CN106131013A - 一种数据加密保护系统 - Google Patents

一种数据加密保护系统 Download PDF

Info

Publication number
CN106131013A
CN106131013A CN201610543122.4A CN201610543122A CN106131013A CN 106131013 A CN106131013 A CN 106131013A CN 201610543122 A CN201610543122 A CN 201610543122A CN 106131013 A CN106131013 A CN 106131013A
Authority
CN
China
Prior art keywords
module
data
key
user
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610543122.4A
Other languages
English (en)
Inventor
不公告发明人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201610543122.4A priority Critical patent/CN106131013A/zh
Publication of CN106131013A publication Critical patent/CN106131013A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种数据加密保护系统,包括访问身份管理模块、云存储服务模块、数据加密模块、数据检索模块、数据解密模块。本发明通过访问身份管理模块、数据检索模块、数据加密模块和数据解密模块的多重防护,可有效防止云存储服务模块数据的泄露,提高云存储服务模块数据的安全性,具有较强的易用性和实用性;根据访问结构树将编码后的明文信息分为不同的访问级别,提高了访问控制的效率,利用码分复用技术编码明文信息,减少了密文数据的存储空间,提升了系统的整体性能。

Description

一种数据加密保护系统
技术领域
本发明涉及云计算技术领域,具体涉及一种数据加密保护系统。
背景技术
随着云计算的不断普及,云端数据安全问题显得越来越重要,已成为制约云计算发展的重要因素。例如云存储是将数据从本地转移存储到云存储服务模块,为用户带来了方便的同时节省了大量的成本。然而这一存储模式将数据存储在云存储服务模块,数据处在用户控制之外,因此如何保证云存储服务模块中数据的安全成为了一个亟需解决的问题。
发明内容
针对上述问题,本发明提供一种数据加密保护系统
本发明的目的采用以下技术方案来实现:
一种数据加密保护系统,包括访问身份管理模块、云存储服务模块、数据加密模块、数据检索模块、数据解密模块:
(1)访问身份管理模块,用于为访问用户提供身份申请、身份注销以及身份认证;
(2)云存储服务模块,用于为访问用户提供数据存储服务,包括用于存储数据的云存储服务模块和用于控制访问用户访问云存储服务模块的数据的访问控制器,所述访问控制器通过预设的访问控制模型进行访问控制;
(3)数据加密模块,用于对明文信息进行预处理、加密,并将加密后的密文数据存储到所述云存储服务模块;
(4)数据检索模块,用于为云存储服务模块的每个密文数据建立元数据,并对所述元数据进行加密,以便于登录云存储服务模块的用户通过加密后的元数据检索所需数据的信息。
(5)数据解密模块,用于从所述云存储服务模块下载所述加密后的密文数据,进行解密,以供终端所在用户查看。
优选地,所述预设的访问控制模型为基于密文策略的属性加密访问控制模型。
所述对明文信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码用户属主客户端上的明文信息,根据所述访问结构树将编码后的明文信息分为N个访问级别,N的取值范围为[4,8]。
所述数据加密模块对预处理后的明文信息进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块。
其中,所述数据加密模块包括依次连接的明文加密单元、密钥加密单元和重加密单元;
所述明文加密单元用于对预处理后的明文信息m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
所述密钥加密单元用于采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
所述重加密单元对所述密钥密文进行加密,加密时所述云存储服务模块为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,所述共享会话密钥采用公钥加密体制及密钥协商协议生成,具体为:所述云存储服务模块将自己的身份及访问用户的身份发送给数据加密模块,数据加密模块向云存储服务模块发送一个第一公钥证书,云存储服务模块进而为访问用户生成一个会话密钥,并用自身的秘密钥和公开钥加密后,连同与秘密钥对应的第二公钥证书及与公开钥对应的第一公钥证书一并发送给访问用户,所述秘密钥和公开钥利用系统公开参数生成。
所述数据解密模块将云存储服务模块上的封装好的三重加密密文解密得到明文信息,所述数据解密模块包括:
