CN108322447A - 云环境下的数据共享方法及系统、终端和云服务器 - Google Patents
云环境下的数据共享方法及系统、终端和云服务器 Download PDFInfo
- Publication number
- CN108322447A CN108322447A CN201810010806.7A CN201810010806A CN108322447A CN 108322447 A CN108322447 A CN 108322447A CN 201810010806 A CN201810010806 A CN 201810010806A CN 108322447 A CN108322447 A CN 108322447A
- Authority
- CN
- China
- Prior art keywords
- attribute
- identity
- ciphertext
- private key
- cloud server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了云环境下的数据共享方法,应用于终端,包括:制定文件允许被访问的属性访问策略;利用属性公钥对文件进行加密形成密文;将制定的属性访问策略和密文发送至云服务器,以供云服务器存储以及选取随机数且根据随机数和访问策略对密文进行更新,云服务器根据更新后的密文、身份公钥、随机数和最新用户身份撤销信息生成最终密文;将访问者的属性集和身份标识符发送至属性管理机构以及将身份标示符发送至身份管理服务器;接收属性管理机构根据访问者的属性集和身份标识符生成的属性私钥,以及接收身份管理服务器根据访问者的身份标示符生成的身份私钥;基于属性私钥和身份私钥对最终密文进行解密获得明文。本发明能够支持用户撤销。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种云环境下的数据共享方法及系统、终端和云服务器。
背景技术
云计算以其低成本、快速部署和灵活调整规模等优势受到各界高度关注,将海量的数据存储在云端已成为一种趋势。为保证存储到云端的数据的机密性,数据上传终端往往会对数据进行加密,将加密后的密文存储到云服务器上。
属性基加密(ABE)是在模糊身份加密的基础上提出的一种新的公钥加密机制,它用一些属性特征描述用户的身份;并引入了访问控制结构,将这两者与密文、密钥相结合,当且仅当用户的属性集合满足了访问控制结构时才能解密。属性基加密能够实现在云存储环境中的细粒度访问控制,降低了私钥存储和分发的工作量,可广泛应用于分布式环境下的信息安全领域。
然而现有的属性基加密方法存在:不能够支持用户撤销的问题。
发明内容
为解决现有技术存在的技术问题之一,本发明提供一种云环境下的数据共享方法及系统、终端和云服务器,能够支持用户撤销。
本发明提供了一种云环境下的数据共享方法,应用于终端,包括:
制定文件允许被访问的属性访问策略;
利用属性公钥对所述文件进行加密形成密文;
将制定的所述属性访问策略和所述密文发送至云服务器,以供所述云服务器存储以及选取随机数且根据所述随机数和所述访问策略对所述密文进行更新,所述云服务器根据更新后的密文、所述身份公钥、所述随机数和最新用户身份撤销信息生成最终密文;
将访问者的属性集和身份标识符发送至属性管理机构以及将身份标示符发送至身份管理服务器
接收属性管理机构根据访问者的属性集和身份标识符生成的属性私钥,以及接收身份管理服务器根据访问者的身份标示符生成的身份私钥;
基于所述属性私钥和身份私钥对所述最终密文进行解密获得明文。
优选地,所述基于所述属性私钥和身份私钥对所述最终密文进行解密获得所述文件的步骤,包括:
将所述身份私钥发送至云服务器,以使云服务器根据该身份私钥对最终密文进行初次解密;
根据所述属性私钥以及初次解密结果进行最终解密,得到明文。
优选地,所述属性公钥包括多个属性管理机构分别生成的属性公钥;
所述属性私钥包括多个属性管理机构分别生成的属性私钥。
本发明还提供一种云环境下的数据共享方法,应用于云服务器,包括:
接收并存储终端发送密文和属性访问策略,所述密文由待上传的文件基于属性公钥加密后形成;
选取随机数并根据所述随机数和所述访问策略对所述密文进行更新;
根据更新后的密文、身份公钥、所述随机数和最新用户身份撤销信息生成最终密文,以使所述数据访问终端根据访问者的属性私钥和所述身份私钥对所述最终密文进行解密获得明文,属性私钥根据访问者的属性集和身份标识符生成,身份私钥根据访问者的身份标示符生成。
优选地,还包括:接收终端发送的访问者的身份私钥;
根据所述身份私钥对最终密文进行初次解密,以使所述数据访问终端根据所述属性私钥以及所述初次解密的结果进行最终解密,得到明文。
