基于屬性加密的細粒度家庭文件安全共享方案

,,

(武漢大學 計算機學院,武漢 430072)

0 概述

受益于電子設備制造成本的不斷降低,支持高速網絡通信(如3G/4G、wifi、藍牙等)的移動連接設備在普通人群中的應用越來越普及。全球市場調研機構TrendForce最新報告顯示,2015 年全球智能手機出貨量為12.92億臺。這些具備高速通信能力的移動連接設備催生了移動互聯網的誕生,并深刻改變了人們固有的生活方式。

一定群體內的人們會在某一時間聚集到某個固定地點進行活動,如一個公司的雇員在上班時間內都聚集在辦公室,一個班級的學生在上課時間內都聚集在一個教室等。此種環境下,使用移動設備上的wifi和藍牙等近距離無線通信技術[1],以ad-hoc形式連接成移動社交網絡(Mobile Social Network,MSN)[2],即一種特定的“家庭共享”環境[3-4],就可以免費、自由地實現文件共享的目的。近年來,Google商店也出現了一些類似的應用。由于移動設備上的共享文件可能十分敏感,因此上述方式下的家庭共享模式必然會引發用戶對于自身共享文件安全性的關注。文獻[3,5-6]在對家庭環境下大量用戶的分享習慣和態度進行調查后得出結論:在個人敏感信息越來越重要的現代社會,家庭共享環境下的資源共享,需要一個細粒度的訪問控制機制。

更值得一提的是,當前已有的對家庭共享訪問控制的研究[3-7],大多關注的是資源擁有者的共享資源安全性,而用戶在共享者處獲取資源時身份敏感信息的泄露卻未引起注意。例如,一名醫生使用智能手機將一些疾病的相關資料共享給一群病人時,在家庭環境下,他周圍聚集著許多病人。當醫生的設備屏幕上顯示某個用戶請求某份資料的信息時,對該病人來講,他的身份信息傳遞給了醫生,但是醫生周圍的病人通過醫生的屏幕,也能看到該病人的請求信息,也即知道了該病人的疾病信息。造成上述用戶身份隱私泄露的原因在于,訪問控制的最終目的是讓“合法并正確”的用戶獲取資源,而現有家庭文件共享的被動計算環境下,用戶設備與文件擁有者設備之間是直連的,文件分享者需要驗證用戶所使用的設備是“合法并正確”的。盡管公鑰基礎設施(Public Key Infrastructure,PKI)身份認證機制[8-9]能夠滿足“合法并正確”的用戶要求,但它會導致用戶身份的泄露。直連的網絡結構使得洋蔥路由類機制[10-11]無法運行,而無線匿名身份認證技術[12-13]雖能保證用戶身份的合法性和匿名性,但與訪問控制中“正確”的用戶要求相沖突。因此，在家庭共享環境下，如何在滿足用戶身份“合法并正確”的同時，保證用戶身份的匿名性，給設計者帶來了挑戰。

基于上述問題,本文致力于解決家庭共享中保護用戶身份隱私的細粒度訪問控制問題。在家庭共享的實際應用中,文件擁有者傾向于將文件共享給自己周圍的某一類人,而文件擁有者創建的臨時熱點密碼很容易被周圍未知用戶知曉,在這種情況下,鏈路認證也起不到限制訪問的作用?；诖?本文取消無線鏈路層的通信認證及加密,在共享文件與目的用戶之間用一些語義上容易理解的屬性集合關聯并加以限定,文件在擁有者實際共享分發之前,使用屬性標簽關聯的密鑰加密,只有滿足屬性標簽的用戶才擁有解密密鑰,用其對從文件擁有者處獲取的文件進行解密,而其他不滿足屬性標簽的用戶則不能解密文件,從而實現細粒度的文件共享。

1 相關理論知識與技術

1.1 雙線性映射

令G和GT為2個階為素數p的乘法循環群,令g為G的生成元,雙線性映射:G×G→GT是一個具有如下性質的映射:

2)非退化性。g∈G,e(g,g)≠1。

3)可計算性。存在一個有效的算法,可以從任意g∈G中計算出e(g,g)∈GT。

1.2 判定性BDH假設

1.3 基于下密鑰策略的屬性加密機制KP-ABE

KP-ABE[14]是公開密碼技術屬性加密的一個重要分支,其被用來實施一對多加密,該加密性質決定了KP-ABE在數據發布系統[15-16]中有著廣泛的應用前景。在KP-ABE中,每個屬性的實現都有一個公開密碼與之對應,數據使用某些屬性的公開密碼組合來加密。每個用戶擁有一個使用自身屬性集合構建的訪問結構,該訪問結構為一個線性共享矩陣,由結構化布爾訪問策略(如訪問結構樹)轉化而來,用戶的私鑰由訪問矩陣生成,當且僅當與密文關聯的屬性滿足訪問矩陣的組合要求時,用戶才能解密密文。KP-ABE由以下4個算法組成:

1)Setup(λ,U)→(PK,MK)

2)Encrypt(PK,M,S)→CT

3)Keygen(MK,A)→SK

?

4)Decrypt(SK,CT)→M

更詳細的加、解密過程請參考文獻[14]。實際上,屬性加密還有一個重要分支:CPABE[17]加密算法,但該加密算法在加密消息時,需要加密者使用屬性構建訪問策略結構,這顯然超出了非專業家庭共享人員的能力范圍,因而不適用本文所述的應用環境。

2 方案設計

2.1 設計思想

為了讓非專業的家庭共享者和用戶在簡單、快捷地共享文件時保障文件內容的私密性和用戶的身份隱私,本文將家庭共享的計算環境再度轉化為主動模式。具體來講,首先運用移動設備使用wifi虛擬熱點技術構建開放的無線AP,并將移動設備打造成移動文件服務器,此時用戶就可以自由地連接到該無線AP上,并自主地獲取所需文件;接著,文件共享者在自己的設備上將需要共享的文件使用相關屬性進行加密,并將密文和對應屬性關聯起來,隨后將這些文件和與之關聯的屬性描述以“文件服務器”的形式開啟共享;最后,用戶連接到共享者設備,并下載其“文件服務器”上的文件列表及對應屬性描述,判斷“文件服務器”上文件的屬性描述是否滿足自身訪問結構,并從“文件服務器”上下載滿足訪問結構的密文及文件。

2.2 符號定義

本文為了方便實驗,假定在全局屬性、文件關聯屬性和用戶秘鑰策略中,均沒有重復屬性。對于某一范圍內的數值,可以采用文獻[17]中的方法進行制定。表達式中的參數已經在第2節進行說明,其他符號說明如表1所示。對于本文所述的用戶身份隱私,表1給出其定義。

表1 本文方案涉及的符號含義說明

2.3 方案描述

圖1所示為本文方案在系統層次上的共享結構,其反映了各個模塊之間的關系。

圖1 本文方案整體框架

本文方案具體過程如下:

1)系統初始化?？尚诺谌竭x擇一個安全參數λ和全局屬性集合U作為輸入,調用Setup()函數,生成系統公開密鑰PK和主密鑰MK。公開密鑰和屬性可以采取推送服務或者Web服務的方式發布給參與各方。圖1中“系統初始化”箭頭部分給出了系統初始化的形象過程。

2)創建共享文件。文件擁有者將文件共享給用戶前需要對文件進行如下操作:

(1)為此文件生成一個與已有文件不同的標識。

(2)選擇此文件的訪問屬性,根據這些屬性生成一個可審計的訪問策略[18]并將其轉化為相應的屬性訪問結構[19],調用Keygen()函數為用戶生成一個私密密鑰SK:SK←Kengen(PK,A)。

(3)隨機選擇一個GT上的元素作為文件加密對稱密鑰,并使用FIDi,key加密該文件。

重復步驟(1)～步驟(4)的操作直至所有的文件都處理完畢,隨后生成2張列表,一張為文件訪問信息表,包括文件標識(FID)和文件加密信息2個字段,該表提供給用戶;另外一張為文件標識與文件密文存儲路徑信息表,稱為文件存儲信息表,該表由文件共享者持有。文件訪問信息表的具體內容如表2所示,圖1中“創建共享文件”箭頭部分給出了文件創建的形象過程。

3)訪問控制。在共享文件生成處理完成后,文件共享者開啟移動設備虛擬AP功能并將文件訪問信息表發布在搭建的移動存儲設備上,然后通知周圍用戶下載。當成功連接到文件擁有者的設備后,用戶首先獲取文件訪問信息表中文件關聯屬性,使用關聯的屬性集合和自動生成的訪問結構作為輸入,運行訪問控制驗證算法(FIDi,true/false)←CheckPolicy(FIDi,FSi,A),文獻[14]指出當且僅當用戶訪問結構滿足文件關聯屬性時,用于恢復屬性秘密值的常量才能被計算出來。但該文獻僅指出這些常量值可在多項式時間內進行計算,沒有給出具體計算方法。本文給出一個基于線性方程組求解的多項式算法,用其驗證訪問策略并計算共享的秘密常量值,如下所示。

算法CheckPolicy(FIDi,FSi,A)

定義矩陣B和變量k=0;對于每個屬性索引ρ(i)∈SU,B++k=Wj;定義一個k維向量X=(x1,x2,…,xk);令矩陣A=BT,向量ε=(1,0,…,0);

Begin

If 矩陣A和增廣矩陣(A|ε)的秩不相等

Return false;

Else

解k元線性方程Ax=ε

對于每個屬性索引ρ(i)∈SU,常量值wj=Xk

Return true并輸出{wj}ρ(i)∈SU。

END

在驗證完文件訪問信息后,用戶將可以訪問的文件編號信息發送給文件擁有者,同時獲取文件的屬性密文,運行屬性解密算法(FIDi,FIDi,key)←Decrypt(SK,FIDi,CTi)。

4)獲取共享文件。用戶獲得文件FIDi所對應的文件加密密鑰FIDi,key。圖1中“訪問文件”箭頭部分給出了獲取共享文件的形象過程。

3 實驗結果與分析

3.1 軟件示例

3.1.1 文件擁有者接口

如圖2所示,文件擁有者的界面上有一個資源預覽界面,文件被初步劃分為圖像、媒體和文檔3類。

圖2 文件擁有者接口界面

為了簡化軟件,假定文件擁有者有10個屬性A0～A11,且文件擁有者只用“and”屬性來生成訪問結構。當文件擁有者長按選中某個文件后,軟件會彈出一個全局屬性列表,文件擁有者根據文件內容選擇相關屬性,點擊“確定”后,文件將使用這些屬性進行加密。如圖2中,文件擁有者對該文件使用了“A0 and A1 and A2”的訪問結構,即只有滿足“A0 and A1 and A2”的用戶才能接收和解密該文件。

在文件服務界面,用戶點擊開啟服務選項,虛擬熱點將會被打開,同時共享文件信息將會發布。

3.1.2 用戶接口

用戶在連接到文件擁有者的AP后,在用戶界面上只需開啟“獲取文件信息表”選項,就能知曉自己可以訪問的文件,隨即從文件擁有者處下載該文件。解密后,文件將被展現在資源預覽界面。用戶接口如圖3所示。若用戶滿足“A0 and A1 and A2 ”的訪問結構,則只能看到滿足“A0 and A1 and A2”訪問結構的文件。

圖3 用戶接口界面

3.2 安全性分析

3.2.1 用戶身份隱私

假設文件擁有者附近只有一個用戶,則顯然用戶在文件擁有者處不存在身份隱私。在存在多用戶的環境下,使用信息論中的熵來度量用戶身份隱私的保護程度,在一個存在N個用戶的共享環境下,本文方案中用戶UIDi能獲取的身份隱私最大保護度為:

在所有用戶身份隱私都得到最大保護的情況下,系統能夠獲得的隱私保護程度為:

3.2.2 數據機密性

定理1當G上決策判定性BDH假設成立時,本文所提方案在選擇性安全模型下,具有抗選擇明文攻擊(Chosen-Plaintext Attack,CPA)能力。

證明:在本文方案中,文件使用對稱密鑰加密,假設對稱密鑰加密是安全的,則數據機密性依賴于KP-ABE算法的安全性。對于KP-ABE算法的安全性,文獻[14]已經給出證明。給定決策BDH假設,在選擇安全模型下,文獻[14]所提出的KP-ABE算法是抗CPA的。本文方案與文獻[14]具有相同的安全性,因此,本文方案也具有抗CPA能力。

定理2本文的共享訪問控制機制對于未授權的訪問是安全的。

證明:未授權的用戶分為兩類,一類用戶是合法的但沒有足夠的屬性滿足訪問結構,想使用已有的屬性密鑰獲取文件的內容;另一類用戶是不屬于系統的非法用戶,但其仍然想獲取文件的內容。對于第一類合法用戶,在屬性不滿足訪問結構的條件下,其沒有足夠的屬性私鑰恢復出加密密鑰,而且因為不同用戶在相同屬性上的屬性私鑰不同,所以多個屬性不滿足訪問結構的用戶即使進行合作也不能恢復出加密密鑰;對于第二類用戶,即使獲取了文件,但由于沒有解密密鑰,即不能得出文件加密密鑰,因此文件內容也對其不可見。因此,本文的訪問控制機制可以安全對抗未授權訪問。

3.2.3 計算效率

為了驗證本文方案的實際可操作性,在文獻[17]基于LSSS密鑰共享的KP-ABE加密算法庫基礎上,給出其運行在手機端的加解密性能。手機的硬件參數:魅族定制版(A17 2.2 GHz×4 + A7 1.7 GHz×4),CPU為MediaTek 6595,內存為2 GB 雙通道 LPDDR3,933 MHz,操作系統為Android 5.1,代數庫使用Java Pairing-Based Cryptograpy Library(JPBC),版本為1.2.1。使用基本域大小為512 bit、階為160 bit的Type A對稱曲線。圖4和圖5所示為不同屬性個數下加、解密所需要的時間。

圖4 加密時間與屬性個數的關系

圖5 解密時間與屬性個數的關系

4 結束語

為在開放直連的家庭共享網絡下實現簡單、高效的細粒度家庭文件共享訪問,同時針對此環境下的用戶身份隱私保護問題,本文在把計算環境轉化為主動后,提出一個使用KP-ABE算法的共享方案,并設計一套原型軟件驗證該方案的可行性和實用性。本文方案還存在以下不足:首先,該方案屬性密文長度仍較長;其次,在用戶進行策略驗證時,需要驗證文件訪問信息表中所有條目,當共享文件數量較大時,所需要的驗證時間較長。因此，解決上述2個問題將是下一步的研究方向。

[1] HAN B,HUI P,KUMAR V S A,et al.Mobile data offloading through opportunistic communications and social participation[J].IEEE Transactions on Mobile Computing,2012,11(5):821-834.

[2] ADOMAVICIUS G,TUZHILIN A.Toward the next generation of recommender systems:a survey of the state-of-the-art and possible extensions[J].IEEE Transactions on Knowledge and Data Engineering,2005,17(6):734-749.

[3] MAZUREK M L,ARSENAULT J P,BRESEE J,et al.Access control for home data sharing:attitudes,needs and practices[C]//Proceedings of SIGCHI Conference on Human Factors in Computing Systems.New York,USA:ACM Press,2010:645-654.

[4] DEARMAN D,PIERCE J S.It’s on my other computer!:computing with multiple devices[C]//Proceedings of SIGCHI Conference on Human Factors in Computing Systems.New York,USA:ACM Press,2008:767-776.

[5] LEKAKIS V,BASAGALAR Y,KELEHER P.Don’t trust your roommate or access control and replication protocols in home environments[C]//Proceedings of USENIX Conference on Hot Topics in Storage and File Systems.[S.l.]:USENIX Press,2012:12-17.

[6] KIM T H J,BAUER L,NEWSOME J,et al.Challenges in access right assignment for secure home networks[C]//Proceedings of USENIX Conference on Hot Topics in Security.[S.l.]:USENIX Press,2010:1-6.

[7] KIM T H J,BAUER L,NEWSOME J,et al.Access right assignment mechanisms for secure home networks[J].Journal of Communications and Networks,2011,13(2):175-186.

[8] ADAMS C,LLOYD S.Understanding PKI:concepts,standards,and deployment considerations[M].[S.l.]:Addison-Wesley Longman Publishing Co.,Inc.,2002.

[9] TOORANI M,BEHESHTI A.LPKI-A lightweight public key infrastructure for the mobile environments[C]//Proceedings of the 11th IEEE Singapore International Con-ference on Communication Systems.Washington D.C.,USA:IEEE Press,2008:162-166.

[10] 李勤祎.基于屬性的加密算法研究[D].成都:電子科技大學,2013.

[11] 余敏達.基于屬性的加密體制研究與實現[D].濟南:山東大學,2013.

[12] 屈 娟,張建中.基于雙線性對的動態廣義秘密共享方案[J].計算機應用,2010,30(11):3036-3037.

[13] LI C T,LEE C C.A novel user authentication and privacy preserving scheme with smart cards for wireless com-munications[J].Mathematical and Computer Modelling,2012,55(1):35- 44.

[14] HOHENBERGER S,WATERS B.Attribute-based encryption with fast decryption[C]//Proceedings of the 16th International Conference on Practice and Theory in Public-Key Cryptography.Berlin,Germany:Springer,2013:162-179.

[15] HUR J,NOH D K.Attribute-based access control with efficient revocation in data outsourcing systems[J].IEEE Transactions on Parallel and Distributed Systems,2011,22(7):1214-1221.

[16] YANG K,JIA X,REN K.Attribute-based fine-grained access control with efficient revocation in cloud storage systems[C]//Proceedings of the 8th ACM SIGSAC Symposium on Information,Computer and Communica-tions Security.New York,USA:ACM Press,2013:523-528.

[17] BETHENCOURT J,SAHAI A,WATERS B.Ciphertext-policy attribute-based encryption[C]//Proceedings of IEEE Sympo-sium on Security and Privacy.Washington D.C.,USA:IEEE Computer Society,2007:321-334.

[18] LI J,WANG Q,WANG C,et al.Enhancing attribute-based encryption with attribute hierarchy[J].Mobile Networks and Applications,2011,16(5):553-561.

[19] LIU Z,CAO Z.On efficiently transferring the linear secret-sharing scheme matrix in ciphertext-policy attribute-based encryption[EB/OL].[2016-11-02].https://pdfs.semanticscholar.org/8f05/02461693d016c 6a46b73ad20f4fc23f45c54.pdf.