CN117040819A - 一种基于移动云的高效外包解密访问控制方法 - Google Patents

一种基于移动云的高效外包解密访问控制方法 Download PDF

Info

Publication number
CN117040819A
CN117040819A CN202310961082.5A CN202310961082A CN117040819A CN 117040819 A CN117040819 A CN 117040819A CN 202310961082 A CN202310961082 A CN 202310961082A CN 117040819 A CN117040819 A CN 117040819A
Authority
CN
China
Prior art keywords
key
user
data owner
random value
cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310961082.5A
Other languages
English (en)
Inventor
张峰
石建
张佳乐
孙茂圣
刘运杰
韩朝阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Houquantum Cryptography Technology Co ltd
Original Assignee
Hangzhou Houquantum Cryptography Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Houquantum Cryptography Technology Co ltd filed Critical Hangzhou Houquantum Cryptography Technology Co ltd
Priority to CN202310961082.5A priority Critical patent/CN117040819A/zh
Publication of CN117040819A publication Critical patent/CN117040819A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于移动云的高效外包解密访问控制方法,包括用户、数据所有者、云端和代理,包括如下步骤:S1:创建属性权限,获取公共密钥和主密钥、密钥获取函数;S2:生成用户密钥,通过属性权限将用户密钥和公共密钥发送至用户,用户接收后转发至代理;S3:生成数据所有者密钥,通过属性权限将数据所有者密钥和公共密钥发送至数据所有者;S4:获取原始数据,对原始数据进行加密以获取密文,并将密文上传至云端;S5:数据所有者获取访问策略,对随机值一进行加密,获取加密随机值并上传至云端;S6:代理获取代理解密身份信息,对加密随机值进行解密获取随机值一,随后代理将随机值一发送至用户;S7:用户对密文进行解密获取原始数据。

