CN113645039A - 一种基于不同权限的通信信息传输系统及方法 - Google Patents

一种基于不同权限的通信信息传输系统及方法 Download PDF

Info

Publication number
CN113645039A
CN113645039A CN202110889342.3A CN202110889342A CN113645039A CN 113645039 A CN113645039 A CN 113645039A CN 202110889342 A CN202110889342 A CN 202110889342A CN 113645039 A CN113645039 A CN 113645039A
Authority
CN
China
Prior art keywords
user
data
cloud server
file
communication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN202110889342.3A
Other languages
English (en)
Inventor
刘爱菊
梁根娣
陈都凌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN202110889342.3A priority Critical patent/CN113645039A/zh
Publication of CN113645039A publication Critical patent/CN113645039A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明属于通信传输技术领域,公开了一种基于不同权限的通信信息传输系统及方法,所述基于不同权限的通信信息传输系统包括:数据获取模块、数据预处理模块、中央控制模块、数据加密模块、身份认证模块、通信信息传输模块、通信信息接收模块、数据解密模块、云存储模块、本地存储模块。本发明根据用户不同权限进行文件令牌的分配,通过获取并利用通信信息接收端的身份信息对通信信息接收端进行身份认证,并对通信信息进行加密后再发送到通信信息接收端,使得经过身份认证的通信信息接收端,才能获取通信信息,使得通信信息不容易被任何第三方获取,且获取的通信信息是经过加密的,使得通信信息的私密性可以得到很好的保护,提高了系统安全性。

