支持高效密文密鑰同步演化的安全數(shù)據(jù)共享方案

嚴新成，陳越，賈洪勇，陳彥如，張馨月

（1. 解放軍信息工程大學(xué)數(shù)據(jù)與目標工程學(xué)院，河南 鄭州 450001；

2. 鄭州大學(xué)軟件與應(yīng)用科技學(xué)院，河南 鄭州 450001； 3. 公安部第一研究所，北京 100048）

1 引言

隨著云計算技術(shù)的推廣應(yīng)用，數(shù)據(jù)加密已成為保護用戶云端數(shù)據(jù)隱私的常用方法。與此同時，數(shù)據(jù)共享的靈活性、高效性與安全性也成為該領(lǐng)域的研究熱點。

一方面，基于分布開放的計算環(huán)境中日益增加的數(shù)據(jù)共享和處理需求，資源提供方需要制訂靈活可擴展的訪問控制策略來控制數(shù)據(jù)的共享范圍并保證關(guān)鍵數(shù)據(jù)的機密性，大規(guī)模分布式應(yīng)用也迫切需要支持一對多的通信模式[1]。而傳統(tǒng)的訪問控制模型在應(yīng)對新型存儲模式下數(shù)據(jù)共享的需求時，往往存在靈活性不足、安全機制缺乏等問題?；诖?，許多新型密碼算法被應(yīng)用到云存儲系統(tǒng)中，可以支持數(shù)據(jù)細粒度訪問及私鑰撤銷，加解密效率也接近實用，在學(xué)術(shù)界和產(chǎn)業(yè)界均取得了很大成果[2,3]。其中，基于身份的加密[4]以及基于屬性的加密方案[5]能夠保證數(shù)據(jù)的安全性，但前者資源提供方需要使用接收群體中每個用戶的公鑰加密消息并將密文分別發(fā)送給相應(yīng)的用戶，導(dǎo)致計算開銷大、占用帶寬多；后者雖然支持資源提供方自定義訪問控制策略，增強了數(shù)據(jù)的自主訪問控制能力，但涉及用戶或?qū)傩猿蜂N時，客戶端計算開銷過大。而廣播加密方案中資源提供方對于數(shù)據(jù)的訪問約束簡單高效，通過維持解密用戶集合即可滿足外包環(huán)境下安全靈活的數(shù)據(jù)共享需求。

另一方面，由于當(dāng)前計算機系統(tǒng)架構(gòu)固有的靜態(tài)特點，在利用軟硬件構(gòu)造加密云存儲系統(tǒng)時不可避免地引入許多安全漏洞?，F(xiàn)實中的云數(shù)據(jù)泄露事件大部分緣于這種軟硬件漏洞利用攻擊，使許多高強度的加密機制形同虛設(shè)[6]。例如，當(dāng)加密系統(tǒng)內(nèi)部存在較大固定性因素時，攻擊者就可以根據(jù)已經(jīng)發(fā)現(xiàn)的如認證機制漏洞、軟硬件漏洞、加密算法實現(xiàn)漏洞等對其發(fā)起攻擊，以巧妙的方式繞過最堅固的防線，獲取密文密鑰并解密用戶存儲在云端的數(shù)據(jù)[7,8]。

加密云存儲系統(tǒng)易受到攻擊的根源還來自于加密方案實施過程和密文存儲的確定性，即密文生成后在其整個生命周期中均處于靜止狀態(tài)，不發(fā)生任何變化，直到失去用處被刪除，且密文更新依賴于數(shù)據(jù)重加密。這容易造成以下問題：1) 撤銷權(quán)限的用戶仍然能夠利用持有的私鑰解密之前的密文，即密文不具備前向安全性；2) 密文密鑰的長期不變性使攻擊者在搜集到對應(yīng)的密文密鑰后即可解密，而與版本或時間周期無關(guān)。此外，加密云存儲系統(tǒng)私鑰分發(fā)流程的確定性使攻擊者可以從多個環(huán)節(jié)發(fā)起攻擊，如根據(jù)用戶在認證過程中暴露的身份、位置等信息刺探合法用戶的隱私，或仿冒用戶身份直接從授權(quán)中心獲取私鑰。

因此，當(dāng)利用加密技術(shù)來構(gòu)建安全云存儲系統(tǒng)時，在密碼學(xué)方案中減少確定性和引入隨機性十分必要?？紤]到安全靈活的數(shù)據(jù)訪問需求以及密文存儲的靜態(tài)性特點，本文從廣播加密方案入手，研究支持高效密文密鑰同步演化的云數(shù)據(jù)安全共享方案，即在加密云存儲系統(tǒng)中實現(xiàn)安全數(shù)據(jù)共享的同時保證密文密鑰周期性同步演化，一方面可避免重加密帶來的巨大開銷，另一方面可增加密文存儲的動態(tài)性，增大攻擊者的攻擊難度。

2 相關(guān)工作

作為美國近年來提出的網(wǎng)絡(luò)空間“改變游戲規(guī)則”的革命性技術(shù)之一，移動目標防御[9]為解決“易攻難守”這一當(dāng)前網(wǎng)絡(luò)安全面臨的重要問題提供了新的思路[10]。其核心思想是通過自動改變一個或多個系統(tǒng)屬性使系統(tǒng)攻擊表面對攻擊者而言不可預(yù)測，從而增加攻擊者的攻擊難度，提高系統(tǒng)的彈性和安全性[11]。文獻[12]提出保護已認證客戶抵御分布式拒絕服務(wù)（DDoS, distributed denial of service）攻擊的移動目標防御機制，文獻[13]針對現(xiàn)有路徑跳變技術(shù)路徑選取的盲目性、跳變實施缺乏約束性等問題，提出基于最優(yōu)路徑跳變的網(wǎng)絡(luò)移動目標防御技術(shù)。

主動防御技術(shù)作為網(wǎng)絡(luò)空間防御技術(shù)的新星，研究熱度不斷提高。就國內(nèi)主動安全防御研究而言，鄔江興院士最早提出擬態(tài)安全防御技術(shù)，其基本思路是以不確定性對抗未知威脅。文獻[14]以入侵容忍技術(shù)和移動目標防御技術(shù)為主線概括了主動防御技術(shù)的發(fā)展，并介紹了擬態(tài)防御技術(shù)理論、工程實踐以及測試情況。文獻[15]在對已有防御技術(shù)的問題和不足進行深入分析的基礎(chǔ)上提出基于“動態(tài)異構(gòu)冗余”結(jié)構(gòu)的擬態(tài)防御模型。

文獻[16～20]均可實現(xiàn)基于屬性加密的云存儲數(shù)據(jù)共享方案，但屬性撤銷及密文更新過程計算開銷大，且未能考慮將時間、環(huán)境等因素引入加密方案中來增加密文存儲的動態(tài)性與隨機性。廣播加密[21]提出時間較早，但作為一種將數(shù)據(jù)內(nèi)容通過廣播信道安全地分發(fā)給合法用戶的安全機制，近年來相關(guān)研究仍層出不窮。文獻[22]給出固定密文密鑰大小的自適應(yīng)選擇密文攻擊（CCA, chosen ciphertext attack）安全的廣播加密方案。文獻[23]提出一種廣播加密和屬性加密相結(jié)合的高效隱私保護方案。文獻[24]研究了支持高效加密過程和較短密文長度的廣播加密方案。當(dāng)進行密文演化時，上述方案均需進行密文重加密，計算開銷過大，不適用于用戶頻繁變動的場景。

和移動目標防御技術(shù)類似，擬態(tài)安全防御理論主要從硬件指令與軟件系統(tǒng)等層面出發(fā)研究如何通過主動變換提高系統(tǒng)抗攻擊能力。而本文提出的CKSE-SDS方案實際上是把擬態(tài)變換思想應(yīng)用到云存儲加密系統(tǒng)的密文演化中，通過增加存儲密文的動態(tài)性和隨機性來提高系統(tǒng)的安全防護能力。其基本思路是在廣播加密方案中通過引入密碼學(xué)累加器構(gòu)造密文密鑰動態(tài)分割與融合所必需的變換因子，由此實現(xiàn)高效的密文密鑰同步演化，進而增加加密過程的隨機性，降低攻擊者利用系統(tǒng)固有的安全漏洞獲取密文密鑰來破解密文的概率。此外，在用戶私鑰撤銷及密文演化過程中，只需對用戶私鑰及密文的部分構(gòu)件進行更新，能夠有效提升加密方案的運行效率。

3 預(yù)備知識

3.1 雙線性映射

G和G1是2個階為素數(shù)p的群，g是G的生成元，e∶G×G→G1是一個雙線性對，G和G1是上述2個群，那么雙線性對具備以下性質(zhì)。

1) 雙線性：即對于所有的群元素u,v∈G，可以得到e(ua,vb) =e(u,v)ab。

2) 非退化性：e(g,g)≠ 1。

3) 可計算性：對于任意的g,h∈G，存在多項式時間算法來計算e(g,h)的值。

3.2 Diffie-Hellman Exponent假設(shè)

CKSE-SDS方案安全性依賴于 Diffie-Hellman Exponent假設(shè)，Boneh等[25]證明該假設(shè)在一般群模型中是困難的。G中l(wèi)-BDHE問題定義如下。

(h,g,gα,g(α2),…,g(αl),g(αl+2),…,g(α2l))∈G2l+1是給定的長度為2l+1的向量，要求能夠計算出。這里，假設(shè)，如果有那么攻擊者將能夠以ε的概率攻破l-BDHE困難問題。l-BDHE的判定困難問題可以采用類似的定義，即如果式(1)成立，那么算法B將能夠以ε的概率解決判定l-BDHE困難問題。

如果不存在多項式時間算法以ε的概率攻破判定l-BDHE困難問題，那么判定(t,ε, l)-BDHE 困難問題成立。如果設(shè)定其中，當(dāng)收到輸入時，如果算法能夠輸出gl+1，表明攻擊者攻破了l-BDHE困難問題。

3.3 RSA累加器

密碼學(xué)累加器能夠把一個集合中的所有元素壓縮成一個很短的數(shù)值，同時為集合中每個元素生成一個隸屬于該集合的證明值。任何參與實體只要獲得了一些公開信息，即可驗證所持有元素是否屬于累加值所代表的集合。具體過程如下。

1) 壓縮方法

假設(shè)有一個集合η，該集合有n個kbit的元素{e1,e2,… ,en}，N是一個ybit的RSA模，即N=pq，其中，p和q均是強素數(shù)?？梢园鸭夕菈嚎s成一個ybit的整數(shù)，方法為

其中，g∈QRN,r(ei)是一個3kbit的素數(shù)代表值，RSA累加器的公鑰是由RSA模N、冪基g和2個通用的散列函數(shù)構(gòu)成。素數(shù)的代表值是對原始元素的一種變換，主要是為了提高方案的安全性和正確性。

2) 生成成員隸屬關(guān)系證明值

一旦計算出整個集合的累加值，那么每個元素相對于該集合的成員關(guān)系證明值也可以計算出來，對于原始集合η中的元素ei，其證明值計算為

3) 成員隸屬關(guān)系驗證

一旦獲得集合η中的所有元素的累加值f(η)以及每個元素的證明值Wei，就可以驗證該元素是否隸屬于這個集合，計算方法如下。

檢查等式是否成立。如果成立，該元素隸屬于集合；否則，該元素不屬于集合η。

4 CKSE-SDS方案設(shè)計

4.1 構(gòu)造思想

本文方案采用密碼學(xué)累加器技術(shù)構(gòu)造擬態(tài)變換因子，包括密鑰擬態(tài)變換因子和密文擬態(tài)變換因子2類。密碼學(xué)累加器和散列函數(shù)類似，散列函數(shù)作為一種壓縮映射方法，能夠?qū)⑷我忾L度的消息壓縮為某一固定長度的消息摘要，而密碼學(xué)累加器可以把累加器集合中的多個元素壓縮成一個具有特定比特長的整數(shù)（見3.3節(jié)）。當(dāng)集合中任意一個元素發(fā)生改變時，累加值相應(yīng)變化。此外，集合中每一個元素均有一個證明值，用于該元素與集合從屬關(guān)系的驗證。

