[发明专利]一种面向边缘计算的属性加密访问控制方法

说明书

本发明公开一种面向边缘计算的属性加密访问控制方法，除了常规的属性加密之外还将时间参数和位置参数一起作为加密因子用于属性加密算法中，使得数据用户必须在数据拥有者所设定的时间和位置范围内才能进行访问，以达到更细粒度的访问控制。数据用户在请求访问数据时，根据最短路径算法访问离自己最近的边缘节点，边缘节点收到数据用户的访问请求后，先检索自己是否存储相应的数据密文和密钥密文，若没有存储，则由该边缘节点向其相邻的其它边缘节点或云服务器检索。此外，本发明针对边缘计算中终端设备资源受限问题，将大部分的解密工作放在边缘节点，在边缘节点进行预解密。

技术领域

本发明涉及数据安全技术领域，具体涉及一种面向边缘计算的属性加密访问控制方法。

背景技术

在云计算中，很多数据外包存储在“基本”可信的云服务平台上，由于云上的数据脱离了数据所有者的物理控制，非法用户可以尝试通过非法访问数据来试图获取数据所包含的信息，这将造成数据信息和用户隐私信息的泄露。采用基于属性加密技术可对存储在云端的这些隐私数据进行细粒度的访问控制，该方法可以实现“一对多”的加密访问控制，同时具有可扩展性和分布式的特点。

随着物联网、5G网络技术的快速发展，智慧医疗、位置服务、移动支付等新型服务模式和业务不断出现，使得智能设备数量呈爆炸式增长，随之而来的是物联网设备产生的海量数据。而传送海量数据到云中心需要一定的时间，云中心处理数据也需要一定的时间，这就会加大请求响应时间，用户体验极差。而由于终端用户和远程云之间的数据交换会占用大量带宽，以及物联网中很多终端设备的计算资源有限，通信和存储必须依靠云或边缘节点来完成。边缘计算是指数据或任务能够在靠近数据源头的网络边缘侧进行计算和执行计算的一种新型服务模型，与云计算互为补充。

传统云环境下的属性加密只考虑常规属性如职业、年龄等。而在一些实际应用场景中，数据的访问控制还需要考虑时间和位置等因素。如医生只能在上班时间并且只能在医院位置范围内才能访问医院数据库，查看病人的相关病历；学生只能在校且在籍才能访问教务系统以及图书馆购买的数据库。由于边缘计算具有移动性、实时性，因此必须考虑时间和位置变化带来的影响，并且由于数据的多元异构性、感知性以及终端的资源受限等特性，传统云环境下的属性加密访问控制方法已不再适用于边缘计算环境。

发明内容

本发明针对边缘计算应用中数据的隐私保护和访问控制问题，提供一种支持时间和位置变化的属性加密访问控制方法。

为解决上述问题，本发明是通过以下技术方案实现的：

一种面向边缘计算的属性加密访问控制方法，具体包括步骤如下：

步骤1、初始化：CA初始化建立整个系统；AA通过CA进行注册，负责管理系统中的所有属性，且每个AA管理的属性集合没有交集；DO通过CA进行注册；DU通过CA进行注册，并由CA认证DU的身份和授权；

步骤2、DO先使用对称密钥对明文数据进行加密，生成数据密文；再使用预设的访问策略对对称密钥进行加密，生成密钥密文；后将数据密文和密钥密文一起发送到CSP进行存储；

步骤3、当DU发出访问请求时，

首先，AA使用CA的验证密钥从凭证中得到该DU的身份，并判断DU是否为注册用户：当DU不是注册用户时，则AA返回失败信息；当DU是注册用户时，则AA根据DU的常规属性生成常规属性私钥，并发回给DU；

然后，AA根据访问控制表判断DU的访问时间和位置是否均在有效时间和位置范围内：若访问时间和位置均在有效时间和位置范围内时，则AA分别生成时间属性私钥和位置属性私钥，并返回给DU；否则，AA返回失败信息给DU；

步骤4、DU组合收到常规属性私钥、时间属性私钥和位置属性私钥，并进行转换处理后生成边缘密钥和恢复密钥；

步骤5、DU对EN发起访问请求，并将边缘密钥发送到EN；