[发明专利]支持跨域数据共享的访问控制系统及方法、无线通信系统

说明书

本发明属于无线通信网络技术领域，公开了一种支持跨域数据共享的访问控制系统及方法、无线通信系统，域A中需要共享数据的用户选择椭圆曲线参数，生成ECC密钥对；域B的全局认证中心CA生成全局公共参数；域B中的代理节点使用域A用户的ECC公钥将系统公钥和属性集加密；域A用户使用自己的ECC私钥解密来自域B的数据，上传到公共云端；合法用户向公共云端发出文件访问请求；当发生用户撤销时，代理服务器将根据用户的全局标识符查找其对应的属性私钥列表并删除。本发明在同等密钥长度情况下，安全性高。充分发挥代理节点计算能力强的特点，完成一些数据的预处理工作，同时帮助用户进行部分解密，提高用户解密效率。

技术领域

本发明属于无线通信网络技术领域，尤其涉及一种支持跨域数据共享的访问控制系统及方法、无线通信系统。

背景技术

为了网络资源的安全和统一管理，计算机网络总是被划分为许多独立的自治管理域。在不同的域中，用户和资源使用不同的策略进行管理。例如，所有的政府，银行以及社交网络都有各自的管理和服务系统，它们分别称为一个管理域。随着信息技术地快速发展，用户对数据共享的需求也在逐渐增长。单一域内的数据共享已经不能满足用户的需求，某一用户需要的数据可能在另一个管理域中。例如，一个微信用户想要共享数据给QQ用户，同时，他希望只有年龄在18岁以上的男性用户才可以访问这些数据。因此，急需一种安全的方式来实现不同域之间的数据共享以及数据访问控制。

目前，大多方案都是通过PKI机制来实现跨域认证，但是这仅仅能实现一对一认证。在PKI机制中，用户的公钥与数字证书进行绑定，所以公钥与数字证书是一一对应关系，随着用户的增加，数字证书管理势必会成为一项开销很大的任务。同时，跨域认证前必须先去认证中心CA验证公钥的合法性，之前的方案只能线上完成跨域认证。我们使用的属性基加密方案中，用户属性作为公钥，不再需要数字证书去绑定，节省了数字证书管理开销。同时，使用属性加密方案可以完成线下认证，最重要的是它可以实现一对多的认证，从而实现一对多的数据共享。

属性基加密(Attribute-Based Encryption，ABE)通过参与方的属性定义访问策略，支持一对多的数据加解密服务，只有属性满足访问策略的参与方才能完成解密，可以实现灵活、细粒度的访问控制。因此，ABE机制能在有效保护数据安全的同时，方便地实现数据的共享，适合云存储环境下数据量大和用户多的特点。访问策略又称为访问结构，通过参与方的属性定义，规定了数据的访问权限，是属性基加密能够实现细粒度访问控制的关键。

然而，现有的方案依旧没有完全解决如何用属性基加密去实现跨域数据共享以及访问控制；(1)不同域之间使用不同的管理策略，也即同一身份在不同域之间标识不同，如何完成不同域之间的身份认证是一个技术难题。(2)在实现跨域数据共享的前提下，如何实现数据的一对多共享，如何将数据共享给特定的群体是一个技术难题。(3)属性基加密中，不同用户可能会共享属性私钥，通过串谋的形式来解密密文，如何抵抗串谋攻击是一个技术难题。(4)使用属性基加密使，由于双线性对的使用，导致用户解密效率较低，如何提升用户解密效率是一个难题。

综上所述，现有技术存在的问题是：

(1)现有的方案不同域之间使用不同的管理策略，也即同一身份在不同域之间标识不同，导致跨域认证困难。

(2)现有的方案在实现跨域数据共享的前提下，不能实现一对多以及对特定群体的数据共享。

(3)现有的方案属性基加密中，不同用户可能会共享属性私钥，导致未授权用户也可以通过合谋的手段来解密密文。

(4)现有的方案使用属性基加密使，由于双线性对的使用，导致用户解密效率较低。

解决上述技术问题的难度：(1)跨域数据共享的技术瓶颈主要在于不同域之间的身份认证，是目前跨域共享技术落地困难的一个重要原因。(2)跨域数据如何进行一对多共享，如何对数据进行访问控制，也是跨域共享不能灵活使用的一个重要原因。(3)属性基加密由于双线性对的使用导致用户解密效率极低，是其难以实际应用的一个重要原因。