本發明公開一種面向邊緣計算的屬性加密訪問控制方法，除了常規的屬性加密之外還將時間參數和位置參數一起作為加密因子用于屬性加密算法中，使得數據用戶必須在數據擁有者所設定的時間和位置范圍內才能進行訪問，以達到更細粒度的訪問控制。數據用戶在請求訪問數據時，根據最短路徑算法訪問離自己最近的邊緣節點，邊緣節點收到數據用戶的訪問請求后，先檢索自己是否存儲相應的數據密文和密鑰密文，若沒有存儲，則由該邊緣節點向其相鄰的其它邊緣節點或云服務器檢索。此外，本發明針對邊緣計算中終端設備資源受限問題，將大部分的解密工作放在邊緣節點，在邊緣節點進行預解密。

技術領域

本發明涉及數據安全技術領域，具體涉及一種面向邊緣計算的屬性加密訪問控制方法。

背景技術

在云計算中，很多數據外包存儲在“基本”可信的云服務平臺上，由于云上的數據脫離了數據所有者的物理控制，非法用戶可以嘗試通過非法訪問數據來試圖獲取數據所包含的信息，這將造成數據信息和用戶隱私信息的泄露。采用基于屬性加密技術可對存儲在云端的這些隱私數據進行細粒度的訪問控制，該方法可以實現“一對多”的加密訪問控制，同時具有可擴展性和分布式的特點。

隨著物聯網、5G網絡技術的快速發展，智慧醫療、位置服務、移動支付等新型服務模式和業務不斷出現，使得智能設備數量呈爆炸式增長，隨之而來的是物聯網設備產生的海量數據。而傳送海量數據到云中心需要一定的時間，云中心處理數據也需要一定的時間，這就會加大請求響應時間，用戶體驗極差。而由于終端用戶和遠程云之間的數據交換會占用大量帶寬，以及物聯網中很多終端設備的計算資源有限，通信和存儲必須依靠云或邊緣節點來完成。邊緣計算是指數據或任務能夠在靠近數據源頭的網絡邊緣側進行計算和執行計算的一種新型服務模型，與云計算互為補充。

傳統云環境下的屬性加密只考慮常規屬性如職業、年齡等。而在一些實際應用場景中，數據的訪問控制還需要考慮時間和位置等因素。如醫生只能在上班時間并且只能在醫院位置范圍內才能訪問醫院數據庫，查看病人的相關病歷；學生只能在校且在籍才能訪問教務系統以及圖書館購買的數據庫。由于邊緣計算具有移動性、實時性，因此必須考慮時間和位置變化帶來的影響，并且由于數據的多元異構性、感知性以及終端的資源受限等特性，傳統云環境下的屬性加密訪問控制方法已不再適用于邊緣計算環境。

發明內容

本發明針對邊緣計算應用中數據的隱私保護和訪問控制問題，提供一種支持時間和位置變化的屬性加密訪問控制方法。

為解決上述問題，本發明是通過以下技術方案實現的：

一種面向邊緣計算的屬性加密訪問控制方法，具體包括步驟如下：

步驟1、初始化：CA初始化建立整個系統；AA通過CA進行注冊，負責管理系統中的所有屬性，且每個AA管理的屬性集合沒有交集；DO通過CA進行注冊；DU通過CA進行注冊，并由CA認證DU的身份和授權；

步驟2、DO先使用對稱密鑰對明文數據進行加密，生成數據密文；再使用預設的訪問策略對對稱密鑰進行加密，生成密鑰密文；后將數據密文和密鑰密文一起發送到CSP進行存儲；

步驟3、當DU發出訪問請求時，

首先，AA使用CA的驗證密鑰從憑證中得到該DU的身份，并判斷DU是否為注冊用戶：當DU不是注冊用戶時，則AA返回失敗信息；當DU是注冊用戶時，則AA根據DU的常規屬性生成常規屬性私鑰，并發回給DU；

然后，AA根據訪問控制表判斷DU的訪問時間和位置是否均在有效時間和位置范圍內：若訪問時間和位置均在有效時間和位置范圍內時，則AA分別生成時間屬性私鑰和位置屬性私鑰，并返回給DU；否則，AA返回失敗信息給DU；

步驟4、DU組合收到常規屬性私鑰、時間屬性私鑰和位置屬性私鑰，并進行轉換處理后生成邊緣密鑰和恢復密鑰；

步驟5、DU對EN發起訪問請求，并將邊緣密鑰發送到EN；