基于属性加密的数据访问控制方法研究

Access control limits access to key resources through some ways, prevents the unauthorized leakage information. However, with the advent of cloud computing and other new computing mode, and with the development of distributed applications, the traditional access control methods are facing new challenges. Attribute-based encryption mechanism can effectively achieve fine-grained and non-interactive access control, accomplish large-scale subject dynamic authorization, greatly ensure the security and privacy of user data, reduce the overhead of network and data owner during data access control. Thus,it has a broad application prospect in the field of access control. Therefore, the research work will be carried out based on user's needs, security needs,application requirements,including:considering the single attribute authority is susceptible to attack, the diversification of user needs, we put forward a verifiable multi-attribute authority ABE scheme with different permissions; in order to make the system suitable for distributed authorization management, avoid the abuse of authority, improve the security of important sensitive data in open non trust environment, an oriented user group verifiable ABE scheme is put forward; according to the leakage problem of access policy in cloud storage, we design an access control mechanism with hidden access strategy to all users, even legal users;at last,an access control example with homomorphic properties in smart grid environment is given.

访问控制通过某种途径限制对关键资源的访问，防止非授权的信息泄露。但是，随着云计算等新兴计算模式的出现和分布式应用的发展，传统的访问控制方法面临新挑战。属性基加密能有效地实现细粒度的非交互的访问控制和大规模主体动态授权，极大地保证用户数据安全和隐私，降低数据访问控制带来的网络和数据属主的开销，在访问控制领域具有广阔的应用前景。为此，本项目将从用户需求、安全性需求、应用需求等方面进行研究，具体包括：考虑到单属性权威易受集中攻击，用户需求多样化，提出一个具有用户权限区分的多属性权威的访问控制方案；使系统适合分散式权限管理，提高重要敏感数据在无信任开放环境的安全性，提出一个面向用户组的可验证属性访问控制方案；针对云存储中访问策略泄密问题，设计一个隐藏访问策略的云存储访问控制机制；给出一个智能电网环境中属性访问控制实例。

访问控制是保护数据机密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一。然而，网络规模不断扩大，分布式网络环境中用户量和数据量剧增，用户对数据、个人隐私需求和权限粒度需求不断提升，迫切需要实现对大规模用户的细粒度动态授权；安全需求方式已经由通信双方均是单用户向至少有一方是多用户的多方通信模式转变，由“同域”通信转为“跨域”通信，传统访问控制面临新的挑战。针对上述问题，本项目开展了基于属性加密的访问控制方法研究，主要研究工作包括：. (1)针对用户多样化权限需求问题，设计了一个具有用户权限区分的多属性权威的访问控制方案。为拥有不同属性集的用户提供了不同用户权限；采用一个中心权威和多个属性权威结合的方式，解决单属性权威的属性密码系统无法满足大规模分布式应用对不同机构协作的需求。(2)针对用户权限过度集中产生滥用问题，提出一个面向用户组可验证的访问控制方案和安全模型，并证明了方案的安全性。方案中引入用户组，不仅分散了用户权限，而且每个参与者只需存储少量信息；利用Schoenmaker可验证秘密共享机制，建立对中心权威CA的非交互的监督机制，减少对中心权威的依赖性，所以该方案中可以采用半可信或不可信的中心权威。(3)针对访问策略泄密问题，设计了一个完全隐藏访问策略的加密方案，进而构造了一个云存储中完全隐藏访问策略的访问控制机制，实现了对存放在半可信云端数据的安全性和机密性保护。对云存储服务提供者CSP完全隐藏了访问策略，解决了云存储环境中特权用户导致的数据机密性和完整性受威胁问题；对所有用户完全隐藏了访问策略，即使一个合法用户对加密的共享数据成功解密，他也不能确定他遵守的访问策略。(4)以智能配电网作为典型应用场景，设计了一个智能配电网通信系统数据聚合和访问控制模型，将基于属性的访问控制应用于智能配电网通信环境，用于加密反馈命令并提供细粒度的访问控制，采用Paillier同态机制收集多维数据且保证数据的机密性。