[发明专利]一种属性基信息流控制方法及系统

权利要求书

1.一种属性基信息流控制方法，其特征在于，包括下列步骤：

发送者发送第二属性、认证标签和密文给消毒机构；其中，根据发送者选择的访问控制结构，得到第一属性，根据所述第一属性和中心机构说明的信息流控制政策，选择发送者的部分属性作为第二属性；所述第一属性和第二属性同时满足所述信息流控制政策；利用发送者密钥生成认证标签，所述认证标签中包括基于零知识证明的签名；根据所述访问控制结构和消毒机构公钥加密明文得到所述密文；

消毒机构对接收到的所述第二属性和认证标签进行认证，认证通过后对接收到的所述密文进行消毒，得到被消毒密文，将所述被消毒密文发送给接收者；其中，所述认证包括：判断所述第一属性和第二属性是否满足所述信息流控制政策，判断所述零知识证明的签名是否正确，确定发送者是否拥有第二属性；所述消毒包括：利用消毒机构私钥和代理解密密钥对密文进行消毒；

接收者利用接收者密钥对收到的所述被消毒密文进行解密，得到明文。

2.根据权利要求1所述的方法，其特征在于，所述认证具体包括：

如果消毒机构判断所述第一属性和第二属性满足所述信息流控制政策，且发送者拥有所述第二属性，则认证通过；

如果消毒机构判断所述第一属性和第二属性不满足所述信息流控制政策，和/或发送者没有所述第二属性，则终止信息流。

3.根据权利要求1所述的方法，其特征在于，所述消毒机构对接收到的密文进行消毒之前，还包括步骤：

所述消毒机构判断所述第一属性是否为接收者属性的子集；如果是，则消毒密文；如果不是，则终止信息流。

4.一种属性基信息流控制系统，其特征在于，包括：中心机构、消毒机构、发送者和接收者；其中，

所述中心机构，根据安全参数，生成主密钥、消毒机构公钥、消毒机构私钥、信息流控制政策和系统公共参数；根据所述主密钥、系统公共参数和发送者属性，生成发送者密钥和发送者代理解密密钥；根据所述主密钥、系统公共参数和接收者属性，生成接收者密钥和接收者代理解密密钥；

所述发送者，用于发送第二属性、认证标签和密文给消毒机构；其中，根据发送者选择的访问控制结构，得到第一属性，根据所述第一属性和信息流控制政策，选择发送者的部分属性作为第二属性；所述第一属性和第二属性同时满足所述信息流控制政策；利用发送者密钥生成认证标签，所述认证标签中包括基于零知识证明的签名；根据所述访问控制结构和消毒机构公钥加密明文得到所述密文；

所述消毒机构，用于对接收到的所述第二属性和认证标签进行认证，认证通过后对接收到的所述密文进行消毒，得到被消毒密文，将所述被消毒密文发送给接收者；其中，所述认证包括：判断所述第一属性和第二属性是否满足所述信息流控制政策，判断所述零知识证明的签名是否正确，确定发送者是否拥有第二属性；所述消毒包括：利用消毒机构私钥和代理解密密钥对密文进行消毒；

所述接收者，用于利用接收者密钥对收到的所述被消毒密文进行解密，得到明文。

5.根据权利要求4所述的系统，其特征在于，所述消毒机构，还用于判断所述第一属性是否为接收者属性的子集；如果是，则消毒密文；如果不是，则终止信息流。