[发明专利]一种基于属性加密的分布式访问控制方法

摘要

本发明提出了一种基于属性加密的分布式访问控制方法，该方法主要用来解决云环境中海量数据的安全和隐私保护问题，本发明在密文策略的基于属性加密机制(Ciphertext‑Policy Attribute‑Based Encryption,CP‑ABE)的基础上提出了一种多权威的CP‑ABE机制。该机制利用多个权威来分担单一权威的工作量，而且可以实现高效的外包解密和用户撤销以及支持属性权威(Attribute Authority,AA)的动态加入和退出。本发明提供的访问控制机制在保护海量数据的安全和隐私的同时，还能够实现了高效、分布式、可扩展以及细粒度的访问控制等特点。

主权项

1.一种基于属性加密的分布式访问控制方法，其特征在于：包括以下步骤S1：系统初始化，生成系统公共参数、可信第三方TP的公/私钥对以及每个属性的公/私钥对；S2：数据加密，数据拥有者加密数据，并把数据以加密的形式存储到云服务器上；S3：用户密钥生成，可信第三方TP给合法用户分配一个全局身份表示GID，并给该用户分发证书和全局私钥，属性权威AA则基于用户的权限给其分发属性私钥；所述步骤S3包括如下步骤：S31：用户加入系统，向可信第三方TP提交身份信息进行注册；S32：可信第三方TP认证用户的合法性；S33：若用户合法，则给用户分配一个全局身份表示GID，并给用户分发一个证书和全局私钥，其中证书包含用户的全局身份表示GID、用户的属性列表以及用户的全局公钥；若该用户不合法，则拒绝加入系统；S34：当用户收到可信第三方TP发来的证书和全局私钥，便把证书发给其隶属的各个属性权威AA；S35：当属性权威AA收到证书后，属性权威AA使用可信第三方TP的公钥解密证书，并验证用户的全局身份表示GID是否属于用户撤销列表UL；S36：若则属性权威AA基于用户的属性列表给用户生成属性私钥；若属性权威AA终止操作；S37：然后属性权威AA把用户的属性私钥发送给云服务器，并存储在云服务器上；S4：访问数据，用户向服务器请求数据访问，当且仅当用户的属性集满足密文中的访问结构，用户才能利用全局私钥和属性私钥来解密密文；S5：用户撤销，当用户的权限发生变化时，则对用户的私钥进行更新，使其以一个新的身份重新加入到系统中来。