云環(huán)境下基于屬性和同態(tài)混合加密的用戶隱私保護方法
【專利摘要】本發(fā)明是給出一種云環(huán)境下基于屬性和同態(tài)混合加密的用戶隱私保護方法,主要用于解決云環(huán)境下用戶隱私的安全問題�����。首先用戶將自己的信息發(fā)送給云服務(wù)提供商�����,由云服務(wù)提供商對用戶隱私進行分類�。其次,用戶對不同的類別采用不同的加密方式��,即同態(tài)加密方式和基于屬性的加密方式�。用戶通過同態(tài)加密方式來保證重要隱私信息更難泄露或被人竊取����,并且用戶可對自己的隱私信息進行運算;通過基于屬性的加密方式來保證一定的網(wǎng)絡(luò)資源與其他用戶共享�。最后,用戶下載密文進行解密�����。通過這種混合加密的方式,更加保證了用戶數(shù)據(jù)隱私的安全性�。同時,方便了用戶對自己重要業(yè)務(wù)數(shù)據(jù)的操作��。另外����,加解密的效率也得到了一定的提升。
【專利說明】云環(huán)境下基于屬性和同態(tài)混合加密的用戶隱私保護方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明是給出一種云環(huán)境下基于屬性和同態(tài)混合加密的用戶隱私保護的方案�,主要用于解決云環(huán)境下用戶隱私的安全問題,首先把云用戶隱私分等級歸類�����,再根據(jù)相應(yīng)的類別采用同態(tài)加密或基于屬性加密的加密方式��。同時在云端時對用戶的加密數(shù)據(jù)進行統(tǒng)一管理與維護��,屬于云計算安全領(lǐng)域��。
【背景技術(shù)】
[0002]云計算是繼網(wǎng)格計算�、分布式計算之后計算機領(lǐng)域提出的又一大互聯(lián)網(wǎng)計算模式,云計算可以分為三種服務(wù)模式:1aaS (Infrastructure-as-a-service,基礎(chǔ)設(shè)施即服務(wù))�,消費者通過Internet可以從完善的計算機基礎(chǔ)設(shè)施獲得服務(wù)�����;PaaS (Platform-as-a-Service,平臺即服務(wù))����,Paas實際上是指將軟件研發(fā)的平臺作為一種服務(wù)����;SaaS(Software-as-a_Service,軟件即服務(wù)),它是通過Internet提供軟件的模式,用戶無需購買軟件�,而是向提供商租用基于Web的軟件,來管理企業(yè)經(jīng)營活動���。相對于傳統(tǒng)計算模式��,云計算模式擁有以下優(yōu)勢:按需自服務(wù)���、無所不在的網(wǎng)絡(luò)訪問、按使用付費和風險轉(zhuǎn)移等���。
[0003]云計算模型能按需提供服務(wù),并且通過網(wǎng)絡(luò)隨時隨地的訪問可配置計算資源共享池����,共享池包括網(wǎng)絡(luò)��、存儲�����、服務(wù)器�、服務(wù)和應(yīng)用程序��。云計算以盡可能少地管理成本��、快速地配置提供和釋放資源�。盡管云計算它有眾多的優(yōu)點,但也有許多原因致使第三方不敢采用這種新的計算模式��,安全和隱私保護被認為是阻止用戶使用云計算的主要原因�。由于服務(wù)外包給遠端的服務(wù)器,安全和隱私成為云計算重要的考慮對象����。一方面,用戶在開始交易前應(yīng)該認證自己��,以確保身份的合法性,另一方面���,必須確保用戶的隱私數(shù)據(jù)存儲在云平臺上的安全性���。用戶隱私必須保證以確定云平臺和其他用戶不能獲得用戶身份信息。云應(yīng)該要對用戶存儲的數(shù)據(jù)和它所提供的服務(wù)負責�����。用戶在云上存儲隱私數(shù)據(jù)也應(yīng)該確保有效性和完整性���,不能被損害或者丟失�。
[0004]云計算帶來的安全問題主要有虛擬化安全�����、應(yīng)用安全����、身份信息的安全和數(shù)據(jù)安全等,隱私安全問題是這些安全中最為重要的����。隨著云計算的普及,云端存儲了大量的用戶敏感信息和業(yè)務(wù)數(shù)據(jù),一旦用戶隱私被竊取����,就很容易造成個人敏感信息和業(yè)務(wù)數(shù)據(jù)的泄露�,給企業(yè)和用戶帶來的損失也是無法彌補的。云計算的發(fā)展帶來了海量的訪問請求和復雜的用戶權(quán)限管理�����,從而推動了隱私保護需求的不斷發(fā)展�。傳統(tǒng)的基于單一方式的隱私加密技術(shù)已經(jīng)不能滿足用戶的安全需求,目前也缺少對用戶隱私的歸類和比較以及�����。因此��,開展云計算平臺的用戶隱私保護技術(shù)研究�����,能夠使云計算能夠為用戶所信賴����,促進云計算技術(shù)的大力發(fā)展,為中小企業(yè)和普通用戶帶來切身利益。
【發(fā)明內(nèi)容】
[0005]技術(shù)問題:本發(fā)明的目的是提供一種可靠的云環(huán)境下基于屬性和同態(tài)混合加密的用戶隱私保護方法�,該方法可以提供一種安全、廉價���、高效的數(shù)據(jù)存取和訪問服務(wù)���。經(jīng)過隱私分類,將云用戶隱私歸成絕對保密的A類和可被部分可信用戶合理訪問的B類兩種�,然后對A類用戶隱私制定同態(tài)加密策略,對B類的用戶隱私采用基于屬性的加密策略��。既減少用戶敏感信息泄露所帶來的安全隱患���,又方便一些可信機構(gòu)和用戶進行合理訪問��,保證云平臺的安全性和可用性�����,具有較高的研究意義�����。
[0006]技術(shù)方案:本發(fā)明旨在對云用戶隱私進行分類加密保護����。首先將云用戶隱私數(shù)據(jù)分為絕對保密的A類和可被部分可信用戶合理訪問的B類兩種。對A類數(shù)據(jù)進行同態(tài)加密�,確保重要的隱私更不容易被竊取,對B類數(shù)據(jù)使用XML語言對隱私屬性進行描述����,并使用由ABE發(fā)展來的CP-ABE算法對用戶隱私數(shù)據(jù)進行加密����,并制定訪問控制樹,確?����?尚庞脩暨M行合理訪問�����。通過制定基于不同類別的加密策略��,將使得云用戶的數(shù)據(jù)共享更加安全����,使得云計算平臺更為可靠��,增加了其可用性���。
[0007]本發(fā)明的云環(huán)境下基于屬性和同態(tài)混合加密的用戶隱私保護方法具體包括以下步驟:
[0008]I).用戶首先將自己的數(shù)據(jù)傳送至云平臺,云服務(wù)提供商首先將用戶的信息分為A類和B類��,A類是涉及用戶個人敏感信息和重要業(yè)務(wù)數(shù)據(jù)����,B類是Web數(shù)據(jù)隱私,涉及到用戶部分可公開的隱私���,A類的保密等級高于B類���,B類隱私可用XML語言進行屬性描述;分類方式由云服務(wù)商制定并且根據(jù)云用戶的業(yè)務(wù)特征或行業(yè)特征進行擴展�;
[0009]2).云端將隱私分類信息和策略樹返還給用戶,用戶在本機對A類數(shù)據(jù)進行同態(tài)加密�����,加密好數(shù)據(jù)發(fā)送至云端存儲����,密鑰只有用戶擁有��,云服務(wù)提供商無法獲得���,若用戶要從云端提取A類數(shù)據(jù)及結(jié)果,經(jīng)下載后用自身密鑰進行解密既可以得到數(shù)據(jù)�;
[0010]3).針對B類數(shù)據(jù),制定相應(yīng)的訪問控制策略樹,訪問控制樹的結(jié)構(gòu)由樹形節(jié)點構(gòu)成,樹中的中間節(jié)點表示與門AND與或門0R�,樹的葉子節(jié)點表示用戶的屬性信息;B級所對應(yīng)的訪問控制樹表明只有研發(fā)部的經(jīng)理或者業(yè)務(wù)部的銷售或者公司總裁才具有訪問加密后的數(shù)據(jù)�����,故可以針對想要開放的人群設(shè)定相應(yīng)的訪問控制樹��;
[0011]4).根據(jù)訪問控制樹進行基于屬性的加密�,用戶接收到來自云服務(wù)提供商返回的樹結(jié)構(gòu)描述訪問策略A�����。#后����,便開始訪問可信任的授權(quán)機構(gòu);
[0012]在Setup創(chuàng)建階段:由授權(quán)機構(gòu)執(zhí)行�,生成系統(tǒng)公鑰PK和主密鑰MK交給用戶�;
[0013]KeyGen密鑰生成階段:由授權(quán)機構(gòu)執(zhí)行,用戶將自己的屬性集Au提交給授權(quán)機構(gòu)�����,授權(quán)機構(gòu)根據(jù)Au及創(chuàng)建階段的公鑰PK和主密鑰MK生成用戶屬性集對應(yīng)的私鑰SK然后將公鑰PK和私鑰SK發(fā)送給用戶��;
[0014]Encrypt加密階段:用戶使用PK��,屬性訪問控制策略AC_CP對明文進行加密處理生成密文C����,然后將密文C連同屬性訪問控制策略Amp發(fā)送給云端存儲;云平臺接收到用戶傳送的數(shù)據(jù)后分配存儲空間進行存儲��;
[0015]5).當用戶要求在云服務(wù)端對A類數(shù)據(jù)進行數(shù)據(jù)操作時�,云服務(wù)提供商將提供相應(yīng)計算能力和存儲空間方便用戶進行操作,計算結(jié)果也將以密文的方式存儲在云端����;
[0016]6).當其他用戶或者可信機構(gòu)想訪問用戶B類數(shù)據(jù)時,云服務(wù)提供商將根據(jù)訪問策略樹對訪問者進行身份認證和權(quán)限匹配���;由于密文與屬性訪問控制策略Amp有關(guān)���,只有屬性集Au滿足屬性訪問控制策略Amp時���,用戶才能解密密文,解密過程為使用系統(tǒng)公鑰PK�����,和用戶的屬性集對應(yīng)的私鑰SK對密文進行解密處理��;如果密文接收者的屬性集Au符合屬性訪問控制策略A�。#則可以進行解密工作,解密工作結(jié)束即可訪問B類數(shù)據(jù)���。
[0017]有益效果:
[0018]1.對用戶而言,很多時候是既想要利用網(wǎng)絡(luò)資源���,與別人共享信息���,又不想透露涉及個人隱私的信息。采用同態(tài)加密和基于屬性加密相結(jié)合的方式��,可以保證個人隱私的安全�����,也可以保證其他用戶對信息的合理訪問。
[0019]2.把云用戶重要的隱私信息進行同態(tài)加密����,密鑰只有用戶本身知道,云服務(wù)提供商和其他用戶都無法獲取�����,從而保證了數(shù)據(jù)的安全性���。由于同態(tài)加密方式的同態(tài)性����,云用戶可以直接在云端進行運算操作自己的業(yè)務(wù)數(shù)據(jù)����,運算結(jié)果以密文的方式存儲在云端,從而為用戶提供更加方便的計算��。
[0020]3.對可被訪問的隱私信息采用基于屬性的加密方式���,使得部分信息可被可信用戶訪問�����,對訪問用戶制定訪問控制策略樹來規(guī)范訪問權(quán)限���,通過進行屬性匹配來有效的實現(xiàn)訪問控制功能����,只有用戶的屬性滿足訪問控制樹的才能夠進行解密的操作��,使得隱私數(shù)據(jù)可以與可信用戶共享��。
[0021]4.通過這種混合加密的方式�����,數(shù)據(jù)隱私的安全性得到了提升�����,加解密效率也得到了一定的提聞���。
【專利附圖】
【附圖說明】
[0022]圖1云用戶隱私保護分類圖,
[0023]圖2訪問控制樹����,
[0024]圖3同態(tài)加密過程圖�����,
[0025]圖4CP-ABE加密方案�,
[0026] 圖5云用戶隱私保護方案流程�����。
【具體實施方式】
[0027]云計算相比傳統(tǒng)模式提供了許多優(yōu)勢�����,例如�����,信息共享在虛擬的環(huán)境中��,動態(tài)可擴展性����,軟件、平臺�、存儲的虛擬化等等。然而云計算在帶給人們許多好處之外也產(chǎn)生了許多問題,如:性能問題���,容錯性��,互操作性���,數(shù)據(jù)從遺留系統(tǒng)中的遷移與轉(zhuǎn)化等,其中主要問題就是安全性�,例如虛擬化安全、應(yīng)用程序安全����、身份管理、隱私安全���,其中最為擔心和重視的是用戶的隱私安全���。如上的安全問題促使我們提出一種可靠的基于隱私級別進行分類混合加密的云用戶數(shù)據(jù)保護方案,確保云平臺上用戶的隱私不被侵犯�����。
[0028]在云計算中����,數(shù)據(jù)注定是要以密文的形式存放在云中,這樣是最基本也是最重要的一個安全手段�。但是,如果數(shù)據(jù)完全是以密文形式存儲在云端的話��,那么云也就相當于一個巨大的硬盤���,其他服務(wù)由于密文的限制很難得到使用�����。而我們知道����,云存儲只是云計算的其中一個服務(wù)���,它主要提供的服務(wù)�,SaaS�、PaaS,就會受到影響(如果要在云端進行圖片或視頻的格式轉(zhuǎn)換����,那么云端的軟件也無法處理密文的)����。同態(tài)加密技術(shù)可以很好的解決這個問題����,用戶通過同態(tài)加密,上傳密文�����,可直接在云端進行操作���,而隱私數(shù)據(jù)密文的密鑰云計算服務(wù)提供商無法知道���,只有用戶自身擁有。
[0029]完全同態(tài)加密原理:
[0030]設(shè)一個代數(shù)系統(tǒng)U��,它有一個集合S��,一組運算f\����,f2,…�����,fn����,一組謂詞Pi, P2,..., Pn,一些可出現(xiàn)的字符S1, S2, , Sn,把這代數(shù)系統(tǒng)定義為〈S ��;?ν f2,..., fn ����;P1, P2,..., Pn ;S!, S2,…’ sn>。在整數(shù)集合下有這樣的代數(shù)系統(tǒng)〈Z ;+, -�,*���,/ ;<, > ;0�����,1> ;再設(shè)一個代數(shù)系統(tǒng)C����,把它定義為
[0031]〈S’ ;fV,f2’����,...��,fn’ ;p/�����,p2’�����,...���,pn’ !S1 ’���,s2’�����,...���,sn’ > ;有一個加密函數(shù)
Φ:S — S’,和與之對應(yīng)的解密函數(shù)Φ’:S’ 一 S ;對于m e S, c e S’�,滿足Φ (m) = c, Φ’ (c)=m;如果 Φ 是同態(tài)的�,則滿足 f? = Φ’ (f/ (c)),Pi(m)三 Φ’ (Pi�����,(c))�。
[0032]同態(tài)加密是一種加密形式�����,它允許人們對密文進行特定的代數(shù)運算得到仍然是加密的結(jié)果�,與對明文進行同樣的運算再將結(jié)果加密一樣。換言之�,這項技術(shù)令人們可以在加密的數(shù)據(jù)中進行諸如檢索、比較等操作����,得出正確的結(jié)果,而在整個處理過程中無需對數(shù)據(jù)進行解密����,從而從根本上解決將數(shù)據(jù)及其操作委托給第三方時的保密問題。利用這項全新的技術(shù)����,未來的網(wǎng)絡(luò)服務(wù)器無須讀取敏感數(shù)據(jù)即可處理這些數(shù)據(jù)���。
[0033]在云計算中,使用同態(tài)加密無法利用他人的網(wǎng)絡(luò)資源���,如果想要與人共享信息�����,則要使用基于屬性的加密方式�。而基于屬性的加密方式中最為重要的是訪問控制樹����。訪問控制樹的每一個非葉子節(jié)點由其孩子節(jié)點和一個門限值來描述,門限就是使得具有不同屬性的用戶可以通過不同的路徑到達該門限所在節(jié)點(表示特定的訪問等級)的路徑數(shù)�����。假設(shè)num(x)是非葉子節(jié)點X的孩子節(jié)點數(shù)目��,k(x)是其門限值,貝U有O < k(x) ( num(x)��。當k(x) = I時�����,門限是OR門;ik(x) = num(x)時���,門限是AND門�,顯然�,k(x)還可以是非I和非num(x)的其他值。樹的每一個葉子節(jié)點由一個屬性和門限值k(x) = I描述�����。parent (x)是節(jié)點X的父節(jié)點�����,index(x)是節(jié)點x的樹值���,對以任意方式給定的密鑰,存取結(jié)構(gòu)中節(jié)點的index值是唯一指定的�。當x是葉子節(jié)點時,函數(shù)att (X)表示與樹的葉子節(jié)點相聯(lián)系的屬性��。訪問樹規(guī)定每個節(jié)點的孩子節(jié)點次序�����,即將每個節(jié)點的孩子節(jié)點從I~η編號。
[0034]想要訪問消息的用戶的屬性集包含加密消息的用戶在制定訪問策略時所定義的屬性集�����。設(shè)訪問樹T的根為r�,Tx表示T的根為X的子樹,如果屬性集y滿足存取樹Tx����,就用Tx (y) = I表示。Tx (y)計算如下:
[0035](1)如果X是非葉子節(jié)點,對X的所有孩子節(jié)點X’計算Tx’ (y)��。
[0036](2)當且僅當至少k(x)個孩子節(jié)點的Tx’ (y)返回I時����,Tx(y)才返回I。
[0037](3)如果X是葉子節(jié)點��,且X是葉子節(jié)點����,則Tx(y)返回I。
[0038]通過基于屬性的加密方式來實現(xiàn)云用戶對外包數(shù)據(jù)的訪問控制�����,而且可以有效解決訪問控制中對用戶權(quán)限進行撤銷的問題。
[0039]兩種加密方式的結(jié)合�,既保證了重要數(shù)據(jù)的安全性,又可以實現(xiàn)網(wǎng)絡(luò)資源的共享����。
[0040]I).在這個體系中,用戶首先將自己的數(shù)據(jù)傳送至云平臺�����,云服務(wù)提供商首先將用戶的信息分為A類和B類����,如圖1所示�����。分類方式由云服務(wù)商制定并且根據(jù)云用戶的業(yè)務(wù)特征或行業(yè)特征進行擴展����。A類是涉及用戶個人敏感信息和重要業(yè)務(wù)數(shù)據(jù),如身份證號���,用戶偏好等��,B類是Web數(shù)據(jù)隱私����,涉及到用戶部分可公開的隱私,如:年齡���,個人信用等���。A類的保密等級高于B類。B類隱私可用XML語言進行屬性描述�,如表1所示。
[0041 ] 2).云端將隱私分類信息和策略樹返還給用戶����,用戶首先在本機對對A類數(shù)據(jù)進行同態(tài)加密,加密好數(shù)據(jù)發(fā)送至云端存儲��,密鑰只有用戶擁有�,云服務(wù)提供商無法獲得。若用戶要從云端提取A類數(shù)據(jù)及結(jié)果����,經(jīng)下載后用自身密鑰進行解密既可以得到數(shù)據(jù)���;
[0042]3).針對B類數(shù)據(jù),制定相應(yīng)的訪問控制策略樹。訪問控制樹的結(jié)構(gòu)由樹形節(jié)點構(gòu)成����,樹中的中間節(jié)點表示與門(AND)與或門(OR),樹的葉子節(jié)點表示用戶的屬性信息���。B級所對應(yīng)的訪問控制樹如圖3所示���,表明只有研發(fā)部的經(jīng)理或者業(yè)務(wù)部的銷售或者公司總裁才具有訪問加密后的數(shù)據(jù),故可以針對想要開放的人群設(shè)定相應(yīng)的訪問控制樹�。
[0043]4).根據(jù)訪問控制樹進行基于屬性的加密,CP-ABE機制如圖5所示����。用戶接收到來自云服務(wù)提供商返回的樹結(jié)構(gòu)描述訪問策略A。#后���,便開始訪問可信任的授權(quán)機構(gòu)。在Setup創(chuàng)建階段:由授權(quán)機構(gòu)執(zhí)行�����,生成系統(tǒng)公鑰PK和主密鑰MK交給用戶。KeyGen密鑰生成階段:由授權(quán)機構(gòu)執(zhí)行���,用戶將自己的屬性集Au提交給授權(quán)機構(gòu)�����,授權(quán)機構(gòu)根據(jù)Au及創(chuàng)建階段的公鑰PK和主密鑰MK生成用戶屬性集對應(yīng)的私鑰SK然后將公鑰PK和私鑰SK發(fā)送給用戶��;Encrypt加密階段:用戶使用PK�����,屬性訪問控制策略AC_CP對明文進行加密處理生成密文C�����,然后將密文C連同屬性訪問控制策略Amp發(fā)送給云端存儲�����;云平臺接收到用戶傳送的數(shù)據(jù)后分配存儲空間進行存儲�����。
[0044]5).當用戶要求在云服務(wù)端對A類數(shù)據(jù)進行數(shù)據(jù)操作時��,云服務(wù)提供商將提供相應(yīng)計算能力和存儲空間方便用戶進行操作���,計算結(jié)果也將以密文的方式存儲在云端����。
[0045]6).當其他用戶或者可信機構(gòu)想訪問用戶B類數(shù)據(jù)時����,云服務(wù)提供商將根據(jù)訪問策略樹對訪問者進行身份認證和權(quán)限匹配。由于密文與屬性訪問控制策略Amp有關(guān)�,只有屬性集Au滿足屬性訪問控制策略Amp時,用戶才能解密密文�,解密過程為使用系統(tǒng)公鑰PK,和用戶的屬性集對應(yīng)的私鑰SK對密文進行解密處理����。如果密文接收者的屬性集Au符合屬性訪問控制策略A。#則可以進行解密工作�����,解密工作結(jié)束即可訪問B類數(shù)據(jù)�����。
[0046]本發(fā)明的云環(huán)境下基于屬性和同態(tài)混合加密的用戶隱私保護方法���,減少了云環(huán)境下用戶的隱私被竊取的風險�����,確保重要的云用戶隱私數(shù)據(jù)的安全性�,同時又保證了一定的數(shù)據(jù)共享�,使得云安全平臺更加有效和安全,以下為云用戶隱私保護過程�,
[0047]其對應(yīng)過程流程圖如圖5所不。
[0048](一 )云用戶隱私保護的過程
[0049]具體步驟如下所示:
[0050]1.首先根據(jù)圖1的隱私分類方案��,對不同的隱私數(shù)據(jù)進行分類�����。
[0051]2.對所分的A類隱私數(shù)據(jù)采用同態(tài)加密方式��。
[0052]3.針對所分的B類隱私數(shù)據(jù)��,構(gòu)建如圖2所示相應(yīng)的訪問控制樹�����。
[0053]4.將加密后的數(shù)據(jù)上傳至云平臺,如圖3所示����。
[0054]5.對云端其他用戶實行訪問控制,對數(shù)據(jù)密文進行讀的匹配操作���,如圖4所示�。
[0055]6.用戶在云端進行操作�����,下載數(shù)據(jù)結(jié)果密文�,用密鑰解密。
【權(quán)利要求】
1.一種云環(huán)境下基于屬性和同態(tài)混合加密的用戶隱私保護方法�,其特征在于該方法具體包括以下步驟: 1).用戶首先將自己的數(shù)據(jù)傳送至云平臺,云服務(wù)提供商首先將用戶的信息分為A類和B類��,A類是涉及用戶個人敏感信息和重要業(yè)務(wù)數(shù)據(jù)�,B類是Web數(shù)據(jù)隱私,涉及到用戶部分可公開的隱私��,A類的保密等級高于B類�,B類隱私可用XML語言進行屬性描述;分類方式由云服務(wù)商制定并且根據(jù)云用戶的業(yè)務(wù)特征或行業(yè)特征進行擴展; 2).云端將隱私分類信息和策略樹返還給用戶��,用戶在本機對A類數(shù)據(jù)進行同態(tài)加密���,加密好數(shù)據(jù)發(fā)送至云端存儲,密鑰只有用戶擁有�,云服務(wù)提供商無法獲得,若用戶要從云端提取A類數(shù)據(jù)及結(jié)果����,經(jīng)下載后用自身密鑰進行解密既可以得到數(shù)據(jù); 3).針對B類數(shù)據(jù),制定相應(yīng)的訪問控制策略樹,訪問控制樹的結(jié)構(gòu)由樹形節(jié)點構(gòu)成���,樹中的中間節(jié)點表示與門AND與或門0R��,樹的葉子節(jié)點表示用戶的屬性信息�����;B級所對應(yīng)的訪問控制樹表明只有研發(fā)部的經(jīng)理或者業(yè)務(wù)部的銷售或者公司總裁才具有訪問加密后的數(shù)據(jù)�����,故可以針對想要開放的人群設(shè)定相應(yīng)的訪問控制樹��; 4).根據(jù)訪問控制樹進行基于屬性的加密��,用戶接收到來自云服務(wù)提供商返回的樹結(jié)構(gòu)描述訪問策略Amp后�,便開始訪問可信任的授權(quán)機構(gòu); 在Setup創(chuàng)建階段:由授權(quán)機構(gòu)執(zhí)行�,生成系統(tǒng)公鑰PK和主密鑰MK交給用戶; KeyGen密鑰生成階段:由授權(quán)機構(gòu)執(zhí)行����,用戶將自己的屬性集Au提交給授權(quán)機構(gòu),授權(quán)機構(gòu)根據(jù)Au及創(chuàng)建階段的公鑰PK和主密鑰MK生成用戶屬性集對應(yīng)的私鑰SK然后將公鑰PK和私鑰SK發(fā)送給用戶�����; Encrypt加密階段:用戶使用PK��,屬性訪問控制策略AC_CP對明文進行加密處理生成密文C�����,然后將密文C連同屬性訪問控制策略Amp發(fā)送給云端存儲��;云平臺接收到用戶傳送的數(shù)據(jù)后分配存儲空間進行存儲�; 5).當用戶要求在云服務(wù)端對A類數(shù)據(jù)進行數(shù)據(jù)操作時,云服務(wù)提供商將提供相應(yīng)計算能力和存儲空間方便用戶進行操作����,計算結(jié)果也將以密文的方式存儲在云端��; 6).當其他用戶或者可信機構(gòu)想訪問用戶B類數(shù)據(jù)時����,云服務(wù)提供商將根據(jù)訪問策略樹對訪問者進行身份認證和權(quán)限匹配����;由于密文與屬性訪問控制策略A����。,有關(guān)�,只有屬性集Au滿足屬性訪問控制策略A。#時��,用戶才能解密密文���,解密過程為使用系統(tǒng)公鑰PK�����,和用戶的屬性集對應(yīng)的私鑰SK對密文進行解密處理��;如果密文接收者的屬性集Au符合屬性訪問控制策略AmP����,則可以進行解密工作,解密工作結(jié)束即可訪問B類數(shù)據(jù)�����。
【文檔編號】H04L29/06GK104079574SQ201410311896
【公開日】2014年10月1日 申請日期:2014年7月2日 優(yōu)先權(quán)日:2014年7月2日
【發(fā)明者】季一木, 匡子卓, 王汝傳, 孫延鵬, 蔣晨晨, 談杰, 談海宇, 袁永閣 申請人:南京郵電大學