CN106506155A - 公有云环境下的密文共享方法 - Google Patents
公有云环境下的密文共享方法 Download PDFInfo
- Publication number
- CN106506155A CN106506155A CN201611129174.3A CN201611129174A CN106506155A CN 106506155 A CN106506155 A CN 106506155A CN 201611129174 A CN201611129174 A CN 201611129174A CN 106506155 A CN106506155 A CN 106506155A
- Authority
- CN
- China
- Prior art keywords
- file
- access structure
- structure tree
- sharing
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000004364 calculation method Methods 0.000 claims abstract description 9
- 238000004321 preservation Methods 0.000 claims description 3
- 238000000151 deposition Methods 0.000 claims description 2
- 240000006248 Broussonetia kazinoki Species 0.000 claims 1
- 239000013256 coordination polymer Substances 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 241000933832 Broussonetia Species 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000012946 outsourcing Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种公有云环境下的密文共享方法,包括初始化、生成用户私钥、加密以及解密。本发明提供的公有云环境下的密文共享方法,提出了一种面向公有云的文件共享框架。在该框架中,所有需要共享数据的数据加密密钥先要基于安全存储访问结构树在用户客户端进行加密。在本发明提供的面向公有云的文件共享方案中,由多个私钥子项组成的用户私钥全部由云服务器进行存储,用户只需要安全存储一个大小同于私钥子项的公钥密码体制中的私钥。进一步,本发明提供的公有云环境下的密文共享方法和经典的CP‑ABE具有相同的安全性,在计算量和存储量上对用户客户端要求很低,个人电脑和移动设备都完全能够胜任。
Description
技术领域
本发明涉及文件加密技术领域,具体涉及一种公有云环境下的密文共享方法。
背景技术
对于企业信息中心而言,如果想做到将数据存储外包给公有云并同时保证数据安全性和隐私性,做法很简单:将数据加密后再上传到云端。但如果企业信息中心还想再利用这种外包模式构建文件共享框架,问题就变得非常复杂。
解决外包云数据共享的一般方案是:用每个共享用户的公钥加密数据加密密钥,然后将加了密的数据加密密钥发送给共享者。显然,这种方法的代价过大:计算量和通信量都和共享用户的数量成正比,使得它难以实施。针对这个问题,现有技术中提出了一种基于属性的加密(CP-ABE,Cipher Policy Attribute Based Encryption)算法。该算法由于具有“一次加密,多人分享”的特点,因而在外包数据共享中具有可实施性。然而,该算法要求运算量较大的加解密运算都由用户客户端负责,并且由用户保管由较多私钥子项组成的用户私钥,这对其实施特别是在移动设备上的实施造成阻碍。
发明内容
本发明所要解决的是现有的密文共享方案存在客户端计算量过大、用户管理密钥过多、不支持个人共享的问题。
本发明通过下述技术方案实现:
一种公有云环境下的密文共享方法,包括:
