CN105025012B - 面向云存储服务平台的访问控制系统及其访问控制方法 - Google Patents
面向云存储服务平台的访问控制系统及其访问控制方法 Download PDFInfo
- Publication number
- CN105025012B CN105025012B CN201510323848.2A CN201510323848A CN105025012B CN 105025012 B CN105025012 B CN 105025012B CN 201510323848 A CN201510323848 A CN 201510323848A CN 105025012 B CN105025012 B CN 105025012B
- Authority
- CN
- China
- Prior art keywords
- mrow
- msub
- user
- ciphertext
- cloud storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于云存储服务技术领域,提供了一种面向云存储服务平台的访问控制系统及其访问控制方法。该方法及系统中,授权中心和数据属主是基于权重属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上的,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,由于将用户的属性与权重相结合,实现了用户属性的分级管理,使得相同属性不同级别的用户具有不同的访问权限。另外,由授权中心和数据属主分别产生部分密文,通过授权中心密文控制用户访问权限,通过数据属主密文制定访问控制策略,当用户的属性发生变化时,只需授权中心更新自己部分的密文,即可实现对用户访问权限的实时撤销。
Description
技术领域
本发明属于云存储服务技术领域,尤其涉及一种面向云存储服务平台、特别是亚马逊S3云存储服务平台的访问控制系统及其访问控制方法。
背景技术
在云存储服务平台中,由于采用数据远程托管技术,云存储服务提供商是数据的物理拥有者,与数据属主并不在同一个信任域中。云存储服务提供商管理着多个用户及其资源,当用户跨边界访问其它用户资源时,需要采用一定的访问控制策略来控制对数据和服务的访问。但实际中,由于云存储服务平台是采用虚拟化存储技术,云存储服务同底层硬件环境之间是松耦合的,不同用户的数据间缺乏固定不变的安全边界,由此增加了在云存储服务平台对数据实施访问控制的难度。
现有技术中,虽然数据属主可对其上传的用户数据的读/写属性进行设置,例如将读/写属性设置为公有读/私有写或公有读/公有写,以在一定程度上限制数据的读写权限,但由于用户数据仍旧是以明文形式存储在云存储服务平台上的,缺乏有效的隐私保护机制,不能有效抵御非法用户的访问而使得用户数据泄露。
发明内容
本发明实施例的目的在于提供一种面向云存储服务平台的访问控制系统,旨在解决现有的云存储服务平台是以明文形式存储用户数据,隐私性和安全性差的问题。
本发明实施例是这样实现的,一种面向云存储服务平台的访问控制系统,所述系统包括:
由授权中心运行的管理端,用于生成系统公共参数并上传至云存储服务器,生成用户私钥并秘密分发至数据属主和共享用户,用基于权重属性加密机制产生需上传数据的第一部分密文;
由数据属主和共享用户运行的客户端,用基于权重属性加密机制产生需上传数据的第二部分密文,结合所述第一部分密文、所述第二部分密文和所述需上传数据生成最终密文并将所述最终密文作为共享数据上传至所述云存储服务平台,还用于从所述云存储服务平台下载公共参数和共享数据,并利用所述公共参数和对应的用户私钥对下载的所述共享数据进行解密。
本发明实施例的另一目的在于提供一种如上所述的面向云存储服务平台的访问控制系统的访问控制方法,所述方法包括以下步骤:
授权中心运行管理端,生成公共参数与主私钥,并将所述公共参数上传至云存储服务平台。
数据属主运行客户端,向所述授权中心请求授权并发出数据上传请求信息;
所述授权中心运行管理端,核实所述数据属主身份并结合所述主私钥生成对应的用户私钥,根据所述数据上传请求信息,基于权重属性加密机制产生需上传数据的第一部分密文,将对应的用户私钥和第一部分密文发送给所述数据属主;
所述数据属主基于权重属性加密机制产生所述需上传数据的第二部分密文;
所述数据属主结合所述第一部分密文、所述第二部分密文生成最终密文并将所述最终密文作为共享数据上传至所述云存储服务平台;
共享用户运行客户端,向所述授权中心请求授权;
所述授权中心运行管理端,核实所述共享用户身份并结合所述主私钥生成对应的用户私钥,将对应的用户私钥发送给所述共享用户;
所述共享用户运行客户端,从所述云存储服务平台下载所述公共参数和所述共享数据,并利用所述公共参数和对应的用户私钥对下载的所述共享数据进行解密。
本发明实施例提供的面向云存储服务平台的访问控制系统及其访问控制方法中,授权中心和数据属主是基于权重属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上的,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,由于将用户的属性与权重相结合,实现了用户属性的分级管理,使得相同属性不同级别的用户具有不同的访问权限。另外,该系统采用了密文分割方法,即由授权中心和数据属主分别产生部分密文,通过授权中心密文控制用户访问权限,通过数据属主密文制定访问控制策略,当用户的属性发生变化时,只需授权中心更新自己部分的密文,即可实现对用户访问权限的实时撤销。
附图说明
图1是本发明提供的面向云存储服务平台的访问控制系统的结构图;
图2是本发明提供的面向云存储服务平台的访问控制系统的访问控制方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了解决现有技术存在的问题,本发明提出的面向云存储服务平台的访问控制系统及其访问控制方法是基于权重属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上的。
图1示出了本发明提供的面向云存储服务平台的访问控制系统的结构,为了便于说明,仅示出了与本发明相关的部分。
本发明提供的面向云存储服务平台的访问控制系统包括:由授权中心运行的管理端11,用于生成系统公共参数并上传至云存储服务器,生成用户私钥并秘密分发至数据属主和共享用户,用基于权重属性加密机制产生需上传数据的第一部分密文;由数据属主和共享用户运行的客户端12,用基于权重属性加密机制产生需上传数据的第二部分密文,结合第一部分密文、第二部分密文和需上传数据生成最终密文并将最终密文作为共享数据上传至云存储服务平台,还用于从云存储服务平台下载公共参数和共享数据,并利用公共参数和对应的用户私钥对下载的共享数据进行解密。
本发明中,数据属主、共享用户分别是客户端12的运行主体,授权中心是管理端11的运行主体。其中,数据属主是指云存储服务平台上共享数据的提供方,共享用户是指从云存储服务平台下载共享数据方,授权中心是指除数据属主和共享用户之外、与云存储服务平台交互的可信第三方。应当理解,定义数据属主与共享用户的目的是为了区别运行客户端12的主体在系统某次运行过程中的功能是上传数据或下载数据,因而在系统某次运行过程中的数据属主可以是另一次运行过程中的共享用户,同样地,在系统某次运行过程中的共享用户可以是另一次运行过程中的数据属主。
本发明中,管理端11还可用于对用户的基本信息进行维护,提供用户增加、删除、查找等功能,并可修改属性、权重等用户信息。客户端12还可用于根据用户提供的身份信息和授权中心分发的登录信息引导用户登录系统。
本发明中,当云存储服务平台是亚马逊S3云存储服务平台时,管理端11与客户端12可分别通过亚马逊官方提供的aws-java-sdk接口,实现与亚马逊S3云存储服务平台之间的通信。
本发明的面向云存储服务平台的访问控制系统的工作原理是:系统建立后,授权中心运行管理端11,生成公共参数与主私钥,并将公共参数上传至云存储服务平台。当第一用户需要上传共享数据时,数据属主运行客户端12,第一用户根据自身的身份信息和登录信息从数据属主登录客户端12。之后,授权中心根据该数据属主的属性,基于权重属性加密机制产生需上传数据的第一部分密文,将第一部分密文发送给该数据属主。数据属主产生需上传数据的第二部分密文,之后结合第一部分密文、第二部分密文生成最终密文并将最终密文作为共享数据上传至云存储服务平台。当第二用户从云存储服务平台读取第一用户上传的共享数据时,共享用户运行客户端12,第二用户根据自身的身份信息和登录信息从共享用户登录客户端12。之后,共享用户获取用户私钥,从云存储服务平台下载公共参数和共享数据,并利用公共参数和对应的用户私钥对下载的共享数据进行解密,若共享用户的属性未被授权中心撤销并符合数据属主制定的访问控制策略,则该共享用户可成功解密该共享数据。
本发明提供的面向云存储服务平台的访问控制系统中,授权中心和数据属主是基于权重属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上的,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,由于将用户的属性与权重相结合,实现了用户属性的分级管理,使得相同属性不同级别的用户具有不同的访问权限,该属性是用以描述用户的信息要素,例如校园网中的学生具有院系、学生类别、年级、专业等属性,教师具有院系、职称、教龄等属性,从而在保证安全性的同时还实现了更加灵活而细致的访问控制。另外,该系统采用了密文分割方法,即由授权中心和数据属主分别产生部分密文,通过授权中心密文控制用户访问权限,通过数据属主密文制定访问控制策略,当用户的属性发生变化时,只需授权中心更新自己部分的密文,即可实现对用户访问权限的实时撤销。
图2示出了本发明提供的面向云存储服务平台的访问控制系统的访问控制方法的流程,包括以下步骤:
S1:授权中心运行管理端,生成公共参数与主私钥,将公共参数上传至云存储服务平台。
进一步地,生成公共参数与主私钥的步骤(即系统初始化的步骤)具体可以为:
输入安全参数λ,构造阶为素数p、生成元为g的双线性群定义双线性映射e:定义属性空间U={U1,…,Um},属性空间U中每个属性的最小权重为1、与每个属性分别一一对应的最大权重为L1,…,Lm,同时选取随机数计算公共参数PK和主私钥MK分别为:
PK={G0,g,h=gβ,e(g,g)α}
MK={gα,β}
S2:数据属主运行客户端,向授权中心请求授权并发出数据上传请求信息。
S3:授权中心运行管理端,核实数据属主身份并结合主私钥生成对应的用户私钥,根据数据上传请求信息,基于权重属性加密机制产生需上传数据的第一部分密文,将对应的用户私钥和第一部分密文发送给数据属主。
进一步地,结合主私钥生成对应的用户私钥的步骤(即密钥生成的步骤)具体可以为:输入主私钥MK,定义一权重属性集定义哈希函数H:之后为每一用户选择随机数之后为每一权重属性j∈S选择随机数并设置权重ω'j,之后生成用户私钥SK为:
进一步地,基于权重属性加密机制产生需上传数据的第一部分密文的步骤(即加密的步骤)具体可以为:构造第一授权结构树并根据公共参数PK和第一授权结构树计算得到第一部分密文。
其中,记第一授权结构树的节点x的门限值为kx,为每一节点选择多项式qx,多项式的度dx=kx-1,若节点x是叶子节点,则有dx=0。则第一授权结构树的构造方法为:从根节点R开始,随机选择设定qR(0)=s1,随机选择dR个子节点来完整定义多项式qR;对于其它节点x,设定qx(0)=qparent(index(x)),随机选择dx个子节点来完整定义多项式qx。则第一部分密文CT1可表示为:
其中,U表示第一授权结构树中叶子节点的集合,属性u∈U,ωu表示授权中心设置属性u的最小权重值,Lu表示授权中心设置属性u的最大权重值,qu(0)表示属性u所对应的属性值(也为当输入为0时多项式的输出值)。
S4:数据属主基于权重属性加密机制产生需上传数据的第二部分密文。
本发明中,该步骤具体可以是:构造第二授权结构树并根据公共参数PK和第二授权结构树计算得到第二部分密文。
同样地,记第二授权结构树的树形结构中的节点x的门限值为kx,为每一节点选择多项式qx,多项式的度dx=kx-1,若节点x是叶子节点,则有dx=0。则第二授权结构树的构造方法为:从根节点R开始,随机选择设定qR(0)=s2,随机选择dR个子节点来完整定义多项式qR;对于其它节点x,设定qx(0)=qparent(index(x)),随机选择dx个子节点来完整定义多项式qx。则第二部分密文CT2可表示为:
其中,Y表示第二授权结构树中叶子节点的集合,属性y∈Y,ωy表示数据属主设置属性y的最小权重值,Ly表示数据属主设置属性y的最大权重值,qy(0)表示属性y所对应的属性值,ωl表示属性y的当前权重。
S5:数据属主结合第一部分密文、第二部分密文生成最终密文并将最终密文作为共享数据上传至云存储服务平台。
若需上传数据(即:明文)为M、则结合第一部分密文CT1、第二部分密文CT2生成的最终密文CT可表示为:
S6:共享用户运行客户端,向授权中心请求授权。
S7:授权中心运行管理端,核实共享用户身份并结合主私钥生成对应的用户私钥,将对应的用户私钥发送给共享用户。其中,结合主私钥生成对应的用户私钥与步骤S3中密钥生成的步骤相同,不赘述。
S8:共享用户运行客户端,从云存储服务平台下载公共参数和共享数据,并利用对应的用户私钥对下载的共享数据进行解密。
进一步地,利用公共参数和对应的用户私钥对下载的共享数据进行解密的步骤可包括以下步骤:
S81:输入共享数据CT、对应的用户私钥SK、以及第一授权结构树或第二授权结构树中的一个节点x。
S82:若共享用户的权重属性满足第一授权结构树则计算中间参数Ai为:
之后得到第一部分密文对应的第一解码信息A1为:
其中,x是输入的节点,i是节点x所对应的属性值即i=att(x),ωi是共享用户拥有输入的节点x的权重值,ωi'是授权中心拥有输入的节点x的最小权重值。
本发明中,共享用户的权重属性是否满足第一授权结构树是指:a.若输入的节点x是叶子节点,如果i∈S且ωi≥ωi',则认为共享用户的权重属性满足第一授权结构树如果或i∈S且ωi<ωi',则认为共享用户的权重属性不满足第一授权结构树b.若输入的节点x是非叶子节点,节点x下的所有节点集合为{z},则当{z}中有至少一组节点满足阈值条件时,则认为共享用户的权重属性满足第一授权结构树而当{z}中的每一组节点均不满足阈值条件时,则认为共享用户的权重属性不满足第一授权结构树而若共享用户的权重属性不满足第一授权结构树则返回null。
S83:若共享用户的权重属性满足第二授权结构树且共享用户拥有输入的节点x的权重值ωi与数据属主拥有输入的节点x的最小权重值ωi”相等,则计算中间参数Bi为:
若共享用户的权重属性满足第二授权结构树且共享用户拥有输入的节点x的权重值ωi大于数据属主拥有输入的节点x的最小权重值ωi”,则计算中间参数Ki和中间参数Bi'为:
之后得到第二部分密文对应的第二解码信息A2为:
本发明中,共享用户的权重属性是否满足第二授权结构树是指:a.若输入的节点x是叶子节点,ωi”是数据属主拥有输入的节点x的最小权重值,如果i∈S,且ωi≥ωi”,则认为共享用户的权重属性满足第二授权结构树如果或i∈S且ωi<ωi”,则认为共享用户的权重属性不满足第二授权结构树b.若输入的节点x是非叶子节点,节点x下的所有节点集合为{z},则当{z}中有至少一组节点满足阈值条件时,则认为共享用户的权重属性满足第二授权结构树而当{z}中的每一组节点均不满足阈值条件时,则认为共享用户的权重属性不满足第二授权结构树而若共享用户的权重属性不满足第二授权结构树则返回null。
S84:结合第一解码信息和第二解码信息得到明文M,表示为:
以下对上述面向云存储服务平台的访问控制系统的访问控制方法的安全性进行分析:
1、在直接攻击下的安全性:
若攻击者的属性不满足访问结构树,同时它想对下载的共享数据解密,则必须能够计算出要建立这样的配对,敌手只能利用已知的信息,即包含α的部分私钥D=g(α+r)/β和包含s1和s2的密文和建立配对:要得到必须已知而敌手在不满足访问结构树和时无法获得正确的密钥,计算不出该值。因此,敌手不能解密。
2、抗共谋安全性:
该方法中包含了用户的密钥生成算法,解密时,系统先运行该算法为用户分配随机数r,生成用户的部分私钥D=g(α+r)/β。在解密算法中,参数D=g(α+r)/β被植入了随机值,不同的用户不能合谋恢复消息。
以下对上述面向云存储服务平台的访问控制系统的访问控制方法的效率进行分析:
设和表示群上的指数或者乘法运算,Ce表示双线性对运算,表示有限域上模素数p整数群,n表示系统中属性的个数,S'表示满足授权方定义的访问结构最少的属性集合,是加密方设置与密文相关的属性集合,表示授权方设置与密文相关的属性集合,是用户u的属性集合,ωi表示系统中属性i的最大权重,是密文中加密方设置属性i的权重,是系统中用户u拥有属性i的权重,表示密文中授权方设置属性i的权重。L*是元素在*上的比特长度,|*|是元素在*上的个数。如下表示出了上述方法与现有的访问控制方法BSW07和CP-WABE之间的比较分析:
从上表对比分析可以看出:1)权重机制方面:本发明与CP-WABE方案引入了权重的概念,实现了属性的分级处理,可以完成更加细致的访问控制。然而,密文长度与加解密时间与权重等级有关系,与未实现权重的BSW07方案相比,增加了一定通信与计算消耗。2)撤销机制方面:CP-WABE不具备撤销能力,BSW07方案通过时间戳实现可撤销,本发明采用密文分割的方式实现可撤销。当属性发生变更时,授权中心只需要更新自己部分的密文,即可实现对用户权限的实时撤销。总体来说,本发明即实现了属性分级处理,也引入了新的可撤销机制,同时运算性能比较突出,运算能力分配合理。
本发明提供的面向云存储服务平台的访问控制系统及其访问控制方法中,授权中心和数据属主是基于权重属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上的,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,由于将用户的属性与权重相结合,实现了用户属性的分级管理,使得相同属性不同级别的用户具有不同的访问权限,该属性是用以描述用户的信息要素,例如校园网中的学生具有院系、学生类别、年级、专业等属性,教师具有院系、职称、教龄等属性,从而在保证安全性的同时还实现了更加灵活而细致的访问控制。另外,该系统采用了密文分割方法,即由授权中心和数据属主分别产生部分密文,通过授权中心密文控制用户访问权限,通过数据属主密文制定访问控制策略,当用户的属性发生变化时,只需授权中心更新自己部分的密文,即可实现对用户访问权限的实时撤销。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来控制相关的硬件完成,所述的程序可以在存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁盘、光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种面向云存储服务平台的访问控制系统,其特征在于,所述系统包括:
由授权中心运行的管理端,用于生成系统公共参数并上传至云存储服务平台,生成用户私钥并秘密分发至数据属主和共享用户,用基于权重属性加密机制产生需上传数据的第一部分密文,并将所述第一部分密文发送给数据属主;
由数据属主和共享用户运行的客户端,用基于权重属性加密机制产生需上传数据的第二部分密文,结合所述第一部分密文、所述第二部分密文和所述需上传数据生成最终密文并将所述最终密文作为共享数据上传至所述云存储服务平台,还用于从所述云存储服务平台下载公共参数和共享数据,并利用所述公共参数和对应的用户私钥对下载的所述共享数据进行解密。
2.如权利要求1所述的面向云存储服务平台的访问控制系统,其特征在于,所述管理端还用于对用户的基本信息进行维护;所述客户端还用于根据用户提供的身份信息和所述授权中心分发的登录信息引导用户登录系统。
3.如权利要求1所述的面向云存储服务平台的访问控制系统,其特征在于,所述云存储服务平台是亚马逊S3云存储服务平台。
4.一种如权利要求1至3任一项所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述方法包括以下步骤:
授权中心运行管理端,生成公共参数与主私钥,将公共参数上传至云存储服务平台;
数据属主运行客户端,向授权中心请求授权并发出数据上传请求信息;
授权中心运行管理端,核实所述数据属主身份并结合所述主私钥生成对应的用户私钥,根据所述数据上传请求信息,基于权重属性加密机制产生需上传数据的第一部分密文,将对应的用户私钥和所述第一部分密文发送给数据属主;
所述数据属主基于权重属性加密机制产生所述需上传数据的第二部分密文;
所述数据属主结合所述第一部分密文、所述第二部分密文生成最终密文并将所述最终密文作为共享数据上传至所述云存储服务平台;
共享用户运行客户端,向授权中心请求授权;
授权中心运行管理端,核实所述共享用户身份并结合所述主私钥生成对应的用户私钥,将对应的用户私钥发送给所述共享用户;
共享用户运行客户端,从所述云存储服务平台下载所述公共参数和所述共享数据,并利用对应的用户私钥对下载的所述共享数据进行解密。
5.如权利要求4所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述生成公共参数与主私钥的步骤具体为:
输入安全参数λ,构造阶为素数p、生成元为g的双线性群定义双线性映射定义属性空间U={U1,…,Um},所述属性空间U中每个属性的最小权重为1、与每个属性分别一一对应的最大权重为L1,…,Lm,同时选取随机数计算公共参数PK和主私钥MK分别为:
PK={G0,g,h=gβ,e(g,g)α}
MK={gα,β}。
6.如权利要求5所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述结合所述主私钥生成对应的用户私钥的步骤具体为:
输入所述主私钥MK,定义一权重属性集定义哈希函数之后为每一用户选择随机数之后为每一权重属性j∈S选择随机数并设置权重ω'j,之后生成用户私钥SK为:
<mrow>
<mi>S</mi>
<mi>K</mi>
<mo>=</mo>
<mo>{</mo>
<mi>D</mi>
<mo>=</mo>
<msup>
<mi>g</mi>
<mfrac>
<mrow>
<mo>(</mo>
<mi>&alpha;</mi>
<mo>+</mo>
<mi>r</mi>
<mo>)</mo>
</mrow>
<mi>&beta;</mi>
</mfrac>
</msup>
<mo>,</mo>
<mo>&ForAll;</mo>
<mi>j</mi>
<mo>&Element;</mo>
<mi>S</mi>
<mo>:</mo>
<msub>
<mi>D</mi>
<mi>j</mi>
</msub>
<mo>=</mo>
<msup>
<mi>g</mi>
<mi>r</mi>
</msup>
<mo>&CenterDot;</mo>
<mi>H</mi>
<msup>
<mrow>
<mo>(</mo>
<mi>j</mi>
<mo>)</mo>
</mrow>
<mrow>
<msub>
<mi>r</mi>
<mi>j</mi>
</msub>
<msubsup>
<mi>&omega;</mi>
<mi>j</mi>
<mo>&prime;</mo>
</msubsup>
</mrow>
</msup>
<mo>,</mo>
<msubsup>
<mi>D</mi>
<mi>j</mi>
<mo>&prime;</mo>
</msubsup>
<mo>=</mo>
<msup>
<mi>g</mi>
<msub>
<mi>r</mi>
<mi>j</mi>
</msub>
</msup>
<mo>,</mo>
<msubsup>
<mi>D</mi>
<mi>j</mi>
<mrow>
<mo>&prime;</mo>
<mo>&prime;</mo>
</mrow>
</msubsup>
<mo>=</mo>
<msup>
<mi>g</mi>
<msubsup>
<mi>&omega;</mi>
<mi>j</mi>
<mo>&prime;</mo>
</msubsup>
</msup>
<mo>}</mo>
<mo>.</mo>
</mrow>
7.如权利要求6所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述基于权重属性加密机制产生需上传数据的第一部分密文的步骤具体为:
构造第一授权结构树并根据所述公共参数PK和所述第一授权结构树计算得到第一部分密文CT1,所述第一部分密文CT1表示为:
其中,随机选择U表示所述第一授权结构树中叶子节点的集合,属性u∈U,ωu表示所述授权中心设置属性u的最小权重值,Lu表示所述授权中心设置属性u的最大权重值,qu(0)表示属性u所对应的属性值。
8.如权利要求7所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述第二部分密文CT2表示为:
其中,随机选择Y表示第二授权结构树中叶子节点的集合,属性y∈Y,ωy表示所述数据属主设置属性y的最小权重值,Ly表示所述数据属主设置属性y的最大权重值,qy(0)表示属性y所对应的属性值,ωl表示属性y的当前权重。
9.如权利要求8所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,若所述需上传数据为M、则所述最终密文CT表示为:
10.如权利要求9所述的面向云存储服务平台的访问控制系统的访问控制方法,其特征在于,所述利用对应的用户私钥对下载的所述共享数据进行解密的步骤包括以下步骤:
A21:输入共享数据CT、对应的用户私钥SK、以及第一授权结构树和第二授权结构树中的一个节点x;
A22:若共享用户的权重属性满足所述第一授权结构树则所述第一部分密文对应的第一解码信息A1为:
<mrow>
<msub>
<mi>A</mi>
<mn>1</mn>
</msub>
<mo>=</mo>
<mi>e</mi>
<msup>
<mrow>
<mo>(</mo>
<mi>g</mi>
<mo>,</mo>
<mi>g</mi>
<mo>)</mo>
</mrow>
<mrow>
<msub>
<mi>rs</mi>
<mn>1</mn>
</msub>
</mrow>
</msup>
<mo>;</mo>
</mrow>
A23:若共享用户的权重属性满足所述第二授权结构树则所述第二部分密文对应的第二解码信息A2为:
<mrow>
<msub>
<mi>A</mi>
<mn>2</mn>
</msub>
<mo>=</mo>
<mi>e</mi>
<msup>
<mrow>
<mo>(</mo>
<mi>g</mi>
<mo>,</mo>
<mi>g</mi>
<mo>)</mo>
</mrow>
<mrow>
<msub>
<mi>rs</mi>
<mn>2</mn>
</msub>
</mrow>
</msup>
<mo>;</mo>
</mrow>
A24:结合所述第一解码信息A1和所述第二解码信息A2得到明文M,表示为:
<mrow>
<mfrac>
<mrow>
<mover>
<mi>C</mi>
<mo>~</mo>
</mover>
<mo>&CenterDot;</mo>
<msub>
<mi>A</mi>
<mn>1</mn>
</msub>
<mo>&CenterDot;</mo>
<msub>
<mi>A</mi>
<mn>2</mn>
</msub>
</mrow>
<mrow>
<mi>e</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>C</mi>
<mn>1</mn>
</msub>
<mo>&CenterDot;</mo>
<msub>
<mi>C</mi>
<mn>2</mn>
</msub>
<mo>,</mo>
<mi>D</mi>
<mo>)</mo>
</mrow>
</mrow>
</mfrac>
<mo>=</mo>
<mfrac>
<mrow>
<mover>
<mi>C</mi>
<mo>~</mo>
</mover>
<mo>&CenterDot;</mo>
<mi>e</mi>
<msup>
<mrow>
<mo>(</mo>
<mi>g</mi>
<mo>,</mo>
<mi>g</mi>
<mo>)</mo>
</mrow>
<mrow>
<mi>r</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>s</mi>
<mn>1</mn>
</msub>
<mo>+</mo>
<msub>
<mi>s</mi>
<mn>2</mn>
</msub>
<mo>)</mo>
</mrow>
</mrow>
</msup>
</mrow>
<mrow>
<mi>e</mi>
<mrow>
<mo>(</mo>
<msup>
<mi>h</mi>
<msub>
<mi>s</mi>
<mn>1</mn>
</msub>
</msup>
<mo>&CenterDot;</mo>
<msup>
<mi>h</mi>
<msub>
<mi>s</mi>
<mn>2</mn>
</msub>
</msup>
<mo>,</mo>
<msup>
<mi>g</mi>
<mrow>
<mo>(</mo>
<mi>&alpha;</mi>
<mo>+</mo>
<mi>r</mi>
<mo>)</mo>
<mo>/</mo>
<mi>&beta;</mi>
</mrow>
</msup>
<mo>)</mo>
</mrow>
</mrow>
</mfrac>
<mo>=</mo>
<mfrac>
<mrow>
<mover>
<mi>C</mi>
<mo>~</mo>
</mover>
<mo>&CenterDot;</mo>
<mi>e</mi>
<msup>
<mrow>
<mo>(</mo>
<mi>g</mi>
<mo>,</mo>
<mi>g</mi>
<mo>)</mo>
</mrow>
<mrow>
<mi>r</mi>
<mrow>
<mo>(</mo>
<msub>
<mi>s</mi>
<mn>1</mn>
</msub>
<mo>+</mo>
<msub>
<mi>s</mi>
<mn>2</mn>
</msub>
<mo>)</mo>
</mrow>
</mrow>
</msup>
</mrow>
<mrow>
<mi>e</mi>
<msup>
<mrow>
<mo>(</mo>
<mi>g</mi>
<mo>,</mo>
<mi>g</mi>
<mo>)</mo>
</mrow>
<mrow>
<mo>(</mo>
<msub>
<mi>s</mi>
<mn>1</mn>
</msub>
<mo>+</mo>
<msub>
<mi>s</mi>
<mn>2</mn>
</msub>
<mo>)</mo>
<mo>(</mo>
<mi>&alpha;</mi>
<mo>+</mo>
<mi>r</mi>
<mo>)</mo>
</mrow>
</msup>
</mrow>
</mfrac>
<mo>=</mo>
<mi>M</mi>
<mo>.</mo>
</mrow>
3
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510323848.2A CN105025012B (zh) | 2015-06-12 | 2015-06-12 | 面向云存储服务平台的访问控制系统及其访问控制方法 |
PCT/CN2016/078599 WO2016197680A1 (zh) | 2015-06-12 | 2016-04-06 | 面向云存储服务平台的访问控制系统及其访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510323848.2A CN105025012B (zh) | 2015-06-12 | 2015-06-12 | 面向云存储服务平台的访问控制系统及其访问控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105025012A CN105025012A (zh) | 2015-11-04 |
CN105025012B true CN105025012B (zh) | 2017-12-08 |
Family
ID=54414717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510323848.2A Active CN105025012B (zh) | 2015-06-12 | 2015-06-12 | 面向云存储服务平台的访问控制系统及其访问控制方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105025012B (zh) |
WO (1) | WO2016197680A1 (zh) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105025012B (zh) * | 2015-06-12 | 2017-12-08 | 深圳大学 | 面向云存储服务平台的访问控制系统及其访问控制方法 |
CN106341236A (zh) * | 2016-09-09 | 2017-01-18 | 深圳大学 | 一种面向云存储服务平台的访问控制方法及其系统 |
CN106357395B (zh) * | 2016-09-13 | 2019-04-23 | 深圳大学 | 一种面向雾计算的外包访问控制方法及其系统 |
WO2018049601A1 (zh) * | 2016-09-14 | 2018-03-22 | 深圳大学 | 一种面向雾计算的外包访问控制方法及其系统 |
CN106529216B (zh) * | 2016-10-27 | 2022-04-22 | 西安交通大学 | 一种基于公共存储平台的软件授权系统及软件授权方法 |
CN108076106B (zh) * | 2016-11-15 | 2019-11-19 | 中国科学院声学研究所 | 一种面向云存储数据加解密的流式处理系统及方法 |
CN107172014A (zh) * | 2017-04-21 | 2017-09-15 | 齐鲁工业大学 | 一种信息管理云端共享系统 |
CN109787946B (zh) * | 2017-11-14 | 2022-02-25 | 阿里巴巴集团控股有限公司 | 共享空间的访问方法、权限管理方法及装置 |
CN108173868A (zh) * | 2018-01-05 | 2018-06-15 | 中国地质大学(武汉) | 一种一对多文件分发的方法、设备及存储设备 |
CN108540444A (zh) * | 2018-02-24 | 2018-09-14 | 中山大学 | 一种信息传输储存方法及装置 |
CN108390886A (zh) * | 2018-03-05 | 2018-08-10 | 商丘师范学院 | 教育大数据安全访问控制系统 |
CN109583232B (zh) * | 2018-11-20 | 2022-03-18 | 深圳大学 | 基于cp-abe的医疗档案管理方法、装置、设备及存储介质 |
CN109494879A (zh) * | 2018-12-25 | 2019-03-19 | 湖北师范大学 | 一种用于电力系统的数据采集平台 |
CN109768858B (zh) * | 2018-12-26 | 2022-03-08 | 西安电子科技大学 | 云环境下基于多授权的属性加密访问控制系统及设计方法 |
CN109451067A (zh) * | 2018-12-27 | 2019-03-08 | 宝鸡文理学院 | 云计算系统中的数据共享方法 |
US11228597B2 (en) | 2019-02-12 | 2022-01-18 | Nutanix, Inc. | Providing control to tenants over user access of content hosted in cloud infrastructures |
CN111191288B (zh) * | 2019-12-30 | 2023-10-13 | 中电海康集团有限公司 | 一种基于代理重加密的区块链数据访问权限控制方法 |
CN112187798B (zh) * | 2020-09-28 | 2022-05-27 | 安徽大学 | 一种应用于云边数据共享的双向访问控制方法及系统 |
CN114362924A (zh) * | 2020-09-29 | 2022-04-15 | 湖南大学 | 基于cp-abe的支持灵活撤销和可验证密文授权的系统及方法 |
CN112437063B (zh) * | 2020-11-11 | 2022-08-23 | 张银杏 | 一种数据融合与取用方法、平台以及系统 |
CN112835935B (zh) * | 2021-02-02 | 2021-12-07 | 农夫铺子发展集团有限公司 | 基于区块链和移动互联网的信息流分析方法及云服务平台 |
CN113645206A (zh) * | 2021-07-28 | 2021-11-12 | 上海纽盾网安科技有限公司 | 用于不同用户需求的云存储数据访问控制方法及系统 |
CN114301651B (zh) * | 2021-12-22 | 2023-07-21 | 河南大学 | 基于cp-abe的黄河坝岸监测数据共享方法 |
CN115242518B (zh) * | 2022-07-25 | 2024-03-22 | 深圳万海思数字医疗有限公司 | 混合云环境下医疗健康数据保护系统与方法 |
CN115550605A (zh) * | 2022-08-19 | 2022-12-30 | 南京邮电大学 | 电网多媒体调度系统的故障检测方法及其自动检测设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011045723A1 (en) * | 2009-10-15 | 2011-04-21 | Koninklijke Philips Electronics N.V. | Ciphertext-policy attribute-based encryption and re-encryption |
CN102857338A (zh) * | 2012-08-31 | 2013-01-02 | 浪潮电子信息产业股份有限公司 | 一种云存储系统中数据安全传输的方法 |
CN102916954A (zh) * | 2012-10-15 | 2013-02-06 | 南京邮电大学 | 一种基于属性加密的云计算安全访问控制方法 |
CN103973451A (zh) * | 2014-05-05 | 2014-08-06 | 西南交通大学 | 一种用于分布式网络系统的跨信任域认证方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014043894A1 (en) * | 2012-09-21 | 2014-03-27 | Nokia Corporation | Method and apparatus for providing access control to shared data based on trust level |
CN103107992B (zh) * | 2013-02-04 | 2015-06-17 | 杭州师范大学 | 面向云存储加密数据共享的多级权限管理方法 |
CN103179114B (zh) * | 2013-03-15 | 2015-09-23 | 华中科技大学 | 一种云存储中的数据细粒度访问控制方法 |
CN105025012B (zh) * | 2015-06-12 | 2017-12-08 | 深圳大学 | 面向云存储服务平台的访问控制系统及其访问控制方法 |
-
2015
- 2015-06-12 CN CN201510323848.2A patent/CN105025012B/zh active Active
-
2016
- 2016-04-06 WO PCT/CN2016/078599 patent/WO2016197680A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2011045723A1 (en) * | 2009-10-15 | 2011-04-21 | Koninklijke Philips Electronics N.V. | Ciphertext-policy attribute-based encryption and re-encryption |
CN102857338A (zh) * | 2012-08-31 | 2013-01-02 | 浪潮电子信息产业股份有限公司 | 一种云存储系统中数据安全传输的方法 |
CN102916954A (zh) * | 2012-10-15 | 2013-02-06 | 南京邮电大学 | 一种基于属性加密的云计算安全访问控制方法 |
CN103973451A (zh) * | 2014-05-05 | 2014-08-06 | 西南交通大学 | 一种用于分布式网络系统的跨信任域认证方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105025012A (zh) | 2015-11-04 |
WO2016197680A1 (zh) | 2016-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105025012B (zh) | 面向云存储服务平台的访问控制系统及其访问控制方法 | |
CN104917772B (zh) | 一种云存储服务平台的访问控制系统的访问控制方法 | |
Xue et al. | An attribute-based controlled collaborative access control scheme for public cloud storage | |
Hong et al. | TAFC: Time and attribute factors combined access control for time-sensitive data in public cloud | |
CN104883254B (zh) | 面向云计算平台的密文访问控制系统及其访问控制方法 | |
Miao et al. | m 2-ABKS: Attribute-based multi-keyword search over encrypted personal health records in multi-owner setting | |
Teng et al. | Attribute-based access control with constant-size ciphertext in cloud computing | |
CN108632292A (zh) | 基于联盟链的数据共享方法和系统 | |
Zaghloul et al. | P-MOD: Secure privilege-based multilevel organizational data-sharing in cloud computing | |
Zhou et al. | Privacy-preserved access control for cloud computing | |
CN107359986A (zh) | 可撤销用户的外包加解密cp‑abe方法 | |
CN108833385A (zh) | 基于联盟链加密的用户数据匿名共享方法 | |
CN108833393A (zh) | 一种基于雾计算的可撤销数据共享方法 | |
Li et al. | Privacy-preserving data utilization in hybrid clouds | |
CN110912897B (zh) | 基于密文属性认证和门限函数的图书资源访问控制方法 | |
CN110034917A (zh) | 一种基于同态加密算法的联盟链数据处理方法及装置 | |
Zhang et al. | Efficient compressed ciphertext length scheme using multi-authority CP-ABE for hierarchical attributes | |
CN106506155A (zh) | 公有云环境下的密文共享方法 | |
Li et al. | A Lightweight Fine‐Grained Searchable Encryption Scheme in Fog‐Based Healthcare IoT Networks | |
CN115426136B (zh) | 基于区块链的跨域访问控制方法及系统 | |
Wang et al. | Fuzzy matching and direct revocation: a new CP-ABE scheme from multilinear maps | |
CN109327448B (zh) | 一种云端文件共享方法、装置、设备及存储介质 | |
CN108600174A (zh) | 一种大型合作网络的访问控制机制及其实现方法 | |
Xie et al. | Decentralized data aggregation: a new secure framework based on lightweight cryptographic algorithms | |
Chen et al. | Blockchain/abe-based fusion solution for e-government data sharing and privacy protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |