一种用户端云数据共享解决方法
【专利摘要】本发明公开了一种用户端云数据共享解决方法,其具体实现过程为:数据拥有者在硬件标记载体上通过内容密钥对数据文件进行加密,同时对所有内容密钥加密,将所有的已加密数据文件和已加密内容密钥上传到云数据主端;调用数据拥有者的硬件标记载体,计算生成已加密的重加密密钥,并将该已加密重加密密钥在云数据主端由指定用户获得;根据接收到的已加密的重加密密钥,指定用户调用自己的硬件标记载体,对已加密的重加密密钥进行解密,从而获得所有的已加密的且被数据拥有者上传的数据文件,并解密它们。该一种用户端云数据共享解决方法与现有技术相比,可节省网络流量;减少计算机的计算运行负担,减少耗电量;提升加密数据共享效率。
【专利说明】一种用户端云数据共享解决方法
【技术领域】
[0001] 本发明涉及信息安全【技术领域】,具体地说是实用性强、安全性高、占用网络流量 小、一种用户端云数据共享解决方法。
【背景技术】
[0002] 现有技术中文件上传共享一般采用公开密钥加密方案,比如:ELGamal加密方案, 这种公开密钥加密方案也称为非对称密钥加密技术,其具体加解密过程为:采用一对匹配 的密钥进行加密、解密,具有两个密钥,一个是公开密钥(公钥)一个是私有密钥(私钥), 它们具有这种性质:每把密钥执行一种对数据的单向处理,每把的功能恰恰与另一把相反, 一把用于加密时,则另一把就用于解密。用公钥加密的文件只能用私钥解密,而私钥加密的 文件只能用公钥解密。
[0003] 基于上述密钥加密方案,如附图1所示,用户使用的上传数据到云数据存服务器 的加密方案为:用户A正在计划上传几个文件夹Fp F2,…,Fn到Dropbox。因为涉及到安全 方面的问题,在上传之前文件夹将被加密。该用户端加密用惯例性的混合加密范例完成。尤 其是在独特可区分且随机的对称内容密钥L K2,…,Kn下,每个密钥至少有128位的大小, 用一个含有适当操作模式的分组密码,最好是已认证的操作模式(如:AES-GCM),然后将文 件?^^,…,F n首次加密为(;,(:2,…,Cn,然后在Alice的公开密钥下,用公开密钥加密方 案(如:超越椭圆曲线群的ElGamal加密方案)对内容密钥加密。密文上传到由加密文件 ,…,Cn组成的Dropbox上,加密内容密钥由CKpCl,…,CKn表示。其中在每一个加密 文件中,例如Q,它也包含了应归于分组加密模式的初始向量。简单地讲,我们假定初始向 量是每一个加密的私有文件Q的一部分。
[0004] 在某一时间,用户A想与朋友B分享她的文件。一个常见方法是:A从云主端(如: Dropbox)上下载所有的加密内容密钥,…,CKn,然后将他们解密并获取内容密钥 I,K2,…,Kn,接着用B的公开密钥再次将他们加密为CK/,CK2',…,CK n',最终上传这些新 的加密内容密钥到云主端(如:Dropbox)以供B下载。这个方法的优势是A不需要下载任 何一个加密文件,因此,在A和云主端(如:Dropbox)的通信期间能够节约带宽。
[0005] 尽管如此,这个方法依然涉及到每个文件的加密内容密钥上传和下载,从而增加 了网络通讯流量,网络开支费用与双方之间共享的文件数量成线性关系;此外,这个方法还 会影响A这边的大量的计算机运行能力,所以不是很实用,增大了耗电量,尤其是对靠电池 供电的笔记本电脑等,非常不实用;加密数据共享效率低,想象下当A再想与其他的朋友共 享文件,比如说C。这种解决方案会引起额外的网络费用,与A和C共享文件的数量成线性 关系,如果让共享的朋友数量为m,这种解决方案的网络费用就是0(nm)的线性排列。
[0006] 所以在这个应用案例中的技术挑战是,在不引起用户和云存储提供商之间太多通 信和不给用户带来太多计算负担的前提下,如何使得这种加密数据共享更有效率。
[0007] 对于这个问题有一个潜在的解决方案。这个方案就是让A将她的私有密钥发布给 云主端,然后要求云主端代表A去做解密和加密。尽管如此,这种方法将依赖于云主端的安 全性,以及A不得不相信云主端不会将文件向任何未经许可的第三方公开。因此这种方法 不能给A提供保证:只有她拥有自己的加密文件访问的管理权。
[0008] 基于此,现提供一种网络通讯流量不会增加、加密数据共享效率高、安全性强、用 户端云数据共享解决方法。
【发明内容】
[0009] 本发明的技术任务是针对以上不足之处,提供一种实用性强、用户端云数据共享 解决方法。
[0010] 一种用户端云数据共享解决方法,其具体实现过程为:
[0011] 数据拥有者在硬件标记载体上通过内容密钥对数据文件进行加密,同时对所有内 容密钥加密,将所有的已加密数据文件和已加密内容密钥上传到云数据主端,即云数据存 储服务器端;
[0012] 调用数据拥有者的硬件标记载体,计算生成已加密的重加密密钥,并将该已加密 的重加密密钥在云数据主端由指定用户获得;
[0013] 根据接收到的已加密的重加密密钥,指定用户调用自己的硬件标记载体,对已加 密的重加密密钥进行解密成重加密密钥,指定用户根据该重加密密钥解密所有的已加密的 且被数据拥有者上传的数据文件。
[0014] 通过上述重加密的方式,可使得密钥的生成无需任何服务器的参与运算,整个保 密性依赖于数据拥有者和指定用户私有密钥的保密性,能够加强数据的安全性。
[0015] 作为优选,所使用到的硬件标记载体是指内含AES加密硬件的U盘或带Velosti USB的设备,这是由于该设备的成本较低且易于实现,同时方便携带,方便上述步骤的实时 操作。
[0016] 进一步的,所述硬件标记载体内包含公开密钥和私有密钥,相对应的,已加密的重 加密密钥的生成过程为:
[0017] 数据拥有者的私有密钥和指定用户的公开密钥均产生一个重加密密钥Rekey,该 重加密密钥Rekey与指定用户的公开密钥产生一个已加密的重加密密钥;
[0018] 该已加密的重加密密钥的解密过程为:
[0019] 指定用户在接收到已加密的重加密密钥后,通过自己的私有密钥对已加密的重加 密密钥进行解密成为重加密密钥Rekey,之后,该重加密密钥Rekey与指定用户的私有密钥 同时使用,完成解密。
[0020] 上述重加密及解密的过程的公开密钥的传送以明文表示,故对公开密钥无深层的 加密要求,因而无论是数据拥有者的公开密钥还是指定用户的公开密钥,都放置于云端的 只读文件夹中;通过上述过程,使得所有已加密数据文件和内容密钥在没有获得来自于数 据拥有者的密钥情况下,不能被云数据服务商中的任何人解密,而指定用户则可使用自己 的硬件标记载体,通过自己的私有密钥对已加密的重加密密钥进行解密,进而得到数据拥 有者上传的数据文件,实用性强且安全性高。
[0021] 进一步的,所述已加密的重加密密钥生成与解密过程通过加解密算法实现,代理 重加密由6个概率性的多项式时间算法组成,即设置、产生密钥、产生重密钥、加密、重加 密、解密。
[0022] 以上步骤的具体实现过程为:
[0023] -、设置该算法的系统参数:
[0024] 将该系统参数设定为params = (G,q,g,氏,H2),其中G为乘法群或加法群,且该G 是算法产生序列q中的一个集合;I q I = k且该k为一个给定的安全参数;g为G的群生成 元;氏和H2是该算法产生的两个哈希函数,每一个都从G映射到Z,,该Z,代表集合{0, 1,… ,q-Ι};讯息空间Μ被定为G,即明文空间被定为群G的域。
[0025] 二、产生密钥:
[0026] 设定私有密钥
【权利要求】
1. 一种用户端云数据共享解决方法,其特征在于其具体实现过程为: 数据拥有者在硬件标记载体上通过内容密钥对数据文件进行加密,同时对所有内容密 钥加密,将所有的已加密数据文件和已加密内容密钥上传到云数据主端,即云数据存储服 务器端; 调用数据拥有者的硬件标记载体,计算生成已加密的重加密密钥,并将该已加密的重 加密密钥在云数据主端由指定用户获得; 根据接收到的已加密的重加密密钥,指定用户调用自己的硬件标记载体,对已加密的 重加密密钥进行解密成重加密密钥,指定用户根据该重加密密钥解密所有的已加密的且被 数据拥有者上传的数据文件。
2. 根据权利要求1所述的一种用户端云数据共享解决方法,其特征在于:所使用到的 硬件标记载体是指内含AES加密硬件的U盘。
3. 根据权利要求1或2所述的一种用户端云数据共享解决方法,其特征在于:所述硬 件标记载体内包含公开密钥和私有密钥,相对应的,已加密的重加密密钥的生成过程为: 数据拥有者的私有密钥和指定用户的公开密钥均产生一个重加密密钥Rekey,该重加 密密钥Rekey与指定用户的公开密钥产生一个已加密的重加密密钥; 该已加密的重加密密钥的解密过程为: 指定用户在接收到已加密的重加密密钥后,通过自己的私有密钥对已加密的重加密密 钥进行解密成为重加密密钥Rekey,之后,该重加密密钥Rekey与指定用户的私有密钥同时 使用,完成解密。
4. 根据权利要求3所述的一种用户端云数据共享解决方法,其特征在于:所述已加密 的重加密密钥生成与解密过程通过加解密算法实现,该加解密算法具体过程为 : 一、 设置该算法的系统参数: 将该系统参数设定为params = (G,q,g,氏,H2),其中G为乘法群或加法群,且该G是算 法产生序列q中的一个集合;I q I = k且该k为一个给定的安全参数;g为G的群生成元;$ 和4是该算法产生的两个哈希函数,每一个都从G映射到Z,,该Z,代表集合{0, 1,…,q-1}; 讯息空间Μ被定为G,即明文空间被定为群G的域; 二、 产生密钥: 设定私有密钥
相互独立且均选自Ζ,; 计算公开密钥
三、 对文件进行加密: 输入一个公开密钥
和来自于讯息空间Μ的一个讯息m,通过下述步 骤产生密文Q: 从Zq随机选择r ; 计算 E = mg11 ; 计算
设定 Q = (E,F); 四、 产生重密钥: 随机从G选择V,从Zq选择u ; 计算
计算u = Vgu ; 计算 w = pkj,2u ; 输出 ReKeyi-j = (v,U,W); 五、 重加密: 输入重加密密钥ReKeyi_j = (v,U,W)和一个密文Q = (E,F),计算F' = Fv,输出?.= (E,F, ,U,ff); 六、 解密: 输入一个私有密钥sk = (Xp x2)和一个密文C,通过算法重新获得讯息m,当C = (E, F) 是原始密文,计算
是重加密 密文,计算
5. 根据权利要求4所述的一种用户端云数据共享解决方法,其特征在于:所述安全参 数k的取值范围为160?512。
6. 根据权利要求3所述的一种用户端云数据共享解决方法,其特征在于:所述指定用 户获得重加密密钥时还同时获得原始数据文件的接入口,该原始数据文件的接入口是指原 始数据文件已经被加密和上传给云数据存储服务器后的地址链接且由数据拥有者决定。
【文档编号】H04L29/08GK104158880SQ201410409232
【公开日】2014年11月19日 申请日期:2014年8月19日 优先权日:2014年8月19日
【发明者】王石, 洪小莹 申请人:济南伟利迅半导体有限公司