【摘要】：云存儲(chǔ)是一種新型的數(shù)據(jù)存模式,它的出現(xiàn)為存儲(chǔ)系統(tǒng)帶來(lái)許多新的發(fā)展,許多企業(yè)建立了面向廣大用戶的云存儲(chǔ)服務(wù)系統(tǒng),如：亞馬遜的簡(jiǎn)單存儲(chǔ)服務(wù)(S3)、RackSpace的Openstack以及微軟的Azure。不同于傳統(tǒng)的存儲(chǔ)模式,云存儲(chǔ)以存儲(chǔ)設(shè)備為核心,通過(guò)網(wǎng)絡(luò)對(duì)分布式存儲(chǔ)資源進(jìn)行整合利用,為用戶提供數(shù)據(jù)存儲(chǔ)、訪問(wèn)等服務(wù),是以存儲(chǔ)為核心的分布開(kāi)放式服務(wù)系統(tǒng),可支持海量數(shù)據(jù)的存儲(chǔ),能滿足日益增長(zhǎng)的數(shù)據(jù)存儲(chǔ)需求。數(shù)據(jù)安全問(wèn)題是云存儲(chǔ)中一個(gè)至關(guān)重要的問(wèn)題,分布開(kāi)放式的云存儲(chǔ)環(huán)境使數(shù)據(jù)安全問(wèn)題進(jìn)一步地?cái)U(kuò)大化,云存儲(chǔ)服務(wù)提供商在為用戶提供數(shù)據(jù)存儲(chǔ)服務(wù)的同時(shí)也需要為用戶提供數(shù)據(jù)安全保障,防止數(shù)據(jù)被惡意泄露、篡改或破壞。隨著云存儲(chǔ)的飛速發(fā)展與廣泛應(yīng)用,云存儲(chǔ)中的數(shù)據(jù)安全問(wèn)題也受到了產(chǎn)業(yè)界和學(xué)術(shù)界的廣泛關(guān)注。屬性加密機(jī)制可為云存儲(chǔ)提供安全可靠的、細(xì)粒度的密文訪問(wèn)控制�；趯傩约用茉L問(wèn)控制機(jī)制具有如下優(yōu)點(diǎn)：1)支持細(xì)粒度的訪問(wèn)控制,適合于云存儲(chǔ)中復(fù)雜多樣的數(shù)據(jù)存儲(chǔ)形式；2)支持一對(duì)多的加密,便于多用戶間進(jìn)行數(shù)據(jù)共享；3)由數(shù)據(jù)所有者自主實(shí)現(xiàn)對(duì)數(shù)據(jù)訪問(wèn)權(quán)限的管理,便于數(shù)據(jù)訪問(wèn)權(quán)限的管理；4)數(shù)據(jù)以密文形式進(jìn)行存儲(chǔ)傳輸,通過(guò)加密算法確保數(shù)據(jù)的安全性,防止數(shù)據(jù)在存儲(chǔ)傳輸過(guò)程中產(chǎn)生泄露。基于屬性加密的密文訪問(wèn)控制機(jī)制可以有效地解決云儲(chǔ)存中數(shù)據(jù)的安全共享問(wèn)題。屬性加密機(jī)制中通過(guò)訪問(wèn)策略定義數(shù)據(jù)的訪問(wèn)權(quán)限,而訪問(wèn)策略的性能將直接影響到整個(gè)訪問(wèn)控制系統(tǒng)的性能。訪問(wèn)策略基于各種秘密共享方案實(shí)現(xiàn),具有多種表示形式,如單調(diào)的布爾公式,訪問(wèn)控制樹(shù),線性秘密共享方案矩陣和與門(mén)訪問(wèn)結(jié)構(gòu)等。在不同的應(yīng)用場(chǎng)景下,可根據(jù)用戶的不同需求采用不同形式的訪問(wèn)策略實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)權(quán)限的管理。本文致力于研究屬性加密機(jī)制中的訪問(wèn)策略,提出了幾種訪問(wèn)策略性能優(yōu)化方案,對(duì)基于屬性加密的訪問(wèn)控制機(jī)制進(jìn)行優(yōu)化,主要工作包括如下：1)提出一種基于向量空間的訪問(wèn)策略匿名化方法。該方法中,屬性集合由一組正交基表示,訪問(wèn)策略則表示為屬性集合上非單調(diào)的布爾公式。通過(guò)如下幾個(gè)步驟將訪問(wèn)策略表示為對(duì)應(yīng)的匿名化策略矩陣：a)將訪問(wèn)策略轉(zhuǎn)化為對(duì)應(yīng)的析取范式形式；b)將析取范式中每個(gè)合取式表示為對(duì)應(yīng)屬性向量的線性組合形式——合取向量；c)所有合取向量組成的矩陣即為對(duì)應(yīng)的策略矩陣。由于在向量空間中,向量的分解是不唯一的,在不確定所選屬性正交基時(shí),無(wú)法從策略矩陣中分析出對(duì)應(yīng)的訪問(wèn)策略信息,從而實(shí)現(xiàn)了訪問(wèn)策略的匿名化。同時(shí),本文中提供代理加密、解密方法,將數(shù)據(jù)加密解密過(guò)程中的大部分計(jì)算操作交付于云中服務(wù)器執(zhí)行,從而降低終端計(jì)算負(fù)載。2)提出一種基于分塊的LSSS矩陣的訪問(wèn)策略動(dòng)態(tài)擴(kuò)展方法。分塊LSSS矩陣是由多個(gè)節(jié)點(diǎn)矩陣組合而成的分塊矩陣,且矩陣中的每個(gè)分塊之間相互獨(dú)立互不影響。分塊LSSS矩陣可以分塊進(jìn)行擴(kuò)展更新,更新過(guò)程中僅需花費(fèi)少量計(jì)算、通信開(kāi)銷(xiāo)。具備高擴(kuò)展性分塊LSSS矩陣支持?jǐn)?shù)據(jù)所有者對(duì)數(shù)據(jù)訪問(wèn)權(quán)限進(jìn)行動(dòng)態(tài)管理,提高數(shù)據(jù)易管理性。在采用分塊LSSS矩陣表示訪問(wèn)策略的ABE方案中,可通過(guò)動(dòng)態(tài)授權(quán)、代理授權(quán)和臨時(shí)授權(quán)三種方式實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)權(quán)限的動(dòng)態(tài)管理,使得數(shù)據(jù)訪問(wèn)權(quán)限的管理更為方便靈活。3)提出基于訪問(wèn)控制樹(shù)的訪問(wèn)策略壓縮方法。在密文策略屬性加密機(jī)制中,密文的存儲(chǔ)量會(huì)隨著訪問(wèn)策略的規(guī)模增長(zhǎng)而增加,復(fù)雜的訪問(wèn)策略往往導(dǎo)致過(guò)大的存儲(chǔ)、計(jì)算和通信開(kāi)銷(xiāo)。該方法中,通過(guò)對(duì)訪問(wèn)策略進(jìn)行數(shù)值調(diào)整(不改變?cè)L問(wèn)策略的邏輯結(jié)構(gòu))對(duì)訪問(wèn)控制樹(shù)進(jìn)行節(jié)點(diǎn)壓縮,實(shí)現(xiàn)系統(tǒng)的冗余優(yōu)化和效率提升。由于策略壓縮問(wèn)題是一個(gè)NP完全問(wèn)題,本文中采用貪心算法求得近似最優(yōu)的壓縮方案。進(jìn)一步地,對(duì)具備一定結(jié)構(gòu)的數(shù)據(jù)集合(如數(shù)據(jù)表),各數(shù)據(jù)單元的訪問(wèn)策略間可能存在極大的重合,因此可以“子樹(shù)”為單位進(jìn)行策略壓縮,進(jìn)一步的提升策略壓縮效率。
【學(xué)位授予單位】：武漢大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2015
【分類(lèi)號(hào)】：TP333;TP309.7
【圖文】：

