CN106612175A - 移动云中多要素访问控制的代理重加密算法 - Google Patents
移动云中多要素访问控制的代理重加密算法 Download PDFInfo
- Publication number
- CN106612175A CN106612175A CN201610836592.XA CN201610836592A CN106612175A CN 106612175 A CN106612175 A CN 106612175A CN 201610836592 A CN201610836592 A CN 201610836592A CN 106612175 A CN106612175 A CN 106612175A
- Authority
- CN
- China
- Prior art keywords
- data
- encryption
- access control
- behalf
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Abstract
移动云中多要素访问控制的代理重加密算法,内容管理服务器负责对处理用户请求;数据管理服务器负责存储加密后的数据;代理加密服务器负责对数据的代理重加密;重加密密钥管理服务器基于用户的客观访问控制条件进行策略的匹配并生成重加密密钥,同时负责对整个系统重加密密钥的管理。用户可使用相关的移动终端进行对数据的访问和使用,访问形式可以多样化。资源所有者负责数据的产生、初始数据的加密,其产生的数据包含数据内容密文、策略描述及重加密密钥生成所需信息,上述数据分别发送至内容服务器和重加密密钥管理服务器。本发明实现了在移动云计算环境下数据多要素访问控制与数据加解密管理的结合,为移动云计算环境下数据的安全奠定基础。
Description
技术领域
本发明涉及移动云的信息安全、移动云信息加密技术领域。
背景技术
云计算已经成为了目前信息化发展的主要趋势。随着各类云服务的涌现,云计算技术正在改变着人们的生产和生活方式。
移动通信的飞速发展和移动终端的智能化、多元化,使越来越多的用户选择使用智能移动终端。移动终端的设计研发也开始面向云计算这一广阔的领域。因为移动终端设备便携式、可移动的特点,所以使用户在访问时所处的环境、时态不可控;移动终端的智能化和普及化导致用户群体庞大、管理困难;因此,在移动云计算环境下,数据安全管理需要考虑多级化、细粒度化,以及访问控制多要素化、动态化等一系列问题。
移动云计算环境面临着用户分类模糊、资源数量巨大、访问管理复杂等问题。首先,移动云计算应用范围广泛,用户可通过移动终端实现对云端数据的使用。其次,移动云中的资源由创建者打包、封装并上传,其后将管理权交由云平台,数据的所有者不再对数据进行管理和控制。再者,在数据运维管理过程中,存在由于容灾备份或者用户使用引起的数据跨云迁移和流通,通常数据以完全加密或部分加密的形式进行传输。最后,云端数据由用户或CSP创建后,托管到云平台,依据用途不同,被部署到不同行业的私有云或公有云中,由不同的云平台负责数据使用、维护、访问控制和销毁等管理。用户则通过移动终端经由随机的网络,在任意时间向云平台提出对数据的访问请求。
发明内容
针对上述问题,本发明提出了一种移动云中多要素访问控制的代理重加密算法。
为解决上述问题,本发明提出了以下技术方案:
内容管理服务器负责对处理用户请求;数据管理服务器负责存储加密后的数据;代理加密服务器负责对数据的代理重加密;重加密密钥管理服务器基于用户的客观访问控制条件进行策略的匹配并生成重加密密钥,同时负责对整个系统重加密密钥的管理。用户可使用相关的移动终端进行对数据的访问和使用,访问形式可以多样化。资源所有者负责数据的产生、初始数据的加密,其产生的数据包含数据内容密文、策略描述及重加密密钥生成所需信息,上述数据分别发送至内容服务器和重加密密钥管理服务器。具体步骤如下:
步骤1:系统初始化,建立参数。
步骤2:初始密钥生成。
步骤3:数据加密及加密算法。
步骤4:代理重加密密钥生成。
步骤5:代理重加密对数据进行加密。
步骤6:用户i解密滋生公钥加密的密文获取明文。
步骤7:用户j解密条件加密后的密文获取明文m。
本发明的有益效果是:
1、实现了在移动云计算环境下数据多要素访问控制与数据加解密管理的有机结合,为移动云计算环境下数据的安全、可信保障奠定基础。
具体实施方式
移动云中多要素访问控制的代理重加密算法,其主要特征是:以i表示为数据创建者,其数据在云服务器上发布,j为数据访问者,向服务器请求访问数据创建者i所创建的数据,算法包括以下七个步骤:
步骤1:系统初始化,建立参数
选取长度的K的素数p,群G1,G2为乘法循环群,定义双线性映射e:G1×G1→G2,g为G1的生成元,四个散列函数:
H1:{0,1}*→G1
H2:
H3:G3→{0,1}l
H4:{0,1}*→G1
公钥PK={p,G1,G2,g,Hi(i=1,L,4),{0,1}*是访问条件。
步骤2:初始密钥生成
选取xi,则可以定义:
同理:
步骤3:数据加密及加密算法
数据创建者i使用公钥pki加密明文信息m,选取k∈G2,计算:
r=H2(m||k)
则有密文Ci=(c1,c2,c3,c4,c5),其中:
c1=gr
c2=ke(pki,H1(pki))r
c4=H1(pki)
c5=H4(c1||c2||c3||c4)r
步骤4:代理重加密密钥生成
代理重加密的密钥时多要素访问控制条件,将其分为主体条件和客体条件,其中主体条件包括角色、时态、环境、多级安全属性,客体条件是名称、有效期、生命周期、安全属性,将他们用数据描述语言(XML)进行结构描述,解析产生主体访问控制条件和客体访问控制条件,其后分别生成数据摘要,生成指定长度的主体条件摘要Hsc和客体条件摘要Hoc,对生成的摘要进行数据的连接和散列等运算,产生指定长度的重加密密钥生成算法参数condition,完成多要素访问控制条件在重加密密钥生成中的构造和描述。
代理重加密密钥用来表示,是由i到j基于条件condition的代理重加密密钥,是关于sk、pkj、condition的函数,所以将其定义为:
步骤5:代理重加密对数据进行加密
对密文Ci重新加密,生成可以被skj所解密的密文Cj,当e(c1,H4(c1||c2||c3||c4))=e(g,c5)时,进行加密运算:
若e(c1,H4(c1||c2||c3||c4))≠e(g,c5),则反馈错误。
步骤6:用户i解密滋生公钥加密的密文获取明文
若e(c1,H4(c1||c2||c3||c4))=e(g,c5),则可以进行解密计算,然后输出明m;算法如下:
计算计算明文计算r=H2(m||k),若c1=gr且则输出明文。
步骤7:用户j解密条件加密后的密文获取明文m
若则进行解密计算:
计算:
计算:r=H2(m||k),若且则输出条件解密结果,若则返回错误。
在本发明算法中,由于若云计算平台上的服务器与访问者合谋计算出授权方的私钥则等同于离散对数问题的求解。因此加密代理与解密方很难共谋实现密钥的窃取,该方案具有主密钥安全性。
Claims (4)
1.移动云中多要素访问控制的代理重加密算法,本发明涉及移动云的信息安全、移动云信息加密技术领域,其特征是,包括如下步骤:
步骤1:系统初始化,建立参数
步骤2:初始密钥生成
步骤3:数据加密及加密算法
步骤4:代理重加密密钥生成
步骤5:代理重加密对数据进行加密
步骤6:用户i解密滋生公钥加密的密文获取明文
步骤7:用户j解密条件加密后的密文获取明文m。
2.根据权利要求1中所述的移动云中多要素访问控制的代理重加密算法,其特征是,以上所述步骤4中的具体阐述过程如下:
步骤4:代理重加密密钥生成
代理重加密的密钥时多要素访问控制条件,将其分为主体条件和客体条件,其中主体条件包括角色、时态、环境、多级安全属性,客体条件是名称、有效期、生命周期、安全属性,将他们用数据描述语言(XML)进行结构描述,解析产生主体访问控制条件和客体访问控制条件,其后分别生成数据摘要,生成指定长度的主体条件摘要Hsc 和客体条件摘要Hoc,对生成的摘要进行数据的连接和散列等运算,产生指定长度的重加密密钥生成算法参数condition,完成多要素访问控制条件在重加密密钥生成中的构造和描述
代理重加密密钥用来表示,是由i到j基于条件condition的代理重加密密钥,是关于sk、的函数,所以将其定义为:
。
3.根据权利要求1中所述的移动云中多要素访问控制的代理重加密算法,其特征是,以上所述步骤5中的计算过程如下:
步骤5:代理重加密对数据进行加密
对密文重新加密,生成可以被所解密的密文, 当,进行加密运算:
若则反馈错误。
4.根据权利要求1中所述的移动云中多要素访问控制的代理重加密算法,其特征是,以上所述步骤7中的具体计算过程如下:
步骤7:用户j解密条件加密后的密文获取明文m
若则进行解密计算:
计算:
计算:若则输出条件解密结果,若则返回错误
在本发明算法中,由于若云计算平台上的服务器与访问者合谋计算出授权方的私钥则等同于离散对数问题的求解,因此加密代理与解密方很难共谋实现密钥的窃取,该方案具有主密钥安全性。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610728311 | 2016-08-25 | ||
CN2016107283119 | 2016-08-25 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106612175A true CN106612175A (zh) | 2017-05-03 |
Family
ID=58615293
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610836592.XA Pending CN106612175A (zh) | 2016-08-25 | 2016-09-21 | 移动云中多要素访问控制的代理重加密算法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106612175A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108600217A (zh) * | 2018-04-23 | 2018-09-28 | 南京理工大学 | 一种云端基于代理重加密的数据授权确定性更新方法 |
CN109831444A (zh) * | 2019-02-28 | 2019-05-31 | 南京邮电大学 | 一种基于代理的属性加密云存储访问控制方法 |
CN110300104A (zh) * | 2019-06-21 | 2019-10-01 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
CN110391901A (zh) * | 2019-07-05 | 2019-10-29 | 南京理工大学 | 一种支持复杂访问控制要素描述的代理重加密方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102546600A (zh) * | 2011-12-20 | 2012-07-04 | 华为技术有限公司 | 基于代理的加密、解密方法,网络设备、网络装置及系统 |
US20140269403A1 (en) * | 2013-03-15 | 2014-09-18 | International Business Machines Corporation | Coherent Load monitoring of physical and virtual networks with synchronous status acquisition |
US20150073812A1 (en) * | 2011-11-18 | 2015-03-12 | Sirius Xm Radio Inc. | Server side crossfading for progressive download media |
CN105850071A (zh) * | 2014-01-14 | 2016-08-10 | 三菱电机株式会社 | 加密系统、重加密密钥生成装置、重加密装置和加密程序 |
CN105871551A (zh) * | 2016-06-22 | 2016-08-17 | 江苏迪纳数字科技股份有限公司 | 基于代理重加密的用户撤销访问控制方法 |
-
2016
- 2016-09-21 CN CN201610836592.XA patent/CN106612175A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150073812A1 (en) * | 2011-11-18 | 2015-03-12 | Sirius Xm Radio Inc. | Server side crossfading for progressive download media |
CN102546600A (zh) * | 2011-12-20 | 2012-07-04 | 华为技术有限公司 | 基于代理的加密、解密方法,网络设备、网络装置及系统 |
US20140269403A1 (en) * | 2013-03-15 | 2014-09-18 | International Business Machines Corporation | Coherent Load monitoring of physical and virtual networks with synchronous status acquisition |
CN105850071A (zh) * | 2014-01-14 | 2016-08-10 | 三菱电机株式会社 | 加密系统、重加密密钥生成装置、重加密装置和加密程序 |
CN105871551A (zh) * | 2016-06-22 | 2016-08-17 | 江苏迪纳数字科技股份有限公司 | 基于代理重加密的用户撤销访问控制方法 |
Non-Patent Citations (1)
Title |
---|
苏铓: "面向移动云计算的多要素代理重加密方案", 《通信学报》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108600217A (zh) * | 2018-04-23 | 2018-09-28 | 南京理工大学 | 一种云端基于代理重加密的数据授权确定性更新方法 |
CN109831444A (zh) * | 2019-02-28 | 2019-05-31 | 南京邮电大学 | 一种基于代理的属性加密云存储访问控制方法 |
CN110300104A (zh) * | 2019-06-21 | 2019-10-01 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
CN110300104B (zh) * | 2019-06-21 | 2021-10-22 | 山东超越数控电子股份有限公司 | 一种边缘云场景下用户权限控制与转移方法及系统 |
CN110391901A (zh) * | 2019-07-05 | 2019-10-29 | 南京理工大学 | 一种支持复杂访问控制要素描述的代理重加密方法 |
CN110391901B (zh) * | 2019-07-05 | 2021-09-21 | 南京理工大学 | 一种支持复杂访问控制要素描述的代理重加密方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108600217B (zh) | 一种云端基于代理重加密的数据授权确定性更新方法 | |
CN104486315B (zh) | 一种基于内容属性的可撤销密钥外包解密方法 | |
CN114065265B (zh) | 基于区块链技术的细粒度云存储访问控制方法、系统及设备 | |
Moffat et al. | A survey on ciphertext-policy attribute-based encryption (CP-ABE) approaches to data security on mobile devices and its application to IoT | |
WO2016197680A1 (zh) | 面向云存储服务平台的访问控制系统及其访问控制方法 | |
CN108632030B (zh) | 一种基于cp-abe的细粒度访问控制方法 | |
CN104717297A (zh) | 一种安全云存储方法及系统 | |
CN102655508A (zh) | 云环境下的用户隐私数据保护方法 | |
CN108111540A (zh) | 一种云存储中支持数据共享的分层访问控制系统及方法 | |
CN106612175A (zh) | 移动云中多要素访问控制的代理重加密算法 | |
CN109327448B (zh) | 一种云端文件共享方法、装置、设备及存储介质 | |
CN109617855B (zh) | 基于cp-abe分层访问控制的文件共享方法、装置、设备及介质 | |
CN105915333B (zh) | 一种基于属性加密的高效密钥分发方法 | |
Zhou et al. | Data security accessing for HDFS based on attribute-group in cloud computing | |
CN114697042A (zh) | 一种基于区块链的物联网安全数据共享代理重加密方法 | |
CN114143072A (zh) | 一种基于cp-abe的属性撤销优化方法及系统 | |
Ding et al. | Policy based on homomorphic encryption and retrieval scheme in cloud computing | |
CN113055164A (zh) | 一种基于国密的密文策略属性加密算法 | |
CN117097469A (zh) | 一种基于属性加密的数据分层访问控制方法 | |
CN114244567B (zh) | 一种云环境中支持电路结构的cp-abe方法 | |
CN110391901B (zh) | 一种支持复杂访问控制要素描述的代理重加密方法 | |
CN114490551A (zh) | 基于联盟链的文件安全外包与共享方法 | |
Lin et al. | A secure fine-grained access control mechanism for networked storage systems | |
Ge et al. | A secure fine-grained identity-based proxy broadcast re-encryption scheme for micro-video subscribing system in clouds | |
CN115604036B (zh) | 一种基于改进cp-abe的电子病历隐私保护系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170503 |