Skip to main content
QUICK REVIEW

[論文レビュー] AnonyControl: Control Cloud Data Anonymously with Multi-Authority Attribute-Based Encryption

Taeho Jung, Xiang‐Yang Li|arXiv (Cornell University)|Jun 12, 2012
Cryptography and Data Security参考文献 18被引用数 66
ひとこと要約

AnonyControlは、属性の発行機関を分離することで、ユーザーのアイデンティティのプライバシーを保証しながら、クラウドストレージにおける細粒度で匿名なアクセス制御を実現する多機関属性暗号方式を提案する。この方式は、最大N−2機関の改ざんに対しても耐性を示し、分散鍵生成および検証により計算コストを低減することで、安全かつ効率的なアクセス制御を実現する。

ABSTRACT

Cloud computing is a revolutionary computing paradigm which enables flexible, on-demand and low-cost usage of computing resources. However, those advantages, ironically, are the causes of security and privacy problems, which emerge because the data owned by different users are stored in some cloud servers instead of under their own control. To deal with security problems, various schemes based on the Attribute- Based Encryption (ABE) have been proposed recently. However, the privacy problem of cloud computing is yet to be solved. This paper presents an anonymous privilege control scheme AnonyControl to address the user and data privacy problem in a cloud. By using multiple authorities in cloud computing system, our proposed scheme achieves anonymous cloud data access, finegrained privilege control, and more importantly, tolerance to up to (N -2) authority compromise. Our security and performance analysis show that AnonyControl is both secure and efficient for cloud computing environment.

研究の動機と目的

  • アクセス制御の過程でユーザーのアイデンティティが露呈される既存の属性暗号化(ABE)方式におけるプライバシー漏洩を解消すること。
  • どの単一の機関やクラウドサーバーにもユーザーのアイデンティティが明らかにならないように、クラウドストレージにおける細粒度のアクセス制御を可能にすること。
  • 最大N−2機関の属性機関が改ざんされた場合でも耐性を持つシステムを設計し、分散型クラウド環境における信頼性を高めること。
  • ユーザーの属性がアクセスポリシー木を満たさない限り、クラウドサーバーが暗号化されたデータにアクセスできないようにすること。
  • 分散鍵生成および検証メカニズムを通じて、効率的な計算とスケーラビリティを達成すること。

提案手法

  • 各属性機関がユーザー属性の互いに排他的な部分集合を管理し、ユーザーの部分的プライベート鍵成分のみを生成する多機関アーキテクチャを採用する。
  • 各機関が割り当てられた属性に基づいてユーザーのプライベート鍵の成分を計算する分散鍵生成プロセスを用い、いかなる単一の機関も完全な鍵を学習できないようにする。
  • 暗号文にアクセスポリシーを定義するツリー構造のアクセス制御ポリシーを用いた、暗号文ポリシー属性暗号化(CP-ABE)フレームワークを実装する。
  • ユーザーの属性をプライベート鍵成分に束縛するためのベクトルコミットメント方式を用いた検証メカニズムを導入し、安全かつ効率的な鍵集約を可能にする。
  • 幅優先探索方式でアクセスツリーを走査する再帰的復号アルゴリズムを適用し、属性条件が満たされた場合にのみ正しく復号されることを保証する。
  • 後方セキュリティを維持し、完全な鍵再発行を回避する再暗号化プロトコルを用いて、ユーザーの抹消および再暗号化をサポートする。

実験結果

リサーチクエスチョン

  • RQ1属性に基づいてプライベート鍵を発行する属性暗号化システムにおいて、ユーザーのアイデンティティのプライバシーをどのように保証できるか?
  • RQ2どの単一の機関でもユーザーの偽名を関連付けたり、完全なアイデンティティを推測できないように、多機関ABEシステムを設計できるか?
  • RQ3多機関ABE方式における分散鍵生成および検証の計算コストはどの程度で、機関数および属性数の増加に伴いどのようにスケーリングするか?
  • RQ4最大N−2機関の属性機関が改ざんされた状況下でも、システムがどのようにしてセキュリティと効率性を維持できるか?
  • RQ5暗号化および復号化のパフォーマンスは、アクセスツリー構造の複雑さにどの程度依存するか?

主な発見

  • ユーザーの匿名性が達成される。どの単一の属性機関でも、部分鍵成分を学習してもユーザーの偽名を関連付けたり、完全なアイデンティティを再構成できない。
  • 総合的なセットアップ時間は、属性機関の数に関係なく一定であり、機関あたりの複雑度がO(1)であるため、強力なスケーラビリティを示している。
  • 機関ごとの鍵生成の複雑度はO(N + I)であり、Nは機関数、Iはユーザーあたりの属性数を表す。これにより、作業負荷の効率的分散が実現されている。
  • 暗号化および復号化時間はツリー構造の複雑さに依存せず、アクセスツリー内のノード数にのみ依存する。復号化の複雑度はO(X)、暗号化はO(X·K)であり、Xはノード数、Kは平均閾値を表す。
  • パフォーマンス評価では、暗号化および復号化時間が属性数に線形にスケーリングされ、大規模なアクセスツリーに対しても効率的であり、一般的な設定では1秒未満の測定時間である。
  • O(X·K)の複雑度で安全な再暗号化およびユーザー抹消をサポートし、暗号化および復号化のオーバーヘッドと同等の性能を達成するため、動的クラウド環境における実用的導入が可能である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。