一种可信云存储环境下的密钥管理方法、装置和系统制造方法及图纸

本发明专利技术实施例提供一种可信云存储环境下的密钥管理方法、装置和系统，以对用户间的数据访问进行安全授权并精简和高效管理全局数据密钥。所述方法包括：可信客户端生成访问授权策略；可信客户端使用一级密钥对数据进行加密后，向云存储服务器发布加密的数据和访问授权策略，以使云存储服务器根据加密的数据和访问授权策略构建密钥推导图；根据密钥推导图，可信客户端与云存储服务器交互进行生成密钥和安全分发所述生成的密钥。由于密钥推导图是云存储服务器构建，避免了由可信客户端承担密钥推导图处理等庞大的计算和存储任务，提高了密钥管理执行上的效率，另一方面，有效减少密钥推导关系的冗余，减轻系统和用户在传输和存储方面的密钥管理代价。

【技术实现步骤摘要】
一种可信云存储环境下的密钥管理方法、装置和系统
本专利技术涉及可信数据管理领域，尤其涉及一种可信云存储环境下的密钥管理方法、装置和系统。
技术介绍
可信云存储即数据贡献者在本地可信前端对数据加密处理以后再外包给云存储服务提供商(CloudStorageProvider，CSP)进行存储、管理和维护，当用户访问数据时，首先从CSP所在的云端获得需要的密文数据，再在可信前端进行解密从而获得明文数据。在可信云存储环境下，数据密钥是数据安全的重要保障，因此用户必须在本地执行数据密钥的生成和再生成。数据贡献者授权其他用户访问数据，本质上是进行数据密钥的授权共享。而为了能够对不同用户执行有选择性的数据授权访问，不同的数据需要采用不同的密钥加密。如此，数据密钥量将随着系统数据量的增加而迅速增多，而用户则会因为需要安全掌握大量数据密钥而承受巨大的负担。另一方面，可信云存储环境下的数据外包不仅仅是针对单一数据贡献者模式，还包括多数据贡献者模式。对于多数据贡献者模式，系统任何用户都可以作为数据贡献者将数据外包给云端一侧的CSP，且任何用户间都可以进行相互的数据访问授权，与此同时，任何用户也可以在权限范围内进行数据访问权限的转授以及数据或数据密钥的更新。对如何在具有多数据贡献者和复杂数据访问授权的可信云存储环境下即多数据贡献者模式下进行更高效、安全的密钥管理，如果仍然采用单一数据贡献者模式下的密钥管理方法，则显然是无能为力。这是因为，如果简单采用单一数据贡献者模式下的密钥管理方法，以每个数据贡献者为中心独立管理自己所发布数据的密钥，必然导致系统全局数据密钥的冗余及其数量的迅速增长，进而致使全局用户必须安全传输和存储的密钥量陡增，加大系统及用户的密钥管理代价和密钥管理安全风险。由于在可信云存储环境中，数据密钥是数据安全的重要保障，而密钥的生成和再生成、密钥的授权共享、密钥的选择性分发等操作会随着用户数据的增长而面临越来越多的问题和挑战，因此，一套安全、高效而且灵活支持访问授权控制的密钥管理机制将在可信云存储环境中起到至关重要的作用。为了解决上述技术问题，现有技术提供的一种方法是基于逻辑层次图(LogicalHierarchicalGraph，LHG)的密钥推导机制，通过基于图结构的密钥推导减少需要用户安全传输和存储的密钥量。并在此方法基础上，利用给密钥节点附加权重可以进一步对LHG机制中密钥推导路径进行优化。然而，上述现有技术提供的方法仍然仅仅着眼于单用户模式下的安全数据外包，其所谓的优化无不是以加重用户的密钥传输和存储负担为代价。对于可信云存储环境下的多数据贡献者模式，上述现有技术提供的方法无法支持在用户间相互的安全数据访问授权以及用户在权限范围内进行数据访问权限的转授等功能的前提下保证全局数据密钥的精简和高效管理。
技术实现思路
本专利技术实施例提供一种可信云存储环境下的密钥管理方法、装置和系统，以对用户间的数据访问进行安全授权并精简和高效管理全局数据密钥。本专利技术实施例提供一种可信云存储环境下的密钥管理方法，所述方法包括：可信客户端生成访问授权策略；所述可信客户端使用一级密钥对数据进行加密后，向云存储服务器发布所述加密的数据和所述访问授权策略，以使所述云存储服务器根据所述加密的数据和所述访问授权策略构建密钥推导图；根据所述密钥推导图，所述可信客户端与所述云存储服务器交互进行生成密钥和安全分发所述生成的密钥。本专利技术另一实施例提供一种可信云存储环境下的密钥管理方法，所述方法包括：根据可信客户端发布的访问授权策略和使用一级密钥对数据进行加密后得到的加密数据，生成全局用户访问授权策略；根据所述全局用户访问授权策略，从云存储系统用户中选取系统密钥管理者用户群；根据所述系统密钥管理者用户群和全局用户访问授权策略，构建密钥推导图，以使所述可信客户端根据所述密钥推导图与所述云存储服务器交互进行生成密钥和安全分发所述生成的密钥。本专利技术另一实施例提供一种可信云存储环境下的密钥管理装置，所述装置包括：访问授权策略生成模块，用于生成访问授权策略；发布模块，用于使用一级密钥对数据进行加密后，向云存储服务器发布所述加密的数据和所述访问授权策略，以使所述云存储服务器根据所述加密的数据和所述访问授权策略构建密钥推导图；密钥生成分发模块，用于根据所述密钥推导图，所述可信客户端与所述云存储服务器交互进行生成密钥和安全分发所述生成的密钥。本专利技术另一实施例提供一种可信云存储环境下的密钥管理装置，所述装置包括：第一生成模块，用于根据可信客户端发布的访问授权策略和使用一级密钥对数据进行加密后得到的加密数据，生成全局用户访问授权策略；选取模块，用于根据所述全局用户访问授权策略，从云存储系统用户中选取系统密钥管理者用户群；密钥推导图构建模块，用于根据所述系统密钥管理者用户群和全局用户访问授权策略，构建密钥推导图，以使所述可信客户端根据所述密钥推导图与所述云存储服务器交互进行生成密钥和安全分发所述生成的密钥。从上述本专利技术实施例可知，可信客户端根据云存储服务器构建的密钥推导图，只负责密钥值的生成、安全分发和极少量密钥的安全传输和储存，而不承担密钥推导图的生成等庞大的处理任务。与现有技术相比，一方面，由于密钥推导图是云存储服务器构建，避免了由可信客户端承担密钥推导图处理等庞大的计算和存储任务这一缺陷，提高了密钥管理执行上的效率，另一方面，由于密钥推导图是基于全局逻辑层次图构建，因此，实现了系统全局用户的安全访问控制，并能够有效减少密钥推导关系的冗余，从而减轻系统和用户在传输和存储方面的密钥管理代价。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对现有技术或实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域技术人员来讲，还可以如这些附图获得其他的附图。图1是本专利技术实施例提供的可信云存储环境下的密钥管理方法流程示意图；图2是本专利技术另一实施例提供的可信云存储环境下的密钥管理方法流程示意图；图3是本专利技术实施例提供的可信云存储环境下的密钥管理装置结构示意图；图4是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图5是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图6-a是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图6-b是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图6-c是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图7是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图8是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图9是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图10是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图11-a是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图11-b是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图11-c是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图11-d是本专利技术另一实施例提供的可信云存储环境下的密钥管理装置结构示意图；图12是本专利技术实施例提供的可信云本文档来自技高网...

【技术保护点】
一种可信云存储环境下的密钥管理方法，其特征在于，所述方法包括：可信客户端生成访问授权策略；所述可信客户端使用一级密钥对数据进行加密后，向云存储服务器发布所述加密的数据和所述访问授权策略，以使所述云存储服务器根据所述加密的数据和所述访问授权策略构建密钥推导图；所述可信客户端根据所述密钥推导图与所述云存储服务器交互进行生成密钥和安全分发所述生成的密钥。

【技术特征摘要】
1.一种可信云存储环境下的密钥管理方法，其特征在于，所述方法包括：可信客户端生成访问授权策略；所述可信客户端使用一级密钥对数据进行加密后，向云存储服务器发布所述加密的数据和所述访问授权策略，以使所述云存储服务器根据所述加密的数据和所述访问授权策略生成全局用户访问授权策略，以及根据所述全局用户访问授权策略从云存储系统用户中选取系统密钥管理者用户群，以及根据所述系统密钥管理者用户群和所述全局用户访问授权策略构建密钥推导图；所述可信客户端根据所述密钥推导图与所述云存储服务器交互进行生成密钥和安全分发所述生成的密钥。2.如权利要求1所述的方法，其特征在于，所述可信客户端根据所述密钥推导图与所述云存储服务器交互进行生成密钥和安全分发所述生成的密钥包括：根据所述密钥推导图，采用加盐哈希函数随机生成节点层次为2的节点唯一密钥值；将所述唯一密钥值采用安全传输方式传输至所述节点层次为2的节点蕴含的另一用户。3.如权利要求1所述的方法，其特征在于，所述可信客户端根据所述密钥推导图与所述云存储服务器交互进行生成密钥和安全分发所述生成的密钥包括：所述可信客户端接收所述云存储服务器为密钥管理者所管理节点vi生成的公开标签值vi.para，所述节点vi是密钥推导图中节点层次大于2的节点；所述可信客户端根据所述公开标签值vi.para和密钥推导图，采用加盐哈希函数随机生成所述节点vi的唯一密钥值vi.key；所述可信客户端使用所述节点vi的唯一密钥值和所述节点vi的父亲节点的密钥值为所述节点vi每一条边计算密钥推导关系值token；所述可信客户端将所述密钥推导关系值token提交至所述云存储服务器，以使所述云存储服务器更新密钥推导关系值集合T后发布，所述所述为节点vi到节点vj的单向密钥推导关系，所述token(vi,vj)为所述节点vi到节点vj的单向密钥推导关系值，所述h(vi.key,vj.para)是vj.para和所述vi.key的单向哈希函数，所述vj.para是所述云存储服务器为密钥管理者管理的节点vj生成的公开标签值。4.如权利要求1至3任意一项所述的方法，其特征在于，所述可信客户端与所述云存储服务器交互进行生成密钥和安全分发所述生成的密钥之后还包括：所述可信客户端根据一级密钥和所述密钥推导图或者根据由密钥管理者共享的二级密钥和所述密钥推导图，获取所发布数据的所有密钥值；所述可信客户端根据所述一级密钥和所发布数据的所有密钥值，生成所发布数据的转换密钥后提交至所述云存储服务器，以使所述云存储服务器利用转换密钥对所述所发布数据进行密钥更新。5.一种可信云存储环境下的密钥管理方法，其特征在于，所述方法包括：根据可信客户端发布的访问授权策略和加密数据，生成全局用户访问授权策略，所述加密数据是所述可信客户端使用一级密钥对数据进行加密后得到的加密数据；根据所述全局用户访问授权策略，从云存储系统用户中选取系统密钥管理者用户群；根据所述系统密钥管理者用户群和全局用户访问授权策略，构建密钥推导图，以使所述可信客户端根据所述密钥推导图与所述云存储服务器交互进行生成密钥和安全分发所述生成的密钥。6.如权利要求5所述的方法，其特征在于，所述根据所述全局用户访问授权策略，从云存储系统用户中选取系统密钥管理者用户群包括：根据所述全局用户访问授权策略，获取所有云存储系统用户的数据访问能力；根据所述所有云存储系统用户的数据访问能力，从所述云存储系统用户中选取能够共同拥有系统所有数据密钥访问权限并执行所有密钥的管理的最少用户集作为所述系统密钥管理者用户群。7.如权利要求6所述的方法，其特征在于，所述根据所述所有云存储系统用户的数据访问能力，从所述云存储系统用户中选取能够共同拥有系统所有数据密钥访问权限并执行所有密钥的管理的最少用户集作为所述系统密钥管理者用户群包括：根据所述所有云存储系统用户的数据访问能力，从数据访问集cap(U)中选取覆盖整个数据集D中个数最多的集合C，所述cap(U)＝{cap(ui)|ui∈U}，所述C＝{ci|ci＝cap(ui)}，所述U为所有云存储系统用户的集合构成的用户集；使用贪心算法逐个处理ci，将满足条件的ci对应的用户ui添加至密钥管理者集合R，所述密钥管理者集合R为所述系统密钥管理者用户群；从所述cap(U)中选取覆盖剩余数据集中数据个数最多的集合，逐个执行处理；依次迭代，直至所述密钥管理者集合R中所有用户u的cap(u)的并集覆盖所述整个数据集D。8.如权利要求5所述的方法，其特征在于，所述根据所述系统密钥管理者用户群和全局用户访问授权策略，构建密钥推导图包括：根据所述全局用户访问授权策略，获取所有数据的访问控制表；根据所述访问控制表和系统密钥管理者用户群，生成所述密钥推导图的初始节点集；按照所述初始节点集中节点层次的升序自顶向下依次为每个节点v寻找满足密钥推导条件的所有父亲节点，所述节点v是所述初始节点集中除根节点之外的任意节点；构建所述节点v与节点v的父亲节点之间的边，以此更新所述密钥推导图中的节点集合V和边集合E。9.如权利要求5至8任意一项所述的方法，其特征在于，所述根据所述系统密钥管理者用户群和全局用户访问授权策略，构建密钥推导图之后还包括：接收所发布数据的转换密钥，所述转换密钥根据一级密钥和所发布数据的所有密钥值生成；利用转换密钥对所述所发布数据进行密钥更新。10.一种可信云存储环境下的密钥管理装置，其特征在于，所述装置包括：访问授权策略生成模块，用于生成访问授权策略；发布模块，用于使用一级密钥对数据进行加密后，向云存储服务器发布加密的数据和所述访问授权策略，以使所述云存储服务器根据所述加密的数据和所述访问授权策略生成全局用户访问授权策略，以...

【专利技术属性】
技术研发人员：彭智勇，程芳权，宋伟，
申请(专利权)人：华为技术有限公司，武汉大学，
类型：发明
国别省市：广东;44