[发明专利]一种大型合作网络的访问控制机制及其实现方法有效
| 申请号: | 201810253615.3 | 申请日: | 2018-03-26 |
| 公开(公告)号: | CN108600174B | 公开(公告)日: | 2020-07-28 |
| 发明(设计)人: | 张选平;樊兴;王嘉寅 | 申请(专利权)人: | 西安交通大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 西安通大专利代理有限责任公司 61200 | 代理人: | 高博 |
| 地址: | 710049 陕*** | 国省代码: | 陕西;61 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 大型 合作 网络 访问 控制 机制 及其 实现 方法 | ||
1.一种大型合作网络访问控制系统的实现方法,其特征在于,大型合作网络访问控制系统包括认证中心、网络服务器、数据拥有者、数据传播者和数据访问者,认证中心用于生成系统运行参数,提供注册、属性管理和分配密钥服务;网络服务器用于为用户提供数据服务;数据拥有者用于定义数据的访问权限和传播权限;当用户满足所述传播权限时,则以数据传播者的身份进行数据传输,数据访问者用于从所述网络服务器中获取并访问所述数据;所述数据采用两阶密文结构,由所述数据拥有者创建并由所述数据传播者补充;所述密文结构对应的密文分两步创建,第一步,对数据和数据简介使用内容密钥进行加密;第二步,使用访问结构对内容密钥进行加密;所述访问结构包括数据访问结构和数据目录项访问结构两层,所述数据访问者同时满足所述数据的访问结构和数据目录项的访问结构才能够访问所述数据,满足所述数据目录项访问结构的所述数据传播者能够将数据传输给其他用户;所述数据访问结构由所述数据拥有者创建,使用访问树结构,树中叶子节点代表的属性要求在全局范围内可识别;所述数据目录项访问结构包括传播访问结构和用户自定义访问结构;所述传播访问结构为一个析取范式,析取范式中的每个子句都是传播路径中一种可能的分支,存放本条传播路径的数据传播者需要满足的规则;所述用户自定义访问结构由所述数据拥有者创建,作为数据拥有者补充所述网络服务器,用于圈定特殊的联系人;所述认证中心将密钥按属性分为A、B、C三类属性,所述A类属性为用户个体的固有属性,全局可识别,被用于定义数据文件的访问结构;所述B类属性为所述网络服务器定义的用于描述用户间联系的基本关系类型,全局可识别,被用于定义数据传播的访问结构;所述C类属性为所述网络服务器注册时设定的每个用户自由申请属性的最大值,局部识别,被用于定义含有用户特殊要求的访问结构;每个所述属性包括一个识别码和随机私钥,所述识别码用于在计算中所述属性的快速查找,所述属性随机私钥构成访问结构和密文的基础,将所述属性的作用范围添加到密钥中和所述属性随机私钥共同构成所述密钥;所述密钥采用u和v生成一个Boneh-Boyen-style类型的哈希函数其中,u为作用范围,u和v都是随机生成的群生成元,r为属性私钥,ruid是为每个数据拥有者生成的随机指数;包括以下步骤:
S1、系统初始化:认证中心建立算法CASetup(1λ)生成系统参数SP,得到系统主密钥SMK,建立属性全域所述认证中心给属性全域中的属性分发私钥其中,bi是中的随机变量,注册在线社交网络,用户在所述认证中心中注册得到电子身份和用户公钥/私钥(UPK/USK);
S2、密钥生成:每个用户从步骤S1所述认证中心处申请密钥,所述认证中心收到所述用户发送的请求后,依据属性分类,运行KeyGen(SP,SMK,I,uidowner,USKaccessor)算法,I为用户权限的属性集合,uidowner为目标用户数据拥有者的身份识别码,USKaccessor为数据访问者的私钥,生成算法输出访问密钥SK如下:
其中,D是使用随机数加密后的用户私钥,j1是集合IA中的元素,j2是集合IB或IC中的元素,IA是用户身为个体的固有属性,IB是由OSNs定义的用于描述用户间联系的基本关系类型,IC是由用户自由申请,由用户私钥和A类权限的公钥生成,由用户私钥和B类权限的公钥生成,包含数据所有者的uid的哈希值;
S3、数据加密:数据拥有者选择随机对称密钥作为内容密钥运行对称加密算法对DATA进行加密EK(DATA),将K分为两份可以被传播访问结构和用户自定义访问结构共享的密钥,依据密文结构,定义数据访问结构加密密钥K1,传播访问结构加密K'2,用户自定义访问结构加密K”2,确定所述数据拥有者向在线社交网络服务器提交的密文CT如下:
CT=(CTdata=AS1,EK(DATA),
其中,EK是使用密钥K对数据进行加密,CTdata是验证访问者数据访问权限的密文,AS1是数据访问控制结构,具有全局可作用的性质,CTitem是验证访问者数据传播权限的密文,AS2是数据传播控制结构,具有局部可做用的性质,AS3是数据传播者自定义的权限,是使用密钥K2对数据简介进行加密,DS是数据Owner为数据传播而定义的传播策略;
S4、数据解密:包括解密传播报文数据CTitem和解密原始报文数据CTdata两个阶段,每个阶段包括验证数据访问结构和解密密文,验证阶段在所述在线社交网络服务器端运行,输出一个半解密后的密钥结构给访问者,由访问者进行转换后解密密文,在客户端得到明文数据;
所述验证数据访问结构具体为:调用DecryptStruct(AS1,SK)算法,SK为算法输出访问密钥,如果数据访问者满足数据访问控制结构AS1定义的权限,得到密钥K1,计算加密数据的内容密钥K2为加密明文所使用的对称密钥,访问者获得数据拥有者共享的数据内容DATA=DK(EK(DATA)),其中,DK是使用密钥K解密数据,EK(DATA)是使用密钥K加密后的数据;
S5、信息传播:当用户发起转载数据的请求时,调用Diffuse(SP,DS,CTitem)算法生成数据传播访问结构和用户自定义访问结构,所述用户将密文AS'=(AS'2,AS'3)上传到在线社交网络的服务器中,AS'2为数据传播访问结构,AS'3为用户自定义访问结构,由服务端生成一条数据目录项CT'item,由所述在线社交网络服务端和传播者共同完成信息传播操作;
当访问者的密钥满足数据传播结构定义的权限和用户自定义的权限时,可以查看到所述数据的简介,此时访问者可以选择成为传播者;
当传播下来的传播策略DS还能够为访问者生成新的传播访问结构时,访问者将被允许成为传播者。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西安交通大学,未经西安交通大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810253615.3/1.html,转载请声明来源钻瓜专利网。
