国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于全同態(tài)加密的云數(shù)據(jù)安全方案研究

2017-10-24 05:31:05許愛雪溫洪念
關(guān)鍵詞:同態(tài)公鑰訪問控制

許愛雪 張 詣 溫洪念

(石家莊鐵路職業(yè)技術(shù)學(xué)院 河北石家莊 050041)

基于全同態(tài)加密的云數(shù)據(jù)安全方案研究

許愛雪 張 詣 溫洪念

(石家莊鐵路職業(yè)技術(shù)學(xué)院 河北石家莊 050041)

同態(tài)加密可以在加密后的數(shù)據(jù)上直接操作,其結(jié)果解密后與直接對明文進行操作的結(jié)果一樣。把同態(tài)加密應(yīng)用到云中,可以有效解決當前云大部分安全問題。本文提出一種融合代理重加密和同態(tài)加密的云數(shù)據(jù)分享方案:首先利用PKI完成數(shù)據(jù)所有者和用戶的身份認證及密鑰的產(chǎn)生和分發(fā)工作;數(shù)據(jù)所有者對數(shù)據(jù)進行特征劃分,再引入代理重加密機制,利用RSA乘法同態(tài)的特性實現(xiàn)對加密數(shù)據(jù)進行授權(quán)訪問控制。

同態(tài)加密 代理重加密 云數(shù)據(jù)

1 引言

云從網(wǎng)格計算、分布式系統(tǒng)、虛擬化等一系列技術(shù)發(fā)展而來。云是一種基于互聯(lián)網(wǎng)的、大眾參與的計算模式[1],其計算能力、存儲能力、交互能力等是動態(tài)、可伸縮、被虛擬化的,而且以服務(wù)的方式提供。

由于云的巨大應(yīng)用價值以及巨大的潛在市場,國內(nèi)外各大IT廠商都已推出自己的云產(chǎn)品。目前,Amazon、Google、Microsoft、IBM等公司提供的云服務(wù)得到蓬勃發(fā)展,不論企業(yè)還是個人可通過數(shù)據(jù)和服務(wù)外包的形式使用云平臺,令“一切皆服務(wù)”成為云的核心概念。據(jù)Gartner[2]統(tǒng)計2009年全球云規(guī)模約586億美元,而到2014年為止,己經(jīng)達到1488億美元。在中國的電信、教育、政府、金融以及醫(yī)療等行業(yè)中,經(jīng)調(diào)查的55%企業(yè)表示,預(yù)計將超過整體IT預(yù)算的10%花費到云服務(wù)搭建中。數(shù)據(jù)顯示,中國2010年的云市場規(guī)模約為167億元,而到2013年底,云規(guī)模已經(jīng)突破1174億元,其年復(fù)增長率高這91.5%。在未來的幾年里,云極有可能取代現(xiàn)有的公共網(wǎng)絡(luò)結(jié)構(gòu)。

然而,云在普及的過程中,其安全問題日益凸顯[3-5]。2009年月,Google公司發(fā)生大量用戶隱私文件外泄事件。2010年3月,蘋果公司ipad用戶隱私數(shù)據(jù)泄露。2011年3月,谷歌郵箱再次爆發(fā)大規(guī)模的用戶數(shù)據(jù)泄漏事件,約15萬Gmail用戶發(fā)現(xiàn)自己的所有郵件和聊天記錄被刪除,部分用戶發(fā)現(xiàn)自己的賬戶被重置。同年4月,亞馬遜云數(shù)據(jù)中心服務(wù)器大面積宕機,造成用戶巨大經(jīng)濟損失。所以,云安全產(chǎn)品是保證云計算產(chǎn)品在復(fù)雜的網(wǎng)絡(luò)環(huán)境中正常運行與服務(wù)的重要設(shè)施。作為一種新興的技術(shù),云計算的安全問題尚未得到充分的重視和研究。2010年在舊金山召開的RSA信息安全會議上,RSA球總裁亞瑟科維洛表示云的安全問題阻礙了云的進一步發(fā)展。安全問題是用戶使用云時的最大的顧慮,在云高速擴張的同時,云安全問題已經(jīng)是人們關(guān)注的熱點。

