面向雲存儲加密數據共享的多級權限管理方法

2023-12-07 23:01:46

專利名稱：面向雲存儲加密數據共享的多級權限管理方法
技術領域：
本發明涉及一種面向雲存儲用於加密數據共享的多級權限管理方法，具體涉及利用屬性基加密、訪問控制以及權限管理的理論研究，對共享的加密數據支持靈活、細粒度的訪問控制及權限管理的方法，屬於信息安全技術領域。
背景技術：
隨著網際網路和分布式計算機技術的發展，在分布開放的計算環境中進行數據共享和處理的需求越來越多。為解決數據隱私的保護問題，常見的方法是由用戶對數據進行加密，把加密後的密文存儲在服務端。當存儲的加密數據形成規模之後，如何對加密數據共享成為迫切需要解決的問題。用戶需要制定靈活的訪問控制策略，實現權限的靈活設置，從而控制數據的共享範圍，以及在與用戶通信過程中保證數據的機密性。大規模分布式應用迫切需要支持一對多的通信模式，從而降低為每個用戶加密數據帶來的巨大開銷。目前，在數據加密體制的研究中，實現數據加密和訪問控制的方法主要包括基於公鑰基礎設施(Public Key Infrastructure, PKI)、基於身份的加密(Identity BasedEncryption, IBE)等。這些方法一般使用一對一的通信模式,而且通信雙方都必須通過真實身份驗證才能實現加解密功能，導致處理開銷大、佔用帶寬多及用戶身份信息安全隱患等問題。基於屬性的加密機制(Attributed-based Encryption, ABE)為加密數據的存取控制提供了 一個新的方法，該機制在公鑰加密的思想中引入了訪問結構，系統在生成密鑰或者產生密文時可以根據一個訪問結構來產生，使得滿足指定條件的用戶才可以解密密文。然而，如何滿足用戶制定靈活、可擴展的訪問策略需求，支持細粒度權限設置，同時對加密數據進行有效的分享和高效的管理，成為屬性基加密機制應用於工程實踐中亟待解決的問題。經對現有技術文獻的檢索發現，目前基於屬性的加密機制主要分為兩類:一類是基於密鑰策略的加密(Key Policy-Attributed based Encryption, KP-ABE),另一類是基於密文策略的加密(Ciphertext Policy-Attributed based Encryption, CP-ABE)。基於密鑰策略的加密方法，通過引入訪問樹結構，將用戶密鑰與訪問結構相關聯，密文與屬性集相關聯，若且唯若密文屬性集滿足用戶密鑰中的密鑰策略時，用戶才能解密密文的方法，來實現用戶對密文的訪問控制。這種加密方法由接收方規定對接收消息的要求，適用於查詢類應用，無法應用於訪問控制模型，而且用戶密鑰長度隨用戶屬性成線性增長，導致開銷太大，因此不適合工程的實際應用。Bethencourt等人於2007年發表在《IEEE Symposium onSecurity and Privacy, (IEEE關於安全與隱私的研討會)》的論文《Ciphertext-PolicyAttribute-Based Encryption (基於密文策略的屬性基加密)》,通過將密文與訪問策略相關聯，用戶密鑰與屬性集相關聯，若且唯若用戶密鑰的屬性集滿足密文的訪問策略時，用戶才能解密密文的方法，來實現用戶對文件的訪問控制。該方法雖然適用於對加密數據的訪問控制，但是卻無法實現細粒度的權限管理，因此限制了其在工程上的應用。

發明內容
本發明的目的在於克服現有技術的不足，提供一種面向雲存儲加密數據共享的多級權限管理方法，在用戶數量大、伺服器不可靠等複雜的實際工程中，保證用戶數據的隱私性和安全性，實現對雲計算應用環境下不同用戶對共享加密文件的訪問以及權限控制。為實現上述目的，本發明首先進行系統初始化，然後根據用戶屬性集生成用戶私鑰，並通過用戶證書驗證，分發給各用戶。對於需要加密的文件，首先隨機選擇對稱加密密
鑰，應用對稱加密算法-高級加密標準(Advanced Encryption Standard,AES)算法加密
數據或文件，生成內容密文；然後針對不同用戶對文件具有的不同權限，採用屬性基加密方法對不同權限結構進行加密，生成權限密文；最後根據對文件具有訪問權限的用戶訪問結構，採用屬性基加密方法加密對稱密鑰和權限密文，並將其以文件頭的形式與內容密文結合，作為數據或文件的完整密文。解密時，首先若且唯若用戶私鑰的屬性集滿足訪問策略時，用戶才能解密文件頭，獲得對稱密鑰和權限密文；同時若且唯若用戶私鑰的屬性集滿足相應的權限策略時，才能解密相應部分，獲得其權限信息。這樣避免雲計算服務商獲知數據內容，同時在數據被加密的情況下，實現數據擁有者將符合指定條件的數據交給特定用戶進行共享，達到對共享加密文件的訪問以及權限控制。本發明的方法通過以下具體步驟實現:I系統初始化首先，授權中心隨機選擇(y,e Zq ,運行雙線性Diffie-Hellman(Bilinear Diffie-Hellman, BDH)參數生成器,產生兩個階為素數q的雙線性群G1, G2, g是群61的生成元，以及雙線性對運算O = G1XG1 — G2，得到系統公鑰(Public Key, PK)以及系統主密鑰(Master Key, MK)為:
權利要求
1.面向雲存儲加密數據共享的多級權限管理方法，通過以下具體步驟實現: 步驟I，系統初始化 首先，授權中心隨機選擇e zq』運行雙線性Diffie-Hellman (BilinearDiffie-Hellman, BDH)參數生成器，產生兩個階為素數q的雙線性群G1, G2, g是群G1的生成元，以及雙線性對運算O = G1XG1^ G2，得到系統公鑰(Public Key, PK)以及系統主密鑰(Master Key, MK)為:
全文摘要
本發明涉及一種面向雲存儲加密數據共享的多級權限管理方法，利用屬性基加密、訪問控制、權限管理等方法，為雲存儲環境下共享密文的訪問及多級權限管理提供一種可靠的方法。本發明通過混合加密體制，首先應用對稱加密算法加密數據，生成內容密文；接著採用屬性基加密根據不同類別的權限信息加密，生成權限密文；然後採用屬性基加密方案加密對稱密鑰及權限密文，並將其作為內容密文的文件頭，生成最終密文。本發明具有易於實現、用戶信息保護性強、權限控制粒度細等優點，在伺服器不可信的前提下，支持對共享加密數據靈活、可擴展的權限管理，有效保證了用戶數據及權限信息的隱私性和安全性，在雲存儲領域具有較好的實用價值和廣闊的應用前景。
文檔編號H04L29/08GK103107992SQ20131004450
公開日2013年5月15日 申請日期2013年2月4日 優先權日2013年2月4日
發明者劉雪嬌, 蔣莎莎, 夏瑩傑 申請人:杭州師範大學