密文策略属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算...密文策略属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing,BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.展开更多
针对大数据应用中用户共享数据的访问控制由半可信云服务商实施所带来的隐私泄露、策略和访问日志易被篡改等问题,提出一种基于区块链的策略隐藏大数据访问控制方法(A policy-hidden big data access control method based on blockchai...针对大数据应用中用户共享数据的访问控制由半可信云服务商实施所带来的隐私泄露、策略和访问日志易被篡改等问题,提出一种基于区块链的策略隐藏大数据访问控制方法(A policy-hidden big data access control method based on blockchain,PHAC).该方法采用区块链技术实施访问控制以减少对服务商的信任依赖,引入属性基加密(Attribute-based encryption,ABE)以及双线性映射技术,实现在不泄露访问控制策略的前提下,通过智能合约正确执行访问控制策略.同时,解耦访问控制策略,简化用户策略的发布、更新和执行.并应用链上和链下存储相结合方式,解决智能合约和访问控制策略占用区块链节点资源不断增大的问题.最后,对该方法进行了理论分析和HyperLedger Fabric环境下的实验评估,结果表明该方法能在策略隐藏情况下有效实现访问控制,但不会给数据拥有者、区块链节点增加过多额外计算和存储开销.展开更多
针对访问控制策略评估效率问题,提出基于有限状态自动机(finite state automaton,FSA)和重排序的访问控制策略评估方案。以四元组的形式表示策略,构建FSA策略模型检测策略异常,消除策略中的冲突规则以及冗余规则,实现策略评估的前期优化...针对访问控制策略评估效率问题,提出基于有限状态自动机(finite state automaton,FSA)和重排序的访问控制策略评估方案。以四元组的形式表示策略,构建FSA策略模型检测策略异常,消除策略中的冲突规则以及冗余规则,实现策略评估的前期优化;提出基于重排序的策略评估算法,重排序策略中的规则以及每个规则中的属性-值对(attribute-value pairs,AVP),减少评估访问请求过程中遍历的规则数和属性比较次数。实验结果表明,与传统策略评估引擎相比,该方案检测策略异常效率以及评估效率均有很大提升。展开更多
数据的机密性是云存储环境下的难点问题,基于密文的访问控制技术是解决该问题的重要思路,在目前的基于密文的访问控制技术中,数据的高安全需求和频繁的策略更新使得数据拥有者(data owner,DO)端的权限更新代价过高,进而严重制约了系统...数据的机密性是云存储环境下的难点问题,基于密文的访问控制技术是解决该问题的重要思路,在目前的基于密文的访问控制技术中,数据的高安全需求和频繁的策略更新使得数据拥有者(data owner,DO)端的权限更新代价过高,进而严重制约了系统的整体效率.针对此问题,提出一种适用于云存储动态策略的密文访问控制方法(cryptographic access control strategy for dynamic policy,CACDP),该方法提出了一种基于二叉Trie树的密钥管理机制,在此基础之上利用基于ELGamal的代理重加密机制和双层加密策略,将密钥和数据更新的部分开销转移到云端以减少DO权限管理负担,提高DO的处理效率.最后通过实验验证了该方案有效降低了策略更新为DO带来的性能开销.展开更多
云存储平台是多租户共享环境,能否实现其中不同租户数据之间的有效安全隔离成为了用户最为关心的问题.以RBAC(Role Based Access Control)策略为基础,结合组织标签和多种安全属性的逻辑组合,提出一种灵活的访问控制策略,它一方面保证云...云存储平台是多租户共享环境,能否实现其中不同租户数据之间的有效安全隔离成为了用户最为关心的问题.以RBAC(Role Based Access Control)策略为基础,结合组织标签和多种安全属性的逻辑组合,提出一种灵活的访问控制策略,它一方面保证云端不同企业之间数据的强隔离性,使某企业用户无法越权访问其他企业的用户数据;另一方面保证云存储企业内部数据的适度隔离,即可以根据公司自身的安全需求灵活定制企业内部策略.同时,引入虚拟组织的概念实现企业之间可能的数据共享;引入利益冲突的概念限制竞争企业之间的共享.给出了该策略在基于HDFS(Hadoop Distributed File System)的云存储架构中的原型实现.实验结果表明,该策略能够有效保障云存储平台多租户数据之间的恰当安全隔离.展开更多
文摘密文策略属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing,BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.
文摘针对大数据应用中用户共享数据的访问控制由半可信云服务商实施所带来的隐私泄露、策略和访问日志易被篡改等问题,提出一种基于区块链的策略隐藏大数据访问控制方法(A policy-hidden big data access control method based on blockchain,PHAC).该方法采用区块链技术实施访问控制以减少对服务商的信任依赖,引入属性基加密(Attribute-based encryption,ABE)以及双线性映射技术,实现在不泄露访问控制策略的前提下,通过智能合约正确执行访问控制策略.同时,解耦访问控制策略,简化用户策略的发布、更新和执行.并应用链上和链下存储相结合方式,解决智能合约和访问控制策略占用区块链节点资源不断增大的问题.最后,对该方法进行了理论分析和HyperLedger Fabric环境下的实验评估,结果表明该方法能在策略隐藏情况下有效实现访问控制,但不会给数据拥有者、区块链节点增加过多额外计算和存储开销.
文摘针对访问控制策略评估效率问题,提出基于有限状态自动机(finite state automaton,FSA)和重排序的访问控制策略评估方案。以四元组的形式表示策略,构建FSA策略模型检测策略异常,消除策略中的冲突规则以及冗余规则,实现策略评估的前期优化;提出基于重排序的策略评估算法,重排序策略中的规则以及每个规则中的属性-值对(attribute-value pairs,AVP),减少评估访问请求过程中遍历的规则数和属性比较次数。实验结果表明,与传统策略评估引擎相比,该方案检测策略异常效率以及评估效率均有很大提升。
文摘数据的机密性是云存储环境下的难点问题,基于密文的访问控制技术是解决该问题的重要思路,在目前的基于密文的访问控制技术中,数据的高安全需求和频繁的策略更新使得数据拥有者(data owner,DO)端的权限更新代价过高,进而严重制约了系统的整体效率.针对此问题,提出一种适用于云存储动态策略的密文访问控制方法(cryptographic access control strategy for dynamic policy,CACDP),该方法提出了一种基于二叉Trie树的密钥管理机制,在此基础之上利用基于ELGamal的代理重加密机制和双层加密策略,将密钥和数据更新的部分开销转移到云端以减少DO权限管理负担,提高DO的处理效率.最后通过实验验证了该方案有效降低了策略更新为DO带来的性能开销.