多授權(quán)中心訪問控制機(jī)制研究.pdf

1、得益于云計(jì)算的快速發(fā)展，越來越多用戶將企業(yè)和個人數(shù)據(jù)存儲在云服務(wù)器上。但云計(jì)算環(huán)境下用戶與存儲數(shù)據(jù)分離，使得用戶對數(shù)據(jù)失去控制，不可信的云服務(wù)器可能會未經(jīng)授權(quán)訪問用戶敏感信息，用戶的數(shù)據(jù)隱私受到極大威脅。為了解決數(shù)據(jù)隱私安全問題，基于密文策略屬性加密(Ciphertext-Policy Attributebased Encryption，CP-ABE)的提出實(shí)現(xiàn)了細(xì)粒度的訪問控制。近幾年，研究者們提出諸多基于屬性加密的訪問控制方案。基于

2、單授權(quán)中心的訪問控制方案一旦中心授權(quán)服務(wù)器被攻破，用戶隱私極易泄露，同時系統(tǒng)存儲及計(jì)算資源消耗較大，針對以上問題，本文主要研究基于屬性加密的多授權(quán)中心訪問控制方案。
　　論文主要工作如下:
　　(1)為了降低系統(tǒng)存儲空間及計(jì)算資源，分散單授權(quán)中心安全風(fēng)險，提出了基于密文策略屬性加密的多授權(quán)中心訪問控制方案。多個授權(quán)中心無法知道用戶完整信息，各授權(quán)中心只進(jìn)行部分密鑰的計(jì)算。該方案對用戶屬性集進(jìn)行最小化分組，引入屬性管理器對屬性

3、分組進(jìn)行分配，同時將部分解密交給云服務(wù)器進(jìn)行。通過安全性分析及仿真實(shí)驗(yàn)對比，該方案減少了授權(quán)中心間的通信消耗和用戶解密的資源消耗，安全高效。
　　(2)當(dāng)用戶離開系統(tǒng)或系統(tǒng)中屬性撤銷時，如果該用戶保存的密鑰仍有效，將對系統(tǒng)中用戶數(shù)據(jù)造成威脅。針對這一問題，提出了支持用戶層級和屬性層級權(quán)限撤銷的多授權(quán)中心訪問控制方案。該方案引入密鑰加密密鑰(Key Encryption Key，KEK)樹，與最小化屬性分組相結(jié)合將單個屬性群擴(kuò)展到多

4、個互不相交的屬性群;通過KEK樹對用戶私鑰進(jìn)行更新，不會影響系統(tǒng)中未撤銷用戶;構(gòu)建用戶撤銷列表，只有不在該撤銷列表中的用戶才可以對隱私文件進(jìn)行訪問;通過安全性證明，方案具有抗合謀攻擊和抗選擇明文攻擊安全;實(shí)驗(yàn)表明該方案降低了在撤銷過程中的密文和密鑰的更新時間。
　　(3)使用云計(jì)算用戶逐漸增多，勢必會增大授權(quán)中心的計(jì)算壓力;同時為實(shí)現(xiàn)更細(xì)粒度的訪問控制方案，提出了支持可控授權(quán)的多授權(quán)中心訪問控制方案。構(gòu)造用戶關(guān)系網(wǎng)將系統(tǒng)中的用戶連