CN113792315B - 一种支持块级加密去重的云数据访问控制方法及控制系统 - Google Patents
一种支持块级加密去重的云数据访问控制方法及控制系统 Download PDFInfo
- Publication number
- CN113792315B CN113792315B CN202111092594.XA CN202111092594A CN113792315B CN 113792315 B CN113792315 B CN 113792315B CN 202111092594 A CN202111092594 A CN 202111092594A CN 113792315 B CN113792315 B CN 113792315B
- Authority
- CN
- China
- Prior art keywords
- data
- key
- target user
- mas
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
一种支持块级加密去重的云数据访问控制方法及控制系统,涉及云计算安全领域,解决现有加密数据去重方法存在访问控制效率低的问题;该方法通过数据存储阶段和数据共享两个阶段实现,所述访问控制系统包括数据所有者、目标用户、授权服务器和云存储;本发明在UMLE方法的基础上实现了高效的块级数据去重,并且通过CP‑ABE方法实现了数据共享。云存储仅需一步验证即可确定目标用户是否拥有数据的访问权限,该过程并不需要数据所有者参与,且无需解密任何数据,具有较高的执行效率和安全性,同时CP‑ABE可支持细粒度的访问控制,从而支持云环境下复杂的隐私保护需求。
Description
技术领域
本发明涉及云计算安全领域,具体涉及一种支持块级加密去重的云数据访问控制方法及控制系统,以解决云存储高效安全去重和细粒度访问控制问题。
背景技术
云端数据量的爆炸式增长不仅占用大量云存储空间,而且消耗网络带宽。仅采用数据压缩技术无法解决多数据副本共存的问题,对提高存储效率和网络传输效率收效甚微。数据去重是一种更高效的数据缩减方法,可以有效降低存储空间、网络带宽开销。随着越来越多的数据被外包给云存储,数据的安全性成为关注的焦点。保证数据的机密性,从而保护用户隐私是云存储必须提供的安全功能。目前,明文数据的去重技术已发展较为成熟,但如果直接将这些技术应用于密文数据,则无法得到同样的去重效果。
为了对加密数据去重,人们提出了收敛加密(CE)、消息锁定加密(MLE)、块级消息锁定加密(BL-MLE)以及可更新块级消息锁定加密(UMLE)等方法。
在CE方案中,相同的数据M生成相同的密钥和密文,已被广泛地应用在数据重删系统中,但缺乏对安全性的正式定义。MLE方案比CE方案具有更完善的安全定义,可以衍生出更多的安全去重方案,如针对块级加密数据重删的BL-MLE和UMLE。其中,UMLE是目前较为高效的块级安全去重方法。本发明在该方法的基础上,引入密文策略属性基加密访问控制技术(CP-ABE),并设计了一种权限验证方法,实现了安全且高效的数据去重和访问控制,对云环境下复杂的隐私保护需求提供技术支撑,具有广阔的应用前景。
发明内容
本发明为解决现有加密数据去重方法存在访问控制效率低的问题,提供一种支持块级加密去重的云数据访问控制方法及控制系统。
一种支持块级加密去重的云数据访问控制方法,该方法通过数据存储阶段和数据共享两个阶段实现,具体步骤如下:
数据存储阶段的具体过程为:
步骤一、数据所有者采用UMLE方法生成数据M的密钥kmas,并采用密钥kmas对数据M进行加密生成密文C;对所述密文C的每个分块生成标签,并组成标签集T;
步骤二、数据所有者构造访问控制树A,根据所述访问控制树A和所述访问控制树A对应的属性集S,采用CP-ABE方法加密kmas,生成加密密钥CT;
数据共享阶段的具体过程为:
步骤五、设定目标用户需要获得数据M,则向授权服务器发送请求;所述授权服务器检索目标用户关联的属性集S,计算对应的属性密钥集SK*;并将所述属性密钥集SK*发送至目标用户;
步骤八、所述云存储向所述拥有访问权限的目标用户发送密文C,目标用户采用密钥kmas解密密文C,获得数据M。
一种支持块级加密去重的云数据访问控制系统,该系统包括授权服务器和云存储;
数据所有者采用UMLE方法生成数据M的密钥kmas,并使用kmas加密M生成密文C;然后构造访问树结构A,并基于CP-ABE方法使用A加密kmas;最后将加密后的kmas以及密文C上传至云存储;
目标用户并不是数据M的所有者,需要获得数据M时,该目标用户自身拥的属性满足数据访问策略的情况下,该属性和访问树结构A结合将CT解密以获得kmas,并最终解密C以获得数据M;
所述授权服务器存储用户及关联的属性信息,为用户生成属性密钥集;
设定某用户有多个属性,授权服务器需要为每个用户生成属性密钥,所有属性密钥则组成属性密钥集;该密钥集用于与访问树结构A结合来解密数据;
所述授权服务器在服务用户之前要完成初始化工作:利用隐含的安全参数生成公钥PK和私钥MK,公开公钥PK,保存私钥MK;
所述云存储为用户提供数据存储服务,并能为数据所有者验证目标用户是否有权限获得数据,以保证数据分享的安全性。
本发明的有益效果:
本发明所述的控制方法,在功能上,本发明在UMLE方案的基础上实现了高效的块级数据去重,并且通过CP-ABE方法实现了数据共享。云存储仅需一步验证即可确定目标用户是否拥有数据的访问权限,该过程并不需要数据所有者参与,且无需解密任何数据,具有较高的执行效率和安全性,同时CP-ABE可支持细粒度的访问控制,从而支持云环境下复杂的隐私保护需求。
本发明所述的控制方法,在安全性上,设计了一个借助随机标签确认目标用户权限的措施。如果攻击者(恶意的目标用户)的属性不能满足访问权限,解密得到错误的密钥kmas,就不能通过云存储后续的验证阶段。
附图说明
