一种异构云域授权的数据安全访问方法技术

本发明专利技术公开了一种异构云域授权的数据安全访问方法，其通过模糊授权，实现在一个云域注册的应用程序安全地访问驻留在另一个云域的数据；系统初始化，数据所有者用第一云域中的云存储服务器生成的公钥加密数据，存储到该云存储服务器中，然后由该云存储服务器、数据所有者、第二云域的应用服务提供商和异构云域共享中心合作生成第二云域应用服务提供商的密钥，用户通过第二云域中注册的应用程序向第一云域的云存储服务器发送访问请求获得密文，解密得到在第一云域的云存储服务器中存储的数据。本发明专利技术可使数据所有者能与来自不同云域的应用程序共享其数据，增强了共享的可扩展性和灵活性，还实现异构云域之间授权的模糊性、安全性和高效性。

A secure data access method based on heterogeneous cloud domain authorization

The invention discloses a data access method of heterogeneous cloud domain authorization, the authorization application is implemented by fuzzy, registered in a cloud domain secure access to reside in another domain of cloud data; system initialization, data owners with the first cloud in the domain of the cloud storage server generated public key encryption the data stored in the cloud storage server, and then from the cloud storage server, the data owner, second cloud domain application service provider and heterogeneous cloud domain sharing center cooperation generates second cloud domain application service provider key application user registration through the second cloud in the domain of the access request is sent to the cloud first obtain ciphertext domain the cloud storage server, stored in the cloud storage server decrypts the first domain data in the cloud. The present invention enables data owners to share their data with applications from different cloud domains, enhances the scalability and flexibility of sharing, and also realizes the ambiguity, security and efficiency of authorization between heterogeneous cloud domains.

【技术实现步骤摘要】
一种异构云域授权的数据安全访问方法
本专利技术涉及云存储领域，特别涉及一种异构云域授权的数据安全访问方法。
技术介绍
随着云计算的发展，越来越多的企业或者用户将自己的敏感数据存储在云端，已达到共享数据的目的。云存储是近年来从云计算概念衍生和发展起来的一种数据外包存储服务技术，它具有很多优势，比如易于访问，及时同步和更少的物理空间消耗等，从而得到了业内的广泛关注。与此同时，云应用服务也在推动。但是云端不是完全可信的，数据外包存储模式容易导致非授权访问，例如，云存储服务器可以在未经用户授权的情况下，获取用户的数据，泄露用户的隐私等等，这就有云存储服务器和云应用服务提供商之间的互操作和授权的需求。例如，数据所有者在Justcloud内存储了多个PDF文件，Justcloud是顶级的云存储服务。后来，数据所有者想要借助PDFMerge(一个在谷歌浏览器网上应用店注册的在线云应用服务提供商)将一些PDF文件合并为一个PDF文件。应用程序PDFMerge需要被授权访问存在于Justcloud的pdf文件，Justcloud即云存储服务；否则数据所有者必须从Justcloud下载文件，并将其上传到PDFMerge。由于数据所有者和云应用程序来自不同的云域，在它们之间建立信任是非常具有挑战性的，还有一个是若数据所有者想授权多个文件的访问权限，则需要多于一个密钥。这时需要一种能够解决异构云域之间的授权并且减少密钥的方案。之前OAuth(一种开放的协议)是最广泛采用的授权方案，但是，解决上述存在的问题还是不可行的，因为OAuth协议需要资源数据和访问应用程序在同一个域中。例如，pixlr.com是一个针对在线编辑图片的网络应用程序，在谷歌浏览器中进行注册，可以轻松访问谷歌云端硬盘中的数据，但几乎无法编辑JustCloud中的图片。另一种方法就是AAuth(一种授权方案)，它是由Tassanaviboon和Gong提出的，他们通过引入受信任的组织机构来维护云应用程序的完整性，提出的AAuth解决了类似的授权情况，其中所有者和消费者在不同的域中，但是AAuth中缺乏授权的可扩展性不便于多个授权。
技术实现思路
针对不同云域的云存储服务和应用服务提供商之间的互操作和授权的需求，本专利技术提供了一种异构云域授权的数据安全访问方法，使数据所有者能够与来自不同云域的应用程序共享其数据；增强了文件共享的可扩展性和灵活性；避免向应用程序发送属性，并且消除执行满足访问树过程的操作。为了达到上述目的，本专利技术提供一种异构云域授权的数据安全访问方法，该方法包含以下步骤：步骤1、系统初始化，第一云域的云存储服务器为生成系统公钥和主密钥；步骤2、所述数据所有者利用第一云域的云存储服务器生成的公钥加密数据生成密文；步骤3、数据所有者将该密文存储到第一云域的云存储服务器中；步骤4、所述第一云域的云存储服务器、数据所有者、第二云域的应用服务提供商和云域共享中心共同合作，生成所述第二云域应用服务提供商的密钥；步骤5、所述第二云域的应用服务提供商向第一云域的云存储服务器发送访问请求，获得密文数据；步骤6、应用服务提供商通过所述密钥对获取的密文数据进行解密，在所述第二云域中对数据所有者的数据操作。优选地，所述云域共享中心是一个所述应用服务提供商必须注册以确保其完整性和真实性的实体。优选地，所述步骤1中：所述云存储服务器根据安全参数k，素数阶q，选择双线性映射e：G1×G2→GT；G1和G2的生成元分别是g1和g2；云存储服务器选择一个随机指数α，分别计算它的公钥OPK和私钥OSK，计算公式为：OPK＝<e(g1，g2)α>，OSK＝<g2α>；其中，G1、G2和GT表示素数阶为q的三个乘法循环群。优选地，设其中是指G2→G1的一个有效的可计算的组同构；选择一个哈希函数H，所述哈希函数H为：(0,1)*→G1，映射任意的二进制字符串到群G1中的一个随机元素。优选地，所述步骤2中：所述数据所有者执行加密算法，对访问树τ下的消息进行加密，使У是访问树τ的所有叶节点集；密文CT的计算公式为：其中，Py(x)是分配到每个叶节点y的多项式，y∈У，x表示为第x个多项式，取值范围为0≤x≤y；为群GT中的随机值，其包含解密需要的随机对称密钥KΕ；C为群G1中的随机值，为了验证该数据所有者是否在系统中有效用户的集合中；Cy和Cy'包含了访问树τ信息，Cy和C′y均为密文组件；h是群组元素，att(y)表示返回叶子节点对应的属性；H是哈希函数，α是随机指数，s是随机数字，访问树τ是指访问策略，Py(0)指初始项多项式。优选地，所述步骤4中：通过密钥生成算法，云存储服务器的主密钥和属性集ω作为输入，此过程输出普通部分D和一组间接密钥分量；首先，数据所有者和云存储服务器共同计算普通部分D和其中γ、a∈Zq是云存储服务器和数据所有者分别选择的，数据所有者仅知道和云存储服务器仅知道普通部分D由所述云存储服务器发送到所述应用服务提供商；然后，让ω′是文件属性集，ω"是应用程序属性集，整个属性集ω＝{时隙}∪ω′∪ω"；从数据所有者接收到指定的文件属性集ω′∪{时隙}后，i表示所属集合的元素，云存储服务器随机地选择γi∈Zq和计算和其中γi∈Zq是云存储服务器和数据所有者分别选择的；然后数据所有者计算并将其与一起发送给应用服务提供商；应用服务提供商再到云域共享中心认证自己，并呈现ω"的属性；对于表示任意应用程序属性，云域共享中心选择γj∈Zq，计算和数据所有者再次计算并将其与一起发送给应用服务提供商；最终所述应用服务提供商获得密钥SK，所述密钥SK的计算公式为：所述密钥由两部分组成，普通部分D和与属性t相关的部分，与属性t相关的部分：第一部分Dt，第二部分Dt′；其中和是云存储服务器提供的间接密钥分量2，和是云域共享中心提供的间接密钥分量1；对应i属性，是第一部分的密钥组件，是第二部分的密钥组件，是第一部分的密钥组件的分量，和是数据所有者的组合项，用于和第一部分的密钥组件的分量进行组合；对应j属性，是第一部分的密钥组件，是第二部分的密钥组件，是第一部分的密钥组件的分量；对应t属性，表示第一部分的分量；其中，q为一个素数，Zq是模q构成的有限域；γ和a分别为随机数字，β也是随机指数；时隙是时间间隔；γi表示所属集合Zq中的对应于i的元素；γj表示所属集合Zq中的对应于j的元素；t表示任意的指定的文件属性或应用程序属性，其是整个属性集ω的元素；γt表示是所属集合Zq中的对应于t的元素。优选地，所述步骤6中：解密节点函数(CT,SK,A)表示将访问树τ中的密文CT、密钥SK和节点A作为输入的函数；通过解密算法进行解密，解密后的解密数据KΕ为：其中，A是解密节点。优选地，所述访问树τ的每个非叶子节点代表一个阈值门，叶子节点对应于不同的单个属性。与现有技术相比，本专利技术的有益效果为：(1)使数据所有者能够与来自不同云域的应用程序共享其数据；数据所有者将他/她的数据存储在云存储服务器中，并向云存储提供商注册，通过模糊授权可以使云应用服务提供商来处理数据，也就是所有者可以与来自不同云域的应用程序共享他/她的数据。(2)增强了文件共享的可扩展性和灵活性；通过利用从线性秘密共享方案(本文档来自技高网...

【技术保护点】
一种异构云域授权的数据安全访问方法，其特征在于，该方法包含以下步骤：步骤1、系统初始化，第一云域(1)的云存储服务器为生成系统公钥和主密钥；步骤2、所述数据所有者利用第一云域(1)的云存储服务器生成的公钥加密数据生成密文；步骤3、数据所有者将该密文存储到第一云域(1)的云存储服务器中；步骤4、所述第一云域(1)的云存储服务器、数据所有者、第二云域(2)的应用服务提供商和云域共享中心共同合作，生成所述第二云域(2)应用服务提供商的密钥；步骤5、所述第二云域(2)的应用服务提供商向第一云域(1)的云存储服务器发送访问请求，获得密文数据；步骤6、应用服务提供商通过所述密钥对获取的密文数据进行解密，在所述第二云域(2)中对数据所有者的数据操作。

【技术特征摘要】
1.一种异构云域授权的数据安全访问方法，其特征在于，该方法包含以下步骤：步骤1、系统初始化，第一云域(1)的云存储服务器为生成系统公钥和主密钥；步骤2、所述数据所有者利用第一云域(1)的云存储服务器生成的公钥加密数据生成密文；步骤3、数据所有者将该密文存储到第一云域(1)的云存储服务器中；步骤4、所述第一云域(1)的云存储服务器、数据所有者、第二云域(2)的应用服务提供商和云域共享中心共同合作，生成所述第二云域(2)应用服务提供商的密钥；步骤5、所述第二云域(2)的应用服务提供商向第一云域(1)的云存储服务器发送访问请求，获得密文数据；步骤6、应用服务提供商通过所述密钥对获取的密文数据进行解密，在所述第二云域(2)中对数据所有者的数据操作。2.如权利要求1所述的一种异构云域授权的数据安全访问方法，其特征在于，所述云域共享中心是一个所述应用服务提供商必须注册以确保其完整性和真实性的实体。3.如权利要求1所述的一种异构云域授权的数据安全访问方法，其特征在于，所述步骤1中：所述云存储服务器根据安全参数k，素数阶q，选择双线性映射e：G1×G2→GT；G1和G2的生成元分别是g1和g2；云存储服务器选择一个随机指数α，分别计算公钥OPK和主密钥OSK，计算公式为：OPK＝<e(g1，g2)α>，OSK＝<g2α>；其中，G1、G2和GT表示素数阶为q的三个乘法循环群。4.如权利要求3所述的一种异构云域授权的数据安全访问方法，其特征在于，设其中，是指G2→G1的一个有效的可计算的组同构；选择一个哈希函数H，所述哈希函数H为：(0,1)*→G1，映射任意的二进制字符串到群G1中的一个随机元素。5.如权利要求4所述的一种异构云域授权的数据安全访问方法，其特征在于，所述步骤2中：所述数据所有者执行加密算法，对访问树τ下的消息进行加密，使У是访问树τ的所有叶节点集；密文CT的计算公式为：其中，Py(x)是分配到每个叶节点y的多项式，y∈У，x表示为第x个多项式，取值范围为0≤x≤y；为群GT中的随机值，其包含解密需要的随机对称密钥KE；C为群G1中的随机值，为了验证该数据所有者是否在系统中有效用户的集合中；Cy和Cy'包含了访问树τ信息，Cy和C′y均为密文组件；h是群组元素，att(y)表示返回叶子节点对应的属性；H是哈希函数，α是随机指数，s是随机数字，访问树τ是指访问策略，Py(0)指初始项多项式...

【专利技术属性】
技术研发人员：田秋亭，韩德志，毕坤，王军，
申请(专利权)人：上海海事大学，
类型：发明
国别省市：上海,31