基于属性加密的大数据混合加密方法

本发明属于网络空间安全，具体涉及一种大数据混合加密方法，可用于在大数据系统中实现数据安全和高效的访问控制。

背景技术：

1、随着互联网技术的飞速发展，大数据和云计算等新兴技术不断涌现。这不仅为人们的日常生活带来了便利，更是推动了科技的更好发展。这些新兴技术使得人们在日常生活中产生和使用的信息量大大增加。面对日益庞大的数据资源，传统的信息技术已经无法应对，越来越多的企事业单位开始将大数据技术应用于自己的系统平台中。比如，在医疗行业中，用户可以利用大数据技术对病例信息进行集中管理和分析。利用大数据技术能够在短时间内收集、整理和分析特定的数据，进而可以迅速地从海量数据中挖掘出对人们有用的信息，帮助决策者制定和执行更加高效的策略。

2、但是，新兴技术的出现和应用也带来了新的挑战。由于大数据系统包含有海量的用户信息以及系统信息，其中不乏有很多需要保密的隐私数据。这些数据一旦遭到泄露，被攻击者恶意使用，就会造成不可估量的后果，轻则系统出现故障，重则公司和用户遭受重大损失。

3、现有技术中，对称加密算法和非对称加密算法是常见的数据加密方法。其中，对称加密算法对数据的加解密都使用相同的密钥，加解密速度快，其安全性依赖于密钥的安全性，在密钥的管理和分发上容易出现安全问题。非对称加密算法使用两个不同的密钥对数据执行加解密操作，一是用公开密钥对数据加密，其只有用对应的私有密钥才能解密；二是用私有密钥对数据加密，其只有用对应的公开密钥才能解密。非对称加密算法相对于对称加密算法具有一定的安全保障，但是加解密的速度相对较慢，不适合应用于大规模的、高实时性的大数据系统。单一使用某一种加密算法已经不能满足实际的需求，对于大数据系统的性能和数据安全性均缺少足够的保障，而且需要管理大量的密钥，对系统和管理员有着较大的负担。

4、因此，在享受大数据技术所带来的便利的同时，要进一步提高数据存储和传输的安全性，要防止未授权用户访问到不应该访问的数据。同时，要避免数据在传输的过程中，即便攻击者成功拦截到目标数据，也无法对密文数据执行解密操作得到相应的明文数据。

5、徐云杰等人在计算机测量与控制上发表了基于hadoop和双密钥的云计算数据安全存储策略设计。其在传统对称加密算法仅有一个私钥的基础上，加入了一个可以动态改变的公钥，将私钥和公钥同时作为参数传入加密敏感函数中，产生一个随机变化的密钥流，使用该密钥流对明文数据执行加密操作，得到密文数据。在解密时首先获取动态的公钥，通过动态公钥和用户私钥生成解密密钥，对密文数据执行揭秘操作得到明文数据。该方案虽说能够较为有效地改善数据存储的安全性，但由于设计时没有考虑到大数据环境中数据量庞大以及用户群体众多的特点，因而为每个数据生成动态公钥会加重系统对于密钥管理的负担，降低系统的性能。同时由于其将动态公钥直接存储在节点服务器中，没有经过加密处理，仍然存在密钥泄露的风险。

技术实现思路

1、本发明的目的在于针对上述现有技术的不足，提出一种基于属性加密的大数据混合加密方法，以避免密钥泄露的风险，提高对数据执行加解密操作的安全性、高效性和灵活性，实现大数据系统中细粒度的安全访问控制。

2、为了实现上述目的，本发明的技术方案包括如下步骤：

3、(1)在大数据系统中为每个数据源设备分配相应的属性集合，使得数据源设备产生的数据只能被满足其属性集合的用户进行访问；

4、(2)各种数据源设备不间断地产生数据，大数据系统接收到这些数据后，从数据库中读取相应设备的属性集合；

5、(3)大数据系统使用数据源设备的属性集合，对其产生的数据执行加密操作：

6、(3a)随机生成aes对称密钥，使用该对称密钥对数据源设备产生的数据进行加密，得到密文数据；

7、(3b)随机生成根节点的秘密值，使用该根节点的秘密值和数据源设备的属性集合，构造相应的访问控制树的结构；

8、(3c)初始化属性加密算法使用的公共参数，使用该公共参数和访问控制树的结构对aes对称密钥进行加密，得到加密密钥；

9、(3d)将密文数据、访问控制树的结构、加密密钥、秘密值的哈希值和aes对称密钥的哈希值存储在数据库中；

10、(4)用户访问大数据系统查看数据时，根据用户的身份信息和环境信息为其构造相应的属性集合；

11、(5)大数据系统使用构造好的属性集合对密文数据执行解密操作：

12、(5a)从数据库中读取待访问数据的访问控制树的结构；

13、(5b)初始化属性加密算法使用的公共参数和主密钥，使用其和用户的属性集合生成该用户的私钥；

14、(5c)将用户的属性集合带入访问控制树的结构，使用拉格朗日插值定理对根节点的秘密值进行求解；

15、(5d)根据求解结果

16、如果不能求解出秘密值，则用户不具有当前数据的访问权限，拒绝其行为操作，并提示相应的错误信息；

17、如果能够求解出秘密值，则计算该秘密值的哈希值；

18、(5e)将步骤(5d)得到的秘密值的哈希值与数据库中存储的哈希值进行比较：

19、如果两者不一致，则拒绝用户的行为操作，并提示相应的错误信息；

20、如果两者一致，则使用用户的私钥对加密后的aes对称密钥进行解密，得到原始的aes对称密钥，并计算该对称密钥的哈希值，再执行步骤(5f)；

21、(5f)将步骤(5e)得到的对称密钥的哈希值与数据库中存储的哈希值进行比较：

22、如果两者不一致，则拒绝用户的行为操作，并提示相应的错误信息；

23、如果两者一致，则使用aes对称密钥对密文数据进行解密，得到明文数据。

24、本发明与现有的技术相比，具有如下的有益效果：

25、第一，本发明引入属性加密算法，可针对大数据场景中数据类型众多，用户和数据源设备数量庞大的情况，为不同的数据源设备分配不同的属性集合，并可通过用户自身的属性集合与待访问数据的访问控制结构进行匹配，能够更灵活、准确地实现一对多的数据的访问控制，避免了大量密钥对系统造成的负担，完善了现有方案中传统数据的访问控制不够灵活以及密钥管理困难的不足。

26、第二，提高了大数据环境下数据加密的安全性和效率

27、现有对称加密算法的安全性依赖于密钥管理的安全性，一旦密钥被窃取数据就会被攻击者成功解密；现有非对称加密算法虽然有一定的安全性，但是其加密的效率相对较低，不适合应用于高实时性的大数据环境中。

28、本发明基于属性加密的混合加密方法，由于使用aes对称加密算法对数据进行加密，能够提高大数据环境下的数据加密效率；同时由于使用属性加密算法对aes对称密钥进行加密，可在避免出现密钥泄露导致不安全的同时，提高了大数据环境下数据加密的效率。

技术特征：

1.一种基于属性加密的大数据混合加解密方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的方法，其特征在于，步骤(1)在大数据系统中为每个数据源设备分配相应的属性集合，实现如下：

3.根据权利要求1所述的方法，其特征在于，步骤(3a)使用随机生成的aes对称密钥对数据源设备产生的数据进行加密，实现如下：

4.根据权利要求1所述的方法，其特征在于，步骤(3b)使用随机生成根节点的秘密值和数据源设备的属性集合，构造相应的访问控制树的结构，实现如下：

5.根据权利要求1所述的方法，其特征在于，步骤(3c)使用初始化属性加密算法的公共参数和访问控制树的结构对aes对称密钥进行加密，实现如下：

6.根据权利要求1所述的方法，其特征在于，步骤(4)根据用户的身份信息和环境信息为用户构造相应的属性集合，实现如下：

7.根据权利要求1所述的方法，其特征在于，步骤(5b)使用初始化属性加密算法的公共参数和主密钥及用户的属性集合生成该用户的私钥，实现如下：

8.根据权利要求1所述的方法，其特征在于，步骤(5c)使用拉格朗日插值定理对根节点的秘密值进行求解，实现如下：

9.根据权利要求1所述的方法，其特征在于，步骤(5d)计算该秘密值的哈希值，是使用sha-1安全散列算法进行，具体实现如下：

10.根据权利要求1所述的方法，其特征在于，步骤(5e)计算该对称密钥的哈希值，是使用与步骤(5d)中计算秘密值的哈希值相同的sha-1安全散列算法进行运算，得到该对称密钥的哈希值。

技术总结
本发明公开了一种基于属性加密的大数据混合加密方法，主要解决现有技术在大数据环境下数据加密和解密效率低，且无法保证密钥安全性的问题。其实现方案是：随机生成AES对称密钥，使用AES对称加密算法对数据源设备产生的数据加密得到密文数据；使用数据源设备的属性集合构造访问控制树；利用该控制树使用属性加密算法加密AES对称密钥得到加密密钥；用户访问数据时，根据其身份信息和环境信息构造其属性集合，使用属性加密算法对加密密钥进行解密得到AES对称密钥，使用AES对称加密算法对密文数据进行解密得到明文数据。本发明相较于传统的加密技术具有更好的安全性和更高的效率，可满足高实时性大数据系统的数据加密和解密需求。

技术研发人员：李金库,康博瑞,韩飞,贾皓
受保护的技术使用者：西安电子科技大学
技术研发日：
技术公布日：2024/1/13