[发明专利]基于密钥分片的数据细粒度访问控制方法

摘要

本发明公开了一种基于密钥分片的数据细粒度访问控制方法，主要解决现有技术安全性低和运算量大的问题。其实现步骤是(1)数据拥有者对共享数据加密，获得密文；(2)属性权威机构为访问群组用户生成两个属性私钥分别发送给半可信代理机构和访问群组用户；(3)当访问群组用户满足访问控制结构时，半可信代理机构用第一属性私钥将密文转为中间结果，访问群组用户用第二属性私钥解密中间结果，得到共享数据；(4)利用属性私钥分片技术控制访问群组用户获取非完整属性密钥，使数据拥有者在执行撤销操作后，无需重新加密共享数据。本发明能为共享数据提供细粒度访问控制，提高其安全性，可用于云端共享数据访问控制下的共享数据访问。

主权项

一种基于密钥分片的数据细粒度访问控制方法，包括如下步骤：(1)数据拥有者DO加密共享数据，得到密文c：1a)属性权威机构AA生成主密钥mk和公钥pk，并将公钥pk发送给数据拥有者DO；1b)数据拥有者DO为共享数据m分配一组属性和一个访问控制结构T，并对共享数据m采用CP‑ABE进行加密，得到密文c；1c)数据拥有者DO上传密文c至云服务提供商CSP；(2)新用户加入访问群组：2a)当有新用户加入时，数据拥有者DO为其分配一个属性集合ω和唯一身份Iu；2b)数据拥有者DO计算属性集合ω中所有属性满足访问控制结构T的属性组合集合，并保证这些属性组合中属性的完整性；2c)数据拥有者DO根据上述计算出的属性组合集合在其内部形成用户列表，并置该新用户访问状态State值为可访问状态True；2d)数据拥有者DO将新用户满足访问控制结构T的属性组合数目和新用户访问状态State值可访问状态True发送至半可信代理机构，并且随机选取属性组合集合中的一个属性组合ω′发至半可信代理机构；2e)新用户上传属性集合ω和唯一身份Iu至属性权威机构AA，属性权威机构AA为其生成两个属性私钥和并将第一属性私钥发至半可信代理机构进行保管，将第二属性私钥发至该新用户保管；2f)半可信代理机构根据上述数据拥有者DO发送的属性组合ω′、属性组合数目、访问状态State值和属性权威机构AA发送的第一属性私钥在其内部形成访问控制表；(3)访问群组用户访问共享数据：3a)访问群组用户从云服务提供商CSP获取密文c，并将密文c和唯一身份Iu上传至半可信代理机构，半可信代理机构验证访问群组用户身份，若其访问状态State为可访问状态True，且满足访问控制结构的属性组合数目大于0，则使用第一属性私钥将密文c转化为中间处理结果c′，并将中间处理结果c′发回访问群组用户；3b)访问群组用户使用第二属性私钥解密中间处理结果c′，得到原始明文m；(4)访问群组中的用户撤销：4a)如果数据拥有者DO要禁止访问群组中某个用户访问共享数据，数据拥有者DO可将要撤销的访问群组用户在其内部用户列表中的访问状态State值更新为禁止访问状态False；4b)数据拥有者DO将要撤销的访问群组用户的访问状态State值发送至半可信代理机构；4c)半可信代理机构根据要撤销的访问群组用户的访问状态State值，将其访问控制表中要撤销用户的访问状态更新为禁止访问状态False，禁止半可信代理机构为要撤销访问群组用户进行密文c的转化处理；(5)共享数据属性撤销：5a)数据拥有者DO更新其内部的用户列表，将所有访问群组用户含有撤销属性的属性组合删除，且重新统计所有群组用户满足访问控制结构T的属性组合数目；5b)数据拥有者DO将更新后的属性组合数目发送至半可信代理机构，并且随机选取属性组合集合中的一个属性组合ω″发至半可信代理机构；5c)半可信代理机构根据数据拥有者DO发送的属性组合ω″和属性组合数目更新其内部的访问控制表。