李 玲，王 崢，李 娜

1.太原理工大學(xué) 信息與計(jì)算機(jī)學(xué)院，山西 晉中 030600

2.國網(wǎng)山西省電力公司，太原 030024

云計(jì)算被廣泛用于向用戶提供各種計(jì)算和存儲資源[1]，然而隨著物聯(lián)網(wǎng)的發(fā)展，數(shù)據(jù)爆發(fā)式地增長，云計(jì)算越來越不適應(yīng)物聯(lián)網(wǎng)，數(shù)據(jù)傳輸和云服務(wù)器處理數(shù)據(jù)造成的網(wǎng)絡(luò)延遲不滿足一些物聯(lián)網(wǎng)應(yīng)用的實(shí)時需要。因此，在2012 年思科正式提出霧計(jì)算[2]的概念，霧計(jì)算作為云計(jì)算的延伸，將計(jì)算和存儲能力擴(kuò)展到網(wǎng)絡(luò)邊緣，減少了網(wǎng)絡(luò)延遲，適用于物聯(lián)網(wǎng)，然而對可靠性和安全性要求較高的應(yīng)用，把數(shù)據(jù)存儲到云服務(wù)器或霧節(jié)點(diǎn)中，用戶失去對數(shù)據(jù)的絕對控制權(quán)[3]，如何保證對數(shù)據(jù)的安全訪問是云霧環(huán)境中的一大難題。

基于密文策略屬性加密的訪問控制技術(shù)[4]適合于云霧存儲數(shù)據(jù)共享系統(tǒng)，但其計(jì)算開銷對于資源有限的物聯(lián)網(wǎng)設(shè)備來說負(fù)擔(dān)較大，將設(shè)備處的計(jì)算外包是解決此問題的有效手段。在傳統(tǒng)的云存儲中，Ma等人[5]將大量的計(jì)算外包給加密服務(wù)提供商或解密服務(wù)提供商，用戶端只需進(jìn)行少量的加解密計(jì)算。Lounis 等人[6]提出了應(yīng)用在醫(yī)療領(lǐng)域的無線傳感器網(wǎng)絡(luò)的安全云架構(gòu)，將加密操作外包給信任網(wǎng)關(guān)，然而該方案要求網(wǎng)關(guān)可信。Belguith 等人[7]將解密計(jì)算外包給半可信云服務(wù)器，并使用隱藏訪問策略保護(hù)用戶的隱私。Ning等人在單授權(quán)機(jī)構(gòu)模型下將解密計(jì)算外包給云服務(wù)器[8]，而Debnath[9]和Dhal[10]的方案都是在多授權(quán)機(jī)構(gòu)模型下將解密計(jì)算外包給云服務(wù)器，更符合實(shí)際應(yīng)用場景。隨著霧計(jì)算的廣泛應(yīng)用，基于云存儲的物聯(lián)網(wǎng)系統(tǒng)加入了霧節(jié)點(diǎn)層，形成了云霧架構(gòu)，Zhang等人[11]提出一種霧計(jì)算中支持?jǐn)?shù)據(jù)外包的訪問控制方案，將有關(guān)訪問策略的加密計(jì)算和部分解密外包給霧節(jié)點(diǎn)，該方案適用于單授權(quán)機(jī)構(gòu)模型中。Miao 等人[12]也在單授權(quán)機(jī)構(gòu)中將部分加解密計(jì)算的外包給霧節(jié)點(diǎn)且實(shí)現(xiàn)了數(shù)據(jù)的搜索。而Vohra等人[13]設(shè)計(jì)出了基于多授權(quán)機(jī)構(gòu)下的數(shù)據(jù)訪問控制方案，但需引入代理服務(wù)器輔助霧節(jié)點(diǎn)解密數(shù)據(jù)。之后Guo[14]和Fan[15]等都利用霧節(jié)點(diǎn)在實(shí)現(xiàn)部分解密外包的同時加入了其他功能，但在加密階段仍然對用戶造成負(fù)擔(dān)。

基于上述考慮，本文構(gòu)建一個適用于霧計(jì)算環(huán)境的具備計(jì)算外包能力的多授權(quán)訪問控制方案。在該方案中，將數(shù)據(jù)的部分加密和解密卸載到霧節(jié)點(diǎn)中，有效地降低了用戶端的計(jì)算負(fù)擔(dān)，適用于資源有限的物聯(lián)網(wǎng)設(shè)備。

1 相關(guān)知識

定義1（霧計(jì)算）霧計(jì)算由云計(jì)算引申而來，是一個虛擬化的平臺，通常在終端設(shè)備和云服務(wù)器之間部署眾多分布廣泛、性能較弱的設(shè)備來提供計(jì)算，存儲和網(wǎng)絡(luò)服務(wù)，具有低延時、位置感知和移動性支持等特點(diǎn)[2]。相較于云計(jì)算，霧計(jì)算的計(jì)算能力較弱，但霧計(jì)算的架構(gòu)呈分布式，更符合互聯(lián)網(wǎng)去中心化的要求。

定義2（雙線性映射）設(shè)G1,G2都是階為p的循環(huán)群，p是素?cái)?shù)，若映射e:G1×G1→G2滿足以下性質(zhì)：

（1）雙線性：對于任意a,b∈Zp和R,S∈G1，有e(Ra,Sb)=e(R,S)ab。

（2）非退化性：存在R,S∈G1，使得e(R,S)≠1G2。這里1G2代表群G2的單位元。

（3）可計(jì)算性：存在有效的算法對任意的R,S∈G1，計(jì)算e(R,S)的值。那么稱e是一個雙線性映射。

定義3（訪問樹）[11]設(shè)ψ是一棵根節(jié)點(diǎn)為R的訪問樹，n為ψ的節(jié)點(diǎn)。每個葉子節(jié)點(diǎn)n代表屬性，非葉子節(jié)點(diǎn)n代表門限，門限值用nt表示，孩子數(shù)目用nc表示。當(dāng)nt=nc時表示該節(jié)點(diǎn)是與門，當(dāng)nt=1 時表示該節(jié)點(diǎn)是或門。

對于判斷一個屬性集合S是否滿足ψ，首先設(shè)以n為根節(jié)點(diǎn)的子樹為ψn,n的孩子節(jié)點(diǎn)為n′，然后計(jì)算ψn′(S)。若有nt個孩子節(jié)點(diǎn)滿足ψn′(S)=1 ，則ψn(S)=1 ，表示S滿足訪問樹ψn。若ψR(S)=1，則表示屬性集合S滿足ψ。

定義4（判定雙線性Diffie-Hellman 假設(shè)）設(shè)G是階為素?cái)?shù)p的雙線性群，g是群G的生成元，雙線性映射為e:G×G→GT。從Zp中隨機(jī)選擇三個數(shù)a,b,c∈Zp，對于多項(xiàng)式時間算法Y來說，給定參數(shù)Q=(g,ga,gb,gc)，區(qū)分e(g,g)abc與群GT中的隨機(jī)元素r是困難的。令Y的輸出為0或1，若下式成立：

則稱Y解決判定雙線性Diffie-Hellman問題的優(yōu)勢為ξ。

若無多項(xiàng)式時間算法以不可忽略的優(yōu)勢解決判定雙線性Diffie-Hellman 問題，則稱判定雙線性Diffie-Hellman（Decisional Bilinear Diffie-Hellman，DBDH）假設(shè)在群G上是成立的。

2 系統(tǒng)描述及方案構(gòu)造

2.1 系統(tǒng)描述

本文所提方案的系統(tǒng)圖如圖1所示，主要包括中央授權(quán)機(jī)構(gòu)、屬性授權(quán)機(jī)構(gòu)、云服務(wù)器、霧節(jié)點(diǎn)、數(shù)據(jù)擁有者和數(shù)據(jù)訪問者6個實(shí)體。

（1）中央授權(quán)機(jī)構(gòu)CA：中央授權(quán)機(jī)構(gòu)完全可信，它主要負(fù)責(zé)整個訪問系統(tǒng)公共參數(shù)和主密鑰的發(fā)布。

（2）屬性授權(quán)機(jī)構(gòu)AA：屬性授權(quán)機(jī)構(gòu)完全可信，它主要負(fù)責(zé)用戶屬性私鑰的分發(fā)。

（3）云服務(wù)器CS：云服務(wù)器是半可信的，主要負(fù)責(zé)存儲數(shù)據(jù)。由于是半可信的，云服務(wù)器存在泄漏隱私數(shù)據(jù)的安全風(fēng)險(xiǎn)，即它們會誠實(shí)比執(zhí)行任務(wù)，但是由于好奇心會窺探數(shù)據(jù)中的隱私。

（4）霧節(jié)點(diǎn)FN：霧節(jié)點(diǎn)是半可信的，主要負(fù)責(zé)存儲數(shù)據(jù)和部分加解密計(jì)算，與云服務(wù)器和用戶進(jìn)行通信。

（5）數(shù)據(jù)擁有者DO：數(shù)據(jù)擁有者主要指資源有限的物聯(lián)網(wǎng)設(shè)備，其加密的數(shù)據(jù)需上傳到云服務(wù)器中進(jìn)行存儲。

（6）數(shù)據(jù)訪問者DU：數(shù)據(jù)訪問者也是一系列資源有限的物聯(lián)網(wǎng)設(shè)備，向云服務(wù)器或霧節(jié)點(diǎn)請求訪問，只有滿足訪問結(jié)構(gòu)的數(shù)據(jù)訪問者才能正確訪問數(shù)據(jù)。

圖1 改進(jìn)的霧計(jì)算下基于多授權(quán)機(jī)構(gòu)的系統(tǒng)圖

2.2 方案構(gòu)造

本文所提方案構(gòu)造總體框架如圖2 所示，共有4 個階段，分別為系統(tǒng)建立階段、密鑰生成階段、數(shù)據(jù)加密階段和數(shù)據(jù)解密階段，每個階段都由多項(xiàng)式時間算法來實(shí)現(xiàn)，下面分別對每個階段的構(gòu)造過程和算法實(shí)現(xiàn)進(jìn)行闡述。

圖2 方案構(gòu)造總體框架圖

（1）系統(tǒng)建立階段

該階段包含Setup 和AASetup 兩個多項(xiàng)式時間算法，首先由中央授權(quán)機(jī)構(gòu)對全局進(jìn)行初始化，發(fā)布公共參數(shù)和主密鑰給其他實(shí)體，然后由屬性授權(quán)機(jī)構(gòu)進(jìn)行初始化，生成公私鑰對。

Setup(1τ)→{PP,MK}：中央授權(quán)機(jī)構(gòu)執(zhí)行該算法，以安全參數(shù)τ作為輸入，選擇階為素?cái)?shù)p的雙線性群G,g是群G的生成元，并且選擇雙線性映射e:G×G→GT。假設(shè)系統(tǒng)中屬性個數(shù)為z個，屬性授權(quán)機(jī)構(gòu)個數(shù)為m個，定義屬性集合A={a1,a2,…,az}和屬性授權(quán)機(jī)構(gòu)集合U={u1,u2,…,um}。隨機(jī)選擇α,β∈ZP,g1∈G,輸出系統(tǒng)的公共參數(shù)PP為：

PP={G,g,gα,g1,e(g,g)β,A,U}主密鑰MK為：

MK={α,gβ}

AASetup(PP,Aui,ui)→{APKui,ASKui} ：屬性授權(quán)機(jī)構(gòu)ui運(yùn)行該算法進(jìn)行初始化，將公共參數(shù)PP、屬性授權(quán)機(jī)構(gòu)的索引ui∈U{ }0 和ui中所授權(quán)的屬性集Aui?A作為輸入。每個屬性授權(quán)機(jī)構(gòu)ui授權(quán)的屬性集Aui是互不相同的，即Au1?Au2?…?Aum=? ，各個屬性授權(quán)機(jī)構(gòu)包含的屬性集的合集為A，即Au1?Au2?…?Aum=A。隨機(jī)選取tui∈Zp，為屬性集Aui中的每一個屬性aui,j隨機(jī)選取bui,j∈Zp，輸出屬性授權(quán)機(jī)構(gòu)ui的密鑰APKui和ASKui：

（2）密鑰生成階段

該階段包含AAKeyGen 和CAKeyGen 兩個多項(xiàng)式時間算法，數(shù)據(jù)訪問者將屬性集發(fā)送給屬性授權(quán)機(jī)構(gòu)請求生成密鑰，然后屬性授權(quán)機(jī)構(gòu)利用屬性集生成屬性密鑰發(fā)送給中央授權(quán)機(jī)構(gòu)，最后中央授權(quán)機(jī)構(gòu)生成用戶私鑰發(fā)送給數(shù)據(jù)訪問者。

AAKeyGen(PP,ASKui,Aid)→{SKui,id} ：該算法由屬性授權(quán)機(jī)構(gòu)ui執(zhí)行，以公共參數(shù)PP，屬性授權(quán)機(jī)構(gòu)ui的私鑰ASKui，數(shù)據(jù)訪問者id的屬性集Aid作為輸入，為每一個屬性aui,j∈(Aui?Aid)計(jì)算令數(shù)據(jù)訪問者id的屬性私鑰SKui,id為：

屬性授權(quán)機(jī)構(gòu)ui將SKui,id發(fā)送給中央授權(quán)機(jī)構(gòu)以進(jìn)一步生成用戶私鑰。

CAKeyGen(MK,{SKui,id}ui∈U)→SKid：該算法由中央授權(quán)機(jī)構(gòu)執(zhí)行，以主密鑰MK和數(shù)據(jù)訪問者id的屬性私鑰SKui,id作為輸入，為數(shù)據(jù)訪問者id隨機(jī)選取λ,θ∈ZP,計(jì)算，則數(shù)據(jù)訪問者的私鑰SKid為：

SKid={D,D1,D2,{?aui,j∈Aid:Dui,j}}CA將SKid發(fā)送給數(shù)據(jù)訪問者id。

（3）數(shù)據(jù)加密階段

該階段包含F(xiàn)ogEncrypt和DoEncrypt兩個多項(xiàng)式時間算法，分別由霧節(jié)點(diǎn)和數(shù)據(jù)擁有者執(zhí)行。數(shù)據(jù)擁有者將數(shù)據(jù)M上傳到云存儲前，需要對數(shù)據(jù)進(jìn)行加密，而為了降低加密負(fù)擔(dān)，數(shù)據(jù)擁有者先將訪問樹發(fā)送給霧節(jié)點(diǎn)，由霧節(jié)點(diǎn)對訪問樹進(jìn)行加密得到部分密文，然后霧節(jié)點(diǎn)將部分密文發(fā)送給數(shù)據(jù)擁有者以進(jìn)行進(jìn)一步加密，最后數(shù)據(jù)擁有者將密文經(jīng)由霧節(jié)點(diǎn)發(fā)送給云進(jìn)行存儲。

FogEncrypt(PP,ψ,{APKui}ui∈U}→{CT1}：由霧節(jié)點(diǎn)執(zhí)行該算法，數(shù)據(jù)擁有者定義一個訪問樹ψ發(fā)送給霧節(jié)點(diǎn)，對于訪問樹ψ中的每個節(jié)點(diǎn)n，霧節(jié)點(diǎn)選擇一個多項(xiàng)式qn，從根節(jié)點(diǎn)R開始，從上到下定義多項(xiàng)式，對于ψ中的每個節(jié)點(diǎn)n，它的門限值nt和多項(xiàng)式qn的次數(shù)fn的關(guān)系為nt=fn+1。

對于根節(jié)點(diǎn)R,霧節(jié)點(diǎn)隨機(jī)選擇s′∈Zp,令qR(0)=s′，然后隨機(jī)選擇fR個其他的值完整定義qR。對于其他的每個節(jié)點(diǎn)n，唯一且任意的分配一個索引值In，設(shè)n的父節(jié)點(diǎn)為n′，令qn(0)=qn′(In)，并且隨機(jī)選擇fn個其他的值完整定義qn。

令A(yù)ψ為ψ中葉子節(jié)點(diǎn)代表的屬性集合，no(aui,j)為屬性aui,j對應(yīng)的葉子節(jié)點(diǎn)，霧節(jié)點(diǎn)計(jì)算得到密文CT1=將CT1發(fā)送給數(shù)據(jù)擁有者。

DoEncrypt(CT1,k,PP,M)→{CT}：由數(shù)據(jù)擁有者執(zhí)行該算法，首先使用對稱密鑰k加密數(shù)據(jù)M得到Ek(M)，然后隨機(jī)選擇s∈Zp，計(jì)算，輸出密文

（4）數(shù)據(jù)解密階段

該階段包含F(xiàn)ogDecrypt 和DuDecrypt 兩個多項(xiàng)式時間算法，分別由霧節(jié)點(diǎn)和數(shù)據(jù)訪問者執(zhí)行。為了降低數(shù)據(jù)訪問者的解密負(fù)擔(dān)，由霧節(jié)點(diǎn)先對密文進(jìn)行部分解密，然后將部分解密后的密文發(fā)送給數(shù)據(jù)訪問者以進(jìn)行最終解密，若數(shù)據(jù)訪問者的屬性集合滿足訪問樹ψ，則他可以成功解密得到對稱密鑰k，然后利用k解密密文Ek(M)進(jìn)而得到數(shù)據(jù)M。

FogDecrypt()→CT′：由霧節(jié)點(diǎn)執(zhí)行此算法，從云服務(wù)器中獲取密文，從數(shù)據(jù)訪問者中獲得部分私鑰SKid′={D1,D2,{?aui,j∈Aid:Dui,j}}，該算法是一個遞歸算法，需要對訪問樹ψ中的節(jié)點(diǎn)n進(jìn)行遞歸計(jì)算

①若n是葉子節(jié)點(diǎn)：如果n代表的屬性不屬于數(shù)據(jù)訪問者的屬性集合，則Fn=null；否則Fn=e(Dui,j,Cui,j)=其中no(aui,j)=n。

② 若n不是葉子節(jié)點(diǎn)：如果nc ＜nt，則Fn=null；否則，設(shè)Sn為節(jié)點(diǎn)n的任意nt個孩子節(jié)點(diǎn)n′的集合，計(jì)算Fn′=FogDecryptNode(CT,n′,SKid′),設(shè)SI,n={?n′∈Sn:計(jì)算如下：

若數(shù)據(jù)訪問者的集合滿足訪問樹ψ，則霧節(jié)點(diǎn)可以遞歸得到關(guān)于ψ的根節(jié)點(diǎn)R的FR：

之后計(jì)算：

最后，霧節(jié)點(diǎn)發(fā)送CT′={Ek(M),C,C′,Y}給數(shù)據(jù)訪問者。

DuDecrypt(CT′,SK)→M：數(shù)據(jù)訪問者接收到從霧節(jié)點(diǎn)發(fā)來的部分解密密文CT′，使用自己的私鑰進(jìn)行如下解密計(jì)算得到對稱密鑰k：

之后數(shù)據(jù)訪問者將利用對稱密鑰k來解密Ek(M)得到明文M。

3 安全性證明

定理1假設(shè)DBDH 問題是困難的，攻擊者的挑戰(zhàn)訪問樹為ψ，則不存在多項(xiàng)式時間的攻擊者能選擇訪問結(jié)構(gòu)明文攻破本方案。

證明假設(shè)攻擊者A 能以不可忽略的優(yōu)勢ξ選擇性地攻破本文方案，其挑戰(zhàn)訪問樹為ψ，構(gòu)造挑戰(zhàn)者B以不可忽略的優(yōu)勢攻破DBDH假設(shè)。

系統(tǒng)建立：挑戰(zhàn)者B 以DBDH 挑戰(zhàn)參數(shù)Q=(g,ga,gb,gc)和T作為輸入，攻擊者A 選擇挑戰(zhàn)訪問樹ψ發(fā)送給挑戰(zhàn)者B。

初始化：挑戰(zhàn)者B 模擬Setup 和AASetup 算法來初始化參數(shù)。B 隨機(jī)選擇β′∈Zp，令β=β′+ab，得到公共參數(shù)PP={g,ga,g1,e(g,g)β,A,U}。對于所有的aui,j∈A,隨機(jī)選擇，如果，計(jì)算設(shè)置APK為：

B 發(fā)送PP和APK給 A 。

階段1攻擊者A 提交一系列屬性集合Ac?A給B 來請求對應(yīng)的私鑰，Ac的限制為不滿足ψ。本文采用中央授權(quán)和屬性授權(quán)機(jī)構(gòu)兩方計(jì)算生成用戶私鑰，挑戰(zhàn)者B 以整體形式回復(fù)A 的私鑰請求，B 隨機(jī)選擇λ′∈ZP，計(jì)算λ=λ′-b，設(shè)置。對于Ac中的屬性aui,j，如果aui,j∈Aψ，B 計(jì)算；否則，。最后，B 發(fā)送私鑰SK={D,D1,D2,{?aui,j∈Ac:Dui,j}}給攻擊者 A 。

挑戰(zhàn)：攻擊者A 給挑戰(zhàn)者B 提交了兩個等長的消息m0和m1，在收到消息后，B 發(fā)送ψ給霧節(jié)點(diǎn)，霧節(jié)點(diǎn)隨機(jī)選擇s′∈Zp,根據(jù)ψ為aui,j∈Aψ分配秘密值sui,j,然后霧節(jié)點(diǎn)發(fā)送部分密文CT1給B，CT1設(shè)置如下：

B 隨機(jī)選擇ω∈{0,1}，加密mω得到Ek(mω)，計(jì)算C=mω?e(g,g)βc=mω?e(g,g)(β′+ab)c=mω?e(g,g)abc?e(g,g)β′c,發(fā)送挑戰(zhàn)密文CTω=給 A 。

階段2同階段1

猜測：攻擊者 A 輸出關(guān)于ω的猜測ω′∈{0,1}，如果ω′=ω，挑戰(zhàn)者 B 輸出0 表示T=e(g,g)abc；否則輸出1，表示T為群GT中的隨機(jī)元素r。

如果T=e(g,g)abc，在這種情況下 A 的優(yōu)勢是ξ。因此pr[B(g,ga,gb,gc,T=e(g,g)abc)=0]=1/2+ξ。

如果T=r，對于 A 來說CTω是完全隨機(jī)的，因此pr[B(g,ga,gb,gc,T=r)=0]=1/2。

所以有：

即挑戰(zhàn)者B 能夠以一個不可忽略的優(yōu)勢解決DBDH問題，但這一問題已被證明是困難的，所以假設(shè)不成立，所以證明方案達(dá)到了選擇明文安全性，證畢。

4 性能評估

本文方案的性能評估從理論分析和實(shí)驗(yàn)分析兩方面進(jìn)行。理論分析方面，將本文方案與已有幾種外包方案進(jìn)行對比，分析各方案的功能、存儲成本和通信成本，得到結(jié)果列表；實(shí)驗(yàn)分析方面，在相同環(huán)境中進(jìn)行實(shí)驗(yàn)仿真，分析各方案數(shù)據(jù)擁有者端加密和數(shù)據(jù)訪問者端解密隨著屬性個數(shù)增長所需要的時間、中央授權(quán)機(jī)構(gòu)生成密鑰隨屬性個數(shù)增長所需要的時間，分別得到結(jié)果圖。分析過程中所用到的符號定義如表1所示。

表1 符號定義表

4.1 理論分析

（1）功能比較

表2 將本文方案與其他方案的功能進(jìn)行比較。文獻(xiàn)[4]的方案是沒有任何外包能力的，文獻(xiàn)[10]實(shí)現(xiàn)了多授權(quán)機(jī)構(gòu)環(huán)境下的解密外包，但文獻(xiàn)[10]不適用于霧環(huán)境且沒有實(shí)現(xiàn)加密計(jì)算的外包，文獻(xiàn)[11]實(shí)現(xiàn)了霧環(huán)境下的加解密外包計(jì)算，但不適用于多授權(quán)機(jī)構(gòu)環(huán)境，文獻(xiàn)[15]實(shí)現(xiàn)了多授權(quán)機(jī)構(gòu)霧環(huán)境下的解密外包，但加密階段仍然造成較大的負(fù)擔(dān)。本文方案實(shí)現(xiàn)了多授權(quán)機(jī)構(gòu)霧環(huán)境下的加解密外包，將加解密部分操作外包給霧節(jié)點(diǎn)，減少了數(shù)據(jù)訪問者端和數(shù)據(jù)擁有者端的負(fù)擔(dān)，更適用于資源有限的物聯(lián)網(wǎng)設(shè)備。

表2 相關(guān)方案功能比較表

（2）存儲成本比較

表3 將本文方案與其他方案進(jìn)行了存儲成本的比較。中央授權(quán)機(jī)構(gòu)CA和屬性授權(quán)機(jī)構(gòu)AA的存儲成本主要來自于主密鑰，本文方案的授權(quán)機(jī)構(gòu)存儲成本相較于文獻(xiàn)[10]和文獻(xiàn)[15]減少了AA的存儲成本，相較于文獻(xiàn)[11]減少了CA 的存儲成本。云服務(wù)器CS 的存儲成本主要來自于密文長度，表中各方案的密文長度都與密文相關(guān)屬性個數(shù)|ACT|線性正相關(guān)，隨著|ACT|的增加，本文方案與文獻(xiàn)[11]方案密文存儲成本是少于其他兩種方案的。霧節(jié)點(diǎn)FN的存儲成本和數(shù)據(jù)擁有者DO的存儲成本主要來自于公鑰，文獻(xiàn)[10]和文獻(xiàn)[15]都沒有使用霧節(jié)點(diǎn)進(jìn)行加密外包，不考慮霧節(jié)點(diǎn)的存儲成本；文獻(xiàn)[11]和本文方案都利用了霧節(jié)點(diǎn)進(jìn)行加密外包，霧節(jié)點(diǎn)存儲公鑰以加密數(shù)據(jù)，這樣數(shù)據(jù)擁有者端的存儲成本大大降低，明顯少于文獻(xiàn)[10]和文獻(xiàn)[15]。數(shù)據(jù)訪問者DU 的存儲成本主要來自于私鑰，文獻(xiàn)[15]由于將部分密鑰存儲在CS中，所以DU存儲成本較低，而其他方案DU存儲成本與其本身擁有的屬性個數(shù)|Aid|線性正相關(guān)。

表3 相關(guān)方案存儲成本比較表

表4 相關(guān)方案加解密階段通信成本比較表

（3）通信成本比較

表4 將本文方案與其他方案在加解密階段的通信成本進(jìn)行了比較。在加密階段，通信成本主要由授權(quán)機(jī)構(gòu)的公鑰和密文產(chǎn)生，本文方案密文長度少于文獻(xiàn)[10]和文獻(xiàn)[15]，但由于加密計(jì)算外包，增加了外包過程中訪問樹和部分加密密文的通信成本，總體來看本文方案通信成本少于文獻(xiàn)[10]和文獻(xiàn)[15]；另外本文方案是適用于多授權(quán)機(jī)構(gòu)的，需要由 |U|個AA 發(fā)送公鑰給FN，所以通信成本相較于文獻(xiàn)[11]多了 |U||G|。在解密階段，通信成本主要由解密外包時傳遞的密鑰和密文產(chǎn)生（認(rèn)為數(shù)據(jù)訪問者已經(jīng)得到私鑰，不考慮數(shù)據(jù)訪問者密鑰請求過程中的通信成本），文獻(xiàn)[10]直接在CS中進(jìn)行部分解密然后發(fā)送給數(shù)據(jù)訪問者，而本文方案、文獻(xiàn)[11]和文獻(xiàn)[15]需要將密文從CS發(fā)送到霧節(jié)點(diǎn)中進(jìn)行部分解密，所以這三種方案的通信成本要多于文獻(xiàn)[10]。另外文獻(xiàn)[15]用于部分解密的密鑰和密文長度均大于本文方案和文獻(xiàn)[11]，所以本文方案和文獻(xiàn)[11]的通信成本少于文獻(xiàn)[15]。

4.2 實(shí)驗(yàn)分析

由于文獻(xiàn)[11]方案對加密和解密計(jì)算都進(jìn)行了外包，外包能力相對于文獻(xiàn)[10]和文獻(xiàn)[15]更加有效，所以本文實(shí)驗(yàn)比較了本文方案和文獻(xiàn)[11]方案相對于沒有外包能力的文獻(xiàn)[4]方案在數(shù)據(jù)擁有者端的加密時間和數(shù)據(jù)訪問者端的解密時間，之后比較了本文方案和文獻(xiàn)[11]方案在密鑰生成時CA 所消耗的時間。實(shí)驗(yàn)環(huán)境為AMD A8-7410 CPU @2.20 GHz，64 bit Window10 操作系統(tǒng)。采用Java 語言，基于JPBC 庫，使用基于512b有限域上的超奇異曲線y2=x3+x中的160b 橢圓曲線群。實(shí)驗(yàn)數(shù)據(jù)選取屬性個數(shù)分別為10、20、30、40、50五種情況下各方案運(yùn)行10次所得數(shù)據(jù)的平均值。

圖3 所示的是隨著訪問樹中屬性個數(shù)的變化數(shù)據(jù)擁有者端加密時間的比較。文獻(xiàn)[4]方案數(shù)據(jù)擁有者端加密時間隨訪問樹中屬性個數(shù)線性增長。文獻(xiàn)[11]和本文方案都進(jìn)行了加密外包，相較于文獻(xiàn)[11]，本文方案在加密過程中增加了屬性授權(quán)機(jī)構(gòu)的公鑰，該操作由霧節(jié)點(diǎn)執(zhí)行；而在數(shù)據(jù)擁有者端，兩方案加密操作基本相同，所以加密時間大致相等且基本為定值，遠(yuǎn)低于文獻(xiàn)[4]的加密時間。

圖3 數(shù)據(jù)擁有者端加密時間比較

圖4 所示的是隨著解密所需屬性個數(shù)的變化數(shù)據(jù)訪問者端解密時間的比較。文獻(xiàn)[4]方案解密時間基本隨解密所需屬性的個數(shù)線性增長；本文方案和文獻(xiàn)[11]方案進(jìn)行了解密外包，在數(shù)據(jù)訪問者端兩方案都只需執(zhí)行兩次乘法計(jì)算和一次配對計(jì)算，所以兩方案在數(shù)據(jù)訪問者端的解密時間大致相同且遠(yuǎn)少于文獻(xiàn)[4]方案。

圖4 數(shù)據(jù)訪問者端解密時間比較

圖5所示的是隨著數(shù)據(jù)訪問者屬性的變化CA為其產(chǎn)生密鑰時所消耗的時間的比較。文獻(xiàn)[11]和本文方案中CA產(chǎn)生密鑰的時間都大致隨數(shù)據(jù)訪問者屬性個數(shù)線性增長，文獻(xiàn)[11]方案是基于單授權(quán)機(jī)構(gòu)的，所有密鑰由CA 產(chǎn)生，所以消耗的時間較多。而本文方案是基于多授權(quán)機(jī)構(gòu)模型的，利用AA 分擔(dān)關(guān)于屬性密鑰的工作，減輕了CA的負(fù)擔(dān)，消耗相對于文獻(xiàn)[11]較少。

圖5 CA密鑰生成時間比較

5 結(jié)束語

本文提出了一種霧計(jì)算中支持計(jì)算外包的訪問控制方案，該方案建立在多授權(quán)機(jī)構(gòu)模型下，通過將部分加解密計(jì)算外包給鄰近的霧節(jié)點(diǎn)減少了數(shù)據(jù)擁有者端和數(shù)據(jù)訪問者端的計(jì)算負(fù)擔(dān)，使原有的CP-ABE方案更適用于資源有限的物聯(lián)網(wǎng)設(shè)備，符合物聯(lián)網(wǎng)應(yīng)用場景。另外本文基于DBDH 假設(shè)對方案進(jìn)行了選擇訪問結(jié)構(gòu)明文攻擊下的安全性證明。最后對方案進(jìn)行了理論分析與實(shí)驗(yàn)分析，分析結(jié)果表明所提方案有效減輕了數(shù)據(jù)擁有者端和數(shù)據(jù)訪問者端的計(jì)算負(fù)擔(dān)，具有較高的系統(tǒng)效率和實(shí)用價值。