基于屬性加密的云存儲(chǔ)訪問控制方法

云存儲(chǔ)是一種基于云計(jì)算技術(shù)的在線數(shù)據(jù)存儲(chǔ)服務(wù)，它允許用戶將各種類型的數(shù)據(jù)（如文檔、音樂、視頻等）上傳到互聯(lián)網(wǎng)上的云服務(wù)器中進(jìn)行存儲(chǔ)，并可以隨時(shí)隨地通過網(wǎng)絡(luò)訪問這些數(shù)據(jù)。云存儲(chǔ)服務(wù)提供商通常會(huì)為用戶提供各種數(shù)據(jù)管理工具和服務(wù)，如備份、同步、版本控制等，從而讓用戶可以更加方便地管理和利用自己的數(shù)據(jù)。云存儲(chǔ)服務(wù)在各個(gè)領(lǐng)域都有廣泛的應(yīng)用，如企業(yè)數(shù)據(jù)備份、移動(dòng)辦公、在線協(xié)作等。比如，企業(yè)可以將重要數(shù)據(jù)備份到云端，以避免數(shù)據(jù)丟失或損壞；個(gè)人用戶可以將照片、音樂、視頻等個(gè)人數(shù)據(jù)上傳到云端，以實(shí)現(xiàn)多設(shè)備同步和數(shù)據(jù)安全保護(hù)。然而，隨著云存儲(chǔ)服務(wù)的普及和應(yīng)用范圍的擴(kuò)大，它也面臨著一些問題和挑戰(zhàn)，其中最重要的問題之一是數(shù)據(jù)安全和隱私保護(hù)。由于云存儲(chǔ)服務(wù)涉及用戶的敏感數(shù)據(jù)，如個(gè)人隱私、企業(yè)機(jī)密等，一旦服務(wù)提供商的服務(wù)器被攻擊或遭受黑客入侵，用戶的數(shù)據(jù)就有可能面臨泄露、盜用等風(fēng)險(xiǎn)。此外，數(shù)據(jù)傳輸過程中的安全性和接口兼容性問題也是云存儲(chǔ)服務(wù)需要解決的關(guān)鍵問題之一。另外，云存儲(chǔ)服務(wù)的可靠性和穩(wěn)定性也是一個(gè)重要的挑戰(zhàn)。如果云存儲(chǔ)服務(wù)出現(xiàn)故障或停機(jī)，用戶的數(shù)據(jù)無法正常訪問，這將對(duì)用戶的工作和生活造成不便和損失。因此，云存儲(chǔ)服務(wù)提供商需要保證其服務(wù)器的穩(wěn)定性和可靠性，并建立起有效的數(shù)據(jù)備份和災(zāi)難恢復(fù)機(jī)制，以盡量避免由于自身原因造成的不必要損失。針對(duì)現(xiàn)有控制方法在對(duì)云存儲(chǔ)訪問控制時(shí)，無論是控制精度還是控制效率均無法滿足用戶需求的問題，張國(guó)梁等人研究了基于分層密鑰管理的云計(jì)算密文訪問控制方案設(shè)計(jì)，該研究分析了云計(jì)算訪問控制的技術(shù)框架和現(xiàn)行機(jī)制，根據(jù)分析結(jié)果，以分層密鑰管理為基礎(chǔ)，設(shè)計(jì)了新的云計(jì)算密文訪問控制方案和算法，實(shí)現(xiàn)加密訪問，但是該方法在實(shí)際應(yīng)用中存在加密效果差的問題。杜瑞忠等人[3]研究了基于區(qū)塊鏈且支持?jǐn)?shù)據(jù)共享的密文策略隱藏訪問控制方案，利用素?cái)?shù)階雙線性群和正負(fù)號(hào)與門訪問結(jié)構(gòu)控制細(xì)粒度訪問，結(jié)合以太坊和星際文件系統(tǒng)，通過代理重加密算法，實(shí)現(xiàn)了加密訪問，提高了數(shù)據(jù)安全性，但是該方法控制過程的時(shí)間開銷較高。針對(duì)上述問題，本文提出了一種基于屬性加密的云存儲(chǔ)訪問控制方法，該方法基于云存儲(chǔ)的重要性，結(jié)合屬性加密技術(shù)進(jìn)行訪問控制，并在屬性加密算法的基礎(chǔ)上，使用拉格朗日多項(xiàng)式插值算法和Synergy算法進(jìn)行設(shè)計(jì)研究，以實(shí)現(xiàn)更為安全可靠的云存儲(chǔ)訪問控制。1云存儲(chǔ)文件信息屬性加密方案在云存儲(chǔ)訪問控制方法中引入屬性加密方案，通過屬性加密，提高了云存儲(chǔ)文件信息的安全性。在云存儲(chǔ)文件信息屬性加密過程中，定義云存儲(chǔ)文件信息的屬性域?yàn)椋涸谕瓿蓪傩杂蚨x后，定義一個(gè)階為素?cái)?shù)e的群并且雙線性映射設(shè)置為：通過授權(quán)機(jī)構(gòu)執(zhí)行這一算法，并生成相應(yīng)的公鑰和主密鑰，其中公鑰可表示為：式中：PK為公鑰；為每個(gè)屬性使用散列函數(shù)映射得到的結(jié)果，T為結(jié)構(gòu)樹；為屬性i對(duì)應(yīng)的門限。主密鑰可表示為：式中：MK為主密鑰。聯(lián)立上述公式，并且通過屬性域加密云存儲(chǔ)文件信息，生成加密的云存儲(chǔ)文件信息：式中：其中，Y表示屬性對(duì)應(yīng)的結(jié)構(gòu)樹節(jié)點(diǎn)構(gòu)成的集合，M表示明文。KeyGen算法是通過授權(quán)機(jī)構(gòu)來實(shí)現(xiàn)的，并且產(chǎn)生了使用者的私有密鑰。任意選取一組n次系數(shù)的多項(xiàng)式，可以將使用者的私有密鑰表達(dá)為：式中：SK為用戶的私鑰；為n次系數(shù)的多項(xiàng)式。通過拉格朗日多項(xiàng)式插值算法進(jìn)行遞歸，得到Y(jié)，并且輸出M，其表達(dá)式為：至此完成了云存儲(chǔ)文件信息屬性加密方案，實(shí)現(xiàn)了云存儲(chǔ)文件信息加密，為安全訪問控制提供了保障。2客戶端對(duì)云存儲(chǔ)文件的NFS訪問控制客戶端對(duì)云存儲(chǔ)文件的訪問控制可以通過下面的協(xié)議實(shí)現(xiàn)：以RSA密鑰生成訪問控制密鑰，在網(wǎng)絡(luò)文件系統(tǒng)（NetworkFileSystem，NFS）協(xié)議中可通過RSA生成密鑰，然后直接向客戶端發(fā)送，實(shí)現(xiàn)對(duì)客戶端訪問云盤文件的控制；通過Synergy算法生成對(duì)客戶端訪問云盤文件產(chǎn)生的NFS屬性加密的密鑰。Synergy算法在云存儲(chǔ)訪問控制中可看作集合的交集除并集，其表達(dá)式為：式中：J(A,B)為杰卡德相似系數(shù)；為交集；為并集。在上述公式的基礎(chǔ)上，通過對(duì)RSA密鑰生成方式與基于身份的訪問控制方法的比較，云盤文件訪問控制性能得到了明顯提升。再結(jié)合NFS方法對(duì)客戶端進(jìn)行訪問控制，NFS方法主要由NFS生成和解密兩部分組成，二者是相互分離的。NFS生成首先根據(jù)URL生成一個(gè)RSA密鑰，然后通過生成密鑰將該解密密鑰添加到云存儲(chǔ)文件中。加密程序是將加密密鑰加密的結(jié)果發(fā)送到客戶端的客戶機(jī)。在生成密鑰時(shí)，可以引入布隆過濾器，這一結(jié)構(gòu)是一個(gè)具有高效率和節(jié)約空間的概率數(shù)據(jù)結(jié)構(gòu)，可利用其查詢某一元素是否存在集合。在布隆過濾器中設(shè)置多個(gè)數(shù)組，其中包含多個(gè)元素集合和一組獨(dú)立的哈希函數(shù)，可利用集合中的元素實(shí)現(xiàn)編碼。為了在生成密鑰時(shí)解決假陽(yáng)性的問題，在上述布隆過濾器的基礎(chǔ)上，提出一種亂碼布隆過濾器，使用字符串?dāng)?shù)組代替原有的位數(shù)組。在利用NFS方法對(duì)客戶端進(jìn)行訪問控制時(shí)，在控制方案中設(shè)置6大主體，分別是加密服務(wù)提供程序（CryptographicServiceProvider，CSP）、自適應(yīng)天線系統(tǒng)（AdaptiveAntennaSystem，AAs）、磁盤操作系統(tǒng)（DiskOperatingSystem，DOs）、診斷工具系統(tǒng)（DiagnosticUtilitySystem，DUs）、系統(tǒng)方和被信任方。首先，云存儲(chǔ)端會(huì)進(jìn)行初始化，并產(chǎn)生一個(gè)共同的參數(shù)；其次，向AAs、DOs、DUs和可信的一方分配該節(jié)點(diǎn)。AAs隨后會(huì)調(diào)用授權(quán)代理初始化算法，產(chǎn)生一個(gè)或多個(gè)公用密鑰，并且向DOs受信任的用戶發(fā)送它的公用密鑰。此外，如果DUs持有一個(gè)合法的憑證，AAs將按照它的要求向其分配一個(gè)用戶專用密鑰。DOs把數(shù)據(jù)上傳到云端存儲(chǔ)平臺(tái)，并與所許可的用戶分享。所有數(shù)據(jù)都需要轉(zhuǎn)換為密碼文本，然后上傳到CSP中。當(dāng)DOs想要改變一個(gè)現(xiàn)存的云存儲(chǔ)訪問控制策略時(shí)，向CSP發(fā)送一個(gè)策略更新密鑰。在進(jìn)行數(shù)據(jù)所有權(quán)轉(zhuǎn)移或訪問權(quán)限更改時(shí)，CSP需要通過更新現(xiàn)有密文和其對(duì)應(yīng)的存取策略來實(shí)現(xiàn)數(shù)據(jù)重加密和訪問控制。當(dāng)DUs的屬性符合密碼的存取策略時(shí)，就能利用加密算法來破解密文。最后，當(dāng)發(fā)現(xiàn)有爭(zhēng)議或懷疑的使用者時(shí)，受信任方調(diào)用密鑰追蹤，向?qū)傩允跈?quán)機(jī)構(gòu)報(bào)告懷疑使用者的身份。以此可以進(jìn)一步提高云存儲(chǔ)訪問的安全性，實(shí)現(xiàn)對(duì)其更有效的控制。3對(duì)比實(shí)驗(yàn)基于上述論述，提出一種基于屬性加密的控制方法，為驗(yàn)證這一方法實(shí)際應(yīng)用到云存儲(chǔ)訪問環(huán)境中的可行性，設(shè)置如下對(duì)比實(shí)驗(yàn)。選擇將新的控制方法作為實(shí)驗(yàn)組，將基于屬性的訪問控制（Attribute-BasedAccessControl，ABAC）模型的控制方法作為對(duì)照A組，將基于零信任業(yè)務(wù)數(shù)據(jù)點(diǎn)（ServiceDataPoint，SDP）的控制方法作為對(duì)照B組。將3種方法應(yīng)用到相同的運(yùn)行環(huán)境中，針對(duì)同一云存儲(chǔ)訪問進(jìn)行控制。為了初步對(duì)比3種控制方法的控制精度，首先在該云存儲(chǔ)環(huán)境下設(shè)置多種不同身份的訪問用戶，包括普通訪問用戶、管理員等；其次設(shè)置5個(gè)訪問類型以及對(duì)應(yīng)的5個(gè)訪問通道；最后將訪問次數(shù)設(shè)置為200次、400次、600次、800次和1000次，計(jì)算每一次訪問時(shí)3種控制方法的訪問身份控制精度，計(jì)算公式為：式中：?為訪問用戶的身份可控制精度；為正確控制用戶訪問的數(shù)量；n為訪問云存儲(chǔ)空間的總用戶數(shù)量。根據(jù)式（10），計(jì)算得出3種控制方法的訪問身份控制精度，結(jié)果如表1所示。表1?3種控制方法的訪問身份控制精度對(duì)比對(duì)表1中第1組數(shù)據(jù)進(jìn)行分析可以看出，實(shí)驗(yàn)組控制方法與另外兩種控制方法相比，其?值更高，其次為對(duì)照B組，最后為對(duì)照A組，說明此時(shí)實(shí)驗(yàn)組的控制精度最高，其次為對(duì)照B組，最后為對(duì)照A組。但隨著訪問次數(shù)的增加，對(duì)照B組的?值呈現(xiàn)出明顯的下降趨勢(shì)，說明對(duì)照B組控制方法的精度會(huì)受到訪問次數(shù)的影響，而其他兩種控制方法并沒有出現(xiàn)這一情況。上述實(shí)驗(yàn)結(jié)果能夠證明，本文所提出的基于屬性加密的控制方法可以在一定程度上保證控制的準(zhǔn)確性，并且這一性能不會(huì)受到訪問次數(shù)的影響，具備極高的穩(wěn)定性。在完成對(duì)3種控制方法的控制精度的對(duì)比后，再?gòu)目刂菩式嵌冗M(jìn)行對(duì)比分析。將時(shí)間開銷作為評(píng)判3種控制方法的控制效率的指標(biāo)，時(shí)間開銷包括初始化時(shí)間用戶私鑰生成時(shí)間用戶加密時(shí)間和用戶解密時(shí)間在相同訪問屬性數(shù)目的情況下，對(duì)3種控制方法的進(jìn)行記錄，并得到對(duì)應(yīng)的時(shí)間開銷，實(shí)驗(yàn)結(jié)果如圖1所示。圖13種控制方法時(shí)間開銷對(duì)比從圖1中的3條曲線可以看出，實(shí)驗(yàn)組控制方法的時(shí)間開銷最少，其次為對(duì)照A組，最后為對(duì)照B組。通過這一實(shí)驗(yàn)結(jié)果可以看出，實(shí)驗(yàn)組的控制效率最高。綜