[发明专利]一种基于属性密码的分布式跨域授权和访问控制方法

说明书

本发明提出了一种基于属性密码的分布式跨域授权和访问控制方法，该方法主要用来解决在大规模分布式环境下的跨域授权和访问控制问题。本发明设计了一种多权威(Attribute Authorities,AAs)和具有受控密钥委托的层次化属性加密机制(Hierarchical Attribute‑Based Encryption with controlled key delegation,MA‑HABE‑CKD)，支持为多个域的用户进行非中心化和受控的安全授权，防止密钥委托滥用，以此为基础实现非交互式访问控制。该方法也支持解密外包，支持轻量级的用户获得授权以访问系统。

技术领域

本发明属于计算机信息安全学科中的数据安全存储访问领域，特别涉及分布式环境下的分布式跨域授权和访问控制方法。

背景技术

随着计算机技术、互联网的快速发展，每天产生的大量数据以数字化的形式存储在计算机上。云计算是一种新兴技术，在这种技术中，用户可以租用公司提供的服务器(也称为云)的存储和计算资源。用户只需要连接到互联网的终端、智能手机或平板电脑。应用程序在云中运行，而不是用户的机器。云可以存储大量的数据，因此移动用户不必携带他们的数据。一些云供应商提供应用程序服务(例如，Google Apps，微软在线)，一些提供基础设施支持(如:亚马逊的EC2，Eucalyptus，Nimbus)。这种分布式的数据访问过程逐渐成为一种趋势；云计算技术为海量数据的存储和处理提供了一个有效的解决方案，提供大量不同类别的服务；其中，雾计算作为当前一个被大众讨论的热点，利用自身低延迟，位置感知以及广泛分布的位置节点的优势。现实生活环境中，相关的雾计算设备不仅能够提高数据的计算效率，而且能够及时把数据反馈给用户。通过利用雾设备广泛分布的地理位置的特点，用户能够有效的、快速的访问数据。在依托于雾计算的分布式处理、储存和虚拟化等技术，雾计算嫣然成为当下对于解决数据的管理、分析和挖掘的一种有效的解决方式。在雾计算环境中，用户可以把数据储存在雾设备中，但是这种数据储存的方式会导致用户失去对数据的安全管理控制，从而给雾设备上的数据带来的极大的安全隐患。例如智能手环、智能家居和智能办公系统里面储存的各种敏感数据等，这些隐私信息一旦被泄露出去，会对人们的日常生活工作产生很大的负面影响。

然而通过数据加密技术和访问控制方法，可以实现上述用户对数据隐私信息的保护需求。传统的访问控制方法需要一个完全可信的服务器和可信的管理员来执行，系统中用户的数量和储存的数据大小成为了系统效率的一个瓶颈，若该服务器被攻击者攻陷时，保存在服务器上的用户隐私数据将会被泄露，对于现有的雾计算环境是不适用的。而数据加密技术则为用户的数据提供了更强的保护手段，传统的公钥密码或者对称加密机制对于不同的用户，系统需要生成不同的密钥，从而对于加密者使用不同的密钥加密相同的文件储存在服务器上，在对海量的用户和庞大的数据系统中，密钥管理需要很大的开销，这也是传统加密应用在实际生活中存在的问题。并且在雾计算环境中，数据拥有者不需要提前知道会有哪些用户需要访问该数据，仅仅需要根据加密策略对需要共享的数据进行加密，这种环境下，传统的访问控制机制下构建的加密方案不能够提供细粒度的访问，所以传统的加密技术和访问控制方法不能高效地应用在雾计算环境下。

基于上述存在的问题，基于属性加密(Attribute-Based Encryption,ABE)被认为是目前最适合解决在雾计算环境下的隐私数据的安全保护以及实现细粒度的数据访问的技术之一，该方法可以实现一对多的加密访问控制机制，同时，具有可扩展性，分布式的特点。ABE有两种延伸的结构，一种是基于密文策略的ABE(CP-ABE)和基于密钥策略的ABE(KP-ABE)，在CP-ABE中，每个用户的密钥与一组属性集相关，密文则与访问结构有关；而在KP-ABE中正好相反，密文与一组属性集相关，用户的密钥与访问结构有关。当把ABE应用到雾计算环境中，为了达到数据拥有者能够有效地管理以及控制存储在雾设备上的隐私数据时，CP-ABE更适合进行数据访问控制，数据拥有者可以自由定义具有哪些属性的用户可以访问保存在雾设备上的隐私数据。