专利名称:面向云存储加密数据共享的多级权限管理方法
技术领域:
本发明涉及一种面向云存储用于加密数据共享的多级权限管理方法,具体涉及利用属性基加密、访问控制以及权限管理的理论研究,对共享的加密数据支持灵活、细粒度的访问控制及权限管理的方法,属于信息安全技术领域。
背景技术:
随着互联网和分布式计算机技术的发展,在分布开放的计算环境中进行数据共享和处理的需求越来越多。为解决数据隐私的保护问题,常见的方法是由用户对数据进行加密,把加密后的密文存储在服务端。当存储的加密数据形成规模之后,如何对加密数据共享成为迫切需要解决的问题。用户需要制定灵活的访问控制策略,实现权限的灵活设置,从而控制数据的共享范围,以及在与用户通信过程中保证数据的机密性。大规模分布式应用迫切需要支持一对多的通信模式,从而降低为每个用户加密数据带来的巨大开销。目前,在数据加密体制的研究中,实现数据加密和访问控制的方法主要包括基于公钥基础设施(Public Key Infrastructure, PKI)、基于身份的加密(Identity BasedEncryption, IBE)等。这些方法一般使用一对一的通信模式,而且通信双方都必须通过真实身份验证才能实现加解密功能,导致处理开销大、占用带宽多及用户身份信息安全隐患等问题。基于属性的加密机制(Attributed-based Encryption, ABE)为加密数据的存取控制提供了 一个新的方法,该机制在公钥加密的思想中引入了访问结构,系统在生成密钥或者产生密文时可以根据一个访问结构来产生,使得满足指定条件的用户才可以解密密文。然而,如何满足用户制定灵活、可扩展的访问策略需求,支持细粒度权限设置,同时对加密数据进行有效的分享和高效的管理,成为属性基加密机制应用于工程实践中亟待解决的问题。经对现有技术文献的检索发现,目前基于属性的加密机制主要分为两类:一类是基于密钥策略的加密(Key Policy-Attributed based Encryption, KP-ABE),另一类是基于密文策略的加密(Ciphertext Policy-Attributed based Encryption, CP-ABE)。基于密钥策略的加密方法,通过引入访问树结构,将用户密钥与访问结构相关联,密文与属性集相关联,当且仅当密文属性集满足用户密钥中的密钥策略时,用户才能解密密文的方法,来实现用户对密文的访问控制。这种加密方法由接收方规定对接收消息的要求,适用于查询类应用,无法应用于访问控制模型,而且用户密钥长度随用户属性成线性增长,导致开销太大,因此不适合工程的实际应用。Bethencourt等人于2007年发表在《IEEE Symposium onSecurity and Privacy, (IEEE关于安全与隐私的研讨会)》的论文《Ciphertext-PolicyAttribute-Based Encryption (基于密文策略的属性基加密)》,通过将密文与访问策略相关联,用户密钥与属性集相关联,当且仅当用户密钥的属性集满足密文的访问策略时,用户才能解密密文的方法,来实现用户对文件的访问控制。该方法虽然适用于对加密数据的访问控制,但是却无法实现细粒度的权限管理,因此限制了其在工程上的应用。
发明内容
本发明的目的在于克服现有技术的不足,提供一种面向云存储加密数据共享的多级权限管理方法,在用户数量大、服务器不可靠等复杂的实际工程中,保证用户数据的隐私性和安全性,实现对云计算应用环境下不同用户对共享加密文件的访问以及权限控制。为实现上述目的,本发明首先进行系统初始化,然后根据用户属性集生成用户私钥,并通过用户证书验证,分发给各用户。对于需要加密的文件,首先随机选择对称加密密
钥,应用对称加密算法-高级加密标准(Advanced Encryption Standard,AES)算法加密
数据或文件,生成内容密文;然后针对不同用户对文件具有的不同权限,采用属性基加密方法对不同权限结构进行加密,生成权限密文;最后根据对文件具有访问权限的用户访问结构,采用属性基加密方法加密对称密钥和权限密文,并将其以文件头的形式与内容密文结合,作为数据或文件的完整密文。解密时,首先当且仅当用户私钥的属性集满足访问策略时,用户才能解密文件头,获得对称密钥和权限密文;同时当且仅当用户私钥的属性集满足相应的权限策略时,才能解密相应部分,获得其权限信息。这样避免云计算服务商获知数据内容,同时在数据被加密的情况下,实现数据拥有者将符合指定条件的数据交给特定用户进行共享,达到对共享加密文件的访问以及权限控制。本发明的方法通过以下具体步骤实现:I系统初始化首先,授权中心随机选择(y,e Zq ,运行双线性Diffie-Hellman(Bilinear Diffie-Hellman, BDH)参数生成器,产生两个阶为素数q的双线性群G1, G2, g是群61的生成元,以及双线性对运算O = G1XG1 — G2,得到系统公钥(Public Key, PK)以及系统主密钥(Master Key, MK)为:
权利要求
1.面向云存储加密数据共享的多级权限管理方法,通过以下具体步骤实现: 步骤I,系统初始化 首先,授权中心随机选择e zq’运行双线性Diffie-Hellman (BilinearDiffie-Hellman, BDH)参数生成器,产生两个阶为素数q的双线性群G1, G2, g是群G1的生成元,以及双线性对运算O = G1XG1^ G2,得到系统公钥(Public Key, PK)以及系统主密钥(Master Key, MK)为:
全文摘要
本发明涉及一种面向云存储加密数据共享的多级权限管理方法,利用属性基加密、访问控制、权限管理等方法,为云存储环境下共享密文的访问及多级权限管理提供一种可靠的方法。本发明通过混合加密体制,首先应用对称加密算法加密数据,生成内容密文;接着采用属性基加密根据不同类别的权限信息加密,生成权限密文;然后采用属性基加密方案加密对称密钥及权限密文,并将其作为内容密文的文件头,生成最终密文。本发明具有易于实现、用户信息保护性强、权限控制粒度细等优点,在服务器不可信的前提下,支持对共享加密数据灵活、可扩展的权限管理,有效保证了用户数据及权限信息的隐私性和安全性,在云存储领域具有较好的实用价值和广阔的应用前景。
文档编号H04L29/08GK103107992SQ20131004450
公开日2013年5月15日 申请日期2013年2月4日 优先权日2013年2月4日
发明者刘雪娇, 蒋莎莎, 夏莹杰 申请人:杭州师范大学