多云服務(wù)提供者環(huán)境下的一種用戶密鑰撤銷方法

李拴保 王雪瑞 傅建明 張煥國(guó)

1 引言

云計(jì)算通過(guò)對(duì)資源、服務(wù)虛擬化整合與配置，為用戶提供靈活的定制服務(wù)。互聯(lián)云[1]由多個(gè)云服務(wù)提供者（Cloud Service Providers, CSP）組成，通過(guò)云之間互操作擴(kuò)大計(jì)算能力和存儲(chǔ)能力，為用戶提供跨云資源租賃服務(wù)；但是互聯(lián)云面臨用戶權(quán)限更新及信息泄露等安全威脅[2,3]。針對(duì)云環(huán)境下的用戶權(quán)限更新問(wèn)題，文獻(xiàn)[4]提出了基于身份和屬性的加密訪問(wèn)控制[57]-實(shí)現(xiàn)云安全服務(wù)體系，但是沒(méi)有涉及互聯(lián)云的用戶權(quán)限更新。特別是CSP用戶密鑰撤銷會(huì)導(dǎo)致互聯(lián)云內(nèi)其它用戶信息泄露，使得多CSP的數(shù)據(jù)安全具有不確定性，因此云安全聯(lián)盟把云服務(wù)濫用[2]列為2013年9個(gè)重要的云安全威脅之一。

云環(huán)境用戶密鑰撤銷，從身份基加密和屬性基加密（Attribute Base Encryption, ABE）兩個(gè)角度提出解決方案。面向單CSP環(huán)境，身份基加密系統(tǒng)通過(guò)設(shè)置用戶私鑰生命周期，用戶只能在有效期內(nèi)訪問(wèn)服務(wù)。在ABE系統(tǒng)中，授權(quán)者為用戶生成私鑰，數(shù)據(jù)屬主利用自身屬性加密數(shù)據(jù)，密文滿足私鑰策略解密數(shù)據(jù)；或者，數(shù)據(jù)屬主利用屬性樹加密數(shù)據(jù)，私鑰滿足密文策略解密數(shù)據(jù)；當(dāng)屬性被更新，私鑰自動(dòng)失效。面向多CSP環(huán)境，文獻(xiàn)[8]提出了一種數(shù)字身份管理框架（Digital Identity Management Framework, DIMF），用戶向注冊(cè)者申請(qǐng)?jiān)醋C書，源CSP為用戶提供認(rèn)證證書，接受CSP響應(yīng)源CSP請(qǐng)求為用戶提供密文訪問(wèn)服務(wù)；注冊(cè)者周期性更新證書，用戶無(wú)法訪問(wèn)服務(wù)。

在單CSP環(huán)境下，ABE屬性更新撤銷用戶私鑰影響共享屬性的其它用戶訪問(wèn)，授權(quán)者控制屬性更新，無(wú)法應(yīng)用到多CSP環(huán)境。在多CSP系統(tǒng)中，注冊(cè)者更新用戶源證書，用戶無(wú)法訪問(wèn)接受CSP服務(wù)，并且泄露用戶密鑰關(guān)聯(lián)的隱私信息。特別在大規(guī)模用戶背景下，證書更新成為用戶權(quán)限更新的系統(tǒng)瓶頸。以DIMF為基礎(chǔ)，源CSP控制用戶匿名認(rèn)證和訪問(wèn)，為用戶提供細(xì)粒度數(shù)據(jù)服務(wù)，解決隱私泄漏難題。

云計(jì)算環(huán)境中用戶密鑰撤銷主要有基于實(shí)體的撤銷系統(tǒng)和基于證書的撤銷系統(tǒng)兩種方法?；趯?shí)體的撤銷系統(tǒng)，CP-ABE（Ciphertext Policy-ABE）定義了用戶訪問(wèn)密文的權(quán)限結(jié)構(gòu)，適合云環(huán)境下的用戶密鑰管理。CP-ABE時(shí)間屬性嵌入用戶私鑰[9]，周期性撤銷用戶密文訪問(wèn)權(quán)限；CP-ABE組合PRE[10,11]，撤銷用戶部分屬性導(dǎo)致私鑰失效，廣播、CP-ABE和屬性分割[12,13]組合從系統(tǒng)級(jí)和屬性級(jí)撤銷私鑰，影響共享屬性子集的用戶訪問(wèn)；ABE和群簽名[14]組合從屬性級(jí)撤銷私鑰，沒(méi)有定義新用戶訪問(wèn)結(jié)構(gòu)；CP-ABE和層級(jí)密鑰[7,15]融合撤銷用戶私鑰，降低了系統(tǒng)計(jì)算效率?；谧C書的撤銷系統(tǒng)，通過(guò)失效的代理認(rèn)證撤銷用戶密鑰。將與認(rèn)證證書關(guān)聯(lián)的源CSP[8]作為用戶認(rèn)證代理，撤銷CSP服務(wù)特定屬性使得用戶密鑰失效，攻擊者根據(jù)撤銷屬性可以恢復(fù)整體屬性，證書持續(xù)更新增加系統(tǒng)開(kāi)銷；對(duì)用戶屬性分類申請(qǐng)多個(gè)不同代理[16]，批處理撤銷某類屬性使密鑰失效，增加額外審計(jì)開(kāi)銷；將屬性分為多個(gè)元組，利用父類關(guān)系設(shè)置代理認(rèn)證鏈[17]，撤銷某一屬性元組使得密鑰失效，增加管理認(rèn)證鏈開(kāi)銷；用戶證書關(guān)聯(lián)多個(gè)級(jí)別屬性[6]，撤銷級(jí)別較高屬性使得證書密鑰失效，需要定義與屬性級(jí)別相關(guān)服務(wù)。綜上所述，CP- ABE是云環(huán)境下實(shí)現(xiàn)用戶密鑰撤銷與隱私信息保護(hù)的有效方式， DIMF證書管理是密鑰撤銷系統(tǒng)的一個(gè)計(jì)算瓶頸。因此，多CSP環(huán)境下保護(hù)隱私信息的用戶密鑰撤銷方法仍是一個(gè)開(kāi)放性難題。

2 預(yù)備知識(shí)

雙線性映射[18]基本原理：假設(shè)G, GT分別是素?cái)?shù)p階的加法、乘法循環(huán)群，生成元g∈G，雙線性映射e:G×G→GT具有下列特征：雙線性性：?u,v∈G和a,b∈Zp，有e（ua,vb）= e （u,v）ab；非退化性：e（g,g）≠1；可計(jì)算性： ? p,q∈GT，存在算法可計(jì)算e（p,q）。

假設(shè)G是素?cái)?shù)p階的雙線性群，在G上的判定雙線性Diffie-Hellman[18]定義如下。生成元g∈G和指數(shù) a ,b,s∈Zp。元組（g,ga,gb,gs）∈ G4和元素Z∈ GT作為輸入，決定 Z= e （g,g）abs輸出。如果|Pr[β （g,ga, gb, gs, （g,g）abs） = 0 ]- Pr[β （g,ga, gb, gs,z）=0]|≥ε，存在一個(gè)算法β輸出b∈{0,1}，在G上具有優(yōu)勢(shì)ε解決DBDH難題。如果沒(méi)有多項(xiàng)式時(shí)間算法具有不可忽略優(yōu)勢(shì)解決 DBDH難題，DBDH假設(shè)在G上成立。單調(diào)張成方案[19]，設(shè)θ:{0 ,1}n0,1}是一個(gè)單調(diào)布爾函數(shù)，→域F上的θ是域F入口的l×t矩陣A，標(biāo)記函數(shù)a:[l][n]關(guān)聯(lián)矩陣A每一行以θ作為輸入變量，對(duì)任意{x1, x2,… ,xn}∈{0 ,1}n，滿足下式θ（x1, x2,… ,xn）=1? ??v ∈Fl×t:[1,0,…,0]且（?i:xa（i））=0,?vi=0。

3 多CSP用戶密鑰撤銷系統(tǒng)與安全模型

本文以DIMF框架為基礎(chǔ)，授權(quán)者、用戶、CSP基于屬性組成環(huán)即R= ω1∪ ω2∪ … ∪ ωn。在雙線性映射、DBDH困難性假設(shè)和單調(diào)張成方案下，本文擴(kuò)展與融合屬性基環(huán)簽名、撤銷環(huán)、CP-ABE、高效屬性簽名和分布式屬性基加密，構(gòu)造不泄露用戶隱私的用戶密鑰撤銷方案。以密文訪問(wèn)方法中心，首先，引入屬性基環(huán)簽名[20]、多授權(quán)機(jī)制[21]生成公鑰和私鑰，源CSP利用解簽名方法驗(yàn)證用戶真實(shí)性，基于分布式屬性基加密與單調(diào)張成算法[19]設(shè)計(jì)密文映射隱私保護(hù)方法；其次，引入撤銷環(huán)簽名[5]、CPABE[22]訪問(wèn)機(jī)制，撤銷部分屬性失效解密私鑰，不影響共享屬性用戶訪問(wèn)；最后，引入高效屬性簽名與CP-ABE重構(gòu)屬性環(huán)，抵制用戶共謀申請(qǐng)簽名私鑰，獲得訪問(wèn)權(quán)限。文獻(xiàn)[13,15]通過(guò)屬性撤銷與代理重加密撤銷私鑰，泄露部分隱私信息。在方案中，授權(quán)者管理系統(tǒng)參數(shù)和屬性集合，用戶作為環(huán)成員向授權(quán)者申請(qǐng)簽名私鑰，用戶向源CSP驗(yàn)證身份訪問(wèn)接受CSP服務(wù)。該方案包含7個(gè)算法，其基本框架如圖1所示。

圖1 多CSP用戶密鑰撤銷方案框架

多CSP環(huán)境下用戶密鑰撤銷系統(tǒng)方案（Scheme on User Key Revocation in Multi-CSP System,SUKRMCS）基本定義如下。

定義1 多CSP環(huán)境下用戶密鑰撤銷方案是下列算法的一個(gè)元組：Setup, Encrypt, Keygen,Signature, Verify, Decrypt和 Revoke。

初始化Setup（λ,R）→GP,MSK,PK。算法由授權(quán)者運(yùn)行，用戶、授權(quán)者、源CSP和接受CSP基于屬性組成環(huán)R，輸入R和給定安全參數(shù)λ；系統(tǒng)輸出授權(quán)者公鑰PK與私鑰SK、系統(tǒng)參數(shù)GP和環(huán)主密鑰MSK。

加密 Encrypt（M,R,（A,ρ）,GP,PK）CT。算法由接受 CSP運(yùn)行，消息M, R，訪問(wèn)結(jié)構(gòu)（A,ρ）, GP和PK作為輸入，輸出云中密文CT。

密鑰生成Keygen（R,GP,ωa,ωu,MSK）Dωu。算法由授權(quán)者運(yùn)行，R, GP，授權(quán)者屬性集ωa, 用戶屬性集ωu和MSK作為輸入，系統(tǒng)輸出一個(gè)基于ωa,ωu和R的用戶環(huán)簽名私鑰 Sωu。

環(huán)簽名Signature（GP, R, M,ωu,A,Sωu）→? 。算法由用戶運(yùn)行，GP, R, M,ωs, 單調(diào)張成矩陣A和簽名私鑰 Sωu作為輸入，系統(tǒng)輸出用戶對(duì)M的環(huán)簽名?。

環(huán)驗(yàn)證Verify（R,? ,M,A,GP） →簽名? 是否有效。算法由源CSP運(yùn)行，R,?, M, A和GP作為輸入，系統(tǒng)輸出用戶簽名?是否有效。

解密 Decrypt（CT,GP,SK,R） →M。算法由用戶運(yùn)行，CT, GP, SK和R作為輸入，系統(tǒng)輸出明文M。

環(huán)撤銷Revoke（R,ωu,ωa,GP）→R',ω'u。算法由授權(quán)者運(yùn)行，R,ωu,ωa和GP作為輸入，系統(tǒng)輸出新環(huán)R'和新用戶屬性集 ω'。

u

SUKRMCS系統(tǒng)安全模型假設(shè)授權(quán)者可信，CSP不可信，給出系統(tǒng)IND-SUKRMCS-CCA2安全規(guī)則。

系統(tǒng)建立（Setup）： 挑戰(zhàn)者C輸入安全參數(shù)λ、授權(quán)者屬性集ωa，運(yùn)行Setup，計(jì)算GP, MSK和授權(quán)者密鑰（PK,SK）, C以GP響應(yīng)攻擊者A。

第1階段（Phase 1）： A執(zhí)行多項(xiàng)式數(shù)量級(jí)界的自適應(yīng)性密文、密鑰、簽名、驗(yàn)證、解密和撤銷詢問(wèn)，每一次詢問(wèn)取決于前面已詢問(wèn)的結(jié)果，C運(yùn)行相應(yīng)算法響應(yīng)A。

加密詢問(wèn)（Encrypt Query）：A輸入 R,M,GP,（A,ρ）和PK, C以一個(gè)密文CT響應(yīng)。

密鑰詢問(wèn)（Keygen Query）：A輸入ωa,ωu,R和GP, C以一個(gè)密鑰 Sωu響應(yīng)。

簽名詢問(wèn)（Signature Query）：A輸入M,ωu, R和 Sωu, C以一個(gè)簽名?響應(yīng)。

驗(yàn)證詢問(wèn)（Verify Query）：A發(fā)送?, M和GP,C以邏輯數(shù)值True或False響應(yīng)。

解密詢問(wèn)（query）：A輸入R, CT和GP, C以明文M響應(yīng)。

撤銷詢問(wèn)（Revoke Query）：A發(fā)送ωu,ωa, R和GP, C以新環(huán)R'和新用戶屬性集 ω'u響應(yīng)。

挑戰(zhàn)階段（Challenge）：A發(fā)送兩個(gè)元組（a0,m0,ωa0,PKa0,）與（a1, m1, ωa1,PKa1）隨機(jī)選擇一個(gè)比特b∈（0,1）, C生成簽名私鑰（S0,S1）響應(yīng)A。

第2階段（Phase 2）： 和第1階段一樣。

猜測(cè)階段（Guess）： 最后，A提交一個(gè)b'。如果 b '= b ，那么A在游戲中獲勝。攻擊者A的優(yōu)勢(shì)定義為 adv（A ）= | 2 Pr[ b '= b ]-1|，其中 Pr[ b '= b ]表示 b '= b 的概率。

定義2 一個(gè)多CSP環(huán)境下的 SUKRMCS系統(tǒng)在自適應(yīng)選擇密文攻擊下是安全的，如果任何多項(xiàng)式時(shí)間算法攻擊者在 IND-SUKRMCS-CCA2游戲中獲勝的概率最多具備一個(gè)可忽略的優(yōu)勢(shì)。

4 多 CSP用戶密鑰撤銷方案具體構(gòu)造與性能分析

4.1 具體構(gòu)造

多 CSP用戶密鑰撤銷方案涉及 4方實(shí)體，源CSP、接受 CSP、用戶和授權(quán)者。具體構(gòu)造包括 7個(gè)階段：用戶密鑰撤銷系統(tǒng)建立、接受CSP數(shù)據(jù)加密服務(wù)、授權(quán)者環(huán)簽名私鑰生成服務(wù)、用戶簽名服務(wù)、源CSP驗(yàn)證服務(wù)、用戶解密服務(wù)及授權(quán)者撤銷密鑰服務(wù)。

4.1.1 用戶密鑰撤銷系統(tǒng)建立階段 授權(quán)者管理環(huán)系統(tǒng)參數(shù)、密鑰生成環(huán)境的初始化，為其他服務(wù)運(yùn)行提供參數(shù)準(zhǔn)備。

第1步 定義含有d個(gè)點(diǎn)q（1）, q（2）,…,q（d）的d-1度多項(xiàng)式環(huán)上的拉格朗日插值公式Δj,φ（x），對(duì)?i∈Zp，假設(shè)φ是Zp中的d -元素集合；

第2步 定義多項(xiàng)式環(huán)R，授權(quán)者與用戶、源CSP和接受CSP構(gòu)造一個(gè)環(huán)R=ω1∪ ω2∪ …∪ ωn；

第 3步 setup（λ,R）算法初始化，給定λ,R，系統(tǒng)選擇G加法循環(huán)群、 GT乘法循環(huán)群，→兩個(gè)階均為素?cái)?shù) N =p1p2p3；雙線性映射e:G×GGT，生成元g∈G。設(shè)Ω={Ω1, Ω2, … , Ωd-1}一個(gè) d -1缺省屬性集合，滿足拉格朗日插值公式（1）；設(shè)U是通用屬性集合，且U=max；

第4步 系統(tǒng)選擇隨機(jī)數(shù) w ∈ZN和生成元g1∈G，計(jì)算 g2=gw和β= e （g1, g2）；第5步 定義密碼學(xué)哈希函數(shù) H1,H2,（0, 1）*:，用于密文不可區(qū)分以及屬性集到群 GT元素的映射；

第6步 系統(tǒng)選擇生成元 t1, t2,… , tmax∈G及隨機(jī)數(shù)a,b,c,q∈ ZN，計(jì)算C= gc, A0=, Aj=Bj=（?j ∈[m ax]）；

第7步 授權(quán)者屬性集ωa，系統(tǒng)選擇隨機(jī)數(shù)αi,yi∈ ZN，計(jì)算授權(quán)者公鑰 P Kωa={ e（g2, g2）αi,}、私鑰SKωa= {αi,yi}（?i） ；

第8步 系統(tǒng)發(fā)布系統(tǒng)參數(shù)GP={G,g,g1, g2,β,H1, H2,A0, … ,Amax, B1, … ,Bmax,C}，保存環(huán)主密鑰MSK=（a,b,c,q）。

4.1.2 接受CSP數(shù)據(jù)加密服務(wù)階段 接受CSP定義密文訪問(wèn)結(jié)構(gòu)（A,ρ），A是單調(diào)張成算法矩陣，ρ為矩陣行映射到用戶屬性集ωu。接受CSP利用（A, ρ）,R,GP和 P Kωa加密M輸出密文CT。

第 1 步 Encrypt（R,M,（A,ρ）,GP,{ P Kωa}）算法初始化，（A,ρ）為n×l行列式；

第2步 定義多項(xiàng)式 QR（0）= Qθ（n×l）（A） ，設(shè) dR表示 QR的度， kR表示環(huán)內(nèi)的成員數(shù)， dR=kR-1；

第3步 系統(tǒng)選擇隨機(jī)數(shù)s∈ ZN且 QR（0）=s；選擇隨機(jī)矢量 w , v ∈，設(shè)ρ表示θ?ω為矩陣第ω行，r表示θ?v為矩陣第v列。系統(tǒng)計(jì)算密文為

第 4 步 系統(tǒng)選擇隨機(jī)數(shù) f ∈ZN，計(jì)算哈希值C'= H2（R||C T0||C T1||C T2||C T3|| f ）H1（ Ω || dR），輸出密文CT={R,C T0,CT1,CT2,CT3,C'}。

4.1.3 授權(quán)者密鑰生成服務(wù)階段 授權(quán)者為用戶生成簽名私鑰，用于向源CSP驗(yàn)證真實(shí)屬性，訪問(wèn)接受CSP的密文數(shù)據(jù)服務(wù)。

第1步 算法Keygen（R,GP,ωa,ωu,MSK）初始化，系統(tǒng)驗(yàn)證ωu?R且Qωu（A）=0；

第2步 系統(tǒng)選擇隨機(jī)數(shù) w ∈ZN，選擇d-1次數(shù)多項(xiàng)式 QR使得 QR（0 ） = w ，滿足拉格朗日插值公式（1）；擴(kuò)展新屬性集?ωu=ωu∪Ω，對(duì)?j∈φ選擇隨機(jī)數(shù) d ,z,rj∈ ZN，系統(tǒng)計(jì)算

系統(tǒng)計(jì)算S?ωu=（d d0, d1） （?i,j∈ φ ）。 ←

第3步 設(shè)屬性集A∈R，選擇生成元KG，系統(tǒng)計(jì)算

第4步 設(shè) S0= K0且 S1= Kωa,R,?ωuKt，輸出用戶環(huán)簽名私鑰 S?ωu=（S0,S1） （? j ∈ ?ωu,t∈A且t≤n）。

4.1.4 用戶簽名服務(wù)階段 用戶映射屬性信息為矩陣變量，向源CSP認(rèn)證擴(kuò)展屬性簽名消息。

第1步 Signature（GP,R,M,S?ωu,ωu,A）算法初始化，源CSP公鑰為GP，用戶和源CSP通過(guò)安全通道交換密鑰；

第 2步 系統(tǒng)選擇 d個(gè)元素 εd={ ε1,… ,εf}∈{Amax}，選∪擇d個(gè)元素εd'={εd+1,…, ε2d}∈{ Bmax}且（{Amax}{ Bmax}）?Ω；均滿足 d - 1 度多項(xiàng)式（A）且（0）=0；

第3步 設(shè)θ（A）=1,A ∈ （A）l×t,θ:[l]；設(shè)δ=H2（R ‖ M ‖ θ ），系統(tǒng)計(jì)算用戶屬性映射為矩陣變量

第4步 隨機(jī)選擇 ? f ∈ ZN且1≤f≤d，設(shè)用戶簽名為 ? 包括 4部分即 ? = { ?f1, ?f2,?f3,U}1≤f≤d；系統(tǒng)分別計(jì)算。

系統(tǒng)輸出?并傳遞給源CSP。

4.1.5 源CSP驗(yàn)證簽名服務(wù)階段 源CSP驗(yàn)證用戶環(huán)簽名的真實(shí)性、有效性和環(huán)內(nèi)成員，源CSP無(wú)法獲得用戶的任何屬性信息。

第 1步 Verify（R,?,M,A,GP）算法初始化，驗(yàn)證消息M和ω︿u簽名?的真實(shí)性與有效性，系統(tǒng)計(jì)算

式（18）成立，用戶環(huán)簽名是真實(shí)的且有效；

第2步 驗(yàn)證用戶來(lái)自環(huán)內(nèi)成員，系統(tǒng)計(jì)算

式（19）成立，用戶完整屬性屬于環(huán) R，環(huán)成員是真實(shí)的；

第3步 用戶簽名不是偽造的，系統(tǒng)計(jì)算

式（20）成立，用戶簽名不是偽造的。式（18）～式（20）均成立，系統(tǒng)輸出“True”傳遞給接受CSP，用戶可以訪問(wèn)密文服務(wù)。

4.1.6 用戶解密服務(wù)階段 用戶通過(guò)源CSP驗(yàn)證，作為環(huán)內(nèi)成員訪問(wèn)接受 CSP密文服務(wù)，接受 CSP無(wú)法獲得用戶的任何屬性信息；非法用戶共謀無(wú)法解密密文。

第 1步 算法 Decrypt（CT,GP,R,SK）初始化，系統(tǒng)計(jì)算密文可解性

式（21）成立，密文是可解密的；

第2步 系統(tǒng)選擇隨機(jī)數(shù) t ∈ ZN, ∑xtA=（1,0,…,0），矩陣 A 的ω （1,0,…,0）=s，列 r.（1,0,…,0） =0，系統(tǒng)計(jì)算

解密得明文 M = CT0/e（g1, g1）s且密文不可區(qū)分；

第3步 系統(tǒng)計(jì)算

第4步 系統(tǒng)計(jì)算

式（21）～式（24）成立，用戶組合屬性共謀無(wú)法解密密文。

4.1.7 授權(quán)者撤銷密鑰服務(wù)階段 用戶解密密文后，

授權(quán)者自動(dòng)撤銷用戶私鑰，并且不泄露用戶任何屬性信息。

第 1 步 撤銷算法Revoke（R,ωs,GP）初始化。從環(huán)R中撤銷用戶ωu部分屬性，定義ωu屬性子集和ωs屬性個(gè)數(shù)滿足（k,n）門限保密方案[23]；定義R的屬性子集R'，使得 R '= R -；

第 2步 基于R'計(jì)算 C '=H2（ R',CT0, CT1, CT2,CT3），基于新C'輸出重加密密文 CT={ R ',CT0,CT1, CT2, CT3,C',}；

第 3步 系統(tǒng)計(jì)算 Keygen（R',GP, ωa,,MSK）用戶私鑰 Dω'u'，用戶無(wú)法通過(guò)源CSP驗(yàn)證不能解密密文；

第 4 步 系統(tǒng)計(jì)算

用戶解密密文后，密鑰被撤銷得到驗(yàn)證。

4.2 性能分析

本文方案授權(quán)者、CSP和用戶之間通信成本來(lái)自于系統(tǒng)參數(shù)、密鑰、簽名和密文，設(shè)N表示 ZN元素規(guī)模，g,gT表示G,GT元素規(guī)模， nu為用戶總數(shù)，nr為屬性總數(shù)，與文獻(xiàn)[13,15]比較如表1所示。計(jì)算成本與DBDH困難性假設(shè)相關(guān)，設(shè) Ha為哈希計(jì)算， Pa為雙線性對(duì)計(jì)算，T為單調(diào)張成矩陣指數(shù)計(jì)算，Exp為群指數(shù)運(yùn)算；在標(biāo)準(zhǔn)模型下，本文系統(tǒng)指數(shù)運(yùn)算、哈希運(yùn)算與密文規(guī)模成本優(yōu)于文獻(xiàn)[13]和文獻(xiàn)[15]方案，見(jiàn)表2。

計(jì)算時(shí)間實(shí)驗(yàn)環(huán)境，基于AMD A6-3650主頻2.6 Ghz Hadoop云服務(wù)器，RedHat Linux和8 G內(nèi)存，利用版本號(hào)為0.5.14的密碼庫(kù)（Pairing-Based Crypt-ography），利用對(duì)稱橢圓曲線基域規(guī)模為1024位、植入度為1的-α曲線，并且-α曲線有256位長(zhǎng)素?cái)?shù)P，明文規(guī)模為512 kB。計(jì)算時(shí)間與環(huán)和用戶數(shù)量成正比，與文獻(xiàn)[13]和文獻(xiàn)[15]比較結(jié)果如圖2所示，計(jì)算時(shí)間增長(zhǎng)率小。計(jì)算效率包括計(jì)算時(shí)間和計(jì)算成本，比較通信成本和計(jì)算效率兩個(gè)方面，本文系統(tǒng)主要在通信成本、哈希運(yùn)算和密文規(guī)模優(yōu)于文獻(xiàn)[13]和文獻(xiàn)[15]方案。

表1 通信成本比較

表2 計(jì)算成本比較

圖2 計(jì)算時(shí)間比較

5 結(jié)束語(yǔ)

用戶密鑰撤銷是多CSP服務(wù)用戶權(quán)限更新焦點(diǎn)，DIMF是重要的身份管理基礎(chǔ)設(shè)施。以DIMF為基礎(chǔ)的環(huán)簽名用戶密鑰撤銷系統(tǒng)，通過(guò)擴(kuò)展屬性環(huán)簽名、單調(diào)張成矩陣與多授權(quán)機(jī)制，實(shí)現(xiàn)擴(kuò)展屬性集的密鑰生成與用戶屬性映射為矩陣策略訪問(wèn)樹；通過(guò)融合擴(kuò)展CP-ABE、單調(diào)張成矩陣、撤銷環(huán)，實(shí)現(xiàn)無(wú)用戶屬性信息泄露的簽名驗(yàn)證與密文訪問(wèn)，以及密文不可偽造與用戶環(huán)成員真實(shí)性證明；利用單調(diào)張成矩陣與CP-ABE訪問(wèn)控制機(jī)制，撤銷屬性失效解密私鑰，達(dá)到不影響共享屬性用戶訪問(wèn)；對(duì)用戶和環(huán)屬性重構(gòu)，抵制用戶簽名私鑰重放與共謀獲得訪問(wèn)權(quán)限。在標(biāo)準(zhǔn)模型下，系統(tǒng)簡(jiǎn)化了運(yùn)算規(guī)模與存儲(chǔ)規(guī)模的復(fù)雜度，如何提高環(huán)指數(shù)運(yùn)算效率需要進(jìn)一步深入研究。

[1] Buyya R, Ranjan R, and Calheiros N R. InterCloud: utilityoriented federation of cloud computing environments for scaling of application services[C]. Proceedings of Algorithms and Architectures for Parallel Processing, Berlin, 2010:13-31.

[2] Alliance C S. The notorious nine cloud computing top threats in 2013[OL]. http://cloudsecurityalliance.org/research/top threats, 2013.9.

[3] 李拴保, 傅建明, 張煥國(guó). 環(huán)境下基于環(huán)簽密的用戶身份屬性保護(hù)方案[J]. 通信學(xué)報(bào)，2014, 35（9）: 99-111.Li Shuan-bao, Fu Jian-ming, and Zhang Huan-guo. Scheme on user identity attribute preserving based on ring signcryption for cloud computing[J]. Journal on Communications, 2014, 35（9）: 99-111.

[4] 馮登國(guó), 張敏, 楊妍妍. 云計(jì)算安全研究[J]. 軟件學(xué)報(bào), 2011,22（1）: 71-83.Feng Deng-guo, Zhang Min, and Yang Yan-yan. Study on cloud computing security[J]. Journal of Software, 2011, 22（1）:71-83.

[5] Liu D Y W, Liu J K, and Mu Y. Revocable ring signature[J].Journal of Computer Science and Technology, 2007, 12（6）:785-794.

[6] Chuang I-hsun and Li Syuan-hao. An effective privacy protection scheme for cloud computing[C]. Proceedings of Advanced Communication Technology, Gangwon-Do, 2011:260-265.

[7] Wang Guo-jun and Liu Qin. Hierarchical attribute-based encryption for fine-grained access control in cloud storage services[C]. Proceedings of Computer and Communications Security, Pairs, 2010: 735-737.

[8] Sherman S M C and He Yi-jun. Simple privacy-preserving identity-management for cloud environment[C]. Proceedings of Applied Cryptography and Network Necurity, Berlin, 2012:526-543.

[9] Mao Shao-wu and Zhang Huan-guo. A resistant quantum key exchange protocol and its corresponding encryption scheme[J]. China Communications, 2014, 11（9）: 12-23.

[10] 張倩穎, 馮登國(guó), 趙世軍. 基于可信芯片的平臺(tái)身份證明方案研究[J]. 通信學(xué)報(bào)，2014, 35（8）: 95-106.Zhang Qian-ying, Feng Deng-guo, and Zhao Shi-jun.Research of platform identity attestation based on trusted chip[J]. Journal on Communications, 2014, 35（8）: 95-106.

[11] 馮登國(guó), 張敏, 李昊. 大數(shù)據(jù)隱私與安全保護(hù)[J]. 計(jì)算機(jī)學(xué)報(bào),2014, 37（1）: 246-258.Feng Den-guo, Zhang Min, and Li Hao. Big data privacy and security protection[J]. Journal of Computer, 2014, 37（1）:246-258.

[12] Yu Shu-cheng and Wang Cong. Achieving secure, scalable,and fine-grained data access control in cloud computing[C].Proceedings of Computer Communications, Pairs, 2010b:15-19.

[13] Yu Shu-cheng and Wang Cong. Attribute based data sharing with attribute revocation[C]. Proceedings of Information,Computer and Communications Security, Pairs, 2010a:261-270.

[14] Dalia K. Attribute based group signature with revocation[OL]. http://eprint.iacr.org/2007/241.pdf, 2007.6.

[15] Wang Guo-jun and Liu Qin. Hierarchical attribute-based encryption and scalable user revocation for sharing data in cloud servers[J]. Computers &Security, 2011, 30（3）: 320-331.[16] Wei Li-fei and Zhu Hao-jin. Security and privacy for storage and computation in cloud computing[J]. Information Sciences, 2014, 258: 371-386.

[17] Adeela W and Asad R. A framework for preservation of cloud users’ data privacy using dynamic reconstruction of metadata[J]. Journal of Network and Computer Applications, 2013,36（2）: 235-248.

[18] Dan B and Matt F. Identity-based encryption from the weil pairing[C]. Proceedings of Cryptology, Berlin, 2001: 213-229.

[19] Zhang Yan, Feng Deng-guo, and Zhang Zheng-feng. On the security of an efficient attribute-based signature[C].Proceedings of Network and System Security, Berlin, 2013:381-392.

[20] Jin Li and Kwangjo. Attribute based ring signatures[OL].http:// eprint.iacr.org/2008/394.pdf, 2008.6.

[21] Lewko A and Waters B. Decentralizing attribute-based encryption[C]. Proceedings of EUROCRYPT, Paterson, 2011:568-588.

[22] Bethencourt J, Sahai A, and Waters B. Ciphertext-policy attribute-based encryption[C]. Proceedings of the IEEE Security and Privacy, Paris, 2007: 321-334.

[23] Shamir A. How to share secret[J]. Communication of Association for Computing Machinery, 2002, 40（11）: 612-613.