Description

一种基于移动云的高效外包解密访问控制方法
技术领域
本发明涉及信息安全技术领域,特别涉及一种基于移动云的高效外包解密访问控制方法。
背景技术
基于云的物联网或移动云计算(MCC)是云计算和边缘计算或移动计算的集成,为移动设备提供丰富的资源。云基础设施使数据存储和昂贵的计算处理能够在移动设备之外高效地进行。这大大提高了当今云服务交付的灵活性、可用性和可访问性。尽管MCC为访问云服务提供了更大的弹性和移动性,但移动设备和云存储之间来回发送的共享数据的安全性和隐私性是首要问题。基于密文策略属性的加密(CP-ABE)是数据外包环境中用于支持细粒度和安全数据共享的合适技术之一。
然而,它的密码构造是基于配对和求幂的,这是昂贵的操作,在资源约束设备中运行是不实际的。基本上,需要数据加密技术和适当的细粒度访问控制机制来保证移动客户端访问的外包数据以安全的方式进行。由于移动设备资源有限,处理能力和存储能力有限,因此有必要设计在移动设备中运行的轻量级密码协议。
发明内容
本发明的目的在于提供一种基于移动云的高效外包解密访问控制方法,以克服现有技术中的不足。
为实现上述目的,本发明提供如下技术方案:
本申请公开了一种基于移动云的高效外包解密访问控制方法,包括用户、数据所有者、云端和代理,包括如下步骤:
S1:创建属性权限,通过安全参数获取公共密钥和主密钥,数据所有者获取密钥获取函数;
S2:发布给用户一组用户属性,通过公共密钥、主密钥和用户属性生成用户密钥,通过属性权限将用户密钥和公共密钥发送至用户,用户接收后转发至代理;
S3:发布给数据所有者一组数据所有者属性,通过公共密钥、主密钥和数据所有者属性生成数据所有者密钥,通过属性权限将数据所有者密钥和公共密钥发送至数据所有者;
S4:数据所有者获取原始数据,并生成随机值一,对原始数据进行加密以获取密文,并将密文上传至云端;
S5:数据所有者获取访问策略,通过访问策略对随机值一进行加密,获取加密随机值,并将加密随机值上传至云端;
S6:代理获取代理解密身份信息,从云端获取密文和加密随机值,对加密随机值进行解密获取随机值一,随后代理将随机值一发送至用户;
S7:用户获取密钥获取函数,对密文进行解密获取原始数据。
作为优选,所述属性权限采用双线性映射,其安全模型在随机预言机中;
所述S1包括如下子步骤:
S11:获取双线性群和生成器的素数阶;
S12:从素数域中随机选择两个随机数;
S13:通过S11中的双线性群、生成器以及S12中的随机数计算获取公共密钥和主密钥。
作为优选,所述S1中数据所有者通过密码安全伪随机数生成器实现随机函数的生成,随后使用密钥获取生成器通过所述随机函数计算得到密钥获取函数,随后数据所有者将密钥获取函数分发至。
作为优选,所述S2包括如下子步骤:
S21:发布给用户一组用户属性;
S22:从素数域中随机选择一个随机数组,并将一组用户属性中的每个属性与随机数组一一对应;
S23:通过公共密钥和主密钥结合用户属性和随机数组计算获取用户密钥;
S24:属性权限将用户密钥和公共密钥发送至用户,用户接收后转发给代理;
S25:代理通过公共密钥对用户密钥进行加密,并存储。
作为优选,所述S3包括如下子步骤:
S31:发布给数据所有者一组数据所有者属性;
S32:根据数据所有者属性创建数据所有者密钥;
S33:属性权限将数据所有者密钥和公共密钥发送至数据所有者。
作为优选,所述S4包括如下子步骤:
S41:数据所有者获取原始数据;
S42:数据所有者生成随机值一;
S43:将随机值一调用至密钥获取函数,获取对称密钥;
S44:数据所有者通过对称密钥对原始数据进行加密,获取密文;
S45:数据所有者将密文上传至云端。
作为优选,所述S5包括如下子步骤:
S51:数据所有者通过密钥获取函数获取密钥获取函数身份信息;
S52:通过将随机值一与密钥获取函数身份信息并置,将密钥获取函数身份信息添加到随机值一内;
S53:数据所有者获取访问策略;
S54:数据所有者通过公共密钥和访问策略对随机值一进行加密,获取加密随机值;
S55:数据所有者将加密随机值上传至云端。
作为优选,执行所述S55后,数据所有者在云端中删除随机值一和对称密钥。
作为优选,所述S6包括如下子步骤:
S61:用户向代理发送解密请求,并将代理解密身份信息发送给代理;
S62:代理从云端获取密文和加密随机值;
S63:代理通过用户密钥对加密随机值进行解密,获取随机值一;
S64:代理将随机值一和密文发送至用户。
