CN106209774A - 基于不可区分混淆的云服务外包访问权限控制方法 - Google Patents

基于不可区分混淆的云服务外包访问权限控制方法 Download PDF

Info

Publication number
CN106209774A
CN106209774A CN201610473127.4A CN201610473127A CN106209774A CN 106209774 A CN106209774 A CN 106209774A CN 201610473127 A CN201610473127 A CN 201610473127A CN 106209774 A CN106209774 A CN 106209774A
Authority
CN
China
Prior art keywords
cloud service
ciphertext
authorized user
service provider
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610473127.4A
Other languages
English (en)
Other versions
CN106209774B (zh
Inventor
高军涛
吕留伟
朱秀芹
李雪莲
王丹妮
王誉晓
王笠燕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201610473127.4A priority Critical patent/CN106209774B/zh
Publication of CN106209774A publication Critical patent/CN106209774A/zh
Application granted granted Critical
Publication of CN106209774B publication Critical patent/CN106209774B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于不可区分混淆的云服务外包访问权限控制方法,克服了现有技术中仅有可信第三方进行一次混淆的缺点,仅由群主进行密钥分发的缺点,实现步骤为:(1)初始化;(2)身份注册;(3)密钥分发;(4)匹配用户认证;(5)服务部署;(6)数据上传;(7)计算密文;(8)获取输出结果;(9)访问密文。采用不可区分混淆技术实现了对云服务外包中密文访问权限的有效控制和对服务使用者的云服务使用权限的更新。

