CN103763319B - 一种移动云存储轻量级数据安全共享方法 - Google Patents
一种移动云存储轻量级数据安全共享方法 Download PDFInfo
- Publication number
- CN103763319B CN103763319B CN201410026787.9A CN201410026787A CN103763319B CN 103763319 B CN103763319 B CN 103763319B CN 201410026787 A CN201410026787 A CN 201410026787A CN 103763319 B CN103763319 B CN 103763319B
- Authority
- CN
- China
- Prior art keywords
- user
- attribute
- party
- trusted
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明公开了一种移动云存储轻量级数据安全共享方法,方法包括:数据拥有者在可信第三方注册属性集合,数据拥有者为用户指定属性集合,可信第三方根据用户的属性集合使用属性密码机制对用户授权生成属性密钥,数据拥有者使用移动端共享文件时,首先采用对称密码机制对文件加密,通过代理加密服务器使用属性密钥机制对对称密钥加密,并将文件密文及密钥密文发送到云端,用户从云端读取文件密文及密钥密文后,通过代理解密服务器使用属性密码机制解密文件,数据拥有者向可信第三方及云端发送权限变更声明,可信第三方及云端根据用户权限变更声明判断为用户增加或删除权限。本发明能在电量和计算能力有限的移动端实现数据的安全共享。
Description
技术领域
本发明属于云存储和访问控制领域,更具体地,涉及一种移动云存储据安全共享方法。
背景技术
移动设备以其便携性、日益强大的计算处理能力,在生活中使用程度增加。但是,移动设备也有其局限性:有限的存储空间、有限的电量和计算能力。由于用户在移动端的数据量日益增长,而移动端只有有限的存储空间,为备份考虑,有一部分数据需要转移到云端。此外,移动端之间端到端的传输只适合少量用户少量数据的情况,当用户需要和大量联系人共享大量数据时,用户需要将待分享的数据存储在云端,其他用户通过云端得共享数据。无论是对数据进行备份还是对数据进行共享,当数据存储于云端时,数据脱离了用户的控制,其隐私性都是亟待解决的问题。虽然云端会忠实执行用户操作,但云端仍然可能出于商业利益窥视用户内容。因此,用户存储在云端的数据需要以加密形式存在。此外,当用户需要和其他联系人共享数据时,如何保护用户数据机密性和隐私性,保证数据只能由授权用户获取,非授权用户(包括授权用户以外的用户以及云存储服务提供商)不能获取数据,也是需要考虑的问题。
当前针对云环境下数据备份及共享时的数据隐私保护问题,已经有了一些研究。最基本的思路是采用密文访问控制方法,数据拥有者将数据加密后存储在云中,通过控制用户对密钥的获取权限来实现访问控制目标。但由于云存储环境下数据量和用户量都十分巨大,如何以较小的代价让授权用户获取密钥,是实现云环境下数据密文访问控制的重点研究内容。针对这一研究内容,Goyal等人提出了密钥策略的属性加密方案。Bethencourt等人针对Goyal的密钥策略的属性加密方案,提出了更接近于现实访问控制系统的密文策略的属性加密方案CP-ABE。CP-ABE将用户私钥关联到一个属性集,而将密文关联到一棵访问结构树,若属性集满足该访问结构树,则用户具有解密该数据的能力。在以CP-ABE算法为基础的密文访问控制方案中,用户的权限撤销是一个很棘手的问题。Liang Xiaohui等人提出代理重加密方案,通过代理将密文从一种访问结构树加密变为另一种访问结构树加密,以达到权限撤销的目的。但该方案的撤销单位只能是属性集,即具有相同身份特征的一类用户,而不能单独撤销一个用户的属性。Hong Cheng等利用CP-ABE算法和公钥密码系统来实现密文访问控制,但在该方案中仍然要承受巨大的重加密代价。Pirretti M等提出在应用CP-ABE算法时,扩展一个用户属性,为该属性贴上一个终止时间。但是该方案的缺陷是,用户需要周期性地向认证中心申请私钥的再次使用;而且在终止时间之前,用户的权限是无法撤销的。
综上所述,当前关于云存储中数据访问控制的研究,大多是应用于非移动端,对于只有有限电量和有限计算能力的移动端而言太过复杂;此外,当前关于云存储的数据访问控制的研究中,在用户权限进行变更时会带来较大开销,不利于在移动端的实现。总之,目前并没有一种能在移动云存储中可行的数据安全共享方案。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种移动云存储轻量级数据安全共享方法,其能够为能力受限的移动端提供一种数据密文访问控制方案,实现移动云端数据安全共享。
本发明解决其技术问题所采用的技术方案是,提供一种移动云存储轻量级数据安全共享方法,所述方法包括以下步骤:
S1、注册:数据拥有者在可信第三方处注册,可信第三方根据属性密码机制生成公钥及主密钥,将公钥发送给数据拥有者加密对称密钥,可信第三方保留主密钥为用户生成属性密钥;
S2、初始化:数据拥有者根据自身需求制定属性集并为用户指定属性将联系人、联系人属性信息发送至可信第三方及云端,生成联系人属性信息表;
S3、授权:用户向可信第三方发送授权申请,可信第三方使用属性密码机制对用户进行授权;
S4、数据共享:数据拥有者选择需要共享的文件,根据属性集中的属性制定访问控制策略,使用对称密码机制对文件进行加密处理生成文件密文,通过代理加密服务器使用属性加密机制对对称密钥进行加密处理生成对称密钥密文,并将访问控制策略、文件密文及对称密钥密文发送至云端;
S5、文件访问:用户向云端发送文件访问请求,云端根据访问控制策略对其做访问控制,并将文件包发送给合法用户,用户通过代理解密服务器根据属性密码机制解密对称密钥密文。
在本发明所述的移动云存储轻量级数据安全共享方法中,所述方法还包括以下步骤:
S6、权限变更:当需要进行权限变更时,数据拥有者根据实际需要决定为用户增加或删除属性,并据此生成权限变更声明,发送至可信第三方及云端,可信第三方或云端在联系人属性信息表中更新联系人属性信息;当权限变更是为用户删除属性时,数据拥有者为所述属性涉及到的文件重新执行共享操作。
在本发明所述的移动云存储轻量级数据安全共享方法中,所述步骤S1包括:
S11、数据拥有者向可信第三方发送注册请求,注册请求中包括数据拥有者的身份信息;
S12、可信第三方接收来自数据拥有者的注册请求,并根据属性密码机制为数据拥有者生成公钥及主密钥,且不同数据拥有者的公钥及主密钥互不相同;
S13、可信第三方将生成的公钥发送给数据拥有者用于加密对称密钥,保留主密钥用于为用户生成属性密钥;
S14、数据拥有者接收并保存公钥。
在本发明所述的移动云存储轻量级数据安全共享方法中,所述步骤S2包括:
S21、数据拥有者根据自身需求制定属性集;
S22、数据拥有者将属性集发送至可信第三方及云端;
S23、数据拥有者为用户指定属性,并将联系人、联系人属性信息送至可信第三方和云端;
S24、可信第三方及云存储服务器生成联系人属性信息表,存储联系人的属性信息。
在本发明所述的移动云存储轻量级数据安全共享方法中,所述步骤S3包括:
S31、判断登陆进入系统的用户是否是首次登陆用户,如果所述用户是首次登陆用户,执行步骤S32;如果所述用户不是首次登陆用户,则执行步骤S36;
S32、用户向可信第三方发送授权申请;
S33、可信第三方接收用户授权申请,将所述主密钥、联系人属性作为输入,采用属性密码机制为用户生成属性密钥;
S34、可信第三方将所述属性密钥发送给用户;
S35、用户接收并保存属性密钥,授权阶段结束;
S36、用户向可信第三方发送权限更新申请;
S37、可信第三方根据权限更新申请检查所述用户是否有需要更新的属性,如果有需要更新的属性,执行步骤S38;如果无需要更新的属性,执行步骤S310;
S38、可信第三方将用户需要更新的属性密钥发送至所述用户;
S39、用户接收并保存属性密钥及加密后的属性,授权阶段结束;
S310、可信第三方发送消息给用户,通知用户没有需要更新的属性。
在本发明所述的移动云存储轻量级数据安全共享方法中,所述步骤S4包括:
S41、数据拥有者选择需要共享的文件,制定其访问控制策略;
S42、数据拥有者使用对称密码机制加密文件,生成文件密文;
S43、数据拥有者选定一个随机参数,生成加密请求发送给代理加密服务器,所述加密请求包括随机参数和访问控制策略;
S44、代理加密服务器接收加密请求,根据属性密码机制处理访问控制策略中的各个属性,生成中间结果,并将其发送给数据拥有者;
S45、数据拥有者接收中间结果,选定所述文件的版本属性,使用属性密码机制处理版本属性,并利用中间结果及处理后的版本属性与对称密钥进行运算,生成对称密钥密文;
S46、数据拥有者将所述文件密文、对称密钥密文及文件访问控制策略作为一个密文数据包,整体上传至云端。
在本发明所述的移动云存储轻量级数据安全共享方法中,所述步骤S5包括:
S51、用户向云端发送文件访问请求;
S52、云端根据联系人属性信息表中的信息以及文件的访问控制策略对用户进行初步访问控制,以判断用户是否可以访问文件,如果用户不可以访问文件,执行步骤S53;如果用户可以访问文件,执行步骤S54;
S53、云端向用户发送拒绝访问应答,文件访问阶段结束;
S54、云端将文件密文及相应的对称密钥密文发送给用户;
S55、用户接收文件密文及对称密钥密文,选择随机参数对对称密钥密文进行处理后,生成解密请求发送至代理解密服务器,解密请求中包含处理后的对称密钥密文;
S56、代理解密服务器接受处理后的对称密钥密文,根据属性密码机制解密生成中间结果,将其发送至用户;
S57、用户使用所述随机参数和中间结果对对称密钥密文进行解密得到对称密钥,并使用对称密钥对文件密文进行解密得到文件块明文。
在本发明所述的移动云存储轻量级数据安全共享方法中,所述步骤S6包括:
S61、数据拥有者生成权限变更声明,将其发送至可信第三方及云端;
S62、可信第三方及云端判断权限变更声明是为用户增加属性还是删除属性;如果是为用户增加属性,执行步骤S63;如果是为用户删除属性,执行步骤S64;
S63、可信第三方及云端在联系人属性信息表中为用户添加属性信息,权限变更阶段结束;
S64、可信第三方及云端在联系人属性信息表中删除用户相关属性;
S65、数据拥有者对于被撤销属性相关文件重新执行共享操作,权限变更阶段结束。
因此,本发明可以获得以下的有益效果:通过引入代理加密服务器和代理解密服务器,使得涉及到属性密码机制的大量运算都不必在移动端进行,减小了移动端的开销,有利于在能力有限的移动端实现基于属性的访问控制;通过引入版本属性,在将加密工作部分分配给代理加密服务器,在减小移动端开销的同时,保证了数据安全。通过实施本发明的技术方案,可为电量和计算能力有限的移动端提供一种数据密文访问控制方案,实现移动云端数据安全共享。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1为本发明移动云存储轻量级数据安全共享方法的整体流程图;
图2为本发明方法中注册阶段的细化流程图;
图3为本发明方法中初始化阶段的细化流程图;
图4为本发明方法中授权阶段的细化流程图;
图5为本发明方法中数据共享阶段的细化流程图;
图6为本发明方法中数据共享阶段中上传至云端的密文数据包的细化分解图;
图7为本发明方法中文件访问阶段的细化流程图;
图8为本发明方法中权限变更阶段的细化流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
以下首先就本发明的技术术语进行解释和说明:
数据拥有者:指移动云的使用者,需要将移动设备中的数据存储在云中,将数据分享给他人,并制定数据的访问控制策略以决定数据的分享对象;
可信第三方:在属性密码机制中负责属性密钥的产生和分发,在实际系统中,可信第三方可由数据拥有者兼任;
代理加密服务器:在数据加密过程中为数据拥有者完成部分加密工作;
代理解密服务器:在数据解密过程中为用户完成部分解密工作;
用户或联系人:读取数据拥有者发布的数据;
云端或云存储服务器:存储数据拥有者的文件,会忠实执行数据拥有者和可信第三方发出的操作请求,但在条件允许时会偷窥文件内容;
文件:数据拥有者需要上传至云端的数据;
属性:数据拥有者为用户指定的特征,一个用户可能有多个属性,每个数据拥有者都拥有自己的属性集合;属性分为访问控制策略属性和版本属性,访问控制策略属性用于制定访问控制策略,版本属性为本发明的技术方案引入的用于减小系统开销的特殊属性;
访问控制策略:数据拥有者制定的访问规则,限定了数据可以由具有什么样属性特征的人访问;数据拥有者在云端存储文件密文时,会将访问控制策略一并存储,云端可以通过访问控制策略对需要读取文件的用户做初步访问控制;
and:用于访问控制策略中,表示属性之间的“与”关系;
or:用于访问控制策略中,表示属性之间的“或”关系;
对称密码机制:是一种传统密码机制,加密和解密采用相同密钥,效率较高,在本发明中采用该机制加密文件;
对称密钥:对称密码机制中随机生成的二进制数据;
属性密码机制:加密过程中在密文中嵌入访问控制策略,密钥对应一个属性集合,当且仅当密钥对应的属性集合满足访问控制策略中所需要的属性集合才能成功解密密文;
公钥:属性密码机制中由可信第三方生成的二进制串,由可信第三方授予数据拥有者,数据拥有者使用公钥加密对称密钥;
主密钥:属性密码机制中由可信第三方生成的二进制串,仅由可信第三方持有,可信第三方利用主密钥为用户生成属性密钥;
属性密钥:由可信第三方为用户生成,当且仅当用户的属性密钥对应的属性集合满足密文通过属性密码机制内嵌的访问控制策略时才能解密密文。
以下结合实施例和附图对本发明做进一步说明。
图1为本发明一个实施例的移动云存储轻量级数据安全共享方法的整体流程图。如图1所示,本发明移动云存储轻量级数据安全共享方法是应用在移动云环境下的数据共享情境中,该情境包括数据拥有者、可信第三方、代理加密服务器、代理解密服务器以及云端。在其它具体实施方式中,可信第三方也可以同时由数据拥有者担任。
在本实施例中,数据拥有者为智能手机用户X,他存储在手机中的数据包括通信录、短信、日程安排、备忘记录、多媒体资料(照片、录音或语音消息、录像等)。现数据拥有者需要传至云端共享的文件为某次探险出游照片M,M的访问控制策略为:访问者的属性特征必须是((朋友and关系密切程度>1and湖北)or(家人and同辈))。现X有3个联系人,分别为A,B,C;A的属性集合为{朋友,湖北,关系密切程度=3},B的属性集合为{家人,湖北},C的属性集合为{家人,同辈}。
本发明移动云存储轻量级数据安全共享方法包括以下步骤:
步骤S1:注册阶段;数据拥有者在可信第三方处注册,可信第三方为数据拥有者根据属性密码机制生成公钥PK及主密钥MK,将公钥PK发送给数据拥有者,并将主密钥MK自己保留;如图2所示,步骤S1具体包括以下子步骤:
S11、数据拥有者向可信第三方发送注册请求,注册请求中包括数据拥有者的身份信息;
S12、可信第三方接收来自数据拥有者的注册请求,并根据属性密码机制为数据拥有者生成公钥PK及主密钥MK,且不同数据拥有者的公钥及主密钥互不相同;
S13、可信第三方将生成的公钥PK发送给数据拥有者,数据拥有者使用公钥加密对称密钥;可信第三方保留主密钥MK,利用主密钥为用户生成属性密钥;
S14、数据拥有者接收并保存公钥PK。
步骤S2:初始化阶段;数据拥有者根据自身需求制定属性集,该属性集中的属性将用于访问控制策略的制定及为用户指定属性;如图3所示,步骤S2具体包括以下子步骤:
S21、数据拥有者根据自身需求制定属性集;
在本实施例中,数据拥有者X制定自己的属性集为{亲人,同事,同学,好友,合作伙伴,关系密切程度,湖北,北京,上海,羽毛球协会,摄影协会};
S22、数据拥有者将属性集发送至可信第三方及云端;
S23、数据拥有者为联系人(用户)指定属性,并将联系人、属性信息发送至可信第三方和云存储服务器;
在本实施例中,数据拥有者为联系人A指定属性集合为{朋友,湖北,关系密切程度=3},B的属性集合为{家人,湖北},C的属性集合为{家人,同辈},并将联系人属性信息发送至可信第三方、云存储服务器;
S24、可信第三方及云存储服务器生成联系人属性信息表,存储联系人的属性信息;
在本实施例中,可信第三方及云存储服务器为数据拥有者X生成联系人属性信息表,其中存储了联系人A、B、C的属性信息;
步骤S3:授权阶段;用户向可信第三方发送授权申请,可信第三方使用属性密码机制对用户进行授权;如图4所示,步骤S3具体包括以下子步骤:
S31、判断登录进入系统的用户是否是首次登录用户,如果该用户是首次登录用户,转至步骤S32;如果该用户不是首次登录用户,转步骤S36;
在本实施例中,用户A、B、C在登录系统时,由于是首次登录用户,执行步骤S32,以后用户A、B、C再次登录系统时,则转至步骤S36;
S32、用户向可信第三方发送授权申请;
在本实施例中,由用户A、B、C向可信第三方发送授权申请;
S33、可信第三方接收用户授权申请,将步骤S12中生成的主密钥、步骤S23中存储的用户的属性作为输入,采用属性密码机制为用户生成属性密钥;
在本实施例中,可信第三方接收A、B、C的授权申请,将步骤S12中生成的主密钥MK、步骤S23中存储的用户的属性作为输入,生成属性密钥;由于A、B、C拥有的属性集不一样,A、B、C获得的属性密钥也不一样;
S34、可信第三方将步骤S33中生成的属性密钥发送给用户;
S35、用户接收并保存属性密钥,授权阶段结束;
S36、用户向可信第三方发送权限更新申请;
在本实施例中,用户A、B、C向可信第三方发送权限更新申请,权限更新申请中包括用户的属性信息;
S37、可信第三方根据权限更新申请检查该用户是否有需要更新的属性,如果有需要更新的属性,转步骤S38,否则转步骤S310;
在本实施例中,可信第三方比较用户A、B、C的属性和联系人属性信息表中的属性信息是否冲突,若有冲突,则需要更新,转至执行步骤S38,否则转步骤S310;
S38、可信第三方将用户需要更新的属性密钥发送至该用户;
S39、用户接收并保存属性密钥及加密后的属性,授权阶段结束;
S310、可信第三方发送消息给用户,通知用户没有需要更新的属性。
步骤S4:数据共享;数据拥有者选择需要共享的文件,根据属性集中的属性制定访问控制策略,使用对称密码机制对文件进行加密处理生成文件密文,在代理解密服务器的帮助下使用属性加密机制对对称密钥进行加密处理生成对称密文,并将访问控制策略、文件密文及对称密钥密文发送到云端;如图5所示,本步骤具体包括以下子步骤:
S41、数据拥有者选择需要共享的文件,指定其访问控制策略;
在本实施例中,数据拥有者选择文件M,指定其访问控制策略为((朋友and关系密切程度>1and湖北)or(家人and同辈));
S42、数据拥有者使用对称密码机制加密文件,生成文件密文;
在本实施例中,数据拥有者选择对称密码机制加密文件M,对称密钥为k,得到文件密文C;
S43、数据拥有者选定一个随机参数,生成加密请求发送给代理加密服务器,该加密请求中包括随机参数及访问控制策略;
在本实施例中,数据拥有者选择一个随机参数s,生成加密请求,加密请求中包含随机参数及访问控制策略:{s,((朋友and关系密切程度>1and湖北)or(家人and同辈))};
S44、代理加密服务器接受加密请求,根据属性密码机制处理访问控制策略中的各个属性,生成中间结果,并将其发送给数据拥有者;
在本实施例中,代理加密服务器接受加密请求,对访问控制策略中的各个属性使用属性密码机制进行处理,生成中间结果A;
在步骤S44中,引入代理加密服务器对访问控制策略中的属性进行处理,极大减小了移动端的开销,有利于密文访问在移动端的实现;
S45、数据拥有者接收中间结果,选定所述文件的版本属性,使用属性密码机制处理版本属性,并利用中间结果及处理后的版本属性与对称密钥进行运算,生成对称密钥密文;
在本实施例中,数据拥有者接收中间结果A,选定文件M的版本属性Mver,使用属性密码机制处理版本属性Mver,生成处理后的版本属性Mver’,然后利用中间结果A及处理后版本属性与对称密钥进行k计算,得到一个新的值k’,最终的对称密钥密文为{k’,A,Mver};
在步骤S45中,为文件增加版本属性,使得将部分加密工作转移至代理加密服务器的同时也能保护对称密钥不被泄露,从而保护了文件;
S46、数据拥有者将步骤S42中生成的文件密文、步骤S45中生成的对称密钥密文及文件访问控制策略作为一个密文数据包,整体上传至云端,数据包内容如图6所示;
在本实施例中,数据拥有者上传至云端的密文数据包内容为:
{C,{k’,A,Mver},((朋友and关系密切程度>1and湖北)or(家人and同辈))};
步骤S5:文件访问阶段;用户向云端发送文件访问请求,云端根据访问控制策略对其做初步访问控制,并将文件包发送给合法用户,用户在代理解密服务器的协助下根据属性密码机制解密对称密钥密文,以进一步解密文件;如图7所示,本步骤具体包括以下子步骤:
S51、用户向云端发送文件访问请求;
在本实施例中,用户A、B、C向云端发送文件访问请求,要求访问文件M;
S52、云端根据联系人属性信息表中的信息以及文件的访问控制策略对用户进行初步访问控制,以判断用户是否可以访问文件;如果用户不可以访问文件,转步骤S53;如果用户可以访问文件,转步骤S54;
在本实施例中,云端存储的联系人信息表中的属性信息为:
A:{朋友,湖北,关系密切程度=3};
B:{家人,湖北};
C:{家人,同辈};
文件的访问控制策略为:((朋友and关系密切程度>1and湖北)or(家人and同辈));
因此,用户B不能访问文件,转步骤S53;用户A、C可以访问文件,转步骤S54;
S53、云端向用户发送拒绝访问应答;
在本实施例中,由云端向用户B发送拒绝访问应答;
S54、云端将文件密文及相应的对称密钥密文发送给用户;
在本实施例中,云端将文件密文及相应的对称密钥密文{C,{k’,A,Mver}}发送给用户A、C;
S55、用户接收文件密文及对称密钥密文,选择随机参数对对称密钥密文进行处理后,生成解密请求发送至代理解密服务器,解密请求中包含处理后的对称密钥密文;
在本实施例中,用户A、C接受文件密文及相应的对称密钥密文{C,{k’,A,Mver}},选择随机参数t对对称密钥密文进行处理,生成解密请求发送至代理解密服务器,解密请求中包含处理后的对称密钥密文{(k’)t,A,Mver}};
S56、代理解密服务器接受处理后的对称密钥密文,根据属性密码机制解密生成中间结果,并将其发送至用户;
在本实施例中,代理解密服务器接收处理后的属性密钥密文{(k’)t,A,Mver},C},根据属性密码机制解密生成中间结果kt,将kt发送至用户;
在步骤S56中,引入代理解密服务器协助进行对称密钥的解密,使得用户不必承担属性密码机制解密带来的开销;
S57、用户使用步骤S55中的随机参数及步骤S56中的中间结果对对称密钥密文进行解密得到对称密钥,并使用对称密钥对文件密文进行解密得到文件块明文;
在本实施例中,用户使用S55中的随机参数t及步骤S56中的中间结果kt,得到对称密钥k,然后使用对称密钥k解密文件密文C得到文件明文M;
步骤S6:权限变更阶段;数据拥有者根据实际需要决定为用户增加或删除属性,并据此生成权限变更声明,发送至可信第三方及云端,可信第三方或云端在联系人属性信息表中更新用户属性信息;当权限变更是为用户删除属性时,数据拥有者需要为该属性涉及到的文件重新执行共享操作;如图8所示,本步骤具体包括以下子步骤:
S61、数据拥有者生成权限变更声明,将其发送至可信第三方及云端;
S62、可信第三方及云端判断权限变更声明是为用户增加属性还是删除属性;如果是为用户增加属性,转步骤S63;如果是为用户删除属性,转步骤S64;
S63、可信第三方及云端在联系人信息表中为用户添加属性信息;该阶段结束;
S64、可信第三方及云端在联系人信息表中删除用户相关属性;
S65、数据拥有者对于被撤销属性相关文件重新执行共享操作,如步骤S4中所述;权限变更阶段结束。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种移动云存储轻量级数据安全共享方法,其特征在于,所述方法包括以下步骤:
S1、注册:数据拥有者在可信第三方处注册,可信第三方根据属性密码机制生成公钥及主密钥,将公钥发送给数据拥有者加密对称密钥,可信第三方保留主密钥为用户生成属性密钥;
S2、初始化:数据拥有者根据自身需求制定属性集并为用户指定属性,将属性集、联系人、联系人属性信息发送至可信第三方及云端,生成联系人属性信息表;
S3、授权:用户向可信第三方发送授权申请,可信第三方使用属性密码机制为用户生成属性密钥发送给用户;
S4、数据共享:数据拥有者选择需要共享的文件,根据属性集中的属性制定访问控制策略,使用对称密码机制对文件进行加密处理生成文件密文,通过代理加密服务器使用属性密码机制对对称密钥进行加密处理生成对称密钥密文,并将访问控制策略、文件密文及对称密钥密文发送至云端;
S5、文件访问:用户向云端发送文件访问请求,云端根据访问控制策略对其做访问控制,并将文件包发送给合法用户,用户通过代理解密服务器根据属性密码机制解密对称密钥密文。
2.如权利要求1所述的移动云存储轻量级数据安全共享方法,其特征在于,所述方法还包括以下步骤:
S6、权限变更:当需要进行权限变更时,数据拥有者根据实际需要决定为用户增加或删除属性,并据此生成权限变更声明,发送至可信第三方及云端,可信第三方及云端在联系人属性信息表中更新联系人属性信息;当权限变更是为用户删除属性时,数据拥有者为所述属性涉及到的文件重新执行共享操作。
3.如权利要求1或2所述的移动云存储轻量级数据安全共享方法,其特征在于,所述步骤S1包括:
S11、数据拥有者向可信第三方发送注册请求,注册请求中包括数据拥有者的身份信息;
S12、可信第三方接收来自数据拥有者的注册请求,并根据属性密码机制为数据拥有者生成公钥及主密钥,且不同数据拥有者的公钥及主密钥互不相同;
S13、可信第三方将生成的公钥发送给数据拥有者用于加密对称密钥,保留主密钥用于为用户生成属性密钥;
S14、数据拥有者接收并保存公钥。
4.如权利要求3所述的移动云存储轻量级数据安全共享方法,其特征在于,所述步骤S2包括:
S21、数据拥有者根据自身需求制定属性集;
S22、数据拥有者将属性集发送至可信第三方及云端;
S23、数据拥有者为用户指定属性,并将联系人、联系人属性信息送至可信第三方和云端;
S24、可信第三方及云存储服务器生成联系人属性信息表,存储联系人的属性信息。
5.如权利要求4所述的移动云存储轻量级数据安全共享方法,其特征在于,所述步骤S3包括:
S31、判断登陆进入系统的用户是否是首次登陆用户,如果所述用户是首次登陆用户,执行步骤S32;如果所述用户不是首次登陆用户,则执行步骤S36;
S32、用户向可信第三方发送授权申请;
S33、可信第三方接收用户授权申请,将所述主密钥、联系人属性作为输入,采用属性密码机制为用户生成属性密钥;
S34、可信第三方将所述属性密钥发送给用户;
S35、用户接收并保存属性密钥,授权阶段结束;
S36、用户向可信第三方发送权限更新申请;
S37、可信第三方根据权限更新申请检查所述用户是否有需要更新的属性,如果有需要更新的属性,执行步骤S38;如果无需要更新的属性,执行步骤S310;
S38、可信第三方将用户需要更新的属性密钥发送至所述用户;
S39、用户接收并保存属性密钥及加密后的属性,授权阶段结束;
S310、可信第三方发送消息给用户,通知用户没有需要更新的属性。
6.如权利要求5所述的移动云存储轻量级数据安全共享方法,其特征在于,所述步骤S4包括:
S41、数据拥有者选择需要共享的文件,制定其访问控制策略;
S42、数据拥有者使用对称密码机制加密文件,生成文件密文;
S43、数据拥有者选定一个随机参数,生成加密请求发送给代理加密服务器,所述加密请求包括随机参数和访问控制策略;
S44、代理加密服务器接收加密请求,根据属性密码机制处理访问控制策略中的各个属性,生成中间结果,并将其发送给数据拥有者;
S45、数据拥有者接收中间结果,选定所述文件的版本属性,使用属性密码机制处理版本属性,并利用中间结果及处理后的版本属性与对称密钥进行运算,生成对称密钥密文;
S46、数据拥有者将所述文件密文、对称密钥密文及文件访问控制策略作为一个密文数据包,整体上传至云端。
7.如权利要求6所述的移动云存储轻量级数据安全共享方法,其特征在于,所述步骤S5包括:
S51、用户向云端发送文件访问请求;
S52、云端根据联系人属性信息表中的信息以及文件的访问控制策略对 用户进行初步访问控制,以判断用户是否可以访问文件,如果用户不可以访问文件,执行步骤S53;如果用户可以访问文件,执行步骤S54;
S53、云端向用户发送拒绝访问应答,文件访问阶段结束;
S54、云端将文件密文及相应的对称密钥密文发送给用户;
S55、用户接收文件密文及对称密钥密文,选择随机参数对对称密钥密文进行处理后,生成解密请求发送至代理解密服务器,解密请求中包含处理后的对称密钥密文;
S56、代理解密服务器接受处理后的对称密钥密文,根据属性密码机制解密生成中间结果,将其发送至用户;
S57、用户使用所述随机参数和中间结果对对称密钥密文进行解密得到对称密钥,并使用对称密钥对文件密文进行解密得到文件块明文。
8.如权利要求7所述的移动云存储轻量级数据安全共享方法,其特征在于,所述步骤S6包括:
S61、数据拥有者生成权限变更声明,将其发送至可信第三方及云端;
S62、可信第三方及云端判断权限变更声明是为用户增加属性还是删除属性;如果是为用户增加属性,执行步骤S63;如果是为用户删除属性,执行步骤S64;
S63、可信第三方及云端在联系人属性信息表中为用户添加属性信息,权限变更阶段结束;
S64、可信第三方及云端在联系人属性信息表中删除用户相关属性;
S65、数据拥有者对于被撤销属性相关文件重新执行共享操作,权限变更阶段结束。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410026787.9A CN103763319B (zh) | 2014-01-13 | 2014-01-13 | 一种移动云存储轻量级数据安全共享方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410026787.9A CN103763319B (zh) | 2014-01-13 | 2014-01-13 | 一种移动云存储轻量级数据安全共享方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103763319A CN103763319A (zh) | 2014-04-30 |
| CN103763319B true CN103763319B (zh) | 2017-01-18 |
Family
ID=50530479
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410026787.9A Expired - Fee Related CN103763319B (zh) | 2014-01-13 | 2014-01-13 | 一种移动云存储轻量级数据安全共享方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103763319B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104009987B (zh) * | 2014-05-21 | 2017-02-22 | 南京邮电大学 | 一种基于用户身份能力的细粒度云平台安全接入控制方法 |
| CN104023027B (zh) * | 2014-06-18 | 2017-03-29 | 西安电子科技大学 | 基于密文采样分片的云端数据确定性删除方法 |
| CN104378386A (zh) * | 2014-12-09 | 2015-02-25 | 浪潮电子信息产业股份有限公司 | 一种云数据机密性保护和访问控制的方法 |
| CN104584509A (zh) * | 2014-12-31 | 2015-04-29 | 深圳大学 | 一种共享数据的访问控制方法、装置及系统 |
| CN104618355B (zh) * | 2015-01-19 | 2017-04-05 | 北京海泰方圆科技股份有限公司 | 一种安全存储和传输数据的方法 |
| CN104717297A (zh) * | 2015-03-30 | 2015-06-17 | 上海交通大学 | 一种安全云存储方法及系统 |
| CN104954447B (zh) * | 2015-05-29 | 2018-02-02 | 桂林电子科技大学 | 支持属性基加密的移动智能设备安全服务实现方法和系统 |
| CN106936579A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 基于可信第三方代理的云存储数据存储及读取方法 |
| CN106452735A (zh) * | 2016-07-04 | 2017-02-22 | 广东工业大学 | 一种支持属性撤销的外包属性加密方法 |
| CN107612870B (zh) * | 2016-07-11 | 2021-01-05 | 香港理工大学深圳研究院 | 物联网设备的委托授权方法、服务器、终端及物联网设备 |
| CN106453612B (zh) * | 2016-11-10 | 2019-03-05 | 华中科技大学 | 一种数据存储与共享系统 |
| CN106993052A (zh) * | 2017-05-08 | 2017-07-28 | 桂林电子科技大学 | 一种隐私保护下基于云平台的服务竞争方法 |
| CN107528848B (zh) * | 2017-09-04 | 2020-04-28 | 上海海事大学 | 一种云存储系统的敏感数据安全共享和自毁方法 |
| CN107579980A (zh) * | 2017-09-07 | 2018-01-12 | 福州大学 | 医疗物联网中的轻量级双重访问控制系统 |
| CN108259169B (zh) * | 2018-01-09 | 2021-07-20 | 北京大学深圳研究生院 | 一种基于区块链云存储的文件安全分享方法及系统 |
| CN109919611B (zh) * | 2019-01-15 | 2021-11-16 | 如般量子科技有限公司 | 基于对称密钥池服务器的抗量子计算区块链交易方法和系统 |
| JP2020123188A (ja) * | 2019-01-31 | 2020-08-13 | 富士通株式会社 | 通信装置、通信プログラム、および通信方法 |
| CN109831444A (zh) * | 2019-02-28 | 2019-05-31 | 南京邮电大学 | 一种基于代理的属性加密云存储访问控制方法 |
| CN111639352B (zh) * | 2020-05-24 | 2023-06-20 | 中信银行股份有限公司 | 电子证明的生成方法、装置、电子设备及可读存储介质 |
| US11354439B2 (en) * | 2020-06-03 | 2022-06-07 | International Business Machines Corporation | Content control through third-party data aggregation services |
| CN112069474B (zh) * | 2020-09-01 | 2023-05-19 | 中国联合网络通信集团有限公司 | 一种用户数据的使用和被遗忘方法以及第三方可信服务器 |
| CN112597523B (zh) * | 2021-03-02 | 2021-06-18 | 冷杉云(北京)科技股份有限公司 | 文件处理方法、文件转换加密机、终端、服务器及介质 |
| CN114598535B (zh) * | 2022-03-14 | 2023-12-15 | 太原科技大学 | 基于云计算多授权中心的cp-abe代理重加密方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7213022B2 (en) * | 2004-04-29 | 2007-05-01 | Filenet Corporation | Enterprise content management network-attached system |
| CN102014133B (zh) * | 2010-11-26 | 2013-08-21 | 清华大学 | 在云存储环境下一种安全存储系统的实现方法 |
| CN102546764B (zh) * | 2011-12-20 | 2014-06-04 | 华中科技大学 | 一种云存储系统的安全访问方法 |
| CN103095847B (zh) * | 2013-02-04 | 2015-06-17 | 华中科技大学 | 一种云存储系统安全保障方法及其系统 |
| CN103179114B (zh) * | 2013-03-15 | 2015-09-23 | 华中科技大学 | 一种云存储中的数据细粒度访问控制方法 |
-
2014
- 2014-01-13 CN CN201410026787.9A patent/CN103763319B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN103763319A (zh) | 2014-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103763319B (zh) | 一种移动云存储轻量级数据安全共享方法 | |
| CN103179114B (zh) | 一种云存储中的数据细粒度访问控制方法 | |
| CN103327002B (zh) | 基于属性的云存储访问控制系统 | |
| CN106254324B (zh) | 一种存储文件的加密方法及装置 | |
| CN103973736B (zh) | 一种数据共享的方法及装置 | |
| CN105027130B (zh) | 延迟数据访问 | |
| CN103237040B (zh) | 一种存储方法、服务器和客户端 | |
| CN110099043A (zh) | 支持策略隐藏的多授权中心访问控制方法、云存储系统 | |
| CN103427998B (zh) | 一种面向互联网数据分发的身份验证和数据加密方法 | |
| CN105122265B (zh) | 数据安全服务系统 | |
| CN104917741B (zh) | 一种基于usbkey的明文文档公网安全传输系统 | |
| CN104158827B (zh) | 密文数据共享方法、装置、查询服务器和上传数据客户端 | |
| CN105359159A (zh) | 加密的网络存储空间 | |
| CN108833393A (zh) | 一种基于雾计算的可撤销数据共享方法 | |
| CN108600217A (zh) | 一种云端基于代理重加密的数据授权确定性更新方法 | |
| CN104023027B (zh) | 基于密文采样分片的云端数据确定性删除方法 | |
| CN104756441A (zh) | 用于数据访问控制的方法和装置 | |
| CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
| CN103812927A (zh) | 一种存储方法 | |
| CN103236934B (zh) | 一种云存储安全控制的方法 | |
| CN106656490B (zh) | 量子白板数据存储方法 | |
| CN108632035A (zh) | 一种带有访问控制的不经意传输系统及方法 | |
| CN104065623A (zh) | 信息处理方法、信任服务器及云服务器 | |
| CN105518696B (zh) | 对数据存储器执行操作 | |
| Ramachandran et al. | Secure and efficient data forwarding in untrusted cloud environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170118 Termination date: 20180113 |