优选地,所述属性公钥包括多个属性管理机构分别生成的属性公钥;所述属性私钥包括多个属性管理机构分别生成的属性私钥。
优选地,根据所述随机数和所述属性访问策略对所述密文的部分密文块块进行更新。
本发明还提供一种终端,包括:
制定及加密模块,用于制定文件允许被访问的属性访问策略,并利用属性公钥对所述文件进行加密形成密文;
密文发送模块,用于将制定的所述属性访问策略和所述密文发送至云服务器,以供所述云服务器存储以及选取随机数且根据所述随机数和所述访问策略对所述密文进行更新,所述云服务器根据更新后的密文、所述身份公钥、所述随机数和最新用户身份撤销信息生成最终密文;
访问者信息发送模块,用于将访问者的属性集和身份标识符发送至属性管理机构以及将身份标示符发送至身份管理服务器;
私钥接收模块,用于接收属性管理机构根据访问者的属性集和身份标识符生成的属性私钥,以及接收身份管理服务器根据访问者的身份标示符生成的身份私钥;
解密模块,用于基于所述属性私钥和身份私钥对所述最终密文进行解密获得所述文件。
优选地,所述解密模块包括:
发送子模块,用于将所述身份私钥发送至云服务器,以使云服务器根据该身份私钥对最终密文进行初次解密;
解密子模块,用于根据所述属性私钥以及初次解密结果进行最终解密,得到明文。
优选地,所述属性公钥包括多个属性管理机构分别生成的属性公钥;所述属性私钥包括多个属性管理机构分别生成的属性私钥。
本发明还提供一种云服务器,包括:
存储模块,用于接收并存储终端发送密文和属性访问策略,所述密文由待上传的文件基于属性公钥加密后形成;
密文更新模块,用于选取随机数并根据所述随机数和所述访问策略对所述密文进行更新;
最终密文生成模块,用于根据更新后的密文、身份公钥、所述随机数和最新用户身份撤销信息生成最终密文,以使所述数据访问终端根据访问者的属性私钥和所述身份私钥对所述最终密文进行解密获得明文,属性私钥根据访问者的属性集和身份标识符生成,身份私钥根据访问者的身份标示符生成。
优选地,还包括:
接收模块,用于接收终端发送的访问者的身份私钥;
初次解密模块,用于根据所述身份私钥对最终密文进行初次解密,以使所述数据访问终端根据所述属性私钥以及所述初次解密的结果进行最终解密,得到明文。
优选地,所述密文更新模块,用于根据所述随机数和所述属性访问策略对所述密文的部分密文块块进行更新。
优选地,所述属性公钥包括多个属性管理机构分别生成的属性公钥;
所述属性私钥包括多个属性管理机构分别生成的属性私钥。
本发明还提供一种云环境下的数据共享系统,包括:终端,采用上述终端;云服务器,采用上述云服务器。
本发明具有以下有益效果:
本发明提供的云环境下的数据共享方法及系统、终端和云服务器,可以将当前访问者的身份标识符和用户撤销列表中的身份标示符比对,若访问者的身份不属于最新用户身份撤销列表中,则云服务器初次解密后会得到初次解密结果,最后终端再根据属性私钥和初次解密结果进行最终解密得到明文;若访问者的身份不属于最新用户身份撤销列表中,则会向终端返回信息以表示访问无效,故,本发明实施例提供的云环境下的数据共享方法,可以支持用户撤销。
附图说明
图1为本发明实施例提供的云环境下数据共享方法的工作流程图;
图2为本发明实施例提供的终端的原理框图;
图3为本发明实施例提供的云服务器的原理框图;
图4为本发明实施例提供的云环境下的数据共享系统的原理框图。
具体实施方式
为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的云环境下的数据共享方法及系统、终端和云服务器进行详细描述。
实施例1
在描述本发明实施例提供的数据共享方法之前,本发明实施例提供的数据共享方法应用的环境包括:终端、属性管理机构和云服务器,为便于下文的描述,终端分为位于数据上传者侧的数据上传终端和位于数据访问者侧的数据访问终端。
图1为本发明实施例提供的云环境下数据共享方法的工作时序图,请参阅图1,本发明实施例提供的云环境下数据共享方法包括数据加密上传过程和数据解密下载过程。
其中,数据加密上传过程包括以下步骤:
S1,数据上传终端选取数据上传者待上传的文件。
S2,数据上传终端制定该文件允许被访问的属性访问策略。
具体地,属性由属性管理机构管理。
优选地,属性管理机构的数量为多个,每个属性管理机构管理不同的属性集合,且不同属性集合无交集;针对每个属性管理机构(或者针对不同的属性集合)制定该文件允许被访问的属性访问策略,也就是说,制定一系列访问策略,如(Ai,δi)其中,i=1,2,……d,d为属性管理机构的个数,d大于等于2(即,为多个),其中Ai是ni×li共享生成矩阵,ni为第i个属性管理机构中参与加密的属性个数,li为预设值;δi是矩阵行到属性的映射。
S3,数据上传终端根据属性公钥PK对待上传文件进行加密形成密文。
其中,属性公钥由属性管理机构根据其所管理的属性生成,每个属性机构产生的属性公钥为其中,αx,βx是属性管理机构选取的随机数,g是素数阶群的生成元,x属于属性机构所管理的属性集中的一个属性。
在属性管理机构的数量为多个的情况下,S3中数据上传终端分别利用每个属性管理机构生成并发送来的属性公钥对文件进行加密形成密文,也就是说,该密文与多个属性管理机构各自生成的属性公钥相关,其中,不同的属性管理机构生成的属性公钥不同。
在此需要说明的是,本实施例中借助多个属性管理机构管理不同属性集,这相对仅采用一个属性管理机构管理所有的属性集而言,不会出现密钥托管安全性问题,从而可以提高数据的安全性。
S4,数据上传终端将制定的属性访问策略和密文发送至云服务器。
明文M按照如下方式生成密文的多个片段C0、C1,i,τ、C2,i,τ、C3,i,τ(即,密文块):
其中,
为数据上传终端选取的随机数;
为云服务器选取的随机数。
I为代表第i个属性机构的下标;
τ=1,2,……,ni,ni为属性个数;
F为参与加密的属性所对应的属性机构下标的集合;
δi(τ)为ni×li共享生成矩阵Ai的第τ行到属性x的映射;
S5,云服务器存储密文。
具体地,可以采用但不限于存储格式,其中τ=1,2,……,ni,ni为属性个数,[ni]={1,2,…,ni}。
S6,身份管理服务器生成身份公钥CPK。
具体地,用户身份管理服务器根据其自身生成的主密钥生成身份公钥。更具体地,CPK={gγ,g1/θ},其中γ,θ是身份管理服务器选取的随机数,{γ,θ}可作为身份管理服务器的主密钥。
S7,身份管理服务器将身份公钥CPK、保存的最新用户撤销列表发送至云服务器。
S8,云服务器选取随机数z,并根据随机数z和属性访问策略对密文进行更新。
优选地,根据随机数和属性访问策略对密文中的部分密文块进行更新,具体地,优选地对C3,i,τ密文块采用如下方式进行更新得到C′3,i,τ:
其中,
为云服务器设置的向量;
是云服务器选取的随机数
z=∑i∈Fzi′,也为一个随机数。
这样密文更新后变成
在此需要说明的是,由于仅对部分密文块(C3,i,τ)进行更新,因此,可以减少运算量,但是本发明并不局限于此,在实际应用中,当然还可以对全部密文块进行更新。
S9,云服务器根据更新后的密文、身份公钥CPK、随机数z和最新用户身份撤销信息生成最终密文。
具体地,最新用户身份撤销信息可以但不限于以列表的方式保存在身份管理服务器中。假设被撤销用户的个数为r且撤销列表为RL={GID1′……,GIDr′},云服务器设置z1,z2,……,zr使得结合身份公钥,生成密文块该密文块与更新后的密文形成最终密文,最终密文为:其中,[r]={1,2,…,r}。
解密下载过程包括以下步骤:
S10,数据访问终端发送访问者的属性集S和身份标识符GID给属性管理机构。
具体地,在属性管理机构的数量为多个的情况下,数据访问终端将访问者的GID和属性发送至该属性被管理的属性管理机构。
S11,属性管理机构根据数据访问终端发送来的属性集S和身份标识符GID生成属性私钥αx,βx是属性管理机构选取的随机数,x是属性管理机构管理的属性集S中的一个属性,H是hash函数;并发送至数据访问终端。
具体地,在属性管理机构的数量为多个的情况下,多个属性管理机构生成多个属性私钥并分别发送至数据访问终端。αx,βx作为属性管理机构的主密钥,用于生成属性公钥和属性私钥。
S12,数据访问终端将身份标示符GID发送至身份管理服务器。
具体地,身份标示符为与访问者一一对应,这样可以提高数据的被访问的安全性。
S13,身份管理服务器根据访问者的身份标示符GID生成访问者的身份私钥KGID并发送至数据访问终端。
具体地,身份管理服务器不仅根据访问者的身份标示符GID,还根据自身生成的主密钥生成身份私钥,这样,可以进一步提高数据的安全性。更具体地,KGID=H(GID)(GID+γ)θ,{γ,θ}可作为身份管理服务器的主密钥,用于生成身份公钥和身份私钥。
S14,数据访问终端将身份私钥发送至云服务器。
S15,云服务器利用访问者的身份私钥对最终密文进行初次解密得到初次解密结果。
具体地,云服务器初次解密,计算过程如下:
得到中间值D和中间密文
该过程相当于将当前访问者的身份标识符和用户撤销列表中的身份标示符比对,若访问者的身份不属于最新用户身份撤销列表中,则云服务器初次解密后会得到初次解密结果(包括上述中间密文CT′和中间值D);否不满足该条件,云服务器返回给数据访问终端“null”,来表示访问无效。
S16,数据访问终端根据属性私钥和初次解密的结果继续解密,得到明文。
具体过程如下:若数据访问终端的属性集满足属性访问策略,则对于每个属性访问策略,必存在一系列常数{ci,τ|τ∈Ii}使得其中Ii={τ|δi(τ)∈S′},S′是授权属性集。结合属性私钥,对中间密文处理如下:
根据中间值D,最终可以恢复明文:
综上所述,本发明实施例提供的云环境下的数据共享方法,可以将当前访问者的身份标识符和用户撤销列表中的身份标示符比对,若访问者的身份不属于最新用户身份撤销列表中,则云服务器初次解密后会得到初次解密结果,最后终端再根据属性私钥和初次解密结果进行最终解密得到明文;若访问者的身份不属于最新用户身份撤销列表中,则会向终端返回信息以表示访问无效,故,本发明实施例提供的云环境下的数据共享方法,可以制成用户撤销。
举例说明,本发明实施例提供的云环境下的数据共享方法,可应用在如下场景环境中:患者将自己的健康记录上传至医院的电子医疗系统,要求仅指定的医生有权访问自己的健康记录;但在该医生自该医院辞职之后,仅应该取消该医生的访问资格,也即,将该医生的身份写入上述最新用户身份撤销列表中,这样,就能够保证该医生不能够访问该病人健康记录。
优选地,在本发明中,还借助多个属性管理机构管理不同的属性集,从而可以降低属性密钥泄露的风险,数据安全性高。
还优选地,本发明中,借助云服务器利用身份私钥进行初次解密,可以减少终端的运算量,从而解密效果高,进而用户的体验度高。
实施例2
图2为本发明实施例提供的终端的原理框图,请参阅图2,本发明实施例提供的终端10包括:制定及加密模块101、密文发送模块102、访问者信息发送模块103、私钥接收模块104和解密模块105。
制定及加密模块101用于制定文件允许被访问的属性访问策略,并利用属性公钥对所述文件进行加密形成密文。
密文发送模块102用于将制定的所述属性访问策略和所述密文发送至云服务器,以供所述云服务器存储以及选取随机数且根据所述随机数和所述访问策略对所述密文进行更新,所述云服务器根据更新后的密文、所述身份公钥、所述随机数和最新用户身份撤销信息生成最终密文。
访问者信息发送模块103用于将访问者的属性集和身份标识符发送至属性管理机构以及将身份标示符发送至身份管理服务器。
私钥接收模块104用于接收属性管理机构根据访问者的属性集和身份标识符生成的属性私钥,以及接收身份管理服务器根据访问者的身份标示符生成的身份私钥。
解密模块105用于基于所述属性私钥和身份私钥对所述最终密文进行解密获得所述文件。
优选地,解密模块105包括:发送子模块和解密子模块。其中:发送子模块用于将所述身份私钥发送至云服务器,以使云服务器根据该身份私钥对最终密文进行初次解密;解密子模块用于根据所述属性私钥以及初次解密结果进行最终解密,得到明文。
优选地,所述属性公钥包括多个属性管理机构分别生成的属性公钥;所述属性私钥包括多个属性管理机构分别生成的属性私钥。
本发明实施例提供的终端的相关内容请参见上述实施例1,在此不再赘述。
实施例3
图3为本发明实施例提供的终端的原理框图,请参阅图3,本发明实施例提供的云服务器20包括:存储模块201、密文更新模块202、最终密文生成模块203。
其中,存储模块201用于接收并存储终端发送密文和属性访问策略,所述密文由待上传的文件基于属性公钥加密后形成;
密文更新模块202用于选取随机数并根据所述随机数和所述访问策略对所述密文进行更新;
最终密文生成模块203用于根据更新后的密文、身份公钥、所述随机数和最新用户身份撤销信息生成最终密文,以使所述数据访问终端根据访问者的属性私钥和所述身份私钥对所述最终密文进行解密获得所述文件,属性私钥根据访问者的属性集和身份标识符生成,身份私钥根据访问者的身份标示符生成。
优选地,云服务器20还包括:接收模块204和初次解密模块205,其中,接收模块204用于接收终端发送的访问者的身份私钥;初次解密模块205用于根据所述身份私钥对最终密文进行初次解密,以使所述数据访问终端根据所述属性私钥以及所述初次解密的结果进行最终解密,得到明文。
优选地,密文更新模块202用于根据所述随机数和所述属性访问策略对所述密文的部分密文块块进行更新。
优选地,所述属性公钥包括多个属性管理机构分别生成的属性公钥;
所述属性私钥包括多个属性管理机构分别生成的属性私钥。
本发明实施例提供的云服务器的相关内容请参见上述实施例1,在此不再赘述。
实施例4
图4为本发明实施例提供的云环境下的数据共享系统的原理框图,请参阅图4,本发明实施例还提供一种云环境下的数据共享系统,包括:终端10采用上述实施例2提供的终端;云服务器20采用上述实施例3提供的云服务器、属性管理机构30和身份管理服务器40。
具体相关内容请参见上述实施例1,在此不再赘述。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
Claims (15)
1.一种云环境下的数据共享方法,应用于终端,其特征在于,包括:
制定文件允许被访问的属性访问策略;
利用属性公钥对所述文件进行加密形成密文;
将制定的所述属性访问策略和所述密文发送至云服务器,以供所述云服务器存储以及选取随机数且根据所述随机数和所述访问策略对所述密文进行更新,所述云服务器根据更新后的密文、所述身份公钥、所述随机数和最新用户身份撤销信息生成最终密文;
将访问者的属性集和身份标识符发送至属性管理机构以及将身份标示符发送至身份管理服务器
接收属性管理机构根据访问者的属性集和身份标识符生成的属性私钥,以及接收身份管理服务器根据访问者的身份标示符生成的身份私钥;
基于所述属性私钥和身份私钥对所述最终密文进行解密获得明文。
2.根据权利要求1所述的云环境下的数据共享方法,其特征在于,所述基于所述属性私钥和身份私钥对所述最终密文进行解密获得所述文件的步骤,包括:
将所述身份私钥发送至云服务器,以使云服务器根据该身份私钥对最终密文进行初次解密;
根据所述属性私钥以及初次解密结果进行最终解密,得到明文。
3.根据权利要求1所述的云环境下的数据共享方法,其特征在于,
所述属性公钥包括多个属性管理机构分别生成的属性公钥;
所述属性私钥包括多个属性管理机构分别生成的属性私钥。
4.一种云环境下的数据共享方法,应用于云服务器,其特征在于,包括:
接收并存储终端发送密文和属性访问策略,所述密文由待上传的文件基于属性公钥加密后形成;
选取随机数并根据所述随机数和所述访问策略对所述密文进行更新;
根据更新后的密文、身份公钥、所述随机数和最新用户身份撤销信息生成最终密文,以使所述数据访问终端根据访问者的属性私钥和所述身份私钥对所述最终密文进行解密获得明文,属性私钥根据访问者的属性集和身份标识符生成,身份私钥根据访问者的身份标示符生成。
5.根据权利要求4所述的云环境下的数据共享方法,其特征在于,还包括:
接收终端发送的访问者的身份私钥;
根据所述身份私钥对最终密文进行初次解密,以使所述数据访问终端根据所述属性私钥以及所述初次解密的结果进行最终解密,得到明文。
6.根据权利要求4所述的云环境下的数据共享方法,其特征在于,
所述属性公钥包括多个属性管理机构分别生成的属性公钥;
所述属性私钥包括多个属性管理机构分别生成的属性私钥。
7.根据权利要求4所述的云环境下的数据共享方法,其特征在于,根据所述随机数和所述属性访问策略对所述密文的部分密文块块进行更新。
8.一种终端,其特征在于,包括:
制定及加密模块,用于制定文件允许被访问的属性访问策略,并利用属性公钥对所述文件进行加密形成密文;
密文发送模块,用于将制定的所述属性访问策略和所述密文发送至云服务器,以供所述云服务器存储以及选取随机数且根据所述随机数和所述访问策略对所述密文进行更新,所述云服务器根据更新后的密文、所述身份公钥、所述随机数和最新用户身份撤销信息生成最终密文;
访问者信息发送模块,用于将访问者的属性集和身份标识符发送至属性管理机构以及将身份标示符发送至身份管理服务器;
私钥接收模块,用于接收属性管理机构根据访问者的属性集和身份标识符生成的属性私钥,以及接收身份管理服务器根据访问者的身份标示符生成的身份私钥;
解密模块,用于基于所述属性私钥和身份私钥对所述最终密文进行解密获得所述文件。
9.根据权利要求8所述的终端,其特征在于,所述解密模块包括:
发送子模块,用于将所述身份私钥发送至云服务器,以使云服务器根据该身份私钥对最终密文进行初次解密;
解密子模块,用于根据所述属性私钥以及初次解密结果进行最终解密,得到明文。
10.根据权利要求8所述的终端,其特征在于,所述属性公钥包括多个属性管理机构分别生成的属性公钥;
所述属性私钥包括多个属性管理机构分别生成的属性私钥。
11.一种云服务器,其特征在于,包括:
存储模块,用于接收并存储终端发送密文和属性访问策略,所述密文由待上传的文件基于属性公钥加密后形成;
密文更新模块,用于选取随机数并根据所述随机数和所述访问策略对所述密文进行更新;
最终密文生成模块,用于根据更新后的密文、身份公钥、所述随机数和最新用户身份撤销信息生成最终密文,以使所述数据访问终端根据访问者的属性私钥和所述身份私钥对所述最终密文进行解密获得明文,属性私钥根据访问者的属性集和身份标识符生成,身份私钥根据访问者的身份标示符生成。
12.根据权利要求11所述的云服务器,其特征在于,还包括:
接收模块,用于接收终端发送的访问者的身份私钥;
初次解密模块,用于根据所述身份私钥对最终密文进行初次解密,以使所述数据访问终端根据所述属性私钥以及所述初次解密的结果进行最终解密,得到明文。
13.根据权利要求11所述的云服务器,其特征在于,所述密文更新模块,用于根据所述随机数和所述属性访问策略对所述密文的部分密文块块进行更新。
14.根据权利要求11所述的云服务器,其特征在于,所述属性公钥包括多个属性管理机构分别生成的属性公钥;
所述属性私钥包括多个属性管理机构分别生成的属性私钥。
15.一种云环境下的数据共享系统,其特征在于,包括:
