0 引言

    云計算作為一種新興的服務模式，將網絡中大量不同類型的資源整合起來協同工作，為用戶提供計算和存儲等功能，極大地提高了資源利用率，降低了用戶成本^[1]。但由于云計算的數據處于不可控域中，這一模式的應用必然會產生許多信息安全問題，其中一個重要的問題就是如何保護云中用戶數據的機密性和實現數據合法高效的共享訪問^[2]。

    文獻[3]針對云計算中數據不是存儲在本地而是以密文形式托管到“云端”，導致已有的公平交換協議不能很好適應云環境這一問題，構造了一個可在隨機預言模型下證明安全的匿名條件的代理重加密方案。文獻[4]在基于屬性的加密基礎上提出了一種有效的云端重加密方法，將訪問控制策略變更導致的重加密過程轉移到云端執行，實現高效的動態密文訪問控制。文獻[5]提出了一種可抗選擇密文攻擊的分類代理重加密方案，實現了一個基于 Hadoop云存儲平臺的云端數據共享原型系統，提高了數據共享的高效性和安全性。

    本文在文獻[6]Wa-IBE方案基礎上提出了一種適合云存儲訪問控制的基于身份的代理重加密方案，并對其安全性進行了證明。本文方案將重加密密鑰分成兩個部分，一部分用于對原始密文的重加密，另一部分作為授權解密密文。發送者在與接收者交互過程中，只需要將授權解密密文給接收者，接收者即可利用自己的私鑰和授權解密密文解密重加密密文得到明文。與其他方案相比，本文方案對不同用戶不用完全重新生成重加密密鑰，只需要部分計算，計算復雜度較低，同時重加密密文長度不會隨著用戶的增長呈線性增長，密文的主要部分交由云存儲服務器存儲管理，減少了發送者與多接收者之間信道的通信量，降低了存儲的空間。

1 本文方案

1.1 方案介紹

    傳統的基于代理重加密的云存儲訪問控制方案，一旦數據經過云服務器重加密后，數據擁有者就失去了對數據的控制力，代理的權限過大，而且由于重加密密鑰的計算量過大導致數據共享的效率不高。本文方案將數據擁有者將重加密密鑰分成兩個部分，一部分重加密云中的原始數據，另一部分作為授權解密密文，發送者確定接收者身份后，直接發送給接收者。接收者利用自己私鑰、云中下載的重加密密文、授權解密密文即可得到明文，如圖1所示。

1.2 本文所提方案

    (1)初始化(Setup)

    從方案中可以看出，只要接收者可以解密R得到k就可以解密重加密密文得到明文。因此，在面對多個接收者的情況時，發送者只需要根據不同接收者的身份信息簡單計算R，即可達到共享密文的目的，而不用完全重新計算重加密密鑰，大大提高了效率。同時，密文的長度隨著重加密次數的增長基本保持不變，節省了存儲空間。

2 安全性分析

    由于本方案是基于Wa-IBE方案提出的，下面證明如果Wa-IBE方案是IND-ID-CPA安全的，那么本方案滿足IND-PrID-CPA安全。對于本方案假定的攻擊者A，構造一個算法B去攻擊Wa-IBE方案。這個算法保持一個三元組(β，v₁，v₂)的列表，其中β∈{0，1}，v₁和v₂代表兩個身份信息。必須針對身份信息v去詢問Wa-IBE方案的私鑰生成預言機來回答A的RKEXTRACT(v，·)預言機詢問。如果A進行了RKEXTRACT(v，·)詢問，并發送v作為挑戰身份，那么B得不到Wa-IBE方案的挑戰密文，B必定失敗。因此當A進行RKEXTRACT(v，·)詢問時，B將身份信息v發送給Wa-IBE方案的私鑰生成預言機或者隨機生成一個重加密密鑰。如果B返回正確的密鑰，令β=1，否則β=0。

    定理1  假設攻擊者A在游戲Exp^{A，IND-PrID-CPA}具有ε的優勢獲勝。那么算法B至少具有以下優勢攻破Wa-IBE方案。q_E是攻擊者A詢問私鑰預言機的最大次數，算法B的運行時間是O(time(A))。

    證明：設A為攻擊本方案的攻擊者，構造一個攻擊Wa-IBE方案的算法B。輸入方案Wa-IBE的公共參數μ，B按以下步驟運行。注意B保持一個三元組的列表(β，v₁，v₂)∈{0，1}×{0，1}ⁿ×{0，1}ⁿ。*代表通配符。假設一個輸入只能詢問一次預言機。

    (1)初始化

    將公共參數μ發送給A。

    (2)詢問階段1

    攻擊者A可以做出以下詢問：

    (a)私鑰提取詢問(Extract)：B首先對β做出一個隨機選擇，如果β=0，或者(0，v，*)或(0，*，v)已經出現在表里，B就隨機輸出一個比特或者終止操作。否則，B詢問Wa-IBE方案的私鑰生成預言機來獲得私鑰d_v，同時將dv返回給A，并將(1，v，v)記錄在表里。

    (3)挑戰階段

    A發送(v*，m₀，m₁)給B，如果對于任意的v′，在表中都有(1，v*，v′)存在，B就隨機輸出一個比特或者終止操作。否則，發出相同的挑戰(v*，m₀，m₁)給Wa-IBE方案的挑戰者。當Wa-IBE方案的挑戰者返回密文C*，B將C*發送給A。

    (4)詢問階段2

    (5)猜測階段

    當A輸出對b的猜測b′，B也輸出b′。

    可以看出如果B在游戲過程中不終止，攻擊者A所處的模擬環境和真實的攻擊環境是大致相同的，除了當β=0時。稍后將在引理1中證明A對隨機生成的密鑰具有不可區分性來說明這個情況。因此，只需要計算B終止游戲的可能性。假設A總共進行了q_E次私鑰詢問。B在詢問階段1或2 中不終止游戲的可能性為。在挑戰階段不終止游戲的可能性為1-δ。因此，B不終止游戲的可能性是(1-δ)，這個值最大為δ_opt=1-1/(q_E+1)。所以B不終止游戲的可能性最少是1/e(1+q_E)。因此B的優勢至少是ε/e(1+q_E)。

    引理 1 如果Wa-IBE方案是IND-ID-CPA安全的，那么證明定理1中的模擬算法具有可計算的不可區分性。

    證明：除了當β=0時，證明定理1中的模擬環境和真實環境是一樣的。因此，只需要考慮對隨機生成的重加密密鑰(x，y，Encrypt(μ，v₂，z))和真實的密鑰的不可區分性。由于(x，y)必須是(d₁K^-1，d₂)的一種可用形式，K∈G，所以這個問題就等同于區別z∈_R{0，1}^l和k加密的可區分性。因此引理1得證。

    綜上所述，本方案滿足IND-PrID-CPA安全。

3 效率分析

    本文通過存儲過程中計算復雜度和存儲開銷對方案的效率進行分析。首先令N_par表示雙線性運算，N_exp1和N_exp2分別代表群G₁和G₂中的指數運算；群G₁中元素的長度為l₁ bit，群G₂中元素的長度為l₂ bit，Z_p中元素的長度為l₃ bit。在云存儲應用環境中，大都是一個發送者對n個接收者的情形，表1是文獻[7]方案與本文方案在計算代價上的比較，表2是文獻[7]方案與本文方案在通信帶寬上的比較。

    對比分析可知，在云存儲環境一個發送者對n個接收者的情形下，本文方案在計算代價和通信帶寬方面較文獻[7]方案有明顯優勢。本文沒有討論權限撤銷的問題，這是非必要的，因為每次的授權解密密文是不同的。發送者通過對授權解密密文的控制，很好地實現了數據的授權和撤銷。

4 結束語

    本文提出了一種適合云存儲訪問控制的基于身份的代理重加密方案，并對其進行了安全性證明，結果表明，本文方案基本能滿足云環境下數據共享的安全性要求。但是在面對移動云計算的環境下，方案還有很大的缺陷，下一步將繼續完善方案，使之能適應移動終端的需要。

參考文獻

[1] 張婧，陳克非，呂林，等.云存儲中的用戶數據安全[J].計算機科學與探索，2013，7(12)：1093-1103.

[2] 趙麗麗.代理重加密技術在云計算中的應用[J].信息安全與通信保密，2012，3(11)：135－137.

[3] 藍才會，王彩芬.構造適合云的公平交換協議[J].通信學報，2013，34(3)：111-11.

[4] 洪澄，張敏，馮登國.面向云存儲的高效動態密文訪問控制方法[J].通信學報，2011，(32)7：125-132.

[5] 龐巖梅，李曉東，葉思水.基于代理重加密的云數據共享機制的研究與實現[J].南京理工大學學報，2015，39(1)：84-88.

[6] WATERS B.Efficient identity-based encryption without random oracles[C].In Proceedings of Advances in Cryptology-EUROCRYPT′05，Springer，2005，3494：114-127.

[7] LIANG K，HUANG Q，SCHLEGEL R，et al.A conditional proxy broadcast re-encryption scheme supporting timed-release[C].Proc.ISPEC 2013，LNCS 7863，Springer，Heidelberg，2013：132-146.