CN104486307A - 一种基于同态加密的分权密钥管理方法 - Google Patents

一种基于同态加密的分权密钥管理方法 Download PDF

Info

Publication number
CN104486307A
CN104486307A CN201410729943.8A CN201410729943A CN104486307A CN 104486307 A CN104486307 A CN 104486307A CN 201410729943 A CN201410729943 A CN 201410729943A CN 104486307 A CN104486307 A CN 104486307A
Authority
CN
China
Prior art keywords
key
user
kmc
send
cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410729943.8A
Other languages
English (en)
Other versions
CN104486307B (zh
Inventor
汤殿华
安红章
白健
何远杭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN201410729943.8A priority Critical patent/CN104486307B/zh
Publication of CN104486307A publication Critical patent/CN104486307A/zh
Application granted granted Critical
Publication of CN104486307B publication Critical patent/CN104486307B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • H04L63/064Hierarchical key distribution, e.g. by multi-tier trusted parties
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3249Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme

Abstract

本发明公开了一种基于同态加密的分权密钥管理方法,包括如下步骤:步骤一、用户主密钥生成;步骤二、云服务实例密钥生成;步骤三、针对不同的数据实例进行密钥分发。本发明的积极效果是:本发明利用同态加密的密文计算特点实现了安全的密钥管理,分散了密钥管理中心的密钥权限,提升了用户的控制权。密钥管理中心在不用获取用户主密钥的情况,能够完成对云计算服务密钥的分发;实现云服务密钥的可变性和细粒度的密钥分发功能,可根据不同的云服务类型、业务数据类型,分发不同的密钥;部门审计可以随时对用户的业务行为和数据的监控;密钥管理中心只能完成密钥管理功能,无法获知用户主密钥、以及云计算服务的密钥。

Description

一种基于同态加密的分权密钥管理方法
技术领域
本发明涉及一种基于同态加密的分权密钥管理方法。
背景技术
1、云计算密钥管理的特点
云计算是能够动态伸缩的虚拟化资源,通过互联网以服务的方式提供给用户的一种计算模式。在云计算模式下,用户不必构建或管理这些资源,而是可以直接按需付费使用云计算服务商提供的资源。云计算把IT资源、数据、应用作为一种服务,通过网络提供给用户,这是服务方式的变革,是共享数据模式的改变。在这种模式下云环境中密钥管理主要特点是:
(1)用户等级多样,对密码和密钥的安全要求等级也不尽相同,安全要求包括加密算法的形式,密钥的长度、安全强度、管理力度等方面。
(2)密钥种类繁多,由于云中应用千差万别,应用密码的需求也是多种多样,因此需要实现对对称、公钥密码等多种密码体制的密钥管理,密钥种类包括对称密钥和公钥,公钥又包括签名认证密钥、会话加密密钥和存储加密密钥。
(3)密钥数据量庞大,云计算运行在一个不断复杂化、多用户的环境中,每一个用户在云中可能需要多个密钥实现数据加密存储、加密传输等多种功能。
(4)密码应用场景复杂,相对于现有密码应用场景,云环境的密码应用场景比较复杂,需要采用密码技术实现对云环境中用户虚拟机的标识和认证,实现对用户虚拟机的加密,包括虚拟机镜像存储、虚拟机迁移过程和虚拟机之间通讯的加密。
2、云计算密钥管理需求
云计算作为一种新兴的计算模式,利用虚拟化技术,将大量计算资源构成可共享、可分配的资源池,使各种应用能够按需获取计算资源、存储资源和信息资源,针对军队不同系统用户的信息也将在“云端”实现集中,军用云计算安全需要特点主要有以下几个方面:
(1)一个独立的云计算密钥管理中心。
云计算主要特点是用户等级多样,为了保证用户私密信息的安全,因此我们需要对用户的数据进行加密,但是由于数据种类的多样性以及用户对密钥的安全要求等级不尽相同,云计算中的密钥种类繁多,密钥数据量庞大。为了应对庞大密钥量的管理问题,应该采用中心化的密钥管理中心来统一管理云计算中产生的各种密钥。除此之外,为了能够抵抗云计算平台可以获得用户的私密信息,因此,我们需要一个独立于云计算平台的密钥管理平台用于单独保护用户在加密过程中产生的各种密钥。
(2)用户不同的应用产生的数据使用不同的加密密钥加密。
在云计算平台中,每个用户都会根据自己的需求使用各种不同的应用,同时将这些应用使用过程中产生的数据进行存储,为了提高安全性,云计算平台希望用户的不同应用产生的数据使用不同的加密密钥。同时用户自身所掌握的密钥应该尽可能简单,也就是说,用户可以通过一个主密钥扩展出多个针对于不同应用的加密密钥。
(3)军方部门可以对本部门的用户数据进行监控和审计。
在保证安全性的过程中,每个用户存储在云端的数据都是经过加密的,这样可以防止云端获得用户的秘密信息,但是军方部门希望可以实现对本部门用户的数据进行监控和审计,从而进一步地了解部门成员的工作状况和生活动态。
以上便是军用云计算安全的需求特点。
3、云计算中密钥管理国内外现状
在云计算中,国内外著名的云计算平台有亚马逊云(AWS:Amazon WebSerives),谷歌云等,另外做云服务安全的企业有Dell,RSA,Symplified,HYTRUST,Safenet等。
谷歌云服务的密钥管理机制网上调查所得的资料相对较少,在谷歌云安全白皮书中也没有涉及到有关密钥管理方面的知识,因此此处也就不做相关介绍,亚马逊云服务密钥管理机制是建立在Safenet云安全公司的密钥管理机制上的,我们在后边将会对Safenet云密钥管理机制进行相关介绍。
在Dell云服务中通过建立Enstratius机制从而保障其安全性,所有的通信过程的安全均是采用SSH协议来完成的,而所有存储在云端的文件都是通过加密的。其密钥管理措施主要是采用隔离的方式来进行保护的,任何云中的操作环境都不可能与云中的密钥进行接触,密钥管理设施以及云操作服务器是保证绝对分开的,同时采取密钥备份技术用于进行密钥恢复。
RSA云设施主要通过云连接网关(CloudLink Gateways)来保证整个云服务的安全,它将云连接网关中所使用到的加密密钥存储在RSA DPM(数据保护管理中心中),这种机制可以保证在密钥被保护的同时,方便云连接及时使用密钥。
Symplified主要研究的是云中的访问控制策略,它通过提供一个单点登录的机制,从而让用户通过一个信息便可访问云中所有关于他的信息以及应用。同时随着云中应用的逐渐增多,每一个用户的应用以及数据都会随之增加,Symplified同时为用户以后应用和数据的增加也预留了一定的空间。
HyTrust通过建立一个安全高效的密钥管理系统HyTrustKeyControl。这个管理系统主要的特点易于配置和便于使用,并且它是一个便于管理的虚拟应用,可以将其配置在物理设备上。由于HyTrustKeyControl的特点,那么它的安装位置是可变的,也就是说,我们既可以将其安装在企业内部,也可以将其布置在服务提供商上。至于密钥管理中的密钥的周期以及生成方式可以根据具体的应用进行改变从而满足各种应用的需求。
Safenet为亚马逊云服务建立了虚拟密钥安全管理机制,通过加入虚拟密钥安全(Virtual Keysecure)进行加密密钥管理和存储,同时该虚拟密钥机制同时也支持亚马逊云中的相关硬件资源服务,在Safenet云安全防护系统中每个用户只需要持有一个主密钥,并且可以通过简单的操作将主密钥配置在云硬件资源中,用于相关数据的加密和解密。在亚马逊云硬件资源中也可以安全地存储通过虚拟密钥安全机制的密钥加密过的数据。另外,Safenet还提供一种互用型密钥管理协议(KMIP:Key Management Interoperability Protocol),该协议允许在不进行委托的条件下安全地运行在各种不同的密码环境中,同时支持不同的密钥管理者。
国内的云计算比较著名的厂家主要有阿里云、百度云等。由于国内的云计算发展相对国外较晚,目前所主要推广的产品还是以存储为主,对云中大规模的应用及开发的推广还处于试验阶段,并没有投入实际的生产和生活中,这便也决定了目前国内云计算主要解决的问题还是云服务可靠性,访问控制以及通信方面,对于云服务中产生的相关数据的安全性防护及加密都涉及相对较少,因此对于云密钥管理的方案还没有被真正的提出,更难说应用。
以阿里云来说,它的白皮书中主要包含的内容是组织安全,合规安全,数据安全,访问控制,人员安全,物力和环境安全,基础安全,系统和软件开发及维护安全,灾难恢复及业务连续性等。其数据安全主要从访问与隔离、存储与销毁两个方面来谈的,其中提到“阿里云管理的数据资产,包括客户和企业自身在安全政策下管理的数据资产。所有阿里云员工在处理数据资产时,必须遵守数据分类原则下的数据处理流程和准则。阿里云的数据分类不同于传统IT环境下基于数据密级的分类模式,不但在分类对象方面覆盖数据资产和包含数据的对象,而且在数据类型方面也通过明确定义数据处理权限、管理者的区域、前后关系、法律上的约束条件、合同上的限定条件、第三方的义务来防止数据未经授权地披露或滥用”,从这个方面来看,阿里云的数据安全还是对于阿里云服务提供商自己是公开的,因此也不可以防止来自于阿里云内部的攻击,他们只是通过一定的访问控制和分权去实现数据的一定程度安全。
而目前的百度云主要为用户提供的是存储服务,而且推广还不错,在国内的用户也很多,但是用户存储在百度云中的数据完全是不加密的,极容易被窃取或者遭受到来自于云内部工作人员的泄露。
总体来说,国内云密钥管理由于受到云计算发展缓慢的影响,目前的相关研究成果较少。
综合上述分析,目前主流的云计算平台,对密钥的管理的方式,还是采用“加密孤岛”的方式,各个系统间独立管理。这使得云计算密码管理系统较复杂,而且不能动态伸缩。另一方面,在现有的云计算密钥管理方案中,用户没有拥有密钥的控制权,丧失了对数据安全的控制,密钥管理设施掌握了用户数据的所有相关密钥,容易引起密钥泄露。再则,在私用云中,企业、机构、部门为了保护集体信息财产,需要对用户数据进行监控,然而目前的云计算密钥管理方案还不具备这样的功能。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于同态加密的分权密钥管理方法,实现了:
(1)统一管理云计算的密钥。为云计算平台提供密钥管理资源池。
(2)用户掌控主密钥。主密钥用于派生出云计算中云服务的密钥,但不泄露用户主密钥。
(3)部门具有审计用户的作用。便于部门掌控集体信息财产。
本发明解决其技术问题所采用的技术方案是:一种基于同态加密的分权密钥管理方法,包括如下步骤:
步骤一、用户主密钥生成:
(1)建立同态加密的系统参数;
(2)根据系统参数,部门生成自己的公私钥对(pkD,skD),并将公钥pkD发送给用户;
(3)用户A根据系统参数,生成自己的公私钥对(pkA,skA),并对自己的ID进行hash运算,得到h;并使用pkA对h进行加密使用pkD对用户的私钥skA进行加密然后将pkA发送给部门;
(4)部门存储并根据密钥申请时间t,选择一个随机数rA,计算存储元组(ctA,rA),并将ctA发送给用户A;
(5)用户A接收到ctA,并使用自己的私钥skA解密,获得主密钥KA
步骤二、云服务实例密钥生成:
(1)建立同态加密的系统参数;
(2)密钥管理中心根据系统参数和云服务实例生成自己的公私钥对(pki,ski),并将公钥pki发送给云服务实例;
(3)云服务实例将密钥管理中心的公钥pki发送给用户A;
(4)用户A随机选择一个随机数ri,计算然后使用公钥pki对KA,i进行加密,得到发送给云服务实例;
(5)云服务实例随机选择一个数γi,使用公钥pki对其加密得到然后计算将cki发送给密钥管理中心;
(6)密钥管理中心使用私钥ski解密cki,得到
步骤三、针对不同的数据实例进行密钥分发。
与现有技术相比,本发明的积极效果是:本发明利用同态加密的密文计算特点实现了安全的密钥管理,分散了密钥管理中心的密钥权限,提升了用户的控制权。具体优点如下:
(1)中心化密钥管理。统一管理云服务的密钥使用,但该中心重在密钥管理,但无法获取云服务正在使用的密钥。
(2)用户私有保存主密钥。密钥管理中心在不用获取用户主密钥的情况,能够完成对云计算服务密钥的分发。
(3)实现云服务密钥的可变性和细粒度的密钥分发功能。可根据不同的云服务类型、业务数据类型,分发不同的密钥。
(4)部门审计可以随时对用户的业务行为和数据的监控。在私有云中,具有规范用户行为的功能。
(5)密钥管理中心只能完成密钥管理功能,无法获知用户主密钥、以及云计算服务的密钥。
具体实施方式
密钥管理的参与方有:
(1)用户:云计算服务的使用者。
(2)部门:用户所归属的上级部门机构。
(3)加密代理:为用户提供数据加密服务
(4)密钥管理中心:云计算的第三方密钥管理中心,为云服务提供密钥管理服务。
(5)云服务:用户所获取的云服务实例。
同态加密,能够在不解密情况下,进行密文计算,具有广阔的应用前景。目前,全同态加密能进行任意的密文计算,但其效率非常低,不能用于现实系统。但是,单同态具有高效率的特点,具有实用价值。在本技术方案中,将利用单同态加密来设计分权的密钥管理方案。下面介绍两种常用的同态加密算法。这两种算法都可以作为本技术方案的同态加密模块使用。
(1)RSA加密方案
由方案描述可知,两个消息m1和m2的加密为:
Enc pk ( m 1 ) = m 1 e mod n ,
Enc pk ( m 2 ) = m 2 e mod n ,
则,
Encpk(m1)·Encpk(m2)=(m1·m2)emod n,
Decsk(Encpk(m1)·Encpk(m2))=m1·m2
可以看出RSA加密方案具有乘法同态性。
(2)Paillier加密方案
由方案描述可知,两个消息m1和m2的加密为:
Enc pk ( m 1 ) = g m 1 · r 1 n mod n 2 ,
Enc pk ( m 2 ) = g m 2 · r 2 n mod n 2 ,
则,
Enc pk ( m 1 ) · Enc pk ( m 2 ) = g m 1 + m 2 · ( r 1 · r 2 ) n mod n 2 ,
Dec sk ( Enc pk ( m 1 ) · Enc pk ( m 2 ) ) = m 1 + m 2 .
可以看出Paillier加密方案具有加法同态性。
为了统一加密算法的使用,定义:密文域上的运算符为“·”,明文域上的运算符为则有:
一种基于同态加密的分权密钥管理方法,主要目标是通过用户的主密钥以及密钥管理中心的部分密钥在加密代理、云服务中生成对于用户不同的应用的密钥。主要优势是在密钥生成过程中密钥管理中心无法完全掌控用户主密钥,并且无法获得用户云服务活动实例的密钥,很好地保护了用户的隐私安全。具体包括如下步骤:
步骤一、用户主密钥生成:
为了使得部门对用户实施审计监控,用户主密钥由部门参与协商生成,并分发。具体流程如下:
(1)建立同态加密的系统参数。
加密算法可以采用前述的RSA加密方法或Paillier加密方法。这里使用这两种加密算法对系统功能来说差别不大。由于Pailier加密算法具有语义安全性,这里推荐使用Paillier加密方法。
(2)根据系统参数,部门生成自己的公私钥对(pkD,skD),并将公钥pkD发送给用户。
(3)用户A根据系统参数,生成自己的公私钥对(pkA,skA)。并对自己的ID进行hash运算(采用SHA系列算法),得到h,即h=H(IDA),其中IDA为用户A的身份信息。并使用pkA对h进行加密并使用pkD对用户的私钥skA进行加密然后将pkA发送给部门。
(4)部门存储根据密钥申请时间t,选择一个随机数rA,计算用户A主密钥的密文存储元组(ctA,rA)。并将ctA发送给用户A。
(5)用户A接收到ctA,并使用自己的私钥skA解密,获得主密钥KA
步骤二、云服务实例密钥生成:
在本阶段中,参与者为:用户、密钥管理中心、云服务实例。该三方通过基于同态加密的密码协议来产生密钥。为了方便标识,使用标识云服务实例。其具体流程如下:
(1)建立同态加密所需要的参数。(此处所选择的同态加密算法与步骤一的第(1)步相同。)
(2)密钥管理中心根据系统参数和云服务实例,生成自己的公私钥对(pki,ski),并将公钥pki发送给云服务实例。
(3)云服务实例将密钥管理中心的公钥pki发送给用户A。
(4)用户A随机选择一个随机数ri,并计算然后使用公钥pki对KA,i进行加密,得到发送给云服务实例。
(5)云服务实例随机选择一个数γi,然后使用公钥pki对其进行同态加密得到然后计算将cki发送给密钥管理中心。
(6)密钥管理中心使用私钥ski解密cki,得到
步骤三、云服务特定数据密钥生成:
在一个云服务中,有不同的数据类型和不同的密钥需求。针对同一个云服务,不同数据有不同的密钥需求。步骤三针对不同的数据实例进行密钥分发。整个分发包括两种类型:在线式分发、离线式分发。
在线式分发适合于网络情况较好情况下,并且作为推荐使用的方式。离线式分发适合于网络情况较差,且与密钥管理中心通信不稳定状态下。
为了方便标识,使用j标识数据实例。并记“除法”运算为:
①在线式分发
这种分发方式,需要密钥管理中心和数据实例进行一轮的信息交换。其流程如下:
(1)数据实例向密钥管理中心发起密钥请求。
(2)密钥管理中心选择一个随机数αj,并计算并将βij发送给“数据实例”。
(3)“数据实例”接收到βij,计算并将αj发送给密钥管理中心。
通过该协议“数据实例”获得密钥Sij。密钥管理中心获得该“数据实例”的密钥部分信息αj
②离线式分发
离线式分发,不需要密钥管理中心返回信息给“数据实例”,便可以完成密钥的分发。其流程如下:
(1)“数据实例”发起密钥生成请求,并选取一个随机数Sij,然后计算βij=Siji,最后将βij发送给密钥管理中心。
(2)密钥管理中心接收到βij后,计算
通过该协议“数据实例”获得密钥Sij。密钥管理中心获得该“数据实例”的密钥部分信息αj

Claims (3)

1.一种基于同态加密的分权密钥管理方法,其特征在于:包括如下步骤:
步骤一、用户主密钥生成:
(1)建立同态加密的系统参数;
(2)根据系统参数,部门生成自己的公私钥对(pkD,skD),并将公钥pkD发送给用户;
(3)用户A根据系统参数,生成自己的公私钥对(pkA,skA),并对自己的ID进行hash运算,得到h;并使用pkA对h进行加密使用pkD对用户的私钥skA进行加密然后将pkA发送给部门;
(4)部门存储并根据密钥申请时间t,选择一个随机数rA,计算存储元组(ctA,rA),并将ctA发送给用户A;
(5)用户A接收到ctA,并使用自己的私钥skA解密,获得主密钥KA
步骤二、云服务实例密钥生成:
(1)建立同态加密的系统参数;
(2)密钥管理中心根据系统参数和云服务实例生成自己的公私钥对(pki,ski),并将公钥pki发送给云服务实例;
(3)云服务实例将密钥管理中心的公钥pki发送给用户A;
(4)用户A随机选择一个随机数ri,计算KA,i=KAоri,然后使用公钥pki对KA,i进行加密,得到发送给云服务实例;
(5)云服务实例随机选择一个数γi,使用公钥pki对其加密得到然后计算将cki发送给密钥管理中心;
(6)密钥管理中心使用私钥ski解密cki,得到KAоriоγi
步骤三、针对不同的数据实例进行密钥分发。
2.根据权利要求1所述的一种基于同态加密的分权密钥管理方法,其特征在于:所述密钥分发的方式为在线式分发,包括如下流程:
(1)数据实例j向密钥管理中心发起密钥请求;
(2)密钥管理中心选择一个随机数αj,计算βij=αj/(KAоriоγi),并将βij发送给数据实例;
(3)数据实例接收到βij,计算Sij=βij·γj=αj/(KAоri),并将αj发送给密钥管理中心。
3.根据权利要求1所述的一种基于同态加密的分权密钥管理方法,其特征在于:所述密钥分发的方式为离线式分发,包括如下流程:
(1)数据实例j发起密钥生成请求,并选取一个随机数Sij,然后计算βij=Siji,最后将βij发送给密钥管理中心;
(2)密钥管理中心接收到βij后,计算αj=βijо(KAоriоγi)。
CN201410729943.8A 2014-12-03 2014-12-03 一种基于同态加密的分权密钥管理方法 Active CN104486307B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410729943.8A CN104486307B (zh) 2014-12-03 2014-12-03 一种基于同态加密的分权密钥管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410729943.8A CN104486307B (zh) 2014-12-03 2014-12-03 一种基于同态加密的分权密钥管理方法

Publications (2)

Publication Number Publication Date
CN104486307A true CN104486307A (zh) 2015-04-01
CN104486307B CN104486307B (zh) 2017-08-15

Family

ID=52760811

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410729943.8A Active CN104486307B (zh) 2014-12-03 2014-12-03 一种基于同态加密的分权密钥管理方法

Country Status (1)

Country Link
CN (1) CN104486307B (zh)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105490806A (zh) * 2015-11-28 2016-04-13 中国电子科技集团公司第三十研究所 一种同态密钥生成、共享方法及装置
CN106302336A (zh) * 2015-05-25 2017-01-04 四川长虹电器股份有限公司 一种基于云计算实现用户指纹安全的方法、系统和设备
CN107070649A (zh) * 2017-03-02 2017-08-18 桂林电子科技大学 一种减少写入的大文件选择性加密方法
CN107086908A (zh) * 2016-02-15 2017-08-22 阿里巴巴集团控股有限公司 一种量子密钥分发方法及装置
CN107360002A (zh) * 2017-08-15 2017-11-17 武汉信安珞珈科技有限公司 一种数字证书的申请方法
CN107851165A (zh) * 2015-07-22 2018-03-27 华为技术有限公司 一种密钥系统,密钥客户端,以及密钥管理方法
CN108495309A (zh) * 2018-02-06 2018-09-04 咪咕文化科技有限公司 信息处理的方法、电子设备和存储介质
CN108882182A (zh) * 2017-05-11 2018-11-23 展讯通信(上海)有限公司 短信加解密装置
CN109274646A (zh) * 2018-08-22 2019-01-25 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于kmip协议的密钥管理客户端服务端方法和系统及介质
CN109714148A (zh) * 2018-12-13 2019-05-03 北京九州云腾科技有限公司 对用户身份进行远程多方认证的方法
CN109844748A (zh) * 2016-10-25 2019-06-04 微软技术许可有限责任公司 托管在虚拟安全环境中的安全服务
CN110011786A (zh) * 2019-03-20 2019-07-12 中国电子科技集团公司第三十研究所 一种高安全的ip保密通信方法
CN110268676A (zh) * 2017-02-09 2019-09-20 华为国际有限公司 基于身份的自认证签名方案的私有密钥计算系统和方法
CN110678865A (zh) * 2017-05-22 2020-01-10 微软技术许可有限责任公司 分布式软件服务的高完整性日志
US10841800B2 (en) 2017-04-19 2020-11-17 Alibaba Group Holding Limited System and method for wireless screen projection
US10985913B2 (en) 2017-03-28 2021-04-20 Alibaba Group Holding Limited Method and system for protecting data keys in trusted computing
US11038852B2 (en) 2019-02-08 2021-06-15 Alibaba Group Holding Limited Method and system for preventing data leakage from trusted network to untrusted network
CN112989317A (zh) * 2021-03-24 2021-06-18 中国电子科技集团公司第三十研究所 一种统一的分布式pki证书身份管理系统
US11245530B2 (en) 2018-01-03 2022-02-08 Alibaba Group Holding Limited System and method for secure communication
US11258610B2 (en) 2018-10-12 2022-02-22 Advanced New Technologies Co., Ltd. Method and mobile terminal of sharing security application in mobile terminal

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102916954A (zh) * 2012-10-15 2013-02-06 南京邮电大学 一种基于属性加密的云计算安全访问控制方法
US20140185794A1 (en) * 2012-12-27 2014-07-03 Fujitsu Limited Encryption processing apparatus and method
CN104079574A (zh) * 2014-07-02 2014-10-01 南京邮电大学 云环境下基于属性和同态混合加密的用户隐私保护方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102916954A (zh) * 2012-10-15 2013-02-06 南京邮电大学 一种基于属性加密的云计算安全访问控制方法
US20140185794A1 (en) * 2012-12-27 2014-07-03 Fujitsu Limited Encryption processing apparatus and method
CN104079574A (zh) * 2014-07-02 2014-10-01 南京邮电大学 云环境下基于属性和同态混合加密的用户隐私保护方法

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302336A (zh) * 2015-05-25 2017-01-04 四川长虹电器股份有限公司 一种基于云计算实现用户指纹安全的方法、系统和设备
CN107851165A (zh) * 2015-07-22 2018-03-27 华为技术有限公司 一种密钥系统,密钥客户端,以及密钥管理方法
CN107851165B (zh) * 2015-07-22 2020-02-21 华为技术有限公司 一种密钥系统,密钥客户端,以及密钥管理方法
CN105490806A (zh) * 2015-11-28 2016-04-13 中国电子科技集团公司第三十研究所 一种同态密钥生成、共享方法及装置
CN105490806B (zh) * 2015-11-28 2018-06-19 中国电子科技集团公司第三十研究所 一种同态密钥生成、共享方法及装置
CN107086908A (zh) * 2016-02-15 2017-08-22 阿里巴巴集团控股有限公司 一种量子密钥分发方法及装置
CN109844748B (zh) * 2016-10-25 2023-01-06 微软技术许可有限责任公司 托管在虚拟安全环境中的安全服务的计算系统及方法
CN109844748A (zh) * 2016-10-25 2019-06-04 微软技术许可有限责任公司 托管在虚拟安全环境中的安全服务
US11563565B2 (en) 2017-02-09 2023-01-24 Huawei International Pte. Ltd. System and method for computing private keys for self certified identity based signature schemes
CN110268676B (zh) * 2017-02-09 2022-12-27 华为国际有限公司 基于身份的自认证签名方案的私有密钥计算系统和方法
CN110268676A (zh) * 2017-02-09 2019-09-20 华为国际有限公司 基于身份的自认证签名方案的私有密钥计算系统和方法
CN107070649A (zh) * 2017-03-02 2017-08-18 桂林电子科技大学 一种减少写入的大文件选择性加密方法
US10985913B2 (en) 2017-03-28 2021-04-20 Alibaba Group Holding Limited Method and system for protecting data keys in trusted computing
US10841800B2 (en) 2017-04-19 2020-11-17 Alibaba Group Holding Limited System and method for wireless screen projection
CN108882182A (zh) * 2017-05-11 2018-11-23 展讯通信(上海)有限公司 短信加解密装置
CN108882182B (zh) * 2017-05-11 2021-06-18 展讯通信(上海)有限公司 短信加解密装置
CN110678865A (zh) * 2017-05-22 2020-01-10 微软技术许可有限责任公司 分布式软件服务的高完整性日志
CN107360002A (zh) * 2017-08-15 2017-11-17 武汉信安珞珈科技有限公司 一种数字证书的申请方法
US11245530B2 (en) 2018-01-03 2022-02-08 Alibaba Group Holding Limited System and method for secure communication
CN108495309A (zh) * 2018-02-06 2018-09-04 咪咕文化科技有限公司 信息处理的方法、电子设备和存储介质
CN108495309B (zh) * 2018-02-06 2022-03-25 咪咕文化科技有限公司 信息处理的方法、电子设备和存储介质
CN109274646B (zh) * 2018-08-22 2020-12-22 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于kmip协议的密钥管理客户端服务端方法和系统及介质
CN109274646A (zh) * 2018-08-22 2019-01-25 华东计算技术研究所(中国电子科技集团公司第三十二研究所) 基于kmip协议的密钥管理客户端服务端方法和系统及介质
US11258610B2 (en) 2018-10-12 2022-02-22 Advanced New Technologies Co., Ltd. Method and mobile terminal of sharing security application in mobile terminal
CN109714148B (zh) * 2018-12-13 2022-06-10 北京九州云腾科技有限公司 对用户身份进行远程多方认证的方法
CN109714148A (zh) * 2018-12-13 2019-05-03 北京九州云腾科技有限公司 对用户身份进行远程多方认证的方法
US11038852B2 (en) 2019-02-08 2021-06-15 Alibaba Group Holding Limited Method and system for preventing data leakage from trusted network to untrusted network
CN110011786B (zh) * 2019-03-20 2022-03-18 中国电子科技集团公司第三十研究所 一种高安全的ip保密通信方法
CN110011786A (zh) * 2019-03-20 2019-07-12 中国电子科技集团公司第三十研究所 一种高安全的ip保密通信方法
CN112989317A (zh) * 2021-03-24 2021-06-18 中国电子科技集团公司第三十研究所 一种统一的分布式pki证书身份管理系统

Also Published As

Publication number Publication date
CN104486307B (zh) 2017-08-15

Similar Documents

Publication Publication Date Title
CN104486307B (zh) 一种基于同态加密的分权密钥管理方法
Zhao et al. Trusted data sharing over untrusted cloud storage providers
CN103618728B (zh) 一种多机构中心的属性加密方法
CN101834853B (zh) 匿名资源共享方法和系统
CN103731261A (zh) 加密重复数据删除场景下的密钥分发方法
CN110086615A (zh) 一种媒介混淆的分布式多授权方密文策略属性基加密方法
Hasan et al. Encryption as a service for smart grid advanced metering infrastructure
CN113643134A (zh) 基于多密钥同态加密的物联网区块链交易方法及系统
Sundar et al. Enhanced cloud security model using QKDP (ECSM-QKDP) for advanced data security over cloud
Singh et al. Hybrid two-tier framework for improved security in cloud environment
Kaaniche et al. BDUA: Blockchain-based data usage auditing
Wang et al. A role-based access control system using attribute-based encryption
Murugesan et al. A lightweight authentication and secure data access between fog and IoT user
Sundar et al. Quantum cryptography based cloud security model (QC-CSM) for ensuring cloud data security in storage and accessing
Dhal et al. RACC: An efficient and revocable fine grained access control model for cloud storage
Chennam et al. Cloud security in crypt database server using fine grained access control
Tomar et al. Image based authentication with secure key exchange mechanism in cloud
Agrawal et al. Access control framework using dynamic attributes encryption for mobile cloud environment
Navya et al. Securing smart grid data under key exposure and revocation in cloud computing
Kirupanithi et al. Efficient Data Sharing using Multi-authority Attribute Based Encryption in Blockchain
Bianchi et al. Intelligent conditional collaborative private data sharing
Sathana et al. Three level security system for dynamic group in cloud
Vijayalakshmi et al. An efficient security based multi owner data sharing for un-trusted groups using broadcast encryption techniques in cloud
Alharbi et al. A framework for privacy-preserving data sharing in the smart grid
Jain et al. Framework to Secure Data Access in Cloud Environment

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant