支持跨域数据共享的访问控制系统及方法、无线通信系统技术方案

本发明专利技术属于无线通信网络技术领域，公开了一种支持跨域数据共享的访问控制系统及方法、无线通信系统，域A中需要共享数据的用户选择椭圆曲线参数，生成ECC密钥对；域B的全局认证中心CA生成全局公共参数；域B中的代理节点使用域A用户的ECC公钥将系统公钥和属性集加密；域A用户使用自己的ECC私钥解密来自域B的数据，上传到公共云端；合法用户向公共云端发出文件访问请求；当发生用户撤销时，代理服务器将根据用户的全局标识符查找其对应的属性私钥列表并删除。本发明专利技术在同等密钥长度情况下，安全性高。充分发挥代理节点计算能力强的特点，完成一些数据的预处理工作，同时帮助用户进行部分解密，提高用户解密效率。

Access control system, method and wireless communication system supporting cross domain data sharing

【技术实现步骤摘要】
支持跨域数据共享的访问控制系统及方法、无线通信系统
本专利技术属于无线通信网络
，尤其涉及一种支持跨域数据共享的访问控制系统及方法、无线通信系统。
技术介绍
为了网络资源的安全和统一管理，计算机网络总是被划分为许多独立的自治管理域。在不同的域中，用户和资源使用不同的策略进行管理。例如，所有的政府，银行以及社交网络都有各自的管理和服务系统，它们分别称为一个管理域。随着信息技术地快速发展，用户对数据共享的需求也在逐渐增长。单一域内的数据共享已经不能满足用户的需求，某一用户需要的数据可能在另一个管理域中。例如，一个微信用户想要共享数据给QQ用户，同时，他希望只有年龄在18岁以上的男性用户才可以访问这些数据。因此，急需一种安全的方式来实现不同域之间的数据共享以及数据访问控制。目前，大多方案都是通过PKI机制来实现跨域认证，但是这仅仅能实现一对一认证。在PKI机制中，用户的公钥与数字证书进行绑定，所以公钥与数字证书是一一对应关系，随着用户的增加，数字证书管理势必会成为一项开销很大的任务。同时，跨域认证前必须先去认证中心CA验证公钥的合法性，本文档来自技高网...

【技术保护点】
1.一种支持跨域数据共享的访问控制方法，其特征在于，所述支持跨域数据共享的访问控制方法包括以下步骤：/n第一步，域A中需要共享数据的用户选择椭圆曲线参数，生成ECC密钥对，并通过代理节点以及云服务提供商转发共享数据请求，最终到达域B；/n第二步，域B的全局认证中心CA生成全局公共参数，并为所有的属性授权机构和合法用户分配唯一的身份标识符；同时，所有的属性授权机构完成初始化；/n第三步，域B中属性授权机构根据用户的属性为其生成相应的属性私钥与解密私钥，且属性私钥被其身份标识符唯一标识，将属性私钥上传到代理服务器，解密私钥由用户自己保存；/n第四步，域B中的代理节点使用域A用户的ECC公钥将系统公...

【技术特征摘要】
1.一种支持跨域数据共享的访问控制方法，其特征在于，所述支持跨域数据共享的访问控制方法包括以下步骤：
第一步，域A中需要共享数据的用户选择椭圆曲线参数，生成ECC密钥对，并通过代理节点以及云服务提供商转发共享数据请求，最终到达域B；
第二步，域B的全局认证中心CA生成全局公共参数，并为所有的属性授权机构和合法用户分配唯一的身份标识符；同时，所有的属性授权机构完成初始化；
第三步，域B中属性授权机构根据用户的属性为其生成相应的属性私钥与解密私钥，且属性私钥被其身份标识符唯一标识，将属性私钥上传到代理服务器，解密私钥由用户自己保存；
第四步，域B中的代理节点使用域A用户的ECC公钥将系统公钥和属性集加密，经过云服务提供商和代理节点的确认转发，到达域A用户；
第五步，域A用户使用自己的ECC私钥解密来自域B的数据，并最终用域B的系统公钥和属性集加密要共享的数据，上传到公共云端；同时为数据制定详细的访问策略，确保只有具有某些特定属性的用户才可解密；
第六步，合法用户向公共云端发出文件访问请求，云收到请求后，验证用户属性是否满足访问策略；若满足，则返回对应的密文到代理服务器，代理服务器使用对应的属性密钥完成部分解密，并将部分解密后的密文发送给用户；否则，返回不满足访问策略响应；用户得到密文后，使用其解密私钥完成解密；
第七步，当发生用户撤销时，代理服务器将根据用户的全局标识符查找其对应的属性私钥列表并删除，失去了属性私钥，该用户则无法解密。


2.如权利要求1所述的支持跨域数据共享的访问控制方法，其特征在于，所述第一步的域A用户初始化具体包括：
步骤一，域A用户选取合适的参数a,b,p建立椭圆曲线Ep(a,b)，并选取椭圆曲线上的一点Q作为基点，紧接着随机选取私钥SK＝{K}作为私钥，并计算P＝KQ得到椭圆曲线上的另外一个点，并最终确定公钥为PK＝{Ep(a,b),Q,P}；
步骤二，用户将生成的公钥PK以及向域B共享数据的请求发送给域A的代理节点，域A的代理节点通过云服务提供商将PK和请求发送到域B的代理节点。


3.如权利要求1所述的支持跨域数据共享的访问控制方法，其特征在于，所述第二步的域B初始化具体包括：
步骤一，域B中的全局认证中心CA选取两个阶为p的乘法循环群G和GT，g为G的生成元，双线性映射为e:G×G→GT，并选择哈希函数H:{0,1}*→Zp，CA再选择一个随机数β∈Zp作为系统主密钥MSK，并且计算h＝gβ；
此外，所有授权中心和用户都需要向CA注册，获得自己的身份标识符；CA会为系统中每个合法的授权中心颁发一个全局唯一的身份标识aid，为每个合法用户颁发一个全局唯一的身份标识uid；
步骤二，属性授权中心AA初始化，AAaid管理的属性集定义为Said，AAaid首先选择随机数yk∈Zp作为其主密钥，即SKaid＝{yk}；接着计算并将Yk发送给CA；
步骤三，CA收到系统中所有合法AA发来yk后，计算：



然后生成全局公共参数为：
GP＝{G,g,h,f＝g1/β,e(g,g)y}。


4.如权利要求1所述的支持跨域数据共享的访问控制方法，其特征在于，所述第三步的域B用户密钥生成具体包括：
步骤一，域B中的用户向管理其属性的AAaid提交自己的属性集合Suid，AAaid首先选择一个随机数r∈Zp，接着选择随机数rj∈Zp；并为用户计算yuid＝H(uid)，作为其解密私钥DSKuid，计算用户的属性私钥如下：



步骤二，生成的属性私钥SKaid,uid交给代理服务器保管，解密私钥DSKuid由用户自己保管。
<...

【专利技术属性】
技术研发人员：樊凯，潘强，白宇晗，刘婷婷，李晖，
申请(专利权)人：西安电子科技大学，
类型：发明
国别省市：陕西;61