ABE算法先前使用在云計算場景中，和區(qū)塊鏈存在交叉應(yīng)用場景，具體問題體現(xiàn)在

• 數(shù)據(jù)的異地存儲、云服務(wù)器提供商的不可信、管理員能否對自身數(shù)據(jù)擁有足夠的控制能力以及如何保證數(shù)據(jù)的安全有效共享都是亟需解決的問題。

研究背景：

• 云計算越來越普及，人們可以把照片、文檔上傳到云上，但由于個人數(shù)據(jù)是敏感的，因此在云上的數(shù)據(jù)會有安全問題，以此阻礙了云計算的發(fā)展。例如，云計算提供商CSP出于商業(yè)目的會監(jiān)視用戶數(shù)據(jù)。另外，人們?nèi)粝牍蚕砑用軘?shù)據(jù)。則必須向其他用戶發(fā)送密碼，這是非常麻煩的。即使將用戶分組來簡化權(quán)限管理，任然涉及到細(xì)粒度訪問控制。因此密碼管理是一個大問題。

主要貢獻(xiàn)：

• 這篇論文的主要貢獻(xiàn)如下，（1）本文設(shè)計了一種基于基于屬性的加密（ABE）方法的LDSS-CP-ABE算法，以提供對密鑰解密的高效訪問控制。（其特點是將訪問控制策略嵌入到密文中，也就是說訪問控制策略樹會被嵌入到秘鑰的密文中;） （2）由于移動端的計算資源有限，文中提到使用代理服務(wù)器進(jìn)行加密和解密操作，極大地減少了計算開銷。 （3）引入屬性的延遲重加密和描述字段，以減少處理用戶撤銷問題時的撤銷開銷。

云計算的解決辦法

• 設(shè)計基于屬性的訪問控制方案，通過屬性描述用戶的身份，允許加密數(shù)據(jù)的主體指定其解密客體，具有較高的效率和更好的安全性。系統(tǒng)采用當(dāng)今熱門的Hadoop開源架構(gòu)，實現(xiàn)了云環(huán)境下的存儲、上傳、下載等功能，該架構(gòu)環(huán)境更利于進(jìn)行部署與系統(tǒng)的實現(xiàn)。
• 系統(tǒng)結(jié)合HDFS（Hadoop Distributed File System）技術(shù)部署于Hadoop云平臺上，設(shè)計與實現(xiàn)了密文分享系統(tǒng)，主要包括密鑰發(fā)布中心、用戶端和Hadoop云端服務(wù)器三大功能模塊。
• 密鑰發(fā)布中心負(fù)責(zé)為用戶產(chǎn)生上傳和下載文件所需的密鑰，并且為了保證私鑰的機密性，引入USB-KEY安全物理存儲介質(zhì)；
• 用戶端主要完成加密上傳文件和解密下載文件（與先前的直接上傳文件相比，需要將文件先進(jìn)行加密再進(jìn)行上傳操作，文件以密文的形式存儲在網(wǎng)絡(luò)里面，因此沒有秘鑰的用戶是無法看到文件里面的內(nèi)容），同時具備了更新系統(tǒng)參數(shù)、制定訪問規(guī)則以及用戶申請私鑰等功能；
• Hadoop云端服務(wù)器提供了文件存儲和文件樹訪問等功能。
• 系統(tǒng)采用CPABE加密方案的機制，系統(tǒng)還具備了防竊取、抗共謀攻擊和抗木馬攻擊等安全性，且該系統(tǒng)還具有靈活性強、效率高和細(xì)粒度的訪問控制的特點。

2.系統(tǒng)設(shè)計

?

系統(tǒng)設(shè)計：

• 系統(tǒng)設(shè)計由6部分組成，（1）數(shù)據(jù)所有者（DO）：DO將數(shù)據(jù)上傳到移動云并與朋友共享。 DO確定訪問控制策略。 （2）數(shù)據(jù)用戶（DU）：DU從移動云中檢索數(shù)據(jù)。 （3）信任機構(gòu)（TA）：TA負(fù)責(zé)生成和分發(fā)屬性密鑰。 （4）加密服務(wù)提供商（ESP）：ESP為DO提供數(shù)據(jù)加密操作。 （5）解密服務(wù)提供商（DSP）：DSP為DU提供數(shù)據(jù)解密操作。 （6）云服務(wù)提供商（CSP）：CSP存儲DO的數(shù)據(jù)。 它忠實地執(zhí)行DO請求的操作，同時可以查看DO存儲在云中的數(shù)據(jù)。
• 論文對場景的假設(shè)是CSP、DSP、ESP三個服務(wù)器均為半可信的，也就是說他們不會惡意破壞用戶數(shù)據(jù)，但是他們可能會偷看用戶數(shù)據(jù)。TA表示安全可信服務(wù)器。

?

流程

• DO將數(shù)據(jù)發(fā)送到云。由于云不可信，因此必須在上傳數(shù)據(jù)之前對數(shù)據(jù)進(jìn)行加密。 DO以數(shù)據(jù)文件的訪問控制樹的形式定義訪問控制策略，以指定DU在訪問某個數(shù)據(jù)文件時應(yīng)獲取的屬性。在LDSS中，數(shù)據(jù)文件使用對稱加密機制加密，數(shù)據(jù)加密的對稱密鑰也使用基于屬性的加密（ABE）加密。訪問控制策略嵌入在對稱密鑰的密文中。只有獲得滿足訪問控制策略的屬性密鑰的DU才能解密密文并檢索對稱密鑰。由于加密和解密都是計算密集型的，因此對移動用戶來說是一個沉重的負(fù)擔(dān)。為了減輕客戶端移動設(shè)備上的開銷，使用加密服務(wù)提供商（ESP）和解密服務(wù)提供商（DSP）。加密服務(wù)提供商和解密服務(wù)提供商都是半信任的。論文修改了傳統(tǒng)的CP-ABE算法并設(shè)計LDSS-CP-ABE算法，以確保在將計算任務(wù)外包給ESP和DSP時的數(shù)據(jù)隱私。

相關(guān)知識

• 雙線性映射
• shamir密鑰共享方案
• 訪問控制樹
• 參考鏈接

現(xiàn)實使用的進(jìn)一步優(yōu)化

問題

• 在屬性加密方案（ABE）中，由于群中的配對操作計算開銷很大，所以一般來說在實際系統(tǒng)中會占據(jù)大量計算資源，而且會很慢甚至成為系統(tǒng)瓶頸

優(yōu)化策略

• 第一種是利用離線計算的方式，如果有一個移動設(shè)備上部署了ABE系統(tǒng)，那么在這個移動設(shè)備充電或者待機的時候（即離線時），系統(tǒng)在知道要加密的消息之前就自動完成Setup，生成密鑰，加密這幾個步驟，生成中間密文，當(dāng)真正知道加密消息需要加密的時候，通過少量計算將中間密文轉(zhuǎn)換成密文即可，這樣在用戶使用的感受上來看，ABE系統(tǒng)的加密效率是可以接受的。但是從總的計算開銷上來看，該方案的計算開銷有所增加，主要是增加了一個轉(zhuǎn)換開銷，以及在解密時至少多增加一個配對操作以及其他的求冪等。
• 第二種是利用外包的方式將計算開銷大的算法外包給代理，其中涉及到兩個代理，允許加密者將加密策略的創(chuàng)建外包給代理（代理A），并根據(jù)給定的策略為用戶加密消息，同時代理滿足以下兩個要求：（a）無法知道加密的消息（b）強制執(zhí)行根據(jù)策略指定的屬性來加密消息。通過允許代理根據(jù)用戶的轉(zhuǎn)換密鑰屬性驗證策略，從而允許用戶將策略驗證外包給另一個半信任代理（代理 B），從而減少了解密工作負(fù)載。
• 第三種是離線計算和外包融合的方案
• 第一個方案主要減少開銷的是在生成密鑰以及加密時，第二個方案中主要減少的是加密以及解密的開銷。

參考鏈接

• 面向云環(huán)境基于屬性加密的密文分享系統(tǒng)——簡介
• 輕量級屬性加密方案
• 屬性加密注解
• 一種基于屬性加密技術(shù)（ABE）的輕量級數(shù)據(jù)共享方案

總結(jié)

以上是生活随笔為你收集整理的基于属性加密的ABE算法的应用场景思考展望的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。