基于容错学习的属性基加密方案的具体安全性分析

为了能全面研究基于容错学习(LWE)的属性基加密(ABE)方案的安全性,考察其抵抗现有攻击手段的能力,在综合考虑格上算法和方案噪声扩张对参数的限制后,利用已有的解决LWE的算法及其可用程序模块,该文提出了针对基于LWE的ABE方案的具体安全性分析方法。该方法可以极快地给出满足方案限制要求的具体参数及方案达到的安全等级,此外,在给定安全等级的条件下,该方法可以给出相应的具体参数值。最后,利用该方法分析了4个典型的基于LWE的属性基加密方案的具体安全性。实验数据表明,满足一定安全等级的基于LWE的属性基方案的参数尺寸过大,还无法应用到实际中。     

What is system wide information management (SWIM)?

为了解决广域信息管理(system wide information management, SWIM)信息安全问题,根据SWIM面向服务的系统架构 (service-oriented architecture, SOA)的特点,设计SWIM的访问策略,提出了一种基于属性密码(attribute-based encryption, ABE)的授权方法. 该方法根据SWIM访问结构中分布性、异构性和动态性的特点,采用密文访问策略 (cipher policy- attribute based encryption, CP-ABE)实现. 在模拟环境中对该方法进行仿真实验和安全性分析,实验结果表明:该方法支持SWIM航空用户细粒度的授权,降低了SWIM授权管理的复杂度,提高了SWIM系统的安全性.

     

具备强表达能力的选择密文安全高效属性基加密方案

属性基加密(attribute-based encryption, ABE)是一种新型公钥加密体制,它实现了对加密数据的细粒度访问控制.在密钥策略属性基加密方案(key-policy attribute-based encryption, KP-ABE)中,密文与属性集合相关联,密钥则与访问控制结构相关联.因此在大多数KP-ABE方案中,解密开销与解密算法所涉及的属性数目成正比.结合Hohenberger和Waters提出的快速解密属性基加密方案的思想,构造了一个同时支持非单调访问结构、大属性空间的选择属性集合和选择明文安全快速解密密钥策略属性基加密方案,并在随机预言机模型下证明是选择性属性集合和选择明文安全的;并在此基础上,利用Lai等人提出的合数阶上具有强表达能力的快速解密KP-ABE方案的思想,再结合用于给出构造选择密文安全的KP-ABE方案的变色龙Hash技术,构造了一个同样支持非单调的访问控制结构且表达能力丰富的选择密文安全快速解密KP-ABE方案.比较相关方案,所提出的2个方案都具备相当的解密效率.     

自适应安全的外包CP-ABE方案研究

属性基加密(attribute-based encryption, ABE)体制是身份基加密(identity-based encryption, IBE)体制的一种扩展,在ABE体制中,密钥产生中心根据用户拥有的属性为用户颁发密钥,加密者可以针对某个访问策略对消息进行加密,当且仅当用户拥有的属性满足相应的访问策略时,能够成功解密. 由于ABE体制可以实现对密文灵活的访问控制,因此有着良好的应用前景,尤其适用于保障云存储环境中信息的机密性. 然而,计算效率较低却一直是阻碍各类ABE方案被实际应用的主要问题. 针对这一问题,研究了借助外部资源降低ABE方案本地计算量的思想和方法,给出了外包ABE方案的形式化定义,并根据实际的敌手环境、安全目标制定了相应的安全模型. 随后,利用合数阶双线性群构造了一个具体的外包密文策略属性基加密(ciphertext-policy ABE, CP-ABE)方案,并利用双系统加密技术在标准模型下证明其满足自适应安全性.     

基于扩展属性基功能加密的有效外包计算

针对目前属性基加密（ABE）方案存在的主要问题,即访问策略功能单一的问题和密文的大小和解密时间随着访问公式的复杂性增加而增长的问题,提出了有效外包计算的多功能ABE方案。首先,通过对敏感数据的细粒度访问控制,实现了不同功能加密系统;然后,利用云服务器巨大的计算能力进行部分解密计算,将满足访问策略的用户属性密文转化为一个（常量大小） ElGamal类型的密文;同时通过有效的验证方法保证外包运算的正确性。理论分析结果表明,与传统属性基功能加密方案相比,所提方案用户端的解密计算降低至一次指数运算和一次对运算,该方案在不增加传输量的情况下,为用户节省了大量带宽和解密时间。     

基于属性的分布式云访问控制方案

云服务中现有访问控制方案对可信第三方具有强烈依赖性。针对该问题,提出一个基于属性的分布式云访问控制方案。建立云访问控制模型,采用ABE的加密树方式构造访问控制策略,并给出用户撤销及策略更新方法。安全性分析表明,该方案能够抵抗共谋攻击,具有数据保密性以及后向前向保密性。     

区块链环境下基于秘密共享的数字权限管理方案

针对数字权限保护中对内容加密密钥的安全保存和有效分发的需求,提出了一个区块链环境下基于秘密共享的数字权限保护方案。该方案主要包括系统初始化、内容加密、许可授权和内容解密4个协议。在该方案中,利用Pedersen可验证秘密共享方案和属性基加密（ABE）算法来实现内容加密密钥的保护和分发,将内容提供商从管理内容加密密钥的任务中解放出来,从而确保了密钥管理的安全性和灵活性。此外,基于区块链的数字权限保护方案具有信息公开透明、不可篡改等特点。安全性分析表明,该方案在区块链环境下是安全可行的;仿真实验结果表明,该方案能够以较低的开销实现数字内容的权限保护。     

支持隐私保护的多机构属性基加密方案

针对云环境中用户敏感信息的保护,提出一种支持隐私保护的多机构属性基加密(attribute based encryption, ABE)方案.该方案采用半策略隐藏方式,将属性分为属性名和属性值2部分,通过对用户的属性值进行隐藏,实现对用户的隐私保护,避免用户的具体属性值泄露给其他任何第三方.另外,加密时仅对与访问策略相关的属性名进行加密,而不是对系统所有属性进行加密,改变了已有的隐私保护属性基加密方式,大大减短了密文长度.方案的安全性依赖于DBDH假设,并且在标准模型下满足自适应选择明文攻击安全.同时,通过与其他方案的对比,方案计算代价和存储代价都有明显优势,尤其是密文长度仅与访问策略设置的属性相关,更加适用于实际应用中用户属性规模远远小于系统属性规模的情况.     

基于隐藏访问策略属性基的能源互联网数据保护

能源互联网中不同安全域中实体的通信数据包含敏感信息,基于密文策略属性基加密CPABE方案可实现细粒度的保护,但传统CP-ABE解密复杂度高,属性撤销需要对整个密文进行全部更新,以及访问策略易泄露隐私信息,导致其在能源互联网中应用受限。围绕着能源互联网云存储数据共享安全,设计基于隐藏访问策略的能源互联网数据保护方案,访问策略支持任意门限或者布尔表达式,将访问策略中的属性模糊化以实现策略的隐藏,引入解密代理将高复杂度的属性基解密过程的主要部分外包到服务端,减少了接收端的解密开销,在属性撤销过程中仅需要属性认证中心和解密代理参与,降低了属性撤销的难度。实验对比分析结果表明,本文方案的解密性能有较大的提升。     

面向移动云存储的属性基解密服务中间件

属性基加密（ABE）算法支持对云端数据的细粒度访问控制。针对属性基解密计算复杂度高,难以在资源受限的移动终端上实现的问题,提出并实现了一种面向移动云存储的属性基解密服务中间件。在保证密文信息不被中间件获取的前提下,中间件为移动终端代理属性基解密服务,实现了基于树形结构的线性秘密共享（LSSS）矩阵求解,降低了终端的计算与通信开销,提高了解密速度;属性权威可以在不需要用户参与的条件下,即时、细粒度地撤销用户属性;所有接口均使用Restful服务,保证了通用性。实验结果表明,属性基解密服务中间件提高移动设备解密性能近30倍,具备较好的并发性能,属性撤销具有实用性。