基于屬性基加密的細(xì)粒度訪問控制機(jī)制研究.pdf

1、數(shù)據(jù)外包能減少數(shù)據(jù)所有者的成本。然而，當(dāng)數(shù)據(jù)被存儲(chǔ)在遠(yuǎn)程服務(wù)器上時(shí)，數(shù)據(jù)所有者會(huì)喪失對(duì)其敏感數(shù)據(jù)的控制，不可信方可能訪問這些敏感數(shù)據(jù)。傳統(tǒng)的方法使用完全可信的服務(wù)器來存儲(chǔ)和負(fù)責(zé)對(duì)敏感數(shù)據(jù)的訪問控制，如果用戶擁有某些證書，滿足訪問控制策略，他便可以訪問敏感數(shù)據(jù)。然而，一旦存儲(chǔ)敏感數(shù)據(jù)的服務(wù)器受到威脅，數(shù)據(jù)的機(jī)密性也會(huì)受到威脅。因此，對(duì)服務(wù)器中存儲(chǔ)的敏感數(shù)據(jù)需要以加密形式存儲(chǔ)，使得即使服務(wù)器受到威脅，數(shù)據(jù)的機(jī)密性也得以保證。然而，傳統(tǒng)的加密

2、方法存在如下缺點(diǎn)：(1).加密是一個(gè)用戶和另一個(gè)用戶秘密地共享數(shù)據(jù)的方式；(2).對(duì)加密數(shù)據(jù)的訪問是要么全訪問，要么全不訪問。也就是說，它們不能用來處理對(duì)加密數(shù)據(jù)的富有表達(dá)力的訪問控制。
　　在許多應(yīng)用中，比如云存儲(chǔ)系統(tǒng)中，數(shù)據(jù)所有者可能希望根據(jù)對(duì)接收者屬性的策略來選擇性地共享敏感數(shù)據(jù)。不是每次為各方加密數(shù)據(jù)，而是一次為所有各方加密數(shù)據(jù)。近年來提出的屬性基加密方案能很好地滿足這些需求。屬性基加密是一種新穎的公鑰加密范例，它允許用戶

3、基于屬性加密和解密消息，而且它富有表達(dá)力，能對(duì)加密數(shù)據(jù)實(shí)施細(xì)粒度的訪問控制。本文進(jìn)行了基于屬性基加密的細(xì)粒度訪問控制機(jī)制研究，其主要研究內(nèi)容和創(chuàng)新點(diǎn)包括：
　　1.提出了黑盒可追責(zé)密文策略屬性基加密方案
　　既存的屬性基加密方案需要一個(gè)可信的中央機(jī)構(gòu)。此中央機(jī)構(gòu)擁有方案的主秘密，能計(jì)算與用戶的任意屬性相關(guān)的私鑰，并能解密對(duì)任意用戶加密的任意密文，生成和分發(fā)與屬性相關(guān)的私鑰給其他用戶。因此，它必須是絕對(duì)可信的。如果中央機(jī)構(gòu)從事

4、惡意活動(dòng)，它將不會(huì)被抓住和起訴。也就是說，屬性基加密方案中仍然存在密鑰托管問題。如果這個(gè)問題沒被解決，將會(huì)影響屬性基加密方案的采納。本文提出了黑盒可追責(zé)密文策略屬性基加密方案，在這個(gè)方案中，一個(gè)安全的私鑰生成協(xié)議被構(gòu)造，法官能判斷譯碼盒是由惡意的用戶創(chuàng)建還是由惡意的中央機(jī)構(gòu)創(chuàng)建。本文方案減輕了對(duì)中央機(jī)構(gòu)的信任，使得中央機(jī)構(gòu)被指控濫用這種信任的可能性被減少，從而使得屬性基加密方案能很好地對(duì)加密數(shù)據(jù)實(shí)施細(xì)粒度的訪問控制。
　　2.提出

5、了密文策略屬性基代理重加密方案
　　在屬性基加密方案中，用戶的私鑰與屬性集相關(guān)，敏感數(shù)據(jù)在對(duì)屬性的訪問結(jié)構(gòu)下被加密成密文，當(dāng)且僅當(dāng)其屬性滿足與密文相關(guān)的訪問結(jié)構(gòu)的用戶才能解密密文。然而，在加密數(shù)據(jù)不被解密的前提下，既存的屬性基加密方案并不支持對(duì)屬性基加密方案中訪問結(jié)構(gòu)的更新。本文提出了密文策略屬性基代理重加密方案，它允許在不解密密文的前提下，通過一個(gè)誠實(shí)而又好奇的代理如云服務(wù)器轉(zhuǎn)換與初始密文相關(guān)的訪問結(jié)構(gòu)，此代理在另一個(gè)訪問結(jié)構(gòu)下

6、重加密最初的密文成重加密密文，使得其屬性滿足新訪問結(jié)構(gòu)的用戶能解密重加密的密文。所提方案較好地解決了在采用屬性基加密方案對(duì)加密數(shù)據(jù)實(shí)施細(xì)粒度訪問控制時(shí)，屬性基加密方案中訪問結(jié)構(gòu)頻繁地發(fā)生變化的問題。
　　3.提出了基于屬性基加密的具有細(xì)粒度訪問控制的不經(jīng)意傳輸方案
　　在外包系統(tǒng)中，盡管加密技術(shù)被用來保護(hù)外包數(shù)據(jù)，但對(duì)像誰訪問了外包數(shù)據(jù)以及他怎樣訪問這些數(shù)據(jù)的這類型的敏感數(shù)據(jù)，服務(wù)提供商仍能收集它們。為了保護(hù)用戶的隱私和讓服

7、務(wù)提供商實(shí)施訪問控制，本文提出了基于屬性基加密的具有細(xì)粒度訪問控制的不經(jīng)意傳輸方案，其中，數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)用訪問控制策略來保護(hù)，僅有其證書滿足訪問策略的用戶才能訪問這些數(shù)據(jù)，而服務(wù)提供商不會(huì)了解到用戶訪問了哪些數(shù)據(jù)或用戶的證書。本文方案具有如下優(yōu)勢(shì)：第一、本文方案維護(hù)了不經(jīng)意傳輸?shù)碾[私特性，提供了細(xì)粒度的訪問控制機(jī)制。第二、它允許直接支持AND門，OR門和Threshold的富有表達(dá)力的訪問控制策略。第三、在本文方案中的通信復(fù)雜度與

8、用戶訪問的記錄數(shù)成常量關(guān)系。第四、本文方案在素?cái)?shù)階環(huán)境下被構(gòu)造。
　　4.提出了具有外包解密功能的基于素?cái)?shù)階群的內(nèi)積謂詞加密方案
　　在謂詞加密方案——屬性隱藏的屬性基加密方案中，密文既隱藏明文消息，又隱藏屬性。謂詞加密對(duì)加密數(shù)據(jù)實(shí)施細(xì)粒度的訪問控制和對(duì)加密數(shù)據(jù)進(jìn)行搜索。然而，謂詞加密在效率上存在的主要缺點(diǎn)是密文的大小和解密它的時(shí)間會(huì)隨著謂詞的復(fù)雜性而增長。本文提出了具有外包解密功能的基于素?cái)?shù)階群的內(nèi)積謂詞加密方案，它大大地