图1为本发明所述的一种支持块级加密去重的云数据访问控制方法中数据存储阶段的流程图;
图2为本发明所述的一种支持块级加密去重的云数据访问控制方法中数据共享阶段的流程图;
图3为UMLE方案密钥生成图。
具体实施方式
结合图1至图3说明本实施方式,一种支持块级加密去重的云数据访问控制方法,该方法基于访问控制系统实现,本实施方式中,所述访问控制系统包括数据所有者(DO)、目标用户(TU)、授权服务器(AS)、云存储(CS)。
数据所有者(DO):数据所有者使用UMLE方法生成数据M的密钥kmas,并使用kmas加密M生成密文C;然后构造访问树结构A,并基于CP-ABE技术使用A加密kmas;最后将加密后的kmas以及C上传给云存储。
目标用户(TU):并不是数据M的所有者,但是希望获得M。该用户拥有一些属性,这些属性和访问树结构A结合有可能将加密后的kmas解密以获得kmas,并最终解密C以获得M。
授权服务器(AS):存储用户及关联的属性信息,为用户生成属性密钥集。假设某用户有多个属性,AS需要为每个用户生成属性密钥,所有属性密钥就组成属性密钥集。该密钥集的作用是和访问树结构A结合来解密数据。
AS在服务用户之前要完成初始化工作:利用隐含的安全参数生成公钥PK和私钥MK,公开PK,保存MK。
云存储(CS):为用户提供数据存储服务,并能为数据所有者验证目标用户是否有权限获得数据,以保证数据分享的安全性。
具体访问控制方法分为两个阶段:数据存储阶段和数据共享阶段
如图1所示,数据存储阶段由以下步骤实现:
步骤1、数据所有者将数据M分割为n块{M[1],M[2],...M[n]}。然后基于UMLE方法加密每个分块,生成密文C,并构造密钥kmas。该过程的详细步骤为:
步骤1-1、使用块密钥生成方法B-KeyGen为M[i]生成块密钥k0[i],即k0[i]=B-KeyGen(M[i])。B-KeyGen可以是一种哈希方法。
步骤1-2、使用对称加密方法B-Enc和k0[i]加密M[i],得到C0[i],即C0[i]=B-Enc(k0[i],M[i])。
步骤1-4、从1到n1中依次取出每个整数并赋值给i,计算Mj+1[i]=kj[2i-1]||Kj[2i],kj+1[i]=B-KeyGen(Mj+1[i])。若n1≠n2,再计算Mj+1[n2]=kj[n2]。对所有的Mj+1[i],计算Cj+1[i]=B-Enc(kj+1[i],Mj+1[i])。
上述步骤1-2、步骤1-4总计可生成块加密数据,这些加密数据的集合构成了密文C。若n为4,上述构造密文C及密钥kmas的过程如图3所示。为了实现块级安全去重,数据所有者还需要为C中的每个分块生成标签,并组成标签集T。
步骤2、数据所有者构造访问控制树A。然后结合A和A对应的属性集S,利用CP-ABE方法加密kmas,生成加密密钥CT。
如图2所示,数据共享阶段由以下步骤实现:
步骤6、假设目标用户希望获得M,则向授权服务器发送请求。
步骤7、授权服务器检索目标用户关联的属性集S,计算对应的属性密钥集SK*。
步骤8、授权服务器将SK*发送给目标用户。
步骤9、目标用户向云存储发送数据访问请求。
步骤10、云存储向目标用户发送CT。
具体交换细节如下:
若等式成立,则确定目标用户为拥有访问权限的用户。
步骤14、云存储向通过挑战的目标用户发送密文C。
步骤15、目标用户使用主密钥kmas解密密文C得到原始数据M。解密过程是UMLE加密过程(步骤1)的逆过程,从树根开始逐层解密。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (5)
1.一种支持块级加密去重的云数据访问控制方法,其特征是:该方法通过数据存储阶段和数据共享两个阶段实现,具体步骤如下:
数据存储阶段的具体过程为:
步骤一、数据所有者采用UMLE方法生成数据M的密钥kmas,并采用密钥kmas对数据M进行加密生成密文C;对所述密文C的每个分块生成标签,并组成标签集T;
步骤二、数据所有者构造访问控制树A,根据所述访问控制树A和所述访问控制树A对应的属性集S,采用CP-ABE方法加密kmas,生成加密密钥CT;
数据共享阶段的具体过程为:
步骤五、设定目标用户需要获得数据M,则向授权服务器发送请求;所述授权服务器检索目标用户关联的属性集S,计算对应的属性密钥集SK*;并将所述属性密钥集SK*发送至目标用户;
步骤八、所述云存储向所述拥有访问权限的目标用户发送密文C,目标用户采用密钥kmas解密密文C,获得数据M。
2.根据权利要求1所述的一种支持块级加密去重的云数据访问控制方法,其特征在于:步骤一中,所述数据所有者将数据M分割为n块{M[1],M[2],...M[n]},并采用UMLE方法加密数据M的每个分块,生成密文C,并构造密钥kmas;具体过程为:
步骤一一、采用块密钥生成方法B-KeyGen为块M[i]生成块密钥k0[i],即k0[i]=B-KeyGen(M[i]);
采用对称加密方法B-Enc以及密钥k0[i]对块M[i]加密,获得加密密文C0[i];即C0[i]=B-Enc(k0[i],M[i]);
步骤一三、从1到n1中依次取出每个整数并赋值给i,计算Mj+1[i]=kj[2i-1]||kj[2i],kj+1[i]=B-KeyGen(Mj+1[i]);
若n1≠n2,再计算Mj+1[n2]=kj[n2];
对所有的Mj+1[i],计算Cj+1[i]=B-Enc(kj+1[i],Mj+1[i]);
5.根据权利要求1-4任意一项所述的一种支持块级加密去重的云数据访问控制方法的控制系统,其特征是:该系统包括授权服务器和云存储;
数据所有者采用UMLE方法生成数据M的密钥kmas,并使用kmas加密M生成密文C;然后构造访问树结构A,并基于CP-ABE方法使用A加密kmas;最后将加密后的kmas以及密文C上传至云存储;
目标用户并不是数据M的所有者,需要获得数据M时,该目标用户自身拥的属性满足数据访问策略的情况下,该属性和访问树结构A结合将CT解密以获得kmas,并最终解密C以获得数据M;
所述授权服务器存储用户及关联的属性信息,为用户生成属性密钥集;
设定某用户有多个属性,授权服务器需要为每个用户生成属性密钥,所有属性密钥则组成属性密钥集;该密钥集用于与访问树结构A结合来解密数据;
所述授权服务器在服务用户之前要完成初始化工作:利用隐含的安全参数生成公钥PK和私钥MK,公开公钥PK,保存私钥MK;
所述云存储为用户提供数据存储服务,并能为数据所有者验证目标用户是否有权限获得数据,以保证数据分享的安全性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111092594.XA CN113792315B (zh) | 2021-09-17 | 2021-09-17 | 一种支持块级加密去重的云数据访问控制方法及控制系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111092594.XA CN113792315B (zh) | 2021-09-17 | 2021-09-17 | 一种支持块级加密去重的云数据访问控制方法及控制系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113792315A CN113792315A (zh) | 2021-12-14 |
CN113792315B true CN113792315B (zh) | 2023-04-25 |
Family
ID=78878870
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111092594.XA Active CN113792315B (zh) | 2021-09-17 | 2021-09-17 | 一种支持块级加密去重的云数据访问控制方法及控制系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113792315B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115065529B (zh) * | 2022-06-13 | 2023-11-03 | 北京寰宇天穹信息技术有限公司 | 一种基于融合主客体关键信息的可信标签的访问控制方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016101153A1 (en) * | 2014-12-23 | 2016-06-30 | Nokia Technologies Oy | Method and apparatus for duplicated data management in cloud computing |
CN106603561A (zh) * | 2016-12-30 | 2017-04-26 | 电子科技大学 | 一种云存储中的块级加密方法及多粒度去重复方法 |
CN108400970A (zh) * | 2018-01-20 | 2018-08-14 | 西安电子科技大学 | 云环境中相似数据消息锁定加密去重方法、云存储系统 |
CN109359475A (zh) * | 2018-10-18 | 2019-02-19 | 桂林电子科技大学 | 一种支持多值属性的密文策略属性基加密方法 |
CN109379182A (zh) * | 2018-09-04 | 2019-02-22 | 西安电子科技大学 | 支持数据去重的高效数据重加密方法及系统、云存储系统 |
CN112417509A (zh) * | 2020-12-08 | 2021-02-26 | 长春理工大学 | 基于自编码器的数据安全去重方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102450295B1 (ko) * | 2016-01-04 | 2022-10-04 | 한국전자통신연구원 | 암호 데이터의 중복 제거 방법 및 장치 |
-
2021
- 2021-09-17 CN CN202111092594.XA patent/CN113792315B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016101153A1 (en) * | 2014-12-23 | 2016-06-30 | Nokia Technologies Oy | Method and apparatus for duplicated data management in cloud computing |
CN106603561A (zh) * | 2016-12-30 | 2017-04-26 | 电子科技大学 | 一种云存储中的块级加密方法及多粒度去重复方法 |
CN108400970A (zh) * | 2018-01-20 | 2018-08-14 | 西安电子科技大学 | 云环境中相似数据消息锁定加密去重方法、云存储系统 |
CN109379182A (zh) * | 2018-09-04 | 2019-02-22 | 西安电子科技大学 | 支持数据去重的高效数据重加密方法及系统、云存储系统 |
CN109359475A (zh) * | 2018-10-18 | 2019-02-19 | 桂林电子科技大学 | 一种支持多值属性的密文策略属性基加密方法 |
CN112417509A (zh) * | 2020-12-08 | 2021-02-26 | 长春理工大学 | 基于自编码器的数据安全去重方法 |
Non-Patent Citations (1)
Title |
---|
Suyash Kandele等.Message-Locked Encryption with File Update.《ACNS 2018: Applied Cryptography and Network Security》.2018,全文. * |
Also Published As
Publication number | Publication date |
---|---|
CN113792315A (zh) | 2021-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhang et al. | Data security and privacy-preserving in edge computing paradigm: Survey and open issues | |
CN112019591B (zh) | 一种基于区块链的云数据共享方法 | |
Li et al. | TMACS: A robust and verifiable threshold multi-authority access control system in public cloud storage | |
CN108881314B (zh) | 雾计算环境下基于cp-abe密文隐私保护方法及系统 | |
Zhou et al. | Achieving secure role-based access control on encrypted data in cloud storage | |
Guo et al. | TABE-DAC: Efficient traceable attribute-based encryption scheme with dynamic access control based on blockchain | |
Shao et al. | Fine-grained data sharing in cloud computing for mobile devices | |
Yuan et al. | DedupDUM: Secure and scalable data deduplication with dynamic user management | |
Ying et al. | Adaptively secure ciphertext-policy attribute-based encryption with dynamic policy updating | |
CN110022309B (zh) | 一种移动云计算系统中安全高效的数据共享方法 | |
CN110933033A (zh) | 智慧城市环境下多物联网域的跨域访问控制方法 | |
Jiang et al. | SDSS-MAC: Secure data sharing scheme in multi-authority cloud storage systems | |
Ming et al. | Efficient revocable multi-authority attribute-based encryption for cloud storage | |
Baseri et al. | Privacy preserving fine-grained location-based access control for mobile cloud | |
Wen et al. | BDO-SD: An efficient scheme for big data outsourcing with secure deduplication | |
Kaaniche et al. | Cloudasec: A novel public-key based framework to handle data sharing security in clouds | |
CN113434875A (zh) | 一种基于区块链的轻量化访问方法及系统 | |
Sammy et al. | An Efficient Blockchain Based Data Access with Modified Hierarchical Attribute Access Structure with CP‐ABE Using ECC Scheme for Patient Health Record | |
Tian et al. | An efficient scheme of cloud data assured deletion | |
Chaudhary et al. | RMA-CPABE: A multi-authority CPABE scheme with reduced ciphertext size for IoT devices | |
Wang et al. | Achieving lightweight and secure access control in multi-authority cloud | |
CN113792315B (zh) | 一种支持块级加密去重的云数据访问控制方法及控制系统 | |
Yan et al. | Secure and efficient big data deduplication in fog computing | |
Sepehri et al. | Efficient implementation of a proxy-based protocol for data sharing on the cloud | |
Wang et al. | Multi-user searchable encryption with coarser-grained access control without key sharing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |