一种非交互式加密访问控制方法技术

本发明专利技术公开了一种非交互式加密访问控制方法，包括：S1，信任中心进行数据初始化，获得系统公钥PK和系统主密钥MK；S2，信任中心根据系统公钥PK、系统主密钥MK和用户属性集合S，获得与用户属性集合S对应的用户私钥SK；S3，数据所有者根据系统公钥PK、访问策略P，获得明文M在访问策略P下的密文CT，将所述密文CT存入第三方存储平台；S4，当数据所有者需要更新访问策略时，根据当前访问策略P和新访问策略P’，获得一个公开更新组件PUC；S5，将所述的公开更新组件PUC发送至第三方存储平台，获得与新访问策略P’对应的新密文CT’。本发明专利技术可以实现任意次的修改访问策略，同时节省通信开销。

A non interactive encryption access control method

【技术实现步骤摘要】
一种非交互式加密访问控制方法
本专利技术涉及一种非交互式加密访问控制方法，属于加密访问控制

技术介绍
传统的访问控制方法要求在区分内部与外部的边界处设定访问控制策略，以约束外部用户对内部数据的访问权限。但当数据需要存储在外部第三方时，传统的访问控制方法就会失效。因为无论数据的所有者如何设定访问控制策略，存储数据的第三方有能力无视该规则任意查看数据。这就要求数据所有者必须信任数据存储方。在很多应用领域，比如云存储，数据所有者多是虽然不信任云存储平台但为了数据可以分享给他的客户而只能选择将数据存放在云平台上。对数据所有者来说，能够期盼的就只有数据存储平台按照他们的协议不去偷看自己的数据。针对这种新型应用场景，加密访问控制的技术目标是在假设云平台提供存储功能但时刻准备偷取数据所有者存储的敏感数据的情况下，既为数据所有者提供访问控制功能又防止云平台非法获取数据。如果连云平台本身都无法非法获取数据，那么对云平台的入侵导致的结果无论如何都不会比云平台本身作恶泄露出更多的敏感数据。所以加密访问控制是未来访问控制技术发展的重要方向。目前，加密本文档来自技高网...

【技术保护点】
1.一种非交互式加密访问控制方法，其特征在于，包括以下步骤：/nS1，信任中心进行数据初始化，根据输入的安全参数，获得系统公钥PK和系统主密钥MK；/nS2，信任中心根据系统公钥PK、系统主密钥MK和用户属性集合S，获得与用户属性集合S对应的用户私钥SK；/nS3，数据所有者根据系统公钥PK、访问策略P，获得明文M在访问策略P下的密文CT，将所述密文CT存入第三方存储平台；/nS4，当数据所有者需要更新访问策略时，根据当前访问策略P和新访问策略P’，获得一个公开更新组件PUC；/nS5，将所述的公开更新组件PUC发送至第三方存储平台，对其存储的原始密文CT进行更新，获得与新访问策略P’对应的新...

【技术特征摘要】
1.一种非交互式加密访问控制方法，其特征在于，包括以下步骤：
S1，信任中心进行数据初始化，根据输入的安全参数，获得系统公钥PK和系统主密钥MK；
S2，信任中心根据系统公钥PK、系统主密钥MK和用户属性集合S，获得与用户属性集合S对应的用户私钥SK；
S3，数据所有者根据系统公钥PK、访问策略P，获得明文M在访问策略P下的密文CT，将所述密文CT存入第三方存储平台；
S4，当数据所有者需要更新访问策略时，根据当前访问策略P和新访问策略P’，获得一个公开更新组件PUC；
S5，将所述的公开更新组件PUC发送至第三方存储平台，对其存储的原始密文CT进行更新，获得与新访问策略P’对应的新密文CT’；
S6，数据访问者输入系统公钥PK、密文和用户私钥SK，如果用户私钥SK对应的属性集合S满足密文对应的访问策略的要求，则输出明文M，否则输出乱码。


2.根据权利要求1所述的非交互式加密访问控制方法，其特征在于，步骤S4包括以下步骤：
S41，将从当前访问策略P向新访问策略P’转换的过程分解为一系列原子更新的过程，每个原子更新只改变一个属性以及该属性相关的逻辑连接符；
S42，在原子更新过程中，根据以下四种情况——删除连接符or和属性、删除连接符and和属性、增加连接符or和属性、增加连接符and和属性，对相应的属性做标记，标记为delete、multiply或add；
S43，基于对属性所做的标记，将其作为触发条件，利用状态转移图处理从P到P’的原子更新序列，记录并更新相应的状态和策略密文组件，从而获得最终的策略密文组件，作为公开更新组件PUC；所述的相应的状态包括：Delete，Add，Multiply、Replace。


3.根据权利要求2所述的非交互式加密访问控制方法，其特征在于，步骤S3包括：数据所有者根据系统公钥PK、数据所有者的密文更新密钥OUK、访问策略P，获得明文M在访问策略P下的密文CT，将所述密文CT存入第三方存储平台；步骤S42具体包括：
a.若删除策略Pj-1中的连接符or和属性A，则设A＝ρ(o)，直接删除属性A对应的密文组件(C1，o，...，Ct，o)，然后给属性A标记delete；
b.若删除Pj-1中的连接符and和属性A，则设A＝ρ(o)，先删除A对应的密文组件(C1，o，…，Ct，o)，然后计算PRF(OUK，CID)，恢复然后计算式中，是矩阵W的第o行元素组成的向量，是一个向量，其定义为s∈Zp是要共享的秘密，y2，...，yn∈Zp是随机数；令N(Pj-1，A)代表删除A后需要改变对应向量的属性的集合，对属性ρ(i)∈N(Pj-1，A)，(C1，o，…，Ct，o)以和加密算法相同的方式更新，并用λo替代原本的λi，然后给每个属性ρ(i)∈N(Pj-1，A)标记multiply，给属性A标记delete；所述的OUK为数据所有者的密文更新密钥，CID为随机数，CID∈Zp；
c.若增加连接符or和属性A到Pj-1中，则计算策略P的根节点对应的向量然后计算PRF(0UK，CID)，恢复计算再设A＝ρ(o)，直接令λo＝λx，以和加密算法相同的方式计算A对应的新密文组件(C1，o，…，Ct，o)，然后给属性A标记add；
d.若增加连接符and和属性A到Pj-1中，则计算PRF(0UK，CID)，恢复在后边选择随机数yo，设A＝ρ(o)，选择随机数yo，令λo＝-yo，以和加密算法相同的方式计算A对应的新密文组件(C1，o，...，Ct，o)，然后给属性A标记add；令N(Pj-1，A)代表增加A后需要改变对应向量的属性的集合，对属性ρ(i)∈N(Pj-1，A)，以和加密算法相同的方式计算(C1，o，...，Ct，o)，并用yo替代原本的λi，然后给每个属性ρ(i)∈N(Pj-1，A)标记multiply。


4.根据权利要求3所述的非交互式加密访问控制方法，其特征在于，进行策略更新时，策略矩阵W对应的通过以下方式进行更新：
首先，更新被删除或者新增加节点的兄弟节点对应的向量：
1)对于删除一个or连接的节点，直接移除被删除节点对应的向量；
2)对于删除一个and连接的节点，移除被删除节点的向量后，该向量被加到它的兄弟节点上；
3)对于新增一个or连接的节点，将其兄弟节点对应的向量赋给它即可；
4)对于新增一个and连接的节点，把它的对应向量设置为(0，...，0|-1)，把(0，...，0|1)加到它的兄弟节点对应的向量上，0的个数与当前向量长度相同；
其次，更新兄弟节点的后代节点对应的向量：若向量被加到某节点后，设其为当前节点，向下处理——如果当前节点是and，把加到它的任一个子节点对应的向量上；如果当前节点是or，把加到它的两个子节点对应的向量上；如果当前节点是叶...

【专利技术属性】
技术研发人员：袁巍，
申请(专利权)人：高秀芬，
类型：发明
国别省市：北京;11