本發明公開了一種基于CP?ABE的權限動態更新集中信息安全訪問方法和裝置，其方法包括初始化用戶身份信息、可信通信功能和CP?ABE并部署集中信息安全控制點；維護申請加密者和解密者的權限，并確立用戶加密權限屬性范圍，生成并發送與身份ID相應的權限屬性私鑰；根據權限屬性私鑰，構建加密者和解密者與集中信息安全控制點的安全傳輸通道；根據用戶加密權限屬性范圍，通過安全傳輸通道提交待加密的明文資料和解密方法至集中信息安全控制點；其裝置包括集中信息安全控制設備和用戶Ukey；集中信息安全控制設備包括身份校驗模塊、權限管理模塊、CP?ABE模塊和安全傳輸模塊；該基于信息方法和裝置根據屬性加解密，靈活應對解密者屬性變化，具有較高的安全性和可靠性。

技術領域

本發明具體涉及一種基于CP-ABE的權限動態更新集中信息安全訪問方法和裝置。

背景技術

隨著互聯網技術的發展和普及，在開放的分布式環境中需要進行數據共享和處理的需求越來越多，尤其在網絡應用如此廣泛豐富的今天，以地理區域、公司、部門等為局域網范圍的網絡節點從幾十到上萬個節點不等，其數據共享行為是非常普遍的；因此，在數據共享和資源訪問方面，制定靈活可擴展的訪問控制策略和保證共享數據機密性的需求日漸迫切。

對此Sahai和Waters在基于雙線性對技術的加密機制上提出屬性基加密，其功能在于利用屬性加密；然而，現有的獨立授權的CP-ABE系統和授權分布的CP-ABE系統具有以下缺點：

1、獨立授權的CP-ABE系統中私鑰屬性的動態性增加了私鑰撤銷的開銷和難度，如：用戶從有權限的屬性狀態轉變為無權限的屬性狀態，而用戶仍然保留舊的高權限私鑰；除非全網更新公共參數，否則無法感知用戶使用原私鑰進行非法操作；而授權集中的模式雖然解決了屬性動態變化的問題，但如果有大量用戶請求解密，作為加密者兼即時私鑰授權者的用戶需要處理大量的身份審核，生成私鑰，工作量大且易出錯，責任過大。

2、授權分布的CP-ABE系統個體權利過大，容易造成偽造私鑰的風險，如果加入證書認證保證身份不可偽造，則需要引入PKI體系，增加系統復雜性和部署難度。

因此，無論是獨立授權還是授權分布，私鑰的擁有都是授權方和使用者共同有用的，一旦私鑰泄露，無從追查到底是授權泄露還是用戶自己泄露，不能確定責任。

3、秘密內容在網絡環境中的傳輸是一個關鍵問題，屬性的傳輸、屬性密鑰的傳輸都涉及到安全傳輸問題；而ABE本身并沒有對此提出解決方案，通常的做法是離線生成或者利用SSL等建立加密通道；然而，離線的方法具有不夠靈活與便捷等缺陷；利用SSL建立加密通道需要額外產生大量開銷，以及為了防止中間人攻擊而引入PKI的安全體系，實際部署難度大。

發明內容

針對現有技術中的上述不足，本發明提供的基于CP-ABE的權限動態更新集中信息安全訪問方法和裝置可根據屬性加解密，靈活應對解密者屬性變化，及時變更解密者權限，具有較高的安全性和可靠性。

為了達到上述發明目的，本發明采用的技術方案為：提供一種基于CP-ABE 的權限動態更新集中信息安全訪問方法，其包括：

S1、初始化用戶身份信息、可信通信功能和CP-ABE，并部署集中信息安全控制點；

S2、維護申請加密者和解密者的權限，并確立用戶加密權限屬性范圍，生成并發送與身份ID相應的權限屬性私鑰；

S3、根據權限屬性私鑰，構建加密者和解密者與集中信息安全控制點的安全傳輸通道；

S4、根據用戶加密權限屬性范圍，通過安全傳輸通道提交待加密的明文資料和解密方法至集中信息安全控制點；

S5、通過安全傳輸通道提交解密者自身屬性和待解密資料至集中信息安全控制點，提取明文資料。