雾计算中支持解密外包的可验证属性加密方案

基于密文策略的属性加密方案(CP-ABE)为云存储系统提供了安全、细粒度的访问控制，但由于加/解密算法中的双线性配对运算量较大，给用户端带来了沉重的负担。为了解决上述问题，提出了一种雾计算中支持解密外包的可验证属性加密方案。方案中以线性秘密共享方案构造访问矩阵，可以灵活表达多种形式的访问策略；将部分解密运算外包给雾节点，从而降低用户端运算负担；为增强外包雾节点的可信度，通过区块链交易对雾节点存取的密文进行正确性验证，并实现访问行为的不可否认性。通过安全性与实验分析表明，该方案可抵抗选择明文攻击，且具有较高的运行效率。     

一种支持快速加密的基于属性加密方案

基于属性加密算法因含有大量耗时的指数运算和双线性对运算,一些方案提出将加密外包给云服务器.然而这些方案并没有给出外包加密在云服务器中的并行计算方法,而且还存在用户保管私钥过多、授权中心生成用户私钥成本过大的问题.针对这些问题,提出一种基于Spark大数据平台的快速加密与共享方案.在该方案中,根据共享访问树的特点设计加密并行化算法,该算法将共享访问树的秘密值分发和叶子节点加密并行化之后交给Spark集群处理,而用户客户端对每个叶子节点仅需要一次指数运算;此外,用户私钥的属性计算也外包给Spark集群,授权中心生成一个用户私钥仅需要4次指数运算,并且用户仅需要保存一个占用空间很小的密钥子项.     

一种适用于云雾结合环境的数据细粒度加密及共享方案（英文）

随着物联网、5G以及6G移动通信网络的快速发展,相应的加密算法需要同时适应云计算和雾计算环境,还需要具备包括属性撤销机制在内的细粒度加密功能,并且具备抵抗共谋攻击的能力.然而,目前这些理论及技术问题的研究还有待进一步发展和完善.本文提出一种适用于云雾集合环境的数据细粒度加密及共享方案(NDSS-FC),面向云雾计算综合环境,借鉴密文策略属性基加密(CP-ABE)算法结构,可以实现细粒度的加密访问控制,可以实现安全的属性撤销,可以动态地管理用户,可以实现外包解密以及抵抗共谋攻击.首先,通过设计雾节点构造新型CP-ABE结构,以保证云雾结合环境下安全的数据共享,并且通过雾节点为计算资源受限的用户执行外包解密服务.其次,通过结合新型CP-ABE结构与单向函数树(OFT)技巧,以分享、更新群密钥的方式保证安全的属性撤销.再次,通过多项式分发版本密钥,以计算、更新版本密钥的方式保证动态用户管理.再次,通过在用户密钥中嵌入随机因子,以抵抗共谋攻击.最后,性能分析和形式化证明显示NDSS-FC方案安全高效.     

智慧健康中基于属性的访问控制方案

针对智慧健康（S-health）中个人健康档案（PHR）的隐私保护问题,提出了一种外包解密可验证并可代理的基于属性的访问控制方案。首先,利用密文策略属性基加密（CP-ABE）方法,实现PHR的细粒度访问控制;其次,通过将复杂的解密计算外包至云服务器,并利用授权机构来验证云服务器返回的部分解密密文（PDC）的正确性;然后,基于代理方法,受限用户可将外包解密及验证委托给第三方用户执行而不泄露隐私;最后,在标准模型下证明了方案的自适应安全性。理论分析结果表明,用户端解密仅需执行一次指数运算,该方案具有较强的安全性与实用性。     

雾计算中支持计算外包的访问控制方案

在雾计算中,基于密文策略属性加密（Ciphertext-Policy Attribute-Based Encryption,CP-ABE）技术被广泛用于解决数据的细粒度访问控制问题,然而其中的加解密计算给资源有限的物联网设备带来沉重的负担。提出一种改进的支持计算外包的多授权CP-ABE访问控制方案,将部分加解密计算从物联网设备外包给临近的雾节点,在实现数据细粒度访问控制的同时减少物联网设备的计算开销,适用于实际的物联网应用场景。从理论和实验两方面对所提方案的效率与功能进行分析,分析结果表明所提方案具有较高的系统效率和实用价值。     

基于并行约束规划的最大团识别研究

为提高大数据平台下大规模图例的最大团问题求解效率,提出一种基于并行约束规划的最大团识别算法.通过BMT图划分策略将一个复杂图例分割为若干个可独立计算的子图,并将其分配给Spark集群中的计算节点,每个计算节点采用约束规划方法对分割产生的子问题分别进行建模和求解,实现最大团问题的并行化处理.引入时间预测模型,设计基于任务运行时间预测模型的并行图划分方法,从而有效解决计算节点的负载均衡问题.实验结果表明,与基于BMC图划分策略的最大团并行识别算法相比,该算法具有更高的求解效率,可取得近似线性的加速比.     

可追责和完全可验证外包解密CP-ABE方案

在密文策略属性加密方案（CP-ABE）中,解密密钥定义在多个用户共享的属性上,任何私钥无法追溯到原有密钥的所有者,恶意用户可能为了经济利益泄露他们的解密权限给第三方,并且不会被发现。另外,大多数现有CP-ABE方案的解密成本和密文大小随访问结构的复杂程度呈线性增长。上述问题严重限制了CP-ABE的应用。为此,通过定义追责列表来追溯故意泄露密钥的用户,通过外包运算降低解密运算成本,提出一个可追责和完全可验证外包解密的CP-ABE方案。该方案可以同时检查授权用户和非授权用户转换密文结果的正确性,而且支持任意单调访问结构,可追责性不会给其他安全性带来任何影响。最后在标准模型中证明了该方案是选择明文攻击（CPA）安全的。     

移动云计算中基于身份的轻量级加密方案

针对移动云计算中数据安全和移动用户的隐私保护问题,结合在线离线和外包解密技术,对基于身份加密机制（IBE）中加密和解密算法进行扩展,提出了一种可外包解密的基于身份在线离线加密方案,并证明其安全性,构造出适合于移动云计算环境中轻量级设备保护隐私数据的方案。为了减少移动终端运行IBE的加密和解密开销,利用在线离线技术将IBE的加密分解为离线和在线两个阶段,使得移动设备仅需执行少量简单计算即可生成密文;在此基础上,利用外包解密技术,修改IBE的密钥生成算法和解密算法,增加一个密文转化算法,将解密的大部分复杂计算外包给云服务器,移动设备仅计算一个幂乘运算即可获得明文。与现有IBE方案的性能相比,该方案具有较少的加解密开销,适合于轻量级移动设备。     

基于CP-ABE的隐藏属性外包解密访问控制

传统的属性基加密方案中数据拥有者将访问结构和密文保存在一起,于是用户收到密文消息的同时也收到了访问结构,但访问结构本身就可能包含数据拥有者的隐私信息。本文提出一种基于密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)的隐藏属性外包解密访问控制方案。该方案既能隐藏数据拥有者制定的访问控制策略中的属性,同时将计算密集型解密操作交给代理服务器完成,又能保证未经授权的属性授权中心或代理服务器不能独自解密共享的加密数据。     

一种有效的Batch RSA改进算法

Batch RSA算法的解密性能与指数计算阶段的大数模幂运算的实现效率有着直接的关系.针对提升Batch RSA算法的解密性能,提出一种Batch RSA算法的改进方案.提升通过将Batch RSA算法指数计算阶段的一些运算量转移到加密方,并且运用多素数技术使得解密时大数模幂运算的模数位数和指数位数减小.理论分析和实验结果表明该方案不仅提升了批处理RSA算法的解密性能,且该方案易于并行实现,可使得基于多核平台的RSA密码算法的性能得到进一步提升.     

区块链中可验证外包解密的匿名属性加密方案

属性加密是云计算环境下实现数据机密性和细粒度访问控制的关键技术。然而,一般的属性加密方案中存在访问策略敏感信息泄露、解密成本高、属性授权机构权力过大等问题。为了解决上述问题,提出一种基于区块链的可验证外包解密的匿名属性加密方案。该方案使用策略隐藏保护敏感属性信息,通过两方共同生成完整属性密钥,在解密前进行属性匹配操作。利用区块链不可篡改性存储验证参数存储对第三方外包解密结果进行正确性验证,并使用区块链生成、存储属性证书。在随机谕言模型下证明了选择性密文策略和选择明文攻击的安全性,并与其他方案进行功能、通信开销对比,使用PBC Go密码学库对方案进行仿真,仿真结果表明该方案可以有效地减少用户解密开销。     

基于属性的BGN型密文解密外包方案

云计算的安全问题是制约其发展的关键瓶颈,其中对云计算结果的访问控制是当前研究的一个热点。在经典的类同态BGN方案基础上,结合CP-ABE（Ciphertext-Policy Attribute-Based Encryption）型密文解密外包设计,构造了基于属性的BGN型密文解密外包方案,部分密文的解密被外包到云上进行,减小了用户的存储开销与计算开销,并且只有用户属性满足访问策略时,才会得到正确的解密结果。与现有的基于属性的外包方案相比,新方案能对密文进行任意次加法同态和一次乘法同态操作。最后,分析了方案的安全性。所提方案在子群判定问题假设下达到语义安全,在随机预言机模型下满足属性安全。     

SEMD: Secure and efficient message dissemination with policy enforcement in VANET

Vehicular ad hoc network (VANET) is an increasing important paradigm, which not only provides safety enhancement but also improves roadway system efficiency. However, the security issues of data confidentiality, and access control over transmitted messages in VANET have remained to be solved. In this paper, we propose a secure and efficient message dissemination scheme (SEMD) with policy enforcement in VANET, and construct an outsourcing decryption of ciphertext-policy attribute-based encryption (CP-ABE) to provide differentiated access control services, which makes the vehicles delegate most of the decryption computation to nearest roadside unit (RSU). Performance evaluation demonstrates its efficiency in terms of computational complexity, space complexity, and decryption time. Security proof shows that it is secure against replayable choosen-ciphertext attacks (RCCA) in the standard model.     

移动云环境下的多授权机构属性基加密方案

针对移动云数据的访问控制进行了研究,提出一种高效的、无需CA的多授权机构密文策略属性基加密方案。通过借助外部资源,在数据加密和解密过程分别增加预加密操作和可验证外包解密操作,从而降低用户的加解密计算量,并采用双因子身份认证机制实现对用户的匿名认证。安全性分析表明,新方案基于判断性q-BDHE（decisional q-parallel Bilinear Diffie-Hellman Exponent）假设可证明是选择明文安全的,并且方案能够抵抗合谋攻击。仿真实验表明,新方案有效降低了数据加密、解密的计算开销以及对密文的通信开销。因此,新方案能够实现对移动云数据安全、高效的访问控制。     

云存储中基于代理重加密的CP-ABE访问控制方案

针对云存储中基于密文策略的属性加密（CP-ABE）访问控制方案存在用户解密开销较大的问题,提出了一种基于代理重加密的CP-ABE （CP-ABE-BPRE）方案,并对密钥的生成方法进行了改进。此方案包含五个组成部分,分别是可信任密钥授权、数据属主、云服务提供商、代理解密服务器和数据访问者,其中云服务器对数据进行重加密,代理解密服务器完成大部分的解密计算。方案能够有效地降低用户的解密开销,在保证数据细粒度访问控制的同时还支持用户属性的直接撤销,并解决了传统CP-ABE方案中因用户私钥被非法盗取带来的数据泄露问题。与其他CP-ABE方案比较,此方案对访问云数据的用户在解密性能方面具有较好的优势。     

可外包解密和成员撤销的身份基加密方案

针对可撤销成员的身份基加密（RIBE）方案中密钥更新效率较低,且解密的工作量较大,难以应用于轻量级设备的问题,提出了一个可外包解密和成员撤销的身份基加密方案（RIBE-OD）。首先,生成一个完全二叉树,为这棵树的每个节点指定一个一次多项式。然后,将基于指数逆模式构造的身份基加密（IBE）方案和完全子树方法相结合,利用该一次多项式计算所有用户的私钥和未撤销用户的更新密钥,撤销用户因不能获得与之匹配的更新密钥而失去解密能力。其次,利用外包解密技术修改密钥生成算法,增加密文转换算法,从而将大部分解密运算量安全外包给云服务器,轻量级设备仅需少量运算即可解密密文。最后,基于判定双线性Diffie-Hellman逆转（DBDHI）假设,证明了所提方案的安全性。与BGK方案相比,该方案的密钥更新效率提高了85.7%,轻量级设备的解密过程减少到一个椭圆曲线指数运算,非常适合于轻量级设备解密密文。     

一种无密钥托管的基于身份的在线/离线加密方案

随着基于身份的加密算法发展研究,在线/离线技术被认为是一个可以有效提升密钥生成和加密时计算效率的方法。在离线时,很大比例的运算可在明确加密消息和接收方的身份之前完成。当在线时,方案只需要少量的计算便可完成密钥生成和加密。本文提出了一种高效的基于身份的在线/离线加密方案,首次使用可选择公用外包密钥生成中心（Outsourced key generator,OKG）,解决了之前PKG可单独解密出任意密文的密钥托管问题。在本文的方案中,除非私钥生成中心（Private key generator,PKG）与OKG合谋,否则PKG和OKG都不能单独解密出密文消息。在基于身份的在线/离线加密系统建立之后,用户也可根据对所属PKG的信任程度选择是否使用公用OKG,而不需要PKG重新初始化。方案为减少用户的解密计算代价,可扩展支持云外包解密,解密算法中的大部分运算可以外包给云完成。除此之外,对比于其他现行方案,本方案在密钥生成算法中也可采取在线/离线技术。论文在随机预言机模型下,证明了本文的方案在弱l-BDHI假设下是IND-ID-CPA安全的。最后的效率分析表明本文的方案在计算复杂度和存储开销方面都具有优势。