The invention discloses a proxy-based attribute encryption cloud storage access control method, which involves five entities: trusted authority center, cloud data owner, cloud data visitor, cloud server and proxy decryption server. The access control method includes the following steps: initialization of public parameters, generation of decryption private key, data encryption, data re-encryption and data decryption. Decrypt. The advantages of the present invention are as follows: in this method, the cloud data owner uploads the cloud data information that he wants to share to the cloud server, which effectively solves the problem of data sharing among different users; this method introduces an attribute encryption access control scheme based on ciphertext strategy, and re-encrypts the data on the cloud server to ensure the confidentiality of the data and also achieves it. User access control. The invention adds a proxy decryption server to reduce the overhead of cloud data owner and cloud data visitor, and realizes fine-grained access control and security authentication of users.
【技术实现步骤摘要】
一种基于代理的属性加密云存储访问控制方法
本专利技术属于云计算环境中的信息安全
,具体为一种基于代理的属性加密云存储访问控制方法。
技术介绍
近年来,信息安全受到了越来越多的关注,网络安全技术也日益成熟,但云存储安全事故也在发生,例如Google的Gmail存储服务器出现安全故障而导致用户邮件数据丢失,微软的SkyDrive云存储服务也出现了访问不稳定的情况,导致用户看不到自己的数据或者图片。另外,云服务提供商是不可完全信任的,在利益的驱动下也存在窥探用户隐私的风险。许多个人和企业还都不敢轻易地将自己的重要数据或私密数据存储到云存储服务器。因此,云数据安全访问控制成为了云安全的热门研究方向之一。云存储通常是以服务的形式面向用户,在提供支持共享的访问控制的同时还要保证数据的完整性、机密性和真实性。基于属性的加密体制显然是比较适合应用于云计算环境下共享数据的安全访问控制方案,但是在实际的应用中还存在一定的困难,其发展还处于初级阶段,许多方案在访问控制灵活性、安全性及运行效率方面,都还存在一定缺陷。云存储的应用需求及发展使得人们对云计算环境日益依赖,因此,云计算环境下存储访问控制机制成为解决云计算环境下存储数据安全性问题的关键。基于属性的加密机制的研究主要集中在以下几个方面:一是访问控制粒度方面,如何设计在云存储环境下更细粒度的访问控制方案,是实现基于属性的灵活访问控制的关键;其次是研究设计更为灵活的访问控制方案,包括支持策略属性的灵活变更、用户属性灵活变更等;此外,还有很多方案的研究重点在于如何设计更为高效的访问控制方案,尽量减少方案参与各方的加解密计算...
【技术保护点】
1.一种基于代理的属性加密云存储访问控制方法,其特征在于:包括五个实体:可信任授权中心、云数据属主、云数据访问者、云服务器、代理解密服务器,五个实体之间通过互联网进行连接,具体为:可信任授权中心(Trusted Authorization Center,TAC):假设TAC是可信任的,主要用于系统公钥、主密钥、解密私钥的生成;云数据属主(Cloud Data Owner,CDO):表示想要上传共享数据的用户,CDO可以自己定义数据的访问策略,只有属性满足访问策略的用户才能解密密文获得明文数据;云数据访问者(Cloud Data Visitors,CDV):云数据访问者向云服务器发送密文请求,云服务器将重加密密文发送给代理解密服务器,代理解密服务器利用解密私钥2解密得到过渡密文,云数据访问者利用可信任授权中心分发的解密私钥1进行解密即可得到明文数据;云服务器(Cloud Storage Provider,CSP):云服务器负责数据的存储、管理和重加密操作,我们认为云服务器是可疑但是诚实的,它将按照规定诚实地执行各项任务;代理解密服务器(Proxy Decryption Server,PD...
【技术特征摘要】
1.一种基于代理的属性加密云存储访问控制方法,其特征在于:包括五个实体:可信任授权中心、云数据属主、云数据访问者、云服务器、代理解密服务器,五个实体之间通过互联网进行连接,具体为:可信任授权中心(TrustedAuthorizationCenter,TAC):假设TAC是可信任的,主要用于系统公钥、主密钥、解密私钥的生成;云数据属主(CloudDataOwner,CDO):表示想要上传共享数据的用户,CDO可以自己定义数据的访问策略,只有属性满足访问策略的用户才能解密密文获得明文数据;云数据访问者(CloudDataVisitors,CDV):云数据访问者向云服务器发送密文请求,云服务器将重加密密文发送给代理解密服务器,代理解密服务器利用解密私钥2解密得到过渡密文,云数据访问者利用可信任授权中心分发的解密私钥1进行解密即可得到明文数据;云服务器(CloudStorageProvider,CSP):云服务器负责数据的存储、管理和重加密操作,我们认为云服务器是可疑但是诚实的,它将按照规定诚实地执行各项任务;代理解密服务器(ProxyDecryptionServer,PDS):PDS负责完成云服务器发来的重加密密文的解密,将得到的过渡密文发送给用户PDS承担系统中的大部分解密计算,减少了用户解密的计算开销;所述控制方法包括如下步骤:步骤1,初始化:执行Setup(1k,A),此操作由TAC完成,生成公共密钥PK和主密钥MK;步骤2,密钥生成:执行KeyGen(PK,MK,S),此操作由TAC完成,利用系统密钥PK、主密钥MK以及用户提交的属性S来完成解密私钥的生成操作;用户的解密私钥由DKCSP和DKDU两部分组成,当CDV向TKA提交属性集合并向CSP发出密文请求时,TAC会将密钥分别分发给PDS和CDV,无论PDS还是CDV都无法仅用自己拥有的一个密钥单独解密密文;步骤3,数据加密:执行此算法由CDO执行,为了保证数据的机密性和完整性,CDO利用系统密钥PK和自定义的访问策略实现对明文数据的加密;步骤4,数据重加密:执行重加密算法由CSP完成,以系统公钥PK、初始化密文C0和用户属性组集合作为输入;当CSP收到C0和后,选择两个随机数μ,来构造属性组密钥集合并为用户定义唯一的标识IDk∈{0,1}*,用户标签不会随着用户属性的更改而发生改变;步骤5,数据解密:执行Decrypt(S,C1,DKCSP,...
【专利技术属性】
技术研发人员:王海勇,彭垚,管维正,张开心,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。