[发明专利]一种基于属性基密码的分布式服务访问授权及访问控制方法

摘要

本发明提出一种基于属性基密码的分布式服务访问授权及访问控制方法，用来解决用户跨域访问多服务提供商服务的认证、授权和访问控制问题。本发明设计了一种基于多因子认证和分布式层次化属性密码的授权和服务访问控制机制，每个供应商的服务被组织成层次化的服务树，每个用户的权限包括其订购的服务集合及其订购的时间，服务提供商的访问策略由服务属性和时间属性决定，通过融合多因子认证和属性密码机制实现用户认证、授权和访问控制的结合。本发明支持用户利用一个统一的服务发布和管理平台进行跨域访问多个服务提供商以及系统内服务提供商的服务。

主权项

1.一种基于属性基密码的分布式服务访问授权及访问控制方法，其特征在于：包括以下步骤：S1：服务发布平台初始化：服务发布平台配置有一个服务代理(SB)负责平台的初始化及其与用户和服务提供商的交互，服务提供商(SP)通过服务代理(SB)发布和管理服务，用户通过服务代理(SB)进行注册并购买服务，并由服务代理(SB)代理认证用户身份并对用户进行授权；所述服务代理需要负责生成执行分布式属性基密码所需的系统公共参数、服务层次公共参数；用户购买的服务包括两类属性：服务属性和时间属性，服务属性用于指定合法用户可以访问的服务，时间属性用于限定用户访问服务的时间期限；S2：服务发布：服务提供商SP将自己提供的服务打包销售，并根据各种服务包的包含关系构建服务属性树，下层的服务包是上层服务包的子集，叶子节点表示最细粒度的服务单元；每个SP也给出服务树中每一个服务包节点的标识方法；每个SP生成自己的公/私钥对(对应服务树的根)，将自己的服务树、服务包节点标识及其公钥发布到服务平台；同时，SP利用分布式层次化的属性基密码技术为服务树的第一层服务节点(顶层服务包)生成服务访问认证私钥并分发给雾节点(FN)；S3：提供用户注册：获取用户(Users)在注册时提交的身份信息、购买的服务以及购买服务的时间期限信息；服务代理SB获取用户发送的订阅服务请求，在验证用户及用户的订阅服务请求后，SB依据用户购买的服务以及时间期限制定访问策略对认证信息利用层次化属性基密码技术进行加密，生成用户访问服务的授权票据发送给用户；S4：提供访问服务：雾节点FN获取用户递交的认证信息和授权票据发起的服务访问请求，如果用户请求的不是顶层服务包，则FN根据用户请求的服务包在服务属性树中的层次，利用分布式层次化属性基密码技术的密钥委托算法和SP发送的顶层服务包的服务访问认证私钥生成用户请求的下层服务包的当前时隙的服务访问认证私钥，该私钥中的时间属性私钥组件取当前时隙的私钥组件，然后应用此私钥解密用户提交的授权票据，如果解密成功，则利用票据中的认证信息对用户身份进行认证，如果认证成功，则为用户提供服务。