一種基于規則冗余消除的加密環境中訪問控制方法，在密文構造中，先根據葉子節點屬性確定各個葉子的秘密，再按樹結構自葉子往上構造非葉子節點的秘密，從而確定所有節點的秘密，然后遞歸構造防止冗余計算出現；本發明在基于屬性基加密的云存儲訪問控制場景下，實現了根據訪問控制規則構造密文時，對冗余數據和計算的消除，達到減少計算與存儲開銷的目的；與現有技術相比，其優點在于：一是極大了減少了加解密過程中的計算開銷與存儲開銷；二是他是一個通用的解決方案，可以適用于不同種類的屬性基加密方案。

技術領域

本發明屬于互聯網技術領域和數據安全技術領域，尤其涉及用戶為了與不完全可信云服務進行數據交互的場景，為一種基于規則冗余消除的加密環境中訪問控制方法，在4over6接入網過渡網絡場景中通過利用NETCONF協議，使得網絡運營商能夠遠程配置過渡設備中轉發策略表項。

背景技術

隨著互聯網的高速發展，用戶數據越來越多，云服務變得越來越重要，越來越多的用戶選擇把自己的數據放到云端進行存儲。而云端作為不受自己控制的第三方服務器，安全和隱私不容易得到保障。大部分云服務是半可信云服務，它們會提供正確的服務邏輯，但與此同時可能偷看用戶數據，并泄露隱私。

在這種情況下，以加密形式把數據存到云上是未來的發展趨勢，而在這種基礎上，如何繼續提供往常的服務成為了新的問題。訪問控制是云存儲服務中常見的一個服務，針對加密數據的訪問控制問題，Waters等人提出了屬性基加密技術，密文的屬性基加密技術中，每個用戶將會被分配到若干個屬性，一份數據上傳時將會定義一個由各個屬性組成的訪問控制規則，數據將基于該規則進行加密并上傳。用戶下載數據之后，當且僅當用戶自身的屬性與訪問規則符合時，才能正確地解密該數據，以此達到訪問控制的目的。具體而言，屬性基加密包含以下幾個部分。

屬性認證機構：屬性認證機構是一個可信的權威機構，屬于PKI基礎設施，它會根據具體選取的屬性基方案，生成合適的參數，并針對系統中的屬性集合生成公鑰，供數據擁有者加密使用。同時它針對每一個不同用戶的屬性集合，生成每個用戶對應的私鑰，供訪問者解密數據使用。

云服務器：云服務器提供數據的上傳和下載功能，被認為是半可信的，亦即，云服務器會忠實地按照規定的流程執行上傳與下載，但是它可能把用戶的數據泄露給攻擊者，因此上傳上來的數據本身需保證機密性，但不需要防篡改。

數據擁有者：數據擁有者是希望把數據分享出去的用戶，他首先讀取屬性認證機構的公鑰，然后對于他的每一份數據，他將設定一個訪問控制規則，然后根據方案規定的算法執行加密，然后把加密后的密文上傳到云服務器。

數據用戶：數據用戶是要讀取擁有者分享出來的數據的用戶，他們首先會從屬性認證機構拿到他們的屬性對應的私鑰，當他們需要讀取數據時，將從云服務器上下載擁有者上傳的數據，然后將密文根據對應的規則通過自己的私鑰進行解密，當且僅當用戶的屬性集合符合訪問控制規則時，用戶才能解密該數據。

圖1表示了該框架的整體工作流程，在該框架下，屬性基加密主要包含以下幾個關鍵算法：

系統初始化：算法由屬性認證機構在最初執行，輸入為屬性全集U，輸出為U對應的公鑰PK與主密鑰MK，其中公鑰PK會公開給系統中所有成員，主密鑰MK為屬性認證機構的私密信息，需保證安全性。圖中步驟(1)即調用初始化算法后，把系統公鑰發給數據擁有者。

密鑰生成：算法由屬性認證機構執行，輸入為某一個用戶的屬性集合S與初始化過程中生成的主密鑰MK，輸出為屬性集S對應用戶私鑰SK，該算法在某用戶加入系統中，屬性認證機構分配密鑰時執行，然后SK將被私下發送給對應用戶，用戶需保證SK的機密性。步驟(2)中屬性認證機構根據數據用戶的屬性集合生成私鑰，然后發給用戶。

加密：加密算法由數據擁有者執行，輸入為公鑰PK，待加密消息M與訪問控制規則A，輸出為密文CT。步驟(3)中，數據擁有者通過執行此算法把M按照他設定的規則A進行加密，得到密文CT之后，將它上傳到云服務器供其他用戶訪問。