一种数据访问控制方法及属性权威服务器技术

本发明专利技术实施例提供了一种数据访问控制方法及属性权威服务器，涉及加密技术领域。该方法包括：接收客户端发送的秘钥颁发请求，秘钥颁发请求包括目标用户的统一标识符；根据统一标识符确定第一元素和第二元素，并向多属性权威系统中的其他属性权威服务器发送携带有第一元素和第二元素的第一参数消息；接收多属性权威系统中的其他属性权威服务器分别发送的携带有第三元素的第二参数消息，根据各第二参数消息中携带的第三元素生成为目标用户颁发的第一私钥；向客户端发送第一私钥。本发明专利技术实施例提供用于提供一种高效且安全的多属性权威方案。威方案。威方案。

【技术实现步骤摘要】
一种数据访问控制方法及属性权威服务器


[0001]本专利技术涉及加密
，尤其涉及一种数据访问控制方法及属性权威服务器。

技术介绍

[0002]现在的较为通用的一种多属性权威方案是，在加密的访问策略中，各个属性权威(Attribute Authority，AA)管理的属性可以随意组合，其可扩展性更高，能够适应更多的场景中。这种方案在实际落地中最重要的环节是数据加解密环节，而目前已有的加解密方案中有的方案在注重数据安全性时往往带来了额外的开销导致方案落地的效率非常差，另一种方案在注重效率性时忽视了数据安全性，又无法满足业务安全需求。
[0003]因此目前针对多属性权威方案的落地，急需提供一种高效且安全的解决方案。

技术实现思路

[0004]有鉴于此，本专利技术实施例提供了一种数据访问控制方法及属性权威服务器，用于提供一种高效且安全的多属性权威方案。
[0005]为了实现上述目的，本专利技术实施例提供技术方案如下：
[0006]第一方面，本专利技术的实施例提供了一种数据访问控制方法，应用于多属性权威系统中的第一属性权威服务器，所述方法包括：
[0007]接收客户端发送的秘钥颁发请求，所述秘钥颁发请求包括目标用户在所述多属性权威系统中的统一标识符；
[0008]根据所述统一标识符确定第一元素和第二元素，并向所述多属性权威系统中的其他属性权威服务器发送携带有所述第一元素和所述第二元素的第一参数消息；其中，所述第一元素和所述第二元素是经过哈希映射处理和盲化处理确定的；
[0009]接收所述多属性权威系统中的其他属性权威服务器分别发送的携带有第三元素的第二参数消息，所述第三元素是所述其他属性权威服务器基于所述第一元素和所述第二元素进行签名得到的签名数据；
[0010]根据各所述第二参数消息中携带的所述第三元素生成为所述目标用户颁发的第一私钥；
[0011]向所述客户端发送所述第一私钥；所述第一私钥用于解密与所述目标用户的属性相关的加密数据，所述加密数据是基于与所述第一私钥对应的公钥加密生成的。
[0012]第二方面，本专利技术实施例提供一种属性权威服务器，包括：
[0013]接收单元，用于接收客户端发送的秘钥颁发请求，所述秘钥颁发请求包括目标用户在所述多属性权威系统中的统一标识符；
[0014]处理单元，用于根据所述统一标识符确定第一元素和第二元素；其中，所述第一元素和所述第二元素是经过哈希映射处理和盲化处理确定的；
[0015]发送单元，用于向所述多属性权威系统中的其他属性权威服务器发送携带有所述第一元素和所述第二元素的第一参数消息；
[0016]所述接收单元，还用于接收所述多属性权威系统中的其他属性权威服务器分别发送的携带有第三元素的第二参数消息，所述第三元素是所述其他属性权威服务器基于所述第一元素和所述第二元素进行签名得到的签名数据；
[0017]生成单元，根据各所述第二参数消息中携带的所述第三元素生成为所述目标用户颁发的第一私钥；
[0018]所述发送单元，还用于向所述客户端发送所述第一私钥；所述第一私钥用于解密与所述目标用户的属性相关的加密数据，所述加密数据是基于与所述第一私钥对应的公钥加密生成的。
[0019]第三方面，本专利技术实施例提供一种电子设备，包括：存储器和处理器，所述存储器用于存储计算机程序；所述处理器用于在调用计算机程序时，使得所述电子设备实现上述任一实施例所述的数据访问控制方法。
[0020]第四方面，本专利技术实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，当所述计算机程序被计算设备执行时，使得所述计算设备实现上述任一实施例所述的数据访问控制方法。
[0021]第五方面，本专利技术实施例提供一种计算机程序产品，当所述计算机程序产品在计算机上运行时，使得所述计算机实现上述任一实施例所述的数据访问控制方法。
[0022]本专利技术实施例提供的数据访问控制方法中，第一属性权威服务器在接收到客户端发送的秘钥颁发请求时，首先根据秘钥颁发请求中携带的目标用户在所述多属性权威系统中的统一标识符，确定第一元素和第二元素，并向所述多属性权威系统中的其他属性权威服务器发送携带有所述第一元素和所述第二元素的第一参数消息，然后接收所述多属性权威系统中的其他属性权威服务器分别发送的携带有第三元素的第二参数消息，再根据各所述第二参数消息中携带的所述第三元素生成为所述目标用户颁发的第一私钥，最后向所述客户端发送所述第一私钥。因为在生成向用户发送的私钥的过程中，第一属性权威服务器只需向所述多属性权威系统中的其他属性权威服务器发送经过哈希映射处理和盲化处理确定的第一元素和第二元素，且多属性权威系统中的其他属性权威服务器只需向第一属性权威服务器发送基于所述第一元素和所述第二元素进行签名得到的签名数据，无需通过多属性权威服务器中的一个属性权威服务器或可信第三方进行参数的协商，即可实现在加密策略组合不同属性权威服务器所管理的用户属性，避免了多属性权威服务器中的一个属性权威服务器获取其它属性权威服务器的用户私钥或可信第三方获取全部属性权威服务器的用户私钥，因此本专利技术实施例提供了一种高效且安全的多属性权威方案。
附图说明
[0023]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并与说明书一起用于解释本专利技术的原理。
[0024]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0025]图1为本专利技术实施例提供的数据访问控制方法的场景架构图；
[0026]图2为本专利技术实施例提供的数据访问控制方法的步骤流程图之一；
[0027]图3为本专利技术实施例提供的数据访问控制方法的步骤流程图之二；
[0028]图4为本专利技术实施例提供的密钥生成方法的步骤流程图；
[0029]图5为本专利技术实施例提供的属性权威服务器的结构示意图之一；
[0030]图6为本专利技术实施例提供的属性权威服务器的结构示意图之二；
[0031]图7为本专利技术实施例提供的电子设备的硬件结构示意图。
具体实施方式
[0032]为了能够更清楚地理解本专利技术的上述目的、特征和优点，下面将对本专利技术的方案进行进一步描述。需要说明的是，在不冲突的情况下，本专利技术的实施例及实施例中的特征可以相互组合。
[0033]在下面的描述中阐述了很多具体细节以便于充分理解本专利技术，但本专利技术还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本专利技术的一部分实施例，而不是全部的实施例。
[0034]在本专利技术实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本专利技术实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据访问控制方法，其特征在于，应用于多属性权威系统中的第一属性权威服务器，所述方法包括：接收客户端发送的秘钥颁发请求，所述秘钥颁发请求包括目标用户在所述多属性权威系统中的统一标识符；根据所述统一标识符确定第一元素和第二元素，并向所述多属性权威系统中的其他属性权威服务器发送携带有所述第一元素和所述第二元素的第一参数消息；其中，所述第一元素和所述第二元素是经过哈希映射处理和盲化处理确定的；接收所述多属性权威系统中的其他属性权威服务器分别发送的携带有第三元素的第二参数消息，所述第三元素是所述其他属性权威服务器基于所述第一元素和所述第二元素进行签名得到的签名数据；根据各所述第二参数消息中携带的所述第三元素生成为所述目标用户颁发的第一私钥；向所述客户端发送所述第一私钥；所述第一私钥用于解密与所述目标用户的属性相关的加密数据，所述加密数据是基于与所述第一私钥对应的公钥加密生成的。2.根据权利要求1所述的方法，其特征在于，所述根据所述统一标识符确定第一元素和第二元素，包括：对所述统一标识符进行哈希映射从第一群中确定第四元素，所述第一群为乘法循环群；对所述第四元素进行盲化，获取所述第一元素；对所述乘法循环群的生成元进行盲化，获取所述第二元素。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收所述多属性权威系统中的第二属性权威服务器发送的携带有第五元素和第六元素的第三参数消息；对所述第五元素和所述第六元素进行签名，获取第七元素；向所述第二属性权威服务器发送所述第七元素。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：生成并公开所述第一属性权威服务器的公钥，以便所述多属性权威系统中的其他属性权威服务器基于所述第一属性权威服务器的公钥生成为用户颁发的私钥，以及所述多属性权威系统中的文件存储服务器基于所述第一属性权威服务器的公钥对明文进行加密。5.根据权利要求1所述的方法，其特征在于，所述根据各所述第二参数消息中携带的所述第三元素生成为所述目标用户颁发的第一私钥，包括：获取各所述第二参数消息中携带的所述第三元素的乘积；根据各所述第二参数消息中携带的所述第三元素的乘积生成为所述目标用户颁发的第一私钥。6.根据权利要求1所述的方法，其特征在于，在根据各所述第二参数消息中携带的...

【专利技术属性】
技术研发人员：贺培轩，林宇，丁保增，吴烨，
申请(专利权)人：北京字节跳动网络技术有限公司，
类型：发明
国别省市：