CN116248289A - 基于密文属性加密的工业互联网标识解析访问控制方法 - Google Patents

基于密文属性加密的工业互联网标识解析访问控制方法 Download PDF

Info

Publication number
CN116248289A
CN116248289A CN202211650393.1A CN202211650393A CN116248289A CN 116248289 A CN116248289 A CN 116248289A CN 202211650393 A CN202211650393 A CN 202211650393A CN 116248289 A CN116248289 A CN 116248289A
Authority
CN
China
Prior art keywords
node
identification
attribute
identification information
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211650393.1A
Other languages
English (en)
Inventor
罗志勇
刘成丞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing University of Post and Telecommunications
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN202211650393.1A priority Critical patent/CN116248289A/zh
Publication of CN116248289A publication Critical patent/CN116248289A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明请求保护一种基于密文策略属性加密的工业互联网标识解析访问控制方法,其包括以下步骤:首先,通过对CP‑ABE访问树的改进,增加权限节点,在非根节点和非叶节点上增加访问权限,以保证信息可以分层访问。发送标识注册请求的企业节点可以根据标识信息的敏感性自定义访问树设置,从而更加灵活地访问标识信息。其次,在加密过程中,对整个标识信息进行加密,同时记录具有访问权限的节点的秘密值。非私有标识信息由权限节点进行重加密。最后,在解密过程中,首先恢复权限节点的秘密值。如果可以恢复非私有身份信息,则结合权限节点的秘密值和其他用户属性来解密根节点的秘密值。

Description

基于密文属性加密的工业互联网标识解析访问控制方法
技术领域
本发明属于工业互联网标识解析领域,涉及一种访问控制方法。适用于工业互联网标识解析体系安全场景。
背景技术
工业互联网标识解析体系是工业互联网网络体系的重要组成部分,是支撑工业互联网互联互通的神经枢纽,其作用类似于互联网领域的域名解析系统(DNS),工业互联网标识解析体系的核心包括标识编码、标识解析系统、标识数据服务三个部分。一是标识编码能够唯一识别机器、产品等物理资源和算法、工序、标识数据等虚拟资源的身份符号,类似于“身份证”;二是标识解析系统能够根据标识编码查询目标对象网络位置或者相关信息的系统,对机器和物品进行唯一性的定位和信息查询,是实现全球供应链系统和企业生产系统的精准对接、产品全生命周期管理和智能化服务的前提和基础;三是标识数据服务能够借助标识编码资源和标识解析系统开展工业标识数据管理和跨企业、跨行业、跨地区、跨国家的数据共享共用。
工业互联网标识解析体系包括有顶级节点、二级节点、递归节点和企业节点。顶级节点是国家或地区内部最顶级的标识服务节点,能够面向全国范围提供顶级标识解析服务,以及标识备案、标识认证等管理能力。国家顶级节点既要与各种标识体系的国际根节点保持连通,又要连通国内的各种二级及以下其他标识服务节点。递归节点指标识解析体系的关键性入口设施,能够通过缓存等技术手段提升整体服务性能。当收到客户端的标识解析请求时,递归节点会首先查看本地缓存是否有查询结果,如果没有,则会通过标识解析服务器返回的应答路径查询,直至最终查询到标识所关联的地址或者信息,将其返回给客户端,并将请求结果进行缓存。二级节点是面向特定行业或者多个行业提供标识服务的公共节点。二级节点既要向上与国家顶级节点对接,又要向下为工业企业分配标识编码及提供标识注册、标识解析、标识数据服务等。作为推动标识产业应用规模性发展的主要抓手,二级节点是打造有价值的行业级标识应用、探索可持续发展业务模式的关键。企业节点指一个企业内部的标识服务节点,能够面向特定企业提供标识注册、标识解析服务、标识数据服务等,既可以独立部署,也可以作为企业信息系统的组成要素。
从工业互联网整体架构定义及面向来看,使用工业互联网标识解析体系的不仅仅是企业内部人员,还要面向普通用户、第三方监管员、标识信息管理员等。不同的角色拥有不同级别和不同种类的权限,标识解析体系身份管理不当可能造成权限或信任收到侵害。
目前针对工业互联网访问控制研究主要是基于属性的访问控制,然而这依赖于云上操作,在工业互联网中的安全性不能得到很好的保证,并且用户访问控制不够灵活。相比与其他的访问控制模型,密文策略属性加密(CP-ABE)跟加密相结合,不依赖于云端。CP-ABE中可以制定访问策略,将访问策略嵌入密文中,用户属性嵌入密钥中,满足策略的用户所生成的用户属性密钥可以进行解密。CP-ABE不需要像其它加密方式那样,如RSA非对称加密,每次加密都必须知道接收者的身份信息且发送给多个用户时必须加密多次,CP-ABE只需要设置访问策略仅执行一次加密,当用户拥有的属性符合加密者所描述的策略时,数据使用者就可以解密。可解决对称加密密钥传输带来的密钥泄露的问题。目前CP-ABE可以实现加密数据的细粒度访问控制,但是在使用上仍然存在限制,既在制定访问策略没有考虑多权限的访问控制,例如加密一段信息后,一个普通用户所拥有的属性解密出的是结果是其中的非私密信息而有权限的用户解密出的信息包含私密信息。工业互联网标识解析体系的应用中,使用者的身份权限往往是不同的,如何做好有效的工业互联网标识信息分层访问控制是亟需解决的问题。
文献“一种基于区块链的多云CP-ABE访问控制方案”(CN11130757A)提出了一种,该方法先采用对称加密算法加密明文,得到数据密文,然后再调用CP-ABE加密对称算法密钥得到密钥密文,同时,对访问控制树进行分割。将一部分访问控制树数据密文发给云服务器,将密钥密文发到区块链网络超级账本,将剩下一部分访问控制树保存到区块链中。从而有效的保护了用户属性隐私。然而在上述访问控制方法中访问控制不够灵活,无法做到分层访问控制。
发明内容
本发明旨在解决以上现有技术的问题。提出了一种基于密文属性加密的工业互联网标识解析访问控制方法。本发明的技术方案如下:
一种基于密文属性加密的工业互联网标识解析访问控制方法,其包括标识注册阶段和标识解析阶段,其中,
标识注册阶段:首先企业构建密文策略属性加密(CP-ABE)的分层访问控制树,并通过企业节点将分层访问控制树和标识注册请求一并发送至二级节点;同时,企业将为不同的用户生成不同的用户属性集;然后,二级节点在接收到顶级节点返回的标识编码和标识注册请求后结合分层访问控制树,执行CP-ABE分层访问控制算法,加密标识信息;最后,对标识信息进行哈希处理,生成标识信息哈希值,并将哈希值拼接至标识码的安全码块,将哈希编码返回至企业节点;
标识解析阶段:首先,持有用户属性集的用户将属性集、标识编码和标识解析请求发送至二级节点;然后,二级节点结合接收的用户属性集执行CP-ABE密钥生成算法,生成用户属性密钥;其次,二级节点根据标识编码中安全代码块的哈希值与数据库中的密文本匹配,查询密文本中所对应的标识信息密文;然后二级节点结合用户属性密钥和密文执行CP-ABE分层访问控制算法,解密标识信息;最后,如果用户属性满足全部或者部分访问树属性要求,解密算法即可解密出部分或者全部标识信息,并将标识信息返回至用户;如果用户属性完全不满足访问树属性要求,则返回空值。
进一步的,所述构建CP-ABE分层访问控制树具体包括:
取随机数s作为访问树中根节点的秘密值,并根据秘密共享方案从根节点逐层向叶子节点共享秘密值;假设一个非叶子节点的门限值为(kx,numx),秘密值为s,其中numx代表该节点的子节点总数,kx代表所需该节点的子节点的个数才能恢复其秘密值;取kx-1个随机数
Figure BDA0004010281030000041
构建kx-1次多项式:
Figure BDA0004010281030000042
/>
假定将根节点T1的权限值设为τ1,权限节点T2是根节点的非叶子节点的子节点,权限值设为τ2,其中τ1>τ2;整个标识信息为M1,隐私标识信息为M2,则需要权限节点重加密的部分的标识信息为M0=(M2-M1);在第一次加密过程中M1从根节点加密,既由根节点的秘密值s1逐层秘密分享,分享至权限节点时记录权限节点秘密值s2
重加密阶段由分层访问树的权限节点的秘密值s2逐层分享,加密非私密信息M0。解密过程先验证用户属性是否能够恢复权限节点的秘密值s2,如果可以恢复,则可以解密M0,如果不能恢复则返回空值;再结合剩下的用户属性和恢复的权限节点秘密值s2恢复分层访问树的根节点s1,如果可以恢复,则解密M2
进一步的,所述CP-ABE分层访问控制加密算法的步骤具体包括:
(1)Setup(1k):输入安全参数r,G0和GT是素数阶p的双线性群,g是G0的生成元,接下来选择两个随机指数α,β∈P,系统公钥PK:
PK=(G,e(g,g)α,gβ)
主密钥MSK为MSK=(β,gα)
(2)Encrypt(PK,M1)→CT1:在执行加密过程时,输入全部标识信息M1和系统公钥PK,在实域上选择一个随机数s∈P作为分层访问树根节点的秘密值;通过分层访问树逐层分享秘密值s,所以叶子节点(leafNodes)的属性i对应的秘密分片为λi;计算其密文组件
Figure BDA0004010281030000051
Figure BDA0004010281030000052
加密M1的密文为:
Figure BDA0004010281030000053
最后记录权限节点的秘密值s1
(3)Re-encrypt(PK,M0)→CT2:输入M0和系统公钥PK,以权限节点的秘密值s1为根节点,逐层分享秘密值s1;重加密中叶子节点的属性i对应的秘密分片为λi,计算其密文组件
Figure BDA0004010281030000054
Figure BDA0004010281030000055
重加密对应的密文为:
Figure BDA0004010281030000056
本次加密的标识信息密文CT为:
Figure BDA0004010281030000057
进一步的,所述对CP-ABE分层访问控制解密算法的具体步骤包括:
(1)KeyGen(MSK,L)→SKL:用户属性密钥生成阶段输入主密钥MSK和用户属性集L。在实域选择一个随机数t,t∈P并且计算D=gαgβt,D0=gt;对于每一个在用户属性集L的属性Ai,首先确定Ai中是否有能够解密的属性Ai1,然后对属性进行分组,解密私密标识信息的属性Ai1和能够解密正常标识信息的属性Ai2
计算用户属性密钥组件
Figure BDA0004010281030000058
最后输出用户属性密钥:/>
Figure BDA0004010281030000059
(2)Decrypt(CT,SKL)→M:在解密阶段,输入CT和SKL;首先解密权限值为τ2的权限节点,对于Ai2和分层访问树中叶子节点属性集合中重叠的属性,计算解密组件P1
Figure BDA0004010281030000061
此外计算
Figure BDA0004010281030000062
如果属性集Ai2满足访问控制树的权限节点T2,并且恢复的T2秘密值s1,得出:
Figure BDA0004010281030000063
根据
Figure BDA0004010281030000064
和CT可以得到非隐私标识信息的明文M0
Figure BDA0004010281030000065
如果存在Ai1=Ai-Ai2,以Ai1和权限节点T2的秘密值s1继续恢复根节点T1的秘密值s和解密标识信息M1,计算解密组件P2和e(C0,D):
Figure BDA0004010281030000066
e(C0,D)=e(g,g)αse(g,g)βts
最后计算标识信息的明文M1:
M1=M1e(g,g)αs/e(g,g)αs
本发明的优点及有益效果如下:
(1)在工业互联网中,使用标识解析体系的用户不仅仅是企业内部人员,还要面向普通用户、第三方监管员、标识信息管理员等。他们所拥有的访问权限存在差异,例如对于一个商品,普通用户利用工业互联网标识解析体系查询到的信息包含生产日期、生产地、原材料等基本信息;商品维护人员相较于普通用户拥有更高的权限,在利用工业互联网标识解析体系查询信息时除了商品的基本信息外还可以查询到生产工艺等隐私信息。所以针对权利要求2提出的分层的访问树构造方法,针对不同权限的用户反应在分层访问树的权限节点上。
(2)CP-ABE的形式化定义中,加解密只会执行一次,如果用户属性密钥不满足密文中所包含的访问策略,则返回空值,不能解密。虽然可以实现细粒度访问控制,但是不够灵活。所以,权利要求3和权利要求4针对工业互联网不同权限用户的分层访问控制,在标识注册的加密阶段引入重加密,对于整个标识信息,访问树从根节点开始进行秘密共享,获取所有叶子节点也就是属性的秘密分片;同时,在分享至权限节点时记录权限节点的秘密值。在完成第一次加密后执行重加密,非私密信息以权限节点为根节点执行秘密共享,再执行一次加密。在标识解析的解密阶段,首先对用户属性进行分组,权限节点下的叶子节点为一组,其余的属性为一组;其次解密时首先恢复权限节点的秘密值,解密非私密信息,如果权限节点的秘密值能够被恢复,则结合权限节点的秘密值和另外一组用属性,恢复根节点的秘密值以及解密整个标识信息。最后,如果权限节点的秘密值无法恢复,则直接返回空;如果权限节点的秘密值能够恢复且根节点的秘密值无法恢复,则返回非隐私数据;如果根节点的秘密值被恢复则返回整个标识信息。在这个过程中实现了标识信息的分层访问控制,既有根据权限不同,所访问到的信息不同。
附图说明
图1是本发明提供优选实施例构建的分层访问控制树;
图2是工业互联网标识解析分层访问控制流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、详细地描述。所描述的实施例仅仅是本发明的一部分实施例。
本发明解决上述技术问题的技术方案是:
一种基于密文策略属性加密工业互联网标识解析标识信息分层访问控制方法,该方法的流程图如图1所示。本发明的技术方案如下:
工业互联网标识解析标识信息分层访问控制方法分为标识注册阶段和标识解析阶段。标识注册阶段:首先企业构建CP-ABE的分层访问控制树,并通过企业节点将访问树和标识注册请求一并发送至二级节点;同时,企业将为不同的用户生成不同的用户属性集;然后,二级节点在接收到顶级节点返回的标识编码和标识注册请求后结合分层访问树,执行CP-ABE分层访问控制算法,加密标识信息;最后,对标识信息进行哈希处理,生成标识信息哈希值,并将哈希值拼接至标识码的安全码块,将哈希编码返回至企业节点。
标识解析阶段:首先,持有用户属性集的用户将属性集、标识编码和标识解析请求发送至二级节点;然后,二级节点结合接收的用户属性集执行CP-ABE密钥生成算法,生成用户属性密钥;其次,二级节点根据标识编码中安全代码块的哈希值与数据库中的密文本匹配,查询密文本中所对应的标识信息密文;然后二级节点结合用户属性密钥和密文执行CP-ABE分层访问控制算法,解密标识信息;最后,如果用户属性满足全部或者部分访问树属性要求,解密算法即可解密出部分或者全部标识信息,并将标识信息返回至用户。如果用户属性完全不满足访问树属性要求,则返回空值。
进一步的,所述对构建CP-ABE分层访问控制树的方法,如图2所示。构造分层访问控制树的具体步骤包括:
取随机数s作为访问树中根节点的秘密值,并根据秘密共享方案从根节点逐层向叶子节点共享秘密值。假设一个非叶子节点的门限值为(kx,numx),秘密值为s,其中numx代表该节点的子节点总数,kx代表所需该节点的子节点的个数才能恢复其秘密值。取kx-1个随机数
Figure BDA0004010281030000081
构建kx-1次多项式:
Figure BDA0004010281030000082
假定将根节点T1的权限值设为τ1,权限节点T2是根节点的非叶子节点的子节点,权限值设为τ2,其中τ1>τ2;整个标识信息为M1,隐私标识信息为M2,则需要权限节点重加密的部分的标识信息为M0=(M2-M1)。在第一次加密过程中M1从根节点加密,既由根节点的秘密值s1逐层秘密分享,分享至权限节点时记录权限节点秘密值s2
重加密阶段由分层访问树的权限节点的秘密值s2逐层分享,加密非私密信息M0。解密过程先验证用户属性是否能够恢复权限节点的秘密值s2,如果可以恢复,则可以解密M0,如果不能恢复则返回空值。再结合剩下的用户属性和恢复的权限节点秘密值s2恢复分层访问树的根节点s1,如果可以恢复,则解密M2
进一步的,所述对CP-ABE分层访问控制加密算法的具体步骤包括:
(1)Setup(1k):输入安全参数r,G0和GT是素数阶p的双线性群,g是G0的生成元。接下来选择两个随机指数α,β∈P,系统公钥PK:
PK=(G,e(g,g)α,gβ)
主密钥MK为MSK=(β,gα)
(2)Encrypt(PK,M1)→CT1:输入全部标识信息M1和系统公钥PK,在实域上选择一个随机数s∈P作为分层访问树根节点的秘密值。通过分层访问树逐层分享秘密值s,所以叶子节点的属性i对应的秘密分片为λi。计算:
Figure BDA0004010281030000091
加密M1的密文组件为:
Figure BDA0004010281030000092
最后记录权限节点的秘密值s1
(3)Re-encrypt(PK,M0)→CT2:输入M0和系统公钥PK,以权限节点的秘密值s1为根节点,逐层分享秘密值s1。重加密中叶子节点的属性i对应的秘密分片为λi,计算:
Figure BDA0004010281030000093
重加密对应的密文组件为:
Figure BDA0004010281030000101
本次加密的标识信息密文CT为:
Figure BDA0004010281030000102
进一步的,所述对CP-ABE分层访问控制解密算法的具体步骤包括:
(1)KeyGen(MSK,L)→SKL:在实域选择一个随机数t,t∈P并且计算D=gαgβt,D0=gt。对于每一个在用户属性集A的属性Ai,首先确定Ai中是否有能够解密的属性Ai1,然后对属性进行分组,解密私密标识信息的属性Ai1和能够解密正常标识信息的属性Ai2。计算
Figure BDA0004010281030000103
最后输出用户属性密钥:
Figure BDA0004010281030000104
(2)Decrypt(CT,SKL)→M:输入CT和SKL。首先解密权限为τ2的权限节点,对于Ai2和分层访问树中叶子节点属性集合中重叠的属性,计算P1
Figure BDA0004010281030000105
此外计算
Figure BDA0004010281030000106
如果属性集Ai2满足访问控制树的权限节点T2,并且恢复的T2秘密值s1,得出:
Figure BDA0004010281030000107
根据
Figure BDA0004010281030000108
和CT可以得到非隐私标识信息的明文M0
Figure BDA0004010281030000109
如果存在Ai1=Ai-Ai2,以Ai1和权限节点T2的秘密值s1继续恢复根节点T1的秘密值s和解密标识信息M1。计算P2和e(C0,D):
Figure BDA00040102810300001010
e(C0,D)=e(g,g)αse(g,g)βts
最后计算标识信息的明文M1:
M1=M1e(g,g)αs/e(g,g)αs
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (4)

1.一种基于密文属性加密的工业互联网标识解析访问控制方法,其特征在于,包括标识注册阶段和标识解析阶段,其中,
标识注册阶段:首先企业构建密文策略属性加密CP-ABE的分层访问控制树,并通过企业节点将分层访问控制树和标识注册请求一并发送至二级节点;同时,企业将为不同的用户生成不同的用户属性集;然后,二级节点在接收到顶级节点返回的标识编码和标识注册请求后结合分层访问控制树,执行CP-ABE分层访问控制算法,加密标识信息;最后,对标识信息进行哈希处理,生成标识信息哈希值,并将哈希值拼接至标识码的安全码块,将哈希编码返回至企业节点;
标识解析阶段:首先,持有用户属性集的用户将属性集、标识编码和标识解析请求发送至二级节点;然后,二级节点结合接收的用户属性集执行CP-ABE密钥生成算法,生成用户属性密钥;其次,二级节点根据标识编码中安全代码块的哈希值与数据库中的密文本匹配,查询密文本中所对应的标识信息密文;然后二级节点结合用户属性密钥和密文执行CP-ABE分层访问控制算法,解密标识信息;最后,如果用户属性满足全部或者部分访问树属性要求,解密算法即可解密出部分或者全部标识信息,并将标识信息返回至用户;如果用户属性完全不满足访问树属性要求,则返回空值。
2.根据权利要求1所述的一种基于密文属性加密的工业互联网标识解析访问控制方法,其特征在于,所述构建CP-ABE分层访问控制树具体包括:
取随机数s作为访问树中根节点的秘密值,并根据秘密共享方案从根节点逐层向叶子节点共享秘密值;假设一个非叶子节点的门限值为(kx,numx),秘密值为s,其中numx代表该节点的子节点总数,kx代表所需该节点的子节点的个数才能恢复其秘密值;取kx-1个随机数
Figure FDA0004010281020000011
构建kx-1次多项式:
Figure FDA0004010281020000012
假定将根节点T1的权限值设为τ1,权限节点T2是根节点的非叶子节点的子节点,权限值设为τ2,其中τ1>τ2;整个标识信息为M1,隐私标识信息为M2,则需要权限节点重加密的部分的标识信息为M0=(M2-M1);在第一次加密过程中M1从根节点加密,既由根节点的秘密值s1逐层秘密分享,分享至权限节点时记录权限节点秘密值s2
重加密阶段由分层访问树的权限节点的秘密值s2逐层分享,加密非私密信息M0。解密过程先验证用户属性是否能够恢复权限节点的秘密值s2,如果可以恢复,则可以解密M0,如果不能恢复则返回空值;再结合剩下的用户属性和恢复的权限节点秘密值s2恢复分层访问树的根节点s1,如果可以恢复,则解密M2
3.根据权利要求1所述的一种基于密文属性加密的工业互联网标识解析访问控制方法,其特征在于,所述CP-ABE分层访问控制加密算法的步骤具体包括:
(1)Setup(1k):输入安全参数r,G0和GT是素数阶p的双线性群,g是G0的生成元,接下来选择两个随机指数α,β∈P,系统公钥PK:
PK=(G,e(g,g)α,gβ)
主密钥MSK为MSK=(β,gα)
(2)Encrypt(PK,M1)→CT1:在执行加密过程时,输入全部标识信息M1和系统公钥PK,在实域上选择一个随机数s∈P作为分层访问树根节点的秘密值;通过分层访问树逐层分享秘密值s,所以叶子节点(leafNodes)的属性i对应的秘密分片为λi;计算其密文组件
Figure FDA0004010281020000021
Figure FDA0004010281020000022
加密M1的密文为:
Figure FDA0004010281020000023
最后记录权限节点的秘密值s1
(3)Re-encrypt(PK,M0)→CT2:输入M0和系统公钥PK,以权限节点的秘密值s1为根节点,逐层分享秘密值s1;重加密中叶子节点的属性i对应的秘密分片为λi,计算其密文组件
Figure FDA0004010281020000031
Figure FDA0004010281020000032
重加密对应的密文为:
Figure FDA0004010281020000033
本次加密的标识信息密文CT为:
Figure FDA0004010281020000034
4.根据权利要求3所述的一种基于密文属性加密的工业互联网标识解析访问控制方法,其特征在于,所述对CP-ABE分层访问控制解密算法的具体步骤包括:
(1)KeyGen(MSK,L)→SKL:用户属性密钥生成阶段输入主密钥MSK和用户属性集L。在实域选择一个随机数t,t∈P并且计算D=gαgβt,D0=gt;对于每一个在用户属性集L的属性Ai,首先确定Ai中是否有能够解密的属性Ai1,然后对属性进行分组,解密私密标识信息的属性Ai1和能够解密正常标识信息的属性Ai2
计算用户属性密钥组件
Figure FDA0004010281020000035
Figure FDA0004010281020000036
最后输出用户属性密钥:
Figure FDA0004010281020000037
(2)Decrypt(CT,SKL)→M:在解密阶段,输入CT和SKL;首先解密权限值为τ2的权限节点,对于Ai2和分层访问树中叶子节点属性集合中重叠的属性,计算解密组件P1
Figure FDA0004010281020000041
此外计算
Figure FDA0004010281020000042
如果属性集Ai2满足访问控制树的权限节点T2,并且恢复的T2秘密值s1,得出:
Figure FDA0004010281020000043
根据
Figure FDA0004010281020000044
和CT可以得到非隐私标识信息的明文M0
Figure FDA0004010281020000045
如果存在Ai1=Ai-Ai2,以Ai1和权限节点T2的秘密值s1继续恢复根节点T1的秘密值s和解密标识信息M1,计算解密组件P2和e(C0,D):
Figure FDA0004010281020000046
/>
e(C0,D)=e(g,g)αse(g,g)βts
最后计算标识信息的明文M1:
M1=M1e(g,g)αs/e(g,g)αs
CN202211650393.1A 2022-12-21 2022-12-21 基于密文属性加密的工业互联网标识解析访问控制方法 Pending CN116248289A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211650393.1A CN116248289A (zh) 2022-12-21 2022-12-21 基于密文属性加密的工业互联网标识解析访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211650393.1A CN116248289A (zh) 2022-12-21 2022-12-21 基于密文属性加密的工业互联网标识解析访问控制方法

Publications (1)

Publication Number Publication Date
CN116248289A true CN116248289A (zh) 2023-06-09

Family

ID=86633964

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211650393.1A Pending CN116248289A (zh) 2022-12-21 2022-12-21 基于密文属性加密的工业互联网标识解析访问控制方法

Country Status (1)

Country Link
CN (1) CN116248289A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117134996A (zh) * 2023-10-26 2023-11-28 北京鑫创数字科技股份有限公司 基于区块链的工业互联网标识信息解析方法和系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117134996A (zh) * 2023-10-26 2023-11-28 北京鑫创数字科技股份有限公司 基于区块链的工业互联网标识信息解析方法和系统
CN117134996B (zh) * 2023-10-26 2023-12-26 北京鑫创数字科技股份有限公司 基于区块链的工业互联网标识信息解析方法和系统

Similar Documents

Publication Publication Date Title
Miao et al. Multi-authority attribute-based keyword search over encrypted cloud data
CN112765650B (zh) 一种属性基可搜索加密的区块链医疗数据共享方法
CN110474893B (zh) 一种异构跨信任域密态数据安全分享方法及系统
JP6547079B1 (ja) 登録・認可方法、装置及びシステム
CN112019591B (zh) 一种基于区块链的云数据共享方法
CN108418681B (zh) 一种支持代理重加密的基于属性的密文检索系统及方法
Kumar et al. Secure storage and access of data in cloud computing
Salam et al. Implementation of searchable symmetric encryption for privacy-preserving keyword search on cloud storage
Han et al. A data sharing protocol to minimize security and privacy risks of cloud storage in big data era
CN108768951B (zh) 一种云环境下保护文件隐私的数据加密和检索方法
Tahir et al. Privacy-preserving searchable encryption framework for permissioned blockchain networks
CN114036240B (zh) 基于区块链的多服务商隐私数据共享系统和方法
CN108632385B (zh) 基于时间序列的多叉树数据索引结构云存储隐私保护方法
CN111008855B (zh) 一种基于改进代理重加密的追溯数据访问控制方法
CN114679340B (zh) 一种文件共享方法、系统、设备及可读存储介质
Guo et al. Using blockchain to control access to cloud data
Gajmal et al. Blockchain-based access control and data sharing mechanism in cloud decentralized storage system
CN114826702A (zh) 数据库访问密码加密方法、装置和计算机设备
CN116248289A (zh) 基于密文属性加密的工业互联网标识解析访问控制方法
Xu et al. Secure deduplication for big data with efficient dynamic ownership updates
CN107360252B (zh) 一种异构云域授权的数据安全访问方法
CN117454442A (zh) 匿名安全和可追溯的分布式数字取证方法与系统
Cai et al. Vizard: A metadata-hiding data analytic system with end-to-end policy controls
Fan et al. Secure and private key management scheme in big data networking
CN113868450A (zh) 一种基于区块链的遥感影像安全检索方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination