基于密码的外包数据访问控制中的防信息推理研究

Cloud storage technology enables data owners to outsource their encrypted data to cloud storage and share with authorized users. ABE (Attribute-Based Encryption) access control is the most promising cryptographic access control scheme in access control for outsourced data. However, the user’s successive access to a data owner’s bunch of data may cause a conflict of interest, or results in the inference or leakage of sensitive data. In this project, we model particular underlying relations among data owners' data and then propose general purpose, less-restrictive, flexible CP-ABE (Ciphertext-Policy Attribute-Based Encryption) access control scheme. Our scheme prevents from conflict of interest that might be caused by the user’s successive access to outsourced data or reduces the risk of inference of sensitive data from the normally accessed data. Finally, we will design and implement a prototype CP-ABE access control system based on the above cryptographic scheme to verify the feasibility and effectiveness of our proposal.

云存储技术允许数据拥有者将其加密的数据在云端储存，以便为用户提供数据共享服务。外包数据访问控制中属性基加密ABE(Attribute-Based Encryption)是最常用的密码访问控制方案。然而，同一个数据拥有者在云端存储的不同数据被用户访问可能会产生利益冲突，或者引起其它敏感信息的推理或泄露。本项目对用户存储在云端上的数据之间的这些特殊关系建立数学模型，提出通用的、限制性比较小的、灵活的基于密文策略属性基加密CP-ABE (Ciphertext-Policy Attribute-Based Encryption)的访问控制方法，本方法能够防止外包数据访问过程中利益冲突的产生或降低用户由已合法访问的数据推导出其它敏感数据的风险。最终，研制出该方案的密码原型系统验证本项目提出方法的可行性和有效性。

CP-ABE是在云存储中常用的基于密码的访问控制方案。用户分享于云上的数据之间可能存在利益冲突或由其推理出敏感信息。此外，传统CP-ABE中访问策略是公开的，可能会泄露用户隐私或由其推理出敏感信息。策略隐藏的CP-ABE方案一般隐藏整个访问策略，隐藏方式缺乏针对性。项目从CP-ABE访问控制出发，主要研究基于密码的访问控制中的防信息推理，以及提高密码方案效率。主要工作有： .一、用户分享于云上的部分数据之间存在利益冲突或由其推理出敏感信息。本研究提出通过修正这部分数据的访问策略及其密文的重加密实施访问控制限制的方案，方案对用户访问这些特殊数据进行约束，避免敏感信息泄露，系统安全性的得到提高。.二、访问策略的隐藏是CP-ABE中防止敏感信息推理的一种手段。本研究提出两种访问策略部分隐藏的CP-ABE方案，利用属性之间的统计相关性选出访问策略中的敏感属性，这些属性包含策略中的大部分信息量，并隐藏这些属性，其余属性公开。这两种方案具有针对性和灵活性：它们与完全隐藏有相同的策略隐藏效果；仅隐藏敏感属性有效地降低加解密计算量。.三、CP-ABE中用户之间密钥委托时，委托密钥可能会被泄露。本研究提出一种灵活的、细粒度的、支持可追踪的CP-ABE密钥委托方案。委托者根据最小解密能力原则，选择符合受托者访问能力约束的极小属性集构造委托密钥，从而避免由于受托者越权访问导致的信息泄露。委托者在保证数据安全的前提下与密钥生成中心分担繁重的密钥生成任务，提高系统效率。.四、本研究做CP-ABE方案的效率提高方面的研究，尽可能避免加解密过程中的不必要的重复计算，保证密码方案安全性的条件下，提高方案的效率。