CN106961431A - 角色对称加密所有权证明的方法及系统 - Google Patents

角色对称加密所有权证明的方法及系统 Download PDF

Info

Publication number
CN106961431A
CN106961431A CN201710159514.5A CN201710159514A CN106961431A CN 106961431 A CN106961431 A CN 106961431A CN 201710159514 A CN201710159514 A CN 201710159514A CN 106961431 A CN106961431 A CN 106961431A
Authority
CN
China
Prior art keywords
file
role
key
ciphertext
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710159514.5A
Other languages
English (en)
Other versions
CN106961431B (zh
Inventor
熊金波
张媛媛
姚志强
林立
林铭炜
王丽丽
马蓉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Normal University
Original Assignee
Fujian Normal University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Normal University filed Critical Fujian Normal University
Priority to CN201710159514.5A priority Critical patent/CN106961431B/zh
Publication of CN106961431A publication Critical patent/CN106961431A/zh
Application granted granted Critical
Publication of CN106961431B publication Critical patent/CN106961431B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种角色对称加密所有权证明的方法及系统,依次通过角色密钥管理步骤、文件密钥生成步骤、数据加密步骤、数据上传步骤、数据存储步骤、所有权证明挑战步骤和所有权证明验证步骤,既实现了对文件的角色访问控制又能满足文件的授权去重要求,并且能够利用灵活的角色访问控制机制和合适的对称加密算法降低系统开销,达到了安全高效的设计目标,适用于大规模推广使用,能应用到实际生产生活过程中。

Description

角色对称加密所有权证明的方法及系统
技术领域
本发明涉及一种角色对称加密所有权证明的方法及系统。
背景技术
全球数据量的爆炸式增长促进了云计算技术的急速发展,越来越多的个人和企业选择使用云平台存储和管理数据以实现资源共享。最新的研究数据表明,截止2015年底,全球数据量已达到8.61ZB,预计2020年,全球数据量将突破44ZB。因此,如何提高存储效率、减少通信开销对云服务提供商将是一个严峻的挑战。
数据压缩技术虽然节省了存储空间和带宽消耗,但是针对同一份文件,不同个体选择不同的压缩技术将产生不同的文件副本,实际上增加了云存储的压力。为了解决上述问题,提出了数据去重技术,云服务器采用随机采样或者提取哈希值的方式检测用户上传的数据是否已存在,如果存在,则无需再次上传,有效的节省带宽消耗,同时降低了存储开销。然而,云数据去重技术也存在严重的隐私问题和新的安全挑战,例如隐私泄露、侧信道攻击以及未授权访问等。
为了解决云数据去重中的隐私泄露,最直接的方式是对数据进行加密。同时,为了实现对密文数据的去重,提出了收敛加密和消息锁加密算法,这类加密方法使用文件的哈希值作为加密密钥,保证了相同的明文得到相同的密钥和密文。然而,哈希值本身易遭受内容猜测攻击等侧信道攻击而泄露隐私信息,存在很大的安全隐患。
为了解决云数据去重中的侧信道攻击,如敌手仅通过上传文件的哈希值即可获得隐私信息,提出了所有权证明的概念,通过典型的挑战-回答交互机制验证用户确实拥有特定的文件,从而抵抗侧信道攻击。
为了解决云数据去重中的授权访问,引入可信的私有云构建混合云架构,对用户实施访问控制策略实现对云数据的授权去重,但是没有考虑云数据的隐私泄露和侧信道攻击等问题。
综上所述,针对云数据去重中存在的隐私泄露、侧信道攻击以及未授权访问问题,已有解决方案均从某一方面考虑,简单解决某一问题,严重忽视了其他挑战,不能综合解决云数据去重中的文件访问控制和授权去重问题。因此,需要发明一种能够同时解决上述三类安全问题的方法和相应的系统。
发明内容
有鉴于此,本发明的目的在于提供一种角色对称加密所有权证明的方法及系统,既能实现对文件的角色访问控制,又能满足对文件的授权去重要求。
为实现上述目的,本发明采用如下技术方案:
一种角色对称加密所有权证明的方法,其特征在于:包括文件上传阶段和文件所有权证明阶段;
所述文件上传阶段包括以下步骤:
S100、角色认证中心根据角色建立组织层次架构,并给根节点分配主密钥,执行角色密钥生成算法得到各层角色密钥;
S200、将步骤S100所得的角色密钥通过安全信道发送给各层角色中的文件所有者;
S300、所述文件所有者获取步骤S200的角色密钥,根据角色访问控制策略执行文件密钥生成算法得到文件密钥;
S400、使用步骤S300所得到的文件密钥对文件进行加密处理得到密文;对所述密文进行哈希运算得到第一文件索引值;对所述文件所有者的账号进行哈希运算得到帐号哈希值;
S500、将步骤S400所得的密文、第一文件索引值、账号哈希值上传至云存储服务器;
S600、云存储服务器将步骤S500所上传的密文进行哈希运算得到第二文件索引值,并验证所述第二文件索引值与第一文件索引值是否一致,若一致,则存储上传的密文、第一文件索引值、账号哈希值,并将所述密文经过处理插入布隆过滤器;若不一致,云存储服务器则不存储上传的密文、第一文件索引值、账号哈希值;
所述文件所有权证明阶段包括以下步骤:
S700、所述文件所有者将步骤S400所得的第一文件索引值与账号哈希值上传至云存储服务器;
S800、判断步骤S700所得第一文件索引值是否已经存储,若存在,则进一步检查步骤S700所得账号哈希值是否已经存储,若存在,则产生一个大小为A的随机位置数组作为挑战,进行步骤S900;否则,要求所述文件所有者上传所述密文;
S900、将步骤S800所得挑战返回给所述文件所有者;
S1000、所述文件所有者根据步骤S900所得挑战计算得到所述挑战的对应回答;
S1100、将步骤S1000所得的对应回答数组发送至云存储服务器;
S1200、判断步骤S1100所得回答是否存储于布隆过滤器中,若存在,则验证成功;否则,验证失败;
S1300、将步骤S1200所得验证结果返回给所述文件所有者。
一种角色对称加密所有权证明的系统,其特征在于:包括角色密钥管理模块、文件密钥生成模块、数据加密模块、数据上传模块、一致性检验模块、数据存储模块、布隆过滤器模块、挑战模块和验证模块;
所述角色密钥管理模块,用于管理角色密钥;
所述文件密钥生成模块,用于根据角色访问策略生成文件密钥;
所述数据加密模块,用于对所述文件和所述文件所有者账号进行加密操作;使用所述密钥对所述文件进行加密得到所述密文;对所述密文进行哈希运算得到文件索引值;对所述文件所有者账号进行哈希运算得到帐号哈希值;
所述数据上传模块,用于将数据加密模块得到的密文、文件索引值、账号哈希值上传至云存储服务器;
所述一致性检验模块,用于云服务器对数据上传模块所得密文和文件索引值是否一致进行检验;
所述数据存储模块,用于存储数据上传模块所得密文、文件索引值、账号哈希值;
所述布隆过滤器模块,用于根据数据上传模块所得密文进行分块操作、哈希运算、随机化操作后插入布隆过滤器;
所述挑战模块,用于云存储服务器要求上传文件索引值和账号哈希值的所述文件所有者接受所有权证明的挑战;
所述验证模块,用于云存储服务器验证所述文件所有者上传的回答是否正确,并返回验证结果。
本发明与现有技术相比具有以下有益效果:本发明不但能够实现对文件的角色访问控制,还能够有效地解决文件的授权去重问题;并且本发明能够利用灵活的角色访问控制机制和合适的对称加密算法降低系统开销,达到安全高效的设计目标,适用于大规模推广使用,能应用到实际生产生活过程中。
附图说明
图1是本发明一实施例的系统模型图。
图2是本发明的步骤流程图。
具体实施方式
下面结合附图及实施例对本发明做进一步说明。
本发明最关键的构思在于:建立层次组织架构,管理角色密钥,根据角色访问控制策略生成文件密钥,使用该密钥对称加密文件,实现对文件的角色访问控制,然后基于挑战-响应模型,并在查询过程中利用布隆过滤器加快搜索效率,实现了文件的安全高效去重。
如图1所示为本发明具体实施例的系统模型图,包括:
100、文件所有者;110、角色认证中心;120、云存储服务器;130、敌手;
所述文件所有者100,不同角色的文件所有者拥有对应的角色密钥,根据角色访问控制策略计算出对应的文件密钥,可以通过云存储服务器的验证,上传和下载对应角色访问控制的文件。
所述角色认证中心 110,主要负责管理角色密钥,包括角色密钥的生成、角色密钥的分发、角色密钥的撤销和角色密钥的更新。
所述云存储服务器120,主要负责存储数据和验证数据所有权,存储主要体现在当文件所有者首次请求上传文件时,存储该所有者上传的密文以及相关信息;验证主要体现在当文件所有者请求二次上传文件或请求下载文件时,验证该所有者是否拥有文件的所有权,并返回对应挑战的验证结果。
所述敌手 130,表示对云存储服务器、文件上传过程中可能发起攻击。
请参照图2,本实施例提供一种角色对称加密所有权证明的方法,其特征在于:包括文件上传阶段和文件所有权证明阶段;
所述文件上传阶段包括以下步骤:
(1)角色密钥管理步骤
S100、角色认证中心根据角色建立组织层次架构,并给根节点分配主密钥,执行角色密钥生成算法得到各层角色密钥;
于本实施例中,所述组织层次架构为所述角色认证中心根据角色建立的层次关系树;所述角色密钥生成算法具体为根据主密钥、各级角色的索引值以及哈希运算、异或处理等得到对应角色的角色密钥;所述角色认证中心主要负责管理角色密钥,包括角色密钥的生成、角色密钥的分发、角色密钥的撤销和角色密钥的更新。
所述角色密钥生成算法具体描述为,角色层次关系树中根节点的主密钥哈希值异或下级节点索引值,对该结果进行哈希运算,即为下级节点的角色密钥,对所述角色层次关系树中各个节点进行递归的上述哈希异或操作,即可得到各级节点的角色密钥。
S200、将步骤S100所得的角色密钥通过安全信道发送给各层角色中的文件所有者;所述安全信道可以为公共网络、专用网络,有线网络、无线网络,但要求是安全可信的,如SSL、IPSec VPN等。
(2)文件密钥生成步骤
S300、所述文件所有者获取步骤S200的角色密钥,根据角色访问控制策略执行文件密钥生成算法得到文件密钥;于本实施例中,所述文件密钥生成算法具体为根据角色密钥以及角色访问控制策略得到对应文件密钥的过程,输入即为所述文件所有者拥有的角色密钥,输出即为所述文件密钥;角色访问控制策略是访问控制策略的一种,基于角色对访问控制策略进行组合、更新和撤销,也可基于属性对访问控制策略进行组合、更新和撤销。
所述文件密钥生成算法具体描述为,对所述文件所有者拥有的角色密钥进行策略组合得到文件密钥,不同的角色权限使用不同的哈希运算,以实现不同角色权限的访问控制。
(3)数据加密步骤
S400、使用步骤S300所得到的文件密钥对文件进行加密处理得到密文;对所述密文进行哈希运算得到第一文件索引值;对所述文件所有者的账号进行哈希运算得到帐号哈希值;于本实施例中,加密处理使用的是对称加密方式,加密算法为DES、RC2、IDEA或AES。所述哈希运算可以采用MD5、SHA-128、SHA-256等。
(4)数据上传步骤
S500、将步骤S400所得的密文、第一文件索引值、账号哈希值上传至云存储服务器;
(5)数据存储步骤
S600、云存储服务器将步骤S500所上传的密文进行哈希运算得到第二文件索引值,并验证所述第二文件索引值与第一文件索引值是否一致,若一致,则存储上传的密文、第一文件索引值、账号哈希值,并将所述密文经过处理插入布隆过滤器;若不一致,云存储服务器则不存储上传的密文、第一文件索引值、账号哈希值验证过程可以有效地防止文件所有者上传密文与文件索引值不一致的情况;云存储服务器的存储过程如下:云存储服务器创建一个三元组的结构体,第一文件索引值作为唯一索引值,密文、账号哈希值以及所述密文经过处理所得结果分别存储在所述三元组的结构体中;于本实施例中,所述密文的处理过程为,将所述密文进行分块处理,并得到文件块的哈希值,所述文件块的哈希值和索引作为随机函数的输入,进而得到插入元素,最后将所述元素插入所述布隆过滤器中。
所述文件所有权证明阶段包括以下步骤:
(6)所有权证明挑战步骤
S700、所述文件所有者将步骤S400所得的第一文件索引值与账号哈希值上传至云存储服务器;
S800、判断步骤S700所得第一文件索引值是否已经存储,若存在,则进一步检查步骤S700所得账号哈希值是否已经存储,若存在,则产生一个大小为A的随机位置数组作为挑战,进行步骤S900;否则,要求所述文件所有者上传所述密文;
进一步的,所述判断过程具体可以描述为,查询步骤S700所得文件索引值与云存储服务器数据库中已存储的文件索引值是否匹配,根据查询结果进行下一步的操作;
进一步的,所述挑战为云存储服务器在所述文件块哈希值中随机选择大小为A比特的随机位置数组;
S900、将步骤S800所得挑战返回给所述文件所有者;
(7)所有权证明验证步骤
S1000、所述文件所有者根据步骤S900所得挑战计算得到所述挑战的对应回答;所述对应回答为所述文件所有者根据拥有的所述文件产生步骤S900得到所述大小为A的随机位置挑战对应的信息。
S1100、将步骤S1000所得的对应回答数组发送至云存储服务器;
S1200、判断步骤S1100所得回答是否存储于布隆过滤器中,若存在,则验证成功;否则,验证失败;判断过程具体可以描述为,将步骤S1000所得回答和步骤S800所得挑战的随机位置作为随机函数的输入,进而得到需要验证的元素,并查询所述元素是否存在于所述布隆过滤器中,即可得出快速得出所述回答与所述挑战是否一致,进而验证所述回答是否正确;于本实施例中,验证成功即为所述文件所有者拥有所述文件,可以根据拥有的权限对所述文件进行对应操作;验证失败即为所述文件所有者没有所述文件的所有权,无法对所述文件进行操作。
S1300、将步骤S1200所得验证结果返回给所述文件所有者。
本实施例还提供一种角色对称加密所有权证明的系统,其特征在于:包括角色密钥管理模块、文件密钥生成模块、数据加密模块、数据上传模块、一致性检验模块、数据存储模块、布隆过滤器模块、挑战模块和验证模块;
所述角色密钥管理模块,用于管理角色密钥;包括角色密钥的生成、角色密钥的分发、角色密钥的撤销和角色密钥的更新;所述角色密钥的生成即为角色层次关系树中各级密钥由主密钥执行所述角色密钥生成算法计算得到;所述角色密钥的分发即为角色层次关系树中上级节点计算并分发角色密钥给下级节点;所述角色密钥的撤销即为删除特定节点的角色密钥;所述角色密钥的更新即为执行所述角色密钥的撤销操作后,重新生成所述特定节点所在的角色层次关系子树。
所述文件密钥生成模块,用于根据角色访问策略生成文件密钥;文件密钥与文件所有者的角色相关,不同角色的文件所有者拥有对应的角色密钥,根据角色访问控制策略执行文件密钥生成算法得到对应的文件密钥;所述文件密钥生成算法具体为根据角色密钥以及角色访问控制策略得到对应文件密钥的过程,输入即为所述文件所有者拥有的角色密钥,输出即为所述文件的密钥;进一步的,所述角色访问控制策略是访问控制策略的一种,基于角色对访问控制策略进行组合、更新和撤销,也可基于属性对访问控制策略进行组合、更新和撤销。
所述数据加密模块,用于对所述文件和所述文件所有者账号进行加密操作;使用所述密钥对所述文件进行加密得到所述密文;对所述密文进行哈希运算得到文件索引值;对所述文件所有者账号进行哈希运算得到帐号哈希值。所述密钥为所述文件密钥生成模块所得密钥;所述加密使用的是对称加密方式,具体的加密算法可以采用DES、RC2、IDEA、AES等;所述哈希运算可以采用MD5、SHA-128、SHA-256等。
所述数据上传模块,用于将数据加密模块得到的密文、文件索引值、账号哈希值上传至云存储服务器;
所述一致性检验模块,用于云服务器对数据上传模块所得密文和文件索引值是否一致进行检验;所述一致性检验具体可以描述为,云存储服务器对接收到的所述密文进行哈希运算得到所述文件索引值,并与接收到的文件索引值进行对比,判断是否一致,若一致,对所述密文进行存储;若不一致,云存储服务器则不存储所述密文。
所述数据存储模块,用于存储数据上传模块所得密文、文件索引值、账号哈希值;所述存储过程具体可以描述为,云存储服务器创建一个三元组的结构体,所述文件索引值作为唯一索引值,所述密文、所述文件所有者账号哈希值以及所述密文经过处理所得结果分别存储在所述三元组的结构体中。
所述布隆过滤器模块,用于根据数据上传模块所得密文进行分块操作、哈希运算、随机化操作后插入布隆过滤器;生成布隆过滤器过程具体可以描述为,将所述密文进行分块处理,并得到文件块的哈希值,所述文件块哈希值和索引作为随机函数的输入,进而得到插入元素,最后将所述元素插入所述布隆过滤器中;所述布隆过滤器主要为了加快服务器的查询效率,减少系统的响应时间。
所述挑战模块,用于云存储服务器要求上传文件索引值和账号哈希值的所述文件所有者接受所有权证明的挑战;所述挑战为云存储服务器在所述文件块哈希值中随机选择大小为A比特的随机位置数组发送给所述文件拥有者;
所述验证模块,用于云存储服务器验证所述文件所有者上传的回答是否正确,并返回验证结果。所述回答为所述文件所有者根据拥有的所述文件产生对应所述挑战的回答;回答正确即为所述文件所有者拥有所述文件,可以根据拥有的权限对所述文件进行对应操作;验证失败即为所述文件所有者没有所述文件的所有权,无法对所述文件进行操作。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明的涵盖范围。

Claims (9)

1.一种角色对称加密所有权证明的方法,其特征在于:包括文件上传阶段和文件所有权证明阶段;
所述文件上传阶段包括以下步骤:
S100、角色认证中心根据角色建立组织层次架构,并给根节点分配主密钥,执行角色密钥生成算法得到各层角色密钥;
S200、将步骤S100所得的角色密钥通过安全信道发送给各层角色中的文件所有者;
S300、所述文件所有者获取步骤S200的角色密钥,根据角色访问控制策略执行文件密钥生成算法得到文件密钥;
S400、使用步骤S300所得到的文件密钥对文件进行加密处理得到密文;对所述密文进行哈希运算得到第一文件索引值;对所述文件所有者的账号进行哈希运算得到帐号哈希值;
S500、将步骤S400所得的密文、第一文件索引值、账号哈希值上传至云存储服务器;
S600、云存储服务器将步骤S500所上传的密文进行哈希运算得到第二文件索引值,并验证所述第二文件索引值与第一文件索引值是否一致,若一致,则存储上传的密文、第一文件索引值、账号哈希值,并将所述密文经过处理插入布隆过滤器;若不一致,云存储服务器则不存储上传的密文、第一文件索引值、账号哈希值;
所述文件所有权证明阶段包括以下步骤:
S700、所述文件所有者将步骤S400所得的第一文件索引值与账号哈希值上传至云存储服务器;
S800、判断步骤S700所得第一文件索引值是否已经存储,若存在,则进一步检查步骤S700所得账号哈希值是否已经存储,若存在,则产生一个大小为A的随机位置数组作为挑战,进行步骤S900;否则,要求所述文件所有者上传所述密文;
S900、将步骤S800所得挑战返回给所述文件所有者;
S1000、所述文件所有者根据步骤S900所得挑战计算得到所述挑战的对应回答;
S1100、将步骤S1000所得的对应回答数组发送至云存储服务器;
S1200、判断步骤S1100所得回答是否存储于布隆过滤器中,若存在,则验证成功;否则,验证失败;
S1300、将步骤S1200所得验证结果返回给所述文件所有者。
2.根据权利要求1所述的角色对称加密所有权证明的方法,其特征在于:所述步骤S300中角色访问控制策略是访问控制策略的一种,基于角色对访问控制策略进行组合、更新和撤销,也可基于属性对访问控制策略进行组合、更新和撤销。
3.根据权利要求1所述的角色对称加密所有权证明的方法,其特征在于:所述步骤S400中加密处理使用的是对称加密方式,加密算法为DES、RC2、IDEA或AES。
4.根据权利要求1所述的角色对称加密所有权证明的方法,其特征在于:所述步骤S600中云存储服务器的存储过程如下:云存储服务器创建一个三元组的结构体,第一文件索引值作为唯一索引值,密文、账号哈希值以及所述密文经过处理所得结果分别存储在所述三元组的结构体中。
5.根据权利要求4所述的角色对称加密所有权证明的方法,其特征在于:所述密文的处理过程为,将所述密文进行分块处理,并得到文件块的哈希值,所述文件块的哈希值和索引作为随机函数的输入,进而得到插入元素,最后将所述元素插入所述布隆过滤器中。
6.根据权利要求1所述的角色对称加密所有权证明的方法,其特征在于:所述步骤S1200中验证成功即为所述文件所有者拥有所述文件,可以根据拥有的权限对所述文件进行对应操作;验证失败即为所述文件所有者没有所述文件的所有权,无法对所述文件进行操作。
7.一种角色对称加密所有权证明的系统,其特征在于:包括角色密钥管理模块、文件密钥生成模块、数据加密模块、数据上传模块、一致性检验模块、数据存储模块、布隆过滤器模块、挑战模块和验证模块;
所述角色密钥管理模块,用于管理角色密钥;
所述文件密钥生成模块,用于根据角色访问策略生成文件密钥;
所述数据加密模块,用于对所述文件和所述文件所有者账号进行加密操作;使用所述密钥对所述文件进行加密得到所述密文;对所述密文进行哈希运算得到文件索引值;对所述文件所有者账号进行哈希运算得到帐号哈希值;
所述数据上传模块,用于将数据加密模块得到的密文、文件索引值、账号哈希值上传至云存储服务器;
所述一致性检验模块,用于云服务器对数据上传模块所得密文和文件索引值是否一致进行检验;
所述数据存储模块,用于存储数据上传模块所得密文、文件索引值、账号哈希值;
所述布隆过滤器模块,用于根据数据上传模块所得密文进行分块操作、哈希运算、随机化操作后插入布隆过滤器;
所述挑战模块,用于云存储服务器要求上传文件索引值和账号哈希值的所述文件所有者接受所有权证明的挑战;
所述验证模块,用于云存储服务器验证所述文件所有者上传的回答是否正确,并返回验证结果。
8.根据权利要求7所述的角色对称加密所有权证明的系统,其特征在于:所述角色密钥管理模块中角色密钥的管理包括角色密钥的生成、角色密钥的分发、角色密钥的撤销和角色密钥的更新;所述角色密钥的生成即为角色层次关系树中各级密钥由主密钥执行所述角色密钥生成算法计算得到;所述角色密钥的分发即为角色层次关系树中上级节点计算并分发角色密钥给下级节点;所述角色密钥的撤销即为删除特定节点的角色密钥;所述角色密钥的更新即为执行所述角色密钥的撤销操作后,重新生成所述特定节点所在的角色层次关系子树。
9.根据权利要求7所述的角色对称加密所有权证明的系统,其特征在于:所述文件密钥生成模块中的文件密钥与文件所有者的角色相关,不同角色的文件所有者拥有对应的角色密钥,根据角色访问控制策略执行文件密钥生成算法得到对应的文件密钥;所述文件密钥生成算法具体为根据角色密钥以及角色访问控制策略得到对应文件密钥的过程。
CN201710159514.5A 2017-03-17 2017-03-17 角色对称加密所有权证明的方法及系统 Active CN106961431B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710159514.5A CN106961431B (zh) 2017-03-17 2017-03-17 角色对称加密所有权证明的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710159514.5A CN106961431B (zh) 2017-03-17 2017-03-17 角色对称加密所有权证明的方法及系统

Publications (2)

Publication Number Publication Date
CN106961431A true CN106961431A (zh) 2017-07-18
CN106961431B CN106961431B (zh) 2019-11-08

Family

ID=59471352

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710159514.5A Active CN106961431B (zh) 2017-03-17 2017-03-17 角色对称加密所有权证明的方法及系统

Country Status (1)

Country Link
CN (1) CN106961431B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107612969A (zh) * 2017-08-16 2018-01-19 中国民航大学 基于B‑Tree布隆过滤器的云存储数据完整性审计方法
CN107832341A (zh) * 2017-10-12 2018-03-23 千寻位置网络有限公司 Agnss用户去重统计方法
CN109088720A (zh) * 2018-08-14 2018-12-25 广东工业大学 一种基于混合云存储的加密文件去重方法及装置
CN110968452A (zh) * 2019-11-20 2020-04-07 华北电力大学(保定) 一种智能电网云存储中可安全去重的数据完整性验证方法
CN112241536A (zh) * 2019-07-19 2021-01-19 普天信息技术有限公司 访问控制方法和装置
CN112732695A (zh) * 2021-01-21 2021-04-30 广东工业大学 一种基于区块链的云存储数据安全去重方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100031037A1 (en) * 2008-02-13 2010-02-04 Sameer Yami System and method for exporting individual document processing device trust relationships
CN103780607A (zh) * 2014-01-13 2014-05-07 西安电子科技大学 基于不同权限的重复数据删除的方法及其系统
CN104468615A (zh) * 2014-12-25 2015-03-25 西安电子科技大学 基于数据共享的文件访问和修改权限控制方法
CN105939191A (zh) * 2016-07-08 2016-09-14 南京理工大学 一种云存储中密文数据的客户端安全去重方法
CN106412087A (zh) * 2016-10-25 2017-02-15 福建师范大学 一种共享所有权证明的方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100031037A1 (en) * 2008-02-13 2010-02-04 Sameer Yami System and method for exporting individual document processing device trust relationships
CN103780607A (zh) * 2014-01-13 2014-05-07 西安电子科技大学 基于不同权限的重复数据删除的方法及其系统
CN104468615A (zh) * 2014-12-25 2015-03-25 西安电子科技大学 基于数据共享的文件访问和修改权限控制方法
CN105939191A (zh) * 2016-07-08 2016-09-14 南京理工大学 一种云存储中密文数据的客户端安全去重方法
CN106412087A (zh) * 2016-10-25 2017-02-15 福建师范大学 一种共享所有权证明的方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
熊金波等: "云环境中数据安全去重研究进展", 《通信学报》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107612969A (zh) * 2017-08-16 2018-01-19 中国民航大学 基于B‑Tree布隆过滤器的云存储数据完整性审计方法
CN107612969B (zh) * 2017-08-16 2020-01-14 中国民航大学 基于B-Tree布隆过滤器的云存储数据完整性审计方法
CN107832341A (zh) * 2017-10-12 2018-03-23 千寻位置网络有限公司 Agnss用户去重统计方法
CN107832341B (zh) * 2017-10-12 2022-01-28 千寻位置网络有限公司 Agnss用户去重统计方法
CN109088720A (zh) * 2018-08-14 2018-12-25 广东工业大学 一种基于混合云存储的加密文件去重方法及装置
CN112241536A (zh) * 2019-07-19 2021-01-19 普天信息技术有限公司 访问控制方法和装置
CN110968452A (zh) * 2019-11-20 2020-04-07 华北电力大学(保定) 一种智能电网云存储中可安全去重的数据完整性验证方法
CN112732695A (zh) * 2021-01-21 2021-04-30 广东工业大学 一种基于区块链的云存储数据安全去重方法

Also Published As

Publication number Publication date
CN106961431B (zh) 2019-11-08

Similar Documents

Publication Publication Date Title
CN106961431A (zh) 角色对称加密所有权证明的方法及系统
CN112910840B (zh) 一种基于联盟区块链的医疗数据存储共享方法及系统
CN110300112B (zh) 区块链密钥分层管理方法
CN108377237A (zh) 用于云端密文存储的具有所有权管理的数据去重系统及其数据去重方法
Zheng et al. Fair and dynamic proofs of retrievability
CN110334526B (zh) 一种支持验证的前向安全可搜索加密存储系统及方法
CN104917609B (zh) 一种基于用户感知的高效安全数据去重方法及系统
CN106612320B (zh) 云存储中一种加密数据的去重方法
CN103501352B (zh) 一种允许群组用户身份撤销的云存储数据安全审计方法
CN110069946B (zh) 一种基于sgx的安全索引系统
CN112085502B (zh) 一种基于边缘计算的轻量级区块链监管方法及系统
CN113344222A (zh) 一种基于区块链的安全可信的联邦学习机制
US11544392B2 (en) Implementation of a file system on a block chain
CN109190384A (zh) 一种多中心区块链熔断保护系统及方法
CN104219232B (zh) 一种块式分布式文件系统的文件安全控制方法
CN112565264B (zh) 一种基于区块链的云存储数据完整性检测方法
CN110289951A (zh) 一种基于门限密钥共享及区块链的共享内容监管方法
CN106611136A (zh) 云存储中一种数据篡改验证方法
WO2024088082A1 (zh) 一种数据完整性审计方法、设备及存储介质
CN103778387A (zh) 基于格的大数据动态存储完整性验证方法
CN110968452A (zh) 一种智能电网云存储中可安全去重的数据完整性验证方法
CN109657497A (zh) 安全文件系统及其方法
Etemad et al. Generic dynamic data outsourcing framework for integrity verification
CN111427897A (zh) 一种区块链链上数据保存管理方法
CN110569669B (zh) 一种面向云存储的数据可信销毁方法及其系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant