调查在两层加密系统

巴德雷教授乌玛·b·Ajantiwale r

PG学者、计算机工程系、麻省理工学院工程学院,Alandi (D),印度浦那。
麻省理工学院计算机工程系副教授,工程院,Alandi (D),印度浦那。

文摘

安全和隐私的主要问题是采用云技术,数据存储的目的。减少这些问题可以使用加密过程之一。然而,而云加密保证数据的机密性,但加密不足以支持细粒度的执法组织访问控制策略(acp)。在这种方法中,数据拥有者可以在上传之前加密数据在云计算和对改变它每当用户凭证。因此数据所有者必须支付高昂的通信和计算成本。为了克服这个问题,两层加密(框架)过程提出了委托执行细粒度访问控制的云。在此系统中,数据所有者执行一个粗粒度的加密和云执行细粒度加密。框架系统是np完全的。该系统保证了数据的机密性和保护用户的隐私的云。

关键字

隐私、身份、云计算、政策分解、加密、访问控制。

介绍

在最近的数字世界的时代,各种组织产生大量的敏感数据包括电子健康记录(EHR),个人信息,金融和其他数据。这样很难处理大量的数据,有问题的和昂贵的高存储容量的需求和人才。因此,安全和隐私代表了云数据存储技术的重大关切。然而,加密保证数据的机密性与云,但加密不是支持细粒度组织访问控制政策的实施(acp)。如今许多组织使用机场核心计划,控制哪些用户可以访问哪些数据,这些机场核心计划往往表达了用户的属性,这称为身份属性使用访问控制语言比如XACML [3]。这样的方法,称为一个基于属性的访问控制(ABAC),支持细粒度访问控制,对高保证数据安全和隐私是至关重要的。

剩下的纸是组织如下:——部分描述了传统方法,B部分描述了GKM和BGKM方法,部分C描述系统性红斑狼疮系统,部分D框架描述了系统和第六节总结了纸。

相关工作

答:TRADITIONALAPPROACH

1。在传统的方法[1],[2],[3],[4]提出了加密的细粒度访问控制在加密数据[9]。图(1)所示,这组数据项是基于机场核心计划,将每一组不同的对称密钥加密。然后用户只有键允许访问数据项。扩展减少键的数量需要分发给用户提出了利用分层和其他数据项之间的关系。然而这种方法有几个限制:

1。数据所有者不保持数据的一个副本,只要用户动态发生变化,数据所有者需要下载并解密数据,然后对它的新钥匙,并上传加密的数据。

2。为了发行新的关键用户,数据所有者需要建立私人与用户沟通渠道。

3所示。用户的隐私的身份属性不考虑。因此,云计算可以了解敏感信息的用户和他们的组织。

4所示。他们不能或足够的细粒度ABAC政策。

2。的方法支持细粒度的选择基于属性的访问控制之前上传内容到云即加密的每个内容部分相同的访问控制策略或一组策略他们满足。它是使用一种混合解决方案的密钥加密使用基于属性的加密等公钥密码体制(ABE) /或代理re-encryption(前)[1],[2]。然而这种方法包括几个缺点如下:

1。它无法处理添加/取消用户或身份属性和政策变化。

2。应保持多个副本相同的密钥加密。

3所示。它带来高计算成本。因此,需要一种不同的方法。

b . BGKM方案

该密钥管理(GKM)[6]被广泛用于安全消息分发给一组用户使用秘密地作为一个关键。GKM,用户组使用或sharesa对称密钥K,称为一组键。每当他们想相互通信,信息加密与关键K和广播给所有用户组中。K是唯一已知的用户组和只有他们可以解密该消息并获得它。当发生动态变化,即一个新用户加入或现有的用户离开组;安全关键必须生成或重新分配到整个当前用户组中。这组的新成员不能访问任何未来的通信组,叫做向后保密和用户离开组无法访问任何未来的通信组,这是用作向前保密。这两个过程称为一个密匙的方法。传统GKM方案都需要设置私人通信通道定期更新组密钥。这种方法是不合适的,如果经常有叶的或加入用户组。 The Broadcast Group Key Management (BGKM) [6], [7], [10], [11], [12] overcomes these issues.

BGKM计划的一个关键优势是,添加用户/用户或留下更新访问控制策略可以有效地执行,只需要更新更新公共信息。BGKM方案满足要求的最小信任,关键在分辨率,关键独立,保密,向后保密和勾结阻力最小的计算、空间和沟通成本。

使用BGKM计划开发一个基于属性的访问控制机制,因此用户可以解密内容当且仅当其身份属性满足内容提供者和云不了解用户的身份属性。雷竞技官网机制是细粒度的不同的政策可以关联到不同的内容部分。一个用户只能获取加密密钥与用户有权访问。

c .单层加密(系统性红斑狼疮)

广播密钥管理方案[1],[5],[6],[7]也称为一层加密。系统性红斑狼疮的克服了传统方法的局限性。图(2)所示,系统性红斑狼疮方案包括四个实体所有者、用户,国内流离失所者和云。他们扮演不同的角色。

1。老板,

数据所有者定义了acp和上传加密数据到云并提供云存储服务。

2。云-

它存储加密数据的所有者。

3所示。国内流离失所者,

国内流离失所者代表身份提供商。它作为一个受信任的第三方。它与用户身份令牌的问题,基于用户的属性。彼得森身份令牌是一个签署承诺,将身份属性值绑定到用户,而从其他隐藏它。可以有一个或多个认证的国内流离失所者。

4所示。用户-

用户使用一个或多个身份令牌访问加密的数据驻留在云端。

系统性红斑狼疮的方法基于三个主要阶段:-

1。身份令牌发行:

国内流离失所者问题身份令牌认证用户身份属性。身份令牌是用来标识用户通过指定的电子格式的相关身份属性值是由语义安全的加密的承诺。用户在注册过程中使用的身份令牌。

2。身份标识注册:

首先,用户必须注册在老板他们能够解密文档,将从云端下载。注册时,用户应该有它的身份令牌,他收到一组每个从所有者身份属性的秘密的SecGen算法基于访问控制Vector-Broadcast组密钥管理(ACV-BGKM) [7], [13]。用户使用的设置秘密是进一步推动其关键和解密的子文档和他们必须满足访问控制策略使用的密钥解密算法ACVBGKM方案。业主提供用户使用的秘密隐私保护方法基于OCBE与用户协议。

3所示。文档管理:

业主使用acp分组为策略配置(pc)。文件被分成子文档基于pc。根据机场核心计划生成密钥的所有者在每个BGKM计划,并有选择地加密子文档。这对云加密子文档上传,如果用户需要任何文档,那么它将从云端下载。根据用户的秘密,用户可以生成的关键为每个电脑使用注册机算法K ACV-BGKM计划在一个高效和安全的方式。

有了这个计划,系统性红斑狼疮方法有效地处理新用户和撤销签证提供向前和向后保密。然而,这个计划也包括一些局限性如下:-

1。系统性红斑狼疮方案仍然需要数据所有者执行所有的acp细粒度加密。

2。在这方面,所有这些加密活动执行的所有者,从而引发高通信和计算成本。

3所示。例如:如果用户被吊销,业主必须从云端下载的数据受到这种变化的影响,产生一个新的加密密钥,对下载的数据与新键,然后对数据上传到云端。

提出了系统

答:两层加密方案(框架)

框架在[1]、[2]、[7],[14],[15]的数据可以通过两次被加密。首先,数据拥有者可以加密的数据称为粗粒度的加密其次云可以对加密的数据称为细粒度加密。两层加密不是新的而是粗粒度和细颗粒的最佳的性能比现有的解决方案,并提供更好的解决方案。框架的一个具有挑战性的问题是如何分解acp这样细粒度ABAC执法可以委托给云。使用策略分解[1],[2],acp可分为子机场核心计划。这样两个子acp的连词结果原来的机场核心计划。在这个过程中,数据所有者首先加密数据基于一组子acp和云对加密的数据使用另一组子机场核心计划。两个加密,用户应该执行两个解密进程访问原始数据。框架过程克服了上述所有的局限性。

像第四节中描述的系统性红斑狼疮系统,框架系统包括四个实体所有者、用户,国内流离失所者和云见图(3)与系统性红斑狼疮,集体执行acp的所有者和云计算每个数据项上执行两个加密。这两个层执行允许一个减少所有者负载和代表尽可能多的访问控制执行职责云。具体框架提供了一个更好的方法来处理数据更新,和用户动态变化。框架系统经过系统性红斑狼疮系统相比的另一个阶段。阶段如下:

1。身份令牌发行:-

国内流离失所者是受信任的第三方身份令牌问题用户根据他们的身份属性。应该注意的是,国内流离失所者问题后不需要在线身份令牌。

2。政策分解:

每个机场核心计划使用政策分解,分解成两个子机场核心计划。这样业主实施最小数量的属性,以确保从云端的数据机密性。使用的两个子acp指出作为ACPBowneris所有者执行保密和使用的ACPBcloudis云。

3所示。身份标识注册:

用户注册他们的身份令牌为了获得秘密来解密数据。用户只有注册的令牌相关所有者的云子acp和剩余的身份令牌。

4所示。数据加密和上传:

首先,所有者可以基于加密数据所有者子acp和那云上的数据上传的公共信息生成的属性基于团体密钥管理:注册机(ABGKM::注册机)算法和剩余子acp在云上使用。

5。数据下载和解密:

用户从云端下载加密数据使用派生密钥和解密数据。用户可以解密加密的数据两次,第一次删除加密层由云,然后添加加密层添加的所有者。

6。加密进化管理:

定期用户凭据可能会改变。此外,已经加密的数据可能会通过各种更改或更新。在这种情况下,已加密的数据必须与一个新的密钥对。

结论

细粒度的组织访问控制策略,数据所有者可以在上传之前云加密数据和对改变它每当用户凭证。因此数据所有者必须支付高昂的通信和计算成本。为了克服这一问题,提出了两层加密系统委托执行细粒度访问控制的云。的关键问题是如何分解acp的所有者必须处理一个最小数量的属性条件从云端而隐藏内容。框架的系统保护用户的隐私,同时执行基于属性的acp和它是np完全问题。

引用

m . Nabeel和大肠Bertino“隐私保护授权访问控制在公共云”,IEEE知识和数据工程,2013
m . Nabeel和大肠Bertino隐私保护存储作为服务的授权访问控制模型中,“EEEInternational会议信息重用和集成(IRI), 2012年。
Bertino和e·法拉利,”安全XML文档的选择性传播,“ACM事务Inf。系统。安全。,vol. 5, no. 3, pp. 290– 331, 2002
Miklau和d Suciu控制使用密码访问发布数据,”the29th学报》国际会议上非常大的数据基础。VLDB养老,898 - 909年,2003页。
n .商m . Nabeel f .奶嘴,e . Bertino”的隐私保护方法基于策略的内容传播,”《IEEE 26日InternationalConference数据工程,2010。
m . Nabeel e . Bertino m . Kantarcioglu, b . m . Thuraisingham”在云中对隐私保护的访问控制,“第七届国际研讨会论文集CollaborativeComputing:网络、应用程序和计划,爵士。CollaborateCom。11页。172 - 180年,2011年。
m . Nabeel:商,大肠Bertino“隐私保护政策内容共享公共云,“IEEE Transactionson知识和数据工程,2012。
s . d . c . di Vimercati s Foresti s Jajodia s Paraboschi和p . Samarati”Over-encryption:访问控制管理外包数据上的进化,”在学报the33rd国际会议上非常大的数据基地,VLDB养老,123 - 134年,2007页。
Goyal o . Pandey, a . Sahai和水域,“基于属性的加密加密数据的细粒度访问控制,“13 ACM会议程序和通信安全。美国纽约:ACM, 89 - 98年,2006页。
y Challal和h·西巴。“组密钥管理协议:一种新型分类”。国际信息技术杂志,2(2):105 - 118年,2006年。
邱和w·陈“安全广播使用安全锁”。软件工程IEEE事务,15(8):929 - 934年,1989年8月。
邹x, y戴秉国和大肠Bertino。“务实和灵活的密钥管理机制信任协作计算”。INFOCOM 27日计算机通信IEEE会议上,538 - 546页,2008年4月。
n .商m . Nabeel f .奶嘴和大肠Bertino“保护隐私的方法基于策略的内容传播”。在ICDE学报IEEE 2010年26日数据工程国际会议。
.Reddy GudivadaLokesh和n Vikram“隐私保护授权访问控制在公共云”,计算机科学国际期刊的趋势和技术(IJCST) - 2期4卷,2014年7月8月。