智慧健康中基于属性的访问控制方案

针对智慧健康（S-health）中个人健康档案（PHR）的隐私保护问题,提出了一种外包解密可验证并可代理的基于属性的访问控制方案。首先,利用密文策略属性基加密（CP-ABE）方法,实现PHR的细粒度访问控制;其次,通过将复杂的解密计算外包至云服务器,并利用授权机构来验证云服务器返回的部分解密密文（PDC）的正确性;然后,基于代理方法,受限用户可将外包解密及验证委托给第三方用户执行而不泄露隐私;最后,在标准模型下证明了方案的自适应安全性。理论分析结果表明,用户端解密仅需执行一次指数运算,该方案具有较强的安全性与实用性。     

云存储中基于代理重加密的CP-ABE访问控制方案

针对云存储中基于密文策略的属性加密（CP-ABE）访问控制方案存在用户解密开销较大的问题,提出了一种基于代理重加密的CP-ABE （CP-ABE-BPRE）方案,并对密钥的生成方法进行了改进。此方案包含五个组成部分,分别是可信任密钥授权、数据属主、云服务提供商、代理解密服务器和数据访问者,其中云服务器对数据进行重加密,代理解密服务器完成大部分的解密计算。方案能够有效地降低用户的解密开销,在保证数据细粒度访问控制的同时还支持用户属性的直接撤销,并解决了传统CP-ABE方案中因用户私钥被非法盗取带来的数据泄露问题。与其他CP-ABE方案比较,此方案对访问云数据的用户在解密性能方面具有较好的优势。     

基于CP-ABE的隐藏属性外包解密访问控制

传统的属性基加密方案中数据拥有者将访问结构和密文保存在一起,于是用户收到密文消息的同时也收到了访问结构,但访问结构本身就可能包含数据拥有者的隐私信息。本文提出一种基于密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)的隐藏属性外包解密访问控制方案。该方案既能隐藏数据拥有者制定的访问控制策略中的属性,同时将计算密集型解密操作交给代理服务器完成,又能保证未经授权的属性授权中心或代理服务器不能独自解密共享的加密数据。     

支持撤销属性的CP-ABE密钥更新方法

在现有云存储的密文策略属性加密方案（CP-ABE）中,大多只考虑用户的计算开销,而忽略了属性授权中心在更新密钥的时候所消耗的大量计算资源。针对该问题提出了一种基于CP-ABE的支持细粒度属性撤销的密钥更新方法。首先属性授权中心创建用户撤销列表以及属性密钥撤销列表,然后利用区块链公开、安全、可验证等相关特性来存储撤销列表等数据。最后系统根据这些数据在用户请求密文时更新其属性密钥,即将密钥频繁变更转为按需单次变更从而减少属性授权中心在一定时间段内大量的计算。同时,通过引入可验证外包的方法确保用户解密的正确性以及低廉的开销。理论分析验证了方案的安全性以及密文加解密的高效性,并通过仿真实验与其他方案比较验证了方案在单次系统属性撤销方面也具备着高效的性能。     

支持通用电路的多线性映射外包属性加密方案

针对基于多线性映射的属性加密方案存在密文扩展率大、解密效率低、密钥托管的问题,将外包技术和用户秘密值法运用于方案中,设计了一个密钥策略的多线性映射属性加密方案。方案以通用多项式电路作为访问结构,支持任意扇出,其用户的私钥由密钥生成中心和用户共同产生。密文长度固定为|G|+|Z|,按照椭圆曲线标准设置合理参数后,与已知密文量最小的方案对比,存储代价减少25%。用户解密时仅对转换密文作运算,且外包正确性可验证,解密所需多线性运算次数仅为3次,大大降低了用户的计算代价。在标准模型下利用多线性判断Diffie-Hellman困难问题证明了方案的安全性。该方案也能适用于运算能力有限的小型移动设备。     

基于群签名的属性加密方案

基于密文的属性加密机制（CP-ABE）在针对敏感数据的机密性保护中有广泛应用。在CP-ABE中，用户访问密文时，访问策略与密文同时发送给用户用于解密，而访问策略同样包含隐私信息，导致隐私信息被泄露。在传统的CP-ABE方案中引入群签名，实现对访问策略中属性的隐藏，防止了策略中的隐私泄露，并满足在选择明文攻击下的不可区分性。     

可追踪且可撤销的基于OBDD访问结构的CP-ABE方案

针对现有属性撤销方案中存在对恶意用户的不可追踪性、用户属性不能即时撤销的问题,提出了一种可追踪且可撤销的,基于有序二叉决策图(OBDD)访问结构的,高效、有表达力、可撤销的密文策略属性基加密(CP-ABE)方案。该方案实现了用户属性的即时撤销,也能对恶意用户进行追踪。同时,所提方案采用基于OBDD的访问结构,该类型的访问结构不仅能表示任何关于属性的布尔表达式,还能同时支持访问策略中属性的正负值。该方案将部分加/解密运算外包给代理服务器,从而降低用户的加/解密计算量。该方案基于DBDH假设,在标准模型下被证明是安全的。     

固定密文长度的可验证属性基外包解密方案

传统密钥策略属性基加解密方案存在密文长度随着属性增加而线性增加,在通信过程中消耗用户大量的通信带宽的缺点。提出了属性加密的改进方案,基于密钥策略属性加密,提出具有固定密文长度的可验证外包解密方案,在非单调访问结构实现密文长度固定,有效节省通信带宽,通过对外包密钥生成算法的改进,实现一次模指数运算,有效缩短外包密钥生成时间。通过运用哈希函数,实现外包解密的验证性,并对其安全性进行了证明。     

基于密文策略属性加密的云存储访问控制方案

针对现有方案存在的访问策略公开、密文存储开销较大的问题,提出一种支持策略隐藏且固定长度密文的云存储访问控制方案,并在安全模型下证明方案可抵抗选择明文攻击。方案中用户私钥由多个授权机构共同生成,中央授权机构不参与生成任何主密钥与属性私钥;访问结构隐藏在密文之中,恶意用户无法通过访问结构获取敏感信息。此外,方案实现了固定密文长度,并且加密时的指数运算和解密时的双线性对运算次数均是固定值。最后,理论分析和实验结果表明该方案在密文长度和加解密时间上都明显优于对比方案。     

策略隐藏的高效多授权机构CP-ABE物联网数据共享方案

物联网环境下的数据共享存在效率低下、隐私泄露等问题，以及基于密文策略的属性基加密（ciphertext policy attribute-based encryption,CP-ABE）数据共享方案因采用单授权机构，需要承担繁重的计算工作而成为系统运行效率的瓶颈.为解决上述问题，提出一种策略完全隐藏的高效多授权机构CP-ABE物联网数据共享方案.该方案利用多授权机构CP-ABE实现数据的细粒度访问控制，利用联盟链不可篡改的特性保证密文哈希值和密钥集合密文的安全，采用MurmurHash3算法实现策略的完全隐藏，避免访问策略泄露用户隐私信息；并结合多秘密共享算法改进多授权机构CP-ABE，进而提升数据共享的效率.理论分析证明该方案能够保证访问策略和秘密共享过程的安全性.仿真实验结果表明，所提方案在策略隐藏和秘密分发过程中都具有较好的性能.     

基于云雾计算的可追踪可撤销密文策略属性基加密方案

针对资源受限的边缘设备在属性基加密中存在的解密工作开销较大,以及缺乏有效的用户追踪与撤销的问题,提出了一种支持云雾计算的可追踪可撤销的密文策略属性基加密（CP-ABE）方案。首先,通过对雾节点的引入,使得密文存储、外包解密等工作能够放在距离用户更近的雾节点进行,这样既有效地保护了用户的隐私数据,又减少了用户的计算开销;其次,针对属性基加密系统中用户权限变更、用户有意或无意地泄露自己密钥等行为,加入了用户的追踪和撤销功能;最后,通过算法追踪到做出上述行为的恶意用户身份后,将该用户加入撤销列表,从而取消该用户访问权限。性能分析表明,所提方案用户端的解密开销降低至一次乘法运算和一次指数运算,能够为用户节省大量带宽与解密时间,且该方案支持恶意用户的追踪与撤销。因此所提方案适用于云雾环境下计算资源受限设备的数据共享。     

可追踪密钥的策略隐藏属性基加密方案

传统的属性基加密方案中存在着访问策略所包含的属性会泄露用户的敏感信息以及恶意用户泄露私钥获取非法利益而不会被追责的问题。同时私钥长度、密文长度和解密运算量均会随属性数量增加而带来较大的通信开销和计算开销。针对以上问题提出了一种可追踪且隐藏访问结构的属性基加密方案。该方案在不影响加/解密效率的前提下提高了加密算法的安全性,并采用双因子身份认证机制实现了更安全高效的访问控制。并且引入一个安全的签名机制用于支持可追踪密钥来追踪恶意用户。该方案基于DBDH假设,在标准模型下被证明是安全的。     

区块链中可验证外包解密的匿名属性加密方案

属性加密是云计算环境下实现数据机密性和细粒度访问控制的关键技术。然而,一般的属性加密方案中存在访问策略敏感信息泄露、解密成本高、属性授权机构权力过大等问题。为了解决上述问题,提出一种基于区块链的可验证外包解密的匿名属性加密方案。该方案使用策略隐藏保护敏感属性信息,通过两方共同生成完整属性密钥,在解密前进行属性匹配操作。利用区块链不可篡改性存储验证参数存储对第三方外包解密结果进行正确性验证,并使用区块链生成、存储属性证书。在随机谕言模型下证明了选择性密文策略和选择明文攻击的安全性,并与其他方案进行功能、通信开销对比,使用PBC Go密码学库对方案进行仿真,仿真结果表明该方案可以有效地减少用户解密开销。     

边缘计算中基于区块链的轻量级密文访问控制方案

密文策略属性基加密(ciphertext-policy attribute-based encryption, CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing, BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.     

隐藏访问策略的可追踪属性基加密方案

属性基加密作为一种一对多的加密机制,能够为云存储提供良好的安全性和细粒度访问控制。但在密文策略属性基加密中,一个解密私钥可能会对应多个用户,用户可能会非法共享其私钥以获取不当利益;另外,访问策略通常包含敏感信息,这对隐私性要求较高的场合造成了重大挑战。针对上述问题,提出一个隐藏访问策略的可追踪密文策略属性基加密方案。该方案基于合数阶双线性群进行构造,通过将用户的身份信息嵌入到该用户的私钥中实现可追踪性,将访问策略中的特定敏感属性值隐藏在密文中实现策略隐藏,利用解密测试技术提高解密效率,给出了在标准模型下方案是完全安全和可追踪的证明。对比分析表明,该方案在解密运算方面有所优化,从而降低了解密运算开销,提高了效率。     

访问策略隐匿的可追责层次属性加密方案

在传统的属性加密方案中,用户可能会共享私钥给具有相同属性集的多个用户而不怕被追责;此外,访问策略包含的信息可能会泄露用户隐私。针对这2个问题,提出一种可追责的隐匿策略的层次化属性加密方案。该方案在合数阶双线性群下基于访问树进行构造,具有灵活的表达能力,在访问策略中插入合数阶子群的随机元素实现策略隐匿;将用户标识加入私钥运算中,实现对泄露信息的违规用户的可追责;使用层次授权体系,降低单权威授权的计算负荷,提高了整体安全性和效率。实验结果和效率对比分析表明,该方案在加解密计算开销方面具备优势,且支持访问策略的隐匿和对违规用户的追责,大大提高了方案的安全性。     

支持带权属性撤销的密文策略属性基加密方案

针对目前大部分密文策略属性基加密（CP-ABE）方案都不支持属性的多状态表示,加密、解密阶段计算开销庞大的问题,提出一种支持带权属性撤销的CP-ABE方案（CPABEWAR）。一方面,通过引入带权属性的概念,增强了属性的表达能力;另一方面,为了降低计算开销,在保证数据安全的情况下将部分计算过程外包给云服务提供商（CSP）。分析结果表明,所提方案基于判定双线性DH （DBDH）假设是选择明文安全的（CPS）。所提方案以增加少量存储空间为代价简化了访问树结构,提高了系统效率和访问控制的灵活性,适合计算能力受限的云用户。