[发明专利]基于属性及身份加密的访问控制方法、终端及存储介质

说明书

本发明公开一种基于属性及身份加密的访问控制方法，该方法包括：第一终端获取通过授权中心生成的公钥；根据公钥、预设的用户属性及预设的用户标识生成对称密钥及密文头；根据所述密文头以及所述对称密钥对待加密数据进行加密得到密文文本。本发明还提供终端及存储介质。本发明的密文头及对称密钥均根据公钥、预设用户属性及预设用户标识生成，通过密文头及对称密钥加密待加密数据获得的密文文本与用户属性以及用户标识相关，通过用户属性及用户标识作为访问密文文本的访问策略条件，达到更细粒度的访问数据同时，通过访问策略条件限定可访问密文文本的解密终端，实现只有满足访问策略条件的解密终端才可对密文文本解密获得解密数据。

技术领域

本发明涉及云数据信息安全技术领域，尤其涉及一种基于属性及身份加密的访问控制方法、终端及存储介质。

背景技术

随着云计算的发展，越来越多的企业和个人用户将其数据存放到公有云平台存储，为了保护所存数据不被泄露，一般将数据在本地加密后再传送至云中存储。当用户加密敏感数据时，可通过建立特定的访问控制策略以授权其他人共享使用数据，基于密文策略的属性加密(Ciphertext-policy attribute based encryption,CPABE)方案有效地实现了云上的数据加密存储与细粒度共享，已被广泛地应用于云存储平台实现安全存储。CPABE方案将访问策略嵌入到密文中，属性嵌入到用户密钥中，由数据所有者指定访问密文的策略，当且仅当数据访问者属性集合中的属性能够满足此访问策略时才可以解密密文。

然而CPABE仅支持属性级别的加密访问控制，也即仅能通过限制符合访问策略中属性这一类的数据访问者解密密文后使用数据，并无法实现更细粒度的访问控制。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种基于属性及身份加密的访问控制方法、终端及存储介质，旨在解决CPABE仅能通过限制符合访问策略中属性这一类的数据访问者解密密文后使用数据，并无法实现更细粒度的访问控制的问题。

为实现上述目的，本发明提供一种基于属性及身份加密的访问控制方法，该方法包括：

第一终端获取通过授权中心生成的公钥；

根据所述公钥、预设的用户属性以及预设的用户标识生成对称密钥以及密文头；

根据所述密文头以及所述对称密钥对待加密数据进行加密，得到密文文本。

可选地，根据所述密文头以及所述对称密钥对待加密数据进行加密，得到密文文本的步骤包括：

根据所述对称密钥加密所述待加密数据，以生成密文体；

将所述密文头添加至所述密文体，得到所述密文文本。

可选地，根据所述密文头以及所述对称密钥对待加密数据进行加密，得到密文文本的步骤之后，包括：

将所述密文文本上传至云服务存储中心。

可选地，将所述密文文本上传至云服务存储中心的步骤之后，包括：

接收到所述用户标识的删除指令时，根据所述用户标识以及所述公钥生成更新密钥；

将所述更新密钥发送至所述云服务存储中心，以使得所述云服务存储中心根据所述更新密钥对所述密文头进行更新。

此外，为实现上述目的，本发明还提供一种基于属性及身份加密的访问控制方法，该方法包括：

第二终端接收由授权中心发送的私钥，所述私钥根据所述第二终端的用户标识、用户属性以及所述授权中心生成的主密钥生成；

根据所述私钥以及密文文本中的密文头生成对称密钥；