可信执行环境赋能的云数据动态群组访问控制.pdf

1、收稿日期:网络出版时间:基金项目:国家重点研发计划(Y F B );陕西省自然科学基础研究计划资助项目(J Q 、J Q 、J Q );国家自然科学基金青年项目();中央高校基本科研业务费专项资金资助(X J S 、X J S 、Z Y T S )作者简介:李玥(),女,讲师,E m a i l:l i y u e x i d i a n e d u c n贾皓(),男,西安电子科技大学硕士研究生,E m a i l:c o r v u s c o m邓鑫(),男,华北电力大学本科生,E m a i l:d e n g x i n c o m马建峰(),男,教授,E m a i l:j f m

2、 a m a i l x i d i a n e d u c n通信作者:宋祁朋(),男,讲师,E m a i l:q p s o n g x i d i a n e d u c n网络出版地址:h t t p s:/k n s c n k i n e t/k c m s/d e t a i l/T N h t m ld o i 敭 j 敭i s s n 敭 敭 敭 可信执行环境赋能的云数据动态群组访问控制李玥,宋 祁 朋,贾皓,邓鑫,马 建 峰,(西安电子科技大学 网络与信息安全学院,陕西 西安 ;西安电子科技大学 空天地一体化综合业务网全国重点实验室,陕西 西安 ;华北电力大学 控制与计算

3、机工程学院,北京 )摘要:云存储服务的普及,吸引着众多用户将数据外包存储至云平台.出于个人隐私保护的需要,云外包数据多以密文形式存在,为用户通过云平台共享数据带来极大的不便.其关键挑战在于,如何设计基于密码学的群组访问控制方案,以合理的计算/存储开销,支持用户安全便捷地进行密文数据共享.针对该问题,在既有文献基础之上,提出了一种基于可信计算环境的低开销、细粒度云存储数据动态群组访问控制机制.该方案以一种融合了身份基广播加密、属性加密以及代理重加密的既有方案为基础,通过引入可信执行环境,如英特尔软件防护扩展(I n t e lS G X),对原方案中密码学进行了计算简化,同时通过引入子群划分的思

4、想,近一步优化了动态群组访问控制的管理开销.仿真结果表明,与原方案相比,本方案在有效保护数据隐私、提供细粒度密文数据动态访问控制能力的同时,极大地降低了计算复杂度.关键词:身份基广播加密;S G X;动态群组访问控制中图分类号:T P 文献标识码:A文章编号:()T r u s t e de x e c u t i o ne n v i r o n m e n t e n a b l e dd y n a m i cg r o u pa c c e s s c o n t r o l f o rd a t a i nc l o u dL IY u e S ONGQ i p e n g J I

5、A H a o D ENGX i n MAJ i a n f e n g 敭 S c h o o l o fC y b e rE n g i n e e r i n g X i d i a nU n i v e r s i t y X i a n C h i n a 敭 S t a t eK e yL a b o r a t o r yo f I n t e g r a t e dS e r v i c e sN e t w o r k s X i d i a nU n i v e r s i t y X i a n C h i n a 敭 S c h o o l o fC o n t r o

6、 l a n dC o m p u t e rE n g i n e e r i n g N o r t hC h i n aE l e c t r i cP o w e rU n i v e r s i t y B e i j i n g C h i n a A b s t r a c t T h ep r e v a l e n c eo f c l o u ds t o r a g e s e r v i c eh a sa t t r a c t e dm a n yu s e r s t oo u t s o u r c e t h e i rd a t a t oc l o u d

7、p l a t f o r m s 敭 I no r d e rt op r o t e c tp e r s o n a lp r i v a c y d a t aa r ee n c r y p t e db e f o r eb e i n go u t s o u r c e dt ot h ec l o u d w h i c hb r i n g sg r e a t i n c o n v e n i e n c e f o r d a t a s h a r i n g t h r o u g h t h e c l o u dp l a t f o r m s 敭 T h

8、ek e y c h a l l e n g e l i e s i nh o wt od e s i g nac r y p t o g r a p h y b a s e dg r o u pa c c e s sc o n t r o l s c h e m e t os u p p o r tu s e r s t os h a r ec i p h e r t e x td a t as a f e l ya n dc o n v e n i e n t l y w i t hr e a s o n a b l ec o m p u t i n g s t o r a g eo v

9、e r h e a d 敭 T ot h i se n d b yc o n s i d e r i n gt h ee x i s t i n gr e s e a r c he f f o r t s a n db a s e do na ne x i s t i n gs c h e m et h a tc o m b i n e si d e n t i t y b a s e d b r o a d c a s te n c r y p t i o n a t t r i b u t ee n c r y p t i o na n dp r o x yr e e n c r y p

10、t i o n a l o w o v e r h e a d f i n e g r a i n e dc l o u ds t o r a g ed a t ad y n a m i cg r o u pa c c e s sc o n t r o lm e c h a n i s mb a s e do nt r u s t e dc o m p u t i n ge n v i r o n m e n ti sp r o p o s e d 敭 B yi n t r o d u c i n gat r u s t e d 年月第 卷第期西安电子科技大学学报J OURNA LO FX I

11、 D I ANUN I V ER S I TYA u g V o l N o h t t p:/j o u r n a l x i d i a n e d u c n/x d x be x e c u t i o ne n v i r o n m e n t s u c ha s I n t e ls o f t w a r eg u a r de x t e n s i o n s S G X t h ec r y p t o g r a p h i co p e r a t i o nw i t h i nt h eo r i g i n a ls c h e m ei ss i g n

12、i f i c a n t l ys i m p l i f i e d 敭 A tt h es a m et i m e b yi n t r o d u c i n gt h ei d e ao fs u b g r o u pp a r t i t i o n t h em a n a g e m e n to v e r h e a do fd y n a m i cg r o u pa c c e s sc o n t r o l i s f u r t h e ro p t i m i z e d 敭 S i m u l a t i o nr e s u l t ss h o wt

13、 h a t c o m p a r e dw i t h t h e o r i g i n a l s c h e m e t h i s s c h e m en o t o n l ye f f e c t i v e l yp r o t e c t sd a t ap r i v a c y b u t a l s op r o v i d e sd y n a m i ca c c e s sc o n t r o lc a p a b i l i t i e sf o rf i n e g r a i n e d c i p h e r t e x td a t a w h i

14、 c h g r e a t l y r e d u c e sc o m p u t a t i o n a l c o m p l e x i t y 敭K e yW o r d s i d e n t i t yb a s e db r o a d c a s t e n c r y p t i o n S G X d y n a m i cg r o u pa c c e s sc o n t r o l 引言云计算技术的快速发展,给人们在文件存储、处理和共享等方面提供了很大的便捷.廉价的计算成本和巨大的存储容量吸引了越来越多的企业以及个人用户选择将数据外包存储至云计算平台上.但是,云

15、服务供应商可能会在未经用户允许的情况下,擅自泄露篡改用户隐私数据或重要文件,因此大部分的云服务供应商并不能完全被信任.为保护数据隐私,数据拥有者通常会在上传数据之前对数据进行加密.但是云计算服务中存在大量共享数据的需求,密文数据并不能通过云服务器便捷地来分享给他人.因此,基于密码学的云数据访问控制成为了近年来的研究热点.针对基于密码学的云数据访问控制问题,文献 提出了混合加密(H y b r i dE n c r y p t i o n,HE)思路.其基本思想是,在公钥基础设施的辅助下,利用对称加密技术加密数据,非对称加密手段加密并分发数据对称加密密钥,但HE在一对多数据共享方面存在诸多不足.

16、广播加密(B r o a d c a s tE n c r y p t i o n,B E)致力于解决数据拥有者和一组用户进行一对多的密文数据共享.早期广播加密方案多基于公钥基础设施,为免去公钥管理的负担,有学者提出身份基广播加密(I d e n t i t yB a s e dB r o a d c a s tE n c r y p t i o n,I B B E),利用标识用户的任意字符串作为公钥,对数据进行加密.只要用户身份在共享用户集合中,便可利用其私钥进行解密.和I B B E类似,基于属性加密(A t t r i b u t eB a s e dE n c r y p t i o

17、n,A B E),通过为用户以及数据定义一组属性,支持数据拥有者和群组用户之间,进行细粒度密文数据群体共享.为了解决密文数据在不解密前提下共享给新用户,代理重加密技术(P r o x yR e E n c r y p t i o n,P R E)应运而生,能对存储在云服务器上的密文进行安全转换.在代理重加密中,基于授权人(D e l e g a t o r)公钥加密的密文可以被转换为另一种密文,且保持对应明文不变,被转换后的密文可以由被授权人(D e l e g a t e)的私钥进行解密.该密文转换过程由一个半可信的代理者(P r o x y)执行.为支持一对多的代理重加密,有学者提出了I

18、B B E P R E.为解决代理权限过大带来的隐患,且数据拥有者有时候只想共享一部分密文数据,文献 提出了条件代理重加密(C o n d i t i o n a lP R E,C P R E).只有符合条件约束的密文才能被代理进行密文转化.条件代理重加密,只有密文满足授权人设定的条件(关键字),代理者才能将授权人的密文转换成受理人可解密的密文,即授权人可以通过关键字限制受理人的权限.文献 提出了细粒度的基于身份的代理重加密机制,但并不支持群组共享.文献 在文献 的基础上添加了一对多的群组共享支持.为近一步提升云数据共享的灵活性,文献 提出了P B AA方案,同时支持群组共享、细粒度访问控制等

19、功能.文献 考虑了代理重加密的可验证性以及公平性问题,并提出了V F A B P R E,允许共享数据用户验证云数据平台返回的重加密密文是否正确,同时保障云平台数据免于用户的恶意控告.文献 提出了一个基于属性的云安全多群组数据共享加密方案.该方案构建了可验证外包解密的可撤销属性基加密,实现了抗合谋的用户撤销,可以在不影响未撤销用户的情况下加入或撤销任意数量的用户.近年来,也有学者聚焦于云数据访问控制中数据分布式存储以及跨群组共享问题,文献 基于区块链C P A B E技术,提出了一种具有抗属性篡改的密文数据共享机制.文献 提出了基于区块链的密文策略访问控制机制.文献 提出了一种基于区块链的跨群

20、组的细粒度数据共享方案,通过群签名来保证跨用户组的细粒度访问控制,但没有考虑群组用户的动态性,即群组中成员的动态加入和撤销.随着隐私保护的概念渐入人心,不少学者关注数据共享相关的隐私保护问题.文献 关注了数据共享中的用户身份隐私保护问题.文献 研究了I o T场景中的具有隐私保护属性的访问控制机制.综合上述分析,云存储平台上密文数据的访问控制越来越灵活便捷,但大多数研究都是基于对的构造方第期李玥等:可信执行环境赋能的云数据动态群组访问控制h t t p:/j o u r n a l x i d i a n e d u c n/x d x b法,在计算开销上相较于传统公钥加密技术,要慢一个数量级

21、,因此计算复杂度越来越高.此外,大多数研究忽略了群组动态变更的情况,即缺乏动态群组访问控制管理能力.在管理群成员频繁变动的大用户群时,其所需的计算开销难以接受.针对云平台上群组动态访问控制管理问题,笔者提出了低开销、细粒度的动态群组访问控制机制,主要工作如下:()基于可信计算环境,即英特尔软件防护扩展(I n t e lS o f t w a r eG u a r de X t e n s i o n s,S G X)技术,以P B AA方案为基础,构建了C S P群组访问控制管理服务器,实现在不可信云存储共享平台上,以低计算复杂度和存储开销,实现数据共享系统的群组成员的可信管理.()利用分治

22、的思想,对密文数据共享用户群体,实现层次化管理,降低了群组成员变更操作的开销.()给出系统实现,并对方案进行仿真分析,证明了方案的有效性与高效性.基础知识 I n t e lS G XI n t e lS G X是I n t e l为满足可信计算需求推出的一组扩展指令集,与A RM T r u s t z o n e和S a n c t u m类似,S G X致力于在不受信的环境下,为用户应用程序提供可信执行环境(T r u s t e dE x e c u t i o nE n v i r o n m e n t,T E E).为此,S G X允许用户应用程序在一段位于E n c l a v

23、 e地址空间中,开辟一段受保护的内存空间.这段受保护空间实行严格的访问控制和加密操作,保护程序数据的机密性和代码的完整性.S G X将信任域缩小至C P U制造商,减少了可信计算基(T r u s t e dC o m p u t i n gB a s e,T C B)的大小.支持S G X的C P U提供了内存加密引擎(M e m o r yE n c r y p t i o nE n g i n e,ME E)硬件单元,通过对保护内存读写的解密加密,保证了数据只有在E n c l a v e内存中才是明文.S G X依赖的关键技术如下:()内存隔离.S G X从系统主存中征用 MB作为处理

24、器预留内存(P r o c e s s o rR e s e r v e sM e m o r y,P RM).P RM中的所有代码和数据在C P U之外是加密的.当把数据加载到C P U时,需要进行相应的解密和完整性检查.诸如H y p e r v i s o r、B I O S、操作系统等特权应用,都不能随意访问这段P RM区域.操作系统被允许置换出E n c l a v e页面,S G X保证置换页面的完整性、保密性和及时性,但是置换页面会带来较大性能开销.基于S G X的用户应用程序由E n c l a v e部分和非受信任部分组成,其他进程只能通过S G X提供的安全接口和E n c

25、 l a v e交互.()认证.S G X提供了本地认证和远程认证两种机制.本地认证是指在同一个平台上的两个E n c l a v e在交换信息之间使用S G X报告机制彼此相互认证.远程认证功能则允许在远程系统上验证代码或数据的完整性和真实性.这种验证是通过密码学测度加载到E n c l a v e中的初始代码和数据来完成的.S G X的认证功能保证了测度的真实性以及测度来源的可靠性.认证的结果可以提供给第三方,以证明E n c l a v e的真实性.此外,S G X远程认证机制还允许在E n c l a v e和外部实体之间建立一条安全信道用来加载敏感数据.()数据密封.当E n c l

26、 a v e被实例化之后,硬件会对数据提供保护.但当E n c l a v e被关闭时,E n c l a v e内部所有的数据都将丢失.为了对E n c l a v e运行时的数据进行持久化,S G X提供了数据密封机制.目前的S G X有两种密封数据的方法,分别是密封到安全区标识和密封到密封标识.数据密封机制首先使用一个密封密钥来加密和保护数据完整性,此密封密钥只能由特定平台上的E n c l a v e生成.然后,数据即可存储在E n c l a v e之外的不受信任的内存或存储中.只有具有相同密封密钥的E n c l a v e才能解开数据的密封,保证了数据的安全性.需要指出的是,S

27、G X易遭受各式侧信道攻击,也有相关研究关注如何检测和对抗侧信道攻击.如何保证S G X的安全不在文中考虑范围之内.P B A A方案介绍)P B AA方案种算法原始P B AA方案 包含个算法:S e t u p,R e g i s t e r,E n c r y p t,D K G e n,R e E n c,D e c 和D e c.各算法的大体工作流程如下:()(P K,M S K)S e t u p(l,N):可信第三方(C e r t i f i c a t eA u t h o r i t y,C A)执行S e t u p算法完成系统初始化.给定安全参数l和一个密文的最大共享人

28、数N,C A运行S e t u p算法生成系统公钥P K和主密钥M S K.西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x bC A公开P K参数,保证M S K信息不泄露.()S KI DR e g i s t e r(P K,M S K,I D):当用户I D申请加入云数据共享系统时,C A负责验证用户I D身份的真实性.在此基础上,给定P K、M S K和身份I D,C A运行R e g i s t e r算法来输出用户I D的私钥S KI D,并通过安全信道将S KI D分发给用户I D.()C TE n

29、c r p t y(P K,M,S,L):当用户将数据外包到云存储服务商之前,调用E n c r y p t算法来保护数据隐私.具体来说,数据所有者首先指定接收者用户集和S(其中|S|N)和描述条件集L,然后用S和L对数据M进行加密,然后数据所有者将生成的密文C T外包传输给C S P.()D KI DS|AD K G e n(P K,S KI D,S,A):当数据所有者想要将加密数据共享给一组新的用户S 时,数据所有者需要制定一个访问策略A,指定数据所有者希望共享数据的类型.随后数据所有者通过调用D K G e n算法,以P K、S KI D、身份集S(|S|N)和访问策略A为参数,生成带有

30、S 和A的委托密钥(即重加密密钥)D KI DS|A.()C T R e E n c(P K,C T,S,L,D KI DS|A):在收到数据拥有者发来的委托密钥D KI DS|A之后,C S P通过调用R e E n c算法,以P K,在S和L下生成的原始密文C T,委托密钥D KI DS|A为参数,尝试进行密文转换.如果数据用户I DS且L满足A,则R e E n c算法,可针对S 输出一个重加密密文C T,否则返回错误符号.()MD e c(P K,S KI D,C T,S):给定由P K、S KI D和用户集合S生成的原始密文C T,如果数据用户I DS,那么运行此解密算法可获取原始消

31、息M,否则收到错误符号.()MD e c(P K,S KI D,C T,S):给定由P K、S KI D 和用户集合S 生成的重加密密文C T,如果数据用户I D S,那么运行此解密算法可获取原始消息M,否则收到错误符号.)P B AA方案的优势相比于群组密态数据共享方案,P B AA方案具有如下优势:()基于身份的广播数据共享,支持数据所有者指定一组用户,并用这些用户的身份加密数据,并进行数据共享;()基于策略的重加密,支持数据所有者对重加密密文制定细粒度的访问策略.系统模型方案系统模型如图所示,包含个参与者:系统管理员(s y s t e m A DM I N i s t r a t o

32、r,A DM I N),云存储服务提供商(C l o u dS t o r a g eP r o v i d e r,C S P),数据拥有者(D a t aO w n e r,D O),数据用户(D a t aU s e r,DU),可信第三方(C A).图系统模型既有云数据访问控制方案,其工作基本原理是:数据拥有者和数据用户,通过非可信C S P进行数据共享第期李玥等:可信执行环境赋能的云数据动态群组访问控制h t t p:/j o u r n a l x i d i a n e d u c n/x d x b业务.被共享的数据通过对称加密算法,例如:A E S算法,进行加密.对称加密的密

33、钥则通过所提出的动态群组访问控制方案进行加密并分发.系统细粒度访问控制以及代理重加密功能.数据拥有者,可以指定一组共享数据的用户S和一组条件(例如:关键字等),对数据加密并上传至C S P.密文数据拥有者,如果需要和一组新用户S 共享数据,则可在原始条件基础上构造一个访问结构A,生成重加密密钥.凭借重加密密钥,C S P可对原始密文中满足访问结构A的部分进行重加密操作,以便新的用户群S 可以用其私钥顺利重加密解密秘文.为简化访问控制管理,笔者在C S P中引入基于I n t e lS G X的管理服务器.在数据拥有者拟和用户群共享数据时,会和管理服务器通信.后者负责创建针对待共享数据群密钥.数

34、据拥有者通过群,密钥对数据加密,并上传至C S P,同时管理服务器通过身份基广播加密的方式生成访问控制相关元数据,存于C S P之后,以便用户群读取.管理服务器同时还承担重加密过程中的代理角色,负责将需要重加密的密文进行密文转换.此外,当用户群体发生成员变更时,例如增加/删除群成员时,动态访问控制管理亦由管理服务器负责.系统模型中的C A主要用于实现系统中初始信任关系的建立.算法设计 用户和E n c l a v e间的初始信任建立提出的方案依赖的可信基为管理服务中的E n c l a v e部分.因此,在系统初始化阶段,需要在E n c l a v e程序和数据用户之间建立双向信任关系,建立

35、起来的信任关系是用户文件端到端安全的基石.为达成这一目的,可依赖可信第三方完成这一过程.图展示了初始信任建立过程.图用户和E n c l a v e程序的双边信任建立()用户对E n c l a v e的信任建立.其核心步骤在于E n c l a v e可以向用户出示C A签发的证书.为此,在初始阶段,首先E n c l a v e在其内部生成一对公钥和私钥.其中私钥绝不离开E n c l a v e,公钥连同E n c l a v e测量结果一起发送给C A.C A向S G X机制中远程认证服务,例如:I A S,进行验证,确定E n c l a v e的真实性,并确定运行在E n c l

36、a v e中代码的可信性.一旦上述过程完成,C A签发证书给E n c l a v e,连同之前E n c l a v e传递而来的公钥,传给E n c l a v e.C A的公钥被安全存放于E n c l a v e中.凭借C A签发的证书,用户完成对E n c l a v e的信任建立,后续可以放心地管理服务器申请用于P B AA S G X机制的私钥.()E n c l a v e对数据用户的信任建立.为避免用户身份伪冒攻击,E n c l a v e需要对和自己交互的数据用户进行身份认证.为此,每个数据用户下向C A申请数字证书.C A签发的证书中,包含用户的身份信息,例如:用户I

37、D等.数据用户可通过C A中含有的C A公钥对所收到的证书进行真实性验证.当用户和E n c l a v e进行安全通信时,会向E n c l a v e展示C A签发的证书.E n c l a v e凭借数字证书完成对数据用户的信任建立.P B A A S G X构造方案由于I n t e lS G X的引入,数据共享的可信基发生了改变.因此,利用S G X提供的可信计算能力,在P B AA方案 基础之上,构建P B AA S G X方案,在实现细粒度的访问控制同时,将计算复杂度开销控制在合理范围之内.系统设置阶段原版P B AA要求通过C A执行S e t u p算法.由于S G XE n

38、 c l a v e的可信性,P B AA S G X在设计,通过管理服务器的E n c l a v e部分,执行S e t u p算法.因此,主密钥M S K可以在E n c l a v e中以明文形式存在.当需西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x b要持久化存储时,可以通过S G X数据密封技术,在非可信存储载体上进行存储.S e t u p算法(P K,M S K)P B AA_S G X_S e t u p(l,N)具体执行过程和P B AA一致:假设G和GT是两个素数阶p上的有限循环群,g是群G

39、的生成元,如果存在一个有效的双线性映射e:GGT,此映射要求对于所有的uG,vG以及a,bZp都有e(ua,vb)e(u,v)a b,以及e(g,g).管理服务器E n c l a v e部分,首先根据给定安全参数l和一个密文的最大共享人数N,生成双线性映射参数(p,g,G,GT,e),然后随机选择Zp,w,u,h,vG,然后计算以及gg,gg,gNgN;ww,ww,wNwN;vv,vv,vNvN.除此之外,管理服务器选取两个公开H a s h函数H:,Zp和F:GTG,然后生成系统密钥P K(p,g,g,gN,w,w,wN,v,v,vN),以及主密钥M S K(,).最大共享人数N是一个根据

40、实际业务需求事先合理设定的系统参数,其选取应尽量避免出现群成员动态管理中(例如:不断增添新的共享成员)实际需要共享人数大于N的情况.如果共享人数超过了预设最大共享人数,则系统应当重新执行S e t u p,R e g i s t e r,E n c r y p t等一系列算法.对于以P B AA为代表的传统方案,设定较大的N值会导致各项操作(例如添加新的成员)的时间复杂度的大幅提升(参见节 仿真实验分析部分的图图).由于所述方案在群成员管理方面时间复杂度的优势,即使设置较大的N值,相较于原始P B AA方案,本方案动态群组成员访问控制管理时间复杂度依然处于较低水平,因此能更好地应对密态数据群组

41、共享中群成员的动态变化.用户注册阶段P B AA S G X在S G XE n c l a v e中执行用户P B AA_S G X_R e g i s t e r算法.其过程与P B AA保持一致是,使用给定的用户身份I D生成用户私钥S KI D/H(I D).S G X可以通过数据密封技术,持久化保存用户私钥S KI D.加密密钥生成阶段P B AA S G X与原版P B AA方案最大不同之处在于,P B AA方案仅能使用系统公钥P K,而P B AA S G X可以同时使用P K和M S K.利用主密钥,算法C TP B AA_S G X_E n c r p t y(P K,M S

42、K,M,S,L)的计算复杂度可以得到极大简化.给定待分享数据用户身份集合S以及描述数据特征的条件集合L,管理服务器首先生成一个用于加密数据的秘密值MGT,生成随机数sZp,并计算:CMe(g,)s,C(Cg)s,Cs,C(Cv)s,()其中,CggI DiS(H(I Di),CvvsI DiSH(I Di)H(I Di).此外对于L中的每个条件Lj,均随机选取一个riZp并计算:C,jgrj,C,j(uH(Lj)h)rj(Cw)s,()其中,CwwsI DiS(H(I Di).最终获得含有授权密钥M的密文C T(C,C,C,C,C,j,C,jmj).计算C T过程中,计算开销主要来源于C,C,

43、C,jmj中,诸如Cg,Cv以及Cw等元素的计算.以Cg为例,由于原始P B AA方案中仅能访问系统公开密钥P K,而不能访问M S K(,).为计算该结构,需要使用运算多项式展开来得到:gI DiS(H(I Di)(gan)(gan)(gan)(ga)n,()其中,uSH(u),u,uS,uuH(u)H(u),n uSH(u).由此可见,对于gI DiS(H(I Di)的计算,受到所有的计算约束,由于多项式展开等操作,其计算复杂度为O(|S|).在P B AA S G X方案中,由于可以直接访问M S K中的,可直接使用C,C,C,jmj定义,以O(|S|)的线性复杂度线完成计算.此外,为减

44、少用户群成员关系变动(例如:群成员增加,群成员删除等操作)的计算开销,可以对Cg,Cv,Cw进行持久化存储(参见节 和 ).这些结构可以完全通过系统公开参数计算而言.委托密钥生成与重加密阶段P B AA S G X对委托密钥生成算法D KI DS|AP B AA_S G X_D K G e n(P K,M S K,S KI D,S,A)进行了计算第期李玥等:可信执行环境赋能的云数据动态群组访问控制h t t p:/j o u r n a l x i d i a n e d u c n/x d x b复杂度优化.由于管理服务器E n c l a v e创建了用户S KI D且E n c l a

45、v e中的代码都是可信的,假设只有当执行委托密钥生成的时候,管理服务器E n c l a v e可以访问密封态S KI D,因此用户可以创建访问控制策略A,委托管理服务器执行委托密钥生成操作.具体操作流程和P B AA方案类似.由于P B AA_S G X_D K G e n可以访问M S K,与节 中分析类似,P B AA_S G X_D K G e n的计算复杂度可以得到简化.P B AA S G X中重加密操作C T/P B AA_S G X_R e E n c(P K,M S K,C T,S,L,D KI DS|A),因含有结构I DiS(H(I Di),因此其计算过程可以通过直接访问

46、M S K得以简化.其余计算,与P B AA方案保持一致,此处不予赘述.原始密文与重加密密文解密阶段P B AA S G X算法在解密算法方面(包括原始密文和重加密密文的解密),其操作流程与原版P B AA一致.因为其计算流程无法通过S G X的引入得以简化.由于其计算复杂度大致为O(|S|),因此可以通过引入子群划分的思想(分治思想),对原始用户集合进行再分组,降低解密算法的复杂度.具体内容参见节.基于子群划分的管理尽管P B AA S G X对群组成员动态管理方面做了优化,但当共享用户集合规模庞大且用户成员频繁变动时,在访问控制管理方面仍然存在难以承受的计算开销.为解决这一问题,提出了基于

47、子群划分的群成员层次化管理机制.基本出发点是,P B AA S G X中解密操作的执行时间和用户群规模有关.如果将用户群近一步分成子群,则有望降低解密操作的复杂度.每个子群通过子群广播密钥bk对群密钥Sk进行加密,以便处于同一群但在不同子群的成员可以通过Sk进行安全可靠的通信.子群划分机制其核心思想是,首先将整个用户集合,按照某种子群划分策略,划分成一系列子群.管理服务器利用P B AA S G X中的P B AA_S G X_E n c r p t y算法,针对每个子群p,生成子群广播密钥bk,以及密文ck.值得指出的是,子群划分在管理服务器中的E n c l a v e中执行.因此,管理服

48、务器无法获取Sk以及广播密钥bk.当群组成员发生变动时,管理服务器在更新完群成员信息之后,只需要针对发生具体变动的子群更新群组管理数据,并对元数据进行更新(参见图).用户端通过监听子群元数据变动事件,即可及时获取群访问控制信息.子群划分策略对访问控制性能有一定的影响.较小的用户子群可以降低用户端的授权密钥延时,但有可能增加管理服务器端的群组变更操作数量.可以考虑的方案有:按照群组成员被移出群组的概率进行排布.本方案采用最简单的等数量划分作为子群划分策略.最优子群划分策略将作为后续研究工作的一个研究点.基于子群划分的管理机制,主要由用户子群创建、用户群成员添加、用户群成员删除等算法构成:用户子群

49、创建子群创建的流程如算法所示.管理服务器依据指定的子群划分策略对用户群做群组划分,随后针对用户集合S生成群密钥S k.算法中步骤,由管理服务器中的E n c l a v e部分执行.遍历用户子群集合,针对每个子群p调用P B AA_S G X_E n c r y p t算法,生成子群公有密钥cp,bp.其中bp用作对称加密算法(如A E S算法),对群密钥S k进行加密,并返回密文yp.数据用户DU可以通过解密cp得到bp.cp,yp作为密态数据的访问控制元数据,被公开存储于C S P平台上.算法步骤调用S G X的数据密封机制,对群密钥S k进行持久化存储.算法用户集合子群创建.输入:用户集

50、合S DU,DUn,子群划分策略P o l i c y输出:用户集合公有访问密钥,访问控制元数据子群集合p,pmG r o u p_P a r t i t i o n(S,P o l i c y)生成用户集合S公有访问密钥:S kR a n d o mK e y()f o rpd o(bp,cp)s g x_p b a a_e n c r y p t(P K,M S K,L,p)yp s g x_a e s(s g x_s h a(bp),S k)西安电子科技大学学报第 卷h t t p:/j o u r n a l x i d i a n e d u c n/x d x bs e a l e