论文摘要
随着云存储技术的快速发展,数据安全问题得到了产业界和学术界的广泛关注。绝大部分用户希望在不损害数据原有安全性的前提下使用云存储服务。针对云存储中数据保护需求,研究者开始采用密文访问控制机制来保护数据在存储和共享过程中的安全。然而,在云存储中采用密文访问控制机制会较为明显地增加用户使用开销,降低用户访问云存储的效率。特别是当数据共享规模大、用户属性较少、访问权限变更频繁、数据访问集中时,采用密文访问控制机制会明显增加用户访问云存储的延时。如何有效应对密钥分发复杂、权限撤销开销大、用户资源受限等挑战,降低采用密文访问控制机制的额外开销,是云存储数据安全保护研究中亟待解决的关键问题。本文从用户角度分析了云存储中数据安全需求,建立了云存储中的密文访问控制模型,并给出了面向不同用户类型的实现方案。基于该模型及其实现方案,本文分别从密钥分发优化、权限撤销优化、访问效率优化三个方面深入研究了云存储中密文访问控制机制性能优化技术,并通过实验验证了优化技术的有效性。本文取得的主要研究成果如下:1.提出了云存储中密文访问控制模型的数学描述及三种模型实现方案。本文在深入分析云存储中数据安全防护需求的基础上,综合现有密文访问控制技术和新型密码技术,提出了云存储中密文访问控制模型的数学描述,并分析了影响模型性能的主要因素。然后分别针对简单个人用户、社区个人用户和企业用户,给出了模型的三种不同实现方案。其中,基本密文访问控制方案能够为简单个人用户的数据云端存储和共享过程提供简洁、有效的保护。而基于“密文策略属性基加密(CP-ABE)”的密文访问控制方案则主要面向数据共享需求较多的社区个人用户。该方案将访问策略随数据一起加密后发布到云存储中,减轻了用户在数据共享时的开销。基于代理的密文访问控制方案主要用于共享需求多、数据访问相对集中的企业用户。该方案能够充分利用企业已有的计算、存储设施,来降低密文访问控制机制对企业员工和原有数据应用的影响。2.提出了一种基于联合属性的密钥分发优化技术。在基于CP-ABE的密文访问控制方案中,CP-ABE算法加密开销是影响密钥分发效率的关键因素,而CP-ABE算法加密时间又和访问控制树中的叶节点数量正相关。基于联合属性的密钥分发优化技术,可以按照一定规则在原有属性的基础上为部分用户添加“联合属性”。通过添加联合属性,能够有效减少CP-ABE算法加密过程中访问控制树的叶节点数量。最终加快整个密钥分发过程,使得基于CP-ABE的密文访问控制方案能够高效地应用于用户属性贫乏时的大规模数据共享应用。3.提出了一种基于替代重加密的权限撤销优化技术。在密文访问控制机制中,撤销已授权用户访问权限往往要求重新加密所有受影响的数据,会产生大量的计算和带宽开销。基于替代重加密的权限撤销优化技术,在数据上传到云存储之前,采用改进的门限方案将数据分割成多个数据块,使得缺少任意一个数据块,都不能从剩余数据块中重构出任何有效消息。当访问权限撤销时,用户重新加密一块数据等价于重新加密整个数据。这样就能有效减少了权限撤销带来的额外开销,使得密文访问控制方案能够有效应对权限变更频繁的数据共享应用。4.提出了一种基于本地代理的云存储访问效率优化技术。企业用户使用云存储时具有数据量大、共享频繁、访问相对集中等特征,如果简单地采用密文访问控制机制来保护数据存储和共享安全,则会降低云存储的访问效率。基于本地代理的云存储访问效率优化技术,能够在企业已有计算、存储资源上部署本地代理,然后通过本地代理来代替员工完成密文访问控制相关操作、并缓存频繁访问的数据,最终有效地降低采用密文访问控制机制对企业用户的影响。以上研究成果针对云存储数据安全需求,在保证数据安全的前提下提升了密文访问控制机制的效率,促进了密文访问控制技术在云存储数据安全保护中的进一步应用,具有一定的理论意义和实际应用价值。