【技术实现步骤摘要】
本专利技术涉及数据加密安全,尤其涉及一种基于自主管理身份和属性基加密的访问控制方法。
技术介绍
1、随着云计算和大数据等技术的不断发展,数据已经成为数字经济中的重要资产,数据的便携共享和流动对经济社会发展尤为重要。访问控制作为数据共享与流动的核心技术,是挖掘数据价值的关键。然而,传统的访问控制技术虽然能够保证数据的机密性,但是缺乏灵活性和可扩展性,无法满足一对多的细粒度访问控制要求。为了满足细粒度访问控制的需求,属性基加密方案被提出。属性基加密是一种在模糊身份基加密的基础上发展起来的公钥加密机制,能够同时实现信息的机密性和访问控制的灵活性。其中密文策略属性基加密能够实现一对多的细粒度访问控制,并且可以灵活地制定访问控制策略。密文策略属性基加密被广泛应用于云计算环境的访问控制,然而现有的密文策略属性基加密方案仍然存在诸如:属性机构单一和身份自主权缺失等问题。
2、首先,现有密文策略属性基加密方法通常由中央授权机构进行属性授权和密钥管理,这种中心化式的模式容易出现单点故障、计算瓶颈和信任问题。此外,用户在生成属性私钥时,必须把自己的所有属性发送至中央授权机构,即使某些属性与解密无关。因此,无法确保中央授权机构完全可信的情况下,极易发生隐私泄露。最后,用户无法自由地控制自己的身份,身份管理依赖于中央授权机构或者属性授权机构,用户身份自主权缺失。
3、综上,现有的密文策略属性基加密方法存在单点故障与属性验证困难的问题。
技术实现思路
1、为了解决上述技术问题,本专利
2、本专利技术所采用的第一技术方案是:一种基于自主管理身份和属性基加密的访问控制方法,由数据拥有者、数据使用者、属性权威机构、密钥生成代理和区块链星际文件端构成的系统进行实现,包括以下步骤:
3、对系统进行初始化,获取数据拥有者的密钥组件;
4、将数据拥有者的密钥组件存储至区块链星际文件端,并通过aes算法进行加密处理,生成访问控制树;
5、基于访问控制树,通过门限秘密共享算法生成数据拥有者的可验证声明请求并通过密钥生成代理进行公示,得到公示的数据拥有者可验证声明请求;
6、基于属性权威机构,获取数据使用者的数据访问请求;
7、对公示的数据拥有者可验证声明请求与数据使用者发起数据访问请求进行属性认证,对认证通过的数据使用者发放数据拥有者的密钥组件;
8、通过门限秘密恢复算法对数据拥有者的密钥组件进行解密,完成系统的访问控制。
9、进一步,所述数据拥有者的密钥组件的表达式具体如下所示:
10、
11、上式中,key component表示数据拥有者的密钥组件,α和β表示随机数,表示群,g表示群的生成元,gα/β表示α/β在群上的映射,h和gβ表示β在群上的映射,e(g,g)α表示在双线性映射得到的元素上进行α次幂的运算。
12、进一步,所述将数据拥有者的密钥组件存储至区块链星际文件端,并通过aes算法进行加密处理,生成访问控制树这一步骤,其具体包括:
13、通过aes算法和密钥组件对数据拥有者的明文进行加密处理,得到明文密文;
14、将明文密文上传至区块链星际文件端,生成明文密文的存储地址哈希;
15、定义访问树结构,通过aes算法对密钥组件进行加密处理,得到密钥密文;
16、结合明文密文、明文密文的存储地址哈希与密钥密文,生成访问控制树。
17、进一步,所述访问树结构包括一个根节点与若干叶节点,根节点与叶节点均具有对应的多项式,其中:
18、根据自上而下方式对访问树结构的节点进行设置多项式,其中,设置多项式的次数比预设阈值小1;
19、对于根节点r,随机选取一个随机数s∈zp并令qr(0)=s,为根节点多项式选取dr个其他点,确定根节点完全多项式;
20、对于若干叶节点x,令qx(0)=qparent(x)(index(x)),为叶节点多项式随机选取dx个其他点,确定叶节点完全多项式。
21、进一步,所述访问控制树的表达式具体如下所示:
22、
23、上式中,challenge表示访问控制树,key表示密钥,表示访问树结构,ct表示明文密文,hashct表示明文密文的存储地址哈希,y表示叶节点集合,,y表示访问控制树的叶子节点,表示加密aes密钥产生的密文,e(g,g)αs表示关键参数之一,表示加密数据地址产生的密文,c和hs表示关键参数之一,表示叶子节点y在群上的映射,表示叶子节点y对的属性元素的哈希变换。
24、进一步,所述基于访问控制树,通过门限秘密共享算法生成数据拥有者的可验证声明请求并通过密钥生成代理进行公示,得到公示的数据拥有者可验证声明请求这一步骤,其具体包括:
25、基于访问控制树,通过门限秘密共享算法将数据拥有者的明文密文与数据拥有者的密钥密文表示为数据拥有者多项式;
26、将数据拥有者多项式的系数作为子秘密,得到若干子秘密;
27、将若干子秘密通过密钥生成代理进行公示,得到公示的数据拥有者可验证声明请求。
28、进一步,所述数据拥有者多项式的表达式具体如下所示:
29、f1(x)=[gα/β+a1x1+a2x2+…+a(t-1)xt-1]mod p
30、上式中,f1(x)表示数据拥有者多项式,a1、a2、a(t-1)表示多项式系数,x表示访问控制树的节点,p表示素数。
31、进一步,所述对公示的数据拥有者可验证声明请求与数据使用者的数据访问请求进行属性认证,对认证通过的数据使用者发放数据拥有者的密钥组件这一步骤,其具体包括:
32、将数据使用者的数据访问请求转换为数据使用者的可验证声明并发送至密钥生成代理;
33、基于密钥生成代理的智能合约对数据使用者的可验证声明进行验证,生成验证声明的验证结果;
34、若干密钥生成代理广播各自的验证声明的验证结果,并将验证声明的验证结果中为真的验证结果进行组合,得到密钥可信群组;
35、计算密钥可信群组的随机数并对认证通过的数据使用者发放数据拥有者的密钥组件。
36、进一步,所述通过门限秘密恢复算法对数据拥有者的密钥组件进行解密,完成系统的访问控制这一步骤,其具体包括:
37、通过门限秘密恢复算法构造数据使用者多项式并获取数据使用者的本地属性私钥;
38、结合数据使用者的本地属性私钥、访问控制树和访问树结构的节点,通过递归算法进行计算,得到递归计算结果;
39、将递归计算结果输入至数据使用者多项式,得到恢复密钥;
40、根据恢复密钥获取明文密文的存储地址哈希;
41、根据明文密文的存储地址哈希下载对应本文档来自技高网...
【技术保护点】
1.一种基于自主管理身份和属性基加密的访问控制方法,由数据拥有者、数据使用者、属性权威机构、密钥生成代理和区块链星际文件端构成的系统进行实现,其特征在于,包括以下步骤:
2.根据权利要求1所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述数据拥有者的密钥组件的表达式具体如下所示:
3.根据权利要求1所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述将数据拥有者的密钥组件存储至区块链星际文件端,并通过AES算法进行加密处理,生成访问控制树这一步骤,其具体包括:
4.根据权利要求3所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述访问树结构包括一个根节点与若干叶节点,根节点与叶节点均具有对应的多项式,其中:
5.根据权利要求3所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述访问控制树的表达式具体如下所示:
6.根据权利要求1所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述基于访问控制树,通过门限秘密共享算法生成数据拥有者的可验证声明
7.根据权利要求6所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述数据拥有者多项式的表达式具体如下所示:
8.根据权利要求7所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述对公示的数据拥有者可验证声明请求与数据使用者发起数据访问请求进行属性认证,对认证通过的数据使用者发放数据拥有者的密钥组件这一步骤,其具体包括:
9.根据权利要求8所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述通过门限秘密恢复算法对数据拥有者的密钥组件进行解密,完成系统的访问控制这一步骤,其具体包括:
10.根据权利要求9所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述数据使用者多项式的表达式具体如下所示:
...【技术特征摘要】
1.一种基于自主管理身份和属性基加密的访问控制方法,由数据拥有者、数据使用者、属性权威机构、密钥生成代理和区块链星际文件端构成的系统进行实现,其特征在于,包括以下步骤:
2.根据权利要求1所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述数据拥有者的密钥组件的表达式具体如下所示:
3.根据权利要求1所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述将数据拥有者的密钥组件存储至区块链星际文件端,并通过aes算法进行加密处理,生成访问控制树这一步骤,其具体包括:
4.根据权利要求3所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述访问树结构包括一个根节点与若干叶节点,根节点与叶节点均具有对应的多项式,其中:
5.根据权利要求3所述一种基于自主管理身份和属性基加密的访问控制方法,其特征在于,所述访问控制树的表达式具体如下所示:
6.根据权利要求1所述一种基于自主管理身份和属性基加...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。