初始化:设置安全参数d;授权中心选择一个阶为大素数p的双线性群G0和G1,记G0的生成元为g,对应的双线性映射为e:G0×G0→G1;定义系统所需的属性空间A={a1,a2,…,an}和用户身份空间AID={uid0,uid1,…,uidi,…,uidm},其中,uid0为授权中心标识符,uidi为数据所有者标识符;定义一个哈希函数H:{0,1}*→G0,随机选择将系统公钥信息PK={G0,g,gβ,e(g,g)α}发往云服务器并公开,数据所有者秘密保存主私钥MK={gα,β},其中,为大素数p的剩余类集合中与大素数p互素的元素构成的集合;
生成用户私钥:授权中心为用户Ui分配一对公私钥将发往云服务器并公开,由用户秘密保存,其中,为用户Ui的公钥,为用户Ui的私钥;设用户Ui对应的属性集合为令w=w'∪{uid0,uidi},随机选择对于每个元素aj∈w',随机选择生成私钥 将私钥保存在云端的用户私钥表中,其中,授权中心标识符uid0对应的私钥子项用用户Ui的公钥加密保存;
加密:包括对文件进行安全存储和密文共享;
解密:包括云服务器解密和用户客户端解密。
可选的,对文件进行安全存储包括:
用户客户端使用对称加密算法和数据加密密钥kf加密文件获得数据密文其中,f为需要安全存储的文件;
为安全存储访问结构树T的根节点随机选择一个一元一次多项式Qr(x)和使得s=Qr(0),Qr(1)为安全存储访问结构树T左子树根节点的取值,Qr(2)为安全存储访问结构树T右子树根节点的取值;
计算数据加密密钥的密文为
用户客户端将数据密文数据加密密钥的密文CT和安全存储访问结构树T左子树根节点的取值Qr(1)上传到云端;
云服务器收到用户客户端上传的数据后,计算数据所有者标识符uidi对应叶子节点的密文子项和并将数据密文和数据加密密钥kf的所有密文子项和安全存储访问结构树T左子树根节点的取值Qr(1)保存到对应于数据所有者的存储空间;
在文件安全存储而不共享的情况下,数据加密密钥kf的完整密文为
可选的,安全存储访问结构树T的根节点操作符为AND,安全存储访问结构树T的左孩子节点代表数据所有者标识符uidi,安全存储访问结构树T的右孩子节点代表授权中心标识符uid0。
可选的,密文共享包括:
数据所有者根据访问逻辑表达式构建并上传文件共享访问结构树T';
云服务器根据文件共享访问结构树T'将安全存储访问结构树T改造为云文件共享访问结构树;
为云文件共享访问结构树每个叶子节点赋值其中,LT'表示文件共享访问结构树T'的叶子节点的集合:令文件共享访问结构树T'的根节点对应的秘密共享数为Qr(1);对于任意非根节点x且其父节点操作符为AND,Qx(0)=Qparent(x)(index(x)),parent(x)为非根节点x的父节点,index(x)为非根节点x在兄弟节点中的排行序号;对于任意非根节点x且其父节点操作符为OR,Qx(0)=Qparent(x)(0);
计算文件共享访问结构树T'对应的密文子项为:
其中,att()用于求叶子节点对应的属性;
数据加密密钥kf完整的共享密文为
可选的,云服务器根据文件共享访问结构树T'将安全存储访问结构树T改造为云文件共享访问结构树包括:
新建OR节点,用新建OR节点替代安全存储访问结构树T中数据所有者标识符uidi对应的节点,数据所有者标识符uidi对应的节点成为新建OR节点的左孩子,文件共享访问结构树T'成为新建OR节点的右子树。
可选的,云服务器解密包括:
对于叶子节点x,解密算法为
对于非叶子节点x,解密算法为
其中,sx为非叶子节点x的所有孩子节点构成的集合,index(z)为叶子节点z在兄弟节点中的排行序号,parent(z)为叶子节点z的父节点,Qx(0)为非叶子节点x对应多项式的常数项;
文件共享访问结构树T'的根节点的解密为其中,为文件共享访问结构树T'的根节点对应多项式的常数项。
可选的,用户客户端解密包括:
数据所有者或共享用户将密文子项C、解密得到的以及授权中心标识符uid0对应的加了密的私钥子项和从云端下载到本地;
用私钥解密得到和
用和解密授权中心标识符uid0对应叶子节点得到
利用非叶子节点解密算法解密云文件共享访问结构树的根节点:
其中,Qr(0)为云文件共享访问结构树的根节点对应多项式的常数项;
解密数据加密密钥kf的算法为:
用户再利用数据加密密钥kf将文件密文进行解密以恢复文件f。
本发明与现有技术相比,具有如下的优点和有益效果:
本发明提供的公有云环境下的密文共享方法,提出了一种面向公有云的文件共享框架。在该框架中,所有需要共享数据的数据加密密钥先要基于安全存储访问结构树在用户客户端进行加密。共享时,由云服务器负责所有文件共享访问结构树对应密文子项的计算。访问结构树的叶子节点不仅可以对应属性,还可以直接对应用户标识符,使得该方案同时支持基于属性的共享和基于身份的共享。在本发明提供的面向公有云的文件共享方案中,由多个私钥子项组成的用户私钥全部由云服务器进行存储,用户只需要安全存储一个大小同于私钥子项的公钥密码体制中的私钥。进一步,本发明提供的公有云环境下的密文共享方法和经典的CP-ABE具有相同的安全性,在计算量和存储量上对用户客户端要求很低,个人电脑和移动设备都完全能够胜任。
附图说明
此处所说明的附图用来提供对本发明实施例的进一步理解,构成本申请的一部分,并不构成对本发明实施例的限定。在附图中:
图1是本发明实施例的面向公有云的密文共享框架结构示意图;
图2是本发明实施例的安全存储访问结构树的示意图;
图3是本发明实施例的云文件共享访问结构树的示意图。
具体实施方式
针对用户客户端计算量过大、密钥存储量过多的问题,发明人提出将授权中心标识符作为特殊属性引入到用户属性中。为授权中心标识符生成密钥子项,该子项利用用户公钥加密后再上传到云端。引入授权中心标识符后,需要改造访问结构树。改造后,就可以将主要的计算和存储都移植到云端,所有用户属性对应的密钥子项都存储在云端,用户只需要保存好自己的私钥就可以了。加密和解密时,除数据密文子项和授权中心标识符属性对应的密文子项需要由用户客户端完成外,其它的加解密工作都外包给云服务器,密文子项也全部存储在云服务器上。由于缺少授权中心标识符对应的密钥子项这一关键数据,云服务器无法解密存放在其上的任何密文数据。
在用户私钥分配时,给用户身份标识符分配相应的密钥子项。在创建访问结构时,利用用户属性或身份标识符构建访问结构树。构建访问结构树时,如果只利用了用户属性,则和以前基于属性的密文共享方式一样,实现的是基于角色的访问控制;如果只利用了用户标识符属性,就属于基于个人身份的共享,实现的是基于身份的访问控制;如果既有用户属性又有个人属性,则属于既包含属性授权又包含个人授权的混合访问授权。
在面向公有云的的密文共享框架中,主要包括授权中心、云服务器、数据所有者和用户,如图1所示。授权中心位于企业可信域中,负责用户密钥的生成、分配、更新和撤销;云服务器位于云域,负责密文和用户私钥的存储;用户,可能在可信域中也可能在不可信域中,或作为数据所有者利用客户端加密数据后上传到云端保存,或作为数据共享者从云端读取并解密授权共享密文。
在已有的密文共享方案中,几乎都采取的是文件加密和密文共享同时在用户客户端进行的方式。而在实际的文件共享中,无论文件是否需要加密,都是先要将文件上传到存储服务器,再进行文件共享。基于此,本发明将文件共享分成前后相随的两个阶段:文件安全存储和密文共享。
文件安全存储。为确保文件数据的机密性,需要对数据进行加密。在本发明技术方案中,采用CP-ABE进行加密,访问结构如图2所示,uidi和uid0分别为数据所有者标识符和授权中心标识符。在文件共享前,由于能匹配密文访问结构树的只有数据所有者,故只有数据所有者能解密数据。
密文共享。为实现共享,数据所有者将文件共享访问结构树上传到云端。云服务器根据安全存储访问结构树和文件共享结构树构造云文件共享访问结构树,如图3所示。基于云文件共享访问结构树,利用存储在云端的用户身份标识符对应的秘密共享数计算文件共享访问结构树叶子节点对应的秘密共享数,进而计算出对应的密文子项。基于安全存储访问结构树和文件共享访问结构树,构造云文件访问结构树的具体过程为:新建OR节点,用新建OR节点替代安全存储访问结构树中数据所有者标识符uidi对应的节点,数据所有者标识符uidi对应的节点成为新建OR节点的左孩子,文件共享访问结构树成为新建OR节点的右子树。图3中的文件共享访问结构树表达的是能访问密文的用户:要么是计算机学院云计算实验室的教师(基于属性的访问控制),要么是身份标识符UID的值为uidj或uidk的计算机学院教师(基于身份的访问控制),而云文件共享访问结构树除包含文件共享访问结构树的逻辑外,还允许数据所有者访问自己以密文形式存储在云端的数据。
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明作进一步的详细说明,本发明的示意性实施方式及其说明仅用于解释本发明,并不作为对本发明的限定。
实施例
和一般的ABE方案一样,本发明提供的公有云环境下的密文共享方法也包括初始化、生成用户私钥、加密以及解密四个步骤。
初始化。设置安全参数d;授权中心选择一个阶为大素数p的双线性群G0和G1,记G0的生成元为g,对应的双线性映射为e:G0×G0→G1;定义系统所需的属性空间A={a1,a2,…,an}和用户身份空间AID={uid0,uid1,…,uidi,…,uidm},其中,uid0为授权中心标识符,uidi为数据所有者标识符;定义一个哈希函数H:{0,1}*→G0,随机选择将系统公钥信息PK={G0,g,gβ,e(g,g)α}发往云服务器并公开,数据所有者秘密保存主私钥MK={gα,β},其中,为大素数p的剩余类集合中与大素数p互素的元素构成的集合。
生成用户私钥。授权中心为用户Ui分配一对公私钥将发往云服务器并公开,由用户秘密保存。其中,为用户Ui的公钥,为用户Ui的私钥。设用户Ui对应的属性集合为令w=w'∪{uid0,uidi}。随机选择对于每个元素aj∈w',随机选择生成的私钥如下: 将以上数据保存在云端的用户私钥表中,其中,授权中心标识符uid0对应的私钥子项用用户Ui的公钥加密保存,即以形式保存。
加密。用户Ui构造安全存储访问结构树T如图2所示,安全存储访问结构树T的根节点操作符为AND,安全存储访问结构树T的左孩子节点代表数据所有者标识符uidi,安全存储访问结构树T的右孩子节点代表授权中心标识符uid0。在需要共享时,将安全存储访问结构树T改造为云文件共享访问结构树,如图3所示。
文件安全存储。设需要安全存储的文件为f,用户客户端使用对称加密算法(如AES)和数据加密密钥kf加密文件获得数据密文为安全存储访问结构树T的根节点随机选择一个一元一次多项式Qr(x)和使得s=Qr(0)且Qr(1)和Qr(2)分别为安全存储访问结构树T左右子树根节点的取值。然后计算数据加密密钥的密文如下:
用户客户端将数据密文数据加密密钥的密文CT和安全存储访问结构树T左子树根节点的取值Qr(1)一起上传到云端。云服务器收到上传数据后,计算数据所有者标识符uidi对应叶子节点的密文子项和云服务器将数据密文数据加密密钥kf的所有密文子项和安全存储访问结构树T左子树根节点的取值Qr(1)保存到对应于数据所有者的存储空间。在文件安全存储而不共享的情况下,数据加密密钥kf的完整密文如下:
密文共享。在文件共享阶段,数据所有者根据访问逻辑表达式构建并上传文件共享访问结构树T'。云服务器先利用文件共享访问结构树T'将安全存储访问结构树T改造为云文件共享访问结构树。为在文件共享访问结构树T'中每个操作符为AND的非叶子节点x随机选择一个一元多项式函数Qx(x),令文件共享访问结构树T'的根节点对应的秘密共享数为Qr(1)。对于任意非根节点x且其父节点操作符为AND,Qx(0)=Qparent(x)(index(x)),parent(x)为非根节点x的父节点,index(x)为非根节点x在兄弟节点中的排行序号(从左往右进行编号);对于任意非根节点x且父节点操作符为OR,Qx(0)=Qparent(x)(0)。按照以上方式从上至下最终可以为云文件共享访问结构树每个叶子节点赋值LT'表示文件共享访问结构树T'的叶子节点的集合。
计算文件共享访问结构树T'对应的密文子项如下:
其中,att()用于求叶子节点对应的属性。
数据加密密钥kf完整的共享密文如下:
解密。解密时,先在云服务器上完成部分解密,再在用户客户端上完成最后的解密工作。
云服务器解密。共享情况下解密基于文件共享访问结构树T',叶子节点和非叶子节点有着不同的解密算法。
对于叶子节点x,aj=att(x),其解密算法为:
对于非叶子节点x,解密算法为:
其中,sx为非叶子节点x的所有孩子节点构成的集合,index(z)为叶子节点z在兄弟节点中的排行序号,parent(z)为叶子节点z的父节点,Qx(0)为非叶子节点x对应多项式的常数项。
文件共享访问结构树T'的根节点的解密为:
其中,为文件共享访问结构树T'的根节点对应多项式的常数项。
安全存储情况下只对用户标识符uidi对应的叶子节点解密,其解密算法同于上面叶子节点解密算法,解密结果为:
用户客户端解密。数据所有者或共享用户将密文子项C、 和解密得到的以及授权中心标识符uid0对应的加了密的私钥子项和从云端下载到本地。用私钥解密得到和用它们解密授权中心标识符uid0对应叶子节点得到再利用非叶子节点解密算法解密云文件共享访问结构树的根节点:其中,Qr(0)为云文件共享访问结构树的根节点对应多项式的常数项。解密数据加密密钥kf的算法如下:
用户再利用数据加密密钥kf将文件密文进行解密以恢复文件f。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种公有云环境下的密文共享方法,其特征在于,包括:
初始化:设置安全参数d;授权中心选择一个阶为大素数p的双线性群G0和G1,记G0的生成元为g,对应的双线性映射为e:G0×G0→G1;定义系统所需的属性空间A={a1,a2,…,an}和用户身份空间AID={uid0,uid1,…,uidi,…,uidm},其中,uid0为授权中心标识符,uidi为数据所有者标识符;定义一个哈希函数H:{0,1}*→G0,随机选择α,将系统公钥信息PK={G0,g,gβ,e(g,g)α}发往云服务器并公开,数据所有者秘密保存主私钥MK={gα,β},其中,为大素数p的剩余类集合中与大素数p互素的元素构成的集合;
生成用户私钥:授权中心为用户Ui分配一对公私钥将发往云服务器并公开,由用户秘密保存,其中,为用户Ui的公钥,为用户Ui的私钥;设用户Ui对应的属性集合为令w=w'∪{uid0,uidi},随机选择对于每个元素aj∈w',随机选择生成私钥 将私钥保存在云端的用户私钥表中,其中,授权中心标识符uid0对应的私钥子项用用户Ui的公钥加密保存;
加密:包括对文件进行安全存储和密文共享;
解密:包括云服务器解密和用户客户端解密。
2.根据权利要求1所述的公有云环境下的密文共享方法,其特征在于,对文件进行安全存储包括:
用户客户端使用对称加密算法和数据加密密钥kf加密文件获得数据密文其中,f为需要安全存储的文件;
为安全存储访问结构树T的根节点随机选择一个一元一次多项式Qr(x)和使得s=Qr(0),Qr(1)为安全存储访问结构树T左子树根节点的取值,Qr(2)为安全存储访问结构树T右子树根节点的取值;
计算数据加密密钥的密文为
用户客户端将数据密文数据加密密钥的密文CT和安全存储访问结构树T左子树根节点的取值Qr(1)上传到云端;
云服务器收到用户客户端上传的数据后,计算数据所有者标识符uidi对应叶子节点的密文子项和并将数据密文和数据加密密钥kf的所有密文子项和安全存储访问结构树T左子树根节点的取值Qr(1)保存到对应于数据所有者的存储空间;
在文件安全存储而不共享的情况下,数据加密密钥kf的完整密文为C=hs,
3.根据权利要求2所述的公有云环境下的密文共享方法,其特征在于,安全存储访问结构树T的根节点操作符为AND,安全存储访问结构树T的左孩子节点代表数据所有者标识符uidi,安全存储访问结构树T的右孩子节点代表授权中心标识符uid0。
4.根据权利要求2所述的公有云环境下的密文共享方法,其特征在于,密文共享包括:
数据所有者根据访问逻辑表达式构建并上传文件共享访问结构树T';
云服务器根据文件共享访问结构树T'将安全存储访问结构树T改造为云文件共享访问结构树;
为云文件共享访问结构树每个叶子节点赋值其中,LT'表示文件共享访问结构树T'的叶子节点的集合:令文件共享访问结构树T'的根节点对应的秘密共享数为Qr(1);对于任意非根节点x且其父节点操作符为AND,Qx(0)=Qparent(x)(index(x)),parent(x)为非根节点x的父节点,index(x)为非根节点x在兄弟节点中的排行序号;对于任意非根节点x且其父节点操作符为OR,Qx(0)=Qparent(x)(0);
计算文件共享访问结构树T'对应的密文子项为:
其中,att()用于求叶子节点对应的属性;
数据加密密钥kf完整的共享密文为C=hs,
5.根据权利要求4所述的公有云环境下的密文共享方法,其特征在于,云服务器根据文件共享访问结构树T'将安全存储访问结构树T改造为云文件共享访问结构树包括:
新建OR节点,用新建OR节点替代安全存储访问结构树T中数据所有者标识符uidi对应的节点,数据所有者标识符uidi对应的节点成为新建OR节点的左孩子,文件共享访问结构树T'成为新建OR节点的右子树。
6.根据权利要求4所述的公有云环境下的密文共享方法,其特征在于,云服务器解密包括:
对于叶子节点x,解密算法为
对于非叶子节点x,解密算法为
其中,sx为非叶子节点x的所有孩子节点构成的集合,index(z)为叶子节点z在兄弟节点中的排行序号,parent(z)为叶子节点z的父节点,Qx(0)为非叶子节点x对应多项式的常数项;
文件共享访问结构树T'的根节点的解密为其中,为文件共享访问结构树T'的根节点对应多项式的常数项。
7.根据权利要求6所述的公有云环境下的密文共享方法,其特征在于,用户客户端解密包括:
数据所有者或共享用户将密文子项C、解密得到的以及授权中心标识符uid0对应的加了密的私钥子项和从云端下载到本地;
用私钥解密得到和
用和解密授权中心标识符uid0对应叶子节点得到
利用非叶子节点解密算法解密云文件共享访问结构树的根节点:
其中,Qr(0)为云文件共享访问结构树的根节点对应多项式的常数项;
解密数据加密密钥kf的算法为:
用户再利用数据加密密钥kf将文件密文进行解密以恢复文件f。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611129174.3A CN106506155B (zh) | 2016-12-09 | 2016-12-09 | 公有云环境下的密文共享方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611129174.3A CN106506155B (zh) | 2016-12-09 | 2016-12-09 | 公有云环境下的密文共享方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106506155A true CN106506155A (zh) | 2017-03-15 |
CN106506155B CN106506155B (zh) | 2019-07-05 |
Family
ID=58330844
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611129174.3A Expired - Fee Related CN106506155B (zh) | 2016-12-09 | 2016-12-09 | 公有云环境下的密文共享方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106506155B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107360252A (zh) * | 2017-08-16 | 2017-11-17 | 上海海事大学 | 一种异构云域授权的数据安全访问方法 |
CN107528848A (zh) * | 2017-09-04 | 2017-12-29 | 上海海事大学 | 一种云存储系统的敏感数据安全共享和自毁方法 |
CN107666479A (zh) * | 2017-08-02 | 2018-02-06 | 上海壹账通金融科技有限公司 | 信息加密解密方法、装置、计算机设备和存储介质 |
CN110446108A (zh) * | 2019-06-28 | 2019-11-12 | 中国传媒大学 | 一种媒体云系统及视频加密、解密方法 |
CN111010283A (zh) * | 2019-12-20 | 2020-04-14 | 北京同邦卓益科技有限公司 | 用于生成信息的方法和装置 |
CN112019540A (zh) * | 2020-08-27 | 2020-12-01 | 莫毓昌 | 一种面向云计算环境的数据安全共享方法 |
CN112291053A (zh) * | 2020-11-06 | 2021-01-29 | 中国科学院重庆绿色智能技术研究院 | 一种基于格与基本访问树的cp-abe方法 |
CN112883399A (zh) * | 2021-03-11 | 2021-06-01 | 郑州信大捷安信息技术股份有限公司 | 一种用于实现加密文件安全共享的方法及系统 |
US11316662B2 (en) * | 2018-07-30 | 2022-04-26 | Koninklijke Philips N.V. | Method and apparatus for policy hiding on ciphertext-policy attribute-based encryption |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105208007A (zh) * | 2015-08-26 | 2015-12-30 | 中标软件有限公司 | 一种数据共享系统 |
CN105491006A (zh) * | 2015-11-13 | 2016-04-13 | 河南师范大学 | 云外包密钥共享装置及方法 |
US20160241399A1 (en) * | 2013-03-15 | 2016-08-18 | Arizona Board Of Regents On Behalf Of Arizona State University | Efficient Privacy-Preserving Ciphertext-Policy Attribute Based Encryption and Broadcast Encryption |
-
2016
- 2016-12-09 CN CN201611129174.3A patent/CN106506155B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160241399A1 (en) * | 2013-03-15 | 2016-08-18 | Arizona Board Of Regents On Behalf Of Arizona State University | Efficient Privacy-Preserving Ciphertext-Policy Attribute Based Encryption and Broadcast Encryption |
CN105208007A (zh) * | 2015-08-26 | 2015-12-30 | 中标软件有限公司 | 一种数据共享系统 |
CN105491006A (zh) * | 2015-11-13 | 2016-04-13 | 河南师范大学 | 云外包密钥共享装置及方法 |
Non-Patent Citations (2)
Title |
---|
HONG-CHUN JIANG 等: "Enabling public and privacy-preserving auditability for cloud storage", 《2016 INTERNATIONAL CONFERENCE ON MACHINE LEARNING AND CYBERNETICS (ICMLC)》 * |
冯朝胜 等: "云数据安全存储技术", 《计算机学报》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107666479A (zh) * | 2017-08-02 | 2018-02-06 | 上海壹账通金融科技有限公司 | 信息加密解密方法、装置、计算机设备和存储介质 |
WO2019024230A1 (zh) * | 2017-08-02 | 2019-02-07 | 上海壹账通金融科技有限公司 | 信息加密解密方法、装置、计算机设备和存储介质 |
CN107360252B (zh) * | 2017-08-16 | 2020-03-24 | 上海海事大学 | 一种异构云域授权的数据安全访问方法 |
CN107360252A (zh) * | 2017-08-16 | 2017-11-17 | 上海海事大学 | 一种异构云域授权的数据安全访问方法 |
CN107528848A (zh) * | 2017-09-04 | 2017-12-29 | 上海海事大学 | 一种云存储系统的敏感数据安全共享和自毁方法 |
CN107528848B (zh) * | 2017-09-04 | 2020-04-28 | 上海海事大学 | 一种云存储系统的敏感数据安全共享和自毁方法 |
US11316662B2 (en) * | 2018-07-30 | 2022-04-26 | Koninklijke Philips N.V. | Method and apparatus for policy hiding on ciphertext-policy attribute-based encryption |
CN110446108B (zh) * | 2019-06-28 | 2022-04-22 | 中国传媒大学 | 一种媒体云系统及视频加密、解密方法 |
CN110446108A (zh) * | 2019-06-28 | 2019-11-12 | 中国传媒大学 | 一种媒体云系统及视频加密、解密方法 |
CN111010283A (zh) * | 2019-12-20 | 2020-04-14 | 北京同邦卓益科技有限公司 | 用于生成信息的方法和装置 |
CN112019540B (zh) * | 2020-08-27 | 2022-03-11 | 莫毓昌 | 一种面向云计算环境的数据安全共享方法 |
CN112019540A (zh) * | 2020-08-27 | 2020-12-01 | 莫毓昌 | 一种面向云计算环境的数据安全共享方法 |
CN112291053A (zh) * | 2020-11-06 | 2021-01-29 | 中国科学院重庆绿色智能技术研究院 | 一种基于格与基本访问树的cp-abe方法 |
CN112883399A (zh) * | 2021-03-11 | 2021-06-01 | 郑州信大捷安信息技术股份有限公司 | 一种用于实现加密文件安全共享的方法及系统 |
CN112883399B (zh) * | 2021-03-11 | 2022-03-25 | 郑州信大捷安信息技术股份有限公司 | 一种用于实现加密文件安全共享的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN106506155B (zh) | 2019-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106506155B (zh) | 公有云环境下的密文共享方法 | |
CN104486315B (zh) | 一种基于内容属性的可撤销密钥外包解密方法 | |
CN105025012B (zh) | 面向云存储服务平台的访问控制系统及其访问控制方法 | |
CN105100083B (zh) | 一种隐私保护且支持用户撤销的基于属性加密方法和系统 | |
CN104363215B (zh) | 一种基于属性的加密方法和系统 | |
CN107359986A (zh) | 可撤销用户的外包加解密cp‑abe方法 | |
Zaghloul et al. | P-MOD: Secure privilege-based multilevel organizational data-sharing in cloud computing | |
CN107634829A (zh) | 基于属性的可搜索加密电子病历系统及加密方法 | |
CN109768858A (zh) | 云环境下基于多授权的属性加密访问控制系统及设计方法 | |
CN108881314A (zh) | 雾计算环境下基于cp-abe密文访问控制实现隐私保护的方法及系统 | |
CN106127075A (zh) | 一种云存储环境下基于隐私保护的可搜索加密方法 | |
CN104468615A (zh) | 基于数据共享的文件访问和修改权限控制方法 | |
CN106657059A (zh) | 一种具有访问控制功能的数据库查询方法和系统 | |
CN106656997B (zh) | 一种基于移动社交网络代理重加密跨域交友隐私保护方法 | |
CN108322447A (zh) | 云环境下的数据共享方法及系统、终端和云服务器 | |
CN106059768A (zh) | 抵抗重加密密钥泄露的属性可撤销加密系统及方法 | |
CN107040374A (zh) | 一种云存储环境下支持用户动态撤销的属性基数据加密方法 | |
CN108632385B (zh) | 基于时间序列的多叉树数据索引结构云存储隐私保护方法 | |
CN106612169A (zh) | 云环境下一种安全的数据共享方法 | |
CN104883254A (zh) | 面向云计算平台的密文访问控制系统及其访问控制方法 | |
CN107181590A (zh) | 策略隐藏和外包解密下的抗泄露cp‑abe方法 | |
CN108462575A (zh) | 基于无可信中心门限混合加密的上传数据加密方法 | |
CN109361644A (zh) | 一种支持快速搜索和解密的模糊属性基加密方法 | |
CN106059765A (zh) | 一种云环境下基于属性密码的数字虚拟资产访问控制方法 | |
CN108989037A (zh) | 一种多授权属性基加密方法、系统、设备及计算机介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190705 |