云存储环境下基于属性的密文策略访问控制机制研究

发布时间：2020-07-23 00:34

【摘要】：云存储作为一种基本服务得到了业界的广泛认同,越来越多的企事业单位或个人希望通过云存储服务保存大量的各类数据信息,其中包括一些敏感信息,例如:企业商业秘密、用户个人隐私等。然而云存储服务提供者(Cloud Service Provider,CSP)并不是完全可信的第三方。因此,如何既能让用户充分利用云计算环境下的计算及存储资源,又能保证用户数据的机密性、避免用户的合法数据被非法用户访问或篡改、实现灵活和细粒度的访问控制,则是云存储领域亟需解决的问题。基于密码学的访问控制是保护数据安全性和防止非法用户读取的一种重要技术手段,其实现方式主要有公钥加密访问控制、基于身份的加密访问控制以及基于属性的加密访问控制等三种。其中基于属性的加密方案主要有密钥策略(Key Policy Attribute-Based Encryption,KP-ABE)与密文策略(Cipher Policy Attribute-Based Encryption,CP-ABE)两类方案。在CP-ABE方案中,密文与一个访问策略关联,而密钥与一个属性集合相关,当且仅当用户属性集合中的属性能够满足访问策略,用户才能对密文解密。因此,CP-ABE方案非常适合应用于云存储环境下的共享密文的访问控制。本文针对云存储环境下敏感信息安全保障需求,重点研究高效、灵活的细粒度CP-ABE访问控制方案、基于CP-ABE的密文检索及代理解密服务应用等问题,有效避免用户加解密计算开销大、访问控制策略变更不灵活等缺陷。具体而言,本文研究内容和创新点如下:1.针对现有CP-ABE方案在实现细粒度访问控制过程中用户加解密计算开销大的问题,本文基于数字信封技术与代理重加密密钥分发机制,重新设计了一种基于数字信封的优化访问控制方案DECP-ABE(Digital Envelope Ciphertext Policy-ABE)。该方案突出优势在于:不仅能实现细粒度访问控制,还能有效减轻数据属主(Data Owner,DO)加密与用户解密的计算开销。并证明了该方案在标准模型下是选择明文攻击(Indistinguishablity under Chosen-Plaintext Attack,IND-CPA)安全的。另外,性能仿真结果也验证了方案在用户计算开销方面的有效性。2.针对云存储环境下策略变更不灵活的问题(CP-ABE方案访问控制策略变更时需重新执行整个加密过程),本文引入虚拟属性节点概念,提出了支持快捷策略属性变更的密文访问控制方案AB-ACVE(Attribute-Based Access Control with Virtual Extension)。该方案突出优点在于:在具有“AND”和“OR”访问控制策略树下,DO无需花费重新加密的计算开销,而仅通过CSP较少的重加密密文实现策略属性的灵活撤销及恢复。安全性分析及仿真实验结果表明:与现有方案相比,AB-ACVE方案在策略属性访问控制上更加灵活和高效。3.针对现有云存储环境下基于CP-ABE方案中密文策略变更开销大的问题,设计了基于最小共享重加密密钥属性集的AB-MSRKAS(Attribute-Based Minimum Shared ReEncrypt Key Attribute Set)方案。该方案特点在于:在具有“AND”和“OR”访问控制策略树下,能有效减少CSP的重加密密文开销,并支持策略属性的及时撤销。安全及性能分析表明:该方案既具有原有方案的灵活性和细粒度访问控制等特点,又能减少DO及CSP的系统开销。4.针对传统CP-ABE方案下密文检索服务可能因关联信息泄露而导致数据机密性破坏的问题,本文结合CP-ABE方案和同态加密算法,设计了一个可搜索密文的属性基加密方案SE-CP-ABE(Searcherble Ciphertext Policy)。该方案优势在于:在保证数据机密性的前提下,不仅能够实现访问控制策略下的密文检索,而且还能减少由于检索密文下载带来的不必要的网络开销。安全性分析及仿真实验结果表明:该方案在保证安全性的同时,其密文检索效率明显提升。5.针对云存储环境下终端用户计算及存储资源有限情形下,密文策略文件共享困难的问题,本文在内网可信的安全假设条件下,基于CP-ABE并结合数字签名技术,设计了一个实用的本地代理解密密文策略属性基加密方案LPD-CP-ABE(Local Proxy Decryption Ciphertext Policy),由代理解密服务器执行满足访问控制权限的数据解密操作。该方案优点在于:不仅有效减少了终端用户的计算开销,还能够保证共享密文的完整性。安全性分析及仿真实验结果证明了方案的安全性及有效性。综上,本文针对云存储环境下存储服务提供者不完全可信任的问题,深入研究了基于属性的密文策略访问控制机制的效率、策略变更的灵活性、方案的应用服务等问题。本文的主要贡献在于:设计构造了更为高效的细粒度访问控制方案;提出了支持策略属性灵活变更的访问控制方案;并在此基础上,设计了基于CP-ABE方案的云存储密文检索方案以及本地代理解密方案。这些研究成果为云存储的推广应用及安全访问控制理论研究提供了有益借鉴。
【学位授予单位】：电子科技大学
【学位级别】：博士
【学位授予年份】：2015
【分类号】：TP333;TP309


本文编号：2766592