逡逑大，如圖１－２所示。逡逑１０邋：邐－邋１邐ｉ邐Ｉ邐＾邐＾逡逑Ｓ邋１0４邋ｒ邐■邐１逡逑ｉ邋：邐■逡逑器邋１０邐■■■邋ＡＮＤ邋ａｃｃｅｓｓ邋ｓｔｒｕｃｔｕｒｅ邐ｈＨ邐１逡逑８邐ｍｏｎｏｔｏｎｏｕｓ邋ａｃｃｅｓｓ邋ｓｔｏｊｃ山巧逡逑Ｓ邋１0２邐－逡逑ｎ加－ｍｏｎｏｔｏｎｏｕｓ邋３ＣＣ６巧邋ｓｔｒｕｃｔｕｒｅ！邐「——ｎ邐ＩＩＶ邐Ｊ逡逑１２邐３邐４逡逑ｎｕｍｂｅｒ邋ｏｆ邋ａｔｔｒｉｂｕｔｅｓ逡逑圖１－２訪問(wèn)策略空間的大小逡逑（２）匿名性逡逑訪問(wèn)策略的匿名性，也被稱為訪問(wèn)策略的隱藏性。大多數(shù)ＡＢＥ方案中，訪問(wèn)策略逡逑作為密文或密鑰的一部分顯示給出，但訪問(wèn)策略自身也是包含一定信息的，而在某些應(yīng)逡逑用中這些信息較為敏感不宜公開(kāi)。如，在ＣＰ－ＡＢＥ中密文的訪問(wèn)策略中通常包含如下Ｈ逡逑類(lèi)敏感信息：逡逑①

