支持撤销属性的CP-ABE密钥更新方法

在现有云存储的密文策略属性加密方案（CP-ABE）中,大多只考虑用户的计算开销,而忽略了属性授权中心在更新密钥的时候所消耗的大量计算资源。针对该问题提出了一种基于CP-ABE的支持细粒度属性撤销的密钥更新方法。首先属性授权中心创建用户撤销列表以及属性密钥撤销列表,然后利用区块链公开、安全、可验证等相关特性来存储撤销列表等数据。最后系统根据这些数据在用户请求密文时更新其属性密钥,即将密钥频繁变更转为按需单次变更从而减少属性授权中心在一定时间段内大量的计算。同时,通过引入可验证外包的方法确保用户解密的正确性以及低廉的开销。理论分析验证了方案的安全性以及密文加解密的高效性,并通过仿真实验与其他方案比较验证了方案在单次系统属性撤销方面也具备着高效的性能。     

基于代理的即时属性撤销KP-ABE方案

属性撤销是属性基加密方案在实际应用中亟须解决的问题,已有支持间接撤销模式的可撤销属性基加密方案存在撤销延时或需要更新密钥及密文等问题。为此,提出一种间接模式下基于代理的支持属性即时撤销的密钥策略属性基加密方案,该方案不需要用户更新密钥及重加密密文,通过在解密过程中引入代理实现撤销管理,减轻了授权机构的工作量,其要求代理为半可信,不支持为撤销用户提供访问权限及解密密文。分析结果表明,该方案支持细粒度访问控制策略,并且可以实现系统属性的撤销、用户的撤销及用户的部分属性撤销。     

高效撤销的密文策略属性基加密方案

摘要：作为新型的密码学原语,属性基加密方案通过一系列属性来定义一个用户,并且实现了细粒度访问控制。然而,复杂、耗时的撤销操作成为限制属性基加密方案应用的瓶颈问题。为了解决属性基加密方案中的撤销问题,本文提出一种高效属性撤销的密文策略属性基加密方案。该方案通过固定长度的撤销列表记录撤销用户,撤销过程不必更新系统密钥及相关用户的密钥,大大降低了撤销所引起的计算开销。     

支持细粒度属性直接撤销的CP-ABE方案

为了解决用户属性变化带来的权限访问控制问题,支持属性撤销的基于属性加密方案被提出.然而,现有的属性撤销机制大多存在撤销代价大、撤销粒度粗等问题,且已有的方案均存在安全隐患,即属性授权中心可以伪装成任意用户解密密文.为弥补上述不足,提出一种支持细粒度属性直接撤销的密文策略的基于属性加密方案（CP-ABE）,并给出该方案的形式化定义与安全模型.所提方案中,用于生成用户密钥的秘密参数由系统中心和属性授权机构分别产生,可避免属性授权中心解密密文的安全隐患.同时,通过引入多属性授权中心进一步降低了安全风险.在属性撤销方面,通过设计高效的重加密算法并引入属性撤销列表,实现细粒度的属性直接撤销.安全证明和性能分析表明：所提方案在适应性选择密文攻击下具有不可区分性并能抵抗不可信授权中心的破译攻击,较同类方案具有更高的计算效率以及更细的属性撤销粒度.     

基于多授权中心的CP-ABE属性撤销方案

直接将密文属性基加密（CP-ABE）运用于云环境中，将造成云访问控制的安全和计算开销问题。为此，提出一种支持多授权中心的属性撤销方案（RMCP-ABE），通过采用逻辑二叉树和每属性代理重加密等方法，保证了属性撤销过程中的安全性，属性撤销的即时性、灵活性和细粒度，降低了数据属主的计算开销。方案引入了多授权中心模型，避免授权中心被攻破或者合谋的威胁，并提高了运行效率。安全性和实验分析表明，该算法安全性与传统CP-ABE算法一致，同时与其他属性撤销方案相比开销更低。     

云计算环境下基于属性的撤销方案

针对云环境下密文策略属性基加密共享数据的访问权限撤销问题,提出了基于属性的撤销方案。方案中可信第三方从带有全局标识的用户属性集中查找满足密文访问结构的属性集,为该交集中的每个属性生成带有相同全局标识的密钥组件,通过组合密钥组件生成用户私钥。当发生撤销时,更新撤销用户属性的密钥组件并分发给拥有该属性的其他用户,同时生成对应的重加密密钥来对密文重加密。安全性分析和实验表明,本方案是选择明文攻击安全的,能有效实现属性的即时撤销,解决多授权结构密钥分发的同步问题。采用hash函数可使密文长度达到常数级,进一步减少资源开销,满足实际云环境中属性安全撤销的应用需求。     

多属性授权机构下属性可撤销的CP-ABE方案

属性基加密（ABE）不仅可以保障数据的安全性,而且能实现数据细粒度的访问控制。现实中,由于用户属性可能被频繁更改,在ABE方案中实现属性撤销是至关重要的。针对现有的方案就如何在计算效率资源受限的设备中实现用户有效的解密以及密钥托管问题,本文提出一个在云环境中多属性授权机构下的可撤销的ABE方案。在本文方案中,用户端使用外包解密技术来减少本地的计算负荷,将组合密钥和密文的更新委托云服务器,实现属性的撤销功能。安全性分析表明,本文方案在选择明文攻击下具有不可区分安全性,性能分析结果表明,本文方案更高效。     

改进的属性撤销权重属性基加密方案

在PHR（Personal Health Records,个人健康记录）系统中,用户会动态地加入或离开,及时撤销细粒度的属性更加适用于实际应用系统。为此,提出一种改进的基于仲裁者的密文策略的属性基加密方案,使其能够在具有外包解密的同时可以实现细粒度属性及时撤销。该方案通过构造KEK树及时更新密钥和密文以此来及时撤销细粒度属性。此外,针对现有的密文策略属性基加密方案较少考虑到属性重要性,将属性权重的概念引入该方案中,使其更加适合PHR系统。安全性分析和仿真实验表明,与已有方案相比,所提方案可以抵抗合谋攻击,保证数据机密性以及前向安全和后向安全。此外,该方案具有更低的计算复杂度。     

基于区块链可撤销属性的去中心化属性基加密方案

针对现有属性基加密（ABE）方案存在的属性撤销效率低以及用户属性密钥的分发和撤销难以协调等问题，提出一种基于区块链可撤销属性的去中心化属性基加密（BRDABE）方案。首先，利用共识驱动的区块链构架将密钥分发的信任问题从属性权威映射到分布式账本上，并利用智能合约记录用户属性和数据共享的状态以及协助属性权威实现用户属性的撤销。当撤销用户的属性时，属性权威利用智能合约自动筛选出所涉及的数据所有者和未撤销授权的用户，并生成与撤销属性相关的密文更新钥和密钥更新钥，链下进行密文和密钥更新。其次，将版本钥和用户全局身份嵌入属性私钥，在用户解密时，使会话密钥密文和用户属性私钥中的身份能够相互抵消。基于合理假设，证明BRDABE方案能抵抗用户的合谋攻击，且满足用户属性撤销的前向和后向安全性。实验结果表明，随着用户属性个数的增加，用户密钥生成、加密解密和属性撤销的时间呈线性增长。当属性个数相同时，与DABE(Decentralizing Attribute-Based Encryption)相比，BRDABE的解密时间缩短了94.06%～94.75%；与EDAC-MCSS(Effective Data A...     

一种高效细粒度云存储访问控制方案

分析Hur等提出的数据外包系统中属性基访问控制方案,指出其存在前向保密性安全漏洞、更新属性群密钥效率低和系统存储量大等缺陷,并基于Hur等方案,提出一种新的高效细粒度云存储访问控制方案.新方案由完全可信机构而非云服务器生成属性群密钥,解决前向保密性问题.采用中国剩余定理实现用户属性撤销,将KEK树上覆盖属性群用户最小子树的求解转变为中国剩余定理同余方程组的求解,提高群密钥更新效率.采用密文策略的属性基加密方法加密用于加密明文的对称密钥而非明文本身,将访问控制策略变更的重加密过程转移到云端,实现属性级和用户级的权限撤销.分析表明,新方案具有更强的安全性,更高的群密钥更新效率和更小的存储量与计算量.     

支持撤销的外包加解密CP-ABE方案

属性基加密（attribute-based encryption,ABE）方案在云存储中得到了越来越广泛的应用,它能够实现细粒度的访问控制,但是现有的大多数ABE方案存在撤销方案效率低、开销大的问题。为了解决这一问题,提出一种更高效、细粒度的支持属性撤销的属性基加密方案。该方案将部分加解密运算外包给代理服务器,从而降低用户的加解密计算量。同时还提出了一种有效的属性撤销方法,该方法只需更新与撤销属性相关联的密文和用户密钥,所以属性撤销的代价很小。并结合了双因子身份认证机制,提高算法的安全性。该方案基于DBDH假设,在标准模型下被证明是安全的。     

一个适应性安全的支持用户私钥撤销的KP-ABE方案

用户私钥撤销是基于属性的加密(Attribute Based Encryption,ABE)方案在实际应用中所必需解决的问题.现有的支持用户私钥撤销的ABE方案通过引入用户身份的概念,以撤销用户身份的方式实现了对用户私钥的撤销,但其安全性只能达到选择性安全.本文借鉴已有方案的思想,通过将Lewko等人提出的适应性安全ABE方案与Leyou Zhang提出的适应性安全基于身份的组播加密方案相结合,利用双系统加密技术,在合数阶双线性群上实现了一个适应性安全的支持对用户私钥进行撤销的KP-ABE方案.     

高效且可验证的多授权机构属性基加密方案

移动云计算对于移动应用程序来说是一种革命性的计算模式,其原理是把数据存储及计算能力从移动终端设备转移到资源丰富及计算能力强的云服务器.但是这种转移也引起了一些安全问题,例如,数据的安全存储、细粒度访问控制及用户的匿名性.虽然已有的多授权机构属性基加密云存储数据的访问控制方案,可以实现云存储数据的保密性及细粒度访问控制;但其在加密和解密阶段要花费很大的计算开销,不适合直接应用于电力资源有限的移动设备;另外,虽然可以通过外包解密的方式,减少解密计算的开销,但其通常是把解密外包给不完全可信的第三方,其并不能完全保证解密的正确性.针对以上挑战,本文提出了一种高效的可验证的多授权机构属性基加密方案,该方案不仅可以降低加密解密的计算开销,同时可以验证外包解密的正确性并且保护用户隐私.最后,安全分析和仿真实验表明了方案的安全性和高效性.     

一种大属性域版本控制的云安全用户属性动态撤销策略

密文策略属性基加密(ciphertext-policy attribute-based encryption, CP-ABE) 作为一种一对多的数据加密技术, 因能实现密文数据安全和细粒度的权限访问控制而引起学术界的广泛关注。尽管目前在该领域已取得了一些研究成果, 然而, 大多数CP-ABE 方案均基于小属性域, 系统属性同时被多个用户共享而难以实现动态的属性撤销, 现有的属性撤销机制在功能复杂性、计算高效性、以及抗合谋攻击安全性方面存在的问题都成为它在实际应用中的障碍。针对上述问题, 提出一种大属性域版本控制的云安全用户属性动态撤销策略。该方案在密文策略属性加密中构造属性及用户版本密钥, 通过更新属性版本密钥实现用户属性撤销, 更新用户版本密钥实现用户撤销。由此避免了基于重加密实现撤销带来的计算和通信开销。该方案基于 q-DBPBDHE假设, 在随机预言模型下证明是静态性安全的。最后, 对方案进行了性能分析与实验验证, 实验结果表明:在保证密文前后向安全性的前提下, 该方案可以实现动态的用户属性撤销和用户撤销且可以抵制多重合谋攻击, 较同类方案本文方案具有较优的功能特性和计算效率。此外, 所提方案基于大属性域, 在实际应用中更加灵活。     

云存储中支持属性撤销的多关键词可搜索加密方案

云存储的便捷性和管理高效性使得越来越多的用户选择将数据存放在云端。为支持用户对云端加密数据进行检索,提出云存储中基于属性加密支持属性撤销的多关键词搜索方案。采用线性秘密共享矩阵来表示访问控制结构,实现密文细粒度访问控制,在属性撤销过程中不需要更新密钥,应对用户属性变更的情况,在此基础上构造基于多项式方程的搜索算法支持多关键词搜索,从而提高搜索精度。理论分析和实验结果表明,该方案具有陷门不可伪造性和关键词隐私性,能够保证用户数据的隐私和安全,相比CP-ABE方案,具有较高的存储性能和计算效率,功能性更强。     

基于椭圆曲线加密且支持撤销的属性基加密方案

在云终端用户资源受限的场景中,传统属性基加密方案中存在着计算开销大以及不能实现实时撤销的不足。为了实现云端数据安全高效的共享,提出了一种基于椭圆曲线加密（ECC）算法且支持细粒度撤销的属性基加密方案。该方案使用计算较轻量级的椭圆曲线上的标量乘法代替传统属性基加密方案中计算开销较大的双线性配对,以降低系统中用户在解密时的计算开销,提高系统的效率,使方案更适用于资源受限的云终端用户场景。利用表达能力更强和计算更高效的有序二元决策图（OBDD）结构来描述用户定义的访问策略,以减少嵌入密文中的冗余属性来缩短密文长度。为每个属性建立一个由拥有该属性用户组成的属性组,并为组内每个成员生成唯一的用户属性组密钥。当发生属性撤销时,利用最小子集覆盖技术为组内剩余成员生成新的属性组,实现实时的细粒度属性撤销。安全分析表明,所提方案具有选择明文攻击不可区分性、前向安全性和后向安全性;性能分析表明,所提方案在访问结构表达和计算能力上优于（t,n）门限秘密共享方案和线性秘密共享方案（LSSS）,其解密计算效率满足资源受限的云终端用户的需求。     

面向可变用户群体的可搜索属性基加密方案

为解决属性基加密方案中用户撤销繁琐、密文更新计算开销大的问题,提出一种面向可变用户群体的可搜索属性基加密方案.利用二叉树管理撤销列表,当需要撤销用户时,可信中心只要将其加入撤销列表,并通知云服务器更新部分密文,提高了用户撤销的效率.考虑到利用二叉树实现用户撤销会导致系统中用户数量存在上限,当某个二叉树叶结点所代表的用户被撤销后,只要更新二叉树中设置的随机值,其他用户就可以重复使用该结点.基于配对计算为用户提供密文搜索功能,并保证被撤销的用户无法搜索密文.安全性分析表明,该方案在随机谕言模型下满足选择明文不可区分安全性.性能分析和实验数据表明,该方案相比于同类方案,计算开销更小.