云環(huán)境下基于隱私保護(hù)的訪問(wèn)控制系統(tǒng)研究.pdf

1、隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展，云計(jì)算已經(jīng)成為研究與應(yīng)用領(lǐng)域的熱點(diǎn)話題。它將大量的計(jì)算機(jī)資源聚集在一起構(gòu)成虛擬資源平臺(tái)，用戶不用了解云平臺(tái)的具體實(shí)施細(xì)節(jié)，便可按需付費(fèi)使用。但是云計(jì)算在為用戶提供便利的同時(shí)，也帶來(lái)了很多安全問(wèn)題。為了實(shí)現(xiàn)數(shù)據(jù)共享，數(shù)據(jù)屬主將數(shù)據(jù)上傳到云服務(wù)器端進(jìn)行存儲(chǔ)與管理，這意味著數(shù)據(jù)屬主將會(huì)對(duì)數(shù)據(jù)失去直接的控制。一方面，云服務(wù)器有可能竊取用戶的私密數(shù)據(jù)；另一方面，數(shù)據(jù)屬主往往并不想授予所有用戶同樣的訪問(wèn)權(quán)限。如何實(shí)現(xiàn)云計(jì)算

2、中不同的用戶擁有不同的訪問(wèn)權(quán)限是一個(gè)值得研究的問(wèn)題，所以云計(jì)算環(huán)境中保護(hù)隱私的訪問(wèn)控制方案研究具有重大意義。
　　為了讓數(shù)據(jù)屬主可以自主地對(duì)存儲(chǔ)在云服務(wù)器上的數(shù)據(jù)進(jìn)行訪問(wèn)控制，本文提出了一種高效的基于權(quán)限分離的隱私保護(hù)訪問(wèn)控制系統(tǒng)（Privilege Separation based Access Control System，PS-ACS）。該系統(tǒng)將云環(huán)境中的用戶在邏輯上分為私有區(qū)域（Private Area，PRA區(qū)域）和公共

3、區(qū)域（Public Area，PUA區(qū)域）。針對(duì)PRA區(qū)域用戶數(shù)量少，身份明確的特點(diǎn)，本文采用聚合密鑰加密算法（Key-Aggregate Encryption，KAE）來(lái)實(shí)現(xiàn)用戶的讀訪問(wèn)權(quán)限。數(shù)據(jù)屬主只需將一個(gè)大小恒定的聚合密鑰發(fā)送給被授權(quán)用戶，即可完成對(duì)用戶的讀訪問(wèn)授權(quán)。該算法不僅降低了密鑰的管理和傳輸費(fèi)用，還極大地提高了訪問(wèn)效率。當(dāng)用戶需要修改數(shù)據(jù)文件時(shí)，采用一種改進(jìn)的基于屬性簽名算法（Improved Attribute-bas

4、ed Signature，IABS），數(shù)據(jù)屬主產(chǎn)生簽名政策后直接發(fā)送給云服務(wù)器，減少了對(duì)認(rèn)證中心的信任程度。用戶在不泄露身份的情況下即可通過(guò)云服務(wù)器的簽名認(rèn)證，從而成功修改文件。而針對(duì)PUA區(qū)域用戶數(shù)量大，身份不明確的特點(diǎn)，本文采用了多機(jī)構(gòu)授權(quán)的分層的基于屬性加密方案（Hierarchy Attribute-based Encryption，HABE），避免了單一授權(quán)機(jī)構(gòu)帶來(lái)的單點(diǎn)失效和密鑰分發(fā)過(guò)于復(fù)雜的問(wèn)題。
　　本文首先介紹了