[发明专利]一种通用的异构加密云间的数据共享方法

说明书

技术领域

本发明属于计算机安全技术领域，更具体地，涉及一种通用的异构加密云间的数据共享方法。

背景技术

在现有的云存储技术中，数据存储在用户不可控的云端，为了保护敏感数据的安全性与隐私性，通常会采用数据加密的方法来保护数据的安全。常用的对称加密方案存在安全性问题，其中，加密数据的密钥只有一个，收发双方都使用同样的密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥，这样密钥的安全性就得不到保证，因此对称加密体制不适于分布式文件存储系统。因此，为了保证云端数据的保密性与隐私性，加密云存储系统通常需要使用公钥密码体制(非对称加密体制)来加密用户的数据。目前，公钥密码体制类型繁多，主流的有基于证书加密体制(Certificate-Based Encryption，简称CBE)、基于身份加密体制(Identity-Based Encryption，简称IBE)、基于属性加密体制(Attribute-Based Encryption，简称ABE)和无证书加密体制(Certificateless Encryption，简称CLE)。

代理重加密(proxy re-encryption，以下简称PRE)是一种密文间的转换机制，是由Blaze等人在1998年的欧洲密码学年会上提出的，并由Ateniese等人在2005年的网络和分布式系统安全研讨会议和2007年的美国计算机学会计算机与通信安全会议上给出了规范的形式化定义。在PRE中，一个半可信代理方通过代理授权人A产生的转换密钥RK把用授权人A的公钥PKA加密的密文转化为用被授权人(Delegate)B的公钥PKB加密的密文，在这个过程中，代理方得不到数据的明文信息，从而降低了数据泄露风险。而这两个密文所对应的明文是一样的，使授权人A和被授权人B之间实现了数据共享。PRE应用在云存储系统中，可以在保证用户数据安全性和隐私性的前提下，提高用户共享数据的灵活性。PRE是对公钥加密体制的扩展，因此相应的PRE也有多种类型，CB-PRE、IB-PRE、AB-PRE和CL-PRE。

不同的云存储系统很可能会采用不同的PRE方案，那么系统内部的用户之间共享数据会非常方便，而不同的PRE加密云存储系统之间的数据共享会存在问题。由于不同的PRE方案之间的密文一般是不能相互转化的，因此存在异构体制的数据共享问题。针对不同公钥加密体制之间的密文转换，目前存在一些技术尝试解决这样的问题。2007年Matsuo在“Proxy re-encryption systems for identity-based Encryption”一文中提出了混合代理重加密的概念，在其文章中提出的方案则解决了ElGamal类型的CBE到BB-IBE的密文转换。接着Matsuo的方案，又有IBE至CBE、ABE至IBE、CLE至CBE的混合代理重加密方案。此类的混合代理重加密方案能够使得使用不同公钥加密体制或者相同体制不同方案的系统之间的密文共享变得更加方便。但是，目前已有的方法或技术都是针对具体特别的密码方案进行转换，而且都需要对原加密云存储系统做或多或少的改变，并不能够完全解决目前存在的异构加密云存储系统间的密文共享问题，并且在实际应用中不能很好的部署。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供一种通用的异构加密云间的数据共享方法，来实现各种类型加密云之间的密文共享。本发明采用临时公私钥的方法实现了通用的异构加密云存储之间的密文数据的代理重加密方案，异构的加密云存储可以是应用了不同类型的加密体制或者是相同加密体制但不同的密码方案，而且最大程度的降低了对原有加密云系统的改动，从而提高了实用性。

本发明提供一种通用的异构加密云间的数据共享方法，包括以下步骤：

步骤1两个异构加密云系统α、β各自运行其系统初始化算法，分别生成相应的公开参数、秘密参数对(MP_α，MS_α)和(MP_β，MS_β)，其中，MP表示主公开参数；MS表示主秘密参数；并选取对称加密算法(K，SE，SD)作为用户数据加密算法，其中，K表示对称密钥空间；SE和SD分别表示对称加密和解密算法；

步骤2所述α、β系统各自的密钥生成中心为其系统内部的用户分发公私钥对(PK,SK)，其中，PK表示用户的公钥；SK表示用户的私钥；