基于边缘计算的多授权属性加密方案

传统云存储下属性加密通常在云端与用户直接交流,并且由单一授权机构处理密钥与数据信息,为此提出一种应用在边缘环境下的多授权属性加密方案。方案中的访问矩阵由线性秘密共享构建,将边缘平台作为中间节点,用椭圆曲线密码体制下的简单标量乘法替代属性加密中的双线性计算,通过多授权中心分摊属性管理,直接减少单个授权机构的密钥托管与局部失控问题。理论功能分析与实验结果表明,该方案在可行性与安全性上均优于传统同类算法,有效降低了用户在访问控制中的计算开销。     

基于雾节点的分布式属性基加密方案

为解决云存储中对用户访问数据权限划分笼统、细粒度化控制访问权限受限以及单授权机构中存在的单点失效问题,提出基于雾节点的分布式密文策略属性基加密方案。将数据的部分解密运算外包给雾节点,减少终端用户的计算开销,并由不同的属性授权机构为用户生成属性密钥,以适用于细粒度的访问控制要求,使用全局身份将属于特定用户的各种属性进行“捆绑”,防止各属性机构间的共谋攻击,同时引入权重属性简化访问结构,节省系统的存储空间。实验结果表明,基于判定性q-parallel BDHE问题证明了该方案的安全性,与基于区块链的多授权机构访问控制方案和mHealth中可追踪多授权机构基于属性的访问控制方案相比,该方案终端用户在解密阶段具有更小的计算开销。     

外包数据库的安全访问控制机制

通过对外包数据库双层加密方案的分析,指出存在授权用户可以将资源访问授权给其他非授权用户的安全缺陷,为此,提出一个改进的安全外包数据访问控制方案。该方案利用二元一次函数诱导产生加密密钥。为适应访问控制策略动态变化,防止非授权用户访问资源,通过双重加密实现授权访问动态变化。分析结果表明,改进方案能够克服外包数据库双层加密方案的安全缺陷,可实现策略动态更新,是一个安全高效的访问控制方案。     

基于CP-ABE的隐藏属性外包解密访问控制

传统的属性基加密方案中数据拥有者将访问结构和密文保存在一起,于是用户收到密文消息的同时也收到了访问结构,但访问结构本身就可能包含数据拥有者的隐私信息。本文提出一种基于密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)的隐藏属性外包解密访问控制方案。该方案既能隐藏数据拥有者制定的访问控制策略中的属性,同时将计算密集型解密操作交给代理服务器完成,又能保证未经授权的属性授权中心或代理服务器不能独自解密共享的加密数据。     

高效且可验证的多授权机构属性基加密方案

移动云计算对于移动应用程序来说是一种革命性的计算模式,其原理是把数据存储及计算能力从移动终端设备转移到资源丰富及计算能力强的云服务器.但是这种转移也引起了一些安全问题,例如,数据的安全存储、细粒度访问控制及用户的匿名性.虽然已有的多授权机构属性基加密云存储数据的访问控制方案,可以实现云存储数据的保密性及细粒度访问控制;但其在加密和解密阶段要花费很大的计算开销,不适合直接应用于电力资源有限的移动设备;另外,虽然可以通过外包解密的方式,减少解密计算的开销,但其通常是把解密外包给不完全可信的第三方,其并不能完全保证解密的正确性.针对以上挑战,本文提出了一种高效的可验证的多授权机构属性基加密方案,该方案不仅可以降低加密解密的计算开销,同时可以验证外包解密的正确性并且保护用户隐私.最后,安全分析和仿真实验表明了方案的安全性和高效性.     

用户和属性授权机构可追责的在线/离线属性基加密方案

属性基加密作为一种一对多的加密机制,能够为云存储提供良好的安全性和细粒度访问控制。但在密文策略属性基加密中,一个解密私钥可能会对应多个用户,因此用户可能会非法共享其私钥以获取不当利益,半可信的属性授权机构亦可能会给非法用户颁发解密私钥。此外,加密消息所产生的指数运算随着访问策略复杂性的增加而增长,其产生的计算开销给通过移动设备进行加密的用户造成了重大挑战。对此,文中提出了一种支持大属性域的用户和属性授权机构可追责的在线/离线密文策略属性基加密方案。该方案是基于素数阶双线性群构造的,通过将用户的身份信息嵌入该用户的私钥中实现可追责性,利用在线/离线加密技术将大部分的加密开销转移至离线阶段。最后,给出了方案在标准模型下的选择性安全和可追责证明。分析表明,该方案的加密开销主要在离线阶段,用于追责的存储开销也极低,其适用于使用资源受限的移动设备进行加密的用户群体。     

面向外包数据的可追踪防泄漏访问控制方案

针对云存储环境下外包数据存在的信息泄漏及追踪难的问题,提出了一种改进的基于密文策略属性基加密（Ciphertext-Policy Attribute-Based Encryption,CP-ABE）的安全访问控制方案。方案基于双线性对理论和秘密共享机制,由第三方可信机构根据数据所有者指定的访问策略为其产生代理加密密钥,根据用户提交的个人属性信息提供用户注册以及密钥对分发,采用访问树构造访问策略来实现用户属性的匹配度计算。当发生用户密钥泄漏导致信息失密时,根据追踪列表可追踪到用户的身份。分析表明,方案在基于DBDH假设下证明是安全的,且实现了抵抗合谋攻击和中间人攻击。通过与其他方案比较,方案在加解密时间、私钥长度和密文长度方面有所优化,从而降低了存储开销和计算代价。     

云存储环境下属性基加密综述*

属性基加密作为一种新型的密码方案,将用户私钥和密文与属性相关联,为解决云存储环境下数据安全共享、细粒度访问控制和安全存储等问题提供了一种解决思路。在对密钥策略属性基加密、密文策略属性基加密和混合策略属性基加密深入研究后,根据不同的功能扩展,针对隐藏访问结构、多授权机构、复杂计算安全外包、可搜索加密机制、属性撤销、叛徒追踪等重点难点问题进行了深入探讨研究。最后总结了现有研究工作的不足,并指出了未来的研究方向。     

一种高效多授权中心云访问控制方案

针对已有云计算多授权访问控制方案中用户端负担过重的问题,提出一种基于属性加密的多授权中心访问控制方案HE-MA-ACS。在层次化授权结构的基础上,引入外包解密思想,将用户访问的大部分解密计算开销外包至云服务端,实现细粒度的属性撤销,并且用户端不需要参与属性的撤销操作。对方案的正确性、安全性、计算和存储性能进行了分析,证明了该方案在用户端存储开销、访问通信开销、解密时间及属性撤销时计算开销上的优越性。该方案有效地降低了用户端的负担,提高了解密效率。     

区块链中可验证外包解密的匿名属性加密方案

属性加密是云计算环境下实现数据机密性和细粒度访问控制的关键技术。然而,一般的属性加密方案中存在访问策略敏感信息泄露、解密成本高、属性授权机构权力过大等问题。为了解决上述问题,提出一种基于区块链的可验证外包解密的匿名属性加密方案。该方案使用策略隐藏保护敏感属性信息,通过两方共同生成完整属性密钥,在解密前进行属性匹配操作。利用区块链不可篡改性存储验证参数存储对第三方外包解密结果进行正确性验证,并使用区块链生成、存储属性证书。在随机谕言模型下证明了选择性密文策略和选择明文攻击的安全性,并与其他方案进行功能、通信开销对比,使用PBC Go密码学库对方案进行仿真,仿真结果表明该方案可以有效地减少用户解密开销。     

医疗云中高效安全的数据共享方案研究

随着云计算的快速发展,个人电子病历记录（Personal Health Record,PHR）作为一种新兴的健康信息交换模式,已经成为研究与应用领域的热点话题。为了实现医疗云中安全高效的数据共享,提出了可撤销的基于CP-ABE的数据共享方案。在该方案中,医疗用户被划分为个人区域（PSD）和公共区域（PUD）。在PSD中,采用改进的聚合加密（IKAE）和改进的属性签名方案分别来实现读和写访问权限。对于PUD的医疗用户来说,使用可撤销的外包加解密方案,在很大程度上减少了PHR用户的开销。该方案还可以实现及时的用户和属性撤销,并且引入多授权机构来降低密钥管理的复杂度。最后通过性能分析证明了该方案的高效性和安全性。     

5G移动边缘计算场景下的快速切换认证方案

5G 万物互联为用户带来极致网络体验的同时也提出了新的挑战,用户的超低时延体验、移动状态下无顿感的获取业务以及安全防护问题备受关注。移动边缘计算能够满足 5G 低时延、大连接、高带宽的严苛要求,作为一种多信任域共存的计算范式,多实体之间、跨信任域之间互联互通频繁,身份认证作为安全防护的第一道关口尤为重要。通过对现有边缘计算范式下的身份认证机制研究,提出了一种通过构建信任域的基于预认证的轻量级快速切换认证方案,不同区域间移动的用户能实现快速安全的切换认证。所提方案将服务和计算由云端下沉到边缘侧,生物指纹技术被用于用户端以抵御终端被盗攻击,不同区域的边缘服务器采用预认证的方式来满足快速切换需求,用户与边缘服务器采用实时协商共享会话密钥的方式建立安全通道,认证方案以异或和哈希运算来保证轻量级。对所提方案从安全性与性能两方面进行评估,其中,安全性从理论设计分析和形式化工具验证两方面进行。采用形式化分析工具AVISPA验证了在存在入侵者的情况下所提方案的安全性,与其他方案相比所提方案更安全。性能主要从认证方案的计算成本和通信成本进行评估,仿真表明,所提方案在通信成本上有较好的优势,计算开销能够满足资源受限的移动终端用户需求。后续需要从两方面对方案进行改进,一是要加强方案可扩展性的改进以确保用户及边缘服务器能随时加入退出。二是要加强方案普适性的改进以满足第三方服务商的接入部署。     

面向移动云存储的属性基解密服务中间件

属性基加密（ABE）算法支持对云端数据的细粒度访问控制。针对属性基解密计算复杂度高,难以在资源受限的移动终端上实现的问题,提出并实现了一种面向移动云存储的属性基解密服务中间件。在保证密文信息不被中间件获取的前提下,中间件为移动终端代理属性基解密服务,实现了基于树形结构的线性秘密共享（LSSS）矩阵求解,降低了终端的计算与通信开销,提高了解密速度;属性权威可以在不需要用户参与的条件下,即时、细粒度地撤销用户属性;所有接口均使用Restful服务,保证了通用性。实验结果表明,属性基解密服务中间件提高移动设备解密性能近30倍,具备较好的并发性能,属性撤销具有实用性。     

基于扩展属性基功能加密的有效外包计算

针对目前属性基加密（ABE）方案存在的主要问题,即访问策略功能单一的问题和密文的大小和解密时间随着访问公式的复杂性增加而增长的问题,提出了有效外包计算的多功能ABE方案。首先,通过对敏感数据的细粒度访问控制,实现了不同功能加密系统;然后,利用云服务器巨大的计算能力进行部分解密计算,将满足访问策略的用户属性密文转化为一个（常量大小） ElGamal类型的密文;同时通过有效的验证方法保证外包运算的正确性。理论分析结果表明,与传统属性基功能加密方案相比,所提方案用户端的解密计算降低至一次指数运算和一次对运算,该方案在不增加传输量的情况下,为用户节省了大量带宽和解密时间。     

工业互联网中增强安全的云存储数据访问控制方案

在工业互联网应用中,由于异构节点计算和存储能力的差异,通常采用云方案提供数据存储和数据访问服务.云存储中的访问控制如扩展多权限的云存储数据访问控制方案(NEDAC-MACS),是保证云存储中数据的安全和数据隐私的基石.给出了一种攻击方法来证明NEDAC_MACS中,被撤销的用户仍然可以解密NEDAC-MACS中的新密文;并提出了一种增强NEDAC-MACS安全性的方案,该方案可以抵抗云服务器和用户之间的合谋攻击;最后通过形式密码分析和性能分析表明,该方案能够抵抗未授权用户之间以及云服务器与用户之间的合谋攻击,保证前向安全性、后向安全性和数据保密性.     

边缘计算场景中基于虚拟映射的隐私保护卸载算法

随着移动边缘计算(Mobile Edge Computing,MEC)和无线充电技术(Wireless Power Transmission,WPT)的诞生和发展,越来越多的计算任务被卸载至MEC服务器以进行处理,并借助WPT技术为终端设备供电,以缓解终端设备计算能力受限和设备能耗过高的问题.由于卸载的任务和数据往往携...     

基于TrustZone的可信移动终端云服务安全接入方案

可信云架构为云计算用户提供了安全可信的云服务执行环境,保护了用户私有数据的计算与存储安全. 然而在移动云计算高速发展的今天, 仍然没有移动终端接入可信云服务的安全解决方案. 针对上述问题, 提出了一种可信移动终端云服务安全接入方案, 方案充分考虑了移动云计算应用背景, 利用ARM TrustZone硬件隔离技术构建可信移动终端, 保护云服务客户端及安全敏感操作在移动终端的安全执行, 结合物理不可克隆函数技术, 给出了移动终端密钥与敏感数据管理机制. 在此基础之上, 借鉴可信计算技术思想, 设计了云服务安全接入协议, 协议兼容可信云架构, 提供云服务端与移动客户端间的端到端认证. 分析了方案具备的6种安全属性, 给出了基于方案的移动云存储应用实例, 实现了方案的原型系统. 实验结果表明, 可信移动终端TCB较小, 方案具有良好的可扩展性和安全可控性, 整体运行效率较高.     

Wi-Fi网络下多AP协作边缘计算资源分配策略

近年来, AR/VR、在线游戏、4K/8K超高清视频等计算密集且时延敏感型应用不断涌现, 而部分移动设备受自身硬件条件的限制, 无法在时延要求内完成此类应用的计算, 且运行此类应用会带来巨大的能耗, 降低移动设备的续航能力. 为了解决这一问题, 本文提出了一种Wi-Fi网络多AP (access point)协作场景下边缘计算卸载和资源分配方案. 首先, 通过遗传算法确定用户的任务卸载决策. 随后, 利用匈牙利算法为进行任务卸载的用户分配通信资源. 最后, 根据任务处理时延限制, 为进行任务卸载的用户分配边缘服务器计算资源, 使其满足任务处理时延限制要求. 仿真结果表明, 所提出的任务卸载与资源分配方案能够在满足任务处理时延限制的前提下有效降低移动设备的能耗.