基于字典分级和属性加权的密文排序检索方案

可搜索加密支持用户在不解密原始数据的前提下对加密数据执行检索操作.现有的多关键词排序可搜索加密方案,其索引和陷门构建的时间成本通常依赖于由全局关键词字典张成的向量空间.为了减少用户端的计算开销和通信成本,进一步提升数据使用者对检索结果的满意度,提出了一种支持细粒度访问控制的多关键词密文排序检索方案.该方案首先设计基于互信息的字典剥离机制差异化全局字典中的关键词,得到两个信息量不同的附属子字典,进一步在低维子字典空间上生成索引和陷门;其次,引入文档访问策略中属性的权重,将其作为排序标准之一,使数据使用者获得更为相关的结果;最后,检索时利用筛选向量对数据进行初次过滤并借助属性匹配完成二次剔除,从而避免检索过程中不必要的计算.

基于CP-ABE重加密的敏感数据访问控制限制方案

数据拥有者分享于云上的数据之间可能存在利益冲突或由其推理出敏感信息。选择通过二次加密实现属性撤销的密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption,CP-ABE)系统,提出利用其原有的重加密实施这类特殊数据上的访问控制限制方案,方案对已有的密码系统以较小的代价进行改进,使其具有防止用户访问利益冲突数据或泄露敏感信息的能力,从而提高系统安全性。最后进行安全性分析并对方案中各算法的运行时间进行测试。分析表明该方案在BDHE假设下能够抵抗RCCA攻击。

选择性隐藏树型访问结构的CP-ABE方案

隐藏访问结构是密文策略属性基加密(CP-ABE)的安全操作,可有效防止敏感信息泄露,而现有树型访问结构的CP-ABE方案为完全公开或完全隐藏访问结构,造成策略保密性差及加解密计算量较大。为此,提出一种选择性隐藏树型访问结构的CP-ABE方案。使用互信息方法提取敏感属性特征,筛选和隐藏访问结构中含有原始属性集信息的部分属性,使选择隐藏与完全隐藏具有相同的保密效果。同时,以最少匹配代价判断用户解密能力,使无解密能力的用户尽早放弃解密。分析结果表明,与公开访问或完全隐藏访问结构方案相比,该方案的安全性更高且计算量更小。

隐藏策略的可验证外包解密OO-CP-ABE访问控制方案

在密文策略属性基加密(CP-ABE)中,数据加密和解密所需时间与访问结构的复杂性相关,在移动设备中实施CP-ABE会使设备面临较大的计算压力。为此,提出一种隐藏策略的可验证外包解密在线/离线密文策略属性基加密访问控制方案。考虑到加密阶段较大的计算量,通过在线/离线加密方法,使数据拥有者在未确定明文和访问结构的情况下,运用高性能服务器提前完成大量的计算操作,确定明文和属性后在其移动设备上通过较少的计算量完成整个加密过程,从而减轻移动设备在加密阶段的计算负担,同时使用代理服务器对数据进行解密,并引入短签名方法对解密的数据进行正确性验证。分析结果表明,该方案能够减轻移动设备的计算负担,并验证了代理服务器解密数据的正确性。

基于时间限制的用户撤销CP-ABE方案

用户撤销是属性基加密中的一个主要环节,但现有的用户撤销方案都采用重新加密和更新密钥来实施用户撤销,导致方案安全性差或计算量大.因此,本文提出一种基于时间限制的用户撤销密文策略属性基加密方案.方案中对每个用户指定一个访问数据的有效期,一旦有效期到期,用户就无法访问数据,从而实现用户的定时撤销.为了防止有效期的篡改或伪造,使用了短签名方法,从而提高了数据的安全性,并且有效地降低整个算法的计算量.

基于懒惰模式密文更新的CP-ABE属性变动方案

密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)可用于实现云计算环境下数据的安全共享。然而,在CP-ABE中用户属性的变动(属性撤销和属性添加)是一个棘手的问题。属性变动一般由代理服务器对相关密文进行二次加密和更新用户密钥来实施,而实施属性变动时,需要更新与将发生变动的属性相关的所有密文。文中提出了基于懒惰模式密文更新的用户属性变动方案,该方案通过分析用户(在属性撤销前或属性添加后)对属性变动相关密文是否具有访问能力,来判断是否需要更新密文,尽可能缩小需要更新的密文范围以及减少密文更新的次数,在保留原有CP-ABE方案安全特性的情况下,通过避免不必要的密文更新以及缩短密文长度的方式来提高方案的有效性。最后,通过小型实验验证了所提方案的正确性。

支持动态策略变化的ABAC决策回收

基于属性的访问控制(Attribute-Based Access Control,ABAC)因其灵活、表达能力丰富等特性,成为最常见的访问控制模型之一。然而,ABAC的策略决策点(Policy Decision Point,PDP)繁琐的策略查询任务以及PDP与策略执行点(Policy Enforcement Point,PEP)之间的网络通信影响其访问控制决策的效率。访问控制决策结果的回收利用是解决以上问题的有效方法之一。本文提出一种支持访问控制策略动态变化的、带策略的ABAC访问控制决策结果的回收利用方案。方案针对ABAC的3种变体模型给出如何创建和更新访问控制决策结果的缓存、如何由缓存内容进行精确和近似的访问控制决策。最终,通过原型系统对方案的可行性和有效性进行实验验证,实验结果显示本文提出的方法一定程度上能降低系统的访问控制决策时间并减少PDP的工作负荷。