作为优选,所述S63中包括验证模块,所述验证模块包括如下子步骤:
A1:通过一组用户属性获取相关联的验证密钥;
A2:通过访问策略获取验证节点;
A3:获取加密随机值,通过验证密钥和验证节点进行计算验证;
A4:若验证密钥中具有属于访问策略的属性,则进入S64;反之,则无法解密,并中止。
作为优选,所述S7包括如下子步骤:
S71:用户获取密钥获取函数,通过随机值一和密钥获取函数获取对称密钥;
S72:通过对称密钥对密文进行解密,获取原始数据。
本发明的有益效果:
(1)、解密密钥的安全性在我们提出的系统中,用于解密消息的对称密钥既不向移动用户广播,也不存储在系统上。相反,我们使用来计算对称密钥,作为解密算法的一部分。即使攻击者可以通过使用(损坏的)属性权威机构的来解密,但如果没有完整的秘密加密元素,攻击者就无法访问加密的数据。
(2)、云存储上密文的保密性在我们的方法中,我们将消息的密文和用于计算解密消息的对称密钥的随机值RV的密文存储在云存储上。在我们的方案中,消息通过AES256位密钥长度加密,RV通过方法加密。基于两种密码原语的密码构造强度,我们可以确保密文在多项式时间内不被破解。
(3)、代理的信任PKI身份验证保证了代理的信任,因为代理安装有PKI密钥对和证书。数据用户和代理之间的真实性是通过X.509证书来实现的。此外,数据用户的密钥(解密密钥)是用代理的公钥加密的。因此,云无法通过密文并与其他DU串通来执行数据解密。
(4)、我们的方案集成了代理模型,在移动客户端实现了安全和优化的解密成本,大大降低了在移动端解密的资源需求以及成本。在我们的方案中,解密被完全卸载,由委托代理完成,而数据用户处理AES解密。
本发明的特征及优点将通过实施例结合附图进行详细说明。
附图说明
图1是本发明一种基于移动云的高效外包解密访问控制方法的步骤流程图;
图2是本发明一种基于移动云的高效外包解密访问控制装置的装置示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1,本发明实施例提供一种基于移动云的高效外包解密访问控制方法,包括用户、数据所有者、云端和代理,包括如下步骤:
S1:创建属性权限,通过安全参数获取公共密钥和主密钥,数据所有者获取密钥获取函数;
S2:发布给用户一组用户属性,通过公共密钥、主密钥和用户属性生成用户密钥,通过属性权限将用户密钥和公共密钥发送至用户,用户接收后转发至代理;
S3:发布给数据所有者一组数据所有者属性,通过公共密钥、主密钥和数据所有者属性生成数据所有者密钥,通过属性权限将数据所有者密钥和公共密钥发送至数据所有者;
S4:数据所有者获取原始数据,并生成随机值一,对原始数据进行加密以获取密文,并将密文上传至云端;
S5:数据所有者获取访问策略,通过访问策略对随机值一进行加密,获取加密随机值,并将加密随机值上传至云端;
S6:代理获取代理解密身份信息,从云端获取密文和加密随机值,对加密随机值进行解密获取随机值一,随后代理将随机值一发送至用户;
S7:用户获取密钥获取函数,对密文进行解密获取原始数据。
所述属性权限采用双线性映射,其安全模型在随机预言机中;
所述S1包括如下子步骤:
S11:获取双线性群和生成器的素数阶;
S12:从素数域中随机选择两个随机数;
S13:通过S11中的双线性群、生成器以及S12中的随机数计算获取公共密钥和主密钥。
所述S1中数据所有者通过密码安全伪随机数生成器实现随机函数的生成,随后使用密钥获取生成器通过所述随机函数计算得到密钥获取函数,随后数据所有者将密钥获取函数分发至。
所述S2包括如下子步骤:
S21:发布给用户一组用户属性;
S22:从素数域中随机选择一个随机数组,并将一组用户属性中的每个属性与随机数组一一对应;
S23:通过公共密钥和主密钥结合用户属性和随机数组计算获取用户密钥;
S24:属性权限将用户密钥和公共密钥发送至用户,用户接收后转发给代理;
S25:代理通过公共密钥对用户密钥进行加密,并存储。
所述S3包括如下子步骤:
S31:发布给数据所有者一组数据所有者属性;
S32:根据数据所有者属性创建数据所有者密钥;
S33:属性权限将数据所有者密钥和公共密钥发送至数据所有者。
所述S4包括如下子步骤:
S41:数据所有者获取原始数据;
S42:数据所有者生成随机值一;
S43:将随机值一调用至密钥获取函数,获取对称密钥;
S44:数据所有者通过对称密钥对原始数据进行加密,获取密文;
S45:数据所有者将密文上传至云端。
所述S5包括如下子步骤:
S51:数据所有者通过密钥获取函数获取密钥获取函数身份信息;
S52:通过将随机值一与密钥获取函数身份信息并置,将密钥获取函数身份信息添加到随机值一内;
S53:数据所有者获取访问策略;
S54:数据所有者通过公共密钥和访问策略对随机值一进行加密,获取加密随机值;
S55:数据所有者将加密随机值上传至云端。
执行所述S55后,数据所有者在云端中删除随机值一和对称密钥。
所述S6包括如下子步骤:
S61:用户向代理发送解密请求,并将代理解密身份信息发送给代理;
S62:代理从云端获取密文和加密随机值;
S63:代理通过用户密钥对加密随机值进行解密,获取随机值一;
S64:代理将随机值一和密文发送至用户。
所述S63中包括验证模块,所述验证模块包括如下子步骤:
A1:通过一组用户属性获取相关联的验证密钥;
A2:通过访问策略获取验证节点;
A3:获取加密随机值,通过验证密钥和验证节点进行计算验证;
A4:若验证密钥中具有属于访问策略的属性,则进入S64;反之,则无法解密,并中止。
所述S7包括如下子步骤:
S71:用户获取密钥获取函数,通过随机值一和密钥获取函数获取对称密钥;
S72:通过对称密钥对密文进行解密,获取原始数据。
系统设置模块,首先是创建属性权限:AA.Initial(lk)→(PK,AM),此算法由安全参数K作为输入,可以返回公共密钥PK与主密钥MK。该算法中选择双线性群G0与生成器g的朴素P阶。并在接下来随机选择两个α,β∈ZP,其中密钥的计算公式为:并且在此处主密钥MK是(β,gα),f仅用于授权。其次是由数据所有者运行的密钥获取功能生成器:(randomFunc())→KeyGFn),此处使用生成Keyget的函数KeyGFn完成,具体描述如下:
randomValue=randomFunc()
KeyGFn=KeyGetFuncGenerator(random Value)
并且keyGetFuncGenerator的定义如下:
其中随机函数生成算法由密码安全伪随机数生成器(CSPRNG)实现,生成256位的R值。下面的过程介绍了如何生成随机值:
randomFunc():SecretKey{
SecureRandom secureRandom=new
SecureRandom();
int keyBitSize=256;
keyGenerator.init(keyBitSize,secureRandom);
SecretKey R=keyGenerator.generateKey();
return R;
}
系统生成KeyGetFuncGenerator、KeyGFN_id后,数据所有者基于公钥加密将其分发给数据用户。在我们的方案中,我们假设所有用户都有自己的公钥对,由可信的第三方发布。用户执行一次公钥解密以获得KeyGFN_id。此函数将在未来的任何解密中使用。
密钥生成模块:此模块主要由User.KeyGen和DataOwner.KeyGen两种算法构成。首先User.KeyGen算法是定义如下:User.KeyGen(PK,MK,SDU)→(SKDU),该算法将PK、MK和发布给数据用户的一组属性作为输入。该算法生成包含用户属性的用户密钥SKDU。最后,Attribute Authorities(AAs)向数据用户发送SKDU和PK。
密钥(SK)生成算法将一组属性S作为输入并输出密钥。该算法首先选择随机r∈ZP,然后为每个属性j∈S选择随机rj∈ZP。然后计算密钥为: 当用户从AA接收到SKDU时,用户会将其转发给代理。在代理接收到SKDU之后,它用其公钥对SKDU进行加密,并将加密的SKDU存储在其存储器上。然后,它生成RefKeyId用于密码引用,该引用将在解密阶段使用。最后,代理将RefKeyId返回给数据用户。然后是DataOwner.KeyGen算法,其定义如下:DataOwner.KeyGen(PK,MK,SDO)→(SKDO).该算法将PK、MK和发布给数据所有者的一组属性作为输入。然后,它创建一个数据所有者的密钥SKDO,该密钥包含DataOwner的属性。然后,AA向数据所有者发送SKDO和PK。
加密模块:在此模块过程中,数据所有者运行DO.Encrypt算法,如下所示:DO.Encrypt(PK,M,KeyGFN_id,T)→(CTM,CTRV).该算法将PK、M、KeyGFN_id和访问策略(T)作为输入。数据加密的过程包括以下两个功能。首先是用于使用对称加密算法对原始数据(M)进行加密的函数:DO.AES_Encryption(KeyGFN_id,M)→CTM,它由以下两个程序组成:(1)运行randomFunc生成随机值RV,并将其调用到密钥获取函数KeyGFN_id中以生成SymKey。(2)使用Symkey对M进行加密,并输出密文CTM。两种功能的执行方式如下:
RV=randomFunc()
SymKey=KeyGFN_id(RV)
CTM=Encrypt(M,SymKey)
其次是用于基于CP-ABE方法对随机值(RV)进行加密的函数:DO.CP-ABEEncryption(PK,RV,T)→CTRV.它包括以下程序:(1)通过将RV与密钥获取函数id并置,将密钥获取函数id添加到RV中。(2)通过将PK、RV、T作为输入输入CP-ABE加密函数对RV进行加密,然后输出CTRV,加密函数定义为:CP-ABE-Encrypt(PK,RV,T)→CTRV.(3)删除RV和Symkey,并将CTRV和CTM存储到云存储中。
解密模块:这个阶段包括两个算法Proxy.Decrypt和User.Decrypt。首先对于Proxy.Decrypt算法定义如下:Proxy.Decrypt(RefKeyId,CTRV)→(RV).该算法将PK、RefKeyId和CTRV作为输入。然后它输出随机值RV。代理按如下方式执行数据解密:(1)使用在解密请求时从用户接收的RefKeyId。(2)从云存储中获取CTRV和CTM。(3)通过使用代理的私钥来解密SKDU。(4)将SKDU、CTRV作为输入输入到CP-ABEE-Decrypt算法中,然后根据以下函数获得RV:RV=CP-ABE-Decrypt(CTRV,SKDU),从技术上讲,CP-ABEE(CTRV,SK)解密算法将解密过程指定为递归算法。解密节点(CTRV,SK,x),其将密文与一组属性S相关联的密钥SK以及来自T的节点x作为输入。如果SK具有属于T的属性,则算法将返回RV,否则返回⊥或无法解密。然后,代理向用户发送RV和CTM。其次是User.Decrypt算法,定义如下:User.Decrypt(RV,CTM,KeyGFN_id)→(M).移动用户运行以RV、CTM和KeyGFN_id作为输入的算法来获得M。移动用户执行以下过程:(1)将RV作为KeyGFN_id的输入,生成Symkey,如下所示:Symkey=KeyGFN_id(RV).(2)使用Symkey解密CTM以获得明文M,至此整个流程结束。
参阅图2,本发明一种基于移动云的高效外包解密访问控制装置的实施例可以应用在任意具备数据处理能力的设备上,该任意具备数据处理能力的设备可以为诸如计算机等设备或装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在任意具备数据处理能力的设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图2所示,为本发明一种基于移动云的高效外包解密访问控制装置所在任意具备数据处理能力的设备的一种硬件结构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的任意具备数据处理能力的设备通常根据该任意具备数据处理能力的设备的实际功能,还可以包括其他硬件,对此不再赘述。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明实施例还提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时,实现上述实施例中的一种基于移动云的高效外包解密访问控制装置。
所述计算机可读存储介质可以是前述任一实施例所述的任意具备数据处理能力的设备的内部存储单元,例如硬盘或内存。所述计算机可读存储介质也可以是任意具备数据处理能力的设备的外部存储设备,例如所述设备上配备的插接式硬盘、智能存储卡(Smart Media Card,SMC)、SD卡、闪存卡(Flash Card)等。进一步的,所述计算机可读存储介质还可以既包括任意具备数据处理能力的设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述任意具备数据处理能力的设备所需的其他程序和数据,还可以用于暂时地存储已经输出或者将要输出的数据。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。

Claims (11)

1.一种基于移动云的高效外包解密访问控制方法,其特征在于:包括用户、数据所有者、云端和代理,包括如下步骤:
S1:创建属性权限,通过安全参数获取公共密钥和主密钥,数据所有者获取密钥获取函数;
S2:发布给用户一组用户属性,通过公共密钥、主密钥和用户属性生成用户密钥,通过属性权限将用户密钥和公共密钥发送至用户,用户接收后转发至代理;
S3:发布给数据所有者一组数据所有者属性,通过公共密钥、主密钥和数据所有者属性生成数据所有者密钥,通过属性权限将数据所有者密钥和公共密钥发送至数据所有者;
S4:数据所有者获取原始数据,并生成随机值一,对原始数据进行加密以获取密文,并将密文上传至云端;
S5:数据所有者获取访问策略,通过访问策略对随机值一进行加密,获取加密随机值,并将加密随机值上传至云端;
S6:代理获取代理解密身份信息,从云端获取密文和加密随机值,对加密随机值进行解密获取随机值一,随后代理将随机值一发送至用户;
S7:用户获取密钥获取函数,对密文进行解密获取原始数据。
2.如权利要求1所述的一种基于移动云的高效外包解密访问控制方法,其特征在于:所述属性权限采用双线性映射,其安全模型在随机预言机中;
所述S1包括如下子步骤:
S11:获取双线性群和生成器的素数阶;
S12:从素数域中随机选择两个随机数;
S13:通过S11中的双线性群、生成器以及S12中的随机数计算获取公共密钥和主密钥。
3.如权利要求1所述的一种基于移动云的高效外包解密访问控制方法,其特征在于:所述S1中数据所有者通过密码安全伪随机数生成器实现随机函数的生成,随后使用密钥获取生成器通过所述随机函数计算得到密钥获取函数,随后数据所有者将密钥获取函数分发至。
4.如权利要求1所述的一种基于移动云的高效外包解密访问控制方法,其特征在于:所述S2包括如下子步骤:
S21:发布给用户一组用户属性;
S22:从素数域中随机选择一个随机数组,并将一组用户属性中的每个属性与随机数组一一对应 ;
S23:通过公共密钥和主密钥结合用户属性和随机数组计算获取用户密钥;
S24:属性权限将用户密钥和公共密钥发送至用户,用户接收后转发给代理;
S25:代理通过公共密钥对用户密钥进行加密,并存储。
5.如权利要求1所述的一种基于移动云的高效外包解密访问控制方法,其特征在于:所述S3包括如下子步骤:
S31:发布给数据所有者一组数据所有者属性;
S32:根据数据所有者属性创建数据所有者密钥;
S33:属性权限将数据所有者密钥和公共密钥发送至数据所有者。
6.如权利要求1所述的一种基于移动云的高效外包解密访问控制方法,其特征在于:所述S4包括如下子步骤:
S41:数据所有者获取原始数据;
S42:数据所有者生成随机值一;
S43:将随机值一调用至密钥获取函数,获取对称密钥;
S44:数据所有者通过对称密钥对原始数据进行加密,获取密文;
S45:数据所有者将密文上传至云端。
7.如权利要求1所述的一种基于移动云的高效外包解密访问控制方法,其特征在于:所述S5包括如下子步骤:
S51:数据所有者通过密钥获取函数获取密钥获取函数身份信息;
S52:通过将随机值一与密钥获取函数身份信息并置,将密钥获取函数身份信息添加到随机值一内;
S53:数据所有者获取访问策略;
S54:数据所有者通过公共密钥和访问策略对随机值一进行加密,获取加密随机值;
S55:数据所有者将加密随机值上传至云端。
8.如权利要求7所述的一种基于移动云的高效外包解密访问控制方法,其特征在于:执行所述S55后,数据所有者在云端中删除随机值一和对称密钥。
9.如权利要求1所述的一种基于移动云的高效外包解密访问控制方法,其特征在于:所述S6包括如下子步骤:
S61:用户向代理发送解密请求,并将代理解密身份信息发送给代理;
S62:代理从云端获取密文和加密随机值;
S63:代理通过用户密钥对加密随机值进行解密,获取随机值一;
S64:代理将随机值一和密文发送至用户。
10.如权利要求9所述的一种基于移动云的高效外包解密访问控制方法,其特征在于:所述S63中包括验证模块,所述验证模块包括如下子步骤:
A1:通过一组用户属性获取相关联的验证密钥;
A2:通过访问策略获取验证节点;
A3:获取加密随机值,通过验证密钥和验证节点进行计算验证;
A4:若验证密钥中具有属于访问策略的属性,则进入S64;反之,则无法解密,并中止。
11.如权利要求1所述的一种基于移动云的高效外包解密访问控制方法,其特征在于:所述S7包括如下子步骤:
S71:用户获取密钥获取函数,通过随机值一和密钥获取函数获取对称密钥;
S72:通过对称密钥对密文进行解密,获取原始数据。
CN202310961082.5A 2023-08-01 2023-08-01 一种基于移动云的高效外包解密访问控制方法 Pending CN117040819A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310961082.5A CN117040819A (zh) 2023-08-01 2023-08-01 一种基于移动云的高效外包解密访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310961082.5A CN117040819A (zh) 2023-08-01 2023-08-01 一种基于移动云的高效外包解密访问控制方法

Publications (1)

Publication Number Publication Date
CN117040819A true CN117040819A (zh) 2023-11-10

Family

ID=88643992

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310961082.5A Pending CN117040819A (zh) 2023-08-01 2023-08-01 一种基于移动云的高效外包解密访问控制方法

Country Status (1)

Country Link
CN (1) CN117040819A (zh)

Similar Documents

Publication Publication Date Title
JP7119040B2 (ja) データ伝送方法、装置およびシステム
CN110855671B (zh) 一种可信计算方法和系统
CN108881314B (zh) 雾计算环境下基于cp-abe密文隐私保护方法及系统
JP3864249B2 (ja) 暗号通信システム、その端末装置及びサーバ
JP2018503318A (ja) 量子鍵配送のための方法、装置、及びシステム
CN106487506B (zh) 一种支持预加密和外包解密的多机构kp-abe方法
CN105743646A (zh) 一种基于身份的加密方法及系统
JP2023500570A (ja) コールドウォレットを用いたデジタルシグニチャ生成
CN112532580B (zh) 一种基于区块链及代理重加密的数据传输方法及系统
CN113225302B (zh) 一种基于代理重加密的数据共享系统及方法
CN113708917B (zh) 基于属性加密的app用户数据访问控制系统及方法
CN108199838B (zh) 一种数据保护方法及装置
US10447475B1 (en) System and method for managing backup of cryptographic keys
Rizvi et al. A trusted third-party (TTP) based encryption scheme for ensuring data confidentiality in cloud environment
US11671411B2 (en) Secure storage and data exchange/sharing system using one time pads
KR20210058313A (ko) 클라우드 환경에서 안전하고 효율적인 데이터 공유를 위한 속성기반 암호를 활용한 데이터 접근 제어 방법 및 시스템
JP6294882B2 (ja) 鍵保管装置、鍵保管方法、及びそのプログラム
CN113360944A (zh) 一种电力物联网的动态访问控制系统与方法
CN112149184A (zh) 一种基于限时访问的区块链链外存储系统及方法
JP5850888B2 (ja) 情報記憶システム、情報記憶装置、その方法、及びプログラム
Sanchol et al. A mobile cloud-based access control with efficiently outsourced decryption
CN117040819A (zh) 一种基于移动云的高效外包解密访问控制方法
KR101388452B1 (ko) 인증서 전송 서버를 이용하는 일회용 공개 정보 기반 이동 단말기로의 인증서 이동 방법 및 이를 이용한 장치
CN116599771B (zh) 数据分级保护传输方法及装置、存储介质和终端
CN114531293B (zh) 一种跨信任域的基于身份代理重加密方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination