基于CP‑ABE的权限动态更新集中信息安全访问方法和装置制造方法及图纸

本发明专利技术公开了一种基于CP‑ABE的权限动态更新集中信息安全访问方法和装置，其方法包括初始化用户身份信息、可信通信功能和CP‑ABE并部署集中信息安全控制点；维护申请加密者和解密者的权限，并确立用户加密权限属性范围，生成并发送与身份ID相应的权限属性私钥；根据权限属性私钥，构建加密者和解密者与集中信息安全控制点的安全传输通道；根据用户加密权限属性范围，通过安全传输通道提交待加密的明文资料和解密方法至集中信息安全控制点；其装置包括集中信息安全控制设备和用户Ukey；集中信息安全控制设备包括身份校验模块、权限管理模块、CP‑ABE模块和安全传输模块；该基于信息方法和装置根据属性加解密，灵活应对解密者属性变化，具有较高的安全性和可靠性。

Dynamic CP ABE update permissions centralized access method and device based on Information Security

The invention discloses a dynamic access CP based on ABE update information security access method and device, the method includes initialization of user identity information, trusted communication function and CP ABE and the deployment of information security control points for encryption and decryption; maintain the rights, and establish user encryption permissions range. Generate and send private key and identity permission attribute corresponding to the ID; according to the permissions of private key encryption and decryption, construction and centralized security transmission channel information security control point; according to user permissions of encryption, decryption method and data submitted to the plaintext to be encrypted to information security control points through the secure transmission channel; the device including information security control equipment and user Ukey; information security control device includes identity verification module, rights management module, CP ABE module and secure transmission module; the method and device based on information according to the attributes of encryption, decryption flexible properties change, with high safety and reliability.

【技术实现步骤摘要】
基于CP-ABE的权限动态更新集中信息安全访问方法和装置
本专利技术具体涉及一种基于CP-ABE的权限动态更新集中信息安全访问方法和装置。
技术介绍
随着互联网技术的发展和普及，在开放的分布式环境中需要进行数据共享和处理的需求越来越多，尤其在网络应用如此广泛丰富的今天，以地理区域、公司、部门等为局域网范围的网络节点从几十到上万个节点不等，其数据共享行为是非常普遍的；因此，在数据共享和资源访问方面，制定灵活可扩展的访问控制策略和保证共享数据机密性的需求日渐迫切。对此Sahai和Waters在基于双线性对技术的加密机制上提出属性基加密，其功能在于利用属性加密；然而，现有的独立授权的CP-ABE系统和授权分布的CP-ABE系统具有以下缺点：1、独立授权的CP-ABE系统中私钥属性的动态性增加了私钥撤销的开销和难度，如：用户从有权限的属性状态转变为无权限的属性状态，而用户仍然保留旧的高权限私钥；除非全网更新公共参数，否则无法感知用户使用原私钥进行非法操作；而授权集中的模式虽然解决了属性动态变化的问题，但如果有大量用户请求解密，作为加密者兼即时私钥授权者的用户需要处理大量的身份审核，生成私钥，本文档来自技高网...

【技术保护点】
一种基于CP‑ABE的权限动态更新集中信息安全访问方法，其特征在于，包括：S1、初始化用户身份信息、可信通信功能和CP‑ABE，并部署集中信息安全控制点；S2、维护申请加密者和解密者的权限，并确立用户加密权限属性范围，生成并发送与身份ID相应的权限属性私钥；S3、根据所述权限属性私钥，构建加密者和解密者与集中信息安全控制点的安全传输通道；S4、根据用户加密权限属性范围，通过所述安全传输通道提交待加密的明文资料和解密方法至所述集中信息安全控制点；S5、通过所述安全传输通道提交解密者自身属性和待解密资料至所述集中信息安全控制点，提取明文资料。

【技术特征摘要】
1.一种基于CP-ABE的权限动态更新集中信息安全访问方法，其特征在于，包括：S1、初始化用户身份信息、可信通信功能和CP-ABE，并部署集中信息安全控制点；S2、维护申请加密者和解密者的权限，并确立用户加密权限属性范围，生成并发送与身份ID相应的权限属性私钥；S3、根据所述权限属性私钥，构建加密者和解密者与集中信息安全控制点的安全传输通道；S4、根据用户加密权限属性范围，通过所述安全传输通道提交待加密的明文资料和解密方法至所述集中信息安全控制点；S5、通过所述安全传输通道提交解密者自身属性和待解密资料至所述集中信息安全控制点，提取明文资料。2.根据权利要求1所述的基于CP-ABE的权限动态更新集中信息安全访问方法，其特征在于：所述用户身份信息包括经过身份属性密钥arrtr_key加密的身份属性信息和身份ID，所述信息安全控制点上对应部署有arrtr_key密钥。3.根据权利要求1所述的基于CP-ABE的权限动态更新集中信息安全访问方法，其特征在于：所述可信通信功能初始化包括可信初始化和加密初始化；所述可信初始化的具体步骤包括在集中信息安全控制点上部署一对公私钥，其中私钥secur_pri不进行泄露，公钥secur_pub在可信通信功能初始化阶段下发至用户；所述加密初始化的具体步骤包括通过DH算法建立加密密钥至加密通道，在可信通信功能初始化阶段，用户和集中信息安全控制点分别存储共同DH参数。4.根据权利要求1所述的基于CP-ABE的权限动态更新集中信息安全访问方法，其特征在于，所述CP-ABE初始化的具体步骤为：根据输入的安全参数λ建立两个阶数为素数q的椭圆曲线群G1、G2，以及一双线性对e:G1×G1→G2；并选择一y，t1，…，tn∈Zq，Zq为{0，……q-1}的阶乘集合，q为预设参数；令CP-ABE的公钥ABE_public为(T1＝gt1，…，Tn＝gtn，Y＝e(g，g)y)，其中公式中Y为满足关系e(ga，gb)＝e(g,g)ab的关系集合，g，a，b任意大整数，g，a，b∈G1；CP-ABE的主秘钥为master_key为(y，t1，…tn)。5.根据权利要求1所述的基于CP-ABE的权限动态更新集中信息安全访问方法，其特征在于，所述S2的具体步骤为：S21、对经过身份属性密钥arrtr_key加密的身份ID的权限进行提升或降低；S22、对申请加密者进行权限审查；通过集中信息安全控制点对用户的权限信息进行比对和审查，为申请者提供对应的加密权限属性范围；其加密权限属性范围为：如低权限者对文件进行加密，而高权限者要求必须能够解密；或低权限者对高权限者的某一属性范围规定加密，而不能感知具体的个体信息；S23、对申请解密者进行权限提取；通过集中信息安全控制点接收解密申请者发来的解密申请，并根据其身份ID提取相应的所有权限属性，提供给CP-ABE，生成相应的权限属性私钥。6.根据权利要求1所述的基于CP-ABE的权限动态更新集中信息安全访问方法，其特征在于：所述加密者与集中信息安全控制点的安全传输通道构建步骤包括：S311、发起申请信息加密行为，经公钥secur_pub加密，生成本地私钥DH_priv1，并发送至集中信息安全控制点；其中，所述申请信息包括身份ID，身份属性密钥arrtr_key加密的身份属性信息和DH加密需要的公钥DH_pub1；S312、接收所述申请信息，利用私钥secur_pri对所述申请信息进行解密，再通过身份属性密钥arrtr_key对申请者的身份属性信息进行解密，根据比对解密后的身份属性，判断申请人的合法性；其...

【专利技术属性】
技术研发人员：韩子龙，张帆，周志远，熊浩，曾闽棋，
申请(专利权)人：深圳市风云实业有限公司，
类型：发明
国别省市：广东,44