CN116319104B - 一种基于属性重加密的数据安全运营方法 - Google Patents

一种基于属性重加密的数据安全运营方法 Download PDF

Info

Publication number
CN116319104B
CN116319104B CN202310576755.5A CN202310576755A CN116319104B CN 116319104 B CN116319104 B CN 116319104B CN 202310576755 A CN202310576755 A CN 202310576755A CN 116319104 B CN116319104 B CN 116319104B
Authority
CN
China
Prior art keywords
file
data
service
attribute
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310576755.5A
Other languages
English (en)
Other versions
CN116319104A (zh
Inventor
刘嘉
万伟
熊支鹏
刘玉康
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yunshang Jiangxi Security Technology Co ltd
Original Assignee
Yunshang Jiangxi Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yunshang Jiangxi Security Technology Co ltd filed Critical Yunshang Jiangxi Security Technology Co ltd
Priority to CN202310576755.5A priority Critical patent/CN116319104B/zh
Publication of CN116319104A publication Critical patent/CN116319104A/zh
Application granted granted Critical
Publication of CN116319104B publication Critical patent/CN116319104B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于属性重加密的数据安全运营方法。业务管理端将第二密文文件拆分为第一提取文件和第二提取文件。数据代理端根据存储地址从公有服务器下载第一提取文件,拼接第一提取文件与第二提取文件获得第二密文文件,再基于时效参数解密第二密文文件获得第二业务文件与第一密文文件。数据代理端承担数据的下载工作,降低业务管理端的工作量。数据运营端根据指纹码追踪数据代理端,确认数据代理端使用第二业务文件的权限。为了避免不信任的数据代理端窃取数据,在密文文件中添加时间参数,控制数据代理端的访问权限。

Description

一种基于属性重加密的数据安全运营方法
技术领域
本发明涉及外包业务的数据保护技术,尤其涉及一种基于属性重加密的数据安全运营方法。
背景技术
在业务外包系统中,业务管理方将部分业务分包给业务代理方。业务管理方从私有服务器下载数据,再交由业务代理方处理。如图1的拓扑图,属性认证机构用于业务代理方的认证,数据运营方承担后台的数据管理工作。为了保证业务处理时效,避免私有服务器数据泄漏,现有技术尝试将时间参数纳入访问控制策略中。CN202111314945.7 公开了一种基于时间自动控制的访问控制策略,首先检测时间属性是否生效,若时间属性生效,访问控制策略生效。该方案要求业务管理端承担数据的下载和加解码工作,对系统的数据处理能力要求较高,且业务管理端必须保持待机状态,配合业务代理方访问数据。在分布式运营理念下,终端设备日趋小型化,有必要降低终端设备的网络负担和运算压力。
发明内容
为了解决上述现有技术存在的缺陷,本发明提出了一种基于属性重加密的数据安全运营方法。该方法由数据代理端承担数据的下载工作,降低业务管理端的工作量,同时在密文文件中添加时间属性参数,控制数据代理端的访问权限。
本发明的技术方案是这样实现的:
一种基于属性重加密的数据安全运营方法,包括以下步骤:
步骤1:属性认证机构向业务代理端发放属性私钥,时间管理器向数据代理端发放第一解码函数;
步骤2:数据运营端根据至少两个属性参数生成第一控制树,通过第一控制树加密多个第一业务文件获得第一密文文件;
步骤3:数据运营端生成第一密文文件的索引编码,私有服务器存储第一密文文件并将该第一密文文件的存储地址关联至索引编码;
步骤4:业务管理端接收一第二业务文件,查找私有服务器的至少一个索引编码,并下载该索引编码的第一密文文件;
步骤5:业务管理端根据至少两个时效参数生成第二控制树,根据第二控制树加密第二业务文件与第一密文文件,生成第二密文文件;
步骤6:业务管理端将第二密文文件拆分为第一提取文件和第二提取文件,将第二提取文件发送至数据代理端;
步骤7:业务管理端将第一提取文件存储至公有服务器,并向数据代理端提供第一提取文件的存储地址;
步骤8:数据代理端通过指纹码向时间管理器申请时效参数,若当前时间在数据代理端允许访问的时间内,时间管理器通过第一解码函数封装时效参数与指纹码,再发送至数据代理端与数据运营端;
步骤9:数据代理端根据存储地址从公有服务器下载第一提取文件,拼接第一提取文件与第二提取文件获得第二密文文件,再基于时效参数解密第二密文文件获得第二业务文件与第一密文文件;
步骤10:数据代理端将第二业务文件与第一密文文件发送至业务代理端,业务代理端通过属性私钥解密第一密文文件生成第一业务文件;
步骤11:数据运营端根据指纹码追踪数据代理端,确认数据代理端使用第二业务文件的权限。
在本发明中,在步骤1中,权限管理中心产生公共参数和主密钥,属性认证机构向不同业务代理端分配属性参数,并基于属性参数、公共参数和主密钥生成对应业务代理端的属性私钥。
在本发明中,在步骤2中,第一控制树的叶子节点为属性参数x,根据非叶子节点的门限值构造多项式f1(x),将多项式的常数项f1(0)作为加密第一业务文件的秘密值。
在本发明中,业务管理端根据第二业务文件的关键词w'计算索引编码,查找私有服务器中相同的索引编码,私有服务器输出索引编码对应的存储地址。
在本发明中,业务管理端根据第二业务文件的关键词w'生成多个子关键词,计算每一子关键词的索引编码,查找私有服务器中相同的索引编码,私有服务器输出至少一个索引编码对应的存储地址。
在本发明中,在步骤5中,第二控制树的叶子节点为时效参数,非叶子节点为或门节点。
在本发明中,在步骤6中,业务管理端计算时效参数的文本属性值,基于该文本属性值将第二密文文件拆分为第一提取文件和小于第一提取文件的第二提取文件。
在本发明中,还包括初始化步骤,时间管理器建立时效参数与系统时间的第二解码函数,将第一解码函数和第二解码函数发送至数据运营端。
在本发明中,时间管理器根据第一解码函数s=g1(v,t),将指纹码v与时效参数t封装为序列码s。
在本发明中,数据运营端根据序列码s与指纹码v反解第一解码函数,获得时效参数t,再根据第二解码函数获得访问时刻t',若访问时刻t'在权限时间段T内,确认数据代理端具有使用第二业务文件的权限,否则确认数据代理端不具有使用第二业务文件的权限。
实施本发明的这种基于属性重加密的数据安全运营方法,具有以下有益效果:数据代理端承担数据的下载工作,降低业务管理端的工作量。为了避免不信任的数据代理端窃取数据,数据运营端可以根据指纹码追踪数据代理端,确认数据代理端使用第二业务文件的权限。业务管理端将部分业务发送至公有服务器,降低私有服务器的存储压力。进一步的,以文本属性值作为拆分文件的依据,即使公有服务器存在不可信的访问者,业务文件依然不会泄密。
附图说明
图1为现有技术的数据运营方法的拓扑图;
图2为本发明的基于属性重加密的数据安全运营方法的拓扑图;
图3为本发明的基于属性重加密的数据安全运营方法的流程图;
图4为本发明的数据加密过程示意图;
图5为本发明的数据解密过程示意图;
图6为本发明的第二控制树的示意图;
图7为本发明的第二密文文件拆分为第一提取文件和第二提取文件的示意图。
具体实施方式
为更清楚地理解本申请的目的、技术方案和优点,下面结合附图和实施例,对本申请进行了描述和说明。
在本发明的这种基于属性重加密的数据安全运营方法中,私有服务器存储历史的第一业务文件,业务管理端接收第二业务文件后申请访问第一业务文件,再将第二业务文件和与之匹配的第一业务文件发送至数据代理端和公有服务器。数据代理端负责数据的部分解密,并向业务代理端传递数据。本发明的权限管理中心、属性认证机构、时间管理器属于权威机构,业务管理端、私有服务器与业务代理端为可信方,数据代理端为半可信方。公有服务器处于零信任网络,存在多个不可信用户。数据代理端承担数据的下载和传输,降低业务管理端和业务代理端的压力。本发明通过文件的重加密和数据运营端的追责,避免数据代理端非正常访问数据。
实施例一
本发明用于外包数据的运营和管理。如图2至图7所示,权限管理中心产生公共参数和主密钥,属性认证机构向不同业务代理端分配属性参数和属性私钥。业务管理端将部分文件存储至公有服务器,将部分文件发送至数据代理端。数据代理端在允许的时间范围内访问并下载文件,将文件交由业务代理端处理。本发明的基于属性重加密的数据安全运营方法包括以下步骤。
初始化步骤:时间管理器生成多个第一解码函数,建立时效参数与系统时间的第二解码函数,将第一解码函数和第二解码函数发送至数据运营端。时间管理器实现时间访问控制功能,时间管理器是可信的权威机构,可以定义时间格式,如“日/月/年”,也可以直接采用现有的互联网时间服务(Internet Time Servers)。第一解码函数与第二解码函数为单调函数。时间管理器向每一数据代理端分配对应的第一解码函数,而第二解码函数与数据运营端匹配。
步骤1:属性认证机构向业务代理端发放属性私钥,时间管理器向数据代理端发放第一解码函数。具体来说,权限管理中心生成随机数λ,运行算法Setup(1λ)→(MK,PK),产生公共参数PK和主密钥MK。Setup算法用于对加密机制进行初始化,获得初始参数。属性认证机构基于业务代理端的属性参数x、公共参数PK和主密钥MK生成对应业务代理端的属性私钥SK1,KeyGen(x,PK,MK)→SK1,KeyGen为属性认证机构的密钥生成算法。
本实施例中,权限管理中心负责业务代理端和属性认证机构,权限管理中心配有数据管理模块。属性认证机构向不同业务代理端分配属性参数。多个属性认证机构可以管理不同业务代理端的不同的属性,属性认证机构分发与属性相关的属性私钥,不参与属性撤销和数据访问工作。此外,权限管理中心还生成公钥K1和密钥K2。公钥K1发送至数据运营端,用于加密第一业务文件。密钥K2发送至业务管理端,用于加密第二业务文件与第一密文文件。
步骤2:数据运营端根据至少两个属性参数生成第一控制树,通过第一控制树加密多个第一业务文件获得第一密文文件。第一业务文件例如是当前用户的证明文件或者相似用户的审批文件。第一控制树的叶子节点为属性参数x,属性参数为素数。非叶子节点为或门,根节点为秘密值。根据非叶子节点的门限值构造多项式f1(x),将多项式的常数项f1(0)作为加密第一业务文件的秘密值(安全参数)。以该秘密值加密第一业务文件D1得到第一密文文件D2。加密算法表示为Enc1(PK,K1, f1(x),D1)→D2,Enc1为预设的加密算法,用于生成第一密文文件。本实施例中,除了第一控制树外,该加密算法还采用了公共参数PK和公钥K1。
步骤3:数据运营端生成第一密文文件的索引编码,私有服务器存储第一密文文件并将该第一密文文件存储地址关联至索引编码。索引编码由第一业务文件的关键词生成,同一业务文件的存储地址可以对应多个关键词,通过关键词的索引编码可以查找对应第一密文文件的存储地址。本发明的私有服务器是可信方。私有服务器由系统管理者创建和维护,基于本地数据中心搭建的独立基础架构,系统管理者可以控制私有服务器的各个访问端口。
步骤4:业务管理端接收一第二业务文件,查找私有服务器的至少一个索引编码,并下载该索引编码的第一密文文件。第二业务文件例如当前用户的审批文件,根据审批文件的关键词生成索引编码,查找相同关键词的第一密文文件。
步骤5:业务管理端根据至少两个时效参数生成第二控制树,根据第二控制树加密第二业务文件与第一密文文件,生成第二密文文件。如图6所示,第二控制树的叶子节点为时效参数,非叶子节点为或门节点,根节点为秘密值。根据叶子节点的门限值构造多项式f2(t),将多项式的常数项f2(0)作为秘密值。与步骤2类似,本实施例以该秘密值加密第二业务文件D3与第一密文文件D2得到第二密文文件D4。算法可以表示为Enc2(PK,K2,f2(t),D3,D2)→D4,Enc2为预设的加密算法,用于将第二业务文件与第一密文文件加密为第二密文文件。本实施例中,除了第二控制树外,该加密算法还采用了公共参数PK和密钥K2。
步骤6:业务管理端将第二密文文件拆分为第一提取文件和第二提取文件,将第二提取文件发送至数据代理端。业务管理端计算时效参数的文本属性值,基于该文本属性值将第二密文文件拆分为第一提取文件和小于第一提取文件的第二提取文件。文本属性值可以是预设哈希函数生成的哈希值H0(t)。参照图7,将时效参数t的哈希值H0(t)转化为二进制串。按照预设大小(1KB)将第二密文文件分割成多个文件块。二进制串的每一位字符分别对应一个文件块,若字符为0,将文件块分入第一提取文件,若字符为1,将文件块分入第二提取文件。一般哈希值H0(t)的0位较多,第一提取文件大于第二提取文件。
步骤7:业务管理端将第一提取文件存储至公有服务器,并向数据代理端提供第一提取文件的存储地址。虽然第一提取文件存储至不可信的公有服务器,由于第一提取文件属于加密文件的片段,不可信的用户无法通过第一提取文件获得原始信息。公有服务器例如是第三方提供商提供的云存储器,存储地址例如是资源定位符URL。
步骤8:数据代理端通过指纹码向时间管理器申请时效参数,若当前时间在数据代理端允许访问的时间内,时间管理器封装时效参数与指纹码并发送至数据代理端与数据运营端。若当前时间不在数据代理端允许访问的时间内,时间管理器向数据代理端发出拒绝访问通知。每一数据代理端加入运营平台时,数据运营端向其分配唯一指纹码。时间管理器根据数据代理端申请访问时间是否在允许访问的时间段内,决定是否向其提供时效参数。
步骤9:数据代理端根据存储地址从公有服务器下载第一提取文件,拼接第一提取文件与第二提取文件获得第二密文文件,再基于时效参数解密第二密文文件获得第二业务文件与第一密文文件。本实施例不限制第二业务文件和第一密文文件组合方式,可以通过第三方压缩算法生成一个文件包。根据Dec2 (PK, SK2,t,D4)→(D3,D2)。Dec2是与Enc2对应的解密算法,用于将第二密文文件解密为第一密文文件和第二业务文件。除了时效参数外,该解密算法还采用了公共参数PK和密钥SK2。SK2可以是单独分配给数据代理端的特异性私钥或者是采用与K2匹配的对称加密算法的密钥。
步骤10:数据代理端将第二业务文件与第一密文文件发送至业务代理端,业务代理端通过属性私钥解密第一密文文件生成第一业务文件。在已知属性参数x、公共参数PK以及私钥的前提下,根据解密算法Dec1(PK,SK1,x,D2)→D1可以得到第一业务文件。与加密算法Enc1对应,Dec1是与Enc1对应的解密算法,用于将第一密文文件解密为第一业务文件。本实施例中,除了属性私钥外,该解密算法还采用了公共参数PK和属性参数x。
步骤11:数据运营端根据指纹码追踪数据代理端,确认数据代理端使用第二业务文件的权限。数据代理端可以是第三方计算中心或者其他临时用户。与可信的业务代理端不同,数据代理端虽然参与数据流转与运营,但是平台不限制其退出,数据代理端属于半可信方,随时可能被攻破。为了确认数据代理端是否存在非正常访问,数据运营端通过序列码反解时效参数,再计算访问时刻。若访问时刻不在权限时间段内,确认数据代理端不具有使用第二业务文件的权限。
本发明的安全性:第一,半可信数据代理端在破解第二提取文件时,需要时间管理器提供的时效参数。时间管理器提供时效参数时可以对数据代理端的权限和访问时间进行验证。因此具有抗消息重放攻击能力。第二,公有服务器处于零信任网络,网络中不可信的用户可能访问并修改第一提取文件。由于生成第一提取文件依赖第二提取文件与文本属性值,被修改的第一提取文件无法读取,因此本发明具有具有篡改攻击能力。第三,鉴于时间管理器属于被委托的权威机构,协作能力有限。系统所有者的数据运营端可以验证数据代理端的指纹码,确认数据代理端的权限,实现数据非正常访问的追责。
实施例二
本实施例进一步公开了生成并匹配索引编码的方法。
数据运营端提取第一业务文件的关键词w,根据关键词w生成索引编码。其中,先计算第一中间值e1=H1(w),第二中间值e2=H2(w),索引编码,H1(w)、H2(w)为哈希函数,r、k1、k2均为预设的素数,f1(0)为多项式f1(x)的常数项。
业务管理端根据第二业务文件的关键词w'计算索引编码,在已知H1(w')、H2(w')、r、k1、k2获得索引编码C'。查找私有服务器中相同的索引编码,若存在C使得等式C= C'成立,私有服务器输出索引编码C对应第一密文文件存储地址。
进一步的,由于第一密文文件有多个关键词,对应的有多个索引编码指向其存储地址,本发明还可以采用累积算法查找索引编码。业务管理端生成关键词w'的多个子关键词w1、w2、w3...,业务管理端分别计算子关键词w1、w2、w3对应的索引编码C1、C2、C3,查找私有服务器中相同的索引编码。私有服务器再提取对应第一密文文件存储地址。本发明计算每一存储地址被重复提取的次数,输出提取次数最多的存储地址。若多个存储地址被提取的次数相同,同时输出多个存储地址。
实施例三
本实施例进一步公开了封装与解码时效参数的方法。
时间管理器根据第一解码函数s=g1(v,t),将指纹码v与时效参数t封装为序列码s。第一解码函数为多元函数,包含两个自变量。函数中指纹码v与时效参数t均为自然数。指纹码v取常数时,第一解码函数可以转化为一元单调函数。进一步的,时间管理器可以在第一解码函数中插入中间变量p,以保留对第一解码函数的修改权限。第一解码函数结构例如是,ai为常数,n为奇数,mod为取模运算,即vi mod p表示vi除以p的余数。一般p取小于v的素数。时间管理器可以通过修改中间变量p修改第一解码函数。
数据运营端根据序列码y与指纹码v反解第一解码函数,获得时效参数t。指纹码v确定后,第一解码函数的反函数为t=g1'(v,s)。再根据第二解码函数t'=g2(t)获得访问时刻t'。第二解码函为一元单调函数,其结构例如是t'=,bj为常数,m为奇数。
