CN105262843A - 一种针对云存储环境的数据防泄漏保护方法 - Google Patents

Abstract

本发明涉及一种针对云存储环境下数据防泄漏保护方法，包括以下步骤：一：设定系统符号和参数；二：系统初始化；三：用户将自己的属性列表L发送给授权机构TA，请求生成属性密钥；而授权机构TA在接收到用户属性列表L后，生成用户的私钥SK_L；四：数据加密；五：关键字加密；六：陷门生成；七：服务器搜索；八：数据解密。与现有技术相比，本发明所描述的方法可以在非可信环境下，直接对云存储服务器中存储的加密信息进行高效搜索，保证了数据的安全和使用者的隐私，同时还可以支持针对不同用户细粒度的搜索访问控制。本发明为云存储环境下的数据安全提供了可靠保障，具有很好的应用前景。

Description

一种针对云存储环境的数据防泄漏保护方法

技术领域：

本发明属于信息安全领域，特别是一种针对云存储环境的数据防泄漏保护方法。

背景技术

近年来，云存储技术以其成本低、扩展性好等优势，得到了迅猛的发展和广泛的应用。而发生在2013-2014年的棱镜门事件、韩国信用卡信息泄露事件、12306用户信息泄露事件、中国社保数据泄露事件、多家银行用户信息倒卖等多起发生在云存储环境中的数据泄露案件，使得云存储环境中的信息安全问题，特别是云存储环境中的数据防泄漏问题，引起了社会的高度关注和重视。

众所周知，数据加密和访问控制是针对普通信息系统中数据防泄漏问题的最有效方法，因此针对云存储环境中的数据防泄漏这一问题，目前的解决方法基本都是基于数据加密技术的，也就是说，对存储在云存储环境中的数据进行加密，达到阻止对用户敏感数据的未授权访问、保证用户敏感数据的机密性的目的。具体来说，主要有以下几种类型的方法：

1)使用客户端加解密技术

这种技术的基本思路在于，在用户敏感数据发送到云存储环境之前，在客户端对用户敏感数据进行加密。这样，存储在云存储环境中的数据都是被加过密的数据，故而可以确保用户敏感数据的安全。美国专利US201113323821和US201113042459公开的“匿名数据传送方法”就属于这类技术，此外，Amazon、Microsoft、Google等均开发了类似技术。

但由于云存储环境中的敏感数据是以加密形式存在的，因而当得到授权的用户需要对存储在云存储环境中的敏感数据进行访问的时候，这类技术首先需要将所有需要的、被加密了的数据从云存储环境中下载到客户端，然后在客户端对这些被加密了的数据进行解密操作，随后才可以进行后继操作。当用户只需要对敏感数据中的某一部分进行操作时，他却不得不将所有的被加密了的数据都下载到客户端，全部解密之后方可操作。显然，这种技术需要消耗巨大的网络资源和客户端的计算资源。当数据量较大(如对数据库进行操作)时，由于网络带宽以及客户端计算能力的限制，而且大大浪费了服务器的运算能力，导致这种方法很不实际，应用面狭窄，无法有效解决云存储环境下数据防泄漏保护问题。

2)使用服务端加解密技术

与第一类技术不同，这类技术将加解密操作放在服务端进行，使得云存储硬件中存储的数据是被加密过的，在需要读写被加密的数据时，由云存储服务端负责对数据进行实时加密和解密操作。整个加密和解密过程对用户而言是透明的，无需用户干涉。显然，这类技术可以有效解决地第一类技术所存在的网络资源和客户端的计算资源的消耗问题，同时可以有效地利用服务器的运算能力。因而包括Oracle、IBM在内的很多公司都使用这类技术开发了相关安全产品，在银行和金融系统中获得了广泛应用。

但这类技术本质上需要用户必须完全信任云存储环境的服务端，一旦服务端出现问题，那么所有的数据加密技术和相关的用户敏感数据保护措施都将变得毫无意义。近年来发生的数据泄露事件大都发生在服务端，因此这类技术根本无法解决云存储环境下数据防泄漏保护问题。

3)使用全同态密码技术

2009年9月，IBM公司的克雷格·金特里(CraigGentry)在STOC发表了一篇论文，提出了一种新的、基于“理想格ideallattice”理论的全同态密码(fullyhomomorphicencryption)技术解决方案，其特点在于，能够在不会影响敏感数据的保密性的基础上，对被加密了的敏感数据进行直接计算。使得云存储环境的服务器可以在不知道明文敏感数据的前提下，直接对密文进行各种分析和操作。但这类方法目前仍旧停留在理论探索阶段，其计算过程非常复杂，速度非常缓慢，附加信息过多，最重要的是，只支持整数态的加法和乘法运算，因而无法满足云存储环境下数据防泄漏保护的需要。

针对上述现有技术所存在的问题，本发明提出了一种适用于云存储环境下数据防泄漏保护方法。它基于主体属性、支持对密文进行直接检索操作,成功地解决了现有第二类技术方案和第三类技术方案所存在的安全性、计算复杂性等技术难题，同时可以有效地利用服务器的运算能力，避免了第一类技术方案网络资源和客户端的计算资源的消耗问题，具有高效、安全等特点。

发明内容

本发明的目的是提供一种针对云存储环境下数据防泄漏保护方法，以克服现有技术的不足。

为实现上述目的，本发明所描述的数据防泄漏保护方法使用访问主体的属性值作为加密参数，控制密文的产生过程，使得只有具备符合特定属性要求的访问主体才能通过自己的私钥来对关键字进行搜索，通过解密访问相应的数据。故而，本方法使得根据属性值的不同来控制主体访问的范围成为可能，从而达到细粒度访问控制的目的。具体来说，本方法由系统初始化、密钥生成、数据加密、关键字加密、陷门生成、服务器搜索和数据解密等七个步骤组成，具体描述如下：

1)系统符号和参数说明：

假设系统中有n个属性列表，每个属性列表中属性取值的最大个数都是m，系统中属性总数上限为N＝n*m。

为了方便后文的描述，这里将文中所有用到的符号作一个简单说明：

2)系统初始化步骤：

在这一步骤中，由授权机构TA选取该加密算法所要用到的乘法循环群和配对等数学运算，基于双线性映射方法生成用户的属性公钥PK_L和主密钥MK。其中：PK_L是公开的、用于在后继的操作中实现对文件消息的加密操作，而MK由授权机构TA秘密保管。其具体步骤为：

(21)使用双线性映射e:G×G→G_T，根据预设的安全参数λ，初始化得到五元组(p,r,G,G_T,e)，其中，乘法循环群G＝G_p×G_r，G_p和G_r均为群G的子群，其阶数分别为p和r，其生成元分别为g_p和g_r；群G和G_T群的阶均为N＝p×r；

(22)随机选取a′∈_RG_p，g₂∈_RG_p，R₀∈_RG_r，R′∈_RG_r，计算A′＝a′×R′，A₀＝g_p×R₀和Y＝e(g₁,g₂)。

(23)针对每一个主体属性及其取值，选取R_i,j∈_RG_r，计算 $\{A_{i,j}=g_p^{a_{i,j}}\×R_{i,j}\};$

(24)选取树形访问树T_i,j，生成 ${\mathrm{PK}}_L=<g_p,g_r,A^{\&prime;},\{T_{i,j},g_p^{a_{i,j}}\&times;R_{i,j}\},A_0,Y>.$

(25)计算MK＝<a′,a,g₂,{a_i,j},{U_L}>，其中，{U_L}为由授权机构TA生成的、每个用户所拥有的、独一无二的用户标识符的集合。

3)密钥生成步骤：

在这一步骤中，用户将自己的属性列表L发送给授权机构TA，请求生成属性密钥；而授权机构TA在接收到用户属性列表L后，生成用户的私钥SK_L。其具体步骤为：

(31)设用户发送给授权机构TA的用户属性列表为 用户标识符为U_L；

(32)授权机构TA随机选取a′∈_RG_p，g₂∈_RG_p，以及r_i∈_RZ_N，对于用户属性列表L中的每一个主体属性及其取值选取 $a_{i,j}{\&Element;}_R{Z}_N^{*},$ 计算： $D_0=g_p^{\frac{r}{U_L}},$ 以及 $D_1=g_2^a{(a^{\&prime;}\&times;g_p^{{\&Sigma;}_{v_{i,j}}{a}_{i,j}})}^{\frac{r}{U_L}};$

(33)生成用户私钥SK_L＝<D₀,D₁>。

4)数据加密步骤：

在这一步骤中，加密者可以指定一个用于决定那些用户可以访问敏感数据的访问控制结构AS，然后使用AS对敏感数据进行加密。

(41)加密者依据实际需要，指定一个访问控制结构AS＝{as₁,…,as_n}；

(42)随机选取以及R₀′∈_RG_r，R₁′∈_RG_r；

(43)对于敏感数据M，计算加密参数C₀＝M×Y^S，以及 $C_1=A_0^s\&times;R_0^{\&prime;};$

(44)结合访问控制结构AS，计算

(45)得到密文C＝<C₀,C₁,C₂>。

5)关键字加密步骤：

在这一步骤中，加密者选定关键字加密参数c，使用异或算法对关键字进行加密，计算得到索引表，供检索使用。具体步骤如下：

(51)选定关键字集合{W_i}，依据消息接收者的公钥PK_L，使用系统约定的、带密钥的安全Hash函数H计算：X_i＝H(PK_L,W_i)；

(52)将X_i按字长分成两部分，即令X_i＝<L_i,R_i>；

(53)依据预先选定的关键字加密参数c，和系统约定的带密钥的伪随机函数f，计算得到密钥序列k_i＝f(c,L_i)；

(54)使用伪随机序列生成器RNG获取一个随机数S_i，依据系统约定的带密钥的伪随机函数F，计算得到序列T_i＝<S_i,F(k_i,S_i)>；

(55)计算关键字密文得关键字密文序列{KC_i}；

(56)依据关键字密文序列{KC_i}和密文序列C，建立索引表List＝{KC_i,C}，供后继搜索步骤使用；

(57)将关键字加密参数c通过可信信道分发给得到访问授权的合法用户。

6)陷门生成步骤：

在这一步骤中，当访问授权的合法用户需要搜索敏感数据时，首先需要由用户生成搜索陷门，然后将搜索陷门发送到云存储服务器，以便发起搜索请求，再由云存储服务器进行相应的运算来搜索合法用户想要搜索的消息。需要注意的是，这里的云存储服务器是不可信的，它所搜索到的消息是以密文形式存在的。

假设合法用户想要搜索到包含关键字W的消息，那么它需要进行如下一系列的操作，以便得到关键字搜索陷门T_W：

(61)依据关键字W和消息接收者的公钥PK_L，使用系统约定的、带密钥的安全Hash函数H计算：X＝H(PK_L,W)；

(62)将X按字长分成两部分，即令X＝<L,R>；

(63)依据分发得到的关键字加密参数c，和系统约定的、带密钥的伪随机函数f，计算得到k_w＝f(c,L)；

(64)输出关键字搜索陷门T_W＝<X,k_w>。

7)服务器搜索步骤：

在这一步骤中，云存储服务器收到合法用户发送过来的关键字搜索陷门T_W之后，在步骤(56)所得到的索引表List中进行检索，具体步骤如下。

(71)从关键字搜索陷门T_W中析出X,k_w；

(72)将X与索引表List中的关键字密文序列{KC_i}依次进行异或操作，即 $T_{w_i}=X\&CirclePlus;{\mathrm{KC}}_i;$

(73)从中分离得到和依据系统约定的带密钥的伪随机函数F，验证等式是否成立。若等式成立，则返回索引表List中对应的密文C；

8)数据解密步骤：

在这一步骤中，具备解密能力的合法用户对云存储服务器返回的密文C，进行解密，得到明文消息，亦即步骤(43)所提到的敏感数据M，具体步骤如下。

(81)从密文C中析出C₀,C₁,C₂；

(82)从用户私钥SK_L中析出D₀,D₁；

(83)计算 $M=C_0\&times;\frac{e(D_0,C_2)}{e(D_1,C_1)}.$

与现有技术相比，本发明所描述的方法可以在非可信环境下，直接对云存储服务器中存储的加密信息进行高效搜索，不向云存储服务器和第三方泄露任何与明文相关的信息，保证了数据的安全和使用者的隐私，同时还可以支持针对不同用户细粒度的搜索访问控制。它可以以软件组件、硬件板卡或者智能接口等形式部署于云存储环境中，具有很好的灵活性和适用性，为云存储环境下的数据安全提供了可靠保障，具有很好的应用前景。

附图说明

图1为本发明的原理模型图。

具体实施方式

下面结合实施例对本发明作进一步的详细描述，但该实施例不应理解为对本发明的限制。

在步骤2)中，选取如下所示的安全参数λ、所需配对的群生成元g_p,g_r,Y和主密钥中的参数a，a′，g₂，用于生成公钥PK_L和主密钥MK：

λ＝2¹⁶⁰

g_p＝[7809132837767772651573398790375403753462635003623019020044719272892058114280169545363627979672267814658276323812421368981173841647068218684446465465855241,7406643807957608305790166986115601778083675130710226906362591601230255575641360818656017098156052158125464120405691949210352493932149295057446052059530714]

g_r＝[4927806246087013323176344129922077121049761463643223330379875014379649792357196308368218031913996561191471542282649512239400384858148590491435071205008076,3959556302535778130756496571193265082800275622456294723604146789658349454244920763551587988308974673583042887330998819567009441262962032156311354818712109]

Y＝[2765756755443342674104583047663281964822825905589639143333358640518976230349833989176420828567691883999691410443127107768258009308156124064739632162243319,592968472341521213637736199203159368102583055296136853141185891284105390977019247268805621206244762057056272096109173744816871059548446354215677568331492]

a'＝[2145897461501208266027033784618655947136504367755036737106483676546890108452547092354807793006202219626130884110905910126171732542535329672010052646499276,5582062789053388041138364825710558499123873867242743075617855957852117579540349993351023237143179429764153894136705593456268340041288314703586800369218493]

a＝353353252179993601956295766045244161741837710275

g₂＝[4714328059813801383460055230912081064335259941626332315056443849389212524339347879890650542011358061464451336260090615278087007091174854925340428610605278,1174187449612335142919910408770674659503030144912008866619117131602407635227619006689752356590050306684580124977396075171990832174731251930618627033248257]

同时，约定使用HmacSHA256算法带密钥的哈希函数H，约定使用HmacMD5算法作为带密钥的伪随机函数f(c,x)，约定使用HmacSHA1算法作为带密钥的伪随机函数F(c,x)，遵循以上步骤，即可完成本发明的实施例。

很明显，本发明并不局限于上述实施例，而是可以在不脱离发明范围和思想的情况下进行变化和修改，故该实施例不应理解为对本发明的限制。

本说明书未作详细描述的内容，属于本领域技术人员公知的现有技术。

Claims (9)

1.一种针对云存储环境下数据防泄漏保护方法，包括以下步骤：

第一步骤：设定系统符号和参数：

假设系统中有n个属性列表，每个属性列表中属性取值的最大个数都是m，系统中属性总数上限为N＝n*m；

为了方便后文的描述，这里将文中所有用到的符号作一个简单说明：

第二步骤：系统初始化：由授权机构TA选取该加密算法所要用到的乘法循环群和配对等数学运算，基于双线性映射方法生成用户的属性公钥PK_L和主密钥MK，其中：PK_L是公开的、用于在后继的操作中实现对文件消息的加密操作，而MK由授权机构TA秘密保管；

第三步骤：用户将自己的属性列表L发送给授权机构TA，请求生成属性密钥；而授权机构TA在接收到用户属性列表L后，生成用户的私钥SK_L；

第四步骤：数据加密：加密者指定一个用于决定那些用户可以访问敏感数据M的访问控制结构AS，然后使用AS对敏感数据M进行加密；

第五步骤：关键字加密步骤：加密者选定关键字加密参数c，使用异或算法对关键字进行加密，计算得到索引表，供检索使用；

第六步骤：陷门生成：当访问授权的合法用户需要搜索敏感数据时，首先需要由用户生成搜索陷门，然后将搜索陷门发送到云存储服务器，以便发起搜索请求，再由云存储服务器进行相应的运算来搜索合法用户想要搜索的消息，需要注意的是，这里的云存储服务器是不可信的，它所搜索到的消息是以密文形式存在的；

第七步骤：服务器搜索：云存储服务器收到合法用户发送过来的关键字搜索陷门T_W之后，在第五步骤所得到的索引表中进行检索；

第八步骤：数据解密：具备解密能力的合法用户对云存储服务器返回的密文进行解密，得到明文消息，亦即第四步骤所提到的敏感数据M。

2.如权利要求1所述的针对云存储环境下数据防泄漏保护方法，其特征在于：所述第二步骤的具体方法是：

21)使用双线性映射e:G×G→G_T，根据预设的安全参数λ，初始化得到五元组(p,r,G,G_T,e)，其中，乘法循环群G＝G_p×G_r，G_p和G_r均为群G的子群，其阶数分别为p和r，其生成元分别为g_p和g_r；群G和G_T群的阶均为N＝p×r；

22)随机选取a′∈_RG_p，g₂∈_RG_p，R₀∈_RG_r，R′∈_RG_r，计算A′＝a′×R′，A₀＝g_p×R₀和Y＝e(g₁,g₂)；

23)针对每一个主体属性及其取值，选取R_i,j∈_RG_r，计算 $\{A_{i,j}=g_p^{a_{i,j}}\&times;R_{i,j}\};$

24)选取树形访问树T_i,j，生成 ${\mathrm{PK}}_L=<g_p,g_r,A^{\&prime;},\{T_{i,j},g_p^{a_{i,j}}\&times;R_{i,j}\},A_0,Y>.$

25)计算MK＝<a′,a,g₂,{a_i,j},{U_L}>，其中，{U_L}为由授权机构TA生成的、每个用户所拥有的、独一无二的用户标识符的集合。

3.如权利要求1所述的针对云存储环境下数据防泄漏保护方法，其特征在于：所述第三步骤的具体方法是：

31)设用户发送给授权机构TA的用户属性列表为 $L=\{l_1,...,$ $l_n\}=\{v_{1,t_1},L,v_{n,t_n}\},$ 用户标识符为U_L；

32)授权机构TA随机选取a′∈_RG_p，g₂∈_RG_p，以及r_i∈_RZ_N，对于用户属性列表L中的每一个主体属性及其取值选取 $a_{i,j}{\&Element;}_R{Z}_N^{*},$ 计算： $D_0=g_p^{\frac{r}{U_L}},$ 以及 $D_1=g_2^a{\left(a^{\&prime;}\&times;g_p^{{\&Sigma;}_{v_{i,j}}{a}_{i,j}}\right)}^{\frac{r}{U_L}};$

33)生成用户私钥SK_L＝<D₀,D₁>。

4.如权利要求1所述的针对云存储环境下数据防泄漏保护方法，其特征在于：所述第四步骤的具体方法是：

41)加密者依据实际需要，指定一个访问控制结构AS＝{as₁,…,as_n}；

42)随机选取以及R′₀∈_RG_r，R′₁∈_RG_r；

43)对于敏感数据M，计算加密参数C₀＝M×Y^S，以及 $C_1=A_0^s\&times;R_0^{\&prime;};$

44)结合访问控制结构AS，计算

45)得到密文C＝<C₀,C₁,C₂>。

5.如权利要求1所述的针对云存储环境下数据防泄漏保护方法，其特征在于：所述第五步骤的具体方法是：

51)选定关键字集合{W_i}，依据消息接收者的公钥PK_L，使用系统约定的、带密钥的安全Hash函数H计算：X_i＝H(PK_L,W_i)；

52)将X_i按字长分成两部分，即令X_i＝<L_i,R_i>；

53)依据预先选定的关键字加密参数c，和系统约定的带密钥的伪随机函数f，计算得到密钥序列k_i＝f(c,L_i)；

54)使用伪随机序列生成器RNG获取一个随机数S_i，依据系统约定的带密钥的伪随机函数F，计算得到序列T_i＝<S_i,F(k_i,S_i)>；

55)计算关键字密文KC_i＝X_i⊕T_i，得关键字密文序列{KC_i}；

56)依据关键字密文序列{KC_i}和密文序列C，建立索引表List＝{KC_i,C}，供后继搜索步骤使用；

57)将关键字加密参数c通过可信信道分发给得到访问授权的合法用户。

6.如权利要求1所述的针对云存储环境下数据防泄漏保护方法，其特征在于：所述第六步骤的具体方法是：

61)依据关键字W和消息接收者的公钥PK_L，使用系统约定的、带密钥的安全Hash函数H计算：X＝H(PK_L,W)；

62)将X按字长分成两部分，即令X＝<L,R>；

63)依据分发得到的关键字加密参数c，和系统约定的、带密钥的伪随机函数f，计算得到k_w＝f(c,L)；

64)输出关键字搜索陷门T_W＝<X,k_w>。

7.如权利要求1所述的针对云存储环境下数据防泄漏保护方法，其特征在于：所述第七步骤的具体方法是：

71)从关键字搜索陷门T_W中析出X,k_w；

72)将X与索引表List中的关键字密文序列{KC_i}依次进行异或操作，即 $T_{w_i}=X\&CirclePlus;{\mathrm{KC}}_i;$

73)从中分离得到和依据系统约定的带密钥的伪随机函数F，验证等式是否成立。若等式成立，则返回索引表List中对应的密文C。

8.如权利要求1所述的针对云存储环境下数据防泄漏保护方法，其特征在于：所述第八步骤的具体方法是：

81)从密文C中析出C₀,C₁,C₂；

82)从用户私钥SK_L中析出D₀,D₁；

83)计算 $M=C_0\&times;\frac{e(D_0,C_2)}{e(D_1,C_1)}.$

9.如权利要2所述的针对云存储环境下数据防泄漏保护方法，其特征在于：

选取如下所示的安全参数λ、所需配对的群生成元g_p,g_r,Y和主密钥中的参数a，a′，g₂，用于生成公钥PK_L和主密钥MK：

λ＝2¹⁶⁰

g_p＝[7809132837767772651573398790375403753462635003623019020044719272892058114280169545363627979672267814658276323812421368981173841647068218684446465465855241,7406643807957608305790166986115601778083675130710226906362591601230255575641360818656017098156052158125464120405691949210352493932149295057446052059530714]

g_r＝[4927806246087013323176344129922077121049761463643223330379875014379649792357196308368218031913996561191471542282649512239400384858148590491435071205008076,3959556302535778130756496571193265082800275622456294723604146789658349454244920763551587988308974673583042887330998819567009441262962032156311354818712109]

Y＝[2765756755443342674104583047663281964822825905589639143333358640518976230349833989176420828567691883999691410443127107768258009308156124064739632162243319,592968472341521213637736199203159368102583055296136853141185891284105390977019247268805621206244762057056272096109173744816871059548446354215677568331492]

a'＝[2145897461501208266027033784618655947136504367755036737106483676546890108452547092354807793006202219626130884110905910126171732542535329672010052646499276,5582062789053388041138364825710558499123873867242743075617855957852117579540349993351023237143179429764153894136705593456268340041288314703586800369218493]

a＝353353252179993601956295766045244161741837710275

g₂＝[4714328059813801383460055230912081064335259941626332315056443849389212524339347879890650542011358061464451336260090615278087007091174854925340428610605278,1174187449612335142919910408770674659503030144912008866619117131602407635227619006689752356590050306684580124977396075171990832174731251930618627033248257]

同时，约定使用HmacSHA256算法带密钥的哈希函数H，约定使用HmacMD5算法作为带密钥的伪随机函数f(c,x)，约定使用HmacSHA1算法作为带密钥的伪随机函数F(c,x)。