【技术实现步骤摘要】
本专利技术涉及数据中台访问控制,具体涉及面向数据分层访问的细粒度权限变更方法、装置及系统。
技术介绍
1、中台化架构为电力数据的共享互通和应用开发提供了支撑,但电力数据中台现有数据保护措施不足,采用传统的访问控制方法在对电力中台进行终端数据访问权限控制时,存在密钥托管瓶颈,随着数据量增多,系统负载较大。基于属性分层的访问控制能够实现一对多的细粒度授权,因此被广泛应用于多源数据共享中。然而,在将基于属性分层的访问控制应用到数据中台时,若发生访问授权变更请求,现有技术方案仍然存在两大问题:
2、1、过大的授权变更开销,导致实用性变差。数据属主进行授权变更所需的开销,趋近于对数据进行重加密。在方案构造中,涉及到权限变更的组件过多,需重新指定策略完成密文更新。该方法与对密文进行重新加密共享并无本质区别。为减小用户属主的计算开销,部分方案中,采用代理重加密技术,然而该方法需要额外为用户生成代理密钥,会引发新的密钥托管问题。其次,在上述方案中,对于更新范围主要集中于用户撤销,或方案中作为策略更新的动机对其进行抽象处理,并不能够明确做到细粒度属性级别的权限变更。
3、2、现有变更方法具有局限性,未能全面考虑所有用户请求。数据属主的变更请求,可能只涉及一个授权群体、多个授权群体,或与现有授权群体无关。因此,在进行密文更新时,统一执行重加密的方法虽然有效,但不够精确。尤其是在分层访问控制树中,现有工作未能将变更场景进行细致划分,面对多种请求时,会造成计算资源浪费。在对电力数据中台分层访问控制的前提下,实现高效精准的授权变更
技术实现思路
1、有鉴于此,本专利技术提供了面向数据分层访问的细粒度权限变更方法、装置及系统,以解决在对电力数据中台分层访问控制的前提下,如何实现高效精准的授权变更的问题。
2、第一方面,本专利技术提供了一种面向数据分层访问的细粒度权限变更方法,所述方法包括:基于数据等级以及数据授权访问信息,采用分层次访问结构树对数据加密,得到密文;根据接收的授权变更请求判断发生变更的门限节点的数量;当变更的门限节点数量大于等于两个时,根据新增门限节点对数据加密或者根据删除门限节点对相应父节点的密文进行更新;当变更的门限节点数量为单个门限节点时,根据变更门限节点的属性的添加或删除对相应密文进行更新。
3、本专利技术实施例提供的面向数据分层访问的细粒度权限变更方法,基于门限节点变更数量进行权限变更,其中,在进行变更过程中,将其划分为单门限和多门限场景,实现了细粒度的变更请求全覆盖,对于多门限节点变更。具体包括策略外延以及策略缩减情形,需添加多个门限节点组成新策略时进行策略外延,在原有策略基础上删除多个门限节点时进行策略缩减。对于单门限节点变更时,采用属性调控的方式,即授权变更仅涉及单个门限节点时,对节点下的用户属性进行删除或添加。与以往的用户级撤销相比,实现了细粒度的精准授权变更,相比于传统重加密技术,精准定位属性点更新,开销更低。
4、在一种可选的实施方式中,所述方法还包括:当未接收到授权变更请求时,所述密文由授权用户根据用户私钥进行解密得到数据;或者,当对密文进行更新后,所述更新后的密文由授权用户根据用户私钥进行解密得到数据。
5、本实施例中,当授权用户需要获取数据时,可以下载密文,并根据接收的用户私钥解密得到。
6、在一种可选的实施方式中,基于数据等级以及数据授权访问信息,采用分层次访问结构树对数据加密,得到密文,包括:将数据分类,得到多个数据块;根据每个数据块对应的数据等级以及数据授权访问信息确定数据访问权限的层次关系;基于所述层次关系对应的分层次访问结构树对相应数据块进行加密,得到密文。
7、在一种可选的实施方式中,基于所述层次关系对应的分层次访问结构树对相应数据块进行加密,得到密文,包括:基于所述层次关系对应的分层次访问结构树,由根节点自顶向下为每个非叶子节点生成拉格朗日多项式,作为节点秘密值;采用所述节点秘密值对非叶子节点对应数据块加密,得到第一密文;基于叶子节点对应秘密值对叶子节点对应数据块加密,得到第二密文,所述第一密文和所述第二密文共同构成密文。
8、本实施例中,采用分层次访问结构树以及拉格朗日多项式作为秘密值对数据加密的访问,为后续授权变更的密文变更提供了数据基础。
9、在一种可选的实施方式中,当变更的门限节点数量大于等于两个时,根据新增门限节点对数据加密或者根据删除门限节点对相应父节点的密文进行更新,包括:当变更的门限节点数量大于等于两个时,判断变更的门限节点是新增门限节点或者是删除门限节点;当是新增门限节点时,根据新增门限节点和分层次访问结构树的关系生成新增门限节点的多项式,采用所述多项式对新增门限节点对应数据块加密,根据加密结果对密文进行更新;当是删除门限节点时,重新计算删除门限节点的父节点对应的多项式,基于配对运算的幂指数性质采用所述多项式生成更新密文,并将删除门限节点对应密文删除。
10、本实施例中,提供的密文权限更新方法具有普适性。该方法基于配对运算的幂指数性质生成更新密文,利用幂指数运算的加和性质,完成新旧秘密值的替代,可扩展到现有基于属性访问控制方案的更新计算构造中。
11、在一种可选的实施方式中,当变更的门限节点数量为单个门限节点时,根据变更门限节点的属性的添加或删除对相应密文进行更新,包括:当变更的门限节点数量为单个门限节点时,判断变更门限节点为属性添加或者为属性删除;当为属性添加时,根据添加属性生成多项式更新叶子节点密文;当为属性删除时,根据删除属性进行对应密文的删除,并进行多项式变更。
12、本实施例中,面向策略属性进行更新,与以往的用户级撤销相比,实现了细粒度的精准授权变更,相比于传统重加密技术,精准定位属性点更新,开销更低。
13、在一种可选的实施方式中,解密采用如下流程实现:接收授权机构根据用户的属性集合、系统主密钥以及公共参数生成用户私钥;获取密文,采用用户私钥采用递归算法对密文进行解密,得到授权数据。
14、本实施例中,由授权机构提供用户私钥,保障了网络应用的可靠性。同时减少了采用数据属主生成用户私钥的通信开销。
15、第二方面,本专利技术提供了一种面向数据分层访问的细粒度权限变更装置,所述装置包括:加密模块,用于基于数据等级以及数据授权访问信息,采用分层次访问结构树对数据加密,得到密文;变更判断模块,用于根据接收的授权变更请求判断发生变更的门限节点的数量;第一变更模块,用于当变更的门限节点数量大于等于两个时,根据新增门限节点对数据加密或者根据删除门限节点对相应父节点的密文进行更新;第二变更模块,用于当变更的门限节点数量为单个门限节点时,根据变更门限节点的属性的添加或删除对相应密文进行更新。
16、在一种可选的实施方式中,所述装置还包括:解密模块具体用于,当未接收到授权变更请求时,所述密文由授权用户根据用户私钥进行解密得到数据;或者,当对密文进行更新后,所述更新后的密本文档来自技高网...
【技术保护点】
1.一种面向数据分层访问的细粒度权限变更方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,基于数据等级以及数据授权访问信息,采用分层次访问结构树对数据加密,得到密文,包括:
4.根据权利要求3所述的方法,其特征在于,基于所述层次关系对应的分层次访问结构树对相应数据块进行加密,得到密文,包括:
5.根据权利要求4所述的方法,其特征在于,当变更的门限节点数量大于等于两个时,根据新增门限节点对数据加密或者根据删除门限节点对相应父节点的密文进行更新,包括:
6.根据权利要求2所述的方法,其特征在于,当变更的门限节点数量为单个门限节点时,根据变更门限节点的属性的添加或删除对相应密文进行更新,包括:
7.根据权利要求2所述的方法,其特征在于,解密采用如下流程实现:
8.一种面向数据分层访问的细粒度权限变更装置,其特征在于,所述装置包括:
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:解密模块具体用于,
10.根据权利要求8所述的装置,其特征在于,加密模块包括:分类模块,用于将数据分类,得到多个数据块;关系确定模块,用于根据每个数据块对应的数据等级以及数据授权访问信息确定数据访问权限的层次关系;加密子模块,用于基于所述层次关系对应的分层次访问结构树对相应数据块进行加密,得到密文。
11.根据权利要求10所述的装置,其特征在于,加密子模块具体用于:基于所述层次关系对应的分层次访问结构树,由根节点自顶向下为每个非叶子节点生成拉格朗日多项式,作为节点秘密值;采用所述节点秘密值对非叶子节点对应数据块加密,得到第一密文;基于叶子节点对应秘密值对叶子节点对应数据块加密,得到第二密文,所述第一密文和所述第二密文共同构成密文。
12.根据权利要求11所述的装置,其特征在于,第一变更模块具体用于:当变更的门限节点数量大于等于两个时,判断变更的门限节点是新增门限节点或者是删除门限节点;当是新增门限节点时,根据新增门限节点和分层次访问结构树的关系生成新增门限节点的多项式,采用所述多项式对新增门限节点对应数据块加密,根据加密结果对密文进行更新;当是删除门限节点时,重新计算删除门限节点的父节点对应的多项式,基于配对运算的幂指数性质采用所述多项式生成更新密文,并将删除门限节点对应密文删除。
13.根据权利要求9所述的装置,其特征在于,第二变更模块具体用于:当变更的门限节点数量为单个门限节点时,判断变更门限节点为属性添加或者为属性删除;当为属性添加时,根据添加属性生成多项式更新叶子节点密文;当为属性删除时,根据删除属性进行对应密文的删除,并进行多项式变更。
14.根据权利要求9所述的装置,其特征在于,解密采用如下流程实现:接收授权机构根据用户的属性集合、系统主密钥以及公共参数生成用户私钥;获取密文,采用用户私钥采用递归算法对密文进行解密,得到授权数据。
15.一种面向数据分层访问的细粒度权限变更系统,其特征在于,所述系统包括:数据属主和云服务器;
16.根据权利要求15所述的系统,其特征在于,所述系统还包括:授权用户;
17.一种计算机设备,其特征在于,包括:
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至7中任一项所述的面向数据分层访问的细粒度权限变更方法。
...【技术特征摘要】
1.一种面向数据分层访问的细粒度权限变更方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,基于数据等级以及数据授权访问信息,采用分层次访问结构树对数据加密,得到密文,包括:
4.根据权利要求3所述的方法,其特征在于,基于所述层次关系对应的分层次访问结构树对相应数据块进行加密,得到密文,包括:
5.根据权利要求4所述的方法,其特征在于,当变更的门限节点数量大于等于两个时,根据新增门限节点对数据加密或者根据删除门限节点对相应父节点的密文进行更新,包括:
6.根据权利要求2所述的方法,其特征在于,当变更的门限节点数量为单个门限节点时,根据变更门限节点的属性的添加或删除对相应密文进行更新,包括:
7.根据权利要求2所述的方法,其特征在于,解密采用如下流程实现:
8.一种面向数据分层访问的细粒度权限变更装置,其特征在于,所述装置包括:
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:解密模块具体用于,当未接收到授权变更请求时,所述密文由授权用户根据用户私钥进行解密得到数据;或者,当对密文进行更新后,所述更新后的密文由授权用户根据用户私钥进行解密得到数据。
10.根据权利要求8所述的装置,其特征在于,加密模块包括:分类模块,用于将数据分类,得到多个数据块;关系确定模块,用于根据每个数据块对应的数据等级以及数据授权访问信息确定数据访问权限的层次关系;加密子模块,用于基于所述层次关系对应的分层次访问结构树对相应数据块进行加密,得到密文。
11.根据权利要求10所述的装置,其特征在于,加密子模块具体用于:基于所述层次关系对应的分层次访问结构树,由根节点自顶向下为每个非叶子节点生成拉...
【专利技术属性】
技术研发人员:罗晨,于鹏飞,高先周,魏思佳,张小健,何阳,
申请(专利权)人:国网智能电网研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。