技術特征:1.一種基于CP-ABE的權限動態(tài)更新集中信息安全訪問方法�,其特征在于��,包括:
S1����、初始化用戶身份信息、可信通信功能和CP-ABE����,并部署集中信息安全控制點;
S2�、維護申請加密者和解密者的權限,并確立用戶加密權限屬性范圍���,生成并發(fā)送與身份ID相應的權限屬性私鑰�����;
S3��、根據所述權限屬性私鑰�����,構建加密者和解密者與集中信息安全控制點的安全傳輸通道����;
S4、根據用戶加密權限屬性范圍��,通過所述安全傳輸通道提交待加密的明文資料和解密方法至所述集中信息安全控制點�;
S5、通過所述安全傳輸通道提交解密者自身屬性和待解密資料至所述集中信息安全控制點��,提取明文資料��。
2.根據權利要求1所述的基于CP-ABE的權限動態(tài)更新集中信息安全訪問方法��,其特征在于:所述用戶身份信息包括經過身份屬性密鑰arrtr_key加密的身份屬性信息和身份ID����,所述信息安全控制點上對應部署有arrtr_key密鑰。
3.根據權利要求1所述的基于CP-ABE的權限動態(tài)更新集中信息安全訪問方法�,其特征在于:所述可信通信功能初始化包括可信初始化和加密初始化;
所述可信初始化的具體步驟包括在集中信息安全控制點上部署一對公私鑰����,其中私鑰secur_pri不進行泄露,公鑰secur_pub在可信通信功能初始化階段下發(fā)至用戶�����;
所述加密初始化的具體步驟包括通過DH算法建立加密密鑰至加密通道�,在可信通信功能初始化階段,用戶和集中信息安全控制點分別存儲共同DH參數��。
4.根據權利要求1所述的基于CP-ABE的權限動態(tài)更新集中信息安全訪問方法���,其特征在于�,所述CP-ABE初始化的具體步驟為:根據輸入的安全參數λ建立兩個階數為素數q的橢圓曲線群G1�����、G2����,以及一雙線性對e:G1×G1→G2;并選擇一y���,t1��,…����,tn∈Zq�,Zq為{0�����,……q-1}的階乘集合�����,q為預設參數�;令CP-ABE的公鑰ABE_public為(T1=gt1�,…,Tn=gtn�����,Y=e(g�,g)y),其中公式中Y為滿足關系e(ga�,gb)=e(g,g)ab的關系集合,g����,a,b任意大整數���,g���,a,b∈G1�;CP-ABE的主秘鑰為master_key為(y,t1��,…tn)�����。
5.根據權利要求1所述的基于CP-ABE的權限動態(tài)更新集中信息安全訪問方法�����,其特征在于��,所述S2的具體步驟為:
S21����、對經過身份屬性密鑰arrtr_key加密的身份ID的權限進行提升或降低;
S22�����、對申請加密者進行權限審查;通過集中信息安全控制點對用戶的權限信息進行比對和審查����,為申請者提供對應的加密權限屬性范圍;其加密權限屬性范圍為:如低權限者對文件進行加密�,而高權限者要求必須能夠解密;或低權限者對高權限者的某一屬性范圍規(guī)定加密�,而不能感知具體的個體信息;
S23����、對申請解密者進行權限提取����;通過集中信息安全控制點接收解密申請者發(fā)來的解密申請,并根據其身份ID提取相應的所有權限屬性�����,提供給CP-ABE�����,生成相應的權限屬性私鑰�����。
6.根據權利要求1所述的基于CP-ABE的權限動態(tài)更新集中信息安全訪問方法,其特征在于:所述加密者與集中信息安全控制點的安全傳輸通道構建步驟包括:
S311�、發(fā)起申請信息加密行為,經公鑰secur_pub加密�����,生成本地私鑰DH_priv1��,并發(fā)送至集中信息安全控制點�;其中��,所述申請信息包括身份ID�,身份屬性密鑰arrtr_key加密的身份屬性信息和DH加密需要的公鑰DH_pub1;
S312�����、接收所述申請信息�,利用私鑰secur_pri對所述申請信息進行解密,再通過身份屬性密鑰arrtr_key對申請者的身份屬性信息進行解密�,根據比對解密后的身份屬性,判斷申請人的合法性���;其判斷標準為:若比對解密后的身份屬性與身份ID信息是一致��,則申請人合法����;否則,申請人非法�;
S313、反饋加密權限����,向申請者明文返回自己的DH公鑰DH_pub2,利用私鑰secur_pri進行簽名�����,同時生成本地DH私鑰DH_priv2�����,并用公鑰DH_pub1與私鑰DH_priv2生成加密密鑰DH_secu_key����;
S314、接收由集中信息安全控制點發(fā)送的公鑰DH_pub2��,驗證簽名和確認公鑰DH_pub2的來源,與本地私鑰DH_priv1生成和集中與集中信息安全控制點相同的加密密鑰DH_secu_key�,并對明文進行加密;
S315��、接收對明文加密后形成的密文��,利用加密密鑰DH_secu_key對齊進行解密��,得到原始明文���。
7.根據權利要求1所述的基于CP-ABE的權限動態(tài)更新集中信息安全訪問方法,其特征在于:所述解密者與集中信息安全控制點的安全傳輸通道構建步驟包括:
S321�����、發(fā)起申請信息解密行為����,經公鑰secur_pub加密,生成本地私鑰DH_priv1���,并發(fā)送至集中信息安全控制點其中��,所述申請信息包括身份ID�,身份屬性密鑰arrtr_key加密的身份屬性信息和DH加密需要的公鑰DH_pub1;
S322����、接收所述申請信息,利用私鑰secur_pri對所述申請信息進行解密��,再通過身份屬性密鑰arrtr_key對申請者的身份屬性信息進行解密��,根據比對解密后的身份屬性�����,判斷申請人的合法性��;其判斷標準為:若比對解密后的身份屬性與身份ID信息是一致�,則申請人合法;否則��,申請人非法��;
S323����、根據公鑰DH_pub1和申請解密者的私鑰DH_priv2生成加密密鑰DH_secu_key對解密明文進行加密,并和公鑰DH_pub2一起構成解密回答報文����,利用私鑰secur_pri對報文進行簽名�����;
S324�、接收由集中信息安全控制點發(fā)送的信息����,驗證簽名并確認消息來源,利用接收到的私鑰DH_pub2和本地私鑰DH_priv1生成加密密鑰DH_secu_key�����,對報文進行解密���,得到明文結果。
8.根據權利要求1所述的基于CP-ABE的權限動態(tài)更新集中信息安全訪問方法���,其特征在于���,所述S4的具體步驟為:根據所述加密權限屬性范圍,整合權限屬性規(guī)則�����,得到用于制定解密規(guī)則的屬性集AC;根據所述屬性集AC�����,利用解算公式得到密文��,所述解算公式為:
其中����,AC為屬性集,M為加密消息�����,且M∈G2����;隨機選定s∈Zq,CT為獲取的密文�,E為隨機獲取的密文。
9.根據權利要求1所述的基于CP-ABE的權限動態(tài)更新集中信息安全訪問方法����,其特征在于��,所述S5的具體步驟為:根據用戶權限屬性內容����,生成申請解密者的屬性集合Au����,在集中信息安全控制點生成Au對應的密鑰Di,所述密鑰Di為:
其中���,p是(d-1)次的多項式���,d是門限參數;
對密文進行解密���,如果∣Au∩Ac∣>d�,則選擇d個屬性i∈Au∩Ac��,計算e(Ei�����,Di)=e(g�����,g)p(i)s��;再根據拉格朗日插值確定YS=e(g��,g)p(0)s=e(g�,g)ys,最終得到明文M=E|YS����。
10.一種基于權利要求1~9任一項所述的基于CP-ABE的權限動態(tài)更新集中信息安全訪問方法的訪問裝置,其特征在于:包括相互通信的集中信息安全控制設備和用戶Ukey�;所述集中信息安全控制設備包括依次連接的身份校驗模塊、權限管理模塊����、CP-ABE模塊和安全傳輸模塊。