云存储环境下基于时释性加密的CP-ABE方案

云存储是未来存储业务的发展方向,数据安全是云存储客户的首要关切.密文策略属性加密(CP-ABE)算法允许数据拥有者将访问策略嵌入密文中,并结合数据访问者的密钥实施访问控制,特别适合云存储环境,但CP-ABE不支持与时间相关的访问控制.本文提出基于时释性加密的CP-ABE方案,通过在CP-ABE中融入时释性加密(TRE)机制来实现带有时间控制的密文共享,允许数据拥有者基于用户属性和访问时间制定更加灵活的访问策略.论文通过安全分析表明,该方案能够抵抗来自用户、云存储平台和授权机构的非法访问、非法用户的串谋攻击以及选择明文攻击.     

基于区块链的多权限属性隐藏电子病历共享方案

现阶段,不同医院之间没有数据交换共享,容易形成数据孤岛。同时,区域医疗数据含有大量患者的敏感信息,这些数据的公开获取、共享及流通会导致恶意篡改、窃取、滥用与所有权丢失,从而泄露患者隐私。由于庞大的医疗数据量以及医疗数据的非结构化,一些具有较强针对性的恶意攻击更加难以防范与追责,如对医疗数据的窃取、篡改、勒索等恶意攻击。针对以上问题,提出一种基于区块链的多权限属性隐藏电子病历共享方案,以实现共享电子病历的细粒度访问的同时,保证患者隐私安全。引入多授权属性加密（MA-ABE）算法,利用多权限机构管理分散属性,同时通过哈希函数来识别不同用户,可以有效抵抗不同权限用户之间的共谋攻击;利用线性秘密共享方案（LSSS）实现属性的部分隐藏,将属性分为属性名与属性值两部分,以保护属性隐私;结合区块链公开透明、不易篡改等特性,设计访问策略可更新算法,基于访问策略更新算法追加策略区块,将新的访问策略上传至区块链中形成策略可更新溯源链,在隐藏策略条件下实现分布式和可信赖的访问控制管理,同时实现数据隐私保护和用户行为的可追溯。通过安全性证明和实验分析,所提方案能在有效保护属性隐私的同时,降低计算开销。     

基于区块链和密文属性加密的访问控制方案

随着数字社会的到来,使得数据成为了重要的生产要素,为了充分释放数据要素价值,作为数据安全共享的访问控制技术是实现数据安全应用与治理的关键。因此,围绕分布式架构下密文及密钥的安全性问题提出了一种基于区块链的密文访问控制方案。该方案利用密文生成算法与验证合约实现外包密文存储的真实性与完整性验证;设计了基于安全多方计算的属性密码,实现了用户私钥的链下安全多方计算并确保了私钥的唯一性,极大缓解了单属性权威的计算压力,可有效保护用户属性隐私、避免单点故障;定义了格式化的事务数据结构,实现了访问控制的全过程追责。通过安全性分析、性能分析和实验仿真分析表明,该方案在安全性和性能上均满足通用区块链的需求,为数据开放共享提供了一种通用的区块链访问控制方案。     

密文策略属性加密中的撤销控制方案

在云环境下使用数据共享功能时，由于云环境的复杂性，需要对数据进行安全保护和访问控制，这就要求使用加密机制。基于密文策略属性的加密（CP-ABE）是当前广泛使用的加密机制，它可以根据用户的属性来设置访问权限，任何具有合格访问权限的用户都可以访问数据。然而云是一个动态环境，有时可能只允许具有访问权限用户中的一部分用户访问数据，这就需要用户权限的撤销机制。然而，在CP-ABE中，访问权撤销或用户撤销是一个冗长且代价高昂的事件。所提出方案根据对CP-ABE流程的改进，在原密文中嵌入了可灵活控制的用户个人秘密，使得用户权限撤销时既不要求使用新访问策略的用户撤销数据，也不要求对数据进行重新加密，大幅减少撤销时的计算成本。与知名CP-ABE撤销方案对比，所提出方案的计算成本更低且具有良好的安全性。     

基于属性加密的多用户共享ORAM方案

不经意随机访问机（ORAM）是保护用户访问行为隐私安全的关键技术之一,但现有ORAM方案主要针对单用户访问需求,不支持多用户之间的数据共享。结合Ring ORAM方案和属性加密（ABE）技术,设计并实现了一种基于属性加密的多用户共享ORAM方案ABE-M-ORAM。该方案利用属性加密实现了细粒度的访问控制,既保护了用户访问行为的安全,又实现了用户之间便捷的数据共享。理论分析和仿真实验证明该方案具有较高的安全性、实用性以及较好的访问性能。     

基于CP-ABE的可撤销属性加密访问控制算法

为了增强计算机网络的安全性,保证网络中的信息资源不被非法使用,需要进行访问控制。当前基于网格虚拟组织的访问控制算法通过在网格中建立不同的信任域、在主机之间建立基于身份和行为的访问控制策略,实现以任务发起者为中心的网格虚拟组织的跨域访问控制,建立互信的核心算法并进行逻辑推理,从而实现访问控制算法。但是,这类算法可能会使非法使用的网络被判定为安全网络,因此访问控制的准确度不高。为此,提出一种基于CP-ABE的可撤销属性加密访问控制算法,为实现访问控制,首先 构建基于CP-ABE的可撤销属性加密访问控制的访问树,并通过CP-ABE完成访问控制的初始构建和密钥生成。在此基础上,为提高可撤销属性加密访问控制算法的访问控制效果,在加密算法以及解密算法中写入新文件创建、新用户授权、吊销用户、文件访问等方面过程的设计,实现基于CP-ABE的可撤销属性加密访问控制算法。实验结果表明,采用所提算法进行访问控制时耗时缩短,控制效果较好,且实现过程有所简化,对该领域的研究发展起到了积极作用。     

基于属性加密的DDS访问控制方案

数据分发服务（Data distribution service,DDS）是一种可靠的实时数据通信中间件标准,它是面向基于发布/订阅模型的分布式环境,在各个领域得到了广泛应用,但现有研究涉及DDS安全技术的成果较少,而在实际应用中发布订阅系统存在多种安全威胁。为了建立灵活可靠的安全机制来确保发布订阅信息的安全性,提出一种以数据为中心的访问控制方案。在属性加密的基础上,对访问树结构进行优化处理,结合发布订阅环境增加属性信任机制。之后采用制定属性连接式与授权策略的方式对发布订阅信息进行加密匹配,并建立DDS访问控制模型来控制发布订阅系统内信息的交互,实现数据的安全分发。经过实验验证,该方案既能够应对DDS存在的几种安全威胁,保障发布订阅信息的机密性,也能够实现系统对特定信息的访问控制,并且发布者订阅者不需要共享密钥,减少了密钥管理的开销。     

云存储中基于代理重加密的CP-ABE访问控制方案

针对云存储中基于密文策略的属性加密（CP-ABE）访问控制方案存在用户解密开销较大的问题,提出了一种基于代理重加密的CP-ABE （CP-ABE-BPRE）方案,并对密钥的生成方法进行了改进。此方案包含五个组成部分,分别是可信任密钥授权、数据属主、云服务提供商、代理解密服务器和数据访问者,其中云服务器对数据进行重加密,代理解密服务器完成大部分的解密计算。方案能够有效地降低用户的解密开销,在保证数据细粒度访问控制的同时还支持用户属性的直接撤销,并解决了传统CP-ABE方案中因用户私钥被非法盗取带来的数据泄露问题。与其他CP-ABE方案比较,此方案对访问云数据的用户在解密性能方面具有较好的优势。     

云计算环境下基于属性和信任的RBAC模型研究

基于角色的访问控制（Role-Based Access Control,RBAC）是一种经典的访问控制模型,其将用户与权限通过角色关联起来,使得访问控制更加灵活并易于管理。然而,在云计算环境中,RBAC会出现用户权限滥用和访问控制粒度较粗等安全问题。为解决以上问题,提出一种基于属性（Attribute）和信任（Trust）的RBAC模型,即ATRBAC。ATRBAC采用基于密文策略属性基加密（CP-ABE）的思想和信任评估的方法,一方面,为用户授予一个包含信任值属性的属性集合,另一方面,为角色嵌入一种包含信任阈值的访问结构。只有当用户属性集合匹配角色访问结构时,用户才可以获得角色及对应的权限。实验结果表明,ATRBAC模型能够实现动态授权、权限自动化授予以及更细粒度的访问控制,增强了云环境下数据资源的安全性。     

基于CP-ABE的隐藏属性外包解密访问控制

传统的属性基加密方案中数据拥有者将访问结构和密文保存在一起,于是用户收到密文消息的同时也收到了访问结构,但访问结构本身就可能包含数据拥有者的隐私信息。本文提出一种基于密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)的隐藏属性外包解密访问控制方案。该方案既能隐藏数据拥有者制定的访问控制策略中的属性,同时将计算密集型解密操作交给代理服务器完成,又能保证未经授权的属性授权中心或代理服务器不能独自解密共享的加密数据。     

云存储中支持属性撤销的多关键词可搜索加密方案

云存储的便捷性和管理高效性使得越来越多的用户选择将数据存放在云端。为支持用户对云端加密数据进行检索,提出云存储中基于属性加密支持属性撤销的多关键词搜索方案。采用线性秘密共享矩阵来表示访问控制结构,实现密文细粒度访问控制,在属性撤销过程中不需要更新密钥,应对用户属性变更的情况,在此基础上构造基于多项式方程的搜索算法支持多关键词搜索,从而提高搜索精度。理论分析和实验结果表明,该方案具有陷门不可伪造性和关键词隐私性,能够保证用户数据的隐私和安全,相比CP-ABE方案,具有较高的存储性能和计算效率,功能性更强。     

基于椭圆曲线加密且支持撤销的属性基加密方案

在云终端用户资源受限的场景中,传统属性基加密方案中存在着计算开销大以及不能实现实时撤销的不足。为了实现云端数据安全高效的共享,提出了一种基于椭圆曲线加密（ECC）算法且支持细粒度撤销的属性基加密方案。该方案使用计算较轻量级的椭圆曲线上的标量乘法代替传统属性基加密方案中计算开销较大的双线性配对,以降低系统中用户在解密时的计算开销,提高系统的效率,使方案更适用于资源受限的云终端用户场景。利用表达能力更强和计算更高效的有序二元决策图（OBDD）结构来描述用户定义的访问策略,以减少嵌入密文中的冗余属性来缩短密文长度。为每个属性建立一个由拥有该属性用户组成的属性组,并为组内每个成员生成唯一的用户属性组密钥。当发生属性撤销时,利用最小子集覆盖技术为组内剩余成员生成新的属性组,实现实时的细粒度属性撤销。安全分析表明,所提方案具有选择明文攻击不可区分性、前向安全性和后向安全性;性能分析表明,所提方案在访问结构表达和计算能力上优于（t,n）门限秘密共享方案和线性秘密共享方案（LSSS）,其解密计算效率满足资源受限的云终端用户的需求。     

基于PBAC和ABE的云数据访问控制研究

针对云计算环境下云数据库中个人隐私数据的不合理的访问以及关乎个人敏感信息泄露的问题,提出了一种基于PBAC（Purpose-Based Access Control）和ABE（Attribute-Based Encryption）相结合的云数据访问控制模型。该模型在原有的PBAC模型基础上,加入了属性目的集合的概念,对原有的目的树进行了扩展并实现全覆盖,解决了目的详细划分问题;模型还结合了属性加密的技术,根据数据的预期目的构造属性公钥,只有通过认证并且进行目的匹配成功才可以访问限定隐私数据信息。在实现目的树全覆盖以及目的匹配过程中,设计了目的树构建算法以及目的匹配算法,对算法安全性进行分析。实验结果表明,PBAC和ABE相结合的访问控制方案在加解密运算上效率更高。     

一种大属性域版本控制的云安全用户属性动态撤销策略

密文策略属性基加密(ciphertext-policy attribute-based encryption, CP-ABE) 作为一种一对多的数据加密技术, 因能实现密文数据安全和细粒度的权限访问控制而引起学术界的广泛关注。尽管目前在该领域已取得了一些研究成果, 然而, 大多数CP-ABE 方案均基于小属性域, 系统属性同时被多个用户共享而难以实现动态的属性撤销, 现有的属性撤销机制在功能复杂性、计算高效性、以及抗合谋攻击安全性方面存在的问题都成为它在实际应用中的障碍。针对上述问题, 提出一种大属性域版本控制的云安全用户属性动态撤销策略。该方案在密文策略属性加密中构造属性及用户版本密钥, 通过更新属性版本密钥实现用户属性撤销, 更新用户版本密钥实现用户撤销。由此避免了基于重加密实现撤销带来的计算和通信开销。该方案基于 q-DBPBDHE假设, 在随机预言模型下证明是静态性安全的。最后, 对方案进行了性能分析与实验验证, 实验结果表明:在保证密文前后向安全性的前提下, 该方案可以实现动态的用户属性撤销和用户撤销且可以抵制多重合谋攻击, 较同类方案本文方案具有较优的功能特性和计算效率。此外, 所提方案基于大属性域, 在实际应用中更加灵活。     

区块链中可验证外包解密的匿名属性加密方案

属性加密是云计算环境下实现数据机密性和细粒度访问控制的关键技术。然而,一般的属性加密方案中存在访问策略敏感信息泄露、解密成本高、属性授权机构权力过大等问题。为了解决上述问题,提出一种基于区块链的可验证外包解密的匿名属性加密方案。该方案使用策略隐藏保护敏感属性信息,通过两方共同生成完整属性密钥,在解密前进行属性匹配操作。利用区块链不可篡改性存储验证参数存储对第三方外包解密结果进行正确性验证,并使用区块链生成、存储属性证书。在随机谕言模型下证明了选择性密文策略和选择明文攻击的安全性,并与其他方案进行功能、通信开销对比,使用PBC Go密码学库对方案进行仿真,仿真结果表明该方案可以有效地减少用户解密开销。     

一种高效细粒度云存储访问控制方案

分析Hur等提出的数据外包系统中属性基访问控制方案,指出其存在前向保密性安全漏洞、更新属性群密钥效率低和系统存储量大等缺陷,并基于Hur等方案,提出一种新的高效细粒度云存储访问控制方案.新方案由完全可信机构而非云服务器生成属性群密钥,解决前向保密性问题.采用中国剩余定理实现用户属性撤销,将KEK树上覆盖属性群用户最小子树的求解转变为中国剩余定理同余方程组的求解,提高群密钥更新效率.采用密文策略的属性基加密方法加密用于加密明文的对称密钥而非明文本身,将访问控制策略变更的重加密过程转移到云端,实现属性级和用户级的权限撤销.分析表明,新方案具有更强的安全性,更高的群密钥更新效率和更小的存储量与计算量.     

多属性授权机构下属性可撤销的CP-ABE方案

属性基加密（ABE）不仅可以保障数据的安全性,而且能实现数据细粒度的访问控制。现实中,由于用户属性可能被频繁更改,在ABE方案中实现属性撤销是至关重要的。针对现有的方案就如何在计算效率资源受限的设备中实现用户有效的解密以及密钥托管问题,本文提出一个在云环境中多属性授权机构下的可撤销的ABE方案。在本文方案中,用户端使用外包解密技术来减少本地的计算负荷,将组合密钥和密文的更新委托云服务器,实现属性的撤销功能。安全性分析表明,本文方案在选择明文攻击下具有不可区分安全性,性能分析结果表明,本文方案更高效。     

基于MPT建模的属性访问控制策略

针对基于属性访问控制中复杂的属性工程,在以太坊底层使用的数据存储结构的MPT(Merkle Patricia tree)方法基础上进行部分安全性扩展,将离散属性建模成统一的MPT属性集,然后通过默克尔证明方法确保属性集的完整性。为了保证属性隐私不会被泄露以及增强MPT属性体系在分布式环境下的安全性,使用公开密钥体制的椭圆曲线加密算法对属性值进行处理。此外,将MPT属性集以数据库的方式存储,实现动态的属性操作。理论分析和实验结果表明该策略能解决属性工程的完整性和安全性问题,也使得基于属性的访问控制在分布式环境中易于实施。