云存储带来了许多优点,例如,它可以节省用户的硬件购买成本,并提供实时在线数据存储服务。越来越多的人选择在云中存储数据。为了提高数据安全性和数据隐私性,在众多安全加固方案的基础上,提供了扩展的多权限云存储数据访问控制方案(NEDAC-MACS)。本文提出了一种攻击方法,证明被撤销的用户仍然可以解密NEDAC-MACS中的新密文,并提出了一种增强NEDAC-MACS安全性的方案,可以抵抗云服务器与用户之间的串通攻击。加密分析表明,该方案可以抵抗串通攻击,并且是可行的。
云存储为数据所有者提供方便的数据存储服务和24小时不间断的数据访问服务。但由于云服务器不完全可信,租用云服务器的企业无法直接控制其数据,一些非法云服务提供商可能会因为利益而非法出售用户的数据资源。云存储中的数据机密性和访问控制是一个亟待解决的问题。云上保证数据安全的常用方法是在存储数据之前加密数据。基于密文的策略属性加密(CP-ABE)是云数据访问控制的主要技术之一。该技术可以在支持数据加密的基础上进行细粒度访问控制策略和数据加密。在CP-ABE中,访问策略由数据所有者决定,数据所有者可以直接控制数据。CP-ABE可分为两类:一类是具有单属性的CP-ABE(SACP-ABE),其中所有属性均由属性权威机构管理;另一类是具有多属性权限的CPABE(MACP-ABE),不同属性权威机构负责管理不同属性集。与SACP-ABE相比,MACP-ABE不仅减轻了密钥管理和密钥分配的压力,而且避免了单点故障的风险,因此更适合云存储中的数据访问控制。
为实现动态云数据访问控制,需要考虑属性撤销和策略更新。由于用户访问的时间和地点不同,可能会获得不同的属性集合,导致不同的访问权限。因为不同的用户可能有相同的属性,所以在撤销属性时需要考虑两个安全问题:一个是后向安全,即被撤销的用户不能解密包含被撤销属性的密文;另一个是前向安全。只要分配给新用户的属性集符合数据访问策略,新用户仍然可以解密系统中现有的密文。由于云服务是半可信的,云服务和用户可能会有合谋攻击。根据属性注销的粒度,注销可分为用户注销和属性注销。用户注销是指注销用户的所有权;属性注销只注销用户的部分权限。用户可以撤销所有属性,实现用户撤销。