基于多属性权威的区块链访问控制技术研究

提出一种基于多属性权威的访问控制方案.该方案将解密密钥分为2部分,一部分通过属性基加密算法由属性权威发送给数据访问者,只有满足访问策略的数据访问者才能合成解密私钥.另一部分密钥由数据拥有者直接发送给数据访问者,以实现满足属性访问后的身份认证.与传统的属性基加密方案相比,进一步提升了细粒度,减少了验证节点,提升了算法效率.实验结果表明:相比单一属性权威,提出的多属性权威方案具有抗合谋性,可以抵挡t-1个恶意节点的攻击.而且与条件代理重加密方案相比,多属性权威方案的加解密时间耗时更短,效率更高.

PMI中属性权威与属性注册权威通信模型设计及形式化描述

授权管理基础设施(PMI)系统中属性权威(AA)与属性注册权威(ARA)通信状态多且变化复杂。提出了一个PMI中AA与ARA的通信模型,以避免不安全的中间状态出现。对该模型的特征进行了分析,运用有限状态机(FSM)对该模型进行形式化描述,并证明了其安全性。

一种属性权威系统的设计与实现

设计并实现了一个属性权威(AA)系统,该系统由农业银行属性权威服务器系统(ABAA)、农业银行属性注册权威服务器系统(AB ARA)和农业银行目录服务器系统构成,用于提供属性证书的签名、发放及生命周期管理等。

支持树形访问结构的多权威基于属性的签名方案

基于属性的签名能够实现细粒度的访问控制,被认为是云计算环境中一种重要的匿名认证手段。但常见的属性基签名只能通过门限结构提供简单的访问控制,无法应对云环境中的大规模用户属性集。同时,用户属性集由唯一的属性权威管理,增加了属性权威的计算和存储开销,一旦属性权威被攻破,整个系统就会面临崩溃的风险。针对以上问题,提出了一种支持树形访问结构的多权威属性签名方案,可以支持任意形式的与、或和门限结构,提供了更灵活的访问控制。将用户属性集由不同属性权威分类管理,减少开销的同时也降低了系统的风险。此外,在随机预言机模型下证明了方案是给定策略选择消息攻击(SP-CMA)安全的。

一种灵活的多权威属性协同访问控制方案

属性协同访问控制是一种能解决多人协同访问的新型访问控制方案,但已有属性协同访问控制方案中的单个属性权威使其存在单点瓶颈问题,且协同功能缺乏灵活性。针对该问题,提出了一种更灵活的多权威属性协同访问控制方案。所提方案给出了协同访问结构的形式化定义,并引入多属性权威的概念,由多个属性权威负责管理属性和分发属性所对应的用户私钥,减轻了单个属性权威的计算负载。在实现协同时,利用密钥协商的思想,使得参与协同的任意两个属性权威仅需一次通信即可得到协同密钥。方案不需为参与协同的用户建立用户组,进一步使得协同更具灵活性、更贴合实际。安全性分析表明,所提方案能保证数据机密性、抵抗共谋攻击,与已有属性协同访问控制方案相比,具有更小的协同通信代价。

属性远程证明中完整性测量的可信性证明

基于可信计算中的二进制系统完整性测量模型,增加证书权威和可信属性权威,提出一种属性远程证明系统完整性测量模型,并利用谓词逻辑证明其可信性。引入属性远程证明的新特点,应用可信属性权威实现二进制指纹到属性证书的转换。该模型在保证原有模型可信性的基础上,具有更强的适用性和可行性。

一种改进的PMI属性证书撤销方案

在PMI授权管理体系中,有关属性证书的维护是其中重要的组成部分,尤其在用户角色相对固定的大规模应用环境中不合理的证书撤销管理将会带来巨大的运算或网络传输负担。并且证书撤销列表的发布是由属性权威(AA)生成,然后交由一个公开目录对外发布。由于公开的目录不能够保证是安全可靠的,在撤销列表的发布中不能假设发布机构是可以信赖的,因此证书撤销列表也需要AA的签名来保证其真实性。该文提出了一种属性证书撤销列表的维护方案,解决了上述的问题,对方案的有效性、安全性和性能进行了分析。

一个企业级属性证书认证系统的设计方案

企业级应用系统的权限管理非常重要,PMI(Privilege Management Infrastructure权限管理基础设施)标准为权限管理提供了一种良好模型。分析了企业级属性证书认证系统的组成结构——包括属性证书的签发服务,属性证书的受理服务,属性权威的管理,数据库管理以及LDAP(Lightweight Directory Access Protocol)目录服务等,并在此基础上给出了一个具体的实现方案。

基于联合物联网平台的多域访问权限构建

为解决访问控制问题,提出一种基于属性访问控制逻辑的新解决方案,利用分布式多权威-密文策略-基于属性的加密算法,丰富其固有特性,包括对抗串通攻击、属性吊销和用户隐私保护。由此产生的协议能够同时满足以下要求:对等身份验证、通信对等体之间的数据保密性、基于加密算法的高级访问控制机制、用户隐私、采用有限生命周期属性、属性吊销以及抗击串通攻击。

校际统一身份认证及资源共享技术研究

随着校际间资源共享的日益频繁,校际间如何进行必要的身份验证就可实现跨校的信息访问,是摆在我们面前的一大课题。Shibboleth是一个针对SSO的开源项目,试项目主要应用于校园内Web资源共享,以及校园间的应用系统的用户身份联合认证。本论文介绍了Shibboleth的产生,对Shibboleth的模型、工作流程以及特点进行了分析和研究,旨在为研究者把握相关技术的发展趋势提供借鉴,并指出了今后进一步的研究工作。

基于RBAC的AA系统的设计与实现

简要介绍了PMI的基本架构和功能,以及采用J2EE架构的多层体系结构设计。阐述了基于角色访问控制的RBAC模型的设计思想,并详细论述了一种基于RBAC模型的AA系统的实现方案。

Attribute-Based Access Control for Multi-Authority Systems with Constant Size Ciphertext in Cloud Computing

In most existing CP-ABE schemes, there is only one authority in the system and all the public keys and private keys are issued by this authority, which incurs ciphertext size and computation costs in the encryption and decryption operations that depend at least linearly on the number of attributes involved in the access policy. We propose an efficient multi-authority CP-ABE scheme in which the authorities need not interact to generate public information during the system initialization phase. Our scheme has constant ciphertext length and a constant number of pairing computations. Our scheme can be proven CPA-secure in random oracle model under the decision q-BDHE assumption. When user's attributes revocation occurs, the scheme transfers most re-encryption work to the cloud service provider, reducing the data owner's computational cost on the premise of security. Finally the analysis and simulation result show that the schemes proposed in this thesis ensure the privacy and secure access of sensitive data stored in the cloud server, and be able to cope with the dynamic changes of users' access privileges in large-scale systems. Besides, the multi-authority ABE eliminates the key escrow problem, achieves the length of ciphertext optimization and enhances the effi ciency of the encryption and decryption operations.

Towards accountable authority attribute-based encryption

An accountable authority attribute-based encryption （A-ABE） scheme is presented in this paper. The notion of accountable authority identity-based encryption （A-IBE） was first introduced by Goyal at Crypto＇07. It is a novel approach to mitigate the （inherent） key escrow problem in identity-based cryptosystems. In this work, the concept of accountable authority to attribute-based encryption （ABE） setting is generalized for the first time, and then a construction is given. The scheme non-trivially integrates an A-IBE scheme proposed by Libert et al. with an ABE scheme. In our construction, a user will be identified by a pair （ id, o~）, where id denotes the user＇ s identity and ω denotes the set of attributes associated to the user. In addition, our construction is shown to be secure under some reasonable assumptions.

一种基于属性的匿名签名方案

签名技术作为现代密码学的一个关键分支,在数据完整性检验和签名者身份辨别等方面广泛应用。传统的数字签名方案涉及复杂的密钥管理,不适用于海量用户的场景。此外,在保证签名有效性的同时,还应防止签名者的身份信息泄露。因此,本文提出了一种基于属性的匿名签名方案。验证者可以从签名中获知签名者满足某个属性策略,但不能获取到签名者的身份信息,从而保证签名的匿名性。

基于PKI/PMI的授权管理模型设计

随着计算机应用系统的日益庞大,用户身份认证、访问控制和权限管理成为应用系统安全关注的焦点。如何结合PKI、PMI技术为应用系统提供一种统一的身份认证、授权管理和访问控制是论文想要探讨的问题。文中介绍了一种基于PKI的PMI授权管理访问控制模型,并提出了基于属性证书实现访问控制的方法。