CN103179114B - 一种云存储中的数据细粒度访问控制方法 - Google Patents
一种云存储中的数据细粒度访问控制方法 Download PDFInfo
- Publication number
- CN103179114B CN103179114B CN201310084280.4A CN201310084280A CN103179114B CN 103179114 B CN103179114 B CN 103179114B CN 201310084280 A CN201310084280 A CN 201310084280A CN 103179114 B CN103179114 B CN 103179114B
- Authority
- CN
- China
- Prior art keywords
- attribute
- user
- trusted
- party
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种云存储中的数据细粒度访问控制方法,包括:数据拥有者对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略,可信第三方根据属性密码机制生成公钥及主密钥,数据拥有者使用对称密码机制对文件块进行加密处理,使用属性密钥机制对对称密钥进行加密处理,并将文件块密文及密钥密文发送到云端,数据拥有者和可信第三方使用属性密码机制对用户进行授权,对用户的每一个属性,均生成一个属性密钥和一个经属性加密函数处理的属性,数据拥有者向可信第三方发送用户权限变更声明,可信第三方根据用户权限变更声明判断是为用户增加还是删除权限。本发明能在不增加额外开销的情况下实现比现有方法更细粒度的访问控制。
Description
技术领域
本发明属于云存储和访问控制领域,更具体地,涉及一种云存储中的数据细粒度访问控制方法。
背景技术
在云存储环境下,要保护用户数据机密性和隐私性,需要保证数据只能由授权用户获取,非授权用户(包括授权用户以外的用户以及云存储服务提供商)不能获取数据,访问控制是实现这一目标的重要手段。
云存储环境中的访问控制,与传统访问控制有较大区别。首先,在传统的访问控制中,用户往往是被系统所熟知的,系统能根据用户的身份设置访问权限。然而,在云存储环境中用户规模巨大,且用户集可能频繁变化。在访问请求发生之前,系统通常无法事先认知所有请求系统服务的用户,并对其分配相应权限。进一步地,在传统访问控制中,数据往往是存储在可信介质上,而在云存储环境下,数据存储在云服务提供商(Cloudservice provider,简称CSP)中,需要保护的数据与数据的拥有者并不是处于同一可信域内,而CSP出于商业利益,有可能窥探用户数据并加以利用,甚至泄露用户隐私数据。
为解决云环境下的访问控制问题,国内外已有了一些研究。最基本的思路是采用密文访问控制方法(V.Kher and Y.Kim:Securing distributedstorage:Challenges,techniques,and systems.2005:9-25),数据拥有者将数据加密后存储在云中,通过控制用户对密钥的获取权限来实现访问控制目标。但由于云存储环境下数据量和用户量都十分巨大,如何以较小的代价让授权用户获取密钥,是实现云环境下数据密文访问控制的重点研究内容。针对这一研究内容,Goyal等人提出了密钥策略的属性加密方案(Key-policy attribute-based encryption,简称KP-ABE)(Goyal V,Pandey O,Sahai A,et al.Attribute based encryption for fine-grainedaccess control of encrypted data[C].Proceedings of the13th ACMConference on Computer and Communications Security(CCS’06).NewYork,NY,USA:ACM,2006:89-98)。Bethencourt等人针对Goyal的密钥策略的属性加密方案,提出了更接近于现实访问控制系统的密文策略的属性加密方案(ciphertext-policy attribute-based encryption,CP-ABE)(Bethencourt J,Sahai A,Waters B.Ciphertext-policyattribute-based encryption[C].Proceedings of the 2007 IEEESymposium on Security and Privacy,Oakland,California,USA,2007.Washington,DC,USA:IEEE Computer Society,2007:321-334)。CP-ABE将用户私钥关联到一个属性集,而将密文关联到一棵访问结构树,若属性集满足该访问结构树,则用户具有解密该数据的能力。由于CP-ABE算法的诸多优点,当前有很多学者对CP-ABE算法如何应用到密文访问控制中进行了研究。在以CP-ABE算法为基础的密文访问控制方案中,用户的权限撤销是一个很棘手的问题。Liang Xiaohui等人提出代理重加密方案(Attribute-based proxy re-encryption,简称ABPRE),通过代理将密文从一种访问结构树加密变为另一种访问结构树加密,以达到权限撤销的目的。但该方案的撤销单位只能是属性集,即具有相同身份特征的一类用户,而不能单独撤销一个用户的属性(Liang Xiaohui,Cao Zhenfu,Lin Huang,et al.Attribute based proxy re-encryption with delegatingcapabilities[C].Proceedings of the4th International Symposium onInformation,Computer and Communications Security(ASIACCS2009).New York,NY,USA:ACM,2009:276-286.)。Hong Cheng等利用CP-ABE算法和公钥密码系统来实现密文访问控制。在该方案中,DO仍然要承受巨大的重加密代价(Hong Cheng,Zhang Min,Feng Dengguo.AB-ACCS:acryptographic access control scheme for cloud storage[J].Journalof Computer Research and Development,2010,47(Suppl):259-265)。Pirretti M等提出在应用CP-ABE算法时,扩展一个用户属性,为该属性贴上一个终止时间(Pirretti M,Traynor P,McDaniel P,et al.Secureatrribute-based systems[C].Proceedings of the13th ACM Conferenceon Computer and Communications Security(CCS’06).New York,NY,USA:ACM,2006:99-112)。但是该方案的缺陷是,用户需要周期性地向认证中心申请私钥的再次使用;而且在终止时间之前,用户的权限是无法撤销的。
综上所述,当前关于云存储中数据访问控制的研究,最多只是做到了文件级别的访问控制,且在使用CP-ABE的方案中,对用户的权限进行撤销会有较大开销。总之,目前并没有一种能在云存储中实现高效、精细、灵活的数据细粒度访问控制方案。
发明内容
针对现有技术的缺陷,本发明的目的在于提供一种云存储中的数据细粒度访问控制方法,旨在不增加额外开销的情况下,实现比现有方法更细粒度的访问控制;其次,由于采用了云端访问控制和基于属性的访问控制相结合的机制,使得访问控制的开销更小,同时也更为灵活。
为实现上述目的,本发明提供了一种云存储中的数据细粒度访问控制方法,包括以下步骤:
步骤1.数据拥有者对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略,可信第三方根据属性密码机制生成公钥及主密钥,将公钥发送给数据拥有者,并将主密钥自己保留;
步骤2.数据拥有者使用对称密码机制对文件块进行加密处理,使用属性密钥机制对对称密钥进行加密处理,并将文件块密文及密钥密文发送到云端;
步骤3.数据拥有者和可信第三方使用属性密码机制对用户进行授权,对用户的每一个属性,均生成一个属性密钥和一个经属性加密函数处理的属性;
步骤4.数据拥有者向可信第三方发送用户权限变更声明,可信第三方根据用户权限变更声明判断是为用户增加还是删除权限,如果是为用户增加权限,则可信第三方向用户发放属性及属性密钥,如果是为用户删除属性,则可信第三方生成重加密密钥发送给云端,由云端更新外部访问控制策略及对称密钥密文;
步骤5.用户向云端发送文件访问请求,云端根据外部访问控制策略对其做初步访问控制,并将文件包发送给合法用户,用户根据属性密码机制解密对称密钥密文,以进一步解密文件块。
步骤1具体包括以下子步骤:
1.1数据拥有者选择需要上传的文件,对文件进行分块,形成文件块,并根据系统中的属性制定文件块的访问控制策略;
1.2数据拥有者提取各个文件块的访问控制策略中的公共部分,将其作为外部访问控制策略,各文件块的访问控制策略中剩余的部分作为各个文件块的内部访问控制策略;
1.3数据拥有者向可信第三方发送公钥申请,公钥申请中包含数据拥有者的身份信息;
1.4可信第三方接收来自数据拥有者的公钥申请,并根据属性密码机制为数据拥有者生成公钥PK及主密钥MK,且不同数据拥有者的公钥及主密钥互不相同;
1.5可信第三方将生成的公钥PK发送给数据拥有者;
1.6数据拥有者接收并保存公钥PK。
步骤2具体包括以下子步骤:
2.1数据拥有者根据文件块数目,利用对称密码机制随机生成对应数目的对称密钥,并利用对称密钥对数据块进行加密生成密文,每个数据块的加密密钥不同;
2.2数据拥有者将公钥PK、数据块的内部访问控制策略及对称密钥作为输入、采用属性密码机制对对称密钥进行加密,以生成对称密钥密文;
2.3数据拥有者对外部访问控制策略中的属性进行属性加密函数处理;
2.4数据拥有者将步骤(2.1)中生成的数据块密文、步骤(2.2)中生成的对应的对称密钥密文、步骤(2.3)中生成的经属性加密函数处理后的外部访问控制策略作为一个数据包,整体上传至云端;
2.5云端接收并存储来自数据拥有者的数据包。
步骤3具体包括以下子步骤:
3.1判断登录进入系统的用户是否是首次登录用户,如果该用户是首次登录用户,转步骤(3.2);如果该用户不是首次登录用户,转步骤(3.8);
3.2用户向数据拥有者发送授权申请;
3.3数据拥有者接收用户授权申请,根据用户授权申请为用户指定属性,根据指定的属性生成用户授权声明,并将用户授权声明发送至可信第三方;
3.4可信第三方接收用户授权申请,在用户属性信息表中加入用户的属性信息,将步骤(1.3)中生成的主密钥、用户的属性作为输入,采用属性密码机制为用户生成属性密钥;
3.5可信第三方将用户的属性使用属性加密函数处理;
3.6可信第三方将步骤(3.4)中生成的属性密钥及步骤(3.5)中经属性加密函数处理后的属性发送给用户;
3.7用户接收并保存属性密钥及加密后的属性;
3.8用户向可信第三方发送权限更新申请;
3.9可信第三方根据权限更新申请检查该用户是否有需要更新的属性,如果有需要更新的属性,转步骤(3.10),否则转步骤(3.12);
3.10可信第三方将用户需要更新的属性密钥及经过属性加密函数处理的更新属性发送该用户;
3.11用户接收并保存属性密钥及加密后的属性;
3.12可信第三方发送消息给用户,通知用户没有需要更新的属性。
用户授权声明包括用户的身份信息和数据拥有者指定的属性。
步骤4具体包括以下子步骤:
4.1数据拥有者生成权限变更声明,将其发送至可信第三方;
4.2可信第三方接收权限变更声明;
4.3可信第三方判断权限变更声明是为用户增加属性还是删除属性;如果是为用户增加属性,转步骤(4.4);如果是为用户删除属性,转步骤(4.5);
4.4可信第三方在用户属性信息表中为用户添加属性信息,并使用属性加密函数对属性处理后,和属性密钥一起发送给用户;该阶段结束;
4.5可信第三方在用户属性信息表中删除用户相关属性,并向其他拥有相关属性的用户发放新的属性(经过属性加密函数处理)及更新后属性的属性密钥;
4.6可信第三方生成重加密密钥,向云端发送用户权限撤销声明;用户权限撤销声明中包括用户属性、新的属性、重加密密钥;
4.7云端接收用户权限撤销声明,遍历该属性相关的各个文件块;
4.8云端判断用户属性出现在外部访问控制策略中还是内部访问控制策略中,如果出现在外部访问控制策略中,转步骤(4.9);如果出现在内部访问控制策略中,转步骤(4.10);
4.9云端将外部访问控制策略中的属性更新为新的属性;
4.10云端将密文块对应的属性密钥密文采用重加密密钥加密。
权限变更声明中包括用户身份信息、用户属性、权限变更类别、新的属性,权限变更类别分为增加属性和删除属性。
步骤5具体包括以下子步骤:
5.1用户向云端发送文件访问请求;
5.2云端根据用户的属性,结合外部访问控制策略,对用户进行初步访问控制,以判断用户是否可以访问文件;如果用户不可以访问文件,转步骤(5.3);如果用户可以访问文件,转步骤(5.4);
5.3云端向用户发送拒绝访问应答;
5.4云端将文件块密文及相应的对称密钥密文发送给用户;
5.5用户接收文件块密文及对称密钥密文,使用属性密钥对对称密钥密文进行解密得到对称密钥,并使用对称密钥对文件块密文进行解密得到文件块明文。
文件访问请求中包括用户需要访问的文件及用户的属性,用户的每一个属性均为加密状态。
一种云存储中的数据细粒度访问控制系统,包括数据所有者、可信第三方、用户和云端,数据拥有者用于对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略,可信第三方用于根据属性密码机制生成公钥及主密钥,将公钥发送给数据拥有者,并将主密钥自己保留,数据拥有者还用于使用对称密码机制对文件块进行加密处理,使用属性密钥机制对对称密钥进行加密处理,并将文件块密文及密钥密文发送到云端,数据拥有者和可信第三方还用于使用属性密码机制对用户进行授权,对用户的每一个属性,均生成一个属性密钥和一个经属性加密函数处理的属性,数据拥有者还用于向可信第三方发送用户权限变更声明,可信第三方还用于根据用户权限变更声明判断是为用户增加还是删除权限,如果是为用户增加权限,则可信第三方向用户发放属性及属性密钥,如果是为用户删除属性,则可信第三方生成重加密密钥发送给云端,云端用于更新外部访问控制策略及对称密钥密文,用户用于向云端发送文件访问请求,云端还用于根据外部访问控制策略对其做初步访问控制,并将文件包发送给合法用户,用户还用于根据属性密码机制解密对称密钥密文,以进一步解密文件块。
通过本发明所构思的以上技术方案,与现有技术相比,本发明具有以下的有益效果:
1、实现了细粒度的访问控制。由于采用了步骤(1.1),访问控制策略的制定是基于文件块的,因此实现了细粒度的访问控制。
2、开销小。由于采用了步骤(1.2)和步骤(5.2),使用基于属性的访问控制,防止了基于用户的访问控制所产生的巨大开销。同时,在采用基于属性的访问控制时,不是将所有属性都放入加密方案中,而是提取出公共的外部访问控制策略,由云端实施初步的访问控制,从而减小了采用属性密码方案所产生的加密开销。
附图说明
图1为本发明云存储中的数据细粒度访问控制方法的整体流程图。
图2为本发明方法中步骤1的细化流程图。
图3为本发明方法中步骤2的细化流程图。
图4为本发明方法中步骤2中上传至云端的数据包的细化分解图。
图5为本发明方法中步骤3的细化流程图。
图6为本发明方法中步骤4的细化流程图。
图7为本发明方法中步骤5的细化流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以下首先就本发明的技术术语进行解释和说明:
数据拥有者:指文件的拥有者,需要将文件存储在云中,且制定文件的访问控制策略;
可信第三方:在属性密码机制中负责密钥的产生和分发,在系统中负责代理数据拥有者对用户的访问控制,在实际系统中,可信第三方可由数据拥有者兼任;
用户:需要读取数据拥有者发布的文件;
云端或云存储:存储数据拥有者的文件,会忠实执行数据拥有者和可信第三方发出的操作请求,但在条件允许时会偷窥文件内容;
文件:数据拥有者需要上传至云端的数据;
文件块:文件分块,是本发明中访问控制的最小控制粒度,数据拥有者对同一文件的不同分块可能会指定不同访问控制策略;
外部访问控制策略:是数据拥有者在不同文件块间提取中的公共访问控制策略,该访问控制策略实施基于属性的访问控制,数据拥有者在云端存储文件块密文时,会将外部访问控制策略一并存储,云端可以通过外部访问控制策略对需要读取文件块的用户做初步访问控制;
内部访问控制策略:各个文件块在提取公共属性后剩下的访问控制策略,属性密码机制在生成文件块密文时将该访问控制策略嵌入密文中;
and:用于访问控制策略中,表示属性之间的“与”关系;
or:用于访问控制策略中,表示属性之间的“或”关系;
属性加密函数:是可信第三方选择的针对属性的加密函数,对上传至云端的访问控制策略中的属性及分发至用户的属性,均需要经过该函数处理,以便在一定程度上保护访问控制策略的隐私,数据拥有者和可信第三方同时拥有该加密函数;
对称密码机制:是一种传统密码机制,加密和解密采用相同密钥,效率较高,在本发明中采用该机制加密文件块;
对称密钥:对称密码机制中随机生成的二进制数据;
属性密码机制:加密过程中在密文中嵌入访问控制策略,密钥对应一个属性集合,当且仅当密钥对应的属性集合满足访问控制条件才能成功解密密文;
公钥:属性密码机制中由可信第三方生成的二进制串,由可信第三方授予数据拥有者,数据拥有者使用公钥加密对称密钥;
主密钥:属性密码机制中由可信第三方生成的二进制串,仅由可信第三方持有,可信第三方利用主密钥为用户生成属性密钥;
属性密钥:由可信第三方为用户生成,当且仅当用户的属性密钥对应的属性集合满足密文通过属性密码机制内嵌的访问控制策略时才能解密密文。
以下结合实施例和附图对本发明做进一步说明。
如图1所示,本发明云存储中的数据细粒度访问控制方法是应用在一种数据访问控制系统中,该系统包括数据拥有者、可信第三方、用户以及云端,在其它实施方式中,可信第三方也可以同时由数据拥有者担任。
在本实施方式中,数据拥有者为国家某科研单位(设为X单位)负责人,传至云端的数据为一份基金文件M,该文件包括三部分内容:第一部分内容为研究目的,内容涉及国家发展战略;第二部分内容为国内研究现状,内容涉及科研机密;第三部分为关键待研技术,涉及当前世界上的一些热门研究技术。该基金文件M被分为三部分,且各部分的访问控制策略为:第一部分访问者属性特征必须是((湖北省and211高校and计算机院/系and研究级别>=3)or X单位科研部门人员),第二部分的访问者属性特征必须是((湖北省and211高校and计算机院/系and研究级别>=2)orX单位科研部门人员),第三部分的访问者属性特征必须是((湖北省and211高校and计算机院/系and研究级别>=1and(项目小组组长or导师授权人员))or X单位科研部门人员)。在该访问控制策略中,研究级别具体为:3为博士生导师级别,2为博士生级别,1为硕士生级别,0为本科生级别。假设系统中有三个用户,分别为A,B,C;A的属性集合为{湖北省,211高校,计算机院/系,研究级别=3},B的属性集合为{X单位科研人员},C为系统中的新用户。
本发明云存储中的数据细粒度访问控制方法包括以下步骤:
步骤1.数据拥有者对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略,可信第三方根据属性密码机制生成公钥及主密钥,将公钥发送给数据拥有者,并将主密钥自己保留;如图2所示,本步骤具体包括以下子步骤:
1.1数据拥有者选择需要上传的文件,对文件进行分块,形成文件块,并根据系统中的属性制定文件块的访问控制策略;
举例而言,数据拥有者选择文件M,并根据需要将其分为三个文件块,分别为m1(研究目的)、m2(国内研究现状)、m3(关键待研技术)。文件M在该系统中的相关属性为“湖北省、211高校、计算机院/系、研究级别、X单位科研部门人员”,为各个文件块制定访问控制策略表达如下:
m1:((湖北省and211高校and计算机院/系and研究级别>=3)orX单位科研部门人员);
m2:((湖北省and211高校and计算机院/系and研究级别>=2)or X单位科研部门人员);
m3:((湖北省and211高校and计算机院/系and研究级别>=1and(项目小组组长or导师授权人员))or X单位科研部门人员);
本步骤的优点在于:访问控制策略的制定是基于文件块级别的,因此可以实现更细粒度的访问控制,使得访问控制更精细;
1.2数据拥有者提取各个文件块的访问控制策略中的公共部分,将其作为外部访问控制策略,各文件块的访问控制策略中剩余的部分作为各个文件块的内部访问控制策略;
具体而言,数据拥有者提取各个文件块的访问控制策略中的公共部分,作为外部公共访问控制策略,为(湖北省and211高校and计算机院/系)or X单位科研部门人员),各文件块的内部访问控制策略为:
m1:研究级别>=3;
m2:研究级别>=2;
m3:研究级别>=1and(项目小组组长or导师授权人员);
本步骤的优点在于:在实际应用中,由于同一文件的不同文件块的访问控制策略具有较多的公共部分,提取出公共部分作为外部访问控制策略,由云端根据这一部分进行初步的访问控制,可以有效减少采用属性密码机制对文件块进行访问控制的开销;
1.3数据拥有者向可信第三方发送公钥申请,公钥申请中包含数据拥有者的身份信息;
1.4可信第三方接收来自数据拥有者的公钥申请,并根据属性密码机制为数据拥有者生成公钥PK及主密钥MK,且不同数据拥有者的公钥及主密钥互不相同;
1.5可信第三方将生成的公钥PK发送给数据拥有者;
1.6数据拥有者接收并保存公钥PK;
步骤2.数据拥有者使用对称密码机制对文件块进行加密处理,使用属性密钥机制对对称密钥进行加密处理,并将文件块密文及密钥密文发送到云端;如图3所示,本步骤具体包括以下子步骤:
2.1数据拥有者根据文件块数目,利用对称密码机制随机生成对应数目的对称密钥,并利用对称密钥对数据块进行加密生成密文,每个数据块的加密密钥不同;
具体而言,由于存在3个数据块,数据拥有者随机生成3个对称密钥k1、k2、k3来分别对数据块m1、m2、m3加密,以生成密文c1、c2、c3。
2.2数据拥有者将公钥PK、数据块的内部访问控制策略及对称密钥作为输入、采用属性密码机制对对称密钥进行加密,以生成对称密钥密文;
具体而言,数据拥有者将公钥PK、步骤1.2中各文件块的内部访问控制策略及对称密钥k1、k2、k3作为输入,采用属性密码机制对k1、k2、k3加密,以生成对称密钥密文k1’、k2’、k3’。
2.3数据拥有者对外部访问控制策略中的属性进行属性加密函数处理;本步骤的目的在于不让云端识别该策略中的属性内容;
具体而言,假设属性加密函数为f,则外部访问控制策略(湖北省and211高校and计算机院/系)or X单位科研部门人员)经f处理后变成:(f(湖北省)and f(211高校)and f(计算机院/系))or f(X单位科研部门人员);
本步骤的优点在于:经过属性加密函数处理后的策略可由有效保护策略的隐私性;
2.4数据拥有者将步骤(2.1)中生成的数据块密文、步骤(2.2)中生成的对应的对称密钥密文、步骤(2.3)中生成的经属性加密函数处理后的外部访问控制策略作为一个数据包,整体上传至云端,如图4所示;
具体而言,数据拥有者需要上传三个数据包到云中:
{c1,k1’,(f(湖北省)and f(211高校)and f(计算机院/系))or f(X单位科研部门人员)}
{c2,k2’,(f(湖北省)and f(211高校)and f(计算机院/系))or f(X单位科研部门人员)}
{c3,k3’,(f(湖北省)and f(211高校)and f(计算机院/系))or f(X单位科研部门人员)}
2.5云端接收并存储来自数据拥有者的数据包;
步骤3.数据拥有者和可信第三方使用属性密码机制对用户进行授权,对用户的每一个属性,均生成一个属性密钥和一个经属性加密函数处理的属性,如图5所示,本步骤具体包括以下子步骤:
3.1判断登录进入系统的用户是否是首次登录用户,如果该用户是首次登录用户,转步骤(3.2);如果该用户不是首次登录用户,转步骤(3.8);
3.2用户向数据拥有者发送授权申请;
例如,用户C进入系统后,向数据拥有者发出授权申请。
3.3数据拥有者接收用户授权申请,根据用户授权申请为用户指定属性,根据指定的属性生成用户授权声明,并将用户授权声明发送至可信第三方;用户授权声明包括用户的身份信息和数据拥有者指定的属性;
具体而言,假设数据拥有者为用户C指定的属性集合为{湖北省,211高校,计算机院/系,研究级别=1},则数据拥有者发送至可信第三方的用户授权声明包括用户C的身份信息及用户C的属性。
3.4可信第三方接收用户授权申请,在用户属性信息表中加入用户的属性信息,将步骤(1.3)中生成的主密钥、用户的属性作为输入,采用属性密码机制为用户生成属性密钥;
具体而言,可信第三方接收用户授权申请后,在用户信息表中加入C的属性信息,然后将步骤(1.3)中生成的主密钥、C的属性作为输入,采用属性密码机制为C生成属性密钥;
3.5可信第三方将用户的属性使用属性加密函数处理;
具体而言,可信第三方对于用户C的每一个属性,均使用属性加密函数f进行处理;用户C的属性集经处理后成为{f(湖北省),f(211高校),f(计算机院/系),f(研究级别=1)}。
3.6可信第三方将步骤(3.4)中生成的属性密钥及步骤(3.5)中经属性加密函数处理后的属性发送给用户;
具体而言,可信第三方将步骤(3.4)中生成的属性密钥及步骤(3.5)中经加密函数处理后的属性集{f(湖北省),f(211高校),f(计算机院/系),f(研究级别=1)}发送给用户C。
3.7用户接收并保存属性密钥及加密后的属性;
具体而言,用户C接收并保存属性密钥及加密后的属性;对于C的属性集中的每一个属性,用户C接收到的内容都包括两部分,如对于属性“湖北省”,用户C接收到的内容包括两部分:f(湖北省),利用“湖北省”属性生成的属性密钥;对于用户C拥有的其他属性,以此类推。
3.8用户向可信第三方发送权限更新申请;
3.9可信第三方根据权限更新申请检查该用户是否有需要更新的属性,如果有需要更新的属性,转步骤(3.10),否则转步骤(3.12);
3.10可信第三方将用户需要更新的属性密钥及经过属性加密函数处理的更新属性发送该用户;
3.11用户接收并保存属性密钥及加密后的属性;
3.12可信第三方发送消息给用户,通知用户没有需要更新的属性;
步骤4.数据拥有者向可信第三方发送用户权限变更声明,可信第三方根据用户权限变更声明判断是为用户增加还是删除权限,如果是为用户增加权限,则可信第三方向用户发放属性及属性密钥,如果是为用户删除属性,则需要由可信第三方生成重加密密钥发送给云端,由云端更新外部访问控制策略及对称密钥密文,如图6所示,本步骤具体包括以下子步骤:
4.1数据拥有者生成权限变更声明,将其发送至可信第三方;权限变更声明中包括用户身份信息、用户属性、权限变更类别、新的属性;权限变更类别分为增加属性和删除属性,如果权限变更为增加属性,则权限变更声明中不包括“新的属性”这一个数据项;
具体而言,假设数据拥有者需要对用户A和用户C执行权限变更,需要为C增加“导师授权人员”属性,删除A的“湖北省”属性。对于C的权限变更,数据拥有者生成第一条权限变更声明,其中包括三部分内容:用户C的身份信息,属性“导师授权人员”,增加属性。对于A的权限变更,数据拥有者生成第二条权限变更声明,其中包括四部分内容:用户A的身份信息,属性“湖北省”,删除属性,属性“湖北省”更新为“(湖北省’)”。数据拥有者将这两条权限变更声明先后发送给可信第三方。
4.2可信第三方接收权限变更声明;
4.3可信第三方判断权限变更声明是为用户增加属性还是删除属性;如果是为用户增加属性,转步骤(4.4);如果是为用户删除属性,转步骤(4.5);
具体而言,可信第三方接收数据拥有者的权限变更声明后,对第一条权限变更声明,转入步骤(4.4);对第二条权限变更声明,转入步骤(4.5)。
4.4可信第三方在用户属性信息表中为用户添加属性信息,并使用属性加密函数对属性处理后,和属性密钥一起发送给用户;该阶段结束;
具体而言,可信第三方在用户属性信息表中为C添加“导师授权人员”属性,并将该属性(经过属性加密函数处理)及属性密钥发送给C;该阶段结束。
4.5可信第三方在用户属性信息表中删除用户相关属性,并向其他拥有相关属性的用户发放新的属性(经过属性加密函数处理)及更新后属性的属性密钥;
具体而言,可信第三方在用户信息表中删除A的“湖北省”属性,向C发送f((湖北省’))及属性“(湖北省’)”生成的属性密钥。
4.6可信第三方生成重加密密钥,向云端发送用户权限撤销声明;用户权限撤销声明中包括用户属性、新的属性、重加密密钥;
4.7云端接收用户权限撤销声明,遍历该属性相关的各个文件块;
4.8云端判断用户属性出现在外部访问控制策略中还是内部访问控制策略中,如果出现在外部访问控制策略中,转步骤(4.9);如果出现在内部访问控制策略中,转步骤(4.10);
具体而言,云端接受用户权限撤销声明,判断出属性“湖北省”出现在外部访问控制策略中,转步骤(4.9)。
4.9云端将外部访问控制策略中的属性更新为新的属性;该阶段结束;
具体而言,云端将三个文件块的外部访问控制策略中的“湖北省”属性均更新为“(湖北省’)”属性。
4.10云端将密文块对应的属性密钥密文采用重加密密钥加密;
步骤5.用户向云端发送文件访问请求,云端根据外部访问控制策略对其做初步访问控制,并将文件包发送给合法用户,用户根据属性密码机制解密对称密钥密文,以进一步解密文件块,如图7所示,本步骤具体包括以下子步骤:
5.1用户向云端发送文件访问请求,文件访问请求中包括用户需要访问的文件及用户的属性,用户的每一个属性均为加密状态;
具体而言,用户B向云端申请访问文件块m1,B发送给云的文件访问请求中包括需要访问文件块m1的信息及f(X单位科研部门人员)。
5.2云端根据用户的属性,结合外部访问控制策略,对用户进行初步访问控制,以判断用户是否可以访问文件;如果用户不可以访问文件,转步骤(5.3);如果用户可以访问文件,转步骤(5.4);
具体而言,由于用户B拥有的属性满足文件块m1的外部访问控制策略,则转入步骤(5.4)。
5.3云端向用户发送拒绝访问应答;
5.4云端将文件块密文及相应的对称密钥密文发送给用户;
具体而言,云端将m1的密文及相应的对称密钥密文发送给用户,即发送给用户的内容为{c1,k1’}。
5.5用户接收文件块密文及对称密钥密文,使用属性密钥对对称密钥密文进行解密得到对称密钥,并使用对称密钥对文件块密文进行解密得到文件块明文。
结合具体实施例,用户B接收{c1,k1’}后,首先利用属性密钥解密得到对称密钥k1,再利用k1解密c1得到文件块m1。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种云存储中的数据细粒度访问控制方法,其特征在于,包括以下步骤:
步骤1.数据拥有者对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略,可信第三方根据属性密码机制生成公钥及主密钥,将公钥发送给数据拥有者,并将主密钥自己保留;
步骤2.数据拥有者使用对称密码机制对文件块进行加密处理,使用属性密钥机制对对称密钥进行加密处理,并将文件块密文及密钥密文发送到云端;
步骤3.数据拥有者和可信第三方使用属性密码机制对用户进行授权,对用户的每一个属性,均生成一个属性密钥和一个经属性加密函数处理的属性;本步骤具体包括以下子步骤:
3.1判断登录进入系统的用户是否是首次登录用户,如果该用户是首次登录用户,转步骤(3.2);如果该用户不是首次登录用户,转步骤(3.8);
3.2用户向数据拥有者发送授权申请;
3.3数据拥有者接收用户授权申请,根据用户授权申请为用户指定属性,根据指定的属性生成用户授权声明,并将用户授权声明发送至可信第三方;
3.4可信第三方接收用户授权申请,在用户属性信息表中加入用户的属性信息,将步骤(1)中生成的主密钥、用户的属性作为输入,采用属性密码机制为用户生成属性密钥;
3.5可信第三方将用户的属性使用属性加密函数处理;
3.6可信第三方将步骤(3.4)中生成的属性密钥及步骤(3.5)中经属性加密函数处理后的属性发送给用户;
3.7用户接收并保存属性密钥及加密后的属性;
3.8用户向可信第三方发送权限更新申请;
3.9可信第三方根据权限更新申请检查该用户是否有需要更新的属性,如果有需要更新的属性,转步骤(3.10),否则转步骤(3.12);
3.10可信第三方将用户需要更新的属性密钥及经过属性加密函数处理的更新属性发送该用户;
3.11用户接收并保存属性密钥及加密后的属性;
3.12可信第三方发送消息给用户,通知用户没有需要更新的属性;
步骤4.数据拥有者向可信第三方发送用户权限变更声明,可信第三方根据用户权限变更声明判断是为用户增加还是删除权限,如果是为用户增加权限,则可信第三方向用户发放属性及属性密钥,如果是为用户删除属性,则可信第三方生成重加密密钥发送给云端,由云端更新外部访问控制策略及对称密钥密文;
步骤5.用户向云端发送文件访问请求,云端根据外部访问控制策略对其做初步访问控制,并将文件包发送给合法用户,用户根据属性密码机制解密对称密钥密文,以进一步解密文件块。
2.根据权利要求1所述的数据细粒度访问控制方法,其特征在于,步骤1具体包括以下子步骤:
1.1数据拥有者选择需要上传的文件,对文件进行分块,形成文件块,并根据系统中的属性制定文件块的访问控制策略;
1.2数据拥有者提取各个文件块的访问控制策略中的公共部分,将其作为外部访问控制策略,各文件块的访问控制策略中剩余的部分作为各个文件块的内部访问控制策略;
1.3数据拥有者向可信第三方发送公钥申请,公钥申请中包含数据拥有者的身份信息;
1.4可信第三方接收来自数据拥有者的公钥申请,并根据属性密码机制为数据拥有者生成公钥PK及主密钥MK,且不同数据拥有者的公钥及主密钥互不相同;
1.5可信第三方将生成的公钥PK发送给数据拥有者;
1.6数据拥有者接收并保存公钥PK。
3.根据权利要求1所述的数据细粒度访问控制方法,其特征在于,步骤2具体包括以下子步骤:
2.1数据拥有者根据文件块数目,利用对称密码机制随机生成对应数目的对称密钥,并利用对称密钥对数据块进行加密生成密文,每个数据块的加密密钥不同;
2.2数据拥有者将公钥PK、数据块的内部访问控制策略及对称密钥作为输入、采用属性密码机制对对称密钥进行加密,以生成对称密钥密文;
2.3数据拥有者对外部访问控制策略中的属性进行属性加密函数处理;
2.4数据拥有者将步骤(2.1)中生成的数据块密文、步骤(2.2)中生成的对应的对称密钥密文、步骤(2.3)中生成的经属性加密函数处理后的外部访问控制策略作为一个数据包,整体上传至云端;
2.5云端接收并存储来自数据拥有者的数据包。
4.根据权利要求1所述的数据细粒度访问控制方法,其特征在于,用户授权声明包括用户的身份信息和数据拥有者指定的属性。
5.根据权利要求1所述的数据细粒度访问控制方法,其特征在于,步骤4具体包括以下子步骤:
4.1数据拥有者生成权限变更声明,将其发送至可信第三方;
4.2可信第三方接收权限变更声明;
4.3可信第三方判断权限变更声明是为用户增加属性还是删除属性;如果是为用户增加属性,转步骤(4.4);如果是为用户删除属性,转步骤(4.5);
4.4可信第三方在用户属性信息表中为用户添加属性信息,并使用属性加密函数对属性处理后,和属性密钥一起发送给用户;该阶段结束;
4.5可信第三方在用户属性信息表中删除用户相关属性,并向其他拥有相关属性的用户发放新的属性(经过属性加密函数处理)及更新后属性的属性密钥;
4.6可信第三方生成重加密密钥,向云端发送用户权限撤销声明;用户权限撤销声明中包括用户属性、新的属性、重加密密钥;
4.7云端接收用户权限撤销声明,遍历该属性相关的各个文件块;
4.8云端判断用户属性出现在外部访问控制策略中还是内部访问控制策略中,如果出现在外部访问控制策略中,转步骤(4.9);如果出现在内部访问控制策略中,转步骤(4.10);
4.9云端将外部访问控制策略中的属性更新为新的属性;
4.10云端将密文块对应的属性密钥密文采用重加密密钥加密。
6.根据权利要求5所述的数据细粒度访问控制方法,其特征在于,
权限变更声明中包括用户身份信息、用户属性、权限变更类别、新的属性;
权限变更类别分为增加属性和删除属性。
7.根据权利要求1所述的数据细粒度访问控制方法,其特征在于,步骤5具体包括以下子步骤:
5.1用户向云端发送文件访问请求;
5.2云端根据用户的属性,结合外部访问控制策略,对用户进行初步访问控制,以判断用户是否可以访问文件;如果用户不可以访问文件,转步骤(5.3);如果用户可以访问文件,转步骤(5.4);
5.3云端向用户发送拒绝访问应答;
5.4云端将文件块密文及相应的对称密钥密文发送给用户;
5.5用户接收文件块密文及对称密钥密文,使用属性密钥对对称密钥密文进行解密得到对称密钥,并使用对称密钥对文件块密文进行解密得到文件块明文。
8.根据权利要求7所述的数据细粒度访问控制方法,其特征在于,文件访问请求中包括用户需要访问的文件及用户的属性,用户的每一个属性均为加密状态。
9.一种云存储中的数据细粒度访问控制系统,包括数据所有者、可信第三方、用户和云端,其特征在于,
数据拥有者用于对文件进行分块并根据访问控制策略制定文件块的外部访问策略及内部访问策略;
可信第三方用于根据属性密码机制生成公钥及主密钥,将公钥发送给数据拥有者,并将主密钥自己保留;
数据拥有者还用于使用对称密码机制对文件块进行加密处理,使用属性密钥机制对对称密钥进行加密处理,并将文件块密文及密钥密文发送到云端;
数据拥有者和可信第三方还用于使用属性密码机制对用户进行授权,对用户的每一个属性,均生成一个属性密钥和一个经属性加密函数处理的属性;
数据拥有者还用于向可信第三方发送用户权限变更声明;
可信第三方还用于根据用户权限变更声明判断是为用户增加还是删除权限,如果是为用户增加权限,则可信第三方向用户发放属性及属性密钥,如果是为用户删除属性,则可信第三方生成重加密密钥发送给云端;
云端用于更新外部访问控制策略及对称密钥密文;
用户用于向云端发送文件访问请求;
云端还用于根据外部访问控制策略对其做初步访问控制,并将文件包发送给合法用户;
用户还用于根据属性密码机制解密对称密钥密文,以进一步解密文件块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310084280.4A CN103179114B (zh) | 2013-03-15 | 2013-03-15 | 一种云存储中的数据细粒度访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310084280.4A CN103179114B (zh) | 2013-03-15 | 2013-03-15 | 一种云存储中的数据细粒度访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103179114A CN103179114A (zh) | 2013-06-26 |
| CN103179114B true CN103179114B (zh) | 2015-09-23 |
Family
ID=48638737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310084280.4A Active CN103179114B (zh) | 2013-03-15 | 2013-03-15 | 一种云存储中的数据细粒度访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103179114B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106953839A (zh) * | 2017-01-13 | 2017-07-14 | 重庆邮电大学 | 车联网中非可信资源传播的阻控系统及方法 |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297227B (zh) * | 2013-07-02 | 2016-03-23 | 西安电子科技大学 | 支持灵活且直接撤销的密文策略下基于属性的加密 |
| CN103442053A (zh) * | 2013-08-23 | 2013-12-11 | 深圳市奥尼视讯技术有限公司 | 基于云服务平台实现远程访问存储终端的方法及系统 |
| CN103747279A (zh) * | 2013-11-18 | 2014-04-23 | 南京邮电大学 | 一种云存储共享编码视频加密与访问控制策略更新方法 |
| US10140460B2 (en) | 2013-12-11 | 2018-11-27 | Mitsubishi Electric Corporation | File storage system and user terminal |
| CN103763319B (zh) * | 2014-01-13 | 2017-01-18 | 华中科技大学 | 一种移动云存储轻量级数据安全共享方法 |
| CN103825903A (zh) * | 2014-03-06 | 2014-05-28 | 武汉大学 | 基于移动社交网络的文件安全共享方法 |
| CN103944975B (zh) * | 2014-04-03 | 2017-03-29 | 武汉大学 | 支持用户撤销的基于移动社交网络的文件安全共享方法 |
| CN104980477B (zh) * | 2014-04-14 | 2019-07-09 | 航天信息股份有限公司 | 云存储环境下的数据访问控制方法和系统 |
| CN104022869B (zh) * | 2014-06-17 | 2017-03-29 | 西安电子科技大学 | 基于密钥分片的数据细粒度访问控制方法 |
| CN104038349B (zh) * | 2014-07-03 | 2017-05-03 | 西安电子科技大学 | 一种基于kp‑abe的有效可验证的公钥可搜索加密方法 |
| CN104113408B (zh) * | 2014-07-11 | 2017-12-08 | 西安电子科技大学 | 一种实现及时用户属性撤销的基于密文策略属性加密方法 |
| CN104378386A (zh) * | 2014-12-09 | 2015-02-25 | 浪潮电子信息产业股份有限公司 | 一种云数据机密性保护和访问控制的方法 |
| US10592682B2 (en) | 2015-02-20 | 2020-03-17 | Mitsubishi Electric Corporation | Data storage apparatus, data processing method, and computer readable medium adding a user attribute of a revoked user to an embedded decryption condition while encrypted data remains in an encrypted state |
| CN104836790B (zh) * | 2015-03-30 | 2018-04-10 | 西安电子科技大学 | 基于属性加密和时间戳的链式存储细粒度访问控制方法 |
| CN104935588B (zh) * | 2015-06-12 | 2017-11-24 | 华中科技大学 | 一种安全云存储系统的分层密钥管理方法 |
| CN105025012B (zh) * | 2015-06-12 | 2017-12-08 | 深圳大学 | 面向云存储服务平台的访问控制系统及其访问控制方法 |
| CN107733841B (zh) * | 2016-08-12 | 2021-01-26 | 阿里巴巴集团控股有限公司 | 基于多重加密的消息传输方法及装置 |
| CN106330934A (zh) * | 2016-08-31 | 2017-01-11 | 天津南大通用数据技术股份有限公司 | 一种分布式数据库系统权限管理方法及装置 |
| CN106878327A (zh) * | 2017-03-22 | 2017-06-20 | 江苏金易达供应链管理有限公司 | 面向贸易服务平台的登录方法 |
| CN107370595A (zh) * | 2017-06-06 | 2017-11-21 | 福建中经汇通有限责任公司 | 一种基于细粒度的密文访问控制方法 |
| CN107426187B (zh) * | 2017-06-27 | 2020-02-21 | 江苏大学 | 一种基于ecu身份属性的车内网络细粒度授权访问方法 |
| CN107426223B (zh) * | 2017-08-01 | 2020-06-05 | 中国工商银行股份有限公司 | 云文档加密及解密方法、加密及解密装置、以及处理系统 |
| CN107659567A (zh) * | 2017-09-19 | 2018-02-02 | 北京许继电气有限公司 | 基于公钥系统的细粒度轻量级的密文访问控制方法和系统 |
| CN108632030B (zh) * | 2018-03-22 | 2020-11-27 | 中山大学 | 一种基于cp-abe的细粒度访问控制方法 |
| CN108900483B (zh) * | 2018-06-13 | 2021-02-09 | 江苏物联网研究发展中心 | 云存储细粒度访问控制方法、数据上传和数据访问方法 |
| CN109165526B (zh) * | 2018-08-24 | 2022-10-18 | 武汉丰普科技股份有限公司 | 一种大数据安全与隐私保护方法、装置及存储介质 |
| CN109246096B (zh) * | 2018-08-30 | 2021-05-18 | 西安电子科技大学 | 适用于云存储的多功能细粒度访问控制方法 |
| CN109587132B (zh) * | 2018-11-29 | 2021-03-26 | 南京苏宁软件技术有限公司 | 一种基于联盟链的数据传递方法及装置 |
| CN110011956B (zh) * | 2018-12-12 | 2020-07-31 | 阿里巴巴集团控股有限公司 | 一种数据处理方法和装置 |
| CN109889494B (zh) * | 2019-01-07 | 2020-07-07 | 南京航空航天大学 | 一种可撤销的云数据安全共享方法 |
| CN110868288B (zh) * | 2019-11-08 | 2022-05-20 | 中国人民解放军国防科技大学 | 云存储环境下基于策略的外包数据细粒度可信删除方法 |
| CN110866135B (zh) * | 2019-11-12 | 2022-09-23 | 重庆邮电大学 | 一种基于响应长度隐藏的k-NN图像检索方法及系统 |
| CN111191288B (zh) * | 2019-12-30 | 2023-10-13 | 中电海康集团有限公司 | 一种基于代理重加密的区块链数据访问权限控制方法 |
| CN111064757B (zh) * | 2020-03-18 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 应用访问方法、装置、电子设备以及存储介质 |
| US11354439B2 (en) * | 2020-06-03 | 2022-06-07 | International Business Machines Corporation | Content control through third-party data aggregation services |
| CN112069474B (zh) * | 2020-09-01 | 2023-05-19 | 中国联合网络通信集团有限公司 | 一种用户数据的使用和被遗忘方法以及第三方可信服务器 |
| CN112241545A (zh) * | 2020-10-28 | 2021-01-19 | 上海第二工业大学 | 一种绘图数据的细粒度保护方法 |
| CN113098893A (zh) * | 2021-04-20 | 2021-07-09 | 西安交通大学 | 基于密码学构造的不可信云端动态访问控制机制实现方法 |
| CN115001730B (zh) * | 2022-03-02 | 2023-09-05 | 上海交通大学 | 分布式场景下基于角色属性的访问控制系统及方法 |
| CN114629710A (zh) * | 2022-03-17 | 2022-06-14 | 西安电子科技大学 | 基于区块链的医疗数据可控共享方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769620A (zh) * | 2012-07-19 | 2012-11-07 | 广州大学 | 一种安全外包的基于属性的加密方法 |
| CN102916954A (zh) * | 2012-10-15 | 2013-02-06 | 南京邮电大学 | 一种基于属性加密的云计算安全访问控制方法 |
-
2013
- 2013-03-15 CN CN201310084280.4A patent/CN103179114B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769620A (zh) * | 2012-07-19 | 2012-11-07 | 广州大学 | 一种安全外包的基于属性的加密方法 |
| CN102916954A (zh) * | 2012-10-15 | 2013-02-06 | 南京邮电大学 | 一种基于属性加密的云计算安全访问控制方法 |
Non-Patent Citations (4)
| Title |
|---|
| A Context-aware Fine-grained Access Control Model;Liu Hong-yue etc.;《IEEE》;20120813;第1099-1102页 * |
| The Fine-Grained Security Access Control of Spatial;Fuguang MA etc.;《IEEE》;20100620;第1-4页 * |
| 一种用于云存储的密文策略属性基加密方案;刘帆等;《计算机应用研究》;20120430;第29卷(第4期);第1452-1456页 * |
| 基于角色的细粒度访问控制模型的设计与实现;赵卫东等;《计算机工程与设计》;20130228;第34卷(第2期);第474-479页 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106953839A (zh) * | 2017-01-13 | 2017-07-14 | 重庆邮电大学 | 车联网中非可信资源传播的阻控系统及方法 |
| CN106953839B (zh) * | 2017-01-13 | 2020-06-16 | 重庆邮电大学 | 车联网中非可信资源传播的阻控系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103179114A (zh) | 2013-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103179114B (zh) | 一种云存储中的数据细粒度访问控制方法 | |
| CN103327002B (zh) | 基于属性的云存储访问控制系统 | |
| CN109559124B (zh) | 一种基于区块链的云数据安全共享方法 | |
| CN103763319B (zh) | 一种移动云存储轻量级数据安全共享方法 | |
| CN109495274B (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
| CN104486315B (zh) | 一种基于内容属性的可撤销密钥外包解密方法 | |
| CN104852925B (zh) | 移动智能终端数据防泄漏安全存储、备份方法 | |
| CN110099043A (zh) | 支持策略隐藏的多授权中心访问控制方法、云存储系统 | |
| CN108880800B (zh) | 基于量子保密通信的配用电通信系统及方法 | |
| CN105100083B (zh) | 一种隐私保护且支持用户撤销的基于属性加密方法和系统 | |
| CN103973736A (zh) | 一种数据共享的方法及装置 | |
| CN103502994A (zh) | 用于处理隐私数据的方法 | |
| CN105103488A (zh) | 借助相关联的数据的策略施行 | |
| CN102567688B (zh) | 一种安卓操作系统上的文件保密系统及其保密方法 | |
| CN107040374B (zh) | 一种云存储环境下支持用户动态撤销的属性基数据加密方法 | |
| CN105100076A (zh) | 一种基于USB Key的云数据安全系统 | |
| CN111143870B (zh) | 一种分布式加密存储装置、系统及加解密方法 | |
| CN104994068A (zh) | 一种云环境下多媒体内容保护和安全分发方法 | |
| CN101262332A (zh) | 用于在移动装置和主机装置之间相互认证的方法和系统 | |
| CN112383391B (zh) | 基于数据属性授权的数据安全保护方法、存储介质及终端 | |
| CN105072107A (zh) | 增强数据传输及存储安全的系统和方法 | |
| KR101220160B1 (ko) | 모바일 클라우드 환경에서 안전한 프록시 재암호화 기반의 데이터 관리 방법 | |
| CN103220293A (zh) | 一种文件保护方法及装置 | |
| WO2012161417A1 (ko) | 클라우드 컴퓨팅 환경에서의 접근 권한 분산 관리 장치 및 그 방법 | |
| CN107426162A (zh) | 一种基于属性基加密实施核心角色访问控制的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |