一种云环境下多用户文件共享控制方法技术

本发明专利技术公开了一种云环境下多用户文件共享控制方法，此方法利用了NTRU算法和代理重加密技术，提出一种高效、安全的多用户共享文件控制方案，实现了文件拥有者对共享文件更细粒度的委托控制。方法主要由密钥生成、加密、代理重加密、解密几个部分组成。在减少密文存储空间的同时，方法只需要加、减、乘和模运算，文件加密和解密的计算量只与文件块数的乘法运算呈线性增长关系，经过文件拥有者授权后，共享文件用户可以访问各自不同的文件块内容。本发明专利技术具有抗量子计算攻击，计算成本低，通信量少的优点，更加适合客户端计算资源和通信资源受限的环境。

【技术实现步骤摘要】
一种云环境下多用户文件共享控制方法
本专利技术具体涉及一种云环境下多用户文件共享控制方法。
技术介绍
云存储服务已经被IT行业公认为最具有发展前景的数据存储方式，各个领域的用户都可以将海量数据存储在云服务器中，并可以让其他合法的用户共享这些数据，让这些数据产生更大的应用价值。例如，在医疗系统中，将病人的电子病历存放到云服务器中，并提供在线病历检索与调用，既可以减少病人体检费用，也可以帮助其他医生选择更好的医疗方案等。表1是经过简化的某医疗单位电子病例信息表，表的内容包括个人基本信息(姓名、性别、年龄)、病情陈述、病检数据、诊断结果、治疗，共7个字段。对统计部门来说，性别或年龄、诊断结果可以作为某种疾病的分析和预测。对某个医生来说，病情陈述、病检数据等可以作为诊断的依据。表1某医疗机构电子病历样本NameAgeSex病情陈述病检数据诊断结果治疗张三20男偏头痛CT未见异常血管性头痛天麻蜜环菌片…………………李四50女咳嗽X光照射，肺纹理增粗肺炎青霉素当文件拥有者FO(FileOwner)将文件加密后存储到云服务器中，并交给云服务提供商CSP(CloudServiceProvider)管理时，由于FO的文件不是对所有人开放的，包括CSP，只有经过FO授权的文件使用者FU(FileUser)才能共享文件中的内容，因此，这需要建立一个有效的安全机制来保护存储在云服务器中的共享数据不被非授权用户访问。例如医生只能看到属于本人专业下的病人病历，某个病人只能看到属于本人的病历，其他人的病例就成为了一种隐私，应该是保密的。近年来，国内外学者利用代理重加密等技术，解决了上面多个文件使用者FU共享同一个文件的问题。1998年，Blaze等学者首次提出了代理重加密概念。在代理重加密方案中，文件拥有者FO先将明文加密，再用自己的私钥和文件使用者FU的公钥生成一个重加密密钥，接着FO将密文和重加密密钥存放到半可信的代理服务器中。当FU申请共享文件时，代理服务器用FU的重加密密钥对密文再加密，将重加密的密文发送给FU。FU只要用自己的私钥解密密文就可以直接得到明文了。在这个过程中，明文、FO和FU的私钥都不会暴露给代理服务器。在FU共享文件时，FO也不需要保持在线状态。通过代理重加密方案可以防止明文和用户的私钥泄露，同时也提高了共享文件的效率。目前，在利用代理重加密技术实现文件的多个用户共享方案中，大都是使用Elgamal加密算法或RSA加密算法，以及双线性对运算。Elgamal加密算法和RSA加密算法主要使用的是有限域的模幂运算，计算成本高，不能抵抗量子计算攻击。随着智能手机、平板电脑等资源受限的移动终端在云计算环境中的广泛应用，针对云环境下多用户文件共享问题，现有方案中密文占用的存储空间、计算效率等方面还需要进一步改进。
技术实现思路
本专利技术的目的在于克服现有技术中的不足，提供了一种新的云环境下多用户文件共享控制方法，将文件分割成若干个文件块，为各FU建立各文件块的访问权限表，利用NTRU加密算法和代理重加密技术实现文件块共享，此方法能抗量子计算攻击，计算成本低，通信量少。为解决上述技术问题，本专利技术提供了一种云环境下多用户文件共享控制方法，其特征是，包括以下步骤：步骤S1，FO首先将文件F分割成若干个文件块，利用NTRU加密算法生成自身的密钥对，利用公钥对各文件块进行加密获得原始密文传送至CSP；步骤S2，FO为各FU分配一个身份标识，利用NTRU加密算法为各FU生成密钥对，然后将各密钥对和身份标识发送至对应的FU；为每个FU设定各文件块访问权限生成访问权限表，然后将各FU的身份标识和访问权限表发送至CSP；步骤S3，FO为各FU生成重加密密钥；然后将各FU的重加密密钥发送至CSP；步骤S4，当某FU访问共享文件时，首先向CSP发送身份标识和访问请求，CPS依据其身份标识查询访问权限表获取允许其访问的文件块，利用重加密密钥对允许访问的文件块的原始密文进行加密获得重加密密文，将重加密密文发送至此FU；步骤S5，FU对获得对应其访问权限的重加密密文，利用其私钥进行解密获得最终明文。进一步的，步骤S1中，FO在向云服务器上传文件F前，首先将文件F分割成不同的文件块，分割方法如下：FO按记录的顺序，并以每个记录的属性值的个数为单位，将F分割成n*m个文件块，每个文件块用fij(1<＝i<＝n,1<＝j<＝m)表示，其中n表示文件共有n个记录，m表示每个记录共有m个属性值；把文件F看成是一个n*m二维矩阵，即：FO先将文件F分割成若干个不同的文件块fij，将每个文件块fij看成一个单位元文件，这样每个FU访问F中的内容是由若干个文件块fij组成的新文件。进一步的，利用公钥对各文件块进行加密过程为：文件拥有者FO选择任意填充值w∈R，方法如下：rij＝H(fij||w)，Eij＝pkO*rij，令文件块fij进行加密后密文cfij＝(Eij,Yij)，则对文件F中各文件块加密后的矩阵CF为：其中1<＝i<＝n,1<＝j<＝m，FO将CF发送至CPS中，以供不同的FU使用。进一步的，在步骤S3中，访问权限表的建立过程如下：FO将文件F分割成n*m个文件块，FO为第k个FU生成权限访问表TUk＝{tk11,tk12,…,tkij,…,tknm}，其中tkij＝1时，表示第k个FU可以访问CF中第i行，第j列的元素，tkij＝0时，表示第k个FU不可以访问CF中第i行，第j列的元素；已知有t个FU，用T表示FU访问权限表的集合，则T＝{TU1,…,TUk,…TUt}FO将访问权限表T发送给CSP。进一步的，FO为第k个FU生成重加密密钥RkO→Uk的过程如下：vUk＝H(idUk,pkUk)，VUk＝pkUk*vUk，hkUk＝H(VUk,pgUk*vUk)，rkO→UK＝hkUk*skO根据第k个FU的权限访问表TUk，当tkij＝1时，计算：cij＝rij*hkUk。令CUk＝{…,cij,…}，其中1<＝i<＝n,1<＝j<＝m。针对FU的重加密密钥为RkO→Uk＝(rkO→Uk,VUk,CUk)；已知有t个FU，用RkO→U表示各FU重加密密钥的集合，则：RKO→U＝{RkO→U1,…,RkO→Uk,…,RkO→Ut}FO将RKo→U发送给CSP。进一步的，在步骤S4中，CSP完成代理重加密的过程以第k个FU向CSP请求共享文件为例，其具体重加密过程如下：CSP在访问权限表集合T中查找第k个FU的访问权限TUk；根据TUk＝{tk11,tk12,…,tkij,…,tknm}，CSP逐一从CF中取出允许FU访问的文件块cfij，这里的i、j取决于TUk中的tkij值，当tkij＝1时，取出cfij，并对该cfij进行重加密，否则放弃该cfij；假设FU可以访问CF中文件块cfij，CSP用RkO→Uk的rkO→Uk对每个文件块cfij进行重加密，重加密后的密文用Cke表示，CSP计算：E′ij＝Eij*rkO→Uk，Cke＝(E′ij,Yij)令FU可以访问CF中f个文件块cfij，针对f个文件块的重加密密文集合CKUk为：CKUk＝{Ck1,…,Cke,…C本文档来自技高网...

