CN107360252B - 一种异构云域授权的数据安全访问方法 - Google Patents

一种异构云域授权的数据安全访问方法 Download PDF

Info

Publication number
CN107360252B
CN107360252B CN201710702779.5A CN201710702779A CN107360252B CN 107360252 B CN107360252 B CN 107360252B CN 201710702779 A CN201710702779 A CN 201710702779A CN 107360252 B CN107360252 B CN 107360252B
Authority
CN
China
Prior art keywords
cloud
data
storage server
key
cloud domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710702779.5A
Other languages
English (en)
Other versions
CN107360252A (zh
Inventor
田秋亭
韩德志
毕坤
王军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Maritime University
Original Assignee
Shanghai Maritime University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Maritime University filed Critical Shanghai Maritime University
Priority to CN201710702779.5A priority Critical patent/CN107360252B/zh
Publication of CN107360252A publication Critical patent/CN107360252A/zh
Application granted granted Critical
Publication of CN107360252B publication Critical patent/CN107360252B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种异构云域授权的数据安全访问方法,其通过模糊授权,实现在一个云域注册的应用程序安全地访问驻留在另一个云域的数据;系统初始化,数据所有者用第一云域中的云存储服务器生成的公钥加密数据,存储到该云存储服务器中,然后由该云存储服务器、数据所有者、第二云域的应用服务提供商和异构云域共享中心合作生成第二云域应用服务提供商的密钥,用户通过第二云域中注册的应用程序向第一云域的云存储服务器发送访问请求获得密文,解密得到在第一云域的云存储服务器中存储的数据。本发明可使数据所有者能与来自不同云域的应用程序共享其数据,增强了共享的可扩展性和灵活性,还实现异构云域之间授权的模糊性、安全性和高效性。

Description

一种异构云域授权的数据安全访问方法
技术领域
本发明涉及云存储领域,特别涉及一种异构云域授权的数据安全访问方法。
背景技术
随着云计算的发展,越来越多的企业或者用户将自己的敏感数据存储在云端,已达到共享数据的目的。云存储是近年来从云计算概念衍生和发展起来的一种数据外包存储服务技术,它具有很多优势,比如易于访问,及时同步和更少的物理空间消耗等,从而得到了业内的广泛关注。与此同时,云应用服务也在推动。但是云端不是完全可信的,数据外包存储模式容易导致非授权访问,例如,云存储服务器可以在未经用户授权的情况下,获取用户的数据,泄露用户的隐私等等,这就有云存储服务器和云应用服务提供商之间的互操作和授权的需求。例如,数据所有者在Justcloud内存储了多个PDF文件,Justcloud是顶级的云存储服务。后来,数据所有者想要借助PDFMerge(一个在谷歌浏览器网上应用店注册的在线云应用服务提供商)将一些PDF文件合并为一个PDF文件。应用程序PDFMerge需要被授权访问存在于Justcloud的pdf文件,Justcloud即云存储服务;否则数据所有者必须从Justcloud下载文件,并将其上传到PDFMerge。
由于数据所有者和云应用程序来自不同的云域,在它们之间建立信任是非常具有挑战性的,还有一个是若数据所有者想授权多个文件的访问权限,则需要多于一个密钥。这时需要一种能够解决异构云域之间的授权并且减少密钥的方案。之前OAuth(一种开放的协议)是最广泛采用的授权方案,但是,解决上述存在的问题还是不可行的,因为OAuth协议需要资源数据和访问应用程序在同一个域中。例如,pixlr.com是一个针对在线编辑图片的网络应用程序,在谷歌浏览器中进行注册,可以轻松访问谷歌云端硬盘中的数据,但几乎无法编辑JustCloud中的图片。
另一种方法就是AAuth(一种授权方案),它是由Tassanaviboon和Gong提出的,他们通过引入受信任的组织机构来维护云应用程序的完整性,提出的AAuth解决了类似的授权情况,其中所有者和消费者在不同的域中,但是AAuth中缺乏授权的可扩展性不便于多个授权。
发明内容
针对不同云域的云存储服务和应用服务提供商之间的互操作和授权的需求,本发明提供了一种异构云域授权的数据安全访问方法,使数据所有者能够与来自不同云域的应用程序共享其数据;增强了文件共享的可扩展性和灵活性;避免向应用程序发送属性,并且消除执行满足访问树过程的操作。
为了达到上述目的,本发明提供一种异构云域授权的数据安全访问方法,该方法包含以下步骤:
步骤1、系统初始化,第一云域的云存储服务器为生成系统公钥和主密钥;
步骤2、所述数据所有者利用第一云域的云存储服务器生成的公钥加密数据生成密文;
步骤3、数据所有者将该密文存储到第一云域的云存储服务器中;
步骤4、所述第一云域的云存储服务器、数据所有者、第二云域的应用服务提供商和云域共享中心共同合作,生成所述第二云域应用服务提供商的密钥;
步骤5、所述第二云域的应用服务提供商向第一云域的云存储服务器发送访问请求,获得密文数据;
步骤6、应用服务提供商通过所述密钥对获取的密文数据进行解密,在所述第二云域中对数据所有者的数据操作。
优选地,所述云域共享中心是一个所述应用服务提供商必须注册以确保其完整性和真实性的实体。
优选地,所述步骤1中:所述云存储服务器根据安全参数k,素数阶q,选择双线性映射e:G1×G2→GT;G1和G2的生成元分别是g1和g2;云存储服务器选择一个随机指数α,分别计算它的公钥OPK和私钥OSK,计算公式为:OPK=<e(g1,g2)α>,OSK=<g2 α>;其中,G1、G2和GT表示素数阶为q的三个乘法循环群。
优选地,设
Figure BDA0001380759680000031
其中
Figure BDA0001380759680000032
是指G2→G1的一个有效的可计算的组同构;选择一个哈希函数H,所述哈希函数H为:(0,1)*→G1,映射任意的二进制字符串到群G1中的一个随机元素。
优选地,所述步骤2中:所述数据所有者执行加密算法,对访问树τ下的消息进行加密,使У是访问树τ的所有叶节点集;密文CT的计算公式为:
Figure BDA0001380759680000033
其中,Py(x)是分配到每个叶节点y的多项式,y∈У,x表示为第x个多项式,取值范围为0≤x≤y;
Figure BDA0001380759680000034
为群GT中的随机值,其包含解密需要的随机对称密钥KΕ;C为群G1中的随机值,为了验证该数据所有者是否在系统中有效用户的集合中;Cy和Cy'包含了访问树τ信息,Cy和C′y均为密文组件;h是群组元素,att(y)表示返回叶子节点对应的属性;H是哈希函数,α是随机指数,s是随机数字,访问树τ是指访问策略,Py(0)指初始项多项式。
