【技术实现步骤摘要】
本专利技术属于互联网安全,具体涉及一种属性加密和云存储环境下的数据安全共享方法及系统。
技术介绍
1、随着互联网技术的不断发展,不同机构和组织间的信息交流逐渐增加,数据的共享程度与日俱增。云存储能将用户的数据文件通过互联网集群管理,并具有分布式存储以及数据备份等功能,改变了用户以往使用本地存储的存储模式。
2、然而,用户在解决了数据存储与管理难题的同时也丧失了对数据的管理权,云存储环境下的安全关系着大量用户数据隐私的安全,稍有不慎就会造成不可挽救的后果。密码学是能够保证数据的不可抵赖性、机密性、完整性的一门学科,提供了云存储安全方面的关键技术。通过数据加密的方式能够有效防止诚实且好奇的云存储服务器对明文数据信息的获取,也能够防止泄露明文数据信息。由于云存储服务提供商没有解密的密钥,云存储服务器即使获取了密文数据也无法对其进行解密,那么无法获取明文数据信息。用户数据在进行线上存储前普遍需要先加密,通过密态数据保证明文数据的安全性,减少数据泄露风险。
3、传统的公钥密码体制的加密场景,加密的数据是以点对点的方式来实现数据的安全共享的,每个加密文件只能分享给一个用户。假设数据拥有者要分享数据,数据拥有者会使用用户的公钥对数据加密,然后将密文发送给用户,用户拿到数据后使用私钥对密文解密还原原始数据。当数据待分享的用户数量较多时,数据拥有者不仅需要管理大量密钥,还要在进行大量的计算操作,这无疑会大大降低密码机制的灵活性。另外,合理的运用访问控制技术显然能够保障数据资源的安全性,访问控制技术能够对用户的访问范围和访问
4、数据密文中的访问策略将可能导致数据信息或数据授权用户的敏感数据泄露。因此,通常对访问策略进行隐藏来解决访问策略中的敏感信息泄露问题。然而,访问策略隐藏后,无法有效的测试用户的属性集,因此会导致未测试用户属性集就直接解密。因此,增加高效的测试阶段来解决无效用户属性集带来的开销问题亟待解决。
5、另外,访问策略被隐藏后,公司内部间谍就能够改变提交给检查器的访问策略,允许那些非授权的用户访问并解密该密文,从而导致数据泄露。为了防止内部间谍造成的数据泄露,通常在内网边界设置一个检查器,数据拥有者首先将密文和访问策略发送到检查器进行验证,判断访问策略是否遵循一定的规则。然而,传统检查器并不能够有效验证密文中的访问策。因此,在传统检查器基础上增加检查器验证密文中访问策略抵御假策略攻击的能力亟待解决。
技术实现思路
1、本专利技术所要解决的技术问题便是针对上述现有技术的不足,提供一种属性加密和云存储环境下的数据安全共享方法及系统,它能够提供细粒度的访问控制和数据安全共享。
2、本专利技术所采用的技术方案是:一种属性加密和云存储环境下的数据安全共享方法,该方法包括:初始化阶段、数据加密存储阶段、检查器策略验证阶段和数据解密阶段;
3、所述初始化阶段处理如下:
4、a1:属性机构根据初始化算法生成系统公开参数和系统主密钥,系统公开参数发送给数据拥有者,系统主密钥保存在属性机构;
5、a2:确定检查器属性数量上限值,并根据a1的系统公开参数使用检查器初始化算法生成检查器公开参数和检查器私钥;
6、所述数据加密存储阶段处理如下:
7、b1:数据拥有者使用系统公开参数和访问策略对明文数据进行加密,生成密文文件,并生成密文文件的对称密钥;
8、b2:布置检查器,通过访问策略和检查器公开参数生成验证组件,并将嵌入访问策略的密文和验证组件发送给检查器;
9、所述检查器策略验证阶段处理如下:
10、c1:检查器收到密文和验证组件后,利用检查器私钥进行计算验证,验证嵌入密文中的访问策略是否合规;若合规,则密文通过验证,检查器将密文上传至云端服务器存储;若不合规,则直接将密文丢弃;
11、所述数据解密阶段处理如下:
12、d1:用户向云端服务器发送数据访问请求,云端服务器将密文发送给用户;
13、d2:用户提供自己的属性集给属性机构,属性机构使用系统主密钥与用户提供的属性集生成用户私钥,并发送给用户;
14、d3:用户收到密文和用户私钥后依次执行属性集测试、数据解密和数据验证,当数据验证成功,则直接返回明文给用户。
15、作为优选,所述数据加密存储阶段处理中,数据拥有者根据自身属性集使用系统公开参数和访问策略对明文数据进行加密。
16、作为优选,所述数据解密阶段处理中,用户私钥对密文解密中,首先通过密文中的自身属性集对用户私钥中的用户属性集进行混淆布隆过滤器测试;测试通过后利用私钥将密文解密出明文数据;对明文数据进行数据验证,验证成功后返回明文。
17、一种属性加密和云存储环境下的数据安全共享系统,包括数据拥有端、数据请求端、属性机构、检查器和云端服务器;
18、所述数据拥有端,用于在初始化阶段接收属性机构发送的系统公开参数;在数据加密存储阶段使用公开参数和访问策略对明文数据加密生成密文,并将密文存储在云端服务器;
19、所述数据请求端,用于在数据解密阶段,向属性机构发送用户私钥获取请求以获取用户私钥,并向云端服务器发送数据访问请求以获取密文,通过用户私钥对密文进行解密,解密成功后获取明;
20、所述属性机构,用于在初始化阶段生成系统公开参数和系统主密钥,系统公开参数发送给数据拥有端,系统主密钥储存在属性机构;在数据解密阶段根据数据请求端提供的自身属性,结合系统主密钥生成用户私钥;
21、所述检查器,用于在初始化阶段生成检查器公开参数和检查器私钥;在数据加密存储阶段通过访问策略和检查器公开参数生成验证组件;在检查器策略验证阶段利用检查器私钥和验证组件对嵌入密文中的访问策略进行合规验证,若合规,则密文通过验证,检查器将密文上传至云端服务器存储;若不合规,则直接将密文丢弃。
22、本专利技术在适用于云环境下的一对多的数据共享,数据拥有者只需设置访问策略加密一次,所有满足访问策略的用户都能解密。基于策略隐藏的cp-abe方案(hcp-abe方案),在防止策略泄漏敏感信息的同时,设计了具有测试-解密-验证功能和策略可验证的hcp-abe方案,解决了hcp-abe方案中普遍存在的解密开销浪费的问题和hcp-abe的假策略攻击问题。
本文档来自技高网...【技术保护点】
1.一种属性加密和云存储环境下的数据安全共享方法,其特征在于:该方法包括:初始化阶段、数据加密存储阶段、检查器策略验证阶段和数据解密阶段;
2.根据权利要求1所述的一种属性加密和云存储环境下的数据安全共享方法及系统,其特征在于:所述数据加密存储阶段处理中,数据拥有者根据自身属性集使用系统公开参数和访问策略对明文数据进行加密。
3.根据权利要求1所述的一种属性加密和云存储环境下的数据安全共享方法及系统,其特征在于:所述数据解密阶段处理中,用户私钥对密文解密中,首先通过密文中的自身属性集对用户私钥中的用户属性集进行混淆布隆过滤器测试;测试通过后利用私钥将密文解密出明文数据;对明文数据进行数据验证,验证成功后返回明文。
4.一种属性加密和云存储环境下的数据安全共享系统,其特征在于:包括数据拥有端、数据请求端、属性机构、检查器和云端服务器;
【技术特征摘要】
1.一种属性加密和云存储环境下的数据安全共享方法,其特征在于:该方法包括:初始化阶段、数据加密存储阶段、检查器策略验证阶段和数据解密阶段;
2.根据权利要求1所述的一种属性加密和云存储环境下的数据安全共享方法及系统,其特征在于:所述数据加密存储阶段处理中,数据拥有者根据自身属性集使用系统公开参数和访问策略对明文数据进行加密。
3.根据权利要求1所述的一种属性加密和...
【专利技术属性】
技术研发人员:崔艳鹏,胡建伟,张磊磊,
申请(专利权)人:西安胡门网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。