(jié)果表明，本文方案基本能滿足云環(huán)境下數(shù)據(jù)共享的安全性要求。但是在面對(duì)移動(dòng)云計(jì)算的環(huán)境下，方案還有很大的缺陷，下一步將繼續(xù)完善方案，使之能適應(yīng)移動(dòng)終端的需要。

參考文獻(xiàn)

[1] 張婧，陳克非，呂林，等.云存儲(chǔ)中的用戶數(shù)據(jù)安全[J].計(jì)算機(jī)科學(xué)與探索，2013，7(12)：1093-1103.

[2] 趙麗麗.代理重加密技術(shù)在云計(jì)算中的應(yīng)用[J].信息安全與通信保密，2012，3(11)：135－137.

[3] 藍(lán)才會(huì)，王彩芬.構(gòu)造適合云的公平交換協(xié)議[J].通信學(xué)報(bào)，2013，34(3)：111-11.

[4] 洪澄，張敏，馮登國(guó).面向云存儲(chǔ)的高效動(dòng)態(tài)密文訪問(wèn)控制方法[J].通信學(xué)報(bào)，2011，(32)7：125-132.

[5] 龐巖梅，李曉東，葉思水.基于代理重加密的云數(shù)據(jù)共享機(jī)制的研究與實(shí)現(xiàn)[J].南京理工大學(xué)學(xué)報(bào)，2015，39(1)：84-88.

[6] WATERS B.Efficient identity-based encryption without random oracles[C].In Proceedings of Advances in Cryptology-EUROCRYPT′05，Springer，2005，3494：114-127.

[7] LIANG K，HUANG Q，SCHLEGEL R，et al.A conditional proxy broadcast re-encryption scheme supporting timed-release[C].Proc.ISPEC 2013，LNCS 7863，Springer，Heidelberg，2013：132-146.