云存储中基于多授权机构的数据访问控制模型和方法研究

In cloud storage, multi-authority based access control is one of the key security issues for cross-authority data access and sharing. Aiming at improving the security and robustness of multi-authority cloud storage, this project is oriented to the research of multi-authority attribute-based encryption(MA-ABE) based authorization and access control model, user revocation, and experimental loud storage system establishment. By defining the access-tree based decentralizing authority model, user’s attributes and secret key components can be assigned by different attribute authorities (AA) with minimum interaction with the Central Authority(CA) and user’s global ID(GID), which can improve the security, robustness and anonymousness of the cloud storage system. In addition, the secret key components are linked to different attribute authorities. Users and attributes revocation can be achieved by updating those secret key components with proxy re-encryption without revealing any ciphertext or secret key information. Meanwhile, an experimental cloud storage system is going to be built for verifying the theoretical model and methods proposed in this project..

多授权机构并存条件下的数据访问控制模型和方法是云存储实现数据跨域访问和共享所必须解决的安全关键问题。本项目以此为研究对象，在ABE方法的基础上，对MA-ABE授权和控制模型，用户权限撤销方法，以及云存储访问控制实验系统等方面展开研究。以访问结构树为基本结构，研究建立多授权机构间的分散授权模型，以及与之相对应的密钥分割和生成算法，目的在于降低访问控制模型对CA和GID的依赖，从而提高系统的整体安全性、匿名性和抗联合攻击能力。在分散授权模型下，将访问权限与密钥组件紧密结合，利用代理重加密技术实现多个授权机构对指定用户和指定属性的权限撤销。同时，设计实现基于多授权机构的云存储实验系统，为项目中理论模型和方法的研究提供实际验证环境。

云计算和云存储业务的快速发展使得数据在云端的安全性问题更为凸显。针对于此，本课题从云存储安全模型和访问控制方法，访问控制权限撤销、云数据安全共享原型系统等多个方面进行了研究。一、在针对云安全模型和访问控制方法的研究中，对云数据产生的过程和加密方式进行了分析，找到了影响云数据安全共享的关键问题，结合多授权机构的属性加密方法（MA-ABE，Multi-Authority ABE），提出了分散授权模型和多种密钥生成算法，通过将密钥分割为用户特有密钥和属性密钥，分别由数据属主（DO）和属性授权机构（AA）各自产生；并引入新的密钥交换协议和盲参数（blinder）实现安全的密钥分发和生成。项目提出的分散授权模型和密钥生成算法能有效避免各类主体之间的联合攻击，理论分析和实验同时验证了这类算法的安全性和有效性。二、在针对访问控制权限撤销方法的研究中，根据云存储和共享数据的应用特征，综合考虑权限撤销灵活性和计算效率的问题，提出了将权限撤销分为用户权限撤销和属性权限撤销，通过用户权限撤销方案实现了针对特定用户的细粒度权限撤销方案，并在通过引入代理重加密，将密文更新的繁重计算任务交由云端完成，进一步降低了DO在权限撤销过程中的计算量，并且保证了权限撤销后密文的前向安全性。三、以cpabe库为基础，分别在Linux Unbuntu和Android系统平台下实现了项目组提出的多种MA-ABE算法，实际测试了算法的各项功能和性能。并通过委托第三方测试在50部Android系统手机上验证了项目组开发的云数据加密共享 APP的性能和效率。