[发明专利]基于CP-ABE和SM4的云病历密文访问控制系统及方法

说明书

本发明属于数据安全访问技术领域，特别涉及一种基于CP‑ABE和SM4的云病历密文访问控制系统及方法，通过管理中心为数据访问端的请求方和数据拥有端的服务方分配相应用户身份和属性信息，生成并向数据访问端和数据拥有端分发用于数据加解密操作的属性私钥和对称密钥；数据拥有端建立与数据访问端之间的服务对应关系并依据服务请求生成资源数据，利用对称密钥对资源数据进行加密，根据访问控制策略对对称密钥进行属性加密，并将加密后的对称密钥及资源数据密文上传至数据存储中心；数据访问端依据访问请求及自身属性私钥集解密加密的对称密钥，基于对称密钥解密密文，基于解密后的密文进行数据访问。本发明不仅能够对明文数据进行隐私保护，还能够对密文进行动态、细粒度的访问控制，具有较好的应用前景。

技术领域

本发明属于数据安全访问技术领域，特别涉及一种基于CP-ABE和SM4的云病历密文访问控制系统及方法。

背景技术

在互联网、大数据等高新技术迅猛发展的时代，各种行业都逐步向着数字化、信息化发展变化，如智慧医疗系统、智慧社保系统、智慧物流系统等，但在信息技术的“双刃剑”作用下，各个智慧系统在信息安全方面机遇与挑战共存。

大数据和云存储作为智慧系统的核心技术支撑，为大众在数据处理和存储提供了便利，加快了数据交互的速度。而与此同时，将数据的存储和管理放到云端或大数据中心也就意味着将用户自己的数据置于自身控制域之外，无法确保上传的资源的存储安全以及访问控制要求。为了保证隐私数据不被不可信的数据服务提供商窥探及泄露，需要对用户隐私数据进行加密处理后再存储到云端；此外，存储在云端或大数据中心的加密数据在现实中还需要被不同部门的具有不同权限的用户访问，因此对云端及大数据中心的数据安全要求使得用户数据以密文形式存储在云端或大数据中心的同时也要能够被授权的不同用户进行访问。传统的对称加密和公钥加密体制不能实现这种细粒度的访问控制，而且主要是实现一对一的访问，不能实现这种一对多的访问需求。而传统访问控制方式仅支持对明文数据的访问控制，不适合智慧系统的密文访问控制的需求。因此，亟需一种能够对于云端或大数据中心的数据加密安全存储以及细粒度密文访问控制的隐私保护方案，以实现密文的访问控制。

发明内容

为此，本发明提供一种基于CP-ABE和SM4的云病历密文访问控制系统及方法，以解决现有技术中存在的云端或大数据中心的密文数据细粒度访问控制需求，能够对密文进行细粒度的访问控制，在数据安全存储及隐私保护方面，具有良好的发展前景。

按照本发明所提供的设计方案，提供一种基于CP-ABE和SM4的云病历密文访问控制系统，包含：管理中心，及与管理中心连接的若干数据访问端、数据拥有端和数据存储中心，其中，

管理中心，用于为数据访问端的请求方和数据拥有端的服务方分配相应用户身份和属性信息，生成并向数据访问端和数据拥有端分发用于数据加解密操作的属性私钥和对称密钥；

数据拥有端，用于建立与数据访问端之间的服务对应关系并依据服务请求生成资源数据，利用对称密钥对资源数据进行加密，利用访问控制策略对对称密钥进行属性加密，并将加密后的对称密钥及资源数据密文上传至数据存储中心；

数据访问端，依据访问请求及自身属性私钥解密加密的对称密钥，基于对称密钥解密密文，基于解密后的密文进行数据访问；

数据存储中心，用于存储数据拥有端与数据访问端的用户身份信息、属性信息、密钥信息、资源数据密文及加密后的对称密钥。

作为本发明基于CP-ABE和SM4的云病历密文访问控制系统，进一步地，所述管理中心包含：用于对数据访问端和数据拥有端的身份信息进行管理的用户管理单元，用于对数据访问端和数据拥有端进行用户属性集合管理的属性管理单元，用于用户属性私钥和对称密钥的生成、分发、存储和销毁的密码管理单元，和用于管理维护访问控制策略的系统管理单元。