CN107370595A - 一种基于细粒度的密文访问控制方法 - Google Patents
一种基于细粒度的密文访问控制方法 Download PDFInfo
- Publication number
- CN107370595A CN107370595A CN201710417817.2A CN201710417817A CN107370595A CN 107370595 A CN107370595 A CN 107370595A CN 201710417817 A CN201710417817 A CN 201710417817A CN 107370595 A CN107370595 A CN 107370595A
- Authority
- CN
- China
- Prior art keywords
- key
- ciphertext
- file
- user
- cloud storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于细粒度的密文访问控制方法,由代理解密服务器承担了解密计算,而用户终端则几乎没有解密方面的计算开销,可以为用户终端节省了大量的解密计算资源开销。尽管由于文件消息摘要的传输一定程度上增加了终端的网络流量,但是和现有技术相比较,本发明仅增加了较小的网络流量开销,实现了更安全的访问方案,所以本发明方案还是具有很大优势。此外,本发明方案还具有不可否认性和不可伪造性,同时可以保证共享文件的完整性。由代理解密服务器来执行满足访问控制权限的数据解密工作,有效减少了终端用户的解密计算开销,扩展了基于细粒度的密文的云存储访问控制机制的应用场景。
Description
技术领域
本申请涉及物联网云计算领域,具体的,涉及一种基于细粒度的密文访问控制方法。
背景技术
云存储作为一种基本服务得到了业界的广泛认同,越来越多的企事业单位或个人通过云存储服务保留大量的各类数据信息。然而,网络时代的数据信息内涵更为丰富,往往涉及企业的商业秘密或个人隐私,例如企业销售记录信息、公文信息、个人健康信息等。而事实上,提供存储服务的第三方,即云存储服务提供者(Cloud Service Provider,CSP)往往是独立的运营管理机构或组织,并不完全值得信赖。因此,许多个人和企业还都不敢轻易地将自己的重要数据或私密数据存储到云存储服务器,因此,云存储环境下敏感数据的机密性尤为重要。
云存储服务虽然带来了许多便利,但是也引起了用户对于其安全性的担忧。有数据显示,出于安全方面的考虑,仍有多达70%的企业用户不愿意将关键数据置于自己的控制区域之外。因此,云存储服务的广泛应用,还要依赖于云存储安全访问控制机制。与此同时,随着信息电子化的进一步发展及法制的进一步完善,企业及个人也会越来越多地将私密的信息存储于云中。现有的访问控制方案可以在云存储环境下有效实施密文共享的细粒度的存储访问控制,能够保证用户数据的机密性、完整性和真实性。但是,尽管一些方案较好地解决了访问策略变更、用户属性变更及访问控制粒度等问题,但这些方案的最终解密都需要共享密文访问的用户自身进行大量的解密计算。此外,多数方案是先下载密文,再检查访问控制权限,满足访问控制权限的,可以顺利解密;对于不满足访问权限的,不仅不能解密密文,可能还会白白花费了网络资源及计算资源。如何实现安全的细粒度访问是社交网络环境下的物联网系统所亟需解决的问题之一。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。
为此,本发明的目的在于,通过设计一种基于细粒度的密文访问控制方法,结合数字签名技术,由代理解密服务器执行满足访问控制权限的数据解密操作。本发明的技术方案不仅有效减少了用户终端的计算开销,而且又达到了共享密文访问控制的目的,安全性也大大提高。
为实现上述目的,本发明提供一种基于细粒度的密文访问控制方法,包括步骤:
用户终端对代理解密服务器进行授权;
用户终端发送私钥和属性集合至代理解密服务器;
代理解密服务器从云存储服务器获取密文和密钥密文,并进行解密,得到加密秘钥,将所述加密秘钥发送至用户终端;
用户终端接收所述加密秘钥,并进行验证,验证通过则通知代理解密服务器继续解密操作,若验证失败,则结束流程;
代理解密服务器利用加密秘钥对密文进行解密,得到原文;
代理解密服务器根据所述原文判断是否经过篡改,若未经过篡改则表明是用户终端请求的文件,若判断经过篡改则向用户终端进行报警。
具体的,在所述用户终端对代理解密服务器进行授权之前,还包括:
第三方信任机构生成公开参数和主秘钥;
第三方信任机构通过用户属性和主秘钥生成用户私钥,分发至各个用户;
具体的,在所述第三方信任机构生成公开参数和主秘钥步骤之前,还包括:
数据上传端随机选择一个对称秘钥,对上传至云存储服务器的文件进行加密,得到密文;
