[发明专利]一种面向电力调控系统的分层访问控制方法及系统

权利要求书

1.一种面向电力调控系统的分层访问控制方法，其特征在于，包括：

获取数据访问者的自身属性集以及预访问的数据拥有者的加密数据，所述加密数据为数据拥有者预先基于基础访问控制结构加密的密文，所述基础访问结构为预先根据电力调控系统的所有属性以及所有属性之间的关系进行属性分组分层后构建的满足最低访问要求的访问控制结构；

判断所述自身属性集中的所有属性级别是否均不低于基础访问结构中对应类型的属性级别，若是则解密成功获取明文，若否则解密失败，停止访问。

2.根据权利要求1所述的面向电力调控系统的分层访问控制方法，其特征在于，所述基础访问控制结构的构建，包括：

获取电力调控系统的所有属性；

根据所有属性之间的关系，将所有属性依据类别分为n组l层，每组的每层有且仅有一个属性，第h组第k层的属性表示为S_h,k，1≤h≤n，1≤k≤l；

基础访问控制结构为每一层中所有的属性，表示为{S_1,k,..,S_h,k,…,S_n,k}。

3.根据权利要求2所述的面向电力调控系统的分层访问控制方法，其特征在于，判断所述自身属性集中的所有属性级别是否均不低于基础访问控制结构中对应类型的属性级别，包括：

获取自身属性集中任意属性S_i,j，根据属性S_i,j确定其在对应组中的路径(L_i,1,...,L_i,j)，L_i,j表示S_i,j所在路径的层数，该层对应的级别在路径(L_i,1,...,L_i,j)中最低，S_i,j表示第i组第j层的属性,1≤i≤n，1≤j≤l；

从基础访问控制结构中获取与所述属性S_i,j同组的属性S_i,j＇，获取属性S_i,j＇对应的路径(L_i,1,...,L_i,j＇)；

若j＇≥j，则表示属性S_i,j＇的级别不高于属性S_i,j的级别，否则表示属性S_i,j＇的级别高于属性S_i,j的级别。

4.根据权利要求2所述的面向电力调控系统的分层访问控制方法，其特征在于，所述加密数据的构建，包括：

将所有属性分组分层后的第一层设置系统授权中心，之后的每一层设置属性授权中心；

将安全参数α输入系统授权中心，输出全局公共参数G_PP，对所有属性授权中心分配身份标识符id_a；

将全局公共参数G_PP输入各属性授权中心，输出各属性授权中心对应的公钥PK_{id_a}和主密钥MSK_{id_a}，属性授权中心的公钥PK_{id_a}对外公开发布，相应主密钥MSK_{id_a}保存在该属性授权中心对外保密；

在用户所在的属性授权中心输入公共参数G_PP、该属性授权中心的公钥PK_{id_a}、主密钥MSK_{id_a}和用户的属性集S，输出与属性集S相关的属性密钥SK1＝{sk_i,j}，1≤i≤n，1≤j≤l，对于同一组属性，若属性s_i,k位于的层数kj，则生成对应的路径密钥SK2＝{rk_i,k}，1≤i≤n，j≤k≤l，最后该用户的私钥SK＝{SK1,SK2}；

在数据拥有者所在的属性授权中心输入公共参数G_PP、用户所在属性授权中心的公钥PK_{id_a}、基于LSSS的访问控制结构M和明文信息msg，生成密文CT。