云计算环境下基于属性的撤销方案

针对云环境下密文策略属性基加密共享数据的访问权限撤销问题,提出了基于属性的撤销方案。方案中可信第三方从带有全局标识的用户属性集中查找满足密文访问结构的属性集,为该交集中的每个属性生成带有相同全局标识的密钥组件,通过组合密钥组件生成用户私钥。当发生撤销时,更新撤销用户属性的密钥组件并分发给拥有该属性的其他用户,同时生成对应的重加密密钥来对密文重加密。安全性分析和实验表明,本方案是选择明文攻击安全的,能有效实现属性的即时撤销,解决多授权结构密钥分发的同步问题。采用hash函数可使密文长度达到常数级,进一步减少资源开销,满足实际云环境中属性安全撤销的应用需求。     

一种支持属性撤销的外包属性加密方案

针对传统基于密文策略的属性加密方案在密钥生成、密文解密和属性撤销阶段计算开销大的问题,提出一种具有属性撤销功能的外包属性加密方案。在加密过程中使用线性秘密共享机制作为访问结构,将密钥生成和密文解密的部分计算外包,通过为每个用户的私钥设置版本号实现用户属性的撤销,同时证明方案在可重复的选择密文攻击下是安全的。实验结果表明,该方案的计算开销较低,并且能较好地实现密文策略的属性撤销功能。     

基于代理的即时属性撤销KP-ABE方案

属性撤销是属性基加密方案在实际应用中亟须解决的问题,已有支持间接撤销模式的可撤销属性基加密方案存在撤销延时或需要更新密钥及密文等问题。为此,提出一种间接模式下基于代理的支持属性即时撤销的密钥策略属性基加密方案,该方案不需要用户更新密钥及重加密密文,通过在解密过程中引入代理实现撤销管理,减轻了授权机构的工作量,其要求代理为半可信,不支持为撤销用户提供访问权限及解密密文。分析结果表明,该方案支持细粒度访问控制策略,并且可以实现系统属性的撤销、用户的撤销及用户的部分属性撤销。     

可撤销属性加密的区块链数据访问控制方法

针对区块链数据共享中存在的粗粒度访问控制问题,提出一种基于属性撤销密文策略属性基加密的区块链数据访问控制方法。在现有方案基础上进行改造,引入预解密过程,结合属性撤销列表实现属性实时撤销;基于非对称群下的DBDH困难问题假设进行安全性证明;基于超级账本Fabric进行系统设计,结合星际文件系统采用链上链下存储方式解决区块链容量不足和系统效率问题。实验结果表明,所提方案撤销属性时无需更新密钥密文重复上链,仅需要6次Pairing操作进行预解密和解密,且在大规模属性集下,预解密时间和解密时间平均保持在百毫秒左右的常量级上,实现区块链数据高效、细粒度的访问控制。     

支持撤销属性的CP-ABE密钥更新方法

在现有云存储的密文策略属性加密方案（CP-ABE）中,大多只考虑用户的计算开销,而忽略了属性授权中心在更新密钥的时候所消耗的大量计算资源。针对该问题提出了一种基于CP-ABE的支持细粒度属性撤销的密钥更新方法。首先属性授权中心创建用户撤销列表以及属性密钥撤销列表,然后利用区块链公开、安全、可验证等相关特性来存储撤销列表等数据。最后系统根据这些数据在用户请求密文时更新其属性密钥,即将密钥频繁变更转为按需单次变更从而减少属性授权中心在一定时间段内大量的计算。同时,通过引入可验证外包的方法确保用户解密的正确性以及低廉的开销。理论分析验证了方案的安全性以及密文加解密的高效性,并通过仿真实验与其他方案比较验证了方案在单次系统属性撤销方面也具备着高效的性能。     

一种支持属性撤销的密文策略属性基加密方案

针对传统属性基加密方案中单授权中心计算开销大以及安全性较差等问题,通过引入多个授权中心以及安全两方计算协议等技术,提出一种支持细粒度属性级撤销和用户级撤销的密文策略属性基加密方案。引入多个属性授权中心以颁发并更新属性版本秘钥,同时秘钥生成中心与云存储服务器之间进行安全两方计算等操作,生成并更新用户密钥,从而进行细粒度属性级撤销。在云存储服务器中,对用户列表中的用户唯一秘值及唯一身份值进行操作以实现用户级撤销,同时通过多个授权中心抵抗合谋攻击,并将部分计算工作外包给云端。分析结果表明,与基于AND、访问树和LSSS策略的方案相比,该方案有效增强了系统的安全功能,同时显著降低了系统的计算复杂度。     

外包环境下格上可撤销的属性基加密方案

属性基加密机制的"一对多"分发特点使其在外包环境中得到了广泛的应用,然而用户的属性经常会发生动态的变化。因此,针对数据外包环境下属性基加密体制中属性撤销的问题,结合Yan等人提出的属性基加密方案,提出一种外包环境下格上可撤销的密文策略属性基加密方案。方案利用格上LWE问题构建加解密算法,可抵抗量子攻击。采用树形表示单调的访问结构,实现灵活的细粒度访问策略。另外,借助数据外包管理服务器,进行属性密钥的更新和密文的更新,实现属性的即时撤销。方案被证明满足选择属性及选择明文攻击下安全。通过对比分析表明,方案在性能方面有显著的提升,且支持属性即时撤销,更加符合外包环境中用户动态变化需求,如社交网络平台等。     

可外包解密和成员撤销的身份基加密方案

针对可撤销成员的身份基加密（RIBE）方案中密钥更新效率较低,且解密的工作量较大,难以应用于轻量级设备的问题,提出了一个可外包解密和成员撤销的身份基加密方案（RIBE-OD）。首先,生成一个完全二叉树,为这棵树的每个节点指定一个一次多项式。然后,将基于指数逆模式构造的身份基加密（IBE）方案和完全子树方法相结合,利用该一次多项式计算所有用户的私钥和未撤销用户的更新密钥,撤销用户因不能获得与之匹配的更新密钥而失去解密能力。其次,利用外包解密技术修改密钥生成算法,增加密文转换算法,从而将大部分解密运算量安全外包给云服务器,轻量级设备仅需少量运算即可解密密文。最后,基于判定双线性Diffie-Hellman逆转（DBDHI）假设,证明了所提方案的安全性。与BGK方案相比,该方案的密钥更新效率提高了85.7%,轻量级设备的解密过程减少到一个椭圆曲线指数运算,非常适合于轻量级设备解密密文。     

基于区块链和密文属性加密的访问控制方案

随着数字社会的到来,使得数据成为了重要的生产要素,为了充分释放数据要素价值,作为数据安全共享的访问控制技术是实现数据安全应用与治理的关键。因此,围绕分布式架构下密文及密钥的安全性问题提出了一种基于区块链的密文访问控制方案。该方案利用密文生成算法与验证合约实现外包密文存储的真实性与完整性验证;设计了基于安全多方计算的属性密码,实现了用户私钥的链下安全多方计算并确保了私钥的唯一性,极大缓解了单属性权威的计算压力,可有效保护用户属性隐私、避免单点故障;定义了格式化的事务数据结构,实现了访问控制的全过程追责。通过安全性分析、性能分析和实验仿真分析表明,该方案在安全性和性能上均满足通用区块链的需求,为数据开放共享提供了一种通用的区块链访问控制方案。     

高效可撤销的身份基在线离线加密方案

身份基加密（IBE）需要提供一种有效的成员撤销机制，然而，现有可撤销成员的IBE方案存在密钥更新和加密运算量过大的问题，可能使执行该操作的设备成为系统的瓶颈。将完全子树方法和在线离线技术相结合，通过修改指数逆类型IBE的密钥生成和加密算法，提出了一种高效可撤销的身份基在线离线加密方案。方案利用完全子树方法生成更新钥，使得撤销用户无法获得更新钥，进而失去解密能力；利用在线离线技术，将大部分加密运算在离线阶段进行预处理，使得在线阶段仅执行少量简单计算即可生成密文。与相关知名方案相比，该方案不仅提高密钥生成中心的密钥更新的效率，而且极大减少了轻量级设备的在线加密工作量，适合于轻量级设备保护用户隐私信息。     

一种基于策略控制的可撤销属性基代理加密方案

在分析现有一些可撤销属性基加密方案的基础上,提出了一种基于策略控制的可撤销属性基代理加密方案,该方案的仲裁者通过两个策略控制表(属性撤销表和属性代理表)灵活控制属性撤销和解密权利代理.通过查看属性撤销表,仲裁者拒绝对已撤销属性的用户进行解密操作,达到属性即时撤销的目的;当被代理者将解密权利代理出去时,将发送代理转换密钥给仲裁者,仲裁者利用属性代理表判定被代理用户是否具有密钥代理的权利,以达到属性灵活代理的目的.方案采用了线性秘密分享矩阵构造访问策略,以支持灵活的访问控制结构,同时利用了密钥分割技术为用户分发密钥.最后证明了方案的正确性和安全性.     

隐藏访问策略的可追踪属性基加密方案

属性基加密作为一种一对多的加密机制,能够为云存储提供良好的安全性和细粒度访问控制。但在密文策略属性基加密中,一个解密私钥可能会对应多个用户,用户可能会非法共享其私钥以获取不当利益;另外,访问策略通常包含敏感信息,这对隐私性要求较高的场合造成了重大挑战。针对上述问题,提出一个隐藏访问策略的可追踪密文策略属性基加密方案。该方案基于合数阶双线性群进行构造,通过将用户的身份信息嵌入到该用户的私钥中实现可追踪性,将访问策略中的特定敏感属性值隐藏在密文中实现策略隐藏,利用解密测试技术提高解密效率,给出了在标准模型下方案是完全安全和可追踪的证明。对比分析表明,该方案在解密运算方面有所优化,从而降低了解密运算开销,提高了效率。     

高效撤销的密文策略属性基加密方案

摘要：作为新型的密码学原语,属性基加密方案通过一系列属性来定义一个用户,并且实现了细粒度访问控制。然而,复杂、耗时的撤销操作成为限制属性基加密方案应用的瓶颈问题。为了解决属性基加密方案中的撤销问题,本文提出一种高效属性撤销的密文策略属性基加密方案。该方案通过固定长度的撤销列表记录撤销用户,撤销过程不必更新系统密钥及相关用户的密钥,大大降低了撤销所引起的计算开销。     

区块链上基于云辅助的属性基可搜索加密方案

可搜索加密技术在不解密的情况下搜索加密数据.针对现有的可搜索加密技术没有考虑数据用户细粒度搜索权限的问题,以及现有的可搜索加密方案中因云存储的集中化对数据安全和隐私保护带来的问题,提出了区块链上基于云辅助的属性基可搜索加密方案.该方案利用可搜索加密技术实现加密数据在区块链上的安全搜索,利用基于属性的加密技术实现数据的细粒度访问控制,利用区块链不可篡改的特性确保关键字密文的安全.在该方案中属性基加密技术用来加密关键字,区块链上存储关键字密文,云服务器上存储关键字密文和数据密文.基于困难问题假设,证明该方案能够保证关键字密文和陷门的安全性.数值实验结果表明:该方案在密钥生成阶段、陷门生成阶段、关键字搜索阶段具有较高的效率.     

基于属性基加密的区块链数据共享模型

为确保当前区块链数据共享机制中的隐私保护及数据安全,受属性基加密技术能够有效实现云上数据安全共享与访问控制的启发,提出了基于属性基加密的区块链数据共享模型.该模型基于Waters所提出的密文策略属性基加密(CP-ABE)方案,首先,在私钥生成阶段,数据使用方委托多个节点参与联合计算并存储部分私钥,其他数据使用者则不可获取完整密钥,从而提升了私钥的生成效率;其次,为防止密钥滥用及算法中参数的管理,定义了一种密钥传递事务数据结构,实现了CP-ABE算法的可追责性;最后,通过构建具有链上链下协同计算与存储功能的共享链,实现了属性基加密与区块链系统的有效融合.安全性分析和实验仿真结果表明,所提模型在密钥生成计算效率和实际业务场景方面有一定的优化,满足工程应用的需要.     

隐藏访问结构的密文策略的属性基加密方案

在密文策略的属性基加密方案中,用户的私钥与属性集合关联,密文与访问策略关联,当且仅当用户私钥中所包含的属性满足嵌入在密文中的访问策略时,用户方能成功解密该密文。在现有方案的解密过程中,访问策略连同密文被发送给解密者,这意味着加密者的隐私被泄露。为解决该问题,提出了具有隐藏访问策略的密文策略属性基加密方案,以保护加密者的隐私;并基于DBDH假设,证明了该方案在标准模型中是选择明文安全的。     

改进的属性撤销权重属性基加密方案

在PHR（Personal Health Records,个人健康记录）系统中,用户会动态地加入或离开,及时撤销细粒度的属性更加适用于实际应用系统。为此,提出一种改进的基于仲裁者的密文策略的属性基加密方案,使其能够在具有外包解密的同时可以实现细粒度属性及时撤销。该方案通过构造KEK树及时更新密钥和密文以此来及时撤销细粒度属性。此外,针对现有的密文策略属性基加密方案较少考虑到属性重要性,将属性权重的概念引入该方案中,使其更加适合PHR系统。安全性分析和仿真实验表明,与已有方案相比,所提方案可以抵抗合谋攻击,保证数据机密性以及前向安全和后向安全。此外,该方案具有更低的计算复杂度。     

可公开定责的密文策略属性基加密方案

属性基加密利用属性集和访问结构之间的匹配关系实现用户解密权限的控制,从功能上高效灵活地解决了“一对多”的密数据共享问题,在云计算、物联网、大数据等细粒度访问控制和隐私保护领域有光明的应用前景。然而,在属性基加密系统中(以密文策略属性基加密为例),一个属性集合会同时被多个用户拥有,即一个解密私钥会对应多个用户,因此用户敢于共享其解密私钥以非法获利。此外,半可信的中心存在为未授权用户非法颁发私钥的可能。针对属性基加密系统中存在的两类私钥滥用问题,通过用户和中心分别对私钥进行签名的方式,提出一个密文策略属性基加密方案。该方案支持追踪性和公开定责性,任何第三方可以对泄露私钥的原始持有者的身份进行追踪,审计中心可以利用公开参数验证私钥是用户泄露的还是半可信中心非法颁发的。最后,可以证明方案的安全性基于其依赖的加密方案、签名方案。     

多属性授权机构下属性可撤销的CP-ABE方案

属性基加密（ABE）不仅可以保障数据的安全性,而且能实现数据细粒度的访问控制。现实中,由于用户属性可能被频繁更改,在ABE方案中实现属性撤销是至关重要的。针对现有的方案就如何在计算效率资源受限的设备中实现用户有效的解密以及密钥托管问题,本文提出一个在云环境中多属性授权机构下的可撤销的ABE方案。在本文方案中,用户端使用外包解密技术来减少本地的计算负荷,将组合密钥和密文的更新委托云服务器,实现属性的撤销功能。安全性分析表明,本文方案在选择明文攻击下具有不可区分安全性,性能分析结果表明,本文方案更高效。     

密文策略的属性基并行密钥隔离加密

对于公钥密码体制来说,私钥泄漏是一种十分严重的威胁.传统密码系统可以通过撤销公钥来应对私钥泄漏,但在属性基密码系统里,公钥由属性集合表示,对这些属性集合的撤销不太可行.目前,密钥隔离机制是减轻密钥泄漏所带来危害的一种有效方法.为了处理属性基密码系统中的密钥泄露问题,将并行密钥隔离机制引入到密文策略的属性基加密中,提出了密文策略的属性基并行密钥隔离加密(ciphertext policy attribute-based parallel keyinsulated encryption,简称CPABPKIE)的概念.在给出CPABPKIE的形式化定义和安全模型的基础上,构建了一个不需要随机预言机模型的选择ID安全的CPABPKIE方案.所提方案允许较频繁的临时私钥更新,同时可以使协助器密钥泄漏的几率保持较低,因此增强了系统防御密钥泄漏的能力.