CN110602063A - 一种多授权中心访问控制方法、系统及云存储系统 - Google Patents

一种多授权中心访问控制方法、系统及云存储系统 Download PDF

Info

Publication number
CN110602063A
CN110602063A CN201910795121.2A CN201910795121A CN110602063A CN 110602063 A CN110602063 A CN 110602063A CN 201910795121 A CN201910795121 A CN 201910795121A CN 110602063 A CN110602063 A CN 110602063A
Authority
CN
China
Prior art keywords
user
attribute
service provider
cloud service
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910795121.2A
Other languages
English (en)
Inventor
樊凯
刘婷婷
潘强
白宇晗
李晖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xian University of Electronic Science and Technology
Original Assignee
Xian University of Electronic Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian University of Electronic Science and Technology filed Critical Xian University of Electronic Science and Technology
Priority to CN201910795121.2A priority Critical patent/CN110602063A/zh
Publication of CN110602063A publication Critical patent/CN110602063A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Abstract

本发明属于信息安全技术领域,公开了一种多授权中心访问控制方法、系统及云存储系统,系统初始化,包括全局认证中心CA、属性授权中心AA的初始化;数据加密,包括云服务商进行的外包加密和用户加密;密钥生成,属性授权中心AA为用户分配与属性相关的属性私钥,和用户解密密钥;用户向云服务商发出文件访问请求,该过程包括云服务商外包解密,以及用户的最终解密;撤销系统中的某些用户;撤销系统中的某些属性。本发明具有系统效率高、减轻用户计算负担、支持多授权中心以及用户权限动态变更等优点,可用于云存储系统中保障用户的数据隐私安全,降低用户的计算开销,提高系统效率。

Description

一种多授权中心访问控制方法、系统及云存储系统
技术领域
本发明属于信息安全技术领域,尤其涉及一种多授权中心访问控制方法、系统及云存储系统。
背景技术
目前,最接近的现有技术:云计算自提出以来经过十余年的发展,逐渐成熟起来,且正处于爆发增长期。云计算是一种以数据和处理能力为中心的密集型计算模式,也是一个具有庞大计算能力和存储能力的实体。云计算发展所带来的业务量、信息量及用户数量的快速膨胀,引起了海量数据处理问题。因此高效的数据处理技术是云计算不可或缺的核心技术之一。对于云计算来说,数据管理面临巨大的挑战。随之衍生而来的便是云存储的概念,这是一种数据外包服务技术,将网络中各种不同类型的大量存储设备通过应用软件集合起来,通过集群应用、网络技术或分布式文件系统等功能协同工作并对外提供数据,其优势在于成本低廉、接口易于使用以及可扩展性高。然而将数据外包给云存储服务商不可避免地会引起用户对数据安全性及隐私性的担忧。阻碍云存储发展的最大障碍便是数据的安全性和缺乏控制性。通过访问控制便能够保证只有授权用户才可以访问敏感数据,即使用户及属性发生变更,也可以有效的阻止被撤销用户的访问,这被认为是解决云存储安全问题的重要手段。从数据安全的角度考虑,用户应当具备保护自身数据安全的能力,对存储在云存储服务器上的数据进行加密是一种有效的手段,传统的云存储加密方案无法应用于灵活高效的访问控制环境,且需要有可信实体实施访问控制策略。虽然当前各大云存储服务提供商都提供了访问控制服务,但是这些服务商为了能够获取更大的利润,可能会故意泄露用户的信息或者非法访问用户的数据。此外,传统的访问控制机制都是针对静态环境下的应用而设计的,但是在分布式环境下,用户和资源数量十分庞大,并且都是动态变化的。
基于属性加密机制(Attribute-Based Encryption,ABE)非常适合应用于分布式环境下用户不确定的情形,支持一对多的加密。加密时用户并不需要了解解密用户的具体信息,通过属性或访问结构定义密钥,在密文中嵌入访问结构或属性并将其发送给解密者,具有满足访问结构的属性的用户就可以解密获得明文信息。因此,基于属性加密机制不仅可以保护数据安全,而且可以方便的实现数据共享。
在基于属性加密机制中,将访问控制策略和属性集合嵌入到密文和用户的密钥,并由此分为两类:基于密文策略的属性加密(Ciphertext Policy Attribute-BasedEncryption,CP-ABE),将访问控制策略嵌入密文中,即由加密者定义访问控制策略和以及相对应的属性,访问控制策略用来加密密文,属性用来描述用户的密钥;密钥策略的属性加密(Key Policy Attribute-Based Encryption,KP-ABE),将访问控制策略嵌入密钥中,加密过程与密文策略的加密过程相反。
现有的CP-ABE方案多是只有一个授权中心,承担所有密钥的生成与分发工作。但在实际应用中用户拥有的属性可能来自多个授权中心,数据拥有者也可能将数据共享给其他授权中心管理的用户。例如,在医疗系统中,病人的相关数据会在医护人员以及保险人员之间共享,医护人员的属性由相关医院授予,保险人员的属性由投保的保险公司授予,来自不同的机构,因此,具有多授权中心的CP-ABE更适用于实际的云存储环境中。
然而,这种基于属性加密的访问控制技术有着很大的管理负担,为了保证数据的安全性,加解密运算通常是一个复杂的过程,一般的CP-ABE方案由用户完成所有的加解密运算,大量的加解密运算增加了用户的负担,降低了系统效率。现有一些方案也只是将解密运算外包给云服务商,但加密运算还是均由用户完成,还是会给用户带来很大的计算开销。
现有的CP-ABE访问控制方案依旧不能完全满足云存储中各种复杂的应用需求。
综上所述,现有技术存在的问题是:
(1)在以往的属性加密过程中,根据CP-ABE的算法,由数据拥有者指定访问结构并且独立完成加解密计算,为了满足数据的安全性,加解密都有着庞大的计算量,当数据越来越多时,给用户带来的计算开销是难以估量的。此外,在进行属性撤销时,需要对数据进行重加密再放到云端,其计算量和通信开销也非常大。
(2)在整个外包方案中,所有的密钥产生与分发均由授权中心负责,所以授权中心一旦出现信息泄露问题,用户的隐私安全将无法保证。目前已有的外包方案中,大多基于一个授权中心,在一些多授权中心方案中,仍需要一个管理其它授权中心的超级中心,但这并不能避免一个可信授权中心存在的缺点。为了保护用户的隐私,提高系统的安全性,外包方案中多授权中心的研究也是一个关键问题。
解决上述技术问题的难度:(1)将加解密运算外包给云服务器时,要注意在提高效率的同时保证数据的安全性,避免将重要信息泄露给云服务器。(2)属性集加密算法的技术瓶颈是由于用户沉重加、解密计算负担,也是该技术目前难以实际应用的一个重要原因。
解决上述技术问题的意义:提出一种安全、高效的加解密外包方法具有重要意义。
发明内容
针对现有技术存在的问题,本发明提供了一种多授权中心访问控制方法、系统及云存储系统。
本发明是这样实现的,一种多授权中心访问控制方法,所述多授权中心访问控制方法包括如下步骤:
第一步,全局认证中心CA、属性授权中心AA以及云服务器全局公共参数的初始化,为该访问控制系统中所有授权中心和用户分配唯一的身份标识符,初始化版本号;
第二步,先由云服务商进行数据加密前的外包计算,再由数据拥有者对数据进行最终的加密,加密完成后,将密文上传至云服务器进行存储;
第三步,授权中心每个用户的每个属性生成属性私钥;密钥由初始化阶段产生的参数生成,并将其存储在云端用于云服务器进行外包解密;此外还会生成用户私钥,存储在用户自己手中;
第四步,合法用户向云服务商发出访问请求,云服务商收到请求后对属性集合认证,认证通过后,云服务商根据属性私钥完成预解密,并将预解密得到的密文发送给用户;用户收到预解密密文后,使用用户私钥进行解密得到数据;
第五步,当发生用户撤销时,将撤销用户的身份标识符发送给云服务商,云服务商查找密钥列表并删除该用户的属性密钥,失去了属性密钥,该用户则无法解密;
第六步,当发生属性撤销时,对于不需要撤销的属性更新其属性私钥,版本号加1,同时也需要更新相应的用户加密的密文,使未被撤销属性的用户可以正常解密。
进一步,在用户对存储的数据进行加密前,由云服务商先进行一部分计算减轻用户开销;解密时,也先由云服务商对用户所拥有的属性是否满足访问结构进行判断,并进行预解密计算,用户再根据自己的私钥,完成最终解密。
进一步,所述第一步的系统初始化,具体包括:
步骤一,全局认证中心CA初始化,用户需要向CA注册,获得自己的身份标识符;CA会为系统中每个合法的用户颁发一个全局唯一的身份标识GID;CA选取一个系统安全参数λ,然后选一个阶为p的双线性群G,生成元为g,双线性映射为e:G×G→GT,并选择关于GID和双线性群G中元素的哈希映射H:{0,1}*→G;CA再初始化版本号ver,最后生成全局公共参数:
GP={p,G,GT,e,g,H,GID};
步骤二,属性授权中心AA初始化,每个授权机构为它所管理的每一个属性i随机选择两个指数,计算授权中心公钥、授权中心私钥如下:
然后,将公钥发布给用户,私钥则由AA自己保存。
进一步,所述第二步的数据加密,分为外包加密和用户加密,具体如下:
步骤一,云服务商进行外包加密,由其随机选择λx',γx'∈Z N,并计算:
得到的部分加密密文为:
步骤二,用户加密,具体如下:
选取一个n行l列的访问矩阵,由函数ρ将每个属性映射到矩阵的每一行,数据拥有者随机选择一个秘密s和一个随机向量并将s作为该向量的第一项,使其满足再选取一个随机向量满足此外还需要一个随机向量对A的每一行Ax也需要随机选择一个经过计算得到的用户加密密文为:
进一步,所述第三步密钥生成,具体包括:授权机构为合法用户拥有的每个属性i生成用户标识与属性相关的密钥并将其发送给云服务商;再由用户随机选择整数z,计算k1=gz,每个用户的属性私钥为:{Ki,GID}={ki,GID,k1},用户私钥为Ku=z。
进一步,所述第四步的数据解密,具体包括:
步骤一,云服务商外包解密,当用户发出访问请求时,如果该用户拥有的属性集合满足访问结构便由云服务商通过属性私钥{Kρ(x),GID}进行预解密,过程如下:
云服务器首先计算:
并得到
再选择一个常量δx∈ZN,使其满足∑δxAx=(1,0,...,0),由于 所以可以得到预解密的密文
步骤二,用户用自己的私钥计算Ku计算最终得到M=C0/M0'完成解密。
进一步,所述第五步的用户撤销,按照以下步骤进行:当发生用户撤销时,云服务商收到撤销用户的身份标识GID后,将查找存储在云上的密钥列表,删除该用户标识对应的属性密钥,并更新该密钥列表;删除某个用户的属性密钥,云服务商无法完成对应的外包解密过程,密文无法被该用户解密,达到用户撤销的目的。
进一步,所述第六步的属性撤销具体包括:
步骤一,首先对于不需要撤销的属性更新其属性私钥,并将版本号ver+1;
步骤二,对于不需要撤销的属性更新其用户加密的密文,计算如下:
本发明的另一目的在于提供一种基于所述多授权中心访问控制方法的多授权中心访问控制系统,所述多授权中心访问控制系统包括:
系统初始化模块,全局认证中心CA、属性授权中心AA以及云服务器全局公共参数的初始化,为该访问控制系统中所有授权中心和用户分配唯一的身份标识符,初始化版本号;
数据加密模块,先由云服务商进行数据加密前的外包计算,再由数据拥有者对文件进行最后的加密,将密文上传至云服务器进行存储;
密钥生成模块,用于实现授权中心为用户生成解密所需的属性私钥以及用户私钥;
数据解密模块,用于实现合法用户向云服务商发出访问请求,经过对用户属性集合的判断后,进行外包解密和用户解密;
用户撤销模块,用于实现当发生用户撤销时,将撤销用户的身份标识符发送给云服务商,云服务商查找密钥列表并删除该用户的属性密钥,失去属性密钥,该用户则无法解密;
属性撤销模块,对于不需要撤销的属性更新其属性私钥,版本号加1,同时也需要更新相应的用户加密的密文,使未被撤销属性的用户可以正常解密。
本发明的另一目的在于提供一种应用所述多授权中心访问控制方法的云存储系统。
综上所述,本发明的优点及积极效果为:本发明考虑到现有的访问控制方案存在用户加解密计算开销过大的问题,利用云服务商的计算能力,引入了外包机制,将计算量大的部分外包给云服务商,用户只需要做一小部分计算便可以完成加密与解密,大大地减轻了用户的计算负担。
本发明考虑到现有单授权中心方案存在的系统瓶颈问题,采用了多授权中心机制,通过引入全局认证中心CA,可以为系统中的所有授权中心和用户分配全局唯一的身份标识,提高了系统的效率,更满足实际应用需求。在多个授权中心之外,只有属于同一用户身份标识的属性私钥集合才能用来解密,从而可以避免用户之间的共谋攻击。
附图说明
图1是本发明实施例提供的多授权中心访问控制方法流程图。
图2是本发明实施例提供的多授权中心访问控制系统结构示意图;
图中:1、系统初始化模块;2、数据加密模块;3、密钥生成模块;4、数据解密模块;5、用户撤销模块;6、属性撤销模块。
图3是本发明实施例提供的多授权中心访问控制方法实现流程图。
图4为本发明实施例提供的用户访问数据的子流程图。
图5为本发明实施例提供的加密消耗的时间仿真图。
图6为本发明实施例提供的解密消耗的时间仿真图。
图7为本发明实施例提供的与其他方案对比的用户加密消耗的时间仿真图。
图8为本发明实施例提供的与其他方案对比的用户解密消耗的时间仿真图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种多授权中心访问控制方法、系统及云存储系统,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的多授权中心访问控制方法包括以下步骤:
S101:系统初始化:全局认证中心CA、属性授权中心AA以及云服务器全局公共参数的初始化,为该访问控制系统中所有授权中心和用户分配唯一的身份标识符,初始化版本号;
S102:数据加密:先由云服务商进行数据加密前的外包计算,再由数据拥有者对文件进行最后的加密,将密文上传至云服务器进行存储;
S103:密钥生成:授权中心为用户生成解密所需的属性私钥以及用户私钥;
S104:数据解密:合法用户向云服务商发出访问请求,经过对用户属性集合的判断后,进行外包解密和用户解密;
S105:用户撤销:当发生用户撤销时,将撤销用户的身份标识符发送给云服务商,云服务商查找密钥列表并删除该用户的属性密钥,失去属性密钥,该用户则无法解密;
S106:属性撤销:当发生属性撤销时,对于不需要撤销的属性更新其属性私钥,版本号加1,同时也需要更新相应的用户加密的密文,使未被撤销属性的用户可以正常解密。
如图2所示,本发明实施例提供的多授权中心访问控制系统包括:
系统初始化模块1,全局认证中心CA、属性授权中心AA以及云服务器全局公共参数的初始化,为该访问控制系统中所有授权中心和用户分配唯一的身份标识符,初始化版本号。
数据加密模块2,先由云服务商进行数据加密前的外包计算,再由数据拥有者对文件进行最后的加密,将密文上传至云服务器进行存储。
密钥生成模块3,用于实现授权中心为用户生成解密所需的属性私钥以及用户私钥。
数据解密模块4,用于实现合法用户向云服务商发出访问请求,经过对用户属性集合的判断后,进行外包解密和用户解密。
用户撤销模块5,用于实现当发生用户撤销时,将撤销用户的身份标识符发送给云服务商,云服务商查找密钥列表并删除该用户的属性密钥,失去属性密钥,该用户则无法解密。
属性撤销模块6,对于不需要撤销的属性更新其属性私钥,版本号加1,同时也需要更新相应的用户加密的密文,使未被撤销属性的用户可以正常解密。
下面结合附图对本发明的应用原理作进一步的描述。
如图2所示,本发明提供的多授权中心访问控制方法具体包括以下步骤:
1、系统初始化,具体包括:
1.1)全局认证中心CA初始化,用户需要向CA注册,获得自己的身份标识符;CA会为系统中每个合法的用户颁发一个全局唯一的身份标识GID;CA选取一个系统安全参数λ,然后选一个阶为p的双线性群G,生成元为g,双线性映射为e:G×G→GT,并选择关于GID和双线性群G中元素的哈希映射H:{0,1}*→G;CA再初始化版本号ver,最后生成全局公共参数:
GP={p,G,GT,e,g,H,GID};
1.2)属性授权中心AA初始化,每个授权机构为它所管理的每一个属性i随机选择两个指数,计算授权中心公钥、授权中心私钥如下:
然后,将公钥发布给用户,私钥则由AA自己保存。
2、数据加密具体如下:
2.1)云服务商进行外包加密,由其随机选择λx',γx'∈ZN,并计算:
得到的部分加密密文为:
2.2)用户加密,具体如下:
选取一个n行l列的访问矩阵,由函数ρ将每个属性映射到矩阵的每一行,数据拥有者随机选择一个秘密s和一个随机向量并将s作为该向量的第一项,使其满足再选取一个随机向量满足此外还需要一个随机向量对A的每一行Ax也需要随机选择一个经过计算得到的用户加密密文为:
3、密钥生成,具体包括:
授权机构为合法用户拥有的每个属性i生成用户标识与属性相关的密钥并将其发送给云服务商;再由用户随机选择整数z,计算k1=gz,每个用户的属性私钥为:{Ki,GID}={ki,GID,k1},用户私钥为Ku=z。
4、数据解密:
如图3所示,本步骤具体实现如下:
4.1)云服务商外包解密,当用户发出访问请求时,如果该用户拥有的属性集合满足访问结构便由云服务商通过属性私钥{Kρ(x),GID}进行预解密,过程如下:
云服务器首先计算:
并得到
再选择一个常量δx∈ZN,使其满足∑δxAx=(1,0,...,0),由于 所以可以得到预解密的密文
4.2)用户用自己的私钥计算Ku计算最终得到M=C0/M0'完成解密。
5、用户撤销,具体包括:
当发生用户撤销时,云服务商收到撤销用户的身份标识GID后,将查找存储在云上的密钥列表,删除该用户标识对应的属性密钥,并更新该密钥列表;删除某个用户的属性密钥,云服务商无法完成对应的外包解密过程,密文无法被该用户解密,达到用户撤销的目的。
6、属性撤销,具体包括:
6.1)首先对于不需要撤销的属性更新其属性私钥,并将版本号ver+1;
6.2)对于不需要撤销的属性更新其用户加密的密文,计算如下:
CTuser'={C0,C4,x',C5,x,C6,x,C7,x,C8,x}。
下面结合仿真对本发明的应用效果作详细的描述。
1.仿真条件
仿真环境是:戴尔笔记本,配置是i5CPU@270GHz 4.00GB RAM,操作系统为64位Ubuntu14.04。
2.仿真内容与结果分析
采用本发明方法对数据文件进行访问,结果如附图5图6所示,由图5可以看出,随着授权中心数目的增加,外包解密时间与用户解密时间都几乎呈线性增长,但随着属性数目的增加,外包加密的时间将远远超过用户加密的时间;由图6可以看出,外包解密时间几乎呈线性增长,而用户解密时间几乎就是一个不变的值。由于加解密计算均将一部分转移到由云服务商进行进行,用户需要进行的计算少了很多双线性对的指数运算,尤其是在解密时端的解密过程只需要进行一次指数运算和一次除法运算,就可以恢复明文,这两个计算都与属性数目无关,所以用户解密的时间不随属性数目的增加而发生变化。通过以上仿真结果可知,本发明能极大的减轻系统中用户的加解密计算负担,提高系统的效率,十分适用于实际应用。
此外,本实施例还与Lewko、Yang等人的方案进行了对比,结果如附图7图8所示。由图7图8可以看出,随着属性个数的增加,该方案的用户加密与解密时间均将远远小于Lewko、Yang等人的方案,仿真的结果证明了该方案可以在一定程度上减轻用户加解密的计算负担,提高了效率。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种多授权中心访问控制方法,其特征在于,所述多授权中心访问控制方法包括如下步骤:
第一步,全局认证中心CA、属性授权中心AA以及云服务商的进行全局公共参数的初始化,为该访问控制系统中所有授权中心和用户分配唯一的身份标识符,初始化版本号;
第二步,先由云服务商进行数据加密前的外包计算,再由数据拥有者对数据进行最终的加密,加密完成后,将密文上传至云服务器进行存储;
第三步,授权中心对每个用户的每个属性生成属性私钥;密钥由初始化阶段产生的参数生成,并将其存储在云端由云服务商进行外包解密;此外还会生成用户私钥,存储在用户自己手中;
第四步,合法用户向云服务商发出访问请求,云服务商收到请求后对属性集合认证,认证通过后,云服务商根据属性私钥完成预解密,并将预解密得到的密文发送给用户;用户收到预解密密文后,使用用户私钥进行解密得到数据;
第五步,当发生用户撤销时,将撤销用户的身份标识符发送给云服务商,云服务商查找密钥列表并删除该用户的属性密钥,失去了属性密钥,该用户则无法解密;
第六步,当发生属性撤销时,对于不需要撤销的属性更新其属性私钥,版本号加1,同时也需要更新相应的用户加密的密文,使未被撤销属性的用户可以正常解密。
2.如权利要求1所述的多授权中心访问控制方法,其特征在于,在用户对存储的数据进行加密前,由云服务商先进行一部分计算减轻用户开销;解密时,也先由云服务商对用户所拥有的属性是否满足访问结构进行判断,并进行预解密计算,用户再根据自己的私钥,完成最终解密。
3.如权利要求1所述的多授权中心访问控制方法,其特征在于,所述第一步的系统初始化,具体包括:
步骤一,全局认证中心CA初始化,用户需要向CA注册,获得自己的身份标识符;CA会为系统中每个合法的用户颁发一个全局唯一的身份标识GID;CA选取一个系统安全参数λ,然后选一个阶为p的双线性群G,生成元为g,双线性映射为e:G×G→GT,并选择关于GID和双线性群G中元素的哈希映射H:{0,1}*→G;CA再初始化版本号ver,最后生成全局公共参数:
GP={p,G,GT,e,g,H,GID};
步骤二,属性授权中心AA初始化,每个授权机构为它所管理的每一个属性i随机选择两个指数,计算授权中心公钥、授权中心私钥如下:
然后,将公钥发布给用户,私钥则由AA自己保存。
4.如权利要求1所述的多授权中心访问控制方法,其特征在于,所述第二步的数据加密,分为外包加密和用户加密,具体如下:
步骤一,云服务商进行外包加密,由其随机选择λx',γx′∈ZN,并计算:
得到的部分加密密文为:
步骤二,用户加密,具体如下:
选取一个n行l列的访问矩阵,由函数ρ将每个属性映射到矩阵的每一行,数据拥有者随机选择一个秘密s和一个随机向量并将s作为该向量的第一项,使其满足再选取一个随机向量满足此外还需要一个随机向量对A的每一行Ax也需要随机选择一个经过计算得到的用户加密密文为:
5.如权利要求1所述的多授权中心访问控制方法,其特征在于,所述第三步密钥生成,具体包括:授权机构为合法用户拥有的每个属性i生成用户标识与属性相关的密钥并将其发送给云服务商;再由用户随机选择整数z,计算k1=gz,每个用户的属性私钥为:{Ki,GID}={ki,GID,k1},用户私钥为Ku=z。
6.如权利要求1所述的多授权中心访问控制方法,其特征在于,所述第四步的数据解密,具体包括:
步骤一,云服务商外包解密,当用户发出访问请求时,如果该用户拥有的属性集合满足访问结构便由云服务商通过属性私钥{Kρ(x),GID}进行预解密,过程如下:
云服务商首先计算:
并得到再选择一个常量δx∈ZN,使其满足∑δxAx=(1,0,...,0),由于 所以可以得到预解密的密文
步骤二,用户用自己的私钥计算Ku计算最终得到M=C0/M0'完成解密。
7.如权利要求1所述的支持策略隐藏的多授权中心控制方法,其特征在于,所述第五步的用户撤销,按照以下步骤进行:当发生用户撤销时,云服务商收到撤销用户的身份标识GID后,将查找存储在云上的密钥列表,删除该用户标识对应的属性密钥,并更新该密钥列表;删除某个用户的属性密钥,云服务商无法完成对应的外包解密过程,密文无法被该用户解密,达到用户撤销的目的。
8.如权利要求1所述的多授权中心访问控制方法,其特征在于,所述第六步的属性撤销具体包括:
步骤一,首先对于不需要撤销的属性更新其属性私钥,并将版本号ver+1;
步骤二,对于不需要撤销的属性更新其用户加密的密文,计算如下:
CTuser'={C0,C4,x',C5,x,C6,x,C7,x,C8,x}。
9.一种基于权利要求1所述多授权中心访问控制方法的多授权中心访问控制系统,其特征在于,所述多授权中心访问控制系统包括:
系统初始化模块,全局认证中心CA、属性授权中心AA以及云服务器全局公共参数的初始化,为该访问控制系统中所有授权中心和用户分配唯一的身份标识符,初始化版本号;
数据加密模块,先由云服务商进行数据加密前的外包计算,再由数据拥有者对文件进行最后的加密,将密文上传至云服务器进行存储;
密钥生成模块,用于实现授权中心为用户生成解密所需的属性私钥以及用户私钥;
数据解密模块,用于实现合法用户向云服务商发出访问请求,经过对用户属性集合的判断后,进行外包解密和用户解密;
用户撤销模块,用于实现当发生用户撤销时,将撤销用户的身份标识符发送给云服务商,云服务商查找密钥列表并删除该用户的属性密钥,失去属性密钥,该用户则无法解密;
属性撤销模块,对于不需要撤销的属性更新其属性私钥,版本号加1,同时也需要更新相应的用户加密的密文,使未被撤销属性的用户可以正常解密。
10.一种应用权利要求1~8任意一项所述多授权中心访问控制方法的云存储系统。
CN201910795121.2A 2019-08-27 2019-08-27 一种多授权中心访问控制方法、系统及云存储系统 Pending CN110602063A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910795121.2A CN110602063A (zh) 2019-08-27 2019-08-27 一种多授权中心访问控制方法、系统及云存储系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910795121.2A CN110602063A (zh) 2019-08-27 2019-08-27 一种多授权中心访问控制方法、系统及云存储系统

Publications (1)

Publication Number Publication Date
CN110602063A true CN110602063A (zh) 2019-12-20

Family

ID=68855766

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910795121.2A Pending CN110602063A (zh) 2019-08-27 2019-08-27 一种多授权中心访问控制方法、系统及云存储系统

Country Status (1)

Country Link
CN (1) CN110602063A (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111881474A (zh) * 2020-07-24 2020-11-03 北京千云天下科技有限公司 基于可信计算环境的私钥管理方法和装置
CN111901320A (zh) * 2020-07-16 2020-11-06 西南交通大学 基于属性撤销cp-abe的抗密钥伪造攻击加密方法及其系统
CN111917721A (zh) * 2020-06-28 2020-11-10 石家庄铁道大学 基于区块链的属性加密方法
CN112035853A (zh) * 2020-08-13 2020-12-04 潘显富 一种基于企业云盘的存储数据访问控制系统
CN112260829A (zh) * 2020-10-19 2021-01-22 浙江工商大学 混合云下支持移动设备的基于多授权的cp-abe方法
CN112564903A (zh) * 2020-12-08 2021-03-26 西安电子科技大学 一种智能电网中数据安全共享的去中心访问控制方法
CN112671535A (zh) * 2020-12-28 2021-04-16 华南农业大学 多中心可撤销密钥策略属性基加密方法、装置及存储介质
CN113360944A (zh) * 2021-06-25 2021-09-07 华北电力大学 一种电力物联网的动态访问控制系统与方法
CN113489732A (zh) * 2021-07-13 2021-10-08 郑州轻工业大学 一种抵御串谋攻击的内容共享隐私保护方法
CN113810410A (zh) * 2021-09-16 2021-12-17 东莞职业技术学院 无法滥用密钥去中心化属性基加密方法、系统及存储介质
CN114339743A (zh) * 2022-02-09 2022-04-12 中科水研(江西)科技股份有限公司 一种基于边缘计算的物联网客户端隐私保护认证方法
CN114338026A (zh) * 2021-12-17 2022-04-12 复旦大学 基于属性签名与区块链的匿名信息反馈系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160294548A1 (en) * 2015-03-31 2016-10-06 Here Global B.V. Method and apparatus for providing key management for data encryption for cloud-based big data environments
CN107566386A (zh) * 2017-09-14 2018-01-09 上海海事大学 一种可撤销的属性基加密方法
CN108390876A (zh) * 2018-02-13 2018-08-10 西安电子科技大学 支持撤销外包可验证多授权中心访问控制方法、云服务器
CN108810004A (zh) * 2018-06-22 2018-11-13 西安电子科技大学 基于代理的可撤销多授权中心访问控制方法、云存储系统
CN108833393A (zh) * 2018-06-07 2018-11-16 西安电子科技大学 一种基于雾计算的可撤销数据共享方法
CN110099043A (zh) * 2019-03-24 2019-08-06 西安电子科技大学 支持策略隐藏的多授权中心访问控制方法、云存储系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160294548A1 (en) * 2015-03-31 2016-10-06 Here Global B.V. Method and apparatus for providing key management for data encryption for cloud-based big data environments
CN107566386A (zh) * 2017-09-14 2018-01-09 上海海事大学 一种可撤销的属性基加密方法
CN108390876A (zh) * 2018-02-13 2018-08-10 西安电子科技大学 支持撤销外包可验证多授权中心访问控制方法、云服务器
CN108833393A (zh) * 2018-06-07 2018-11-16 西安电子科技大学 一种基于雾计算的可撤销数据共享方法
CN108810004A (zh) * 2018-06-22 2018-11-13 西安电子科技大学 基于代理的可撤销多授权中心访问控制方法、云存储系统
CN110099043A (zh) * 2019-03-24 2019-08-06 西安电子科技大学 支持策略隐藏的多授权中心访问控制方法、云存储系统

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111917721B (zh) * 2020-06-28 2022-04-05 石家庄铁道大学 基于区块链的属性加密方法
CN111917721A (zh) * 2020-06-28 2020-11-10 石家庄铁道大学 基于区块链的属性加密方法
CN111901320A (zh) * 2020-07-16 2020-11-06 西南交通大学 基于属性撤销cp-abe的抗密钥伪造攻击加密方法及其系统
CN111881474B (zh) * 2020-07-24 2023-09-15 杭州弦冰科技有限公司 基于可信计算环境的私钥管理方法和装置
CN111881474A (zh) * 2020-07-24 2020-11-03 北京千云天下科技有限公司 基于可信计算环境的私钥管理方法和装置
CN112035853A (zh) * 2020-08-13 2020-12-04 潘显富 一种基于企业云盘的存储数据访问控制系统
CN112260829A (zh) * 2020-10-19 2021-01-22 浙江工商大学 混合云下支持移动设备的基于多授权的cp-abe方法
CN112260829B (zh) * 2020-10-19 2022-07-08 浙江工商大学 混合云下支持移动设备的基于多授权的cp-abe方法
CN112564903A (zh) * 2020-12-08 2021-03-26 西安电子科技大学 一种智能电网中数据安全共享的去中心访问控制方法
CN112671535A (zh) * 2020-12-28 2021-04-16 华南农业大学 多中心可撤销密钥策略属性基加密方法、装置及存储介质
CN112671535B (zh) * 2020-12-28 2022-11-01 华南农业大学 多中心可撤销密钥策略属性基加密方法、装置及存储介质
CN113360944B (zh) * 2021-06-25 2024-03-22 华北电力大学 一种电力物联网的动态访问控制系统与方法
CN113360944A (zh) * 2021-06-25 2021-09-07 华北电力大学 一种电力物联网的动态访问控制系统与方法
CN113489732A (zh) * 2021-07-13 2021-10-08 郑州轻工业大学 一种抵御串谋攻击的内容共享隐私保护方法
CN113810410B (zh) * 2021-09-16 2023-06-23 东莞职业技术学院 无法滥用密钥去中心化属性基加密方法、系统及存储介质
CN113810410A (zh) * 2021-09-16 2021-12-17 东莞职业技术学院 无法滥用密钥去中心化属性基加密方法、系统及存储介质
CN114338026A (zh) * 2021-12-17 2022-04-12 复旦大学 基于属性签名与区块链的匿名信息反馈系统
CN114339743A (zh) * 2022-02-09 2022-04-12 中科水研(江西)科技股份有限公司 一种基于边缘计算的物联网客户端隐私保护认证方法

Similar Documents

Publication Publication Date Title
CN110099043B (zh) 支持策略隐藏的多授权中心访问控制方法、云存储系统
CN108390876B (zh) 支持撤销外包可验证多授权中心访问控制方法、云服务器
CN110602063A (zh) 一种多授权中心访问控制方法、系统及云存储系统
CN108810004B (zh) 基于代理的可撤销多授权中心访问控制方法、云存储系统
CN108881314B (zh) 雾计算环境下基于cp-abe密文隐私保护方法及系统
CN108833393B (zh) 一种基于雾计算的可撤销数据共享方法
CN108418784B (zh) 一种基于属性密码的分布式跨域授权和访问控制方法
Xu et al. Dynamic user revocation and key refreshing for attribute-based encryption in cloud storage
CN108768951B (zh) 一种云环境下保护文件隐私的数据加密和检索方法
CN106487506B (zh) 一种支持预加密和外包解密的多机构kp-abe方法
CN114039790B (zh) 一种基于区块链的细粒度云存储安全访问控制方法
Shen et al. Multi-security-level cloud storage system based on improved proxy re-encryption
CN104901942A (zh) 一种基于属性加密的分布式访问控制方法
CN108111540A (zh) 一种云存储中支持数据共享的分层访问控制系统及方法
CN111181719B (zh) 云环境下基于属性加密的分层访问控制方法及系统
CN113708917B (zh) 基于属性加密的app用户数据访问控制系统及方法
CN113992330A (zh) 一种基于代理重加密的区块链数据受控共享方法及系统
Liu et al. Dynamic attribute-based access control in cloud storage systems
Takabi Privacy aware access control for data sharing in cloud computing environments
CN109587115B (zh) 一种数据文件安全分发使用方法
Fugkeaw A lightweight policy update scheme for outsourced personal health records sharing
Chaudhary et al. RMA-CPABE: A multi-authority CPABE scheme with reduced ciphertext size for IoT devices
CN113360944A (zh) 一种电力物联网的动态访问控制系统与方法
CN113055164A (zh) 一种基于国密的密文策略属性加密算法
CN113626831A (zh) 一种云中支持隐私保护和解密的cp-abe方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20191220