基于属性加密的多用户共享ORAM方案

不经意随机访问机（ORAM）是保护用户访问行为隐私安全的关键技术之一,但现有ORAM方案主要针对单用户访问需求,不支持多用户之间的数据共享。结合Ring ORAM方案和属性加密（ABE）技术,设计并实现了一种基于属性加密的多用户共享ORAM方案ABE-M-ORAM。该方案利用属性加密实现了细粒度的访问控制,既保护了用户访问行为的安全,又实现了用户之间便捷的数据共享。理论分析和仿真实验证明该方案具有较高的安全性、实用性以及较好的访问性能。     

基于二叉树存储的多用户ORAM方案

随着大数据及数据挖掘技术的发展,云计算环境中用户访问模式成为泄露用户隐私的一种途径.不经意随机存取技术(ORAM)是保护用户访问模式的一种有效途径.现有的ORAM方案中,大部分只支持单个用户,而唯一支持多用户的ORAM方案是基于分层ORAM方案设计的,但是其混淆过程的计算复杂度高.为了避免混淆过程,在基于二叉树ORAM方案的基础上,构造了一个多用户的ORAM方案.首先,改进了一个代理加密方案,然后在多个用户和服务器之间引入一个代理,利用改进的代理加密机制,将不同用户加密的数据,通过代理再次加密成相同密钥加密的数据存储到服务器.该方案的安全性基于伪随机函数的不可区分性,其最差情况下的计算复杂度和平均计算复杂度均为O(log2n),比现有的多用户ORAM方案的效率高.     

云存储中基于隐私保护的高效的微型加密方案

针对云存储环境中用户属性不确定性、访问结构公开性等导致密用户信息遭受泄露的问题,提出了云存储中基于隐私保护的高效的微型加密方案。完全隐藏访问结构,利用代理重加密技术引入属性撤销机制,同时提供一个长度与属性数量无关的解密密钥,设计了一种更加安全高效且适用范围广基于属性的加密方案。结果表明,该方案可以实现存储数据的灵活访问,增加了对于敏感信息的隐私保护,且适用于存储空间受限的微型设备上。     

不经意传输协议研究综述

在互联网快速发展、大数据的挖掘与应用已渗透到各行各业的今天, 如何安全且高效地共享、使用海量数据成为新的热点研究问题. 安全多方计算是解决该问题的关键技术之一, 它允许一组参与方在不泄露隐私输入的前提下进行交互, 共同计算一个函数并得到输出结果. 不经意传输协议, 也叫茫然传输协议, 是一种保护隐私的两方通信协议, 消息发送者持有两条待发送的消息, 接收者选择一条进行接收, 事后发送者对接收者获取哪一条消息毫不知情, 接收者对于未选择的消息也无法获取任何信息. 不经意传输协议是安全多方计算技术的关键模块之一, 其效率优化可有效推动安全多方计算技术的应用落地, 对于特殊的两方安全计算协议如隐私集合交集计算尤为重要. 总结了不经意传输协议的分类及几种常见的变体, 分别阐述了基于公钥密码的不经意传输协议的构造和研究进展, 以及不经意传输扩展协议的构造和研究进展, 由此引出不经意传输扩展协议的效率优化研究的重要性. 同时, 在半诚实敌手和恶意敌手这两种敌手模型下, 分别对不经意传输协议和不经意传输扩展协议的效率优化研究进展进行了全面梳理. 另一方面, 从应用角度对不经意传输协议和不经意传输扩展协议在工程实现中常用的优化技术进行了系统化分析. 最后, 总结了不经意传输协议和不经意传输扩展协议研究目前所面临的主要问题及未来发展趋势.     

Android用户隐私保护系统

随着移动互联网的快速发展,手机作为移动互联的重要终端其所受的安全威胁已不亚于传统PC。文章针对目前手机用户的隐私信息(如通讯信息、短信息、通话记录、相册、文件等)泄露这一用户最为关心的问题,在目前主流的手机操作系统Android OS下设计并实现一个用户隐私保护系统。其主要研究和解决Android系统下的恶意进程识别和隐私数据加密两个问题,通过设计黑白名单授权访问隐私数据和实时监控每个进程以及用AES、MD5等算法加密隐私数据,从而达到保护用户隐私的目的。     

XML数据模式下基于purpose的隐私访问控制策略研究与实现

提出构建基于purpose的对XML数据模式的隐私访问控制策略模型,解决由路径传递引起的查询隐私数据泄漏问题。基于purpose的隐私访问控制策略是一棵最小安全访问树模型。最小安全访问树是一组无冗余路径的以XPath{/,//,[]}片段表示的路径表达式,XPath{/,//,[]}是一组允许访问的隐私结点路径。实验表明最小安全树生成时间取决于隐私结点在一个XML文档中的标注时间和冗余路径的判别时间,而隐私结点的标注时间与隐私数据在XML文档中的分布位置有关。最小安全访问树模型能控制隐私数据的查询泄漏。     

基于双层加密和密钥共享的云数据去重方法

数据去重技术在云存储系统中的广泛应用,可以有效地节省网络通信带宽,提高云服务器的存储效率.随着信息安全问题的日益凸显,用户对于数据隐私的重视程度越来越高.为保护数据隐私,用户普遍将数据加密后上传至云服务器.相同的数据经过不同用户加密后得到不同的密文,使得云服务器难以进行数据重复性检测.如何在保护数据隐私的前提下,实现云存储中加密数据的去重,成为研究的热点问题.现有方案大多借助可信第三方实现云数据安全去重,但可信第三方在现实应用中极难部署,且易成为系统瓶颈.提出一种基于双层加密和密钥共享的云数据去重方案,无需可信第三方参与,实现云存储中加密数据的安全去重.通过划分数据流行度,对隐私程度较高的非流行数据采用双层加密机制进行保护.内层为收敛加密,外层为对称加密.借助门限秘密共享机制,将外层加密使用的加密密钥保存到多个密钥管理服务器,实现不同用户间的密钥共享.对隐私程度不高的流行数据,采用简单高效的收敛加密.安全性分析与性能对比体现本文的方案具有较高的安全性与执行效率.通过仿真实验,验证了方案的可行性和高效性.     

基于云服务器辅助的多方隐私交集计算协议

隐私集合交集(Private Set Intersection,PSI)技术允许私有集合数据持有方联合计算出集合交集而不泄露交集外的任何隐私信息.作为安全多方计算中的重要密码学工具,该技术已被广泛应用于人工智能和数据挖掘的安全领域.随着多源数据共享时代的到来,大多数PSI协议主要解决两方隐私集合交集问题,一般无法直接推广到多方隐私交集计算场景.文中设计了基于云服务器辅助的多方隐私交集计算协议,能将部分计算和通信外包给不可信云服务器而又不会泄露任何隐私数据,通过使用不经意伪随机函数、秘密共享和键值对打包方法使得协议更高效.通过模拟范例证明了协议在半诚实模型下能够安全地计算多方隐私集合交集,所有参与方和云服务器都无法窃取额外数据.与现有方案相比,所提协议受限制更少,适用范围更广.     

面向边缘计算环境的安全与隐私保护技术研究

边缘计算是一种新型的计算模式,旨在使数据处理尽可能靠近生成数据的设备,减少设备和服务器之间的响应延迟。通过身份认证、数据加密、安全监测、隐私保护协议等手段,可以维护边缘计算环境的安全性与隐私性。文章研究了边缘计算环境下的安全与隐私保护技术,分析了该环境中的挑战与风险,并提出一系列有效的技术和解决方案。     

用于云计算数据访问的多阶段身份认证

为有效解决云计算数据访问服务的隐私性和安全性问题,提出一种基于多阶段身份认证的云计算隐私保护数据访问算法.在注册阶段基于抑制方法将用户的个人信息存贮在云服务器中,在认证阶段采用口令、一次性令牌和条件属性来高效验证客户端的身份,在数据访问阶段使用数据加密/解密以便在云端实现更高的数据安全级别.将仿真结果与其它算法进行比较,验证了所提算法在隐私保护率、计算复杂度和身份认证精度方面均优于其它方法.     

Write-only oblivious RAM-based privacy-preserved access of outsourced data

Data outsourcing is plagued with several security and privacy concerns. Oblivious RAM (ORAM) can be used to address one of the many concerns, specifically to protect the privacy of data access pattern from outsourced cloud storage. This is achieved by simulating each original read or write operation with some read and write operations on both real and dummy data items. This paper proposes two single-server write-only ORAM schemes and one multi-server scheme, which simulate only the write operations and protect only the write pattern. The reduction in functionality however allows to build much simpler and efficient (in terms of communication/storage cost) ORAMs. Our schemes can achieve constant communication cost with acceptable storage usage. Write-only ORAM can be used in two situations: (i) only the write pattern is considered to contain sensitive information and needs protection. (ii) In outsourced data sharing, ORAM cannot be used to protect read pattern anyway due to access control issues, and Private Information Retrieval (PIR) has to be used instead. In this paper, we also study how to augment ORAM to support the use of PIR in the latter situation.     

云环境下支持多授权机构的医疗数据安全共享方案

在当前的云环境下,医疗数据存储的研究中存在着隐私信息外泄,机构之间数据共享效率较低等问题。因此,针对云环境下电子医疗数据的安全共享需求,提出了一种支持多属性机构的基于属性的密文策略加密方案,实现了加密医疗数据的细粒度访问控制。通过在加密阶段引入离线计算和在解密阶段引入外包计算,所提方案显著降低了加解密延时,提高了医疗数据访问控制的效率。安全性分析和性能分析表明所提方案满足可重放适应性选择密文攻击安全性,且在性能上优于已有的方案,提高了云环境下医疗数据共享的安全性和效率。     

云计算中基于属性的可搜索加密电子病历系统

电子病历是医学报告在云计算技术迅速发展下的一个重要产物,它的出现方便了医院和患者对病历的管理。然而, 患者的相关隐私数据存储在云上,就必然面临着隐私泄露、非法访问等隐患。为保护存储在云端的电子病历数据的私密性,提出了一个基于属性的可搜索加密方案,并给出了它在电子病历系统中的重要应用。与传统的可搜索加密方案相比,本方案降低了多用户环境下密钥管理的难度,且方案中的陷门可以在非安全信道上传输。此外,该方案可隐藏访问结构,具有细粒度访问控制,可根据数据拥有者的请求增加或撤销用户的访问权限。安全性分析表明,该方案保护了关键词的隐私性,可抵抗关键词猜测攻击,能有效防止隐私数据的泄露。关键词陷门匹配算法仅需一次双线性对运算,大大提高了搜索效率。     

基于CP-ABE和XACML多权限安全云存储访问控制方案

为了保护云存储系统中用户数据的机密性和用户隐私,提出了一种基于属性加密结合XACML框架的多权限安全云存储访问控制方案。通过CP-ABE加密来保证用户数据的机密性,通过XACML框架实现基于属性细粒度访问控制。云存储系统中的用户数据通过对称加密机制进行加密,对称密钥采用CP-ABE加密。仿真实验表明,该方案是高效灵活并且安全的。安全性分析表明,该方案能够抵抗共谋攻击,具有数据机密性以及后向前向保密性。     

Secure searching on cloud storage enhanced by homomorphic indexing

Enterprise cloud tenants would store their outsourced cloud data in encrypted form for data privacy and security. However, flexible data access functions such as data searching is usually sacrificed as a result. Thus, enterprise tenants demand secure data retrieval and computation solution from the cloud provider, which will allow them to utilize cloud services without the risks of leaking private data to outsiders and even service providers.In this paper, we propose an exclusive-or (XOR) homomorphism encryption scheme to support secure keyword searching on encrypted data for cloud storage. First, this scheme specifies a new data protection method by encrypting the keyword and randomizing it by performing XOR operation with a random bit-string for each session to protect access pattern leakage; Secondly, the homomorphic evaluation key enables the searching evaluation to be on-demand calculated, thus it removes the dependency of key storage on cloud and enhance protection against cloud’s violability; Thirdly, this scheme can effectively protect data-in-transit against passive attack such as access pattern analysis due to the randomization. This scheme also can reduce data leakage to service provider because the homomorphism-key solution instead of key storage on cloud. The above three features have been proved by the experiments and further tested out at Email service which can support secure subject searching. The execution time of one searching process is just in the order of milliseconds. We could get 2–3 times speedup compared to default utility grep with the concern of expensive one-time indexing which can be built off-line in advance.     

Achieving fully privacy-preserving private range queries over outsourced cloud data

With the prevalence of cloud computing, data owners are motivated to outsource their databases to the cloud server. However, to preserve data privacy, sensitive private data have to be encrypted before outsourcing, which makes data utilization a very challenging task. Existing work either focus on keyword searches and single-dimensional range query, or suffer from inadequate security guarantees and inefficiency. In this paper, we consider the problem of multidimensional private range queries over encrypted cloud data. To solve the problem, we systematically establish a set of privacy requirements for multidimensional private range queries, and propose a multidimensional private range query (MPRQ) framework based on private block retrieval (PBR), in which data owners keep the query private from the cloud server. To achieve both efficiency and privacy goals, we present an efficient and fully privacy-preserving private range query (PPRQ) protocol by using batch codes and multiplication avoiding technique. To our best knowledge, PPRQ is the first to protect the query, access pattern and single-dimensional privacy simultaneously while achieving efficient range queries. Moreover, PPRQ is secure in the sense of cryptography against semi-honest adversaries. Experiments on real-world datasets show that the computation and communication overhead of PPRQ is modest.     

高效且可验证的多授权机构属性基加密方案

移动云计算对于移动应用程序来说是一种革命性的计算模式,其原理是把数据存储及计算能力从移动终端设备转移到资源丰富及计算能力强的云服务器.但是这种转移也引起了一些安全问题,例如,数据的安全存储、细粒度访问控制及用户的匿名性.虽然已有的多授权机构属性基加密云存储数据的访问控制方案,可以实现云存储数据的保密性及细粒度访问控制;但其在加密和解密阶段要花费很大的计算开销,不适合直接应用于电力资源有限的移动设备;另外,虽然可以通过外包解密的方式,减少解密计算的开销,但其通常是把解密外包给不完全可信的第三方,其并不能完全保证解密的正确性.针对以上挑战,本文提出了一种高效的可验证的多授权机构属性基加密方案,该方案不仅可以降低加密解密的计算开销,同时可以验证外包解密的正确性并且保护用户隐私.最后,安全分析和仿真实验表明了方案的安全性和高效性.     

对象云存储中分类分级数据的访问控制方法

随着云计算技术的广泛应用,云存储中数据的安全性、易管理性面临着新的挑战.对象云存储系统是一种新型的数据存储云计算体系结构,通常用来存储具有分类分级特点的非结构化数据.在云服务不可信的前提下,如何实现对云存储中大量具有分类分级特点资源的细粒度访问控制机制,保障云存储中数据不被非法访问是云计算技术中亟需解决的问题.对近些年来国内外学者的成果进行研究,发现现有的方案并不能有效应对这种新问题.本文利用强制访问控制、属性基加密、对象存储各自的优势,并结合分类分级的属性特点,提出了一个基于安全标记对象存储访问控制模型.同时给出了CGAC算法和其安全证明,将分类分级特点的属性层级支配关系嵌入ABE机制中,生成固定长度的密文.该算法不仅访问控制策略灵活,具有层次化授权结构,还可以友好的与对象存储元数据管理机制结合.通过理论效率分析和实验系统实现,验证了所提出方案计算、通信开销都相对较小,具有很高的实际意义.