CN110933033A - 智慧城市环境下多物联网域的跨域访问控制方法 - Google Patents
智慧城市环境下多物联网域的跨域访问控制方法 Download PDFInfo
- Publication number
- CN110933033A CN110933033A CN201911027291.2A CN201911027291A CN110933033A CN 110933033 A CN110933033 A CN 110933033A CN 201911027291 A CN201911027291 A CN 201911027291A CN 110933033 A CN110933033 A CN 110933033A
- Authority
- CN
- China
- Prior art keywords
- domain
- data
- attribute
- ciphertext
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于信息处理技术领域,公开了一种智慧城市环境下多物联网域的跨域访问控制方法,系统初始化、数据初加密、共域情况下的数据解密、跨域情况下数据不予申请,则需要重新对数据进行加密、跨域情况下的数据解密。具有统一的优势,既可以实现单个域内的访问,又能解决跨域访问控制问题。利用代理服务器,可以高效地实现数据访问控制。本发明具有较高的效率和较低的成本实现跨域访问控制。本发明是包含对称密钥的混合加密方式,利用代理服务器方式,以实现安全高效的加密机制。属性基加密技术是通过设置阈值来控制数据用户的访问权限,是不需要知晓用户身份的一种细粒度访问控制机制,在云环境下保护数据访问控制的安全性。
Description
技术领域
本发明属于信息处理技术领域,尤其涉及一种智慧城市环境下多物联网域的跨域访问控制方法。
背景技术
目前,最接近的现有技术:智能城市是指一个日益数字化的城市,它通过互联网智能地收集和分析城市创建的各种数据。物联网为智能城市提供机遇的同时,其信任管理也迎来了挑战。为了存储物联网设备产生的大量信息,许多市民将云服务提供商作为存储需求的基础。虽然大部分城市数据可以存储在云平台上,但数据的机密性并不总是有保证的。一般来说,云服务提供商是诚实而好奇的,因为它在保证数据安全性和执行分配的任务同时,还可能对数据进行推断和分析从而获取隐私信息。访问控制限制用户请求数据的权限,以便用户可以在合法范围内访问数据。属性基加密技术是通过设置阈值来控制数据用户的访问权限。近年来,基于密文策略属性的加密技术(CP-ABE)的研究已从单授权发展为多授权,是解决云环境下单个域访问控制问题的有效途径。为了更好地管理智能城市,物联网设备通常被分配到社区、医院等不同领域进行分散信任管理。每个域是一个独立的物联网系统,具有属性授权机构、用户和云服务提供商,根据特定的策略管理用户及其数据。当两个用户在不同的域中时,数据所有者使用其域中的属性权限颁发的公钥对消息进行加密,申请数据的用户拥有的解密密钥由其域中的属性授权中心颁发。结果是,使用从不同域获得的解密密钥,数据用户无法跨域访问存储在云中的加密数据。
综上所述,现有技术存在的问题是:多个物联网域环境下,由于属性授权中心颁发的属性并不会发布给外域用户,外域用户得不到解密密钥将无法实现数据访问,如何解决多个域内安全高效的跨域访问控制问题成为一大安全需求。
解决上述技术问题的难度:系统如何实现多个域内的访问控制,如何高效又安全的实现数据访问等这些问题为现有的访问控制方案带来的困难。
解决上述技术问题的意义:在制定能有效解决跨域访问控制的同时,也要考虑对域内访问控制的影响,保持两种情况下操作的一致性。从而,在多物联网域中保证云数据安全的条件下,制定出了既能保证共域用户数据的安全共享,又能实现高效的跨域数据访问控制的方案。
发明内容
针对现有技术存在的问题,本发明提供了一种智慧城市环境下多物联网域的跨域访问控制方法。
本发明是这样实现的,一种智慧城市环境下多物联网域的跨域访问控制方法,所述智慧城市环境下多物联网域的跨域访问控制方法包括以下步骤:
第一步,在起始阶段对系统进行初始化;包括全局参数初始化、属性授权中心初始化和用户密钥生成;
第二步,数据拥有者用对称加密算法加密明文,基于属性加密对称密钥;在利用属性基加密技术的时候,在加密代理服务器的配合下完成高效的加密方式;
第三步,当数据拥有者和申请数据的用户在同一个物联网域内时,属于共域情况下的数据访问控制;合法用户从云服务器获取数据拥有者加密后的密文,在解密代理服务器的帮助下基于属性解密获得对称密钥,再利用对称密钥解密获得明文;
第四步,当数据拥有者和申请数据的用户在不同物联网域内时,属于多域情况下的数据访问控制;可信第三方用对称加密算法加密明文;基于属性加密对称密钥。在利用属性基加密技术的时候,在数据拥有者和加密代理服务器的配合下完成高效的加密方式;