利用密碼學(xué)累加器的這一特點，可以進行擬態(tài)變換因子的構(gòu)造。該方案中，用戶解密私鑰包括2個部分，一部分相對固定，在系統(tǒng)初始化階段生成，另一部分跟隨時間周期變化。在每個時間周期的開始，密鑰授權(quán)中心把當(dāng)前時刻t加入累加器中，并且為累加器集合中的每個元素計算生成相應(yīng)的證明值。授權(quán)中心把周期性更新的累加器值（密文擬態(tài)變換因子）和每個成員對應(yīng)的證明值（密鑰擬態(tài)變換因子）廣播發(fā)送到所有用戶。對數(shù)據(jù)進行加密時，用戶需要把對應(yīng)于時刻t的累加值加入密文中，使其成為密文的組成部分，同時合法用戶接收到廣播消息后需要對各自私鑰的可變部分進行更新（私鑰中包含的證明值）。

4.2 算法描述

CKSE-SDS方案由6種基本算法構(gòu)成，每一種算法都是被授權(quán)中心、廣播加密方、廣播加密接收方三方中的一方獨立運行，授權(quán)中心為每一次加密維護一個撤銷列表RL和狀態(tài)集合ST。各算法描述如下。

Setup(1k,n) →(PP,MK,RL,ST)。Setup算法以安全參數(shù)k和能夠支持的最大用戶數(shù)量為輸入。它輸出一個公共參數(shù)PP，一個主私鑰MK，一個撤銷列表RL（初始為空），一個狀態(tài)列表ST。該算法由授權(quán)中心運行。

PriKeyGen(PP,MK,S,ST) →(SKi,ST)。私鑰生成算法以公共參數(shù)PP，主私鑰MK，用戶集合S和狀態(tài)列表ST為輸入。它輸出一個私鑰SKi和更新的狀態(tài)列表ST。該算法由授權(quán)中心運行。

KeyUpd(PP,MK,t,RL,ST) →KUt。密鑰更新算法以公共參數(shù)PP，主私鑰MK，密鑰更新時間t∈τ，撤銷列表RL和狀態(tài)列表ST為輸入。輸出一個密鑰更新值KUt。該算法由授權(quán)中心運行。

DecKeyGen(SKi,KUt)→DKi,t。解密密鑰生成算法以用戶私鑰SKi和私鑰更新值KUt為輸入。輸出一個解密密鑰DKi,t，如果用戶i的私鑰被撤銷了，那么將會輸出一個特殊符號⊥。

Enc(PP,S,t,K) →CTS,t。加密算法以公共參數(shù)PP、用戶集合S、加密時間t和文件加密密鑰（對稱密鑰）K∈κ（κ代表加密過程中用到的密鑰空間）為輸入。輸出密文CTS,t。在私鑰可撤銷廣播加密方案中，密文已經(jīng)和時間周期關(guān)聯(lián)起來。該算法由廣播消息發(fā)送者運行，為簡單起見，并且不失一般性，這里假設(shè)i、t均可以從密文CTS,t中快速計算出來。

KeyRev(i,t,RL,ST)→RL。密鑰撤銷算法以準備撤銷私鑰的用戶的標識符i、撤銷時間t、撤銷列表RL和狀態(tài)列表ST為輸入，輸出一個更新后的撤銷列表RL，該算法也是具有狀態(tài)的，由授權(quán)中心運行。

上述6種算法緊密配合，構(gòu)成一個完整的廣播加密系統(tǒng)，其正確性的內(nèi)在要求為：對于Setup算法輸出的PP和MK，K∈κ,i∈S,t∈T以及所有的可能狀態(tài)列表ST和撤銷列表RL，如果用戶i的私鑰在時間t沒有被撤銷，都能夠以 1的概率得到Dec(PP,DKi,t,CTS,t)=K。

4.3 安全模型

基于 RSA累加器的密文密鑰同步變換方案的安全模型被定義為在敵手和挑戰(zhàn)者之間進行的一個博弈，過程如下。

1) 初始化。挑戰(zhàn)者運行Setup算法生成一些公開參數(shù)PP，主私鑰MK，一個撤銷列表RL（初始時為空），一個狀態(tài)列表ST。挑戰(zhàn)者把PP發(fā)送給敵手A。

2) 查詢。敵手A可以適應(yīng)性地進行多項式個數(shù)的預(yù)言機查詢（預(yù)言機之間共享了一些信息），包括以下預(yù)言機。

①私鑰生成預(yù)言機：PriKeyGen(·)。挑戰(zhàn)者選擇一個標識符i為輸入，利用其他公開信息調(diào)用預(yù)言機PriKeyGen(PP,MK,S,ST)，返回一個私鑰SKi。

②密鑰更新生成預(yù)言機：KeyUpd(·)。挑戰(zhàn)者以時間t為輸入，加上其他的公開信息調(diào)用預(yù)言機KeyUpd(PP,MK,t,RL,ST)，返回密鑰更新值KUt。

③密鑰撤銷預(yù)言機：KeyRev(·)。挑戰(zhàn)者以用戶標識符i和時間t為輸入，加上其他的公開信息調(diào)用密鑰撤銷預(yù)言機KeyRev(i,t,RL,ST)，輸出一個撤銷列表RL。

4) 猜測階段。在博弈的最后階段，敵手輸出一個比特位b'。如果b'=b，那么敵手的攻擊將會獲得成功，以下限制必須成立。

②在調(diào)用預(yù)言機KeyUpd(.)和KeyRev(·)時，查詢的時間t必須大于或等于以前查詢過的時間，即敵手只能以時間遞增的順序進行預(yù)言機的查詢。同時，如果在時刻t已經(jīng)對預(yù)言機KeyUpd(·)進行了查詢，那么在這個時刻就不能對預(yù)言機KeyRev(·)進行查詢。

③如果在標識符集合S*上查詢了預(yù)言機PriKeyGen(·)，那么必須在 (S*,t)上對KeyRev(.)預(yù)言機進行查詢，其中，t≤t*。

如果敵手輸出的比特位b'=b，則返回值return設(shè)置為 1，否則設(shè)置為 0。由此可以定義敵手贏得博弈的概率為

如果對于任意概率多項式時間的敵手A，(λ)對于安全參數(shù)λ都是可以忽略的，那么該方案就是CCA安全的。

4.4 方案構(gòu)建

除了上述基本模塊外，在構(gòu)造過程中還需要一種具備基本安全功能的數(shù)字簽名方案，該方案主要用在以下2個地方。

1) 授權(quán)中心在發(fā)布時刻t對應(yīng)的累加器值時，必須對累加器值進行簽名，確保累加器值的真實性，防止攻擊者替換累加器值。

隨著海上衛(wèi)星通信技術(shù)的發(fā)展，越來越多的衛(wèi)星通信系統(tǒng)將融入其中，各衛(wèi)星系統(tǒng)均具備各自獨特的優(yōu)勢。不同衛(wèi)星服務(wù)供應(yīng)商之間通過降低通信資費、提高通信技術(shù)搶占市場的局勢也將成為可能。與MSC 97-19-6提案中提到的GPS/GLONASS/BDS聯(lián)合接收設(shè)備相類似，各種組合式衛(wèi)星通信設(shè)備已經(jīng)面世，包括銥星-Inmarsat GX等。操作者可根據(jù)不同需求選擇所需業(yè)務(wù)及系統(tǒng)，并有效降低操作負擔(dān)。

2) 加密者對要發(fā)布的明文做一個簽名，即為了達到CCA安全而采取的一個輔助措施。

在這2個地方，采用的簽名算法都是統(tǒng)一的，簽名私鑰分別是授權(quán)中心和加密者對應(yīng)的簽名私鑰。同時還需要一個擴碰撞散列函數(shù)，該函數(shù)能夠把簽名驗證私鑰映射到域Zp中，簡化方案的構(gòu)造。由于本文提出的 CCA安全的私鑰可撤銷密文密鑰同步變換方案是建立在(n+1)-BDHE 假設(shè)上的，通過選擇n?1個用戶來描述整個系統(tǒng)的構(gòu)建，使整個系統(tǒng)的安全性建立在n-BDHE假設(shè)之上，這與傳統(tǒng)的方案相一致。然后利用一個函數(shù)把用戶的身份標識符和時刻t映射成為索引i。具體構(gòu)建過程如下。

Step1Setup(1k,n) →(PP,MK,RL,ST)

Setup算法首先準備公開參數(shù)。隨機選擇生成元g∈G， 選 擇 隨 機 值α,β,γ∈Zp， 計 算，同時設(shè)置v=gγ∈G，然后初始化算法準備和累加器相關(guān)的各個公開參數(shù)。

1) 該環(huán)節(jié)首先運行SigKeyGen算法產(chǎn)生一對公私鑰(sk,pk)。這里使用普通的數(shù)字簽名算法生成一對簽名公私鑰即可，隨后用來進行簽名生成與驗證，如RSA。2) 計算i=1,2,… ,n,n+2,… ,2n。

3) 計算gβ∈G，U表示加入累加器中的元素構(gòu)成的集合。在系統(tǒng)初始化階段，U為空集，此時初始化算法把累加器值設(shè)為1，即ACφ= 1。同時設(shè)置初始狀態(tài)列表STφ= {U,P1,… ,Pn,Pn+2,… ,P2n}，撤銷列表在初始化階段也是空的，這樣全部的公開參數(shù)為其中，主私鑰MK={α,β,γ,sk}。

Step2PriKeyGen(PP,MK,S,STU) →(SKi,STU∪{i})

該算法為所有用戶生成私鑰，其中S代表所有注冊用戶組成的集合。定義V代表當(dāng)前加入累加器中元素的記錄信息集合，V是U的一個子集（隨著系統(tǒng)的運行，部分用戶私鑰可能會被撤銷）。注意，。私鑰生成算法運算如下。

計算累加器集合中所有元素的證明值。更新累加值和相應(yīng)的狀態(tài)信息，使在集合S中的所有用戶i，有

并選擇一個隨機數(shù)s∈Zp，最終生成的用戶私鑰＜K1,K2,K3＞ 為

其中，K1和K2為固定部分，K3為可變部分（累加器集合中元素的證明值），并通過安全信道進行密鑰分發(fā)。

在每個密鑰更新周期開始的時刻t′，密鑰更新算法通過執(zhí)行以下步驟首先更新累加器。

從集合V中移除和l=φ(t) ∈ [n]相關(guān)聯(lián)的所有元素，即移除所有和過期時刻t對應(yīng)的被撤銷用戶的身份標識。其中，φ()是一個抗碰撞的散列函數(shù)，可將用戶身份映射到集合[n]中，用于加密累加器中的元素計算，即i=φ(ID)。更新算法在累加器中使用新的周期t′并添加元素l′ =φ(t′ )∈ [n]，然后重新計算累加器的值使，即保證用戶私鑰的時間周期與密文中的時間周期一致。累加器的值A(chǔ)CV∪{l}及累加器集合元素證明值更新時計算步驟和PriKeyGen算法一樣，然后為更新后的累加器值A(chǔ)C'V∪{l}生成簽名σl。更新算法準備一個集合ΔV，包含了在最近一個更新周期中增加和移除的用戶的身份標識符。然后更新算法把ΔV和KUt=＜AC'V∪{l},σl,wl＞作為廣播消息發(fā)送給所有的用戶。

Step4DecKeyGen(SKi,KUt)→DKi,t

解密私鑰更新生成算法，由終端用戶運行如下。

1) 計算并判斷l(xiāng)(t)V=φ∈ 。

2) 利用公開參數(shù)中的簽名驗證公鑰pk驗證收到的累加器值A(chǔ)C'V上的簽名lσ是否是合法的。

3) 計算并判斷來確保收到的ACV是經(jīng)過正確計算得來的。

設(shè)定一個布爾變量DecKeyChk。如果上述3個計算步驟中任何一個出現(xiàn)了錯誤，則賦值為 0；如果3個步驟均計算正確，則設(shè)置DecKeyChk為1。若DecKeyChk= 0，DecKeyGen算法輸出一個特殊符號⊥，否則算法將證明值替換成最新的內(nèi)容。計算證明值和解密私鑰如下。

如果i∈V，且V∪Vw?U，計算

否則，輸出一個特殊符號⊥，表示更新失敗。然后設(shè)置更新后的用戶解密密鑰K2=si,K3=wi′ ＞ 。

Step5Enc(PP,M,ACV)→CTM,t

加密算法由廣播加密消息發(fā)送方運行。其中M表示接收用戶的標識符集合。算法首先調(diào)用SigKeyGen算法產(chǎn)生一對公私鑰：一個簽名私鑰Ksig和驗證密鑰Vsig。為簡單起見，假設(shè)Vsig∈Zp。設(shè)置KEY=e(g,gn+1)s∈G1，密文各構(gòu)件計算如下

取Hdr=(CTM,t,Sign(CTM,t,Ksig),Vsig)。

Step6Dec(M,i,SKi,Hdr,PP)→KEY

根據(jù) Step5所得結(jié)果，假設(shè)用戶接收密文Hdr=((C0,C1,C2,C3),σ,Vsig)，解密算法過程如下。

1) 利用密鑰Vsig驗證σ是對密文的一個合法簽名，如果簽名不合法，則輸出特殊符號⊥。

2) 選擇一個隨機數(shù)ω∈ Zp，然后計算

3) 解密密文

即當(dāng)用戶擁有合法私鑰時，才能夠解密密文獲取數(shù)據(jù)加密密鑰key。

5 安全性及性能分析

5.1 安全性證明

定理1G是一個具備素數(shù)階p的雙線性群，對于所有的正整數(shù)n，上述廣播加密系統(tǒng)是CCA 安全的，假設(shè)判定(t,ε1,n)-BDHE 假設(shè)在群G中成立，Diffie-Hellman Exponent(n-DHE)假設(shè)成立，廣播加密系統(tǒng)中采用的數(shù)字簽名算法是(t,ε2,1)安全的，能夠抵抗偽造攻擊。

下面，通過 3個順序變化的博弈 Game0、Game1、Game2完成廣播加密方案安全性的證明。

Game0 Game0是一個和真實環(huán)境中攻擊完全一樣的博弈。

Game1 除了以下差別外，Game1和 Game0很類似。挑戰(zhàn)者B收到一個隨機的n-DHE向量，如果支持私鑰撤銷的廣播加密方案不是 CCA安全的，那么挑戰(zhàn)者B將能夠利用攻擊廣播加密方案的敵手A，構(gòu)造一個n-BDHE困難問題的解決方案。假設(shè)存在一個敵手A能夠攻破廣播加密方案的CCA安全性，那么挑戰(zhàn)者B可以以ε1的概率解決n-BDHE困難問題。具體過程如下：當(dāng)挑戰(zhàn)者B收到一個n-BDHE挑戰(zhàn)向量時，其中，Z的值可能是也可能是群G1中的一個隨機元素。在Game1中，挑戰(zhàn)者完成下述步驟。

Init 挑戰(zhàn)者B調(diào)用敵手A，收到一個敵手希望進行攻擊的用戶身份標識集合S*。

Setup 挑戰(zhàn)者B需要生成公開參數(shù)PP，并且為i?S*的用戶生成私鑰di。算法B首先SigKeyGen

i算法獲得簽名私鑰和驗證密。然后，挑 戰(zhàn)者選 擇 一 個 隨 機 值γ∈Zp， 設(shè) 置，同時還選擇隨機值α,β,γ∈Zp，計算Pi=gγ，設(shè)置ACφ= 1，公共參數(shù)，然后把公共參數(shù)發(fā)送給敵手A。注意，由于g、γ、α均是隨機均勻地選擇出來的元素，所以上述提供給敵手A的公開參數(shù)的分布情況和 Game0中的完全一致。敵手A需要所有不在目標集合S*中用戶的私鑰，所以挑戰(zhàn)者B需要為其計算相應(yīng)的私鑰，計算過程如下

查詢階段 1 當(dāng)挑戰(zhàn)者B收到敵手A發(fā)出的密鑰更新的查詢后，B利用當(dāng)前集合U和V，計算新的累加器值，利用私鑰sk生成一個累加值的簽名σj，然后B發(fā)布＜ACV,σj,wj＞，其中，wj是更新后的證明值。敵手A發(fā)出解密查詢，以 ＜u,S,Hdr＞作為一個解密查詢實例，其中挑戰(zhàn)者B響應(yīng)如下。

1) 調(diào)用算法Verify，利用密鑰Vsig檢查對生成的簽名的有效性，如果簽名是無效的，那么B輸出特殊符號⊥。

2) 如果，挑戰(zhàn)者B輸出一個隨機比特值，然后放棄模擬。

3) 如果密鑰不相等，B選擇一個隨機值r∈Zp，然后計算

如果定義，那么可得

由于r是從Zp中隨機選取的，r~在Zp中同樣是隨機的。因此挑戰(zhàn)者B的響應(yīng)和真實的解密調(diào)用Decrypt(S,u,du,Hdr,PP)是相似的，所以從整體來看，B的響應(yīng)均和真實攻擊博弈中的分布一致。

Challenge 為了生成合法的挑戰(zhàn)消息，B設(shè)置其中，然后計算

B隨機選擇一個比特位b∈ {0,1}，然后設(shè)置Kb=Z，在群G1中選擇一個隨機數(shù)K1?b。B向敵手A發(fā)出 (Hdr*,K0,K1)作為挑戰(zhàn)值。當(dāng)B收到的n-BDHE 輸 入 向 量 中Z=e(gn+1,h)， 那 么(Hdr*,K0,K1)將會是一個合法的挑戰(zhàn)值，和真實攻擊中的一樣。下述計算過程表明了這一論斷。

根據(jù)定義，)是一個對數(shù)據(jù)加密密鑰e(gn+1,g)t加密的一個合法密文。更進一步講，。因此，可以得出 (Hdr,K0,K1)對于敵手A來說是一個合法的挑戰(zhàn)值。另一方面，當(dāng)Z是群G1中的一個隨機元素時，K0、K1也是G1中的隨機元素。

查詢階段2和查詢階段1中完全一致，在此不再贅述。

Guess 敵手A輸出一個對比特位b的一個猜測，如果b0=b，那么挑戰(zhàn)者B輸出 0，表明，否則，B輸出1，表明Z是群G1中的一個隨機元素。如果向量是從BDHER中提取出的，那么。如果以abort代表挑戰(zhàn)者B在模擬過程中出現(xiàn)的退出事件。那么當(dāng)向量是從PBDHE中提取出來的，將會得到

第一個不等式說明，當(dāng)提取出來時，B進行的模擬是完美的，B也不會出現(xiàn)退出現(xiàn)象。由此可以得出B以(ε1+ε2) ? Pr[abort]的 概 率 解 決n-BDHE困 難 問題?？梢缘贸?Pr[abort]＜ε2。如果不是這樣，那么可以通過調(diào)用敵手A以最少ε2的概率偽造一個合法簽名。此時，可以構(gòu)造另外一個模擬器，正在完成一個存在性偽造博弈，在知道私鑰γ的情況下，收到了挑戰(zhàn)消息。在上述挑戰(zhàn)實驗中，敵手可以通過提交一些查詢，該查詢包含了一個對某些密文構(gòu)造了一個存在性偽造簽名，這樣的查詢可以導(dǎo)致挑戰(zhàn)者退出。挑戰(zhàn)者就可以利用這個偽造簽名贏得存在性偽造博弈。在這樣的博弈中，敵手只生成了一個選擇消息查詢來生成挑戰(zhàn)密文中需要的簽名。由此可以得到Pr[abort]＜ε2。挑戰(zhàn)者B解決困難問題的優(yōu)勢最少是ε1。至此，完成了Game1。

Game2 挑戰(zhàn)者B能夠訪問一個簽名預(yù)言機Oσ，獲得了一個作為輸入的簽名驗證密鑰pk，一個雙線性對的公開參數(shù)(q,G,G1,ε,γ,η)，一個n-DHE假設(shè) 的 實 例， 其 中 ，挑戰(zhàn)者B需要計算Pn+1。挑戰(zhàn)者按照以下步驟進行。首先，隨機選擇α,β,γ∈Zp，然后，B用設(shè)置ACφ= 1，生成公私鑰對＜pk,sk＞，并將公開參數(shù)發(fā)送給敵手A。當(dāng)敵手要求用戶i的私鑰時，挑戰(zhàn)者B計算di,1和di,2的方法和 Game1中的完全一樣。接下來，B為敵手A準備密文，隨機地選擇一個元素t∈Zp，然后計算

如果B的輸入Z是e(P1,Pn)，那么送給敵手A的密文是一個合法的密文；如果Z是隨機元素，那么密文也是一個隨機值。如果敵手能夠區(qū)分這2個密文，那么它將能夠成功地偽造一個有效的證明值，這樣即使i?VO，攻擊者仍然可以進行解密密鑰更新，從而繞過累加器機制的驗證。然后挑戰(zhàn)者B可以計算，如果和Pi不對應(yīng)，那么敵手一定攻擊了累加器值的簽名，將會是一個偽造的簽名。否則B可以根據(jù)累加器的驗證等式計算出Pn+1，即

于是，挑戰(zhàn)者B攻破了n-DHE困難問題。

上述3個在敵手和挑戰(zhàn)者之間進行的博弈，即可以完成對定理1的證明。因此，本文提出的基于RSA累加器的支持密文周期性演化的廣播加密方案是CCA安全的。

5.2 性能分析

本節(jié)著重從通信開銷及計算開銷 2個方面對CKSE-SDS方案的用戶私鑰撤銷及密文演化過程性能代價進行分析，并就靜態(tài)密文及密文演化情形下攻擊者通過獲取密文密鑰進行密文破解的概率進行對比分析。首先定義性能分析中的符號含義如表1所示。

表1 符號含義

5.2.1 私鑰撤銷開銷分析

CKSE-SDS方案通過使用密碼學(xué)累加器維持一個可解密的用戶列表。用戶私鑰撤銷時，只需將該用戶的身份標識對應(yīng)的元素值從列表中去除即可，由此基于用戶密鑰的靈活管理實現(xiàn)存儲數(shù)據(jù)的高效共享。相關(guān)參與方通信及計算開銷分析對比如下。

首先，密鑰管理中心計算累加器集合中更新元素的證明值，計算開銷為nc。然后對原累加值進行替換并對密文重新簽名，分別需要進行一次乘法運算、冪運算及數(shù)字簽名，計算開銷為exp+c+sig，通信開銷為2|G|+|δ|。在該過程中，密文更新不需要資源提供方參與，計算開銷可記為0；用戶私鑰更新時，只需對該用戶私鑰中的證明值（即私鑰構(gòu)件K3）進行更新，計算開銷較小，為常量O(1)；而被撤銷用戶身份標識不在當(dāng)前周期的累加器列表中，故無法使用收到的其他用戶的證明值對自身私鑰進行更新。數(shù)字簽名過程雖然增加了用戶的計算開銷，但能夠抵抗偽造攻擊（見5.1節(jié)定理1證明），從安全性的角度考慮，在傳輸過程中增加該環(huán)節(jié)是必要的。本文方案和相關(guān)方案對比如表2所示，包括通信開銷、私鑰更新過程密鑰管理中心計算開銷及密文更新過程客戶端計算開銷 3個部分。

表2 私鑰撤銷過程通信及計算開銷比較

從表2可以看出，用戶私鑰撤銷時，通信開銷和其他方案相比基本持平，在可接受范圍內(nèi)。但對于密文更新而言，一般方案（如文獻[22,24]）均采用的數(shù)據(jù)重加密實現(xiàn)，計算開銷大。而CKSE-SDS方案通過引入密碼學(xué)累加器構(gòu)造的密文密鑰擬態(tài)變換因子，有效支持密文密鑰的動態(tài)分割與融合，使密文密鑰的更新只需進行關(guān)鍵構(gòu)件的替換即可，且對于密鑰更新而言，更新開銷為乘法運算，遠小于列表中方案的群元素冪運算，從而有效降低了更新過程的計算開銷，保證了方案運行的高效性。

5.2.2 密文演化開銷分析

如前所述，CKSE-SDS方案將密碼學(xué)累加器應(yīng)用到支持安全數(shù)據(jù)共享的廣播加密中。密文在新的周期時刻t′演化時，用戶只需將原密文中的累加值替換為新生成的對應(yīng)于時刻t′的累加值并生成新的簽名，其他密文構(gòu)件不變，極大減少了數(shù)據(jù)重加密帶來的計算開銷。該過程相關(guān)參與方通信開銷及客戶端計算開銷分析如下。

密鑰管理中心將周期t′映射后的元素加入累加器集合并重新計算，開銷為nc，所需通信開銷為 2|G|+|δ|；重新計算集合中元素對應(yīng)的證明值所需開銷為(n2–1)c，通信開銷為n|G|；同時，密鑰管理中心可直接對原累加值進行替換并對密文重新簽名，分別需要進行一次乘法運算、冪運算及數(shù)字簽名，計算開銷為exp+c+sig。

本文方案和相關(guān)方案對比如表3所示，雖然在密文演化過程中通信開銷有所增加（開銷與群元素大小成正相關(guān)，且至多為保留解密權(quán)限的累加器集合元素數(shù)量，仍在可接受范圍內(nèi)），但該過程不需要客戶端參與計算（開銷可記為0），能夠有效地緩解資源提供方的計算負擔(dān)，對于計算能力較弱的移動設(shè)備尤其適用。

表3 密文演化中通信與計算開銷比較

5.2.3 基于密文演化的攻擊概率分析

接下來，對靜態(tài)密文及周期性密文演化情形下攻擊者攻擊成功的概率進行分析。

記密文密鑰同步變換的周期為t，假設(shè)在較長時間內(nèi)攻擊者獲取密文ci、用戶私鑰

以及該用戶對應(yīng)的代理解密密鑰的概率分別為和，則在時間t內(nèi)攻擊者獲取密文ci、用戶私鑰ki以及代理解密密鑰dki的概率分別為和， 顯 然 有。定義時間τ內(nèi)攻擊者獲取密文ci后直接破解成功的概率為Pdci，則在t內(nèi)獲取密文ci后直接破解成功的概率為P'dci＜Pdci。下面，討論以下情形。

1) 靜態(tài)密文

此時，記攻擊者在較長時間段τ內(nèi)對密文ci破譯成功的概率為Pw，這一概率包括獲取密文ci并直接破解成功的概率以及同時獲取密文ci、用戶私鑰ki以及代理解密密鑰dki的概率 2個部分，這里記為?；?Diffie-Hellman Exponent假設(shè)在一般群模型中的困難性[25]，Pdci部分可以忽略不計。

2) 密文周期性演化

單周期t內(nèi)，攻擊者對某密文ci破譯成功的概率記為，此階段密文狀態(tài)不發(fā)生變化。

對于時間τ內(nèi)的n次密文演化（τ=nt），獲取密文ci并直接破解成功的概率仍記為；由于只有密文密鑰處于相同時間周期才能完成解密操作，因此，通過獲取密文密鑰實現(xiàn)密文解密的概率記為。綜上，密文演化情形下攻擊者獲取c i并解密成功的概率為。同理，Pdci可以忽略不計，顯然有Pnw＜Pw。

在靜態(tài)密文及密文周期性演化情形下，攻擊者通過利用系統(tǒng)安全漏洞獲取密文、密鑰進行密文破解的概率統(tǒng)計如表4所示。

表4 攻擊概率對比

綜上分析，在較長時間內(nèi)攻擊者通過某種攻擊方式獲取到存儲密文及某用戶私鑰，若該密文密鑰不在同一個時間周期，則無法完成解密，從而使攻擊結(jié)果無效。因此，當(dāng)云存儲中的密文進行周期性演化時，系統(tǒng)能夠通過增加攻擊者的時間成本，有效降低攻擊者通過獲取密文密鑰來破解用戶私密信息的概率。

6 結(jié)束語

針對云存儲系統(tǒng)加密機制的靜態(tài)特點，本文將密碼學(xué)累加器技術(shù)引入廣播加密中，通過密文密鑰的動態(tài)分割與融合設(shè)計了CKSE-SDS方案，有效解決了因靜態(tài)密文存儲導(dǎo)致的攻擊者易通過獲取密鑰破解密文的問題，為提升加密云存儲系統(tǒng)的主動安全防御能力提供新的方法；同時基于擬態(tài)變換因子實現(xiàn)密文密鑰關(guān)鍵構(gòu)件的可替換更新，解決了傳統(tǒng)方案中基于密鑰分發(fā)和重加密實現(xiàn)密文密鑰更新帶來的計算開銷大的問題。理論分析及安全性證明表明，CKSE-SDS方案能夠?qū)崿F(xiàn)安全有效的數(shù)據(jù)共享并支持高效的密文密鑰同步演化，有效降低了攻擊者攻擊成功的概率。

[1] 蘇金樹, 曹丹, 王小峰, 等. 屬性基加密機制[J]. 軟件學(xué)報, 2011,22(6)∶1299-1315．SU J S, CAO D, WANG X F, et al. Attribute-based encryption schemes[J]. Journal of Software, 2011, 22 (6)∶1299-1315.

