Secured Access Policy in Ciphertext-Policy Attribute-Based Encryption for Cloud Environment

The cloud allows clients to store and share data.Depending on the user’s needs,it is imperative to design an effective access control plan to share the information only with approved users.The user loses control of their data when the data is outsourced to the cloud.Therefore,access control mechanisms will become a significant challenging problem.The Ciphertext-Policy Attribute-Based Encryption(CP-ABE)is an essential solution in which the user can control data access.CP-ABE encrypts the data under a limited access policy after the user sets some access policies.The user can decrypt the data if they satisfy the limited access policy.Although CP-ABE is an effective access control program,the privacy of the policy might be compromised by the attackers.Namely,the attackers can gather important information from plain text policy.To address this issue,the SHA-512 algorithm is presented to create a hash code for the user’s attributes in this paper.Depending on the created hash codes,an access policy will be formed.It leads to protecting the access policy against attacks.The effectiveness of the proposed scheme is assessed based on decryption time,private key generation time,ciphertext generation time,and data verification time.

Novel dynamic anti-collusion ciphertext policy attribute-based encryption scheme in 5G D2D environment

To share data securely with secure attribute revocation,anti-collusion,and dynamic user management in the 5G device-to-device(D2D)environment,a novel dynamic anti-collusion ciphertext policy attribute-based encryption(NDA-CP-ABE)scheme in the 5G D2D environment is proposed.On the basis of the ciphertext policy attribute-based encryption algorithm,fine-grained access control and secure attribute revocation are realized,and the confidentiality of data is guaranteed.A polynomial function is adopted in the ciphertext generation phase to realize dynamic user management.A random number is used to prevent a collusion attack among the legitimate user equipment(UE),revoked UE,and external network attackers.Finally,on the basis of the Diffie-Hellman problem,the NDA-CP-ABE scheme is formally proved,and the simulation performances are compared with those of similar schemes.The results show that data can be securely shared through a D2D channel with secure attribute revocation,anti-collusion,and dynamic user management.Moreover,compared with similar schemes,the NDA-CP-ABE scheme has higher efficiency in encryption,decryption,and storage.

Ciphertext-Policy Attribute-Based Encryption for General Circuits from Bilinear Maps

In this paper, we present the first ciphertext-policy attribute-based encryption （CP-ABE） scheme for polynomial-size general circuits based on bilinear maps which is more suitable for practical use and more efficient than multilinear maps. Our scheme uses a top-down secret sharing and FANOUT gate to resist the ＂backtracking attack＂ which is the main barrier expending access tree to general circuit. In the standard model, selective security of our scheme is proved. Comparing with current scheme for general circuits from bilinear maps, our work is more efficient.

面向物联网的基于智能合约与CP-ABE的访问控制方案

随着物联网设备数量激增,传统的集中式访问控制方案在面对当前大规模物联网环境时显得力不从心,现有的分布式访问控制方案存在高货币成本和处理访问请求的低吞吐量等问题。针对这些问题提出一种区块链智能合约结合密文策略属性基加密(ciphertext policy attribute based encryption,CP-ABE)实现对物联网资源的访问控制方案。以超级账本(Hyperledger Fabric)为底层网络,对功能令牌执行属性基加密,利用星际文件系统(interplanetary file system,IPFS)保存令牌密文,通过智能合约公开令牌获取地址实现一对多授权。进一步设计合约部署到区块链实现对令牌请求的去中心化权限评估,维护主体在特定资源对象上允许的操作,实现更为细粒度的属性访问控制。仿真实验及性能分析表明,所提方案与现有方案相比能够使数据所有者在更短的时间内完成对大量请求主体的安全访问授权,压力测试表明链码具有较好性能。

Attribute-based encryption resilient to continual auxiliary leakage with constant size ciphertexts

For leakage-resilient ciphertext-policy attribute-based encryption （CP-ABE） at present, the size of the ciphertexts in most of them relies on the number of attributes. How to overcome this shortcoming is a challenge problem. Based on the Goldreich-Levin theorem and dual system encryption, an efficient CP-ABE scheme with constant size ciphertexts is proposed in this paper. It can tolerate leakage on master secret key and attribute-based secret keys with auxiliary inputs. Furthermore, the proposed scheme can be realized as resilience against continual leakage if keys are periodically updated. Under some static assumptions instead of other strong assumptions, the introduced scheme achieves adaptively security in the standard model.

