CN113079177A - 一种基于时间及解密次数限制的遥感数据共享方法 - Google Patents
一种基于时间及解密次数限制的遥感数据共享方法 Download PDFInfo
- Publication number
- CN113079177A CN113079177A CN202110403663.8A CN202110403663A CN113079177A CN 113079177 A CN113079177 A CN 113079177A CN 202110403663 A CN202110403663 A CN 202110403663A CN 113079177 A CN113079177 A CN 113079177A
- Authority
- CN
- China
- Prior art keywords
- user
- access
- key
- attribute
- cloud server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000012795 verification Methods 0.000 claims abstract description 32
- 230000014509 gene expression Effects 0.000 claims description 27
- 238000001514 detection method Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000013507 mapping Methods 0.000 claims description 6
- 238000012986 modification Methods 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims description 3
- 230000006854 communication Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02A—TECHNOLOGIES FOR ADAPTATION TO CLIMATE CHANGE
- Y02A10/00—TECHNOLOGIES FOR ADAPTATION TO CLIMATE CHANGE at coastal zones; at river basins
- Y02A10/40—Controlling or monitoring, e.g. of flood or hurricane; Forecasting, e.g. risk assessment or mapping
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于时间及解密次数限制的遥感数据共享方法,包括以下步骤:A:遥感数据共享系统初始化;B:遥感资源拥有者对数据进行加密并设置访问控制后向云端上传密文;C:访问用户发送访问请求,云服务器与密钥生成中心共同生成解密密钥;D:时间服务器该访问用户进行身份验证;E:访问用户通过验证后利用客户端进行解密得到解密后的明文。本发明能够基于时间及解密次数的限制来提高遥感数据共享的安全性。
Description
技术领域
本发明涉及一种遥感资源加密领域,尤其涉及一种基于时间及解密次数限制的遥感数据共享方法。
背景技术
遥感影像数据蕴含着重要的数据信息,例如,在涝情监测领域,通过观测分析卫星遥感洪水检测影像数据可以得到各区域地面洪涝泛滥范围,这种获取灾害信息的方式比其他常规手段更加迅速快捷,更加全面。在军事领域,通过观测海洋遥感影像数据可以有效收集到各类情报数据,包括敌情行动信息,目标方位等,甚至对于海洋灾害防控以及海上救援也具有指导意义。由此可见,遥感影像数据在相关领域有着举足轻重的指导作用,与人民群众的生活息息相关。随着遥感技术的飞速发展,大量遥感影像数据以每天TB级的规模产生,因此,如何对遥感数据进行安全有效地存储显得尤为重要。
云存储拥有大型存储空间这一特性,可以存储大量的遥感影像资源,云存储同时还具备可扩展性,部署灵活,价格友好的特点。然而对于一些敏感的数据来说,单纯的以明文方式存储,缺乏必备的隐私保护则会存有极大的隐患,一旦敏感数据在云上泄露,则会造成不必要的经济损失。
现有的云存储中存在着诸多访问控制问题以及数据安全问题,基于属性的加密被提出后,可以有效改善这些问题。而在属性基加密中用户的密钥与密文都与一些身份属性集合相联系,只有满足加密者亲自设定的访问结构的用户才可以对数据进行解密,这样就能实现更加灵活的访问控制。除此之外,它还可以满足多用户数据共享的需求,从而进行一对多细粒度通信。由于使用遥感影像资源的机构或公司大多都是在做与遥感相关的领域,因此在这个产业链中,可以很明确的划分出一些属性,而针对这种情况,基于密文的属性基加密比基于密钥的加密更适合被应用在遥感资源的存储上。
发明内容
本发明的目的是提供一种基于时间及解密次数限制的遥感数据共享方法,能够基于时间及解密次数的限制来提高遥感数据共享的安全性。
本发明采用下述技术方案:
一种基于时间及解密次数限制的遥感数据共享方法,包括以下步骤:
