CN107968780A - 一种移动云存储共享数据的隐私保护方法 - Google Patents

Abstract

本发明公开了一种移动云存储共享数据的隐私保护方法，通过策略半隐藏，有效的保护了数据所有者的隐私。属性权威机构初始化时，生成公钥和私钥，数据所有者使用属性权威机构生成的公钥来加密数据，生成密文并上传到云服务器存储，用户和属性权威机构进行交互生成用户的私钥，然后用户给云服务器发送访问请求并获得数据所有者存储在云服务器的密文数据时，其解密得到数据所有者要共享的明文数据并进行相关的操作。本发明可以很好的对数据所有者的隐私进行保护，大大减少了传统隐藏访问方案中数据所有者的计算量，适用于移动终端应用中加密策略远远小于系统属性的情况。

Description

一种移动云存储共享数据的隐私保护方法

技术领域

本发明涉及云存储领域，特别涉及一种移动云存储共享数据的隐私保护方法。

背景技术

目前，随着信息技术的发展，越来越多的企业和个人开始使用云平台，云计算具有强大的存储能力和计算资源等优点，促使他们将一些数据和一些服务外包给云服务器，云计算已经广泛应用到了工业领域和商业领域。同时，随着移动网络的发展，在云计算环境中，通过移动终端来进行数据的分享和查询也变得越来越普遍。然而任何事情都具有两面性，虽然将数据存储在云端，方便用户管理和操作，但是同时也带来一些安全上的隐患，例如数据的隐私安全和访问控制。因为云并不是完全可信的。而如今，数据的隐私保护在很多场景中变得越来越重要，用户并不希望自己的数据对云服务器完全透明。因此，数据的安全和隐私保护在移动云存储中越来越受到人们的关注。

2005年，Sahai和Waters首次提出属性基加密机制(Attribute basedencryption)的概念。属性基加密机制极大地丰富了加密策略的灵活性和用户权限的可描述性，从以往的一对一加解密模式扩展成一对多模式。此外，基于它的高效性、动态性、灵活性、隐私性，可以有效地实现非交互的访问控制。属性基加密机制适用于保障云存储环境中数据的机密性，很好地解决了移动云存储中数据共享的安全和隐私问题。

移动云存储中数据拥有者将自己的数据外包给云服务器，在制定访问策略生成密文时，通常将这个访问规则和密文一起发布，因此系统中任意试图解密的用户都能够推出一些敏感信息，使得用户的个人数据置于高泄露风险中。因此，为了防止敏感信息的泄露，往往需要在加密时对访问策略进行隐藏。虽然已有一些工作考虑了对加密策略的隐藏，但访问结构只能支持与门或只能部分隐藏访问结构，对于较为丰富的访问结构，实现策略的隐藏具有很大难度。例如，2008年，Nishide等人采用通配符构造一种支持部分策略隐藏的属性基加密方案，但是该方案仅支持多值属性之间的与逻辑操作；Zhou等人结合广播加密提出一个高效的支持隐私保护的属性基加密方案，但是该方案仅支持与门操作。

发明内容

发明的目的：本发明的目的在于解决现有技术中存在的不足，提供一种移动云存储共享数据的隐私保护方法。

为了达到上述目的，本发明提供一种移动云存储共享数据的隐私保护方法，该方法包含以下步骤：

步骤1、系统初始化，生成系统公共参数PP；

步骤2、属性权威机构初始化：生成属性权威机构的公钥和私钥；

所述的属性权威机构主要负责生成系统的公钥和私钥，以及为用户生成和分发属性私钥，是被用户完全可信的机构；

步骤3、密钥生成：属性权威机构根据初始化阶段生成的密钥，以及与用户交互得到的用户属性，来生成用户的私钥；

所述的交互是指发生在可以相互影响的两方或者更多方之间的行为；

步骤4、加密：数据所有者加密数据，生成密文，上传到云服务器存储；

步骤5、用户向云服务器发送访问请求，获得数据所有者存储在云服务器的密文；

步骤6、解密：用户对得到的密文数据进行解密，得到数据所有者要共享的明文数据并进行相关的操作。

(1)在步骤1中：该算法输入安全参数1^λ,输出系统的公共参数PP＝{e,G,G_T,g₁,g₂,p}；

其中g₁,g₂是循环群G的生成元，p为群的素数阶，双线性映射e:G×G→G_T；

(2)在步骤2中，该算法输入公共参数PP，生成属性权威机构AA_i的公私钥对；属性权威机构随机选择计算：对其管理的属性名a_i，随即选取计算：对其下的每个属性值随机选择计算：则：属性权威机构公钥属性权威机构私钥

其中，p为一个素数，是模p构成的域；α_i为中属性机构AA_i的随机数；ω_i为中相应于属性名a_i的属性机构AA_i的随机数；为中相应于属性值的属性机构AA_i的随机数；X_i、Y_i、分别为属性机构AA_i的公钥分量；A_i为属性值集合；

(3)在步骤3中，该算法是属性权威机构首先检查用户的属性值是否是其权限下的属性值，若不是，则输出⊥；否则，随机选择计算：则用户私钥

其中，γ_i为中相应于用户的属性权威机构AA_i的随机数；D_i，分别为用户私钥的第一私钥分量，第二私钥分量；

(4)在步骤4中，该算法输入明文m，基于半策略隐藏的访问结构(A,T)和公钥PK_i，输出密文，利用shamir门限秘密共享构造访问树，将叶子节点与加密者设置的属性名a_i相对应，秘密共享如下：随机选取设置访问树根节点为s，并标记该节点已分配，其孩子节点标记为未分配，对所有未分配的非叶子节点做以下操作：

(d)若操作符为∨，且孩子节点未分配，则为其孩子节点赋值s,并标记已分配；

(e)若操作符为∧，且孩子节点未分配，则随机选择其中n为其孩子节点个数，第n个孩子节点赋值并标记已分配；

(f)若操作符为of，且其孩子节点未分配，则随机选取一个t-1阶的多项式p(x)，令p(0)＝s，利用shamir(t,n)对s进行分割，其中t为门限值，n为孩子节点数，对其孩子节点赋值s_i＝p(i),并标记为已分配；

同样，随机选取按上述方法进行分割，对叶子节点赋值s_i；

令A_T为叶子节点表示的属性名集合，I_A为被选属性机构的索引集，对访问树的每个叶子节点进行计算：

密文C＝(CT,CT′)；

其中，所述访问树是指它的每个非叶子节点代表一个阈值门，叶子节点对应于不同的单个属性；m为明文；CT为第一密文分量；CT′为第二密文分量；C₀、C₁、C₂、C₃分别为第一密文分量CT的密文组件；C′₀、C′₁、C′₂、C′₃分别为第二密文分量CT′的密文组件；

(5)在步骤6中，该算法先计算满足访问结构(A,T)的最小子树min(A,T)，确定解密者是否存在与最小访问子树相匹配的属性值，使得Δ_i(0)为拉格朗日系数，若存在，则计算否则，判断解密失败；

其中，m是共享加密数据的明文，A是被分享的生成矩阵；T为访问树。

与现有技术相比，本发明具有以下优点及效果：

1、采用策略半隐藏的方式进行加密访问策略的设置，加密时仅对与用户相关的属性进行加密，而不是对系统所有的属性进行加密，改变了已有的隐私保护属性加密方式。

2、本方案加密时仅仅对与用户相关的属性进行加密，大大减少了传统隐藏访问结构的方案中数据拥有者的计算量，更加适用于移动终端应用中加密策略远远小于系统属性的情况。

3、本方案使用了策略半隐藏的方法，用户的具体属性值不会泄露给其他任何第三方，有效保护了用户的隐私。

附图说明

图1为本发明的流程图。

具体实施方式

为了使本发明实现的技术手段、创作特征与功效易于明白了解，下面结合图示与具体实施例，进一步阐述本发明提出的一种移动云存储共享数据的隐私保护方法。

如图1所示，本发明提供一种移动云存储共享数据的隐私保护方法，该方法包含以下步骤：

步骤1、系统初始化，生成系统公共参数PP；

步骤2、属性权威机构初始化：生成属性权威机构的公钥和私钥；

所述的属性权威机构主要负责生成系统的公钥和私钥，以及为用户生成和分发属性私钥，是被用户完全可信的机构；

步骤3、密钥生成：属性权威机构根据初始化阶段生成的密钥，以及与用户交互得到的用户属性，来生成用户的私钥；

所述的交互是指发生在可以相互影响的两方或者更多方之间的行为；

步骤4、加密：数据所有者加密数据，生成密文，上传到云服务器存储；

步骤5、用户向云服务器发送访问请求，获得数据所有者存储在云服务器的密文；

步骤6、解密：用户对得到的密文数据进行解密，得到数据所有者要共享的明文数据并进行相关的操作。

下面用一个实例来阐述本方法。

本发明中，n代表系统中属性名的数目；n_i表示第i个属性的取值个数；k表示用户属性集中属性的数目；t表示加密时所用的属性个数；|G₀|和|G₁|表示群G₀和群G₁中每个元素的长度。各方面的比较如表1所示。

表1各种方案的对比

从表1可以看出，LAI Junzuo等人的方案在存储方面的代价比较高，因为公钥、私钥还有密文长度都与系统的总属性个数相关，而ZHOU Zhibin等人的方案的存储性能略低于其他两个方案；本发明在私钥长度和解密代价方面均有优势，还可以实现与、或、门限操作。总体而言，本发明在功能和性能上都优于其他两种方案。

尽管本发明的内容已经通过上述优选实施例作了详细介绍，但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后，对于本发明的多种修改和替代都将是显而易见的。因此，本发明的保护范围应由所附的权利要求来限定。

Claims (1)

1.一种移动云存储共享数据的隐私保护方法，其特征在于，该方法包含以下步骤：

步骤1、系统初始化：生成公共参数PP；该算法输入安全参数1^λ，输出系统的公共参数PP＝{e,G,G_T,g₁,g₂,p}；

其中g₁,g₂是循环群G的生成元，p为群的素数阶，双线性映射e:G×G→G_T；

步骤2、属性权威机构初始化：生成属性权威机构的公钥和私钥；该算法输入PP，属性权威机构随机选择计算：对其管理的属性名a_i，随机选取计算：对其下的每个属性值随机选择计算：则：属性权威机构公钥属性权威机构私钥

其中，p为一个素数，是模p构成的域；α_i为中属性机构AA_i的随机数；ω_i为中相应于属性名a_i的属性机构AA_i的随机数；为中相应于属性值的属性机构AA_i的随机数；X_i、Y_i、分别为属性机构AA_i的公钥分量；A_i为属性值集合；

所述的属性权威机构主要负责生成系统的公钥和私钥，以及为用户生成和分发属性私钥，是被用户完全可信的机构；

步骤3、密钥生成：属性权威机构根据初始化阶段生成的密钥，以及与用户交互得到的用户属性，来生成用户的私钥；该算法是属性权威机构首先检查用户的属性值是否是其权限下的属性值，若不是，则输出⊥；否则，随机选择计算：则用户私钥

其中，γ_i为中相应于用户的属性权威机构AA_i的随机数；分别为用户私钥的第一私钥分量，第二私钥分量；

所述的交互是指发生在可以相互影响的两方或者更多方之间的行为；

步骤4、加密：数据所有者加密数据，生成密文，上传到云服务器存储；该算法输入明文m，基于半策略隐藏的访问结构(A,T)和公钥PK_i，输出密文，利用shamir门限秘密共享构造访问树，将叶子节点与加密者设置的属性名a_i相对应，秘密共享如下：随机选取设置访问树根节点为s，并标记该节点已分配，其孩子节点标记为未分配，对所有未分配的非叶子节点做以下操作：

(a)若操作符为∨，且孩子节点未分配，则为其孩子节点赋值s,并标记已分配；

(b)若操作符为∧，且孩子节点未分配，则随机选择(i＝1,2,...,n-1),其中n为其孩子节点个数，第n个孩子节点赋值并标记已分配；

(c)若操作符为of，且其孩子节点未分配，则随机选取一个t-1阶的多项式p(x)，令p(0)＝s，利用shamir(t,n)对s进行分割，其中t为门限值，n为孩子节点数，对其孩子节点赋值s_i＝p(i),并标记为已分配；

同样，随机选取按上述方法进行分割，对叶子节点赋值s_i′；

令A_T为叶子节点表示的属性名集合，I_A为被选属性机构的索引集，对访问树的每个叶子节点进行计算：

<mrow> <mi>C</mi> <mi>T</mi> <mo>=</mo> <mfenced open = "{" close = "}"> <mtable> <mtr> <mtd> <mrow> <msub> <mi>C</mi> <mn>0</mn> </msub> <mo>=</mo> <mi>m</mi> <mo>&amp;CenterDot;</mo> <msub> <mo>&amp;Pi;</mo> <mrow> <mi>i</mi> <mo>&amp;Element;</mo> <msub> <mi>I</mi> <mi>A</mi> </msub> </mrow> </msub> <mi>e</mi> <msup> <mrow> <mo>(</mo> <msub> <mi>g</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>g</mi> <mn>1</mn> </msub> <mo>)</mo> </mrow> <mrow> <msup> <msub> <mi>&amp;alpha;</mi> <mi>i</mi> </msub> <mi>S</mi> </msup> </mrow> </msup> <mo>,</mo> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msub> <mi>C</mi> <mn>1</mn> </msub> <mo>=</mo> <msubsup> <mi>g</mi> <mn>1</mn> <mi>s</mi> </msubsup> <mo>,</mo> <msub> <mrow> <mo>(</mo> <msub> <mi>C</mi> <mn>2</mn> </msub> <mo>=</mo> <msubsup> <mi>Y</mi> <mi>i</mi> <msub> <mi>s</mi> <mi>i</mi> </msub> </msubsup> <mo>,</mo> <msub> <mi>C</mi> <mn>3</mn> </msub> <mo>=</mo> <msubsup> <mi>g</mi> <mn>1</mn> <msub> <mi>s</mi> <mi>i</mi> </msub> </msubsup> <mo>)</mo> </mrow> <mrow> <mo>&amp;ForAll;</mo> <msub> <mi>a</mi> <mi>i</mi> </msub> <mo>&amp;Element;</mo> <msub> <mi>A</mi> <mi>T</mi> </msub> </mrow> </msub> </mrow> </mtd> </mtr> </mtable> </mfenced> </mrow>

<mrow> <msup> <mi>CT</mi> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <mfenced open = "{" close = "}"> <mtable> <mtr> <mtd> <mrow> <msup> <msub> <mi>C</mi> <mn>0</mn> </msub> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msub> <mo>&amp;Pi;</mo> <mrow> <mi>i</mi> <mo>&amp;Element;</mo> <msub> <mi>I</mi> <mi>A</mi> </msub> </mrow> </msub> <mi>e</mi> <msup> <mrow> <mo>(</mo> <msub> <mi>g</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>g</mi> <mn>1</mn> </msub> <mo>)</mo> </mrow> <mrow> <msup> <msub> <mi>&amp;alpha;</mi> <mi>i</mi> </msub> <msup> <mi>S</mi> <mo>&amp;prime;</mo> </msup> </msup> </mrow> </msup> <mo>,</mo> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <msub> <mi>C</mi> <mn>1</mn> </msub> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msubsup> <mi>g</mi> <mn>1</mn> <msup> <mi>s</mi> <mo>&amp;prime;</mo> </msup> </msubsup> <mo>,</mo> <msub> <mrow> <mo>(</mo> <msup> <msub> <mi>C</mi> <mn>2</mn> </msub> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msubsup> <mi>Y</mi> <mi>i</mi> <mrow> <msup> <msub> <mi>s</mi> <mi>i</mi> </msub> <mo>&amp;prime;</mo> </msup> </mrow> </msubsup> <mo>,</mo> <msup> <msub> <mi>C</mi> <mn>3</mn> </msub> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msubsup> <mi>g</mi> <mi>i</mi> <mrow> <msup> <msub> <mi>s</mi> <mi>i</mi> </msub> <mo>&amp;prime;</mo> </msup> </mrow> </msubsup> <mo>)</mo> </mrow> <mrow> <mo>&amp;ForAll;</mo> <msub> <mi>a</mi> <mi>i</mi> </msub> <mo>&amp;Element;</mo> <msub> <mi>A</mi> <mi>T</mi> </msub> </mrow> </msub> </mrow> </mtd> </mtr> </mtable> </mfenced> </mrow>

密文C＝(CT,CT′)；

其中，所述访问树是指它的每个非叶子节点代表一个阈值门，叶子节点对应于不同的单个属性；m为明文；CT为第一密文分量；CT′为第二密文分量；C₀、C₁、C₂、C₃分别为第一密文分量CT的密文组件；C₀′、C₁′、C₂′、C₃′分别为第二密文分量CT′的密文组件；

步骤5、用户向云服务器发送访问请求，获得数据所有者存储在云服务器的密文；

步骤6、解密：用户对得到的密文数据进行解密，得到数据所有者要共享的明文数据并进行相关的操作；该算法先计算满足访问结构(A,T)的最小子树min(A,T)，确定解密者是否存在与最小访问子树相匹配的属性值，使得Δ_i(0)为拉格朗日系数，若存在，则计算否则，判断解密失败；

其中，m是共享加密数据的明文，A是被分享的生成矩阵；T为访问树。