云中可动态更新的属性基代理重加密方案

代理重加密是在保证重加密授权者私钥安全的前提下进行密文转换的操作,实现了云中数据的动态共享。而在基于属性的代理重加密方案中,其代理方可以在不泄露明文数据的前提下,将访问策略下的密文经过重加密转换为不同的访问策略下的密文,完成密态数据的安全外包计算。现有的属性代理重加密方案只是实现了密文策略的更新变换,存在着实用性低,计算量大等缺点。为了满足用户权限的动态更新,以及传统属性加密体制中用户离线后不能向他人提供解密能力的问题,本文提出了一种云中可动态更新的属性基代理重加密方案。通过在系统公开参数中加入用户集合信息并利用属性撤销技术,分别实现了用户集合与属性集合的动态更新,以保证用户权限的动态更新,并且该方案满足单向性、非交互性、非传递性、非转移性和可验证性等特点。此外,利用离线加密技术将加密操作分成两步实现,大量的辅助计算在离线阶段进行,降低了用户客户端在线加密的计算开销。同时,受理者可以对代理重加密密文进行验证操作,避免数据遭受第三方破坏。安全性方面,在标准模型和判定性q阶双线性Diffie-Hellman假设下,证明了本方案具有选择明文攻击下的密文不可区分性且可抵抗同谋攻击。最后,通过效...     

基于智能合约的日志安全存储与公平访问方法

当前信息系统存在日志数据易被篡改、伪造和删除的安全风险及未授权访问等问题。现有日志存储与访问研究方法大多利用可搜索加密技术实现,虽然实现了敏感日志数据的加密存储,但缺乏对密文搜索过程的公平性和密文数据访问权限控制等问题的研究。针对以上问题,文章设计了一种基于智能合约的日志安全存储与公平访问方法。智能合约作为可搜索加密过程的参与方,执行搜索陷门的对比和密文搜索结果的验证,从而无需第三方实体即可验证密文搜索过程的正确性,同时利用押金机制保障搜索过程中数据使用者与云服务器之间的公平支付。该方法将基于角色的访问控制策略嵌入可搜索加密过程,通过角色公钥与实体身份公钥的一对多映射,将可搜索加密扩展至多对多模式,同时实现了日志密文数据的授权访问。安全性分析和实验表明,该方法可以满足日志数据存储的完整性和机密性要求,通过智能合约和押金机制保证密文搜索过程的公平性与正确性,通过基于角色的访问控制避免数据的未授权访问。     

基于代理重加密的电子病历数据共享方案

现有的电子病历大部分只能在医生与患者之间实现数据共享,数据用户难以访问患者的电子病历。针对该问题,提出一种利用代理重加密的电子病历数据共享方案。患者通过搜索陷门得到加密电子病历,数据用户要获取其电子病历,可请求患者和云服务器进行交互,云服务器生成重加密密钥,并对电子病历密文进行代理重加密,经患者授权后将重加密密文发送给数据用户,数据用户用其私钥解密密文,最终获取电子病历数据。基于随机预言机模型的实验结果表明,该方案在改进双线性Diffie-Hellman假设和q决策双线性Diffie-Hellman逆转假设下,均可实现关键字隐私安全和消息隐私安全。     

基于B/S结构的数据库加密设计

数据库加密技术越来越引起人们的关注.数据库加密就是对数据库的文件或数据进行加密,数据加密后以密文方式存储,即使被窃取、被拷贝,机密数据也不会被敌对方获取.本文给出了一个基于B/S结构的数据库加密新方案,并利用JAVA平台设计和实现了一个WEB环境下的医院门诊加密系统.     

基于访问控制和中国剩余定理的数据库密钥管理方案的研究

针对密文数据库中数据项加密时会出现数据项密钥量大和安全需求高的问题,通过引入中国剩余定理来管理数据项密钥,提出了一种新的基于访问控制和中国剩余定理的密钥管理方案。当用户申请用户密钥时,密文数据库可以将用户u_i能够访问的大量数据项对应的密钥K_i"合成"用户密钥uki并保存;当用户ui提供用户密钥uk_i和密文查询请求CQR访问密文数据库时,系统会根据系统表和中国剩余定理将用户密钥uk_i再分解成数据项密钥K_i,用户就可以解密数据。该方案不仅实现了对用户访问权限的管理,还解决了大量数据项密钥带来的数据处理时间长、占用系统资源多等问题,提高了密文数据库中密钥管理的效率和安全性。论文最后实现了该密钥管理方案,并对比分析了该方案的安全性。     

异构数据库加解密系统的关键技术研究与实现

对数据进行加密是保护信息机密性的一种有效途径,针对一般加解密系统的异构数据库兼容性差以及密文查询方式单一的问题,提出了一种新的数据库加密方式：以领域元数据为支撑,采用对象关系映射模型屏蔽异构数据库,通过构建密文索引来实现灵活多样的密文查询;设计并实现了异构数据库加解密系统。实验结果和理论分析表明：系统能够支持多种类型数据库的加解密,提供多种方式的密文查询,并提高了数据库加密的安全性。     

可信数据库环境下面向服务的自适应密文数据查询方法

实现加密数据的高效安全查询是保证可信数据库安全性和实用性的关键.与目前加密数据查询采用的静态密文分段方法不同,论文基于加密数据的分布和用户查询类型、分布规律,提出了一种自适应加密索引AEI(Adaptive Encrypted Index),实现面向服务的加密数据查询.AEI通过分析查询服务对查询性能的影响,根据承载服务特性、密文数据分布、用户查询分布采用自适应的加密索引划分策略,获得更好的加密数据查询性能.基于AEI方法可在可信数据库环境下实现密文数据查询,并通过了相关性能测试.实验数据表明,与其它加密数据查询方法相比,AEI方法具有更好的适应性和更高的加密数据查询效率.     

云计算多授权中心CP-ABE代理重加密方案

代理重加密技术可使代理在不知道明文的条件下实现密文访问策略转换,这使代理重加密成为用户之间进行数据分享的重要技术。然而,代理重加密方案大多数是在单授权中心下构建的,存在授权机构权限大、易出现性能瓶颈和用户的计算开销大等问题。同时,大多数方案不满足代理重加密应具备的5个基本特性：单向性、可控性、非交互性、可重复性与可验证性。为解决以上问题,提出支持重复可控特性的云计算多授权中心CP-ABE(ciphertext-policy attribute-based encryption)代理重加密方案。在密文策略属性加密方案的基础上,引入代理加密和代理解密服务器从而减小用户客户端的计算开销,设置多个属性授权中心来分散中央机构权限。对代理重加密技术进行改进：在重加密密钥中设置随机因子和密文子项来实现单向性和可控性;设置的重加密密钥由客户端独立生成,不需要其他服务器参与,可实现非交互性,即可在数据拥有者为不在线状态时也可以进行数据分享;在初始密文中设置密文子项,对其多次加密即可实现重复性;在初始密文中设置验证子项,用户可验证外包以及重加密结果正确与否。通过与其他方案对比发现,所提方案的用户客户端计算...     

基于加密数据库的快速查询方法研究

为保护用户的隐私,企业通常会将重要信息加密后再向数据库中存储。但使用普通加密策略加密后的数据不能直接进行比较和运算操作,当需要查询特定数据时,必须将所有密文数据下载到本地并解密。这种机制的查询速度非常慢,不具有实用性。针对关系型数据库,设计了支持快速查询的加密模型,并实现了模型中使用的三种加密算法,分别为确定加密算法、保持有序加密算法、同态加密算法等。将输入的明文数据使用三种算法加密后分别存储到数据库中,查询时该模型可根据查询语句的类型来匹配数据库中相应的密文数据,进而支持在加密数据库中可直接对密文进行比较和运算,提高对加密数据库的查询速度。     

基于区块链的多关键字细粒度可搜索加密方案

密文策略下基于属性的关键字搜索(CP-ABKS)技术可以对加密的数据实现细粒度控制和检索.现有CP-ABKS方案较少考虑云服务器的恶意行为和搜索过程的公平支付,且通常只支持单关键字密文检索.对此,文章提出基于区块链的多关键字细粒度可搜索加密方案.利用密文策略下基于属性的加密技术满足多用户检索,实现了细粒度访问控制和访问...     

A secure and efficient Ciphertext-Policy Attribute-Based Proxy Re-Encryption for cloud data sharing

Proxy Re-Encryption (PRE) is a useful cryptographic primitive that allows a data owner to delegate the access rights of the encrypted data stored on a cloud storage system to others without leaking the information of the data to the honest-but-curious cloud server. It provides effectiveness for data sharing as the data owner even using limited resource devices (e.g. mobile devices) can offload most of the computational operations to the cloud. Since its introduction many variants of PRE have been proposed. A Ciphertext-Policy Attribute-Based Proxy Re-Encryption (CP-ABPRE), which is regarded as a general notion for PRE, employs the PRE technology in the attribute-based encryption cryptographic setting such that the proxy is allowed to convert an encryption under an access policy to another encryption under a new access policy. CP-ABPRE is applicable to many network applications, such as network data sharing. The existing CP-ABPRE systems, however, leave how to achieve adaptive CCA security as an interesting open problem. This paper, for the first time, proposes a new CP-ABPRE to tackle the problem by integrating the dual system encryption technology with selective proof technique. Although the new scheme supporting any monotonic access structures is built in the composite order bilinear group, it is proven adaptively CCA secure in the standard model without jeopardizing the expressiveness of access policy. We further make an improvement for the scheme to achieve more efficiency in the re-encryption key generation and re-encryption phases.     

大型数据库加密传输数据智能监测系统设计

为解决传统加密传输数据监测系统在数据传输过程中易产生数据丢失、损坏等问题,提出并设计大型数据库加密传输数据智能监测系统。给出系统整体框架结构,硬件部分主要由四部分组成,用户登陆模块主要对访问角色进行划分,生成该身份对应的权限;密匙管理模块对权限信息进行保护和储存;文件安全传输模块对数据进行安全传输;系统软件部分主要对平分的64bit数据进行双路加解密,完成大型数据库加密传输数据智能监测系统设计。实验结果表明,该系统数据丢失率低、数据损坏少,有效提高了数据传输安全性,充分满足加密传输数据监测系统的设计需求。     

具备多级安全机制的在线数据库同态加密方案

随着在线数据库管理系统的广泛应用,需要对数据库中存储的敏感信息进行加密。运用同态加密技术的数据库加密方案可以实现不用解密而直接操作密文数据,从而降低了加密对应用性能的影响。多级安全机制能够为数据库管理系统提供更高层级的信息安全保护。文章针对在线数据库管理系统的特点,提出了一种具备多级安全机制的同态加密方案。该方案数据库服务器端配置了所有安全等级的加解密密钥,客户端仅配置与自身安全等级相适应的加解密密钥;包含字段和记录两层加密机制,层次清晰,运算简单;具备多级安全机制,高安全等级用户所在的客户端能够解密数据库服务器中的低安全等级数据;支持所有数据库关系操作。实验结果表明,文章密钥配置方案合理可行,加密方案加解密原理正确,支持多级安全等级机制。     

基于CP-ABE和XACML多权限安全云存储访问控制方案

为了保护云存储系统中用户数据的机密性和用户隐私,提出了一种基于属性加密结合XACML框架的多权限安全云存储访问控制方案。通过CP-ABE加密来保证用户数据的机密性,通过XACML框架实现基于属性细粒度访问控制。云存储系统中的用户数据通过对称加密机制进行加密,对称密钥采用CP-ABE加密。仿真实验表明,该方案是高效灵活并且安全的。安全性分析表明,该方案能够抵抗共谋攻击,具有数据机密性以及后向前向保密性。     

基于可搜索加密机制的数据库加密方案

近年来,数据外包的日益普及引发了数据泄露的问题,云服务器要确保存储的数据具有足够的安全性,为了解决这一问题,亟需设计一套高效可行的数据库加密方案,可搜索加密技术可较好地解决面向非结构文件的查询加密问题,但是仍未较好地应用在数据库中,因此,针对上述问题,提出基于可搜索加密机制的数据库加密方案.本文贡献如下:第一,构造完整的密态数据库查询框架,保证了数据的安全性且支持在加密的数据库上进行高效的查询;第二,提出了满足IND-CKA1安全的数据库加密方案,在支持多种查询语句的前提下,保证数据不会被泄露,同时在查询期间不会降低数据库中的密文的安全性;第三,本方案具有可移植性,可以适配目前主流的数据库如MySQL、PostgreSQL等,本文基于可搜索加密方案中安全索引的构建思想,利用非确定性加密方案和保序加密方案构建密态数据库安全索引结构,利用同态加密以及AES-CBC密码技术对数据库中的数据进行加密,实现丰富的SQL查询,包括等值查询、布尔查询、聚合查询、范围查询以及排序查询等,本方案较BlindSeer在功能性方面增加了聚合查询的支持,本方案改善了CryptDB方案执行完成SQL查询后产生相等性泄露和顺序泄露的安全性问题,既保证了数据库中密文的安全性,又保证了系统的可用性,最后,我们使用一个有10000条记录的Student表进行实验,验证了方案框架以及算法的有效性,同时,将本方案与同类方案进行功能和安全性比较,结果表明本方案在安全性和功能性之间取得了很好的平衡.     

一种改进的基于身份广播代理重加密云存储方案

存储安全是公共云应用诸多安全问题中最关键的问题之一,对云服务的快速发展有着重大影响。结合身份加密、代理重加密以及广播加密的特点,提出了一种新的云存储方案。该方案通过条件控制,实现了用户对远程密文数据代理重加密过程中的细粒度访问控制;基于身份加密,利用用户的身份属性作为公钥,减少了证书验证过程;结合广播的思想,以用户集合为单位进行加密,减少系统的计算消耗。实验表明,文章提出的方案可以实现密文数据云存储和共享,主要函数的时间开销合理,能够保证大规模用户接入时系统高效。     

应用于数据库安全保护的加解密引擎系统

针对系统业务数据安全存储问题,采用加解密引擎服务对应用端发送数据进行加密,根据用户ID来识别不同用户的传输命令,利用用户私有的KEY进行加密存储。该方案在云计算平台下具有保护用户数据存储安全、隔离数据的功能。当应用端用户查询已加密数据时,加解密引擎服务端根据用户ID读取缓存区用户密钥,解密数据返回给应用端明文数据。当加解密系统和第三方应用进行集成时,加解密引擎将载人用户定义的加密算法、加密矢量等信息,按照用户自身的密钥加密敏感数据,可保证用户敏感数据存储安全并隔离不同用户的业务数据。以某市人口库系统集成为例,验证了方案的可行性。     

基于用户鉴别码的加密系统设计

通过引入中心加密服务器的方式对现有的数据库加密体系结构进行了改造，实现了加密数据与加密密钥的分离，有效防止了攻击者对系统数据的窃取。并且针对数据库加密密钥管理及用户存取权限控制，提出了一种用户鉴别码模型，能有效地提高系统加密密钥管理的强度，同时在一定程度上防范了目前系统在存取权限控制方面的很多漏洞。     

面向云数据库的属性基加密和查询转换中间件

针对云数据库租户隐私数据的加密和查询问题,提出并实现了一种面向云数据库的属性基加密（ABE）和查询转换服务中间件。首先,服务中间件的加解密部件对租户的对称密钥进行属性基加密,生成密文并保存;其次,服务中间件的查询转换部件对查询语句进行转换,使其可在加密后的数据库上正确执行;最后,租户的隐私数据经过对称加密后保存到云数据库。实验结果表明,与未加密数据库的数据写入和查询时间相比,加密数据库的写入时间与其相当,按照查询语句的复杂程度,查询时长增加10%~150%不等。理论分析表明,所采用的代理解密方案是安全的,与传统的基于密钥策略的属性基加密（CP-ABE）方案相比,代理解密方案在时间复杂度上更具优势。     

Web数据库加密系统的研究与实现

数据库加密就是对数据库的文件或敏感数据进行加密,数据加密后以密文方式存储,即使被窃取、被拷贝,机密数据也不会被敌对方获取。该文给出了一个基于B/S模式的数据库加密新方案,并运用Java平台的JCE技术设计和实现了一个基于校园网的高校科研管理加密系统。