發(fā)布時間：2020-07-12 19:07

【摘要】：云存儲是一種新型的數(shù)據(jù)存模式,它的出現(xiàn)為存儲系統(tǒng)帶來許多新的發(fā)展,許多企業(yè)建立了面向廣大用戶的云存儲服務(wù)系統(tǒng),如：亞馬遜的簡單存儲服務(wù)(S3)、RackSpace的Openstack以及微軟的Azure。不同于傳統(tǒng)的存儲模式,云存儲以存儲設(shè)備為核心,通過網(wǎng)絡(luò)對分布式存儲資源進行整合利用,為用戶提供數(shù)據(jù)存儲、訪問等服務(wù),是以存儲為核心的分布開放式服務(wù)系統(tǒng),可支持海量數(shù)據(jù)的存儲,能滿足日益增長的數(shù)據(jù)存儲需求。數(shù)據(jù)安全問題是云存儲中一個至關(guān)重要的問題,分布開放式的云存儲環(huán)境使數(shù)據(jù)安全問題進一步地擴大化,云存儲服務(wù)提供商在為用戶提供數(shù)據(jù)存儲服務(wù)的同時也需要為用戶提供數(shù)據(jù)安全保障,防止數(shù)據(jù)被惡意泄露、篡改或破壞。隨著云存儲的飛速發(fā)展與廣泛應(yīng)用,云存儲中的數(shù)據(jù)安全問題也受到了產(chǎn)業(yè)界和學(xué)術(shù)界的廣泛關(guān)注。屬性加密機制可為云存儲提供安全可靠的、細粒度的密文訪問控制�；趯傩约用茉L問控制機制具有如下優(yōu)點：1)支持細粒度的訪問控制,適合于云存儲中復(fù)雜多樣的數(shù)據(jù)存儲形式；2)支持一對多的加密,便于多用戶間進行數(shù)據(jù)共享；3)由數(shù)據(jù)所有者自主實現(xiàn)對數(shù)據(jù)訪問權(quán)限的管理,便于數(shù)據(jù)訪問權(quán)限的管理；4)數(shù)據(jù)以密文形式進行存儲傳輸,通過加密算法確保數(shù)據(jù)的安全性,防止數(shù)據(jù)在存儲傳輸過程中產(chǎn)生泄露�；趯傩约用艿拿芪脑L問控制機制可以有效地解決云儲存中數(shù)據(jù)的安全共享問題。屬性加密機制中通過訪問策略定義數(shù)據(jù)的訪問權(quán)限,而訪問策略的性能將直接影響到整個訪問控制系統(tǒng)的性能。訪問策略基于各種秘密共享方案實現(xiàn),具有多種表示形式,如單調(diào)的布爾公式,訪問控制樹,線性秘密共享方案矩陣和與門訪問結(jié)構(gòu)等。在不同的應(yīng)用場景下,可根據(jù)用戶的不同需求采用不同形式的訪問策略實現(xiàn)數(shù)據(jù)訪問權(quán)限的管理。本文致力于研究屬性加密機制中的訪問策略,提出了幾種訪問策略性能優(yōu)化方案,對基于屬性加密的訪問控制機制進行優(yōu)化,主要工作包括如下：1)提出一種基于向量空間的訪問策略匿名化方法。該方法中,屬性集合由一組正交基表示,訪問策略則表示為屬性集合上非單調(diào)的布爾公式。通過如下幾個步驟將訪問策略表示為對應(yīng)的匿名化策略矩陣：a)將訪問策略轉(zhuǎn)化為對應(yīng)的析取范式形式；b)將析取范式中每個合取式表示為對應(yīng)屬性向量的線性組合形式——合取向量；c)所有合取向量組成的矩陣即為對應(yīng)的策略矩陣。由于在向量空間中,向量的分解是不唯一的,在不確定所選屬性正交基時,無法從策略矩陣中分析出對應(yīng)的訪問策略信息,從而實現(xiàn)了訪問策略的匿名化。同時,本文中提供代理加密、解密方法,將數(shù)據(jù)加密解密過程中的大部分計算操作交付于云中服務(wù)器執(zhí)行,從而降低終端計算負載。2)提出一種基于分塊的LSSS矩陣的訪問策略動態(tài)擴展方法。分塊LSSS矩陣是由多個節(jié)點矩陣組合而成的分塊矩陣,且矩陣中的每個分塊之間相互獨立互不影響。分塊LSSS矩陣可以分塊進行擴展更新,更新過程中僅需花費少量計算、通信開銷。具備高擴展性分塊LSSS矩陣支持數(shù)據(jù)所有者對數(shù)據(jù)訪問權(quán)限進行動態(tài)管理,提高數(shù)據(jù)易管理性。在采用分塊LSSS矩陣表示訪問策略的ABE方案中,可通過動態(tài)授權(quán)、代理授權(quán)和臨時授權(quán)三種方式實現(xiàn)數(shù)據(jù)訪問權(quán)限的動態(tài)管理,使得數(shù)據(jù)訪問權(quán)限的管理更為方便靈活。3)提出基于訪問控制樹的訪問策略壓縮方法。在密文策略屬性加密機制中,密文的存儲量會隨著訪問策略的規(guī)模增長而增加,復(fù)雜的訪問策略往往導(dǎo)致過大的存儲、計算和通信開銷。該方法中,通過對訪問策略進行數(shù)值調(diào)整(不改變訪問策略的邏輯結(jié)構(gòu))對訪問控制樹進行節(jié)點壓縮,實現(xiàn)系統(tǒng)的冗余優(yōu)化和效率提升。由于策略壓縮問題是一個NP完全問題,本文中采用貪心算法求得近似最優(yōu)的壓縮方案。進一步地,對具備一定結(jié)構(gòu)的數(shù)據(jù)集合(如數(shù)據(jù)表),各數(shù)據(jù)單元的訪問策略間可能存在極大的重合,因此可以“子樹”為單位進行策略壓縮,進一步的提升策略壓縮效率。
【學(xué)位授予單位】：武漢大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2015
【分類號】：TP333;TP309.7
【圖文】：

逡逑大，如圖１－２所示。逡逑１０邋：邐－邋１邐ｉ邐Ｉ邐＾邐＾逡逑Ｓ邋１0４邋ｒ邐■邐１逡逑ｉ邋：邐■逡逑器邋１０邐■■■邋ＡＮＤ邋ａｃｃｅｓｓ邋ｓｔｒｕｃｔｕｒｅ邐ｈＨ邐１逡逑８邐ｍｏｎｏｔｏｎｏｕｓ邋ａｃｃｅｓｓ邋ｓｔｏｊｃ山巧逡逑Ｓ邋１0２邐－逡逑ｎ加－ｍｏｎｏｔｏｎｏｕｓ邋３ＣＣ６巧邋ｓｔｒｕｃｔｕｒｅ！邐「——ｎ邐ＩＩＶ邐Ｊ逡逑１２邐３邐４逡逑ｎｕｍｂｅｒ邋ｏｆ邋ａｔｔｒｉｂｕｔｅｓ逡逑圖１－２訪問策略空間的大小逡逑（２）匿名性逡逑訪問策略的匿名性，也被稱為訪問策略的隱藏性。大多數(shù)ＡＢＥ方案中，訪問策略逡逑作為密文或密鑰的一部分顯示給出，但訪問策略自身也是包含一定信息的，而在某些應(yīng)逡逑用中這些信息較為敏感不宜公開。如，在ＣＰ－ＡＢＥ中密文的訪問策略中通常包含如下Ｈ逡逑類敏感信息：逡逑①

３．１系統(tǒng)模型與問題描述逡逑３．１．１云存儲網(wǎng)絡(luò)模型逡逑云存儲的網(wǎng)絡(luò)模型如圖３－１所示。該模型中存在四類實體：授權(quán)域（Ａｕ出ｏｒｉｔｙ），數(shù)逡逑據(jù)所有者（Ｏｗｎｅｒ），用戶（Ｕｓｅｒ）及云（Ｃｌｏｕｄ）。逡逑ｆ計Ru良佭計撕包逡逑＾云邐代理加密逡逑＃邐［代理解ｆＷＴ逡逑￣存儲服務(wù)：下載密文心用戶逡逑飛＾邐密文邋廠－－－？邐邐－ｆ邐逡逑＇邐全局化邐屬＂＾＾逡逑W 胃ＩＩ逡逑數(shù)據(jù)所有者邐＼邋‘．邋ＣＡ邐Ｉ邋ＡＡｉ邋ＡＡ２邐ＡＡ？邋；逡逑Ｘ：邐■邋－－－邋邐邋■邐；邐；邐－邋？Ｊ逡逑圖３－１云存儲網(wǎng)絡(luò)模型逡逑授權(quán)域授權(quán)域中包括一個中央授權(quán)域（Ｃｅｎｔｒａｌ邋Ａｕｔｈｏｒｉｔｙ，邋ＣＡ）和多個屬性授權(quán)域逡逑（Ａｔｔｒｉｂｕｔｅ邋Ａｕｔｈｏｒｉｔｙ，邋ＡＡ）。其中，ＣＡ為全局唯一可信機構(gòu)，負責對各ＡＡ及用戶進巧認逡逑證并制定全局密鑰（Ｇｌｏｂａｌ邋Ｋｅｙ）。ＡＡ經(jīng)ＣＡ認證后，可自主選取一組屬性集合并制定逡逑相應(yīng)的屬性密鑰（Ａｔｔｒｉｂｕｔｅ邋Ｋｅｙ）。授權(quán)域生成的所有密鑰均由Ｈ部分組成；主鑰（Ｍａｓｔｅｒ逡逑Ｋ巧，ＭＫ），公鑰（Ｐｕｂｌｉｃ邋Ｋｅｙ，）和私鑰（Ｐｒｉｖａｔｅ邋Ｋｅｙ，化）。其中，ＭＫ為授權(quán)域生成逡逑的私有參數(shù)僅限授權(quán)域可知，ＰＫ則根據(jù)ＭＫ生成并面向全網(wǎng)絡(luò)公開，ＳＫ由授權(quán)域根據(jù)逡逑ＭＫ和用戶ＩＤ生成并分發(fā)給各用戶。逡逑數(shù)據(jù)所有者數(shù)據(jù)所有者將需要共享的數(shù)據(jù)經(jīng)加密后上傳至云端。加密過程分兩步逡逑進行：１）為數(shù)據(jù)定義訪問策略并將策略進行編碼；２）從授權(quán)域處獲�。校�，并通過ＰＫ逡逑及編碼后的訪問策略和數(shù)據(jù)進行加密

的大部分計算操作均可由云中服務(wù)器代理執(zhí)行，Ｗ減輕客戶端的計算負載。逡逑３．１．２基于ＡＢＥ的巧問控制模型逡逑如圖３－２所示，基于ＣＰ－ＡＢＥ的訪問控制模型由Ｗ下四個算法組成：初始化算法逡逑（Ｓｅｔｕｐ），密鑰生成算法（Ｋ巧Ｇｅｎ），加密算法（Ｅｎｃｒｙｐｔ）和解密算法（Ｄｅｃｒｙｐｔ）。系逡逑統(tǒng)初始化階段，授權(quán)域運行算法Ｓｅｔｕｐ，通過安全參數(shù)／生成ＭＫ及ＰＫ，并將ＰＫ上傳逡逑至云端。用戶請求密鑰時，先將自身做發(fā)送給授權(quán)域，授權(quán)域驗證用戶您合法后運行逡逑Ｋ巧Ｇｅｎ，邋Ｋ巧Ｇｅｎ邋用戶ＺＤ和ＭＫ作為輸入?yún)?shù)，生成化并返回給用戶。上傳數(shù)據(jù)逡逑時，數(shù)據(jù)所有者先通過算法Ｅｎｃｒｙｐｔ對數(shù)據(jù)進行加密并將密文上傳至云端，Ｅｎｃｒｙｐｔ邋Ｗ逡逑數(shù)據(jù)（或明文）Ｍ、訪問策略Ｔ及公鑰ＰＫ為輸入，Ｗ密文Ｃ為輸出。用戶訪問數(shù)據(jù)時，逡逑先從云端獲取密文Ｃ，再密文Ｃ和用戶私鑰說：為輸入，執(zhí)行算法Ｄｅｃｒｙ

【相似文獻】

相關(guān)期刊論文 前5條

1 ;API加強訪問策略[J];每周電腦報;1999年11期

2 毛莉,劉廣強;基于.NET的數(shù)據(jù)訪問策略[J];微機發(fā)展;2004年10期

3 賈惠芹;李周利;;網(wǎng)絡(luò)測控實驗室的安全訪問策略[J];計算機應(yīng)用;2009年05期

4 董紅斌,梁意文,郭學(xué)理,張健;校園網(wǎng)絡(luò)數(shù)據(jù)資源分層訪問策略[J];武漢大學(xué)學(xué)報(自然科學(xué)版);1999年01期

5 ;[J];;年期

相關(guān)博士學(xué)位論文 前1條

1 王晶;屬性加密機制中訪問策略的研究[D];武漢大學(xué);2015年

本文編號：2752372