客户端密文去重方案的新设计

云存储可以使用户在不扩大自身存储的情况下保存更多数据,而客户端去重技术的引入使用户在本地对重复数据进行有效删除,极大提高云存储利用率,节省通信开销.本文利用文献[10]中基于盲签名随机化收敛密钥的思想,提出了一个新的基于客户端密文去重方案.新方案中重复验证标签和拥有权证明可有效抵抗暴力字典攻击,并利用三方密钥协商方案的思想设计了灵活的加密密钥管理方案.实验结果表明新方案能够有效降低用户存储和计算开销.     

云计算环境下基于属性的撤销方案

针对云环境下密文策略属性基加密共享数据的访问权限撤销问题,提出了基于属性的撤销方案。方案中可信第三方从带有全局标识的用户属性集中查找满足密文访问结构的属性集,为该交集中的每个属性生成带有相同全局标识的密钥组件,通过组合密钥组件生成用户私钥。当发生撤销时,更新撤销用户属性的密钥组件并分发给拥有该属性的其他用户,同时生成对应的重加密密钥来对密文重加密。安全性分析和实验表明,本方案是选择明文攻击安全的,能有效实现属性的即时撤销,解决多授权结构密钥分发的同步问题。采用hash函数可使密文长度达到常数级,进一步减少资源开销,满足实际云环境中属性安全撤销的应用需求。     

基于密文策略属性加密体制的匿名云存储隐私保护方案

针对云存储中数据机密性问题,为解决密钥泄漏与属性撤销问题,从数据的机密性存储以及访问的不可区分性两个方面设计了基于密文策略属性加密体制(CP_ABE)的匿名云存储隐私保护方案。提出了关于密钥泄漏的前向安全的不可逆密钥更新算法;在层次化用户组以及改进的Subset-Difference算法基础上,利用云端数据重加密算法实现属性的细粒度撤销;基于同态加密算法实现k匿名l多样性数据请求,隐藏用户潜在兴趣,并在数据应答中插入数据的二次加密,满足关于密钥泄漏的后向安全。在标准安全模型下,基于l阶双线性Diffie-Hellman(判定性l-BDHE)假设给出所提出方案的选择性安全证明,并分别从计算开销、密钥长度以及安全性等方面验证了方案的性能优势。     

一种支持属性撤销的外包属性加密方案

针对传统基于密文策略的属性加密方案在密钥生成、密文解密和属性撤销阶段计算开销大的问题,提出一种具有属性撤销功能的外包属性加密方案。在加密过程中使用线性秘密共享机制作为访问结构,将密钥生成和密文解密的部分计算外包,通过为每个用户的私钥设置版本号实现用户属性的撤销,同时证明方案在可重复的选择密文攻击下是安全的。实验结果表明,该方案的计算开销较低,并且能较好地实现密文策略的属性撤销功能。     

基于动态bloom filter的云存储安全去重方案

现有的所有权证明去重方案容易遭受诚实但好奇服务器的威胁影响,借助可信第三方解决该问题将导致开销过大。基于动态bloom filter提出一种改进的、无须可信第三方的所有权证明安全去重方案,采用收敛加密算法抵抗诚实但好奇的服务器,并通过服务器检查数据块密文和标签的一致性来防止数据污染攻击。此外,采用密钥链机制对收敛密钥进行管理,解决了现有方案中收敛密钥占用过多存储空间的问题。分析与比较表明,该方案具有较小的密钥存储开销和传输开销。     

云存储中基于代理重加密的CP-ABE访问控制方案

针对云存储中基于密文策略的属性加密（CP-ABE）访问控制方案存在用户解密开销较大的问题,提出了一种基于代理重加密的CP-ABE （CP-ABE-BPRE）方案,并对密钥的生成方法进行了改进。此方案包含五个组成部分,分别是可信任密钥授权、数据属主、云服务提供商、代理解密服务器和数据访问者,其中云服务器对数据进行重加密,代理解密服务器完成大部分的解密计算。方案能够有效地降低用户的解密开销,在保证数据细粒度访问控制的同时还支持用户属性的直接撤销,并解决了传统CP-ABE方案中因用户私钥被非法盗取带来的数据泄露问题。与其他CP-ABE方案比较,此方案对访问云数据的用户在解密性能方面具有较好的优势。     

可撤销的多关键字公钥可搜索加密方案

在云计算应用中,为保证隐私数据安全,用户需要将数据在本地加密后再上传至云服务器。可搜索加密技术允许用户直接检索服务器上的加密数据,获得检索权限的用户往往可以无限制地检索密文。在现实应用中,用户密钥的丢失及恶意攻击容易对隐私数据产生安全威胁,用户不应该持续保持对数据的检索能力。为此,提出了一个支持用户检索权限撤销的公钥可搜索加密方案。将系统的整个生命周期划分为不同时段,下个时段的密文由上个时段的密文进化而来,通过密文进化及时间密钥的分发控制实现用户权限的撤销。方案在支持多关键字检索的同时降低方案的计算开销,并且撤销用户对此前时刻所有密文的检索能力,保证密文的前向安全性。     

基于无证书的具有否认认证的可搜索加密方案

物联网环境下,云存储技术的发展和应用降低用户数据的存储和管理开销并实现资源共享。为了保护用户的身份隐私,提出一种具有否认认证特性的可搜索加密方案。发送方对原始数据进行可否认加密并将密文上传,而接收端在密文的确认阶段无法向第三方证明数据的来源,保障了数据的安全性。相较于基于身份认证的单一设计,提出方案利用无证书密码技术解决了传统方案中密钥托管和密钥撤销阶段中存在的弊端,同时也实现了可否认加密的密态搜索。最后,对提出方案进行了严格的安全性分析。实验结果表明该方案可以较好地完成可搜索加密任务。     

基于布隆过滤器所有权证明的高效安全可去重云存储方案

可去重云存储系统中一般采用收敛加密算法,通过计算数据的哈希值作为其加密密钥,使得重复的数据加密后得到相同的密文,可实现对重复数据的删除;然后通过所有权证明（PoW）,验证用户数据的真实性来保障数据安全。针对可去重云存储系统中所有权证明时间开销过高导致整个系统性能下降问题,提出了一种基于布隆过滤器进行所有权证明的高效安全方法,实现用户计算哈希值与初始化值的快速验证。最后,提出一种支持细粒度重复数据删除的BF方案,当文件级数据存在重复时进行所有权证明,否则只需要进行局部的文件块级数据重复检测。通过仿真对比实验,结果表明所提BF方案空间开销低于经典Baseline方案,同时时间开销低于经典Baseline方案,在数据文件越大的情况下性能优势更加明显。     

支持撤销属性的CP-ABE密钥更新方法

在现有云存储的密文策略属性加密方案（CP-ABE）中,大多只考虑用户的计算开销,而忽略了属性授权中心在更新密钥的时候所消耗的大量计算资源。针对该问题提出了一种基于CP-ABE的支持细粒度属性撤销的密钥更新方法。首先属性授权中心创建用户撤销列表以及属性密钥撤销列表,然后利用区块链公开、安全、可验证等相关特性来存储撤销列表等数据。最后系统根据这些数据在用户请求密文时更新其属性密钥,即将密钥频繁变更转为按需单次变更从而减少属性授权中心在一定时间段内大量的计算。同时,通过引入可验证外包的方法确保用户解密的正确性以及低廉的开销。理论分析验证了方案的安全性以及密文加解密的高效性,并通过仿真实验与其他方案比较验证了方案在单次系统属性撤销方面也具备着高效的性能。     

Zero knowledge based client side deduplication for encrypted files of secure cloud storage in smart cities

As typical applications in the field of the cloud computing, cloud storage services are popular in the development of smart cities for their low costs and huge storage capacity. Proofs-of-ownership (PoW) is an important cryptographic primitive in cloud storage to ensure that a client holds the whole file rather than part of it in secure client side data deduplication. The previous PoW schemes worked well when the file is in plaintext. However, the privacy of the clients’ data may be vulnerable to honest-but-curious attacks. To deal with this issue, the clients tend to encrypt files before outsourcing them to the cloud, which makes the existing PoW schemes inapplicable any more. In this paper, we first propose a secure zero-knowledge based client side deduplication scheme over encrypted files. We prove that the proposed scheme is sound, complete and zero-knowledge. The scheme can achieve a high detection probability of the clients’ misbehavior. Then we introduced a proxy re-encryption based key distribution scheme. This scheme ensures that the server knows nothing about the encryption key even though it acts as a proxy to help distributing the file encryption key. It also enables the clients who have gained the ownership of a file to share the file with the encryption key generated without establishing secure channels among them. It is proved that the clients’ private key cannot be recovered by the server or clients collusion attacks during the key distribution phase. Our performance evaluation shows that the proposed scheme is much more efficient than the existing client side deduplication schemes.     

基于访问结构上秘密共享的自治愈群组密钥分发方案

自治愈的群组密钥分发能够在不可靠的网络中建立安全的群组会话密钥.基于用户可自行选取子秘密访问结构上的秘密共享方法,提出了一个自治愈的群组密钥分发方案,该方案能够让群组成员自行选取个人秘密信息,而不需要在群组管理员和每个群组成员之间建立安全信道.安全性分析表明,该方案是一个具有撤销能力的、保证前向保密性和后向保密性的、计算上安全的自治愈群组密钥分发方案.性能分析表明,该方案具有较小的存储开销和通信开铕.     

Secure and efficient data collaboration with hierarchical attribute-based encryption in cloud computing

With the increasing trend of outsourcing data to the cloud for efficient data storage, secure data collaboration service including data read and write in cloud computing is urgently required. However, it introduces many new challenges toward data security. The key issue is how to afford secure write operation on ciphertext collaboratively, and the other issues include difficulty in key management and heavy computation overhead on user since cooperative users may read and write data using any device. In this paper, we propose a secure and efficient data collaboration scheme, in which fine-grained access control of ciphertext and secure data writing operation can be afforded based on attribute-based encryption (ABE) and attribute-based signature (ABS) respectively. In order to relieve the attribute authority from heavy key management burden, our scheme employs a full delegation mechanism based on hierarchical attribute-based encryption (HABE). Further, we also propose a partial decryption and signing construction by delegating most of the computation overhead on user to cloud service provider. The security and performance analysis show that our scheme is secure and efficient.     

基于区块链的可溯源政务大数据共享方法研究

政务服务跨域协作是政府数字化转型和跨域治理相结合所催生的新型治理模式,是政务服务治理的价值目标。由于政府各部门的具体业务和功能不同,各部门都有一套独立的数据管理系统,且各信息化系统存储多样、数据格式复杂、业务流程各异。如何安全可靠地实现各个部门之间的数据共享已成为一项研究难点。传统政务数据共享通常采用集中式共享模式,该模式容易引发数据隐私泄露、部门权限混乱、单点故障等一系列问题。为解决上述问题,该文提出了一种属性基加密与区块链结合的政务数据共享方案。首先,由数据拥有者制定访问控制策略,对数据请求者的属性进行限制;然后,利用子集覆盖技术,实现数据安全共享中的细粒度访问控制及密钥更新,结合线性秘密共享,以实现访问策略的完全隐藏,采用星际文件系统分布式网络存储对称加密后的密文,以缓解区块链系统的存储压力;最后,利用 Keccak 算法对检索数据密文的哈希值进行重加密,实现数据的完整性验证。通过安全性分析和相关实验可知,该文所提方案在安全性和效率方面均能满足政务数据安全共享的需求,可实现政务数据的高效、安全和可溯源共享。     

网络信息安全中DES数据加密技术研究

网络信息安全关系到数据存储安全和数据通信安全,为了提高网络信息安全管理能力,需要进行数据优化加密设计,提出一种基于前向纠错编码的DES数据公钥加密技术,采用Gram-Schmidt正交化向量量化方法构建DES数据的Turbo码模型,通过三次重传机制产生密文序列,对密文序列进行前向纠错编码设计,结合差分演化方法进行频数检验,实现网络信息安全中DES数据加密密钥构造,选择二进制编码的公钥加密方案有效抵抗密文攻击;仿真结果表明,采用该加密技术进行DES数据加密的抗攻击能力较强,密钥置乱性较好,具有很高的安全性和可行性。     

一种无证书的前向安全代理签名方案

结合前向安全性提出一个基于无证书公钥密码体制的代理签名方案。引入密钥更新算法,保证了代理签名方案的前向安全性。当代理签名者的代理密钥泄漏后,攻击者不能伪造当前时段以前的代理签名,从而减小了密钥泄漏所带来的损失。分析结果表明,新方案可避免基于证书密码系统的证书管理问题和基于身份的密钥托管问题。     

面向移动终端的隐私数据安全存储及自毁方案

针对移动终端隐私数据的安全问题,结合数据压缩、门限秘密共享和移动社交网络,提出一种面向移动终端的隐私数据安全存储及自毁方案.首先,对移动隐私数据进行无损压缩获得压缩数据.然后,使用对称密钥对压缩数据进行对称加密获得原始密文.接着,将原始密文分解成两部分密文块:其中一部分密文块与时间属性结合并封装成移动数据自毁对象(MDSO)后保存到云服务器中;另一部分密文块与对称密钥和时间属性结合,再经过拉格朗日多项式处理后获得密文分量.最后,将这些密文分量分别嵌入图片并共享到移动社交网络.当超过授权期后,任何用户都无法获取密文块重组出原始密文,从而无法恢复隐私数据,最终实现移动隐私数据的安全自毁.实验结果表明:当文件为10 KB时,压缩和加密时间之和仅为22 ms,说明所提方案性能开销较低.综合分析亦表明该方案具备较高安全性,能有效抵抗安全攻击,保护移动隐私数据的隐私安全.     

支持通用电路的多线性映射外包属性加密方案

针对基于多线性映射的属性加密方案存在密文扩展率大、解密效率低、密钥托管的问题,将外包技术和用户秘密值法运用于方案中,设计了一个密钥策略的多线性映射属性加密方案。方案以通用多项式电路作为访问结构,支持任意扇出,其用户的私钥由密钥生成中心和用户共同产生。密文长度固定为|G|+|Z|,按照椭圆曲线标准设置合理参数后,与已知密文量最小的方案对比,存储代价减少25%。用户解密时仅对转换密文作运算,且外包正确性可验证,解密所需多线性运算次数仅为3次,大大降低了用户的计算代价。在标准模型下利用多线性判断Diffie-Hellman困难问题证明了方案的安全性。该方案也能适用于运算能力有限的小型移动设备。     

双系统加密技术下带通配符的基于身份加密方案

带通配符的基于身份加密方案(WIBE)大多存在以下缺陷:a)仅达到选择身份(selective-ID)安全,安全系数较低;b)其私钥或密文长度随身份级数呈线性递增,需要耗费大量的存储空间。针对上述问题,运用Waters的双系统加密技术,在Lewko-HIBE方案的基础上提出了一个密文长度固定的带通配符的分级加密方案。新方案结构紧凑,密钥和密文长度均为常数,加/解密运算速度快,减小了存储空间并提高了计算效率。新方案在标准模型下是适应性选择身份(adaptive-ID)安全的,也叫完全安全,安全级别较选择身份安全更高,并且其安全性可归约为三个静态假设。