本發明公開了一種霧計算環境下基于CP?ABE密文隱私保護方法及系統，采用基于LSSS線性秘密共享矩陣訪問結構，不僅支持細粒度的描述訪問用戶的屬性，而且具有較高的計算效率。在加密和解密階段將部分計算外包給霧節點，減輕了用戶的負擔。考慮到訪問結構可能泄露用戶的隱私，該方法引入了部分隱藏訪問結構的技術，確保了用戶隱私的安全。最后，為了驗證密文在傳輸和外包解密的過程中是否有被篡改，對密文進行驗證以確保密文的正確性。

技術領域

本發明涉及一種霧計算環境下可實現隱私保護的基于CP-ABE密文訪問控制方法，屬于霧計算技術領域。

背景技術

霧計算(Fog Computing)，在該模式中數據、(數據)處理和應用程序集中在網絡邊緣的設備中，而不是幾乎全部保存在云中，是云計算(Cloud Computing)的延伸概念。霧計算主要使用的是邊緣網絡中的設備，數據傳遞具有極低時延。它具有遼闊的地理分布，帶有大量網絡節點的大規模傳感器網絡。而且霧計算的移動性好，手機和其他移動設備可以互相之間直接通信，信號不必到云端甚至基站去繞一圈，支持很高的移動性。由于云計算大規模，低成本的特點，越來越多的用戶將數據存儲于云存儲服務器，實現數據的存儲和共享。然而大量數據的計算在云中進行，使其效率大大降低。霧計算的出現有效的緩解了這個問題。

云存儲給數據存儲帶來便利的同時也到來了一個安全隱患:云的存儲介質位于用戶控制之外，如何向用戶保證數據的合法訪問？可以通過加密數據并控制用戶的解密能力以實現密文訪問控制來解決這個問題。密文訪問控制可以理解為由用戶加密數據，然后通過分發解密密鑰來控制數據使用者訪問權限的一種訪問控制方式。采用密文訪問控制機制，用戶自主進行數據加密，由用戶自己來保護數據內容安全；同時，數據解密密鑰由用戶分發給授權訪問者，能夠實現自主可控的訪問控制機制。密文訪問控制研究最早可以追溯到Akl和Taylor提出的基于公鑰密碼算法實現的分級訪問控制系統。隨著密碼學的不斷發展，密文訪問控制技術也在不斷完善，先后出現了基于非對稱加密、單向Hash、基于身份加密、基于屬性加密等算法實現的密文訪問控制機制。這些訪問控制技術基本思想相同，但通過不同的密碼技術優化了數據加密、密鑰管理、密鑰分發等操作，提升了密文訪問控制機制的性能。

與云計算環境下情況類似，在霧計算環境中的訪問控制是用戶數據共享的安全保障，但它的網絡結構和系統模型與云計算環境下的是不同的。因此，需要考慮一個云、霧和用戶的新的訪問控制方案，其中霧節點應該協助用戶減少計算量并提供更多的靈活性。外包是實現霧節點協助用戶的最佳選擇之一，可用于執行大規模計算，以減少資源受限設備所需的計算開銷。另外，為了防止數據在云計算和霧計算中被惡意分子篡改，增加可驗證性是非常有必要的。2014年，Asim等人構建了具有加密和解密外包能力的CP-ABE方案。在他們的方案中，數據擁有者首先生成密文，然后應用半可信代理來重新加密與訪問結構相關的加密信息。在解密過程中，他們將一個轉換密鑰發送給另一個半可信代理來解密大部分的密文，最后再由用戶做最后的小部分計算，解密得到信息，這就為用戶減少了大部分的計算開銷。2016年，Mao等人引入了可驗證的外包解密的基于屬性加密的通用結構，這也為用戶解密密文留下了一個簡單的計算。其中，ABE是指基于屬性的加密，基于屬性的加密方案分為兩種，密鑰策略的基于屬性加密(Key-Policy ABE,KP-ABE)和密文策略的基于屬性加密(Ciphertext-Policy ABE,CP-ABE)。在KP-ABE中，密鑰跟訪問策略相關，密文跟屬性集相關，加密者只能為數據選擇描述性的屬性，不能決定誰可以解密密文，只能相信密鑰發布者。CP-ABE中屬性用來描述用戶的私鑰，加密者可以使用訪問策略來決定可以訪問加密數據，但加密者并不知道具體誰可以訪問密文。所以CP-ABE的部署方式與傳統的訪問控制模型更加接近，能夠很好的適用于霧計算環境中對敏感數據的保護，同時可以實現對訪問策略更靈活的控制。