一种基于CP-ABE的密文访问控制方法
成果类型:: 新技术
发布时间: 2022-11-05 19:53:56
本发明涉及密文访问控制(即加密并控制用户的解密能力)技术,具体涉及一种基于CP-ABE的密文访问控制方法,其属于信息安全领域。本发明所要解决的技术问题是提供了一种属性集合和访问控制结构描述安全可靠的基于CP-ABE的密文访问控制方法。本发明公开了一种基于CP‑ABE的密文访问控制方法,属于信息安全领域,其包括如下步骤:1、进行准备和维护工作,其包括密文策略的属性加密体制(CP‑ABE)的初始化、用户注册与审核、产生系统和用户的用于签名和加密的非对称密钥对、生成用户的CP‑ABE属性密钥SK以及密钥与属性证书管理;2、文档共享需要文档提供者、可扩展访问控制标记语言(XACML)访问控制系统及共享用户三者协同工作。本发明利用PMI体系中的属性证书作为CP‑ABE属性集合和访问结构的表述凭证,XACML表达CP‑ABE策略,保证了属性集合和访问控制结构描述的安全性。本发明引入具备继承关系的层次结构,支持分布式、可授权、可推导等特性,支持属性授权能力应遵守约束限制,适用于分布和开放的网络应用环境。
种基于CP-ABE的密文访问控制方法,其特征在于:其包括如下步骤:步骤1、进行准备和维护工作,其包括密文策略的属性加密体制(Ciphertext-PolicyAttribute-Based Encryption,CP-ABE)的初始化、用户注册与审核、产生系统和用户的用于签名和加密的非对称密钥对、生成用户的CP-ABE属性密钥SK以及密钥与属性证书管理;步骤2、文档共享需要文档提供者、可扩展访问控制标记语言(eXtensible AccessControl Markup Language,XACML)访问控制系统及共享用户三者协同工作,具体工作如下:1)共享文档提供者的工作:文档提供者首先需要制定共享用户应满足的条件,即访问结构,以及环境与策略约束条件,然后采用混合加密机制,用文档提供者的访问结构对文档的会话密钥Key进行CP-ABE加密和签名,再用Key对文档内容加密,形成加密信息包,并将加密信息包交给XACML访问控制系统准备传输给共享用户;2)XACML访问控制系统的工作:策略强制点(Policy enforcement point,PEP)接收用户的共享
根据权利要求1所述的一种基于CP-ABE的密文访问控制方法,其特征在于:所述步骤1中,对属性证书AC进行管理具体包括:属性证书AC和记录访问策略的属性描述符证书ADC的颁发由信任源点(Source Of Authority,SOA)中心、属性权威机构(AttributeAuthority,AA)中心及AA代理点对应的系统管理员来完成,所述系统管理员都拥有一对IBE密钥对,其中私钥存在个人的USB Key数字设备中,公钥存在服务器中;发放属性证书AC时,使用相应管理员的私钥进行签名。
河北省科学院成立于1978年,是河北省政府直属的综合性自然科学研究与技术开发机构,全院占地13.8万m2,建筑面积8.3万m2,总资产1.76亿元,固定资产1.29亿元。院机关设有8个处室,下辖地理科学研究所、应用数学研究所、生物研究所、能源研究所、自动化研究所、激光研究所、微生物研究所和机电一体化中试基地(机电研究所)等8个研究开发单位。全院共有职工700余人,专业技术人员530余人,高级职称人员170余人,博士31人,硕士98人,博士生导师14人,硕士生导师18人,享受国务院特殊津贴专家2人,享受河北省政府特殊津贴专家10人,河北省“百人计划”(省政府特聘专家)2人,入选河北省“三三三人才工程”第二层次人选15人、第三层次人选41人。 近年来,省科学院先后承担了“863”、“973”等国家、省部级重点项目和基金课题430余项,取得各类科研成果 1480余项,获省部级以上奖励697项,授权发明专利100项、软件著作权85项。
XACML访问控制系统的工作,具体步骤如下:
2-1、用户向策略执行点PEP提出某文档的共享请求;
2-2、所述策略执行点PEP响应用户请求,确定要共享的文档ID和用户ID;
2-3、策略执行点PEP要求用户提交相关的认证评估信息,其包括当时的网络情况、电脑系统软件运行情况、硬件运行情况等环境信息,电脑主要设备的参数等;
2-4、用户收集评估信息,发送给所述策略执行点PEP;
2-5、 所述策略执行点PEP依据用户提供的访问请求,包括用户ID、共享文档ID和共享方式,以及相关评估信息形成XACML格式的判决请求报文,发给策略决策点PDP进行评估与决策;
2-6、所述策略决策点PDP接收策略执行点PEP发来的请求报文,对报文进行解析,获取用户ID、共享文档ID、共享方式、环境情况各类认证评估信息;
2-7、策略决策点PDP请求策略信息点PIP返回与主体、资源或者环境有关的属性值;
2-8、策略决策点PDP向策略管理点PAP请求共享文档ID的策略;
2-9、策略管理点PAP根据共享文档ID得到文档提供者的ID,进而从LDAP证书库中获取文档提供者的属性描述符证书ADC,并由此得到文档提供者制定的XACML策略文件密文,PAP将该策略密文传给PDP;
2-10、策略决策点PDP对获取到的策略文件密文验证文档提供者的签名,若通过则用系统私钥解密,得到策略文件,并转步骤2-11;否则PDP判决结束,给出策略文件签名验证没通过的评判结果,并转步骤2-12;
2-11、策略决策点PDP依据XACML策略文件判定用户提交的环境情况是否能够满足文档提供者制定的环境条件,是否也能够满足策略约束条件,若有任何一项不满足,则PDP就会判为拒绝访问;若两项都满足,则允许访问;
2-12、所述策略决策点PDP将决策结果告知策略执行点PEP;
2-13、所述策略执行点PEP接收到的策略决策点PDP决策结果若为允许访问,则XACML访问控制系统向用户传送加密信息包,用户获得加密信息包,即可进行CP-ABE解密,否则XACML访问控制系统拒绝向用户传送共享文档的加密信息包
3)共享用户的工作:
用户收到XACML访问控制系统发来的加密信息包后,要先验证会话密钥Key的签名,通过后用CP-ABE解密得到Key;然后用Key对共享文件解密得到明文;期间若签名验证不成功则会中断后面的步骤,并且用户只有符合共享文档提供者制定的条件才能正确解密会话密钥Key。
2.根据权利要求1所述的一种基于CP-ABE的密文访问控制方法,其特征在于:所述步骤1准备和维护工作中,其包括:
①完成CP-ABE的初始化,产生系统公共参数PK和主密钥MK;
②生成系统授权管理员的基于身份加密(Identity Based Encryption,IBE)机制的非对称密钥对作为系统非对称密钥对,一对用于系统加密,一对用于签名,两对密钥均存于系统授权管理员的专用安全设备USB key中;
③完成用户注册;
④审核用户注册信息;
⑤生成用户的IBE非对称密钥对,一对用于加密,一对用于签名,两对密钥均存于用户的专用安全设备USB key中;
⑥系统和用户PKI及IBE密钥对的存储、更新及管理;
⑦生成用户属性证书( Attribute Certificate,AC),存入轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)证书库中;
⑧由用户属性证书AC获取用户属性集合S,根据用户属性集合S及系统主密钥MK生成该用户的CP-ABE属性密钥SK,SK=KeyGen(MK,S),SK存于用户的专用安全设备USB key中;
⑨对属性证书进行存储及管理,所述属性证书包括两部分:即属性证书AC及其扩展即属性描述符证书(Attribute Descriptor Certificate,ADC)。