基于格上密文策略属性基加密的联盟链数据共享方案

数据共享过程中存在数据泄漏、信任危机等问题,且量子计算机的出现对传统加密算法带来了较大威胁。为此,提出一种基于格上密文策略属性基加密(CP-ABE)的联盟链数据共享方案。利用联盟链的准入机制以及允许存在可信第三方的特性解决在分布式网络中数据共享双方相互不信任的问题。引入基于环上容错学习的CP-ABE技术来抵御量子攻击,同时改进访问树的生成方式,将属性分为高敏感、低敏感两类,实现对数据的分级加密以保证数据的安全性。基于演化博弈论构建数据共享模型,对共享双方在联盟链数据共享体系中的选择策略进行求解和分析,并探究不同参数对演化结果的影响。实验结果表明,当属性数量呈指数级增长时,该方案的启动算法、加密算法以及解密算法的效率比基于合数阶双线群的CP-ABE方案分别提高81.6%、43.8%和56.0%,每增加一个背书节点能够使系统在执行增加用户与查询用户函数时效率分别提高36.8%与6.4%。此外,对演化模型进行模拟,结果表明,当数据固有收益、损失概率与损失收益的乘积都提高时,参与联盟链带来的收益提高,用户更倾向于参与联盟链。

快速解密且私钥定长的密文策略属性基加密方案

在保证密文策略属性基加密(CP-ABE)算法安全性的前提下,尽可能地提升其工作效率一直是密码学领域的研究热点。该文从作为CP-ABE效率核心的访问结构着手,首次提出基于简化有序二叉决策图(ROBDD)的访问结构,给出了相应的策略表示方法、用户可满足性判定;基于简化有序二叉决策图(ROBDD)访问结构设计了在算法时间复杂度、存储空间占用量等方面都具有较好表现的CP-ABE方案;在安全性方面,该方案能够抵抗用户间的合谋攻击和选择明文攻击。对比分析表明,ROBDD访问结构具有更强的表达能力和更高的表达效率;新的CP-ABE方案包含时间复杂度为常数阶的密钥生成算法、解密算法,能够为用户生成定长私钥并实现快速解密。

云计算中基于密文策略属性基加密的数据访问控制协议

云计算提供一种新兴的数据交互模式,实现了用户数据的远程存储、共享和计算。由于云计算的系统复杂性、网络开放性、资源集中性以及数据敏感性等特点,使得用户与云服务器的交互过程面临着严峻的安全威胁,成为云计算安全领域亟待解决的关键问题。文章首先介绍了云计算系统的系统组件、信任模型和攻击模型,针对云计算系统中的数据安全访问问题,提出了基于密文策略属性基加密的访问控制协议。该协议利用切比雪夫映射的半群特性实现了用户身份的合法性认证,并设计轻量级的属性加密算法实现用户数据的可靠性授权。同时,该协议主要引入身份认证、访问控制和前向安全性机制,实现用户身份真实性认证和数据可靠性访问。通过协议存储需求分析,表明该协议在数据属性集和密钥存储方面具有固定的存储空间需求,避免海量数据交互中用户存储空间的线性增长。通过分析,表明该协议具有较强的可靠性、灵活性和扩展性,适应于云环境中大规模数据交互的应用场景。

一种支持属性撤销的密文策略属性基加密方案

针对传统属性基加密方案中单授权中心计算开销大以及安全性较差等问题,通过引入多个授权中心以及安全两方计算协议等技术,提出一种支持细粒度属性级撤销和用户级撤销的密文策略属性基加密方案。引入多个属性授权中心以颁发并更新属性版本秘钥,同时秘钥生成中心与云存储服务器之间进行安全两方计算等操作,生成并更新用户密钥,从而进行细粒度属性级撤销。在云存储服务器中,对用户列表中的用户唯一秘值及唯一身份值进行操作以实现用户级撤销,同时通过多个授权中心抵抗合谋攻击,并将部分计算工作外包给云端。分析结果表明,与基于AND、访问树和LSSS策略的方案相比,该方案有效增强了系统的安全功能,同时显著降低了系统的计算复杂度。

基于密文策略属性基加密算法的云存储数据更新方法

针对云计算数据易遭非法窃取和恶意篡改问题,提出一种支持动态更新操作的密文策略的属性基加密方案(DU-CPABE)。首先利用线性分割思想将数据分成固定大小的数据块,然后采用密文策略属性基加密(CP-ABE)算法对各数据块进行加密,最后提出一种Address-Merkle Hash Tree(A-MHT)搜索树结构,借助A-MHT快速定位数据块实现云服务器中数据动态更新。经理论分析验证了方案的安全性,而且在理想信道中的仿真实验结果显示,在更新次数为5时,此方案相比CP-ABE方案的数据更新时间开销平均下降幅度为14.6%。实验结果表明:DU-CPABE方案在云计算服务中数据动态更新这一过程能够有效地减小数据更新的时间开销,同时降低系统开销。

基于密文策略属性基加密的多授权中心访问控制方案

针对单授权中心方案通信和计算开销较大的问题,提出一种基于密文策略属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)的多授权中心访问控制方案。该方案引入属性管理器对用户属性进行分组,多个授权中心共同生成密钥,同时将部分解密交给云服务器进行。该方案减少了授权中心间的通信消耗和用户解密的资源消耗,同时通过安全性证明及与现有方案进行对比证明该方案安全高效。

基于云雾计算的可追踪可撤销密文策略属性基加密方案

针对资源受限的边缘设备在属性基加密中存在的解密工作开销较大,以及缺乏有效的用户追踪与撤销的问题,提出了一种支持云雾计算的可追踪可撤销的密文策略属性基加密(CP-ABE)方案。首先,通过对雾节点的引入,使得密文存储、外包解密等工作能够放在距离用户更近的雾节点进行,这样既有效地保护了用户的隐私数据,又减少了用户的计算开销;其次,针对属性基加密系统中用户权限变更、用户有意或无意地泄露自己密钥等行为,加入了用户的追踪和撤销功能;最后,通过算法追踪到做出上述行为的恶意用户身份后,将该用户加入撤销列表,从而取消该用户访问权限。性能分析表明,所提方案用户端的解密开销降低至一次乘法运算和一次指数运算,能够为用户节省大量带宽与解密时间,且该方案支持恶意用户的追踪与撤销。因此所提方案适用于云雾环境下计算资源受限设备的数据共享。

可追踪并撤销属性的密文策略属性基加密方案

针对属性基加密系统中用户权限变更、用户故意或无意地泄露自己的密钥信息等行为,提出了一种可以追踪用户并撤销其属性的密文策略属性基加密(ciphertext policy attribute-based encryption,CP-ABE)方案,即通过算法追踪到用户身份后,撤销该用户属性集合中的某一个或几个属性,从而实现取消用户相应权限的目的.利用Shamir门限方案等技术设计追踪算法追踪用户的ID,将用户的ID添加到相关属性的撤销列表中,加密者在加密时输入所涉及的每个属性的撤销列表,从而实现追踪用户并对其属性进行细粒度的直接撤销,利用对偶系统加密技术证明了该方案是选择安全的.

基于授权的多服务器可搜索密文策略属性基加密方案

针对现有属性基可搜索加密方案缺乏对云服务器授权的服务问题,该文提出一种基于授权的可搜索密文策略属性基加密(CP-ABE)方案。方案通过云过滤服务器、云搜索服务器和云存储服务器协同合作实现搜索服务。用户可将生成的授权信息和陷门信息分别发送给云过滤服务器和云搜索服务器,在不解密密文的情况下,云过滤服务器可对所有密文进行检测。该方案利用多个属性授权机构,在保证数据机密性的前提下能进行高效的细粒度访问,解决数据用户密钥泄露问题,提高数据用户对云端数据的检索效率。通过安全性分析,证明方案在提供数据检索服务的同时无法窃取数据用户的敏感信息,且能够有效地防止数据隐私的泄露。

基于密文策略属性基加密系统访问机制的缓存替换策略

为提高基于密文策略属性基加密(CP-ABE)系统的数据缓存性能,针对CP-ABE加密的数据,提出一种有效的缓存替换算法——最小属性价值(MAV)算法。该算法结合CP-ABE加密文件的访问策略并统计高频属性值的个数,利用余弦相似度方法和高频属性值统计表来计算属性相似度;同时结合属性相似度和文件大小计算缓存文件的属性值价值,并替换属性值价值最小的文件。在与最近最少使用(LRU)、最不经常使用(LFU)、Size缓存替换算法的对比实验中,针对CP-ABE加密后的数据,MAV算法在提高加密文件请求命中率和字节命中率方面具有更好的性能。

5G D2D中新型防共谋密文策略属性基加密方案

为了在5G网络D2D(设备到设备)环境中实现数据安全传输、安全的属性撤销、防共谋和动态的用户管理,提出了一种新型防共谋密文策略属性基加密方案(NDA-CP-ABE).基于密文策略属性基加密算法,实现了数据细粒度的访问控制和属性的安全撤销,保障了数据的机密性,并在密文的生成阶段采用多项式方程来实现安全且高效的用户管理.将随机数用于防止合法用户设备、被撤销用户设备和外部网络攻击者之间的共谋攻击.最后基于Diffie-Hellman难题,对NDA-CP-ABE方案进行了形式化证明,并与同类型的方案进行了仿真性能比较.比较结果表明,数据可以在D2D通道中安全传输,并且保障了属性撤销、防共谋和动态的用户管理.此外,与其他同类型方案相比,NDA-CP-ABE方案在加密、解密和存储方面更为高效.

基于区块链的多授权密文策略属性基等值测试加密方案

针对云环境下密文策略属性基加密方案中存在的密文检索分类困难与依赖可信第三方等问题,本文提出了一种基于区块链的多授权密文策略属性基等值测试加密方案.利用基于属性的等值测试技术,实现了支持属性级灵活授权的云端数据检索和分类机制,降低了数据用户对重复数据解密的计算开销.结合多授权属性基加密机制和区块链技术,实现了去中心化用户密钥生成.采用多属性授权机构联合分发密钥,有效抵抗用户和属性授权机构的合谋攻击.引入区块链和智能合约技术,消除了现有密文策略属性基密文等值测试方案中等值测试、数据存储与外包解密操作对可信云服务器的依赖.利用外包服务器执行部分解密计算,降低了用户本地的计算开销.将原始数据哈希和验证参数上传至区块链,保障外包服务器解密结果正确性和云端数据完整性.在随机预言模型下,基于判定性qparallel Bilinear Diffie-Hellman Exponent困难问题证明了本文方案在选择密文攻击下的单向性.与同类方案相比较,本文方案支持更多的安全属性,并具有较低的计算开销.

智慧城市下基于属性加密的隐私数据保护

智慧城市中涉及的数据涵盖了人们的个人信息、位置数据、交通数据等敏感信息。为了满足智慧城市中的数据共享和隐私保护需求,结合属性基可追踪加密技术,为智慧城市的隐私数据保护提供一种新的解决方案并详细介绍了方案的构成。根据属性来细粒度地控制不同用户对数据的访问权限,有效提高隐私数据的安全性。

在线/离线密文策略属性基可搜索加密

在云计算环境中,越来越多的手机用户通过移动网路来共享自己的数据文件.但是由于云不是完全可信的,所以会出现一些安全隐私上的问题,针对这些问题,随之提出了各种基于属性基加密的解决方案.然而,其中大部分的工作要么是在加解密阶段存在大量的在线计算成本,要么是不支持加密数据的关键字搜索功能.而且大多的属性基加密机制会对数据共享、信息查询、数据细粒度管理等方面的效率性产生影响.为了解决这些问题带来的挑战,提出了一种新的密码学原语:在线/离线密文策略属性基可搜索加密方案(online/offline ciphertext-policy attribute-based searchable encryption scheme,OOCP-ABSE).通过利用现有的在线/离线属性加密技术和属性基加密的外包解密技术,构造出高效的OO-CP-ABSE方案,使得数据拥有者端的在线计算代价最小化,同时使得数据用户端的解密计算代价最低;还给出了在云计算环境下,OO-CP-ABSE方案在移动设备上的应用;最后,给出了OO-CP-ABSE方案的安全性分析(数据机密性、关键字隐私安全、搜索可控性、陷门安全性)以及同现有其他方案的效率比较.

扩展的密文策略属性基加密机制

提出并描述了一种扩展的密文策略属性基加密(ECP-ABE)机制.对CP-ABE树形访问策略结构进行扩展,使其能够支持not和比较运算符表达式运算操作,显著增强了CP-ABE机制的访问控制能力.最后证明了所设计的ECP-ABE机制在标准模型下是适应性选择明文攻击(CPA)安全的,扩展的访问结构树不会给加密系统带来额外的安全问题.

边缘计算中基于区块链的轻量级密文访问控制方案

密文策略属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing,BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.

面向云安全的基于格的高效属性基加密方案

随着越来越多的企业使用云计算提供的各种数据服务,云安全变得至关重要,而数据的加密和身份访问管理(IAM)是云安全的重要组成部分。密文策略属性基加密(CP-ABE)是一种特殊的公钥加密方案,可以用来解决密文的访问控制问题,适用于身份和访问管理系统。然而现有的属性基加密方案大多不能抵抗量子攻击,并且只能支持单值属性。为了满足身份访问管理中常用的基于属性的访问控制(ABAC)模型的需求,文章基于环上的错误学习问题构造了一个多权威密文策略属性基加密方案。文章所提方案采用键值对形式的属性,并支持析取范式的访问结构,能够实现细粒度的访问控制。同时,该方案允许多个权威去中心化地管理密钥。另外,该方案依赖于evasive LWE假设在多项式环上的变种,该方案被证明具有静态安全性。文章对方案进行了C++语言的实现验证,并进行了性能测试,实验结果表明,该方案具有较高的性能,适合实际应用。

一种基于异或运算的属性撤销CP-ABE方案

针对属性撤销CP-ABE方案中密钥更新时属性授权机构与用户之间的通信开销过大及密文更新时云存储中心的计算复杂度过高的问题,本文提出一种基于异或运算的、支持属性级撤销的密文策略属性基加密方案.在该方案中,属性授权机构先将需要撤销的属性名称、被撤销用户的标识及新的时间参数发送给云存储中心,然后云存储中心根据用户标识和新的时间参数的异或结果与密文的一部分进行异或运算,得到新密文.收到新密文后,正常用户可以利用自己的密钥解密得到原密文,进而得到明文,而被撤销用户则只能使用已撤销属性的新密钥才能解密得到原密文,从而实现属性级撤销.理论分析和数值模拟表明,在保证系统安全性的前提下,该方案能够减少属性授权机构与用户间的通信开销,降低云存储中心的计算复杂度.

基于时间因子的可撤销可追踪属性基加密方案

现有的属性基加密方案访问策略中较少涉及时间因子,用户为自己的数据设置访问策略时,无法对访问数据的用户拥有属性的时间进行限定,针对恶意泄露密钥的用户进行追踪并撤销也是属性基加密中的挑战性问题,现有的可撤销方案存在计算量太大、效率过低等缺陷。针对这些问题,提出一种基于时间因子的可撤销可追踪属性基加密方案,在用户密钥中分别标记用户获取属性的时间,访问策略中对用户获取属性最早/最迟时间进行限定,解密时对用户属性时间进行验证,丰富了系统的访问策略并实现了方案的后向安全,通过时间验证服务器对用户解密阶段进行管理,用户属性撤销时仅需要更新用户时间标记因子,用户撤销时仅需要删除时间因子,实现方案高效撤销和前向安全。最后,在DBDH假设下,所提方案是IND-CPA安全的。性能分析和实验结果表明,所提方案有较丰富的功能和较高的性能。

云雾环境下可追责可撤销的属性基加密方案研究

随着物联网设备产生的数据激增,一种称为雾计算的新范式已经发展起来,其可以在边缘处理和分析数据。云计算和雾计算一起被用于巨大的存储和处理资源。而现有的CP-ABE方案不太适合云雾物联网环境,因为不能同时提供以下功能:抗密钥托管、属性撤销、恶意用户追责和复杂操作的外包。因此,本文提出了一种云雾环境下可追责可撤销的数据安全共享方案,该方案支持密钥抗托管、属性撤销和恶意用户追责功能。通过将复杂的加解密、属性撤销和恶意用户追责的任务外包给第三方,为物联网设备留下恒定且少量的计算量。同时,所提方案只更新那些与撤销属性相关联的关键组件和密文,实现多层次撤销,提高其撤销效率。该方案与现有的CP-ABE方案不同,用户持有一个恒定大小的密钥,该密钥在整个过程中保持不变。该方案性能分析表明,所提方案是安全高效的,适用于资源受限的物联网设备。