一種移動云存儲輕量級數(shù)據(jù)安全共享方法
【專利摘要】本發(fā)明公開了一種移動云存儲輕量級數(shù)據(jù)安全共享方法,方法包括:數(shù)據(jù)擁有者在可信第三方注冊屬性集合,數(shù)據(jù)擁有者為用戶指定屬性集合,可信第三方根據(jù)用戶的屬性集合使用屬性密碼機(jī)制對用戶授權(quán)生成屬性密鑰,數(shù)據(jù)擁有者使用移動端共享文件時,首先采用對稱密碼機(jī)制對文件加密,通過代理加密服務(wù)器使用屬性密鑰機(jī)制對對稱密鑰加密,并將文件密文及密鑰密文發(fā)送到云端,用戶從云端讀取文件密文及密鑰密文后,通過代理解密服務(wù)器使用屬性密碼機(jī)制解密文件,數(shù)據(jù)擁有者向可信第三方及云端發(fā)送權(quán)限變更聲明,可信第三方及云端根據(jù)用戶權(quán)限變更聲明判斷為用戶增加或刪除權(quán)限。本發(fā)明能在電量和計算能力有限的移動端實現(xiàn)數(shù)據(jù)的安全共享。
【專利說明】一種移動云存儲輕量級數(shù)據(jù)安全共享方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于云存儲和訪問控制領(lǐng)域,更具體地,涉及一種移動云存儲據(jù)安全共享方法。
【背景技術(shù)】
[0002]移動設(shè)備以其便攜性、日益強(qiáng)大的計算處理能力,在生活中使用程度增加。但是,移動設(shè)備也有其局限性:有限的存儲空間、有限的電量和計算能力。由于用戶在移動端的數(shù)據(jù)量日益增長,而移動端只有有限的存儲空間,為備份考慮,有一部分?jǐn)?shù)據(jù)需要轉(zhuǎn)移到云端。此外,移動端之間端到端的傳輸只適合少量用戶少量數(shù)據(jù)的情況,當(dāng)用戶需要和大量聯(lián)系人共享大量數(shù)據(jù)時,用戶需要將待分享的數(shù)據(jù)存儲在云端,其他用戶通過云端得共享數(shù)據(jù)。無論是對數(shù)據(jù)進(jìn)行備份還是對數(shù)據(jù)進(jìn)行共享,當(dāng)數(shù)據(jù)存儲于云端時,數(shù)據(jù)脫離了用戶的控制,其隱私性都是亟待解決的問題。雖然云端會忠實執(zhí)行用戶操作,但云端仍然可能出于商業(yè)利益窺視用戶內(nèi)容。因此,用戶存儲在云端的數(shù)據(jù)需要以加密形式存在。此外,當(dāng)用戶需要和其他聯(lián)系人共享數(shù)據(jù)時,如何保護(hù)用戶數(shù)據(jù)機(jī)密性和隱私性,保證數(shù)據(jù)只能由授權(quán)用戶獲取,非授權(quán)用戶(包括授權(quán)用戶以外的用戶以及云存儲服務(wù)提供商)不能獲取數(shù)據(jù),也是需要考慮的問題。
[0003]當(dāng)前針對云環(huán)境下數(shù)據(jù)備份及共享時的數(shù)據(jù)隱私保護(hù)問題,已經(jīng)有了一些研究。最基本的思路是采用密文訪問控制方法,數(shù)據(jù)擁有者將數(shù)據(jù)加密后存儲在云中,通過控制用戶對密鑰的獲取權(quán)限來實現(xiàn)訪問控制目標(biāo)。但由于云存儲環(huán)境下數(shù)據(jù)量和用戶量都十分巨大,如何以較小的代價讓授權(quán)用戶獲取密鑰,是實現(xiàn)云環(huán)境下數(shù)據(jù)密文訪問控制的重點(diǎn)研究內(nèi)容。針對這一研究內(nèi)容,Goyal等人提出了密鑰策略的屬性加密方案。Bethencourt等人針對Goyal的密鑰策略的屬性加密方案,提出了更接近于現(xiàn)實訪問控制系統(tǒng)的密文策略的屬性加密方案CP-ABE。CP-ABE將用戶私鑰關(guān)聯(lián)到一個屬性集,而將密文關(guān)聯(lián)到一棵訪問結(jié)構(gòu)樹,若屬性集滿足該訪問結(jié)構(gòu)樹,則用戶具有解密該數(shù)據(jù)的能力。在以CP-ABE算法為基礎(chǔ)的密文訪問控制方案中,用戶的權(quán)限撤銷是一個很棘手的問題。Liang Xiaohui等人提出代理重加密方案,通過代理將密文從一種訪問結(jié)構(gòu)樹加密變?yōu)榱硪环N訪問結(jié)構(gòu)樹加密,以達(dá)到權(quán)限撤銷的目的。但該方案的撤銷單位只能是屬性集,即具有相同身份特征的一類用戶,而不能單獨(dú)撤銷一個用戶的屬性。Hong Cheng等利用CP-ABE算法和公鑰密碼系統(tǒng)來實現(xiàn)密文訪問控制,但在該方案中仍然要承受巨大的重加密代價。Pirretti M等提出在應(yīng)用CP-ABE算法時,擴(kuò)展一個用戶屬性,為該屬性貼上一個終止時間。但是該方案的缺陷是,用戶需要周期性地向認(rèn)證中心申請私鑰的再次使用;而且在終止時間之前,用戶的權(quán)限是無法撤銷的。
[0004]綜上所述,當(dāng)前關(guān)于云存儲中數(shù)據(jù)訪問控制的研究,大多是應(yīng)用于非移動端,對于只有有限電量和有限計算能力的移動端而言太過復(fù)雜;此外,當(dāng)前關(guān)于云存儲的數(shù)據(jù)訪問控制的研究中,在用戶權(quán)限進(jìn)行變更時會帶來較大開銷,不利于在移動端的實現(xiàn)。總之,目前并沒有一種能在移動云存儲中可行的數(shù)據(jù)安全共享方案。
