属性加密

摘要： 针对智慧健康背景下隐私保护和健康信息共享存在矛盾的问题,提出新的属性访问控制系统。首先,在不影响安全性的条件下对Nishide等的密文策略属性加密方案做出修改;然后,利用代理重加密技术对该方案进行功能扩展,得到新的加密方案。最后,基于该加密方案构造了新型属性访问控制系统。系统符合智慧健康的应用需求,允许患者利用用户属性灵活地定义访问控制策略,而且支持患者隐私保护与用户属性废除。安全性分析表明,新系统同时满足正确性、机密性和抗合谋攻击性质。

摘要： 可搜索加密技术可在不解密数据密文的同时实现密文关键字的检索,很好地保护了数据存储方的隐私。针对目前大多数可搜索加密方案无法支持用户自定义搜索策略的问题,提出了一种安全、高效、可支持任意表达的基于属性可搜索加密方案。该方案首先基于LSSS搜索结构,支持任意合取、析取或单调布尔表达式的多关键字搜索策略,用户使用私钥为LSSS搜索策略生成陷门,云服务器通过陷门可以搜索包含满足特定关键字搜索策略的密文;其次,通过与基于属性加密方案结合,可以实现对云中加密数据的细粒度访问控制;另外,该方案通过将关键字拆分成关键字名和关键字值以及“线性拆分”技术,使得攻击者无法从密文和陷门中推测出关键字值敏感信息;最后,通过将部分解密工作转移到云服务器来降低用户的计算负担。基于DBDH、(q-2)和判定线性假设证明了所提方案的安全性,理论分析和实验结果也表明了该方案的有效性。

摘要： 电子健康记录(EHR,Electronic Health Record)是医疗云环境下的典型应用,在云端共享此类数据有助于为患者提供远程医疗服务。然而,已有的同类系统较少同时考虑用户属性隐藏和用户属性废除这两个关键性问题。借鉴广播属性加密(B-ABE,Broadcast ABE)的思想,对Nishide等的属性加密方案进行扩展,得到支持属性隐藏的B-ABE方案。然后,基于该方案设计了在医疗云环境下共享EHR的属性访问控制系统。新系统能对用户的属性进行隐藏,增强了对患者的隐私保护。同时,患者能自主废除用户的访问权限,且无须对系统公开参数和其他用户的私钥执行更新。

摘要： 乱码(garbling)在安全多方计算、混淆、函数加密等领域有重要应用.本文对经典GKP+13可复用garbling方案进行效率分析,并提出一种简化方案.首先,本文指出,GKP+13可复用garbling方案不但尺寸庞大,而且其内部结构含有一个一次性的(即不可复用的)garbling.换句话说,GKP+13可复用garbling方案实际上是不可复用的方案.其次,本文给出一种简化方案,将底层的全同态加密部件从变动密钥简化为固定密钥,其安全性没有任何损失.

摘要： 代理重加密是在保证重加密授权者私钥安全的前提下进行密文转换的操作,实现了云中数据的动态共享。而在基于属性的代理重加密方案中,其代理方可以在不泄露明文数据的前提下,将访问策略下的密文经过重加密转换为不同的访问策略下的密文,完成密态数据的安全外包计算。现有的属性代理重加密方案只是实现了密文策略的更新变换,存在着实用性低,计算量大等缺点。为了满足用户权限的动态更新,以及传统属性加密体制中用户离线后不能向他人提供解密能力的问题,本文提出了一种云中可动态更新的属性基代理重加密方案。通过在系统公开参数中加入用户集合信息并利用属性撤销技术,分别实现了用户集合与属性集合的动态更新,以保证用户权限的动态更新,并且该方案满足单向性、非交互性、非传递性、非转移性和可验证性等特点。此外,利用离线加密技术将加密操作分成两步实现,大量的辅助计算在离线阶段进行,降低了用户客户端在线加密的计算开销。同时,受理者可以对代理重加密密文进行验证操作,避免数据遭受第三方破坏。安全性方面,在标准模型和判定性q阶双线性Diffie-Hellman假设下,证明了本方案具有选择明文攻击下的密文不可区分性且可抵抗同谋攻击。最后,通过效率分析发现,本方案的在线加密阶段计算量较小且用户的密钥和密文存储开销低,具有良好的实用性。

摘要： 云环境中属性加密算法可以有效实现数据云存储的细粒度访问控制,基于单授权机构的属性加密算法可能存在单点故障、密钥分发困难等问题,基于多授权机构的属性加密算法则存在通信开销大、授权机构不可信等问题。针对上述问题,文章提出一种基于区块链的属性加密多授权机构安全访问控制模型。首先,多个授权机构联合参与属性密钥生成和安全传输,避免了密钥关键信息的泄露;其次,通过共识机制和滑动窗口机制动态调节授权机构数量,防止单点故障,实现负载均衡。理论分析和实验数据表明,文章所提的方案能够有效保障数据安全,提高授权机构可信性、可靠性以及可审计性。

摘要： 区块链技术的去中心化、数据难篡改等特性使其在溯源问题上体现出明显优势,基于区块链的溯源系统可以解决传统系统中信息孤岛、共享程度低以及数据可篡改等问题,从而保证数据的可追溯性。然而,区块链溯源系统中的数据可追溯性与用户隐私保护之间难以取得平衡。提出一种结合群签名、隐私地址协议、零知识证明以及属性加密的分布式可监管隐私保护方案。对群签名的群管理员机制进行改进,设置多群管理员生成用户私钥片段,用户根据返回的私钥片段计算自身私钥,并根据需要有选择性地对溯源数据进行属性加密,同时为链上数据设置特定的访问结构,以实现数据与用户的“一对多”通信。群管理员利用群公钥对交易双方的身份进行追踪与追责。符合数据特定访问结构的用户通过自身的属性私钥对密文进行解密从而获取数据信息。实验结果表明,该方案能在保证数据可追溯并实现交易双方监管的同时,提高链上数据的隐私保护水平,与现有隐私保护方案相比安全性更高。

摘要： 为防止在数据共享的同时泄露医疗数据中的隐私信息,基于医疗数据的结构特征,提出一种属性加密和结构授权相结合的医疗数据保护方案。借助于云端和雾节点,基于属性加密算法实现细粒度的访问控制;采用提取主干结构树法去除结构冗余,结合访问策略和起止区间编码完成结构授权,两者的共同结合完成对数据的隐私保护。测试结果表明,该方案具有高安全、低存储的性能,适用于共享环境下医疗数据高等级安全保护。

摘要： 医疗数据的高价值和敏感性导致电子医疗数据共享面临访问控制、数据安全、有效监管、隐私泄露等问题,而传统的属性加密可以解决数据共享过程中一对多的访问控制问题,但仍存在效率低下、访问策略失效、泄露敏感信息等挑战。针对以上问题,首先提出了一种隐藏访问策略的属性加密与代理重加密相结合的方案,在防止访问策略泄露隐私的同时,实现了数据的高效动态共享;其次,针对集中式单点故障问题,数据共享过程中缺少监管、区块链存储负载过重的问题,将方案与区块链、智能合约和星际文件系统融合,实现了原始数据密文链下分布式存储与关键信息密文链上共享的低开销模式,建立了支持灵活数据监管,适用于去中心化的医疗数据共享场景的架构;最后,对所提方案进行了安全性证明和存储与计算成本、智能合约开销等性能分析。结果表明,该方案满足选择明文攻击下的安全性并能抵抗合谋攻击。在共享过程中增加了隐私保护和有效监督等功能的同时,效率优于现有的数据共享方案。

摘要： 与3G/4G相比,5G网络进行了许多创新与变革,其中最突出的是:更泛在的接入支持、更灵活的控制和转发机制、更友好的数据共享方式.然而,数据共享过程中的隐私保护问题日益突出.提出基于区块链分片技术的数字内容安全共享模型.利用区块链的可追溯、防篡改特点,确保数据共享过程中的安全性.利用区块链的分片技术和星际文件系统(interplanetary file system,IPFS)存储技术,在5G这种低时延、高并发的网络中,确保数据的访问效率.利用附带时间的基于密文策略属性加密技术,可以实现对数据的细粒度访问控制,能够实现较好的隐私保护.最后通过方案对比分析证明了所提模型的隐私性和可扩展性.

摘要： 为了保护云存储环境下用户数据的隐私,提出了一种基于属性加密(Ciphertext-Policy Attribute Based Encryption,CP-ABE)的用户隐私保护云存储方案(User Privacy-preserving Cloud Storage,UPCS方案).首先,数据所有者为不同的文件设置不同的访问权限属性,然后,可信第三方使用CP-ABE方案将访问属性嵌入到密文中,只有当用户的属性满足密文的访问属性,才能解密相应密文,最后,为了减少数据所有者和用户的计算时间开销,在索引生成和文件解密阶段,将部分操作授权给分布式代理服务器.安全性分析表明方案可以有效的保证用户数据和关键词的隐私.实验分析表明,本方案有效的减少了数据所有者和用户的计算时间开销.

摘要： 本文提出一种云数据机密性保护和访问控制方法,采用对称密码体制和密文策略的基于属性加密机制,对用户敏感数据提供安全保护,实现敏感数据的安全共享.

摘要： 基于素数阶双线性群,提出了一种去中心化的多机构基于属性加密方案,并在标准模型下基于n-BDHE假设证明了方案的安全性.首先构造出了一个含有单个中央机构和多个属性机构的基于属性加密系统,其中中央机构负责生成与用户全局唯一身份标识GID相关的随机值,并且不参与任何属性相关的操作.不同用户绑定的随机值不同,有效地抵抗了合谋攻击.每个属性机构负责互不相交的不同属性域并且相互独立,甚至不需要知道其他属性机构的存在.特别地,任何机构都不能独立解开密文.进一步,可以将该方案推广至多中央机构情形,中央机构之间亦相互独立,用户只需向其信任的任何一个中央机构注册即可,实现了真正意义上的"去中心化".方案中密文长度达到了固定值,与用户属性个数、访问策略属性个数都无关,同时解密运算只需要两个双线性对,在Charm架构下的仿真实验表明该方案具有非常高的效率.

摘要： 随着越来越多的敏感数据被共享和存储在第三方,因此需要加密数据存储,而属性加密实现了对于加密数据的安全、可伸缩、灵活的细粒度的访问控制.访问策略可以分为密钥-策略和密文-策略两类.密钥-策略中,访问结构和密钥相关联;密文-策略中,访问结构和密文相关联.而访问结构,又分为单调和非单调两类.本文是对属性加密方案的一个综述,首先介绍了属性加密在访问策略和访问结构上的发展情况,之后分别介绍了和属性加密相关的主要的研究点,如用户和属性的撤销、多机构、可追踪性等.最后,分析了属性加密未来可能的研究方向.

摘要： 随着气象业务水平的不断提高,气象数据的云存储和即时共享问题也日益突出.针对云计算环境下气象数据存储与共享面临的身份认证和访问控制问题,提出了一种基于多方授权的属性加密的访问控制模型.该模型采用一种适合云环境下大数据的属性加密方案,解决了气象部门用户多类性情况下的资料细粒度访问控制问题,同时引入全局ID概念和多方授权机制,解决了不同机构用户在气象部门各资料存储机构间的访问权限问题.系统具有较高的安全性和良好的实用价值.

摘要： 密文策略的属性加密是实现云平台上安全的访问控制方案的最佳选择.然而,在大多数密文策略的属性加密方案中,用户密钥长度与属性的个数之间成线性关系;用户的解密时间与访问结构的复杂度成正比关系.为了减少用户密钥的存储和解密计算开销,本文提出一种面向云计算平台的紧凑型的外包访问控制方案.方案中的访问结构可以支持"与"、"或"以及"门限"三种策略.它仅采用简单的哈希和异或运算就可以验证用户外包解密返回的数据是否正确.在随机预言机模型中,基于aMSE-DDH难题,证明了方案是选择密文攻击安全的.分析表明,本文方案能够安全的实现云计算环境下的访问控制,尤其当用户终端设备受限时实现的访问控制.

摘要： 由于违规外联以及移动存储介质拷贝等行为而引起的终端涉密信息泄漏问题越来越受到保密工作人员的关注,已成为当前保密工作中的重点和难点.对于如何防范涉密信息泄露行为,传统的做法多是基于IE浏览器的违规外联的检查或者通过检查系统路由表来实现违规外联的检测.本文针对传统做法中存在的安全性和正确性等存在的问题,并结合最先进的安全技术研究成果,提出了一种可靠的涉密计算机移动存储介质管理技术方案.该方案主要采用USB-KEY身份认证、中间层驱动、内核防护、属性加密等技术.针对上述方案,对涉密计算机移动存储介质管理技术进行了系统实现,并在此基础上,本文给出了该技术方案的有效性和安全性检测.实验表明该技术方案满足保密管理的要求,达到了涉密计算机防止涉密信息泄露的目标.

摘要： 基于密文策略的属性加密(Ciphertext-Policy Attribute-Based Encryp tion,CP-ABE)方案在属性撤销时,往往会直接发送密钥升级信息给用户,让用户升级解密密钥;数据拥有者(Data Owner,DO)需要重加密明文信息,导致用户和DO计算代价增加。本文提出一种方法，将解密密钥分为两部分，其中一部分存放在用户端,另一部分存储于代理者(例如云服务提供商),使得属性撤销操作不会对所有用户产生影响,并且由于代理者进行了部分解密工作,使得用户的解密计算量降低.分析证明该方案可以减小用户和DO的计算量和通信量,并且可抵抗选择明文攻击。

摘要： 本文分析了AMI网络结构和该结构下的安全问题.针对通信供应商提供的安全机制和DL/T698安全机制所存在的问题,采用属性基加密的方案解决高级量测体系中的会话密钥管理问题,能够有效解决AMI广播中需要多次加密的问题,并能保障AMI系统信息的私密性,对AMI系统建设有参考意义.

摘要： 本文分析了AMI网络结构和该结构下的安全问题.针对通信供应商提供的安全机制和DL/T698安全机制所存在的问题,采用属性基加密的方案解决高级量测体系中的会话密钥管理问题,能够有效解决AMI广播中需要多次加密的问题,并能保障AMI系统信息的私密性,对AMI系统建设有参考意义.

摘要： 本发明提供了雾计算中安全可撤销多中心大属性域属性基加密方法，属于加密领域，包括构建全局参数Param；以全局参数Param和权限机构θ索引为输入，得到公钥PKθ和私钥SKθ；给具有属性att∈U的用户GID产生私钥SKGID,att；在权限机构θ处以撤销列表RL为输入得到{KUθ,N}，在雾中为所有未撤销的具有属性T(att)＝θ的用户产生重加密密钥RKθ；将消息M、访问策略(A,δ)以及权限机构的密钥PKθ作为输入，得到密文C，并对密文C的有效性进行验证；在雾中对密文C进行计算，得到重加密密文C`，将得到的重加密密文保存在雾中。通过实现雾计算中灵活的细粒度访问控制，且支持大属性域以满足雾计算实际应用中的各种需求,实现了适用于雾计算中资源受限设备的密钥的高效撤销,具有抗选择密文攻击安全性。

摘要： 本发明涉及一种基于SM9的支持大属性的模糊标识基加密系统及方法，在不改变SM9标识加密算法整体架构的基础上，对用户的标识进行优化，使其可以用一些描述性属性来表示，利用秘密分享技术实现容错加密或者门限访问策略，利用Boneh和Boyen技术，消除了在系统参数设置时对属性公钥与私钥的计算。本发明能解决传统SM9标识加密无法实现的容错加密或门限访问问题，方案中如果去除T(X)还可以实现完全大属性的模糊标识基加密，具有很好的拓展性。

摘要： 本发明公开了一种支持属性撤销的密文策略基于属性加密方法，涉及加密技术领域，其技术方案要点是：授权机构对输入的安全参数和属性空间描述处理后，输出公钥和主密钥；对输入的公钥、主密钥、属性标识、用户标识、二叉树、属性集、撤销列表和版本信息处理后，输出用户私钥；对输入的公钥、明文和访问策略进行属性加密、时序加密处理后，输出密文；对输入的公钥、用户私钥、密文和版本信息解密处理后，输出明文；对输入的版本信息、用户标识和属性标识撤销处理后，输出撤销列表。本方案实现了细粒度的访问控制和密文前向、后向保密，即只有正确的时间版本下的正确用户所拥有的正确属性才可完成相应秘密数解密，保证了加密方案的安全性。

摘要： 本发明属于云计算和信息安全技术领域，公开了一种云存储中支持高效数据去重和属性撤销的属性加密方法，该方法在云服务器与数据拥有者之间引入属性权威，属性权威通过映射找到外包数据标签对应的特定素数，云服务器只需对该素数进行简单的除法运算即可判定出云中是否已存在相应的外包数据，解决了当前去重方案中重复数据搜索效率低下的问题；该方法要求私有云根据属性权威颁发的更新密钥完成密文更新，解决了当前去重方案无法撤销非授权用户的问题；此外，该方法支持密文外包解密功能，减少了用户的计算负担。

摘要： 本发明公开了一种用于云协助物联网的带搜索的多属性机构属性基加密方法，属于属性基加密领域，要解决的技术问题为如何提供一个轻量级解密、可搜索的属性基加密方案。其方法包括：系统初始化生成第一密钥对，属性机构初始化生成第二密钥对，云初始化生成第三密钥对；数据拥有者对称加密明文和对称密钥生成的第一密文、属性加密对称密钥种子生成第二密文、根据关键词生成索引集；中心机构为数据使用者生成身份密钥和搜索密钥；数据使用者生成外包解密密钥、授权解密密钥和陷门，发送到云存储中心进行搜索和半解密第二密文；数据使用者对半解密密文进行解密得到对称密钥种子后生成对称密钥，对称解密第一密文，得到明文数据。

摘要： 本发明是一种用于云协助物联网的带追踪的多属性机构属性基加密，属于属性基加密范畴，解决了如何实现安全、可外包解密、可追踪泄密的多属性机构属性基加密的问题。方法包括如下步骤：中心机构执行系统初始化，生成公共参数并公开；每个属性机构初始化，生成自己的的密钥对，并公开所述密钥对中公钥；数据拥有者对明文数据进行对称加密，然后基于隐藏的访问结构对对称密钥进行属性加密，并生成完整性验证值；数据使用者根据其拥有的属性向属性机构申请解密密钥；解密时，数据使用者首先恢复访问结构，并生成外包解密密钥发送到云存储中心进行半解密；云生成半解密密文返回给数据使用者；数据使用者根据解密私钥对半解密密文进行完全解密。

摘要： 一种支持策略隐藏和属性更新的密文策略属性加密方法，由系统初始化、生成用户密钥、加密、解密步骤组成。在加密步骤中，针对策略要求的属性选择特定的随机数与之对应，将所有选取的随机数求和后嵌入其他密文元组中，不暴露加密策略。在解密步骤中，用户不需要知道加密策略，其掌握的解密密钥中包含了自身属性对应的密钥元组，当用户属性满足策略要求时，利用自身的解密密钥进行正确解密。解决了现有方法不支持属性更新的技术问题，保证了在高效率的情况下，实现了同时支持策略隐藏和属性更新的密文策略属性基加密方法，能有效地保护消息的隐私性、策略信息的隐私性以及提升方案的可扩展性。本发明方法可用于访问控制技术领域。

摘要： 本发明公开了一种支持数值型属性比较访问策略的属性加密方法及系统，本发明包括：将访问策略中的数值型属性关系比较策略转换为数值范围表示，并计算数值范围的前缀最小集合；将数值型属性关系比较策略转换为前缀最小集合中元素的“OR”门限策略连接；计算数值型属性的前缀家族；将数值属性与‑数值型属性关系比较策略的匹配转换为判断前缀家族与前缀最小集合的交集是否为空，若不为空，则判定该数值属性满足访问控制策略，能够获得解密条件；否则判定不满足解密条件。本发明通过引入数值型属性比较表达策略，以及以统一的方式、灵活地实现比较关系表达策略与数值属性间的匹配问题，极大地提高了传统属性加密技术中访问策略的表达能力。

摘要： 本发明公开了一种大属性集下的基于SM9的属性加密方法及系统，涉及信息加密技术领域，包括密钥生成中心生成主公钥和主私钥；数据拥有者确定第一访问结构；属性权威根据第一访问结构生成第一属性集合；数据拥有者调用访问结构身份转换算法将第一属性集合转换成身份集合，并根据身份集合和主公钥对第一明文进行加密以生成第一密文；数据请求者获取当前阶段需解密的第二密文；密钥生成中心判断第二密文是否存在，若存在则根据数据请求者的用户身份以及在第二属性集合下的解密密钥和哈希值对第二密文进行解密。本发明在云环境下，保证一对多数据共享的灵活性、动态性和高效性。

摘要： 本发明的目的是提供一种云存储下身份可追踪和属性可撤销的基于属性加密方法，具体按照以下步骤实施：步骤1、系统建立；步骤2、管理器建立；步骤3、密钥生成；步骤4、加密；步骤5、解密；步骤6、密钥提纯检验；步骤7、追踪；步骤8、更新，本发明添加了用户属性撤销机制，可以有效地实现基于属性加密的细粒度控制，保证整个加密系统的安全性；对密钥和密文进行更新，可以抵抗用户之间的合谋攻击；本发明基于密码学上的q‑BDHE困难问题，可以选择明文攻击；并具有较高的计算效率；本发明中用户解密密文的花费是常数，本发明解决了现有技术中存在的背叛者追踪、用户合谋攻击的问题。