A:遥感数据共享系统初始化;由密钥生成中心KGC生成密钥生成中心初始化公私钥和时间验证公私钥,由云服务器CSP生成云服务器初始化公私钥;最后由密钥生成中心KGC根据上述生成的公私钥生成公共参数及秘密参数;
云服务器CSP为访问用户分配初始化信息;初始化信息包括访问用户的唯一身份标识、访问用户的访问次数和被允许的最大解密次数;
B:遥感资源拥有者选取对称密钥对待上传的数据进行加密,同时通过访问策略树的方式对对称密钥设置访问控制;最终向云端上传密文;
C:当访问用户发送访问云服务器加密遥感资源的请求后,云服务器CSP与密钥生成中心KGC共同生成访问用户的解密密钥,解密密钥中包含用户属性集合中的每个属性的有效期截止时间;
D:想要访问资源的访问用户在向云服务器发出访问请求后,时间服务器该访问用户进行身份验证,用户身份验证包括访问用户的用户属性有效期验证以及用户访问次数验证;
E:当访问用户通过验证后,访问用户利用客户端进行解密操作,得到解密后的明文。
所述的步骤A包括以下具体步骤:
A1:由密钥生成中心KGC分别生成密钥生成中心初始化公私钥和时间验证公私钥;其中,密钥生成中心初始化公私钥包括公钥PKKGC和对应的私钥MKKGC,时间验证公私钥包括公钥PKsign和对应的私钥MKsign;由云服务器CSP生成云服务器初始化公钥PKCSP和对应的私钥MKCSP;
由云服务器CSP随机选择α1和α2,α1,将α1和α2进行异或处理后得到值α,利用值α创建云服务器初始化公钥PKCSP和对应的私钥MKCSP,云服务器初始化公钥PKCSP=e(g,g)α,云服务器初始化私钥MKCSP=gα,
其中,下角标p表示群的阶数,下角标p是一个素数,Zp表示不大于p的非负整数,Z*表示正整数,表示不大于p的正整数,g为群G上的生成元;e表示群上的双线性映射关系:e(G,G)→G0,G,G0均为循环群;
A2:云服务器CSP为访问用户分配初始化信息,初始化信息包括第i个访问用户的唯一身份标识ui,云服务器CSP还为每个访问用户存储一个列表L,列表L中包含访问用户的唯一身份标识ui、访问用户的访问次数σ、被允许的最大解密次数ctrmax、解密次数临时标记timeindex以及状态检测第一变量Kout,其中,σ的初始值与timeindex的初始值为0,i为排序标记;
所述的步骤B包含以下具体步骤:
B1:遥感资源拥有者选取对称密钥kek对待上传的数据M进行加密,加密后的数据M被上传到云服务器CSP中,然后利用加密结果计算密文第一组件C,C=Enckek(M)·e(g,g)αs,其中,C为生成的密文第一组件,为密文第二组件,Enckek(M)表示对加密数据M使用的对称密码的密钥kek进行加密,s为遥感资源拥有者随机选择的随机秘密值,秘密值s∈Zp;
B2:遥感资源拥有者对待上传的数据进行数据加密的同时,对对称密钥kek通过访问策略树的方式设置访问控制,设置方式如下:
首先,遥感资源拥有者为访问策略树Γ的每个节点x选取一个多项式qx;对于访问策略树中的每个节点x,设多项式qx的阶dx为节点x的阈值kx减1;
然后,资源拥有者采用步骤B1中选取的随机秘密值s作为访问策略树的根节点R存储的秘密值,根节点R的表达式为qR(0)=s,之后随机选择多项式qR的其他dR个点来定义根节点R的表达式;对于其他的节点x,同样设置多项式qx(0)=qp(x)(index(x)),并且随机选择多项式qx的其他dx个点来定义对应结点的表达式,其中p(x)表示任意节点x的父节点,index(x)表示与任意节点x相关的编号;
B3:遥感资源拥有者运用步骤B1与B2中所得结果生成最终上传到云端的密文
所述的步骤C包括以下具体步骤:
C1:属性授权中心AAC对该访问用户的用户属性集合中的每个属性均随机选取任意值ti代表属性版本变量参数,属性授权中心AAC根据属性版本变量参数ti为该访问用户的用户属性集合中的每个属性设置属性版本密钥Ui=viti,并将属性版本密钥Ui发送至密钥生成中心KGC;
C2:由云服务器CSP与密钥生成中心KGC利用安全两方计算协议同时操作为访问用户生成密钥,生成方式如下:
密钥生成中心KGC将步骤C1中接收的属性版本密钥Ui作为输入,计算输出用户第二密钥分量SKk, 为访问用户所具有的用户属性集合;其中,Dλ代表用户密钥中与每个用户属性相关的第一组件,代表用户密钥中与每个用户属性相关的第二组件;
C4:云服务器CSP结合自身采集得到的用户当前状态信息st以及该访问用户的唯一标识ui,通过算法VRF的计算检测方案计算状态检测第二变量状态检测第一变量st是描述该访问用户当前状态的唯一字符串,包括当前时间和当前IP地址;
C5:根据步骤C2得到的用户完整密钥组件SK以及步骤C4中得到的状态检测第一变量Kout和状态检测第二变量Kp,再结合由云服务器CSP采集得到的用户当前状态信息st,密钥生成中心KGC计算得到最终解密密钥并将生成的解密密钥发送给访问用户,
所述的步骤D中,用户属性有效期的具体验证方法如下:
时间服务器接收到该访问用户的用户属性集合中的每个属性的有效期Tt后,检验该访问用户的用户属性集合中的每个属性的有效期Tt是否被伪造或篡改过;
若该访问用户的用户属性集合中的每个属性没有伪造或篡改,时间服务器将该访问用户的用户属性集合中的每个属性的有效期Tt和此刻的系统标准时间作对比,若此刻的系统标准时间在该访问用户的用户属性集合中的每个属性的有效期Tt内,则进入用户访问次数验证;若此刻的系统标准时间超过该访问用户的用户属性集合中的某个属性的有效期Tt,则撤销该属性;
若该访问用户的用户属性集合中的每个属性的有效期Tt已被恶意修改过,则提示该访问用户无访问权限,并停止访问。
所述的步骤D中,采用密码学中双线性映射方法检验访问用户的用户属性集合中的每个属性的有效期Tt是否被伪造或篡改过;
所述的步骤D中,撤销属性的方法如下:
步骤一:首先密钥生成中心KGC随机选取一个重加密参数ψ并分配给属性授权中心AAC、云服务器CSP以及被撤销属性的访问用户;
步骤二:在接收到重加密参数ψ后,属性授权中心AAC将被撤销属性的访问用户的属性版本密钥Ui更新至U′i,U′i=vit′i;
步骤三:云服务器CSP首先选择一个随机密值然后利用密钥生成中心KGC传过来的重加密参数ψ更新密文CT*的密文第一组件C为Cnew,密文第二组件为第一信息分量Cλ为Cλnew,第二信息分量为被CSP更新后的密文为CT*′:
所述的步骤D中,用户访问次数的具体验证方法为:
云服务器CSP获取到用户唯一身份标识ui、访问用户的访问次数σ、被允许的最大解密次数ctrmax信息以及用户当前状态信息st后,首先检测以及Kout=e(g,Kp)两个表达式是否同时成立,如果两个表达式同时成立,则检测解密次数σ是否满足σ+1≤ctrmax,如果解密次数满足条件,则将解密次数σ的取值加1,然后将解密次数σ的最新取值及状态检测第一变量Kout更新存储到列表L中,并修改云服务器CSP中列表L内解密次数临时标记timeindex的值为1,然后进入步骤E;如果解密次数不满足条件,则提示该访问用户无访问权限,并停止访问。
所述的步骤E包括以下具体步骤:
E1:在解密过程中,该访问用户首先对访问策略树中的子节点进行解密,子节点包括叶子节点和非叶子节点;
当x属于访问策略树中的非叶子节点,对于节点x的所有孩子节点z,调用函数并且存储结果为Fz;令Sx为任意一个孩子节点z的集合,孩子节点z的数量大小为kx,当检测到该访问用户的访问次数没有超过设定值时,采用递归过程执行DecryptNode操作:
其中,Fz为步骤一中针对叶子结点的解密表达式,Fx为针对非叶子结点的解密表达式,Δi,S为拉格朗日系数,i=index(z),S′x={index(z):z∈Sx};qz(0)根据步骤B2中多项式qx(0)=qp(x)(index(x))得出,结果为qp(z)(index(z)),该访问用户可访问云服务器CSP获取得到解密次数临时标记timeindex的值;
E2:在完成对访问策略树中的所有子节点解密后,该访问用户对访问策略树的根节点进行解密;在步骤E1中定义了函数DecryptNode后,对访问策略树的根节点R同样使用函数DecryptNode解密,访问策略树的根节点R的解密表达式A,
E3:利用步骤E2中求得的解密表达式A,按照下述公式执行解密Dec操作得出明文M:
本发明在加密步骤中利用混合加密提高了加密算法效率;通过云服务器CSP与密钥生成中心KGC共同生成用户密钥来提高密钥安全性;通过对访问用户进行身份验证来使访问用户的用户属性集合中的到期属性可以被及时撤销,同时也防止因滥用访问次数可能造成的信息泄漏的事情发生。本发明具有良好的安全性及系统效率,可以实现机密性,能够防止不同权限的访问用户制造的串谋攻击以及选择明文攻击,通过基于时间及解密次数的限制有效提高了遥感数据共享的安全性。
附图说明
图1为本发明的流程示意图。
具体实施方式
以下结合附图和实施例对本发明作以详细的描述:
如图1所示,本发明中遥感数据共享系统一共包含4个组成部分,分别为密钥生成中心KGC、时间服务器、云服务器CSP和属性授权中心AAC。其中,密钥生成中心KGC与云服务器CSP用于生成访问用户的部分密钥组件,时间服务器用于检测访问用户的用户属性集合中的每个属性的有效期,属性授权中心AAC用于为用户属性集合中的每个属性作标记。
本发明所述的基于时间及解密次数限制的遥感数据共享方法,包括以下步骤:
A:遥感数据共享系统初始化;
由密钥生成中心KGC生成密钥生成中心初始化公私钥和时间验证公私钥,由云服务器CSP生成云服务器初始化公私钥;最后由密钥生成中心KGC根据上述生成的公私钥生成公共参数PK及秘密参数MK;
云服务器CSP为访问用户分配初始化信息;初始化信息包括访问用户的唯一身份标识、访问用户的访问次数和被允许的最大解密次数;
所述的步骤A包含以下具体步骤:
A1:由密钥生成中心KGC分别生成密钥生成中心初始化公私钥和时间验证公私钥;其中,密钥生成中心初始化公私钥包括公钥PKKGC和对应的私钥MKKGC,时间验证公私钥包括公钥PKsign和对应的私钥MKsign;由云服务器CSP生成云服务器初始化公钥PKCSP和对应的私钥MKCSP;
由云服务器CSP随机选择α1和α2,α1,将α1和α2进行异或处理后得到值α,利用值α创建云服务器初始化公钥PKCSP和对应的私钥MKCSP,云服务器初始化公钥PKCSP=e(g,g)α,云服务器初始化私钥MKCSP=gα,
其中,下角标p表示群的阶数,下角标p是一个素数,Zp表示不大于p的非负整数,Z*表示正整数,表示不大于p的正整数,g为群G上的生成元;e表示群上的双线性映射关系:e(G,G)→G0,G,G0均为循环群。
A2:云服务器CSP为访问用户分配初始化信息,初始化信息包括第i个访问用户的唯一身份标识ui,云服务器CSP还为每个访问用户存储一个列表L,列表L中包含访问用户的唯一身份标识ui、访问用户的访问次数σ、被允许的最大解密次数ctrmax、解密次数临时标记timeindex以及状态检测第一变量Kout,其中,σ的初始值与timeindex的初始值为0,i为排序标记。
B:遥感资源拥有者选取对称密钥kek对待上传的数据M进行加密,同时通过访问策略树的方式对对称密钥kek设置访问控制;最终向云端上传密文CT*;
所述的步骤B包含以下具体步骤:
B1:遥感资源拥有者选取对称密钥kek对待上传的数据M进行加密,加密后的数据M被上传到云服务器CSP中,然后利用加密结果计算密文第一组件C,C=Enckek(M)·e(g,g)αs,其中C为生成的密文第一组件,为密文第二组件,Enckek(M)表示对加密数据M使用的对称密码的密钥kek进行加密,s为遥感资源拥有者随机选择的随机秘密值,秘密值s∈Zp。通过这种混合加密的方式来保证通信过程的安全性,同时提高系统加密算法的效率。
B2:遥感资源拥有者对待上传的数据进行数据加密的同时,对对称密钥kek通过访问策略树的方式设置访问控制,设置方式如下:
首先,遥感资源拥有者为访问策略树Γ的每个节点x选取一个多项式qx。这些多项式采用自顶向下的方式生成,对于访问策略树中的每个节点x,设多项式qx的阶dx为节点x的阈值kx减1。
然后,资源拥有者采用步骤B1中选取的随机秘密值s作为访问策略树的根节点R存储的秘密值,因此根节点R的表达式为qR(0)=s,之后随机选择多项式qR的其他dR个点来定义根节点R的表达式。对于其他的节点x,同样设置多项式qx(0)=qp(x)(index(x)),并且随机选择多项式qx的其他dx个点来定义对应结点的表达式,其中p(x)表示任意节点x的父节点,index(x)表示与任意节点x相关的编号;
C:当访问用户发送访问云服务器加密遥感资源的请求后,云服务器CSP与密钥生成中心KGC共同生成访问用户的解密密钥,解密密钥的生成步骤如下所述:
C1:属性授权中心AAC对该访问用户的用户属性集合中的每个属性均随机选取任意值ti代表属性版本变量参数,属性授权中心AAC根据属性版本变量参数ti为该访问用户的用户属性集合中的每个属性设置属性版本密钥Ui=viti,用于后续的密钥更新操作,并将属性版本密钥Ui发送至密钥生成中心KGC。
C2:由云服务器CSP与密钥生成中心KGC利用安全两方计算协议同时操作为访问用户生成密钥,以此方式来降低单一机构生成密钥的不安全性。安全两方计算协议为现有技术,在此不再赘述。
密钥生成中心KGC将步骤C1中接收的属性版本密钥Ui作为输入,计算输出用户第二密钥分量SKk, 为访问用户所具有的用户属性集合。其中Dλ代表用户密钥中与每个用户属性相关的第一组件,代表用户密钥中与每个用户属性相关的第二组件。
C4:云服务器CSP结合自身采集得到的用户当前状态信息st以及该访问用户的唯一标识ui,通过算法VRF的计算检测方案计算状态检测第二变量状态检测第一变量Kp与Kout不仅在云服务器CSP中存储一份,同时也秘密传输给密钥生成中心KGC一份。st是描述该访问用户当前状态的唯一字符串,包括当前时间和当前IP地址。算法VRF为本领域常规的一种用于非交互式验证的伪随机函数,在此不再赘述;
C5:根据步骤C2得到的用户完整密钥组件SK、步骤C4中得到的状态检测第一变量Kout和状态检测第二变量Kp,再结合由云服务器CSP采集得到的用户当前状态信息st,密钥生成中心KGC计算得到最终解密密钥并将生成的解密密钥发送给访问用户,
D:想要访问资源的访问用户在向云服务器发出访问请求后,时间服务器要对该访问用户进行身份验证,用户身份验证包括访问用户的用户属性有效期验证以及用户访问次数验证,通过对访问用户进行身份验证来防止资源泄漏。
用户属性有效期的具体验证方法如下:
如果表示验证成功,说明该访问用户的用户属性集合中的每个属性没有伪造或篡改,时间服务器将该访问用户的用户属性集合中的每个属性的有效期Tt和此刻的系统标准时间作对比,若此刻的系统标准时间在该访问用户的用户属性集合中的每个属性的有效期Tt内,则进入用户访问次数验证;若此刻的系统标准时间超过该访问用户的用户属性集合中的某个属性的有效期Tt,则撤销该属性。
撤销此属性主要通过如下步骤进行操作:
步骤一:首先密钥生成中心KGC随机选取一个重加密参数ψ并分配给属性授权中心AAC、云服务器CSP以及被撤销属性的访问用户。
步骤二:在接收到重加密参数ψ后,属性授权中心AAC将被撤销属性的访问用户的属性版本密钥Ui更新至U′i,U′i=vit′i。
本发明中,对于该访问用户的用户属性集合中被撤销的用户属性λ需要更新用户属性至λ′,并更新对应的属性版本密钥以及密钥组件;对于该访问用户的用户属性集合和没有被撤销的用户属性λ则不需要更新对应的密钥组件,但为了与步骤C中生成解密密钥做区分,用户密钥中与每个用户属性相关的第一组件与第二组件则分别用Dλnew和来表示。
步骤三:云服务器CSP首先选择一个随机密值以此方式来保证方案前向安全性,然后利用密钥生成中心KGC传过来的重加密参数ψ更新密文CT*的密文第一组件C为Cnew,密文第二组件为第一信息分量Cλ为Cλnew,第二信息分量为被CSP更新后的密文为CT*′:
对属性有效期Tt进行验证后,需要再对访问用户的访问次数进行检验。但用户属性有效期验证与用户访问次数验证不同之处在于,即便访问用户的某一属性失效,用户依然有其他属性访问权限的可能;但是如果用户访问次数超过了设定的阈值,则该访问用户就无权访问云服务器CSP。
云服务器CSP进行用户访问次数验证之前需要先获取步骤A2中创建的与该访问用户有关的列表L以及步骤C4中存储的用户当前状态信息st,读取与该访问用户有关的列表L中的用户唯一身份标识ui,访问用户的访问次数σ,被允许的最大解密次数ctrmax信息。
用户访问次数的具体验证方法如下:
云服务器CSP获取到用户唯一身份标识ui、访问用户的访问次数σ、被允许的最大解密次数ctrmax信息以及用户当前状态信息st后,首先检测以及Kout=e(g,Kp)两个表达式是否同时成立,如果两个表达式同时成立,则检测解密次数σ是否满足σ+1≤ctrmax,如果解密次数满足条件,则将解密次数σ的取值加1,然后将解密次数σ的最新取值及状态检测第一变量Kout更新存储到列表L中,并修改云服务器CSP中列表L内解密次数临时标记timeindex的值为1,然后进入步骤E;如果解密次数不满足条件,则提示该访问用户无访问权限,并停止访问。
E:访问用户利用客户端进行解密操作;
E1:在解密过程中,该访问用户首先对访问策略树中的子节点进行解密,子节点包括叶子节点和非叶子节点;
当x属于访问策略树中的非叶子节点,对于节点x的所有孩子节点z,调用函数并且存储结果为Fz。令Sx为任意一个孩子节点z的集合,孩子节点z的数量大小为kx,当检测到该访问用户的访问次数没有超过设定值时,采用递归过程执行DecryptNode操作,本次计算操作采用拉格朗日插值定理:
其中Fz为步骤一中针对叶子结点的解密表达式,Fx为针对非叶子结点的解密表达式,Δi,S为拉格朗日系数,i=index(z),S′x={index(z):z∈Sx};qz(0)可根据步骤B2中多项式qx(0)=qp(x)(index(x))得出,结果为qp(z)(index(z)),该访问用户可访问云服务器CSP获取得到解密次数临时标记timeindex的值。
E2:在完成对访问策略树中的所有子节点解密后,该访问用户对访问策略树的根节点进行解密;在步骤E1中定义了函数DecryptNode后,对访问策略树的根节点R同样使用函数DecryptNode解密,访问策略树的根节点R的解密表达式A,
E3:利用步骤E2中求得的解密表达式A,按照下述公式执行解密Dec操作得出明文M:
本发明在加密步骤中利用混合加密提高了加密算法效率;通过云服务器与密钥生成中心共同生成用户密钥来提高密钥安全性;通过对访问用户进行身份验证来使访问用户的用户属性集合中的到期属性可以被及时撤销,同时也防止因滥用访问次数可能造成的信息泄漏的事情发生。本发明具有良好的安全性及系统效率,可以实现机密性,能够防止不同权限的访问用户制造的串谋攻击以及选择明文攻击,通过基于时间及解密次数的限制有效提高了遥感数据共享的安全性。
Claims (9)
1.一种基于时间及解密次数限制的遥感数据共享方法,其特征在于,包括以下步骤:
A:遥感数据共享系统初始化;由密钥生成中心KGC生成密钥生成中心初始化公私钥和时间验证公私钥,由云服务器CSP生成云服务器初始化公私钥;最后由密钥生成中心KGC根据上述生成的公私钥生成公共参数及秘密参数;
云服务器CSP为访问用户分配初始化信息;初始化信息包括访问用户的唯一身份标识、访问用户的访问次数和被允许的最大解密次数;
B:遥感资源拥有者选取对称密钥对待上传的数据进行加密,同时通过访问策略树的方式对对称密钥设置访问控制;最终向云端上传密文;
C:当访问用户发送访问云服务器加密遥感资源的请求后,云服务器CSP与密钥生成中心KGC共同生成访问用户的解密密钥,解密密钥中包含用户属性集合中的每个属性的有效期截止时间;
D:想要访问资源的访问用户在向云服务器发出访问请求后,时间服务器该访问用户进行身份验证,用户身份验证包括访问用户的用户属性有效期验证以及用户访问次数验证;
E:当访问用户通过验证后,访问用户利用客户端进行解密操作,得到解密后的明文。
2.根据权利要求1所述的基于时间及解密次数限制的遥感数据共享方法,其特征在于,所述的步骤A包括以下具体步骤:
A1:由密钥生成中心KGC分别生成密钥生成中心初始化公私钥和时间验证公私钥;其中,密钥生成中心初始化公私钥包括公钥PKKGC和对应的私钥MKKGC,时间验证公私钥包括公钥PKsign和对应的私钥MKsign;由云服务器CSP生成云服务器初始化公钥PKCSP和对应的私钥MKCSP;
由云服务器CSP随机选择α1和α2,将α1和α2进行异或处理后得到值α,利用值α创建云服务器初始化公钥PKCSP和对应的私钥MKCSP,云服务器初始化公钥PKCSP=e(g,g)α,云服务器初始化私钥MKCSP=gα,
其中,下角标p表示群的阶数,下角标p是一个素数,Zp表示不大于p的非负整数,Z*表示正整数,表示不大于p的正整数,g为群G上的生成元;e表示群上的双线性映射关系:e(G,G)→G0,G,G0均为循环群;
A2:云服务器CSP为访问用户分配初始化信息,初始化信息包括第i个访问用户的唯一身份标识ui,云服务器CSP还为每个访问用户存储一个列表L,列表L中包含访问用户的唯一身份标识ui、访问用户的访问次数σ、被允许的最大解密次数ctrmax、解密次数临时标记timeindex以及状态检测第一变量Kout,其中,σ的初始值与timeindex的初始值为0,i为排序标记;
3.根据权利要求2所述的基于时间及解密次数限制的遥感数据共享方法,其特征在于,所述的步骤B包含以下具体步骤:
B1:遥感资源拥有者选取对称密钥kek对待上传的数据M进行加密,加密后的数据M被上传到云服务器CSP中,然后利用加密结果计算密文第一组件C, 其中,C为生成的密文第一组件,为密文第二组件,Enckek(M)表示对加密数据M使用的对称密码的密钥kek进行加密,s为遥感资源拥有者随机选择的随机秘密值,秘密值s∈Zp;
B2:遥感资源拥有者对待上传的数据进行数据加密的同时,对对称密钥kek通过访问策略树的方式设置访问控制,设置方式如下:
首先,遥感资源拥有者为访问策略树Γ的每个节点x选取一个多项式qx;对于访问策略树中的每个节点x,设多项式qx的阶dx为节点x的阈值kx减1;
然后,资源拥有者采用步骤B1中选取的随机秘密值s作为访问策略树的根节点R存储的秘密值,根节点R的表达式为qR(0)=s,之后随机选择多项式qR的其他dR个点来定义根节点R的表达式;对于其他的节点x,同样设置多项式qx(0)=qp(x)(index(x)),并且随机选择多项式qx的其他dx个点来定义对应结点的表达式,其中p(x)表示任意节点x的父节点,index(x)表示与任意节点x相关的编号;
4.根据权利要求2所述的基于时间及解密次数限制的遥感数据共享方法,其特征在于,所述的步骤C包括以下具体步骤:
C1:属性授权中心AAC对该访问用户的用户属性集合中的每个属性均随机选取任意值ti代表属性版本变量参数,属性授权中心AAC根据属性版本变量参数ti为该访问用户的用户属性集合中的每个属性设置属性版本密钥Ui=viti,并将属性版本密钥Ui发送至密钥生成中心KGC;
C2:由云服务器CSP与密钥生成中心KGC利用安全两方计算协议同时操作为访问用户生成密钥,生成方式如下:
密钥生成中心KGC将步骤C1中接收的属性版本密钥Ui作为输入,计算输出用户第二密钥分量SKk, 为访问用户所具有的用户属性集合;其中,Dλ代表用户密钥中与每个用户属性相关的第一组件,代表用户密钥中与每个用户属性相关的第二组件;
C4:云服务器CSP结合自身采集得到的用户当前状态信息st以及该访问用户的唯一标识ui,通过算法VRF的计算检测方案计算状态检测第二变量状态检测第一变量st是描述该访问用户当前状态的唯一字符串,包括当前时间和当前IP地址;
5.根据权利要求4所述的基于时间及解密次数限制的遥感数据共享方法,其特征在于,所述的步骤D中,用户属性有效期的具体验证方法如下:
时间服务器接收到该访问用户的用户属性集合中的每个属性的有效期Tt后,检验该访问用户的用户属性集合中的每个属性的有效期Tt是否被伪造或篡改过;
若该访问用户的用户属性集合中的每个属性没有伪造或篡改,时间服务器将该访问用户的用户属性集合中的每个属性的有效期Tt和此刻的系统标准时间作对比,若此刻的系统标准时间在该访问用户的用户属性集合中的每个属性的有效期Tt内,则进入用户访问次数验证;若此刻的系统标准时间超过该访问用户的用户属性集合中的某个属性的有效期Tt,则撤销该属性;
若该访问用户的用户属性集合中的每个属性的有效期Tt已被恶意修改过,则提示该访问用户无访问权限,并停止访问。
7.根据权利要求5所述的基于时间及解密次数限制的遥感数据共享方法,其特征在于:所述的步骤D中,撤销属性的方法如下:
步骤一:首先密钥生成中心KGC随机选取一个重加密参数ψ并分配给属性授权中心AAC、云服务器CSP以及被撤销属性的访问用户;
步骤二:在接收到重加密参数ψ后,属性授权中心AAC将被撤销属性的访问用户的属性版本密钥Ui更新至U′i,U′i=vit′i;
步骤三:云服务器CSP首先选择一个随机密值然后利用密钥生成中心KGC传过来的重加密参数ψ更新密文CT*的密文第一组件C为Cnew,密文第二组件为第一信息分量Cλ为Cλnew,第二信息分量为被CSP更新后的密文为CT*′:
8.根据权利要求4所述的基于时间及解密次数限制的遥感数据共享方法,其特征在于,所述的步骤D中,用户访问次数的具体验证方法为:
9.根据权利要求4所述的基于时间及解密次数限制的遥感数据共享方法,其特征在于,所述的步骤E包括以下具体步骤:
E1:在解密过程中,该访问用户首先对访问策略树中的子节点进行解密,子节点包括叶子节点和非叶子节点;
当x属于访问策略树中的非叶子节点,对于节点x的所有孩子节点z,调用函数并且存储结果为Fz;令Sx为任意一个孩子节点z的集合,孩子节点z的数量大小为kx,当检测到该访问用户的访问次数没有超过设定值时,采用递归过程执行DecryptNode操作:
其中,Fz为步骤一中针对叶子结点的解密表达式,Fx为针对非叶子结点的解密表达式,Δi,S为拉格朗日系数,i=index(z),S′x={index(z):z∈Sx};qz(0)根据步骤B2中多项式qx(0)=qp(x)(index(x))得出,结果为qp(z)(index(z)),该访问用户可访问云服务器CSP获取得到解密次数临时标记timeindex的值;
E2:在完成对访问策略树中的所有子节点解密后,该访问用户对访问策略树的根节点进行解密;在步骤E1中定义了函数DecryptNode后,对访问策略树的根节点R同样使用函数DecryptNode解密,访问策略树的根节点R的解密表达式A,
E3:利用步骤E2中求得的解密表达式A,按照下述公式执行解密Dec操作得出明文M:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110403663.8A CN113079177B (zh) | 2021-04-15 | 2021-04-15 | 一种基于时间及解密次数限制的遥感数据共享方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110403663.8A CN113079177B (zh) | 2021-04-15 | 2021-04-15 | 一种基于时间及解密次数限制的遥感数据共享方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113079177A true CN113079177A (zh) | 2021-07-06 |
CN113079177B CN113079177B (zh) | 2022-05-31 |
Family
ID=76617692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110403663.8A Active CN113079177B (zh) | 2021-04-15 | 2021-04-15 | 一种基于时间及解密次数限制的遥感数据共享方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113079177B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301651A (zh) * | 2021-12-22 | 2022-04-08 | 河南大学 | 基于cp-abe的黄河坝岸监测数据共享方法 |
CN117078215A (zh) * | 2023-10-16 | 2023-11-17 | 中交一公局集团有限公司 | 一种建筑物信息管理系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060106836A1 (en) * | 2002-06-07 | 2006-05-18 | Madoka Masugi | Data processing system, data processing device, data processing method, and computer program |
CN102916954A (zh) * | 2012-10-15 | 2013-02-06 | 南京邮电大学 | 一种基于属性加密的云计算安全访问控制方法 |
CN108390876A (zh) * | 2018-02-13 | 2018-08-10 | 西安电子科技大学 | 支持撤销外包可验证多授权中心访问控制方法、云服务器 |
CN109639677A (zh) * | 2018-12-13 | 2019-04-16 | 广东工业大学 | 一种可限制访问次数的云存储外包解密属性基加密方法 |
CN109818757A (zh) * | 2019-03-18 | 2019-05-28 | 广东工业大学 | 云存储数据访问控制方法、属性证书颁发方法及系统 |
CN110247767A (zh) * | 2019-06-28 | 2019-09-17 | 北京工业大学 | 雾计算中可撤销的属性基外包加密方法 |
CN111556009A (zh) * | 2020-03-19 | 2020-08-18 | 河南大学 | 一种支持任意指定时间解密的时间控制加密系统及方法 |
-
2021
- 2021-04-15 CN CN202110403663.8A patent/CN113079177B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060106836A1 (en) * | 2002-06-07 | 2006-05-18 | Madoka Masugi | Data processing system, data processing device, data processing method, and computer program |
CN102916954A (zh) * | 2012-10-15 | 2013-02-06 | 南京邮电大学 | 一种基于属性加密的云计算安全访问控制方法 |
CN108390876A (zh) * | 2018-02-13 | 2018-08-10 | 西安电子科技大学 | 支持撤销外包可验证多授权中心访问控制方法、云服务器 |
CN109639677A (zh) * | 2018-12-13 | 2019-04-16 | 广东工业大学 | 一种可限制访问次数的云存储外包解密属性基加密方法 |
CN109818757A (zh) * | 2019-03-18 | 2019-05-28 | 广东工业大学 | 云存储数据访问控制方法、属性证书颁发方法及系统 |
CN110247767A (zh) * | 2019-06-28 | 2019-09-17 | 北京工业大学 | 雾计算中可撤销的属性基外包加密方法 |
CN111556009A (zh) * | 2020-03-19 | 2020-08-18 | 河南大学 | 一种支持任意指定时间解密的时间控制加密系统及方法 |
Non-Patent Citations (5)
Title |
---|
LIU XUEJIAO ET AL;: "Secure Data Storage Scheme in Hybrid Cloud", 《TRANSACTIONS OF BEIJING INSTITUTE OF TECHNOLOGY》 * |
R. ZHANG ET AL;: "A Traceable Outsourcing CP-ABE Scheme with Attribute Revocation", 《2017 IEEE TRUSTCOM/BIGDATASE/ICESS》 * |
易鑫: "云环境下基于CP-ABE加密技术的应用研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑(月刊)》 * |
李想等: "一种基于属性加密的云数据机密性保护和访问控制方法", 《网络空间安全》 * |
王锦晓等: "一种高效属性可撤销的属性基加密方案", 《计算机应用》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114301651A (zh) * | 2021-12-22 | 2022-04-08 | 河南大学 | 基于cp-abe的黄河坝岸监测数据共享方法 |
CN114301651B (zh) * | 2021-12-22 | 2023-07-21 | 河南大学 | 基于cp-abe的黄河坝岸监测数据共享方法 |
CN117078215A (zh) * | 2023-10-16 | 2023-11-17 | 中交一公局集团有限公司 | 一种建筑物信息管理系统 |
CN117078215B (zh) * | 2023-10-16 | 2024-01-26 | 中交一公局集团有限公司 | 一种建筑物信息管理系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113079177B (zh) | 2022-05-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112019591B (zh) | 一种基于区块链的云数据共享方法 | |
CN109145612B (zh) | 基于区块链实现防数据篡改、用户共谋的云数据共享方法 | |
WO2018045568A1 (zh) | 一种面向云存储服务平台的访问控制方法及其系统 | |
CN110213042A (zh) | 一种基于无证书代理重加密的云数据去重方法 | |
CN103414690B (zh) | 一种可公开验证云端数据持有性校验方法 | |
CN104168108B (zh) | 一种泄露密钥可追踪的属性基混合加密方法 | |
US9698984B2 (en) | Re-encrypted data verification program, re-encryption apparatus and re-encryption system | |
JP2009529832A (ja) | 発見不可能、即ち、ブラック・データを使用するセキュアなデータ通信 | |
CN112187798B (zh) | 一种应用于云边数据共享的双向访问控制方法及系统 | |
CN114039790A (zh) | 一种基于区块链的细粒度云存储安全访问控制方法 | |
JP2007511810A (ja) | 乱数関数を利用した実行証明 | |
CN113079177B (zh) | 一种基于时间及解密次数限制的遥感数据共享方法 | |
CN111092733A (zh) | 一种抵抗集体噪声的量子盲双重签名的方法 | |
CN110933033A (zh) | 智慧城市环境下多物联网域的跨域访问控制方法 | |
CN103493428B (zh) | 数据加密 | |
CN114401153B (zh) | 一种智慧井盖设备的认证方法及系统 | |
CN110519040B (zh) | 基于身份的抗量子计算数字签名方法和系统 | |
CN117118600A (zh) | 一种基于格密码改进的区块链代理重加密方法及系统 | |
WO2016072057A1 (ja) | 暗号文照合システム、方法、および記録媒体 | |
JP4840575B2 (ja) | 端末装置、証明書発行装置、証明書発行システム、証明書取得方法および証明書発行方法 | |
ul Haq et al. | An efficient authenticated key agreement scheme for consumer USB MSDs resilient to unauthorized file decryption | |
CN116707854A (zh) | 一种健壮的基于属性加密的云存储访问控制方法 | |
CN115499229A (zh) | 基于身份的云存储加密数据转换方法和系统 | |
CN106487495B (zh) | 基于整数混沌的轻量级rfid认证方法 | |
KR20040077152A (ko) | 중재자를 이용한 양자 서명 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |