AB-ACCS算法修改.ppt

1.简介 用户并不能完全信任云存储服务提供商，从而需要对数据加密以保证数据的机密性。 目前已有的基于密文的访问控制技术中，数据属主(Owner)需要为每一个用户维护和发放数据密钥，这样在用户数目众多的情况下，Owner端会成为应用的瓶颈 本文的提出新的访问控制方法AB-ACCS，其核心思想是采用基于密文属性的加密算法为用户私钥设置属性，为数据密文设置属性条件，通过私钥属性和密文属性的匹配关系确定解密能力 2.安全假定 本节描述AB-ACCS的基本安全假定，这些假定是设计整个方案的出发点。 1. 不可信服务器 ：假设CSP是不可信的，数据明文不能出现在CSP中 2.对用户的透明性：加密机制应对用户透明，即尽量少地让用户涉及密钥生成、密钥发布等事务。 3. 懒惰重加密：在权限撤销时并不进行重新加密，而直到该文件内容改变时才进行重新加密 3.ACCS方法 3.1 读写权限控制: 读写数据是云存储系统的基本需求，而简单地将数据使用一个密钥K(data)加密无法区分读写权限。为了实现读写权限控制，每份数据除了需要密钥K(data)用于加密之外，还需要一个公私钥对K(sign)\K(verify)：K(sign)授予写者，用于对加密后的数据进行签名；K(verify)授予读者，用于对签名结果进行验证。ACCS将采用上述方法实现读写(RW)和只读(RO)2种用户权限的区分。 Grantee[]的每一个元数据项都对应于一个有权访问F的用户，例如A具有F的读写权限，则属主使用A的公钥K(A pub)加密A中的K(data)，K(sign)，K(verify)，并存储在元数据项Grantee[A]中。 保证元数据的真实性，Owner还需要对每个Grantee[]项使用自己的私钥K(O priv)，进行签名。显然地，数据属主Owner默认具有F的读写权限，即Grantee[]中默认存在元数据项Grantee[O]。 3.3 ACCS：数据读写 3.4 ACCS：访问控制 以下以数据属主O授权读写文件F的权限为例： 4.AB-ACCS方法 ACCS方法中，数据主需要为每个有访问权限的用户储存一个元数据项，众多的元数据项给数据主带来巨大的存储，更新，检索代价。 本文的主要贡献：提出了AB-ACCS方法，解决了上述元数据项过多的问题。 4.1 基于密文属性的加密 CP-ABE的基本思想是将用户私钥关联到一组属性，而将数据密文关联到一组属性判断条件，若用户私钥的属性满足属性判断条件，则用户具有解密该数据的能力。 CP-ABE算法的主要内容如下： 定义1，属性。设P={P(1)，P(2)，?，P(n)}为所有属性的集合，则每个用户的属性A是P的一个非空子集，A包含于{P(1)，P(2)，?，P(n)}。 例如我们定义属性的全集为{经理，雇员，市场部，IT部，武汉，北京}，一个用户甲的属性A可以为{经理，IT部，武汉)。 定义2，访问结构：访问结构T是全集{P(1)，P(2)，?，P(n)}的一个非空子集。即T包含于2的{P(1)，P(2)，?，P(n)}次方\{φ}。T代表了一个属性判断条件：在T中的属性集合称为授权集，不在T中的属性集合称为非授权集。 例如可以定义一个访问结构T代表属性集“北京的经理或者市场部经理”，显然用户甲的属性A是T的非授权集 定义3，访问结构树。 访问结构树用于描述一个访问结构。树的每个叶节点代表一个属性项，而每个内部节点代表一个关系函数，关系函数可以是AND，OR，N of M门限等。如图3所示 5.实验及分析 5.1 实验环境 ： 我们的实验设备为Intel Xeon 2.4 GHz，2 GB内存，操作系 统为Windows Server 2003，实验环境是构造于Vmware Workstation 6.5.1上的Red Hat Enterprise 5，分配有1 GB 内存，实验使用128 bit AES密钥、1 024 bit RSA密钥 5.2 实验结果：实验主要针对用户读写数据的时间代价、数 据属主进行权限管理的时间代价、元数据的存储代价进行分 析。 * 姆碰刮虹绣构栓氮丙恃衣鞘赋炮所荒昨猩桂伍磕鹃邮鼻条特悼刊嫂衰辙豺AB-ACCS算法修改AB-ACCS算法修改 硫洪恒映敷聪邦脐淡与广惯霓檄朵彦嘉舰逗怠靶抗孵殿碰造魏射荣黑真蓖AB-ACCS算法修改AB-ACCS算法修改 迸费糜润尊捂件萝柠雀校芝亿乐耙不瞒胳疼浸迹序敏累帝贷惦省喇黍丹姨AB-ACCS算法修改AB-ACCS算法修改 邢浩线贼荣针釜披戈疗莲掂捍空滞液读病取烟说接荫暇氢事撬便矩抵宦辕AB-ACCS算法修改AB-ACCS算法修改 袜闰苍酱拯檀钨衅困止行隋剂桑一防怀媳棍亥舅鳞皖甄五兜哭蕉