一种抗密钥泄漏的云数据安全共享方法技术

本发明专利技术公开了一种抗密钥泄漏的云数据安全共享方法。实现了云数据的安全共享并能够抵抗数据共享中的密钥泄漏问题。该方法在公钥加密的基础上，利用代理重加密技术实现云数据的安全共享，同时结合密钥隔离技术，为系统中的每一位用户配备一个惟一的物理安全的协助者。通过将系统生命周期划分为不同的时间片，在相邻的两个时间片更替时，每个协助者帮助其指定用户进行用户私钥的更新，实现在不同的时间片内，用户拥有不同的私钥。因此，当单个或者部分时间片的用户私钥发生泄漏时，不会影响系统在其他时间片的安全性。所以该方法可以抵抗云数据安全共享中的密钥泄漏问题。

【技术实现步骤摘要】

本专利技术涉及云计算及信息安全领域，具体地讲，是在云环境下的一种抗密钥泄漏的云数据安全共享方法，该方法不仅能够实现云数据的安全共享，还能够抵抗相关用户的密钥泄漏造成的威胁。
技术介绍
云计算以其强大的存储和计算能力为最主要的特点。所有的用户可以共享云服务器的软硬件资源和信息，并且云服务器按需为用户提供服务。云计算包括软件即服务、平台即服务和基础设施即服务三种服务模式。在云计算环境中，用户可以从远程外包存储其数据，可以获得按需式的高质量的应用和服务。同时，用户可以摆脱本地数据存储和维护的负担。云计算的特点和优势为用户之间的数据共享提供了便利，但是，用户需要上传的数据有可能是具有个人隐私的一些敏感数据，这些数据只能对一些特定的其他用户共享，而不能对一些恶意用户或者数据拥有者所不希望公开的用户(包括云服务器)公布。所以用户在上传数据之前需要对数据进行加密操作。现有的对云数据安全共享方法主要是采用代理重加密技术，云服务器利用重加密密钥对原始密文进行重加密操作，将原始密文转换为数据使用者能够解密的新密文，在解密该新密文时，数据使用者只需要自己的私钥即可。在整个过程中云服务器只能获得原始密文和重加密密钥，但其不能获得任何明文信息。但是，现有的云数据安全共享方法都存在一个缺陷，也就是不能够抵抗用户密钥泄漏问题，如果用户的私钥发生泄漏，则敌手可以解密任何与用户相关的加密数据。这对于数据安全来说是不能容忍的。
技术实现思路
为了克服上述现有云数据安全共享方法的不足，本专利技术提供了一个抗密钥泄漏的云数据安全共享方法，首先采用代理重加密技术保证云数据的安全性和共享性，然后结合密钥隔离技术，保证云数据共享过程中能够抵抗密钥泄漏问题，从而实现一个抗密钥泄漏的云数据安全共享方法。本专利技术所采用的技术方案是：数据拥有者加密共享数据并上传至云服务器，云服务器扮演代理的角色，并利用重加密密钥对原始密文进行重新加密的操作，将原始密文转换为数据使用者能够利用自己私钥解密的新密文。为达到抵抗密钥泄漏的特性，本方法将整个系统的生命周期划分为n个不同的时间片，在整个系统生命周期中，用户公钥保持不变，但在不同的时间片内，用户采用不同的私钥来进行解密操作，具体地，每个用户都拥有一个独一无二的物理绝对安全的协助者，用来协助用户在时间片交替时更新用户私钥。因此，单个或者部分时间片的私钥发生泄漏并不会影响其他时间片数据的安全性。本专利技术中的云数据安全共享系统涉及四个实体：云服务器、数据拥有者A、数据使用者B、物理安全的协助者(不同用户的协助者不同)。云服务器：云服务器维护一些云基础设施，包括带宽、存储设备和拥有高计算能力的服务器。在该系统中，云服务器主要提供两种服务，即数据存储和重加密。另外，该系统假设云服务器为半可信服务器，也就是能够正确执行相关算法，但对相关的明文信息保持好奇。数据拥有者A：该实体是要共享的数据的拥有者，负责加密并上传数据。另外，在重加密操作之前，该实体负责计算生成重加密密钥并发送给云服务器。数据使用者B：该实体是所共享的数据的使用者，即数据请求者。该实体向云服务器发送数据请求，并获得云服务器回送的重加密后的新密文，然后用自己的私钥进行解密。物理安全的协助者：每个用户都拥有一个唯一的物理安全的协助者，该协助者拥有自己的主私钥，在时间片更替时，该实体利用自己的主私钥协助用户更新用户私钥。本专利技术共由七个算法组成。(1)密钥生成(KeyGen)：该算法选取安全参数，并分别为数据拥有者和数据使用者生成公钥和对应的用户初始私钥以及协助者主私钥。(2)协助者密钥更新(Update*)：该协助者是一个物理绝对安全但计算能力受限制的设备，在相邻的两个时间片更替时，协助者运行该算法，利用协助者主私钥生成一个用于更新用户私钥的协助者更新密钥。(3)用户密钥更新(Update)：在相邻的两个时间片更替时，该算法由用户运行，利用上一个算法生成的协助者更新密钥，用户通过该算法生成一个对应于新的时间片的用户私钥。(4)重加密密钥生成(ReKeyGen)：该算法由数据拥有者运行，数据拥有者利用数据使用者的公钥、自己的私钥以及所选取的时间片，生成对应的重加密密钥，该密钥用于对要共享的加密数据进行重新加密。(5)数据加密(Enc)：该算法由数据拥有者运行，数据拥有者利用自己的公钥和对应的时间片对要共享的数据进行加密，并上传至云服务器。(6)数据重加密(ReEnc)：该算法由云服务器运行，云服务器利用已生成的重加密密钥对用户上传的加密数据进行重新加密，将原始密文转换为可以被数据使用者解密的新密文。(7)数据解密(Dec)：对于原始加密数据来说，只能被数据拥有者利用自己的私钥进行解密，对于重加密之后的新密文来说，只能被数据使用者利用自己的私钥进行解密。与传统方法相比，本专利技术的有益效果是：解决了云数据安全共享中的密钥泄漏问题，减少了因用户密钥泄漏对系统造成的危害。附图说明图1是本专利技术所述的抗密钥泄漏的云数据安全共享方法的系统模型图。具体实施方式参照附图1，本专利技术所述方法涉及的实体包括：云服务器、数据拥有者A、数据使用者B、协助者A和协助者B。本专利技术所述方法由七个具体算法组成，具体实施过程如下：KeyGen：输入安全参数lk，随机选取q，使得|q|＝k，输出两个阶为q的群和一个双线性映射运算其中的生成元为g，系统公共参数为g，e；然后为相关用户生成对应的公钥和私钥：对于数据拥有者A来说，其公钥为其协助者主私钥为其初始私钥为对于数据使用者B来说，其公钥为其协助者主私钥为其初始私钥为Update*：在时间片i-1∈{0，1，...，t-1本文档来自技高网...

【技术保护点】
一种抗密钥泄漏的云数据安全共享方法，其特征在于：(1)利用公钥加密的机制，数据拥有者利用自己的公钥加密共享数据并上传至云服务器，在不知道数据拥有者私钥的情况下，其他用户(包括云服务器)无法解密数据获得对应的明文信息；(2)利用代理重加密的机制，云服务器利用数据拥有者传递的重加密密钥对其数据进行重加密，经过转换的数据可以被相对应的数据使用者进行解密；(3)利用密钥隔离的机制，整个系统时间被划分为n个时间片，在每个时间片中，数据拥有者和数据使用者都会在协助者的帮助下对自己的私钥进行更新，在不同的时间片使用不同的私钥，从而可以减小因私钥泄漏所造成的损失；(4)通过结合公钥加密机制、代理重加密机制和密钥隔离机制，该方法能够抵抗云数据安全共享中的密钥泄漏问题。

【技术特征摘要】
1.一种抗密钥泄漏的云数据安全共享方法，其特征在于：(1)利用公钥加密的机制，数据拥有者利用自己的公钥加密共享数据并上传至云服务器，在不知道数据拥有者私钥的情况下，其他用户(包括云服务器)无法解密数据获得对应的明文信息；(2)利用代理重加密的机制，云服务器利用数据拥有者传递的重加密密钥对其数据进行重加密，经过转换的数据可以被相对应的数据使用者进行解密；(3)利用密钥隔离的机制，整个系统时间被划分为n个时间片，在每个时间片中，数据拥有者和数据使用者都会在协助者的帮助下对自己的私钥进行更新，在不同的时间片使用不同的私钥，从而可以减小因私钥泄漏所造成的损失；(4)通过结合公钥加密机制、代理重加密机制和密钥隔离机制，该方法能够抵抗云数据安全共享中的密钥泄漏问题。2.根据权利要求1所述的一种抗密钥泄漏的云数据安全共享方法，其特征在于，该方法包括以下算法：(1)密钥生成(KeyGen)：该算法选取安全参数lk，并分别为数据拥有者和数据使用者生成公钥和对应的用户初始私钥以及协助者主私钥；(2)协助者密钥更新(Update*)：该协助者是一个物理绝对安全但计算能力受限制的设备，在相邻的两个时间片更替时，协助者运行该算法，利用协助者主私钥生成一个用于更新用户私钥的协助者更新密钥；(3)用户密钥更新(Update)：在相邻的两个时间片更替时，该算法由用户运行，利用上...

【专利技术属性】
技术研发人员：熊虎，闫东杰，秦臻，苑晨，蔡浩庭，卢震宇，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：四川;51