[发明专利]一种基于CP-ABE的密文访问控制方法有效
| 申请号: | 201610540456.6 | 申请日: | 2016-07-11 |
| 公开(公告)号: | CN105991278B | 公开(公告)日: | 2019-06-28 |
| 发明(设计)人: | 周彦萍;黎彤亮;赵环宇;马艳东;慕晓蕾;万仲飞;辛凤艳 | 申请(专利权)人: | 河北省科学院应用数学研究所 |
| 主分类号: | H04L9/08 | 分类号: | H04L9/08;H04L29/06 |
| 代理公司: | 石家庄新世纪专利商标事务所有限公司 13100 | 代理人: | 徐瑞丰;董金国 |
| 地址: | 河北省石家庄*** | 国省代码: | 河北;13 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于CP‑ABE的密文访问控制方法,属于信息安全领域,其包括如下步骤:1、进行准备和维护工作,其包括密文策略的属性加密体制(CP‑ABE)的初始化、用户注册与审核、产生系统和用户的用于签名和加密的非对称密钥对、生成用户的CP‑ABE属性密钥SK以及密钥与属性证书管理;2、文档共享需要文档提供者、可扩展访问控制标记语言(XACML)访问控制系统及共享用户三者协同工作。本发明利用PMI体系中的属性证书作为CP‑ABE属性集合和访问结构的表述凭证,XACML表达CP‑ABE策略,保证了属性集合和访问控制结构描述的安全性。本发明引入具备继承关系的层次结构,支持分布式、可授权、可推导等特性,支持属性授权能力应遵守约束限制,适用于分布和开放的网络应用环境。 | ||
| 搜索关键词: | 一种 基于 cp abe 访问 控制 方法 | ||
【主权项】:
1.一种基于CP‑ABE的密文访问控制方法,其特征在于:其包括如下步骤:步骤1、进行准备和维护工作,其包括密文策略的属性加密体制(Ciphertext‑Policy Attribute‑Based Encryption,CP‑ABE)的初始化、用户注册与审核、产生系统和用户的用于签名和加密的非对称密钥对、生成用户的CP‑ABE属性密钥SK以及密钥与属性证书管理;步骤2、文档共享需要文档提供者、可扩展访问控制标记语言(eXtensible Access Control Markup Language,XACML)访问控制系统及共享用户三者协同工作,具体工作如下:1)共享文档提供者的工作:文档提供者首先需要制定共享用户应满足的条件,即访问结构,以及环境与策略约束条件,然后采用混合加密机制,用文档提供者的访问结构对文档的会话密钥Key进行CP‑ABE加密和签名,再用Key对文档内容加密,形成加密信息包,并将加密信息包交给XACML访问控制系统准备传输给共享用户;2)XACML访问控制系统的工作:策略强制点(Policy enforcement point,PEP)接收用户的共享请求和认证评估信息,形成XACML判决请求后发给策略决定点(Policy decision point,PDP);PDP根据用户认证信息及由策略管理点(Policy administration point,PAP)、策略信息点(Policy information point,PIP)传过来的策略及相关属性值进行判决,并将判决结果传回PEP;若判决结果为允许则XACML访问控制系统将加密信息包传送给用户,否则或判决过程有任何签名验证不成功、解密不成功情形发生,XACML访问控制系统便拒绝将加密信息包传送给用户;XACML访问控制系统的工作,具体步骤如下:2‑1、用户向策略执行点PEP提出某文档的共享请求;2‑2、所述策略执行点PEP响应用户请求,确定要共享的文档ID和用户ID;2‑3、策略执行点PEP要求用户提交相关的认证评估信息,其包括当时的网络情况、电脑系统软件运行情况、硬件运行情况等环境信息,电脑主要设备的参数等;2‑4、用户收集评估信息,发送给所述策略执行点PEP;2‑5、 所述策略执行点PEP依据用户提供的访问请求,包括用户ID、共享文档ID和共享方式,以及相关评估信息形成XACML格式的判决请求报文,发给策略决策点PDP进行评估与决策;2‑6、所述策略决策点PDP接收策略执行点PEP发来的请求报文,对报文进行解析,获取用户ID、共享文档ID、共享方式、环境情况各类认证评估信息;2‑7、策略决策点PDP请求策略信息点PIP返回与主体、资源或者环境有关的属性值;2‑8、策略决策点PDP向策略管理点PAP请求共享文档ID的策略;2‑9、策略管理点PAP根据共享文档ID得到文档提供者的ID,进而从LDAP证书库中获取文档提供者的属性描述符证书ADC,并由此得到文档提供者制定的XACML策略文件密文,PAP将该策略密文传给PDP;2‑10、策略决策点PDP对获取到的策略文件密文验证文档提供者的签名,若通过则用系统私钥解密,得到策略文件,并转步骤2‑11;否则PDP判决结束,给出策略文件签名验证没通过的评判结果,并转步骤2‑12;2‑11、策略决策点PDP依据XACML策略文件判定用户提交的环境情况是否能够满足文档提供者制定的环境条件,是否也能够满足策略约束条件,若有任何一项不满足,则PDP就会判为拒绝访问;若两项都满足,则允许访问;2‑12、所述策略决策点PDP将决策结果告知策略执行点PEP;2‑13、所述策略执行点PEP接收到的策略决策点PDP决策结果若为允许访问,则XACML访问控制系统向用户传送加密信息包,用户获得加密信息包,即可进行CP‑ABE解密,否则XACML访问控制系统拒绝向用户传送共享文档的加密信息包;3)共享用户的工作:用户收到XACML访问控制系统发来的加密信息包后,要先验证会话密钥Key的签名,通过后用CP‑ABE解密得到Key;然后用Key对共享文件解密得到明文;期间若签名验证不成功则会中断后面的步骤,并且用户只有符合共享文档提供者制定的条件才能正确解密会话密钥Key。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于河北省科学院应用数学研究所,未经河北省科学院应用数学研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610540456.6/,转载请声明来源钻瓜专利网。
- 上一篇:供电方法及装置
- 下一篇:一种待调度数据的分配方法和装置