1)用户组属性密钥解密子模块,用于在访问用户访问所述封装好的三重加密密文时对用户组属性密钥进行解密,解密时由云存储服务模块返回所述封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)三重加密密文解密子模块,用于对三重加密密文C″m进行解密;
3)密钥密文解密子模块,用于对密钥密文Cm′进行解密:
4)密文解密子模块,用于对密文Cm进行解密;
5)解码子模块,用于采用码分复用对所述明文编码信息进行解码,得到相应的明文信息。
本发明的有益效果为:
1、通过访问身份管理模块、数据检索模块、数据加密模块和数据解密模块的多重防护,可有效防止云存储服务模块数据的泄露,提高云存储服务模块数据的安全性,具有较强的易用性和实用性;
2、根据访问结构树将编码后的明文信息分为不同的访问级别,提高了访问控制的效率,利用码分复用技术编码明文信息,减少了密文数据的存储空间,提升了系统的整体性能;
2、设置的数据加密模块对明文进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块,并设置相应的数据解密模块,不仅能实现细粒度访问控制,还能有效减轻用户属主与用户加密、解密的计算开销。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1是本发明各模块的连接示意图;
图2是本发明数据加密模块运作的原理示意图。
附图标记:
访问身份管理模块1、云存储服务模块2、数据加密模块3、数据检索模块4、数据解密模块5。
具体实施方式
结合以下实施例对本发明作进一步描述。
实施例1
参见图1、图2,本实施例的数据加密保护系统,包括访问身份管理模块1、云存储服务模块2、数据加密模块3、数据检索模块4、数据解密模块5:
(1)访问身份管理模块1,用于为访问用户提供身份申请、身份注销以及身份认证;
(2)云存储服务模块2,用于为访问用户提供数据存储服务,包括用于存储数据的云存储服务模块和用于控制访问用户访问云存储服务模块2的数据的访问控制器,所述访问控制器通过预设的访问控制模型进行访问控制;
(3)数据加密模块3,用于对明文信息进行预处理、加密,并将加密后的密文数据存储到所述云存储服务模块2;
(4)数据检索模块4,用于为云存储服务模块2的每个密文数据建立元数据,并对所述元数据进行加密,以便于登录云存储服务模块2的用户通过加密后的元数据检索所需数据的信息。
(5)数据解密模块5,用于从所述云存储服务模块2下载所述加密后的密文数据,进行解密,以供终端所在用户查看。
其中,所述预设的访问控制模型为基于密文策略的属性加密访问控制模型。
所述对明文信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码用户属主客户端上的明文信息,根据所述访问结构树将编码后的明文信息分为N个访问级别,N的取值范围为[4,8]。
所述数据加密模块3对预处理后的明文信息进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块2。
其中,所述数据加密模块3包括:
依次连接的明文加密单元、密钥加密单元和重加密单元;
所述明文加密单元用于对预处理后的明文信息m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
所述密钥加密单元用于采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
所述重加密单元对所述密钥密文进行加密,加密时所述云存储服务模块2为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,所述共享会话密钥采用公钥加密体制及密钥协商协议生成,具体为:所述云存储服务模块2将自己的身份及访问用户的身份发送给数据加密模块,数据加密模块向云存储服务模块2发送一个第一公钥证书,云存储服务模块2进而为访问用户生成一个会话密钥,并用自身的秘密钥和公开钥加密后,连同与秘密钥对应的第二公钥证书及与公开钥对应的第一公钥证书一并发送给访问用户,所述秘密钥和公开钥利用系统公开参数生成。
所述数据解密模块5将云存储服务模块2上的封装好的三重加密密文解密得到明文信息,所述数据解密模块5包括:
1)用户组属性密钥解密子模块,用于在访问用户访问所述封装好的三重加密密文时对用户组属性密钥进行解密,解密时由云存储服务模块2返回所述封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)三重加密密文解密子模块,用于对三重加密密文C″m进行解密;
3)密钥密文解密子模块,用于对密钥密文Cm′进行解密:
4)密文解密子模块,用于对密文Cm进行解密;
5)解码子模块,用于采用码分复用对所述明文编码信息进行解码,得到相应的明文信息。
本实施例通过访问身份管理模块1、数据检索模块4、数据加密模块3和数据解密模块5的多重防护,可有效防止云存储服务模块2数据的泄露,提高云存储服务模块2数据的安全性,具有较强的易用性和实用性;设置的数据加密模块3对明文进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块2,并设置相应的数据解密模块5,不仅能实现细粒度访问控制,还能有效减轻用户属主与用户加密、解密的计算开销;根据访问结构树将编码后的明文信息分为不同的访问级别,提高了访问控制的效率,利用码分复用技术编码明文信息,减少了密文数据的存储空间,提升了系统的整体性能;其中设定访问级别个数N=4,密文存储空间相对减少了5%。
实施例2
参见图1、图2,本实施例的数据加密保护系统,包括访问身份管理模块1、云存储服务模块2、数据加密模块3、数据检索模块4、数据解密模块5:
(1)访问身份管理模块1,用于为访问用户提供身份申请、身份注销以及身份认证;
(2)云存储服务模块2,用于为访问用户提供数据存储服务,包括用于存储数据的云存储服务模块和用于控制访问用户访问云存储服务模块2的数据的访问控制器,所述访问控制器通过预设的访问控制模型进行访问控制;
(3)数据加密模块3,用于对明文信息进行预处理、加密,并将加密后的密文数据存储到所述云存储服务模块2;
(4)数据检索模块4,用于为云存储服务模块2的每个密文数据建立元数据,并对所述元数据进行加密,以便于登录云存储服务模块2的用户通过加密后的元数据检索所需数据的信息。
(5)数据解密模块5,用于从所述云存储服务模块2下载所述加密后的密文数据,进行解密,以供终端所在用户查看。
其中,所述预设的访问控制模型为基于密文策略的属性加密访问控制模型。
所述对明文信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码用户属主客户端上的明文信息,根据所述访问结构树将编码后的明文信息分为N个访问级别,N的取值范围为[4,8]。
所述数据加密模块3对预处理后的明文信息进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块2。
其中,所述数据加密模块3包括:
依次连接的明文加密单元、密钥加密单元和重加密单元;
所述明文加密单元用于对预处理后的明文信息m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
所述密钥加密单元用于采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
所述重加密单元对所述密钥密文进行加密,加密时所述云存储服务模块2为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,所述共享会话密钥采用公钥加密体制及密钥协商协议生成,具体为:所述云存储服务模块2将自己的身份及访问用户的身份发送给数据加密模块,数据加密模块向云存储服务模块2发送一个第一公钥证书,云存储服务模块2进而为访问用户生成一个会话密钥,并用自身的秘密钥和公开钥加密后,连同与秘密钥对应的第二公钥证书及与公开钥对应的第一公钥证书一并发送给访问用户,所述秘密钥和公开钥利用系统公开参数生成。
所述数据解密模块5将云存储服务模块2上的封装好的三重加密密文解密得到明文信息,所述数据解密模块5包括:
1)用户组属性密钥解密子模块,用于在访问用户访问所述封装好的三重加密密文时对用户组属性密钥进行解密,解密时由云存储服务模块2返回所述封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)三重加密密文解密子模块,用于对三重加密密文C″m进行解密;
3)密钥密文解密子模块,用于对密钥密文Cm′进行解密:
4)密文解密子模块,用于对密文Cm进行解密;
5)解码子模块,用于采用码分复用对所述明文编码信息进行解码,得到相应的明文信息。
本实施例通过访问身份管理模块1、数据检索模块4、数据加密模块3和数据解密模块5的多重防护,可有效防止云存储服务模块2数据的泄露,提高云存储服务模块2数据的安全性,具有较强的易用性和实用性;设置的数据加密模块3对明文进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块2,并设置相应的数据解密模块5,不仅能实现细粒度访问控制,还能有效减轻用户属主与用户加密、解密的计算开销;根据访问结构树将编码后的明文信息分为不同的访问级别,提高了访问控制的效率,利用码分复用技术编码明文信息,减少了密文数据的存储空间,提升了系统的整体性能;其中设定访问级别个数N=5,密文存储空间相对减少了4.5%。
实施例3
参见图1、图2,本实施例的数据加密保护系统,包括访问身份管理模块1、云存储服务模块2、数据加密模块3、数据检索模块4、数据解密模块5:
(1)访问身份管理模块1,用于为访问用户提供身份申请、身份注销以及身份认证;
(2)云存储服务模块2,用于为访问用户提供数据存储服务,包括用于存储数据的云存储服务模块和用于控制访问用户访问云存储服务模块2的数据的访问控制器,所述访问控制器通过预设的访问控制模型进行访问控制;
(3)数据加密模块3,用于对明文信息进行预处理、加密,并将加密后的密文数据存储到所述云存储服务模块2;
(4)数据检索模块4,用于为云存储服务模块2的每个密文数据建立元数据,并对所述元数据进行加密,以便于登录云存储服务模块2的用户通过加密后的元数据检索所需数据的信息。
(5)数据解密模块5,用于从所述云存储服务模块2下载所述加密后的密文数据,进行解密,以供终端所在用户查看。
其中,所述预设的访问控制模型为基于密文策略的属性加密访问控制模型。
所述对明文信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码用户属主客户端上的明文信息,根据所述访问结构树将编码后的明文信息分为N个访问级别,N的取值范围为[4,8]。
所述数据加密模块3对预处理后的明文信息进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块2。
其中,所述数据加密模块3包括:
依次连接的明文加密单元、密钥加密单元和重加密单元;
所述明文加密单元用于对预处理后的明文信息m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
所述密钥加密单元用于采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
所述重加密单元对所述密钥密文进行加密,加密时所述云存储服务模块2为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,所述共享会话密钥采用公钥加密体制及密钥协商协议生成,具体为:所述云存储服务模块2将自己的身份及访问用户的身份发送给数据加密模块,数据加密模块向云存储服务模块2发送一个第一公钥证书,云存储服务模块2进而为访问用户生成一个会话密钥,并用自身的秘密钥和公开钥加密后,连同与秘密钥对应的第二公钥证书及与公开钥对应的第一公钥证书一并发送给访问用户,所述秘密钥和公开钥利用系统公开参数生成。
所述数据解密模块5将云存储服务模块2上的封装好的三重加密密文解密得到明文信息,所述数据解密模块5包括:
1)用户组属性密钥解密子模块,用于在访问用户访问所述封装好的三重加密密文时对用户组属性密钥进行解密,解密时由云存储服务模块2返回所述封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)三重加密密文解密子模块,用于对三重加密密文C″m进行解密;
3)密钥密文解密子模块,用于对密钥密文Cm′进行解密:
4)密文解密子模块,用于对密文Cm进行解密;
5)解码子模块,用于采用码分复用对所述明文编码信息进行解码,得到相应的明文信息。
本实施例通过访问身份管理模块1、数据检索模块4、数据加密模块3和数据解密模块5的多重防护,可有效防止云存储服务模块2数据的泄露,提高云存储服务模块2数据的安全性,具有较强的易用性和实用性;设置的数据加密模块3对明文进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块2,并设置相应的数据解密模块5,不仅能实现细粒度访问控制,还能有效减轻用户属主与用户加密、解密的计算开销;根据访问结构树将编码后的明文信息分为不同的访问级别,提高了访问控制的效率,利用码分复用技术编码明文信息,减少了密文数据的存储空间,提升了系统的整体性能;其中设定访问级别个数N=6,密文存储空间相对减少了4%。
实施例4
参见图1、图2,本实施例的数据加密保护系统,包括访问身份管理模块1、云存储服务模块2、数据加密模块3、数据检索模块4、数据解密模块5:
(1)访问身份管理模块1,用于为访问用户提供身份申请、身份注销以及身份认证;
(2)云存储服务模块2,用于为访问用户提供数据存储服务,包括用于存储数据的云存储服务模块和用于控制访问用户访问云存储服务模块2的数据的访问控制器,所述访问控制器通过预设的访问控制模型进行访问控制;
(3)数据加密模块3,用于对明文信息进行预处理、加密,并将加密后的密文数据存储到所述云存储服务模块2;
(4)数据检索模块4,用于为云存储服务模块2的每个密文数据建立元数据,并对所述元数据进行加密,以便于登录云存储服务模块2的用户通过加密后的元数据检索所需数据的信息。
(5)数据解密模块5,用于从所述云存储服务模块2下载所述加密后的密文数据,进行解密,以供终端所在用户查看。
其中,所述预设的访问控制模型为基于密文策略的属性加密访问控制模型。
所述对明文信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码用户属主客户端上的明文信息,根据所述访问结构树将编码后的明文信息分为N个访问级别,N的取值范围为[4,8]。
所述数据加密模块3对预处理后的明文信息进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块2。
其中,所述数据加密模块3包括:
依次连接的明文加密单元、密钥加密单元和重加密单元;
所述明文加密单元用于对预处理后的明文信息m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
所述密钥加密单元用于采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
所述重加密单元对所述密钥密文进行加密,加密时所述云存储服务模块2为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,所述共享会话密钥采用公钥加密体制及密钥协商协议生成,具体为:所述云存储服务模块2将自己的身份及访问用户的身份发送给数据加密模块,数据加密模块向云存储服务模块2发送一个第一公钥证书,云存储服务模块2进而为访问用户生成一个会话密钥,并用自身的秘密钥和公开钥加密后,连同与秘密钥对应的第二公钥证书及与公开钥对应的第一公钥证书一并发送给访问用户,所述秘密钥和公开钥利用系统公开参数生成。
所述数据解密模块5将云存储服务模块2上的封装好的三重加密密文解密得到明文信息,所述数据解密模块5包括:
1)用户组属性密钥解密子模块,用于在访问用户访问所述封装好的三重加密密文时对用户组属性密钥进行解密,解密时由云存储服务模块2返回所述封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)三重加密密文解密子模块,用于对三重加密密文C″m进行解密;
3)密钥密文解密子模块,用于对密钥密文Cm′进行解密:
4)密文解密子模块,用于对密文Cm进行解密;
5)解码子模块,用于采用码分复用对所述明文编码信息进行解码,得到相应的明文信息。
本实施例通过访问身份管理模块1、数据检索模块4、数据加密模块3和数据解密模块5的多重防护,可有效防止云存储服务模块2数据的泄露,提高云存储服务模块2数据的安全性,具有较强的易用性和实用性;设置的数据加密模块3对明文进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块2,并设置相应的数据解密模块5,不仅能实现细粒度访问控制,还能有效减轻用户属主与用户加密、解密的计算开销;根据访问结构树将编码后的明文信息分为不同的访问级别,提高了访问控制的效率,利用码分复用技术编码明文信息,减少了密文数据的存储空间,提升了系统的整体性能;其中设定访问级别个数N=7,密文存储空间相对减少了3.5%。
实施例5
参见图1、图2,本实施例的数据加密保护系统,包括访问身份管理模块1、云存储服务模块2、数据加密模块3、数据检索模块4、数据解密模块5:
(1)访问身份管理模块1,用于为访问用户提供身份申请、身份注销以及身份认证;
(2)云存储服务模块2,用于为访问用户提供数据存储服务,包括用于存储数据的云存储服务模块和用于控制访问用户访问云存储服务模块2的数据的访问控制器,所述访问控制器通过预设的访问控制模型进行访问控制;
(3)数据加密模块3,用于对明文信息进行预处理、加密,并将加密后的密文数据存储到所述云存储服务模块2;
(4)数据检索模块4,用于为云存储服务模块2的每个密文数据建立元数据,并对所述元数据进行加密,以便于登录云存储服务模块2的用户通过加密后的元数据检索所需数据的信息。
(5)数据解密模块5,用于从所述云存储服务模块2下载所述加密后的密文数据,进行解密,以供终端所在用户查看。
其中,所述预设的访问控制模型为基于密文策略的属性加密访问控制模型。
所述对明文信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码用户属主客户端上的明文信息,根据所述访问结构树将编码后的明文信息分为N个访问级别,N的取值范围为[4,8]。
所述数据加密模块3对预处理后的明文信息进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块2。
其中,所述数据加密模块3包括:
依次连接的明文加密单元、密钥加密单元和重加密单元;
所述明文加密单元用于对预处理后的明文信息m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
所述密钥加密单元用于采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
所述重加密单元对所述密钥密文进行加密,加密时所述云存储服务模块2为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,所述共享会话密钥采用公钥加密体制及密钥协商协议生成,具体为:所述云存储服务模块2将自己的身份及访问用户的身份发送给数据加密模块,数据加密模块向云存储服务模块2发送一个第一公钥证书,云存储服务模块2进而为访问用户生成一个会话密钥,并用自身的秘密钥和公开钥加密后,连同与秘密钥对应的第二公钥证书及与公开钥对应的第一公钥证书一并发送给访问用户,所述秘密钥和公开钥利用系统公开参数生成。
所述数据解密模块5将云存储服务模块2上的封装好的三重加密密文解密得到明文信息,所述数据解密模块5包括:
1)用户组属性密钥解密子模块,用于在访问用户访问所述封装好的三重加密密文时对用户组属性密钥进行解密,解密时由云存储服务模块2返回所述封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)三重加密密文解密子模块,用于对三重加密密文C″m进行解密;
3)密钥密文解密子模块,用于对密钥密文Cm′进行解密:
4)密文解密子模块,用于对密文Cm进行解密;
5)解码子模块,用于采用码分复用对所述明文编码信息进行解码,得到相应的明文信息。
本实施例通过访问身份管理模块1、数据检索模块4、数据加密模块3和数据解密模块5的多重防护,可有效防止云存储服务模块2数据的泄露,提高云存储服务模块2数据的安全性,具有较强的易用性和实用性;设置的数据加密模块3对明文进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块2,并设置相应的数据解密模块5,不仅能实现细粒度访问控制,还能有效减轻用户属主与用户加密、解密的计算开销;根据访问结构树将编码后的明文信息分为不同的访问级别,提高了访问控制的效率,利用码分复用技术编码明文信息,减少了密文数据的存储空间,提升了系统的整体性能;其中设定访问级别个数N=8,密文存储空间相对减少了2.5%。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。

Claims (7)

1.一种数据加密保护系统,包括访问身份管理模块、云存储服务模块、数据加密模块、数据检索模块、数据解密模块:
(1)访问身份管理模块,用于为访问用户提供身份申请、身份注销以及身份认证;
(2)云存储服务模块,用于为访问用户提供数据存储服务,包括用于存储数据的云存储服务模块和用于控制访问用户访问云存储服务模块的数据的访问控制器,所述访问控制器通过预设的访问控制模型进行访问控制;
(3)数据加密模块,用于对明文信息进行预处理、加密,并将加密后的密文数据存储到所述云存储服务模块;
(4)数据检索模块,用于为云存储服务模块的每个密文数据建立元数据,并对所述元数据进行加密,以便于登录云存储服务模块的用户通过加密后的元数据检索所需数据的信息。
(5)数据解密模块,用于从所述云存储服务模块下载所述加密后的密文数据,进行解密,以供终端所在用户查看。
2.根据权利要求1所述的一种数据加密保护系统,其特征在于,所述预设的访问控制模型为基于密文策略的属性加密访问控制模型。
3.根据权利要求1所述的一种数据加密保护系统,其特征在于,所述对明文信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码用户属主客户端上的明文信息,根据所述访问结构树将编码后的明文信息分为N个访问级别,N的取值范围为[4,8]。
4.根据权利要求3所述的一种数据加密保护系统,其特征在于,所述数据加密模块对预处理后的明文信息进行三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储到所述云存储服务模块。
5.根据权利要求4所述的一种数据加密保护系统,其特征在于,所述数据加密模块包括依次连接的明文加密单元、密钥加密单元和重加密单元;
所述明文加密单元用于对预处理后的明文信息m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
所述密钥加密单元用于采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
所述重加密单元对所述密钥密文进行加密,加密时所述云存储服务模块为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
6.根据权利要求5所述的一种数据加密保护系统,其特征在于,所述共享会话密钥采用公钥加密体制及密钥协商协议生成,具体为:所述云存储服务模块将自己的身份及访问用户的身份发送给数据加密模块,数据加密模块向云存储服务模块发送一个第一公钥证书,云存储服务模块进而为访问用户生成一个会话密钥,并用自身的秘密钥和公开钥加密后,连同与秘密钥对应的第二公钥证书及与公开钥对应的第一公钥证书一并发送给访问用户,所述秘密钥和公开钥利用系统公开参数生成。
7.根据权利要求6所述的一种数据加密保护系统,其特征在于,所述数据解密模块将云存储服务模块上的封装好的三重加密密文解密得到明文信息,所述数据解密模块包括:
1)用户组属性密钥解密子模块,用于在访问用户访问所述封装好的三重加密密文时对用户组属性密钥进行解密,解密时由云存储服务模块返回所述封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)三重加密密文解密子模块,用于对三重加密密文C″m进行解密;
3)密钥密文解密子模块,用于对密钥密文Cm′进行解密:
4)密文解密子模块,用于对密文Cm进行解密;
5)解码子模块,用于采用码分复用对所述明文编码信息进行解码,得到相应的明文信息。
CN201610543122.4A 2016-07-06 2016-07-06 一种数据加密保护系统 Pending CN106131013A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610543122.4A CN106131013A (zh) 2016-07-06 2016-07-06 一种数据加密保护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610543122.4A CN106131013A (zh) 2016-07-06 2016-07-06 一种数据加密保护系统

Publications (1)

Publication Number Publication Date
CN106131013A true CN106131013A (zh) 2016-11-16

Family

ID=57283740

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610543122.4A Pending CN106131013A (zh) 2016-07-06 2016-07-06 一种数据加密保护系统

Country Status (1)

Country Link
CN (1) CN106131013A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107508796A (zh) * 2017-07-28 2017-12-22 北京明朝万达科技股份有限公司 一种数据通信方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152322A (zh) * 2013-01-28 2013-06-12 中兴通讯股份有限公司 数据加密保护方法及系统
CN103731475A (zh) * 2013-12-06 2014-04-16 中国科学院深圳先进技术研究院 一种数据保护系统
US20140156991A1 (en) * 2012-11-30 2014-06-05 Prakash Baskaran Method and system for securing electronic data
CN105678189A (zh) * 2016-01-15 2016-06-15 上海海事大学 加密数据文件存储和检索系统及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140156991A1 (en) * 2012-11-30 2014-06-05 Prakash Baskaran Method and system for securing electronic data
CN103152322A (zh) * 2013-01-28 2013-06-12 中兴通讯股份有限公司 数据加密保护方法及系统
CN103731475A (zh) * 2013-12-06 2014-04-16 中国科学院深圳先进技术研究院 一种数据保护系统
CN105678189A (zh) * 2016-01-15 2016-06-15 上海海事大学 加密数据文件存储和检索系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
熊安萍: "云存储环境下基于属性的密文策略访问控制机制研究", 《中国博士学位论文全文数据库信息科技辑(月刊 )2016 年 第 03 期》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107508796A (zh) * 2017-07-28 2017-12-22 北京明朝万达科技股份有限公司 一种数据通信方法和装置
CN107508796B (zh) * 2017-07-28 2019-01-04 北京明朝万达科技股份有限公司 一种数据通信方法和装置

Similar Documents

Publication Publication Date Title
CN106127075B (zh) 一种云存储环境下基于隐私保护的可搜索加密方法
US9767299B2 (en) Secure cloud data sharing
CN103442059B (zh) 一种文件共享方法及装置
CN104852925B (zh) 移动智能终端数据防泄漏安全存储、备份方法
CN103763319B (zh) 一种移动云存储轻量级数据安全共享方法
Ma et al. Efficient fine-grained data sharing mechanism for electronic medical record systems with mobile devices
CN106209357A (zh) 一种基于云计算平台的密文访问控制系统
CN108737374A (zh) 一种区块链中数据存储的隐私保护方法
CN102567688B (zh) 一种安卓操作系统上的文件保密系统及其保密方法
CN104158880B (zh) 一种用户端云数据共享解决方法
CN106101131A (zh) 一种实现支持细粒度访问控制的加密系统
CN103248476B (zh) 数据加密密钥的管理方法、系统及终端
CN106612271A (zh) 一种用于云存储的加密和访问控制方法
CN103152322A (zh) 数据加密保护方法及系统
CN102404337A (zh) 数据加密方法和装置
CN107113314A (zh) 用于云计算中的异构数据存储管理的方法和装置
CN109039614A (zh) 一种基于optimal ate的代理重加密方法
Zhang et al. A dynamic cryptographic access control scheme in cloud storage services
CN114500069A (zh) 一种电子合同的存储及共享的方法与系统
CN105915566A (zh) 用于实时账户访问的安全系统
CN106131014A (zh) 用于医疗的病例信息访问的安全系统
CN106203137A (zh) 一种机密文件访问安全系统
Almuzaini et al. Key aggregation cryptosystem and double encryption method for cloud-based intelligent machine learning techniques-based health monitoring systems
CN106612175A (zh) 移动云中多要素访问控制的代理重加密算法
CN108494724A (zh) 基于多授权机构属性加密算法的云存储加密系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20161116

RJ01 Rejection of invention patent application after publication