【技术实现步骤摘要】
边缘计算中可撤销与策略更新的属性加密方法
[0001]本专利技术涉及信息安全与物联网访问控制领域,具体为边缘计算中 可撤销与策略更新的属性加密系统。针对边缘环境的数据安全设计了 数据拥有方与用户的加解密模块与边缘节点验证的模块。
技术介绍
[0002]访问控制主要在于数据拥有与申请双方属性信息是否匹配。通过 将用户访问策略结构与用户属性产生强关联性,将访问控制的主动权 交由数据拥有者,将数据拥有者属性集嵌入密文访问结构中,只有当 用户属性集满足数据拥有者所设定的访问策略时方能成功解密。
[0003]方案通过LSSS代替CP
‑
ABE中的访问树对访问结构进行构建, 使方案访问结构更具灵活性,通过椭圆密码体制代替传统属性加解密 的双线性操作,减少用户在加解密过程中的多余计算开销。
[0004](1)群定义及其性质
[0005]假设有不为空的集合为G,及其定义相关的二元运算
·
,若集合G 满足下列四个性质,则判定集合G为一个群,并称该二元运算为该群 的乘法,该群为乘法群,...
【技术保护点】
【技术特征摘要】
1.一种边缘计算中可撤销与策略更新的属性加密方法,在多授权、解密外包的基础上,采用椭圆曲线代替双线性配对操作的方式,避免双线性带来的计算开销;边缘节点承担大部分解密操作,通过生成标识符绑定完成策略更新与属性用户撤销的功能,实现边缘计算环境下的访问控制,完成不同用户或不同属性上的访问控制更新需求,使得属性加密的访问控制具有动态性,其特征在于,具体方案步骤如下:步骤一,系统初始化算法包括2个子算法:全局初始化算法CA.Setup与属性机构算法AA.Setup;全局初始化算法CA.Setup(k)
→
(PP);该算法由中央授权机构运行;CA在初始化阶段设置安全参数k,并以此输出系统全局参数PP向全系统公开此参数,系统内所有设备均能共享此参数;同时CA向系统内全部属性授权机构与申请注册用户发放唯一标识符AID与UID;属性机构算法AA.Setup(PP)
→
(MK
AID,i
,PK
AID,i
);在本系统中具有多个属性授权机构;该算法由各个属性授权机构分别运行,每个AA具有独立分管的互不相交属性集合,其中AA所属属性集中的某一属性用i∈AA
AID,attr
表示,AA
AID,attr
表示属性授权机构AID的属性集;AID根据全局参数PP与属性集为自身输出公钥集合与私钥集合其中公钥集合向全系统公开;步骤二,密钥生成算法包括2个子算法:用户私钥生成算法DU.KeyGen与转换密钥生成算法AA.KeyGen;用户私钥生成算法DU.KeyGen(PP,UID,C)
→
(SK
UID
);该算法由数据用户运行,为自身生成私钥,将其发送给完全可信机构AA;转换密钥生成算法AA.KeyGen(PP,C,SK
UID
,MK
AID,i
)
→
(TK
UID,i
);该算法由属性授权机构与相关边缘节点共同运行;其中表示用户属性集中的具体属性;AA将DU申请中的用户属性集合C与用户私钥SK
UID
作为输入,同时将全局参数PP与属性机构私钥MK
AID,i
加入运算,生成转换密钥TK
UID,i
,绑定相应用户与属性;生成的属性转换密钥发送至数据用户DU的域内边缘节点处,由边缘节点DU整合与所有相关的转换密钥;最终生成并获得完整转换密钥TK
UID
;步骤三,数据加密算法包括2个子算法:数据预加密算法EN.Encrypt与数据终加密算法DO.Encrypt;数据预加密算法EN.Encrypt(PP,PK
UID
,(A,ρ))
→
(CT');该算法由数据拥有者DO的域内边缘节点运算;边缘节点为数据拥有者完成部分密文,减少DO在数据加密方面的计算开销;数据终加密DO.Encrypt(PP,M,(A,ρ),CT')
→
(CT);该算法由数据拥有者运行;DO首先使用对称加密密钥ck对明文进...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。