CN106790312A - 一种基于abe的云存储数据安全共享实现方法 - Google Patents

一种基于abe的云存储数据安全共享实现方法 Download PDF

Info

Publication number
CN106790312A
CN106790312A CN201710207696.9A CN201710207696A CN106790312A CN 106790312 A CN106790312 A CN 106790312A CN 201710207696 A CN201710207696 A CN 201710207696A CN 106790312 A CN106790312 A CN 106790312A
Authority
CN
China
Prior art keywords
data
user
cloud storage
access
implementation method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710207696.9A
Other languages
English (en)
Inventor
孙大军
元河清
朱书杉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Chaoyue Numerical Control Electronics Co Ltd
Original Assignee
Shandong Chaoyue Numerical Control Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Chaoyue Numerical Control Electronics Co Ltd filed Critical Shandong Chaoyue Numerical Control Electronics Co Ltd
Priority to CN201710207696.9A priority Critical patent/CN106790312A/zh
Publication of CN106790312A publication Critical patent/CN106790312A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种基于ABE的云存储数据安全共享实现方法,系统初始化阶段数据的发送方完成基于属性的数据加密存储,上传至云存储系统,当其他人员读取发送方的数据时,首先向PKG提供自身的属性,由PKG验收读取方是否有获取数据的权限,验证通过以后,发送解密密钥给读取方,否则,提示“无访问权限”。借助这种方式,可以有效防止用户(含系统管理员)对云存储数据的未授权访问,实现云存储数据的细粒度访问控制。

Description

一种基于ABE的云存储数据安全共享实现方法
技术领域
本发明涉及一种基于ABE的云存储数据安全共享实现方法,属于云存储安全保密领域。
背景技术
云计算系统借助虚拟机化技术来实现资源的动态分配、弹性部署,虚拟化技术通过对硬件资源的抽象封装实现了系统级的隔离,为不同安全等级的应用和服务提供了互不影响的运行环境,也为系统安全监控软件部署提供了有利条件。云存储是在云计算的基础上实现的具有弹性伸缩能力的存储服务,当用户上传自身明文数据到云存储系统时,明文数据可能会被云存储服务商或者其他恶意用户篡改或破坏;当用户上传自身密文数据到云存储系统时,这种方式不利于数据的共享。
中国专利文献CN103747279A公开了一种云存储共享编码视频加密与访问控制策略更新方法,该方法是在编码视频数据上载到云中之前,将编码视频数据分为关键数据和非关键数据;对关键数据采用CP-ABE进行加密,加密后密文关联了访问控制策略,规定了具有哪些属性的用户能够访问本视频;当更新访问控制策略时,只需要从云中取回关键数据包解密后用新的访问控制策略重新加密;但是,该专利中数据访问者提供个人属性时是明文传输的,明文传输容易受到破坏。
发明内容
针对现有技术的不足,本发明提供了一种基于ABE的云存储数据安全共享实现方法;
本发明解决了现有技术中密文数据的共享问题,能够提供云存储数据的细粒度访问控制,用于多租户的安全数据共享。
术语解释:
ABE,Attribute-Based Encryption,基于属性加密或属性基加密;
PKG,Private-Key-Generator,私钥生成器;
AC-CP,访问策略;
Au,个人属性;
PK,Public Key,公钥;
SK,Secret Key,私钥;
本发明的技术方案为:
一种基于ABE的云存储数据安全共享实现方法,包括:
A、加密发送方上传的数据
当用户上传数据M至云存储系统后,构建对应数据M的访问策略AC-CP,调用Encrypt(PK,M,AC-CP):C,生成密文数据C;
B、用户访问数据
当用户访问数据M时,向PKG提供该用户的属性,用户的属性,例如,中国、山东、济南等;由数据M的发送方发送数据M对应的访问策略AC-CP,PKG判断用户的属性是否满足访问策略AC-CP,如果满足,由PKG下发密文数据C的公钥、私钥,用户读取数据M的内容,否则,用户不能读取数据M的内容。
本专利采用属性的签名证书向PKG提供属性的方式,这种方式有效地防止恶意用户伪造证书。发送属性证书以后由PKG负责验证,验证通过以后,下发云存储数据的解密密钥,从而实现发送方数据的细粒度访问控制及共享,并且这种方法也能够实现加密与访问控制的融合。
根据本发明优选的,所述步骤A,包括:采用对称加密算法对上传至云存储系统的数据M进行加密。
加密密钥由基于存储加密系统保护,当用户要访问数据时,通过基于存储加密系统获取对称加密的密钥,然后解密相关数据,这个过程在此不详述。
根据本发明优选的,所述对称加密算法为DES。
根据本发明优选的,云存储系统提供数据上传接口,发送方借助该数据上传接口完成数据的加密上传。
根据本发明优选的,所述数据上传接口的型号为S3Rest API。
根据本发明优选的,所述步骤B,包括:
访问策略AC-CP为访问结构控制树,PKG判断用户的属性是否满足该访问结构控制树的访问控制结构,即用户的属性参与访问结构控制树,如果运算结果为True,则满足,由PKG下发与用户访问的数据M相关的公钥PK、私钥SK,用户读取数据M的内容,如果运算结果为Flase,则不满足,用户不能读取数据M的内容。
本发明的有益效果为:
1、本发明采用属性的签名证书来实现用户属性的传递,有效地防止用户属性为恶意篡改,导致用户无法正常使用云存储服务;并且,这种方式可以有效防止非法用户伪造证书,从而防止恶意用户非法访问云存储服务。
2、本发明可有效防止用户(含系统管理员)对云存储数据的未授权访问,实现云存储数据的细粒度访问控制;除此之外,还实现了加密与访问控制的统一,用户在构建相关的安全系统时,不需要对加密和访问控制构建两套系统,可以在一套系统内既实现数据加密,也实现数据的访问控制。
附图说明
图1为本发明基于ABE的云存储数据安全共享实现方法流程框图。
具体实施方式
下面结合说明书附图和实施例对本发明作进一步限定,但不限于此。
实施例
一种基于ABE的云存储数据安全共享实现方法,如图1所示,包括:
A、加密发送方上传的数据
当用户上传数据M至云存储系统后,构建对应数据M的访问策略AC-CP,调用Encrypt(PK,M,AC-CP):C,生成密文数据C;
B、用户访问数据
当用户访问数据M时,向PKG提供该用户的属性Au,用户的属性Au包括中国、山东、济南、个人收入等,由数据M的发送方发送数据M对应的访问策略AC-CP,该访问策略AC-CP中的用户属性包含山东或者个人收入大于10万元,具体可以为一个访问结构控制树,如图1所示,满足访问控制结构的用户属性才能解密相关数据,PKG判断用户的属性是否满足发送者发送的访问策略AC-CP,具体是通过判定用户发送的用户属性参与访问结构控制树运算结果是否为True,例如,一个用户是山东,个人收入为9万元,则该用户的判定结果为True;如一个用户是河北,个人收入为11万元,该用户的判定也为True;而如果一个用户是河北,个人收入为9万元,该用户的判定也为False,如果为True,由PKG下发与用户访问的数据相关的公钥PK、私钥SK,用户读取数据内容,否则,用户不能读取数据内容。

Claims (6)

1.一种基于ABE的云存储数据安全共享实现方法,其特征在于,包括:
A、加密发送方上传的数据
当用户上传数据M至云存储系统后,构建对应数据M的访问策略AC-CP,调用Encrypt(PK,M,AC-CP):C,生成密文数据C;
B、用户访问数据
当用户访问数据M时,向PKG提供该用户的属性,由数据M的发送方发送数据M对应的访问策略AC-CP,PKG判断用户的属性是否满足访问策略AC-CP,如果满足,由PKG下发密文数据C的公钥、私钥,用户读取数据M的内容,否则,用户不能读取数据M的内容。
2.根据权利要求1所述的一种基于ABE的云存储数据安全共享实现方法,其特征在于,所述步骤A,包括:采用对称加密算法对上传至云存储系统的数据M进行加密。
3.根据权利要求2所述的一种基于ABE的云存储数据安全共享实现方法,其特征在于,所述对称加密算法为DES。
4.根据权利要求1所述的一种基于ABE的云存储数据安全共享实现方法,其特征在于,所述步骤A,云存储系统提供数据上传接口,发送方借助该数据上传接口完成数据的上传。
5.根据权利要求4所述的一种基于ABE的云存储数据安全共享实现方法,其特征在于,所述数据上传接口的型号为S3Rest API。
6.根据权利要求1所述的一种基于ABE的云存储数据安全共享实现方法,其特征在于,所述步骤B,包括:访问策略AC-CP为访问结构控制树,PKG判断用户的属性是否满足该访问结构控制树的访问控制结构,即用户的属性参与访问结构控制树,如果运算结果为True,则满足,由PKG下发与用户访问的数据M相关的公钥PK、私钥SK,用户读取数据M的内容,如果运算结果为Flase,则不满足,用户不能读取数据M的内容。
CN201710207696.9A 2017-03-31 2017-03-31 一种基于abe的云存储数据安全共享实现方法 Pending CN106790312A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710207696.9A CN106790312A (zh) 2017-03-31 2017-03-31 一种基于abe的云存储数据安全共享实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710207696.9A CN106790312A (zh) 2017-03-31 2017-03-31 一种基于abe的云存储数据安全共享实现方法

Publications (1)

Publication Number Publication Date
CN106790312A true CN106790312A (zh) 2017-05-31

Family

ID=58965958

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710207696.9A Pending CN106790312A (zh) 2017-03-31 2017-03-31 一种基于abe的云存储数据安全共享实现方法

Country Status (1)

Country Link
CN (1) CN106790312A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107294990A (zh) * 2017-07-04 2017-10-24 中国联合网络通信集团有限公司 信息加密方法及装置
CN114422117A (zh) * 2021-12-14 2022-04-29 杭州宇链科技有限公司 隐私保护的视频采集方法及其对应的播放方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103747279A (zh) * 2013-11-18 2014-04-23 南京邮电大学 一种云存储共享编码视频加密与访问控制策略更新方法
CN105208007A (zh) * 2015-08-26 2015-12-30 中标软件有限公司 一种数据共享系统
CN105743642A (zh) * 2016-04-26 2016-07-06 南通大学 一种抗密钥连续辅助输入泄漏的基于属性加密方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103747279A (zh) * 2013-11-18 2014-04-23 南京邮电大学 一种云存储共享编码视频加密与访问控制策略更新方法
CN105208007A (zh) * 2015-08-26 2015-12-30 中标软件有限公司 一种数据共享系统
CN105743642A (zh) * 2016-04-26 2016-07-06 南通大学 一种抗密钥连续辅助输入泄漏的基于属性加密方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107294990A (zh) * 2017-07-04 2017-10-24 中国联合网络通信集团有限公司 信息加密方法及装置
CN107294990B (zh) * 2017-07-04 2020-06-26 中国联合网络通信集团有限公司 信息加密方法及装置
CN114422117A (zh) * 2021-12-14 2022-04-29 杭州宇链科技有限公司 隐私保护的视频采集方法及其对应的播放方法
CN114422117B (zh) * 2021-12-14 2023-09-22 杭州宇链科技有限公司 隐私保护的视频采集方法及其对应的播放方法

Similar Documents

Publication Publication Date Title
CN109040045B (zh) 一种基于密文策略属性基加密的云存储访问控制方法
CN103124269B (zh) 云环境下基于动态口令与生物特征的双向身份认证方法
Zhao et al. Trusted data sharing over untrusted cloud storage providers
CN103067160B (zh) 一种加密sd卡的动态密钥生成的方法及系统
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
US8281136B2 (en) Techniques for key distribution for use in encrypted communications
CN104486307B (zh) 一种基于同态加密的分权密钥管理方法
US8806200B2 (en) Method and system for securing electronic data
Pant et al. Three step data security model for cloud computing based on RSA and steganography
CN103546421B (zh) 基于pki技术的网络工作交流安全保密系统及其实现方法
CN103595721A (zh) 网盘文件安全共享方法、共享装置及共享系统
CN103179114A (zh) 一种云存储中的数据细粒度访问控制方法
CN106464488A (zh) 信息传输方法及移动设备
CN108134671A (zh) 一种基于量子真随机数的透明加密系统及其加解密方法
CN104601571A (zh) 一种租户与云服务器存储交互的数据加密系统及方法
CN107979584A (zh) 区块链信息分级共享方法及系统
CN109728906A (zh) 基于非对称密钥池的抗量子计算非对称加密方法和系统
CN109495497A (zh) 基于信誉度动态管理及国产密码算法隐私信息加密传输方法
CN108900301A (zh) 基于.NET MVC的restful接口安全认证及报文混合加密方法
CN108632251A (zh) 基于云计算数据服务的可信认证方法及其加密算法
CN109905229A (zh) 基于群组非对称密钥池的抗量子计算Elgamal加解密方法和系统
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
CN106790312A (zh) 一种基于abe的云存储数据安全共享实现方法
Hu Study of file encryption and decryption system using security key
JP2004538670A (ja) トランザクションの証明書

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170531

WD01 Invention patent application deemed withdrawn after publication