半自适应性安全的双方可否认属性加密方案

可否认加密技术是防御窃听者主动胁迫攻击的有效手段,但少有支持双方可否认的加密方案.由于当前基于格的证明框架的限制,现有的格中双方可否认加密方案都只能实现选择性安全.针对此问题,本文基于LWE标准假设,提出了半自适应性安全的双方可否认属性加密方案.具体而言,把分支程序计算算法应用到基于属性的双透明集合方案.将两阶段抽样算法作为秘密钥生成过程的关键组成部分,改变加密算法加密属性的方式,推导出半自适应性安全的可否认加密方案.对方案的正确性和安全性进行了证明.

NTRU格上的属性加密方案

随着云计算的快速发展,基于属性的加密方案ABE应运而生,它是一种可以对加密数据实现细粒度访问控制的密码原语。特别地,密文策略的属性加密方案CP-ABE适用于公有云上数据的加密存储与细粒度共享。在一个CP-ABE方案中,数据拥有者可以在密文中嵌入不同的访问策略,从而决定拥有某些特定属性的用户具有该密文的解密权限。现有的基于密文属性的加密方案大多数是在经典格上设计的,并且它们的安全性是基于LWE问题设计的。结合线性秘密分享方案(LSSS),在NTRU格上构造了一个CP-ABE方案,并对该方案的正确性、安全性进行证明。众所周知,基于NTRU格的加密方案具有密钥短、速度快、操作简单和存储空间小等优点。相比经典的CP-ABE方案,文中的CP-ABE方案密钥尺寸和密文空间更小且加解密效率更高,同时,利用线性秘密共享矩阵作为访问矩阵,满足授权人细粒度委托控制的需求,且能够抵抗量子计算的攻击。安全分析表明,所提方案基于Ring-LWE假设,在随机谕示模型下是CPA安全的。

基于动态属性的加密方案

基于属性的加密方案能很好地实现加密文档的访问控制。但目前所提出的加密方案中,用户属性都是静态的,在实际应用中存在一定问题。基于条件加密的思想,设计了一个具有动态属性的加密方案,该方案能在用户满足某属性后,由认证方给用户提供数字签名,并让用户自行计算其属性密钥。最后,对方案安全性进行了讨论。

基于理想格的高效密文策略属性基加密方案

已有的基于格的密文策略属性基(CP-ABE)方案只能通过矩阵运算方法进行加解密,加解密效率不高,而效率较高的基于理想格的密钥策略属性基(KP-ABE)方案又存在对各类实际应用场景适应性较差的问题。为解决上述问题,该文利用理想格上的算法生成主密钥和密钥,同时在多项式环上进行运算,极大地提高了加解密效率;通过在原属性集合中添加虚拟属性,方案成功结合访问结构生成密文,同时授权用户可以构建出满足解密条件的子集,从而实现方案的正确解密;还利用单个陷门矩阵生成密钥,有效降低了公共参数和主密钥的数量。最终该文构建了一个基于理想格的支持门限访问结构的高效CP-ABE方案,并证明方案在环上容错学习(R-LWE)假设下是选择性安全的。与现有支持门限访问结构的方案的对比分析表明,该文方案公共参数数量更少、效率更高,且对实际应用场景有更好的适应性。

基于容错学习的属性基加密方案的具体安全性分析

为了能全面研究基于容错学习(LWE)的属性基加密(ABE)方案的安全性,考察其抵抗现有攻击手段的能力,在综合考虑格上算法和方案噪声扩张对参数的限制后,利用已有的解决LWE的算法及其可用程序模块,该文提出了针对基于LWE的ABE方案的具体安全性分析方法。该方法可以极快地给出满足方案限制要求的具体参数及方案达到的安全等级,此外,在给定安全等级的条件下,该方法可以给出相应的具体参数值。最后,利用该方法分析了4个典型的基于LWE的属性基加密方案的具体安全性。实验数据表明,满足一定安全等级的基于LWE的属性基方案的参数尺寸过大,还无法应用到实际中。

面向云存储的动态属性加密算法

云计算的出现,让计算效率更加高校。由云计算衍生出来的云储存,为海量数据提供了储存。云储存在为用户提供储存服务、不同领域的应用充当了不可或缺的角色。本文旨在研究基于云储存的动态属性加密算法。

云计算中具有两层次撤销的安全数据共享方案

为了解决云存储中常见的安全威胁,提出了带有两层次撤销的安全数据共享(SDSSTLR)方案以保证共享数据的安全性.该方案能够抵抗用户与用户之间、用户与云服务器之间的共谋攻击,从而保护了数据的机密性.该方案使密钥分发中心与云服务器共同生成用户密钥,从而解决了因密钥仅由一个实体生成而影响密钥安全性的密钥托管问题,并通过保证这2个实体生成的用户密钥不能直接用于解密,使密钥得以在公共信道上安全传输,很大程度上解决了安全信道传输的难题.针对用户解密权限的管理,该方案设定了2个不同层次的撤销,分别为属性层次的撤销和用户层次的撤销,它们均能保证前向安全与后向安全.最后,安全性分析和效率分析证明了SDSS-TLR方案在安全威胁下的安全性和高效运行的能力.

基于区块链的云上数据访问控制模型研究

区块链和基于密文策略的属性加密(Ciphertext Policy Attribute Based Encryption,CP-ABE)相结合的方案已经被广泛应用于云上共享数据的访问控制,但是这些方案中数据用户的隐私保护问题并未得到妥善解决。一些研究引入分布式多属性授权中心的基于属性的签名方案(Distributed Multi-Authority Attribute Based Signature,DMA-ABS)来保护数据用户的隐私,但当数据用户多次访问数据时需要进行重复的权限验证,这会带来多余的时间消耗问题。并且,在数据用户的属性和访问控制策略保持相对稳定的情况下,数据用户无限制地重复访问共享数据,会导致系统过载,影响正常的请求处理。这可能会引起云端数据的泄露,给云端数据的安全带来隐患。为了解决这些问题,文中提出了一个基于区块链的云上个人隐私数据访问控制方案。该方案首先将智能合约和多属性授权中心的CP-ABE方案结合,实现了云上个人隐私数据的细粒度访问控制,并引入DMA-ABS方案完成了对数据用户的匿名性身份验证,保护了数据用户的身份隐私;其次,基于比特币UTXO(Unspent Transaction Output)机制,设计了一种数字令牌token,实现了一次授权、多次访问的功能,即缩短了访问时间,又限制了访问次数;最后,在Hyperledger Fabric上进一步实现了访问控制流程,并与现有方案进行了访问时间开销的比较。实验结果表明,所提方案能够有效降低访问时间开销,提高访问效率。