[发明专利]云环境下一种安全的数据共享方法

说明书

所属领域

本发明涉及云存储环境下数据安全技术领域

技术背景

随着云计算的发展，移动数据存储的研究，越来越多的人和企业选择在云端存储数据，以打破以往智能在特定环境下访问某些信息的限制。但是，企业或者个人信息安全也出现的风险，服务商被攻击，个人网络被攻击导致隐私机密信息泄露，造成隐患。所以云环境下数据的加密技术和存储技术收到越来越多的研究。

在开放式云环境下，数据所有者(用户)将信息加密存储于云端，并通过对称、非对称密钥进行数据的保护虽然可以数据隐私性，但是密钥协商和管理过程复杂，增加了密钥动态更新和用户细粒度访问控制的难度。现在发展最好的是基于CP-ABE基于属性基的加密和访问结构控制来实现数据安全，由用户属性集合生成的相关联私钥是解密共享数据的关键，而其私钥的生成与分发需要依赖可信的密钥托管中心，无法满足开放式云存储中信任分散的安全需求。同时，CP-ABE中的访问结构是由属性集合与逻辑运算组成，在共享数据解密过程中，多个非授权用户可以联合自己在访问结构中的合法属性的相关联私钥，以联合形成满足访问结构的解密私钥，进而解密密文以实施非法访问。此外，由于用户私钥与用户属性集合关联，不同用户的属性集合间存在共有属性，云存储环境下用户的离开将导致多个用户私钥的更新，增加了密钥撤销的复杂性。

基于以上问题，本发明提出一种基于CP-ABE的数据安全共享方法，将用户的私钥分为对称密钥和非对称密钥两部分，分别由云中心和代理机构管理，并在密钥中加入私人标识，以抵抗共谋攻击和串谋攻击。

发明内容

针对上述不足，本发明提出一种基于CP-ABE的数据安全共享方法，将用户的私钥分为对称密钥和非对称密钥两部分，分别由云中心和代理机构管理，并在密钥中加入私人标识，以抵抗共谋攻击和串谋攻击。

本发明所采用的技术方案是：云环境下一种安全的数据共享方法，该方法是针对云存环境下的加密数据访问控制问题，结合CP-ABE提出的一种数据安全共享方法。该方法首先通过联合云存储中心的对称密钥和授权机构的非对称私钥解决CP-ABE算法中的可信第三方依赖问题；其次，在用户的属性私钥中添加用户唯一标识使共享机制可以抵制来自非法用户的串谋攻击；最后，通过对称密钥的更新完成了用户的撤销，保证了共享数据的后向安全性并提高了更新效率。

本发明的有益效果是：解决了密钥存储的信任问题，提高了除了合法访问者外，不合法访问者攻击数据的安全性，能抵抗共谋攻击、猜测攻击、提高了数据后向的安全性。

具体实施方式

用户，是数据所有者，其将需要共享的数据通过某个代理服务商上传到云空间；代理服务商，称其为代理机构，其租用云空间来分发给他的用户；云空间所有者是云服务商，管理云空间的机构称为云中心；合法访问者是用户许可的访问者，从云存储中心获取加密的共享数据后使用自己的密钥解密数据。

在本发明中，首先由授权机构和云存储中心结合用户唯一标识共同产生用户密钥；其次用户混合使用授权机构产生的非对称密钥和云服务商产生的对称密钥完成数据的加解密；最后，当用户注销时完成相关密钥和密文的更新，保护共享数据的后向安全性。本方法主要分为以下几个步骤：

步骤一：系统初始化，代理机构产生安全参数

通过双线性映射发，设g为生成元，阶为p的双线性群G和双线性映射e：G×G→G₁，随机选取散列函数H和α，β∈Z_p生成主密钥(g^α，β)和公钥(G，g，g^β，H，e(g，g)^α)云中心产生对称密钥ε∈Z_p和全体属性集Ω＝{λ₁，λ₂，...，λ_n}。

步骤二：密钥生成

当用户进入云存储系统注册时，云中心为其生成唯一标识对称密钥ε和属性集S_i＝{λ₁，λ₂，...，λ_m}，用户将自己的属性集S_i＝{λ₁，λ₂，...，λ_m}、标识符对称密钥ε发送给代理机构申请关联的私钥，代理机构为注册用户属性集中的属性选取参数，计算私钥发送给用户，私钥SK计算方法为：

步骤三：共享数据加密

用户在上传需要共享的数据前，需要对数据进行加密，首先构造访问树，然后利用公钥和密钥完成数据加密。