非可信環(huán)境下的云端數(shù)據(jù)加密與授權方案*

劉慧紅，黃普善，毛得明，張宇光

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

隨著物聯(lián)網(wǎng)、5G 網(wǎng)絡、元宇宙等概念的提出與廣泛應用，網(wǎng)絡用戶產(chǎn)生的數(shù)據(jù)量也越來越多。如圖1 所示為云存儲基本框架，用戶在面對與日俱增的數(shù)據(jù)、自身資源限制、數(shù)據(jù)使用與共享等情況時，通常會選擇將部分數(shù)據(jù)存儲于云端，如谷歌云、AWS、小米云空間等，在需要的時候進行讀取、共享等操作。云儲存給用戶帶來了極大的便利，用戶只需按需購買并使用云空間與網(wǎng)絡服務即可，同時又有效地降低了成本、提高了效率。然而，近年來數(shù)據(jù)泄露的問題頻發(fā)。2017 年百度網(wǎng)盤發(fā)生數(shù)據(jù)泄露事件，大量私人信息遭到泄露，包括身份證、車牌號等信息；2021 年Facebook 5.33 億用戶、領英7億用戶數(shù)據(jù)遭到泄露，并在暗網(wǎng)售賣。用戶數(shù)據(jù)一旦發(fā)送至云端進行存儲，用戶將失去對數(shù)據(jù)的控制權，同時面對非可信的網(wǎng)絡環(huán)境，用戶將時時刻刻面臨數(shù)據(jù)與隱私安全問題。

圖1 網(wǎng)絡云存儲

因此，如何有效地保護用戶數(shù)據(jù)安全、構建安全的網(wǎng)絡空間環(huán)境得到了國家、機構、廣大研究者和企業(yè)的重視。在2012 年，新加坡頒布了《個人數(shù)據(jù)保護法》[1]。2018 年，歐盟頒布了號稱史上最嚴苛的數(shù)據(jù)安全法案《通用數(shù)據(jù)保護條例》（General Data Protection Regulation）[2]。我國也在2016 年頒布了《中華人民共和國網(wǎng)絡安全法》[3]，2018 年頒布了《中華人民共和國密碼法》[4]，2021 年頒布了《中華人民共和國數(shù)據(jù)安全法》[5]和《中華人民共和國個人信息保護法》[6]等相關法律法規(guī)，從法律層面為組織、企業(yè)、個人等的數(shù)據(jù)與隱私安全保駕護航。

廣大學者也在相關領域進行了廣泛的研究。由于云服務提供商并非不可信的，因此將存在數(shù)據(jù)被泄露、篡改等風險，但將數(shù)據(jù)加密后上傳，數(shù)據(jù)的授權、分享將成為新的挑戰(zhàn)。蘇铓等人[7]針對傳統(tǒng)訪問控制無法應對云計算、天地一體化網(wǎng)絡對云服務的需求，提出使用代理重加密技術和多要素訪問控制技術結合的方案?；趯傩缘募用埽ˋttribute-Based Encryption，ABE）方案也是廣泛研究與使用的方式，最早是2004 年由Sahai 等人[8]提出的。隨后研究人員在理論算法、應用等方面進行了廣泛研究。Li 等人[9]為提升多媒體社交網(wǎng)絡的服務質量，針對云存儲數(shù)據(jù)的安全和授權策略靈活性方面，結合ABE 方案進行了系統(tǒng)設計，但該方案的計算在復雜度等方面存在一定缺陷，難以適應大規(guī)模的屬性加密系統(tǒng)。Wang 等人[10]針對智能電網(wǎng)與云端輔助存儲的安全與實用、智能電網(wǎng)等環(huán)境下設備資源受限等問題，利用橢圓曲線決策的Diffie-Hellman問題設計了基于屬性的加密方案，同時通過實驗評估的方法證明了方案的實用性。Sun 等人[11]由于之前基于容錯學習（Learning with errors，LWE）假設的研究多數(shù)都是在單一權威機構下構建的ABE，在效率方面受到約束，所以該文獻在基于環(huán)容錯學習（Ring-Learning with errors，R-LWE）假設的基礎上構建了多權威的門限訪問結構的ABE 方案，使得系統(tǒng)更加高效。曹來成等人[12]則通過引入可信第三方來解決數(shù)據(jù)加密過程中的計算開銷問題，該方案可以降低用戶端計算開銷，很好地適用于資源受限設備。Sandor 等人[13]設計了一種高效的ABE移動云數(shù)據(jù)存儲方案，其權威機構是分散的，省去了全局用戶身份，取消了中央授權機構，但引入了新的云用戶助理（Cloud User Assistant，CUA）。Li 等人[14]則使用多權威的屬性基加密解決云存儲在數(shù)據(jù)加密、共享時的高效與靈活性問題（這兩個是同一篇文獻）。Yang 等人[15]針對移動終端的存儲和計算能力有限，難以應對設備與公有云之間的文件共享數(shù)據(jù)傳輸?shù)葐栴}，利用私有云輔助用戶進行數(shù)據(jù)的完整性校驗等操作。Li 等人[16]針對密文數(shù)據(jù)的存儲、計算過程存在的安全風險，提出了一種可驗證外包計算結果的方案，但該方案在面臨規(guī)模較大的計算任務時，用戶的計算成本依然較高。Truong 等人[17]考慮到數(shù)據(jù)所有者無法感知服務器的數(shù)據(jù)操作是否合規(guī)，提出了使用去中心化的機制處理用戶數(shù)據(jù)，即利用區(qū)塊鏈技術對數(shù)據(jù)的操作進行記錄。

但以往的研究工作中對抗量子攻擊的考慮較少。未來量子計算機的應用將對基于雙線性映射等困難問題為基礎的密碼算法帶來一定挑戰(zhàn)。同時，數(shù)據(jù)加密雖然能夠有效阻止不可信的云服務提供商窺探用戶數(shù)據(jù)隱私，但難以應對云服務提供商（非可信的云服務提供商）篡改、偽造用戶數(shù)據(jù)以及網(wǎng)絡傳輸過程中導致的數(shù)據(jù)丟失等問題。因此本文提出了一種基于屬性的云中數(shù)據(jù)加密授權方案。該方案將格理論構建密鑰策略的屬性基加密（Ciphertext-Policy Attribute-Based Encryption，CPABE）算法用于保證數(shù)據(jù)安全與靈活授權，同時采用區(qū)塊鏈技術對用戶發(fā)布的數(shù)據(jù)信息進行存儲，保證了在非可信環(huán)境下數(shù)據(jù)的完整性檢驗。

本文的貢獻點如下：

（1）構造了抗量子攻擊的CP-ABE 方案，同時考慮到單一授權機構帶來的時延、系統(tǒng)穩(wěn)定性問題，采用多授權方案，有效提升了方案的實用性；

（2）考慮到數(shù)據(jù)在發(fā)布、存儲、共享過程中，面臨數(shù)據(jù)篡改、使用過程不明確等問題，使用區(qū)塊鏈技術對數(shù)據(jù)的完整性以及操作過程進行記錄；

（3）通過安全證明和理論分析證明了方案的安全性與執(zhí)行效率。

本文將在第2 節(jié)中對方案所涉及的理論知識進行簡要的概述；第3 節(jié)將對方案框架進行描述，包括方案各參與方及其功能、安全威脅等；在第4 節(jié)中將對所設計的算法進行詳細介紹；在第5 節(jié)中對方案的安全性以及效率進行分析；最后，將對本文的工作進行總結、分析，并對未來研究進行展望。

1 預備知識

本節(jié)中將對非可信環(huán)境下的云端數(shù)據(jù)加密與授權方案中使用到的基礎理論如格理論、基于屬性的加密方案以及區(qū)塊鏈技術等進行簡要介紹，以便后文更好地闡述系統(tǒng)模型。

1.1 格的定義

在這里定義Rn為n維歐幾里得空間，Rn中的一個格定義為 L。格 L 由一組線性無關的向量組成，假設 L的基為B=(b1,b2,…,bm)∈Rn×m，因此可得：

式中：xi為n維歐幾里得空間的維度，取值范圍為整數(shù)。

關于格中相關的困難問題可以參考文獻[18]。

1.2 基于屬性的加密算法

ABE 方案最早是由Sahai 等人提出的。之后經(jīng)過學者的研究，基于屬性的加密大致分為兩種：一種是密鑰策略的屬性基加密方案（Key-Policy Attribute-Based Encryption，KP-ABE）[19]，其訪問策略包含于密鑰中，只有用戶密鑰策略滿足訪問屬性設置才可正確解密；另一種是密文策略的屬性基加密方案（CP-ABE）[20]，其訪問策略包含于密文中，只有用戶的屬性滿足授權集合才能正確解密密文。同時，隨著研究的深入，也有很多ABE 方案在不同困難問題下進行構建，例如雙線性映射[21-23]、橢圓曲線[24-25]、格理論[26-29]等，但加解密的過程基本是相同的。由于本文采用的是CP-ABE 方案，因此這里僅簡單介紹CP-ABE的加解密過程。

