云计算技术的广泛应用推动了云存储服务的高效部署,海量数据以加密形式集中托管于云端服务器,显著提升了资源利用率和跨域协作能力[1]。然而,云存储的开放性与数据所有权的分离特性,使得数据的隐私保护面临严峻挑战[2]。2024年全球网络安全态势显示,数据安全已成为网络空间安全体系建设的重点领域,各国纷纷出台政策法规以应对数据泄露、非法访问等安全风险[3]。在电力行业智能化转型中,基于边缘计算与区块链的智慧用电平台通过去中心化架构实现了数据安全共享[4−5],但云端数据的细粒度访问控制仍需强化。传统密码学技术(如加密、签名[6−9]、签密[10]等原语)虽能确保数据静态安全性,却阻碍了授权用户对密文数据的检索与共享,导致用户需频繁下载并解密数据以进行本地检索,极大削弱了云存储的实用价值。为此,可搜索加密(searchable encryption,SE)技术应运而生,其允许用户在加密数据上直接执行关键字搜索操作,既保障了数据隐私,又满足了实际应用中的检索需求[11−13]。然而,随着数据共享场景的复杂化,如何在多用户协作环境下实现安全高效的密文检索成为亟待突破的挑战[14]。
当前可搜索加密技术还面临内部关键字猜测攻击(insider keyword guessing attacks,IKGAs)的威胁,攻击手段为:攻击者(云服务器或其他授权用户)可通过遍历有限的关键字空间,反复调用密文计算算法,将生成的密文与用户提交的检索陷门进行匹配,进而推断出关键字的信息。此类攻击一旦成功,将直接泄露用户的搜索意图,破坏方案的陷门安全性。在云存储场景中,攻击者甚至可进一步推断用户身份、数据关联关系等高价值信息,导致严重的隐私泄露风险。因此,设计抗IKGAs的可搜索加密方案,已成为提升方案实际部署能力的关键研究方向,这将对电力物联网[19]、智能电网[20]等关键领域的云数据安全管理具有重要实践价值。
鉴于此,提出了一种面向云数据访问控制的认证密文检索(attribute−based authenticated searchable encryption,ABASE)方案,实现云数据的密文检索与访问控制,并且抵抗IKGAs。具体而言,将属性嵌入用户私钥并以此生成检索陷门,将访问策略嵌入关键字密文,通过门限秘密共享技术实现属性和访问策略的匹配,实现用户的检索权限控制。另外,在关键字密文中加入数据拥有者的私钥实现认证,因此,只有拥有这一私钥的实体(即数据拥有者本身)才能执行密文计算算法,抵抗了IKGAs。性能分析表明,ABASE相对于其他SE方案在陷门生成过程中具有明显的效率优势,且具有较短的用户私钥大小,适用于云存储领域。
1 研究现状
Boneh等[21]基于身份基加密和双线性Diffie−Hellman困难假设,首次提出公钥可搜索加密的概念,受到研究者的广泛关注。随着云存储多用户访问控制需求的激增,研究者将可搜索加密与属性基加密技术深度融合,构造一系列属性可搜索加密方案。Zheng等[22]设计可验证的密文策略属性基可搜索加密方案,通过引入验证机制确保云服务器搜索操作的可信执行。Yu等[23]提出基于密钥策略的属性可搜索加密方案,其核心在于将访问策略嵌入加密索引,仅当用户属性集满足预设策略时方可生成有效的陷门进行检索。Miao等[24]提出了一种多授权中心的属性可搜索加密(multi−authority attribute−based keyword search,MABKS)方案,最大限度地减少云系统中资源有限设备的计算和存储开销,并且支持恶意属性权限跟踪和属性更新。随后,Miao等[25]构建了面向多数据拥有者场景的属性可搜索加密(attribute−based encryption with keyword search in shared multi−owner setting,ABKSSM)方案,实现了选择安全性并且抵御离线关键字猜测攻击。Yang等[26]提出了一种高效且安全的数据选择性共享与获取(data selective sharing and acquisition,DSA)方案,使数据拥有者能够以细粒度的方式控制数据的访问,并使用户能够在不暴露其利益的情况下完成数据获取。李红等[27]借助线性秘密共享方案构建检索陷门生成机制,支持以任意单调布尔公式表达的复杂策略检索。针对传统方案中明文策略泄露敏感信息的问题,刘晨旭等[28]创新性地提出具有前向安全、后向安全与动态撤销能力的部分策略隐藏方案,通过公开属性类别但隐藏属性值的策略构造方法实现隐私保护,同时优化了恶意用户撤销流程。此外,张克君等[29]基于代理重加密机制设计了多关键词属性基可搜索方案,通过重构访问树节点信息实现数据读写权限的细粒度控制,并利用属性基加密实现陷门不可区分性。为缓解资源受限设备的计算压力,郭瑞等[30]结合了密文策略属性加密与在线/离线加密技术,提出一种完全策略隐藏属性可搜索加密方案与外包解密机制,实现计算负载的分布式迁移。上述方案虽然能够实现数据检索过程中的用户访问控制,但没有考虑IKGAs。
Byun等[31]揭示了文献[21]方案的安全隐患,由于关键词熵值远低于传统密钥空间,攻击者可利用用户习惯性选取有限语义关键词的特性,对密文索引发起离线关键字猜测攻击(keyword guessing attacks,KGAs)。为应对此类威胁,Huang等[32]开创性提出公钥认证可搜索加密方案,要求数据所有者对关键字同时执行加密与认证操作,确保密文关键词的真实性与来源可验证。张玉磊等[33]通过融合无证书公钥密码体制与代理重加密技术,构建多用户环境下抗IKGAs的可搜索加密方案,在随机预言模型下实现其选择密文安全性。胡震宇等[34]在强安全模型下构建了一种指定验证者的高效公钥认证可搜索加密方案,一定程度上避免了双线性配对操作,提升了计算效率。随后,刘永志等[35]引入可信执行环境,在云端部署飞地程序隔离关键字匹配过程,通过硬件级安全隔离抵御恶意服务器攻击。肖心雨等[36]设计了具有严格陷门不可区分性的公钥认证密文检索方案,通过消除陷门生成过程中的统计特征关联,显著降低检索过程的信息泄露风险。Xu等[37]提供了具有前向安全特性的公钥认证可搜索加密方案的一般结构,并提出了一个基于格密码的实现方式。面向实际部署需求,蒲浪等[38]基于国密SM9算法重构了公钥认证可搜索加密架构,将双线性映射运算等复杂操作迁移至云端,在抵抗IKGAs的同时优化用户端计算效率。
当前可搜索加密领域尚缺乏同时实现用户访问控制与抵抗内部关键字猜测攻击的可行架构,这一缺陷严重制约了该技术在云存储场景中的实际应用。因此,针对上述问题,提出一种面向云数据访问控制的认证密文检索方案。
2 问题描述
2.1 系统架构
系统模型如图 1所示,包含4个实体,分别是可信权威中心、数据拥有者、数据用户和云服务器,各个实体的主要功能如下。
1)可信权威中心:可信权威中心负责初始化整个系统,并为数据拥有者和数据用户生成执行算法所需的密钥。具体而言,当接收到公共参数后,可信权威中心为数据拥有者生成公钥和私钥;当接收到公共参数和属性后,可信权威中心为数据用户生成包含用户属性的私钥。
2)数据拥有者:数据拥有者设定访问策略,并从数据中提取关键字,构建索引列表。随后,数据拥有者利用自己的私钥和预设的访问策略对关键字进行加密,生成关键字密文。对于数据本身,数据拥有者调用属性加密算法进行加密生成数据密文。最后,将关键字密文和数据密文上传至云服务器。
3)数据用户:数据用户选取待检索关键字,通过私钥为其生成检索陷门,提交给云服务器。此外,若检索到匹配的密文,数据用户利用自己的私钥解密搜索结果后得到原始云数据。
4)云服务器:在接收到检索陷门后,云服务器对关键字密文进行逐一检索。若存在与此陷门匹配的关键字密文,则云服务器将其对应的数据密文作为搜索结果返回给数据用户。否则,云服务器向数据用户返回,表示不存在匹配的关键字密文。
2.2 威胁模型
方案的威胁模型定义如下:(1)可信权威中心被视作完全可信的,能够诚实地为各个实体生成所需要的参数,并通过安全保密的信道进行参数分发;(2)数据拥有者是完全可信的,它能够生成有效的数据密文和关键字密文,上传至云服务器;(3)数据用户被认为是恶意的,它会对存储在云服务器上的云数据进行未经授权的访问;(4)云服务器是半诚实的,它会诚实地执行检索操作并向数据用户返回正确的结果,但它会尝试获取有关云数据和关键字的信息。此外,云服务器通过遍历有限的关键字空间,反复调用密文计算算法,将生成的密文与用户提交的检索陷门进行匹配,能够推断出关键字的信息,破坏了陷门的不可区分性,发起内部关键字猜测攻击。
2.3 设计目标
根据上述威胁模型,方案具有3个设计目标。
1)实现云数据密文检索:对于任意待检索关键字,数据用户能够利用自己的私钥生成对应的检索陷门,提交给云服务器。云服务器能够在无须解密的前提下检索到匹配的关键字密文。
2)支持用户访问控制:引入密文策略属性加密的思想,将用户属性嵌入私钥,访问策略嵌入关键字密文,当且仅当属性满足访问策略时,用户才具有对这一关键字密文的检索权限,实现用户层面的访问控制。
3)抵抗内部关键字猜测攻击:在关键字密文计算过程中输入数据拥有者的私钥,实现对关键字的认证,保证只有数据拥有者才能执行密文计算算法。
2.4 算法定义
方案由6个算法组成,具体定义如下。
1)(pp, MSK) ←Setup(λ):输入安全参数λ,算法输出公共参数pp和主私钥MSK,将pp分发给其他实体,MSK由自己保存。
2)(PKS, SKS)← KeyGenS (pp):输入公共参数pp,算法输出公钥PKS和私钥SKS,发送给数据拥有者。
3)SKR ←KeyGenR (pp, R):输入公共参数pp和用户属性R,算法输出私钥SKR,发送给数据用户。
4)CT ←Encrypt(pp, ck, SKS, (W, t)):输入公共参数pp、关键字ck、数据拥有者的私钥SKS和访问策略(W, t),算法输出关键字密文CT,上传至云服务器。
5)TD ←Trapdoor(pp, tk, PKS, SKR, R):输入公共参数pp、待搜索关键字tk、数据拥有者的公钥PKS、数据用户的私钥SKR和用户属性R,算法输出检索陷门TD,提交至云服务器。
6)$ C T_M / \perp$ ←Search(pp, CT, TD, R, (W, t)):输入公共参数pp、关键字密文CT、检索陷门TD、用户属性R和访问策略(W, t),算法输出搜索结果$ C T_M / \perp$ ,发送给数据用户。
3 算法设计
3.1 预备知识
算法设计过程中所需要的预备知识如下。
定义1(双线性映射):设$ \mathbb{G}$ 和$ \mathbb{G}_T$ 是阶为p的乘法循环群,p是一个素数,a和b是2个整数,定义双线性映射e: $ \mathbb{G} \times \mathbb{G} \rightarrow \mathbb{G}_T$ 满足以下3个条件。
1)双线性:对于任意的群元素$ g_1, g_2 \in \mathbb{G}$ 和整数$ a, b \in \mathbb{Z}_p, e\left(g_1^a, g_2^b\right)=e\left(g_1, g_2\right)^{a b}$ 。
2)非退化性:存在群元素$ g_1, g_2 \in \mathbb{G}, e\left(g_1, g_2\right) \neq 1$ 。
3)可计算性:对于任意的群元素$ g_1, g_2 \in \mathbb{G}$ ,存在多项式时间算法计算e(g1, g2)。
定义2(属性加密):属性加密(attribute−based encryption,ABE)是一种基于属性实现细粒度访问控制的公钥加密方案,允许数据所有者根据数据接收者的属性或数据属性动态控制解密权限,可分为2类。
1)密文策略属性加密:将访问策略嵌入数据密文,将属性嵌入数据接收者的私钥。
2)密钥策略属性加密:将访问策略嵌入数据接收者的私钥,将属性嵌入数据密文。
ABE通过逻辑表达式(如“财务AND职位”)灵活定义访问权限,适用于云存储场景,在保护数据隐私的同时实现访问控制。
定义3(门限秘密共享):门限秘密共享(threshold secret sharing,TSS)是一种将秘密信息分散为多个份额并分发给不同参与者的密码学技术,其核心思想是只有达到预设门限值才能重构原始秘密,而少于门限值则无法获取任何有效信息。最经典的TSS方案是Shamir秘密共享,基于拉格朗日插值多项式实现,其秘密拆分和恢复过程如下。
1)秘密拆分:对于秘密值$ s \in \mathbb{Z}_p$ ,设参与者数量为n,门限值为k。选择一个多项式$ p[x] \in \mathbb{Z}_p[x]$ ,且令p[0] = s。生成n个秘密份额p[1], p[2], ···, p[n],分别发送给n个参与者。
2)秘密恢复:收集至少k个秘密份额,利用拉格朗日插值公式$ p[x]=\sum\limits_{i=1}^k p[i] \cdot \prod\limits_{j=1, j \neq i}^k \frac{x-j}{i-j}$ 重构多项式p[x],进而计算p[0] = s,即可恢复秘密值s。
3.2 系统初始化
系统初始化算法Setup(λ)由可信权威中心执行,负责初始化整个系统,并生成公共参数和主私钥。首先,可信权威中心选择一个大素数p和2个乘法循环群$ \mathbb{G}$ 和$ \mathbb{G}_T$ ,其中g是$ \mathbb{G}$ 的生成元,初始化双线性映射$ e: \mathbb{G} \times \mathbb{G} \rightarrow \mathbb{G}_T$ 。其次,可信权威中心设定3个哈希函数$ H_1:\{0, 1\}^* \rightarrow \mathbb{G}, H_2: \mathbb{Z}_p \rightarrow \mathbb{G}$ 和$ H_3: \mathbb{Z}_p \rightarrow \mathbb{Z}_p$ ,随机选择一个整数$ v \in \mathbb{Z}_p$ 。最后,可信权威中心返回如下公共参数pp和主私钥MSK,将其发送给系统中的各个参与实体。
3.3 密钥生成
密钥生成算法KeyGenS (pp)和KeyGenR (pp, R)由可信权威中心执行,负责为数据拥有者和数据用户生成密钥。对于数据拥有者,输入公共参数pp,可信权威中心随机选择一个整数$ s \in \mathbb{Z}_p$ ,返回数据拥有者的公钥$ P K_s:=g^s$ 和私钥$ S K_s:=s$ ,并将其发送给数据拥有者。
对于数据用户,输入公共参数pp、主私钥MSK和$R=\{1, 2, \cdots, r\} $ 用户属性,可信权威中心随机选择一个多项式$ p[x] \in \mathbb{Z}_p[x]$ ,其中p[0] = H3 (v)。对于$ j \in R$ ,计算$ \hat{v}_j=p[j]$ 。最后,可信权威中心将私钥SKR : =$ \left\{\hat{v}_j\right\}_{j \in R}$ 返回给数据用户。
3.4 密文计算
密文计算算法Encrypt(pp, ck, SKS, (W, t))旨在为关键字计算密文,由数据拥有者执行。对于云数据M,数据拥有者设定关键字$ c k \in\{0, 1\}^*$ ,并且构建索引列表,记录云数据和关键字的对应关系。然后,数据拥有者输入访问策略并调用属性基加密算法ABE− Encrypt(pp, M, (W, t))生成云数据密文CTM,上传至云服务器。
具体来说,数据拥有者输入公共参数pp、关键字$ c k \in\{0, 1\}^*$ ,自己的私钥SKS和访问策略(W, t),其中$ W=\{1, 2, \cdots w\}$ 是访问集合,t是门限值。对于$ j \in W$ ,随机选择一个整数$ r_j \in \mathbb{Z}_p$ ,计算
最后,数据拥有者设定关键字密文$ C T:=\left\{C_{1, j}, \right.\left.C_{2, j}, C_{3, j}\right\}_{j \in W}$ ,上传至云服务器。
3.5 陷门生成
陷门生成算法Trapdoor(pp, tk, PKS, SKR, R)由数据用户调用,输入公共参数pp、待检索关键字$ k \in\{0, 1\}^*$ 、数据发送者的公钥PKS、数据用户的私钥SKR和用户属性R,输出对应的检索陷门TD,上传至云服务器。具体来说,数据用户计算:
最后,数据用户设定检索陷门为$ T D:=\left(T_1, T_2, \right.\left.\left\{T_{3, j}\right\}_{j \in R}\right)$ 。
3.6 密文检索
云服务器接收到公共参数pp、关键字密文CT、检索陷门TD、访问策略(W, t)和用户属性R,将其输入到密文检索算法Search(pp, CT, TD, R, (W, t))中。如果$ |R \cap W|<t$ ,云服务器返回表示$ \perp$ 关键字密文和检索陷门不匹配。否则,云服务器选择子集$ J \subseteq R \cap W$ 使得$ |J|=t$ ,计算T1, 2 = e(T1, T2)和$ T_{1, 3}=\prod\limits_{j \in J} e\left(T_1, T_{3, j}\right)^{L_j}$ 。对于$ j \in J$ ,云服务器计算拉格朗日系数$L_j=\prod\limits_{j \in J, j \neq i} \frac{-j}{i-j} $ ,并判断如下等式
如果对于任意的$ j \in J$ ,等式两边均相等,则云服务器将关键字对应的云数据密文CTM返回给数据用户,数据用户调用解密算法ABE−Decrypt(pp, CTM, SKR)恢复云数据M'。
3.7 正确性分析
本文面向云数据访问控制的认证密文检索算法的正确性在于解密算法的正确性,当云服务器接收到ck对应的关键字密文$ C T=\left\{C_{j, 1}, C_{j, 2}, C_{3, j}\right\}_{j \in W}$ 和tk对应的检索陷门$ T D:=\left(T_1, T_2, \left\{T_{3, j}\right\}_{j \in R}\right)$ 后,若ck = tk,则有:
因此,本文构造的算法满足正确性。
3.8 安全性分析
定理:本文提出的ABASE方案能够抵御内部关键字猜测攻击。
证明:在密文计算算法中,关键字$ c k \in\{0, 1\}^*$ 通过哈希函数$ H_1:\{0, 1\}^* \rightarrow \mathbb{G}$ 和随机数$ r_j \in \mathbb{Z}_p$ 被隐藏在C1, j和C2, j中,由于H1 (ck)和H2 (j)是群$ \mathbb{G}$ 中的元素,且rj是随机选择的,敌手无法从C1, j和C2, j中直接获取ck的信息。另外,在计算关键字密文时,数据拥有者需要输入自己的私钥SKS = s,参与C1, j的计算,即C1, j= $ H_1(c k)^{r_j s} \cdot H_2(j)$ 。若敌手不知道s,则无法构造$ H_1(c k)^{r_j s}$ 。即使敌手是内部实体(如云服务器),也无法调用密文生成算法生成关键字密文。综上所述,内部敌手即使拥有陷门,因缺乏数据拥有者的私钥SKS,无法得到关键字密文,故本文提出的ABASE方案可抵御内部关键字猜测攻击,证毕。
4 性能分析
从计算开销和存储开销的角度对提出的方案进行性能分析。本实验在搭载第12代Intel Core i7−12800HX处理器与16 GB内存的笔记本电脑上进行,所有方案均基于Java JPBC密码学库实现。通过控制变量法,分别对本文提出的ABASE方案与MABKS方案[24]、ABKSSM方案[25]和DSA方案[26]的密文计算、陷门生成、密文检索算法的计算开销和用户私钥、关键字密文、检索陷门的通信开销进行对比分析,自变y2 = x3 + x jZpj = 1024 bits jGj = 1024 bits jGTj = 1024 bits量分别设置为关键字数量(10~100)和属性数量(10~50),实验结果以秒(s)和千字节(KB)为单位。为了确保公平性,本文的测试过程保持一致的硬件配置与软件环境,选择Type A型曲线$ y^2=x^3+x$ ,并且设置$\left|\mathbb{Z}_p\right|=1024 \text { bits } $ ,$ |\mathbb{G}|=1024 \text { bits }$ 和$ \left|\mathbb{G}_T\right|=1024 \text { bits }$ 。
4.1 计算开销分析
算法设计过程中所需要的基础知识如下。表 1展示了MABKS、ABKSSM、DSA和ABASE的理论计算开销对比。考虑如下操作,TH表示哈希操作时间,TE表示群$ \mathbb{G}$ 上的模幂操作时间,TET表示群$ \mathbb{G}_T$ 上的模幂操作时间,TP表示双线性配对操作时间。此外,r表示属性数量,ri表示ABKSSM方案中每个属性授权中心所掌管的属性数量,d表示访问策略矩阵的行数,w表示访问集合中的元素数量,t表示子集J = $ R \cap W$ 中的元素数量。
表1 理论计算开销 |
| 方案 | 密文计算算法 | 陷门生成算法 | 密文检索算法 |
| MABKS[24] | TH + (2r + 2)TE | 2TP | |
| ABKSSM[25] | | TH + (2r + 1)TE | TET + (2r + 1)TP |
| DSA[26] | | TH + 10TE | 3TH + rTET + (2r + 7)TP |
| ABASE | (w + 1)TH + 3wTE | TH + rTE | tTET + (4t + 1)TP |
接下来,通过仿真这4个方案,对比了它们在密文计算、陷门生成和密文检索算法的计算开销。如 图 2所示,当关键字数量从10增至100时,MABKS的计算时间从20.6 s增至206.0 s,ABKSSM的计算时间从13.3 s增至133.0 s,DSA的计算时间从16.5 s增至165.0 s,而从ABASE的计算时间从19.7 s线性增长至197.0 s。可见,面对关键字的增长,本文提出的ABASE在密文计算过程中避免了冗余的双线性配对操作,其计算开销相对于MABKS具有优势,但没有ABKSSM和DSA高效。图 3展示了4个方案陷门生成算法的计算开销对比,由于减少了陷门生成算法中模幂运算次数,ABASE的陷门生成时间始终低于另外3个方案,增长趋势平缓。同时,随着关键字数量的增加,另外3个方案陷门生成时间的增长速度远高于ABASE。具体而言,当关键字数量为100时,ABASE方案的陷门生成时间仅为另外3个方案的76.19%、46.38% 和18.82%。
在密文检索算法中,如图 4所示,4个方案均呈现线性增长趋势。然而,由于ABASE在检索过程中所需的双线性配对操作的数量远高于MABKS,所以ABASE呈现了较高的计算开销,但相对于ABKSSM和DSA具有较为明显的优势。具体而言,当关键字数量增加时,MABKS的检索时间由0.6 s增至6.0 s,ABKSSM的检索时间由6.6 s增至66.0 s,DSA的检索时间由8.7 s增至87.0 s,而ABASE的检索时间仅由4.3 s增至43.0 s。
4.2 存储开销分析
提出的ABASE方案和其他3个方案的理论存储开销对比如表 2所示,其中$ |\mathbb{G}| 、\left|\mathbb{G}_{\mathrm{T}}\right| \text { 和 }\left|\mathbb{Z}_{\mathrm{p}}\right|$ 分别表示群$ \mathbb{G} 、\mathbb{G}_{\mathrm{T}} \text { 和 } \mathbb{Z}_{\mathrm{p}}$ 中的元素长度,λ表示字符串$ \{0, 1\}^\lambda$ 的长度。可见,ABASE在用户私钥的存储开销显著低于其他3个方案。
表2 理论存储开销 |
| 方案 | 用户私钥 | 关键字密文 | 检索陷门 |
| MABKS[24] | | | |
| ABKSSM[25] | | | |
| DSA[26] | | | |
| ABASE | | | |
5 结论
提出了一种面向云数据访问控制的认证密文检索方案,有效解决了云存储环境下多用户安全检索的关键问题。通过将属性基加密与门限秘密共享技术相结合,构建了密文策略的细粒度访问控制机制,确保检索权限的精确管控。在关键字密文中嵌入数据所有者的私钥实现密文认证,从根本上阻断了云服务器发起内部关键字猜测攻击的途径。性能分析表明,本文提出方案的陷门生成算法相对于其他可搜索加密方案是高效的,同时具有较短的用户私钥大小,适用于云数据隐私保护。未来,本方案可进一步结合前向安全与后向安全机制以缓解密钥泄露问题,使得方案可以在保持密文检索效率的前提下,构建具有时序约束的动态访问控制体系,以适配更复杂的云存储需求。
