浅析基于CP-ABE和XACML多权限安全云存储访问控制方案
1 引言
云存储是一种从云计算衍生和发展起来的数据外包存储服务技术,能够使用户远程存储并按需随时随地访问云存储中的数据。云存储依靠其成本低、易于使用的接口和高扩展性的商业优势得到了业内的广泛关注。然而,云用户在享受云存储带来多种便利的同时,也面临着数据脱离自身控制域而担心数据的安全和隐私问题。Google、Docs、The Linkup等多家著名云服务提供商曾多次出现过各种安全问题,导致了严重的后果,安全隐患已成为云存储大规模发展亟需解决的关键问题。
访问控制是实现用户数据机密性和进行隐私保护的主要工具之一,然而云存储的外包存储服务模式导致特权用户的存在,其具有非授权访问用户数据的权利,导致用户数据信息和隐私泄露等内部攻击问题。针对上述安全问题,引入基于模糊身份加密的ABE(Attribute-based Encryption)加密访问控制技术。
基于属性的加密技术一般分为密钥策略属性基加密(Key-policy Attribute-based Encryption,KP-ABE)和密文策略属性基加密(Ciphertext-policy Attribute-based Encryption,CP-ABE)。Goyal等人将用户私钥关联到访问控制结构树,密文关联到属性集,若用户的属性集满足访问控制树,则该用户可以解密数据,否则,该用户无法解密数据。Bethencourt等人将用户私钥关联到属性集,密文关联到访问控制树,属性集满足该访问控制树的用户具有解密数据的能力。KP-ABE方案中的加密者不能直接控制哪些用户能访问密文数据,而CP-ABE方案中的用户可以直接决定哪些用户能够访问密文数据,显然CP-ABE方案更适用于云存储服务。基于CP-ABE的云存储访问控制方案也存在一定的不足,即面临单一信任授权机构、属性和用户撤销等困难问题。文献为云用户的私钥嵌入失效时间属性,失效时间到期,用户将不能访问密文。这种周期性访问控制方法要求所有用户周期性更新私钥,从而导致整个云系统效率低下。王鹏翩等人提出基于CP-ABE直接撤销模式下支持完全细粒度属性的撤销方案,而该撤销方案利用用户撤销列表实现细粒度属性的撤销。
文献在个人健康记录云计算环境中划分公共领域和私人领域,根据两种领域不同的属性特质,采用不同的密钥管理和分配方式。比如私人领域为数据属主的亲人、朋友等,公共领域为各个医生、护士和保险公司的工作人员等。针对上述问题,本文提出一种基于CP-ABE与XACML相结合的安全云存储访问控制方案。该方案采用CP-ABE加密机制保护云存储用户数据的机密性,通过XACML框架实现高效、细粒度、动态和可扩展的访问控制,并实现高效的用户撤销。
2 预备知识
2.1 密文策略属性基加密(CP-ABE)
1.双线性对
双线性对是ABE加密方案设计中非常关键的工具之一。设G 和GT是阶为素数p 的群,存在一个可有效计算的双线性映射e:GGGT,该映射具有以下性质:a)双线性:对于所有的a,bZp和所有的g,hG,满足e(ga,hb)=e(g,h)ab。b)非退化性:存在g,hG,使得e(g,h)1。即不能将所有GG 的元素都映射到GT中的某个相同的元素。c)可计算性:对于所有的g,hG,e(g,h)都是可以有效计算的。
2.访问结构
设P={P1,P2,,Pn}为所有属性的集合,某个用户u的属性集A 是P 的一个非空子集,A{P1,P2,,Pn},则N个属性可用于鉴别2 N 个用户。访问结构T 是集合{P1,P2,,Pn}的一个非空子集,T2{P1,P2,,Pn}{}。T 代表一个属性判断条件:在T 中的属性集合称为授权集,不在T 中的属性集合称为非授权集。
3.困难假设设G 是素数阶p 的双线性群,g 是G 的生成元,随机指数a,b,sZp。若将一个元组(g,ga,gb,gs)G4 和一个元素zGT作为输入,则将决定z=e(g,g)abs的输出。如果下式成立:|Pr[(g,ga,gb,gs,e(g,g)abs)=0]-Pr[(g,ga,gb,gs,z)=0|表明存在一个算法输出b{0,1},在G 上具有优势 解决DBDH难题。如果没有多项式时间算法具有不可忽略的优势解决DBDH难题,可以说DBDH假设在G 上成立。
4.CP-ABE算法
CP-ABE主要包含有4个算法,各算法描述如下:
1)初始化算法Setup:生成主密钥MK 和公共参数PK。
2)密钥生成算法SK=KeyGen(MK,A):使用MK 和用户属性集A 生成用户的私钥SK。
3)加密算法CT=Encrypt(PK,M,T):使用公共参数PK、需加密的数据明文M 和访问结构T 进行加密,得到密文CT。
4)解密算法M=Decrypt(CT,SK):用户使用私钥SK解密密文CT,得到明文数据M。
2.2 可扩展的访问控制标识语言(XACML)
可扩展访问控制标识语言(eXtensible Access ControlMarkup Language,XACML)是用于决定请求/响应的通用访问控制策略语言和执行授权策略的框架,它在传统的分布式环境中被广泛用于访问控制策略的执行。XACML访问控制架构主要由策略执行点(Policy Enforcement Point,PEP)、策略决策点(Policy Decision Point,PDP)、策略管理点(PolicyAdministration Point,PAP)、策略信息点(Policy InformationPoint,PIP)和上下文处理器组成。XACML访问控制流程如下:首先PEP接受原始的访问请求(origiNal Access Request,NAR),并转发给上下文处理器,由其解析为XACML规范的请求并传递给PDP,PDP根据从PAP所获得的策略以及从PIP 获取的实体属性对XACML规范请求进行判定,并将判定结果发给PEP,最后由PEP执行访问判定结果。
3 CP-ABE和XACML多权限安全云存储访问控制方案
3.1 总体方案
CP-ABE和XACML结合实现多权限安全云存储访问控制方案的总体架构。
可以看出,该架构与XACML架构的主要区别是策略集中的规则可以由CP-ABE加密算法中的访问控制结构树转换而来。通过将CP-ABE加密过程中采用的访问控制结构树转换为XACML的策略规则,应用XACML框架实现细粒度多权限访问控制机制。为保护用户敏感数据的机密性,首先,系统采用AES对称加密算法对数据明文进行加密,得到数据密文;其次,对称密钥采用CP-ABE算法进行加密,得到密钥密文;最后,将数据密文和密钥密文按照系统设计格式保存至云存储系统中。当某用户请求访问数据时,采用XACML机制控制用户的多种权限,若访问用户的主体属性通过XACML的策略规则,就可以访问密钥密文,通过解密密钥密文得到对称密钥,从而解密数据密文得到数据明文。XACML策略规则不仅可以从CP-ABE访问控制结构树转换而来,也可以单独进行添加修改。
3.2 方案实现
本文方案基于开源项目Suns XACML和cpabe Toolkit在OpenStack子项目Swift对象存储项目上实现。
3.2.1 系统初始化
方案中采用属性权威(Attribute Authority,AA)管理和分配实体(包括资源、主体和环境)的属性。主体属性包括用户姓名、用户ID、部门、职务和入职时间等;资源属性包括名称、主题、资源大小、创建者和创建日期等;环境属性包括有时间、网络状况、资源使用率等。运行cpabe Toolkit初始化算法Setup 生成主密钥MK和公共参数PK。PK={G0,g,h=g,e(g,g)}MK=(,g)其中,G0为生成元为g、阶为p 的双线性群,随机参数,Zp。
3.2.2 新文件创建
数据所有者上传机密数据到云存储服务器时,需要对数据进行如下处理:
1)DO为文件F 选择唯一标识号IDF,随机选择对称密钥KeyF加密F 得到CF。
2)DO指定访问控制结构树T 并调用CP-ABE加密算法Encrypt(PK,M,T)加密对称密钥KeyF得到CT。假设Y 是访问结构树T 所有叶子节点的集合,记访问结构树T 的根节点为r,设节点t的门限值为kt,为节点t生成一个kt-1次的随机多项式qt,qt(0)代表该节点的秘密。定义函数ind(x)返回节点x 的索引编号,函数par(x)返回节点x 的父节点,函数att(y)返回叶子节点y对应的属性。随机选择参数sZp,令qr(0)=s,对于其他节点x,qx(0)=qpar(x)(ind(x))。Encrypt(PK,M,T)加密算法加密对称密钥KeyF得到的的密钥密文CT 如下:CT=(T,珟C=KeyF e(g,g)s,C=gs,yY:C(1)y =gqy(0),C(2)y =H(attr(y))qy(0))
3)文件在云存储服务器中的存储格式为(IDF,CF,CT)。
4)云服务提供商根据DO上传数据中的访问控制树T,解析并生成XACML使用的策略规则文件并存储于策略数据库中。云用户还可以根据资源属性和环境属性定义策略规则。
3.2.3 文件访问
当有云用户申请访问云存储数据时,需要进行以下处理。
1)云服务器首先验证云用户的有效性。
2)XACML访问控制对用户的数据访问请求按照访问策略进行决策。若实体属性与访问控制策略匹配,则XACML决策为接受访问;否则拒绝访问请求。3)若用户u通过XACML验证,根据用户的主体属性集A 生成对应的私钥SKu。SKu=(D=g(+)/,jA:Dj=gH(j)j,Dj=g)其中随机参数Zp,属性jA。4)执行解密算法Decrypt(CT,SK)得到对称密钥KeyF,使用该密钥解密数据密文得到明文,解密过程如下:首先定义递归运算DecryptNode(CT,SK,x),令i=attr(y),每个叶子节点x 计算:当iA 时,DecryptNode(CT,SK,x)=当iA 时,DecryptNode(CT,SK,x)=e(D(1)i ,C(1)x )e(D(2)i ,C(2)x )=e(g,g)q(0)x 。对于非叶子节点z,需要利用kx个叶节点的Decrypt-Node(CT,SK,x)作为拉格朗日插值定理的插值点,计算得到e(g,g)q(0)z 。设访问控制树T 的根节点为R,令e(g,g)q(0)R =e(g,g)s=B,则解密明文M=珟C/(e(C,D/B)=珟C/(e(hs,g(+)/)/e(g,g)s)。
3.2.4 权限撤销和策略更新数据所有者要撤销某用户u对文件F 的访问权限时,需要通过如下两种方式实现处理:
1)更新文件F 对应的XACML访问控制策略,添加拒绝访问规则。
2)修改CP-ABE访问控制结构树T,生成新的对称密钥进行加密,重加密方案采用云服务器端代理重加密机制。
4 安全性分析
4.1 数据机密性
为保证用户数据的机密性和隐私,首先,用户数据通过AES对称加密算法加密;然后,应用CP-ABE算法加密其对称密钥;最后,对于CP-ABE加密得到的密钥密文采用XACML框架进行访问控制。Bethencourt等人在文献中已经证明CP-ABE的安全性是基于DBDH困难假设之上的,从而保证对称密钥的安全性,因此整个访问控制方案保证了用户数据的安全性和隐私。应用XACML细粒度授权架构保证只有合法用户在权限范围内才能访问、操作资源。
4.2 抗合谋攻击
假设云服务器是诚实但好奇的。假设进行合谋攻击的用户的联合属性集满足访问控制结构树,但其各自的属性集都不能完全满足访问结构树,由用户属性产生的私钥组件Dj=gH(j)j,显然合谋用户的属性不同,使得他们无法解密对称密钥,当然无法访问数据;即使用户合谋进行攻击,也不能恢复e(g,g)s,因此无法解密密钥文件。Goyal等学者在文献中已经证明ABE对于合谋攻击是安全的,本文方案是基于CP-ABE加密算法构建的访问控制机制,所以本文方案对于合谋攻击也是安全的。
4.3 后向前向安全
本方案无论对于新加入的用户还是已经撤销的用户,都保证外包云存储数据的后向和前向安全性。当某个用户在某时刻获得满足密文访问策略的属性集时,与该属性相关的属性组密钥需要进行更新,并用更新的新属性组密钥进行重加密。用户即使保存以前系统中的密文,也不能准确解密得到明文,因为即使能够从密文中计算得到e(g,g)(s+s)的值,由于s是随机值,不能获得,因此也不能准确计算出e(g,g)s。所以,该访问控制方案具有后向安全性。同理,当某用户被撤销权限时,系统采用新的密钥进行重加密,因此该算法同样具有前向安全性。
5 仿真及性能分析
实验机器:Inter(R)Core(TM)i7-4720HQ、16GB DRR3内存,操作系统为Windows8.1。实验环境:VMware Workstation 11.1.2上安装Ubuntu14.04,采用开源云OpenStack构建云计算环境,Keystone作为认证服务,Swift作为云存储服务。实验代码基于sunxacml-1.2和cpabe-0.11库编写,对称加密算法采用基于openssl-1.0.1j库的128bit AES加密算法。实验中,对基于CP-ABE和XACML结合访问控制方案的加密和解密时间开销进行评估。方案中,用户数据首先通过对称加密算法AES-128 加密,CP-ABE 加密的仅仅是128bits的对称密钥,整个方案中对于CP-ABE加密不同数据大小实验并没有真正的意义,本文实验采用不同的访问控制结构树与加解密时间之间的关系。访问控制结构树的叶子表示用户属性,所以节点的数目就是用户属性复杂度的体现。实验一测试了用户私钥产生时间与用户属性数量之间的关系。
不妨假设用户属性为a1和a2,该用户的密钥生成时间为57ms;当用户属性数量为6时,设用户属性为a1,a2,,a6,该用户私钥产生时间为204ms。用户私钥产生时间与用户属性数量的关系成正比。方案中应用CP-ABE加密对称密钥,所以假设加密文件大小为1kB固定不变。分别对不同属性数量的访问控制结构树进行加密解密实验。展示了基于CP-ABE算法的加密与解密时间开销与用户主体属性数目(访问控制结构树中叶子节点数目)之间的关系。用户属性数目越多,加密、解密所用时间亦越多,所以在实际系统中,需要根据实际系统制定合适数目的用户属性。结束语 本文提出基于属性加密结合XACML多权限安全云存储访问控制方案,保证云用户机密数据的安全和用户隐私不被泄漏;通过将CP-ABE访问控制结构树转换为适用于XACML应用的策略规则,将两者有机结合,构造具有细粒度、多权限、可扩展的访问控制方案;充分考虑了CPABE加密解密算法的效率,云存储中大量数据的重加密运算移交于云服务器端实现。下一步工作将对方案中的属性撤销效率进行研究。