一种基于属性加密的可验证CSAC的SWIM云存储访问控制方法技术

技术编号：41744270 阅读：2 留言：0更新日期：2024-06-21 21:00

广域信息管理系统(System Wide Information Management，SWIM)作为一个大规模的分布式系统，其最终目标是构建一个灵活、统一、高效的航空信息交互平台，使各子系统的业务能够安全的进行交互。云存储平台作为SWIM系统的数据中心，面临着很多安全威胁。为解决SWIM云存储平台中存在的第三方不完全可信的问题，提出了基于属性加密(Attribute Based Encryption，ABE)的访问控制方案。该方案引入云存储管理中心CSAC(Cloud Storage Administration Center)，采用多授权中心的可验证密文访问策略CP‑ABE(Cipher Policy‑Attribute Based Encryption)算法来验证CSAC的可信性。与以往提出的方案相比，该方案不仅有效的解决了第三方不完全可信的问题，而且提高了加密和解密的效率，保证了SWIM中数据的安全性。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及一种计算机网络安全技术，尤其是针对用户访问请求的访问控制和第三方的安全认证，可以有效地解决云存储中心第三方不完全可信的问题。

技术介绍

1、swim作为下一代国际航空信息发布系统，它的最终目的是建立一个灵活、统一、高效的信息交互平台，使航空相关业务的各个子系统能够安全的进行交互。swim是一个大规模分布式集成的网络系统，采用面向服务的设计结构。通过对不同的系统提供统一的swim核心服务的形式，解决这些系统间的信息互通问题，从而适应系统未来发展的需要。作为swim系统的数据中心，云存储平台面临着诸多安全威胁。大量民航运行相关的数据在swim网络中传输、共享，甚至很多有较高紧急度的数据或保密级别较高的数据处于薄弱的安全机制下，成为黑客恶意入侵的目标，所以防止数据泄漏和隐私保护是最重要的问题。产生这些问题的主要原因是非法访问和未授权访问的发生。访问控制是解决这些问题的重要手段。为了确保授权用户可以合法地访问swim中的关键信息，联邦航空管理局规定，swim概念的实施寻求在正确的时间向正确的人提供高质量的信息。

2、随着swim云平台安全研究的不断深入，基于属性加密的访问控制方法已成为保证开放的分布式网络环境中数据安全的有效手段。目前，基于属性加密的访问控制方法特别是基于密文策略属性加密cp-abe(ciphertext-policy attribute-based encryption)的访问控制方法是人们研究的热点之一。在传统的云访问控制模型中一般通过引入可信第三方来提高系统工作效率，zhang haoju

3、针对上面提出的第三方不完全可信的问题，本文提出一种新的可验证csac的基于属性加密的swim云存储访问控制方案，本方案引入多授权中心机制，将obanar s提出的可验证秘密共享方案与属性加密访问控制相结合，第三方在生成用户私钥的同时生成验证信息，并一起发送给用户。用户可以通过验证信息来验证私钥以及系统主密钥两者的正确性，从而判断第三方是否可信。通过安全性和效率分析，该方案保护了数据的机密性，并在加解密的时间效率上具有优势。

技术实现思路

1、在基于cp-abe算法的访问控制机制中，由于cp-abe算法效率不高，一般不直接用来加密数据，而是采用效率较高的des对称加密算法来加密数据，用cp-abe算法来加密密钥，本专利技术所提出的方案就是采用这样的方法来加密数据的。本专利技术在设计访问控制模型时，引入了类似于第三方的云存储管理中心的概念，并且用可验证的秘密共享方案来验证其安全性。

2、我们提出的swim中基于可验证cp-abe的访问控制模型主要包括以下五个部分：云存储管理中心、云存储、数据属主、合法用户和非法用户。图1展示了云访问控制模型的结构。

3、其中，各组成部分的主要功能如下：

4、1、云存储管理中心(cloud storage administration center，csac)：本文所提出的云存储管理中心是云存储访问控制的核心模块，主要由注册服务器、授权服务器以及存储服务器等组成，它的主要功能有新用户注册、维护和管理用户信息以及访问者授权等。

5、2、云存储(cloud storage，cs)：云存储可以认为是一个超大的存储空间，do的数据就存储在此。do可以上传下载或者删除自己的数据，共享用户可以阅读或下载do的数据，但是不能执行上传或删除操作。

6、3、数据属主(data owner，do)：do为域内已注册用户，同时是模型中的数据拥有者，他向csac提出数据外包请求，获得批准后即可将自己的数据上传到云端。

7、4、合法用户(lawful user，lu)：lu为域内已注册用户，同时是do的数据共享用户。

8、5、非法用户(unlawful user，ulu)：ulu为域内已注册用户，是do的数据非共享用户。

9、我们提出的基于cp-abe的多授权中心可验证的访问控制方法，在cp-abe算法的基础上引入了可验证的秘密共享方案，在基于多授权中心的加密机制中，每个授权服务器根据其相应的用户属性子集以及系统公钥和主密钥，生成用户私钥的同时生成验证信息，用户通过验证信息来确定私钥生成方的可信性，具体方法如下：

10、设g1、g2是两个阶为p的双线性群，p是g1的生成元，双线性对e：g1×g1→g2，拉格朗日差值系数为

11、系统初始化(setup)：这个步骤主要是生成系统的公钥和主密钥，在新的方案中生成方法不变，生成方变为csac中的主授权服务器。另外，主授权服务器在生成完系统主密钥和公钥之后，将它们发送给csac的其他子授权服务器。

12、设系统门限为d，全体用户属性集合为a，随机选取长度为g的一个映射(为g1的内部映射)。计算y＝e(g，g)y。得到公钥：主密钥：mk＝(t1，…tn，y)。

13、私钥以及验证信息生成(keygen，verigen)：假设在csac中有m个授权服务器在工作，每个服务器对应的用户属性集为用户属性全集为au∈a，其中j的取值是从1到m的整数，随机选取一个d-1次多项式q(x)＝y+a1x+…ad-1xd-1，再选取一个k次多项式c(x)，则第j个授权服务器中用户属性对应的私钥验证消息

14、加密(encrypt)：首先用户制定访问控制结构t＝(t1，t2，...tn)，通过访问结构t加密消息f，随机选取一个数s∈zp，计算e′＝fys＝fe(g，g)ys，其中i∈tn，得到加密文件f的密文ct＝(ct1，ct2，...ctn)，其中

15、验证1(verify(1))：用户u收到子授权服务器的私钥和验证消息后，根据rs算法找出m个正确的验证信息，并通过这些验证信息重构多项式即计算然后验证公式yi，j＝yi，j′是否成立。若对于每个属性i上式均通过验证，则第j个子授权服务器生成的所有密钥是正确有效的；如果不成立，则将对应的属性值i在列表l中赋值为1.其中列表l如下表1所示。

16、表1.listl.

17、

18、其中ij，n代表用户在第j个子授权服务器的第n个属性，fj代表子授权服务器，代表验证结果，取值只有0或1，0代表验证通过，1代表验证不通过。

19、验证2(verify本文档来自技高网...

【技术保护点】

1.一种面向SWIM云存储中心的第三方安全验证方法，通过引入多授权中心机制，将可验证秘密共享方案与属性加密访问控制相结合，第三方在生成用户私钥的同时生成验证信息，并一起发送给用户。用户可以通过验证信息来验证私钥以及系统主密钥两者的正确性，从而判断第三方是否可信。其具体的实现步骤如下：

2.根据权利要求1所述的基于属性加密的可验证CSAC的SWIM云存储访问控制方法，其特征在于：

【技术特征摘要】

1.一种面向swim云存储中心的第三方安全验证方法，通过引入多授权中心机制，将可验证秘密共享方案与属性加密访问控制相结合，第三方在生成用户私钥的同时生成验证信息，并一起发送给用户。用户可以通过验证...

【专利技术属性】
技术研发人员：刘亮，吴志军，
申请(专利权)人：中国民航大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人