基于属性群的云存储密文访问控制方案

提出一种基于属性群的云存储密文访问控制方案。采用对称加密算法加密大型数据文件,并用属性加密算法加密对称密钥,将重加密的任务转移到云服务提供商,从而降低数据拥有者的计算代价,且未向云服务提供商泄露额外信息。在属性和用户权限撤销时,以同一属性集下的不同用户为单位,数据拥有者不参与属性和用户权限的撤销,从而减轻数据拥有者的权限管理代价。分析结果表明,该方案在权限撤销时的效率优于已有的密文访问控制方案,支持细粒度的灵活访问控制策略,具有数据机密性、抗合谋攻击性、前向保密性和后向保密性。     

AB-ACCS:一种云存储密文访问控制方法

随着云计算概念的流行,云存储也在越来越多地被提及.云存储依靠其低成本、可扩展的特点得到了广泛的支持和关注,但是也带来了新的安全问题:大多数情况下,用户并不能完全信任云存储服务提供商,从而需要对数据加密以保证数据的机密性.目前已有的基于密文的访问控制技术中,数据属主(Owner)需要为每一个用户维护和发放数据密钥,这样在用户数目众多的情况下,Owner端会成为应用的瓶颈.针对此问题提出了一种新的访问控制方法AB-ACCS,其核心思想是采用基于密文属性的加密算法为用户私钥设置属性,为数据密文设置属性条件,通过私钥属性和密文属性的匹配关系确定解密能力.因此数据属主只需要通过控制数据的密文属性进行权限管理,而不需要为用户分发数据密钥,降低了权限管理的复杂度,避免了这一应用瓶颈.     

CACDP:适用于云存储动态策略的密文访问控制方法

数据的机密性是云存储环境下的难点问题,基于密文的访问控制技术是解决该问题的重要思路,在目前的基于密文的访问控制技术中,数据的高安全需求和频繁的策略更新使得数据拥有者(data owner,DO)端的权限更新代价过高,进而严重制约了系统的整体效率.针对此问题,提出一种适用于云存储动态策略的密文访问控制方法(cryptographic access control strategy for dynamic policy,CACDP),该方法提出了一种基于二叉Trie树的密钥管理机制,在此基础之上利用基于ELGamal的代理重加密机制和双层加密策略,将密钥和数据更新的部分开销转移到云端以减少DO权限管理负担,提高DO的处理效率.最后通过实验验证了该方案有效降低了策略更新为DO带来的性能开销.     

属性群的云存储密文访问控制方案的研究

属性群的云存储密文访问控制方案,这是一种对称加密算法加密的大型数据整理的软件,并且能够利用属性加密的算法对称密钥,并通过数据传输将加密的任务逐渐转移到“云服务”供应商,从而能够不断降低数据拥有者的成本实现利润的最大值。与现有的实施方案相比,新的云存储方案不仅可以支持各种精细的访问控制策略,并能够确保实施方案的稳定性和安全性。所以,可以实现云存储权限的灵活访问控制策略。     

一种高效细粒度云存储访问控制方案

分析Hur等提出的数据外包系统中属性基访问控制方案,指出其存在前向保密性安全漏洞、更新属性群密钥效率低和系统存储量大等缺陷,并基于Hur等方案,提出一种新的高效细粒度云存储访问控制方案.新方案由完全可信机构而非云服务器生成属性群密钥,解决前向保密性问题.采用中国剩余定理实现用户属性撤销,将KEK树上覆盖属性群用户最小子树的求解转变为中国剩余定理同余方程组的求解,提高群密钥更新效率.采用密文策略的属性基加密方法加密用于加密明文的对称密钥而非明文本身,将访问控制策略变更的重加密过程转移到云端,实现属性级和用户级的权限撤销.分析表明,新方案具有更强的安全性,更高的群密钥更新效率和更小的存储量与计算量.     

一种面向云存储的高效动态密文访问控制方法的安全性分析与改进

为解决云计算环境下文件共享的安全问题,Hong等人[1]提出了一种基于CP-ABE(Ciphertext-policy attributed-based encrtption)密文策略的动态密文访问控制方法 HCRE,将访问控制结构转移到云端,实现高效的共享访问控制。针对该方案在用户访问权限撤销过程中存在严重的安全漏洞,通过给出实际的攻击案例不但指出该漏洞所在,而且分析其成因,并结合代理重加密提出一种新的改进方案。其在继承HCRE方案优点的同时,还弥补了安全漏洞,且在权限撤销阶段更具效率。     

云存储中基于代理重加密的CP-ABE访问控制方案

针对云存储中基于密文策略的属性加密（CP-ABE）访问控制方案存在用户解密开销较大的问题,提出了一种基于代理重加密的CP-ABE （CP-ABE-BPRE）方案,并对密钥的生成方法进行了改进。此方案包含五个组成部分,分别是可信任密钥授权、数据属主、云服务提供商、代理解密服务器和数据访问者,其中云服务器对数据进行重加密,代理解密服务器完成大部分的解密计算。方案能够有效地降低用户的解密开销,在保证数据细粒度访问控制的同时还支持用户属性的直接撤销,并解决了传统CP-ABE方案中因用户私钥被非法盗取带来的数据泄露问题。与其他CP-ABE方案比较,此方案对访问云数据的用户在解密性能方面具有较好的优势。     

基于CP-ABE和XACML多权限安全云存储访问控制方案

为了保护云存储系统中用户数据的机密性和用户隐私,提出了一种基于属性加密结合XACML框架的多权限安全云存储访问控制方案。通过CP-ABE加密来保证用户数据的机密性,通过XACML框架实现基于属性细粒度访问控制。云存储系统中的用户数据通过对称加密机制进行加密,对称密钥采用CP-ABE加密。仿真实验表明,该方案是高效灵活并且安全的。安全性分析表明,该方案能够抵抗共谋攻击,具有数据机密性以及后向前向保密性。     

基于代理重加密的云存储密文访问控制方案

针对在不可信的云存储中,数据的机密性得不到保证的情况,提出一种新的代理重加密(PRE)算法,并将其应用于云存储访问控制方案中,该方案将一部分密文存储云中共享,另一部分密文直接发送给用户。证明了该访问控制方案在第三方的不可信任的开放环境下云存储中敏感数据的机密性。通过分析对比,结果表明：发送方对密文的传递可控,该方案利用代理重加密的性质,在一对多的云存储访问控制方案中,密文运算量和存储不会随着用户的增长而呈线性增长,显著降低了通信过程中数据运算量和交互量,有效减少数据的存储空间。该方案实现了云存储中敏感数据的安全高效共享。     

基于代理重加密的云存储密文访问控制方案

针对在不可信的云存储中,数据的机密性得不到保证的情况,提出一种新的代理重加密(PRE)算法,并将其应用于云存储访问控制方案中,该方案将一部分密文存储云中共享,另一部分密文直接发送给用户。证明了该访问控制方案在第三方的不可信任的开放环境下云存储中敏感数据的机密性。通过分析对比,结果表明:发送方对密文的传递可控,该方案利用代理重加密的性质,在一对多的云存储访问控制方案中,密文运算量和存储不会随着用户的增长而呈线性增长,显著降低了通信过程中数据运算量和交互量,有效减少数据的存储空间。该方案实现了云存储中敏感数据的安全高效共享。     

适合云存储的访问策略可更新多中心CP-ABE方案

云存储作为一种新型的数据存储体系结构,近年来得到越来越广泛的应用.大多数用户为了降低本地存储开销、实现数据共享选择将自己的数据上传到云服务器存储.然而,云存储系统存在的安全隐患也引发了社会越来越多的担忧.例如,不完全可信的云服务提供商可能会窃取用户的数据或让未授权的其他用户访问数据等.因此,对用户数据进行加密并实现数据的访问控制是确保云存储中数据安全的有效方法.基于密文的属性加密(CP-ABE)方案则能够很好地实现安全云存储目标,它允许一个发送者加密数据并设置访问控制结构,只有符合条件的用户才能对数据进行解密.但是,传统CP-ABE方案中存在的密钥泄露等问题制约了属性加密在云存储系统中的应用.针对上述的问题,提出了一个多授权机构支持策略更新的CP-ABE方案,该方案与之前的方案相比,不仅可以通过多授权机构避免密钥泄露问题,同时将策略更新及密文更新过程交给服务器执行,有效地降低了本地的计算开销和数据传输开销,充分利用云存储的优势提供一个高效、灵活的安全数据存储方案,对所提方案进行了安全性证明,并对方案进行了效率分析.     

基于CP—ABE访问控制系统的设计与实现

在访问控制中,传统公钥加密由于其需要对接收群体的每个成员用其公钥加密,再分发,因此需要获取接收群体中每个成员的身份。但是,在分布式应用中,却难以一次获取接收群体的规模与成员身份。如果列举用户身份,则会损害用户隐私。基于密文策略的属性加密体制（CP—ABE）,由于其广播式的、授权人通过满足某些条件就能确定的特点,避免了由于必须获取这些信息而引出的数据安全问题。于是,文中给出了一种基于CP—ABE的混合加密访问控制系统的设计与实现方案。通过实际项目的成功应用,证明了该方案的可行性与优越性。     

边缘计算中基于区块链的轻量级密文访问控制方案

密文策略属性基加密(ciphertext-policy attribute-based encryption, CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing, BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.     

一种面向云存储的动态授权访问控制机制

云存储是一种新型的数据存储体系结构,云存储中数据的安全性、易管理性等也面临着新的挑战.首先,云存储系统需要为用户提供安全可靠的数据访问服务,并确保云端数据的安全性.为此,研究者们针对云存储中数据结构复杂、数据存储量大等特点提出了属性加密(attribute-based encryption, ABE)方案,为云储存系统提供细粒度的密文访问控制机制.在该机制中,数据所有者使用访问策略表示数据的访问权限并对数据进行加密.但数据的访问权限常会因各种原因发生改变,从而导致云中存储密文的频繁更新,进而影响数据的易管理性.为避免访问权限管理造成大量的计算和通信开销,提出了一种高效、安全、易管理的云存储体系结构：利用ABE加密机制实现对密文的访问控制,通过高效的动态授权方法实现访问权限的管理,并提出了不同形式的访问策略之间的转换方法,使得动态授权方法更为通用,不依赖于特定的访问策略形式;针对授权执行者的不同,制定了更新授权、代理授权和临时授权3种动态授权形式,使得动态授权更为灵活、快捷;特别地,在该动态授权方法中,授权执行者根据访问策略的更改计算出最小增量集合,并根据该增量集合更新密文以降低密文更新代价.理论分析和实验结果表明,该动态授权方法能减小资源的耗费、优化系统执行效率、提高访问控制机制灵活性.     

支持多用户协同编辑的云存储访问控制方法

以往的云存储属性基访问控制研究大多数是对外包数据的读权限进行控制,很少考虑多个用户协同编辑云端同一个外包数据时的写权限控制.多用户协同编辑控制存在挑战：1)资源有限的数据拥有者希望云辅助自己对外包数据的写权限进行控制,但不希望云获得数据内容,也不希望云感知匹配内容,甚至不希望云能够预测用户的写权限;2)布尔公式的访问结构无法表达写权限控制策略;3)双线性映射运算计算代价大,不适合多用户协同编辑控制.提出一个支持多用户协同编辑的云存储访问控制方法：数据拥有者采用表达能力更丰富的circuit定义写权限访问控制策略,委托半可信云采用矩阵运算快速判断用户提交的修改数据是否应该接受,并且云不可预测每个用户是否具有写权限.分析与实验表明:该方法具有多用户协同编辑的访问控制能力,并且在读权限控制时,利用云辅助解密方法使得用户端存储量和加解密计算量是较小的.     

基于属性的分布式云访问控制方案

云服务中现有访问控制方案对可信第三方具有强烈依赖性。针对该问题,提出一个基于属性的分布式云访问控制方案。建立云访问控制模型,采用ABE的加密树方式构造访问控制策略,并给出用户撤销及策略更新方法。安全性分析表明,该方案能够抵抗共谋攻击,具有数据保密性以及后向前向保密性。