３．１系統(tǒng)模型與問(wèn)題描述逡逑３．１．１云存儲(chǔ)網(wǎng)絡(luò)模型逡逑云存儲(chǔ)的網(wǎng)絡(luò)模型如圖３－１所示。該模型中存在四類(lèi)實(shí)體：授權(quán)域（Ａｕ出ｏｒｉｔｙ），數(shù)逡逑據(jù)所有者（Ｏｗｎｅｒ），用戶（Ｕｓｅｒ）及云（Ｃｌｏｕｄ）。逡逑ｆ計(jì)Ru良佭計(jì)撕包逡逑＾云邐代理加密逡逑＃邐［代理解ｆＷＴ逡逑￣存儲(chǔ)服務(wù)：下載密文心用戶逡逑飛＾邐密文邋廠－－－？邐邐－ｆ邐逡逑＇邐全局化邐屬＂＾＾逡逑W 胃ＩＩ逡逑數(shù)據(jù)所有者邐＼邋‘．邋ＣＡ邐Ｉ邋ＡＡｉ邋ＡＡ２邐ＡＡ？邋；逡逑Ｘ：邐■邋－－－邋邐邋■邐；邐；邐－邋？Ｊ逡逑圖３－１云存儲(chǔ)網(wǎng)絡(luò)模型逡逑授權(quán)域授權(quán)域中包括一個(gè)中央授權(quán)域（Ｃｅｎｔｒａｌ邋Ａｕｔｈｏｒｉｔｙ，邋ＣＡ）和多個(gè)屬性授權(quán)域逡逑（Ａｔｔｒｉｂｕｔｅ邋Ａｕｔｈｏｒｉｔｙ，邋ＡＡ）。其中，ＣＡ為全局唯一可信機(jī)構(gòu)，負(fù)責(zé)對(duì)各ＡＡ及用戶進(jìn)巧認(rèn)逡逑證并制定全局密鑰（Ｇｌｏｂａｌ邋Ｋｅｙ）。ＡＡ經(jīng)ＣＡ認(rèn)證后，可自主選取一組屬性集合并制定逡逑相應(yīng)的屬性密鑰（Ａｔｔｒｉｂｕｔｅ邋Ｋｅｙ）。授權(quán)域生成的所有密鑰均由Ｈ部分組成；主鑰（Ｍａｓｔｅｒ逡逑Ｋ巧，ＭＫ），公鑰（Ｐｕｂｌｉｃ邋Ｋｅｙ，）和私鑰（Ｐｒｉｖａｔｅ邋Ｋｅｙ，化）。其中，ＭＫ為授權(quán)域生成逡逑的私有參數(shù)僅限授權(quán)域可知，ＰＫ則根據(jù)ＭＫ生成并面向全網(wǎng)絡(luò)公開(kāi)，ＳＫ由授權(quán)域根據(jù)逡逑ＭＫ和用戶ＩＤ生成并分發(fā)給各用戶。逡逑數(shù)據(jù)所有者數(shù)據(jù)所有者將需要共享的數(shù)據(jù)經(jīng)加密后上傳至云端。加密過(guò)程分兩步逡逑進(jìn)行：１）為數(shù)據(jù)定義訪問(wèn)策略并將策略進(jìn)行編碼；２）從授權(quán)域處獲取ＰＫ，并通過(guò)ＰＫ逡逑及編碼后的訪問(wèn)策略和數(shù)據(jù)進(jìn)行加密

的大部分計(jì)算操作均可由云中服務(wù)器代理執(zhí)行，Ｗ減輕客戶端的計(jì)算負(fù)載。逡逑３．１．２基于ＡＢＥ的巧問(wèn)控制模型逡逑如圖３－２所示，基于ＣＰ－ＡＢＥ的訪問(wèn)控制模型由Ｗ下四個(gè)算法組成：初始化算法逡逑（Ｓｅｔｕｐ），密鑰生成算法（Ｋ巧Ｇｅｎ），加密算法（Ｅｎｃｒｙｐｔ）和解密算法（Ｄｅｃｒｙｐｔ）。系逡逑統(tǒng)初始化階段，授權(quán)域運(yùn)行算法Ｓｅｔｕｐ，通過(guò)安全參數(shù)／生成ＭＫ及ＰＫ，并將ＰＫ上傳逡逑至云端。用戶請(qǐng)求密鑰時(shí)，先將自身做發(fā)送給授權(quán)域，授權(quán)域驗(yàn)證用戶您合法后運(yùn)行逡逑Ｋ巧Ｇｅｎ，邋Ｋ巧Ｇｅｎ邋用戶ＺＤ和ＭＫ作為輸入?yún)?shù)，生成化并返回給用戶。上傳數(shù)據(jù)逡逑時(shí)，數(shù)據(jù)所有者先通過(guò)算法Ｅｎｃｒｙｐｔ對(duì)數(shù)據(jù)進(jìn)行加密并將密文上傳至云端，Ｅｎｃｒｙｐｔ邋Ｗ逡逑數(shù)據(jù)（或明文）Ｍ、訪問(wèn)策略Ｔ及公鑰ＰＫ為輸入，Ｗ密文Ｃ為輸出。用戶訪問(wèn)數(shù)據(jù)時(shí)，逡逑先從云端獲取密文Ｃ，再密文Ｃ和用戶私鑰說(shuō)：為輸入，執(zhí)行算法Ｄｅｃｒｙ

【相似文獻(xiàn)】

相關(guān)期刊論文 前5條

1 ;API加強(qiáng)訪問(wèn)策略[J];每周電腦報(bào);1999年11期

2 毛莉,劉廣強(qiáng);基于.NET的數(shù)據(jù)訪問(wèn)策略[J];微機(jī)發(fā)展;2004年10期

3 賈惠芹;李周利;;網(wǎng)絡(luò)測(cè)控實(shí)驗(yàn)室的安全訪問(wèn)策略[J];計(jì)算機(jī)應(yīng)用;2009年05期

4 董紅斌,梁意文,郭學(xué)理,張健;校園網(wǎng)絡(luò)數(shù)據(jù)資源分層訪問(wèn)策略[J];武漢大學(xué)學(xué)報(bào)(自然科學(xué)版);1999年01期

5 ;[J];;年期

相關(guān)博士學(xué)位論文 前1條

1 王晶;屬性加密機(jī)制中訪問(wèn)策略的研究[D];武漢大學(xué);2015年

本文編號(hào)：2752372