支持撤销属性的CP-ABE密钥更新方法

在现有云存储的密文策略属性加密方案（CP-ABE）中,大多只考虑用户的计算开销,而忽略了属性授权中心在更新密钥的时候所消耗的大量计算资源。针对该问题提出了一种基于CP-ABE的支持细粒度属性撤销的密钥更新方法。首先属性授权中心创建用户撤销列表以及属性密钥撤销列表,然后利用区块链公开、安全、可验证等相关特性来存储撤销列表等数据。最后系统根据这些数据在用户请求密文时更新其属性密钥,即将密钥频繁变更转为按需单次变更从而减少属性授权中心在一定时间段内大量的计算。同时,通过引入可验证外包的方法确保用户解密的正确性以及低廉的开销。理论分析验证了方案的安全性以及密文加解密的高效性,并通过仿真实验与其他方案比较验证了方案在单次系统属性撤销方面也具备着高效的性能。     

基于密文策略属性基加密的多授权中心访问控制方案

针对单授权中心方案通信和计算开销较大的问题,该文提出一种基于密文策略属性基加密（Ciphertext-Policy Attribute-based Encryption,CP-ABE）的多授权中心访问控制方案。该方案引入属性管理器对用户属性进行分组,多个授权中心共同生成密钥,同时将部分解密交给云服务器进行。该方案减少了授权中心间的通信消耗和用户解密的资源消耗,同时通过安全性证明及与现有方案进行对比证明该方案安全高效。     

基于国密算法SM2和CP-ABE的医疗访问控制系统的设计与实现

针对现有的医疗数据共享方案存在运算开销大和权限控制问题,提出了一种基于可撤销的多属性机构授权方案和国密算法SM2的医疗数据访问控制系统。与传统的CP-ABE撤销算法相比,本文改进的CP-ABE算法不需要重新加密所有的加密文件以及不需要更新全部合法用户的密钥,只需更新与已撤销属性关联的密文。试验表明本文设计的系统在加解密性能上比传统的方案快出10%左右。此外,本文将多属性授权机构、灵活的可撤销机制、国密算法SM2和全球可信的证书颁发机构(CA)集成到CP-ABE中,能很好地保证系统的前向、后向、多属性授权机构之间通信的安全性并且能有效地抵抗伪造攻击和合谋攻击。     

云存储中基于代理重加密的CP-ABE访问控制方案

针对云存储中基于密文策略的属性加密（CP-ABE）访问控制方案存在用户解密开销较大的问题,提出了一种基于代理重加密的CP-ABE （CP-ABE-BPRE）方案,并对密钥的生成方法进行了改进。此方案包含五个组成部分,分别是可信任密钥授权、数据属主、云服务提供商、代理解密服务器和数据访问者,其中云服务器对数据进行重加密,代理解密服务器完成大部分的解密计算。方案能够有效地降低用户的解密开销,在保证数据细粒度访问控制的同时还支持用户属性的直接撤销,并解决了传统CP-ABE方案中因用户私钥被非法盗取带来的数据泄露问题。与其他CP-ABE方案比较,此方案对访问云数据的用户在解密性能方面具有较好的优势。     

支持带权属性撤销的密文策略属性基加密方案

针对目前大部分密文策略属性基加密（CP-ABE）方案都不支持属性的多状态表示,加密、解密阶段计算开销庞大的问题,提出一种支持带权属性撤销的CP-ABE方案（CPABEWAR）。一方面,通过引入带权属性的概念,增强了属性的表达能力;另一方面,为了降低计算开销,在保证数据安全的情况下将部分计算过程外包给云服务提供商（CSP）。分析结果表明,所提方案基于判定双线性DH （DBDH）假设是选择明文安全的（CPS）。所提方案以增加少量存储空间为代价简化了访问树结构,提高了系统效率和访问控制的灵活性,适合计算能力受限的云用户。     

一种支持属性撤销的密文策略属性基加密方案

针对传统属性基加密方案中单授权中心计算开销大以及安全性较差等问题,通过引入多个授权中心以及安全两方计算协议等技术,提出一种支持细粒度属性级撤销和用户级撤销的密文策略属性基加密方案。引入多个属性授权中心以颁发并更新属性版本秘钥,同时秘钥生成中心与云存储服务器之间进行安全两方计算等操作,生成并更新用户密钥,从而进行细粒度属性级撤销。在云存储服务器中,对用户列表中的用户唯一秘值及唯一身份值进行操作以实现用户级撤销,同时通过多个授权中心抵抗合谋攻击,并将部分计算工作外包给云端。分析结果表明,与基于AND、访问树和LSSS策略的方案相比,该方案有效增强了系统的安全功能,同时显著降低了系统的计算复杂度。     

