一種靈活的多權威屬性協同訪問控制方案

彭宗鳳，彭長根,2，丁紅發,3

〔1.貴州大學公共大數據國家重點實驗室（計算機科學與技術學院），貴州貴陽 550025；2.貴州大學密碼學與數據安全研究所，貴州貴陽 550025；3.貴州財經大學信息學院，貴州貴陽 550025〕

1 引言

近年來，數據呈爆炸性增長，使得云存儲服務迅速普及。但數據外包存儲至云服務平臺時，數據擁有者失去對外包數據的控制權，因此，針對外包數據的訪問控制成為保證數據安全性的關鍵。在云存儲環境下，已有學者提出基于密碼學的訪問控制方案[1~3]，其中基于密文策略的訪問控制方案[2]（Ciphertext-Policy Attribute-Based Encryption，CP-ABE）解決了靈活且細粒度的訪問控制問題，迅速成為訪問控制領域的研究熱點。與此同時，云存儲環境下多人協同訪問需求逐漸增大[4]，訪問設備也越來越多，但CP-ABE方案只允許屬性集合滿足訪問結構的單個用戶才能解密，無法解決多人協同訪問場景下的訪問控制問題。

針對該問題，同時考慮到用戶來源于多個不同組織或組織內不同部門的特定協同需求，本文基于Xue等人[5]的協同訪問控制方案構造了一個更靈活的多權威屬性協同訪問控制方案，本方案采取單權威與多權威相結合的框架，引入密鑰協商的思想，使本方案可以在不需要用戶組的情況下實現協同，打破了已有協同方案[5]的局限性，同時避免為來自不同組織的用戶協同建立用戶組，有效提升了協同效率。此外，本方案中的單權威（即中心權威）不需管理屬性和為用戶分發私鑰，即使中心權威被惡意敵手攻擊，敵手也無法恢復出有效的私鑰，進一步保證了數據的安全性。具體而言，本文的主要貢獻為兩方面。

（1）構建更靈活的屬性協同訪問控制方案。本方案遵循屬性的多來源特性，引入多權威的概念，設計一種用戶來自不同組織的協同訪問控制方案。

（2）提升協同的性能、保證協同的安全性。本方案中任意兩個需要參與協同的屬性權威只需進行一次通信即可實現合法性認證與協同密鑰協商，有效地降低了協同通信開銷；同時，由多個屬性權威負責管理屬性以及密鑰的分發，明顯地減輕了單個中心權威的計算負載。此外，利用隨機化的方法，使得不同用戶間無法共謀。

2 相關工作

2005年，Sahai和Waters[1]首次提出了基于屬性的加密技術（Attribute-Based Encryption，ABE），該方案首次將身份與屬性相關聯。2007年，Bethencourt等人[2]構造出CP-ABE方案，該方案利用更為靈活的樹形訪問結構提供訪問控制，但只在通用群模型下證明其安全性。近年來，在CP-ABE方案的安全性[6，7]、效率[8，9]、特定應用領域[4]等得到深入研究。

針對特定的協同領域，協同訪問控制方案中的數據安全和隱私依賴多個參與者的協同防護[10]，Willy等人[11]利用合法用戶擴展訪問策略以實現協同訪問，但需要其他加密方法來保證擴展前后的數據完整性。與之相反，有學者從改進和擴展原始ABE或CP-ABE的角度實現協同[12，5]。Li等人[12]提出面向組（Group）的屬性加密方案，該方案允許同一組中多個用戶合并后的屬性集合滿足協同訪問策略，但其無法靈活控制協同能力。Xue等人[5]基于用戶組[12]和轉移節點[13]的思想，提出一種可控的屬性協同訪問控制方案，即在訪問策略中規定只有擁有協同屬性的用戶才能參與協同。

通常，根據CP-ABE的各類衍生方案中參與密鑰分配的權威（Authority）數量，可將其分為單權威（Single-Authority）[5，10~12]和多權威（Multi-Authority）[14]兩類。在單權威方案[5，10~12]中，只有一個權威中心負責管理全部屬性，并且為所有用戶生成和分發屬性私鑰，在單權威方案中，單點（Single-Point）性能瓶頸問題較為突出[15]。因而，為解決用戶屬性來源于多個權威的問題。Chase等人[16]基于ABE方案首次提出多權威方案，該方案中多個相互獨立的權威負責管理屬性以及分發相應的私鑰，其中包含一個中心權威（Central Authority，CA）。隨后，一些沒有CA的多權威ABE方案被提出[17]。同樣，也有基于CP-ABE的多權威方案研究[18，19]，Ruj等人[20]將Lewko等人[19]的思想應用到訪問控制中。

由上述分析可知，已有屬性協同訪問控制方案[5]仍屬于單權威方案，依舊面臨單點瓶頸問題以及更復雜的多人協同訪問需求。如何使屬性協同訪問控制從單權威擴展到多權威，仍無有效解決方案。目前，亟需更加靈活的多權威屬性協同訪問控制方案，滿足跨域大規模用戶訪問控制的屬性管理和私鑰分發需求。

3 預備知識

本文所用到的縮略詞如表1所示。

本方案的中心權威CA和屬性權威AA是可信的，但云服務提供商CSP是“誠實且好奇的”（Honest but Curious）。

3.1 相關定義

定義1：訪問結構[21]。設為n個參與者集合，是參與者集合的一個非空子集且集合A是單調的，即，若，且，則。屬于A中的集合稱為授權集合，否則，稱為非授權集合。

3.2 困難假設

定義3：判定雙線性Diffie-Hellman（Decisional Bilinear Diffie-Hellman，DBDH）問題。假設給定兩個階為q的循環加法群和循環乘法群、一個雙線性映射，的生成元為g。DBDH問題就是給定一個四元組，，判斷這個四元組是DBDH四元組，還是隨機四元組。如果在多項式時間內解決DBDH的概率是可忽略的，那么DBDH問題是困難的。

4 模型定義

4.1 MA-ABCAC方案模型

圖1給出本文所提MA-ABCAC（Attributebased Collaborative Access Control with Multi-Authority）方案模型。

圖1 MA -ABCAC方案模型

為防止不同權威間的用戶共謀，CA分別為請求注冊的AA和用戶生成標識符和。AA負責管理用戶屬性及為用戶分發私鑰，AA驗證用戶合法性后將私鑰發送給用戶，簡便起見，將記作。協同過程中，參與協同的任意兩個AA間只需進行一次通信即可得到協同所需的通信密鑰，即協同密鑰。

4.2 安全模型

本方案算法的安全性基于可選擇安全，其形式化定義如下。

（2）系統建立：挑戰者運行密鑰生成算法，生成公鑰和私鑰，并將公鑰發送給敵手。

（5）詢問階段2：重復詢問階段1的步驟。

定義4：IND-CPA安全。若多項式時間敵手擁有可忽略的優勢攻破上述游戲，則所提MAABCAC方案是IND-CPA安全的，敵手優勢為。

5 MA-ABCAC方案

在協同密鑰生成過程，結合Diffie-Hellman密鑰協商[22]的思想，使協同過程中的任意兩個AA只需一次通信即可得到協同密鑰，協同密鑰能聚集不同用戶的解密權限，是實現協同訪問的關鍵。協同密鑰生成過程如圖2所示，簡單起見，僅描述兩個AA間的通信過程，協同訪問策略為，在協同場景下一個用戶無法同時擁有屬性集合，如婦產科醫生不可能擁有精神科醫生的屬性。其中，表示協同屬性，即允許其他擁有屬性的用戶參與協同，此類用戶稱作協同者。

圖2 協同密鑰生成示意圖

5.1 協同訪問結構

在協同場景下，由數據擁有者指定訪問結構以及允許參與協同的屬性，因此解密密鑰中的屬性集合由不同用戶的屬性集合構成，若屬性集合全部來自同一個參與者（用戶），則訪問結構“退化”為定義1中的一般訪問結構。本方案在定義1的基礎上，給出協同訪問結構的定義。

5.2 算法構造

本方案根據上述協同訪問結構的定義進行算法構造。

算法1：初始化算法

算法2：密鑰生成算法

算法3：加密算法

算法4：解密算法

6 方案分析

6.1 安全性分析

定理1：若DBDH問題是困難的，則不存在PPT的敵手能以不可忽略的優勢贏得第4.2節定義的安全游戲，即所構造的MA-ABCAC方案具有不可區分選擇明文攻擊（Indistinguishable Chosen-Plaintext Attack， IND-CPA）安全。

證畢。

定理2：MA-ABCAC方案能夠抵抗共謀攻擊。

證明：所提MA-ABCAC方案中用全局唯一標識符標記用戶和AAs，每個用戶具備唯一的 ，因而用戶間無法產生共謀。此外，AAs具有唯一的，即使不同的AAs管理相同的屬性，其管理的屬性之間依舊具有可區分性。

尤其針對協同屬性，本方案只有在AAs間通過合法性認證后才能進行協同密鑰協商，即建立了可信的交互基礎，同時只有具備的用戶才具備協同能力，故本方案的協同功能具有抗共謀特性。

6.2 性能分析

本方案建立在Xue等人[5]提出的協同方案之上，故與該方案進行分析與對比，存儲通信開銷和計算開銷對比如表2和表3所示。本節用表示密文中屬性總數，表示用戶擁有的屬性總數，表示用戶u中由屬性權威a管理的屬性總數，表示協同屬性總數，表示屬性權威總數，m表示用戶組總數，表示解密時訪問樹中非葉子節點總數，表示指數操作所需時間，表示雙線性配對操作所需時間。

表2 存儲和通信開銷對比

表2為本方案與Xue等人[5]提出的屬性協同訪問控制方案的存儲及通信開銷對比，且假定文獻[5]中的用戶屬性均來自多個不同的組織。由表2可知，本方案的協同通信效率較同等情況下的協同訪問效率要高，且具有近似的密文長度和密鑰長度。本方案具有更高的通信效率是由于本方案只需要參與協同的任意兩個AA間進行一次通信，即可達到協同的目的，如圖3(a)所示。而Xue等人[5]提出的協同方案需要為每次協同建立用戶組，如圖3(b)所示，可根據協同的先后為參與協同的用戶 劃分不同類型的用戶組，因而系統復雜性更高，協同通信代價更大。

表3 計算開銷對比

表3為本方案與文獻[5]的計算開銷對比，本方案結合單個CA和多個AA的模式，由多個AA負責管理屬性和為用戶分發私鑰，在參數設置和密鑰生成階段進一步減輕了CA的計算負載，在加密、解密階段具有近似的計算開銷，此外AA不再受用戶組的限制，進而增強了協同的靈活性、降低了協同的復雜度。

圖3 (a)多AA下的協同 (b) 用戶組內的協同

7 結束語

本文提出的一種靈活的多權威屬性協同訪問控制方案，采用單個CA和多AA的屬性管理和密鑰分發模式，解決了用戶屬性來源于多屬性權威時的協同訪問問題。性能分析表明，本方案提供了更靈活的協同訪問控制，且更貼合實際需求。所提方案在DBDH困難假設下具有選擇明文不可區分性，并能抵抗共謀攻擊。