一种基于属性加密的分布式访问控制方法
一种基于属性加密的分布式访问控制方法
【技术领域】
[0001] 本发明设及计算机学科、信息安全学科中的数据安全领域,特别设及云计算环境 下的数据安全和隐私保护。
【背景技术】
[0002] 随着计算机技术、互联网W及无线网络的快速发展,每天产生的大量数据W数字 化的形式存储在计算机上。云计算技术为海量数据的存储和处理提供了一个有效的解决方 案。但是,当用户把他们的数据存储到第=方云服务器时,考虑到第=方云服务器是不完全 可信的而且用户一般只允许授权的访问者访问他们的数据,因此,用户敏感数据的安全和 隐私面临极大的挑战,例如社交网站上用户的个人偏好和好友圈W及邮箱服务器上的个人 邮件等等。当该些服务器被黑客攻击,用户的敏感数据会被泄露,甚至一些云服务提供商会 通过出售用户的数据来获取利益。
[0003] 访问控制和数据加密技术可W满足上述用户对数据隐私保护的需求。传统的访 问控制系统的安全性和性能通常基于一个完全可信的服务器,用户的权限和数据都是由系 统管理员来分配和管理,但当用户数量庞大时,该将严重影响系统的效率。若该服务器被 攻陷时,用户的数据将会泄露。数据加密技术可W有效地保护用户数据安全,当使用公钥 加密机制(如RSA)时,则加密者需要提前知道接受者的公钥,当使用对称加密机制(如 AES(AdvancedE:ncryptionStandard))时,加密者需要在线给接受者分发密钥,也就是说 传统的加密机制是一对一的,针对不同的接受者,加密者需要使用不同的密钥,该样相同的 文件会被加密多次生成不同的密文存储在服务器上,当系统中的数据和用户数量庞大时, 会给密钥管理带来巨大的开销。而在许多应用环境中,尤其是云环境,数据拥有者仅需要根 据加密策略来加密分享的数据,而不需要提前知道接受者的身份W及哪个用户会访问该数 据。而基于传统的加密机制来构建基于策略的加密机制是困难的,因为当数据拥有者加密 数据时,其仍然需要提前知道所有具有访问其数据权限的用户,然后基于该用户集来加密 数据,但是当新加入用户具备访问权限时,数据则需要重新加密。而且传统的加密机制不能 很好地支持用户数据的细粒度访问,所W传统的访问控制系统和加密机制不能高效地应用 于分布式的云环境中。
[0004] 因此,在不完全可信的云服务器上实现海量数据的安全和隐私保护亟需一个细粒 度的、可扩展的、分布式的W及可实现一对多加密的访问控制机制系统。目前,基于属性 加密(Attribute-BasedEnc巧ption,AB巧被认为是最适合于解决云环境中数据安全和隐 私保护W及实现细粒度的数据访问控制的技术之一。ABE有两种结构,分别为密钥策略的 ABE(Key-PolicyABE,KP-AB巧和密文策略的ABE(CP-AB巧。在KP-A邸机制中,每个用户的 密钥与访问结构相关,每个密文与一组属性集相关;在CP-ABE机制中则相反,每个用户密 钥与一组属性集相关,密文与访问结构相关。当把ABE应用到云环境中时,考虑到数据拥有 者的数据被存储到云服务器上,为了使数据拥有者能够控制和管理数据,CP-A邸更具优势。
[0005] 然而当把CP-ABE机制应用到云环境中时,不可避免地需要考虑一些实际问题。例 如,在实际系统中,用户职位会发生变化,进而用户的权限会发生变化。在CP-ABE机制中, 用户的权限与属性一一对应,所W用户权限的变化可W看成用户属性的变化,即用户属性 撤销问题。同时考虑到用户终端的计算能力有限,而在CP-ABE中,解密时间与访问结构中 属性数量线性相关,当属性数量较多时,会给用户带来沉重的计算负担。因此,在为云环境 设计CP-A邸机制时,高效的用户撤销和高效的解密问题都亟待解决。目前,已有一些把 CP-ABE机制应用到云环境中的方法,但是都存在一定的缺陷。
[0006] 目前已有的方法可W分为单权威的CP-ABE,如中国专利文献CN201210389845. 5、 CN201310132586. 2、CN201410055341. 9、CN201410330696. 4,和多权威的CP-ABE,如 CN201310647570. 5,在单权威的CP-ABE方法中,系统中的属性管理和密钥分发都是由单一 完全可信的属性权威(AttributeAuthority,AA)来执行,该AA具备解密所有密文的能力, 当该AA被攻击或者岩机,整个系统将会受到影响而且用户密钥可能会泄露,所W单一AA将 会是系统的性能瓶颈和安全弱点。因此,多权威的CP-ABE更适合于云环境。
[0007]文献CN201210389845. 5、CN201310132586. 2、CN201410330696. 4 都考虑了用户撤 销问题,但是却没有考虑高效解密,而CN201410055341. 9在CP-A邸的基础上提出了一种外 包解密的方法,实现了高效解密,但是并没有考虑用户撤销问题。CN201310647570. 5提出了 一种应用于云环境的多权威的CP-ABE方法,该方法能够实现高效解密和用户撤销,但是在 进行用户撤销时,该方法不仅需要对含有撤销属性的用户进行私钥更新,还需要对访问结 构中含有撤销属性的密文进行更新,而考虑到云环境中存储的海量数据时,该用户撤销方 法会带来巨大的开销。
【发明内容】
[000引有鉴于此,为了解决上述问题,本发明提出了一种既能满足云服务器上的海量数 据的安全和隐私保护需求,又能实现细粒度和可扩展的分布式访问控制机制。
[0009] 为了实现分布式访问控制机制,本发明设计了一种支持外包解密和高效用户撤销 的多权威的CP-ABE。在该加密机制中,加密数据时会定义一个访问结构(访问结构基于描 述性的属性集),使得密文与访问结构相关;生成的解密密钥则与一组描述性的属性集相 关,当且仅当解密密钥中的属性集满足密文中的访问结构时,解密密钥才能正确解密密文。 当用户的权限发生变化时,则会对用户进行密钥撤销更新。为了减轻用户的开销,解密密文 的大部分工作被委托给了云服务器。而且该加密机制使用多个AA来分发属性密钥,该减轻 了单个AA的工作量,同时提高了系统的安全性和健壮性。
[0010] CP-ABE是建立在双线群上,满足双线性映射的性质。下面给出双线性映射的定义; 设Gi和G2是两个阶为素数P的乘法循环群。g是G1的生成元,双线性映射e:GiXGi-G2, 该映射有W下特性:
[0011](1)双线性:对于任意U,VGG。a,bGZp, 6姐\yb) =e(u,v)ab;
[001引(2)非退化;e(g,g)声1 ;
[0013] (3)可计算性;对于任意u,VGGi,都能有效计算e(u,V)。
[0014] 进一步,本发明的系统模型如图1所示,该模型由五个实体组成,分别为可信的第 S方认证服务器(T巧、属性权威(AA)、数据拥有者云服务器W及用户。其中TP负责用户 的认证和注册,并给合法用户分发全局身份标识(GID)、证书和用户全局私钥;各个AA都是 独立运营的并且负责管理自己域中的属性,同时它们还负责给注册的合法用户分发属性密 钥,并把用户的属性密钥存储到云服务器上;数据拥有者基于定义的访问结构来加密数据, 并把加密的数据存储到云服务器上;云服务器则提供存储和访问服务,当一个合法用户访 问授权的数据,云服务器首先检索用户的属性密钥,然后利用该属性密钥解密密文并生成 一个解密令牌(TK)并把该TK和密文发给用户,接着用户利用全局私钥和TK来解密密文, 最终获得需要访问的数据。
