[发明专利]一种分级优化加密无损隐私保护方法

说明书

本发明公开了一种分级优化加密无损隐私保护方法，应用基于属性基加密技术构建数据安全访问控制与多级密钥生成管理机制，以确保授权用户访问凭证安全与访问控制策略的语义信息安全，引入随机因子以混淆隐藏数据访问模式，优化设计访问控制策略的身份与权限的验证执行，提升机制执行效率与计算性能。通过多级密钥生成管理方法，引入随机因子参数，基于对称可搜索加密技术，在确保数据安全性的基础之上解决数据经加密之后的可用性问题，结合混合加密技术，以提高加密数据检索的高效性，最终实现分级加密、优化性能、无损保护的数据隐私保护方法，适用于大数据量加解密、多授权用户共享检索、隐私数据常态更新的实际应用场景。

技术领域

本发明属于访问控制技术与密码学技术领域，涉及一种分级优化加密无损隐私保护方法，具体涉及一种结合基于属性基加密技术构建数据访问控制与基于对称可搜索加密的分级密钥生成与优化无损加密数据的隐私保护方法。

背景技术

访问控制技术是确保数据安全可控的重要机制，可以根据实际环境需求制定复杂精准的访问控制策略，以保护授权用户访问凭证、访问会话机制、访问控制策略等用户隐私敏感信息，阻止非授权用户对数据的非法访问与一定权限用户的越权访问数据。基于零知识证明协议(Zero-knowledge ProofProtocol)的访问控制机制，可以预防外部对于数据的安全威胁，同时能够很好隐藏授权用户与数据服务器之间的会话信息，但是难以保证数据服务器系统本身的安全性与可靠性，固有的系统脆弱性使其存在不可信的可能，而且数据访问控制策略明文存储于数据服务器之上，难以抵御内部威胁所造成的攻击。基于属性基加密(Attribute-based Encryption，ABE)的安全访问控制机制，针对用户的属性信息加密可以确保用户安全凭证与访问控制策略的语义信息安全，但在授权用户信息变更的情况下，需要对访问控制策略进行重加密重生成，同时在验证用户访问凭证时需要对策略进行解密检验，整个处理操作都在用户端进行，对于机制的执行效率、用户端的加解密计算开销与访问会话的通信性能负荷而言存在较大的问题，同时不能确保授权用户与数据服务器之间的用户会话信息的安全，授权用户与访问策略、访问数据之间的链接性信息容易被不可信服务器实体所关联。

可搜索加密(searchable encryption，SE)技术是基于数据的保护，从数据的维度出发，根据计算安全理论对隐私数据进行安全加密保护，隐藏混淆数据的原有信息，使隐私数据即使在泄露的情况下，仍能防止有效信息的泄露，其主要思想是数据加密技术。可搜索加密技术通过应用密码技术理论对原始数据进行充分的混淆与随机化，加密之后生成的密文也能够支持数据库系统针对密文数据进行数据查询等操作处理。可搜索加密技术根据加密方法可分为对称可搜索加密与非对称可搜索加密。对称可搜索加密是基于对称加密算法与伪随机函数对数据进行加密处理，执行效率高、加解密速度快、适合大量数据的加密保护，但适用场景有限、难以拓展且密钥生成保护是关键问题所在。非对称可搜索加密是采用公私钥加密算法对数据进行加密保护，公私钥分离特性使其对于多用户模型更具有实用性，但算法复杂、加解密速度较慢、计算开销大，对于大数据量的数据加密显然执行效率与计算开销、性能负荷是其主要的问题。

发明内容

本发明的主要目的在于利用基于属性基加密技术构建数据安全访问控制机制，设计实现用户属性集合加密方法、访问用户身份权限验证方法、数据访问控制策略生成方法以保护授权用户的安全访问凭证、访问会话信息及控制策略语义信息安全，隐藏用户访问会话链接性，以随机因子混淆隐藏访问凭证、访问策略、访问数据之间的关联性，优化机制执行效率与计算性能；通过数据访问控制机制生成多级密钥，结合混合加密方法，基于对称可搜索加密技术，实现分级加密、优化性能、无损保护的数据隐私保护方法，支持数据快速加解密、高效率数据检索查询，有效适用于大数据量加解密、多用户共享的实际场景。

本发明采用的技术方案是：一种分级优化加密无损隐私保护方法，其特征在于，包括以下步骤：

步骤1：数据管理者基于授权用户的身份属性集合，以带密钥的散列算法分别对每个授权用户的属性集合进行加密预处理操作；