CP-ABE 方案主要包括Setup、KeyGen、Encrypt、Decrypt 這4 個算法，下面將對這4 個算法進行形式化描述。

（1）Setup(1λ→σ)：由系統(tǒng)給出初始化參數(shù)1λ作為輸入，系統(tǒng)將輸出相應的公開參數(shù)σ和主密鑰MK。

（2）KeyGen(MK,S→SK)：接下來，系統(tǒng)將主密鑰MK和用戶的屬性集S作為輸入，系統(tǒng)將輸出對應的用戶屬性私鑰SK。

（3）Encrypt(σ,msg,A→C)：用戶將公開參數(shù)σ、要加密的消息msg和訪問控制策略A作為輸入，輸出密文C。

（4）Decrypt(SK,C→msg′)：當解密用戶欲解密密文C時，用戶將輸入自己的屬性私鑰SK、密文C，輸出結果msg′。當用戶的屬性私鑰不滿足密文C所包含的訪問控制策略時，系統(tǒng)輸出結果為⊥；當用戶的屬性私鑰滿足密文C所包含的訪問控制策略時，系統(tǒng)輸出結果msg′=msg。

1.3 區(qū)塊鏈

區(qū)塊鏈是一種共享型數(shù)據(jù)庫，能夠存儲數(shù)據(jù)或信息。由于其“誠實”和“透明”等特點使其具有良好的“信任”，常用來作仲裁中介等[30]。

如圖2 所示，一個區(qū)塊由區(qū)塊頭和區(qū)塊體構成。區(qū)塊頭包含前一區(qū)塊的哈希值、時間戳、隨機數(shù)、區(qū)塊體的Merkle 樹根等信息。區(qū)塊體是一棵Merkle樹，葉子節(jié)點為數(shù)據(jù)（散列值），非葉子節(jié)點則存儲葉子節(jié)點哈希值。

圖2 區(qū)塊鏈結構

由于每一個區(qū)塊都包含前一區(qū)塊的哈希值，因此所有區(qū)塊有序地構成一個鏈式結構，且鏈上的數(shù)據(jù)是唯一的，每個節(jié)點將存儲一份，所有備份數(shù)據(jù)與原始數(shù)據(jù)是相同的，以便在有爭議時驗證鏈上數(shù)據(jù)的真實性。

2 方案模型

2.1 非可信環(huán)境下的云端數(shù)據(jù)加密與授權模型

在非可信環(huán)境下的云端數(shù)據(jù)加密與授權模型下共有5個參與方，分別為數(shù)據(jù)所有者、云存儲服務器、數(shù)據(jù)（非）授權用戶、區(qū)塊鏈基礎服務設施、密鑰分發(fā)機構。非可信環(huán)境下的云端數(shù)據(jù)加密與授權框架如圖3 所示。

圖3 非可信環(huán)境下的云端數(shù)據(jù)加密與授權框架

2.1.1 數(shù)據(jù)所有者

該部分用戶是原始數(shù)據(jù)的產(chǎn)生或擁有者，其能夠對原始數(shù)據(jù)的使用權進行控制，主要功能包括將原始數(shù)據(jù)加密后上傳至云存儲服務器，同時生成原始數(shù)據(jù)的散列值并存儲于鏈上，以便進行后續(xù)的數(shù)據(jù)校驗。

2.1.2 云存儲服務器

該參與方提供數(shù)據(jù)的存儲、轉發(fā)功能，但該參與方并非可信的，其可能對存儲于自身空間的數(shù)據(jù)進行修改、偽造等操作。

2.1.3 數(shù)據(jù)（非）授權用戶

該參與方能夠查看數(shù)據(jù)所有者存儲在云服務器中的數(shù)據(jù)，其擁有密鑰分發(fā)機構頒布的密鑰，該密鑰中包含數(shù)據(jù)授權信息，只有符合數(shù)據(jù)授權策略的用戶才能正確解密數(shù)據(jù)。

2.1.4 區(qū)塊鏈基礎服務設施

該參與方用于存儲原始數(shù)據(jù)的散列值，當數(shù)據(jù)的授權用戶對加密數(shù)據(jù)解密后的值存在疑問時，可以通過與鏈上存儲的數(shù)據(jù)散列值進行對比，以確定數(shù)據(jù)的真實性。

2.1.5 密鑰分發(fā)機構

該機構用戶為系統(tǒng)中的用戶頒發(fā)私鑰以及系統(tǒng)公鑰，由于該機構僅在需要進行密鑰頒發(fā)、更新時才會進行相應工作，并非時刻工作在方案系統(tǒng)中，因此未在系統(tǒng)框架中給出。

2.2 系統(tǒng)工作流程

本文將方案共分為密鑰分發(fā)、數(shù)據(jù)加密與數(shù)據(jù)信息鏈上存儲、數(shù)據(jù)解密、數(shù)據(jù)校驗4 個階段。在方案中存在一個中央授權機構（Central Authority，CA）、多個屬性授權機構（Attribute Authority，AA），由中央授權機構為每個用戶分配全局屬性標識（Global IDentifier，GID），由系統(tǒng)用戶共同維護存儲數(shù)據(jù)信息區(qū)塊鏈。方案時序如圖4 所示。

圖4 方案時序

2.2.1 階段一：密鑰生成與分發(fā)

（1）由中央授權機構隨機選取安全參數(shù)作為輸入，輸出中央授權機構公鑰CAmpk和全局公開參數(shù)GP。

（2）由屬性權威機構將全局公開參數(shù)GP作為輸入，輸出全局屬性私鑰和屬性公鑰。

（3）完成上述兩步之后，將為系統(tǒng)用戶頒發(fā)用戶私鑰。由屬性權威機構確定用戶的屬性集合，根據(jù)用戶屬性為其頒發(fā)屬性私鑰（用戶屬性真包含于全局屬性中），如果用戶擁有屬性Ai，該屬性為積極的，表示為；如果用戶未擁有屬性Ai，該屬性為消極的，表示為。最后輸出用戶私鑰。

2.2.2 階段二：數(shù)據(jù)的加密與信息鏈上存儲

（1）數(shù)據(jù)所有者首先確定授權訪問集合，并將MSG進行編碼（編碼后的消息第i位為msgi∈{0,1}），然后利用屬性公鑰加密消息msgi∈{0,1}，最后輸出密文C。

（2）同時，對消息MSG計算散列值hash(MSG)，將hash(MSG)上傳到區(qū)塊鏈中進行存儲。

2.2.3 階段三：數(shù)據(jù)解密

授權用戶將密文和自己所擁有的私鑰作為輸入，如果該用戶自身屬性密鑰不滿足數(shù)據(jù)所有者制定的授權訪問集合，系統(tǒng)將輸出⊥；如果該用戶自身屬性密鑰滿足數(shù)據(jù)所有者制定的授權訪問集合，將解密消息msgi∈{0,1}，并可以解碼消息MSG。

2.2.4 階段四：數(shù)據(jù)校驗

授權用戶在得到消息MSG′后可以計算散列值hash(MSG′)，由于MSG散列值hash(MSG) 是存儲在鏈上的，因此可以進行公開比對，如果hash(MSG′)=hash(MSG)，就可以確定消息MSG是正確被解密的。

2.3 威脅模型

本文中的威脅模型來自云存儲服務提供商，在這里假設云存儲服務提供商是惡意的，它可能會不遵守協(xié)議或者利用惡意手段對用戶的數(shù)據(jù)（結果或中間值）進行推測，以及未能有效地保存用戶的數(shù)據(jù)，進而造成用戶的數(shù)據(jù)丟失、篡改、泄露等。授權用戶也不是完全可信的，其可能利用不滿足訪問控制策略的密鑰嘗試解密密文。區(qū)塊鏈是完全可信的，用于存儲數(shù)據(jù)所有者的消息（散列值），幫助授權用戶校驗解密數(shù)據(jù)真實性與完整性。假設區(qū)塊鏈中的礦工規(guī)模足夠龐大，足以保證區(qū)塊鏈系統(tǒng)的穩(wěn)定與安全。

3 算法構建

非可信環(huán)境下的云端數(shù)據(jù)加密與授權方案如圖4 所示。接下來將對方案進行詳細論述。

3.1 階段一：系統(tǒng)初始化與密鑰的分發(fā)

3.2 階段二：數(shù)據(jù)信息的鏈上存儲與加密

（1）Hash(MSG)：數(shù)據(jù)所有者計算欲加密數(shù)據(jù)MSG散列值H(MSG)，并上傳至鏈上進行存儲。在存儲過程中，H(MSG)并非實時寫入?yún)^(qū)塊中，因為需要達到足夠數(shù)量的交易節(jié)點才能完成區(qū)塊的構建。首先，將全部H(MSG)進行編排，構成Merkle樹的葉子節(jié)點，并構建區(qū)塊體。區(qū)塊頭由前一區(qū)塊的散列值hi-1、時間值t，隨機數(shù)rnum、Merkle 樹的根節(jié)點Mroot以及版本號V構成。

3.3 階段三：密文數(shù)據(jù)的解密

3.4 階段四：解密后密文數(shù)據(jù)完整性校驗

Check(H(MSG′))：授權用戶計算解密得到的數(shù)據(jù)MSG′散列值H(MSG′)，并與上傳至鏈上存儲的H(MSG)進行對比。如果H(MSG′)=H(MSG)，則說明數(shù)據(jù)是真實可信的；否則說明數(shù)據(jù)遭到篡改。

4 安全性分析與性能評估

4.1 安全性分析

4.1.1 數(shù)據(jù)完整性

在本方案中，數(shù)據(jù)需要通過加密后再上傳至云存儲，因此保證了密文數(shù)據(jù)不會被誠實而好奇的參與方竊取任何信息；但本文假設云服務提供商是惡意的，其可能篡改、偽造數(shù)據(jù)等，對數(shù)據(jù)的安全存儲構成威脅，因此采用區(qū)塊鏈技術在加密數(shù)據(jù)之前將數(shù)據(jù)的信息上傳至鏈上進行存儲，以備后期進行公開驗證。

4.1.2 抗共謀攻擊

由于惡意的云服務提供商可能勾結部分礦工節(jié)點進行虛假交易，因此會對公開驗證階段構成威脅。但區(qū)塊鏈技術提供了安全可信的執(zhí)行環(huán)境，內部存在大量節(jié)點存儲、備份、計算區(qū)塊鏈的正確性。如果說存在某個云服務提供商能夠通過與部分節(jié)點共謀的方式修改、控制該區(qū)塊鏈，也意味其可以修改控制其他區(qū)塊鏈系統(tǒng)。

4.1.3 訪問控制管理

在方案中，數(shù)據(jù)使用基于格的屬性加密算法生成密文，同時將訪問控制策略一同寫入密文中，只有授權用戶的屬性信息滿足訪問控制策略時才可以正確解密密文。因此方案既有效地保證了數(shù)據(jù)的云存儲安全，又實現(xiàn)了大數(shù)據(jù)下的數(shù)據(jù)靈活訪問授權。

4.2 性能評估

目前，基于雙線性映射與橢圓曲線構建的屬性基加密方案居多，因此本文將基于雙線性映射、橢圓曲線以及格上的方案都進行了分析與對比，同時在以往方案中多數(shù)假設用戶數(shù)據(jù)上傳至云端后，數(shù)據(jù)是被安全存儲的，即云存儲服務提供商是誠實且好奇的，但本文假設云存儲服務提供商是不可信的，其可能是惡意的，也可能由于部分因素將用戶存儲的數(shù)據(jù)丟失，因此，還需要驗證用戶存儲在云端的數(shù)據(jù)的完整性。方案安全性對比如表1 所示。

表1 方案安全性對比

5 結語

現(xiàn)如今數(shù)據(jù)量正在呈爆炸式增長，用戶選擇將數(shù)據(jù)存儲在云端，以減輕本地設備的存儲負擔以及便捷的數(shù)據(jù)訪問與使用，但網(wǎng)絡存在諸多安全挑戰(zhàn)。為在非可信的網(wǎng)絡環(huán)境下構建更加安全的數(shù)據(jù)云端存儲與授權模式，本文提出了一種基于格的屬性加密方案，同時結合區(qū)塊鏈技術保證數(shù)據(jù)在非可信云存儲服務提供商環(huán)境下的數(shù)據(jù)完整存儲。該方案不僅考慮到量子計算對傳統(tǒng)數(shù)據(jù)加密所帶來的威脅，還基于區(qū)塊鏈技術構建了數(shù)據(jù)完整性管理機制。最后，對本文提出的方案進行了安全性分析與理論性能對比，結果表明本文的方案具有更高的安全性，可以更好地適應非可信環(huán)境下云端的數(shù)據(jù)存儲與共享。