本发明专利技术公开基于改进CP‑ABE的云存储分组加密访问控制方法,对CP‑ABE加密过程中的访问结构树T进行遍历,得出所有可能出现的用户属性组A,对所有的用户属性组A进一步加密产生每个属性组对应的解密私钥。用户属性发生变化时,只需对自己之前所在属性组进行重加密,而不需要对所有属性进行重加密。密钥始终存放在属性权威中心,重加密后私钥不需要进行重新发送,从而避免因用户不在线而导致的无法接收最新秘钥。将这些用户属性组A和对应的解密私钥,利用哈希表存放在属性权威中心,用户身份验证时,可直接将用户属性集与属性组匹配,且用户接收到的密钥是伪密钥,可降低传输过程中信息泄露的风险。
【技术实现步骤摘要】
基于改进CP-ABE的云存储分组加密访问控制方法
本专利技术涉及基于改进CP-ABE的云存储分组加密访问控制方法。
技术介绍
目前在基于CP-ABE云存储访问控制相关技术中,主要缺点表现为:用户属性集发生变化后都会导致重加密,重加密时需要对全部属性重加密,导致重加密的计算开销增大,计算效率低;影响属性集没有发生变化的用户访问;当用户会因为不在线而错过最新秘钥的分发;身份验证时直接使用树结构遍历,效率较低;直接分发给用户私钥,可能在传输过程中泄露私钥,安全性低。
技术实现思路
本专利技术的目的在于克服现有技术由于用户属性变更引起重加密中存在的缺陷,提供基于改进CP-ABE的云存储分组加密访问控制方法,降低重加密的计算开销,避免密钥分发时用户不在线错过接收的情况,提高用户身份验证的效率,解决私钥传输过程中的安全性问题,不足。本专利技术采用的技术方案是:基于改进CP-ABE的云存储分组加密访问控制方法,其包括以下步骤:S1:由属性权威中心生成公开参数PK和主密钥MK,并将公开参数PK分发给用户,且主密钥MK保存在属性权威中心;S2:数据主体使用公开参数PK和访问结构T加密数据明文M得到数据密文CT,并将数据密文CT上传至资源管理中心;S3:属性权威中心获取访问结构T,并进行遍历得出所有能够通过访问的用户属性组A;由于访问结构树T中存储着属性关系及是否可访问标准,用户属性组A则是能够通过访问的任何一个属性组,用户属性组A的划分依据是访问结构树T中属性关系S4:属性权威中心使用主密钥MK对步骤S3中得到的所有的用户属性组A分别加密得到各用户属性组A对应的私钥SK,并利用哈希表将用户属性组A和对应的私钥SK保存;S5:用户向访问控制认证点和资源管理中心分别发出访问申请;S6:访问控制认证点从用户发出的申请中提取该用户属相集,并产生加密和解密私钥的参数P,将该用户属性集和参数P共同发送给属性权威中心;S7:属性权威中心验证用户身份;将用户自身的属性集与S3中遍历得到的能够通过访问的属性组进行匹配,如果匹配一致即身份验证通过,匹配不一致身份验证失败。当用户身份验证通过时,属性权威中心向访问控制认证点发出验证通过的验证结果,属性权威中心获取该用户对应属性组的私钥SK,属性权威中心基于私钥SK生成伪密钥SK’并发送给用户;当用户身份验证不通过时,向访问控制认证点发出验证不通过的验证结果;S8:访问控制认证点基于用户身份验证结果通知资源管理中心是否发送密文;当用户身份验证结果为验证不通过时,访问控制认证点通知用户访问失败,访问控制认证点通知资源管理中心不发送数据密文CT给用户;当用户身份验证结果为验证通过,访问控制认证点将参数P发送给用户,访问控制认证点通知资源管理中心向用户发送数据密文CT;S9:用户根据收到访问结果进行相应处理:当用户身份验证失败时,用户无法访问数据密文CT,用户访问失败;当用户身份验证成功时,解密接收到的数据密文CT并获取数据明文M。进一步地,所述步骤S7,中当用户身份验证通过时,属性权威中心使用获得参数P加密私钥SK得到伪密钥SK’。进一步地,所述步骤S9中,当用户身份验证成功时,用户获得伪密钥SK’、参数P、数据密文CT,使用参数P解密伪密钥SK’得到私钥SK,用户执行M=Decrypt(CT,SK),用私钥SK解密数据密文CT得到数据明文M。本专利技术采用以上技术方案,对CP-ABE加密过程中的访问结构树T进行遍历,得出所有能够通过访问的的用户属性组A,对这些所有的属性组,在CP-ABE算法的第三步加密中分别加密,产生每个属性组对应的解密私钥。用户属性发生变化时,只需对自己之前所在属性组进行重加密,而不需要对所有属性进行重加密。因密钥始终存放在属性权威中心,重加密后私钥不需要进行重新发送(用户需要时发出请求即可),从而避免因用户不在线而导致的无法接收最新密钥。将这些用户属性组A和对应的解密私钥,利用哈希表存放在属性权威中心,用户身份验证时,可直接将用户属性集与属性组匹配。且用户接收到的密钥是伪密钥,可以进一步降低传输过程中信息泄露的风险。本专利技术使用CP-ABE分组加密就可以有效的弥补这些缺陷。采用分组加密,减少了重加密过程中的计算开销,只对部分属性组重加密;将属性组与私钥用哈希表存放于属相权威中心,身份验证时直接将用户属性集与属性组匹配,提高了身份验证效率,且因不需要进行新私钥的重新发送,进而不需要用户在线。本专利技术引入伪密钥,避免了传输中的私钥泄露。附图说明以下结合附图和具体实施方式对本专利技术做进一步详细说明;图1为本专利技术基于改进CP-ABE的云存储分组加密访问控制方法的原理示意图;图2为本专利技术基于改进CP-ABE的云存储分组加密访问控制方法的流程示意图。具体实施方式如图1-2之一所示,本专利技术公开一种基于改进CP-ABE的云存储分组加密访问控制方法,其包括以下步骤:S1:由属性权威中心生成公开参数PK和主密钥MK,并将公开参数PK分发给用户,且主密钥MK保存在属性权威中心;S2:数据主体使用公开参数PK和访问结构T加密数据明文M得到数据密文CT,并将数据密文CT上传至资源管理中心;S3:属性权威中心获取访问结构T,并进行遍历得出所有能够通过访问的用户属性组A;由于访问结构树T中存储着属性关系及是否可访问标准,属性组A则是能够通过访问的任何一个属性组,用户属性组A的划分依据是访问结构树T中属性关系。S4:属性权威中心使用主密钥MK对步骤S3中得到的所有的用户属性组A分别加密得到各用户属性组A对应的私钥SK,并利用哈希表将用户属性组A和对应的私钥SK保存;S5:用户向访问控制认证点和资源管理中心分别发出访问申请;S6:访问控制认证点从用户发出的申请中提取该用户属相集,并产生加密和解密私钥的参数P,将该用户属性集和参数P共同发送给属性权威中心;S7:属性权威中心验证用户身份;将用户自身的属性集与S3中遍历得到的能够通过访问的属性组进行匹配,如果匹配一致即身份验证通过,匹配不一致身份验证失败。当用户身份验证通过时,属性权威中心向访问控制认证点发出验证通过的验证结果,属性权威中心获取该用户对应属性组的私钥SK,属性权威中心基于私钥SK生成伪密钥SK’并发送给用户;当用户身份验证不通过时,向访问控制认证点发出验证不通过的验证结果;S8:访问控制认证点基于用户身份验证结果通知资源管理中心是否发送密文;当用户身份验证结果为验证不通过时,访问控制认证点通知用户访问失败,访问控制认证点通知资源管理中心不发送数据密文CT给用户当用户身份验证结果为验证通过,访问控制认证点将参数P发送给用户,访问控制认证点通知资源管理中心向用户发送数据密文CT;S9:用户根据收到访问结果进行相应处理:当用户身份验证失败时,用户无法访问数据密文CT,用户访问失败;当用户身份验证成功时,解密接收到的数据密文CT并获取数据明文M。进一步地,所述步骤S7,中当用户身份验证通过时,属性权威中心使用获得参数P加密私钥SK得到伪密钥SK’。进一步地,所述步骤S9中,当用户身份验证成功时,用户获得伪密钥SK’、参数P、数据密文CT,使用参数P解密伪密钥SK’得到私钥SK,用户执行M=Decrypt(CT,SK),用私钥SK解密数据密文CT得到数据明文M。本专利技术本文档来自技高网...
【技术保护点】
基于改进CP‑ABE的云存储分组加密访问控制方法,其特征在于:其包括以下步骤:S1:由属性权威中心生成公开参数PK和主密钥MK,并将公开参数PK分发给用户,且主密钥MK保存在属性权威中心;S2:数据主体使用公开参数PK和访问结构T加密数据明文M得到数据密文CT,并将数据密文CT上传至资源管理中心;S3:属性权威中心获取访问结构T,并进行遍历得出所有能够通过访问的用户属性组A;S4:属性权威中心使用主密钥MK对步骤S3中得到的所有的用户属性组A分别加密得到各用户属性组A对应的私钥SK,并利用哈希表将用户属性组A和对应的私钥SK保存;S5:用户向访问控制认证点和资源管理中心分别发出访问申请;S6:访问控制认证点从用户发出的申请中提取该用户属相集,并产生加密和解密私钥的参数P,将该用户属性集和参数P共同发送给属性权威中心;S7:属性权威中心验证用户身份;将用户自身的属性集与S3中遍历得到的能够通过访问的属性组A进行匹配;当匹配一致时,用户身份验证通过;当匹配不一致时,用户身份验证不通过;当用户身份验证通过时,属性权威中心向访问控制认证点发出验证通过的验证结果,属性权威中心获取该用户对应属性组的私钥SK,属性权威中心基于私钥SK生成伪密钥SK’并发送给用户;当用户身份验证不通过时,向访问控制认证点发出验证不通过的验证结果;S8:访问控制认证点基于用户身份验证结果通知资源管理中心是否发送密文;当用户身份验证结果为验证不通过时,访问控制认证点通知用户访问失败,访问控制认证点通知资源管理中心不发送数据密文CT给用户;当用户身份验证结果为验证通过,访问控制认证点将参数P发送给用户,访问控制认证点通知资源管理中心向用户发送数据密文CT;S9:用户根据收到访问结果进行相应处理:当用户身份验证失败时,用户无法访问数据密文CT,用户访问失败;当用户身份验证成功时,解密接收到的数据密文CT并获取数据明文M。...
【技术特征摘要】
1.基于改进CP-ABE的云存储分组加密访问控制方法,其特征在于:其包括以下步骤:S1:由属性权威中心生成公开参数PK和主密钥MK,并将公开参数PK分发给用户,且主密钥MK保存在属性权威中心;S2:数据主体使用公开参数PK和访问结构T加密数据明文M得到数据密文CT,并将数据密文CT上传至资源管理中心;S3:属性权威中心获取访问结构T,并进行遍历得出所有能够通过访问的用户属性组A;S4:属性权威中心使用主密钥MK对步骤S3中得到的所有的用户属性组A分别加密得到各用户属性组A对应的私钥SK,并利用哈希表将用户属性组A和对应的私钥SK保存;S5:用户向访问控制认证点和资源管理中心分别发出访问申请;S6:访问控制认证点从用户发出的申请中提取该用户属相集,并产生加密和解密私钥的参数P,将该用户属性集和参数P共同发送给属性权威中心;S7:属性权威中心验证用户身份;将用户自身的属性集与S3中遍历得到的能够通过访问的属性组A进行匹配;当匹配一致时,用户身份验证通过;当匹配不一致时,用户身份验证不通过;当用户身份验证通过时,属性权威中心向访问控制认证点发出验证通过的验证结果,属性权威中心获取该用户对应属性组的私钥SK,属性权威中心基于私钥...
【专利技术属性】
技术研发人员:金彪,翟晓晓,熊金波,林劼,李璇,
申请(专利权)人:福建师范大学,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。