基于属性的可搜索加密方案研究
数据库加密技术的要点分析
数据库加密技术的要点分析 最近两年,信息安全产业随着斯诺登事件的爆发,从国家战略高度得到重视,大量的数据安全泄密事件,让企业与用户对此关注也越来越高。安全攻击方法和策略在升级,传统的边界安全防御机制备受挑战,攻与防的较量之间,对决焦点直指泄密源——核心数据。对于一家组织机构的核心数据往往存于传统安全防护手段难以从根本防护的数据库存储层。入侵者或直接采取行动从外部入侵数据库主机,或利用职权之便从内部窃取数据,从而将不设防或边界网关设防的数据库存储数据整库窃走。这种对于窃取者而言屡试不爽行为的方式背后,围绕数据库安全的行之有效的加密保护技术呼之欲出,从根本拯救数据库安全。。 对数据库存储层核心数据进行加密,可以解决库内明文存储引发的信息泄露风险,也能解决数据库高权限用户不受控制的现状。但是数据库加密这项技术要想形成真正让用户既安全又安心的产品,以下几个核心技术是用户选择该类产品的关键。 数据库列级加密策略配置 在敏感系统的后台数据库中,真正需要加密存储的内容其实占据整个数据库信息的少部分,如用户身份认证信息,账户资金等,成熟的数据库加密技术可以将加密粒度控制在列级,只选择最核心列的内容进行加密,既能保证核心数据的安全性,又能避免整库加密方式造成的严重性能损耗。现在市场上比较成熟的数据库加密产品,如安华金和的数据库保险箱(DBCoffer)即采用以列为单位进行数据库加解密的技术,能全面应对如number、varchar、date、lob等数据类型,做到用较小的代价保护用户最核心的敏感数据。
数据库运维三权分立 有些数据库自身具有加密模块,如Oracle数据库。但是这些模块的配置和权限掌握在DBA手中,这对于用户来说就像只锁上保险柜而不管理钥匙,从根本上无法解决内部高权限用户进行主动窃取数据或者误操作批量删除、修改数据,从而引发数据库安全问题。安华金和数据库保险箱(DBCoffer)引入安全管理员和审计管理员,与数据库管理员DBA多个身份账户,并对数据库加密列的访问权限进行有效管控,,三个角色之间相互协作,各司其责,确保数据库核心数据的使用根本上安全合规。 数据库透明加解密 如果说应用防火墙或者堡垒机等传统安全产品对数据库的防护是药物治疗的话,那么对数据库存储层进行加密无异于给数据库做了一台精密手术。大动筋骨”后加密存储的数据库内数据存储安全性自然得到了提升。但是如果“术“后将会对用户的行动产生影响,即用户访问数据库内数据方式产生影响,需要应用的SQ L语句做出针对性调整,或者使用特殊的API连接数据库,甚至使运维侧的数据迁移等脚本全部重写,这说明医生的医术并不精湛,反而给患者留下后遗症。成熟的数据库加密产品,不仅能够对数据库提供安全防护,同时还会将数据加密后对数据库使用方面的性能影响降至最低,不影响用户的正常使用。在透明性这点上,安华金和的数据库保险箱(DBCoffer)拥有自主研发的国家级专利技术,通过数据库多级透明视图技术,保障数据加密后应用程序无需改造,运维侧无需改造,依然可以做到不影响到数据库的各项依赖和函数关系,不影响到数据库的高端特性如RAC等,让用户能够毫不费力的享受数据安全。
数据加密技术
数据加密技术 摘要:由于Internet的快速发展,网络安全问题日益受到人们的重视。面对计算机网络存在的潜在威胁与攻击,一个计算机网络安全管理者要为自己所管辖的网络建造强大、安全的保护手段。数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密起来保障其安全性,这是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护。 现代社会对信息安全的需求大部分可以通过密码技术来实现。密码技术是信息安全技术中的心核,它主要由密码编码技术和密码分析技术两个分支组成。这两个分支既相互对立,又相互依存。信息的安全性主要包括两个方面即信息的保密性和信息的认证性。在用密码技术保护的现代信息系统的安全性主要取决于对密钥的保护,即密码算法的安全性完全寓于密钥之中。可见,密钥的保护和管理在数据系统安全中是极为重要的。人们目前特别关注的是密钥托管技术。 一、信息保密技术 信息的保密性是信息安全性的一个重要方面,加密是实现信息保密性的一种重要手段。加密算法和解密算法的操作通常都是在一组密钥控制下进行的,分别称为加密密钥和解密密钥。根据加密密钥和解密密钥是否相同,可将现有的加密体制分为两种:一种是私钥或对称加密体制,其典型代表是美国的数据加密标准(D E S);另一种是公钥或非对称加密体制,其典型代表是R S A体制。 目前国际上最关心的加密技术有两种:一种是分组密码。另一种是公钥密码。 1. 分组密码技术 DES是目前研究最深入、应用最广泛的一种分组密码。针对DES,人们研制了各种各样的分析分组密码的方法,比如差分分析方法和线性分析方法,这些方法对DES的安全性有一定的威胁,但没有真正对D E S的安全性构成威胁。 2. 公钥加密技术 私钥密码体制的缺陷之一是通信双方在进行通信之前需通过一个安全信道事先交换密钥。这在实际应用中通常是非常困难的。而公钥密码体制可使通信双方无须事先交换密钥就可建立起保密通信。在实际通信中,一般利用公钥密码体制来保护和分配密钥,而利用私钥密码体制加密消息。公钥密码体制主要用于认证和密钥管理等。 下面是A使用一个公钥密码体制发送信息给B的过程: (1)A首先获得B的公钥;
基于公私属性的多授权中心加密方案
第45卷 第11期2018年11月 计算机科学COM PU T ER SCIENCE Vol .45No .11Nov .2018 到稿日期:2017-10-23 返修日期:2018-01-25 本文受国家重点研发计划资助项目(2017Y FC 0806200)资助。 初晓璐(1991-),女,硕士,CCF 会员,主要研究方向为密码学;刘培顺(1975-),男,博士,讲师,CCF 会员,主要研究方向为信息安全,E -mail :Liups @ouc .edu .cn (通信作者)。 基于公私属性的多授权中心加密方案 初晓璐 刘培顺 (中国海洋大学信息科学与工程学院 山东青岛266001) 摘 要 基于属性的加密方法可以简化云计算环境中的密钥管理和访问控制问题,是适用于云环境的加密方案。文中提出了一种基于公私属性的多授权中心加密方案。该方案将属性分为公有属性和私有属性,将用户的角色权限信息等作为用户的公有属性,将用户登录密码、设备上的标识码等作为用户的私有属性。利用公有属性实现访问控制,在云服务器上安全地共享数据;利用私有属性实现信息流的安全控制,确保只有特定用户在特定设备上使用数据。提出的方案可以实现密钥追踪和属性撤销,基于私有属性的加密还可以实现抗合谋攻击。关键词 属性加密,云计算,抗合谋攻击,选择安全 中图法分类号 T P 309 文献标识码 A DOI 10.11896/j .issn .1002-137X .2018.11.018 Multi-authorityEncryptionSchemeBasedonPublicandPrivateAttributes CHU Xiao -lu LIU Pei -shun (College of Information Science and Engineering ,Ocean U niversity of China ,Qingdao ,Shandong 266001,China ) Abstract The attribute -based encryption method can simplify the problem of key management and access control in cloud computing environment ,and it ’s suitable for cloud environment .This paper proposed a multi -authority encryption scheme based on public and private attributes .In this scheme ,the attributes are divided into public attribute and private attribute .The user ’s public property is constitutive of the user ’s role authority information ,etc .The user ’s private p roperty is composed of the password and the identification code of devices , etc .By using the public property to imple -ment access control ,the data can be shared safely on the cloud server .By using the private property to implement the security control of information flow ,it can ensure that only the specific user uses data on a specific device .This scheme can realize key tracing and attribute revocation .Encryption based on private attributes can also achieve anti -conspiracy attacks .Keywords Attribute -based encryption ,Cloud computing ,Anti -conspiracy attacks ,Selective security 1 引言 当前云计算技术飞速发展,越来越多的企业选择在云环境进行办公。由于云计算环境的开放性和共享性,在云计算环境中用户对私有信息和数据的控制能力减弱,数据安全的一个重要挑战就是既要共享数据又要保护数据安全。在云存储的多用户环境下,共享机密文件将给文件所有者带来密钥存储、更新及维护等难以解决的问题。Sahai 等[1]在2005年的欧密会议上首次提出了基于属性 加密的想法。Goyal 等 [2] 于2006年提出将ABE 分为密钥策 略的基于属性的加密方法(KP -ABE )和密文策略的基于属性的加密方法(CP -ABE ),并且提供了一个KP -ABE 方案。Be -thencourt 等[3]于2007年首次实现了CP -ABE 方案。此外, Chase [4]提出了一种引入全局标识符与用户键绑定的方法。Goyal 等[5]于2008年设计了一种可证明安全的CP -ABE 方案。Waters [6]于2011年给出了一种基于DBDH 假设的可证明安全的CP -ABE 方案。至此,基于属性加密的密码体制已基本建立。 在ABE 的发展过程中,研究人员发现了系统可能存在用户泄密的安全问题和由此产生的撤销密钥的需求。为了解决这些问题,提出了可撤销的基于属性的加密方案和可追踪的基于属性的加密方案。Hinek [7]于2008年提出了第一个可追踪选择性安全的系统。Ruj 等[8]提出了一种DAAC 方案,并为Lewko 等的方案提出了一种属性撤销方法。在确保安全性的同时,Chen 等[9]根据Lewko 等[10]的方案,将DLIN 替换成了标准的SXDH 假设,大大提高了方案的运行效率。 多授权的基于属性的加密方案(M A -ABE )最先是由Chase [11]提出的,该加密方案是一种可以实现不同细粒度的 加密方案。Cao [12]首先提出了没有中央机构的M A -ABE 系统,该系统可以解决现有的单授权中心系统问题。Chase 等万方数据
数据库加密系统技术白皮书
数据库加密存取及强权限控制系统 技术白皮书 Oracle版
目录 1.产品背景 (1) 2.解决的问题 (3) 3.系统结构 (6) 4.部署方案 (7) 5.功能与特点 (9) 6.支持特性 (10) 7.性能测试数据 (11)
1.产品背景 随着计算机技术的飞速发展,数据库的应用十分广泛,深入到各个领域。数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。小则关系到企业兴衰、大则关系到国家安全。 在重要单位或者大型企业中,涉及大量的敏感信息。比如行政涉密文件,领导批示、公文、视频和图片,或者企业的商业机密、设计图纸等。为了保障这些敏感电子文件的安全,各单位广泛的实施了安全防护措施,包括:机房安全、物理隔离、防火墙、入侵检测、加密传输、身份认证等等。但是数据库的安全问题却一直让管理员束手无策。原因是目前市场上缺乏有效的数据库安全增强产品。 数据库及其应用系统普遍存在一些安全隐患。其中比较严峻的几个方面表现在: (1)由于国外对高技术出口和安全产品出口的法律限制,国内市场上只能购买到C2安全级别的数据库安全系统。该类系统只有最基本的安全防护能力。并且采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。这就使得获取DBA角色的权限成为攻击者的目标。而一旦攻击者获得DBA角色的权限,数据库将对其彻底暴露,毫无任何安全性可言。 (2)由于DBA拥有至高无上的权利,其可以在不被人察觉的情况下查看和修改任何数据(包括敏感数据)。因此DBA掌控着数据库中数据安全命脉,DBA的任何操作、行为无法在技术上实施监管。而DBA往往只是数据的技术上的维护者,甚至可能是数据库厂商的服务人员,并没有对敏感数据的查看和控制权。现阶段并没有很好的技术手段来约束DBA 对数据的访问权限,因此存在巨大安全隐患,特别是在DBA权限被非法获取的情况下,更是无法保证数据的安全。 (3)由于C2级的商业数据库对用户的访问权限的限制是在表级别的。一旦用户拥有了一个表的访问权限,那么表中的任何数据都具有访 1
几种常用的数据加密技术
《Network Security Technology》Experiment Guide Encryption Algorithm Lecture Code: 011184 Experiment Title:加密算法 KeyWords:MD5, PGP, RSA Lecturer:Dong Wang Time:Week 04 Location:Training Building 401 Teaching Audience:09Net1&2 October 10, 2011
实验目的: 1,通过对MD5加密和破解工具的使用,掌握MD5算法的作用并了解其安全性; 2,通过对PGP加密系统的使用,掌握PGP加密算法的作用并了解其安全性; 3,对比MD5和PGP两种加密算法,了解它们的优缺点,并总结对比方法。 实验环境: 2k3一台,XP一台,确保相互ping通; 实验工具:MD5V erify, MD5Crack, RSA-Tools,PGP8.1 MD5加密算法介绍 当前广泛存在有两种加密方式,单向加密和双向加密。双向加密是加密算法中最常用的,它将明文数据加密为密文数据,可以使用一定的算法将密文解密为明文。双向加密适合于隐秘通讯,比如,我们在网上购物的时候,需要向网站提交信用卡密码,我们当然不希望我们的数据直接在网上明文传送,因为这样很可能被别的用户“偷听”,我们希望我们的信用卡密码是通过加密以后,再在网络传送,这样,网站接受到我们的数据以后,通过解密算法就可以得到准确的信用卡账号。 单向加密刚好相反,只能对数据进行加密,也就是说,没有办法对加密以后的数据进行解密。这有什么用处?在实际中的一个应用就是数据库中的用户信息加密,当用户创建一个新的账号或者密码,他的信息不是直接保存到数据库,而是经过一次加密以后再保存,这样,即使这些信息被泄露,也不能立即理解这些信息的真正含义。 MD5就是采用单向加密的加密算法,对于MD5而言,有两个特性是很重要的,第一是任意两段明文数据,加密以后的密文不能是相同的;第二是任意一段明文数据,经过加密以后,其结果必须永远是不变的。前者的意思是不可能有任意两段明文加密以后得到相同的密文,后者的意思是如果我们加密特定的数据,得到的密文一定是相同的。不可恢复性是MD5算法的最大特点。 实验步骤- MD5加密与破解: 1,运行MD5Verify.exe,输入加密内容‘姓名(英字)’,生成MD5密文;
可搜索加密技术研究综述
软件学报ISSN 1000-9825, CODEN RUXUEW E-mail: jos@https://www.360docs.net/doc/dd6611381.html, Journal of Software,2015,26(1):109?128 [doi: 10.13328/https://www.360docs.net/doc/dd6611381.html,ki.jos.004700] https://www.360docs.net/doc/dd6611381.html, ?中国科学院软件研究所版权所有. Tel: +86-10-62562563 ? 可搜索加密技术研究综述 李经纬1, 贾春福1,3, 刘哲理1, 李进2, 李敏1 1(南开大学计算机与控制工程学院计算机与信息安全系,天津 300071) 2(广州大学计算机科学与教育软件学院,广东广州 510006) 3(中国民航大学信息安全评测中心,天津 300300) 通讯作者: 贾春福, E-mail: cfjia@https://www.360docs.net/doc/dd6611381.html, 摘要: 从可搜索加密的两类基本问题出发,回顾了相关研究历史.介绍了可搜索加密的分类,包括其应用场景和应用模型,并探讨了相应的解决策略,从构造角度,将其分为对称可搜索加密和非对称可搜索加密.基于这种分类,围绕基本定义、典型构造和扩展研究,对可搜索加密相关工作进行了综述.最后,总结和展望了待解决的关键性问题和未来的研究方向.这些工作将对可搜索加密的进一步研究起到一定的促进作用. 关键词: 可搜索加密;对称可搜索加密;非对称可搜索加密;关键词猜测攻击;云安全 中图法分类号: TP309 中文引用格式: 李经纬,贾春福,刘哲理,李进,李敏.可搜索加密技术研究综述.软件学报,2015,26(1):109?128.http://www.jos. https://www.360docs.net/doc/dd6611381.html,/1000-9825/4700.htm 英文引用格式: Li JW, Jia CF, Liu ZL, Li J, Li M. Survey on the searchable encryption. Ruan Jian Xue Bao/Journal of Software, 2015,26(1):109?128 (in Chinese).https://www.360docs.net/doc/dd6611381.html,/1000-9825/4700.htm Survey on the Searchable Encryption LI Jing-Wei1, JIA Chun-Fu1,3, LIU Zhe-Li1, LI Jin2, LI Min1 1(Department of Computer & Information Security, College of Computer and Control Engineering, Nankai University, Tianjin 300071, China) 2(School of Computer Science and Educational Software, Guangzhou University, Guangzhou 510006, China) 3(Information Security Evaluation Cener of Civil Aviation, Civil Aviation University of China, Tianjin 300300, China) Abstract: This paper reviews previous research on the two basic searchable encryption problems, and introduces the classification of searchable encryption (SE), including its application scenarios and usage models. After discussing the resolution strategies, it divides SE into two groups, that is symmetric searchable encryption and asymmetric searchable encryption. Based on this classification, the research advance is surveyed on basic definition, typical construction and extended research. Finally, the need-to-be-solved problems and main research directions are discussed. This study aims at promoting further research of searchable encryption. Key words: searchable encryption; symmetric searchable encryption; asymmetric searchable encryption; keyword guessing attack; cloud security 可搜索加密问题源于文献[1]:假设用户Alice试图将个人文件存放在一个诚实但具有好奇心的外部服务器,以降低本地资源开销.为保护文件隐私,须采用某种加密方式将文件加密后存储.使用传统分组密码,只有密 ?基金项目: 国家重点基础研究发展计划(973)(2013CB834204); 国家自然科学基金(61272423, 61100224, 61472091); 高等学校博士学科点专项科研基金(20100031110030, 20120031120036); 天津市自然科学基金(14JCYBJC15300); 中国民航大学信息安全评测中心开放课题基金(CAAC-ISECCA-201403) 收稿时间:2013-03-11; 定稿时间: 2014-07-09; jos在线出版时间: 2014-08-19 CNKI网络优先出版: 2014-08-19 14:17, https://www.360docs.net/doc/dd6611381.html,/kcms/doi/10.13328/https://www.360docs.net/doc/dd6611381.html,ki.jos.004700.html
加密技术在数据库加密中的应用
加密技术及其在数据库加密中的应用 摘要:数据库系统作为信息系统的核心,其安全直接影响信息系统的安全。本文简要介绍了加密技术的概念及主要方法,针对数据库系统的特点和安全问题提出数据库系统加密的策略,并对数据库系统加密的相关技术进行了阐述。最后讨论了数据库加密技术存在的局限性。 关键字:加密技术数据库系统安全 1、引言 随着因特网的普及和计算机技术的飞速发展,各行各业的信息化程度得到了显著的提高。信息系统已经成为企业、金融机构、政府及国防等部门现代化的重要标志。如何保证现代信息系统的安全是计算机领域面临的一大挑战。数据库系统作为信息的聚集体是信息系统的核心,其安全性对整个信息系统来说至关重要,数据库加密技术成为保障数据库系统安全的基石。 2、加密技术 加密技术主要是为了能够有效地保护数据的安全性,下面简单介绍加密技术的概念及主要算法。
2、1加密的概念 数据加密的基本过程就是对原来为明文的文件多数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才恩能够显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化成为其原来数据的过程。 2、2数据加密的原理 数据加密就是把数据信息即明文转换为不可辨识的形式即密文的过程,目的是使不应了解该数据信息的人不能够知道和识别。将密文转变为明文的过程(如图1所示)就是解密。加密和解密过程形成加密系统,明文与密文统称为报文。任何加密系统通常都包括如下4个部分: (1)需要加密的报文,也称为明文P。 (2)加密以后形成的报文,也称为密文Y。 (3)加密(解密)算法E(D)。 (4)用于加密和解密的钥匙,称为密钥K。 加密过程可描述为:在发送端利用加密算法E和加密密钥Ke对明文P进行加密,得到密文Y=EKe(P)。密文Y被传送到接收端后应进行解密。解密过程可描述为:接收端利用解密算法D 和解密密钥Kd对密文Y进行解密,将密文恢复为明文P=DKd(Y)。在密码学中,把设计密码的技术称为密码编码.把
数据加密方案
数据加密方案
一、什么是数据加密 1、数据加密的定义 数据加密又称密码学,它是一门历史悠久的技术,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。 2、加密方式分类 数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为对称密钥和非对称密钥两种。 对称密钥:加密和解密时使用同一个密钥,即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式,通信双方必须交换彼此密钥,当需给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。当一个文本要加密传送时,该文本用密钥加密构成密文,密文在信道上传送,收到密文后用同一个密钥将密文解出来,形成普通文体供阅读。在对称密钥中,密钥的管理极为重要,一旦密钥丢失,密文将无密可保。这种
方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的安全就是一个问题。 对称加密 对称密钥是最古老的,一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高,因而如今仍广泛被采用。 DES是一种数据分组的加密算法,它将数据分成长度为64位的数据块,其中8位用作奇偶校验,剩余的56位作为密码的长度。第一步将原文进行置换,得到64位的杂乱无章的数据组;第二步将其分成均等两段;第三步用加密函数进行变换,并在给定的密钥参数条件下,进行多次迭代而得到加密密文。 非对称密钥:非对称密钥由于两个密钥(加密密钥和解密密钥)各不相同,因而可以将一个密钥公开,而将另一个密钥保密,同样可以起到加密的作用。
数据库加密方法有哪些
常见的数据库加密技术分析 如果我们要从根本上解决这种超出网络保护范围的“内部幽灵”攻击模式,则会绕过电源控制系统,直接复制文件块并还原并在不同位置进行分析,我们必须采用存储层的加密技术,以确保一旦丢失敏感信息,就必须以密文形式对其进行存储。随着国内市场上数据库加密技术的兴起以及越来越多的数据安全企业的涌入,市场上出现了几种具有代表性的数据库加密技术。 一,预代理和加密网关技术 1)技术原理 该方案的一般技术思想是在数据库之前添加安全代理服务,并且所有访问数据库的用户都必须通过安全代理服务,并在该服务中实施安全策略,例如数据加密和解密以及访问控制。然后,安全代理服务通过数据库的访问接口实现数据存储。安全代理服务存在于客户端应用程序和数据库存储引擎之间,后者负责数据的加密和解密,并且加密的数据存储在安全代理服务中。 2)优缺点分析:预代理和代理网关加密技术无法克服“障碍”
①由于加密的数据需要存储在安全性增强代理中,因此基本上不可能解决数据库中存储的数据的一致性问题。 ②数据的联合检索:由于数据库内部和外部都有数据,因此联合检索这些数据将变得非常困难;完全兼容SQL语法也非常困难。 ③开发不透明的问题:尽管存在数据库协议的标准,但实际上,每个不同的数据库版本都会进行一些更改,扩展和增强,并且使用这些功能的用户必须进行改进。同时,很难在安全代理中模拟数据库通信协议。 ④无法使用数据库的优化处理,事务处理,并发处理和其他特性:查询分析,优化处理,事务处理和并发处理都需要在安全增强器中完成,并且数据库在并发处理中的优势并且无法使用查询优化。系统的性能和稳定性更多地取决于安全代理。 ⑤支持存储过程的执行也非常困难,例如存储过程,触发器和功能。 另外,该方案需要在安全代理服务层中提供非常复杂的数据库管理功能,例如SQL命令解析,通信服务,加密数据索引存储管理,事务管理等,因此存在巨大的开发工作量和很高的开发成本。技术复杂性,还有诸如存储过程和触发器之类的技术问题无法解决。
互联网数据加密技术
所谓数据加密(Data Encryption)技术是指将一个信息(或称明文,plain text)经过加密钥匙(Encryption key)及加密函数转换,变成无意义的密文(cipher text),而接收方则将此密文经过解密函数、解密钥匙(Decryption key)还原成明文。加密技术是网络安全技术的基石。 密码技术是通信双方按约定的法则进行信息特殊变换的一种保密技术。根据特定的法则,变明文(Plaintext)为密文(Ciphertext)。从明文变成密文的过程称为加密(Encryption); 由密文恢复出原明文的过程,称为解密(Decryption)。密码在早期仅对文字或数码进行加、解密,随着通信技术的发展,对语音、图像、数据等都可实施加、解密变换。密码学是由密码编码学和密码分析学组成的,其中密码编码学主要研究对信息进行编码以实现信息隐蔽,而密码分析学主要研究通过密文获取对应的明文信息。密码学研究密码理论、密码算法、密码协议、密码技术和密码应用等。随着密码学的不断成熟,大量密码产品应用于国计民生中,如USB Key、PIN EntryDevice、 RFID 卡、银行卡等。广义上讲,包含密码功能的应用产品也是密码产品,如各种物联网产品,它们的结构与计算机类似,也包括运算、控制、存储、输入输出等部分。密码芯片是密码产品安全性的关键,它通常是由系统控制模块、密码服务模块、存储器控制模块、功能辅助模块、通信模块等关键部件构成的。 数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息
用于加解密,这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。 分类 专用密钥 专用密钥,又称为对称密钥或单密钥,加密和解密时使用同一个密钥,即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式,通信双方必须交换彼此密钥,当需给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。当一个文本要加密传送时,该文本用密钥加密构成密文,密文在信道上传送,收到密文后用同一个密钥将密文解出来,形成普通文体供阅读。在对称密钥中,密钥的管理极为重要,一旦密钥丢失,密文将无密可保。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的安全就是一个问题。 对称密钥 对称密钥是最古老的,一般说“密电码”采用的就是对称密钥。由于对称密钥运算量小、速度快、安全强度高,因而如今仍广泛被采用。 DES是一种数据分组的加密算法,它将数据分成长度为64位的数据块,其中8位用作奇偶校验,剩余的56位作为密码的长度。第一步将原文进行置换,得到64位的杂乱无章的数据组;第二步将其分成均等两段;第三步用加密函数进行变换,并在给定的密钥参数条件下,进行多次迭代而得到加密密文。
云存储环境下可搜索加密方案的研究
目录 目录 目录 (i) 1.绪论 (1) 1.1研究的背景与意义 (1) 1.2可搜索加密的研究现状 (2) 1.3本文的主要工作 (5) 1.4论文章节安排 (5) 2.基础知识 (7) 2.1云计算 (7) 2.1.1什么是云存储 (7) 2.1.2云计算简单介绍 (7) 2.2可搜索加密 (8) 2.2.1对称可搜索加密 (9) 2.2.2非对称可搜索加密 (10) 2.2.3两种加密模型的比较 (11) 2.3加密方案的安全性定义 (12) 2.4数学知识 (15) 2.4.1双线性映射 (15) 2.4.2大整数分解问题 (15) 2.5密码学知识 (15) 2.5.1Hash函数 (15) 2.5.2伪随机函数 (16) 2.5.3BLS短签名 (16) 2.6本章小结 (16) 3.基于多个密钥的可搜索加密 (17) 3.1预备知识 (17) 3.1.1符号和符号集 (17) 3.1.2安全模型和定义 (17) 3.2方案的完整构造 (19) 3.3方案的安全性分析 (21) i
西安理工大学硕士学位论文 ii 3.3.1正确性 (21) 3.3.2安全性 (22) 3.4效率分析 (24) 3.5本章小结 (24) 4.多用户下的多密钥可搜索加密 (25) 4.1预备知识 (25) 4.1.1系统模型 (25) 4.1.2符号和符号集 (25) 4.1.3安全模型和定义 (26) 4.2方案的完整构造 (27) 4.3方案的安全性分析 (30) 4.3.1正确性 (30) 4.3.1不可伪造性 (30) 4.3.2可撤销性 (30) 4.4本章小结 (31) 5.总结与展望 (33) 5.1总结 (33) 5.2工作展望 (34) 致谢 (35) 参考文献 (37) 附录 (41)
数据库加密技术研究
数据库加密技术研究 Research of Database Secreted Technology 黄非 Huang Fei (江西省科技情报研究所,江西南昌330046) (Jiangxi Science&Technology Information Research Institute,Jiangxi Nanchang330046) 摘要:信息安全的核心就是数据库的安全,也就是说数据库加密是信息安全的核心问题。数据库数据的安全问题越来越受到重视,数据库加密技术的应用极大地解决了数据库中数据的安全问题。本文主要就数据库加密技术方法和实现进行简要地概述。 关键词:数据库;加密;算法;系统;密钥 中图分类号:TP311.13文献标识码:A文章编号:1671-4792-(2008)10-0099-02 Abstract:The core information security is database.database secreted technology is the core problem of Information security. Database data security problem will become important.database secreted technology solutes Database data security problem.This text mainly tell database,database methods and realization of secreted technology. Keywords:Database;Secreted;Algorithm;System;Key Enciyption 0引言 随着网络技术的不断发展及信息处理的不断增多,巨量级数据扑面而来。无论对于银行、电力、统计局、保险公司,还是其它一些数字、数据密集型企业来说,数据的重要性日益凸现,从而使数据安全问题变得非常显著。因此,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,已经成为目前关注的一个话题。因此,要想提高数据库数据及服务器文件的安全性,数据库加密及文件加密策略应是最佳选择,它们也是网络安全的最终解决方案。 1数据库加密的特点 对数据库中数据加密是为增强普通关系数据库管理系统的安全性,提供一个安全适用的数据库加密平台,对数据库存储的内容实施有效保护。它通过数据库存储加密等安全方法实现了数据库数据存储保密和完整性要求,使得数据库以密文方式存储并在密态方式下工作,确保了数据安全。 一般而言,一个行之有效的数据库加密技术主要有以下6个方面的功能和特性: (1)身份认证 用户除提供用户名、口令外,还必须按照系统安全要求提供其它相关安全凭证,如使用终端密钥等。 (2)通信加密与完整性保护 有关数据库的访问在网络传输中都被加密,通信一次一密的意义在于防重放、防篡改。 (3)数据库数据存储加密与完整性保护 数据库系统采用数据项级存储加密,即数据库中不同的 记录、每条记录的不同字段都采用不同的密钥加密,辅以校 验措施来保证数据库数据存储的保密性和完整性,防止数据 的非授权访问和修改。 (4)数据库加密设置 系统中可以选择需要加密的数据库列,以便于用户选择 那些敏感信息进行加密而不是全部数据都加密。只对用户的 敏感数据加密可以提高数据库访问速度,有利于用户在效率 与安全性之间进行自主选择。 (5)多级密钥管理模式 主密钥和主密钥变量保存在安全区域,二级密钥受主密 钥变量加密保护,数据加密的密钥存储或传输时利用二级密 钥加密保护,使用时受主密钥保护。 (6)安全备份 系统提供数据库明文备份功能和密钥备份功能。 2数据库密码 应用于数据库加密的加密算法称为数据库密码。目前常 用的加密算法可分为三类: 2.1序列密码体制 这种密码直接对当前的字符进行变换,也就是说,以一 个字符为单位进行加密变换。在这种加密体制中,每一字符 数据的加密与报文的其它部分无关。例如,直接对明文加上 一串同等长度的乱码(也可看成是密钥),只要所用的乱码是 随机数且不重复使用,就实现了“一次一密”的加密。从理论 数 据 库 加 密 技 术 研 究 99
云计算环境下可搜索加密算法的研究
云计算环境下可搜索加密算法的研究 最近几年,在云计算的迅猛发展模式下,越来越多的个人用户和企业开始倾向于将大量数据信息外包到云环境中,这样做不仅减轻了本地计算机的管理负担,而且使其享受到更加便捷的服务。然而,为了确保敏感信息不会泄露出去,保护数据安全和隐私性,在云服务器中存储的通常是数据的密文形式,这又使得在海量的密文数据执行检索操作比较困难。可搜索加密技术便应运而生,它是一种使用户直接面向密文进行关键字检索的方法,它的灵活使用能够让用户在大规模的数据中提取到自己感兴趣的那部分文件,为信息查找带来了巨大的便利性,因此成为云计算中的一个研究热点。可搜索加密技术能够使用户节省许多本地的存储空间和网络开销,同时由于云服务器具有强大的计算能力,可以利用这个特点在密文中查找用户输入的关键字,且服务器不会获得任何明文信息。因此,设计高效的可搜索加密方案能够在很大程度上节省开销,提升系统的可用性。本文通过前期对现有的可搜索加密技术深入的调研之后,首先提出一个基于关键字的支持排序的可搜索方案,该方案利用倒排列表建立安全索引,利用相关性分数对文件和关键字的关联程度进行排序,从而达到排序的目的,然而,该方案需要发送两次搜索请求,且只能进行精确关键字查找。为了改善该模型的缺陷,本文又设计出一种新的基于云计算环境能同时支持排名和模糊检索的对称可搜索加密方案,解决的关键问题是:首先,为了解决用户输入过程存在差错的问题,合理地设计出安全索引的数据结构和陷门生成算法以支持密文搜索中的模糊关键字查询。其次,
为了提升用户体验度,减少用户端通信资源和计算资源的消耗,本文 基于可搜索加密的系统模型提出一个能够将搜索结果按照与文件的 相关度进行排序的算法,使服务器仅返回用户最感兴趣的top-k文件。最后,本文证明了所提方案满足的安全性定义,包括该搜索方案对于 搜索隐私具有安全性、一对多保序映射具有安全性以及排序关键字搜索具有安全性。通过对本文云计算环境中的可搜索加密算法进行仿真实验,并对仿真结果进行分析总结,得出本文提出的方案在构建索引 和执行检索时的效率有了显著的提升。
支持属性撤销的可验证多关键词搜索加密方案
支持属性撤销的可验证多关键词搜索加密方案 孙 瑾 王小静* 王尚平 任利利 (西安理工大学 西安 710054) 摘 要:近年来,可搜索加密技术及细粒度访问控制的属性加密在云存储环境下得到广泛应用。考虑到现存的基于属性的可搜索加密方案存在仅支持单关键词搜索而不支持属性撤销的问题,以及单关键词搜索可能造成返回搜索结果部分错误并导致计算和宽带资源浪费的缺陷,该文提出一种支持属性撤销的可验证多关键词搜索加密方案。该方案允许用户检测云服务器搜索结果的正确性,同时在细粒度访问控制结构中支持用户属性的撤销,且在属性撤销过程中不需要更新密钥和重加密密文。该文在随机预言机模型下基于判定性线性假设被证明具有抵抗选择关键词集攻击安全性及关键词隐私性,同时从理论和实验两方面分析验证了该方案具有较高的计算效率与存储效率。 关键词:可搜索加密;属性撤销;多关键词搜索;可证明安全中图分类号:TN918.1文献标识码:A 文章编号:1009-5896(2019)01-0053-08 DOI : 10.11999/JEIT180237 Verifiable Multi-keyword Search Encryption Scheme with Attribute Revocation SUN Jin WANG Xiaojing WANG Shangping REN Lili (Xi ’an University of Technology , Xi ’an 710054, China ) Abstract : In recent years, searchable encryption technology and fine-grained access control attribute encryption is widely used in cloud storage environment. Considering that the existing searchable attribute-based encryption schemes have some flaws: It only support single-keyword search without attribute revocation. The single-keyword search may result in the waste of computing and broadband resources due to the partial retrieval from search results. A verifiable multi-keyword search encryption scheme that supports revocation of attributes is proposed. The scheme allows users to detect the correctness of cloud server search results while supporting the revocation of user attributes in a fine-grained access control structure without updating the key or re-encrypting the ciphertext during revocation stage. The aforementioned scheme is proved by the deterministic linearity hypothesis, and the relevant analysis results indicate that it can resist the attacks of keyword selection and the privacy of keywords in the random oracle model with high computational efficiency and storage effectiveness. Key words : Searchable encryption; Attribute revocation; Multi-keyword search; Provable security 1 引言 云存储是供用户进行数据存储和访问的一种新兴存储技术。为节省本地资源,更多的用户将数据交给云存储服务器托管;为确保数据不被篡改、丢失、非法访问或任意窃取,云存储数据的安全性和 隐私性近年来也被作为研究热点进行讨论,其中最常用的技术是先加密共享内容后将其存储在云服务器上,然而待加密数据文件的巨大会影响用户的搜索和应用。可搜索加密技术要求授权用户具有关键词密文查询的能力,使加密数据的安全性和隐私性得到保证。例如某用户检索他想获取的文件时,云服务器仅返回与关键词相关的搜索结果。在实际应用系统中,基于属性的可搜索加密技术仍存在用户属性变更、属性到期、密钥泄露等问题,可通过引入属性撤销机制来变更授权用户的访问权限。 2000年,Song 等人[1]为了解决客户端只检索包含某些内容文档的问题,首次在对称密钥的基础下 收稿日期:2018-03-14;改回日期:2018-08-21;网络出版:2018-08-31*通信作者: 王小静 wxjdyb@https://www.360docs.net/doc/dd6611381.html, 基金项目:国家自然科学青年基金(61303223),国家自然科学基金(61572019) Foundation Items: The National Natural Science Youth Founda-tion of China (61303223), The National Natural Science Founda-tion of China (61572019) 第41卷第1期电 子 与 信 息 学 报 Vol. 41No. 12019年1月Journal of Electronics & Information Technology Jan. 2019 万方数据