云存储中基于代理重加密的CP-ABE访问控制方案

针对云存储中基于密文策略的属性加密（CP-ABE）访问控制方案存在用户解密开销较大的问题,提出了一种基于代理重加密的CP-ABE （CP-ABE-BPRE）方案,并对密钥的生成方法进行了改进。此方案包含五个组成部分,分别是可信任密钥授权、数据属主、云服务提供商、代理解密服务器和数据访问者,其中云服务器对数据进行重加密,代理解密服务器完成大部分的解密计算。方案能够有效地降低用户的解密开销,在保证数据细粒度访问控制的同时还支持用户属性的直接撤销,并解决了传统CP-ABE方案中因用户私钥被非法盗取带来的数据泄露问题。与其他CP-ABE方案比较,此方案对访问云数据的用户在解密性能方面具有较好的优势。     

基于扩展属性基功能加密的有效外包计算

针对目前属性基加密（ABE）方案存在的主要问题,即访问策略功能单一的问题和密文的大小和解密时间随着访问公式的复杂性增加而增长的问题,提出了有效外包计算的多功能ABE方案。首先,通过对敏感数据的细粒度访问控制,实现了不同功能加密系统;然后,利用云服务器巨大的计算能力进行部分解密计算,将满足访问策略的用户属性密文转化为一个（常量大小） ElGamal类型的密文;同时通过有效的验证方法保证外包运算的正确性。理论分析结果表明,与传统属性基功能加密方案相比,所提方案用户端的解密计算降低至一次指数运算和一次对运算,该方案在不增加传输量的情况下,为用户节省了大量带宽和解密时间。     

移动云计算中基于身份的轻量级加密方案

针对移动云计算中数据安全和移动用户的隐私保护问题,结合在线离线和外包解密技术,对基于身份加密机制（IBE）中加密和解密算法进行扩展,提出了一种可外包解密的基于身份在线离线加密方案,并证明其安全性,构造出适合于移动云计算环境中轻量级设备保护隐私数据的方案。为了减少移动终端运行IBE的加密和解密开销,利用在线离线技术将IBE的加密分解为离线和在线两个阶段,使得移动设备仅需执行少量简单计算即可生成密文;在此基础上,利用外包解密技术,修改IBE的密钥生成算法和解密算法,增加一个密文转化算法,将解密的大部分复杂计算外包给云服务器,移动设备仅计算一个幂乘运算即可获得明文。与现有IBE方案的性能相比,该方案具有较少的加解密开销,适合于轻量级移动设备。     

改进的属性撤销权重属性基加密方案

在PHR（Personal Health Records,个人健康记录）系统中,用户会动态地加入或离开,及时撤销细粒度的属性更加适用于实际应用系统。为此,提出一种改进的基于仲裁者的密文策略的属性基加密方案,使其能够在具有外包解密的同时可以实现细粒度属性及时撤销。该方案通过构造KEK树及时更新密钥和密文以此来及时撤销细粒度属性。此外,针对现有的密文策略属性基加密方案较少考虑到属性重要性,将属性权重的概念引入该方案中,使其更加适合PHR系统。安全性分析和仿真实验表明,与已有方案相比,所提方案可以抵抗合谋攻击,保证数据机密性以及前向安全和后向安全。此外,该方案具有更低的计算复杂度。     

基于CP-ABE的隐藏属性外包解密访问控制

传统的属性基加密方案中数据拥有者将访问结构和密文保存在一起,于是用户收到密文消息的同时也收到了访问结构,但访问结构本身就可能包含数据拥有者的隐私信息。本文提出一种基于密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)的隐藏属性外包解密访问控制方案。该方案既能隐藏数据拥有者制定的访问控制策略中的属性,同时将计算密集型解密操作交给代理服务器完成,又能保证未经授权的属性授权中心或代理服务器不能独自解密共享的加密数据。     

移动云环境下的多授权机构属性基加密方案

针对移动云数据的访问控制进行了研究,提出一种高效的、无需CA的多授权机构密文策略属性基加密方案。通过借助外部资源,在数据加密和解密过程分别增加预加密操作和可验证外包解密操作,从而降低用户的加解密计算量,并采用双因子身份认证机制实现对用户的匿名认证。安全性分析表明,新方案基于判断性q-BDHE（decisional q-parallel Bilinear Diffie-Hellman Exponent）假设可证明是选择明文安全的,并且方案能够抵抗合谋攻击。仿真实验表明,新方案有效降低了数据加密、解密的计算开销以及对密文的通信开销。因此,新方案能够实现对移动云数据安全、高效的访问控制。     

云环境下支持多授权机构的医疗数据安全共享方案

在当前的云环境下,医疗数据存储的研究中存在着隐私信息外泄,机构之间数据共享效率较低等问题。因此,针对云环境下电子医疗数据的安全共享需求,提出了一种支持多属性机构的基于属性的密文策略加密方案,实现了加密医疗数据的细粒度访问控制。通过在加密阶段引入离线计算和在解密阶段引入外包计算,所提方案显著降低了加解密延时,提高了医疗数据访问控制的效率。安全性分析和性能分析表明所提方案满足可重放适应性选择密文攻击安全性,且在性能上优于已有的方案,提高了云环境下医疗数据共享的安全性和效率。     

基于双服务器模型的可公开验证多元多项式外包计算方案

结合云安全外包计算中的隐私保护问题,针对任意多元多项式函数的外包计算,利用同态加密算法和多线性映射,构造了基于双服务器模型的可公开验证外包计算方案。该方案能够保证多项式函数输入与输出的隐私性和安全性,用户或者任意第三方都可以对云服务器计算的结果进行验证,实现了可公开验证性和可用性。云返回给用户的结果处于密文状态,只有拥有解密密钥的用户才能够输出最终的结果,一定程度上保证了计算结果的安全性。分析结果表明,该方案在标准模型下能够达到输入的选择明文攻击（CPA）安全,用户的计算代价远远小于服务器以及直接计算多项式函数的计算代价。     

基于属性的BGN型密文解密外包方案

云计算的安全问题是制约其发展的关键瓶颈,其中对云计算结果的访问控制是当前研究的一个热点。在经典的类同态BGN方案基础上,结合CP-ABE（Ciphertext-Policy Attribute-Based Encryption）型密文解密外包设计,构造了基于属性的BGN型密文解密外包方案,部分密文的解密被外包到云上进行,减小了用户的存储开销与计算开销,并且只有用户属性满足访问策略时,才会得到正确的解密结果。与现有的基于属性的外包方案相比,新方案能对密文进行任意次加法同态和一次乘法同态操作。最后,分析了方案的安全性。所提方案在子群判定问题假设下达到语义安全,在随机预言机模型下满足属性安全。     

基于区块链和密文属性加密的访问控制方案

随着数字社会的到来,使得数据成为了重要的生产要素,为了充分释放数据要素价值,作为数据安全共享的访问控制技术是实现数据安全应用与治理的关键。因此,围绕分布式架构下密文及密钥的安全性问题提出了一种基于区块链的密文访问控制方案。该方案利用密文生成算法与验证合约实现外包密文存储的真实性与完整性验证;设计了基于安全多方计算的属性密码,实现了用户私钥的链下安全多方计算并确保了私钥的唯一性,极大缓解了单属性权威的计算压力,可有效保护用户属性隐私、避免单点故障;定义了格式化的事务数据结构,实现了访问控制的全过程追责。通过安全性分析、性能分析和实验仿真分析表明,该方案在安全性和性能上均满足通用区块链的需求,为数据开放共享提供了一种通用的区块链访问控制方案。     

高效且可验证的多授权机构属性基加密方案

移动云计算对于移动应用程序来说是一种革命性的计算模式,其原理是把数据存储及计算能力从移动终端设备转移到资源丰富及计算能力强的云服务器.但是这种转移也引起了一些安全问题,例如,数据的安全存储、细粒度访问控制及用户的匿名性.虽然已有的多授权机构属性基加密云存储数据的访问控制方案,可以实现云存储数据的保密性及细粒度访问控制;但其在加密和解密阶段要花费很大的计算开销,不适合直接应用于电力资源有限的移动设备;另外,虽然可以通过外包解密的方式,减少解密计算的开销,但其通常是把解密外包给不完全可信的第三方,其并不能完全保证解密的正确性.针对以上挑战,本文提出了一种高效的可验证的多授权机构属性基加密方案,该方案不仅可以降低加密解密的计算开销,同时可以验证外包解密的正确性并且保护用户隐私.最后,安全分析和仿真实验表明了方案的安全性和高效性.     

自适应安全的带关键字搜索的外包属性基加密方案

为同时解决属性基加密（ABE）方案的计算成本过高和云服务器中数据查找效率低下的问题,提出了一种带关键字搜索的外包属性基加密（OABE-KS）方案。首先,使用外包计算技术将加解密用户的本地计算成本降低到常量级;然后,由加密用户和解密用户分别生成对应关键字的索引和陷门,并由云服务器为其进行匹配,在此之后云服务器会将匹配成功的结果返回给解密用户。在合数阶群下证明了所提方案是自适应安全的。根据实验分析可知,属性数量从10个到100个变化的过程中,该方案各个阶段的运行时间基本不变,可见该方案在各个阶段的运行时间不随属性数量的变化而变化。实验结果表明,该方案适合应用在资源受限的设备上,使其在实际应用中不受属性数量变化的影响。     

基于属性代理重加密技术与可容错机制相结合的数据检索方案

针对云服务器上用户信息的隐私问题,提出一种基于属性代理重加密技术与容错机制相结合的方案。该方案将用户存储的数据分为文件和文件的安全索引,将其分别进行加密后存储在不同的云服务器上。首先,利用倒排序结构构造文件的安全索引,并使用模糊提取器对关键字进行预处理,用户可以通过该安全索引进行容错的多关键字搜索;其次,设置访问控制树对解密密钥重加密,实现权限管理,即实现数据在云端的有效共享;最后,通过Complex Triple Diffle-Hellman难题证明该方案生成的系统主密钥是安全的,因此该方案在云环境下也是安全的。与已有的方案的对比分析表明,该方案可减少密钥重加密、解密 等的计算量,同时通过加入容错处理机制提高了数据检索的效率。     

Access control scheme with tracing for outsourced databases

To manage dynamic access control and deter pirate attacks on outsourced databases, a dynamic access control scheme with tracing is proposed. In our scheme, we introduce the traitor tracing idea into outsource databases, and employ a polynomial function and filter function as the basic means of constructing encryption and decryption procedures to reduce computation, communication, and storage overheads. Compared to previous access control schemes for outsourced databases, our scheme can not only protect sensitive data from leaking and perform scalable encryption at the server side without shipping the outsourced data back to the data owner when group membership is changed, but also provide trace-and-revoke features. When malicious users clone and sell their decryption keys for profit, our scheme can trace the decryption keys to the malicious users and revoke them. Furthermore, our scheme avoids massive message exchanges for establishing the decryption key between the data owner and the user. Compared to previously proposed publickey traitor tracing schemes, our scheme can simultaneously achieve full collusion resistance, full recoverability, full revocation, and black-box traceability. The proof of security and analysis of performance show that our scheme is secure and efficient.     

Secure sharing of Personal Health Records in cloud computing: Ciphertext-Policy Attribute-Based Signcryption

The sharing of Personal Health Records (PHR) in cloud computing is a promising platform of health information exchange. However, the storage of personal medical and health information is usually outsourced to some third parties which may result in the exposure of patients’ privacy to unauthorized individuals or organizations. In order to address this security loophole, we suggest a promising solution. We propose a new approach for fine-grained access control and secure sharing of signcrypted (sign-then-encrypt) data. We call our new primitive Ciphertext-Policy Attribute-Based Signcryption (CP-ABSC) which satisfies the requirements of cloud computing scenarios for PHR. CP-ABSC combines the merits of digital signature and encryption to provide confidentiality, authenticity, unforgeability, anonymity and collusion resistance. The correctness, security and efficiency of this scheme are also proven.     

高效完全可验证外包解密属性基加密方案

属性基加密虽然能够很好地保护用户的数据安全,但是用户解密的计算代价随着访问结构的复杂性而线性增加。外包解密技术的提出使得用户只需要很少的开销就能够解密得到明文。然而,外包解密技术是将大量的解密操作交由云服务器来处理,而云服务器通常被认为是半可信的。因此,对云服务器部分解密得到的转换密文进行正确性验证是很有必要的。本文提出一种高效的完全可验证外包解密属性基加密方案,使得授权用户以及非授权用户都能够实现转换密文正确性的验证。      

DECENT: Secure and fine-grained data access control with policy updating for constrained IoT devices

The Internet of Things (IoT) is a novel paradigm where many of the objects that surround us can be connected to the internet. Since IoT is always related to user’s personal information, it raises lot of data security and privacy issues. In this paper, we present a secure and fine-grained data access control scheme for constrained IoT devices and cloud computing based on hierarchical attribute-based encryption, which reduces the key management by introducing hierarchical attribute authorities. In order to relieve local computation burden, we propose an outsourced encryption and decryption construction by delegating most of laborious operations to gateway and cloud server. Further, our scheme achieves efficient policy updating, which allows the sender device to update access policies without retrieving and re-encrypting the data. The security and performance analysis results show that our scheme is secure and efficient.