基于屬性基加密的細(xì)粒度訪問(wèn)控制機(jī)制研究.pdf

1、數(shù)據(jù)外包能減少數(shù)據(jù)所有者的成本。然而，當(dāng)數(shù)據(jù)被存儲(chǔ)在遠(yuǎn)程服務(wù)器上時(shí)，數(shù)據(jù)所有者會(huì)喪失對(duì)其敏感數(shù)據(jù)的控制，不可信方可能訪問(wèn)這些敏感數(shù)據(jù)。傳統(tǒng)的方法使用完全可信的服務(wù)器來(lái)存儲(chǔ)和負(fù)責(zé)對(duì)敏感數(shù)據(jù)的訪問(wèn)控制，如果用戶(hù)擁有某些證書(shū)，滿(mǎn)足訪問(wèn)控制策略，他便可以訪問(wèn)敏感數(shù)據(jù)。然而，一旦存儲(chǔ)敏感數(shù)據(jù)的服務(wù)器受到威脅，數(shù)據(jù)的機(jī)密性也會(huì)受到威脅。因此，對(duì)服務(wù)器中存儲(chǔ)的敏感數(shù)據(jù)需要以加密形式存儲(chǔ)，使得即使服務(wù)器受到威脅，數(shù)據(jù)的機(jī)密性也得以保證。然而，傳統(tǒng)的加密

2、方法存在如下缺點(diǎn)：(1).加密是一個(gè)用戶(hù)和另一個(gè)用戶(hù)秘密地共享數(shù)據(jù)的方式；(2).對(duì)加密數(shù)據(jù)的訪問(wèn)是要么全訪問(wèn)，要么全不訪問(wèn)。也就是說(shuō)，它們不能用來(lái)處理對(duì)加密數(shù)據(jù)的富有表達(dá)力的訪問(wèn)控制。
　　在許多應(yīng)用中，比如云存儲(chǔ)系統(tǒng)中，數(shù)據(jù)所有者可能希望根據(jù)對(duì)接收者屬性的策略來(lái)選擇性地共享敏感數(shù)據(jù)。不是每次為各方加密數(shù)據(jù)，而是一次為所有各方加密數(shù)據(jù)。近年來(lái)提出的屬性基加密方案能很好地滿(mǎn)足這些需求。屬性基加密是一種新穎的公鑰加密范例，它允許用戶(hù)

3、基于屬性加密和解密消息，而且它富有表達(dá)力，能對(duì)加密數(shù)據(jù)實(shí)施細(xì)粒度的訪問(wèn)控制。本文進(jìn)行了基于屬性基加密的細(xì)粒度訪問(wèn)控制機(jī)制研究，其主要研究?jī)?nèi)容和創(chuàng)新點(diǎn)包括：
　　1.提出了黑盒可追責(zé)密文策略屬性基加密方案
　　既存的屬性基加密方案需要一個(gè)可信的中央機(jī)構(gòu)。此中央機(jī)構(gòu)擁有方案的主秘密，能計(jì)算與用戶(hù)的任意屬性相關(guān)的私鑰，并能解密對(duì)任意用戶(hù)加密的任意密文，生成和分發(fā)與屬性相關(guān)的私鑰給其他用戶(hù)。因此，它必須是絕對(duì)可信的。如果中央機(jī)構(gòu)從事

4、惡意活動(dòng)，它將不會(huì)被抓住和起訴。也就是說(shuō)，屬性基加密方案中仍然存在密鑰托管問(wèn)題。如果這個(gè)問(wèn)題沒(méi)被解決，將會(huì)影響屬性基加密方案的采納。本文提出了黑盒可追責(zé)密文策略屬性基加密方案，在這個(gè)方案中，一個(gè)安全的私鑰生成協(xié)議被構(gòu)造，法官能判斷譯碼盒是由惡意的用戶(hù)創(chuàng)建還是由惡意的中央機(jī)構(gòu)創(chuàng)建。本文方案減輕了對(duì)中央機(jī)構(gòu)的信任，使得中央機(jī)構(gòu)被指控濫用這種信任的可能性被減少，從而使得屬性基加密方案能很好地對(duì)加密數(shù)據(jù)實(shí)施細(xì)粒度的訪問(wèn)控制。
　　2.提出

5、了密文策略屬性基代理重加密方案
　　在屬性基加密方案中，用戶(hù)的私鑰與屬性集相關(guān)，敏感數(shù)據(jù)在對(duì)屬性的訪問(wèn)結(jié)構(gòu)下被加密成密文，當(dāng)且僅當(dāng)其屬性滿(mǎn)足與密文相關(guān)的訪問(wèn)結(jié)構(gòu)的用戶(hù)才能解密密文。然而，在加密數(shù)據(jù)不被解密的前提下，既存的屬性基加密方案并不支持對(duì)屬性基加密方案中訪問(wèn)結(jié)構(gòu)的更新。本文提出了密文策略屬性基代理重加密方案，它允許在不解密密文的前提下，通過(guò)一個(gè)誠(chéng)實(shí)而又好奇的代理如云服務(wù)器轉(zhuǎn)換與初始密文相關(guān)的訪問(wèn)結(jié)構(gòu)，此代理在另一個(gè)訪問(wèn)結(jié)構(gòu)下

6、重加密最初的密文成重加密密文，使得其屬性滿(mǎn)足新訪問(wèn)結(jié)構(gòu)的用戶(hù)能解密重加密的密文。所提方案較好地解決了在采用屬性基加密方案對(duì)加密數(shù)據(jù)實(shí)施細(xì)粒度訪問(wèn)控制時(shí)，屬性基加密方案中訪問(wèn)結(jié)構(gòu)頻繁地發(fā)生變化的問(wèn)題。
　　3.提出了基于屬性基加密的具有細(xì)粒度訪問(wèn)控制的不經(jīng)意傳輸方案
　　在外包系統(tǒng)中，盡管加密技術(shù)被用來(lái)保護(hù)外包數(shù)據(jù)，但對(duì)像誰(shuí)訪問(wèn)了外包數(shù)據(jù)以及他怎樣訪問(wèn)這些數(shù)據(jù)的這類(lèi)型的敏感數(shù)據(jù)，服務(wù)提供商仍能收集它們。為了保護(hù)用戶(hù)的隱私和讓服

7、務(wù)提供商實(shí)施訪問(wèn)控制，本文提出了基于屬性基加密的具有細(xì)粒度訪問(wèn)控制的不經(jīng)意傳輸方案，其中，數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)用訪問(wèn)控制策略來(lái)保護(hù)，僅有其證書(shū)滿(mǎn)足訪問(wèn)策略的用戶(hù)才能訪問(wèn)這些數(shù)據(jù)，而服務(wù)提供商不會(huì)了解到用戶(hù)訪問(wèn)了哪些數(shù)據(jù)或用戶(hù)的證書(shū)。本文方案具有如下優(yōu)勢(shì)：第一、本文方案維護(hù)了不經(jīng)意傳輸?shù)碾[私特性，提供了細(xì)粒度的訪問(wèn)控制機(jī)制。第二、它允許直接支持AND門(mén)，OR門(mén)和Threshold的富有表達(dá)力的訪問(wèn)控制策略。第三、在本文方案中的通信復(fù)雜度與

8、用戶(hù)訪問(wèn)的記錄數(shù)成常量關(guān)系。第四、本文方案在素?cái)?shù)階環(huán)境下被構(gòu)造。
　　4.提出了具有外包解密功能的基于素?cái)?shù)階群的內(nèi)積謂詞加密方案
　　在謂詞加密方案——屬性隱藏的屬性基加密方案中，密文既隱藏明文消息，又隱藏屬性。謂詞加密對(duì)加密數(shù)據(jù)實(shí)施細(xì)粒度的訪問(wèn)控制和對(duì)加密數(shù)據(jù)進(jìn)行搜索。然而，謂詞加密在效率上存在的主要缺點(diǎn)是密文的大小和解密它的時(shí)間會(huì)隨著謂詞的復(fù)雜性而增長(zhǎng)。本文提出了具有外包解密功能的基于素?cái)?shù)階群的內(nèi)積謂詞加密方案，它大大地