基于CP-ABE和XACML多权限安全云存储访问控制方案

为了保护云存储系统中用户数据的机密性和用户隐私,提出了一种基于属性加密结合XACML框架的多权限安全云存储访问控制方案。通过CP-ABE加密来保证用户数据的机密性,通过XACML框架实现基于属性细粒度访问控制。云存储系统中的用户数据通过对称加密机制进行加密,对称密钥采用CP-ABE加密。仿真实验表明,该方案是高效灵活并且安全的。安全性分析表明,该方案能够抵抗共谋攻击,具有数据机密性以及后向前向保密性。     

基于密文策略属性加密体制的匿名云存储隐私保护方案

针对云存储中数据机密性问题,为解决密钥泄漏与属性撤销问题,从数据的机密性存储以及访问的不可区分性两个方面设计了基于密文策略属性加密体制(CP_ABE)的匿名云存储隐私保护方案。提出了关于密钥泄漏的前向安全的不可逆密钥更新算法;在层次化用户组以及改进的Subset-Difference算法基础上,利用云端数据重加密算法实现属性的细粒度撤销;基于同态加密算法实现k匿名l多样性数据请求,隐藏用户潜在兴趣,并在数据应答中插入数据的二次加密,满足关于密钥泄漏的后向安全。在标准安全模型下,基于l阶双线性Diffie-Hellman(判定性l-BDHE)假设给出所提出方案的选择性安全证明,并分别从计算开销、密钥长度以及安全性等方面验证了方案的性能优势。     

基于属性群的云存储密文访问控制方案

提出一种基于属性群的云存储密文访问控制方案。采用对称加密算法加密大型数据文件,并用属性加密算法加密对称密钥,将重加密的任务转移到云服务提供商,从而降低数据拥有者的计算代价,且未向云服务提供商泄露额外信息。在属性和用户权限撤销时,以同一属性集下的不同用户为单位,数据拥有者不参与属性和用户权限的撤销,从而减轻数据拥有者的权限管理代价。分析结果表明,该方案在权限撤销时的效率优于已有的密文访问控制方案,支持细粒度的灵活访问控制策略,具有数据机密性、抗合谋攻击性、前向保密性和后向保密性。     

云存储中文件加密存储和删除方法研究

在云存储服务中,文件的安全存储和删除是用户最关心的问题之一,已成为云存储研究的重点.针对云存储系统中文件的管理方式和不能彻底删除,可能会导致文件泄露的问题,设计了基于策略的文件加密存储和安全删除机制.该机制引入了数据密钥和控制密钥,通过多级密钥管理有效抵御了共谋攻击.策略用于访问控制密钥,策略撤销时删除相应的控制密钥,从而实现文件的安全删除.理论分析和仿真实验表明,与原有方法相比,该机制增加了云存储环境下文件的安全性,且减小了空间和时间开销.     

高效的基于代理重加密的云存储访问控制方案

针对在不可信的云存储中,数据的机密性得不到保证的情况,提出一种基于身份的代理重加密(IBPRE)算法,并将其应用于云存储访问控制方案中,该方案将重加密密钥分成两部分,一部分用于重加密,一部分用于授权。证明了该访问控制方案在第三方的不可信任的开放环境下云存储中敏感数据的机密性。通过分析对比,发送方对密文的传递可控,在一对多的云存储访问控制方案中,授权者不需要对不同的受理者重新计算重加密密钥,密文长度不随着用户的增长而线性增长,显著降低了计算复杂度和通信中数据的交互量。该方案实现了云存储中敏感数据的安全高效共享。     

基于Bloom Filter的混合云存储安全去重方案

针对现有云存储系统中数据去重采用的收敛加密算法容易遭到暴力破解以及猜测攻击等不足,提出一种基于布隆过滤器的混合云存储安全去重方案BFHDedup,改进现有混合云存储系统模型,私有云部署密钥服务器Key Server支持布隆过滤器认证用户的权限身份,实现了用户的细粒度访问控制。同时使用双层加密机制,在传统收敛加密算法基础上增加额外的加密算法并且将文件级别去重和块级别去重相结合实现细粒度去重。此外,BFHDedup采用密钥加密链机制应对去重带来的密钥管理难题。安全性分析及仿真实验结果表明,该方案在可容忍的时间开销代价下实现了较高的数据机密性,有效抵抗暴力破解以及猜测攻击,提高了去重比率并且减少了存储空间。     

边缘计算中基于区块链的轻量级密文访问控制方案

密文策略属性基加密(ciphertext-policy attribute-based encryption, CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing, BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.     

基于组密钥服务器的加密文件系统的设计和实现

网络存储技术在方便数据共享的同时带来了新的安全隐患,加密文件系统通过密码学方法保证存储在不受用户直接控制的服务器上的文件数据的机密性和完整性.现有的针对共享加密文件系统的密钥管理方法不能同时满足安全性、灵活性和高效性的需求.该文提出了加密文件系统GKS-CFS.引入可信的组密钥服务器(GKS)集中管理文件加密密钥,GKS上可以实施灵活的访问控制策略.通过使用访问控制块和锁盒子,降低了对GKS的计算和存储需求,使之可以用硬件实现来增强安全性;通过文件数据的分块加密和密钥版本技术,降低了权限撤销的开销.作者在Lustre上实现了GKS-CFS的原型系统并进行了测试.测试结果表明,由于避免使用了公钥密码算法,和其他系统相比,GKS-CFS的普通文件操作中的密码学操作开销减少了一个数量级,顺序读写和随机文件操作的性能分别平均降低了42.0%和8.4%.     

云存储中基于代理重加密的CP-ABE访问控制方案

针对云存储中基于密文策略的属性加密（CP-ABE）访问控制方案存在用户解密开销较大的问题,提出了一种基于代理重加密的CP-ABE （CP-ABE-BPRE）方案,并对密钥的生成方法进行了改进。此方案包含五个组成部分,分别是可信任密钥授权、数据属主、云服务提供商、代理解密服务器和数据访问者,其中云服务器对数据进行重加密,代理解密服务器完成大部分的解密计算。方案能够有效地降低用户的解密开销,在保证数据细粒度访问控制的同时还支持用户属性的直接撤销,并解决了传统CP-ABE方案中因用户私钥被非法盗取带来的数据泄露问题。与其他CP-ABE方案比较,此方案对访问云数据的用户在解密性能方面具有较好的优势。     

一种属性可撤销的安全云存储模型

针对云存储服务中数据用户权限撤销粒度较粗及现有方案密钥分发计算量大等问题,基于双系统加密的思想,在合数阶双线性群上提出了一种新的细粒度权限撤销的安全云存储模型。数据拥有者同时也作为属性分发机构,保证了对自身数据的绝对控制,确保了在云服务商不可信情况下开放环境中的云端存储数据的安全。从模型架构和属性密钥分发两个方面对模型进行了研究,并用严格的数学方法证明了本方案是适应性安全的。云存储模型的数据访问策略根据实际需要可灵活设置,适用于云存储等开放式环境。     

云环境下基于属性策略隐藏的可搜索加密方案

基于属性的可搜索加密技术可以实现对数据的细粒度访问控制,但现有的可搜索加密方案,关键字的搜索、访问控制、文件加密基本上是分别执行的,导致攻击者可能跳过访问策略直接进行关键字索引匹配或文件解密;其次,现有方案中数据拥有者需将加密文件的密钥以安全通道传给用户,增加了数据拥有者的开销;此外,大多基于树型的访问控制策略是公开的...     

高效且可验证的多授权机构属性基加密方案

移动云计算对于移动应用程序来说是一种革命性的计算模式,其原理是把数据存储及计算能力从移动终端设备转移到资源丰富及计算能力强的云服务器.但是这种转移也引起了一些安全问题,例如,数据的安全存储、细粒度访问控制及用户的匿名性.虽然已有的多授权机构属性基加密云存储数据的访问控制方案,可以实现云存储数据的保密性及细粒度访问控制;但其在加密和解密阶段要花费很大的计算开销,不适合直接应用于电力资源有限的移动设备;另外,虽然可以通过外包解密的方式,减少解密计算的开销,但其通常是把解密外包给不完全可信的第三方,其并不能完全保证解密的正确性.针对以上挑战,本文提出了一种高效的可验证的多授权机构属性基加密方案,该方案不仅可以降低加密解密的计算开销,同时可以验证外包解密的正确性并且保护用户隐私.最后,安全分析和仿真实验表明了方案的安全性和高效性.     

Generic user revocation systems for attribute-based encryption in cloud storage

Cloud-based storage is a service model for businesses and individual users that involves paid or free storage resources. This service model enables on-demand storage capacity and management to users anywhere via the Internet. Because most cloud storage is provided by third-party service providers, the trust required for the cloud storage providers and the shared multi-tenant environment present special challenges for data protection and access control. Attribute-based encryption (ABE) not only protects data secrecy, but also has ciphertexts or decryption keys associated with fine-grained access policies that are automatically enforced during the decryption process. This enforcement puts data access under control at each data item level. However, ABE schemes have practical limitations on dynamic user revocation. In this paper, we propose two generic user revocation systems for ABE with user privacy protection, user revocation via ciphertext re-encryption (UR-CRE) and user revocation via cloud storage providers (UR-CSP), which work with any type of ABE scheme to dynamically revoke users.     

隐藏访问策略的可追踪属性基加密方案

属性基加密作为一种一对多的加密机制,能够为云存储提供良好的安全性和细粒度访问控制。但在密文策略属性基加密中,一个解密私钥可能会对应多个用户,用户可能会非法共享其私钥以获取不当利益;另外,访问策略通常包含敏感信息,这对隐私性要求较高的场合造成了重大挑战。针对上述问题,提出一个隐藏访问策略的可追踪密文策略属性基加密方案。该方案基于合数阶双线性群进行构造,通过将用户的身份信息嵌入到该用户的私钥中实现可追踪性,将访问策略中的特定敏感属性值隐藏在密文中实现策略隐藏,利用解密测试技术提高解密效率,给出了在标准模型下方案是完全安全和可追踪的证明。对比分析表明,该方案在解密运算方面有所优化,从而降低了解密运算开销,提高了效率。     

用户和属性授权机构可追责的在线/离线属性基加密方案

属性基加密作为一种一对多的加密机制,能够为云存储提供良好的安全性和细粒度访问控制。但在密文策略属性基加密中,一个解密私钥可能会对应多个用户,因此用户可能会非法共享其私钥以获取不当利益,半可信的属性授权机构亦可能会给非法用户颁发解密私钥。此外,加密消息所产生的指数运算随着访问策略复杂性的增加而增长,其产生的计算开销给通过移动设备进行加密的用户造成了重大挑战。对此,文中提出了一种支持大属性域的用户和属性授权机构可追责的在线/离线密文策略属性基加密方案。该方案是基于素数阶双线性群构造的,通过将用户的身份信息嵌入该用户的私钥中实现可追责性,利用在线/离线加密技术将大部分的加密开销转移至离线阶段。最后,给出了方案在标准模型下的选择性安全和可追责证明。分析表明,该方案的加密开销主要在离线阶段,用于追责的存储开销也极低,其适用于使用资源受限的移动设备进行加密的用户群体。     

云存储中支持属性撤销的多关键词可搜索加密方案

云存储的便捷性和管理高效性使得越来越多的用户选择将数据存放在云端。为支持用户对云端加密数据进行检索,提出云存储中基于属性加密支持属性撤销的多关键词搜索方案。采用线性秘密共享矩阵来表示访问控制结构,实现密文细粒度访问控制,在属性撤销过程中不需要更新密钥,应对用户属性变更的情况,在此基础上构造基于多项式方程的搜索算法支持多关键词搜索,从而提高搜索精度。理论分析和实验结果表明,该方案具有陷门不可伪造性和关键词隐私性,能够保证用户数据的隐私和安全,相比CP-ABE方案,具有较高的存储性能和计算效率,功能性更强。     

Flexible CP-ABE Based Access Control on Encrypted Data for Mobile Users in Hybrid Cloud System

In hybrid cloud computing, encrypted data access control can provide a fine-grained access method for organizations to enact policies closer to organizational policies. This paper presents an improved CP-ABE (ciphertext-policy attribute-based encryption) scheme to construct an encrypted data access control solution that is suitable for mobile users in hybrid cloud system. In our improvement, we split the original decryption keys into a control key, a secret key and a set of transformation keys. The private cloud managed by the organization administrator takes charge of updating the transformation keys using the control key. It helps to handle the situation of flexible access management and attribute alteration. Meanwhile, the mobile user’s single secret key remains unchanged as well as the ciphertext even if the data user’s attribute has been revoked. In addition, we modify the access control list through adding the attributes with corresponding control key and transformation keys so as to manage user privileges depending upon the system version. Finally, the analysis shows that our scheme is secure, flexible and efficient to be applied in mobile hybrid cloud computing.     

云环境下支持多授权机构的医疗数据安全共享方案

在当前的云环境下,医疗数据存储的研究中存在着隐私信息外泄,机构之间数据共享效率较低等问题。因此,针对云环境下电子医疗数据的安全共享需求,提出了一种支持多属性机构的基于属性的密文策略加密方案,实现了加密医疗数据的细粒度访问控制。通过在加密阶段引入离线计算和在解密阶段引入外包计算,所提方案显著降低了加解密延时,提高了医疗数据访问控制的效率。安全性分析和性能分析表明所提方案满足可重放适应性选择密文攻击安全性,且在性能上优于已有的方案,提高了云环境下医疗数据共享的安全性和效率。     

区块链上基于云辅助的属性基可搜索加密方案

可搜索加密技术在不解密的情况下搜索加密数据.针对现有的可搜索加密技术没有考虑数据用户细粒度搜索权限的问题,以及现有的可搜索加密方案中因云存储的集中化对数据安全和隐私保护带来的问题,提出了区块链上基于云辅助的属性基可搜索加密方案.该方案利用可搜索加密技术实现加密数据在区块链上的安全搜索,利用基于属性的加密技术实现数据的细粒度访问控制,利用区块链不可篡改的特性确保关键字密文的安全.在该方案中属性基加密技术用来加密关键字,区块链上存储关键字密文,云服务器上存储关键字密文和数据密文.基于困难问题假设,证明该方案能够保证关键字密文和陷门的安全性.数值实验结果表明:该方案在密钥生成阶段、陷门生成阶段、关键字搜索阶段具有较高的效率.