[发明专利]分布式场景下基于角色属性的访问控制系统及方法

说明书

一种分布式场景下基于角色属性的访问控制系统，包括：位于访问控制层的用户节点、属性节点以及位于存储层的存储节点，本发明不依赖于任何中心化的权威，摒弃了现有属性加密算法中对第三方权威中心的依赖，通过初始化、加密密钥生成、加密、解密密钥生成、解密，将基于属性加密的思想与基于区块链的去中心存储系统的结合。

技术领域

本发明涉及的是一种信息安全领域的技术，具体是一种分布式场景下基于角色属性的访问控制系统及方法。

背景技术

在现有的云计算和云存储场景下，云服务提供商的系统架构是中心化的，用户存储在云端的数据安全依赖于中心节点的可信任程度以及其抵御外来攻击的安全措施。从安全要素分析，存储在云端的数据面临的安全问题主要有以下两点。首先是可靠性问题，即云端数据的完整性与可用性。在外来攻击或者硬件故障的影响下，云服务可能在一段时间内不可用，且云服务提供商也可能因为数据成本或数据内容等原因删除用户存储的数据。另外则是数据的机密性与数据共享，即在基于云存储的数据共享中保护用户数据的隐私安全。通常数据以密文的形式存储在第三方存储系统中，因此数据的共享取决于密钥的管理与分发。随着数据总量与数据源的增加，为每一对数据分享者和数据接收者提供密钥管理成本越来越高。因此引入基于角色或者基于属性的细粒度访问控制格外重要。利用区块链技术实现去中心化存储是目前主流的实现云端数据可靠性的解决方案。去中心化要求系统不依赖可信的第三方权威中心，而现有的基于属性加密算法(attribute-basedencryption，ABE)是基于中心化的访问控制系统设计的，其实现依赖于某中心化机构。

简要来说，密文策略的属性加密算法(CP-ABE)是当前实现基于属性的细粒度访问控制的关键算法，算法主要分初始化、加密、密钥生成、解密四个步骤。在加密时，算法输入访问控制策略因而将访问控制策略嵌入密文中。在密钥生成中，算法输入用户的属性集因而将属性嵌入密钥中。最后属性集和访问控制策略得以匹配的密文和密钥能够通过解密步骤还原出原始明文。以上是密文策略的属性加密算法的核心逻辑。而在算法设计中，其执行依赖于某第三方来负责主密钥、公共参数的生成和管理，这与利用基于区块链实现去中心化访问控制的需求相悖。

目前的解决方案主要围绕着将现有中心架构下的属性加密算法移植到去中心化平台中，这些方案有以下实现形式：一种是仅在存储层面进行去中心化，基于属性的访问控制层面依然依赖如权威中心、属性中心、认证中心等诚实可信的第三方机构，这些第三方仍具备窃取用户机密数据的能力；另一种将属性认证功能去中心化，但是在解密算法执行的过程中需要进行属性认证节点返回属性相关的秘密参数，这一点危害属性节点的隐私安全。

发明内容

本发明针对现有技术存在的上述不足，提出一种分布式场景下基于角色属性的访问控制系统及方法，不依赖于任何中心化的权威，摒弃了现有属性加密算法中对第三方权威中心的依赖，通过初始化、加密密钥生成、加密、解密密钥生成、解密，将用户属性的具体认证步骤与加密算法的流程分离，便于加密算法的执行同时实现具体认证与计算的分离，实现属性加密和区块链的去中心存储系统的结合。

本发明是通过以下技术方案实现的：

本发明涉及一种分布式场景下基于角色属性的访问控制系统，包括：位于访问控制层的用户节点、属性节点以及位于存储层的存储节点，其中：用户节点作为通道的生成者基于通道的访问控制策略执行通道生成算法生成通道及相关数据，或作为数据的分享者基于明文与通道中的加密密钥与加密公钥执行数据加密算法生成密文，或作为用户数据的接收者基于密文和解密密钥执行密文解密算法生成原始明文；属性节点根据访问控制策略以及该节点的属性密钥参与执行加密密钥生成算法，根据部分密文以及该节点的属性密钥参与执行解密密钥生成算法输出解密密钥；存储节点根据用户节点的数据存储请求进行写权限检查以及底层数据的去中心化存储，或根据用户节点的数据获取请求进行相关的检索并得到目标数据。