优选地,所述步骤4中:通过密钥生成算法,云存储服务器的主密钥和属性集ω作为输入,此过程输出普通部分D和一组间接密钥分量;
首先,数据所有者和云存储服务器共同计算普通部分D和
Figure BDA0001380759680000035
其中γ、a∈Zq是云存储服务器和数据所有者分别选择的,
Figure BDA0001380759680000036
数据所有者仅知道
Figure BDA0001380759680000037
Figure BDA0001380759680000038
云存储服务器仅知道
Figure BDA0001380759680000039
普通部分D由所述云存储服务器发送到所述应用服务提供商;
然后,让ω′是文件属性集,ω"是应用程序属性集,整个属性集ω={时隙}∪ω′∪ω";从数据所有者接收到指定的文件属性集ω′∪{时隙}后,
Figure BDA00013807596800000310
Figure BDA0001380759680000041
i表示所属集合的元素,云存储服务器随机地选择γi∈Zq和计算
Figure BDA0001380759680000042
Figure BDA0001380759680000043
其中γi∈Zq是云存储服务器和数据所有者分别选择的;然后数据所有者计算
Figure BDA0001380759680000044
并将其与
Figure BDA0001380759680000045
一起发送给应用服务提供商;应用服务提供商再到云域共享中心认证自己,并呈现ω"的属性;对于
Figure BDA0001380759680000046
Figure BDA0001380759680000047
表示任意应用程序属性,云域共享中心选择γj∈Zq,计算
Figure BDA0001380759680000048
Figure BDA0001380759680000049
数据所有者再次计算
Figure BDA00013807596800000410
并将其与
Figure BDA00013807596800000411
一起发送给应用服务提供商;
最终所述应用服务提供商获得密钥SK,所述密钥SK的计算公式为:
Figure BDA00013807596800000412
所述密钥由两部分组成,普通部分D和与属性t相关的部分,与属性t相关的部分:第一部分Dt,第二部分Dt′;其中
Figure BDA00013807596800000413
Figure BDA00013807596800000414
是云存储服务器提供的间接密钥分量2,
Figure BDA00013807596800000415
Figure BDA00013807596800000416
是云域共享中心提供的间接密钥分量1;对应i属性,
Figure BDA00013807596800000417
是第一部分的密钥组件,
Figure BDA00013807596800000418
是第二部分的密钥组件,
Figure BDA00013807596800000419
是第一部分的密钥组件的分量,
Figure BDA00013807596800000420
Figure BDA00013807596800000421
是数据所有者的组合项,用于和第一部分的密钥组件的分量进行组合;对应j属性,
Figure BDA00013807596800000422
是第一部分的密钥组件,
Figure BDA00013807596800000423
是第二部分的密钥组件,
Figure BDA00013807596800000424
是第一部分的密钥组件的分量;对应t属性,
Figure BDA00013807596800000425
表示第一部分的分量;其中,q为一个素数,Zq是模q构成的有限域;γ和a分别为随机数字,β也是随机指数;时隙是时间间隔;γi表示所属集合Zq中的对应于i的元素;γj表示所属集合Zq中的对应于j的元素;t表示任意的指定的文件属性或应用程序属性,其是整个属性集ω的元素;γt表示是所属集合Zq中的对应于t的元素。
优选地,所述步骤6中:解密节点函数(CT,SK,A)表示将访问树τ中的密文CT、密钥SK和节点A作为输入的函数;通过解密算法进行解密,解密后的解密数据KΕ为:
Figure BDA0001380759680000051
其中,A是解密节点。
优选地,所述访问树τ的每个非叶子节点代表一个阈值门,叶子节点对应于不同的单个属性。
与现有技术相比,本发明的有益效果为:
(1)使数据所有者能够与来自不同云域的应用程序共享其数据;数据所有者将他/她的数据存储在云存储服务器中,并向云存储提供商注册,通过模糊授权可以使云应用服务提供商来处理数据,也就是所有者可以与来自不同云域的应用程序共享他/她的数据。
(2)增强了文件共享的可扩展性和灵活性;通过利用从线性秘密共享方案(LSSS,linear secret-sharing scheme)到广义里德所罗门(GRS,generalized Reed Solomon)代码的自然变换,并将检查节点插入访问树,模糊授权增强了文件共享的可扩展性和灵活性。
(3)避免向应用程序发送属性,并且消除执行满足访问树过程的操作。通过差异检测和校正,模糊授权可以避免向应用程序发送属性,并且消除执行满足访问树过程的操作。
附图说明
图1为本发明的流程图。
图2为本发明的系统模型图。
具体实施方式
为了使本发明实现的技术手段、创作特征与功效易于明白了解,下面结合图示与具体实施例,进一步阐述本发明提出的一种异构云域授权的数据安全访问方法。
如图2所示,本发明的一种异构云域授权的数据安全访问方法,其系统模型为:数据所有者加密数据,并将其存储在云域1的云存储服务器中;在云域2的应用服务提供商要访问数据时,云域共享中心和数据所有者向其发送间接密钥分量1,数据所有者和云域1的云存储服务器向其发送间接密钥分量2;然后云域2的应用服务提供商向云域1的云存储服务器发送访问请求文件,应用服务提供商获得返回的传送文件后,解密获得数据。
如图1所示,本发明提供一种异构云域授权的数据安全访问方法,该方法包含以下步骤:
步骤1、系统初始化,第一云域1的云存储服务器为生成系统公钥和主密钥;
步骤2、所述数据所有者利用第一云域1的云存储服务器生成的公钥加密数据生成密文;
步骤3、数据所有者将该密文存储到第一云域1的云存储服务器中;
步骤4、所述第一云域1的云存储服务器、数据所有者、第二云域2的应用服务提供商和云域共享中心共同合作,生成所述第二云域2应用服务提供商的密钥;
步骤5、所述第二云域2的应用服务提供商向第一云域1的云存储服务器发送访问请求,获得密文数据;
步骤6、应用服务提供商通过所述密钥对获取的密文数据进行解密,在所述第二云域2中对数据所有者的数据操作。
下面用一个实施例来进一步阐述该方法。
Figure BDA0001380759680000061
Figure BDA0001380759680000062
是指G2→G1是一个有效的可计算的组同构。安全参数k确定G1、G2和GT这三个组的大小。一个有效的可计算函数定义为e:G1×G2→GT。此外,可选择一个哈希函数H:(0,1)*→G1,映射任意的二进制字符串到G1中的一个随机元素。
示例地,本发明中的上述步骤1、步骤2、步骤4和步骤6的具体为:
步骤1:云存储服务器根据安全参数k,素数阶q,选择双线性映射e:G1×G2→GT。G1和G2的生成元分别是g1和g2
云存储服务器选择一个随机指数α,分别计算公钥OPK和主密钥OSK为:OPK=<e(g1,g2)α>,OSK=<g2 α>。G1、G2和GT表示素数阶为q的三个乘法循环群。
步骤2:数据所有者执行加密算法,对访问树τ下的消息KΕ进行加密,使У是访问树τ的所有叶节点集,Py(x)是分配到每个叶节点的多项式,其中,y∈У,x表示为第x个多项式,x的取值范围为0≤x≤y。密文CT是:
Figure BDA0001380759680000071
其中,Py(x)是分配到每个叶节点y的多项式,y∈У,x表示为第x个多项式,取值范围为0≤x≤y;
Figure BDA0001380759680000072
为群GT中的随机值,其包含解密需要的随机对称密钥KE;C为群G1中的随机值,为了验证该数据所有者是否在系统中有效用户的集合中;Cy和Cy'包含了访问树τ信息,Cy和C′y均为密文组件;h是群组元素,att(y)表示返回叶子节点对应的属性;H是哈希函数,α是随机指数,s是随机数字,访问树τ是指访问策略,Py(0)指初始项多项式。
步骤4:通过密钥生成算法,云存储服务器的密钥和属性集ω作为输入,此过程输出普通部分D和一组间接密钥分量;数据所有者和云存储服务器一起计算普通部分
Figure BDA0001380759680000073
Figure BDA0001380759680000074
其中γ,a∈Zq是云存储服务器和数据所有者分别选择的。数据所有者仅仅知道
Figure BDA0001380759680000075
Figure BDA0001380759680000076
而云存储服务器知道
Figure BDA0001380759680000077
普通部分D由云存储服务器发送到应用服务提供商。
其中,q为一个素数,Zq是模q构成的有限域,γ和a分别随机数字,β也是随机指数;
让ω′是文件属性集,ω"是应用程序属性集,然后整个属性集ω={时隙}∪ω′∪ω"。从数据所有者接收到指定的文件属性集ω′∪{时隙}之后,
Figure BDA0001380759680000081
i表示所属集合的元素,云存储服务器随机地选择γi∈Zq和计算
Figure BDA0001380759680000082
Figure BDA0001380759680000083
其中γi∈Zq是云存储服务器和数据所有者分别选择的。然后数据所有者计算
Figure BDA0001380759680000084
并将其与
Figure BDA0001380759680000085
一起发送给应用服务提供商。应用服务提供商再到云域共享中心认证自己,并呈现ω"的属性。对于
Figure BDA0001380759680000086
j表示任意应用程序属性,云域共享中心选择γj∈Zq,计算
Figure BDA0001380759680000087
Figure BDA0001380759680000088
数据所有者再次计算
Figure BDA0001380759680000089
并将其与
Figure BDA00013807596800000810
一起发送给应用服务提供商。
最终应用服务提供商获得的密钥SK可表示为:
Figure BDA00013807596800000811
所述密钥由两部分组成,普通部分D和与属性t相关的部分,与属性t相关的部分:{第一部分Dt,第二部分Dt′};其中
Figure BDA00013807596800000812
Figure BDA00013807596800000813
是云存储服务器提供的间接密钥分量2,
Figure BDA00013807596800000814
Figure BDA00013807596800000815
是云域共享中心提供的间接密钥分量1;对应i属性,
Figure BDA00013807596800000816
是第一部分Dt的密钥组件,
Figure BDA00013807596800000817
是第二部分Dt′的密钥组件,
Figure BDA00013807596800000818
是第一部分Dt的密钥组件的分量,
Figure BDA00013807596800000819
Figure BDA00013807596800000820
是数据所有者的组合项,用于和第一部分Dt的密钥组件的分量进行组合;对应j属性,
Figure BDA00013807596800000821
是第一部分Dt的密钥组件,
Figure BDA00013807596800000822
是第二部分Dt′的密钥组件,
Figure BDA00013807596800000823
是第一部分Dt的密钥组件的分量;对应t属性,
Figure BDA00013807596800000824
表示第一部分Dt的分量;时隙是时间间隔;γi表示所属集合Zq中的对应于i的元素;γj表示所属集合Zq中的对应于j的元素;t表示任意的指定的文件属性或应用程序属性,其是整个属性集ω的元素;γt表示是所属集合Zq中的对应于t的元素;
步骤6:解密节点函数(CT,SK,A)表示将访问树中的密文CT、密钥SK和节点A作为输入的函数。通过解密算法,密文CT解密后的数据KΕ可以计算为:
Figure BDA0001380759680000091
其中,A是解密节点。
访问树是指它的每个非叶子节点代表一个阈值门,而叶子节点则对应于不同的单个属性,这种方式使得访问树非常富有表达力,可以用来表示属性与访问树的关系。
示例地,选择模糊授权(FA,Fuzzy Authorization)方法,模糊基于身份加密(IBE,identity-based encryption)方法,通过仿真10个文档数目k,2个可以容忍的距离η,在采用模糊授权方法和模糊基于身份加密的存储消耗的情况,η为1,如表1所示。如表2所示,η为2。
表1 当η为1时的IBE方法和FA方法的存储消耗数据表
Figure BDA0001380759680000092
表2 当η为2时的IBE方法和FA方法的存储消耗数据表
Figure BDA0001380759680000093
Figure BDA0001380759680000101
从表1和表2可知:当η为1,FA=0.8<IBE1=4,FA=0.8<IBE2=1.1;当η为2,FA=0.8<IBE1=2.5,FA=0.8<IBE2=1.2,所以,采用模糊授权FA方法的额外存储消耗总是小于模糊基于身份加密IBE方法的额外存储消耗。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。

Claims (7)

1.一种异构云域授权的数据安全访问方法,其特征在于,该方法包含以下步骤:
步骤1、系统初始化,第一云域(1)的云存储服务器为系统生成公钥和主密钥;
步骤2、数据所有者利用第一云域(1)的云存储服务器生成的公钥加密数据生成密文;
步骤3、数据所有者将该密文存储到第一云域(1)的云存储服务器中;
步骤4、所述第一云域(1)的云存储服务器、数据所有者、第二云域(2)的应用服务提供商和云域共享中心共同合作,生成所述第二云域(2)应用服务提供商的密钥;
步骤5、所述第二云域(2)的应用服务提供商向第一云域(1)的云存储服务器发送访问请求,获得密文数据;
步骤6、应用服务提供商通过所述密钥对获取的密文数据进行解密,在所述第二云域(2)中对数据所有者的数据操作;
所述步骤4中:通过密钥生成算法,云存储服务器的主密钥和属性集ω作为输入,此过程输出普通部分D和一组间接密钥分量;
首先,数据所有者和云存储服务器共同计算普通部分D和
Figure FDA0002271883220000011
其中γ、a∈Zq是云存储服务器和数据所有者分别选择的,
Figure FDA0002271883220000012
数据所有者仅知道
Figure FDA0002271883220000013
Figure FDA0002271883220000014
云存储服务器仅知道
Figure FDA0002271883220000015
普通部分D由所述云存储服务器发送到所述应用服务提供商;
让ω′是文件属性集,ω"是应用程序属性集,整个属性集ω={时隙}∪ω′∪ω";从数据所有者接收到指定的文件属性集ω′∪{时隙}后,
Figure FDA0002271883220000021
Figure FDA0002271883220000022
i表示所属集合的元素,云存储服务器随机地选择γi∈Zq,计算
Figure FDA0002271883220000023
Figure FDA0002271883220000024
其中γi∈Zq是云存储服务器和数据所有者分别选择的;然后数据所有者计算
Figure FDA0002271883220000025
并将其与
Figure FDA0002271883220000026
一起发送给应用服务提供商;应用服务提供商再到云域共享中心认证自己,并呈现ω"的属性;对于
Figure FDA0002271883220000027
表示任意应用程序属性,云域共享中心选择γj∈Zq,计算
Figure FDA0002271883220000028
Figure FDA0002271883220000029
数据所有者再次计算
Figure FDA00022718832200000210
并将其与
Figure FDA00022718832200000211
一起发送给应用服务提供商;
最终所述应用服务提供商获得密钥SK,所述密钥SK的计算公式为:
Figure FDA00022718832200000212
所述密钥由两部分组成,普通部分D和与属性t相关的部分;与属性t相关的部分包含第一部分Dt和第二部分Dt′;其中
Figure FDA00022718832200000213
Figure FDA00022718832200000214
是云存储服务器提供的间接密钥分量2,
Figure FDA00022718832200000215
Figure FDA00022718832200000216
是云域共享中心提供的间接密钥分量1;对应i属性,
Figure FDA00022718832200000217
是第一部分的密钥组件,
Figure FDA00022718832200000218
是第二部分的密钥组件,
Figure FDA00022718832200000219
是第一部分的密钥组件的分量,
Figure FDA00022718832200000220
Figure FDA00022718832200000221
是数据所有者的组合项,用于和第一部分的密钥组件的分量进行组合;对应j属性,
Figure FDA00022718832200000222
是第一部分的密钥组件,
Figure FDA00022718832200000223
是第二部分的密钥组件,
Figure FDA00022718832200000224
是第一部分的密钥组件的分量;对应t属性,
Figure FDA00022718832200000225
表示第一部分的分量;其中,q为一个素数,Zq是模q构成的有限域;γ和a分别为随机数字,β也是随机指数;时隙是时间间隔;γi表示所属集合Zq中的对应于i的元素;γj表示所属集合Zq中的对应于j的元素;t表示任意的指定的文件属性或应用程序属性,其是整个属性集ω的元素;γt表示是所属集合Zq中的对应于t的元素。
2.如权利要求1所述的一种异构云域授权的数据安全访问方法,其特征在于,所述云域共享中心是一个所述应用服务提供商必须注册以确保其完整性和真实性的实体。
3.如权利要求1所述的一种异构云域授权的数据安全访问方法,其特征在于,所述步骤1中:所述云存储服务器根据安全参数k,素数阶q,选择双线性映射e:G1×G2→GT;G1和G2的生成元分别是g1和g2;云存储服务器选择一个随机指数α,分别计算公钥OPK和主密钥OSK,计算公式为:OPK=<e(g1,g2)α>,OSK=<g2 α>;其中,G1、G2和GT表示素数阶为q的三个乘法循环群。
4.如权利要求3所述的一种异构云域授权的数据安全访问方法,其特征在于,设
Figure FDA0002271883220000031
其中,
Figure FDA0002271883220000032
是指G2→G1的一个有效的可计算的组同构;选择一个哈希函数H,所述哈希函数H为:(0,1)*→G1,映射任意的二进制字符串到群G1中的一个随机元素。
5.如权利要求4所述的一种异构云域授权的数据安全访问方法,其特征在于,所述步骤2中:所述数据所有者执行加密算法,对访问树τ下的消息进行加密,使У是访问树τ的所有叶节点集;密文CT的计算公式为:
Figure FDA0002271883220000033
其中,Py(x)是分配到每个叶节点y的多项式,y∈У,x表示为第x个多项式,取值范围为0≤x≤y;
Figure FDA0002271883220000041
为群GT中的随机值,其包含解密需要的随机对称密钥KE;C为群G1中的随机值,为了验证该数据所有者是否在系统中有效用户的集合中;Cy和Cy'包含了访问树τ信息,Cy和C′y均为密文组件;h是群组元素,att(y)表示返回叶子节点对应的属性;H是哈希函数,α是随机指数,s是随机数字,访问树τ是指访问策略,Py(0)指初始项多项式。
6.如权利要求5所述的一种异构云域授权的数据安全访问方法,其特征在于,所述步骤6中:解密节点函数(CT,SK,A)表示将访问树τ中的密文CT、密钥SK和节点A作为输入的函数;通过解密算法进行解密,解密后的解密数据KΕ为:
Figure FDA0002271883220000042
其中,A是解密节点。
7.如权利要求6所述的一种异构云域授权的数据安全访问方法,其特征在于,所述访问树τ的每个非叶子节点代表一个阈值门,叶子节点对应于不同的单个属性。
CN201710702779.5A 2017-08-16 2017-08-16 一种异构云域授权的数据安全访问方法 Active CN107360252B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710702779.5A CN107360252B (zh) 2017-08-16 2017-08-16 一种异构云域授权的数据安全访问方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710702779.5A CN107360252B (zh) 2017-08-16 2017-08-16 一种异构云域授权的数据安全访问方法

Publications (2)

Publication Number Publication Date
CN107360252A CN107360252A (zh) 2017-11-17
CN107360252B true CN107360252B (zh) 2020-03-24

Family

ID=60287519

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710702779.5A Active CN107360252B (zh) 2017-08-16 2017-08-16 一种异构云域授权的数据安全访问方法

Country Status (1)

Country Link
CN (1) CN107360252B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108683626B (zh) * 2018-03-15 2023-01-31 众安信息技术服务有限公司 一种数据访问控制方法及装置
CN113660235B (zh) * 2021-08-10 2023-04-28 中和易茂科技服务(北京)有限公司 数据安全共享方法、存储器和处理器
CN113761592B (zh) * 2021-08-18 2024-02-23 淮阴工学院 一种云存储中基于模糊身份的数据完整性检测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103391192A (zh) * 2013-07-16 2013-11-13 国家电网公司 一种基于隐私保护的跨安全域访问控制系统及其控制方法
CN106506155A (zh) * 2016-12-09 2017-03-15 四川师范大学 公有云环境下的密文共享方法
CN107040374A (zh) * 2017-03-06 2017-08-11 陕西师范大学 一种云存储环境下支持用户动态撤销的属性基数据加密方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8893291B2 (en) * 2012-10-30 2014-11-18 Samsung Sds Co., Ltd. Security through metadata orchestrators
US10013567B2 (en) * 2015-01-27 2018-07-03 Apple Inc. Private and public sharing of electronic assets

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103391192A (zh) * 2013-07-16 2013-11-13 国家电网公司 一种基于隐私保护的跨安全域访问控制系统及其控制方法
CN106506155A (zh) * 2016-12-09 2017-03-15 四川师范大学 公有云环境下的密文共享方法
CN107040374A (zh) * 2017-03-06 2017-08-11 陕西师范大学 一种云存储环境下支持用户动态撤销的属性基数据加密方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"An anomaly detection on the application-layer-based QoS in the cloud storage system";Dezhi Han等;《Computer Science and Information Systems》;20160630;第13卷(第2期);第659-676页 *
"基于HIBC的云信任分散统一认证机制";田俊峰 等;《计算机研究与发展》;20150715;第1660-1671页 *

Also Published As

Publication number Publication date
CN107360252A (zh) 2017-11-17

Similar Documents

Publication Publication Date Title
CN109074433B (zh) 使用分布式散列表和点对点分布式分类账验证数字资产完整性的方法和系统
CN108885741B (zh) 一种实现区块链上交换的令牌化方法及系统
JP4855940B2 (ja) 暗号用鍵の世代の効率的な管理
JP5562687B2 (ja) 第1のユーザによって第2のユーザに送信される通信の安全化
Tahir et al. Privacy-preserving searchable encryption framework for permissioned blockchain networks
KR20200034728A (ko) 복수의 스토리지 노드를 통해 대규모 블록체인의 안전한 저장을 가능하게 하는 컴퓨터 구현 시스템 및 방법
CN104967693B (zh) 面向云存储的基于全同态密码技术的文档相似度计算方法
Li et al. Privacy-preserving data utilization in hybrid clouds
CN109714157B (zh) 一种抗密钥暴露属性加密的sdn跨域访问控制方法
Li et al. Blockchain-based cross-user data shared auditing
CN107360252B (zh) 一种异构云域授权的数据安全访问方法
Wu et al. Secure personal health records sharing based on blockchain and IPFS
Zhang et al. Time and attribute based dual access control and data integrity verifiable scheme in cloud computing applications
Guo et al. Using blockchain to control access to cloud data
Gowda et al. Blockchain-based access control model with privacy preservation in a fog computing environment
WO2023134576A1 (zh) 数据加密方法、属性授权中心及存储介质
Nie et al. Time-enabled and verifiable secure search for blockchain-empowered electronic health record sharing in IoT
CN114430321B (zh) 基于dfa自适应安全的黑盒可追踪密钥属性加密方法及装置
Purushothama et al. Secure cloud storage service and limited proxy re-encryption for enforcing access control in public cloud
Ma CPSec DLP: Kernel‐Level Content Protection Security System of Data Leakage Prevention
Xue et al. Poly-ABE: A traceable and revocable fully hidden policy CP-ABE scheme for integrated demand response in multi-energy systems
Shen et al. Multi-Keywords Searchable Attribute-Based Encryption With Verification and Attribute Revocation Over Cloud Data
Bisht et al. Personal health record storage and sharing using searchable encryption and blockchain: A comprehensive survey
Du et al. Identity-based controlled delegated outsourcing data integrity auditing scheme
Montañez New security definitions, constructions and applications of proxy re-encryption

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant