云环境中层次化的轻量级访问控制方案

属性基加密能够实现密文数据的细粒度访问控制,有效地解决云环境中的数据共享问题。针对计算能力受限设备难以高效地完成属性基加密过程中大量计算的问题,提出一种云环境中层次化的轻量级访问控制方案。该方案通过引入虚拟属性和双密钥将大部分耗时的加解密计算安全地转移至云服务器,并对访问结构进行优化。数据分享者对访问结构具有层次关系的多份数据只需加密一次,同时数据请求者可以根据其属性解密部分或全部密文。安全性分析和性能评估表明该方案能够实现云环境中高效和细粒度的密文数据访问控制,使得用户端计算开销显著降低,且在整个执行过程中不会造成数据泄露。     

基于雾节点的分布式属性基加密方案

为解决云存储中对用户访问数据权限划分笼统、细粒度化控制访问权限受限以及单授权机构中存在的单点失效问题,提出基于雾节点的分布式密文策略属性基加密方案。将数据的部分解密运算外包给雾节点,减少终端用户的计算开销,并由不同的属性授权机构为用户生成属性密钥,以适用于细粒度的访问控制要求,使用全局身份将属于特定用户的各种属性进行“捆绑”,防止各属性机构间的共谋攻击,同时引入权重属性简化访问结构,节省系统的存储空间。实验结果表明,基于判定性q-parallel BDHE问题证明了该方案的安全性,与基于区块链的多授权机构访问控制方案和mHealth中可追踪多授权机构基于属性的访问控制方案相比,该方案终端用户在解密阶段具有更小的计算开销。     

基于云雾计算的可追踪可撤销密文策略属性基加密方案

针对资源受限的边缘设备在属性基加密中存在的解密工作开销较大,以及缺乏有效的用户追踪与撤销的问题,提出了一种支持云雾计算的可追踪可撤销的密文策略属性基加密（CP-ABE）方案。首先,通过对雾节点的引入,使得密文存储、外包解密等工作能够放在距离用户更近的雾节点进行,这样既有效地保护了用户的隐私数据,又减少了用户的计算开销;其次,针对属性基加密系统中用户权限变更、用户有意或无意地泄露自己密钥等行为,加入了用户的追踪和撤销功能;最后,通过算法追踪到做出上述行为的恶意用户身份后,将该用户加入撤销列表,从而取消该用户访问权限。性能分析表明,所提方案用户端的解密开销降低至一次乘法运算和一次指数运算,能够为用户节省大量带宽与解密时间,且该方案支持恶意用户的追踪与撤销。因此所提方案适用于云雾环境下计算资源受限设备的数据共享。     

雾计算中支持计算外包的微型属性加密方案

密文策略属性加密为基于云存储的物联网系统提供了一对多的访问控制,然而现有方案中存在开销大、粒度粗等问题.基于此,结合雾计算技术提出了一种支持计算外包的微型属性加密方案.该方案缩短了密钥与密文的长度,减少了客户端的存储开销;将部分计算转载到雾节点,提高了加解密效率;具有更加丰富的策略表达能力,并且可以快速验证外包解密的正...     

雾计算中支持解密外包的可验证属性加密方案

基于密文策略的属性加密方案(CP-ABE)为云存储系统提供了安全、细粒度的访问控制，但由于加/解密算法中的双线性配对运算量较大，给用户端带来了沉重的负担。为了解决上述问题，提出了一种雾计算中支持解密外包的可验证属性加密方案。方案中以线性秘密共享方案构造访问矩阵，可以灵活表达多种形式的访问策略；将部分解密运算外包给雾节点，从而降低用户端运算负担；为增强外包雾节点的可信度，通过区块链交易对雾节点存取的密文进行正确性验证，并实现访问行为的不可否认性。通过安全性与实验分析表明，该方案可抵抗选择明文攻击，且具有较高的运行效率。     

基于隐藏访问策略属性基的能源互联网数据保护

能源互联网中不同安全域中实体的通信数据包含敏感信息,基于密文策略属性基加密CPABE方案可实现细粒度的保护,但传统CP-ABE解密复杂度高,属性撤销需要对整个密文进行全部更新,以及访问策略易泄露隐私信息,导致其在能源互联网中应用受限。围绕着能源互联网云存储数据共享安全,设计基于隐藏访问策略的能源互联网数据保护方案,访问策略支持任意门限或者布尔表达式,将访问策略中的属性模糊化以实现策略的隐藏,引入解密代理将高复杂度的属性基解密过程的主要部分外包到服务端,减少了接收端的解密开销,在属性撤销过程中仅需要属性认证中心和解密代理参与,降低了属性撤销的难度。实验对比分析结果表明,本文方案的解密性能有较大的提升。     

雾计算中支持计算外包的访问控制方案

在雾计算中,基于密文策略属性加密（Ciphertext-Policy Attribute-Based Encryption,CP-ABE）技术被广泛用于解决数据的细粒度访问控制问题,然而其中的加解密计算给资源有限的物联网设备带来沉重的负担。提出一种改进的支持计算外包的多授权CP-ABE访问控制方案,将部分加解密计算从物联网设备外包给临近的雾节点,在实现数据细粒度访问控制的同时减少物联网设备的计算开销,适用于实际的物联网应用场景。从理论和实验两方面对所提方案的效率与功能进行分析,分析结果表明所提方案具有较高的系统效率和实用价值。     

云存储中基于代理重加密的CP-ABE访问控制方案

针对云存储中基于密文策略的属性加密（CP-ABE）访问控制方案存在用户解密开销较大的问题,提出了一种基于代理重加密的CP-ABE （CP-ABE-BPRE）方案,并对密钥的生成方法进行了改进。此方案包含五个组成部分,分别是可信任密钥授权、数据属主、云服务提供商、代理解密服务器和数据访问者,其中云服务器对数据进行重加密,代理解密服务器完成大部分的解密计算。方案能够有效地降低用户的解密开销,在保证数据细粒度访问控制的同时还支持用户属性的直接撤销,并解决了传统CP-ABE方案中因用户私钥被非法盗取带来的数据泄露问题。与其他CP-ABE方案比较,此方案对访问云数据的用户在解密性能方面具有较好的优势。     

基于雾计算的智能医疗三方认证与密钥协商协议

在智能医疗中,将云计算技术与物联网技术结合,可有效解决大规模医疗数据的实时访问问题.然而,数据上传到远程云服务器,将带来额外的通信开销与传输时延.借助雾计算技术,以终端设备作为雾节点,辅助云服务器在本地完成数据存储与访问,能够实现数据访问的低延迟与高移动性.如何保障基于雾计算的智能医疗环境的安全性成为近期研究热点.面向基于雾计算的智能医疗场景,设计认证协议的挑战在于:一方面,医疗数据是高度敏感的隐私数据,与病人身体健康密切相关,若用户身份泄漏或者数据遭到非法篡改将导致严重后果;另一方面,用户设备和雾节点往往资源受限,认证协议在保护用户隐私的同时,需要实现用户、雾节点、云服务器之间的三方数据安全传输.对智能医疗领域两个具有代表性的认证方案进行安全分析,指出Hajian等人的协议无法抵抗验证表丢失攻击、拒绝服务攻击、仿冒攻击、设备捕获攻击、会话密钥泄漏攻击;指出Wu等人的协议无法抵抗离线口令猜测攻击、仿冒攻击.提出一个基于雾计算的智能医疗三方认证与密钥协商协议,采用随机预言机模型下安全归约、BAN逻辑证明和启发式分析,证明所提方案能实现双向认证与会话密钥协商,并且对已知攻击是安全的;与同类...     

工业互联网中增强安全的云存储数据访问控制方案

在工业互联网应用中,由于异构节点计算和存储能力的差异,通常采用云方案提供数据存储和数据访问服务.云存储中的访问控制如扩展多权限的云存储数据访问控制方案(NEDAC-MACS),是保证云存储中数据的安全和数据隐私的基石.给出了一种攻击方法来证明NEDAC_MACS中,被撤销的用户仍然可以解密NEDAC-MACS中的新密文;并提出了一种增强NEDAC-MACS安全性的方案,该方案可以抵抗云服务器和用户之间的合谋攻击;最后通过形式密码分析和性能分析表明,该方案能够抵抗未授权用户之间以及云服务器与用户之间的合谋攻击,保证前向安全性、后向安全性和数据保密性.     

Secure and efficient data collaboration with hierarchical attribute-based encryption in cloud computing

With the increasing trend of outsourcing data to the cloud for efficient data storage, secure data collaboration service including data read and write in cloud computing is urgently required. However, it introduces many new challenges toward data security. The key issue is how to afford secure write operation on ciphertext collaboratively, and the other issues include difficulty in key management and heavy computation overhead on user since cooperative users may read and write data using any device. In this paper, we propose a secure and efficient data collaboration scheme, in which fine-grained access control of ciphertext and secure data writing operation can be afforded based on attribute-based encryption (ABE) and attribute-based signature (ABS) respectively. In order to relieve the attribute authority from heavy key management burden, our scheme employs a full delegation mechanism based on hierarchical attribute-based encryption (HABE). Further, we also propose a partial decryption and signing construction by delegating most of the computation overhead on user to cloud service provider. The security and performance analysis show that our scheme is secure and efficient.     

高效完全可验证外包解密属性基加密方案

属性基加密虽然能够很好地保护用户的数据安全,但是用户解密的计算代价随着访问结构的复杂性而线性增加。外包解密技术的提出使得用户只需要很少的开销就能够解密得到明文。然而,外包解密技术是将大量的解密操作交由云服务器来处理,而云服务器通常被认为是半可信的。因此,对云服务器部分解密得到的转换密文进行正确性验证是很有必要的。本文提出一种高效的完全可验证外包解密属性基加密方案,使得授权用户以及非授权用户都能够实现转换密文正确性的验证。      

雾计算中支持外包与撤销的属性基加密方案

雾计算将云计算的计算能力、数据分析应用等扩展到网络边缘,可满足物联网设备的低时延、移动性等要求,但同时也存在数据安全和隐私保护问题。传统云计算中的属性基加密技术不适用于雾环境中计算资源有限的物联网设备,并且难以管理属性变更。为此,提出一种支持加解密外包和撤销的属性基加密方案,构建“云-雾-终端”的三层系统模型,通过引入属性组密钥的技术,实现动态密钥更新,满足雾计算中属性即时撤销的要求。在此基础上,将终端设备中部分复杂的加解密运算外包给雾节点,以提高计算效率。实验结果表明,与KeyGen、Enc等方案相比,该方案具有更优的计算高效性和可靠性。     

边缘计算中基于区块链的轻量级密文访问控制方案

密文策略属性基加密(ciphertext-policy attribute-based encryption, CP-ABE)技术可以在保证数据隐私性的同时提供细粒度访问控制.针对现有的基于CP-ABE的访问控制方案不能有效解决边缘计算环境中的关键数据安全问题,提出一种边缘计算环境中基于区块链的轻量级密文访问控制方案(blockchain-based lightweight access control scheme over ciphertext in edge computing, BLAC).在BLAC中,设计了一种基于椭圆曲线密码的轻量级CP-ABE算法,使用快速的椭圆曲线标量乘法实现算法加解密功能,并将大部分加解密操作安全地转移,使得计算能力受限的用户设备在边缘服务器的协助下能够高效地完成密文数据的细粒度访问控制;同时,设计了一种基于区块链的分布式密钥管理方法,通过区块链使得多个边缘服务器能够协同地为用户分发私钥.安全性分析和性能评估表明BLAC能够保障数据机密性,抵抗共谋攻击,支持前向安全性,具有较高的用户端计算效率,以及较低的服务器端解密开销和存储开销.     

支持访问策略隐藏和密钥追踪的轻量级医疗数据共享方案

在传统的密文策略属性基加密(Ciphertext-Policy Attribute-Based,CP-ABE)方案中,访问策略是显式存在的,这可能会泄露数据所有者的隐私,在医疗场景中会给数据所有者带来潜在的安全隐患,因此支持访问策略隐藏的方案被陆续提出.但是多数方案在实现解密测试的过程中需要生成冗余密文或密钥组件,增加...     

支持访问更新的可验证外包属性加密方案

为满足公共云存储加密数据安全可靠的访问需求，提出支持访问更新的可验证外包属性加密方案。以经典的KP-ABE方案为基础，通过巧妙的算法设计实现方案的外包解密和密文访问权限可更新功能，同时支持外包计算的可验证性，确保第三方服务器诚实可靠地执行算法过程。在标准模型下证明方案关于原始密文和更新密文均具有选择 IND-CPA 安全性，并具备弱主私钥安全性和外包计算的验证可靠性。与同类方案相比，实现了功能、安全性和效率的协同优化。     

云计算多授权中心CP-ABE代理重加密方案

代理重加密技术可使代理在不知道明文的条件下实现密文访问策略转换,这使代理重加密成为用户之间进行数据分享的重要技术。然而,代理重加密方案大多数是在单授权中心下构建的,存在授权机构权限大、易出现性能瓶颈和用户的计算开销大等问题。同时,大多数方案不满足代理重加密应具备的5个基本特性：单向性、可控性、非交互性、可重复性与可验证性。为解决以上问题,提出支持重复可控特性的云计算多授权中心CP-ABE（ciphertext-policy attribute-based encryption）代理重加密方案。在密文策略属性加密方案的基础上,引入代理加密和代理解密服务器从而减小用户客户端的计算开销,设置多个属性授权中心来分散中央机构权限。对代理重加密技术进行改进：在重加密密钥中设置随机因子和密文子项来实现单向性和可控性;设置的重加密密钥由客户端独立生成,不需要其他服务器参与,可实现非交互性,即可在数据拥有者为不在线状态时也可以进行数据分享;在初始密文中设置密文子项,对其多次加密即可实现重复性;在初始密文中设置验证子项,用户可验证外包以及重加密结果正确与否。通过与其他方案对比发现,所提方案的用户客户端计算开销较小,用户只需进行常数次的指数运算即可对原始密文解密,且安全性分析表明,所提方案基于q-parallel BDHE假设,在标准模型下可抵抗选择密文攻击。     

高效且可验证的多授权机构属性基加密方案

移动云计算对于移动应用程序来说是一种革命性的计算模式,其原理是把数据存储及计算能力从移动终端设备转移到资源丰富及计算能力强的云服务器.但是这种转移也引起了一些安全问题,例如,数据的安全存储、细粒度访问控制及用户的匿名性.虽然已有的多授权机构属性基加密云存储数据的访问控制方案,可以实现云存储数据的保密性及细粒度访问控制;但其在加密和解密阶段要花费很大的计算开销,不适合直接应用于电力资源有限的移动设备;另外,虽然可以通过外包解密的方式,减少解密计算的开销,但其通常是把解密外包给不完全可信的第三方,其并不能完全保证解密的正确性.针对以上挑战,本文提出了一种高效的可验证的多授权机构属性基加密方案,该方案不仅可以降低加密解密的计算开销,同时可以验证外包解密的正确性并且保护用户隐私.最后,安全分析和仿真实验表明了方案的安全性和高效性.     

基于密文策略属性加密的云存储访问控制方案

针对现有方案存在的访问策略公开、密文存储开销较大的问题,提出一种支持策略隐藏且固定长度密文的云存储访问控制方案,并在安全模型下证明方案可抵抗选择明文攻击。方案中用户私钥由多个授权机构共同生成,中央授权机构不参与生成任何主密钥与属性私钥;访问结构隐藏在密文之中,恶意用户无法通过访问结构获取敏感信息。此外,方案实现了固定密文长度,并且加密时的指数运算和解密时的双线性对运算次数均是固定值。最后,理论分析和实验结果表明该方案在密文长度和加解密时间上都明显优于对比方案。     

A secure fog-based platform for SCADA-based IoT critical infrastructure

The rapid proliferation of Internet of things (IoT) devices, such as smart meters and water valves, into industrial critical infrastructures and control systems has put stringent performance and scalability requirements on modern Supervisory Control and Data Acquisition (SCADA) systems. While cloud computing has enabled modern SCADA systems to cope with the increasing amount of data generated by sensors, actuators, and control devices, there has been a growing interest recently to deploy edge data centers in fog architectures to secure low-latency and enhanced security for mission-critical data. However, fog security and privacy for SCADA-based IoT critical infrastructures remains an under-researched area. To address this challenge, this contribution proposes a novel security “toolbox” to reinforce the integrity, security, and privacy of SCADA-based IoT critical infrastructure at the fog layer. The toolbox incorporates a key feature: a cryptographic-based access approach to the cloud services using identity-based cryptography and signature schemes at the fog layer. We present the implementation details of a prototype for our proposed secure fog-based platform and provide performance evaluation results to demonstrate the appropriateness of the proposed platform in a real-world scenario. These results can pave the way toward the development of a more secure and trusted SCADA-based IoT critical infrastructure, which is essential to counter cyber threats against next-generation critical infrastructure and industrial control systems. The results from the experiments demonstrate a superior performance of the secure fog-based platform, which is around 2.8 seconds when adding five virtual machines (VMs), 3.2 seconds when adding 10 VMs, and 112 seconds when adding 1000 VMs, compared to the multilevel user access control platform.