政务数据资源共享是区块链技术自主创新的主战场

数字政府建设的重点和难点在于推进跨层级、跨地域、跨系统、跨部门、跨业务的政务数据有序共享和协同服务。区块链是一种分布式数据存储及处理技术,是密码技术与分布式技术的创新融合,以去中心化方式形成一种新的“信任”机制,基于密码技术解决身份和数据可信,基于分布式技术解决多方协同,从而打破数据流通和业务协作壁垒。以数字政府建设为契机,推动政务服务领域区块链应用,有效解决数据有序共享、安全交互、可信协同、依法监管等问题;同时,政务服务领域可为区块链技术自主创新提供初始市场和先验机会,通过政务领域区块链规模应用,加速区块链技术迭代创新,助力推动信息领域关键核心技术突破。密码技术是区块链技术的核心基础支撑,要加强政务服务领域区块链密码应用与安全性评估,确保密码应用合规正确有效。政务服务领域不能一个应用建一条链,防止形成新的“区块链信息孤岛”。     

基于雾计算的权重OBDD访问结构属性密码体制研究

基于密文策略的属性密码体制在云存储中对于实现数据的安全分享和细粒度访问控制起到了关键性的作用,但基于密文策略的属性密码体制存在效率低、访问策略不灵活以及单一属性授权中心带来的单点失效威胁问题.对此,提出基于雾计算的权重有序二叉决策图(Ordered Binary Decision Diagram,OBDD)访问结构的属性密码体制.首先,所提方案把大部分运算外包给雾节点,有效地降低了用户端的计算开销;其次,采用多属性授权中心的方式以防止单点失效威胁;最后,所提方案采用基于权重的OBDD访问结构,不仅能由权重设置阈值以表达任何的布尔函数值,还能同时支持访问结构中属性的正负值的表达.安全性分析和性能分析结果表明,所提方案在判定性双线性Diffie-Hellman(DBDH)问题下满足选择明文安全,并且比其他方案更高效,具有使用价值.     

基于区块链的防特权账号篡改审计系统

审计系统通过对客户网络设备、安全设备、主机和应用系统日志等数据进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局视角,确保客户业务的不间断运营安全;通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全,在整个信息安全防御体系中占有重要的位置。然而,现有的审计系统存在特权账号权限过大问题,其能对审计记录进行修改,降低了审计系统的能效。针对该问题,利用区块链技术的不可篡改性质,提出了一个防篡改审计系统。审计数据被上传至区块链中,利用属性基加密技术对数据进行保护,并实现细粒度访问控制。最后,通过批处理、预处理、哈希链等技术,消除由于使用区块链技术和属性基加密技术而带来的效率问题。     

区块链上基于云辅助的密文策略属性基数据共享加密方案

针对云存储的集中化带来的数据安全和隐私保护问题,该文提出一种区块链上基于云辅助的密文策略属性基(CP-ABE)数据共享加密方案.该方案采用基于属性加密技术对加密数据文件的对称密钥进行加密,并上传到云服务器,实现了数据安全以及细粒度访问控制;采用可搜索加密技术对关键字进行加密,并将关键字密文上传到区块链(BC)中,由区块链进行关键字搜索保证了关键字密文的安全,有效地解决现有的云存储共享系统所存在的安全问题.该方案能够满足选择明文攻击下的不可区分性、陷门不可区分性和抗串联性.最后,通过性能评估,验证了该方案的有效性.     

基于轻量化区块链的数据主权管控平台设计

针对实现数据流通协同应用的问题,提出了一种基于轻量化区块链的数据主权管控方法,包括构建可信数字身份、数据访问安全、数据源头可信的数据流通协同体系,以促进协同各方在跨层次、跨领域、跨系统、跨部门、跨业务的情境下进行安全共享。如在特殊领域的人员选拔等,通过实施基于轻量化数据区块链技术的数据管控平台,成功实现了用户身份可信和数据权限控制等创新应用。关键步骤包括利用基于属性加密(Attribute-Based Encryption, ABE)算法对用户属性进行加密,使符合属性的用户能够进行解密,实现对数据的有选择性披露。在解决数据安全共享的挑战中发挥了关键作用。     

区块链技术及应用导读

<正>区块链是共识机制、智能合约、分布式账本、对等网络和密码技术等多项关键技术的创造性集成,是分布式技术的深化发展,具有弱中心、难篡改、可追溯等特点,正成为继人工智能、大数据、物联网等技术后,又一项对未来发展产生重大影响的战略新兴技术。区块链的兴起,带动了解决分布式一致性等问题的相关技术的融合。区块链面向弱信任场景下,提供了可传递信任的能力,得到了广泛的产业认同,正在引领全球新一轮技术变革和产业变革,有望成为全球技术创新和模式创新的“策源地”。     

基于区块链的网络安全技术研究

区块链以其特有的安全性而在网络安全领域广泛应用,然而,对其网络安全漏洞的进一步研究往往被忽视.因此,文章立足区块链技术原理,深入分析了区块链技术在网络安全领域的应用,结合基于区块链的网络安全威胁,系统研究了基于区块链的网络安全保护技术,以期为更好地促进区块链架构优化与安全算法改进建言献策.     

区块链技术在物联网安全相关领域的研究

区块链是数字货币--比特币的底层技术.区块链是由节点参与的分布式数据库系统,具有去中心化、不可伪造的特点,受到了金融世界的高度重视.本文从区块链技术的技术架构、关键技术等方面阐述了区块链技术在网络安全方面的优势,提出了区块链应用于物联网安全的思考,旨在对区块链技术在物联网安全相关领域的研究提供帮助.     

基于区块链的多授权密文策略属性基等值测试加密方案

针对云环境下密文策略属性基加密方案中存在的密文检索分类困难与依赖可信第三方等问题,本文提出了一种基于区块链的多授权密文策略属性基等值测试加密方案．利用基于属性的等值测试技术,实现了支持属性级灵活授权的云端数据检索和分类机制,降低了数据用户对重复数据解密的计算开销．结合多授权属性基加密机制和区块链技术,实现了去中心化用户密钥生成．采用多属性授权机构联合分发密钥,有效抵抗用户和属性授权机构的合谋攻击．引入区块链和智能合约技术,消除了现有密文策略属性基密文等值测试方案中等值测试、数据存储与外包解密操作对可信云服务器的依赖．利用外包服务器执行部分解密计算,降低了用户本地的计算开销．将原始数据哈希和验证参数上传至区块链,保障外包服务器解密结果正确性和云端数据完整性．在随机预言模型下,基于判定性qparallel Bilinear Diffie-Hellman Exponent困难问题证明了本文方案在选择密文攻击下的单向性．与同类方案相比较,本文方案支持更多的安全属性,并具有较低的计算开销．     

一种标准模型下无证书签名方案的安全性分析与改进

无证书签名具有基于身份密码体制和传统公钥密码体制的优点，可解决复杂的公钥证书管理和密钥托管问题.Wu和Jing提出了一种强不可伪造的无证书签名方案，其安全性不依赖于理想的随机预言机.针对该方案的安全性，提出了两类伪造攻击.分析结果表明，该方案无法实现强不可伪造性，并在"malicious-but-passive"的密钥生成中心攻击下也是不安全的.为了提升该方案的安全性，设计了一个改进的无证书签名方案.在标准模型中证明了改进的方案对于适应性选择消息攻击是强不可伪造的，还能抵抗恶意的密钥生成中心攻击.此外，改进的方案具有较低的计算开销和较短的私钥长度，可应用于区块链、车联网、无线体域网等领域.     

Verifiable attribute-based searchable encryption scheme based on blockchain

For the problem that the shared decryption key lacks of fine-grained access control and the search results lacks of correctness verification under one-to-many search model,a verifiable attribute-based searchable encryption scheme based on blockchain was proposed.The ciphertext policy attribute-based encryption mechanism was used on the shared key to achieve fine-grained access control.Ethereum blockchain technology was combined to solve the problem of incorrect search results returned by the semi-honest and curious cloud server model,so it could prompt both the cloud server and the user to follow the rules of the contract honestly and achieved service-payment fairness between the user and the cloud server in the pay-per-use cloud environment.In addition,based on the irreversible modification of the blockchain,the cloud server was guaranteed to receive the service fee,and the user was assured to obtain the correct retrieval results without additional verification which reduced the computational overhead of the user.The security analysis shows that the scheme satisfies the semantic security against adaptive chosen keyword attack and can protect the privacy of users and the security of data.The performance comparison and experimental results show that the scheme has certain optimizations in security index generation,search token generation,retrieval efficiency and transaction quantity,so it is more suitable for one-to-many search scenarios such as smart medical.     

可证安全的基于属性密钥交换

分析了密钥交换协议的特点,提出了一种基于属性的密钥交换协议,能够更灵活地控制不同用户参与密钥交换的权限,该协议基于Sahai-Waters ABE体制,只需要一轮消息通信。研究了密钥交换协议的安全需求,应用＂敌手-挑战者＂游戏,提出了基于属性密钥交换协议的语义安全性定义,进一步在标准模型中证明了协议的安全性。     

基于属性的抗合谋攻击可变门限环签名方案

基于属性的密码体制是基于身份密码体制的泛化和发展,它将身份扩展为一系列属性的集合,具有更强的表达性,并且拥有相同属性的成员自动组成一个环,便于隐匿签名者身份。通过对现有的基于属性门限环签名方案的深入分析,发现这些方案虽然满足匿名性要求,但拥有互补属性的恶意用户可以通过合谋伪造出有效签名。为弥补上述缺陷,首先给出基于属性门限环签名的不可伪造性、不可区分性及抗合谋攻击性的形式化定义,然后给出一个基于属性的抗合谋攻击可变门限环签名方案,其安全性可归约为CDH（computational Diffie-Hellman）困难问题。所提方案通过在用户属性密钥中引入互不相同的秘密随机因子的方法,防止合谋攻击者利用组合私钥的方式伪造签名。在随机预言机模型下,方案被证明能够抵抗适应性选择消息的存在性伪造及合谋攻击,并具有相同签名属性集用户间的不可区分性。与同类方案相比,新方案还具备更高的运算效率。     

基于属性的多授权中心身份认证方案

针对现有的基于属性的身份认证方案均是基于单授权中心实现的,存在密钥托管问题,即密钥生成中心知道所有用户的私钥,提出了一种基于属性的多授权中心的身份认证方案。所提方案结合分布式密钥生成技术实现用户属性私钥的(t,n)门限生成机制,可以抵抗最多来自t-1个授权中心的合谋攻击。利用双线性映射构造了所提方案,分析了所提方案的安全性、计算开销和通信开销,并与同类型方案做比较。最后,以多因子身份认证为例,分析了所提方案在电子凭据应用场景中的可行性。分析结果表明,所提方案具有更优的综合性能。     

双向匿名的基于属性的密钥隔离签密

为解决发送者和接收者都具有匿名性的基于属性签密方案中密钥泄露的问题,将密钥隔离机制引入到基于属性签密方案中,给出了基于属性密钥隔离签密的形式化定义和安全模型,构建了随机预言模型下安全的基于属性的密钥隔离签密方案。改进后的方案不仅没有失去原有的双向匿名性,而且满足前向安全性和后向安全性的要求,减轻了密钥泄露带来的危害。最后在安全模型的基础上,给出了双向匿名的基于属性的密钥隔离签密的机密性、认证性和匿名性的安全性证明。     

RLWE-based key-policy ABE scheme

Based on the attribute-based encryption(ABE) scheme which was proposed by Brakerski and constructed on the LWE problem,a RLWE-based key-policy ABE scheme was presented.Efficiency and key size of this scheme over-takes old ones which are based on the LWE problem.Under the RLWE assumption,this scheme supports attributes of unbounded length and semi-adaptive security.Moreover,a compiler was constructed and could compile ABE scheme that meets its demand into an attribute-based fully homomorphic encryption (ABFHE) scheme.     

基于属性的代理签密方案

为了达到群组签密的目的以及使得群组签密具有代理功能,利用双线性配对的特性结构及基于属性的密码体制结构,构建出一个基于属性的代理签密方案。其中,将文件用属性集来标识,私钥由访问控制结构来产生,用来控制签密、代理签密和解签密的权限范围。该方案既保持了基于属性签密的优点,又具有代理签名的功能,且具有公开验证性、强可识别性及强不可否认性。最后,对方案进行了安全性分析。     

基于新型公平盲签名和属性基加密的食用农产品溯源方案

为解决食用农产品溯源中存在的身份隐私易泄露、难监管以及溯源数据共享困难等问题,该文提出一种基于新型公平盲签名和属性基加密的食用农产品溯源方案。该方案在联盟链授权访问、不可篡改特性的基础上,结合椭圆曲线和零知识证明提出一种新型公平盲签名方法,实现了食用农产品数据上传者身份条件匿名并通过双重ID机制避免了签名方陷害问题;方案同时采用Asmuth-Bloom门限改进的属性基加密结合智能合约技术实现了权限分层的食用农产品溯源数据秘密共享。各项分析及实验结果表明,该方案具备良好的安全性和功能性。