若访问时刻t'在权限时间段T内,即t'∈T,确认数据代理端具有使用第二业务文件的权限。否则确认数据代理端不具有使用第二业务文件的权限,数据运营端向时间管理器或业务管理端追责。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改,等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于属性重加密的数据安全运营方法,其特征在于,包括以下步骤:
初始化步骤:时间管理器生成多个第一解码函数,建立时效参数与系统时间的第二解码函数,将第一解码函数和第二解码函数发送至数据运营端;
步骤1:属性认证机构向业务代理端发放属性私钥,时间管理器向数据代理端发放第一解码函数;其中,权限管理中心产生公共参数和主密钥,属性认证机构向不同业务代理端分配属性参数,并基于属性参数、公共参数和主密钥生成对应业务代理端的属性私钥,权限管理中心还生成公钥K1和密钥K2,公钥K1发送至数据运营端,用于加密第一业务文件,密钥K2发送至业务管理端,用于加密第二业务文件与第一密文文件;
步骤2:数据运营端根据至少两个属性参数生成第一控制树,通过第一控制树加密多个第一业务文件获得第一密文文件;
步骤3:数据运营端生成第一密文文件的索引编码,私有服务器存储第一密文文件并将该第一密文文件的存储地址关联至索引编码;
步骤4:业务管理端接收一第二业务文件,查找私有服务器的至少一个索引编码,并下载该索引编码的第一密文文件;
步骤5:业务管理端根据至少两个时效参数生成第二控制树,根据第二控制树加密第二业务文件与第一密文文件,生成第二密文文件;
步骤6:业务管理端将第二密文文件拆分为第一提取文件和第二提取文件,将第二提取文件发送至数据代理端;
步骤7:业务管理端将第一提取文件存储至公有服务器,并向数据代理端提供第一提取文件的存储地址;
步骤8:数据代理端通过指纹码向时间管理器申请时效参数,若当前时间在数据代理端允许访问的时间内,时间管理器通过第一解码函数封装时效参数与指纹码,再发送至数据代理端与数据运营端;
步骤9:数据代理端根据存储地址从公有服务器下载第一提取文件,拼接第一提取文件与第二提取文件获得第二密文文件,再基于时效参数解密第二密文文件获得第二业务文件与第一密文文件;
步骤10:数据代理端将第二业务文件与第一密文文件发送至业务代理端,业务代理端通过属性私钥解密第一密文文件生成第一业务文件;
步骤11:数据运营端根据指纹码追踪数据代理端,确认数据代理端使用第二业务文件的权限。
2.根据权利要求1所述的基于属性重加密的数据安全运营方法,其特征在于,在步骤2中,第一控制树的叶子节点为属性参数x,根据非叶子节点的门限值构造多项式f1(x),将多项式的常数项f1(0)作为加密第一业务文件的秘密值。
3.根据权利要求1所述的基于属性重加密的数据安全运营方法,其特征在于,业务管理端根据第二业务文件的关键词w'计算索引编码,查找私有服务器中相同的索引编码,私有服务器输出索引编码对应的存储地址。
4.根据权利要求1所述的基于属性重加密的数据安全运营方法,其特征在于,业务管理端根据第二业务文件的关键词w'生成多个子关键词,计算每一子关键词的索引编码,查找私有服务器中相同的索引编码,私有服务器输出至少一个索引编码对应的存储地址。
5.根据权利要求1所述的基于属性重加密的数据安全运营方法,其特征在于,在步骤5中,第二控制树的叶子节点为时效参数,非叶子节点为或门节点。
6.根据权利要求1所述的基于属性重加密的数据安全运营方法,其特征在于,在步骤6中,业务管理端计算时效参数的文本属性值,基于该文本属性值将第二密文文件拆分为第一提取文件和小于第一提取文件的第二提取文件。
7.根据权利要求1所述的基于属性重加密的数据安全运营方法,其特征在于,还包括初始化步骤,时间管理器建立时效参数与系统时间的第二解码函数,将第一解码函数和第二解码函数发送至数据运营端。
8.根据权利要求7所述的基于属性重加密的数据安全运营方法,其特征在于,时间管理器根据第一解码函数s=g1(v,t),将指纹码v与时效参数t封装为序列码s。
9.根据权利要求8所述的基于属性重加密的数据安全运营方法,其特征在于,数据运营端根据序列码s与指纹码v反解第一解码函数,获得时效参数t,再根据第二解码函数获得访问时刻t',若访问时刻t'在权限时间段T内,确认数据代理端具有使用第二业务文件的权限,否则确认数据代理端不具有使用第二业务文件的权限。
CN202310576755.5A 2023-05-22 2023-05-22 一种基于属性重加密的数据安全运营方法 Active CN116319104B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310576755.5A CN116319104B (zh) 2023-05-22 2023-05-22 一种基于属性重加密的数据安全运营方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310576755.5A CN116319104B (zh) 2023-05-22 2023-05-22 一种基于属性重加密的数据安全运营方法

Publications (2)

Publication Number Publication Date
CN116319104A CN116319104A (zh) 2023-06-23
CN116319104B true CN116319104B (zh) 2023-08-04

Family

ID=86803562

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310576755.5A Active CN116319104B (zh) 2023-05-22 2023-05-22 一种基于属性重加密的数据安全运营方法

Country Status (1)

Country Link
CN (1) CN116319104B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120041904A (ko) * 2010-10-22 2012-05-03 동국대학교 경주캠퍼스 산학협력단 클라우드 환경에서 프록시 기반 의료 데이터 접근 권한 관리 방법 및 장치
CN106059768A (zh) * 2016-05-30 2016-10-26 西安电子科技大学 抵抗重加密密钥泄露的属性可撤销加密系统及方法
CN108418681A (zh) * 2018-01-22 2018-08-17 南京邮电大学 一种支持代理重加密的基于属性的密文检索系统及方法
KR20220018113A (ko) * 2020-08-05 2022-02-15 재단법인대구경북과학기술원 속성 기반 접근 제어를 이용하는 엣지 컴퓨팅 기반의 차량-내 통신 시스템 및 그 방법
CN114050924A (zh) * 2021-11-08 2022-02-15 北京天融信网络安全技术有限公司 基于时间自动控制访问控制策略使能属性的方法及装置
CN115102699A (zh) * 2022-06-21 2022-09-23 西安邮电大学 数据安全去重及数据恢复方法、系统、介质、设备及终端
WO2023044963A1 (zh) * 2021-09-27 2023-03-30 深圳前海环融联易信息科技服务有限公司 一种基于属性条件门限代理重加密方法和系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2837716A1 (en) * 2011-06-01 2012-12-06 Security First Corp. Systems and methods for secure distributed storage
WO2017147696A1 (en) * 2016-02-29 2017-09-08 Troy Jacob Ronda Systems and methods for distributed identity verification

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120041904A (ko) * 2010-10-22 2012-05-03 동국대학교 경주캠퍼스 산학협력단 클라우드 환경에서 프록시 기반 의료 데이터 접근 권한 관리 방법 및 장치
CN106059768A (zh) * 2016-05-30 2016-10-26 西安电子科技大学 抵抗重加密密钥泄露的属性可撤销加密系统及方法
CN108418681A (zh) * 2018-01-22 2018-08-17 南京邮电大学 一种支持代理重加密的基于属性的密文检索系统及方法
KR20220018113A (ko) * 2020-08-05 2022-02-15 재단법인대구경북과학기술원 속성 기반 접근 제어를 이용하는 엣지 컴퓨팅 기반의 차량-내 통신 시스템 및 그 방법
WO2023044963A1 (zh) * 2021-09-27 2023-03-30 深圳前海环融联易信息科技服务有限公司 一种基于属性条件门限代理重加密方法和系统
CN114050924A (zh) * 2021-11-08 2022-02-15 北京天融信网络安全技术有限公司 基于时间自动控制访问控制策略使能属性的方法及装置
CN115102699A (zh) * 2022-06-21 2022-09-23 西安邮电大学 数据安全去重及数据恢复方法、系统、介质、设备及终端

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《基于属性加密的外包存储数据的访问控制研究》;王燚;《CNKI优秀硕士学位论文全文库》;全文 *

Also Published As

Publication number Publication date
CN116319104A (zh) 2023-06-23

Similar Documents

Publication Publication Date Title
Kumar et al. Enhanced attribute based encryption for cloud computing
CN108768951B (zh) 一种云环境下保护文件隐私的数据加密和检索方法
US10880100B2 (en) Apparatus and method for certificate enrollment
Namasudra et al. Secure and efficient data access control in cloud computing environment: A survey
CN114826703B (zh) 基于区块链的数据搜索细粒度访问控制方法及系统
Kumar et al. Data outsourcing: A threat to confidentiality, integrity, and availability
CN105721146B (zh) 一种面向云存储基于smc的大数据共享方法
Chidambaram et al. Enhancing the security of customer data in cloud environments using a novel digital fingerprinting technique
CN111444268A (zh) 一种基于区块链的数据加密方法
CN116680241A (zh) 一种基于区块链的电子政务数据安全共享方法
Youn et al. Authorized client‐side deduplication using CP‐ABE in cloud storage
CN117097476B (zh) 一种基于工业互联网的数据处理方法、设备及介质
Bouchaala et al. Revocable sliced ciphertext policy attribute based encryption scheme in cloud computing
CN116319104B (zh) 一种基于属性重加密的数据安全运营方法
CN111447174A (zh) 一种基于区块链的数据加密方法
CN114553557B (zh) 密钥调用方法、装置、计算机设备和存储介质
Kavuri et al. An improved integrated hash and attributed based encryption model on high dimensional data in cloud environment
CN113824713B (zh) 一种密钥生成方法、系统及存储介质
Nayudu et al. Dynamic Time and Location Information in Ciphertext-Policy Attribute-Based Encryption with Multi-Authorization.
Chang A flexible hierarchical access control mechanism enforcing extension policies
Fu et al. Secure storage of data in cloud computing
CN112035853A (zh) 一种基于企业云盘的存储数据访问控制系统
SATHEESH et al. A NOVEL HARDWARE PARAMETERS BASED CLOUD DATA ENCRYPTION AND DECRYPTION AGAINST UNAUTHORIZED USERS.
Sawant et al. Towards privacy preserving for dynamic data in cloud storage
Wang et al. A Review on Assured Deletion of Cloud Data Based on Cryptography

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant