隐藏访问策略的可追踪属性基加密方案

属性基加密作为一种一对多的加密机制,能够为云存储提供良好的安全性和细粒度访问控制。但在密文策略属性基加密中,一个解密私钥可能会对应多个用户,用户可能会非法共享其私钥以获取不当利益;另外,访问策略通常包含敏感信息,这对隐私性要求较高的场合造成了重大挑战。针对上述问题,提出一个隐藏访问策略的可追踪密文策略属性基加密方案。该方案基于合数阶双线性群进行构造,通过将用户的身份信息嵌入到该用户的私钥中实现可追踪性,将访问策略中的特定敏感属性值隐藏在密文中实现策略隐藏,利用解密测试技术提高解密效率,给出了在标准模型下方案是完全安全和可追踪的证明。对比分析表明,该方案在解密运算方面有所优化,从而降低了解密运算开销,提高了效率。     

一个安全可追踪的策略隐藏属性基加密方案

传统的属性基加密方案中存在着访问策略所包含的属性会泄露用户的敏感信息、恶意用户泄露私钥获取非法利益而不会被追责的问题,同时私钥长度、密文长度和解密运算量均会随属性数量增加而带来较大的通信开销和计算开销。对现有多种隐藏策略的属性基加密方案和可追踪的属性基加密方案分别进行深入研究,采用多属性值的方法,并引入一个安全的签名机制,提出了一个用户私钥长度、密文长度和解密运算量均固定的支持可追踪和隐藏策略的密文属性基加密方案,即STH-CP-ABE方案。并基于DBDH(Decisional Bilinear Diffie-Hellman)假设,在标准模型下证明了方案的安全性。     

一种支持属性撤销的外包属性加密方案

针对传统基于密文策略的属性加密方案在密钥生成、密文解密和属性撤销阶段计算开销大的问题,提出一种具有属性撤销功能的外包属性加密方案。在加密过程中使用线性秘密共享机制作为访问结构,将密钥生成和密文解密的部分计算外包,通过为每个用户的私钥设置版本号实现用户属性的撤销,同时证明方案在可重复的选择密文攻击下是安全的。实验结果表明,该方案的计算开销较低,并且能较好地实现密文策略的属性撤销功能。     

访问策略隐匿的可追责层次属性加密方案

在传统的属性加密方案中,用户可能会共享私钥给具有相同属性集的多个用户而不怕被追责;此外,访问策略包含的信息可能会泄露用户隐私。针对这2个问题,提出一种可追责的隐匿策略的层次化属性加密方案。该方案在合数阶双线性群下基于访问树进行构造,具有灵活的表达能力,在访问策略中插入合数阶子群的随机元素实现策略隐匿;将用户标识加入私钥运算中,实现对泄露信息的违规用户的可追责;使用层次授权体系,降低单权威授权的计算负荷,提高了整体安全性和效率。实验结果和效率对比分析表明,该方案在加解密计算开销方面具备优势,且支持访问策略的隐匿和对违规用户的追责,大大提高了方案的安全性。     

基于密文策略属性加密的云存储访问控制方案

针对现有方案存在的访问策略公开、密文存储开销较大的问题,提出一种支持策略隐藏且固定长度密文的云存储访问控制方案,并在安全模型下证明方案可抵抗选择明文攻击。方案中用户私钥由多个授权机构共同生成,中央授权机构不参与生成任何主密钥与属性私钥;访问结构隐藏在密文之中,恶意用户无法通过访问结构获取敏感信息。此外,方案实现了固定密文长度,并且加密时的指数运算和解密时的双线性对运算次数均是固定值。最后,理论分析和实验结果表明该方案在密文长度和加解密时间上都明显优于对比方案。     

可追踪密钥的策略隐藏属性基加密方案

传统的属性基加密方案中存在着访问策略所包含的属性会泄露用户的敏感信息以及恶意用户泄露私钥获取非法利益而不会被追责的问题。同时私钥长度、密文长度和解密运算量均会随属性数量增加而带来较大的通信开销和计算开销。针对以上问题提出了一种可追踪且隐藏访问结构的属性基加密方案。该方案在不影响加/解密效率的前提下提高了加密算法的安全性,并采用双因子身份认证机制实现了更安全高效的访问控制。并且引入一个安全的签名机制用于支持可追踪密钥来追踪恶意用户。该方案基于DBDH假设,在标准模型下被证明是安全的。     

可公开定责的密文策略属性基加密方案

属性基加密利用属性集和访问结构之间的匹配关系实现用户解密权限的控制,从功能上高效灵活地解决了“一对多”的密数据共享问题,在云计算、物联网、大数据等细粒度访问控制和隐私保护领域有光明的应用前景。然而,在属性基加密系统中(以密文策略属性基加密为例),一个属性集合会同时被多个用户拥有,即一个解密私钥会对应多个用户,因此用户敢于共享其解密私钥以非法获利。此外,半可信的中心存在为未授权用户非法颁发私钥的可能。针对属性基加密系统中存在的两类私钥滥用问题,通过用户和中心分别对私钥进行签名的方式,提出一个密文策略属性基加密方案。该方案支持追踪性和公开定责性,任何第三方可以对泄露私钥的原始持有者的身份进行追踪,审计中心可以利用公开参数验证私钥是用户泄露的还是半可信中心非法颁发的。最后,可以证明方案的安全性基于其依赖的加密方案、签名方案。     

云中可动态更新的属性基代理重加密方案

代理重加密是在保证重加密授权者私钥安全的前提下进行密文转换的操作,实现了云中数据的动态共享。而在基于属性的代理重加密方案中,其代理方可以在不泄露明文数据的前提下,将访问策略下的密文经过重加密转换为不同的访问策略下的密文,完成密态数据的安全外包计算。现有的属性代理重加密方案只是实现了密文策略的更新变换,存在着实用性低,计算量大等缺点。为了满足用户权限的动态更新,以及传统属性加密体制中用户离线后不能向他人提供解密能力的问题,本文提出了一种云中可动态更新的属性基代理重加密方案。通过在系统公开参数中加入用户集合信息并利用属性撤销技术,分别实现了用户集合与属性集合的动态更新,以保证用户权限的动态更新,并且该方案满足单向性、非交互性、非传递性、非转移性和可验证性等特点。此外,利用离线加密技术将加密操作分成两步实现,大量的辅助计算在离线阶段进行,降低了用户客户端在线加密的计算开销。同时,受理者可以对代理重加密密文进行验证操作,避免数据遭受第三方破坏。安全性方面,在标准模型和判定性q阶双线性Diffie-Hellman假设下,证明了本方案具有选择明文攻击下的密文不可区分性且可抵抗同谋攻击。最后,通过效率分析发现,本方案的在线加密阶段计算量较小且用户的密钥和密文存储开销低,具有良好的实用性。     

隐藏访问结构的密文策略的属性基加密方案

在密文策略的属性基加密方案中,用户的私钥与属性集合关联,密文与访问策略关联,当且仅当用户私钥中所包含的属性满足嵌入在密文中的访问策略时,用户方能成功解密该密文。在现有方案的解密过程中,访问策略连同密文被发送给解密者,这意味着加密者的隐私被泄露。为解决该问题,提出了具有隐藏访问策略的密文策略属性基加密方案,以保护加密者的隐私;并基于DBDH假设,证明了该方案在标准模型中是选择明文安全的。     

支持策略隐藏的多授权机构属性基加密方案

现有隐藏策略的属性基加密方案大多针对单个属性授权机构,没有考虑到用户属性由多个授权机构管理的情况,存在密钥生成效率低、机构本身易被攻破、无法满足云存储环境安全需求的问题。为此,提出一种多授权机构属性基加密方案。通过对访问结构进行改进,实现访问策略的完全隐藏,进而保护用户隐私。用户私钥由数据属主和多个属性授权机构共同生成,可提高密钥生成效率,并抵抗非法用户及授权机构的合谋攻击。基于判定性双线性Diffie-Hellman假设,证明方案在标准模型下是选择明文安全的。实验结果表明,该方案可有效提高密钥生成及加解密效率。     

基于雾节点的分布式属性基加密方案

为解决云存储中对用户访问数据权限划分笼统、细粒度化控制访问权限受限以及单授权机构中存在的单点失效问题,提出基于雾节点的分布式密文策略属性基加密方案。将数据的部分解密运算外包给雾节点,减少终端用户的计算开销,并由不同的属性授权机构为用户生成属性密钥,以适用于细粒度的访问控制要求,使用全局身份将属于特定用户的各种属性进行“捆绑”,防止各属性机构间的共谋攻击,同时引入权重属性简化访问结构,节省系统的存储空间。实验结果表明,基于判定性q-parallel BDHE问题证明了该方案的安全性,与基于区块链的多授权机构访问控制方案和mHealth中可追踪多授权机构基于属性的访问控制方案相比,该方案终端用户在解密阶段具有更小的计算开销。     

区块链中可验证外包解密的匿名属性加密方案

属性加密是云计算环境下实现数据机密性和细粒度访问控制的关键技术。然而,一般的属性加密方案中存在访问策略敏感信息泄露、解密成本高、属性授权机构权力过大等问题。为了解决上述问题,提出一种基于区块链的可验证外包解密的匿名属性加密方案。该方案使用策略隐藏保护敏感属性信息,通过两方共同生成完整属性密钥,在解密前进行属性匹配操作。利用区块链不可篡改性存储验证参数存储对第三方外包解密结果进行正确性验证,并使用区块链生成、存储属性证书。在随机谕言模型下证明了选择性密文策略和选择明文攻击的安全性,并与其他方案进行功能、通信开销对比,使用PBC Go密码学库对方案进行仿真,仿真结果表明该方案可以有效地减少用户解密开销。     

高效且可验证的多授权机构属性基加密方案

移动云计算对于移动应用程序来说是一种革命性的计算模式,其原理是把数据存储及计算能力从移动终端设备转移到资源丰富及计算能力强的云服务器.但是这种转移也引起了一些安全问题,例如,数据的安全存储、细粒度访问控制及用户的匿名性.虽然已有的多授权机构属性基加密云存储数据的访问控制方案,可以实现云存储数据的保密性及细粒度访问控制;但其在加密和解密阶段要花费很大的计算开销,不适合直接应用于电力资源有限的移动设备;另外,虽然可以通过外包解密的方式,减少解密计算的开销,但其通常是把解密外包给不完全可信的第三方,其并不能完全保证解密的正确性.针对以上挑战,本文提出了一种高效的可验证的多授权机构属性基加密方案,该方案不仅可以降低加密解密的计算开销,同时可以验证外包解密的正确性并且保护用户隐私.最后,安全分析和仿真实验表明了方案的安全性和高效性.     

基于云雾计算的可追踪可撤销密文策略属性基加密方案

针对资源受限的边缘设备在属性基加密中存在的解密工作开销较大,以及缺乏有效的用户追踪与撤销的问题,提出了一种支持云雾计算的可追踪可撤销的密文策略属性基加密（CP-ABE）方案。首先,通过对雾节点的引入,使得密文存储、外包解密等工作能够放在距离用户更近的雾节点进行,这样既有效地保护了用户的隐私数据,又减少了用户的计算开销;其次,针对属性基加密系统中用户权限变更、用户有意或无意地泄露自己密钥等行为,加入了用户的追踪和撤销功能;最后,通过算法追踪到做出上述行为的恶意用户身份后,将该用户加入撤销列表,从而取消该用户访问权限。性能分析表明,所提方案用户端的解密开销降低至一次乘法运算和一次指数运算,能够为用户节省大量带宽与解密时间,且该方案支持恶意用户的追踪与撤销。因此所提方案适用于云雾环境下计算资源受限设备的数据共享。     

可防止无关属性干扰的属性基加密方案

为了提高属性基加密中访问结构的表达能力,同时避免访问结构中无关属性干扰,提出了一种基于简化有序二元决策图（ROBDD）访问结构的CP-ABE方案。该方案中ROBDD访问结构可有效表达具有复杂访问逻辑的访问策略,并可防止无关属性干扰,提高了加密速度。通过RSA属性认证机制进行ROBDD非叶子节点中属性认证,实现了抗串谋攻击和对用户属性集的保护。使用ROBDD中有效路径特征值和加密参数创建多项式,任何有效路径特征值经过多项式计算均可得到加密参数,降低了密文存储开销。该方案实现了用户撤销、用户属性撤销和系统属性撤销。性能分析和实验仿真表明,所提方案有更高的加解密效率,更低的密文存储开销。     

Flexible CP-ABE Based Access Control on Encrypted Data for Mobile Users in Hybrid Cloud System

In hybrid cloud computing, encrypted data access control can provide a fine-grained access method for organizations to enact policies closer to organizational policies. This paper presents an improved CP-ABE (ciphertext-policy attribute-based encryption) scheme to construct an encrypted data access control solution that is suitable for mobile users in hybrid cloud system. In our improvement, we split the original decryption keys into a control key, a secret key and a set of transformation keys. The private cloud managed by the organization administrator takes charge of updating the transformation keys using the control key. It helps to handle the situation of flexible access management and attribute alteration. Meanwhile, the mobile user’s single secret key remains unchanged as well as the ciphertext even if the data user’s attribute has been revoked. In addition, we modify the access control list through adding the attributes with corresponding control key and transformation keys so as to manage user privileges depending upon the system version. Finally, the analysis shows that our scheme is secure, flexible and efficient to be applied in mobile hybrid cloud computing.