农产品区块链多监管差分隐私共享模型设计

当前的农产品供应链系统,常由单个部门监管,存在单点故障、数据难以实时监管等问题,此外企业节点身份无明显区分,难以保证企业节点不会泄露企业隐私数据。本研究构建了农产品区块链多监管差分隐私共享架构,提出零知识证明身份验证算法,实现隐私数据对具有特定特征的监管部门的共享,降低了传统监管部门的压力。设计隐私数据分层规范,以基于密文策略的属性加密方案技术实现企业隐私数据差异化共享,降低了隐私数据泄露风险。在此基础上设计农产品区块链多监管差分隐私共享系统,并应用在某企业番茄供应链进行测试,测试结果表明,与现有监管模型相比,监管节点查询企业隐私数据时间缩短7.1%,企业节点查询隐私数据时间缩短23.9%。结果说明,本研究提出的方法能够在保证隐私安全的前提下提高监管效率。

边缘计算中基于区块链的轻量级密文访问控制方案

密文策略属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing,BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.

联盟链下的高效车联网数据安全共享研究

[目的/意义]旨在解决现有的车联网数据共享方案中计算开销大、共享效率低、安全性不足等问题。[方法/过程]设计了一个车联网高效数据安全共享方案,采用基于线性秘密共享(LSSS)的密文策略属性加密(CP-ABE)算法和基于联盟区块链群组技术,实现了车联网高效数据共享,减少数据冗余,并通过共识机制的优化,进一步提高时间效率,同时确保车辆实体的数据安全性和隐私性。[结果/结论]该方案能够适应车联网快速移动、动态变化的复杂特性,可实现灵活访问控制和高自由度的数据共享,满足车联网场景需求。

智慧城市下基于属性加密的隐私数据保护

智慧城市中涉及的数据涵盖了人们的个人信息、位置数据、交通数据等敏感信息。为了满足智慧城市中的数据共享和隐私保护需求,结合属性基可追踪加密技术,为智慧城市的隐私数据保护提供一种新的解决方案并详细介绍了方案的构成。根据属性来细粒度地控制不同用户对数据的访问权限,有效提高隐私数据的安全性。

基于SM9的密钥策略属性基加密及快速解密

属性基加密是一种通过指定访问策略实现数据共享的公钥加密技术,分为密钥策略属性基加密和密文策略属性基加密两种.在属性基加密中,数据拥有者通过指定一个访问策略(属性集合)对数据进行加密,被授权的接收者使用与属性集合(访问策略)相关联的解密密钥访问数据.与传统"一对一"的数据共享模式相比,属性基加密是一种更为精细的数据共享机制,可以提供"一对多"的数据共享模式,适用于区块链、云计算等信息系统中的多用户数据安全共享应用.SM9标识加密是我国设计的标识密码算法,用于保障数据的机密性,于2021年成为国际标准.但是,SM9标识加密仅提供"一对一"的数据共享模式.本文在SM9标识加密的基础上,结合经典密钥策略属性基加密的构造思路,构造了一种基于SM9的密钥策略属性基加密方案.所提方案中的密钥/密文结构与SM9标识加密算法中的密钥/密文结构相似,可与现有使用SM9的信息系统有效融合.在此基础上,提出基于SM9的密钥策略属性基加密快速解密方法.新方法具有以下特点:(1)通过增加密钥长度,将解密时使用的双线性运算数量由原来的2|I|个降低至2个,其中|I|表示解密时使用的线性秘密生成矩阵中的行数;(2)使用聚合技术,将密文中的群元素个数由原来的(2+|S|)个降低至3个,其中S表示加密时使用的属性集合;(3)新方法具有动态自适应性,用户可以根据实际需求在密钥长度和解密时间之间进行个性化权衡.这些特性使得所提新方法更适用于计算、带宽和存储资源受限的轻量级设备.最后,性能分析表明,该方案在实际应用中是可行的.

基于区块链的多授权密文策略属性基等值测试加密方案

针对云环境下密文策略属性基加密方案中存在的密文检索分类困难与依赖可信第三方等问题,本文提出了一种基于区块链的多授权密文策略属性基等值测试加密方案.利用基于属性的等值测试技术,实现了支持属性级灵活授权的云端数据检索和分类机制,降低了数据用户对重复数据解密的计算开销.结合多授权属性基加密机制和区块链技术,实现了去中心化用户密钥生成.采用多属性授权机构联合分发密钥,有效抵抗用户和属性授权机构的合谋攻击.引入区块链和智能合约技术,消除了现有密文策略属性基密文等值测试方案中等值测试、数据存储与外包解密操作对可信云服务器的依赖.利用外包服务器执行部分解密计算,降低了用户本地的计算开销.将原始数据哈希和验证参数上传至区块链,保障外包服务器解密结果正确性和云端数据完整性.在随机预言模型下,基于判定性qparallel Bilinear Diffie-Hellman Exponent困难问题证明了本文方案在选择密文攻击下的单向性.与同类方案相比较,本文方案支持更多的安全属性,并具有较低的计算开销.

基于区块链的软件定义物联网访问控制模型研究

软件定义物联网通过应用软件定义网络技术,实现了网络平面与控制平面的有效分离,从而显著提升了物联网服务的灵活性与可管理性。然而,其开放性也带来了更多的安全挑战。因此,提出将区块链技术集成到软件定义物联网架构中,利用区块链的去中心化和不可篡改的核心特性来加强网络控制与数据访问的安全性。另外,还通过智能合约来自动执行安全策略,采用基于密文策略的属性加密方案保证数据在传输和存储过程中的安全。

基于联合物联网平台的多域访问权限构建

为解决访问控制问题,提出一种基于属性访问控制逻辑的新解决方案,利用分布式多权威-密文策略-基于属性的加密算法,丰富其固有特性,包括对抗串通攻击、属性吊销和用户隐私保护。由此产生的协议能够同时满足以下要求:对等身份验证、通信对等体之间的数据保密性、基于加密算法的高级访问控制机制、用户隐私、采用有限生命周期属性、属性吊销以及抗击串通攻击。

集群式农产品供应链区块链密文策略可验多部门监管方案

集群式农产品供应链区块链上的数据逐渐采用加密存储模式,给跨企业、跨生产环节的监管带来挑战。为了适应集群式环境下的监管、减小监管带来的隐私泄露风险,该研究基于CP-ABE提出了集群式农产品供应链区块链密文策略可验多部门监管方案。明确划分监管部门的监管权限,根据链上数据的监管策略,企业用户基于CP-ABE加密数据,在保证数据隐私的同时实现数据对相关监管者的公开;设计基于CP-ABE的密文访问树验证方案,结合智能合约与监管策略,在数据上链前验证CP-ABE的访问树,以确保数据对指定监管者的公开。基于Hyperledger Fabric构建了测试原型系统,测试结果表明,监管策略中监管者数量每增加10个,系统上链时间延长约500 ms,吞吐量约为438事务数/s(transactions/s);安全性分析表明,系统具有较高的安全性。该方案实现了区块链密文条件下多部门的细粒度监管,减小了发生在监管端的隐私泄露风险,能够应对集群式农产品供应链区块链加密存储带来的监管挑战。

支持撤销属性的CP-ABE密钥更新方法

在现有云存储的密文策略属性基加密方案(CP-ABE)中,大多只考虑用户的计算开销,而忽略了属性授权中心在更新密钥的时候所消耗的大量计算资源。针对该问题提出了一种基于CP-ABE的支持细粒度属性撤销的密钥更新方法。首先属性授权中心创建用户撤销列表以及属性密钥撤销列表;然后利用区块链公开、安全、可验证等相关特性来存储撤销列表等数据;最后系统根据这些数据在用户请求密文时更新其属性密钥,即将密钥频繁变更转为按需单次变更,从而减少属性授权中心在一定时间段内大量的计算。同时,通过引入可验证外包的方法确保用户解密的正确性以及低廉的开销。理论分析验证了方案的安全性以及密文加解密的高效性,并通过仿真实验与其他方案比较验证了方案在单次系统属性撤销方面也具备着高效的性能。

基于区块链的云上数据访问控制模型研究

区块链和基于密文策略的属性加密(Ciphertext Policy Attribute Based Encryption,CP-ABE)相结合的方案已经被广泛应用于云上共享数据的访问控制,但是这些方案中数据用户的隐私保护问题并未得到妥善解决。一些研究引入分布式多属性授权中心的基于属性的签名方案(Distributed Multi-Authority Attribute Based Signature,DMA-ABS)来保护数据用户的隐私,但当数据用户多次访问数据时需要进行重复的权限验证,这会带来多余的时间消耗问题。并且,在数据用户的属性和访问控制策略保持相对稳定的情况下,数据用户无限制地重复访问共享数据,会导致系统过载,影响正常的请求处理。这可能会引起云端数据的泄露,给云端数据的安全带来隐患。为了解决这些问题,文中提出了一个基于区块链的云上个人隐私数据访问控制方案。该方案首先将智能合约和多属性授权中心的CP-ABE方案结合,实现了云上个人隐私数据的细粒度访问控制,并引入DMA-ABS方案完成了对数据用户的匿名性身份验证,保护了数据用户的身份隐私;其次,基于比特币UTXO(Unspent Transaction Output)机制,设计了一种数字令牌token,实现了一次授权、多次访问的功能,即缩短了访问时间,又限制了访问次数;最后,在Hyperledger Fabric上进一步实现了访问控制流程,并与现有方案进行了访问时间开销的比较。实验结果表明,所提方案能够有效降低访问时间开销,提高访问效率。

云环境中基于联盟链的多中心数据共享系统

云存储数据共享服务面临着用户数据泄露和篡改的安全威胁,属性加密算法适用于云环境中的数据共享。然而,传统的属性加密方案依赖可信第三方,属性服务器存在被恶意攻击的风险。针对这一问题,设计了一种基于联盟区块链和密文策略属性加密的数据共享系统。该系统采用具有多中心的属性授权机构提供稳定的属性私钥生成服务,结合混合加密技术实现原始数据和密钥的分区管理;同时利用联盟区块链能在不完全可信的环境中管理数据的特点,实现隐私数据密钥上链和属性授权溯源,对用户数据的安全和隐私提供有效保护。对系统的安全分析和实验评估表明,该系统能有效抵抗共谋攻击,实现用户数据访问的细粒度控制。

云雾环境下可追责可撤销的属性基加密方案研究

随着物联网设备产生的数据激增,一种称为雾计算的新范式已经发展起来,其可以在边缘处理和分析数据。云计算和雾计算一起被用于巨大的存储和处理资源。而现有的CP-ABE方案不太适合云雾物联网环境,因为不能同时提供以下功能:抗密钥托管、属性撤销、恶意用户追责和复杂操作的外包。因此,本文提出了一种云雾环境下可追责可撤销的数据安全共享方案,该方案支持密钥抗托管、属性撤销和恶意用户追责功能。通过将复杂的加解密、属性撤销和恶意用户追责的任务外包给第三方,为物联网设备留下恒定且少量的计算量。同时,所提方案只更新那些与撤销属性相关联的关键组件和密文,实现多层次撤销,提高其撤销效率。该方案与现有的CP-ABE方案不同,用户持有一个恒定大小的密钥,该密钥在整个过程中保持不变。该方案性能分析表明,所提方案是安全高效的,适用于资源受限的物联网设备。

基于格上密文策略属性基加密的联盟链数据共享方案

数据共享过程中存在数据泄漏、信任危机等问题,且量子计算机的出现对传统加密算法带来了较大威胁。为此,提出一种基于格上密文策略属性基加密(CP-ABE)的联盟链数据共享方案。利用联盟链的准入机制以及允许存在可信第三方的特性解决在分布式网络中数据共享双方相互不信任的问题。引入基于环上容错学习的CP-ABE技术来抵御量子攻击,同时改进访问树的生成方式,将属性分为高敏感、低敏感两类,实现对数据的分级加密以保证数据的安全性。基于演化博弈论构建数据共享模型,对共享双方在联盟链数据共享体系中的选择策略进行求解和分析,并探究不同参数对演化结果的影响。实验结果表明,当属性数量呈指数级增长时,该方案的启动算法、加密算法以及解密算法的效率比基于合数阶双线群的CP-ABE方案分别提高81.6%、43.8%和56.0%,每增加一个背书节点能够使系统在执行增加用户与查询用户函数时效率分别提高36.8%与6.4%。此外,对演化模型进行模拟,结果表明,当数据固有收益、损失概率与损失收益的乘积都提高时,参与联盟链带来的收益提高,用户更倾向于参与联盟链。

基于时间因子的可撤销可追踪属性基加密方案

现有的属性基加密方案访问策略中较少涉及时间因子,用户为自己的数据设置访问策略时,无法对访问数据的用户拥有属性的时间进行限定,针对恶意泄露密钥的用户进行追踪并撤销也是属性基加密中的挑战性问题,现有的可撤销方案存在计算量太大、效率过低等缺陷。针对这些问题,提出一种基于时间因子的可撤销可追踪属性基加密方案,在用户密钥中分别标记用户获取属性的时间,访问策略中对用户获取属性最早/最迟时间进行限定,解密时对用户属性时间进行验证,丰富了系统的访问策略并实现了方案的后向安全,通过时间验证服务器对用户解密阶段进行管理,用户属性撤销时仅需要更新用户时间标记因子,用户撤销时仅需要删除时间因子,实现方案高效撤销和前向安全。最后,在DBDH假设下,所提方案是IND-CPA安全的。性能分析和实验结果表明,所提方案有较丰富的功能和较高的性能。