【技术保护点】
一种云环境下多用户文件共享控制方法，其特征是，包括以下步骤：步骤S1，FO首先将文件F分割成若干个文件块，利用NTRU加密算法生成自身的密钥对，利用公钥对各文件块进行加密获得原始密文传送至CSP；步骤S2，FO为各FU分配一个身份标识，利用NTRU加密算法为各FU生成密钥对，然后将各密钥对和身份标识发送至对应的FU；并为每个FU设定各文件块访问权限生成访问权限表，然后将各FU的身份标识和访问权限表发送至CSP；步骤S3，FO为各FU生成重加密密钥；然后将各FU的重加密密钥发送至CSP；步骤S4，当某FU访问共享文件时，首先向CSP发送身份标识和访问请求，CPS依据其身份标识查询访问权限表获取允许其访问的文件块，利用重加密密钥对允许访问的文件块的原始密文进行加密获得重加密密文，将重加密密文发送至此FU；步骤S5，FU对获得对应其访问权限的重加密密文，利用其私钥进行解密获得最终明文。

【技术特征摘要】
1.一种云环境下多用户文件共享控制方法，其特征是，包括以下步骤：步骤S1，FO首先将文件F分割成若干个文件块，利用NTRU加密算法生成自身的密钥对，利用公钥对各文件块进行加密获得原始密文传送至CSP；步骤S2，FO为各FU分配一个身份标识，利用NTRU加密算法为各FU生成密钥对，然后将各密钥对和身份标识发送至对应的FU；并为每个FU设定各文件块访问权限生成访问权限表，然后将各FU的身份标识和访问权限表发送至CSP；步骤S3，FO为各FU生成重加密密钥；然后将各FU的重加密密钥发送至CSP；步骤S4，当某FU访问共享文件时，首先向CSP发送身份标识和访问请求，CPS依据其身份标识查询访问权限表获取允许其访问的文件块，利用重加密密钥对允许访问的文件块的原始密文进行加密获得重加密密文，将重加密密文发送至此FU；步骤S5，FU对获得对应其访问权限的重加密密文，利用其私钥进行解密获得最终明文。2.根据权利要求1所述的云环境下多用户文件共享控制方法，其特征是，在步骤S1中，FO在向云服务器上传文件F前，首先将文件F分割成不同的文件块，分割过程如下：FO按记录的顺序，并以每个记录的属性值的个数为单位，将F分割成n*m个文件块，每个文件块用fij表示，其中1<＝i<＝n,1<＝j<＝m；n表示文件共有n个记录，m表示每个记录共有m个属性值；把文件F看成是一个n*m二维矩阵，即：FO先将文件F分割成若干个不同的文件块fij，将每个文件块fij看成一个单位元文件，这样每个FU访问F中的内容是由若干个文件块fij组成的新文件。3.根据权利要求1所述的云环境下多用户文件共享控制方法，其特征是，在步骤S1中，利用公钥对各文件块进行加密过程为：文件拥有者FO选择任意填充值w∈R，方法如下：rij＝H(fij||w)，Eij＝pkO*rij，令对fij进行加密后密文为cfij＝(Eij,Yij)，则对文件F中各文件块加密后的矩阵CF为：其中1<＝i<＝n,1<＝j<＝m，FO将CF发送至CPS中，以供不同的FU使用。4.根据权利要求1所述的云环境下多用户文件共享控制方法，其特征是，在步骤S2中，访问权限表的建立过程如下：FO将文件F分割成n*m个文件块，FO为第k个FU生成权限访问表TUk＝{tk11,tk12,…,tkij,…,tknm}，其中t...

【专利技术属性】
技术研发人员：步山岳，冯万利，陈礼清，刘海荣，
申请(专利权)人：淮阴工学院，
类型：发明
国别省市：江苏,32