基于属性加密的多用户共享ORAM方案

不经意随机访问机（ORAM）是保护用户访问行为隐私安全的关键技术之一,但现有ORAM方案主要针对单用户访问需求,不支持多用户之间的数据共享。结合Ring ORAM方案和属性加密（ABE）技术,设计并实现了一种基于属性加密的多用户共享ORAM方案ABE-M-ORAM。该方案利用属性加密实现了细粒度的访问控制,既保护了用户访问行为的安全,又实现了用户之间便捷的数据共享。理论分析和仿真实验证明该方案具有较高的安全性、实用性以及较好的访问性能。     

云环境下多用户文件共享方案

随着云存储技术的迅猛发展,越来越多的用户利用云存储服务将本地文件存储转移到云端实现与多个用户的文件共享.针对云环境下多个用户共享同一文件时存在不同访问权限的问题,提出了一种高效的云环境下多用户文件共享方案.新方案基于Elgamal加密系统和代理重加密技术,实现了文件拥有者只需对共享文件加密一次就能够使共享用户访问不同内容的目标.和现有方案相比,新方案的优势体现在:在保证密文生成存储空间不变的同时,文件拥有者对共享文件加密的计算量只与文件块数的指数加密运算呈线性增长关系;共享用户解密文件时只需线性次数的指数解密运算就可以访问各自不同的文件内容.分析表明,新方案更加适合云计算环境的特点,即云服务提供商可以为瘦客户端用户提供无穷的计算和存储能力.     

云存储中基于代理重加密的CP-ABE访问控制方案

针对云存储中基于密文策略的属性加密（CP-ABE）访问控制方案存在用户解密开销较大的问题,提出了一种基于代理重加密的CP-ABE （CP-ABE-BPRE）方案,并对密钥的生成方法进行了改进。此方案包含五个组成部分,分别是可信任密钥授权、数据属主、云服务提供商、代理解密服务器和数据访问者,其中云服务器对数据进行重加密,代理解密服务器完成大部分的解密计算。方案能够有效地降低用户的解密开销,在保证数据细粒度访问控制的同时还支持用户属性的直接撤销,并解决了传统CP-ABE方案中因用户私钥被非法盗取带来的数据泄露问题。与其他CP-ABE方案比较,此方案对访问云数据的用户在解密性能方面具有较好的优势。     

基于代理的即时属性撤销KP-ABE方案

属性撤销是属性基加密方案在实际应用中亟须解决的问题,已有支持间接撤销模式的可撤销属性基加密方案存在撤销延时或需要更新密钥及密文等问题。为此,提出一种间接模式下基于代理的支持属性即时撤销的密钥策略属性基加密方案,该方案不需要用户更新密钥及重加密密文,通过在解密过程中引入代理实现撤销管理,减轻了授权机构的工作量,其要求代理为半可信,不支持为撤销用户提供访问权限及解密密文。分析结果表明,该方案支持细粒度访问控制策略,并且可以实现系统属性的撤销、用户的撤销及用户的部分属性撤销。     

基于区块链的多关键字细粒度可搜索加密方案

密文策略下基于属性的关键字搜索(CP-ABKS)技术可以对加密的数据实现细粒度控制和检索.现有CP-ABKS方案较少考虑云服务器的恶意行为和搜索过程的公平支付,且通常只支持单关键字密文检索.对此,文章提出基于区块链的多关键字细粒度可搜索加密方案.利用密文策略下基于属性的加密技术满足多用户检索,实现了细粒度访问控制和访问...     

基于代理的密文数据库的设计与实现

建立密文数据库是实现数据安全的有效方法。通过对数据库中的数据进行加密,可以有效地防止敏感数据被窃取和篡改。文章提出了一个基于代理的密文数据库实现方案,利用ODBC作为访问接口,结合利用现有的数据库系统,实现了数据的加密存储、用户权限管理和安全的网络访问支持。     

基于eCryptfs的多用户加密文件系统设计和实现

加密文件系统eCryptfs能有效防止存储介质在丢失或失窃情况下导致的信息泄露隐患。它的不足在于：不支持多用户环境下的联机数据保护,即一个用户一旦成功授权访问加密文件系统中的数据,则系统中的其他用户都可以访问加密文件系统中的数据。提出了以密钥为权能的加密文件系统访问控制机制,并基于eCryptfs设计和实现了多用户加密文件系统,确保只有拥有合法密钥的用户才能访问密文数据。     

基于移动代理的可变路由安全协议

移动代理是一种软件程序,它漫游在计算机网络中,经过不同的主机代替用户执行一定的任务,但是它也带来了许多新的有关面临恶意代理与主机安全的问题．路由安全就是移动代理技术面临的主要安全问题之一．通过对已有的移动代理路由方案的分析,可以得出Mir等给出的基于嵌套加密的移动代理安全路由方案是目前计算复杂度最低的方案．基于基本签字加密技术,该文利用Hash函数提出了一个安全高效的移动代理路由协议,并对其安全性和计算复杂度进行了详细的分析．相比Mir等的方案,该协议在保证安全性的同时,计算复杂度得到了显著的降低,使得用户和路由主机的计算复杂度均达到O(n)．     

基于代理重加密的电子病历数据共享方案

现有的电子病历大部分只能在医生与患者之间实现数据共享,数据用户难以访问患者的电子病历。针对该问题,提出一种利用代理重加密的电子病历数据共享方案。患者通过搜索陷门得到加密电子病历,数据用户要获取其电子病历,可请求患者和云服务器进行交互,云服务器生成重加密密钥,并对电子病历密文进行代理重加密,经患者授权后将重加密密文发送给数据用户,数据用户用其私钥解密密文,最终获取电子病历数据。基于随机预言机模型的实验结果表明,该方案在改进双线性Diffie-Hellman假设和q决策双线性Diffie-Hellman逆转假设下,均可实现关键字隐私安全和消息隐私安全。     

云中可动态更新的属性基代理重加密方案

代理重加密是在保证重加密授权者私钥安全的前提下进行密文转换的操作,实现了云中数据的动态共享。而在基于属性的代理重加密方案中,其代理方可以在不泄露明文数据的前提下,将访问策略下的密文经过重加密转换为不同的访问策略下的密文,完成密态数据的安全外包计算。现有的属性代理重加密方案只是实现了密文策略的更新变换,存在着实用性低,计算量大等缺点。为了满足用户权限的动态更新,以及传统属性加密体制中用户离线后不能向他人提供解密能力的问题,本文提出了一种云中可动态更新的属性基代理重加密方案。通过在系统公开参数中加入用户集合信息并利用属性撤销技术,分别实现了用户集合与属性集合的动态更新,以保证用户权限的动态更新,并且该方案满足单向性、非交互性、非传递性、非转移性和可验证性等特点。此外,利用离线加密技术将加密操作分成两步实现,大量的辅助计算在离线阶段进行,降低了用户客户端在线加密的计算开销。同时,受理者可以对代理重加密密文进行验证操作,避免数据遭受第三方破坏。安全性方面,在标准模型和判定性q阶双线性Diffie-Hellman假设下,证明了本方案具有选择明文攻击下的密文不可区分性且可抵抗同谋攻击。最后,通过效...     

不经意随机访问机研究综述

随着云计算与大数据技术的发展,隐私保护越来越受到人们的关注.加密是一种常见的保护数据隐私的方法,但是单纯地利用加密手段并不能抵抗所有类型的攻击.攻击者可以通过观察用户对数据的访问模式来推断隐私信息,其中包括数据的重要程度、数据的关联性,甚至是加密数据的内容等.不经意随机访问机是一种重要的保护访问模式的手段,它通过混淆每一次访问过程,使其与随机访问不可区分,从而保护真实访问中的访问操作、访问位置等信息.不经意随机访问机在安全云存储系统以及安全计算领域有着非常重要的作用.利用不经意随机访问机可以降低攻击者通过访问模式推测隐私信息的可能性,减小系统受到的攻击面,从而提供更安全更完整的服务.对不经意随机访问机的研究与应用进行综述,主要介绍了不经意随机访问机的相关概念以及设计方法,重点分析并总结了目前学术界研究的性能优化的常见策略及其优劣性,主要包括针对客户端与服务器的平均带宽与最坏情况带宽优化、存储开销优化以及交互轮数优化等方面.同时讨论了将不经意随机访问机应用于安全存储系统的一般性问题,如数据完整性保护以及支持多用户并发访问等,也讨论了将其应用于安全计算领域的问题,如安全计算协议设计以及不经意数据结构的设计等;最后,对不经意随机访问机未来的研究方向进行了展望.     

基于属性加密的雾协同云数据共享方案

为解决现有的属性加密数据共享方案粗粒度和开销大等问题,提出一种能保证数据隐私且访问控制灵活的雾协同云数据共享方案(FAC-ABE)。设计属性加密机制,将数据的访问控制策略分为个性化和专业化两种。通过个性化的访问策略,根据用户的经验和偏好,将数据共享给相应的云端。利用雾节点对数据分类,将共享的数据分流,保障数据共享给专业的云服务器。安全分析结果表明,该方案能保障数据机密性,实现更细粒度的访问控制。实验结果表明,用户能将加密开销转移到雾节点上,降低了云端用户开销。     

Hierarchical attribute-based encryption and scalable user revocation for sharing data in cloud servers

With rapid development of cloud computing, more and more enterprises will outsource their sensitive data for sharing in a cloud. To keep the shared data confidential against untrusted cloud service providers (CSPs), a natural way is to store only the encrypted data in a cloud. The key problems of this approach include establishing access control for the encrypted data, and revoking the access rights from users when they are no longer authorized to access the encrypted data. This paper aims to solve both problems. First, we propose a hierarchical attribute-based encryption scheme (HABE) by combining a hierarchical identity-based encryption (HIBE) system and a ciphertext-policy attribute-based encryption (CP-ABE) system, so as to provide not only fine-grained access control, but also full delegation and high performance. Then, we propose a scalable revocation scheme by applying proxy re-encryption (PRE) and lazy re-encryption (LRE) to the HABE scheme, so as to efficiently revoke access rights from users.     

一种改进的基于身份广播代理重加密云存储方案

存储安全是公共云应用诸多安全问题中最关键的问题之一,对云服务的快速发展有着重大影响。结合身份加密、代理重加密以及广播加密的特点,提出了一种新的云存储方案。该方案通过条件控制,实现了用户对远程密文数据代理重加密过程中的细粒度访问控制;基于身份加密,利用用户的身份属性作为公钥,减少了证书验证过程;结合广播的思想,以用户集合为单位进行加密,减少系统的计算消耗。实验表明,文章提出的方案可以实现密文数据云存储和共享,主要函数的时间开销合理,能够保证大规模用户接入时系统高效。     

高效且可验证的多授权机构属性基加密方案

移动云计算对于移动应用程序来说是一种革命性的计算模式,其原理是把数据存储及计算能力从移动终端设备转移到资源丰富及计算能力强的云服务器.但是这种转移也引起了一些安全问题,例如,数据的安全存储、细粒度访问控制及用户的匿名性.虽然已有的多授权机构属性基加密云存储数据的访问控制方案,可以实现云存储数据的保密性及细粒度访问控制;但其在加密和解密阶段要花费很大的计算开销,不适合直接应用于电力资源有限的移动设备;另外,虽然可以通过外包解密的方式,减少解密计算的开销,但其通常是把解密外包给不完全可信的第三方,其并不能完全保证解密的正确性.针对以上挑战,本文提出了一种高效的可验证的多授权机构属性基加密方案,该方案不仅可以降低加密解密的计算开销,同时可以验证外包解密的正确性并且保护用户隐私.最后,安全分析和仿真实验表明了方案的安全性和高效性.