CN111447058A - 基于中国剩余定理的图书资源访问控制方法 - Google Patents

Abstract

本发明提出一种基于中国剩余定理的图书资源访问控制方法，其步骤为：图书资源认证中心和资源访问终端生成各自的公私钥对；资源访问终端与图书资源认证中心交互进行属性身份认证，各资源访问终端将属性参数发送给图书资源认证中心，验证并发送给资源存储平台；资源访问终端将共享的资源信息加密成密文上传到资源存储平台；资源访问终端根据密文确定想要查看的密文资源，资源存储平台验证其身份并打开密文资源的访问链接，资源访问终端下载密文进行解密。本发明采用密文属性认证保护个人隐私，应用属性匹配访问控制策略设置访问权限保障资源共享的安全性，采用身份和属性权限双重认证防止合谋攻击，使得物联网中图书资源共享更加灵活、高效和实用。

Description

基于中国剩余定理的图书资源访问控制方法

技术领域

本发明涉及信息安全的技术领域，尤其涉及一种基于中国剩余定理的图书资源访问控制方法。

背景技术

计算机技术与物联网的迅速发展与不断创新，提高了信息保存与实时交换的效率。但随之而来的计算机信息安全问题也日益显露出来，越来越多的人在享受便利的同时也更加的注重信息的安全问题。访问控制是数据信息保护的基石性技术之一，可以保障数据仅能被拥有相应权限的用户访问。设置访问控制策略划分访问权限，通过属性参数匹配获取信息的访问权限，使用不同的属性参数访问不同敏感程度的数据信息，从而保证对服务器中数据的细粒度、安全和灵活的访问。

物联网是将所有物品通过各种信息传感设备与物联网连接起来，形成的一个巨大的网络。在物联网中，各移动终端间为了保障信息安全共享的保密性、抗泄露性以及信息共享者的个人隐私，信息资源在加密后上传到云服务器，拥有权限的资源访问终端访问并下载云服务器上相对应的密文，然后解密查看。由于任何人可以随时随地的访问物联网，不受时间和地域的限制，因此，在该网络环境下对云服务器上的信息加密是对信息资源安全的重要保障。

为了防止不具有权限的终端加入群组通信，资源访问终端在进行信息资源共享的过程中需要进行身份认证。传统基于身份认证的群组密钥协商方法在进行身份认证过程中，容易暴露个人身份信息，本发明采用隐藏属性的身份认证，可以很好的保护个人隐私。目前，针对基于中国剩余定理的访问控制的研究尚未出现。一系列的挑战性问题有待解决，包括信息共享过程中访问控制策略的设置，身份认证及个人隐私保护问题等方面的工作尚无先例。

发明内容

针对现有信息资源共享方法进行身份认证过程中，容易暴露个人身份信息，无法灵活的保护敏感数据，无法确定域内资源访问终端的访问权限的技术问题，本发明提出一种基于中国剩余定理的访问控制方法，采用隐藏属性的身份认证技术在资源信息共享的身份认证过程中实现身份认证的同时又能很好的保护个人隐私，并且采用属性参数匹配划分访问权限技术，减少了每个参与者的计算和通信开销，采用身份和属性权限联合认证，避免不具有权限的终端的合谋攻击。

为了达到上述目的，本发明的技术方案是这样实现的：一种基于中国剩余定理的访问控制方法，其步骤如下：

步骤一：信息共享网络域内的图书资源认证中心CA和各资源访问终端生成各自的公/私钥对；

步骤二：资源访问终端的注册：

A)每个资源访问终端随机选择两个数并运用各自的按指定顺序排列的属性集中的元素计算终端注册所需要的中间参数，然后将这些中间参数发送给图书资源认证中心CA；

B)图书资源认证中心CA接收到各资源访问终端发送的消息之后，与网络属性集中的属性元素做同余运算来匹配属性，验证各资源访问终端的身份，如果验证通过，图书资源认证中心CA选择一系列的随机数并进行哈希运算得到r个哈希值，并将步骤A)中匹配到的r个网络属性集中的属性元素映射到这r个哈希值并且保证这r个哈希值两两互素，并且计算终端注册所需要的中间参数。同时，CA随机选择r个属性中间参数通过计算得到属性集中每个元素的属性参数，并将这r个属性参数相加得到属性参数集合值作为访问权限值，然后，将终端注册所需要的中间参数、属性参数、访问权限值和公钥发送给各注册资源访问终端；若验证失败，则该成员不是合法成员，剔除信息共享网络域；

C)各个资源访问终端收到图书资源认证中心CA发送的消息之后，资源访问终端验证图书资源认证中心CA的身份，如果验证通过，各个资源访问终端根据注册所需的终端参数确定匹配得到的网络属性集元素，并将自己的属性元素映射成固定数值，然后根据中国剩余定理计算出各自的属性集合值，并将其公钥和属性集合值组成的消息发送给图书资源认证中心CA，各资源访问终端成功注册；

D)图书资源认证中心CA收到各资源访问终端发送的步骤D)中的消息之后，验证消息并将消息发送给资源存储平台CS；图书资源认证中心CA获取到所有注册的资源访问终端的属性参数信息，并根据属性集合值划分权限等级，图书资源认证中心CA建立一个资源访问终端的注册信息表并与资源存储平台CS共享注册信息；

步骤三：信息资源加密存储：

F)资源访问终端获取自己的属性集合值和属性参数，然后选择随机数使用属性参数计算加密所需的中间变量，计算出加密密钥和解密密钥；

G)资源访问终端使用加密密钥对信息进行加密生成加密密文，然后将密文、密文的关键字、密文的描述、加密密钥、属性权限值以及加密参数上传到资源存储平台CS上；资源存储平台CS验证资源访问终端的身份，如果验证通过，资源存储平台CS将密文相关信息发布在公共显示平台上；

步骤四：资源访问和共享：

H)每个资源访问终端根据信息资源的关键词和描述确定自己想要访问的密文，资源访问终端进行签名并从资源存储平台CS中获取属性权限值和相关属性参数，然后，用自己的属性集合值与获取的属性集合值匹配，若匹配成功，则用自己的属性集合值计算出解密密钥并获取加密密钥解密密文；若匹配失败，则用自己的属性参数与获取到的属性参数匹配，若匹配成功，得到匹配成功的属性参数，并根据匹配的属性参数确定与之匹配的属性，并将这些属性元素映射成固定数值，并且根据属性参数计算出解密信息过程中所需要的中间参数，并将这些中间参数公钥发送给CS，资源存储平台CS验证各资源访问终端的身份，如果验证通过，资源存储平台CS打开相应的资源访问链接；

I)资源访问终端从资源存储平台CS上下载相应的密文之后，根据匹配得到的属性确定网络属性集中的属性，然后，用这些属性元素根据中国剩余定理重新计算出一个新的属性集合值，计算出解密密钥，并从注册信息表中获取加密密钥，然后对密文进行解密操作。

