基于访问控制和中国剩余定理的数据库密钥管理方案的研究

针对密文数据库中数据项加密时会出现数据项密钥量大和安全需求高的问题,通过引入中国剩余定理来管理数据项密钥,提出了一种新的基于访问控制和中国剩余定理的密钥管理方案。当用户申请用户密钥时,密文数据库可以将用户u_i能够访问的大量数据项对应的密钥K_i"合成"用户密钥uki并保存;当用户ui提供用户密钥uk_i和密文查询请求CQR访问密文数据库时,系统会根据系统表和中国剩余定理将用户密钥uk_i再分解成数据项密钥K_i,用户就可以解密数据。该方案不仅实现了对用户访问权限的管理,还解决了大量数据项密钥带来的数据处理时间长、占用系统资源多等问题,提高了密文数据库中密钥管理的效率和安全性。论文最后实现了该密钥管理方案,并对比分析了该方案的安全性。     

MS SQL Server数据库加密系统的设计与实现

分析设计了两种不同层次的数据库加密系统,提出了动态密钥管理和密文数据库查询检索方案,并将其中一种方案予以实行。     

等级访问控制下密文数据库密钥管理方案研究

针对等级体制下用户权限管理和访问密文数据库的问题,提出了基于椭圆曲线密码体制的密钥管理方案。该方案中每个用户都可以独立选择自己的用户密钥,并安全传送给可信中心,可信中心在收集完密钥参数之后使用椭圆曲线密码体制计算出具有偏序关系的用户关系参数。高级别用户利用关系参数和用户密钥便可以安全有效地推导出低级别用户的密钥信息,然后利用密钥信息解密低级别用户的密文数据库。方案中还考虑了偏序关系变化后密文数据库的更新方法。实验表明,安全等级的密钥推导和访问数据库具有较高的效率和安全性。     

基于组合密钥的密文全文检索的分词加密方案设计

密文全文检索系统在不解密的情况下对密文进行检索,索引分词密文必须与检索的分词密文一致.基于对系统安全性的要求,如果每个分词使用不同的密钥进行加密是最安全的,但这会带来密钥数量庞大且不利于管理的问题.本文在此基础上,提出一种使用组合密钥的方案解决这一问题.     

面向密文数据库的中间件系统设计与实现

针对传统密文数据库中加解密方式对上层应用不透明、缺乏独立的密钥管理机制和无法对多用户进行安全管理等问题,设计并实现了一种面向密文数据库的中间件系统。首先,通过解析和改写数据库客户端和服务器端发出的数据报,实现对敏感数据加解密;然后,通过设置独立的密钥管理模块和使用二级密钥管理的方式,实现对密钥的管理;最后,通过独立的用户管理模块进行用户权限判断、身份动态认证和用户身份的撤销与更新,实现对密文数据库用户的管理。实验测试结果表明,相比传统密文数据库,所提中间件系统有着较好的安全性,且随着数据量的增大,其传输效率不断提高。该中间件系统可以有效保障密文数据库的安全,并具有高效的数据传输效率。     

客户端密文去重方案的新设计

云存储可以使用户在不扩大自身存储的情况下保存更多数据,而客户端去重技术的引入使用户在本地对重复数据进行有效删除,极大提高云存储利用率,节省通信开销.本文利用文献[10]中基于盲签名随机化收敛密钥的思想,提出了一个新的基于客户端密文去重方案.新方案中重复验证标签和拥有权证明可有效抵抗暴力字典攻击,并利用三方密钥协商方案的思想设计了灵活的加密密钥管理方案.实验结果表明新方案能够有效降低用户存储和计算开销.     

一种新的多级安全数据库同态加密方案

为提高加密数据库的应用性能,可以运用同态加密技术使得不用解密而直接操作密文数据.而多级安全机制能够为数据库管理系统提供更高层级的信息安全保护.本文提出了一种新的基于数论的数据库加密方案,该方案具有合理可行的密钥配置,加解密运算过程简单,并且具备多级安全机制,能够支持对密文的关系操作和动态扩展.     

固定密文长度的基于身份的单向多跳代理重加密方案

针对基于身份的单向多跳代理重加密方案中密文长度随跳数增加而增大导致效率降低的问题,基于一种新的代理重加密思想,通过改变重加密密钥的生成方,由发送者生成重加密密钥,设计了一种基于身份的单向多跳代理重加密方案,该方案中第一层密文与第二层密文形式相同,重加密后密文长度没有增加。效率分析表明,该方案减少了运算量较大的指数运算、数乘运算和双线性对运算的数量。在随机预言机模型下,基于判定性双线性Diffie-Hellman（DBDH）假设,证明了方案是选择密文攻击安全的。     

密文数据库及其密钥管理

数据库加密是计算机安全研究中的核心课题之一，其中密钥管理是实现密文数据库的关键技术，文中提出了一种新的密钥分配管理方案－两极转换表方案。并严格论证了它的安全性和复杂性，在此基础上实现的数据库加密管理工具达到了较好的运行结果。     

基于密钥封装机制的RLWE型认证密钥交换协议

当前,基于格理论构造密钥交换协议已成为密钥交换领域的研究前沿,设计安全性更强、密钥和密文规模以及通信开销更小的高效密钥交换协议,是格基密钥交换领域的重难点问题.文章基于紧凑型RLWE公钥加密方案与NewHope-Simple中的密文压缩和NTT转换技术,结合FO转换机制,提出一种主动安全的KEM方案,采用隐性认证和身份...     

一种高安全和易共享的数据库加密方案*

提出一种新的数据库加密方案,该方案借鉴PGP加密算法的设计思想,在保证数据库中数据私密性的同时又为数据库提供了方便的数据共享.它综合了传统加密算法的快速高效和公钥加密算法进行密钥分发便捷的优点,为关键敏感数据提供了安全的存储环境,为密钥提供了高效的管理.该方案已在面向航天系统的国产数据库管理系统Oscar v5.1中取得成功应用.     

密文数据库系统的密钥管理与加脱密引擎

密钥管理和加脱密引擎是数据库加密系统中的两个重要组成部分.密钥管理是管理加脱密系统中使用到的各种密钥,包括用户的个人密钥,用于对数据加密的数据类密钥等,并通过转换表来分配不同用户的权限.加脱密引擎则负责对数据库中的敏感数据进行加脱密操作,主要是使用表密钥来对数据进行加脱密操作.在用何种密钥进行加密的描述中,两者就有一些不一致的地方.本文将就这一问题进行相关的讨论并给出解决方案.     

基于用户鉴别码的加密系统设计

通过引入中心加密服务器的方式对现有的数据库加密体系结构进行了改造，实现了加密数据与加密密钥的分离，有效防止了攻击者对系统数据的窃取。并且针对数据库加密密钥管理及用户存取权限控制，提出了一种用户鉴别码模型，能有效地提高系统加密密钥管理的强度，同时在一定程度上防范了目前系统在存取权限控制方面的很多漏洞。     

基于同态加密的密文策略属性加密方案

属性加密方案极其适用于云存储环境下的数据访问控制,但用户私钥的安全问题仍然是一个极具挑战的问题,影响了属性加密的实际运用。针对该问题,提出一种基于同态加密的密文策略属性加密方案,属性授权中心和云服务中心拥有包含各自系统私钥信息的秘密坐标,两者利用各自秘密坐标进行保密计算两点一线斜率的方式来交互生成用户私钥。分析结果表明,所提方案在消除单密钥生成机构的同时极大地降低了生成用户密钥所需的通信交互次数,从而降低了交互过程中秘密信息泄露的风险。     

基于IC协议的分块加密方案及其应用

快递面单泄密问题在给个人带来安全隐患的同时,也制约着快递企业的快速发展。针对快递面单隐私保护进行了研究。将基于身份的加密体制（BF-IBE）、权限设计思想及二维码技术相结合,设计了一种分块加密方案,采用一种新的用户私钥分发协议（IC协议）来解决密钥管理问题。将分块加密方案应用于快递隐私保护领域,设计了新型隐私面单与快递业务流程。结果分析表明,分块加密方案所采用的IC协议无须求逆运算,双线性对运算有效降低,便于密钥管理。在加解密效率上分块加密方案与BF-IBE相当,安全性基于椭圆曲线上的离散对数问题,应用于快递领域能有效保护用户隐私,可推广至其他有分块加密需求的领域。     

数据库加密与验证机制的研究

以关系数据库为数据模型,在分析数种已有的数据加密技术基础上,研究数据库数据以密文方式存储并建立相应的数据库验证机制,立足于解决数据库中最为关键的数据库验证机制等方面的理论、方法和技术问题;提出基于连接的子密钥生成算法以及基于用户信息的密钥管理技术和字段的记录验证技术,保证数据库的安全;有效地管理生成子密钥的字段加密技术所需的密钥,适应于客户端或服务器的加解密,适应于字段验证技术的灵活性和记录验证技术的安全性。     

基于格式保留的敏感信息加密方案

格式保留加密具有加密后数据格式和数据长度不变的特点,不会破坏数据格式约束,从而降低改造数据格式的成本。分析现有敏感信息格式保留加密方案,均基于对称加密体制,存在密钥传输安全性低和密钥管理成本较高等问题。提出了身份密码环境下基于格式保留的敏感信息加密方案,与现有的格式保留加密方案相比,通信双方不需要传递密钥,通过密钥派生函数来生成加密密钥和解密密钥,利用混合加密的方式提高了敏感信息传输的安全性。并且证明了该方案满足基于身份的伪随机置换安全,在适应性选择明文攻击下具有密文不可区分性。     

云环境下基于属性策略隐藏的可搜索加密方案

基于属性的可搜索加密技术可以实现对数据的细粒度访问控制,但现有的可搜索加密方案,关键字的搜索、访问控制、文件加密基本上是分别执行的,导致攻击者可能跳过访问策略直接进行关键字索引匹配或文件解密;其次,现有方案中数据拥有者需将加密文件的密钥以安全通道传给用户,增加了数据拥有者的开销;此外,大多基于树型的访问控制策略是公开的,容易造成隐私泄露。因此,基于线性秘密分享（LSSS,linear secret sharing schemes）访问结构,提出了一种云环境下基于属性策略隐藏的可搜索加密方案。通过将策略秘密值嵌入关键字加密与文件存储加密,实现访问控制、关键字搜索与文件加密的有机结合;通过聚合密钥技术实现用户无须与数据拥有者交互,即可对文件进行解密的功能,减轻了密钥管理的负担,存储空间提高约30%。实验结果及安全性分析表明,所提方案具有数据存储的安全性、访问策略的隐私性、陷门的不可连接性等功能,具有较高的密文检索效率,与已有主流方案相比,检索效率提高至20%以上。     

基于身份的同态密钥协商

在整数环上的同态加密机制和IBE公钥密码体制基础上,提出了基于IBE的同态密钥协商。该协议建立的会话密钥是等献的、前向保密的。和Diffie-Hellman系列密钥协商协议相比,所提出的密钥协商协议具有更快的运算速度;和基于口令的密钥协商协议相比,所提出的密钥协商协议具有较好的安全性。最后利用BAN逻辑证明了该协议的安全性。     

一种基于身份的认证加密新方案

将传统的对称加密方法与基于身份的公钥加密系统相结合,设计了一种基于身份的认证加密方案,该方案用椭圆曲线上的双线性映射构造,其安全性基于双线性的计算Diffie-Hellman假设和单向的Hash函数。与以往的文献中基于身份的公钥加密方法相比,该方案系统初始化简单、加密/解密效率高,具有较低的通信成本。