密文策略属性加密中的撤销控制方案

在云环境下使用数据共享功能时，由于云环境的复杂性，需要对数据进行安全保护和访问控制，这就要求使用加密机制。基于密文策略属性的加密（CP-ABE）是当前广泛使用的加密机制，它可以根据用户的属性来设置访问权限，任何具有合格访问权限的用户都可以访问数据。然而云是一个动态环境，有时可能只允许具有访问权限用户中的一部分用户访问数据，这就需要用户权限的撤销机制。然而，在CP-ABE中，访问权撤销或用户撤销是一个冗长且代价高昂的事件。所提出方案根据对CP-ABE流程的改进，在原密文中嵌入了可灵活控制的用户个人秘密，使得用户权限撤销时既不要求使用新访问策略的用户撤销数据，也不要求对数据进行重新加密，大幅减少撤销时的计算成本。与知名CP-ABE撤销方案对比，所提出方案的计算成本更低且具有良好的安全性。     

基于ATP-ABE的访问控制方案

对访问控制机制中存在的安全性和有效性的问题进行了研究，提出了基于访问树剪枝的属性加密ATP-ABE（Access Tree Pruning Attribute Based Encryption）的访问控制方案。当ATP-ABE算法需要访问它的树型结构访问策略时，通过剪枝处理访问树结构中包含用户ID属性节点的分支，提高了用户所有者DO（Data Owner）管理和控制属性的效率，更加有效地实现了数据共享。还为访问树结构设计了许可访问属性，使DO仍保留共享数据的关键属性，并且能够完全控制它们的共享数据。基于决策双线性密钥交换算法DBDH（Decisional Bilinear Diffie-Hellman）假设分析了ATP-ABE方案的安全性，研究结果表明与两种经典ABE方案比较，ATP-ABE更加有效地减少了算法的系统设置、私钥生成、密文大小、用户属性撤销以及加解密过程中的计算开销，并给出了定量结论。     

Hadoop环境中基于属性和定长密文的访问控制方法

随着云计算技术的广泛应用,人们越来越关注安全和隐私问题。由于云端是第三方服务器,并非完全可信,数据属主需要将数据加密后再托管云存储。如何实现对加密数据的高效访问控制是云计算技术亟需解决的问题。结合Hadoop云平台、基于属性与固定密文长度的加密方案提出并实现了一种在Hadoop云环境下基于属性和固定密文长度的层次化访问控制模型。该模型不仅具有固定密文长度、层次化授权结构、减少双线性对计算量的特点;同时经过实验验证,该模型能够实现云计算环境下对加密数据的高效访问控制,并解决了云存储空间有限的问题。     

一种企业同步网盘中的密文访问控制方案

针对企业同步网盘中的访问控制需求,充分考虑企业与用户在访问控制方面的合作关系,基于RBAC模型和CP-ABE机制设计一种企业和用户双重可控的密文访问控制方案。采用成熟的开源软件在Linux系统下实现了原型系统并对方案的有效性和效率进行了验证。该方案能够较好地解决企业同步网盘中的密文访问控制问题。     

移动云服务环境中办公资源的安全访问控制技术研究

由于云计算环境中无线办公网络环境的复杂性,导致移动端用户的数据资源存在较大的安全性隐患,因此为了提高移动云服务环境中办公数据访问的安全性,提出了一种基于改进CP-ABE(ciphertext-policy attributed-based encryption)的安全访问控制机制。该方法通过结合电子签章技术,对传统属性加密方案进行了改进,实现了更加高效的移动云计算安全访问控制。仿真实验结果显示:相比其他方法,提出方法所需计算开销和存储更小,且运算效率更高,适用于云服务环境中移动端用户的多种办公应用。     

DACPCC:一种包含访问权限的云计算数据访问控制方案

目前云计算访问控制技术最常用的加密体系是CP-ABE,但传统的CP-ABE加密体系中没有涉及用户的访问权限问题,数据提供者只能让用户去读取数据而不能写数据,访问控制机制不灵活,且效率低.针对这一不足,本文提出了一种包含访问权限的高效云计算访问控制方案DACPCC,该方案在CP-ABE基础上设置了权限控制密钥来加密云中的数据,数据提供者通过对权限控制密钥的选择来控制数据的访问权限.文章对DACPCC进行了详细的设计,并做了安全性证明和实验验证,结果表明DACPCC能够让数据提供者对其数据资源进行权限控制,并且是安全和高效的.     

基于属性的分布式云访问控制方案

云服务中现有访问控制方案对可信第三方具有强烈依赖性。针对该问题,提出一个基于属性的分布式云访问控制方案。建立云访问控制模型,采用ABE的加密树方式构造访问控制策略,并给出用户撤销及策略更新方法。安全性分析表明,该方案能够抵抗共谋攻击,具有数据保密性以及后向前向保密性。     

基于CP-ABE算法的区块链数据访问控制方案

与公有链不同,联盟区块链超级账本Fabric额外集成了成员管理服务机制,能够提供基于通道层面的数据隔离保护。但这种数据隔离保护机制在通道内同步的仍是明文数据,因此存在一定程度的数据泄露风险。另外,基于通道的数据访问控制在一些细粒度隐私保护场景下也不适用。为了解决上述提及的联盟链超级账本中存在的数据隐私安全问题,提出了一种基于CP-ABE算法的区块链数据访问控制方案。结合超级账本中原有的Fabric-CA模块,提出的方案在实现用户级细粒度安全访问控制区块链数据的同时,还能够实现对CP-ABE方案中用户属性密钥的安全分发。对该方案进行的安全分析表明,该方案实现了ABE用户属性私钥安全分发和数据隐私性保护的安全性目标,性能分析部分也说明了所提方案具有良好的可用性。     

云计算环境下基于属性和信任的RBAC模型研究

基于角色的访问控制（Role-Based Access Control,RBAC）是一种经典的访问控制模型,其将用户与权限通过角色关联起来,使得访问控制更加灵活并易于管理。然而,在云计算环境中,RBAC会出现用户权限滥用和访问控制粒度较粗等安全问题。为解决以上问题,提出一种基于属性（Attribute）和信任（Trust）的RBAC模型,即ATRBAC。ATRBAC采用基于密文策略属性基加密（CP-ABE）的思想和信任评估的方法,一方面,为用户授予一个包含信任值属性的属性集合,另一方面,为角色嵌入一种包含信任阈值的访问结构。只有当用户属性集合匹配角色访问结构时,用户才可以获得角色及对应的权限。实验结果表明,ATRBAC模型能够实现动态授权、权限自动化授予以及更细粒度的访问控制,增强了云环境下数据资源的安全性。     

支持权限管理的高效属性撤销机制

针对基于属性的访问控制模型中存在属性撤销后权限确定的问题,本文提出一种支持权限管理的高效属性撤销机制。该方案通过在访问控制机制中引入基于密文策略的属性加密机制CP-ABE来实现密文访问控制,将访问树用主析取范式来表示,主析取范式的每个子集即为访问主体访问资源所需满足的限定条件最小属性集。因此,当属性撤销时,通过判断最小属性集与被撤销属性的关系,来确定被撤销属性对主体的访问是否有影响,进而确定主体的访问权限。性能分析表明,该方案具有较高的安全性,不仅能够实现属性撤销后权限的确定,而且能够抵抗共谋攻击等。