混合云环境下基于属性的密文策略加密方案

1、混合云环境下基于属性的密文策略加密方案摘要：针对现有云存储的数据和访问控制的安全性不高，从而造成用户存储的敏感信息被盗取的现象，结合现有的基于密文 策略属性加密(cpabe)方案和数据分割的思想，提出了一个基 于混合云的高效数据隐私保护模型。首先根据用户数据的敏感程 度将数据合理分割成不同敏感级别的数据块，将分割后的数据存储在不同的云平台上，再根据数据的安全级别，进行不同强度的 加密技术进行数据加密。同时在敏感信息解密阶段采取“先匹配 后解密”的方法，并对算法进行了优化，最后用户进行一个乘法 运算解密得到明文。在公有云中对1gb数据进行对称加密，较 单节点提高了效率一倍多。实验结果表明：该方案

2、可以有效保护 云存储用户的隐私数据，同时降低了系统的开销，提高了灵活性。关键词:访问控制；混合云；云存储；数据分割；属性；敏感级别中图分类号:tp309.2文献标志码:0引言云计算(cloud computing)是一种非常有前景的计算模式， 其建立在虚拟化、并行与分布式计算以及面向服务的体系结构±o云计算可以降低企业的成本，以及减少硬件设施的搭建，云用户可方便、灵活定制自己需要的服务、应用及资源，并且云具有强大的计算和存储能力。云存储作为云计算的重要组成部分, 已经在国际上得到广泛关注和发展，很多公司都提供了开放的云 存储业务。通过低成本的节点存储设备，提供大规模的存储服务, 但现

3、有的公有云存储提供商对于用户数据的隐私保护比较有限, 这也是用户无法完全信任云存储服务提供商的原因o基于属性加密(attributebased encryption, abe)的想法由sahai等于2005年提出。它把身份标识被看作是一系列的属 性。goyal等于2006年提出了密钥策略的基于属性加密方案(key pol icy attribute based encryption 9 kpabe),引入访问控制树的概念，并把访问控制树部署在密钥中，来限制用户解密密文, 实现了对密文的细粒度共享o bethencourt等于2007年首次提 出密文策略的基于属性加密(ciphertextpol

4、icy attributebased encryption, cpabe),在该方案中，用户的私钥是根据用户的 属性集合生成的，密文策略则以访问树的形式部署在密文中，这 种方式和kpabe方式相反，当且仅当用户的属性集合满足密文 中密文策略时，用户才能解密。在abe系统中，通过属性集合 表示用户的身份，其中的属性集合由一个或多个属性构成。从用 户身份的表达方式来看，基于属性加密的属性集合具有更强、更 丰富的表达能力。鉴于云存储服务商能为了商业利益，私自获取用户的敏感信 息，对于这种服务提供商不完全可信的情况，引入密文机制的访 问控制是十分必要的。同时，利用传统的加密技术将加密后的数 据托管到云

5、存储系统中，会带来较大的系统开销。针对上述问题, 本文结合了数据分割的思想4,并采用cpabe加密的方法，提 出了一个基于混合云环境下的高效数据隐私保护模型，该模型具 备灵活的访问权限管理能力；同时也减小了加密数据在云端存储 的系统开销，提高了用户数据存储的性能和安全性。shamir5早在2005年提出了一种新的加密访问控制方法:基于身份的加密方案。在基于身份加密方案中，作者提出了模糊 身份(fuzzy identity)的概念，并结合该概念设计了一个基于模糊身份的加密(fuzzy identity based encryption)方案。模糊身份是指一组由描述性属性构成的集合，这些属性是通过

6、生物识别 技术采集和处理后的特征值。在解密过程中，当且仅当解密者与 加密者属性集合交集中属性的个数大于一个特定值时，解密者才 可以解密。模糊身份是指一组由描述性属性构成的集合，这些属 性是通过生物识别技术采集和处理后的特征值。在解密过程中, 当且仅当解密者与加密者属性集合交集中属性的个数大于一个 特定值时，解密者才可以解密。后来文献6中首次将abe算法分类，并定义为基于密钥政策的abe (kpabe)和基于密文政策的abe (cpabe)算法，但是并没有能够给出相应的加密算法。文献刀提出了第一个cpabe 方案，但是在该方案中，加密者通常把访问策略与密文一起发送 给用户，因此获得密文的用户就能

7、够知道访问策略，但有时访问策略本身就是敏感信息,需要保密。尤其是在云计算环境下,于用户和资源的大规模多源性，保护访问策略的隐私越发重要, 许多学者也对此进行了研究。nishide等6和yuchase文献7的作者姓氏为chase,而不是yu,这二者不匹配，请作相应调整。要注意文献在正文中的 依次引用顺序。7扩展了文献中的cpabe方案，实现了访问 策略的隐藏，但是这两个方案都只支持一个与门的多值策略。文 献9采用了与k匿名相似的方法，即策略匿名的方法，结合图 论中语法树的概念，对nishide等6的一个cpabe方案进行扩展, 保护了访问策略的隐私。攻击者只能得到一个可能策略的大集 合，而不能确

8、定哪一个策略是实际用到的。该方案可以结合多个 与门，能够表达多种布尔结构构成的访问策略。文献10利用线性整数密钥共享(linear integer secret sharing, liss)矩阵表示访问结构。liss适合任意的访问结构，且比lsss表示的花费小, 该方案在判定双线性 deffiehellman ( decisional bilineardeffiehellman, dbdh)假设下是选择性安全的。这一方案在判定线性型(decision linear, dlinear)假设和dbdh假设下是选择安全的。本文首先根据数据的敏感等级将其分割成不同敏感程度的数据集，分别存储于混合云的不

9、同域中：可将敏感数据存储在私 有云中，并利用cpabe加密；而将非敏感数据存入公有云当中, 根据数据的安全需求利用不同强度的加密算法进行加密(例如:基于数据染色的加密方案、微型加密算法（tiny encryptionalgorithm, tea）、分组对称加密算法等）。私有云和公有云中 各自保存一部分信息，所以隐私外泄的可能性也会降低。随着云 的发展，用户属性将越来越多，数据量也将越来越大，如果用cpabe算法来加密所有数据，将造成巨大的系统开销。故此方案只利用cpabe处理相对较小的敏感数据，大大减小了系统的开 销。此外，在解密敏感数据时采用“先匹配后解密”的方法，在 私有云中根据匹配结果来

10、决定是否进行解密，匹配失败则不解 密，从而降低了系统的整体运算量，提升了效率。最后，用户仅接收来自于私有云和公有云的信息，并进行简单的数据处理，所有复杂的数据计算过程交由云来完成,这不仅提高了处理速度,而且提高了安全性。2背景知识2.1双线性映射选取两个阶数为p的乘法循环群,其中p是一个大素数，g是生成元，定义映射e： gxggt,若满足以下3个性质。1)双线性性。对所有的u, veg,以及a, bezp,有e (ua,vb) =e (u, v) abo2）非退化性。存在u, vgg,使得e （u, v） hl。3）可计算性。对任意的u, vgg,存在一个有效的算法， 能够在多项式时间内计算出

11、e （u, v）。则称这个映射为一个有效的双线性映射。由于e是一个对称操作，所以 e (ga, gb) =e (g, g) ab=e (gb, ga)。2.2复杂性假设1) dbdh假设。首先定义a, b, c, zgr zp,另外ger g 是一个生成元。本文认为若在没有明显优势的情况下以多项式时 间内从组g, ga, gb, gc, gz中区分出g, ga, gb, gc, e (g, g) abc是不可能的，则认为在g中dbdh假设成立。2) dlinear 假设。首先定义 zl, z2, z3, z4, zgrzp,另外 ger g是一个生成元。本文认为若在没有明显优势的情况下以 多项

12、式时间内从组g, ga, gb, gc, gz中区分出g, ga, gb, gc, e (g, g) abc是不可能的,则认为g中dlinear假设成立。2.3访问结构访问结构就是一个树形结构。在这个树中所有非叶子节点都 是带有阈值的门限方案，叶子节点表示属性。对树中每个非叶子 节点定义子节点数量和门限值。在本文中，访问结构(又叫作cpabe的密文政策)是一个返回0或1的值给属性集l的规则w,通常用l=w表示l满足w,而l不满足w则表示为lhw。在本文中采用的访问结构由一个支持多属性和通配符的简 单的“与门”来完成，文中的访问结构如同文献11中采用的一 样。通常给定一个属性列表l=l1, l2

13、, , ln和一个密文政策 w=w1, w2,，wn,当li=wi或者 二(表示该通配符 在密文政策中表示“无所谓”)对所有的lwiwn成立时，表示l=w,否则 lhw。2.4cpabe算法的一般形式传统的cpabe算法包含了 4个部分:setup、encrypt、keygen、decrypt,这4个部分分别实现了系统的生成、文件加密、生成私钥、文件解密的过程。具体描述如下。setup此步骤中除了输入隐蔽的安全参数，不输入任何其他数据，生成公钥pk和主密钥mk作为输出。encrypt (pk, m, a)加密算法输入公钥pk,待加密的文件m和包含全局属性的访问结构a。算法将对m进行加密，产生的

14、密文ct作为输出，密文只有当用户的属性满足其访问结构时 才能够被访问。假定密文暗中包含了访问结构a。keygen (mk, s)密钥生成算法输入主密钥mk和一个用户的属性集s,输出与之对应的私钥sk。decrypt (pk, ct, sk)解密算法输入公钥pk,包含访问结构a的密文ct,属性集s产生的私钥sk。若属性集s满足访问 结构a,解密算法将解密密文ct,并且返回原文件m。3本文提出的方案 3.1系统方案冃前主要存在3种方式的云：公有云*私有云和混合云。在公有云中，数据可能存储在云中的任何地方，虽然可以通过加密 的方式来保护数据安全，但是也有可能泄露用户的一些敏感信 息，比如cpabe的

15、访问结构是明文的，这就存在安全隐患。在 私有云中，基础设施掌握在顾客手中，数据与进程也驻留在客户 的私人网络中，因此具有比公有云更高的安全性。本文提出的混合云存储架构，如图1所示。企业网络的内部 包括数据用户和私有云存储系统，并且由企业用户来进行管理。而私有云存储系统调用服务接口与公有云存储进行通信，将相应 数据存放在公有云存储空间中o这些公有云存储和企业管理的私 有云存储共同构成了一个混合云存储系统，为用户提供高效安全 的云存储服务。然而由于经济因素,私有云的规模受到一定限制。与此相对, 公有云具有的可扩展、低成本、易于实施的特点，令其更加适合 存储较大规模的数据。所以本文最终采用了混合云的

16、解决方案。数据拥有者选择上传数据，并在数据敏感程度的基础上定义敏感级，并且根据计算敏感级的方法12称为敏感值级别(levelsof sensitive values, lsv),定义出数据的敏感级别，利用数据分割的思想，将原始数据集,分为敏感与非敏感部分如图2所示。同时，也可以考虑利用人工方法进行敏感数据的划分，首先为数据源添加敏感属性，对已知数据的不同敏感程度进行取值, 数据属主上传数据可根据属性值的等级进行分类，再上传到不同 的云端。如图3所示，系统由4类实体组成：数据属主.用户、私有云、公有云。在方案设计中，数据属主将数据分割后的敏感数据存储在私有云端并用cpabe算法进行加密，只有属于

17、cpabe的授权集合 才能解密小数据块，这样就连数据管理者也不能解密数据，这使 得用户无须担心第三方可信程度，这使得数据拥有者可以指定数 据的使用者。同时用中、低强度加密算法给非敏感数据块进行加 密并进行分块存储在公有云端，本文利用一种对称加密算法（advanced encryption standards aes） 13进行加密，同时利用 hadoop框架进行处理。该模式应用于大数据场景中，一方面混合云可以使得大数据 在其整个处理过程中提高速度，利用云架构，解决了大规模云访 问控制请求处理问题；另一方面属性隐藏的加密技术可以起到安 全与隐私保护的功能，诸如应用于数据发布时的匿名保护，社交 网

18、络中的匿名保护等。对于移动端的设备，如智能手机、平板电 脑（pad）等，由于采用云的方式，用户可以随时随地地通过移 动设备方便地进行数据的访问，因此本方案可以运用于教育系 统.医疗系统、社交网络等环境之中。32方案详述本系统主要包含以下几个步骤：系统建立、生成密文、为用 户授权、访问文件。以下详细介绍各个步骤。3.2.1系统建立这个步骤主要相当于传统的cpabe算法中的setup步骤，系 统中公钥和主密钥的生成主要由私有云来完成。算法setup （1入）。输入：系统安全参数入。输出：公钥pk,主密钥mk。3.2.2生成密文数据属主首先将敏感数据m上传至私有云，由私有云进行加密，一方面利用云计算

19、大大提高了数据加密的速度，另一方面, 由于这里的私有云由企业内部管理，可以认为它可以很好地保证 数据机密性。这个步骤用到了 encrypt算法，将文件进行加密。算法 encrypt (pk, m, w)。输入：系统公钥pk,由数据属主上传的数据文件m,密文政策w。输出：密文ctw。3.2.3为用户授权私有云会为拥有相应属性(集)的用户进行授权，为其生成私钥，并传送给用户。这个步骤采用keygen算法，用于产生私钥。算法:keygen (pk, mk, l)。输入：公钥pk,主密钥mk,用户属性集l。输出:私钥skl。3.2.4访问文件用户首先将自己从私有云接收到的私钥进行匹配:若匹配通 过，且

20、私有云收到用户通过匹配的确认后，为用户解密数据，再将解密完的信息ml发送给用户；若匹配失败，私有云不执行解密操作，发送给用户一个随机值。此阶段采用decrypt算法。算法：decrypt (pk, ctw, skl)。 输入：公钥pk,密文ctw,私钥skl。输出：明文m。1) 匹配阶段。检查l是否满足w：cae (g, co) =e (ca0, daorini=lda , i) e(rini=lci, t,a, da, 0) (1)其屮li=vi, to若l满足，通知私有云该用户匹配通过；否 则返回随机值给用户，并通知私有云该用户匹配失败。2) 解密阶段。私有云首先确认用户匹配是否通过，若确

21、认 通过，私有云则根据式(2)进行解密处理：iini=le (ci, t, 0, di, 0) e (cai, t, 0, dai, 0) rini=le(cl, di, 1) e (cm, dai, 1) =m1 (2)其中li=vi, to私有云将解密结果ml返回给具有访问权限 的用户。用户根据式(3)做最后一步的计算，得到明文：m=xm1 (3)这样就完成了对敏感数据在私有云进行cpabe算法加解密的整体流程，其中包括了对用户访问权限的确认等过程。最终用 户从公有云中下载数据并解密组装为非敏感数据块，和已经解密 完成的敏感数据块进行拼接，传送给用户。3.3方案的正确性证明4安全性分析首先

22、这里的私有云是由企业内部管理的，即私有云服务商遵循协议，忠实地执行合法用户的操作请求，也不会窥探用户的私 密文件。此外，公有云服务商是半可信的，也就是说可能窥探用户私密文件，所以不传输敏感的文件给公有云服务商。同时认为 数据属主、私有云服务商、公有云服务商以及用户之间的通信信 道是完全安全的。此方案的安全模型可以定义为包含一个敌手a 和一个挑战者s的游戏，其中敌手a可以看作是一个用户，挑战 者s即为本文系统中的混合云，以下是该游戏的具体方案。1）启动。敌手a首先提交两个挑战的密文政策wo, wlo2）建立。挑战者s选择一个充分大的安全参数入，然后运行setup算法来得到主密钥mk和相应的公钥pk,挑战者自己 保留主密钥mk,并且把公钥pk发送给敌手。3）查询阶段1。除了散列查询，敌手a另外还发出一个如下的多项式时间界限内的查询来产生密钥：敌手a提交一个属性集l,若