所述步骤G)中资源访问终端的密文信息包括加密生成的密文信息、密文的关键字、密文的描述、加密密钥、属性权限值及属性参数。

所述步骤一中图书资源认证中心CA和各资源访问终端生成公私钥对的方法为：

(1)图书资源认证中心CA随机选择主密钥，并利用加法群的生成元计算其公私钥对：

图书资源认证中心CA随机选择一个正整数

作为私钥，并计算公钥PK_A＝SK_Ag₁；图书资源认证中心CA将(SK_A,PK_A)作为系统的公私钥对；其中，g₁为加法群G₁的生成元，

表示阶为q的整数集，q为加法群G₁的素数阶；

(2)域内的所有资源访问终端u_i随机选择公钥，然后利用加法群的生成元计算出自己的私钥：每个资源访问终端u_i随机选择一个正整数

计算

和计算

1≤i≤n，n为域内资源访问终端的个数，

为资源访问终端u_i的私钥，

为资源访问终端u_i的公钥，

为资源访问终端u_i的身份标识，H₁:{0,1}^*是哈希散列函数，{0,1}^*表示由二进制0和1组成的任意长度的数字串集合。

所述步骤B)中验证资源访问终端的身份的方法为：

1)拥有有序属性集

的资源访问终端u_i选择两个随机数ο_i,

并使用有序属性集中的属性元素计算中间变量

然后资源访问终端u_i将信息

发送给图书资源认证中心CA；其中，1≤i≤n，n为域内资源访问终端的个数，λ_i≠1,0，

表示阶为q的整数集，q为加法群G₁的素数阶；有序属性集

r_i∈N^*且属性

r_i表示资源访问终端u_i的第r_i个属性，Attr表示图书资源认证中心CA的按从大到小的顺序排列的网络属性集；

2)图书资源认证中心CA接收到资源访问终端u_i发送的消息

后，图书资源认证中心CA用网络属性集

中的属性元素与接收到的中间变量做同余运算

来验证资源访问终端u_i的身份；若同余运算的结果不同，则图书资源认证中心CA将该资源访问终端剔除出信息共享网络域；若同余运算的结果相同，则图书资源认证中心CA确定资源访问终端u_i的属性并且确定资源访问终端u_i是一个合法用户，然后图书资源认证中心CA选择两个随机数p_i,

计算整数

并且保证整数p₁,p₂,...,

两两互素，并将网络属性集Attr中的属性元素映射到两两互素的整数p₁,p₂,...,

图书资源认证中心CA计算中间变量

和

然后图书资源认证中心CA选择一个随机数

以及与网络属性集

相匹配的属性中间参数

计算属性参数

和属性权限值

并将消息

传送给注册的资源访问终端u_i；

其中，Attr表示网络域中所有资源访问终端的属性集并集，r_i≤R,

网络属性A_j＜A_j+1，j＜R，R∈N^*表示网络属性集Attr的数量，N^*表示正整数集，r_i表示资源访问终端u_i的第r_i个属性，1≤j≤R,p_j,ι_j≠1,0，

是哈希散列函数，

为资源访问终端u_i的私钥，g₁为加法群G₁的生成元，

为资源访问终端的属性参数，Φ_i是资源访问终端u_i的属性权限值，B_i,0和

为资源访问终端注册所需的中间变量。

所述步骤C)中资源访问终端成功注册的方法为：

资源访问终端u_i接收到图书资源认证中心CA发送的信息

后，资源访问终端u_i计算中间变量

并通过验证等式

是否成立验证图书资源认证中心CA的身份，如果验证不通过，则表示注册失败，广播图书资源认证中心CA是假冒的图书资源认证中心；

如果验证通过，资源访问终端u_i计算数字签名

和中间变量

然后获取网络属性集Attr＝{A₁,A₂,...,A_j,...,A_R}中匹配属性元素的映射值

资源访问终端u_i利用有序属性集

的属性元素映射到整数：

然后根据中国剩余定理构造出一个单变量线性同余方程组

假设

和P_j＝P/p_j，

然后计算中间变量

即P_jt_j≡1(mod p_j)，则将在模P的意义下得到的单变量线性同余方程组唯一解

作为资源访问终端u_i的属性集合值，然后资源访问终端u_i发送消息

给图书资源认证中心CA表示资源访问终端成功注册；

其中，

为资源访问终端u_i的公钥，

表示资源访问终端u_i的各属性元素映射的整数，x_i表示资源访问终端u_i的属性集合值，

P、P_j、t_j为资源访问终端u_i注册所需的中间变量；

为资源访问终端u_i的数字签名；

为资源访问终端注册所需的中间变量，e(·)是可计算的双线性映射函数；

同时，图书资源认证中心CA接收到资源访问终端u_i发送的信息

之后，图书资源认证中心CA计算中间变量

并通过验证等式

是否成立验证资源访问终端u_i的身份，如果等式不成立，图书资源认证中心CA拒绝资源访问终端u_i的注册；如果等式成立，则将信息

发送给资源存储平台CS；图书资源认证中心CA构建一个注册信息表与资源存储平台CS共享所有资源访问终端的信息资源。

所述资源访问终端u_i验证等式

成立的方法为：

所述图书资源认证中心CA验证等式

的方法为：

所述步骤G)中资源存储平台CS验证资源访问终端身份和将密文信息发布的方法为：

(31)资源访问终端u_k通过计算获取其属性参数

和属性集合值

然后资源访问终端u_k计算中间变量

资源访问终端u_k选择一个随机数

计算中间变量

资源访问终端u_k将

作为加密密钥，

为解密密钥；其中，1≤k≤n,k≠i，n为域内资源访问终端的个数，

和

为信息加密存储所需的中间变量，η_k≠1,0；g₁为加法群G₁的生成元，P、P_j、t_j为资源访问终端u_i注册所需的中间变量，r_k表示资源访问终端u_k的属性个数，

表示资源访问终端u_k的第j个属性的映射值，

为资源访问终端u_k的私钥；

(32)资源访问终端u_k用加密密钥

对要共享的信息

加密：资源访问终端u_k选择一个随机数

并计算中间变量

则加密后的密文信息为c_k＝(υ_k,V_k)；资源访问终端u_k将密文信息c_k＝(υ_k,V_k)、密文信息的关键字Keywords_k、密文信息的描述D_k、加密密钥

和加密参数

发送给资源存储平台CS，资源存储平台CS通过验证等式

是否成立验证资源访问终端u_k的身份，如果验证通过，资源存储平台CS将信息

发布在公共云平台显示；如果验证不通过，则表示该资源访问终端不是网络域中的合法成员，拒绝其上传共享信息，并将其剔除出网络域；

其中，

为明文空间，υ_k和V_k表示共享信息上传所需的中间变量，

资源访问终端u_k的公钥，PK_A为图书资源认证中心CA的公钥，Keywords_k为密文信息的关键字，D_k是密文信息的描述，

是资源访问终端u_k的属性参数，Φ_k为资源访问终端u_k的属性权限值，

为哈希函数，G₂为乘法循环群。

所述步骤H)中资源存储平台打开资源访问的方法为：每一个资源访问终端u_i根据信息资源的关键词和描述确定想要访问的信息，并查看信息查看者需要匹配的属性权限值和属性参数，资源访问终端u_i首先确定想要访问的信息资源的上传者u_k的属性权限值Φ_k与自己的属性权限值Φ_i相同，则根据自己属性集合值x_i计算出解密密钥，然后获取加密密钥解密密文；

否则资源访问终端u_i确定想要访问的信息资源的上传者u_k的属性参数

与自己的属性参数

相匹配，从而确定匹配的对应属性，然后计算中间变量

和

并将匹配的属性映射到整数

然后发送消息

给资源存储平台CS，资源存储平台CS通过验证等式

是否成立验证资源访问终端u_i的身份，如果验证通过，资源存储平台CS打开资源访问链接；

其中，1≤i≤n，ψ_i和σ_i均为资源访问所需的中间变量，

均为资源访问终端u_i的有序属性集

的属性，H₁(·)表示哈希散列函数。

所述步骤I)中资源访问终端对密文信息进行解密操作的方法为：资源访问终端u_i访问链接并下载相应的密文信息c_k＝(υ_k,V_k)，然后根据属性参数匹配得到对应的属性并映射到整数

并根据匹配正确的属性参数从网络属性集Attr中选择相应的属性并获取属性的映射整数p₁,p₂,...,

然后根据中国剩余定理重新构造出一个单变量线性同余方程组

假设

和P_j＝P/p_j，

然后计算中间变量

即P_jt_j≡1(mod p_j)，则在模P的意义下得到单变量线性同余方程组唯一解

作为资源访问终端u_i的属性集合值，然后资源访问终端u_i计算

作为其解密密钥，同样的，资源访问终端u_i从注册信息表中获取加密密钥

网络系统中的任意资源访问终端u_i，1≤i≤n,i≠k用自己的解密密钥

解密密文c_k＝(υ_k,V_k)，计算明文

其中，P、P_j、t_j为资源共享所需的中间变量，H₃(·)表示哈希散列函数。

所述资源存储平台CS验证等式

的方法是：

所述资源存储平台CS验证等式

的方法是：

本发明的有益效果：域内资源访问终端在进行信息资源访问前通过隐藏属性的身份认证技术进行身份认证；确认各个资源访问终端的身份后，根据中国剩余定理用资源访问终端的属性值计算属性集合值，并获取相对应的属性参数和属性权限值，根据属性参数和属性权限值的匹配情况确定成员的访问权限，拥有不同属性集的成员拥有不同的访问权限，从而访问不同敏感程度的信息，很好地保障了信息资源的安全性和抗泄露性。本发明域内资源访问终端采用非对称加密算法对共享信息进行加密然后上传到云服务器，需要访问该共享信息且有权限的成员下载并根据资源存储平台中的参数计算出解密密钥进行解密查看；采用隐藏属性的身份认证技术在资源信息共享的身份认证过程中实现个人隐私保护及身份认证的效果，并且根据属性参数和属性权限值的匹配情况设置访问控制策略确定成员的访问权限，打破了传统访问策略中设置策略树划分访问权限造成通信量与计算量较大的问题，避免了多层级结点间的参数传递，减少了每个参与者的计算和通信开销，在访问云服务器上的资源时，采用身份和属性权限联合认证技术，避免不具有权限的终端的合谋攻击。本发明采用密文属性认证技术保护个人隐私，并且设置基于密文属性的访问控制策略设置访问权限保障资源共享的安全性，使得信息共享过程中的计算及通信更为轻量级，在访问信息资源时，采用身份和权限双重认证防止合谋攻击，使得物联网中信息资源共享更加灵活、高效和实用，具有重要的领域研究意义和商业应用价值。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的流程示意图。

图2为本发明实施例1的资源信息共享的具体信息传输示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对物联网通信复杂环境下，网络中的各移动终端间在信息安全共享时涉及到通信信息的保密性、完整性和抗泄露性的问题；同时，在物联网中，移动终端可以随时随地的访问物联网造成通信环境人员复杂、随机性大等问题。在此背景下，本发明提出一种基于中国剩余定理的访问控制方法，如图1所示，实现信息共享网络域内资源信息的安全共享。首先，域内的图书资源认证中心CA随机选择主加密密钥，并计算对应的公/私钥对，域内的各资源访问终端随机选择公钥，然后利用加法群的生成元计算出自己的私钥；其次，域内各资源访问终端用自己的属性计算终端注册所需的中间变量发送给域内的图书资源认证中心CA，域内的图书资源认证中心CA使用网络属性集与资源访问终端属性进行同余运算，若同余运算结果相同，确定各资源访问终端的身份，然后计算相应的属性参数和属性权限值，然后域内的图书资源认证中心CA将终端注册所需的中间参数、属性参数、属性权限值和公钥发送给各资源访问终端，各资源访问终端接收到消息之后验证图书资源认证中心CA的身份，如果验证通过，各资源访问终端计算出终端注册所需的中间变量，并对自己的属性进行隐藏，然后根据中国剩余定理计算出属性集合值，然后将中间变量、属性集合值和公钥发送给图书资源认证中心CA，各资源访问终端注册完成。域内的图书资源认证中心CA接收到各资源访问终端发送的消息之后，验证各资源访问终端的身份，如果验证通过，将消息发送给资源存储平台。这样，图书资源认证中心CA获取到所有注册资源访问终端的属性信息，并建立一个资源访问终端的注册信息表并与资源存储平台CS共享这些注册信息，资源访问终端使用相应的属性参数计算加密所需的中间变量，并选择随机数用自己的属性权限值计算相关参数，然后计算出加密密钥和解密密钥，资源访问终端使用加密密钥对信息进行加密生成加密密文，并将加密密文、密文的关键字、密文的相关描述、加密密钥以及相关加密参数上传到资源存储平台CS上。资源存储平台CS验证资源访问终端的身份，如果验证通过，资源存储平台CS将密文信息发布在公共显示平台上；最后，资源访问终端根据信息资源的关键词和相关描述确定自己想要访问的加密密文，确定要访问的加密密文之后，资源访问终端进行签名并将相关参数信息发送给资源存储平台CS；资源存储平台CS验证各资源访问终端的身份，如果验证通过，资源存储平台CS打开相应的资源访问链接；资源访问终端从资源存储平台CS上下载相应的加密密文之后，根据属性参数匹配确定相应的属性，根据中国剩余定理计算出相应的属性集合值，资源访问终端计算解密所需的中间参数，然后计算出解密密钥，并从信息表中获取加密密钥，然后对密文进行解密操作。

1.本发明所涉及的理论基础知识和相关定义

1.1双线性映射问题

定义1.双线性映射：设G₁为加法群，其生成元为g₁，即G₁＝<g₁>，G₂为乘法循环群。G₁和G₂具有共同的大素数阶q，

是安全参数，且加法群G₁和乘法循环群G₂上的离散对数是困难的，加法群G₁和乘法循环群G₂是一对双线性群，e是可计算的双线性映射，且e:G₁×G₁→G₂，其具有如下性质：

性质1.双线性：对所有的生成元u,v∈G₁及参数

有e(au,bv)＝e(u,v)^ab；其中，

表示阶为q的整数集。

性质2.非退化性：存在生成元u,v∈G₁，使得e(v,u)≠1。

性质3.可计算性：存在有效的算法，对于生成元u,v∈G₁可计算e(v,u)。

推理1.对所有的生成元u₁,u₂,v∈G₁，有e(u₁+u₂,v)＝e(u₁,v)e(u₂,v)。

1.2计算复杂性问题

定义1.离散对数问题(DLP)：对于等式Y＝aP，其中，生成元Y,P∈G₁，参数a＜q。如果参数a和生成元P已知，很容易计算出生成元Y。但是已知生成元P和生成元Y，计算出参数a的概率在多项式时间内可以忽略不计。

定义2.决策双线性Diffie-Hellman问题(DBDH)：假设G₁＝<g₁>是一个加法群，G₂＝＜g₁,g₁>是一个乘法循环群，加法群G₁和乘法循环群G₂具有共同的大素数阶q，

是安全参数，且加法群G₁和乘法循环群G₂上的离散对数是困难的，加法群G₁和乘法循环群G₂是一对双线性群，e是可计算的双线性映射，e:G₁×G₁→G₂。对于任意

g₁∈G₁，g₂∈G₂和π∈G₂，两个三元组(g₁,g₂,ag₁,bg₁,cg₁,e(g₁,g₁)^abc)和(g₁,g₂,ag₁,bg₁,cg₁,π)在计算上是无法区分的。

实施例1

复杂信息共享情况下，域内的图书资源认证中心需要对信息共享成员进行身份认证，但在提供身份信息时，身份信息容易泄露或者被窃取。出于安全考虑，信息共享多方认证的同时，需要对个人身份隐私进行保护。在信息共享时，还要保障通信信息的保密性、完整性和抗泄露性，要求符合访问控制策略的成员才能共享信息。针对此应用背景下，本发明提出了一种基于中国剩余定理的访问控制方法，如图1所示，其步骤如下：①参与信息资源共享的资源访问终端首先进行参数初始化，分别产生各自的公/私钥对；②域内的资源访问终端注册：在进行信息加密存储及信息资源访问之前首先对域内资源访问终端进行隐藏属性的身份认证，并根据资源访问终端各自的属性集计算出相应的属性参数、属性权限值和属性集合值，并将各自的身份信息、公钥和属性集合值传送给图书资源认证中心CA，图书资源认证中心CA验证接收信息的正确性之后并将信息发送给资源存储平台CS；③信息加密存储：各资源访问终端获取属性参数和属性集合值计算相关参数并计算出加密密钥和解密密钥，然后资源访问终端对自己共享的数据信息加密，然后将加密后的密文、密文的关键字、密文的相关描述、加密密钥和相关计算参数上传到资源存储平台CS上；④资源访问终端根据密文的关键字、密文的相关描述以及属性参数和属性集合值匹配情况确定自己要访问的信息资源，然后将自己的身份信息、公钥、属性参数和属性集合值发送给资源存储平台CS，资源存储平台CS验证资源访问终端的身份，验证通过，打开信息资源的访问链接，资源访问终端访问该链接下载密文，然后根据相关计算参数计算出解密密钥对密文进行解密访问。整个系统模型图如图2所示。

步骤一：信息共享网络初始化协议参数，生成图书资源认证中心CA和各资源访问终端的公/私钥对。

假设信息共享网络中包含一个图书资源认证中心CA、一个资源存储平台CS和n个资源访问终端，图书资源认证中心CA是一个主要用于身份认证、用户注册和属性密钥分发的可信任实体，它还可以生成系统公共参数和主密钥。资源存储平台CS是一个主要用于不同访问权限信息的分类和存储的重要的实体。n个资源访问终端的集合用U＝{u₁,u₂,...,u_n}表示，相应的n个资源访问终端的身份集合用

表示。图书资源认证中心CA定义一个按指定顺序排列的网络属性序列ATTR＝A₁|A₂|...|A_R，相对应的网络属性集为Attr＝{A₁,A₂,...,A_j,...,A_R}，且网络属性A_j＜A_j+1，j＜R，网络属性集是网络域中所有终端的属性的并集的属性个数，r是资源访问终端的属性集中属性的个数，j表示的都是第j个属性，R∈N^*表示网络属性的数量。

为信息共享网络中资源访问终端u_i的有序属性集，且1≤r_i≤R，与网络属性集排列顺序相对应

attr_i表示资源访问终端u_i的属性集，null表示该属性元素为空，

r_i∈N^*并且属性

r_i表示资源访问终端u_i的第r_i个属性，N^*表示正整数。属性

与网络属性A_j、A_j+1是相同的。

如果资源访问终端想要存储加密信息到云服务器上或者想要访问云服务器上加密的信息，必须在图书资源认证中心隐藏属性注册，并获得相应的数据存储和访问权限。

信息共享网络域内的图书资源认证中心CA和网络中各资源访问终端生成各自的公/私钥对的方法为：

域内的图书资源认证中心CA随机选择一个正整数

作为系统私钥，并计算公钥PK_A＝SK_Ag₁；域内的图书资源认证中心CA将(SK_A,PK_A)作为系统的公/私钥对；域内每个资源访问终端u_i随机选择一个正整数

计算

是资源访问终端u_i的私钥。然后计算它的公钥

系统参数为params＝(PK_A,q,G₁,G₂,g₁,e,H₁,H₂,H₃)；其中，g₁为加法群G₁的生成元，

表示阶为q的整数集，q为加法群G₁的素数阶；1≤i≤n，n为域内资源访问终端的个数，

为资源访问终端u_i的私钥，

为资源访问终端u_i的公钥，

为资源访问终端u_i的身份标识，e是可计算的双线性映射。

和

是三个哈希散列函数，{0,1}^*表示由二进制0和1组成的任意长度的数字串集合。

步骤二：资源访问终端与图书资源认证中心CA通信实现资源访问终端的注册。

为了防止未授权的资源访问终端参与信息资源共享，仅允许拥有权限的资源访问终端参与信息加密存储和信息资源访问。本发明采用隐藏属性的身份认证方式，在信息上传和信息访问前先对域内的资源访问终端进行身份认证，避免其它未经授权的用户参与。并且根据每个资源访问终端的属性参数的多少划分用户的访问权限，计算出各自的属性集合值，不同权限的资源访问终端访问不同敏感程度的信息资源，避免敏感信息的泄露。然后各资源访问终端将自己的身份信息、公钥和属性参数信息发送给图书资源认证中心CA，图书资源认证中心CA验证这些信息的正确性之后，将这些信息发送给资源存储平台CS。并且图书资源认证中心CA将每个资源访问终端的注册信息建成一个注册信息表与资源存储平台CS共享，以便之后资源访问终端访问资源存储平台CS上的信息资源。

本发明实现了域内信息的安全共享，具有传统身份认证的功能，同时可以保护个人隐私问题，并且根据属性划分访问权限，不同的权限访问不同敏感程度的数据，避免了敏感信息的泄露。资源访问终端注册的具体实现方法为：

(1)拥有有序属性集

的资源访问终端u_i选择两个随机数ο_i,

，并使用属性集中的属性元素计算中间变量

然后资源访问终端u_i将信息

发送给图书资源认证中心CA；其中，1≤i≤n，λ_i≠1,0，

表示阶为q的整数集，q为加法群G₁的素数阶；有序属性集

r_i∈N^*且属性

即属性按照从大到小的顺序排列，r_i表示资源访问终端u_i的第r_i个属性，Attr表示图书资源认证中心CA按从大到小的顺序排列的网络属性集。

(2)图书资源认证中心CA接收到资源访问终端u_i发送的消息

后，图书资源认证中心CA用网络属性集

中对应的属性元素与接收到的中间变量做同余运算

来验证资源访问终端u_i的身份，若同余运算的结果相同，则图书资源认证中心CA确定资源访问终端u_i的属性并且确定资源访问终端u_i是一个合法用户，然后图书资源认证中心CA选择两个随机数p_i,

计算整数

并且保证整数

两两互素，并将网络属性集Attr中的属性元素映射到这些两两互素的整数

图书资源认证中心CA计算中间变量

和

然后图书资源认证中心CA选择一个随机数

以及与网络属性集

相匹配的属性中间参数

计算属性参数

和属性权限值

并将消息

传送给注册的资源访问终端u_i；若同余运算的结果不同，则图书资源认证中心CA将该资源访问终端剔除出信息共享网络域；其中，Attr表示整个网络域中所有资源访问终端属性的并集，r_i≤R,

网络属性A_j＜A_j+1，j＜R，R∈N^*表示网络属性的数量，r_i表示资源访问终端u_i的第r_i个属性，1≤j≤R,p_j,ι_j≠1,0，

是哈希散列函数，

为资源访问终端u_i的私钥，g₁为加法群G₁的生成元，

B_i,0表示资源访问终端注册所需的中间变量，

为资源访问终端的属性参数，Φ_i是资源访问终端u_i的属性权限值，

为资源访问终端注册所需的中间变量；

(3)资源访问终端u_i接收到图书资源认证中心CA发送的信息

之后，资源访问终端u_i计算中间变量

并通过验证等式

是否成立验证图书资源认证中心CA的身份，如果验证通过，资源访问终端u_i计算数字签名

和中间变量

然后获取网络属性集Attr＝{A₁,A₂,...,A_j,...,A_R}中与之相匹配的属性元素的映射值

拥有有序属性集

的资源访问终端u_i计算

将有序属性集中的属性元素映射到整数，然后根据中国剩余定理构造出一个单变量线性同余方程组

假设

和P_j＝P/p_j，

然后计算中间变量

即P_jt_j≡1(mod p_j)，则在模P的意义下得到一元线性同余方程组唯一解

并将这个唯一解作为资源访问终端u_i的属性集合值，然后资源访问终端u_i发送消息

给图书资源认证中心CA表示资源访问终端成功注册；如果验证不通过，则表示注册失败，广播图书资源认证中心CA是假冒的图书资源认证中心；其中，

为资源访问终端u_i的公钥，

表示资源访问终端u_i属性集中的属性元素映射的固定值，x_i表示资源访问终端u_i的属性集合值，

P、P_j、t_j为资源访问终端u_i注册所需的中间变量；

为资源访问终端u_i的数字签名；

为资源访问终端注册所需的中间变量e(·)是可计算的双线性映射。

验证等式

成立的方法为：

(4)图书资源认证中心CA接收到资源访问终端u_i发送的信息

之后，图书资源认证中心CA计算中间变量

并通过验证等式

是否成立验证资源访问终端u_i的身份，如果等式不成立，图书资源认证中心CA拒绝资源访问终端u_i的注册；如果等式成立，则将该信息发送给资源存储平台CS，资源访问终端u_i注册成功后，图书资源认证中心CA构建一个注册信息表与资源存储平台CS共享信息资源。注册信息表包含的内容是网络属性集中的属性相应参数、网络属性集中各属性的映射值、各资源访问终端属性和公钥。

其中，验证等式

的方法为：

步骤三：信息资源加密存储。

域内的资源访问终端将自己的信息资源加密，然后将加密密文、密文关键字、密文的相关描述、加密密钥和加密参数上传到资源存储平台CS上，过程如下：

(1)每个资源访问终端可以加密他们要共享的信息并上传到云服务台CS上，与其属性权限值相同或属性参数相匹配的任意成员可以访问下载其资源。资源访问终端u_k通过计算获取其属性参数

和属性集合值

然后资源访问终端u_k计算中间变量

资源访问终端u_k选择一个随机数

并计算中间变量

资源访问终端u_k将

作为加密密钥，

为解密密钥；其中，1≤k≤n,k≠i，

和

为信息加密存储所需的中间变量，η_k≠1,0；g₁为加法群G₁的生成元，P、P_j、t_j为资源访问终端u_i注册所需的中间变量，r_k表示资源访问终端u_k的属性个数，

表示资源访问终端u_k的第j个属性的映射值，

为资源访问终端u_k的私钥。

(2)资源访问终端u_k用加密密钥

对他要共享的信息

加密：资源访问终端u_k选择一个随机数

并计算中间变量

则加密后的密文信息为c_k＝(υ_k,V_k)；资源访问终端u_k将密文信息c_k＝(υ_k,V_k)、密文信息的关键字Keywords_k、密文信息的描述D_k、加密密钥

和加密参数

发送给资源存储平台CS，资源存储平台CS通过验证等式

是否成立验证资源访问终端u_k的身份，如果验证通过，资源存储平台CS将信息

发布在公共云平台显示；其中，

为明文空间，υ_k、V_k表示共享信息上传所需的中间变量，

资源访问终端u_k的公钥，PK_A为图书资源认证中心CA的公钥，Keywords_k为密文信息的关键字，D_k是密文信息的描述，是密文信息的方向、用途等概括性的重点描述，

是资源访问终端u_k相应的属性参数，Φ_k为资源访问终端u_k的属性权限值，

为哈希函数，G₂为乘法循环群。验证等式

的方法是：

步骤四：资源访问和共享

域内的资源访问终端根据密文的关键字、密文的描述以及自己的属性参数确定自己访问的信息资源，然后从资源存储平台CS上下载该资源并解密密文进行访问查看，过程如下：

(1)每一个资源访问终端u_i根据信息资源的关键词和描述确定想要访问的信息，并查看信息查看者需要匹配的属性权限值和属性参数，如果资源访问终端u_i确定想要访问的信息资源的上传者u_k的属性权限值Φ_k与自己的属性权限值Φ_i相同，则可根据自己属性集合值计算出解密密钥

同样的，资源访问终端u_i从注册信息表中获取加密密钥

网络系统中的任意成员u_i，1≤i≤n,i≠k用自己的有效解密密钥

解密密文c_k＝(υ_k,V_k)，计算明文

否则资源访问终端u_i确定想要访问的资源的上传者u_k的属性参数

与自己的属性参数

相匹配，资源访问终端u_i确定相匹配的属性参数，从而确定匹配的对应属性，然后计算中间变量

和

并将匹配的属性映射到整数

然后发送消息

给资源存储平台CS，资源存储平台CS通过验证等式

是否成验证资源访问终端u_i的身份，如果验证通过，资源存储平台CS打开资源访问链接；其中，1≤i≤n，ψ_i和σ_i均为资源访问所需的中间变量，

均为资源访问终端u_i的有序属性集

的属性，H₁(·)表示散列函数。等式

的验证方法是：

(2)资源访问终端u_i访问链接并下载相应的密文信息c_k＝(υ_k,V_k)，然后根据匹配的相应属性从网络属性集Attr_i中选择相应的属性并获取属性的映射整数

然后根据中国剩余定理重新构造出一个单变量线性同余方程组

假设

和P_j＝P/p_j，

然后计算中间变量

即P_jt_j≡1(mod p_j)，则在模P的意义下得到一元线性同余方程组唯一解

并将这个唯一解作为资源访问终端u_i的属性集合值，然后资源访问终端u_i计算

作为他的解密密钥，同样的，资源访问终端u_i从注册信息表中获取加密密钥

网络系统中的任意成员u_i，1≤i≤n,i≠k用自己的有效解密密钥

解密密文c_k＝(υ_k,V_k)，计算明文

其中，P、P_j、t_j为资源共享所需的中间变量，H₃(·)表示散列函数。

实施例2

一种基于中国剩余定理的访问控制方法，如图1所示，为了说明本发明的内容及实施方法，给出了一个具体实施例。本实施方式中，为方便实例阐述，参加信息资源共享的资源访问终端个数最多为10个，资源访问终端的实体集合表示为

对应资源访问终端身份的集合表示为

图书资源认证中心CA定义所有资源访问终端的属性集合为Attr＝{A₁,A₂,A₃}，资源访问终端u_i的属性集为attr_i＝{a_i,1,a_i,2,a_i,3}，1≤i≤10，资源访问终端u_k的属性集为attr_k＝{a_k,1,a_k,2}，1≤k≤10,k≠i。在本实施例中引入细节的目的不是限制权利要求书的范围，而是帮助理解本发明的实施方法。本领域的技术人员应理解：在不脱离本发明及其所附权利要求的精神和范围内，对最佳实施例步骤的各种修改、变化或替换都是可能的。因此，本发明不应局限于最佳实施例及附图所公开的内容。

步骤一：初始化

假设G₁是一个加法群，G₂是一个乘法循环群，计算加法群G₁和乘法循环群G₂上的离散对数问题是难解的，g₁∈G₁是加法群G₁的一个生成元，加法群G₁和乘法循环群G₂具有相同的素数阶q，存在一个双线性映射函数e:G₁×G₁→G₂，

和

是三个哈希散列函数。

域内的图书资源认证中心CA随机选择一个正整数

作为系统私钥，并计算公钥PK_A＝SK_Ag₁；图书资源认证中心CA将(SK_A,PK_A)作为系统的公/私钥对；域内每个资源访问终端u_i选择一个随机正整数

计算

是资源访问终端u_i的私钥；然后计算资源访问终端u_i的公钥

系统参数为params＝(PK_A,q,G₁,G₂,g₁,e,H₁,H₂,H₃)；其中，1≤i≤10。

步骤二：资源访问终端注册

(1)拥有属性集attr_i＝{a_i,1,a_i,2,a_i,3}的资源访问终端u_i选择两个随机数ο_i,

并使用属性集attr_i中的属性元素计算中间变量θ₁＝ο_i+λ_ia_i,1,θ₂＝ο_i+λ_ia_i,2,θ₃＝ο_i+λ_ia_i,3，然后资源访问终端u_i将信息{θ₁,θ₂,θ₃}发送给图书资源认证中心CA；其中，1≤i≤10，λ_i≠1,0，

表示阶为q的整数集，q为加法群G₁的素数阶；属性集

a_i,1,a_i,2,a_i,3是资源访问终端u_i的属性；Attr表示网络属性集。

(2)图书资源认证中心CA接收到资源访问终端u_i发送的消息{θ₁,θ₂,θ₃}后，图书资源认证中心CA用网络属性集Attr_i＝{A₁,A₂,A₃}中对应的属性元素与接收到的中间变量做同余运算

来验证资源访问终端u_i的身份，若同余运算的结果相同，则图书资源认证中心CA确定资源访问终端u_i的属性并且确定资源访问终端u_i是一个合法用户，确定资源访问终端u_i的属性为a_i,1,a_i,2,a_i,3。然后图书资源认证中心CA选择两个随机数p_j,

计算整数p₁＝H₁(ι₁g₁),p₂＝H₁(ι₂g₁),p₃＝H₁(ι₃g₁)并且保证整数p₁,p₂,p₃两两互素，并将网络属性集Attr中的属性元素映射到这些两两互素的整数。图书资源认证中心CA计算ο_iι₁g₁,ο_iι₂g₁,ο_iι₃g₁和

然后图书资源认证中心CA选择一个随机数

以及与匹配网络属性Attr＝{A₁,A₂,A₃}相应的属性中间参数

计算中间变量

B_i,1＝β_i,1B_i,0,B_i,2＝β_i,2B_i,0,B_i,3＝β_i,3B_i,0和Φ_i＝B_i,0+B_i,1+B_i,2+B_i,3，并将消息

传送给注册终端u_i；若同余运算的结果不同，则将该资源访问终端u_i剔除出信息共享网络的域。其中，1≤j≤3,p_j,ι_j≠1,0，

B_i,1,B_i,2,B_i,3为资源访问终端的属性参数，Φ_i为资源访问终端的属性权限值，

为资源访问终端注册所需的中间变量。

(3)资源访问终端u_i接收到图书资源认证中心CA发送的信息

之后，资源访问终端u_i计算中间变量

并通过验证等式

是否成立验证图书资源认证中心CA的身份，如果验证通过，资源访问终端u_i计算数字签名

和中间变量

然后获取网络属性集Attr＝{A₁,A₂,A₃}中匹配属性元素的映射值p₁＝H₁(ι₁g₁),p₂＝H₁(ι₂g₁),p₃＝H₁(ι₃g₁)。拥有属性集attr_i＝{a_i,1,a_i,2,a_i,3}的资源访问终端u_i计算

并将属性集中的属性元素映射到这些整数，然后根据中国剩余定理构造出一个单变量线性同余方程组

假设

和P_j＝P/p_j，

然后计算中间变量

即P_jt_j≡1(mod p_j)，则在模P的意义下得到一元线性同余方程组唯一解

并将这个唯一解作为资源访问终端u_i的属性集合值，然后资源访问终端u_i发送消息

给图书资源认证中心CA表示资源访问终端成功注册；如果验证不通过，则表示注册失败，广播图书资源认证中心CA是假冒的图书资源认证中心；其中，

P、P_j、t_j为资源访问终端注册所需的中间变量；

为资源访问终端u_i的数字签名；K₁,K₂,K₃为资源访问终端注册所需的中间变量。

e(·)是可计算的双线性映射函数公式，验证等式

成立的方法为：

(4)图书资源认证中心CA接收到资源访问终端u_i发送的信息

之后，图书资源认证中心CA计算中间变量ξ_i＝B_i,1+B_i,2+B_i,3并通过验证等式

是否成立验证资源访问终端u_i的身份，如果等式不成立，拒绝资源访问终端u_i注册，如果等式成立，则将该信息发送给资源存储平台CS，资源访问终端u_i注册成功后，图书资源认证中心CA构建一个注册信息表与资源存储平台CS共享信息资源。其中，验证等式

的方法为：

步骤三.资源加密存储

域内的资源访问终端将自己的信息资源加密，然后将加密密文、密文关键字、密文的相关描述、加密密钥和中间属性参数上传到资源存储平台CS上，过程如下：

(1)每个资源访问终端可以加密他们要共享的信息并上传到云服务器上，与其属性权限值相同或属性参数相匹配的任意成员可以访问下载其资源。资源访问终端u_k通过计算获取相应的属性参数B_k,0,B_k,1,B_k,2和属性集合值

然后计算中间变量

资源访问终端u_k选择一个随机数

并计算中间变量

资源访问终端u_k将

作为加密密钥，

为解密密钥；其中，1≤k≤10,k≠i，η_k≠1,0，

和

为信息加密存储所需的中间变量。

(2)资源访问终端u_k用加密密钥

对他要共享的信息

加密：资源访问终端u_k选择一个随机数

并计算

则加密后的密文信息为c_k＝(υ_k,V_k)；资源访问终端u_k将密文信息c_k＝(υ_k,V_k)、密文信息的关键字、密文信息的描述、加密密钥

和相关加密参数

发送给资源存储平台CS，资源存储平台CS通过验证等式

是否成立验证资源访问终端u_k的身份，如果验证通过，资源存储平台CS将信息

发布在公共云平台显示。其中，

为明文空间，Keywords_k为密文信息的关键字，D_k是密文信息的描述，B_k,1,B_k,2是资源访问终端u_k相应的属性参数，Φ_k为资源访问终端u_k的属性权限值，

为哈希函数，G₂为乘法循环群。验证等式

的方法是：

步骤四.资源访问和共享

域内的资源访问终端根据密文的关键字、密文的相关描述以及自己的权限等级值确定自己访问的信息资源，然后从资源存储平台CS上下载该资源并解密密文进行访问查看，过程如下：

(1)信息共享网络域内的每一个资源访问终端u_i根据信息资源的关键词和描述确定想要访问的信息，并查看信息查看者需要匹配的属性权限值和属性参数，先假设资源访问终端u_i访问资源访问终端u_k加密的资源，资源访问终端u_i首先确定资源访问终端u_k的属性权限值Φ_k与自己的属性权限值Φ_i是否相同，根据上面的加密阶段看出属性权限值不同，于是资源访问终端u_i确定资源访问终端u_k的属性参数B_k,1,B_k,2与自己的属性参数B_i,1,B_i,2,B_i,3相匹配，资源访问终端u_i确定相匹配的属性参数B_i,1,B_i,2，从而确定匹配的对应属性a_i,1,a_i,2，然后计算中间变量ψ_i＝g₁(B_i,1+B_i,2)SK_A和

并将匹配的属性映射到整数

然后发送消息

给资源存储平台CS，资源存储平台CS通过验证等式

是否成验证资源访问终端u_i的身份，如果验证通过，资源存储平台CS打开资源访问链接；其中，1≤i≤10，ψ_i和σ_i为资源访问所需的中间变量，H₁(·)表示散列函数。等式

的验证方法是：

(2)资源访问终端u_i访问链接并下载相应的密文信息c_k＝(υ_k,V_k)，然后根据匹配的相应属性从网络属性集中选择相应的属性并获取属性的映射整数p₁,p₂，然后根据中国剩余定理重新构造出一个单变量线性同余方程组

假设P＝p₁×p₂和P_j＝P/p_j，

然后计算中间变量

即P_jt_j≡1(mod p_j)，则在模P的意义下得到一元线性同余方程组唯一解

并将这个唯一解作为资源访问终端u_i的属性集合值，然后资源访问终端u_i计算

作为他的解密密钥，同样的，资源访问终端u_i从注册信息表中获取加密密钥

网络系统中的任意成员u_i用自己的有效密钥

解密密文c_k＝(υ_k,V_k)，计算明文

其中，P、P_j、t_j为资源共享所需的中间变量，H₃(·)表示散列函数。

本发明信息共享网络域内的图书资源认证中心和资源访问终端生成各自的公/私钥对；域内的资源访问终端与图书资源认证中心CA交互进行属性身份认证获取属性权限值和属性权限值完成注册，然后各资源访问终端将自己的公钥、属性权限值、属性参数、属性集合值发送给图书资源认证中心CA，图书资源认证中心CA验证信息正确性之后将其发送给资源存储平台CS以便查询终端权限和资源访问权限；资源访问终端计算出加密密钥和解密密钥并将共享的资源信息加密成密文，然后将该密文、密文信息的关键字、密文信息的相关描述、加密密钥和相关计算参数上传到资源存储平台CS上，资源存储平台CS验证各资源访问终端的身份，验证通过之后，将这些信息发布在公共显示平台上；资源访问终端根据密文的关键字和相关描述以及访问资源所需的属性权限值和属性集合值确定自己想要查看的密文资源，确定之后，将自己的身份信息、公钥、属性权限值和属性参数发送给资源存储平台CS，资源存储平台CS验证其身份，并打开密文资源的访问链接，资源访问终端访问该链接并下载相对应的密文，然后根据获取的参数对密文进行解密查看资源信息。

本发明以隐藏属性认证和匹配计算技术理论为基础，以决策双线性Diffie-Hellman(DBDH)问题为安全假设前提提出，采用隐藏属性的身份认证技术在资源信息共享的身份认证过程中实现个人隐私保护，并且采用属性匹配确定访问权限技术，减少每个参与者的计算和通信开销，采用身份和属性权限联合认证，避免不具有权限的终端的合谋攻击，保障了信息资源安全共享的安全性和灵活性。本发明实现了物联网中各个资源访问终端的身份认证并加密上传信息资源，然后根据权限等级值和计算参数对所要访问的资源信息下载、解密和查看，以实现信息资源共享的安全性、灵活性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于中国剩余定理的图书资源访问控制方法，其特征在于，其步骤如下：

步骤一：信息共享网络的域的图书资源认证中心CA和各资源访问终端生成各自的公私钥对；

步骤二：资源访问终端的注册：

A)每个资源访问终端随机选择两个数并运用各自属性集中的元素计算资源访问终端注册所需要的中间参数，然后将中间参数发送给图书资源认证中心CA；

B)图书资源认证中心CA接收到各资源访问终端发送的消息后，将步骤A)中的中间参数与网络属性集中的属性元素做同余运算，验证各资源访问终端的身份，如果验证通过，图书资源认证中心CA选择一系列的随机数进行哈希运算得到两两互素的整数，并将网络属性集中的属性元素映射到两两互素的整数，计算资源访问终端注册所需要的中间注册参数，然后，图书资源认证中心CA随机选择参数，计算与网络属性集中各个属性相对应的网络属性参数；最后，将资源访问终端注册所需要的中间注册参数、网络属性参数和公钥发送给各注册资源访问终端；若验证失败，则资源访问终端不是合法成员，图书资源认证中心CA将资源访问终端剔除出信息共享网络的域；

C)各个资源访问终端收到图书资源认证中心CA发送的消息之后，资源访问终端验证图书资源认证中心CA的身份，如果验证通过，各个资源访问终端应用接收到的中间注册参数获取网络属性集中的各属性的映射值，然后再将自己的属性元素映射成固定数值，然后根据中国剩余定理计算出资源访问终端的属性集合值，并将其公钥、属性集合值和中间参数组成的消息发送给图书资源认证中心CA，各资源访问终端成功注册；

D)图书资源认证中心CA收到各资源访问终端发送的消息之后，验证消息并将消息发送给资源存储平台CS；图书资源认证中心CA建立一个资源访问终端的注册信息表并与资源存储平台CS共享注册信息；

步骤三：信息资源加密存储：

F)资源访问终端获取自己的属性集合值和属性参数，然后利用属性参数和选择的随机数分别计算出加密密钥和解密密钥；

G)资源访问终端使用加密密钥对信息进行加密，然后将加密的密文信息上传到资源存储平台CS上；资源存储平台CS通过属性参数验证资源访问终端的身份，如果验证通过，资源存储平台CS将密文信息发布在公共显示平台上；

步骤四：资源访问和共享：

H)每个资源访问终端根据信息资源的关键词和描述确定自己想要访问的密文信息，资源访问终端进行签名并从资源存储平台CS中获取属性权限值和属性参数，然后，将自己的属性权限值与获取的属性权限值匹配，若匹配成功，则用自己的属性集合值计算出解密密钥并获取加密密钥解密密文；若匹配失败，则用自己的属性参数与获取到的属性参数匹配，若匹配成功，得到匹配成功的属性参数，并根据匹配成功的属性参数确定与之匹配的属性元素，并将这些属性元素映射成固定数值，并且根据属性参数计算出解密信息过程中所需要的中间解密参数，并将中间解密参数公钥发送给资源存储平台CS，资源存储平台CS通过中间解密参数验证各资源访问终端的身份，如果验证通过，资源存储平台CS打开相应的资源访问链接；

I)资源访问终端从资源存储平台CS上下载相应的密文信息后，根据匹配得到的属性确定网络属性集中的属性元素，用属性元素根据中国剩余定理重新计算出一个新的属性集合值，计算出解密密钥，并从注册信息表中获取加密密钥，对密文信息进行解密操作。

2.根据权利要求1所述的基于中国剩余定理的访问控制方法，其特征在于，所述步骤G)中资源访问终端的密文信息包括加密生成的密文信息、密文的关键字、密文的描述、加密密钥、属性权限值及属性参数。

3.根据权利要求1或2所述的基于中国剩余定理的访问控制方法，其特征在于，所述步骤一中图书资源认证中心CA和各资源访问终端生成公私钥对的方法为：

(1)图书资源认证中心CA随机选择主密钥，并利用加法群的生成元计算其公私钥对：

图书资源认证中心CA随机选择一个正整数

作为私钥，并计算公钥PK_A＝SK_Ag₁；图书资源认证中心CA将(SK_A,PK_A)作为系统的公私钥对；其中，g₁为加法群G₁的生成元，

表示阶为q的整数集，q为加法群G₁的素数阶；

(2)域内的所有资源访问终端u_i随机选择公钥，然后利用加法群的生成元计算出自己的私钥：每个资源访问终端u_i随机选择一个正整数

计算

和计算

n为域内资源访问终端的个数，

为资源访问终端u_i的私钥，

为资源访问终端u_i的公钥，

为资源访问终端u_i的身份标识，H₁:{0,1}^*是哈希散列函数，{0,1}^*表示由二进制0和1组成的任意长度的数字串集合。

4.根据权利要求3所述的基于中国剩余定理的访问控制方法，其特征在于，所述步骤B)中验证资源访问终端的身份的方法为：

1)拥有有序属性集

的资源访问终端u_i选择两个随机数

并使用有序属性集中的属性元素计算中间变量θ₁＝ο_i+λ_ia_i,1,

然后资源访问终端u_i将信息

发送给图书资源认证中心CA；其中，1≤i≤n，n为域内资源访问终端的个数，λ_i≠1,0，

表示阶为q的整数集，q为加法群G₁的素数阶；有序属性集

r_i∈N^*且属性

r_i表示资源访问终端u_i的第r_i个属性，Attr表示图书资源认证中心CA的按从大到小的顺序排列的网络属性集；

2)图书资源认证中心CA接收到资源访问终端u_i发送的消息

后，图书资源认证中心CA用网络属性集

中的属性元素与接收到的中间变量做同余运算

来验证资源访问终端u_i的身份；若同余运算的结果不同，则图书资源认证中心CA将该资源访问终端剔除出信息共享网络域；若同余运算的结果相同，则图书资源认证中心CA确定资源访问终端u_i的属性并且确定资源访问终端u_i是一个合法用户，然后图书资源认证中心CA选择两个随机数

计算整数p₁＝H₁(ι₁g₁),

并且保证整数

两两互素，并将网络属性集Attr中的属性元素映射到两两互素的整数

图书资源认证中心CA计算中间变量

和

然后图书资源认证中心CA选择一个随机数

以及与网络属性集

相匹配的属性中间参数

计算属性参数

B_i,1＝β_i,1B_i,0,

和属性权限值

，并将消息

传送给注册的资源访问终端u_i；

其中，Attr表示网络域中所有资源访问终端的属性集并集，

网络属性A_j＜A_j+1，j＜R，R∈N^*表示网络属性集Attr的数量，N^*表示正整数集，r_i表示资源访问终端u_i的第r_i个属性，1≤j≤R,p_j,ι_j≠1,0，

是哈希散列函数，

为资源访问终端u_i的私钥，g₁为加法群G₁的生成元，

为资源访问终端的属性参数，Φ_i是资源访问终端u_i的属性权限值，B_i,0和

为资源访问终端注册所需的中间变量。

5.根据权利要求4所述的基于中国剩余定理的访问控制方法，其特征在于，所述步骤C)中资源访问终端成功注册的方法为：

资源访问终端u_i接收到图书资源认证中心CA发送的信息

后，资源访问终端u_i计算中间变量

并通过验证等式

是否成立验证图书资源认证中心CA的身份，如果验证不通过，则表示注册失败，广播图书资源认证中心CA是假冒的图书资源认证中心；

如果验证通过，资源访问终端u_i计算数字签名

和中间变量

然后获取网络属性集Attr＝{A₁,A₂,...,A_j,...,A_R}中匹配属性元素的映射值p₁＝H₁(ι₁g₁),

资源访问终端u_i利用有序属性集

的属性元素映射到整数：a_i,1→l_i,1＝H₁(a_i,1),

然后根据中国剩余定理构造出一个单变量线性同余方程组

假设

和P_j＝P/p_j，

然后计算中间变量

即P_jt_j≡1(modp_j)，则将在模P的意义下得到的单变量线性同余方程组唯一解

作为资源访问终端u_i的属性集合值，然后资源访问终端u_i发送消息

给图书资源认证中心CA表示资源访问终端成功注册；

其中，

为资源访问终端u_i的公钥，

表示资源访问终端u_i的各属性元素映射的整数，x_i表示资源访问终端u_i的属性集合值，

P、P_j、t_j为资源访问终端u_i注册所需的中间变量；

为资源访问终端u_i的数字签名；

为资源访问终端注册所需的中间变量，e(·)是可计算的双线性映射函数；

同时，图书资源认证中心CA接收到资源访问终端u_i发送的信息

之后，图书资源认证中心CA计算中间变量

并通过验证等式

是否成立验证资源访问终端u_i的身份，如果等式不成立，图书资源认证中心CA拒绝资源访问终端u_i的注册；如果等式成立，则将信息

发送给资源存储平台CS；图书资源认证中心CA构建一个注册信息表与资源存储平台CS共享所有资源访问终端的信息资源。

6.根据权利要求5所述的基于中国剩余定理的访问控制方法，其特征在于，所述资源访问终端u_i验证等式

成立的方法为：

所述图书资源认证中心CA验证等式

的方法为：

7.根据权利要求3所述的基于中国剩余定理的访问控制方法，其特征在于，所述步骤G)中资源存储平台CS验证资源访问终端身份和将密文信息发布的方法为：

(31)资源访问终端u_k通过计算获取其属性参数

和属性集合值

然后资源访问终端u_k计算中间变量

资源访问终端u_k选择一个随机数

计算中间变量

资源访问终端u_k将

作为加密密钥，

为解密密钥；其中，1≤k≤n,k≠i，n为域内资源访问终端的个数，

和

为信息加密存储所需的中间变量，η_k≠1,0；g₁为加法群G₁的生成元，P、P_j、t_j为资源访问终端u_i注册所需的中间变量，r_k表示资源访问终端u_k的属性个数，l_k,j表示资源访问终端u_k的第j个属性的映射值，

为资源访问终端u_k的私钥；

(32)资源访问终端u_k用加密密钥

对要共享的信息

加密：资源访问终端u_k选择一个随机数

并计算中间变量

则加密后的密文信息为c_k＝(υ_k,V_k)；资源访问终端u_k将密文信息c_k＝(υ_k,V_k)、密文信息的关键字Keywords_k、密文信息的描述D_k、加密密钥

和加密参数

发送给资源存储平台CS，资源存储平台CS通过验证等式

是否成立验证资源访问终端u_k的身份，如果验证通过，资源存储平台CS将信息

发布在公共云平台显示；如果验证不通过，则表示该资源访问终端不是网络域中的合法成员，拒绝其上传共享信息，并将其剔除出网络域；

其中，

为明文空间，υ_k和V_k表示共享信息上传所需的中间变量，

资源访问终端u_k的公钥，PK_A为图书资源认证中心CA的公钥，Keywords_k为密文信息的关键字，D_k是密文信息的描述，

是资源访问终端u_k的属性参数，Φ_k为资源访问终端u_k的属性权限值，

为哈希函数，G₂为乘法循环群。

8.根据权利要求7所述的基于中国剩余定理的访问控制方法，其特征在于，所述步骤H)中资源存储平台打开资源访问的方法为：每一个资源访问终端u_i根据信息资源的关键词和描述确定想要访问的信息，并查看信息查看者需要匹配的属性权限值和属性参数，资源访问终端u_i首先确定想要访问的信息资源的上传者u_k的属性权限值Φ_k与自己的属性权限值Φ_i相同，则根据自己属性集合值x_i计算出解密密钥，然后获取加密密钥解密密文；

否则资源访问终端u_i确定想要访问的信息资源的上传者u_k的属性参数

与自己的属性参数

相匹配，从而确定匹配的对应属性，然后计算中间变量

和

并将匹配的属性映射到整数

然后发送消息

给资源存储平台CS，资源存储平台CS通过验证等式

是否成立验证资源访问终端u_i的身份，如果验证通过，资源存储平台CS打开资源访问链接；

其中，1≤i≤n，ψ_i和σ_i均为资源访问所需的中间变量，

均为资源访问终端u_i的有序属性集

的属性，H₁(·)表示哈希散列函数。

9.根据权利要求8所述的基于中国剩余定理的访问控制方法，其特征在于，所述步骤I)中资源访问终端对密文信息进行解密操作的方法为：资源访问终端u_i访问链接并下载相应的密文信息c_k＝(υ_k,V_k)，然后根据属性参数匹配得到对应的属性并映射到整数

并根据匹配正确的属性参数从网络属性集Attr中选择相应的属性并获取属性的映射整数

然后根据中国剩余定理重新构造出一个单变量线性同余方程组

假设

和P_j＝P/p_j，

然后计算中间变量

即P_jt_j≡1(modp_j)，则在模P的意义下得到单变量线性同余方程组唯一解

作为资源访问终端u_i的属性集合值，然后资源访问终端u_i计算

作为其解密密钥，同样的，资源访问终端u_i从注册信息表中获取加密密钥

网络系统中的任意资源访问终端u_i，1≤i≤n,i≠k用自己的解密密钥

解密密文c_k＝(υ_k,V_k)，计算明文

其中，P、P_j、t_j为资源共享所需的中间变量，H₃(·)表示哈希散列函数。

10.根据权利要求8所述的基于中国剩余定理的访问控制方法，其特征在于，所述资源存储平台CS验证等式

的方法是：

所述资源存储平台CS验证等式

的方法是：

Images