CN112104454A - 一种数据安全传输方法及系统 - Google Patents

一种数据安全传输方法及系统 Download PDF

Info

Publication number
CN112104454A
CN112104454A CN202010804600.9A CN202010804600A CN112104454A CN 112104454 A CN112104454 A CN 112104454A CN 202010804600 A CN202010804600 A CN 202010804600A CN 112104454 A CN112104454 A CN 112104454A
Authority
CN
China
Prior art keywords
data
password
ciphertext
block
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010804600.9A
Other languages
English (en)
Other versions
CN112104454B (zh
Inventor
赵晓雪
马鑫
郑伟
刘鸿鹏
王艳峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Star Network Application Co Ltd
Original Assignee
Dongfanghong Satellite Mobile Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dongfanghong Satellite Mobile Communication Co Ltd filed Critical Dongfanghong Satellite Mobile Communication Co Ltd
Priority to CN202010804600.9A priority Critical patent/CN112104454B/zh
Publication of CN112104454A publication Critical patent/CN112104454A/zh
Application granted granted Critical
Publication of CN112104454B publication Critical patent/CN112104454B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Power Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种数据安全传输方法及系统。该方法包括:数据端根据访问者属性集构建访问树结构,对原始密码或原始密码的密文进行加密获得第一密文,将第一密文发送至服务器;数据端生成扩展密码,利用扩展密码对待传输数据进行分块加密得到多个密文块;用户端从服务器获得第一密文,对第一密文进行解密,若成功解密出原始密码或原始密码的密文,数据端将密文块传输至用户端,用户端利用扩展密码对密文块解密获得块数据,结束,若不能成功解密出原始密码,用户端数据获取失败,结束。利用属性集和访问树结构,能防止非法用户攻击系统,待传输数据以密文形式传输,攻击者在不知道密钥的情况下,无法获得明文确保了数据传输的安全性。

Description

一种数据安全传输方法及系统
技术领域
本发明涉及网络安全技术领域,特别是涉及一种数据安全传输方法及系统。
背景技术
随着智能化发展,为了能够提供更高帧率、更大像素的高清化、网络化的视频监控系统,就需要其与云计算、物联网相结合。根据用户端的不同选择,云计算细化为两种概念:传统云计算与移动云计算(MCC:Mobile Cloud Computing),移动云计算与传统云计算的主要区别在于是否使用移动设备作为用户端。随着智能手机的普及,在系统设计中,选择移动设备作为用户端更加符合市场需求。从技术层面上,移动云计算结合了移动计算、云计算与计算机网络。根据定义,移动云计算的本质就是将移动设备与远程云相连接,远程云本质上与传统的云服务提供商相同。
由于视频数据的机密性与隐私性,在设计基于移动云计算的视频监控系统时,需要格外注重其安全特性。根据移动云视频监控系统的体系架构,其传输需要注意两个部分的安全问题:一个是摄像机上载图像至云端的安全传输;一个是用户从云端下载视频的通信安全。根据视频监控系统及移动云计算存在的安全问题,安全的视频通信实体与移动云之间的数据加密机制,在视频监控系统中至关重要。
发明内容
本发明旨在至少解决现有技术中存在的技术问题,特别创新地提出了一种视频数据安全传输方法及系统。
为了实现本发明的上述目的,根据本发明的第一个方面,本发明提供了一种数据安全传输方法,包括:数据端根据访问者属性集构建访问树结构,利用基于密文策略的属性加密体制算法对原始密码或原始密码的密文进行加密获得第一密文,将所述第一密文发送至服务器;数据端对原始密码进行扩展生成扩展密码,利用扩展密码、以及用户端随机生成的初始向量对待传输数据进行分块加密得到多个密文块;用户端随机生成初始向量;用户端从服务器获得第一密文,利用自身属性对第一密文进行解密,若成功解密出原始密码或原始密码的密文,数据端将密文块传输至用户端,用户端对原始密码进行扩展生成扩展密码,利用扩展密码对密文块解密获得块数据,结束,若不能成功解密出原始密码,用户端数据获取失败,结束。
上述技术方案的有益效果为:基于CP-ABE(Ciphertext-Policy Attribute-Based Encryption,基于密文策略的属性加密体制)算法,利用属性集和访问树结构来对用户端进行限制,防止攻击者假冒用户与数据端进行数据通信,能防止中间攻击,只有符合访问树的用户端才能通过服务器访问数据端,防止大量非法用户攻击系统,并且用户端(移动端)给数据端(摄像头)发送访问树在安全的局域网内,保证攻击者无法伪造访问树,而用户端(移动端)获取相关数据的密文块,需要符合属性集,待传输数据以密文形式传输,攻击者在不知道密钥的情况下,无法获得明文,确保了数据传输的安全性;每次用户端向数据端申请数据时,数据端都会随机使用不同的原始密码,具有一次一密的特点,进一步提高了数据传输安全性。
在本发明的一种优选实施方式中,还包括如下步骤:生成公私钥对,数据端和用户端分别保存所述公私钥对的公钥和私钥;数据端利用所述公钥对原始密码进行加密获得原始密码的密文;用户端利用私钥对获取的原始密码的密文进行解密获得原始密码。
上述技术方案的有益效果为:公私钥对作为用户端和数据端的会话密钥,使得攻击者无法通过获得之前的会话密钥来假冒用户端,进一步提高了数据传输安全性。
在本发明的一种优选实施方式中,还包括如下步骤:数据端对整个数据进行哈希计算获得第一哈希值,在用户端成功解密出原始密码时,数据端将第一哈希值传输至用户端;用户端利用扩展密码对密文块解密获得块数据后,组合所有块数据,对组合后的整个数据进行哈希计算获得第二哈希值,比较第一哈希值和第二哈希值,若第一哈希值与第二哈希值相同,认为数据解密成功,若第一哈希值与第二哈希值不相同,认为数据解密失败。
上述技术方案的有益效果为:通过对比第一哈希值与第二哈希值的一致性,确保传输数据的完整性。
在本发明的一种优选实施方式中,所述数据端和/或用户端对原始密码进行扩展生成扩展密码的过程包括:步骤A,设原始密码为KEY,包含s位ASCII字符,设原始密码KEY中第j位字符的ASCII表索引为ij,j=1,2,...,s;设块数据的比特位数为n;(s*p)<n,p表示一个ASCII字符对应的二进制比特位数;步骤B,令M为变量,设M=1;将原始密码KEY中每位字符替换为ASCII表索引为(ij+1)的字符获得KEY1;步骤C,令M=M+1,将原始密码KEY中每位字符替换为ASCII表索引为[ij+M+(M-1)+…+1]的字符获得KEY',则第M次扩展获得的密码为:KEYM=KEY'||KEYM-1,||表示字符串连接符;步骤D,将第M次扩展获得的密码KEYM的每个字符转换为二进制编码并获得KEYM的比特位数,若KEYM的比特位数小于n,返回执行步骤C,否则,将第M次扩展获得的密码KEYM的每个字符转换为二进制编码后获得的二进制数据作为扩展密码xKEY。
