共查询到20条相似文献,搜索用时 156 毫秒
1.
2.
为解决基于身份的信息服务多信任域认证系统不能实现身份即时撤销的问题,提出了一种可撤销的身份签名方案。在SM9(国产标识密码)签名算法的基础上,引进一个安全仲裁来保管实体的部分私钥,通过终止安全仲裁给实体发送签名信令来撤销实体的签名能力,从而实现 身份 的即时撤销。在该方案的基础上,利用基于证书的公钥基础设施(PKI)与基于身份的密码体制(IBC)的组合应用优点,提出了一种新的信息服务实体跨域认证模型。该模型不仅具有灵活高效的认证特点,而且适合构建大规模信息服务实体的应用环境。同时,设计了一种跨域认证协议,实现了跨信任域的双向实体认证和密钥协商。分析结果表明,该协议具有较高的安全性及较少的通信量和计算量。 相似文献
3.
4.
一种针对弹性CA的分布式密钥产生方案 总被引:1,自引:0,他引:1
弹性CA是一种使用入侵容忍技术保护CA密钥的CA系统,它采用了新的私钥分割方法加强了系统的安全性,但其使用的密钥分发中心却不利于CA私钥安全 .分布式密钥产生方案就是在传统的弹性CA方案的基础上取消了密钥分发中心,使用分布式的密钥产生和分割机制,从而保证了在CA初始化和整个运行过程中,任意t-1(t为门限值)台服务器都不可能窃得CA私钥,大大加强了CA系统安全 . 相似文献
5.
李双 《计算机工程与应用》2020,56(20):93-97
基于身份的可搜索加密方案(IBEKS)使用身份等信息作为公钥,绑定了公钥和用户(私钥),省去了CA认证的环节,但是也带来了一些问题,比如密钥托管、密钥撤销等。基于此,首次提出无证书的可搜索方案(CL-PEKS)的抽象定义和构造算法,对算法的一致性进行了验证,并且分析了算法复杂度。同时给出了抵抗第一、二类选择关键词密文攻击(type I、type II IND-CCA2)语义安全的CL-PEKS定义。该方案实现了密文关键词可搜索功能,同时解决了IBEKS中的密钥托管问题。 相似文献
6.
7.
针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信计算平台完整性校验、保护存储和访问控制以及远程平台校验等安全特性,提出了可信计算平台身份管理方案和协议。本方案实现了多种方式的身份认证及身份、身份认证审计记录和主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输。最后,进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的负担。 相似文献
8.
针对需要多人操作的强安全云计算系统的身份认证问题,该文提出了一种基于零知识的多实体联合身份认证算法,有效解决了多实体同时联合身份认证问题。采用秘密共享技术将私钥拆分成多个私钥份额,并分发给多个实体。基于零知识证明协议,实体无需传输私钥份额到身份认证中心,降低了传输过程中的泄露风险。采用门限签名算法构造零知识证明协议,每次身份认证需要多个实体参与。同时,身份认证中心无需存储实体的私钥份额,降低了私钥份额的存储泄露风险。进一步,身份认证中心运行在机密计算环境中,每个实体可以对身份认证中心的真实性进行认证。该方案降低单一实体对系统的访问权限,能够容忍少量不可用或恶意实体。最后,该方案从完备性、正确性、零知识性方面分析了算法的安全性。 相似文献
9.
10.
可信移动平台身份管理框架 总被引:2,自引:0,他引:2
针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信移动平台完整性校验、保护存储、域隔离和访问控制以及远程平台校验等安全特性,提出了可信移动平台身份管理方案和协议;构建了对应于口令、证书、指纹等认证方式的身份矩阵;实现了多种方式的身份认证、身份认证审计记录,主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输;进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的 相似文献
11.
针对系统业务数据安全存储问题,采用加解密引擎服务对应用端发送数据进行加密,根据用户ID来识别不同用户的传输命令,利用用户私有的KEY进行加密存储。该方案在云计算平台下具有保护用户数据存储安全、隔离数据的功能。当应用端用户查询已加密数据时,加解密引擎服务端根据用户ID读取缓存区用户密钥,解密数据返回给应用端明文数据。当加解密系统和第三方应用进行集成时,加解密引擎将载人用户定义的加密算法、加密矢量等信息,按照用户自身的密钥加密敏感数据,可保证用户敏感数据存储安全并隔离不同用户的业务数据。以某市人口库系统集成为例,验证了方案的可行性。 相似文献
12.
13.
Sharing your privileges securely: a key-insulated attribute based proxy re-encryption scheme for IoT
Attribute based proxy re-encryption (ABPRE) combines the merits of proxy re-encryption and attribute based encryption, which allows a delegator to re-encrypt the ciphertext according to the delegatees’ attributes. The theoretical foundations of ABPRE has been well studied, yet to date there are still issues in schemes of ABPRE, among which time-bounded security and key exposure protection for the re-encryption keys are the most concerning ones. Within the current ABPRE framework, the re-encryption keys are generated independently of the system time segments and the forward security protection is not guaranteed when the users’ access privileges are altered. In this paper, we present a key-insulated ABPRE scheme for IoT scenario. We realize secure and fine-grained data sharing by utilizing attribute based encryption over the encrypted data, as well as adopting key-insulation mechanism to provide forward security for re-encryption keys and private keys of users. In particular, the lifetime of the system is divided into several time slices, and when system enters into a new slice, the user’s private keys need are required to be refreshed. Therefore, the users’ access privileges in our system are time-bounded, and both re-encryption keys and private keys can be protected, which will enhance the security level during data re-encryption, especially in situations when key exposure or privilege alternation happens. Our scheme is proved to be secure under MDBDH hardness assumptions as well as against collusion attack. In addition, the public parameters do not have to be changed during the evolution of users’ private keys, which will require less computation resources brought by parameter synchronization in IoT. 相似文献
14.
15.
为了提高基于身份加密体制的用户密钥安全性,解决基于身份加密体制中的密钥托管问题成为一个重要课
题。提出了一种针对13onch-13oycn:基于身份加密体制的安全密钥分发方案,方案中系统的主密钥分片分别保存于一
个密钥生成中心和多个密钥隐私中心处,用户的私钥生成需要用户收到密钥生成中心和密钥隐私中心发来的多个私
钥分片,以避免密钥生成中心获取用户的私钥。在标准模型中证明了密胡分发方案能够保证密钥生成中心无法获取
用户的私钥,能够有效解决13onc卜13oycn:基于身份加密方案的密钥托管问题。 相似文献
16.
Flexible CP-ABE Based Access Control on Encrypted Data for Mobile Users in Hybrid Cloud System
下载免费PDF全文
![点击此处可从《计算机科学技术学报》网站下载免费的PDF全文](/ch/ext_images/free.gif)
In hybrid cloud computing, encrypted data access control can provide a fine-grained access method for organizations to enact policies closer to organizational policies. This paper presents an improved CP-ABE (ciphertext-policy attribute-based encryption) scheme to construct an encrypted data access control solution that is suitable for mobile users in hybrid cloud system. In our improvement, we split the original decryption keys into a control key, a secret key and a set of transformation keys. The private cloud managed by the organization administrator takes charge of updating the transformation keys using the control key. It helps to handle the situation of flexible access management and attribute alteration. Meanwhile, the mobile user’s single secret key remains unchanged as well as the ciphertext even if the data user’s attribute has been revoked. In addition, we modify the access control list through adding the attributes with corresponding control key and transformation keys so as to manage user privileges depending upon the system version. Finally, the analysis shows that our scheme is secure, flexible and efficient to be applied in mobile hybrid cloud computing. 相似文献
17.
18.
给出了一个新的基于PKI的公钥追踪体制。本体制中数据发布者的公钥长度及每个授权用户的私钥长度都是不变的。为防止授权用户受到诬陷,采用了非对称的用户私钥。以往的追踪体制无法保证授权用户不将自己的私钥有意泄露给他人,文中采用的追踪体制具有自强迫性,可防止授权用户对其私钥的有意泄露。由于用零知识证明的方式对用户在PKI中的密钥进行了验证,该文的体制可防止用户使用非机密信息构造解密密钥。 相似文献
19.
IBE体系的密钥管理机制 总被引:5,自引:0,他引:5
现有IBE的密钥管理机制存在许多问题和不足,例如用户私钥的安全分发问题(缺少一个安全的、定时的、自动的密钥更换机制)以及如何保证数据报的保密性、完整性、不可伪造性和不可否认性等问题.文中针对以上问题,提出一种改进的密钥管理方案,即密钥管理机制.它能够定时更换域内密钥并且安全分发,同时使用安全服务来保障数据报的保密性、完整性、不可伪造性和不可否认性.数据报的安全服务包括双重数字签名、数字信封以及数字时间戳.最后文章使用随机预言模型RO(Random Oracle)对文中提出的相关协议给出了安全性证明. 相似文献
20.
An access control mechanism in a user hierarchy is used to provide the management of sensitive information for authorized users. The users and their own information can be organized into a number of disjoint sets of security classes according to their responsibilities. Each security class in a user hierarchy is assigned an encryption key and can derive the encryption keys of all lower security classes according to predefined partially ordered relation. In 2006, Jeng and Wang proposed an efficient key management scheme based on elliptic curve cryptosystems. This paper, however, pointed out that Jeng-Wang scheme is vulnerable to the so-called compromising attack that the secret keys of some security classes can be compromised by any adversary if some public information modified. We further proposed a secure key management scheme based on elliptic curve cryptosystems to eliminate the pointed out the security leak and provide better security requirements. As compared with Jeng and Wang's scheme (Jeng and Wang, 2006), the proposed scheme has the following properties. (i) It is simple to execute the key generation and key derivation phases. (ii) It is easily to address dynamic access control when a security class is added into or deleted from the hierarchy. (iii) It is secure against some potential attacks. (iv) The required storage of the public/secret parameters is constant. 相似文献