CN108810004A - 基于代理的可撤销多授权中心访问控制方法、云存储系统 - Google Patents
基于代理的可撤销多授权中心访问控制方法、云存储系统 Download PDFInfo
- Publication number
- CN108810004A CN108810004A CN201810647999.7A CN201810647999A CN108810004A CN 108810004 A CN108810004 A CN 108810004A CN 201810647999 A CN201810647999 A CN 201810647999A CN 108810004 A CN108810004 A CN 108810004A
- Authority
- CN
- China
- Prior art keywords
- user
- key
- attribute
- authorization center
- service provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于无线通信网络技术领域,公开了一种基于代理的可撤销多授权中心访问控制方法、云存储系统,包括:系统初始化,包括全局认证中心CA、其他授权中心AA的初始化以及云服务器的初始化;授权中心AA为用户分配属性集,并为其生成解密所需的密钥;数据拥有者对文件进行加密;用户向云服务商发出文件访问请求,该过程包括云服务商外包解密,以及用户的最终解密;撤销系统中的某些用户或某些属性。本发明具有系统效率高、支持用户权限动态管理等优点,可用于数据信息系统中保障用户的隐私数据安全,降低用户的计算开销,以及动态的管理系统中用户的权限。
Description
技术领域
本发明属于无线通信网络技术领域,尤其涉及一种基于代理的可撤销多授权中心访问控制方法、云存储系统。
背景技术
目前,业内常用的现有技术是这样的:近年来,数据信息系统的研究和建设如火如荼。数据信息系统可以通过整合多种信息和通信技术来管理资源,实现城市智能化管理和运营,促进城市和谐可持续发展,从而提高城市居民的生活质量。云计算是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云计算可以提供安全可靠的数据存储和处理中心,可以轻松实现不同设备和应用程序之间的数据共享。因此,已成为数据信息系统的重要基础设施。作为云计算的一项重要服务,云存储通过分布式应用、网络和文件系统等功能,为数据所有者提供服务,以便他们在云环境中与其他用户共享数据。云存储拥有低成本、接口化和高扩展性的优点。但是,在云存储系统中,将数据存储在云端并不安全。云服务器提供商不是完全信的,可能出于利益考虑,分析甚至泄漏用户数据,并且有可能与一些非法用户合谋解密数据。访问控制机制能够保证只有授权用户才能访问敏感数据,被认为是解决云存储安全问题的重要手段。传统的访问控制方案存在很多问题,它无法提供更细粒度、更灵活的访问控制环境,且需要有可信实体实施访问控制策略。基于属性加密的访问控制机制(ABE)能够解决上述问题,被认为是一种适合应用于云存储环境中保护数据安全的访问控制技术。而CP-ABE机制被视为云存储中最合适的数据访问控制方案。在CP-ABE方案中,系统中的每个合法用户都被赋予了一定的属性,根据每个用户的属性集,来生成每个用户的密钥。数据拥有者通过设定访问结构,来实施其访问控制策略。而用户想要解密密文,其属性必须满足该访问策略。现有的CP-ABE方案大多基于一个授权中心,所有的密钥都由该授权中心管理和颁发。然而,在实际应用中用户可能拥有来自多个授权中心授予的属性,数据拥有者可能也会将数据共享给其他授权中心管理的用户。多授权中心的CP-ABE方案更适用于云存储系统中。此外,基于属性加密的访问控制技术也会带来极大的管理负担,尤其是撤销问题一直比较棘手。一方面,由于云存储系统中用户数量较为庞大,用户可能会频繁的更换;此外,用户的属性也可能会经常变更。用户可能会被授予某些新属性,也可能会被撤销一些当前属性,对数据的访问权限也会随之变更。另一方面,当需要撤销某个用户的权限时,需要对涉及到的密文进行重加密,重加密之后的文件不能再被之前的密钥解密,所以其他受到影响的用户需要升级密钥才能解密,使得每个用户之间不再独立,彼此互相干扰。此外,若权限撤销频繁的话,其计算负担也会很大,属性的动态性增加了密钥更新的开销和难度。在属性基加密系统中,加密和解密阶段的计算开销较大,严重影响了其实用性。大多数现有技术都不适用于外包环境,在实际中效率低。现有的撤销技术也无法实现即时的属性撤销,并且密钥更新阶段可能成为系统的瓶颈,或者依赖于一个可信的服务器。因此,提出一种基于代理的可撤销的数据访问控制方案很有必要。
综上所述,现有技术存在的问题是:
(1)在属性基加密系统中,加密和解密阶段的计算开销较大,使得数据用户的计算负担过大,严重影响了其实用性。
(2)现有技术都不适用于外包环境,在实际中效率低。
(3)在现有的撤销技术无法实现即时的属性撤销,并且密钥更新阶段可能成为系统的瓶颈,或者依赖于一个可信的服务器,严重降低了系统的效率和灵活性。
解决上述技术问题的难度和意义:
(1)属性加密系统的技术瓶颈主要在于其繁重的加、解密计算开销,也是该技术目前难以实际应用的一个重要原因。使用外包等技术提高属性加密系统的效率具有重要意义。
(2)属性撤销的通常方法是进行密钥更新和密文重的加密,该方法难以实现属性的动态管理,是属性解密技术目前难以实际应用的另一个重要原因。提出一种灵活、高效的属性撤销方法具有重要意义。
发明内容
针对现有技术存在的问题,本发明提供了一种基于代理的可撤销多授权中心访问控制方法、云存储系统。
本发明是这样实现的,一种基于代理的可撤销多授权中心访问控制方法,所述基于代理的可撤销多授权中心访问控制方法包括:
(1)全局认证中心CA、其他授权中心AA以及云服务器的初始化,为所有授权中心和用户分配唯一的身份标识符,生成全局公共参数、加密所需密钥、密钥生成所需密钥、属性认证公私钥对以及云认证公私钥对;
(2)授权中心为用户分配属性集,生成解密所需密钥;
(3)数据拥有者对文件进行加密,并将制定好的访问控制策略添加至密文中,加密完成后,将密文上传至云服务商进行存储;
(4)合法用户向云服务商发出文件访问请求,下载并解密文件;
(5)当发生用户撤销时,将撤销用户的身份标识符发送给云服务商,云服务商查找代理密钥列表并删除该用户的代理密钥,失去代理密钥,用户则无法解密;发生属性撤销时,数据拥有者需重加密密文,同时授权中心需更新系统中其他非撤销用户的密钥。
进一步,所述密钥由初始化阶段产生的参数生成,分为两部分:一个是代理密钥,用来完成部分解密,存储在云端;另一个则是用户私钥,用来完成最终解密,存储在用户自己手中;
云服务商收到请求后,使用对应的代理密钥对文件进行部分解密,并将该部分解密的密文发送给请求的用户;用户收到密文后,使用自己的用户私钥进行解密,只有属性满足访问策略的用户才能成功解密密文。
进一步,所述初始化具体包括:
步骤一,全局认证中心CA初始化,CA选取一个系统安全参数λ,选取两个阶为p的乘法循环群G和GT,g为G和G2的生成元,双线性映射为e:G×G→GT,并选择一个哈希函数H:{0,1}*→Zp;CA再选择一个随机数a∈Zp,最后生成全局公共参数:
GP={p,G,GT,e,g,ga,H};
所有授权中心和用户都需要向CA注册,获得自己的身份标识符;CA会为系统中每个合法的授权中心颁发一个全局唯一的身份标识aid,为每个合法用户颁发一个全局唯一的身份标识uid;
步骤二,授权中心AA初始化。AAaid管理的属性集定义为相关的授权中心集合定义为IA;AAaid选择两个随机数αaid,βaid∈Zp,对于属性集中的每个属性xk,AAaid都随机选择一个唯一的版本号计算属性公钥、授权中心公钥、授权中心私钥如下:
步骤三,云服务器初始化,云服务器选择一个随机数c∈Zp,计算云认证公私钥对:
PKc=gc,SKc=c;
公钥发送给AA,私钥则由云服务器保存。
进一步,所述授权中心为用户分配属性集,并为其生成解密所需的密钥具体包括:
步骤一,AAaid为每个合法用户分配相应的属性集Suid,aid,为每个用户选择一个全局唯一的随机数tu∈Zp,作为用户私钥,计算用户的代理密钥和用户私钥如下:
SKuid=tu;
步骤二,生成的代理密钥{PxKuid,aid}将被发送给云服务商存储,云服务商执行LPxK=LPxK∪{uid,PxKuid,aid},将用户的代理密钥添加至代理密钥列表LPxK中;生成的用户私钥SKuid则发送给相应的用户,由用户自己保管。
进一步,所述数据拥有者对文件进行加密具体包括:A表示一个l×n的矩阵,l为属性的总数;函数ρ将矩阵的每行都映射成了一个属性;数据拥有者选择一个秘密的随机数s∈Zp和一个随机的向量其中,y2,…,yn被用于分享s;对于i∈{1,…,l},计算Ai表示矩阵A的第i行;再随机选择γ1,γ2,…,γl∈Zp,并计算密文如下:
其中,C′,Ci用于校正s,λi,γi。
进一步,所述用户向云服务商发出文件访问请求,下载并解密文件具体包括:
步骤一,当用户发出文件访问请求时,云服务商检查他的属性集合是否符合访问结构;属性满足访问结构,则选择一组常量wi∈Zp,使得其中I={1,…,l},计算部分解密的密文如下:
解密成功后,将部分解密的密文CT′发送给用户;
步骤二,用户收到CT′正确后,只需用自己的用户私钥SKuid即可恢复明文,计算如下:
进一步,撤销系统中的某些用户或某些属性具体包括:
步骤一,当发生用户撤销时,云服务商收到撤销用户的身份标识uid后,将查找存储在云上的代理密钥列表LPxK,删除该uid对应的代理密钥,并更新该代理密钥列表;删除某个用户的代理密钥,云服务商无法完成对应的代理解密过程,密文无法被该用户解密,达到用户撤销的目的;
步骤二,当发生属性撤销时,数据拥有者需要重加密密文同时授权中心需更新其他非撤销用户的密钥。
进一步,所述步骤二具体包括:
(1)撤销属性所属的授权中心将生成密钥更新材料,uid表示所有其他非撤销用户的身份,相关的授权中心首先生成一个新的属性版本号计算属性更新密钥为再用它为所有拥有属性的非撤销用户计算代理更新密钥为AAaid为被撤销的属性更新属性公钥为并为系统中的数据拥有者广播一条消息;将被发送给云服务商用来更新代理密钥PxKuid,aid,将发送给数据拥有者;
(2)云服务商收到代理更新密钥后,将为所有拥有属性的非撤销用户更新相应的代理密钥代理密钥PxKuid,aid将被更新为:
(3)数据拥有者收到属性更新密钥后,计算密文更新密钥为并将其发送给云服务商用于重加密密文;
(4)云服务商收到密文更新密钥后,更新相应的密文为重加密后的密文将被公布如下:
本发明的另一目的在于提供一种应用所述基于代理的可撤销多授权中心访问控制方法的云存储系统。
