CN106341236A - 一种面向云存储服务平台的访问控制方法及其系统 - Google Patents
一种面向云存储服务平台的访问控制方法及其系统 Download PDFInfo
- Publication number
- CN106341236A CN106341236A CN201610814440.XA CN201610814440A CN106341236A CN 106341236 A CN106341236 A CN 106341236A CN 201610814440 A CN201610814440 A CN 201610814440A CN 106341236 A CN106341236 A CN 106341236A
- Authority
- CN
- China
- Prior art keywords
- key
- private key
- cloud storage
- storage service
- service platform
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于云存储服务技术领域,提供了一种面向云存储服务平台的访问控制系统及其访问控制方法。该方法及系统中,数据属主是基于属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上的,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,由于将大部分解密运算外包给第三方,使得数据用户的解密负担明显减小,实现了用户快速解密的目的。另外,在加密阶段对明文进行加密的同时,对明文进行签名,使得数据用户可以对解密所得明文的正确性进行验证,防止了云服务端及第三方对明文或密文可能进行的篡改,提高了整个方案的安全性。
Description
技术领域
本发明涉及云存储服务技术领域,尤其涉及一种面向云存储服务平台的访问控制方法及其系统。
背景技术
在云存储服务平台中,由于采用数据远程托管技术,云存储服务提供商是数据的物理拥有者,与数据属主并不在同一个信任域中。云存储服务提供商管理着多个用户及其资源,当用户跨边界访问其它用户资源时,需要采用一定的访问控制策略来控制对数据和服务的访问。但实际中,由于云存储服务平台是采用虚拟化存储技术,云存储服务同底层硬件环境之间是松耦合的,不同用户的数据间缺乏固定不变的安全边界,由此增加了在云存储服务平台对数据实施访问控制的难度。
现有技术中,虽然数据属主可对其上传的用户数据的读/写属性进行设置,例如将读/写属性设置为公有读/私有写或公有读/公有写,以在一定程度上限制数据的读写权限,但由于用户数据仍旧是以明文形式存储在云存储服务平台上的,缺乏有效的隐私保护机制,不能有效抵御非法用户的访问而使得用户数据泄露。
发明内容
有鉴于此,本发明的目的在于提供一种面向云存储服务平台的访问控制方法及其系统,旨在解决解决现有的云存储服务平台是以明文形式存储用户数据,隐私性和安全性差的问题。
本发明提出一种面向云存储服务平台的访问控制方法,应用于包括授权中心运行管理端、数据属主运行客户端、数据用户运行客户端、第三方运行服务端在内的面向云存储服务平台的访问控制系统,其中,所述方法包括:
所述授权中心运行管理端生成公钥、主私钥、签名公钥与签名私钥,并将所述公钥和所述签名公钥上传至云存储服务平台;
所述数据属主运行客户端向所述授权中心运行管理端请求授权并发出数据上传请求信息;
所述授权中心运行管理端核实所述数据属主运行客户端的身份,并在核实通过后将所述签名私钥发送给数据属主运行客户端;
所述数据属主运行客户端利用所述公钥与所述签名私钥对明文进行加密,产生所需上传的密文,并将所述密文作为共享数据上传至云存储服务平台;
所述数据用户运行客户端向所述授权中心运行管理端请求授权;
所述授权中心运行管理端核实所述数据用户运行客户端身份,并在核实通过后结合所述主私钥生成对应的用户私钥与转化秘钥,并将所述用户私钥与转化秘钥发送给所述数据用户运行客户端;
所述数据用户运行客户端从云存储服务平台下载所述共享数据,并将所述共享数据与所述转化密钥发送给所述第三方运行服务端;
所述第三方运行服务端,利用所述转化密钥并基于外包解密属性加密机制中的转化算法对所述共享数据进行部分解密以得到部分解密密文,并将所述部分解密密文传送给所述数据用户运行客户端;
所述数据用户运行客户端利用所述用户私钥对所述部分解密密文进行最终解密。
优选的,所述授权中心运行管理端生成公钥、主私钥、签名公钥与签名私钥的步骤具体包括:
输入安全参数λ,构造阶为素数p、生成元为g的双线性群G,定义双线性映射e:G×G→GT,选取随机数α,β∈Zp,计算公钥PK和主私钥MK分别为:
PK=(g,h=gβ,e(g,g)α)
MSK=(β,gα)
然后选取x,y∈Zp,计算签名公钥SPK与签名私钥SSK分别为:
SPK=(gx,gy),SSK=(x,y)。
优选的,所述结合所述主私钥生成对应的用户私钥的步骤具体包括:
首先选择一个随机值r∈Zp,然后对每个属性k∈S随机选择rk∈Zp,最后生成对应的用户私钥为:
SK=(D=g(α+r)/β),
优选的,所述利用所述公钥与所述签名私钥对明文进行加密,产生所需上传的密文的步骤具体包括:
在访问结构Tj下加密消息M,为Tj每个节点n选择一个多项式qn,从树的根节点R开始,自上而下选择多项式,节点n的多项式qn的度dn比该节点的门限值kn少1,即dn=kn-1;
从根节点R开始选择随机数s∈Zp,并设置qR(0)=s,随机选择多项式qR上的dR个点完全定义qR,对于其它的顶点n,令qn(0)=qparent(n)(index(n)),随机选择其它dn个顶点完全定义qn;
设Tj中所有叶子节点的集合为J,由签名私钥SSK=(x,y),明文M和随机选择θ∈Zp,计算签名在给定的树形访问结构Tj下计算所需上传的密文:
优选的,所述第三方运行服务端执行转化算法的步骤具体包括:
定义递归算法Transform(SK′,CT,n),用密文与属性集合S相关联的部分密钥SK′,T中的节点n作为输入;
当节点n是叶子节点时,令i=att(n),如果i∈S,那么
当节点n是非叶子节点时,算法Transform(SK′,CT,n)工作方式如下:对于n的所有子节点u,计算Fu=Transform(SK′,CT,u),令Sn为Kn大小的满足Fu≠⊥的子节点u的集合,如果不存在这样的集合,那么这样的节点不满足,函数返回⊥,否则计算
并返回结果,其中i=index(u),Sn'={index(u),u∈Sn};
调用Transform(SK′,CT,R),R是树的根节点,如果树满足S且
则
优选的,所述利用所述用户私钥对所述部分解密密文进行最终解密的步骤具体包括:
输入SK,输入利用下式:
解密得到明文M;
最后输入SPK,验证e(σ,gx·gM·gyθ)=e(g,g),若e(σ,gx·gM·gyθ)=e(g,g)等式成立,则说明解密正确,输出明文M;否则解密失败,输出⊥。
另一方面,本发明还提供一种面向云存储服务平台的访问控制系统,包括授权中心运行管理端、数据属主运行客户端、数据用户运行客户端以及第三方运行服务端,其中,
所述授权中心运行管理端,用于生成公钥、主私钥、签名公钥与签名私钥,并将所述公钥和所述签名公钥上传至云存储服务平台;
所述数据属主运行客户端,用于向所述授权中心运行管理端请求授权并发出数据上传请求信息;
所述授权中心运行管理端,还用于核实所述数据属主运行客户端的身份,并在核实通过后将所述签名私钥发送给数据属主运行客户端;
所述数据属主运行客户端,还用于利用所述公钥与所述签名私钥对明文进行加密,产生所需上传的密文,并将所述密文作为共享数据上传至云存储服务平台;
所述数据用户运行客户端,用于向所述授权中心运行管理端请求授权;
所述授权中心运行管理端,还用于核实所述数据用户运行客户端身份,并在核实通过后结合所述主私钥生成对应的用户私钥与转化秘钥,并将所述用户私钥与转化秘钥发送给所述数据用户运行客户端;
所述数据用户运行客户端,还用于从云存储服务平台下载所述共享数据,并将所述共享数据与所述转化密钥发送给所述第三方运行服务端;
所述第三方运行服务端,用于利用所述转化密钥并基于外包解密属性加密机制中的转化算法对所述共享数据进行部分解密以得到部分解密密文,并将所述部分解密密文传送给所述数据用户运行客户端;
所述数据用户运行客户端,还用于利用所述用户私钥对所述部分解密密文进行最终解密。
优选的,所述云存储服务平台为阿里云OSS云存储服务平台。
本发明提供的技术方案基于外包解密属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,本发明提供的技术方案由于将大部分解密运算外包给第三方,使得数据用户的解密负担明显减小,实现了用户快速解密的目的。另外,在加密阶段对明文进行加密的同时,对明文进行签名,使得数据用户可以对解密所得明文的正确性进行验证,防止了云服务端及第三方对明文或密文可能进行的篡改,提高了整个方案的安全性。
附图说明
图1为本发明一实施方式中面向云存储服务平台的访问控制方法流程图;
图2为本发明一实施方式中面向云存储服务平台的访问控制系统10的内部结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了解决现有技术存在的问题,本发明提出的面向云存储服务平台的访问控制系统及其访问控制方法基于外包解密属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上。
以下将对本发明所提供的一种面向云存储服务平台的访问控制方法进行详细说明。
请参阅图1,为本发明一实施方式中面向云存储服务平台的访问控制方法流程图。
在本实施方式中,面向云存储服务平台的访问控制方法,应用于包括授权中心运行管理端、数据属主运行客户端、数据用户运行客户端、第三方运行服务端在内的面向云存储服务平台的访问控制系统。
在步骤S1中,所述授权中心运行管理端生成公钥、主私钥、签名公钥与签名私钥,并将所述公钥和所述签名公钥上传至云存储服务平台。
在本实施方式中,所述云存储服务平台为阿里云OSS云存储服务平台,当然也可以是其他的云存储服务平台,在此不做限定。
在本实施方式中,步骤S1为系统初始化的步骤,所述授权中心运行管理端生成公钥、主私钥、签名公钥与签名私钥的步骤S1具体包括:
输入安全参数λ,构造阶为素数p、生成元为g的双线性群G,定义双线性映射e:G×G→GT,选取随机数α,β∈Zp,计算公钥PK和主私钥MK分别为:
PK=(g,h=gβ,e(g,g)α)
MSK=(β,gα)
然后选取x,y∈Zp,计算签名公钥SPK与签名私钥SSK分别为:
SPK=(gx,gy),SSK=(x,y)。
在步骤S2中,所述数据属主运行客户端向所述授权中心运行管理端请求授权并发出数据上传请求信息。
在步骤S3中,所述授权中心运行管理端核实所述数据属主运行客户端的身份,并在核实通过后将所述签名私钥发送给数据属主运行客户端。
在步骤S4中,所述数据属主运行客户端利用所述公钥与所述签名私钥对明文进行加密,产生所需上传的密文,并将所述密文作为共享数据上传至云存储服务平台。
在本实施方式中,所述利用所述公钥与所述签名私钥对明文进行加密,产生所需上传的密文的步骤具体包括:
在访问结构Tj下加密消息M,为Tj每个节点n选择一个多项式qn,从树的根节点R开始,自上而下选择多项式,节点n的多项式qn的度dn比该节点的门限值kn少1,即dn=kn-1;
从根节点R开始选择随机数s∈Zp,并设置qR(0)=s,随机选择多项式qR上的dR个点完全定义qR,对于其它的顶点n,令qn(0)=qparent(n)(index(n)),随机选择其它dn个顶点完全定义qn;
设Tj中所有叶子节点的集合为J,由签名私钥SSK=(x,y),明文M和随机选择θ∈Zp,计算签名在给定的树形访问结构Tj下计算所需上传的密文:
在步骤S5中,所述数据用户运行客户端向所述授权中心运行管理端请求授权。
在步骤S6中,所述授权中心运行管理端核实所述数据用户运行客户端身份,并在核实通过后结合所述主私钥生成对应的用户私钥与转化秘钥,并将所述用户私钥与转化秘钥发送给所述数据用户运行客户端。
在本实施方式中,所述结合所述主私钥生成对应的用户私钥的步骤具体包括:
首先选择一个随机值r∈Zp,然后对每个属性k∈S随机选择rk∈Zp,最后生成对应的用户私钥为:
SK=(D=g(α+r)/β),
在步骤S7中,所述数据用户运行客户端从云存储服务平台下载所述共享数据,并将所述共享数据与所述转化密钥发送给所述第三方运行服务端。
在步骤S8中,所述第三方运行服务端,利用所述转化密钥并基于外包解密属性加密机制中的转化算法对所述共享数据进行部分解密以得到部分解密密文,并将所述部分解密密文传送给所述数据用户运行客户端。
在本实施方式中,所述第三方运行服务端执行转化算法的步骤具体包括:
定义递归算法Transform(SK′,CT,n),用密文与属性集合S相关联的部分密钥SK′,T中的节点n作为输入;
当节点n是叶子节点时,令i=att(n),如果i∈S,那么
当节点n是非叶子节点时,算法Transform(SK′,CT,n)工作方式如下:对于n的所有子节点u,计算Fu=Transform(SK′,CT,u),令Sn为Kn大小的满足Fu≠⊥的子节点u的集合,如果不存在这样的集合,那么这样的节点不满足,函数返回⊥,否则计算
并返回结果,其中i=index(u),Sn'={index(u),u∈Sn};
调用Transform(SK′,CT,R),R是树的根节点,如果树满足S且
则
在步骤S9中,所述数据用户运行客户端利用所述用户私钥对所述部分解密密文进行最终解密。
在本实施方式中,所述利用所述用户私钥对所述部分解密密文进行最终解密的步骤具体包括:
输入SK,输入利用下式:
解密得到明文M;
最后输入SPK,验证e(σ,gx·gM·gyθ)=e(g,g),若e(σ,gx·gM·gyθ)=e(g,g)等式成立,则说明解密正确,输出明文M;否则解密失败,输出⊥。
本发明提供的一种面向云存储服务平台的访问控制方法,基于外包解密属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,本发明提供的技术方案由于将大部分解密运算外包给第三方,使得数据用户的解密负担明显减小,实现了用户快速解密的目的。另外,在加密阶段对明文进行加密的同时,对明文进行签名,使得数据用户可以对解密所得明文的正确性进行验证,防止了云服务端及第三方对明文或密文可能进行的篡改,提高了整个方案的安全性。
请参阅图2,所示为本发明一实施方式中面向云存储服务平台的访问控制系统10的结构示意图。在本实施方式中,面向云存储服务平台的访问控制系统10与云存储服务平台通信连接,主要包括授权中心运行管理端11、数据属主运行客户端12、第三方运行服务端13以及数据用户运行客户端14。
授权中心运行管理端11,用于生成公钥、主私钥、签名公钥与签名私钥,并将所述公钥和所述签名公钥上传至云存储服务平台;
数据属主运行客户端12,用于向所述授权中心运行管理端请求授权并发出数据上传请求信息;
授权中心运行管理端11,还用于核实所述数据属主运行客户端的身份,并在核实通过后将所述签名私钥发送给数据属主运行客户端;
数据属主运行客户端12,还用于利用所述公钥与所述签名私钥对明文进行加密,产生所需上传的密文,并将所述密文作为共享数据上传至云存储服务平台;
数据用户运行客户端14,用于向所述授权中心运行管理端请求授权;
授权中心运行管理端11,还用于核实所述数据用户运行客户端身份,并在核实通过后结合所述主私钥生成对应的用户私钥与转化秘钥,并将所述用户私钥与转化秘钥发送给所述数据用户运行客户端;
数据用户运行客户端14,还用于从云存储服务平台下载所述共享数据,并将所述共享数据与所述转化密钥发送给所述第三方运行服务端;
第三方运行服务端13,用于利用所述转化密钥并基于外包解密属性加密机制中的转化算法对所述共享数据进行部分解密以得到部分解密密文,并将所述部分解密密文传送给所述数据用户运行客户端;
数据用户运行客户端14,还用于利用所述用户私钥对所述部分解密密文进行最终解密。
在本实施方式中,所述云存储服务平台为阿里云OSS云存储服务平台。
本发明提供的一种面向云存储服务平台的访问控制系统10,基于外包解密属性加密机制,将需上传的用户数据加密后存储到云存储服务平台上,因而可对云存储服务平台上的共享数据实现有效的隐私保护,提高了云存储服务的安全性。同时,本发明提供的技术方案由于将大部分解密运算外包给第三方,使得数据用户的解密负担明显减小,实现了用户快速解密的目的。另外,在加密阶段对明文进行加密的同时,对明文进行签名,使得数据用户可以对解密所得明文的正确性进行验证,防止了云服务端及第三方对明文或密文可能进行的篡改,提高了整个方案的安全性。
以下对上述面向云存储服务平台的访问控制方法及其系统的安全性进行分析:
本发明所提方案不仅可以保证数据机密性,还可以抵抗共谋攻击。
分析:关于数据的机密性,本外包解密CP-ABE方案可以成功阻止非授权用户和半可信第三方获取加密的数据信息。一方面,若用户所拥有的属性集合与密文相关的访问控制策略不能够匹配的时候,那么该用户不能够获得e(g,g)αs,这里α是每个用户所独有的随机数,任何两个用户的这个值都是不同的。因此,非授权用户就不能够解密密文。另一方面,半可信第三方有可能引起另外一种攻击。当用户的属性能够满足密文中所嵌入的的访问策略时,被委托的第三方就可以利用转化密钥得到中间结果T0=M·e(g,g)αs和T1=e(g,g)rs。因此,无论是非授权用户,还是被委托第三方都没有足够的信息来解密密文。
另外,本外包解密CP-ABE方案能够抵抗用户之间的共谋攻击。与原始的CP-ABE方案相同,在所提出的方案中,秘密共享值s是隐藏在密文中的,而不是在用户的密钥中。要想解密密文,共谋攻击者就必须恢复e(g,g)αs。为了获得e(g,g)αs,共谋攻击者需要获得共谋攻击者需要执行与此相关的双线性对操作,也就是来自密文的Cx和来自其它共谋者的Dx。但是,因为每个用户的密钥都是由随机数r计算并产生的。因此,虽然共谋攻击者都是合法授权用户,但是他们不能恢复e(g,g)rs,就不能进一步恢复e(g,g)αs。所以,所有共谋者即使共享其密钥,也不能彼此联合恢复e(g,g)αs。
另外,本领域普通技术人员可以理解实现上述各实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,相应的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如ROM/RAM、磁盘或光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种面向云存储服务平台的访问控制方法,应用于包括授权中心运行管理端、数据属主运行客户端、数据用户运行客户端、第三方运行服务端在内的面向云存储服务平台的访问控制系统,其特征在于,所述方法包括:
所述授权中心运行管理端生成公钥、主私钥、签名公钥与签名私钥,并将所述公钥和所述签名公钥上传至云存储服务平台;
所述数据属主运行客户端向所述授权中心运行管理端请求授权并发出数据上传请求信息;
所述授权中心运行管理端核实所述数据属主运行客户端的身份,并在核实通过后将所述签名私钥发送给数据属主运行客户端;
所述数据属主运行客户端利用所述公钥与所述签名私钥对明文进行加密,产生所需上传的密文,并将所述密文作为共享数据上传至云存储服务平台;
所述数据用户运行客户端向所述授权中心运行管理端请求授权;
所述授权中心运行管理端核实所述数据用户运行客户端身份,并在核实通过后结合所述主私钥生成对应的用户私钥与转化秘钥,并将所述用户私钥与转化秘钥发送给所述数据用户运行客户端;
所述数据用户运行客户端从云存储服务平台下载所述共享数据,并将所述共享数据与所述转化密钥发送给所述第三方运行服务端;
所述第三方运行服务端,利用所述转化密钥并基于外包解密属性加密机制中的转化算法对所述共享数据进行部分解密以得到部分解密密文,并将所述部分解密密文传送给所述数据用户运行客户端;
所述数据用户运行客户端利用所述用户私钥对所述部分解密密文进行最终解密。
2.如权利要求1所述的面向云存储服务平台的访问控制方法,其特征在于,所述授权中心运行管理端生成公钥、主私钥、签名公钥与签名私钥的步骤具体包括:
输入安全参数λ,构造阶为素数p、生成元为g的双线性群G,定义双线性映射e:G×G→GT,选取随机数α,β∈Zp,计算公钥PK和主私钥MK分别为:
PK=(g,h=gβ,e(g,g)α)
MSK=(β,gα)
然后选取x,y∈Zp,计算签名公钥SPK与签名私钥SSK分别为:
SPK=(gx,gy),SSK=(x,y)。
3.如权利要求2所述的面向云存储服务平台的访问控制方法,其特征在于,所述结合所述主私钥生成对应的用户私钥的步骤具体包括:
首先选择一个随机值r∈Zp,然后对每个属性k∈S随机选择rk∈Zp,最后生成对应的用户私钥为:
SK=(D=g(α+r)/β),
4.如权利要求3所述的面向云存储服务平台的访问控制方法,其特征在于,所述利用所述公钥与所述签名私钥对明文进行加密,产生所需上传的密文的步骤具体包括:
在访问结构Tj下加密消息M,为Tj每个节点n选择一个多项式qn,从树的根节点R开始,自上而下选择多项式,节点n的多项式qn的度dn比该节点的门限值kn少1,即dn=kn-1;
从根节点R开始选择随机数s∈Zp,并设置qR(0)=s,随机选择多项式qR上的dR个点完全定义qR,对于其它的顶点n,令qn(0)=qparent(n)(index(n)),随机选择其它dn个顶点完全定义qn;
设Tj中所有叶子节点的集合为J,由签名私钥SSK=(x,y),明文M和随机选择θ∈Zp,计算签名在给定的树形访问结构Tj下计算所需上传的密文:
5.如权利要求4所述的面向云存储服务平台的访问控制方法,其特征在于,所述第三方运行服务端执行转化算法的步骤具体包括:
定义递归算法Transform(SK′,CT,n),用密文与属性集合S相关联的部分密钥SK′,T中的节点n作为输入;
当节点n是叶子节点时,令i=att(n),如果i∈S,那么
当节点n是非叶子节点时,算法Transform(SK′,CT,n)工作方式如下:对于n的所有子节点u,计算Fu=Transform(SK′,CT,u),令Sn为Kn大小的满足Fu≠⊥的子节点u的集合,如果不存在这样的集合,那么这样的节点不满足,函数返回⊥,否则计算
并返回结果,其中i=index(u),Sn'={index(u),u∈Sn};
调用Transform(SK′,CT,R),R是树的根节点,如果树满足S且
则
6.如权利要求5所述的面向云存储服务平台的访问控制方法,其特征在于,所述利用所述用户私钥对所述部分解密密文进行最终解密的步骤具体包括:
输入SK,输入利用下式:
解密得到明文M;
最后输入SPK,验证e(σ,gx·gM·gyθ)=e(g,g),若e(σ,gx·gM·gyθ)=e(g,g)等式成立,则说明解密正确,输出明文M;否则解密失败,输出⊥。
7.一种面向云存储服务平台的访问控制系统,其特征在于,所述系统包括授权中心运行管理端、数据属主运行客户端、数据用户运行客户端以及第三方运行服务端,其中,
所述授权中心运行管理端,用于生成公钥、主私钥、签名公钥与签名私钥,并将所述公钥和所述签名公钥上传至云存储服务平台;
所述数据属主运行客户端,用于向所述授权中心运行管理端请求授权并发出数据上传请求信息;
所述授权中心运行管理端,还用于核实所述数据属主运行客户端的身份,并在核实通过后将所述签名私钥发送给数据属主运行客户端;
所述数据属主运行客户端,还用于利用所述公钥与所述签名私钥对明文进行加密,产生所需上传的密文,并将所述密文作为共享数据上传至云存储服务平台;
所述数据用户运行客户端,用于向所述授权中心运行管理端请求授权;
所述授权中心运行管理端,还用于核实所述数据用户运行客户端身份,并在核实通过后结合所述主私钥生成对应的用户私钥与转化秘钥,并将所述用户私钥与转化秘钥发送给所述数据用户运行客户端;
所述数据用户运行客户端,还用于从云存储服务平台下载所述共享数据,并将所述共享数据与所述转化密钥发送给所述第三方运行服务端;
所述第三方运行服务端,用于利用所述转化密钥并基于外包解密属性加密机制中的转化算法对所述共享数据进行部分解密以得到部分解密密文,并将所述部分解密密文传送给所述数据用户运行客户端;
所述数据用户运行客户端,还用于利用所述用户私钥对所述部分解密密文进行最终解密。
8.如权利要求7所述的面向云存储服务平台的访问控制系统,其特征在于,所述云存储服务平台为阿里云OSS云存储服务平台。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610814440.XA CN106341236A (zh) | 2016-09-09 | 2016-09-09 | 一种面向云存储服务平台的访问控制方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610814440.XA CN106341236A (zh) | 2016-09-09 | 2016-09-09 | 一种面向云存储服务平台的访问控制方法及其系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106341236A true CN106341236A (zh) | 2017-01-18 |
Family
ID=57823792
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610814440.XA Pending CN106341236A (zh) | 2016-09-09 | 2016-09-09 | 一种面向云存储服务平台的访问控制方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106341236A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106888213A (zh) * | 2017-03-14 | 2017-06-23 | 深圳大学 | 云密文访问控制方法及系统 |
CN107124276A (zh) * | 2017-04-07 | 2017-09-01 | 西安电子科技大学 | 一种安全的数据外包机器学习数据分析方法 |
CN107484161A (zh) * | 2017-07-24 | 2017-12-15 | 国家电网公司 | 一种基于移动自组网络的信息高效推送与安全分享方法 |
CN108270787A (zh) * | 2018-01-16 | 2018-07-10 | 深圳市道通科技股份有限公司 | 一种数据解密方法、装置及电子设备 |
CN109121269A (zh) * | 2018-09-13 | 2019-01-01 | 江苏科技大学 | 一种港口智能照明管理系统及其访问控制方法 |
CN109525579A (zh) * | 2018-11-12 | 2019-03-26 | 中建材信息技术股份有限公司 | 基于终端身份校验的云存储数据授权方法及装置 |
WO2019104674A1 (zh) * | 2017-11-30 | 2019-06-06 | 深圳大学 | 一种密文搜索权限验证方法及其系统 |
CN109995821A (zh) * | 2017-12-29 | 2019-07-09 | 中移(苏州)软件技术有限公司 | 文件上传的方法及系统、客户端、服务器、对象存储系统 |
CN110650127A (zh) * | 2019-09-09 | 2020-01-03 | 核芯互联科技(青岛)有限公司 | 基于移动存储设备的云端访问控制方法、装置和设备 |
CN111414630A (zh) * | 2020-03-05 | 2020-07-14 | 北京远盟普惠健康科技有限公司 | 一种精准体检的数据安全处理方法和处理系统 |
CN114567447A (zh) * | 2022-04-26 | 2022-05-31 | 佳瑛科技有限公司 | 一种基于云端服务器的数据共享管理方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212293A (zh) * | 2006-12-31 | 2008-07-02 | 普天信息技术研究院 | 一种身份认证方法及系统 |
CN102299795A (zh) * | 2010-06-23 | 2011-12-28 | 航天信息股份有限公司 | 基于身份的签密方法和系统 |
CN103326856A (zh) * | 2013-05-20 | 2013-09-25 | 西北工业大学 | 基于双向数字签名的云存储数据责任认定结构及方法 |
CN103516523A (zh) * | 2013-10-22 | 2014-01-15 | 浪潮电子信息产业股份有限公司 | 一种基于云存储的数据加密体系架构 |
CN105025012A (zh) * | 2015-06-12 | 2015-11-04 | 深圳大学 | 面向云存储服务平台的访问控制系统及其访问控制方法 |
-
2016
- 2016-09-09 CN CN201610814440.XA patent/CN106341236A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212293A (zh) * | 2006-12-31 | 2008-07-02 | 普天信息技术研究院 | 一种身份认证方法及系统 |
CN102299795A (zh) * | 2010-06-23 | 2011-12-28 | 航天信息股份有限公司 | 基于身份的签密方法和系统 |
CN103326856A (zh) * | 2013-05-20 | 2013-09-25 | 西北工业大学 | 基于双向数字签名的云存储数据责任认定结构及方法 |
CN103516523A (zh) * | 2013-10-22 | 2014-01-15 | 浪潮电子信息产业股份有限公司 | 一种基于云存储的数据加密体系架构 |
CN105025012A (zh) * | 2015-06-12 | 2015-11-04 | 深圳大学 | 面向云存储服务平台的访问控制系统及其访问控制方法 |
Non-Patent Citations (1)
Title |
---|
HONGWEI LIU等: ""Verifying Outsourced Decryption of CP-ABE with Signature"", 《ICMMCCE 2015》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106888213B (zh) * | 2017-03-14 | 2020-10-02 | 深圳大学 | 云密文访问控制方法及系统 |
CN106888213A (zh) * | 2017-03-14 | 2017-06-23 | 深圳大学 | 云密文访问控制方法及系统 |
CN107124276A (zh) * | 2017-04-07 | 2017-09-01 | 西安电子科技大学 | 一种安全的数据外包机器学习数据分析方法 |
CN107484161B (zh) * | 2017-07-24 | 2019-05-24 | 国家电网公司 | 一种基于移动自组网络的信息高效推送与安全分享方法 |
CN107484161A (zh) * | 2017-07-24 | 2017-12-15 | 国家电网公司 | 一种基于移动自组网络的信息高效推送与安全分享方法 |
WO2019104674A1 (zh) * | 2017-11-30 | 2019-06-06 | 深圳大学 | 一种密文搜索权限验证方法及其系统 |
CN109995821A (zh) * | 2017-12-29 | 2019-07-09 | 中移(苏州)软件技术有限公司 | 文件上传的方法及系统、客户端、服务器、对象存储系统 |
CN108270787A (zh) * | 2018-01-16 | 2018-07-10 | 深圳市道通科技股份有限公司 | 一种数据解密方法、装置及电子设备 |
CN108270787B (zh) * | 2018-01-16 | 2020-11-03 | 深圳市道通科技股份有限公司 | 一种数据解密方法、装置及电子设备 |
CN109121269A (zh) * | 2018-09-13 | 2019-01-01 | 江苏科技大学 | 一种港口智能照明管理系统及其访问控制方法 |
CN109121269B (zh) * | 2018-09-13 | 2020-02-21 | 江苏科技大学 | 一种港口智能照明管理系统及其访问控制方法 |
CN109525579A (zh) * | 2018-11-12 | 2019-03-26 | 中建材信息技术股份有限公司 | 基于终端身份校验的云存储数据授权方法及装置 |
CN110650127A (zh) * | 2019-09-09 | 2020-01-03 | 核芯互联科技(青岛)有限公司 | 基于移动存储设备的云端访问控制方法、装置和设备 |
CN110650127B (zh) * | 2019-09-09 | 2022-02-18 | 核芯互联科技(青岛)有限公司 | 基于移动存储设备的云端访问控制方法、装置和设备 |
CN111414630A (zh) * | 2020-03-05 | 2020-07-14 | 北京远盟普惠健康科技有限公司 | 一种精准体检的数据安全处理方法和处理系统 |
CN111414630B (zh) * | 2020-03-05 | 2020-11-20 | 北京远盟普惠健康科技有限公司 | 一种精准体检的数据安全处理方法和处理系统 |
CN114567447A (zh) * | 2022-04-26 | 2022-05-31 | 佳瑛科技有限公司 | 一种基于云端服务器的数据共享管理方法及装置 |
CN114567447B (zh) * | 2022-04-26 | 2022-07-19 | 佳瑛科技有限公司 | 一种基于云端服务器的数据共享管理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106341236A (zh) | 一种面向云存储服务平台的访问控制方法及其系统 | |
Han et al. | Improving privacy and security in decentralized ciphertext-policy attribute-based encryption | |
CN113595971B (zh) | 一种基于区块链的分布式数据安全共享方法、系统和计算机可读介质 | |
US11425171B2 (en) | Method and system for cryptographic attribute-based access control supporting dynamic rules | |
WO2018045568A1 (zh) | 一种面向云存储服务平台的访问控制方法及其系统 | |
CN112019591B (zh) | 一种基于区块链的云数据共享方法 | |
CN111130757B (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
CN109145612B (zh) | 基于区块链实现防数据篡改、用户共谋的云数据共享方法 | |
CN107483198A (zh) | 一种可监管的区块链系统及方法 | |
He et al. | A social-network-based cryptocurrency wallet-management scheme | |
CN109728903B (zh) | 一种使用属性密码的区块链弱中心密码授权方法 | |
CN104917772A (zh) | 一种云存储服务平台的访问控制系统及其访问控制方法 | |
CN104320393B (zh) | 重加密可控的高效属性基代理重加密方法 | |
CN110266687B (zh) | 一种采用区块链技术的物联网安全代理数据共享模块设计方法 | |
CN104468615A (zh) | 基于数据共享的文件访问和修改权限控制方法 | |
CN110912897B (zh) | 基于密文属性认证和门限函数的图书资源访问控制方法 | |
CN104883254A (zh) | 面向云计算平台的密文访问控制系统及其访问控制方法 | |
Hussein et al. | A survey of cryptography cloud storage techniques | |
CN110086615A (zh) | 一种媒介混淆的分布式多授权方密文策略属性基加密方法 | |
CN115765965A (zh) | 基于联邦学习和双联盟区块链的医疗数据安全共享方法 | |
CN114143094A (zh) | 基于区块链的多授权属性基可验证加密方法 | |
CN106209774A (zh) | 基于不可区分混淆的云服务外包访问权限控制方法 | |
CN117155644A (zh) | 链上链下相协作的医疗数据分级访问控制与共享方法 | |
CN113889208B (zh) | 基于区块链的链上-链下医疗数据共享方法、装置及设备 | |
CN105721146A (zh) | 一种面向云存储基于smc的大数据共享方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170118 |
|
RJ01 | Rejection of invention patent application after publication |