CN115834067A - 一种边云协同场景中密文数据共享方法 - Google Patents
一种边云协同场景中密文数据共享方法 Download PDFInfo
- Publication number
- CN115834067A CN115834067A CN202111087396.4A CN202111087396A CN115834067A CN 115834067 A CN115834067 A CN 115834067A CN 202111087396 A CN202111087396 A CN 202111087396A CN 115834067 A CN115834067 A CN 115834067A
- Authority
- CN
- China
- Prior art keywords
- attribute
- terminal device
- data
- resource
- edge server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种边云协同场景中密文数据共享方法,步骤为:初始化移动边缘网络域内的协议参数,生成认证中心的主密钥和公钥,***实体密钥自证实并获得合法的公/私钥对,云服务器向终端成员分发属性权限,资源提供者加密数据并计算加密密钥因子,然后将资源有关信息上传本域边缘服务器,资源访问者向本域边缘服务器申请访问资源,本域边缘服务器搜索资源,如果本域没有所需资源则进行跨域搜索。本发明可进行全网快速搜索及定位,能及时进行数据反馈;结合区块链技术,将共享数据的哈希值及共享者公钥信息等写入区块链,可以进行数据完整性校验及数据溯源,使得密文数据共享更加灵活、高效和实用,具有重要的领域研究意义和商业应用价值。
Description
技术领域
本发明涉及信息安全的技术领域,尤其涉及一种边云协同场景中密文数据共享方法。
背景技术
伴随着科学技术的进步与发展,5G和物联网技术迅猛发展,但是随着时间的推移各终端产生了海量的数据,造成了数据指数级***式增长,数据处理方面的问题也日益显著。云计算作为大批量数据管理技术,其具有大容量、高算力和高性能的特点,能为人们提供高质量的数据处理服务。但是,所有的数据都需上传到云端集中处理给网络带宽造成了极大的压力,同时很难满足对实时性要求较高的应用的需求,因此边缘计算应运而生。云计算擅长全局性、非实时、长周期的大数据处理与分析,而边缘计算更适合局部性、实时、短周期数据的处理和分析,边云协同可以大幅度扩展其应用范围、大幅度提升所提供的服务质量,从而放大边缘计算与云计算各自的应用价值。但是,边云协同场景具有设备众多、数据交互频繁等特点,终端设备的隐私安全与数据安全面临着严峻的挑战。
数据共享是边云协同应用场景中各终端设备间协同计算、数据交换及相互操作的桥梁和纽带,各终端设备间共享的数据涉及到秘密信息及隐私数据,为保障涉密数据的安全共享,需要对共享数据进行加密。但是现有的数据共享模型中数据共享形式单一,不能适应多等级数据的共享,同时认证过程繁琐,终端计算与通信负载较重,数据检索速度较慢等,无法适应边云协同场景。为此,提出边云协同应用场景中密文数据共享技术,模型根据共享数据的保密要求设置特定属性密钥因子进行组合加密密钥,只有符合特定规则的数据需求者才能解密共享数据,以达到更加灵活、细粒度的安全数据共享;同时数据共享者及数据需求者在数据共享过程中将尽可能多的任务处理交给边缘服务器处理。数据共享者将密文数据及相关的访问权限上传于边缘服务器,无需进行额外的数据计算及数据管理,数据需求者只需将需求的数据描述及相关的访问权限提交给边缘服务器,数据的本地搜索及跨域搜索等由边缘服务器执行。此外,共享数据的哈希值及共享者公钥信息、数据需求者访问记录等,由边缘服务器写入区块链,可以方便的进行数据完整性校验及数据溯源。
目前,针对边云协同场景中密文数据共享模型的研究尚未出现,一系列的挑战性问题有待解决,包括跨域访问控制等方面的工作尚无先例。
发明内容
针对现有数据共享模型进行数据共享过程中,终端设备隐私易泄露、数据共享形式单一以及数据搜索与定位困难的技术问题,本发明提出一种边云协同场景中密文数据共享方法,采用隐藏属性的身份认证技术不仅可以实现终端身份的认证,还能保障终端属性及身份信息不被泄露,同时减少了终端设备的计算和通信开销,采用身份认证和属性权限参数匹配,避免了不具有权限的终端的合谋攻击,采用门限函数设置密钥,能够实现细粒度的资源共享,此外,边缘服务器根据数据需求者的数据描述,通过本地区块链及联盟数据库可进行全网快速搜索及定位,能及时进行数据反馈。
为了达到上述目的,本发明的技术方案是这样实现的:一种边云协同场景中密文数据共享方法,其步骤如下:
步骤一:***实体密钥自证实
A)认证中心CA运行初始化算法并广播***参数;
B)收到认证中心CA广播的***参数后,***实体随机选取一个正整数作为私钥,并计算证实自己身份所需的证实中间变量和公钥,然后***实体将证实中间变量和公钥发送给认证中心CA;
C)收到***实体的消息后,认证中心CA验证***实体的公钥和身份标识的对应关系,如果验证通过,认证中心CA公布***实体的有效公钥;
所述***实体包括云服务器、边缘服务器以及终端设备;
步骤二:属性权限分发
E)边云网络***进行初始化,云服务器CS向***内部广播可用的认证属性集;
F)收到云服务器CS广播的认证属性集后,各终端设备随机选择一个正整数并计算验证自己属性所需的属性中间变量和中间签名,然后将属性中间变量及中间签名发送给云服务器CS;
G)云服务器CS接收到各终端成员发送的消息后,计算验证属性所需的属性中间变量并确定终端设备所具有的属性,然后云服务器CS计算哈希值并验证终端设备的中间签名,如果验证通过则计算属性参数和属性签名并将属性参数集合和属性签名一起发送给各终端设备;
H)收到云服务器CS的消息后,各终端设备验证云服务器CS的属性签名,如果验证通过,各终端设备计算属性权限;
I)各边缘服务器根据步骤F)-H)获得所有的边缘属性权限;
J)云服务器CS根据各终端设备和各边缘服务器的IP划分管理域,并将边缘服务器所属终端设备的注册信息发送给对应的边缘服务器;
步骤三:数据加密及安全存储
K)如果数据提供者想共享数据,数据提供者随机选取正整数加密数据得到密文信息;数据提供者选取属性权限对应的正整数构造多项式并计算函数值、密文的哈希值和中间签名,数据提供者将密文信息、密文的哈希值、中间签名和函数值的信息一起发送给边缘服务器,并将函数值作为加密密钥因子;
L)收到数据提供者的消息后,边缘服务器验证数据提供者的中间签名和密文的哈希值,如果验证通过,边缘服务器将密文存储到链下本地数据库,并将数据提供者发送给自己的消息写入区块链;然后边缘服务器将密文数据的搜索关键字、访问权限的属性序列、加密密钥因子以及所属的边缘管理域信息写入联盟索引数据库AID中;
步骤四:数据搜索及安全共享
M)资源需求者计算中间签名并将资源请求信息发送给本域边缘服务器;
N)收到资源需求者的资源请求消息后,本域边缘服务器校验资源需求者的属性序列并确定资源需求者的属性权限;
O)本域边缘服务器在本域区块链中搜索目标资源及访问该资源的属性序列,如果区块链中的关键字满足搜索要求且属性序列满足要求,则说明资源需求者具有访问该资源的权限,本域边缘服务器将该资源的链接和加密密钥因子发送给资源需求者,并把访问记录以交易的形式写入区块链;
P)当需要域间资源共享请求时,本域边缘服务器在联盟索引数据库AID中搜索资源及访问该资源的属性序列,如果关键字和属性序列都满足要求,则说明资源需求者具有访问资源的权限,本域边缘服务器请求资源所在的域边缘服务器,获取资源的外域数据库链接及加密密钥因子,并将链接和加密密钥因子发送给资源需求者,把访问记录以交易的形式写入区块链;
Q)资源需求者通过链接下载密文数据并计算点对,然后通过点对还原多项式计算出密钥,利用密钥解密资源获得明文数据。
进一步地,所述步骤一的实现方法为:
1)认证中心CA运行初始化算法Setup(1λ)后,广播***参数{g1,G1,e,H1,PK};其中,λ为安全参数,PK为认证中心CA的公钥,g1为加法群G1的生成元,H1:{0,1}*→G1表示哈希散列函数,e表示可计算的双线性映射函数;
2)***实体u收到认证中心CA广播的***参数{g1,G1,e,H1,PK}后,随机选取一个正整数计算证实中间变量η1=H2(id)rg1、η2=rPK、η3=H2(id)PK、η4=H1(u||id||η1||η2||η3||pk)和公钥pk=rg1,然后将消息{u,id,η1,η2,η3,η4,pk}发送给认证中心CA;其中,id为***实体u的身份标识,表示阶为q的正整数集,q为加法群G1的素数阶,pk为***实体u的公钥;
3)认证中心CA收到消息{u,id,η1,η2,η3,η4,pk}后,验证***实体u的公钥pk和身份标识id的对应关系,即计算中间变量η'2=MSK-1,η2=pk=rg1,η'3=MSK-1η3=H2(id)g1,η'4=H1(u||id||η1||η2||η3||pk),并验证等式η'4=η4和e(η2,η'3)=e(η3,η'2)是否成立,如果成立,认证中心CA公布***实体u的有效公钥pk;其中,MSK表示认证中心CA的私钥;
4)***实体u获得公认的公钥,并生成了自己的公/私密钥对(pk,r)。
进一步地,所述等式e(η2,η'3)=e(η3,η'2)的验证方法为:
进一步地,所述步骤二中终端设备进行属性权限分发的方法为:
(1)云服务器CS向***内部广播可用的认证属性集SA={Att1,Att2,...,AttT};终端设备ui,j收到云服务器CS广播的认证属性集SA,终端设备ui,j随机选择正整数计算属性中间变量Li,j=li,jg1、及中间签名然后将消息发送给云服务器CS;其中,ui,j表示第i个边缘服务器管理域内的第j个终端设备,attri,j,t表示终端设备ui,j的第t个属性,且1≤i≤N,1≤j≤n,1≤t≤T,N为边缘服务器的总个数,n为每个边缘服务器的终端设备的数量,T表示认证属性集中属性的总个数,表示终端设备ui,j的私钥,g1是加法群G1的生成元,||是连接符号;
(2)云服务器CS收到终端设备ui,j发送的消息后,分别计算验证中间变量并比较数集和云服务器CS计算的数集两个集合的交集及对应关系,确定终端设备ui,j具有的属性集为{Att1,Att2,...,Attt};然后云服务器CS计算哈希值H2(Att1||Att2||...||Attt)g1并通过验证等式验证终端设备ui,j的中间签名,如果等式成立,则确定终端设备ui,j拥有属性集{attri,j,1,attri,j,2,...,attri,j,t},云服务器CS从集合pa={r1,r2,...,rT}中选择对应的属性参数{r1,r2,...,rt},并计算属性参数和属性签名然后云服务器CS将信息发送给终端设备ui,j;其中,1≤t≤T为终端设备ui,j的属性的个数,T表示认证属性集中属性的总个数,AttT为认证属性集中的属性,为属性Attt对应的随机的属性参数,表示终端设备ui,t的公钥;H3(·)是哈希散列函数,skCS表示云服务器CS的私钥;
(3)终端设备ui,j收到云服务器CS发送的信息后,通过验证等式验证云服务器CS的属性签名身份,如果等式成立,则终端设备ui,j分别计算属性权限,终端设备ui,j的属性集attrui,j={attri,j,1,attri,j,2,...,attri,j,t}对应的属性权限集合为其中,为终端设备ui,j的第t个属性的属性参数,e(·)是可计算的双线性映射函数;
(5)云服务器CS根据终端设备ui,j的IP地址和边缘服务器ESi的IP地址进行管理域的划分,并将边缘服务器ESi所属终端设备ui,j的注册信息发送给边缘服务器ESi;其中,为终端设备ui,j的公钥;(S1,S2,...,St)是属性集对应的属性序列。
进一步地,所述步骤三中数据加密及安全存储的实现方法为:
步骤1、如果作为数据提供者的终端设备ui,j想共享数据终端设备ui,j随机选取正整数加密数据得到密文信息终端设备ui,j构造一个多项式分别将属性权限的哈希值代入多项式p(x),计算出t个函数值{f1,f2,...,ft}作为加密密钥因子,然后终端设备ui,j根据密文信息计算密文的哈希值和中间签名并将消息发给边缘服务器ESi;其中,表示终端设备ui,j的公钥,H2(·)和H3(·)表示哈希散列函数,表示阶为q的正整数集,表示属性attri,j,t对应的属性权限,表示终端设备ui,j的私钥;keywordsm是用于搜索数据的搜索关键字,(S1,S2,...,St)是访问密文信息所需要的权限序列;x为自变量,a1,...,at-2,at-1是终端设备ui,j根据数据的属性权限选取不同的参数值;
步骤2、边缘服务器ESi收到终端设备ui,j发送的消息后,通过验证等式是否成立验证终端设备ui,j的中间签名,如果等式成立,则验证密文的哈希值是否正确,如果密文信息的哈希值无误,边缘服务器ESi将密文信息存储到链下本地数据库,并将消息作为一次交易信息的区块,写入到本域区块链上;同时,边缘服务器ESi将密文数据的搜索关键字keywordsm、访问权限的属性序列(S1,S2,...,St)、加密密钥因子(f1,f2,...,ft)及所属的边缘服务器写入一个联盟索引数据库AID中。
进一步地,所述步骤四的数据搜索及安全共享的实现方法为:
S1、作为资源需求者的终端设备ui,k计算中间签名并将资源请求消息发送给本域边缘服务器ESi;其中,表示终端设备ui,k的私钥,表示终端设备ui,k的公钥,为终端设备ui,k的属性权限,keywordsm表示需求资源的搜索关键字,为终端设备ui,k的中间签名,{S1,S2,...,St}为访问权限的属性序列,g1为加法群G1的生成元,H3(·)表示哈希散列函数,1≤i≤N,N为边缘服务器的总个数,1≤k≤n,n为终端的总个数;
S2、本域边缘服务器ESi收到终端设备ui,k发出的资源请求消息后,将资源请求消息中的属性序列(S1,S2,...,St)与云服务器CS发送给自己的关于终端设备ui,k注册的属性序列进行对比验证,如果两者序列一致,本域边缘服务器ESi从边缘属性权限集合中选取对应的边缘属性权限验证等式是否成立确定终端设备ui,k具有的属性权限;
S3、域内资源检索:本域边缘服务器ESi根据终端设备ui,k发送的资源的搜索关键字keywordsm在本域区块链中搜索相关资源的数据及访问该资源的属性序列{S1,S2,...,Sτ},如果区块链中的搜索关键字满足终端设备ui,k搜索的关键字要求,且访问该资源的属性序列则终端设备ui,k具有访问数据的权限,本域边缘服务器ESi将访问该资源的链接及加密密钥因子(f1,f2,...,ft)通过终端设备ui,k的公钥加密,并发送给终端设备ui,k,并把访问记录以交易的形式写入区块链;其中,τ表示解密资源所需的属性个数,Tm表示访问资源的时间戳;
S4、当需要域间资源共享请求时,本域边缘服务器ESi根据终端设备ui,k发送的资源的搜索关键字keywordsm在联盟索引数据库AID中搜索相关资源的数据及访问该资源的属性序列{S1,S2,...,Sτ},如果联盟索引数据库AID的关键字满足终端设备ui,k搜索的关键字要求,且访问该资源的属性序列则说明终端设备ui,k具有访问数据的权限;本域边缘服务器ESi将请求资源的数据所在的域边缘服务器ESj以获取资源的外域数据库链接地址及该资源的加密密钥因子(f1,f2,...,ft),并将请求访问该资源的链接及加密密钥因子(f1,f2,...,ft)通过终端设备ui,k的公钥加密发送给终端设备ui,k,并把访问记录以交易的形式写入区块链;
S5、终端设备ui,k解密链接及加密密钥因子(f1,f2,...,ft)后,通过收到的链接下载密文信息根据加密密钥因子(f1,f2,...,ft)及其拥有的属性权限集合分别计算变量用点对{(x1,f1),(x2,f2),...,(xt,ft)}及拉格朗日插值定理构造多项式终端设备ui,k计算获得共享资源的解密密钥,进而解密资源获得明文数据其中,函数xθ和xε为多项式上点的横坐标。
与现有技术相比,本发明的有益效果:1)细粒度的数据共享,根据共享数据的保密要求设置特定属性密钥因子进行组合加密密钥,只有符合特定规则的数据需求者才能解密共享数据,以达到更加灵活、细粒度的安全数据共享;2)轻量负载,数据共享者及数据需求者在数据共享过程中将尽可能多的任务处理交给边缘服务器处理,数据共享者将密文数据及相关的访问权限上传于边缘服务器,无需进行额外的数据计算及数据管理,数据需求者只需将需求的数据描述及相关的访问权限提交给边缘服务器,数据的本地搜索及跨域搜索等由边缘服务器执行;3)数据快速搜索及定位,边缘服务器根据数据需求者的数据描述,通过本地区块链及联盟索引数据库可进行全网快速搜索及定位,能及时进行数据反馈;4)共享数据的完整性和可追踪性,共享数据的哈希值及共享者公钥信息、数据需求者访问记录等,由边缘服务器写入区块链,可以方便的进行数据完整性校验及数据溯源。本发明使得边云协同场景中密文数据共享更加灵活、高效和实用,具有重要的领域研究意义和商业应用价值。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的流程示意图。
图2为本发明实施例1的密文数据共享示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
针对边云协同复杂环境下,网络中的各移动终端间以及终端与服务器之间在密文数据共享时涉及到数据资源的保密性、完整性和抗泄露性的问题;同时,在数据共享过程中,存在数据搜索过程繁琐,定位不准确等问题,在此背景下,本发明提出一种边云协同场景中密文数据共享方法,如图1所示,实现边缘协同环境下密文数据的安全共享。首先,边云协同***内的实体(包括云服务器、边缘服务器和终端设备)向认证中心CA证实自己的密钥,以此获得合法的公/私钥对;其次,云服务器CS广播属性集,终端设备根据属性计算验证身份所需的参数和签名,云服务器CS验证终端设备的身份和属性,验证通过则为该终端设备分发属性权限;然后,终端设备根据数据的保密性选取随机数加密数据并利用其属性权限构造多项式计算加密密钥因子,随后将密文数据相关信息上传边缘服务器;终端设备根据自己的属性权限申请访问资源,边缘服务器根据申请信息查找目标资源并返回链接和加密密钥因子。
1.本发明所涉及的理论基础知识和相关定义
1.1双线性映射问题
定义1.双线性映射:设G1和G2分别是一个加法群和乘法群,具有相同的大素数阶q,其中(是一个安全参数),G1的生成元为g1,e:G1×G1→G2是一个加法群G1到乘法群G2的可计算的双线性映射函数,H1:{0,1}*→G1,是抗碰撞的哈希函数。双线性映射e具有如下性质:
性质2.非退化性:存在生成元ω,ρ∈G1,使得e(ω,ρ)≠1。
性质3.可计算性:对于任意给定的μ,ν∈G1,在多项式时间内存在有效的算法可计算e(μ,ν)。
推理1.对所有的生成元ρ1,ρ2,ω∈G1,有e(ρ1+ρ2,ω)=e(ρ1,ω)e(ρ2,ω)。
1.2计算复杂性问题
实施例1
复杂数据共享环境下,终端设备在属性权限分发之前还需进行身份认证,但身份认证时由于处于边云协同网络环境下终端设备的隐私信息容易泄露。出于安全考虑,终端设备在身份认证的同时,需要对个人身份隐私进行保护。在数据共享时,还要保障共享信息的保密性、完整性和抗泄露性,要求满足属性权限的终端设备才能还原多项式得到解密密钥。针对此应用背景下,本发明一种移动边云协同场景中密文数据共享方法,如图1所示,其步骤如下:①边云协同***进行初始化,云服务器CS、边缘服务器以及终端设备自证实自己的密钥,以获得合法的公/私钥对;②边云协同***内的终端设备分发属性权限:在进行数据共享之前终端设备首先进行隐藏属性的身份认证,认证终端设备身份的同时保障其隐私信息不被泄露,认证成功后为合法的终端设备分发属性权限;③数据加密及安全存储:终端设备随机选取加密密钥加密数据,然后利用属性权限计算加密密钥因子并将密文、加密密钥因子和关键字等信息上传本地边缘服务器;④数据搜索及安全共享:终端设备根据自己的属性权限向本地服务器申请目标资源,本地边缘服务器验证其身份和权限,验证通过后,本地边缘服务器搜索本域区块链资源,如果资源在其他域,本域边缘服务器搜索联盟索引数据库以获得资源信息并返回给终端设备。整个***的密文数据共享示意图,如图2所示。本发明的具体步骤如下:
步骤一:***实体密钥自证实。
安全数据共享模型可为数据提供者及数据需求者进行匿名交易的环境,采用公钥密码体制将用户身份和用户公钥进行绑定,但最终要确定交易者真实身份,需要一个权威的认证中心CA将注册真实身份与其公钥进行关联,其关联过程如下:
1)认证中心CA运行初始化算法Setup(1λ)后,广播***参数{g1,G1,e,H1,PK};其中,PK为认证中心CA的公钥,g1为加法群G1的生成元,H1(·)表示哈希函数,e表示可计算的双线性映射函数。
2)***实体u收到认证中心CA广播的***参数{g1,G1,e,H1,PK}后,随机选取一个正整数计算证实中间变量η1=H2(id)rg1、η2=rPK、η3=H2(id)PK、η4=H1(u||id||η1||η2||η3||pk)和公钥pk=rg1,然后将消息{u,id,η1,η2,η3,η4,pk}发送给认证中心CA;其中,id为***实体u的身份标识,表示阶为q的正整数集,q为加法群G1的素数阶,***实体u包括云服务器、边缘服务器和终端,pk为***实体u的公钥。
3)认证中心CA收到消息{u,id,η1,η2,η3,η4,pk}后,验证***实体u的公钥pk和身份标识id的对应关系,即计算中间变量η'2=MSK-1η2=pk=rg1,η'3=MSK-1η3=H2(id)g1,η'4=H1(u||id||η1||η2||η3||pk),并验证等式η'4=η4和e(η2,η'3)=e(η3,η'2)是否相等,如果相等,认证中心CA公布***实体u的有效公钥pk;其中,MSK表示认证中心CA的私钥。
等式e(η2,η'3)=e(η3,η'2)的验证方法为:
4)通过上述过程,***实体u获得公认的公钥信息,并生成了自己的公/私密钥对(pk,r)。
本发明采用密钥自证实算法能够有效地避免传统认证中心密钥分发过程中的私钥泄露问题,提高了共享资源的安全性。
步骤二:属性权限分发。
假设***有N个边缘服务器,每个边缘服务器最多有n个终端,云服务器CS定义网络资源访问的***的认证属性集SA={Att1,Att2,...,AttT}及其对应的属性序列为{S1,S2,...,ST},并为每个对应的属性选取不同的随机属性参数构成集合pa={r1,r2,...,rT},其中,1≤k≤T,云服务器CS向***内部广播可用的认证属性集SA。假设终端设备ui,j的属性集表示为因为Att1=attri,j,1,Att2=attri,j,2以此类推,但是t≤T,1≤i≤N,1≤j≤n,1≤t≤T,AttT表示云服务器定义的第T个***属性,T表示***属性的总个数。任意终端ui,j进行属性注册及属性权限分发的过程如下:
(1)终端设备ui,j收到云服务器CS广播的认证属性集SA,终端设备ui,j随机选择正整数计算属性中间变量Li,j=li,jg1、 及中间签名然后将消息发送给云服务器CS;其中,ui,j表示第i个边缘服务器管理域内的第j个终端设备,attri,j,t表示终端设备ui,j的第t个属性,表示终端设备ui,j的私钥,H2(·)表示哈希散列函数,g1是加法群G1的生成元,||是连接符号。
(2)云服务器CS收到终端设备ui,j发送的消息后,分别计算验证中间变量并通过比较数集和数集两个集合的交集及对应关系,确定终端设备ui,j具有的属性,即attri,t=Attt及终端设备ui,j的属性集对应的序列{S1,S2,...,St},假设终端设备ui,j发送的数集对应云服务器CS计算的数集则确定其具有的属性集为{Att1,Att2,...,Attt},然后云服务器CS计算哈希值H2(Att1||Att2||...||Attt)g1并通过验证等式验证终端设备ui,j的中间签名,如果等式成立,则可确定终端设备ui,j拥有属性集{Att1,Att2,...,Attt},云服务器CS从集合pa中选择对应的属性参数{r1,r2,...,rt},并计算属性参数和属性签名然后云服务器CS将信息发送给终端设备ui,j;如果等式不成立,终端成员重新进行注册。其中,1≤t≤T为终端设备ui,j的属性的个数,T表示认证属性集中属性的总个数,AttT为认证属性集中的属性,rt为属性Attt对应的随机的属性参数,表示终端设备ui,t的公钥;H1(·)和H3(·)是哈希散列函数,skCS表示云服务器CS的私钥。终端成员拥有的属性集是云服务器拥有的属性集是{Att1,Att2,...,Attt}。
(3)终端设备ui,j收到云服务器CS发送的信息后,通过验证等式验证云服务器CS的属性签名身份,如果验证等式成立,则终端设备ui,j分别计算属性权限,终端设备ui,j的属性集对应的属性权限集合为如果等式不成立,ui,j重新进行注册;其中,为终端设备ui,j的第t个属性的属性参数,e(·)是可计算的双线性映射函数,H2(·)是哈希散列函数。
(5)云服务器CS根据终端设备ui,j的IP地址和边缘服务器ESi的IP地址进行管理域的划分,并将边缘服务器ESi所属终端设备ui,j的注册信息发送给边缘服务器ESi;其中,为终端设备ui,j的公钥。
边缘服务器在收到云服务器发送的终端成员的注册信息后,在后续的终端成员进行数据存储和数据共享步骤之前会将终端成员ui,j提供的请求信息与之前云服务器发送的终端成员ui,j的注册信息进行校验,如果校验成功才能够进行数据存储和共享。如果校验不成功,终端成员ui,j无法进行数据存储和共享。采用这种方式能确保参与数据共享的终端是合法的,保障了共享数据的安全性。终端成员的注册过程主要采用匿名属性认证的方法,该方法采用一组属性代替终端成员的身份能够很好地保护终端成员的隐私信息。本发明主要用于终端成员的注册以及属性权限分发,但是边缘服务器作为管理域,其能够直接获得云服务器的隐私参数ri(1≤i≤T),因此可以根据步骤(4)直接计算出所有属性的属性权限。
步骤三:数据加密及安全存储:
(1)如果作为数据提供者的终端设备ui,j想共享数据终端设备ui,j随机选取正整数加密数据得到密文信息终端设备ui,j根据数据的属性权限及个数的要求,选取不同的数值假设需要t个不同的属性值才能访问数据终端设备ui,j构造一个多项式分别将属性值代入多项式p(x),计算出t个函数值{f1,f2,...,ft}作为加密密钥因子,然后终端设备ui,j根据密文信息计算密文信息的哈希值综合用于搜索数据的搜索关键字keywordsm,访问密文信息所需要的权限信息的序号(S1,S2,...,St),即消息及中间签名发给边缘服务器ESi;其中,表示终端设备ui,j的公钥,H2(·)和H3(·)表示哈希散列函数,表示attri,j,t对应的属性权限,表示终端设备ui,j的私钥。
(2)边缘服务器ESi收到终端设备ui,j发送的消息后,通过验证等式是否成立验证终端设备ui,j的中间签名,如果等式成立,则验证密文的哈希值是否正确,如果密文信息的哈希值无误,边缘服务器ESi将密文信息存储到链下本地数据库,并将消息作为一次交易信息的区块,写入到本域区块链上。同时,边缘服务器ESi将密文数据的搜索关键字keywordsm、访问权限的属性序列(S1,S2,...,St),加密密钥因子(f1,f2,...,ft)及所属的边缘服务器写入一个联盟索引数据库AID中,如果等式不成立,数据存储失败,ui,j重新存储资源;其中,表示终端设备ui,j的公钥;
由于共享数据可能涉及到多种不同的保密等级,或者某种特定的数据共享团体之间共享数据,如企业内部共享数据与外部共享数据、明文共享数据与密文共享数据等。采用拉格朗日插值多项式对于同一个加密密钥,同一个权限集合中如果集合个数为t,则可以有个组合的资源访问权限,使得数据共享更加安全、更加灵活。考虑属性权限的属性序列是为了方便判断属性权限是否满足设置的规则,同时避免直接使用属性权限而导致的属性权限的泄露。
步骤四:数据搜索及安全共享,其方法为:
(2)本域的边缘服务器ESi收到终端设备ui,k发出的资源请求消息后,将资源请求消息中的权限序列(S1,S2,...,St)与云服务器CS发送给自己的关于终端设备ui,k注册的属性序列进行对比验证,如果两者序列一致,本域的边缘服务器ESi从其属性权限集合中选取对应的属性权限通过验证等式是否成立,来确定终端设备ui,k具有的属性权限;如果等式不成立,边缘服务器ESi拒绝服务;如果没有出现错误,集合与是相同的。
(3)域内资源检索:本域的边缘服务器ESi根据终端设备ui,k发送的资源的关键字keywordsm在本域区块链中搜索相关资源的数据及访问该资源的属性序列{S1,S2,...,Sτ},如果区块链中的关键字满足终端设备ui,k搜索的关键字要求,且访问该资源的属性序列则说明终端设备ui,k具有访问数据的权限,本域的边缘服务器ESi将访问该资源的链接Link及加密密钥因子(f1,f2,...,ft)通过终端设备ui,k的公钥加密,并发送给终端设备ui,k,并把访问记录以交易的形式写入区块链。其中Tm表示访问资源的时间戳。
(4)当需要域间资源共享请求时,本域的边缘服务器ESi根据终端设备ui,k发送的资源的关键字keywordsm在联盟索引数据库AID中搜索相关资源的数据及访问该资源的属性序列{S1,S2,...,Sτ},如果联盟索引数据库AID的关键字满足终端设备ui,k搜索的关键字要求,且访问该资源的属性序列则说明终端设备ui,k具有访问数据的权限,本域的边缘服务器ESi将请求资源的数据所在的域边缘服务器ESj,以获取相应资源的外域数据库链接地址Link及该资源的加密密钥因子(f1,f2,...,ft),并将请求访问该资源的链接Link及加密密钥因子(f1,f2,...,ft)通过终端设备ui,k的公钥加密发送给终端设备ui,k,并把访问记录以交易的形式写入区块链。其中Tm表示访问资源的时间戳。
(5)终端设备ui,k解密链接Link及加密密钥因子(f1,f2,...,ft)后,通过收到的链接Link下载密文信息根据密文信息的加密密钥因子(f1,f2,...,ft)及其拥有的属性权限分别计算变量用点对{(x1,f1),(x2,f2),...,(xt,ft)}及拉格朗日插值定理,构造多项式其中终端设备ui,k计算获得共享资源的解密密钥,进而解密资源获得明文数据即共享数据。
本发明采用上述步骤能够对数据进行快速搜索及定位并且负载轻量,边缘服务器根据数据需求者的数据描述,通过本地区块链及联盟数据库可进行全网快速搜索及定位,能及时进行数据反馈;在搜索及定位过程中都是边缘服务器执行操作,避免了传统方案中终端与服务器交互频繁带来的计算和通信负载。
实施例2,一种边云协同场景中密文数据共享方法,如图1所示,为了说明本发明的内容及实施方法,给出了一个具体实施例。本实施方式中,为方便实例阐述,假设***有5个边缘服务器,每个边缘服务器最多有10个终端设备,云服务器CS定义网络资源访问的认证属性集SA={Att1,Att2,Att3}及其对应的属性序列集为{S1,S2,S3},并为每个对应的属性选取不同的随机属性参数构成集合pa={r1,r2,r3},其中假设终端设备ui,j(1≤i≤5,1≤j≤10)的属性集表示为attrui,j={attri,j,1,attri,j,2,attri,j,3},在本实施例中引入细节的目的不是限制权利要求书的范围,而是帮助理解本发明的具体实施方法。本领域的技术人员应理解:在不脱离本发明及其所附权利要求的精神和范围内,对最佳实施例步骤的各种修改、变化或替换都是可能的。因此,本发明不应局限于最佳实施例及附图所公开的内容。本发明的步骤为:
步骤一:***实体密钥自证实。
安全数据共享模型可为资源提供者及资源需求者进行匿名交易的环境,采用公钥密码体制将用户身份和用户公钥进行绑定,但最终要确定交易者真实身份,需要一个权威认证中心CA将注册真实身份与其公钥进行关联,其关联过程如下:
1)认证中心CA运行算法Setup(1λ)后,广播***参数{g1,G1,e,H1,PK};其中PK为认证中心CA的公钥,g1为加法群G1的生成元,q为加法群G1的素数阶,u表示***实体(包括云服务器、边缘服务器和终端),H1(·)表示哈希函数,e表示可计算的双线性映射函数。
2)***实体u收到认证中心CA广播的***参数{g1,G1,e,H1,PK}后,随机选取一个正整数计算η1=H2(id)rg1,η2=rPK,η3=H2(id)PK,pk=rg1和η4=H1(u||id||η1||η2||η3||pk),然后将消息{u,id,η1,η2,η3,η4,pk}发送给CA;其中,id为***实体u的身份标识,表示阶为q的正整数集,q为加法群G1的素数阶,pk为***实体u的公钥。
3)认证中心CA收到消息{u,id,η1,η2,η3,η4,pk}后,验证公钥pk和身份标识id的对应关系,即计算η'2=MSK-1η2=pk=rg1,η'3=MSK-1η3=H2(id)g1,η'4=H1(u||id||η1||η2||η3||pk),并验证等式η'4=η4,e(η2,η'3)=e(η3,η'2)是否相等,如果相等,认证中心CA公布***实体u的有效的公钥pk;其中,MSK表示认证中心CA的私钥。
4)通过上述过程,***实体u获得公认的公钥信息,并生成了自己的公/私密钥对(pk,r)。
步骤二:属性权限分发。
假设***有5个边缘服务器,每个边缘服务器最多有10个终端,云服务器CS定义网络资源访问的认证属性集SA={Att1,Att2,Att3}及其对应的属性序列为{S1,S2,S3},并为每个对应的属性选取不同的随机属性参数构成集合pa={r1,r2,r3},其中,云服务器CS向***内部广播可用的认证属性集SA。假设终端设备ui,j(1≤i≤5,1≤j≤10)的属性集表示为任意终端设备ui,j进行属性注册及属性权限的获取过程如下:
(1)终端设备ui,j收到云服务器CS广播的认证属性集SA,终端设备ui,j随机选择正整数计算Li,j=li,jg1,及然后将消息发送给终端设备CS。其中,ui,j表示第i个边缘服务器管理域内的第j个终端设备,attri,j,t表示终端设备ui,j的第t个属性,表示终端设备ui,j的私钥,H2(·)表示哈希散列函数,||是连接符号。
(2)云服务器CS收到终端设备ui,j发送的消息后,分别计算并通过比较和两个集合的交集及对应关系,确定终端设备ui,j具有的属性,即attri,t=Attt(1≤t≤3)及终端设备ui,j属性集对应的属性序列{S1,S2,S3},假设终端设备ui,j发送的数集对应云服务器CS计算的数集则确定其具有的属性集为{Att1,Att2,Att3},然后云服务器CS计算哈希值H2(Att1||Att2||Att3)g1并通过验证等式是否成立验证终端设备ui,j的签名,如果等式成立,则可确定终端设备ui,j拥有属性集{Att1,Att2,Att3},云服务器CS从集合pa从选择对应的属性参数{r1,r2,r3},并计算属性中间变量和属性签名然后云服务器CS将信息发送给终端设备ui,j。其中,g1为加法群G1的生成元,t≤T为终端设备ui,j的属性的个数,表示终端设备ui,t的公钥;H2(·)和H3(·)均是哈希散列函数,||是连接符号,skCS表示云服务器CS的私钥。
(3)终端设备ui,j收到云服务器CS发送的消息后,通过验证等式是否成立验证云服务器CS的签名身份,如果等式成立,则分别计算属性权限终端设备ui,j的属性集对应的属性权限集为其中,为终端设备ui,j的第t个属性的权限参数,e(·)是可计算的双线性映射函数。
(5)云服务器CS根据终端设备ui,j的IP地址和边缘服务器ESi(1≤i≤5)的IP进行管理域的划分,并将边缘服务器ESi所属终端ui,j的注册信息发送给边缘服务器ESi。其中,为终端设备ui,j的公钥。
步骤三:数据加密及安全存储:
属性权限分发之后,任意边缘服务器ESi(1≤i≤5)可从云服务器CS端获取其所管理的终端设备ui,j(1≤j≤10)的属性相关的信息及其公钥信息以边缘服务器ESi所在的管理域进行数据加密及存储过程如下:
(1)如果数据提供者ui,j想共享数据终端设备ui,j随机选取正整数加密数据得到密文终端设备ui,j根据访问数据的属性权限及个数的要求,选取不同的数值假设需要3个不同的属性值才能访问数据。终端设备ui,j构造一个多项式分别将属性值代入多项式p(x),计算出3个函数值{f1,f2,f3},然后终端设备ui,j将密文的哈希值用于搜索数据的明文关键字keywordsm,访问密文所需要的权限信息的权限序列(S1,S2,S3),即信息及其签名发给边缘服务器ESi。其中,表示终端设备ui,j的公钥,H2(·)和H3(·)表示哈希散列函数,表示属性attri,j,t对应的属性权限,表示终端设备ui,j的私钥。
(2)边缘服务器ESi收到终端设备ui,j发送的消息后,通过等式验证终端设备ui,j的签名,如果等式成立,则验证密文的哈希值是否正确,如果密文的哈希值无误,边缘服务器ESi将密文存储到链下本地数据库,并将消息作为一次交易信息的区块,写入到本域区块链上。并将密文数据的索引信息keywordsm,访问权限序列(S1,S2,S3),加密密钥因子(f1,f2,f3)及所属的边缘管理域写入一个联盟索引数据库AID中;其中,表示终端设备ui,j的公钥。
步骤四:数据搜索及安全共享,其方法为:
(2)本域边缘服务器ESi收到终端设备ui,k发出的数据请求消息后,将信息中的权限序列(S1,S2,S3)与云服务器CS发送给自己的关于终端设备ui,k注册的属性序列进行对比验证,如果两者序列一致,本域边缘服务器ESi从其属性权限集合中选取对应的属性权限(注:集合与是相同的,如果没有出现错误),然后通过验证等式是否成立,来确定终端设备ui,k具有的属性权限。
(3)域内资源检索:本域边缘服务器ESi根据终端设备ui,k发送的资源关键字keywordsm在本域区块链中搜索相关的资源及访问该资源的属性序列{S1,S2,S3},如果区块链中的关键字满足终端设备ui,k搜索的关键字要求,且访问该资源的属性序列则说明终端设备ui,k具有访问资源的权限,本域边缘服务器ESi将访问该资源的链接Link及加密密钥因子(f1,f2,f3)通过终端设备ui,k的公钥加密,并发送给终端设备ui,k,并把访问记录以交易的形式写入区块链。
(4)当需要域间资源共享请求时,本域边缘服务器ESi根据终端设备ui,k发送的资源关键字keywordsm在联盟索引数据库AID中搜索相关的资源及访问该资源的属性序列{S1,S2,S3},如果联盟索引数据库AID的关键字满足终端设备ui,k搜索的关键字要求,且访问该资源的属性序列则说明终端设备ui,k具有访问资源的权限,本域边缘服务器ESi将请求资源所在的域边缘服务器ESj,以获取相应资源的外域数据库链接地址Link及该资源的加密密钥因子(f1,f2,f3),并将请求访问该资源的链接Link及加密密钥因子(f1,f2,f3)通过终端设备ui,k的公钥加密,并发送给终端设备ui,k,并把访问记录以交易的形式写入区块链。
(5)终端设备ui,k解密链接Link及加密密钥因子(f1,f2,f3)后,通过收到的链接Link下载密文数据根据密文的加密密钥因子(f1,f2,f3)及其拥有的属性权限分别计算用点对{(x1,f1),(x2,f2),(xt,f3)}及拉格朗日插值定理,构造多项式其中终端设备ui,k计算获得共享资源的解密密钥,进而解密资源获得明文数据
本发明的步骤为:初始化移动边缘网络域内的协议参数,生成认证中心的主密钥和公钥,***实体(包括云服务器、边缘服务器以及终端设备)密钥自证实并获得合法的公/私钥对,云服务器向终端设备分发属性权限,资源提供者加密数据并计算加密密钥因子,然后将资源有关信息上传本域边缘服务器,资源访问者向本域边缘服务器申请访问资源,本域边缘服务器搜索资源,如果本域没有所需资源则进行跨域搜索。本发明结合门限函数(拉个朗日插值多项式)分发密钥,根据共享数据的保密要求设置特定属性的加密密钥因子进行组合加密密钥,只有符合特定规则的数据需求者才能解密共享数据,根据不同的属性权限设置密钥加密资源,只有具有该属性权限的终端才能够还原多项式获得解密密钥,以达到更加灵活、细粒度的安全数据共享,同时模型结合区块链技术,将共享数据的哈希值及共享者公钥信息,数据需求者访问记录等写入区块链,可以方便的进行数据完整性校验及数据溯源,使得访问控制更加灵活、高效和安全。
本发明以隐藏属性认证理论为基础,以决策双线性Diffie-Hellman(DBDH)问题为安全假设前提提出,采用隐藏属性的身份认证技术在资源信息共享的身份认证过程中实现个人隐私保护,在终端设备属性权限分发的过程中,除了对终端设备进行身份认证外,每个终端设备还获得相应的属性权限。本发明支持细粒度的数据共享,终端设备根据共享数据的保密要求设置特定属性密钥因子进行组合加密密钥,只有符合特定规则的数据需求者才能解密共享数据,以达到更加灵活、细粒度的安全数据共享;此外,本发明支持数据快速搜索及定位,边缘服务器根据数据需求者的数据描述,通过本地区块链及联盟数据库可进行全网快速搜索及定位,能及时进行数据反馈,使得边云协同环境下的密文资源共享更加灵活、高效和实用,具有重要的领域研究意义和商业应用价值。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种边云协同场景中密文数据共享方法,其特征在于,其步骤如下:
步骤一:***实体密钥自证实
A)认证中心CA运行初始化算法并广播***参数;
B)收到认证中心CA广播的***参数后,***实体随机选取一个正整数作为私钥,并计算证实自己身份所需的证实中间变量和公钥,然后***实体将证实中间变量和公钥发送给认证中心CA;
C)收到***实体的消息后,认证中心CA验证***实体的公钥和身份标识的对应关系,如果验证通过,认证中心CA公布***实体的有效公钥;
所述***实体包括云服务器、边缘服务器以及终端设备;
步骤二:属性权限分发
E)边云网络***进行初始化,云服务器CS向***内部广播可用的认证属性集;
F)收到云服务器CS广播的认证属性集后,各终端设备随机选择一个正整数并计算验证自己属性所需的属性中间变量和中间签名,然后将属性中间变量及中间签名发送给云服务器CS;
G)云服务器CS接收到各终端成员发送的消息后,计算验证属性所需的属性中间变量并确定终端设备所具有的属性,然后云服务器CS计算哈希值并验证终端设备的中间签名,如果验证通过则计算属性参数和属性签名并将属性参数集合和属性签名一起发送给各终端设备;
H)收到云服务器CS的消息后,各终端设备验证云服务器CS的属性签名,如果验证通过,各终端设备计算属性权限;
I)各边缘服务器根据步骤F)-H)获得所有的边缘属性权限;
J)云服务器CS根据各终端设备和各边缘服务器的IP划分管理域,并将边缘服务器所属终端设备的注册信息发送给对应的边缘服务器;
步骤三:数据加密及安全存储
K)如果数据提供者想共享数据,数据提供者随机选取正整数加密数据得到密文信息;数据提供者选取属性权限对应的正整数构造多项式并计算函数值、密文的哈希值和中间签名,数据提供者将密文信息、密文的哈希值、中间签名和函数值的信息一起发送给边缘服务器,并将函数值作为加密密钥因子;
L)收到数据提供者的消息后,边缘服务器验证数据提供者的中间签名和密文的哈希值,如果验证通过,边缘服务器将密文存储到链下本地数据库,并将数据提供者发送给自己的消息写入区块链;然后边缘服务器将密文数据的搜索关键字、访问权限的属性序列、加密密钥因子以及所属的边缘管理域信息写入联盟索引数据库AID中;
步骤四:数据搜索及安全共享
M)资源需求者计算中间签名并将资源请求信息发送给本域边缘服务器;
N)收到资源需求者的资源请求消息后,本域边缘服务器校验资源需求者的属性序列并确定资源需求者的属性权限;
O)本域边缘服务器在本域区块链中搜索目标资源及访问该资源的属性序列,如果区块链中的关键字满足搜索要求且属性序列满足要求,则说明资源需求者具有访问该资源的权限,本域边缘服务器将该资源的链接和加密密钥因子发送给资源需求者,并把访问记录以交易的形式写入区块链;
P)当需要域间资源共享请求时,本域边缘服务器在联盟索引数据库AID中搜索资源及访问该资源的属性序列,如果关键字和属性序列都满足要求,则说明资源需求者具有访问资源的权限,本域边缘服务器请求资源所在的域边缘服务器,获取资源的外域数据库链接及加密密钥因子,并将链接和加密密钥因子发送给资源需求者,把访问记录以交易的形式写入区块链;
Q)资源需求者通过链接下载密文数据并计算点对,然后通过点对还原多项式计算出密钥,利用密钥解密资源获得明文数据。
2.根据权利要求1所述的边云协同场景中密文数据共享方法,其特征在于,所述步骤一的实现方法为:
1)认证中心CA运行初始化算法Setup(1λ)后,广播***参数{g1,G1,e,H1,PK};其中,λ为安全参数,PK为认证中心CA的公钥,g1为加法群G1的生成元,H1:{0,1}*→G1表示哈希散列函数,e表示可计算的双线性映射函数;
2)***实体u收到认证中心CA广播的***参数{g1,G1,e,H1,PK}后,随机选取一个正整数计算证实中间变量η1=H2(id)rg1、η2=rPK、η3=H2(id)PK、η4=H1(u||id||η1||η2||η3||pk)和公钥pk=rg1,然后将消息{u,id,η1,η2,η3,η4,pk}发送给认证中心CA;其中,id为***实体u的身份标识,表示阶为q的正整数集,q为加法群G1的素数阶,pk为***实体u的公钥;
3)认证中心CA收到消息{u,id,η1,η2,η3,η4,pk}后,验证***实体u的公钥pk和身份标识id的对应关系,即计算中间变量η'2=MSK-1,η2=pk=rg1,η′3=MSK-1η3=H2(id)g1,η'4=H1(u||id||η1||η2||η3||pk),并验证等式η'4=η4和e(η2,η′3)=e(η3,η'2)是否成立,如果成立,认证中心CA公布***实体u的有效公钥pk;其中,MSK表示认证中心CA的私钥;
4)***实体u获得公认的公钥,并生成了自己的公/私密钥对(pk,r)。
4.根据权利要求1或2所述的边云协同场景中密文数据共享方法,其特征在于,所述步骤二中终端设备进行属性权限分发的方法为:
(1)云服务器CS向***内部广播可用的认证属性集SA={Att1,Att2,...,AttT};终端设备ui,j收到云服务器CS广播的认证属性集SA,终端设备ui,j随机选择正整数计算属性中间变量Li,j=li,jg1、及中间签名然后将消息发送给云服务器CS;其中,ui,j表示第i个边缘服务器管理域内的第j个终端设备,attri,j,t表示终端设备ui,j的第t个属性,且1≤i≤N,1≤j≤n,1≤t≤T,N为边缘服务器的总个数,n为每个边缘服务器的终端设备的数量,T表示认证属性集中属性的总个数,表示终端设备ui,j的私钥,g1是加法群G1的生成元,||是连接符号;
(2)云服务器CS收到终端设备ui,j发送的消息后,分别计算验证中间变量并比较数集和云服务器CS计算的数集两个集合的交集及对应关系,确定终端设备ui,j具有的属性集为{Att1,Att2,...,Attt};然后云服务器CS计算哈希值H2(Att1||Att2||...||Attt)g1并通过验证等式验证终端设备ui,j的中间签名,如果等式成立,则确定终端设备ui,j拥有属性集{attri,j,1,attri,j,2,...,attri,j,t},云服务器CS从集合pa={r1,r2,...,rT}中选择对应的属性参数{r1,r2,...,rt},并计算属性参数和属性签名然后云服务器CS将信息发送给终端设备ui,j;其中,1≤t≤T为终端设备ui,j的属性的个数,T表示认证属性集中属性的总个数,AttT为认证属性集中的属性,为属性Attt对应的随机的属性参数,表示终端设备ui,t的公钥;H3(·)是哈希散列函数,skCS表示云服务器CS的私钥;
(3)终端设备ui,j收到云服务器CS发送的信息后,通过验证等式验证云服务器CS的属性签名身份,如果等式成立,则终端设备ui,j分别计算属性权限 终端设备ui,j的属性集对应的属性权限集合为其中,为终端设备ui,j的第t个属性的属性参数,e(·)是可计算的双线性映射函数;
5.根据权利要求4所述的边云协同场景中密文数据共享方法,其特征在于,所述步骤三中数据加密及安全存储的实现方法为:
步骤1、如果作为数据提供者的终端设备ui,j想共享数据终端设备ui,j随机选取正整数加密数据得到密文信息终端设备ui,j构造一个多项式分别将属性权限的哈希值代入多项式p(x),计算出t个函数值{f1,f2,...,ft}作为加密密钥因子,然后终端设备ui,j根据密文信息计算密文的哈希值和中间签名并将消息发给边缘服务器ESi;其中,表示终端设备ui,j的公钥,H2(·)和H3(·)表示哈希散列函数,表示阶为q的正整数集,表示属性attri,j,t对应的属性权限,表示终端设备ui,j的私钥;keywordsm是用于搜索数据的搜索关键字,(S1,S2,...,St)是访问密文信息所需要的权限序列;x为自变量,a1,...,at-2,at-1是终端设备ui,j根据数据的属性权限选取不同的参数值;
7.根据权利要求1或5所述的边云协同场景中密文数据共享方法,其特征在于,所述步骤四的数据搜索及安全共享的实现方法为:
S1、作为资源需求者的终端设备ui,k计算中间签名并将资源请求消息发送给本域边缘服务器ESi;其中,表示终端设备ui,k的私钥,表示终端设备ui,k的公钥,为终端设备ui,k的属性权限,keywordsm表示需求资源的搜索关键字,为终端设备ui,k的中间签名,{S1,S2,...,St}为访问权限的属性序列,g1为加法群G1的生成元,H3(·)表示哈希散列函数,1≤i≤N,N为边缘服务器的总个数,1≤k≤n,n为终端的总个数;
S2、本域边缘服务器ESi收到终端设备ui,k发出的资源请求消息后,将资源请求消息中的属性序列(S1,S2,...,St)与云服务器CS发送给自己的关于终端设备ui,k注册的属性序列进行对比验证,如果两者序列一致,本域边缘服务器ESi从边缘属性权限集合中选取对应的边缘属性权限验证等式是否成立确定终端设备ui,k具有的属性权限;
S3、域内资源检索:本域边缘服务器ESi根据终端设备ui,k发送的资源的搜索关键字keywordsm在本域区块链中搜索相关资源的数据及访问该资源的属性序列{S1,S2,...,Sτ},如果区块链中的搜索关键字满足终端设备ui,k搜索的关键字要求,且访问该资源的属性序列则终端设备ui,k具有访问数据的权限,本域边缘服务器ESi将访问该资源的链接及加密密钥因子(f1,f2,...,ft)通过终端设备ui,k的公钥加密,并发送给终端设备ui,k,并把访问记录以交易的形式写入区块链;其中,τ表示解密资源所需的属性个数,Tm表示访问资源的时间戳;
S4、当需要域间资源共享请求时,本域边缘服务器ESi根据终端设备ui,k发送的资源的搜索关键字keywordsm在联盟索引数据库AID中搜索相关资源的数据及访问该资源的属性序列{S1,S2,...,Sτ},如果联盟索引数据库AID的关键字满足终端设备ui,k搜索的关键字要求,且访问该资源的属性序列则说明终端设备ui,k具有访问数据的权限;本域边缘服务器ESi将请求资源的数据所在的域边缘服务器ESj以获取资源的外域数据库链接地址及该资源的加密密钥因子(f1,f2,...,ft),并将请求访问该资源的链接及加密密钥因子(f1,f2,...,ft)通过终端设备ui,k的公钥加密发送给终端设备ui,k,并把访问记录以交易的形式写入区块链;
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111087396.4A CN115834067A (zh) | 2021-09-16 | 2021-09-16 | 一种边云协同场景中密文数据共享方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111087396.4A CN115834067A (zh) | 2021-09-16 | 2021-09-16 | 一种边云协同场景中密文数据共享方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115834067A true CN115834067A (zh) | 2023-03-21 |
Family
ID=85515057
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111087396.4A Pending CN115834067A (zh) | 2021-09-16 | 2021-09-16 | 一种边云协同场景中密文数据共享方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115834067A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117725618A (zh) * | 2024-02-06 | 2024-03-19 | 贵州省邮电规划设计院有限公司 | 一种基于大数据的政务服务分析管理*** |
CN117974170A (zh) * | 2024-03-29 | 2024-05-03 | 江西安图游科技有限公司 | 一种基于电子票证校验的景区数据管理方法及*** |
-
2021
- 2021-09-16 CN CN202111087396.4A patent/CN115834067A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117725618A (zh) * | 2024-02-06 | 2024-03-19 | 贵州省邮电规划设计院有限公司 | 一种基于大数据的政务服务分析管理*** |
CN117725618B (zh) * | 2024-02-06 | 2024-05-07 | 贵州省邮电规划设计院有限公司 | 一种基于大数据的政务服务分析管理*** |
CN117974170A (zh) * | 2024-03-29 | 2024-05-03 | 江西安图游科技有限公司 | 一种基于电子票证校验的景区数据管理方法及*** |
CN117974170B (zh) * | 2024-03-29 | 2024-06-11 | 江西安图游科技有限公司 | 一种基于电子票证校验的景区数据管理方法及*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Guo et al. | Blockchain meets edge computing: A distributed and trusted authentication system | |
CN108632032B (zh) | 无密钥托管的安全多关键词排序检索*** | |
CN112804064B (zh) | 基于区块链的属性加密访问控制***及方法 | |
JP2019507510A (ja) | 情報及び階層的で決定性の暗号化鍵のセキュアな交換のための共通秘密の決定 | |
Sarfraz et al. | Privacy aware IOTA ledger: Decentralized mixing and unlinkable IOTA transactions | |
CN112383550B (zh) | 一种基于隐私保护的动态权限访问控制方法 | |
CN110912897B (zh) | 基于密文属性认证和门限函数的图书资源访问控制方法 | |
CN106487506B (zh) | 一种支持预加密和外包解密的多机构kp-abe方法 | |
CN110933033B (zh) | 智慧城市环境下多物联网域的跨域访问控制方法 | |
CN112165472B (zh) | 一种基于隐私保护的物联网数据安全共享方法 | |
CN115834067A (zh) | 一种边云协同场景中密文数据共享方法 | |
Cui et al. | Towards Multi-User, Secure, and Verifiable $ k $ NN Query in Cloud Database | |
CN111447058B (zh) | 基于中国剩余定理的图书资源访问控制方法 | |
Pei et al. | Smart contract based multi-party computation with privacy preserving and settlement addressed | |
CN111314059B (zh) | 账户权限代理的处理方法、装置、设备及可读存储介质 | |
CN116318663A (zh) | 一种基于隐私保护的多策略安全密文数据共享方法 | |
Rehman et al. | Securing cloud storage by remote data integrity check with secured key generation | |
CN116232568A (zh) | 一种基于sm9的属性基加密的区块链访问控制方法 | |
CN115941221A (zh) | 一种移动边云协同中基于区块链的访问控制方法 | |
Saxena et al. | A Lightweight and Efficient Scheme for e-Health Care System using Blockchain Technology | |
Song et al. | A group key exchange and secure data sharing based on privacy protection for federated learning in edge‐cloud collaborative computing environment | |
Shen et al. | A Collusion‐Resistant Blockchain‐Enabled Data Sharing Scheme with Decryption Outsourcing under Time Restriction | |
Song et al. | A secure and effective anonymous integrity checking protocol for data storage in multicloud | |
SATHEESH et al. | A NOVEL HARDWARE PARAMETERS BASED CLOUD DATA ENCRYPTION AND DECRYPTION AGAINST UNAUTHORIZED USERS. | |
Chaudhari et al. | Towards lightweight provable data possession for cloud storage using indistinguishability obfuscation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |