CN103107992B - 面向云存储加密数据共享的多级权限管理方法 - Google Patents

Abstract

本发明涉及一种面向云存储加密数据共享的多级权限管理方法，利用属性基加密、访问控制、权限管理等方法，为云存储环境下共享密文的访问及多级权限管理提供一种可靠的方法。本发明通过混合加密体制，首先应用对称加密算法加密数据，生成内容密文；接着采用属性基加密根据不同类别的权限信息加密，生成权限密文；然后采用属性基加密方案加密对称密钥及权限密文，并将其作为内容密文的文件头，生成最终密文。本发明具有易于实现、用户信息保护性强、权限控制粒度细等优点，在服务器不可信的前提下，支持对共享加密数据灵活、可扩展的权限管理，有效保证了用户数据及权限信息的隐私性和安全性，在云存储领域具有较好的实用价值和广阔的应用前景。

Description

面向云存储加密数据共享的多级权限管理方法

技术领域

本发明涉及一种面向云存储用于加密数据共享的多级权限管理方法，具体涉及利用属性基加密、访问控制以及权限管理的理论研究，对共享的加密数据支持灵活、细粒度的访问控制及权限管理的方法，属于信息安全技术领域。

背景技术

随着互联网和分布式计算机技术的发展，在分布开放的计算环境中进行数据共享和处理的需求越来越多。为解决数据隐私的保护问题，常见的方法是由用户对数据进行加密，把加密后的密文存储在服务端。当存储的加密数据形成规模之后，如何对加密数据共享成为迫切需要解决的问题。用户需要制定灵活的访问控制策略，实现权限的灵活设置，从而控制数据的共享范围，以及在与用户通信过程中保证数据的机密性。大规模分布式应用迫切需要支持一对多的通信模式，从而降低为每个用户加密数据带来的巨大开销。

目前，在数据加密体制的研究中，实现数据加密和访问控制的方法主要包括基于公钥基础设施(Public Key Infrastructure，PKI) 、基于身份的加密（Identity Based Encryption，IBE）等。这些方法一般使用一对一的通信模式，而且通信双方都必须通过真实身份验证才能实现加解密功能，导致处理开销大、占用带宽多及用户身份信息安全隐患等问题。基于属性的加密机制(Attributed-based Encryption, ABE)为加密数据的存取控制提供了一个新的方法，该机制在公钥加密的思想中引入了访问结构，系统在生成密钥或者产生密文时可以根据一个访问结构来产生，使得满足指定条件的用户才可以解密密文。然而，如何满足用户制定灵活、可扩展的访问策略需求，支持细粒度权限设置，同时对加密数据进行有效的分享和高效的管理，成为属性基加密机制应用于工程实践中亟待解决的问题。

经对现有技术文献的检索发现，目前基于属性的加密机制主要分为两类：一类是基于密钥策略的加密(Key Policy-Attributed based Encryption, KP-ABE)，另一类是基于密文策略的加密(Ciphertext Policy-Attributed based Encryption, CP-ABE)。基于密钥策略的加密方法, 通过引入访问树结构，将用户密钥与访问 结构相关联，密文与属性集相关联，当且仅当密文属性集满足用户密钥中的密钥策略时，用户才能解密密文的方法，来实现用户对密文的访问控制。这种加密方法由接收方规定对接收消息的要求，适用于查询类应用，无法应用于访问控制模型，而且用户密钥长度随用户属性成线性增长，导致开销太大，因此不适合工程的实际应用。Bethencourt等人于2007年发表在《IEEE Symposium on Security and Privacy, （IEEE关于安全与隐私的研讨会）》的论文《Ciphertext-Policy Attribute-Based Encryption（基于密文策略的属性基加密）》，通过将密文与访问策略相关联，用户密钥与属性集相关联，当且仅当用户密钥的属性集满足密文的访问策略时，用户才能解密密文的方法，来实现用户对文件的访问控制。该方法虽然适用于对加密数据的访问控制，但是却无法实现细粒度的权限管理，因此限制了其在工程上的应用。

