基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法,主要解決現(xiàn)有技術(shù)安全性低和運(yùn)算量大的問(wèn)題。其實(shí)現(xiàn)步驟是:(1)數(shù)據(jù)擁有者對(duì)共享數(shù)據(jù)加密,獲得密文;(2)屬性權(quán)威機(jī)構(gòu)為訪問(wèn)群組用戶(hù)生成兩個(gè)屬性私鑰分別發(fā)送給半可信代理機(jī)構(gòu)和訪問(wèn)群組用戶(hù);(3)當(dāng)訪問(wèn)群組用戶(hù)滿足訪問(wèn)控制結(jié)構(gòu)時(shí),半可信代理機(jī)構(gòu)用第一屬性私鑰將密文轉(zhuǎn)為中間結(jié)果,訪問(wèn)群組用戶(hù)用第二屬性私鑰解密中間結(jié)果,得到共享數(shù)據(jù);(4)利用屬性私鑰分片技術(shù)控制訪問(wèn)群組用戶(hù)獲取非完整屬性密鑰,使數(shù)據(jù)擁有者在執(zhí)行撤銷(xiāo)操作后,無(wú)需重新加密共享數(shù)據(jù)。本發(fā)明能為共享數(shù)據(jù)提供細(xì)粒度訪問(wèn)控制,提高其安全性,可用于云端共享數(shù)據(jù)訪問(wèn)控制下的共享數(shù)據(jù)訪問(wèn)。
【專(zhuān)利說(shuō)明】基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全【技術(shù)領(lǐng)域】,特別涉及一種數(shù)據(jù)訪問(wèn)控制方法,可用于云存儲(chǔ)服務(wù)中,多用戶(hù)訪問(wèn)共享數(shù)據(jù)的場(chǎng)景下,數(shù)據(jù)擁有者定義訪問(wèn)用戶(hù)對(duì)共享數(shù)據(jù)的細(xì)粒度訪問(wèn)控制。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)和云計(jì)算技術(shù)的興起,在分布開(kāi)放的環(huán)境當(dāng)中進(jìn)行數(shù)據(jù)共享的需求與日俱增。云存儲(chǔ)是云計(jì)算體系當(dāng)中重要的基礎(chǔ)服務(wù)設(shè)施,云存儲(chǔ)以高可靠、低成本和便捷性對(duì)存儲(chǔ)服務(wù)實(shí)現(xiàn)了革新。與此同時(shí),云環(huán)境中數(shù)據(jù)安全問(wèn)題也成為云計(jì)算用戶(hù)所擔(dān)心的一個(gè)核心問(wèn)題。
[0003]云計(jì)算用戶(hù)將數(shù)據(jù)存儲(chǔ)在云端,從而失去了對(duì)數(shù)據(jù)的控制,任何對(duì)于數(shù)據(jù)的訪問(wèn)控制都需要完全依賴(lài)云服務(wù)提供商CSP,這是用戶(hù)所擔(dān)心的。因?yàn)镃SP可能為了商業(yè)利益,不遵循或者有意繞過(guò)云存儲(chǔ)平臺(tái)訪問(wèn)控制機(jī)制,獲取用戶(hù)有價(jià)值的信息。
[0004]在這種CSP不完全可信的情況下,為了保護(hù)數(shù)據(jù)的隱私性,引入密文機(jī)制的訪問(wèn)控制是非常有必要的。使用傳統(tǒng)的對(duì)稱(chēng)密鑰機(jī)制和非對(duì)稱(chēng)密鑰機(jī)制實(shí)現(xiàn)訪問(wèn)控制是可行的,但是其訪問(wèn)控制粒度粗,并且授權(quán)缺乏靈活性。因此,如何對(duì)云端用戶(hù)數(shù)據(jù)進(jìn)行細(xì)粒度的訪問(wèn)控制成為當(dāng)今一個(gè)熱門(mén)研究問(wèn)題。
[0005]Sahai和Waters在基于身份的加密IBE機(jī)制的基礎(chǔ)上提出了基于屬性的加密ABE機(jī)制。在ABE機(jī)制中,數(shù)據(jù)擁有者僅需根據(jù)屬性加密數(shù)據(jù),無(wú)需關(guān)注用戶(hù)群組成的數(shù)量與身份,降低了數(shù)據(jù)加密開(kāi)銷(xiāo)并保護(hù)了用戶(hù)隱私,并且只有符合密文屬性訪問(wèn)結(jié)構(gòu)要求的群組成員才能解密,保證了數(shù)據(jù)機(jī)密性。更重要的是,ABE機(jī)制支持靈活的訪問(wèn)控制策略,可以實(shí)現(xiàn)屬性的與、或、非和門(mén)限操作?,F(xiàn)有的ABE機(jī)制大致可以分為兩類(lèi):基于密鑰策略的KP-ABE機(jī)制和基于密文策略的CP-ABE機(jī)制。
[0006]KP-ABE機(jī)制中,用戶(hù)密鑰與訪問(wèn)控制策略相關(guān),密文與一組屬性集合相關(guān),只有這組屬性滿足用戶(hù)訪問(wèn)結(jié)構(gòu),用戶(hù)才能解密密文。KP-ABE機(jī)制有以下特點(diǎn):訪問(wèn)控制的主動(dòng)權(quán)在訪問(wèn)用戶(hù);訪問(wèn)用戶(hù)規(guī)定對(duì)接收消息的要求,適用于查詢(xún)類(lèi)的應(yīng)用,如付費(fèi)電視系統(tǒng)、視頻點(diǎn)播系統(tǒng)等。
[0007]CP-ABE機(jī)制中,密文與訪問(wèn)控制策略相關(guān),數(shù)據(jù)擁有者會(huì)給訪問(wèn)用戶(hù)分配一組屬性,用戶(hù)密鑰與這組屬性相關(guān),只有這組屬性滿足訪問(wèn)控制結(jié)構(gòu)用戶(hù)才能解密密文。CP-ABE有以下特點(diǎn):訪問(wèn)控制的主動(dòng)權(quán)在數(shù)據(jù)擁有者;數(shù)據(jù)擁有者規(guī)定訪問(wèn)密文的策略,適合訪問(wèn)控制類(lèi)應(yīng)用,如社交網(wǎng)站的訪問(wèn)等。
[0008]在實(shí)際應(yīng)用中,用戶(hù)群組可能面臨著成員或者屬性的頻繁變更,這就引入了如何有效的撤銷(xiāo)用戶(hù)或者撤銷(xiāo)屬性的問(wèn)題,這也是采用ABE機(jī)制進(jìn)行云端用戶(hù)數(shù)據(jù)進(jìn)行細(xì)粒度的訪問(wèn)控制所必須解決的問(wèn)題。
[0009]Shucheng Yu, Cong Wang, Kui Ren 和 Wenjing Lou 等人在《Achieving Secure,Scalable, and Fine-grained Data Access Control in Cloud Computing)) 一文中提出了一種采用KP-ABE和代理重加密相結(jié)合的方法實(shí)現(xiàn)了細(xì)粒度訪問(wèn)控制下用戶(hù)和屬性的有效撤銷(xiāo),該文章發(fā)表在計(jì)算機(jī)通信國(guó)際會(huì)議INF0C0M2010上,其主要思想是:先用對(duì)稱(chēng)加密算法對(duì)原始數(shù)據(jù)進(jìn)行加密,再用KP-ABE對(duì)數(shù)據(jù)加密密鑰進(jìn)行加密,從而實(shí)現(xiàn)對(duì)數(shù)據(jù)密鑰的細(xì)粒度訪問(wèn)控制。當(dāng)系統(tǒng)中有用戶(hù)撤銷(xiāo)操作時(shí),將不可避免地要對(duì)數(shù)據(jù)密鑰進(jìn)行重加密,并且要對(duì)訪問(wèn)用戶(hù)進(jìn)行屬性密鑰的更新和重新分發(fā)。這種方法存在以下問(wèn)題:
[0010]I)在整個(gè)方法過(guò)程當(dāng)中,數(shù)據(jù)加密密鑰并沒(méi)有更新,即原始數(shù)據(jù)沒(méi)有重新加密,將安全隱患。
[0011]2)在用戶(hù)端,訪問(wèn)用戶(hù)通過(guò)解密一次密文,就可以恢復(fù)原始的數(shù)據(jù)密鑰,由于存在的安全隱患將導(dǎo)致該用戶(hù)即使被撤銷(xiāo)了訪問(wèn)權(quán)限,仍然可以利用一次恢復(fù)的數(shù)據(jù)密鑰解密原始密文。
【發(fā)明內(nèi)容】
