物联网中基于属性密文策略更新的访问控制研究与实现

摘要

物联网广泛应用在国民经济和军事领域，感知层存在大量低智能的终端节点（受限IoT设备），感知数据通常存储在第三方云服务器，使其安全面临巨大挑战。基于属性加密体制具有强安全性，支持安全细粒度的访问控制，访问控制策略与属性的数量相关，降低了密钥管理和属性授权的复杂性，适应大规模主体的动态授权。因此，CP-ABE可以应用在物联网系统中。 但是，CP-ABE还存在一些问题影响实际应用，主要表现为：属性授权机构的密钥管理和属性授权的工作量大；加密和解密操作需要进行大量的双线性运算，受限IoT设备计算和通信能力有限；IoT设备不在本地保留数据，访问控制策略更新困难。本文基于传统CP-ABE方案，提出适用于物联网安全细粒度可策略更新分层外包的CP-ABE访问控制方案。 针对CP-ABE方案中属性授权机构负担重的问题，引入层次化的属性授权，设计多属性授权机构的模型，通过域属性授权机构分担属性授权和密钥管理，减少了中央属性授权机构的工作量，增强了物联网设备的可扩展性；针对加密解密计算量大的问题，提出了分层外包加解密的方案，设计系统总体框架，引入智能化网关外包加密，将大部分加密计算外包给半可信网关，大部分解密计算外包给半可信云服务器，达到设备间传递的数据都是密文，提升了系统的安全性，并满足受限IoT设备的需求；针对访问控制策略更新困难的问题，采取由IoT设备生成策略更新密钥，策略更新外包给云服务器的方法，但更新过程不会向云服务器泄漏敏感数据。 本文方案从数据机密性、细粒度访问控制、防止共谋攻击和安全策略更新等方面进行了安全分析，在双线性映射模型和随机预言机模型下可证明安全。通过与其他技术方案进行功能比较，本文方案在多属性授权机构、外包加密解密、策略更新、适合IoT设备等方面的综合性能优秀。效率分析显示数据加密和解密阶段时间成本小于CFAC、DAAC等方案，策略更新阶段时间成本小于DAAC方案。仿真实验结果显示，本文方案在加密解密阶段优于CFAC方案，策略更新阶段优于DAAC方案。

目录

第一个书签之前