边缘计算中基于区块链的轻量级密文访问控制方案

密文策略属性基加密(ciphertext-policy attribute-based encryption, CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing, BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.     

基于CP-ABE和XACML多权限安全云存储访问控制方案

为了保护云存储系统中用户数据的机密性和用户隐私,提出了一种基于属性加密结合XACML框架的多权限安全云存储访问控制方案。通过CP-ABE加密来保证用户数据的机密性,通过XACML框架实现基于属性细粒度访问控制。云存储系统中的用户数据通过对称加密机制进行加密,对称密钥采用CP-ABE加密。仿真实验表明,该方案是高效灵活并且安全的。安全性分析表明,该方案能够抵抗共谋攻击,具有数据机密性以及后向前向保密性。     

基于区块链的云上数据访问控制模型研究

区块链和基于密文策略的属性加密(Ciphertext Policy Attribute Based Encryption, CP-ABE)相结合的方案已经被广泛应用于云上共享数据的访问控制,但是这些方案中数据用户的隐私保护问题并未得到妥善解决。一些研究引入分布式多属性授权中心的基于属性的签名方案(Distributed Multi-Authority Attribute Based Signature, DMA-ABS)来保护数据用户的隐私,但当数据用户多次访问数据时需要进行重复的权限验证,这会带来多余的时间消耗问题。并且,在数据用户的属性和访问控制策略保持相对稳定的情况下,数据用户无限制地重复访问共享数据,会导致系统过载,影响正常的请求处理。这可能会引起云端数据的泄露,给云端数据的安全带来隐患。为了解决这些问题,文中提出了一个基于区块链的云上个人隐私数据访问控制方案。该方案首先将智能合约和多属性授权中心的CP-ABE方案结合,实现了云上个人隐私数据的细粒度访问控制,并引入DMA-ABS方案完成了对数据用户的匿名性身份验证,保护了数据用户的身份隐私;其次,基于比特币UTXO(Unspe...     

策略隐藏的高效多授权机构CP-ABE物联网数据共享方案

物联网环境下的数据共享存在效率低下、隐私泄露等问题，以及基于密文策略的属性基加密（ciphertext policy attribute-based encryption,CP-ABE）数据共享方案因采用单授权机构，需要承担繁重的计算工作而成为系统运行效率的瓶颈.为解决上述问题，提出一种策略完全隐藏的高效多授权机构CP-ABE物联网数据共享方案.该方案利用多授权机构CP-ABE实现数据的细粒度访问控制，利用联盟链不可篡改的特性保证密文哈希值和密钥集合密文的安全，采用MurmurHash3算法实现策略的完全隐藏，避免访问策略泄露用户隐私信息；并结合多秘密共享算法改进多授权机构CP-ABE，进而提升数据共享的效率.理论分析证明该方案能够保证访问策略和秘密共享过程的安全性.仿真实验结果表明，所提方案在策略隐藏和秘密分发过程中都具有较好的性能.     

基于区块链的能源数据访问控制方法

针对能源互联网跨企业、跨部门的数据共享过程中存在的能源数据易篡改、泄密、数据所有权争议的问题,结合区块链可追溯、难以篡改等特点,提出一种基于区块链多链架构的能源数据访问控制方法,在保护用户隐私的同时实现了能源数据跨企业、跨部门的访问控制。该方法中采用监管链与多数据链相结合的方式保护了数据的隐私,提高了可扩展性;使用链上存储数据摘要、链下存储原始数据的方式缓解了区块链的存储压力;通过支持外包的多授权属性加密技术实现了对能源数据的细粒度访问控制。实验仿真结果表明,所提方法的区块链网络具有可用性而且该方法中支持外包的多授权属性加密技术在功能性及计算花销方面具有优势,因此所提方法可以在保护用户隐私的同时实现能源数据的细粒度访问控制。     

可撤销属性加密的区块链数据访问控制方法

针对区块链数据共享中存在的粗粒度访问控制问题,提出一种基于属性撤销密文策略属性基加密的区块链数据访问控制方法。在现有方案基础上进行改造,引入预解密过程,结合属性撤销列表实现属性实时撤销;基于非对称群下的DBDH困难问题假设进行安全性证明;基于超级账本Fabric进行系统设计,结合星际文件系统采用链上链下存储方式解决区块链容量不足和系统效率问题。实验结果表明,所提方案撤销属性时无需更新密钥密文重复上链,仅需要6次Pairing操作进行预解密和解密,且在大规模属性集下,预解密时间和解密时间平均保持在百毫秒左右的常量级上,实现区块链数据高效、细粒度的访问控制。     

基于区块链的属性基多关键词排序搜索方案

对云数据进行访问控制能够限制非法访问、提高数据隐私安全,属性基可搜索加密是实现数据细粒度访问控制的关键技术之一。针对云数据访问中单一授权性能瓶颈、搜索功能局限等问题,提出一种基于区块链的属性基多关键词排序搜索方案。该方案采用多授权机制降低了系统计算负担,同时将属性基可搜索加密技术与区块链技术相结合,实现了云数据的细粒度访问控制与公平搜索;此外,引入向量空间模型和TF-IDF加权技术实现了多关键词搜索结果排序,提高了搜索效率。安全性分析、性能分析表明,该方案能够抵抗选择明文攻击和关键词猜测攻击,并具备较低的通信和计算开销。     

基于联盟链的电子病历访问控制系统

针对当前电子病历大多采用中心化访问控制机制,权限管理存在效率低,灵活性差,扩展性不足等问题,本文提出基础联盟链的电子病历的访问控制系统。利用联盟链中的超级账本,将电子病历以及访问控制策略存储于链上,防止数据被篡改;通过密码学在适配层对电子病历数据进行加密和解密,避免数据在区块链上处于完全公开;通过超级账本的智能合约,实现了基于开放式系统的访问控制模型,结合公钥推导的地址算法,实现电子病历数据访问权限可以由用户指定,保证访问策略安全、透明、自动化,达到与联盟链结合的电子病历系统是安全、开放、可行、可控。     

属性基加密和区块链结合的可信数据访问控制方案

传统的数据存储方式往往采用集中式架构,这种集中式存储架构容易产生信任和安全问题.文章提出一种属性基加密和区块链结合的可信数据访问控制方案,将对称加密算法和属性基加密算法结合,实现了数据所有者对数据的细粒度访问控制,保障了数据所有者的隐私保护权利.同时,文章将区块链技术和分布式存储相结合,区块链上仅存储数据及密文位置的哈...     

基于区块链的去中心化电力交易与访问控制系统

随着信息化的大力发展及广泛应用,传统中心化电力交易与数据存储方式的缺点逐渐显现出来。基于去中心化的区块链技术,提出分布式电力交易方法。此外,为了实现电力数据的安全存储与访问控制,设计了一个多中心属性加密方案,各联盟节点分别管理不同属性,同时联合对用户进行密钥生成及授权,从而达到去中心环境下的电力数据细粒度访问控制机制。     

A novel logistics data privacy protection method based on blockchain

This paper is dedicated to investigating the application of blockchain in e-commerce logistics. In the traditional logistics system, the protection mechanism of complete logistics information is not perfect and the privacy of users is leaked. Although access control can ensure the confidentiality of data to some extent, the traditional centralized access control is difficult to adapt to the access control needs of the e-commerce logistics environment. On this basis, a novel access control scheme for logistics data is proposed. It combines the membership in Hyperledger and ciphertext-policy attribute-based encryption and ensures the security of the user’s private key with the membership in Hyperledger instead of the traditional key distribution center. Finally, an experimental test and verification results on Hyperledger Fabric show the feasibility of the scheme.

     

基于群签名与属性加密的区块链可监管隐私保护方案

区块链技术的去中心化、数据难篡改等特性使其在溯源问题上体现出明显优势,基于区块链的溯源系统可以解决传统系统中信息孤岛、共享程度低以及数据可篡改等问题,从而保证数据的可追溯性。然而,区块链溯源系统中的数据可追溯性与用户隐私保护之间难以取得平衡。提出一种结合群签名、隐私地址协议、零知识证明以及属性加密的分布式可监管隐私保护方案。对群签名的群管理员机制进行改进,设置多群管理员生成用户私钥片段,用户根据返回的私钥片段计算自身私钥,并根据需要有选择性地对溯源数据进行属性加密,同时为链上数据设置特定的访问结构,以实现数据与用户的“一对多”通信。群管理员利用群公钥对交易双方的身份进行追踪与追责。符合数据特定访问结构的用户通过自身的属性私钥对密文进行解密从而获取数据信息。实验结果表明,该方案能在保证数据可追溯并实现交易双方监管的同时,提高链上数据的隐私保护水平,与现有隐私保护方案相比安全性更高。     

基于CP-ABE和区块链的时间锁加密电子投票方案

现有电子投票系统无法同时满足投票数据隐私性、投票者之间的公平性、投票者资格控制的灵活性、投票结果的精准性、投票结果的延时公布等多元应用需求。针对上述问题,提出了一种基于CP-ABE和区块链的时间锁加密电子投票方案。该方案综合考虑了电子投票在实际场景中的多元应用需求,通过结合CP-ABE算法和Fabric技术,将属性加密后的投票链接数据存入区块链账本,满足属性策略的投票用户才能访问其链接,实现了灵活控制投票资格的机制,从而保证能获取针对不同用户群体属性的精确投票结果;基于改进的时间锁加密方案将投票数据进行加密上链,在预计投票结果公布之前为投票数据的机密性提供了保障,避免恶意节点造成合谋攻击问题,同时实现了投票结果延时公布的功能。实验从用户属性限制、投票链接获取、投票数据上链,以及投票结果延时这四个方面验证所提方案的有效性。系统测试结果表明,该方案可以有效地控制投票资格,符合属性策略的投票用户能成功获取投票链接并发送至区块链存储,同时为投票数据的机密性提供了保障。通过性能分析、安全性分析以及对比分析表明了该方案的可行性。     

区块链中可验证外包解密的匿名属性加密方案

属性加密是云计算环境下实现数据机密性和细粒度访问控制的关键技术。然而,一般的属性加密方案中存在访问策略敏感信息泄露、解密成本高、属性授权机构权力过大等问题。为了解决上述问题,提出一种基于区块链的可验证外包解密的匿名属性加密方案。该方案使用策略隐藏保护敏感属性信息,通过两方共同生成完整属性密钥,在解密前进行属性匹配操作。利用区块链不可篡改性存储验证参数存储对第三方外包解密结果进行正确性验证,并使用区块链生成、存储属性证书。在随机谕言模型下证明了选择性密文策略和选择明文攻击的安全性,并与其他方案进行功能、通信开销对比,使用PBC Go密码学库对方案进行仿真,仿真结果表明该方案可以有效地减少用户解密开销。     

云计算环境下支持属性撤销的外包解密DRM方案

数字版权管理(digital rights management, DRM)是我国信息化建设的重要内容.但高昂的投资成本和欠佳的用户体验是其进一步推广的瓶颈.而已有的采用云计算解决DRM瓶颈问题的研究大都只着眼于云计算的存储服务功能,较少关注云计算的计算优势.提出了一种云计算环境下支持属性撤销的外包解密DRM方案.考虑到DRM中用户隐私保护的问题,提出用户通过匿名标签购买许可证.此外,为了充分发挥云计算在计算上的优势以及可以灵活、细粒度地撤销用户的属性,提出了一种支持属性撤销的外包解密CP-ABE(ciphertext-policy attribute-based encryption)机制.与已有的基于云计算的数字版权保护方案相比,提出的方案在保护内容和用户隐私的同时,支持灵活的访问控制机制和细粒度的用户属性撤销,并且支持CP-ABE的解密外包计算,方案具有较好的实用性.     

基于区块链的电网可信分布式身份认证系统

基于区块链的身份认证系统大多基于公有区块链平台,本质上仍是传统的中心式身份管理和验证方式,难以满足微电网中可信接入、细粒度访问控制等需求.因此,基于FISCO BCOS联盟区块链技术,设计了一个支持多中心的分布式身份认证系统,提出了基于DID的身份管理协议,实现了用户身份的自主控制;研究了微网中终端节点的分布式可信接入...     

高效且可验证的多授权机构属性基加密方案

移动云计算对于移动应用程序来说是一种革命性的计算模式,其原理是把数据存储及计算能力从移动终端设备转移到资源丰富及计算能力强的云服务器.但是这种转移也引起了一些安全问题,例如,数据的安全存储、细粒度访问控制及用户的匿名性.虽然已有的多授权机构属性基加密云存储数据的访问控制方案,可以实现云存储数据的保密性及细粒度访问控制;但其在加密和解密阶段要花费很大的计算开销,不适合直接应用于电力资源有限的移动设备;另外,虽然可以通过外包解密的方式,减少解密计算的开销,但其通常是把解密外包给不完全可信的第三方,其并不能完全保证解密的正确性.针对以上挑战,本文提出了一种高效的可验证的多授权机构属性基加密方案,该方案不仅可以降低加密解密的计算开销,同时可以验证外包解密的正确性并且保护用户隐私.最后,安全分析和仿真实验表明了方案的安全性和高效性.     

隐藏访问策略的高效CP-ABE方案

人工智能的发展离不开云计算的支撑,同样,人工智能的安全与云上大数据的安全也是密切相关的.目前,基于密文策略的属性基加密(ciphertext policy attribute-based encryption, CP-ABE)被认为是实现云上数据细粒度访问控制最有效的方法之一.在基于密文策略属性基加密方案中,访问策略与密文相关且绑定,但很多时候,访问策略本身就是敏感信息,若以明文形式存放在云端会造成用户数据的泄露.因此,一种隐藏访问策略的高效CP-ABE方案被提出以解决这一问题.它可以使得属性隐藏和秘密共享能够同时应用到“与”门结构中,然后利用合数阶双线性群构造了一种基于包含正负及无关值的“与门”的策略隐藏方案,该方案有效地避免了用户的具体属性值泄露给其他第三方,确保了用户隐私的安全.此外,通过实验验证及分析,保证了该方案在实现复杂访问结构的策略隐藏的同时,还满足解密时间短,解密效率高的优点.