[发明专利]云环境下基于属性加密的分层访问控制方法及系统

权利要求书

1.云环境下基于属性加密的分层访问控制方法，其特征是，包括：

密钥生成阶段：认证中心MA生成参数pa和主密钥MK，所述参数pa被认证中心MA发送给数据服务器DA，所述参数pa用于控制数据服务器DA的属性控制权限；认证中心MA生成数据服务器DA的公钥PK_D和私钥SK_D；认证中心MA为用户User提供全局私钥GS和全局公钥GP；

数据服务器DA接收数据拥有者Owner发起的读写权限控制密钥ASK的请求，数据服务器DA将生成的读写权限控制密钥ASK反馈给数据拥有者Owner；

数据服务器DA接收用户User发起的生成用于解密的私有密钥SKt和版本密钥VKt的请求，数据服务器DA根据公钥PK_D、私钥SK_D以及全局公钥GP生成用于解密的私有密钥SKt和版本密钥VKt，数据服务器DA将生成的用于解密的私有密钥SKt和版本密钥VKt反馈给用户User；

加密阶段：数据拥有者Owner根据自己的需求制定一个根密钥Root Key，根据读写权限控制密钥ASK，利用非对称加密算法将明文数据加密得到第一密文Cm；将对称密钥加密得到第二密文Cp；数据拥有者Owner把第一密文Cm和第二密文Cp共同存储到云服务器CSP中；

解密阶段：用户User通过根密钥Root Key向数据服务器DA提出认证请求；数据服务器DA将通过认证的用户User的认证身份及用户User的权限，发送给云服务器CSP；认证中心MA为用户User提供全局私钥GS；

云服务器CSP将自身存储的第一密文Cm和第二密文Cp发送给用户User；

用户User使用全局私钥GS和最新的私钥SKt对第一密文Cm和第二密文Cp分别进行解密，得到解密结果。

2.如权利要求1所述的方法，其特征是，所述密钥生成阶段，还包括：

数据服务器DA为数据拥有者Owner和用户User分发属性控制权限，接收认证中心MA发送的全局公钥GP，保证认证中心MA与数据服务器DA之间的通信安全，确保用户得到最新的私钥SKt。

3.如权利要求1所述的方法，其特征是，所述方法还包括：

属性撤销阶段：认证中心MA更新用户的属性集；认证中心MA根据更新后的用户的相关属性集生成新参数pa；认证中心MA将新参数pa发送给数据服务器DA；数据服务器DA根据新参数pa中的更新部分重新生成新的权限控制密钥，数据服务器DA将新的权限控制密钥发送给数据拥有者Owner；

数据拥有者Owner根据新的权限控制密钥对要分享的数据进行重新加密生成第三密文；数据拥有者Owner对新的权限控制密钥进行重新加密，生成第四密文。