本发明涉及一种基于ABE的云存储数据安全共享实现方法,属于云存储安全保密领域。
背景技术:
云计算系统借助虚拟机化技术来实现资源的动态分配、弹性部署,虚拟化技术通过对硬件资源的抽象封装实现了系统级的隔离,为不同安全等级的应用和服务提供了互不影响的运行环境,也为系统安全监控软件部署提供了有利条件。云存储是在云计算的基础上实现的具有弹性伸缩能力的存储服务,当用户上传自身明文数据到云存储系统时,明文数据可能会被云存储服务商或者其他恶意用户篡改或破坏;当用户上传自身密文数据到云存储系统时,这种方式不利于数据的共享。
中国专利文献CN103747279A公开了一种云存储共享编码视频加密与访问控制策略更新方法,该方法是在编码视频数据上载到云中之前,将编码视频数据分为关键数据和非关键数据;对关键数据采用CP-ABE进行加密,加密后密文关联了访问控制策略,规定了具有哪些属性的用户能够访问本视频;当更新访问控制策略时,只需要从云中取回关键数据包解密后用新的访问控制策略重新加密;但是,该专利中数据访问者提供个人属性时是明文传输的,明文传输容易受到破坏。
技术实现要素:
针对现有技术的不足,本发明提供了一种基于ABE的云存储数据安全共享实现方法;
本发明解决了现有技术中密文数据的共享问题,能够提供云存储数据的细粒度访问控制,用于多租户的安全数据共享。
术语解释:
ABE,Attribute-Based Encryption,基于属性加密或属性基加密;
PKG,Private-Key-Generator,私钥生成器;
AC-CP,访问策略;
Au,个人属性;
PK,Public Key,公钥;
SK,Secret Key,私钥;
本发明的技术方案为:
一种基于ABE的云存储数据安全共享实现方法,包括:
A、加密发送方上传的数据
当用户上传数据M至云存储系统后,构建对应数据M的访问策略AC-CP,调用Encrypt(PK,M,AC-CP):C,生成密文数据C;
B、用户访问数据
当用户访问数据M时,向PKG提供该用户的属性,用户的属性,例如,中国、山东、济南等;由数据M的发送方发送数据M对应的访问策略AC-CP,PKG判断用户的属性是否满足访问策略AC-CP,如果满足,由PKG下发密文数据C的公钥、私钥,用户读取数据M的内容,否则,用户不能读取数据M的内容。
本专利采用属性的签名证书向PKG提供属性的方式,这种方式有效地防止恶意用户伪造证书。发送属性证书以后由PKG负责验证,验证通过以后,下发云存储数据的解密密钥,从而实现发送方数据的细粒度访问控制及共享,并且这种方法也能够实现加密与访问控制的融合。
根据本发明优选的,所述步骤A,包括:采用对称加密算法对上传至云存储系统的数据M进行加密。
加密密钥由基于存储加密系统保护,当用户要访问数据时,通过基于存储加密系统获取对称加密的密钥,然后解密相关数据,这个过程在此不详述。
根据本发明优选的,所述对称加密算法为DES。
根据本发明优选的,云存储系统提供数据上传接口,发送方借助该数据上传接口完成数据的加密上传。
根据本发明优选的,所述数据上传接口的型号为S3Rest API。
根据本发明优选的,所述步骤B,包括:
访问策略AC-CP为访问结构控制树,PKG判断用户的属性是否满足该访问结构控制树的访问控制结构,即用户的属性参与访问结构控制树,如果运算结果为True,则满足,由PKG下发与用户访问的数据M相关的公钥PK、私钥SK,用户读取数据M的内容,如果运算结果为Flase,则不满足,用户不能读取数据M的内容。
本发明的有益效果为:
1、本发明采用属性的签名证书来实现用户属性的传递,有效地防止用户属性为恶意篡改,导致用户无法正常使用云存储服务;并且,这种方式可以有效防止非法用户伪造证书,从而防止恶意用户非法访问云存储服务。
2、本发明可有效防止用户(含系统管理员)对云存储数据的未授权访问,实现云存储数据的细粒度访问控制;除此之外,还实现了加密与访问控制的统一,用户在构建相关的安全系统时,不需要对加密和访问控制构建两套系统,可以在一套系统内既实现数据加密,也实现数据的访问控制。
附图说明
图1为本发明基于ABE的云存储数据安全共享实现方法流程框图。
具体实施方式
下面结合说明书附图和实施例对本发明作进一步限定,但不限于此。
实施例
一种基于ABE的云存储数据安全共享实现方法,如图1所示,包括:
A、加密发送方上传的数据
当用户上传数据M至云存储系统后,构建对应数据M的访问策略AC-CP,调用Encrypt(PK,M,AC-CP):C,生成密文数据C;
B、用户访问数据
当用户访问数据M时,向PKG提供该用户的属性Au,用户的属性Au包括中国、山东、济南、个人收入等,由数据M的发送方发送数据M对应的访问策略AC-CP,该访问策略AC-CP中的用户属性包含山东或者个人收入大于10万元,具体可以为一个访问结构控制树,如图1所示,满足访问控制结构的用户属性才能解密相关数据,PKG判断用户的属性是否满足发送者发送的访问策略AC-CP,具体是通过判定用户发送的用户属性参与访问结构控制树运算结果是否为True,例如,一个用户是山东,个人收入为9万元,则该用户的判定结果为True;如一个用户是河北,个人收入为11万元,该用户的判定也为True;而如果一个用户是河北,个人收入为9万元,该用户的判定也为False,如果为True,由PKG下发与用户访问的数据相关的公钥PK、私钥SK,用户读取数据内容,否则,用户不能读取数据内容。