终端,采用权利要求8-10任意一项所述的终端;
云服务器,采用权利要求11-14任意一项所述的云服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810010806.7A CN108322447B (zh) | 2018-01-05 | 2018-01-05 | 云环境下的数据共享方法及系统、终端和云服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810010806.7A CN108322447B (zh) | 2018-01-05 | 2018-01-05 | 云环境下的数据共享方法及系统、终端和云服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108322447A true CN108322447A (zh) | 2018-07-24 |
CN108322447B CN108322447B (zh) | 2021-12-10 |
Family
ID=62893754
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810010806.7A Active CN108322447B (zh) | 2018-01-05 | 2018-01-05 | 云环境下的数据共享方法及系统、终端和云服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108322447B (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109981614A (zh) * | 2019-03-12 | 2019-07-05 | 华南农业大学 | 基于用户群的数据加密方法、解密方法、查询方法及装置 |
CN110519049A (zh) * | 2019-08-07 | 2019-11-29 | 赤峰学院 | 一种基于可信执行环境的云端数据保护系统 |
CN111064701A (zh) * | 2019-11-08 | 2020-04-24 | 浪潮电子信息产业股份有限公司 | 一种共享数据安全访问控制方法、装置、设备、介质 |
CN111143880A (zh) * | 2019-12-27 | 2020-05-12 | 中电长城网际系统应用有限公司 | 数据处理方法和装置、电子设备、可读介质 |
WO2020192773A1 (zh) * | 2019-03-27 | 2020-10-01 | 深圳市网心科技有限公司 | 一种数字身份认证方法、设备、装置、系统及存储介质 |
CN112751672A (zh) * | 2020-12-30 | 2021-05-04 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种基于多参数的自适应数据加密保护方法及系统 |
CN112818404A (zh) * | 2021-02-26 | 2021-05-18 | 青岛大学 | 数据访问权限的更新方法、装置、设备及可读存储介质 |
CN114640676A (zh) * | 2022-03-25 | 2022-06-17 | 山东众量信息科技有限公司 | 多元大数据共享方法及系统 |
CN114928470A (zh) * | 2022-03-30 | 2022-08-19 | 深圳市中悦科技有限公司 | 一种身份管理系统 |
CN116074110A (zh) * | 2023-02-21 | 2023-05-05 | 西安电子科技大学 | 一种用于实现云环境中加密文件共享的方法、系统、设备及介质 |
CN117081803A (zh) * | 2023-08-17 | 2023-11-17 | 云南财经大学 | 基于区块链的物联网密文访问控制方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104113408A (zh) * | 2014-07-11 | 2014-10-22 | 西安电子科技大学 | 一种实现及时用户属性撤销的基于密文策略属性加密方法 |
CN105208007A (zh) * | 2015-08-26 | 2015-12-30 | 中标软件有限公司 | 一种数据共享系统 |
WO2017061950A1 (en) * | 2015-10-09 | 2017-04-13 | Singapore Management University | Data security system and method for operation thereof |
CN106788988A (zh) * | 2016-11-28 | 2017-05-31 | 暨南大学 | 云环境下可撤销的密钥聚合加密方法 |
-
2018
- 2018-01-05 CN CN201810010806.7A patent/CN108322447B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104113408A (zh) * | 2014-07-11 | 2014-10-22 | 西安电子科技大学 | 一种实现及时用户属性撤销的基于密文策略属性加密方法 |
CN105208007A (zh) * | 2015-08-26 | 2015-12-30 | 中标软件有限公司 | 一种数据共享系统 |
WO2017061950A1 (en) * | 2015-10-09 | 2017-04-13 | Singapore Management University | Data security system and method for operation thereof |
CN106788988A (zh) * | 2016-11-28 | 2017-05-31 | 暨南大学 | 云环境下可撤销的密钥聚合加密方法 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109981614A (zh) * | 2019-03-12 | 2019-07-05 | 华南农业大学 | 基于用户群的数据加密方法、解密方法、查询方法及装置 |
WO2020192773A1 (zh) * | 2019-03-27 | 2020-10-01 | 深圳市网心科技有限公司 | 一种数字身份认证方法、设备、装置、系统及存储介质 |
CN110519049A (zh) * | 2019-08-07 | 2019-11-29 | 赤峰学院 | 一种基于可信执行环境的云端数据保护系统 |
CN111064701A (zh) * | 2019-11-08 | 2020-04-24 | 浪潮电子信息产业股份有限公司 | 一种共享数据安全访问控制方法、装置、设备、介质 |
CN111143880B (zh) * | 2019-12-27 | 2022-06-07 | 中电长城网际系统应用有限公司 | 数据处理方法和装置、电子设备、可读介质 |
CN111143880A (zh) * | 2019-12-27 | 2020-05-12 | 中电长城网际系统应用有限公司 | 数据处理方法和装置、电子设备、可读介质 |
CN112751672A (zh) * | 2020-12-30 | 2021-05-04 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 一种基于多参数的自适应数据加密保护方法及系统 |
CN112818404A (zh) * | 2021-02-26 | 2021-05-18 | 青岛大学 | 数据访问权限的更新方法、装置、设备及可读存储介质 |
CN112818404B (zh) * | 2021-02-26 | 2022-11-04 | 青岛大学 | 数据访问权限的更新方法、装置、设备及可读存储介质 |
CN114640676A (zh) * | 2022-03-25 | 2022-06-17 | 山东众量信息科技有限公司 | 多元大数据共享方法及系统 |
CN114640676B (zh) * | 2022-03-25 | 2023-10-24 | 中科众云(山东)大数据科技集团有限公司 | 多元大数据共享方法及系统 |
CN114928470A (zh) * | 2022-03-30 | 2022-08-19 | 深圳市中悦科技有限公司 | 一种身份管理系统 |
CN116074110A (zh) * | 2023-02-21 | 2023-05-05 | 西安电子科技大学 | 一种用于实现云环境中加密文件共享的方法、系统、设备及介质 |
CN116074110B (zh) * | 2023-02-21 | 2024-03-19 | 西安电子科技大学 | 一种用于实现云环境中加密文件共享的方法、系统、设备及介质 |
CN117081803A (zh) * | 2023-08-17 | 2023-11-17 | 云南财经大学 | 基于区块链的物联网密文访问控制方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108322447B (zh) | 2021-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108322447A (zh) | 云环境下的数据共享方法及系统、终端和云服务器 | |