[0015] 本发明提供的基于属性加密的分布式访问控制机制,包括W下几个步骤:
[0016] S1 ;系统初始化,生成系统公共参数、TP的公/私钥对W及每个属性的公/私钥 对;
[0017] S2 ;数据加密,数据拥有者加密数据,并把数据W加密的形式存储到云服务器上;
[0018] S3;用户密钥生成,TP给合法用户分配一个GID并给该用户分发证书和全局私钥, AA则基于用户的权限给其分发属性私钥;
[0019] S4;访问数据,用户向服务器请求数据访问,当且仅当用户的属性集满足密文中的 访问结构,用户才能利用全局私钥和属性私钥来解密密文;
[0020] S5;用户撤销,当用户的权限发生变化时,则对用户的私钥进行更新,使其W-个 新的身份重新加入到系统中来。
[0021] 进一步,所述步骤S1包括如下步骤:
[0022] S11 ;TP初始化,输入安全参数,生成系统公共参数和TP的公/私钥对;
[002引 S12;AA初始化。
[0024]其中S12包括如下步骤;
[002引 S121;每个AA从TP处接收到系统公共参数和TP的公钥;
[0026] S122 ;各个AA为其管理的每个属性生成公/私钥对。
[0027] 进一步,所述步骤S2包括如下步骤:
[002引 S21;数据拥有者分别从TP和AA处接收到系统公共参数和每个属性的公钥;
[0029] S22 ;数据拥有者基于全局属性集U,给数据定义一个访问结构A,A由访问矩阵 (M,P)来表示,其中函数P表示矩阵M每一行与属性X之间的映射;
[0030] 823;从2。中选取随机数8作为加密指数,令8为向量和(3八2,... 八。)€2;:的第一个 兀素;
[0031] S24 ;计算、=Mi,其中Mi是矩阵M的第i行;
[003引 S25 ;选取随机数r;GZP;
[0033]S26 ;输出密文CT;
[0034]S27 ;数据拥有者把密文CT上传到云服务器上。
[0035] 进一步,所述步骤S3包括如下步骤:
[0036] S31 ;用户加入系统,向TP提交身份信息进行注册;
[0037]S32 ;TP认证用户的合法性;
[0038] S33 ;若用户合法,则给用户分配一个GID,并给用户分发一个证书和全局私钥,其 中证书包含用户的GID、用户的属性列表W及用户的全局公 钥;若该用户不合法,则拒绝加 入系统;
[0039]S34;当用户收到TP发来的证书和全局私钥,便把证书发给其隶属的各个AA;
[0040] S35 ;当AA收到证书后,AA使用TP的公钥解密证书,并验证用户GID是否属于用 户撤销列表扣L);
[0041] S36 ;若GIDgUL,则AA基于用户的属性列表给用户生成属性私钥诺GIDGUL, AA终止操作;
[00创 S37;然后AA把用户的属性私钥发送给云服务器,并存储在云服务器上。
[0043] 进一步,所述步骤S4包括如下步骤:
[0044] S41 ;用户GID向云服务器发送数据访问请求,并把证书发给云服务器;
[0045]S42;云服务器使用TP的公钥解密证书,并验证用户GID是否属于用户撤销列表 (UL);
[0046] S43;若GIDgUL,则继续W下操作;若GIDGUL,云服务器终止操作;
[0047]S44;云服务器检索用户的属性私钥;
[0048]S45;接着使用用户的属性私钥解密密文,并生成解密令牌TK;
[0049] 其中S45包括如下步骤:
[0050] S451 ;令Ig(1,2,...,1}且I=(i:P(i) G R,},若根据访问矩阵M,{>山。是加密 指数S的有效分享,则存在恢复系数{WiGI能够重构出加密指数是
首先 云服务器选取{WiGZp}ieI;
[0化1] S452;接着云服务器计算解密令牌TK;
[0化2] S46 ;然后云服务器把TK和密文发送给用户;
[0053] S47 ;最后用户使用全局私钥和TK解密密文,若用户的属性满足密文中的访问结 构,则用户成功解密;若不满足,则解密失败。
[0化4] 进一步,所述步骤S5包括如下步骤:
[0化5] S51 ;当用户的权限发生变化时,用户把其发生变化的身份信息发送给TP,并在TP 处进行重新注册;
[0056] S52 ;TP把用户原来的GID写入化中,并公布化;
[0化7] S53 ;TP为用户分配一个新的全局身份标识GID',并为用户分发一个新的证书和 全局私钥,其中新的证书包含GID'、新的用户属性列表W及新的全局公钥,然后TP把用户 新的全局私钥和证书同时发给用户;
[0化引 S54;当用户收到TP发来的新的证书和全局私钥后,使用新的证书重新与其隶属 的各个AA进行交互。
[0059]S55;当AA收到证书ACertew后,AA使用TP的公钥解密证书,并验证用户GID' 是否属于UL;
[0060] S56;若GID'fUL.,AA继续W下操作;若GID'GUL,AA终止操作;
[0061] S57 ;该步骤与S37 -样,AA基于用户的属性列表给撤销用户生成新的属性私钥;
[006引 S58;然后AA把用户的各个属性私钥发送给云服务器,云服务器从参与密钥分发 的AA处收到用户的属性私钥并存储,同时云服务器删除化中新增撤销用户的属性私钥。 [006引本发明的优点在于;本发明提出了一个多权威的基于属性加密机制,每个AA都是 独立运行互不影响,并且不需要一个中屯、权威(CentralAuthority,CA),而该CA相当于单 权威的基于属性加密机制中的单一AA,具备解密所有系统密文的能力,因此CA必须完全可 信。本发明利用多个AA来分担单一AA的工作量,并且可W有效避免CA成为系统的瓶颈和 安全弱点,提高系统的健壮性,同时还支持AA的动态加入和退出。而且本发明利用给用户 分配一个全局身份标识GID的方法来防止用户共谋。
[0064] 在本发明中,利用密钥分离把用户的私钥分为用户全局私钥和用户属性私钥,其 中用户属性私钥由云服务器存储,而用户只需保存全局私钥。因此,除数据拥有者之外的四 个实体都具有部分解密能力,但是该四个实体每一方都不具备完全地解密密文的能力,当 用户想要解密密文时,用户需要云服务器的协助并且当且仅当用户的属性满足密文中的访 问结构时,用户才能正确解密密文,该方法在一定程度上加强了系统的安全性。本发明不 仅能实现云环境中海量数据的安全和隐私保护,而且还充分利用了云计算的特点,把解密 密文过程中的大部分工作量都委托给了云服务器,而且由于云服务器之拥有用户的属性密 钥,云服务器只能部分解密密文,该样既提高了解密效率,也保证了系统的安全性。
[00化]本发明设计了一个新颖的用户撤销方法,用户的撤销相当于更新用户的身份。当 用户权限发生变化时,TP会给用户重新注册,并分配一个新的全局身份标识,接着该撤销用 户获得新的证书、新的全局私钥W及新的属性私钥,撤销用户相当于W-个新的身份重新 加入到系统中。该撤销方法仅与撤销用户的属性相关,而且在实际应用中,用户的撤销并不 是很频繁。因此该撤销方法可W高效地应用到云环境中,而且可W实现前向安全(撤销用 户不能解密访问结构中含有撤销属性的密文)和后向安全(新加入用户若拥有足够属性, 则能够解密其加入前生成的密文)。