发明内容

本发明的目的在于克服现有技术的不足，提供一种面向云存储加密数据共享的多级权限管理方法，在用户数量大、服务器不可靠等复杂的实际工程中，保证用户数据的隐私性和安全性，实现对云计算应用环境下不同用户对共享加密文件的访问以及权限控制。

为实现上述目的，本发明首先进行系统初始化，然后根据用户属性集生成用户私钥，并通过用户证书验证，分发给各用户。对于需要加密的文件，首先随机选择对称加密密钥，应用对称加密算法——高级加密标准（Advanced Encryption Standard，AES）算法加密数据或文件，生成内容密文；然后针对不同用户对文件具有的不同权限，采用属性基加密方法对不同权限结构进行加密，生成权限密文；最后根据对文件具有访问权限的用户访问结构，采用属性基加密方法加密对称密钥和权限密文，并将其以文件头的形式与内容密文结合，作为数据或文件的完整密文。解密时，首先当且仅当用户私钥的属性集满足访问策略时，用户才能解密文件头，获得对称密钥和权限密文；同时当且仅当用户私钥的属性集满足相应的权限策略时，才能解密相应部分，获得其权限信息。这样避免云计算服务商获知数据内容，同时在数据被加密的情况下，实现数据拥有者将符合指定条件的数据交给特定用户进行共享，达到对共享加密文件的访问以及权限控制。

本发明的方法通过以下具体步骤实现：

1系统初始化 

首先，授权中心随机选择(y,t_1…,t_n)∈Z_q ，运行双线性Diffie-Hellman （Bilinear Diffie-Hellman, BDH）参数生成器，产生两个阶为素数q的双线性群G₁,G₂,g是群G₁的生成元，以及双线性对运算e:G₁×G₁→G₂，得到系统公钥(Public Key, PK)以及系统主密钥(Master Key, MK)为:

$\mathrm{PK}={(Y=e(g,g)}^y,T_1=g^{t_1},...,T_n=g^{t_n}$ ) 

$\mathrm{MK}=(y,t_{1,...,}{t}_n)$

式中：e(g,g)^y表示双线性配对运算。

2用户私钥(Secret Key, SK)的生成以及分发

2.1首先, 授权中心根据用户信息生成用户证书，并将证书分发给各用户。

2.2然后, 授权中心随机选择一个d-1次多项式p（d为门限参数）,令p(0)=y，根据用户所拥有的属性集A_u，按以下公式计算，该用户私钥为：

${\{{\mathrm{SK}}_i=g^{p\left(i\right)/t_i}\}}_{\∀i\∈A_u}$

2.3最后，授权中心通过用户证书验证用户身份，并将私钥分发给相应用户。

3文件加密及上传

3.1首先，数据拥有者应用对称加密算法AES随机生成内容密钥（Context Key，CK），再将文件用内容密钥CK进行加密，得到内容密文N。

3.2然后，对文件权限信息进行加密。数据拥有者用可扩展访问控制标记语言(eXtensible Access Control Markup Language, XACML)按照不同的权限访问控制组合分类描述权限信息(R₁,R₂…R_m)，随机选择(s₁,s₂…s_m)∈Z_q，再根据不同权限组合对应的用户属性集合（A _c1,A_c2 …A_cm）分别部分加密相应权限信息，按以下公式得到文件权限密文K：

$\{A_{\mathrm{ci}},K_i=Y^{s_i}{R}_i=e{(g,g)}^{{\mathrm{ys}}_i}{R}_i,\{K_{i_j}=g^{t_j{s}_i}{\}}_{\∀j\∈A_{\mathrm{ci}}}{\}}_{\∀i\∈m}$

3.3得到权限加密信息后，随机选择z∈Z_q，根据对该文件具有访问权限的用户属性集合A_a，按照以下公式加密内容密钥CK以及权限密文K：

$\{A_a,Q=Y^z\{\mathrm{CK},K\}=e{(g,g)}^{\mathrm{yz}}\{\mathrm{CK},K\},\{Q_i=g^{t_{i}z}{\}}_{\∀i\∈A_a}\}$

并将其封装成文件头的形式与内容密文N组成密文E，最后，将密文E上传至 云服务器，实现文件共享。

4文件解密

4.1用户先从服务器将密文下载到本地，若|A_u∩A_a|＞d,则选择d个属性i∈A_u∪A_a ,计算e(Q_i,SK_i)=e(g,g)^p(i)z ,再用拉格朗日插值找到

Y^z=e(g,g)^p(0)z=e(g,g)^yz, 得到{CK,K}=Q/Y^z

若用户所拥有的属性集满足用户访问结构A_a, 则文件头解密成功，得到内容密钥CK以及权限密文K；否则，用户无法解密文件。

4.2若文件头解密成功，则进一步根据用户所拥有的私钥，解密权限密文K，若|A_u∩A_ci|＞d, 则选择d个属性j∈A_u∩A_ci ,

$e(K_{\mathrm{ij}}^{},{\mathrm{SK}}_j)=e{(g,g{}^{})}^{p_j\left(0\right)s_i},$

然后用拉格朗日插值找到

$Y^{s_i}=e{(g,g)}^{p\left(0\right)s_i}=e{(g,g)}^{y{s}_i}$

解密得到用户对应的权限信息 ,最后用户用内容密钥CK对内容密文N进行解密得到明文。这样，就可根据用户拥有的权限信息对文件进行操作控制。

本发明的显著效果在于：

本发明针对共享数据中安全存储、访问以及权限管理的需要，利用属性基加密、对称加密、权限管理技术，控制不同用户对共享文件的不同访问和使用权限，同时通过属性管理降低权限管理的复杂度，具有易于实现、数据保护性强、资源开销小、权限控制粒度细等优点。

本发明在服务提供商不可信的前提下，也能保证云存储系统中数据的安全性，支持数据所有者对共享数据灵活、细粒度、可扩展的权限控制。该发明可用于企业级安全应用的开发，为其提供身份认证、信息加解密、授权管理与验证等安全服务，适用于云存储的环境。

附图说明

图1 本发明结构图。

图2  加密过程示意图。

具体实施方法 

以下结合附图和实施例对本发明的技术方案作进一步详细说明。以下实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和过程，但本发 明的保护范围不限于下述的实施例。

为了更好地理解本实施例提出的方法，选取一次公司加密文件共享事件。事件中存在三个访问用户：用户A具有“技术部”属性；用户B具有“开发部”属性；用户C具有“财务部”属性。有一份共享文件M，用户A对其拥有“读、写、打印”权限；用户B对其拥有“读”权限；用户C无法访问。

如本发明方法结构图（图1）所示，本实施例具体实施步骤如下：

1系统初始化 

首先，授权中心随机选择(y,t_1…,t_n)∈Z_q ，运行双线性Diffie-Hellman （Bilinear Diffie-Hellman, BDH）参数生成器，产生两个阶为素数q的双线性群G₁,G₂,g是群G₁的生成元，以及双线性对运算e:G₁ ×G₁→G₂，得到系统公钥（Public Key, PK）以及系统主密钥(Master Key, MK)为:

$\mathrm{PK}={(Y=e(g,g)}^y,T_1=g^{t_1},...,T_3=g^{t_3}$ ) 

$\mathrm{MK}=(y,t_{1,...,}{t}_3)$

式中：e(g,g)^y表示双线性配对运算。

2用户私钥(Secret Key, SK)的生成以及分发

2.1首先，授权中心根据用户（A，B，C）的信息生成证书，并将证书分发给各用户。这样用户A，B，C，就得到其对应的用户证书，分别为CA_A，CA_B，CA_C。

2.2然后，授权中心随机选择一个d-1次多项式p（d为门限参数1）,令p(0)=y，根据用户所拥有的属性集A_u，按以下公式

                  ${\{{\mathrm{SK}}_i=g^{p\left(i\right)/t_i}\}}_{\∀i\∈A_u}$

得到用户私钥。这样生成了用户A，B，C的私钥，分别为SK_A，SK_B ,SK_C。

2.3最后，服务器通过用户证书CA_A，CA_C，CA_C验证用户身份，并将私钥分发给相应的用户，用户A，B，C分别得到私钥SK_A，SK_B ,SK_C。

3文件加密及上传

3.1首先，数据拥有者应用对称加密算法随机生成内容密钥（Context Key，CK），再将共享文件M用内容密钥CK进行加密，得到内容密文N。

3.2然后，数据拥有者用可扩展访问控制标记语言(eXtensible Access Control Markup Language, XACML)按照将不同的权限访问控制组合({读，写，打印}，{读})分类描述权限信息，随机选择(s₁,s₂ )∈Z_q ，根据不同权限组合对应的用户属性集合({A},{B})定义用户访问结构(A_c1{技术部}, A_c2{开发部})，根据访问结构加密相应权限信息，按以下公式得到文件权限密文K：

$\{A_{\mathrm{ci}},K_i=Y^{s_i}{R}_i=e{(g,g)}^{{\mathrm{ys}}_i}{R}_i,\{K_{i_j}=g^{t_j{s}_i}{\}}_{\∀j\∈A_{\mathrm{ci}}}{\}}_{\∀i\∈2}$

这样权限信息({读，写，打印}，{读})，就分别通过权限访问结构(A_c1,A_c2)进行属性基加密，得到权限密文K。

3.3得到权限加密信息后，随机选择zZ_q，数据拥有者根据对该文件具有访问权限的用户属性集合A_a ({技术部 or 开发部})，按照以下公式加密内容密钥CK以及权限密文K：

$\{A_a,Q=Y^z\{\mathrm{CK},K\}=e{(g,g)}^{\mathrm{yz}}\{\mathrm{CK},K\},\{Q_i=g^{t_{i}z}{\}}_{\∀i\∈A_a}\}$

并将其封装成文件头的形式与内容密文N组成密文E，最后，将密文E上传至云服务器，实现文件共享。

4文件解密： 

4.1用户先从服务器将密文E下载到本地，根据自己所拥有的私钥解密：若|A_u∩A_a|＞d, 则选择d个属性i∈A_u∪A_a ,计算e(Q_i,SK_i)=e(g,g)^p(i)z,再用拉格朗日插值找到

Y^z=e(g,g)^p(0)z=e(g,g)^yz, 得到{CK,K}=Q/Y^z  

由于用户C属性集{财务部}不满足访问结构A_a ({技术部 or 开发部})，因此其无法解密文件；而用户A{技术部}和用户B{开发部}满足访问结构A_a，解密得到内容密钥CK以及权限密文K。

4.2若解密成功，根据用户所拥有的私钥，解密权限密文K：若|A_u∩A _ci|＞d, 则选择d个属性j∈A_u∩A_ci,

$e(K_{\mathrm{ij}},{\mathrm{SK}}_j)=e{(g,g)}^{p_j\left(0\right)s_i},$

然后用拉格朗日插值找到

$Y^{s_i}=e{(g,g)}^{p\left(0\right)s_i}=e{(g,g)}^{y{s}_i}$

解密得到用户对应的权限信息 。

这样用户A就解密得到其对应的权限信息{读，写，打印}；用户B解密得到其对应的权限信息{读}，最后用户用内容密钥CK对内容密文N进行解密得到明文M。这样，客户端防泄露软件就可根据用户拥有的权限信息对文件进行操作控制，从而达到对共享加密文件的访问以及权限控制。

本说明书实施例所述的内容仅仅是对发明构思的实现形式的列举，本发明的保护范围不应当被视为仅限于实施例所陈述的具体形式，本发明的保护范围也及于本领域技术人员根据本发明构思所能够想到的等同技术手段。

Claims (1)

1.面向云存储加密数据共享的多级权限管理方法，通过以下具体步骤实现：

步骤1，系统初始化

首先，授权中心随机选择(y,t₁,...,t_n)∈Z_q，运行双线性Diffie-Hellman(Bilinear Diffie-Hellman,BDH)参数生成器，产生两个阶为素数q的双线性群G₁,G₂,g是群G₁的生成元，以及双线性对运算e：G₁×G₂→G₂，得到系统公钥(Public Key,PK)以及系统主密钥(Master Key,MK)为:

$\mathrm{PK}=(Y=e{(g,g)}^y,T_1=g^{t_2},...,T_n=g^{t_n})$

MK＝(y,t₁,...,t_n)

式中：e(g,g)^y表示双线性配对运算；

步骤2，用户私钥(Secret Key,SK)的生成以及分发

2.1首先,授权中心根据用户信息生成用户证书，并将证书分发给各用户；

2.2然后,授权中心随机选择一个d-1次多项式p，d为门限参数,令p(0)＝y，根据用户所拥有的属性集A_u，按以下公式计算，该用户私钥为：

${\{{\mathrm{SK}}_i=g^{p\left(i\right)/t_i}\}}_{\∀i\∈A_u}$

2.3最后，授权中心通过用户证书验证用户身份，并将私钥分发给相应用户；

步骤3，文件加密及上传

3.1首先，数据拥有者应用对称加密算法AES随机生成内容密钥(ContextKey，CK)，再将文件用内容密钥CK进行加密，得到内容密文N；

3.2然后，对文件权限信息进行加密；数据拥有者用可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)按照不同的权限访问控制组合分类描述权限信息(R₁,R₂,...,R_m)，随机选择(s₁,s₂,...,s_m)∈Z_q，再根据不同权限组合对应的用户属性集合(A_c1,A_c2,...,A_cm)别部分加密相应权限信息，按以下公式得到文件权限密文K：

${\{A_{\mathrm{ci}},K_i=Y^{S_i}{R}_i=e{(g,g)}^{{\mathrm{ys}}_i}{R}_i,{\{K_{\mathrm{ij}}=g^{t_j{s}_i}\}}_{\∀i\∈A_{\mathrm{ci}}}\}}_{\∀i\∈m}$

3.3得到权限加密信息后，随机选择z∈Z_q，根据对该文件具有访问权限的用户属性集合A_a，按照以下公式加密内容密钥CK以及权限密文K：

$\{A_a,Q=Y^z\{\mathrm{CK},K\}=e{(g,g)}^{\mathrm{yz}}\{\mathrm{CK},K\},{\{Q_i=g^{t_{i}z}\}}_{\∀i\∈A_a}\}$

并将其封装成文件头的形式与内容密文N组成密文E，最后，将密文E上传至云服务器，实现文件共享；

步骤4，文件解密

4.1用户先从服务器将密文下载到本地，若|A_u∩A_a|>d,则选择d个属性i∈A_u∩A_a,计算e(Q_i,SK_i)＝e(g,g)^p(i)z,再用拉格朗日插值找到

Y^z＝e(g,g)^p(0)z＝e(g,g)^yz,得到{CK,K}＝Q/Y^z

若用户所拥有的属性集满足用户访问结构A_a,则文件头解密成功，得到内容密钥CK以及权限密文K；否则，用户无法解密文件；

4.2若文件头解密成功，则进一步根据用户所拥有的私钥，解密权限密文K，若|A_u∩A_ci|>d,则选择d个属性j∈A_u∩A_ci,

$e(K_{\mathrm{ij}},{\mathrm{SK}}_j)=e{(g,g)}^{p_j\left(0\right)s_i},$

然后用拉格朗日插值找到

$Y^{s_i}=e{(g,g)}^{p\left(0\right)s_i}=e{(g,g)}^{{\mathrm{ys}}_i}$

解密得到用户对应的权限信息,最后用户用内容密钥CK对内容密文N进行解密得到明文；这样，就可根据用户拥有的权限信息对文件进行操作控制。