Au et al. | A general framework for secure sharing of personal health records in cloud system | |
Yang et al. | Privacy-preserving fusion of IoT and big data for e-health | |
Li et al. | An efficient attribute-based encryption scheme with policy update and file update in cloud computing | |
CN111916173B (zh) | 基于ipfs和联盟链的医疗数据安全共享系统及方法 | |
CN108390876B (zh) | 支持撤销外包可验证多授权中心访问控制方法、云服务器 | |
Li et al. | Ehrchain: a blockchain-based ehr system using attribute-based and homomorphic cryptosystem | |
CN110098919A (zh) | 基于区块链的数据权限的获取方法 | |
CN106487506B (zh) | 一种支持预加密和外包解密的多机构kp-abe方法 | |
CN106506155B (zh) | 公有云环境下的密文共享方法 | |
Sun et al. | A searchable personal health records framework with fine-grained access control in cloud-fog computing | |
CN107948146A (zh) | 一种混合云中基于属性加密的连接关键词检索方法 | |
Guo et al. | A lightweight verifiable outsourced decryption of attribute-based encryption scheme for blockchain-enabled wireless body area network in fog computing | |
CN103944975B (zh) | 支持用户撤销的基于移动社交网络的文件安全共享方法 | |
Jiang et al. | Attribute-based encryption with blockchain protection scheme for electronic health records | |
CN107040374A (zh) | 一种云存储环境下支持用户动态撤销的属性基数据加密方法 | |
CN111726363A (zh) | 一种基于属性的多用户连接关键字可搜索加密方法 | |
KR101701304B1 (ko) | 클라우드 환경에서 속성기반 암호를 이용한 의료 데이터 관리 방법 및 시스템 | |
CN111917721A (zh) | 基于区块链的属性加密方法 | |
Ma et al. | Revocable attribute-based encryption scheme with efficient deduplication for ehealth systems | |
Sangeetha et al. | A secure cloud based Personal Health Record framework for a multi owner environment | |
Pandiaraja et al. | Computation efficient attribute based broadcast group key management for secure document access in public cloud. | |
CN105656881B (zh) | 一种电子病历的可验证外包存储和检索系统及方法 | |
Hao et al. | Secure data sharing with flexible user access privilege update in cloud-assisted IoMT | |
Yang et al. | A privacy‐preserving data transmission scheme based on oblivious transfer and blockchain technology in the smart healthcare |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |