CN105790929B - 一种基于规则冗余消除的加密环境中访问控制方法 - Google Patents
一种基于规则冗余消除的加密环境中访问控制方法 Download PDFInfo
- Publication number
- CN105790929B CN105790929B CN201610245485.XA CN201610245485A CN105790929B CN 105790929 B CN105790929 B CN 105790929B CN 201610245485 A CN201610245485 A CN 201610245485A CN 105790929 B CN105790929 B CN 105790929B
- Authority
- CN
- China
- Prior art keywords
- node
- secret
- access control
- leaf
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000010276 construction Methods 0.000 claims abstract description 30
- 230000008569 process Effects 0.000 claims abstract description 12
- 238000004422 calculation algorithm Methods 0.000 claims description 63
- 101150060512 SPATA6 gene Proteins 0.000 claims description 36
- 238000004364 calculation method Methods 0.000 claims description 4
- 125000004122 cyclic group Chemical group 0.000 claims description 3
- 238000012854 evaluation process Methods 0.000 claims description 2
- 230000008030 elimination Effects 0.000 abstract description 3
- 238000003379 elimination reaction Methods 0.000 abstract description 3
- 230000008901 benefit Effects 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
一种基于规则冗余消除的加密环境中访问控制方法,在密文构造中,先根据叶子节点属性确定各个叶子的秘密,再按树结构自叶子往上构造非叶子节点的秘密,从而确定所有节点的秘密,然后递归构造防止冗余计算出现;本发明在基于属性基加密的云存储访问控制场景下,实现了根据访问控制规则构造密文时,对冗余数据和计算的消除,达到减少计算与存储开销的目的;与现有技术相比,其优点在于:一是极大了减少了加解密过程中的计算开销与存储开销;二是他是一个通用的解决方案,可以适用于不同种类的属性基加密方案。
Description
技术领域
本发明属于互联网技术领域和数据安全技术领域,尤其涉及用户为了与不完全可信云服务进行数据交互的场景,为一种基于规则冗余消除的加密环境中访问控制方法,在4over6接入网过渡网络场景中通过利用NETCONF协议,使得网络运营商能够远程配置过渡设备中转发策略表项。
背景技术
随着互联网的高速发展,用户数据越来越多,云服务变得越来越重要,越来越多的用户选择把自己的数据放到云端进行存储。而云端作为不受自己控制的第三方服务器,安全和隐私不容易得到保障。大部分云服务是半可信云服务,它们会提供正确的服务逻辑,但与此同时可能偷看用户数据,并泄露隐私。
在这种情况下,以加密形式把数据存到云上是未来的发展趋势,而在这种基础上,如何继续提供往常的服务成为了新的问题。访问控制是云存储服务中常见的一个服务,针对加密数据的访问控制问题,Waters等人提出了属性基加密技术,密文的属性基加密技术中,每个用户将会被分配到若干个属性,一份数据上传时将会定义一个由各个属性组成的访问控制规则,数据将基于该规则进行加密并上传。用户下载数据之后,当且仅当用户自身的属性与访问规则符合时,才能正确地解密该数据,以此达到访问控制的目的。具体而言,属性基加密包含以下几个部分。
属性认证机构:属性认证机构是一个可信的权威机构,属于PKI基础设施,它会根据具体选取的属性基方案,生成合适的参数,并针对***中的属性集合生成公钥,供数据拥有者加密使用。同时它针对每一个不同用户的属性集合,生成每个用户对应的私钥,供访问者解密数据使用。
云服务器:云服务器提供数据的上传和下载功能,被认为是半可信的,亦即,云服务器会忠实地按照规定的流程执行上传与下载,但是它可能把用户的数据泄露给攻击者,因此上传上来的数据本身需保证机密性,但不需要防篡改。
数据拥有者:数据拥有者是希望把数据分享出去的用户,他首先读取属性认证机构的公钥,然后对于他的每一份数据,他将设定一个访问控制规则,然后根据方案规定的算法执行加密,然后把加密后的密文上传到云服务器。
数据用户:数据用户是要读取拥有者分享出来的数据的用户,他们首先会从属性认证机构拿到他们的属性对应的私钥,当他们需要读取数据时,将从云服务器上下载拥有者上传的数据,然后将密文根据对应的规则通过自己的私钥进行解密,当且仅当用户的属性集合符合访问控制规则时,用户才能解密该数据。
图1表示了该框架的整体工作流程,在该框架下,属性基加密主要包含以下几个关键算法:
***初始化:算法由属性认证机构在最初执行,输入为属性全集U,输出为U对应的公钥PK与主密钥MK,其中公钥PK会公开给***中所有成员,主密钥MK为属性认证机构的私密信息,需保证安全性。图中步骤(1)即调用初始化算法后,把***公钥发给数据拥有者。
密钥生成:算法由属性认证机构执行,输入为某一个用户的属性集合S与初始化过程中生成的主密钥MK,输出为属性集S对应用户私钥SK,该算法在某用户加入***中,属性认证机构分配密钥时执行,然后SK将被私下发送给对应用户,用户需保证SK的机密性。步骤(2)中属性认证机构根据数据用户的属性集合生成私钥,然后发给用户。
加密:加密算法由数据拥有者执行,输入为公钥PK,待加密消息M与访问控制规则A,输出为密文CT。步骤(3)中,数据拥有者通过执行此算法把M按照他设定的规则A进行加密,得到密文CT之后,将它上传到云服务器供其他用户访问。
解密:解密算法由数据用户执行,输入为密文CT,公钥PK及用户私钥SK。步骤(4)中,数据用户从云服务器上把数据拥有者上传的密文下载下来,然后通过***息及自己的私钥尝试对密文CT进行解密,算法需保证当且仅当私钥SK对应的属性集合S满足密文CT对应的访问控制规则A时,算法才能正确解密该数据得到原始明文M。
通过以上的结构,一个完整的访问控制***即可以搭建起来,数据拥有者可将数据正确地按照规则分享给其他用户。
在属性基加密技术中,加解密算法的具体构造方案为:对于一个访问控制规则(AAND B)OR(C AND D AND E),方案将首先构造出一个秘密s。根据规则具体的表达,s将被拆分成多个子秘密,对应了规则中的每一个条目(A、B、C、D、E),使得满足条件的几行子秘密正好可以重新构造s。最后,各个子秘密将分别使用每行对应的属性相关的公钥进行加密,组成最终的密文。
对于每一组待加密数据与访问控制规则,他都会单独构造一个秘密并构造出相应的密文,而密文数据量较大,在待加密数据较多时,会产生巨大的存储开销,计算的时候亦会产生巨大的计算开销。
发明内容
为了克服上述现有技术的缺点,本发明的目的在于提供一种基于规则冗余消除的加密环境中访问控制方法,针对有较多份数据待加密的情况下,使用合适的方法找出访问控制规则当中的冗余部分,并重新设计加解密算法,消除密文存储和计算中的冗余,从而达到减少存储及计算开销的目的。
为了实现上述目的,本发明采用的技术方案是:
一种基于规则冗余消除的加密环境中访问控制方法,在密文构造中,先根据叶子节点属性确定各个叶子的秘密,再按树结构自叶子往上构造非叶子节点的秘密,从而确定所有节点的秘密,然后递归构造防止冗余计算出现。
在确定各个叶子的秘密之前,可先执行访问控制树结构调整算法,将输入的访问控制规则对应的访问控制树调整为统一的结构,以防止相同表达能力的访问控制结构被判定为不相同,保证判定的准确性。
所述控制树结构调整算法是从访问控制树根节点开始执行的递归算法,包括如下步骤:
步骤1:判定当前输入节点N(最初为根节点)是否为AND节点或OR节点,如果不是,转步骤5;
步骤2:初始化孩子节点集合S为空集,待测试节点集合S’为当前输入节点N的所有孩子节点;
步骤3:循环访问待测试节点集合S’中的节点N’,若节点类型与当前输入节点N相同,则将N’的所有孩子节点加入待测试节点集合S’中,否则直接将N’放入孩子节点集合S;
步骤4:为当前节点N与孩子节点集合S中的所有节点建立父子关系,使得集合S中所有节点均成为N的孩子节点;
步骤5:对当前节点的所有孩子节点递归调用本算法。
所述根据叶子节点属性确定各个叶子的秘密的方法是根据叶子节点属性随机选取一些秘密,然后赋给叶子节点,具体包括以下两个步骤:
步骤1.取出全部属性集合,针对每一个属性,随机选取一个数值作为它的秘密,第i个属性得到秘密s[i];
步骤2.遍历访问控制树的所有叶子节点,对于节点N,将N的属性对应的秘密赋值给N,亦即,假设N的属性为A(N),则s[N]=s[A(N)]。
在叶子节点秘密确定后,执行非叶子节点秘密构造算法,使非叶子节点将通过递归的方式自叶子往根构造各个节点的秘密,最终生成每一个文件的秘密,即对应访问控制树的根秘密。
所述非叶子节点秘密构造算法为从根节点开始的递归算法,包括如下步骤:
步骤1:调用冗余判定算法,若当前输入节点N是已出现的冗余节点,则直接访问对应的秘密,否则转步骤2;
步骤2:递归对所有N的所有孩子节点调用节点秘密构造算法,得到每个孩子节点的秘密;
步骤3:若当前输入节点N为AND节点,直接使用拉格朗日插值法生成当前节点的秘密,转步骤5,否则转步骤4;
步骤4:当前输入节点N非AND节点,则首先随机选取一个秘密作为N的秘密值,并用拉格朗日插值计算出对应的各个子节点的新秘密,对每个子节点,生成额外信息,维护子节点本身的秘密与刚生成的新秘密之间的联系,保存该额外信息;
步骤5:将当前输入节点N及它对应的秘密存入冗余哈希表。
进一步地,可对表达能力相同的多余的非叶子节点进行合并,使得原本结构不同但表达能力相同的一些规则将调整为一致的结构。
通过引入冗余判定算法,使得计算过程中避免已经出现的结构被重复计算,同时通过引入额外信息,使得去冗余的过程中能保证算法的正确性。在递归计算某个节点的秘密时,执行访问控制子树冗余判定算法,先进行一次冗余判定,再决定是否进行计算,以防止访问控制子树结构相同的两个节点的密文重复使用及重复计算。
所述访问控制子树冗余判定算法的核心是生成访问控制子树的哈希值,哈希生成的算法是一个由根节点出发的递归算法,包括如下步骤:
步骤1:调用本算法,生成当前节点的各个子节点哈希值;
步骤2:将所有子节点哈希值按字典序排序,得到哈希序列{H1,H2,…}
步骤3:将该节点类型与上述哈希序列作为输入,调用一个接受任意长度输入的哈希函数,得到当前节点哈希值。
同时通过引入额外信息,使得去冗余的过程中能保证算法的正确性。
本发明通过在各个叶子节点上递归调用自身,并形成叶子节点哈希序列,然后将自身类型放入哈希求值过程中,使得结构相同的不同访问控制子树一定能得到相同的哈希值,且复杂度为线性。
注:有根树结构中,对于任意一个节点,在上方与它相连的节点是父亲节点,在下方与它相连的所有节点均为他的孩子节点。根节点位于最上方,没有父亲节点。叶子节点位于最底端,没有孩子节点。除叶子节点外的节点均为非叶子节点。参见课本《图论与代数结构》。
本发明在基于属性基加密的云存储访问控制场景下,实现了根据访问控制规则构造密文时,对冗余数据和计算的消除,达到减少计算与存储开销的目的。
与现有技术相比,其优点在于:一是极大了减少了加解密过程中的计算开销与存储开销;二是他是一个通用的解决方案,可以适用于不同种类的属性基加密方案。
附图说明
图1是属性基加密***框架示意图。
图2是本发明实施例中访问控制树示意图。
图3是本发明实施例中秘密构造示意图。
具体实施方式
下面结合附图和实施例详细说明本发明的实施方式。
访问控制规则通常可以写成访问控制树的模式,如图1所示,两个文件对应的规则分别为“(计算机系AND学生)OR(电子系AND学生)”以及“老师OR(计算机系AND学生)”,而基础的属性基加密算法将分别给两个文件选取秘密s0与s1,然后分别拆分到各自规则的叶子节点上,并进行加密。
本发明提出的方案在加密过程中,不再使用先在根上选取秘密再拆分的手段,而反过来由各个属性出发,先根据属性将各个叶子节点的秘密选取好,再按顺序往上构造非叶子节点的秘密。这样的前提下,相同的子结构得到的秘密一定是相同的,则加解密过程中原本冗余的部分可得以消除。
具体而言,本发明的技术方案包含以下几个主要流程:
访问控制树结构调整:首先对于输入的访问控制规则对应的访问控制树,为了防止相同表达能力的访问控制结构被判定为不相同,所有的访问控制树将被调整为统一的结构,保证判定的准确性;
叶子节点秘密构造:在各个文件秘密构造过程中,方案首先需要确定所有叶子节点的秘密,由于叶子节点一定对应一个属性,方案将先给所有叶子上的属性各自分配一个秘密,每一个叶子则直接使用它的属性对应的秘密,使得叶子上的重复属性可以避免冗余;
非叶子节点秘密构造:在叶子节点秘密确定后,非叶子节点将通过递归的方式自叶子往根构造各个节点的秘密,通过这样的流程最终生成每一个文件的秘密(也就是对应访问控制树的根秘密)。
访问控制子树冗余判定:在非叶子节点秘密构造过程中,需要防止访问控制子树结构相同的两个节点的密文重复使用及重复计算,因此在递归计算某个节点的秘密时,需要先进行一次冗余判定,再决定是否进行计算。
通过将本发明包含的以上四个流程嵌入到属性基加密的加解密算法中,即可以实现属性基加密密文的冗余消除。
访问控制树结构调整算法是从访问控制树根节点开始执行的递归算法,主要算法步骤如下:
步骤1:判定当前输入节点N(最初为根节点)是否为AND节点或OR节点,如果不是,转步骤5;
步骤2:初始化孩子节点集合S为空集,待测试节点集合S’为当前输入节点N的所有孩子节点;
步骤3:循环访问待测试节点集合S’中的节点N’,若节点类型与当前输入节点N相同,则将N’的所有孩子节点加入待测试节点集合S’中,否则直接将N’放入孩子节点集合S;
步骤4:为当前节点N与孩子节点集合S中的所有节点建立父子关系,使得集合S中所有节点均成为N的孩子节点;
步骤5:对当前节点的所有孩子节点递归调用本算法。
非叶子节点秘密构造算法同样为从根节点开始的递归算法,算法步骤如下:
步骤1:调用冗余判定算法,若当前输入节点N是已出现的冗余节点,则直接访问对应的秘密,否则转步骤2;
步骤2:递归对所有N的所有孩子节点调用节点秘密构造算法,得到每个孩子节点的秘密;
步骤3:若当前输入节点N为AND节点,直接使用拉格朗日插值法生成当前节点的秘密,转步骤5,否则转步骤4;
步骤4:当前输入节点N非AND节点,则首先随机选取一个秘密作为N的秘密值,并用拉格朗日插值计算出对应的各个子节点的新秘密,对每个子节点,生成额外信息,维护子节点本身的秘密与刚生成的新秘密之间的联系,保存该额外信息;
步骤5:将当前输入节点N及它对应的秘密存入冗余哈希表。
冗余判定流程中,核心的技术思路是建立一个冗余哈希表,以针对每个访问控制子结构生成一个哈希值,然后将哈希值与对应的秘密值放入该哈希表,则判定只需要查询哈希表中是否存在值即可。
因此冗余判定的核心是生成访问控制子树的哈希值,哈希生成的算法同样是一个由根节点出发的递归算法,包含如下步骤。
步骤1:调用本算法,生成当前节点的各个子节点哈希值
步骤2:将所有子节点哈希按字典序排序,得到哈希序列{H1,H2,…}
步骤3:将该节点类型与上述哈希序列作为输入,调用一个接受任意长度输入的哈希函数,得到当前节点哈希值。
图3给出的是本发明的一个示例性实施例,最初输入时有两个文件和两个访问控制树表示的规则,步骤(1)调用访问控制树结构调整算法,使得两个文件的访问控制树中的AND节点均调整到一致的结构,之后步骤(2)进行叶子节点秘密构造,得到各个属性对应的秘密值,然后步骤(3),(4)表示调用非叶子节点秘密构造及冗余判定算法,按照自下往上的顺序,计算出各个节点的秘密值,并得到两个文件的秘密值s0与s1。
这个流程在加密时进行调用,调用完成后,加密算法再根据各个节点的秘密值用传统的属性基加密方案进行加密,即可得到最终的密文。
综上,本发明在加密云存储中,使用属性基加密实现访问控制的场景下,通过比对不同文件的访问控制规则,并修改原有的密文构造策略,实现属性基加密密文部分冗余消除。本发明是在原有属性基加密技术中加解密算法的修改与延伸,本发明的核心思想为重用不同访问规则中相同的部分。
Claims (7)
1.一种基于规则冗余消除的加密环境中访问控制方法,在密文构造中,先根据叶子节点属性确定各个叶子的秘密,再按树结构自叶子往上构造非叶子节点的秘密,从而确定所有节点的秘密,然后递归构造防止冗余计算出现,所述根据叶子节点属性确定各个叶子的秘密的方法是根据叶子节点属性随机选取一些秘密,然后赋给叶子节点,具体包括以下两个步骤:
步骤1.取出全部属性集合,针对每一个属性,随机选取一个数值作为它的秘密,第i个属性得到秘密s[i];
步骤2.遍历访问控制树的所有叶子节点,对于节点N,将N的属性对应的秘密赋值给N,亦即,假设N的属性为A(N),则s[N]=s[A(N)];
在叶子节点秘密确定后,执行非叶子节点秘密构造算法,使非叶子节点将通过递归的方式自叶子往根构造各个节点的秘密,最终生成每一个文件的秘密,即对应访问控制树的根秘密;
其特征在于,所述非叶子节点秘密构造算法为从根节点开始的递归算法,包括如下步骤:
步骤1:调用冗余判定算法,若当前输入节点N是已出现的冗余节点,则直接访问对应的秘密,否则转步骤2;
步骤2:递归对所有N的所有孩子节点调用节点秘密构造算法,得到每个孩子节点的秘密;
步骤3:若当前输入节点N为AND节点,直接使用拉格朗日插值法生成当前节点的秘密,转步骤5,否则转步骤4;
步骤4:当前输入节点N非AND节点,则首先随机选取一个秘密作为N的秘密值,并用拉格朗日插值计算出对应的各个子节点的新秘密,对每个子节点,生成额外信息,维护子节点本身的秘密与刚生成的新秘密之间的联系,保存该额外信息;
步骤5:将当前输入节点N及它对应的秘密存入冗余哈希表。
2.根据权利要求1所述基于规则冗余消除的加密环境中访问控制方法,其特征在于,在确定各个叶子的秘密之前,先执行访问控制树结构调整算法,将输入的访问控制规则对应的访问控制树调整为统一的结构,以防止相同表达能力的访问控制结构被判定为不相同,保证判定的准确性。
3.根据权利要求2所述基于规则冗余消除的加密环境中访问控制方法,其特征在于,所述访问控制树结构调整算法是从访问控制树根节点开始执行的递归算法,包括如下步骤:
步骤1:判定当前输入节点N是否为AND节点或OR节点,如果不是,转步骤5;
步骤2:初始化孩子节点集合S为空集,待测试节点集合S’为当前输入节点N的所有孩子节点;
步骤3:循环访问待测试节点集合S’中的节点N’,若节点类型与当前输入节点N相同,则将N’的所有孩子节点加入待测试节点集合S’中,否则直接将N’放入孩子节点集合S;
步骤4:为当前节点N与孩子节点集合S中的所有节点建立父子关系,使得集合S中所有节点均成为N的孩子节点;
步骤5:对当前节点的所有孩子节点递归调用本算法。
4.根据权利要求1所述基于规则冗余消除的加密环境中访问控制方法,其特征在于,对表达能力相同的多余的非叶子节点进行合并。
5.根据权利要求1所述基于规则冗余消除的加密环境中访问控制方法,其特征在于,在递归计算某个节点的秘密时,执行访问控制子树冗余判定算法,先进行一次冗余判定,再决定是否进行计算,以防止访问控制子树结构相同的两个节点的密文重复使用及重复计算。
6.根据权利要求5所述基于规则冗余消除的加密环境中访问控制方法,其特征在于,所述访问控制子树冗余判定算法的核心是生成访问控制子树的哈希值,哈希生成的算法是一个由根节点出发的递归算法,包括如下步骤:
步骤1:调用本算法,生成当前节点的各个子节点哈希值;
步骤2:将所有子节点哈希值按字典序排序,得到哈希序列{H1,H2,…}
步骤3:将该节点类型与上述哈希序列作为输入,调用一个接受任意长度输入的哈希函数,得到当前节点哈希值。
7.根据权利要求1所述基于规则冗余消除的加密环境中访问控制方法,其特征在于,
通过引入冗余判定算法,使得计算过程中避免已经出现的结构被重复计算,同时通过引入额外信息,使得去冗余的过程中能保证算法的正确性;
通过在各个叶子节点上递归调用自身,并形成叶子节点哈希序列,然后将自身类型放入哈希求值过程中,使得结构相同的不同访问控制子树一定能得到相同的哈希值,且复杂度为线性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610245485.XA CN105790929B (zh) | 2016-04-19 | 2016-04-19 | 一种基于规则冗余消除的加密环境中访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610245485.XA CN105790929B (zh) | 2016-04-19 | 2016-04-19 | 一种基于规则冗余消除的加密环境中访问控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105790929A CN105790929A (zh) | 2016-07-20 |
CN105790929B true CN105790929B (zh) | 2018-12-28 |
Family
ID=56397968
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610245485.XA Active CN105790929B (zh) | 2016-04-19 | 2016-04-19 | 一种基于规则冗余消除的加密环境中访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105790929B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110378109A (zh) * | 2019-06-26 | 2019-10-25 | 中国科学院信息工程研究所 | 降低链式哈希栈性能损耗的方法及*** |
CN110445793B (zh) * | 2019-08-13 | 2021-04-06 | 四川长虹电器股份有限公司 | 一种拥有节点线程级别无冗余计算的分析引擎的分析方法 |
CN110647322B (zh) * | 2019-08-15 | 2020-12-18 | 北京三快在线科技有限公司 | 列表渲染方法、装置、电子设备和计算机可读介质 |
CN112565167A (zh) * | 2019-09-26 | 2021-03-26 | 华为数字技术(苏州)有限公司 | 一种访问控制列表acl的检测方法及网络设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102810141A (zh) * | 2011-06-01 | 2012-12-05 | 哈尔滨市和协岛数码科技有限公司 | 一种基于属性加密的租赁软件授权方法 |
CN103220291A (zh) * | 2013-04-09 | 2013-07-24 | 电子科技大学 | 一种基于属性加密算法的访问控制方法 |
CN104572430A (zh) * | 2013-10-24 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 一种终端应用界面的测试方法、装置和*** |
CN105141574A (zh) * | 2015-06-12 | 2015-12-09 | 深圳大学 | 一种基于表格属性的云存储密文访问控制*** |
-
2016
- 2016-04-19 CN CN201610245485.XA patent/CN105790929B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102810141A (zh) * | 2011-06-01 | 2012-12-05 | 哈尔滨市和协岛数码科技有限公司 | 一种基于属性加密的租赁软件授权方法 |
CN103220291A (zh) * | 2013-04-09 | 2013-07-24 | 电子科技大学 | 一种基于属性加密算法的访问控制方法 |
CN104572430A (zh) * | 2013-10-24 | 2015-04-29 | 腾讯科技(深圳)有限公司 | 一种终端应用界面的测试方法、装置和*** |
CN105141574A (zh) * | 2015-06-12 | 2015-12-09 | 深圳大学 | 一种基于表格属性的云存储密文访问控制*** |
Non-Patent Citations (1)
Title |
---|
Achieving Secure,Scalable,and Fine-grained Data Access Control in cloud Computing;Shucheng Yu etc.;《IEEE》;20100506;第3-11页 * |
Also Published As
Publication number | Publication date |
---|---|
CN105790929A (zh) | 2016-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Xue et al. | An attribute-based controlled collaborative access control scheme for public cloud storage | |
CN114065265B (zh) | 基于区块链技术的细粒度云存储访问控制方法、***及设备 | |
CN105871543B (zh) | 多数据拥有者背景下基于属性的多关键字密文检索方法 | |
CN109120639A (zh) | 一种基于区块链的数据云存储加密方法及*** | |
CN104363215B (zh) | 一种基于属性的加密方法和*** | |
CN107634829A (zh) | 基于属性的可搜索加密电子病历***及加密方法 | |
CN108200181B (zh) | 一种面向云存储的可撤销属性基加密***及方法 | |
CN111130757A (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
CN106059763B (zh) | 云环境下属性基多机构层次化密文策略权重加密方法 | |
CN108833393A (zh) | 一种基于雾计算的可撤销数据共享方法 | |
CN105100083B (zh) | 一种隐私保护且支持用户撤销的基于属性加密方法和*** | |
Zaghloul et al. | P-MOD: Secure privilege-based multilevel organizational data-sharing in cloud computing | |
CN103618729A (zh) | 一种应用于云存储的多机构层次化属性基加密方法 | |
CN108418784A (zh) | 一种基于属性密码的分布式跨域授权和访问控制方法 | |
CN105790929B (zh) | 一种基于规则冗余消除的加密环境中访问控制方法 | |
CN108111540A (zh) | 一种云存储中支持数据共享的分层访问控制***及方法 | |
CN108200066A (zh) | 一种基于属性加密的物流大数据访问控制***及方法 | |
CN109361644A (zh) | 一种支持快速搜索和解密的模糊属性基加密方法 | |
CN107547530A (zh) | 移动云环境下基于属性的在线/离线关键字搜索方法及其云计算应用*** | |
CN110035067A (zh) | 云存储中支持高效数据去重和属性撤销的属性加密方法 | |
CN106936820A (zh) | 数据变长修改方法及其在大数据加密中的应用 | |
Moe et al. | Enhanced honey encryption algorithm for increasing message space against brute force attack | |
CN106888213B (zh) | 云密文访问控制方法及*** | |
CN113949541B (zh) | 一种基于属性策略的dds安全通信中间件设计方法 | |
CN107294701A (zh) | 具有高效密钥管理的多维密文区间查询装置及查询方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |