【技术实现步骤摘要】
本申请涉及信息安全,特别是涉及基于cp-abe实现细粒度访问及密钥委托的访问系统。
技术介绍
1、cp-abe(ciphertext-policy attribute-based encryption,基于密文策略属性的加密)是一种安全的一对多非对称加密方案(一个加密对多个解密,或一个解密对多个加密),其中作为加密方的委托方的目标资源的访问控制是根据用户(受委托方,可作为解密方)所具有的属性来定义的,用户所具有的属性可以决定用户所能够访问目标资源的权限。密钥委托是cp-abe的重要需求,密钥委托的过程中,委托方可以将委托方的全部权限委托给受委托方,受委托方使用这些权限可以访问委托方的目标资源。
2、然而,目前具有细粒度密钥委托的需求,例如:病人的医生是委托方,医生不必将全部权限委托给受委托方,而是仅仅将部分权限委托给受委托方即可,如:医生可能只需要给护士阅读病人相关信息的权限,而不必将所有的权限(如:治疗病人,或者修改病人相关信息等等)均委托给护士。
3、可见,相关技术中,委托方只能将全部权限委托给受委托方,无法满足细粒度密钥委托的需求,从而无法满足细粒度的访问控制。
技术实现思路
1、本申请实施例的目的在于提供一种基于cp-abe实现细粒度访问及密钥委托的访问系统,以满足细粒度的访问控制。具体技术方案如下:
2、第一方面,本申请实施例提供了一种基于cp-abe实现细粒度访问及密钥委托的访问系统,包括:中心服务器、云服务器、可信中介、作为资源委托
3、所述中心服务器,用于根据所述第一用户端的用户属性集和身份信息,以及系统初始化参数,生成所述第一用户端所需的目标解密密钥,并下发至所述第一用户端;以及,将所述第一用户端对应的委托关系信息记录于目标跟踪列表;其中,所述委托关系信息用于表征所述第一用户端进行密钥委托时所允许委托至的用户端的信息;所述系统初始化参数包括公共参数和主密钥;
4、所述第一用户端,用于接收所述目标解密密钥;确定对于目标资源的不同访问权限的各访问密钥;对各访问权限的访问密钥进行加密,得到密钥数组;根据所述密钥数组、公共参数以及用于表征所述目标资源的关于各个访问权限的访问控制策略的访问树结构,生成所述目标资源的目标密文,并将所述目标密文上报至所述云服务器,以使所述云服务器存储所述目标密文;响应于针对目标资源需进行关于目标权限的密钥委托,将所述第二用户端的目标身份信息、具有目标权限的目标用户属性集以及所述目标解密密钥发送至可信中介;
5、所述可信中介,用于接收所述目标身份信息、所述目标解密密钥以及目标用户属性集,基于所述目标身份信息,访问所述中心服务器中的目标跟踪列表,得到所述第二用户端是否允许被委托的结果,若允许,根据所述目标解密密钥、所述第一用户端的身份信息、所述目标身份信息和目标用户属性集,生成对于所述目标资源的目标权限的目标委托密钥,并将所述目标委托密钥发送至第一用户端;
6、所述第一用户端,还用于将所述目标委托密钥发送至所述第二用户端;
7、所述第二用户端,用于接收所述目标委托密钥;以及响应于针对所述目标资源的访问指令,基于所述目标委托密钥,针对所述云服务器中的目标密文,解密出关于目标权限的目标访问密钥,并基于所述目标访问密钥,针对所述目标密文所包含的目标资源进行关于所述目标权限的访问。
8、第二方面,本申请实施例提供了一种基于cp-abe实现细粒度访问及密钥委托的访问方法,应用于作为资源委托方的第一用户端;所述方法包括:
9、接收所述目标解密密钥;确定对于目标资源的不同访问权限的各访问密钥;对各访问权限的访问密钥进行加密,得到密钥数组;根据所述密钥数组、公共参数以及用于表征所述目标资源的关于各个访问权限的访问控制策略的访问树结构,生成所述目标资源的目标密文,并将所述目标密文上报至所述云服务器,以使所述云服务器存储所述目标密文;其中,所述目标解密密钥为中心服务器根据所述第一用户端的用户属性集和身份信息,以及系统初始化参数,生成所述第一用户端所需的目标解密密钥;所述中心服务器还将所述第一用户端对应的委托关系信息记录于目标跟踪列表;所述委托关系信息用于表征所述第一用户端进行密钥委托时所允许委托至的用户端的信息;所述系统初始化参数包括公共参数和主密钥;
10、响应于针对目标资源需进行关于目标权限的密钥委托,将作为受托者方的第二用户端的目标身份信息、具有目标权限的目标用户属性集以及所述目标解密密钥发送至可信中介,以使所述可信中介接收所述目标身份信息、所述目标解密密钥以及目标用户属性集,基于所述目标身份信息,访问所述中心服务器中的目标跟踪列表,得到所述第二用户端是否允许被委托的结果,若允许,根据所述目标解密密钥、所述第一用户端的身份信息、所述目标身份信息和目标用户属性集,生成对于所述目标资源的目标权限的目标委托密钥,并将所述目标委托密钥发送至第一用户端;
11、将所述目标委托密钥发送至所述第二用户端;以使所述第二用户端接收所述目标委托密钥;以及响应于针对所述目标资源的访问指令,基于所述目标委托密钥,针对所述云服务器中的目标密文,解密出关于目标权限的目标访问密钥,并基于所述目标访问密钥,针对所述目标密文所包含的目标资源进行关于所述目标权限的访问。
12、第三方面,本申请实施例提供了一种基于cp-abe实现细粒度访问及密钥委托的访问装置,应用于作为资源委托方的第一用户端;所述装置包括:
13、生成模块,用于接收所述目标解密密钥;确定对于目标资源的不同访问权限的各访问密钥;对各访问权限的访问密钥进行加密,得到密钥数组;根据所述密钥数组、公共参数以及用于表征所述目标资源的关于各个访问权限的访问控制策略的访问树结构,生成所述目标资源的目标密文,并将所述目标密文上报至所述云服务器,以使所述云服务器存储所述目标密文;其中,所述目标解密密钥为中心服务器根据所述第一用户端的用户属性集和身份信息,以及系统初始化参数,生成所述第一用户端所需的目标解密密钥;所述中心服务器还将所述第一用户端对应的委托关系信息记录于目标跟踪列表;所述委托关系信息用于表征所述第一用户端进行密钥委托时所允许委托至的用户端的信息;所述系统初始化参数包括公共参数和主密钥;
14、第一发送模块,用于响应于针对目标资源需进行关于目标权限的密钥委托,将作为受托者方的第二用户端的目标身份信息、具有目标权限的目标用户属性集以及所述目标解密密钥发送至可信中介,以使所述可信中介接收所述目标身份信息、所述目标解密密钥以及目标用户属性集,基于所述目标身份信息,访问所述中心服务器中的目标跟踪列表,得到所述第二用户端是否允许被委托的结果,若允许,根据所述目标解密密钥、所述第一用户端的身份信息、所述目标身份信息和目标用户属性集,生成对于所述目标资源的目标权限的目标委托密钥,并将所述目标委托密钥发送至第一用户端;
15、第二发送模块,用于将所述本文档来自技高网...
【技术保护点】
1.一种基于CP-ABE实现细粒度访问及密钥委托的访问系统,其特征在于,包括:中心服务器、云服务器、可信中介、作为资源委托方的第一用户端以及作为受托者方的第二用户端;
2.根据权利要求1所述的系统,其特征在于,所述第二用户端基于所述目标委托密钥,针对所述云服务器中的目标密文,解密出关于目标权限的目标访问密钥,具体为:
3.根据权利要求2所述的系统,其特征在于,所述中心服务器中还存储有目标功能列表;其中,所述目标功能列表为用于记录第一用户端针对第二用户端所允许访问资源的访问次数;
4.根据权利要求3所述的系统,其特征在于,所述可信中介基于所述中心服务器中的目标功能列表所记录的目标访问次数所表征的次数,识别所述第二用户端当前所剩余的访问次数是否为零之前,还用于:
5.根据权利要求1所述的系统,其特征在于,所述中心服务器根据所述第一用户端的用户属性集和身份信息,以及系统初始化参数,生成所述第一用户端所需的目标解密密钥,具体为:
6.根据权利要求1所述的系统,其特征在于,所述可信中介根据所述目标解密密钥、所述第一用户端的身份信息
7.一种基于CP-ABE实现细粒度访问及密钥委托的访问方法,其特征在于,应用于作为资源委托方的第一用户端;所述方法包括:
8.一种基于CP-ABE实现细粒度访问及密钥委托的访问装置,其特征在于,应用于作为资源委托方的第一用户端;所述装置包括:
9.一种电子设备,其特征在于,包括:
10.一种包含指令的计算机程序产品,其特征在于,当其在计算机上运行时,使得计算机执行权利要求7所述的方法。
...【技术特征摘要】
1.一种基于cp-abe实现细粒度访问及密钥委托的访问系统,其特征在于,包括:中心服务器、云服务器、可信中介、作为资源委托方的第一用户端以及作为受托者方的第二用户端;
2.根据权利要求1所述的系统,其特征在于,所述第二用户端基于所述目标委托密钥,针对所述云服务器中的目标密文,解密出关于目标权限的目标访问密钥,具体为:
3.根据权利要求2所述的系统,其特征在于,所述中心服务器中还存储有目标功能列表;其中,所述目标功能列表为用于记录第一用户端针对第二用户端所允许访问资源的访问次数;
4.根据权利要求3所述的系统,其特征在于,所述可信中介基于所述中心服务器中的目标功能列表所记录的目标访问次数所表征的次数,识别所述第二用户端当前所剩余的访问次数是否为零之前,还用于:
5.根据权利要求1所述的系统,其特征在于,所述...
【专利技术属性】
技术研发人员:王滨,王星,殷世峰,赖凌志,李超,
申请(专利权)人:杭州海康威视数字技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。