一種面向云存儲(chǔ)的高效動(dòng)態(tài)密文訪問控制方法的安全性分析與改進(jìn)

莫樂群　李　鋒　郭庚麒

1(廣東交通職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程學(xué)院　廣東 廣州 510650)2(暨南大學(xué)管理學(xué)院　廣東 廣州 510632)

?

一種面向云存儲(chǔ)的高效動(dòng)態(tài)密文訪問控制方法的安全性分析與改進(jìn)

莫樂群1,2李鋒1郭庚麒1

1(廣東交通職業(yè)技術(shù)學(xué)院計(jì)算機(jī)工程學(xué)院廣東 廣州 510650)2(暨南大學(xué)管理學(xué)院廣東 廣州 510632)

摘要為解決云計(jì)算環(huán)境下文件共享的安全問題，Hong等人[1]提出了一種基于CP-ABE(Ciphertext-policy attributed-based encrtption)密文策略的動(dòng)態(tài)密文訪問控制方法HCRE，將訪問控制結(jié)構(gòu)轉(zhuǎn)移到云端，實(shí)現(xiàn)高效的共享訪問控制。針對該方案在用戶訪問權(quán)限撤銷過程中存在嚴(yán)重的安全漏洞，通過給出實(shí)際的攻擊案例不但指出該漏洞所在，而且分析其成因，并結(jié)合代理重加密提出一種新的改進(jìn)方案。其在繼承HCRE方案優(yōu)點(diǎn)的同時(shí)，還彌補(bǔ)了安全漏洞，且在權(quán)限撤銷階段更具效率。

關(guān)鍵詞密碼學(xué)云存儲(chǔ)動(dòng)態(tài)密文訪問控制基于屬性的密文策略

0引言

最近幾年，云存儲(chǔ)技術(shù)得到極大的發(fā)展及應(yīng)用，已經(jīng)成為云計(jì)算環(huán)境下最重要的服務(wù)模式之一。用戶可以將本地?cái)?shù)據(jù)轉(zhuǎn)移到云中，不但節(jié)省了大量的本地存儲(chǔ)成本，而且只要能連接到互聯(lián)網(wǎng)就能隨時(shí)隨地存取數(shù)據(jù)，極大地方便用戶的各種共享應(yīng)用。如計(jì)算機(jī)之間，或其與手機(jī)、平板等移動(dòng)設(shè)備之間的數(shù)據(jù)共享，因此得到了用戶廣泛的支持。但是云存儲(chǔ)技術(shù)在不斷推廣應(yīng)用的過程中，也遇到了新的安全問題：若多個(gè)用戶進(jìn)行相互數(shù)據(jù)共享，云計(jì)算中心如何向用戶保證其數(shù)據(jù)不會(huì)被非法訪問。

訪問控制是保護(hù)用戶數(shù)據(jù)最直接有效的手段，但在云存儲(chǔ)體系中，用戶無法通過云服務(wù)商(CSP)的服務(wù)器端設(shè)置數(shù)據(jù)資源的訪問控制模型以保證個(gè)人數(shù)據(jù)的安全性。因此只有通過密文訪問控制技術(shù)才能真正在云計(jì)算環(huán)境下保證數(shù)據(jù)的機(jī)密性。

基于用戶屬性的加密方法的研究源于2005年，Sahai[2]等人在2005年提出了基于模糊身份的加密方法，并第一次引入了屬性的概念，其核心內(nèi)容是分別將密文與私鑰與一組屬性相關(guān)聯(lián)。當(dāng)這兩種的關(guān)聯(lián)屬性的相互匹配度超過某個(gè)閾值，用戶可以通過私鑰成功解密密文。而后，2006年Goyal等人在此基礎(chǔ)上進(jìn)一步提出了基于屬性的加密方案[3](ABE)，2007年在ABE的基礎(chǔ)上Bethencourt等人提出了一種密文訪問控制策略CP-ABE[4]。它通過建立屬性集對用戶做區(qū)分，每一個(gè)用戶與若干屬性相關(guān)聯(lián)，而密文則與訪問控制結(jié)構(gòu)相關(guān)聯(lián)，訪問控制結(jié)果由屬性樹構(gòu)成。因此一個(gè)用戶是否擁有數(shù)據(jù)的解密權(quán)限，取決于其身份屬性是否與訪問控制結(jié)構(gòu)上的屬性相匹配。由于CP-ABE較好地解決了私鑰分發(fā)頻率問題，因此許多云計(jì)算下的加密控制訪問方案都基于CP-ABE[5-8]，但在這些方案中普遍存在計(jì)算效率的問題，其計(jì)算時(shí)耗往往與用戶屬性數(shù)目及數(shù)據(jù)文件的大小成正比。此外不少基于CP-ABE的方案在屬性撤銷機(jī)制上也存在效率問題，如果要實(shí)現(xiàn)多用戶共享數(shù)據(jù)，這類的加密方案對于數(shù)據(jù)所有者(DO)來說是難以接受的。

結(jié)合重加密的思想，Hong等人[1]在2011年提出了一種基于CP-ABE的云端動(dòng)態(tài)加密共享方法HCRE。它通過使用對稱加密算法對共享文件進(jìn)行加密，并將用戶屬性與密鑰的解密操作相關(guān)聯(lián)，應(yīng)用CP-ABE做共享安全控制，有效地解決了文件共享時(shí)云端的計(jì)算效率問題。但該方案存在一個(gè)嚴(yán)重的安全漏洞，即若被撤權(quán)的用戶與某被授權(quán)用戶都具有某個(gè)屬性，則被撤權(quán)的用戶依然可以使用自己的私鑰解密所有DO新加密的密文。本文通過給出實(shí)際的攻擊案例證明了這一點(diǎn)，同時(shí)還指出了該安全漏洞的成因，并提出一種基于代理重加密的改進(jìn)方案。新方案不但彌補(bǔ)了HCRE的安全漏洞，而且在訪問權(quán)限撤銷階段降低了云端的計(jì)算工作量，顯著提高了共享的效率。

1預(yù)備知識(shí)

1.1CP-ABE[4]

基于屬性的密文策略由以下訪問控制樹及四個(gè)算法構(gòu)成：

? Access Tree T設(shè)P={P1,P2,…,Pn}為屬性全集，且除空集{?}外，T的所有葉子集合均為其子集，而T的所有非葉子節(jié)點(diǎn)分別代表與及或的關(guān)系，并通過閾值kx來表示該關(guān)系，如果kx=1表示子節(jié)點(diǎn)存在或關(guān)系，否則表示包含個(gè)kx子節(jié)點(diǎn)的與關(guān)系；

? Setup算法生成主密鑰MK以及其他公開的參數(shù)；

? Encrypt(PK, M, T)→CT根據(jù)輸入的用戶公鑰PK及訪問控制樹T，算法把明文M加密成密文CT；

? KeyGen(MK, S)→SKS根據(jù)系統(tǒng)主密鑰key MK及輸入的用戶屬性集S，算法生成與屬性集S相關(guān)用戶私鑰SKs；

? Decrypt(CTT, SKS)→M根據(jù)輸入的與訪問控制樹T相關(guān)的密文CT以及與屬性集S相關(guān)用戶私鑰SK，算法解密出明文M或輸出錯(cuò)誤標(biāo)記⊥。

1.2雙線性映射

設(shè)G1和G2為2個(gè)大素?cái)?shù)階p的循環(huán)群，存在一個(gè)雙線性映射e：G1×G1→G2，滿足以下特性：

? 非退化性: 存在g1,g2∈G1使得e(g1,g2)≠1G2，其中1G2為群組G2的標(biāo)識(shí)；

? 可計(jì)算性: 存在一個(gè)有效算法計(jì)算e(g1,g2)，其中?g1,g2∈G1。

1.3代理重加密

在1998年的歐洲密碼學(xué)會(huì)議上，Blaze等人[9]提出了一個(gè)對現(xiàn)今密碼學(xué)研究影響非常大的概念，代理重加密PRE。在標(biāo)準(zhǔn)的PRE體系下，Alice可以授權(quán)Bob通過代理服務(wù)器解密發(fā)給她的密文。在該過程中，Alice只需要在代理服務(wù)器上設(shè)置重加密密鑰就可以將使用其公鑰進(jìn)行加密的密文轉(zhuǎn)換為使用Bob公鑰進(jìn)行加密的密文，并且不會(huì)暴露任何關(guān)于明文及其私鑰的信息。

2HCRE方案的介紹[1]

本節(jié)描述了HCRE方案訪問控制結(jié)構(gòu)，密文策略及方案實(shí)施的過程步驟，其中的訪問控制結(jié)構(gòu)是基于CP-ABE做出的變換，并且其密文策略也稱為SCP-ABE。

2.1HCRE的訪問控制結(jié)構(gòu)

HCRE的訪問控制結(jié)構(gòu)SAS(Simple Access Structure)是一個(gè)用于表示and與or關(guān)系的樹形結(jié)構(gòu)，其中root節(jié)點(diǎn)表示析取關(guān)系；非葉子節(jié)點(diǎn)表示合取關(guān)系，其子節(jié)點(diǎn)數(shù)不超過2；葉子節(jié)點(diǎn)為表示屬性的節(jié)點(diǎn)，并且SAS不支持非單調(diào)訪問控制結(jié)構(gòu)[10]。

HCRE采用了與Benaloh and Leichter[11]類似的秘密共享方案：

(1) root節(jié)點(diǎn)值為s；

(2) 若非葉子節(jié)點(diǎn)值為si，其左子節(jié)點(diǎn)的節(jié)點(diǎn)值為隨機(jī)數(shù)s′ ，其右子節(jié)點(diǎn)的節(jié)點(diǎn)值為si+s′。

2.2HCRE的密文策略SCP-ABE

SCP-ABE一共包含4個(gè)算法函數(shù)，結(jié)構(gòu)如下：

? KeyGen(w,MK)生成屬性集w所對應(yīng)的私鑰，方法如下：

? Encrypt(m,T,PK)根據(jù)訪問控制結(jié)構(gòu)T加密明文m，方法如下：

2.3HCRE的實(shí)施

2.3.1系統(tǒng)初始化

2.3.2共享文件創(chuàng)建

DO使用一足夠安全的對稱加密算法Enc加密共享文件f，得到Cf=(Enc(f,kf),Sig(Enc(f,kf)))，其中對稱密鑰為kf,Sig為簽名算法；然后根據(jù)SCP-ABE以DO屬性a0對kf做加密，即Ck=Encrypt(kf,a0,PK)；最后DO將Cf和Ck發(fā)送給CSP。

2.3.3共享授權(quán)

2.3.4文件訪問

2.3.5撤權(quán)操作

C(1)′=C(1)·gβ(s′-s)

C(3)′=?ai∈YT′:C(3)·gs′-s

(1)

C(4)′=?ai∈YT′:C(4)·xis′-s

(2)

3HCRE方案的分析

本節(jié)描述了HCRE存在的一個(gè)安全漏洞，即用戶被撤權(quán)后，若SAS中的對應(yīng)屬性值未被刪除，則被撤權(quán)用戶可以通過對新舊密文進(jìn)行對比分析，獲取新的共享文件加解密密鑰，并分析其中的原因。

3.1用戶被撤權(quán)后的攻擊實(shí)例

圖1　權(quán)限撤銷示圖

作為敵手，被撤權(quán)用戶u的私鑰為SKPu并且具有被撤權(quán)前的明文密文Ck，它們分別為：

Ck={C(1)=gβs,C(2)=kf·e(g,g)αs

3.2漏洞成因

上述攻擊之所以能夠成功實(shí)施，主要原因有以下兩點(diǎn)：

(1) 在HCRE方案中，撤權(quán)時(shí)密文的重加密過程存在即定的運(yùn)算規(guī)律，本應(yīng)該完全獨(dú)立的訪問控制結(jié)構(gòu)中的文件共享閾值s及s′在權(quán)限撤銷過程中出現(xiàn)了關(guān)聯(lián)，即DO在權(quán)限撤銷階段需要使用關(guān)于s′-s的表達(dá)式消去原密文中的閾值s。而敵手卻可以利用該運(yùn)算規(guī)律可以構(gòu)造出含有共享閾值s及s′的表達(dá)式，通過這些表達(dá)式，利用所擁有的私鑰就可以破解密文。此外，CSP在文件訪問過程中沒有對用戶的權(quán)限情況進(jìn)行檢測，僅通過判定用戶屬性集是否滿足訪問控制結(jié)構(gòu)來進(jìn)行密文的發(fā)放，而屬性本身具有重復(fù)的特性，如(大學(xué)，老師)、(大學(xué)，學(xué)生)與(中學(xué)，老師)，因此在云計(jì)算環(huán)境下對用戶進(jìn)行權(quán)限撤銷操作后，在密文中依然保留用戶屬性信息的情況是很可能發(fā)生的。

(2) 在云計(jì)算環(huán)境下，通過會(huì)話劫持、路由劫持、DNS劫持等手段實(shí)現(xiàn)用戶身份的冒充是目前網(wǎng)絡(luò)攻擊的主要手段之一，相關(guān)的黑客工具在網(wǎng)絡(luò)上輕而易舉地就可以下載。因此冒充合法用戶獲取密文并不是一件很困難的事情，被撤權(quán)用戶通過該類方式獲取新密文的可能性很高。

4新的改進(jìn)方案

本節(jié)描述了在繼續(xù)沿用SAS簡單權(quán)限結(jié)構(gòu)的基礎(chǔ)上的一種新的改進(jìn)方案，該方案不但能抵御上面的攻擊行為，而且還繼承了HCRE方案的優(yōu)點(diǎn)。

4.1新的加解密算法

? KeyGen(w,MK)生成屬性集w所對應(yīng)的公私密鑰對并公布公鑰，方法如下：

? Re-KeyGen(SKi,PKw)輸入屬性i的私鑰及屬性集合w的公鑰，輸出重加密密鑰：

? Encrypt(m,T,PKi)根據(jù)訪問控制結(jié)構(gòu)T，使用某一屬性值i的公鑰PKi將明文m加密為CTT={CT(1),CT(2),CT(3),CT(4),CT(5)}，方法如下，隨機(jī)選取σ：

CT(3)=e(g1,g1)βαm·e(g,g)αs,

其中YT為T的葉子節(jié)點(diǎn)對應(yīng)的屬性集，s為共享門限值，si為葉子節(jié)點(diǎn)的節(jié)點(diǎn)值。

對于?aj∈w，若rki,j不存在，輸出⊥，否則計(jì)算：

對于?aj∈YT，計(jì)算：

若w滿足T，則可以計(jì)算得到e(g,g)rs，最后得到明文m：

(3)

4.2新的動(dòng)態(tài)密文共享方案

4.2.1初始化

4.2.2文件的存儲(chǔ)加密

DO首先隨機(jī)生成密鑰kf，并對原始文件f進(jìn)行對稱加密，得到密文Cf=Enc(f,kf)(這里的Enc是一種足夠安全對稱加密算法，例如AES)。然后使用自身屬性a0及其對應(yīng)的公鑰PK0加密kf，得到密鑰密文Ck=Encrypt(kf,Ta0,PK0)，其中Ta0為屬性a0對應(yīng)的訪問控制結(jié)構(gòu)，最后將Cf及Ck一起發(fā)送到CSP。

4.2.3授權(quán)操作

DO根據(jù)實(shí)際需要以及被授權(quán)者的屬性，將密文訪問權(quán)限一次賦予一個(gè)或者多個(gè)被授權(quán)者。設(shè)被授權(quán)者屬性集為Pu，其對應(yīng)的訪問控制結(jié)構(gòu)為Tu，f的當(dāng)前訪問控制樹為Tf，DO的授權(quán)過程如下：

4.2.4存儲(chǔ)訪問

4.2.5權(quán)限撤銷

設(shè)文件f的訪問屬性結(jié)構(gòu)為Tf，現(xiàn)DO需要撤銷用戶u(屬性結(jié)構(gòu)為Tu)對f訪問的權(quán)限，可通過以下方法實(shí)現(xiàn)：

4.3新方案的安全性分析

4.4性能對比分析

新方案與HCRE效率對比如表1所示。新方案不但繼承了HCRE方案在文件訪問授權(quán)時(shí)高效的特點(diǎn)，而且在撤權(quán)操作過程使用隨機(jī)數(shù)做重加密更新，從而無需對整個(gè)SAS結(jié)構(gòu)作重新共享賦值，使得CSP在撤權(quán)時(shí)的無需像HCRE方案一樣對密文中與訪問控制結(jié)構(gòu)樹相關(guān)的部分進(jìn)行密文值重計(jì)算，即式(1)、式(2)的計(jì)算，提高了該階段的計(jì)算效率。

表1　權(quán)限管理的時(shí)間復(fù)雜度比較

注：Y表示共享文件的訪問控制結(jié)構(gòu)的大小，A表示被授權(quán)/撤權(quán)用戶的屬性數(shù)目，F(xiàn)表示文件的大小，一般情況下，Y>>A

5結(jié)語

在現(xiàn)今的互聯(lián)網(wǎng)中，冒充、盜用合法用戶身份的網(wǎng)絡(luò)攻擊屢見不鮮。本文通過給出一個(gè)冒充合法用戶的攻擊例子，指出了HCRE方案在共享權(quán)限撤銷過程中存在安全漏洞，即若被撤權(quán)的用戶屬性相關(guān)信息未被刪除，則其可以通過冒充合法用戶的方法獲取密文，進(jìn)而利用所擁有的私鑰解開DO所有新加密的密文。此外，在分析該漏洞的形成原因的基礎(chǔ)上，還提出了一種新的改進(jìn)方案，該方案不但可以抵御上述的基于新舊密文分析的攻擊，而且繼承了HCRE方案在授權(quán)訪問過程中的高效特點(diǎn)，并在權(quán)限撤銷階段有比HCRE方案更好的數(shù)據(jù)處理效率。

參考文獻(xiàn)

[1] 洪澄,張敏,馮登國.面向云存儲(chǔ)的高效動(dòng)態(tài)密文訪問控制方法[J].通信學(xué)報(bào),2011,32(7):125-132.

[2] Sahai A,Waters B.Fuzzy indentity-based encryption[C]//Proceedings of EUROCRYPT Berlin,2005.

[3] Goyal V,Pandey O,Sahai A,et al.Attribute-based encryption for fine-grained access control of encrypted data[C]//Proc.of the 13thACM Conference on Computer and Communications Security New York,USA,2006.

[4] Bethencourt J,Sahai A,Waters B.Ciphertext-policy attribute-based encryption[C]//Proceedings of 2007 IEEE Symposium on Security and Privacy Berkeley,USA,2007.

[5] 孫國梓,董宇,李云.基于CP-ABE 算法的云存儲(chǔ)數(shù)據(jù)訪問控制[J].通信學(xué)報(bào),2011,32(7):146-152.

[6] Malek B,Miri A.Combining attribute-based and access systems[C]//Proceedings of 12thIEEE int’l Conf on Computational Science and Engineering Vancouver,Cannada,2009.

[7] 張浩軍,范學(xué)輝.一種基于可信第三方的CP-ABE云存儲(chǔ)訪問控制[J].武漢大學(xué)學(xué)報(bào):理學(xué)版,2013,59(2):153-158.

[8] Luan I,Muhammad A,Milan P.An encryption scheme for a secure policy updating[C]//Proc.of International Conference on Security and Cryptography Athens,Greece,2010.

[9] Blaze M,Bleumer G,Strauss M.Divertible protocols and atomic proxy cryptography[C]//advances in Cryptology-Eurocrypt,1998:127-144.

[10] Ostrovsky R,Sahai A,Waters B.Attribute-based encryption with non-monotonic access structures[C]//Proc. of the 14th ACM Conference on Computer and Communications Security New York,USA,2007.

[11] Benaloh J,Leichter J.Generalized Secret Sharing and Monotone Functions[M].Springer-Verlag,1990.

[12] Cheung L,Newport C.Provably secure ciphertext policy ABE[C]//Proc.of the ACM Conf. on Computer and Communications Security New York:ACM Press,2007:456-465.

SECURITY ANALYSIS OF EFFICIENT DYNAMIC CRYPTOGRAPHIC ACCESS CONTROL AND ITS IMPROVEMENT FOR CLOUD STORAGE

Mo Lequn1,2Li Feng1Guo Gengqi1

1(SchoolofComputerEngineering,GuangdongCommunicationPolytechnic,Guangzhou510650,Guangdong,China)2(SchoolofManagement,JinanUniversity,Guangzhou510632,Guangdong,China)

AbstractTo solve security problem of file sharing in cloud computing environment, Hong et al.[1]proposed a CP-ABE ciphertext strategy-based dynamic cryptographic access control method, named HCRE, it transfers the access control structure to cloud side, and achieves efficient sharing access control. But in the process of revoking user’s access privileges, HCRE has serious security vulnerability. In light of this, by giving the actual attack case we point out where the vulnerability is, and analyse the causes of it as well, furthermore we propose an improved scheme in combination with the proxy re-encryption. While inheriting the advantages of HCRE, it also makes up the security vulnerabilities, and is more efficient in the process of revoking privileges.

KeywordsCryptographyCloud storageDynamic cryptographic access controlCiphertext-policy attribute-based encryption

收稿日期：2014-12-02。國家自然科學(xué)基金項(xiàng)目(61272415，6127 2413，61133014)；廣東省教育科研“十二五”規(guī)劃2013年度研究項(xiàng)目(2013JK213)；廣東省高等職業(yè)技術(shù)教學(xué)研究會(huì)重點(diǎn)課題(GDGZ14Y0 95)。莫樂群，副教授，主研領(lǐng)域：信息系統(tǒng)及信息安全。李鋒，講師。郭庚麒，教授。

中圖分類號TP309

文獻(xiàn)標(biāo)識(shí)碼A

DOI:10.3969/j.issn.1000-386x.2016.05.080