综上所述,本发明的优点及积极效果为:考虑到单授权中心存在的单点失效和系统瓶颈问题,本发明采用了多授权中心机制,丰富了用户的属性域,提高了系统的效率,更符合实际应用需求。在多个授权中心之外,引入全局认证中心CA,分别为系统中的所有授权中心和用户分配全局唯一的身份标识aid和uid,只有属于同一uid的私钥才能用来解密,从而可以避免用户之间的共谋攻击。考虑到现有的撤销技术中,系统计算开销过大的问题,本发明采用高效的用户和属性撤销方案,保证系统的前向安全和后向安全;在用户撤销过程中,无需完成密文重加密和密钥更新的工作,数据拥有者只需让云服务商删除撤销用户存储在云端的代理密钥即可;在属性撤销过程中,大部分的密钥更新和密文重加密计算都外包给了云服务商,用户只需完成少量计算即可,大大提高了撤销的效率。考虑到用户解密计算开销过大的问题,本发明引入计算外包的思想,系统中用户解密的大部分计算均可外包给云服务商完成,极大的降低了系统的计算开销,并提高了系统的访问效率。
附图说明
图1是本发明实施例提供的基于代理的可撤销多授权中心访问控制方法流程图。
图2是本发明实施例提供的基于代理的可撤销多授权中心访问控制方法实现流程图。
图3是本发明实施例提供的用户访问数据的子流程图。
图4是本发明实施例提供的撤销的子流程图。
图5是本发明实施例提供的解密消耗的时间仿真图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明针对现有技术在属性基加密系统中,加密和解密阶段的计算开销较大,严重影响了其实用性;不适用于外包环境,在实际中效率低;在现有的撤销技术无法实现即时的属性撤销,并且密钥更新阶段可能成为系统的瓶颈,或者依赖于一个可信的服务器的不足,提出一种基于代理的可撤销多授权中心访问控制方法,以保障用户的隐私数据安全,降低用户的计算开销,以及动态的管理系统中用户的权限。
下面结合附图对本发明的应用原理作详细的描述。
如图1所示,本发明实施例提供的基于代理的可撤销多授权中心访问控制方法包括以下步骤:
S101:全局认证中心CA、其他授权中心AA以及云服务器的初始化,为系统中所有授权中心和用户分配唯一的身份标识符,生成全局公共参数、加密所需密钥、密钥生成所需密钥、属性认证公私钥对以及云认证公私钥对等;
S102:授权中心为用户分配属性集,生成解密所需密钥;密钥由初始化阶段产生的参数生成,分为两部分:一个是代理密钥,用来完成部分解密,存储在云端;另一个则是用户私钥,用来完成最终解密,存储在用户自己手中;
S103:数据拥有者对文件进行加密;数据拥有者对文件进行加密,并将制定好的访问控制策略添加至密文中,加密完成后,将密文上传至云服务商进行存储;
S104:合法用户向云服务商发出文件访问请求,下载并解密文件;云服务商收到请求后,使用对应的代理密钥对文件进行部分解密,并将解密的密文发送给请求的用户;用户收到密文后,使用自己的用户私钥进行解密,只有属性满足访问策略的用户才能成功解密密文;
S105:用户撤销或属性撤销;当发生用户撤销时,将撤销用户的身份标识符发送给云服务商,云服务商查找代理密钥列表并删除该用户的代理密钥,失去了代理密钥,该用户则无法解密;发生属性撤销时,数据拥有者需重加密密文,同时授权中心需更新系统中其他非撤销用户的密钥,以保障其他用户仍能正常解密密文。
下面结合附图对本发明的应用原理作进一步的描述。
如图2所示,本发明实施例提供的基于代理的可撤销多授权中心访问控制方法包括以下步骤:
步骤1:系统初始化。
1.1)全局认证中心CA初始化。CA首先选取一个系统安全参数λ,然后选取两个阶为p的乘法循环群G和GT,g为G的生成元,双线性映射为e:G×G→GT,并选择一个哈希函数H:{0,1}*→Zp。CA再选择一个随机数a∈Zp,最后生成全局公共参数:
GP={p,G,GT,e,g,ga,H}
此外,所有授权中心和用户都需要向CA注册,获得自己的身份标识符。CA会为系统中每个合法的授权中心颁发一个全局唯一的身份标识aid,为每个合法用户颁发一个全局唯一的身份标识uid;
1.2)授权中心AA初始化。AAaid管理的属性集定义为相关的授权中心集合定义为IA。AAaid首先选择两个随机数αaid,βaid∈Zp,对于属性集中的每个属性xk,AAaid都随机选择一个唯一的版本号最后计算属性公钥、授权中心公钥、授权中心私钥如下:
1.3)云服务器初始化。
云服务器选择一个随机数c∈Zp,计算云认证公私钥对:
PKc=gc,SKc=c
公钥发送给AA,私钥则由云服务器保存。
步骤2:授权中心为用户分配属性集,并为其生成解密所需的密钥。
2.1)AAaid首先为每个合法用户分配相应的属性集Suid,aid,然后为每个用户选择一个全局唯一的随机数tu∈Zp,作为用户私钥。然后,计算用户的代理密钥和用户私钥如下:
SKuid=tu
2.2)生成的代理密钥{PxKuid,aid}将被发送给云服务商存储,云服务商执行LPxK=LPxK∪{uid,PxKuid,aid},将用户的代理密钥添加至代理密钥列表LPxK中。生成的用户私钥SKuid则发送给相应的用户,由用户自己保管。
步骤3:数据拥有者对文件进行加密。
令A表示一个l×n的矩阵,l为属性的总数。函数ρ将矩阵的每行都映射成了一个属性。数据拥有者首先选择一个秘密的随机数s∈Zp和一个随机的向量其中,y2,…,yn被用于分享s。对于i∈{1,…,l},计算Ai表示矩阵A的第i行。然后,再随机选择γ1,γ2,…,γl∈Zp,并计算密文如下:
其中,C′,Ci用于校正s,λi,γi。
步骤4:用户向云服务商发出文件访问请求,下载并解密文件。
参照图2,本步骤具体实现如下:
4.1)当用户发出文件访问请求时,云服务商首先检查他的属性集合是否符合访问结构。如果他的属性满足访问结构,则选择一组常量wi∈Zp,使得其中I={1,…,l},然后计算部分解密的密文如下:
解密成功后,将部分解密的密文CT′发送给用户。
4.2)用户收到CT′正确后,只需用自己的用户私钥SKuid即可恢复明文,计算如下:
步骤5:撤销系统中的某些用户或某些属性。
参照图3,本步骤具体实现如下:
5.1)当发生用户撤销时,云服务商收到撤销用户的身份标识uid后,将查找存储在云上的代理密钥列表LPxK,删除该uid对应的代理密钥,并更新该代理密钥列表。删除了某个用户的代理密钥,云服务商无法完成对应的代理解密过程,从而密文无法被该用户解密,达到了用户撤销的目的。
5.2)当发生属性撤销时,数据拥有者需要重加密密文,同时授权中心需更新其他非撤销用户的密钥。
5.2.1)首先,撤销属性所属的授权中心将生成一些密钥更新材料。这里让uid表示所有其他非撤销用户的身份,相关的授权中心首先生成一个新的属性版本号然后计算属性更新密钥为再用它为所有拥有属性的非撤销用户计算代理更新密钥为接着,AAaid为被撤销的属性更新属性公钥为并为系统中的数据拥有者广播一条消息,使得他们能够收到更新的属性公钥。然后,将被发送给云服务商用来更新代理密钥PxKuid,aid,将发送给数据拥有者。
5.2.2)云服务商收到代理更新密钥后,将为所有拥有属性的非撤销用户更新相应的代理密钥代理密钥PxKuid,aid将被更新为:
5.2.3)数据拥有者收到属性更新密钥后,计算密文更新密钥为并将其发送给云服务商用于重加密密文。
5.2.4)云服务商收到密文更新密钥后,更新相应的密文为重加密后的密文将被公布如下:
本发明效果可以通过以下仿真进一步说明:
1.仿真条件
仿真环境是:台式机,配置是 CPU G630@270GHz 4.00GB RAM,操作系统为64位Ubuntu14.04。仿真基于加密方案和协议的快速原型设计Python框架Charm实现。
2.仿真内容与结果分析
采用本发明方法对数据文件进行访问,结果如附图4所示,
从图4可见,在解密过程中,云服务商外包解密消耗的时间远大于用户解密消耗的时间,且随属性个数的增加而变长,而用户解密消耗的时间大概在0.03s左右,几乎为恒定值。由于大部分复杂的计算都外包给了云服务商,用户最后只需完成简单的指数运算即可,极大的降低了用户的计算开销。
由仿真结果可知,本发明能极大的降低系统中用户的计算开销,提高系统的访问效率,这在实际应用中非常重要。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于代理的可撤销多授权中心访问控制方法,其特征在于,所述基于代理的可撤销多授权中心访问控制方法包括:
(1)全局认证中心CA、其他授权中心AA以及云服务器的初始化,为所有授权中心和用户分配唯一的身份标识符,生成全局公共参数、加密所需密钥、密钥生成所需密钥、属性认证公私钥对以及云认证公私钥对;
(2)授权中心为用户分配属性集,生成解密所需密钥;
(3)数据拥有者对文件进行加密,并将制定好的访问控制策略添加至密文中,加密完成后,将密文上传至云服务商进行存储;
(4)合法用户向云服务商发出文件访问请求,下载并解密文件;
(5)当发生用户撤销时,将撤销用户的身份标识符发送给云服务商,云服务商查找代理密钥列表并删除该用户的代理密钥,失去代理密钥,用户则无法解密;发生属性撤销时,数据拥有者需重加密密文,同时授权中心需更新系统中其他非撤销用户的密钥。
2.如权利要求1所述的基于代理的可撤销多授权中心访问控制方法,其特征在于,所述密钥由初始化阶段产生的参数生成,分为两部分:一个是代理密钥,用来完成部分解密,存储在云端;另一个则是用户私钥,用来完成最终解密,存储在用户自己手中;
云服务商收到请求后,使用对应的代理密钥对文件进行部分解密,并将该部分解密的密文发送给请求的用户;用户收到密文后,使用自己的用户私钥进行解密,只有属性满足访问策略的用户才能成功解密密文。
3.如权利要求1所述的基于代理的可撤销多授权中心访问控制方法,其特征在于,所述初始化具体包括:
步骤一,全局认证中心CA初始化,CA选取一个系统安全参数λ,选取两个阶为p的乘法循环群G和GT,g为G和G2的生成元,双线性映射为e:G×G→GT,并选择一个哈希函数H:{0,1}*→Zp;CA再选择一个随机数a∈Zp,最后生成全局公共参数:
GP={p,G,GT,e,g,ga,H};
所有授权中心和用户都需要向CA注册,获得自己的身份标识符;CA会为系统中每个合法的授权中心颁发一个全局唯一的身份标识aid,为每个合法用户颁发一个全局唯一的身份标识uid;
步骤二,授权中心AA初始化,AAaid管理的属性集定义为相关的授权中心集合定义为IA;AAaid选择两个随机数αaid,βaid∈Zp,对于属性集中的每个属性xk,AAaid都随机选择一个唯一的版本号计算属性公钥、授权中心公钥、授权中心私钥如下:
步骤三,云服务器初始化,云服务器选择一个随机数c∈Zp,计算云认证公私钥对:
PKc=gc,SKc=c;
公钥发送给AA,私钥则由云服务器保存。
4.如权利要求1所述的基于代理的可撤销多授权中心访问控制方法,其特征在于,所述授权中心为用户分配属性集,并为其生成解密所需的密钥具体包括:
步骤一,AAaid为每个合法用户分配相应的属性集Suid,aid,为每个用户选择一个全局唯一的随机数tu∈Zp,作为用户私钥,计算用户的代理密钥和用户私钥如下:
SKuid=tu;
步骤二,生成的代理密钥{PxKuid,aid}将被发送给云服务商存储,云服务商执行LPxK=LPxK∪{uid,PxKuid,aid},将用户的代理密钥添加至代理密钥列表LPxK中;生成的用户私钥SKuid则发送给相应的用户,由用户自己保管。
5.如权利要求1所述的基于代理的可撤销多授权中心访问控制方法,其特征在于,所述数据拥有者对文件进行加密具体包括:A表示一个l×n的矩阵,l为属性的总数;函数ρ将矩阵的每行都映射成了一个属性;数据拥有者选择一个秘密的随机数s∈Zp和一个随机的向量其中,y2,…,yn被用于分享s;对于i∈{1,…,l},计算Ai表示矩阵A的第i行;再随机选择γ1,γ2,…,γl∈Zp,并计算密文如下:
其中,C′,Ci用于校正s,λi,γi。
6.如权利要求1所述的基于代理的可撤销多授权中心访问控制方法,其特征在于,所述用户向云服务商发出文件访问请求,下载并解密文件具体包括:
步骤一,当用户发出文件访问请求时,云服务商检查他的属性集合是否符合访问结构;属性满足访问结构,则选择一组常量wi∈Zp,使得其中I={1,…,l},计算部分解密的密文如下:
解密成功后,将部分解密的密文CT′发送给用户;
步骤二,用户收到CT′正确后,只需用自己的用户私钥SKuid即可恢复明文,计算如下:
7.如权利要求1所述的基于代理的可撤销多授权中心访问控制方法,其特征在于,撤销系统中的某些用户或某些属性具体包括:
步骤一,当发生用户撤销时,云服务商收到撤销用户的身份标识uid后,将查找存储在云上的代理密钥列表LPxK,删除该uid对应的代理密钥,并更新该代理密钥列表;删除某个用户的代理密钥,云服务商无法完成对应的代理解密过程,密文无法被该用户解密,达到用户撤销的目的;
步骤二,当发生属性撤销时,数据拥有者需要重加密密文同时授权中心需更新其他非撤销用户的密钥。
8.如权利要求7所述的基于代理的可撤销多授权中心访问控制方法,其特征在于,所述步骤二具体包括:
(1)撤销属性所属的授权中心将生成密钥更新材料,uid表示所有其他非撤销用户的身份,相关的授权中心首先生成一个新的属性版本号计算属性更新密钥为再用它为所有拥有属性的非撤销用户计算代理更新密钥为AAaid为被撤销的属性更新属性公钥为并为系统中的数据拥有者广播一条消息;将被发送给云服务商用来更新代理密钥PxKuid,aid,将发送给数据拥有者;
(2)云服务商收到代理更新密钥后,将为所有拥有属性的非撤销用户更新相应的代理密钥代理密钥PxKuid,aid将被更新为:
(3)数据拥有者收到属性更新密钥后,计算密文更新密钥为并将其发送给云服务商用于重加密密文;
(4)云服务商收到密文更新密钥后,更新相应的密文为重加密后的密文将被公布如下:
9.一种应用权利要求1~8任意一项所述基于代理的可撤销多授权中心访问控制方法的云存储系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810647999.7A CN108810004B (zh) | 2018-06-22 | 2018-06-22 | 基于代理的可撤销多授权中心访问控制方法、云存储系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810647999.7A CN108810004B (zh) | 2018-06-22 | 2018-06-22 | 基于代理的可撤销多授权中心访问控制方法、云存储系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108810004A true CN108810004A (zh) | 2018-11-13 |
CN108810004B CN108810004B (zh) | 2020-08-04 |
Family
ID=64085121
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810647999.7A Active CN108810004B (zh) | 2018-06-22 | 2018-06-22 | 基于代理的可撤销多授权中心访问控制方法、云存储系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108810004B (zh) |
Cited By (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109831444A (zh) * | 2019-02-28 | 2019-05-31 | 南京邮电大学 | 一种基于代理的属性加密云存储访问控制方法 |
CN109871668A (zh) * | 2019-03-08 | 2019-06-11 | 重庆邮电大学 | 智能电网中基于时限属性密码的认证、授权和访问控制方法 |
CN110012312A (zh) * | 2019-03-28 | 2019-07-12 | 南京信息工程大学 | 适于付费电视系统的基于密钥管理的访问控制方法 |
CN110099043A (zh) * | 2019-03-24 | 2019-08-06 | 西安电子科技大学 | 支持策略隐藏的多授权中心访问控制方法、云存储系统 |
CN110247761A (zh) * | 2019-06-18 | 2019-09-17 | 西安电子科技大学 | 一种格上支持属性撤销的密文策略属性加密方法 |
CN110289948A (zh) * | 2019-05-22 | 2019-09-27 | 福建师范大学 | 一种基于媒介混淆的多授权方属性基加密方法与系统 |
CN110443069A (zh) * | 2019-08-06 | 2019-11-12 | 广东工业大学 | 一种移动社交网络隐私保护的方法、系统及设备 |
