论文部分内容阅读
随着云计算、物联网、大数据等新型计算技术的兴起与发展,全球信息化引发了世界范围的深刻变化,国民经济、社会发展、人民生活等各个层面对信息技术的依赖达到了前所未有的程度。同时,互联网的开放性和信息共享给全球信息安全带来了严重威胁,信息安全上升为国家安全主要内容之一。访问控制是保护数据机密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一。然而,网络规模不断扩大,分布式网络环境中用户量和数据量剧增,用户对数据、个人隐私需求和权限粒度需求不断提升,迫切需要实现对大规模用户的细粒度动态授权;安全需求方式已经由通信双方均是单用户向至少有一方是多用户的多方通信模式转变,由“同域”通信转为“跨域”通信,传统访问控制面临新的挑战。近年来,国内外学者广泛开展了基于属性加密访问控制方法研究,并取得了大量研究成果。但是,诸如多样化权限问题、面向用户组的访问控制问题、隐藏访问控制策略问题等还亟待进一步研究。针对上述问题,本文开展了基于属性加密的访问控制方法研究,主要研究工作包括:1.针对用户多样化权限需求问题,设计了一个具有用户权限区分的多属性权威的访问控制方案。重点解决了以下问题:(1)由于单一用户权限无法满足当前用户多样化权限需求,提供了不同用户权限,使得拥有不同属性集的用户获得不同的权限;(2)采用一个中心权威和多个属性权威结合的方式,解决单属性权威的属性密码系统无法满足大规模分布式应用对不同机构协作的需求,且容易受到集中攻击问题;(3)数据所有者在生成密文的同时,产生了一个短签名,该签名确保了数据的完整性和数据源的真实性;(4)在选择属性集安全模型下证明了方案的安全性,且与同类方案对比得出增加的信息和计算量更少。2.针对用户权限过度集中产生滥用问题,提出一个面向用户组可验证的访问控制方案和安全模型,并证明了方案的安全性。该方案主要功能为:(1)方案中引入用户组,不仅分散了用户权限,而且每个参与者只需存储少量信息;(2)利用Schoenmaker可验证秘密共享机制,建立对中心权威CA的非交互的监督机制,减少对中心权威的依赖性,所以该方案中可以采用半可信或不可信的中心权威;(3)每个参与者通过检查同一个用户组里其他参与者提供的信息,可以验证合作用户的诚实性;(4)将本方案与现有方案进行比较得出,本方案的用户权限管理更细化,验证属性钥时的计算量更少。3.针对访问策略泄密问题,设计了一个完全隐藏访问策略的加密方案,进而构造了一个云存储中完全隐藏访问策略的访问控制机制,实现了对存放在半可信云端数据的安全性和机密性保护。具体实现了:(1)对云存储服务提供者CSP完全隐藏了访问策略,解决了云存储环境中特权用户导致的数据机密性和完整性受威胁问题;(2)对所有用户完全隐藏了访问策略,即使一个合法用户对加密的共享数据成功解密,他也不能确定他遵守的访问策略;(3)增加了用户属性变更功能,在方案中引入代理重加密机制,CSP在不知道访问策略和存储数据内容的前提下独自完成重加密任务,避免了数据所有者重新加密的负担;(4)对方案的安全性进行了证明,且通过与同类方案比较得出,本方案中的访问策略隐藏的更彻底。4.以智能配电网作为典型应用场景,设计了一个智能配电网通信系统数据聚合和访问控制模型,将基于属性的访问控制应用于智能配电网通信环境。具体完成了以下工作:(1)针对智能配电网中的海量数据收集工作,采用Paillier同态机制收集多维数据且保证数据的机密性,而签名实现批验证,使得对计算的个数从3t降到3;(2)采用基于属性的访问控制方法加密反馈命令,避免了数量庞大的智能终端获取相同命令并产生相应安全攻击的问题;(3)在数据收集和命令反馈阶段都提供了签名,保证了数据的完整性和资源认证;(4)通过与已有方案在计算量、通信量、功能等方面进行分析和仿真,实验表明在聚合数据种类比较少、智能终端数目庞大、而且需要分类授权的情况下,本方案在计算开销方面和反馈命令访问控制方面具有明显优势。