基于云边协同的可撤销的访问控制方法技术

本发明专利技术涉及一种基于云边协同的可撤销的访问控制方法，包括以下步骤：区块链执行系统设置，并生成全局参数；数据所有者进行设置，生成公钥和主密钥；边缘节点执行设置算法，输出边缘节点的公钥和主密钥；由数据拥有者的密钥与边缘节点的密钥组成用户解密密钥；数据拥有者首先根据访问策略和明文信息执行数据的部分加密，生成部分密文，然后边缘节点对部分密文进行二次加密，得到最终密文；区块链对用户解密密钥进行密钥合法性检查，密钥通过检查的用户能继续访问数据；边缘节点先对最终密文进行半解密，得到半解密密文，然后用户对半解密密文进行最终解密，得到正确的明文；在执行撤销操作后，利用更新后的撤销列表和密钥，对密文进行更新，并将更新后的密文存储在云中。并将更新后的密文存储在云中。并将更新后的密文存储在云中。

【技术实现步骤摘要】
基于云边协同的可撤销的访问控制方法


[0001]本专利技术涉及一种云数据安全访问的方法，具体地说是一种基于云边协同的可撤销的访问控制方法。

技术介绍

[0002]CN115484095A公开了一种云边协同环境下基于区块链的细粒度访问控制方法，其具体方式是，权威中心生成初始部分密钥分别发送到用户和边缘服务器，生成对称密钥发送至边缘节点；用户使用部分密钥生成搜索陷门发送给相对应的边缘服务器，利用门限秘密共享技术在共识网络中恢复秘密值，生成满足访问策略的最终私钥，由此保护了私钥的安全性。该专利利用边缘服务器进行加解密数据和搜索匹配操作，降低了用户的计算开销。
[0003]CN115396093A公开了一种边缘计算中可撤销与策略更新的属性加密方法，该方法采用椭圆曲线代替双线性配对操作，避免了双线性带来的计算开销；通过给定用户唯一标识符生成更新密钥，实现了策略更新，利用不同属性授权机构产生公、私钥的方式，将标识符与特征属性绑定，使得不同用户或不同属性上的访问控制具有动态性。
[0004]近年来，随着边缘计算的快速崛起，越来越多的方案采取将一部分计算任务放在边缘节点进行的方法，以便满足人们对低延时服务的要求，但目前还没有一种能在端
‑
边
‑
云这种模型下运行的安全高效的访问控制方式，因而难以满足用户对低延时服务的要求，并且还存在有单点故障、数据隐私泄露等不安全问题。

技术实现思路

[0005]本专利技术的目的就是提供一种基于云边协同的可撤销的访问控制方法，以解决现有访问控制方法中存在的数据不安全和访问控制效率低的问题。
[0006]本专利技术的目的是这样实现的：
[0007]一种基于云边协同的可撤销的访问控制方法，包括以下步骤：
[0008]S1、系统初始化：区块链执行系统设置，并生成全局参数GP；数据拥有者进行设置，生成数据拥有者的公钥DPK和主密钥DMK；边缘节点执行设置算法，输出边缘节点的公钥EPK和主密钥EMK。
[0009]S2、密钥生成：由数据拥有者的密钥与边缘节点的密钥组成用户解密密钥SK。
[0010]S3、数据加密：数据拥有者首先根据访问策略W和明文信息m执行数据的部分加密，生成部分密文CT
′
，然后边缘节点对部分密文CT
′
进行二次加密，得到最终密文CT。
[0011]S4、密钥合法性检查：当用户请求访问数据时，区块链对用户解密密钥SK进行密钥合法性检查，如果通过检查，则输出1，并且该用户能够继续对数据访问；如果通不过检查，则输出0，且禁止该用户访问数据，并将该用户的id添加到撤销列表，对该用户进行撤销操作。
[0012]S5、密文解密：边缘节点对最终密文CT进行半解密，得到半解密密文CT1；用户对该半解密密文CT1进行最终解密，得到正确的明文信息m。
[0013]S6、密文更新：在执行撤销操作后，利用更新后的撤销列表和密钥，对最终密文CT进行更新，并将更新后的最终密文CT存储在云中。
[0014]进一步地，本专利技术步骤S1的具体方式包括以下分步骤：
[0015]S1
‑
1、对系统数据进行初始化，根据安全参数k生成阶数为大素数p的线性乘法循环群(G1、G2)；设定g为线性乘法循环群G1的生成元，映射操作e:G1×
G1→
G2；定义两个哈希函数(H、H1)：H:{0,1}
*
→
G1，其中，为一个非零元的域；区块链生成全局参数GP；
[0016]S1
‑
2、数据拥有者初始化，输入全局参数GP和属性全集A＝{1,2,......,n}；其中，n为属性全集中的属性数量；T是二叉树，树中的每个叶节点对应一个用户u，树的深度为d；选择随机数α,a∈Z
p
，数据拥有者从{0,1}中选择密钥为的对称概率加密方案(Enc,Dec)到域得到数据拥有者的密钥其中，α,a为随机数，为对称加密密钥；
[0017]S1
‑
3、对于每个属性x∈A(1≤x≤|U|)，边缘节点选择一个随机数w
x
∈Z
p
作为私钥，计算：并将其作为公钥；其中，x为属性全集中的一个属性；
[0018]则边缘节点的公钥EPK＝{W
x
|1≤x≤|U|}，边缘节点的主密钥EMK＝{w
x
|1≤x≤|U|}；公布边缘节点的公钥EPK，而边缘节点的主密钥EMK保密。
[0019]进一步地，本专利技术步骤S2的具体方式包括以下分步骤：
[0020]S2
‑
1、设置与用户属性集相对应的部分密钥：
[0021][0022]其中，K
′
、K、L、L
′
、K
X
均为密钥参数，a、r、t是随机数；
[0023]S2
‑
2、令path(id)＝{i0,i1,...,i
d
}，其中，i
d
是与用户u相关联的叶子节点的值，随机选取b∈Z
p
，
[0024]并计算转换密钥TK和个人密钥UK：
[0025]TK＝(K
′
,K,L,L
′
,{K
x
}
x∈S
,D,E,{x
i
}
i∈path(id)
)；
[0026]其中，D和E均为中间参数；
[0027]UK＝z；
[0028]其中，z为随机数；
[0029]S2
‑
3、构成完整的用户解密密钥SK：
[0030]SK＝(TK,UK)。
[0031]进一步地，本专利技术步骤S3的具体方式包括以下分步骤：
[0032]S3
‑
1、数据拥有者输入全局参数GP、明文信息m和访问策略(M,ρ)；
[0033]数据拥有者随机选择列向量：v＝s,v2,v3,
…
,v
n
∈Z
p
，得到部分密文CT
′
：
[0034][0035]其中，C、C0、C1均为密文参数，ρ(i)为属性数，a和s均为随机数；
[0036]S3
‑
2、对于i∈[1,l]，边缘节点随机选择k
i
∈Z
p
，然后对部分密文CT
′
进行重加密，从而获得最终密文CT：
[0037][0038]其中，C、C0、C1均为密文参数，ρ(i)为属性数，a和s均为随机数。
[0039]进一步地，本专利技术步骤S4的具体方式包括以下分步骤：
[0040]S4
‑
1当物联网中的用户想要访问数据时，先向区块链发送一个访问请求，当区块链收到用户的访问请求时，首先授权合约判断其是否在撤销列表中，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于云边协同的可撤销的访问控制方法，其特征是，包括以下步骤：S1、系统初始化：区块链执行系统设置，并生成全局参数GP；数据拥有者进行设置，生成数据拥有者的公钥DPK和主密钥DMK；边缘节点执行设置算法，输出边缘节点的公钥EPK和主密钥EMK；S2、密钥生成：由数据拥有者的密钥与边缘节点的密钥组成用户解密密钥SK；S3、数据加密：数据拥有者首先根据访问策略W和明文信息m执行数据的部分加密，生成部分密文CT
′
，然后边缘节点对部分密文CT
′
进行二次加密，得到最终密文CT；S4、密钥合法性检查：当用户请求访问数据时，区块链对用户解密密钥SK进行密钥合法性检查，如果通过检查，则输出1，并且该用户能够继续对数据访问；如果通不过检查，则输出0，且禁止该用户访问数据，并将该用户的id添加到撤销列表，对该用户进行撤销操作；S5、数据解密：边缘节点对最终密文CT进行半解密，得到半解密密文CT1；用户对该半解密密文CT1进行最终解密，得到正确的明文信息m；S6、密文更新：在执行撤销操作后，利用更新后的撤销列表和密钥，对最终密文CT进行更新，并将更新后的最终密文CT存储在云中。2.根据权利要求1所述的基于云边协同的可撤销的访问控制方法，其特征是，步骤S1的具体方式包括以下分步骤：S1
‑
1、对系统数据进行初始化，根据安全参数k生成阶数为大素数p的线性乘法循环群(G1、G2)；设定g为线性乘法循环群G1的生成元，映射操作e:G1×
G1→
G2；定义两个哈希函数(H、H1)：H:{0,1}
*
→
G1，H1:其中，为一个非零元的域；区块链生成全局参数GP；S1
‑
2、数据拥有者初始化，输入全局参数GP和属性全集A＝{1,2,......,n}；其中，n为属性全集中的属性数量；T是二叉树，树中的每个叶节点对应一个用户u，树的深度为d；选择随机数α,a∈Z
p
，数据拥有者从{0,1}中选择密钥为的对称概率加密方案到域得到数据拥有者的密钥其中，α,a为随机数，为对称加密密钥；S1
‑
3、对于每个属性x∈A(1≤x≤|U|)，边缘节点选择一个随机数w
x
∈Z
p
作为私钥，计算：并将其作为公钥；其中，x为属性全集中的一个属性；则边缘节点的公钥EPK＝{W
x
|1≤x≤|U|}，边缘节点的主密钥EMK＝{w
x
|1≤x≤|U|}；公布边缘节点的公钥EPK，而边缘节点的主密钥EMK保密。3.根据权利要求1所述的基于云边协同的可撤销的访问控制方法，其特征是，步骤S2的具体方式包括以下分步骤：S2
‑
1、设置与用户属性集相对应的部分密钥：其中，K
′
、K、L、L
′
、K
X
均为密钥参数，a、r、t是随机数；S2
‑
2、令path(id)＝{i0,i1,...,i
d
}，其中，i
d
是与用户u相关联的叶子节点的值，随机选取b∈Z
p
，并计算转换密钥TK和个人密钥UK：TK＝(K
′
,K,L,L
′
,{K
x
}
x∈S
,D,E,{x
i
}
i∈path(id)
)；其中，D和E均为中间参数；
UK＝z；其中，z为随机数；S2
‑
3、构成完整的用户解密密钥SK：SK＝(TK,UK)。4.根据权利要求1所述的基于云边协同的可撤销的访问控制方法，其特征是，步骤S3的具体方式包括以下分步骤：S3
‑
1、数据拥有者输入全局参数GP、明文信息m和访问策略(M,ρ)；数据拥有者随机选择列向量：v＝s,v2,v3,...,v
n
∈Z
p
，得到部分密文CT
′
：其中，C、C0、C1均为密文参数，ρ(i)为属性数，a和s均为随机数；S3
‑
2、对于i∈[1,l]，边缘节点随机选择k
i
∈Z
p
，然后对部分密文CT
′
进行重加密，从而获得最终密文CT：其中，C、C0、C1均为密文参数，ρ(i)为属性数，a和s均为随机数。5.根据权利要求1所述的基于云边协同的可撤销的访问控制方法...

【专利技术属性】
技术研发人员：杜瑞忠，纪丽娟，
申请(专利权)人：河北大学，
类型：发明
国别省市：