基于动态属性的加密方案

现有大部分属性加密方案中的用户属性都是静态的,不利于实际应用。针对该问题,基于条件加密的思想,利用双线性映射的技术,设计一个基于动态属性的加密方案。在用户满足某属性后,由认证方给用户提供数字签名,并让用户自行计算其属性密钥和密文。对该方案的安全性进行讨论,证明在选择集合模型下给定2个等长明文的加密,方案攻击者无法在计算上分清其密文。     

基于动态属性的数字签名方案

基于属性的数字签名方案能很好地实现用户身份的隐藏。但所提出的签名方案中, 用户属性都是静态的,当系统中的成员属性发生变更后,没有相应的修改机制,需要重新分配属性密钥,这将为系统增添极大负担。在实际应用中存在问题。基于条件加密的思想,设计了一个具有动态属性的数字签名方案,该方案能在该用户满足某属性后,由认证方给用户提供签名,并让用户自行计算其属性密钥。对签名方案的安全性进行了讨论。     

基于属性的可搜索加密方案

2004年,Boneh等人利用匿名的基于身份的加密方案构造了一个公钥可搜索加密方案(PEKS),解决了特定环境下对加密数据进行检索的这一困难问题.已有的可搜索加密方案,通信模式往往是一对一的,关键词密文也只能被特定的单个用户查询或解密,这样的通讯模式在实际的系统中有很多局限性.作者首次给出了基于属性的可搜索方案(ATT-PEKS)的定义和构造算法.此方案与PEKS的不同之处在于基于属性的可搜索方案是适应群组的公钥加密搜索方案,扩大了信息的共享性,节省了第三方信息存储的空间.作者同时对此方案进行了一致性分析和安全性证明.     

基于身份的动态可搜索加密方案

可搜索加密技术节省用户的本地存储资源,简便用户对所要查询加密文件的搜索操作,但是多数可搜索加密方案都只是静态搜索。为此,提出一种基于双线性对的可以删除指定身份文件的动态可搜索加密方案。引进认证技术,在服务器删除文件之前对删除用户的合法性进行认证,以防止非法用户的恶意删除。分析结果表明,该方案在实现删除功能基础上,具有选择明文攻击下的不可区分安全性。     

支持文件动态更新的基于属性可搜索加密方案

针对云存储环境中重要通知、消息广播、数据共享等敏感性较高的数据访问控制需求,提出和设计一种云存储环境中支持文件动态更新的可搜索加密方案。方案中的文件明文采用基于属性的加密算法加密,将密文与私钥和属性相关联,可以非常灵活的表示访问控制策略,大大降低了数据共享细粒度访问控制所带来的网络带宽和发送节点的处理开销,可以实现文件只加密一次就可被多个用户私钥搜索,避免了针对不同用户需要多次加密的问题。但是现有的基于属性的可搜索加密方案无法实现文件的动态更新操作,针对此问题,采用对称可搜索加密的思想来建立索引,这种通过数组和链表来来存储索引信息的方式可以实现只搜索一次就可以获得包含此关键字的所有文件,无需逐个文件进行遍历,所以具有较高的搜索效率。并通过添加额外删除数组、列表,实现了文件的动态更新,可以增加或者删除密文文件。最后给出了方案的安全性分析和性能分析,并与几种类似的索引建立方案进行了对比,对比发现本方案搜索效率高,索引长度较少,实现了文件的动态更新还能达到更高的安全级别（CKA-2）,具有更好的应用性和扩展性。     

云中可动态更新的属性基代理重加密方案

代理重加密是在保证重加密授权者私钥安全的前提下进行密文转换的操作,实现了云中数据的动态共享。而在基于属性的代理重加密方案中,其代理方可以在不泄露明文数据的前提下,将访问策略下的密文经过重加密转换为不同的访问策略下的密文,完成密态数据的安全外包计算。现有的属性代理重加密方案只是实现了密文策略的更新变换,存在着实用性低,计算量大等缺点。为了满足用户权限的动态更新,以及传统属性加密体制中用户离线后不能向他人提供解密能力的问题,本文提出了一种云中可动态更新的属性基代理重加密方案。通过在系统公开参数中加入用户集合信息并利用属性撤销技术,分别实现了用户集合与属性集合的动态更新,以保证用户权限的动态更新,并且该方案满足单向性、非交互性、非传递性、非转移性和可验证性等特点。此外,利用离线加密技术将加密操作分成两步实现,大量的辅助计算在离线阶段进行,降低了用户客户端在线加密的计算开销。同时,受理者可以对代理重加密密文进行验证操作,避免数据遭受第三方破坏。安全性方面,在标准模型和判定性q阶双线性Diffie-Hellman假设下,证明了本方案具有选择明文攻击下的密文不可区分性且可抵抗同谋攻击。最后,通过效...     

多主密钥功能加密:基于LMSSS的M-KP-ABE方案

功能加密极大地拓宽了秘密信息的共享方式,但支持多主密钥功能性函数加密方案的构造问题仍未解决,多主密钥功能加密具有更强的表达能力和更广义的特性.在功能加密的一个子类密钥策略属性基加密上,首次提出了多主密钥形式的安全模型M-KP-ABE.利用线性多秘密共享方案,设计了该安全模型下的一个支持多主密钥功能性函数的加密方案.基于DBDH假设,在标准模型下证明方案在适应性选择挑战和自适应选择明文攻击下是安全的.该方案加密数据的访问策略更为灵活,可退化为单主密钥的加密方案,可构造具有精细访问树的方案,其计算量与单主密钥方案相等,具有较高的效率.     

基于同态加密的密文策略属性加密方案

属性加密方案极其适用于云存储环境下的数据访问控制,但用户私钥的安全问题仍然是一个极具挑战的问题,影响了属性加密的实际运用。针对该问题,提出一种基于同态加密的密文策略属性加密方案,属性授权中心和云服务中心拥有包含各自系统私钥信息的秘密坐标,两者利用各自秘密坐标进行保密计算两点一线斜率的方式来交互生成用户私钥。分析结果表明,所提方案在消除单密钥生成机构的同时极大地降低了生成用户密钥所需的通信交互次数,从而降低了交互过程中秘密信息泄露的风险。     

基于多属性机构的密文策略加密机制

密文策略属性基加密机制大多采用单授权机构,单授权中心管理和分发所有用户的属性密钥,易造成系统瓶颈,且系统要求单授权中心完全可信,因此难以满足分布式应用的安全需求。为此,提出一种多属性机构的密文策略属性基加密方案,其中授权机构只能为其权限内的属性分发相应密钥,相互间不能通信。采用一个中央机构为用户生成随机公钥,通过植入随机化参数抵抗合谋攻击。理论分析结果表明,该方案保留了CP-ABE机制中访问控制的易表达性,且降低了单授权中心的负担和安全风险。     

一种支持快速加密的基于属性加密方案

基于属性加密算法因含有大量耗时的指数运算和双线性对运算,一些方案提出将加密外包给云服务器.然而这些方案并没有给出外包加密在云服务器中的并行计算方法,而且还存在用户保管私钥过多、授权中心生成用户私钥成本过大的问题.针对这些问题,提出一种基于Spark大数据平台的快速加密与共享方案.在该方案中,根据共享访问树的特点设计加密并行化算法,该算法将共享访问树的秘密值分发和叶子节点加密并行化之后交给Spark集群处理,而用户客户端对每个叶子节点仅需要一次指数运算;此外,用户私钥的属性计算也外包给Spark集群,授权中心生成一个用户私钥仅需要4次指数运算,并且用户仅需要保存一个占用空间很小的密钥子项.     

一种基于策略控制的可撤销属性基代理加密方案

在分析现有一些可撤销属性基加密方案的基础上,提出了一种基于策略控制的可撤销属性基代理加密方案,该方案的仲裁者通过两个策略控制表(属性撤销表和属性代理表)灵活控制属性撤销和解密权利代理.通过查看属性撤销表,仲裁者拒绝对已撤销属性的用户进行解密操作,达到属性即时撤销的目的;当被代理者将解密权利代理出去时,将发送代理转换密钥给仲裁者,仲裁者利用属性代理表判定被代理用户是否具有密钥代理的权利,以达到属性灵活代理的目的.方案采用了线性秘密分享矩阵构造访问策略,以支持灵活的访问控制结构,同时利用了密钥分割技术为用户分发密钥.最后证明了方案的正确性和安全性.     

基于属性加密的多用户共享ORAM方案

不经意随机访问机（ORAM）是保护用户访问行为隐私安全的关键技术之一,但现有ORAM方案主要针对单用户访问需求,不支持多用户之间的数据共享。结合Ring ORAM方案和属性加密（ABE）技术,设计并实现了一种基于属性加密的多用户共享ORAM方案ABE-M-ORAM。该方案利用属性加密实现了细粒度的访问控制,既保护了用户访问行为的安全,又实现了用户之间便捷的数据共享。理论分析和仿真实验证明该方案具有较高的安全性、实用性以及较好的访问性能。     

一种多认证机构可验证的属性基加密方案*

针对属性基加密中中央认证机构所带来的安全隐患问题,提出了一种新型的多认证机构可验证的属性基加密方案。该方案采用由各个认证机构独立生成系统主私钥份额和各自公私钥的方法,去除了中央认证机构,避免了因中央认证机构一旦遭破坏将会导致整个系统崩溃的问题,提高了属性基加密的安全性,同时对密文和密钥的正确性进行了验证。最后,给出了可验证性和安全性分析。     

基于属性加密的个人医疗数据共享方案

目前有关共享医疗数据的研究中,存在患者对本人数据不可控、隐私泄露、共享效率低下等问题。针对这些问题,提出了一种基于属性加密的个人医疗数据共享方案。该方案的优势在于允许患者自主设置共享策略,实现了细粒度共享数据;设计属性撤销算法,及时变更用户共享权限;结合可搜索加密技术实现多关键词加密检索;描述医疗场景验证该方案合理性。安全性分析和实验结果表明,该方案能够在保护患者隐私的情况下,以较低的通信开销实现患者个人医疗数据共享。     

一种用于云存储的密文策略属性基加密方案

云存储的应用环境中存在缺乏细粒度访问控制、密钥管理难度大、难以抵御合谋攻击等问题,为此提出了一种新的用于云存储的密文策略属性基加密(ciphertext-policy attribute-based encryption,CP-ABE)方案。通过引入由数据属主独立控制的许可属性,构建不同属性域的CP-ABE方案,能够防止云存储系统特权用户的内部攻击,使数据属主能完全控制其他共享用户对其云数据的访问。实验结果表明,该方案在提供安全性的同时能极大地提高用户属性撤销的效率。最后,对该方案进行了安全分析,并证明了该方案在DBDH假设下是CPA,安全的。     

基于可截取签名和属性加密的云存储访问控制方案

现有的云存储访问控制方案只能根据用户属性的不同发送不同的消息,因而消息利用率不高。针对这一缺陷,首先设计了一个基于ElGamal的可截取签名方案,然后基于该可截取签名方案结合属性加密体制提出了一种新的云存储访问控制方案。新方案在实现数据加密的同时,提供了细粒度的访问控制,将符合属性的子消息发送给相应的用户,提高了消息的利用率,具有更强的应用性。     

云环境下基于属性策略隐藏的可搜索加密方案

基于属性的可搜索加密技术可以实现对数据的细粒度访问控制,但现有的可搜索加密方案,关键字的搜索、访问控制、文件加密基本上是分别执行的,导致攻击者可能跳过访问策略直接进行关键字索引匹配或文件解密;其次,现有方案中数据拥有者需将加密文件的密钥以安全通道传给用户,增加了数据拥有者的开销;此外,大多基于树型的访问控制策略是公开的,容易造成隐私泄露。因此,基于线性秘密分享（LSSS,linear secret sharing schemes）访问结构,提出了一种云环境下基于属性策略隐藏的可搜索加密方案。通过将策略秘密值嵌入关键字加密与文件存储加密,实现访问控制、关键字搜索与文件加密的有机结合;通过聚合密钥技术实现用户无须与数据拥有者交互,即可对文件进行解密的功能,减轻了密钥管理的负担,存储空间提高约30%。实验结果及安全性分析表明,所提方案具有数据存储的安全性、访问策略的隐私性、陷门的不可连接性等功能,具有较高的密文检索效率,与已有主流方案相比,检索效率提高至20%以上。