CN113556236B - 一种基于代理签名的能源数据中台敏感内容委托授权方法 - Google Patents

一种基于代理签名的能源数据中台敏感内容委托授权方法 Download PDF

Info

Publication number
CN113556236B
CN113556236B CN202110930269.XA CN202110930269A CN113556236B CN 113556236 B CN113556236 B CN 113556236B CN 202110930269 A CN202110930269 A CN 202110930269A CN 113556236 B CN113556236 B CN 113556236B
Authority
CN
China
Prior art keywords
data
user
owner
energy
proxy signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110930269.XA
Other languages
English (en)
Other versions
CN113556236A (zh
Inventor
钱锦
徐晓华
孙歆
杜猛俊
吕磅
王剑
徐汉麟
徐李冰
李沁园
倪夏冰
李强强
陈元中
陈益芳
戴桦
周昕悦
张晓波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd filed Critical Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority to CN202110930269.XA priority Critical patent/CN113556236B/zh
Publication of CN113556236A publication Critical patent/CN113556236A/zh
Application granted granted Critical
Publication of CN113556236B publication Critical patent/CN113556236B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于代理签名的能源数据中台敏感内容委托授权方法,能源数据所有者在其私钥的基础上生成新的私钥,并将新的私钥作为代理签名密钥发送给数据中台;当用户向数据中台发送数据访问请求时,数据中台审核用户身份的合法性后,代表能源数据所有者对用户签发授权证书,其所授权限在能源数据所有者预先定义的范围内,并在授权证书上用新的私钥进行签名;用户向数据服务器发送请求,数据服务器在验证数据中台授权证书后授予相应权限进行数据访问。本发明可以有效实现数据中台代表能源数据拥有者进行敏感内容的授权管理,从而减轻能源数据拥有者对敏感内容维护管理的负担,提高能源数据敏感内容访问的安全性和管理效率。

Description

一种基于代理签名的能源数据中台敏感内容委托授权方法
技术领域
本发明涉及数据安全领域,尤其涉及一种基于代理签名的能源数据中台敏感内容委托授权方法。
背景技术
近年来,围绕“双碳”战略目标实施和新型电力系统建设,必须在保障电力系统安全可靠稳定运行的基础上,大力发展各类分布式新能源接入,推进能源供应清洁化、能源配置智慧化、能源利用高效化、能源服务多元化,深化源网荷储互动等应用。围绕这一战略目标,通过建设能源数据中台实现连接能源行业上下游、客户、政府和社会资源的数据共享平台,将各类数据资源进行汇聚,满足横向跨专业、纵向不同层级的数据共享、分析挖掘和融通需求。
现有的数据中台安全研究主要侧重于系统基础安全架构的设计和研究,采用的安全技术包括:1)可信执行环境(Trusted Execution Environment,TEE):通过在硬件中构建一个独立于操作系统之外的安全环境,保证自身代码和数据的机密性和完整性;2)安全多方计算(Secure Multi-Party Computation,MPC):在无可信计算方的情况下,多个参与方各自持有秘密输入完成对某个函数的计算,但每个参与方最终只能得到计算结果和能从自己输入和计算结果中推出的信息,其他信息均可得到保护;3)联邦学习(FederatedLearning,FL):联邦学习是一种多个参与方在保证各自原始私有数据不出数据方定义的私有边界的前提下,协作完成某项机器学习任务的机器学习模式。
现有数据中台的安全技术研究主要考虑了数据自身的安全性保护,但缺乏数据访问权限控制管理方面的研究。在数据中台应用场景下,能源数据的分享并不是由能源数据的所有者进行,因此存在着授权不可控问题。数据中台可能会将能源数据共享给许可范围之外的用户。
发明内容
本发明目的在于针对现有技术的不足,提出一种基于代理签名的能源数据中台敏感内容委托授权方法,针对能源数据中台场景下,大量能源数据存放在数据中台委托保管,所有者无法实现敏感内容的权限管理问题,基于代理签名机制实现了数据所有者可控的第三方权限管理。能源数据所有者无需和数据访问者进行直接交互,授权过程委托数据中台负责完成。
本发明的目的是通过以下技术方案来实现的:一种基于代理签名的能源数据中台敏感内容委托授权方法,该方法包括以下步骤:
(1)敏感能源数据所有者授权数据中台进行敏感内容权限管理;具体步骤如下:
(1.1)首先数据中台向能源数据所有者申请代理权,数据中台将自己的身份标识和时间戳加密后发送给能源数据所有者进行设备代理权的申请;
(1.2)能源数据所有者收到代理权的申请后解密得到申请信息,验证数据中台的身份是否合法以及时间戳的时效性;确认数据中台身份的合法性后,能源数据所有者设置的代理权的有效时间以及授权内容,并生成授权证书;能源数据所有者生成代理签名密钥,并进行签名,将授权证书和签名加密后发送给数据中台,通知数据中台其已经获得授权;
(1.3)能源数据所有者将数据中台的身份、代理有效期、授权时间等信息加密后发送给存储能源数据的数据服务器;
(1.4)数据中台收到授权证书,得到代理签名密钥,并验证授权证书的有效性,并对授权证书进行解析获取授权范围。
(2)数据中台验证用户身份的合法性后并发放授权证书;具体步骤如下:
(2.1)用户向数据中台发送获取数据访问权限请求,用户将自己的身份标识、申请的权限和时间戳进行签名并加密后发送给数据中台进行权限获取;
(2.2)数据中台收到用户的权限请求后,解密得到请求信息,验证该用户的身份是否合法以及时间戳的时效性,判断用户申请的权限是否在自己的授权范围内,若在则生成授权证书;数据中台计算代理签名私钥,具体为,在能源数据所有者生成的代理签名私钥的基础上加入自己的私钥信息,生成计算后的代理签名私钥对授权证书进行签名并加密后发送给用户;
(2.3)用户对收到的授权证书解密,验证数据中台身份的合法性之后,并用能源数据所有者代理签名验证公钥对请求信息中的代理签名进行验证,若验证通过,接受授权证书;
(3)用户利用授权证书向数据服务器获取能源数据的访问权限;具体步骤如下:
(3.1)用户向数据服务器发送数据访问请求,用户将其身份标识、获取的授权证书和时间戳进行签名生成数字签名并加密后发送给数据服务器请求数据获取;
(3.2)数据服务器在收到用户的数据获取请求后,解密得到请求信息并验证签名确定用户的身份是否合法以及时间戳的时效性;并用能源数据所有者代理签名验证公钥对请求信息中的代理签名进行验证,若验证通过,则数据服务器确认用户的数据访问请求,生成临时访问数据密钥,用用户的公钥生成密文发送给用户;
(3.3)用户用自己的私钥解密数据服务器发送的密文,验证数据服务器的身份是否合法以及时间戳的时效性。在确认数据服务器身份的合法性后,得到临时访问数据密钥;
(3.4)数据服务器用临时访问数据密钥对通信数据进行加密发送给用户,用户获取后用临时访问数据密钥进行解密获得所需的能源数据。
进一步地,所述能源数据所有者设置的代理权的授权内容包括授予数据中台的角色及对应的权限。
进一步地,能源数据所有者生成代理签名密钥具体过程为:能源数据所有者选择随机值
Figure BDA0003210350130000031
计算K=αkmod p和s=xo+kK mod q,生成代理签名密钥(s,K);其中
Figure BDA0003210350130000032
满足αq=1mod p,p为大素数,q是p-1的素因子,α,p和q是所有实体的公钥参数,
Figure BDA0003210350130000033
为群论理符号。
进一步地,数据中台收到能源所有者发送的授权消息,得到代理签名密钥(s,K)后,需要首先验证等式αs=yoKKmod p是否成立,其中yo代表能源数据所有者的公钥,若成立,则数据中台就确认(s,K)是由能源数据所有者生成的代理签名密钥,否则数据中台拒绝接受能源数据所有者的授权。
进一步地,数据中台在用户列表中记录该用户的身份和对应的权限。
进一步地,数据中台计算代理签名私钥的具体过程为:数据中台计算代理签名私钥r=s+xpyp mod q,在能源数据所有者生成的代理签名私钥s的基础上加入自己的私钥信息xp,yp为数据中台的身份,并用r其代替xp进行普通的数字签名。
进一步地,步骤(2.2)中,采用ElGamal数字签名算法对授权证书进行签名,数据中台计算mp=H(IDo||yo||Wu),选择随机值
Figure BDA0003210350130000034
计算R=αtmod p和S=t-1(mp-rR)mod q,(R,S)是代理签名,Wu表示授权证书,IDo是能源数据所有者的身份标识,H表示哈希函数。
进一步地,步骤(2)和步骤(3)中,使用能源数据所有者代理签名验证公钥对请求信息中的代理签名进行验证过程中,计算代理签名验证公钥
Figure BDA0003210350130000035
和mp′=H(IDo||yO||Wu),验证mp′=mp是否成立,若成立,则用代理签名验证公钥h对收到的代理签名进行验证,判断Verify(h,Wu,(S,R))=1,也即
Figure BDA0003210350130000036
是否成立,若该等式成立,则验证通过。
本发明的有益效果:本方明针对能源数据中台场景下,大量能源数据存放在数据中台委托保管,所有者无法实现敏感内容的权限管理问题,基于代理签名机制实现了数据所有者可控的第三方权限管理。能源数据所有者无需和数据访问者进行直接交互,授权过程委托数据中台负责完成。本发明可以有效实现数据中台代表能源数据拥有者进行敏感内容的授权管理,从而减轻能源数据拥有者对敏感内容维护管理的负担,提高能源数据敏感内容访问的安全性和管理效率。
附图说明
图1是本发明涉及的实体关系图;
图2是本发明的协议步骤流程图。
具体实施方式
以下结合附图对本发明具体实施方式作进一步详细说明。
本发明提供了一种基于代理签名的能源数据中台敏感内容委托授权方法。本发明方法涉及的实体包括:能源数据所有者、数据中台、用户以及存放能源数据的数据服务器。其中数据中台代表能源数据所有者负责对所有的能源数据进行权限管理,维护数据资产的安全性。其能源敏感数据权限管理分为三个阶段:首先能源数据所有者向数据中台发放可用于生成访问能源数据的授权证书的签名密钥;第二阶段是数据中台在验证用户身份的合法性后,向其发放授权证书;第三阶段是用户利用授权证书获取能源数据的访问权限。
本方明针对能源数据中台场景下,大量能源数据存放在数据中台委托保管,所有者无法实现敏感内容的权限管理问题,基于代理签名机制实现了数据所有者可控的第三方权限管理。能源数据所有者无需和数据访问者进行直接交互,授权过程委托数据中台负责完成。本发明可以有效实现数据中台代表能源数据拥有者进行敏感内容的授权管理,从而减轻能源数据拥有者对敏感内容维护管理的负担,提高能源数据敏感内容访问的安全性和管理效率。
本发明方法涉及的实体如图1所示,包括101能源数据所有者、102数据中台、103用户以及104数据服务器。本方法涉及权限委托、代理授权以及请求数据三个阶段:1)首先101能源数据所有者首先生成自己的私钥s,然后在其私钥的基础上生成新的代理签名密钥(s,K),并将新的私钥作为代理签名密钥发送给102数据中台;2)当103用户向102数据中台发送数据访问请求时,102数据中台审核103用户身份的合法性后,代表101能源数据所有者对103用户签发授权证书,其所授权限在101能源数据所有者预先定义的范围内,并在授权证书上用代理签名密钥(s,K)进行签名;3)103用户在访问数据所有者拥有的数据时,通过递交102数据中台签名的授权证书向104数据服务器发送请求,104数据服务器在验证102数据中台授权证书后授予相应权限进行数据访问。
协议使用到的符号说明如下:
||:消息的串联;
IDA:103用户A的身份标识;
TA:103用户A生成的时间戳;
CertA:103用户A的证书;
H(m):哈希函数;
xA,yA:103用户A的私钥和公钥;
Ek(·),Dk(·):消息加密和解密;
Sign(x,m):私钥x对消息m签名;
Verify(y,m,Sign(x,m)):用公钥验证消息m的签名;
其具体过程如下
初始阶段:
设定一大素数p,q是p-1的素因子,选择
Figure BDA0003210350130000051
满足αq=1modp,其中α,p和q是所有实体的公钥参数,
Figure BDA0003210350130000052
为群论理的符号,表示整数集合模运算下非零元构成的乘法群。101能源数据所有者、102数据中台、103用户和存放能源数据的104数据服务器分别选择随机数
Figure BDA0003210350130000053
其相应的公钥为
Figure BDA0003210350130000054
Figure BDA0003210350130000055
如图2所示,其交互具体过程如下:
阶段一:敏感101能源数据所有者授权102数据中台进行敏感内容权限管理。
步骤1:102数据中台向101能源数据所有者申请代理权。102数据中台用其私钥xp对其身份标识IDp、时间戳Tp进行签名生成数字签名Sign(xp,IDp||Tp),并用101能源数据所有者的公钥yo加密生成密文
Figure BDA0003210350130000056
发送给101能源数据所有者进行设备代理权的申请。
步骤2:101能源数据所有者收到申请后用其私钥xo解密得到申请信息,验证该102数据中台的身份是否合法以及时间戳的时效性,检查接收到该时间戳的时间和收到的时间戳之间的差值是不是在一个阈值内。在确认102数据中台身份的合法性后,生成对102数据中台的授权证书:Certp=(IDo||validity||To||W,Sign(xo,IDo||validity||To||W)),其中IDo是101能源数据所有者的身份标识,validity是101能源数据所有者设置的代理权的有效时间,To是101能源数据所有者颁发证书的时间,W是101能源数据所有者的授权内容,其中包括授予102数据中台的角色及对应的权限。
步骤3:101能源数据所有者选择随机值
Figure BDA0003210350130000057
计算K=αk modp和s=xo+kK modq,生成代理签名密钥(s,K)。101能源数据所有者对(s,K)进行签名,并将授权证书Certp,(s,K)和签名Sign(xo,(s,K))加密生成密文
Figure BDA0003210350130000058
发送给102数据中台,通知102数据中台其已经获得授权。
步骤4:所有者将102数据中台的身份、代理有效期、授权时间等信息用103数据服务器公钥yd加密:
Figure BDA0003210350130000059
将密文发送给存储能源数据的103数据服务器,方便103数据服务器对102数据中台的身份进行验证。
步骤5:102数据中台收到所有者发送的授权消息,得到代理签名密钥(s,K),首先验证等式αs=yoKK mod p是否成立,其中yo代表101能源数据所有者的公钥,若成立,则102数据中台就确认(s,K)是由101能源数据所有者生成的代理签名密钥,否则102数据中台拒绝接受101能源数据所有者的授权。
步骤6:102数据中台用101能源数据所有者的公钥yo验证授权证书的有效性,并对授权证书进行解析获取他的授权范围。
阶段二:102数据中台验证103用户身份的合法性后并发放授权证书
步骤1:103用户向102数据中台发送获取数据访问权限请求,103用户用其私钥xu对其身份标识IDu、申请的权限P和时间戳Tu进行签名生成数字签名Sign(xu,P||IDu||Tu),并用102数据中台的公钥yp加密生成密文
Figure BDA0003210350130000061
发送给102数据中台进行权限获取。
步骤2:102数据中台收到103用户的权限请求后,用其私钥xp解密得到请求信息,验证该103用户的身份是否合法以及时间戳的时效性,判断103用户申请的权限是否在自己的授权范围内,若在则生成授权证书Wu。102数据中台计算代理签名私钥r=s+xpyp modq,在101能源数据所有者生成的代理签名私钥s的基础上加入自己的私钥信息xp,并用r其代替xp进行普通的数字签名。本发明采用ElGamal数字签名算法对授权证书Wu进行签名,102数据中台计算mp=H(IDo||yo||Wu),选择随机值
Figure BDA0003210350130000062
计算R=αtmod p和S=t-1(mp-rR)mod q,(R,S)是代理签名,其将密文
Figure BDA0003210350130000063
Figure BDA0003210350130000064
发送给103用户。102数据中台在103用户列表中记录该103用户的身份和对应的权限(IDu,Wu)。
步骤3:103用户收到授权信息并验证其有效性。首先用自己的私钥对密文进行解密,计算代理签名验证公钥
Figure BDA0003210350130000065
和mp′=H(IDO||yo||Wu),验证mp′=mp是否成立,若成立,则用代理签名验证公钥h对收到的代理签名进行验证,判断Verify(h,Wu,(S,R))=1,也即
Figure BDA0003210350130000066
是否成立,若该等式成立,则103用户认为该102数据中台的身份是合法的,并接受授权证书。
阶段三:103用户利用授权证书向104数据服务器获取能源数据的访问权限。
步骤1:103用户向104数据服务器发送数据访问请求,103用户用其私钥xu对其身份标识IDu、获取的权限Wu和时间戳Tu进行签名生成数字签名Sign(xu,Wu||IDu||Tu),并用104数据服务器的公钥yd加密生成密文
Figure BDA0003210350130000067
Wu,mp,K,Sign(xp,(R,S)||Wu||mp||K),Sign(xu,IDu||Tu,(R,S)||Wu||mp||K||Sign(xp,(R,S)||Wu||mp||K))),发送给104数据服务器请求数据获取。
步骤2:104数据服务器在收到103用户的数据获取请求后,用其私钥xd解密得到请求信息,用103用户的公钥yu验证签名确定该103用户的身份是否合法以及时间戳的时效性。在确认102数据中台身份的合法性后,提取(R,S),Wu,mp,K,Sign(xp,(R,S)||Wu||mp||K)信息。进一步计算代理签名验证公钥
Figure BDA0003210350130000071
和mp′=H(IDo||yO||Wu),验证mp′=mp是否成立,若成立,则用代理签名验证公钥h对收到的代理签名进行验证,判断Verify(h,Wu,(S,R))=1,也即
Figure BDA0003210350130000073
是否成立,若该等式成立,则104数据服务器确认103用户的数据访问请求,生成临时访问数据密钥TK,用103用户的公钥yu生成密文
Figure BDA0003210350130000072
发送给103用户。
步骤3:103用户收到104数据服务器的回复后用其私钥xu解密得到信息,验证104数据服务器的身份是否合法以及时间戳的时效性。在确认104数据服务器身份的合法性后,得到临时访问数据密钥TK。
步骤4:104数据服务器用临时访问数据密钥TK对通信数据进行加密发送给103用户,103用户获取后用临时访问数据密钥TK进行解密获得所需的能源数据。
上述实施例用来解释说明本发明,而不是对本发明进行限制,在本发明的精神和权利要求的保护范围内,对本发明作出的任何修改和改变,都落入本发明的保护范围。

Claims (8)

1.一种基于代理签名的能源数据中台敏感内容委托授权方法,其特征在于,该方法包括以下步骤:
(1)敏感能源数据所有者授权数据中台进行敏感内容权限管理;具体步骤如下:
(1.1)首先数据中台向能源数据所有者申请代理权,数据中台将自己的身份标识和时间戳加密后形成申请信息发送给能源数据所有者进行设备代理权的申请;
(1.2)能源数据所有者收到代理权的申请后解密得到申请信息,验证数据中台的身份是否合法以及时间戳的时效性;确认数据中台身份的合法性后,能源数据所有者设置代理权的有效时间以及授权内容,并生成授权证书;能源数据所有者生成代理签名密钥,并进行签名,将授权证书和签名加密后发送给数据中台,通知数据中台其已经获得授权;代理签名密钥包括代理签名私钥和代理签名公钥;
(1.3)能源数据所有者将数据中台的身份、代理权的有效时间、时间戳信息加密后发送给存储能源数据的数据服务器;
(1.4)数据中台收到授权证书,得到代理签名密钥,并验证授权证书的有效性,并对授权证书进行解析获取授权范围;
(2)数据中台验证用户身份的合法性后并发放授权证书;具体步骤如下:
(2.1)用户向数据中台发送获取数据访问权限请求,用户将自己的身份标识、申请的权限和时间戳进行代理签名并加密后形成请求信息发送给数据中台进行权限获取;
(2.2)数据中台收到用户的权限请求后,解密得到请求信息,验证该用户的身份是否合法以及时间戳的时效性,判断用户申请的权限是否在自己的授权范围内,若在则生成授权证书;数据中台计算代理签名私钥,具体为,在能源数据所有者生成的代理签名私钥的基础上加入自己的私钥信息,生成计算后的代理签名私钥,然后对授权证书进行签名并加密后发送给用户;
(2.3)用户对收到的授权证书解密,验证数据中台身份的合法性之后,并用能源数据所有者代理签名验证公钥对用户的请求信息中的代理签名进行验证,若验证通过,接受授权证书;
(3)用户利用授权证书向数据服务器获取能源数据的访问权限;具体步骤如下:
(3.1)用户向数据服务器发送数据访问请求,用户将其身份标识、获取的授权证书和时间戳进行代理签名并加密后形成请求信息发送给数据服务器请求数据获取;
(3.2)数据服务器在收到用户的数据访问请求后,解密得到请求信息并验证签名确定用户的身份是否合法以及时间戳的时效性;并用能源数据所有者代理签名验证公钥对请求信息中的代理签名进行验证,若验证通过,则数据服务器确认用户的数据访问请求,生成临时访问数据密钥,用用户的公钥生成密文发送给用户;
(3.3)用户用自己的私钥解密数据服务器发送的密文,验证数据服务器的身份是否合法以及时间戳的时效性;在确认数据服务器身份的合法性后,发送临时访问数据密钥给数据服务器;
(3.4)数据服务器用临时访问数据密钥对通信数据进行加密发送给用户,用户获取后用临时访问数据密钥进行解密获得所需的能源数据。
2.根据权利要求1所述的一种基于代理签名的能源数据中台敏感内容委托授权方法,其特征在于,所述能源数据所有者设置的代理权的授权内容包括授予数据中台的角色及对应的权限。
3.根据权利要求1所述的一种基于代理签名的能源数据中台敏感内容委托授权方法,其特征在于,能源数据所有者生成代理签名密钥具体过程为:能源数据所有者选择随机值
Figure FDA0004092088610000021
计算K=αkmod p和s=xo+kK mod q,生成代理签名密钥(s,K);其中
Figure FDA0004092088610000022
满足αq=1mod p,p为大素数,q是p-1的素因子,α,p和q是能源数据所有者、数据中台、用户以及数据服务器的公钥参数,
Figure FDA0004092088610000023
为群论理符号,
Figure FDA0004092088610000024
4.根据权利要求3所述的一种基于代理签名的能源数据中台敏感内容委托授权方法,其特征在于,数据中台收到能源所有者发送的授权证书,得到代理签名密钥(s,K)后,首先验证等式αs=yoKKmod p是否成立,其中yo代表能源数据所有者的公钥,
Figure FDA0004092088610000026
若成立,则数据中台就确认(s,K)是由能源数据所有者生成的代理签名密钥,否则数据中台拒绝接受能源数据所有者的授权。
5.根据权利要求1所述的一种基于代理签名的能源数据中台敏感内容委托授权方法,其特征在于,数据中台在用户列表中记录该用户的身份和对应的权限。
6.根据权利要求4所述的一种基于代理签名的能源数据中台敏感内容委托授权方法,其特征在于,数据中台计算代理签名私钥的具体过程为:数据中台计算代理签名私钥r=s+xpypmod q,在能源数据所有者生成的代理签名私钥s的基础上加入自己的私钥信息xp,yp为数据中台的公钥,并用r代替xp进行普通的数字签名。
7.根据权利要求6所述的一种基于代理签名的能源数据中台敏感内容委托授权方法,其特征在于,步骤(2.2)中,采用ElGamal数字签名算法对授权证书进行签名,数据中台计算mp=H(IDo||yo||Wu),选择随机值
Figure FDA0004092088610000025
计算R=αtmod p和S=t-1(mp-rR)mod q,(R,S)是代理签名,Wu表示授权证书,IDo是能源数据所有者的身份标识,H表示哈希函数。
8.根据权利要求7所述的一种基于代理签名的能源数据中台敏感内容委托授权方法,其特征在于,步骤(2)和步骤(3)中,使用能源数据所有者代理签名验证公钥对请求信息中的代理签名进行验证过程中,计算代理签名验证公钥
Figure FDA0004092088610000031
和mp′=H(IDO||yo||Wu),验证mp′=mp是否成立,若成立,则用代理签名验证公钥h对收到的代理签名进行验证,判断
Figure FDA0004092088610000032
是否成立,若该等式成立,则验证通过。
CN202110930269.XA 2021-08-13 2021-08-13 一种基于代理签名的能源数据中台敏感内容委托授权方法 Active CN113556236B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110930269.XA CN113556236B (zh) 2021-08-13 2021-08-13 一种基于代理签名的能源数据中台敏感内容委托授权方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110930269.XA CN113556236B (zh) 2021-08-13 2021-08-13 一种基于代理签名的能源数据中台敏感内容委托授权方法

Publications (2)

Publication Number Publication Date
CN113556236A CN113556236A (zh) 2021-10-26
CN113556236B true CN113556236B (zh) 2023-04-07

Family

ID=78105774

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110930269.XA Active CN113556236B (zh) 2021-08-13 2021-08-13 一种基于代理签名的能源数据中台敏感内容委托授权方法

Country Status (1)

Country Link
CN (1) CN113556236B (zh)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2634024B1 (es) * 2016-03-23 2018-07-10 Juan José BERMÚDEZ PÉREZ Método seguro para compartir datos y controlar el acceso a los mismos en la nube
CN110706063A (zh) * 2019-09-20 2020-01-17 深圳市昂捷信息技术股份有限公司 一种全渠道营销经营的后台系统
CN112329031A (zh) * 2020-10-27 2021-02-05 国网福建省电力有限公司信息通信分公司 一种基于数据中台的数据权限控制系统
CN112905978B (zh) * 2021-02-20 2023-06-06 成都新希望金融信息有限公司 权限管理方法和装置

Also Published As

Publication number Publication date
CN113556236A (zh) 2021-10-26

Similar Documents

Publication Publication Date Title
KR100827650B1 (ko) 그룹에 참여하도록 초대된 잠재적 회원을 인증하는 방법
CN106789042B (zh) Ibc域内的用户访问pki域内的资源的认证密钥协商方法
KR20190073472A (ko) 데이터 송신 방법, 장치 및 시스템
CN108632251B (zh) 基于云计算数据服务的可信认证方法及其加密算法
CN114036539A (zh) 基于区块链的安全可审计物联网数据共享系统及方法
Lee et al. Two factor authentication for cloud computing
Kravitz Transaction immutability and reputation traceability: Blockchain as a platform for access controlled iot and human interactivity
Anand et al. EECDH to prevent MITM attack in cloud computing
CN102999710A (zh) 一种安全共享数字内容的方法、设备及系统
KR100984275B1 (ko) 안전하지 않은 통신 채널에서 비인증서 공개키를 사용한 보안키 생성 방법
Tiwari et al. A novel secure cloud storage architecture combining proof of retrievability and revocation
KR100970552B1 (ko) 비인증서 공개키를 사용하는 보안키 생성 방법
CN113556236B (zh) 一种基于代理签名的能源数据中台敏感内容委托授权方法
CN116318637A (zh) 设备安全入网通信的方法和系统
Salim et al. Applying geo-encryption and attribute based encryption to implement secure access control in the cloud
CN112968877A (zh) 一种兼容多终端编辑器
Surya et al. Single sign on mechanism using attribute based encryption in distributed computer networks
Wu et al. Verified CSAC-based CP-ABE access control of cloud storage in SWIM
JP2015186101A (ja) 鍵交換装置、及び鍵交換方法
CN114005190B (zh) 用于课堂考勤系统的人脸识别方法
Abdalla et al. Anonymous Pairing-Free and Certificateless Key Exchange Protocol for DRM System.
CN100596066C (zh) 一种基于h323系统的实体认证方法
CN117118759B (zh) 用户控制服务器端密钥可靠使用的方法
CN113037686B (zh) 多数据库安全通信方法和系统、计算机可读存储介质
Ghorpade et al. Notice of Violation of IEEE Publication Principles: Towards Achieving Efficient and Secure Way to Share the Data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant