[发明专利]一种基于属性基密码的分布式服务访问授权及访问控制方法

说明书

本发明提出一种基于属性基密码的分布式服务访问授权及访问控制方法，用来解决用户跨域访问多服务提供商服务的认证、授权和访问控制问题。本发明设计了一种基于多因子认证和分布式层次化属性密码的授权和服务访问控制机制，每个供应商的服务被组织成层次化的服务树，每个用户的权限包括其订购的服务集合及其订购的时间，服务提供商的访问策略由服务属性和时间属性决定，通过融合多因子认证和属性密码机制实现用户认证、授权和访问控制的结合。本发明支持用户利用一个统一的服务发布和管理平台进行跨域访问多个服务提供商以及系统内服务提供商的服务。

技术领域

本发明属于网络空间安全学科中的访问控制领域，特别涉及分布式环境下的综合实现认证、授权和访问控制方法。

背景技术

云计算是一个新的广泛的研究领域，它是一种方便的服务模型。云计算可以允许用户通过互联网按需访问资源池模型(如网络、服务器、存储、应用程序和服务)，从而快速的为用户提供服务，它是并行计算、分布式计算和网格计算等技术的发展。云计算有五个基本的特征：按需自助服务、广泛的网络访问、资源池、快速灵活的使用以及可测量的服务。在这种技术中，用户可以订阅服务提供商提供的服务，用户只需要连接到互联网的终端、智能手机或平板电脑，应用程序在云中运行，而不是用户的机器。一些服务提供商提供应用程序服务(例如，Google Apps，微软在线)，一些提供基础设施支持(如:亚马逊的EC2，Eucalyptus，Nimbus)。云计算为用户访问海量服务提供了一个有效的解决方案，提供大量不同类别的服务；雾计算作为云计算的扩展，它将云计算扩展到其网络的边缘，从而实现了新的应用程序和服务。在雾计算模型中，数据和应用程序集中在网络边缘的设备中，而不是几乎完全存储在云中。它已经成为分布式应用程序和服务比较有吸引力的解决方案，并且雾计算可以提供低延迟、高移动性和地理分布式的服务。现实生活环境中，雾节点能够提高用户访问服务提供商服务的效率。通过利用雾节点广泛分布的地理位置的特点，用户能够有效的、快速的访问服务提供商的服务。

基于属性基加密(Attribute-Based Encryption,ABE)被认为是目前最适合解决在云计算环境下的隐私数据的安全保护以及实现细粒度的数据访问的技术之一，该方法可以实现一对多的加密访问控制机制，同时，具有可扩展性，分布式的特点。ABE有两种延伸的结构，一种是基于密文策略的ABE(CP-ABE)和基于密钥策略的ABE(KP-ABE)，在CP-ABE中，每个用户的密钥与一组属性集相关，密文则与访问结构有关；而在KP-ABE中正好相反，密文与一组属性集相关，用户的密钥与访问结构有关。CP-ABE更适合云计算环境中实现资源拥有者控制的细粒度访问控制方案。