龐立君，劉南杰，趙海濤,黃 波

(南京郵電大學(xué) a.通信與信息工程學(xué)院; b.網(wǎng)絡(luò)基因工程研究所，江蘇 南京 210003)

基于CP-ABE的車聯(lián)網(wǎng)云端數(shù)據(jù)安全訪問控制方案

龐立君a,b，劉南杰a,b，趙海濤a,b,黃 波a,b

(南京郵電大學(xué) a.通信與信息工程學(xué)院; b.網(wǎng)絡(luò)基因工程研究所，江蘇 南京 210003)

針對車聯(lián)網(wǎng)云環(huán)境的不可信任，數(shù)據(jù)種類和數(shù)據(jù)訪問用戶身份復(fù)雜,訪問內(nèi)容多樣化，以及數(shù)據(jù)所有者與數(shù)據(jù)使用者之間多對多等特點，改進(jìn)CP-ABE安全算法，提出了適合車聯(lián)網(wǎng)的云端數(shù)據(jù)安全訪問控制方案(DAC-VCS)。該方案中，設(shè)置屬性管理機構(gòu)，根據(jù)合法用戶的角色和身份為其賦予一個屬性集，并利用該屬性集產(chǎn)生用戶的訪問私鑰；數(shù)據(jù)所有者對要上傳的數(shù)據(jù)用允許訪問的用戶屬性為加密式樣，進(jìn)行加密；并生成可訪問數(shù)據(jù)的用戶列表，將兩者一起發(fā)送到云端存儲。當(dāng)用戶訪問云中數(shù)據(jù)時，首先判斷用戶是否位于訪問列表中，如果用戶在列表中且訪問私鑰中的屬性集滿足數(shù)據(jù)加密時采用的加密式樣，云端將為用戶生成解密口令，并將解密口令和密文一起發(fā)給用戶。用戶利用解密口令即可解密密文，獲得自身所要的數(shù)據(jù)內(nèi)容。通過這種雙層保護(hù)，保障了云中數(shù)據(jù)的訪問安全性，降低了所使用的云存儲空間并且加解密效率得到大幅度提高。

數(shù)據(jù)安全；訪問控制；DAC-VCS；存儲空間；加解密效率

車聯(lián)網(wǎng)作為物聯(lián)網(wǎng)在交通領(lǐng)域的具體應(yīng)用，主要基于SOA架構(gòu)的應(yīng)用定制服務(wù)[1]。由于云計算具有處理規(guī)模大、可靠性高、按需服務(wù)等優(yōu)點，將車輛網(wǎng)中與車輛相關(guān)的海量數(shù)據(jù)放置在云端存儲和處理成為必然[2]。云存儲作為云計算的一種重要的設(shè)備[3]，允許數(shù)據(jù)所有者將自己的數(shù)據(jù)放在云端，依靠云服務(wù)商給數(shù)據(jù)使用者提供“24/7/365”數(shù)據(jù)訪問權(quán)利。由于在云開放環(huán)境下，數(shù)據(jù)所有者與數(shù)據(jù)使用者不會直接交互[4]，即數(shù)據(jù)的所有者將數(shù)據(jù)上傳至云端之后便失去了對已上傳數(shù)據(jù)的控制權(quán)，無法再直接控制哪些用戶可以訪問數(shù)據(jù)。然而，在車聯(lián)網(wǎng)環(huán)境下，用戶上傳的數(shù)據(jù)種類復(fù)雜，其中還包含一些重要信息，如車輛的歷史軌跡，車輛行駛過程中檢索過的地點、路線等[5]，在這些數(shù)據(jù)訪問時存在以下風(fēng)險：

1)針對數(shù)據(jù)訪問用戶的身份復(fù)雜，存在涉車機密信息被非法訪問用戶，如黑客，惡意竊取并進(jìn)行商業(yè)貿(mào)易，甚至危及車輛用戶生命和財產(chǎn)安全的風(fēng)險；

2)針對用戶訪問的數(shù)據(jù)內(nèi)容種類復(fù)雜的特點，存在合法用戶去訪問不在自己訪問范圍的數(shù)據(jù)的風(fēng)險；例如，車輛A和車輛B是合法用戶，允許訪問與自身相關(guān)的數(shù)據(jù)。正常情況下，車輛A和B都只能獲取自身以及對其提供服務(wù)的相關(guān)部門的信息，然而，由于數(shù)據(jù)內(nèi)容復(fù)雜，若數(shù)據(jù)在訪問時管理不當(dāng)，就會出現(xiàn) A可以訪問B 的相關(guān)數(shù)據(jù)，從而造成B隱私泄露的風(fēng)險。

據(jù)以上分析可知，數(shù)據(jù)訪問控制[6]是一種保護(hù)車聯(lián)網(wǎng)云中數(shù)據(jù)安全訪問的非常有效的方案。目前，數(shù)據(jù)所有者在將數(shù)據(jù)上傳之前先進(jìn)行加密處理，之后只允許擁有特定密鑰的用戶去訪問這些已經(jīng)加密的數(shù)據(jù)[7]被認(rèn)為是一種解決云環(huán)境下用戶數(shù)據(jù)安全的基本方法，然而，這些方法存在以下弊端：

(1)密鑰管理機制復(fù)雜；

(2)數(shù)據(jù)所有者必須保證全天在線，以確保當(dāng)有新用戶注冊時，可以及時地向該用戶傳輸密鑰值，從而使得新加入的合法用戶可以訪問數(shù)據(jù)；

(3)如何有效地使用已加密的數(shù)據(jù)。

基于屬性加密的密文的訪問控制方案(CP-ABE)[8-9]方案是云存儲中一種有效的數(shù)據(jù)訪問控制方案。在CP-ABE方案中，數(shù)據(jù)所有者對于數(shù)據(jù)訪問有直接的控制，也無需數(shù)據(jù)所有者分發(fā)密鑰。用戶屬性的管理和密鑰的分發(fā)是由完全可信任的第三方進(jìn)行。數(shù)據(jù)所有者定義數(shù)據(jù)訪問結(jié)構(gòu)，用這樣的訪問結(jié)構(gòu)式樣加密待上傳的數(shù)據(jù)。只有當(dāng)數(shù)據(jù)使用者的屬性滿足加密時使用的訪問結(jié)構(gòu)時，才可以對數(shù)據(jù)進(jìn)行解密，以獲取所需的內(nèi)容。

在云存儲這樣一個不完全可信的背景下，對加密的數(shù)據(jù)進(jìn)行搜索是解決數(shù)據(jù)上傳前進(jìn)行加密數(shù)據(jù)安全問題的有效方案。許多著作已經(jīng)對搜索加密的數(shù)據(jù)[10]進(jìn)行了研究，但是只是集中于單個數(shù)據(jù)上傳者的情形，在這樣的情形下，為了使用戶檢索已加密的數(shù)據(jù)，數(shù)據(jù)所有者必須與授權(quán)用戶共享密鑰[11-13]或者保持全天在線來產(chǎn)生數(shù)據(jù)使用者檢索數(shù)據(jù)時所采用的密鑰。這些方案都在一定程度上限制了數(shù)據(jù)使用者搜索的靈活性。

針對上述問題，本文在研究分析CP-ABE算法的前提下，對此算法進(jìn)行了改進(jìn)，使算法具有更高的加解密效率。并在此基礎(chǔ)上，設(shè)計了適用于車聯(lián)網(wǎng)云端數(shù)據(jù)的安全訪問控制方案(DAC-VCS)，經(jīng)過分析驗證，可以有效節(jié)約云中存儲空間，并具有良好的安全特性。

1 改進(jìn)的CP-ABE算法描述

CP-ABE 算法包括4個步驟：

1)Setup：生成主密鑰MK和公開參數(shù)PK。

2)Encrypt(PK，M，T)：使用PK、訪問結(jié)構(gòu)T加密數(shù)據(jù)明文M為密文CT。

3)KeyGen(MK，S)：使用MK、用戶屬性值S生成用戶的私鑰SK。

4)Decrypt(CT，SK)：使用私鑰SK解密密文CT得到明文M。

根據(jù)上述CP-ABE算法，在進(jìn)一步分析研究的基礎(chǔ)上進(jìn)行改進(jìn)，以適合車云數(shù)據(jù)環(huán)境，在改進(jìn)的算法中，包含以下幾個算法：Setup，SKGen，Encrypt，TKGen，Decypt，CreateUL，Search。

1)Setup(λ)→(MSK，SMP，{uid，GPKuid，GSKuid})：Setup算法的輸入為文件的安全參數(shù)λ。構(gòu)造階為素數(shù)p，生成元為g的雙線性群G0，雙線性映射為e：G0×G0→GT。此時，GT具有雙線性，非退化的特性。輸出系統(tǒng)主參數(shù)SMP，系統(tǒng)主密鑰MSK，對于識別碼為uid的用戶，將會為該用戶產(chǎn)生全局私鑰GSKuid和全局公鑰GPKuid。

2)AASetup(aaid)→(SKaaid,PKaaid,{VKxaaid,PKxaaid})：屬性機構(gòu)初始化算法由每個屬性管理機構(gòu)AA運行。以該AA的唯一識別碼aaid為輸入，輸出AAaaid的認(rèn)證私鑰SKaaid和認(rèn)證公鑰PKaaid，為AAaid管理的每個屬性產(chǎn)生屬性版本號VKxaaid和屬性公鑰PKxaaid。

3)CreateUL(SMP,uid)→UL：CreateUL算法的輸入值為系統(tǒng)主參數(shù)SMP和用戶識別號uid，輸出可訪問數(shù)據(jù)的用戶列表UL。

5)SKGen(SMP,Suid,aaid,SKaaid,{PKaaid})→SKuid,aaid：SKGen算法由每個屬性管理機構(gòu)AAaaid運行，以SMP，AAaaid為用戶uid提供的屬性集Suid,aaid，AAaaid的認(rèn)證私鑰SKaaid和一組認(rèn)證公鑰{PKaaid}為輸入，輸出AAaaid為用戶uid產(chǎn)生的訪問私鑰SKuid,aaid。

6)Search(UL，SK)→pass/⊥：Search算法由云服務(wù)器進(jìn)行調(diào)用，輸入為訪問用戶列表UL和用戶的訪問密鑰SK，只有當(dāng)用戶處于UL中且用戶本身所具有的屬性滿足要訪問數(shù)據(jù)內(nèi)部嵌入的訪問結(jié)構(gòu)AS時，就可以讓用戶訪問數(shù)據(jù)。任何一個條件不滿足，數(shù)據(jù)訪問過程將被中斷。

7)TKGen(CT,GPKuid,{SKuid,k}k∈IA)→TK： TKGen產(chǎn)生算法由云服務(wù)器運行。當(dāng)用戶的數(shù)據(jù)訪問為合法請求時，云服務(wù)器將已加密的密文CT，用戶全局公鑰GPKuid和每個AA為用戶生成的訪問私鑰{SKuid,k}k∈IA作為輸入，輸出解密口令TK。

8)Decypt(CT,GSKuid,TK)→d：Decypt算法由數(shù)據(jù)使用者運行，以已加密的密文CT，用戶全局私鑰GSKuid和解密口令TK為輸入，輸出為用戶所要訪問的真實數(shù)據(jù)d。

2 方案描述

2.1 系統(tǒng)模型

在DAC-VCS方案中，系統(tǒng)主要包括5個部分：車聯(lián)網(wǎng)云服務(wù)提供商(VCSP)、車輛數(shù)據(jù)上傳者(VDO)、車輛數(shù)據(jù)使用者(VDU)、可信任第三方(TA)和屬性分配機構(gòu)(AA)。

系統(tǒng)總體架構(gòu)如圖1所示。

圖1 系統(tǒng)總體架構(gòu)圖

TA是完全可信的一個身份認(rèn)證機構(gòu)，完成系統(tǒng)的初始化，接受所有合法用戶和AA的注冊。對于每一個合法的用戶，TA會給這個合法的用戶一個獨一無二的用戶識別碼，一對全局公鑰和全局私鑰。然而，TA并不負(fù)責(zé)管理屬性和生成用戶訪問數(shù)據(jù)的訪問私鑰。

AA則系統(tǒng)中根據(jù)用戶在自己所屬域中的角色或身份進(jìn)行屬性的授予，更新和撤銷，并為每個用戶產(chǎn)生反映自身屬性的私鑰。每個屬性只屬于一個AA，但是一個AA可以管理多個屬性。

云服務(wù)器保存數(shù)據(jù)所有者上傳的已加密數(shù)據(jù)和允許訪問數(shù)據(jù)的用戶列表。通過用戶識別碼和AA為其產(chǎn)生的私鑰決定是否為此次訪問返回密文和產(chǎn)生解密口令幫助用戶解密密文。

車輛數(shù)據(jù)所有者有兩方面的作用，一是加密上傳的數(shù)據(jù)。首先根據(jù)邏輯將數(shù)據(jù)分成若干段，采用對稱加密的方法使用不同的加密密鑰加密不同的數(shù)據(jù)段。然后，數(shù)據(jù)使用者利用允許訪問用戶的不同屬性定義訪問政策，根據(jù)這些訪問政策去加密加密密鑰。之后，數(shù)據(jù)使用者將已加密的數(shù)據(jù)和密文同時放在云端存儲。另一個作用是，根據(jù)用戶編號和系統(tǒng)主參數(shù)，創(chuàng)建合法用戶列表。限制哪些用戶可以訪問此數(shù)據(jù)庫里面的數(shù)據(jù)內(nèi)容。

車輛數(shù)據(jù)使用者從可信任第三方處獲得一個用戶的唯一識別碼，為了訪問數(shù)據(jù)，每個數(shù)據(jù)使用者將會向云提交全局公鑰，用戶識別碼和從AA處獲得的私鑰，讓云端為其產(chǎn)生每個密文的解密口令。收到解密口令和密文之后，用戶可以利用解密口令和全局私鑰解密密文獲得自己所需的數(shù)據(jù)。只有當(dāng)用戶在允許訪問的用戶列表中，并且滿足定義在密文里面的訪問結(jié)構(gòu)時，才能在云端獲得解密口令和密文。

2.2 系統(tǒng)方案

在該部分中，將對提出的車聯(lián)網(wǎng)云端數(shù)據(jù)安全訪問控制方案(DAC-VCS)進(jìn)行詳細(xì)的描述。首先，定義防碰撞的哈希函數(shù)H：{0，1}*→Zp，具有隨機數(shù)據(jù)結(jié)構(gòu)。在本方案中，包含系統(tǒng)初始化、數(shù)據(jù)加密、AA產(chǎn)生用戶訪問私鑰、搜索和解密口令的產(chǎn)生、數(shù)據(jù)解密五部分。

2.2.1 系統(tǒng)初始化

系統(tǒng)初始化包括TA初始化和AA初始化，以及產(chǎn)生允許訪問的用戶列表3個部分。

1)TA初始化

可信任第三方TA運行Setup算法，TA首先選擇一個隨機數(shù)a∈Zp作為系統(tǒng)的主密鑰MSK，并根據(jù)a計算系統(tǒng)主參數(shù)SMP=ga。TA接收用戶注冊和AA注冊。

(1)用戶注冊

每個用戶在系統(tǒng)初始化的時候都會在TA中注冊自己的身份。TA會給用戶分配一個獨一無二的號碼uid，并為其產(chǎn)生全局公鑰GPKuid=guuid和全局私鑰GSKuid=zuid，其中uuid和zuid是Zp中的2個隨機數(shù)。

(2)AA注冊

每個AA在系統(tǒng)初始化時都要向CA注冊。如果AA是合法的，則CA會向AA發(fā)布一個全局認(rèn)證碼aaid。

2)AA初始化

3)產(chǎn)生允許訪問的用戶列表

對于系統(tǒng)中的每一個合法用戶f，需要將該用戶添加到可訪問的用戶列表中，以便在數(shù)據(jù)訪問過程中，對訪問者的身份的合法性進(jìn)行判別。數(shù)據(jù)所有者在Zp中選擇一個隨機數(shù)字s作為新的MSK，此時系統(tǒng)主參數(shù)SMP=gs,隨機選擇Zp中的數(shù)字x，將調(diào)用CreateUL算法，使Df=[e(g,g)s]-x。再將(uid,Df)數(shù)組交給云服務(wù)器，讓云服務(wù)器記錄所有數(shù)組，即為可以訪問的全部用戶組合。對于在系統(tǒng)初始化完成之后新加入的合法用戶，也采用相同的方式，將用戶數(shù)組(uid,Df)及時添加到云服務(wù)器可訪問數(shù)據(jù)的用戶列表中。

2.2.2 數(shù)據(jù)加密

數(shù)據(jù)使用者在將數(shù)據(jù)上傳至云端之前，先使用加密密鑰κ利用對稱加密的方法對數(shù)據(jù)進(jìn)行加密，此處的加密方法選擇128位的AES加密。之后，調(diào)用Encrypt算法要對加密密鑰κ進(jìn)行加密。以系統(tǒng)主參數(shù)SMP，公鑰，加密密鑰κ和相關(guān)AAk所包含的屬性的訪問結(jié)構(gòu)為(M，ρ)。M是l×n矩陣，l代表所有屬性的個數(shù)。方程ρ將M的行與屬性關(guān)聯(lián)起來。

?i∈(1,l)：Ci=gaλi·((gvρ(i)H(ρ(i)))γk)-ri，

(1)

2.2.3 AA產(chǎn)生用戶訪問私鑰

2.2.4 搜索和解密口令的產(chǎn)生

當(dāng)云服務(wù)器收到用戶Uj訪問數(shù)據(jù)時上傳的訪問私鑰{SKj,k}k∈SA時，云服務(wù)器先調(diào)用Search算法，檢查用戶的用戶識別碼uid，是否在該數(shù)據(jù)庫的訪問列表中，判斷此用戶是否為合法用戶，如果Uj在用戶列表中，則被認(rèn)為是合法用戶，可以獲得任意已加密的數(shù)據(jù)。當(dāng)且僅當(dāng)Uj的屬性滿足密文中定義的訪問結(jié)構(gòu)時，才可成功調(diào)用TKGen算法產(chǎn)生解密口令，解密加密密鑰，進(jìn)一步解密數(shù)據(jù)密文，獲得自身所需的信息。

假設(shè)I={IAk}k∈SA是在密文中包含的所有的屬性索引，其中，IAk?{1,…,l}是從AAk處獲得的，IAAK={i:ρ(i)∈SAk}。令NA是在密文中包含AA的數(shù)目。選擇限制因子，重新計算加密指數(shù)，如果根據(jù)M是有效的

(2)

將計算得到的解密口令TK送給用戶Uj。

2.2.5 數(shù)據(jù)解密

數(shù)據(jù)使用者Uj收到解密口令TK之后，Uj可以使用TK和全局公鑰GPKuj=zj對接收的密文CT進(jìn)行解密，從而獲得加密數(shù)據(jù)時使用的加密密鑰κ，κ=CT/TKzj之后用戶可以使用κ進(jìn)一步解密已加密的原始數(shù)據(jù)。

3 性能分析

將DAC-VCS方案與Ruj的DACC[14]方案在存儲開銷、加解密效率兩方面進(jìn)行比較。

3.1 存儲開銷

表1 DACC與DAC-VCS的存儲開銷比較

部分DACC[14]DAC-VCSAAk2na，kq(na，k+3)q數(shù)據(jù)使用者nc+2∑Nk=1na，k()q3NA+1+∑Nk=1na，k()q數(shù)據(jù)使用者∑Nk=1na，k，uid()q3NA+1+∑Nk=1na，k，uid()q車云服務(wù)商3tc+1()q3tc+3()q

表1中：nc為存儲在車云服務(wù)商里面的密文總數(shù)；tc為密文中包含的屬性總數(shù)。

3.2 計算開銷

在加/解密時間上對于本方案和DACC方案進(jìn)行仿真分析和比較。環(huán)境是搭建于Intel Core2雙核CPU，3.16 GHz主頻和4.00 Gbyte內(nèi)存的Linux操作系統(tǒng)上的 ubuntu10.10， 仿真云環(huán)境的接入控制方案。代碼使用配對的密碼庫0.5.12版來模擬訪問控制方案。筆者使用對稱的橢圓曲線α曲線，其中基礎(chǔ)字段大小為512位和嵌入級數(shù)為2。α曲線具有160位的群階數(shù)，這意味著p是160位長的素數(shù)。所有的模擬結(jié)果是20次試驗的平均值。

圖2展示了AA的數(shù)目以及每個AA管理不同數(shù)目的屬性時系統(tǒng)的加解密所需時間。圖2a和圖2b顯示了當(dāng)每個AA管理的屬性數(shù)設(shè)置為10時，AA數(shù)目與加/解密時間的關(guān)系；圖2c和圖2d中則將AA的數(shù)目設(shè)置為10時，表現(xiàn)了加/解密時間與每個AA管理的屬性數(shù)目的關(guān)系。仿真結(jié)果表明，本方案在數(shù)據(jù)上傳者端數(shù)據(jù)加密，數(shù)據(jù)使用者數(shù)據(jù)解密兩方面會產(chǎn)生較小的計算開銷。

圖2 加/解密時間與AA及每個AA所包含的屬性數(shù)目關(guān)系圖

4 小結(jié)

車聯(lián)網(wǎng)云端數(shù)據(jù)的安全問題影響著車聯(lián)網(wǎng)應(yīng)用的發(fā)展，合理有效的訪問控制方法能夠提高云存儲服務(wù)用戶對云存儲服務(wù)的信任，同時也應(yīng)考慮云存儲系統(tǒng)的性能代價。本文提出了基于CP-ABE的車聯(lián)網(wǎng)云端數(shù)據(jù)安全訪問方案，實現(xiàn)了數(shù)據(jù)上傳者趨向的可以實現(xiàn)系統(tǒng)可擴(kuò)展性的云端數(shù)據(jù)安全訪問控制方案。仿真結(jié)果證明，在新用戶加入，加密和解密上都具有良好的特性，在后續(xù)工作中， 將對該方案進(jìn)行改進(jìn)， 重點研究權(quán)限撤銷時， 如何降低整個方案的存儲開銷和計算開銷以及車云服務(wù)商的計算代價。

[1] 盧冰. 面向車聯(lián)網(wǎng)的數(shù)據(jù)存儲和查詢系統(tǒng)[D]武漢：華中科技大學(xué)，2012.

[2] 劉南杰.崛起中的車聯(lián)網(wǎng)[J].營贏，2011 (11)：17-23.

[3] YANG Kan，JIA Xiaohua. DAC-MACS：effective data access control for multi-authority cloud storage systems[M]. New York：Springer，2013.

[4] MELL P，GRANCE T. Protecting your right： attribute-based keyword search with fine-grained owner-enforced search authorization in the cloud[M]. New York：Springer，2014.

[5] 王建強，吳辰文，李曉軍. 車聯(lián)網(wǎng)架構(gòu)與關(guān)鍵基礎(chǔ)研究[J].微計算機信息，2011，27(4)：156-158.

[6] BETHENCOURT J，SAHAI A，WATERS B. Ciphertext-policy attribute-based encryption[C]// Proc. S&P’07 IEEE Computer Society. [S.l.]：IEEE Press，2007：321-334.

[7] 王志文，王強. 云計算敏感數(shù)據(jù)防泄露技術(shù)研究[J].信息安全與通信保密，2013(8)：90-92.

[8] 洪澄，張敏，馮登國. 面向云存儲的高效動態(tài)密文訪問控制方法[J]. 通信學(xué)報，2011，32(7)：125-131.

[9] 呂志泉，張敏，馮登國.云存儲密文訪問控制方案[J].計算機科學(xué)與探索，2011(9)：259-265.

[10] LI M， YU S，CAO N， et al.Authorized private keyword search over encrypted data in cloud computing[C]//Proc.of ICDCS. [S.l.]：IEEE Press，2011：383-392.

[11] GOYAL V，JAIN A，PANDEY O，et al. Bounded ciphertext policy attribute based encryption[C]//Proc. ICALP’08. [S.l.]：Springer，2008：579-591.

[12] CHASE M. Multi-authority attribute based encryption[C]//Proc. TCC’07. [S.l.]：Springer， 2007：515-534.

[13] ULLER S M，KATZENBEISSER S，ECKERT C. Distributed attribute-based encryption[C]// Proc. ICISC’08. [S.l.]：Springer，2008：20-36.

[14] RUJ S， NAYAK A，STOJMENOVIC I. DACC：Distribute access control in clouds[J]. IEEE，2011(15)：91-98.

Data Access Control Based on CP-ABE of Cloud for Internet of Vehicle

PANG Lijuna,b, LIU Nanjiea,b, ZHAO Haitaoa,b, HUANG Boa,b

(a.CollegeofTelecommunications&InformationEngineering;b.NetworkGeneEngineeringResearchInstitution,NanjingUniversityofPostsandTelecommunications,Nanjing210003,China)

Due to the untrustworthy of the IOV cloud, complex type of data and data users, diversification of access content and multi-user multi-owner environment, CP-ABE security algorithm is improved and a safety access control scheme DAC-VCS for data in the cloud server of IOV is proposed. Setting property management agency, it will first give legal data user a set of attributes based on the user's role and status, then use the attribute set to generate user’s private access key. Data owners firstly encrypts the data using the attributes of the user that can get access to the data and generates a list of users that can get the data uploaded and then send the user list and encrypted data to the cloud. When a user wants to access data in the cloud, cloud can check whether the user is in the user list or not. If the user is in the user list and its attributes satisfy the encryption content used in the ciphertext, the cloud would generate decryption takes and send it to the user together with the ciphertext . Then users can use the decryption token to decrypt the ciphertext to obtain the desired data content. With this double-protection, data access security can be guaranteed. What’s more, the storage overhead used has been deeply reduced with encryption and decryption efficiency is greatly improved.

data security; access control; DAC-VCS; storage overhead; encryption and decryption efficiency

國家自然科學(xué)基金項目(61302100； 61471203；61201162)；中國博士后研究基金項目(2013M531391)；教育部博士點基金項目(20133223120002)；江蘇省基礎(chǔ)研究計劃-重點研究專項基金項目(BK2011027；BK2012434)；江蘇省博士后研究基金項目(1202083C)

TN918

A

10.16280/j.videoe.2015.18.002

2015-03-20

【本文獻(xiàn)信息】龐立君，劉南杰，趙海濤，等.基于CP-ABE的車聯(lián)網(wǎng)云端數(shù)據(jù)安全訪問控制方案[J].電視技術(shù),2015，39(18).

龐立君(1991— )，女，碩士生，主研車聯(lián)網(wǎng)；

劉南杰(1955— )，博士生導(dǎo)師，主要研究方向為泛在通信、車聯(lián)網(wǎng)、智能交通。

責(zé)任編輯：閆雯雯