Dynamic Time and Location Information in Ciphertext-Policy Attribute-Based Encryption with Multi-Authorization

Due to the mobility of users in an organization,inclusion of dynamic attributes such as time and location becomes the major challenge in Ciphertext-Policy Attribute-Based Encryption(CP-ABE).By considering this challenge;we focus to present dynamic time and location information in CP-ABE with mul-ti-authorization.Atfirst,along with the set of attributes of the users,their corre-sponding location is also embedded.Geohash is used to encode the latitude and longitude of the user’s position.Then,decrypt time period and access time period of users are defined using the new time tree(NTT)structure.The NTT sets the encrypted duration of the encrypted data and the valid access time of the private key on the data user’s private key.Besides,single authorization of attribute authority(AA)is extended as multi authorization for enhancing the effectiveness of key generation.Simulation results depict that the proposed CP-ABE achieves better encryption time,decryption time,security level and memory usage.Namely,encryption time and decryption time of the proposed CP-ABE are reduced to 19%and 16%than that of existing CP-ABE scheme.

Multi-authority proxy re-encryption based on CPABE for cloud storage systems

The dissociation between data management and data ownership makes it difficult to protect data security and privacy in cloud storage systems.Traditional encryption technologies are not suitable for data protection in cloud storage systems.A novel multi-authority proxy re-encryption mechanism based on ciphertext-policy attribute-based encryption（MPRE-CPABE） is proposed for cloud storage systems.MPRE-CPABE requires data owner to split each file into two blocks,one big block and one small block.The small block is used to encrypt the big one as the private key,and then the encrypted big block will be uploaded to the cloud storage system.Even if the uploaded big block of file is stolen,illegal users cannot get the complete information of the file easily.Ciphertext-policy attribute-based encryption（CPABE）is always criticized for its heavy overload and insecure issues when distributing keys or revoking user＇s access right.MPRE-CPABE applies CPABE to the multi-authority cloud storage system,and solves the above issues.The weighted access structure（WAS） is proposed to support a variety of fine-grained threshold access control policy in multi-authority environments,and reduce the computational cost of key distribution.Meanwhile,MPRE-CPABE uses proxy re-encryption to reduce the computational cost of access revocation.Experiments are implemented on platforms of Ubuntu and CloudSim.Experimental results show that MPRE-CPABE can greatly reduce the computational cost of the generation of key components and the revocation of user＇s access right.MPRE-CPABE is also proved secure under the security model of decisional bilinear Diffie-Hellman（DBDH）.

人工智能时代审计伦理的危机表征与治理路径

人工智能日益成为新一轮产业革命的引擎,其通过技术牵引与场景驱动,正重塑着审计工作的模式和流程。将人工智能应用于审计活动能够大幅提升审计效能,但同时也产生了严重的伦理危机。如何治理人工智能时代下的审计伦理危机,以使人工智能更好地服务于审计工作,已成为各类审计组织亟待解决的问题。文章在明晰人工智能时代审计伦理内涵的基础之上,从审计主体自身以及审计主体与审计客体、利益相关者、智能审计系统开发者之间关系等视角系统分析了人工智能时代审计伦理危机的表征,并基于伦理原则构建、政策与制度、数据与技术、个人与组织等层面探索了人工智能时代审计伦理危机的治理路径,旨在为人工智能时代审计伦理危机的预防、监测和控制提供理论参考和实践借鉴。

面向高性能计算环境的多维自适应授权访问策略

高性能计算能力是国家综合实力和创新能力的重要体现,是支撑我国科技持续发展的关键技术之一。随着高性能计算的发展,越来越多领域的科研人员开始关注并使用高性能计算环境。高性能计算环境目前面临资源有限、用户数目增多等挑战。为保证环境的安全性、提高环境资源的利用率,需设置一定的授权访问策略来约束用户的访问行为。本文针对高性能计算环境服务对象用户和应用社区或业务平台,基于机器学习算法对用户行为进行分析获取相关属性,设计并实现了一种多维自适应授权访问策略(MAAC)。实验表明,MAAC可实现对环境资源有效和灵活访问控制,同时该策略的决策时间可控制在1 ms内,与策略响应时间相比可忽略不计。

基于区块链的轻量级物联网医疗数据访问控制方案

基于物联网的智慧医疗系统,给患者和医务工作者带来极大的便利,但是物联网医疗设备产生的海量医疗数据包含着患者的个人隐私,一旦泄露会造成重大损失,以往的访问控制方案存在不灵活,中心化,加密效率较低等问题。针对这些问题,提出了一种基于区块链的轻量级物联网医疗数据访问控制方案。提出了一种改进的多中心属性基加密(multi-authority attribute-based encryption, MA-ABE)方案为患者提供细粒度的安全数据共享,并且利用IPFS技术存储患者数据。结合雾计算技术,利用雾节点承担属性基加解密过程中大部分的计算开销,减轻了物联网设备负担。进行安全性分析和仿真实验,结果表明,提出的方案在保证安全的情况下为物联网医疗数据提供了高效并且轻量级的访问控制。

基于区块链的多授权密文策略属性基等值测试加密方案

针对云环境下密文策略属性基加密方案中存在的密文检索分类困难与依赖可信第三方等问题,本文提出了一种基于区块链的多授权密文策略属性基等值测试加密方案.利用基于属性的等值测试技术,实现了支持属性级灵活授权的云端数据检索和分类机制,降低了数据用户对重复数据解密的计算开销.结合多授权属性基加密机制和区块链技术,实现了去中心化用户密钥生成.采用多属性授权机构联合分发密钥,有效抵抗用户和属性授权机构的合谋攻击.引入区块链和智能合约技术,消除了现有密文策略属性基密文等值测试方案中等值测试、数据存储与外包解密操作对可信云服务器的依赖.利用外包服务器执行部分解密计算,降低了用户本地的计算开销.将原始数据哈希和验证参数上传至区块链,保障外包服务器解密结果正确性和云端数据完整性.在随机预言模型下,基于判定性qparallel Bilinear Diffie-Hellman Exponent困难问题证明了本文方案在选择密文攻击下的单向性.与同类方案相比较,本文方案支持更多的安全属性,并具有较低的计算开销.

基于多机构属性加密的云数据确定性删除方案

云存储服务的使用越来越普遍,但是将大量数据存储在第三方云服务器中,给用户带来便利的同时也提出了更高的安全要求。由于云存储服务是半可信的,使得如何确定性删除云存储数据成为需要解决的问题。目前,云存储数据的确定性删除的相关研究大多基于单机构管理属性的属性基加密,该类方案虽然满足云数据的细粒度访问控制,但容易引起单点故障等问题。因此,提出一种基于多机构属性基加密的云存储数据确定性删除方案。将多机构属性基加密应用于该方案,不仅支持有多个机构管理属性时对云存储数据的安全删除,并实现了云数据的细粒度访问。此外,该方案通过利用策略隐藏保护存储在云服务器中的访问策略的隐私。最后,通过撤销属性改变密文实现云数据删除,并通过区块链存储删除证明实现删除结果公开可验证和责任可追溯。实验仿真和对比分析表明,该方案在云存储数据删除方面具有较高的安全性,为云储存数据的删除提供一种实用方案。

基于联合物联网平台的多域访问权限构建

为解决访问控制问题,提出一种基于属性访问控制逻辑的新解决方案,利用分布式多权威-密文策略-基于属性的加密算法,丰富其固有特性,包括对抗串通攻击、属性吊销和用户隐私保护。由此产生的协议能够同时满足以下要求:对等身份验证、通信对等体之间的数据保密性、基于加密算法的高级访问控制机制、用户隐私、采用有限生命周期属性、属性吊销以及抗击串通攻击。

微服务架构下API网关属性授权策略研究

随着微服务架构的普及,API网关作为连接前端与后端服务的关键中间层,承担着访问控制、身份验证等多项安全职责。为了解决在网关层面对响应数据进行细粒度访问控制的问题,设计一种支持属性授权的API网关架构,并提出一种基于流式解析的属性授权控制策略。在网关启动阶段构建基于抽象语法树的路径匹配器,在运行阶段渐进式解析请求响应。实验证明,该方法相比现有方式未明显提升CPU负载,在内存占用和响应时间方面均有明显优势。

TrustedRBAC——A Distributed Authorization Infrastructure Span Multiple Autonomous Domains

TrustedRBAC is a scalable, decentralized trust-management and access control mechanism for systems that span multiple autonomous domains. We utilize X.509 attri- bute certificates to define trust domains, roles to define controlled activities, and role delegation across domains to represent permissions to these activities. This paper describes the TrustedRBAC model and its scalable design and implementation.

云环境下支持多授权机构的医疗数据安全共享方案

在当前的云环境下,医疗数据存储的研究中存在着隐私信息外泄、机构之间数据共享效率较低等问题。因此,针对云环境下电子医疗数据的安全共享需求,提出了一种支持多属性机构的基于属性的密文策略加密方案,实现了加密医疗数据的细粒度访问控制。通过在加密阶段引入离线计算和在解密阶段引入外包计算,该方案显著降低了加解密延时,提高了医疗数据访问控制的效率。安全性分析和性能分析表明,该方案满足可重放适应性选择密文攻击安全性,且在性能上优于已有的方案,提高了云环境下医疗数据共享的安全性和效率。

基于链路权值的大数据属性授权加密算法仿真

当前的大数据属性授权加密算法无法实现大数据链路权值的分配,导致网络负载不均衡,抗入侵能力较低,数据授权加密效果不理想。为此,研究新的基于链路权值的大数据属性授权加密算法。合理分配链路权值,有效避开网络传输中的高负载链路,保证负载均衡分布。设置跳数限制条件,并依据此条件选出最短路径,避免网络资源浪费。在此基础上,通过属性授权加密算法,构建大数据访问控制协议,结合切比雪夫映射与轻量级属性加密完成用户身份的合法认证及可靠性授权。仿真结果表明,上述加密算法可有效均衡化网络负载,具有较高的抗攻击性。保障网络的吞吐量并避免延迟,增强了网络传输大数据的通畅性及访问的安全性。

抗共谋攻击的多授权电子健康记录共享方案

为解决属性基加密方案中用户权限变更不灵活以及无法抵抗共谋攻击的问题,本文提出一种抗共谋攻击的多授权电子健康记录共享方案.采用版本控制的方式实现属性撤销,属性授权中心为非撤销用户提供更新密钥并更新密文,而没有更新密钥的用户将无法继续获取数据.为了保证数据访问的效率,系统将大部分计算外包至云服务器执行.此外,所有属性授权中心需要生成各自的公私钥对以抵抗共谋攻击.本方案在随机谕言模型下满足选择明文攻击不可区分安全,与其他多中心方案相比,功能更加实用且解密开销至少降低了45.9%.

基于边缘计算的多授权属性加密方案

传统云存储下属性加密通常在云端与用户直接交流,并且由单一授权机构处理密钥与数据信息,为此提出一种应用在边缘环境下的多授权属性加密方案。方案中的访问矩阵由线性秘密共享构建,将边缘平台作为中间节点,用椭圆曲线密码体制下的简单标量乘法替代属性加密中的双线性计算,通过多授权中心分摊属性管理,直接减少单个授权机构的密钥托管与局部失控问题。理论功能分析与实验结果表明,该方案在可行性与安全性上均优于传统同类算法,有效降低了用户在访问控制中的计算开销。

一种基于多授权中心协同的数据保护方案

针对医疗隐私数据在存储和传输交互过程中易泄露的问题,提出一种基于多授权中心协同的数据保护方案(Multi-Authorization Collaborative Data Protection Scheme,MACDPS)。该方案利用区块链智能合约技术,由多组区块节点构成多属性授权中心,实现公共参数和主密钥的安全生成,解决单一授权中心权限过大可能引发的用户密钥泄露问题。采用基于属性的加密算法和对称加密算法对密钥和隐私数据进行双重加密,并保存于云存储服务器中,以确保隐私数据的细粒度访问和机密性。实验与安全性分析结果表明,所提方案能够保证密钥的机密性,实现了患者隐私数据的有效存储和抗泄露,具有高效的传输能力以及较强的安全性。

任务匹配中抗密钥泄露可撤销属性加密方案

针对现有属性加密方案难以防止群智感知系统任务匹配密钥泄露和实现用户细粒度撤销问题,提出一个结合默克尔帕特丽夏树和增量哈希的抗密钥泄露可撤销属性加密方案。将单一属性机构分为多个解决系统性能瓶颈问题,利用默克尔帕特丽夏树存储用户身份和私钥信息防止密钥泄露发生,采用增量哈希对更新后的用户信息进行快速修改实现用户撤销和属性撤销。实验结果表明,该方案具有更低的时间开销,能够抵抗共谋攻击,保证前向安全和后向安全。

基于区块链的属性基多关键词排序搜索方案

对云数据进行访问控制能够限制非法访问、提高数据隐私安全,属性基可搜索加密是实现数据细粒度访问控制的关键技术之一。针对云数据访问中单一授权性能瓶颈、搜索功能局限等问题,提出一种基于区块链的属性基多关键词排序搜索方案。该方案采用多授权机制降低了系统计算负担,同时将属性基可搜索加密技术与区块链技术相结合,实现了云数据的细粒度访问控制与公平搜索;此外,引入向量空间模型和TF-IDF加权技术实现了多关键词搜索结果排序,提高了搜索效率。安全性分析、性能分析表明,该方案能够抵抗选择明文攻击和关键词猜测攻击,并具备较低的通信和计算开销。

基于多属性权威的区块链访问控制技术研究

提出一种基于多属性权威的访问控制方案.该方案将解密密钥分为2部分,一部分通过属性基加密算法由属性权威发送给数据访问者,只有满足访问策略的数据访问者才能合成解密私钥.另一部分密钥由数据拥有者直接发送给数据访问者,以实现满足属性访问后的身份认证.与传统的属性基加密方案相比,进一步提升了细粒度,减少了验证节点,提升了算法效率.实验结果表明:相比单一属性权威,提出的多属性权威方案具有抗合谋性,可以抵挡t-1个恶意节点的攻击.而且与条件代理重加密方案相比,多属性权威方案的加解密时间耗时更短,效率更高.

一种支持细粒度授权的数据安全共享方案

针对在云计算环境下数据共享时存在的数据集中存储、数据共享困难等问题,通过结合多条件代理重加密和基于属性代理重加密,提出面向多用户的支持多授权条件的基于属性代理重加密方案.该方案支持多个关键词授权条件下的密文数据细粒度访问,能够对密文共享的授权条件和授权范围进行限定,只有属性集符合密文中的访问结构以及关键词与密文所设的关键词一致时,用户才能访问数据.该方案还支持灵活的用户撤销,防止密文未经授权被合谋解密,保护了数据所有者的敏感信息.通过可证明安全分析,在一般群模型下,该方案具有选择明文攻击安全性;与其他条件代理重加密方案相比,其所支持的功能更具有多样性.

移动云中支持健康数据共享的可追责大属性多授权CP-ABE方案

在移动医疗健康(mHealth)云中,为实现对个人健康信息(PHR)数据安全共享以及细粒度访问控制,本文提出了一种高效、安全的基于移动健康云的多权限大属性PHR访问控制方案。该方案在素数阶群上构造,支持密文在LSSS访问结构下加密并与属性相关联,与此同时,将权限泄露给未授权实体的恶意用户放入身份信息表中并精确追踪。在q-DPBDHE2假设下,该方案在随机预言模型中被证明具有静态安全性。仿真实验在Charm密码框架中实现,与其他方案相比,本文方案具有更好的性能优势以及更高的计算效率。