多机构授权下可追踪可隐藏的属性基加密方案

在单机构授权的属性基加密方案中,授权中心存在风险过于集中、计算载荷过重的问题。但已经存在的加密方案几乎都是在单机构授权下进行密钥追踪、访问策略隐藏的。因此,文章提出了一种在多机构授权下可隐藏策略、可追踪密钥的属性基加密方案。该方案通过把访问结构完全隐式地嵌入到密文中,从而使攻击者无法通过访问结构来获得用户隐私;多机构授权下实现对密钥的追踪,防止用户与单授权机构合谋密钥滥发。该方案在实现多机构授权下参数长度、计算开销没有明显的增加。最后基于DBDH安全模型,证明该方案在标准模型下是可以抵抗选择明文攻击的。     

基于密文策略属性加密的云存储访问控制方案

针对现有方案存在的访问策略公开、密文存储开销较大的问题,提出一种支持策略隐藏且固定长度密文的云存储访问控制方案,并在安全模型下证明方案可抵抗选择明文攻击。方案中用户私钥由多个授权机构共同生成,中央授权机构不参与生成任何主密钥与属性私钥;访问结构隐藏在密文之中,恶意用户无法通过访问结构获取敏感信息。此外,方案实现了固定密文长度,并且加密时的指数运算和解密时的双线性对运算次数均是固定值。最后,理论分析和实验结果表明该方案在密文长度和加解密时间上都明显优于对比方案。     

云存储环境下属性基加密综述*

属性基加密作为一种新型的密码方案,将用户私钥和密文与属性相关联,为解决云存储环境下数据安全共享、细粒度访问控制和安全存储等问题提供了一种解决思路。在对密钥策略属性基加密、密文策略属性基加密和混合策略属性基加密深入研究后,根据不同的功能扩展,针对隐藏访问结构、多授权机构、复杂计算安全外包、可搜索加密机制、属性撤销、叛徒追踪等重点难点问题进行了深入探讨研究。最后总结了现有研究工作的不足,并指出了未来的研究方向。     

隐藏访问策略的属性基加密机制

在属性基加密方案中,加密者通常把访问策略与密文一起发送给用户,但有时访问策略本身就是敏感信息,需要保密。提出一种新的较高效的匿名访问属性基加密方案,在加密过程中通过隐藏部分子集值以使授权用户有效密文和非授权用户无效密文不可区分,在对称双线性群组的基础上实现了访问匿名。与同类的匿名访问方案比较,新方案减少了双线性对和幂运算的次数,提高了算法的效率,并缩短了分析密文、密钥等的长度。分析结果表明,该算法可以在保持现有公共参数不变的情况下增加新的属性,增强了系统的灵活性。同时可证明新方案在双线性判定性假设下的安全性。     

多授权机构下可撤销叛徒的属性基加密方案

针对单授权机构下属性基加密方案中的密钥滥用问题,以及加密机制本身存在的效率和安全问题,研究一种在多授权机构下可对非法用户（或叛徒）进行撤销的属性基加密方案。在单授权机构下属性基加密方案的基础上,利用双线性映射和线性秘密共享方案等来实现多个授权机构相互协作而不需要中央机构控制,并结合完全子树架构将用户映射到二叉树上来提高撤销叛徒的效率,将单授权方案转化成多授权机构下的可撤销叛徒的属性基加密方案MA-TRABE,还分析了该方案的抗串谋攻击安全性和多授权机构下的安全性。根据电子商务安全支付的需要,设计了MA-TRABE的实际应用。     

策略隐藏的高效多授权机构CP-ABE物联网数据共享方案

物联网环境下的数据共享存在效率低下、隐私泄露等问题，以及基于密文策略的属性基加密（ciphertext policy attribute-based encryption,CP-ABE）数据共享方案因采用单授权机构，需要承担繁重的计算工作而成为系统运行效率的瓶颈.为解决上述问题，提出一种策略完全隐藏的高效多授权机构CP-ABE物联网数据共享方案.该方案利用多授权机构CP-ABE实现数据的细粒度访问控制，利用联盟链不可篡改的特性保证密文哈希值和密钥集合密文的安全，采用MurmurHash3算法实现策略的完全隐藏，避免访问策略泄露用户隐私信息；并结合多秘密共享算法改进多授权机构CP-ABE，进而提升数据共享的效率.理论分析证明该方案能够保证访问策略和秘密共享过程的安全性.仿真实验结果表明，所提方案在策略隐藏和秘密分发过程中都具有较好的性能.     

卫星网络中支持策略隐藏的多授权访问控制方案

卫星网络具有信道开放、节点暴露、星上处理能力受限等独有特征，但现有的基于密文策略的属性加密（CP-ABE）的访问控制不支持策略完全隐藏且属性授权方式不适用于卫星网络，为此，提出支持策略隐藏的多授权访问控制方案。该方案采用更灵活的线性秘密共享（LSSS）矩阵访问结构，不仅能有效保证数据机密性，而且能通过混淆访问结构实现策略完全隐藏；采用多授权机构实现细粒度的属性管控，能消除中心授权机构的性能瓶颈；各属性授权机构独立工作且密钥生成分权，能有效抵抗合谋攻击。安全性及性能分析表明，所提方案满足数据机密性、抗合谋攻击和完全策略隐藏的安全需求，比对比方案更适合卫星网络。     

基于多属性机构的密文策略加密机制

密文策略属性基加密机制大多采用单授权机构,单授权中心管理和分发所有用户的属性密钥,易造成系统瓶颈,且系统要求单授权中心完全可信,因此难以满足分布式应用的安全需求。为此,提出一种多属性机构的密文策略属性基加密方案,其中授权机构只能为其权限内的属性分发相应密钥,相互间不能通信。采用一个中央机构为用户生成随机公钥,通过植入随机化参数抵抗合谋攻击。理论分析结果表明,该方案保留了CP-ABE机制中访问控制的易表达性,且降低了单授权中心的负担和安全风险。     

基于代理的即时属性撤销KP-ABE方案

属性撤销是属性基加密方案在实际应用中亟须解决的问题,已有支持间接撤销模式的可撤销属性基加密方案存在撤销延时或需要更新密钥及密文等问题。为此,提出一种间接模式下基于代理的支持属性即时撤销的密钥策略属性基加密方案,该方案不需要用户更新密钥及重加密密文,通过在解密过程中引入代理实现撤销管理,减轻了授权机构的工作量,其要求代理为半可信,不支持为撤销用户提供访问权限及解密密文。分析结果表明,该方案支持细粒度访问控制策略,并且可以实现系统属性的撤销、用户的撤销及用户的部分属性撤销。     

基于雾节点的分布式属性基加密方案

为解决云存储中对用户访问数据权限划分笼统、细粒度化控制访问权限受限以及单授权机构中存在的单点失效问题,提出基于雾节点的分布式密文策略属性基加密方案。将数据的部分解密运算外包给雾节点,减少终端用户的计算开销,并由不同的属性授权机构为用户生成属性密钥,以适用于细粒度的访问控制要求,使用全局身份将属于特定用户的各种属性进行“捆绑”,防止各属性机构间的共谋攻击,同时引入权重属性简化访问结构,节省系统的存储空间。实验结果表明,基于判定性q-parallel BDHE问题证明了该方案的安全性,与基于区块链的多授权机构访问控制方案和mHealth中可追踪多授权机构基于属性的访问控制方案相比,该方案终端用户在解密阶段具有更小的计算开销。