[发明专利]一种基于细粒度的密文访问控制方法

说明书

技术领域

本申请涉及物联网云计算领域，具体的，涉及一种基于细粒度的密文访问控制方法。

背景技术

云存储作为一种基本服务得到了业界的广泛认同，越来越多的企事业单位或个人通过云存储服务保留大量的各类数据信息。然而，网络时代的数据信息内涵更为丰富，往往涉及企业的商业秘密或个人隐私，例如企业销售记录信息、公文信息、个人健康信息等。而事实上，提供存储服务的第三方，即云存储服务提供者(Cloud Service Provider，CSP)往往是独立的运营管理机构或组织，并不完全值得信赖。因此，许多个人和企业还都不敢轻易地将自己的重要数据或私密数据存储到云存储服务器，因此，云存储环境下敏感数据的机密性尤为重要。

云存储服务虽然带来了许多便利，但是也引起了用户对于其安全性的担忧。有数据显示，出于安全方面的考虑，仍有多达70％的企业用户不愿意将关键数据置于自己的控制区域之外。因此，云存储服务的广泛应用，还要依赖于云存储安全访问控制机制。与此同时，随着信息电子化的进一步发展及法制的进一步完善，企业及个人也会越来越多地将私密的信息存储于云中。现有的访问控制方案可以在云存储环境下有效实施密文共享的细粒度的存储访问控制，能够保证用户数据的机密性、完整性和真实性。但是，尽管一些方案较好地解决了访问策略变更、用户属性变更及访问控制粒度等问题，但这些方案的最终解密都需要共享密文访问的用户自身进行大量的解密计算。此外，多数方案是先下载密文，再检查访问控制权限，满足访问控制权限的，可以顺利解密；对于不满足访问权限的，不仅不能解密密文，可能还会白白花费了网络资源及计算资源。如何实现安全的细粒度访问是社交网络环境下的物联网系统所亟需解决的问题之一。

发明内容

本发明旨在至少解决现有技术中存在的技术问题之一。

为此，本发明的目的在于，通过设计一种基于细粒度的密文访问控制方法，结合数字签名技术，由代理解密服务器执行满足访问控制权限的数据解密操作。本发明的技术方案不仅有效减少了用户终端的计算开销，而且又达到了共享密文访问控制的目的，安全性也大大提高。

为实现上述目的，本发明提供一种基于细粒度的密文访问控制方法，包括步骤：

用户终端对代理解密服务器进行授权；

用户终端发送私钥和属性集合至代理解密服务器；

代理解密服务器从云存储服务器获取密文和密钥密文，并进行解密，得到加密秘钥，将所述加密秘钥发送至用户终端；

用户终端接收所述加密秘钥，并进行验证，验证通过则通知代理解密服务器继续解密操作，若验证失败，则结束流程；

代理解密服务器利用加密秘钥对密文进行解密，得到原文；

代理解密服务器根据所述原文判断是否经过篡改，若未经过篡改则表明是用户终端请求的文件，若判断经过篡改则向用户终端进行报警。

具体的，在所述用户终端对代理解密服务器进行授权之前，还包括：

第三方信任机构生成公开参数和主秘钥；

第三方信任机构通过用户属性和主秘钥生成用户私钥，分发至各个用户；

具体的，在所述第三方信任机构生成公开参数和主秘钥步骤之前，还包括：

数据上传端随机选择一个对称秘钥，对上传至云存储服务器的文件进行加密，得到密文；

所述数据上传端加密对称秘钥得到秘钥密文；

具体的，所述方法还包括：数据上传端生成数字签名的公私钥对；

数据上传端对上传至云存储服务器的文件进行哈希摘要算法，得到明文消息摘要，然后对加密文件的对称秘钥生成秘钥消息摘要；

上传所述数字签名、公私钥对、明文消息摘要、秘钥消息摘要一起发送至云存储服务器进行存储。

更具体的，所述生成用户私钥具体为：

第三方信任机构通过用户属性集Λ和主私钥MK，为每个用户选取随机数为每个属性选取随机数生成用户私钥，计算如下式：

更具体的，所述数据上传端随机选择一个对称秘钥，对上传至云存储服务器的文件进行加密，得到密文，具体为：

步骤1，数据上传端随机选择一个对称密钥K_f，对需要存储的文件f进行对称加密，得到密文：

步骤2，使用访问结构参数Γ加密对称密钥K_f得到秘钥密文C_k，具体为：