[发明专利]一种部分策略隐藏访问控制方法、系统、无线通信系统

说明书

本发明属于无线通信技术领域，公开了一种部分策略隐藏访问控制方法、系统、无线通信系统，中央授权中心生成全局公共参数，系统主密钥，以及用户全局唯一身份标识；属性授权中心生成属性授权中心公私钥对，生成用户代理密钥和解密密钥；数据拥有者根据共享需求制定访问控制策略，嵌入到密文中，将部分隐藏后的访问控制策略以及密文一起上传到云端；云服务提供商判断数据请求者是否满足部分隐藏后的访问控制策略；数据使用者利用解密密钥完成最终认证；发生用户撤销时，云服务提供商删除被撤销用户对应的代理密钥；发生属性撤销时，云服务提供商对相应的代理密钥以及密文进行更新。本发明在同等安全强度下，认证效率高。

技术领域

本发明属于无线通信技术领域，尤其涉及一种部分策略隐藏访问控制方法、系统、无线通信系统。

背景技术

目前，在传统的CP-ABE访问控制方案中，访问控制策略就是一种访问结构，由被授权者的属性表示，明确规定了具有数据访问权的用户群体，并且以明文的形式同密文一起上传到云端。任何获得密文的用户都可以知道相关的访问控制策略，然而访问控制策略通常也包含一定的敏感信息，可能会泄露用户隐私。例如在医疗云场景中，一家代替患者管理电子病历的医院将数据存储于云上，病人或者医护人员可以通过访问云来获取数据。为了实现访问控制，该医院使用CP-ABE对电子病历进行加密，假设访问控制策略为：(“编号：123-212”AND“状态：正常”)OR(“机构：城市医院”AND“科室：心脏科”)，将其同密文一起外包给云服务提供商。该访问控制策略规定了有权限访问相应电子病历的用户为：城市医院的心脏科专家或者编号为123-212的正常注册用户。显然，如果使用传统的CP-ABE访问控制方案，由于访问控制策略以明文的形式存储于云端，则云服务提供商由此可以推断出医疗云系统中编号为123-212的正常注册用户正在遭受心脏问题的困扰。这侵犯了用户的隐私，同时也表明了在CP-ABE方案中隐藏访问控制策略的重要性。

策略隐藏分为完全隐藏和部分隐藏两种，其中在完全策略隐藏的CP-ABE访问控制方案中，访问控制策略中的任何属性以及属性值都不会公开。而部分策略隐藏的CP-ABE访问控制方案中，仅仅对属性值进行隐藏，例如对于上文提到的访问控制策略进行部分隐藏，可表示为：(“编号：*”AND“状态：*”)OR(“机构：*”AND“科室：*”)，这样便实现了对访问控制策略中敏感信息的保护。在访问控制策略被隐藏的情况下，如何高效地完成对数据请求者的认证，成为了该类方案实现的关键。

然而，现有的策略隐藏的CP-ABE访问控制方案仍然没有完全解决如何去提高用户认证的效率以及安全高效的用户撤销和属性撤销；(1)认证阶段与解密阶段相互独立，使得授权用户进行重复计算，导致用户计算负担增重，如何提高计算效率是一个技术难题。(2)在用户认证阶段，由于用到了大量的双线性对操作，导致认证效率较低，如何提升认证效率是一个技术难题。(3)现有用户撤销以及属性撤销方案均未涉及策略隐藏的场景，如何在策略隐藏的情况下进行安全高效的撤销是一个技术难题。

通过上述分析，现有技术存在的问题及缺陷为：

(1)认证阶段与解密阶段相互独立，使得授权用户进行重复计算，导致用户计算负担增重，如何提高计算效率是一个技术难题。

(2)在用户认证阶段，由于用到了大量的双线性对操作，导致认证效率较低，如何借助计算资源丰富的云服务提供商来完成部分认证是一个技术难题。

(3)现有用户撤销以及属性撤销方案均未涉及策略隐藏的场景，如何在策略隐藏的情况下进行安全高效的撤销是一个技术难题。

解决以上问题及缺陷的难度为：(1)进行快速认证的技术难点主要在于认证阶段和解密阶段相互独立，是快速认证技术难以实现的一个重要原因。(2)如何在策略隐藏情况下进行用户撤销和属性撤销，也是撤销不能安全高效使用的一个重要原因。(3)用户认证过程中由于双线性对的使用导致用户认证效率极低，是其难以高效认证的一个重要原因。