專利名稱:一種實(shí)現(xiàn)支持細(xì)粒度訪問(wèn)控制的加密方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在分布式環(huán)境下��,針對(duì)文件共享及安全存儲(chǔ)的要求���,提出的一種靈活的���、細(xì)粒度的訪問(wèn)控制方法,主要通過(guò)擴(kuò)展原基于屬性的加密算法的擴(kuò)展樹(shù)來(lái)實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制���。
背景技術(shù):
在分布式環(huán)境中�,尤其是在云計(jì)算的服務(wù)模型中��,用戶數(shù)據(jù)集中后�,保證運(yùn)營(yíng)服務(wù)提供商內(nèi)部的安全管理和訪問(wèn)控制機(jī)制符合用戶的安全需求,避免分布式環(huán)境中多用戶共同存在或共享數(shù)據(jù)帶來(lái)的潛在風(fēng)險(xiǎn)�,是分布式環(huán)境中面臨的安全挑戰(zhàn)。目前��,數(shù)據(jù)中心對(duì)數(shù)據(jù)的保護(hù)主要通過(guò)兩種方式訪問(wèn)控制和加密��。常用的訪問(wèn)控制方式有自主訪問(wèn)控制策略(DAC)����、強(qiáng)制訪問(wèn)控制策略(MAC)或基于角色的訪問(wèn)控制策略 (RBAC)等。在系統(tǒng)運(yùn)轉(zhuǎn)良好的情況下�����,一個(gè)設(shè)計(jì)良好的訪問(wèn)控制系統(tǒng)�,可以防止用戶或惡意軟件對(duì)數(shù)據(jù)的非法訪問(wèn),而一旦系統(tǒng)被非法入侵或控制��,這些訪問(wèn)控制系統(tǒng)將失效���。為了彌補(bǔ)訪問(wèn)控制技術(shù)的不足��,加密是保護(hù)數(shù)據(jù)不被非法訪問(wèn)的另一常用技術(shù)����。然而,常規(guī)的加密技術(shù)包括對(duì)稱加密技術(shù)和公鑰加密技術(shù)都只能對(duì)文件進(jìn)行單調(diào)的加密�����,在分布式環(huán)境中密鑰的分發(fā)與管理較為復(fù)雜��,而且不能實(shí)現(xiàn)訪問(wèn)控制技術(shù)所具有的靈活控制功能���。近來(lái)提出的基于屬性的加密體制(ABE)可以實(shí)現(xiàn)基于加密算法的訪問(wèn)控制���,無(wú)需負(fù)載的密鑰管理及密鑰分發(fā)機(jī)制,但是基于屬性加密算法只能夠支持與���、或和門限運(yùn)算�,不能實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制�,且擴(kuò)展性差。
發(fā)明內(nèi)容
本發(fā)明的技術(shù)解決的問(wèn)題克服現(xiàn)有技術(shù)的不足���,通過(guò)擴(kuò)展密文策略的基于屬性加密算法中的訪問(wèn)控制結(jié)構(gòu)���,使其具有豐富的訪問(wèn)控制運(yùn)算能力�����,從而實(shí)現(xiàn)細(xì)粒度的、靈活的訪問(wèn)控制����。本發(fā)明的技術(shù)解決方案一種實(shí)現(xiàn)支持細(xì)粒度訪問(wèn)控制的加密方法,其特征在于以下方面(1)通過(guò)添加虛擬葉子節(jié)點(diǎn)來(lái)實(shí)現(xiàn)運(yùn)算符擴(kuò)展原密文策略的基于屬性的加密算法中訪問(wèn)控制結(jié)構(gòu)的設(shè)計(jì)基于門限秘密共享體制���,其訪問(wèn)控制結(jié)構(gòu)為一棵訪問(wèn)控制樹(shù)�,如
圖1所示����。訪問(wèn)控制樹(shù)中節(jié)點(diǎn)包括閾值k和子節(jié)點(diǎn)數(shù)num兩個(gè)屬性,其中0 < k < num��。本發(fā)明使用k < 0的范圍表示擴(kuò)展屬性節(jié)點(diǎn)����,k表示運(yùn)算標(biāo)識(shí)符,對(duì)應(yīng)于特定的運(yùn)算(或函數(shù))���,擴(kuò)展屬性的葉子節(jié)點(diǎn)為一個(gè)或多個(gè)屬性與屬性值對(duì)�����,如圖2所示��。擴(kuò)展屬性節(jié)點(diǎn)相當(dāng)于原來(lái)方案中的葉子節(jié)點(diǎn)��,而〈屬性名��,屬性值〉 對(duì)�,相當(dāng)于k指代的函數(shù)所需的輸入?yún)?shù)。函數(shù)的輸出對(duì)應(yīng)于擴(kuò)展屬性節(jié)點(diǎn)的屬性值�。(2)密鑰生成中心(PKG)負(fù)責(zé)用戶擴(kuò)展屬性的驗(yàn)證原密文策略的基于屬性的加密算法中,PKG負(fù)責(zé)公開(kāi)參數(shù)分發(fā)����、私鑰生成功能外、 和用戶屬性提取的功能�,在本擴(kuò)展方案中,PKG除了以上功能��,還負(fù)責(zé)根據(jù)擴(kuò)展的運(yùn)算標(biāo)識(shí)符�,使用對(duì)應(yīng)的運(yùn)算函數(shù)對(duì)用戶提供的擴(kuò)展屬性進(jìn)行動(dòng)態(tài)驗(yàn)證。(3)擴(kuò)展運(yùn)算函數(shù)的格式及已擴(kuò)展的訪問(wèn)控制運(yùn)算擴(kuò)展運(yùn)算對(duì)應(yīng)的函數(shù)具有一下原型f: (attrbute_name, attribute, value, . . .) ^ Requred Attribute | Empyte String����。胃巾 1 ^= ^fg.f < M 個(gè)生名����,屬性值 > 對(duì)�����,函數(shù)的返回值為確定的字符串��。擴(kuò)展的運(yùn)算包括匹配函數(shù)和邏輯運(yùn)算符�。具體如下:<�����,>�����,<���,>��,in—range����,regex_matchb、邏輯運(yùn)算符Not其中���,<��、>����、彡和彡為算術(shù)比較運(yùn)算符�;irurange為驗(yàn)證參數(shù)是否在一定范圍內(nèi)的函數(shù);regexjiiatch為正則表達(dá)式匹配函數(shù)���,正則表達(dá)式使用Java正則表達(dá)式的標(biāo)準(zhǔn)格式���。擴(kuò)展的運(yùn)算函數(shù)具體定義如下
權(quán)利要求
1. 一種實(shí)現(xiàn)支持細(xì)粒度訪問(wèn)控制的加密方法,其特征如下(1)通過(guò)添加虛擬葉子節(jié)點(diǎn)來(lái)實(shí)現(xiàn)運(yùn)算符擴(kuò)展原密文策略的基于屬性的加密體制中訪問(wèn)控制結(jié)構(gòu)的設(shè)計(jì)基于門限秘密共享體制�����,其訪問(wèn)控制結(jié)構(gòu)為一棵訪問(wèn)控制樹(shù)��,訪問(wèn)控制樹(shù)中節(jié)點(diǎn)包括閾值k和子節(jié)點(diǎn)數(shù)num兩個(gè)屬性���, 其中0 < k彡num���,使用k < 0的范圍表示擴(kuò)展屬性節(jié)點(diǎn)�,k表示運(yùn)算標(biāo)識(shí)符�,對(duì)應(yīng)于特定的運(yùn)算或函數(shù);擴(kuò)展屬性的葉子節(jié)點(diǎn)為一個(gè)或多個(gè)屬性與屬性值對(duì)�,擴(kuò)展屬性節(jié)點(diǎn)相當(dāng)于密文策略的基于屬性的加密體制中的葉子節(jié)點(diǎn),而〈屬性名�,屬性值〉相當(dāng)于k指代的函數(shù)所需的輸入?yún)?shù),函數(shù)的輸出對(duì)應(yīng)于擴(kuò)展屬性節(jié)點(diǎn)的屬性值�����;(2)密鑰生成中心PKG負(fù)責(zé)用戶擴(kuò)展屬性的驗(yàn)證PKG具有公開(kāi)參數(shù)分發(fā)��、私鑰生成和用戶擴(kuò)展屬性提取的功能���,同時(shí),PKG還負(fù)責(zé)根據(jù)擴(kuò)展的運(yùn)算標(biāo)識(shí)符�,使用對(duì)應(yīng)的運(yùn)算函數(shù)對(duì)用戶提供的擴(kuò)展屬性進(jìn)行動(dòng)態(tài)驗(yàn)證;(3)擴(kuò)展運(yùn)算函數(shù)的格式及已擴(kuò)展的訪問(wèn)控制運(yùn)算擴(kuò)展運(yùn)算對(duì)應(yīng)的函數(shù)具有以下原型f :(attribute_name���,attribute, value. . .) — Requred Attribute | Empty String,< Mft^, M性值〉對(duì)�����,函數(shù)的返回值為確定的字符串�����;擴(kuò)展的運(yùn)算包括匹配函數(shù)和邏輯運(yùn)算符���,具體如下a.251O ,H in_range, regex_match ��;b.邏輯運(yùn)算符=Not����;其中�����,<��、>�、<和彡為算術(shù)比較運(yùn)算符;in_range為驗(yàn)證參數(shù)是否在一定范圍內(nèi)的函數(shù)�;regexjiiatch為正則表達(dá)式匹配函數(shù),正則表達(dá)式使用Java正則表達(dá)式的標(biāo)準(zhǔn)格式�;(4)密文解密及私鑰獲取過(guò)程執(zhí)行解密算法須取得針對(duì)密文中已擴(kuò)展的訪問(wèn)控制樹(shù)的私鑰�����,其過(guò)程如下從訪問(wèn)控制樹(shù)中提取運(yùn)算函數(shù)標(biāo)志符k����,和存儲(chǔ)于虛擬葉子節(jié)點(diǎn)中的 < 屬性名�����,屬性值 > 對(duì)���,將它們和用戶身份信息發(fā)送到密鑰生成中心��,密鑰生成中心生成對(duì)應(yīng)的私鑰并返回給用戶�;密鑰生成中心生成私鑰的過(guò)程如下密鑰生成中心首先驗(yàn)證用戶身份�����,如果身份驗(yàn)證沒(méi)有通過(guò)則拒絕該請(qǐng)求���;通過(guò)身份驗(yàn)證后,密鑰生成中心根據(jù)用戶提交的運(yùn)算標(biāo)識(shí)符確定對(duì)應(yīng)的訪問(wèn)控制運(yùn)算函數(shù)�����,然后密鑰生成中心從用戶屬性信息用戶具有的屬性集S,運(yùn)行該函數(shù)獲取對(duì)應(yīng)的輸出�����,如果輸出不為空則將該擴(kuò)展屬性添加到屬性集S中����;當(dāng)用戶提交的所有擴(kuò)展屬性驗(yàn)證都被執(zhí)行后,以屬性集S為輸入運(yùn)行密文策略的基于屬性的加密算法中密鑰生成算法生成私鑰���。
全文摘要
一種實(shí)現(xiàn)支持細(xì)粒度訪問(wèn)控制的加密方法���,基于屬性的加密體制中訪問(wèn)控制結(jié)構(gòu)為一棵訪問(wèn)控制樹(shù),使用k<0的范圍表示擴(kuò)展屬性節(jié)點(diǎn)�����,k表示運(yùn)算標(biāo)識(shí)符���,對(duì)應(yīng)于特定的運(yùn)算(或函數(shù))�;k<0的葉子節(jié)點(diǎn)稱為擴(kuò)展屬性的葉子節(jié)點(diǎn)��,這類節(jié)點(diǎn)的子節(jié)點(diǎn)為一個(gè)或多個(gè)屬性與屬性值對(duì)。子節(jié)點(diǎn)中數(shù)據(jù)為與運(yùn)算標(biāo)識(shí)符k對(duì)應(yīng)的運(yùn)算函數(shù)所需的輸入?yún)?shù)�。函數(shù)的輸出對(duì)應(yīng)于擴(kuò)展屬性節(jié)點(diǎn)的屬性值,擴(kuò)展的運(yùn)算包括匹配函數(shù)和邏輯運(yùn)算符����。本發(fā)明使基于屬性加密算法支持豐富的運(yùn)算,使改進(jìn)后基于屬性的加密算法具有靈活的�����、細(xì)粒度的訪問(wèn)控制能力��。
文檔編號(hào)H04L29/06GK102244660SQ201110193448
公開(kāi)日2011年11月16日 申請(qǐng)日期2011年7月12日 優(yōu)先權(quán)日2011年7月12日
發(fā)明者張然, 李未, 牛虹婷, 郎波, 高昊 申請(qǐng)人:北京航空航天大學(xué)