面向物流數據共享的可撤銷屬性加密方案

關鍵詞：物流數據共享；屬性基加密；多值決策圖；用戶分級訪問；屬性撤銷中圖分類號：TP309.7 文獻標志碼：A 文章編號：1001-3695（2025）07-032-2161-07doi：10.19734/j.issn.1001-3695.2024.10.0435

Abstract：Intheinformation-drivenera，datais givenhighervalueandbecomesoneof thekeyfactorsdrivingthedevelopmentofvarious industries.Toadressthedatasecurityissues inlogisticsdatasharing，this paper proposedaciphertext-policy atribute-based encryption（CP-ABE）scheme basedonan MDDaccesstructure.This schemeutilized the characteristicsof the MDDaccesstructure to supportmulti-valued atributes.It alsoconstructedandapplied an MDDhierarchical access structurethatsuppotedhierarchicaluseraccss，ailoredtothefeaturesoflogisticsenterprises.Inaddition，consideringthemobilityofpersonnelinlogisticscompanies，theschemeprovidedfine-grainedatributerevocationfunctionalitySecurityanalysis proves that the proposed scheme canresist chosen plaintext atacks.Theoreticalanalysisshows that，compared to related schemes，theproposedscheme’sperformance inprivatekeygenerationandciphertextdeeryptionisnotaffectedbythe sizeof theuseratributeset.Experimental analysisshowsthatthekeygenerationtimeanddecryptiontimeof theschemeareconstant andlowerthanthoseofotherschemes.Therefore，theproposedschemehashighercomputationaleficiencyandismoresuitable for the application scenario of hierarchical logistics data sharing.

Key Words：logisticsdatasharing；atribute-based encryption；multi-valueddecisiondiagram（MDD）；hierarchicaluseraccess；attributerevocation

0 引言

物流現代化是產業(yè)發(fā)展的關鍵趨勢之一。隨著新一代信息技術的發(fā)展，物流行業(yè)也通過信息化手段實現了迅速的發(fā)展。同時，在大數據時代下，數據的價值被進一步提升，成為新質生產力數字化發(fā)展的新要素[1]。這一趨勢使得物流信息系統(tǒng)中的數據共享變得至關重要，成為業(yè)務協作的核心要求。未來，隨著物聯網技術在物流行業(yè)的廣泛應用，將會產生大量數據。因此，數據共享將是物流行業(yè)發(fā)展的主要方向，只有數據共享才能推動物流行業(yè)的發(fā)展，并朝向智慧物流的目標邁進[3]。然而，物流行業(yè)中的數據不僅包含多個環(huán)節(jié)和多個主體，有些數據還涉及數據擁有者的核心利益[4]，導致海量高價值數據被限制在不同的系統(tǒng)和企業(yè)中，無法實現有效流通。因此，確保共享數據的安全性成為物流數據共享中亟待解決的問題。

屬性基加密（attributebased encryption，ABE）[5]概念首次提出于2005年。此后，研究者們基于這一概念發(fā)展出了密文策略屬性基加密（ciphertext-policyattributebasedencryption，CP-ABE）和密鉬策略屬性基加密（key-policy attribute based encryp-tion，KP-ABE）[6。在CP-ABE方案中，訪問策略被嵌入到密文中，并且數據使用者的屬性集合與其私鑰相關聯。只有當數據使用者的屬性滿足訪問策略時，才能解密相應的密文。CP-ABE方案為云環(huán)境中的“一對多”數據共享提供了一種安全的解決方案。因此，該方案更適用于云環(huán)境下物流數據共享的應用場景。

CP-ABE方案常用的訪問結構有多種，最早是由文獻[7]提出的支持與或及門限操作的訪問樹結構的方案構造。隨后，Waters[8]提出了基于線性秘密共享（linear secret sharingscheme，LSSS）結構的方案構造。然而，上述訪問結構在表達能力和實現過程中仍有優(yōu)化的空間。Zhang等人對訪問策略的表達方式進行了改進，提出使用多值決策圖（multi-valueddecisiondiagram，MDD）訪問結構。該結構支持對訪問策略使用多值屬性描述，具有更強的表達能力，并有效提高了密文解密的效率。在訪問樹結構的基礎上，Wang等人[10]提出一種高效的文件分層的CP-ABE方案。該方案通過整合多層訪問樹結構，使得滿足高層次節(jié)點訪問條件的用戶也能滿足低層次節(jié)點的訪問條件，并解密相應層次的相關文件。然而，該方案存在越權訪問的安全隱患。劉帥南等人[\"通過重新構造密文子項，構造了分級用戶訪問樹，并提出了一種支持用戶分級訪問的文件分層CP-ABE方案，有效解決了用戶越權訪問的問題。

在實際應用場景中，用戶的屬性可能發(fā)生變化，例如用戶撤銷、權限變更或屬性失效等情況。根據不同的屬性撤銷方式，現有屬性撤銷可以分為直接撤銷和間接撤銷。直接撤銷通過將撤銷列表嵌入密文來實現。直接撤銷的CP-ABE方案最早由文獻[12]提出，通過將被撤銷用戶的ID加入訪問結構來撤銷用戶的訪問權限。然而，該方案密文和用戶密鑰相對較長，進而造成解密時間開銷較大。相比于直接撤銷，間接撤銷通常需要定期發(fā)布更新信息，且多數方案要求同時更新密文和密鑰，導致計算開銷較大。

董國芳等人[13]提出了一種支持屬性撤銷的CP-ABE密鑰更新方法，顯著降低了屬性授權中心在密鑰更新過程中的計算開銷。然而，該方案要求屬性授權中心創(chuàng)建并維護用戶撤銷列表和屬性密鑰撤銷列表，導致屬性授權中心的存儲開銷增加。Tu等人[14]為解決用戶權限管理問題，引入了用戶屬性組的概念，其方案通過構造KEK樹（keyencryptingkeytree）尋找最小覆蓋子集，從而重新生成用戶屬性組密鑰，而非為每個未撤銷用戶單獨生成新密鑰。同時，通過讓云服務器執(zhí)行密文重加密，有效降低了用戶的計算開銷。Tan等人[15]提出了一種基于AT并支持非即時屬性撤銷和白盒追蹤的CP-ABE方案。然而，當系統(tǒng)中用戶數量較多時，追蹤列表中與用戶身份ID關聯的隨機參數可能會重復，從而導致追蹤失敗。Zeng等人[1設計了一種基于LSSS和合數階雙線性群的電子健康系統(tǒng)，通過將用戶身份ID直接用作解密密鑰的組成部分，以實現惡意用戶的追蹤。然而，該系統(tǒng)存在較高的計算開銷和冗余密文的問題。Liu 等人[17]構建了一種基于LSSS且支持黑盒追蹤的電子健康系統(tǒng)。在該系統(tǒng)中，為了追蹤解密設備的實體，“完全可信”的審計員需要執(zhí)行大量的雙線性配對操作，這增加了系統(tǒng)的計算負擔。

本文的主要貢獻如下：

a）在屬性加密過程中，使用MDD訪問結構取代傳統(tǒng)的訪問樹結構。MDD訪問結構能夠更好地表達多值屬性，并具有用戶私鑰大小保持恒定和解密效率高的優(yōu)點。

b）根據物流企業(yè)的特點構造了一種支持用戶分級訪問的MDD分級訪問結構，并將其應用于物流數據共享方案，不僅降低了密文存儲的空間，還保持了MDD訪問結構的優(yōu)點，在用戶私鑰生成與密文解密方面表現出更好的性能，更符合物流企業(yè)數據共享的實際應用場景。

c）針對物流企業(yè)人員流動頻繁的問題，本文方案還支持屬性撤銷的功能，能夠細粒度地撤銷屬性。在屬性撤銷后，仍能夠防止用戶的非法授權訪問。

1預備知識

1.1 雙線性映射

假設 G₀，G₁ 和 G_t 是兩個階為 P 的乘法循環(huán)群， ?_u，v 分別是G₀，G₁ 的生成元，則雙線性映射 e：G₀×G₀?G_t 滿足以下性質：

a）雙線性。對于 ?u，v∈G₀ ， ?a，b∈Z_p ，都有 e（u^a，v^b）=

e（u，v）ab

b）非退化性。 ?c∈G₀，e（c，c）≠1 。

c）可計算性。 ?u，v∈G₀ ，均可計算 e（u，v） O

上述雙線性映射 e：G₀×G₀?G_t 稱為對稱雙線性映射，若映射為 e：G₀×G₁?G_t ，則稱為非對稱雙線性映射。

1.2雙線性映射判定雙線性Diffie-HelIman（DBDH）假設

假設 e 是一個雙線性映射 e：G₀×G₀?G_t，G₀.G_t 為 P 階乘法循環(huán)群，隨機選擇 a，b，c，z∈Z_p，g 是 G₀ 的生成元。DBDH假設為：在概率多項式時間內，任何敵手均無法區(qū)分 （g^a，g^b，g^c ，e（g，g）^abc） 與 （g^a，g^b，g^c，e（g，g）^z） 兩個元組。定義敵手的優(yōu)勢為Adv_G0^DBDH（λ）=|Pr[Adv（g^a，g^b，g^c，e（g，g）^abc）=1]- Pr[Adv（g^a，g^b，g^c，e（g，g）^z=1]！

若 Adv_G0^DBDH（λ） 是不可忽略的，則認為 DBDH假設成立。

1.3 MDD訪問結構

多值決策圖（MDD）是一種有向無環(huán)圖，圖中每個非終端節(jié)點對應一個變量，并通過多條邊與其他節(jié)點相連，每條邊對應變量的一個特定取值。從根節(jié)點開始，路徑沿這些邊逐步延伸至終端節(jié)點，最終輸出決策結果。通常MDD由終端節(jié)點、非終端節(jié)點和邊組成，終端節(jié)點代表MDD的結果，若終端節(jié)點為1，則表示滿足MDD條件；反之，則不滿足。MDD訪問結構的具體實現如下。

假設系統(tǒng)中 n 是屬性的個數，屬性可以表示為集合 V= {V₁，V₂，…，V_n} ，其中每個屬性 V_i 都可以是多值的 V_i={V_i，0 V_i，1，…，V_i，ni} ， 1i，0=Non ，用于表示屬性 V_i 中不包含該屬性值， .n_i 表示屬性 V_i 中屬性值的個數。MDD則表示為MDD={id，i，V_i，ki，next_i，ki} id∈ID，1?i?n，0?k_i?n_i 。其中：ID 代表節(jié)點序號； id 為當前節(jié)點的序列號； i 是當前節(jié)點的屬性序號； V_i，ki 表示從當前節(jié)點出發(fā)的邊的屬性值； next_i，ki 表示屬性值 V_i，ki 對應的下一個節(jié)點的節(jié)點序列號;終端節(jié)點為0或1，僅用于表示訪問成功或訪問失敗。

具體示例，假設訪問數據需要滿足以下條件之一：a）派送部門所有員工，b）數據分析部門經理。可以構造的MDD訪問結構如圖1所示。

2 方案模型定義

2.1MDD分級訪問結構系統(tǒng)模型

在實際應用中，物流企業(yè)共享的多項數據通常呈現出層次性特征。然而傳統(tǒng)的CP-ABE方案在實現不同層次數據的加密時需要構建多個不同的訪問策略。這種方法中，不同層次的數據訪問策略可能包含重復的部分，從而導致加密和存儲效率低下。

在物流企業(yè)中，假設物流企業(yè)有派送和管理等部門，該企業(yè)需要共享多項數據，其中包括企業(yè)核心數據 M₁ 和業(yè)務相關數據 M₂ 。若采用MDD訪問結構來表達 M₁，M₂ 的訪問策略，則需要構造訪問結構 MDD₁ 和 MDD₂ 。而采用MDD分級訪問結構，則僅通過 MDD₃ 即可表達 M₁，M₂ 的訪問策略，如圖2所示。在CP-ABE方案中， M₁ 通過訪問結構 MDD₁ 加密， M₂ 通過訪問結構 MDD₂ 加密，產生密文 （204號R_tR₁} gt;和 ，其中 、C_Rt，i 為相應的密文子項， R₁，R₂ 分別為 MDD₁、MDD₂ 的有效路徑集合。如圖2所示，由于數據 M₁ 和 M₂ 具有層次性，訪問結構 MDD₁ 和 MDD₂ 之間也具有層次關系，如果用戶滿足 MDD₁ 則滿足 MDD₂ ，所以 R₁，R₂ 存在交集。這是由于物流企業(yè)不同部門對物流數據內容的需求存在差異，根據信息最小化原則，數據共享時會被分成不同層次或安全等級。不同部門和人員間，不同層次數據的交集較為顯著。通常，物流數據內容的分層較多，而物流企業(yè)網點分布廣泛、部門結構復雜，這將導致R₁，R₂ 的交集越大，重復加密的內容越多。然而使用 MDD₃ 作為訪問結構加密 M₁ 和 M₂ 則只需要產生密文 CT=?MDD C_1，t，C_2，t，{C_Pt，m|P_t∈P}?，P 為 R₁，R₂ 的并集。在實際場景中，物流企業(yè)由各地網點組成，規(guī)模較大，共享數據的層次劃分更為復雜，采用CP-ABE加密方案需要的存儲空間和計算時間也相應增加，而使用MDD分級訪問結構的CP-ABE方案則能在一定程度上解決這一問題。

本文方案根據物流企業(yè)多為金字塔型組織架構的特點以及物流數據層次性劃分的特征，將訪問結構 擴展為支持分級用戶訪問的結構 MDD₃ 。其中 MDD₃ 擴展了終端節(jié)點，終端節(jié)點不僅由0或1表示訪問成功或訪問失敗，而且用0表示訪問失敗，1、2則表示不同級別用戶的訪問。這種支持用戶分級訪問的MDD結構的優(yōu)勢在于，可以在表達不同數據級別的同時，降低MDD訪問結構下多項數據加密的密文存儲空間。

2.2 系統(tǒng)模型

在物流數據共享場景中，系統(tǒng)包括云服務器（cloudserviceprovides，CSP）屬性授權機構（attributeauthority，AA）數據所有者（dataowner，DO）和數據使用者（datauser，DU）四個核心實體。系統(tǒng)的模型結構如圖3所示。

云服務器CSP是半可信的實體，用于存儲物流數據共享的密文，并負責向數據使用者提供密文。作為半可信的實體，它會嚴格執(zhí)行指定的協議，但無法保證數據是否泄露。

屬性授權機構AA是完全可信的實體，用于完成系統(tǒng)初始化，為用戶生成密鑰，并負責管理用戶的屬性，執(zhí)行屬性撤銷。

數據所有者DO擁有需要共享的大量物流數據，其負責定義用于加密物流數據的訪問策略，并在加密后發(fā)送密文至云服務器。

數據使用者DU向AA請求用戶私鑰，并通過AA向云服務器請求密文。AA將DU屬性集 L 發(fā)送至CSP，CSP驗證 L 是否符合訪問策略;若符合，則CSP將向DU發(fā)送密文，DU使用其私鑰解密；否則，DU被視為無權限訪問用戶，無法獲得密文。

2.3 算法定義

本文方案由六個算法構成，詳細描述如下：

a）初始化算法， setup（1^λ）?（PK，MSK，SP） 。AA執(zhí)行算法，輸人安全參數 λ ，輸出系統(tǒng)公鑰 PK 主密鑰 MSK 和公共參數 SP 。

b）密鑰生成算法， KeyGen（MSK，L，SP）SK AA執(zhí)行算法，輸人 MSK 屬性集合 L 和 SP ，輸出用戶私鑰 SK

c）加密算法， encrypt（M，PK，MDD，SP）?（CT） 。DO執(zhí)行算法，輸人分級數據 M，PK 和 MDD 分級訪問結構，輸出密文

d）解密算法，decr vpt（SK，CT）?（M_i（i∈[i，k]） ）。DU執(zhí)行算法，輸入 SK 和 CT ，若DU滿足訪問結構MDD，則輸出相應信息 M_i 。

e）密鑰更新算法，KeyUpdate （SP，D_sk）SK^′ 。AA執(zhí)行算法，輸入 SP 和 SK 的部分密鑰 D_sk ，輸出更新密鑰 SK^′ 。

f）密文更新算法，CTUpdate （SP，CT_MDD）?CT^′ 。AA執(zhí)行

算法，輸入 SP 和 CT 的部分策略密文 CT_MDD ，輸出新密文 CT^′ 。

2.4安全模型

本文方案的安全模型采用了DBDH假設下的選擇明文安全模型，描述了挑戰(zhàn)者（C）與敵手（A）之間的博弈。針對本文方案CP-ABE的安全性，CPA安全性游戲主要包括以下內容：

a）初始化。A選擇一個分級訪問結構 MDD_a 發(fā)送給C。C初始化系統(tǒng)，生成系統(tǒng)參數 SP 、系統(tǒng)公鑰 PK 以及系統(tǒng)主密鑰MK，并將系統(tǒng)參數 SP 和 PK 發(fā)送給 ΔA 。

b）階段1。A選擇一系列屬性集合 L 向C發(fā)起查詢，在該階段中，要求屬性集合 L 不能滿足 MDD_a 。C生成用戶密鑰 ^SK 發(fā)送給敵手A，該階段可重復執(zhí)行。

c）挑戰(zhàn)階段。A隨機選擇兩個等長的明文信息 M₀，M₁ ，將其發(fā)送給C。C接收到明文后，隨機選擇 η∈{0，1} ，并對M_η 執(zhí)行encrypt算法得到密文 CT_η^' 。隨后，C撤銷屬性 att_i ，運行KeyUpdate算法，將更新后的用戶密鑰 ΔSK^′ 發(fā)送給A，對密文CT_η^' 運行CTUpdate 算法輸出 CT_η ，最后將 CT_η 發(fā)送給 A 。

d）階段2。同階段1。

e）猜測階段。A接收到 CT_η 后，對 η 給出猜測 η^′ 。定義A贏得上述游戲中的優(yōu)勢為 Adv_A^CPA（λ）=|Pr[η^′=η]-1/2！，λ 為安全參數。

若在概率多項式時間內可以忽略A贏得游戲的優(yōu)勢，則認為該方案是CPA安全的。

3 具體方案

本章介紹物流數據共享方案的實現和具體示例。在實際應用中，由于CP-ABE需要進行多次雙線性對運算，而雙線性運算具有計算開銷較大的特點，導致CP-ABE加解密的效率較低。考慮到物流數據通常具有層次性，用戶的訪問頻率較高，對解密算法的效率要求較高，因此本文首先采用對稱加密算法對物流數據進行加密，然后基于MDD分級訪問結構對物流數據的密鑰進行加密，最后通過CP-ABE實現對密鑰的訪問控制，從而實現分級物流數據的共享。

3.1 方案設計

方案的實現主要包括系統(tǒng)初始化、密鑰生成、加密、解密和屬性撤銷五個階段。

3.1.1 系統(tǒng)初始化階段

setup（1^λ）?（PK，MSK，SP） ：屬性授權中心AA運行系統(tǒng)初始化，使用安全參數 λ 生成 G₀，G_t 兩個 p 階的乘法循環(huán)群， g 是 G₀ 的生成元，雙線性映射為 e：G₀×G₀?G_t 。假設系統(tǒng)屬性集 N 中有 n 個屬性 N={N₀，N₁，…，N_n} ，其中每個屬性 N_i 有 n_i 種取值 。隨機選取 y，k，t_i，ki∈Z_p（i∈N） ，計算 ，其中 t_i，ki 對應屬性值 N_i，ni 。公開 PK= ?e，g，Y，{T_i，ki|i∈N}? ，保存主密鑰 MSK=y，{t_i，ki|i∈N} ，系統(tǒng)參數 SP=k 。

3.1.2 密鑰生成階段

KeyGen（MSK，L，SP）?SK ：屬性授權中心AA根據用戶的屬性集合 L，MSK 和系統(tǒng)參數 SP ，并隨機選擇 r∈Z_p ，計算 D₁= g^y-r 和 ，生成用戶私鑰 SK=D₁，D₂ 。

3.1.3加密階段

enc rypt（M，PK，MDD，SP）?（CT） ：數據所有者DO對物流數據 F₁，F₂ 執(zhí)行加密算法。隨機選取兩個密鑰 ck₁?ck₂ 分別對F₁，F₂ 進行對稱加密得到 C_F1，C_F2 。構建MDD分級訪問結構，假設訪問級別為 R₁，R₂ ，訪問級別 R₁、R₂ 對應的加密內容分別為 M₁ 和 M₂ ，其中 M₁={ck₁，ck₂} M₂={ck₂} 。 P₁，P₂ 分別表示訪問級別 R₁ 和 R₂ 的有效路徑集合， m 表示集合中有效路徑的個數。例如， P₁={P_1，0，P_1，1，…，P_1，u-1} ， P₂={P_2，0，P_2，1，… .，P_2，v-1} P₁，P₂ 的有效路徑個數 m 分別為 u 和 ，其中 P_t，m 表示在MDD分級訪問結構中能夠成功訪問 R_t 的第 m 個有序屬性集合，即 P_Λt，m={（N_i，ni）∣i∈N} 。

CSP執(zhí)行加密操作：

a）隨機選擇 S_t∈Z_p，t=1，2 b）計算

c）根據有效路徑集合 P₁，P₂ ，分別將集合中每個有效路徑P_t，m 的屬性所對應的 t_i，ki 和 T_i，ki 按順序取出并計算 C_Pt，m 。

d）得到密文

3.1.4解密階段

decrypt（SK，CT）?（M_i（i∈[i，k]） ：數據使用者DU向屬性管理機構AA請求解密 CT AA將DU的屬性集 L 發(fā)送給云服務器 CSP 。

CSP驗證 L 是否符合訪問結構：

a）將根節(jié)點作為當前操作的階段。

b）獲取當前節(jié)點的信息 V_i，k ，然后將節(jié)點號 next_i，ki 的節(jié)點作為當前節(jié)點，重復步驟b），直到到達葉節(jié)點。

c）若到達葉子節(jié)點，且葉子節(jié)點為0，則解密失敗。

d）若到達葉子節(jié)點，且葉子節(jié)點非0，則存儲葉子節(jié)點值 χ_t 并執(zhí)行操作e）。

DU使用用戶私鑰解密密文：

e） CSP將 和當前的解密路徑 P_t 發(fā)送給DU，DU根據上述內容和用戶私鑰 SK 進行解密，計算 最后根據 得到的密鑰 ck_t 解密 C_Ft 得到對應的 F_t 。

3.1.5 屬性更新階段

屬性撤銷算法由AA執(zhí)行，算法主要包括密鑰更新算法和密文更新算法，旨在防止撤銷后的用戶繼續(xù)訪問。當撤銷屬性att_i 時，AA隨機選取 k^′∈Z_p 更新系統(tǒng)參數 SP=k，k^′ 。

a）若用戶 U_i 再次通過AA請求密文時，AA會執(zhí)行以下操作來更新用戶的密鑰 SK

（a）當用戶的屬性未被撤銷時，執(zhí)行密鑰更新算法KeyUpdate（SP，D_sk）?SK^′ 更新密鑰，AA根據用戶密鑰 SK 中的 D₂ 計算 ，將 D₂^′ 發(fā)送給用戶，用戶私鑰更新為 SK^′=D₁ ，D₂^′? 。

（b）當用戶的某屬性被撤銷時則重新執(zhí)行密鑰生成算法KeyCen（MSK，L^′，SP）?SK^′ ，其中 L^′ 為更新后的用戶屬性集 （204號合，隨機選擇 r^′∈Z_p ，計算SK^′=?D^′₁，D^′₂?

b）AA執(zhí)行CTUpdate （SP，CT_MDD）?CT^′ 更新密文，由于MDD分級訪問結構的特性，在更新密文時只需重新計算密文CT中的部分內容，AA下載CSP中存儲 {C_Pt，m|P_t∈P} ，計算 號 P_t∈P ，將 重新上傳至CSP進行替換，獲得更新的密文 CT^′ 。

4安全性分析

本章證明本文方案在DBDH假設下是CPA安全的，并證明執(zhí)行系統(tǒng)屬性撤銷后，非授權的用戶仍無法訪問。

證明本文方案在DBDH假設下的CPA安全性：

定理1假設在多項式時間內，敵手A能夠在選擇明文攻擊的安全游戲中以不可忽略的優(yōu)勢 ε 攻破本文方案，則可以構建一個能夠在多項式時間內解決DBDH難題的模擬器B，其優(yōu)勢為 ε/2 。

證明設置 P 階的乘法循環(huán)群 G₀，G_t ，雙線性映射 e：G₀× 。隨機選擇 a，b，c，d∈Z_p 。定義 Z，η ，其中 η 的取值為0或1，生成元 g∈G₀ ，若 η=0 則 Z=e（g，g）^abc ，若 η=1 則 Z= （20號 e（g，g）^d 。最終將元組 ?g，g^a，g^b，g^c，Z? 發(fā)送給B，在接下來的游戲過程中，B扮演挑戰(zhàn)者C。

a）初始化：A選擇一個分級訪問結構 MDD_a 與屬性集 N 將其發(fā)送給B，B按照上述方案中的 setup（1^λ） 算法隨機選擇k，t_i，ki∈Z_p（i∈N） ，并令 Y=e（g，g）^ab 。

b）階段1：A選擇一個屬性集合 L 向 B 發(fā)起請求（任意集合 L 均不滿足 MDD_a ），隨機選擇參數 r∈Z_P ，計算 D₁=g^ab-r ，將用戶私鑰 SK=D₁，D₂ 發(fā)送給敵手 A （2

c）挑戰(zhàn)階段：A隨機選擇兩個長度相同的明文 M₀，M₁ 發(fā)送給B，B接收到明文后，以隨機概率 η∈{0，1} 對 M_η 進行加密得到

隨后，B撤銷屬性 att_i ，隨機選取 k^′∈Z_p ，更新 SP=k^′，k 執(zhí)行 KeyUpdate（SP，D_sk） 算法，將更新后的用戶密鑰 SK^′ 發(fā)送給A。執(zhí)行CTUpdate （SP，CT_uDD ）算法，輸出密文 CT_η 并發(fā)送給A，其中 CT_η 為

d）階段2：同階段1。

e）猜測階段：A接收到 CT_η 后，對 η 給出猜測 η^′ ，并將 η^′ 發(fā)送給B，如果 η=η^′ ，B返回1，否則返回 0 。根據上述過程可得，如果 Z=e（g，g）^d ，則說明 CT_η 是隨機加密的結果，B返回1的概率為 Pr[η=η^′∣Z=e（g，g）^d]=1/2_Ω

如果 Z=e（g，g）^abc ，則說明 CT_η 是 M₀Ω，M₁ 加密所得，A在該游戲下的優(yōu)勢為 ε ，因此 B 返回1的概率為 Pr[η=η^′∣Z= e（g，g）^abc]=1/2+ε_c

由上述可得B在解決DBDH難題上的優(yōu)勢為

Adv（λ）=（1/2×（1/2+ε）+1/2×1/2）-1/2=ε/2

最終證明，本文方案對于加密數據的密鑰保護是CPA安全的。同時，由于對稱加密算法的密鑰是隨機均勻生成的且大小一致，所以本文方案是CPA安全的。

當執(zhí)行系統(tǒng)屬性撤銷后，用戶的非授權訪問可能存在以下兩種情況：

a）屬性被撤銷的用戶嘗試使用當前的屬性集合 L 解密，由于屬性撤銷后的用戶屬性 L 不能滿足MDD分級訪問結構所表示的訪問策略，則CSP將不會向用戶發(fā)送更新后的密文。因此，用戶無法繼續(xù)訪問受保護的數據。

b）用戶通過與其他用戶合謀獲得了更新后的密文并嘗試用以前的私鑰進行解密。由于屬性撤銷后，密文會通過新的系統(tǒng)參數重新計算，所以，更新前的密鑰在生成時使用的系統(tǒng)參數與更新后的密文使用的系統(tǒng)參數不一致，用戶使用之前的密鑰無法解密數據。即系統(tǒng)屬性撤銷后，用戶無法使用以前的密鑰解密密文。

5方案分析

5.1功能分析

本文方案使用MDD分級訪問結構來實現屬性基加密的分級用戶訪問控制及文件分層加密。通過該方案，僅當用戶的屬性集合完全滿足特定級別的要求時，才允許用戶解密對應的文件，從而有效地防止了越權訪問問題的發(fā)生。

本文方案與支持文件分層加密功能的文獻［10，11]在其他功能方面的對比如表1所示。從表1可以看出，盡管文獻[10，11]均能實現多文件加密，但文獻10]未能支持用戶分級訪問。相比之下，本文方案與文獻[11]不僅支持用戶分級訪問，還避免了越權訪問問題。此外，相較于其他方案，本文方案可以提供細粒度的屬性撤銷功能。由于門限訪問結構的局限性，文獻[10，11]都無法直接支持非運算，相較于此，本文所使用的MDD分級訪問結構能夠支持非運算，并且可以直接適用于多值系統(tǒng)，展現出更優(yōu)的表達能力。

5.2性能分析

將本文方案與文獻[10，11，18，19]在性能上分別進行比較。具體而言，對于文獻［18，19]，主要圍繞不同訪問結構下用戶私鑰長度、密文長度、私鑰生成時間、加密時間以及解密時間等性能指標展開對比分析。而針對文獻[10，11]提出的支持文件分層加密的屬性基加密方案，則重點比較計算開銷和存儲開銷。上述對比不包括訪問結構、哈希函數計算以及簡單的乘法計算的分析。

本文方案與文獻[18，19]的對比結果如表2所示。其中：N_G0 表示 G₀ 中元素在計算機中的存儲空間； N_Gt 表示 G_t 中元素在計算機中的存儲空間；I表示密文中的屬性； L 表示用戶 U 的屬性集合； P 表示MDD有效路徑的個數； B_e 表示雙線性配對運算： ?E_G0 表示群 G₀ 上的指數運算； E_Gt 表示 G_t 上的指數運算。

從表2可以看出，本文方案中用戶私鑰的存儲空間為2N_G0 ，私鑰生成時間為 2E_?G0 ，解密時間為 2B_e 。與文獻[18，19]相比，本文方案的私鑰生成時間、解密時間和用戶私鑰長度與用戶屬性集合 L 的大小無關，且均優(yōu)于對比方案。本文方案中密文長度和加密時間則取決于MDD有效路徑的個數 P ，而另外兩種方案則取決于密文中訪問策略的屬性個數 I 因此，當

P 較小時，本文方案的加密效率和密文存儲性能會明顯提高，但如果MDD過于復雜即有效路徑較多時，則相較于其他方案有所下降。

表3展示了在加密 k 個層次的文件時，本文方案與其他支持文件分層的屬性加密方案文獻[10，11]的對比結果。其中： S_i 表示滿足訪問結構的最小內部節(jié)點； T_N 表示傳輸節(jié)點的集合。這兩個符號在文獻[10，11]的訪問結構 中具有特定含義。

從表3可以看出，在私鑰存儲空間和解密時間方面，由于本文方案利用MDD分級訪問結構來實現用戶分級訪問，只有當用戶屬性集合 L 構成有效路徑時，用戶才能到達相應訪問級別并解密對應的文件。所以用戶私鑰的存儲空間和密文的解密時間均不受用戶屬性數量的影響。相較于其他方案，本文方案在私鑰存儲長度和解密時間上具有顯著優(yōu)勢，更適用于高頻率的用戶訪問場景。在加密時間和密文長度方面，本文方案取決于有效路徑的數量，而文獻[10，11]則取決于訪問策略使用的屬性、傳輸節(jié)點集合 T_N 和滿足訪問結構的最小內部階段 S_i 。因此，當有效路徑 P 較小時，本文方案的密文存儲性能和加密性能較優(yōu)。

5.3 實驗分析

本節(jié)通過仿真實驗對本文方案進行評估，實驗分為兩個部分。首先，以一段明文作為實驗對象，對比單一訪問策略下，本文方案與文獻[18，19]在密鑰生成、加密和解密算法等方面的性能表現。其次，驗證本文提出的MDD分級訪問結構與文獻[9]中的MDD訪問結構在針對用戶分級文件進行加密及密文存儲空間的性能差異。在實驗過程中，假設仿真實驗中訪問策略是基于物流企業(yè)以及其他類似的金字塔型組織架構制定的，且訪問策略中不存在需要用戶同時擔任多個職位時才能解密密文的情況。舉例來說，如圖2所示，假設密文解密不要求用戶同時具備管理部門董事長和派送部門經理等多個身份。

本文仿真實驗基于JPBC庫，選擇了512bit的A類奇異曲線構造160bit的橢圓曲線群。實驗代碼使用Java編寫，在IntelliJIDEA下運行。實驗機器為一臺裝有 CoreTMi7-12700H（2.3GHz）處理器，16GB內存，Windows 11x64 的筆記本電腦。實驗結果中取30次運算的平均值。第一次實驗結果如圖4＼～6所示，第二次實驗如圖7、8所示。

圖4展示了不同方案在單一訪問策略下用戶密鑰生成時間開銷對比。實驗結果表明，隨著用戶屬性的增加，文獻[18，19]的密鑰生成時間呈現線性增長的趨勢。文獻［19］由于在密鑰生成算法中對用戶屬性進行了哈希運算，所以其密鑰生成時間相較于文獻［18]有所增加。相比之下，本文方案的密鑰生成時間則不受用戶屬性數量的影響，平均時間約為 14.7ms.

圖5展示了不同方案在單一訪問策略下的加密時間開銷。實驗結果表明，在相同訪問策略下，文獻[18，19]的加密時間開銷與訪問策略的屬性數量呈現正相關。本文方案采用MDD分級訪問結構，加密時間開銷與該訪問結構的有效路徑數量相關，而有效路徑數量也隨著屬性數量的增加而增多。因此，本文方案的加密時間同樣與屬性數量呈正相關。在本文實驗假設下，由于不存在需要用戶同時具備多個職位才能解密的情況，若訪問策略包含 n 個屬性，則最多有 n 條有效路徑，即每個屬性對應一條有效路徑。所以，在本文實驗中，本文方案的加密時間開銷低于文獻[18，19]。然而，在實際應用中，若有效路徑數量多于屬性個數，本文方案的加密效率則會有所下降。

圖6展示了在單一訪問策略下的解密效率。結果表明，文獻[18，19]的解密時間開銷與用戶屬性數量呈現正相關，本文方案的解密開銷恒定且時間較短，約為 8.5ms ，相比之下，本文方案在解密方面明顯優(yōu)于文獻[18，19]。

圖7和8展示了在屬性個數不變的情況下，隨著分級文件的增加，文獻[9]的加密時間和密文存儲時間均有較快的增長。而本文方案由于使用MDD分級訪問結構，將分級文件的訪問結構使用同一訪問策略表達，所以避免了對重復路徑加密的過程。在加密分級文件方面，本文方案在加密時間損耗和密文存儲空間上明顯優(yōu)于文獻[9]。

6結束語

本文提出了一種基于屬性加密技術的物流數據共享方案，利用CP-ABE和MDD分級訪問結構實現了對物流數據的訪問控制和數據保護，解決了傳統(tǒng)方案在對物流企業(yè)分層物流數據加密時出現的重復加密問題。此方案支持處理多值屬性，并在表達能力及功能特性上優(yōu)于傳統(tǒng)的基于門限結構的用戶分級加密方案。此外，本文方案的加密開銷僅與有效路徑的個數相關，用戶私鑰生成時間、密文解密時間和私鑰存儲空間均不受用戶屬性個數的影響，從而顯著降低了數據使用者的解密時間和密鑰存儲空間。針對物流企業(yè)人員流動問題，該方案引入了細粒度的屬性撤銷功能，進一步增強了系統(tǒng)的安全性。綜上所述，本文方案不僅能夠滿足物流數據共享的安全需求，促進數據流通，還有利于推動物流行業(yè)的發(fā)展。

參考文獻：

[1]周文，葉蕾．新質生產力與數字經濟［J]．浙江工商大學學報，2024（2）：17-28.（Zhou Wen，YeLei.New quality productivity （NQP）and digital economy[J]. Journal of Zhejiang Gongshang University，2024（2）：17-28.）

[2]SongYanxing，YuFR，ZhouLi，etal.Applicationsof theInternet of Things（IoT）in smart logistics：a comprehensive survey[J]. IEEE Internet of Things Jourmal，2021，8（6）：4250-4274.

[3]Chen Yujun，Fu Lanqi，Qiu Jianlong，et al.Semantic based logistics dataexchangemodel[C]//Proc ofthe7th International Conference on Intelligent Computing and Signal Processing.Piscataway，NJ： IEEE Press，2022：928-933.

[4]金元浦．大數據時代個人隱私數據泄露的調研與分析報告［J]. 清華大學學報：哲學社會科學版，2021，36（1）：191-201，206. （Jin Yuanpu.The investigation and analysis report on personal privacy data leakage in the era of big data[J].Journal ofTsinghua University：Philosophyand Social Sciences，2021，36（1）：191- 201，206.）

[5]Sahai A，Waters B.Fuzzy identity-based encryption[C]//Proc of the24th Annual International Conference on Theoryand Applications of Cryptographic Techniques.Berlin：Springer，20o5：457-473.

[6]Goyal V，PandeyO，Sahai A，et al.Atribute-based encryption for fine-grained access control ofencrypted data[C]//Proc of the 13th ACM Conference on Computer and Communications Security.New York：ACM Press，2006：89-98.

[7]Bethencourt J，Sahai A，Waters B.Ciphertext-policy attribute-based encryption [C]// Proc of IEEE Symposium on Security and Privacy. Piscataway，NJ：IEEE Press，2007：321-334.

[8]Waters B.Ciphertext-policy atribute-based encryption：an expressive，efficient，and provably secure realization[C]//Proc of International Workshop on Public Key Cryptography.Berlin：Springer， 2011：53-70.

[9]Zhang Shaowei，Li Long，Chang Liang，et al．A ciphertext-policy attribute-based encryption based on multi-valued decision diagram [C]//Proc of Intellgent Information Processing IX.Cham：Springer，2018：303-310.

[10]Wang Shulan，Zhou Junwei，LiuJK，et al.Anefficient filehierarchy attribute-based encryption scheme in cloud computing [J]. IEEE Trans on Information Forensics and Security，2016，11（6）： 1265-1277.

[11］劉帥南，劉彬，郭真，等．一種支持分級用戶訪問的文件分層 CP-ABE方案[J].軟件學報，2023，34（7）：3329-3342.（Liu Shuainan，Liu Bin，Guo Zhen，et al.File hierarchy CP-ABE scheme supporting graded user access[J]. Journal of Software，2023，34 （7）： 3329-3342.）

[12]LiuJK，YuenTH，ZhangPeng，etal.Time-baseddirect revocable ciphertext-policy atribute-based encryption with short revocation list [M]//Preneel B，Vercauteren F.Applied Cryptography and Network Security.Cham：Springer，2018：516-534.

[13]董國芳，魯燁堃，張楚雯，等，支持撤銷屬性的CP-ABE密鑰更 新方法[J]．計算機應用研究，2023，40（2）：583-588.（Dong Guofang，Lu Yekun，ZhangChuwen，etal．CP-ABE keyupdate method supporting revocation atribute [J].Application Research of Computers，2023，40（2）：583-588.）

[14]Tu Shanshan，Waqas M，Huang Fengming，et al.A revocable and outsourced multi-authority attribute-based encryption scheme in fog computing[J]. ComputerNetworks，2021，195：108196.

[15] Tan Liang，Yu Keping，Shi Na，et al. Towards secure and privacypreserving data sharing for COVID-19 medical records：a blockchainempowered approach[J]. IEEETrans on Network Scienceand Engineering，2022，9（1）：271-281.

[16] Zeng Peng，Zhang Zhiting，Lu Rongxing，etal.Eficient policyhidingand large universe attribute-based encryption with public traceability for Internet of medical things[J].IEEE Intermetof Things Journal，2021，8（13）：10963-10972.

[17]Liu Zhenhua，Ding Yingying，Yuan Ming，etal.Black-box accountableauthority CP-ABE scheme for cloud-assisted E-health system [J].IEEE Systems Journal，2023，17（1）：756-767.

[18]ChenRuoxi，Li Zhanbo.Blockchain-based mechanism for electronic healthyrecords sharing using fine-grained authorization[C]//Procof the7th International Conference on Computer and Communications. Piscataway，NJ：IEEEPress，2021：1557-1564.

[19]趙開強，康萍，劉彬，等，支持云代理重加密的CP-ABE方案 [J]．電子學報，2023，51（3）：728-735.（ZhaoKaiqiang，Kang Ping，Liu Bin，et al. A CP-ABE scheme with cloud proxy re-encryption[J].Acta Electronica Sinica，2023，51（3）：728-735.）