Description

基于不可区分混淆的云服务外包访问权限控制方法
技术领域
本发明属于物理技术领域,更进一种涉及密码术技术领域中的一种基于不可区分混淆的云服务外包访问权限控制方法。本发明可应用于云服务外包中对云服务使用者进行有效的访问权限控制,授权中心和服务提供者可以共同完成对服务使用者密文的访问。
背景技术
云服务外包是服务提供商在自身计算或存储能力不足的情况下,借助于云服务器的强大的计算和存储能力使服务提供商能够进行安全的外包计算,从而能够将服务提供商的服务程序安全的部署到云服务器上。随着计算机的应用越来越广泛,软件或者服务开发者已经不再局限于某些专业的互联网公司,比如某些金融类,设计类等计算机资源欠缺的公司,设计了具备某种计算功能的程序,但由于自身资源和计算能力的局限性,无法完成该程序的计算,这些公司就需要将这些程序交给大型外包公司进行部署,那么这就可能会泄露该程序的敏感信息,以及使用该程序的用户的隐私信息。云服务外包技术能够更加合理地达到资源配置,节约社会成本,创造更多财富。如何在进行服务外包的同时,不会影响服务程序知识产权保护问题,同时不会泄露使用该程序的用户的输入和输出的任何信息,甚至用户的身份信息,是目前云服务外包的一个亟需解决的问题。
同济大学在其申请的专利“一种加密群签名的混淆方法”(公开号:104917617A,申请号:201510275377.2,申请日:2015年05月26日)中公开了一种加密群签名的混淆方法。该方法由群主构建签名群,获取主私钥和追踪密钥,信息接收者通过EKGen算法获取各自的公私钥,群主通过Enroll算法获取群内成员的签名追踪信息和与各自ID对应的签名密钥并将签名密钥发送给对应的群内成员,然后利用混淆算法将群成员的初始加密群签名算法及群成员签名密钥进行混淆处理,得到混淆后的加密群签名算法,然后就可以使用该混淆后算法进行信息秘密发送。该方法存在的不足之处是,首先该专利仅由完全可信的群主对群签名算法进行一次混淆,导致群主访问权限过大。其次,该专利仅由群主对群成员进行密钥分发,无法对群成员的访问权限进行更新,影响了群主对群成员访问权限的控制。最后,该专利只是对群签名算法进行了混淆,应用范围过于狭窄,不利于推广和使用。
发明内容
本发明的目的在于针对上述现有技术中,仅对群签名算法进行混淆的过程,无法保证现实生活中上述技术的普遍适用性,同时会导致现有技术的方法中,参与方无法进行访问权限更新的问题,提出了一种基于不可区分混淆的云服务外包访问权限控制方法。
本发明的思路是,首先由授权中心和服务提供商共同完成对用户的认证过程,然后由服务提供商和授权中心先后对云服务程序进行不可区分混淆计算,最后由授权中心将混淆后的程序部署到云服务器上,实现用户安全使用云服务程序的同时,保证了对用户密文进行有效访问权限控制,且不会导致访问权限的滥用。
本发明的实现的具体步骤如下:
(1)初始化:
(1a)授权中心任意选取一个有限域Fq,其中,q表示随机选取的大素数,将有限域Fq输入到伪随机生成器PRG,生成安全主密钥MSK,并秘密保存安全主密钥MSK;
(1b)授权中心选取安全Hash算法MD5,并公开安全Hash算法MD5;
(1c)授权中心公开有限域Fq,伪随机生成器RPG;
(2)身份注册:
(2a)用户向用户身份信息库申请身份注册,获得与用户身份信息库唯一对应的用户身份信息ID;
(2b)用户将用户身份信息ID提交给授权中心;
(2c)授权中心判断获取的用户身份信息ID与用户身份信息库是否匹配,若是,则执行步骤(3),否则,拒绝注册;
(3)密钥分发:
(3a)授权中心按照下式,计算匹配用户公钥:
pk=H(ID)
其中,pk表示匹配用户公钥,H表示安全Hash算法MD5操作,ID表示匹配用户身份信息;
(3b)授权中心按照下式,计算匹配用户私钥:
sk=MSK*H(ID)
其中,sk表示匹配用户私钥,MSK表示授权中心主密钥,*表示相乘操作,H表示安全Hash算法MD5操作,ID表示匹配用户身份信息;
(3c)授权中心将匹配用户公钥和匹配用户私钥发送给匹配用户;
(3d)匹配用户将匹配用户私钥秘密保存;
(3e)服务提供商在获取由授权中心分发的服务提供商初始私钥sk'和服务提供商初始公钥pk'后,将有限域Fq输入到伪随机生成器PRG中,生成随机数x1
(3f)服务提供商计算服务提供商公钥和服务提供商私钥;
(3g)服务提供商将服务提供商公钥公开,将服务提供商私钥秘密保存;
(4)匹配用户认证:
(4a)匹配用户将匹配用户身份信息和匹配用户公钥提交给服务提供商;
(4b)服务提供商计算匹配用户身份标识;
(4d)服务提供商将匹配用户身份标识发送给匹配用户;
(4e)匹配用户收到匹配用户身份标识后,将匹配用户身份标识秘密保存;
(5)服务部署:
(5a)服务提供商自定义产生初始云服务电路,用Prog表示初始云服务电路;
(5b)服务提供商对初始云服务电路进行混淆操作,得到初步混淆后的云服务电路;
(5c)服务提供商将经服务提供商初步混淆后的云服务电路Prog'提交给授权中心;
(5d)授权中心对初步混淆后的云服务电路进行混淆操作,得到云服务电路;
(5e)授权中心将云服务电路Prog”部署到云服务器上;
(6)数据上传:
(6a)授权用户将有限域Fq输入到伪随机生成器PRG中生成会话密钥,授权用户秘密保存会话密钥;
(6b)授权用户计算授权用户密文;
(6c)授权用户将授权用户密文发送给云服务器;
(7)计算密文:
(7a)云服务器收到授权用户密文后,将授权用户密文输入到云服务电路Prog”中;
(7b)云服务电路Prog”按照下式,计算授权用户密文验证输出:
v=Verify(upk,Sig1)
其中,v表示授权用户密文验证输出,Verify表示基于身份签名技术IBS的验证操作,upk表示授权用户公钥,Sig1表示授权用户签名;
(7c)判断授权用户密文验证输出是否为1,若是,则执行步骤(7d),否则,拒绝服务并终止计算;
(7d)云服务电路Prog”计算授权用户密文,得到云服务输出的密文;
(7e)云服务电路Prog”将云服务输出的密文发送给授权用户;
(8)获取云服务输出:
(8a)授权用户按照下式,计算云服务输出:
r=Dec(k1,C2)
其中,r表示云服务输出,Dec表示AES安全对称解密操作,k1表示会话密钥,C2表示云服务输出的密文;
(8b)授权用户获得云服务输出;
(9)访问密文:
(9a)授权中心按照下式,计算会话密钥初始密文:
C 1 ′ ′ = D e c ( M S K , C ^ 1 )
其中,C1”表示会话密钥初始密文,Dec表示AES安全对称解密操作,MSK表示授权中心主密钥,表示会话密钥密文;
(9b)授权中心将会话密钥初始密文发送给服务提供商;
(9c)服务提供商计算会话密钥初始密文,得到会话密钥;
(9d)服务提供商将会话密钥发送给授权中心;
(9e)授权中心计算云服务输出的密文,得到云服务输出;
(9f)授权中心计算授权用户数据的密文,得到授权用户明文。
与现有技术相比,本发明具有以下优点:
第一,由于本发明的服务部署先由服务提供商对初始云服务电路进行混淆操作,然后由授权中心对初步混淆后的云服务电路进行混淆操作,克服了现有技术中仅由完全可信的群主对群签名算法进行一次混淆这一不足,使得本发明解决了可信第三方权限过大带来的隐私保护问题,实现了更安全的隐私保护。
第二,由于本发明的匹配用户认证由服务提供商计算匹配用户身份标识,克服了现有技术仅由群主对群成员进行密钥分发这一不足,使得本发明解决了无法对群成员的访问权限进行更新这一问题,实现了灵活的访问控制。
第三,由于本发明的服务部署由服务提供商自定义产生初始云服务电路,克服了现有技术只是对群签名算法进行混淆这一不足,使得本发明解决了云服务应用范围过于狭窄这一问题,推广了云服务的使用范围。
附图说明
图1为本发明的流程图;
图2为本发明服务部署示意图;
图3为本发明数据上传和计算密文示意图;
图4为本发明获取云服务输出和访问密文示意图。
具体实施方式
下面结合附图对本发明做进一步的描述。
参照附图1,本发明的具体步骤如下。
步骤1,初始化。
授权中心任意选取一个有限域Fq,其中,q表示随机选取的大素数,将有限域Fq输入到伪随机生成器PRG,生成安全主密钥MSK,并秘密保存安全主密钥MSK,授权中心选取安全Hash算法MD5,并公开安全Hash算法MD5,授权中心公开有限域Fq,伪随机生成器RPG。
步骤2,身份注册。
用户向用户身份信息库申请身份注册,获得与用户身份信息库唯一对应的用户身份信息ID,用户将用户身份信息ID提交给授权中心,授权中心判断获取的用户身份信息ID与用户身份信息库是否匹配,若是,则执行步骤3,否则,拒绝注册。
步骤3,密钥分发。
授权中心按照下式,计算匹配用户公钥:
pk=H(ID)
其中,pk表示匹配用户公钥,H表示安全Hash算法MD5操作,ID表示匹配用户身份信息。
授权中心按照下式,计算匹配用户私钥:
sk=MSK*H(ID)
其中,sk表示匹配用户私钥,MSK表示授权中心主密钥,*表示相乘操作,H表示安全Hash算法MD5操作,ID表示匹配用户身份信息。
授权中心将匹配用户公钥和匹配用户私钥发送给匹配用户,匹配用户将匹配用户私钥秘密保存。
服务提供商在获取由授权中心分发的服务提供商初始私钥sk'和服务提供商初始公钥pk'后,将有限域Fq输入到伪随机生成器PRG中,生成随机数x1,服务提供商计算服务提供商公钥和服务提供商私钥,服务提供商将服务提供商公钥公开,将服务提供商私钥秘密保存。
步骤4,匹配用户认证。
匹配用户将匹配用户身份信息和匹配用户公钥提交给服务提供商,服务提供商计算匹配用户身份标识,服务提供商将匹配用户身份标识发送给匹配用户,匹配用户收到匹配用户身份标识后,将匹配用户身份标识秘密保存。
步骤5,服务部署。
服务提供商自定义产生初始云服务电路,用Prog表示初始云服务电路,服务提供商对初始云服务电路进行混淆操作,得到初步混淆后的云服务电路,服务提供商将经服务提供商初步混淆后的云服务电路Prog'提交给授权中心,授权中心对初步混淆后的云服务电路进行混淆操作,得到云服务电路,授权中心将云服务电路Prog”部署到云服务器上。
参照附图2,图2表示服务部署,图2中的初始云服务电路表示服务提供商自定义产生的初始云服务电路,图2中的初步混淆后云服务电路表示由服务提供商进行初步混淆后得到的初步混淆后云服务电路,将初步混淆后云服务电路提交给授权中心,图2中的云服务电路表示授权中心对初步混淆后的云服务电路进行混淆后得到云服务电路,然后由授权中心将云服务电路部署到云服务器上。
步骤6,数据上传。
授权用户将有限域Fq输入到伪随机生成器PRG中生成会话密钥,授权用户秘密保存会话密钥,授权用户计算授权用户密文,授权用户将授权用户密文发送给云服务器。
参照附图3中的授权用户数据上传阶段,授权用户数据上传阶段表示数据上传步骤,图3中的数据明文表示授权用户明文,图3中的会话密钥表示授权用户利用伪随机生成器PRG生成会话密钥,图3中的数据密文表示用会话密钥安全对称加密数据明文得到的数据密文,图3中的密钥密文表示授权用户生成的会话密钥密文,授权用户用户将数据密文和会话密钥密文一起发送到云服务器。
步骤7,计算密文。
云服务器收到授权用户密文后,将授权用户密文输入到云服务电路Prog”中,云服务电路Prog”按照下式,计算授权用户密文验证输出:
v=Verify(upk,Sig1)
其中,v表示授权用户密文验证输出,Verify表示基于身份签名技术IBS的验证操作,upk表示授权用户公钥,Sig1表示授权用户签名。
判断授权用户密文验证输出是否为1,若否,则拒绝服务并终止计算,若是,则执行下一步骤,云服务电路Prog”计算授权用户密文,得到云服务输出的密文,云服务电路Prog”将云服务输出的密文发送给授权用户。
参照附图3中的云服务器计算密文阶段,表示计算密文步骤,图3中的验证输出表示云服务器首先计算密文验证输出,并判断授权用户密文验证输出是否为1,若输出不为1,终止计算,若输出为1,进行下一步计算,图3中的云服务输出的密文表示由云服务电路计算得到的云服务输出的密文。
步骤8,获取云服务输出。
授权用户按照下式,计算云服务输出:
r=Dec(k1,C2)
其中,r表示云服务输出,Dec表示AES安全对称解密操作,k1表示会话密钥,C2表示云服务输出的密文。
授权用户获得云服务输出。
参照附图4中的授权用户获取云服务输出,表示获取云服务输出步骤,图4中的会话密钥表示授权用户秘密保存的会话密钥,授权用户利用会话密钥解密云服务输出的密文得到云服务输出,同时授权用户可以利用会话密钥解密授权用户数据密文。
步骤9,访问密文。
授权中心按照下式,计算会话密钥初始密文:
C 1 ′ ′ = D e c ( M S K , C ^ 1 )
其中,C1”表示会话密钥初始密文,Dec表示AES安全对称解密操作,MSK表示授权中心主密钥,表示会话密钥密文。
授权中心将会话密钥初始密文发送给服务提供商,服务提供商计算会话密钥初始密文,得到会话密钥,服务提供商将会话密钥发送给授权中心,授权中心计算云服务输出的密文,得到云服务输出,授权中心计算授权用户数据的密文,得到授权用户明文。
参照附图4中的授权用户访问密文,表示访问密文,图4中的会话密钥密文表示授权中心得到的会话密钥密文,图4中授权中心首先计算会话密钥密文得到会话密钥初始密文,并将会话密钥初始密文发送给服务提供商,由服务提供商计算得到会话密钥,服务提供商将会话密钥发送给授权中心,授权中心就可以利用会话密钥解密得到云服务输出和授权用户数据明文。

Claims (10)

1.一种基于不可区分混淆的云服务外包访问权限控制方法,包括如下步骤:
(1)初始化:
(1a)授权中心任意选取一个有限域Fq,其中,q表示随机选取的大素数,将有限域Fq输入到伪随机生成器PRG,生成安全主密钥MSK,并秘密保存安全主密钥MSK;
(1b)授权中心选取安全Hash算法MD5,并公开安全Hash算法MD5;
(1c)授权中心公开有限域Fq,伪随机生成器RPG;
(2)身份注册:
(2a)用户向用户身份信息库申请身份注册,获得与用户身份信息库唯一对应的用户身份信息ID;
(2b)用户将用户身份信息ID提交给授权中心;
(2c)授权中心判断获取的用户身份信息ID与用户身份信息库是否匹配,若是,则执行步骤(3),否则,拒绝注册;
(3)密钥分发:
(3a)授权中心按照下式,计算匹配用户公钥:
pk=H(ID)
其中,pk表示匹配用户公钥,H表示安全Hash算法MD5操作,ID表示匹配用户身份信息;
(3b)授权中心按照下式,计算匹配用户私钥:
sk=MSK*H(ID)
其中,sk表示匹配用户私钥,MSK表示授权中心主密钥,*表示相乘操作,H表示安全Hash算法MD5操作,ID表示匹配用户身份信息;
(3c)授权中心将匹配用户公钥和匹配用户私钥发送给匹配用户;
(3d)匹配用户将匹配用户私钥秘密保存;
(3e)服务提供商在获取由授权中心分发的服务提供商初始私钥sk'和服务提供商初始公钥pk'后,将有限域Fq输入到伪随机生成器PRG中,生成随机数x1
(3f)服务提供商计算服务提供商公钥和服务提供商私钥;
(3g)服务提供商将服务提供商公钥公开,将服务提供商私钥秘密保存;
(4)匹配用户认证:
(4a)匹配用户将匹配用户身份信息和匹配用户公钥提交给服务提供商;
(4b)服务提供商计算匹配用户身份标识;
(4d)服务提供商将匹配用户身份标识发送给匹配用户;
(4e)匹配用户收到匹配用户身份标识后,将匹配用户身份标识秘密保存;
(5)服务部署:
(5a)服务提供商自定义产生初始云服务电路,用Prog表示初始云服务电路;
(5b)服务提供商对初始云服务电路进行混淆操作,得到初步混淆后的云服务电路;
(5c)服务提供商将经服务提供商初步混淆后的云服务电路Prog'提交给授权中心;
(5d)授权中心对初步混淆后的云服务电路进行混淆操作,得到云服务电路;
(5e)授权中心将云服务电路Prog”部署到云服务器上;
(6)数据上传:
(6a)授权用户将有限域Fq输入到伪随机生成器PRG中生成会话密钥,授权用户秘密保存会话密钥;
(6b)授权用户计算授权用户密文;
(6c)授权用户将授权用户密文发送给云服务器;
(7)计算密文:
(7a)云服务器收到授权用户密文后,将授权用户密文输入到云服务电路Prog”中;
(7b)云服务电路Prog”按照下式,计算授权用户密文验证输出:
v=Verify(upk,Sig1)
其中,v表示授权用户密文验证输出,Verify表示基于身份签名技术IBS的验证操作,upk表示授权用户公钥,Sig1表示授权用户签名;
(7c)判断授权用户密文验证输出是否为1,若是,则执行步骤(7d),否则,拒绝服务并终止计算;
(7d)云服务电路Prog”计算授权用户密文,得到云服务输出的密文;
(7e)云服务电路Prog”将云服务输出的密文发送给授权用户;
(8)获取云服务输出:
(8a)授权用户按照下式,计算云服务输出:
r=Dec(k1,C2)
其中,r表示云服务输出,Dec表示AES安全对称解密操作,k1表示会话密钥,C2表示云服务输出的密文;
(8b)授权用户获得云服务输出;
(9)访问密文:
(9a)授权中心按照下式,计算会话密钥初始密文:
C 1 ′ ′ = D e c ( M S K , C ^ 1 )
其中,C1”表示会话密钥初始密文,Dec表示AES安全对称解密操作,MSK表示授权中心主密钥,表示会话密钥密文;
(9b)授权中心将会话密钥初始密文发送给服务提供商;
(9c)服务提供商计算会话密钥初始密文,得到会话密钥;
(9d)服务提供商将会话密钥发送给授权中心;
(9e)授权中心计算云服务输出的密文,得到云服务输出;
(9f)授权中心计算授权用户数据的密文,得到授权用户明文。
2.根据权利要求1所述的基于不可区分混淆的云服务外包访问权限控制方法,其特征在于,步骤(3f)中所述的服务提供商计算服务提供商私钥和服务提供商公钥的公式如下:
psk=x1*sk'
ppk=pk'
其中,psk表示服务提供商私钥,x1表示随机数,*表示相乘操作,sk'表示服务提供商初始私钥,ppk表示服务提供商公钥,pk'表示服务提供商初始公钥。
3.根据权利要求1所述的基于不可区分混淆的云服务外包访问权限控制方法,其特征在于,步骤(4b)服务提供商计算匹配用户身份标识的公式如下:
t=psk*H(ID||T)
其中,t表示匹配用户身份标识,psk表示服务提供商私钥,*表示相乘操作,H表示安全Hash算法MD5操作,ID表示匹配用户身份信息,||表示并联操作,T表示当前时刻的时间戳。
4.根据权利要求1所述的基于不可区分混淆的云服务外包访问权限控制方法,其特征在于,步骤(5b)中所述的对初始云服务电路进行混淆操作,是指按照下式,得到初步混淆后的云服务电路:
Prog'=iO(Prog||psk||ppk)
其中,Prog'表示经服务提供商初步混淆后的云服务电路,iO表示不可区分混淆技术操作,Prog表示云服务提供商产生的初始云服务电路,||表示并联操作,psk表示服务提供商私钥,ppk表示服务提供商公钥。
5.根据权利要求1所述的基于不可区分混淆的云服务外包访问权限控制方法,其特征在于,步骤(5d)中所述的授权中心对初步混淆后的云服务电路进行混淆操作,是指按照下式得到云服务程序:
Prog”=iO(Prog'||MSK)
其中,Prog”表示云服务电路,iO表示不可区分混淆技术操作,Prog'表示经服务提供商初步混淆后的云服务电路,||表示并联操作,MSK表示授权中心主密钥。
6.根据权利要求1所述的基于不可区分混淆的云服务外包访问权限控制方法,其特征在于,步骤(6b)中所述的授权用户计算授权用户密文的公式如下:
C1'=Enc(k1,m)
C1”=Enc(t,k1)
C ^ 1 = E n c ( u p k , C 1 ′ ′ )
Sig 1 = S i g n ( u s k , H ( C 1 ′ | | C ^ 1 ) )
C 1 = C 1 ′ | | C ^ 1 | | Sig 1 | | u p k
其中,C1'表示授权用户数据密文,Enc表示AES安全对称加密操作,k1表示会话密钥,m表示授权用户明文,C1”表示会话密钥初始密文,t表示授权用户身份标识,表示会话密钥密文,upk表示授权用户公钥,Sig1表示授权用户签名,Sign表示基于身份签名技术IBS的签名操作,usk表示授权用户私钥,H表示安全Hash算法MD5操作,||表示并联操作,C1表示授权用户密文。
7.根据权利要求1所述的基于不可区分混淆的云服务外包访问权限控制方法,其特征在于,步骤(7d)中所述的云服务电路Prog”计算授权用户密文的公式如下:
C 1 ′ ′ = D e c ( M S K * u p k , C ^ 1 )
k1=Dec(psk*H(ID||T),C1”)
m=Dec(k1,C1')
r=Prog(m)
C2=Enc(k1,r)
其中,C1”表示会话密钥初始密文,Dec表示AES安全对称解密操作,MSK表示授权中心主密钥,*表示相乘操作,upk表示授权用户公钥,表示会话密钥密文,k1表示会话密钥,psk表示服务提供商私钥,H表示安全Hash算法MD5操作,ID表示授权用户身份信息,||表示并联操作,T表示当前时刻的时间戳,m表示授权用户明文,C1'表示授权用户数据的密文,r表示云服务输出,Prog表示云服务提供商产生的初始云服务电路,m表示授权用户明文,C2表示云服务输出的密文,Enc表示AES安全对称解密操作。
8.根据权利要求1所述的基于不可区分混淆的云服务外包访问权限控制方法,其特征在于,步骤(9c)中所述的服务提供商计算会话密钥初始密文,得到会话密钥的公式如下:
t=psk*H(ID||T)
k1=Dec(t,C1”)
其中,t表示授权用户身份标识,psk表示服务提供商私钥,*表示相乘操作,H表示安全Hash算法MD5操作,ID表示授权用户身份信息,||表示并联操作,T表示当前时刻的时间戳,k1表示会话密钥,Dec表示AES安全对称解密操作,C1”表示会话密钥初始密文。
9.根据权利要求1所述的基于不可区分混淆的云服务外包访问权限控制方法,其特征在于,步骤(9e)中所述的授权中心计算云服务输出的密文C2,得到云服务输出的公式如下:
r=Dec(k1,C2)
其中,r表示云服务输出,Dec表示AES安全对称解密操作,k1表示会话密钥,C2表示云服务输出的密文。
10.根据权利要求1所述的基于不可区分混淆的云服务外包访问权限控制方法,其特征在于,步骤(9f)中所述的授权中心计算授权用户数据的密文,得到授权用户明文的公式如下:
m=Dec(k1,C1')
其中,m表示授权用户明文,Dec表示AES安全对称解密操作,k1表示会话密钥,C1'表示授权用户数据的密文。
CN201610473127.4A 2016-06-24 2016-06-24 基于不可区分混淆的云服务外包访问权限控制方法 Active CN106209774B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610473127.4A CN106209774B (zh) 2016-06-24 2016-06-24 基于不可区分混淆的云服务外包访问权限控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610473127.4A CN106209774B (zh) 2016-06-24 2016-06-24 基于不可区分混淆的云服务外包访问权限控制方法

Publications (2)

Publication Number Publication Date
CN106209774A true CN106209774A (zh) 2016-12-07
CN106209774B CN106209774B (zh) 2019-02-22

Family

ID=57461568

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610473127.4A Active CN106209774B (zh) 2016-06-24 2016-06-24 基于不可区分混淆的云服务外包访问权限控制方法

Country Status (1)

Country Link
CN (1) CN106209774B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107276750A (zh) * 2017-06-12 2017-10-20 东南大学 一种实现身份混淆的水下数据传输方法
CN107294701A (zh) * 2017-07-05 2017-10-24 西安电子科技大学 具有高效密钥管理的多维密文区间查询装置及查询方法
CN109145644A (zh) * 2018-08-28 2019-01-04 北京云测信息技术有限公司 私钥混淆及数字签名生成方法、装置、智能设备
CN109962924A (zh) * 2019-04-04 2019-07-02 北京思源互联科技有限公司 群聊构建方法、群消息发送方法、群消息接收方法及***
CN112511294A (zh) * 2020-11-20 2021-03-16 中国人民武装警察部队工程大学 一种基于对抗式图神经网络结构的不可区分混淆器的设计方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080187119A1 (en) * 2007-02-06 2008-08-07 Alcatel Lucent Transparent caller name authentication for authorized third party callers
CN104009981A (zh) * 2014-05-14 2014-08-27 国家电网公司 一种基于对称加密的实时大数据隐私保护方法
CN104123503A (zh) * 2014-06-25 2014-10-29 中国人民解放军国防科学技术大学 Sat问题求解外包过程中的cnf公式数据保护方法
CN105491006A (zh) * 2015-11-13 2016-04-13 河南师范大学 云外包密钥共享装置及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080187119A1 (en) * 2007-02-06 2008-08-07 Alcatel Lucent Transparent caller name authentication for authorized third party callers
CN104009981A (zh) * 2014-05-14 2014-08-27 国家电网公司 一种基于对称加密的实时大数据隐私保护方法
CN104123503A (zh) * 2014-06-25 2014-10-29 中国人民解放军国防科学技术大学 Sat问题求解外包过程中的cnf公式数据保护方法
CN105491006A (zh) * 2015-11-13 2016-04-13 河南师范大学 云外包密钥共享装置及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
任艳丽 等: ""基于身份加密中可验证的私钥生成外包算法"", 《通信学报》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107276750A (zh) * 2017-06-12 2017-10-20 东南大学 一种实现身份混淆的水下数据传输方法
CN107276750B (zh) * 2017-06-12 2020-03-31 东南大学 一种实现身份混淆的水下数据传输方法
CN107294701A (zh) * 2017-07-05 2017-10-24 西安电子科技大学 具有高效密钥管理的多维密文区间查询装置及查询方法
CN107294701B (zh) * 2017-07-05 2021-05-18 西安电子科技大学 具有高效密钥管理的多维密文区间查询装置及查询方法
CN109145644A (zh) * 2018-08-28 2019-01-04 北京云测信息技术有限公司 私钥混淆及数字签名生成方法、装置、智能设备
CN109962924A (zh) * 2019-04-04 2019-07-02 北京思源互联科技有限公司 群聊构建方法、群消息发送方法、群消息接收方法及***
CN109962924B (zh) * 2019-04-04 2021-07-16 北京思源理想控股集团有限公司 群聊构建方法、群消息发送方法、群消息接收方法及***
CN112511294A (zh) * 2020-11-20 2021-03-16 中国人民武装警察部队工程大学 一种基于对抗式图神经网络结构的不可区分混淆器的设计方法
CN112511294B (zh) * 2020-11-20 2022-07-22 中国人民武装警察部队工程大学 一种基于对抗式图神经网络结构的不可区分混淆器的设计方法

Also Published As

Publication number Publication date
CN106209774B (zh) 2019-02-22

Similar Documents

Publication Publication Date Title
CN107947913B (zh) 一种基于身份的匿名认证方法与***
CN109040045A (zh) 一种基于密文策略属性基加密的云存储访问控制方法
CN103441839B (zh) 一种量子密码在ip安全通信中的使用方法和***
CN111385306B (zh) 一种智能电网中基于防篡改设备的匿名认证方法及***
CN107959566A (zh) 量子数据密钥协商***及量子数据密钥协商方法
CN106209774B (zh) 基于不可区分混淆的云服务外包访问权限控制方法
CN103731261A (zh) 加密重复数据删除场景下的密钥分发方法
CN105163309B (zh) 一种基于组合密码的无线传感器网络安全通信的方法
CN111277412B (zh) 基于区块链密钥分发的数据安全共享***及方法
CN112187798B (zh) 一种应用于云边数据共享的双向访问控制方法及***
CN110266687B (zh) 一种采用区块链技术的物联网安全代理数据共享模块设计方法
CN106341236A (zh) 一种面向云存储服务平台的访问控制方法及其***
CN107086911A (zh) 一种cca安全的可委托验证的代理重加密方法
US10091189B2 (en) Secured data channel authentication implying a shared secret
CN101282216B (zh) 带隐私保护的基于口令认证的三方密钥交换方法
CN109543434A (zh) 区块链信息加密方法、解密方法、存储方法及装置
CN106656997A (zh) 一种基于移动社交网络代理重加密跨域交友隐私保护方法
CN104618332A (zh) 基于符号边值二叉决策图的安全两方计算方法和***
CN102999710A (zh) 一种安全共享数字内容的方法、设备及***
CN106713349A (zh) 一种能抵抗选择密文攻击的群组间代理重加密方法
CN110557367B (zh) 基于证书密码学的抗量子计算保密通信的密钥更新方法和***
CN106850584B (zh) 一种面向客户/服务器网络的匿名认证方法
Huang et al. An Efficient ECC‐Based Authentication Scheme against Clock Asynchronous for Spatial Information Network
Luring et al. Analysis of security features in DLMS/COSEM: Vulnerabilities and countermeasures
CN103346999B (zh) 一种支持not运算符并具有cca安全的cp-abe方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant