云存储服务为互联网用户提供了更加灵活、可扩展的外包数据访问,获得学术界和工业界的关注.为防止用户数据被泄露到开放的网络中,数据所有者往往选择先将数据加密再上传到云存储服务器.与传统加密方式相比,属性基加密为云端加密数据提供更细粒度的数据访问控制机制,可实现"一对多"的访问策略模式.然而,传统属性基加密系统不具备同时"追踪"泄露解密密钥以及制造解密黑盒恶意用户的能力.本文重点研究在云存储服务的数据共享机制中部署密文策略属性基加密时出现的解密权限泄露问题.本文将白盒可追踪性和黑盒可追踪性作为一个整体集成到传统的密文策略属性基加密中,并提供两种追踪机制:白盒追踪机制和黑盒追踪机制.若泄露的解密权限为解密密钥,则可利用白盒追踪;若泄露的解密权限为解密设备,则需要利用黑盒追踪.本文所提出系统的主要特点包括:(1)云共享数据的授权访问.数据所有者的文件被加密并存储到云服务器上,满足指定访问策略的授权用户才能访问文件;(2)白盒可追踪性.若恶意内部人员故意泄露其解密密钥,则可基于白盒追踪机制执行追踪;(3)黑盒可追踪性.若泄露解密设备并被发现,则可通过黑盒追踪机制捕获共同构造该设备的恶意内部人员;(4)公开追踪性.白盒追踪算法是公开的,任何人都能运行该追踪算法而无需额外的秘密信息;(5)轻量级追踪代价.在白/黑盒追踪机制中,系统不需要额外增加与用户秘密信息相关的公共参数,且整个系统的公共参数与用户数量无关,这使得系统更为实用.本文所构造的方案既保证了对云加密共享数据的细粒度访问控制,又保证了对"泄露"解密权限的可追踪性.最后,安全分析和性能评估验证了本文所提出方案的安全性和效率.

云数据共享;密文策略属性基加密;可追踪性;解密权限滥用;数据访问控制

宁建廷;黄欣沂;魏立斐;马金花;荣静

福建师范大学计算机与网络空间安全学院 福州 350117;中国科学院信息工程研究所信息安全国家重点实验室 北京 100093;上海海洋大学信息学院 上海 201306;扬州大学广陵学院 江苏扬州 225009

计算机学报

[1]宁建廷;黄欣沂;魏立斐;马金花;荣静-.支持恶意用户追踪的属性基云数据共享方案)[J].计算机学报,2022(07):1431-1445

用户追踪,白盒可追踪,解密权限滥用

恶意用户,云数据共享,云存储,互联网用户,可扩展,外包,工业界,用户数据,所有者,数据加密,再上,传到,存储服务器,云端,数据访问控制,控制机制,访问策略,策略模式,统属,加密系统,密密,密钥,黑盒,数据共享机制,密文策略属性基加密,泄露问题,可追踪性,一个整,云共享,共享数据,云服务器,足指,内部人员,故意,追踪算法,任何人,秘密,密信,轻量级,用户数量,既保证,细粒度访问控制,安全分析,性能评估,提出方案

0.223001