基于云环境的数据安全共享方法和装置制造方法及图纸

本发明专利技术提供了一种基于云环境的数据安全共享方法和装置，方法包括：执行预设密码学组件中的初始化算法，确定相应的公私钥；初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储；公布系统主公钥和接收者公钥；接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索；传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端。通过本发明专利技术的技术方案，数据共享不依赖于同一私钥的共享，具备灵活的访问控制和基于关键词的密文检索功能，实现了可控共享和检索的目的，同时降低了本地计算量以及本地存储量。

Data Security Sharing Method and Device Based on Cloud Environment

The invention provides a data security sharing method and device based on cloud environment. The method includes: performing initialization algorithm in preset cryptographic components to determine corresponding public and private keys; initializing system user information table, and sending system user information table and receiver private key to private cloud server for storage through secure channel; Publish the system's main public key and receiver's public key; Receive private cloud server's user identity and keywords to be queried and confirmed according to user's cloud file access request, and carry out ciphertext information retrieval; Transfer the returned file set determined by retrieval to the user terminal corresponding to user's cloud file access request. According to the technical scheme of the invention, data sharing does not depend on the sharing of the same private key, has flexible access control and keyword-based ciphertext retrieval function, achieves the purpose of controllable sharing and retrieval, and reduces the local computation and local storage.

【技术实现步骤摘要】
基于云环境的数据安全共享方法和装置
本专利技术涉及数据安全
，具体而言，涉及一种基于云环境的数据安全共享方法和一种基于云环境的数据安全共享装置。
技术介绍
虽然密文检索技术为保护云端数据的隐私提供了一种“高效”的途径，但其仅仅属于单用户密文检索的情况，而如今比比皆是的云计算数据外包存储的应用场景对密文检索的要求复杂得多。在当前的应用场景下，用户之间可以依据访问策略，基于关键词从云服务器检索得到所共享的数据，这是一种松散、灵活、大众化的数据外包应用场景。为适应当前云计算数据外包存储的应用场景，相关技术中，是让所有具有合法访问权限的用户都拥有该数据属主的密钥以访问该属主分享的文件，但该方法存在一系列缺陷：（1）加大了密钥潜在的泄漏和滥用的风险，若某个用户遗失了密朗，捡到密钥的攻击者即可获得访问该用户属主分享的所有文件的能力。（2）导致用户密钥数量巨大，如果用户具有针对多个属主的共享文件的访问权限，那么他会被分配多个密钥，这些密钥的数量与他所能够合法访问的共享文件的来源数目（即数据属主的数目）成正比，而如何妥善保管这些数量巨大的密钥，是一个棘手的问题。（3）不利于制定灵活可控的访问策略，对于用户来说，同一属主的所有分享文件都具有相同的访问属性，即可访问或不可访问，若需分类设定灵活的访问属性，则更会成倍增大密钥的数量。（4）不利于用户访问权限的撤销，如欲撤销用户的查询权限，须更新该用户所拥有的所有数据属主的密钥，同时为其他相关且未撤销的用户重新发布更新后的密钥，计算量巨大。
技术实现思路
本专利技术的目的在于提供一种安全可靠、计算量更低、运行更稳定可靠的基于云环境的数据安全共享方法和一种基于云环境的数据安全共享装置。为了实现上述目的，本专利技术的技术方案提供了一种基于云环境的数据安全共享方法，适用于公有云服务器，包括：执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥；初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储；公布系统主公钥和接收者公钥；接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索；传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端。本方案中，执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥，之后初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储，之后公布系统主公钥和接收者公钥，实现了密钥的配置，有利于实现可控共享和检索的目的，同时降低了本地计算量，通过接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索，传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端，实现了文件的共享，利用公有云服务器的灵活性和自助性，私有云服务器的安全性，实现了安全和效率的平衡。需要说明的是，预设密码学组件为基于身份的广播加密IBBE，以及公钥可搜索加密PEKS，基于身份的广播加密的初始化算法为stetup(λ，n)，具体为该算法输入安全参数λ和一次广播加密中允许的接收者的最大数目n，输出系统主公钥和系统主私钥，公钥可搜索加密的初始化算法为stetup(λ)，具体为该算法输入安全参数λ，输出接收者公钥和接收者私钥。另外，还可以通过如下方案，确定相应的公私钥，具体为：输入参数λ初始化素数p阶以g为生成元的双线群G，并定义其上的双线性映射ê：G×G→GT，以及二进制字符串集合上的哈希函数H：{0,1}*→Zp，这里{0,1}*表示由任意长度的二进制字符串构成的集合；随机选取g2，g3，{hi}mi=1∈RG和x∈RZp，并输出系统主公钥，pk=（g，g1，g2，g3，{hi}mi=1），这里g1=gx；计算msk=g2x作为系统主私钥；初始化用户信息表T和权限集合Ρ={p1，p2，…}，这里，并在为每个pi∈Ρ随机选取一对称接收者私钥，与初始化用户信息表T和权限集合Ρ一同发送至私有云服务器存储和管理。优选地，还包括：当接收到新用户申请加入请求时，根据新用户申请加入请求中的用户身份标识和系统主私钥，生成对应的用户的基于身份的广播加密私钥；执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥；确定用户身份标识、基于身份的广播加密私钥、数字签名方案私钥为用户私钥，并经安全信道返还给相应的新用户申请加入请求对应的用户终端；发送新用户注册信息至私有云服务器，并更新系统用户信息表，新用户注册信息包括用户身份标识、数字签名方案公钥；当确定撤销用户的基于关键词的检索权限时，发送对应的用户身份标识至私有云服务器，以供私有云服务器根据用户身份标识搜索并删除对应于系统用户信息表中的表项。本方案中，通过当接收到新用户申请加入请求时，根据新用户申请加入请求中的用户身份标识和系统主私钥，生成对应的用户的基于身份的广播加密私钥，有利于实现新用户的申请加入，通过执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥，之后确定用户身份标识、基于身份的广播加密私钥、数字签名方案私钥为用户私钥，并经安全信道返还给相应的新用户申请加入请求对应的用户终端，有利于用户获得共享权限，在接收到密文文件时，可以解密为明文文件，进行读取和使用，通过发送新用户注册信息至私有云服务器，并更新系统用户信息表，新用户注册信息包括用户身份标识、数字签名方案公钥，减小了密钥潜在的泄漏和滥用风险，而且用户密钥数量较小，有利于进行保存，减少存储占用空间，而且计算量较小，通过当确定撤销用户的基于关键词的检索权限时，发送对应的用户身份标识至私有云服务器，以供私有云服务器根据用户身份标识搜索并删除对应于系统用户信息表中的表项，实现了用户访问权限的更加快捷的撤销，而且无需为其他相关且未撤销的用户重新发布更新密钥，减少了计算量，在提升数据共享安全性的同时，提升了数据共享的效率。本专利技术的技术方案还提供了一种基于云环境的数据安全共享方法，适用于数据主终端，包括：执行基于身份的广播加密算法，根据用户身份标识的集合，生成会话密钥和对应的广播信息头；根据会话密钥对称加密共享文件，生成密文文件；执行公钥可搜索加密算法，对与共享文件相关的关键词进行加密，生成密文关键词；发送密文信息至公有云服务器，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头。本方案中，通过执行基于身份的广播加密算法，根据用户身份标识的集合，生成会话密钥和对应的广播信息头，有利于实现密文文件的生成，数据主终端拥有的数据的上传，通过根据会话密钥对称加密共享文件，生成密文文件，有利于保障共享文件的安全性，通过执行公钥可搜索加密算法，对与共享文件相关的关键词进行加密，生成密文关键词，有利于实现密文文件的检索，通过发送密文信息至公有云服务器，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头，有利于公有云服务器根据用户对共享文件的请求，进行密文信息的检索，从而实现数据的安全共享，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头，只有满足条件的用户才能获得对应于密文文件的明文文件，进一本文档来自技高网...

【技术保护点】
1.一种基于云环境的数据安全共享方法，适用于公有云服务器，其特征在于，包括：执行预设密码学组件中的初始化算法，确定相应的公私钥，所述公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥；初始化系统用户信息表，并经安全信道发送所述系统用户信息表和所述接收者私钥至私有云服务器存储；公布所述系统主公钥和所述接收者公钥；接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索；传输检索判定后的返回文件集合至所述用户云端文件访问请求对应的用户终端。

【技术特征摘要】
1.一种基于云环境的数据安全共享方法，适用于公有云服务器，其特征在于，包括：执行预设密码学组件中的初始化算法，确定相应的公私钥，所述公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥；初始化系统用户信息表，并经安全信道发送所述系统用户信息表和所述接收者私钥至私有云服务器存储；公布所述系统主公钥和所述接收者公钥；接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索；传输检索判定后的返回文件集合至所述用户云端文件访问请求对应的用户终端。2.根据权利要求1所述的基于云环境的数据安全共享方法，其特征在于，还包括：当接收到新用户申请加入请求时，根据所述新用户申请加入请求中的所述用户身份标识和所述系统主私钥，生成对应的用户的基于身份的广播加密私钥；执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥；确定所述用户身份标识、所述基于身份的广播加密私钥、所述数字签名方案私钥为用户私钥，并经所述安全信道返还给相应的所述新用户申请加入请求对应的用户终端；发送新用户注册信息至所述私有云服务器，并更新所述系统用户信息表，所述新用户注册信息包括所述用户身份标识、所述数字签名方案公钥；当确定撤销用户的基于关键词的检索权限时，发送对应的所述用户身份标识至所述私有云服务器，以供所述私有云服务器根据所述用户身份标识搜索并删除对应于所述系统用户信息表中的表项。3.一种基于云环境的数据安全共享方法，适用于数据主终端，其特征在于，包括：执行基于身份的广播加密算法，根据所述用户身份标识的集合，生成会话密钥和对应的广播信息头；根据所述会话密钥对称加密共享文件，生成密文文件；执行公钥可搜索加密算法，对与所述共享文件相关的关键词进行加密，生成密文关键词；发送密文信息至公有云服务器，所述密文信息包括所述用户身份标识的集合、所述密文文件、所述密文关键词、所述广播信息头。4.一种基于云环境的数据安全共享方法，适用于私有云服务器，其特征在于，包括：当接收到用户云端文件访问请求时，根据用户身份标识，查找检索系统用户信息表，所述用户云端文件访问请求包括所述用户身份标识、待查询关键词、用户使用数字签名方案私钥对所述用户身份标识以及所述待查询关键词的签名；当查找检索到所述系统用户信息表中的相应表项，且所述签名验证成功时，将查找检索结果翻译为陷门形式，并将所述用户身份标识和所述待查询关键词发送至公有云服务器，以供所述公有云服务器进行密文信息检索。5.一种基于云环境的数据安全共享方法，适用于用户终端，其特征在于，包括：接收公有云服务器确定的用户私钥，所述用户私钥包括用户身份标识、基于身份的广播加密私钥、数字签名方案私钥；接收所述公有云服务器检索判定后的返回文件集合；执行基于身份的广播解密算法，恢复与数据主终端的会话密钥；根据所述会话密钥解密所述返回文件集合中的每一密文文件，生成对应的明文文件。6.一种基于云环境的数据安全共享装置，适用于公有云服务器，其特征在于，包括：执行单元，用于执行预设密码学组件中的初始化算法，确定相应的公私钥，所述公私钥包括但不限...

【专利技术属性】
技术研发人员：蒋云，
申请(专利权)人：蒋云，
类型：发明
国别省市：广西,45