所述数据上传端加密对称秘钥得到秘钥密文;
具体的,所述方法还包括:数据上传端生成数字签名的公私钥对;
数据上传端对上传至云存储服务器的文件进行哈希摘要算法,得到明文消息摘要,然后对加密文件的对称秘钥生成秘钥消息摘要;
上传所述数字签名、公私钥对、明文消息摘要、秘钥消息摘要一起发送至云存储服务器进行存储。
更具体的,所述生成用户私钥具体为:
第三方信任机构通过用户属性集Λ和主私钥MK,为每个用户选取随机数为每个属性选取随机数生成用户私钥,计算如下式:
更具体的,所述数据上传端随机选择一个对称秘钥,对上传至云存储服务器的文件进行加密,得到密文,具体为:
步骤1,数据上传端随机选择一个对称密钥Kf,对需要存储的文件f进行对称加密,得到密文:
步骤2,使用访问结构参数Γ加密对称密钥Kf得到秘钥密文Ck,具体为:
其中,随机数Y表示访问结构树所有叶子节点的集合,att(y)表示返回叶子节点对应的属性信息,qx为访问结构树中任意节点x的随机多项式,qx(0)代表x节点的秘密信息。
更具体的,所述数据上传端对上传至云存储服务器的文件进行哈希摘要算法,得到明文消息摘要,然后对加密文件的对称秘钥生成秘钥消息摘要;上传所述数字签名、公私钥对、明文消息摘要、秘钥消息摘要一起发送至云存储服务器进行存储步骤具体为:
步骤1:参数与秘钥的生成,数据上传端根据大素数q,选择q-1个大素数因子p,且gp≡1modq,数据上传端生成数字签名的公私钥对(sk,vk),计算如下:
sk=x,1<x<p
vk=y;
y≡gxmodq
步骤2,数据上传端对需要存储的文件f执行哈希摘要运算得到明文消息摘要mf,然后对加密文件的对称秘钥Kf生成秘钥消息摘要mK,具体计算如下:
mf=H1(f),
mK=H1(Kf);
数据上传端选取任意且1<k<p,计算:
r≡gx modq,
s≡(mK-xr)k-1modp。
则数字签名为:
δ=(r,s)。
步骤3,将数字签名、秘钥消息摘要、验证公钥、明文消息摘要、密文、密钥密文信息一同发送至云存储服务器进行存储,云存储服务器针对每个文件建立对应的表项。
通过本发明的技术方案,可知本发明由代理解密服务器基本承担了解密计算,而用户终端则几乎没有解密方面的计算开销。因此,该方案非常适用于在一个内部可信网络环境下建立代理解密服务机制的情形,可以为用户终端节省了大量的解密计算资源开销。尽管由于文件消息摘要的传输一定程度上增加了终端的网络流量,但是和现有技术相比较,本发明仅增加了较小的网络流量开销,实现了更安全的访问方案,所以本发明方案还是具有很大优势。此外,本方案还具有不可否认性和不可伪造性,同时可以保证共享文件的完整性。由代理解密服务器来执行满足访问控制权限的数据解密工作,有效减少了终端用户的解密计算开销,扩展了基于密文的云存储访问控制机制的应用场景。
附图说明
图1示出了本发明一种基于细粒度的密文访问控制方法的流程图;
图2示出了本发明的一实施例的系统结构框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了本发明一种基于细粒度的密文访问控制方法的流程图。
如图1所示,一种基于细粒度的密文访问控制方法,包括步骤:
用户终端对代理解密服务器进行授权;
用户终端发送私钥和属性集合至代理解密服务器;
代理解密服务器从云存储服务器获取密文和密钥密文,并进行解密,得到加密秘钥,将所述加密秘钥发送至用户终端;
用户终端接收所述加密秘钥,并进行验证,验证通过则通知代理解密服务器继续解密操作,若验证失败,则结束流程;
代理解密服务器利用加密秘钥对密文进行解密,得到原文;
代理解密服务器根据所述原文判断是否经过篡改,若未经过篡改则表明是用户终端请求的文件,若判断经过篡改则向用户终端进行报警。
具体的,在所述用户终端对代理解密服务器进行授权之前,还包括:
第三方信任机构生成公开参数和主秘钥;
第三方信任机构通过用户属性和主秘钥生成用户私钥,分发至各个用户;
具体的,在所述第三方信任机构生成公开参数和主秘钥步骤之前,还包括:
数据上传端随机选择一个对称秘钥,对上传至云存储服务器的文件进行加密,得到密文;
所述数据上传端加密对称秘钥得到秘钥密文;
具体的,所述方法还包括:数据上传端生成数字签名的公私钥对;
数据上传端对上传至云存储服务器的文件进行哈希摘要算法,得到明文消息摘要,然后对加密文件的对称秘钥生成秘钥消息摘要;
上传所述数字签名、公私钥对、明文消息摘要、秘钥消息摘要一起发送至云存储服务器进行存储。
更具体的,所述生成用户私钥具体为:
第三方信任机构通过用户属性集Λ和主私钥MK,为每个用户选取随机数为每个属性选取随机数生成用户私钥,计算如下式:
更具体的,所述数据上传端随机选择一个对称秘钥,对上传至云存储服务器的文件进行加密,得到密文,具体为:
步骤1,数据上传端随机选择一个对称密钥Kf,对需要存储的文件f进行对称加密,得到密文:
步骤2,使用访问结构参数Γ加密对称密钥Kf得到秘钥密文Ck,具体为:
其中,随机数Y表示访问结构树所有叶子节点的集合,att(y)表示返回叶子节点对应的属性信息,qx为访问结构树中任意节点x的随机多项式,qx(0)代表x节点的秘密信息。
更具体的,所述数据上传端对上传至云存储服务器的文件进行哈希摘要算法,得到明文消息摘要,然后对加密文件的对称秘钥生成秘钥消息摘要;上传所述数字签名、公私钥对、明文消息摘要、秘钥消息摘要一起发送至云存储服务器进行存储步骤具体为:
步骤1:参数与秘钥的生成,数据上传端根据大素数q,选择q-1个大素数因子p,且gp≡1modq,数据上传端生成数字签名的公私钥对(sk,vk),计算如下:
sk=x,1<x<p
vk=y;
y≡gxmodq
步骤2,数据上传端对需要存储的文件f执行哈希摘要运算得到明文消息摘要mf,然后对加密文件的对称秘钥Kf生成秘钥消息摘要mK,具体计算如下:
mf=H1(f),
mK=H1(Kf);
数据上传端选取任意且1<k<p,计算:
r≡gx modq,
s≡(mK-xr)k-1modp。
则数字签名为:
δ=(r,s);
步骤3,将数字签名、秘钥消息摘要、验证公钥、明文消息摘要、密文、密钥密文信息一同发送至云存储服务器进行存储,云存储服务器针对每个文件建立对应的表项。
δ,mK,vk,mf,Cf,Ck分别为数字签名、秘钥消息摘要、验证公钥、明文消息摘要、密文、密钥密文。
图2示出了本发明的一实施例的系统结构框图。
如图2所示,本访问系统包括:
第三方信任机构:用于方案中系统初始化,即生成系统公开参数和主密钥并且需要维护一个数据上传端共享密文的摘要列表。
数据上传端:表示方案中提供共享信息或文件的用户所在的终端,所述用户是原始明文的拥有者。
云存储服务器:为用户提供数据存储服务。
本地代理解密服务器:为用户提供代理解密服务。是在安全内网环境下可信的代理服务器。用户可以通过授权为自己解密云中的文件,同时保证对于解密文件的不可抵赖性,确认共享文件的完整性。
用户终端:用户终端通过代理服务器进行密文访问的终端用户,可以是企事业单位内部的普通PC终端,移动终端等用户,也可以是开放环境下的普通用户。
本系统的具体过程如下:
(1)系统初始化过程
设一个双线性映射e:G1×G1→G2,G1,G2都是q阶的循环群,其中q为任意选取的一个大素数。设g,h1为群G1的生成元。α,β为两个随机数。输出公开参数PK和主秘钥MK如下:
h1=gβ
MK={β,gα}
(2)秘钥生成
第三方信任机构通过用户属性集Λ和主私钥MK,为每个用户选取随机数为每个属性选取随机数生成用户私钥:
通过安全通道分发给各个用户。
(3)加密过程
为了提高加解密效率,先采用对称密钥加密明文,得到数据密文Cf;再对对称密钥kf得到密钥密文;同时,为了代理解密时确认信息的完整性及不可否认性,还要将不同文件的数字签名及验证公钥一同存储在云存储服务器,即云存储服务器需要维护所有数据上传端的共享密文文件及其数字签名、公钥等信息的列表。具体的步骤如下:
步骤1:数据上传端随机选择一个对称密钥Kf,对需要存储的文件f进行对称加密,得到密文:
步骤2:使用访问结构参数Γ加密对称密钥Kf得到秘钥密文Ck,具体为:
其中,随机数Y表示访问结构树所有叶子节点的集合,att(y)表示返回叶子节点对应的属性信息,qx为访问结构树中任意节点x的随机多项式,qx(0)代表x节点的秘密信息。对于访问树根节点R,qR(0)=s。
(4)数字签名
具体步骤为:
步骤1:参数与秘钥的生成。数据上传端根据大素数q,选择q-1个大素数因子p,且gp≡1modq,数据上传端生成数字签名的公私钥对(sk,vk)如下:
sk=x,1<x<p
vk=y
y≡gxmodq
步骤2:数据上传端对需要存储的文件f执行哈希摘要运算得到明文消息摘要mf,然后对加密文件的对称秘钥Kf生成秘钥消息摘要mK:
mf=H1(f),
mK=H1(Kf)。
数据上传端选取任意且1<k<p,计算:
r≡gxmodq,
s≡(mK-xr)k-1modp。
则数字签名为:
δ=(r,s)。
步骤3:将上面所有的信息,数字签名、消息摘要等信息和秘钥密文、文件密文,一同发送至云存储服务器进行存储,云存储服务器针对每个文件建立对应的表项:
C={δ,mK,vk,mf,Cf,Ck}。
(5)解密过程
当终端用户在用户终端请求解密服务时,首先要由用户端对代理解密服务器进行授权,然后将自己的私钥SK及属性集传送至代理解密服务器。代理解密服务器得到用户私钥SK后从云存储服务器获取C={δ,mK,vk,mf,Cf,Ck}。具体如下:
步骤1:用户终端向代理解密服务器授权,
步骤2:终端用户通过用户终端发送请求至代理解密服务器时,代理解密服务器从云存储服务器处获取对应的δ,mK,vk,mf,Cf,Ck信息;
步骤3:代理解密服务器根据获得的密文Cf,Ck,进行解密,得到加密秘钥K'f,并将得到的K'f发送至用户终端;
步骤4:用户终端进行验证。若用户终端验证通过,则通知代理解密服务器,继续解密操作,即代理解密服务器利用加密秘钥K'f解密Cf,得到原文f'。
步骤5:用户终端验证原文件是否被篡改,具体如下:
m'f=H1(f')
若m'f=mf成立,则用户终端验证为原文f'是要获取的文件,即该文件是未经篡改的。
对称密钥是随机选取的,可以采用一次一密的对称加密算法,保证了信息明文的安全性。终端用户在发送私钥组件以及接收明文时,对外部而言是安全的。
为了进一步验证文件信息是否在外部已被修改,由于文件摘要的生成采用了哈希函数,哈希函数的雪崩效应保证了密文数据一旦被更改,终端用户一旦验证就会及时发现,也确认了信息的完整性。
由代理解密服务器基本承担了解密计算,而用户终端则几乎没有解密方面的计算开销。因此,该方案非常适用于在一个内部可信网络环境下建立代理解密服务机制的情形,可以为用户终端节省了大量的解密计算资源开销。尽管由于文件消息摘要的传输一定程度上增加了终端的网络流量,但是和现有技术相比较,本发明仅增加了较小的网络流量开销,实现了更安全的访问方案,所以本发明方案还是具有很大优势。此外,本方案还具有不可否认性和不可伪造性,同时可以保证共享文件的完整性。由代理解密服务器来执行满足访问控制权限的数据解密工作,有效减少了终端用户的解密计算开销,扩展了基于密文的云存储访问控制机制的应用场景。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (7)
1.一种基于细粒度的密文访问控制方法,其特征在于,包括步骤:
用户终端对代理解密服务器进行授权;
用户终端发送私钥和属性集合至代理解密服务器;
代理解密服务器从云存储服务器获取密文和密钥密文,并进行解密,得到加密秘钥,将所述加密秘钥发送至用户终端;
用户终端接收所述加密秘钥,并进行验证,验证通过则通知代理解密服务器继续解密操作,若验证失败,则结束流程;
代理解密服务器利用加密秘钥对密文进行解密,得到原文;
代理解密服务器根据所述原文判断是否经过篡改,若未经过篡改则表明是用户终端请求的文件,若判断经过篡改则向用户终端进行报警。
2.根据权利要求1所述的一种基于细粒度的密文访问控制方法,其特征在于,在所述用户终端对代理解密服务器进行授权之前,还包括:
第三方信任机构生成公开参数和主秘钥;
第三方信任机构通过用户属性和主秘钥生成用户私钥,分发至各个用户。
3.根据权利要求2所述的一种基于细粒度的密文访问控制方法,其特征在于,在所述第三方信任机构生成公开参数和主秘钥步骤之前,还包括:
数据上传端随机选择一个对称秘钥,对上传至云存储服务器的文件进行加密,得到密文;
所述数据上传端加密对称秘钥得到秘钥密文。
4.根据权利要求3所述的一种基于细粒度的密文访问控制方法,其特征在于,所述方法还包括:数据上传端生成数字签名的公私钥对;
数据上传端对上传至云存储服务器的文件进行哈希摘要算法,得到明文消息摘要,然后对加密文件的对称秘钥生成秘钥消息摘要;
上传所述数字签名、公私钥对、明文消息摘要、秘钥消息摘要一起发送至云存储服务器进行存储。
5.根据权利要求2所述的一种基于细粒度的密文访问控制方法,其特征在于,所述生成用户私钥具体为:
第三方信任机构通过用户属性集Λ和主私钥MK,为每个用户选取随机数为每个属性选取随机数生成用户私钥,计算如下式:
6.根据权利要求3所述的一种基于细粒度的密文访问控制方法,其特征在于,所述数据上传端随机选择一个对称秘钥,对上传至云存储服务器的文件进行加密,得到密文,具体为:
步骤1,数据上传端随机选择一个对称密钥Kf,对需要存储的文件f进行对称加密,得到密文:
步骤2,使用访问结构参数Γ加密对称密钥Kf得到秘钥密文Ck,具体为:
其中,随机数Y表示访问结构树所有叶子节点的集合,att(y)表示返回叶子节点对应的属性信息,qx为访问结构树中任意节点x的随机多项式,qx(0)代表x节点的秘密信息。
7.根据权利要求4所述的一种基于细粒度的密文访问控制方法,其特征在于,所述数据上传端对上传至云存储服务器的文件进行哈希摘要算法,得到明文消息摘要,然后对加密文件的对称秘钥生成秘钥消息摘要;上传所述数字签名、公私钥对、明文消息摘要、秘钥消息摘要一起发送至云存储服务器进行存储步骤具体为:
步骤1:参数与秘钥的生成,数据上传端根据大素数q,选择q-1个大素数因子p,且gp≡1modq,数据上传端生成数字签名的公私钥对(sk,vk),计算如下:
步骤2,数据上传端对需要存储的文件f执行哈希摘要运算得到明文消息摘要mf,然后对加密文件的对称秘钥Kf生成秘钥消息摘要mK,具体计算如下:
mf=H1(f),
mK=H1(Kf);
数据上传端选取任意且1<k<p,计算:
r≡gx modq,
s≡(mK-xr)k-1modp。
则数字签名为:
δ=(r,s);
步骤3,将数字签名、秘钥消息摘要、验证公钥、明文消息摘要、密文、密钥密文信息一同发送至云存储服务器进行存储,云存储服务器针对每个文件建立对应的表项。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710417817.2A CN107370595A (zh) | 2017-06-06 | 2017-06-06 | 一种基于细粒度的密文访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710417817.2A CN107370595A (zh) | 2017-06-06 | 2017-06-06 | 一种基于细粒度的密文访问控制方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107370595A true CN107370595A (zh) | 2017-11-21 |
Family
ID=60305472
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710417817.2A Pending CN107370595A (zh) | 2017-06-06 | 2017-06-06 | 一种基于细粒度的密文访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107370595A (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108063666A (zh) * | 2018-01-03 | 2018-05-22 | 中电长城网际系统应用有限公司 | 云环境下的数据访问方法及系统、密钥服务器和访问终端 |
CN109068322A (zh) * | 2018-08-22 | 2018-12-21 | 航天信息股份有限公司 | 解密方法、系统、移动终端、服务器及存储介质 |
CN109831444A (zh) * | 2019-02-28 | 2019-05-31 | 南京邮电大学 | 一种基于代理的属性加密云存储访问控制方法 |
CN109840425A (zh) * | 2019-01-22 | 2019-06-04 | 北京数科网维技术有限责任公司 | 一种文件加密的方法和装置 |
WO2020108019A1 (zh) * | 2018-11-29 | 2020-06-04 | 苏宁云计算有限公司 | 一种基于联盟链的数据传递方法及装置 |
CN111917688A (zh) * | 2019-05-08 | 2020-11-10 | 北京奇虎科技有限公司 | 一种通过云平台传输加密数据的方法、装置和系统 |
CN113204788A (zh) * | 2021-05-11 | 2021-08-03 | 广州大学 | 一种细粒度属性匹配隐私保护方法 |
CN113434862A (zh) * | 2021-06-24 | 2021-09-24 | 国网河南省电力公司 | 数据黑盒式可信计算方法 |
CN113438235A (zh) * | 2021-06-24 | 2021-09-24 | 国网河南省电力公司 | 数据分层可信加密方法 |
CN114223233A (zh) * | 2019-08-13 | 2022-03-22 | 上海诺基亚贝尔股份有限公司 | 用于网络切片管理的数据安全性 |
CN114615040A (zh) * | 2022-03-02 | 2022-06-10 | 中国人民解放军国防科技大学 | 一种知识图谱本体数据分级分类安全访问控制方法及应用 |
CN114726643A (zh) * | 2022-04-27 | 2022-07-08 | 中国银行股份有限公司 | 云平台上的数据存储、访问方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103179114A (zh) * | 2013-03-15 | 2013-06-26 | 华中科技大学 | 一种云存储中的数据细粒度访问控制方法 |
CN103227789A (zh) * | 2013-04-19 | 2013-07-31 | 武汉大学 | 一种云环境下轻量级的细粒度访问控制方法 |
CN103327002A (zh) * | 2013-03-06 | 2013-09-25 | 西安电子科技大学 | 基于属性的云存储访问控制系统 |
CN104486315A (zh) * | 2014-12-08 | 2015-04-01 | 北京航空航天大学 | 一种基于内容属性的可撤销密钥外包解密方法 |
CN105991278A (zh) * | 2016-07-11 | 2016-10-05 | 河北省科学院应用数学研究所 | 一种基于cp-abe的密文访问控制方法 |
CN106059765A (zh) * | 2016-08-04 | 2016-10-26 | 北京邮电大学 | 一种云环境下基于属性密码的数字虚拟资产访问控制方法 |
-
2017
- 2017-06-06 CN CN201710417817.2A patent/CN107370595A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103327002A (zh) * | 2013-03-06 | 2013-09-25 | 西安电子科技大学 | 基于属性的云存储访问控制系统 |
CN103179114A (zh) * | 2013-03-15 | 2013-06-26 | 华中科技大学 | 一种云存储中的数据细粒度访问控制方法 |
CN103227789A (zh) * | 2013-04-19 | 2013-07-31 | 武汉大学 | 一种云环境下轻量级的细粒度访问控制方法 |
CN104486315A (zh) * | 2014-12-08 | 2015-04-01 | 北京航空航天大学 | 一种基于内容属性的可撤销密钥外包解密方法 |
CN105991278A (zh) * | 2016-07-11 | 2016-10-05 | 河北省科学院应用数学研究所 | 一种基于cp-abe的密文访问控制方法 |
CN106059765A (zh) * | 2016-08-04 | 2016-10-26 | 北京邮电大学 | 一种云环境下基于属性密码的数字虚拟资产访问控制方法 |
Non-Patent Citations (3)
Title |
---|
强衡畅等: "一种高效细粒度云存储访问控制方案", 《计算机与数字工程》 * |
杜瑞颖等: "基于策略隐藏属性加密的云访问控制方案", 《武汉大学学报(理学版)》 * |
邵珊珊: "外包存储中用户密文的细粒度访问控制", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108063666A (zh) * | 2018-01-03 | 2018-05-22 | 中电长城网际系统应用有限公司 | 云环境下的数据访问方法及系统、密钥服务器和访问终端 |
CN109068322A (zh) * | 2018-08-22 | 2018-12-21 | 航天信息股份有限公司 | 解密方法、系统、移动终端、服务器及存储介质 |
WO2020108019A1 (zh) * | 2018-11-29 | 2020-06-04 | 苏宁云计算有限公司 | 一种基于联盟链的数据传递方法及装置 |
CN109840425A (zh) * | 2019-01-22 | 2019-06-04 | 北京数科网维技术有限责任公司 | 一种文件加密的方法和装置 |
CN109840425B (zh) * | 2019-01-22 | 2020-07-31 | 北京数科网维技术有限责任公司 | 一种文件加密的方法和装置 |
CN109831444A (zh) * | 2019-02-28 | 2019-05-31 | 南京邮电大学 | 一种基于代理的属性加密云存储访问控制方法 |
CN111917688A (zh) * | 2019-05-08 | 2020-11-10 | 北京奇虎科技有限公司 | 一种通过云平台传输加密数据的方法、装置和系统 |
CN111917688B (zh) * | 2019-05-08 | 2024-05-14 | 北京奇虎科技有限公司 | 一种通过云平台传输加密数据的方法、装置和系统 |
CN114223233A (zh) * | 2019-08-13 | 2022-03-22 | 上海诺基亚贝尔股份有限公司 | 用于网络切片管理的数据安全性 |
CN113204788A (zh) * | 2021-05-11 | 2021-08-03 | 广州大学 | 一种细粒度属性匹配隐私保护方法 |
CN113434862A (zh) * | 2021-06-24 | 2021-09-24 | 国网河南省电力公司 | 数据黑盒式可信计算方法 |
CN113438235A (zh) * | 2021-06-24 | 2021-09-24 | 国网河南省电力公司 | 数据分层可信加密方法 |
CN114615040A (zh) * | 2022-03-02 | 2022-06-10 | 中国人民解放军国防科技大学 | 一种知识图谱本体数据分级分类安全访问控制方法及应用 |
CN114726643A (zh) * | 2022-04-27 | 2022-07-08 | 中国银行股份有限公司 | 云平台上的数据存储、访问方法及装置 |
CN114726643B (zh) * | 2022-04-27 | 2024-04-16 | 中国银行股份有限公司 | 云平台上的数据存储、访问方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107370595A (zh) | 一种基于细粒度的密文访问控制方法 | |
CN108259169B (zh) | 一种基于区块链云存储的文件安全分享方法及系统 | |
TWI709314B (zh) | 資料處理方法和裝置 | |
CN110855671B (zh) | 一种可信计算方法和系统 | |
CN108737374B (zh) | 一种区块链中数据存储的隐私保护方法 | |
US8964976B2 (en) | Secure storage and retrieval of confidential information | |
AU2015409938B2 (en) | System and method for secure digital sharing based on an inter-system exchange of a two-tier double encrypted digital information key | |
CN110034924A (zh) | 一种数据处理方法和装置 | |
NO331571B1 (no) | System for a beskytte en kryptert informasjonsenhet | |
US20220014367A1 (en) | Decentralized computing systems and methods for performing actions using stored private data | |
KR20220039779A (ko) | 강화된 보안 암호화 및 복호화 시스템 | |
Hussein et al. | A survey of cryptography cloud storage techniques | |
CN107070856A (zh) | 复合地应用了加密的加密/解密速度改善方法 | |
Thilakanathan et al. | Secure multiparty data sharing in the cloud using hardware-based TPM devices | |
Jayalekshmi et al. | A study of data storage security issues in cloud computing | |
CN107919958A (zh) | 一种数据加密的处理方法、装置及设备 | |
CN116232639A (zh) | 数据传输方法、装置、计算机设备和存储介质 | |
Zaman et al. | Distributed multi cloud storage system to improve data security with hybrid encryption | |
CN114788221A (zh) | 带访问控制谓词的包装密钥 | |
Jain et al. | Enhance data security in cloud computing with digital signature & hybrid cryptographic algorithm | |
EP1830299A2 (en) | Digital rights management system with diversified content protection process | |
Reddy et al. | Data Storage on Cloud using Split-Merge and Hybrid Cryptographic Techniques | |
Pawar et al. | Comparative Analysis of PAVD Security System with Security Mechanism of Different Cloud Storage Services | |
Borole et al. | A Lightweight Secure Data Sharing Scheme For Distributed Cloud Environment | |
Begum et al. | Augmented Privacy-Preserving Authentication Protocol by Trusted Third Party in Cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171121 |