多机构ABE云文档安全存储与共享系统研究与实现

摘要

随着云计算技术的日益成熟，云计算优势日益突出，如：信息随时随地存取、按需付费等不仅给广大个体用户提供了巨大的便利性，同时为企业降低了设备的采购与维护成本。用户逐渐将本地存储的各类共享信息移入云端。然云计算环境下的用户信息随时可能面临安全威胁，加密技术能够有效保护信息的安全性。在开放云环境应用领域，传统PKI技术在秘钥管理及多用户信息高效共享领域面临重大挑战，其难以在短时间内获取到所有共享者的加密公钥。为解决此类问题，本文采用属性加密方案实现信息安全共享。属性加密方案使用一组属性集描述用户全部信息；通过构建访问策略实现对共享范围的灵活控制；属性授权机构为各合法用户下发与其ID相关的用户私钥，提升系统抗串谋攻击性能。为适应分布式云环境需求，本文主要研究多机构属性加密方案，主要工作如下：
　　首先，介绍几种典型的属性加密方案，包括基于属性加密算法方案及多机构ABE算法方案，分别对各方案特点及研究发展状况进行详细描述，并指出ABE方案进一步研究方向。
　　其次，提出支持可撤销的多机构属性基加密（Multi-authority Attribute Based Encryption，MA-ABE）方案。本方案由多个属性机构分类管理用户属性集及发放用户私钥，有效缓解单机构服务器的管理负荷；通过将系统对单机构的信任度分散于多个机构，有效提高了系统整体安全性，且符合分布式云存储应用需求。通过引入树形访问策略及Shamir秘钥安全共享技术，实现对信息共享范围的细粒度灵活访问控制；另外，本方案给出了系统属性撤销方案。基于DBDH假设，证明本方案在选择明文攻击下的安全性。
　　最后，基于半可信云存储环境，实现多授权ABE云文档安全存储与共享系统的构建，即要求系统云服务端不主动监视中心机构的加/解密过程，且不能非法读取缓存信息。将运算量庞大的中心授权机构部署于云端，提高系统整体性能；使用Socket为云存储服务器与授权机构(Attribute Authority，AA)构建可靠通信；为 kAA选择伪随机函数F(ID)Sk，生成与ID相关的用户属性私钥，抗击用户或AA间串谋。