云计算环境中数据分布式强制访问控制算法研究

在云计算环境中,用户把敏感数据外包在云端,所以数据强制访问控制成为目前云计算研究中亟需解决的问题。当前常用的解决算法是加密数据密钥,但这种算法因密钥分发及数据管理导致计算开销大。因此,提出一种新的云计算环境中数据分布式强制访问控制算法,介绍了云计算环境中数据访问流程,分析基于密文策略和属性的加密算法,利用属性集合对云计算环境中的用户身份进行描述,通过访问控制树表示数据分布式强制访问控制结构,在用户属性集符合既定访问控制结构的情况下,用户才能够完成对数据的解密。通过属性私钥申请、文件上传和文件下载三个过程实现数据分布式强制访问控制。实验结果表明,所提算法在效率、安全性、内存消耗和控制精度四个方面均显示出了很大的优势。     

云计算环境中数据分布式强制访问控制算法

在云计算环境中,用户把敏感数据外包在云端,所以数据强制访问控制成为目前云计算研究中亟需解决的问题。当前常用的解决算法是加密数据密钥;但这种算法因密钥分发及数据管理导致计算开销大。因此,提出一种新的云计算环境中数据分布式强制访问控制算法。介绍了云计算环境中数据访问流程,分析基于密文策略和属性的加密算法。利用属性集合对云计算环境中的用户身份进行描述,通过访问控制树表示数据分布式强制访问控制结构,在用户属性集符合既定访问控制结构的情况下,用户才能够完成对数据的解密。通过属性私钥申请、文件上传和文件下载三个过程,实现数据分布式强制访问控制。实验结果表明,所提算法在效率、安全性、内存消耗和控制精度四个方面均显示出了很大的优势。     

基于MA-ABE的云存储访问控制方法

针对于跨域云数据访问控制中的安全性和有效性问题,提出了一种基于树访问结构的多授权机构属性加密(Attribute-Based Encryption,ABE)的跨域数据访问控制方法.通过建立分散授权模型,将属性私钥的生成与中央认证机构(Central Authority,CA)分离,由数据属主(Data Owner,DO)和授权机构分别生成并分发属性私钥组件.利用基于访问结构树的控制策略,有效预防了用户之间以及用户和授权机构之间的联合攻击.此外,用户密钥计算无需使用全球唯一标识(Global Identity,GID),支持匿名用户跨域数据访问.最后,利用双线性判定Diffie-Hellman(Decision Bilinear Diffie-Hellman,DBDH)假设理论分析了方案的安全性.研究结果表明,本方案在解密操作和加解密平均时间上具有较高的性能,能够有效地应用于多授权机构并存的云存储环境.     

基于UCON改进模型在云环境虚拟访问控制中的应用研究

传统访问控制方法授权都是在访问前进行的,无法处理访问过程中的新授权需求,不适于云环境虚拟网络。为此,将UCON改进模型应用于云环境虚拟访问控制中。构建原始UCON模型,针对UCON模型的弊端,从文件存储和授权方面对UCON模型进行改进。针对文件存储方面,选用GFS模式对服务器端文件进行存储,通过空间变换形式增强隐私文件的安全性;针对授权方面,将用户信任程度看作授权条件,采用客观与主观相结合的信任衡量策略,依据推荐信任与用户信誉实现信任度计算,只有信任度满足授权条件的用户可得到访问权限,为云计算虚拟访问控制添加一道符合其特点的屏障,实现UCON模型改进。将UCON改进模型应用于云环境虚拟网络,实现访问控制。实验结果表明,所提方法能够有效实现文档访问控制、图像访问控制,存取性能高。     

云存储环境下基于CP-ASBE数据加密机制

针对基于属性集合加密机制依赖一个授权中心进行密钥计算,容易成为系统安全瓶颈问题,提出基于多个属性授权机构的属性集合加密机制,提高密钥的安全性.授权中心由多个属性授权机构(attribute authority,AA)构成,每个AA负责管理部分属性集合,完整的密钥计算需要多个AA的参与,提高攻击难度.将该机制应用于云环境,对文件加密、密钥计算及文件解密进行分析,设计云存储环境下行之有效的数据加密机制,并对该机制的安全性及时间开销进行分析,实验表明该方法是可行的.     

支持撤销的多授权中心访问控制方案

为了缓解单授权中心的计算压力,近些年提出了多授权中心的访问控制方案.这些方案对于用户及属性的撤销问题并没有有效地解决.本文提出了一种基于CP-ABE的支持用户和属性撤销的多授权中心访问控制方案.通过引入密钥加密密钥（key encryption key,KEK）树实现用户和属性层级的撤销,同时将计算压力分散给多个授权中心,并将部分解密交给云服务器,减少了用户的计算消耗.通过安全性证明和实验结果表明,方案可以抵御合谋攻击,同时有效地降低撤销过程中密文和密钥更新的消耗时间.￣      

基于UCON改进模型在云环境虚拟访问控制中的应用

传统访问控制方法授权都是在访问前进行的,无法处理访问过程中的新授权需求,不适于云环境虚拟网络。为此,将UCON改进模型应用于云环境虚拟访问控制中。构建原始UCON模型,针对UCON模型的弊端,从文件存储和授权方面对UCON模型进行改进。针对文件存储方面,选用GFS模式对服务器端文件进行存储,通过空间变换形式增强隐私文件的安全性;针对授权方面,将用户信任程度看作授权条件,采用客观与主观相结合的信任衡量策略,依据推荐信任与用户信誉实现信任度计算,只有信任度满足授权条件的用户可得到访问权限,为云计算虚拟访问控制添加一道符合其特点的屏障,实现UCON模型改进。将UCON改进模型应用于云环境虚拟网络,实现访问控制。实验结果表明,所提方法能够有效实现文档访问控制、图像访问控制,存取性能高。     

云计算环境中的组合文档模型及其访问控制方案

针对云计算环境缺乏有效的组合文档模型及其元素分级安全保护的现状,结合多级安全思想和基于身份的加密(IBE)算法,提出了一种新的组合文档模型(ComDoc)及其访问控制方案(ICDAC)。ComDoc包含组合文档的密文部分和密钥映射部分:前者保存具有安全等级的文档元素的密文;后者保存由IBE加密的密钥映射记录密文。ICDAC依据授权用户的身份信息,利用IBE解密对应的记录后获得映射对,提取访问权限并解密授权的文档元素密文,实现组合文档元素分级安全保护的细粒度访问控制。实验结果表明:ComDoc满足云计算环境中组合文档的特征以及安全需求;在加密相同组合文档的前提下,ICDAC的密钥数量和计算开销明显优于已有方案。     

基于谓词的Paillier型密文解密外包方案

近年来,随着云技术的快速发展,越来越多的用户开始将复杂的计算资源外包给"云端",然而,云环境下如何对数据进行访问控制却成为制约其发展的瓶颈.基于谓词的加密(predicate encryption,PE)方法计算更加复杂和灵活,从而能实现对密文解密权限的访问控制,因而备受关注.在Paillier方案基础上,借鉴Green等人提出的密文解密外包思想,构造了基于谓词的Paillier型密文解密外包方案.同时,解密过程被部分外包到"云端"进行,减小了用户开销.该方案支持同态操作,并且在子群判定问题困难假设下达到IND-AH-CPA(INDistinguishability-attribute hiding-chosen plain attack)安全.     

一种基于角色和属性的云计算数据访问控制模型

云计算具有开放性、共享性和弹性等特点,这使得传统的访问控制模型不再适应云计算中大规模用户对海量数据灵活动态的访问控制。针对这一不足,该文从云计算实体的属性角度出发,提出一种基于角色和属性的云计算数据访问控制模型,该模型在基于角色的访问控制模型基础上为相关实体引入了属性元素,用户能够通过自身和所在租户的属性及当前的状态分配角色,从而访问不同属性的数据;对该模型进行了详细的设计,阐述了工作流程,并做了安全性证明和综合分析。结果表明:该模型能够在云计算环境下,为用户访问数据提供动态、安全、细粒度的访问控制保障。     

选择性隐藏访问结构的OO-CP-ABE

密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)是目前最适合用于云中的加密方案之一,CP-ABE具有灵活的访问结构,但是在CP-ABE中访问结构可能泄露风险信息,现有的CP-ABE方案,要么完全公开访问结构,要么将其完全隐藏,这将导致策略保密性差或方案加解密计算量大。本文提出选择性隐藏访问结构OO-CPABE,该方案利用属性之间的互信息筛选出访问结构中的部分属性,此部分属性包含原始属性集中的绝大部分或者全部信息量,并隐藏这部分属性。此选择性隐藏与完全隐藏有相同的策略隐藏效果,能有效地降低加解密计算量。与公开访问结构的方案相比,能提高策略的安全性。此外,本文还用在线/离线加密和部分解密减少加解密阶段的计算量。     

混合云模式下数据安全存储方案

针对混合云模式下数据安全存储与共享使用的问题,提出一种适用于混合云模式下的高效数据安全共享方案,该方案采用密文策略的属性基加密机制加密数据,通过私有云将密文数据存储在公有云上;移动用户访问云数据时,采用匿名密钥协商技术和委托加解密方法,保证用户对数据的快速访问.实验结果表明,本方案能够保证公有云上数据的安全存储,支持细粒度的访问控制,同时将大部分解密计算委托给私有云,减少移动云用户访问云数据的处理时间,使得其加解密时间为恒定值,不会随着属性的增多而线性增长.      

An Inner Product Encryption Scheme Based on Dual Systems

The inner product encryption scheme can achieve fine-grained access control on ciphertext. For the problem that the existing inner product encryption scheme has poor security and low decryption efficiency, this paper proposes an inner product encryption scheme with adaptive security based on the dual system encryption method. The scheme is based on bilinear mapping on prime order groups. In the secret key generation algorithm of the scheme, we propose a sharing technique of random vectors and generate a secret key for each component of the attribute vector. And an encryption algorithm with a constant size ciphertext is designed. Under the k-Lin assumption, the method of the experimental sequence is used to prove that the scheme is adaptively secure. The decryption algorithm of the scheme requires only six bilinear pairs. Compared with the existing schemes, the decryption efficiency has been greatly improved.     

网络第三方服务器中用户信息的细粒度访问控制方法

针对传统访问控制方法存在的访问控制粒度粗、访问效率低、实用性差的问题,提出一种新的网络第三方服务器中用户信息的细粒度访问控制方法。分析了整体方案设计过程,以分组与联系度两个属性为例对细粒度进行刻画。通过初始化阶段、加密阶段、密钥生成阶段、解密阶段和传输阶段实现属性基加密。在非分组成员向用户信息发出访问请求时,网络第三方服务器通过当前关系图,依据Dijkstra法确定成员的信任距离,如果该信任距离能够达到既定阈值,则网络第三方服务器向密钥生成中心提供参数以实现密钥解密,从而实现用户信息的细粒度访问控制。实验结果表明,所提方法效率高、访问控制能力和实用性强。     

可验证外包数据访问控制方案的分析与改进

在双系统模型中,基于密钥封装机制,提出一个可验证的外包加密、解密方案。将计算量大的运算外包给加密服务提供者(ESP)和解密服务提供商(DSP),减少本地用户的计算量。同时引入防陷害功能;即若DSP返回正确结果,用户不能恶意指责DSP返回的结果为不正确;这可以有效解决用户和外包计算服务提供商之间的争议,服务提供者也将不会恶意给出错误的结果。提出的外包密钥生成算法,使得用户只进行一次指数运算,提高了转换密钥的生成效率。与同类的方案相比,本方案实现了细粒度的访问控制,增加了方案在实际应用中的可行性。     

用于无线自组织网络的属性加密算法

针对在无线自组织(ad hoc)网络中难以高效地加密和传输敏感消息的问题,提出了一种基于属性的无线自组织网络加密算法.该算法的阈值访问策略使得只有属性超过一定阈值的用户才能够解密消息,从而实现了群组加密;利用离散傅里叶变换分割密钥,使得密钥的分享值可以通过公开信道发布给用户;利用离散傅里叶逆变换还原密钥,使得解密过程具有一定的容错性且降低了解密的时间复杂度.实验结果表明,该算法不仅能有效降低无线自组织网络节点的能耗,而且使用该算法传输消息时延很小,适合在无线自组织网络中使用.     

在线/离线非单调CP-ABE方案构造

提出了支持非单调访问结构的在线/离线的CP-ABE方案。在离线加密阶段,完成了密文的主要构成部分的计算;在线加密阶段,将正属性集合上的非单调访问控制结构转变成由正、负属性集合上的基于线性秘密共享方案的单调访问控制结构,利用少量的加法和乘法操作生成密文的其余构成部分。在n-(B)假设成立条件下,证明了该方案具有选择性安全性。与原来的非单调CP-ABE方案相比,该方案系统参数和私钥规模保持不变,加密的总体计算复杂度仅有少量增加,但在线加密阶段的计算复杂度较小,可与解密外包服务相结合,使得该方案的离线加密和解密阶段都可在资源受限的小型设备上完成。     

基于IBE算法的无线传感器网络加密方法研究

由于无线传感器网络在电源、计算能力、内存容量和易受攻击等方面的局限性,传统的网络密钥分配和管理方法已不适用.目前人们提出了随机分配等基于对称密钥系统的加密方法.文中试图探讨基于非对称密钥系统的方法.从身份标识的密钥体系IBE(Identity-Based Encryption)出发,给出了一种适用于无线传感器网络的密钥分配和管理方法.首先简要介绍基于身份标识的密钥体系,特别是Boneh-Franklin算法,然后给出密钥分配和加密方法,并从算法的复杂性、安全性、健壮性和内存需求等方面,与随机算法、RAS算法等进行分析比较,应用仿真平台TinyOS的实验结果表明了文中推出方法的可行性和有效性,显示了良好的综合性能,为无线传感器网络的加密提供了新的手段.     

A certificateless threshold public key encryption scheme

The decryption participant’s private key share for decryption is delegated by key generation center in the threshold IBE scheme.However,a key generation center which is absolutely trustworthy does not exist.So the author presents a certificateless threshold public key encryption scheme.Collaborating with an administrator,the decryption participant generates his whole private key share for decryption in the scheme.The administrator does not know the decryption participant’s private key share for decryption.Making use of q-SDH assumption,the author constructs a certificateless threshold public key encryption scheme.The security of the scheme is eventually reduced to the solving of Decisional Bilinear Diffie-Hellman problem.Moreover,the scheme is secure under the chosen ciphertext attack in the standard model.