[发明专利]云环境下基于属性和同态混合加密的用户隐私保护方法

权利要求书

1.一种云环境下基于属性和同态混合加密的用户隐私保护方法，其特征在于该方法具体包括以下步骤：

1).用户首先将自己的数据传送至云平台，云服务提供商首先将用户的信息分为A类和B类，A类是涉及用户个人敏感信息和重要业务数据，B类是Web数据隐私，涉及到用户部分可公开的隐私，A类的保密等级高于B类，B类隐私可用XML语言进行属性描述；分类方式由云服务商制定并且根据云用户的业务特征或行业特征进行扩展；

2).云端将隐私分类信息和策略树返还给用户，用户在本机对A类数据进行同态加密，加密好数据发送至云端存储，密钥只有用户拥有，云服务提供商无法获得，若用户要从云端提取A类数据及结果，经下载后用自身密钥进行解密既可以得到数据；

3).针对B类数据，制定相应的访问控制策略树，访问控制树的结构由树形节点构成，树中的中间节点表示与门AND与或门OR，树的叶子节点表示用户的属性信息；B级所对应的访问控制树表明只有研发部的经理或者业务部的销售或者公司总裁才具有访问加密后的数据，故可以针对想要开放的人群设定相应的访问控制树；

4).根据访问控制树进行基于属性的加密，用户接收到来自云服务提供商返回的树结构描述访问策略A_C-CP后，便开始访问可信任的授权机构；

在Setup创建阶段：由授权机构执行，生成系统公钥PK和主密钥MK交给用户；

KeyGen密钥生成阶段：由授权机构执行，用户将自己的属性集Au提交给授权机构，授权机构根据Au及创建阶段的公钥PK和主密钥MK生成用户属性集对应的私钥SK然后将公钥PK和私钥SK发送给用户；

Encrypt加密阶段：用户使用PK，属性访问控制策略A_C-CP对明文进行加密处理生成密文C，然后将密文C连同属性访问控制策略A_C-CP发送给云端存储；云平台接收到用户传送的数据后分配存储空间进行存储；

5).当用户要求在云服务端对A类数据进行数据操作时，云服务提供商将提供相应计算能力和存储空间方便用户进行操作，计算结果也将以密文的方式存储在云端；

6).当其他用户或者可信机构想访问用户B类数据时，云服务提供商将根据访问策略树对访问者进行身份认证和权限匹配；由于密文与属性访问控制策略A_C-CP有关，只有属性集Au满足属性访问控制策略A_C-CP时，用户才能解密密文，解密过程为使用系统公钥PK，和用户的属性集对应的私钥SK对密文进行解密处理；如果密文接收者的属性集Au符合属性访问控制策略A_C-CP，则可以进行解密工作，解密工作结束即可访问B类数据。