面向云存儲的動態(tài)屬性加密算法

李燕梅

摘要 云計算的出現(xiàn)，讓計算效率更加高校。由云計算衍生出來的云儲存，為海量數(shù)據(jù)提供了儲存。云儲存在為用戶提供儲存服務、不同領域的應用充當了不可或缺的角色。本文旨在研究基于云儲存的動態(tài)屬性加密算法。

【關鍵詞】云計算 云存儲 動態(tài)屬性加密方案

云計算的高效性使得其在IT行業(yè)廣受追捧?？蛇M行海量的數(shù)據(jù)計算。其中云儲存具有擴展性高、可靠性高、價格低廉以及規(guī)模大的優(yōu)勢，其應用范圍受眾極廣。因此可以看出云儲存廣闊的發(fā)展前景，然而目前云計算整體的發(fā)展還尚待完善，云儲存仍然面臨著多重挑戰(zhàn)。本文主要是基于云儲存的安全風險憂慮，應用現(xiàn)代密碼學中的經(jīng)典的加密方案進行優(yōu)化調整使云儲存能夠有效的降低其技術性風險，并提高其本身的性能，從而大大的提高其性能，進而為客戶提供更加優(yōu)質的服務。

1 相關概念

1.1 云計算

云計算發(fā)展至今，有許多不同行業(yè)的學者以自身所處行業(yè)的視覺來研究云計算，多個角度與不同方法的研究致使至今云計算的概念都仍然沒有一個統(tǒng)一的界定。云計算可以進行大規(guī)模、高擴展性的數(shù)據(jù)計算、數(shù)據(jù)存儲及其他應用等內容。云計算的實質是將分布的數(shù)據(jù)資源進行系統(tǒng)的整合。一方面，云計算的低成本投資優(yōu)勢使其迅速被廣泛投入應用，并得到較快的發(fā)展;另一方面，云計算具有快速搭建用戶、計算能力彈性伸縮的優(yōu)勢，可依據(jù)用戶規(guī)模調節(jié)云計算的計算能力。

1.2 云存儲技術

云存儲是網(wǎng)絡存儲的模型。其技術就是通過第三方虛擬池將網(wǎng)絡上的數(shù)據(jù)加以存儲。與傳統(tǒng)的存儲設備相比較，云存儲除了是個硬件設備以為，它同時是兼?zhèn)涠鄠€部分組合而成的復雜系統(tǒng)。其中存儲設備是其的核心組成部分。云存儲技術通過存儲設備為用戶提供了存儲及訪問服務。

1.3 現(xiàn)代密碼學

密碼學的核心是密碼編碼學以及密碼分析學。所謂的密碼編碼學，是研究如何建立安全的密碼體制。該體制承擔著提高攻擊者破獲的難度性，這是其有別于密碼分析學的特性。而密碼分析學是對攻擊者破獲密碼所使用的手段或者現(xiàn)行的密碼體制進行分析，與密碼編碼學相互促進，是保證數(shù)據(jù)信息安全的重要學科。

1.4 基于屬性加密

屬 性 加 密（ABE，Attribute- BasedEncryption）屬于身份加密（IBE，Identity- BasedEncryption）的一個擴展內容。屬性加密因為其具有獨特的應用意義，隨著云存儲技術的發(fā)展而擴大了應用受眾的范圍，從而引起了研究學者的目光。屬性加密存在兩種加密方式，第一種是，基于密文策略的屬性加密（UA-ABE）;第二種是為密鑰策略的屬性加密（KP-ABE）。在KP-ABE的方案中，私鑰只對應一個訪問策略。而密文相較于此則有較大的區(qū)別，其所對應的是一個屬性集合。解密就是有且只有這個屬性集合中的屬性才能夠滿足此方案的訪問策略。

2 基于動態(tài)屬性加密算法以及實現(xiàn)方案

以屬性為基礎的加密算法，主要是以屬性為基礎的控制策略所進行的數(shù)據(jù)加密。其通過訪問結構樹描述出一個訪問控制結，只有用戶私鑰與密文符合訪問結構樹所界定的訪問結構一一用戶要解密數(shù)據(jù)，首先要滿足用戶的屬性集合足夠符合數(shù)據(jù)屬主DO界定出的訪問結構的條件。

云服務提供商（Cloud Service Provider，CSP）是云端加密的前提條件，是“Honestbutcurious curious”。 “honest”實際上指的是加密算法一一能夠讓忠誠的執(zhí)行數(shù)據(jù)屬主而預設的，而“curious”則代表CSP有極大可能性查看數(shù)據(jù)，因此不能夠通過CSP透漏出任意明文信息。

3 算法的實現(xiàn)

云訪問控制方案的提出涉及了數(shù)據(jù)屬主、具有龐大數(shù)據(jù)的數(shù)據(jù)共享用戶、云服務提供商。其方案首先是通過DO將加密的數(shù)據(jù)上傳至CSP，且要滿足密文與私鑰分別能夠符合一組屬性的條件后，被授權的共享用戶才可以存取、訪問加密數(shù)據(jù)。其中數(shù)據(jù)訪問策略的定制大部分要基于DO來進行，因此DO在其方案中具有重要的意義。DO的權限包括了控制共享用戶訪問用戶的共享數(shù)據(jù)，并且包括了其撤銷操作執(zhí)行的內容。當共享用戶需要獲知數(shù)據(jù)信息時必須要在云服務器上下載數(shù)據(jù)并進行解密，本文提到的DO與共享用戶的在線時間并非是連續(xù)不斷的，但是CSP是能夠保持連續(xù)在線進而提供長時間無間斷的數(shù)據(jù)存取服務。

3.1 動態(tài)屬性方案

以屬性為基礎的加密理論主要是發(fā)送方通過屬性將基于一定的邏輯關系的訪問控制策略來加密數(shù)據(jù)。解密數(shù)據(jù)的前提條件是接收方必須滿足其訪問的控制策略。然而基于實際的操作中，用戶的屬性穩(wěn)定性極強，當面臨需要變動的屬性時，更新屬性集是必行的措施。因此下文提出了動態(tài)屬性加密方案，方案解決了屬性的動態(tài)更新，方案如下：

3.2 系統(tǒng)初始化

（1）先由數(shù)據(jù)屬主（Data Owner，DO）運行算法Setup（）;

（2）將所產(chǎn)生的主密鑰MK與公共密鑰進行PK;

（3）利用DO在公鑰PK上執(zhí)行數(shù)字簽名操作，接著將簽名與公鑰PK共同發(fā)給云服務的提供商，DO則執(zhí)行主密鑰MK的保存操縱。

3.3 文件的創(chuàng)建

實際上，文件組的劃分是以訪問權限是否一致為依據(jù)的。本節(jié)只對單個文件的處理進行描述。首先，混合加密是文件機密技術現(xiàn)行所采取的主要方式，這就表明數(shù)據(jù)密文是利用堆成加密算法進行數(shù)據(jù)文件的加密操作。具體操作是將以屬性為基礎的加密算法對對稱密鑰進行加密操作從而得到了密鑰密文。用戶在順次執(zhí)行完解密密鑰密文與數(shù)據(jù)密文的操作要求之后就可以訪問數(shù)據(jù)文件了。

3.4 動態(tài)屬性方案的操作安全性分析

在動態(tài)屬性加密算法的方案中，只有訪問控制權限的撤銷過程是涉及了云服務提供商向外部泄露數(shù)據(jù)及信息的操作。因為，訪問控制權限的撤銷過程需要數(shù)據(jù)屬主向云服務提供商CSP發(fā)送KF，KF'1和是s.s。所以，驗證動態(tài)屬性加密算法方案的安全性首要驗證的就是云服務提供商是在不觸及數(shù)據(jù)機密性的前提下掌握了KF'，KF'1和s.s、。對稱的密鑰CK與參數(shù)S都是通過DO隨機生成，其與原來的密鑰密文CK并沒有任何關聯(lián)。

4 結語

云計算發(fā)展至今，其技術安全性問題一直為人研究。本文著眼于面向云存儲的動態(tài)屬性加密算法的研究，從動態(tài)屬性方案、系統(tǒng)初始化、文件的創(chuàng)建這幾個步驟來進行算法的實現(xiàn)，并于最后進行了操作方面的安全分析。結果證明基于云存儲的動態(tài)屬性加密算法的優(yōu)化方案在操縱方面安全度高。

參考文獻

[1]蘇金樹，曹丹，王小峰等，屬性基加密機制[J].軟件學報，2011，22 （06）：1299-131.

[2]孫國梓，董宇，李云，基于CP-ABE算法的云存儲數(shù)據(jù)訪問控制[J].通信學報，2011， 32 （07）：146-152.

[3]洪澄，張敏，馮登國.面向云存儲的高效動態(tài)密文訪問控制方法[[J].通信學報，2011，32 （07）.