[0066] 本发明的其它优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并 且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可 W从本发明的实践中得到教导。本发明的目标和其它优点可W通过下面的说明书,权利要 求书,W及附图中所特别指出的结构来实现和获得。
【附图说明】
[0067] 为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进 一步的详细描述,其中:
[0068] 图1为系统模型; 图中;(1)公布属性公钥;(2)上传加密数据;(3)用户注册;(4)给用户分发全局私钥 和证书;(5)发送属性密钥请求;(6)分发属性密钥;(7)发送访问请求;(8)提供解密令牌。
[0069] 图2为本发明的流程框图;
[0070] 图3为系统初始化;
[0071] 图4为数据加密;
[0072] 图5为用户密钥生成;
[007引图6为访问数据;
[0074]图7为用户撤销。
【具体实施方式】
[0075]W将结合附图,对本发明的优选实施例进行详细的描述;应当理解,优选实施例仅 为了说明本发明,而不是为了限制本发明的保护范围。
[0076] 本发明提供的基于属性加密的分布式访问控制机制,包括W下步骤,参见图2 :
[0077] S1;系统初始化,生成系统公共参数、TP的公/私钥对W及每个属性的公/私钥 对,参见图3 ;
[007引进一步,所述步骤S1包括如下步骤:
[0079] S11;TP初始化,输入安全参数A,生成系统公共参数和TP的公/私钥对,其中系 统公共参数包括两个阶为P的双线性群Gi,G2、Gi中的生成元g和双线性映射e:G1XGi-G2, TP的公/私钥对为(skip,pkip),令X表示属性;
[0080]S12;AA初始化;
[0081] 其中S12包括如下步骤:
[00間S121 ;每个AA从TP处接收到系统公共参数{g,Gi,G2,e(g,g)}和TP的公钥pkjp;[008引S122;各个AA选取S个随机数aX,PX,丫xGZp作为属性X的私钥,即为 {曰"0" 丫xK然后为属性X生成公钥{e(各,g广,gi化若
[0084]S2 ;数据加密,数据拥有者加密数据,并把数据W加密的形式存储到云服务器上, 参见图4;
[0085] 进一步,所述步骤S2包括如下步骤:
[0086]S21;数据拥有者分别从TP和AA处接收到系统公共参数{g,Gi,G2,e(g,g)}和每个 属性的公钥{e(g,各广,gi化,gT<};
[0087]S22 ;数据拥有者基于全局属性集U,为数据m定义一个访问结构A,A由访问矩阵 (M,P)来表示,其中函数P表示矩阵M每一行与属性X之间的映射;
[008引 S23 ;从Zp中选取随机数S作为加密指数,令S为向量仁(3,¥2,...八。)£之;;的第一个 兀素;
[0089]S24;计算人i=Mi.专,其中Mi是矩阵M的第i行;
[0090]S25;选取随机数r;GZP;
[00川S26;输出密文CT为
[0092]
[0093] 其中Ra表示访问结构A中的属性集;
[0094] S27 ;数据拥有者把密文CT上传到云服务器上。
[0095]S3;用户密钥生成,TP给合法用户分配一个GID并给该用户分发证书和全局私钥, AA则基于用户的权限给其分发属性私钥,参见图5;
[0096] 进一步,所述步骤S3包括如下步骤:
[0097]S31 ;用户加入系统,向TP提交身份信息进行注册;
[009引 S32 ;TP认证用户的合法性;
[0099] S33;若用户合法,则给用户分配一个GID,并选择一个随机数UudGZp作为用户 全局私钥UGSKud,接着生成用户全局公钥UGPKcid=gu?,然后TP使用私钥skip生成证书ACedeiD=Si即,kTP佑ID,ALud,UGPKeiD),其中AL"d表示用户的属性列表;若该用户不合法, 则拒绝加入系统;TP把UGSKeiD和证书ACedeiD同时发给用户;
[0100] S34 ;当用户收到TP发来的证书和全局私钥,便把证书发给其隶属的各个AA;
[OW]S35 ;当AA收到证书ACedeiD后,AA使用TP的公钥pkip解密证书ACedeiD,并验证 用户GID是否属于用户撤销列表扣L);
[0102] S36;若GIDgUL.,则AA继续W下操作;若GIDGUL,AA终止操作;
[010引 S37;AA基于用户的属性列表给用户生成属性私钥UASKgid,、=gaAgUwAY<;
[0104] S38 ;然后AA把用户的各个属性私钥 发送给云服务器,云服务器从参与的AA收到 用户的属性密钥UASK邸^ = (UASKgid,,VxeALgid}并存储。注意,即使云服务器拥有用户 的属性密钥,其也不能正确解密密文。
[0105]S4;访问数据,用户向服务器请求数据访问,当且仅当用户的属性集满足密文中的 访问结构,用户才能利用全局私钥和属性私钥来解密密文,参见图6 ;
[0106] 进一步,所述步骤S4包括如下步骤:
[0107] S41 ;用户GID向云服务器发送数据访问请求,并把其证书ACertciD发给云服务 器;
[010引 S42 ;云服务器使用TP的公钥pkip解密证书ACedUD,并验证用户GID是否属于用 户撤销列表扣L);
[0109]S43;若GIDgUL,则继续W下操作龙GIDGUL,云服务器终止操作;
[0110] S44 ;云服务器检索用户的属性私钥UASKcid;
[011US45 ;接着使用用户的属性私钥UASKeiD解密密文,并生成解密令牌TK;
[0112] 其中,S45包括如下步骤:
[0113] 8451;令1<={1,2,...,1}且1={1:0(1)£尺4},若根据访问矩阵1,{>山。是加密 指数S的有效分享,则存在恢复系数{WiGZI能够重构出加密指数是S=Ewi'S首先 isl 云服务器选取{WiGZp}ieI;
[0114]S452;接着云服务器计算解密令牌
[0115]
[0116] S46 ;然后云服务器把TK和密文发送给用户;
[0117]S47 ;最后用户使用全局私钥UGSKeiD和TK解密密文,若用户的属性满足密文中的 访问结构,则用户成功解密,最终用户获得数据m=C。巧;若不满足,则解密失败。
[0118] S5;用户撤销,当用户的权限发生变化时,则对用户的私钥进行更新,使其W-个 新的身份重新加入到系统中来,参见图7。
[0119] 进一步,所述步骤S5包括如下步骤:
[0120]S51 ;当用户的权限发生变化时,用户把其发生变化的身份信息发送给TP,并在TP 处进行重新注册;
[0121] S52 ;TP把用户原来的GID写入化中,并公布化;
[0122] S53;TP为用户分配一个新的全局身份标识GID',重新选择一个随机数 UeiD,GZp作为用户新的全局私钥UGSKew,并生成新的用户全局公钥UGPKGiD=gU<-'; 接着TP为用户分配一个新的属性列表ALew,然后TP使用私钥skTp生成新的证书 八(:如(;||,.二813〇,,,,,((;;10'八1^(;||,.,1」(刑<:(,||,.),1口把册51(。1。'和证书4〔6吨1。'同时发给用户;
[012引 S54 ;当用户收到TP发来的新的证书ACertew和UGSKew后,使用新的证书重新与 其隶属的各个AA进行交互。
[0124] S55;当AA收到证书ACert。。,后,AA使用TP的公钥pkip解密ACei~teiD,,并验证用 户GID'是否属于用户撤销列表扣L);
[01巧]S56 ;若GID'gUL,AA继续W下操作;若GID'GUL,AA终止操作;
[0126] S57 ;该步骤与S37-样,AA基于用户的属性列表给撤销用户生成新的属性私钥 UASKgid'j
[0127] S58 ;然后AA把用户的各个属性私钥发送给云服务器,云服务器从参与密钥分发 的AA处收到用户的属性私钥UA化細,=^[UA化弧x,VxEALg"4并存储,同时云服务器删 除化中撤销用户的属性私钥。
【主权项】
1. 一种基于属性加密的分布式访问控制方法,其特征在于:包括以下步骤 51 :系统初始化,生成系统公共参数、可信第三方(Trusted Third Party, TP)的公/私 钥对以及每个属性的公/私钥对; 52 :数据加密,数据拥有者加密数据,并把数据以加密的形式存储到云服务器上; S3:用户密钥生成,TP给合法用户分配一个全局身份表示(Global Identifier,GID), 并给该用户分发证书和全局私钥,属性权威(Attribute Authority,AA)则基于用户的权限 给其分发属性私钥; S4:访问数据,用户向服务器请求数据访问,当且仅当用户的属性集满足密文中的访问 结构,用户才能利用全局私钥和属性私钥来解密密文; S5 :用户撤销,当用户的权限发生变化时,则对用户的私钥进行更新,使其以一个新的 身份重新加入到系统中来。2. 根据权利要求1所述的基于属性加密的分布式访问控制方法,其特征在于:所述步 骤Sl包括如下步骤: 511 :TP初始化,输入安全参数,生成系统公共参数和可信第三方的公/私钥对; 512 :ΑΑ初始化; 其中S12包括如下步骤: 5121 :每个AA从TP处接收到系统公共参数和TP的公钥; 5122 :各个AA为其管理的每个属性生成公/私钥对。3. 根据权利要求1所述的基于属性加密的分布式访问控制方法,其特征在于:所述步 骤S2包括如下步骤: 521 :数据拥有者分别从TP和AA处接收到系统公共参数和每个属性的公钥; 522 :数据拥有者基于全局属性集U,给数据定义一个访问结构A,A由访问矩阵(M,P ) 来表示,其中函数P表示矩阵M每一行与属性X之间的映射; 523 jZp中选取随机数s作为加密指数,令s为向量V=(s,v2,...,vn)eZ;;的第一个元 素; 324:计算\=^^_$,其中吣是矩阵11的第1行; 525 :选取随机数r# Zp; 526 :输出密文CT ; 527 :数据拥有者把密文CT上传到云服务器上。4. 根据权利要求1所述的基于属性加密的分布式访问控制方法,其特征在于:所述步 骤S3包括如下步骤: 531 :用户加入系统,向TP提交身份信息进行注册; 532 :TP认证用户的合法性; 533 :若用户合法,则给用户分配一个GID,并给用户分发一个证书和全局私钥,其中证 书包含用户的GID、用户的属性列表以及用户的全局公钥;若该用户不合法,则拒绝加入系 统; 534 :当用户收到TP发来的证书和全局私钥,便把证书发给其隶属的各个AA ; 535 :当AA收到证书后,AA使用TP的公钥解密证书,并验证用户GID是否属于用户撤 销列表(UL); 536 :若GIDe UL,则AA基于用户的属性列表给用户生成属性私钥;若GID e UL,AA终 止操作; 537 :然后AA把用户的属性私钥发送给云服务器,并存储在云服务器上。5. 根据权利要求1所述的基于属性加密的分布式访问控制方法,其特征在于:所述步 骤S4包括如下步骤: 541 :用户GID向云服务器发送数据访问请求,并把证书发给云服务器; 542 :云服务器使用TP的公钥解密证书,并验证用户GID是否属于用户撤销列表(UL); 543 :若GID g UL ,则继续以下操作;若GID e UL,云服务器终止操作; 544 :云服务器检索用户的属性私钥; 545 :接着使用用户的属性私钥解密密文,并生成解密令牌TK ; 其中S45包括如下步骤: S451:令Ic{l,2,···,丨丨且I= eRA},若根据访问矩阵M,UJiel是加密指数 s的有效分享,则存在恢复系数{Wie Z1Ji e 够重构出加密指数是;首先云服 务器选取(Wi e Z p} i e r S452 :接着云服务器计算解密令牌TK ; 546 :然后云服务器把TK和密文发送给用户; 547 :最后用户使用全局私钥和TK解密密文,若用户的属性满足密文中的访问结构,则 用户成功解密;若不满足,则解密失败。6. 根据权利要求1所述的基于属性加密的分布式访问控制方法,其特征在于:所述步 骤S5包括如下步骤: 551 :当用户的权限发生变化时,用户把其发生变化的身份信息发送给TP,并在TP处进 行重新注册; 552 :TP把用户原来的GID写入UL中,并公布UL; 553 :ΤΡ为用户分配一个新的全局身份标识GID',并为用户分发一个新的证书和全局 私钥,其中新的证书包含GID'、新的用户属性列表以及新的全局公钥,然后TP把用户新的 全局私钥和证书同时发给用户; 554 :当用户收到TP发来的新的证书和全局私钥后,使用新的证书重新与其隶属的各 个AA进行交互。 555 :当AA收到证书ACertem,后,AA使用TP的公钥解密证书,并验证用户GIN是否 属于UL ; 556 :若GID'g UL , AA继续以下操作;若GIN e UL,AA终止操作; 557 :该步骤与S37-样,AA基于用户的属性列表给撤销用户生成新的属性私钥; 558 :然后AA把用户的各个属性私钥发送给云服务器,云服务器从参与密钥分发的AA 处收到用户的属性私钥并存储,同时云服务器删除UL中新增撤销用户的属性私钥。
【专利摘要】本发明提出了一种基于属性加密的分布式访问控制方法,该方法主要用来解决云环境中海量数据的安全和隐私保护问题,本发明在密文策略的基于属性加密机制(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)的基础上提出了一种多权威的CP-ABE机制。该机制利用多个权威来分担单一权威的工作量,而且可以实现高效的外包解密和用户撤销以及支持属性权威(Attribute Authority, AA)的动态加入和退出。本发明提供的访问控制机制在保护海量数据的安全和隐私的同时,还能够实现了高效、分布式、可扩展以及细粒度的访问控制等特点。
【IPC分类】H04L29/06, H04L29/08, H04L9/08, H04L9/32
【公开号】CN104901942
【申请号】CN201510106880
【发明人】肖敏, 王明昕
【申请人】重庆邮电大学
【公开日】2015年9月9日
【申请日】2015年3月10日
【技术领域】
[0001] 本发明设及计算机学科、信息安全学科中的数据安全领域,特别设及云计算环境 下的数据安全和隐私保护。
【背景技术】
[0002] 随着计算机技术、互联网W及无线网络的快速发展,每天产生的大量数据W数字 化的形式存储在计算机上。云计算技术为海量数据的存储和处理提供了一个有效的解决方 案。但是,当用户把他们的数据存储到第=方云服务器时,考虑到第=方云服务器是不完全 可信的而且用户一般只允许授权的访问者访问他们的数据,因此,用户敏感数据的安全和 隐私面临极大的挑战,例如社交网站上用户的个人偏好和好友圈W及邮箱服务器上的个人 邮件等等。当该些服务器被黑客攻击,用户的敏感数据会被泄露,甚至一些云服务提供商会 通过出售用户的数据来获取利益。
[0003] 访问控制和数据加密技术可W满足上述用户对数据隐私保护的需求。传统的访 问控制系统的安全性和性能通常基于一个完全可信的服务器,用户的权限和数据都是由系 统管理员来分配和管理,但当用户数量庞大时,该将严重影响系统的效率。若该服务器被 攻陷时,用户的数据将会泄露。数据加密技术可W有效地保护用户数据安全,当使用公钥 加密机制(如RSA)时,则加密者需要提前知道接受者的公钥,当使用对称加密机制(如 AES(AdvancedE:ncryptionStandard))时,加密者需要在线给接受者分发密钥,也就是说 传统的加密机制是一对一的,针对不同的接受者,加密者需要使用不同的密钥,该样相同的 文件会被加密多次生成不同的密文存储在服务器上,当系统中的数据和用户数量庞大时, 会给密钥管理带来巨大的开销。而在许多应用环境中,尤其是云环境,数据拥有者仅需要根 据加密策略来加密分享的数据,而不需要提前知道接受者的身份W及哪个用户会访问该数 据。而基于传统的加密机制来构建基于策略的加密机制是困难的,因为当数据拥有者加密 数据时,其仍然需要提前知道所有具有访问其数据权限的用户,然后基于该用户集来加密 数据,但是当新加入用户具备访问权限时,数据则需要重新加密。而且传统的加密机制不能 很好地支持用户数据的细粒度访问,所W传统的访问控制系统和加密机制不能高效地应用 于分布式的云环境中。
[0004] 因此,在不完全可信的云服务器上实现海量数据的安全和隐私保护亟需一个细粒 度的、可扩展的、分布式的W及可实现一对多加密的访问控制机制系统。目前,基于属性 加密(Attribute-BasedEnc巧ption,AB巧被认为是最适合于解决云环境中数据安全和隐 私保护W及实现细粒度的数据访问控制的技术之一。ABE有两种结构,分别为密钥策略的 ABE(Key-PolicyABE,KP-AB巧和密文策略的ABE(CP-AB巧。在KP-A邸机制中,每个用户的 密钥与访问结构相关,每个密文与一组属性集相关;在CP-ABE机制中则相反,每个用户密 钥与一组属性集相关,密文与访问结构相关。当把ABE应用到云环境中时,考虑到数据拥有 者的数据被存储到云服务器上,为了使数据拥有者能够控制和管理数据,CP-A邸更具优势。
[0005] 然而当把CP-ABE机制应用到云环境中时,不可避免地需要考虑一些实际问题。例 如,在实际系统中,用户职位会发生变化,进而用户的权限会发生变化。在CP-ABE机制中, 用户的权限与属性一一对应,所W用户权限的变化可W看成用户属性的变化,即用户属性 撤销问题。同时考虑到用户终端的计算能力有限,而在CP-ABE中,解密时间与访问结构中 属性数量线性相关,当属性数量较多时,会给用户带来沉重的计算负担。因此,在为云环境 设计CP-A邸机制时,高效的用户撤销和高效的解密问题都亟待解决。目前,已有一些把 CP-ABE机制应用到云环境中的方法,但是都存在一定的缺陷。
[0006] 目前已有的方法可W分为单权威的CP-ABE,如中国专利文献CN201210389845. 5、 CN201310132586. 2、CN201410055341. 9、CN201410330696. 4,和多权威的CP-ABE,如 CN201310647570. 5,在单权威的CP-ABE方法中,系统中的属性管理和密钥分发都是由单一 完全可信的属性权威(AttributeAuthority,AA)来执行,该AA具备解密所有密文的能力, 当该AA被攻击或者岩机,整个系统将会受到影响而且用户密钥可能会泄露,所W单一AA将 会是系统的性能瓶颈和安全弱点。因此,多权威的CP-ABE更适合于云环境。
[0007]文献CN201210389845. 5、CN201310132586. 2、CN201410330696. 4 都考虑了用户撤 销问题,但是却没有考虑高效解密,而CN201410055341. 9在CP-A邸的基础上提出了一种外 包解密的方法,实现了高效解密,但是并没有考虑用户撤销问题。CN201310647570. 5提出了 一种应用于云环境的多权威的CP-ABE方法,该方法能够实现高效解密和用户撤销,但是在 进行用户撤销时,该方法不仅需要对含有撤销属性的用户进行私钥更新,还需要对访问结 构中含有撤销属性的密文进行更新,而考虑到云环境中存储的海量数据时,该用户撤销方 法会带来巨大的开销。
【发明内容】
[000引有鉴于此,为了解决上述问题,本发明提出了一种既能满足云服务器上的海量数 据的安全和隐私保护需求,又能实现细粒度和可扩展的分布式访问控制机制。
[0009] 为了实现分布式访问控制机制,本发明设计了一种支持外包解密和高效用户撤销 的多权威的CP-ABE。在该加密机制中,加密数据时会定义一个访问结构(访问结构基于描 述性的属性集),使得密文与访问结构相关;生成的解密密钥则与一组描述性的属性集相 关,当且仅当解密密钥中的属性集满足密文中的访问结构时,解密密钥才能正确解密密文。 当用户的权限发生变化时,则会对用户进行密钥撤销更新。为了减轻用户的开销,解密密文 的大部分工作被委托给了云服务器。而且该加密机制使用多个AA来分发属性密钥,该减轻 了单个AA的工作量,同时提高了系统的安全性和健壮性。
[0010] CP-ABE是建立在双线群上,满足双线性映射的性质。下面给出双线性映射的定义; 设Gi和G2是两个阶为素数P的乘法循环群。g是G1的生成元,双线性映射e:GiXGi-G2, 该映射有W下特性:
[0011](1)双线性:对于任意U,VGG。a,bGZp, 6姐\yb) =e(u,v)ab;
[001引(2)非退化;e(g,g)声1 ;
[0013] (3)可计算性;对于任意u,VGGi,都能有效计算e(u,V)。
[0014] 进一步,本发明的系统模型如图1所示,该模型由五个实体组成,分别为可信的第 S方认证服务器(T巧、属性权威(AA)、数据拥有者云服务器W及用户。其中TP负责用户 的认证和注册,并给合法用户分发全局身份标识(GID)、证书和用户全局私钥;各个AA都是 独立运营的并且负责管理自己域中的属性,同时它们还负责给注册的合法用户分发属性密 钥,并把用户的属性密钥存储到云服务器上;数据拥有者基于定义的访问结构来加密数据, 并把加密的数据存储到云服务器上;云服务器则提供存储和访问服务,当一个合法用户访 问授权的数据,云服务器首先检索用户的属性密钥,然后利用该属性密钥解密密文并生成 一个解密令牌(TK)并把该TK和密文发给用户,接着用户利用全局私钥和TK来解密密文, 最终获得需要访问的数据。
[0015] 本发明提供的基于属性加密的分布式访问控制机制,包括W下几个步骤:
[0016] S1 ;系统初始化,生成系统公共参数、TP的公/私钥对W及每个属性的公/私钥 对;
[0017] S2 ;数据加密,数据拥有者加密数据,并把数据W加密的形式存储到云服务器上;
[0018] S3;用户密钥生成,TP给合法用户分配一个GID并给该用户分发证书和全局私钥, AA则基于用户的权限给其分发属性私钥;
[0019] S4;访问数据,用户向服务器请求数据访问,当且仅当用户的属性集满足密文中的 访问结构,用户才能利用全局私钥和属性私钥来解密密文;
[0020] S5;用户撤销,当用户的权限发生变化时,则对用户的私钥进行更新,使其W-个 新的身份重新加入到系统中来。
[0021] 进一步,所述步骤S1包括如下步骤:
[0022] S11 ;TP初始化,输入安全参数,生成系统公共参数和TP的公/私钥对;
[002引 S12;AA初始化。
[0024]其中S12包括如下步骤;
[002引 S121;每个AA从TP处接收到系统公共参数和TP的公钥;
[0026] S122 ;各个AA为其管理的每个属性生成公/私钥对。
[0027] 进一步,所述步骤S2包括如下步骤:
[002引 S21;数据拥有者分别从TP和AA处接收到系统公共参数和每个属性的公钥;
[0029] S22 ;数据拥有者基于全局属性集U,给数据定义一个访问结构A,A由访问矩阵 (M,P)来表示,其中函数P表示矩阵M每一行与属性X之间的映射;
[0030] 823;从2。中选取随机数8作为加密指数,令8为向量和(3八2,... 八。)€2;:的第一个 兀素;
[0031] S24 ;计算、=Mi,其中Mi是矩阵M的第i行;
[003引 S25 ;选取随机数r;GZP;
[0033]S26 ;输出密文CT;
[0034]S27 ;数据拥有者把密文CT上传到云服务器上。
[0035] 进一步,所述步骤S3包括如下步骤:
[0036] S31 ;用户加入系统,向TP提交身份信息进行注册;
[0037]S32 ;TP认证用户的合法性;
[0038] S33 ;若用户合法,则给用户分配一个GID,并给用户分发一个证书和全局私钥,其 中证书包含用户的GID、用户的属性列表W及用户的全局公 钥;若该用户不合法,则拒绝加 入系统;
[0039]S34;当用户收到TP发来的证书和全局私钥,便把证书发给其隶属的各个AA;
[0040] S35 ;当AA收到证书后,AA使用TP的公钥解密证书,并验证用户GID是否属于用 户撤销列表扣L);
[0041] S36 ;若GIDgUL,则AA基于用户的属性列表给用户生成属性私钥诺GIDGUL, AA终止操作;
[00创 S37;然后AA把用户的属性私钥发送给云服务器,并存储在云服务器上。
[0043] 进一步,所述步骤S4包括如下步骤:
[0044] S41 ;用户GID向云服务器发送数据访问请求,并把证书发给云服务器;
[0045]S42;云服务器使用TP的公钥解密证书,并验证用户GID是否属于用户撤销列表 (UL);
[0046] S43;若GIDgUL,则继续W下操作;若GIDGUL,云服务器终止操作;
[0047]S44;云服务器检索用户的属性私钥;
[0048]S45;接着使用用户的属性私钥解密密文,并生成解密令牌TK;
[0049] 其中S45包括如下步骤:
[0050] S451 ;令Ig(1,2,...,1}且I=(i:P(i) G R,},若根据访问矩阵M,{>山。是加密 指数S的有效分享,则存在恢复系数{WiGI能够重构出加密指数是
首先 云服务器选取{WiGZp}ieI;
[0化1] S452;接着云服务器计算解密令牌TK;
[0化2] S46 ;然后云服务器把TK和密文发送给用户;
[0053] S47 ;最后用户使用全局私钥和TK解密密文,若用户的属性满足密文中的访问结 构,则用户成功解密;若不满足,则解密失败。
[0化4] 进一步,所述步骤S5包括如下步骤:
[0化5] S51 ;当用户的权限发生变化时,用户把其发生变化的身份信息发送给TP,并在TP 处进行重新注册;
[0056] S52 ;TP把用户原来的GID写入化中,并公布化;
[0化7] S53 ;TP为用户分配一个新的全局身份标识GID',并为用户分发一个新的证书和 全局私钥,其中新的证书包含GID'、新的用户属性列表W及新的全局公钥,然后TP把用户 新的全局私钥和证书同时发给用户;
[0化引 S54;当用户收到TP发来的新的证书和全局私钥后,使用新的证书重新与其隶属 的各个AA进行交互。
[0059]S55;当AA收到证书ACertew后,AA使用TP的公钥解密证书,并验证用户GID' 是否属于UL;
[0060] S56;若GID'fUL.,AA继续W下操作;若GID'GUL,AA终止操作;
[0061] S57 ;该步骤与S37 -样,AA基于用户的属性列表给撤销用户生成新的属性私钥;
[006引 S58;然后AA把用户的各个属性私钥发送给云服务器,云服务器从参与密钥分发 的AA处收到用户的属性私钥并存储,同时云服务器删除化中新增撤销用户的属性私钥。 [006引本发明的优点在于;本发明提出了一个多权威的基于属性加密机制,每个AA都是 独立运行互不影响,并且不需要一个中屯、权威(CentralAuthority,CA),而该CA相当于单 权威的基于属性加密机制中的单一AA,具备解密所有系统密文的能力,因此CA必须完全可 信。本发明利用多个AA来分担单一AA的工作量,并且可W有效避免CA成为系统的瓶颈和 安全弱点,提高系统的健壮性,同时还支持AA的动态加入和退出。而且本发明利用给用户 分配一个全局身份标识GID的方法来防止用户共谋。
[0064] 在本发明中,利用密钥分离把用户的私钥分为用户全局私钥和用户属性私钥,其 中用户属性私钥由云服务器存储,而用户只需保存全局私钥。因此,除数据拥有者之外的四 个实体都具有部分解密能力,但是该四个实体每一方都不具备完全地解密密文的能力,当 用户想要解密密文时,用户需要云服务器的协助并且当且仅当用户的属性满足密文中的访 问结构时,用户才能正确解密密文,该方法在一定程度上加强了系统的安全性。本发明不 仅能实现云环境中海量数据的安全和隐私保护,而且还充分利用了云计算的特点,把解密 密文过程中的大部分工作量都委托给了云服务器,而且由于云服务器之拥有用户的属性密 钥,云服务器只能部分解密密文,该样既提高了解密效率,也保证了系统的安全性。
[00化]本发明设计了一个新颖的用户撤销方法,用户的撤销相当于更新用户的身份。当 用户权限发生变化时,TP会给用户重新注册,并分配一个新的全局身份标识,接着该撤销用 户获得新的证书、新的全局私钥W及新的属性私钥,撤销用户相当于W-个新的身份重新 加入到系统中。该撤销方法仅与撤销用户的属性相关,而且在实际应用中,用户的撤销并不 是很频繁。因此该撤销方法可W高效地应用到云环境中,而且可W实现前向安全(撤销用 户不能解密访问结构中含有撤销属性的密文)和后向安全(新加入用户若拥有足够属性, 则能够解密其加入前生成的密文)。
[0066] 本发明的其它优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并 且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可 W从本发明的实践中得到教导。本发明的目标和其它优点可W通过下面的说明书,权利要 求书,W及附图中所特别指出的结构来实现和获得。
【附图说明】
[0067] 为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进 一步的详细描述,其中:
[0068] 图1为系统模型; 图中;(1)公布属性公钥;(2)上传加密数据;(3)用户注册;(4)给用户分发全局私钥 和证书;(5)发送属性密钥请求;(6)分发属性密钥;(7)发送访问请求;(8)提供解密令牌。
[0069] 图2为本发明的流程框图;
[0070] 图3为系统初始化;
[0071] 图4为数据加密;
[0072] 图5为用户密钥生成;
[007引图6为访问数据;
[0074]图7为用户撤销。
【具体实施方式】
[0075]W将结合附图,对本发明的优选实施例进行详细的描述;应当理解,优选实施例仅 为了说明本发明,而不是为了限制本发明的保护范围。
[0076] 本发明提供的基于属性加密的分布式访问控制机制,包括W下步骤,参见图2 :
[0077] S1;系统初始化,生成系统公共参数、TP的公/私钥对W及每个属性的公/私钥 对,参见图3 ;
[007引进一步,所述步骤S1包括如下步骤:
[0079] S11;TP初始化,输入安全参数A,生成系统公共参数和TP的公/私钥对,其中系 统公共参数包括两个阶为P的双线性群Gi,G2、Gi中的生成元g和双线性映射e:G1XGi-G2, TP的公/私钥对为(skip,pkip),令X表示属性;
[0080]S12;AA初始化;
[0081] 其中S12包括如下步骤:
[00間S121 ;每个AA从TP处接收到系统公共参数{g,Gi,G2,e(g,g)}和TP的公钥pkjp;[008引S122;各个AA选取S个随机数aX,PX,丫xGZp作为属性X的私钥,即为 {曰"0" 丫xK然后为属性X生成公钥{e(各,g广,gi化若
[0084]S2 ;数据加密,数据拥有者加密数据,并把数据W加密的形式存储到云服务器上, 参见图4;
[0085] 进一步,所述步骤S2包括如下步骤:
[0086]S21;数据拥有者分别从TP和AA处接收到系统公共参数{g,Gi,G2,e(g,g)}和每个 属性的公钥{e(g,各广,gi化,gT<};
[0087]S22 ;数据拥有者基于全局属性集U,为数据m定义一个访问结构A,A由访问矩阵 (M,P)来表示,其中函数P表示矩阵M每一行与属性X之间的映射;
[008引 S23 ;从Zp中选取随机数S作为加密指数,令S为向量仁(3,¥2,...八。)£之;;的第一个 兀素;
[0089]S24;计算人i=Mi.专,其中Mi是矩阵M的第i行;
[0090]S25;选取随机数r;GZP;
[00川S26;输出密文CT为
[0092]
[0093] 其中Ra表示访问结构A中的属性集;
[0094] S27 ;数据拥有者把密文CT上传到云服务器上。
[0095]S3;用户密钥生成,TP给合法用户分配一个GID并给该用户分发证书和全局私钥, AA则基于用户的权限给其分发属性私钥,参见图5;
[0096] 进一步,所述步骤S3包括如下步骤:
[0097]S31 ;用户加入系统,向TP提交身份信息进行注册;
[009引 S32 ;TP认证用户的合法性;
[0099] S33;若用户合法,则给用户分配一个GID,并选择一个随机数UudGZp作为用户 全局私钥UGSKud,接着生成用户全局公钥UGPKcid=gu?,然后TP使用私钥skip生成证书ACedeiD=Si即,kTP佑ID,ALud,UGPKeiD),其中AL"d表示用户的属性列表;若该用户不合法, 则拒绝加入系统;TP把UGSKeiD和证书ACedeiD同时发给用户;
[0100] S34 ;当用户收到TP发来的证书和全局私钥,便把证书发给其隶属的各个AA;
[OW]S35 ;当AA收到证书ACedeiD后,AA使用TP的公钥pkip解密证书ACedeiD,并验证 用户GID是否属于用户撤销列表扣L);
[0102] S36;若GIDgUL.,则AA继续W下操作;若GIDGUL,AA终止操作;
[010引 S37;AA基于用户的属性列表给用户生成属性私钥UASKgid,、=gaAgUwAY<;
[0104] S38 ;然后AA把用户的各个属性私钥 发送给云服务器,云服务器从参与的AA收到 用户的属性密钥UASK邸^ = (UASKgid,,VxeALgid}并存储。注意,即使云服务器拥有用户 的属性密钥,其也不能正确解密密文。
[0105]S4;访问数据,用户向服务器请求数据访问,当且仅当用户的属性集满足密文中的 访问结构,用户才能利用全局私钥和属性私钥来解密密文,参见图6 ;
[0106] 进一步,所述步骤S4包括如下步骤:
[0107] S41 ;用户GID向云服务器发送数据访问请求,并把其证书ACertciD发给云服务 器;
[010引 S42 ;云服务器使用TP的公钥pkip解密证书ACedUD,并验证用户GID是否属于用 户撤销列表扣L);
[0109]S43;若GIDgUL,则继续W下操作龙GIDGUL,云服务器终止操作;
[0110] S44 ;云服务器检索用户的属性私钥UASKcid;
[011US45 ;接着使用用户的属性私钥UASKeiD解密密文,并生成解密令牌TK;
[0112] 其中,S45包括如下步骤:
[0113] 8451;令1<={1,2,...,1}且1={1:0(1)£尺4},若根据访问矩阵1,{>山。是加密 指数S的有效分享,则存在恢复系数{WiGZI能够重构出加密指数是S=Ewi'S首先 isl 云服务器选取{WiGZp}ieI;
[0114]S452;接着云服务器计算解密令牌
[0115]
[0116] S46 ;然后云服务器把TK和密文发送给用户;
[0117]S47 ;最后用户使用全局私钥UGSKeiD和TK解密密文,若用户的属性满足密文中的 访问结构,则用户成功解密,最终用户获得数据m=C。巧;若不满足,则解密失败。
[0118] S5;用户撤销,当用户的权限发生变化时,则对用户的私钥进行更新,使其W-个 新的身份重新加入到系统中来,参见图7。
[0119] 进一步,所述步骤S5包括如下步骤:
[0120]S51 ;当用户的权限发生变化时,用户把其发生变化的身份信息发送给TP,并在TP 处进行重新注册;
[0121] S52 ;TP把用户原来的GID写入化中,并公布化;
[0122] S53;TP为用户分配一个新的全局身份标识GID',重新选择一个随机数 UeiD,GZp作为用户新的全局私钥UGSKew,并生成新的用户全局公钥UGPKGiD=gU<-'; 接着TP为用户分配一个新的属性列表ALew,然后TP使用私钥skTp生成新的证书 八(:如(;||,.二813〇,,,,,((;;10'八1^(;||,.,1」(刑<:(,||,.),1口把册51(。1。'和证书4〔6吨1。'同时发给用户;
[012引 S54 ;当用户收到TP发来的新的证书ACertew和UGSKew后,使用新的证书重新与 其隶属的各个AA进行交互。
[0124] S55;当AA收到证书ACert。。,后,AA使用TP的公钥pkip解密ACei~teiD,,并验证用 户GID'是否属于用户撤销列表扣L);
[01巧]S56 ;若GID'gUL,AA继续W下操作;若GID'GUL,AA终止操作;
[0126] S57 ;该步骤与S37-样,AA基于用户的属性列表给撤销用户生成新的属性私钥 UASKgid'j
[0127] S58 ;然后AA把用户的各个属性私钥发送给云服务器,云服务器从参与密钥分发 的AA处收到用户的属性私钥UA化細,=^[UA化弧x,VxEALg"4并存储,同时云服务器删 除化中撤销用户的属性私钥。
【主权项】
1. 一种基于属性加密的分布式访问控制方法,其特征在于:包括以下步骤 51 :系统初始化,生成系统公共参数、可信第三方(Trusted Third Party, TP)的公/私 钥对以及每个属性的公/私钥对; 52 :数据加密,数据拥有者加密数据,并把数据以加密的形式存储到云服务器上; S3:用户密钥生成,TP给合法用户分配一个全局身份表示(Global Identifier,GID), 并给该用户分发证书和全局私钥,属性权威(Attribute Authority,AA)则基于用户的权限 给其分发属性私钥; S4:访问数据,用户向服务器请求数据访问,当且仅当用户的属性集满足密文中的访问 结构,用户才能利用全局私钥和属性私钥来解密密文; S5 :用户撤销,当用户的权限发生变化时,则对用户的私钥进行更新,使其以一个新的 身份重新加入到系统中来。2. 根据权利要求1所述的基于属性加密的分布式访问控制方法,其特征在于:所述步 骤Sl包括如下步骤: 511 :TP初始化,输入安全参数,生成系统公共参数和可信第三方的公/私钥对; 512 :ΑΑ初始化; 其中S12包括如下步骤: 5121 :每个AA从TP处接收到系统公共参数和TP的公钥; 5122 :各个AA为其管理的每个属性生成公/私钥对。3. 根据权利要求1所述的基于属性加密的分布式访问控制方法,其特征在于:所述步 骤S2包括如下步骤: 521 :数据拥有者分别从TP和AA处接收到系统公共参数和每个属性的公钥; 522 :数据拥有者基于全局属性集U,给数据定义一个访问结构A,A由访问矩阵(M,P ) 来表示,其中函数P表示矩阵M每一行与属性X之间的映射; 523 jZp中选取随机数s作为加密指数,令s为向量V=(s,v2,...,vn)eZ;;的第一个元 素; 324:计算\=^^_$,其中吣是矩阵11的第1行; 525 :选取随机数r# Zp; 526 :输出密文CT ; 527 :数据拥有者把密文CT上传到云服务器上。4. 根据权利要求1所述的基于属性加密的分布式访问控制方法,其特征在于:所述步 骤S3包括如下步骤: 531 :用户加入系统,向TP提交身份信息进行注册; 532 :TP认证用户的合法性; 533 :若用户合法,则给用户分配一个GID,并给用户分发一个证书和全局私钥,其中证 书包含用户的GID、用户的属性列表以及用户的全局公钥;若该用户不合法,则拒绝加入系 统; 534 :当用户收到TP发来的证书和全局私钥,便把证书发给其隶属的各个AA ; 535 :当AA收到证书后,AA使用TP的公钥解密证书,并验证用户GID是否属于用户撤 销列表(UL); 536 :若GIDe UL,则AA基于用户的属性列表给用户生成属性私钥;若GID e UL,AA终 止操作; 537 :然后AA把用户的属性私钥发送给云服务器,并存储在云服务器上。5. 根据权利要求1所述的基于属性加密的分布式访问控制方法,其特征在于:所述步 骤S4包括如下步骤: 541 :用户GID向云服务器发送数据访问请求,并把证书发给云服务器; 542 :云服务器使用TP的公钥解密证书,并验证用户GID是否属于用户撤销列表(UL); 543 :若GID g UL ,则继续以下操作;若GID e UL,云服务器终止操作; 544 :云服务器检索用户的属性私钥; 545 :接着使用用户的属性私钥解密密文,并生成解密令牌TK ; 其中S45包括如下步骤: S451:令Ic{l,2,···,丨丨且I= eRA},若根据访问矩阵M,UJiel是加密指数 s的有效分享,则存在恢复系数{Wie Z1Ji e 够重构出加密指数是;首先云服 务器选取(Wi e Z p} i e r S452 :接着云服务器计算解密令牌TK ; 546 :然后云服务器把TK和密文发送给用户; 547 :最后用户使用全局私钥和TK解密密文,若用户的属性满足密文中的访问结构,则 用户成功解密;若不满足,则解密失败。6. 根据权利要求1所述的基于属性加密的分布式访问控制方法,其特征在于:所述步 骤S5包括如下步骤: 551 :当用户的权限发生变化时,用户把其发生变化的身份信息发送给TP,并在TP处进 行重新注册; 552 :TP把用户原来的GID写入UL中,并公布UL; 553 :ΤΡ为用户分配一个新的全局身份标识GID',并为用户分发一个新的证书和全局 私钥,其中新的证书包含GID'、新的用户属性列表以及新的全局公钥,然后TP把用户新的 全局私钥和证书同时发给用户; 554 :当用户收到TP发来的新的证书和全局私钥后,使用新的证书重新与其隶属的各 个AA进行交互。 555 :当AA收到证书ACertem,后,AA使用TP的公钥解密证书,并验证用户GIN是否 属于UL ; 556 :若GID'g UL , AA继续以下操作;若GIN e UL,AA终止操作; 557 :该步骤与S37-样,AA基于用户的属性列表给撤销用户生成新的属性私钥; 558 :然后AA把用户的各个属性私钥发送给云服务器,云服务器从参与密钥分发的AA 处收到用户的属性私钥并存储,同时云服务器删除UL中新增撤销用户的属性私钥。
【专利摘要】本发明提出了一种基于属性加密的分布式访问控制方法,该方法主要用来解决云环境中海量数据的安全和隐私保护问题,本发明在密文策略的基于属性加密机制(Ciphertext-Policy Attribute-Based Encryption, CP-ABE)的基础上提出了一种多权威的CP-ABE机制。该机制利用多个权威来分担单一权威的工作量,而且可以实现高效的外包解密和用户撤销以及支持属性权威(Attribute Authority, AA)的动态加入和退出。本发明提供的访问控制机制在保护海量数据的安全和隐私的同时,还能够实现了高效、分布式、可扩展以及细粒度的访问控制等特点。
【IPC分类】H04L29/06, H04L29/08, H04L9/08, H04L9/32
【公开号】CN104901942
【申请号】CN201510106880
【发明人】肖敏, 王明昕
【申请人】重庆邮电大学
【公开日】2015年9月9日
【申请日】2015年3月10日
最新回复(0)