【技术实现步骤摘要】
本专利技术涉及密文访问控制(即加密并控制用户的解密能力)技术,具体涉及一种基于CP-ABE的密文访问控制方法,其属于信息安全领域。
技术介绍
随着信息技术与网络技术发展的日新月异,分布式应用得到了越来越广泛的应用,但对于应用中的敏感数据,必须通过密文访问控制(即加密并控制用户的解密能力)来实现信息的安全共享。传统的加密体制如PKI(Public Key Infrastructure,公钥基础设施)及基于身份加密体制IBE的加密,在分布式应用中得到了广泛的应用。传统加密体制首先必须列举共享群体中的用户并获取其公钥,并须针对每一用户利用其公钥生成密文,加密次数就是共享群体中的用户数。然后,共享用户接收到密文后,各自用私钥解密得到共享信息的明文。但是,在一些分布式的网络应用中,由于系统在地域上的广泛分布,信息共享的群体可能遍布全国甚至全球;或者是共享群体中的个体数量会极其庞大,不仅难以列举,还可能损害用户隐私;又或者共享群体中的成员是由一些符合某种特定条件的个体组成,根本不能列举。而信息共享的需求不仅安全性要求高,效率也有很高要求。面对这种情形,传统加密体制无能为力,不能满足信息共享的安全需求。CP-ABE算法能够制定灵活的访问策略而更加适于分布式环境下的密文访问控制,加密方加密信息时不需知道具体是谁解密,而解密方只需符合相应条件便可解密。国内外许多学者对CP-ABE算法进行研究,L.Cheung等人通过给出固定大小的访问控制表达树提出了一个CP-ABE方案,实现了作用于正属性与负属性上的and门访问结构,表达能力得到了改善。B. Waters提出的CP-AB...
【技术保护点】
一种基于CP‑ABE的密文访问控制方法,其特征在于:其包括如下步骤:步骤1、进行准备和维护工作,其包括密文策略的属性加密体制(Ciphertext‑Policy Attribute‑Based Encryption,CP‑ABE)的初始化、用户注册与审核、产生系统和用户的用于签名和加密的非对称密钥对、生成用户的CP‑ABE属性密钥SK以及密钥与属性证书( Attribute Certificate,AC)管理;步骤2、文档共享需要文档提供者、可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)访问控制系统及共享用户三者协同工作,具体工作如下:1)共享文档提供者的工作:文档提供者首先需要制定共享用户应满足的条件,即访问结构,以及环境与策略约束条件,然后采用混合加密机制,用文档提供者的访问结构对文档的会话密钥Key进行CP‑ABE加密和签名,再用Key对文档内容加密,形成加密信息包,并将加密信息包交给XACML访问控制系统准备传输给共享用户;2)XACML访问控制系统的工作:策略强制点(Policy enforcement...
【技术特征摘要】
1.一种基于CP-ABE的密文访问控制方法,其特征在于:其包括如下步骤:步骤1、进行准备和维护工作,其包括密文策略的属性加密体制(Ciphertext-Policy Attribute-Based Encryption,CP-ABE)的初始化、用户注册与审核、产生系统和用户的用于签名和加密的非对称密钥对、生成用户的CP-ABE属性密钥SK以及密钥与属性证书( Attribute Certificate,AC)管理;步骤2、文档共享需要文档提供者、可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)访问控制系统及共享用户三者协同工作,具体工作如下:1)共享文档提供者的工作:文档提供者首先需要制定共享用户应满足的条件,即访问结构,以及环境与策略约束条件,然后采用混合加密机制,用文档提供者的访问结构对文档的会话密钥Key进行CP-ABE加密和签名,再用Key对文档内容加密,形成加密信息包,并将加密信息包交给XACML访问控制系统准备传输给共享用户;2)XACML访问控制系统的工作:策略强制点(Policy enforcement point,PEP)接收用户的共享请求和认证评估信息,形成XACML判决请求后发给策略决定点(Policy decision point,PDP);PDP根据用户认证信息及由策略管理点(Policy administration point,PAP)、策略信息点(Policy information point,PIP)传过来的策略及相关属性值进行判决,并将判决结果传回PEP;若判决结果为允许则XACML访问控制系统将加密信息包传送给用户,否则或判决过程有任何签名验证不成功、解密不成功情形发生,XACML访问控制系统便拒绝将加密信息包传送给用户;3)共享用户的工作:用户收到XACML访问控制系统发来的加密信息包后,要先验证会话密钥Key的签名,通过后用CP-ABE解密得到Key;然后用Key对共享文件解密得到明文;期间若签名验证不成功则会中断后面的步骤,并且用户只有符合共享文档提供者制定的条件才能正确解密会话密钥Key。2.根据权利要求1所述的一种基于CP-ABE的密文访问控制方法,其特征在于:所述步骤1准备和维护工作中,其包括:①完成CP-ABE的初始化,产生系统公共参数PK和主密钥MK;②生成系统授权管理员的基于身份加密(Identity Based Encryption,IBE)机制的非对称密钥对作为系统非对称密钥对,一对用于系统加密,一对用于签名,两对密钥均存于系统授权管理员的专用安全设备USB key中;③完成用户注册;④审核用户注册信息;⑤生成用户的IBE非对称密钥对,一对用于加密,一对用于签名,两对密钥均存于用户的专用安全设备USB key中;⑥系统和用户PKI及IBE密钥对的存储、更新及管理;⑦生成用户属性证书( Attribute Certificate,AC),存入轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)证书库中;⑧由用户属性证书AC获取用户属性集合S,根据用户属性集合S及系统主密钥MK生成该用户的CP-ABE属性密钥SK,SK=KeyGen(MK,S),SK存于用户的专用安全设备USB key中;⑨对属性证书进行存储及管理,所述属性证书包括两部分:即属性证书AC及其扩展即属性描述符证书(Attribute Descriptor Certificate,ADC)。3.根据权利要求1或2所述的一种基于CP-ABE的密文访问控制方法,其特征在于:所述步骤2中,1)在共享文档提供者的工作中,具体步骤如下:1-1、文档提供者制定共享用户应满足的条件即访问结构,并将其形成可扩展的标记语言(eXtensible Markup Language,XML)文档,用文档提供者的IBE私钥签名、系统公钥加密后存储在其名下的属性描述符证书ADC中;1-2、文档提供者制定环境与策略约束条件,形成XACML策略文件,并也用其IBE私钥签名、系统公钥加密;1-3、会话密钥Key采用混合加密机制,利用文档提供者属性描述符证书ADC中的访问结构对文档的会话密钥Key进行CP-ABE加密,用Key对文档内容加密,形成加密信息包;1-4、文档提供者将加密信息包交给XACML访问控制系统准备传输给共享用户。4.根据权利要求3所述的一种基于CP-ABE的密文访问控制方法,其特征在于:所述步骤2中,1)在共享文档提供者的工作的步骤1-3中,利用文档提供者属性描述符证书ADC中的访问结构对文档进行CP-ABE加密形成加密信息包的方法如下:1-3-1、生成会话密钥Key;1-3-2、 用会话密钥Key对要共享的电子文档M的内容进行加密,形成密文E(F);1-3-3、用文档提供者的...
【专利技术属性】
技术研发人员:周彦萍,黎彤亮,赵环宇,马艳东,慕晓蕾,万仲飞,辛凤艳,
申请(专利权)人:河北省科学院应用数学研究所,
类型:发明
国别省市:河北;13
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。