CN113489732B - 一种抵御串谋攻击的内容共享隐私保护方法 - Google Patents

Abstract

本发明提出了一种抵御串谋攻击的内容共享隐私保护方法，用以解决现有的内容共享隐私保护方法很少考虑防范串谋等网络攻击，无法抵抗串谋攻击的问题。本发明的步骤为：产生追责列表和自己的公私钥对；出版者制定LSSS访问策略，对内容进行加密生成密文；消费者请求内容，执行密钥生成算法产生私钥并在追责列表中进行审计和追责；密文云服务器对消费者身份进行验证后从云服务路由节点下载密文；属性授权中心审计泄露的私钥和追责列表，更新追责列表并删除秘密值；属性授权中心计算并更新密钥，消费者、出版者更新密文。本发明能够提升路由节点的缓存命中率，具有较低的缓存隐私风险和内容请求时延，减少了CCN能源消耗。

Description

一种抵御串谋攻击的内容共享隐私保护方法

技术领域

本发明涉及隐私保护的技术领域，尤其涉及一种抵御串谋攻击的内容共享隐私保护方法。

背景技术

为了解决CCN(内容中心网络)中固有的安全问题，越来越多的信息安全学者开始使用密码技术应用到CCN架构里面。但是与传统网络不同的是，这些技术必须要从保护内容本身出发，被设计成一种具有灵活性和伸缩性的访问控制机制才能符合CCN的需求。因此，基于属性的加密技术便成为了CCN的细粒度的访问控制机制中最理想技术之一。Zhang等人提出一种隐藏访问结构的CP-ABE(基于密文的属性加密)方案，该方案支持访问树策略，并证明在选择密文攻击下方案是可重放安全(RCCA)的。但该方案会导致DoS(拒绝服务攻击)攻击或劫持攻击等，攻击影响到被攻击路由节点的整个区域，对网络的影响较大，并增加了路由节点的计算开销。Gao等人提出一种定长密文的CP-ABE方案，其解密只需恒定的双线性对操作，而且还能够在基于判定性q-BDHE假设下证明是CCA2(选择密文攻击下的不可区分性)安全。但是该方案的性能会随着属性数量的增长而不断退化。Syu等人提出一种在消费者的属性中添加时间信息来验证共享内容完整性的方案，但它不适合在不受信任的第三方中运行，实现起来效率低。Ma等人提出的方案不仅能够隐藏用户身份，而且整个系统的公共参数和主密钥计算由所有授权机构参与，对数据的拥有者而言是透明的，减少了系统的运算代价。Zhao等人提出一种外包计算可验证的CP-ABE方案，通过两种哈希函数验证外包结果，但方案只面向单一授权机构，无法解决现实应用场景中需要多机构授权管理用户的不同属性问题。

然而，大部分CCN的属性的加密机制都需要一个受信任方来管理系统并规范用户的属性，但大部分第三方是不可信的，这就给大部分攻击者提供了网络攻击的机会，来窃取消费者的敏感内容。因此，为了解决CCN中的安全性问题，许多学者在以下方案中进行了许多有价值的尝试。AbdAllah等人研究了ICN(信息中心网络)对网络安全的要求，并分析了典型的攻击行为，提出了用于防范ICN的开关攻击的内容共享方案。Yang等人提出基于LSSS隐藏策略的CP-ABE方案---文献[1]，数据所有者可以通过先对属性值计算得到混淆的属性值，使攻击者难以获得访问策略。Wu等人提出了一种可追踪的属性加密方案---文献[2]，为每个用户发放唯一的身份全局标识GID，建立追责列表，从而定位恶意攻击者。然而，上述三个方案中的攻击者仍然可以通过泄露的私钥来获取一些感兴趣的内容。Shahriar等人专门提出了一种加密缓存内容的协议(CPE2C)--文献[3]，使攻击者无法从内容中获取任何信息。但它不能抵抗由攻击者和恶意用户一起执行的串谋攻击。具体来说，如果云服务器变得不再可信，与恶意用户串通，可以监听和匹配消费者发来合法的属性。恶意节点可以伪装成合法消费者获取自己感兴趣的内容。此外，防范串谋攻击来保护内容的真实性和隐私是非常重要的，但在很大程度上是未探索的问题。这些方案恰恰证明了对内容共享过程中的安全和隐私问题的研究具有重要的意义。

如图1所示，CPE2C协议主要是利用属性加密和Elgmal公钥加密相结合来保护缓存在路由器中的敏感内容，缓存路由器在被第三方入侵时不会泄露任何敏感内容。只有合法用户才能够访问内容，并且保护了系统中任何一方的内容隐私。该方案的二次加密机制防止了缓存路由器在被第三方入侵时内容容易被泄露，让只有合法用户才能够访问内容，保护了系统中任何一方的内容隐私。具体方案内容如下：

(1)Init(λ)→(PK_ASM,SK_ASM)，消费者随机选择一个安全参数λ，从Elgamal公钥加密算法中产生一个公私密钥对(PK_ASM,SK_ASM)，并广播公钥PK_ASM。

(2)

出版者使用公钥PK_ASM加密消费者请求的内容content，密文为CT_ASM。

(3)Init(ε)→(PK_ABE,SK_ABE)，第三方使用CP-ABE方案来进行控制访问控制，云服务器生成公私钥对(PK_ABE,SK_ABE)，私钥PK_ABE发送给出版者。

(4)

出版者使用公钥PK_ABE加密后的密文CT_ASM，加密后的密文为CT。

(5)ABEGen(params,r)→SK_ABE，云服务器检查消费者发来的属性集是否符合发布者制定的访问策略，如果属性与访问策略匹配，则云服务器会解密密文CT。

(6)

云服务器利用生成的私钥SK_ABE解密密文CT得到密文CT_ASM，发送给消费者。

(7)

消费者用自己的私钥SK_ASM解密得到内容。

CPE2C方案就是利用Elgamal公钥加密算法和属性加密相结合的形式对内容进行双重加密，从而使第三方根本无法获取敏感内容。只有合法用户才能够访问内容，并且保护了系统中任何一方的内容隐私。

分析了CPE2C方案的安全性：一个安全的内容中心网络内容共享方案应满足以下特点：

(1)保密性，共享内容不被泄露或监听给非授权用户，在内容路由分发的过程中所接触的有关敏感内容，不得随意向第三方泄漏。(2)完整性，隐私内容在共享和存储过程中，保持内容不被利用或者修改、不丢失和内容未经授权不能改变。

串谋攻击能检测出方案是否具有保密性和完整性，一般是检测方案的首选攻击，CPE2C方案对于串谋攻击是不安全的。给出了一个串谋攻击方案来检测CPE2C的安全性，串谋攻击方案如图2所示，假设CPE2C中的云服务器变得很恶毒，而且是可以获得内容和伤害系统的，所以在制定串谋攻击时以云服务器为网络攻击目标。具体串谋攻击方案的步骤为：

(1)初始化阶段

成员：恶意节点、合法用户和缓存路由节点、云服务器和发布者。

1)消费者在发布兴趣包后开始进行初始化，利用Elgmal公钥加密算法产生公私钥对(PK_ASM,SK_ASM)，并将公钥PK_ASM广播出去。

2)假设攻击者成功地利用串谋攻击控制了第三方，并利用CP-ABE给发布者发送公钥PK_ABE；

3)发布者接受通信请求，并收到公钥PK_ABE和公钥PK_ASM。

(2)加密阶段

1)发布者在接收到公钥PK_ABE和PK_ASM后，进行二次加密：PK_ABE(PK_ASM(content))得到密文CT。发布者把密文CT发送给云服务器。

2)云服务器接收双层加密的密文CT。

(3)伪装阶段

1)云服务器出卖给恶意节点内容名字和相应的属性，让其伪装成合法消费者请求发布者得到感兴趣的内容。

2)恶意节点会开始根据从串谋那里获得的内容名字来进行兴趣包请求，随后开始和正常消费者一样进行了初始化和加密。

3)由于恶意节点得到的是合法属性S，所以云服务器产生的私钥能够解密密文CT^*，得到密文CT^* _ASM。

4)恶意节点可以利用自己的私钥SK^* _ASM解密密文CT^* _ASM，可以得到Content。

若CCN网络中的云服务器遭受攻击或者变得恶意时，则攻击者可以利用串谋攻击的方式，与任意恶意节点进行交易来获取内容。串谋每次能发给恶意节点正确的属性和内容名字，让恶意节点能够成功的伪装成合法消费者得到他感兴趣的内容。所以，Shahriar等人的CPE2C在抵御串谋攻击时不再安全。

目前，现有的内容共享隐私保护方法主要是基于传统的加密技术，但很少考虑防范串谋等网络攻击，特别是在第三方与恶意节点串通的情况下。结合目前典型的CCN安全方案分析串谋攻击，结果表明，大多数方案都无法抵抗这种攻击。

发明内容

针对现有的内容共享隐私保护方法很少考虑防范串谋等网络攻击，无法抵抗串谋攻击的技术问题，本发明提出一种抵御串谋攻击的内容共享隐私保护方法，具有隐藏策略和属性撤销的内容共享方案(PCSAC)，以对抗串谋攻击；能保证CCN系统中的用户隐私的前提下具有较高缓存命中率、较低的缓存隐私风险和内容请求时延。

为了达到上述目的，本发明的技术方案是这样实现的：一种抵御串谋攻击的内容共享隐私保护方法，其步骤如下：

步骤一、初始化阶段：属性授权中心执行初始化算法，产生追责列表和自己的公私钥对；

步骤二、加密阶段：出版者制定LSSS访问策略，并根据LSSS访问策略对内容进行加密生成密文，出版者将密文通过云服务路由节点上传到密文云服务器进行保存；

步骤三、密钥生成阶段：消费者请求内容，属性授权中心对消费者进行身份验证，验证成功后，属性授权中心执行密钥生成算法产生解密私钥并在追责列表中进行审计和追责；

步骤四、解密阶段：密文云服务器先对消费者的身份进行验证，验证成功后通过CCN的形式从云服务路由节点下载密文；

步骤五、追责和撤销属性阶段：属性授权中心审计泄露的私钥和追责列表，在查出泄露消费者的身份信息后，更新追责列表，并删除唯一和恶意用户关联的秘密值；属性授权中心计算并更新密钥，属性没有撤销的消费者更新自己的私钥，出版者更新自己的密文。

所述云服务路由节点实现了CCN与内容云服务器的交互，以CCN的方式上传密文给密文云服务器；密文云服务器负责存储密文和用户身份验证的云服务器，密文通常由云服务路由节点以CCN的方式上传到密文云服务器上；出版者是内容的所有者或是受信任的内容享有者，设计访问策略，加密数据，将密文发给云服务路由节点；当有用户撤销时，需要更新所有密文；消费者是要访问内容的用户，如果属性集满足访问策略，则可以成功解密密文并获得兴趣包或内容；属性授权中心总共有N个，每个属性授权中心相互独立且是完全可信的，为每个合法用户发放私钥，自己发布的属性集由自己独立管理，当有用户撤销时，需要把更新的密钥发给每个未撤销用户，同时还维护一个可追责列表。

所述初始化阶段的实现方法是：标识为aid的属性授权中心MAAC执行初始化算法，以安全参数λ作为输入，生成属性授权中心的公钥APK_aid和私钥ASK_aid，同时建立一个追责列表R；所述初始化算法的实现方法为：随机挑选三个整数α_aid,y_aid,v_aid；多属性授权中心MAAC利用双线性对e和生成元g计算公钥

并将公钥APK_aid广播发布到CCN中；属性授权中心MAAC计算私钥ASK_aid＝(α_aid,y_aid,a_aid)；建立一个追责列表R并初始化为空集：/>

其中，v_aid表示属性授权中心属性的版本号；a_aid表示身份是aid的MAAC挑选的随机数。

所述步骤二中LSSS访问策略的实现方法为：出版者随机挑选l个整数r₁…r_l；选择一个随机向量v＝(s,v₂,v₃,...,v_n)^T；出版者计算中间变量λ_i＝v×M_i和中间变量w_i＝M_iZ；出版者分别计算子密文C₀,C_1,i,C_2,i,C_3,i,C_4,i，得到密文CT＝{C₀,C_1,i,C_2,i,C_3,i,C_4,i}；其中，C₀＝me(g,g)^s、

m为待加密的内容，ρ(i)为矩阵中代表属性的值，δ(i)为计算的参数，y为密钥的参数，F()表示一个关联函数，把λ_i关联到ρ(i)的属性；Z表示为一个随机的整数；1≤i≤l，l表示矩阵的列数，s是待分享的秘密指数；v₂,v₃,...,v_n表示随机挑选的n-1个向量，M_i为大小为l×n的秘密共享矩阵M的第i行，n表示矩阵的行数。

所述步骤三的实现方法为：身份标识为gid的消费者把属性集S_gid,aid发送给属性授权中心MAAC_aid，并请求自己的私钥；属性授权中心MAAC_aid从整数中随机选取c和t_i，然后计算相应的私钥：K_gid＝c，

属性授权中心MAAC_aid输出私钥SK_S,gid,aid＝{K_gid,K_gid,l,K'_gid,l}；追责列表R由整数c、消费者身份标识gid和属性的哈希值组成：R＝{c,gid,H(S_gid,aid)}；其中，z∈S_gid,aid，i的取值和前面不同，应该区别；K_gid、K_gid,l、K'_gid,i都为组成私钥的参数，F(l)为关联函数，H()为哈希函数。

所述审计和追责的方法为：如果整数c已经在列表追责列表R中，则重新选择随机整数c，重新计算私钥。

所述解密阶段中如果密文中的访问结构被消费者的属性集合满足，则消费者用自己的私钥解密获得出版者共享的内容：

定义集合

其中，x代表着消费者的属性值，ρ(x)代表着把属性值对应到具体的矩阵值，S为秘密参数，与满足访问策略的属性值有关；

如果S是一个授权集合，那么在多项式时间内找到一组常数c_x,{c_x∈Z_p|x∈I}，计算

其中，s是有效得问秘密分享，与秘密指数的含义相同；M_x表示具有隐藏访问策略的矩阵；

对于每个属性ρ(x),ρ(x)∈S_gid，计算：

其中，S_gid表示满足访问控制策略的属性集，C_1,x C_2,x C_3,x表示属性为x的消费者生成的密文，K_gid,ρ(x)、α、δ(x)均为计算时的参数，y为随机数，H(x)为哈希值，s为秘密值；

消费者获取密文m＝C₀/e(g,g)^s；

如果S不是一个授权集合，则输出⊥，表示输出失败。

所述步骤五的实现方法为：

(1)、属性授权中心MAAC_aid检查步骤三中的私钥SK_S,gid,aid是否为一个合理的私钥，然后通过追责列表R进行追责，输出消费者的身份标识gid；

(2)、属性授权中心MAAC_aid为每个属性x选择它们的版本号v'_x∈Z_p，然后计算更新密钥：

其中，x∈S'，v表示属性集生成的随机变量，v'_x表示单个属性生成的随机变量；S'表示属性集，v'_x表示属性x在制定访问控制策略时生成的随机变量，v_x也表示进行访问控制时属性x生成的随机变量；

(3)、要更新的密钥UK_aid和要撤销的属性S'被属性授权中心MAAC_aid返还给未撤销并安全的消费者和出版者；

(4)、当未撤销用户接收到密钥UK_aid和属性S'时，身份标识为gid的消费者或出版者更新自身私钥：

其中，SK'_S,gid,aid为泄露的私钥，F(i)为关联函数，t_i为挑选的随机数；

(5)、当更新密钥SK'_S,gid,aid被出版者收到时，消费者根据LSSS访问策略属性加密更新密文，更新后的密文：

其中，α_β(x)表示计算的参数值

所述属性授权中心MAAC_aid区分非撤销用户和撤销用户，消费者的身份是惟一的，撤销的用户不会接收到更新的密钥；敌手在攻击游戏中获胜的优势是可忽略的，若q-BDHE假设成立，则IND-CPA安全的。

攻击者使用以下二种方式发起串谋攻击，劫持获得有价值的内容：

(1)攻击者在出版者上传密文和消费者下载密文时进行数据包劫持，分析密文CT，破解LSSS访问策略；

(2)攻击者劫持合法消费者和属性授权中心的会话，获取会话中关键的信息，并将这些关键的信息恶意泄露给原本并不具备解密权限的恶意用户，使得恶意用户拥有了访问权限；

在情景(1)下，如果用户的属性不能满足访问结构时，用户无法计算密文中的e(g,g)^s，而且结果存在群G₂中的随机元素中，所以敌手并不能确定密文CT由哪个访问策略加密得到，无法得到最终的明文；

在情景(2)下，属性授权中心通过审查追责列表R中的属性访问情况，一旦追责列表R出现某一个属性在其他时间多次或多频访问，而消费者却不相同时，便会执行追责机制；如果通过追责确定了串谋攻击，则撤销泄露的属性集合；即属性授权中心会首先更新追责列表R，删除所有和泄露属性相关的用户和秘密值c，把可疑用户整体从模型中撤销；接着让每个管理泄露属性集合的属性授权中心更新会话密钥，然后为每一个拥有该属性且未撤销的其他用户更新私钥，最后由出版者更新云服务器涉及该属性的密文；消费者使用更新后的私钥来解密已更新的密文。

本发明的有益效果：首先，通过把访问结构完全隐式地嵌入到密文中，从而使攻击者无法监听或篡改密文去欺骗消费者；其次，引入无中央权威的多授权机构，建立了追责列表和全局标识GID(身份信息)实现了对攻击者的追踪；最后，为了防止密钥进一步泄露，当恶意用户被捕获时，又进行属性集和用户级撤销，这将使串谋攻击无效。此外，本发明还在判定性q-parallel BDHE(平行双线性迪菲赫尔曼假设)假设下，给出了IND-CPA(选择密文下的不可区分性)安全性证明。仿真实验表明，本发明在不泄露任何私密内容的情况下能够有效地执行；相比于其他CCN属性加密协议，本发明不仅能够提升路由节点的缓存命中率，还具有较低的缓存隐私风险和内容请求时延，减少了CCN能源消耗，很适合内容中心网络的隐私保护。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为CPE2C方案的模型图。

