CN113612805B - 基于密文策略属性基的能源数据访问权限撤销方法 - Google Patents
基于密文策略属性基的能源数据访问权限撤销方法 Download PDFInfo
- Publication number
- CN113612805B CN113612805B CN202111170602.8A CN202111170602A CN113612805B CN 113612805 B CN113612805 B CN 113612805B CN 202111170602 A CN202111170602 A CN 202111170602A CN 113612805 B CN113612805 B CN 113612805B
- Authority
- CN
- China
- Prior art keywords
- attribute
- access control
- energy data
- control tree
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提出了基于密文策略属性基的能源数据访问权限撤销方法,包括:构建访问控制树,建立对应用户属性且满足预设映射关系的乘法循环群,根据乘法循环群的参数结合访问控制树中用户属性的路径参数计算得到用户属性密钥;使用多项式对能源数据进行加密运算生成密文,结合用户属性密钥采用递归函数对密文进行解密得到能源数据明文;接收作为用户属性集合子集的属性撤销集合,调用子树快速删除算法从访问控制树中删除属性撤销集合对应的子树得到归并后的访问控制树;通过仅需修改密文策略属性基加密算法所对应的访问控制树即可实现指定属性对应的权限的撤销,在多用户访问能源数据场景下可以大大加快属性权限的修改,降低运算性能瓶颈。
Description
技术领域
本发明属于数据安全领域,具体涉及基于密文策略属性基的能源数据访问权限撤销方法。
背景技术
对于能源数据的访问权限管理,需要针对各类访问能源数据的用户或应用,应从用户访问权限、数据操作权限、应用访问数据权限等维度明确授权机制,授权覆盖资源目录、资源文件、接口、共享发布、共享申请、共享期限等,采用共享数据访问授权凭证、安全策略配置等方式,确保授权管理贯通共享平台和信息系统。
基于密文策略属性基加密算法(CP-ABE,Ciphertext Policy Attribute BasedEncryption)的访问控制可以实现更为细粒度的权限管理,数据拥有者可以根据用户的自身属性生成相应的解密密钥,将权限分配信息通过特定的访问控制结构加密,符合属性要求的数据使用者可获取权限分配信息进而获得数据访问权限,适合应用在需要给多用户提供细粒度权限管理的能源数据共享场景下。但当访问能源数据的用户数过多而出现管理复杂度高的问题,特别是在频繁修改用户的访问权限是,会给能源数据拥有者造成极大的运算负担,浪费运算资源。
发明内容
本申请实施例提出了基于密文策略属性基的能源数据访问权限撤销方法,通过删除算法将该子树从访问控制树中删除后得到一个归并的新访问控制树,从而保证被撤销权限的用户无法计算出访问能源数据所需的解密密钥,可有效改善因频繁更改用户访问权限所带来的性能影响。
具体的,所述基于密文策略属性基的能源数据访问权限撤销方法,包括:
S1,构建针对能源数据的用户属性的访问控制树;
S2,建立对应用户属性且满足预设映射关系的乘法循环群,根据乘法循环群的参数结合访问控制树中用户属性的路径参数计算得到用户属性密钥;
S3,建立对应访问控制树中节点的多项式,使用多项式对能源数据进行加密运算生成密文,结合用户属性密钥采用递归函数对密文进行解密得到能源数据明文;
S4,接收作为用户属性集合子集的属性撤销集合,在访问控制树中遍历所有的叶子节点,寻找与属性撤销集合中单个属性对应的叶子节点进行删除,对剩余的访问控制树进行更新,根据更新后的访问控制树对能源数据进行加密;
其中,访问控制树内的每个叶子节点代表每类用户属性,每个非叶子节点代表一类门限,门限值的取值小于叶子节点数量。
可选的,所述S2包括:
S21,建立第一乘法循环群以及第二乘法循环群,且存在第二乘法循环群为两个第一乘法循环群的乘积,从第一乘法循环群中选取样本参数,建立样本循环群;
S22,从样本循环群中随机选取参数值,结合样本参数计算得到第一密钥中间值以及第二密钥中间值;
S23,基于第一密钥中间值、第二密钥中间值计算得到公钥和私钥;
S24,获取访问控制树的深度值,结合用户属性集合中的属性路径进行递归计算得到用户属性密钥。
可选的,还包括:
所述第一乘法循环群以及第二乘法循环群满足的条件包括双线性、非退化性、可计算性。
可选的,所述S3包括:
S31,为访问控制树的根节点选择具有第一阶数的多项式;
S32,为访问控制树中处根节点外的其他节点分别选择具有第二阶数的多项式;
S33,选取访问控制树叶子节点的子集,结合已选取的两类多项式对能源数据计算加密后的密文。
可选的,所述S3包括:
S34,基于访问控制树中当前节点所属类型,选择性调用递归函数,结合用户属性密钥对密文进行解密,得到能源数据明文。
可选的,所述S34包括:
S341,如果当前节点为访问控制树中的叶子节点,则建立表征与叶子节点所关联属性的属性参数,将属性参数、密文以及用户属性密钥代入递归函数中,计算得到第一运算结果;
S342,如果当前节点为访问控制树中的非叶子节点,则将当前节点全部子节点的信息导入递归函数,计算得到第二运算结果,
S343,将当前访问控制树中的根节点信息导入递归函数,计算得到第三运算结果;
S344,基于第一运算结果、第二运算结果、第三运算结果以及用户属性秘钥进行解算,得到能源数据明文。
可选的,所述第二运算结果为双线性函数构造的加密函数。
可选的,所述S4包括:
S41,在访问控制树中遍历所有的叶子节点,寻找与属性撤销集合中单个属性对应的叶子节点进行删除;
S42,查询已删除叶子节点的父节点,查询父节点的数量以及门限值,根据数量与门限值的大小关系对数量、门限值的取值进行调整;
S43,如果父节点的数量为1,表明仅剩一个叶子节点,将仅剩的叶子节点删除,并将该叶子节点的父节点更改为所述叶子节点的父节点;
S44,重复步骤S41直到遍历所有叶子节点,得到更新后的访问控制树;
S45,根据更新后的访问控制树对能源数据进行加密。
与现有技术相比,本发明的有益效果是:
仅需修改密文策略属性基加密算法所对应的访问控制树即可实现指定属性对应的权限的撤销,在多用户访问能源数据场景下可以大大加快属性权限的修改,降低运算性能瓶颈。
附图说明
下面结合附图和具体实施方式对本发明作进一步描述:
图1为本申请实施例提出的基于密文策略属性基的能源数据访问权限撤销方法的流程示意图;
图2为本申请实施例提出的访问控制树的结构示意图;
图3为本发明实例的删除指定属性的权限后所对应的访问控制树的结构示意图。
具体实施方式
为使本发明的结构和优点更加清楚,下面将结合附图对本发明的结构作进一步地描述。
为了解决现有技术中存在的进行能源数据访问过程中用户属性权限管理时存在的数据量大、管理复杂度过高的问题,本申请提出了一种基于密文策略属性基的能源数据访问权限撤销方法,当撤销包含某特定属性的用户访问能源数据的权限时,通过子树快速删除算法将该子树从访问控制树中删除后得到一个归并的新访问控制树,从而保证被撤销权限的用户无法计算出访问能源数据所需的解密密钥。
具体的,所述基于密文策略属性基的能源数据访问权限撤销方法,如图1所示,包括:
S1,构建针对能源数据的用户属性的访问控制树;
S2,建立对应用户属性且满足预设映射关系的乘法循环群,根据乘法循环群的参数结合访问控制树中用户属性的路径参数计算得到用户属性密钥;
S3,建立对应访问控制树中节点的多项式,使用多项式对能源数据进行加密运算生成密文,结合用户属性密钥采用递归函数对密文进行解密得到能源数据明文;
S4,接收作为用户属性集合子集的属性撤销集合,在访问控制树中遍历所有的叶子节点,寻找与属性撤销集合中单个属性对应的叶子节点进行删除,对剩余的访问控制树进行更新,根据更新后的访问控制树对能源数据进行加密;
其中,访问控制树内的每个叶子节点代表每类用户属性,每个非叶子节点代表一类门限,门限值的取值小于叶子节点数量。
在实施中,本申请实施例提出的访问权限可撤销方法具体适用于能源数据对外分享时,利用密文策略属性基算法中的访问控制树结构,如果需要撤销包含某特定属性的用户访问能源数据的权限时,生成对应该类用户属性的属性撤销集合,通过子树快速删除算法将该子树从访问控制树中删除后得到一个归并的新访问控制树,从而保证被撤销权限的用户无法计算出访问能源数据所需的解密密钥。
具体的,本申请提出的能源数据访问权限撤销方法包含四个处理步骤:访问控制树构造、用户属性密钥生成、能源数据的加解密、属性权限撤销四个阶段,分别对应上述步骤S1、S2、S3、S4,每个阶段的详细处理过程在下文会展开描述。
1)访问控制树构造,即步骤S1,包括:
根据用户属性构造访问控制树T,在访问控制树内,叶子节点代表属性,非叶子节点代表一个门限(具体为与门或者或门)。
2)用户属性密钥生成,即步骤S2包括:
S21,建立第一乘法循环群以及第二乘法循环群,且存在第二乘法循环群为两个第一乘法循环群的乘积,从第一乘法循环群中选取样本参数,建立样本循环群;
S22,从样本循环群中随机选取参数值,结合样本参数计算得到第一密钥中间值以及第二密钥中间值;
S23,基于第一密钥中间值、第二密钥中间值计算得到公钥和私钥;
S24,获取访问控制树的深度值,结合用户属性集合中的属性路径进行递归计算得到用户属性密钥。
基于前述参数构建抗碰撞哈希函数H,H1,H2:
得到如下公开参数:
基于第一密钥中间值、第二密钥中间值p计算生成公钥K 1和私钥K 2:
通过如下公式计算用户属性密钥组件D 1,D 2,D:
3)能源数据的加解密,即步骤S3,包括:
S31,为访问控制树的根节点选择具有第一阶数的多项式;
S32,为访问控制树中处根节点外的其他节点分别选择具有第二阶数的多项式;
S33,选取访问控制树叶子节点的子集,结合已选取的两类多项式对能源数据计算加密后的密文;
S34,基于访问控制树中当前节点所属类型,选择性调用递归函数,结合用户属性密钥对密文进行解密,得到能源数据明文。
在实施中,本阶段分为加密解密两个阶段,数据加密、数据解密。
数据加密:对能源数据M,有:
数据解密:
S341,如果当前节点为访问控制树中的叶子节点,则建立表征与叶子节点所关联属性的属性参数,将属性参数、密文以及用户属性密钥代入递归函数中计算得到第一运算结果;
S342,如果当前节点为访问控制树中的非叶子节点,则将当前节点全部子节点的信息导入递归函数,计算得到第二运算结果,
S343,将当前访问控制树中的根节点信息导入递归函数,计算得到第三运算结果;
S344,基于第一运算结果、第二运算结果、第三运算结果以及用户属性秘钥进行解算,得到能源数据明文。
(2)考虑x为非叶子节点时的递归情况。
在这种情况下,递归函数DecryptNode按照如下方式运行:对节点x所有的叶子节点z,计算递归函数DecryptNode(CT,SK,z),将其输出保存为以双线性函数构造加密函数的第二运算结果F z 。令S x 表示包含任意k x 个子节点z的一组节点。
(3)将上述定义的递归函数DecryptNode应用于访问控制树T中的根节点R,如果属性集满足访问控制树,计算得到第三运算结果
最终结合前述三个运算结果得到能源数据明文M:
4)属性权限撤销,即S4包括:
S41,在访问控制树中遍历所有的叶子节点,寻找与属性撤销集合中单个属性对应的叶子节点进行删除;
S42,查询已删除叶子节点的父节点,查询父节点的数量以及门限值,根据数量与门限值的大小关系对数量、门限值的取值进行调整;
S43,如果父节点的数量为1,表明仅剩一个叶子节点,将仅剩的叶子节点删除,并将该叶子节点的父节点更改为所述叶子节点的父节点;
S44,重复步骤S41直到遍历所有叶子节点,得到更新后的访问控制树;
S45,根据更新后的访问控制树对能源数据进行加密。
在实施中,1: 在访问控制树中遍历所有的叶子节点,寻找通过R集合中属性所对应的叶子,将其删除;
2: 查询该节点的父节点,查询父节点的num x 和k x 。
4: 重复步骤1直到遍历所有叶子节点。
5: 根据新生成的访问控制树对能源数据进行加密。
以图2所示为例,假定要撤销权限的属性分别为AA1、AA3以及 AA7。
按照上述步骤,首先删除AA1所在叶子节点X7,将其父节点X3的num值减1,变为1,查看X3的num值等于1,则删除X3,并将剩余的子节点X8的父节点设为X1;继续遍历访问控制树,删除AA3所在叶子节点X9,将其父节点X4的num值和k值同时减1,查看X4的num值等于1,则删除X4,并将剩余的子节点X10的父节点设为X1;继续遍历访问控制树,删除AA7所在叶子节点X13,将其父节点X6的num值减1,查看X6的num值不等于1,继续遍历;无要撤销权限的属性,遍历结束。最后得到新生成的访问控制树,如图3所示。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (6)
1.基于密文策略属性基的能源数据访问权限撤销方法,其特征在于,所述方法包括:
S1,构建针对能源数据的用户属性的访问控制树;
S2,建立对应用户属性且满足预设映射关系的乘法循环群,根据乘法循环群的参数结合访问控制树中用户属性的路径参数计算得到用户属性密钥;
S3,建立对应访问控制树中节点的多项式,使用多项式对能源数据进行加密运算生成密文,结合用户属性密钥采用递归函数对密文进行解密,得到能源数据明文;
S4,接收作为用户属性集合子集的属性撤销集合,在访问控制树中遍历所有的叶子节点,寻找与属性撤销集合中单个属性对应的叶子节点进行删除,对剩余的访问控制树进行更新,根据更新后的访问控制树对能源数据进行加密;
所述S4包括:
S41,在访问控制树中遍历所有的叶子节点,寻找与属性撤销集合中单个属性对应的叶子节点进行删除;
S42,查询已删除叶子节点的父节点,查询父节点的数量以及门限值,根据数量与门限值的大小关系对数量、门限值的取值进行调整;
S43,如果父节点的数量为1,表明仅剩一个叶子节点,将仅剩的叶子节点删除,并将该叶子节点的父节点更改为所述叶子节点的父节点;
S44,重复步骤S41直到遍历所有叶子节点,得到更新后的访问控制树;
S45,根据更新后的访问控制树对能源数据进行加密;
其中,访问控制树内的每个叶子节点代表每类用户属性,每个非叶子节点代表一类门限,门限值的取值小于叶子节点数量。
2.根据权利要求1所述的基于密文策略属性基的能源数据访问权限撤销方法,其特征在于,所述S2包括:
S21,建立第一乘法循环群以及第二乘法循环群,且存在第二乘法循环群为两个第一乘法循环群的乘积,从第一乘法循环群中选取样本参数,建立样本循环群;
S22,从样本循环群中随机选取参数值,结合样本参数计算得到第一密钥中间值以及第二密钥中间值;
S23,基于第一密钥中间值、第二密钥中间值以及样本参数计算得到公钥和私钥;
S24,获取访问控制树的深度值,结合用户属性集合中的属性路径进行递归计算得到用户属性密钥。
3.根据权利要求2所述的基于密文策略属性基的能源数据访问权限撤销方法,其特征在于,还包括:
所述第一乘法循环群以及第二乘法循环群满足的条件包括双线性、非退化性、可计算性。
4.根据权利要求1所述的基于密文策略属性基的能源数据访问权限撤销方法,其特征在于,所述S3包括:
S31,为访问控制树的根节点选择具有第一阶数的多项式;
S32,为访问控制树中处根节点外的其他节点分别选择具有第二阶数的多项式;
S33,选取访问控制树叶子节点的子集,结合已选取的两类多项式对能源数据计算加密后的密文。
5.根据权利要求1所述的基于密文策略属性基的能源数据访问权限撤销方法,其特征在于,所述S3包括:
S34,基于访问控制树中当前节点所属类型,选择性调用递归函数,结合用户属性密钥对密文进行解密,得到能源数据明文。
6.根据权利要求5所述的基于密文策略属性基的能源数据访问权限撤销方法,其特征在于,所述S34包括:
S341,如果当前节点为访问控制树中的叶子节点,则建立表征与叶子节点所关联属性的属性参数,将属性参数、密文以及用户属性密钥代入递归函数中,计算得到第一运算结果;
S342,如果当前节点为访问控制树中的非叶子节点,则将当前节点全部子节点的信息导入递归函数,计算得到第二运算结果,
S343,将当前访问控制树中的根节点信息导入递归函数,计算得到第三运算结果;
S344,基于第一运算结果、第二运算结果、第三运算结果以及用户属性秘钥进行解算,得到能源数据明文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111170602.8A CN113612805B (zh) | 2021-10-08 | 2021-10-08 | 基于密文策略属性基的能源数据访问权限撤销方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111170602.8A CN113612805B (zh) | 2021-10-08 | 2021-10-08 | 基于密文策略属性基的能源数据访问权限撤销方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113612805A CN113612805A (zh) | 2021-11-05 |
CN113612805B true CN113612805B (zh) | 2021-12-14 |
Family
ID=78310811
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111170602.8A Active CN113612805B (zh) | 2021-10-08 | 2021-10-08 | 基于密文策略属性基的能源数据访问权限撤销方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113612805B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116614273B (zh) * | 2023-05-23 | 2024-03-19 | 国网江苏省电力有限公司信息通信分公司 | 基于cp-abe的对等网络中联邦学习数据共享系统及模型构建方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107566386A (zh) * | 2017-09-14 | 2018-01-09 | 上海海事大学 | 一种可撤销的属性基加密方法 |
CN110457930A (zh) * | 2019-08-16 | 2019-11-15 | 上海海事大学 | 策略隐藏的可追踪撤销恶意用户的属性基加密方法及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105187202B (zh) * | 2015-07-13 | 2018-12-21 | 重庆涔信科技有限公司 | 基于完全二叉树的可撤销的属性加密方法 |
CN105071937B (zh) * | 2015-07-14 | 2019-01-11 | 河海大学 | 具有高效属性撤销的密文策略属性基加密方法 |
US11321476B2 (en) * | 2018-06-26 | 2022-05-03 | SRI Intemational | Selectively sharing data in unstructured data containers using attribute based encryption |
CN110247767B (zh) * | 2019-06-28 | 2022-03-29 | 北京工业大学 | 雾计算中可撤销的属性基外包加密方法 |
-
2021
- 2021-10-08 CN CN202111170602.8A patent/CN113612805B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107566386A (zh) * | 2017-09-14 | 2018-01-09 | 上海海事大学 | 一种可撤销的属性基加密方法 |
CN110457930A (zh) * | 2019-08-16 | 2019-11-15 | 上海海事大学 | 策略隐藏的可追踪撤销恶意用户的属性基加密方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN113612805A (zh) | 2021-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11425171B2 (en) | Method and system for cryptographic attribute-based access control supporting dynamic rules | |
Kumar et al. | Attribute based encryption in cloud computing: A survey, gap analysis, and future directions | |
CN114065265B (zh) | 基于区块链技术的细粒度云存储访问控制方法、系统及设备 | |
Yu et al. | Achieving secure, scalable, and fine-grained data access control in cloud computing | |
Nabeel et al. | Privacy preserving policy-based content sharing in public clouds | |
Van Liesdonk et al. | Computationally efficient searchable symmetric encryption | |
US8000472B2 (en) | Information encryption apparatus and controlling method of the same, computer program and computer readable storage medium | |
CN111143471B (zh) | 一种基于区块链的密文检索方法 | |
Chen et al. | A novel key management scheme for dynamic access control in a user hierarchy | |
CN106934301B (zh) | 一种支持密文数据操作的关系型数据库安全外包数据处理方法 | |
Edemacu et al. | Collaborative ehealth privacy and security: An access control with attribute revocation based on OBDD access structure | |
CN114039790A (zh) | 一种基于区块链的细粒度云存储安全访问控制方法 | |
CN114826703A (zh) | 基于区块链的数据搜索细粒度访问控制方法及系统 | |
Zhang et al. | Feacs: A flexible and efficient access control scheme for cloud computing | |
CN107426162A (zh) | 一种基于属性基加密实施核心角色访问控制的方法 | |
CN106850216B (zh) | 一种云数据库中密钥管理树的密钥撤销方法 | |
CN113612805B (zh) | 基于密文策略属性基的能源数据访问权限撤销方法 | |
CN114640458A (zh) | 云边协同环境下细粒度的多用户安全可搜索加密方法 | |
Edemacu et al. | Efficient and expressive access control with revocation for privacy of PHR based on OBDD access structure | |
CN105790929B (zh) | 一种基于规则冗余消除的加密环境中访问控制方法 | |
CN107294701A (zh) | 具有高效密钥管理的多维密文区间查询装置及查询方法 | |
CN114143072A (zh) | 一种基于cp-abe的属性撤销优化方法及系统 | |
Merdassi et al. | A new LTMA-ABE location and time access security control scheme for mobile cloud | |
CN114168703A (zh) | 一种群组加密数据检索方法 | |
CN111159724B (zh) | 一种细粒度策略的条件代理可重构加密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |