CN110933033B - 智慧城市环境下多物联网域的跨域访问控制方法 - Google Patents

Abstract

本发明属于信息处理技术领域，公开了一种智慧城市环境下多物联网域的跨域访问控制方法，系统初始化、数据初加密、共域情况下的数据解密、跨域情况下数据不予申请，则需要重新对数据进行加密、跨域情况下的数据解密。具有统一的优势，既可以实现单个域内的访问，又能解决跨域访问控制问题。利用代理服务器，可以高效地实现数据访问控制。本发明具有较高的效率和较低的成本实现跨域访问控制。本发明是包含对称密钥的混合加密方式，利用代理服务器方式，以实现安全高效的加密机制。属性基加密技术是通过设置阈值来控制数据用户的访问权限，是不需要知晓用户身份的一种细粒度访问控制机制，在云环境下保护数据访问控制的安全性。

Description

智慧城市环境下多物联网域的跨域访问控制方法

技术领域

本发明属于信息处理技术领域，尤其涉及一种智慧城市环境下多物联网域的跨域访问控制方法。

背景技术

目前，最接近的现有技术：智能城市是指一个日益数字化的城市，它通过互联网智能地收集和分析城市创建的各种数据。物联网为智能城市提供机遇的同时，其信任管理也迎来了挑战。为了存储物联网设备产生的大量信息，许多市民将云服务提供商作为存储需求的基础。虽然大部分城市数据可以存储在云平台上，但数据的机密性并不总是有保证的。一般来说，云服务提供商是诚实而好奇的，因为它在保证数据安全性和执行分配的任务同时，还可能对数据进行推断和分析从而获取隐私信息。访问控制限制用户请求数据的权限，以便用户可以在合法范围内访问数据。属性基加密技术是通过设置阈值来控制数据用户的访问权限。近年来，基于密文策略属性的加密技术(CP-ABE)的研究已从单授权发展为多授权，是解决云环境下单个域访问控制问题的有效途径。为了更好地管理智能城市，物联网设备通常被分配到社区、医院等不同领域进行分散信任管理。每个域是一个独立的物联网系统，具有属性授权机构、用户和云服务提供商，根据特定的策略管理用户及其数据。当两个用户在不同的域中时，数据所有者使用其域中的属性权限颁发的公钥对消息进行加密，申请数据的用户拥有的解密密钥由其域中的属性授权中心颁发。结果是，使用从不同域获得的解密密钥，数据用户无法跨域访问存储在云中的加密数据。

综上所述，现有技术存在的问题是：多个物联网域环境下，由于属性授权中心颁发的属性并不会发布给外域用户，外域用户得不到解密密钥将无法实现数据访问，如何解决多个域内安全高效的跨域访问控制问题成为一大安全需求。

解决上述技术问题的难度：系统如何实现多个域内的访问控制，如何高效又安全的实现数据访问等这些问题为现有的访问控制方案带来的困难。

解决上述技术问题的意义：在制定能有效解决跨域访问控制的同时，也要考虑对域内访问控制的影响，保持两种情况下操作的一致性。从而，在多物联网域中保证云数据安全的条件下，制定出了既能保证共域用户数据的安全共享，又能实现高效的跨域数据访问控制的方案。

发明内容

针对现有技术存在的问题，本发明提供了一种智慧城市环境下多物联网域的跨域访问控制方法。

本发明是这样实现的，一种智慧城市环境下多物联网域的跨域访问控制方法，所述智慧城市环境下多物联网域的跨域访问控制方法包括以下步骤：

第一步，在起始阶段对系统进行初始化；包括全局参数初始化、属性授权中心初始化和用户密钥生成；

第二步，数据拥有者用对称加密算法加密明文，基于属性加密对称密钥；在利用属性基加密技术的时候，在加密代理服务器的配合下完成高效的加密方式；

第三步，当数据拥有者和申请数据的用户在同一个物联网域内时，属于共域情况下的数据访问控制；合法用户从云服务器获取数据拥有者加密后的密文，在解密代理服务器的帮助下基于属性解密获得对称密钥，再利用对称密钥解密获得明文；

第四步，当数据拥有者和申请数据的用户在不同物联网域内时，属于多域情况下的数据访问控制；可信第三方用对称加密算法加密明文；基于属性加密对称密钥。在利用属性基加密技术的时候，在数据拥有者和加密代理服务器的配合下完成高效的加密方式；

第五步，用户从可信第三方获得加密后的密文，在解密代理服务器的帮助下基于属性解密获得对称密钥，再利用对称密钥解密获得明文，实现跨域访问数据。

进一步，所述智慧城市环境下多物联网域的跨域访问控制方法的云服务器收到用户请求后，验证用户是否为域内合法用户，若满足，则返回对应的密文，否则，返回不满足访问策略响应；域内合法用户得到密文后，使用其属性私钥完成解密；外域用户不能通过申请获得云服务器上的密文，可信第三方进行重新加密；通过属性基加密机制和代理服务器的运用的方式，实现跨域数据的灵活访问控制。

进一步，所述第一步的系统初始化具体包括：

步骤一，全局设置算法在每个域中分别运行，使用j来表示每个域的数目，全局设置算法接受一个属性集AS_j，该属性集涉及系统的每个域；选择一个随机素数p_j作为素数阶，选择一个生成器g_j在系统的每个域中生成双线性群的G_j：

GP_j＝{p_j,g_j}；

HASH函数H_j被定义为将任何描述为二进制字符串的属性i映射

中的随机组元素；

步骤二，权限设置算法在每个域中分别运行，选择一个随机指数a_j，

生成公钥和私钥，如下所示：

步骤三，由于数据申请者DU_j想要访问数据，从自己域中的相关属性授权中心AAs获取解密密钥，i是属性集S_DU中的一个属性，该属性将属性i与用户标识符配对，并发送到相应的属性授权AA，AA获取DU发送的数据，并首先确定它是否是合法用户；如果属性i不包含AA证书，AA将拒绝DU应用程序。如果它是合法用户，AA将计算解密密钥：接受属于DU的属性集S_DU的公钥PK_j、密钥SK_j和属性i；选择一个随机数

并生成解密密钥DK为：

有n个域，选择其中的两个域，分别命名为D_A和D_B；数据所有者DO_A和数据用户DU_A在域A中，数据用户DU_B在域B中。

进一步，所述第二步的共域下的数据加密具体包括：

步骤一，DO_A使用随机对称密钥KF加密消息m，并获取密文CF；

步骤二，在共域下，加密算法由DO_A在加密代理服务器EPS的配合下执行，访问控制结构由DO_A制定，对对称密钥KF进行加密；M是一个n×ι矩阵，ρ是一个将M的行映射到属性的函数；选择一个随机数作为共享秘密

随机数

构成向量

对于从1到n的每个

从1到n，选择一个随机数

然后密钥密文CT：

DO_A计算C和C′，然在EPS的协作下，计算其余密钥密文CT、C_i和D_i；

对于C_i，EPS使用算法计算：

DO_A随机产生

然后按以下随机顺序查询EPS(U)：

η_i＝(α₃-ζ)/α₂.；

其中d_i是从中随机选择的，x是一个随机值，DO_A为每一个i计算

然后，EPS将这五个输出应答EPS发送到DO_A；

DO_A检查答案EPS的正确性：

那么DO_A表示EPS是诚实的，并且DO_A计算：

否则，表示EPS给出了错误的答案，因此DO_A输出⊥；然后DO_A使用算法计算D_i，并得到密钥密文CT；

步骤三，DO_A将{CF,CT}发送到CSP_A进行保存。

进一步，所述第三步的共域下的数据解密具体包括：

步骤一，数据用户DU_A在域A中，DU_A将应用程序发送到CSP_A，当DU_A是域A中的合法用户将获得密文CF和密钥密文CT；

步骤二，解密算法由DU_A和解密代理服务器DPS一起执行；DU_A在两个随机数

中选择，并在

选择一个K_j，属性

是解密CT的必要属性；然后DU_A分别生成两个转换键TK₁,TK₂和两个对应的检索键RK₁,RK₂；

RK₁＝z₁

RK₂＝z₁z₂；

然后DU_A将TK₁发送到DPS₁，并将TK₂发送到DPS₂；

如果属性集合

满足访问结构(M,ρ),对每一个DPS_i(i＝1,2)设置一个常数集

并计算

DPS₁计算一个解密密钥密文DCT1，如下所示：

DPS₂计算另一个解密密钥密文DCT2，如下所示：

然后DU_A从DPSs中获取解密密钥密文DCT＝(DCT1,DCT2)，对于每个选定的属性j计算：

or

然后DU_A检查：

如果方程不相等，DU_A输出⊥；否则，DPS1和DPS2的输出是正确的，然后DU_A计算：

步骤三，DU_A使用KF解密密文CF以获取消息m。

进一步，所述第四步的不同域下的数据解密具体包括：

步骤一，DO_A使用随机对称密钥KF’加密消息m，并获取密CF’；

步骤二，数据用户DU_B位于域B中。DU_B首先将应用程序发送到CSP_A；DU_B无法获得密文CF和密钥密文CT，因为DU_B不是域A中的合法用户，DU_B将应用程序发送到可信第三方TTP；

在不同的域下，加密算法由TTP执行，DO_A和EPS的合作；如果它是一个跨域的情况，DU_B是域B中的合法用户，TTP选择一个随机数作为共享秘密

然后发送

和PK_B到域A中的DO_A；

DO_A计算：

然后DO_A发送C和CF’到TTP；

访问控制结构由TTP制定，用于加密对称密钥KF’。M是n×ι矩阵，ρ是将M的行映射到属性的函数；TTP选择随机数

组成一个向量

对于从1到n的每个

从1到n选择随机数

然后选择密钥密文CT’：

TTP计算C，然后其余密钥密文CT，C_i和D_i，分别计算在EPS(U)的合作；

对于C_i，EPS使用算法计算：

TTP随机给出

然后按以下随机顺序查询EPS(U)：

其中d_i是从

中随机选择的，x是一个随机值，TTP为每一个i计算

然后EPS将这个五个输出应答(EPS)发送到TTP；

TTP检查答案的正确性EPS：

然后TTP表示EPS是诚实的，并且TTP计算：

否则，它表示EPS给出了错误的答案，因此TTP输出⊥；TTP使用算法计算D_i，并获得密钥密文CT’；

步骤三，TTP将{CF′,CT′}发送到DU_B。

进一步，所述第五步的不同域下的数据解密具体包括：

步骤一，解密算法由DU_B和DPS一同执行。DU_B选择

两个随机数，并在

中选择K_j，属性

必须是解密CT’的必要属性；DU_B分别生成两个转换键TK₁,TK₂和两个对应的检索键RK₁,RK₂；

RK₁＝z₁

RK₂＝z₁z₂；

然后DU_B将TK₁发送到DPS₁，并将TK₂发送到DPS₂；

如果属性集

满足访问结构(M,ρ),对每一DPS_i(i＝1,2)有常数集

计算

DPS₁计算一个解密密钥密文DCT1，如下所示：

DPS₂计算另一个解密密钥密文DCT2，如下所示：

然后DU_B从DPSs中获取解密密钥密文DCT＝(DCT1,DCT2)，对于每个选定的属性j计算：

or

然后DU_B检查：

如果方程不相等，DU_B输出⊥。否则，DPS1和DPS2的输出是正确的，然后DU_B计算：

步骤二，使用KF'解密密文CF'以获取消息m。

本发明的另一目的在于提供一种应用所述智慧城市环境下多物联网域的跨域访问控制方法的信息数据处理终端。

综上所述，本发明的优点及积极效果为：本发明包括：系统初始化、数据初加密、共域情况下的数据解密、跨域情况下数据不予申请，则需要重新对数据进行加密、跨域情况下的数据解密。具有统一的优势，既可以实现单个域内的访问，又能解决跨域访问控制问题。利用代理服务器，可以高效地实现数据访问控制。该安全方案具有较高的效率和较低的成本实现跨域访问控制。本发明是包含对称密钥的混合加密方式，利用代理服务器方式，以实现安全高效的加密机制。属性基加密技术是。属性基加密技术是通过设置阈值来控制数据用户的访问权限，是不需要知晓用户身份的一种细粒度访问控制机制，在云环境下保护数据访问控制的安全性。利用代理服务器可减轻加解密的开销，提高系统效率，实现安全高效的跨域访问控制。

本发明使用的属性基加密技术保证了信息的真实性。只有满足访问策略的用户才可以解密密钥密文获得对称密钥，再利用对称解密获得明文。属性基加密机制保证了云服务器存储的数据的安全性。云服务器无法窥探数据的明文内容，在半可信的状态下也能够有效的完成协议内容。代理服务器的使用不仅实现了跨域，并且提高了系统的效率，将复杂的运算交给不可信的代理服务器，通过简单的验算，当验算返回的数据为真实数据时，即可再简单运算出结果，减少了用户部分的开销。非法用户无法通过共谋获取数据明文，在系统的初始化阶段每一个用户获得自己的证书，在解密阶段如果证书不同是无法解密的，实现了抗共谋。

附图说明

图1是本发明实施例提供的智慧城市环境下多物联网域的跨域访问控制方法流程图。

图2是本发明实施例提供的智慧城市环境下多物联网域的跨域访问控制方法的实现流程图。

图3是本发明实施例提供的共域系统模型图。

图4是本发明实施例提供的跨域系统模型图。

图5是本发明实施例提供的系统流程图。

图6是本发明实施例提供的数据安全性的加密仿真图。

图7是本发明实施例提供的数据安全性的解密仿真图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

针对现有技术存在的问题，本发明提供了一种智慧城市环境下多物联网域的跨域访问控制系统及方法，下面结合附图对本发明作详细的描述。

如图1所示，本发明实施例提供的智慧城市环境下多物联网域的跨域访问控制方法包括以下步骤：

S101：为了实现系统能正常运转，需要在起始阶段对系统进行初始化。包括全局参数初始化、属性授权中心初始化和用户密钥生成。

S102：数据拥有者用对称加密算法加密明文，基于属性加密对称密钥；在利用属性基加密技术时，在加密代理服务器的配合下完成高效的加密方式；数据拥有者将六组参数依次发送给加密代理服务器，并对返回结果进行验证，并通过少量的运算完成基于属性的加密；将密文结果发送到云服务器上存储。

S103：当数据拥有者和申请数据的用户在同一个物联网域内时，属于共域情况下的数据访问控制；合法用户从云服务器获取数据拥有者加密后的密文，在解密代理服务器的帮助下基于属性解密获得对称密钥，利用对称密钥解密获得明文。

S104：当数据拥有者和申请数据的用户在不同物联网域内时，属于多域情况下的数据访问控制；可信第三方用对称加密算法加密明文，基于属性加密对称密钥；在利用属性基加密技术的时候，在数据拥有者和加密代理服务器的配合下完成高效的加密方式；可信第三方将六组参数依次发送给加密代理服务器，并对返回结果进行验证，并通过少量的运算完成基于属性的加密；最后将密文直接发送给申请数据的合法用户。

S105：用户从可信第三方获得加密后的密文，在解密代理服务器的帮助下基于属性解密获得对称密钥，再利用对称密钥解密获得明文，实现跨域访问数据。

下面结合附图对本发明的技术方案作进一步的描述。

如图2所示，本发明实施例提供的智慧城市环境下多物联网域的跨域访问控制方法具体包括以下步骤：

步骤一，系统初始化；

步骤二，共域下的数据加密；

步骤三，共域下的数据解密；

步骤四，不同域下的数据加密；

步骤五，不同域下的数据解密。

如图4所示，本发明的具体步骤做进一步描述如下：

(1)系统初始化：为了实现系统能正常运转，需要在起始阶段对系统进行初始化。初始化过程包括：

1a)全局参数初始化：

GlobalSetup(AS_j)→GP_j；

全局设置算法在每个域中分别运行，本发明使用j来表示每个域的数目。全局设置算法接受一个属性集AS_j，该属性集涉及系统的每个域。然后它选择一个随机素数p_j作为素数阶，选择一个生成器g_j在系统的每个域中生成双线性群的G_j。

GP_j＝{p_j,g_j}；

HASH函数H_j(模拟为随机oracle)被定义为将任何描述为二进制字符串的属性i映射

中的随机组元素。

1b)属性授权中心初始化：

AuthoritySetup(GP_j)→PK_j,SK_j；

权限设置算法在每个域中分别运行。它选择一个随机指数a_j，

然后生成公钥和私钥，如下所示：

1c)用户密钥生成

KeyGeneration(PK_j,SK_j,i,GP_j)→DK；

由于数据申请者DU_j想要访问数据，它从自己域中的相关属性授权中心AAs获取解密密钥，i是属性集S_DU中的一个属性，该属性将属性i与用户标识符配对，并将其发送到相应的属性授权AA。AA获取DU发送的数据，并首先确定它是否是合法用户。如果属性i不包含AA证书，AA将拒绝DU应用程序。如果它是合法用户，AA将计算解密密钥：它接受属于DU的属性集S_DU的公钥PK_j、密钥SK_j和属性i。然后选择一个随机数

并生成解密密钥DK为：

假设方案有n个域，本发明选择其中的两个域，分别命名为D_A和D_B。数据所有者DO_A和数据用户DU_A在域A中，数据用户DU_B在域B中。

(2)共域下的数据加密

2a)对称加密明文

DO_A使用随机对称密钥KF加密消息m，并获取密文CF。

2b)基于属性加密对称密钥：

Encryption(PK_j,GP_j,KF,(M,ρ))→CT；

在共域下，加密算法由DO_A在加密代理服务器EPS的配合下执行，访问控制结构由DO_A制定，对对称密钥KF进行加密。

M是一个n×ι矩阵，ρ是一个将M的行映射到属性的函数。选择一个随机数作为共享秘密

随机数

构成向量

对于从1到n的每个

从1到n，选择一个随机数

然后密钥密文CT：

DO_A计算C和C′，然后在EPS(算法U)的协作下，分别使用算法1和算法2计算其余密钥密文CT、C_i和D_i。

对于C_i，EPS使用算法1计算：

DO_A随机产生

然后按以下随机顺序查询EPS(U)：

如算法1所述：

η_i＝(α₃-ζ)/α₂.；

其中d_i是从中随机选择的，x是一个随机值，DO_A为每一个i计算

然后，EPS将这五个输出应答(EPS)发送到DO_A：

DO_A检查答案(EPS)的正确性：

那么DO_A表示EPS是诚实的，并且DO_A可以计算：

否则，它表示EPS给出了错误的答案，因此DO_A输出⊥。然后DO_A使用算法2计算D_i，并得到密钥密文CT。

2c)最后，DO_A将{CF,CT}发送到云服务器CSP_A进行保存。

(3)共域下的数据解密

3a)在这种情况下，数据用户DU_A在域A中，首先DU_A将应用程序发送到CSP_A，当DU_A是域A中的合法用户将获得密文CF和密钥密文CT。

3b)解密获得对称密钥

Decryption(GP_j,CT,DK)→KF；

在公共域下，解密算法由DU_A和解密代理服务器DPS一起执行。DU_A在两个随机数

中选择，并在

选择一个K_j，属性

是解密CT的必要属性。然后DU_A分别生成两个转换键TK₁,TK₂和两个对应的检索键RK₁,RK₂：

RK₁＝z₁

RK₂＝z₁z₂；

然后DU_A将TK₁发送到DPS₁，并将TK₂发送到DPS₂。

如果属性集合

满足访问结构(M,ρ),对每一个DPS_i(i＝1,2)设置一个常数集

并计算

DPS₁计算一个解密密钥密文DCT1，如下所示：

DPS₂计算另一个解密密钥密文DCT2，如下所示：

然后DU_A从DPSs中获取解密密钥密文DCT＝(DCT1,DCT2)，对于每个选定的属性j计算：

or

然后DU_A检查：

如果方程不相等，DU_A输出⊥。否则，DPS1和DPS2的输出是正确的，然后DU_A计算：

3c)解密获得明文，DU_A使用KF解密密文CF以获取消息m。

(4)不同域下的数据加密

4a)对称加密明文

DO_A使用随机对称密钥KF’加密消息m，并获取密CF’。

4b)基于属性加密对称密钥：

Encryption(PK_j,GP_j,KF′,(M,ρ))→CT′；

数据用户DU_B位于域B中。DU_B首先将应用程序发送到CSP_A。然而，DU_B无法获得密文CF和密钥密文CT，因为DU_B不是域A中的合法用户，然后DU_B将应用程序发送到TTP。

在不同的域下，加密算法由可信第三方TTP执行，DO_A和EPS的合作。如果它是一个跨域的情况，DU_B是域B中的合法用户，TTP选择一个随机数作为共享秘密

然后发送

和PK_B到域A中的DO_A。

DO_A计算：

然后DO_A发送C和CF’到TTP。

访问控制结构由TTP制定，用于加密对称密钥KF’。M是n×ι矩阵，ρ是将M的行映射到属性的函数。TTP选择随机数

组成一个向量

对于从1到n的每个

从1到n选择随机数

然后选择密钥密文CT’：

TTP计算C，然后其余密钥密文CT，C_i和D_i，分别计算与算法1和算法2分别在EPS(U)的合作。

对于C_i，EPS使用算法1来计算：

TTP随机给出

然后按以下随机顺序查询EPS(U)：

如算法1所述：

其中d_i是从

中随机选择的，x是一个随机值，TTP为每一个i计算

然后EPS将这个五个输出应答(EPS)发送到TTP。

TTP检查答案的正确性(EPS)：

然后TTP表示EPS是诚实的，并且TTP可以计算：

否则，它表示EPS给出了错误的答案，因此TTP输出⊥。然后，TTP使用算法2计算D_i，并获得密钥密文CT’。

4c)最后，TTP将{CF′,CT′}发送到DU_B。

(5)不同域下的数据解密

5a)解密获得对称密钥：

Decryption(GP_j,CT,DK)→KF；

在不同的域中，解密算法由DU_B和DPS一同执行。DU_B选择两个随机数

并在K_Bi中选择K_j，属性

必须是解密CT’的必要属性。DU_B分别生成两个转换键TK₁,TK₂和两个对应的检索键RK₁,RK₂：

RK₁＝z₁

RK₂＝z₁z₂；

然后DU_B将TK₁发送到DPS₁，并将TK₂发送到DPS₂。

如果属性集

满足访问结构(M,ρ),对每一DPS_i(i＝1,2)有常数集

计算

DPS₁计算一个解密密钥密文DCT1，如下所示：

DPS₂计算另一个解密密钥密文DCT2，如下所示：

然后DU_B从DPSs中获取解密密钥密文DCT＝(DCT1,DCT2)，对于每个选定的属性j计算：

or

然后DU_B检查：

如果方程不相等，DU_B输出⊥。否则，DPS1和DPS2的输出是正确的，然后DU_B计算：

5b)解密获得明文

使用KF'解密密文CF'以获取消息m。

下面结合仿真对本发明的技术效果作详细的描述。

1.仿真条件

仿真环境是：华硕笔记本，配置是Intel(R)Core(TM)I3CPU@1.8GHz 8.0G RAM。

2.仿真内容与结果分析

本发明与现有的方案进行比较。RE-ABE和VO-ABE中的每个域都由多个权限管理，并向每个域添加一个半信任的代理用户。RE-ABE使用代理重新加密技术，首先生成代理重新加密密钥，然后使用代理重新加密密钥将密文转换为另一个域可解密的密文。VO-ABE使用代理用户对KF进行加密，并借助混合加密实现跨域访问控制。基于对称加密和cp-abe的混合加密也用于RE-ABE和VO-ABE两种方案，因此在比较这两种方案时，本发明不考虑对称密钥对消息进行加密和解密的时间。

本发明计算了这两个方案的加密和解密时间复杂度。假设P是函数配对的时间，E(G)和E(G_T)是G和G_T中的指数化时间，h是哈希函数的时间，n是访问策略中的属性数。假设访问策略与从0增加到50个属性有关，这意味着通常50个常用属性可以描述用户的特征。结果是每次重复30次实验的平均值，通过MATLAB绘制出理想的线图。

如图6所示，本发明的方案的加密时间比属性增加的比较方案要短。如图7所示，随着属性的增加，本发明的方案的解密次数与方案VO-ABE相似，并且比方案RE-ABE的解密次数短。

结果表明，在多域环境下，该方案的加密和解密计算效率均明显优于相关方案。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (3)

1.一种智慧城市环境下多物联网域的跨域访问控制方法，其特征在于，所述智慧城市环境下多物联网域的跨域访问控制方法包括以下步骤：

第一步，在起始阶段对系统进行初始化；包括全局参数初始化、属性授权中心初始化和用户密钥生成，系统初始化具体包括：

步骤一，全局设置算法在每个域中分别运行，使用j来表示每个域的数目，全局设置算法接受一个属性集AS_j，该属性集涉及系统的每个域；选择一个随机素数p_j作为素数阶，选择一个生成器g_j在系统的每个域中生成双线性群的G_j：

GP_j＝{p_j,g_j}；

HASH函数H_j被定义为将任何描述为二进制字符串的属性i映射

中的随机组元素；

步骤二，权限设置算法在每个域中分别运行，选择一个随机指数a_j，

生成公钥和私钥，如下所示：

步骤三，由于数据申请者DU_j想要访问数据，从自己域中的相关属性授权中心AAs获取解密密钥，i是属性集S_DU中的一个属性，该属性将属性i与用户标识符配对，并发送到相应的属性授权AA，AA获取DU发送的数据，并首先确定它是否是合法用户；如果属性i不包含AA证书，AA将拒绝DU应用程序；如果它是合法用户，AA将计算解密密钥：接受属于DU的属性集S_DU的公钥PK_j、密钥SK_j和属性i；选择一个随机数

并生成解密密钥DK为：

有n个域，选择其中的两个域，分别命名为D_A和D_B；数据所有者DO_A和数据用户DU_A在域A中，数据用户DU_B在域B中；

第二步，数据拥有者用对称加密算法加密明文，基于属性加密对称密钥；在利用属性基加密技术的时候，在加密代理服务器的配合下完成高效的加密方式，具体包括：

步骤一，DO_A使用随机对称密钥KF加密消息m，并获取密文CF；

步骤二，在共域下，加密算法由DO_A在加密代理服务器EPS的配合下执行，访问控制结构由DO_A制定，对对称密钥KF进行加密；M是一个n×ι矩阵，ρ是一个将M的行映射到属性的函数；选择一个随机数作为共享秘密

随机数

构成向量

对于从1到n的每个

从1到n，选择一个随机数

然后密钥密文CT：

DO_A计算C和C′，然在EPS的协作下，计算其余密钥密文CT、C_i和D_i；

对于C_i，EPS使用算法计算：

DO_A随机产生

然后按以下随机顺序查询EPS(U)：

η_i＝(α₃-ζ)/α₂.；

其中d_i是从中随机选择的，x是一个随机值，DO_A为每一个i计算

然后，EPS将这五个输出应答EPS发送到DO_A；

DO_A检查答案EPS的正确性：

那么DO_A表示EPS是诚实的，并且DO_A计算：

否则，表示EPS给出了错误的答案，因此DO_A输出⊥；然后DO_A使用算法计算D_i，并得到密钥密文CT；

步骤三，DO_A将{CF,CT}发送到CSP_A进行保存；

第三步，当数据拥有者和申请数据的用户在同一个物联网域内时，属于共域情况下的数据访问控制；合法用户从云服务器获取数据拥有者加密后的密文，在解密代理服务器的帮助下基于属性解密获得对称密钥，再利用对称密钥解密获得明文，共域下的数据解密具体包括：

步骤一，数据用户DU_A在域A中，DU_A将应用程序发送到CSP_A，当DU_A是域A中的合法用户将获得密文CF和密钥密文CT；

步骤二，解密算法由DU_A和解密代理服务器DPS一起执行；DU_A在两个随机数

中选择，并在

选择一个K_j，属性

是解密CT的必要属性；然后DU_A分别生成两个转换键TK₁,TK₂和两个对应的检索键RK₁,RK₂；

RK₁＝z₁

RK₂＝z₁z₂；

然后DU_A将TK₁发送到DPS₁，并将TK₂发送到DPS₂；

如果属性集合

满足访问结构(M,ρ),对每一个DPS_i(i＝1,2)设置一个常数集

并计算

DPS₁计算一个解密密钥密文DCT1，如下所示：

DPS₂计算另一个解密密钥密文DCT2，如下所示：

然后DU_A从DPSs中获取解密密钥密文DCT＝(DCT1,DCT2)，对于每个选定的属性j计算：

or

然后DU_A检查：

如果方程不相等，DU_A输出⊥；否则，DPS1和DPS2的输出是正确的，然后DU_A计算：

步骤三，DU_A使用KF解密密文CF以获取消息m；

第四步，当数据拥有者和申请数据的用户在不同物联网域内时，属于多域情况下的数据访问控制；可信第三方用对称加密算法加密明文；基于属性加密对称密钥；在利用属性基加密技术的时候，在数据拥有者和加密代理服务器的配合下完成高效的加密方式，不同域下的数据解密具体包括：

步骤一，DO_A使用随机对称密钥KF’加密消息m，并获取密CF’；

步骤二，数据用户DU_B位于域B中；DU_B首先将应用程序发送到CSP_A；DU_B无法获得密文CF和密钥密文CT，因为DU_B不是域A中的合法用户，DU_B将应用程序发送到可信第三方TTP；

在不同的域下，加密算法由TTP执行，DO_A和EPS的合作；如果它是一个跨域的情况，DU_B是域B中的合法用户，TTP选择一个随机数作为共享秘密

然后发送

和PK_B到域A中的DO_A；

DO_A计算：

然后DO_A发送C和CF’到TTP；

访问控制结构由TTP制定，用于加密对称密钥KF’；M是n×ι矩阵，ρ是将M的行映射到属性的函数；TTP选择随机数

组成一个向量

对于从1到n的每个

从1到n选择随机数

然后选择密钥密文CT’：

TTP计算C，然后其余密钥密文CT，C_i和D_i，分别计算在EPS(U)的合作；

对于C_i，EPS使用算法计算：

TTP随机给出

然后按以下随机顺序查询EPS(U)：

其中d_i是从

中随机选择的，x是一个随机值，TTP为每一个i计算

然后EPS将这个五个输出应答(EPS)发送到TTP；

TTP检查答案的正确性EPS：

然后TTP表示EPS是诚实的，并且TTP计算：

否则，它表示EPS给出了错误的答案，因此TTP输出⊥；TTP使用算法计算D_i，并获得密钥密文CT’；

步骤三，TTP将{CF′,CT′}发送到DU_B；

第五步，用户从可信第三方获得加密后的密文，在解密代理服务器的帮助下基于属性解密获得对称密钥，再利用对称密钥解密获得明文，实现跨域访问数据，不同域下的数据解密具体包括：

步骤一，解密算法由DU_B和DPS一同执行；DU_B选择

两个随机数，并在

中选择K_j，属性

必须是解密CT’的必要属性；DU_B分别生成两个转换键TK₁,TK₂和两个对应的检索键RK₁,RK₂；

RK₁＝z₁

RK₂＝z₁z₂；

然后DU_B将TK₁发送到DPS₁，并将TK₂发送到DPS₂；

如果属性集S_DUB满足访问结构(M,ρ),对每一DPS_i(i＝1,2)有常数集

计算

DPS₁计算一个解密密钥密文DCT1，如下所示：

DPS₂计算另一个解密密钥密文DCT2，如下所示：

然后DU_B从DPSs中获取解密密钥密文DCT＝(DCT1,DCT2)，对于每个选定的属性j计算：

or

然后DU_B检查：

如果方程不相等，DU_B输出⊥；否则，DPS1和DPS2的输出是正确的，然后DU_B计算：

步骤二，使用KF'解密密文CF'以获取消息m。

2.如权利要求1所述的智慧城市环境下多物联网域的跨域访问控制方法，其特征在于，所述智慧城市环境下多物联网域的跨域访问控制方法的云服务器收到用户请求后，验证用户是否为域内合法用户，若满足，则返回对应的密文，否则，返回不满足访问策略响应；域内合法用户得到密文后，使用其属性私钥完成解密；外域用户不能通过申请获得云服务器上的密文，可信第三方进行重新加密；通过属性基加密机制和代理服务器的运用的方式，实现跨域数据的灵活访问控制。

3.一种应用权利要求1～2任意一项所述智慧城市环境下多物联网域的跨域访问控制方法的信息数据处理终端。

Images