CN114465824A - 面向智慧建设工程信息系统平台的授权访问控制方法 - Google Patents

面向智慧建设工程信息系统平台的授权访问控制方法 Download PDF

Info

Publication number
CN114465824A
CN114465824A CN202210370865.1A CN202210370865A CN114465824A CN 114465824 A CN114465824 A CN 114465824A CN 202210370865 A CN202210370865 A CN 202210370865A CN 114465824 A CN114465824 A CN 114465824A
Authority
CN
China
Prior art keywords
engineering
intelligent construction
construction
intelligent
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210370865.1A
Other languages
English (en)
Other versions
CN114465824B (zh
Inventor
白皓
宋俊杰
刘勇
江勇顺
陈非
唐浩
罗煜
盛鹏
黄军
孟海龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Expressway Construction And Development Group Co ltd
Original Assignee
Sichuan Expressway Construction And Development Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Expressway Construction And Development Group Co ltd filed Critical Sichuan Expressway Construction And Development Group Co ltd
Priority to CN202210370865.1A priority Critical patent/CN114465824B/zh
Publication of CN114465824A publication Critical patent/CN114465824A/zh
Application granted granted Critical
Publication of CN114465824B publication Critical patent/CN114465824B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种面向智慧建设工程信息系统平台的授权访问控制方法,包括:可信中心设置系统的公开参数和自己的主私钥,并为智慧建设工程系统数据管理者和工程建设终端用户分配私钥;智慧建设工程系统数据管理者根据第一信息计算生成访问控制策略,并将访问控制策略发送到智慧建设工程信息系统平台服务器;工程建设终端用户根据第二信息生成访问凭证,并将访问凭证发送给智慧建设工程信息系统平台服务器;智慧建设工程信息系统平台服务器根据访问凭证定位到对应的访问控制策略,并在访问控制策略测试方程验证通过时授权工程建设终端用户访问相应类型的敏感数据。本发明提出的方法,可有效避免数据访问过程中的泄露,提高了敏感数据的安全性。

Description

面向智慧建设工程信息系统平台的授权访问控制方法
技术领域
本发明涉及智慧建设工程信息系统平台数据隐私保护领域,特别涉及一种面向智慧建设工程信息系统平台的授权访问控制方法。
背景技术
随着数字经济的蓬勃发展,云计算、大数据、物联网、区块链等新兴信息技术与建设工程业务环节深度融合,形成智慧建设工程信息管理与决策系统。智慧建设工程信息系统实现由事后追溯向事前预警转变、由被动管理向主动干预的转变、由经验决策向数据决策的转变,构建以数据为核心的智慧建设工程协同管理新模式,促进工程建设科学管理和品质服务。
构建智慧工程建设信息系统平台,以及建立“智能在端、智慧在云”的信息化管理体系,通过在关键工点部署智能感知监测设施,构建完善的智能感知体系,把数据的获取和处理作为日常管理的基础工作,把定量分析与定性分析相结合,从依靠经验判断变为依靠数据科学决策。由此,智慧工程建设信息系统增强项目建设信息化管理的预见性、主动性和协同性,实现工程建设的可视、可测、可控。智慧工程建设信息系统平台以数据资源赋能工程建设为切入点,通过对各类工程建设数据采集、汇总、分析、挖掘,应用于智能监测、质量管理、进度管理、质量管理、投资管理、安全管理等。
在智慧建设工程信息系统中,智慧建设工程系统数据管理者是各种工程建设过程中产生的实时数据的管理者,会定期根据数据类型进行处理,并根据数据重要性与敏感性将其安全存储在智慧建设工程信息系统平台服务器。但在实际工程建设过程中,往往会出现一些涉及工程建设关键技术数据的授权分享的问题,智慧建设工程系统数据管理者往往需要针对某些特殊工程建设终端用户进行权限分配,实现对智慧建设工程信息系统平台服务器的重要敏感数据的授权访问。因此,面向智慧建设工程信息系统平台的授权访问控制方法,具有重要的应用前景。
发明内容
本发明的目的在于克服现有技术的一项或多项不足,提供一种面向智慧建设工程信息系统平台的授权访问控制方法。
本发明的目的是通过以下技术方案来实现的:面向智慧建设工程信息系统平台的授权访问控制方法,应用于智慧建设工程信息系统,所述智慧建设工程信息系统包括可信中心、智慧建设工程系统数据管理者、工程建设终端用户和智慧建设工程系统服务器,所述可信中心分别与智慧建设工程系统数据管理者和工程建设终端用户通信连接,所述智慧建设工程系统服务器分别与智慧建设工程系统数据管理者和工程建设终端用户通信连接。面向智慧建设工程信息系统平台的授权访问控制方法,包括:
S100.可信中心设置系统的公开参数,所述公开参数包括主公钥、双线性对映射、乘法循环群及其生成元、哈希函数;可信中心生成并保存自己的主私钥,并为智慧建设工程系统数据管理者分配私钥,以及为各个工程建设终端用户分配私钥;
S200.智慧建设工程系统数据管理者根据第一信息计算生成访问控制策略,并将所述访问控制策略发送到智慧建设工程信息系统平台服务器,所述第一信息包括智慧建设工程系统数据管理者的私钥、被授权访问的敏感数据的类型、以及每个工程建设终端用户的身份;
S300.每个工程建设终端用户根据第二信息生成访问凭证,并将所述访问凭证发送给智慧建设工程信息系统平台服务器,所述第二信息包括工程建设终端用户的私钥、智慧建设工程系统数据管理者的身份、以及敏感数据的类型;
S400.智慧建设工程信息系统平台服务器根据所述访问凭证定位到对应的访问控制策略,并验证访问控制策略测试方程是否通过,若验证通过,则智慧建设工程信息系统平台服务器授权工程建设终端用户访问智慧建设工程系统数据管理者的相应类型的敏感数据。
优选的,所述S100包括以下步骤:
S101.可信中心设置一个双线性对映射
Figure 420300DEST_PATH_IMAGE001
,其中
Figure 100002_DEST_PATH_IMAGE002
Figure 399757DEST_PATH_IMAGE003
Figure 100002_DEST_PATH_IMAGE004
阶乘法循环群,
Figure 976232DEST_PATH_IMAGE005
是大素数;
S102.可信中心从
Figure 100002_DEST_PATH_IMAGE006
阶乘法循环群
Figure 699337DEST_PATH_IMAGE007
中随机选取一个生成元
Figure 100002_DEST_PATH_IMAGE008
S103.可信中心从有限域
Figure 576026DEST_PATH_IMAGE009
中选择一个非零的随机数
Figure 100002_DEST_PATH_IMAGE010
作为可信中心的主私钥,并计算可信中心的主公钥
Figure 726385DEST_PATH_IMAGE011
S104.可信中心设置两个安全哈希函数
Figure 100002_DEST_PATH_IMAGE012
,其中
Figure 55735DEST_PATH_IMAGE013
是任意长度比特串;
S105.可信中心计算智慧建设工程系统数据管理者对应的私钥
Figure 100002_DEST_PATH_IMAGE014
,并将私钥
Figure 457898DEST_PATH_IMAGE015
发送给智慧建设工程系统数据管理者,其中,
Figure 100002_DEST_PATH_IMAGE016
是智慧建设工程系统数据管理者的身份,
Figure 454673DEST_PATH_IMAGE017
S106.可信中心分别计算每个工程建设终端用户对应的私钥
Figure 100002_DEST_PATH_IMAGE018
,并将私钥
Figure 510353DEST_PATH_IMAGE019
发送给对应的工程建设终端用户,其中,
Figure 100002_DEST_PATH_IMAGE020
是工程建设终端用户的身份,
Figure 592579DEST_PATH_IMAGE021
为工程建设终端用户的数量;
S107.可信中心发布系统的公开参数
Figure 100002_DEST_PATH_IMAGE022
优选的,所述S200包括以下步骤:
S201.对于每一个工程建设终端用户,智慧建设工程系统数据管理者计算关于类型为
Figure 657487DEST_PATH_IMAGE023
的敏感数据第一授权访问控制属性值
Figure 100002_DEST_PATH_IMAGE024
,其中,
Figure 243189DEST_PATH_IMAGE025
是级联符号;
S202.智慧建设工程系统数据管理者设置授权访问控制属性值的集合
Figure 100002_DEST_PATH_IMAGE026
S203.智慧建设工程系统数据管理者构造一个在有限域
Figure 876295DEST_PATH_IMAGE027
上的
Figure 100002_DEST_PATH_IMAGE028
次多项式
Figure 445817DEST_PATH_IMAGE029
,其中,
Figure 100002_DEST_PATH_IMAGE030
是从有限域
Figure 783257DEST_PATH_IMAGE031
中随机选取的辅助参数,
Figure 100002_DEST_PATH_IMAGE032
Figure 754625DEST_PATH_IMAGE033
次多项式
Figure 100002_DEST_PATH_IMAGE034
的系数,x表示自变量;
S204.智慧建设工程系统数据管理者计算中间变量一
Figure 152108DEST_PATH_IMAGE035
和中间变量二
Figure 100002_DEST_PATH_IMAGE036
,并构造
Figure 208926DEST_PATH_IMAGE037
维向量一
Figure 100002_DEST_PATH_IMAGE038
S205.智慧建设工程系统数据管理者将访问控制策略
Figure 350057DEST_PATH_IMAGE039
发送到智慧建设工程信息系统平台服务器。
优选的,所述S300包括以下步骤:
S301.工程建设终端用户计算用于访问智慧建设工程信息系统平台服务器的第二授权访问控制属性值
Figure 100002_DEST_PATH_IMAGE040
,然后生成交访问凭证
Figure 51297DEST_PATH_IMAGE041
,并将所述访问凭证
Figure 100002_DEST_PATH_IMAGE042
发送给智慧建设工程信息系统平台服务器。
优选的,所述S400包括以下步骤:
S401.智慧建设工程信息系统平台服务器根据工程建设终端用户提交的访问凭证
Figure 150840DEST_PATH_IMAGE043
提取出智慧建设工程系统数据管理者的身份
Figure 100002_DEST_PATH_IMAGE044
和敏感数据的类型
Figure 163795DEST_PATH_IMAGE045
,并定位到访问控制策略
Figure 100002_DEST_PATH_IMAGE046
S402.智慧建设工程信息系统平台服务器设置
Figure 374197DEST_PATH_IMAGE047
维向量二
Figure 100002_DEST_PATH_IMAGE048
,并根据访问控制策略
Figure 54577DEST_PATH_IMAGE049
检验以下访问控制策略测试方程是否成立:
Figure 100002_DEST_PATH_IMAGE050
其中,
Figure 59442DEST_PATH_IMAGE051
是转置符号;
S403.若访问控制策略测试方程成立,则验证通过,智慧建设工程信息系统平台服务器授权工程建设终端用户访问智慧工程建设系统数据管理者的类型为
Figure 100002_DEST_PATH_IMAGE052
的敏感数据。
本发明的有益效果是:
(1)本发明提出的面向智慧建设工程信息系统平台的授权访问控制方法,可有效避免数据访问过程中的泄露,提高了敏感数据的安全性;
(2)本发明通过设置访问控制属性值
Figure 294114DEST_PATH_IMAGE053
,既确保了只有拥有智慧建设工程系统数据管理者的身份
Figure 100002_DEST_PATH_IMAGE054
对应的私钥才有权利进行访问授权;同时,又确保了只有拥有工程建设终端用户的身份
Figure 777048DEST_PATH_IMAGE055
对应的私钥,才能计算出正确的访问控制属性值,从而达到从智慧建设工程系统数据管理者到多个工程建设终端用户的安全正确授权;
(3)本发明中智慧建设工程系统数据管理者构造一个在有限域
Figure 100002_DEST_PATH_IMAGE056
上的
Figure 577514DEST_PATH_IMAGE057
次多项式,由于增加了随机数的选取,从而多项式系数是随机的,既保证了智慧建设工程系统数据管理者可以对多个工程建设终端用户进行安全正确授权,又确保了对多项式的根的暴力破解。因此,可以抵抗外界攻击者对工程建设终端用户的访问控制属性值的猜测攻击。
附图说明
图1为智慧建设工程信息系统的一种实施例的组成框图;
图2为面向智慧建设工程信息系统平台的授权访问控制方法的一种实施例的流程图。
具体实施方式
下面将结合实施例,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1-图2,本实施例提供了一种面向智慧建设工程信息系统平台的授权访问控制方法:
面向智慧建设工程信息系统平台的授权访问控制方法,应用于智慧建设工程信息系统。如图1所示,所述智慧建设工程信息系统包括可信中心、智慧建设工程系统数据管理者、工程建设终端用户和智慧建设工程系统服务器,所述可信中心分别与智慧建设工程系统数据管理者和工程建设终端用户通信连接,所述智慧建设工程系统服务器分别与智慧建设工程系统数据管理者和工程建设终端用户通信连接。一般的,所述通信连接既可以采用无线通信的方式,也可以采用有线通信的方式。
如图2所示,面向智慧建设工程信息系统平台的授权访问控制方法,包括:
S100.可信中心设置系统的公开参数,所述公开参数包括主公钥、双线性对映射、乘法循环群及其生成元、哈希函数;可信中心生成并保存自己的主私钥,并为智慧建设工程系统数据管理者分配私钥,以及为各个工程建设终端用户分配私钥。
在一个实施例中,所述S100包括以下步骤:
S101.可信中心设置一个双线性对映射
Figure 159805DEST_PATH_IMAGE001
,其中
Figure 819456DEST_PATH_IMAGE002
Figure 637239DEST_PATH_IMAGE003
Figure 433157DEST_PATH_IMAGE004
阶乘法循环群,
Figure 310983DEST_PATH_IMAGE005
是大素数。
S102.可信中心从
Figure 192352DEST_PATH_IMAGE006
阶乘法循环群
Figure 813826DEST_PATH_IMAGE007
中随机选取一个生成元
Figure 464250DEST_PATH_IMAGE008
S103.可信中心从有限域
Figure 388344DEST_PATH_IMAGE009
中选择一个非零的随机数
Figure 881642DEST_PATH_IMAGE010
作为可信中心的主私钥,并计算可信中心的主公钥
Figure 916594DEST_PATH_IMAGE011
S104.可信中心设置两个安全哈希函数
Figure 811738DEST_PATH_IMAGE012
,其中
Figure 641153DEST_PATH_IMAGE013
是任意长度比特串。
S105.可信中心计算智慧建设工程系统数据管理者对应的私钥
Figure 887327DEST_PATH_IMAGE014
,并将私钥
Figure 725970DEST_PATH_IMAGE015
发送给智慧建设工程系统数据管理者,其中,
Figure 210041DEST_PATH_IMAGE016
是智慧建设工程系统数据管理者的身份,
Figure 210358DEST_PATH_IMAGE017
S106.可信中心分别计算每个工程建设终端用户对应的私钥
Figure 412669DEST_PATH_IMAGE018
,并将私钥
Figure 55003DEST_PATH_IMAGE019
发送给对应的工程建设终端用户,其中,
Figure 924739DEST_PATH_IMAGE020
是工程建设终端用户的身份,
Figure 361537DEST_PATH_IMAGE021
为工程建设终端用户的数量。
S107.可信中心发布系统的公开参数
Figure 51144DEST_PATH_IMAGE022
S200.智慧建设工程系统数据管理者根据第一信息计算生成访问控制策略,并将所述访问控制策略发送到智慧建设工程信息系统平台服务器,所述第一信息包括智慧建设工程系统数据管理者的私钥、被授权访问的敏感数据的类型、以及每个工程建设终端用户的身份。
在一个实施例中,所述S200包括以下步骤:
S201.对于每一个工程建设终端用户,智慧建设工程系统数据管理者计算关于类型为
Figure 231590DEST_PATH_IMAGE023
的敏感数据第一授权访问控制属性值
Figure 831198DEST_PATH_IMAGE024
,其中,
Figure 563531DEST_PATH_IMAGE025
是级联符号。本实施例中通过设置访问控制属性值
Figure 100002_DEST_PATH_IMAGE058
,既确保了只有拥有智慧建设工程系统数据管理者的真实身份
Figure 209276DEST_PATH_IMAGE059
对应的私钥才有权利进行访问授权;同时,又确保了只有拥有真实身份
Figure 100002_DEST_PATH_IMAGE060
对应的私钥,才能计算出正确的访问控制属性值,从而达到从智慧建设工程系统数据管理者到多个工程建设终端用户的安全正确授权。
S202.智慧建设工程系统数据管理者设置授权访问控制属性值的集合
Figure 786888DEST_PATH_IMAGE026
S203.智慧建设工程系统数据管理者构造一个在有限域
Figure 241003DEST_PATH_IMAGE027
上的
Figure 285182DEST_PATH_IMAGE028
次多项式
Figure 949382DEST_PATH_IMAGE029
,其中,
Figure 471630DEST_PATH_IMAGE030
是从有限域
Figure 904885DEST_PATH_IMAGE031
中随机选取的辅助参数,
Figure 119966DEST_PATH_IMAGE032
Figure 5882DEST_PATH_IMAGE033
次多项式
Figure 331821DEST_PATH_IMAGE034
的系数,x表示自变量。本实施例中智慧建设工程系统数据管理者构造一个在有限域
Figure 760529DEST_PATH_IMAGE061
上的
Figure 100002_DEST_PATH_IMAGE062
次多项式,由于增加了随机数的选取,从而多项式系数是随机的,既保证了智慧建设工程系统数据管理者可以对多个工程建设终端用户进行安全正确授权,又确保了对多项式的根的暴力破解。因此,可以抵抗外界攻击者对工程建设终端用户的访问控制属性值的猜测攻击。
S204.智慧建设工程系统数据管理者计算中间变量一
Figure 474407DEST_PATH_IMAGE035
和中间变量二
Figure 113199DEST_PATH_IMAGE036
,并构造
Figure 242829DEST_PATH_IMAGE037
维向量一
Figure 385097DEST_PATH_IMAGE038
S205.智慧建设工程系统数据管理者将访问控制策略
Figure 207559DEST_PATH_IMAGE039
发送到智慧建设工程信息系统平台服务器。本实施例中通过设置访问控制策略,确保了任意工程建设终端用户只要能够正确计算出正确的访问控制属性值,就可以通过智慧建设工程信息系统平台服务器的测试。
S300.每个工程建设终端用户根据第二信息生成访问凭证,并将所述访问凭证发送给智慧建设工程信息系统平台服务器,所述第二信息包括工程建设终端用户的私钥、智慧建设工程系统数据管理者的身份、以及敏感数据的类型。
在一个实施例中,所述S300包括以下步骤:
S301.工程建设终端用户计算用于访问智慧建设工程信息系统平台服务器的第二授权访问控制属性值
Figure 943434DEST_PATH_IMAGE040
,然后生成交访问凭证
Figure 735810DEST_PATH_IMAGE041
,并将所述访问凭证
Figure 607951DEST_PATH_IMAGE042
发送给智慧建设工程信息系统平台服务器。
S400.智慧建设工程信息系统平台服务器根据所述访问凭证定位到对应的访问控制策略,并验证访问控制策略测试方程是否通过,若验证通过,则智慧建设工程信息系统平台服务器授权工程建设终端用户访问智慧建设工程系统数据管理者的相应类型的敏感数据。
在一个实施例中,所述S400包括以下步骤:
S401.智慧建设工程信息系统平台服务器根据工程建设终端用户提交的访问凭证
Figure 725948DEST_PATH_IMAGE043
提取出智慧建设工程系统数据管理者的身份
Figure 949119DEST_PATH_IMAGE044
和敏感数据的类型
Figure 279607DEST_PATH_IMAGE045
,并定位到访问控制策略
Figure 537413DEST_PATH_IMAGE046
S402.智慧建设工程信息系统平台服务器设置
Figure 436098DEST_PATH_IMAGE047
维向量二
Figure 5620DEST_PATH_IMAGE048
,并根据访问控制策略
Figure 280744DEST_PATH_IMAGE049
检验以下访问控制策略测试方程是否成立:
Figure 517690DEST_PATH_IMAGE050
其中,
Figure 321698DEST_PATH_IMAGE051
是转置符号。本实施例中通过设置访问控制策略测试方程,确保了任意工程建设终端用户只要能够正确计算出正确的访问控制属性值,就可以通过智慧建设工程信息系统平台服务器的测试。
S403.若访问控制策略测试方程成立,则验证通过,智慧建设工程信息系统平台服务器授权工程建设终端用户访问智慧工程建设系统数据管理者的类型为
Figure 644095DEST_PATH_IMAGE052
的敏感数据。
本实施例方法的正确性推导如下:
在访问控制阶段,工程建设终端用户计算用于访问智慧建设工程信息系统平台服务器的第二授权访问控制属性值
Figure 457330DEST_PATH_IMAGE063
,其中:
Figure 100002_DEST_PATH_IMAGE064
这与S200中智慧工程建设系统数据管理者计算的关于类型为
Figure 17624DEST_PATH_IMAGE065
的敏感数据的第一授权访问控制属性值
Figure 100002_DEST_PATH_IMAGE066
相同,即
Figure 851588DEST_PATH_IMAGE067
由于智慧建设工程系统数据管理者构造的
Figure 100002_DEST_PATH_IMAGE068
次多项式为
Figure 100002_DEST_PATH_IMAGE070
。而
Figure 864543DEST_PATH_IMAGE071
是多项式的根,于是
Figure 100002_DEST_PATH_IMAGE072
。因此,访问控制策略测试方程正确性推导如下:
Figure 809366DEST_PATH_IMAGE073
最后,访问控制策略测试方程验证通过(即访问控制策略测试方程成立),则智慧建设工程信息系统平台服务器可以授权工程建设终端用户访问智慧建设工程系统数据管理者的类型为
Figure 100002_DEST_PATH_IMAGE074
的敏感数据。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。