[0012]本發(fā)明的目的在于針對(duì)上述已有技術(shù)的不足,提出一種基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法,以保證數(shù)據(jù)的訪問(wèn)安全性。
[0013]本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0014]一.技術(shù)原理:
[0015]為了解決“云端共享數(shù)據(jù)細(xì)粒度訪問(wèn)控制”場(chǎng)景中的安全問(wèn)題,本發(fā)明采用基于屬性的加密機(jī)制實(shí)現(xiàn)的細(xì)粒度訪問(wèn)控制,并利用屬性密鑰分片實(shí)現(xiàn)共享數(shù)據(jù)安全保護(hù)。
[0016]該方案包括兩個(gè)部分:
[0017]1.利用基于屬性的加密機(jī)制實(shí)現(xiàn)共享數(shù)據(jù)的細(xì)粒度訪問(wèn)控制。本方案采用CP-ABE加密機(jī)制,即由數(shù)據(jù)擁有者為數(shù)據(jù)定義一個(gè)屬性集合和一個(gè)控制訪問(wèn)結(jié)構(gòu),并且為訪問(wèn)用戶(hù)分配一個(gè)屬性集合。數(shù)據(jù)擁有者加密共享數(shù)據(jù),密文與訪問(wèn)控制結(jié)構(gòu)相關(guān)。授權(quán)機(jī)構(gòu)頒發(fā)屬性密鑰給訪問(wèn)用戶(hù),屬性密鑰與訪問(wèn)用戶(hù)所擁有的數(shù)據(jù)屬性集合相關(guān)。當(dāng)且僅當(dāng)訪問(wèn)用戶(hù)擁有的數(shù)據(jù)屬性集合滿足該數(shù)據(jù)定義的訪問(wèn)結(jié)構(gòu)時(shí),該用戶(hù)方可解密密文,獲取原始數(shù)據(jù)。
[0018]2.利用屬性密鑰分片實(shí)現(xiàn)共享數(shù)據(jù)安全保護(hù)。本方案引入了中間半可信代理機(jī)構(gòu),屬性密鑰分成兩部分,分別由半可信代理和訪問(wèn)用戶(hù)保管。中間半可信代理機(jī)構(gòu)為合法用戶(hù)對(duì)密文進(jìn)行初步處理,訪問(wèn)用戶(hù)可用自己的另外一部分密鑰解密該處理結(jié)果,從而使得訪問(wèn)用戶(hù)在沒(méi)有獲得完整屬性密鑰的情況下依然可以訪問(wèn)共享數(shù)據(jù)。
[0019]二.符號(hào)和縮寫(xiě)
[0020]m為共享數(shù)據(jù);
[0021]c為數(shù)據(jù)擁有者DO加密原始文件后的密文;
[0022]T為數(shù)據(jù)擁有者DO加密共享數(shù)據(jù)m的訪問(wèn)控制結(jié)構(gòu);
[0023]c'為半可信代理機(jī)構(gòu)處理密文c后的中間結(jié)果;
[0024]AA為屬性權(quán)威機(jī)構(gòu);
[0025]pk為屬性權(quán)威機(jī)構(gòu)AA生成的公鑰;
[0026]mk為屬性權(quán)威機(jī)構(gòu)AA生成的主密鑰;
[0027]ω為數(shù)據(jù)擁有者DO為訪問(wèn)用戶(hù)分配的屬性集合;
[0028]Iu為數(shù)據(jù)擁有者為訪問(wèn)用戶(hù)生成的唯一身份;[0029]Ska)!u:1為第一屬性私鑰;
[0030]Sk0ilui2為第二屬性私鑰;
[0031]ω'為數(shù)據(jù)擁有者DO為群組訪問(wèn)用戶(hù)隨機(jī)選取的一個(gè)最小屬性集合;
[0032]State為群組訪問(wèn)用戶(hù)的訪問(wèn)狀態(tài),是一個(gè)布爾變量;
[0033]ω "為有共享屬性撤銷(xiāo)時(shí),重新選取的最小屬性集合;
[0034]Ω為系統(tǒng)屬性集合;
[0035]Bj為系統(tǒng)集合里的屬性;
[0036]G0為階為P的乘法循環(huán)群;
[0037]g為群Gtl的一個(gè)生成元;
[0038]Zp為階為P的整數(shù)域;
[0039]a,t」,s,Si, Uj為Zp中的隨機(jī)數(shù);
[0040]aJ;i為訪問(wèn)控制結(jié)構(gòu)T中的屬性,i表示訪問(wèn)控制結(jié)構(gòu)T中屬性的序號(hào),j表示系統(tǒng)屬性集合Ω中屬性的下標(biāo)值;
[0041]d0是屬性私鑰的公共部分;
[0042]cl」,!,d」,2為屬性私鑰的屬性部分;
[0043]e(g,g)是雙線性映射。
[0044]三.實(shí)現(xiàn)步驟:
[0045]根據(jù)上述原理,本發(fā)明的實(shí)現(xiàn)步驟包括如下:
[0046]—種基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法,包括如下步驟:
[0047](I)數(shù)據(jù)擁有者DO加密共享數(shù)據(jù):
[0048]Ia)屬性權(quán)威機(jī)構(gòu)AA生成主密鑰mk和公鑰pk,并將公鑰pk發(fā)送給數(shù)據(jù)擁有者DO ;
[0049]Ib)數(shù)據(jù)擁有者DO為共享數(shù)據(jù)m分配一組屬性和一個(gè)訪問(wèn)控制結(jié)構(gòu)T,并對(duì)共享數(shù)據(jù)m采用CP-ABE進(jìn)行加密,得到密文c ;
[0050]Ic)數(shù)據(jù)擁有者DO上傳密文c至云服務(wù)提供商CSP ;
[0051](2)新用戶(hù)加入訪問(wèn)群組:
[0052]2a)當(dāng)有新用戶(hù)加入時(shí),數(shù)據(jù)擁有者DO為其分配一個(gè)屬性集合ω和唯一身份Iu ;
[0053]2b)數(shù)據(jù)擁有者DO計(jì)算屬性集合ω中所有屬性滿足訪問(wèn)控制結(jié)構(gòu)T的屬性組合集合,并保證這些屬性組合中屬性的完整性;
[0054]2c)數(shù)據(jù)擁有者DO根據(jù)上述計(jì)算出的屬性組合集合在其內(nèi)部形成用戶(hù)列表,并置該新用戶(hù)訪問(wèn)狀態(tài)State值為可訪問(wèn)狀態(tài)True ;
[0055]2d)數(shù)據(jù)擁有者DO將新用戶(hù)滿足訪問(wèn)控制結(jié)構(gòu)T的屬性組合數(shù)目和新用戶(hù)訪問(wèn)狀態(tài)State值可訪問(wèn)狀態(tài)True發(fā)送至半可信代理機(jī)構(gòu),并且隨機(jī)選取屬性組合集合中的一個(gè)屬性組合ω,發(fā)至半可信代理機(jī)構(gòu);
[0056]2e)新用戶(hù)上傳屬性集合ω和唯一身份Iu至屬性權(quán)威機(jī)構(gòu)ΑΑ,屬性權(quán)威機(jī)構(gòu)AA為其生成兩個(gè)屬性私鑰4噸,ι和Sfcww,其中第一屬性私鑰發(fā)至半可信代理機(jī)構(gòu)進(jìn)行保管,第二屬性私鑰 2發(fā)至該新用戶(hù)保管;
[0057]2f)半可信代理機(jī)構(gòu)根據(jù)上述數(shù)據(jù)擁有者發(fā)送的屬性組合ω,、屬性組合數(shù)目、訪問(wèn)狀態(tài)State值和屬性權(quán)威機(jī)構(gòu)AA發(fā)送的第一屬性私鑰力 L在其內(nèi)部形成訪問(wèn)控制表;
[0058](3)訪問(wèn)群組用戶(hù)訪問(wèn)共享數(shù)據(jù):
[0059]3a)訪問(wèn)群組用戶(hù)從云服務(wù)提供商CSP獲取密文C,并將密文c和唯一身份Iu上傳至半可信代理機(jī)構(gòu),半可信代理機(jī)構(gòu)驗(yàn)證訪問(wèn)群組用戶(hù)身份,若其訪問(wèn)狀態(tài)State為可訪問(wèn)狀態(tài)True,且滿足訪問(wèn)控制結(jié)構(gòu)的屬性組合數(shù)目大于0,則使用第一屬性私鑰將密文c轉(zhuǎn)化為中間處理結(jié)果c',并將中間處理結(jié)果c'發(fā)回訪問(wèn)群組用戶(hù);
[0060]3b)訪問(wèn)群組用戶(hù)使用第二屬性私鑰#W/U,2解密中間處理結(jié)果c',得到原始明文m ;
[0061](4)訪問(wèn)群組中的用戶(hù)撤銷(xiāo):
[0062]4a)如果數(shù)據(jù)擁有者DO要禁止訪問(wèn)群組中某個(gè)用戶(hù)訪問(wèn)共享數(shù)據(jù),數(shù)據(jù)擁有者DO可將要撤銷(xiāo)的訪問(wèn)群組用戶(hù)在其內(nèi)部用戶(hù)列表中的訪問(wèn)狀態(tài)State值更新為禁止訪問(wèn)狀態(tài) False ;
[0063]4b)數(shù)據(jù)擁有者DO將要撤銷(xiāo)的訪問(wèn)群組用戶(hù)的訪問(wèn)狀態(tài)State值發(fā)送至半可信代理機(jī)構(gòu);
[0064]4c)半可信代理機(jī)構(gòu)根據(jù)要撤銷(xiāo)的訪問(wèn)群組用戶(hù)的訪問(wèn)狀態(tài)State值,將其訪問(wèn)控制表中要撤銷(xiāo)用戶(hù)的訪問(wèn)狀態(tài)更新為禁止訪問(wèn)狀態(tài)False,禁止半可信代理機(jī)構(gòu)為要撤銷(xiāo)訪問(wèn)群組用戶(hù)進(jìn)行密文c的轉(zhuǎn)化處理;
[0065](5)共享數(shù)據(jù)屬性撤銷(xiāo):
[0066]5a)數(shù)據(jù)擁有者DO更新其內(nèi)部的用戶(hù)列表,將所有訪問(wèn)群組用戶(hù)含有撤銷(xiāo)屬性的屬性組合刪除,且重新統(tǒng)計(jì)所有群組用戶(hù)滿足訪問(wèn)控制結(jié)構(gòu)T的屬性組合數(shù)目;
[0067]5b)數(shù)據(jù)擁有者DO將更新后的屬性組合數(shù)目發(fā)送至半可信代理機(jī)構(gòu),并且隨機(jī)選取屬性組合集合中的一個(gè)屬性組合ω"發(fā)至半可信代理機(jī)構(gòu);
[0068]5c)半可信代理機(jī)構(gòu)根據(jù)數(shù)據(jù)擁有者DO發(fā)送的屬性組合ω "和屬性組合數(shù)目更新其內(nèi)部的訪問(wèn)控制表。
[0069]本發(fā)明與現(xiàn)有技術(shù)相比具有以下優(yōu)點(diǎn):
[0070]第一,安全性強(qiáng)。
[0071]本發(fā)明利用屬性密鑰分片技術(shù),實(shí)現(xiàn)了訪問(wèn)群組用戶(hù)在沒(méi)有獲得完整屬性密鑰的情況下解密密文,保證了共享數(shù)據(jù)的高安全性。
[0072]第二,機(jī)密性高。
[0073]本發(fā)明利用半可信代理機(jī)構(gòu)的訪問(wèn)控制表,保證了訪問(wèn)控制結(jié)構(gòu)T的高機(jī)密性。
[0074]第三,運(yùn)算量少。
[0075]本發(fā)明利用屬性密鑰分片技術(shù),使得訪問(wèn)群組用戶(hù)沒(méi)有獲得完整屬性密鑰,從而在撤銷(xiāo)訪問(wèn)群組用戶(hù)后,數(shù)據(jù)擁有者DO無(wú)需重新加密共享數(shù)據(jù)明文。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0076]圖1為本發(fā)明的總流程圖;
[0077]圖2為本發(fā)明中數(shù)據(jù)擁有者DO加密共享數(shù)據(jù)的子流程圖;[0078]圖3為本發(fā)明中新用戶(hù)加入訪問(wèn)群組的子流程圖;
[0079]圖4為本發(fā)明中訪問(wèn)群組用戶(hù)訪問(wèn)共享數(shù)據(jù)的子流程圖;
[0080]圖5為本發(fā)明中訪問(wèn)群組中用戶(hù)撤銷(xiāo)的子流程圖;
[0081]圖6為本發(fā)明中共享數(shù)據(jù)屬性撤銷(xiāo)的子流程圖。
【具體實(shí)施方式】
[0082]下面通過(guò)附圖和【具體實(shí)施方式】進(jìn)一步說(shuō)明本發(fā)明的實(shí)施方案。
[0083]參照?qǐng)D1,本發(fā)明的實(shí)現(xiàn)步驟如下:
[0084]步驟I,數(shù)據(jù)擁有者DO加密共享數(shù)據(jù)。
[0085]參照?qǐng)D2,本步驟的具體實(shí)現(xiàn)如下:
[0086]la)屬性權(quán)威機(jī)構(gòu)AA生成主密鑰mk和公鑰pk,表示如下;
[0087]
【權(quán)利要求】
1.一種基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法,包括如下步驟: (1)數(shù)據(jù)擁有者DO加密共享數(shù)據(jù),得到密文C: (2)新用戶(hù)加入訪問(wèn)群組: 2a)當(dāng)有新用戶(hù)加入時(shí),數(shù)據(jù)擁有者DO為其分配一個(gè)屬性集合ω和唯一身份Iu ; 2b)數(shù)據(jù)擁有者DO計(jì)算屬性集合ω中所有屬性滿足訪問(wèn)控制結(jié)構(gòu)T的屬性組合集合,并保證這些屬性組合中屬性的完整性; 2c)數(shù)據(jù)擁有者DO根據(jù)上述計(jì)算出的屬性組合集合在其內(nèi)部形成用戶(hù)列表,并置該新用戶(hù)訪問(wèn)狀態(tài)State值為可訪問(wèn)狀態(tài)True ; 2d)數(shù)據(jù)擁有者DO將新用戶(hù)滿足訪問(wèn)控制結(jié)構(gòu)T的屬性組合數(shù)目和新用戶(hù)訪問(wèn)狀態(tài)State值可訪問(wèn)狀態(tài)True發(fā)送至半可信代理機(jī)構(gòu),并且隨機(jī)選取屬性組合集合中的一個(gè)屬性組合ω,發(fā)至半可信代理機(jī)構(gòu); 2e)新用戶(hù)上傳屬性集合ω和唯一身份Iu至屬性權(quán)威機(jī)構(gòu)ΑΑ,屬性權(quán)威機(jī)構(gòu)AA為其生成兩個(gè)屬性私鑰2,并將第一屬性私鑰Sfcwiu4發(fā)至半可信代理機(jī)構(gòu)進(jìn)行保管,將第二屬性私鑰ζ發(fā)至該新用戶(hù)保管; 2f)半可信代理機(jī)杓根據(jù)上述數(shù)據(jù)擁有者DO發(fā)送的屬性組合ω'、屬性組合數(shù)目、訪問(wèn)狀態(tài)State值和屬性權(quán)威機(jī)構(gòu)AA發(fā)送的第一屬性私鑰在其內(nèi)部形成訪問(wèn)控制表 (3)訪問(wèn)群組用戶(hù)訪問(wèn)共享數(shù)據(jù): 3a)訪問(wèn)群組用戶(hù)從云服務(wù)提供商CSP獲取密文C,并將密文c和唯一身份Iu上傳至半可信代理機(jī)構(gòu),半可信代理機(jī)構(gòu)驗(yàn)證訪問(wèn)群組用戶(hù)身份,若其訪問(wèn)狀態(tài)State為可訪問(wèn)狀態(tài)True,且滿足訪問(wèn)控制結(jié)構(gòu)的屬性組合數(shù)目大于0,則使用第一屬性私鑰將密文c轉(zhuǎn)化為中間處理結(jié)果c',并將中間處理結(jié)果c'發(fā)回訪問(wèn)群組用戶(hù); 3b)訪問(wèn)群組用戶(hù)使用第二屬性私鑰解密中間處理結(jié)果c',得到原始明文m; (4)訪問(wèn)群組中的用戶(hù)撤銷(xiāo): 4a)如果數(shù)據(jù)擁有者DO要禁止訪問(wèn)群組中某個(gè)用戶(hù)訪問(wèn)共享數(shù)據(jù),數(shù)據(jù)擁有者DO可將要撤銷(xiāo)的訪問(wèn)群組用戶(hù)在其內(nèi)部用戶(hù)列表中的訪問(wèn)狀態(tài)State值更新為禁止訪問(wèn)狀態(tài)False ; 4b)數(shù)據(jù)擁有者DO將要撤銷(xiāo)的訪問(wèn)群組用戶(hù)的訪問(wèn)狀態(tài)State值發(fā)送至半可信代理機(jī)構(gòu); 4c)半可信代理機(jī)構(gòu)根據(jù)要撤銷(xiāo)的訪問(wèn)群組用戶(hù)的訪問(wèn)狀態(tài)State值,將其訪問(wèn)控制表中要撤銷(xiāo)用戶(hù)的訪問(wèn)狀態(tài)更新為禁止訪問(wèn)狀態(tài)False,禁止半可信代理機(jī)構(gòu)為要撤銷(xiāo)訪問(wèn)群組用戶(hù)進(jìn)行密文c的轉(zhuǎn)化處理; (5)共享數(shù)據(jù)屬性撤銷(xiāo): 5a)數(shù)據(jù)擁有者DO更新其內(nèi)部的用戶(hù)列表,將所有訪問(wèn)群組用戶(hù)含有撤銷(xiāo)屬性的屬性組合刪除,且重新統(tǒng)計(jì)所有群組用戶(hù)滿足訪問(wèn)控制結(jié)構(gòu)T的屬性組合數(shù)目; 5b)數(shù)據(jù)擁有者DO將更新后的屬性組合數(shù)目發(fā)送至半可信代理機(jī)構(gòu),并且隨機(jī)選取屬性組合集合中的一個(gè)屬性組合ω"發(fā)至半可信代理機(jī)構(gòu); 5c)半可信代理機(jī)構(gòu)根據(jù)數(shù)據(jù)擁有者DO發(fā)送的屬性組合ω"和屬性組合數(shù)目更新其內(nèi)部的訪問(wèn)控制表。
2.根據(jù)權(quán)利要求1所述的基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法,其特征在于,步驟(I)所述的數(shù)據(jù)擁有者DO加密共享數(shù)據(jù),得到密文C,按如下步驟進(jìn)行:1a)屬性權(quán)威機(jī)構(gòu)AA生成主密鑰mk和公鑰pk,并將公鑰pk發(fā)送給數(shù)據(jù)擁有者DO ;Ib)數(shù)據(jù)擁有者DO為共享數(shù)據(jù)m分配一組屬性和一個(gè)訪問(wèn)控制結(jié)構(gòu)T,并對(duì)共享數(shù)據(jù)m采用CP-ABE進(jìn)行加密,得到密文c ; Ic)數(shù)據(jù)擁有者DO上傳密文c至云服務(wù)提供商CSP。
3.根據(jù)權(quán)利要求2所述的基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法,其特征在于,所述步驟Ia)生成的主密鑰mk和公鑰pk,表示如下:
4.根據(jù)權(quán)利要求2所述的基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法,其特征在于,步驟Ib)所述的數(shù)據(jù)擁有者DO采用CP-ABE加密共享數(shù)據(jù),生成密文C,按如下步驟進(jìn)行:1bl)根據(jù)數(shù)值S、Sp a、tj、明文m和群Gci的生成元g,計(jì)算中間變量Cci, C1, cJ; 1:
5.根據(jù)權(quán)利要求1所述的基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法,其特征在于,所述步驟2e)中屬性權(quán)威機(jī)構(gòu)AA為生成兩個(gè)屬性私鑰來(lái)<,1和5/^14,2,按如下步驟進(jìn)行: 2el)計(jì)算屬性私鑰的公共部分dQ, d0 = ga_Uid, 其中,g是群Gtl的一個(gè)生成元,Zp是階為P的整數(shù)域,a是Zp中隨機(jī)選取值,Uid是Zp中隨機(jī)選取值; 2e2)計(jì)算屬性私鑰的屬性部分(1Μ,dj,2,
6.根據(jù)權(quán)利要求1所述的基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法,其特征在于, 所述步驟3a)中半可信代理機(jī)構(gòu)對(duì)密文c進(jìn)行初步處理得到中間處理結(jié)果c',其表示公式如下:
7.根據(jù)權(quán)利要求1所述的基于密鑰分片的數(shù)據(jù)細(xì)粒度訪問(wèn)控制方法,其特征在于,步驟3b)所述的訪問(wèn)群組用戶(hù)使用第二屬性私鑰Αω/?,2解密中間處理結(jié)果C,,得到原始明文m,按如下步驟進(jìn)行: 3bl)計(jì)算中間變量c":
【文檔編號(hào)】H04L9/08GK104022869SQ201410269762
【公開(kāi)日】2014年9月3日 申請(qǐng)日期:2014年6月17日 優(yōu)先權(quán)日:2014年6月17日
【發(fā)明者】姚亮, 楊超, 馬建峰, 董超, 周洪丞, 張坤, 張明月, 張鵬 申請(qǐng)人:西安電子科技大學(xué)