图2为CPE2C方案的串谋攻击示意图。

图3为本发明的方案模型图。

图4为本发明的流程图。

图5为本发明的实验拓扑图。

图6为本发明的隐私风险系数对比图。

图7为本发明缓存命中率对比图。

图8为本发明的内容检索延迟对比图，其中，(a)为CPE2C协议的内容检索延迟，(b)为Wu方案的内容检索延迟，(c)为Yang方案的内容检索延迟，(d)为PCSAM方案的内容检索延迟。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了克服Shahriar方案的安全缺陷和提升其执行效率，本发明提出了一个能够抵御串谋攻击的内容共享隐私保护方法，先给出方案模型，如图3所示，接着给出具体的构造方法，最后，对是否能抵御串谋攻击给了安全性证明。

如图3所示，本发明的实体及其描述如下：

(1)路由节点CR：一个能够缓存内容的路由节点，内容或兴趣包被路由节点CR按照转发策略发给订阅者。

(2)云服务路由节点CSCR：在CCN中，一种新类型节点，实现了CCN与内容云服务器的交互，专门以CCN的方式上传密文给云服务器。

(3)密文云服务器CCS：负责存储密文和用户身份验证的云服务器，密文通常由CSCR以CCN的方式上传到密文云服务器CCS上。

(4)出版者：可以是内容的所有者，也可能是受信任的内容享有者。设计访问策略，加密数据，将密文发给云服务路由节点。当有用户撤销时，需要更新所有密文。

(5)消费者：一个想要访问内容的用户；如果它的属性集满足访问策略，则它可以成功解密密文并获得自己感兴趣的内容。

(6)可信属性授权中心MAAC：总共有N个属性授权中心，每个授权中心相互独立且是完全可信的，为每个合法用户发放私钥，自己发布的属性集合由自己独立管理，当有用户撤销时，需要把更新的私钥发给每个未撤销用户，同时还维护一个可追责列表。

缓存路由器的作用是帮助用户共享内容，充当链路，攻击者和恶意用户勾结发动串谋攻击。

本发明的参数设置如表1所示。

表1本发明的参数

参数	参数意义
		m	内容
λ	安全参数
		e	双线性对e：G1×G1→G2
H	哈希函数
		F	函数，将用户属性映射到群G中的元素
T	函数，根据属性找负责该属性的MAAC
		(M,ρ)	线性访问结构
M	秘密共享矩阵：l×n
		ρ	将矩阵的每一行Mi映射到对应的属性ρ(i)
gid	用户身份

本发明包括五个阶段：初始化阶段、加密阶段、密钥生成阶段、解密阶段、追责和属性撤销阶段，当出版者接收到消费者兴趣包之后，双方开始通信。具体步骤为：

步骤一、初始化阶段：属性授权中心MAAC执行初始化算法，产生追责列表和自己的公私钥对。

在这一阶段，对标识为aid的属性授权中心MAAC执行初始化算法，安全参数λ作为输入，属性授权中心的公钥APK_aid和私钥ASK_aid作为输出。此外，属性授权中心MAAC_aid建立一个追责列表R。

步骤二、加密阶段：出版者制定LSSS访问策略，并根据LSSS访问策略对内容进行加密生成密文，并将密文通过云服务路由节点CSCR上传到密文云服务器CCS。

在这个阶段，出版者首先制定LSSS(线性秘密共享)访问策略，然后根据该策略对内容执行加密算法生成密文，并以CCN的形式通过CSCR上传密文到CCS。

步骤三、密钥生成阶段：消费者请求内容，属性授权中心MAAC对消费者进行身份验证，验证成功后，属性授权中心MAAC执行密钥生成算法产生相应的私钥并在追责列表R中进行审计和追责。

这个阶段，标识为aid的MAAC首先进行身份验证，在运行KeyGen算法，产生相应的私钥和在追责列表R进行追责。

步骤四、解密阶段：在这个阶段，密文云服务器CCS先对消费者的身份进行验证，验证成功后通过CCN的形式从云服务路由节点CSCR下载密文。

如果密文中的访问结构被用户的属性集合所满足，则消费者可以用自己的私钥解密获得出版者共享的内容。

步骤五、追责和撤销属性阶段：属性授权中心MAAC通过审计泄露的私钥和追责列表R，在查出泄露消费者的身份信息后，更新追责列表R，并删除唯一和恶意用户关联的秘密值；属性授权中心MAAC计算并更新密钥，属性没有撤销的消费者更新自己的私钥，出版者更新自己的密文。

如果消费者的属性和私钥等信息遭到泄露。如果系统发现有消费者的属性和私钥等一些信息遭到泄露的现象时，可以通过TAAC审查追责到敌手，删除敌手的访问权限，撤销泄露的属性集合。具体来说主要有二个方面的操作：1)在用户权限撤销方面：MAAC通过审计泄露的私钥和追责列表R，在查出泄露消费者的身份信息后，更新追责列表R，删除唯一和恶意用户关联的秘密值c。2)在属性撤销方面：撤销属性集合S'假定被属性授权中心TAAC_aid'管理，TAAC_aid'计算并更新密钥，属性没有撤销的消费者更新自己的私钥，出版者更新自己的密文。

在本发明里，攻击者主要使用以下二种方式发起串谋攻击，劫持获得有价值的内容：

(1)攻击者在出版者上传密文和消费者下载密文时进行数据包劫持，分析密文CT，破解LSSS访问策略。

(2)攻击者劫持合法消费者和属性授权中心MAAC的会话，获取会话中关键的信息，如：私钥、属性和身份信息，并将这些关键的信息恶意泄露给原本并不具备解密权限的恶意用户，使得恶意用户拥有了访问权限；

在情景(1)下，攻击者准备了一个访问控制策略(M',ρ')，并利用串谋攻击截获一个在访问策略(M,ρ)下加密得到的密文CT＝(C₀,{C_1,i,C_2,i,C_3,i,C_4,i})。攻击者会根据访问策略M'选择I'，并计算秘密指数s根据访问策略M的有效分享λ_i'。最后，敌手会在多项式时间内能够找到满足

的一组常数{w’_i∈Z_p|i∈I}。定义I＝{i:ρ(i)∈S}，令{w_i∈Z_p}，λ_i'是秘密值s'对应M'的有效份额。而且为了确定密文CT是否由访问控制策略(M',ρ')加密得到，敌手们会进行下面的运算：

如果(M',ρ')＝(M,ρ)，那么就有∑_i∈I'λ_iw'_i＝s，因此

如果(M',ρ')≠(M',ρ')，那么就有∑_i∈I'λ_iw'_i≠s，因此

从上面的公式不难看出，如果用户的属性不能满足访问结构时，用户无法计算e(g,g)^s，而且结果存在群G₂中的随机元素(敌手难以破解和推测)，所以敌手并不能确定密文CT由哪个访问策略加密得到，无法得到最终的明文。

在情景(2)下，属性授权中心MAAC可以通过审查追责列表R中的属性访问情况。一旦追责列表R出现某一个属性在其他时间多次或多频访问，而消费者却不相同时，便会执行追责机制。例如某一合法消费者通常是工作日上午9:00访问属性授权中心MAAC，但这一段时间却经常在凌晨6:00也有访问痕迹，这便有所异常；对于某一内容，追责列表R记录的属性通常访问频率是每周1次，却突然在同一天内频繁访问，这也是异常的。特别是对于某些非常重要的敏感的内容，属性授权中心MAAC还会监测密钥的发送路径，若某一属性频繁在午夜访问属性授权中心MAAC，而且频繁的变换发送路径变更等，也会执行追责机制。如果通过追责确定了串谋攻击，那么模型会迅速采取措施：撤销泄露的属性集合。属性授权中心MAAC会首先更新追责列表R，删除所有和泄露属性相关的用户和秘密值c，把可疑用户整体从模型中撤销。接着让每个管理泄露属性集合的属性授权中心更新会话密钥，然后为每一个拥有该属性且未撤销的其他用户更新私钥，最后由出版者更新云端涉及该属性的密文。而对于后续的消费者，他的私钥已经被更新，他可以使用更新后的私钥来解密之前的已更新的密文。

若q-BDHE假设成立，则给出的本发明是选择明文攻击下的不可区分性IND-CPA安全的。因此，运用反证法，如果存在多项式时间的敌手A以ε的优势攻破本发明的方案，则存在另一挑战者B以ε/2的优势解决判定q-parallel BDHE假设。

证明：游戏开始前，挑战者B首先获得敌手A想要挑战的密文访问结构(M',ρ')。

(1)初始化：挑战者B选择随机数α'←_RZ_p，计算

令其等于e(g,g)^α，其中，a、q为随机数，_RZ_p为从整数中随机挑选的整数。

(2)阶段I：敌手A对不满足矩阵M'的集合S做秘密钥提取询问，挑战者B选择随机数r←_RZ_p，求向量

使得w₁＝-1且对所有满足ρ*(i)∈S的i,/>

n*表示随机变量的数；求/>

令它等于g^t。这样在构造预计算的值K时就可以消掉未知项g^α，挑战者B就能按照如下方式计算K：

现在对

计算K_x：首先考虑对x∈S，没有i使得ρ*(i)＝x时的情况。挑战者B对于每一个x(1≤x≤N)都选择一个对应的随机数Z_x，N表示矩阵的行数，这时可以简单地令

当x∈S，且有多个i使得ρ*(i)＝x时。X表示使得ρ*(i)＝x的指标i的集合，挑战者B可以按照下面的等式构造K_x：

(3)挑战。敌手A向挑战者B提交二个挑战消息M₀和M₁，挑战者B随机选β←_R{0,1}，计算M_β的密文的各分量：

随机选取μ←_R{0,1}，若μ＝0，取

设置/>

若μ＝1，取Z←G₂,设置/>

因此，C＝M_β·Z·e(g^s,g^α'),C'＝g^s。

在求(C_i,D_i)(i＝1,2,…,l)时，挑战者B选择随机数v'₂,…,v'_n，使用下面的向量对秘密指数s进行秘密分割：

此外，挑战者B选择随机数r’₁,r’₂,r’₃,…,r’_l。对于i＝1,2,…,n^*，定义R_i为满足k≠i而使得β^*(i)＝β^*(k)的所有k的集合，即与第i行具有的相同属性的其他行的行指标集合。挑战密文中的(C_i,D_i)如下生成：

/>

阶段II，与阶段I类似。

(4)猜测。敌手A输出对β的猜测β'。如果β'＝β，挑战者B输出μ'＝0，表示T∈P_{q-parallel BDHE}；如果β'≠β，挑战者B输出μ'＝1，表示T∈R_{q-parallel BDHE}。证明本发明能以不可忽略的优势ε/2解决判定性q-BDHE游戏。但这是不可能，所以该假设不成立，从而证明本发明是IND-CPA安全的。当μ＝1时，敌手A没有获得ρ的任何信息，因此Pr[β'≠β|μ＝1]＝1/2。而当β'≠β时，挑战者B猜测μ'＝1，所以敌手A攻击成功的概率Pr[μ'＝μ|μ＝1]＝1/2。当μ＝0时，敌手A看到了M_β的密文，由于敌手A的优势是ε，所以赢得比赛概率为Pr[β'≠β|μ＝0]＝1/2+ε。而当β'≠β时，挑战者B猜测μ'＝0，所以赢得比赛概率为Pr[β'≠β|μ＝0]＝1/2+ε。因此，挑战者B的优势为

基于上述过程，挑战者B能够以不可忽略的优势2/ε攻破判定性q-BDHE假设，这显然是矛盾的。因此在本发明中敌手在攻击游戏中获胜的优势是可忽略的，本发明PCSAC是IND-CPA安全的。

将本发明的PCSAC与现有的方案进行比较，从计算开销、通信负载和功能方面评估方案的性能，其中，E表示指数运算，P表示双线性运算，Y表示在群G上的一次乘法操作，r代表撤销属性的数目。|m|为系统中属性数量；|n|为系统中用户的数量；l为访问结构大小，|I|为解密密钥上满足一个密文访问结构的属性个数。本发明的PCSAC方案主要和CPE2C---文献[3]、Yang---文献[1]和Wu---文献[2]提出的方案做对比，以评估本发明中每个阶段的计算开销，I表示参与解密过程中满足访问策略的属性个数。

表2计算开销对比分析

表2显示了所有比较方案的计算成本，执行时间主要是花费在指数运算、双线性配对以及乘法操作上，其中双线性运算花费代价最高。因此，将分析两种运算来评估了PCSAC方案。显然，本发明的计算量小于Yang、Wu和CPE2C方案。具体地说，在加密算法中，本发明需要3l+2个指数运算，而CPE2C方案和Wu方案需要更多的指数运算。在密钥生成算法中，CPE2C方案中的消费者和发布者是一对一的共享内容，每次都需要更新密钥，这无疑增加了CPE2C方案的指数运算，Yang和Wu方案则与本发明PCSAC方案差距不大，但是本发明采用多属性授权中心，绝大部分的耗费流量的操作由云服务器承担，在属性相同的情况下，可以同时计算并生成私钥，节省时间开销。在解密阶段中，CPE2C方案计算量也是最高的，其他方案的解密的计算量主要与访问结构中属性集正相关，PCSAC消耗时间依然是最少的。此外，在属性撤销计算方面，PCSAC方案消耗了(2+r)E个指数运算和rP个双线性运算来实现属性撤销，与Wu方案相比减少了(4+2r)E个指数运算和4P个双线性运算。

表3显示了所有比较方案的通信成本，包括公钥PK长度、主密钥MK长度、密文CT长度和私钥SK长度。

表3通信成本对比分析

在通信负载方面，与其他方案的公钥长度、用户解密密钥长度、主密钥长度以及密文长度相比，本发明更加优化。本发明的公钥长度比Wu方案缩短了3个群元素的大小，比CPE2C方案缩短了几乎|m|的长度。本发明及Yang和Wu方案的私钥长度都与用户拥有的属性个数相关，但本发明的私钥长度比Yang方案缩短了|m|+2个群元素的大小，比Wu方案缩短了几乎1倍的长度。CPE2C方案的私钥长度与系统中属性个数相关，系统属性个数远大于用户拥有的属性个数，所以私钥长度远大于本发明。CPE2C方案的密文长度不仅与系统中所有属性个数相关，还和公钥加密的密文有关，双层加密的密文长度远大于其他方案。PCSAC方案及Yang和Wu方案的密文长度只与加密策略中出现的属性个数相关，但本发明的密文长度远小于Yang和Wu方案，Yang方案的密文长度是本发明的近2倍，少于Wu方案。

表4功能对比分析

表4描述了本发明PCSAC的功能比较结果，Yang、Wu和本房名支持LSSS访问结构，可以实现更灵活的访问控制，表达能力最强；CPE2C方案支持访问树结构，表达能力次之。此外，只有本发明和Wu方案可以通过多属性授权机构更新密钥和密文来实现属性撤销，使得它们具有很好的可扩展性，能允许更多的授权机构参与到访问控制过程中。而且最重要的是，只有本发明的方案能抵御串谋攻击。显然，与其他方案相比，本发明具有更全面的功能，更适合于实际和复杂的商业应用。

为了评估本发明的PCSAC方案的性能，在基于NS-3框架的ndnSIM仿真平台实现了对CPE2C和Yang、Wu所提的方案以及PCSAC方案的仿真，并通过缓存隐私风险系数(RiskofCache Privacy,RCP)、缓存命中率(Cache Hit Ratio,CHR)、内容检索许可延迟(ContentRetrieval Delay,CRD)三个评价指标对上述三种隐私保护方案进行了对比和分析。

仿真拓扑采用如图5所示的网络拓扑，其包括4个出版者、30个缓存路由器以及20个消费者，每一个路由器节点都同时具有缓存以及路由转发内容的能力，并且每一个路由器节点拥有相同大小的缓存空间；内容服务器位于该网络的中心，其中存有所有内容的备份，且永久不会被删除。仿真中主要用到的参数及其含义如表5所示。通信带宽为2Mb/s，链路延时统一为10ms，每个节点的缓存容量大小一致，节点缓存最大数目设为100。在网络中设置10个提供内容的出版者，负责对收到的兴趣包进行响应和回复，出版者中内容对象总数N为100个，以0～99序号依次排序，大小设为1kB。每个路由节点接入的请求用户数量k服从k～U(1,10)的均匀分布。每个用户随机请求20～30个内容对象，每个内容对象的请求概率按照其序号服从齐普夫分布，α参数为1.0，用户发送的内容请求速率服从λ＝100个/s的指数分布。仿真运行时间设置为100s，采样周期T＝1s。初始时网络内各节点的缓存状态为空。所有节点的缓存替换策略统一使用最近最少使用(Least Recently Used，LRU)替换算法。

表5实验主要参数

从常见的隐私攻击场景可以看出，当用户的私钥被恶意泄露时，攻击者成功获取内容的几率非常大，CCN会有隐私泄露风险。因此，在实验中，引入缓存隐私风险系数作为分析指标，用来评估本发明PCSAC方案的隐私保护效果。路由节点的缓存隐私风险系数可表示为：攻击者在单个攻击周期内所拥有有效私钥的数量。隐私风险系数计算如下：

RCP＝P_S(k)T_A

其中，P_s表示单位时间内所有节点被成功攻击的数量，T_A表示攻击者的攻击周期，k表示攻击者拥有私钥的数目。假定攻击者发起攻击的攻击频率为100次/s，攻击为主要是串谋攻击或者其他常见的攻击，每一类内容的攻击概率服从齐普夫分布。如图6所示，在实验的初始阶段，由于网络中的实验节点和缓存内容还不够充分，消费者和发布者都采用的“一对一”的通信，所有方案的RCP值很接近，但是当节点和缓存内容逐渐增多时，CPE2C方案的RCP明显高于其他方案，最高RCP值能达到2.8。这是由于攻击者可以发动串谋攻击或者合谋攻击，控制TTPS(第三方云服务器)，掌握所有消费者的密钥，并非法的泄露出去。因此，CPE2C方案具有隐私泄露风险。Yang提出的方案虽然能够通过隐藏策略来抵御串谋攻击时，但攻击者可以通过劫持合法消费者和MAAC的会话的方式，获取消费者私钥。Yang方案没有制定主动的防御策略来抵御这种串谋攻击，因此RCP值也比较大，最高为2.6。Wu提出的方案可以弥补Yang方案的不足，但不能实现策略隐藏，所以随着攻击次数不断增大，RCP也在不断变化，平均RCP值和相差不大。PCSAC方案的RCP是最小的，这是因为其采取了隐藏策略和属性撤销机制来抵御串谋和合谋等网络攻击，并追责恶意节点，作废旧私钥，更新私钥，从而迅速降低RCP值。当在节点数目达到30时，所有方案的RCP值很趋于平稳，PCSAC方案的RCP为1.75。

图7显示了整个CCN内容共享期间各节点的平均缓存命中率，其中图中横坐标为节点序号，纵坐标为缓存命中率(CHR)。CPE2C方案命中率最低，最终趋于40％，这是由于方案中任何一笔内容的共享都由固定的消费者、TTPS、出版者完成的，所以在有消费者请求内容时，边缘节点的缓存很大几率不会命中，从属节点就会固定地、机械式地将该请求转发给消费者，由固定的消费者和节点作进一步处理，而没有对相邻节点的缓存进行利用。此外，消费者还要服务于域内的TTPS，这会造成区域内高频率的内容替换更新，导致缓存缺失概率增大，缓存命中率不高。对于Yang提出的方案，由于没有使用第三方处理共享内容，采用的依旧是CCN泛滥式的沿途全部缓存方式，大量的缓存冗余和高频率的内容替换更新，所以导致缓存缺失概率增大缓存命中率和CPE2C相比相差不大。Wu提出的方案使用云服务器存储密文，减少了兴趣包和数据包在CCN上消耗的带宽资源，并实时更新失效的密文，避免了节点上失效密文冗余，节点的平均命中率随着节点增多而提升，最终可以达到60％。本发明的PCSAC方案拥有最高的缓存命中率，这是因为其不仅具有Wu方案的优势，还具有多属性授权机构，使得私钥本身所需的计算量不大，CCN中被撤销属性的消费者和相应的密文不会受到影响，不会妨碍正常的缓存决策，也不会增加系统的复杂性，在实际应用更具有优势。在节点数目达到30时，本发明的PCSAC方案的CHR为70％，相比于CPE2C增加了36％。

图8显示各个方案在内容检索上的时间对比。对于CPE2C方案，消费者和出版者都必须经过二次加解密操作才能获取内容。因此，无论是分发数据包还是兴趣包，CPE2C在能源消耗上都不占优势，内容检索权限延迟达到240ms。对于Yang方案在加密阶段有较多的双线性映射和指数运算，处理时间会消耗稍大，内容检索权限延迟达到190ms。在Wu方案中，由于路由节点需要依靠兴趣包在转发过程中计算并收集消费者信息，而在单个数据包返回过程中需要节点处理相关的属性撤销过程，所以也会带来稍高的时间消耗，但拥有云服务的优势。而本发明在Wu方案的基础上又采用多属性授权中心产生和分发密钥，因此，内容检索上的时间耗时最少。在节点数目达到30时，所有方案的值很趋于平稳，PCSAC方案的为140ms，相比于Yang与Wu分别降低了53.5％和23％。

本发明实现了高效的策略隐藏、追责机制和属性撤销功能，主要是通过使用LSSS访问控制策略实现了访问策略的隐藏，并且考虑到单授权机构容易遭受攻击，采用无中央权威的多授权机构来防止敌手截获和监听用户的隐私信息。而且本发明还建立了追责列表，给每个用户发放唯一的身份全局标识gid，用来追踪敌手。此外，本发明还实现了用户级和属性集撤销，以确保消费者和出版者的隐私，并引入了云服务以减轻CCN的计算负担，节省节点的存储开销。仿真实验结果表明，与CPE2C及其他CCN内容共享方案相比，本发明PCSAC能保证CCN系统中的用户隐私的前提下具有较高缓存命中率和较低的缓存隐私风险和内容请求时延。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种抵御串谋攻击的内容共享隐私保护方法，其特征在于，其步骤如下：

步骤一、初始化阶段：属性授权中心执行初始化算法，产生追责列表和自己的公私钥对；

所述初始化阶段的实现方法是：标识为aid的属性授权中心MAAC执行初始化算法，以安全参数λ作为输入，生成属性授权中心的公钥APK_aid和私钥ASK_aid，同时建立一个追责列表R；所述初始化算法的实现方法为：随机挑选三个整数α_aid,y_aid,v_aid；多属性授权中心MAAC利用双线性对e和生成元g计算公钥

并将公钥APK_aid广播发布到CCN中；属性授权中心MAAC计算私钥ASK_aid＝(α_aid,y_aid,a_aid)；建立一个追责列表R并初始化为空集：

其中，v_aid表示属性授权中心属性的版本号；a_aid表示身份是aid的MAAC挑选的随机数；

步骤二、加密阶段：出版者制定LSSS访问策略，并根据LSSS访问策略对内容进行加密生成密文，出版者将密文通过云服务路由节点上传到密文云服务器进行保存；

所述步骤二中LSSS访问策略的实现方法为：出版者随机挑选l个整数r₁…r_l；选择一个随机向量v＝(s,v₂,v₃,...,v_n)^T；出版者计算中间变量λ_i＝v×M_i和中间变量w_i＝M_iZ；出版者分别计算子密文C₀,C_1,i,C_2,i,C_3,i,C_4,i，得到密文CT＝{C₀,C_1,i,C_2,i,C_3,i,C_4,i}；其中，C₀＝me(g,g)^s、

m为待加密的内容，ρ(i)为矩阵中代表属性的值，δ(i)为计算的参数，y为密钥的参数，F()表示一个关联函数，把λ_i关联到ρ(i)的属性；Z表示为一个随机的整数；1≤i≤l，l表示矩阵的列数，s是待分享的秘密指数；v₂,v₃,...,v_n表示随机挑选的n-1个向量，M_i为大小为l×n的秘密共享矩阵M的第i行，n表示矩阵的行数；

步骤三、密钥生成阶段：消费者请求内容，属性授权中心对消费者进行身份验证，验证成功后，属性授权中心执行密钥生成算法产生解密私钥并在追责列表中进行审计和追责；

所述步骤三的实现方法为：身份标识为gid的消费者把属性集S_gid,aid发送给属性授权中心MAAC_aid，并请求自己的私钥；属性授权中心MAAC_aid从整数中随机选取c和t_i，然后计算相应的私钥：K_gid＝c，

属性授权中心MAAC_aid输出私钥SK_S,gid,aid＝{K_gid,K_gid,l,K'_gid,l}；追责列表R由整数c、消费者身份标识gid和属性的哈希值组成：R＝{c,gid,H(S_gid,aid)}；其中，z∈S_gid,aid，K_gid、K_gid,l、K'_gid,i都是组成私钥的参数，F(l)为关联函数，H()为哈希函数；

步骤四、解密阶段：密文云服务器先对消费者的身份进行验证，验证成功后通过CCN的形式从云服务路由节点下载密文；

所述解密阶段中如果密文中的访问结构被消费者的属性集合满足，则消费者用自己的私钥解密获得出版者共享的内容：

定义集合

其中，x代表着消费者的属性值，ρ(x)代表着把属性值对应到具体的矩阵值，S为秘密参数，与满足访问策略的属性值有关；

如果S是一个授权集合，那么在多项式时间内找到一组常数c_x,{c_x∈Z_p|x∈I}，计算

其中，s是有效得问秘密分享，与秘密指数的含义相同；M_x表示具有隐藏访问策略的矩阵；

对于每个属性ρ(x),ρ(x)∈S_gid，计算：

其中，S_gid表示满足访问控制策略的属性集，C_1,x C_2,x C_3,x表示属性为x的消费者生成的密文，K_gid,ρ(x)、α、δ(x)均为计算时的参数，y为随机数，H(x)为哈希值，s为秘密值；

消费者获取密文m＝C₀/e(g,g)^s；

如果S不是一个授权集合，则输出⊥，表示输出失败；

步骤五、追责和撤销属性阶段：属性授权中心审计泄露的私钥和追责列表，在查出泄露消费者的身份信息后，更新追责列表，并删除唯一和恶意用户关联的秘密值；属性授权中心计算并更新密钥，属性没有撤销的消费者更新自己的私钥，出版者更新自己的密文；

所述步骤五的实现方法为：

(1)、属性授权中心MAAC_aid检查步骤三中的私钥SK_S,gid,aid是否为一个合理的私钥，然后通过追责列表R进行追责，输出消费者的身份标识gid；

(2)、属性授权中心MAAC_aid为每个属性x选择它们的版本号v'_x∈Z_p，然后计算更新密钥：

其中，x∈S'，v表示属性集生成的随机变量，v'_x表示单个属性生成的随机变量；S'表示属性集，v'_x表示属性x在制定访问控制策略时生成的随机变量，v_x也表示进行访问控制时属性x生成的随机变量；

(3)、要更新的密钥UK_aid和要撤销的属性S'被属性授权中心MAAC_aid返还给未撤销并安全的消费者和出版者；

(4)、当未撤销用户接收到密钥UK_aid和属性S'时，身份标识为gid的消费者或出版者更新自身私钥：

其中，SK'_S,gid,aid为泄露的私钥，F(i)为关联函数，t_i为挑选的随机数；

(5)、当更新密钥SK'_S,gid,aid被出版者收到时，消费者根据LSSS访问策略属性加密更新密文，更新后的密文：

其中，α_β(x)表示计算的参数值。

2.根据权利要求1所述的抵御串谋攻击的内容共享隐私保护方法，其特征在于，所述云服务路由节点实现了CCN与内容云服务器的交互，以CCN的方式上传密文给密文云服务器；密文云服务器负责存储密文和用户身份验证的云服务器，密文通常由云服务路由节点以CCN的方式上传到密文云服务器上；出版者是内容的所有者或是受信任的内容享有者，设计访问策略，加密数据，将密文发给云服务路由节点；当有用户撤销时，需要更新所有密文；消费者是要访问内容的用户，如果属性集满足访问策略，则可以成功解密密文并获得兴趣包或内容；属性授权中心总共有N个，每个属性授权中心相互独立且是完全可信的，为每个合法用户发放私钥，自己发布的属性集由自己独立管理，当有用户撤销时，需要把更新的密钥发给每个未撤销用户，同时还维护一个可追责列表。

3.根据权利要求1或2所述的抵御串谋攻击的内容共享隐私保护方法，其特征在于，所述审计和追责的方法为：如果整数c已经在列表追责列表R中，则重新选择随机整数c，重新计算私钥。

4.根据权利要求3所述的抵御串谋攻击的内容共享隐私保护方法，其特征在于，所述属性授权中心MAAC_aid区分非撤销用户和撤销用户，消费者的身份是惟一的，撤销的用户不会接收到更新的密钥；敌手在攻击游戏中获胜的优势是可忽略的，若q-BDHE假设成立，则IND-CPA安全的。

5.根据权利要求1或4所述的抵御串谋攻击的内容共享隐私保护方法，其特征在于，攻击者使用以下二种方式发起串谋攻击，劫持获得有价值的内容：

(1)攻击者在出版者上传密文和消费者下载密文时进行数据包劫持，分析密文CT，破解LSSS访问策略；

(2)攻击者劫持合法消费者和属性授权中心的会话，获取会话中关键的信息，并将这些关键的信息恶意泄露给原本并不具备解密权限的恶意用户，使得恶意用户拥有了访问权限；

在情景(1)下，如果用户的属性不能满足访问结构时，用户无法计算密文中的e(g,g)^s，而且结果存在群G₂中的随机元素中，所以敌手并不能确定密文CT由哪个访问策略加密得到，无法得到最终的明文；

在情景(2)下，属性授权中心通过审查追责列表R中的属性访问情况，一旦追责列表R出现某一个属性在其他时间多次或多频访问，而消费者却不相同时，便会执行追责机制；如果通过追责确定了串谋攻击，则撤销泄露的属性集合；即属性授权中心会首先更新追责列表R，删除所有和泄露属性相关的用户和秘密值c，把可疑用户整体从模型中撤销；接着让每个管理泄露属性集合的属性授权中心更新会话密钥，然后为每一个拥有该属性且未撤销的其他用户更新私钥，最后由出版者更新云服务器涉及该属性的密文；消费者使用更新后的私钥来解密已更新的密文。

Images