CN106059759A - 一种cp‑abe密文访问控制的架构方法 - Google Patents
一种cp‑abe密文访问控制的架构方法 Download PDFInfo
- Publication number
- CN106059759A CN106059759A CN201610540610.XA CN201610540610A CN106059759A CN 106059759 A CN106059759 A CN 106059759A CN 201610540610 A CN201610540610 A CN 201610540610A CN 106059759 A CN106059759 A CN 106059759A
- Authority
- CN
- China
- Prior art keywords
- user
- attribute
- certificate
- key
- abe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
Abstract
本发明公开了一种CP‑ABE密文访问控制的架构方法,其包括如下步骤:1、进行加密初始化,其包括基于密文策略的属性加密体制的初始化、产生系统和用户的用于签名和加密的非对称密钥对;2、进行用户管理,其包括用户注册、审核、注销与停用以及信息更新;3、进行密钥与属性证书管理;4、进行密文访问控制,需要文档提供者、访问控制系统及共享用户三者协同工作。本发明的优点是利用PMI体系中的属性证书AC作为CP‑ABE属性集合和访问结构的表述凭证,安全性高,利用轻量级目录访问协议LDAP作为AC的证书库;AC的颁发体系采用分级;属性证书AC和属性描述符证书ADC都遵循X.509v4标准,采用ANS.1编码格式,保证了CP‑ABE的密文访问控制的高性能、高可靠性。
Description
技术领域
本发明涉及CP-ABE体制下的密文访问控制技术的架构方法,其属于信息安全领域。
背景技术
利用传统的加密体制如PKI(Public Key Infrastructure,公钥基础设施)及IBE(Identity Based Encryption,身份加密体制)进行秘密共享时,首先必须列举共享群体中的用户并获取其公钥,并须针对每一用户利用其公钥生成密文,加密次数就是共享群体中的用户数。然后,共享用户接收到密文后,各自用私钥解密得到共享信息的明文。这种模式对分布式应用的某些场景来说是难以实现的。例如,在一些分布式的网络应用中,由于系统在地域上的广泛分布,信息共享的群体可能遍布全国甚至全球;或者是共享群体中的个体数量会极其庞大,不仅难以列举,还可能损害用户隐私;又或者共享群体中的成员是由一些符合某种特定条件的个体组成,根本不能列举。而信息共享的需求不仅安全性要求高,效率也有很高要求。面对这种情形,传统加密体制无能为力,不能满足信息共享的安全需求。
CP-ABE算法能够制定灵活的访问策略而更加适于分布式环境下的密文访问控制,加密方加密信息时不需知道具体是谁解密,而解密方只需符合相应条件便可解密。国内外许多学者对CP-ABE算法进行研究,L.Cheung等人通过给出固定大小的访问控制表达树提出了一个CP-ABE方案,实现了作用于正属性与负属性上的and门访问结构,表达能力得到了改善。B. Waters提出的CP-ABE 方案是一个标准模型下可证安全的,控制结构的描述是通过利用LSSS (Linear Secret Sharing Scheme, 线性秘密分享方案)来决定哪些子集属于授权集合哪些属性的集合不是授权集合,该CP-ABE 方案无论在表述能力上还是安全证明上都有很大的贡献。2008年上海交通大学可信任数字技术实验室曹珍富、董晓蕾课题组设计了一个新的高效的CP-ABE方案,用来解决加密数据的共享问题,在世界上最先实现了加密数据共享移动设备及相关程序的研发。
学者们的研究内容主要集中在更强的表达能力、协议的安全模型证明及效率等方面,虽然获得了很多成果但与实际应用相结合的具体实施模型还有不少问题亟待研究,包括如何设计安全灵活的属性集合描述模式,如何构造易维护的访问控制结构,如何增强访问控制结构的表达能力,以及如何设计一个完整、详细的授权实施方案,只有解决好这些问题才能获取CP-ABE更多的实际应用场景。
发明内容
本发明所要解决的技术问题是为CP-ABE密文访问控制的实施提供了一种架构方法。
本发明所采用的技术方案包括如下步骤:
步骤1、进行加密初始化,包括CP-ABE的初始化;产生系统和用户的用于签名和加密的IBE密钥对,具体如下:
① 完成CP-ABE初始化,产生系统公共参数PK和主密钥MK;
② 生成系统授权管理员的IBE非对称密钥对作为系统非对称密钥对,一对用于系统加密,一对用于签名,两对密钥均存于系统授权管理员的专用安全设备USB key中;
③ 生成用户的IBE非对称密钥对,一对用于加密,一对用于签名,两对密钥均存于用户的专用安全设备USB key中。
步骤2、进行用户管理,具体如下:
① 用户注册;
② 用户注册信息审核;
③ 用户注销与停用;
④ 用户信息更改。
步骤3、进行密钥与属性证书管理,具体如下:
① 根据用户管理产生的用户信息,对系统和用户IBE密钥对进行生成、存储、吊销、更新及管理;
② 根据用户管理产生的用户信息生成用户属性证书AC,存入LDAP证书库中;
③ 根据共享文档提供者制定的访问结构,生成用户的属性描述符证书ADC,存入LDAP证书库中;
④ 由用户属性证书AC获取用户属性集合S,根据用户属性集合S及系统主密钥MK生成该用户的CP-ABE属性密钥SK,SK=KeyGen(MK,S),SK存于用户的专用安全设备USB key中;
⑤对属性证书进行存储及管理,所述属性证书包括两部分:即属性证书AC及其扩展即属性描述符证书ADC。
进一步的,在所述步骤3中的⑤中,对属性证书AC进行管理,是将属性证书AC的颁发分为信任源点SOA中心、属性权威机构AA中心及AA代理点三级。
进一步的,所述属性证书AC和记录访问策略的属性描述符证书ADC由SOA中心、AA中心或AA代理颁发,并存放在服务器端的LDAP证书库中。
进一步的,所述属性证书AC和属性描述符证书ADC都遵循X.509v4标准,并且采用ANS.1编码格式来描述。
进一步的,每个所述信任源点SOA中心、属性权威机构AA中心及AA代理点的功能都由相应的系统管理员来完成,所述系统管理员都拥有一对IBE密钥对,其中私钥存在个人的Key数字设备中,公钥存在服务器中。
进一步的,所述SOA中心或AA中心发放属性证书AC时,使用相应管理员的私钥进行签名。
进一步的,在所述步骤3中的⑤中,对属性证书AC进行管理还包括受理、编码、签发及吊销,所述属性证书AC的受理、产生、编码、签发及吊销由授权管理员和签发管理员负责。
步骤4、进行密文访问控制,需要文档提供者、访问控制系统及共享用户三者协同工作,具体如下:
① 首先需要共享文档提供者制定共享用户应满足的条件,即访问结构,以及环境与策略约束条件,将访问结构形成XML文件,经过签名与加密后向步骤3申请生成属性描述符证书ADC,然后采用混合加密机制,用文档提供者的访问结构ADC对文档的会话密钥Key进行CP-ABE加密和签名,再用Key对文档内容加密,形成加密信息包,并将加密信息包交给访问控制系统准备传输给共享用户;
② 访问控制系统接收到用户的共享请求后,判断用户是否满足共享条件,所处软硬件环境是否符合要求,约束和CP-ABE的访问策略能否满足;若全能满足则将加密信息包传送给用户,否则便拒绝将加密信息包传送给用户;
③ 用户收到访问控制系统发来的加密信息包后,先验证会话密钥Key的签名,通过后用CP-ABE解密得到Key;然后用Key对共享文件解密得到明文。期间若签名验证不成功则会中断后面的步骤,并且用户只有符合共享文档提供者制定的条件才能正确解密会话密钥Key。
本发明的有益效果如下:
本发明为CP-ABE的密文访问控制提供一种架构方法。利用PMI体系中的属性证书AC作为CP-ABE属性集合和访问结构的表述凭证,保证了较高的安全性。利用轻量级目录访问协议LDAP作为AC的证书库;AC的颁发体系采用信任源点SOA中心、属性权威机构AA中心及AA代理点三级;属性证书AC和属性描述符证书ADC都遵循X.509v4标准,并且采用ANS.1编码格式。因此,AC的颁发、存储及编码格式均符合最新的国际标准,保证了CP-ABE的密文访问控制的高性能、高可靠性。
附图说明
图1为CP-ABE密文访问控制架构的示意图。
图2为CP-ABE主要元素的安全处理示意图。
图3为混合加密的工作流程。
图4为CP-ABE的加密工作流程。
图5为属性证书颁发体系。
图6为LDAP属性证书树的示例。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合图1-图6和具体实施例对发明进行清楚、完整的描述。
如图1所示,本实施例为CP-ABE密文访问控制搭建了一种架构,CP-ABE的两大主要元素---属性集合和访问结构均利用PMI机制的属性证书AC和属性描述符证书ADC来表达,CP-ABE的访问策略纳入访问控制系统。为了保证CP-ABE访问结构和策略的安全,如图2所示,本发明先将访问结构和策略形成XML文件,然后对XML文件利用发布人的IBE私钥签名、系统的IBE公钥加密,最后再将处理过的访问结构XML文件写入ADC中,保证其不可抵赖性与不被篡改,保证传输中不被窃取。用户提出共享请求之后,由访问控制系统对其评判有无访问权限,只有用户的评判结果为允许时才能够收到利用混合加密机制处理过的加密信息包,所述混合加密机制即CP-ABE加密和会话密钥加密相结合,如图3和图4所示。属性证书存储在LDAP证书库中,如图6所示,其颁发体系采用信任源点SOA中心、属性权威机构AA中心及AA代理点三级结构,如图5所示;属性证书AC和属性描述符证书ADC都遵循X.509v4标准,并且采用ANS.1编码格式。
本实施例具体采用如下步骤实现:
步骤1、加密初始化,包括CP-ABE的初始化,产生系统和用户的用于签名和加密的IBE密钥对。具体如下:
①完成CP-ABE初始化,产生系统公共参数PK和主密钥MK;
②生成系统授权管理员的IBE非对称密钥对作为系统非对称密钥对,一对用于系统加密,一对用于签名,两对密钥均存于系统授权管理员的专用安全设备USB key中;
③生成用户的IBE非对称密钥对,一对用于加密,一对用于签名,两对密钥均存于用户的专用安全设备USB key中。
步骤2、用户管理,具体如下:
① 用户注册;
② 用户注册信息审核;
③ 用户注销与停用;
④ 用户信息更改。
步骤3、密钥与属性证书管理,具体如下:
① 根据用户管理产生的用户信息,对系统和用户IBE密钥对进行生成、存储、吊销、更新及管理;
② 根据用户管理产生的用户信息生成用户属性证书AC,存入LDAP证书库中;
③ 根据共享文档提供者制定的访问结构,生成用户的属性描述符证书ADC,存入LDAP证书库中;
④ 由用户属性证书AC获取用户属性集合S,根据用户属性集合S及系统主密钥MK生成该用户的CP-ABE属性密钥SK,SK=KeyGen(MK,S),SK存于用户的专用安全设备USB key中;
⑤对属性证书进行存储及管理,所述属性证书包括两部分:即属性证书AC及其扩展即属性描述符证书ADC。
进一步的,在所述步骤3中的⑤中,对属性证书AC进行管理,是将属性证书AC的颁发分为信任源点SOA中心、属性权威机构AA中心及AA代理点三级,如图5所示。
进一步的,所述属性证书AC和记录访问策略的属性描述符证书ADC由SOA中心、AA中心或AA代理颁发,并存放在服务器端的LDAP证书库中,如图6所示。
进一步的,所述属性证书AC和属性描述符证书ADC都遵循X.509v4标准,并且采用ANS.1编码格式来描述。
进一步的,每个所述信任源点SOA中心、属性权威机构AA中心及AA代理点的功能都由相应的系统管理员来完成,所述系统管理员都拥有一对IBE密钥对,其中私钥存在个人的USB Key数字设备中,公钥存在服务器中。
进一步的,所述SOA中心或AA中心发放属性证书AC时,使用相应管理员的私钥进行签名。即对按X.509v4标准进行了ANS.1编码的属性证书进行数字签名,签名私钥存储在系统管理员的便携式USB Key数字设备中。
进一步的,在所述步骤3中的⑤中,对属性证书AC进行管理还包括受理、编码、签发及吊销,所述属性证书AC的受理、产生、编码、签发及吊销由授权管理员和签发管理员负责。
步骤4、密文访问控制,需要文档提供者、访问控制系统及共享用户三者协同工作。
① 首先需要共享文档提供者制定共享用户应满足的条件,即访问结构,以及环境与策略约束条件,将访问结构形成XML文件,经过签名与加密后向步骤3申请生成属性描述符证书ADC,然后采用混合加密机制,用文档提供者的访问结构ADC对文档的会话密钥Key进行CP-ABE加密和签名,再用Key对文档内容加密,形成加密信息包,并将加密信息包交给访问控制系统准备传输给共享用户。
② 访问控制系统接收到用户的共享请求后,判断用户是否满足共享条件,所处软硬件环境是否符合要求,约束和CP-ABE的访问策略能否满足;若全能满足则将加密信息包传送给用户,否则便拒绝将加密信息包传送给用户。
③ 用户收到访问控制系统发来的加密信息包后,先验证会话密钥Key的签名,通过后用CP-ABE解密得到Key;然后用Key对共享文件解密得到明文。期间若签名验证不成功则会中断后面的步骤,并且用户只有符合共享文档提供者制定的条件才能正确解密会话密钥Key。
本发明属将性证书AC的颁发分为信任源点SOA中心、属性权威机构AA中心及AA代理点三级,说明如下:
(1)信任源点SOA
SOA中心是整个授权管理体系的中心业务节点,也是PMI的最终信任源和最高管理机构。SOA中心的职责主要包括,授权管理策略的管理、应用授权受理、AA中心的设立审核及管理和授权管理体系业务的规范化等。
(2)属性权威机构AA中心
AA是PMI的核心服务节点,对应于具体应用系统的授权管理分系统,与SOA中心通过业务协议达成相互的信任关系。AA中心的职责主要包括,应用授权受理、属性证书的发放和管理,以及AA代理点的设立审核和管理等。AA中心需要为其所发放的所有属性证书维持一个历史记录和更新记录。
(3)AA代理点
AA代理点是PMI的用户代理节点,也称为资源管理中心,是对应AA中心的附属机构,接受AA中心的直接管理,由各AA中心负责建设,报经主管的SOA中心同意,并签发相应的证书。AA代理点的设立和数目由各AA中心根据自身的业务发展需求而定。AA代理点的职责主要包括应用授权服务代理和应用授权审核代理等,负责对具体的用户应用资源进行授权审核,并将属性证书的操作请求提交到授权服务中心进行处理。
本发明采用LDAP存储属性证书,说明如下:
(1)LDAP协议
LDAP是基于X.500标准的、简化的目录访问协议,可以根据需要定制,支持TCP/IP网络协议。LDAP是跨平台的、标准的协议,因此能够在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录。与传统关系型数据库的最大区别在于,LDAP优化了数据读取的性能。
LDAP协议从V1版本V3。LDAP V3不是一个协议,而是一个协议族,包括RFC 2251至2256、RFC 2829、RFC 2830、RFC 1823、RFC 2847,RFC 2251是LDAP V3的核心协议。这些协议中主要定义了LDAP的内容和信息模型,确定LDAP目录中信息的格式和字符集,目录信息通过定义对象类、属性、匹配规则和语法等模式来表示;确定了信息的组织方式为目录信息树DIT(Directory Information Tree),以识别名DN(Distinguished Name)和相对识别名RDN(Relative Distinguished Name)为基础的命名方式,以及LDAP信息的Internet表示方式;确定可以在信息上执行操作的通讯协议以及在客户端进行这些操作的API接口;保证目录中信息的安全,匿名、用户名/密码、SASL等多种认证方式,以及与TLS结合的通讯保护框架;基于Referral方式的分布式操作框架;基于控制和扩展操作的LDAP扩展框架。
(2)LDAP结构组织
LDAP信息按照树型结构组织,具体信息存储在称为条目(entry)的数据结构中,每个条目必须属于某个或多个对象类(Object Class),每个Object Class由多个属性类型组成,每个属性类型有所对应的语法和匹配规则。每个条目创建时,必须定义所属的对象类,必须提供对象类中的必选属性类型的属性值,一个属性类型可以对应多个值。每个条目均有自己的DN和RDN,DN是该条目在整个树中的唯一名称标识,RDN是条目在父节点下的唯一名称标识,如同文件系统中,带路径的文件名就是DN,文件名就是RDN。
LDAP属性证书树存储了本发明的所有证书信息,如图6所示。
(3)条目结构
1)基准DN
dc=corp,dc=com,即用单位Internet上的名字来表示。
2)属性证书条目
图6中证书1的DN为:
CID=证书1的ID,CN=AA1的名称,CN=属性证书SOA的名称,DC=pmi,DC=corp,DC=com。
属性证书条目的对象类型:
objectclass: ACdata
objectclass: PKICertACdata
ACdata对象类型表示属性证书信息,要求证书ID号、证书序列号、证书二进制数据等域不能为空,并允许有其它的可选域,如说明信息等。证书二进制数据域遵照X509协议的X.509V4标准,采用ANS.1编码格式;PKICertACdata对象类型表示属性证书颁发者的名称、公钥证书序列号和公钥二进制数据,公钥二进制数据域遵照X509协议的X.509V3标准,也采用ANS.1编码格式。
(4)LDAP服务
在LDAP中共有四类十种操作,它们是查询类操作,如搜索、比较;更新类操作,如添加条目、删除条目、修改条目、修改条目名;认证类操作,如绑定、解绑定;其它操作,如放弃和扩展操作。除了扩展操作,另外九种是LDAP的标准操作;扩展操作是LDAP中为了增加新的功能,提供的一种标准的扩展框架,当前已经成为LDAP标准的扩展操作,有修改密码和StartTLS扩展,在新的RFC标准和草案中正在增加一些新的扩展操作,不同的LDAP厂商也均定义了自己的扩展操作。
本发明利用C语言对LDAP的操作进行封装(lber.h,ldap.h),提供了连接、断开连接,绑定、解除绑定,条目的增删改,条目查询等功能。为了安全起见,这些功能都由相应的系统管理员执行。LDAP目录服务管理员负责LDAP数据库的维护,负责创建和管理应用系统的用户树、角色树、目标资源树、操作树及属性证书树等。
本发明所述的属性证书AC和属性描述符证书ADC都遵循X.509v4标准,并采用ANS.1编码格式来描述。说明如下:
(1)X.509v4标准
X.509v4是数字证书标准X.509的第四版,也是目前的最新版本。X.509v1制订于1988年, X.509 v2于1993年提出,在v1的基础上增加了一些扩展。X.509v3除了包含v1、v2中的标准项外,允许标准的证书扩展和私有扩展。X.509v4于2000年5月发布,在扩展X.509v3的同时增加了属性证书的概念,引入了能够保存任何类型附加数据的证书扩展项,因此可以根据应用系统的具体情况引入专有扩展项,更好地满足了各自应用的需求。
(2)ANS.1编码
ANS.1是一套灵活的记号,用来描述数据结构及其编码的规则集,X.509证书结构就是采用 ANS.1描述和编码的。ANS.1允许定义多种数据类型,还可以使用这些类型构建复杂类型。ANS.1有简单类型、结构类型、标签类型及其他共四种类型,一个给定类型的值是该类型集合里的一个元素。ANS.1使用分配符(::=)给类型和值指定名字。
不论是简单类型还是结构类型的值其编码都是由四个部分构成:
①类型标识字段,用来标识该值的类型;
②长度字段,用来标识该值所占的字节数;
③值字段;
④结束标示字段。
1)简单类型
简单类型没有子组件,是“原子级”的类型,包括BIT STRING、IA5String、INTEGER、NULL、OBJECT IDENTIFIER、OCTET STRING、PrintableString、T61String、UTCTime 共9种。
2)结构类型
结构类型由组件组成,允许有可选组件,可选组件可能有默认值。共有SEQUENCE、SEQUENCE OF、SET、SET OF四种。
3)隐式或显示标签类型
标签对于区分类型十分有用,也通常用于在一个结构类型中区分组件类型。标记一个类型有两种方法,隐式和显式。隐式标签类型是在其他类型基础上通过改变其下层类型的标签而生成,其关键词为IMPLICIT。显式标签类型是在其他类型基础上通过在其下层类型的标签之外添加一个外层标签而生成,其关键词为EXPLICIT。
4)其他类型
包括CHOICE和ANY两种。CHOICE类型表示一个联合体,具有一个或多个备选项;ANY类型表示任意类型的任意值。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。
Claims (10)
1.一种CP-ABE密文访问控制的架构方法,其特征在于: 其包括如下步骤:
步骤1、进行加密初始化,其包括基于密文策略的属性加密体制(Ciphertext-PolicyAttribute-Based Encryption,CP-ABE)的初始化、产生系统和用户的用于签名和加密的非对称密钥对;
步骤2、进行用户管理,其包括用户注册、审核、注销与停用以及信息更新;
步骤3、进行密钥与属性证书管理;
步骤4、进行密文访问控制,需要文档提供者、访问控制系统及共享用户三者协同工作。
2.根据权利要求1所述的一种CP-ABE密文访问控制的架构方法,其特征在于:在所述步骤1的加密初始化中,其包括:
①完成CP-ABE初始化,产生系统公共参数PK和主密钥MK;
②生成系统授权管理员的基于身份加密(Identity Based Encryption,IBE)机制的非对称密钥对作为系统非对称密钥对,一对用于系统加密,一对用于签名,两对密钥均存于系统授权管理员的专用安全设备USB key中;
③生成用户的IBE非对称密钥对,一对用于加密,一对用于签名,两对密钥均存于用户的专用安全设备USB key中。
3.根据权利要求1所述的一种CP-ABE密文访问控制的架构方法,其特征在于:在所述步骤2用户管理中,其包括:
①用户注册;
②用户注册信息审核;
③用户注销与停用;
④用户信息更改。
4.根据权利要求1所述的一种CP-ABE密文访问控制的架构方法,其特征在于:在所述步骤3密钥与属性证书管理中,其包括:
①根据用户管理产生的用户信息,对系统和用户IBE密钥对进行生成、存储、吊销、更新及管理;
②根据用户管理产生的用户信息生成用户属性证书(Attribute Certificate,AC),存入轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)证书库中;
③根据共享文档提供者制定的访问结构,生成用户的属性描述符证书(AttributeDescriptor Certificate,ADC),存入LDAP证书库中;
④由用户属性证书AC获取用户属性集合S,根据用户属性集合S及系统主密钥MK生成该用户的CP-ABE属性密钥SK,SK=KeyGen(MK,S),SK存于用户的专用安全设备USB key中;
⑤对属性证书进行存储及管理,所述属性证书包括两部分:即属性证书AC及其扩展即属性描述符证书ADC。
5.根据权利要求1所述的一种CP-ABE密文访问控制的架构方法,其特征在于:在所述步骤4密文访问控制,其包括:
① 首先需要共享文档提供者制定共享用户应满足的条件(即访问结构)、环境与策略约束条件,将访问结构形成可扩展的标记语言(eXtensible Markup Language,XML)文件,经过签名与加密后向步骤3申请生成属性描述符证书ADC,然后采用混合加密机制,用文档提供者的访问结构ADC对文档的会话密钥Key进行CP-ABE加密和签名,再用Key对文档内容加密,形成加密信息包,并将加密信息包交给访问控制系统准备传输给共享用户;
② 访问控制系统接收到用户的共享请求后,判断用户是否满足共享条件,所处软硬件环境是否符合要求,约束和CP-ABE的访问策略能否满足;若全能满足则将加密信息包传送给用户,否则便拒绝将加密信息包传送给用户;
③ 用户收到访问控制系统发来的加密信息包后,先验证会话密钥Key的签名,通过后用CP-ABE解密得到Key;然后用Key对共享文件解密得到明文;期间若签名验证不成功则会中断后面的步骤,并且用户只有符合共享文档提供者制定的条件才能正确解密会话密钥Key。
6.根据权利要求4所述的一种CP-ABE密文访问控制的架构方法,其特征在于:在所述步骤3中的⑤对属性证书AC进行管理具体包括:属性证书AC的颁发分为信任源点(Source OfAuthority,SOA)中心、属性权威机构(Attribute Authority,AA)中心及AA代理点三级。
7. 根据权利要求4所述的一种CP-ABE密文访问控制的架构方法,其特征在于:在所述步骤3中的⑤对属性证书AC进行管理具体包括:属性证书AC和记录访问策略的属性描述符证书ADC的颁发由SOA中心、AA中心及AA代理点对应的系统管理员来完成,所述系统管理员都拥有一对IBE密钥对,其中私钥存在个人的USB Key数字设备中,公钥存在服务器中。
8.根据权利要求4所述的一种CP-ABE密文访问控制的架构方法,其特征在于:在所述步骤3中的⑤对属性证书AC进行管理具体包括:所述SOA中心或AA中心发放属性证书AC时,使用相应管理员的私钥进行签名。
9. 根据权利要求4所述的一种CP-ABE密文访问控制的架构方法,其特征在于:在所述步骤3中的⑤对属性证书AC进行管理,所述属性证书AC和属性描述符证书ADC都遵循X.509v4标准,并且采用抽象语法符号一即 (Abstract Syntax Notation One,ANS.1)编码格式来描述。
10.根据权利要求4所述的一种CP-ABE密文访问控制的架构方法,其特征在于:在所述步骤3中的⑤对属性证书AC进行管理,对属性证书AC进行管理还包括受理、编码、签发及吊销,所述属性证书AC的受理、产生、编码、签发及吊销由授权管理员和签发管理员负责。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610540610.XA CN106059759A (zh) | 2016-07-11 | 2016-07-11 | 一种cp‑abe密文访问控制的架构方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610540610.XA CN106059759A (zh) | 2016-07-11 | 2016-07-11 | 一种cp‑abe密文访问控制的架构方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106059759A true CN106059759A (zh) | 2016-10-26 |
Family
ID=57186703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610540610.XA Pending CN106059759A (zh) | 2016-07-11 | 2016-07-11 | 一种cp‑abe密文访问控制的架构方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106059759A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632030A (zh) * | 2018-03-22 | 2018-10-09 | 中山大学 | 一种基于cp-abe高效且安全的细粒度访问控制方法 |
-
2016
- 2016-07-11 CN CN201610540610.XA patent/CN106059759A/zh active Pending
Non-Patent Citations (5)
| Title |
|---|
| 周彦萍: "PMI授权管理系统的接口设计", 《计算机技术与发展》 * |
| 周彦萍: "PMI授权管理系统设计与实现", 《计算机技术与发展》 * |
| 周彦萍: "一种基于树结构的证书验证方法", 《计算机安全》 * |
| 周彦萍: "基于CP-ABE的访问控制研究", 《电子产品设计》 * |
| 周彦萍: "基于CP-ABE访问控制系统的设计与实现", 《计算机技术与发展》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632030A (zh) * | 2018-03-22 | 2018-10-09 | 中山大学 | 一种基于cp-abe高效且安全的细粒度访问控制方法 |
| CN108632030B (zh) * | 2018-03-22 | 2020-11-27 | 中山大学 | 一种基于cp-abe的细粒度访问控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105991278B (zh) | 一种基于cp-abe的密文访问控制方法 | |
| CN109936569B (zh) | 一种基于以太坊区块链的去中心化数字身份登录管理系统 | |
| US10027670B2 (en) | Distributed authentication | |
| US10432394B2 (en) | Method and system for sharing encrypted content | |
| US7844816B2 (en) | Relying party trust anchor based public key technology framework | |
| CN107483491A (zh) | 一种云环境下分布式存储的访问控制方法 | |
| WO2018095322A1 (zh) | 量子密钥芯片的发行方法、应用方法、发行平台及系统 | |
| CN105208024B (zh) | 不使用https的数据安全传输方法及系统、客户端和服务端 | |
| Chen et al. | BIdM: A blockchain-enabled cross-domain identity management system | |
| CN114513533A (zh) | 一种分类分级健身健康大数据共享系统及方法 | |
| CN111783128B (zh) | 可验证的分布式数据库访问控制方法 | |
| KR20090068183A (ko) | 자기통제 강화형 디지털 아이덴터티 공유 장치 및 그 방법 | |
| CN108964892A (zh) | 可信应用标识的生成方法、应用方法、管理系统和应用系统 | |
| CN102916965A (zh) | 一种云服务接口的安全认证机制及其认证系统 | |
| Salehi et al. | A dynamic cross-domain access control model for collaborative healthcare application | |
| Slamanig et al. | User-centric identity as a service-architecture for eIDs with selective attribute disclosure | |
| CN205453754U (zh) | 一种面向物联网控制系统的智能网关平台 | |
| CN109587100A (zh) | 一种云计算平台用户认证处理方法及系统 | |
| CN113569298A (zh) | 一种基于区块链的身份生成方法及身份系统 | |
| CN109005029B (zh) | 可信应用标识的生成方法和系统、应用方法和应用端设备 | |
| CN106059759A (zh) | 一种cp‑abe密文访问控制的架构方法 | |
| CN116633576A (zh) | 安全可信NC-Link代理器、控制方法、设备及终端 | |
| CN106877996B (zh) | Pki域内的用户访问ibc域内的资源的认证密钥协商方法 | |
| CN108923923A (zh) | 一种基于可信第三方的秘钥协商协议的设计及其实现方法 | |
| Chatterjee et al. | An efficient fine grained access control scheme based on attributes for enterprise class applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161026 |
|
| RJ01 | Rejection of invention patent application after publication |