【發(fā)明內(nèi)容】
[0005]針對現(xiàn)有技術(shù)的以上缺陷或改進(jìn)需求,本發(fā)明提供了一種移動云存儲輕量級數(shù)據(jù)安全共享方法,其能夠為能力受限的移動端提供一種數(shù)據(jù)密文訪問控制方案,實現(xiàn)移動云端數(shù)據(jù)安全共享。
[0006]本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是,提供一種移動云存儲輕量級數(shù)據(jù)安全共享方法,所述方法包括以下步驟:
[0007]S1、注冊:數(shù)據(jù)擁有者在可信第三方處注冊,可信第三方根據(jù)屬性密碼機(jī)制生成公鑰及主密鑰,將公鑰發(fā)送給數(shù)據(jù)擁有者加密對稱密鑰,可信第三方保留主密鑰為用戶生成屬性密鑰;
[0008]S2、初始化:數(shù)據(jù)擁有者根據(jù)自身需求制定屬性集并為用戶指定屬性將聯(lián)系人、聯(lián)系人屬性信息發(fā)送至可信第三方及云端,生成聯(lián)系人屬性信息表;
[0009]S3、授權(quán):用戶向可信第三方發(fā)送授權(quán)申請,可信第三方使用屬性密碼機(jī)制對用戶進(jìn)行授權(quán);
[0010]S4、數(shù)據(jù)共享:數(shù)據(jù)擁有者選擇需要共享的文件,根據(jù)屬性集中的屬性制定訪問控制策略,使用對稱密碼機(jī)制對文件進(jìn)行加密處理生成文件密文,通過代理加密服務(wù)器使用屬性加密機(jī)制對對稱密鑰進(jìn)行加密處理生成對稱密鑰密文,并將訪問控制策略、文件密文及對稱密鑰密文發(fā)送至云端;
[0011 ] S5、文件訪問:用戶向云端發(fā)送文件訪問請求,云端根據(jù)訪問控制策略對其做訪問控制,并將文件包發(fā)送給合法用戶,用戶通過代理解密服務(wù)器根據(jù)屬性密碼機(jī)制解密對稱密鑰密文。
[0012]在本發(fā)明所述的移動云存儲輕量級數(shù)據(jù)安全共享方法中,所述方法還包括以下步驟:
[0013]S6、權(quán)限變更:當(dāng)需要進(jìn)行權(quán)限變更時,數(shù)據(jù)擁有者根據(jù)實際需要決定為用戶增加或刪除屬性,并據(jù)此生成權(quán)限變更聲明,發(fā)送至可信第三方及云端,可信第三方或云端在聯(lián)系人屬性信息表中更新聯(lián)系人屬性信息;當(dāng)權(quán)限變更是為用戶刪除屬性時,數(shù)據(jù)擁有者為所述屬性涉及到的文件重新執(zhí)行共享操作。
[0014]在本發(fā)明所述的移動云存儲輕量級數(shù)據(jù)安全共享方法中,所述步驟SI包括:
[0015]S11、數(shù)據(jù)擁有者向可信第三方發(fā)送注冊請求,注冊請求中包括數(shù)據(jù)擁有者的身份信息;
[0016]S12、可信第三方接收來自數(shù)據(jù)擁有者的注冊請求,并根據(jù)屬性密碼機(jī)制為數(shù)據(jù)擁有者生成公鑰及主密鑰,且不同數(shù)據(jù)擁有者的公鑰及主密鑰互不相同;
[0017]S13、可信第三方將生成的公鑰發(fā)送給數(shù)據(jù)擁有者用于加密對稱密鑰,保留主密鑰用于為用戶生成屬性密鑰;
[0018]S14、數(shù)據(jù)擁有者接收并保存公鑰。
[0019]在本發(fā)明所述的移動云存儲輕量級數(shù)據(jù)安全共享方法中,所述步驟S2包括:
[0020]S21、數(shù)據(jù)擁有者根據(jù)自身需求制定屬性集;
[0021]S22、數(shù)據(jù)擁有者將屬性集發(fā)送至可信第三方及云端;
[0022]S23、數(shù)據(jù)擁有者為用戶指定屬性,并將聯(lián)系人、聯(lián)系人屬性信息送至可信第三方和云端;
[0023]S24、可信第三方及云存儲服務(wù)器生成聯(lián)系人屬性信息表,存儲聯(lián)系人的屬性信
肩、O
[0024]在本發(fā)明所述的移動云存儲輕量級數(shù)據(jù)安全共享方法中,所述步驟S3包括:
[0025]S31、判斷登陸進(jìn)入系統(tǒng)的用戶是否是首次登陸用戶,如果所述用戶是首次登陸用戶,執(zhí)行步驟S32 ;如果所述用戶不是首次登陸用戶,則執(zhí)行步驟S36 ;
[0026]S32、用戶向可信第三方發(fā)送授權(quán)申請;
[0027]S33、可信第三方接收用戶授權(quán)申請,將所述主密鑰、聯(lián)系人屬性作為輸入,采用屬性密碼機(jī)制為用戶生成屬性密鑰;
[0028]S34、可信第三方將所述屬性密鑰發(fā)送給用戶;
[0029]S35、用戶接收并保存屬性密鑰,授權(quán)階段結(jié)束;
[0030]S36、用戶向可信第三方發(fā)送權(quán)限更新申請;
[0031]S37、可信第三方根據(jù)權(quán)限更新申請檢查所述用戶是否有需要更新的屬性,如果有需要更新的屬性,執(zhí)行步驟S38 ;如果無需要更新的屬性,執(zhí)行步驟S310 ;
[0032]S38、可信第三方將用戶需要更新的屬性密鑰發(fā)送至所述用戶;
[0033]S39、用戶接收并保存屬性密鑰及加密后的屬性,授權(quán)階段結(jié)束;
[0034]S310、可信第三方發(fā)送消息給用戶,通知用戶沒有需要更新的屬性。
[0035]在本發(fā)明所述的移動云存儲輕量級數(shù)據(jù)安全共享方法中,所述步驟S4包括:
[0036]S41、數(shù)據(jù)擁有者選擇需要共享的文件,制定其訪問控制策略;
[0037]S42、數(shù)據(jù)擁有者使用對稱密碼機(jī)制加密文件,生成文件密文;
[0038]S43、數(shù)據(jù)擁有者選定一個隨機(jī)參數(shù),生成加密請求發(fā)送給代理加密服務(wù)器,所述加密請求包括隨機(jī)參數(shù)和訪問控制策略;
[0039]S44、代理加密服務(wù)器接收加密請求,根據(jù)屬性密碼機(jī)制處理訪問控制策略中的各個屬性,生成中間結(jié)果,并將其發(fā)送給數(shù)據(jù)擁有者;
[0040]S45、數(shù)據(jù)擁有者接收中間結(jié)果,選定所述文件的版本屬性,使用屬性密碼機(jī)制處理版本屬性,并利用中間結(jié)果及處理后的版本屬性與對稱密鑰進(jìn)行運(yùn)算,生成對稱密鑰密文;
[0041]S46、數(shù)據(jù)擁有者將所述文件密文、對稱密鑰密文及文件訪問控制策略作為一個密文數(shù)據(jù)包,整體上傳至云端。
[0042]在本發(fā)明所述的移動云存儲輕量級數(shù)據(jù)安全共享方法中,所述步驟S5包括:
[0043]S51、用戶向云端發(fā)送文件訪問請求;
[0044]S52、云端根據(jù)聯(lián)系人屬性信息表中的信息以及文件的訪問控制策略對用戶進(jìn)行初步訪問控制,以判斷用戶是否可以訪問文件,如果用戶不可以訪問文件,執(zhí)行步驟S53 ;如果用戶可以訪問文件,執(zhí)行步驟S54 ;
[0045]S53、云端向用戶發(fā)送拒絕訪問應(yīng)答,文件訪問階段結(jié)束;
[0046]S54、云端將文件密文及相應(yīng)的對稱密鑰密文發(fā)送給用戶;
[0047]S55、用戶接收文件密文及對稱密鑰密文,選擇隨機(jī)參數(shù)對對稱密鑰密文進(jìn)行處理后,生成解密請求發(fā)送至代理解密服務(wù)器,解密請求中包含處理后的對稱密鑰密文;
[0048]S56、代理解密服務(wù)器接受處理后的對稱密鑰密文,根據(jù)屬性密碼機(jī)制解密生成中間結(jié)果,將其發(fā)送至用戶;
[0049]S57、用戶使用所述隨機(jī)參數(shù)和中間結(jié)果對對稱密鑰密文進(jìn)行解密得到對稱密鑰,并使用對稱密鑰對文件密文進(jìn)行解密得到文件塊明文。
[0050]在本發(fā)明所述的移動云存儲輕量級數(shù)據(jù)安全共享方法中,所述步驟S6包括:
[0051]S61、數(shù)據(jù)擁有者生成權(quán)限變更聲明,將其發(fā)送至可信第三方及云端;
[0052]S62、可信第三方及云端判斷權(quán)限變更聲明是為用戶增加屬性還是刪除屬性;如果是為用戶增加屬性,執(zhí)行步驟S63 ;如果是為用戶刪除屬性,執(zhí)行步驟S64 ;
[0053]S63、可信第三方及云端在聯(lián)系人屬性信息表中為用戶添加屬性信息,權(quán)限變更階段結(jié)束;
[0054]S64、可信第三方及云端在聯(lián)系人屬性信息表中刪除用戶相關(guān)屬性;
[0055]S65、數(shù)據(jù)擁有者對于被撤銷屬性相關(guān)文件重新執(zhí)行共享操作,權(quán)限變更階段結(jié)束。
[0056]因此,本發(fā)明可以獲得以下的有益效果:通過引入代理加密服務(wù)器和代理解密服務(wù)器,使得涉及到屬性密碼機(jī)制的大量運(yùn)算都不必在移動端進(jìn)行,減小了移動端的開銷,有利于在能力有限的移動端實現(xiàn)基于屬性的訪問控制;通過引入版本屬性,在將加密工作部分分配給代理加密服務(wù)器,在減小移動端開銷的同時,保證了數(shù)據(jù)安全。通過實施本發(fā)明的技術(shù)方案,可為電量和計算能力有限的移動端提供一種數(shù)據(jù)密文訪問控制方案,實現(xiàn)移動云端數(shù)據(jù)安全共享。
【專利附圖】
【附圖說明】
[0057]下面將結(jié)合附圖及實施例對本發(fā)明作進(jìn)一步說明,附圖中:
[0058]圖1為本發(fā)明移動云存儲輕量級數(shù)據(jù)安全共享方法的整體流程圖;
[0059]圖2為本發(fā)明方法中注冊階段的細(xì)化流程圖;
[0060]圖3為本發(fā)明方法中初始化階段的細(xì)化流程圖;
[0061]圖4為本發(fā)明方法中授權(quán)階段的細(xì)化流程圖;
[0062]圖5為本發(fā)明方法中數(shù)據(jù)共享階段的細(xì)化流程圖;
[0063]圖6為本發(fā)明方法中數(shù)據(jù)共享階段中上傳至云端的密文數(shù)據(jù)包的細(xì)化分解圖;
[0064]圖7為本發(fā)明方法中文件訪問階段的細(xì)化流程圖;
[0065]圖8為本發(fā)明方法中權(quán)限變更階段的細(xì)化流程圖。
【具體實施方式】
[0066]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖及實施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實施例僅用以解釋本發(fā)明,并不用于限定本發(fā)明。此外,下面所描述的本發(fā)明各個實施方式中所涉及到的技術(shù)特征只要彼此之間未構(gòu)成沖突就可以相互組合。
[0067]以下首先就本發(fā)明的技術(shù)術(shù)語進(jìn)行解釋和說明:
[0068]數(shù)據(jù)擁有者:指移動云的使用者,需要將移動設(shè)備中的數(shù)據(jù)存儲在云中,將數(shù)據(jù)分享給他人,并制定數(shù)據(jù)的訪問控制策略以決定數(shù)據(jù)的分享對象;
[0069]可信第三方:在屬性密碼機(jī)制中負(fù)責(zé)屬性密鑰的產(chǎn)生和分發(fā),在實際系統(tǒng)中,可信第三方可由數(shù)據(jù)擁有者兼任;
[0070]代理加密服務(wù)器:在數(shù)據(jù)加密過程中為數(shù)據(jù)擁有者完成部分加密工作;
[0071]代理解密服務(wù)器:在數(shù)據(jù)解密過程中為用戶完成部分解密工作;
[0072]用戶或聯(lián)系人:讀取數(shù)據(jù)擁有者發(fā)布的數(shù)據(jù);
[0073]云端或云存儲服務(wù)器:存儲數(shù)據(jù)擁有者的文件,會忠實執(zhí)行數(shù)據(jù)擁有者和可信第三方發(fā)出的操作請求,但在條件允許時會偷窺文件內(nèi)容;
[0074]文件:數(shù)據(jù)擁有者需要上傳至云端的數(shù)據(jù);
[0075]屬性:數(shù)據(jù)擁有者為用戶指定的特征,一個用戶可能有多個屬性,每個數(shù)據(jù)擁有者都擁有自己的屬性集合;屬性分為訪問控制策略屬性和版本屬性,訪問控制策略屬性用于制定訪問控制策略,版本屬性為本發(fā)明的技術(shù)方案引入的用于減小系統(tǒng)開銷的特殊屬性;
[0076]訪問控制策略:數(shù)據(jù)擁有者制定的訪問規(guī)則,限定了數(shù)據(jù)可以由具有什么樣屬性特征的人訪問;數(shù)據(jù)擁有者在云端存儲文件密文時,會將訪問控制策略一并存儲,云端可以通過訪問控制策略對需要讀取文件的用戶做初步訪問控制;
[0077]and:用于訪問控制策略中,表示屬性之間的“與”關(guān)系;
[0078]or:用于訪問控制策略中,表示屬性之間的“或”關(guān)系;
[0079]對稱密碼機(jī)制:是一種傳統(tǒng)密碼機(jī)制,加密和解密采用相同密鑰,效率較高,在本發(fā)明中采用該機(jī)制加密文件;
[0080]對稱密鑰:對稱密碼機(jī)制中隨機(jī)生成的二進(jìn)制數(shù)據(jù);
[0081]屬性密碼機(jī)制:加密過程中在密文中嵌入訪問控制策略,密鑰對應(yīng)一個屬性集合,當(dāng)且僅當(dāng)密鑰對應(yīng)的屬性集合滿足訪問控制策略中所需要的屬性集合才能成功解密密文;
[0082]公鑰:屬性密碼機(jī)制中由可信第三方生成的二進(jìn)制串,由可信第三方授予數(shù)據(jù)擁有者,數(shù)據(jù)擁有者使用公鑰加密對稱密鑰;
[0083]主密鑰:屬性密碼機(jī)制中由可信第三方生成的二進(jìn)制串,僅由可信第三方持有,可信第三方利用主密鑰為用戶生成屬性密鑰;
[0084]屬性密鑰:由可信第三方為用戶生成,當(dāng)且僅當(dāng)用戶的屬性密鑰對應(yīng)的屬性集合滿足密文通過屬性密碼機(jī)制內(nèi)嵌的訪問控制策略時才能解密密文。
[0085]以下結(jié)合實施例和附圖對本發(fā)明做進(jìn)一步說明。
[0086]圖1為本發(fā)明一個實施例的移動云存儲輕量級數(shù)據(jù)安全共享方法的整體流程圖。如圖1所示,本發(fā)明移動云存儲輕量級數(shù)據(jù)安全共享方法是應(yīng)用在移動云環(huán)境下的數(shù)據(jù)共享情境中,該情境包括數(shù)據(jù)擁有者、可信第三方、代理加密服務(wù)器、代理解密服務(wù)器以及云端。在其它【具體實施方式】中,可信第三方也可以同時由數(shù)據(jù)擁有者擔(dān)任。
[0087]在本實施例中,數(shù)據(jù)擁有者為智能手機(jī)用戶X,他存儲在手機(jī)中的數(shù)據(jù)包括通信錄、短信、日程安排、備忘記錄、多媒體資料(照片、錄音或語音消息、錄像等)?,F(xiàn)數(shù)據(jù)擁有者需要傳至云端共享的文件為某次探險出游照片M,M的訪問控制策略為:訪問者的屬性特征必須是((朋友a(bǔ)nd關(guān)系密切程度>land湖北)or (家人and同輩))?,F(xiàn)X有3個聯(lián)系人,分別為A,B,C ;A的屬性集合為{朋友,湖北,關(guān)系密切程度=3},B的屬性集合為{家人,湖北},C的屬性集合為{家人,同輩}。
[0088]本發(fā)明移動云存儲輕量級數(shù)據(jù)安全共享方法包括以下步驟:[0089]步驟S1:注冊階段;數(shù)據(jù)擁有者在可信第三方處注冊,可信第三方為數(shù)據(jù)擁有者根據(jù)屬性密碼機(jī)制生成公鑰PK及主密鑰MK,將公鑰PK發(fā)送給數(shù)據(jù)擁有者,并將主密鑰MK自己保留;如圖2所示,步驟SI具體包括以下子步驟:
[0090]S11、數(shù)據(jù)擁有者向可信第三方發(fā)送注冊請求,注冊請求中包括數(shù)據(jù)擁有者的身份信息;
[0091]S12、可信第三方接收來自數(shù)據(jù)擁有者的注冊請求,并根據(jù)屬性密碼機(jī)制為數(shù)據(jù)擁有者生成公鑰PK及主密鑰MK,且不同數(shù)據(jù)擁有者的公鑰及主密鑰互不相同;
[0092]S13、可信第三方將生成的公鑰PK發(fā)送給數(shù)據(jù)擁有者,數(shù)據(jù)擁有者使用公鑰加密對稱密鑰;可信第三方保留主密鑰MK,利用主密鑰為用戶生成屬性密鑰;
[0093]S14、數(shù)據(jù)擁有者接收并保存公鑰PK。
[0094]步驟S2:初始化階段;數(shù)據(jù)擁有者根據(jù)自身需求制定屬性集,該屬性集中的屬性將用于訪問控制策略的制定及為用戶指定屬性;如圖3所示,步驟S2具體包括以下子步驟:
[0095]S21、數(shù)據(jù)擁有者根據(jù)自身需求制定屬性集;
[0096]在本實施例中,數(shù)據(jù)擁有者X制定自己的屬性集為{親人,同事,同學(xué),好友,合作伙伴,關(guān)系密切程度,湖北,北京,上海,羽毛球協(xié)會,攝影協(xié)會};
[0097]S22、數(shù)據(jù)擁有者將屬性集發(fā)送至可信第三方及云端;
[0098]S23、數(shù)據(jù)擁有者為聯(lián)系人(用戶)指定屬性,并將聯(lián)系人、屬性信息發(fā)送至可信第三方和云存儲服務(wù)器;
[0099]在本實施例中,數(shù)據(jù)擁有者為聯(lián)系人A指定屬性集合為{朋友,湖北,關(guān)系密切程度=3},B的屬性集合為{家人,湖北},C的屬性集合為{家人,同輩},并將聯(lián)系人屬性信息發(fā)送至可信第三方、云存儲服務(wù)器;
[0100]S24、可信第三方及云存儲服務(wù)器生成聯(lián)系人屬性信息表,存儲聯(lián)系人的屬性信息;
[0101]在本實施例中,可信第三方及云存儲服務(wù)器為數(shù)據(jù)擁有者X生成聯(lián)系人屬性信息表,其中存儲了聯(lián)系人A、B、C的屬性信息;
[0102]步驟S3:授權(quán)階段;用戶向可信第三方發(fā)送授權(quán)申請,可信第三方使用屬性密碼機(jī)制對用戶進(jìn)行授權(quán);如圖4所示,步驟S3具體包括以下子步驟:
[0103]S31、判斷登錄進(jìn)入系統(tǒng)的用戶是否是首次登錄用戶,如果該用戶是首次登錄用戶,轉(zhuǎn)至步驟S32 ;如果該用戶不是首次登錄用戶,轉(zhuǎn)步驟S36 ;
[0104]在本實施例中,用戶A、B、C在登錄系統(tǒng)時,由于是首次登錄用戶,執(zhí)行步驟S32,以后用戶A、B、C再次登錄系統(tǒng)時,則轉(zhuǎn)至步驟S36 ;
[0105]S32、用戶向可信第三方發(fā)送授權(quán)申請;
[0106]在本實施例中,由用戶A、B、C向可信第三方發(fā)送授權(quán)申請;
[0107]S33、可信第三方接收用戶授權(quán)申請,將步驟S12中生成的主密鑰、步驟S23中存儲的用戶的屬性作為輸入,采用屬性密碼機(jī)制為用戶生成屬性密鑰;
[0108]在本實施例中,可信第三方接收A、B、C的授權(quán)申請,將步驟S12中生成的主密鑰MK、步驟S23中存儲的用戶的屬性作為輸入,生成屬性密鑰;由于A、B、C擁有的屬性集不一樣,A、B、C獲得的屬性密鑰也不一樣;[0109]S34、可信第三方將步驟S33中生成的屬性密鑰發(fā)送給用戶;
[0110]S35、用戶接收并保存屬性密鑰,授權(quán)階段結(jié)束;
[0111]S36、用戶向可信第三方發(fā)送權(quán)限更新申請;
[0112]在本實施例中,用戶A、B、C向可信第三方發(fā)送權(quán)限更新申請,權(quán)限更新申請中包括用戶的屬性信息;
[0113]S37、可信第三方根據(jù)權(quán)限更新申請檢查該用戶是否有需要更新的屬性,如果有需要更新的屬性,轉(zhuǎn)步驟S38,否則轉(zhuǎn)步驟S310 ;
[0114]在本實施例中,可信第三方比較用戶A、B、C的屬性和聯(lián)系人屬性信息表中的屬性信息是否沖突,若有沖突,則需要更新,轉(zhuǎn)至執(zhí)行步驟S38,否則轉(zhuǎn)步驟S310 ;
[0115]S38、可信第三方將用戶需要更新的屬性密鑰發(fā)送至該用戶;
[0116]S39、用戶接收并保存屬性密鑰及加密后的屬性,授權(quán)階段結(jié)束;
[0117]S310、可信第三方發(fā)送消息給用戶,通知用戶沒有需要更新的屬性。
[0118]步驟S4:數(shù)據(jù)共享;數(shù)據(jù)擁有者選擇需要共享的文件,根據(jù)屬性集中的屬性制定訪問控制策略,使用對稱密碼機(jī)制對文件進(jìn)行加密處理生成文件密文,在代理解密服務(wù)器的幫助下使用屬性加密機(jī)制對對稱密鑰進(jìn)行加密處理生成對稱密文,并將訪問控制策略、文件密文及對稱密鑰密文發(fā)送到云端;如圖5所示,本步驟具體包括以下子步驟:
[0119]S41、數(shù)據(jù)擁有者選擇需要共享的文件,指定其訪問控制策略;
[0120]在本實施例中,數(shù)據(jù)擁有者選擇文件M,指定其訪問控制策略為((朋友a(bǔ)nd關(guān)系密切程度>land湖北)or (家人and同輩));
[0121]S42、數(shù)據(jù)擁有者使用對稱密碼機(jī)制加密文件,生成文件密文;
[0122]在本實施例中,數(shù)據(jù)擁有者選擇對稱密碼機(jī)制加密文件M,對稱密鑰為k,得到文件密文C ;
[0123]S43、數(shù)據(jù)擁有者選定一個隨機(jī)參數(shù),生成加密請求發(fā)送給代理加密服務(wù)器,該加密請求中包括隨機(jī)參數(shù)及訪問控制策略;
[0124]在本實施例中,數(shù)據(jù)擁有者選擇一個隨機(jī)參數(shù)S,生成加密請求,加密請求中包含隨機(jī)參數(shù)及訪問控制策略:Is,((朋友a(bǔ)nd關(guān)系密切程度>land湖北)oK家人and同輩))};
[0125]S44、代理加密服務(wù)器接受加密請求,根據(jù)屬性密碼機(jī)制處理訪問控制策略中的各個屬性,生成中間結(jié)果,并將其發(fā)送給數(shù)據(jù)擁有者;
[0126]在本實施例中,代理加密服務(wù)器接受加密請求,對訪問控制策略中的各個屬性使用屬性密碼機(jī)制進(jìn)行處理,生成中間結(jié)果A ;
[0127]在步驟S44中,引入代理加密服務(wù)器對訪問控制策略中的屬性進(jìn)行處理,極大減小了移動端的開銷,有利于密文訪問在移動端的實現(xiàn);
[0128]S45、數(shù)據(jù)擁有者接收中間結(jié)果,選定所述文件的版本屬性,使用屬性密碼機(jī)制處理版本屬性,并利用中間結(jié)果及處理后的版本屬性與對稱密鑰進(jìn)行運(yùn)算,生成對稱密鑰密文;
[0129]在本實施例中,數(shù)據(jù)擁有者接收中間結(jié)果A,選定文件M的版本屬性Mver,使用屬性密碼機(jī)制處理版本屬性Mver,生成處理后的版本屬性Mver’,然后利用中間結(jié)果A及處理后版本屬性與對稱密鑰進(jìn)行k計算,得到一個新的值k’,最終的對稱密鑰密文為{k,, A, Mver};[0130]在步驟S45中,為文件增加版本屬性,使得將部分加密工作轉(zhuǎn)移至代理加密服務(wù)器的同時也能保護(hù)對稱密鑰不被泄露,從而保護(hù)了文件;
[0131]S46、數(shù)據(jù)擁有者將步驟S42中生成的文件密文、步驟S45中生成的對稱密鑰密文及文件訪問控制策略作為一個密文數(shù)據(jù)包,整體上傳至云端,數(shù)據(jù)包內(nèi)容如圖6所示;
[0132]在本實施例中,數(shù)據(jù)擁有者上傳至云端的密文數(shù)據(jù)包內(nèi)容為:
[0133]{C, {k,,A, Mver},((朋友a(bǔ)nd關(guān)系密切程度>land湖北)or (家人and同輩))};
[0134]步驟S5:文件訪問階段;用戶向云端發(fā)送文件訪問請求,云端根據(jù)訪問控制策略對其做初步訪問控制,并將文件包發(fā)送給合法用戶,用戶在代理解密服務(wù)器的協(xié)助下根據(jù)屬性密碼機(jī)制解密對稱密鑰密文,以進(jìn)一步解密文件;如圖7所示,本步驟具體包括以下子步驟:
[0135]S51、用戶向云端發(fā)送文件訪問請求;
[0136]在本實施例中,用戶A、B、C向云端發(fā)送文件訪問請求,要求訪問文件M ;
[0137]S52、云端根據(jù)聯(lián)系人屬性信息表中的信息以及文件的訪問控制策略對用戶進(jìn)行初步訪問控制,以判斷用戶是否可以訪問文件;如果用戶不可以訪問文件,轉(zhuǎn)步驟S53 ;如果用戶可以訪問文件,轉(zhuǎn)步驟S54 ;
[0138]在本實施例中,云端存儲的聯(lián)系人信息表中的屬性信息為:
[0139]A:{朋友,湖北,關(guān)系密切程度=3};
[0140]B:{家人,湖北};
[0141]C:{家人,同輩};
[0142]文件的訪問控制策略為:((朋友a(bǔ)nd關(guān)系密切程度>land湖北)or (家人and同輩));
[0143]因此,用戶B不能訪問文件,轉(zhuǎn)步驟S53 ;用戶A、C可以訪問文件,轉(zhuǎn)步驟S54 ;
[0144]S53、云端向用戶發(fā)送拒絕訪問應(yīng)答;
[0145]在本實施例中,由云端向用戶B發(fā)送拒絕訪問應(yīng)答;
[0146]S54、云端將文件密文及相應(yīng)的對稱密鑰密文發(fā)送給用戶;
[0147]在本實施例中,云端將文件密文及相應(yīng)的對稱密鑰密文{C,{k’,A, Mver}}發(fā)送給用戶A、C;
[0148]S55、用戶接收文件密文及對稱密鑰密文,選擇隨機(jī)參數(shù)對對稱密鑰密文進(jìn)行處理后,生成解密請求發(fā)送至代理解密服務(wù)器,解密請求中包含處理后的對稱密鑰密文;
[0149]在本實施例中,用戶A、C接受文件密文及相應(yīng)的對稱密鑰密文{C,{k’,A,Mver}},選擇隨機(jī)參數(shù)t對對稱密鑰密文進(jìn)行處理,生成解密請求發(fā)送至代理解密服務(wù)器,解密請求中包含處理后的對稱密鑰密文Kk’ ) \ A, Mver}};
[0150]S56、代理解密服務(wù)器接受處理后的對稱密鑰密文,根據(jù)屬性密碼機(jī)制解密生成中間結(jié)果,并將其發(fā)送至用戶;
[0151]在本實施例中,代理解密服務(wù)器接收處理后的屬性密鑰密文Kk’ A, Mver}, C},根據(jù)屬性密碼機(jī)制解密生成中間結(jié)果k\將P發(fā)送至用戶;
[0152]在步驟S56中,引入代理解密服務(wù)器協(xié)助進(jìn)行對稱密鑰的解密,使得用戶不必承擔(dān)屬性密碼機(jī)制解密帶來的開銷;
[0153]S57、用戶使用步驟S55中的隨機(jī)參數(shù)及步驟S56中的中間結(jié)果對對稱密鑰密文進(jìn)行解密得到對稱密鑰,并使用對稱密鑰對文件密文進(jìn)行解密得到文件塊明文;
[0154]在本實施例中,用戶使用S55中的隨機(jī)參數(shù)t及步驟S56中的中間結(jié)果k\得到對稱密鑰k,然后使用對稱密鑰k解密文件密文C得到文件明文M ;
[0155]步驟S6:權(quán)限變更階段;數(shù)據(jù)擁有者根據(jù)實際需要決定為用戶增加或刪除屬性,并據(jù)此生成權(quán)限變更聲明,發(fā)送至可信第三方及云端,可信第三方或云端在聯(lián)系人屬性信息表中更新用戶屬性信息;當(dāng)權(quán)限變更是為用戶刪除屬性時,數(shù)據(jù)擁有者需要為該屬性涉及到的文件重新執(zhí)行共享操作;如圖8所示,本步驟具體包括以下子步驟:
[0156]S61、數(shù)據(jù)擁有者生成權(quán)限變更聲明,將其發(fā)送至可信第三方及云端;
[0157]S62、可信第三方及云端判斷權(quán)限變更聲明是為用戶增加屬性還是刪除屬性;如果是為用戶增加屬性,轉(zhuǎn)步驟S63 ;如果是為用戶刪除屬性,轉(zhuǎn)步驟S64 ;
[0158]S63、可信第三方及云端在聯(lián)系人信息表中為用戶添加屬性信息;該階段結(jié)束;
[0159]S64、可信第三方及云端在聯(lián)系人信息表中刪除用戶相關(guān)屬性;
[0160]S65、數(shù)據(jù)擁有者對于被撤銷屬性相關(guān)文件重新執(zhí)行共享操作,如步驟S4中所述;權(quán)限變更階段結(jié)束。
[0161]本領(lǐng)域的技術(shù)人員容易理解,以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種移動云存儲輕量級數(shù)據(jù)安全共享方法,其特征在于,所述方法包括以下步驟: 51、注冊:數(shù)據(jù)擁有者在可信第三方處注冊,可信第三方根據(jù)屬性密碼機(jī)制生成公鑰及主密鑰,將公鑰發(fā)送給數(shù)據(jù)擁有者加密對稱密鑰,可信第三方保留主密鑰為用戶生成屬性密鑰; 52、初始化:數(shù)據(jù)擁有者根據(jù)自身需求制定屬性集并為用戶指定屬性將聯(lián)系人、聯(lián)系人屬性信息發(fā)送至可信第三方及云端,生成聯(lián)系人屬性信息表; 53、授權(quán):用戶向可信第三方發(fā)送授權(quán)申請,可信第三方使用屬性密碼機(jī)制對用戶進(jìn)行授權(quán); 54、數(shù)據(jù)共享:數(shù)據(jù)擁有者選擇需要共享的文件,根據(jù)屬性集中的屬性制定訪問控制策略,使用對稱密碼機(jī)制對文件進(jìn)行加密處理生成文件密文,通過代理加密服務(wù)器使用屬性加密機(jī)制對對稱密鑰進(jìn)行加密處理生成對稱密鑰密文,并將訪問控制策略、文件密文及對稱密鑰密文發(fā)送至云端; 55、文件訪問:用戶向云端發(fā)送文件訪問請求,云端根據(jù)訪問控制策略對其做訪問控制,并將文件包發(fā)送給合法用戶,用戶通過代理解密服務(wù)器根據(jù)屬性密碼機(jī)制解密對稱密鑰密文。
2.如權(quán)利要求1所述的移動云存儲輕量級數(shù)據(jù)安全共享方法,其特征在于,所述方法還包括以下步驟: 56、權(quán)限變更:當(dāng)需要進(jìn)行權(quán)限變更時,數(shù)據(jù)擁有者根據(jù)實際需要決定為用戶增加或刪除屬性,并據(jù)此生成權(quán)限變更聲明,發(fā)送至可信第三方及云端,可信第三方或云端在聯(lián)系人屬性信息表中更新聯(lián)系人屬性信息;當(dāng)權(quán)限變更是為用戶刪除屬性時,數(shù)據(jù)擁有者為所述屬性涉及到的文件重新執(zhí)行共享操作。
3.如權(quán)利要求1或2所述的移動云存儲輕量級數(shù)據(jù)安全共享方法,其特征在于,所述步驟SI包括: 511、數(shù)據(jù)擁有者向可信第三方發(fā)送注冊請求,注冊請求中包括數(shù)據(jù)擁有者的身份信息; 512、可信第三方接收來自數(shù)據(jù)擁有者的注冊請求,并根據(jù)屬性密碼機(jī)制為數(shù)據(jù)擁有者生成公鑰及主密鑰,且不同數(shù)據(jù)擁有者的公鑰及主密鑰互不相同; 513、可信第三方將生成的公鑰發(fā)送給數(shù)據(jù)擁有者用于加密對稱密鑰,保留主密鑰用于為用戶生成屬性密鑰; 514、數(shù)據(jù)擁有者接收并保存公鑰。
4.如權(quán)利要求3所述的移動云存儲輕量級數(shù)據(jù)安全共享方法,其特征在于,所述步驟S2包括: 521、數(shù)據(jù)擁有者根據(jù)自身需求制定屬性集; 522、數(shù)據(jù)擁有者將屬性集發(fā)送至可信第三方及云端; 523、數(shù)據(jù)擁有者為用戶指定屬性,并將聯(lián)系人、聯(lián)系人屬性信息送至可信第三方和云端; 524、可信第三方及云存儲服務(wù)器生成聯(lián)系人屬性信息表,存儲聯(lián)系人的屬性信息。
5.如權(quán)利要求4所述的移動云存儲輕量級數(shù)據(jù)安全共享方法,其特征在于,所述步驟S3包括:S31、判斷登陸進(jìn)入系統(tǒng)的用戶是否是首次登陸用戶,如果所述用戶是首次登陸用戶,執(zhí)行步驟S32 ;如果所述用戶不是首次登陸用戶,則執(zhí)行步驟S36 ;S32、用戶向可信第三方發(fā)送授權(quán)申請; S33、可信第三方接收用戶授權(quán)申請,將所述主密鑰、聯(lián)系人屬性作為輸入,采用屬性密碼機(jī)制為用戶生成屬性密鑰; S34、可信第三方將所述屬性密鑰發(fā)送給用戶; S35、用戶接收并保存屬性密鑰,授權(quán)階段結(jié)束; S36、用戶向可信第三方發(fā)送權(quán)限更新申請; S37、可信第三方根據(jù)權(quán)限更新申請檢查所述用戶是否有需要更新的屬性,如果有需要更新的屬性,執(zhí)行步驟S38 ;如果無需要更新的屬性,執(zhí)行步驟S310 ; S38、可信第三方將用戶需要更新的屬性密鑰發(fā)送至所述用戶; S39、用戶接收并保存屬性密鑰及加密后的屬性,授權(quán)階段結(jié)束; S310、可信第三方發(fā)送消息給用戶,通知用戶沒有需要更新的屬性。
6.如權(quán)利要求5所述的移動云存儲輕量級數(shù)據(jù)安全共享方法,其特征在于,所述步驟S4包括: S41、數(shù)據(jù)擁有者選擇需要共享的文件,制定其訪問控制策略; S42、數(shù)據(jù)擁有者使用對稱密碼機(jī)制加密文件,生成文件密文; S43、數(shù)據(jù)擁有者選定一個隨機(jī)參數(shù),生成加密請求發(fā)送給代理加密服務(wù)器,所述加密請求包括隨機(jī)參數(shù)和訪問控制策略; S44、代理加密服務(wù)器接收加密請求,根據(jù)屬性密碼機(jī)制處理訪問控制策略中的各個屬性,生成中間結(jié)果,并將其發(fā)送給數(shù)據(jù)擁有者; S45、數(shù)據(jù)擁有者接收中間結(jié)果,選定所述文件的版本屬性,使用屬性密碼機(jī)制處理版本屬性,并利用中間結(jié)果及處理后的版本屬性與對稱密鑰進(jìn)行運(yùn)算,生成對稱密鑰密文; S46、數(shù)據(jù)擁有者將所述文件密文、對稱密鑰密文及文件訪問控制策略作為一個密文數(shù)據(jù)包,整體上傳至云端。
7.如權(quán)利要求6所述的移動云存儲輕量級數(shù)據(jù)安全共享方法,其特征在于,所述步驟S5包括: S51、用戶向云端發(fā)送文件訪問請求; S52、云端根據(jù)聯(lián)系人屬性信息表中的信息以及文件的訪問控制策略對用戶進(jìn)行初步訪問控制,以判斷用戶是否可以訪問文件,如果用戶不可以訪問文件,執(zhí)行步驟S53;如果用戶可以訪問文件,執(zhí)行步驟S54 ; S53、云端向用戶發(fā)送拒絕訪問應(yīng)答,文件訪問階段結(jié)束; S54、云端將文件密文及相應(yīng)的對稱密鑰密文發(fā)送給用戶; S55、用戶接收文件密文及對稱密鑰密文,選擇隨機(jī)參數(shù)對對稱密鑰密文進(jìn)行處理后,生成解密請求發(fā)送至代理解密服務(wù)器,解密請求中包含處理后的對稱密鑰密文; S56、代理解密服務(wù)器接受處理后的對稱密鑰密文,根據(jù)屬性密碼機(jī)制解密生成中間結(jié)果,將其發(fā)送至用戶; S57、用戶使用所述隨機(jī)參數(shù)和中間結(jié)果對對稱密鑰密文進(jìn)行解密得到對稱密鑰,并使用對稱密鑰對文件密文進(jìn)行解密得到文件塊明文。
8.如權(quán)利要求7所述的移動云存儲輕量級數(shù)據(jù)安全共享方法,其特征在于,所述步驟S6包括:` 561、數(shù)據(jù)擁有者生成權(quán)限變更聲明,將其發(fā)送至可信第三方及云端;` `562、可信第三方及云端判斷權(quán)限變更聲明是為用戶增加屬性還是刪除屬性;如果是為用戶增加屬性,執(zhí)行步驟S63 ;如果是為用戶刪除屬性,執(zhí)行步驟S64 ; ` 563、可信第三方及云端在聯(lián)系人屬性信息表中為用戶添加屬性信息,權(quán)限變更階段結(jié)束;` ` 564、可信第三方及云端在聯(lián)系人屬性信息表中刪除用戶相關(guān)屬性; ` 565、數(shù)據(jù)擁有者對于被撤銷屬`性相關(guān)`文件重新執(zhí)行共享操作,權(quán)限變更階段結(jié)束。
【文檔編號】H04L29/08GK103763319SQ201410026787
【公開日】2014年4月30日 申請日期:2014年1月13日 優(yōu)先權(quán)日:2014年1月13日
【發(fā)明者】李瑞軒, 沈成林, 何亨, 辜希武, 李玉華, 韓洪木, 湯俊偉, 葉威 申請人:華中科技大學(xué)