格上基于OBDD访问结构的抗密钥滥用属性加密方案

为了解决属性加密中的密钥安全问题,基于环上误差学习(RLWE)和有序二元决策图(OBDD)访问结构提出了一种抗密钥滥用的密文策略属性加密方案。首先,构造了2个不同的机构来共同生成用户的私钥,降低了机构泄露密钥的风险;其次,在每个私钥中嵌入了用户的特定信息,实现了密钥的可追踪性,并通过维护白名单避免了非法用户和恶意用户的访问。另外,所提方案采用有序二元决策图的访问结构,在支持属性与、或、门限操作的基础上增加了属性的正负值。分析表明,所提方案满足抗合谋攻击和选择明文攻击下的不可区分性安全,降低了存储和计算开销,和其他方案相比更具有实用性。     

SA-IBE:一种安全可追责的基于身份加密方案

基于身份加密(Identity-Based Encryption, IBE)方案中,用户公钥直接由用户身份得到,可以避免公钥基础设施(Public Key Infrastructure, PKI)系统的证书管理负担。但IBE存在密钥托管问题,即私钥生成器(Private Key Generator, PKG)能够解密用户密文或泄漏用户私钥,而现有解决方案一般需要安全信道传输私钥,且存在用户身份认证开销大或不能彻底解决密钥托管问题的缺陷。该文提出一种安全可追责的基于身份加密方案,即SA-IBE方案,用户原私钥由PKG颁发,然后由多个密钥隐私机构并行地加固私钥隐私,使得各机构无法获取用户私钥,也不能单独解密用户密文;设计了高效可追责的单点PKG认证方案;并采用遮蔽技术取消了传输私钥的安全信道。文中基于标准的Diffie-Hellman假设证明了SA-IBE方案的安全性、解决密钥托管问题的有效性以及身份认证的可追责性。     

云环境下基于环签密的用户身份属性保护方案

身份属性泄漏是最严重的云计算安全威胁之一,为解决该问题,提出了一种基于环签密的身份属性保护方案.该方案以云服务的数字身份管理为研究对象,论述了去中心化的用户密钥分割管理机制,用户自主选择算子在本地生成并存储密钥,从而令注册管理者(registrar)无法获得用户完全私钥,达到消除证书管理负载的目的.另外,本方案以用户访问权限为中心设计身份属性盲环签密验证机制,令用户和CSP组成环,基于环和自身属性用户可对消息子线性盲签密以及非交互公开密文验证,用以阻止多个CSP共谋导致的身份属性泄露场景,从而保护身份属性的完整性和机密性.最后,给出密文和属性强不可伪造、盲性机制的证明结果,在DBDH困难问题假设和适应性选择密文攻击下,方案中的用户可生成3个完全私钥组件,成功阻止环成员身份伪装.为验证系统有效性,围绕身份属性保护方案的综合负载问题对盲环签密算法进行性能评估,并对比同类算法以证实系统优化结果.     

适合ad hoc网络无需安全信道的密钥管理方案

密钥管理问题是构建ad hoc安全网络系统首要解决的关键问题之一.针对ad hoc网络特点,提出了一个无需安全信道的门限密钥管理方案.该方案中,可信中心的功能由局部注册中心和分布式密钥生成中心共同实现,避免了单点失效问题;通过门限技术,网络内部成员相互协作分布式地生成系统密钥;利用基于双线性对的公钥体制实现了用户和分布式密钥生成中心的双向认证;通过对用户私钥信息进行盲签名防止攻击者获取私钥信息,从而可以在公开信道上安全传输.分析表明该方案达到了第Ⅲ级信任,具有良好的容错性,并能抵御网络中的主动和被动攻击,在满足ad hoc网络安全需求的情况下,极大地降低了计算和存储开销.     

一种改进的基于标识的认证系统的实现

基于身份的认证体制是一种以用户的身份信息作为公钥的认证体制,文章提出了一种基于中间公钥和门限的IBE认证体制方案,解决了PKG密钥安全、用户身份认证和私钥的安全传输等问题,提高了IBE认证体制的安全性和实用性,并给出了系统的具体实现,就其安全性作了具体的分析.     

一种可信安全的层次式基于身份加密系统

本文提出一种可信安全的层次式基于身份加密系统T-HIBE,通过层次式分布化的用户私钥产生,以及私钥用户盲因子、用户私钥编号因子和PKG私钥编号因子技术,解决了层次式私钥生成机构的密钥托管和私钥安全传输问题,支持系统高效的用户身份一次认证和可追责性.基于标准的BDH难题假设,文章证明了基本T-HIBE机制和完全T-HIBE机制分别具有IND-sID-OWE和IND-sID-CCA安全性.     

移动ad hoc网络预分配非对称密钥管理方案

为了降低移动ad hoc网络非对称密钥管理中的通信开销,基于组合公钥思想,将ElGamal方案与预分配密钥方式相结合,提出一种基于身份的预分配非对称密钥管理方案(PAKMS)。该方案通过私钥生成中心为节点预分配主密钥子集及基于时间获得节点密钥更新的方式,从方法上降低了移动ad hoc网络非对称密钥管理中的通信开销;私钥生成中心为节点预分配主密钥子集的方式也使节点在网络运行阶段不再依赖私钥生成中心为节点分配和更新密钥。由此,弱化了基于身份密钥管理中存在的私钥托管问题对网络安全的影响。与典型方案对比分析表明,该方案在提供节点密钥更新服务的情况下能够有效降低网络通信开销。此外,对方案的安全性进行了详细证明。     

抗密钥委托滥用的可追踪属性基加密方案

针对可追踪属性基加密方案利用追踪功能解决密钥委托滥用问题的不完备性,提出了一种抗密钥委托滥用的可追踪属性基加密方案。将秘密参数分享给用户私钥中关联属性的全部组件,使解密过程必须由全部组件共同参与完成,仅由用户私钥的一部分不能进行解密操作,从而实现真正的抗密钥委托滥用。利用一种短签名技术保护用户私钥中的追踪参数,防止追踪参数被伪造,从而获得对用户的追踪能力。同时支持抗密钥委托滥用和可追踪增强了所提方案的安全性。与相关方案的对比分析表明,所提方案在参数尺寸和计算代价上具有更好的性能优势。     

信息

国内资讯捷德公司Starkey产品助力广东移动日前,广东移动通信有限责任公司将捷德公司的Starkey用于其新的资金管控系统,对财务人员身份进行认证,进而实现对广东移动全省各分公司的资金管控。捷德公司的StarKey产品是基于PKI体系公私钥对的原理,通过公钥和私钥的认证来实现登录系统时对使用者身份的验证,保证只有通过合理授权的用户才能进行相应的操作。公、私密钥由USB Key直接生成,私钥仅存在于卡片内,永不出卡。由于USB Key能够保证用户的私钥永不出卡,并且用户保存在USB Key上的资料受到密码的保护,从而保证了签名数据来源的可靠…     

证书认证中心管理证书的策略及实现

提出一种基于认证中心CA的网络安全解决方案,实现了以下功能:(1)认证中心的基本功能:证书的签发、证书的更新、证书的状态查询、证书的撤销、证书的归档等;(2)双证书机制,将用户的签名密钥对与加密密钥对相分离;(3)将用户签名私钥保存到用户证书载体.此方案不但解决了网上用户身份认证和信息安全传输的问题,而且更有效保护了用户的隐私,提高应用系统的安全性.     

新的格上多机构属性基加密方案

针对基于双线性映射的属性基加密方案中无法抵抗量子攻击的问题,该文提出一种新的格上多机构属性基加密方案。先利用格上左抽样算法为用户生成密钥,使得用户私钥尺寸与级联矩阵的列数和用户属性个数相关,缩短用户私钥尺寸;然后采用Shamir门限秘密共享技术构造访问树,实现属性的与、或、门限3种操作,密文允许基于任意的访问结构生成,表达能力更加丰富,解决了大多方案中访问策略单一问题;方案证明可在标准模型下归约到判定性带误差学习问题的难解性。对比分析表明,方案系统公私钥、用户私钥和密文尺寸均有所优化,并较优于大多数单机构方案,此外方案存在多个属性机构,支持任意单调访问结构,安全性和实用性更满足云环境需求。     

Revocable and traceable key-policy attribute-based encryption scheme

The existing key-policy attribute-based encryption (KP-ABE) scheme can not balance the problem of attribute revocation and user identity tracking.Hence,a KP-ABE scheme which supported revocable and traceable was proposed.The scheme could revoke the user attributes without updating the system public key and user private key with a less update cost.Meanwhile,it could trace the user identity based on decryption key which could effectively prevent anonymous user key leakage problem.The proposed scheme was based on linear secret sharing scheme (LSSS),which was more efficient than tree-based access structure.Based on the deterministic q-BDHE hypothesis,the proposed scheme gave security proof until standard mode.Finally,compared with the existing KP-ABE scheme,the scheme has a shorter public key length,lower computational overhead and realizes the traceability function of user identity based on the revocable attribute,which has obvious advantages.     

基于属性的抗合谋攻击可变门限环签名方案

基于属性的密码体制是基于身份密码体制的泛化和发展,它将身份扩展为一系列属性的集合,具有更强的表达性,并且拥有相同属性的成员自动组成一个环,便于隐匿签名者身份。通过对现有的基于属性门限环签名方案的深入分析,发现这些方案虽然满足匿名性要求,但拥有互补属性的恶意用户可以通过合谋伪造出有效签名。为弥补上述缺陷,首先给出基于属性门限环签名的不可伪造性、不可区分性及抗合谋攻击性的形式化定义,然后给出一个基于属性的抗合谋攻击可变门限环签名方案,其安全性可归约为CDH（computational Diffie-Hellman）困难问题。所提方案通过在用户属性密钥中引入互不相同的秘密随机因子的方法,防止合谋攻击者利用组合私钥的方式伪造签名。在随机预言机模型下,方案被证明能够抵抗适应性选择消息的存在性伪造及合谋攻击,并具有相同签名属性集用户间的不可区分性。与同类方案相比,新方案还具备更高的运算效率。     

基于属性的代理签密方案

为了达到群组签密的目的以及使得群组签密具有代理功能,利用双线性配对的特性结构及基于属性的密码体制结构,构建出一个基于属性的代理签密方案。其中,将文件用属性集来标识,私钥由访问控制结构来产生,用来控制签密、代理签密和解签密的权限范围。该方案既保持了基于属性签密的优点,又具有代理签名的功能,且具有公开验证性、强可识别性及强不可否认性。最后,对方案进行了安全性分析。     

Optimization method for attribute-based cryptographic access control in mobile cloud computing

For the problem of secure data sharing and access control in mobile cloud,the drawback of traditional cryptographic access control schemes was deeply analyzed.Considering the truth that mobile devices were usually equipped with limited resources,an optimized attribute-based cryptographic access control scheme was proposed in this study.In the proposed scheme,a third party proxy was introduced into the system model,and the two-layer encryption method was applied.Combining traditional attribute-based encryption (ABE) algorithm with multi-secret sharing and split measurement of ABE encryption,the scheme could greatly reduce the cost of mobile users in terms of data publish and access management.Theoretical and experimental analysis shows that the contribution can well meet the requirements of mobile cloud in terms of security,computational complexity and communication cost,which means that it is promising for future applications.     

Key Evolving Attribute-Based Signature Under Short Integer Solution Problem

Key exposure is a severe threat in digital signature,the scheme will be compromised provided that the private key of the signature is revealed.To remove the destruction of key exposure,the private key must be kept updated in the process of the signature.As a new cryptographic primitive,Attribute-based signature (ABS) scheme has the limitation in practical applications because the private key may be leaked.So far,very little works have focused on the key leakage of ABS,especially in the setting of lattices.To deal with the problem,we present the construction of Key evolving attribute-based signature (ke-ABS) under Short integer solution (SIS) problem.As a new research field in the point,our scheme has considered a threshold access structure,which allows users with attributes satisfying the defined policy that can generate a valid signature without revealing more information.Compared with the known schemes,our scheme provides an assurance of unforgeability and attribute signer privacy.     

RLWE-based key-policy ABE scheme

Based on the attribute-based encryption(ABE) scheme which was proposed by Brakerski and constructed on the LWE problem,a RLWE-based key-policy ABE scheme was presented.Efficiency and key size of this scheme over-takes old ones which are based on the LWE problem.Under the RLWE assumption,this scheme supports attributes of unbounded length and semi-adaptive security.Moreover,a compiler was constructed and could compile ABE scheme that meets its demand into an attribute-based fully homomorphic encryption (ABFHE) scheme.     

可验证外包解密的离线/在线属性基加密方案

属性基加密可以为雾-云计算中的数据提供机密性保护和细粒度访问控制,但雾-云计算系统中的移动设备难以承担属性基加密的繁重计算负担。为解决该问题,该文提出一种可验证外包解密的离线/在线属性基加密方案。该方案能够实现离线/在线的密钥生成和数据加密,同时支持可验证外包解密。然后,给出方案的选择明文攻击的安全证明和可验证性的安全证明。之后,该文将转换阶段所需双线性对的计算量降为恒定常数。最后,从理论和实验两方面对所提方案进行性能分析,实验结果表明该方案是有效且实用的。     

云环境下基于属性加密体制算法加速方案

云计算为租户提供存储、计算和网络服务，数据安全保护和租户间的数据共享与访问控制是其必不可少的能力。基于属性的加密体制是一种一对多的加密体制，可以根据用户属性实现细粒度访问控制，适用于云计算环境多租户数据共享。但现有的基于属性加密体制的算法效率较低，难以在实际环境中应用。分析了基于属性的加密体制的两种类型及其应用场景，提出一个基于属性加密体制算法的加速方案。通过实验表明，提出的方案可提高基于属性加密体制的密钥生成算法、加密算法和解密算法的效率。