【技术实现步骤摘要】
本申请涉及信息安全,特别是涉及一种基于属性的层级数据加密和解密方法、装置以及存储介质。
技术介绍
1、随着工业物联网(industrial internet ofthings,iiot)的快速发展,对信息的实时交互、设备的智能感知、层级数据的安全快速共享等多方面提出了更高的要求。基于密文策略的属性基加密方案(cp-abe)作为一种更为高效、灵活、细粒度的访问控制机制,可以支持数据与多个用户之间的一对多访问。
2、但是在现有技术中,受限于用户的终端设备自身资源的局限性,使用基于密文策略的属性基加密方案来对数据进行加解密,则会发生解密效率低下、计算成本过高,密文存储开销过大的情况,面对海量传感器采集的数据,并不能满足工业时敏要求。
3、例如在基于密文策略的属性基加密方案中,当一个用户想要上传一批文件数据时,这些文件数据的访问策略之间往往会具有包含关系(也就是层级关系)。如果一个文件数据对应一个访问策略,并且对应于一次加解密的话,那就需要多轮加解密,才可以将多个文件数据进行数据共享,从而导致计算成本过高,加解密效率低下。并且不同的访问策略中会有相同的属性,那就会产生多次针对同一属性的加解密参数,其存储开销就会变大。
4、针对上述的现有技术中存在的利用基于密文策略的属性基加密方案对批量层级文件数据进行加解密,导致的计算成本高、加解密效率低以及存储开销大的技术问题,需要设计一种轻量化的多层级数据高效共享方法用于计算能力有限的工业物联网终端。
技术实现思路
2、根据本申请实施例的一个方面,提供了一种基于属性的层级数据加密方法,包括:数据拥有者节点根据属性为多个明文数据构建相应的访问策略,其中多个访问策略之间存在从属关系;数据拥有者节点根据多个访问策略之间的从属关系,将多个访问策略进行聚合,生成访问结构,其中访问结构包括多个属性层,并且各个属性层与相应的明文数据存在关联关系;数据拥有者节点根据多个明文数据和访问结构生成第一密文,并且将第一密文发送至边缘代理节点;以及边缘代理节点对第一密文进行加密,生成第二密文。
3、根据本申请实施例的另一方面,还提供了一种基于属性的层级数据解密方法,包括:边缘代理节点获取第四密文以及相应的访问结构;边缘代理节点将数据使用者的属性集与访问结构中的多个属性层依次进行匹配;在匹配成功的情况下,边缘代理节点对第四密文进行解密,得到第五密文,并将第五密文发送至数据使用者节点;以及数据使用者节点对第五密文进行解密,得到明文数据。
4、根据本申请实施例的另一个方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时由处理器执行以上任意一项所述的方法。
5、根据本申请实施例的另一个方面,还提供了一种基于属性的层级数据加密装置,包括:策略构建模块,用于数据拥有者节点根据属性为多个明文数据构建相应的访问策略,其中多个访问策略之间存在从属关系;第一生成模块,用于数据拥有者节点根据多个访问策略之间的从属关系,将多个访问策略进行聚合,生成访问结构,其中访问结构包括多个属性层,并且各个属性层与相应的明文数据存在关联关系;第二生成模块,用于数据拥有者节点根据多个明文数据和访问结构生成第一密文,并且将第一密文发送至边缘代理节点;以及第三生成模块,用于边缘代理节点对第一密文进行加密,生成第二密文。
6、根据本申请实施例的另一个方面,还提供了一种基于属性的层级数据解密装置,包括:密文获取模块,用于边缘代理节点获取第四密文以及相应的访问结构;匹配模块,用于边缘代理节点将数据使用者的属性集与访问结构中的多个属性层依次进行匹配;第一解密模块,用于在匹配成功的情况下,边缘代理节点对第四密文进行解密,得到第五密文,并将第五密文发送至数据使用者节点;以及第二解密模块,用于数据使用者节点对第五密文进行解密,得到明文数据。
7、根据本申请实施例的另一个方面,还提供了一种基于属性的层级数据加密装置,包括:第一处理器;以及第一存储器,与第一处理器连接,用于为第一处理器提供处理以下处理步骤的指令:数据拥有者节点根据属性为多个明文数据构建相应的访问策略,其中多个访问策略之间存在从属关系;数据拥有者节点根据多个访问策略之间的从属关系,将多个访问策略进行聚合,生成访问结构,其中访问结构包括多个属性层,并且各个属性层与相应的明文数据存在关联关系;数据拥有者节点根据多个明文数据和访问结构生成第一密文,并且将第一密文发送至边缘代理节点;以及边缘代理节点对第一密文进行加密,生成第二密文。
8、根据本申请实施例的另一方面,还提供了一种基于属性的层级数据解密装置,包括:第二处理器;以及第二存储器,与第二处理器连接,用于为第二处理器提供处理以下处理步骤的指令:边缘代理节点获取第四密文以及相应的访问结构;边缘代理节点将数据使用者的属性集与访问结构中的多个属性层依次进行匹配;在匹配成功的情况下,边缘代理节点对第四密文进行解密,得到第五密文,并将第五密文发送至数据使用者节点;以及数据使用者节点对第五密文进行解密,得到明文数据。
9、在本申请实施例中,多个文件数据对应于多个具有层级关系的访问策略,数据拥有者节点将具有层级关系的访问策略进行聚合,生成一个访问结构。采用层级捆绑的思想,将低层级的密文信息镶刻进高层级进行协同加密,利用线性秘密共享方案(即,lsss结构)同时携带多个文件的秘密因子,从而在对多个文件数据进行加密的过程中,数据拥有者节点无需分别对多个文件数据以及与其对应的访问策略依次进行加密,仅仅需要将访问结构以及与该访问结构的各个属性层关联的文件数据共同加密即可,避免了对多个文件数据和相应的访问策略进行多次加密的情况,从而减少了计算成本,提高了加密效率。并且本技术方案仅仅对一个访问结构进行加密,从而避免了产生多次针对同一属性的加解密参数的情况,在存储时只需要存储访问结构中叶子结点的密文值,减小了存储开销。
10、并且密文包括多个文件数据以及对应的一个访问结构。从而在对密文进行解密时,边缘代理节点将数据使用者节点的属性与一个访问结构中的各个属性层进行匹配,即可获得对应的文件数据,与现有技术相比,本技术方案无需与各个密文的访问策略依次进行比较,提高了解密效率。并且在本技术方案中,由于各个数据文件是根据层级关系进行加密的,即数据使用者节点的属性满足访问结构中较高层的属性层,则必定会满足其他低层的属性层。在数据使用者节点想要获取多个文件数据的情况下,对一个较高层的密文进行解密,就可以获得其他低层的多个文件数据,避免了现有技术中的对多个密文进行多次解密才可以获取相应的明文的情况,同时,基于椭圆曲线标量乘结合边缘计算技术将解密阶段解耦,从根源上减少了计算成本。并且本技术方案仅仅对一个访问结构进行解密,从而本文档来自技高网...
【技术保护点】
1.一种基于属性的层级数据加密方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述数据拥有者节点根据所述多个明文数据和所述访问结构,生成第一密文的操作,包括:
3.根据权利要求1所述的方法,其特征在于,还包括:
4.一种基于属性的层级数据解密方法,其特征在于,包括:
5.根据权利要求4所述的方法,其特征在于,边缘代理节点获取第四密文以及相应的访问结构的操作,包括:
6.根据权利要求4所述的方法,其特征在于,所述数据使用者节点对第五密文进行解密,得到明文数据的操作,包括:
7.根据权利要求6所述的方法,其特征在于,还包括:
8.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时由处理器执行权利要求1至7中任意一项所述的方法。
9.一种基于属性的层级数据加密装置,其特征在于,包括:
10.一种基于属性的层级数据解密装置,其特征在于,包括:
【技术特征摘要】
1.一种基于属性的层级数据加密方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述数据拥有者节点根据所述多个明文数据和所述访问结构,生成第一密文的操作,包括:
3.根据权利要求1所述的方法,其特征在于,还包括:
4.一种基于属性的层级数据解密方法,其特征在于,包括:
5.根据权利要求4所述的方法,其特征在于,边缘代理节点获取第四密文以及相应的访问结构的操作,包括:
6...
【专利技术属性】
技术研发人员:陈入荣,张锦南,王与点,吴小华,张霞,颜鑫,袁学光,乔杰瀚,王漪涵,袁正亮,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。