Description

一种基于不同权限的通信信息传输系统及方法
技术领域
本发明属于通信传输技术领域,尤其涉及一种基于不同权限的通信信息传输系统及方法。
背景技术
目前,信息和通讯技术是信息技术与通讯技术相融合而形成的一个新的概念和新的技术领域。以往通信技术与信息技术是两个完全不同的范畴:通信技术着重于消息传播的传送技术,而信息技术着重于信息的编码或解码,以及在通信载体的传输方式。随着技术的发展,这两种技术慢慢变得密不可分,从而渐渐融合成为一个范畴。然而,现有技术中信息通信私密性得不到保护,安全性很低;同时现有通信方法使用范围有限。
目前云服务可以通过互联网向用户提供看似无限的虚拟化的资源服务,并且在此过程中隐藏了平台和具体的实现细节。如今的云服务提供商可以花费较低的成本来提供高度可用的存储服务和大规模并行化的计算资源。随着云计算以及云存储技术的普及,越来越多的数据被集中起来由有指定权限的用户所共享。且现有的通信信息传输没有一个专门的系统来对信息传输进行管理以及归一化。
如今的云存储服务面临着一个严峻的挑战,就是如何在数据大规模增长的情况下实现对这些数据的有效管理。为了实现云计算环境中数据管理的可伸缩性,重复数据删除技术吸引了越来越多的关注。重复数据删除技术是一种特殊的数据压缩技术,它用于删除在云计算中相同数据的重复的副本。该技术用于提高存储利用率,并且可以应用在网络数据传输过程中减少必要的传输字节。与对相同的数据保存多个副本不同,重复数据删除技术对相同数据只保留一个物理副本并将其它与此相同的数据指向该副本。虽然重复数据删除技术带来了很多好处,但是来自内部或外部的安全威胁对于用户敏感数据的安全性和隐私性的影响,也是需要考虑问题。虽然传统的加密方案可以提供数据保密性,但是与重复数据删除系统存在不兼容的问题。
且现有通信传输管理系统不能针对用户的不同权限进行通道的开合与关闭,也不能针对用户的不同权限进行数据通道与文件令牌的分配,因此需要一种可以基于用户不同权限的通信信息传输系统。
具体来说,在传统加密方案中,不同的用户用各自不同的密钥来加密自己的数据,因此,来自不同用户的相同数据有着不同的密文形式,这使得重复数据的删除难以实现。收敛加密提供了一个可行的方法来实现重复数据删除。它在加/解密一个数据副本时用的是一个收敛的密钥,该密钥通过计算该数据副本内容的加密的哈希值产生。在密钥生成和数据加密之后,用户保留该密钥并且将密文发送到云中。由于采用的是确定性加密,所以相同的数据副本将产生相同的收敛密钥和相同的密文。
为了防止未经授权的访问,需要用一个安全的可证明数据拥有协议提供一个证据来证明用户真的拥有和出现重复副本的那个文件。证明之后,服务器将为这些具有相同文件的用户各自分派一个指针,而用户并不需要上传该相同的文件。用户可以利用服务器提供的指针来下载加密过的文件,该文件只能由相应的数据拥有者利用收敛密钥进行解密。因此,收敛加密技术可以让云实现对密文的重复数据删除,并且可以通过提供所有权证明来避免未经授权的用户对文件的访问。然而,以前的重复数据删除系统不支持分级权限的重复性检查,但是这类重复性检查在许多应用中却是十分重要的。例如,在一个公司中,许多不同的权限将被分配给员工。为了节约成本和有效的管理,数据将被转移到公共云中的存储服务器提供商(云服务器),也同样使用重复数据删除技术来对相同的文件仅保存一个文件副本。而且,出于隐私性的考虑,一些文件将被加密并且仅允许一些具有指定权限的用户进行重复检查,从而实现访问控制。
传统的重复数据删除系统是基于收敛特性的,虽然它在一定程度上为数据提供了保密性,但它并不支持不同权限的副本检查。换句话说,在基于收敛性加密技术的重复数据删除系统中,不考虑有关差分授权的问题。这是因为数据去重和不同权限的副本检查本来是互相矛盾的。
为了证明现有技术的不足,首先利用前述的令牌发生器TagGen(F,kp)来设计一个这样的重复数据删除系统。假设系统中有n个用户,他们权限的集合为
Figure RE-GDA0003271823390000031
Figure RE-GDA0003271823390000032
中的每一个p都选择一个kp,对于一个拥有权限的集合PU的用户U,他将被分配一个密钥集{kpξ}Pξ∈PU
文件上传:设想一个拥有权限集合PU的数据拥有者U想要上传文件F并将该文件与拥有权限集
Figure RE-GDA0003271823390000033
的用户共享,而且对每一个p∈PF,用户计算并向公共云存储服务提供商(云服务器)发送文件令牌φF,kp=TagGen(F,kp)
如果在云服务器中发现了重复的副本,用户将进行对该文件的所有权的证明,若验证通过,用户将被分配一个指针,表示允许对该文件进行访问。
如果没有找到重复的副本,用户将利用收敛密钥kf=KeyGenCE(F)计算加密文件CF=EncCE(kF,F)并上传(CF,{φF,kp})到云服务器,其中,收敛密钥存储在用户本地。
文件检索:假设某用户希望下载文件F,首先向云服务器发送文件名和下载请求。云服务器接收到文件名及请求之后先验证该用户是否有权限下载文件F。如果验证失败,云服务器将返回给用户一个请求被拒绝,下载失败的信息。如果验证成功,云服务器将返回给用户相应的密文CF。用户接收到CF之后利用本地存储的密钥kF解密出原始文件F。
根据上述方法构建这样一个带有授权机制的重复数据删除系统存在一些严重的安全问题:
首先,每一个用户将根据其自身权限得到私钥集{kpξ}Pξ∈PU标记为PU。用户可以利用这个私钥集来生成文件令牌用于重复性检查。但是,在文件上传过程中,用户需要计算要与其它拥有权限PF的用户共享的文件令牌。为了生成这些令牌,用户需要知道PF的私钥,也就是说PF只能从PU中选取。这种限制使得带有授权机制的重复数据删除系统无法得到广泛的应用和限制。
其次,上述重复数据删除系统无法抵御由用户发起的共谋攻击。因为具有相同权限的用户会得到相同的私钥。所以,用户有可能合谋为新的权限P*产生特权私钥集,而该权限P*并不属于参与合谋的用户中的任何一个人。例如,一个拥有权限集
Figure RE-GDA0003271823390000041
的用户与另个一拥有权限集
Figure RE-GDA0003271823390000042
的用户合谋产生新的权限集
Figure RE-GDA0003271823390000043
综上,这种结构本身就存在易受暴力破解的威胁,暴力破解的文件将被解密为已知文件。所以,该重复数据删除系统无法保护指定的文件。一个关键的原因就是传统的收敛性加密系统只能保护非确定性文件的语义安全性。因此,亟需一种新的通信信息传输系统。
通过上述分析,现有技术存在的问题及缺陷为:
(1)现有通信信息传输系统不能针对用户的不同权限进行通道的分配以及文件令牌的分配。
(2)现有现有技术中信息通信私密性得不到保护,安全性很低;同时现有通信方法使用范围有限。
(3)现有通信信息传输系统易受暴力破解的威胁,暴力破解的文件将被解密为已知文件,只能保护非确定性文件的语义安全性,无法保护指定的文件。
发明内容
针对现有技术存在的问题,本发明提供了一种基于不同权限的通信信息传输系统及方法。
本发明是这样实现的,一种基于不同权限的通信信息传输系统,所述基于不同权限的通信信息传输系统包括:
数据获取模块,与中央控制模块连接,用于通过通信信息发送端获取待传输的原始通信信息数据;
数据预处理模块,与中央控制模块连接,用于通过数据预处理程序对获取的原始通信信息数据进行分类筛选处理;
中央控制模块,与数据获取模块、数据预处理模块、数据加密模块、身份认证模块、通信信息传输模块、通信信息接收模块、数据解密模块、云存储模块、本地存储模块连接,用于通过中央处理器协调控制所述基于不同权限的通信信息传输系统各个模块的正常运行;
数据加密模块,与中央控制模块连接,用于通过数据加密程序对分类筛选处理后的待传输的通信信息数据进行加密处理,包括:
当数据存储在本地存储块模块和云存储模块时,数据加密服务器会随机生成两对密钥对数据进行加密,分别作用于本地存储模块和云存储模块,包括:
公钥生成:公钥由有限域k,以及它的加法和乘法结构和n个二次多元多项式组成;
私钥生成:私钥由映射
Figure RE-GDA0003271823390000051
随机选取的r个线性独立的z1,…,zr∈k[x1,…,x2l]、一个点集P、两个可逆仿射变换L1和L2以及它们的逆组成;
加密过程即给定明文M′=(x1′,…,xn′),用选取的公钥进行加密,形成密文 Z′=(z1′,…,zn′);
当用户请求查看数据时,数据加密服务器请求进行身份验证和密钥;
用户输入相应信息后经由数据加密服务器验证;若通过验证则反馈许可证,数据解密服务器对数据进行解密打包传送至中央处理模块;
身份认证模块,与中央控制模块连接,用于通过身份认证程序对通信信息发送端的用户身份信息进行验证,确认用户的身份权限,并根据用户的权限开放相应的数据通道以及分配相应的文件令牌,包括:
用户向所述云服务器上传文件和/或数据并与其他用户共享,所述用户在所述私有云服务器进行用户的身份证明;
身份证明通过后,所述私有云服务器在其存储的列表中搜索所述用户的相应权限;否则,返回所述用户向所述云服务器上传文件和/或数据并与其他用户共享步骤;同时,所述用户向所述私有云服务器发送请求文件令牌;
用户获得所述文件令牌并发送至所述云服务器,所述云服务器收到所述文件令牌后向所述用户返回签名;所述用户向所述私有云服务器发送所述文件和/ 或数据的权限集以及所述签名;
私有云服务器验证所述签名,通过后,所述私有云服务器将对每一个文件和/或数据权限集计算
Figure RE-GDA0003271823390000061
并返回至所述用户;
用户使用收敛密钥计算加密的文件和/或数据并向所述云服务器上传
Figure RE-GDA0003271823390000062
和PF
通信信息传输模块,与中央控制模块连接,用于通过通信信息传输程序将加密处理后的待传输的通信信息数据传输至通信信息接收端,包括:
通信信息发送端获取选定的通信信息接收端的身份信息,当对通信信息接收端的身份认证成功后,通信信息发送端获取用户输入的通信信息;
对用户的身份信息进行验证,确认用户的身份权限,根据用户的权限开放相应的数据通道以及分配相应的文件令牌;通信信息发送端依次发送多个消息至任务与转发器间建立的任务发送队列;
转发器依次检测发送队列中的消息的目标任务,转发器依次将消息发送至目标任务与转发器之间建立的目标任务接收队列;目标任务从目标任务接收队列中读取消息,并将所述通信信息发送至通信信息发送端;
通信信息接收模块,与中央控制模块连接,用于通过通信信息接收端激活通信通道,当对通信信息接收端的身份认证成功后,通信信息发送端获取用户输入的通信信息;
数据解密模块,与中央控制模块连接,用于通过数据解密程序对所述通信信息接收端获取的通信信息进行解密处理;
云存储模块,与中央控制模块连接,用于通过私有云服务器存储和管理为所述用户权限分配的私钥,以及与所述用户上传的文件和/或数据对应的文件令牌,根据不同权限的用户分配用户对应权限的文件令牌以及数据;
本地存储模块,与中央控制模块连接,用于存储数据,由SQL接口进行两个模块间数据的连接,采用SQL服务数据库进行数据的存储,将转换好的数据打包发送至中央控制模块,经由中央控制模块进行标签操作传送至SQL服务数据库。
进一步,数据加密模块中,所述中心映射重新构造的过程包括:
首先,选择r是一个比较小的整数,随机选择r个线性独立方程
Figure RE-GDA0003271823390000071
映射Z:k2l→kr如下确定:
Z(x1,…,x2l)=(z1(x1,…,x2l),…,zr(x1,…,x2l));
其次,随机选取2l个总次数为2的多项式
Figure RE-GDA0003271823390000072
映射
Figure RE-GDA0003271823390000073
如下确定:
然后,定义扰动映射F*:k2l→k2l
Figure RE-GDA0003271823390000074
和Z的复合:
其中,f1 *,…,f2l *∈k[x1,…,x2l];
最后,用内部扰动映射F*扰动原来的中心映射
Figure RE-GDA0003271823390000075
新的公钥映射为:
Figure RE-GDA0003271823390000081
进一步,数据加密模块中,所述公钥生成包括:
选取有限域k,以及它的加法和乘法结构;
选取2l个二次多元多项式组:
f1(x1,…,x2l),…,f2l(x1,…,x2l)∈k[x1,…,x2l];
其中,所述私钥生成包括:
选取映射
Figure RE-GDA0003271823390000082
即两个随机数α1,α2
随机选取r个线性独立的z1,…,zr∈k[x1,…,xn];
选取一个点集P,P是所有映射
Figure RE-GDA0003271823390000083
的像和原像的集合,即:
Figure RE-GDA0003271823390000084
点集P由随机选取的2l个二次多项式
Figure RE-GDA0003271823390000085
确定。
进一步,身份认证模块中,所述通过身份认证模块利用身份认证程序对通信信息发送端的用户身份信息进行验证,包括:
用户向云服务器上传文件和/或数据并与其他用户共享,所述用户在所述私有云服务器进行用户的身份证明;身份证明通过后,所述私有云服务器在其存储的列表中搜索所述用户的相应权限;否则,返回所述用户在所述私有云服务器进行用户的身份证明;
用户向所述私有云服务器发送请求文件令牌,用户获得所述文件对应用户权限的令牌并发送至所述云服务器;所述云服务器收到所述文件令牌后向所述用户返回签名;
用户向所述私有云服务器发送所述文件和/或数据的权限集以及所述签名,所述私有云服务器验证所述签名;通过后,所述私有云服务器将对每一个文件和/或数据权限集计算文件令牌并返回至所述用户;用户使用收敛密钥计算加密的文件和/或数据并向所述云服务器上传密文和访问策略。
进一步,身份认证模块中,所述用户获得所述文件令牌并发送至所述云服务器,当发现存在重复副本时,还包括:
(1)用户与所述云服务器同时验证所述文件和/或数据的所有权;
(2)通过所有权验证后,所述云服务器向所述用户分配一个所述文件和/或数据的指针,并向所述用户返回签名;
(3)用户向所述私有云服务器发送所述文件和/或数据的权限集以及签名;
(4)私有云服务器验证所述签名,通过后,所述私有云服务器将对每一个用户所不具备的文件权限计算得出文件令牌并返回至所述用户;
(5)用户将所述文件和/或数据的文件令牌上传至所述私有云服务器,并设置所述文件和/或数据的权限集。
进一步,身份认证模块中,所述用户获得所述文件令牌并发送至所述云服务器,当发现存在重复副本时,具体包括:
(1)用户与所述云服务器同时验证所述文件和/或数据的所有权;通过所有权验证后,所述云服务器向所述用户分配一个所述文件和/或数据的指针,并向所述用户返回签名;
(2)用户向所述私有云服务器发送所述文件和/或数据的权限集以及签名;所述私有云服务器验证所述签名;通过后,所述私有云服务器将对每一个 pj∈PF-PU计算
Figure RE-GDA0003271823390000091
并返回至所述用户;其中,PU是数据拥有者之前在重复校验云服务器做查重询问时,已经由私有云服务器计算过,因此后面私有云服务器就不需要再计算PU;因而只需要计算他不具备的文件权限Pf的部分,也就是Pf-PU
(3)用户将所述文件和/或数据的文件令牌上传至所述私有云服务器,并设置所述文件和/或数据的权限集。
进一步,身份认证模块中,所述通信信息接收端进行身份信息认证处理,还包括:
(1)定义一个二元关系R={(p,p')}如下,给定两个权限p和p',并当且仅当R(p,p')=1时,p和p'是匹配的;
(2)系统设置:假设系统中有n个用户,他们权限的集合为
Figure RE-GDA0003271823390000101
对每一个
Figure RE-GDA0003271823390000102
选择一个对称的密钥
Figure RE-GDA0003271823390000103
密钥的集合
Figure RE-GDA0003271823390000104
将被发送到私有云中;另外,还定义一种身份识别协议Π=(Proof,Verify),Proof跟Verify 分别表示用于证明和验证的算法;还有,假设每一个用户U还拥有一个秘密密钥skU用于和服务器一起做身份识别;假设用户U拥有权限集PU,同时还启动 PoW协议“POW”来为文件所有权做出证明;私有云服务器将维持一个表格,存储每个用户的公开信息pkU和相应的权限集PU;存储服务器的文件存储系统将被设置为⊥;
(3)文件上传:假设一个数据拥有者想要上传一个文件F并将该文件与拥有的权限属于PF={pj}的其它用户共享;数据拥有者需要在云服务器中进行重复性检查之前先于私有云进行一个交互;数据拥有者需要做一个身份认证来证明与私钥sk的一致性;如果验证通过,私有云服务器将在其存储的列表里找到该数据拥有者相应的权限PU;该用户计算φF=TagGen(F)并将它发送给私有云服务器,私有云服务器将对每一个符合R(p,pτ)=1的pτ,返回给用户一个信息
Figure RE-GDA0003271823390000105
其中,p∈PU;然后,用户将与云服务器交互,向云服务器发送文件令牌
Figure RE-GDA0003271823390000106
(4)文件过滤:在收到来自云服务器的加密数据之后,用户用收敛密钥kF来解密出最原始的文件。
进一步,所述文件上传过程中,如果发现了重复副本,用户需要与云服务器同时运行PoW协议“POW”来证明对文件的所有权;如果所有权验证通过,用户将被非配一个该文件的指针;同时,将返回一个来自云服务器的证明,该证明是基于
Figure RE-GDA0003271823390000111
和时间戳的签名;然后,用户向私有云服务器发送关于文件 F权限集PF={pj}和上述签名;在接收到该请求之后,私有云服务器首先向云服务器验证上述签名,如果验证通过,私有云服务器将对每一个pj∈PF-PU计算
Figure RE-GDA0003271823390000112
并返回给用户;用户也同时也将这些文件F的令牌上传到私有云服务器,然后该文件的权限集将被设置为pF
如果没有发现重复副本,云服务器也将返回一个证明,该证明也是一个基于
Figure RE-GDA0003271823390000113
和时间戳的签名;用户向私有云服务器发送关于文件F权限集 PF={pj}和上述签名;在接收到该请求之后,私有云服务器首先向云服务器验证上述签名,如果验证通过,私有云服务器将对每一个pj∈PF计算
Figure RE-GDA0003271823390000114
并返回给用户;最后,用户将利用收敛密钥 kF=KeyGenCE(F)计算加密的文件CF=EncCE(kF,F)并上传
Figure RE-GDA0003271823390000115
和PF
进一步,身份认证模块中,所述通信信息接收端进行身份信息认证处理中,还包括抵御暴力破解带来的威胁,包括:
(1)用户向所述云服务器上传文件和/或数据并与其他用户共享,所述用户在所述私有云服务器进行用户的身份证明并将所述H(F)发送至所述私有云服务器;
(2)身份证明通过后,对所有满足R(p,pτ)=1的pτ的两个文件标签集
Figure RE-GDA0003271823390000116
Figure RE-GDA0003271823390000117
将被反馈给用户;
(3)用户收到标签
Figure RE-GDA0003271823390000118
Figure RE-GDA0003271823390000119
后,将发送至与其交互的所述云服务器,所述云服务器收到所述标签后,将返回签名;所述用户将所述签名与所述文件和/或数据权限集发送至所述私有云服务器以请求上传文件和/或数据;
(4)私有云服务器接收所述请求后验证所述签名,通过后,所述私有云服务器对每一个pj∈P计算
Figure RE-GDA0003271823390000121
Figure RE-GDA0003271823390000122
并将计算的结果将返回给所述用户;所述用户计算对所述文件和/或数据的加密 CF=EncSE(k,F),用户上传
Figure RE-GDA0003271823390000123
进一步,数据解密模块中,所述通过数据解密程序对所述通信信息接收端获取的通信信息进行解密处理,包括:
解密过程是加密的逆过程,所述解密所用的秘钥为选取的私钥:
(1)在得到密文Z′=(z1′,…,z2l′)后,首先计算:
Y′=L2 -1(Z′)=(y1′,…,y2l′);
(2)对于点集P中的每一点(μ,λ),计算:
Figure RE-GDA0003271823390000124
验证Z(y1″,…,y2l″)=μ,如果不成立,则丢弃这组值;否则进行下一步;
(3)最后计算:
M′=L1 -1(y1″,…,y2l″)=(m1′,…,m2l′),
如果只有唯一的一组(m1′,…,m2l′),则M′即为对应的明文;如果得到超过一组的(m1′,…,m2l′),则用Hash函数或者增加验证方程的方式来确定唯一明文。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:本发明提供的基于不同权限的通信信息传输系统,根据用户的不同权限进行文件令牌的分配,且通过获取并利用通信信息接收端的身份信息对通信信息接收端进行身份认证,并对通信信息进行加密后再发送到通信信息接收端,使得经过身份认证的通信信息接收端,才能获取通信信息,使得通信信息不容易被任何第三方获取,且获取的通信信息是经过加密的,使得通信信息的私密性可以得到很好的保护,提高了系统的安全性。
同时,本发明提供的通信方法通过转发器和队列的组合实现了不同任务间消息的传输,所以此时不再需要利用系统提供的消息接口来实现消息的传输,任务只需要将消息放入队列,并由转发器进行相应地转发即可实现消息的传输。本发明中通过对队列的优化和扩展,即对传输队列的属性的控制来改变队列中消息的模式,还可以增加本发明的通信方法的使用范围。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的基于不同权限的通信信息传输系统结构框图;
图中:1、数据获取模块;2、数据预处理模块;3、中央控制模块;4、数据加密模块;5、身份认证模块;6、通信信息传输模块;7、通信信息接收模块; 8、数据解密模块;9、云存储模块;10、本地存储模块。
图2是本发明实施例提供的基于不同权限的通信信息传输方法流程图。
图3是本发明实施例提供的通过数据加密模块利用数据加密程序对分类筛选处理后的待传输的通信信息数据进行加密处理的方法流程图。
图4是本发明实施例提供的通过身份认证模块利用身份认证程序对通信信息发送端的用户身份信息进行验证的方法流程图。
图5是本发明实施例提供的通过通信信息接收模块利用通信信息发送端获取用户输入的通信信息的方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种基于不同权限的通信信息传输系统及方法,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的基于不同权限的通信信息传输系统包括:数据获取模块1、数据预处理模块2、中央控制模块3、数据加密模块4、身份认证模块5、通信信息传输模块6、通信信息接收模块7、数据解密模块8、云存储模块9、本地存储模块10。
数据获取模块1,与中央控制模块3连接,用于通过通信信息发送端获取待传输的原始通信信息数据;
数据预处理模块2,与中央控制模块3连接,用于通过数据预处理程序对获取的原始通信信息数据进行分类筛选处理;
中央控制模块3,与数据获取模块1、数据预处理模块2、数据加密模块4、身份认证模块5、通信信息传输模块6、通信信息接收模块7、数据解密模块8、云存储模块9、本地存储模块10连接,用于通过中央处理器协调控制所述基于不同权限的通信信息传输系统各个模块的正常运行;
数据加密模块4,与中央控制模块3连接,用于通过数据加密程序对分类筛选处理后的待传输的通信信息数据进行加密处理;
身份认证模块5,与中央控制模块3连接,用于通过身份认证程序对通信信息发送端的用户身份信息进行验证,确认用户的身份权限,并根据用户的权限开放相应的数据通道以及分配相应的文件令牌;
通信信息传输模块6,与中央控制模块3连接,用于通过通信信息传输程序将加密处理后的待传输的通信信息数据传输至通信信息接收端;
通信信息接收模块7,与中央控制模块3连接,用于通过通信信息接收端激活通信通道,当对通信信息接收端的身份认证成功后,通信信息发送端获取用户输入的通信信息;
数据解密模块8,与中央控制模块3连接,用于通过数据解密程序对所述通信信息接收端获取的通信信息进行解密处理;
云存储模块9,与中央控制模块3连接,用于通过私有云服务器存储和管理为所述用户权限分配的私钥,以及与所述用户上传的文件和/或数据对应的文件令牌,根据不同权限的用户分配用户对应权限的文件令牌以及数据;
本地存储模块10,与中央控制模块3连接,用于存储数据,由SQL接口进行两个模块间数据的连接,采用SQL服务数据库进行数据的存储,将转换好的数据打包发送至中央控制模块,经由中央控制模块进行标签操作传送至SQL服务数据库。
如图2所示,本发明实施例提供的基于不同权限的通信信息传输方法包括以下步骤:
S101,通过数据获取模块利用通信信息发送端获取待传输的原始通信信息数据;通过数据预处理模块利用数据预处理程序对获取的原始通信信息数据进行分类筛选处理;
S102,通过中央控制模块利用中央处理器协调控制所述基于不同权限的通信信息传输系统各个模块的正常运行;通过数据加密模块利用数据加密程序对分类筛选处理后的待传输的通信信息数据进行加密处理;
S103,通过身份认证模块利用身份认证程序对通信信息发送端的用户身份信息进行验证,确认用户的身份权限,并根据用户的权限开放相应的数据通道以及分配相应的文件令牌;
S104,通过通信信息传输模块利用通信信息传输程序将加密处理后的待传输的通信信息数据传输至通信信息接收端;
S105,通过通信信息接收模块利用通信信息接收端激活通信通道,当对通信信息接收端的身份认证成功后,通信信息发送端获取用户输入的通信信息;
S106,通过数据解密模块利用数据解密程序对所述通信信息接收端获取的通信信息进行解密处理;
S107,通过云存储模块利用私有云服务器存储和管理为所述用户权限分配的私钥,以及与所述用户上传的文件和/或数据对应的文件令牌,根据不同权限的用户分配用户对应权限的文件令牌以及数据;
S108,通过本地存储模块存储数据,由SQL接口进行两个模块间数据的连接,采用SQL服务数据库进行数据的存储,将转换好的数据打包发送至中央控制模块,经由中央控制模块进行标签操作传送至SQL服务数据库。
如图3所示,本发明实施例提供的步骤S102中,所述通过数据加密模块利用数据加密程序对分类筛选处理后的待传输的通信信息数据进行加密处理,包括:
S201,当数据存储在本地存储块模块和云存储模块时,数据加密服务器会随机生成两对密钥对数据进行加密,分别作用于本地存储模块和云存储模块;
S202,当用户请求查看数据时,数据加密服务器请求进行身份验证和密钥;
S203,用户输入相应信息后经由数据加密服务器验证;若通过验证则反馈许可证,数据解密服务器对数据进行解密打包传送至中央处理模块。
本发明实施例提供的步骤S102中,所述通过数据加密模块利用数据加密程序对分类筛选处理后的待传输的通信信息数据进行加密处理,还包括:
(1)公钥生成:公钥由有限域k,以及它的加法和乘法结构和n个二次多元多项式组成;
(2)私钥生成:私钥由映射
Figure RE-GDA0003271823390000161
随机选取的r个线性独立的 z1,…,zr∈k[x1,…,x2l]、一个点集P、两个可逆仿射变换L1和L2以及它们的逆组成;
(3)加密过程即给定明文M′=(x1′,…,xn′),用选取的公钥进行加密,形成密文Z′=(z1′,…,zn′);
其中,所述中心映射重新构造的过程包括:
首先,选择r是一个比较小的整数,随机选择r个线性独立方程
Figure RE-GDA0003271823390000171
映射Z:k2l→kr如下确定:
Z(x1,…,x2l)=(z1(x1,…,x2l),…,zr(x1,…,x2l));
其次,随机选取2l个总次数为2的多项式
Figure RE-GDA0003271823390000172
映射
Figure RE-GDA0003271823390000173
如下确定:
然后,定义扰动映射F*:k2l→k2l
Figure RE-GDA0003271823390000174
和Z的复合:
其中,f1 *,…,f2l *∈k[x1,…,x2l];
最后,用内部扰动映射F*扰动原来的中心映射
Figure RE-GDA0003271823390000175
新的公钥映射为:
Figure RE-GDA0003271823390000176
其中,所述公钥生成包括:
选取有限域k,以及它的加法和乘法结构;
选取2l个二次多元多项式组:
f1(x1,…,x2l),…,f2l(x1,…,x2l)∈k[x1,…,x2l];
其中,所述私钥生成包括:
选取映射
Figure RE-GDA0003271823390000177
即两个随机数α1,α2
随机选取r个线性独立的z1,…,zr∈k[x1,…,xn];
选取一个点集P,P是所有映射
Figure RE-GDA0003271823390000178
的像和原像的集合,即:
Figure RE-GDA0003271823390000179
点集P由随机选取的2l个二次多项式
Figure RE-GDA0003271823390000181
确定。
如图4所示,本发明实施例提供的步骤S103中,所述通信信息接收端包括云服务器、私有云服务器以及多个拥有不同权限的用户,所述通过身份认证模块利用身份认证程序对通信信息发送端的用户身份信息进行验证,包括:
S301,用户向云服务器上传文件和/或数据并与其他用户共享,所述用户在所述私有云服务器进行用户的身份证明;
S302,身份证明通过后,所述私有云服务器在其存储的列表中搜索所述用户的相应权限;否则,返回所述用户在所述私有云服务器进行用户的身份证明;
S303,用户向所述私有云服务器发送请求文件令牌,用户获得所述文件对应用户权限的令牌并发送至所述云服务器;所述云服务器收到所述文件令牌后向所述用户返回签名;
S304,用户向所述私有云服务器发送所述文件和/或数据的权限集以及所述签名,所述私有云服务器验证所述签名;通过后,所述私有云服务器将对每一个文件和/或数据权限集计算文件令牌并返回至所述用户;
S305,用户使用收敛密钥计算加密的文件和/或数据并向所述云服务器上传密文和访问策略。
本发明实施例提供的步骤S103中,所述通过身份认证模块利用身份认证程序对通信信息发送端的用户身份信息进行验证,还包括:
(1)用户向所述云服务器上传文件和/或数据并与其他用户共享,所述用户在所述私有云服务器进行用户的身份证明;
(2)身份证明通过后,所述私有云服务器在其存储的列表中搜索所述用户的相应权限;否则,返回步骤(1);同时,所述用户向所述私有云服务器发送请求文件令牌;
(3)用户获得所述文件令牌并发送至所述云服务器,所述云服务器收到所述文件令牌后向所述用户返回签名;所述用户向所述私有云服务器发送所述文件和/或数据的权限集以及所述签名;
(4)私有云服务器验证所述签名,通过后,所述私有云服务器将对每一个文件和/或数据权限集计算
Figure RE-GDA0003271823390000191
并返回至所述用户;
(5)用户使用收敛密钥计算加密的文件和/或数据并向所述云服务器上传
Figure RE-GDA0003271823390000192
和PF
本发明实施例提供的所述用户获得所述文件令牌并发送至所述云服务器,当发现存在重复副本时,还包括:
(1)用户与所述云服务器同时验证所述文件和/或数据的所有权;
(2)通过所有权验证后,所述云服务器向所述用户分配一个所述文件和/或数据的指针,并向所述用户返回签名;
(3)用户向所述私有云服务器发送所述文件和/或数据的权限集以及签名;
(4)私有云服务器验证所述签名,通过后,所述私有云服务器将对每一个用户所不具备的文件权限计算得出文件令牌并返回至所述用户;
(5)用户将所述文件和/或数据的文件令牌上传至所述私有云服务器,并设置所述文件和/或数据的权限集。
本发明实施例提供的所述用户获得所述文件令牌并发送至所述云服务器,当发现存在重复副本时,具体包括:
(1)用户与所述云服务器同时验证所述文件和/或数据的所有权;通过所有权验证后,所述云服务器向所述用户分配一个所述文件和/或数据的指针,并向所述用户返回签名;
(2)用户向所述私有云服务器发送所述文件和/或数据的权限集以及签名;所述私有云服务器验证所述签名;通过后,所述私有云服务器将对每一个 pj∈PF-PU计算
Figure RE-GDA0003271823390000193
并返回至所述用户;其中,PU是数据拥有者之前在重复校验云服务器做查重询问时,已经由私有云服务器计算过,因此后面私有云服务器就不需要再计算PU;因而只需要计算他不具备的文件权限Pf的部分,也就是Pf-PU
(3)用户将所述文件和/或数据的文件令牌上传至所述私有云服务器,并设置所述文件和/或数据的权限集。
本发明实施例提供的所述通信信息接收端进行身份信息认证处理,还包括:
(1)定义一个二元关系R={(p,p')}如下,给定两个权限p和p',并当且仅当R(p,p')=1时,p和p'是匹配的;
(2)系统设置:假设系统中有n个用户,他们权限的集合为
Figure RE-GDA0003271823390000201
对每一个
Figure RE-GDA0003271823390000202
选择一个对称的密钥
Figure RE-GDA0003271823390000203
密钥的集合
Figure RE-GDA0003271823390000204
将被发送到私有云中;另外,还定义一种身份识别协议П=(Proof,Verify),Proof跟Verify 分别表示用于证明和验证的算法;还有,假设每一个用户U还拥有一个秘密密钥skU用于和服务器一起做身份识别;假设用户U拥有权限集PU,同时还启动 PoW协议“POW”来为文件所有权做出证明;私有云服务器将维持一个表格,存储每个用户的公开信息pkU和相应的权限集PU;存储服务器的文件存储系统将被设置为⊥;
(3)文件上传:假设一个数据拥有者想要上传一个文件F并将该文件与拥有的权限属于PF={pj}的其它用户共享;数据拥有者需要在云服务器中进行重复性检查之前先于私有云进行一个交互;数据拥有者需要做一个身份认证来证明与私钥sk的一致性;如果验证通过,私有云服务器将在其存储的列表里找到该数据拥有者相应的权限PU;该用户计算φF=TagGen(F)并将它发送给私有云服务器,私有云服务器将对每一个符合R(p,pτ)=1的pτ,返回给用户一个信息
Figure RE-GDA0003271823390000205
其中,p∈PU;然后,用户将与云服务器交互,向云服务器发送文件令牌
Figure RE-GDA0003271823390000206
如果发现了重复副本,用户需要与云服务器同时运行PoW协议“POW”来证明对文件的所有权;如果所有权验证通过,用户将被非配一个该文件的指针;同时,将返回一个来自云服务器的证明,该证明是基于
Figure RE-GDA0003271823390000211
和时间戳的签名;然后,用户向私有云服务器发送关于文件F权限集PF={pj}和上述签名;在接收到该请求之后,私有云服务器首先向云服务器验证上述签名,如果验证通过,私有云服务器将对每一个pj∈PF-PU计算
Figure RE-GDA0003271823390000212
并返回给用户;用户也同时也将这些文件F的令牌上传到私有云服务器,然后该文件的权限集将被设置为pF
如果没有发现重复副本,云服务器也将返回一个证明,该证明也是一个基于
Figure RE-GDA0003271823390000213
和时间戳的签名;用户向私有云服务器发送关于文件F权限集 PF={pj}和上述签名;在接收到该请求之后,私有云服务器首先向云服务器验证上述签名,如果验证通过,私有云服务器将对每一个pj∈PF计算
Figure RE-GDA0003271823390000214
并返回给用户;最后,用户将利用收敛密钥 kF=KeyGenCE(F)计算加密的文件CF=EncCE(kF,F)并上传
Figure RE-GDA0003271823390000215
和PF
(4)文件过滤:在收到来自云服务器的加密数据之后,用户用收敛密钥kF来解密出最原始的文件。
本发明实施例提供的所述通信信息接收端进行身份信息认证处理中,还包括抵御暴力破解带来的威胁,包括:
(1)用户向所述云服务器上传文件和/或数据并与其他用户共享,所述用户在所述私有云服务器进行用户的身份证明并将所述H(F)发送至所述私有云服务器;
(2)身份证明通过后,对所有满足R(p,pτ)=1的pτ的两个文件标签集
Figure RE-GDA0003271823390000216
Figure RE-GDA0003271823390000217
将被反馈给用户;
(3)用户收到标签
Figure RE-GDA0003271823390000221
Figure RE-GDA0003271823390000222
后,将发送至与其交互的所述云服务器,所述云服务器收到所述标签后,将返回签名;所述用户将所述签名与所述文件和/或数据权限集发送至所述私有云服务器以请求上传文件和/或数据;
(4)私有云服务器接收所述请求后验证所述签名,通过后,所述私有云服务器对每一个pj∈P计算
Figure RE-GDA0003271823390000223
Figure RE-GDA0003271823390000224
并将计算的结果将返回给所述用户;所述用户计算对所述文件和/或数据的加密 CF=EncSE(k,F),用户上传
Figure RE-GDA0003271823390000225
如图5所示,本发明实施例提供的步骤S105中,所述通过通信信息接收模块利用通信信息发送端获取用户输入的通信信息,包括:
S401,通信信息发送端获取选定的通信信息接收端的身份信息,当对通信信息接收端的身份认证成功后,通信信息发送端获取用户输入的通信信息;
S402,对用户的身份信息进行验证,确认用户的身份权限,根据用户的权限开放相应的数据通道以及分配相应的文件令牌;
S403,通信信息发送端依次发送多个消息至任务与转发器间建立的任务发送队列;
S404,转发器依次检测发送队列中的消息的目标任务,转发器依次将消息发送至目标任务与转发器之间建立的目标任务接收队列;
S405,目标任务从目标任务接收队列中读取消息,并将所述通信信息发送至通信信息发送端。
本发明实施例提供的步骤S106中,所述通过数据解密模块利用数据解密程序对所述通信信息接收端获取的通信信息进行解密处理,包括:
解密过程是加密的逆过程,所述解密所用的秘钥为选取的私钥:
(1)在得到密文Z′=(z1′,…,z2l′)后,首先计算:
Y′=L2 -1(Z′)=(y1′,…,y2l′);
(2)对于点集P中的每一点(μ,λ),计算:
Figure RE-GDA0003271823390000231
验证Z(y1″,…,y2l″)=μ,如果不成立,则丢弃这组值;否则进行下一步;
(3)最后计算:
M′=L1 -1(y1″,…,y2l″)=(m1′,…,m2l′),
如果只有唯一的一组(m1′,…,m2l′),则M′即为对应的明文;如果得到超过一组的(m1′,…,m2l′),则用Hash函数或者增加验证方程的方式来确定唯一明文。
在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上;术语“上”、“下”、“左”、“右”、“内”、“外”、“前端”、“后端”、“头部”、“尾部”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用全部或部分地以计算机程序产品的形式实现,所述计算机程序产品包括一个或多个计算机指令。在计算机上加载或执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输)。所述计算机可读取存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如, DVD)、或者半导体介质(例如固态硬盘SolidState Disk(SSD))等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。

Claims (10)

1.一种基于不同权限的通信信息传输系统,其特征在于,所述基于不同权限的通信信息传输系统包括:
数据获取模块,与中央控制模块连接,用于通过通信信息发送端获取待传输的原始通信信息数据;
数据预处理模块,与中央控制模块连接,用于通过数据预处理程序对获取的原始通信信息数据进行分类筛选处理;
中央控制模块,与数据获取模块、数据预处理模块、数据加密模块、身份认证模块、通信信息传输模块、通信信息接收模块、数据解密模块、云存储模块、本地存储模块连接,用于通过中央处理器协调控制所述基于不同权限的通信信息传输系统各个模块的正常运行;
数据加密模块,与中央控制模块连接,用于通过数据加密程序对分类筛选处理后的待传输的通信信息数据进行加密处理,包括:
当数据存储在本地存储块模块和云存储模块时,数据加密服务器会随机生成两对密钥对数据进行加密,分别作用于本地存储模块和云存储模块,包括:
公钥生成:公钥由有限域
Figure DEST_PATH_IMAGE001
,以及它的加法和乘法结构和
Figure 544240DEST_PATH_IMAGE002
个二次多元多项式组成;
私钥生成:私钥由映射
Figure DEST_PATH_IMAGE003
随机选取的r个线性独立的
Figure 178615DEST_PATH_IMAGE004
、一个点集
Figure DEST_PATH_IMAGE005
、两个可逆仿射变换L 1L 2以及它们的逆组成;
加密过程即给定明文
Figure 324426DEST_PATH_IMAGE006
,用选取的公钥进行加密,形成密文
Figure DEST_PATH_IMAGE007
当用户请求查看数据时,数据加密服务器请求进行身份验证和密钥;
用户输入相应信息后经由数据加密服务器验证;若通过验证则反馈许可证,数据解密服务器对数据进行解密打包传送至中央处理模块;
身份认证模块,与中央控制模块连接,用于通过身份认证程序对通信信息发送端的用户身份信息进行验证,确认用户的身份权限,并根据用户的权限开放相应的数据通道以及分配相应的文件令牌,包括:
用户向所述云服务器上传文件和/或数据并与其他用户共享,所述用户在所述私有云服务器进行用户的身份证明;
身份证明通过后,所述私有云服务器在其存储的列表中搜索所述用户的相应权限;否则,返回所述用户向所述云服务器上传文件和/或数据并与其他用户共享步骤;同时,所述用户向所述私有云服务器发送请求文件令牌;
用户获得所述文件令牌并发送至所述云服务器,所述云服务器收到所述文件令牌后向所述用户返回签名;所述用户向所述私有云服务器发送所述文件和/或数据的权限集以及所述签名;
私有云服务器验证所述签名,通过后,所述私有云服务器将对每一个文件和/或数据权限集计算
Figure 231202DEST_PATH_IMAGE008
并返回至所述用户;
用户使用收敛密钥计算加密的文件和/或数据并向所述云服务器上传
Figure DEST_PATH_IMAGE009
Figure 993097DEST_PATH_IMAGE010
通信信息传输模块,与中央控制模块连接,用于通过通信信息传输程序将加密处理后的待传输的通信信息数据传输至通信信息接收端,包括:
通信信息发送端获取选定的通信信息接收端的身份信息,当对通信信息接收端的身份认证成功后,通信信息发送端获取用户输入的通信信息;
对用户的身份信息进行验证,确认用户的身份权限,根据用户的权限开放相应的数据通道以及分配相应的文件令牌;通信信息发送端依次发送多个消息至任务与转发器间建立的任务发送队列;
转发器依次检测发送队列中的消息的目标任务,转发器依次将消息发送至目标任务与转发器之间建立的目标任务接收队列;目标任务从目标任务接收队列中读取消息,并将所述通信信息发送至通信信息发送端;
通信信息接收模块,与中央控制模块连接,用于通过通信信息接收端激活通信通道,当对通信信息接收端的身份认证成功后,通信信息发送端获取用户输入的通信信息;
数据解密模块,与中央控制模块连接,用于通过数据解密程序对所述通信信息接收端获取的通信信息进行解密处理;
云存储模块,与中央控制模块连接,用于通过私有云服务器存储和管理为所述用户权限分配的私钥,以及与所述用户上传的文件和/或数据对应的文件令牌,根据不同权限的用户分配用户对应权限的文件令牌以及数据;
本地存储模块,与中央控制模块连接,用于存储数据,由SQL接口进行两个模块间数据的连接,采用SQL服务数据库进行数据的存储,将转换好的数据打包发送至中央控制模块,经由中央控制模块进行标签操作传送至SQL服务数据库。
2.如权利要求1所述的基于不同权限的通信信息传输系统,其特征在于,数据加密模块中,所述中心映射重新构造的过程包括:
首先,选择
Figure DEST_PATH_IMAGE011
是一个比较小的整数,随机选择
Figure 668929DEST_PATH_IMAGE011
个线性独立方程
Figure 188903DEST_PATH_IMAGE012
映射
Figure DEST_PATH_IMAGE013
如下确定:
Figure 582975DEST_PATH_IMAGE014
其次,随机选取2l个总次数为2的多项式
Figure DEST_PATH_IMAGE015
映射
Figure 10546DEST_PATH_IMAGE016
如下确定:
然后,定义扰动映射
Figure DEST_PATH_IMAGE017
Figure 681830DEST_PATH_IMAGE018
Figure DEST_PATH_IMAGE019
的复合:
其中,
Figure 169443DEST_PATH_IMAGE020
最后,用内部扰动映射F *扰动原来的中心映射
Figure 985565DEST_PATH_IMAGE003
,新的公钥映射为:
Figure DEST_PATH_IMAGE021
3.如权利要求1所述的基于不同权限的通信信息传输系统,其特征在于,数据加密模块中,所述公钥生成包括:
选取有限域
Figure 216826DEST_PATH_IMAGE022
,以及它的加法和乘法结构;
选取
Figure DEST_PATH_IMAGE023
个二次多元多项式组:
f1(x1,…,x2l),…,f2l(x1,…,x2l) ∈ k[x1,…,x2l];
其中,所述私钥生成包括:
选取映射
Figure 336091DEST_PATH_IMAGE024
,即两个随机数
Figure DEST_PATH_IMAGE025
Figure 729027DEST_PATH_IMAGE026
随机选取
Figure DEST_PATH_IMAGE027
个线性独立的
Figure 707478DEST_PATH_IMAGE028
选取一个点集
Figure 70326DEST_PATH_IMAGE005
Figure DEST_PATH_IMAGE029
是所有映射
Figure 309678DEST_PATH_IMAGE030
的像和原像的集合,即:
Figure DEST_PATH_IMAGE031
点集
Figure 745951DEST_PATH_IMAGE005
由随机选取的
Figure 929807DEST_PATH_IMAGE032
个二次多项式
Figure DEST_PATH_IMAGE033
确定。
4.如权利要求1所述的基于不同权限的通信信息传输系统,其特征在于,身份认证模块中,所述通过身份认证模块利用身份认证程序对通信信息发送端的用户身份信息进行验证,包括:
用户向云服务器上传文件和/或数据并与其他用户共享,所述用户在所述私有云服务器进行用户的身份证明;身份证明通过后,所述私有云服务器在其存储的列表中搜索所述用户的相应权限;否则,返回所述用户在所述私有云服务器进行用户的身份证明;
用户向所述私有云服务器发送请求文件令牌,用户获得所述文件对应用户权限的令牌并发送至所述云服务器;所述云服务器收到所述文件令牌后向所述用户返回签名;
用户向所述私有云服务器发送所述文件和/或数据的权限集以及所述签名,所述私有云服务器验证所述签名;通过后,所述私有云服务器将对每一个文件和/或数据权限集计算文件令牌并返回至所述用户;用户使用收敛密钥计算加密的文件和/或数据并向所述云服务器上传密文和访问策略。
5.如权利要求1所述的基于不同权限的通信信息传输系统,其特征在于,身份认证模块中,所述用户获得所述文件令牌并发送至所述云服务器,当发现存在重复副本时,还包括:
(1)用户与所述云服务器同时验证所述文件和/或数据的所有权;
(2)通过所有权验证后,所述云服务器向所述用户分配一个所述文件和/或数据的指针,并向所述用户返回签名;
(3)用户向所述私有云服务器发送所述文件和/或数据的权限集以及签名;
(4)私有云服务器验证所述签名,通过后,所述私有云服务器将对每一个用户所不具备的文件权限计算得出文件令牌并返回至所述用户;
(5)用户将所述文件和/或数据的文件令牌上传至所述私有云服务器,并设置所述文件和/或数据的权限集。
6.如权利要求1所述的基于不同权限的通信信息传输系统,其特征在于,身份认证模块中,所述用户获得所述文件令牌并发送至所述云服务器,当发现存在重复副本时,具体包括:
(1)用户与所述云服务器同时验证所述文件和/或数据的所有权;通过所有权验证后,所述云服务器向所述用户分配一个所述文件和/或数据的指针,并向所述用户返回签名;
(2)用户向所述私有云服务器发送所述文件和/或数据的权限集以及签名;所述私有云服务器验证所述签名;通过后,所述私有云服务器将对每一个
Figure 378237DEST_PATH_IMAGE034
计算
Figure 206516DEST_PATH_IMAGE008
并返回至所述用户;其中,
Figure DEST_PATH_IMAGE035
是数据拥有者之前在重复校验云服务器做查重询问时,已经由私有云服务器计算过,因此后面私有云服务器就不需要再计算
Figure 472412DEST_PATH_IMAGE035
;因而只需要计算他不具备的文件权限
Figure 753352DEST_PATH_IMAGE036
的部分,也就是
Figure 598948DEST_PATH_IMAGE036
-
Figure 406367DEST_PATH_IMAGE035
(3)用户将所述文件和/或数据的文件令牌上传至所述私有云服务器,并设置所述文件和/或数据的权限集。
7.如权利要求1所述的基于不同权限的通信信息传输系统,其特征在于,身份认证模块中,所述通信信息接收端进行身份信息认证处理,还包括:
(1)定义一个二元关系
Figure DEST_PATH_IMAGE037
如下,给定两个权限
Figure 715602DEST_PATH_IMAGE038
Figure DEST_PATH_IMAGE039
,并当且仅当
Figure 828045DEST_PATH_IMAGE040
时,
Figure 477332DEST_PATH_IMAGE038
Figure 14624DEST_PATH_IMAGE039
是匹配的;
(2)系统设置:假设系统中有n个用户,他们权限的集合为
Figure DEST_PATH_IMAGE041
,对每一个
Figure 356744DEST_PATH_IMAGE042
选择一个对称的密钥
Figure DEST_PATH_IMAGE043
,密钥的集合
Figure 304887DEST_PATH_IMAGE044
将被发送到私有云中;另外,还定义一种身份识别协议
Figure DEST_PATH_IMAGE045
,Proof跟Verify分别表示用于证明和验证的算法;还有,假设每一个用户U还拥有一个秘密密钥
Figure 492286DEST_PATH_IMAGE046
用于和服务器一起做身份识别;假设用户U拥有权限集
Figure DEST_PATH_IMAGE047
,同时还启动PoW协议“POW”来为文件所有权做出证明;私有云服务器将维持一个表格,存储每个用户的公开信息
Figure 680822DEST_PATH_IMAGE048
和相应的权限集
Figure 521739DEST_PATH_IMAGE047
;存储服务器的文件存储系统将被设置为⊥;
(3)文件上传:假设一个数据拥有者想要上传一个文件F并将该文件与拥有的权限属于
Figure DEST_PATH_IMAGE049
的其它用户共享;数据拥有者需要在云服务器中进行重复性检查之前先于私有云进行一个交互;数据拥有者需要做一个身份认证来证明与私钥
Figure 671092DEST_PATH_IMAGE050
的一致性;如果验证通过,私有云服务器将在其存储的列表里找到该数据拥有者相应的权限
Figure 255657DEST_PATH_IMAGE047
;该用户计算
Figure DEST_PATH_IMAGE051
并将它发送给私有云服务器,私有云服务器将对每一个符合
Figure 33120DEST_PATH_IMAGE052
Figure DEST_PATH_IMAGE053
,返回给用户一个信息
Figure 717042DEST_PATH_IMAGE054
,其中,
Figure DEST_PATH_IMAGE055
;然后,用户将与云服务器交互,向云服务器发送文件令牌
Figure 85182DEST_PATH_IMAGE056
(4)文件过滤:在收到来自云服务器的加密数据之后,用户用收敛密钥
Figure DEST_PATH_IMAGE057
来解密出最原始的文件。
8.如权利要求7所述的基于不同权限的通信信息传输系统,其特征在于,所述文件上传过程中,如果发现了重复副本,用户需要与云服务器同时运行PoW协议“POW”来证明对文件的所有权;如果所有权验证通过,用户将被非配一个该文件的指针;同时,将返回一个来自云服务器的证明,该证明是基于
Figure 879963DEST_PATH_IMAGE058
和时间戳的签名;然后,用户向私有云服务器发送关于文件F权限集
Figure 370987DEST_PATH_IMAGE049
和上述签名;在接收到该请求之后,私有云服务器首先向云服务器验证上述签名,如果验证通过,私有云服务器将对每一个
Figure 429073DEST_PATH_IMAGE034
计算
Figure 5548DEST_PATH_IMAGE008
并返回给用户;用户也同时也将这些文件F的令牌上传到私有云服务器,然后该文件的权限集将被设置为
Figure DEST_PATH_IMAGE059
如果没有发现重复副本,云服务器也将返回一个证明,该证明也是一个基于
Figure 479386DEST_PATH_IMAGE058
和时间戳的签名;用户向私有云服务器发送关于文件F权限集
Figure 824916DEST_PATH_IMAGE049
和上述签名;在接收到该请求之后,私有云服务器首先向云服务器验证上述签名,如果验证通过,私有云服务器将对每一个
Figure 319483DEST_PATH_IMAGE060
计算
Figure 258620DEST_PATH_IMAGE008
并返回给用户;最后,用户将利用收敛密钥
Figure DEST_PATH_IMAGE061
计算加密的文件
Figure 392273DEST_PATH_IMAGE062
并上传
Figure 592311DEST_PATH_IMAGE009
Figure 523358DEST_PATH_IMAGE010
9.如权利要求1所述的基于不同权限的通信信息传输系统,其特征在于,身份认证模块中,所述通信信息接收端进行身份信息认证处理中,还包括抵御暴力破解带来的威胁,包括:
(1)用户向所述云服务器上传文件和/或数据并与其他用户共享,所述用户在所述私有云服务器进行用户的身份证明并将所述
Figure DEST_PATH_IMAGE063
发送至所述私有云服务器;
(2)身份证明通过后,对所有满足
Figure 887474DEST_PATH_IMAGE052
Figure 296590DEST_PATH_IMAGE053
的两个文件标签集
Figure 757658DEST_PATH_IMAGE064
Figure DEST_PATH_IMAGE065
将被反馈给用户;
(3)用户收到标签
Figure 594027DEST_PATH_IMAGE066
Figure DEST_PATH_IMAGE067
后,将发送至与其交互的所述云服务器,所述云服务器收到所述标签后,将返回签名;所述用户将所述签名与所述文件和/或数据权限集发送至所述私有云服务器以请求上传文件和/或数据;
(4)私有云服务器接收所述请求后验证所述签名,通过后,所述私有云服务器对每一个
Figure 770406DEST_PATH_IMAGE068
计算
Figure DEST_PATH_IMAGE069
Figure 389737DEST_PATH_IMAGE070
,并将计算的结果将返回给所述用户;所述用户计算对所述文件和/或数据的加密
Figure DEST_PATH_IMAGE071
,用户上传
Figure 236470DEST_PATH_IMAGE072
10.如权利要求1所述的基于不同权限的通信信息传输系统,其特征在于,数据解密模块中,所述通过数据解密程序对所述通信信息接收端获取的通信信息进行解密处理,包括:
解密过程是加密的逆过程,所述解密所用的秘钥为选取的私钥:
(1)在得到密文
Figure DEST_PATH_IMAGE073
后,首先计算:
Figure 509320DEST_PATH_IMAGE074
(2)对于点集
Figure 910345DEST_PATH_IMAGE005
中的每一点
Figure DEST_PATH_IMAGE075
,计算:
Figure 192422DEST_PATH_IMAGE076
验证
Figure DEST_PATH_IMAGE077
,如果不成立,则丢弃这组值;否则进行下一步;
(3)最后计算:
Figure 893662DEST_PATH_IMAGE078
如果只有唯一的一组
Figure DEST_PATH_IMAGE079
,则
Figure 741008DEST_PATH_IMAGE080
即为对应的明文;如果得到超过一组的
Figure DEST_PATH_IMAGE081
,则用Hash 函数或者增加验证方程的方式来确定唯一明文。
CN202110889342.3A 2021-08-04 2021-08-04 一种基于不同权限的通信信息传输系统及方法 Withdrawn CN113645039A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110889342.3A CN113645039A (zh) 2021-08-04 2021-08-04 一种基于不同权限的通信信息传输系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110889342.3A CN113645039A (zh) 2021-08-04 2021-08-04 一种基于不同权限的通信信息传输系统及方法

Publications (1)

Publication Number Publication Date
CN113645039A true CN113645039A (zh) 2021-11-12

Family

ID=78419531

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110889342.3A Withdrawn CN113645039A (zh) 2021-08-04 2021-08-04 一种基于不同权限的通信信息传输系统及方法

Country Status (1)

Country Link
CN (1) CN113645039A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115150183A (zh) * 2022-07-25 2022-10-04 黄涌瀚 一种基于云计算与云存储的多变量公钥通信信息传输方法
CN115514561A (zh) * 2022-09-21 2022-12-23 贵州电网有限责任公司 一种数据安全通信系统及方法
CN115529194A (zh) * 2022-11-28 2022-12-27 中国人民解放军国防科技大学 一种数据管理方法、系统、设备和存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115150183A (zh) * 2022-07-25 2022-10-04 黄涌瀚 一种基于云计算与云存储的多变量公钥通信信息传输方法
CN115514561A (zh) * 2022-09-21 2022-12-23 贵州电网有限责任公司 一种数据安全通信系统及方法
CN115529194A (zh) * 2022-11-28 2022-12-27 中国人民解放军国防科技大学 一种数据管理方法、系统、设备和存储介质
CN115529194B (zh) * 2022-11-28 2023-03-10 中国人民解放军国防科技大学 一种数据管理方法、系统、设备和存储介质

Similar Documents

Publication Publication Date Title
CN110875821B (zh) 密码学区块链互操作
Shin et al. A survey of secure data deduplication schemes for cloud storage systems
US8856530B2 (en) Data storage incorporating cryptographically enhanced data protection
CN109327481B (zh) 一种基于区块链的全网统一在线认证方法及系统
Khalid et al. A survey on privacy and access control schemes in fog computing
US8166565B1 (en) Encryption and access method and system for peer-to-peer distributed file storage
CN113645039A (zh) 一种基于不同权限的通信信息传输系统及方法
JP2012518330A (ja) 高信頼なクラウド・コンピューティングおよびクラウド・サービスのフレームワーク
EP2396921A2 (en) Trusted cloud computing and services framework
CN103780607A (zh) 基于不同权限的重复数据删除的方法及其系统
CN117396869A (zh) 用于使用分布式账本技术进行安全密钥管理的系统和方法
Tu et al. A secure, efficient and verifiable multimedia data sharing scheme in fog networking system
Guo et al. Using blockchain to control access to cloud data
Chidambaram et al. Enhancing the security of customer data in cloud environments using a novel digital fingerprinting technique
Ahmed et al. Toward fine‐grained access control and privacy protection for video sharing in media convergence environment
CN107919966B (zh) 一种计算机网络安全控制器
Xu et al. Security theories and practices for big data
WO2023020150A1 (en) Authorized secure data movement
US11784804B2 (en) Distributed anonymized compliant encryption management system
CN107786662A (zh) 一种高效率的通信信息处理方法
Song et al. A group key exchange and secure data sharing based on privacy protection for federated learning in edge‐cloud collaborative computing environment
Nandini et al. Implementation of hybrid cloud approach for secure authorized deduplication
CN115150183A (zh) 一种基于云计算与云存储的多变量公钥通信信息传输方法
Venkatesh et al. Secure authorised deduplication by using hybrid cloud approach
US20230353362A1 (en) Access policy token

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20211112

WW01 Invention patent application withdrawn after publication