【摘要】：云存儲(chǔ)作為一種基本服務(wù)得到了業(yè)界的廣泛認(rèn)同,越來(lái)越多的企事業(yè)單位或個(gè)人希望通過(guò)云存儲(chǔ)服務(wù)保存大量的各類(lèi)數(shù)據(jù)信息,其中包括一些敏感信息,例如:企業(yè)商業(yè)秘密、用戶(hù)個(gè)人隱私等。然而云存儲(chǔ)服務(wù)提供者(Cloud Service Provider,CSP)并不是完全可信的第三方。因此,如何既能讓用戶(hù)充分利用云計(jì)算環(huán)境下的計(jì)算及存儲(chǔ)資源,又能保證用戶(hù)數(shù)據(jù)的機(jī)密性、避免用戶(hù)的合法數(shù)據(jù)被非法用戶(hù)訪問(wèn)或篡改、實(shí)現(xiàn)靈活和細(xì)粒度的訪問(wèn)控制,則是云存儲(chǔ)領(lǐng)域亟需解決的問(wèn)題�；诿艽a學(xué)的訪問(wèn)控制是保護(hù)數(shù)據(jù)安全性和防止非法用戶(hù)讀取的一種重要技術(shù)手段,其實(shí)現(xiàn)方式主要有公鑰加密訪問(wèn)控制、基于身份的加密訪問(wèn)控制以及基于屬性的加密訪問(wèn)控制等三種。其中基于屬性的加密方案主要有密鑰策略(Key Policy Attribute-Based Encryption,KP-ABE)與密文策略(Cipher Policy Attribute-Based Encryption,CP-ABE)兩類(lèi)方案。在CP-ABE方案中,密文與一個(gè)訪問(wèn)策略關(guān)聯(lián),而密鑰與一個(gè)屬性集合相關(guān),當(dāng)且僅當(dāng)用戶(hù)屬性集合中的屬性能夠滿(mǎn)足訪問(wèn)策略,用戶(hù)才能對(duì)密文解密。因此,CP-ABE方案非常適合應(yīng)用于云存儲(chǔ)環(huán)境下的共享密文的訪問(wèn)控制。本文針對(duì)云存儲(chǔ)環(huán)境下敏感信息安全保障需求,重點(diǎn)研究高效、靈活的細(xì)粒度CP-ABE訪問(wèn)控制方案、基于CP-ABE的密文檢索及代理解密服務(wù)應(yīng)用等問(wèn)題,有效避免用戶(hù)加解密計(jì)算開(kāi)銷(xiāo)大、訪問(wèn)控制策略變更不靈活等缺陷。具體而言,本文研究?jī)?nèi)容和創(chuàng)新點(diǎn)如下:1.針對(duì)現(xiàn)有CP-ABE方案在實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制過(guò)程中用戶(hù)加解密計(jì)算開(kāi)銷(xiāo)大的問(wèn)題,本文基于數(shù)字信封技術(shù)與代理重加密密鑰分發(fā)機(jī)制,重新設(shè)計(jì)了一種基于數(shù)字信封的優(yōu)化訪問(wèn)控制方案DECP-ABE(Digital Envelope Ciphertext Policy-ABE)。該方案突出優(yōu)勢(shì)在于:不僅能實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制,還能有效減輕數(shù)據(jù)屬主(Data Owner,DO)加密與用戶(hù)解密的計(jì)算開(kāi)銷(xiāo)。并證明了該方案在標(biāo)準(zhǔn)模型下是選擇明文攻擊(Indistinguishablity under Chosen-Plaintext Attack,IND-CPA)安全的。另外,性能仿真結(jié)果也驗(yàn)證了方案在用戶(hù)計(jì)算開(kāi)銷(xiāo)方面的有效性。2.針對(duì)云存儲(chǔ)環(huán)境下策略變更不靈活的問(wèn)題(CP-ABE方案訪問(wèn)控制策略變更時(shí)需重新執(zhí)行整個(gè)加密過(guò)程),本文引入虛擬屬性節(jié)點(diǎn)概念,提出了支持快捷策略屬性變更的密文訪問(wèn)控制方案AB-ACVE(Attribute-Based Access Control with Virtual Extension)。該方案突出優(yōu)點(diǎn)在于:在具有“AND”和“OR”訪問(wèn)控制策略樹(shù)下,DO無(wú)需花費(fèi)重新加密的計(jì)算開(kāi)銷(xiāo),而僅通過(guò)CSP較少的重加密密文實(shí)現(xiàn)策略屬性的靈活撤銷(xiāo)及恢復(fù)。安全性分析及仿真實(shí)驗(yàn)結(jié)果表明:與現(xiàn)有方案相比,AB-ACVE方案在策略屬性訪問(wèn)控制上更加靈活和高效。3.針對(duì)現(xiàn)有云存儲(chǔ)環(huán)境下基于CP-ABE方案中密文策略變更開(kāi)銷(xiāo)大的問(wèn)題,設(shè)計(jì)了基于最小共享重加密密鑰屬性集的AB-MSRKAS(Attribute-Based Minimum Shared ReEncrypt Key Attribute Set)方案。該方案特點(diǎn)在于:在具有“AND”和“OR”訪問(wèn)控制策略樹(shù)下,能有效減少CSP的重加密密文開(kāi)銷(xiāo),并支持策略屬性的及時(shí)撤銷(xiāo)。安全及性能分析表明:該方案既具有原有方案的靈活性和細(xì)粒度訪問(wèn)控制等特點(diǎn),又能減少DO及CSP的系統(tǒng)開(kāi)銷(xiāo)。4.針對(duì)傳統(tǒng)CP-ABE方案下密文檢索服務(wù)可能因關(guān)聯(lián)信息泄露而導(dǎo)致數(shù)據(jù)機(jī)密性破壞的問(wèn)題,本文結(jié)合CP-ABE方案和同態(tài)加密算法,設(shè)計(jì)了一個(gè)可搜索密文的屬性基加密方案SE-CP-ABE(Searcherble Ciphertext Policy)。該方案優(yōu)勢(shì)在于:在保證數(shù)據(jù)機(jī)密性的前提下,不僅能夠?qū)崿F(xiàn)訪問(wèn)控制策略下的密文檢索,而且還能減少由于檢索密文下載帶來(lái)的不必要的網(wǎng)絡(luò)開(kāi)銷(xiāo)。安全性分析及仿真實(shí)驗(yàn)結(jié)果表明:該方案在保證安全性的同時(shí),其密文檢索效率明顯提升。5.針對(duì)云存儲(chǔ)環(huán)境下終端用戶(hù)計(jì)算及存儲(chǔ)資源有限情形下,密文策略文件共享困難的問(wèn)題,本文在內(nèi)網(wǎng)可信的安全假設(shè)條件下,基于CP-ABE并結(jié)合數(shù)字簽名技術(shù),設(shè)計(jì)了一個(gè)實(shí)用的本地代理解密密文策略屬性基加密方案LPD-CP-ABE(Local Proxy Decryption Ciphertext Policy),由代理解密服務(wù)器執(zhí)行滿(mǎn)足訪問(wèn)控制權(quán)限的數(shù)據(jù)解密操作。該方案優(yōu)點(diǎn)在于:不僅有效減少了終端用戶(hù)的計(jì)算開(kāi)銷(xiāo),還能夠保證共享密文的完整性。安全性分析及仿真實(shí)驗(yàn)結(jié)果證明了方案的安全性及有效性。綜上,本文針對(duì)云存儲(chǔ)環(huán)境下存儲(chǔ)服務(wù)提供者不完全可信任的問(wèn)題,深入研究了基于屬性的密文策略訪問(wèn)控制機(jī)制的效率、策略變更的靈活性、方案的應(yīng)用服務(wù)等問(wèn)題。本文的主要貢獻(xiàn)在于:設(shè)計(jì)構(gòu)造了更為高效的細(xì)粒度訪問(wèn)控制方案;提出了支持策略屬性靈活變更的訪問(wèn)控制方案;并在此基礎(chǔ)上,設(shè)計(jì)了基于CP-ABE方案的云存儲(chǔ)密文檢索方案以及本地代理解密方案。這些研究成果為云存儲(chǔ)的推廣應(yīng)用及安全訪問(wèn)控制理論研究提供了有益借鑒。
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：博士
【學(xué)位授予年份】：2015
【分類(lèi)號(hào)】：TP333;TP309


本文編號(hào)：2766592