适用于云存储的并行无证书代理重加密方案

为了保证云存储中数据的安全访问控制,并基于CPU已进入多核阶段的现状,将并行计算思想用于代理重加密算法中,提出了一个并行代理重加密方案(PCL-PRE).数据拥有者使用对称加密密钥(DEK)加密敏感数据,同时使用代理重加密算法加密该DEK,将这些加密内容存储于云存储中心.云存储中心作为半可信的代理节点,根据访问控制列表,将数据拥有者的DEK进行代理加密,转化为多个接收者可以用自己私钥解密的密文,而在整个过程中都无法获取任何明文信息.接收者收到密文后,即可解密.该方案使用随机数复用技术,对消息进行优化并行,并结合密文聚合,进一步提高了传输效率.实验表明,并行代理重加密方案具有明显的效率优势.     

一种安全的云存储数据确定性删除方法

为解决云存储中的过期数据导致敏感信息泄漏的问题,提出了一种安全的数据确定性删除方法.该方法首先对文件F进行AON(All or Nothing)加密,将数据密文CF存储到云中,而将数据密文的存根C0与AON密钥参数一起进行广播加密,并将广播密文通过秘密共享算法分布式存储到DHT(Distributed Hash Table)网络中.DHT网络的动态更新将定期删除其中的广播密文,实现了AON密钥参数和存根C0的自动清除.在安全性方面,AON加密和广播加密使该方法能抵抗针对DHT网络中密钥信息的跳跃和嗅探攻击,以及针对数据密文CF的暴力攻击.     

一种低代价的云计算存储权限管理机制

以密文策略的属性加密体制(CP-ABE)的密文访问控制方案作为理论背景,设计出一种基于动态重加密的云存储权限撤销优化机制(DR-PRO).该机制利用(k,n)门限方案,将数据信息划分成若干块,动态地选取某一数据信息块实现重加密,依次通过数据划分、重构、传输、提取以及权限撤销等子算法完成用户访问权限撤销过程.理论分析与模拟实验表明,在保证云存储服务用户数据高安全性的前提下,DR-PRO机制有效降低了用户访问权限撤销的计算与带宽代价,其性能效率得到了进一步优化与提高.     

一种基于多特征融合的加密图像检索技术

随着云计算技术的快速发展,越来越多的用户倾向于外包海量图像数据到云端服务器进行存储和相关处理。为了保护数据隐私,往往在上传数据之前进行加密操作,但却限制了图像的进一步处理,比如图像检索。为此,该文提出一种基于Paillier加密算法和可逆信息隐藏技术的密文域图像检索方法。该方法利用Paillier同态加密算法对图像进行加密,在密文域计算加密后图像的差分直方图来描述图像的纹理特征。为了提高检索精度,采用图像累积直方图来表征图像的颜色特征,并利用可逆信息隐藏技术将该特征嵌入加密后的图像,以实现特征免独立存储。当接收到用户查询请求,云端服务器通过计算纹理和颜色特征距离来度量密文查询图像与密文图像库图像的相似度,最后将相似度高的密文图像返回给用户。     

基于动态重加密的云计算存储平台权限撤销优化机制

针对云存储服务中用户访问权限撤销计算与带宽代价过大、复杂度过高等问题。以密文策略的属性加密体制(CP-ABE)的密文访问控制方案作为理论背景,设计出一种基于动态重加密的云存储权限撤销优化机制,即DR-PRO。该机制利用(k,n)门限方案,将数据信息划分成若干块,动态地选取某一数据信息块实现重加密,依次通过数据划分、重构、传输、提取以及权限撤销等子算法完成用户访问权限撤销实现过程。通过理论分析与模拟实验评估表明,在保证云存储服务用户数据高安全性的前提下,DR-PRO机制有效降低了用户访问权限撤销的计算与带宽代价,其性能效率得到了进一步优化与提高。     

数据库密文检索技术的设计与实现

在归纳现有的数据库密文检索技术的基础上,利用高效的对称密码技术和Hash技术提出了一种数据库加密以及密文检索方案,并进行了实现.经过实验证明,该方案可以很好的保证数据库的机密性,而且能够在不对数据库解密的基础之上实现高效的密文数据检索,另外,基于已经实现的密文检索技术,还实现了对密文数据库的其他操作,包括插入数据、更新数据以及删除数据.     

