[发明专利]一种基于分级安全加密的电子文件访问控制方法和系统

权利要求书

1.一种基于分级安全加密的电子文件访问控制方法，包括根据电子文件的密级对电子文件进行分级加密和根据用户的安全等级控制其对电子文件的访问；

系统中的每个用户都注册有唯一的身份标识ID号，并且每个用户被设定安全等级，表示安全级别为C_i的所有用户集合，n_i表示安全级别为C_i的所有用户数，U_i,m是安全级别为C_i的用户集合中的第m个用户,m∈{1,2,…,n_i}；每个用户U_i,m通过安全信道获取一个唯一的秘密值s_i,m，作为用户的个体私钥；其特征在于,该方法具体是：

步骤1.设置电子文件的密级：

电子文件都具有唯一的电子文件ID，当安全级别为C_i电子文件发送者U_i,a需要发送电子文件j时，在客户端首先设置该电子文件的密级F_t，并把电子文件ID和电子文件的密级F_t发送给服务器；所述电子文件的密级是电子文件发送者U_i,a根据相应的定密依据对电子文件设定的秘密等级；用户所能设定的电子文件的密级等于或小于用户的安全级别，即t≤i；

步骤2.给电子文件发送者分配分级密钥K_t：

(2-1)服务器利用集合G_i中的用户的个体私钥，构造访问多项式其中VID_i为一个虚拟标识，其值不同于所有用户的个体私钥，是为每个电子文件j和Λ_i(x)随机选取的；对于密级为C_i的用户U_i,m，Λ_i(s_i,m)＝1；对于其他密级的用户U_j,m，则Λ_i(s_j,m)为一个随机值；

(2-2)计算密钥分配多项式：

若电子文件密级等于用户的安全级别，t＝i，则分级密钥K_t的密钥分配多项式为Φ_i(x)＝Λ_i(x)·K_t；

若电子文件密级小于用户的安全级别，t＜i，则分级密钥K_t的密钥分配多项式为E_K(·)表示对称加密函数；

(2-3)将密钥分配多项式Φ_i(x)发送给客户端，客户端根据收到的密钥分配多项式Φ_i(x)和用户U_i,a的个体私钥s_i,a计算Φ_i(s_i,a)恢复出电子文件j的分级加密密钥K_t；

步骤3.对电子文件j进行分级加密：

利用分级密钥K_t和加密算法E_t对密级为F_t的电子文件j进行加密，并把加密后的电子文件j的密文发送给服务器进行存储；分级密钥K_t分别应用于安全密级为F_t的电子文件的加密和解密；对于不同密级的电子文件，加密算法E_t可以相同也可以不同；分级密钥将分别被分配给安全等级为C_t的用户；

步骤4.分级访问控制：

当安全级别为C_i的用户U_i,b申请访问密级为F_t的电子文件j时，服务器检查用户U_i,b的安全级别：若安全级别小于电子文件j的密级，则拒绝该访问申请；若用户U_i,b的安全级别大于或等于电子文件j的密级，则把电子文件j的密文以及分级密钥K_t分配给用户U_i,b；

所述用户的安全级别大于或等于所能访问的电子文件密级，即i≥t；

步骤5.密钥的更新：

若系统中需要增加密级为C_i的新用户，则只需根据用户集合G_i生成新的分级密钥分配多项式即可；若删除密级为C_i的用户，则需要对该电子文件的加密密钥，密钥分配多项式以及电子文件的密文进行更新，以防止该用户继续访问该电子文件j；具体方法为：

(5-1)为密级为F_t的电子文件j随机选择一个新的分级密钥K′_t；

(5-2)计算新的分级密钥分配多项式：

若电子文件密级F_t等于用户的安全级别C_i，则新的分级密钥分配多项式为Φ′_i(x)＝Λ′_i(x)·K′_t；

若电子文件密级F_t小于用户的安全级别C_i，则新的分级密钥分配多项式为

(5-3)把分级密钥分配多项式Φ_i'(x)发送给客户端；

(5-4)采用新的分级加密密钥K′_t加密电子文件j并存储。