[发明专利]具有数据源认证的可转换的数据云存储的访问控制方法

摘要

本发明属于云计算技术领域，公开了一种具有数据源认证的可转换的数据云存储的访问控制方法,控制方法包括：系统参数初始化、用户密钥生成、数据加密存储、数据下载解密、数据访问控制、密文数据转换。本发明解决了现有云数据访问控制中如何保证数据源认证、存储在云服务器上数据损坏时如何确定是云服务提供商的责任以及密文数据的公开可转换性问题，本发明基于无证书公钥系统构造，从而不存在PKI中的证书管理问题和基于身份公钥系统下的密钥托管问题，给出了一种具有数据源认证可转换的的数据云存储的访问控制方法。

主权项

1.一种具有数据源认证的可转换的数据云存储的访问控制方法，其特征在于，所述具有数据源认证的可转换的数据云存储的访问控制方法包括：步骤一，系统参数初始化：选择两个素数p阶循环群G₁,G₂，其中G₁为加法群其生成元记为P，G₂为乘法群；密钥生成中心KGC选择作为系统主私钥，P_pub＝sP为系统公钥；为使用密钥key_m对数据文件m进行加密，为使用密钥key_m对密文文件y进行解密；|key_m|为密钥key_m的比特长度；系统公开参数为{G₁,G₂,e,p,g,P_pub,H₁,H₂,H₃,H₄}；步骤二，用户密钥生成：用户U发送其身份ID_U给密钥生成中心KGC(Key Generating Center)，KGC验证所述用户信息并为其生成部分私钥并把D_U通过安全方式返回给用户U；步骤三，数据加密存储：待加密的数据文件m对应的识别符为Im，云服务提供商CSP(Cloud Service Provider)的身份为IDCSP，数据拥有者DO(Data Owner)的身份为IDDO、公钥为PKDO，私钥为SKDO；DO计算密文数据c＝(h,y,Z,v)并把该数据文件的识别符Im一起发给云服务提供商，云服务提供商首先验证密文数据c＝(h,y,Z,v)的来源，验证通过，则把数据文件识别符为Im和密文数据c＝(h,y,Z,v)存储到云服务器中，并回复“存储完成”。步骤四，数据下载解密：当数据拥有者使用自己的数据时，根据文件识别符Im先下载密文数据文件c＝(h,y,Z,v)，然后使用自己的私钥SKDO进行验证和解密；步骤五，数据访问控制：数据使用者DU(Data User)若要访问数据拥有者DO的某个数据文件m，则DU把自己的身份信息IDDU和公钥PKDU发送给DO并提出访问请求；收到请求后DO计算重加密密钥RKDO→DU＝H4(Im,SKDO)‑1{PKDU+H2(PKDU)[H1(IDDU)P+Ppub]}，DO把文件识别符Im和重加密密钥RKDO→DU发送给云服务提供商；步骤六，密文数据转换：数据拥有者DO若要把存储在云服务器上的识别符为Im的密文数据c＝(h,y,Z,v)进行转换，DO计算T＝H4(Im,SKDO)‑1P，再把Im和T发送给云服务提供商CSP；CSP根据Im找到对应的密文数据c＝(h,y,Z,v)，计算W＝vT，并将v替换为W，即云服务器中的密文数据c＝(h,y,Z,v)变为了c＝(h,y,Z,W)，给数据拥有者回复“转换完成”。