【技术实现步骤摘要】
本专利技术属于云计算领域,具体涉及一种云环境下前向安全的加密数据可控编辑方法。
技术介绍
1、云计算提供了丰富的存储和计算资源,大大提高了数据共享的效率;云和边缘平台以按需方式为人们提供大量存储服务,然而,外包数据往往包含敏感信息,因此,边缘云需要安全的数据共享机制。
2、目前,人们研究了广播加密(be)和基于属性的加密(abe)等加密原语来实现上述目标。其中,在基于属性的数据共享系统中,所有者通常使用细粒度访问结构对数据进行加密,并将加密后的数据发布到云服务器上,这样只有具备足够属性的用户才能访问。在大多数现有的数据共享方案中,所有者或合作用户可以通过上传加密的数据来修改共享数据。事实上,所有者一方面可以要求这些编辑者代表自己修改共享数据,另一方面又担心恶意编辑者会修改共享数据中不可变的部分。因此,如何实现对加密数据的可控编辑是一个问题。
3、已有研究者提出了支持修改认证数据的数字签名方案,如同态签名、可编辑签名和可净化签名。可净化签名是一种新型数字签名,只允许指定的编辑者修改消息的指定部分,并用净化密钥为修改后的消息生成一个净化签名。如果修改是可接受的,则修改后的消息签名将验证通过。特别地,基于属性的可净化签名(abss)使用访问策略而不是公钥来指定潜在的编辑者。因此,在实际数据编辑场景中,可以利用abss来精细控制编辑者的能力。
4、abss技术可以实现云计算中数据的编辑控制,涉及的实体包括可信授权机构、签名者、净化者和验证者。如图1所示,实现过程包括以下步骤:
5、1)系统
6、2)签名者密钥生成。可信授权机构根据系统主密钥mk和用户属性,为签名者生成签名私钥sko并安全地分发给签名者。
7、3)净化者密钥生成。可信授权机构根据系统主密钥mk和净化者属性生成净化私钥sks并安全地分发给净化者。
8、4)签名生成。签名者输入系统公钥pk、签名者私钥sko、消息m和访问策略p以及允许修改的描述am,生成签名σ。
9、5)签名净化。净化者输入系统公钥pk、净化者私钥sks、消息m以及对消息的修改描述dm,生成修改后消息m′的签名σ′。
10、6)签名验证。输入系统公钥pk、消息m及其签名σ,输出签名验证结果。
11、在云计算环境下,直接采用已有的abss技术实现支持数据可控编辑的共享存在以下问题:
12、1)abss无法直接应用于云数据共享,因为它只能保证数据的真实性,但无法保证数据的机密性以抵制半信任云服务器;
13、2)已有abss不能抵制净化密钥泄露攻击,即一旦净化密钥被攻击者拿到,则攻击者可以恶意修改数据而不被发现。
技术实现思路
1、针对上述问题,本专利技术提出一种云环境下前向安全的加密数据可控编辑方法,满足云环境中安全可控的数据编辑和共享要求。
2、所述云环境下前向安全的加密数据可控编辑方法,具体步骤如下:
3、步骤一、搭建包括可信机构、云服务器、边缘节点、所有者、用户和编辑者的云仿真环境;
4、可信机构负责初始化系统,并为所有者颁发加密密钥,为用户和编辑者颁发秘密密钥,云服务器负责长期存储数据,边缘节点负责缓存用户经常访问的密文。
5、在该环境中所有者将加密数据放到云服务器上,并且使用访问策略控制用户的访问,使用编辑策略控制用户的编辑,只有授权的编辑者执行授权的修改操作才能为修改后的数据产生合法的密文。
6、步骤二、云仿真环境初始化setup算法参数;
7、可信授权机构首先选择安全参数γ和属性全集布隆过滤器参数param,消息的最大长度l,然后运行setup算法初始化系统。可信授权机构公开系统公钥pk,保留主密钥mk和追踪表格st。
8、数据所有者属性集合为用户属性集合编辑者属性集合
9、步骤三、对数据所有者,可信授权机构运行加密密钥生成算法计算加密密钥并返回给该数据所有者。
10、输入系统公钥pk,主密钥mk和属性集合到加密密钥生成算法,选择随机数计算加密密钥
11、
12、步骤四、对于用户或编辑者,可信授权机构运行秘密密钥生成算法获得秘密密钥或并返回给该用户或编辑者。
13、输入系统公钥pk,主密钥mk和属性集合或到秘密密钥生成算法,通过随机数计算
14、
15、同理,输入系统公钥pk,主密钥mk和属性集合到秘密密钥生成算法,通过随机数计算
16、
17、步骤五、给定明文数据msg,所有者使用加密密钥运行加密算法encrypt来加密明文数据msg,得到加密后的原始密文ct,并上传到云服务器。
18、输入系统公钥pk,明文消息msg,访问策略允许修改的块编辑策略以及加密密钥到加密算法encrypt,输出加密后的原始密文ct或者⊥。
19、msg=(m={m1,m2,…,mi,…ml},τ),mi∈{0,1}*是消息块,τ是msg的消息标识符;
20、c是消息的属性基密文,π是消息的等价类签名,是净化凭证的属性基密文;
21、步骤六、当用户想要访问云服务器中的密文时,向最近的边缘节点请求密文,该边缘节点判断是否存有该密文,如果是,则直接返回给用户,否则该边缘节点向云服务器请求,拿到密文后保存并返给用户。
22、步骤七、用户取回原始密文后,用秘密密钥运行解密算法decrypt进行解密,得到消息msg和sig。
23、解密算法是指:输入系统公钥pk,所有者的属性集合原始密文ct以及秘密密钥如果编辑策略是满足的,且消息msg没有被不合法的修改,则输出msg和sig,否则输出⊥。
24、步骤八、当编辑者想要对密文进行净化时,先解密原始密文然后对其进行净化,得到净化密文并上传到云服务器。
25、编辑者用秘密密钥运行解密算法decrypt和净化算法sanitize,计算净化消息msg′=ε(msg)的净化密文ct′;最后编辑者将净化密文上传到云服务器,c′是消息的属性基密文,π′是消息的等价类签名,是净化凭证的属性基密文;
26、净化算法是指:输入系统公钥pk,消息msg和它的签名sig,修改函数ε和一个秘密密钥如果属性集合满足编辑策略并且ε是合法的,则输出净化消息msg′=ε(msg)的净化密文ct′,否则输出⊥。
27、步骤九、当编辑者决定不再对密文的消息进行净化时,在本地执行穿刺算法skpun得到穿刺后的净化密钥并保存。
28、穿刺算法skpun(pk,msg,)是指:输入系统公钥pk,消息msg和秘密密钥输出一个新的秘密私钥使得它可以支持编辑者对其它消息的编辑,不能再用于修改消息msg。
29、具体如下,给定消息msg=(m,τ)和秘密密钥首先设置b0′[hi(τ)]=1,然后对于本文档来自技高网...
【技术保护点】
1.一种云环境下前向安全的加密数据可控编辑方法,其特征在于,具体步骤如下:
2.如权利要求1所述的一种云环境下前向安全的加密数据可控编辑方法,其特征在于,所述步骤一中,可信机构负责初始化系统,并为所有者颁发加密密钥,为用户和编辑者颁发秘密密钥,云服务器负责长期存储数据,边缘节点负责缓存用户经常访问的密文;
3.如权利要求1所述的一种云环境下前向安全的加密数据可控编辑方法,其特征在于,所述步骤五具体为:输入系统公钥pk,明文消息msg,访问策略允许修改的块编辑策略以及加密密钥到加密算法Encrypt,输出加密后的原始密文ct或者⊥。
4.如权利要求1所述的一种云环境下前向安全的加密数据可控编辑方法,其特征在于,所述步骤七的解密算法Decrypt(pk,ct,)是指:输入系统公钥pk,所有者的属性集合密文ct以及秘密密钥如果编辑策略是满足的,且消息msg没有被不合法的修改,则输出msg和sig,否则输出⊥。
5.如权利要求1所述的一种云环境下前向安全的加密数据可控编辑方法,其特征在于,所述步骤八的净化算法Sanitize(pk,msg,
6.如权利要求1所述的一种云环境下前向安全的加密数据可控编辑方法,其特征在于,所述步骤九的穿刺算法SKPun(pk,msg,)是指:输入系统公钥pk,消息msg和秘密密钥输出一个新的秘密密钥使得它可以支持编辑者对其它消息的编辑,不能再用于修改消息msg。
7.如权利要求1所述的一种云环境下前向安全的加密数据可控编辑方法,其特征在于,所述步骤十的追踪算法Trace(pk,mk,st,ct/ct′)是指:输入系统公钥pk,主密钥mk,追踪表格st,一个密文ct/ct′,输出原始密文ct的所有者身份或净化密文ct′的编辑者身份。
...【技术特征摘要】
1.一种云环境下前向安全的加密数据可控编辑方法,其特征在于,具体步骤如下:
2.如权利要求1所述的一种云环境下前向安全的加密数据可控编辑方法,其特征在于,所述步骤一中,可信机构负责初始化系统,并为所有者颁发加密密钥,为用户和编辑者颁发秘密密钥,云服务器负责长期存储数据,边缘节点负责缓存用户经常访问的密文;
3.如权利要求1所述的一种云环境下前向安全的加密数据可控编辑方法,其特征在于,所述步骤五具体为:输入系统公钥pk,明文消息msg,访问策略允许修改的块编辑策略以及加密密钥到加密算法encrypt,输出加密后的原始密文ct或者⊥。
4.如权利要求1所述的一种云环境下前向安全的加密数据可控编辑方法,其特征在于,所述步骤七的解密算法decrypt(pk,ct,)是指:输入系统公钥pk,所有者的属性集合密文ct以及秘密密钥如果编辑策略是满足的,且消息msg没有被不合法的修改,则输出msg和sig,否则输出⊥。
5.如权...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。