With the massive diffusion of cloud computing, more and more sensitive data is being centralized into the cloud for sharing, which brings forth new challenges for the security and privacy of outsourced data. To addres...With the massive diffusion of cloud computing, more and more sensitive data is being centralized into the cloud for sharing, which brings forth new challenges for the security and privacy of outsourced data. To address these challenges, the server-aided access control(SAAC) system was proposed. The SAAC system builds upon a variant of conditional proxy re-encryption(CPRE) named threshold conditional proxy re-encryption(TCPRE). In TCPRE, t out of n proxies can re-encrypt ciphertexts(satisfying some specified conditions) for the delegator(while up to t-1 proxies cannot), and the correctness of the re-encrypted ciphertexts can be publicly verified. Both features guarantee the trust and reliability on the proxies deployed in the SAAC system. The security models for TCPRE were formalized, several TCPRE constructions were proposed and that our final scheme was secure against chosen-ciphertext attacks was proved.展开更多
对于加密存储在云服务器的密文,公钥可搜索加密(Public Key Encryption with Keyword Search,PEKS)提供了一种无须解密即可基于关键词查找密文的技术。然而,PEKS有两大局限性:一是大多数PEKS方案依赖于经典数论问题的困难性,不抵抗量子...对于加密存储在云服务器的密文,公钥可搜索加密(Public Key Encryption with Keyword Search,PEKS)提供了一种无须解密即可基于关键词查找密文的技术。然而,PEKS有两大局限性:一是大多数PEKS方案依赖于经典数论问题的困难性,不抵抗量子算法攻击;二是在PEKS系统中注册的用户可不受时间限制地搜索密文。为此,引入了基于时间的可搜索加密(Time-Based Encryption with Keyword Search,TBKS)概念,只允许用户搜索其授权时间段的时间点下加密的密文。此外,提供了一种基于格的TBKS方案实例来抵抗量子攻击,并给出该方案的正确性讨论、参数选取范围和安全性证明。展开更多
数据的机密性是云存储环境下的难点问题,基于密文的访问控制技术是解决该问题的重要思路,在目前的基于密文的访问控制技术中,数据的高安全需求和频繁的策略更新使得数据拥有者(data owner,DO)端的权限更新代价过高,进而严重制约了系统...数据的机密性是云存储环境下的难点问题,基于密文的访问控制技术是解决该问题的重要思路,在目前的基于密文的访问控制技术中,数据的高安全需求和频繁的策略更新使得数据拥有者(data owner,DO)端的权限更新代价过高,进而严重制约了系统的整体效率.针对此问题,提出一种适用于云存储动态策略的密文访问控制方法(cryptographic access control strategy for dynamic policy,CACDP),该方法提出了一种基于二叉Trie树的密钥管理机制,在此基础之上利用基于ELGamal的代理重加密机制和双层加密策略,将密钥和数据更新的部分开销转移到云端以减少DO权限管理负担,提高DO的处理效率.最后通过实验验证了该方案有效降低了策略更新为DO带来的性能开销.展开更多
针对云平台下外包数据流不可信、验证范围不可控等问题,该文提出一种具有访问控制的外包数据流动态可验证方法.该方法的核心思想是利用任意的Hash函数、双陷门Hash函数和CP-ABE(Cipertext Policy-Attribute Based Encryption)算法构成...针对云平台下外包数据流不可信、验证范围不可控等问题,该文提出一种具有访问控制的外包数据流动态可验证方法.该方法的核心思想是利用任意的Hash函数、双陷门Hash函数和CP-ABE(Cipertext Policy-Attribute Based Encryption)算法构成一种具有访问控制的动态可认证数据结构(AC-MTAT).该可认证结构可以实现对外包数据流的实时增加、更新和细粒度动态验证.此外,该可认证数据结构不仅能够验证外包数据流的完整性,还能够验证数据流序列的正确性.由于在传统默克尔Hash树(MHT)中引入双陷门Hash函数,AC-MTAT的构建过程可以分为两个阶段:离线阶段和在线阶段.这样构建AC-MTAT所需的主要代价可以放在离线阶段完成,大大提高了AC-MTAT在线实时构建效率.该文首先给出AC-MTAT方案的形式化定义和具体构建算法;然后,对ACMTAT方案的安全性进行证明,证明其满足正确性、可验证安全性和访问安全性;最后,分析了方案的实现效率,并通过实现一个AC-MTAT原型来评估算法的耗费时间,实验结果显示作者的方案对于外包数据流的验证是高效的和可行的,而且与现有方案相比,该方案在实时增长、高效更新、可控验证以及对数据流的适应性等方面更有优势.展开更多
基金The National Natural Science Foundation of China(No.61272413,No.61472165)
文摘With the massive diffusion of cloud computing, more and more sensitive data is being centralized into the cloud for sharing, which brings forth new challenges for the security and privacy of outsourced data. To address these challenges, the server-aided access control(SAAC) system was proposed. The SAAC system builds upon a variant of conditional proxy re-encryption(CPRE) named threshold conditional proxy re-encryption(TCPRE). In TCPRE, t out of n proxies can re-encrypt ciphertexts(satisfying some specified conditions) for the delegator(while up to t-1 proxies cannot), and the correctness of the re-encrypted ciphertexts can be publicly verified. Both features guarantee the trust and reliability on the proxies deployed in the SAAC system. The security models for TCPRE were formalized, several TCPRE constructions were proposed and that our final scheme was secure against chosen-ciphertext attacks was proved.
文摘对于加密存储在云服务器的密文,公钥可搜索加密(Public Key Encryption with Keyword Search,PEKS)提供了一种无须解密即可基于关键词查找密文的技术。然而,PEKS有两大局限性:一是大多数PEKS方案依赖于经典数论问题的困难性,不抵抗量子算法攻击;二是在PEKS系统中注册的用户可不受时间限制地搜索密文。为此,引入了基于时间的可搜索加密(Time-Based Encryption with Keyword Search,TBKS)概念,只允许用户搜索其授权时间段的时间点下加密的密文。此外,提供了一种基于格的TBKS方案实例来抵抗量子攻击,并给出该方案的正确性讨论、参数选取范围和安全性证明。
文摘数据的机密性是云存储环境下的难点问题,基于密文的访问控制技术是解决该问题的重要思路,在目前的基于密文的访问控制技术中,数据的高安全需求和频繁的策略更新使得数据拥有者(data owner,DO)端的权限更新代价过高,进而严重制约了系统的整体效率.针对此问题,提出一种适用于云存储动态策略的密文访问控制方法(cryptographic access control strategy for dynamic policy,CACDP),该方法提出了一种基于二叉Trie树的密钥管理机制,在此基础之上利用基于ELGamal的代理重加密机制和双层加密策略,将密钥和数据更新的部分开销转移到云端以减少DO权限管理负担,提高DO的处理效率.最后通过实验验证了该方案有效降低了策略更新为DO带来的性能开销.
文摘针对云平台下外包数据流不可信、验证范围不可控等问题,该文提出一种具有访问控制的外包数据流动态可验证方法.该方法的核心思想是利用任意的Hash函数、双陷门Hash函数和CP-ABE(Cipertext Policy-Attribute Based Encryption)算法构成一种具有访问控制的动态可认证数据结构(AC-MTAT).该可认证结构可以实现对外包数据流的实时增加、更新和细粒度动态验证.此外,该可认证数据结构不仅能够验证外包数据流的完整性,还能够验证数据流序列的正确性.由于在传统默克尔Hash树(MHT)中引入双陷门Hash函数,AC-MTAT的构建过程可以分为两个阶段:离线阶段和在线阶段.这样构建AC-MTAT所需的主要代价可以放在离线阶段完成,大大提高了AC-MTAT在线实时构建效率.该文首先给出AC-MTAT方案的形式化定义和具体构建算法;然后,对ACMTAT方案的安全性进行证明,证明其满足正确性、可验证安全性和访问安全性;最后,分析了方案的实现效率,并通过实现一个AC-MTAT原型来评估算法的耗费时间,实验结果显示作者的方案对于外包数据流的验证是高效的和可行的,而且与现有方案相比,该方案在实时增长、高效更新、可控验证以及对数据流的适应性等方面更有优势.
