[发明专利]智慧城市环境下多物联网域的跨域访问控制方法

权利要求书

1.一种智慧城市环境下多物联网域的跨域访问控制方法，其特征在于，所述智慧城市环境下多物联网域的跨域访问控制方法包括以下步骤：

第一步，在起始阶段对系统进行初始化；包括全局参数初始化、属性授权中心初始化和用户密钥生成，系统初始化具体包括：

步骤一，全局设置算法在每个域中分别运行，使用j来表示每个域的数目，全局设置算法接受一个属性集AS_j，该属性集涉及系统的每个域；选择一个随机素数p_j作为素数阶，选择一个生成器g_j在系统的每个域中生成双线性群的G_j：

GP_j＝{p_j,g_j}；

HASH函数H_j被定义为将任何描述为二进制字符串的属性i映射中的随机组元素；

步骤二，权限设置算法在每个域中分别运行，选择一个随机指数a_j，生成公钥和私钥，如下所示：

步骤三，由于数据申请者DU_j想要访问数据，从自己域中的相关属性授权中心AAs获取解密密钥，i是属性集S_DU中的一个属性，该属性将属性i与用户标识符配对，并发送到相应的属性授权AA，AA获取DU发送的数据，并首先确定它是否是合法用户；如果属性i不包含AA证书，AA将拒绝DU应用程序；如果它是合法用户，AA将计算解密密钥：接受属于DU的属性集S_DU的公钥PK_j、密钥SK_j和属性i；选择一个随机数并生成解密密钥DK为：

有n个域，选择其中的两个域，分别命名为D_A和D_B；数据所有者DO_A和数据用户DU_A在域A中，数据用户DU_B在域B中；

第二步，数据拥有者用对称加密算法加密明文，基于属性加密对称密钥；在利用属性基加密技术的时候，在加密代理服务器的配合下完成高效的加密方式，具体包括：

步骤一，DO_A使用随机对称密钥KF加密消息m，并获取密文CF；

步骤二，在共域下，加密算法由DO_A在加密代理服务器EPS的配合下执行，访问控制结构由DO_A制定，对对称密钥KF进行加密；M是一个n×ι矩阵，ρ是一个将M的行映射到属性的函数；选择一个随机数作为共享秘密随机数构成向量对于从1到n的每个从1到n，选择一个随机数然后密钥密文CT：

DO_A计算C和C′，然在EPS的协作下，计算其余密钥密文CT、C_i和D_i；

对于C_i，EPS使用算法计算：

DO_A随机产生

然后按以下随机顺序查询EPS(U)：

η_i＝(α₃-ζ)/α₂.；

其中d_i是从中随机选择的，x是一个随机值，DO_A为每一个i计算然后，EPS将这五个输出应答EPS发送到DO_A；

DO_A检查答案EPS的正确性：

那么DO_A表示EPS是诚实的，并且DO_A计算：

否则，表示EPS给出了错误的答案，因此DO_A输出⊥；然后DO_A使用算法计算D_i，并得到密钥密文CT；

步骤三，DO_A将{CF,CT}发送到CSP_A进行保存；

第三步，当数据拥有者和申请数据的用户在同一个物联网域内时，属于共域情况下的数据访问控制；合法用户从云服务器获取数据拥有者加密后的密文，在解密代理服务器的帮助下基于属性解密获得对称密钥，再利用对称密钥解密获得明文，共域下的数据解密具体包括：

步骤一，数据用户DU_A在域A中，DU_A将应用程序发送到CSP_A，当DU_A是域A中的合法用户将获得密文CF和密钥密文CT；

步骤二，解密算法由DU_A和解密代理服务器DPS一起执行；DU_A在两个随机数中选择，并在选择一个K_j，属性是解密CT的必要属性；然后DU_A分别生成两个转换键TK₁,TK₂和两个对应的检索键RK₁,RK₂；

RK₁＝z₁

RK₂＝z₁z₂；

然后DU_A将TK₁发送到DPS₁，并将TK₂发送到DPS₂；

如果属性集合满足访问结构(M,ρ),对每一个DPS_i(i＝1,2)设置一个常数集并计算

DPS₁计算一个解密密钥密文DCT1，如下所示：

DPS₂计算另一个解密密钥密文DCT2，如下所示：

然后DU_A从DPSs中获取解密密钥密文DCT＝(DCT1,DCT2)，对于每个选定的属性j计算：

or

然后DU_A检查：

如果方程不相等，DU_A输出⊥；否则，DPS1和DPS2的输出是正确的，然后DU_A计算：

步骤三，DU_A使用KF解密密文CF以获取消息m；

第四步，当数据拥有者和申请数据的用户在不同物联网域内时，属于多域情况下的数据访问控制；可信第三方用对称加密算法加密明文；基于属性加密对称密钥；在利用属性基加密技术的时候，在数据拥有者和加密代理服务器的配合下完成高效的加密方式，不同域下的数据解密具体包括：

步骤一，DO_A使用随机对称密钥KF’加密消息m，并获取密CF’；

步骤二，数据用户DU_B位于域B中；DU_B首先将应用程序发送到CSP_A；DU_B无法获得密文CF和密钥密文CT，因为DU_B不是域A中的合法用户，DU_B将应用程序发送到可信第三方TTP；

在不同的域下，加密算法由TTP执行，DO_A和EPS的合作；如果它是一个跨域的情况，DU_B是域B中的合法用户，TTP选择一个随机数作为共享秘密然后发送和PK_B到域A中的DO_A；

DO_A计算：

然后DO_A发送C和CF’到TTP；

访问控制结构由TTP制定，用于加密对称密钥KF’；M是n×ι矩阵，ρ是将M的行映射到属性的函数；TTP选择随机数组成一个向量对于从1到n的每个从1到n选择随机数然后选择密钥密文CT’：

TTP计算C，然后其余密钥密文CT，C_i和D_i，分别计算在EPS(U)的合作；

对于C_i，EPS使用算法计算：

TTP随机给出

然后按以下随机顺序查询EPS(U)：

其中d_i是从中随机选择的，x是一个随机值，TTP为每一个i计算然后EPS将这个五个输出应答(EPS)发送到TTP；

TTP检查答案的正确性EPS：

然后TTP表示EPS是诚实的，并且TTP计算：

否则，它表示EPS给出了错误的答案，因此TTP输出⊥；TTP使用算法计算D_i，并获得密钥密文CT’；

步骤三，TTP将{CF′,CT′}发送到DU_B；

第五步，用户从可信第三方获得加密后的密文，在解密代理服务器的帮助下基于属性解密获得对称密钥，再利用对称密钥解密获得明文，实现跨域访问数据，不同域下的数据解密具体包括：

步骤一，解密算法由DU_B和DPS一同执行；DU_B选择两个随机数，并在中选择K_j，属性必须是解密CT’的必要属性；DU_B分别生成两个转换键TK₁,TK₂和两个对应的检索键RK₁,RK₂；

RK₁＝z₁

RK₂＝z₁z₂；

然后DU_B将TK₁发送到DPS₁，并将TK₂发送到DPS₂；

如果属性集S_DUB满足访问结构(M,ρ),对每一DPS_i(i＝1,2)有常数集计算

DPS₁计算一个解密密钥密文DCT1，如下所示：

DPS₂计算另一个解密密钥密文DCT2，如下所示：

然后DU_B从DPSs中获取解密密钥密文DCT＝(DCT1,DCT2)，对于每个选定的属性j计算：

or

然后DU_B检查：

如果方程不相等，DU_B输出⊥；否则，DPS1和DPS2的输出是正确的，然后DU_B计算：

步骤二，使用KF'解密密文CF'以获取消息m。