论文部分内容阅读
物联网是近几年来最具发展潜力的技术之一,吸引了学术界和工业界的广泛关注。物联网基于现有的网络基础设施有效地将物理世界与互联网相结合,数十亿的智能设备,例如可穿戴设备、智能手机、智能汽车等都将接入互联网。这极大地推动了智能设备之间的数据共享,同时也为数据管理的模式带来了革命性的改变。由于物联网中的绝大多数设备均资源受限,因此它们通常将产生的数据存储在云端,而非本地。只要设备可以访问互联网,就可以随时随地的上传和下载数据,实现数据共享。虽然这种数据管理模式解决了资源受限型设备的数据存储问题,但由此引发的数据安全问题仍值得关注。由于此时对数据的管理不再归数据所有者直接控制,因此不仅需要对云中的数据实施严格的访问控制,还要确保数据对不可信的云服务提供商保密。基于属性的加密(Attribute-based encryption,ABE)技术有效地将访问控制与数据加密结合在了一起,能够用于确保物联网系统中数据的安全。然而,基于属性的加密的效率问题一直是限制其发展和应用的瓶颈。一种普遍的共识是,对于具有有限计算资源和能源供应的设备来说,采用双线性配对的计算开销过大。针对这一问题,本文基于椭圆曲线密码提出了一种无配对的密文策略属性基加密(Ciphertext-policy attribute-based encryption,CP-ABE)方案。所提方案利用椭圆曲线上的标量乘法代替复杂的双线性配对,从而减少了方案总体的计算开销。同时,设计了一种新的密钥分发方式,使得系统可以直接撤销用户或属性,而无需在属性撤销阶段更新其他未被撤销用户的密钥。此外,使用线性秘密共享方案(Linear secret sharing scheme,LSSS)访问结构来增强访问策略的可表达能力。安全性和性能分析表明,所提方案显著提高了整体效率并确保了安全性。为了进一步提高属性基加密技术的计算效率,本文针对属性基加密构造中的重要的一环――访问策略进行了优化,基于有序二元决策图(Ordered binary decision diagram,OBDD)访问结构提出了一种无配对的CP-ABE方案。一方面基于椭圆曲线密码技术,将传统CP-ABE方案构造中复杂的双线性配对运算替换为较为轻量级的标量乘法,从而降低了方案的整体计算开销。另一方面,采用基于OBDD的访问结构,该类型访问结构不仅能表示任何关于属性的布尔表达式,还能同时支持访问策略中属性的正负值。密钥长度独立于属性数量的变化,密文长度也仅跟访问策略中有效路径的数量相关。安全性和性能分析结果表明,所提方案在判定性Diffie-Hellman(DDH)假设下满足选择性选择明文安全性,且方案的计算效率满足物联网的实际应用需求。随着物联网设备数量的极速增长,物联网系统日趋复杂的网络结构导致传统的访问控制技术已不适用于海量设备的属性和权限管理。针对这一问题,本文为物联网系统提出了一种基于区块链的属性基访问控制方案,有效简化了访问权限的管理。所提方案利用区块链来记录对属性的授权,以避免单点失效和数据篡改的威胁。同时还优化了访问控制的实施过程,以满足物联网设备对高效、轻量级计算的需求。安全性和性能分析表明,所提方案可以在物联网系统中有效实施,且能抵御多种恶意攻击。