CN105978689B - 一种抗密钥泄漏的云数据安全共享方法 - Google Patents

一种抗密钥泄漏的云数据安全共享方法 Download PDF

Info

Publication number
CN105978689B
CN105978689B CN201610497226.6A CN201610497226A CN105978689B CN 105978689 B CN105978689 B CN 105978689B CN 201610497226 A CN201610497226 A CN 201610497226A CN 105978689 B CN105978689 B CN 105978689B
Authority
CN
China
Prior art keywords
key
data
user
private key
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201610497226.6A
Other languages
English (en)
Other versions
CN105978689A (zh
Inventor
熊虎
闫东杰
秦臻
苑晨
蔡浩庭
卢震宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN201610497226.6A priority Critical patent/CN105978689B/zh
Publication of CN105978689A publication Critical patent/CN105978689A/zh
Application granted granted Critical
Publication of CN105978689B publication Critical patent/CN105978689B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种抗密钥泄漏的云数据安全共享方法,实现了云数据的安全共享并能够抵抗数据共享中的密钥泄漏问题。该方法在公钥加密的基础上,利用代理重加密技术实现云数据的安全共享,同时结合具有并行性的密钥隔离技术,为***中的每一位用户分别配备两个独立的物理安全的协助者。通过将***生命周期划分为不同的时间片,在相邻的两个时间片更替时,两个协助者帮助其指定用户进行用户私钥的更新,实现在不同的时间片内,用户拥有不同的私钥。因此,当单个或者部分时间片的用户私钥发生泄漏时,不会影响***在其他时间片的安全性。所以该方法可以抵抗云数据安全共享中的密钥泄漏问题。

Description

一种抗密钥泄漏的云数据安全共享方法
技术领域
本发明涉及云计算及信息安全领域,具体地讲,是在云环境下的一种抗密钥泄漏的云数据安全共享方法,该方法不仅能够实现云数据的安全共享,还能够抵抗相关用户的密钥泄漏造成的威胁。
背景技术
云计算以其强大的存储和计算能力为最主要的特点。所有的用户可以共享云服务器的软硬件资源和信息,并且云服务器按需为用户提供服务。
云计算包括软件即服务、平台即服务和基础设施即服务三种服务模式。在云计算环境中,用户可以从远程外包存储其数据,可以获得按需式的高质量的应用和服务。同时,用户可以摆脱本地数据存储和维护的负担。
云计算的特点和优势为用户之间的数据共享提供了便利,但是,用户需要上传的数据有可能是具有个人隐私的一些敏感数据,这些数据只能对一些特定的其他用户共享,而不能对一些恶意用户或者数据拥有者所不希望公开的用户(包括云服务器)公布。所以用户在上传数据之前需要对数据进行加密操作。
现有的对云数据安全共享方法主要是采用代理重加密技术,云服务器利用重加密密钥对原始密文进行重加密操作,将原始密文转换为数据使用者能够解密的新密文,在解密该新密文时,数据使用者只需要自己的私钥即可。在整个过程中云服务器只能获得原始密文和重加密密钥,但其不能获得任何明文信息。
但是,现有的云数据安全共享方法都存在一个缺陷,也就是不能够抵抗用户密钥泄漏问题,如果用户的私钥发生泄漏,则敌手可以解密任何与用户相关的加密数据。这对于数据安全来说是不能容忍的。
发明内容
为了克服上述现有云数据安全共享方法的不足,本发明提供了一个抗密钥泄漏的云数据安全共享方法,首先采用代理重加密技术保证云数据的安全性和共享性,然后结合密钥隔离技术,保证云数据共享过程中能够抵抗密钥泄漏问题,从而实现一个抗密钥泄漏的云数据安全共享方法。
本发明所采用的技术方案是:数据拥有者加密共享数据并上传至云服务器,云服务器扮演代理的角色,并利用重加密密钥对原始密文进行重新加密的操作,将原始密文转换为数据使用者能够利用自己私钥解密的新密文。为达到抵抗密钥泄漏的特性,本方法将整个***的生命周期划分为n个不同的时间片,在整个***生命周期中,用户公钥保持不变,但在不同的时间片内,用户采用不同的私钥来进行解密操作,具体地,每个用户都拥有一个独一无二的物理绝对安全的协助者,用来协助用户在时间片交替时更新用户私钥。因此,单个或者部分时间片的私钥发生泄漏并不会影响其他时间片数据的安全性。
本发明中的云数据安全共享***涉及四个实体:云服务器、数据拥有者A、数据使用者B、物理安全的协助者(不同用户的协助者不同)。
云服务器:云服务器维护一些云基础设施,包括带宽、存储设备和拥有高计算能力的服务器。在该***中,云服务器主要提供两种服务,即数据存储和重加密。另外,该***假设云服务器为半可信服务器,也就是能够正确执行相关算法,但对相关的明文信息保持好奇。
数据拥有者A:该实体是要共享的数据的拥有者,负责加密并上传数据。另外,在重加密操作之前,该实体负责计算生成重加密密钥并发送给云服务器。
数据使用者B:该实体是所共享的数据的使用者,即数据请求者。该实体向云服务器发送数据请求,并获得云服务器回送的重加密后的新密文,然后用自己的私钥进行解密。
物理安全的协助者:每个用户都拥有一个唯一的物理安全的协助者,该协助者拥有自己的主私钥,在时间片更替时,该实体利用自己的主私钥协助用户更新用户私钥。
本发明共由七个算法组成。
(1)密钥生成(KeyGen):该算法选取安全参数,并分别为数据拥有者和数据使用者生成公钥和对应的用户初始私钥以及协助者主私钥。
(2)协助者密钥更新(Update*):该协助者是一个物理绝对安全但计算能力受限制的设备,在相邻的两个时间片更替时,协助者运行该算法,利用协助者主私钥生成一个用于更新用户私钥的协助者更新密钥。
(3)用户密钥更新(Update):在相邻的两个时间片更替时,该算法由用户运行,利用上一个算法生成的协助者更新密钥,用户通过该算法生成一个对应于新的时间片的用户私钥。
(4)重加密密钥生成(ReKeyGen):该算法由数据拥有者运行,数据拥有者利用数据使用者的公钥、自己的私钥以及所选取的时间片,生成对应的重加密密钥,该密钥用于对要共享的加密数据进行重新加密。
(5)数据加密(Enc):该算法由数据拥有者运行,数据拥有者利用自己的公钥和对应的时间片对要共享的数据进行加密,并上传至云服务器。
(6)数据重加密(ReEnc):该算法由云服务器运行,云服务器利用已生成的重加密密钥对用户上传的加密数据进行重新加密,将原始密文转换为可以被数据使用者解密的新密文。
(7)数据解密(Dec):对于原始加密数据来说,只能被数据拥有者利用自己的私钥进行解密,对于重加密之后的新密文来说,只能被数据使用者利用自己的私钥进行解密。
与传统方法相比,本发明的有益效果是:解决了云数据安全共享中的密钥泄漏问题,减少了因用户密钥泄漏对***造成的危害。
附图说明
图1是本发明所述的抗密钥泄漏的云数据安全共享方法的***模型图。
具体实施方式
参照附图1,本发明所述方法涉及的实体包括:云服务器、数据拥有者A、数据使用者B、协助者A和协助者B。
本发明所述方法由七个具体算法组成,具体实施过程如下:
KeyGen:输入安全参数lk,随机选取q,使得|q|=k,输出两个阶为q的群和一个双线性映射运算其中的生成元为g,***公共参数为g,e;然后为相关用户生成对应的公钥和私钥:对于数据拥有者A来说,其公钥为其协助者主私钥为其初始私钥为对于数据使用者B来说,其公钥为其协助者主私钥为其初始私钥为
Update*:在时间片i-1∈{0,1,...,t-1}结束时,用户的协助者运行算法Update*,为下一个时间片i∈{1,2,...,t)生成协助者更新密钥SK′A,i=x′i,其中
Update:输入协助者更新密钥x′i和用户上一个时间片i-1∈{0,1,...,t-1}的临时私钥SKA,i-1,该算法通过计算输出xi作为用户在时间片i∈{1,2,...,t}的私钥SKA,i
ReKeyGen:该算法首先以数据使用者的公钥和时间片i∈{1,2,...,t}作为输入,计算然后利用数据拥有者的私钥SKA,i计算最后数据拥有者将作为重加密密钥发送给云服务器。
Enc:该算法以数据拥有者的公钥PKA,i作为输入,随机选取计算得到原始密文C=(C1,C2),其中C2=e(g,g)r·M,并将C发送给云服务器。
ReEnc:该算法利用重加密密钥对密文C进行重加密,计算得到C′=(C′1,C2)。并将该重加密密文发送给数据使用者B。
Dec:对于原始密文C来说,数据拥有者A可以利用xi通过计算获得对应的明文M;对于重加密密文C′来说,数据使用者B执行算法Dec,利用yi计算获得明文。

Claims (1)

1.一种抗密钥泄漏的云数据安全共享方法,其特征在于,包括下列步骤:
步骤1、抗密钥泄露的云数据共享***初始化及密钥生成KeyGen:设定***的安全参数,为数据拥有者A和数据使用者B生成公钥PKA,PKB和初始私钥SKA,SKB,以及相应的协助者主私钥具体包括:
输入安全参数1k,随机选取q,使得|q|=k,输出两个阶为素数q的群和一个双线性映射运算e:其中的生成元为g,***公共参数为g,e;然后为相关用户生成对应的公钥和私钥:对于数据拥有者A来说,其公钥为其协助者主私钥分别为其初始私钥为对于数据使用者B来说,其公钥为其协助者主私钥分别为其初始私钥为
步骤2、协助者密钥更新Update*:利用一个物理绝对安全但计算能力受限制的设备,作为此抗密钥泄露的云数据共享***的协助者,整个***时间被划分为t个时间片,在相邻的两个时间片更替时,协助者利用其主私钥生成一个用于更新用户私钥的协助者更新密钥SK′A,i;具体包括:
在时间片i-1∈{0,1,...,t-1}结束时,为下一个时间片i∈{1,2,...,t}生成协助者更新密钥SK′A,i=x′i,其中
步骤3、用户密钥更新Update:在相邻的两个时间片更替时,利用上一个阶段生成的协助者更新密钥SK′A,i,用户可以生成一个对应于新的时间片的用户私钥SKA,i;具体包括:
输入协助者更新密钥x′i和用户上一个时间片i-1∈{0,1,...,t-1}的临时私钥SKA,i-1,计算并输出xi作为数据拥有者在时间片i∈{1,2,...,t}的私钥SKA,i
步骤4、重加密密钥生成ReKeyGen:数据拥有者A利用自己的私钥SKA,i和数据使用者B的公钥PKB,在时间片i内生成对应的重加密密钥用于重新加密需要共享的加密数据;具体包括:输入数据使用者B的公钥数据使用者A在时间片i∈{1,2,...,t}内计算然后利用数据拥有者A的私钥SKA,i计算最后数据拥有者将作为重加密密钥发送给云服务器;
步骤5、数据加密Enc:数据拥有者A在时间片i利用自己的公钥PKA对要共享的数据进行加密,并上传至云服务器;具体包括:
输入数据拥有者A的公钥PKA,随机选取计算得到原始密文C=(C1,C2),其中C2=e(g,g)r·M,并将C发送给云服务器;
步骤6、数据重加密ReEnc:云服务器利用已生成的重加密密钥对用户上传的加密数据进行重新加密,将原始密文C转换为可以被数据使用者B解密的新密文C′;具体包括:
利用重加密密钥对密文C进行重加密,计算得到重加密密文C′=(C′1,C2),并将该重加密密文发送给数据使用者B;
步骤7、数据解密Dec:数据拥有者A利用自己的私钥SKA,i对于原始密文C进行解密获得明文M,数据使用者B利用自己的私钥对重加密的新密文C′进行解密获得明文M;具体包括:
对于原始密文C来说,数据拥有者A可以利用xi通过计算获得对应的明文M;对于重加密密文C′来说,数据使用者B执行Dec,利用yi计算获得明文。
CN201610497226.6A 2016-06-28 2016-06-28 一种抗密钥泄漏的云数据安全共享方法 Expired - Fee Related CN105978689B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610497226.6A CN105978689B (zh) 2016-06-28 2016-06-28 一种抗密钥泄漏的云数据安全共享方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610497226.6A CN105978689B (zh) 2016-06-28 2016-06-28 一种抗密钥泄漏的云数据安全共享方法

Publications (2)

Publication Number Publication Date
CN105978689A CN105978689A (zh) 2016-09-28
CN105978689B true CN105978689B (zh) 2019-12-24

Family

ID=57020492

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610497226.6A Expired - Fee Related CN105978689B (zh) 2016-06-28 2016-06-28 一种抗密钥泄漏的云数据安全共享方法

Country Status (1)

Country Link
CN (1) CN105978689B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483883B (zh) * 2017-07-19 2019-12-20 中标慧安信息技术股份有限公司 一种智能数据交互的方法及装置
CN108847928B (zh) * 2018-04-26 2021-04-06 如般量子科技有限公司 基于群组型量子密钥卡实现信息加解密传输的通信***和通信方法
CN109660332A (zh) * 2019-01-21 2019-04-19 电子科技大学 一种基于无证书的并行密钥隔离签密方法
CN112152779B (zh) * 2020-09-29 2022-05-06 黑龙江大学 一种抗强合谋攻击的格基同态代理重加密方法
CN113360886B (zh) * 2021-04-23 2023-02-28 山东英信计算机技术有限公司 一种加密数据共享的方法、装置、设备及可读介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103414557A (zh) * 2013-08-29 2013-11-27 青岛大学 新型的密钥隔离签名的方法及***
CN103647642A (zh) * 2013-11-15 2014-03-19 河海大学 一种基于证书代理重加密方法及***
CN104980477A (zh) * 2014-04-14 2015-10-14 航天信息股份有限公司 云存储环境下的数据访问控制方法和***

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103414557A (zh) * 2013-08-29 2013-11-27 青岛大学 新型的密钥隔离签名的方法及***
CN103647642A (zh) * 2013-11-15 2014-03-19 河海大学 一种基于证书代理重加密方法及***
CN104980477A (zh) * 2014-04-14 2015-10-14 航天信息股份有限公司 云存储环境下的数据访问控制方法和***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
可代理的基于身份的密钥隔离技术研究;吴韬;《中国优秀硕士学位论文全文数据库 信息科技辑》;20101115;第I136-154页 *
密钥隔离密码***研究现状;秦志光 等;《计算机学报》;20150430;第759-774页 *

Also Published As

Publication number Publication date
CN105978689A (zh) 2016-09-28

Similar Documents

Publication Publication Date Title
CN106533650B (zh) 面向云端的交互型隐私保护方法和***
US9426131B2 (en) Server apparatus and program to re-encrypt ciphertext data
CN105978689B (zh) 一种抗密钥泄漏的云数据安全共享方法
JP5851558B2 (ja) 再暗号化鍵生成装置、再暗号化装置及びプログラム
CN106534313B (zh) 面向云端数据发布保护安全及隐私的频度测定方法和***
CN106375346B (zh) 一种云环境下基于条件广播代理重加密的数据保护方法
JP5361920B2 (ja) ファイルサーバシステム
CN108632030B (zh) 一种基于cp-abe的细粒度访问控制方法
WO2014007310A1 (ja) 秘密分散システム、データ分散装置、分散データ変換装置、秘密分散方法、およびプログラム
JP6313074B2 (ja) データ管理装置、システム、データ共有装置及びプログラム
JP6194886B2 (ja) 暗号化統計処理システム、復号システム、鍵生成装置、プロキシ装置、暗号化統計データ生成装置、暗号化統計処理方法、および、暗号化統計処理プログラム
CN105933345B (zh) 一种基于线性秘密共享的可验证外包属性基加密方法
JPWO2019130528A1 (ja) 変換鍵生成装置、暗号文変換装置、秘匿情報処理システム、変換鍵生成方法、変換鍵生成プログラム、暗号文変換方法及び暗号文変換プログラム
WO2020143131A1 (zh) 一种可撤销的云数据安全共享方法
CN103607278A (zh) 一种安全的数据云存储方法
CN113411323B (zh) 基于属性加密的医疗病历数据访问控制***及方法
JP2017044779A (ja) 検索可能暗号処理システム
CN102907041B (zh) 一种数据共享***、数据分发***以及数据保护方法
JP6266130B2 (ja) 暗号システム、マスター鍵更新装置及びマスター鍵更新プログラム
JP5469618B2 (ja) 暗号化システム、復号方法、鍵更新方法、鍵生成装置、受信装置、代理計算装置、プログラム
CN114531293B (zh) 一种跨信任域的基于身份代理重加密方法
KR101133988B1 (ko) 해쉬 트리 기반의 스트림 암호화 및 복호화 방법과 암호 파일 시스템
CN111431711B (zh) 一种固定秘钥长度的轻量级cpabe方法
CN113792315A (zh) 一种支持块级加密去重的云数据访问控制方法及控制***
CN113609502A (zh) 一种基于区块链的空间众包***及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20191224

Termination date: 20200628

CF01 Termination of patent right due to non-payment of annual fee