论文部分内容阅读
近年来,云环境已经越来越多的受到科研界和工业界的重视。由于云环境具有半可信的特征,为了保证外包到云上的数据的访问安全,云环境需要提供数据加密和相应的密钥管理功能。如何让人们使用最少的密钥去访问由不同授权途径获得的数据、更轻量地通过更新密钥支持权限更新、以及更高效地发布与订阅数据,是目前云环境下加密数据的密钥管理技术中迫切需要解决的问题。因此,为了适应越来越复杂的应用需求,云环境下加密数据的密钥管理具有重要的研究意义。 围绕云环境下加密数据的密钥管理问题,主要开展了3个方面的研究工作:用户密钥的轻量分配方法、权限更新中的轻量密钥管理方法和发布/订阅系统中的高效密钥管理方法。 针对多数据属主应用场景下,一个用户需要掌握的密钥数量与数据属主的数量成正比的问题,提出了一种用户密钥的轻量分配方法KAB,降低了用户密钥管理的负担。该方法通过在用户和数据属主之间增加一种桥密钥,使用户只需要管理一个访问密钥,就可以通过桥密钥计算出所有有权访问的来自不同数据属主的数据解密密钥。通过分析KAB方法的正确性和安全性,表明该方法可以抵御共谋攻击。通过实验将KAB与现有的两种方法SDE和DDE进行了性能对比,结果表明,KAB有效减轻了用户密钥管理负担。 针对权限更新中密钥管理综合性能不高的问题,提出了权限更新中的一种轻量密钥管理方法LAU。该方法以桥密钥为基础,通过只对密文的一部分进行二次加密,而不是对整个密文进行二次加密,降低了二次加密的计算负担。同时,二次加密由数据属主执行,而不是由云服务器执行,提高了系统抵御共谋攻击的能力。并且LAU支持数据更新和用户更新。通过分析算法,证明了LAU权限更新的正确性和安全性。通过实验将LAU与现有的两种方法SDE和DDE进行了性能对比,结果表明,LAU的综合性能比SDE和DDE更好。 针对发布/订阅系统中密钥管理不够高效的问题,提出一种基于订阅期折半法的高效密钥管理方法EBP。该方法在一张包含用户所有可能订阅期的图中实现了密钥派生,每个订阅期是一个节点,每个节点含一个密钥。只含一个最小订阅单位的节点称为数据节点。只有数据节点中的密钥才用于加密数据。用户只需要掌握一个密钥,就可以从这个密钥派生到其订阅期节点,然后从这个订阅期节点派生到只含其一半订阅期的两个节点上。依次进行,直至计算出有权访问的数据节点的密钥,然后用该密钥解密其订阅期内发布的数据。因此,随着用户订阅期总长度的增长,EBP方法中用户查询、订阅撤销代价呈以2为底的对数增长。与现有方法的线性增长相比,本方法具有更加高效的密钥管理性能。