支持属性撤销的可验证外包的多授权属性加密方案

针对云存储中基于多授权属性加密（MA-ABE）访问控制方案存在数据使用者解密开销大,同时缺乏有效属性撤销的问题,提出了一种支持属性撤销的可验证外包的多授权属性加密方案。首先,利用可验证外包技术,降低数据使用者的解密开销,同时验证数据的完整性。然后,利用双线性映射保护访问策略,防止数据拥有者身份泄露。最后,利用每个属性的版本密钥实现立即的属性撤销。安全性分析表明所提方案在标准模型中判定性的q双线性Diffie-Hellman指数假设下是安全的,同时满足了前向安全性和抗合谋攻击。性能分析表明所提方案在功能性和计算开销两方面都具有较好的优势,因此所提方案更适用于云存储下多授权属性加密环境。     

密文策略属性加密中的撤销控制方案

在云环境下使用数据共享功能时，由于云环境的复杂性，需要对数据进行安全保护和访问控制，这就要求使用加密机制。基于密文策略属性的加密（CP-ABE）是当前广泛使用的加密机制，它可以根据用户的属性来设置访问权限，任何具有合格访问权限的用户都可以访问数据。然而云是一个动态环境，有时可能只允许具有访问权限用户中的一部分用户访问数据，这就需要用户权限的撤销机制。然而，在CP-ABE中，访问权撤销或用户撤销是一个冗长且代价高昂的事件。所提出方案根据对CP-ABE流程的改进，在原密文中嵌入了可灵活控制的用户个人秘密，使得用户权限撤销时既不要求使用新访问策略的用户撤销数据，也不要求对数据进行重新加密，大幅减少撤销时的计算成本。与知名CP-ABE撤销方案对比，所提出方案的计算成本更低且具有良好的安全性。     

云存储环境下支持策略变更的CP-ABE方案

近年来,CP-ABE作为适用于云存储环境的访问控制机制,成为研究热点。由于现有的基于CP-ABE的访问控制方案在云存储环境下不支持系统属性灵活变更,利用云存储服务提供者的存储及计算资源优势,基于AB-ACER方案提出了支持系统属性灵活撤销及恢复的云存储访问控制方案。该方案通过引入虚拟属性来支持云存储环境下访问策略属性的撤销及恢复,且仅由存储服务提供者进行少量的重加密计算。安全及性能分析表明,该方案不仅支持数据属主访问策略的灵活变更,还保持了原有方案的安全性及细粒度访问控制,同时大大降低了数据属主的计算开销。     

一种高效多授权中心云访问控制方案

针对已有云计算多授权访问控制方案中用户端负担过重的问题,提出一种基于属性加密的多授权中心访问控制方案HE-MA-ACS。在层次化授权结构的基础上,引入外包解密思想,将用户访问的大部分解密计算开销外包至云服务端,实现细粒度的属性撤销,并且用户端不需要参与属性的撤销操作。对方案的正确性、安全性、计算和存储性能进行了分析,证明了该方案在用户端存储开销、访问通信开销、解密时间及属性撤销时计算开销上的优越性。该方案有效地降低了用户端的负担,提高了解密效率。     

支持权限管理的高效属性撤销机制

针对基于属性的访问控制模型中存在属性撤销后权限确定的问题,本文提出一种支持权限管理的高效属性撤销机制。该方案通过在访问控制机制中引入基于密文策略的属性加密机制CP-ABE来实现密文访问控制,将访问树用主析取范式来表示,主析取范式的每个子集即为访问主体访问资源所需满足的限定条件最小属性集。因此,当属性撤销时,通过判断最小属性集与被撤销属性的关系,来确定被撤销属性对主体的访问是否有影响,进而确定主体的访问权限。性能分析表明,该方案具有较高的安全性,不仅能够实现属性撤销后权限的确定,而且能够抵抗共谋攻击等。     

一种大属性域版本控制的云安全用户属性动态撤销策略

密文策略属性基加密(ciphertext-policy attribute-based encryption, CP-ABE)作为一种一对多的数据加密技术,因能实现密文数据安全和细粒度的权限访问控制而引起学术界的广泛关注。尽管目前在该领域已取得了一些研究成果,然而,大多数CP-ABE方案均基于小属性域,系统属性同时被多个用户共享而难以实现动态的属性撤销,现有的属性撤销机制在功能复杂性、计算高效性、以及抗合谋攻击安全性方面存在的问题都成为它在实际应用中的障碍。针对上述问题,提出一种大属性域版本控制的云安全用户属性动态撤销策略。该方案在密文策略属性加密中构造属性及用户版本密钥,通过更新属性版本密钥实现用户属性撤销,更新用户版本密钥实现用户撤销。由此避免了基于重加密实现撤销带来的计算和通信开销。该方案基于q-DBPBDHE假设,在随机预言模型下证明是静态性安全的。最后,对方案进行了性能分析与实验验证,实验结果表明:在保证密文前后向安全性的前提下,该方案可以实现动态的用户属性撤销和用户撤销且可以抵制多重合谋攻击,较同类方案本文方案具有较优的功能特性和计算效率。此外,所提方案基于大属性域,在实际...     

支持属性撤销的策略隐藏与层次化访问控制

在属性加密方案中,访问策略中可能包含一些敏感信息,如何在具备丰富的策略表示能力的同时实现访问策略的隐藏已成为云计算环境中亟待解决的问题之一。另外,考虑到在系统中用户的属性会有经常性的变更,属性撤销也成为近年来研究的一个热点。提出一种基于属性策略隐藏的层次化访问控制方案,融合代理重加密技术和CP-ABE方案,解决属性撤销的问题。与之前的方案相比,既保护了策略的隐私,又具有较灵活的访问控制能力,并且引入层次化授权结构,减少了单一授权的负担和风险,提高了安全性。     

基于隐藏访问策略属性基的能源互联网数据保护

能源互联网中不同安全域中实体的通信数据包含敏感信息,基于密文策略属性基加密CPABE方案可实现细粒度的保护,但传统CP-ABE解密复杂度高,属性撤销需要对整个密文进行全部更新,以及访问策略易泄露隐私信息,导致其在能源互联网中应用受限。围绕着能源互联网云存储数据共享安全,设计基于隐藏访问策略的能源互联网数据保护方案,访问策略支持任意门限或者布尔表达式,将访问策略中的属性模糊化以实现策略的隐藏,引入解密代理将高复杂度的属性基解密过程的主要部分外包到服务端,减少了接收端的解密开销,在属性撤销过程中仅需要属性认证中心和解密代理参与,降低了属性撤销的难度。实验对比分析结果表明,本文方案的解密性能有较大的提升。     

无线传感器网络中结合信任管理的基于属性基加密方案

针对无线传感器网络(WSN)中基于属性基加密(ABE)的属性授权与撤销问题,提出了一种结合信任管理的密文策略ABE方案(TM-CP-ABE)。该方案基于密文策略ABE,融合了信任管理机制,将信任评估和信任更新与属性授权和属性撤销结合起来。对方案的安全性、复杂性和有效性进行了对比分析,并与目前WSN中比较流行的加密方案进行了仿真实验对比,结果表明TM-CP-ABE方案较好地解决了无线传感器网络CP-ABE的属性撤销问题,并通过属性撤销在一定程度上抑制了恶意节点的破坏行为。     

改进的属性撤销权重属性基加密方案

在PHR（Personal Health Records,个人健康记录）系统中,用户会动态地加入或离开,及时撤销细粒度的属性更加适用于实际应用系统。为此,提出一种改进的基于仲裁者的密文策略的属性基加密方案,使其能够在具有外包解密的同时可以实现细粒度属性及时撤销。该方案通过构造KEK树及时更新密钥和密文以此来及时撤销细粒度属性。此外,针对现有的密文策略属性基加密方案较少考虑到属性重要性,将属性权重的概念引入该方案中,使其更加适合PHR系统。安全性分析和仿真实验表明,与已有方案相比,所提方案可以抵抗合谋攻击,保证数据机密性以及前向安全和后向安全。此外,该方案具有更低的计算复杂度。     

基于CP-ABE重加密的敏感数据访问控制限制方案

数据拥有者分享于云上的数据之间可能存在利益冲突或由其推理出敏感信息。选择通过二次加密实现属性撤销的密文策略属性基加密（Ciphertext-Policy Attribute-Based Encryption,CP-ABE）系统,提出利用其原有的重加密实施这类特殊数据上的访问控制限制方案,方案对已有的密码系统以较小的代价进行改进,使其具有防止用户访问利益冲突数据或泄露敏感信息的能力,从而提高系统安全性。最后进行安全性分析并对方案中各算法的运行时间进行测试。分析表明该方案在BDHE假设下能够抵抗RCCA攻击。     

多属性授权机构下属性可撤销的CP-ABE方案

属性基加密（ABE）不仅可以保障数据的安全性,而且能实现数据细粒度的访问控制。现实中,由于用户属性可能被频繁更改,在ABE方案中实现属性撤销是至关重要的。针对现有的方案就如何在计算效率资源受限的设备中实现用户有效的解密以及密钥托管问题,本文提出一个在云环境中多属性授权机构下的可撤销的ABE方案。在本文方案中,用户端使用外包解密技术来减少本地的计算负荷,将组合密钥和密文的更新委托云服务器,实现属性的撤销功能。安全性分析表明,本文方案在选择明文攻击下具有不可区分安全性,性能分析结果表明,本文方案更高效。     

基于多属性机构的密文策略加密机制

密文策略属性基加密机制大多采用单授权机构,单授权中心管理和分发所有用户的属性密钥,易造成系统瓶颈,且系统要求单授权中心完全可信,因此难以满足分布式应用的安全需求。为此,提出一种多属性机构的密文策略属性基加密方案,其中授权机构只能为其权限内的属性分发相应密钥,相互间不能通信。采用一个中央机构为用户生成随机公钥,通过植入随机化参数抵抗合谋攻击。理论分析结果表明,该方案保留了CP-ABE机制中访问控制的易表达性,且降低了单授权中心的负担和安全风险。