《基于属性加密的数据访问控制方法研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
学校代号10731学号121081104029分类号TN918密级公开博士学位论文基于属性加密的数据访问控制方法研究学位申请人姓名刘雪艳培养单位电气工程与信息工程学院导师姓名及职称李战明教授学科专业模式识别与智能系统研究方向安全访问控制论文提交日期2016年9月26日 学校代号:10731学号:121081104029密级:公开兰州理工大学博士学位论文基于属性加密的数据访问控制方法研究学位申请人姓名:刘雪艳导师姓名及职称:李战明教授培养单位:电气工程与信息工程学院专业名称:模式识别与智能系统论文提交日期:2016年9月26日论文答辩日期:2016年12月6日答辩委员会主席:万毅(教授) StudyonAttribute-basedDataAccessControlMethodsLIUXueyanB.E.(NorthWestNormalUniversity)2001M.S.(NorthWestNormalUniversity)2004AdissertationsubmittedinpartialsatisfactionoftheRequirementsforthedegreeofDoctorofEngineeringinPatternrecognitionandIntelligentsystemintheGraduateSchoolofLanzhouUniversityofTechnologySupervisorProfessorLIZhanmingSeptember,2016 、<一一^^■■i^^兰州理工大学学位论文原创性声明本人郑重声明:所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加1^标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体。,均已在文中明确方式标明本人完全意识到本声明的法律后果由本人承担。令曰期决/,/2?作者签名:;作2月曰学位论文版权使用授权书本学位论文作者完全了解学校有关保留,同意学、使用学位论文的规定校保留并向国家有关部n或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权兰州理工大学可将本学位论文的全部或部分内容编入有关数据库进行检索,可采用影印、缩印或扫描等复制手段保存和汇编本学位论文。'本学位论文属于1、保密□,在年解密后适用本授权书。。2、不保密""(请在!^上相应方框内打V)作者签名日期:如/许,}月。日w'/I言导师签名:日期;6年月么日.i?I-j- 博士学位论文目录摘要...........................................................................................................................IABSTRAC......................................................................................................................III插图索引........................................................................................................................VI附表索引.......................................................................................................................VII主要数学符号说明表..................................................................................................VIII第1章绪论..............................................................................................................11.1研究背景..............................................................................................................11.2访问控制技术研究现状及进展............................................................................41.2.1基于角色的访问控制研究进展......................................................................51.2.2基于属性的访问控制研究进展......................................................................71.2.3研究进展分析和问题的提出........................................................................151.3论文的研究思路和研究内容..............................................................................191.3.1研究思路.......................................................................................................191.3.2研究内容.......................................................................................................191.4论文的组织结构与安排......................................................................................21第2章基础理论和知识............................................................................................232.1可证明安全理论..................................................................................................232.2双线性对及困难问题假设..................................................................................242.3属性加密方案的形式化定义和安全模型..........................................................262.3.1属性加密方案的形式化定义.......................................................................262.3.2属性加密方案的安全模型...........................................................................262.4访问结构..............................................................................................................272.4.1(,)tn门限访问结构.....................................................................................272.4.2访问树结构...................................................................................................282.4.3与门访问结构...............................................................................................282.4.4线性访问结构(LSSS)...................................................................................292.5本章小结..............................................................................................................29第3章具有权限区分的多属性权威访问控制方案................................................303.1引言......................................................................................................................30 基于属性加密的数据访问控制方法研究3.2相关定义及安全模型..........................................................................................323.2.1安全性要求...................................................................................................323.2.2形式化定义...................................................................................................323.2.3安全模型.......................................................................................................333.2.4BLS签名.......................................................................................................343.3具有权限区分的多属性权威访问控制方案(VMA-ABAC-DP)......................343.3.1vMA-ABAC-DP方案描述............................................................................343.3.2vMA-ABAC-DP方案....................................................................................353.4VMA-ABAC-DP方案的正确性验证和安全性证明..........................................363.4.1正确性验证....................................................................................................363.4.2安全性证明....................................................................................................373.5VMA-ABAC-DP方案的讨论和比较..................................................................393.5.1vMA-ABAC-DP方案分析............................................................................393.5.2vMA-ABAC-DP方案比较............................................................................413.5.3方案讨论........................................................................................................423.6本章小结..............................................................................................................43第4章面向用户组可验证的基于属性的访问控制................................................444.1引言......................................................................................................................444.2相关定义及安全模型..........................................................................................454.2.1面向用户组可验证的基于属性的访问控制(GO-ABACv)......................454.2.2安全模型GO-ABACv..................................................................................454.2.3安全性要求...................................................................................................464.2.4Schoenmakers可验证的秘密共享机制........................................................464.3面向用户组可验证的基于属性的访问控制方案(GO-ABACV)......................484.3.1GO-ABACv方案描述...................................................................................484.3.2GO-ABACv方案...........................................................................................494.4GO-ABACV方案的正确性分析和安全性证明..................................................504.4.1正确性验证...................................................................................................504.4.2安全性证明...................................................................................................504.5方案讨论和分析..................................................................................................534.5.1方案讨论.......................................................................................................534.5.2比较分析.......................................................................................................54 博士学位论文4.6本章小结..............................................................................................................55第5章云存储中完全隐藏访问策略的访问控制....................................................565.1引言......................................................................................................................565.2相关定义和安全模型...........................................................................................585.2.1相关工作.......................................................................................................585.2.2代理重加密(PRE).........................................................................................585.2.3访问结构.......................................................................................................595.2.4FHP-ABAC-CS方案形式化定义.................................................................595.2.5FHP-ABAC-CS方案安全模型.....................................................................605.2.6安全性要求...................................................................................................625.3云存储中完全隐藏访问策略的基于属性的访问控制方案...............................625.3.1FHP-ABAC-CS模型.....................................................................................625.3.2FHP-ABAC-CS方案.....................................................................................635.4安全性证明...........................................................................................................655.4.1基本方案安全性证明...................................................................................655.4.2完整方案的证明............................................................................................695.5方案分析和比较..................................................................................................725.5.1安全性分析...................................................................................................725.5.2性能分析和比较...........................................................................................735.6本章小结..............................................................................................................74第6章属性访问控制在智能配电网信息系统中的应用........................................766.1引言......................................................................................................................766.2相关定义和安全模型..........................................................................................786.2.1相关工作.......................................................................................................786.2.2安全性要求...................................................................................................796.2.3访问结构.......................................................................................................796.2.4命令反馈阶段的安全模型...........................................................................806.3数据聚合和访问控制方案..................................................................................806.3.1系统模型.......................................................................................................806.3.2方案构造.......................................................................................................816.4安全性分析...........................................................................................................846.4.1机密性保护...................................................................................................84 基于属性加密的数据访问控制方法研究6.4.2认证性和完整性............................................................................................866.5性能评价...............................................................................................................876.5.1计算开销........................................................................................................886.5.2通信开销.......................................................................................................906.5.3命令反馈访问控制过程分析.......................................................................916.6本章小结..............................................................................................................91第7章总结与展望....................................................................................................927.1本文工作总结......................................................................................................927.2研究不足与展望..................................................................................................93参考文献........................................................................................................................95致谢.........................................................................................................................108附录A攻读学位期间所发表的学术论文目录........................................................109附录B攻读学位期间参与的科研项目.....................................................................110 博士学位论文摘要随着云计算、物联网、大数据等新型计算技术的兴起与发展,全球信息化引发了世界范围的深刻变化,国民经济、社会发展、人民生活等各个层面对信息技术的依赖达到了前所未有的程度。同时,互联网的开放性和信息共享给全球信息安全带来了严重威胁,信息安全上升为国家安全主要内容之一。访问控制是保护数据机密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一。然而,网络规模不断扩大,分布式网络环境中用户量和数据量剧增,用户对数据、个人隐私需求和权限粒度需求不断提升,迫切需要实现对大规模用户的细粒度动态授权;安全需求方式已经由通信双方均是单用户向至少有一方是多用户的多方通信模式转变,由“同域”通信转为“跨域”通信,传统访问控制面临新的挑战。近年来,国内外学者广泛开展了基于属性加密访问控制方法研究,并取得了大量研究成果。但是,诸如多样化权限问题、面向用户组的访问控制问题、隐藏访问控制策略问题等还亟待进一步研究。针对上述问题,本文开展了基于属性加密的访问控制方法研究,主要研究工作包括:1.针对用户多样化权限需求问题,设计了一个具有用户权限区分的多属性权威的访问控制方案。重点解决了以下问题:(1)由于单一用户权限无法满足当前用户多样化权限需求,提供了不同用户权限,使得拥有不同属性集的用户获得不同的权限;(2)采用一个中心权威和多个属性权威结合的方式,解决单属性权威的属性密码系统无法满足大规模分布式应用对不同机构协作的需求,且容易受到集中攻击问题;(3)数据所有者在生成密文的同时,产生了一个短签名,该签名确保了数据的完整性和数据源的真实性;(4)在选择属性集安全模型下证明了方案的安全性,且与同类方案对比得出增加的信息和计算量更少。2.针对用户权限过度集中产生滥用问题,提出一个面向用户组可验证的访问控制方案和安全模型,并证明了方案的安全性。该方案主要功能为:(1)方案中引入用户组,不仅分散了用户权限,而且每个参与者只需存储少量信息;(2)利用Schoenmaker可验证秘密共享机制,建立对中心权威CA的非交互的监督机制,减少对中心权威的依赖性,所以该方案中可以采用半可信或不可信的中心权威;(3)每个参与者通过检查同一个用户组里其他参与者提供的信息,可以验证合作用户的诚实性;(4)将本方案与现有方案进行比较得出,本方案的用户权限管理更细化,验证属性钥时的计算量更少。3.针对访问策略泄密问题,设计了一个完全隐藏访问策略的加密方案,进而构造了一个云存储中完全隐藏访问策略的访问控制机制,实现了对存放在半可信I 基于属性加密的数据访问控制方法研究云端数据的安全性和机密性保护。具体实现了:(1)对云存储服务提供者CSP完全隐藏了访问策略,解决了云存储环境中特权用户导致的数据机密性和完整性受威胁问题;(2)对所有用户完全隐藏了访问策略,即使一个合法用户对加密的共享数据成功解密,他也不能确定他遵守的访问策略;(3)增加了用户属性变更功能,在方案中引入代理重加密机制,CSP在不知道访问策略和存储数据内容的前提下独自完成重加密任务,避免了数据所有者重新加密的负担;(4)对方案的安全性进行了证明,且通过与同类方案比较得出,本方案中的访问策略隐藏的更彻底。4.以智能配电网作为典型应用场景,设计了一个智能配电网通信系统数据聚合和访问控制模型,将基于属性的访问控制应用于智能配电网通信环境。具体完成了以下工作:(1)针对智能配电网中的海量数据收集工作,采用Paillier同态机制收集多维数据且保证数据的机密性,而签名实现批验证,使得对计算的个数从3t降到3;(2)采用基于属性的访问控制方法加密反馈命令,避免了数量庞大的智能终端获取相同命令并产生相应安全攻击的问题;(3)在数据收集和命令反馈阶段都提供了签名,保证了数据的完整性和资源认证;(4)通过与已有方案在计算量、通信量、功能等方面进行分析和仿真,实验表明在聚合数据种类比较少、智能终端数目庞大、而且需要分类授权的情况下,本方案在计算开销方面和反馈命令访问控制方面具有明显优势。关键词:云存储;访问控制;安全与隐私;属性加密;可证明安全II 博士学位论文AbstractWiththerisinganddevelopingofnewcomputingtechnologiessuchascloudcomputing,InternetofThingsandbigdata,theglobalinformatizationhasbroughtaprofoundchangearoundtheworld,makingnationaleconomy,socialdevelopmentandpeople'slivingmoredependentoninformationtechnologyatanunprecedentedlevel.Atthesametime,becausetheopennessandinformationsharingofInternetisbringingseriousthreattoglobalinformationsecurity,informationsecurityrisesasoneofthemaincontentsofnationalsecurity.Beingoneofthekeystrategiesforprotectionofnetworksafetyandresources,accesscontrolcanprotectconfidentialityandintegrityofdatabyallowingorrestrictinguser’saccessrights.However,withcontinualexpandingofnetworkscaleandincreasinguseranddataamountindistributednetworkenvironment,userdemandfordataandprivacyandpermissiongranularityrequirementarebothrising,indicatinganurgentneedtoachievetolarge-scaleuserfine-graineddynamicauthorization,thesecurityrequirementshavetransformedfromasingleuseratbothsidesofcommunicationtomultipleusersatonesideoftwocommunicationsidesatleast,andthe“localdomain”communicationpatternhastransformedto“crossdomain”communicationpattern,traditionalaccesscontroltechnologyisfacingnewchallenges.Inrecentyears,domesticandforeignscholarshavecarriedoutextensiveresearchonattribute-basedaccesscontrolmethodsandobtainedalotofresearchresults.However,problemssuchasdiversepermissions,usergrouporientedaccesscontrolandhiddenaccesscontrolpolicystillneedtobefurtherstudied.Inviewofaboveproblems,thisdissertationhascarriedouttheresearchonattribute-basedaccesscontrolmethods,andthemainresearchworkincludes:1.Aimingattheproblemthatsingleuserpermissioncannotmeetthediverseandcomplexuserrequirements,averifiablemulti-authorityattribute-basedaccesscontrolschemewithdifferentpermissionsisproposed.Theschememainlyfocusesonthefollowingissues:(1)Sincethesingleuserpermissioncannotmeetthediverserightrequirementsofcurrentusers,theschemeprovidesdifferentuserpermissionsthatenableuserswithdifferentattributesetcangetdifferentpermissions.(2)Thecombinationofacentralauthorityandanumberofattributeauthoritiesisusedtosolveproblemsthatsingleattributeauthoritycannotmeetthelarge-scaledistributedapplicationsondifferentinstitutionalcooperationdemandandisvulnerabletoattack.(3)Whilegeneratingciphertext,dataownerproducesashortsignaturetoensuretheIII 基于属性加密的数据访问控制方法研究integrityofdataandauthenticityofdatasource.(4)Thesecurityoftheschemeisprovedunderselective-att-setmodelandcomparedwithsimilarschemesintermofincreasedinformationandcomputation.2.Inviewoftheproblemofuserpermissionabusing,ausergrouporientedverifiableattribute-basedaccesscontrolschemeisconstructed.Accordingtocharacteristicsofthescheme,anappropriatesecuritymodelisgivenandsecurityoftheschemeisprovedunderthismodel.Themainadvantagesofthisschemeinclude:(1)Inthisschemethedecryptorisausergroupwhichspreadstheuserpermissions,andeachparticipantonlystoresasmallamountofdata.(2)TheSchoenmakerverifiablesecretsharingmechanismisintroducedintheschemetoestablishasupervisionmechanismonthecentralauthority(CA),whichreducesthedependenceonthecentralauthorityandallowssemi-trustedoruntrustedCAbeinoursystem.(3)Eachparticipantcanverifythehonestyofotherparticipatingusersinonegroup.(4)Comparedwiththeexistingscheme,themanagementofuserpermissionismorerefined,andthecalculationcosttoverifytheattributekeyisless.3.Accordingtoaccesspolicyleakproblem,anattribute-basedencryptionschemewithfullyhiddenaccesspolicyispresented,andthenanaccesscontrolschemewithfullyhiddenaccesspolicyforcloudstorageisconstructed,whichensurestheconfidentialityandintegrityofstoreddatainsemi-trustcloudstorage.Theschememainlyaddressesthefollowingissues:(1)Accesspolicyiscompletelyhiddenforthecloudserverprovider(CSP)tosolvetheproblemofprivilegedusersincloudenvironment.(2)Accesspolicyiscompletelyhiddenforallusers,evenifanauthorizeduserdecryptedsuccessfully,hecouldnotobtaintheaccesspolicyhecompliedwith.(3)Asattributesofuserchange,theproxyre-encryptionschemeisbroughtinthescheme,theCSPalonefinishesthere-encryptiontaskswithoutknowingtheshareddatacontentandtheaccesspolicy.(4)Thesecurityofthetwoschemesisproved,andbycomparingwithotherschemes,theaccesspolicyishiddenmorethoroughlyinourscheme.4.Studyingthecommunicationsystemofsmartdistributiongrid,adataaggregationandaccesscontrolframeworkofsmartdistributiongridisdesigned,andtheattribute-basedaccesscontrolmechanismisappliedinit.Themainworksareasfollows:(1)Inordertocollectthemassivedatainsmartdistributiongrid,Paillierhomomorphicmechanismsisusedtocollectmultidimensionaldataandensuredataconfidentiality,andthebatchverificationofthesignaturemakesthenumberofpairingcomputationbeconstant3.(2)Attribute-basedaccesscontrolmethodisusedtoachieveone-to-manycommunicationandeffectiveuseraccesscontrolinthefeedbackphase,onlyauthorizedIV 博士学位论文userswhomeettheattributerequirementsofaccesspolicycanobtainthefeedbackcommand,whichavoidsthelargenumberofsmartterminalusersgetthesamecommandandproducecorrespondingsecurityattacks.(3)Duringthedatacollectionandfeedbackcommandstage,signaturesareprovidedtoensuretheintegrityofdataandtheresourceauthentication.(4)Analysisandsimulationareaddressedwiththeexistingschemesintermsofcomputation,communicationandfunction,theexperimentalresultsshowthatwhenthedatatypeofaggregationisrelativelyless,thenumberofterminaluserislargeandclassificationauthorizationisneeded,ourschemehasobviousadvantagesinthecomputationoverheadandfeedbackcommandaccesscontrol.Keywords:Cloudstorage,Accesscontrol,Securityandprivacy,Attribute-basedencryption,ProvablesecurityV 基于属性加密的数据访问控制方法研究插图索引图1.1安全系统的逻辑模型..................................................................................2图1.2一般的访问控制模型..................................................................................3图1.3访问控制模型分类......................................................................................5图1.4NISTRBAC2001模型关系.........................................................................7图1.5核心RBAC模型..........................................................................................7图1.6基于属性的加密机制..................................................................................8图1.7基于属性加密的非交互访问控制..............................................................9图1.8属性密码学的发展过程和研究进展........................................................10图1.9论文总体研究框架....................................................................................19图3.1基于属性的细粒度访问控制.....................................................................31图3.2具有权限区分的多属性权威访问控制模型............................................34图3.3不同属性权威个数时的信息增加量.........................................................42图4.1面向用户组的访问控制模型....................................................................48图5.1隐藏访问策略的云存储访问控制模型....................................................62图6.1智能配电网通信系统数据聚合与访问控制模型....................................81图6.2HANUser的计算时间...............................................................................89图6.3BG的计算时间...........................................................................................90图6.4CC的计算时间...........................................................................................90VI 博士学位论文附表索引表3.1符号说明..................................................................................................32表3.2增加的信息和计算花费............................................................................41表4.1功能比较....................................................................................................54表4.2通信开销比较............................................................................................54表4.3计算开销比较.............................................................................................55表5.1功能比较....................................................................................................73表5.2效率比较....................................................................................................74表6.1数据聚合过程功能比较............................................................................87表6.2命令反馈过程功能比较............................................................................88表6.3计算开销比较............................................................................................89表6.4密码运算执行时间....................................................................................89VII 基于属性加密的数据访问控制方法研究主要数学符号说明表,阶为素数q的乘法循环群12q表示大素数g表示群的生成元1Z以q为模的剩余类环ZqZ/q**ZqZq中所有对模可逆元素组成的集合,ZZq=q{0}e(?,?)双线性对运算**aZa是随机选自Z的元素Rqqab||字符串a和b的连接攻击者/敌手A模拟者B挑战者C||集合的规模或中元素的个数Pr[]A事件A发生的概率iCBi拉格朗日插值系数,CBiiBij,jimodq*任意长度的二进制串的集合{0,1}VIII 博士学位论文第1章绪论1.1研究背景随着云计算、物联网、大数据等新型计算技术的兴起与发展,全球信息化引发了世界范围的深刻变化,国民经济、社会发展、人民生活等各个层面对信息技术的依赖达到了前所未有的程度。建立全球信息共享机制,对于加强国际间的经济、科技、教育合作和文化交流具有重要作用。网络信息技术在为政府部门、企事业单位、个人提供高效的信息服务的同时,网络的开放性和共享性也带来了一些制约它们健康发展的安全隐患。近年来,国内外不断发生了影响比较大的数据泄露引起的信息安全事件,给敲响了信息安全的警钟:2014年1月,韩国发生了涉及约2000万用户的信用卡私人信息泄密事件,被泄露的客户信息多达1亿多条,单个用户信息最多有19项被泄露了,这是金融行业最大规模的一次泄密事件。2014年7月24日,黑客攻破了欧洲中央银行(EuropeanCentralBank,ECB)公开的外部网站的数据库,该行网站上1.5亿注册者的联络人和电子邮件的细节信息被窃取了,黑客利用了电子邮件、部分街道地址和电话号码等部分未加密的数据。2014年10月2日,身在南欧的黑客通过获取摩根大通银行的数十个服务器的登入权限,偷走银行客户的姓名、住址、电话号码和电子邮件地址等个人信息,涉及7600万家庭和700万小企业的相关信息遭到泄露,包括这些用户的内部银行相关信息也被泄露,这次事件牵连美国四分之一的人口。2015年10月23日,英国宽带服务提供商TalkTalk证实,约400多万用户的姓名、地址、出生日期、电话号码、电子邮箱、TalkTalk账号信息等隐私数据被泄露,甚至包括用户的信用卡和银行账号的详细信息等。2015年12月27日,乌克兰电力公司网络系统遭到黑客攻击,这是首次由黑客攻击行为导致的大规模停电事件,引起公众极大的恐慌。黑客使用了高度破坏性的恶意软件至少感染了三个地区电力部门的基础设施,导致发电设备产生故障。据统计,此次影响导致成千上万的乌克兰家庭无电可用。2015年1月5日,机锋论坛涉及2300万用户的信息遭到泄露,涉及数据总数多达4亿条,这些被泄露的信息包括用户名和邮箱,甚至加密密码。2015年4月中旬,全球最大的漏洞相应平台“补天漏洞响应平台”发布信息称:30余个省市的社保、户籍查询、疾控中心等系统存在高危漏洞,仅社保类信息安全漏洞涉及数据就达到5279.4万条,包括身份证、社保参保1 基于属性加密的数据访问控制方法研究信息、财务、薪酬、房屋等敏感信息。2015年国庆长假前夕,国家旅游局6套系统沦陷,涉及全国6000万客户、6万多旅行社账号密码、百万导游信息被泄露,攻击者可进行审核、拒签等操作。从这些信息泄露事件可以看出,信息安全问题涉及金融、医疗、电力、社保、旅游等社会的各个领域,具有攻击形式多样化、威胁复杂化、影响广泛化、后果严重性和事件突发性等特点。信息网络中的安全问题是当今世界各国信息化发展过程中所面临的的一个共同挑战,大数据环境下的信息安全问题成为当今信息安全领域研究的热点,其核心就是大型网络应用系统和大数据管理中海量复杂数据资源管理。国际标准化组织(ISO)在ISO7498-2中定义了5个层次型安全服务,即身份认证服务、访问控制服务、数据保密性服务、数据完整性服务和不可否认服务,[1]并且指出访问控制是其重要的组成部分。美国国防部也在计算机系统安全性标准[2]DepartmentofDefenseTrustedComputerSystemEvaluationCriteria(“橘皮书”)中,明确提出了访问控制是保证计算机领域数据安全的核心技术。[1]访问控制是通过某种途径显式地允许或限制用户访问能力及范围的一种方法,是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一。为了保证网络资源受控地、合法地被使用,访问控制确保只有拥有相应权限的用户才能够对信息系统中的数据进行访问、复制、修改、删除等操作,防止非法用户访问系统资源、预防合法用户越权访问。用户访问资源时必须依据自己的权限大小进行访问,不能实施超越自己权限的访问行为,因为访问控制采用最小特权原则:用户申请权限时,系统管理员根据每个用户的特点为其分配完成自身任务的最低权限,用户不会获得超越完成其工作范围的任何权力。通俗地讲,访问控制解决的是“你能做什么、你有什么样的权限”的问题。访问控制的基本目标是:防止未授权用户非法访问受保护的数据资源,也让授权用[3]户可以合理访问受保护的资源,当然这也是一个安全系统所必须具备的特性。在访问控制实施时,一般有三个步骤:(1)验证用户身份;(2)选用控制策略与管理控制策略;(3)管理非法用户或合法用户的越权操作。访问控制在安全系统中的位置如图1.1所示。图1.1安全系统的逻辑模型2 博士学位论文访问控制中包含括三个实体,见图1.2,具体描述如下:主体(Subject):该实体通常是用户或用户的某个进程等,它会发起访问请求和实施存取操作。客体(Object):该实体是主体访问的对象,一般是可以被调用的程序、进程、要存取的数据、信息、要访问的文件、系统或各种网络设施、设备等资源。安全访问策略:该实体是一套规则,用于保证和判断一个主体对客体访问的能力和范围。图1.2一般的访问控制模型访问控制作为复杂数据资源管理的核心技术,在非可信的网络环境中仍然面临许多难题,比如数据的机密性、访问权限管理、细粒度授权、异构环境的应用等。尤其在移动计算、云计算、命名数据网等新型计算模式下,网络环境呈现出异构性和多样性特征,访问控制面临新的问题:1.大数据、多用户数据访问控制问题由于网络的开放性和通信协议的安全缺陷,网上传输和存储的数据信息很容[4]易泄露和被破坏,利用加密技术可以实现计算机网络系统数据资源管理安全的访[5-6]问控制。传统的访问控制和基于角色的访问控制中,针对每一条共享数据,要[7-8]为每一位用户发放和管理相应的访问密钥。但是,在当今信息网络全球化场景下,共享数据量剧增,用户规模增大,数据访问控制要求复杂,现有权限访问控制方法不能满足大数据、多用户访问控制的要求,大数据隐私保护、大规模用户授权管理和处理并发访问成为当前访问控制面临问题。2.第三方存储导致特权用户越权访问和信息泄露问题伴随新的网络形态和数据存储模式的出现,为了解决存储资源不足问题,用户将数据迁移到第三方数据服务器,其中也包含一些机密和敏感数据。例如:云存储通过分布式文件系统技术、网格技术以及集群应用等功能,利用应用软件将网络中分散在不同区域、不同类型的存储设备集合起来协同工作,为网络中的各种用户提供存储功能和数据访问功能。由于这些网络服务有效地利用了网络中庞大的存储资源,为用户节省了大量的存储成本。但是,第三方数据服务机构并不总是完全可信的,一方面数据资源并不是完全由拥有方控制的,另一方面云服务器可以越权访问存储数据内容,数据的保密性得不到保障,这些问题致使用户不愿意将涉及核心机密的信息放到第三方数据服务器中,从而使它们的发展受到了限制。3 基于属性加密的数据访问控制方法研究3.多方通信和“跨域”通信模式访问控制问题在云计算、物联网、大数据等新型网络和数据服务模式下,网络空间安全需求方式由通信双方都是单用户方式向至少有一方是多用户方式转变,即以往的“一对一”的单方通信模式逐渐过渡为“一对多”、“多对一”、“多对多”的多方通信模式,同时由“同域”通信转为“跨域”通信,即数据拥有方和服务提供商可能在两个不同的[9]区域。因此,在新的网络形态和数据服务场景下,如何满足多用户访问、“跨域”通信的访问控制,成为当前访问控制技术应用中需要解决的问题之一。4.细粒度的授权管理需求问题随着计算机网络系统跨行业、扩平台的复杂化,大规模用户为了应对各种应用需要,对权限的需求变得多样化、更加细粒度,即用户已经不满足于获得单一的、粗糙的、千篇一律的访问权限,而是在不同时刻、不同状态、不同需要时获得不同的、细粒度的权限,细粒度权限管理对访问控制提出了新的需求。1.2访问控制技术研究现状及进展访问控制是根据预先定义的安全访问策略授予主体访问客体的某种访问权限的一种技术,通过对主体使用权限访问客体的过程进行有效控制,进而实现对受保护的系统资源的授权访问,防止非授权的访问和越权访问。20世纪70年代,访问控制的概念被提出,最初的研究目标是为了解决管理大型主机系统上共享数据[10]授权访问的问题,用于有效地防止非法用户访问系统资源和合法用户非法使用[11-12]资源,是网络安全防范和资源保护的关键策略。但随着计算机技术和应用的发展,特别是网络技术的发展,为了应对当时网络应用系统中迅速增长的访问控制需求,在很短的时间内,这些访问控制理论就被应用到了实际系统中。在将近40[13]年的发展历程中,先后出现了多种重要的访问控制技术。一般的访问控制模型,基于不同的依据可进行如图1.3的分类,则现阶段和未来网络环境中的访问控制模型需要满足获取权限方式上的自主性、适用环境的分布性、在主体和客体关系上需要直接和间接相结合的混合方式。根据访问控制矩阵中访问权限决定主体不同,访问控制策略分为自主访问控制(DistcretionaryAccessControl,DAC)和强制访问控制(MandatoryAccessControl,[14]MAC)。DAC是确认主体身份以及它们所属组的基础上对访问进行限定的一种方法。DAC允许主体修改客体的存取控制表,利用它可以实现对自主访问控制机制的控制,即在自主访问控制系统中,基于主体的身份和先行规定的访问策略来决定访问方式,系统允许拥有一定访问权限的访问主体直接或间接地将访问权限转授给其他主体,所以称其为自主型。也是因为这个性质,这种访问控制容易使得访问4 博士学位论文权限关系在移动过程中发生改变,这样很容易产生安全漏洞,所以安全级别很低,不利于实现统一的全局访问控制,尤其难以满足大型网络应用系统的安全需要。图1.3访问控制模型分类MAC是系统强制主体服从的一种控制策略,主体和客体被授予不同的安全级别,然后根据主体和客体所在的安全级别确定访问模式,主体不能改变自身和客体的安全级别,不能简单的传递访问权,即使是用户自己的资源访问权。MAC预先将主体和客体分为不同安全类别,即定义用户可信任级别及信息的敏感程度(安全级别,比如可分为绝密级、机密级、秘密级和无密级),然后根据主体和客体的梯度安全级别标记来决定主体的访问权限,实现单向信息流通模式,用户的访问必须遵守安全策略划分的安全级别和有关访问权限,主要应用于多层次安全级别的军事应用中。当用户提出访问请求时,系统对主客体的安全属性进行检测,以确定主体是否有权访问相应客体。MAC的缺陷是过于偏重保密性,实现工作量太大、管理不便、不够灵活,而且过于偏重保密性,对系统连续工作能力、授权的客观性等方面考虑不足。近年来,在这两个传统访问控制策略基础上,发展出了基于角色的访问控制[15](Role-basedaccesscontrol,RBAC)和基于属性的访问控制(AttributeBasedAccessControl,ABAC)。下面将对与本研究相关的RBAC和ABAC的研究进展现状进行分析。1.2.1基于角色的访问控制研究进展[16-17]20世纪90年代初,美国国家标准局(NIST)提出了基于角色的访问控制,管理员根据用户在一个组织中担当的角色来为用户授权。基于角色的访问控制是从传统的自主访问控制和强制访问控制发展起来的,是当前最具代表性的访问控制技术之一。在RBAC中,主体和权限不直接发生关联,而是在他们之间增加了角色的概念,用户与角色关联,角色与权限关联,即所有用户都被分配了能完成5 基于属性加密的数据访问控制方法研究一定事务功能的角色,则根据用户所属的角色来获得资源的访问权限,角色-权限和用户-角色都是多对多的关系。MAC与DAC偏重于作业系统或档案的访问控制,而RBAC与此不同,它作为一种应用层次的访问控制,在描述用户访问权限时采用了较高层次的描述方式。RBAC中管理员根据用户的责任和资格分配角色,用户通过角色获得访问权限,通过定义不同的角色、角色的继承关系、角色之间的联系以及相应的限制,动态或静态地规范用户的行为,有效解决了DAC中授权灵活性导致的安全问题及MAC中不能保护数据完整性产生的局限性问题。基于角色的访问控制技术有机结合了数据加密、身份认证、安全审计、入侵检测、风险分析和安全保障等理论和技术,被迅速应用于信息系统的各个领域,为实现信息系统数据安全可靠的传输、存储和访问做出了卓有成效的贡献,有效[18]防止了非授权用户的信息访问和信息泄密。[19]2000年,Knorr提出了一种构建访问控制矩阵的新方法,该方法基于Petri网[20]中工作流的动态访问控制。2001年,Botha等人设计了一种可以直接应用于支持用户层次的RBAC的方法,该方法建立在研究工作流访问控制模型中用户的层次的[21]基础上;随后,Sun等人将RBAC应用于可扩展的工作流系统中,该模型不仅能保证工作流系统可扩展,而且还能够有效增强对授权访问工作流系统用户的安全控制。但是,这些文献缺乏对权责分离问题和工作流访问控制转授权问题的论述。1997年,Thomas等人基于“面向任务”的概念,从任务的角度来建立安全模型[22-23]和实现安全机制,提出了基于任务的访问控制模型(TBAC),该访问控制模型在任务处理的过程中提高动态实时的安全管理,从应用和企业层角度达到解决安[24-25]全问题的目的,并将动态实时的安全管理应用于任务处理的过程。由于基于任务的访问控制模型不仅能够对不同工作流实行不同的访问控制策略,而且能够对同一工作流的不同任务实例实行不同的访问控制策略,适用于工作流、分布式、[26]多点访问控制的信息处理以及安全工作流的管理,2003年,Sejong等人结合了TBAC和RBAC技术,提出了基于任务-角色的访问控制模型(Task-RoleBasedAccessControl,TRBAC),该模型满足大型企业对安全信息管理的需求。之后,朱君通过[27]对RBAC模型转授权问题的深入研究和分,在其博士论文中提出了基于角色和任务的转授权模型(TaskandRole-BasedDelegationModel,TRBDM),然而,不足之处是他对转授权的静态责任分离约束和动态责任分离约束的研究仅局限于概念引入,缺乏具体分析和相应的形式化表达。RBAC作为现在访问控制模型研究的基石,被广泛应用于各种计算机系统中,是访问控制领域持续的研究热点,随后还出现了RBAC96、ARBAC97[28][29][30](AdministrativeRBAC97)、ARBAC99、ARBAC02和NISTRBAC(National[31]InstituteofStandardsandTechnologyRBAC)等一系列更加完善的基于角色的访6 博士学位论文[32]问控制模型。2001年,RBAC的提出者和NIST提出了一个建议标准,给出了RBAC技术参考模型(NISTRBAC2001模型),对RBAC技术的领域范围、相关术语进行了明确的界定,并给出了一套系统和管理功能规范。该模型包括核心RBAC、层次RBAC、静态职责分离(StatisticSeparationofDuty,SSD)和动态职责分离(DynamicSeparationofDuty,DSD)四个部分。核心RBAC是任何RBAC的必要组成部分,其它部分彼此独立,可分别使用。NISTRBAC2001模型包含层次RBAC和有约束的RBAC两种模型,既支持角色层次,又增加了约束。它们之间的关系见图1.4。NISTRBAC2001层次RBAC有约束RBAC增加约束DSD增加角色层次或者SSD核心RBAC图1.4NISTRBAC2001模型关系核心RBAC中包含了五个基本元素集合:用户(USERS)、角色(ROLES)、操作(OPERATIONS)、对象(OBJECT)、权限(PERMISSIONS),权限集包含操作集和对象集。为了映射用户和激活角色集之间的关系,还引入了会话(SESSIONS)的概念,具体见图1.5。图1.5核心RBAC模型层次RBAC中提供了角色层次,高层的角色可获得低层角色的权限,权限具有继承关系。有约束的RBAC规定在RBAC模型上实施职责分离机制,防止其成员获得超越自己职责范围的权限,其职责分离原则有两种:静态职责分离SSD和动态职责分离DSD。1.2.2基于属性的访问控制研究进展基于属性的加密(Attribute-BasedEncryption,ABE),又称为属性基加密,是公[33]钥加密和基于身份加密(Identity-BasedEncryption,IBE)的一种扩展,由Sahai和7 基于属性加密的数据访问控制方法研究[34]Waters两位密码学家在2005年欧洲密码年会上提出,他们为了解决基于生物特征的身份认证系统的容错问题,基于双线性对困难问题,提出了基于模糊身份的加密方案《Fuzzyidentitybasedencryption》一文,在该文献中,基于属性加密的概念第一次被提出。在该方案中,用属性集合描述用户身份信息特征,打破了以往的身份“完全匹配”关系,这也是它区别于基于身份加密的特征之一。一个基于属性的加密机制一般包含四个实体:密钥生成中心(权威Authority),加密者(数据所有者DataOwner,DO)、解密者(用户User)和数据存储服务器,具体如图1.6所示。密钥生成中心负责产生公共参数PK和主密钥MK。当有用户User发出请求时,为其分配属性,生成与权限索引相关的解密钥SK。数据所有者DO根据密文索引A和自己要共享的数据Data的安全需要生成密文C,然后发送给数据存储服务器。User想获取某个被共享的数据时,向服务器发起请求,服务器为User发送请求访问的密文数据C。当用户User满足A的要求时,可以利用Authority分配的解密钥SK和收到的密文C,得到授权并获得Data。图1.6基于属性的加密机制在属性加密体制中,访问结构被引入到密文和密钥中,密文和密钥根据属性集合生成,即用户私钥与属性集关联,密文与访问结构关联,或者用户私钥与访问结构关联,而密文与属性集关联,用户的解密能力通过用户属性集与访问结构之间的匹配关系确定,从而实现数据拥有者对密文和密钥的访问控制。数据拥有者无需要为每一用户分发属性密钥,只需要通过访问结构进行权限管理,大幅度地降低了权限管理的复杂度,提供了更加灵活的访问控制,从功能上实现了“一对多”的加密文件访问控制,解决了这一应用瓶颈问题。由于用户的身份信息表示为属性集合,由两个或以上的用户组成的用户组也可以具备相同的属性集,所以既可以用属性集合表示单独的用户,也可以表示多个用户组成的用户组,因此可以通过对用户身份信息的全方位描述,灵活调整属性集合,让其表示一个单独的用8 博士学位论文户还是一个用户组,即单独的用户和用户组都可以成为属性密钥的接收者和对应密文的解密者,这也是基于属性加密方案所具备的优势。所以,基于属性加密的属性集合具有更强、更丰富表达能力。在属性加密机制中,不仅用户权限的可描述性和加密策略的灵活性被极大地丰富了,加解密模式也被从以往的一对一模式扩展成了一对多模式,而且,它还具有下述四个卓越的特点:(1)高效性,加解密计算花费和密文长度与系统中用户的数量无关,只与相应属性个数相关;(2)动态性,用户的解密能力仅取决于他的属性集合是否满足密文的访问策略,而与他在密文生成之前或之后加入这个系统无关;(3)灵活性,该类方案中的访问策略支持复杂的访问结构;(4)隐私性,数据[35]所有者在加密数据时无需获悉解密者的身份信息。综合上述特点,基于属性加密机制可以有效地实现细粒度的非交互的访问控制,基于属性的访问控制(AttributeBasedAccessControl,ABAC)已成为复杂计算系统安全领域国内外目前研究的热点。在基于属性加密的访问控制中,用户只要拥有特定属性就可获得访问权限,不受物理环境因素的影响,而且能够实现属性的多值分配,能解决复杂网络信息系统中的细粒度访问控制和大规模用户动态扩展问题,是一种更加实用的适用于开放复杂网络环境中对共享数据访问控制的公钥[36]加密方法,为开放网络环境提供了较理想的访问控制方案。在属性密码系统中,每一种权限都可用一个属性集合表示,一个权威机构通过对所有访问者属性集合进行认证后分发相应的属性密钥,数据所有者的资源被其加密后保存在系统服务器中,数据所有者根据需要可灵活制定加密用的访问策略,如果访问者满足访问策略,则可以通过解密操作获得对数据拥有着加密资源的访问权限。例如,一个数据所有者想要分享一个信息,他自己设定访问策略:既拥有属性A且拥有属性B或C,该策略可以表示为一个如图1.7所示的布尔表达式,在此策略下加密要分享的信息,则可实现对访问者的有效控制。图1.7基于属性加密的非交互访问控制自Sahai和Waters提出属性加密概念的雏形后,属性密码学得到了迅速的发展9 基于属性加密的数据访问控制方法研究和应用,它的研究根据研究目标划分为:概念的提出和完善、可证明安全方案的探索及针对性研究三个阶段,如图1.8所示。随着属性密码理论研究和方法应用的不断深入,基于属性加密的访问控制研究成为复杂网络形态和计算网络系统安全领域目前研究的新的关注点。相关研究主要集中在以下方面:图1.8属性密码学的发展过程和研究进展1.基础理论方面的研究Sahai和Waters根据属性密码系统中属性全集的规模大小提出了两个基于属性加密的方案,一个适用于小规模属性全集,另一个则适用于大规模属性全集。在选择身份安全模型下,适合小规模属性全集的基于属性加密方案的安全性和适合大规模属性全集的基于属性加密方案的安全性分别在修正的判定双线性Diffie-Hellman困难问题(ModifiedDecisionalBilinearDiffie-Hellman,MDBDH)下和标准的判定双线性Diffie-Hdlman困难问题问题(DecisionalBilinearDiffie-Hellman,DBDH)下被证明了。在两个基于属性加密方案中,都采用了(,)tn门限访问结构,用户要想获得解密权限,用户的属性集合和密文的加密属性集合的交集的元素个[37]数必须满足门限t时才可以。2006年,Goyal,Sahai和Waters等人进一步阐述了属性加密的概念和意义,将基于模糊身份加密拓展为属性加密,同时给出了一个密钥策略的属性加密方案,并在DBDH假设下证明了其安全性。在该属性加密机制中,用户身份相关的属性集合被用来描述用户的身份信息特征,Goyal,Sahai和Waters等人根据应用场景以及密文和密钥与属性集合访问结构关联方式的不同,将属性加密方案分为密钥策略的属性加密(Key-PolicyAttribute-basedEncryption,KP-ABE)和密文策略的属性加密(Ciphertext-PolicyAttribute-basedEncryption,10 博士学位论文CP-ABE)两类。进一步,他们从第三方存储中的访问控制的角度出发,阐明了属性加密是一个可以实现细粒度访问控制功能的强大密码机制。同时,他们在文章中指出:用户之间通过互相合作来获得超越他们应有的解密能力权限的合谋行为行为是不允许的,而抗合谋性是一个属性密码体制的基本安全要求。例如,在一个属性加密机制中,密文的加密策略为:用户既拥有属性A又拥有属性B。用户Alice拥有属性A,用户Bob拥有属性B,他们二者都不能单独完成解密这条密文的操作,但是,如果Alice和Bob进行“合谋”,这样他们共同的属性为既拥有属性A又拥有属[38]性B,则可以解密密文,那么这个系统就不满足抗合谋性。2006年,Pirretti等人利用属性加密来实现属性密码系统,提出一种新的安全信息管理体系结构,不仅优化了基于属性加密方案中加密算法和解密算法,而且明显提高了算法的运行效率。其次,该文中给出了两个基于属性加密的重要应用,并指出属性加密机制可以广泛应用与很多领域中,比如分布式存储和社交网络等。[39]2007年,Bethencourt,Sahai和Waters提出了第一个密文策略的属性加密方案,该方案采用树状访问结构,为了防止合谋发生,他们在不同密钥中引入了不同随机数。但是该方案的安全性只是在一般的群模型假设(genericgroupmodel)被[40]证明了,安全模型比较弱。同一年,Cheung和Newport在基于标准假设提出了一[41]个标准模型下可证明安全的方案,但是只支持与门访问结构。随后,Waters提出了一系列密文策略的属性加密方案,这些方案能支持一般访问结构,在标准模型下是可证明安全的,而且可通过线性秘密共享机制实现。2010年,Lewko和Waters[42]等人基于合数阶的双线性群提了第一个具有完全安全性的自适应安全的属性加密方案,该方案中采用了对偶系统加密的思想,但遗憾的是该方案的效率非常低[43]下。同年,Okamoto和Takashima给出了第一个基于素数阶的自适应安全的属性加密方案。该方案的效率虽然比之前合数阶的方案要高很多,但比选择安全的方案还是低。2.高效属性加密方案的构造影响属性加密机制效率的两个主要因素是通信代价和计算代价,密文长度决定通信代价,加解密算法的计算消耗则决定计算代价,尤其是解密代价。因为在属性加密系统中,加密和解密是一对多的关系,所以解密操作的频率远远高于加密操作的频率;其次,目前大多数属性加密方案都是基于椭圆曲线的双线性群构造的,解密计算中不可避免存在双线性对的计算,相比于其他运算,双线性对的计算效率非常低。在一般的属性加密方案中,密文长度和解密运算通常都与用户属性个数线性相关,所以属性个数直接影响方案的计算效率。为了解决这个问题,[44][45]Chen等人和Emura等人提出了密文长度为常数的加密方案,但方案只支持简单的与门访问结构。11 基于属性加密的数据访问控制方法研究[46]2007年,Ostrovsky等人提出了一个可以实现逻辑非(NOT)的基于属性加密方案,丰富了访问策略的逻辑表达能力,将基于属性加密方案中的访问结构从单[47]调的扩展成非单调的,其功能相当于一个线性秘密共享方案的访问结构。2009[48]年,Cao等提出了有界密文策略,揭示了密文访问结构和性能之间的内在关系,[49]将Goyal方案的加解密过程进行了简化,获得的密文长度更短。2010年,Herranz[50]等人提出了一个密文长度为常数的密文策略的属性加密方案,但该方案只支持[51]门限访问结构。随后,Attrapadung和Libert构造了一个密文长度和解密代价都为常数的密钥策略的属性加密方案。该方案是第一个支持一般访问结构的属性加[52]密方案。但是上述方案都只能在选择模型下证明其安全性。Chen等人给出了一个从内积加密到属性加密的通用构造方法,并基于内积加密实现了支持门限访问结构的属性加密方案,该方案密文长度和解密代价都为常数,且在自适应安全模[53]型下证明了其安全性。2013年,Rouselakis等人提出了一个支持小属性集合的方案和一个支持大属性集合的方案。在小属性集合的方案中,所有属性必须在公共参数建立之前确定,之后就不能再加入更多额外的属性。而在大属性集合的方案中,则不然。但是,大属性集合的方案虽然更能满足实际需求,但构造难度也[54]更大。Hohenberger和Waters基于现存的一些经典属性加密方案,将方案中解密[55]所需双线性运算次数减小为常数,进而提高这些方案的效率。Hohenberger等人还研究了属性加密方案在移动设备上的应用,于2014年提出高效的在线离线属性加密方案。文献[37][41]研究了通过小属性集合方案构造支持大属性集合方案的转[56-57]化方法,但是在新方案中加密属性的数量受到了限制。Lewko等人率先提出了与属性个数完全无关的属性加密方案,但方案的效率和证明都不容乐观。[41]Waters研究了属性重复出现问题,并提出了一个支持访问结构中属性重复的属性加密方案。通过引入一个q-ParallelBDHE假设证明了该方案的安全性,但要在自[58]适应安全模型下构造这种方案是非常困难的。Lewko和Waters将对偶系统加密和选择安全方案的证明技巧结合起来,在自适应模型下给出了第一个支持访问结[59]构中属性重复出现任意次的属性加密方案。Yamada等在2014年提出了一个紧凑参数的非单调的密钥策略的属性加密方案,同时也给出了支持任意个属性集合[60]和访问结构的紧凑参数的非单调的密文策略的属性加密方案。Boneh等在2014年给出基于格和全密钥同态加密的具有短密钥的(密钥策略)属性加密系统。3.多属性权威系统的研究在一般的属性加密系统中,只存在一个属性权威,该权威全权管理系统中所有属性、负责认证用户属性并为其颁发属性密钥,工作量大,成为系统的性能瓶颈,而且这个属性权威很容易受到集中攻击。所以,为了解决属性密码系统中单个属性权威无法满足大规模分布式应用对不同机构协作的需求,属性权威学者们12 博士学位论文[61]在多权威方面展开了研究。Chase等人提出了一个由一个中心权威(CentralAuthority,CA)和多个属性权威(AttributeAuthority,AA)组成的多属性权威属性密码系统,该系统中,每个属性权威分管互不相同的属性集合,并共同为每个用户颁发密钥,并首次采用用户全局唯一标识(GloballyUniqueIdentifier,GUID)的方法抵[62]抗合谋攻击,解决了多属性权威属性密码系统的难点。Chase又采用多个中心权威的方法来防止单个权威被攻击的问题,避免了使用CA带来的安全脆弱性。Lewko[63]等人提出了无需中心权威的应用方案,用户可以根据实际应用情况来选择相信某些属性权威,并用这些属性权威颁发的属性钥进行解密操作或使用他们所颁发[64][65]的密钥。随后,Liu等人在标准模型下实现了前一方案。Müller等首先提出了分布式属性加密的概念,然后提出了两个方案,第一个方案非常有效,但是安全[63]性只是在一般的群模型中证明的,第二个方案是对Waters工作的简单推广,虽[66]然可以在数字理论假设下证明是安全的,但效率很低。Božović等人提出了一个多权威的属性基加密方案。在该方案中,只有在数据所有者设定的接受者集合中的用户才可以解密加密信息,中心权威是“诚实但好奇的”。基于Diffie-Hellman假[48]设,在选择性身份验证模型下证明了该方案是安全的。Cao在2009年提出了第一个没有中央机构的多属性权威的属性加密系统(Multi-AuthorityAttribute-based[67]Encryption,MA-ABE)。2011年,Li等人提出了一个可以追踪用户泄密行为的多属性权威的密文策略的加密方案,他们在访问结构中引入了通配符。同年,Liu等[64]人又提出了一个密文策略MA-ABE系统,并且在标准模型下证明了该系统是适应性安全的,而且解决了分散属性加密方案中能够解出部分密文的问题。4.云存储中基于属性加密的访问控制研究基于属性的密文策略的加密方案最突出的优点是解决异构多样化分布式环境的数据机密性,可以灵活地根据对象所具有的属性来对用户的操作权限进行细粒度的控制,数据拥有者加密共享信息时无需知道解密用户的身份,而用户解密时只需要满足相应访问策略的属性集合要求,增强了对用户的访问控制,高效安全,非常适合于当前开放、异构、复杂环境下大规模用户授权。很多学者对如何将密文策略的属性加密算法应用到数据访问控制中进行了深入的研究,其研究内容主[68]要集中在用户授权管理、访问结构、属性变更等方面。云存储作为支持云计算的数据外包存储服务技术,具有成本低、接口灵活、可扩展性高等特点,目前在各个行业得到了广泛应用和推广。但是,云存储在带来数据存储量大、存取方便的同时,出现了一系列信息安全问题。在云存储中,数据文件由用户迁移到云存储系统,由云端服务器对数据进行存储和管理,为了保证信息安全和隐私,数据的所有者先对数据进行加密,然后上传到云存储系统[69-70]。因而在非可信的环境中,如何实现对加密数据的高效的访问控制、保证用13 基于属性加密的数据访问控制方法研究户共享数据信息的机密性,是当今云存储技术面临的挑战。[71]Yu等人在云存储系统中,提出一个基于属性加密的数据访问控制方案,使[72]用户在加密数据和生成密钥的时候能够设定访问控制权限。Wang等人把基于身份加密和密文策略的属性加密系统结合起来,构建了一个层次化的属性加密模型。[73]孙国梓等人通过研究云存储服务的网络特性和数据共享特性方面存在的安全问题,讨论了访问控制机制的访问权限控制和访问控制体系结构,并设计了一种基于密文策略的密文访问控制机制。针对云存储中敏感数据的机密性保护问题,洪[74]澄等在基于秘密共享的基础上提出了一种密文访问控制方法HCRE。该方案中,当访问控制策略发生变更时,为了减轻数据所有者的加密负担,由云端执行共享[75]数据的重加密工作,从而同时也降低了用户权限管理的复杂度。赖俊祚等提出了一个云存储访问控制方案,该方案支持可验证外包解密功能,用户可以高效地验证解密数据的正确性,非常适合用于计算能力较弱的弱客户端用户及设备。李[76]进等将安全外包计算技术引入到属性加密机制中,分别给出了一个通用的基于属性访问控制的高效方法和一个支持密钥分发和解密外包的属性加密方案。为了解决了云存储访问控制中的重加密问题,学者们引进了代理重加密技术。[77]在不完全可信云端使用代理重加密,云存储服务器在无法获取加密内容情况下,将由一组属性集可解密的密文转换为由另一组属性集可解密的同一明文的密文,从而数据所有者无需采用新的访问控制结构重新加密数据,就能够更改访问权限。[78]还可以通过采用惰性重加密方式来达到减小更换数据密钥的代价,即权限变更时并不立即更改数据密钥,而是等下次写操作时再进行密钥更换。5.其他方面的研究基于属性的加密研究,还出现了属性签名,属性协议等方面的一些方案。Maji[79]等人率先提出了属性签名的概念和安全性定义。在属性签名机制中,签名者根据一个签名策略生成一条消息的一个属性签名,然后验证者可以通过验证判断这个签名是否由属性集合满足相应签名策略的签名者所生成。属性签名机制不仅提供了丰富的签名策略,而且具有很强的匿名性、“不可链接性”和抗合谋性。文献[80][81]和[82]中也构造了一些属性签名方案,但是这些方案的安全性还有待于进[83]一步研究。学者们还进行了属性协议方面的研究,Ateniese等人最先提出了一个[84]属性秘密握手机制,该机制可以看作是属性安全协议的“雏形”。Wang等人率先提出了属性密钥协商协议的概念,而且给出了一个基于BR模型的构造,随后,[85][86]Yoneyama和李强等人分别在安全模型、效率、访问策略的灵活性等方面进行[87]了优化和改进。Anada等人给出了一个在云服务的付费服务中有着广阔的应用前景属性身份识别协议。14 博士学位论文1.2.3研究进展分析和问题的提出自主访问控制、强制访问控制和基于角色的访问控制都是基于主体-客体观点的被动安全模型,授权是静态的,不考虑操作的上下文。它们构建的前提通常是:数据拥有方和存储数据的服务器在同一个可信区域内,服务器全权负责定义和实施访问控制策略,系统管理员独自分配和管理用户的权限和所有的数据,因而在分布式环境中,管理规模和控制粒度都是它们面临的问题,尤其是共谋问题。随着网络规模逐渐扩大和计算机系统日益复杂,系统中用户数量和数据量剧增,用户对数据和个人隐私的需求不断提升,对上述访问控制技术提出了新的需求和挑战。从数据安全性和系统效率考虑,首先,出于对数据安全和用户隐私保护的需要,用户希望自己的共享数据对存储服务器是完全透明的;其次,一旦存储服务器遭到攻击,甚至被攻破,用户存储的所有数据将被泄露;最后,在这些访问控制系统中,服务器通过与每个用户进行交互,才能实现对访问者的访问能力和访问范围的分配和管理时,所以用户数量将是严重影响系统效率的因素之一。综上,上述访问控制存在以下主要问题:(1)共享数据的隐私无法保障;(2)访问策略的定义和管理、用户权限的分配和管理都存在瓶颈;(3)不能实现大规模用户动态授权;(4)不适合异构、多样化的分布式应用。基于属性的访问控制机制(ABAC)中,访问控制策略、模型和实现机制都与用户的属性集合相关联,采用属性集合对主体、客体、权限和环境属性统一建模,从不同的视角全方位的描述实体特征,访问策略的表示采用逻辑语义,具有强大的表达能力,便于灵活描述访问控制策略,所以该机制简化了对用户的授权和访问策略的控制工作,增加了访问授权和访问控制策略表达的灵活性和细粒度性,增强了访问控制机制的灵活性和可扩展性。这样一个机制实现了访问控制的以下基本功能:允许授权用户对受保护的网络资源进行有效访问;阻止非授权的用户进行非法访问;阻止授权用户进行超越自己权限的访问。此外,这样的机制也可以有效解决上述访问控制中存在的以下问题:一方面,服务器只对加密后的共享资源进行存储和管理,而不能获得共享数据的内容,实现了对用户数据的安全性和隐私性保护;另一方面,在授权的过程中,服务器不需要与每个访问者进行交互,提高了系统的效率。所以,基于属性的访问控制具有下述优点:(1)数据的隐私性得到保护;(2)访问策略的表达能力强,用户权限的分配灵活;(3)可以进行大规模用户动态的、细粒度授权;(4)适合异构、多样化的分布式应用;(5)实现用户匿名性。综上所述,基于属性的访问控制更适合当前和未来开放网络环境中复杂数据资源安全管理,尤其是解决复杂数据资源安全管理中的数据机密性、访问权限管理、细粒度授权、异构环境的访问控制等问题的较为理想的方法,具有广阔的应15 基于属性加密的数据访问控制方法研究[35]用前景和现实意义。学者们展开了对基于属性加密的访问控制研究,被广泛应用于大型分布式环[88-89][90-91][92][93]境、Web服务系统、网格计算以及消息共享和管理、云计算中。但是,随着人们对云存储、大数据、能源互联网等新型网络服务应用的深入,新的应用环境安全性需求和用户对数据访问控制信息安全要求的不断提高,基于属性加密的访问控制研究仍然存在一些不足和研究没有涉及的方面,并不能很好的贴近现实应用场景,没能彻底反应真实的应用安全性,比如多样化权限问题、无监督的属性权威问题、面向用户组的访问控制问题、属性变更问题、隐藏访问策略问题、当前和未来多方通信模式和外包服务中新的应用问题等,有待于进一步的研究或深入:1.多样化权限访问控制问题在属性加密系统中,一般认为解密者获得的最基本操作为读或写操作,只有一种权限,不加区分,即所有的用户只能得到相同的权限。但是,随着物联网、云计算、能源互联网等的发展以及现阶段复杂的分布式应用环境,用户大规模化和复杂化,用户需求多样化,对权限的要求变得更加细粒度,且由于应用对象的不同,使得具有不同属性的用户,需要在权限方面体现,即获得不同的权限,比如读、引用、备份、拷贝、写等权限,所以,在生成访问控制策略的同时,数据[73]所有者也要考虑多样化权限问题。孙国梓等讨论了关于访问权限控制问题,提供了两种不同的权限:读和写。该文中,为了区分读写权限,选用一对公私钥对来控制读写权限,私钥用来签名,公钥用来进行验证,从而实现了对不同权限的控制。但是,该方案中采用一次性会话密钥作为用户私钥,增加系统通信负担。[94]张浩军等采用读/写控制令牌的方式,达到对用户的不同权限的进行控制。然而,每个用户发起对某个共享加密数据的访问请求时,都要向属性认证中心申请以获得相应的用户属性证书,当属性变更时,所有过程重新进行一遍,从而会在属性认证中心造成瓶颈。目前,对于多样化权限的研究还比较少,所以,要从访问控制策略出发,考虑用户多样化权限控制,又不增加计算或者通信负担,是当前企业多样化管理的一个难题。2.属性权威可信问题在属性密码机制中,一般有一个中心权威CA负责系统的初始化和密钥分配,所以,对CA的依赖性比较强。通常这个中心权威CA是可信的,在现实中这是不可能的。虽然Chase等人和Lewko等人引入了多权威的概念,其目的是解决单属性权威中心可信问题。但是,CA是没有被监督的,缺乏对属性密钥的验证,而CA很容易成为攻击的首选目标。一旦受到攻击而妥协,就可能会分发错误的密钥,从而对系统造成损害。所以验证分发属性密钥的正确性,建立对CA的有效监督机16 博士学位论文制是非常必要的。3.面向用户组的访问控制问题Sahai和Waters在提出基于属性加密概念时指出,当用属性集合表示用户的身份信息时,用户组也可以具备这些相同属性,所以既可以用属性集合表示单独的[34][95]用户,也可以表示多个用户组成的用户组。郭振洲在他的博士论文中也指出,在基于属性加密方案中,可以通过描述用户身份信息的属性集合,灵活调整属性集合表示一个单独用户还是一个用户组。目前的研究仅局限于面向单个用户的情形,即单个用户满足属性访问条件时可解密共享的信息,他可以得到完全的权限,这将导致用户的权利过度集中和滥用。在一些重要的、安全性要求很高的应用中,高度机密的要共享的敏感信息,都需要用户权限的高安全性和分散用户权限,即需要多个解密者共同协作完成解密工作,每个解密者分别满足一定的属性要求。如银行网络管理、开放金库账户、导弹控制和发射、以及发射核武器,在完成任务时必须是所有授权用户或大多数授权用户参与。所以面向用户组的属性访问控制机制也是一个亟待研究的问题。4.隐藏访问策略问题属性加密机制中,密文中的访问策略常常会泄露密文的信息。因此,在属性访问控制方案中,数据所有者考虑到对数据隐私性的需求,需要隐藏自己的加密策略。虽然已有一些工作考虑了对加密策略的隐藏,隐藏策略的属性访问控制在[96]可验证外包计算中很好的完成了访问控制的重要任务,但只能支持与门访问结[97]构,而且只是部分隐藏了访问结构。由于有些访问结构的表达能力比较丰富,要隐藏访问策略,实施的难度将会增大,因为在现有的属性密码系统中,访问策略和密文一起被发送给用户,解密时都要求输入访问策略,一旦密文策略被隐藏,解密者由于不知道自己应该遵守的访问策略是什么而无法实施解密工作,设计更好的隐藏策略的属性密码机制,也是目前尚未很好解决的一个难题。5.用户属性变更问题在属性密码机制中,随着时间的推移,由于用户的部分或者全部属性会发生变化,或者用户密钥被泄露等因素原因,用户和属性的撤销问题、密钥更新问题等,都是不可避免要考虑的。而设计撤销方案是其难点之一,因为:(1)属性密码机制本身比较复杂,密文和用户密钥与属性集关联,访问策略由数据所有者制定,而属性密钥由权威机构生产;(2)属性集与用户之间为多对多的关系,撤销某一属性时会涉及很多拥有该属性的用户,而撤销某一用户时会涉及与其他用户共有的属性;(3)操作对象比较复杂,有用户加入与退出、用户属性增加或撤销、系统属[38]性增加或撤销等。Pirretti等提出了第一个属性撤销方案,给每个用户分发一个额[98]外的终止日期的属性,通过这个属性来限制密钥的使用时间。Sahai等人提出了17 基于属性加密的数据访问控制方法研究一个高效的可撤销的属性加密方案。他在该方案中,引入了二叉树,二叉树中的每个叶节点与每个用户关联,其结果是使得密钥更新数量与用户数量呈对数关系,同时结合“密文代理”,通过权威机构定期广播一个密钥更新的消息,这样就在无需用户和权威机构交互的情况下进行密钥更新工作。但是,这种情况下,彻底撤销了用户密钥。在现实中,用户属性的变更往往是细粒度的,例如,某个用户增加了一些属性或者失去了某个属性。文献[99][100]和文献[101]针对属性撤销问题也,进行了深入研究和探索,取得了一些进展,但效率还有待于进一步提升和改进。之后,陆续也出现了一些研究密钥更新问题的成果,但其中所采用的密钥更新方式都不能很好地适用于实际应用中。总之,如何减小密钥更新机构的负担,消除数据所有者与密钥更新机构的协调,减轻重加密带来的负担,构造与属性规模及系统用户数量无关的系统,提高系统的效率,都是当下和未来需要解决的问题。6.新应用方面基于其卓越的优点,属性加密从一出现,不仅得到了快速发展,而且成为密码学领域和访问控制领域的一个非常热门的研究方向,在很多领域有着良好的应用前景,例如:大型分布式环境、分布式文件管理、第三方数据存储、定向广播加密,特别是随着近几年云计算、智能电网、大数据等新兴技术和网络形态的发[102]展和日益普及,基于属性加密的访问控制的应用越来越广泛。在云计算中,越来越多的企业和个人将自身的数据存储外包给云服务,由此而快速发展起来的云[103-104]存储;在结构复杂、规模庞大,具有异构性、开放性、包容性的智能电网环境中,采用基于属性加密的方法来达到对种类繁杂的用户进行有效访问控制。总之,新的应用环境,对基于属性加密的访问控制提出了一系列新要求:为保护数据的机密性,数据以密文形式存放在云端,然而加密增加了计算开销,所以尽可能减少计算开销保证数据机密性;云存储中要阻止非法用户访问受保护资源、管理合法用户细粒度的访问权限,因此要支持对用户撤销操作、用户动态加入和用户操作可审计等;在跨域的资源存储访问中,各域有自己的访问策略,在进行资源共享和用户访问控制时,必须要制定多方认同的、公共的访问控制策略且需要解决单权威瓶颈问题;异构环境中用户交叉、用户权限多样化需求需要在设置访问控制策略时,提供多样化的访问权限和支持权限扩展功能;开放的非可信环境需要支持对权威中心、数据源的诚实性进行确认以及对用户行为验证等。因此,解决云计算、智能配电网等新兴技术和新应用环境提出的要求,也是目前基于属性访问控制进一步研究的目标之一。18 博士学位论文1.3论文的研究思路和研究内容1.3.1研究思路本文针对基于属性访问控制目前存在的研究不足,将按照提出问题、分析问题、解决问题和具体应用的思路,对基于属性访问控制方法展开研究。首先,通过对基于属性访问控制技术的研究进展和现状讨论,分析和总结了现阶段存在和面临的问题;其次,针对提出的问题,分别提出了具有权限区分的多属性权威访问控制方案、面向用户组可验证的属性访问控制、云存储中完全隐藏访问策略的属性访问控制方案,对各个方案给出形式化定义,并进行了安全性证明;最后,结合当前智能配电网信息安全的需求特征,给出一个基于属性访问控制的应用研究。总体研究框架如图1.9所示。图1.9论文总体研究框架1.3.2研究内容基于属性的访问控制,实现了加密系统的细粒度访问控制,成为近几年访问控制的研究热点,同时存在研究的不足。本文针对多样化权限问题、属性权威可信问题、面向用户组的访问控制问题、隐藏访问策略问题、属性变更问题和基于19 基于属性加密的数据访问控制方法研究属性访问控制新应用问题,开展了基于属性加密的访问控制方法研究,主要研究内容包括以下四个方面:1.具有用户权限区分的多属性权威访问控制方案研究在一般的基于属性的访问控制机制中,满足访问策略的每个用户都可以获得相同的访问权限。首先,随着物联网、云计算、能源互联网等的发展,大规模用户的需求变得多样化,对权限的要求变得更加细粒度,即拥有不同属性的用户获得不同的权限。其次,通常有一个值得信赖的中心权威CA负责系统的初始化和密钥分配,所以,对中心权威的依赖性比较强。这样就导致中心权威容易成为攻击的首选目标,一旦遭到攻击并妥协,后果不堪设想。再次,缺乏对数据所有者的诚实性认证和数据的完整性检测功能,保证用户得到的数据的确是来自数据所有者的、没有被篡改的数据。为了解决上述问题,本文研究具有用户权限区分的多属性权威访问控制机制,使得拥有不同属性集的用户获得不同的访问权限,在获得不同级别的访问权限时需要满足属性要求的属性权威的个数也不同,而且实现了对数据所有者的诚实性验证。2.面向用户组可验证的基于属性的访问控制方案研究在属性密码方案中,解密者可以是一个单独的用户,也可以是一组用户。通常的方案中,数据所有者(DO)加密共享数据。如果一个单独的用户拥有有效的属性集合,他可以得到完全的权限,这将导致用户的权利过度集中和滥用。在一些重要的、安全性要求很高的应用中,都需要用户权限的高安全性和分散用户权限,即在完成任务时必须是所有授权用户或大多数授权用户参与。为了克服上述问题,本文研究面向用户组的可验证的基于属性加密的用户访问控制方案。在这项工作中,本文提出了第一个面向用户组的访问控制方案,解密者是一个用户组,分散用户权限,增强重要、敏感和机密信息的安全性和完整性,使每个参与者只存储少量的数据信息;其次,引入了一个可验证的秘密共享方案确保监督中心权威CA,可以验证CA生成的密钥的正确性和减少对CA的依赖性,甚至半可信或不可信CA用于该系统,同时,每个参与者通过检查其他参与者提供的信息,可以验证他们的诚实性。3.隐藏访问策略的云存储访问控制方案研究在云存储环境中,数据所有者将要共享的数据文件完全交付给云端服务器,由其进行完全的存储和管理,为了保护共享数据信息的安全性和隐私性,数据所[47,69-70]有者通常将加密后的共享数据上传至云存储等第三方存储服务机构。但是,第三方存储服务机构往往是不可信的,密文中的访问策略常常也会泄露密文的信息,因此,出于对共享数据的机密性和隐私性需要,加密者有时会隐藏自己的加20 博士学位论文密策略。当前,云存储技术面临的挑战之一就是,如何实现非可信环境中对加密数据的高效访问控制、保证用户数据文件的机密性问题。本文研究对访问策略的完全隐藏方法,设计完全隐藏访问策略的访问控制方案,且在此基础上,本文构建了一个应用于云环境的访问控制机制。在该机制中,访问控制策略对云存储服务器(CSP)和一切用户是完全隐藏的,即使成功获得解密权限的用户只能获得共享数据内容,但对所遵循的访问策略也一无所知。4.基于属性的访问控制在智能配电网信息系统中的应用研究现阶段出现了云计算、命名数据网、物联网等各种新型的网络形态和服务形态,而智能电网是其中的一种典型网络形态。智能电网结合了传统的电力系统和先进的智能通信系统,信息流的宽度和有效深度远远大于传统电网可能涉及的范围,信息集成度更高,开放性和包容性更广,网络环境更加复杂。各种远程终端数据采集设备周期性的采集各类数据发送到控制中心,控制中心对收集到的数据进行高级分析,然后做出反馈。这些海量数据会在智能配电网中形成数据风暴,对智能配电网通信的准确性、认证性与实时性要求较高。电网和用户双向互动性增强、大量用户侧接入和访问,控制中心需要向部分具有特定属性的远程终端发送反馈命令,然而控制中心不可能向这部分远程终端逐一发送控制信息,所以,海量异构多源数据的存储和大量用户的访问控制成为当前智能电网中的一个急需解决的问题。本文研究隐私同态聚合和基于属性加密的用户访问控制机制,首先结合智能配电网的网络特点、设备特点及通信需求,提出一个智能配电网通信系统的访问控制框架,实现了数据隐私聚合和命令反馈,提供资源认证和完整性检测;其次,在命令反馈阶段采用基于属性的加密机制加密反馈命令,使得拥有相应属性集的合法用户获得相应命令,同时采用BLS短签名保证资源认证。1.4论文的组织结构与安排本文的章节安排如下:第1章主要介绍本课题研究背景,理论及现实意义,通过阐述和分析目前主要的访问控制模型,指出因具备良好的特性,基于属性的访问控制模型更适合当前开放的、异构的复杂网络环境中数据资源的访问控制,为接下来的研究工作提供理论依据。另外,概述了本文的研究内容和章节安排。第2章主要介绍了基于属性访问控制方法研究中涉及的基础理论和知识,具体包括可证明安全相关的概念、双线性对及困难问题假设、基于属性加密的形式化定义、安全模型和访问结构。第3章研究了多样化权限问题,提出了一个具有权限区分的多属性权威访问21 基于属性加密的数据访问控制方法研究控制机制,支持对数据所有者的诚实性验证,并在选择属性集安全模型下证明了方案的安全性。与同类方案比较得出本方案增加的信息和计算量更少。第4章讨论了面向用户组的概念,并设计了一个面向用户组的可验证的基于属性的访问控制方案,支持用户权限分散管理,建立起对中心权威CA的监督机制,减少对中心权威的依赖性,支持对同一组中合作者的诚实性验证;最后,证明了该方案的安全性,且与同类方案进行了比较,本文方案有更高的机密性和更少的计算量。第5章给出了一个完全隐藏访问策略的基于属性的加密方案,并在该方案的基础上,增加了用户属性变更功能,进而构造了一个云存储中完全隐藏访问策略的访问控制方案,并证明了基本方案和完整方案的安全性,且与同类方案进行比较,本文方案中访问策略的隐藏性更彻底。第6章研究了智能电网的网络特征和通信需求,讨论了基于属性访问控制方法在智能配电网环境中的应用,然后提出了一个智能配电网通信系统数据聚合和访问控制框架,完成了隐私保护的数据聚合工作和用户区分的命令反馈过程。实验证明本方案更适合大规模用户的访问控制。第7章对论文的创新点和不足进行总结,并指出下一步研究计划和方向。22 博士学位论文第2章基础理论和知识本章给出基于属性加密的数据访问控制方法研究中涉及的密码学和访问控制相关理论和知识,主要包括可证明安全理论、双线性对及困难问题假设、基于属性加密的形式化定义和安全模型、访问结构。本章所涉及内容将为本文后续章节提供理论基础。2.1可证明安全理论对于加密方案来说,若将其安全性定义为:如果敌手已经知道某个随机明文所对应的密文,不能得出明文的完整信息,则该安全概念的定义很弱,因为敌手虽然不能得出明文的完整信息,但有可能得到明文的部分信息。一个安全的加密方案应使敌手通过密文得不到明文的任何部分信息,即使是1比特的信息,这就[105]是加密方案语义安全的概念。现代密码学的密码体制所能达到的安全性一般被[106]分为下面三类:1.计算安全性(Computationalsecurity):计算安全性是通过讨论攻破一个密码体制需要的计算开销而定义的。如果使用最好的算法至少需要N次操作才攻破一个密码体制,那么这个密码体制是计算上安全的。目前尚没有一个计算安全的密码方案实例。2.可证明安全性(Provablesecurity):该安全性是指,如果可以将一个密码体制或协议的安全性归约到某个公认的数学困难问题,那么就说该类型的密码体制是可证明安全的。该证明方法并没有给出方案或协议的直接证明,而只是说明了所证密码方案或协议的安全性和另一个公认的数学困难问题是相关联的。3.无条件安全性(Unconditionalsecurity):该安全性是在讨论攻击者的计算能力不受任何限制下的安全性。称一种密码体制是无条件安全的,如果攻击者拥有无穷的计算资源,协议或方案也是无法被攻破的。无条件安全的密码体制是一种理想的安全,但现实中很难达到这个安全要求。[107]1984年,Goldwasser和Micali提出了概率加密的概念并定义了语义安全性,开始了可证明安全性理论的研究。可证明安全性是一种证明密码方案和协议的比较合理的方法,受到越来越多的研究者们的关注,并得到了很大的发展,被广泛应用于密码学界。可证明安全性本质上是一种规约安全,只是说明破解一个密码算法A的难度等同于解答一个公认的数学难题B,并没有直接证明算法A的安全性,即破解算法A可以规约为解决数学困难问题B。如果随着时间的推移,找到了有效解决数学困难问题B的方法,则攻击者就可以利用这个算法攻破密码算法A。实际上可23 基于属性加密的数据访问控制方法研究证明安全是一个方案安全的一个基本要求,是方案等安全的必要非充分条件,即可证明安全是体现在计算能力和理论能力上的一种相对安全。在现阶段的实际应用中,如果一个密码方案的安全性只是通过启发的形式讨论,并没有可证明安全方式的安全性证明,那么该方案的安全性就不被人们所认可。所以在现代密码学中,讨论密码方案的安全性时,可证明安全已成为必不可少的部分,不仅如此,它也是证明密码方案安全性的有效工具,其重要性在公钥密码学的加密方案中尤为突出,反过来,也促进了安全性理论本身的发展。可证明安全理论在证明密码方案时一般包括如下四个步骤:1.先定义一个形式化的安全模型,该模型一般通过一个由挑战者与一个攻击者之间交互的攻击游戏来定义,挑战者建立系统,攻击者对系统发起挑战,挑战者接受攻击者的挑战。2.描述攻击者的攻击能力,若方案能够抵抗该攻击者的攻击,则认为该方案具有一定安全性。3.描述方案中的安全性假设,安全性假设越弱,方案的安全性越强。4.在上述定义的安全模型下,证明所设计的方案是安全的,实际上就是对两个计算问题A和B的归约过程。2.2双线性对及困难问题假设[108]接下来给出双线性对及相关困难问题假设。定义2.1(对称双线性对):设1和2是阶为素数q的乘法循环群,g是1的生成元,e:是一个双线性映射:如果112*abab(1)双线性:abZ,q,egg(,)egg(,);(2)非退化性:PQ,,ePQ(,)1;1(3)有效性:对任意的g,存在有效的算法在多项式时间内计算egg(,)。则称上述映射为对称双线性映射。aa*定义2.2(离散对数问题):给定输入(,gg),计算输出a,其中gg,1,aZp。定义2.3(计算Diffie-Hellman问题(ComputationalDiffie-Hellmanproblem,ababab*CDH)):给定输入(,ggg,),计算输出g。其中gg,1,ab,RZq,CDH假定:设是安全参数,如果不存在任何的概率多项式时间的攻击者B,以不可忽略abCDH的优势成功计算g。CDH的优势ADVB,()定义为:1CDHabab*ADVB,()Pr[(,Bggg,)g:,abZp](2.1)1定义2.4(判定Diffie-Hellman问题(DecisionalDiffie-Hellmanproblem,DDH))24 博士学位论文DDH假定:如果不存在多项式时间的攻击者B以不可忽略的优势区分三元组abababz*(,ggg,)和三元组(,ggg,),其中,abz,,Z。设是安全参数,则攻击者RqDDHB的优势ADVB,()定义为:1CDHabababzADVB,()|Pr[(,Bggg,)1]Pr[(,Bggg,)1]|(2.2)1定义2.5(计算双线性Diffie-Hellman问题(ComputationalBilinearabcDiffie-Hellmanproblem,CBDH))CBDH假定:给定一个元组(,gggg,,),如果abcabc不存在多项式时间的攻击者B以不可忽略的优势计算egg(,),其中ggg,,1,*CDDHabc,,Z。设是安全参数,则攻击者B的优势ADV()是定义为:RqBCBDHabcabc*ADVB()Pr[(Bggg,,)g:,,abcZp](2.3)定义2.6(判定双线性Diffie-Hellman问题(DecisionalBilinearDiffie-Hellmanproblem,DBDH))DBDH假定:如果不存在多项式时间的攻击者B以不可忽略的优abcabcabcz势区别四元组(gggegg,,,(,))和四元组(gggegg,,,(,)),其中abc*DBDHggg,,,abcz,,,Z。设是安全参数,则攻击者B的优势ADV()是1RqB定义为:DBDHabcabcabczADV()|Pr[(,Bgggegg,,(,))1]Pr[(,Bgggegg,,(,))1]|(2.4)B定义2.7(修改的判定双线性Diffie-Hellman问题(ModifiedDecisionalBilinearDiffie-Hellmanproblem,MDBDH))DBDH假定:不存在多项式时间的攻击者B以abgggeggabcc和元组(gggegga,b,c,(,))z,其中不可忽略的优势区别元组(,,,(,))abc*MDBDHggg,,,abcz,,,Z。设是安全参数,则攻击者B的优势ADV()1RqB是定义为:abADVMDBDH()|Pr[(,Bgggeggab,c,(,))1]Pr[(,cBgggeggab,c,(,))1]|z(2.5)B[109]定义2.8(判定线性问题(DecisionalLinearproblem,D-Linear)))D-Linear假定:如果不存在多项式时间的攻击者B以不可忽略的优势区别元组abacbdcdabacbdzabacbd(ggg,,,g,g)和元组(ggg,,,g,g),其中ggg,,,g1,*DLinearabcdz,,,,Z。设是安全参数,则攻击者B的优势ADV()是定义为:RqBDLinearabacbdcdabacbdzADV()|Pr[(,Bggg,,g,g)1]Pr[(,Bggg,,g,g)1]|(2.6)B25 基于属性加密的数据访问控制方法研究2.3属性加密方案的形式化定义和安全模型2.3.1属性加密方案的形式化定义[35]一个属性加密方案包含以下四个基本算法:Setup(,)U:该算法输入安全参数和系统属性全集U,输出公共参数Params和主密钥MK。KeyGenMKX(,):该算法输入主密钥MK和一个权限索引X,输出一个密钥sk。XEncParamsYM(,,):该算法输入公共参数Params,一个密文索引Y和一个要加密的消息M,输出一个密文CTY。DecParamsskCT(,X,Y):该算法输入公共参数Params,密钥skX和密文CT,输出解密结果M'。Y如果一个属性加密方案是正确的,当且仅当对任意用户权限X和密文索引Y,且X满足Y,则DecParamsKeyGenMKXEncParamsYM(,(,),(,,))M其中,公共参数Params和主密钥MK都是正确生成的。在CP-ABE方案中,X表示用户的属性集合,密文索引Y表示一个访问结构,X满足Y当且仅当X是Y的授权集;在KP-ABE方案中则反过来了,即Y表示一个属性集合,X表示一个访问结构,Y满足X当且仅当Y是X的授权集。2.3.2属性加密方案的安全模型在公钥密码方案中,根据要实现的安全目标不同,密码体制通常被分为四类:语义安全性(SemanticSecurity,SEM)、不可区分性(Indistinguishablity,IND)、不可展性(Non-malleable,NM)和明文可意识性(Plaintext-aware,PA)。当前公钥密码方案的证明一般都采用的形式化模型为不可区分性的安全模型,属性密码学中的方案证明也在此基础上进行。基于属性加密系统的安全性,一般由一个攻击者和一个挑战者之间的交互游戏来刻画。当且仅当任意多项式攻击者的优势都是可忽略的,则称一个属性加密方案是自适应安全的。但是,在实际证明中,由于在属性加密方案中,其属性集的空间要比基于身份的身份空间大很多,复杂性比较高,所以通常会考虑一种弱化了的安全模型,称为选择模型。在选择安全模型中,通常要求攻击者必须提前选择自己的攻击目标,即挑战权限索引X,在此模型下的安全则称为选择安全26 博士学位论文(Selectivesecurity)。Init:攻击者选择自己的攻击目标,即挑战权限索引X;Setup:挑战者运行属性加密的Setup算法,将生成的公共参数发给攻击者;Phase1:攻击者对权限索引Xj进行私钥询问,Challenge:攻击者提交两个等长的消息M0和M1。挑战者进行随机掷币b,并根据密文索引Y加密Mb,然后把密文发送给攻击者。Phase2:重复Phase1中的步骤;Guess:攻击者输出对b的猜测b'。ADV()|Pr['bb]1|,如果不存在多在上述游戏中,攻击者的优势定义为2项式时间的攻击者以不可忽略的优势攻破上述游戏,则一个基于属性加密方案在选择模型下是安全的。2.4访问结构在属性密码学中,访问结构用于描述访问控制策略的逻辑结构,占有很重要的位置。访问结构定义为:定义2.8(访问结构)设{,,,}PPP一个用户集。集合2{,,,}PP12Pn是单12n调的,如果BC,:如果B且BC,则C。一个访问结构(单独地,单调的访问结构)是{,,,}PP12Pn的一个非空子集(单独地,单调的访问结构),如2{,,,}PP12Pn{}。中的集合称为授权集,不在中的集合称为非授权集。属性密码系统中,一般采用一些访问结构表示访问策略,比如门限访问结构[3434][37][40]、基于树的访问结构、基于正负属性值的“与”门结构、基于多属性值的“与”[45][110][41]门结构、支持通配符的基于多属性值的“与”门结构和线性访问结构。基于门限的访问结构实际表达的含义是:拥有不同属性集的用户可以通过不同的路径到达该门限所在节点的路径的数目;在基于树的访问结构中,树的每一个非叶子节点由一个门限值和它的孩子节点来描述,而树的每一个叶子节点都对应一个属性;在基于正负属性值的“与”门结构中,如果一个用户拥有某个属性,则表示为正属性,如果不用有某个属性,则表示为负属性。下面对本文后面将要用到的及属性密码学中常用的访问结构进行分别介绍。2.4.1(,)tn门限访问结构最简单最基础的访问结构当属(,)tn门限访问结构,其中n表示参与者的个数,t表示门限值。在(,)tn门限访问结构中,授权集合是由t个或者多于t个参与者构成27 基于属性加密的数据访问控制方法研究的集合,非授权集合则是少于t个参与者构成的集合。[34]在Sahai和Waters的模糊基于身份加密方案中将用户的身份描述成一个属性集合,并将属性集合划分为授权集合和非授权集合两类,密钥生成中心根据用户的属性集合生成用户的私钥,该方案本质上就是一种门限访问结构。首先设系统的门限值为d,用户的属性集合为,密文的属性集合为',随后系统中的密文是根据密文属性集合生成,即密文的属性集合必须满足门限条件。当且仅当用户的属性集合与密文的属性集合交集中的属性的数量满足该门限d,即|'|d时,用户便可通过解密获得访问权限。2.4.2访问树结构设表示一棵访问结构树。树中的每一个非叶子节点表示一个门限门,由一个门限值和它的孩子们描述。如果num是节点x的孩子数,k是它的门限值,则xx0knum。当k1,表示逻辑或关系(OR-门);当knum,表示逻辑与关系xxxxx(AND-门)。树中每个叶子节点x表示一个属性,其门限值kx1。用parentx()定义节点x的父节点,函数attrx()表示叶子节点x的属性。访问树也定义了每个节点的孩子的顺序,即一个节点的孩子数从1到num。函数indexx()返回节点x的索引值。访问树中的索引值是唯一指定给树中的每一个节点的。满足访问树。设R表示访问树的根节点。以节点x为根节点的的子树表示为,所以和是一样的。如果一个树形集合满足访问树,定义为xRx()1,按下述方式递归计算():如果x是一个非叶子节点,计算x的所有xx孩子节点x'的x'(),当且仅当至少kx个孩子节点的x'()返回1时有x()1。如果x是一个叶子节点,那么只需attrx(),则x()返回1。2.4.3与门访问结构2.4.3.1基于正负属性值的“与”门结构N{1,2,,}n表示属性集,自然数i表示正属性,i表示负属性,属性之间用AND门连接。访问结构表示为iIi,IN,i表示i或者i。2.4.3.2基于多属性值的“与”门结构设U{,AA,,A}表示所有属性的集合,S{vv,,,v}表示每个属性12nii,1i,2il,iA可能的取值集。{,,,}LLL表示用户u的属性集,LS,i12nii{,WW,,W}表示访问结构,WS。|表示属性链表满足访问结构12nii28 博士学位论文,即LWi(1,2,,)n。iin访问结构的数目为i1li,针对每个属性Ai,数据所有者显式地表示一个状态v,其中vS。i,*i,*i2.4.4线性访问结构(LSSS)一个定义在参与者集合上的线性秘密共享机制是线性的,如果(1)每一参与者的共享份额建立了一个Zq向量;(2)存在一个l行n列的矩阵M(共享生成矩阵)。矩阵M的每一行由()i标记,i1,2,,l,是一个从{1,2,,}l到的映射。考虑列向量v{,,sr2,}rn,sZq是将要被共享的秘密,r,,rZ,Mv是秘密s的l份额的向量,份额(Mv)2nRqi属于参与方()i。假定是访问结构的一个LSSS。假设S(S是一个满足访问结构的集合或者定义为S|(M,))是一个授权集,I{1,2,,}l定义为I={:()iiS},存在常数{iZpiI},使得iIiis。而任何非授权集,都不存在这样的常数。2.5本章小结本章对本论文相关基础理论和预备知识进行了介绍,主要包括:(1)介绍了可证明安全性理论的基本概念和可证明安全理论在证明密码方案时的基本步骤;(2)给出了双线性对和一些困难问题假设,作为以下章节中安全性研究的前提;(3)给出了一般属性加密系统的形式化定义和安全模型;(4)介绍了描述访问控制策略的几种常见的访问结构。29 基于属性加密的数据访问控制方法研究第3章具有权限区分的多属性权威访问控制方案在基于属性的访问控制机制中,如果多个用户都满足访问策略,通常他们获得相同的访问权限。但是,随着物联网、云计算、能源互联网、互联网医疗等的发展,大规模用户的需求变得多样化,对权限的要求变得更加细粒度,即拥有不同属性的用户希望获得不同的权限。本章在基于属性加密和对称加密算法的基础上,提出了一种权限可区分的多属性权威访问控制方案。3.1引言在属性密码系统中,如果用户的属性集满足访问策略,则这些用户只能得到相同的权限。一般认为用户获得的最基本权限为“读”或“写”操作,只有一种权限,不加区分。但是基于现阶段复杂的分布式应用环境,用户大规模化,用户种类复杂化,且由于应用对象的不同,用户需求多样化,具有不同属性的用户,需要在权限方面体现,即获得不同的权限,比如读、写、备份、拷贝、引用等,所以在设计访问控制策略的同时也要考虑多样化权限问题。目前,对于多样化权限的研究还比较少,因而,要从访问控制策略出发,考虑用户多样化权限控制,又尽可能少增加计算或者通信负担,甚至不增加,是当前网络信息多样化管理的一个难题。与此同时,在一些场景下,如大规模分布式应用中,单个属性权威的属性密码系统无法满足对不同机构协作的需求,而且,这个属性权威一般是攻击的首选目标,属性权威管理系统中所有属性且为用户颁发属性密钥,工作量大,成为系统的性能瓶颈。例如(见图3.1):四个属性权威分管四个属性集1{,,}aaa123,A{,}aa,{,,}aaa,A{,aaaa,,},最小需求为d2,d1,24536784910111212d2,d2。u,u,u是三个用户,CCC,,为密文。用户相关的属性集是34123123{,,,,,aaaaaaa,},{,,,}aaaa,{,,,,,aaaaaaa,},u112468910u21478u3124781012密文相关的属性集是{,,,,,}aaaaaa,{,,aaaa,},C1124678C268910C3{{,,,,},{,,,aaaaa12468aaa124aaaaa6,,810,11,12}}。在图3.1中,(1)u1可以解密密文C1,而u2不可以。u1只需要满足属性权威A1,A和A,不需要满足属性权威A的属性要求;(2)u可以解密密文C和密文C,234112但是分别需要满足属性权威集合{,,}和{,},他们满足属性权威的个数12334不同;(3)u1通过满足属性权威{,12,3}的属性要求获得了权限P1,但是u3满足所有属性权威的属性要求后获得了权限P。230 博士学位论文通过这个例子,可以得出:(1)在不同的应用中,需要不同的权限。因此,在设计访问策略时应考虑不同权限问题。用户的基本操作一般为“读”和“写”,而且,一旦获得“写”权限,那么自然就获得了“读”权限;(2)当一个用户仅满足部分属性权威的属性要求时,他只能获得一种权限。因此,在本章中,为了提供“读”和“写”两种不同的权限,选择了两个不同的密钥用来控制两种权限,而访问策略由数据所有者生成。图3.1基于属性的细粒度访问控制本章将解决下述问题:许多学者将属性加密应用于各场景的用户访问控制,但是,同一系统中不同用户权限的问题经常被忽略,例如:有些用户只能有读权限,而有些用户还能复制。在以前的多属性权威加密方案中,用户必须满足每一个属性权威的要求,才可以获得有效的访问权限。也就是说,用户必须计算与每一个属性权威[62]相关的解密信息。Chase将该问题进行了扩展,但是仍存在一定的限制,接下来将在本章给出详细地讨论。在现有的属性加密方案中,关注点聚焦在访问策略和解密能力等方面,数据所有者DO的诚实性和数据的完整性考虑的比较少。例如,一个用户满足了所有的属性要求获得了一个消息,但是该消息在加密前或者传输的过程中被篡改了。为了解决这些问题,本章提出了一个基于属性加密的、数据所有者诚实性可验证的多权威的访问控制方案,完成的工作如下:该机制中,在保护数据机密性的前提下,对访问权限进行了区分,使得拥有不同属性集的用户拥有不同的权限。访问控制策略由DO生成,所以DO有更多的选择,对用户更友好。31 基于属性加密的数据访问控制方法研究为了获得“读”权限,用户只需要满足部分属性权威的要求,甚至是一个。该机制避免了用户必须计算每一权威的密钥部分的缺陷。[108]在该方案中,DO生成密文的同时,根据BLS短签名产生了一个高效的短签名,该签名确保了数据的完整性和DO的不可否认性。3.2相关定义及安全模型3.2.1安全性要求下面给出本章方案中的安全需求:(1)机密性:保证加密数据内容的安全性,防止加密消息的泄露。(2)访问控制:拥有不同属性集合的用户获得不同的访问权限。在本方案中不光有“读”权限,还有“写”权限,所以需要判断用户访问权限的类型。(3)认证性和完整性:防止解密得到的共享数据被篡改,且验证该消息的确来自正确的消息源。(4)不可伪造性:一个主动的攻击者通过伪造一个签名和密文来迷惑用户,一个有效地安全机制必须抵抗这种攻击。3.2.2形式化定义先给出本章中用到的符号,见表3.1。表3.1符号说明符号描述用户u的属性集u密文的属性集合Ck权威k处理的用户的属性集uuk权威k处理的密文的属性集CGID每个用户u的全局身份dkk||交集的最小属性数kuC本章提出的具有权限区分的可验证的多权威的属性访问控制机制(VerifiableMulti-AuthorityAttribute-basedAccessControlSchemeWithDifferentPermissions,vMA-ABAC-DP)包含如下四个阶段:Setup、KeyGen、EncSig和DecVer。Setup:给定一个安全参数,可信中心权威运行一个随机算法,为每个属性权威输出公、私钥对,并且输出系统公钥和自己的主密钥。KeyGen:该阶段被分为两部分:AttributeKeyGeneration和CentralKeyGeneration。32 博士学位论文-AttributeKeyGeneration:属性权威运行随机化算法,输入权威的私钥、权威值d、用户的全局身份GID和该权威域的属性集,输出用户私钥。k-CentralKeyGeneration:中心权威运行一个随机化算法输入主密钥和用户的GID,输出用户私钥。EncSig:数据所有者DO进行两项工作:加密和签名。-Encryption:DO运行随机化算法。输入所有属性权威或者部分属性权威的属性集,系统公钥,输出密文。-Signature:DO运行随机化算法。输入一个消息,输出签名。DecVer:用户进行两项工作:解密和验证。-Decryption:用户运行一个确定性算法。输入密文(在属性集C下加密)、私kk钥(根据属性集u生成)。如果|Cu|dk对部分或全部的属性权威k成立,输出消息。-Verification:用户运行验证算法。输入签名、系统公钥和解密后的消息M',输出Yes或No。3.2.3安全模型为了证明本章机制的安全性,采用了选择属性集攻击模型(Selective-att-set[34][62]model),其原型来源于选择身份安全模型。攻击游戏在攻击者A和挑战者C之间进行,具体如下:Setup1l-攻击者A提交一组攻击属性列表CCC,lK,每个集合对应一个属性权威。他同时提交了一个妥协属性权威的列表,其中不包含中心权威。-挑战者C产生系统参数且发送给攻击者A,包括系统公钥、所有诚实属性权威的公钥和妥协属性权威的私钥。Queries:攻击者A能够进行多次私钥询问,其询问限制同文献[62]中:(1)对每一个全局身份GID,至少存在一个诚实的属性权威k,攻击者Ak询问的C中的属性少于dk;(2)对相同的全局身份GID,攻击者A不能询问同一个属性权威两次。Challenge:攻击者A提交两个等长的消息M0和M1。挑战者C给出一个随机掷币b{0,1},计算在属性集C作用下的密文Mb,发送给攻击者A。MoreQueries:攻击者A根据上述的限制进行多次私钥询问。33 基于属性加密的数据访问控制方法研究Guess:攻击者输出一个关于b的猜测b'。如果bb',攻击者A攻击成功。3.2.4BLS签名BLS签名是利用双线性对构造的一种短签名方案,在基于身份的密码学中有广泛的应用,该签名方案包含三个算法:KeyGen、Sign和Verify,其中采用了一个全域哈希函数H:{0,1}*。1*xKeyGen:选择xRq,计算PKg。公钥为PK,私钥为x;xSign:给定私钥x和消息M,计算hHM()和h,则签名为;Verify:给定公钥PK、消息M和签名,计算hHM()。然后验证eg(,)ePKh(,)。3.3具有权限区分的多属性权威访问控制方案(vMA-ABAC-DP)3.3.1vMA-ABAC-DP方案描述本节,将给出具有权限区分的可验证的多属性权威的访问控制机制。在该机制中,采用混合加密机制,对称钥K用于加密消息M,而对称钥K和Kreadreadwrite采用属性加密机制加密。为了阻止共谋的发生,本方案中每个用户拥有一个和他的属性集合公钥相关的全局身份GID。同时,为了防止消息被篡改和确认消息源,DO在生成密文的时候,还产生了一个短签名。图3.2具有权限区分的多属性权威访问控制模型在本章方案中,假定:(1)有一个中心权威(CentralAuthority:CA)和K个属性34 博士学位论文权威(AttributeAuthority,AA);(2)属性全集可以划分为K个互不相交的属性集,每个属性权威管理一个属性集,中心权威不管理任何属性集。工作过程如下:首先,中心权威CA建立系统参数,所有权威产生公钥,且为每位用户u生成私钥;其次,DO用对称钥Kread加密消息M,该对称钥只提供“读”权限。然后将Kread和“写”权限Kwrite分别加密。在加密的过程中,DO为消息M生成访问控制策略和一个签名Signature;再次,当一位用户满足了部分属性权威的要求,甚至是一位属性权威的要求,他获得“读”权限并解密得到M,然后,该用户可以验证消息M的完整性,并通过签名Signature认证DO,即数据源;最后,如果用户还想获得“写”权限,他必须满足所有属性权威的要求,包括中心权威。具体的访问控制模型见图3.1。3.3.2vMA-ABAC-DP方案本章方案vMA-ABAC-DP包含Setup、KeyGen、EncSig和DecVer四个阶段,具体如下:Setup:设1、2是两个阶为素数q的循环群,生成元g1,e:。为所有权威选择种子s,,s,并且从中选择1121Kqy0,{}tkik,1,,;1,,Kin,H是一个哈希函数H:{0,1}*1。Yegg(,)y0。系统公钥为:0KeyGen:-AttributeKeyGeneration(属性权威k):权威私钥:stk,k,1,,tkn,;权威公钥:T,,T,其中Tgtki,,Yegg(,)yku,;k,1kn,ki,ku,用户u的私钥:假设yku,Fusk(),随机选择dk1阶的多项式p,且满足pi()p(0)ytki,,则用户私钥为:{Dg}。ku,ki,iu-CentralKeyGeneration(中心权威k):中心权威的私钥:y0KyFu(),则用户私钥为:(y0k0yku,)用户u私钥:设ku,skDCAg。综上,用户u私钥为skuDCA,{Dkii,}u。35 基于属性加密的数据访问控制方法研究sEncSig:身份为GID的用户随机选择sRq,Pug,sK{Eki,Tki,}iCk,k{1,2,,}K。M是要共享的消息,read是对称钥,控制“读”权限,“写”权限钥为Kwrite。-Encryption:用对称钥Kread加密消息M,CrEKread(M),EYK0write。数据所有者DO产生一个集合LEB{||kCu|dk},将Kread划分为|LEB|部分:Kr1,Kr2,,KrLEB||,且有KreadKr1||||KrLEB||,则s{EEYK}。kku,rkkLEBss-Signature:计算hHMg(||)和h。签名为。加密后的密文为:CCEPr,,u,{Eki,}ik,k{1,2,,}K,{EEkkLEB},.CDecVer:kk-DecryptionK:针对每个属性权威kLEB和d个属性i,计readkCueE(,D)egg(,)pis()。插值Ysegg(,)pis()iS,(0)egg(,)p(0)s算ki,ki,ku,egg(,)yku,s,然后计算{KEEY/s},从而获得KK||||K,rkkkukLEB,readr1rLEB||于是M'DK()Cr(3.1)reads-Verification:首先,用户计算hHMg(||),然后验证下式:eg(,)ePh(,)u(3.2)如果(3.2)式成立,M没有被篡改且DO是诚实的;否则,M被篡改了或者签名者不是正确的那一位。kk-DecryptionK:针对所有属性权威k和d个属性i,计算writekCueE(,D)egg(,)pis(),插值得到每一个Ysegg(,)p(0)segg(,)yku,s,计ki,ki,ku,ssKss算YCAePD(,uCA),组合这些值获得YCAk0Yku,Y0,于是sKEY/(3.3)write03.4vMA-ABAC-DP方案的正确性验证和安全性证明3.4.1正确性验证EEY/sEEegg/(,)p(0)sYsK/egg(,)pis()iS,(0)K,(1)kku,kku,rkrk36 博士学位论文KK||||K,readr1rLEB||MD()C。Kreadrss(2)eg(,)egh(,)egh(,)ePh(,)u。ssKsKpis()iS,(0)(3)EY/0EY/(CAk1Yku,)EePD/((,uCA)k1egg(,))Kwrite。3.4.2安全性证明在方案vMA-ABAC-DP中,不仅数据的机密性被保证了,而且数据的完整性和数据源的认证也被保证了。因此本方案的安全性包含两部分:数据机密性和签名不可伪造性。数据的机密性将在选择属性集安全模型(selective-att-setmodel)下证明,签名不可伪造性将在适应性选择消息攻击(adaptiveselective-messageattack)下证明。定理3.1(选择属性集安全)如果不存在一个算法以不可忽略的优势攻破修正的判定双线性Diffie-Hellman(MDBDH)问题,则具有权限区分的可验证的多属性权威的访问控制机制(vMA-ABAC-DP)是选择属性集安全的。下面先就后面的证明给出一些说明,然后给出一个详细的证明。机密性:在本章方案中,存在两种权限:“读”权限和“写”权限,每种权限将获得不同的解密能力,必须满足的属性权威的数目也不同。特别地,在第一种权限中,无需中心权威的参与。这两个过程都包含机密性,但是细节不同,将分别进行证明。“读”权限ReadPermission:要获得这种权限,只需要满足部分属性权威的要kk求,至少是一个。只要存在一个诚实的属性权威k,|Cu|dk,则攻击者A允许对给定的用户u和属性集u进行私钥查询。因此,最坏的情况是:除了权y的秘密份额Ysegg(,)yku,s。需要一些威k,对所有的权威,攻击者A能计算ku,ku,abKEEY/s中攻击者不能计算的值(egg(,)c与随机的是不可区分的)。因此,必rkkku,须把这个无法计算的值“嵌入”秘密份额yku,,如果攻击者没有该权威要求的有效的属性集。因此,在解密K的过程中,攻击者A只需要满足一个权威的属性要求rk就可以了,在此情况下,证明过程可以看作是一个单权威的方案。“写”权限WritePermission:该加密和解密的过程与Chase的方案相似,因此详细证明过程见文献[62]中。证明:本章方案的机密性的证明包含两个阶段,一个是获得“读”权限Kread以解密加密的消息,另一个是获得“写”权限Kwrite。第一阶段:假设存在一个多项式时间的攻击者A,在选择属性集模式下以优37 基于属性加密的数据访问控制方法研究势攻破该方案,挑战者C将以优势模拟MDBDH游戏。具体的模拟过程如下:2挑战者C设置群1和2和双线性映射e以及生成元g。挑战者C进行公平的abABCZgggeggabcc;否则设置掷币{0,1},,如果0,则设置(,,,)(,,,(,))abcR*(,,,)(ABCZgggegg,,,(,)),其中abcR,,,RZq。kSetup攻击者A提交一个诚实属性权威的属性集C。挑战者C按如下a方式产生公钥:给定YkegA(,)egg(,),选择随机的ki,q,{Tgcki,}且,{Tgki,}。ki,ikki,qki,ikkCuCkkkSecretKeyQueries攻击者A对属性集u(|Cu|dk)进行私钥查询。首先以下述方式定义三个集合、'、S:kk,Cuk'且|'|d1,uS'{0}。接下来为属性i'定义解密钥元素Dki,:i:Dgsi,其中如果ki,siRq;i如果i':Dgki,,其中。ki,iRq设定了这些值后,隐式地选择一个随机的d1阶多项式px(),通过选择d1个点确定多项式px()且设定p(0)a。为每个i,pi()ckii,s;i',pi()。ikk当i'时,挑战者C可以计算其他的Dki,,因为他知道所有iuC的离散对数。挑战者C执行如下任务:Ifi':kjj,sjS,()ijjS,()i()i0,SD(Ckj,)(gkj,)Yi。ki,jj'pi()应用插值,挑战者C可以计算Dgti,i',其中px()由其它隐式随机ki,k指定的dk1变量、Diki,(')和Yku,确定。因此,模拟器能够为一个属性集u构造其私钥。Challenge:攻击者A提交给挑战者C两个等长的消息M0和M1。攻击者C进行随机掷币b{0,1},返回对Mb加密的密文。密文计算如下:38 博士学位论文siCE(M),{EBi},EEegA(,)cki,KrbKreadbki,iCkrkabZeggc。如果设r'b,那么有如果0,那么(,)cabbcki,Eegg(,)cKegg(,)ar'KYr'K和EBki,gbki,gc0rkrkkrkki,grc'ki,(T)r'M在下的一个随机加密。否ki,。因此,密文是对消息bCRR则,如果1,那么Zegg(,),则E1egg(,)Krk,由于R是随机的,从攻击者的角度出发,E1将是2中的随机元素,不包含消息Mb的任何信息。MoreSecretKeyQueries:攻击者A重复上面的过程。Guess:攻击者A提交一个关于b的猜测b'。如果bb',挑战者C输出'0,即表明这是一个给定的MDBDH-组;否则,输出'1,表明给定了一个随机的四元组。Pr[bb'|1]1。当1时,攻击者A没有获得b的信息。因此,有2Pr['|1]1。由于当bb'时,挑战者猜测,则有2如果0,攻击者的得到了对消息Mb的加密。根据定义,攻击者的优势Pr[bb'|0]1。当bb'时,挑战者猜测'0,则为,所以有2Pr['|0]1。2挑战者在判定MBDH游戏中的总的优势为:1Pr['|0]1Pr['|1]11(1)1111222222222第二阶段:与文献[62]中相似。定理3.2在随机预言模式中,如果BLS短签名在适应性选择消息攻击模式下是抵抗存在性伪造的,则本章方案vMA-ABAC-DP中的签名机制在适应性选择消息攻击模式下也是抵抗存在性伪造的。证明:本章方案中的签名采用了BLS短签名,由于BLS签名在适应性选择消息攻击模式下是抵抗存在性伪造的,所以本方案中的签名也在适应性选择消息攻击模式下是抵抗存在性伪造的。3.5vMA-ABAC-DP方案的讨论和比较3.5.1vMA-ABAC-DP方案分析在本章方案中,采用属性加密方式加密了对称钥K而不是加密消息M,降read39 基于属性加密的数据访问控制方法研究低了属性密码方案的负荷。K被划分成了|LEB|部分且分别被加密,阻止了攻read击者拥有一份而获得消息M,提高了机制安全性和数据机密性。在加密的过程中,为了保证加密的有效性,将对称加密和非对称加密进行了有效地组合:采用对称加密方法加密共享数据,采用公钥密码系统加密对称钥。混合加密机制保证了非法用户不能得到加密钥;同时,防止非法用户和恶意用户破坏系统中的合法用户和诚实用户的信息。数据所有者DO提供的签名,一方面,可以用于验证DO的诚实性和消息的完整性;另一方面,即使非法用户能破解加密数据,由于不知道K,他们也不能write对合法用户的消息进行“写”操作,如果出现非法的修改操作将被检测出来。综上,本章方案具有如下性质:性质3.1本章方案保证了加密数据的机密性。在本章方案中,采用对称加密方式加密了消息M,又采用属性加密方式加密了对称钥K。在加密K时,K被划分成了|LEB|部分后分别被加密,攻击readreadreadpi()者由于不拥有某个属性i而没有Dgtki,,因而无法计算出Ys,进而获取ki,ku,Krk失败,从而无法获得对称钥K,保证了加密数据内容的安全性,防止加密消息read的泄露。性质3.2本章方案为拥有不同属性集合的用户提供了不同的访问权限。本章方案中为用户提供了“读”和“写”两种权限,根据数据所有者的加密情况,满足部分属性权威要求的用户只能获得“读”权限,而只有满足所有属性权威要求的用户才可以获得“写”权限。性质3.3本章方案抵抗了用户间的共谋。在本章方案中,攻击者要获得加密消息,就必须获得对称钥K,但是,由reads于共谋用户的yku,不同,所以无法计算出Yku,,导致获取Krk失败,从而抵抗了用户间的共谋。性质3.4本章方案提供了签名的不可伪造性,保证了加密数据的完整性和认证性。本章方案中,由于提供了“写”权限,所以用户在加密消息的同时提供了一个签名,或者有“写”权限的用户“写”后进行签名,数据所有者通过计算sshHMg(||)生成签名h,用户可以通过eg(,)ePh(,)验证。首先,伪造者u由于不知道s无法伪造签名;其次,由于签名中包含了明文消息M,通过上式可以验证消息是否被篡改了。所以,该方案提供了签名的不可伪造性,同时保证了加密数据的完整性和认证性。40 博士学位论文3.5.2vMA-ABAC-DP方案比较[62]在本章和Chase的方案中,都讨论到了用户解密前必须满足的属性权威的数目问题,但是,在Chase的方案中存在一些限制。下面将给出具体的比较:(1)在本章方案中,通过为每个属性权威增加一个公钥来解决了该问题。数据s所有者DO根据LEB{||kCu|dk}将EEkYku,Krk包含在密文中。为了能够解密一个消息,用户不需要满足那些不在LEB中的属性权威的要求。在Chase的TgtNk,中心方案中,他为每一个权威增加了一个“权威属性”和一个相应地公钥NkDgyku,/tNk。DO将Ts为那些不权威为每个用户一个关于每个属性权威的私钥NkNks必满足属性要求的权威们包含在密文中,当解密时,用户将组合T和D。可以NkNk得出结论:在Chase的方案中,当产生访问策略时,中心权威和数据所有者DO都参与,而在本章方案中,只需要数据所有者,减少了对中心权威的依赖性,更容易扩展到半可信权威甚至不可信权威的机制。(2)在Chase方案中,作者做了一个扩展,使得用户解密时至少要满足D(1DK)个属性权威,然而在本章方案中,需要满足的属性权威的数目是数据所有者设定,可以是小于等于K的任意数,甚至是1。所以,本章的新方案在应用中更灵活。表3.2增加的信息和计算花费比较项Chase方案[62]本章方案每个属性权威一个权威属性k,一个公钥TNk一个公钥中心权威K个公钥DNk0sLEBEE密文xTNk||k解密0计算花费(K|LEB|)计算花费(3)在上面的过程中,两个机制中都增加了一些信息和计算,见表3.2。假定只有一个用户,K个属性权威,x(1xK)个不需要满足属性要求的属性权威,||q表示群、重元素的长度,在本章方案中,解密时包含|LEB|个属性权威,12其中1|LEB|K。在Chase方案中,为每个属性权威增加了一个权威属性k和一个公钥,每个属性权威给每个用户增加了一个私钥元素D,在解密时为x个无需Nks满足属性要求的属性权威分别增加了一个T,增加的总的通信量为NkKk||2Kq||xq||=Kk||(2Kx)||q。然而,在本章方案中,为每个属性权威增加了一个公钥,增加了|LEB|EEk,增加的总通信量为(K|LEB|)||q。在解41 基于属性加密的数据访问控制方法研究Kegg(,)yku,s,总的计算量没有增加也没有减少。密时,在Chase方案中需要计算|LEBegg|(,)yku,s,计算量至少减少但是,在本章方案中,只需要计算(K|LEB|)(,)eggyku,s。因此,从上述分析得出,本章方案在通信量和计算量方面要更好。图3.3给出了两个方案不同属性权威个数时增加的通信量。Chase方案中增加的信息量表示为Kk||(2Kx)||q,其中xD+K(1xK,1DK),D作为至少需要满足的属性权威的个数,越小越好,x作为无需满足的属性权威个数,越s大越好,但是,一旦越大,增加的T越多,因而需要折中两者的取值,因此,实NkxK。而||||kq,所以Kk||(2Kx)||q(2Kx)||q,用不等式验过程中2右端缩小的值近似表示Chase方案中的增加量。本章方案增加的通信量为(K|LEB|)||q,其中1|LEB|K,在实验过程中取最大值K,则有(K|LEB|)||2||qKq,取放大的近似值。经过上述处理后,不同属性权威个数时两个方案中增加的信息量如图3.3所示,如果取到精确值,两条曲线之间的垂直距离会更大,而且随着K的增大,增大的速度更快。图3.3不同属性权威个数时的信息增加量3.5.3方案讨论本章方案和Chase的方案中都采用了基于门限的访问结构,仅从属性数量方面控制用户权限,为了更丰富、更具体地描述用户的特征,对权限的管理更细化,可以考虑用多属性值的“与”门访问结构或线性秘密共享结构等。例如采用多值属性的“与”门访问结构,则数据所有者DO在加密“读”权限密钥Kread前,对LEB的kkk表示用户u需要满足处理将大不相同。此时,LEB{|Ak满足密文策略},uCC的密文C的密文策略中属性权威k相关的密文策略部分,密文C的访问策略42 博士学位论文kCC,所以,当用户只是获取“读”权限时,只需满足LEB中要求的属kLEB性权威的对应的密文策略即可。如果用户想获取“写”权限,则在此基础上,还要满足其余属性权威对应的密文策略,包括中心权威的。本章方案仅提供了“读”和“写”权限,但在实际应用中可能会需要更多类型的访问权限,方案根据具体的应用场景会做一些相应的修改。比如,在健康记录共享系统中,可能的用户有医生、亲属、朋友、普通用户等,这些用户的访问权限不同,分属在不同的用户域中,每个域用一个“域标签”标记。方案实施过程中,将用户的权限与域标签关联起来:属性权威k根据用户属性集kA和域标upi()Dgtki,签为用户生成相应属性钥元素,数据所有者DO也在密文中嵌入属性ki,s标签Eki,(Tki,)。这样一来,无需Kwrite,只需要一个对称密钥KABEKread,而中心权威的功能被大大削弱了,甚至可以去掉。所以,在该应用场景中,不仅能提供更多样化的访问权限,而且无需中心权威。3.6本章小结为了解决现有属性加密体制中用户权限单一和数据所有者的诚实性被忽略问题,本章主要开展了以下研究工作:(1)介绍了本章方案的安全性要求、形式化定义、安全模型和BLS签名;(2)提出了一个具有权限区分的多属性权威访问控制方案vMA-ABAC-DP,给出该方案的具体描述和方案的四个阶段;(3)在选择属性集安全模型下证明了该方案的安全性;(4)将本方案与Chase方案进行了讨论和比较分析,通过比较分析,本章方案中的访问控制策略具有由数据所有者DO独自生成的优点,同时增加的信息量和计算花费更少。43 基于属性加密的数据访问控制方法研究第4章面向用户组可验证的基于属性的访问控制在基于属性密码系统中,用户的身份特征用属性集合表示,不仅丰富了访问策略的表示方式,而且将属性集合和访问结构非常灵活地结合起来,从而实现对密文和密钥的有效访问控制。当用属性集合表示用户的身份信息时,用户组也可以具备同样的属性集合,所以一个属性集既可以表示单独的用户,也可以表示由多个用户组成的用户组。在本章,将构造一个面向用户组可验证的基于属性的访问控制方案。4.1引言自从基于属性加密的概念被提出来以后,近十年得到了迅猛的发展。然而,在属性密码机制中,通常需要存在一个值得信赖的中心权威CA负责系统的初始化和密钥分配,对CA的依赖性比较强,而这在现实中是不可能的;CA是没有被监督的,缺乏对属性密钥的验证。因此,CA很容易成为攻击的首选目标,一旦受到攻击而妥协,就可能会分发错误的密钥,从而对系统造成损害。为了解决权威中[61-62][63]心易被攻击产生瓶颈问题,Chase等人和Lewko等人引入了多权威的概念,[111]但是没有对CA的监督。Tangs等在文献提出了两个可验证的基于属性的加密方案,一个是单权威的,另一个是多权威的。在这两个方案中,虽然可以完成监[112]督CA的功能,但是属性钥验证时的计算量比较大。王永涛在他的博士论文中也讨论了监督中心权威的问题,可是在他的方案中,需要用户和中心权威之间的交互。数据所有者DO加密共享数据,如果一个用户拥有有效的属性集合,他可以得到完全的权限,这将导致用户的权利过度集中和滥用。在一些重要的、安全性要求很高的应用中,都需要用户权限的高安全性和分散用户权限,如银行网络管理、开启金库账户、导弹控制和发射、以及发射核武器,在完成任务时必须是所有授权用户或一定数量的授权用户参与。本章将解决下述问题:在许多对数据机密性要求很高、对用户权限控制很严格的应用场合中,分散用户权限的问题被忽略,例如要获得某一权限时至少若干人协作完成。现有的属性加密方案中,为了解决中心权威可信问题和易被攻击问题,通常采用多个权威的方法,很少考虑对中心权威的监督问题。为了克服上述问题,本章提出了第一个面向用户组的可验证的基于属性的访问控制方案(AnUserGroupOrientedVerifiableAttribute-basedAccessControlScheme:GO-ABACv)。本章的创新点如下:该方案通过引入用户组,而分散了用户权限,避免了权利过分集中造成的44 博士学位论文职权滥用操作;通过验证中心权威CA提供的证据,验证属性钥的正确性,建立起对中心权威CA的监督机制。用户可以检测同一组里其他用户的诚实性,减少不必要的恢复操作。4.2相关定义及安全模型本节先给出面向用户组的可验证的基于属性的访问控制方案GO-ABACv的定[113]义,然后,给出后文中将要用到的Schoenmakers可验证秘密共享机制。4.2.1面向用户组可验证的基于属性的访问控制(GO-ABACv)面向用户组可验证的访问控制机制GO-ABACv是一个特殊的基于属性加密的访问控制方案,其解密者是一个用户组,属性钥的正确性在用户获得时可以验证,用户组中每个参与者的诚实性在解密操作前也可以被检测。GO-ABACv机制包含下述四个阶段:Setup:给定一个安全参数,可信权威运行一个随机化算法,输出系统公共参数Params和主密钥MK。-UserPrivateKeyGeneration:用户运行一个随机化算法,输出用户的私钥和相应的公钥。Encryption:加密算法输入公共参数Params、消息M和访问结构。该算法将加密消息M生成密文CT,用户组中的至少t1个满足访问结构的用户合作解密加密消息。假定密文包含。KeyGen:中心权威运行随机化算法,输入主密钥MK和一个用户组的n个属性集。为用户组中的每个用户生成一个属性钥,公共信息和用于后面验证的证据。Verification:每个用户运行验证算法。输入公共信息和证据,输出True或False。DecRecon:用户执行两项工作:重构和解密。-Reconstruction:每个用户更新自己的属性钥并且提供验证和解密的证据。每个参与者验证收到信息的正确性并重构秘密份额。-Decryption:用户组运行一个确定性算法。输入与访问树相关的密文,输出明文消息M。4.2.2安全模型GO-ABACv选择明文攻击(chosen-plaintextattack:CPA)下的语义安全由IND-sAtt-CPA游45 基于属性加密的数据访问控制方法研究戏建模。该游戏在一个挑战者C和一个攻击者群AG{AdAd1,2,,Adn}之间进行,挑战者C模拟协议的执行并回答AG的询问。游戏如下:*Init:攻击者群AG提交挑战访问树给挑战者C。Setup:挑战者C运行Setup算法产生公共参数Params和主密钥MK,且将公共参数Params发送给攻击者群AG。Phase1:攻击者群AG允许查询验证信息和私钥。唯一的限制是对每一个*用户组,至少存在nt1个属性不满足的参与者。Challenge:攻击者群AG提交两个等长的消息M0和M1。挑战者C给出一*个随机掷币b{0,1},返回密文CbEncryptM(b,,PK)。Phase2:重复Phase1。Guess:攻击者群AG输出一个关于b的猜测b'。定义4.1(OG-ABACv安全)如果在IND-sAtt-CPA游戏中,不存在多项式时间的攻击者以不可忽略的优势赢得游戏,则GO-ABACv机制是适应性选择明文攻|Pr['bb]1|。击安全的,其中优势24.2.3安全性要求下面给出本章方案中的安全需求:(1)机密性:保证加密数据内容的安全性,防止加密消息的泄露。(2)抵抗共谋:防止不同用户组里的多个用户通过共谋获得访问权限。4.2.4Schoenmakers可验证的秘密共享机制1985年,Schoenmaker采用基于离散对数问题和Diffie-Hellman困难问题的非[114]交互的零知识证明算法-DLEQ,实现了一个经典的公钥可验证秘密共享机制。与其他方案相比,该方案具有结构简单、安全性好和性能好等特点。分发者是D,参与者集合为U{,,uu,}u,t是系统门限值。是一个阶为素数q的群,该群12n中离散对数问题是困难的,gh,是群的不同的生成元。该方案包含以下三个阶段:*Initialization:gh,是的生成元。参与者ui随机选择xiRZq作为私钥,yhxi为自己的公钥。注册i46 博士学位论文Distribution:协议包含两个步骤:(1)Distributionoftheshares。分发者随机选择t1阶的多项式fx(),并设ra0,t1jfx()axj,ajZq。分发者秘密保存这个多项式,公布相关的公开信息j0ajCg(j0,1,,t1),同时公布用参与者公钥加密的秘密份额jfi()t1ijYiyi(i1,2,,)n。最后,令Xij0Cj。分发者执行证据生成过程,使各fi()fi()参与者相信收到的秘密份额Yy(i1,2,,)n是有效的,且满足Xg,iiifi()Yy。ii分发者选择Z,就算agi,ayi。公开信息为:iq1i2iicHX(||||1XYn||||1||Yn||a11||||a1n||a21||||a2n||),每个参与者u的承诺为rfic()mod(qi1,2,,)n,证据为:iiiPROOF(,,,crr,)r。D12nt1ij(2)Verificationoftheshares。每个参与者通过Cj可以计算Xij0Cj。利用公开信息yXYri,,,(1,2,,)n,验证者计算aa,,其中agXaric,yYric,iiii1i2i1ii2iii并且检测XYaai,,,(1,2,,)n的哈希值是否匹配c。ii1i2iReconstruction:该协议包括两步:(1)Decryptionoftheshares。每个参与者利用自己的私钥x计算共享份额i1SYximodq,执行非交互协议DLEQhySYx(,,,,),公布S和证据Proof,证明iiiiiiiuiaaS的一致性,即在不泄露x的情况下证明用户u拥有x,且满足yh和YS。iiiiiii(2)Poolingtheshares。假设有至少t个参与者uiBi({1,2,,},||nBt)计算S出了正确的秘密SiBi,。根据拉格朗日插值可以获得共享秘密h:hrSCBihfiC()BihfiC()Biii其中CBijimodq是拉格朗日系数。47 基于属性加密的数据访问控制方法研究4.3面向用户组可验证的基于属性的访问控制方案(GO-ABACv)本章方案采用2.4.2节介绍的访问树结构,树中的每个非叶节点表示一个门限门,由它的孩子们和一个门限值k描述。树中每个叶节点x表示一个属性,其x门限值k1。x4.3.1GO-ABACv方案描述在本方案中,为了分散用户权限,增强重要、敏感和机密信息的安全性和完整性,将单个的解密者扩展为一个由n个用户组成的用户组,每个参与者只存储少量的数据信息。一个用户组中,如果至少t(门限值)个参与者的属性通过密文访问结构且为其它用户提供正确的信息份额,该用户组才能解密共享数据,这种情况可以避免无效的恢复操作,增强实用性。为了解决中心权威CA的可信问题,方案中引入了可验证的秘密共享方案,用来验证生成密钥的正确性,并减少对CA的依赖性,甚至半可信或不可信CA用于该系统。在同一时间,每个参与者通过检查同一个用户组中其他参与者提供的信息,进而验证他们的诚实性。方案中包含三个实体:(1)中心权威CA:生成系统参数,为用户组分发关联密钥;(2)数据所有者DO:根据访问策略生成加密的共享数据;(3)一个用户组{,,,}uuu:至少t个合作才可以获得访问或操作权限。访问控制模型见图4.1。12n图4.1面向用户组的访问控制模型48 博士学位论文4.3.2GO-ABACv方案设和表示两个双线性群,它们的阶为素数q,g和g是的两个不同1211的生成元。e:表示双线性映射。表示拉格朗日插值系数,iZ,112is,qxj*S是一个由Zq元素构成的集合,is,()xiSji,ij。H:{0,1}1是一个哈希函数。方案的具体构造如下:Setup-Authority:权威CA选择,RZq,公布公共参数Params(,,,1gghg1,Yegg(,)),秘密保存主密钥MK(,g)。u:用户u选择xZ*作为他的私钥,公布相应的公钥ygxi。-UseriiiRqi1Encryption:数据所有者DO为每个节点x选择一个多项式qx()。这些多项式的选择方式采取从上到下的顺序,首先从根节点R开始。树中的每个节点x,它的多项式qx的阶dx小于该节点的门限值kx,即dxkx1。从根节点R开始,DO随机选择sZq,令qR(0)s。接下来,他随机选择dR个其它的点将该多项式q完全确定下来。对于除根节点外的其它节点x,他R设置q(0)q(indexx()),并且随机选择其它的d个点完全确定q。xparentx()xx假设Y是树中所有叶节点的集合,则密文为:ssqy(0)qy(0)CT,CMYC,'h,yYC:g,C'Hattry(())。yyt1jKeyGen:权威CA选择了一个多项式fx()j0axj,arrj,,ijZq,ajarj(1,2,,t1)。计算承诺值Cg(j0,1,,t1)和私钥份额0j1fi()fi()Xg,Yy,(i1,2,,)n。然后,CA随机选择Z并计算iiiiqagi,ayi,cHX(||||X||Y||||Y||a||||a||a||||a||)。1i2ii1n1n111n212n每个参与者u的响应为rfic()modq。iii(r)/CA公布(CYPROOFj,,iau(,,cr1,))rn,并发送SKi(Dg,jAD,gfi()Hj(),rijD'grij/gfi())给用户u,A是用户u的属性集。iijij1iiiu根据C计算X,采用yYrc,,,和agXric,Verification:每个参与者ijiiii1iiayYric(1in)验证cHX(||||XY||||||Ya||||||a||a||||a||)。2iii1n1n111n212n49 基于属性加密的数据访问控制方法研究如果返回"True",则私钥是正确的。Decrypt:1u更新dDS'grij,其中SYximodqgfi()。-Reconstruction:参与者iijijiii1eDC(ij,x)fiq()x(0)如果x是一个叶节点,则DecryptNodeCTSKx(,i,)edC(ij,x')egg(,);如果x是非叶结点,则递归计算DecryptNodeCTSKx(,i,)直到输出fiq()(0)xiS,(0)fiq()R(0)fis()PAiegg(,)egg(,)egg(,),其中iS{0,1,,numR}。执行DLEQgySYx(,,,,),公布S和proof,验证S以确保它的一致性。1iiiiiUii-Decryption:如果至少t个参与者ui得出了正确的Si,则得到PAi,然后APAiS,'(0)egg(,)rs(iS'US,|'|)t,MCeCDA/((',)/)。i4.4GO-ABACv方案的正确性分析和安全性证明4.4.1正确性验证下面给出正确性验证:'rij(1)dDSg,ijijieDC(,)eg(fi()Hj(),rijgqx(0))fiq()(0)DecryptNodeCTSKx(,,)ijx=(,)eggx(2)iedC(ij,x')eg(rij,(Hattrx())qx(0)),fiq()(0)xiS,(0)fiq()R(0)fis()(3)PAiegg(,)egg(,)egg(,),(4)APAiS,'(0)egg(,)fis()iS,'(0)egg(,)rs,iss(r)/rs(5)CeCDA/((',)/)MY/((,ehg)/(,))eggM。4.4.2安全性证明定理4.1如果存在一个PPT算法产生密钥和验证信息,所有的份额是正确的,并且用户组能以概率1重构该秘密,则一个GO-ABACv方案是可验证的。证明:在GO-ABACv方案中,采用了Schoenmakers验证方法,它是一个经典的非交互的PVSS方案,它的安全性证明在文献[113]中详细讨论了。在GO-ABACv方案中,权威CA运行Setup算法产生私钥SKi和验证信息(CYPROOF,,),i1,2,,n。私钥通过计算cHX(||||X||||Y||Ya||||jiau1n1n1150 博士学位论文||a||a||||a||)被验证了,每一个参与者获得了正确的份额。每个参与者通1n212nfis()rs过插值计算egg(,)。接下来,t个参与者提供了他们的份额共同计算egg(,)并解密了正确的消息。综上,该GO-ABACv方案是可验证的。*定理4.2假设DBDH假设成立,则不存在多项式攻击者群,在挑战访问树下,能攻破4.2.1节的方案。本节可以演绎DBDH问题到攻破本文方案问题,也就是说,给定abcabcAgBgCg,,,通过随机的Zq区分egg(,)和egg(,)。假设存在一个攻击者群,可以攻击4.2节定义的GO-ABACv的安全模型。这说明,即便给定了s一个挑战加密,MbCegg/(,)与一个随机消息是不可区分的。基于DBDH假s设的演绎,隐式地设定sc,egg(,)和h作为公钥的一部分需要输出。攻击者n群被允许对一个给定的用户组的私钥进行询问,该用户组中至少nt1(t1)个2*参与者的属性不满足挑战访问树,即:在最坏的情况下,该用户组中只有t1个参与者能够计算d和PAegg(,)fis()。需要在计算((',)/eCDPAiS,'(0)egg(,)s时,ijii攻击者群有一些无法计算的值。证明:假设该攻击者群A能够以不可忽略的优势赢得IND-sAtt-CPA游戏。G则存在另一个利用攻击者群AG能够以优势2解决DBDH假设的模拟器B。在开始游戏之前,挑战者建立具有双线性映射e的素数阶群1和2,g是群1的生成元,随机选择abc,,,Zq。挑战者C进行公平随机掷币{0,1},如果0,设置abcZegg(,);如果1,则Zegg(,)。挑战者C给定DBDH挑战:abc(,,,,)(,,,,)gABCZggggZ,其中abc,,,Z。B在IND-sAtt-CPA游戏中如下Rq模拟攻击者群A的挑战者方案:GA{AdAd,,,Ad}*Init:攻击者群G12n选择挑战访问树并提交给挑战者。aba'a'Setup:B令egg(,)egg(,)eABegg(,)(,),隐设=aba',bgghg,gB。1Phase1:51 基于属性加密的数据访问控制方法研究-PrivateKeyQuery:攻击者群AG中的参与者进行私钥询问,必须保证参**与者Adi不满足挑战树。每一次询问,挑战者选择一个随机变量kiZq,计算ygkigki。i1-AttributeSecretKeyQuery:攻击者群AG确保对任意的属性集*attr{aa|}进行在属性钥询问时满足限制a。对所有的属性iijijij*tj*aijattri,B随机选择trj,ijZq,设置Hattra(())ijg。随机选择vZq,(2abaavb')/隐式地设置rf(0)abav,选择t1个随机点vj,计算Dg,(2abaavb')/(abaabavb')/(r)/*因为Dggg。如果aij,fi()是可计算fi()trjij'rijfi()a*,隐式地设fi()av的,且Dijgg,Dijg/g;如果iji且有Dgavigtrjij,D'grij/gavi。B发送属性钥给Ad:ijiji'sk(,DaattrDD:,)。iijiijijChallenge:攻击者群AG提交两个等长的挑战消息M1和M0。模拟器B随机选择b{0,1},返回对消息Mb的加密密文,具体过程如下:scsasca'C'hh,CMYMegg(,)MZegg(,),bbba*,根为p(0)sc,Z*:j'tjj对每个ijjqCijg,Cijg。***'密文为:CT(,,',CCa:CC,)。ijijijPhase2:Adi重复Phase1中的操作。Guess:AG输出一个关于b猜测b'{0,1}。abc如果b'b,B将猜测0且Zegg(,);当1,猜测Zegg(,)。abc*当Zegg(,)时,B提供了理想的模拟,CT是一个有效的密文。因此,攻击abc1者的优势为Pr['bbZ|egg(,)]2。*如果1,则Zegg(,),密文CT对攻击者来说是一个随机的密文,他1无法获得关于Mb的任何信息,则有Pr['bbZ|egg(,)]2。当b'b时B猜测'0,当b'b时'1,B解决DBDH问题的总优势为:1Pr['|0]1Pr['|1]1。222252 博士学位论文4.5方案讨论和分析4.5.1方案讨论在属性加密方案中,最重要的属性是抵抗共谋。在本章的GO-ABACv方案中,这意味着在不同用户组里的参与者不能组合他们的属性钥以解密加密的消息。为了阻止共谋,本章方案中,KeyGen算法为每个组的参与者选择了一个不同的随机秘密值r,导致来自不同用户组的参与者生成的属性钥无法组合最终的解密钥,因rs为他们无法获得egg(,)。但是,为了获得访问权限,攻击者必须恢复相同的rsrsfis()egg(,)。为了恢复egg(,),则攻击者必须先恢复egg(,),这就需要攻击者拥有被fi()盲化的来自相同秘密值r的秘密份额。在基于属性的访问控制方案中,引入一个密钥验证机制,构建可验证的属性加密方案是重要的。在本章的可验证方案中,CA产生密钥和密钥认证信息,然后将这些信息发送给用户们。当一个用户收到属性钥后,他通过对CA提供的证据信息进行验证,从而可以判断收到的属性钥的正确性,当然也可以验证主密钥的正确性。这样,一个对权威CA的监督机制就建立了。该机制可以确保用户有效地检测CA的欺骗或通信造成的错误。同时,在恢复共享的秘密信息时,每一位参与者都可以检查其他用户提供的秘密份额的正确性,并可以验证用户u是否拥有x,ii但自己仍然无法获得x。在验证过程中,使用非交互的零知识证明的方法降低了i用户和CA之间、用户之间的通信成本。r在KeyGen阶段,被共享到用户群的是秘密值Rg1而不是r。参与者接收到fi()fi()用自己的私钥x加密的Yy而不是g。此外,该方案是同态的,任何人能检iii1测Y的一致性。所有这些都有利于提高系统安全性。采用拉格朗日插值作为数学基i础,结构简单、应用便捷;此外,每个参与者需要存储的信息量很小;并且,除了私钥x和属性钥sk,没有增加任何信息。ii在本章方案中,访问树结构可以被改为一棵只有一层的n-叉树。每个叶节点表示属性,内部节点表示AND和OR操作。如果某个节点的符号为,则该节点的孩子节点没有被赋值,每个孩子节点被赋值一个随机值s,1sq1,最后一iil1个孩子节点赋值为slsi1si,然后将这个节点标记为已赋值。如果节点的符号为,则每个孩子节点指定为s,这个节点标记为已赋值。这样,在加密和解密的过程中,共享或重构秘密s的计算话费会减少。显然,该方案降低了算法复杂度,降低了空间消耗,提高了效率。53 基于属性加密的数据访问控制方法研究4.5.2比较分析在一般的属性密码方案中,私钥的正确性按如下方式解决:一旦收到私钥,用户用一个满足用户属性集的逻辑表达式加密一个样本密文,然后用接收到的私钥解密。如果解密成功,那么他就能确认该私钥是正确的。相反的,在本章方案里,不需要加密和解密操作,不仅节省了不必要的计算负荷,而且验证了不同钥的正确性。[111][112]Tangs等和王永涛都提出了可验证中心权威的属性加密方案,接下来将从方案的功能性、通信量和计算量等方面将本章方案和Tangs等的方案及王永涛方案进行比较。先给出后面将要用到的符号及其表示的含义。n表示用户组里参与者的个数,N表示属性全集的属性个数。假设存在访问树,层数为L,中间节点数为N,叶节点数为N,k表示访问树中非叶节点的门限值,N表示用midleafxA户属性集的元素个数,N表示访问结构中属性个数,N、N、N和N之间满uleafuA足NN,NN,NN。e表示双线性运算,EXP表示模指数运算。leafuleafAleaf表4.1功能比较CP/KP访问结构安全性困难性假设验证性Tang方案[111]KP单调树选择DBDH非交互王方案[112]CP与门结构选择MDBDH交互认证本文方案CP单调树选择DBDH非交互(1)功能比较。相比机密性和安全性,三个方案都是选择安全的,在本章方案中,引入了一个用户组,增强了加密数据的高安全性和机密性,特别是分散了用户群权限,提高了对访问权限的安全性管理,尤其是在高机密应用中。本章方案可以解决权利过度集中问题,而Tangs等方案和王永涛的方案却不能。相比验证性,Tangs等的方案和王永涛的方案只能检测属性钥的正确性,而本章新方案,不仅能检测属性钥的正确性,而且可以验证参与者的诚实性;Tangs等的方案和本章方案的验证是非交互进行的,而王永涛的方案是交互进行的,则验证效率会受到影响。表4.2通信开销比较公共参数sk与承诺密文NmidN||||Tang方案[111](N1)|1||2|N||(k1)||A12leaf1x1x2王方案[112](2N3)|1|2|2|(2Nu2)|1||Zq|(NA3)|1||2|本文方案3|1||2|(2Nu3)|1|2|Zq|(2Nleaf1)|1||2|54 博士学位论文(2)效率比较。效率主要涉及通信开销和计算开销,表4.2和表4.3给出了主要的通信开销和计算开销。通信开销方面:相比于公共参数,本章方案的公共参数明显比其它两个方案的少。相比于属性钥sk和承诺,由于要验证属性钥的正确性,这类方案在生成属性钥的同时还提供验证信息(承诺),所以属性钥sk与承诺合在一起进行讨论,在这一环节,Tangs等方案的明显大于本章方案和王永涛的方案。密文长度方面,其它两个方案略优于本章方案。计算开销方面:验证阶段,本章方案中,验证属性钥的正确性时,每个用户只需要4个模指数运算,王永涛的方案中的计算量为5EXP(2Nu3)e,而Tangs等方案采用了访问树,从叶节点到根节点,仅一个用户必须执行至少NmidNleaf1次双线性对的操作,验证效率低。所以,Tangs等方案和王永涛的方案中的计算花费比本章方案中的要大很多。解密阶段只考虑了双线性对的计算,三个方案分别是1e、4e和2e,本章方案居中。所以,总体上,本章方案在计算方面很有优势。表4.3计算开销比较解密阶段验证阶段Tang方案[111]1e(NmidNleaf1)e王方案[112]4e5EXP(2Nu3)e本文方案2e4EXP4.6本章小结针对属性密码体制中分散用户权限、避免职权滥用,检测密钥中心遭受攻击或传输过程造成属性钥错误问题,本章提出了面向用户组的可验证属性基访问控制方案GO-ABACv。主要工作包括:(1)讨论了面向用户组的基于属性的访问控制和监督权威中心问题;(2)给出了GO-ABACv方案的形式化定义和安全模型;(3)将秘密共享和非交互的零知识证明引入属性密码体制,给出了GO-ABACv方案的具体构造,并证明了GO-ABACv方案的安全性;(4)对方案的机密性、通信成本和恢复共享秘密的效率进行了讨论,并将本方案与Tangs方案进行比较得出,本方案的用户权限管理更细化,验证属性钥时的计算量更少。55 基于属性加密的数据访问控制方法研究第5章云存储中完全隐藏访问策略的访问控制随着网络技术的发展,基于云计算的各种新型网络服务不断兴起,很多企业和个人将自己的数据迁移到第三方数据服务机构中。但是,第三方数据服务机构并不总是完全可信的,而作为特权用户,可以获得存储数据内容并与其他恶意用户勾结。因此,各类数据在存储到第三方数据服务机构之前必须被加密。基于属性的访问控制技术,由于其从功能上解决了“一对多”的加密文件共享问题,具有灵活、动态、细粒度的访问授权和强大的访问控制策略表达能力,增强了访问控制机制的灵活性和可扩展性,成为云存储环境中首选的访问控制技术。然而,不只是共享数据,访问策略本身有时也是机密信息,它可以对云服务提供者和其他的用户泄露共享数据的关键字。因此,本章提出了一个云存储中完全隐藏访问控制策略的基于属性的访问控制方案,并提供了用户属性变更功能。5.1引言云存储,源于云计算的一种重要服务,使得存储在本地存储系统的数据转移到了云系统,用户享受低成本和便捷的云服务。对用户来说非常便利,因为他不需要关心基础设施的管理和维护。此外,在一个组的多个用户之间进行有效的数[115]据共享已经成为大多数云存储服务的必要要求。虽然云存储对用户提供了许多吸引人的优势,但是也带来了一系列与存储和[116]管理这些数据的第三方数据中心CSP相关的安全问题。在传统的云计算外包模式中,一些资源有限的客户将存储和计算的工作外包给CSP,CSP通过特定的规则来完成相应的存储和计算工作。在这类应用场景中,为了保障用户的隐私与数据的安全,除了保证传统的网络安全问题,还要求CSP是完全可信的。但在实际应用中,CSP通常是半可信的,甚至是恶意的。CSP管理并检查存储在存储系统中的数据,这些数据以明文的形式存储。所以,由于CSP故障或者由于非法利益的非法滥用,外包数据的机密性问题是一个值得关注的问题。冯登国等在《云计算安全》一文中指出,云计算平台下用户的首要安全任务是数据安全与隐私保护服务,主要是防止云服务提供者恶意泄露用户的加密数据或对用户信息进行搜集[117]和分析,挖掘用户隐私信息。加密是一种行之有效的保护数据安全性的方法,数据所有者在外包数据之前可以先加密他的数据,这样,只有合法用户才能解密数据获得相关内容。传统的访问控制技术虽然能够通过访问控制列表实现对加密共享数据的访问控制,但是产生了灵活性和扩展性不足的问题,同时加密数据的开销与访问控制列表中用户的数目成正比,无法适用于用户数目庞大的云平台,因此引入基于56 博士学位论文属性加密解决该问题,而基于密文策略的属性加密(CP-ABE)则是云环境中一个很好的访问控制方法。该方法中给每个用户分配属性集,并根据这个属性集生成该用户的私钥,数据所有者根据访问策略加密明文,用户解密必须满足的访问策略随同密文一同发送给用户,其结果是:访问策略会泄露共享数据的内容关键字甚至整个内容。而且,一些数据所有者不想给未授权用户泄露他的任何信息,甚至数据格式,比如金融数据、医疗信息等敏感信息。此外,CSP并不是完全可信的,由于非法利益可能会和未授权用户一起共谋意图获取共享数据内容。鉴于以上问题,研究完全隐藏访问策略的云存储访问控制机制是非常有现实意义的。本章将解决如下问题:在有些应用中,不仅共享的数据内容是机密信息,而且访问策略本身就是隐私信息,所以它也是需要隐藏的,目前虽然有一些这方面的研究成果,但都只是部分地隐藏了访问策略;在属性密码方案中,当用户的属性发生变化时,数据所有者要重新加密共享数据,当用户数目庞大、变化频繁时,这会增加数据所有者的工作负担,造成瓶颈。为了解决上述问题,本章构建了一个完全隐藏访问策略的加密方案,接着,在该方案的基础上,增加了用户属性变更功能,构建了一个完整的云存储访问控制方案(Attribute-basedAccessControlwithaFullyHiddenAccessPolicyforCloudStorage,FHP-ABAC-CS)。在该机制中,数据所有者定义了一个细粒度的访问控制策略并且基于它生成相应密文,然后将不包含访问策略的密文发送给CSP,因此,CSP不仅无法获得加密的内容,而且对访问策略也一无所知,而且,由于完全隐藏了访问策略,所以用户属性变更时无需更新访问策略。以下是本章方案的创新点:本章方案中数据所有者生成的访问策略对所有用户(包括授权用户和非授权用户)是完全隐藏的,一个授权用户即使对加密共享数据成功解密,他也不能确定他遵守的访问策略,因为在这个过程中,用户被迫使用他所有属性密钥元素。尽管CSP对数据提供了必要的存储服务,但是明文和访问策略对其是透明的,阻止了CSP由于非法利润滥用其特权。通过代理重加密(ProxyRe-encryption,PRE),避免数据所有者重新加密的负担。当用户属性发生变更时,CSP在不知道访问策略和存数的共享数据明文的情况下采用代理重加密机制独自完成重加密任务,而数据所有者DO不需要参与这个过程。57 基于属性加密的数据访问控制方法研究5.2相关定义和安全模型5.2.1相关工作[34]继Sahai和Waters提出基于属性的密码学之后,Goyal、Pandey和Sahai于2006年又阐明了属性加密的概念和意义,且根据应用场景的不同,将基于属性的密码机制划分为密文策略的属性加密(CP-ABE)和密钥策略的属性加密(KP-ABE)。2007年,Bethencourt,Sahai和Waters提出了第一个密文策略的属性加密方案,使得访问策略的表示更丰富。然而,访问策略必须包含在密文中,则访问策略会暴露于各方而泄露加密内容的关键字,潜在的用户在解密之前就必须知道如何组合他的密钥元素,因此,这个方案会导致隐私问题。随后出现的一系列密文策略的属性加密方案仍然存在这个隐私问题,为了解决该隐私问题,属性隐藏的概念被Katz,[118][119]Sahai和Waters率先提出了。在基于内积加密方案中,这类问题已经得到了[120-121]比较好的解决,但是访问结构必须采用CNF或DNF的方式,会导致其规模爆[110,122-123]炸性增加。在属性加密方面,也出现了一些隐藏访问策略方案的研究成果,[110]2008年,Nishide等人首先提出了一个可以隐藏访问策略的属性加密方案,该方案不仅保证了共享数据的机密性,而且也实现了对访问结构的隐藏,但是该方案[124][125][126]的安全模型比较弱。2011年,Lai等人和解理等人基于双系统加密技术,分别在合数阶群中提出了一个完全安全的隐藏访问策略的方案,但是为了达到一定的安全级别,合数群的阶会取得比较大,导致双线性对的运算效率很低。Li[127]Xiaohui等人在DBDH假设下,也构造了一个隐藏访问策略的方案,但遗憾的是,[128]该方案仍然是基于合数阶群提出的。2012年,王海斌等人在素数阶群中提出了一个具有隐藏访问结构功能的方案,该方案采用了双系统密码技术,并基于D-Linear假设和DBDH假设,在标准模型下证明该方案是完全安全的,运算效率[125]明显提高。2014年,解理等人利用非对称双线性映射在素数阶群中提出了一个实现隐藏访问结构的密文策略的加密方案。该方案的安全性是基于非对称DBDH假设,在标准模型下证明的,运算效率更高。还有一些其它的隐藏访问策略的方[129-130]案,但是和上述方案一样,对访问策略的隐藏还不理想,都只是部分地隐藏了访问策略,如果用户能成功解密加密内容,则获得访问策略,由于一些原因会泄露访问策略给未授权用户或CSP,或者当属性变更时,根据访问策略和其他用户进行针对性的共谋,导致产生更为严重的安全问题,这个缺陷限制了这些方案的广泛应用。5.2.2代理重加密(PRE)[131]1998年,密码学家Blaze等首先提出了代理重加密的概念。在这个机制中,58 博士学位论文一个半可信的代理利用代理密钥将Alice能解密的密文转化为Bob能解密的密文。代理不能获得密文的任何信息。近来,代理重加密被应用到很多领域,例如:分[132-133]布式文件系统、数字版权管理系统中互操作系统中内容加密密钥或多媒体内[134-135][136][137-138]容加密转换、加密电子邮件的转发、以及云环境中用户文件加密。5.2.3访问结构本章方案中的访问结构是在基于多值属性的“与”门访问结构的基础上定义的。具体定义为:{,AA,,A}表示属性全集,S{vv,,,v}表示A可能的12nii,1i,2il,ii取值集。{,,,}LLL表示用户u的属性集,LS,{,WW,,W}表示12nii12n访问策略,WA。生成访问策略时,数据所有者DO为每个属性A设置一个标iii记[]i,可能的取值为"1","0"或"",分别表示“必须有”、“必须没有”和“不关心”。所有的属性之间用AND-门连接,不同属性取值之间用OR-门连接。假设用户属性集为{,,,}LLL,如果用户具有某个属性L且LA,则标记[]1i;12niii否则[]0i。满足访问结构:给定一个属性集合{,,,}LLL和一个访问策略12n{,WW,,W}。满足(|),如果:(1)所有具有标记[]1i的属性12nW,对应的用户属性L都有[]1i且LW,i(1.,)n;(2)所有具有标记iiii[]0i的属性,对应的用户属性L具有[]0i,i(1.,)n。否则,不满足i(|)。5.2.4FHP-ABAC-CS方案形式化定义5.2.4.1基本方案定义基本方案包含四个算法:kSetup(1):该算法输入安全参数,输出公共参数Params和主密钥MK。EncryptParamsM(,,):该算法输入公共参数Params,消息M和访问结构。输出密文CT。KeyGenMK(,):可信权威运行私钥生成算法,输入主密钥MK和用户u的属性集。输出用户u的私钥sk。DecryptParamsCTsk(,,):解密算法输入公共参数Params、密文CT和某一属性集对应的私钥sk。如果属性集对应的私钥sk有效,则输出消息M。5.2.4.2完整方案定义完整的方案包含七个算法:59 基于属性加密的数据访问控制方法研究kSetup(1):该算法输入安全参数,输出公共参数Params和主密钥MK。EncryptParamsM(,,):该算法输入公共参数Params,消息M和访问结构。输出密文CT和一个版本号ser。KeyGenMK(,):可信权威运行私钥生成算法,输入主密钥MK和用户u的属性集。输出用户u的私钥sk和版本号ser。ReEncKeyMK(,,ser):可信权威运行该算法,输入MK、一个集合{(,)|iji{1,2,,},nj{1,2,,}}l(该集合是改变属性的索引集合)和i版本号ser。输出代理重加密钥prk和原始序列号ser。ReKeyGensk(,,skser,):可信权威运行该算法,输入旧的私钥sk、改变属性的索引集合和版本号ser。输出用户u的新私钥sk'和新版本号ser。ReEncryptCTprk(,,,ser):该算法输入原密文CT、代理重加密钥prk、改变属性的索引集和序列号ser。输出新密文CT'和新版本号ser。DecryptParamsCTsk(,,):解密算法输入公共参数Params、密文CT或CT'和某一属性集对应的私钥sk或sk'。如果属性集对应的私钥sk或sk'有效,则输出消息M。5.2.5FHP-ABAC-CS方案安全模型5.2.5.1基本方案的安全模型基本方案的安全模型将通过一个攻击者和一个挑战者之间的交互游戏来定义,具体描述如下:**Init:攻击者提供两个挑战访问策略0和1。Setup:挑战者运行Setup算法产生PK且发送给攻击者。**Phase1:攻击者向挑战者询问属性集对应的私钥(|0|1)或**(||)。挑战者通过KeyGen算法生成私钥sk并发送给攻击者。01L这个询问过程可以重复很多次。Challenge:攻击者提供给挑战者两个相等长度的消息M0和M1。如果攻**击者在Phase1获得与属性集(|0|1)对应的私钥skL,则要求*MM=。挑战者随机选择,{0,1},生成密文CTEncryptPKM(,,),01并将其发送给攻击者。*Phase2:重复Phase1。如果M0M1,此时要求属性集不能满足0和*。160 博士学位论文Guess:攻击者输出对(,)的猜测(','),如果'且',则攻击者赢得游戏。5.2.5.2完整方案的安全模型接下来将通过一个攻击者和一个挑战者之间的交互游戏来定义完整方案的安全模型,具体描述如下:**Init:攻击者提供两个挑战访问策略0和1。Setup:挑战者运行Setup算法产生PK且发送给攻击者。Phase1:攻击者进行如下询问:**-Extract():攻击者向挑战者询问属性集对应的私钥(|0|1)**或(||)。挑战者通过KeyGen算法生成私钥sk并发送给攻击01L者。**-RKExtract:攻击者提交一个属性链表(|0|1)或**(||),进行ReKeyGen询问。挑战者进行如下响应:首先,01基于一个随机的属性链表执行KeyGen算法生成私钥sk;其次,执行RRReKeyEnc获得新私钥sk';最后,攻击者将新私钥sk'发送给攻击者。**-REExtract:攻击者提交一个属性链表(|0|1)或**(||),进行ReEncrypt询问。挑战者进行如下响应:首先,01基于一个随机的访问结构执行Encrypt算法得到密文CT;其次,基RR于随机的属性链表和提交的属性链表执行ReKeyGen算法生成代理R重加密钥prk;最后执行ReEncrypt算法获得重加密的密文CT'并发送给攻击者。上述询问过程可以重复很多次。Challenge:攻击者提供给挑战者两个相等长度的消息M0和M1。如果攻**击者在Phase1获得与属性集(|0|1)对应的私钥skL,则要求*MM=。挑战者随机选择,{0,1},生成密文CTEncryptPKM(,,),01并将其发送给攻击者。Phase2:重复Phase1。如果M0M1,此时要求属性集不能满足**||。01Guess:攻击者输出对(,)的猜测(','),如果'且',则攻击者赢得游戏。61 基于属性加密的数据访问控制方法研究5.2.6安全性要求下面将给出本文方案的安全性要求:(1)数据机密性:阻止云系统中没有合法权限的无授权用户获得共享数据。只有授权用户的属性集满足数据所有者DO定义的访问策略。(2)隐藏访问策略:为了保护明文的隐私,加密共享数据的访问策略对于所有用户都是完全隐藏的,包括CSP在内。甚至拥有有效属性,满足访问策略的授权用户也无法猜测出自己遵循的访问策略。(3)抵抗共谋:首先,如果多个用户共谋,即使他们单独无法解密,但是他们通过组合各自的密钥信息就可以成功解密,这种共谋是不允许的;其次,CSP和用户共谋获得访问权限也是不允许的。(4)前向保密性和后向保密性:当一个新用户加入时,他无法应用自己的私钥解密以前的密文;当一个用户离开后,他也无法解密重加密后的密文。(5)强匿名性:非授权用户不但不知道哪些用户成功解密了共享数据,甚至不知道拥有哪些属性集合的用户可以获得解密权限。5.3云存储中完全隐藏访问策略的基于属性的访问控制方案5.3.1FHP-ABAC-CS模型本节将给出本章的云存储访问控制模型,见图5.1,该系统包含四个实体:图5.1隐藏访问策略的云存储访问控制模型(1)可信权威(Authority):该实体被其他所有参与者完全信任。它是密钥生成中心:生成公共参数和主密钥,也为拥有某属性集的用户生成对应私钥。当用户62 博士学位论文属性发生变化时,它为其生成新私钥,当然还有代理重加密钥。(2)云存储服务提供者(CSP):该实体提供数据存储、重加密和检索服务。它存储加密数据,并为有需要且拥有有效属性集的用户提供这些加密的共享数据的下载。当用户属性改变时,它重新加密这些数据。在该系统中,CSP是半可信的,它正确地执行协议,但是,它意图获得尽可能多的共享数据的内容信息。(3)数据所有者(DO):这些实体将自己加密的数据上传到云存储系统。这些加密数据可以被拥有DO所定义的有效属性集的合法用户共享。(4)用户(User):这些实体从云存储系统下载加密数据。只有满足DO定义的访问策略的授权用户才拥有合法权限,才可以成功解密加密数据。5.3.2FHP-ABAC-CS方案5.3.2.1基本方案构造下面将给出完全隐藏访问策略的基于属性的访问控制方案的具体算法:Setup():1,2是阶为素数q的双线性群,g是1的生成元。权威中心**随机选择,Zq,计算Yegg(,)。随机选择tijZq,(1jli,1in)tij计算Tg。则公钥为:ijPKepg,,,{}Tj1,2,,li,gY,,1iji1,2,,n主密钥为:MK,,{}tj1,2,,liiji1,2,,n。*KeyGen:输入用户的属性列表{,,,}LL12Ln。权威随机选择rZq,rtijrg,如果LiAi且[]1i然后计算Dg,D,则私钥为:ijrtij+g,如果L且[]i0iskDDi,{|1,2,,;nj(1,2,,)}l。ijiEncrypt:输入访问结构{,WW12,,Wn}和消息M。DO随机选择*k1k2k3sri,,iiZq,且sisiiriii,k1k2k3n。然后计算(Tsi,(Tg)),xi[]1iijijCMYs,Cgs,(C,C)(Txi,(Tg)),ri[]0ix是0ij,,1ij,,2ijij,其中i(Ti,(Tg)),i[]*iijij随机的。则密文为:CTCCC,,{,C}j1,2,,li。0ij,,1ij,,2i1,2,,n63 基于属性加密的数据访问控制方法研究Decrypt:用户收到密文后,进行如下操作:如果属性L和W的标记[]1i,且Lv=,则iiiit,rsitijrsieC(,D)eT(,g)egg(,);ij,,1ij,ij如果属性L的标记[]1i且W的[]i,则iiritijrieC(,D)eT(,g)egg(,);ij,,1ij,ij如果属性L的标记[]i0且W的标记[]i0,则iirritijrrieC(,D)eT((g),g)egg(,)ij,,2ij,ij如果属性L的标记[]i0且W的标记[]i,则iirtijreC(,D)eTg((),ig)egg(,)i。ij,,2ij,ij那么有:egg(,)rsiegg(,)riegg(,)=(,)rrieggrs,rsC/((,)(,))eCDeggM。05.3.2.2完整方案构造接下来,给出完整的云存储访问控制机制算法;(1)系统建立Authority运行Setup算法,该过程与基本方案中的Setup相同。(2)密钥生成Authority运行KeyGen算法,类似于基本方案中为拥有属性集的用户u产生私钥和序列号ser。(3)数据外包该阶段,DO运行Encrypt算法,类似于基本构造中产生密文和序列号,然后发送给CSP。(4)访问外包数据用户收到密文后,运行Decrypt算法,根据基本构造恢复明文数据。(5)属性更新随着时间的推移,用户的属性会发生变化。相应地,云存储系统中的数据将被重新加密,用户的私钥也要随之更新。可信权威Authority一旦获得用户u属性更新的信息,他将为用户产生新的私钥sk',同时产生代理重加密钥rk并将其发送给CSP。CSP重新加密密文,但对数据内容和相应的访问策略一无所知。具体过程如下:64 博士学位论文首先,Authority运行算法ReEncKey和ReKeyGen产生代理重加密钥prk和用户u的新私钥sk'。根据改变的属性索引集={(,)|iji(1,2,,),nj(1,2,,)}li,*tij'随机选择tijZq,计算prkijtij,tij'[]i=1,属性值变化tij1rkij(tij)tij'Dij,,(,)ij再计算rkijt2[]i的值从1变为0,和Dij,'。ijD,elseij,tij'[]i的值从0变为1tij则代理重加密钥为:prk{prk|(,)ij},ij用户的新私钥为:sk'DD,{'|i1,2,,;nj{1,2,,}}l。ij,i同时,版本号ser通过加1被更新,然后,Authority发送(prkser,)给CSP,sk'给用户u。其次,CSP运行ReEncrypt算法。先判断新的版本号ser是否与以前的版本号*||相等,如果不相等,则将进行重加密工作。随机选择miZq且s'i1mi,计算新密文:s'ss'C'CYMY,s'ss'C'Cgg,(CTmi)prkij,(C(Tg))miprkij),(,)ijij,,1ijij,,2ij(C',C'),ij,,1ij,,2(Cij,,1,Cij,,2),else则新密文是:CT'CCC',',{',C'}j1,2,,li,ii,,1ii,,2i1,2,,n版本号ser与新私钥的版本号保持一致。最后,用户u得到密文后,先检查版本号是否一致,如果一致,则运行Decryptrss(')算法且得到egg(,),进而得到消息M。5.4安全性证明5.4.1基本方案安全性证明[139]基本方案的证明采用了游戏序列。假设游戏一开始,攻击者A就提交了两**个挑战密文策略和给挑战者C。0165 基于属性加密的数据访问控制方法研究在定义游戏之前,先给出两个概念。对于给定的访问结构*{WW,,,W}和属性A的值v:(1)v满足W(v|W),如果以下bb1b2bniij,ij,biij,bi**两点成立:(i)Aib,其标记为[]1i且vij,Wbi;(ii)Aib,其标记为[]i0*且vW。(2)v不满足W(v|W),如果以下两点成立:(i)A,其ij,biij,biij,biib*标记为[]1i且vij,Wbi;(ii)Aib,其标记为[]0i。Game:这是原始的攻击游戏,密文是正常生成的。0Game:这个游戏除了挑战密文怎样生成外和Game类似。在Game中,如果101**攻击者没有获得属性集对应的私钥skL,即(|0|1),那么挑战密文元素C是中的一个随机元,与随机值无关,其余的密文正常产生;否则,Game021中的挑战密文正常生成,即在这种情况下GameGame。01Game:Game是通过修改怎样生成密文元素{{C,C}}而定义llij,,1ij,,2j1,2,,lii1,2,,n的一个系列游戏。如果(vij,|=W0ivij,|=W1i)或(vij,|W0ivij,|W1i),在整个序列游戏中,正常生成;如果(vij,|=W0ivij,|W1i)或(vij,|W0ivij,|=W1i),在游戏Gamel1中正常生成的元素{Cij,,1,Cij,,2},在Gamel中被替换为随机值,与无关。每次用随机值替换元素{C,C},就定义了一个新修改的游戏。一个一个的重复这种替ij,,1ij,,2换,直到再也没有元素满足(vij,|=W0ivij,|W1i)或(vij,|W0ivij,|=W1i为止。在这个序列的最后一个游戏中,攻击者的优势为0,因为他得到的密文是来源于与无关的相同的分布。引理5.1在DBDH假设下,任何多项式时间的攻击者A区别Game和Game的01优势是可忽略的。证明:假定有一个多项式攻击者A在Game和Game中的优势有不和忽略的区01别。构建模拟者B模拟DBDH,具有优势DBDH,定义如下:abcabcabczPr[,,abcZ:(,,,,(,))1]-Pr[,,,BggggeggabczZBggggegg:(,,,,(,))1]ppabcabc挑战者C给定DBDH挑战ggggR,,,,,R或者是egg(,)或者是等概率随机的,模拟者B创建如下的模拟过程:*Init:攻击者A给出两个挑战密文策略0{WW01,02,,W0n}和*{WW,,,W}。模拟者B随机选择{0,1}。111121nabSetup:B设置Yegg(,),隐式设置ab。为每个属性i(1in),挑{}tvWtijvW),taij战者C随机选择ij1jli,如果(ij|=i),Tijg;如果(ij|iTijg。66 博士学位论文然后公布公共参数Params。Phase1:A提交属性集{,,,}LL12Ln查询私钥。****只考虑(|0|1)情况,因为在前面定义:如果(|0|1),挑战消息M0M1,游戏Game0和Game1是相同的,所以A在Game0和Game1的优势没有区别。因此,B终止,给出一个随机猜测。**当|0|1,一定存在k{1,2,,}n使得(Lvk(kj,k)|Wk)。为属性*1in,挑战者C随机选择rZq。rrtijtij+ik,如果[]1i,Dg;如果[]i0,Dg。ijijrr'tkj,katkj,kik,设r'ar,如果[]1i,Dgg;如果[]0i,kjrr'tkj,atkj,'Dgkgk,其中'a。kjChallenge:A提交两个等长的挑战明文M0andM1。模拟者B设置c*CMC,Cg,隐式设置sc。对于密文策略,生成密文0CCC,,{,C}i1,2,,n{C,C}。0ij,,1ij,,2j1,2,,li,模拟者B正常生成ij,,1ij,,2Phase2:重复Phase1。Guess:攻击者A输出的一个猜测'。如果',B输出1;否则输出0。按之前的假设,在Game中A猜对的概率和在Game中A猜对的10abc概率具有不可忽略的区别。当Regg(,),A在Game中,当R是随0机的,A在Game1中。因此模拟者B在DBDH游戏中具有优势DBDH。用S0表示Game0中的事件',letS1表示Game1中的事件',则有|Pr[]Pr[]|SS(5.1)01DBDH引理5.2在D-Linear假设下,任何多项式时间的攻击者A区别Game和Gamel1l的优势是可忽略的。证明:假定有一个多项式攻击者A在Game和Game中的优势有不和忽略的l1l区别。构建模拟者B模拟D-Linear游戏,具有优势DLinear,定义如下:abacbdcdabbdcdPr[,,,abcdZ:(,,,Bgggggg,,)1]-Pr[,,,abcdZ:(,,,,BgggCgg,)1]ppabbdcdac挑战者C给定D-Linear挑战(,gggCg,,,,g),C或者是g或者是等概率随机的,该假设等价于2.2节的假设。模拟者B创建如下的模拟过程:在游戏Game中,密文元素{C,C}正常生成,而在Game中,密文元素l1ijl,,1lijl,,2ll67 基于属性加密的数据访问控制方法研究{C,C}随机生成,与随机数无关。不失一般性,假定(v|=Wv|W)。ijl,,1lijl,,2lijl,l1,ilijl,l0,il**Init:攻击者A提交给模拟者B两个挑战密文策略0和1。模拟者B随机选择{0,1}。如果0,模拟者B终止且给出一个猜测。根据前面的定义,如果0,(vijl,l|=W1,ilvijl,l|W0,il),则有Gamel1Gamel,因为挑战密文在游戏Game和游戏Game中的分布一样,所以攻击者A在l1lGame和Game的优势没有区别。继续假设1。ll1Setup:模拟者B设置Yegg(,)。为每个属性i(1in),随机选择{}tv|=Wtijv|W),taijij1jli,如果(ij,i),Tijg;如果(ij,iTijg。然后公b布公共参数Params,除了例外tijl,l,Tijl,lg,其余正常生成。Phase1:A提交属性集{,,,}LL12Ln查询私钥。如果Lilvijl,l,模拟者B生成私钥。假设Lvil=ijl,l,设rlbr模拟者B计算密钥元素:如果[]1i,rlrrlDgrgb;如果[]0i,Dg1gb',其中'b,r是随ijl,lijl,l机选择的。**假定||,由于LvvW所以一定存在01ilijl,lijl,l1,ilk{1,,}n使得Lvk(kj,k)W,k。然后挑战者C按如下方式生成Dkj,k,设置rkbr:rrkrrktkk,jtkk,jbtkk,jc1tkk,jbc1'如果[]1i,Dkj,kgg;如果[]0i,Dkj,kgg,其中b'。cdChallenge:攻击者A提交两个挑战密文M0和M1。模拟者B设置Cg,**意味着隐式设scd。如果每一个查询(|0|1),模拟者Bab*设置C0为随机的,否则C0Megg(,)。对于,挑战者C像在游戏Game中一样生成密文元素{{C,C}},除了例外元素l1ij,,1ij,,2j1,2,,lii1,2,,n{C,C}按下述方式生成:ijl,,1lijl,,2lC(gtil,jl)sil(gbd),C(gtijll,g)xil(gbg)xilCxilijl,,1lijl,,2lacac不知道bd,ac。这意味着sid,acb和Cg,如果Cg,l元素和正常一样生成且A在游戏Game里。l1Phase2:重复Phase1。68 博士学位论文Guess:攻击者A输出的一个猜测'。如果',B输出1;否则输出0。按假设,在Game中A猜对的概率和在Game中猜对的概率具ll1ac有不可忽略的区别。当Cg,A在Game中,当C是随机的,A在l1Gamel中。因此模拟者B在D-Linear游戏中具有优势DLiner。用Sl1表示Gamel1中的事件',Sl表示Gamel中的事件',则有|Pr[Sl1]Pr[]|SlDLiner(5.2)定理5.1如果DBDH假设和D-Linear假设成立,那么本章基本方案是安全的。证明:因为DBDH假设和D-Linear假设成立,引理5.1证明了游戏Game和0游戏Game的不可区分性,引理5.2证明了游戏Game和Game的不可区分性。1l1l此外,在序列的最后一个游戏中,攻击者的优势是0,因为攻击者得到的密文来自相同的分布,与随机数无关。即|Pr[]|0Sl(5.3)根据(5.1)(5.2)和(5.3),则有|Pr[]|S(1)l0DBDHDLinear这是可以忽略的。5.4.2完整方案的证明下面给出完整方案的证明。定理5.2如果存在一个多项式时间的攻击者A在选择策略攻击模型(Selective-Policymodel)下,以不可忽略的优势攻破完整方案FHP-ABAC-CS,则1解决DBDH问题。可以构建一个模拟者B以优势4该定理的证明与之前基本方案的证明不同,基本方案的证明中没有进行ReKeyGen的询问,而完整方案中不仅有ReKeyGen询问,而且有ReEncrypt的询问。证明:模拟者B模拟攻击者A的挑战者C给定一个DBDH挑战abc*abcgAgBgCgR,,,,,其中abc,,Z,当Regg(,)时,0,否则Rq1。*Init:攻击者A提交两个挑战访问策略0{WW01,02,,W0n}和*{WW,,,W}。111121nabSetup:模拟者B设置Yegg(,),隐含ab。模拟者B为每一个属性tiji(1in)随机选择{}tij1jli,如果(vij,|=Wi),计算Tijg;如果(vij,|Wi),69 基于属性加密的数据访问控制方法研究tijTA。然后模拟者B公布公共参数。ij*模拟者B为每一个属性i(1in)随机选择{tijZq}1jli,计算Tij:tij如果Wi的[]1i且Wivik,i,则Tijg;taij如果Wi的[]i0,则Tijg;W的[]*i,则tijtaij如果iTijg或Tijg;最后,模拟者B将公钥发送给攻击者A。Phase:1:攻击者A进行如下询问:-Extract():攻击者A向挑战者询问属性集对应的私钥。只考虑情况****(||),因为前面定义如果(||),则挑战消息为0101MM,终止游戏,给出一个对挑战者的猜测'。01**当(|0|1)时,存在一个k{1,2,,}n,则有(Lvk(kj,k)|Wi)。*对1in,挑战者随机选择rZp:rtijg,[]1iikD,;ij,rgtij,[]i0rr'tkj,katkj,kgg,[]1iik,设置r'ar,D,其中'a。kj,rr'tkj,atkj,'gkgk,[]i0**-RKExtract:攻击者A提交一个属性链表,满足(|0|1)或**(||),否则终止游戏,给出一个对挑战者的猜测'。01首先,基于一个随机的属性链表R执行KeyGen算法生成私钥skDDi,{|{1,2,,},nj{1,2,,}}l;其次,挑战者为每个Riji'*(,)ij随机选择tijZp,{(,)|iji{1,2,,},nj{1,2,,}}li是从属性链R到改变的属性索引的集合,根据Setup阶段Tij的计算方式计算r,相应的有:ij1rkij'Dij,(,)ij,DijDij,else'则新私钥sk'DDi,{ij|{1,2,,},nj{1,2,,}}li。**-REExtract:攻击者A提交一个属性链表,(|0|1)或70 博士学位论文**(||),进行ReEncrypt询问。挑战者进行如下相应:首先,01基于一个随机的访问策略R执行Encrypt算法得到密文CTCCC,,{,C}j1,2,,li;其次,基于随机的属性链表和提交R0ij,,1ij,,2i1,2,,nR*的属性链表执行ReKeyGen算法生成prk;最后,随机选择miZq,且||'s's's'mi,则C0CY0,C'CY。i1((CTmi)rkij,,(C(Tg))mirkij,),(,)ij''ij,,1ij,ij,,2ij,(C,C)。ij,,1ij,,2(Cij,,1,Cij,,2),else则重加密后的密文为CT'CCC',',{',C'}j1,2,,li,发送给攻击者A。0ij,,1ij,,2i1,2,,n上述询问过程可以重复很多次。Challenge:攻击者A提供给挑战者两个相等长度的消息M0和M1。挑战c*者C选择(,)R{0,1},计算CMR0=和Cg=,这里暗示sc。对,C(1in)按如下方式计算:i-如果W的[]1i且Wv,则(C,C)(Tsi,(Atij,g))xi;iiik,iij,,1ij,,2ij,-如果W的[]i0,则(C,C)(Txi,(Atij,g))ri;iij,,1ij,,2ij,-如果W的[]*i,(C,C)(Ti,(Atij,g))i。iij,,1ij,,2ij,Phase2:攻击者A继续向挑战者进行询问,只要求属性链表不能满足0和1。模拟者B重复他在Phase1中的方法。Guess:攻击者A输出对(,)(',')的猜测。在挑战者C没有停止的情况下,如果(,)(','),则挑战者C输出0,否则输出1。如果(',')(,),挑战者C输出'0,即(,,,)ABCR是一个有效的DBDHPr[(',')(,)|0]1,因为攻击者的优势是;否则,模拟者B组,则有4输出'1,即(,,,)ABCR是一个随机的四元组,攻击者无法区分(,),则Pr[(',')(,)|1]1。因此,挑战者C攻破DBDH假设的优势至少为1。4471 基于属性加密的数据访问控制方法研究5.5方案分析和比较5.5.1安全性分析本章方案的侧重点是研究共享数据的机密性和用户的隐私保护及匿名性,因此,DO将加密的共享数据单独发给CSP,而用户在解密时必须使用自己的所有密钥元素进行解密操作,以此实现对访问策略的彻底隐藏,进而保证共享数据的机密性和保证用户的强匿名性。当用户属性发生变更时,CSP通过代理重加密方式完成重加密工作,将DO从繁重的重加密工作中解放出来。本章方案的具体性质如下:性质5.1本章方案对CSP和未授权用户都保证了外包数据的机密性。在本章机制中,CSP是半可信的。因此,数据被发送给CSP和Users之前是被加密的,基于同样的原因,一个攻击者可以得到外包数据,但是不能获得外包数据内容的任何信息。为了恢复外包数据内容,User必须满足DO定义的访问策rs略。未授权User没有满足访问策略的有效属性集,在解密阶段就不能获得egg(,),k1k2k3因为是指定给唯一rUser的,而si1sii1rii1i,sri,,ii对应于不同rsrs的属性。缺少egg(,),没人能从C/((,)(,))eCDegg恢复M,包括CSP。性质5.2本章方案完全隐藏了访问策略。在以前的基于属性的访问控制方案中,密文策略包含在密文中一起存储在云系统中,而在本章方案中,密文CT中不包含密文策略。因此,CSP对密文策略一无所知。此外,满足密文策略的User只能获得加密数据的内容,而无法获得密文策略的任何信息,甚至无法知道那个属性是“必须有”,哪个属性是“必须无”,因为用户在解密时必须使用他所有的私钥元素。性质5.3本章建议的方案能够抵抗共谋攻击。所有基于属性加密方案的最重要的一个要求就是抵抗共谋攻击。第一类是用户间的共谋:在本章方案中,私钥由Authority随机生成,Users无法组合他们的私钥进行共谋攻击,因为在KeyGen阶段,Authority为每个User随机选择了不同的,rrsrs因此,共谋用户无法构建有效的egg(,)完成外包数据的解密操作。要获得egg(,),对应于属性Li,共谋者们必须同时应用私钥元素Dij和密文元素Cij,,1或Cij,,2,rs然而,由于不同,共谋者无法计算出有效的regg(,)。此外,由于没有密文策略,共谋者们不知道如何组合他们的私钥元素也无法成功共谋。第二类是CSP和用户的共谋:当有用户的属性发生变化时,CSP获得代理重加密钥,用户获得新的密钥,他们二者也是不能共谋的。因为,用户的属性发生变化时,中心权威对他的72 博士学位论文密钥的更新包括三类:1)标识[]1i不变,属性值变化;2)标识[]i由1变为0;3)标识[]i由0变为1。对这三类的密钥更新采用不同方式,而CSP并不知道第二类的情形,所以他们还是无法共谋获得更新后的密钥,因而无法获得访问权限。综上,本章访问控制机制抵抗了上述两类共谋。性质5.4本章方案保证外包数据的前向保密性和后向保密性。当用户属性发生变化时,CSP将与秘密值相关的密文转换成与秘密值sss'相关的密文。当一个用户离开时,他只知道以前的私钥sk,没有更新后的sk';rsrss(')而且,是一个随机数,这样s'User只知道egg(,)而不知道egg(,)。因此,本文方案具有前向安全性。当有用户加入时,只知道更新后的私钥sk',而不知道以rss(')rs前的私钥sk;此外,是一个随机数,这样sUser只知道egg(,)而不知道egg(,)。所以,本文方案具有后向安全性。性质5.5本章方案保证了授权用户的强匿名性。一般的属性加密方案中,用户的匿名性体现在不知道是哪一个授权用户进行了解密操作,只知道潜在的授权用户,即拥有满足访问策略要求的属性集的用户就可以进行解密操作,从而引起敌手对此类用户的针对性攻击。而在本章方案中,由于彻底隐藏了访问结构,不仅任何用户都不知道是哪个授权用户进行了解密操作,而且不知道拥有哪些属性集合的用户是潜在的授权用户,无法发起对潜在用户的攻击,所以本章方案保证了授权用户匿名性,且匿名性更强。5.5.2性能分析和比较为了验证方案性能的优越性,将对本章方案和以前的一些方案:Nishide等人[110][115][124][128]方案、Koo等人方案、Lai等人方案和王海斌等人、Sascha等人方案[129]l个可能的取值,方案做一个比较。假定n表示总的属性个数,每个属性有inNl,|1|和|2|分别表示每个群中元素的长度。i1i表5.1功能比较访问策隐藏访问策略匿名属性略表示非法用户合法用户CSP性更新Nishide文献[110]AND√××一般×Lai文献[124]LSSS√××一般×Sascha文献[129]AND,OR(syntaxtree)√××一般×Koo文献[115]AccessTree√×√一般×王海斌文献[128]AND,OR(多值)√×-一般×本文方案AND,OR(多值),标记√√√强√73 基于属性加密的数据访问控制方法研究根据表5.1和表5.2,相比于安全性,Lai等人和王海斌等人方案的比较强,但是Lai等人方案是基于合数阶的群,为了达到相同的安全级别,群的阶会比较大,这将会使得双线性对的计算效率远远低于素数阶的;而其它三个方案的公钥PK长度、存储开销都高于本章方案。在访问策略表示方面,文献[110]只支持AND访问结构,文献[115]只支持访问树结构,不能实现其它灵活的访问策略。相比于访问结构的隐藏性,其它五个方案只是部分隐藏了访问策略,而且只针对非授权用户,然而,在本章方案中,对所有的用户完全隐藏了访问策略,包括授权用户、非授权用户,即使拥有满足访问策略的有效属性集的授权用户只能解密共享数据,但无法获得访问结构的任何信息。相比于匿名性,其它几个方案只是达到了普通的基于属性加密方案的一般匿名性,而本文方案达到了强的匿名性,因为彻底隐藏了访问结构,任何人不知道拥有哪些属性集的用户可以解密,甚至已经成功解密的用户。表5.2效率比较PKSk安全群复杂性假设|1||2||1|性Nishide文献[110]素数阶2N312n1DBDH,DLIN选择Lai文献[124]合数阶N21n1Subgroupdecisionproblem完全Sascha文献[129]素数阶N422n2-选择Koo文献[115]素数阶213n1DBDH选择王海斌文献[128]素数阶N1318DBDH,DLIN完全本文方案素数阶N31n1DBDH选择在本章方案中,还提供了属性更新功能,由于完全隐藏了访问策略,所以无需更新访问策略。综上,本章方案在保证安全性的同时,具有较高的计算效率,尤其是应对云存储等开放网络环境中机密性要求比较高、用户规模庞大的应用需求,本文方案很有优势。5.6本章小结针对属性密码系统中访问策略泄密问题,本章提出了一个云存储中完全隐藏访问策略的访问控制机制FHP-ABAC-CS。具体内容包括:(1)研究了现有的隐藏访问策略方案,给出了适用于本文方案的访问结构、本文方案的形式化定义和安全模型;(2)设计了一个完全隐藏访问策略的加密方案,又在此基础上增加了用户属性变更功能,构造了一个云存储中完全隐藏访问策略的访问控制方案;(3)采用序74 博士学位论文列游戏的方式证明了基本方案的安全性,基于DBDH假设证明了完整方案的安全性;(4)分析了方案具有的数据机密性、访问策略的隐藏性、抵抗共谋、前向安全性和后向安全性等安全性质;(5)与同类方案在公私钥长度、复杂性假设、访问策略的隐藏性等方面进行比较得出,本方案在数据机密性和用户隐私要求比较高的应用中比较有优势,更适合云存储等开放网络环境中的数据访问控制。75 基于属性加密的数据访问控制方法研究第6章属性访问控制在智能配电网信息系统中的应用现阶段出现了各种新型的网络信息共享应用,智能电网是其中最重要的应用之一,将极大地改变人们的工作方式和生活方式。但是,开放性和共享性特征,也导致了智能电网不可避免地存在信息安全隐患。传统访问控制技术不能满足智能电网中多用户、多应用、细粒度、大规模、分布式的访问控制需求,所以,如何确保智能电网环境中数据的安全访问控制成为一项亟待解决的问题。采用基于属性的加密方法加密反馈命令,在保护反馈命令机密性和完整性的前提下,确保授权智能终端访问命令和阻止非授权访问,是解决该问题的一种有效方式。本章将重点研究智能配电网中基于属性的访问控制方案,以提高对终端用户的有效访问控制。6.1引言智能电网是一种高度自动化的网络,集成了先进的传感、通信、控制、计算等各种技术和工具于一体,以自动化的方式来提高电网的高效性、可靠性、经济[140-141]性以及发电配电的可持续性,从而达到优化电网的管理和运营目的。自愈、可靠、兼容、互动友好、经济高效、资源优化等是智能电网的特征,尤其是双向的信息流,它允许用户利用先进的采集技术为电力公司提供用户的详细用电信息,[142]以保证电力公司做好实时定价、平衡负载等控制,同时也通过先进的通信技术,了解实时电价、停电等各项信息,方便做出有利于自身的用电计划。鉴于智能电网具有广阔的应用前景,并能产生良好的社会效益,所以各国纷[143]纷规划了智能电网的发展蓝图,各国电网建设的新趋势将是建设智能电网。但是,智能电网中引入了数据采集、数据通信以及信息共享等许多与电能使用相关的新技术,也存在很多安全隐患。例如:2015年12月27日发生的乌克兰事件中,黑客删除了变电站自动化系统/SCADA工作站和服务器硬盘驱动器里的数据,导致系统无法重启,致使电网联锁故障,引发大面积停电。该事件说明,电力系统已经成为网络攻击的重要目标,而智能电网信息系统将面临信息安全问题,因此,需要有针对性的构建智能电网信息安全防御体系,主要技术包括:加密/解密技术、身份认证/数字签名技术、访问控制技术、入侵检测和防御技术、防火墙技术、安全隔离技术等,而在这些技术中,加密技术和访问控制技术是保证通信及通信数据安全的核心和关键。各类智能终端等智能电子设备在实现测量、监控、通信等功能的同时,其本身作为底层通信节点,是电力系统通信网络的重要组成部分之一,是攻击者攻击的直接目标,所以要加强对他们的安全管理。76 博士学位论文智能电网中信息流是双向的,具体表现为:安装在用户端的智能电表并将这些信息通过通信网络传输给控制中心,控制中心对收集到的数据进行高级分析(用电信息分析、负载信息分析、故障信息分析、配变状态分析等),能够准确、实时地掌握整个电网的运行状态,可以根据各个地区、各个时刻的用电情况,对电网进行规划与调整,做到平衡负载、计费定价,接着通过通信网络向远程智能终端发送反馈命令,使用户获取实时电价、电源中断等信息,根据自己用电需求进行[144-145]用电决策,保证智能电网的可靠性、兼容性和高效性。安装在用户端的智能电表周期性地收集用户的电力消费数据、环境实时监控信息(比如温度、电压、湿度等)等各类数据,将用电终端收集到的用电信息和其他用电环境数据通过家庭内部网络HAN(homeareanetwork)和建筑区域网BAN(Buildingareanetwork)上传给控制中心、运营中心、或第三方供电服务提供商。在此信息传递过程中,就可能发生用户用电量信息、用电负荷特性等相关敏感信[146]息的泄露和篡改,从而对用户的安全和隐私构成威胁,也可能造成电力公司的[147-148]损失。因此,智能终端先将收集的数据进行加密,然后将其汇报给上一级的BAN。在智能电网中,数据采集的范围将大大扩展,智能电表以及各种智能家电的嵌入式系统都可能提供大量的实时数据;同时,智能电网系统中的智能终端用户数量庞大,它们所提交的细粒度的各类数据的数量呈爆炸性增长。这些数据的传输给智能电网通信系统带来了很大的压力,现有的信息传输技术将不能满足智能配用电技术的发展,进行数据聚合、减少信息传输负荷、进行资源认证是智能电网正待解决的问题之一。智能终端将收集的用户电力消费数据和环境实时监控信息等数据汇报给控制中心(Controlcenter,CC),CC分析得到的数据做出相应的决策,将决策信息反馈给各个智能终端,由于智能电网系统包括众多不同类型的终端用户,在信息共享的[149]同时,控制中心可能只需要向部分具有特定属性的远程终端发送反馈命令,然而控制中心不可能向这部分远程终端逐一发送控制信息,如何有效保障系统信息安全、对访问的申请、批准和撤销的全过程进行有效的控制,以保证只有合法的终端用户才能得到访问批准,获得操作命令内容,这将是智能电网通信系统研究的又一个重要领域。智能配电网是智能电网建设中的重要组成部分,针对以上问题,本章结合智能配电网中网络与设备的特点及通信需求,提出一个智能配电网通信系统数据聚合和访问控制框架,完成了隐私保护的数据聚合工作和用户区分的命令反馈过程。[150][151]聚合阶段采用和Lu等方案一样的方法,应用Paillier同态收集多维数据且保证数据的机密性,特别改进了签名算法,实现签名批验证,将验证时的对计算的个数从3t降到常数3;命令反馈阶段采用基于属性的加密方法加密反馈命令,使得77 基于属性加密的数据访问控制方法研究拥有相应属性集的合法用户获得命令内容,实现对大规模终端用户的有效访问控制,同时采用BLS短签名保证了资源认证;最后,分析了方案的安全性,并将本章方案和存在的一些方案在功能、计算量和通信方面进行了细致的比较。6.2相关定义和安全模型本节将对智能电网中数据聚合和访问控制的相关工作、安全需求、访问结构以及安全模型进行简单介绍。6.2.1相关工作建设智能电网信息安全,首要任务是建立安全的智能电网信息系统。华盛顿[152]大学GridStat项目组率先从电网公司角度对电网通信系统的体系结构进行研究。文献[153]中提出了一个三层的电网通信体系结构,包括厂站层、区域层和系统层。文献[142]中提出了一个多控制中心的层状结构的智能电网信息系统,每个控制中心管理和监督多个发电厂和变电站,控制电力系统操作、电力市场运营、进行数据采集和数据管理。文献[154]中提出了一个智能电网信息系统框架,该通信系统支持分布式数据中心,提供控制和管理信息的双向通道,支持数据传输和流量控制,基础设施满足必要的可靠性和时延要求。文献[155]首先提出了一个支持数据聚合和访问控制的智能电网框架,但是,聚合过程和访问控制过程分别采用不同的公共参数环境,造成应用时的混乱。[156-157]在智能电网中,网络安全是至关重要的,因为所有业务涉及通信。首先,数据机密性和用户隐私是从客户角度出发的最基本的关注点,因为用电信息可以[158-159]展示他们的日常活动。例如,一个家庭的不寻常的低日常生活用电,或无用电消耗,可能是主人不在家。这样的隐私敏感信息必须受到保护,免受未经授权的访问。数据机密性可以通过简单加密实现,但是隐藏和保护通信内容,会增加数据的大小,尤其当用电信息以很高的频率被收集时,可能导致不可接受的通信开销。考虑到操作中心只关心整个区域或某一区域中的整体信息,每个用户的数据可以加密后发送到区域网关,区域网关只完成聚合和转发的任务,既保护用户隐私又节省通信带宽。其次,所有在网络中传输的数据必须经过验证,即进行资源认证和数据的完整性验证,以防止恶意修改。同态加密通过一定的代数运算,直接对密文进行操作,可以达到保护数据机密性和用户隐私的目的,鉴于此优势,[160-161]在智能电网中引发了相当多的数据聚合方案的研究工作。文献[162]提出了一个匿名的多维数据聚合方案。在该方案中,每个用户的计算成本与收集的数据类型的数量是独立的,此外,通过使用批量验证技术,操作中心的计算成本可以显著降低。但是,只实现了签名的聚合,而没有对加密数据的聚合操作,且交互很78 博士学位论文多,各用户被动提交数据,增加了通信负荷。文献[163]提出了一个从不同的智能终端收集数据的安全聚合方法,在该方案中,他们提出了四个具体的协议,以便安全地聚合智能电表数据读数。然而,这项工作中没有考虑智能终端的认证问题。文献[164]采用隐私同态和签名聚合的方式,提供了对数据的认证和完整性保护。然而,遗憾的是,该方案中,CC最终得到的数据是各类型数据的混合,无法按类型区分。文献[165]提出一个分布式增量数据聚合方法,采用同态技术保护了用户隐私。文献[166]提出了一个安全高效的同态数据聚合方案,但是,该机制每次只能收集一种数据。文献[167]提出一种基于需求响应的数据聚合方法,保护了用户隐私,同时提供了密钥进化功能,但是存在和文献[166]一样的局限性。文献[150]提出了一个隐私保护的多维数据聚合方案,但是,签名验证时的对计算比较多,而且一旦用户妥协,敌手可以解密任何先前的响应消息。上述方案的研究重点是数据聚合,但是在命令反馈阶段的工作存在不足,比如:CC向终端用户发布反馈命令“负荷超过某一指标时断电”,其目的是一些监测负载的智能终端,但是所有的用户都会收到同样的命令并执行该命令,造成电网混乱,缺乏对终端用户的有效访问控制。6.2.2安全性要求(1)机密性:保证各HANUser汇报数据内容的机密性和CC反馈命令的内容的机密性。(2)完整性:保证各HANUser汇报数据和CC反馈命令未被篡改。(3)认证性:保证CC收到的数据来自合法的BG,BG收到的数据来自合法的HANUser,各HANUser收到的命令的确来自CC。6.2.3访问结构智能配电网中的终端用户HANUser种类繁多,涉及比较广的范围,产生的数据也复杂多样,比如用户用电量信息、环境监测信息(温度、湿度)、系统负载监测信息(电压)、设备故障信息(断电)等。HANUser可以收集哪种类型的数据,就拥有该种属性。当CC解密聚合的数据进行分析和决策,发出反馈命令,只有满足相应属性集要求的User才可以获得相应的命令。用户的属性集{,l1,}ll,li可能的取值为“1”或“0”,“1”表示可以收集该类数据,拥有该属性,“0”表示不能收集该类数据,不拥有该属性;访问结构{w,,w},w的取值也为1或0。例如:设共有四个属性:用电信息、温1li度、电压、湿度。HANUserBG1的属性集为1{1,0,1,1},该User的属性为可以采集用电信息,测量电压和湿度;另一HANUserBG2的属性集为2{1,1,1,0},79 基于属性加密的数据访问控制方法研究该User的属性为可以采集用电信息,测量温度和电压。CC反馈命令为:“当温度超过40度,执行停电操作”,访问策略{1,1,1,0},则只有BG2可以获得操作命令。6.2.4命令反馈阶段的安全模型安全模型通过一个攻击者A与一个挑战者C之间的攻击游戏来定义,具体游戏描述如下:Setup:挑战者运行Setup算法产生Params和主密钥MK,且将Params发送给攻击者,自己保存MK。Phase1:攻击者A自适应地向挑战者询问属性集1,2,,p对应的私钥。挑战者C通过KeyGen算法生成私钥skiL(1,2,,)p并发送给攻击i者。Challenge:攻击者A提供给挑战者两个相等长度的消息M0、M1和两***个密文策略0、1,并要求前面询问过的属性集i都不能满足0和**。挑战者随机选择,{0,1},生成密文CTEncryptPKM(,,),1并将其发送给攻击者A。Phase2:重复Phase1。如果M0M1,此时要求属性集i不能满足访问**结构0和1。Guess:攻击者A输出对(,)的猜测(','),如果'且',则攻击者赢得游戏。定义6.1如果对所有t时间攻击者,最多进行p次私钥询问,以至多的优势攻破方案,那么称该方案是(,,)tp-语义安全的。6.3数据聚合和访问控制方案6.3.1系统模型本配电网系统采用三层通信网络,包括控制中心CC、BAN和HAN,见图6.1。每个BAN配备一个网关BG(GateWay),完成CC和HANUser之间的消息传递。由于CC和BG的距离比较远,所以它们之间的通信采用有线链路或其它高带宽、低时延的方式。每个HANUser可以直接和自己所属的BG通信,通信方式采用比较廉价的WiFi技术。(1)CC:基于智能配电网的实际应用,控制中心是完全可信的,负责为BG和80 博士学位论文User生成私钥,分析收到的数据并给各终端用户发出反馈命令,从而实现对电力市场运营、电力系统操作、数据采集和数据管理的控制。(2)BG:担负聚合和转发工作。将来自User的信息聚合转发给CC,将CC反馈的命令向User广播。(3)HANUser:周期性地向BG汇报数据,并在得到CC的反馈命令之后作出相应的操作。图6.1智能配电网通信系统数据聚合与访问控制模型6.3.2方案构造6.3.2.1系统初始化Step1.CC初始化:k为安全参数,设1和2是阶为素数q的群,P是1的生成元,e:112是一个双线性映射,则Paillier密码系统公钥为**(npqgZ11,n2),相应的私钥为(,)。CC随机选择x,Zq,P21,计算PPx,YePP(,)x,fPf,ˆP。又选择H:{0,1},H:{0,1}Z,12211qH:{0,1}和bZ*,BPbi,i1,2,,l。假设有l种需要收集的数据221iqi类型,在一个BAN中的最大用电量或相应数据不超过,每一种类型的数据不超过d。最后,CC选择一个超递增序列a{,aa12,}al,ai是大素数,ai的长度为i1la|a|k,adaadnggi,i1,2,,l。最后,CCij1ji,且i1i,ill公布系统公钥Params{,,,,qPPP,,,,{},{},,}engBYf且保存主密钥1212ii1ii1MK{,,,,,{}}xfabˆ。ixZ公开YPxk。CC为Step2.BGk注册:BGk随机选择kq,kBGk生成私钥81 基于属性加密的数据访问控制方法研究xPkHBG(k,),YBGkPk,{0,1},且通过安全信道发送给BGk。HAN注册:HAN生成私钥YHANPxk,PHHAN(,),Step3.kjBGk为kjjjjj{0,1}。*此外,CC为其生成属性钥,假设HANkj的属性集{,l1,}ll,CC任选rZq,rxlibir计算DP,DP(fPˆ1)。则其属性钥为:Ask(,)DD。02122kj01CC和BGk分别将Askkj和YHANj秘密发送给HANkj。6.3.2.2用户报告为了收集电力使用数据和环境监测等数据,HANUser以一定的时间间隔周期性地向BAN汇报数据。HANkj收集到数据dj(dj1,,djl),djid后,执行如下的操作:Step1.加密:HAN随机选择rZ,计算Cgdj1gdjlrnmodn2;kjjnj1ljStep2.签名:HANkj计算QkHY0()kG和cjHCHANBG1(,jkj,k)Zq,并随机选择rZ,然后计算SQrkjPxkPcxjk,TPrkj,则签名为(,)ST;kjqjkj0j1jjjjStep3.汇报:HANkj将消息CHANj||kj||BGk||j||TS汇报给BGk。6.3.2.3具有隐私保护的数据聚合cjBGk收到来自t个HANkj的消息,先验证eSP(,)jeTQ(,jk)(,eYPkj,0Pj,1),如果该式子成立,则签名有效。为了使验证更有效,可以执行如下的批验证:tttcS'=S,T'=T,eS(',)PeTQ(',)(,eY(PPj)),将对计算的个kj1jkj1jkkkkj1j,0j,1数从3t降到3。正确性验证:eSP(,)eQ(rkjPxkPcxjk,)P(1)jkj0j1eQ(rkj,)(PePxkPcxjk,)Pkj0j1;cjeTQ(,)(,eYPP)jkkj,0j,1t(2)eS(k',)Pe(j1SPj,)trxcxe(QkjPkPjk,)Pj1kj0j1trtxcxe(Qkj,)(PePkPjk,)P。j1kj1j0j1tceTQ(',)(,eY(PPj))kkkj1j,0j,182 博士学位论文当签名验证通过后,BG执行如下操作聚合:kt2Step1.聚合:Ckj1CjmodnStep2.签名:BGk计算QCCHP0()1G和ckHCBGCC1(,kk,)Zq,并随机选rZ,然后计算SQrkPPxcxk,TPrk,则签名为(,)ST;择kqkCCk0k1kkkkStep3.汇报:BGk将消息Ck||BGk||CC||k||TS汇报给CC。6.3.2.4数据处理与响应(1)CC处理阶段eSP(,)eTQ(,)(,ePPPck)或进CC收到来自个BGk的消息,验证签名kkCC1k,0k,1c行批验证S=S,T=T,eSP(,)eTQ(,)(,ePPPk)。k1kk1kCC1k1k,0k,1tta1j1dj1alj1djltn2CC按如下方式解密密文Ckg(j1rj)modn或聚合后的2密文Ck1Ckmodn。tttt令Ck中a1j1dj1alj1djlM,aij1djiDii(1,2,,)l,j1rjR,CgMRmodn2,利用Paillier主密钥(,)解密C得到kkttMa1j1dj1alj1djlmodn,然后令:XlM,Xj1Xjmodaj,XXttDjj1d(jll,1,,2),DXdjajj1ji11j1j1。(2)CC反馈阶段CC对收集到的数据进行检测分析后,做出决策,发布命令m,操作步骤如下:*Step1.CC加密:假设访问结构为{w1,,wl},随机选择tZq,计算EmYt,EPt,t12E3(fwi1Bi),密文为:CTEEE1,2,3。xStep2.CC生成签名:h1HECCtt2(,1||),tt为有效时间,1=h1。Step3.CC发送消息CTCC||||1||tt给BGk。6.3.2.5获取命令BG收到消息后,先验证是否来源于CC:hHECCtt(,||),k121eP(,)ePh(,),再检查的有效性。如果上述都成立,则在自己的区域内广播tt111消息:CTBG||||||tt。k1HAN解密:kj83 基于属性加密的数据访问控制方法研究rteDE(,)teP(2,(fw1Bi))xt103i。EmYmePP(,)=m1b2xteDE(,)xˆli1irtePP(,)12eP((fP),P)222为了保证收到的反馈命令的确来自CC且未被BGk或其他攻击者篡改,CC在x签名时可以增加一个签名h2HmCCtt1(,||'),2=h2,随同CTCC||||1||tt一起广播,BGk最后由HANkj通过计算h2HmCCtt1(,||),eP(,2)ePh(,)12来验证m的完整性。6.4安全性分析6.4.1机密性保护性质6.1本文方案保证了各HANUser汇报数据的机密性。各个HANUser汇报数据dj(dj1,,djl)前,先将其加密为Cgdj1gdjlrnmodn2,即Cgdj1gdjlrnmodn2gad1j1gadljlrnmodn2j1ljj1ljjgad1j1adljlrnmodn2。令madad,则Cgmjrnmodn2是一个有效jj1j1ljljj的Paillier密文。由于Paillier密码系统是抵抗选择明文攻击语义安全的,所以d(d,,d)也是语义安全的,且保证了数据机密性。因此,即使攻击者截获了jj1jl密文Cj,他也无法获取相应的明文数据。此外,BGk收到了t个不同的的密文Cj,t2但也无法恢复每个明文,只能计算Cj1Cjmodn汇报给上一级。CC从BGk收t到密文C后,计算C的明文得到(D1,,DDl),vi1dij并将其存入数据库,但是由于Dv是聚合后的结果,所以CC也无法获知每个dij。综合上述情况,本文方案保证了各HANUser汇报数据的机密性。性质6.2本文方案保证了CC反馈命令的机密性。在CC反馈命令给相关HANUser的过程中,采用了基于属性的加密方式,不仅保证了命令的机密性,而且只有授权(满足访问策略要求属性集)的HANUser才能获得命令。定理6.1假设(',')t-DBDH假设成立,则本文方案是(,,)tp-语义安全的,其2(2)l2111中'(1),'ttO(ln()ln())。p32(pl1)证明:该安全性证明是在一个攻击者A与一个挑战者C之间交互进行,具体如下:84 博士学位论文Setup:假设存在(,,)tp-攻击者攻击本方案。构建一个模拟者B模拟abc*DBDH问题。B给定挑战组PAPBPCPZ,,,,,abc,,RZq,并输出一个对的猜测',以确定挑战组是否是一个DBDH组。然后,模拟器B进行如下步骤:设置整数lu4p,选取整数kR{0,1,,}l,整数xx',iR{0,1,,lu1},*yy',Z,1il,这些值都被保存在模拟器中。iRq给定一个属性集{,l,}l,定义函数:1lFL()(qlku)x'li1xi;JL()y'li1yi;0,x'li1xi0(mod)luKL()。1,otherwisePAPaPBPb,则fPqlkxu'Py',fˆPqlkxu'Py',模拟器设1212BPPxiyi,意味着bbxy。i2iiiPhase1:攻击者A自适应地向挑战者询问属性集对应的私钥。如果*KL()0,则B终止且随机选择的猜测';否则,选取rZ并计算:Rq1JL()xy(,)(FL()r,FL()(ˆli1ili1i))rDDDPPPfPP01112a1rrar令rr,则DPFL()P=PFL()P,01FL()JL()xyFL()(ˆli1ili1i)rDPfPP112JL()FL()FL()JL()rP(PP)12aaFL()JL()FL()FL()JL()r=PP(P)(PP)。222ara=P(fˆB)FL()2l1iiPa(fˆB)r2l1ii当且仅当FL()0modq时,B可以进行这样的运算,即KL()0时游戏继续(KL()0意味着FL()0modq。因为对于给定的qll,,u,有qllu)。Challenge:A提供给B两个相等长度的消息M0、M1和两个访问策略**0、1。模拟器选择,{0,1}。如果x'i1xilku,模拟器B终*止游戏并随机选择'。否则得到FW()0modq,B随机选择'生成密85 基于属性加密的数据访问控制方法研究JW(*)c文CT{ZMEE,,},其中EP意味着sc,222JW(*)cy('yi)EPwi12cy('wi1yiaqlkx(u'wi1xi))。Paqlkx(u')y'awi1xiwi1yic(PPPP)awi1xiwi1yic=(fP)c=(fwi1Bi)*abcabc*ccJW()abc*cc假设ZePP(,),则CT((,)ePPMPP,,)((,)ePPMP,,(fwi1Bi))abc*ccM**下的有效密文。((,)ePPMP,,(fwi1Bi))是消息在密文策略否则,Z是中的随机元,无法从中得到模拟器关于(,)选择的任何信息。2**Phase2:A重复Phase1。但此时要求属性集i不能满足0和1。Guess:A输出对(,)的猜测(',')。在B没有停止的情况下,如果'且',则挑战者输出'1,否则'0。abcabc*如果ZePP(,),则E1ePP(,)M,模拟器可以正确解密,abc1Pr[(',')(,)|(,)]ePP。如果Z是中的随机元,则攻击者无法区分421(,),Pr[(',')(,)|]Z。所以,B挑战成功的概率为:41(Pr[(',')(,)|(,)]Pr[(',')(,)|])ePPabcZ1((1)1)1。44444模拟器B不终止的条件为KL()0modipKW()0modip,则不终止的概率为:pPr[KL()0modpKW()0mod]p1(计算方法类似文献[168]中)。ii8(1)pl'私钥生成阶段,当时,假设li1bili'1bi,该假设成立的概率为2(2)lp(1)。ap21(2)l综上,B在解决DBDH问题上的优势至少为:p(1)。a4p32(pl1)6.4.2认证性和完整性性质6.3本文方案保证了各HANUser汇报数据的认证性和完整性。在数据汇报过程中,本文采用了CrayGentry等人的基于身份的聚合签名方案[169],该方案在CDH假设下,是抵抗伪造攻击安全的,所以本文方案保证了各HANUser汇报数据的资源认证和数据完整性。性质6.4本文方案保证了CC反馈命令的认证性和完整性。86 博士学位论文在CC反馈程中,采用了BLS短签名,由于在CDH假设下,BLS短签名在随机[170]预言模型下能够抵抗适应性选择消息攻击下的存在性伪造,所以本文方案的资源认证和完整性也是保证的。6.5性能评价本节将对本文方案从方案实现的功能、计算开销和通信开销方面进行详细的讨论。先定义后文中将要用到的符号,CC聚合条消息,BGk聚合t条消息,e表示双线性对,M表示1中的乘法运算,E表示Zn2中指数运算,ET表示2中的指数运算,表示密文策略W中wi1的属性的下标索引,且满足1||l。|1|表示中元素的长度,||表示中元素的长度,|ID|表示身份ID的长度,|TS|122表示时间戳的长度,|N|表示随机数的长度。表6.1给出了本章方案和文献[150][162][167]及[164]中方案的在数据聚合过程的功能性比较。首先,文献[150][167]以及本文都采用了Paillier同态加密,但是文献[167]中加密一次,只能收集一种数据,效率比较低,文献[150][167]在聚合过程中,签名批验证的对计算都比较多,而本文方案中,对计算的个数与聚合的消息数没有关系,只有3个,因而计算量明显低于这两个方案;方案[162]中签名进行聚合后,进行批验证的对计算是2个,但是对于加密后的多条消息并没有聚合操作,因而仍然是单条信息的加解密工作,所以计算量是庞大的;方案[164]批验证中的对计算比较多,而且解密后的所有数据混合在一起,无法进行分类分析,CC无法做出合理的决策反馈,因而不适合用于多维数据收集。表6.1数据聚合过程功能比较收集数聚合过程签名验证CC解密结果据种类批验证对计算Fu方案[164]多种√t+1结果混在一起Liu方案[162]多种√2-Li方案[167]一种×3t一种Lu方案[150]多种√t+1按种类分类本文方案多种√3按种类分类表6.2给出了本章方案和文献[164][162][167]及[150]中方案的在命令反馈过程的功能性比较,其中||表示对称加密密文的长度。在上述四个方案的反馈过程中,方案[167]中,解密无需对计算,但是没有对命令源的认证,而且BGk先解密加密的反馈命令,重新用自己和每一个终端的对称钥将获得的反馈命令加密,然后再87 基于属性加密的数据访问控制方法研究一一发送,不光在BGk处产生瓶颈,而且如果某个BGk被攻击了,则会泄露反馈命令的内容或者篡改反馈命令,无法保证命令内容的机密性;相比于文献[150]中的方案,本章方案的密文的长度稍短,解密时的对运算个数也少;相比于其他两个方案,解密时的对运算个数虽然相同,旦本章方案的密文的长度稍短。其次,在上述四个方案中,CC的反馈命令在反馈过程中,只有BGk验证命令源,而HANkj不进行验证,所以无法保证反馈命令的完整性和命令源认证,而本章方案中,不光BGk验证命令源,每个HANkj也会验证反馈命令的完整性和命令源。最后,在其它四个方案中,CC的命令会被所有的User接收到且获知命令内容,而本文方案分析收集的数据,对不同的User,或者说部分User发出操作命令,采用ABE加密该命令,只有满足相应属性要求的User才能获得反馈命令内容,而其他User对此命令内容一无所知。表6.2命令反馈过程功能比较密文命令源认证解密终端BGHANk长度BGkkj对计算机密性Fu方案[164]2||+|12|+||√×只验证2所有用户获得命令Liu方案[162]2||+||1√×只验证2所有用户获得命令Li方案[167]||××解密,重加密0所有用户获得命令Lu方案[150]3||+|12|√×只验证4所有用户获得命令满足属性要求的终本文方案2|1|+|2|√√只验证2端用户获得命令综上所述,本文方案在功能性方面更胜于其他四个方案,更适合于智能配电网中多维数据的聚合和用户种类多样化时命令反馈的访问控制。6.5.1计算开销表6.3给出了本文方案和其他四种方案的计算量,包括HANUser、BAN和CC三类实体的计算量。表6.4给出了在3.0-GHzCPU,2-GBRAM环境下的几种主要运[171]算的时间,实验代码基于cpabe-0.10库编写。图6.2、图6.3和图6.4分别为本文方案和方案[162]、[164]及[150]中HANUser、BANGateWayBGk和CC在不同条件下的运算时间,由于[167]中方案只能收集一种数据,所以没有进行计算时间开销的比较。由图6.2可以看出,文献[164]和[162]中,User的计算量与收集数据的个数无关,本文方案比[150]方案稍好,但是,在方案[164]中加密后的多条消息并没有聚合操作;文献[162]中解密后的所有数据混合在一起,无法进行分类分析,所以,88 博士学位论文这两个方案的聚合功能没有完全实现,并不适用于智能配电网中的多维数据收集。表6.3计算开销比较UserBANCCFu方案[164]6M2e(+1)e2e(5)MELiu方案[162]5M2e-2e(23)METLi方案[167]2M2E3+2M3eELu方案[150]M(l1)E4e(+3)+eM2e4MEET本文方案2M(l1)E2e2ET5+2eM||MET表6.4密码运算执行时间符号描述时间(ms)M中的乘法运算2.91e对运算6.8ET2中的指数运算0.7EZ中的指数运算(|n2|2048)12.12n图6.2HANUser的计算时间由图6.3可以看出,本文方案中,BGk的计算量与聚合的消息的数目无关,计算时间开销明显优于其他方案,主要由聚合阶段的签名批验证的对计算的个数为常量3而降低的。由于HANUser实质上是一个智能电表或者其他的智能仪器,计算量和存储量有限,所以一般不会收集种类很多的数据,因而的取值一般比较小,甚至为个位l数,在CC计算开销的计算中||取值l=10,从图6.4中,可以看出,本文方案中,89 基于属性加密的数据访问控制方法研究CC的计算量与聚合的消息数目无关,计算时间开销明显低于其他方案,特别是User很多的情况下,本文方案的优势更加凸显。图6.3BG的计算时间图6.4CC的计算时间6.5.2通信开销主要讨论数据收集过程中的通信开销,即每个HANUser产生密文及相关信息,2本章方案、文献[150][167]方案的主要通信量都为|n|2|ID||TS|2|1|,而方案[162]和[164]的通信量分别为ld||4|1||N|和3|1|||mtID|||TS|。在方案[162]中,每次收集数据前都要发出收集命令,交互很多,势必增加大量的通信负荷,而方案[164]中,HANUser是事先确定的,不能随时加入,每次汇报数据时,传输消息必须包含整个HAN中的所有User的身份,并且解密聚合后的结果是混杂在一起,无法按种类区分(例如,收集的用电量和测量的温度混合在一起),将导致分析和决策无法进行,所以这两个方案并不适用于智能配电网中收集多维90 博士学位论文数据。6.5.3命令反馈访问控制过程分析在命令反馈阶段的访问控制过程中,基于属性加密的密文长度为2|1||2|,用户的属性私钥长度为2|1|,而解密运算只需两个对计算,这些都与用户的属性个数无关。因而,该访问控制方案具有密文小、密钥短、计算量低的特征,不仅实现了对大规模用户的访问控制功能,而且更适合内存小、带宽和计算能力受限的智能终端的访问控制。6.6本章小结本章将基于属性的访问控制机制应用到智能配电网信息系统中,对基于属性访问控制的应用进行了探索,具体内容包括:(1)研究了智能电网相关知识,提出了一个支持数据聚合和智能终端用户访问控制的智能配电网通信系统框架;(2)给出了方案的具体算法,该算法采用隐私同态加密技术完成对多类数据的聚合操作,并提供签名以实现对信息源的认证,签名支持批验证,采用属性加密方法加密反馈命令,实现一对多的通信和对终端用户的有效访问控制;(3)对本章方案中聚合数据、反馈命令的机密性、认证性和完整性进行了分析和证明;(4)从实现功能、计算开销和通信开销方面对本文方案的性能和同类方案进行了分析和比较,实验结果表明本文方案在聚合数据种类比较少、终端用户数目庞大且种类繁多、而且需要分类授权的情况下,计算开销方面和反馈命令访问控制方面具有明显的优势。91 基于属性加密的数据访问控制方法研究第7章总结与展望7.1本文工作总结本文围绕基于属性加密的访问控制中多样化权限问题、面向用户组的访问控制问题、隐藏访问策略的访问控制等主要问题,开展了基于属性加密访问控制方法的研究工作,取得的成果主要包括:提出了具有权限区分的多属性权威访问控制、面向用户组可验证的访问控制、云存储中完全隐藏访问策略的访问控制和智能配电网环境中基于属性访问控制的应用等4个方案。通过以上研究取得的结论和创新点为:1.提出了一个具有权限区分的多属性权威访问控制机制vMA-ABAC-DP,并在选择属性集安全模型下证明了方案的安全性。首先,方案中对用户权限进行了区分,提供了“读”和“写”两种权限,使得拥有不同属性集的用户获得了不同的访问权限,解决了用户权限需求多样化问题,尤其获得“读”权限时,需要满足的属性权威个数是由数据所有者灵活设置的,甚至是一个;其次,还对数据所有者的诚实性和数据的完整性进行了验证;最后,通过与同类方案比较得出,本方案增加的信息和计算量更少。2.将面向用户组的概念引入基于属性的访问控制中,并提出了第一个面向用户组可验证的访问控制方案GO-ABACv。首先,该方案的研究重点是关联密钥的生成问题,以此来加强共享数据的机密性,避免用户权限的过度集中;其次,该方案提供了一种监督中心权威的验证机制,可以验证生成的密钥的正确性和减少对CA的依赖性,甚至可以将半可信或不可信CA用于该系统;再次,文中形式化了GO-ABACv方案的概念,并在一个挑战者和一个攻击者群之间的挑战游戏下进行了安全性证明;最后,通过与同类方案的比较,得出本文方案对用户权限的控制更强,验证属性钥时增加的计算量更少。3.提出了一个完全隐藏访问策略的加密方案,并在该方案的基础上,增加了用户属性更新功能,构造了一个云存储环境中完全隐藏访问策略的访问控制方案FHP-ABAC-CS。本文方案中:首先,访问控制策略不包含在密文中,这样,CSP仅对加密数据提供了必要的存储服务,而明文和访问策略对其是透明的,阻止了CSP非法滥用特权;其次,访问策略对所有用户是完全隐藏的,即使授权用户也无法获得访问控制策略,因为在解密的过程中,这些用户必须使用自己所有的属性钥元素;再次,当用户属性发生变化时,由于隐藏了访问策略,所以访问策略无需更新,CSP在没有获得明文且不知道访问策略的情况下独自完成代理重加密92 博士学位论文任务,避免了DO重新加密的工作;最后,证明了基本方案和完整方案的安全性,且与同类方案进行比较,本文方案更适合云存储环境中的数据访问控制。4.将基于属性的访问控制方法应用于智能配电网环境中,提出了一个智能配电网通信系统数据聚合和反馈命令访问控制模型,并完成了隐私保护的数据聚合工作和用户区分的命令反馈过程。在聚合阶段,采用隐私同态聚合多维数据,尤其提供签名批验证,使得双线性对计算的个数与聚合的签名数无关,保持为常量3;在反馈阶段,采用基于属性加密的访问控制方法,实现了一对多的通信,同时也实现了对大规模终端用户区分的访问控制,只有授权智能终端用户才能获得操作命令。安全性分析证明,该方案具有隐私保护、资源认证和完整性验证功能;与同类方案进行分析和比较,实验结果表明本文方案在计算开销和控制用户的访问权限方面更有优势,更适合智能配电网中多维数据收集和庞大用户群的访问控制。7.2研究不足与展望基于属性加密的访问控制是解决当前和未来开放网络环境中复杂数据资源安全管理的核心技术,实际需求推动基于属性加密的访问控制研究发展,以实现安全高效的海量复杂数据资源管理为目标,目前基于属性的访问控制已经成为研究的热点。同时,由于应用环境复杂、安全性要求高,基于属性的访问控制方案尤其在具体应用中存在许多难点。本文的许多内容还是探索性的尝试,鉴于本人所运用方法的局限性和安全功能需求的复杂性,文中还存在不足和需要进一步研究的问题:1.提出的具有权限区分的多属性权威访问控制方案,采用了基于门限的访问结构,从用户拥有属性的数量上实现对用户权限的控制,为了更丰富、更具体地描述用户的特征,对权限的管理更细化,可以考虑采用多属性值的“与”门访问结构等表达能力更强的复杂的访问结构。同时,访问结构的表达能力和粒度细化程度可能影响方案效率,采用比较复杂的访问结构将是下一步进行更多权限区分的访问控制方案研究时需要考虑的。2.在云存储中完全隐藏访问策略的访问控制方案中,与同类方案相比,密文的长度没有明显改善,通信量可能比较高,如何通过缩短密文长度,或者使密文长度与属性个数无关,进而提高通信效率,是下一步研究需要重点解决的问题。3.本研究侧重于基于属性的访问控制方法研究,主要针对问题提出安全模型和控制策略,并对方案进行安全性证明和性能分析,对于每个方案的具体应用研究相对较少。对于如何将文中提出的方案具体应用,需要结合具体的应用场景和条件,设定和调整参数,并通过具体应用进一步完善方案,使提供的功能在实际93 基于属性加密的数据访问控制方法研究应用中得到体现。4.基于属性的访问控制在移动云中的应用有待进一步探索。随着各种行业领域业务系统的扩展,移动办公的人数和地点增多,用户将采用CPU和内存比较小、带宽有限的弱客户端进行随时、随地的访问操作,这将实时产生大量动态数据,数据内容和数据模式时刻发生变化,但目前的研究主要针对目标是静态数据。针对动态数据,研究适用于移动云的高效的访问控制方法,并解决跨行业、跨平台操作问题是基于属性的访问控制应用研究方面值得关注的方向和重点。94 博士学位论文参考文献[1]李双.访问控制与加密[M].机械工业出版社.2012,8,27-31.[2]AmericaDepartmentofDefense.TrustedComputerSystemEvalueationCriteria,CSC-STD-001-83,1983,8.[3]杨柳.信息系统中的访问控制技术研究[D].重庆大学,2009,18-19.[4]WenJH,SheuJS,ChenTS.CryptographickeyassignmentschemeforovercomingtheincorrectnessoftheCHWscheme[C].Communications,IEEProceedings-.IET,2001,148(4):260-264.[5]WuML,HwangTY.Accesscontrolwithsingle-key-lock[J].SoftwareEngineering,IEEETransactionson,1984(2):185-191.[6]WangG,LiuQ,WuJ,etal.Hierarchicalattribute-basedencryptionandscalableuserrevocationforsharingdataincloudservers[J].Computers&Security,2011,30(5):320-331.[7]RivestRL,ShamirA,AdlemanL.Amethodforobtainingdigitalsignaturesandpublic-keycryptosystems[J].CommunicationsoftheACM,1978,21(2):120-126.[8]GohEJ,ShachamH,ModaduguN,etal.SiRiUS:SecuringRemoteUntrustedStorage[C].NDSS.2003,3:131-145.[9]曹珍富.密码学的新发展[J].四川大学学报(工程科学版),2015,47(1):1-12.[10]张晓伟,金涛.信息安全策略与机制[M].北京:机械工业出版社,2004:1-15.[11]SanduR,SamaratiP.Accesscontrol:principlesandpractice[J].IEEEComm-unicationsMagazine,1994,32(9):40-48.[12]刘宏月,范九伦,马建峰.访问控制技术研究进展[J].小型微型计算机系统.2004,25(1):56-59.[13]黄俊华.基于工作流任务状态的访问控制模型及其应用研究[D].华中科技大学,2006,10-20.[14]SandhuR.Accesscontrol:Theneglectedfrontier[C].InformationSecurityandPrivacy.SpringerBerlinHeidelberg,1996:219-227.[15]SandhuRS,CoyneEJ,FeinsteinHL,etal.Role-basedaccesscontrolmodels[J].Computer,1996,29(2):38-47.[16]BellettiniC,BertinoE,FerrariE.Rolebasedaccesscontrolmodels[J].InformationSecurityTechnicalReport,2001,6(2):21-29.[17]HongF,HeX,XuZ.Role-Basedaccesscontrol[J].MINIMICROSYSTEMS-95 基于属性加密的数据访问控制方法研究SHENYANG,2000,21(2):198-200.[18]MaJ,AdiK,MejriM,etal.Riskanalysisinaccesscontrolsystems[C].PrivacySecurityandTrust(PST),2010EighthAnnualInternationalConferenceon.IEEE,Ottawa,2010:160-166.[19]KnorrK.DynamicaccesscontrolthroughPetrinetworkflows[C].InProceedingsofthe16thAnnualComputerSecurityApplicationsConference(ACSAC.00)[C].Washington,DC,USA,IEEEComputerSociety,2000,12:159-167.[20]BothaR,EloffJ.Designingrolehierarchiesforaccesscontrolinworkflowsystems[C].InProceedingsofthe25thInternationalComputerSoftwareandApplicationsConferenceonInvigoratingSoftwareDevelopment(COMPSAC.01)[C].Washington,DC,USA,IEEEComputerSociety,2001,10:117-122.[21]SunY,MengX,LiuS,etal.FlexibleworkflowincorporatedwithRBAC[M].ComputerSupportedCooperativeWorkinDesignII.SpringerBerlinHeidelberg,2005:525-534.[22]ThomasRK,SandhuRS.In:Proceedingsofthe1992-1993ACMSIGSACNewSecurityParadigmsWorkshops[C].USA:IEEEComputerSocietyPress,1993:138-142.[23]ThomasRK,SandhuRS.TIn:NSFWorkshoponWorkflowandProcessAutomationinInformationSystems:State-of-the-ArtandFutureDirections[C].U.S.:NationalScienceFoundation,1997:11-13.[24]ThomasR,SandhuR.Task-basedauthorizationcontrols(TBAC):AFamilyofmodelsforactiveandenterpriseorientedauthorizationmanagement[A].InProceedingsofthe11thIFIPWG11.3ConferenceonDatabaseSecurity[C].LakeTahoe,1997,08:166-181.[25]邓集波,洪帆.基于任务的访问控制模型[J].软件学报,2003,01,14(1):76-81.[26]OhS,ParkS.Task–role-basedaccesscontrolmodel[J].Informationsystems,2003,28(6):533-562.[27]朱君.角色协同中群体感知和访问控制技术研究[D].中山大学,2009,8-59.[28]SandhuR,BhamidipatiV,CoyneE,etal.TheARBAC97modelforrole-basedadministrationofroles[J].ACMTransactionsonInformationandSystemSecurity(TISSEC),1999,2(1):105-135.[29]SandhuR,MunawerQ.TheARBAC99ModelforAdministrationofRoles[C].InProceedingsofthe15thAnnualComputerSecurityApplicationsConference.IEEEComputerSociety,2000:229-238.96 博士学位论文[30]OhS,SandhuR,ZhangX.Aneffectiveroleadministrationmodelusingorganizationstructure[J].AcmTransactionsonInformation&SystemSecurity,2006,9(2):113-137.[31]FerraioloDF,SandhuR,GavrilaS,etal.ProposedNISTstandardforrole-basedaccesscontrol[J].AcmTransactionsonInformation&SystemSecurityTissecHomepage,2001,4(3):554--563.[32]李凤华,苏铓,史国振,等.访问控制模型研究进展及发展趋势[J].电子学报,2012,40(4):805-813.[33]ShamirA.Identitybasedcryptosystemsandsignatureschemes[C].AdvancesinCryptology(CRYPTO1984).LectureNotesinComputerScience(196),Berlin,Springer-Verlag,1984:47-53.[34]SahaiA,WatersB.Fuzzyidentitybasedencryption[C].AdvancesinCryptology(EUROCRYPT2005).LectureNotesinComputerScience(3494),Berlin,Springer-Verlag,2005:457-473.[35]冯登国,陈成.属性密码学研究[J].密码学报,2014(1):1-12.[36]BonattiP,SamaratiP.Auniformframeworkforregulatingserviceaccessandinformationreleaseontheweb[J].JournalofComputerSecurity,2002,10(3):241-271.[37]GoyalV,PandeyO,SahaiA,etal.Attribute-basedforencryptionforfine-grainedaccesscontrolofencrypteddata[A].InProceedingsofthe13thACMConferenceonComputerandCommunicationsSecurity[C].NewYork,USA,ACMPress,2006:89-99.[38]PirrettiM,TraynorP,McDanielP,etal.Secureattribute-basedsystems[A].InProceedingsofthe13thACMCoferenceonComputerandCommunicationSecurity[C].NewYork,ACM.2006:99-112.[39]BethencourtJ,ShaiA,WatersB.Ciphertext-policyattribute-basedencryption[C].In:IEEESymposiumonSecurityandPrivacy,2007-SP'07.IEEE,California,2007:321-334.[40]CheungL,NewportC.ProvablysecureciphertextpolicyABE[C].InProceedingsofthe14thACMconferenceonComputerandcommunicationssecurity.ACM,Alexandria,VA,USA,2007:456-465.[41]WatersB.Ciphertext-policyattribute-basedencryption:anexpressive,efficient,andprovablysecurerealization[C].InPublicKeyCryptography-PKC2011.SpringerBerlinHeidelberg,2011:53-70.97 基于属性加密的数据访问控制方法研究[42]LewkoA,OkamotoT,SahaiA,etal.Fullysecurefunctionalencryption:Attribute-basedencryptionand(hierarchical)innerproductencryption[M].AdvancesinCryptology–EUROCRYPT2010.SpringerBerlinHeidelberg,2010:62-91.[43]OkamotoT,TakashimaK.Fullysecurefunctionalencryptionwithgeneralrelationsfromthedecisionallinearassumption[M].AdvancesinCryptology–CRYPTO2010.SpringerBerlinHeidelberg,2010:191-208.[44]ChenC,ZhangZF,FengDG.Efficientciphertextpolicyattribute-basedencryptionwithconstant-sizeciphertextandconstantcomputation-cost[M].InProvableSecurity.SpringerBerlinHeidelberg,2011:84-101.[45]EmuraK,MiyajiA,NomuraA,etal.Aciphertext-policyattribute-basedencryptionschemewithconstantciphertextlength[M].InInformationSecurityPracticeandExperience.SpringerBerlinHeidelberg,2009:13–23.[46]OstrovskyR,SahaiA,WatersB.Attribute-basedencryptionwithnon-monotonicaccessstructures[C].Proceedingsofthe14thACMConferenceonComputerandCommunicationsSecurity.NewYork,ACM,2007:195-203.[47]BeimelA.Secureschemesforsecretsharingandkeydislribution[D].IsraelInstituteofTechnology,1996.[48]CaoZF.Newdirectionofmoderncryptograph[M].BocaRaton:CRCPressInc,2012.[49]GoyalV,JainA,PandeyO,etal.Boundedciphertextpolicyattributebasedencryption[M].Automata,languagesandprogramming.SpringerBerlinHeidelberg,2008:579-591.[50]HerranzJ,LaguillaumieF,RàfolsC.Constantsizeciphertextsinthresholdattribute-basedencryption[M].PublicKeyCryptography–PKC2010.SpringerBerlinHeidelberg,2010:19-34.[51]AttrapadungN,LibertB,DePanafieuE.Expressivekey-policyattribute-basedencryptionwithconstant-sizeciphertexts[M].PublicKeyCryptography–PKC2011.SpringerBerlinHeidelberg,2011:90-108.[52]ChenC,ChenJ,LimHW,etal.Fullysecureattribute-basedsystemswithshortciphertexts/signaturesandthresholdaccessstructures[M].TopicsinCryptology-CT-RSA2013.SpringerBerlinHeidelberg,2013:50–67.[53]RouselakisY,WatersB.Practicalconstructionsandnewproofmethodsforlargeuniverseattribute-basedencryption[M].Proceedingsofthe2013ACMSIGSAC98 博士学位论文ConferenceonComputer&CommunicationsSecurity.ACM,Berlin,2013:463–474.[54]HohenbergerS,WatersB.Attribute-basedencryptionwithfastdecryption[M].Public-KeyCryptography–PKC2013.SpringerBerlinHeidelberg,2013:162-179.[55]HohenbergerS,WatersB.Online/offlineattribute-basedencryption[M].Public-KeyCryptography–PKC2014.SpringerBerlinHeidelberg,2014:293-310.[56]LewkoA,WatersB.UnboundedHIBEandattribute-basedencryption[M].AdvancesinCryptology-EUROCRYPT2011.SpringerBerlinHeidelberg,2011:547–567.[57]OkamotoT,TakashimaK.Fullysecureunboundedinner-productandattribute-basedencryption[C].AdvancesinCryptology-ASIACRYPT2012.SpringerBerlinHeidelberg,2012:349–366.[58]LewkoA,WatersB.Newproofmethodsforattribute-basedencryption:achievingfullsecuritythroughselectivetechniques[C].AdvancesinCryptology-CRYPTO2012.SpringerBerlinHeidelberg,2012:180–198.[59]YamadaS,AttrapadungN,HanaokaG,etal.Aframeworkandcompactconstructionsfornon-monotonicattribute-basedencryption[C].PublicKeyCryptography.BuenosAires:Springer,2014.[60]BonehD,GentryC,GorbunovS,etal.Fullykey-homomorphicencryption,arithmeticcircuitABEandcompactgarbledcircuits[C].EUROCRYPT.Copenhagen:Springer,2014.[61]ChaseM,ChowSSM.Improvingprivacyandsecurityinmulti-authorityattribute-basedencryption[C].InProceedingsofthe16thACMConferenceonComputerandCommunicationsSecurity.ACM,Chicago,2009:121–130.[62]ChaseM.Multi-authorityattributebasedencryption[M].TheoryofCryptography.SpringerBerlinHeidelberg,2007:515–534.[63]LewkoA,WatersB.Decentralizingattribute-basedencryption[C].AdvancesinCryptology-EUROCRYPT2011.SpringerBerlinHeidelberg,2011:568–588.[64]LiuZ,CaoZF,HuangQ,etal.Fullysecuremulti-authorityciphertext-policyattribute-basedencryptionwithoutrandomoracles[C].ComputerSecurity-ESORICS2011.SpringerBerlinHeidelberg,2011:278–279.[65]MüllerS,KatzenbeisserS,EckertC.Onmulti-authorityciphertext-policyattribute-basedencryption[J].BulletinoftheKoreanMathematicalSociety,2009,46(4):803-819.99 基于属性加密的数据访问控制方法研究[66]BožovićV,SocekD,SteinwandtR,etal.Multi-authorityattribute-basedencryptionwithhonest-but-curiouscentralauthority[J].InternationalJournalofComputerMathematics,2012,89(3):268-283.[67]LiJ,HuangQ,ChenX,etal.Multi-authorityciphertext-policyattribute-basedencryptionwithaccountability[C].InProceedingsofthe6thACMSymposiumonInformation,ComputerandCommunicationsSecurity.ACM,2011:386-390.[68]SahaiA,SeyaliogluH,WatersB.Dynamiccredentialsandciphertextdelegationforattribute-basedencryption[C].AdvancesinCryptology-CRYPTO2012.SpringerBerlinHeidelberg,2012:199–217.[69]吕志泉,张敏,冯登国.云存储密文访问控制方案[J].计算机科学与探索,2011,5(9):835-844.[70]YuSC,WangC,etal.Achievingsecure,scalable,andfine-graineddataaccesscontrolincloudcomputing[A].InfoCom2010Proceedings[C].SanDiego:IEEEPress,2010:1-9.[71]林果园,贺珊,黄皓等.基于行为的云计算访问控制安全模型[J].通信学报,2012,33(3):59-66.[72]WangG,LiuQ,WuJ.Hierarchicalattribute-basedencryptionforfine-grainedaccesscontrolincloudstorageservices[A].Proceedingsofthe17thACMConferenceonComputerandCommunicationsSecurity[C].NewYork:ACMPress,2010:735-737.[73]孙国梓,董宇,李云.基于CP-ABE算法的云存储数据访问控制[J].通信学报,2011,32(7):146-152.[74]洪澄,张敏,冯登国.AB-ACCS:一种云存储密文访问控制方法[J].计算机研究与发展,2010,47(z1):259-265.[75]LaiJZ,DengRH,GuanChaowen,etal.Attribute-basedencryptionwithverifiableoutsourceddecryption[J].IEEETransactionsonInformationForensicsandSecurity,2013,8(8):1343-1354.[76]LiJ,HuangXY,LiJW,etal.Securelyoutsourcingattribute-basedencryptionwithcheckability[J].IEEETransactionsonParallelandDistributedSystems,2014,25(8):2201-2210.[77]BlazeM,BleumerG,StraussM.Divertibleprotocolsandatomicproxycryptography[M].AdvancesinCryptology-EUROCRYPT'98.SpringerBerlinHeidelberg,1998:127-144.[78]FuKE.Groupsharingandrandomaccessincryptographicstoragefilesystems[D].100 博士学位论文MassachusettsInstituteofTechnology,1999.[79]MajiHK,PrabhakaranM,RosulekM.Attribute-basedsignatures[C].TopicsinCryptology-CT-RSA2011.SpringerBerlinHeidelberg,2011:376-392.[80]LiJ,AuMH,SusiloW,etal.Attribute-basedsignatureanditsapplications[C].InProceedingsofthe5thACMSymposiumonInformation,ComputerandCommunicationsSecurity.ACM,Beijing,2010:60-69.[81]EscalaA,HerranzJ,MorilloP.Revocableattribute-basedsignatureswithadaptivesecurityinthestandardmodel[C].ProgressinCryptology-AFRICACRYPT2011.SpringerBerlinHeidelberg,2011:224-241.[82]OkamotoT,TakashimaK.Efficientattribute-basedsignaturesfornon-monotonepredicatesinthestandardmodel[C].PublicKeyCryptography-PKC2011.SpringerBerlinHeidelberg,2011:35-52.[83]AtenieseG,KirschJ,BlantonM.SecretHandshakeswithDynamicandFuzzyMatching[C].NDSS.2007,7:1-19.[84]WangH,XuQL,BanT.Aprovablysecuretwo-partyattribute-basedkeyagreementprotocol[C].FifthInternationalConferenceonIntelligentInformationHidingandMultimediaSignalProcessing,2009,IIH-MSP'09.IEEE,Kyoto,2009:1042-1045.[85]YoneyamaK.Stronglysecuretwo-passattribute-basedauthenticatedkeyexchange[C].Pairing-BasedCryptography-Pairing2010.SpringerBerlinHeidelberg,2010:147-166.[86]李强,冯登国,张立武等.标准模型下增强的基于属性的认证密钥协商协议[J].计算机学报,2013,36(10):2156-2167.[87]AnadaH,AritaS,HandaS,etal.Attribute-basedidentification:definitionsandefficientconstructions[C].InformationSecurityandPrivacy.SpringerBerlinHeidelberg,2013:168-186.[88]王小明,付红,张立臣.基于属性的访问控制研究进展[J].电子学报,2010,07,38(7):1660-1667.[89]李晓峰,冯登国,陈朝武等.基于属性的访问控制模型[J].通信学报,2008,04,29(4):90-98.[90]CoetzeeM,EloffJHP.Towardswebserviceaccesscontrol[J].ComputersandSecurity,2004,23(7):559-570.[91]MewarVS,AichS,SuralS.Accesscontrolmodelforwebserviceswithattributedisclosurerestriction.InProceedingsoftheSecondInternationalConferenceon101 基于属性加密的数据访问控制方法研究Availability,ReliabilityandSecurity[C].Washington,IEEEComputerSociety,2007,04:524-531.[92]LabordeR,KamelM,WazanS,etal.Asecurecollaborativewebbasedenvironmentforvirtualorganizations[J].InternationalJournalofWebBasedCommunities,2009,05(2):273-292.[93]WangGJ,LiuQ,WuJ.Hierarchicalattribute-basedencryptionforfine-grainedaccesscontrolincloudstorageservices[A].InProceedingsofthe17thACMconferenceonComputerandcommunicationssecurity[C].NewYork,NY,USA.ACMPress,2010:735-737.[94]张浩军,范学辉.一种基于可信第三方的CP-ABE云存储访问控制[C].武汉大学学报,2013,59(2):153-158.[95]郭振洲.基于属性的加密方案的研究[D].大连理工大学,2012,9-12.[96]ParnoB,RaykovaM,VaikuntanathanV.Howtodelegateandverifyinpublic:verifiablecomputationfromattribute-basedencryption[M].TheoryofCryptography.SpringerBerlinHeidelberg,2012:422-439.[97]LaiJZ,DengRH,LiYJ.ExpressiveCP-ABEwithpartiallyhiddenaccessstructures[C].Proceedingsofthe7thACMSymposiumonInformation,ComputerandCommunicationsSecurity.ACM,Seoul,2012:18-19.[98]SahaiA,SeyaliogluH,WatersB.Dynamiccredentialsandciphertextdelegationforattribute-basedencryption[C].AdvancesinCryptology-CRYPTO2012.SpringerBerlinHeidelberg,2012:199-217.[99]WangPP,FengDG,ZhangLW.Towardsattributerevocationinkey-policyattribute-basedencryption[M].CryptologyandNetworkSecurity.SpringerBerlinHeidelberg,2011:272-291.[100]LiQ,FengDG,ZhangLW.Anattributebasedencryptionschemewithfine-grainedattributerevocation[C].GlobalCommunicationsConference-GLOBECOM2012.IEEE,California,2012:885-890.[101]王鹏翩,冯登国,张立武.一种支持完全细粒度属性撤销的CP-ABE方案[J].软件学报,2012,23(10):2805-2816.[102]GellingsCW,SamotyjM,HoweB.Thefuture'ssmartdeliverysystem[J].IEEEPower&EnergyMagazine,2004,2.[103]BoseA.Smarttransmissiongridapplicationsandtheirsupportinginfrastructure[J].SmartGrid,IEEETransactionson,2010,1(1):11-19.[104]MetkeAR,EklRL.SmartGridsecuritytechnology[C].InnovativeSmartGrid102 博士学位论文Technologies(ISGT),2010.IEEE,2010:1-7.[105]杨波.现代密码学第3版[M].清华大学出版社,2014,209-213.[106]冯登国译,密码学原理与实践:第二版/(加)斯廷森(D.R.Stinson)著,北京:电子工业出版社,2003,27-196.[107]GoldwasserS,MicaliS.Probabilisticencryptionandhowtopalymentalpoker,keepingsecretallpartialinformation[C].InProceedingsof14thACMsymposiumonTheoryofComputing,1982:365-377.[108]BonehD,LynnB,ShachamH.ShortsignaturesfromtheWeilpairing[M].AdvancesinCryptology—ASIACRYPT2001.SpringerBerlinHeidelberg,2001:514-532.[109]DanB,BoyenX,ShachamH.ShortGroupSignatures[J].LectureNotesinComputerScience,2004,22(6):41-55.[110]NishideT,YoneyamaK,OhtaK.Attribute-basedencryptionwithpartiallyhiddenencryptor-specifiedaccessstructures[C].Appliedcryptographyandnetworksecurity.SpringerBerlinHeidelberg,2008:111-129.[111]TangQ,JiDY.VerifiableAttributeBasedEncryption[J].InternationalJournalofNetworkSecurity.2010,10(2):114-120.[112]王永涛.基于属性密码体制的相关研究[D].上海交通大学,2011:68-75.[113]SchoenmakersB.Asimplepubliclyverifiablesecretsharingschemeanditsapplicationtoelectronicvoting[A].AdvancesinCryptology-Crypto’99Proceedings[C].Berlin:Springer-Verlag,1999:148-164.[114]ChaumD,PedersenT.Walletdatabasedwithobservers[C].CRYPTO’92,BerlinHeidelberg:Springer-Verlag,1992:89-105.[115]KooD,HurJ,YoonH.Secureandefficientdataretrievaloverencrypteddatausingattribute-basedencryptionincloudstorage[J].Computers&ElectricalEngineering,2013,39(1):34-46.[116]RenK,WangC,WangQ.Securitychallengesforthepubliccloud[J].IEEEInternetComputing.16(1),2012:69-73.[117]冯登国,张敏,张妍,等.云计算安全研究[J].软件学报,2011,22(1):71-83.[118]KatzJ,SahaiA,WatersB.Predicateencryptionsupportingdisjunctions,polynomialequations,andinnerproducts[M].AdvancesinCryptology–EUROCRYPT2008.SpringerBerlinHeidelberg,2008:146-162.[119]LewkoA,OkamotoT,SahaiA,etal.FullySecureFunctionalEncryption:Attribute-BasedEncryptionand(Hierarchical)InnerProductEncryption[M].103 基于属性加密的数据访问控制方法研究AdvancesinCryptology-EUROCRYPT2010.SpringerBerlinHeidelberg,2010:62-91.[120]OkamotoT,TakashimaK.FullySecureFunctionalEncryptionwithGeneralRelationsfromtheDecisionalLinearAssumption[C].Crypto.SpringerBerlinHeidelberg,2010:191-208.[121]KawaiY,TakashimaK.Predicate-andAttribute-HidingInnerProductEncryptioninaPublicKeySetting[J].LectureNotesinComputerScience,2014,8365:113-130.[122]FrikkenK,AtallahM,LiJ.Attribute-BasedAccessControlwithHiddenPoliciesandHiddenCredentials[J].IEEETransactionsonComputers,2006,55(10):1259-1270.[123]YuS,RenK,LouW.Attribute-basedcontentdistributionwithhiddenpolicy[C].SecureNetworkProtocols,2008.NPSec2008.4thWorkshopon.IEEE,2008:39-44.[124]LaiJ,DengRH,LiY.Fullysecurecipertext-policyhidingCP-ABE[C].InProceedingsofthe7thinternationalconferenceonInformationsecuritypracticeandexperience.Springer-Verlag,Glasgow,2011:24-39.[125]解理,任艳丽.隐藏访问结构的高效基于属性加密方案[J].西安电子科技大学学报,2015,42(3):97-102.[126]WatersB.Dualsystemencryption:RealizingfullysecureIBEandHIBEundersimpleassumptions[M].AdvancesinCryptology-CRYPTO2009.SpringerBerlinHeidelberg,2009:619-636.[127]LiX,GuD,RenY,etal.EfficientCiphertext-PolicyAttributeBasedEncryptionwithHiddenPolicy[M].InternetandDistributedComputingSystems.SpringerBerlinHeidelberg,2012:146-159.[128]王海斌,陈少真.隐藏访问结构的基于属性加密方案[J].电子与信息学报,2012,34(2):457-461.[129]MüllerS,KatzenbeisserS.Hidingthepolicyincryptographicaccesscontrol[M].SecurityandTrustManagement.SpringerBerlinHeidelberg,2011:90-105.[130]ShanY,CaoZ.Extendedattributebasedencryptionforprivateinformationretrieval[C].MobileAdhocandSensorSystems,2009.MASS'09.IEEE6thInternationalConferenceon.IEEE,2009:702-707.[131]BlazeM,BleumerG,StraussM.Divertibleprotocolsandatomicproxycryptography[M].AdvancesinCryptology—EUROCRYPT'98.SpringerBerlin104 博士学位论文Heidelberg,1998:127-144.[132]AtenieseG,FuK,GreenM,etal.Improvedproxyre-encryptionschemeswithapplicationstosecuredistributedstorage[J].ACMTransactionsonInformationandSystemSecurity(TISSEC),2006,9(1):1-30.[133]ShaoJ,LiuP,ZhouY.AchievingkeyprivacywithoutlosingCCAsecurityinproxyre-encryption[J].JournalofSystemsandSoftware,2012,85(3):655-665.[134]TabanG,CárdenasAA,GligorVD.TowardsasecureandinteroperableDRMarchitecture[C].InProceedingsoftheACMworkshoponDigitalrightsmanagement.ACM,2006:69-78.[135]LeeS,ParkH,KimJ.Asecureandmutual-profitableDRMinteroperabilityscheme[C].ComputersandCommunications(ISCC),2010IEEESymposiumon.IEEE,2010:75-80.[136]ShaoJ,CaoZ,LiangX,etal.Proxyre-encryptionwithkeywordsearch[J].InformationSciences,2010,180(13):2576-2587.[137]HongC,ZhangM,FengD.Achievingefficientdynamiccryptographicaccesscontrolincloudstorage[J].JournalofChinaInstituteofCommunications,2011,32(7):125-132.[138]WangXA,HuangX,YangX,etal.Furtherobservationonproxyre-encryptionwithkeywordsearch[J].JournalofSystemsandSoftware,2012,85(3):643-654.[139]ShoupV.SequencesofGames:AToolforTamingComplexityinSecurityProofs[J].IacrCryptologyEprintArchive,2004.[140]GellingsCW,SamotyjM,HoweB.Thefuture’ssmartdeliverysystem(electricpowersupply)[J].IEEEPowerandEnergyMag.2004,2(5):40-48.[141]余贻鑫,刘艳丽.智能电网的挑战性问题[J].电力系统自动化,2015,(2):1-5.[142]TheSmartGrid:AnIntroduction.31May2009[Online].http://www.oe.energy.gov/DocumentsandMedia/DOE,SGBookSinglePages.pdf.[143]刘振亚.智能电网知识读本[M].北京:中国电力出版社.2010.1,1-128.[144]GaoJ,XiaoY,LiuJ,etal.Asurveyofcommunication/networkinginsmartgrids[J].FutureGenerationComputerSystems,2012,28(2):391-404.[145]FlickT,MorehouseJ.Securingthesmartgrid:nextgenerationpowergridsecurity[M].Elsevier.2010:21-168.[146]RajagopalanSR,SankarL,MohajerS,etal.Smartmeterprivacy:Autility-privacyframework[C].SmartGridCommunications,2011IEEEInternationalConferenceon.IEEE,2011:190-195.105 基于属性加密的数据访问控制方法研究[147]SankarL,KarS,TandonR,etal.Competitiveprivacyinthesmartgrid:Aninformation-theoreticapproach[C].SmartGridCommunications,2011IEEEInternationalConferenceon.IEEE,2011:220-225.[148]LiH,LiangX,LuR,etal.Edr:Anefficientdemandresponseschemeforachievingforwardsecrecyinsmartgrid[C].GlobalCommunicationsConference(GLOBECOM),IEEE,2012:929-934.[149]FadlullahZM,KatoN,LuR,etal.Towardsecuretargetedbroadcastinsmartgrid[J].CommunicationsMagazine,IEEE.2012,50(5):150-156.[150]LuR,LiangX,LiX,etal.Eppa:Anefficientandprivacy-preservingaggregationschemeforsecuresmartgridcommunications[J].ParallelandDistributedSystems,IEEETransactionson,2012,23(9):1621-1631.[151]PaillierP.Public-keycryptosystemsbasedoncompositedegreeresiduosityclasses[C].Advancesincryptology—EUROCRYPT’99.SpringerBerlinHeidelberg,1999:223-238.[152]TomsovicK,BakkenDE,VenkatasubramanianV,etal.Designingthenextgenerationofreal-timecontrol,communication,andcomputationsforlargepowersystems[J].ProceedingsoftheIEEE,2005,93(5):965-979.[153]XieZ,ManimaranG,VittalV,etal.Aninformationarchitectureforfuturepowersystemsanditsreliabilityanalysis[J].PowerSystems,IEEETransactionson,2002,17(3):857-863.[154]KimYJ,ThottanM,KolesnikovV,etal.Asecuredecentralizeddata-centricinformationinfrastructureforsmartgrid[J].CommunicationsMagazine,IEEE,2010,48(11):58-65.[155]RujS,NayakA,StojmenovicI.Asecurityarchitecturefordataaggregationandaccesscontrolinsmartgrids[J].arXivpreprintarXiv:1111.2619,2011.[156]McDanielP,McLaughlinS.Securityandprivacychallengesinthesmartgrid[J].IEEESecurity&Privacy,2009(3):75-77.[157]LineMB,TøndelIA,JaatunMG.CybersecuritychallengesinSmartGrids[C].InnovativeSmartGridTechnologies(ISGTEurope),20112ndIEEEPESInternationalConferenceandExhibitionon.IEEE,2011:1-8.[158]PallottiE,MangiatordiF.Smartgridcybersecurityrequirements[C].EnvironmentandElectricalEngineering(EEEIC),201110thInternationalConferenceon.IEEE,2011:1-4.[159]YanY,QianY,SharifH,etal.Asurveyoncybersecurityforsmartgrid106 博士学位论文communications[J].CommunicationsSurveys&Tutorials,IEEE,2012,14(4):998-1010.[160]SultanaA,SaleemJ,ByrneC,etal.Prisense:privacy-preservingdataaggregationinpeople-centricurbansensingsystems[C].InProceedingsofthe29thconferenceonInformationcommunications.IEEEPress,2010:758-766.[161]LinX,LuR,ShenX.MDPA:multidimensionalprivacy-preservingaggregationschemeforwirelesssensornetworks[J].WirelessCommunications&MobileComputing,2010,10(6):843-856.[162]LiuX,ZhangY,WangB,etal.Ananonymousdataaggregationschemeforsmartgridsystems[J].Securityandcommunicationnetworks,2014,7(3):602-610.[163]KursaweK,DanezisG,andKohlweissM.PrivacyfriendlyAggregationfortheSmart-grid.http://research.microsoft.com/apps/pubs/?id=146092.[164]FuS,MaJ,LiH,etal.Arobustandprivacy-preservingaggregationschemeforsecuresmartgridcommunicationsindigitalcommunities[J].Security&CommunicationNetworks,2015.[165]LiF,LuoB,LiuP.SecureInformationAggregationforSmartGridsUsingHomomorphicEncryption[C].SmartGridCommunications(SmartGridComm),2010FirstIEEEInternationalConferenceon.IEEE,2010:327-332.[166]SeoD,LeeH,PerrigA.Secureandefficientcapability-basedpowermanagementinthesmartgrid[C].ParallelandDistributedProcessingwithApplicationsWorkshops(ISPAW),2011NinthIEEEInternationalSymposiumon.IEEE,2011:119-126.[167]LiH,LinX,YangH,etal.EPPDR:anefficientprivacy-preservingdemandresponseschemewithadaptivekeyevolutioninsmartgrid[J].ParallelandDistributedSystems,IEEETransactionson,2014,25(8):2053-2064.[168]WatersB.Efficientidentity-basedencryptionwithoutrandomoracles[M].AdvancesinCryptology–EUROCRYPT2005.SpringerBerlinHeidelberg,2005:114-127.[169]GentryC,RamzanZ.Identity-Basedaggregatesignatures[C].InProceedingsofthe9thinternationalconferenceonTheoryandPracticeofPublic-KeyCryptography.Springer-Verlag,Berlin,Heidelberg,2006:257-273.[170]BellareM,RogawayP.Randomoraclesarepractical:Aparadigmfordesigningefficientprotocols[C].InProceedingsofthe1stACMconferenceonComputerandcommunicationssecurity.ACM,1993:62-73.107 基于属性加密的数据访问控制方法研究[171]BethencourtJ,SahaiA,WatersB.Advancedcryptosoftwarecollection:thecpabetoolkit[J].(2011-04-01).http://acsc.cs.utexas.edu/cpabe.108 博士学位论文致谢值此论文完成之际,向所有关心我的领导、老师、同学、亲人、朋友等表示衷心的感谢,正是有了你们的信任和鼓励、支持和帮助,我才能坚持我的博士学习生涯,我才能顺利完成博士毕业论文。首先衷心感谢我的导师李战明教授,是他提供我一个这样学习的机会和经历。李老师严谨的治学态度、不倦的求学精神、对事业的责任感、和蔼可亲、宽以待人的品格、豁达乐观的生活情操等都是我学习的榜样。在四年的博士生涯中,从选题、开题到完成论文,都受到老师悉心指导,感谢李老师的教导和付出。感谢电信学院的领导,感谢黎锁平教授、霍海峰教授、冯涛教授等老师对我学业的指导和帮助,他们严谨治学、认真工作的作风是我学习的榜样。感谢一起学习的博士生同学,特别是张红博士、晏燕博士和汪训洋博士,与你们在一起的美好时光,让我的读博生活不再孤单,感谢你们,我会用心呵护这份情谊。特别感谢我的家人,正是他们全力以赴、默默奉献,我才能顺利完成学业。感谢我的父母,帮我照料年幼的女儿,我却不能堂前尽孝,深感内疚和缺憾。感谢我的爱人,正是他在我身后无私的支持,在我遇到难题时给以极大鼓励和建议,同我一道渡过难关,同甘共苦。感谢可爱女儿给我的动力和欢乐。最后衷心感谢所有帮助过我的老师和朋友,感谢各位评审专家百忙中抽出宝贵时间评阅本文。109 基于属性加密的数据访问控制方法研究附录A攻读博士学位期间发表的学术论文[1]刘雪艳,张强,李战明等.面向智能电网通信系统的数据聚合和访问控制方法.电力系统自动化,2016,40(14):135-144.EI[2]XueyanLiu,ZhanmingLi.OrientedUserGroupVerifiableAttribute-basedEncryptionScheme.InternationalJournalofSecurityandItsApplications,2016,10(1):415-426.EI[3]XueyanLiu,QiangZhang,ZhanmingLi.SecureDataAggregationwithPrivacy-ProtectioninSmartGrid.2014Asia-PacificComputerScienceandApplicationConference,ISBN:978-1-135-68498-7:256-262.EI[4]XueyanLiu,ZhanmingLi,ZhanjunHao,QiangZhang.Verifiablemulti-authorityattribute-basedencryptionschemewithdifferentpermissions.JournalofChemicalandPharmaceuticalResearch,2014,6(7):611-620.EI[5]刘雪艳,李战明.无线传感器网中基于隐私同态的数据聚合方案.计算机工程,2014,40(08):101-105.[6]刘雪艳,张强,李战明.智能电网信息安全研究综述.电力信息与通信技术,2014(4):56-60.[7]XueyanLiu,ZhanmingLi.Ciphertext-PolicyAttribute-basedEncryptionwithFullyHidAccessPolicyforCloudStorage.JournalofCommunicationsandNetworks.已投稿(JCN-DIV1-058).SCI110 博士学位论文附录B攻读博士学位期间参与的项目[1]西北师范大学青年教师科研提升计划:基于属性加密的数据访问控制策略研究,项目编号:NWNU-LKQN-14-1,起止年月:2015.1-2017.12,在研、主持。[2]国家自然科学基金项目:云计算环境下跨域身份认证与多授权访问控制的关键问题研究,项目编号:61262057,起止年月:2013.1-2016.12,在研、参加。[3]国家自然科学基金项目:基于网络编码的无线传感器网络中的若干安全问题研究,项目编号:61163038,起止年月:2012.1-2015.12,在研、参加。[4]国家自然科学基金项目:大数据环境下数据层隐私保护性多方密码算法研究,基金号:61562077,起止年月:2016.1-2019.12,在研、参加。111
此文档下载收益归作者所有