CN110602063A (zh) * | 2019-08-27 | 2019-12-20 | 西安电子科技大学 | 一种多授权中心访问控制方法、系统及云存储系统 |
CN110830252A (zh) * | 2019-11-25 | 2020-02-21 | 北京优奥创思科技发展有限公司 | 数据加密的方法、装置、设备和存储介质 |
CN111064701A (zh) * | 2019-11-08 | 2020-04-24 | 浪潮电子信息产业股份有限公司 | 一种共享数据安全访问控制方法、装置、设备、介质 |
CN111130767A (zh) * | 2019-11-30 | 2020-05-08 | 西安电子科技大学 | 基于属性支持可验证外包和可撤销的物联网安全通信方法 |
CN111181719A (zh) * | 2019-12-30 | 2020-05-19 | 山东师范大学 | 云环境下基于属性加密的分层访问控制方法及系统 |
CN111475220A (zh) * | 2019-01-23 | 2020-07-31 | 阿里巴巴集团控股有限公司 | 冷启动方法、装置、电子设备及计算机存储介质 |
CN111901320A (zh) * | 2020-07-16 | 2020-11-06 | 西南交通大学 | 基于属性撤销cp-abe的抗密钥伪造攻击加密方法及其系统 |
CN111917721A (zh) * | 2020-06-28 | 2020-11-10 | 石家庄铁道大学 | 基于区块链的属性加密方法 |
CN112564903A (zh) * | 2020-12-08 | 2021-03-26 | 西安电子科技大学 | 一种智能电网中数据安全共享的去中心访问控制方法 |
CN113162762A (zh) * | 2021-04-16 | 2021-07-23 | 北京深思数盾科技股份有限公司 | 密钥授权方法、加密机、终端及存储介质 |
CN113486384A (zh) * | 2021-07-28 | 2021-10-08 | 北京字节跳动网络技术有限公司 | 密钥更新方法、装置、多属性权威管理系统、设备及介质 |
CN113783898A (zh) * | 2021-11-12 | 2021-12-10 | 湖南大学 | 一种可更新混合加密方法 |
CN114124458A (zh) * | 2021-10-25 | 2022-03-01 | 中国农业银行股份有限公司惠州分行 | 一种计算机登录者访问权限信息更新方法 |
CN114244579A (zh) * | 2021-11-29 | 2022-03-25 | 上海应用技术大学 | 用户级可撤销属性加密的电力数据隐私保护系统及方法 |
CN114244501A (zh) * | 2021-11-16 | 2022-03-25 | 上海应用技术大学 | 电力数据隐私保护系统及其实现方法、加密属性撤销方法 |
CN114338026A (zh) * | 2021-12-17 | 2022-04-12 | 复旦大学 | 基于属性签名与区块链的匿名信息反馈系统 |
CN114362924A (zh) * | 2020-09-29 | 2022-04-15 | 湖南大学 | 基于cp-abe的支持灵活撤销和可验证密文授权的系统及方法 |
CN115529194A (zh) * | 2022-11-28 | 2022-12-27 | 中国人民解放军国防科技大学 | 一种数据管理方法、系统、设备和存储介质 |
CN115913794A (zh) * | 2023-03-09 | 2023-04-04 | 鹏城实验室 | 数据安全传输方法、设备及介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103139759A (zh) * | 2011-12-05 | 2013-06-05 | 财团法人工业技术研究院 | 动态调整认证撤销清单更新频率的方法及系统 |
-
2018
- 2018-06-22 CN CN201810647999.7A patent/CN108810004B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103139759A (zh) * | 2011-12-05 | 2013-06-05 | 财团法人工业技术研究院 | 动态调整认证撤销清单更新频率的方法及系统 |
Non-Patent Citations (3)
Title |
---|
CHRISTINA F. RUSNOCK 等: ""Simulation-Based Evaluation of Adaptive Automation Revoking Strategies on Cognitive Workload and Situation Awareness", 《IEEE》 * |
李勇 等: ""支持撤销的多授权中心访问控制方案"", 《北京理工大学学报》 * |
江泽涛 等: ""一种云存储下多授权访问控制及用户属性撤销方案"", 《微电子学与计算机》 * |
Cited By (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111475220B (zh) * | 2019-01-23 | 2023-04-25 | 阿里巴巴集团控股有限公司 | 冷启动方法、装置、电子设备及计算机存储介质 |
CN111475220A (zh) * | 2019-01-23 | 2020-07-31 | 阿里巴巴集团控股有限公司 | 冷启动方法、装置、电子设备及计算机存储介质 |
CN109831444A (zh) * | 2019-02-28 | 2019-05-31 | 南京邮电大学 | 一种基于代理的属性加密云存储访问控制方法 |
CN109871668A (zh) * | 2019-03-08 | 2019-06-11 | 重庆邮电大学 | 智能电网中基于时限属性密码的认证、授权和访问控制方法 |
CN109871668B (zh) * | 2019-03-08 | 2022-11-15 | 重庆邮电大学 | 智能电网中基于时限属性密码的认证、授权和访问控制方法 |
CN110099043A (zh) * | 2019-03-24 | 2019-08-06 | 西安电子科技大学 | 支持策略隐藏的多授权中心访问控制方法、云存储系统 |
CN110012312A (zh) * | 2019-03-28 | 2019-07-12 | 南京信息工程大学 | 适于付费电视系统的基于密钥管理的访问控制方法 |
CN110012312B (zh) * | 2019-03-28 | 2021-09-28 | 南京信息工程大学 | 适于付费电视系统的基于密钥管理的访问控制方法 |
CN110289948A (zh) * | 2019-05-22 | 2019-09-27 | 福建师范大学 | 一种基于媒介混淆的多授权方属性基加密方法与系统 |
CN110289948B (zh) * | 2019-05-22 | 2022-03-22 | 福建师范大学 | 一种基于媒介混淆的多授权方属性基加密方法与系统 |
CN110247761A (zh) * | 2019-06-18 | 2019-09-17 | 西安电子科技大学 | 一种格上支持属性撤销的密文策略属性加密方法 |
CN110247761B (zh) * | 2019-06-18 | 2021-04-20 | 西安电子科技大学 | 一种格上支持属性撤销的密文策略属性加密方法 |
CN110443069A (zh) * | 2019-08-06 | 2019-11-12 | 广东工业大学 | 一种移动社交网络隐私保护的方法、系统及设备 |
CN110602063A (zh) * | 2019-08-27 | 2019-12-20 | 西安电子科技大学 | 一种多授权中心访问控制方法、系统及云存储系统 |
CN111064701A (zh) * | 2019-11-08 | 2020-04-24 | 浪潮电子信息产业股份有限公司 | 一种共享数据安全访问控制方法、装置、设备、介质 |
CN110830252A (zh) * | 2019-11-25 | 2020-02-21 | 北京优奥创思科技发展有限公司 | 数据加密的方法、装置、设备和存储介质 |
CN110830252B (zh) * | 2019-11-25 | 2022-06-10 | 北京优奥创思科技发展有限公司 | 数据加密的方法、装置、设备和存储介质 |
CN111130767A (zh) * | 2019-11-30 | 2020-05-08 | 西安电子科技大学 | 基于属性支持可验证外包和可撤销的物联网安全通信方法 |
CN111181719A (zh) * | 2019-12-30 | 2020-05-19 | 山东师范大学 | 云环境下基于属性加密的分层访问控制方法及系统 |
CN111917721B (zh) * | 2020-06-28 | 2022-04-05 | 石家庄铁道大学 | 基于区块链的属性加密方法 |
CN111917721A (zh) * | 2020-06-28 | 2020-11-10 | 石家庄铁道大学 | 基于区块链的属性加密方法 |
CN111901320A (zh) * | 2020-07-16 | 2020-11-06 | 西南交通大学 | 基于属性撤销cp-abe的抗密钥伪造攻击加密方法及其系统 |
CN114362924A (zh) * | 2020-09-29 | 2022-04-15 | 湖南大学 | 基于cp-abe的支持灵活撤销和可验证密文授权的系统及方法 |
CN112564903A (zh) * | 2020-12-08 | 2021-03-26 | 西安电子科技大学 | 一种智能电网中数据安全共享的去中心访问控制方法 |
CN112564903B (zh) * | 2020-12-08 | 2022-06-14 | 西安电子科技大学 | 一种智能电网中数据安全共享的去中心访问控制方法 |
CN113162762B (zh) * | 2021-04-16 | 2022-07-19 | 北京深思数盾科技股份有限公司 | 密钥授权方法、加密机、终端及存储介质 |
CN113162762A (zh) * | 2021-04-16 | 2021-07-23 | 北京深思数盾科技股份有限公司 | 密钥授权方法、加密机、终端及存储介质 |
CN113486384A (zh) * | 2021-07-28 | 2021-10-08 | 北京字节跳动网络技术有限公司 | 密钥更新方法、装置、多属性权威管理系统、设备及介质 |
CN114124458A (zh) * | 2021-10-25 | 2022-03-01 | 中国农业银行股份有限公司惠州分行 | 一种计算机登录者访问权限信息更新方法 |
CN113783898A (zh) * | 2021-11-12 | 2021-12-10 | 湖南大学 | 一种可更新混合加密方法 |
CN114244501A (zh) * | 2021-11-16 | 2022-03-25 | 上海应用技术大学 | 电力数据隐私保护系统及其实现方法、加密属性撤销方法 |
CN114244579A (zh) * | 2021-11-29 | 2022-03-25 | 上海应用技术大学 | 用户级可撤销属性加密的电力数据隐私保护系统及方法 |
CN114338026A (zh) * | 2021-12-17 | 2022-04-12 | 复旦大学 | 基于属性签名与区块链的匿名信息反馈系统 |
CN115529194A (zh) * | 2022-11-28 | 2022-12-27 | 中国人民解放军国防科技大学 | 一种数据管理方法、系统、设备和存储介质 |
CN115529194B (zh) * | 2022-11-28 | 2023-03-10 | 中国人民解放军国防科技大学 | 一种数据管理方法、系统、设备和存储介质 |
CN115913794A (zh) * | 2023-03-09 | 2023-04-04 | 鹏城实验室 | 数据安全传输方法、设备及介质 |
CN115913794B (zh) * | 2023-03-09 | 2023-05-19 | 鹏城实验室 | 数据安全传输方法、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN108810004B (zh) | 2020-08-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108810004A (zh) | 基于代理的可撤销多授权中心访问控制方法、云存储系统 | |
CN108390876A (zh) | 支持撤销外包可验证多授权中心访问控制方法、云服务器 | |
CN110099043B (zh) | 支持策略隐藏的多授权中心访问控制方法、云存储系统 | |
Dong et al. | Achieving an effective, scalable and privacy-preserving data sharing service in cloud computing | |
CN108833393A (zh) | 一种基于雾计算的可撤销数据共享方法 | |
CN104901942B (zh) | 一种基于属性加密的分布式访问控制方法 | |
CN103179114A (zh) | 一种云存储中的数据细粒度访问控制方法 | |
CN106656997B (zh) | 一种基于移动社交网络代理重加密跨域交友隐私保护方法 | |
CN110602063A (zh) | 一种多授权中心访问控制方法、系统及云存储系统 | |
CN108418784A (zh) | 一种基于属性密码的分布式跨域授权和访问控制方法 | |
CN104717297A (zh) | 一种安全云存储方法及系统 | |
Shen et al. | Multi-security-level cloud storage system based on improved proxy re-encryption | |
CN108111540A (zh) | 一种云存储中支持数据共享的分层访问控制系统及方法 | |
CN106452735A (zh) | 一种支持属性撤销的外包属性加密方法 | |
CN108632030A (zh) | 一种基于cp-abe高效且安全的细粒度访问控制方法 | |
CN107426162A (zh) | 一种基于属性基加密实施核心角色访问控制的方法 | |
CN106612169A (zh) | 云环境下一种安全的数据共享方法 | |
Ming et al. | Efficient revocable multi-authority attribute-based encryption for cloud storage | |
CN108880801A (zh) | 一种格上支持细粒度属性撤销的分布式属性基加密方法 | |
Xiong et al. | A secure re‐encryption scheme for data services in a cloud computing environment | |
Liu et al. | Dynamic attribute-based access control in cloud storage systems | |
CN107302524A (zh) | 一种云计算环境下的密文数据共享系统 | |
Qinlong et al. | Improving security and efciency for encrypted data sharing in online social networks | |
Fugkeaw | A lightweight policy update scheme for outsourced personal health records sharing | |
Yan et al. | Traceable and weighted attribute-based encryption scheme in the cloud environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |