当前位置:首页 >资讯 >加密技术之密文策略属性


针对云存储数据共享特性的安全问题,我们提出了基于可信第三方密文策略属性加密技术的云存储共享方案,利用可信第三方有效解决了用户负载过大、密钥分发和管理负担等问题,采用密文控制访问技术,确保不完全可信云环境下数据的安全。

一、密文策略属性相关知识

1.CP-ABE相关术语的定义。

(1)属性:如果将P={p1、p2、pn}设置为所有属性的集合,则每个属性4为P的非空子集,A&{P1、P2..,PN},那么n个属性可以识别2n个用户。

(2)访问结构:访问结构丁是全集{P1、P2、…、Pn}的非空子集,T&2{P1、P2、…、Pn}。T代表属性判断条件:T中的属性集称为授权集,不在F中的属性集称为非授权集。

(3)访问结构树:用于描述每个访问结构,如图1所示。树的每个节点代表一个属性项,每个内部节点代表一个门关系,可以是AND(Nofn).或(Lofn)和nofm(m>n)。

加密技术的密文策略属性。

2.CP-ABE算法。

CP-ABE算法的主要步骤如下:

(1)Setup,生成主密钥MK和公开参数PK。

(2)CT=Encrypt(PK、M、T),使用PK.访问结构T和加密数据明文M,加密后的密文为CT。

(3)SK=KeyGen(MK、A),使用MK和用户属性集A生成用户的私钥SK。

(4)M=Decrypt(CT、SK),用私钥解密文CT得到明文M。

二、安全假设

(1)可信第三方完全可信;

(2)云服务提供商(CloudServiceProvider,CSP)不完全可信,不完全可信意味着CSP不会随意泄露其服务端的数据,会为可信第三方提供其用户的准确属性集,并可能窥探数据内容。

(3)有访问权限的用户不会故意向其他用户或CSP泄露个人信息和密文相关信息。

三、实现加密技术的密文策略属性方案

1.主要思想。

在实际应用中,由于CP-ABE算法是不对称的,算法效率低下,不适合大规模数据文件直接加密。因此,在加密过程中,数据所有者首先使用对称加密算法加密源文件获取数据密文和密文密钥,然后将数据密文和访问结构发送给TTP。TTP根据不同权限的访问结构使用CP-ABE加密数据密文密钥获取相应的密钥密文,然后将密钥密文发送给CSP,用户向CSP申请访问权限,获取数据密文、密钥密文和签名,并向TTP发送自己的属性证书,以获得私钥。使用私钥解密钥密文获取数据密文密钥,然后解密数据密文访问数据文件,当数据所有者需要更新文件时,只需生成数据密文发送给CSP,如果需要更改访问策略,只需将更新的访问结构发送给可信的第三方,由可信的第三方完成剩余工作,降低数据所有者重新生成和分发密钥的时间成本,其基本结构如图2所示。

加密技术的密文策略属性。

2.系统架构。

默认情况下,本方案各实体之间的通信通道是安全的。

1)加密文件。

生成和存储3DES算法的密钥K3d,数据所有者用K3d加密文件F,因为CSP可信但好奇,不能同时存储在云中,防止CSP窥探数据内容,数据所有者将CF.K3d和访问结构丁(包括只读访问结构N和读写访问结构L)发送给RRP。

2)生成密钥密文。

RSA公私钥从用户那里获得K3d和访问结构丁,并初始化CP-ABE算法生成主密钥MK和公共参数PK。RSA公私钥用于签名/验证加密数据。为了控制访问权限,假设只读取权限的访问结构为Tro,则相应的密文为CTr=Encrypt(PK、{K3d、rify}、Tro)。假设读写权限的访问结构为T。相应的密文为CTn=Encrypt(PK、{K3d、fy、Ksign}、L)、密钥、SK与用户属性相关,当用户属性满足访问结构Tr0或L时,可以解密钥密文CTr0或CTrw,Ksign可以获得SIGF,并将CF.SIGF.CT和CTny上传到CSP。

3)访问文件。

(1)阅读数据。

首先,用户要求CSP获取文件F读取权限,云返回CF.SIF和CTro,然后将自己的属性证书发送给TrIPAC.TTP动态生成密钥SK=KeyGen(MK、AC)并返回给用户。用户通过SK解密CTro获得K3d和K,首先用KR验证签名SIGrf的正确性,最后用D解密0获得文件F。

(2)写数据。

首先,用户要求CSP获取文件F读写权限,云返回CF.SIGF和CTrw,然后将自己的属性证书AC.Trip动态生成密钥SK=KeyGen(MK、AC)并返回给用户,用户通过SK解密CTN.T获得K3d。Rify和Ksign。首先,用K0rify验证签名SIGF的正确性,然后用K3r解密0获取文件F,写入数据后,用K3d加密F获取CF,用Ksign加密CF获取SIGF,最后将CF和SIGF上传到云存储服务器。

4)访问权限控制。

数据所有者更改访问权限时,只需更改访问结构,并将更改后的访问结构丁发送给TTP。TTP及时更新访问结构TTP和K。如果用户权限被取消,其私钥SK=KeyGen(MK、AC)将无法解密CT或CTN.T,从而保证了文件F的安全。

小知识云存储

云存储是云计算概念中延伸和开发的一个新概念。它是一种新兴的网络存储技术,是指通过集群应用、网络技术或分布式文件系统等功能,通过应用软件收集大量不同类型的网络存储设备,共同提供数据存储和业务访问功能的系统。