基于双联盟链的智能电网数据共享模型

针对区块链的电网云服务器数据存在数据共享困难和隐私泄露风险,提出一种基于双联盟链的智能电网数据共享模型（DSDCB）。首先,基于星际文件系统（IPFS）在链下存储电力大数据,在链上存储IPFS文件指纹,并使用多重签名公证人将电力数据共享给其他联盟链;然后,在保证隐私不被泄露的情况下,使用代理重加密结合安全多方计算来进行单节点或多节点安全数据共享;最后,利用全同态加密算法在无需解密电力数据的情况下对密文数据进行合理整合。DSDCB的单节点跨链数据共享模型能抵抗51%攻击、女巫攻击、重放攻击和中间人攻击。经证明当恶意参与方少于k个、诚实参与方超过1个时,DSDCB的安全多方跨链数据共享模型能保证数据的安全性与隐私性。仿真对比表明,DSDCB的计算成本低于代理广播再加密（PBRE）和用于安全云存储的加密数据共享方案（CPBRE-DS）,比一轮通信可验证全同态秘密共享（FHNVSS）方案更具有可行性。     

A Lightweight Approach (BL-DAC) to Secure Storage Sharing in Cloud-IoT Environments

The growing advent of the Internet of Things (IoT) users is driving the adoption of cloud computing technologies. The integration of IoT in the cloud enables storage and computational capabilities for IoT users. However, security has been one of the main concerns of cloud-integrated IoT. Existing work attempts to address the security concerns of cloud-integrated IoT through authentication, access control, and blockchain-based methods. However, existing frameworks are somewhat limited by scalability, privacy, and centralized structures. To mitigate the existing problems, we propose a blockchain-based distributed access control method for secure storage in the IoT cloud (BL-DAC). Initially, the BL-DAC performs decentralized authentication using the Quantum Neural Network Cryptography (QNNC) algorithm. IoT users and edge nodes are authenticated in the blockchain deployed by distributed Trusted Authorities (TAs) using multiple credentials. The user data is classified into sensitive and non-sensitive categories using the Enhanced Seagull Optimization (ESO) algorithm. Also, the authentication to access this data is performed by a decentralized access control method using smart contract policy. Sensitive user data is encrypted using the QNNC algorithm and stored in the private cloud. In contrast, non-sensitive data is stored in the public cloud, and IPFS is used to store data in a decentralized manner with high reliability. In addition, data security is improved by using a hierarchical blockchain which improves scalability by managing the multiple blockchains hierarchically and is lightweight using Proof of Authentication Consensus (PoAH). The BL-DAC is simulated and validated using the Network Simulator-3.26 simulation tool and validated. This work shows better results than the compared ones in terms of validation metrics such as throughput (26%), encryption time (19%), decryption time (16%), response time (15%), block validation time (31%), attack detection rate (16%), access control precision (13%), and scalability (28%).     

Cooperative Detection Method for DDoS Attacks Based on Blockchain

Distributed Denial of Service (DDoS) attacks is always one of the major problems for service providers. Using blockchain to detect DDoS attacks is one of the current popular methods. However, the problems of high time overhead and cost exist in the most of the blockchain methods for detecting DDoS attacks. This paper proposes a blockchain-based collaborative detection method for DDoS attacks. First, the trained DDoS attack detection model is encrypted by the Intel Software Guard Extensions (SGX), which provides high security for uploading the DDoS attack detection model to the blockchain. Secondly, the service provider uploads the encrypted model to Inter Planetary File System (IPFS) and then a corresponding Content-ID (CID) is generated by IPFS which greatly saves the cost of uploading encrypted models to the blockchain. In addition, due to the small amount of model data, the time cost of uploading the DDoS attack detection model is greatly reduced. Finally, through the blockchain and smart contracts, the CID is distributed to other service providers, who can use the CID to download the corresponding DDoS attack detection model from IPFS. Blockchain provides a decentralized, trusted and tamper-proof environment for service providers. Besides, smart contracts and IPFS greatly improve the distribution efficiency of the model, while the distribution of CID greatly improves the efficiency of the transmission on the blockchain. In this way, the purpose of collaborative detection can be achieved, and the time cost of transmission on blockchain and IPFS can be considerably saved. We designed a blockchain-based DDoS attack collaborative detection framework to improve the data transmission efficiency on the blockchain, and use IPFS to greatly reduce the cost of the distribution model. In the experiment, compared with most blockchain-based method for DDoS attack detection, the proposed model using blockchain distribution shows the advantages of low cost and latency. The remote authentication mechanism of Intel SGX provides high security and integrity, and ensures the availability of distributed models.     

基于以太坊的数字权限保护系统

传统的数字权限保护系统中存在着中心化、交易信息和权限信息不透明的问题,利用区块链技术的去中心化、公开透明等优点,提出了一个基于区块链的数字权限保护系统。该系统使用星际文件系统（IPFS）存储加密的数字内容,通过智能合约完成权限交易和自动发放许可证,利用区块链记录权限交易信息和许可证信息。解决了传统数字权限保护系统中集中式内容服务器造成的单点故障问题,实现了无需任何集中服务器的许可证发放功能和权限交易功能,同时保证了信息的透明与可信。安全性和性能分析表明,该系统是安全可行的;仿真实验结果表明,该系统能够以较低的开销实现数字内容的权限保护。     

基于混合算法区块链和节点身份认证的数据存储方案

为了增强云数据存储的完整性和安全性,在无线传感器网络（WSN）中,提出一种基于混合算法区块链的数据存储方案,以及一种集成身份验证和隐私保护的去中心化框架。首先,簇头将采集到的信息传递至基站,而基站在分布式区块链上记录所有关键参数,并传递至云端存储。然后,为了获得更高的安全等级,合并椭圆曲线加密（ECC）的160位密钥与高级加密标准（AES）的128位密钥,并在云存储层之间进行密钥对交换。基于混合算法的区块链结合身份验证方案可以很好地保证云数据的安全性存储,因此所提方案在安全性方面较为优秀。此外,恶意节点可通过基站从区块链中直接移除并撤销认证,方便快捷。仿真结果表明,与去中心化的区块链信息管理（BIM）方案、基于信任和分布式区块链评估的安全定位（DBE）算法和利用密钥衍生加密和数据分析（KDE-DA）管理方案相比,所提方案在延迟、吞吐量、计算开销方面具有一定的优越性。     

基于区块链与云-边缘计算混合架构的车联网数据安全存储与共享方案

针对车联网（IoV）中云计算的高时延、数据泄漏和恶意车辆节点篡改数据等问题,提出了一种基于区块链与云-边缘计算混合架构的IoV数据安全存储与共享方案。首先,采用联盟链-私有链的双链去中心化存储结构来保障通信数据的安全;然后,利用基于身份的数字签密算法和基于离散中心二项分布的环签名方案来解决通信过程中的安全性问题;最后,提出了基于动态分层和信誉值评估的实用拜占庭容错机制（DRPBFT）,并将边缘计算技术与云计算技术相结合,从而解决了高时延问题。安全性分析结果表明,所提方案在信息共享过程中保证了数据的安全性和完整性。实验仿真和性能评估结果表明,DRPBFT的时延在6 s内,且有效地提高了系统的吞吐量。所提IoV方案有效地促进了车辆数据共享的积极性,使IoV系统更加高效稳定地运行,达到了IoV实时、高效的目的。     

云计算中基于密文策略属性基加密的数据访问控制协议

云计算提供一种新兴的数据交互模式,实现了用户数据的远程存储、共享和计算。由于云计算的系统复杂性、网络开放性、资源集中性以及数据敏感性等特点,使得用户与云服务器的交互过程面临着严峻的安全威胁,成为云计算安全领域亟待解决的关键问题。文章首先介绍了云计算系统的系统组件、信任模型和攻击模型,针对云计算系统中的数据安全访问问题,提出了基于密文策略属性基加密的访问控制协议。该协议利用切比雪夫映射的半群特性实现了用户身份的合法性认证,并设计轻量级的属性加密算法实现用户数据的可靠性授权。同时,该协议主要引入身份认证、访问控制和前向安全性机制,实现用户身份真实性认证和数据可靠性访问。通过协议存储需求分析,表明该协议在数据属性集和密钥存储方面具有固定的存储空间需求,避免海量数据交互中用户存储空间的线性增长。通过分析,表明该协议具有较强的可靠性、灵活性和扩展性,适应于云环境中大规模数据交互的应用场景。     

一种基于区块链的IoV隐私保护认证方案设计

传统车联网（Internet of Vehicles,IoV）身份认证系统普遍具有中心不可信的安全风险,而智联车又存在许多亟待解决的隐私安全问题。因此,借助区块链分布式、可溯源、不可窜改等特点,提出云链结合的可信分散式系统架构,基于该架构同时结合无证书的密码机制以及密钥隔离技术设计分布式身份认证协议。通过安全性分析表明,该方案安全性高、能满足车联网匿名身份认证的要求。同时与现有方案进行仿真对比表明,本方案具有更低的计算开销和通信成本,适用于实际的认证时延低和隐私保护的车联网环境中。     

基于区块链的分布式电能量数据可信存储机制

针对电能量数据中心化存储面临中心单点故障、恶意篡改等问题,利用区块链的去中心化、防篡改、高度可拓展特点,通过构建电能量数据星际存储联盟链（ISCB）,提出一种包括身份认证、传感数据上传、IPFS（星际文件系统）存储、区块链上传、访问验证5个部分的可信存储机制。针对电能量数据来源广、容量大等特点,将区块链技术与星际文件系统相结合,链上保存 IPFS 返回的数据哈希及查询属性,有效地解决了电能量数据区块链存储扩容及数据篡改识别问题。     

基于区块链网络的医疗记录安全储存访问方案

针对在当前医疗系统中医疗记录授权流程繁琐、记录分享效率低下和身份验证困难问题，提出一种结合区块链技术与密码学的非对称加密技术的方法，将非对称加密技术的安全性高、多方协作简单等特性应用到区块链技术构成的点对点网络中，实现医疗记录跨域分享的可追踪、数据的不可篡改和身份验证的简化。首先，基于区块链技术的不可篡改性结合非对称加密技术，设计了文件同步合约和授权合约，其分布式储存优势保证了用户医疗信息隐私。其次，跨域获取合约的设计能够有效验证数据分享双方身份以及提高身份验证效率，不需要第三方公证机构便可安全过滤非合法用户。仿真实验结果显示，所提出的方案相比传统使用云计算方法解决医疗记录分享问题的方案，在数据防盗窃、多方身份验证和节约系统开销方面有明显优势。该方案对利用区块链的去中心化、可审计等优点解决数据分享过程中的安全问题提供了参考，为解决数据跨域分享、跨域身份验证问题提供了借鉴思路。     

基于TrustZone的可信移动终端云服务安全接入方案

可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全. 然而在移动云计算高速发展的今天, 仍然没有移动终端接入可信云服务的安全解决方案. 针对上述问题, 提出了一种可信移动终端云服务安全接入方案, 方案充分考虑了移动云计算应用背景, 利用ARM TrustZone硬件隔离技术构建可信移动终端, 保护云服务客户端及安全敏感操作在移动终端的安全执行, 结合物理不可克隆函数技术, 给出了移动终端密钥与敏感数据管理机制. 在此基础之上, 借鉴可信计算技术思想, 设计了云服务安全接入协议, 协议兼容可信云架构, 提供云服务端与移动客户端间的端到端认证. 分析了方案具备的6种安全属性, 给出了基于方案的移动云存储应用实例, 实现了方案的原型系统. 实验结果表明, 可信移动终端TCB较小, 方案具有良好的可扩展性和安全可控性, 整体运行效率较高.     

基于口令的客户端/服务器认证协议

身份认证是建立客户端和服务器之间安全会话的前提条件。Kim和Chung提出了一种双方的双向认证方案,其以较小的计算量得到了学者们的关注。但经分析发现,该方案并不安全：无法抵抗离线口令猜测攻击和无限次在线口令猜测攻击,也不能防止服务器伪装攻击。为了解决这些安全隐患,利用非对称Rabin密码体制提出了一种改进的方案,并基于BAN逻辑对方案的正确性进行了严格验证。最后还分析了新方案的安全性和性能。     

DRRS-BC: Decentralized Routing Registration System Based on Blockchain

The border gateway protocol (BGP) has become the indispensible infrastructure of the Internet as a typical inter-domain routing protocol. However, it is vulnerable to misconfigurations and malicious attacks since BGP does not provide enough authentication mechanism to the route advertisement. As a result, it has brought about many security incidents with huge economic losses. Exiting solutions to the routing security problem such as S-BGP, So-BGP, Ps-BGP, and RPKI, are based on the Public Key Infrastructure and face a high security risk from the centralized structure. In this paper, we propose the decentralized blockchain-based route registration framework-decentralized route registration system based on blockchain (DRRS-BC). In DRRS-BC, we produce a global transaction ledge by the information of address prefixes and autonomous system numbers between multiple organizations and ASs, which is maintained by all blockchain nodes and further used for authentication. By applying blockchain, DRRS-BC perfectly solves the problems of identity authentication, behavior authentication as well as the promotion and deployment problem rather than depending on the authentication center. Moreover, it resists to prefix and subprefix hijacking attacks and meets the performance and security requirements of route registration.      

基于联盟链的跨域认证方案

针对传统跨域认证易单点失效、过度依赖第三方等安全问题,提出了一种结合基于身份的密码（IBC,identity-based cryptography）体制与联盟链的跨域认证方案。通过设计包括实体层、代理层、区块链层、存储层在内的分层跨域认证架构,在跨域认证场景中引入联盟链,从而能够使两者较好地融合,增加了联盟链在跨域认证场景中的适应性。在存储层,设计摘要数据格式,将其存储于链上,摘要数据对应的完整数据存储于链下的星际文件系统,从而形成一种安全可靠的链上链下分布式存储方案,解决引入区块链后存在的链上存储受到限制的问题。提出一种基于永久自主权身份和临时身份的身份管理方案,解决结合IBC体制后身份难以注销和匿名身份难以监管的问题。在此基础上,设计完整的跨域全认证、重认证以及密钥协商协议以实现跨域认证流程。在安全性方面,使用 SVO 逻辑对认证协议进行分析,证明了跨域认证协议的安全性。通过仿真对计算负载性能、通信负载以及联盟链性能进行了测试与分析。分析表明,与相关方案相比,协议在满足安全性的同时,在服务端和用户端均有较好的计算负载表现。在通信效率上,相较于其他方案有不错的表现。通过联盟链工具对链上读写时延进行了测试,结果表明所提方案有良好的可用性。     

基于身份密码系统和区块链的跨域认证协议

随着信息网络技术的快速发展和网络规模的持续扩张,网络环境中提供的海量数据和多样服务的丰富性和持久性都得到了前所未有的提升.处于不同网络管理域中的用户与信息服务实体之间频繁交互,在身份认证、权限管理、信任迁移等方面面临一系列安全问题和挑战.本文针对异构网络环境中用户访问不同信任域网络服务时的跨域身份认证问题,基于IBC身份密码系统,结合区块链技术的分布式对等网络架构,提出了一种联盟链上基于身份密码体制的跨信任域身份认证方案.首先,针对基于IBC架构下固有的实体身份即时撤销困难问题,通过加入安全仲裁节点来实现用户身份管理,改进了一种基于安全仲裁的身份签名方案mIBS,在保证功能有效性和安全性的基础上,mIBS性能较ID-BMS方案节省1次哈希运算、2次点乘运算和3次点加运算.其次,本文设计了区块链证书用于跨域认证,利用联盟链分布式账本存储和验证区块链证书,实现域间信任实体的身份核验和跨域认证.所提出的跨域认证协议通过安全性分析证明了其会话密钥安全,并且协议的通信过程有效地减轻了用户端的计算负担.通过真实机器上的算法性能测试,与现有同类方案在统一测试标准下比较,本文方案在运行效率上也体现出了明显的优势.     

可信网络接入认证协议的设计与分析

随着对TNC应用和研究的不断深入,其架构自身的安全性问题也逐渐成为人们所关注的焦点。在分析了TNC架构存在局限性的基础上,提出了一种新的基于TNC规范的网络接入认证协议,在服务器端和客户端安全协商会话密钥的前提下实现了通信双方的双向身份认证和双向平台认证,在提高认证效率的同时使得整个认证过程更为安全可靠。最后,对协议进行了安全性分析,并给出了协议的安全性验证过程,分析结果表明该接入认证协议能够达到预期的安全目标。     

基于区块链的物联网数据服务信誉评估模型

地质大数据共享与应用平台、专业移动大数据服务平台等现有集中式物联网数据服务平台多数存在缺乏信誉评估体系、用户隐私泄露、数据防篡改能力弱等安全性问题。为使用户能从海量物联网数据中精准快速地检索出高质量数据,设计并实现基于区块链的数据服务信誉评估模型。利用层次分析法进行信誉评估指标权重计算,采用智能合约和星际文件系统实现物联网数据的存储、验证、保护和共享,通过区块链和Redis缓存技术完成物联网数据和信誉数据的安全快速存取,同时使用环签名技术保证评价真实性并隐藏用户个人信息。测试结果表明,该模型具有去中心化、可信、安全高效和不可篡改的特性,能够满足物联网数据服务平台的信誉评估需求。     

A lightweight authentication and key agreement protocol preserving user anonymity

Nowadays with widespread employment of the Internet, servers provide various services for legal users. The vital issue in client/server connections is authentication protocols that make the communication channel safe and secure against famous attacks. Recently, Kumari et al. and Chaudhry et al. proposed two authentication and key agreement protocols and illustrated that their proposed protocols are secure against various security attacks. However, in this paper we demonstrate that both protocols are vulnerable to off-line password guessing attacks. Moreover, we show that Kumari et al.’s protocol does not provide the property of user anonymity. In order to overcome these weaknesses, we propose a lightweight authentication and key agreement protocol. The correctness of the proposed protocol is proved using BAN logic. Security analysis demonstrates that the proposed protocol resists various security attacks and provides user anonymity. Furthermore, performance analysis confirms that the computation cost of the proposed protocol is acceptable.

     

基于跨链的医疗数据安全共享方案

医疗机构之间的医疗数据共享对于实现跨医院诊断并促进医学研究发展有着举足轻重的作用.为了解决医疗机构之间医疗数据共享困难的问题,我们提出了一种基于跨链的医疗数据安全共享方案.采用中继链、跨链网关和数据链结合的跨链架构,结合AES和CP-ABE加密算法进行细粒度的医疗数据访问控制.同时利用可搜索加密技术实现医疗数据的安全搜索.为缓解区块链的计算存储开销,将IPFS和区块链相结合,链下存储密文,链上存储密文地址和密钥.通过安全性分析和实验证明,该方案在医疗数据安全共享方面具有可行性.     

基于区块链的高校文件存储系统的探究

区块链技术源于中本聪和比特币，包含分布式数据存储、点对点传输、共识机制、加密算法等技术，是目前最安全的信息存储方案之一。IPFS 和区块链的完美结合，使得用户可以使用IPFS 来存储大量文件，既能保证文件的安全性，又可以确保文件的唯一性。本文基于IPFS 的区块链存储技术，对传统的高校文件存储系统进行改良和探究。