基于全同态加密与对称加密融合的批处理方案

现有的全同态加密方案都具有很大的密文膨胀问题,该问题是制约实际应用的重要瓶颈.为了提高传输效率,Naehrig等提出了混合加密的想法,即用户使用密钥为k的对称算法E加密明文m,再使用公钥为pk的全同态方案加密密钥k,将缩小尺寸后的密文c′=(HEpk(k),Ek(m))发送给云端,云端可以同态运算解密电路CE-1解压出同态密文HEpk(m).本文将全同态加密与对称加密融合方案推广到批处理形式,利用中国剩余定理将l个密文Ek(m0),…,Ek(ml-1)打包进一个密文C中,将C′=(HEpk(k),C)发送给云端.云端利用C′,只需要同态运算CE-1一次就可以恢复出全部的HEpk(mi),这个过程在原方案中需要进行l次.通过这种方式,极大地缩短了原本需要耗费大量计算的同态运算解密电路过程.文中以批处理GSW13全同态加密与FLIP流密码融合方案为例详细说明了这一过程.与原方案相比,对于安全参数为λ的FLIP流密码方案,批处理方案可以将这个过程的计算复杂性从O~(λ3)缩小到O~(λ2).     

基于全同态加密与对称加密融合的批处理研究（英文）

现有的全同态加密方案都具有很大的密文膨胀问题,该问题是制约实际应用的重要瓶颈.为了提高传输效率,Naehrig等提出了混合加密的想法,即用户使用密钥为k的对称算法E加密明文m,再使用公钥为pk的全同态方案加密密钥k,将缩小尺寸后的密文c′=(HE_(pk)(k),E_k(m))发送给云端,云端可以同态运算解密电路C_E~(-1)解压出同态密文HE_(pk)(m).本文将全同态加密与对称加密融合方案推广到批处理形式,利用中国剩余定理将l个密文E_k(m_0),…,E_k(m_(l-1))打包进一个密文C中,将C′=(HE_(pk)(k),C)发送给云端.云端利用C′,只需要同态运算C_E~(-1)一次就可以恢复出全部的HE_(pk)(m_i),这个过程在原方案中需要进行l次.通过这种方式,极大地缩短了原本需要耗费大量计算的同态运算解密电路过程.文中以批处理GSW13全同态加密与FLIP流密码融合方案为例详细说明了这一过程.与原方案相比,对于安全参数为λ的FLIP流密码方案,批处理方案可以将这个过程的计算复杂性从■缩小到■     

基于CP-ABE的云存储数据访问控制方案

结合云存储的应用环境,构造了一种基于密文策略属性的加密(ciphertext policy attribute based encryption,CP-ABE)技术和收敛加密技术的混合加密数据访问控制方案.该方案包括密钥发布中心、用户和云服务器三方实体,能高效、灵活、细粒度地进行数据的访问控制,可提高云存储服务器的空间利用率,并使用签名技术支持数据源认证和数据完整性认证.理论分析与实验验证了该方案具有较高的实际应用价值.     

一种基于异或运算的属性撤销CP-ABE方案

针对属性撤销CP-ABE方案中密钥更新时属性授权机构与用户之间的通信开销过大及密文更新时云存储中心的计算复杂度过高的问题,本文提出一种基于异或运算的、支持属性级撤销的密文策略属性基加密方案. 在该方案中,属性授权机构先将需要撤销的属性名称、被撤销用户的标识及新的时间参数发送给云存储中心,然后云存储中心根据用户标识和新的时间参数的异或结果与密文的一部分进行异或运算,得到新密文.收到新密文后,正常用户可以利用自己的密钥解密得到原密文,进而得到明文,而被撤销用户则只能使用已撤销属性的新密钥才能解密得到原密文,从而实现属性级撤销. 理论分析和数值模拟表明,在保证系统安全性的前提下,该方案能够减少属性授权机构与用户间的通信开销,降低云存储中心的计算复杂度.     

An Improved Ciphertext Retrieval Scheme Based on Fully Homomorphic Encryption

In order to guarantee the user's privacy and the integrity of data when retrieving ciphertext in an untrusted cloud environment, an improved ciphertext retrieval scheme was proposed based on full homomorphic encryption. This scheme can encrypt two bits one time and improve the efficiency of retrieval. Moreover, it has small key space and reduces the storage space. Meanwhile, the homomorphic property of this scheme was proved in detail. The experimental results and comparisons show that the proposed scheme is characterized by increased security, high efficiency and low cost.     

基于以太坊的格上属性基可搜索加密方案

提出了一种基于以太坊的安全、灵活、高效的格上属性基可搜索加密方案.方案基于格密码体制提出,解决了传统基于双线性配对技术的属性基可搜索加密方案存在的不可抗量子攻击安全问题.方案使用基于以太坊技术的分散存储方法解决了传统云存储系统中单点故障问题,并且方案中数据拥有者代替私钥生成器为用户生成私钥,这避免传统方案由于密钥托管问题造成的密钥滥用以及隐私泄露.采用以太坊的智能合约解决了以往属性基可搜索加密方案中云服务提供商不可信情况下关键字搜索结果的可靠性问题.与传统属性基可搜索加密方案相比,方案不仅可实现对加密关键字的细粒度检索,并且可抵抗量子攻击,增强了方案的安全性.在容错学习问题(learning with errors,LWE)假设下,证明了方案的安全性.     

支持多用户的高效前向安全可搜索加密方案

大多数已有的前向安全可搜索加密方案主要针对单用户环境,本地存储的关键词状态使得这些方案无法有效拓展到多用户环境;同时支持多用户检索的前向安全方案较少,且需要增设可信的代理服务器,带来了额外的开销,实用性不足。针对目前缺乏实用的多用户前向安全可搜索加密方案的问题,基于一个双链索引结构,设计了满足前向安全和支持多用户检索且无需增设代理服务器的可搜索加密方案(EMFS)。该方案中,双层索引结构由主链索引和侧链索引组成,其中主链索引由陷门单向函数和全局状态生成,不依赖于各个关键词的单独状态,从而避免了关键词状态在多用户间的同步问题;侧链索引采用流密码的方式生成,提高了搜索效率。并将EMFS方案与3个现有的单用户前向安全方案(Sophos、FAST、BESTIE)进行对比实验,实验结果表明EMFS方案有良好的拓展性和实用性:(1)EMFS方案以合理的搜索性能代价实现了支持多用户检索的拓展;(2)EMFS方案尤其适合匹配文件数较大的数据集;(3)EMFS方案具有客户端存储开销小的优势。     

基于IBE算法的无线传感器网络加密方法研究

由于无线传感器网络在电源、计算能力、内存容量和易受攻击等方面的局限性,传统的网络密钥分配和管理方法已不适用.目前人们提出了随机分配等基于对称密钥系统的加密方法.文中试图探讨基于非对称密钥系统的方法.从身份标识的密钥体系IBE(Identity-Based Encryption)出发,给出了一种适用于无线传感器网络的密钥分配和管理方法.首先简要介绍基于身份标识的密钥体系,特别是Boneh-Franklin算法,然后给出密钥分配和加密方法,并从算法的复杂性、安全性、健壮性和内存需求等方面,与随机算法、RAS算法等进行分析比较,应用仿真平台TinyOS的实验结果表明了文中推出方法的可行性和有效性,显示了良好的综合性能,为无线传感器网络的加密提供了新的手段.     

基于RSA的广播加密方案

为提高广播加密系统的实用性和效率,通过采用不同模余下的授权用户成员的群密钥分发策略,构造了一个新的基于RSA加密方案的广播加密方案,可以进行安全的群密钥分发,并能够有效地实现无需密钥更新的新成员的动态加入.该方案减少了通信传输带宽以及用户的密钥存储量(仅需一个群元素),并且其加解密的计算代价与RSA加密方案相当.分析了该方案的效率,并在RSA假设下证明了该方案在任意用户的合谋攻击下的安全性.     

一种面向密文大型数据集的可搜索加密方案

为解决可搜索加密方案中由于安全索引过大而导致的关键词搜索时间复杂度过高这一问题,结合云存储应用环境,提出了一种面向密文大型数据集的可搜索加密方案.针对云存储环境中数据集过大的用户,使用块状存储结构优化安全索引的数据结构,将安全索引按照分块参数分为Small,Medium,Large三类.在关键词搜索过程中采用间接寻址的方式,使得在安全索引过大的情况下,仍然能保持良好的搜索时间复杂度,达到用户可接受的范围.实验结果表明,随着安全索引的增大,关键词搜索时间达到了亚线性.     

面向医疗数据安全存储的增强混合加密方法

现实生活中病人的电子病历通常由就诊医院统一管理,其电子病历数据也都由医疗电子病历系统集中存储.这种集中式存储方式,在跨医院进行信息共享时会让病人的隐私信息存在泄露的风险.文中从信息安全中的关键技术—数字加密技术入手,分析了经典的对称加密算法（data encryption standard,DES）和非对称加密算法（Rivest-Shamir-Adleman,RSA）,提出了面向医疗数据安全存储增强的混合加密方法.提出改进算法IBDES通过双重加密增强安全强度;提出改进算法EPNRSA在降低RSA加密时间复杂度的同时还保证了加密的安全质量;形成基于IBDES和EPNRSA的医疗数据增强混合加密方法.通过理论分析和仿真实验表明,该方法具有加解密效果好、执行速度快以及安全性高等优点,是面向医疗数据安全存储的一种理想方案.      

面向多用户的多层嵌套数据库加密方案

围绕外包数据的安全性问题与用户隐私性问题,展开对加密数据库方案的研究,提出了一个面向多用户的多层嵌套数据库加密方案.该方案根据洋葱模型多层理论,采用多种不同类型的加密算法对用户的外包数据进行多层嵌套加密,实现了既保证数据机密性又满足多种不同SQL查询类型的数据库加密方案.针对用户递交包含敏感信息的查询语句在一定程度上泄露用户自身的隐私这一问题,设计了基于单服务器私有信息检索(private information retrieval,PIR)技术的用户隐私保护机制,实现了用户匿名查询.安全性分析表明,该方案满足数据机密性与用户隐私性.Sysbench基准测试实验分析表明,该方案具有良好的查询处理效率、读写吞吐量以及健壮性.     

云存储安全关键技术分析

随着云计算的流行,云存储也得到了广泛的关注和支持。但云存储自身的数据安全问题阻碍其推广应用,云存储的安全问题也不仅仅是传统安全能够完全解决的,这其中涉及到一些新的关键技术和管理技术。本文主要对云存储安全中的数据加密存储与检索、密文访问控制等关键技术进行了分析。     

基于区块链的电子病历共享与可验证方案

为解决传统电子病历存储方案共享难、数据易篡改和隐私泄露问题,为此构建一种基于区块链的电子病历可搜索加密存储、高效共享与可验证方案。通过使用简洁非交互零知识证明(zero-knowledge succinct non-interactive arguments of knowledge, zk-SNARKs)构建用户身份认证系统,提高用户身份的隐私性,匿名性。通过提出基于改进Merkle树的格可搜索加密方案,实现电子病历的可搜索加密与验证方案;并在此基础上通过智能合约构造搜索方案的双重验证。通过将相应的加密数据外包到星际文件系统(interplanetary file system, IPFS)以降低存储成本。通过实验对加密算法性能、智能合约时间和花费开销、链下存储性能进行仿真测试。验证了该系统能够满足电子病历系统应用需求,并提高了数据完整性、搜索效率性和身份保密性。