Claims (5)

1.面向智慧建设工程信息系统平台的授权访问控制方法,应用于智慧建设工程信息系统,所述智慧建设工程信息系统包括可信中心、智慧建设工程系统数据管理者、工程建设终端用户和智慧建设工程系统服务器,所述可信中心分别与智慧建设工程系统数据管理者和工程建设终端用户通信连接,所述智慧建设工程系统服务器分别与智慧建设工程系统数据管理者和工程建设终端用户通信连接,其特征在于,面向智慧建设工程信息系统平台的授权访问控制方法,包括:
S100.可信中心设置系统的公开参数,所述公开参数包括主公钥、双线性对映射、乘法循环群及其生成元、哈希函数;可信中心生成并保存自己的主私钥,并为智慧建设工程系统数据管理者分配私钥,以及为各个工程建设终端用户分配私钥;
S200.智慧建设工程系统数据管理者根据第一信息计算生成访问控制策略,并将所述访问控制策略发送到智慧建设工程信息系统平台服务器,所述第一信息包括智慧建设工程系统数据管理者的私钥、被授权访问的敏感数据的类型、以及每个工程建设终端用户的身份;
S300.每个工程建设终端用户根据第二信息生成访问凭证,并将所述访问凭证发送给智慧建设工程信息系统平台服务器,所述第二信息包括工程建设终端用户的私钥、智慧建设工程系统数据管理者的身份、以及敏感数据的类型;
S400.智慧建设工程信息系统平台服务器根据所述访问凭证定位到对应的访问控制策略,并验证访问控制策略测试方程是否通过,若验证通过,则智慧建设工程信息系统平台服务器授权工程建设终端用户访问智慧建设工程系统数据管理者的相应类型的敏感数据。
2.根据权利要求1所述的面向智慧建设工程信息系统平台的授权访问控制方法,其特征在于,所述S100包括以下步骤:
S101.可信中心设置一个双线性对映射
Figure DEST_PATH_IMAGE002
,其中
Figure DEST_PATH_IMAGE004
Figure DEST_PATH_IMAGE006
Figure DEST_PATH_IMAGE008
阶乘法循环群,
Figure DEST_PATH_IMAGE010
是大素数;
S102.可信中心从
Figure DEST_PATH_IMAGE012
阶乘法循环群
Figure DEST_PATH_IMAGE014
中随机选取一个生成元
Figure DEST_PATH_IMAGE016
S103.可信中心从有限域
Figure DEST_PATH_IMAGE018
中选择一个非零的随机数
Figure DEST_PATH_IMAGE020
作为可信中心的主私钥,并计算可信中心的主公钥
Figure DEST_PATH_IMAGE022
S104.可信中心设置两个安全哈希函数
Figure DEST_PATH_IMAGE024
,其中
Figure DEST_PATH_IMAGE026
是任意长度比特串;
S105.可信中心计算智慧建设工程系统数据管理者对应的私钥
Figure DEST_PATH_IMAGE028
,并将私钥
Figure DEST_PATH_IMAGE030
发送给智慧建设工程系统数据管理者,其中,
Figure DEST_PATH_IMAGE032
是智慧建设工程系统数据管理者的身份,
Figure DEST_PATH_IMAGE034
S106.可信中心分别计算每个工程建设终端用户对应的私钥
Figure DEST_PATH_IMAGE036
,并将私钥
Figure DEST_PATH_IMAGE038
发送给对应的工程建设终端用户,其中,
Figure DEST_PATH_IMAGE040
是工程建设终端用户的身份,
Figure DEST_PATH_IMAGE042
为工程建设终端用户的数量;
S107.可信中心发布系统的公开参数
Figure DEST_PATH_IMAGE044
3.根据权利要求2所述的面向智慧建设工程信息系统平台的授权访问控制方法,其特征在于,所述S200包括以下步骤:
S201.对于每一个工程建设终端用户,智慧建设工程系统数据管理者计算关于类型为
Figure DEST_PATH_IMAGE046
的敏感数据第一授权访问控制属性值
Figure DEST_PATH_IMAGE048
,其中,
Figure DEST_PATH_IMAGE050
是级联符号;
S202.智慧建设工程系统数据管理者设置授权访问控制属性值的集合
Figure DEST_PATH_IMAGE052
S203.智慧建设工程系统数据管理者构造一个在有限域
Figure DEST_PATH_IMAGE054
上的
Figure DEST_PATH_IMAGE056
次多项式
Figure DEST_PATH_IMAGE058
,其中,
Figure DEST_PATH_IMAGE060
是从有限域
Figure DEST_PATH_IMAGE062
中随机选取的辅助参数,
Figure DEST_PATH_IMAGE064
Figure DEST_PATH_IMAGE066
次多项式
Figure DEST_PATH_IMAGE068
的系数,x表示自变量;
S204.智慧建设工程系统数据管理者计算中间变量一
Figure DEST_PATH_IMAGE070
和中间变量二
Figure DEST_PATH_IMAGE072
,并构造
Figure DEST_PATH_IMAGE074
维向量一
Figure DEST_PATH_IMAGE076
S205.智慧建设工程系统数据管理者将访问控制策略
Figure DEST_PATH_IMAGE078
发送到智慧建设工程信息系统平台服务器。
4.根据权利要求3所述的面向智慧建设工程信息系统平台的授权访问控制方法,其特征在于,所述S300包括以下步骤:
S301.工程建设终端用户计算用于访问智慧建设工程信息系统平台服务器的第二授权访问控制属性值
Figure DEST_PATH_IMAGE080
,然后生成交访问凭证
Figure DEST_PATH_IMAGE082
,并将所述访问凭证
Figure DEST_PATH_IMAGE084
发送给智慧建设工程信息系统平台服务器。
5.根据权利要求4所述的面向智慧建设工程信息系统平台的授权访问控制方法,其特征在于,所述S400包括以下步骤:
S401.智慧建设工程信息系统平台服务器根据工程建设终端用户提交的访问凭证
Figure DEST_PATH_IMAGE086
提取出智慧建设工程系统数据管理者的身份
Figure DEST_PATH_IMAGE088
和敏感数据的类型
Figure DEST_PATH_IMAGE090
,并定位到访问控制策略
Figure DEST_PATH_IMAGE092
S402.智慧建设工程信息系统平台服务器设置
Figure DEST_PATH_IMAGE094
维向量二
Figure DEST_PATH_IMAGE096
,并根据访问控制策略
Figure DEST_PATH_IMAGE098
检验以下访问控制策略测试方程是否成立:
Figure DEST_PATH_IMAGE100
其中,
Figure DEST_PATH_IMAGE102
是转置符号;
S403.若访问控制策略测试方程成立,则验证通过,智慧建设工程信息系统平台服务器授权工程建设终端用户访问智慧工程建设系统数据管理者的类型为
Figure DEST_PATH_IMAGE104
的敏感数据。
CN202210370865.1A 2022-04-11 2022-04-11 面向智慧建设工程信息系统平台的授权访问控制方法 Active CN114465824B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210370865.1A CN114465824B (zh) 2022-04-11 2022-04-11 面向智慧建设工程信息系统平台的授权访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210370865.1A CN114465824B (zh) 2022-04-11 2022-04-11 面向智慧建设工程信息系统平台的授权访问控制方法

Publications (2)

Publication Number Publication Date
CN114465824A true CN114465824A (zh) 2022-05-10
CN114465824B CN114465824B (zh) 2022-06-17

Family

ID=81417538

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210370865.1A Active CN114465824B (zh) 2022-04-11 2022-04-11 面向智慧建设工程信息系统平台的授权访问控制方法

Country Status (1)

Country Link
CN (1) CN114465824B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116032495A (zh) * 2023-03-28 2023-04-28 四川高速公路建设开发集团有限公司 基于智慧交通系统的车云协同安全传输数据异常检测方法
CN116827686A (zh) * 2023-08-28 2023-09-29 晨越建设项目管理集团股份有限公司 一种基于云-边协同的智慧社区系统数据异常检测方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104780175A (zh) * 2015-04-24 2015-07-15 广东电网有限责任公司信息中心 基于角色的分级分类访问的授权管理方法
CN106789996A (zh) * 2016-12-12 2017-05-31 墨宝股份有限公司 一种智能电网用户访问授权控制方法
US20180007059A1 (en) * 2014-09-30 2018-01-04 Citrix Systems, Inc. Dynamic Access Control to Network Resources Using Federated Full Domain Logon
CN107864139A (zh) * 2017-11-09 2018-03-30 北京科技大学 一种基于动态规则的密码学属性基访问控制方法与系统
US20200014691A1 (en) * 2018-05-28 2020-01-09 Royal Bank Of Canada System and method for storing and distributing consumer information
CN111783128A (zh) * 2020-07-24 2020-10-16 国网湖南省电力有限公司 可验证的分布式数据库访问控制方法
CN112737785A (zh) * 2021-01-06 2021-04-30 江西清能高科技术有限公司 一种用于复杂访问策略的属性基加密方法、系统及设备
CN112989375A (zh) * 2021-03-05 2021-06-18 武汉大学 一种分级优化加密无损隐私保护方法
CN114003586A (zh) * 2021-11-19 2022-02-01 华讯高科股份有限公司 一种智慧教育大数据平台建设方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180007059A1 (en) * 2014-09-30 2018-01-04 Citrix Systems, Inc. Dynamic Access Control to Network Resources Using Federated Full Domain Logon
CN104780175A (zh) * 2015-04-24 2015-07-15 广东电网有限责任公司信息中心 基于角色的分级分类访问的授权管理方法
CN106789996A (zh) * 2016-12-12 2017-05-31 墨宝股份有限公司 一种智能电网用户访问授权控制方法
CN107864139A (zh) * 2017-11-09 2018-03-30 北京科技大学 一种基于动态规则的密码学属性基访问控制方法与系统
US20200014691A1 (en) * 2018-05-28 2020-01-09 Royal Bank Of Canada System and method for storing and distributing consumer information
CN111783128A (zh) * 2020-07-24 2020-10-16 国网湖南省电力有限公司 可验证的分布式数据库访问控制方法
CN112737785A (zh) * 2021-01-06 2021-04-30 江西清能高科技术有限公司 一种用于复杂访问策略的属性基加密方法、系统及设备
CN112989375A (zh) * 2021-03-05 2021-06-18 武汉大学 一种分级优化加密无损隐私保护方法
CN114003586A (zh) * 2021-11-19 2022-02-01 华讯高科股份有限公司 一种智慧教育大数据平台建设方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张远云等: "构建智慧城市密码保障体系推动密码在智慧城市中的应用发展", 《信息安全与通信保密》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116032495A (zh) * 2023-03-28 2023-04-28 四川高速公路建设开发集团有限公司 基于智慧交通系统的车云协同安全传输数据异常检测方法
CN116827686A (zh) * 2023-08-28 2023-09-29 晨越建设项目管理集团股份有限公司 一种基于云-边协同的智慧社区系统数据异常检测方法
CN116827686B (zh) * 2023-08-28 2023-11-17 晨越建设项目管理集团股份有限公司 一种基于云-边协同的智慧社区系统数据异常检测方法

Also Published As

Publication number Publication date
CN114465824B (zh) 2022-06-17

Similar Documents

Publication Publication Date Title
CN109922077B (zh) 一种基于区块链的身份认证方法及其系统
CN114465824B (zh) 面向智慧建设工程信息系统平台的授权访问控制方法
CN112532588B (zh) 一种基于区块链的策略隐藏型数据访问控制方法
CN113783836A (zh) 基于区块链和ibe算法的物联网数据访问控制方法及系统
CN108965342B (zh) 数据请求方访问数据源的鉴权方法及系统
CN103259663A (zh) 一种云计算环境下的用户统一认证方法
JPH09128337A (ja) コンピュータ・ネットワークにおけるマスカレード・アタック保護方法及びその装置
CN109359464B (zh) 一种基于区块链技术的无线安全认证方法
CN101938473A (zh) 单点登录系统及单点登录方法
US10050789B2 (en) Kerberos preauthentication with J-PAKE
CN101132281A (zh) 一种防止密钥被窃取的网络安全认证系统
CN104378374A (zh) 一种基于安全套接层建立通信的方法及系统
CN112671720A (zh) 一种云平台资源访问控制的令牌构造方法、装置及设备
CN102307093A (zh) 一种生成双因数动态口令的方法
CN114513786A (zh) 基于零信任的5g馈线自动化访问控制方法、装置及介质
CN115459992A (zh) 资源访问请求的处理方法、装置、存储介质及电子设备
CN104813607B (zh) 用于专用网络的基于电子集合的两级访问控制方法和装置
CN116827821B (zh) 基于区块链云应用程序性能监控方法
Purchina et al. Securing an Information System via the SSL Protocol.
CN116170806A (zh) 一种智能电网lwm2m协议安全访问控制方法及系统
Veena et al. A cost-effective 2-tier security paradigm to safeguard cloud data with faster authentication
Song et al. A trusted authentication model for remote users under cloud architecture
Sun et al. Identity Authentication Protocol of Smart Home IoT based on Chebyshev Chaotic Mapping
US11741217B1 (en) Systems and methods for managing multiple valid one time password (OTP) for a single identity
Karmakar et al. Software-Defined Access Control in Smart Grids

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant