一种高效多授权中心云访问控制方案

针对已有云计算多授权访问控制方案中用户端负担过重的问题,提出一种基于属性加密的多授权中心访问控制方案HE-MA-ACS。在层次化授权结构的基础上,引入外包解密思想,将用户访问的大部分解密计算开销外包至云服务端,实现细粒度的属性撤销,并且用户端不需要参与属性的撤销操作。对方案的正确性、安全性、计算和存储性能进行了分析,证明了该方案在用户端存储开销、访问通信开销、解密时间及属性撤销时计算开销上的优越性。该方案有效地降低了用户端的负担,提高了解密效率。     

基于CP-ABE的隐藏属性外包解密访问控制

传统的属性基加密方案中数据拥有者将访问结构和密文保存在一起,于是用户收到密文消息的同时也收到了访问结构,但访问结构本身就可能包含数据拥有者的隐私信息。本文提出一种基于密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)的隐藏属性外包解密访问控制方案。该方案既能隐藏数据拥有者制定的访问控制策略中的属性,同时将计算密集型解密操作交给代理服务器完成,又能保证未经授权的属性授权中心或代理服务器不能独自解密共享的加密数据。     

卫星网络中支持策略隐藏的多授权访问控制方案

卫星网络具有信道开放、节点暴露、星上处理能力受限等独有特征，但现有的基于密文策略的属性加密（CP-ABE）的访问控制不支持策略完全隐藏且属性授权方式不适用于卫星网络，为此，提出支持策略隐藏的多授权访问控制方案。该方案采用更灵活的线性秘密共享（LSSS）矩阵访问结构，不仅能有效保证数据机密性，而且能通过混淆访问结构实现策略完全隐藏；采用多授权机构实现细粒度的属性管控，能消除中心授权机构的性能瓶颈；各属性授权机构独立工作且密钥生成分权，能有效抵抗合谋攻击。安全性及性能分析表明，所提方案满足数据机密性、抗合谋攻击和完全策略隐藏的安全需求，比对比方案更适合卫星网络。     

基于代理的即时属性撤销KP-ABE方案

属性撤销是属性基加密方案在实际应用中亟须解决的问题,已有支持间接撤销模式的可撤销属性基加密方案存在撤销延时或需要更新密钥及密文等问题。为此,提出一种间接模式下基于代理的支持属性即时撤销的密钥策略属性基加密方案,该方案不需要用户更新密钥及重加密密文,通过在解密过程中引入代理实现撤销管理,减轻了授权机构的工作量,其要求代理为半可信,不支持为撤销用户提供访问权限及解密密文。分析结果表明,该方案支持细粒度访问控制策略,并且可以实现系统属性的撤销、用户的撤销及用户的部分属性撤销。     

云存储环境下属性基加密综述*

属性基加密作为一种新型的密码方案,将用户私钥和密文与属性相关联,为解决云存储环境下数据安全共享、细粒度访问控制和安全存储等问题提供了一种解决思路。在对密钥策略属性基加密、密文策略属性基加密和混合策略属性基加密深入研究后,根据不同的功能扩展,针对隐藏访问结构、多授权机构、复杂计算安全外包、可搜索加密机制、属性撤销、叛徒追踪等重点难点问题进行了深入探讨研究。最后总结了现有研究工作的不足,并指出了未来的研究方向。     

支持权限管理的高效属性撤销机制

针对基于属性的访问控制模型中存在属性撤销后权限确定的问题,本文提出一种支持权限管理的高效属性撤销机制。该方案通过在访问控制机制中引入基于密文策略的属性加密机制CP-ABE来实现密文访问控制,将访问树用主析取范式来表示,主析取范式的每个子集即为访问主体访问资源所需满足的限定条件最小属性集。因此,当属性撤销时,通过判断最小属性集与被撤销属性的关系,来确定被撤销属性对主体的访问是否有影响,进而确定主体的访问权限。性能分析表明,该方案具有较高的安全性,不仅能够实现属性撤销后权限的确定,而且能够抵抗共谋攻击等。     

支持属性撤销的可验证外包的多授权属性加密方案

针对云存储中基于多授权属性加密（MA-ABE）访问控制方案存在数据使用者解密开销大,同时缺乏有效属性撤销的问题,提出了一种支持属性撤销的可验证外包的多授权属性加密方案。首先,利用可验证外包技术,降低数据使用者的解密开销,同时验证数据的完整性。然后,利用双线性映射保护访问策略,防止数据拥有者身份泄露。最后,利用每个属性的版本密钥实现立即的属性撤销。安全性分析表明所提方案在标准模型中判定性的q双线性Diffie-Hellman指数假设下是安全的,同时满足了前向安全性和抗合谋攻击。性能分析表明所提方案在功能性和计算开销两方面都具有较好的优势,因此所提方案更适用于云存储下多授权属性加密环境。     

云环境下SNS隐私保护方案

社交网络存储的数据实际都是外包给并不完全可信的云服务商。针对社交网络隐私安全和属性更新问题,提出一种云环境中具有策略隐藏和属性撤销的属性基加密方案。通过分解密钥产生方式降低用户端的计算量,引入合数阶的双线性群实现访问策略隐藏,并利用令牌树和陷门机制灵活且高效地完成属性撤销。而且,该方案在标准假设下可被证明是安全的。因此,将该方案运用于社交网络,将数据加密存储于云服务端是安全可行的。与其他方案相比,该方案既保护了访问策略的隐私,又具有多样的访问控制功能,在计算和存储等方面更有优势。     

云存储环境下支持策略变更的CP-ABE方案

近年来,CP-ABE作为适用于云存储环境的访问控制机制,成为研究热点。由于现有的基于CP-ABE的访问控制方案在云存储环境下不支持系统属性灵活变更,利用云存储服务提供者的存储及计算资源优势,基于AB-ACER方案提出了支持系统属性灵活撤销及恢复的云存储访问控制方案。该方案通过引入虚拟属性来支持云存储环境下访问策略属性的撤销及恢复,且仅由存储服务提供者进行少量的重加密计算。安全及性能分析表明,该方案不仅支持数据属主访问策略的灵活变更,还保持了原有方案的安全性及细粒度访问控制,同时大大降低了数据属主的计算开销。     

策略隐藏的高效多授权机构CP-ABE物联网数据共享方案

物联网环境下的数据共享存在效率低下、隐私泄露等问题，以及基于密文策略的属性基加密（ciphertext policy attribute-based encryption,CP-ABE）数据共享方案因采用单授权机构，需要承担繁重的计算工作而成为系统运行效率的瓶颈.为解决上述问题，提出一种策略完全隐藏的高效多授权机构CP-ABE物联网数据共享方案.该方案利用多授权机构CP-ABE实现数据的细粒度访问控制，利用联盟链不可篡改的特性保证密文哈希值和密钥集合密文的安全，采用MurmurHash3算法实现策略的完全隐藏，避免访问策略泄露用户隐私信息；并结合多秘密共享算法改进多授权机构CP-ABE，进而提升数据共享的效率.理论分析证明该方案能够保证访问策略和秘密共享过程的安全性.仿真实验结果表明，所提方案在策略隐藏和秘密分发过程中都具有较好的性能.     

高效撤销的密文策略属性基加密方案

摘要：作为新型的密码学原语,属性基加密方案通过一系列属性来定义一个用户,并且实现了细粒度访问控制。然而,复杂、耗时的撤销操作成为限制属性基加密方案应用的瓶颈问题。为了解决属性基加密方案中的撤销问题,本文提出一种高效属性撤销的密文策略属性基加密方案。该方案通过固定长度的撤销列表记录撤销用户,撤销过程不必更新系统密钥及相关用户的密钥,大大降低了撤销所引起的计算开销。     

高效可撤销的雾协同云访问控制方案

密文策略属性加密技术在实现基于云存储的物联网系统中数据细粒度访问控制的同时,也带来了用户与属性的撤销问题。然而,在现有的访问控制方案中,基于时间的方案往往撤销并不即时,基于第三方的方案通常需要大量重加密密文,效率较低且开销较大。为此,基于RSA密钥管理机制提出了一种高效的支持用户与属性即时撤销的访问控制方案,固定了密钥与密文的长度,借助雾节点实现了用户撤销,同时将部分加解密工作从用户端卸载到临近的雾节点,降低了用户端的计算负担。基于aMSE-DDH假设的安全性分析结果表明,方案能够抵抗选择密文攻击。通过理论分析和实验仿真表明,所提方案能够为用户属性变更频繁且资源有限的应用场景提供高效的访问控制。     

访问策略隐匿的可追责层次属性加密方案

在传统的属性加密方案中,用户可能会共享私钥给具有相同属性集的多个用户而不怕被追责;此外,访问策略包含的信息可能会泄露用户隐私。针对这2个问题,提出一种可追责的隐匿策略的层次化属性加密方案。该方案在合数阶双线性群下基于访问树进行构造,具有灵活的表达能力,在访问策略中插入合数阶子群的随机元素实现策略隐匿;将用户标识加入私钥运算中,实现对泄露信息的违规用户的可追责;使用层次授权体系,降低单权威授权的计算负荷,提高了整体安全性和效率。实验结果和效率对比分析表明,该方案在加解密计算开销方面具备优势,且支持访问策略的隐匿和对违规用户的追责,大大提高了方案的安全性。     

基于多授权中心的CP-ABE属性撤销方案

直接将密文属性基加密（CP-ABE）运用于云环境中，将造成云访问控制的安全和计算开销问题。为此，提出一种支持多授权中心的属性撤销方案（RMCP-ABE），通过采用逻辑二叉树和每属性代理重加密等方法，保证了属性撤销过程中的安全性，属性撤销的即时性、灵活性和细粒度，降低了数据属主的计算开销。方案引入了多授权中心模型，避免授权中心被攻破或者合谋的威胁，并提高了运行效率。安全性和实验分析表明，该算法安全性与传统CP-ABE算法一致，同时与其他属性撤销方案相比开销更低。     

基于椭圆曲线加密且支持撤销的属性基加密方案

在云终端用户资源受限的场景中,传统属性基加密方案中存在着计算开销大以及不能实现实时撤销的不足。为了实现云端数据安全高效的共享,提出了一种基于椭圆曲线加密（ECC）算法且支持细粒度撤销的属性基加密方案。该方案使用计算较轻量级的椭圆曲线上的标量乘法代替传统属性基加密方案中计算开销较大的双线性配对,以降低系统中用户在解密时的计算开销,提高系统的效率,使方案更适用于资源受限的云终端用户场景。利用表达能力更强和计算更高效的有序二元决策图（OBDD）结构来描述用户定义的访问策略,以减少嵌入密文中的冗余属性来缩短密文长度。为每个属性建立一个由拥有该属性用户组成的属性组,并为组内每个成员生成唯一的用户属性组密钥。当发生属性撤销时,利用最小子集覆盖技术为组内剩余成员生成新的属性组,实现实时的细粒度属性撤销。安全分析表明,所提方案具有选择明文攻击不可区分性、前向安全性和后向安全性;性能分析表明,所提方案在访问结构表达和计算能力上优于（t,n）门限秘密共享方案和线性秘密共享方案（LSSS）,其解密计算效率满足资源受限的云终端用户的需求。     

基于隐藏访问策略属性基的能源互联网数据保护

能源互联网中不同安全域中实体的通信数据包含敏感信息,基于密文策略属性基加密CPABE方案可实现细粒度的保护,但传统CP-ABE解密复杂度高,属性撤销需要对整个密文进行全部更新,以及访问策略易泄露隐私信息,导致其在能源互联网中应用受限。围绕着能源互联网云存储数据共享安全,设计基于隐藏访问策略的能源互联网数据保护方案,访问策略支持任意门限或者布尔表达式,将访问策略中的属性模糊化以实现策略的隐藏,引入解密代理将高复杂度的属性基解密过程的主要部分外包到服务端,减少了接收端的解密开销,在属性撤销过程中仅需要属性认证中心和解密代理参与,降低了属性撤销的难度。实验对比分析结果表明,本文方案的解密性能有较大的提升。     

基于密文策略属性加密的云存储访问控制方案

针对现有方案存在的访问策略公开、密文存储开销较大的问题,提出一种支持策略隐藏且固定长度密文的云存储访问控制方案,并在安全模型下证明方案可抵抗选择明文攻击。方案中用户私钥由多个授权机构共同生成,中央授权机构不参与生成任何主密钥与属性私钥;访问结构隐藏在密文之中,恶意用户无法通过访问结构获取敏感信息。此外,方案实现了固定密文长度,并且加密时的指数运算和解密时的双线性对运算次数均是固定值。最后,理论分析和实验结果表明该方案在密文长度和加解密时间上都明显优于对比方案。     

支持细粒度属性直接撤销的CP-ABE方案

为了解决用户属性变化带来的权限访问控制问题,支持属性撤销的基于属性加密方案被提出.然而,现有的属性撤销机制大多存在撤销代价大、撤销粒度粗等问题,且已有的方案均存在安全隐患,即属性授权中心可以伪装成任意用户解密密文.为弥补上述不足,提出一种支持细粒度属性直接撤销的密文策略的基于属性加密方案（CP-ABE）,并给出该方案的形式化定义与安全模型.所提方案中,用于生成用户密钥的秘密参数由系统中心和属性授权机构分别产生,可避免属性授权中心解密密文的安全隐患.同时,通过引入多属性授权中心进一步降低了安全风险.在属性撤销方面,通过设计高效的重加密算法并引入属性撤销列表,实现细粒度的属性直接撤销.安全证明和性能分析表明：所提方案在适应性选择密文攻击下具有不可区分性并能抵抗不可信授权中心的破译攻击,较同类方案具有更高的计算效率以及更细的属性撤销粒度.