资源描述:
《中科大-薛颖杰-云存储中一种类PKI的访问控制模型.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、云存储中一种类PKI的访问控制模型:CA+多AAs关键词:云存储,访问控制,CP-ABE学生:薛颖杰导师:薛开平薛颖杰@infonet2015.4.18目录Contents1问题背景2研究内容3方案设计4性能&安全分析问题背景1云计算数据外包数据远端存储方便共享2访问控制云不可信可信计算基密码学算法密文存储控制密钥分发国内外研究现状1•细粒度研究趋势:多属性权威场景•可拓展属性加密•安全1.管理域不相交的属性权威密文策略密钥策略2.用户隐私(CP-ABE)(KP-ABE)3.属性撤销(代理加密)私钥与用户属密文中定义访属性满足策略4.用户追踪性相关问策略树树才能解密5.应用系统,如e-heal
2、th有中央权多属性权威威无中央权CP-ABE单属性权威威研究内容属性权威(AA)颁发私钥流程审计属性合法产生属性性私钥人工/验证固定算法,算法完成,快速低效问题:AAs1.高效性:AA开销大,整体性能低2.可延展性:大规模系统中,AA低效带来...的系统繁忙3.鲁棒性:AA不可替代,离线导致密钥请求失败研究内容问题:AA承担任务:PKI(PublicKey验证+颁发,负1.高效性:AA开销大,整体性能低担重,效率低,Infrastructure)系统2.可延展性:大规模系统中,AA低效带来无法及时响应1.为网络中实体提供身请求的系统繁忙份认证3.鲁棒性:AA不可替代,离线导致密钥请无备份AA,
3、2.CA颁发证书无法随时响求失败3.为减轻CA负担,RA完应请求成用户注册和认证我们的目标在细粒度、灵活、安全的同时,提出高效的、可延展的、鲁棒性的访问控制我们的方法1.采用类似PKI的架构,CA+多AAs,多AA一方面分担CA认证负担,一方面管理域相同,解决鲁棒性问题。2.修改CP-ABE算法适应新模型,并解决追责问题。方案设计整体思路IK中包含已验证1系统模型&安全模型2属性1User找一个任意AA申请私钥AA验证属性合法性,产生2IntermediateKey给UserUser转发IntermediateKey给CA,3CA由此为其产生解密私钥,无需知晓属性完全3追责AA可信User出示
4、自己属性私钥,CA据此恢复出AA的身份信息方案算法1.Setup2.EncryptCA和AA建立3.KeyGeneration追责:当发现有密系统参数,包DataOwner加4.Decrypt钥出错时,用户向括系统公钥、密数据形成密用户首先向AACA出示私钥,CA私钥、AA私钥,文,上传云服申请验证属性,用户用私钥解据此恢复出AA身以及用户的务器获得密密文份Uid,AA的AidIntermediate生成Key。接着用户出示IK给CA,CA产生CASetup最终私钥CA为每个用户分配uid,每个AA分配aid。CA选择seed作为生成随机数的种子,与各AA共享。aPKgeghh,(g,g)
5、,h,,,...,12UMKga,,AASetupkiAA选择kZ作为自己的私钥,并将g传给CA。ip方案算法EncryptDataOwner首先采用对称加密算法(AES)加密数据,密钥为,然后用CP-ABE加密定义访问结构(M,),M为ln的密钥共享矩阵。DataOwner生成向量v{s,y,...y},i为Mv的第i行。D.O随机选择r1r,...,Zlp2nCT=CegCgh(g,g),C'Dgss,(,),...,arr1111(1)1(C,)ghaDrrllglll(1)AAKeyGenAA首先验证用户属性合法性。然后利用用户Uid
6、,随机数种子seed产生t。IntermediateKey=ktiKhxS,xxCAKeyGenCA根据用户出示的KgKttggaktiikt,LLgAid查找AA公钥列表。pp并根据Uid,产生私钥。K'Khkti,SSK=xxxx方案算法Dencrypt同CP-ABE。解密出对称密钥,再进一步解密。wiiastksee(C',K)/e(e(C,L)e(D,K'iIii)))(g,g)(i)(g,g)/((g,g))ee(g,g)atkwiiisiIsCe/(g,g)Account用户出示私钥的一部分L给CA。CA重新计算t,最终
7、得出AA的“公钥”,再查找公钥列表,找出AA的Aid。1/tktiit/kLgg性能分析1.鲁棒性:该方案可以抵抗AA的离线。在多个AA中,只要有一个在线,用户便能完成属性验证,从而向CA获取属性私钥。虽然该方案不能抵抗CA的离线,但在功能上CA仅相当于一个计算机,可以认为是不会离线的。2.高效性:CA开销变小,效率变高。多个AA一起工作,从整体上讲属性验证效率提高。单位时间内服务用户个
