[发明专利]一种分布式可信组织身份访问控制系统及方法

权利要求书

1.一种分布式可信组织身份访问控制系统，其特征在于，包括组织申请模块、可信组织身份服务器以及身份验证模块；

所述组织申请模块用于用户申请组织身份；当用户申请加入组织时，由组织的管理员为用户分配组织身份并基于CP-ABE密码学算法生成属性私钥；用户接收到公私钥后更新自己的数字身份标识，并将更新后的数字身份标识存储至可信组织身份服务器；具体工作步骤如下：

S1：用户通过组织申请模块上传加入请求信息至组织管理员；

S2：组织管理员为对应用户分配组织身份，即属性集；所述属性集为用户拥有的一个或多个属性集合；

S3：组织管理员调用CP-ABE密码学算法为用户生成属性私钥SK，具体包括：调用初始化算法：完成初始化过程，生成一对公开密钥PK与主密钥MK；调用密钥生成算法：传入主密钥MK和属性集，为用户生成属性私钥SK；

S4：组织管理员将公私钥返回给用户，其中公私钥包含公开密钥PK和用户属性私钥SK；

当用户以组织身份访问第三方应用时，所述身份验证模块用于第三方应用验证用户是否拥有对应组织身份；验证成功后，第三方应用根据用户的组织身份授权用户访问；具体验证步骤为：

组织公开自己的数据身份标识，第三方应用为该组织设置访问策略；

用户以组织身份访问第三方应用时，对第三方应用公开自己的数字身份标识；第三方应用根据用户的数字身份标识到可信组织身份服务器获取该用户的公钥；其中用户的公钥为公开密钥PK；

第三方应用使用公钥及访问策略加密随机生成的字符串，将加密后的密文发送给用户；

用户使用属性私钥SK，基于CP-ABE密码学算法，将收到的密文解密成明文后返回给第三方应用；第三方应用比较收到的明文与原字符串，如果相同，则验证成功；

其中CP-ABE密码学算法中的解密算法为：当用户属性私钥SK中包含的属性集满足密文包含的访问结构时，传入公开密钥PK、密文和用户属性私钥SK，将密文解密为明文；其中访问结构表现为：数据的访问策略，支持比较运算以及逻辑运算；若用户的属性私钥SK中包含的属性集不满足密文包含的访问结构，则无法解密，直接验证失败。

2.基于权利要求1所述的一种分布式可信组织身份访问控制系统的执行方法，其特征在于，包括：

步骤一：当用户通过组织申请模块申请加入组织时，由组织的管理员为用户分配组织身份并生成属性私钥；用户加入组织的具体过程如下：

用户申请加入组织；

组织管理员为用户分配组织身份，即属性集；

组织管理员调用CP-ABE密码学算法为用户生成属性私钥SK；

步骤二：组织管理员将公私钥返回给用户，用户接收到公私钥后更新自己的数字身份标识，并将更新后的数字身份标识存储至可信组织身份服务器；

步骤三：当用户以组织身份访问第三方应用时，第三方应用通过身份验证模块验证用户是否拥有对应组织身份；验证成功后，第三方应用即可根据用户的组织身份授权用户访问，具体验证过程如下：

组织公开自己的数据身份标识，第三方应用为该组织设置访问策略；

用户对第三方应用公开自己的数字身份标识，第三方应用根据用户的数字身份标识到可信组织身份服务器获取该用户的公钥；

第三方应用使用公钥及访问策略加密随机生成的字符串，将加密后的密文发送给用户；

用户使用属性私钥SK，基于CP-ABE密码学算法，将收到的密文解密成明文后返回给第三方应用；第三方应用比较收到的明文与原字符串，如果相同，则验证成功。