基于代理重加密的云存储密文访问控制方案

针对在不可信的云存储中,数据的机密性得不到保证的情况,提出一种新的代理重加密(PRE)算法,并将其应用于云存储访问控制方案中,该方案将一部分密文存储云中共享,另一部分密文直接发送给用户。证明了该访问控制方案在第三方的不可信任的开放环境下云存储中敏感数据的机密性。通过分析对比,结果表明:发送方对密文的传递可控,该方案利用代理重加密的性质,在一对多的云存储访问控制方案中,密文运算量和存储不会随着用户的增长而呈线性增长,显著降低了通信过程中数据运算量和交互量,有效减少数据的存储空间。该方案实现了云存储中敏感数据的安全高效共享。     

高效的基于代理重加密的云存储访问控制方案

针对在不可信的云存储中,数据的机密性得不到保证的情况,提出一种基于身份的代理重加密(IBPRE)算法,并将其应用于云存储访问控制方案中,该方案将重加密密钥分成两部分,一部分用于重加密,一部分用于授权。证明了该访问控制方案在第三方的不可信任的开放环境下云存储中敏感数据的机密性。通过分析对比,发送方对密文的传递可控,在一对多的云存储访问控制方案中,授权者不需要对不同的受理者重新计算重加密密钥,密文长度不随着用户的增长而线性增长,显著降低了计算复杂度和通信中数据的交互量。该方案实现了云存储中敏感数据的安全高效共享。     

一种改进的基于身份广播代理重加密云存储方案

存储安全是公共云应用诸多安全问题中最关键的问题之一,对云服务的快速发展有着重大影响。结合身份加密、代理重加密以及广播加密的特点,提出了一种新的云存储方案。该方案通过条件控制,实现了用户对远程密文数据代理重加密过程中的细粒度访问控制;基于身份加密,利用用户的身份属性作为公钥,减少了证书验证过程;结合广播的思想,以用户集合为单位进行加密,减少系统的计算消耗。实验表明,文章提出的方案可以实现密文数据云存储和共享,主要函数的时间开销合理,能够保证大规模用户接入时系统高效。     

基于CP-ABE和SD的高效云计算访问控制方案

存储在云端服务器中的敏感数据的保密和安全访问是云计算安全研究的重要内容。提出了一种安全、高效、细粒度的云计算访问控制方案。密文的加密采用了借助线性秘密共享矩阵的CP-ABE加密算法,并将大部分密文重加密工作转移给云服务提供商执行,在保证安全性的前提下,降低了数据属主的计算代价。该方案在用户属性撤销时,引入SD广播加密技术,有效降低了撤销时的计算开销和通信开销。理论分析表明该方案具有数据机密性、抗合谋攻击性、前向安全和后向安全,最后的实验结果验证了方案具有较高的撤销效率。     

基于属性群的云存储密文访问控制方案

提出一种基于属性群的云存储密文访问控制方案。采用对称加密算法加密大型数据文件,并用属性加密算法加密对称密钥,将重加密的任务转移到云服务提供商,从而降低数据拥有者的计算代价,且未向云服务提供商泄露额外信息。在属性和用户权限撤销时,以同一属性集下的不同用户为单位,数据拥有者不参与属性和用户权限的撤销,从而减轻数据拥有者的权限管理代价。分析结果表明,该方案在权限撤销时的效率优于已有的密文访问控制方案,支持细粒度的灵活访问控制策略,具有数据机密性、抗合谋攻击性、前向保密性和后向保密性。     

云存储环境下基于时释性加密的CP-ABE方案

云存储是未来存储业务的发展方向,数据安全是云存储客户的首要关切.密文策略属性加密(CP-ABE)算法允许数据拥有者将访问策略嵌入密文中,并结合数据访问者的密钥实施访问控制,特别适合云存储环境,但CP-ABE不支持与时间相关的访问控制.本文提出基于时释性加密的CP-ABE方案,通过在CP-ABE中融入时释性加密(TRE)机制来实现带有时间控制的密文共享,允许数据拥有者基于用户属性和访问时间制定更加灵活的访问策略.论文通过安全分析表明,该方案能够抵抗来自用户、云存储平台和授权机构的非法访问、非法用户的串谋攻击以及选择明文攻击.     

具有细粒度访问控制和低存储空间开销的云存储系统

针对目前公有云存储系统中存在的数据机密性和系统性能问题,提出了一个安全高效的方案,并将其应用于基于密文策略属性基加密(CP-ABE)的具有细粒度访问控制的密码学的云存储系统中。在这个方案中,原始的数据首先会经过一个(k,n)算法分割成小块,然后随机选择其中部分小块进行加密,最后发布到云上,且只保存一份副本。该方案能够提升用户撤销操作的性能和降低存储空间的开销,同时安全性分析也证明了这个系统在计算上是安全的。通过分析对比,实验结果表明:该方案优化了用户撤销,减少了数据拥有者对数据管理的时间,由于只需要保存一份数据副本,因此有效地减少了数据的存储空间。该方案实现了公有云存储中敏感数据的安全共享和高效存储。     

支持隐私保护的可验证云端数据分享方案

随着移动互联网技术的飞速发展,海量数据将存储在远程云服务器,由此带来外包云存储敏感数据的搜索与安全共享问题。基于椭圆曲线设计公钥可搜索加密算法,提出云存储系统中支持隐私保护的可验证数据分享方案。在该方案中,数据发送方结合消息认证码技术,使用自己的私钥和数据接收方的公钥产生关键词对应的密文,数据接收方结合消息认证码技术,使用自己的私钥和数据发送方的公钥产生搜索陷门,从而云服务器可以对关键词密文和搜索陷门进行快速匹配测试。该方案可保证云端存储数据的机密性,实现对外包云存储数据的可搜索功能,并在选择关键词攻击下满足密文不可区分性与搜索陷门不可区分性,抵抗内部关键词猜测攻击。此外,为防止云服务器出现恶意欺骗或返回不正确的搜索密文行为,引入云审计的设计思想,对存储在云端的密文数据进行完整性验证。性能分析与比较结果表明,该方案云端加密数据分享过程耗时仅为2.17 ms,与PEKS、PAEKS、dIBAEKS、CLEKS方案相比效率提升39.98%以上,更有利于部署在资源受限的智能终端设备。     

面向云计算安全的无证书代理重加密方案

在无证书公钥密码体制下研究代理重加密技术,给出无证书代理重加密系统的形式化定义与安全模型,构建一个新的无证书代理重加密方案,并在随机预言模型下证明其在适应性选择明文攻击下是安全的。基于该方案,云服务商可利用用户提供的代理钥,将待分享的加密数据转换为针对其他用户的密文,其他用户采用自身私钥进行解密并访问原始数据,达到共享数据的目的。分析结果表明,该方案能够有效保证云环境下数据存储与共享的安全性及可靠性。     

企业云存储数据的加密与密文全文检索研究

将密文规则的基于属性加密技术同Lucene全文索引技术相结合,提出适合云存储中密文数据全文检索的方法;针对云存储的特点改进了密文规则的基于属性加密技术.给出了设置在企业端的私有安全模型,并基于Lucene全文索引引擎以及改进的密文规则的基于属性加密方案开发设计了密文全文检索服务和数据加密与访问控制服务.在Eucalyptus云平台上实现了该安全模型的主要服务模块.该安全模型较好地解决了企业数据云存储的机密性与密文全文检索问题.     

基于同态加密的全文检索方案设计与实现

为了有效保障外包数据的安全性,满足用户高效检索储存在云中的数据。提出一种基于同态加密的云存储全文检索方案。该方案以整数向量加密技术为基础,建立向量空间模型,进而在密文下计算检索向量与文档向量的余弦相似度,进行检索。方案利用加密算法的同态性,在上传文件,检索以及下载文件的整个过程中,云服务器均无法获取明文数据,方案可进行多关键词检索。在第三方不可信云存储场景中具有准确和更高的检索效率,方案描述简单,保证了用户数据的机密性,在实际场景中具有良好的应用。     

工业互联网中增强安全的云存储数据访问控制方案

在工业互联网应用中,由于异构节点计算和存储能力的差异,通常采用云方案提供数据存储和数据访问服务.云存储中的访问控制如扩展多权限的云存储数据访问控制方案(NEDAC-MACS),是保证云存储中数据的安全和数据隐私的基石.给出了一种攻击方法来证明NEDAC_MACS中,被撤销的用户仍然可以解密NEDAC-MACS中的新密文;并提出了一种增强NEDAC-MACS安全性的方案,该方案可以抵抗云服务器和用户之间的合谋攻击;最后通过形式密码分析和性能分析表明,该方案能够抵抗未授权用户之间以及云服务器与用户之间的合谋攻击,保证前向安全性、后向安全性和数据保密性.     

TraceChain: A blockchain-based scheme to protect data confidentiality and traceability

The risk of sharing data in cloud computing has gathered increasing attention. After the owner of some confidential data outsources the data to cloud storage services and shares it with others, the data owner lost the control to the data to a large extent. To achieve data sharing while keeping data confidentiality, attribute-based encryption (ABE) can be employed by cloud storage services. However, ABE can only guarantee that outsourced data on the cloud is decrypted by attribute-satisfying users but cannot restrict data from being accessed by dishonest users whose attributes also satisfy the access-control policy. It is impossible for the data owner to control the shared data after it has been decrypted by dishonest users, especially when a set of attribute-satisfying dishonest users may collude. To address this concern, we propose a traceable data sharing scheme called TraceChain. In TraceChain, data is encrypted over a new CP-ABE scheme called E-CP-ABE. Furthermore, the system parameters for generating the private key in E-CP-ABE are uploaded to the private blockchain and transactions are performed on the chain. The data owner can obtain the identity of users by monitoring system parameters simultaneously and control data sharing on the blockchain. To prove the security of our scheme, the security analysis is given in this paper. Meanwhile, experimental results also show that our system is viable and efficient.     

基于Paillier加密的数据多副本持有性验证方案

云存储服务中,用户将数据存储在不可信的云储存服务器上,为检查云存储中服务提供商(CSP)是否按协议完整地存储了用户的所有数据副本,提出一种 支持对数据副本进行动态操作 的基于Paillier加密的数据多副本持有性验证方案, 即DMR-PDP方案。该方案为实现多副本检查,将文件块以文件副本形式存储在云服务器上,将各副本编号与文件连接后利用Paillier密码系统生成副本文件以防止CSP各服务器的合谋攻击。利用BLS签名实现对所有副本的批量验证。将文件标志和块位置信息添加到数据块标签中,以保证本方案的安全性,支持对文件的动态更新操作。安全性分析和仿真实验结果表明,该方案在安全性、通信和计算开销方面的性能优于其他文献提出的方案,极大地提高了文件存储和验证的效率,减少了计算开销。     

具有紧凑标签的基于身份匿名云审计方案

云存储技术具有效率高、可扩展性强等优点。用户可以借助云存储技术节省本地的存储开销,并与他人共享数据。然而,数据存储到云服务器后,用户失去对数据的物理控制,需要有相应的机制保证云中数据的完整性。数据拥有证明（PDP,provable data possession）机制允许用户或用户委托的第三方审计员（TPA,third party auditor）对数据完整性进行验证。但在实际应用中,数据通常由多个用户共同维护,用户在进行完整性验证请求的同时泄露了自己的身份。匿名云审计支持 TPA 在完成数据完整性验证时保证用户的匿名性。在基于身份体制下,匿名云审计方案通常需要借助基于身份的环签名或群签名技术实现,数据标签的构成元素与用户数量相关,使得数据标签不够紧凑,存储效率较低。为了解决这一问题,提出一种基于身份的匿名云审计方案通用构造,使用一个传统体制下的签名方案和一个传统体制下的匿名云审计方案即可构造一个基于身份的匿名云审计方案。基于该通用构造,使用 BLS 签名和一个传统体制下具有紧凑标签的匿名云审计方案设计了具有紧凑标签的基于身份匿名云审计方案。该方案主要优势在于数据标签短,能够减少云服务器的存储压力,提高存储效率。此外,证明了该方案的不可欺骗性和匿名性。     

Hadoop环境中基于属性和定长密文的访问控制方法

随着云计算技术的广泛应用,人们越来越关注安全和隐私问题。由于云端是第三方服务器,并非完全可信,数据属主需要将数据加密后再托管云存储。如何实现对加密数据的高效访问控制是云计算技术亟需解决的问题。结合Hadoop云平台、基于属性与固定密文长度的加密方案提出并实现了一种在Hadoop云环境下基于属性和固定密文长度的层次化访问控制模型。该模型不仅具有固定密文长度、层次化授权结构、减少双线性对计算量的特点;同时经过实验验证,该模型能够实现云计算环境下对加密数据的高效访问控制,并解决了云存储空间有限的问题。     

云环境下基于秘密共享的海洋遥感影像认证方案

云存储模式的出现为海量海洋遥感影像的存储和管理带来了机遇,越来越多的用户选择将海洋遥感影像数据移植到云中,但云存储环境的开放性对海洋遥感影像数据的安全性提出了挑战。以保障云环境下海洋遥感敏感数据的安全性为前提,提出一种影像认证方案,将哈希函数与(k,n)门限秘密共享方法相结合,检测敏感区影像信息变化,并对加密前和恢复后的影像进行一致性验证,保护加密影像数据的机密性。同时,为避免n个子秘密中,因多于n-k个子秘密的篡改或丢失,造成敏感区影像不可恢复情况的发生,采用对敏感区影像进行分块的策略,对每个子影像块做进一步的秘密共享处理,以保证部分影像的无损恢复。实验对比分析表明,所提出的安全认证方案可以有效防止秘密恢复过程中的欺诈行为,同时可获得比传统方法更高的遥感影像云存储安全性。     

Secure and effective assured deletion scheme with orderly overwriting for cloud data

Due to the characteristics of distribution and virtualization, cloud storage is providing almost limitless storage services. Many users choose to upload data to the cloud to reduce storage burden, but the confidentiality of data is also at risk. When the cloud data must be deleted, the assured deletion of the data becomes a crucial problem. Assured deletion can preserve the confidentiality of the users data, and it is also an essential component of cloud storage services. In this paper, a secure and effective assured deletion scheme with orderly overwriting (SEAD-OO) is proposed. The scheme uses ciphertext-policy attribute-based encryption to achieve fine-grained access control and data sharing. To solve the problem of ciphertext left in the cloud after deleting the keys, we introduce physical deletion and logical deletion. Blockchain is introduced to ensure the validity and traceability of deletion. By comparing with related schemes, the proposed SEAD-OO is proved to be versatile. Theoretical analysis and experiments show that the scheme is safe and effective, and it provides a practical method for the assured deletion of cloud data.

     

云环境下的基于属性和重加密的密钥管理

在云计算环境中如何安全地存储数据是云计算面临的挑战之一。加密是解决云计算中数据存储安全问题最主要的方法,而加密的一个保密性问题是密钥管理。提出了云环境下的基于属性和重加密的密钥管理方案。云服务提供商对不同用户进行重加密时,可以一次为一组用户重加密,从而减少了重加密的个数。数据拥有者可以对组用户生成和发送重加密密钥,而数据请求者可以使用属性集对应的一个密钥解密多个数据拥有者的数据,从而能减少两者的密钥发送量,降低密钥管理的难度,提高方案的效率。最后,对方案的安全性和性能进行了分析