上述技术方案的有益效果为:将原始密码扩展至与块数据的位数相同,便于加密,减少加密的运算量,同时由于块数据的位数具有随机性,数据端接收到用户端数据请求后,随机设置块数据位数并将块数据位数基于公私钥对机制通过服务器发送至用户端,数据端按照事先与用户端协定好的密码扩展方法进行密码扩展,攻击者不知道预先设定好的块大小n,原始密钥若是未经扩展或未扩展至n位,对于每个密文块使用该“密钥”会产生不同的文件,确保了攻击者不会解密出原始数据文件,进一步提高了安全性。
在本发明的一种优选实施方式中,若块数据的位数小于n,则以0补足n位。
在本发明的一种优选实施方式中,数据端利用扩展密码对待传输数据进行分块加密得到多个密文块的过程包括:步骤S1,将待传输数据分为d个块数据,每个块数据的位数为n;设i'表示块数据的索引,i'=1,2,…,d;步骤S2,获取每个块数据的扩展密码,具体包括:第一个块数据的扩展密码xKEY1为:xKEY1=xKEY,xKEY表示通过原始密码扩展获得的扩展密码;第i'个块数据的扩展密码xKEYi'获取过程为:将第(i'-1)个块数据的扩展密码xKEYi'-1右移一位,若右移后的二进制数据的右侧最末位为0,则令右移后的二进制数据的左侧第一位为1,获得第i'个块数据的扩展密码xKEYi',若右移后的二进制数据的右侧最末位为1,则令右移后的二进制数据的左侧第一位为0,获得第i'个块数据的扩展密码xKEYi',i'=2,3,…,d;步骤S3,依次对所有块数据进行加密获得对应的密文块,具体包括:步骤S31,第一个块数据的块密钥K1为:
Figure BDA0002626438610000051
IV为初始向量;按照公式
Figure BDA0002626438610000052
对第一个块数据加密获得相应的密文块C1,B1为第一个块数据的明文;步骤S32,第i'个块数据的块密钥Ki'为:
Figure BDA0002626438610000053
按照公式
Figure BDA0002626438610000054
对第i'个块数据加密获得相应的密文块Ci',Bi'为第i'个块数据的明文,i'=2,3,…,d。
上述技术方案的有益效果为:除第一个块数据外,每个块数据加密密钥依赖于前一块数据的密文块和该块数据的扩展密码产生,多个块数据形成链条式加密,每个块数据的密钥各不相同,使得攻击者不易解密出原始数据,加强了传输数据的保密性。
在本发明的一种优选实施方式中,用户端生成一对双线性对,基于所述双线性对利用椭圆曲线加密算法得到的公私钥对的公钥和私钥,并将公钥发送给数据端。
为了实现本发明的上述目的,根据本发明的第二个方面,本发明提供了一种基于本发明所述数据安全传输方法的数据传输系统,包括多个用户端、数据端和服务器,所述服务器分别与用户端和数据端连接。
上述技术方案的有益效果为:该系统基于CP-ABE(Ciphertext-PolicyAttribute-Based Encryption,基于密文策略的属性加密体制)算法,利用属性集和访问树结构来对用户端进行限制,防止攻击者假冒用户与数据端进行数据通信,能防止中间攻击,只有符合访问树的用户端才能通过服务器访问数据端,防止大量非法用户攻击系统,并且用户端(移动端)给数据端(摄像头)发送访问树在安全的局域网内,保证攻击者无法伪造访问树,而移动端获取相关数据的密文块,需要符合属性集,待传输数据以密文形式传输,攻击者在不知道密钥的情况下,无法获得明文确保了数据传输的安全性;每次用户端向数据端申请数据时,数据端都会随机使用不同的原始密码,具有一次一密的特点,进一步提高了数据传输安全性。
在本发明的一种优选实施方式中,所述数据端为摄像头,传输的数据为视频数据;所述用户端为移动终端。
上述技术方案的有益效果为:保证了视频数据传输的安全性。
附图说明
图1是本发明一具体实施方式中数据安全传输系统的架构示意图;
图2是本发明一具体实施方式中数据安全传输方法的分块加密流程示意图;
图3是本发明一具体实施方式中数据安全传输方法的分块解密流程示意图。
附图标记:
1用户端;2服务器;3数据端。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。
在本发明的描述中,需要理解的是,术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
在本发明的描述中,除非另有规定和限定,需要说明的是,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是机械连接或电连接,也可以是两个元件内部的连通,可以是直接相连,也可以通过中间媒介间接相连,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
本发明公开了一种数据安全传输方法,在一种优选实施方式中,该方法包括:数据端3根据访问者属性集构建访问树结构,利用基于密文策略的属性加密体制算法对原始密码或原始密码的密文进行加密获得第一密文,将第一密文发送至服务器2;数据端3对原始密码进行扩展生成扩展密码,利用扩展密码、以及用户端1随机生成的初始向量对待传输数据进行分块加密得到多个密文块;用户端1随机生成初始向量;用户端1从服务器2获得第一密文,利用自身属性对第一密文进行解密,若成功解密出原始密码或原始密码的密文,数据端3将密文块传输至用户端1,用户端1对原始密码进行扩展生成扩展密码,利用扩展密码对密文块解密获得块数据,结束,若不能成功解密出原始密码,用户端1数据获取失败,结束。
在本实施方式中,待传输数据优选但不限于为视频数据,数据端3优选但不限于为摄像头;用户端1可为移动用户终端,优选但不限于为智能手机;服务器2优选但不限于为云服务器2。
在本实施方式中,属性集优选但不限于包括以下属性参数,如用户端1接入网络制式(如联通、移动或电信等)、用户端1的位置、用户端1的ID等。访问树结构Γ包括多个非叶子节点和叶子节点,每个叶子节点都表示一个访问者属性,且具有门限值。访问结构树的叶子节点为移动用户设定的属性值和父节点传于此节点的秘密值,并对其加密处理,当移动用户拥有此属性可以解密出此节点的秘密值;非叶子节点为门限节点,移动用户需满足此门限最低值方可解密此节点秘密值,访问树模型Γ由摄像头持有。属性集由移动用户持有,用来与访问树匹配解密,针对不同用户有不同的设置。
在本实施方式中,数据端3可以直接利用原始密码生成第一密文,也可以对原始密码加密后的密文生成第一密文。
在一种优选实施方式中,还包括如下步骤:生成公私钥对,数据端3和用户端1分别保存公私钥对的公钥和私钥;数据端3利用公钥对原始密码进行加密获得原始密码的密文;用户端1利用私钥对获取的原始密码的密文进行解密获得原始密码。
在本实施方式中,生成公私钥对的方法优选但不限于为:用户端1生成一对双线性对,基于该双线性对通过椭圆曲线加密算法得到的公私PK和钥对MK,并将公钥PK经服务器2发送给数据端3。移动端(用户端1)发送给摄像头(数据端3)部分的公钥PK、访问结构Γ及未扩展密钥KEY,在摄像头(数据端3)的加密模块根据CP-ABE算法计算第一密文发送给云端(服务器2),由云端(服务器2)存储,在合法用户请求调用后,下发给用户。
在一种优选实施方式中,还包括如下步骤:数据端3对整个数据进行哈希计算获得第一哈希值,在用户端1成功解密出原始密码时,数据端3将第一哈希值传输至用户端1;用户端1利用扩展密码对密文块解密获得块数据后,组合所有块数据,对组合后的整个数据进行哈希计算获得第二哈希值,比较第一哈希值和第二哈希值,若第一哈希值与第二哈希值相同,认为数据解密成功,若第一哈希值与第二哈希值不相同,认为数据解密失败。
在一种优选实施方式中,数据端3,或者用户端1,或者数据端3和用户端1对原始密码进行扩展生成扩展密码的过程包括:步骤A,设原始密码为KEY,包含s位ASCII字符,设原始密码KEY中第j位字符的ASCII表索引为ij,j=1,2,…,s;设块数据的比特位数为n;(s*p)<n,p表示一个ASCII字符对应的二进制比特位数;步骤B,令M为变量,设M=1;将原始密码KEY中每位字符替换为ASCII表索引为(ij+1)的字符获得KEY1;步骤C,令M=M+1,将原始密码KEY中每位字符替换为ASCII表索引为[ij+M+(M-1)+…+1]的字符获得KEY',则第M次扩展获得的密码为:KEYM=KEY'||KEYM-1,||表示字符串连接符;步骤D,将第M次扩展获得的密码KEYM的每个字符转换为二进制编码并获得KEYM的比特位数,若KEYM的比特位数小于n,返回执行步骤C,否则,将第M次扩展获得的密码KEYM的每个字符转换为二进制编码后获得的二进制数据作为扩展密码xKEY。
在一种优选实施方式中,若块数据的位数小于n,则以0补足n位,优选但不限于在块数据的前端或后端补0。
在一种优选实施方式中,如图2所示,其中,B1、B2、......Bd分别表示第1个块数据明文、第2个块数据明文、……、第d个块数据明文;K1、K2、......Kd分别表示第1个块数据的块密钥、第2个块数据的块密钥、……、第d个块数据的密钥;C1、C2、......Cd分别表示第1个密文块、第2个密文块、……、第d个密文块;IV表示初始向量。数据端3利用扩展密码对待传输数据进行分块加密得到多个密文块的过程包括:步骤S1,将待传输数据分为d个块数据,每个块数据的位数为n;设i'表示块数据的索引,i'=1,2,…,d;步骤S2,获取每个块数据的扩展密码,具体包括:第一个块数据的扩展密码xKEY1为:xKEY1=xKEY,xKEY表示通过原始密码扩展获得的扩展密码;第i'个块数据的扩展密码xKEYi'获取过程为:将第(i'-1)个块数据的扩展密码xKEYi'-1右移一位,若右移后的二进制数据的右侧最末位为0,则令右移后的二进制数据的左侧第一位为1,获得第i'个块数据的扩展密码xKEYi',若右移后的二进制数据的右侧最末位为1,则令右移后的二进制数据的左侧第一位为0,获得第i'个块数据的扩展密码xKEYi',i'=2,3,…,d;步骤S3,依次对所有块数据进行加密获得对应的密文块,具体包括:步骤S31,第一个块数据的块密钥K1为:
Figure BDA0002626438610000101
IV为初始向量;按照公式
Figure BDA0002626438610000102
对第一个块数据加密获得相应的密文块C1,B1为第一个块数据的明文;步骤S32,第i'个块数据的块密钥Ki'为:
Figure BDA0002626438610000103
按照公式
Figure BDA0002626438610000104
对第i'个块数据加密获得相应的密文块Ci',Bi'为第i'个块数据的明文,i'=2,3,…,d。
在本实施方式中,用户端1对密文块解密的流程示意图如图3所示,用户端1利用原始密码生成扩展密码,按照上述加密的反过程逐个完成密文块解密,再将解密后获得的明文串接获得原始数据。
本发明提供的数据安全传输方法,具有以下技术效果:
1)为原始文件生成消息验证码即第一哈希值,移动端使用相同的算法版本,利用哈希特性,使用文件生成第二哈希值,通过比较第一哈希值和第二哈希值,保证了数据完整性;
2)原始文件以密文形式传输,攻击者在不知道密钥的情况下,无法获得明文,攻击者如果获得包含密钥KEY信息的密文,由于不符合策略制定属性集,无法解密出KEY。即使攻击者获得KEY,但是敌手不知道设备中使用的扩展密码算法,无法获取块密钥的值;同时,攻击者不知道预先设定好的块大小n:原始密钥KEY若是未经扩展或未扩展至n位,对于每个密文块使用该“密钥”会产生不同的文件,保证了机密性,确保攻击者不会解密出原始文件;
3)原始密码KEY具有一次一密的特点,每次用户重新向前端申请数据(如视频数据),前端数据采集点都会随机使用不同的密码进行加密;并且移动端给摄像头发送访问树Γ阶段在安全的局域网内,保证攻击者无法伪造访问树;而移动端获取相关视频加密文件,需要符合属性集,攻击者无法通过获得之前的会话密钥,来假冒移动端,获取新的会话密钥或者参与之后通信;通过上述措施保证了前向安全性。
4)本方案使用CP-ABE方法,利用属性集和访问树来对访问者进行限制,防止攻击者假冒用户与前端监控点进行数据通信,能防止中间攻击。
5)只有符合访问树的用户才能通过云端访问摄像头,防止大量非法用户攻击系统,能防止拒绝服务攻击。
本发明还公开了一种基于上述数据安全传输方法的数据传输系统,在一种优选实施方式中,如图1所示,该系统包括多个用户端1、数据端3和服务器2,服务器2分别与用户端1和数据端3连接。优选的,数据端3为摄像头,传输的数据为视频数据;用户端1为移动终端。
在本实施方式的一种应用场景中,摄像头通过图像传感器收集视频图像,通过硬件视频编码方式将图像压缩转化成码流。根据本发明给出的加密算法,将视频数据以特定方式加密,传送给指定的云服务器,在这里假定云是不可信的模型。云端将接受到的加密文件存储。用户使用移动端下载指定APP,使用该APP包含算法解密视频数据,能够进行数据管理等操作。移动用户向云端发送申请后,云端通过向摄像头询问该申请是否为符合属性策略的用户发送,若通过验证则将实时视频信息发送给该用户。根据视频数据特点,本发明设计适合传输实时监控视频的视频数据安全通信协议,解析各模块任务实现流程。个性化定制用户的访问树模型及属性集,利用CP-ABE加密基于块的共享改进方案的原始密钥,提升了加密效率的同时保证只有属性集符合设定策略的用户才能解密;且视频加密方案使用扩展密钥,即使被云端敌手破解获得原始密钥,也无法解密视频文件。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。

Claims (9)

1.一种数据安全传输方法,其特征在于,包括:
数据端根据访问者属性集构建访问树结构,利用基于密文策略的属性加密体制算法对原始密码或原始密码的密文进行加密获得第一密文,将所述第一密文发送至服务器;数据端对原始密码进行扩展生成扩展密码,利用扩展密码、以及用户端随机生成的初始向量对待传输数据进行分块加密得到多个密文块;
用户端随机生成初始向量;用户端从服务器获得第一密文,利用自身属性对第一密文进行解密,若成功解密出原始密码或原始密码的密文,数据端将密文块传输至用户端,用户端对原始密码进行扩展生成扩展密码,利用扩展密码对密文块解密获得块数据,结束,若不能成功解密出原始密码,用户端数据获取失败,结束。
2.如权利要求1所述的数据安全传输方法,其特征在于,还包括如下步骤:
生成公私钥对,数据端和用户端分别保存所述公私钥对的公钥和私钥;数据端利用所述公钥对原始密码进行加密获得原始密码的密文;用户端利用私钥对获取的原始密码的密文进行解密获得原始密码。
3.如权利要求1所述的数据安全传输方法,其特征在于,还包括如下步骤:
数据端对整个数据进行哈希计算获得第一哈希值,在用户端成功解密出原始密码时,数据端将第一哈希值传输至用户端;
用户端利用扩展密码对密文块解密获得块数据后,组合所有块数据,对组合后的整个数据进行哈希计算获得第二哈希值,比较第一哈希值和第二哈希值,若第一哈希值与第二哈希值相同,认为数据解密成功,若第一哈希值与第二哈希值不相同,认为数据解密失败。
4.如权利要求1所述的数据安全传输方法,其特征在于,所述数据端和/或用户端对原始密码进行扩展生成扩展密码的过程包括:
步骤A,设原始密码为KEY,包含s位ASCII字符,设原始密码KEY中第j位字符的ASCII表索引为ij,j=1,2,...,s;设块数据的比特位数为n;(s*p)<n,p表示一个ASCII字符对应的二进制比特位数;
步骤B,令M为变量,设M=1;将原始密码KEY中每位字符替换为ASCII表索引为(ij+1)的字符获得KEY1
步骤C,令M=M+1,将原始密码KEY中每位字符替换为ASCII表索引为[ij+M+(M-1)+…+1]的字符获得KEY',则第M次扩展获得的密码为:KEYM=KEY'||KEYM-1,||表示字符串连接符;
步骤D,将第M次扩展获得的密码KEYM的每个字符转换为二进制编码并获得KEYM的比特位数,若KEYM的比特位数小于n,返回执行步骤C,否则,将第M次扩展获得的密码KEYM的每个字符转换为二进制编码后获得的二进制数据作为扩展密码xKEY。
5.如权利要求4所述的数据安全传输方法,其特征在于,若块数据的位数小于n,则以0补足n位。
6.如权利要求4所述的数据安全传输方法,其特征在于,数据端利用扩展密码对待传输数据进行分块加密得到多个密文块的过程包括:
步骤S1,将待传输数据分为d个块数据,每个块数据的位数为n;设i'表示块数据的索引,i'=1,2,…,d;
步骤S2,获取每个块数据的扩展密码,具体包括:
第一个块数据的扩展密码xKEY1为:xKEY1=xKEY,xKEY表示通过原始密码扩展获得的扩展密码;
第i'个块数据的扩展密码xKEYi'获取过程为:将第(i'-1)个块数据的扩展密码xKEYi'-1右移一位,若右移后的二进制数据的右侧最末位为0,则令右移后的二进制数据的左侧第一位为1,获得第i'个块数据的扩展密码xKEYi',若右移后的二进制数据的右侧最末位为1,则令右移后的二进制数据的左侧第一位为0,获得第i'个块数据的扩展密码xKEYi',i'=2,3,…,d;
步骤S3,依次对所有块数据进行加密获得对应的密文块,具体包括:
步骤S31,第一个块数据的块密钥K1为:K1=xKEY⊕IV,IV为初始向量;
按照公式C1=K1⊕B1对第一个块数据加密获得相应的密文块C1,B1为第一个块数据的明文;
步骤S32,第i'个块数据的块密钥Ki'为:Ki'=Ci'-1⊕xKEYi',按照公式Ci'=Ki'⊕Bi'对第i'个块数据加密获得相应的密文块Ci',Bi'为第i'个块数据的明文,i'=2,3,…,d。
7.如权利要求1所述的数据安全传输方法,其特征在于,用户端生成一对双线性对,基于所述双线性对利用椭圆曲线加密算法得到的公私钥对的公钥和私钥,并将公钥发送给数据端。
8.一种基于权利要求1-7之一所述方法的数据传输系统,其特征在于,包括多个用户端、数据端和服务器,所述服务器分别与用户端和数据端连接。
9.如权利要求8所述的数据传输系统,其特征在于,所述数据端为摄像头,传输的数据为视频数据;所述用户端为移动终端。
CN202010804600.9A 2020-08-11 2020-08-11 一种数据安全传输方法及系统 Active CN112104454B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010804600.9A CN112104454B (zh) 2020-08-11 2020-08-11 一种数据安全传输方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010804600.9A CN112104454B (zh) 2020-08-11 2020-08-11 一种数据安全传输方法及系统

Publications (2)

Publication Number Publication Date
CN112104454A true CN112104454A (zh) 2020-12-18
CN112104454B CN112104454B (zh) 2023-04-07

Family

ID=73752865

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010804600.9A Active CN112104454B (zh) 2020-08-11 2020-08-11 一种数据安全传输方法及系统

Country Status (1)

Country Link
CN (1) CN112104454B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112671788A (zh) * 2020-12-30 2021-04-16 四川巧夺天工信息安全智能设备有限公司 一种基于tcp的可扩展的物联网安全通信方法
CN114726594A (zh) * 2022-03-24 2022-07-08 慧之安信息技术股份有限公司 一种基于网络传输的流媒体加密方法
CN115801321A (zh) * 2022-10-20 2023-03-14 北京海泰方圆科技股份有限公司 一种数据组合加密方法及装置
CN116645101A (zh) * 2023-06-16 2023-08-25 厦门快快网络科技有限公司 基于区块链的云资源结算方法及系统
WO2023206389A1 (zh) * 2022-04-29 2023-11-02 京东方科技集团股份有限公司 视频传输方法及装置、电子设备、可读介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624522A (zh) * 2012-03-30 2012-08-01 华中科技大学 一种基于文件属性的密钥加密方法
CN103220291A (zh) * 2013-04-09 2013-07-24 电子科技大学 一种基于属性加密算法的访问控制方法
CN108880796A (zh) * 2018-06-25 2018-11-23 电子科技大学 一种针对服务器高效的基于属性加密算法的外包解密方法
US20190173668A1 (en) * 2016-08-05 2019-06-06 Huawei International Pte. Ltd. Data processing method and apparatus
CN111130757A (zh) * 2019-12-31 2020-05-08 华中科技大学 一种基于区块链的多云cp-abe访问控制方法
CN111371561A (zh) * 2020-02-27 2020-07-03 华信咨询设计研究院有限公司 基于cp-abe算法的联盟区块链数据访问控制方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624522A (zh) * 2012-03-30 2012-08-01 华中科技大学 一种基于文件属性的密钥加密方法
CN103220291A (zh) * 2013-04-09 2013-07-24 电子科技大学 一种基于属性加密算法的访问控制方法
US20190173668A1 (en) * 2016-08-05 2019-06-06 Huawei International Pte. Ltd. Data processing method and apparatus
CN108880796A (zh) * 2018-06-25 2018-11-23 电子科技大学 一种针对服务器高效的基于属性加密算法的外包解密方法
CN111130757A (zh) * 2019-12-31 2020-05-08 华中科技大学 一种基于区块链的多云cp-abe访问控制方法
CN111371561A (zh) * 2020-02-27 2020-07-03 华信咨询设计研究院有限公司 基于cp-abe算法的联盟区块链数据访问控制方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
JIANGHONG WEI;: ""Secure and Efficient Attribute-Based Access Control for Multiauthority Cloud Storage"", 《IEEE SYSTEMS JOURNAL》 *
段亚伟等: "扩展的密文策略属性基加密机制", 《华中科技大学学报(自然科学版)》 *
王谦等: "一种面向移动云存储的可验证访问控制方案", 《计算机工程》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112671788A (zh) * 2020-12-30 2021-04-16 四川巧夺天工信息安全智能设备有限公司 一种基于tcp的可扩展的物联网安全通信方法
CN114726594A (zh) * 2022-03-24 2022-07-08 慧之安信息技术股份有限公司 一种基于网络传输的流媒体加密方法
CN114726594B (zh) * 2022-03-24 2022-09-20 慧之安信息技术股份有限公司 一种基于网络传输的流媒体加密方法
WO2023206389A1 (zh) * 2022-04-29 2023-11-02 京东方科技集团股份有限公司 视频传输方法及装置、电子设备、可读介质
CN115801321A (zh) * 2022-10-20 2023-03-14 北京海泰方圆科技股份有限公司 一种数据组合加密方法及装置
CN115801321B (zh) * 2022-10-20 2023-11-14 北京海泰方圆科技股份有限公司 一种数据组合加密方法及装置
CN116645101A (zh) * 2023-06-16 2023-08-25 厦门快快网络科技有限公司 基于区块链的云资源结算方法及系统
CN116645101B (zh) * 2023-06-16 2024-05-10 厦门快快网络科技有限公司 基于区块链的云资源结算方法及系统

Also Published As

Publication number Publication date
CN112104454B (zh) 2023-04-07

Similar Documents

Publication Publication Date Title
CN112104454B (zh) 一种数据安全传输方法及系统
CN108111301B (zh) 基于后量子密钥交换实现ssh协议的方法及其系统
CN113612605B (zh) 使用对称密码技术增强mqtt协议身份认证方法、系统和设备
US9008312B2 (en) System and method of creating and sending broadcast and multicast data
US7424615B1 (en) Mutually authenticated secure key exchange (MASKE)
US11831764B2 (en) End-to-end double-ratchet encryption with epoch key exchange
CN111416706B (zh) 基于秘密共享的量子保密通信系统及其通信方法
CN104754581A (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
CN110999202B (zh) 用于对数据进行高度安全、高速加密和传输的计算机实现的系统和方法
CN107483383A (zh) 一种数据处理方法、终端及后台服务器
CN105376261A (zh) 一种用于即时通讯消息的加密方法及系统
CN111277583B (zh) 一种移动云计算的监控系统身份认证方法
CN114844649A (zh) 一种基于超晶格puf的含可信第三方的密钥分发方法
CN118381608A (zh) 一种基于带外量子密钥的噪声协议实现方法及装置
CN112702582B (zh) 一种基于sm2的监控视频安全传输方法和设备
US20230188330A1 (en) System and method for identity-based key agreement for secure communication
CN112054905B (zh) 一种移动终端的安全通信方法及系统
KR102304831B1 (ko) 순열그룹 기반의 암호화 기술을 적용한 암호화시스템 및 방법
CN114285557A (zh) 通信加密方法、系统和装置
Dodeja BaatCheet: Android chat application coupling End-to-End encryption and LSB substitution
Leu et al. Improving security levels of IEEE802. 16e authentication by Involving Diffie-Hellman PKDS
CN116156491B (zh) 基于无线体域网的群匿名认证方法
CN112163171B (zh) 一种基于终端签名的数据记链方法
JP2001308845A (ja) 多重アファイン鍵を用いる暗号化・復号化方法、認証方法、及びこれを用いる各装置
CN118740401A (zh) 数据处理方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 401123 39-1, Building 1, No. 64, Middle Huangshan Avenue, Yubei District, Chongqing

Patentee after: China Star Network Application Co.,Ltd.

Address before: 618 Liangjiang Avenue, Longxing Town, Yubei District, Chongqing

Patentee before: Dongfanghong Satellite Mobile Communication Co.,Ltd.