鄧安遠(yuǎn) 史姣麗 黃定 何凱

摘 要：云環(huán)境中，安全事件的頻繁發(fā)生加劇了用戶對個人愛好、閱讀行為模式等隱私安全的擔(dān)心，引發(fā)了用戶對云服務(wù)的信任危機。為解決用戶提交搜索關(guān)鍵字時隱私易泄露問題，提出一個支持關(guān)鍵詞隱私保護的密文共享系統(tǒng)（KPP-CSS）。該系統(tǒng)在支持訪問結(jié)構(gòu)隱私保護的基礎(chǔ)上，基于雙線性映射理論，在DBDH困難性假設(shè)下，可進(jìn)一步隱藏用戶查詢密文時提交的搜索關(guān)鍵詞，實現(xiàn)更完全的隱私安全保護。性能分析與仿真結(jié)果表明，該系統(tǒng)安全可行。

關(guān)鍵詞：密文共享系統(tǒng);屬性加密;隱私保護;訪問結(jié)構(gòu)隱藏;關(guān)鍵詞隱藏

DOI：10. 11907/rjdk. 201951

中圖分類號：TP309.7 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-7800（2020）010-0228-05

Abstract：In cloud environment， the frequent occurrence of security incidents compels users to worry about their privacy security concerning personal hobbies， reading behavior pattern and so on. Based on the bilinear map theory， we propose a ciphertext sharing system supporting keywords privacy protection（KPP-CSS）. It supports keywords privacy protection and can avoid privacy leak in submitting search keywords by users. Under the DBDH difficult assumption， the KPP-CSS realizes privacy protection of access structure and keywords when data users want to search ciphertexts. Thus the KPP-CSS achieves more complete privacy protection. Security analyses indicate that the KPP-CSS is secure， and performance analyses and simulation indicate that it is feasible.

Key Words：ciphertext sharing system; attribute based encryption; privacy protection;access structure hiding; keywords hiding

0 引言

云計算在提供方便、快捷服務(wù)的同時，也給開放、復(fù)雜的網(wǎng)絡(luò)環(huán)境下用戶隱私安全帶來了巨大挑戰(zhàn)。云信息共享平臺開放性越強，用戶權(quán)限越大[1]。在2014年iCloud信息泄露與2015年互聯(lián)網(wǎng)平臺銅掌柜用戶隱私數(shù)據(jù)泄露事件中，受害用戶數(shù)高達(dá)60萬;2017年58同城全國簡歷被惡意竊取。安全事件的不斷發(fā)生加劇了用戶對隱私泄露的擔(dān)心，也引發(fā)了用戶對云存儲服務(wù)的信任危機。

文獻(xiàn)[2]結(jié)合RSA、SHA-256、Blowfish等算法優(yōu)點，針對醫(yī)學(xué)信息特點，提出一種新的快速壓縮加密算法;文獻(xiàn)[3]基于屬性加密（Attribute Based Encryption，ABE）算法，在訪問策略中使用與門、非門和通配符，隱藏每個屬性具體取值，在合數(shù)階群理論上實現(xiàn)了策略隱藏的密文共享方案;文獻(xiàn)[4]在考慮每個屬性可能取值的基礎(chǔ)上，增加了每個屬性可能的狀態(tài)描述，豐富了訪問結(jié)構(gòu)，在素數(shù)階群理論上實現(xiàn)了外包數(shù)據(jù)的完全隱藏策略;文獻(xiàn)[5]提出可并行檢索的哈希索引結(jié)構(gòu);關(guān)鍵詞語義關(guān)系庫構(gòu)建方法及具體的隱私密文數(shù)據(jù)搜索算法。現(xiàn)有研究主要關(guān)注訪問結(jié)構(gòu)的隱私保護，但每次用戶向云服務(wù)器申請密文時，其搜索關(guān)鍵詞仍暴露了密文、發(fā)布者等用戶隱私信息。

本文設(shè)計一個支持關(guān)鍵詞隱私保護的密文共享系統(tǒng)，不僅支持訪問結(jié)構(gòu)隱私保護，當(dāng)用戶作為數(shù)據(jù)使用者查詢密文時，還可隱藏搜索關(guān)鍵詞，實現(xiàn)更完全的隱私安全保護。對方案安全性進(jìn)行分析論述和仿真，結(jié)果表明，該系統(tǒng)具有可行性。

1 相關(guān)研究

屬性加密用于云存儲數(shù)據(jù)訪問控制的研究已積累豐富成果，支持隱私保護的屬性加密訪問控制方法也備受關(guān)注。苗田田等[6]針對外包電子醫(yī)療記錄的安全性和病人隱私性，提出一種適用于電子醫(yī)療環(huán)境中支持用戶隱私保護的訪問控制方案，該方案利用屬性加密保證數(shù)據(jù)機密性，利用不經(jīng)意傳輸實現(xiàn)匿名;羅恩韜等[7]針對移動醫(yī)療計算高峰時的服務(wù)瓶頸，提出醫(yī)生授權(quán)代理，由代理處理用戶數(shù)據(jù)、保證用戶隱私，同時對代理的工作進(jìn)行回溯追蹤;鄭芳等[8]提出一種利用屬性加密進(jìn)行身份認(rèn)證的隱私保護方案，引入移動APP作為密鑰生成中心，以指紋多個特征提取模板與其它特征作為屬性，服務(wù)器端在不知道用戶指紋信息的前提下，根據(jù)用戶輸入的特征解密，以此證明該賬號和密碼屬于用戶本人;劉勝杰等[9]針對社交網(wǎng)絡(luò)隱私安全和屬性更新低效的問題，提出具有策略隱藏和屬性撤銷的屬性基加密方案，通過分解密鑰產(chǎn)生方式降低用戶端計算量，引入合數(shù)階雙線性群，實現(xiàn)訪問策略隱藏;Tang等[10]針對移動眾包中的隱私保護問題，提出雙贏激勵下的隱私保護任務(wù)分解推薦方案，該方案將ABE分為預(yù)計算和線上計算，對計算任務(wù)和計算參與者以雙贏方式進(jìn)行偶匹配。

2 理論基礎(chǔ)

2.1 雙線性映射

設(shè)p和q是素數(shù)，[G0]和[GT]分別是p階和q階的乘法循環(huán)群，稱映射[e：G0×G0→GT]為一個雙線性對，且映射e滿足兩個性質(zhì)：①雙線性。對任意[a，b∈Zp]和[v，w∈G0]都有：[e（va，wb）=e（v，w）ab]。對任意[v1，v2，w∈G0]，有[e（v1v2，w）=e（v1，w）e（v2，w）];②可計算性。存在有效的多項式時間算法對任意的[v，w∈G0]計算[e（v，w）]的值。

2.2 DBDH假設(shè)

設(shè)G是素數(shù)階的循環(huán)群，其中g(shù)為G的生成元，然后選擇[x，y，z，u∈Zp]隨機元素，根據(jù)DBDH假設(shè)可知：在具有不能忽視的優(yōu)勢條件下，多項式時間算法無法區(qū)分以下兩個元組：元組A=[（g，gx，gy，gu，e（g，g）xyu）]，元組B=[（g，gx，gy，gu，] [e（g，g）z）]。

3 模型構(gòu)建

3.1 KPP-CSS系統(tǒng)模型

KPP-CSS系統(tǒng)模型由4個部分構(gòu)成。

（1）數(shù)據(jù)擁有者（Owner）?？墒褂霉_的公鑰（PK）對明文（M）進(jìn)行加密成密文（C），同時也能生成關(guān)鍵詞集合W的索引I（W），并將密文和索引上傳至云服務(wù)器儲存起來;還可為檢索密文設(shè)置用戶屬性訪問控制列表，即只有用戶屬性滿足時才可訪問到密文，不滿足時便不可訪問。

（2）用戶（User）。擁有關(guān)于用戶本身屬性的訪問權(quán)限及屬性相關(guān)私鑰（SK，Secret Key），私鑰由可信授權(quán)中心頒發(fā)，并且可使用私鑰和關(guān)鍵詞生成搜索陷門（Trapdoor），用戶可向云服務(wù)器發(fā)送檢索請求，如果用戶屬性滿足訪問控制要求，則用戶可下載在云服務(wù)器中檢索的數(shù)據(jù)，并在用戶端利用自己的私鑰SK進(jìn)行密文（C）解密。

（3）授權(quán)中心（AA）。授權(quán)中心不同于云服務(wù)器，它是唯一可信的第三方。授權(quán)中心負(fù)責(zé)生成系統(tǒng)的公共參數(shù)（Public Parameters，PP），生成系統(tǒng)公鑰（Public Key，PK）和主密鑰（Master Key，MK），其中公鑰公開，主密鑰保留在授權(quán)中心。授權(quán)中心還需根據(jù)用戶提供的屬性信息和主密鑰（MK）生成私鑰并分發(fā)給用戶。此外，授權(quán)中心還需要生成用戶的陷門驗證參數(shù)Pu并發(fā)給用戶。

（4）云服務(wù)器（Cloud server，CS）。提供數(shù)據(jù)存儲服務(wù)，為數(shù)據(jù)擁有者儲存密文以及關(guān)鍵詞索引，同時也會根據(jù)用戶檢索請求將用戶檢索相應(yīng)加密數(shù)據(jù)提交給用戶，主要是根據(jù)用戶提供的搜索陷門（Trapdoor）及陷門驗證參數(shù)Pu。云服務(wù)器作為不完全可信的第三方，在通信過程中有試圖竊取用戶數(shù)據(jù)隱私的可能。

3.2 KPP-CSS系統(tǒng)安全需求

（1）用戶數(shù)據(jù)機密性。云服務(wù)器存儲加密數(shù)據(jù)，云端數(shù)據(jù)只有滿足訪問結(jié)構(gòu)的用戶方可訪問，那些沒有合法權(quán)限的用戶無法獲得云端密文。

（2）隱藏的訪問結(jié)構(gòu)。為了保護用戶隱私，針對訪問結(jié)構(gòu)進(jìn)行隱藏處理，訪問策略對所有用戶都完全隱藏，即便用戶屬性滿足訪問策略也無法猜出隱藏的訪問策略。

（3）搜索關(guān)鍵詞隱藏。在用戶使用關(guān)鍵詞檢索密文時，用戶使用的關(guān)鍵詞不會泄露用戶隱私，即不能讓他人知曉用戶搜索的關(guān)鍵詞內(nèi)容。

（4）抵抗共謀。單個用戶使用自己的密鑰無法解密密文，但是多個用戶可以通過各自密鑰信息進(jìn)行組合，然后成功解密密文，這種共謀是不允許的。

4 KPP-CSS系統(tǒng)構(gòu)造

KPP-CSS系統(tǒng)是在文獻(xiàn)[3]的基礎(chǔ)上增加了關(guān)鍵詞隱私保護，完整的系統(tǒng)框架如圖2所示。

KPP-CSS系統(tǒng)由初始化、密鑰分發(fā)、加密、解密4個階段構(gòu)成。為體現(xiàn)系統(tǒng)完整性和可讀性，本文延續(xù)文獻(xiàn)[3]的變量命名規(guī)則。

4.1 初始化

授權(quán)中心運行算法Setup完成初始化。

其中，[n∈ZN]是屬性集的階。

4.2 密鑰分發(fā)

授權(quán)中心運行算法KeyGen完成密鑰分發(fā)。

4.3 加密數(shù)據(jù)

數(shù)據(jù)擁有者運行算法EncryptData加密數(shù)據(jù)，并建立索引I（W）。

4.4 解密數(shù)據(jù)

用戶生成檢索陷門Trapdoor，向云服務(wù)器提交Trapdoor及自己的Pu，云服務(wù)器修正[Y=Y'?e（gqw，gqPu）θ]，然后運行Match算法進(jìn)行匹配，若成功則發(fā)送密文給用戶，用戶運行算法DecryptData讀取數(shù)據(jù)。

5 證明與分析

5.1 Match算法正確性證明

5.2 安全性分析

為實現(xiàn)關(guān)鍵詞隱私保護，檢索關(guān)鍵詞時以檢索陷門形式進(jìn)行檢索，故不會在檢索過程中泄露關(guān)鍵詞，其次在在云服務(wù)器存儲的也僅是密文（C）和關(guān)鍵詞索引I（W），且云服務(wù)器也不可能通過密文猜測出用戶檢索的關(guān)鍵詞。此外，所有暴露在外的信息有陷門驗證參數(shù)（Pu）、檢索陷門（Trapdoor）、密文（C）、關(guān)鍵詞索引I（W）。即使擁有Pu以及Trapdoor，也只能通過云服務(wù)器獲得密文并且兩者不能顯示關(guān)鍵詞信息，同樣密文和索引也不能顯示關(guān)鍵詞信息。故用戶檢索隱私是安全的。

5.3 計算量分析

本文只對方案中生成元的指數(shù)運算及雙線性對運算進(jìn)行統(tǒng)計分析，忽略運算量相對較低的運算。

計算量分析如表1所示。其中，Exp表示一次生成元的指數(shù)運算，而Pair表示一次雙線性對運算，|S|表示用戶私鑰屬性集的階，|T|表示密文訪問策略中屬性集的階。選取文獻(xiàn) [3]作為本文的參照原因在于：本文方案KPP-CSS是在其基礎(chǔ)上進(jìn)行關(guān)鍵詞隱私保護;而選擇文獻(xiàn)[11]作為參照的原因是該方案是偏重于屬性撤銷的典型方案。

表1分析結(jié)果表明：①本文方案比文獻(xiàn) [3]在數(shù)據(jù)加密階段計算量更大，這是因為本文方案多了1個建立索引的步驟，該步驟花費的計算開銷為4Exp+Pair;②本文方案和文獻(xiàn) [3]比文獻(xiàn)[11]在KeyGen和EncryptData階段計算量更大，這是因為本文方案和文獻(xiàn)[3]均隱藏了訪問策略，而文獻(xiàn)[11]沒有;③本文方案解密階段比文獻(xiàn)[3]多花費了2Exp的計算代價，這是因為本文為隱藏關(guān)鍵詞而產(chǎn)生了陷門計算量。

5.4 存儲開銷分析

與其它方案相同，本文只對方案中的群元素所需存儲量進(jìn)行統(tǒng)計分析，忽略隨機整數(shù)存儲量。分析結(jié)果如表2所示。其中，[na，k]表示[AAk]管理的屬性數(shù)量，[na，k，ut]表示[AAk]為用戶[ut]發(fā)行的屬性數(shù)量，[nut，k]表示[AAk]管理的用戶數(shù)量，[ηi]表示文獻(xiàn)[11]中用戶路徑[pathGi]與用戶組集合[nodeGi]交集中結(jié)點的數(shù)量，n表示系統(tǒng)中屬性集的階。

6 仿真

在數(shù)據(jù)加密和解密過程中，用戶端計算代價仿真如圖3所示。仿真實驗運行平臺在VMware虛擬機上運行Ubuntu操作系統(tǒng)，單核處理器，RAM 1G，對運算函數(shù)庫采用PBC（Pairing Based Cryptography Library），大整數(shù)數(shù)據(jù)庫采用GMP（The GNU MP Bignum Library）。橢圓曲線選擇曲線，群的階均為160bit，域的大小為512bit。為使實驗結(jié)果穩(wěn)定，運行時間取10次運行的平均。

綜合分析圖3（彩圖掃描OSID二維碼可見）的仿真結(jié)果可知，本文方案與文獻(xiàn)[3]、文獻(xiàn) [11]在加密、解密階段的計算量同在一個數(shù)量級上。

圖3（a）表明，本文方案與文獻(xiàn) [3]相比，為進(jìn)行關(guān)鍵詞隱私保護而在加密階段產(chǎn)生索引的計算代價并未與屬性數(shù)量呈線性關(guān)系，是常數(shù)量，且遠(yuǎn)小于加密數(shù)據(jù)的計算代價。

圖3（b）、3（c）表明，與文獻(xiàn)[3]相同，本文方案解密代價也與屬性數(shù)量呈線性關(guān)系，不同的是本文方案增加了兩個計算代價：云端修正密文計算量是3Exp+Pair，密文數(shù)據(jù)陷門與索引匹配的計算量是2Exp+Pair，此二者計算代價也未與屬性數(shù)量呈線性關(guān)系，是常數(shù)量，且遠(yuǎn)小于解密密文計算代價。

7 結(jié)語

本文在合數(shù)階群理論及文獻(xiàn)[3]的基礎(chǔ)上，提出了一個支持關(guān)鍵詞隱私保護的密文共享系統(tǒng)KPP-CSS，在實現(xiàn)訪問結(jié)構(gòu)隱私保護的基礎(chǔ)上，實現(xiàn)了用戶密文搜索時搜索關(guān)鍵詞隱藏，以此實現(xiàn)了更完全的隱私保護。

下一步研究方向是兼顧系統(tǒng)可擴展性。KPP-CSS雖然實現(xiàn)了更完全的隱私保護，但系統(tǒng)僅適合于小規(guī)模的密文數(shù)據(jù)共享，因為方案屬性集必須在初始化階段定義，限制了系統(tǒng)規(guī)模，下一步研究重點是將屬性集定義從初始化階段轉(zhuǎn)移到后續(xù)階段。

參考文獻(xiàn)：

[1] 周琳娜，劉丹. 網(wǎng)絡(luò)信息安全問題及防護策略[J]. 軟件導(dǎo)刊， 2019，18（10）：166-8.

[2] 劉浩然.? 一種安全性高的醫(yī)療大數(shù)據(jù)隱私保護模型[J].? 軟件導(dǎo)刊，2019，18（8）：200-203.

[3] 江澤濤，趙嘉旭，吳輝. 策略隱藏的CP_ABE訪問控制方案 [J].? 計算機工程與設(shè)計，2017，38（6）：1429-934.

[4] 劉雪艷，鄭等鳳. 基于素數(shù)群完全隱藏訪問結(jié)構(gòu)的CP_ABE方案 [J]. 計算機工程，2016，42（10）：140-145.

[5] 劉洋. 云存儲中隱私保護密文數(shù)據(jù)檢索算法的研究 [D].? 北京：華北電力大學(xué)，2019.

[6] 苗田田，楊惠杰，沈劍. 電子醫(yī)療環(huán)境中支持用戶隱私保護的訪問控制方案[J]. 網(wǎng)絡(luò)空間安全，2019，10（10）： 16-22.

[7] 羅恩韜，段國云，周雷，等. 移動醫(yī)療中一種匿名代理可追蹤隱私保護方案[J]. 計算機研究與發(fā)展，2020，57（5）：1070-1079.

[8] 鄭芳，馮麗萍，李平珍，等. 一種利用屬性加密進(jìn)行身份認(rèn)證的隱私保護方案[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020，230（2）： 33-36.

[9] 劉勝杰，王靜. 云環(huán)境下SNS隱私保護方案[J]. 計算機科學(xué)，2019，46（2）：133-138.

[10] TANG W J，ZHANG K，REN J， et al. Privacy-preserving task recommendation with win-win incentives for mobile crowdsourcing [J].? Information Sciences，2020，527：477-492.

[11] LI J G， YAO W， HAN J G， et al. User collusion avoidance CP-ABE with efficient attribute revocation for cloud storage[J].? IEEE Systems Journal， 2018， 12（2）： 1767-1777.

（責(zé)任編輯：江 艷）