(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210689247.3 (22)申请日 2022.06.17 (71)申请人 中国人民解 放军战略支援 部队信息 工程大学 地址 450000 河南省郑州市高新区科 学大 道62号 (72)发明人 杜学绘　赵俊俊　杨艳　任志宇　 王文娟　王娜　单棣斌　曹利峰　 刘敖迪　 (74)专利代理 机构 郑州大通专利商标代理有限 公司 41111 专利代理师 周艳巧 (51)Int.Cl. H04L 67/10(2022.01) H04L 9/08(2006.01)H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/12(2022.01) (54)发明名称 支持访问策略更新的多方协作数据共享方 法 (57)摘要 本发明属于网络数据处理技术领域， 特别涉 及一种支持访问策略更新的多方协作数据共享 方法， 通过属性基加密技术加密共享数据， 控制 用户对云端密文的访问能力， 利用代理重加密密 文转换的思想， 在不影 响其他用户的情况下更新 云端密文的访问策略； 通过更新 云端密文的访问 策略， 解决不同管理域的用户因属性集合无法满 足既定密文访问策略而带来的无法访问问题； 然 后， 利用由多个管理域共同参与生成协作密钥， 使得任意参与生成协作密钥的管理域用户均具 有解密能力， 实现多个管理域间的数据共享； 最 后， 通过将多个管理域协商的协作密钥嵌入到重 加密密钥中， 解决要为不同的管 理域用户生成不 同的重加密密文的问题， 使 得不同管理域内的合 法用户均可直接解密该重加密密钥生成的重加 密密文。 本发 明可实现一次重加密即可供多个管 理域用户访问的目的， 有效地提高多方协作的效率。 权利要求书2页 说明书13页 附图4页 CN 114979149 A 2022.08.30 CN 114979149 A 1.一种支持访问策略更新的多方协作数据共享方法， 其特 征在于， 包 含如下内容： 协作域中各管理域生成相应的管理域公钥及管理域主密钥， 并依据用户持有的属性集 合为各自域内用户分发相关属性私钥； 不同管理域内可信授权中心 通过安全通道发送各自 隐私参数并生成协作密钥， 并通过利用属性私钥、 访问策略及协作密钥来生 成重加密密钥， 将重加密 密钥通过安全通道上传至云端； 数据拥有者依据需求加密明文数据并设置本地访问策略， 将密文作为共享数据 上传至 云端； 云服务提供商CSP利用存储在 云端的重加密密钥再次加密云端的密文生成供协作域用 户解密的重加密 密文； 本域用户通过自身属性私钥解密密文来获取共享数据， 外域用户依据自身属性密钥通 过解密重加密 密文来获取共享数据。 2.根据权利要求1所述的支持访问策略更新的多方协作 数据共享方法， 其特征在于， 可 信授权机构依据安全参数、 属 性集合来生成对应管理域中的主密钥、 公共参数和管理域公 钥； 可信授权 机构并利用随机参数及用户属性 为每个用户生成对应的用户属性私钥。 3.根据权利要求1所述的支持访问策略更新的多方协作 数据共享方法， 其特征在于， 协 作域中参与协作的M个管理域组成首尾相连闭环， 且各管理域以顺时针向下一个管理域发 送消息， 每个管理域通过发送M ‑1次隐私参数来 获取M个管 理域协商共享的协作密钥， 其中， 管理域之间通过身份认证机制进行签名验证来建立协作密钥生成中的可信协商。 4.根据权利要求3所述的支持访问策略更新的多方协作 数据共享方法， 其特征在于， 管 理域之间通过建立可信协商来生成协作密钥中， 认证中心为各管理域颁发身份证书， 各管 理域的可信授权机构向协作域的可信授权机构发起密钥协商请求， 且密钥协商交互的各管 理域可信授权机构共享一个公开参数； 协作域中的各管理域可信授权机构依次对上一个协 商域可信授权机构发送的协商信息进行身份验证并在协商信息上添加本域隐私参数后进 行签名发送给 下一个协商域的可信授权 机构进行协商。 5.根据权利要求4所述的支持访问策略更新的多方协作 数据共享方法， 其特征在于， 管 理域之间的可信授权机构协商过程包含如下内容： 当前管理域的可信授权机构利用本域隐 私参数及公开参数生成协商信息， 并利用私钥签名后 发送各协作域； 协作域针对接 收的协 商信息， 利用对应可信授权机构身份证书中的公钥进行身份验证， 利用本域隐私参数更新 身份验证通过的协商信息， 利用私钥对更新后的协商信息签名后发送给 下一个协作域。 6.根据权利要求1所述的支持访问策略更新的多方协作 数据共享方法， 其特征在于， 重 加密密钥由具有共享数据合法访问权限的本域用户依据其自身属性私钥、 协作密钥 及跨域 访问策略来 生成。 7.根据权利要求1或6所述的支持访问策略更新的多方协作数据共享方法， 其特征在 于， 重加密密钥生成 中， 首先， 具有共享数据合法访问权限的本域用户向可信授权中心申请 并获取协作密钥； 然后， 利用属性私钥、 协作密钥以及新的访问策略通过计算得到重加密密 钥， 使重加密 密钥与协助密钥及新的访问策略均相关。 8.根据权利要求1所述的支持访问策略更新的多方协作 数据共享方法， 其特征在于， 数 据拥有者利用管理域公钥及访问策略对明文数据进行加密， 以生成与访问策略关联的密 文。权　利　要　求　书 1/2 页 2 CN 114979149 A 29.根据权利要求1所述的支持访问策略更新的多方协作 数据共享方法， 其特征在于， 本 域用户发起共享数据读取请求时， 通过验证用户属性私钥是否满足密文对应的访问策略来 判断该用户是否属于合法用户， 本地合法用户利用属性私钥并通过解密算法来获取共享数 据明文。 10.根据权利要求1所述的支持访问策略更新的多方协作数据共享方法， 其特征在于， 外域用户发起共享数据读取请求时， 首先判断该外域用户属性私钥对应的属性集合是否满 足重加密密 文的跨域访问策略， 然后， 针对满足跨域访问策略的外域用户， 利用自身属性私 钥对重加密 密文进行解密来获取共享数据明文。权　利　要　求　书 2/2 页 3 CN 114979149 A 3