《ab-accs算法修改》由会员分享,可在线阅读,更多相关《ab-accs算法修改(24页珍藏版)》请在金锄头文库上搜索。
1、1.简介,用户并不能完全信任云存储服务提供商,从而需要对数据加密以保证数据的机密性。 目前已有的基于密文的访问控制技术中,数据属主(Owner)需要为每一个用户维护和发放数据密钥,这样在用户数目众多的情况下,Owner端会成为应用的瓶颈 本文的提出新的访问控制方法AB-ACCS,其核心思想是采用基于密文属性的加密算法为用户私钥设置属性,为数据密文设置属性条件,通过私钥属性和密文属性的匹配关系确定解密能力,2.安全假定,本节描述AB-ACCS的基本安全假定,这些假定是设计整个方案的出发点。 1. 不可信服务器 :假设CSP是不可信的,数据明文不能出现在CSP中 2.对用户的透明性:加密机制应对用
2、户透明,即尽量少地让用户涉及密钥生成、密钥发布等事务。 3. 懒惰重加密:在权限撤销时并不进行重新加密,而直到该文件内容改变时才进行重新加密,3.ACCS方法,3.1 读写权限控制: 读写数据是云存储系统的基本需求,而简单地将数据使用一个密钥K(data)加密无法区分读写权限。为了实现读写权限控制,每份数据除了需要密钥K(data)用于加密之外,还需要一个公私钥对K(sign)K(verify):K(sign)授予写者,用于对加密后的数据进行签名;K(verify)授予读者,用于对签名结果进行验证。ACCS将采用上述方法实现读写(RW)和只读(RO)2种用户权限的区分。,Grantee的每一个
3、元数据项都对应于一个有权访问F的用户,例如A具有F的读写权限,则属主使用A的公钥K(A pub)加密A中的K(data),K(sign),K(verify),并存储在元数据项GranteeA中。 保证元数据的真实性,Owner还需要对每个Grantee项使用自己的私钥K(O priv),进行签名。显然地,数据属主Owner默认具有F的读写权限,即Grantee中默认存在元数据项GranteeO。,3.3 ACCS:数据读写,3.4 ACCS:访问控制,以下以数据属主O授权读写文件F的权限为例:,4.AB-ACCS方法,ACCS方法中,数据主需要为每个有访问权限的用户储存一个元数据项,众多的元数
4、据项给数据主带来巨大的存储,更新,检索代价。 本文的主要贡献:提出了AB-ACCS方法,解决了上述元数据项过多的问题。,4.1 基于密文属性的加密,CP-ABE的基本思想是将用户私钥关联到一组属性,而将数据密文关联到一组属性判断条件,若用户私钥的属性满足属性判断条件,则用户具有解密该数据的能力。 CP-ABE算法的主要内容如下: 定义1,属性。设P=P(1),P(2),P(n)为所有属性的集合,则每个用户的属性A是P的一个非空子集,A包含于P(1),P(2),P(n)。 例如我们定义属性的全集为经理,雇员,市场部,IT部,武汉,北京,一个用户甲的属性A可以为经理,IT部,武汉)。 定义2,访问
5、结构:访问结构T是全集P(1),P(2),P(n)的一个非空子集。即T包含于2的P(1),P(2),P(n)次方。T代表了一个属性判断条件:在T中的属性集合称为授权集,不在T中的属性集合称为非授权集。 例如可以定义一个访问结构T代表属性集“北京的经理或者市场部经理”,显然用户甲的属性A是T的非授权集,定义3,访问结构树。 访问结构树用于描述一个访问结构。树的每个叶节点代表一个属性项,而每个内部节点代表一个关系函数,关系函数可以是AND,OR,N of M门限等。如图3所示,由于上述优良特性,CP-ABE可以用于我们的密文访问控制场景中,但是CP-ABE属于非对称加密算法 效率过低难以直接用于加
6、密大量数据 所以我们需要采用ACCS的基本结构 先使用对称密钥Kdata来对数据加密再使用CP-ABE加密Kdata 以保证Kdata只能被合法用户访问。,可信介质、元数据表Grantee的概念仍然与ACCS的设计相同;不同之处是表Grantee现在只具有2个元数据项GranteeRW,GranteeRO,分别代表对F具有读写权限的访问结构T(RW)和只读权限的访问结构T(RO)。,AB-ACCS的主要贡献在于:将可信空间S的元数据项(grantee)压缩至2个,通过owner对用户的属性赋值,来确定各个用户的权限。减少了元数据项,5.实验及分析,5.1 实验环境 : 我们的实验设备为Inte
7、l Xeon 2.4 GHz,2 GB内存,操作系 统为Windows Server 2003,实验环境是构造于Vmware Workstation 6.5.1上的Red Hat Enterprise 5,分配有1 GB 内存,实验使用128 bit AES密钥、1 024 bit RSA密钥 5.2 实验结果:实验主要针对用户读写数据的时间代价、数 据属主进行权限管理的时间代价、元数据的存储代价进行分 析。,学习动物精神,11、机智应变的猴子:工作的流程有时往往是一成不变的,新人的优势在于不了解既有的做法,而能创造出新的创意与点子。一味 地接受工作的交付, 只能学到工作方法 的皮毛,能思考应
8、 变的人,才会学到 方法的精髓。,学习动物精神,12、善解人意的海豚:常常问自己:我是主管该怎么办才能有助于更好的处理事情的方法。在工作上善解人意, 会减轻主管、共 事者的负担,也 让你更具人缘。,谢谢大家!,学习动物精神,11、机智应变的猴子:工作的流程有时往往是一成不变的,新人的优势在于不了解既有的做法,而能创造出新的创意与点子。一味 地接受工作的交付, 只能学到工作方法 的皮毛,能思考应 变的人,才会学到 方法的精髓。,学习动物精神,12、善解人意的海豚:常常问自己:我是主管该怎么办才能有助于更好的处理事情的方法。在工作上善解人意, 会减轻主管、共 事者的负担,也 让你更具人缘。,谢谢大家!,
