CN106612271A - 一种用于云存储的加密和访问控制方法 - Google Patents

一种用于云存储的加密和访问控制方法 Download PDF

Info

Publication number
CN106612271A
CN106612271A CN201610342893.7A CN201610342893A CN106612271A CN 106612271 A CN106612271 A CN 106612271A CN 201610342893 A CN201610342893 A CN 201610342893A CN 106612271 A CN106612271 A CN 106612271A
Authority
CN
China
Prior art keywords
access control
encryption
access
data
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610342893.7A
Other languages
English (en)
Inventor
范勇
胡成华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Yonglian Information Technology Co Ltd
Original Assignee
Sichuan Yonglian Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Yonglian Information Technology Co Ltd filed Critical Sichuan Yonglian Information Technology Co Ltd
Priority to CN201610342893.7A priority Critical patent/CN106612271A/zh
Publication of CN106612271A publication Critical patent/CN106612271A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出了一种用于云存储的加密和访问控制方法,该方法用双线性对称加密算法对明文数据进行加密,得到数据密文;其次对对称密钥采取再次加密,生成密钥密文;最后,将数据密文和密钥密文按照系统设计格式保存至云存储中,当用户需要对存储数据访问时,采用访问控制结构的策略规则控制用户的多重权限,只有当访问者的主题属性通过访问规则策略控制,才可以访问密钥密文,才能解密密钥密文得到对称密钥用以解密密文得到数据明文,策略规则可以从加密方法访问控制结构树转换来,也可以单独进行添加和修改。

Description

一种用于云存储的加密和访问控制方法
所属领域
本发明涉及云存储,云加密,访问控制技术领域。
背景技术
随着云技术的发展,云存储服务面向越来越多的用户,用户随时随地远程访问存储在云空间中的数据,其成本低、易于使用和接口高扩展性在商业中也受到了广泛应用和关注,然后,用户在享受这种便利的同时,也面临数据存储脱离自身控制,产生了安全问题,许多著名的云服务商也面临过云存储的安全问题,导致了严重的后果,所以云存储的安全问题是当下研究的热点。
访问控制是实现用户数据机密性和进行隐私保护的主要工具之一,然而云存储的外包存储服务模式导致特权用户的存在,其具有非授权访问用户数据的权利,导致用户数据信息和隐私泄露等内部攻击问题。
针对上述安全问题,现有技术引入基于模糊身份加密的加密访问控制技术。一种方法是将用户私钥关联到访问控制结构树,密文关联到属性集,若用户的属性集满足访问控制树,则该用户可以解密数据,否则,该用户无法解密数据。另一种方法是将用户私钥关联到属性集,密文关联到访问控制树,属性集满足该访问控制树的用户具有解密数据的能力,上述方案中的加密者不能直接控制哪些用户能访问密文数据,还需要继续进行深入研究。
发明内容
针对现有技术存在的上述问题,本发明提出一种用于云存储的加密和访问控制方法,本方法由加密算法的访问控制结构树转为策略规则,应用访问控制架构实现细粒度多权限访问控制机制。
本发明所采用的技术方案是:一种用于云存储的加密和访问控制方法,首先,该方法用双线性对称加密算法对明文数据进行加密,得到数据密文;其次对对称密钥采取再次加密,生成密钥密文;最后,将数据密文和密钥密文按照系统设计格式保存至云存储中,当用户需要对存储数据访问时,采用访问控制结构的策略规则控制用户的多重权限,只有当访问者的主题属性通过访问规则策略控制,才可以访问密钥密文,才能解密密钥密文得到对称密钥用以解密密文得到数据明文,策略规则可以从加密方法访问控制结构树转换来,也可以单独进行添加和修改。
本发明的有益效果是:该方法结合加密手段和访问结构控制,保证只有合法用户在权限范围内才能访问、操作资源,保障了数据的机密性,同时对合谋攻击具有更好的抗性,并且该访问控制方案具有后向安全性。
具体实施方式
本方法由加密算法的访问控制结构树转为策略规则,应用访问控制架构实现细粒度多权限访问控制机制,只有当访问者的主题属性通过访问规则策略控制,才可以访问密钥密文和解密密钥密文得到对称密钥用以解密密文得到数据明文,策略规则可以从加密方法访问控制结构树转换来。
加密方案中采用属性加密的方式,属性包括主体属性、资源属性和环境属性,主体属性包括用户名、用户ID、用户所在企业名称部门职位等用户固有属性,资源属性包括资源名称、主题、资源大小、创建者等,环境属性包括时间、网络、资源使用率等。
该方法的具体实施步骤如下:
步骤1:生成主密钥MK和公共参数PK
设G和GT是p(p为素数)阶的群,他们之间存在可有效计算的双线性映射e:G×G→GT,在映射中,若a,b∈Zp和g,h∈G,满足e(ga,hb)=e(g,h)ab,并且存在g,h∈G使e(g,h)≠1,也就是不是所有G×G的元素都能映射到GT中,但是g,h∈G,e(g,h)都是可有效计算的;
设P={P1,P2,…,Pn}为所有属性集合,某个用户u的属性集合A是P的非空子集,则N个属性是可以区别2N个用户的;
设主密钥为MK,公共参数为PK,如果
|Pr[β(g,ga,gb,gs,e(g,g)abs)=0-Pr[β(g,ga,gb,gs,z)=0|≥ε
则有:
PK={G0,g,h=gβ,e(g,g)α}
MK=(β,gα)
其中,G0为生成元,α,β∈Zp,b∈{0,1}
使用MK和用户属性集A生成用户密码SK
SK=(PK,M,T),T为访问结构树,M为明文数据。
步骤2:数据上传时加密处理:
设DO为文件F的唯一标识号,随机选择对称密钥KeyF加密F得到密文CF,DO制定访问控制结构树T并调用1)中的加密算法,加密对称密钥KeyF得到密文密钥CT;
设Y是访问结构树T所有叶子节点的集合,r为访问结构树T的根节点,节点t的门限值为kt,qt为节点t生成一个kt-1次的随机多项式;qt(0)代表该节点的私密属性;定义函数ind(x)返回节点的索引编号,函数par(x)为返回节点x的父节点,函数att(y)为叶子节点对应的属性,随机参数s∈Zp,令qt(0)=s,则qx(0)=q(ind(x)),此时可以得到密钥密文为:
数据加密后上传到云服务器,存储方式为:(IDF,CF,CT);云服务提供商根据DO上传数据中的访问控制树T,解析并生成策略规则文件并存储于策略数据库中。
步骤3:数据访问过程的解密处理
用户申请访问数据时,首先云服务器验证用户的有效性,有效则对用户的数据访问请求按照访问策略进行决策,否则拒绝访问,用户通过验证后,根据用户主题属性集A生成对应的私人访问密钥SK:
SK=(D=g(α+γ)/β其中随机参数γ∈Zp,属性j∈A;
执行解密算法得到对称密钥KeyF,使用该密钥解密密文得到明文,解密过程为:
(1)一种情况:定义归运算DecryptNode(CT,SK,x),令i=attr(y),每个叶子节点为x时的计算:
1):当i不属于A时DecryptNode(CT,SK,x)=⊥;
2):当i属于A时,
(2)另一种情况:对于非叶子节点z,利用kx个叶子节点DecryptNode(CT,SK,x)作为拉格朗日插值定理的插值点,计算得到
访问控制树T的根节点R,令则解密明文
得到明文后,用户可以自由浏览数据,操作数据。
步骤4:用户访问权限变更
对于用户变更或者撤销对文件的访问权限,可以通过跟新文件的访问控制策略,在访问控制结构树T上进行修改,生成新的对称密钥进行加密,重加密方案采用云服务器端代理重加密机制。

Claims (5)

1.一种用于云存储的加密和访问控制方法,该方法涉及云存储,云加密,访问控制技术领域,其主要特征是:该方法由加密算法的访问控制结构树转为策略规则,应用访问控制架构实现细粒度多权限访问控制机制,只有当访问者的主题属性通过访问规则策略控制,才可以访问密钥密文和解密密钥密文得到对称密钥用以解密密文得到数据明文,策略规则可以从加密方法访问控制结构树转换来,该方法主要包括以下几个步骤:
步骤一:生成主密钥MK和公共参数PK;
步骤二:数据上传时加密处理;
步骤三:数据访问过程的解密处理;
步骤四:用户访问权限变更。
2.根据权利要求1所述的一种用于云存储的加密和访问控制方法,其特征是:步骤一中主密钥和公共参数PK的生成方法为:
设G和是p(p为素数)阶的群,他们之间存在可有效计算的双线性映射,并且存在,也就是不是所有的元素都能映射到中,但是都是可有效计算的;
为所有属性集合,某个用户u的属性集合A是P的非空子集,则N个属性是可以却别个用户的;
设主密钥为MK,公共参数为PK,如果:
则有:
3.根据权利要求1所述的一种用于云存储的加密和访问控制方法,其特征是:步骤二中,数据上传时加密处理的方法为:
设DO为文件F的唯一标识号,随机选择对称密钥加密F得到密文,DO制定访问控制结构树T并调用1)中的加密算法,加密对称密钥得到密文密钥CT;
设Y施访问结构树T所有叶子节点的集合,r为访问结构树T的根节点,节点t的门限值为为节点t生成一个次的随机多项式,代表该节点的私密属性;定义函数ind(x)返回节点的索引编号,函数par(x)为返回节点x的父节点,函数att(y)为叶子节点对应的属性,随机参数,令,此时可以得到密钥密文为:
数据加密后上传到云服务器,存储方式为:;云服务提供商根据DO上传数据中的访问控制树T,解析并生成策略规则文件并存储于策略数据库中。
4.根据权利要求1所述的一种用于云存储的加密和访问控制方法,其特征是:步骤三中,数据访问过程的解密处理方法为:
首先云服务器验证用户的有效性,有效则对用户的数据访问请求按照访问策略进行决策,否则拒绝访问,用户通过验证后,根据用户主题属性集A生成对应的私人访问密钥SK,
其中随机参数,属性
执行解密算法得到对称密钥,使用该密钥解密密文得到明文,解密过程为:
(1)一种情况:定义归运算DecryptNode(CT,SK,x),令i=attr(y),每个叶子节点为x时的计算:
1):当i不属于A时
2):当i属于A时,
(2)另一种情况:对于非叶子节点z,利用个叶子节点
作为拉格朗日插值定理的插值点,计算得到
访问控制树T的根节点R,令,则解密明文:
得到明文后,用户可以自由浏览数据,操作数据。
5.根据权利要求1所述的一种用于云存储的加密和访问控制方法,其特征是:步骤四用户访问权限变更:对于用户变更或者撤销对文件的访问权限,可以通过跟新文件的访问控制策略,在访问控制结构树T上进行修改,生成新的对称密钥进行加密,重加密方案采用云服务器端代理重加密机制。
CN201610342893.7A 2016-05-20 2016-05-20 一种用于云存储的加密和访问控制方法 Pending CN106612271A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610342893.7A CN106612271A (zh) 2016-05-20 2016-05-20 一种用于云存储的加密和访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610342893.7A CN106612271A (zh) 2016-05-20 2016-05-20 一种用于云存储的加密和访问控制方法

Publications (1)

Publication Number Publication Date
CN106612271A true CN106612271A (zh) 2017-05-03

Family

ID=58614857

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610342893.7A Pending CN106612271A (zh) 2016-05-20 2016-05-20 一种用于云存储的加密和访问控制方法

Country Status (1)

Country Link
CN (1) CN106612271A (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109347833A (zh) * 2018-10-24 2019-02-15 中国科学院信息工程研究所 基于属性加密的用于机器学习环境下的访问控制方法和系统
WO2019080281A1 (zh) * 2017-10-25 2019-05-02 西安邮电大学 一种电子医疗云中的健康档案访问控制系统及方法
CN109842589A (zh) * 2017-11-27 2019-06-04 中兴通讯股份有限公司 一种云存储加密方法、装置、设备及存储介质
CN110012312A (zh) * 2019-03-28 2019-07-12 南京信息工程大学 适于付费电视系统的基于密钥管理的访问控制方法
CN110446108A (zh) * 2019-06-28 2019-11-12 中国传媒大学 一种媒体云系统及视频加密、解密方法
CN110677429A (zh) * 2019-10-10 2020-01-10 青岛大学 一种文件存储的方法、系统、云端设备及终端设备
CN110912691A (zh) * 2019-11-15 2020-03-24 任子行网络技术股份有限公司 一种云环境下基于格上访问控制加密算法的密文分发方法、装置、系统及存储介质
CN112925956A (zh) * 2021-03-25 2021-06-08 广西师范大学 一种物联网大规模时序数据访问控制方法
CN113645206A (zh) * 2021-07-28 2021-11-12 上海纽盾网安科技有限公司 用于不同用户需求的云存储数据访问控制方法及系统
CN113676453A (zh) * 2021-07-17 2021-11-19 中国人民解放军战略支援部队信息工程大学 用于数据资源安全访问的数据加密系统及方法
CN114567483A (zh) * 2022-02-28 2022-05-31 天翼安全科技有限公司 一种数据传输的方法、装置及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104022869A (zh) * 2014-06-17 2014-09-03 西安电子科技大学 基于密钥分片的数据细粒度访问控制方法
CN104468615A (zh) * 2014-12-25 2015-03-25 西安电子科技大学 基于数据共享的文件访问和修改权限控制方法
CN104883254A (zh) * 2015-06-12 2015-09-02 深圳大学 面向云计算平台的密文访问控制系统及其访问控制方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104022869A (zh) * 2014-06-17 2014-09-03 西安电子科技大学 基于密钥分片的数据细粒度访问控制方法
CN104468615A (zh) * 2014-12-25 2015-03-25 西安电子科技大学 基于数据共享的文件访问和修改权限控制方法
CN104883254A (zh) * 2015-06-12 2015-09-02 深圳大学 面向云计算平台的密文访问控制系统及其访问控制方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
关志涛等: "《面向云存储的基于属性加密的多授权中心访问控制方案》", 《通信学报》 *

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019080281A1 (zh) * 2017-10-25 2019-05-02 西安邮电大学 一种电子医疗云中的健康档案访问控制系统及方法
CN109842589A (zh) * 2017-11-27 2019-06-04 中兴通讯股份有限公司 一种云存储加密方法、装置、设备及存储介质
CN109347833B (zh) * 2018-10-24 2020-05-22 中国科学院信息工程研究所 基于属性加密的用于机器学习环境下的访问控制方法和系统
CN109347833A (zh) * 2018-10-24 2019-02-15 中国科学院信息工程研究所 基于属性加密的用于机器学习环境下的访问控制方法和系统
CN110012312B (zh) * 2019-03-28 2021-09-28 南京信息工程大学 适于付费电视系统的基于密钥管理的访问控制方法
CN110012312A (zh) * 2019-03-28 2019-07-12 南京信息工程大学 适于付费电视系统的基于密钥管理的访问控制方法
CN110446108A (zh) * 2019-06-28 2019-11-12 中国传媒大学 一种媒体云系统及视频加密、解密方法
CN110677429A (zh) * 2019-10-10 2020-01-10 青岛大学 一种文件存储的方法、系统、云端设备及终端设备
CN110912691A (zh) * 2019-11-15 2020-03-24 任子行网络技术股份有限公司 一种云环境下基于格上访问控制加密算法的密文分发方法、装置、系统及存储介质
CN112925956A (zh) * 2021-03-25 2021-06-08 广西师范大学 一种物联网大规模时序数据访问控制方法
CN112925956B (zh) * 2021-03-25 2022-03-08 广西师范大学 一种物联网大规模时序数据访问控制方法
CN113676453A (zh) * 2021-07-17 2021-11-19 中国人民解放军战略支援部队信息工程大学 用于数据资源安全访问的数据加密系统及方法
CN113676453B (zh) * 2021-07-17 2023-10-20 中国人民解放军战略支援部队信息工程大学 用于数据资源安全访问的数据加密系统及方法
CN113645206A (zh) * 2021-07-28 2021-11-12 上海纽盾网安科技有限公司 用于不同用户需求的云存储数据访问控制方法及系统
CN114567483A (zh) * 2022-02-28 2022-05-31 天翼安全科技有限公司 一种数据传输的方法、装置及电子设备
CN114567483B (zh) * 2022-02-28 2024-03-29 天翼安全科技有限公司 一种数据传输的方法、装置及电子设备

Similar Documents

Publication Publication Date Title
Zhang et al. Data security and privacy-preserving in edge computing paradigm: Survey and open issues
CN106612271A (zh) 一种用于云存储的加密和访问控制方法
Li et al. A lightweight secure data sharing scheme for mobile cloud computing
Ganapathy A secured storage and privacy-preserving model using CRT for providing security on cloud and IoT-based applications
Dong et al. Achieving an effective, scalable and privacy-preserving data sharing service in cloud computing
Jahid et al. EASiER: Encryption-based access control in social networks with efficient revocation
CN102655508B (zh) 云环境下的用户隐私数据保护方法
Han et al. A data sharing protocol to minimize security and privacy risks of cloud storage in big data era
Chen et al. Efficient decentralized attribute-based access control for cloud storage with user revocation
Huang et al. A hierarchical framework for secure and scalable EHR sharing and access control in multi-cloud
CN104009987A (zh) 一种基于用户身份能力的细粒度云平台安全接入控制方法
CN108111540A (zh) 一种云存储中支持数据共享的分层访问控制系统及方法
CN106209357A (zh) 一种基于云计算平台的密文访问控制系统
CN105933345A (zh) 一种基于线性秘密共享的可验证外包属性基加密方法
CN115426136B (zh) 基于区块链的跨域访问控制方法及系统
Tiwari et al. SecCloudSharing: Secure data sharing in public cloud using ciphertext‐policy attribute‐based proxy re‐encryption with revocation
Dong et al. SECO: Secure and scalable data collaboration services in cloud computing
CN105721146B (zh) 一种面向云存储基于smc的大数据共享方法
KR20120132708A (ko) 클라우드 컴퓨팅 환경에서의 접근 권한 분산 관리 장치 및 그 방법
Xue et al. A blockchain based user subscription data management and access control scheme in mobile communication networks
Zhou et al. Data security accessing for HDFS based on attribute-group in cloud computing
Yang et al. Taac: Temporal attribute-based access control for multi-authority cloud storage systems
Pervez et al. SAPDS: self-healing attribute-based privacy aware data sharing in cloud
Almuzaini et al. Key aggregation cryptosystem and double encryption method for cloud-based intelligent machine learning techniques-based health monitoring systems
Yan et al. Traceable and weighted attribute-based encryption scheme in the cloud environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170503