本发明涉及云存储环境下数据安全技术领域
技术背景
随着云计算的发展,移动数据存储的研究,越来越多的人和企业选择在云端存储数据,以打破以往智能在特定环境下访问某些信息的限制。但是,企业或者个人信息安全也出现的风险,服务商被攻击,个人网络被攻击导致隐私机密信息泄露,造成隐患。所以云环境下数据的加密技术和存储技术收到越来越多的研究。
在开放式云环境下,数据所有者(用户)将信息加密存储于云端,并通过对称、非对称密钥进行数据的保护虽然可以数据隐私性,但是密钥协商和管理过程复杂,增加了密钥动态更新和用户细粒度访问控制的难度。现在发展最好的是基于CP-ABE基于属性基的加密和访问结构控制来实现数据安全,由用户属性集合生成的相关联私钥是解密共享数据的关键,而其私钥的生成与分发需要依赖可信的密钥托管中心,无法满足开放式云存储中信任分散的安全需求。同时,CP-ABE中的访问结构是由属性集合与逻辑运算组成,在共享数据解密过程中,多个非授权用户可以联合自己在访问结构中的合法属性的相关联私钥,以联合形成满足访问结构的解密私钥,进而解密密文以实施非法访问。此外,由于用户私钥与用户属性集合关联,不同用户的属性集合间存在共有属性,云存储环境下用户的离开将导致多个用户私钥的更新,增加了密钥撤销的复杂性。
基于以上问题,本发明提出一种基于CP-ABE的数据安全共享方法,将用户的私钥分为对称密钥和非对称密钥两部分,分别由云中心和代理机构管理,并在密钥中加入私人标识,以抵抗共谋攻击和串谋攻击。
技术实现要素:
针对上述不足,本发明提出一种基于CP-ABE的数据安全共享方法,将用户的私钥分为对称密钥和非对称密钥两部分,分别由云中心和代理机构管理,并在密钥中加入私人标识,以抵抗共谋攻击和串谋攻击。
本发明所采用的技术方案是:云环境下一种安全的数据共享方法,该方法是针对云存环境下的加密数据访问控制问题,结合CP-ABE提出的一种数据安全共享方法。该方法首先通过联合云存储中心的对称密钥和授权机构的非对称私钥解决CP-ABE算法中的可信第三方依赖问题;其次,在用户的属性私钥中添加用户唯一标识使共享机制可以抵制来自非法用户的串谋攻击;最后,通过对称密钥的更新完成了用户的撤销,保证了共享数据的后向安全性并提高了更新效率。
本发明的有益效果是:解决了密钥存储的信任问题,提高了除了合法访问者外,不合法访问者攻击数据的安全性,能抵抗共谋攻击、猜测攻击、提高了数据后向的安全性。
具体实施方式
用户,是数据所有者,其将需要共享的数据通过某个代理服务商上传到云空间;代理服务商,称其为代理机构,其租用云空间来分发给他的用户;云空间所有者是云服务商,管理云空间的机构称为云中心;合法访问者是用户许可的访问者,从云存储中心获取加密的共享数据后使用自己的密钥解密数据。
在本发明中,首先由授权机构和云存储中心结合用户唯一标识共同产生用户密钥;其次用户混合使用授权机构产生的非对称密钥和云服务商产生的对称密钥完成数据的加解密;最后,当用户注销时完成相关密钥和密文的更新,保护共享数据的后向安全性。本方法主要分为以下几个步骤:
步骤一:系统初始化,代理机构产生安全参数
通过双线性映射发,设g为生成元,阶为p的双线性群G和双线性映射e:G×G→G1,随机选取散列函数H和α,β∈Zp生成主密钥(gα,β)和公钥(G,g,gβ,H,e(g,g)α)云中心产生对称密钥ε∈Zp和全体属性集Ω={λ1,λ2,...,λn}。
步骤二:密钥生成
当用户进入云存储系统注册时,云中心为其生成唯一标识对称密钥ε和属性集Si={λ1,λ2,...,λm},用户将自己的属性集Si={λ1,λ2,...,λm}、标识符对称密钥ε发送给代理机构申请关联的私钥,代理机构为注册用户属性集中的属性选取参数,计算私钥发送给用户,私钥SK计算方法为:
步骤三:共享数据加密
用户在上传需要共享的数据前,需要对数据进行加密,首先构造访问树,然后利用公钥和密钥完成数据加密。
以属性作为叶子节点,门限逻辑运算作为中间节点构造访问树T,从根节点开始,每个非叶子节点x定义一个(kx-1))次多项式fx并随机选取s∈Zp作为根节点R的值,设置fR(0)=s,设置fx(0)=fparent(x)(inde(x)),inde(x)为节点编码值。对共享数据M进行加密,密文数据为CT存放在云存储中心。
步骤四:合法访问者访问共享数据
所有的云存储用户均可向云存储中心查询下载加密后的共享数据,并使用自己的密钥解密数据。数据的解密操作分为2个部分:使用嵌套方式计算访问树根节点尺的节点值,然后使用根的节点值解密数据。
对访问树的每个叶子节点x,请求用户使用CP-ABE私钥执行解密操作:
如果λx∈S,则计算Tx,如果不是,则设置Tx=0,
对访问树的每个非叶子节点y自底向上依次执行解密操作,如果y的所有子节点集合N中满足条件
|(z∈N)&Tz≠0)|≥ky则计算Ty,如果不满足则Ty=0,当|(z∈N)&Tz≠0)|≥ky时:
当用户私钥满足访问树,得到根节点否则TR=0;
根据根节点的值和用户私钥,恢复数据M,
步骤五:用户动态更新
为保护共享数据不被注销后的用户获取,共享机制提出用户撤销算法,保护共享数据的后向安全性。当用户注销时,云存储中心重新生成对称密ε′,进行重新加密:
云存储中心将新的对称密钥ε′分配给现有用户,用户更新私钥,
以此新的私钥可以还原共享数据。
通过上述方法,用户上传共享数据后,制定的合法访问者可以随时随地访问数据,并不担心数据安全问题,并且,随时可以更换访问者名单,取消权限的访问者不能在依据原来的密钥攻击到数据,保障了数据的向后安全性。