2 全同態(tài)加密

通常數(shù)據(jù)加密技術(shù)是一種保障數(shù)據(jù)安全性的重要手段。在具有一定安全性的加密機制中,除非擁有解密密鑰,任何人是無法直接根據(jù)獲取密文恢復(fù)出明文。同態(tài)加密的概念是由 MIT 的 Rivest、Adleman 和 Dertouzos 于 1978 年提出的。同態(tài)加密技術(shù)是一種能對加密數(shù)據(jù)直接進行計算的加密技術(shù)。對同態(tài)加密的密文進行操作產(chǎn)生的結(jié)果是有意義的,其計算輸出等價于對明文數(shù)據(jù)進行相應(yīng)操作后再進行加密得到的結(jié)果[6-8]。

2009年Gentry首次提出的基于理想格的全同態(tài)加密方案[9]構(gòu)造復(fù)雜,不易實現(xiàn)。在2011年對該方案進行了改進[10],下面簡要介紹該方案:

Enc(m, d, r):對任意1bit 明文m∈{0,1},生成噪聲向量ui以0.5的概率取值為0,分別以0.25的概率取值為±1,加密得到密文:

Dec(c, w):利用私鑰sk=w 解密c,m=[c?w]dmod2;

ii為隨機選取的整數(shù),li從集合隨機選取{1,2,…,s},則重加密過程:

3 基于同態(tài)加密的云數(shù)據(jù)分享方案

3.1 代理重加密

代理重加密技術(shù)是密文間的一種密鑰轉(zhuǎn)換機制。確切的說,代理重加密是指,一個半可信代理人通過代理授權(quán)人產(chǎn)生的轉(zhuǎn)換密鑰把用授權(quán)人的公鑰加密的密文轉(zhuǎn)化為用被授權(quán)人的公鑰加密的密文,而這兩個密文所對應(yīng)的明文是一樣的,這樣和之間就實現(xiàn)了數(shù)據(jù)共享。在這個過程中,代理人得不到數(shù)據(jù)明文信息,從而降低了數(shù)據(jù)泄漏風(fēng)險。這里的半可信是指代理者會按照方案來進行密文的轉(zhuǎn)換。

按照密文的轉(zhuǎn)換次數(shù)不同,代理重加密可以分為單跳代理重加密和多跳代理重加密。單跳的意思是密文只被轉(zhuǎn)換了一次,多跳允許密文被轉(zhuǎn)換多次。按照密文轉(zhuǎn)換方向不同,可分為單向代理重加密和雙向代理重加密。單向代理重加密只能把授權(quán)人的密文轉(zhuǎn)換成被授權(quán)人的密文,雙向代理重加密可以授權(quán)人的密文和被授權(quán)人的密文相互轉(zhuǎn)換。本課題利用的是單向單跳代理重加密,其包含的算法:

PRE.Setup:根據(jù)輸入的安全參數(shù)產(chǎn)生系統(tǒng)參數(shù),然后根據(jù)系統(tǒng)參數(shù)設(shè)置工作環(huán)境。

PRE.KeyGen:密鑰生成參數(shù),生成授權(quán)人和被授權(quán)人各自的密鑰對。

PRE.ReKeyGen:授權(quán)人利用自己的密鑰對和被授權(quán)人的公鑰產(chǎn)生一個代理重加密的密鑰,并把該密鑰通過安全途徑傳給代理者。

圖1 云數(shù)據(jù)安全方案設(shè)計

PRE.Enc:加密函數(shù),授權(quán)人利用自己的公鑰對將要外包的數(shù)據(jù)進行加密,得到代理重加密的原始明文。

PRE.ReEnc:重加密函數(shù),云利用代理重加密密鑰對原始密文再次加密,所得密文實際上就是被授權(quán)人的公鑰加密下的密文,本文稱之為代理重加密密文。

PRE.Dec:解密函數(shù),被授權(quán)人利用自己的私鑰對代理重加密密文進行解密,就得到相應(yīng)明文;或者代理人利用自己的私鑰對原始密文進行解密得到相應(yīng)的明文。

3.2 云數(shù)據(jù)分享方案

本文利用乘法同態(tài)加密算法保證云計算的安全性,以RSA和AES來構(gòu)造同態(tài)體制。 為便于說明,假定數(shù)據(jù)所有者為Alice,特定的授權(quán)者為Bob,云上的代理重加密操作為 T,如圖1所示。

方案主要由以下部分組成:

(1)基于PKI的身份認證、密鑰產(chǎn)生和分發(fā)

該階段完成系統(tǒng)初始化工作,PKI完成對Alice、Bob的身份認證;PKI產(chǎn)出兩組RSA密鑰對和一個AES的密鑰。

(2)加密數(shù)據(jù)外包

數(shù)據(jù)所有者Alice需要在此階段主要完成兩個任務(wù),一是數(shù)據(jù)特征提煉,二是把提煉的特征數(shù)據(jù)加密后傳到云中存儲。其中的重點是Alice需要對提煉出的文件特征進行兩次加密后再上傳到云,其過程為:第一次是對稱加密,Alice對這n個特征向量數(shù)據(jù)使用密鑰k進行AES加密;第二次對上述加密數(shù)據(jù)使用Alice的公鑰進行RSA加密,最后Alice將經(jīng)過兩次加密的數(shù)據(jù)傳送到云端保存。

(3)產(chǎn)生代理重加密密鑰和訪問控制向量

對用戶Bob來說,要想從云中分享到數(shù)據(jù),需要向云提交自己的數(shù)據(jù)訪問請,云確認Bob的要求后,云再與Alice交互,Alice認為可以給Bob分享數(shù)據(jù)這時,Alice要根據(jù)自己的公鑰以及Bob的公鑰實時產(chǎn)生一個針對Bob的代理重加密密鑰、一個用來控制 Bob 對數(shù)據(jù)訪問的時限時間戳和一個用Bob的公鑰進行加密的訪問授權(quán)向量。

通過不同的訪問控制向量,Alice可以把這份加密數(shù)據(jù)分享給具有不同授權(quán)的用戶,為掩飾文件f特征向量維數(shù),Alice取一個大于n維的訪問控制向量,該訪問控制向量為0時代表不具有此項特性授權(quán),訪問控制向量為1時代表具有此項特性授權(quán)。

另外, Alice利用公鑰自己的公鑰以及Bob的公鑰等信息生成代理重加密密鑰和與之相關(guān)的時間戳,并把這兩個數(shù)據(jù)一起傳送到云端。

(4)云端代理重加密計算

當云端得到Alice兩次加密后的數(shù)據(jù)和代理重加密密鑰后,運行代理重加密函數(shù),完成代理重加密運算,得到Bob的公鑰下的兩次加密后的密文。

(5)用戶數(shù)據(jù)的訪問

如果一樣利用RSA乘法同態(tài)特性計算得到允許Bob訪問的密文數(shù)據(jù)項,否則,不進行任何操作。

(6)用戶權(quán)利撤銷

Alice可以通過多種手段來控制用戶的權(quán)利,可以通過時間戳本身來控制,時間戳到期,訪問控制向量自然失效,云端不回應(yīng)Bob的要求。用戶也可以不產(chǎn)生Bob的代理沖加密密鑰和訪問控制向量。整個過程中,云作為半可信的中間實體,只作為數(shù)據(jù)載體和復(fù)雜運算的工具,沒有任何權(quán)利控制能力。

(7)用戶權(quán)利重新生成

用戶權(quán)利的重新生成有兩種情況,一是訪問控制向量的時間戳到期,二是訪問特征向量有變化。無論哪一種情況都需要Alice重新生成Bob的訪問控制向量和相應(yīng)的時間戳。與該用戶是否有歷史訪問權(quán)限無關(guān)。

4 結(jié)論

云存儲是云計算模式的優(yōu)勢之一,這種模式一方面解決了用戶大數(shù)據(jù)存儲的難題,另一方面也為數(shù)據(jù)分享創(chuàng)造了有利條件。但由于受限于傳統(tǒng)安全機制的限制,一直以來,困擾云數(shù)據(jù)分享的安全問題沒有得到很好的解決,這已經(jīng)嚴重阻礙了云存儲的應(yīng)用發(fā)展。本文提出綜合利用 PKI、代理重加密和同臺加密的一種云數(shù)據(jù)分享方案,本文首先利用 PKI 完成數(shù)據(jù)分享前的一系列安全認證和密鑰產(chǎn)生與分發(fā),然后利用代理重加密來實現(xiàn)數(shù)據(jù)分享,最后利用同態(tài)加密的性質(zhì)完成授權(quán)訪問控制。該方案的安全機制突出,管理方便,并且具有一定細粒度的用戶的訪問權(quán)限控制。 但是由于公鑰密碼體系本身的加解密效率不高,在大數(shù)據(jù)的處理上先天優(yōu)勢不明顯,因此,本方案對文件本身的特征提取能力要求比較高,比較適合用在一般規(guī)模的統(tǒng)計分析中。

[1] Armbrust M, Fox A, Griffith R, etal. A view of cloud computing[J]. Communications of the ACM, 2010, 53(4): 50-58.

[2]馮登國, 張敏, 張妍等. 云計算安全研究[J]. 軟件學(xué)報, 2011, 22(1): 71-83.

[3]Jansen W, Grance T. Guidelines on security and privacy in public cloud computing[J]. National Institute of Standards&Technology, 2011, (3): 149-151.

[4]Ertaul L, Singhal S, Saldamli G. Security challenges in cloud computing[C]. Security and Management, 2010, 36-42.

[5]Takabi H, Joshi J B, Ahn G J. Security and privacy challenges in cloud computing environments[J]. IEEE Security&Privacy,2010, 8(6): 24-31.

[6]Coron J S, Naccache D, Tibouchi M. Public key compression and modulus switching for fully homomorphic encryption over the integers[C]. Advances in Cryptology-Eurocrypt 2012. Springer Berlin Heidelberg, 2012: 446-464.

[7]Cheon J H, Coron J S, Kim J, et al. Batch fully homomorphic encryption over the integers[C]. Advances in Cryptology-Eurocrypt 2013. Springer Berlin Heidelberg 2013: 315-335.

[8]Gentry C, Halevi S. Fully homomorphic encryption without squashing using depth-3 arithmetic circuits[C]. Foundations of Computer Science (FOCS), 2011 IEEE 52nd Annual Symposium on. IEEE, 2011: 107-109.

[9]Gentry C. Fully homomorphic encryption using ideal lattices. In STOC ’ 09, ACM, 2009:169-178.

[10]Gentry C, Halevi S. Implementing Gentry's Fully-homomorphic Encryption Scheme[C]. Springer, 2011: 129-148.

Application of Homomorphic Encryption Based on Cloud Computing Security

XU Ai-xue ZHANG Yi WEN Hong-nian
(Shijizhuang Institute of Railway Technology Shijizhuang Hebei 050041 China)

Homomorphic encryption can process the homomorphic encrypted data directly, and after decrypting the processed result, they can get the same thing that was directly processed from plaintext.Application of homomorphic encryption in cloud computing can effectively solve most security problems of current cloud computing. In this paper, a secure scheme for cloud data which is based on proxy re-encryption mechanism and homomorphic encryption is proposed. Firstly, the scheme introduced one mature technique—PKI. PKI analyzed the data owner and the user’s identity authentication, and then produced and distributed keys. Secondly, data owners extracted characteristics of data and produced access feature vector.Then it introduced proxy re-encryption mechanism to realize the encrypted data access control by using the properties of the RSA multiplicative homomorphism.

homomorphic encryption proxy re-encryption cloud computing

A

1673-1816(2017)03-0063-05

2016-06-18

許愛雪(1989-),漢,河北衡水人,學(xué)士,助教,研究方向光纖通信。

河北省高等學(xué)校科學(xué)技術(shù)研究重點項目:ZD2016057;科技廳自籌項目:15214519。

猜你喜歡
同態(tài)公鑰訪問控制
關(guān)于半模同態(tài)的分解*
拉回和推出的若干注記
一種基于混沌的公鑰加密方案
ONVIF的全新主張:一致性及最訪問控制的Profile A
一種基于LWE的同態(tài)加密方案
動態(tài)自適應(yīng)訪問控制模型
HES:一種更小公鑰的同態(tài)加密算法
淺析云計算環(huán)境下等級保護訪問控制測評技術(shù)
大數(shù)據(jù)平臺訪問控制方法的設(shè)計與實現(xiàn)
SM2橢圓曲線公鑰密碼算法綜述
平泉县| 大田县| 泰和县| 拉萨市| 屯门区| 巧家县| 余姚市| 酒泉市| 通山县| 斗六市| 桑日县| 陆良县| 大丰市| 柘荣县| 云安县| 泸西县| 巴马| 深州市| 安吉县| 新巴尔虎右旗| 安岳县| 治县。| 塘沽区| 温泉县| 和政县| 尉氏县| 昌吉市| 剑阁县| 凤台县| 弥勒县| 乌拉特中旗| 博客| 黄龙县| 涿鹿县| 肥东县| 莱阳市| 普安县| 措勤县| 吴旗县| 元阳县| 汨罗市|