基于可信计算平台的身份管理框架*

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信计算平台完整性校验、保护存储和访问控制以及远程平台校验等安全特性,提出了可信计算平台身份管理方案和协议。本方案实现了多种方式的身份认证及身份、身份认证审计记录和主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输。最后,进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的负担。     

一种基于摘要口令加密私钥的数字签名模式

PKI基础设施采用证书管理公钥,通过第三方的可信任机构-认证中心CA,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上实现漫游证书的应用。用户的私钥存储存在一些安全性问题,私钥一旦泄露,或被破坏,就无法安全地实现信息的加密和数字签名。通过摘要口令将私钥加密存储在远程服务器,即可保证私钥的安全性。     

基于USB Key身份识别在VPN中的研究与实现

利用现代计算机都带有USB接口的特点,采用USB密钥管理器进行身份识别登录VPN．能够安全存储私钥、证书、口令等机密信息,私钥的产生、加密、解密均在密钥管理器完成,与传统方法相比大大提高了安全性。     

一种支持共享的高可用数据库加密机制

加密数据库可以保证数据在数据库存储期间的机密性,但往往难以很好地支持多用户的共享访问,难以保证良好的可用性及易用性。文章在基于字段加密的前提下,提出了一种由数据密钥对敏感数据进行加密保护,由数据库用户公钥对数据密钥进行加密保护,最终由数据库用户口令对用户私钥进行加密保护的完整数据库加密机制。据此理论建立的加密数据库模型既可以保证数据的安全性,也支持对加密信息的共享访问,在可用性、易用性方面也比以往系统有明显增强。     

可信移动平台身份管理框架*

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信移动平台完整性校验、保护存储、域隔离和访问控制以及远程平台校验等安全特性,提出了可信移动平台身份管理方案和协议;构建了对应于口令、证书、指纹等认证方式的身份矩阵;实现了多种方式的身份认证、身份认证审计记录,主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输;进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的     

支持隐私保护的可验证云端数据分享方案

随着移动互联网技术的飞速发展,海量数据将存储在远程云服务器,由此带来外包云存储敏感数据的搜索与安全共享问题。基于椭圆曲线设计公钥可搜索加密算法,提出云存储系统中支持隐私保护的可验证数据分享方案。在该方案中,数据发送方结合消息认证码技术,使用自己的私钥和数据接收方的公钥产生关键词对应的密文,数据接收方结合消息认证码技术,使用自己的私钥和数据发送方的公钥产生搜索陷门,从而云服务器可以对关键词密文和搜索陷门进行快速匹配测试。该方案可保证云端存储数据的机密性,实现对外包云存储数据的可搜索功能,并在选择关键词攻击下满足密文不可区分性与搜索陷门不可区分性,抵抗内部关键词猜测攻击。此外,为防止云服务器出现恶意欺骗或返回不正确的搜索密文行为,引入云审计的设计思想,对存储在云端的密文数据进行完整性验证。性能分析与比较结果表明,该方案云端加密数据分享过程耗时仅为2.17 ms,与PEKS、PAEKS、dIBAEKS、CLEKS方案相比效率提升39.98%以上,更有利于部署在资源受限的智能终端设备。     

一种基于多混沌序列的加密与云存储持有性证明算法

针对云存储数据的保密性与完整性问题,提出一种基于多混沌序列的加密与云存储持有性证明算法,该算法可对存储在云端数据进行加密的同时支持PDP校验。用户只需掌握一对由纯小数和整数组成的密钥,使用本算法生成多条混沌伪随机数序列,一次性完成云存储数据的加密、PDP校验码的生成与嵌入。由于本文算法采用伪随机数隐藏嵌入PDP校验码的位置与数值,可以支持无限次的PDP校验请求。实验表明,该算法具有较强的数据安全保护能力以及良好的数据加解密效率。     

用户和属性授权机构可追责的在线/离线属性基加密方案

属性基加密作为一种一对多的加密机制,能够为云存储提供良好的安全性和细粒度访问控制。但在密文策略属性基加密中,一个解密私钥可能会对应多个用户,因此用户可能会非法共享其私钥以获取不当利益,半可信的属性授权机构亦可能会给非法用户颁发解密私钥。此外,加密消息所产生的指数运算随着访问策略复杂性的增加而增长,其产生的计算开销给通过移动设备进行加密的用户造成了重大挑战。对此,文中提出了一种支持大属性域的用户和属性授权机构可追责的在线/离线密文策略属性基加密方案。该方案是基于素数阶双线性群构造的,通过将用户的身份信息嵌入该用户的私钥中实现可追责性,利用在线/离线加密技术将大部分的加密开销转移至离线阶段。最后,给出了方案在标准模型下的选择性安全和可追责证明。分析表明,该方案的加密开销主要在离线阶段,用于追责的存储开销也极低,其适用于使用资源受限的移动设备进行加密的用户群体。     

基于代理重签名的支持用户可撤销的云存储数据公共审计方案

针对用户动态可撤销需要新的数据管理员对其前任所管理的数据进行完整性验证的问题,基于单向代理重签名技术提出了具有隐私保护的支持用户可撤销的云存储数据公共审计方案。首先,该方案中所采用的单向代理重签名算法,其代理重签名密钥由当前用户私钥结合已撤销用户公钥生成,不存在私钥泄露问题,能够安全实现数据所有权的转移;其次,该方案证明了恶意的云服务器不能产生伪造的审计证明响应信息来欺骗第三方审计者（TPA）通过审计验证过程;更进一步,该方案采用了随机掩饰码技术,能够有效防止好奇的第三方审计者恢复原始数据块。和Panda方案相比较,所提方案在增加抗合谋攻击功能的基础上,其审计过程中通信开销与计算代价仍全部低于Panda方案。     

EFS(加密文件系统)数据加密与解密恢复

为了加强信息的安全性,许多用户对重要数据采取加密措施。本文系统介绍了EFS加密技术的工作原理和使用方法,并阐述了通过备份私钥和设置恢复代理两种方法对加密数据进行解密恢复的步骤,最后探讨了私钥的物理存储位置及系统文件或存储介质损坏的恢复策略。     

云计算中的标准模型下基于证书混合加密方案

随着云计算的快速发展,数据安全已成为云安全的一个关键问题,尤其是云中存储和传输的数据量巨大,对安全性要求较高。另一方面,基于证书密码体制克服了传统公钥密码体制的证书管理问题及基于身份密码体制的密钥托管问题,为构造安全高效的PKI提供了新的方法,但现有基于证书加密方案大都采用双线性对构造,计算效率较低。针对云计算环境,基于判定性缩减Diffie-Hellman难题,提出了一个不含对运算的基于证书混合加密方案,分析了安全性和效率。该方案是建立在密钥封装算法、对称加密算法、消息认证码算法基础上的一次一密型加密方案。分析表明,该方案在标准模型下可以抵抗适应性选择密文攻击,计算效率较高,适合于对云计算中安全性要求较高的长消息的加密。     

基于同态加密的密文策略属性加密方案

属性加密方案极其适用于云存储环境下的数据访问控制,但用户私钥的安全问题仍然是一个极具挑战的问题,影响了属性加密的实际运用。针对该问题,提出一种基于同态加密的密文策略属性加密方案,属性授权中心和云服务中心拥有包含各自系统私钥信息的秘密坐标,两者利用各自秘密坐标进行保密计算两点一线斜率的方式来交互生成用户私钥。分析结果表明,所提方案在消除单密钥生成机构的同时极大地降低了生成用户密钥所需的通信交互次数,从而降低了交互过程中秘密信息泄露的风险。     

基于Bloom Filter的混合云存储安全去重方案

针对现有云存储系统中数据去重采用的收敛加密算法容易遭到暴力破解以及猜测攻击等不足,提出一种基于布隆过滤器的混合云存储安全去重方案BFHDedup,改进现有混合云存储系统模型,私有云部署密钥服务器Key Server支持布隆过滤器认证用户的权限身份,实现了用户的细粒度访问控制。同时使用双层加密机制,在传统收敛加密算法基础上增加额外的加密算法并且将文件级别去重和块级别去重相结合实现细粒度去重。此外,BFHDedup采用密钥加密链机制应对去重带来的密钥管理难题。安全性分析及仿真实验结果表明,该方案在可容忍的时间开销代价下实现了较高的数据机密性,有效抵抗暴力破解以及猜测攻击,提高了去重比率并且减少了存储空间。     

基于同态加密的多关键词检索方案

随着云存储服务的发展,越来越多的数据拥有者选择将数据外包给云服务商存储。为了保证数据的安全性,云服务器上的数据应该以密文形式存储。现有的多关键词密文检索技术不能兼顾准确性和安全性的问题,提出一种利用改进的向量空间模型和同态加密技术进行多关键词检索的方案。性能分析表明该方案能够有效地解决密文的多关键词检索问题。     

一种聚合签名认证的私有云文件加密系统

目前,越来越多的企业想拥有自己的私有云计算中心或数据中心来优化运营和节省资金。然而在架构企业私有云平台时,有大量的问题需要考虑,其中保护企业敏感数据安全成为企业关注的热点。为了保护企业敏感数据不被泄漏,对主流的文件加密系统进行了深入的研究,结合私有云系统的整体架构,将聚合签名的身份认证引入到私有云,提出了一种基于聚合签名认证的eCryptfs私有云加密系统解决方案,经过分析拥有较高的安全性和效率。该系统运行在ubuntu10.04的操作系统环境下,通过非交互方式挂载eCryptfs文件加密系统来实现存储资源的安全,并对系统平台进行了测试。测试结果表明,这种解决方案保证了企业私有云存储服务的安全性,解决了在大规模应用环境下企业私有云系统面临的主要安全及效率问题。     

具有私钥可恢复能力的云存储完整性检测方案

共享数据云存储完整性检测用来验证一个群体共享在云端数据的完整性,是最常见的云存储完整性检测方式之一.在云存储完整性检测中,用户用于生成数据签名的私钥可能会因为存储介质的损坏、故障等原因而无法使用.然而,目前已有的共享数据云存储完整性检测方案均没有考虑到这个现实问题.本文首次探索了如何解决共享数据云存储完整性检测中私钥不可用的问题,提出了第一个具有私钥可恢复能力的共享数据云存储完整性检测方案.在方案中,当一个群用户的私钥不可用时,可以通过群里的t个或者t个以上的用户帮助他恢复私钥.同时,设计了一个随机遮掩技术,用于确保参与成员私钥的安全性.用户也可验证被恢复私钥的正确性.最后,给出安全性和实验结果的分析,结果显示提出方案是安全高效的.     

基于融合模糊聚类算法的云信息存储加密仿真

为了提高云信息存储的安全性,需要进行信息加密设计,提出基于融合模糊聚类算法的云信息存储加密算法。在同态公钥加密体系下构建云信息存储加密的数据分布式结构模型,提取云存储信息加密统计特征量,采用同态数据融合方法进行云信息的模糊聚类处理,结合模糊C均值聚类方法进行云信息的分段融合调度;在分段区间内采用随机线性编码方案进行云信息存储加密的编码设计,基于融合模糊聚类算法构建加密密钥,实现云信息存储加密优化设计。仿真结果表明,采用该方法进行云信息存储加密的信息融合性较好,抗破译能力较强,提高了云存储数据的安全性。     

无证书的共享数据公开审计方案

公钥密码体制中多数公开审计方案存在证书管理问题,会增加存储负荷和通信成本。为有效验证半可信云中数据的完整性,减少证书管理的额外开销,提出一种无证书的公开审计方案。采用同态技术实现批审计,高效完成多个用户的审计需求,通过ELGamal加密体制对用户身份进行追踪,防止用户的恶意行为。安全性和性能分析结果表明,该方案安全高效,能够抵抗类型Ⅰ和类型Ⅱ敌手攻击,并满足签名不可伪造性和签名用户身份隐私性。     

基于NAS的私有云存储平台的设计与实现

随着大数据时代的到来与高速网络建设的快速推进,数据化网络资源共享已渗透到人们的日常工作、学习、生活当中。数据网络化储存、多人资源共享成为现代信息传播与保存的重要方式。但是,网络储存平台的安全性一直令使用者担忧。因此,各种各样的私有云储存平台孕育而生,为使用者提供相对独立的个人使用空间。经过长期的使用发现,传统的私有云存储平台虽然可以达到一定的安全性,但是,安全性只相对公共开放网盘而言。同时,存在多用户瞬时访问下协议拥堵、大数据交互节点回馈延迟高的问题。针对传统私有云的架构特点与问题产生原因,提出基于NAS的私有云存储平台的设计与实现方法。采用基于NAS的协议加密技术、多路访问优化单元、数据压缩单元对传统私有云存在的问题进行针对性解决。通过仿真实验证明,提出的基于NAS的私有云存储平台的设计与实现方法,具有数据储存安全性高、峰值状态下访问点网络畅通性好、数据网络传输交互率高、延迟小等优点。     

云数据安全问题与对策的研究

随着云计算技术的快速发展,越来越受到人们的关注。然而,云计算中的数据安全问题已经成为制约云计算快速发展和推广的关键问题,本文着重研究云计算中的数据安全问题,并在此基础上给出了安全问题的对策。针对云数据的安全性,在数据传输、存储、审计方面提出了安全对策。