可证安全的基于属性密钥交换

分析了密钥交换协议的特点,提出了一种基于属性的密钥交换协议,能够更灵活地控制不同用户参与密钥交换的权限,该协议基于Sahai-Waters ABE体制,只需要一轮消息通信。研究了密钥交换协议的安全需求,应用"敌手-挑战者"游戏,提出了基于属性密钥交换协议的语义安全性定义,进一步在标准模型中证明了协议的安全性。

基于云存储的无可信中心的属性密钥分发算法

随着现代通信技术的发展,云计算越来越受到人们的青睐,并且已经发展成为一项成熟的应用技术,得到了极大推广,云存储作为云环境下的应用也应运而生。云存储的主要目的是为用户共享空间资源,但是数据的安全共享如何保证,是云存储面临的一个主要问题。由于现有的密钥技术为云存储的数据共享提供有效访问控制的同时,也带来了共享数据服务提供商和密钥管理方的信任问题。针对以上问题,提出了无可信中心的属性密钥算法。对其进行的安全及性能分析表明,该算法不仅解决了云存储的信任依赖问题,而且在属性密钥分发过程中完成了用户的身份认证。

基于SM9的密钥策略属性基加密及快速解密

属性基加密是一种通过指定访问策略实现数据共享的公钥加密技术,分为密钥策略属性基加密和密文策略属性基加密两种.在属性基加密中,数据拥有者通过指定一个访问策略(属性集合)对数据进行加密,被授权的接收者使用与属性集合(访问策略)相关联的解密密钥访问数据.与传统"一对一"的数据共享模式相比,属性基加密是一种更为精细的数据共享机制,可以提供"一对多"的数据共享模式,适用于区块链、云计算等信息系统中的多用户数据安全共享应用.SM9标识加密是我国设计的标识密码算法,用于保障数据的机密性,于2021年成为国际标准.但是,SM9标识加密仅提供"一对一"的数据共享模式.本文在SM9标识加密的基础上,结合经典密钥策略属性基加密的构造思路,构造了一种基于SM9的密钥策略属性基加密方案.所提方案中的密钥/密文结构与SM9标识加密算法中的密钥/密文结构相似,可与现有使用SM9的信息系统有效融合.在此基础上,提出基于SM9的密钥策略属性基加密快速解密方法.新方法具有以下特点:(1)通过增加密钥长度,将解密时使用的双线性运算数量由原来的2|I|个降低至2个,其中|I|表示解密时使用的线性秘密生成矩阵中的行数;(2)使用聚合技术,将密文中的群元素个数由原来的(2+|S|)个降低至3个,其中S表示加密时使用的属性集合;(3)新方法具有动态自适应性,用户可以根据实际需求在密钥长度和解密时间之间进行个性化权衡.这些特性使得所提新方法更适用于计算、带宽和存储资源受限的轻量级设备.最后,性能分析表明,该方案在实际应用中是可行的.

支持撤销属性的CP-ABE密钥更新方法

在现有云存储的密文策略属性基加密方案(CP-ABE)中,大多只考虑用户的计算开销,而忽略了属性授权中心在更新密钥的时候所消耗的大量计算资源。针对该问题提出了一种基于CP-ABE的支持细粒度属性撤销的密钥更新方法。首先属性授权中心创建用户撤销列表以及属性密钥撤销列表;然后利用区块链公开、安全、可验证等相关特性来存储撤销列表等数据;最后系统根据这些数据在用户请求密文时更新其属性密钥,即将密钥频繁变更转为按需单次变更,从而减少属性授权中心在一定时间段内大量的计算。同时,通过引入可验证外包的方法确保用户解密的正确性以及低廉的开销。理论分析验证了方案的安全性以及密文加解密的高效性,并通过仿真实验与其他方案比较验证了方案在单次系统属性撤销方面也具备着高效的性能。

标准模型下全安全的密钥策略属性基加密方案

随着社交网络、云存储等新事物的出现,属性基加密以其强灵活性、强高效性、强安全性等优点得到了广泛的应用,但是目前的属性基加密方案大都是选择性安全的,不能很好地满足现实的应用需求,所以如何构造全安全的属性基加密方案成为密码学界研究的热点.针对以上问题,首先利用对偶系统加密构造了一个高效的密钥策略属性基加密方案;然后结合Lewko-Waters最新提出的证明思想证明了方案在标准模型下的全安全性;最后经分析比较,该方案的公私钥和密文长度与选择性安全的GPSW方案相当,但是安全性更高.同Lewko-Okamoto方案相比,该方案的安全性与之相同,但是具有较短的公钥长度和密文长度,方案的效率更高;而且,与Lekwo-Waters的密文策略的属性基加密方案相对应,该方案在全安全证明中应用了选择性安全模型中的证明方法,对进一步研究选择性安全模型与全安全模型之间的关系具有重要意义.

可撤销和可追踪的密钥策略属性基加密方案

针对基于密钥策略属性基加密(KP-ABE, key-policy attribute-based encryption)方案不能兼顾属性撤销和用户身份追踪的问题,提出一种支持可撤销和可追踪的KP-ABE方案。首先,该方案能够在不更新系统公钥和用户私钥的情况下实现对用户属性的撤销,更新代价比较小,同时可以根据解密密钥追踪到用户身份,从而有效地防止匿名用户的密钥泄露问题。其次,该方案基于线性访问结构(LSSS, linear secret sharing scheme),与树形访问结构相比,执行效率更高。最后,该方案基于判定性q-BDHE假设,给出了在标准模式下的安全性证明。通过与已有的KP-ABE方案进行对比分析得出,该方案的公钥长度更短、加解密的计算开销更低,且在实现属性可撤销的基础上实现了用户身份的可追踪功能,具有较为明显的优势。

基于密钥策略属性加密云存储安全框架设计与实现

云计算作为一种新型的计算方式,从学术界和工业界得到了广泛关注。然而,云计算面临很多挑战,云存储数据安全就是其中之一。如果该问题没有得到很好的解决,将会大大限制云计算的应用范围。因此,采用基于密钥策略属性加密的方法对数据进行加密,实现对数据细粒度的保护,即使密文遭到泄露也能保证数据明文的安全,增强了数据的安全性。同时,采用Hadoop作为云存储服务器,对实验方案了进行测试验证。

多主密钥功能加密:基于LMSSS的M-KP-ABE方案

功能加密极大地拓宽了秘密信息的共享方式,但支持多主密钥功能性函数加密方案的构造问题仍未解决,多主密钥功能加密具有更强的表达能力和更广义的特性.在功能加密的一个子类密钥策略属性基加密上,首次提出了多主密钥形式的安全模型M-KP-ABE.利用线性多秘密共享方案,设计了该安全模型下的一个支持多主密钥功能性函数的加密方案.基于DBDH假设,在标准模型下证明方案在适应性选择挑战和自适应选择明文攻击下是安全的.该方案加密数据的访问策略更为灵活,可退化为单主密钥的加密方案,可构造具有精细访问树的方案,其计算量与单主密钥方案相等,具有较高的效率.

云计算中属性基加密机制研究

云计算成为当前实现信息共享主流形式,但云计算平台的开放性、终端分布的不均匀性及网络互联的复杂性等特点,使得其比以往更容易遭受诸如病毒感染、信息泄露等网络攻击.为了确保用户数据不被非法访问,通常将数据加密后存储在云端,传统的加密机制无法满足云计算等新型环境下1对多细粒度访问控制的需求.从属性基加密机制基本原理入手,对云计算环境下属性基加密机制进行了系统研究,并对其安全性进行了深入的比较分析.

适应性安全的多主密钥KP-ABE方案

功能加密能很好地满足多对多的网络环境下的机密性需求,功能性函数提供了比传统公钥更灵活的密文存取能力.已有的功能加密系统均只支持单主密钥功能性函数,本文提出了功能加密子类KP-ABE(key-policy attribute-based encryption)上的多主密钥适应性安全模型,该模型具有更强的表达能力及更广义的特性.利用线性多秘密共享方案,设计了该安全模型下的一个加密方案,并采用对偶法在标准模型下证明方案是IND-CPA(indistinguishability against chosen-ciphertext attacks)安全的.该方案加密数据的存取策略更为灵活,用户可根据权限存取多种类型的密文;提出的构造方法可应用于功能加密的其他子类,且计算量与单主密钥方案相比不存在线性扩张,具有较高的效率.

多级访问安全下电网综合运维信息加密共享

常规加密共享方法发送信息密文时,选择的传输路径时延较大,导致信息的加密与解密时间开销较大,因此提出多级访问安全下电网综合运维信息加密共享方法。筛选属性集合满足多级访问控制树的合法用户,生成用户属性密钥。以16位字节为一组,划分运维信息明文数据。利用加密公钥和属性密钥,加密电网综合运维信息,生成密文数据。选择最优传输路径,传输密文数据块并优化密文块解密流程,实现运维信息共享。实验结果表明,所提出加密共享方法缩短了信息加密时间和解密时间,提高了数据加解密效率。

雾计算中支持外包与撤销的属性基加密方案

雾计算将云计算的计算能力、数据分析应用等扩展到网络边缘,可满足物联网设备的低时延、移动性等要求,但同时也存在数据安全和隐私保护问题。传统云计算中的属性基加密技术不适用于雾环境中计算资源有限的物联网设备,并且难以管理属性变更。为此,提出一种支持加解密外包和撤销的属性基加密方案,构建“云-雾-终端”的三层系统模型,通过引入属性组密钥的技术,实现动态密钥更新,满足雾计算中属性即时撤销的要求。在此基础上,将终端设备中部分复杂的加解密运算外包给雾节点,以提高计算效率。实验结果表明,与KeyGen、Enc等方案相比,该方案具有更优的计算高效性和可靠性。

固定密文长度的可验证属性基外包解密方案

传统密钥策略属性基加解密方案存在密文长度随着属性增加而线性增加,在通信过程中消耗用户大量的通信带宽的缺点。提出了属性加密的改进方案,基于密钥策略属性加密,提出具有固定密文长度的可验证外包解密方案,在非单调访问结构实现密文长度固定,有效节省通信带宽,通过对外包密钥生成算法的改进,实现一次模指数运算,有效缩短外包密钥生成时间。通过运用哈希函数,实现外包解密的验证性,并对其安全性进行了证明。

支持策略隐藏与撤销的属性基加密方案

针对云存储中基于密文策略的属性基加密算法存在访问策略泄露和用户属性动态变化的问题,提出一种支持策略隐藏与撤销的属性基加密方案。使用区块链存储数据摘要等信息,实现数据的完整性和正确性验证;将多值属性“与、或”门的访问策略转化为访问树的形式实现策略隐藏,避免用户属性信息泄露;利用属性组密钥技术实现用户属性的即时撤销,保证密文长度恒定。安全性分析和实验结果表明,方案基于DBDH假设,在标准模型下被证明是安全的,加解密具有较好的计算性能。

基于ABE-IBS的无线传感器网络签名加密一体化方法

为了提高无线传感器网络加密与签名的安全性与效率,结合椭圆曲线上双线性对的基于身份的签名体制(IBS),提出了基于属性的加密和基于身份的签名一体化(ABE-IBS)方法和一个有效的无线传感器网络签密方案,分析与实验结果表明,提出的方案复杂性和存储要求低、效率高,能增强无线传感器网络的安全性。

一种支持解密外包的KP-ABE方案

针对现有密钥策略基于属性加密KP-ABE(Key-Policy Attribute-Based Encryption)方案在解密时存在用户端计算开销大、解密时间长等问题,一些方案提出将解密外包给云服务器,但这些方案并未给出外包解密的并行化方法,存在解密效率低的问题.本文提出一种支持解密外包的KP-ABE方案.在该方案中,把大部分解密计算外包给Spark平台;并根据KP-ABE的解密特点设计并行化解密算法,完成对叶子节点和根节点的并行化解密.性能分析表明,用户端仅需进行一次指数运算即可解密出共享数据,同时并行化设计能有效提高云端解密速率.

基于KP-ABE的名字解析系统访问控制方案

名字解析系统在ICN网络中负责建立、维护和发布信息名字和位置之间的映射关系,提供名字解析服务。当前的名字解析系统存储的映射关系可以未经用户授权,被其他用户获取,从而导致用户信息泄露。为了提高名字解析系统的安全性,提出一种基于密钥策略属性基加密(KP-ABE)的名字解析系统访问控制方案,在没有对解析节点的计算负担造成过多影响的情况下,实现访问控制。同时方案减少计算量大的操作,以适用于计算力弱的用户。安全性证明结果表明该方案能够抵抗攻击者的选择明文攻击,为名字解析系统提供安全保障。分析和实验结果显示,该方案在加密、解密和密钥生成过程中减少了计算量大的运算,降低了授权机构和用户的计算负担,提高了访问控制的效率。