[发明专利]基于改进CP-ABE的云存储分组加密访问控制方法

摘要

本发明公开基于改进CP‑ABE的云存储分组加密访问控制方法，对CP‑ABE加密过程中的访问结构树T进行遍历，得出所有可能出现的用户属性组A，对所有的用户属性组A进一步加密产生每个属性组对应的解密私钥。用户属性发生变化时，只需对自己之前所在属性组进行重加密，而不需要对所有属性进行重加密。密钥始终存放在属性权威中心，重加密后私钥不需要进行重新发送，从而避免因用户不在线而导致的无法接收最新秘钥。将这些用户属性组A和对应的解密私钥，利用哈希表存放在属性权威中心，用户身份验证时，可直接将用户属性集与属性组匹配，且用户接收到的密钥是伪密钥，可降低传输过程中信息泄露的风险。

主权项

1.基于改进CP‑ABE的云存储分组加密访问控制方法，其特征在于：其包括以下步骤：S1：由属性权威中心生成公开参数PK和主密钥MK，并将公开参数PK分发给用户，且主密钥MK保存在属性权威中心；S2：数据主体使用公开参数PK和访问结构T通过非对称加密方法加密数据明文M得到数据密文CT，并将数据密文CT上传至资源管理中心；S3：属性权威中心获取访问结构T，并进行遍历得出所有能够通过访问的用户属性组A；S4：属性权威中心使用主密钥MK对步骤S3中得到的所有的用户属性组A分别加密得到各用户属性组A对应的私钥SK，并利用哈希表将用户属性组A和对应的私钥SK保存；S5：用户向访问控制认证点和资源管理中心分别发出访问申请；S6：访问控制认证点从用户发出的申请中提取用户属性集，并产生加密和解密私钥的参数P，将该用户属性集和参数P共同发送给属性权威中心；S7：属性权威中心验证用户身份；将用户属性集与S3中遍历得到的能够通过访问的属性组A进行匹配；当匹配一致时，用户身份验证通过；当匹配不一致时，用户身份验证不通过；当用户身份验证通过时，属性权威中心向访问控制认证点发出验证通过的验证结果，属性权威中心获取该用户属性组A对应的私钥SK，属性权威中心使用获得的参数P通过对称加密私钥SK得到伪密钥SK’并发送给用户；当用户身份验证不通过时，向访问控制认证点发出验证不通过的验证结果；S8：访问控制认证点基于用户身份验证结果通知资源管理中心是否发送密文；当用户身份验证结果为验证不通过时，访问控制认证点通知用户访问失败，访问控制认证点通知资源管理中心不发送数据密文CT给用户；当用户身份验证结果为验证通过，访问控制认证点将参数P发送给用户，访问控制认证点通知资源管理中心向用户发送数据密文CT；S9：用户根据收到访问结果进行相应处理：当用户身份验证失败时，用户无法访问数据密文CT，用户访问失败；当用户身份验证成功时，解密接收到的数据密文CT并获取数据明文M；具体地，当用户身份验证成功时，用户获得伪密钥SK’、参数P、数据密文CT，由于对称加密特性使用参数P解密伪密钥SK’即可得到私钥SK；并由于明文M的非对称加密特性，用户执行M=Decrypt(CT, SK)，用私钥SK解密数据密文CT即可得到数据明文M，其中Decrypt(CT, SK)为S2中非对称加密方法相对应的解密函数。