基于动态属性的加密方案

基于属性的加密方案能很好地实现加密文档的访问控制。但目前所提出的加密方案中,用户属性都是静态的,在实际应用中存在一定问题。基于条件加密的思想,设计了一个具有动态属性的加密方案,该方案能在用户满足某属性后,由认证方给用户提供数字签名,并让用户自行计算其属性密钥。最后,对方案安全性进行了讨论。     

基于多属性机构的密文策略加密机制

密文策略属性基加密机制大多采用单授权机构,单授权中心管理和分发所有用户的属性密钥,易造成系统瓶颈,且系统要求单授权中心完全可信,因此难以满足分布式应用的安全需求。为此,提出一种多属性机构的密文策略属性基加密方案,其中授权机构只能为其权限内的属性分发相应密钥,相互间不能通信。采用一个中央机构为用户生成随机公钥,通过植入随机化参数抵抗合谋攻击。理论分析结果表明,该方案保留了CP-ABE机制中访问控制的易表达性,且降低了单授权中心的负担和安全风险。     

基于动态属性的数字签名方案

基于属性的数字签名方案能很好地实现用户身份的隐藏。但所提出的签名方案中, 用户属性都是静态的,当系统中的成员属性发生变更后,没有相应的修改机制,需要重新分配属性密钥,这将为系统增添极大负担。在实际应用中存在问题。基于条件加密的思想,设计了一个具有动态属性的数字签名方案,该方案能在该用户满足某属性后,由认证方给用户提供签名,并让用户自行计算其属性密钥。对签名方案的安全性进行了讨论。     

多主密钥功能加密:基于LMSSS的M-KP-ABE方案

功能加密极大地拓宽了秘密信息的共享方式,但支持多主密钥功能性函数加密方案的构造问题仍未解决,多主密钥功能加密具有更强的表达能力和更广义的特性.在功能加密的一个子类密钥策略属性基加密上,首次提出了多主密钥形式的安全模型M-KP-ABE.利用线性多秘密共享方案,设计了该安全模型下的一个支持多主密钥功能性函数的加密方案.基于DBDH假设,在标准模型下证明方案在适应性选择挑战和自适应选择明文攻击下是安全的.该方案加密数据的访问策略更为灵活,可退化为单主密钥的加密方案,可构造具有精细访问树的方案,其计算量与单主密钥方案相等,具有较高的效率.     

一种改进的属性加密方案

属性加密适合一对多的广播加密环境,很好地保护了用户的隐私,而且容易实现细粒度的访问控制。然而已有的属性加密方案中安全性假设过强、运算效率较低。通过对Waters方案的安全性假设进行分析,提出了随机参数满足一定特定关系的Eq-BDHE假设。基于该假设实现了一种改进的CP-ABE加密方案。安全分析和对比实验表明,改进方案降低了安全假设强度,在标准模型下能够抵抗选择明文攻击,同时减少了随机参数的数量,提高了运算效率。     

基于同态加密的密文策略属性加密方案

属性加密方案极其适用于云存储环境下的数据访问控制,但用户私钥的安全问题仍然是一个极具挑战的问题,影响了属性加密的实际运用。针对该问题,提出一种基于同态加密的密文策略属性加密方案,属性授权中心和云服务中心拥有包含各自系统私钥信息的秘密坐标,两者利用各自秘密坐标进行保密计算两点一线斜率的方式来交互生成用户私钥。分析结果表明,所提方案在消除单密钥生成机构的同时极大地降低了生成用户密钥所需的通信交互次数,从而降低了交互过程中秘密信息泄露的风险。     

基于格的多授权密文属性加密方案

在综合分析现有基于密文策略属性加密方案的基础上,针对现有密文策略属性加密方案中单授权中心负担过重,以及基于传统BDH(bilinear Diffie-Hellman)困难假设的属性加密方案不能抵抗量子攻击的问题,结合格理论构造一个新的多授权中心密文属性基加密方案。该方案可实现多授权中心对用户属性的分散管理,方案使用格上的抽样算法为用户生成密钥,采用线性秘密共享方案来实现属性访问控制策略,支持“与、或与门限”运算。矩阵形式可以支持格上的并行算法,算法的效率更高,安全性证明规约至判定性带误差学习问题的难解性,安全性更满足云环境的要求。     

基于多认证中心和属性子集的属性加密方案

将有密文规则的基于属性子集的属性加密方案中的想法应用到有多个认证中心的境中,实现了既支持多认证中心,又支持以属性子集的方式定制密文规则的属性加密方案.在我们的属性加密系统中,每个认证中心管理用户不同类别的属性集并且可以定制相应的密文规则进行属性加密;解密时,在每个认证中心上用户的属性集合先要通过这个认证中心上的密文规则的验证,才能够解密得到该认证中心的局部主密钥,只有得到全部局部主密钥才能解密出由系统主密钥加密的密文.同时因为在每个认证中心上支持以属性子集的方式定制密文规则,这使我们的方案能够更好支持复杂的密文规则的定制,所以我们的方案更加适合应用在有多个认证中心并且用户属性和密文规则复杂的环境.另外我们还提出了相应的安全模型并且证明方案的安全性.     

基于边缘计算的多授权属性加密方案

传统云存储下属性加密通常在云端与用户直接交流,并且由单一授权机构处理密钥与数据信息,为此提出一种应用在边缘环境下的多授权属性加密方案。方案中的访问矩阵由线性秘密共享构建,将边缘平台作为中间节点,用椭圆曲线密码体制下的简单标量乘法替代属性加密中的双线性计算,通过多授权中心分摊属性管理,直接减少单个授权机构的密钥托管与局部失控问题。理论功能分析与实验结果表明,该方案在可行性与安全性上均优于传统同类算法,有效降低了用户在访问控制中的计算开销。     

基于CP-ABE的隐藏属性外包解密访问控制

传统的属性基加密方案中数据拥有者将访问结构和密文保存在一起,于是用户收到密文消息的同时也收到了访问结构,但访问结构本身就可能包含数据拥有者的隐私信息。本文提出一种基于密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)的隐藏属性外包解密访问控制方案。该方案既能隐藏数据拥有者制定的访问控制策略中的属性,同时将计算密集型解密操作交给代理服务器完成,又能保证未经授权的属性授权中心或代理服务器不能独自解密共享的加密数据。     

基于属性加密的DDS访问控制方案

数据分发服务（Data distribution service,DDS）是一种可靠的实时数据通信中间件标准,它是面向基于发布/订阅模型的分布式环境,在各个领域得到了广泛应用,但现有研究涉及DDS安全技术的成果较少,而在实际应用中发布订阅系统存在多种安全威胁。为了建立灵活可靠的安全机制来确保发布订阅信息的安全性,提出一种以数据为中心的访问控制方案。在属性加密的基础上,对访问树结构进行优化处理,结合发布订阅环境增加属性信任机制。之后采用制定属性连接式与授权策略的方式对发布订阅信息进行加密匹配,并建立DDS访问控制模型来控制发布订阅系统内信息的交互,实现数据的安全分发。经过实验验证,该方案既能够应对DDS存在的几种安全威胁,保障发布订阅信息的机密性,也能够实现系统对特定信息的访问控制,并且发布者订阅者不需要共享密钥,减少了密钥管理的开销。     

可撤销动静态属性的车联网属性基加密方法

车载自组织网络(vehicular ad hoc network, VANET) (也称车联网)数据安全共享通常采用群加密方式,高速移动的车载终端给群组构建和群密钥管理带来困难.密文策略属性基加密(ciphertext-policy attribute-based encryption, CP-ABE)为车联网通信安全带来了新的解决方案,但是传统的CP-ABE方案解密计算复杂度高,属性撤销需要整个密文进行全部更新,策略树的构建不够灵活,导致在车联网中的应用受限.为了解决上述问题,围绕车联网云存储数据安全分享,设计可撤销动静态属性的属性基加密方案.将动态属性和静态属性分开管理,构建组合策略树,引入解密代理将高复杂度的属性基解密过程的主要部分外包到服务端,车辆终端通过中央和本地认证中心进行属性撤销和动态属性更新.可撤销动静态属性的车联网属性基加密方案是安全的,在空间和加解密时间复杂度上较传统CP-ABE算法具有优势,实验还分析了车载终端解密、属性撤销和系统并发等性能.     

云存储中支持属性撤销的多关键词可搜索加密方案

云存储的便捷性和管理高效性使得越来越多的用户选择将数据存放在云端。为支持用户对云端加密数据进行检索,提出云存储中基于属性加密支持属性撤销的多关键词搜索方案。采用线性秘密共享矩阵来表示访问控制结构,实现密文细粒度访问控制,在属性撤销过程中不需要更新密钥,应对用户属性变更的情况,在此基础上构造基于多项式方程的搜索算法支持多关键词搜索,从而提高搜索精度。理论分析和实验结果表明,该方案具有陷门不可伪造性和关键词隐私性,能够保证用户数据的隐私和安全,相比CP-ABE方案,具有较高的存储性能和计算效率,功能性更强。     

支持细粒度属性直接撤销的CP-ABE方案

为了解决用户属性变化带来的权限访问控制问题,支持属性撤销的基于属性加密方案被提出.然而,现有的属性撤销机制大多存在撤销代价大、撤销粒度粗等问题,且已有的方案均存在安全隐患,即属性授权中心可以伪装成任意用户解密密文.为弥补上述不足,提出一种支持细粒度属性直接撤销的密文策略的基于属性加密方案（CP-ABE）,并给出该方案的形式化定义与安全模型.所提方案中,用于生成用户密钥的秘密参数由系统中心和属性授权机构分别产生,可避免属性授权中心解密密文的安全隐患.同时,通过引入多属性授权中心进一步降低了安全风险.在属性撤销方面,通过设计高效的重加密算法并引入属性撤销列表,实现细粒度的属性直接撤销.安全证明和性能分析表明：所提方案在适应性选择密文攻击下具有不可区分性并能抵抗不可信授权中心的破译攻击,较同类方案具有更高的计算效率以及更细的属性撤销粒度.     

基于群签名与属性加密的区块链可监管隐私保护方案

区块链技术的去中心化、数据难篡改等特性使其在溯源问题上体现出明显优势,基于区块链的溯源系统可以解决传统系统中信息孤岛、共享程度低以及数据可篡改等问题,从而保证数据的可追溯性。然而,区块链溯源系统中的数据可追溯性与用户隐私保护之间难以取得平衡。提出一种结合群签名、隐私地址协议、零知识证明以及属性加密的分布式可监管隐私保护方案。对群签名的群管理员机制进行改进,设置多群管理员生成用户私钥片段,用户根据返回的私钥片段计算自身私钥,并根据需要有选择性地对溯源数据进行属性加密,同时为链上数据设置特定的访问结构,以实现数据与用户的“一对多”通信。群管理员利用群公钥对交易双方的身份进行追踪与追责。符合数据特定访问结构的用户通过自身的属性私钥对密文进行解密从而获取数据信息。实验结果表明,该方案能在保证数据可追溯并实现交易双方监管的同时,提高链上数据的隐私保护水平,与现有隐私保护方案相比安全性更高。