[2] 馮登國, 張敏, 張妍,等. 云計算安全研究[J]. 軟件學(xué)報, 2011,22(1)∶71-83.FENG D G, ZHANG M, ZHANG Y, et al. Study on cloud computing security[J]. Journal of Software, 2011,22(1)∶71-83.

[3] 黃劉生, 田苗苗, 黃河. 大數(shù)據(jù)隱私保護密碼技術(shù)研究綜述[J]. 軟件學(xué)報, 2015, 26(4)∶945-959.HUANG L S, TIAN M M, HUANG H. Preserving privacy in big data∶a survey from the cryptographic perspective[J]. Journal of Software,2015, 26(4)∶945-959.

[4] DAN B, FRANKLIN M K. Identity-based encryption from the Weil pairing[C]//International Cryptology Conference. 2001∶213-229.

[5] SAHAI A, WATERS B. Fuzzy identity-based encryption[C]// International Conference on Theory and Applications of Cryptographic Techniques. 2005∶ 457-473.

[6] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)安全防御[J]. 保密科學(xué)技術(shù), 2014(10)∶ 4-10.WU J X. Cyber minic security defense[J]. Secrecy Science and Technology, 2014(10)∶4-10.

[7] 鄔江興. 擬態(tài)計算與擬態(tài)安全防御的原意和愿景[J]. 電信科學(xué),2014, 30(7)∶1-7.WU J X. Meaning and vision of mimic computing and mimic security defense[J]. Telecommunications Science, 2014, 30(7)∶1-7.

[8] 劉杰, 曾浩洋, 田永春,等. 動態(tài)彈性安全防御技術(shù)及發(fā)展趨勢[J].通信技術(shù), 2015(2)∶117-124.LIU J, ZENG H Y, TIAN Y C, et al. Technology and developmenttrend of dynamic resiliency for security defense[J]. Communications Technology, 2015(2)∶117-124.

[9] JAJODIA S, JAJODIA S, JAJODIA S, et al. moving target defense[J].Advances in Information Security, 2011, 54∶99-108.

[10] 蔡桂林, 王寶生, 王天佐,等. 移動目標防御技術(shù)研究進展[J]. 計算機研究與發(fā)展, 2016, 53(5)∶968-987.CAI G L, WANG B S, WANG T Z, et al. Research and development of moving target defense technology[J]. Journal of Computer Research and Development, 2016, 53(5)∶ 968-987.

[11] JAJODIA S, GHOSH A K, SWARUP V, et al. Moving target defense∶creating asymmetric uncertainty for cyber threats[J]. Springer Ebooks,2011.

[12] WANG H, JIA Q, Dan F, et al. A moving target DDoS defense mechanism[J]. Computer Communications, 2014, 46(6)∶10-21.

[13] 雷程, 馬多賀, 張紅旗,等. 基于最優(yōu)路徑跳變的網(wǎng)絡(luò)移動目標防御技術(shù)[J]. 通信學(xué)報, 2017, 38(3)∶133-143.LEI C, MA D H, ZHANG H Q, et al. Network moving target defense technique based on optimal forwarding path migration[J]. Journal on Communications, 2017, 38(3)∶133-143.

[14] 羅興國, 仝青, 張錚,等. 擬態(tài)防御技術(shù)[J]. 中國工程科學(xué), 2016,18(6)∶69-73.LUO X G, TONG Q, ZHANG Z, et al. Mimic defense technology[J].Engineering Sciences, 2016, 18(6)∶69-73.

[15] 仝青, 張錚, 張為華,等. 擬態(tài)防御Web服務(wù)器設(shè)計與實現(xiàn)[J]. 軟件學(xué)報, 2017, 28(4)∶ 883-897.TONG Q, ZHANG Z, ZHANG W H, et al. Design and implementation of mimic defense Web server[J]. Journal of Software, 2017, 28(4)∶ 883-897.

[16] YU S, WANG C, REN K, et al. Attribute based data sharing with attribute revocation[C]//ACM Symposium on Information, Computer and Communications Security. 2010∶261-270.

[17] HUR J, DONG K N. Attribute-based access control with efficient revocation in data outsourcing systems[J]. IEEE Transactions on Parallel & Distributed Systems, 2011, 22(7)∶1214-1221.

[18] ZU L, LIU Z, LI J. New ciphertext-policy attribute-based encryption with efficient revocation[C]//IEEE International Conference on Computer and Information Technology. 2014∶281-287.

[19] YANG K, JIA X, REN K. Attribute-based fine-grained access control with efficient revocation in cloud storage systems[C]//ACM Sigsac Symposium on Information, Computer and Communications Security.2013∶523-528.

[20] XIA Z H, ZHANG L G, LIU D D, et al. Attribute-based access control scheme with efficient revocation in cloud computing[J]. China Communications, 2016, 13(7)∶92-99.

[21] FIAT A, NAOR M. Broadcast encryption[M]//Advances in Cryptology— CRYPTO’ 93. Springer Berlin Heidelberg, 1993∶480-491.

[22] PHAN D H, POINTCHEVAL D, SHAHANDASHTI S F, et al. Adaptive CCA broadcast encryption with constant-size secret keys and ciphertexts[J]. International Journal of Information Security, 2013,12(4)∶251-265.

[23] ZHOU Z, HUANG D, WANG Z. Efficient privacy-preserving ciphertext-policy attribute based encryption and broadcast encryption[J].IEEE Transactions on Computers, 2014, 64(1)∶126-138.

[24] WU Q, QIN B, ZHANG L, et al. Contributory broadcast encryption with efficient encryption and short ciphertexts[J]. IEEE Transactions on Computers, 2016, 65(2)∶466-479.

[25] BONEH D, BOYEN X, GOH E J. Hierarchical identity based encryption with constant size ciphertext[C]//International Conference on Theory and Applications of Cryptographic Techniques.2005∶440-456.