第五步,用户从可信第三方获得加密后的密文,在解密代理服务器的帮助下基于属性解密获得对称密钥,再利用对称密钥解密获得明文,实现跨域访问数据。
进一步,所述智慧城市环境下多物联网域的跨域访问控制方法的云服务器收到用户请求后,验证用户是否为域内合法用户,若满足,则返回对应的密文,否则,返回不满足访问策略响应;域内合法用户得到密文后,使用其属性私钥完成解密;外域用户不能通过申请获得云服务器上的密文,可信第三方进行重新加密;通过属性基加密机制和代理服务器的运用的方式,实现跨域数据的灵活访问控制。
进一步,所述第一步的系统初始化具体包括:
步骤一,全局设置算法在每个域中分别运行,使用j来表示每个域的数目,全局设置算法接受一个属性集ASj,该属性集涉及系统的每个域;选择一个随机素数pj作为素数阶,选择一个生成器gj在系统的每个域中生成双线性群的Gj:
GPj={pj,gj};
步骤三,由于数据申请者DUj想要访问数据,从自己域中的相关属性授权中心AAs获取解密密钥,i是属性集SDU中的一个属性,该属性将属性i与用户标识符配对,并发送到相应的属性授权AA,AA获取DU发送的数据,并首先确定它是否是合法用户;如果属性i不包含AA证书,AA将拒绝DU应用程序。如果它是合法用户,AA将计算解密密钥:接受属于DU的属性集SDU的公钥PKj、密钥SKj和属性i;选择一个随机数并生成解密密钥DK为:
有n个域,选择其中的两个域,分别命名为DA和DB;数据所有者DOA和数据用户DUA在域A中,数据用户DUB在域B中。
进一步,所述第二步的共域下的数据加密具体包括:
步骤一,DOA使用随机对称密钥KF加密消息m,并获取密文CF;
步骤二,在共域下,加密算法由DOA在加密代理服务器EPS的配合下执行,访问控制结构由DOA制定,对对称密钥KF进行加密;M是一个n×ι矩阵,ρ是一个将M的行映射到属性的函数;选择一个随机数作为共享秘密随机数构成向量对于从1到n的每个 从1到n,选择一个随机数然后密钥密文CT:
DOA计算C和C′,然在EPS的协作下,计算其余密钥密文CT、Ci和Di;
对于Ci,EPS使用算法计算:
然后按以下随机顺序查询EPS(U):
ηi=(α3-ζ)/α2.;
DOA检查答案EPS的正确性:
那么DOA表示EPS是诚实的,并且DOA计算:
否则,表示EPS给出了错误的答案,因此DOA输出⊥;然后DOA使用算法计算Di,并得到密钥密文CT;
步骤三,DOA将{CF,CT}发送到CSPA进行保存。
进一步,所述第三步的共域下的数据解密具体包括:
步骤一,数据用户DUA在域A中,DUA将应用程序发送到CSPA,当DUA是域A中的合法用户将获得密文CF和密钥密文CT;
步骤二,解密算法由DUA和解密代理服务器DPS一起执行;DUA在两个随机数中选择,并在选择一个Kj,属性是解密CT的必要属性;然后DUA分别生成两个转换键TK1,TK2和两个对应的检索键RK1,RK2;
RK1=z1
RK2=z1z2;
然后DUA将TK1发送到DPS1,并将TK2发送到DPS2;
DPS1计算一个解密密钥密文DCT1,如下所示:
DPS2计算另一个解密密钥密文DCT2,如下所示:
然后DUA从DPSs中获取解密密钥密文DCT=(DCT1,DCT2),对于每个选定的属性j计算:
or
然后DUA检查:
如果方程不相等,DUA输出⊥;否则,DPS1和DPS2的输出是正确的,然后DUA计算:
步骤三,DUA使用KF解密密文CF以获取消息m。
进一步,所述第四步的不同域下的数据解密具体包括:
步骤一,DOA使用随机对称密钥KF’加密消息m,并获取密CF’;
步骤二,数据用户DUB位于域B中。DUB首先将应用程序发送到CSPA;DUB无法获得密文CF和密钥密文CT,因为DUB不是域A中的合法用户,DUB将应用程序发送到可信第三方TTP;
DOA计算:
然后DOA发送C和CF’到TTP;
TTP计算C,然后其余密钥密文CT,Ci和Di,分别计算在EPS(U)的合作;
对于Ci,EPS使用算法计算:
然后按以下随机顺序查询EPS(U):
然后EPS将这个五个输出应答(EPS)发送到TTP;
TTP检查答案的正确性EPS:
然后TTP表示EPS是诚实的,并且TTP计算:
否则,它表示EPS给出了错误的答案,因此TTP输出⊥;TTP使用算法计算Di,并获得密钥密文CT’;
步骤三,TTP将{CF′,CT′}发送到DUB。
进一步,所述第五步的不同域下的数据解密具体包括:
RK1=z1
RK2=z1z2;
然后DUB将TK1发送到DPS1,并将TK2发送到DPS2;
DPS1计算一个解密密钥密文DCT1,如下所示:
DPS2计算另一个解密密钥密文DCT2,如下所示:
然后DUB从DPSs中获取解密密钥密文DCT=(DCT1,DCT2),对于每个选定的属性j计算:
or
然后DUB检查:
如果方程不相等,DUB输出⊥。否则,DPS1和DPS2的输出是正确的,然后DUB计算:
步骤二,使用KF'解密密文CF'以获取消息m。
本发明的另一目的在于提供一种应用所述智慧城市环境下多物联网域的跨域访问控制方法的信息数据处理终端。
综上所述,本发明的优点及积极效果为:本发明包括:系统初始化、数据初加密、共域情况下的数据解密、跨域情况下数据不予申请,则需要重新对数据进行加密、跨域情况下的数据解密。具有统一的优势,既可以实现单个域内的访问,又能解决跨域访问控制问题。利用代理服务器,可以高效地实现数据访问控制。该安全方案具有较高的效率和较低的成本实现跨域访问控制。本发明是包含对称密钥的混合加密方式,利用代理服务器方式,以实现安全高效的加密机制。属性基加密技术是。属性基加密技术是通过设置阈值来控制数据用户的访问权限,是不需要知晓用户身份的一种细粒度访问控制机制,在云环境下保护数据访问控制的安全性。利用代理服务器可减轻加解密的开销,提高系统效率,实现安全高效的跨域访问控制。
本发明使用的属性基加密技术保证了信息的真实性。只有满足访问策略的用户才可以解密密钥密文获得对称密钥,再利用对称解密获得明文。属性基加密机制保证了云服务器存储的数据的安全性。云服务器无法窥探数据的明文内容,在半可信的状态下也能够有效的完成协议内容。代理服务器的使用不仅实现了跨域,并且提高了系统的效率,将复杂的运算交给不可信的代理服务器,通过简单的验算,当验算返回的数据为真实数据时,即可再简单运算出结果,减少了用户部分的开销。非法用户无法通过共谋获取数据明文,在系统的初始化阶段每一个用户获得自己的证书,在解密阶段如果证书不同是无法解密的,实现了抗共谋。
附图说明
图1是本发明实施例提供的智慧城市环境下多物联网域的跨域访问控制方法流程图。
图2是本发明实施例提供的智慧城市环境下多物联网域的跨域访问控制方法的实现流程图。
图3是本发明实施例提供的共域系统模型图。
图4是本发明实施例提供的跨域系统模型图。
图5是本发明实施例提供的系统流程图。
图6是本发明实施例提供的数据安全性的加密仿真图。
图7是本发明实施例提供的数据安全性的解密仿真图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种智慧城市环境下多物联网域的跨域访问控制系统及方法,下面结合附图对本发明作详细的描述。
如图1所示,本发明实施例提供的智慧城市环境下多物联网域的跨域访问控制方法包括以下步骤:
S101:为了实现系统能正常运转,需要在起始阶段对系统进行初始化。包括全局参数初始化、属性授权中心初始化和用户密钥生成。
S102:数据拥有者用对称加密算法加密明文,基于属性加密对称密钥;在利用属性基加密技术时,在加密代理服务器的配合下完成高效的加密方式;数据拥有者将六组参数依次发送给加密代理服务器,并对返回结果进行验证,并通过少量的运算完成基于属性的加密;将密文结果发送到云服务器上存储。
S103:当数据拥有者和申请数据的用户在同一个物联网域内时,属于共域情况下的数据访问控制;合法用户从云服务器获取数据拥有者加密后的密文,在解密代理服务器的帮助下基于属性解密获得对称密钥,利用对称密钥解密获得明文。
S104:当数据拥有者和申请数据的用户在不同物联网域内时,属于多域情况下的数据访问控制;可信第三方用对称加密算法加密明文,基于属性加密对称密钥;在利用属性基加密技术的时候,在数据拥有者和加密代理服务器的配合下完成高效的加密方式;可信第三方将六组参数依次发送给加密代理服务器,并对返回结果进行验证,并通过少量的运算完成基于属性的加密;最后将密文直接发送给申请数据的合法用户。
S105:用户从可信第三方获得加密后的密文,在解密代理服务器的帮助下基于属性解密获得对称密钥,再利用对称密钥解密获得明文,实现跨域访问数据。
下面结合附图对本发明的技术方案作进一步的描述。
如图2所示,本发明实施例提供的智慧城市环境下多物联网域的跨域访问控制方法具体包括以下步骤:
步骤一,系统初始化;
步骤二,共域下的数据加密;
步骤三,共域下的数据解密;
步骤四,不同域下的数据加密;
步骤五,不同域下的数据解密。
如图4所示,本发明的具体步骤做进一步描述如下:
(1)系统初始化:为了实现系统能正常运转,需要在起始阶段对系统进行初始化。初始化过程包括:
1a)全局参数初始化:
GlobalSetup(ASj)→GPj;
全局设置算法在每个域中分别运行,本发明使用j来表示每个域的数目。全局设置算法接受一个属性集ASj,该属性集涉及系统的每个域。然后它选择一个随机素数pj作为素数阶,选择一个生成器gj在系统的每个域中生成双线性群的 Gj。
GPj={pj,gj};
1b)属性授权中心初始化:
AuthoritySetup(GPj)→PKj,SKj;
1c)用户密钥生成
KeyGeneration(PKj,SKj,i,GPj)→DK;
由于数据申请者DUj想要访问数据,它从自己域中的相关属性授权中心AAs 获取解密密钥,i是属性集SDU中的一个属性,该属性将属性i与用户标识符配对,并将其发送到相应的属性授权AA。AA获取DU发送的数据,并首先确定它是否是合法用户。如果属性i不包含AA证书,AA将拒绝DU应用程序。如果它是合法用户,AA将计算解密密钥:它接受属于DU的属性集SDU的公钥 PKj、密钥SKj和属性i。然后选择一个随机数并生成解密密钥DK为:
假设方案有n个域,本发明选择其中的两个域,分别命名为DA和DB。数据所有者DOA和数据用户DUA在域A中,数据用户DUB在域B中。
(2)共域下的数据加密
2a)对称加密明文
DOA使用随机对称密钥KF加密消息m,并获取密文CF。
2b)基于属性加密对称密钥:
Encryption(PKj,GPj,KF,(M,ρ))→CT;
在共域下,加密算法由DOA在加密代理服务器EPS的配合下执行,访问控制结构由DOA制定,对对称密钥KF进行加密。
DOA计算C和C′,然后在EPS(算法U)的协作下,分别使用算法1和算法2计算其余密钥密文CT、Ci和Di。
对于Ci,EPS使用算法1计算:
然后按以下随机顺序查询EPS(U):
如算法1所述:
ηi=(α3-ζ)/α2.;
DOA检查答案(EPS)的正确性:
那么DOA表示EPS是诚实的,并且DOA可以计算:
否则,它表示EPS给出了错误的答案,因此DOA输出⊥。然后DOA使用算法 2计算Di,并得到密钥密文CT。
2c)最后,DOA将{CF,CT}发送到云服务器CSPA进行保存。
(3)共域下的数据解密
3a)在这种情况下,数据用户DUA在域A中,首先DUA将应用程序发送到 CSPA,当DUA是域A中的合法用户将获得密文CF和密钥密文CT。
3b)解密获得对称密钥
Decryption(GPj,CT,DK)→KF;
在公共域下,解密算法由DUA和解密代理服务器DPS一起执行。DUA在两个随机数中选择,并在选择一个Kj,属性是解密CT的必要属性。然后DUA分别生成两个转换键TK1,TK2和两个对应的检索键RK1,RK2:
RK1=z1
RK2=z1z2;
然后DUA将TK1发送到DPS1,并将TK2发送到DPS2。
DPS1计算一个解密密钥密文DCT1,如下所示:
DPS2计算另一个解密密钥密文DCT2,如下所示:
然后DUA从DPSs中获取解密密钥密文DCT=(DCT1,DCT2),对于每个选定的属性j计算:
or
然后DUA检查:
如果方程不相等,DUA输出⊥。否则,DPS1和DPS2的输出是正确的,然后DUA计算:
3c)解密获得明文,DUA使用KF解密密文CF以获取消息m。
(4)不同域下的数据加密
4a)对称加密明文
DOA使用随机对称密钥KF’加密消息m,并获取密CF’。
4b)基于属性加密对称密钥:
Encryption(PKj,GPj,KF′,(M,ρ))→CT′;
数据用户DUB位于域B中。DUB首先将应用程序发送到CSPA。然而,DUB无法获得密文CF和密钥密文CT,因为DUB不是域A中的合法用户,然后DUB将应用程序发送到TTP。
DOA计算:
然后DOA发送C和CF’到TTP。
TTP计算C,然后其余密钥密文CT,Ci和Di,分别计算与算法1和算法 2分别在EPS(U)的合作。
对于Ci,EPS使用算法1来计算:
然后按以下随机顺序查询EPS(U):
如算法1所述:
然后EPS将这个五个输出应答(EPS)发送到TTP。
TTP检查答案的正确性(EPS):
然后TTP表示EPS是诚实的,并且TTP可以计算:
否则,它表示EPS给出了错误的答案,因此TTP输出⊥。然后,TTP使用算法2计算Di,并获得密钥密文CT’。
4c)最后,TTP将{CF′,CT′}发送到DUB。
(5)不同域下的数据解密
5a)解密获得对称密钥:
Decryption(GPj,CT,DK)→KF;
RK1=z1
RK2=z1z2;
然后DUB将TK1发送到DPS1,并将TK2发送到DPS2。
DPS1计算一个解密密钥密文DCT1,如下所示:
DPS2计算另一个解密密钥密文DCT2,如下所示:
然后DUB从DPSs中获取解密密钥密文DCT=(DCT1,DCT2),对于每个选定的属性j计算:
or
然后DUB检查:
如果方程不相等,DUB输出⊥。否则,DPS1和DPS2的输出是正确的,然后DUB计算:
5b)解密获得明文
使用KF'解密密文CF'以获取消息m。
下面结合仿真对本发明的技术效果作详细的描述。
1.仿真条件
仿真环境是:华硕笔记本,配置是Intel(R)Core(TM)I3 CPU@1.8GHz 8.0G RAM。
2.仿真内容与结果分析
本发明与现有的方案进行比较。RE-ABE和VO-ABE中的每个域都由多个权限管理,并向每个域添加一个半信任的代理用户。RE-ABE使用代理重新加密技术,首先生成代理重新加密密钥,然后使用代理重新加密密钥将密文转换为另一个域可解密的密文。VO-ABE使用代理用户对KF进行加密,并借助混合加密实现跨域访问控制。基于对称加密和cp-abe的混合加密也用于RE-ABE和 VO-ABE两种方案,因此在比较这两种方案时,本发明不考虑对称密钥对消息进行加密和解密的时间。
本发明计算了这两个方案的加密和解密时间复杂度。假设P是函数配对的时间,E(G)和E(GT)是G和GT中的指数化时间,h是哈希函数的时间,n是访问策略中的属性数。假设访问策略与从0增加到50个属性有关,这意味着通常50 个常用属性可以描述用户的特征。结果是每次重复30次实验的平均值,通过 MATLAB绘制出理想的线图。
如图6所示,本发明的方案的加密时间比属性增加的比较方案要短。如图7 所示,随着属性的增加,本发明的方案的解密次数与方案VO-ABE相似,并且比方案RE-ABE的解密次数短。
结果表明,在多域环境下,该方案的加密和解密计算效率均明显优于相关方案。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种智慧城市环境下多物联网域的跨域访问控制方法,其特征在于,所述智慧城市环境下多物联网域的跨域访问控制方法包括以下步骤:
第一步,在起始阶段对系统进行初始化;包括全局参数初始化、属性授权中心初始化和用户密钥生成;
第二步,数据拥有者用对称加密算法加密明文,基于属性加密对称密钥;在利用属性基加密技术的时候,在加密代理服务器的配合下完成高效的加密方式;
第三步,当数据拥有者和申请数据的用户在同一个物联网域内时,属于共域情况下的数据访问控制;合法用户从云服务器获取数据拥有者加密后的密文,在解密代理服务器的帮助下基于属性解密获得对称密钥,再利用对称密钥解密获得明文;
第四步,当数据拥有者和申请数据的用户在不同物联网域内时,属于多域情况下的数据访问控制;可信第三方用对称加密算法加密明文;基于属性加密对称密钥;在利用属性基加密技术的时候,在数据拥有者和加密代理服务器的配合下完成高效的加密方式;
第五步,用户从可信第三方获得加密后的密文,在解密代理服务器的帮助下基于属性解密获得对称密钥,再利用对称密钥解密获得明文,实现跨域访问数据。
2.如权利要求1所述的智慧城市环境下多物联网域的跨域访问控制方法,其特征在于,所述智慧城市环境下多物联网域的跨域访问控制方法的云服务器收到用户请求后,验证用户是否为域内合法用户,若满足,则返回对应的密文,否则,返回不满足访问策略响应;域内合法用户得到密文后,使用其属性私钥完成解密;外域用户不能通过申请获得云服务器上的密文,可信第三方进行重新加密;通过属性基加密机制和代理服务器的运用的方式,实现跨域数据的灵活访问控制。
3.如权利要求1所述的智慧城市环境下多物联网域的跨域访问控制方法,其特征在于,所述第一步的系统初始化具体包括:
步骤一,全局设置算法在每个域中分别运行,使用j来表示每个域的数目,全局设置算法接受一个属性集ASj,该属性集涉及系统的每个域;选择一个随机素数pj作为素数阶,选择一个生成器gj在系统的每个域中生成双线性群的Gj:
GPj={pj,gj};
步骤三,由于数据申请者DUj想要访问数据,从自己域中的相关属性授权中心AAs获取解密密钥,i是属性集SDU中的一个属性,该属性将属性i与用户标识符配对,并发送到相应的属性授权AA,AA获取DU发送的数据,并首先确定它是否是合法用户;如果属性i不包含AA证书,AA将拒绝DU应用程序;如果它是合法用户,AA将计算解密密钥:接受属于DU的属性集SDU的公钥PKj、密钥SKj和属性i;选择一个随机数并生成解密密钥DK为:
有n个域,选择其中的两个域,分别命名为DA和DB;数据所有者DOA和数据用户DUA在域A中,数据用户DUB在域B中。
4.如权利要求1所述的智慧城市环境下多物联网域的跨域访问控制方法,其特征在于,所述第二步的共域下的数据加密具体包括:
步骤一,DOA使用随机对称密钥KF加密消息m,并获取密文CF;
步骤二,在共域下,加密算法由DOA在加密代理服务器EPS的配合下执行,访问控制结构由DOA制定,对对称密钥KF进行加密;M是一个n×ι矩阵,ρ是一个将M的行映射到属性的函数;选择一个随机数作为共享秘密随机数构成向量对于从1到n的每个 从1到n,选择一个随机数然后密钥密文CT:
DOA计算C和C′,然在EPS的协作下,计算其余密钥密文CT、Ci和Di;
对于Ci,EPS使用算法计算:
然后按以下随机顺序查询EPS(U):
ηi=(α3-ζ)/α2.;
DOA检查答案EPS的正确性:
那么DOA表示EPS是诚实的,并且DOA计算:
否则,表示EPS给出了错误的答案,因此DOA输出⊥;然后DOA使用算法计算Di,并得到密钥密文CT;
步骤三,DOA将{CF,CT}发送到CSPA进行保存。
5.如权利要求1所述的智慧城市环境下多物联网域的跨域访问控制方法,其特征在于,所述第三步的共域下的数据解密具体包括:
步骤一,数据用户DUA在域A中,DUA将应用程序发送到CSPA,当DUA是域A中的合法用户将获得密文CF和密钥密文CT;
步骤二,解密算法由DUA和解密代理服务器DPS一起执行;DUA在两个随机数中选择,并在选择一个Kj,属性是解密CT的必要属性;然后DUA分别生成两个转换键TK1,TK2和两个对应的检索键RK1,RK2;
RK1=z1
RK2=z1z2;
然后DUA将TK1发送到DPS1,并将TK2发送到DPS2;
DPS1计算一个解密密钥密文DCT1,如下所示:
DPS2计算另一个解密密钥密文DCT2,如下所示:
然后DUA从DPSs中获取解密密钥密文DCT=(DCT1,DCT2),对于每个选定的属性j计算:
or
然后DUA检查:
如果方程不相等,DUA输出⊥;否则,DPS1和DPS2的输出是正确的,然后DUA计算:
步骤三,DUA使用KF解密密文CF以获取消息m。
6.如权利要求1所述的智慧城市环境下多物联网域的跨域访问控制方法,其特征在于,所述第四步的不同域下的数据解密具体包括:
步骤一,DOA使用随机对称密钥KF’加密消息m,并获取密CF’;
步骤二,数据用户DUB位于域B中;DUB首先将应用程序发送到CSPA;DUB无法获得密文CF和密钥密文CT,因为DUB不是域A中的合法用户,DUB将应用程序发送到可信第三方TTP;
DOA计算:
然后DOA发送C和CF’到TTP;
TTP计算C,然后其余密钥密文CT,Ci和Di,分别计算在EPS(U)的合作;
对于Ci,EPS使用算法计算:
然后按以下随机顺序查询EPS(U):
然后EPS将这个五个输出应答(EPS)发送到TTP;
TTP检查答案的正确性EPS:
然后TTP表示EPS是诚实的,并且TTP计算:
否则,它表示EPS给出了错误的答案,因此TTP输出⊥;TTP使用算法计算Di,并获得密钥密文CT’;
步骤三,TTP将{CF′,CT′}发送到DUB。
7.如权利要求1所述的智慧城市环境下多物联网域的跨域访问控制方法,其特征在于,所述第五步的不同域下的数据解密具体包括:
RK1=z1
RK2=z1z2;
然后DUB将TK1发送到DPS1,并将TK2发送到DPS2;
DPS1计算一个解密密钥密文DCT1,如下所示:
DPS2计算另一个解密密钥密文DCT2,如下所示:
然后DUB从DPSs中获取解密密钥密文DCT=(DCT1,DCT2),对于每个选定的属性j计算:
or
然后DUB检查:
如果方程不相等,DUB输出⊥;否则,DPS1和DPS2的输出是正确的,然后DUB计算:
步骤二,使用KF'解密密文CF'以获取消息m。
8.一种应用权利要求1~7任意一项所述智慧城市环境下多物联网域的跨域访问控制方法的信息数据处理终端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911027291.2A CN110933033B (zh) | 2019-10-27 | 2019-10-27 | 智慧城市环境下多物联网域的跨域访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911027291.2A CN110933033B (zh) | 2019-10-27 | 2019-10-27 | 智慧城市环境下多物联网域的跨域访问控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110933033A true CN110933033A (zh) | 2020-03-27 |
CN110933033B CN110933033B (zh) | 2021-08-06 |
Family
ID=69849549
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911027291.2A Active CN110933033B (zh) | 2019-10-27 | 2019-10-27 | 智慧城市环境下多物联网域的跨域访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110933033B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111698083A (zh) * | 2020-06-03 | 2020-09-22 | 湖南大学 | 一种可外包多授权中心的属性基加密方法 |
CN112118254A (zh) * | 2020-09-16 | 2020-12-22 | 许永宾 | 一种物联网智能终端设备隐私数据防护系统 |
CN112134939A (zh) * | 2020-09-16 | 2020-12-25 | 许永宾 | 一种基于智慧城市的区块化城市云平台 |
CN112187777A (zh) * | 2020-09-24 | 2021-01-05 | 深圳市赛为智能股份有限公司 | 智慧交通传感数据加密方法、装置、计算机设备及存储介质 |
CN112532591A (zh) * | 2020-11-06 | 2021-03-19 | 西安电子科技大学 | 跨域访问控制方法、系统、存储介质、计算机设备及终端 |
CN112565189A (zh) * | 2020-11-04 | 2021-03-26 | 国网安徽省电力有限公司信息通信分公司 | 一种基于云计算数据安全的访问控制系统 |
CN114866328A (zh) * | 2022-05-23 | 2022-08-05 | 南京理工大学 | 一种边缘计算环境下基于区块链的跨域访问控制方法及系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106656997A (zh) * | 2016-11-09 | 2017-05-10 | 湖南科技学院 | 一种基于移动社交网络代理重加密跨域交友隐私保护方法 |
CN108418784A (zh) * | 2017-12-04 | 2018-08-17 | 重庆邮电大学 | 一种基于属性密码的分布式跨域授权和访问控制方法 |
CN108777699A (zh) * | 2018-04-13 | 2018-11-09 | 西安电子科技大学 | 一种基于物联网多域协同架构下的应用跨域访问方法 |
CN109246096A (zh) * | 2018-08-30 | 2019-01-18 | 西安电子科技大学 | 适用于云存储的多功能细粒度访问控制方法 |
CN109714157A (zh) * | 2018-12-07 | 2019-05-03 | 南京信息职业技术学院 | 一种抗密钥暴露属性加密的sdn跨域访问控制方法 |
CN109936630A (zh) * | 2019-02-27 | 2019-06-25 | 重庆邮电大学 | 一种基于属性基密码的分布式服务访问授权及访问控制方法 |
-
2019
- 2019-10-27 CN CN201911027291.2A patent/CN110933033B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106656997A (zh) * | 2016-11-09 | 2017-05-10 | 湖南科技学院 | 一种基于移动社交网络代理重加密跨域交友隐私保护方法 |
CN108418784A (zh) * | 2017-12-04 | 2018-08-17 | 重庆邮电大学 | 一种基于属性密码的分布式跨域授权和访问控制方法 |
CN108777699A (zh) * | 2018-04-13 | 2018-11-09 | 西安电子科技大学 | 一种基于物联网多域协同架构下的应用跨域访问方法 |
CN109246096A (zh) * | 2018-08-30 | 2019-01-18 | 西安电子科技大学 | 适用于云存储的多功能细粒度访问控制方法 |
CN109714157A (zh) * | 2018-12-07 | 2019-05-03 | 南京信息职业技术学院 | 一种抗密钥暴露属性加密的sdn跨域访问控制方法 |
CN109936630A (zh) * | 2019-02-27 | 2019-06-25 | 重庆邮电大学 | 一种基于属性基密码的分布式服务访问授权及访问控制方法 |
Non-Patent Citations (1)
Title |
---|
KAI FAN等: ""A Secure Cross-domain Access Control Scheme in Social Networks"", 《2019 IEEE INTERNATIONAL CONFERENCE ON COMMUNICATIONS》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111698083A (zh) * | 2020-06-03 | 2020-09-22 | 湖南大学 | 一种可外包多授权中心的属性基加密方法 |
CN112118254A (zh) * | 2020-09-16 | 2020-12-22 | 许永宾 | 一种物联网智能终端设备隐私数据防护系统 |
CN112134939A (zh) * | 2020-09-16 | 2020-12-25 | 许永宾 | 一种基于智慧城市的区块化城市云平台 |
CN112187777A (zh) * | 2020-09-24 | 2021-01-05 | 深圳市赛为智能股份有限公司 | 智慧交通传感数据加密方法、装置、计算机设备及存储介质 |
CN112565189A (zh) * | 2020-11-04 | 2021-03-26 | 国网安徽省电力有限公司信息通信分公司 | 一种基于云计算数据安全的访问控制系统 |
CN112532591A (zh) * | 2020-11-06 | 2021-03-19 | 西安电子科技大学 | 跨域访问控制方法、系统、存储介质、计算机设备及终端 |
CN112532591B (zh) * | 2020-11-06 | 2022-03-11 | 西安电子科技大学 | 跨域访问控制方法、系统、存储介质、计算机设备及终端 |
CN114866328A (zh) * | 2022-05-23 | 2022-08-05 | 南京理工大学 | 一种边缘计算环境下基于区块链的跨域访问控制方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110933033B (zh) | 2021-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110933033B (zh) | 智慧城市环境下多物联网域的跨域访问控制方法 | |
Li et al. | Full verifiability for outsourced decryption in attribute based encryption | |
Zhang et al. | Data security and privacy-preserving in edge computing paradigm: Survey and open issues | |
Li et al. | User collusion avoidance CP-ABE with efficient attribute revocation for cloud storage | |
Li et al. | TMACS: A robust and verifiable threshold multi-authority access control system in public cloud storage | |
Liang et al. | Searchable attribute-based mechanism with efficient data sharing for secure cloud storage | |
CN111212084B (zh) | 一种面向边缘计算的属性加密访问控制方法 | |
Moffat et al. | A survey on ciphertext-policy attribute-based encryption (CP-ABE) approaches to data security on mobile devices and its application to IoT | |
CN114039790B (zh) | 一种基于区块链的细粒度云存储安全访问控制方法 | |
CN106487506B (zh) | 一种支持预加密和外包解密的多机构kp-abe方法 | |
CN111130757A (zh) | 一种基于区块链的多云cp-abe访问控制方法 | |
JP3864249B2 (ja) | 暗号通信システム、その端末装置及びサーバ | |
WO2021190452A1 (zh) | 用于云雾协助物联网的轻量级属性基签密方法 | |
CN106656997B (zh) | 一种基于移动社交网络代理重加密跨域交友隐私保护方法 | |
CN113360944B (zh) | 一种电力物联网的动态访问控制系统与方法 | |
CN113708917B (zh) | 基于属性加密的app用户数据访问控制系统及方法 | |
Tiwari et al. | SecCloudSharing: Secure data sharing in public cloud using ciphertext‐policy attribute‐based proxy re‐encryption with revocation | |
Zhou et al. | A secure and privacy-preserving machine learning model sharing scheme for edge-enabled IoT | |
Anand et al. | EECDH to prevent MITM attack in cloud computing | |
CN115834067A (zh) | 一种边云协同场景中密文数据共享方法 | |
Qin et al. | Simultaneous authentication and secrecy in identity-based data upload to cloud | |
CN114697042A (zh) | 一种基于区块链的物联网安全数据共享代理重加密方法 | |
Zhang et al. | Cerberus: Privacy-preserving computation in edge computing | |
CN110933052A (zh) | 一种边缘环境基于时间域的加密及其策略更新方法 | |
Wang et al. | Research on Ciphertext‐Policy Attribute‐Based Encryption with Attribute Level User Revocation in Cloud Storage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |