CN110838915A - 一种前向安全密钥聚合的云存储数据共享方法 - Google Patents
一种前向安全密钥聚合的云存储数据共享方法 Download PDFInfo
- Publication number
- CN110838915A CN110838915A CN201911064977.9A CN201911064977A CN110838915A CN 110838915 A CN110838915 A CN 110838915A CN 201911064977 A CN201911064977 A CN 201911064977A CN 110838915 A CN110838915 A CN 110838915A
- Authority
- CN
- China
- Prior art keywords
- key
- ciphertext
- data
- aggregation
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0872—Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种前向安全密钥聚合的云存储数据共享方法。本发明首先,数据拥有者上传文件时,对每个文件进行标识,然后生成公共参数集合发送给云存储平台。接着调用密钥生成算法,生成加密所需的公私钥对,通过调用公钥对原文件进行加密得到密文集合。数据拥有者通过请求数据请求者后,基于生成元使用主密钥、请求者的身份信息和时间戳相结合来生成聚合密钥,并通过安全信道发送给数据请求者,数据请求者下载加密文件后利用聚合密钥对密文类进行解密,验证身份信息和密钥有效时间后可以成功得到所请求的文件。本发明在保证密钥的紧凑性的同时还能有效保证用户数据记录的安全性和隐私性。
Description
技术领域
本发明涉及云存储数据加密共享技术领域,尤其是涉及一种具有前向安全特性的密钥聚合功能的云存储数据共享方法。
背景技术
云存储平台中的私有数据需要被及时地加密和维护,数据的安全共享成为云存储的一项重要要求。现有技术满足在云中共享加密数据,经授权的用户可获取与每项加密文件相匹配的解密密钥,经过对文件进行逐个解密获得所请求的原文件。此方案要求数据拥有者对每个文件进行单独加密,密钥的数量需求非常大,存储与计算成本极高。
除此之外,这些解密密钥在传输过程中需要一个安全的信道防止信息泄漏,还需要消耗相当昂贵的安全维护成本,密钥聚合密码***可有效解决以上问题。
密钥聚合传统的方法为用户将数据加密上传文件至云服务器,对文件进行标识和分类。让云服务提供商管理和维护数据,在收到其他用户对某一类文件的共享请求后,数据拥有者可以使用主密钥并根据一个索引集来生成该文件类的聚合密钥,数据拥有者将聚合密钥发送给被委托者,被委托者使用聚合密钥来解密密文。
然而传统密钥聚合并没有考虑到过高的安全性,密钥紧凑性不强,且经过聚合产生的密钥数量对于动态云存储而言不是恒定的。
发明内容
本发明针对现有密钥聚合数据共享的可扩展性、安全性和隐私性方面提供了一种解决方法,即一种具有前向安全性的密钥聚合数据共享方法。
本发明包括以下步骤:
步骤1、对每个上传的加密文件进行逐个标识,配置唯一的标识符并对其进行分类产生不同密文类;
利用一个随机选择的双线性映射群产生生成元;
云平台基于生成元与密文类的标识符进行指数运算,生成密钥聚合***中的公共参数集合,公共参数的数量与密文类的最大数量有关。
步骤2、数据拥有者每次上传文件类之前,通过添加和修改固定标识符对应的生成元来更新公共参数。
步骤3、数据拥有者通过产生随机大素数得到主密钥,并以该大素数为指数、以步骤1)中生成的生成元为底数进行指数运算生成公钥,从而生成密钥聚合所需的公钥、主密钥对。
步骤4、对于每个唯一的密文类,数据拥有者产生三个密文组成密文集合,具体是:
随机选取与步骤3)中不同的大素数,第一个密文通过生成元与这个大素数进行指数运算得到,其中大素数为指数。
第二个密文通过公钥与生成元的乘积为底数,与大素数进行指数运算得到。
第三个密文与明文相关,以生成元为参数调用双线性函数产生下一步运算的底数,同样以大素数为指数进行指数运算,最后的指数运算值再与明文进行乘法运算得到第三个密文。
步骤5、数据请求者发送共享数据请求时发送所需文件的标识符集合。接受请求后,数据拥有者通过与请求标识符集合内的标识符相匹配的生成元计算单元的累乘得到用于解密加密文件的聚合密钥。
所述的生成元计算单元是以标识符集合内的生成元为底数、以请求者身份与请求时的时间戳进行指数运算,再与主密钥相乘的结果作为指数的指数运算结果。
步骤6、在解密过程中,被授权的数据请求者通过聚合密钥判断确认身份匹配以及密钥未过期便能成功解密。
进一步说,步骤1中,生成的公共参数集合存储在云平台中,是公开的,任何人都可以下载。
进一步说,步骤4中,对于每个唯一的密文类,数据拥有者使用生成的公钥进行加密,生成对应的密文。
进一步说,步骤6中,将数据拥有者的主密钥作为输入,验证被授权的数据请求者的身份和密钥的到期日期,并输出聚合密钥用于从密文集合解密得到原文件。
进一步说,步骤6中的具体验证过程如下:下载密文文件后,对于所下载的唯一的密文类,云平台通过申请的文件索引子集以及密钥到期时间计算出一个未知的身份验证信息,如果这个身份验证信息与数据请求者的用户身份不符,则验证失败;如果这个身份验证信息与数据请求者的用户身份相符时,且密钥显示未到期时;则数据请求者获得解密当前文件类的权限,最后利用解密算法解密得到原文件。
本发明与现有技术相比,其有益效果为:本发明具有前向安全性,适用于各种现实环境中。同时利用改进传统的密钥聚合方案,在保证密钥的紧凑性的同时还能有效保证用户数据记录的安全性和隐私性。
具体实施方式
云平台中的密文类最大值是可变的,在密钥聚合密码***中,仅当预定义了最大密文类的数量时,键的数量才是常量。因此,在此基础上本发明提出了这种新的加密方案,提取算法和相应的解密算法,它们都不依赖于云平台的密文类最大值。
另外,本实施例设置了聚合密钥同时具有身份验证与解密的功能。数据请求者的身份验证失败或者聚合密钥有效时间已过都无法成功解密文件得到原文件,该过程有效地解决了密钥泄漏的问题。
本实施例的主体技术构思如下:首先,数据拥有者上传文件时,对每个文件进行标识,即每个文件都有一个唯一索引,然后基于双线性群生成公共参数集合发送给云存储平台。接着调用密钥生成算法,生成加密所需的公私钥对,通过调用公钥对原文件进行加密得到密文集合并到云平台。
当数据请求者向数据拥有者请求下载文件时,需用标识符集合表示自己所需的文件,数据拥有者通过请求后基于生成元使用主密钥、请求者的身份信息和时间戳相结合生成聚合密钥,并通过安全信道发送给数据请求者,数据请求者下载加密文件后利用聚合密钥对密文类进行解密,验证身份信息和密钥有效时间后可以成功得到所请求的文件。
具体技术方案如下:
首先,对每个上传的加密文件进行逐个标识匹配唯一的标识符并对其进行分类产生不同密文类。基于一个随机选择的双线性映射群产生生成元,云平台基于生成元与密文类的标识符进行指数运算生成密钥聚合***中的公共参数集合,公共参数的数量与密文类的最大数量有关。
接着,在数据拥有者每次上传文件类之前,通过每次添加和修改固定标识符对应的生成元来更新公共参数。
数据拥有者可以通过产生随机大素数得到主密钥,并以该大素数为指数、以步骤1)中生成的生成元为底数进行指数运算生成公钥,从而生成密钥聚合所需的公钥、主密钥对。
对于每个唯一的密文类,数据拥有者都需要产生三个密文组成密文集合。首先随机选取与步骤3)中不同的大素数,第一个密文通过生成元与这个大素数进行指数运算得到,其中大素数为指数。第二个密文通过公钥与生成元的乘积为底数,与大素数进行指数运算得到。第三个密文与明文相关,以生成元为参数调用双线性函数产生下一步运算的底数,同样以大素数为指数进行指数运算,最后的指数运算值再与明文进行乘法运算得到第三个密文。
数据请求者发送共享数据请求时必须发送所需文件的标识符集合。接受请求后,数据拥有者通过与请求标识符集合内的标识符相匹配的生成元计算单元的累乘得到用于解密加密文件的聚合密钥。其中每个生成元计算单元是以标识符集合内的生成元为底数、以请求者身份与请求时的时间戳进行指数运算再与主密钥相乘的结果作为指数的指数运算结果。
在解密时,被授权的数据请求者通过聚合密钥判断确认身份匹配以及密钥未过期便能成功解密。
其中生成公共参数集合存储在云平台中,是公开的,任何人都可以下载。
其中对于每个唯一的密文类,数据拥有者使用生成的公钥进行加密,生成对应的密文。
在解密过程中将数据拥有者的主密钥作为输入,验证被授权用户的身份和密钥的到期日期(以时间戳表示),并输出聚合密钥用于从密文集合解密得到原文件。本实施例中的验证过程如下:下载密文文件后,对于所下载的唯一的密文类,云平台通过申请的文件索引子集以及密钥到期时间计算出一个未知的身份验证信息,如果这个身份信息与所数据请求者的用户身份不符,则验证失败。当两个信息相等且密钥显示未到期时,数据请求者获得解密当前文件类的权限,最后利用解密算法解密得到原文件。
Claims (5)
1.一种前向安全密钥聚合的云存储数据共享方法,其特征在于:包括以下步骤:
步骤1、对每个上传的加密文件进行逐个标识,配置唯一的标识符并对其进行分类产生不同密文类;
利用一个随机选择的双线性映射群产生生成元;
云平台基于生成元与密文类的标识符进行指数运算,生成密钥聚合***中的公共参数集合,公共参数的数量与密文类的最大数量有关;
步骤2、数据拥有者每次上传文件类之前,通过添加和修改固定标识符对应的生成元来更新公共参数;
步骤3、数据拥有者通过产生随机大素数得到主密钥,并以该大素数为指数、以步骤1)中生成的生成元为底数进行指数运算生成公钥,从而生成密钥聚合所需的公钥、主密钥对;
步骤4、对于每个唯一的密文类,数据拥有者产生三个密文组成密文集合,具体是:
随机选取与步骤3)中不同的大素数,第一个密文通过生成元与这个大素数进行指数运算得到,其中大素数为指数;
第二个密文通过公钥与生成元的乘积为底数,与大素数进行指数运算得到;
第三个密文与明文相关,以生成元为参数调用双线性函数产生下一步运算的底数,同样以大素数为指数进行指数运算,最后的指数运算值再与明文进行乘法运算得到第三个密文;
步骤5、数据请求者发送共享数据请求时发送所需文件的标识符集合;接受请求后,数据拥有者通过与请求标识符集合内的标识符相匹配的生成元计算单元的累乘得到用于解密加密文件的聚合密钥;所述的生成元计算单元是以标识符集合内的生成元为底数、以请求者身份与请求时的时间戳进行指数运算,再与主密钥相乘的结果作为指数的指数运算结果;
步骤6、在解密过程中,被授权的数据请求者通过聚合密钥判断确认身份匹配以及密钥未过期便能成功解密。
2.根据权利要求1所述的前向安全密钥聚合的云数据共享方法,其特征在于:步骤1中,生成的公共参数集合存储在云平台中,是公开的,任何人都可以下载。
3.根据权利要求1所述的前向安全密钥聚合的云数据共享方法,其特征在于:步骤4中,对于每个唯一的密文类,数据拥有者使用生成的公钥进行加密,生成对应的密文。
4.根据权利要求1所述的前向安全密钥聚合的云数据共享方法,其特征在于:步骤6中,将数据拥有者的主密钥作为输入,验证被授权的数据请求者的身份和密钥的到期日期,并输出聚合密钥用于从密文集合解密得到原文件。
5.根据权利要求4所述的一种前向安全密钥聚合的云存储数据共享方法,其特征在于:步骤6中的具体验证过程如下:下载密文文件后,对于所下载的唯一的密文类,云平台通过申请的文件索引子集以及密钥到期时间计算出一个未知的身份验证信息,如果这个身份验证信息与数据请求者的用户身份不符,则验证失败;如果这个身份验证信息与数据请求者的用户身份相符时,且密钥显示未到期时;则数据请求者获得解密当前文件类的权限,最后利用解密算法解密得到原文件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911064977.9A CN110838915B (zh) | 2019-11-04 | 2019-11-04 | 一种前向安全密钥聚合的云存储数据共享方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911064977.9A CN110838915B (zh) | 2019-11-04 | 2019-11-04 | 一种前向安全密钥聚合的云存储数据共享方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110838915A true CN110838915A (zh) | 2020-02-25 |
CN110838915B CN110838915B (zh) | 2021-09-21 |
Family
ID=69575912
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911064977.9A Active CN110838915B (zh) | 2019-11-04 | 2019-11-04 | 一种前向安全密钥聚合的云存储数据共享方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110838915B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111583393A (zh) * | 2020-05-06 | 2020-08-25 | 江苏恒宝智能***技术有限公司 | 一种基于区块链技术的三维建模产品管理方法及*** |
CN113761594A (zh) * | 2021-09-09 | 2021-12-07 | 安徽师范大学 | 一种基于身份的三方可认证密钥协商和数据共享方法 |
CN113890730A (zh) * | 2021-09-23 | 2022-01-04 | 上海华兴数字科技有限公司 | 数据传输方法及*** |
CN114258013A (zh) * | 2020-09-11 | 2022-03-29 | 中国联合网络通信集团有限公司 | 数据加密方法、设备和存储介质 |
CN115460020A (zh) * | 2022-11-10 | 2022-12-09 | 鹏城实验室 | 数据共享方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140201541A1 (en) * | 2013-01-14 | 2014-07-17 | Accenture Global Services Limited | Secure online distributed data storage services |
CN106788988A (zh) * | 2016-11-28 | 2017-05-31 | 暨南大学 | 云环境下可撤销的密钥聚合加密方法 |
CN109075963A (zh) * | 2016-05-13 | 2018-12-21 | Abb瑞士股份有限公司 | 安全远程聚合 |
CN109981254A (zh) * | 2019-04-01 | 2019-07-05 | 浙江工商大学 | 一种基于有限李型群分解问题的微型公钥加密方法 |
CN110084071A (zh) * | 2019-04-24 | 2019-08-02 | 苏州国利岳康软件科技有限公司 | 基于区块链的体检数据安全存储方法 |
-
2019
- 2019-11-04 CN CN201911064977.9A patent/CN110838915B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140201541A1 (en) * | 2013-01-14 | 2014-07-17 | Accenture Global Services Limited | Secure online distributed data storage services |
CN109075963A (zh) * | 2016-05-13 | 2018-12-21 | Abb瑞士股份有限公司 | 安全远程聚合 |
CN106788988A (zh) * | 2016-11-28 | 2017-05-31 | 暨南大学 | 云环境下可撤销的密钥聚合加密方法 |
CN109981254A (zh) * | 2019-04-01 | 2019-07-05 | 浙江工商大学 | 一种基于有限李型群分解问题的微型公钥加密方法 |
CN110084071A (zh) * | 2019-04-24 | 2019-08-02 | 苏州国利岳康软件科技有限公司 | 基于区块链的体检数据安全存储方法 |
Non-Patent Citations (2)
Title |
---|
赵帅: "无线体域网中隐私保护的数据聚合方案研究", 《中国优秀硕士学位论文全文数据库》 * |
陈暄: "云计算下的一种数据加密存储算法的研究", 《电脑知识与技术》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111583393A (zh) * | 2020-05-06 | 2020-08-25 | 江苏恒宝智能***技术有限公司 | 一种基于区块链技术的三维建模产品管理方法及*** |
CN114258013A (zh) * | 2020-09-11 | 2022-03-29 | 中国联合网络通信集团有限公司 | 数据加密方法、设备和存储介质 |
CN114258013B (zh) * | 2020-09-11 | 2023-10-31 | 中国联合网络通信集团有限公司 | 数据加密方法、设备和存储介质 |
CN113761594A (zh) * | 2021-09-09 | 2021-12-07 | 安徽师范大学 | 一种基于身份的三方可认证密钥协商和数据共享方法 |
CN113761594B (zh) * | 2021-09-09 | 2024-04-09 | 安徽师范大学 | 一种基于身份的三方可认证密钥协商和数据共享方法 |
CN113890730A (zh) * | 2021-09-23 | 2022-01-04 | 上海华兴数字科技有限公司 | 数据传输方法及*** |
CN115460020A (zh) * | 2022-11-10 | 2022-12-09 | 鹏城实验室 | 数据共享方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110838915B (zh) | 2021-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110838915B (zh) | 一种前向安全密钥聚合的云存储数据共享方法 | |
US10903991B1 (en) | Systems and methods for generating signatures | |
US7634085B1 (en) | Identity-based-encryption system with partial attribute matching | |
Shao et al. | Fine-grained data sharing in cloud computing for mobile devices | |
US20170244687A1 (en) | Techniques for confidential delivery of random data over a network | |
CN106487506B (zh) | 一种支持预加密和外包解密的多机构kp-abe方法 | |
CN110113155B (zh) | 一种高效无证书公钥加密方法 | |
CN112104453B (zh) | 一种基于数字证书的抗量子计算数字签名***及签名方法 | |
US20220021526A1 (en) | Certificateless public key encryption using pairings | |
GB2398713A (en) | Anonymous access to online services for users registered with a group membership authority | |
CN112087428B (zh) | 一种基于数字证书的抗量子计算身份认证***及方法 | |
CN112532580B (zh) | 一种基于区块链及代理重加密的数据传输方法及*** | |
CN104767612A (zh) | 一种从无证书环境到公钥基础设施环境的签密方法 | |
Saranya et al. | Cloud based efficient authentication for mobile payments using key distribution method | |
CN113708917B (zh) | 基于属性加密的app用户数据访问控制***及方法 | |
CN112787822B (zh) | 一种大属性集下的基于sm9的属性加密方法及*** | |
CN111656728B (zh) | 一种用于安全数据通信的设备、***和方法 | |
CN116318784B (zh) | 身份认证方法、装置、计算机设备和存储介质 | |
CN116318696B (zh) | 一种双方无初始信任情况下代理重加密数字资产授权方法 | |
US20140115322A1 (en) | Method, apparatus and system for performing proxy transformation | |
CN111756722A (zh) | 一种无密钥托管的多授权属性基加密方法和*** | |
CN107241191A (zh) | 一种抗密钥克隆、密钥滥用的基于属性加密方法 | |
CN116232568A (zh) | 一种基于sm9的属性基加密的区块链访问控制方法 | |
CN114697001B (zh) | 一种基于区块链的信息加密传输方法、设备及介质 | |
JPH10177341A (ja) | Rsa暗号における秘密鍵預託方法およびシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |