CN107360252A - 一种异构云域授权的数据安全访问方法 - Google Patents
一种异构云域授权的数据安全访问方法 Download PDFInfo
- Publication number
- CN107360252A CN107360252A CN201710702779.5A CN201710702779A CN107360252A CN 107360252 A CN107360252 A CN 107360252A CN 201710702779 A CN201710702779 A CN 201710702779A CN 107360252 A CN107360252 A CN 107360252A
- Authority
- CN
- China
- Prior art keywords
- cloud
- mrow
- data
- key
- cloud domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 230000008569 process Effects 0.000 claims description 5
- 230000002708 enhancing effect Effects 0.000 abstract 1
- 238000013475 authorization Methods 0.000 description 16
- 230000006870 function Effects 0.000 description 9
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012946 outsourcing Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种异构云域授权的数据安全访问方法,其通过模糊授权,实现在一个云域注册的应用程序安全地访问驻留在另一个云域的数据;系统初始化,数据所有者用第一云域中的云存储服务器生成的公钥加密数据,存储到该云存储服务器中,然后由该云存储服务器、数据所有者、第二云域的应用服务提供商和异构云域共享中心合作生成第二云域应用服务提供商的密钥,用户通过第二云域中注册的应用程序向第一云域的云存储服务器发送访问请求获得密文,解密得到在第一云域的云存储服务器中存储的数据。本发明可使数据所有者能与来自不同云域的应用程序共享其数据,增强了共享的可扩展性和灵活性,还实现异构云域之间授权的模糊性、安全性和高效性。
Description
技术领域
本发明涉及云存储领域,特别涉及一种异构云域授权的数据安全访问方法。
背景技术
随着云计算的发展,越来越多的企业或者用户将自己的敏感数据存储在云端,已达到共享数据的目的。云存储是近年来从云计算概念衍生和发展起来的一种数据外包存储服务技术,它具有很多优势,比如易于访问,及时同步和更少的物理空间消耗等,从而得到了业内的广泛关注。与此同时,云应用服务也在推动。但是云端不是完全可信的,数据外包存储模式容易导致非授权访问,例如,云存储服务器可以在未经用户授权的情况下,获取用户的数据,泄露用户的隐私等等,这就有云存储服务器和云应用服务提供商之间的互操作和授权的需求。例如,数据所有者在Justcloud内存储了多个PDF文件,Justcloud是顶级的云存储服务。后来,数据所有者想要借助PDFMerge(一个在谷歌浏览器网上应用店注册的在线云应用服务提供商)将一些PDF文件合并为一个PDF文件。应用程序PDFMerge需要被授权访问存在于Justcloud的pdf文件,Justcloud即云存储服务;否则数据所有者必须从Justcloud下载文件,并将其上传到PDFMerge。
由于数据所有者和云应用程序来自不同的云域,在它们之间建立信任是非常具有挑战性的,还有一个是若数据所有者想授权多个文件的访问权限,则需要多于一个密钥。这时需要一种能够解决异构云域之间的授权并且减少密钥的方案。之前OAuth(一种开放的协议)是最广泛采用的授权方案,但是,解决上述存在的问题还是不可行的,因为OAuth协议需要资源数据和访问应用程序在同一个域中。例如,pixlr.com是一个针对在线编辑图片的网络应用程序,在谷歌浏览器中进行注册,可以轻松访问谷歌云端硬盘中的数据,但几乎无法编辑JustCloud中的图片。
另一种方法就是AAuth(一种授权方案),它是由Tassanaviboon和Gong提出的,他们通过引入受信任的组织机构来维护云应用程序的完整性,提出的AAuth解决了类似的授权情况,其中所有者和消费者在不同的域中,但是AAuth中缺乏授权的可扩展性不便于多个授权。
发明内容
针对不同云域的云存储服务和应用服务提供商之间的互操作和授权的需求,本发明提供了一种异构云域授权的数据安全访问方法,使数据所有者能够与来自不同云域的应用程序共享其数据;增强了文件共享的可扩展性和灵活性;避免向应用程序发送属性,并且消除执行满足访问树过程的操作。
为了达到上述目的,本发明提供一种异构云域授权的数据安全访问方法,该方法包含以下步骤:
步骤1、系统初始化,第一云域的云存储服务器为生成系统公钥和主密钥;
步骤2、所述数据所有者利用第一云域的云存储服务器生成的公钥加密数据生成密文;
步骤3、数据所有者将该密文存储到第一云域的云存储服务器中;
步骤4、所述第一云域的云存储服务器、数据所有者、第二云域的应用服务提供商和云域共享中心共同合作,生成所述第二云域应用服务提供商的密钥;
步骤5、所述第二云域的应用服务提供商向第一云域的云存储服务器发送访问请求,获得密文数据;
步骤6、应用服务提供商通过所述密钥对获取的密文数据进行解密,在所述第二云域中对数据所有者的数据操作。
优选地,所述云域共享中心是一个所述应用服务提供商必须注册以确保其完整性和真实性的实体。
优选地,所述步骤1中:所述云存储服务器根据安全参数k,素数阶q,选择双线性映射e:G1×G2→GT;G1和G2的生成元分别是g1和g2;云存储服务器选择一个随机指数α,分别计算它的公钥OPK和私钥OSK,计算公式为:OPK=<e(g1,g2)α>,OSK=<g2 α>;其中,G1、G2和GT表示素数阶为q的三个乘法循环群。
优选地,设其中是指G2→G1的一个有效的可计算的组同构;选择一个哈希函数H,所述哈希函数H为:(0,1)*→G1,映射任意的二进制字符串到群G1中的一个随机元素。
优选地,所述步骤2中:所述数据所有者执行加密算法,对访问树τ下的消息进行加密,使У是访问树τ的所有叶节点集;密文CT的计算公式为:
其中,Py(x)是分配到每个叶节点y的多项式,y∈У,x表示为第x个多项式,取值范围为0≤x≤y;为群GT中的随机值,其包含解密需要的随机对称密钥KΕ;C为群G1中的随机值,为了验证该数据所有者是否在系统中有效用户的集合中;Cy和Cy'包含了访问树τ信息,Cy和C′y均为密文组件;h是群组元素,att(y)表示返回叶子节点对应的属性;H是哈希函数,α是随机指数,s是随机数字,访问树τ是指访问策略,Py(0)指初始项多项式。
优选地,所述步骤4中:通过密钥生成算法,云存储服务器的主密钥和属性集ω作为输入,此过程输出普通部分D和一组间接密钥分量;
首先,数据所有者和云存储服务器共同计算普通部分D和其中γ、a∈Zq是云存储服务器和数据所有者分别选择的,数据所有者仅知道和云存储服务器仅知道普通部分D由所述云存储服务器发送到所述应用服务提供商;
然后,让ω′是文件属性集,ω"是应用程序属性集,整个属性集ω={时隙}∪ω′∪ω";从数据所有者接收到指定的文件属性集ω′∪{时隙}后, i表示所属集合的元素,云存储服务器随机地选择γi∈Zq和计算和其中γi∈Zq是云存储服务器和数据所有者分别选择的;然后数据所有者计算并将其与一起发送给应用服务提供商;应用服务提供商再到云域共享中心认证自己,并呈现ω"的属性;对于 表示任意应用程序属性,云域共享中心选择γj∈Zq,计算和数据所有者再次计算并将其与一起发送给应用服务提供商;
最终所述应用服务提供商获得密钥SK,所述密钥SK的计算公式为:
所述密钥由两部分组成,普通部分D和与属性t相关的部分,与属性t相关的部分:第一部分Dt,第二部分Dt′;其中和是云存储服务器提供的间接密钥分量2,和是云域共享中心提供的间接密钥分量1;对应i属性,是第一部分的密钥组件,是第二部分的密钥组件,是第一部分的密钥组件的分量,和是数据所有者的组合项,用于和第一部分的密钥组件的分量进行组合;对应j属性,是第一部分的密钥组件,是第二部分的密钥组件,是第一部分的密钥组件的分量;对应t属性,表示第一部分的分量;其中,q为一个素数,Zq是模q构成的有限域;γ和a分别为随机数字,β也是随机指数;时隙是时间间隔;γi表示所属集合Zq中的对应于i的元素;γj表示所属集合Zq中的对应于j的元素;t表示任意的指定的文件属性或应用程序属性,其是整个属性集ω的元素;γt表示是所属集合Zq中的对应于t的元素。
优选地,所述步骤6中:解密节点函数(CT,SK,A)表示将访问树τ中的密文CT、密钥SK和节点A作为输入的函数;通过解密算法进行解密,解密后的解密数据KΕ为:
其中,A是解密节点。
优选地,所述访问树τ的每个非叶子节点代表一个阈值门,叶子节点对应于不同的单个属性。
与现有技术相比,本发明的有益效果为:
(1)使数据所有者能够与来自不同云域的应用程序共享其数据;数据所有者将他/她的数据存储在云存储服务器中,并向云存储提供商注册,通过模糊授权可以使云应用服务提供商来处理数据,也就是所有者可以与来自不同云域的应用程序共享他/她的数据。
(2)增强了文件共享的可扩展性和灵活性;通过利用从线性秘密共享方案(LSSS,linear secret-sharing scheme)到广义里德所罗门(GRS,generalized Reed Solomon)代码的自然变换,并将检查节点插入访问树,模糊授权增强了文件共享的可扩展性和灵活性。
(3)避免向应用程序发送属性,并且消除执行满足访问树过程的操作。通过差异检测和校正,模糊授权可以避免向应用程序发送属性,并且消除执行满足访问树过程的操作。
附图说明
图1为本发明的流程图。
图2为本发明的系统模型图。
具体实施方式
为了使本发明实现的技术手段、创作特征与功效易于明白了解,下面结合图示与具体实施例,进一步阐述本发明提出的一种异构云域授权的数据安全访问方法。
如图2所示,本发明的一种异构云域授权的数据安全访问方法,其系统模型为:数据所有者加密数据,并将其存储在云域1的云存储服务器中;在云域2的应用服务提供商要访问数据时,云域共享中心和数据所有者向其发送间接密钥分量1,数据所有者和云域1的云存储服务器向其发送间接密钥分量2;然后云域2的应用服务提供商向云域1的云存储服务器发送访问请求文件,应用服务提供商获得返回的传送文件后,解密获得数据。
如图1所示,本发明提供一种异构云域授权的数据安全访问方法,该方法包含以下步骤:
步骤1、系统初始化,第一云域1的云存储服务器为生成系统公钥和主密钥;
步骤2、所述数据所有者利用第一云域1的云存储服务器生成的公钥加密数据生成密文;
步骤3、数据所有者将该密文存储到第一云域1的云存储服务器中;
步骤4、所述第一云域1的云存储服务器、数据所有者、第二云域2的应用服务提供商和云域共享中心共同合作,生成所述第二云域2应用服务提供商的密钥;
步骤5、所述第二云域2的应用服务提供商向第一云域1的云存储服务器发送访问请求,获得密文数据;
步骤6、应用服务提供商通过所述密钥对获取的密文数据进行解密,在所述第二云域2中对数据所有者的数据操作。
下面用一个实施例来进一步阐述该方法。
设 是指G2→G1是一个有效的可计算的组同构。安全参数k确定G1、G2和GT这三个组的大小。一个有效的可计算函数定义为e:G1×G2→GT。此外,可选择一个哈希函数H:(0,1)*→G1,映射任意的二进制字符串到G1中的一个随机元素。
示例地,本发明中的上述步骤1、步骤2、步骤4和步骤6的具体为:
步骤1:云存储服务器根据安全参数k,素数阶q,选择双线性映射e:G1×G2→GT。G1和G2的生成元分别是g1和g2。
云存储服务器选择一个随机指数α,分别计算公钥OPK和主密钥OSK为:OPK=<e(g1,g2)α>,OSK=<g2 α>。G1、G2和GT表示素数阶为q的三个乘法循环群。
步骤2:数据所有者执行加密算法,对访问树τ下的消息KΕ进行加密,使У是访问树τ的所有叶节点集,Py(x)是分配到每个叶节点的多项式,其中,y∈У,x表示为第x个多项式,x的取值范围为0≤x≤y。密文CT是:
其中,Py(x)是分配到每个叶节点y的多项式,y∈У,x表示为第x个多项式,取值范围为0≤x≤y;为群GT中的随机值,其包含解密需要的随机对称密钥KE;C为群G1中的随机值,为了验证该数据所有者是否在系统中有效用户的集合中;Cy和Cy'包含了访问树τ信息,Cy和C′y均为密文组件;h是群组元素,att(y)表示返回叶子节点对应的属性;H是哈希函数,α是随机指数,s是随机数字,访问树τ是指访问策略,Py(0)指初始项多项式。
步骤4:通过密钥生成算法,云存储服务器的密钥和属性集ω作为输入,此过程输出普通部分D和一组间接密钥分量;数据所有者和云存储服务器一起计算普通部分和其中γ,a∈Zq是云存储服务器和数据所有者分别选择的。数据所有者仅仅知道和而云存储服务器知道普通部分D由云存储服务器发送到应用服务提供商。
其中,q为一个素数,Zq是模q构成的有限域,γ和a分别随机数字,β也是随机指数;
让ω′是文件属性集,ω"是应用程序属性集,然后整个属性集ω={时隙}∪ω′∪ω"。从数据所有者接收到指定的文件属性集ω′∪{时隙}之后,i表示所属集合的元素,云存储服务器随机地选择γi∈Zq和计算和其中γi∈Zq是云存储服务器和数据所有者分别选择的。然后数据所有者计算并将其与一起发送给应用服务提供商。应用服务提供商再到云域共享中心认证自己,并呈现ω"的属性。对于j表示任意应用程序属性,云域共享中心选择γj∈Zq,计算和数据所有者再次计算并将其与一起发送给应用服务提供商。
最终应用服务提供商获得的密钥SK可表示为:
所述密钥由两部分组成,普通部分D和与属性t相关的部分,与属性t相关的部分:{第一部分Dt,第二部分Dt′};其中和是云存储服务器提供的间接密钥分量2,和是云域共享中心提供的间接密钥分量1;对应i属性,是第一部分Dt的密钥组件,是第二部分Dt′的密钥组件,是第一部分Dt的密钥组件的分量,和是数据所有者的组合项,用于和第一部分Dt的密钥组件的分量进行组合;对应j属性,是第一部分Dt的密钥组件,是第二部分Dt′的密钥组件,是第一部分Dt的密钥组件的分量;对应t属性,表示第一部分Dt的分量;时隙是时间间隔;γi表示所属集合Zq中的对应于i的元素;γj表示所属集合Zq中的对应于j的元素;t表示任意的指定的文件属性或应用程序属性,其是整个属性集ω的元素;γt表示是所属集合Zq中的对应于t的元素;
步骤6:解密节点函数(CT,SK,A)表示将访问树中的密文CT、密钥SK和节点A作为输入的函数。通过解密算法,密文CT解密后的数据KΕ可以计算为:
其中,A是解密节点。
访问树是指它的每个非叶子节点代表一个阈值门,而叶子节点则对应于不同的单个属性,这种方式使得访问树非常富有表达力,可以用来表示属性与访问树的关系。
示例地,选择模糊授权(FA,Fuzzy Authorization)方法,模糊基于身份加密(IBE,identity-based encryption)方法,通过仿真10个文档数目k,2个可以容忍的距离η,在采用模糊授权方法和模糊基于身份加密的存储消耗的情况,η为1,如表1所示。如表2所示,η为2。
表1 当η为1时的IBE方法和FA方法的存储消耗数据表
表2 当η为2时的IBE方法和FA方法的存储消耗数据表
从表1和表2可知:当η为1,FA=0.8<IBE1=4,FA=0.8<IBE2=1.1;当η为2,FA=0.8<IBE1=2.5,FA=0.8<IBE2=1.2,所以,采用模糊授权FA方法的额外存储消耗总是小于模糊基于身份加密IBE方法的额外存储消耗。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。
Claims (8)
1.一种异构云域授权的数据安全访问方法,其特征在于,该方法包含以下步骤:
步骤1、系统初始化,第一云域(1)的云存储服务器为生成系统公钥和主密钥;
步骤2、所述数据所有者利用第一云域(1)的云存储服务器生成的公钥加密数据生成密文;
步骤3、数据所有者将该密文存储到第一云域(1)的云存储服务器中;
步骤4、所述第一云域(1)的云存储服务器、数据所有者、第二云域(2)的应用服务提供商和云域共享中心共同合作,生成所述第二云域(2)应用服务提供商的密钥;
步骤5、所述第二云域(2)的应用服务提供商向第一云域(1)的云存储服务器发送访问请求,获得密文数据;
步骤6、应用服务提供商通过所述密钥对获取的密文数据进行解密,在所述第二云域(2)中对数据所有者的数据操作。
2.如权利要求1所述的一种异构云域授权的数据安全访问方法,其特征在于,所述云域共享中心是一个所述应用服务提供商必须注册以确保其完整性和真实性的实体。
3.如权利要求1所述的一种异构云域授权的数据安全访问方法,其特征在于,所述步骤1中:所述云存储服务器根据安全参数k,素数阶q,选择双线性映射e:G1×G2→GT;G1和G2的生成元分别是g1和g2;云存储服务器选择一个随机指数α,分别计算公钥OPK和主密钥OSK,计算公式为:OPK=<e(g1,g2)α>,OSK=<g2 α>;其中,G1、G2和GT表示素数阶为q的三个乘法循环群。
4.如权利要求3所述的一种异构云域授权的数据安全访问方法,其特征在于,设其中,是指G2→G1的一个有效的可计算的组同构;选择一个哈希函数H,所述哈希函数H为:(0,1)*→G1,映射任意的二进制字符串到群G1中的一个随机元素。
5.如权利要求4所述的一种异构云域授权的数据安全访问方法,其特征在于,所述步骤2中:所述数据所有者执行加密算法,对访问树τ下的消息进行加密,使У是访问树τ的所有叶节点集;密文CT的计算公式为:
<mrow>
<mi>C</mi>
<mi>T</mi>
<mo>=</mo>
<mo><</mo>
<mi>&tau;</mi>
<mo>,</mo>
<mover>
<mi>C</mi>
<mo>~</mo>
</mover>
<mo>=</mo>
<mi>K</mi>
<mi>E</mi>
<mo>&CenterDot;</mo>
<mi>e</mi>
<msup>
<mrow>
<mo>(</mo>
<msub>
<mi>g</mi>
<mn>1</mn>
</msub>
<mo>,</mo>
<msub>
<mi>g</mi>
<mn>2</mn>
</msub>
<mo>)</mo>
</mrow>
<mrow>
<mi>&alpha;</mi>
<mi>s</mi>
</mrow>
</msup>
<mo>,</mo>
<mi>C</mi>
<mo>=</mo>
<msup>
<mi>h</mi>
<mi>s</mi>
</msup>
<mo>,</mo>
<mo>&ForAll;</mo>
<mi>y</mi>
<msup>
<mo>&Element;</mo>
<mi>y</mi>
</msup>
<mo>:</mo>
<msub>
<mi>C</mi>
<mi>y</mi>
</msub>
<mo>=</mo>
<msubsup>
<mi>g</mi>
<mn>2</mn>
<mrow>
<msub>
<mi>P</mi>
<mi>y</mi>
</msub>
<mrow>
<mo>(</mo>
<mn>0</mn>
<mo>)</mo>
</mrow>
</mrow>
</msubsup>
<mo>,</mo>
<msub>
<msup>
<mi>C</mi>
<mo>&prime;</mo>
</msup>
<mi>y</mi>
</msub>
<mo>=</mo>
<mi>H</mi>
<msup>
<mrow>
<mo>(</mo>
<mi>a</mi>
<mi>t</mi>
<mi>t</mi>
<mo>(</mo>
<mi>y</mi>
<mo>)</mo>
<mo>)</mo>
</mrow>
<mrow>
<msub>
<mi>P</mi>
<mi>y</mi>
</msub>
<mrow>
<mo>(</mo>
<mn>0</mn>
<mo>)</mo>
</mrow>
</mrow>
</msup>
<mo>></mo>
<mo>;</mo>
</mrow>
其中,Py(x)是分配到每个叶节点y的多项式,y∈У,x表示为第x个多项式,取值范围为0≤x≤y;为群GT中的随机值,其包含解密需要的随机对称密钥KE;C为群G1中的随机值,为了验证该数据所有者是否在系统中有效用户的集合中;Cy和Cy'包含了访问树τ信息,Cy和C′y均为密文组件;h是群组元素,att(y)表示返回叶子节点对应的属性;H是哈希函数,α是随机指数,s是随机数字,访问树τ是指访问策略,Py(0)指初始项多项式。
6.如权利要求5所述的一种异构云域授权的数据安全访问方法,其特征在于,所述步骤4中:通过密钥生成算法,云存储服务器的主密钥和属性集ω作为输入,此过程输出普通部分D和一组间接密钥分量;
首先,数据所有者和云存储服务器共同计算普通部分D和其中γ、a∈Zq是云存储服务器和数据所有者分别选择的,数据所有者仅知道和云存储服务器仅知道普通部分D由所述云存储服务器发送到所述应用服务提供商;
让ω′是文件属性集,ω"是应用程序属性集,整个属性集ω={时隙}∪ω′∪ω";从数据所有者接收到指定的文件属性集ω′∪{时隙}后,∪{时隙},i表示所属集合的元素,云存储服务器随机地选择γi∈Zq,计算和其中γi∈Zq是云存储服务器和数据所有者分别选择的;然后数据所有者计算并将其与一起发送给应用服务提供商;应用服务提供商再到云域共享中心认证自己,并呈现ω"的属性;对于j表示任意应用程序属性,云域共享中心选择γj∈Zq,计算和数据所有者再次计算并将其与一起发送给应用服务提供商;
最终所述应用服务提供商获得密钥SK,所述密钥SK的计算公式为:
<mrow>
<mi>S</mi>
<mi>K</mi>
<mo>=</mo>
<mo><</mo>
<mi>D</mi>
<mo>=</mo>
<msubsup>
<mi>g</mi>
<mn>2</mn>
<mrow>
<mo>(</mo>
<mi>&alpha;</mi>
<mo>+</mo>
<mi>&gamma;</mi>
<mi>a</mi>
<mo>)</mo>
<mo>/</mo>
<mi>&beta;</mi>
</mrow>
</msubsup>
<mo>,</mo>
<mo>&ForAll;</mo>
<mi>t</mi>
<mo>&Element;</mo>
<mi>&omega;</mi>
<mo>:</mo>
<mi>D</mi>
<mi>t</mi>
<mo>=</mo>
<msubsup>
<mi>g</mi>
<mn>1</mn>
<mrow>
<mi>&gamma;</mi>
<mi>a</mi>
</mrow>
</msubsup>
<mi>H</mi>
<msup>
<mrow>
<mo>(</mo>
<mi>t</mi>
<mo>)</mo>
</mrow>
<msub>
<mi>&gamma;</mi>
<mi>t</mi>
</msub>
</msup>
<mo>,</mo>
<msup>
<mi>Dt</mi>
<mo>&prime;</mo>
</msup>
<mo>=</mo>
<msubsup>
<mi>g</mi>
<mn>2</mn>
<msub>
<mi>&gamma;</mi>
<mi>t</mi>
</msub>
</msubsup>
<mo>></mo>
<mo>;</mo>
</mrow>
所述密钥由两部分组成,普通部分D和与属性t相关的部分;与属性t相关的部分包含第一部分Dt和第二部分Dt′;其中和是云存储服务器提供的间接密钥分量2,和是云域共享中心提供的间接密钥分量1;对应i属性,是第一部分的密钥组件,是第二部分的密钥组件,是第一部分的密钥组件的分量,和是数据所有者的组合项,用于和第一部分的密钥组件的分量进行组合;对应j属性,是第一部分的密钥组件,是第二部分的密钥组件,是第一部分的密钥组件的分量;对应t属性,表示第一部分的分量;其中,q为一个素数,Zq是模q构成的有限域;γ和a分别为随机数字,β也是随机指数;时隙是时间间隔;γi表示所属集合Zq中的对应于i的元素;γj表示所属集合Zq中的对应于j的元素;t表示任意的指定的文件属性或应用程序属性,其是整个属性集ω的元素;γt表示是所属集合Zq中的对应于t的元素。
7.如权利要求6所述的一种异构云域授权的数据安全访问方法,其特征在于,所述步骤6中:解密节点函数(CT,SK,A)表示将访问树τ中的密文CT、密钥SK和节点A作为输入的函数;通过解密算法进行解密,解密后的解密数据KΕ为:
其中,A是解密节点。
8.如权利要求7所述的一种异构云域授权的数据安全访问方法,其特征在于,所述访问树τ的每个非叶子节点代表一个阈值门,叶子节点对应于不同的单个属性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710702779.5A CN107360252B (zh) | 2017-08-16 | 2017-08-16 | 一种异构云域授权的数据安全访问方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710702779.5A CN107360252B (zh) | 2017-08-16 | 2017-08-16 | 一种异构云域授权的数据安全访问方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107360252A true CN107360252A (zh) | 2017-11-17 |
CN107360252B CN107360252B (zh) | 2020-03-24 |
Family
ID=60287519
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710702779.5A Active CN107360252B (zh) | 2017-08-16 | 2017-08-16 | 一种异构云域授权的数据安全访问方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107360252B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108683626A (zh) * | 2018-03-15 | 2018-10-19 | 众安信息技术服务有限公司 | 一种数据访问控制方法及装置 |
CN113660235A (zh) * | 2021-08-10 | 2021-11-16 | 中和易茂科技服务(北京)有限公司 | 数据安全共享方法、存储器和处理器 |
CN113761592A (zh) * | 2021-08-18 | 2021-12-07 | 淮阴工学院 | 一种云存储中基于模糊身份的数据完整性检测方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103391192A (zh) * | 2013-07-16 | 2013-11-13 | 国家电网公司 | 一种基于隐私保护的跨安全域访问控制系统及其控制方法 |
US20140123296A1 (en) * | 2012-10-30 | 2014-05-01 | Samsung Sds Co., Ltd. | Security through metadata orchestrators |
US20160217294A1 (en) * | 2015-01-27 | 2016-07-28 | Apple Inc. | Private and public sharing of electronic assets |
CN106506155A (zh) * | 2016-12-09 | 2017-03-15 | 四川师范大学 | 公有云环境下的密文共享方法 |
CN107040374A (zh) * | 2017-03-06 | 2017-08-11 | 陕西师范大学 | 一种云存储环境下支持用户动态撤销的属性基数据加密方法 |
-
2017
- 2017-08-16 CN CN201710702779.5A patent/CN107360252B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140123296A1 (en) * | 2012-10-30 | 2014-05-01 | Samsung Sds Co., Ltd. | Security through metadata orchestrators |
CN103391192A (zh) * | 2013-07-16 | 2013-11-13 | 国家电网公司 | 一种基于隐私保护的跨安全域访问控制系统及其控制方法 |
US20160217294A1 (en) * | 2015-01-27 | 2016-07-28 | Apple Inc. | Private and public sharing of electronic assets |
CN106506155A (zh) * | 2016-12-09 | 2017-03-15 | 四川师范大学 | 公有云环境下的密文共享方法 |
CN107040374A (zh) * | 2017-03-06 | 2017-08-11 | 陕西师范大学 | 一种云存储环境下支持用户动态撤销的属性基数据加密方法 |
Non-Patent Citations (2)
Title |
---|
DEZHI HAN等: ""An anomaly detection on the application-layer-based QoS in the cloud storage system"", 《COMPUTER SCIENCE AND INFORMATION SYSTEMS》 * |
田俊峰 等: ""基于HIBC的云信任分散统一认证机制"", 《计算机研究与发展》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108683626A (zh) * | 2018-03-15 | 2018-10-19 | 众安信息技术服务有限公司 | 一种数据访问控制方法及装置 |
CN108683626B (zh) * | 2018-03-15 | 2023-01-31 | 众安信息技术服务有限公司 | 一种数据访问控制方法及装置 |
CN113660235A (zh) * | 2021-08-10 | 2021-11-16 | 中和易茂科技服务(北京)有限公司 | 数据安全共享方法、存储器和处理器 |
CN113660235B (zh) * | 2021-08-10 | 2023-04-28 | 中和易茂科技服务(北京)有限公司 | 数据安全共享方法、存储器和处理器 |
CN113761592A (zh) * | 2021-08-18 | 2021-12-07 | 淮阴工学院 | 一种云存储中基于模糊身份的数据完整性检测方法 |
CN113761592B (zh) * | 2021-08-18 | 2024-02-23 | 淮阴工学院 | 一种云存储中基于模糊身份的数据完整性检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107360252B (zh) | 2020-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109144961B (zh) | 授权文件共享方法及装置 | |
CN109074433B (zh) | 使用分布式散列表和点对点分布式分类账验证数字资产完整性的方法和系统 | |
CN108885741B (zh) | 一种实现区块链上交换的令牌化方法及系统 | |
CN108292402B (zh) | 用于信息的安全交换的公共秘密的确定和层级确定性密钥 | |
JP4855940B2 (ja) | 暗号用鍵の世代の効率的な管理 | |
Kumar et al. | Secure storage and access of data in cloud computing | |
US20210089676A1 (en) | Methods and systems for secure data exchange | |
JP5562687B2 (ja) | 第1のユーザによって第2のユーザに送信される通信の安全化 | |
CN105071937B (zh) | 具有高效属性撤销的密文策略属性基加密方法 | |
CN104967693B (zh) | 面向云存储的基于全同态密码技术的文档相似度计算方法 | |
Li et al. | Privacy-preserving data utilization in hybrid clouds | |
Li et al. | Blockchain-based cross-user data shared auditing | |
Zhang et al. | Time and attribute based dual access control and data integrity verifiable scheme in cloud computing applications | |
CN107360252B (zh) | 一种异构云域授权的数据安全访问方法 | |
CN116830523A (zh) | 阈值密钥交换 | |
Borse et al. | Anonymity: A secure identity management using smart contracts | |
CN110519040B (zh) | 基于身份的抗量子计算数字签名方法和系统 | |
Xue et al. | Poly-ABE: A traceable and revocable fully hidden policy CP-ABE scheme for integrated demand response in multi-energy systems | |
WO2023134576A1 (zh) | 数据加密方法、属性授权中心及存储介质 | |
CN111314059B (zh) | 账户权限代理的处理方法、装置、设备及可读存储介质 | |
Zhang et al. | Privacy‐Preserving Attribute‐Based Keyword Search with Traceability and Revocation for Cloud‐Assisted IoT | |
Purushothama et al. | Secure cloud storage service and limited proxy re-encryption for enforcing access control in public cloud | |
CN114430321B (zh) | 基于dfa自适应安全的黑盒可追踪密钥属性加密方法及装置 | |
Nie et al. | Time‐enabled and verifiable secure search for blockchain‐empowered electronic health record sharing in IoT | |
Ma | CPSec DLP: Kernel‐Level Content Protection Security System of Data Leakage Prevention |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |