一种基于跨域通信的属性加密系统及方法技术方案

本发明专利技术属于数据安全技术领域，公开了一种基于跨域通信的属性加密系统及方法，该系统包括跨域协商模块

【技术实现步骤摘要】
一种基于跨域通信的属性加密系统及方法


[0001]本专利技术属于数据安全
，具体涉及一种基于跨域通信的属性加密系统及方法
。

技术介绍

[0002]在云计算
、
大数据的应用已十分常见，这些场景中通常需要在不同的安全域之间共享数据来实现信息通信与合作
。
在不同域间进行安全的数据共享需要跨域数据加密技术，因此，跨域数据加密是必要的
。
首先，跨域数据加密能够保护数据隐私，随着数据共享的需求越来越大，不同机构之间需要共享敏感数据，但是数据又不能被随意泄露
。
因此，跨域数据加密技术可以实现在数据共享的同时，保护数据的隐私和机密性
。
其次，该技术避免数据被篡改，在数据传输过程中，数据可能会被篡改，导致数据的准确性和完整性受到破坏
。
跨域数据加密技术可以确保数据在传输过程中不被篡改，从而保证数据的完整性
。
再次，跨域数据加密技术可以实现数据权限控制，即只有获得特定权限的用户才能够访问和使用特定数据，这可以保证数据的安全性和机密性
。
而后，跨域数据加密技术可以实现对加密数据的计算，而不需要将数据解密，这可以避免数据泄露的风险
。
由此可见，跨域数据加密技术可以帮助不同机构之间共享敏感数据，同时保护数据的隐私和机密性，并实现数据的完整性和权限控制，从而在保证数据安全的同时促进数据共享和合作
。
[0003]由于数据需要在不同的安全域之间传输和共享，因此传统的数据加密技术不能直接使用
。
目前的跨域数据加密技术主要通过引入属性加密技术来解决跨域数据共享中的访问控制问题
。
属性加密技术
(attribute
‑
based encryption
，简称：
ABE)
是一种基于属性的访问控制技术，它可以根据用户所拥有的属性来对加密数据进行访问控制
。
与传统的基于身份的加密技术不同，属性加密不需要事先确定用户的身份，而是通过判断用户是否满足指定的属性来决定是否允许访问加密数据
。
它允许数据发送者对数据进行加密并指定访问策略，只有满足访问策略中的所有属性的用户才能解密数据
。
它的特点是密钥生成过程中使用访问策略来生成私钥，可以控制访问策略的复杂度和属性的个数，可以对访问策略加密，使数据接收者无法得知访问策略的内容
。
这种技术在跨域数据共享中特别有用，因为它可以根据用户的属性控制对数据的访问，而不需要在不同的安全域之间传输用户的身份信息
。
通过使用属性加密技术，可以根据用户的属性来实现具有细粒度，灵活性和可拓展性的访问控制
。
目前，尽管对于上述属性加密的方法，在互联网场景下的访问控制机制中被广泛研究，但在跨域交互场景下的研究依然有所欠缺
。
[0004]现有技术存在如下不足：
[0005]跨域数据访问的可拓展性差
。
传统的属性加密方法无法满足在数据跨域访问场景中有多权限中心的情况，在这种情况下不同的属性权限被多个管理者授权
。
在跨域数据访问场景中通常有多个授权中心协同管理属性和策略，以保证数据的安全性和可访问性
。
而传统的属性加密方法只适用于单授权中心模式，无法适应在跨域数据访问场景的多授权中心模式或者混合模式时的数据访问需求，其可拓展性和适用性差
。
跨域数据访问的可拓展
性差会影响到数据的可靠性和安全性，还会增加数据管理和维护的困难
。
此外，跨域数据访问的场景中，需要考虑不同安全域和边界的安全性和互通性
。
而传统的属性加密方法无法实现在跨越不同安全域的数据访问过程中的安全性保障和可拓展性
。
[0006]跨域访问取证困难
。
传统的属性加密机制在数据跨域访问场景下，由于没有实现追踪溯源功能，会给跨域访问的安全性带来一定的风险
。
在跨域场景中，用户请求量通常比较大，且用户可能处于不同的安全域，访问策略和管理也相对复杂
。
如果跨域访问发生了恶意用户篡改或盗取数据的安全问题，这时需要通过追踪用户的密钥滥用行为
、
定位恶意用户等方式进行取证，并及时采取措施防止类似问题的再次发生
。
传统的属性加密机制没有实现跨域访问数据的追踪溯源功能，这意味着无法对跨域访问的安全问题进行有效的取证和定位，从而增加了跨域访问的安全风险
。
因此，为了提高跨域访问的安全性，在设计跨域数据加密方案时，需要考虑如何实现追踪取证功能
。
[0007]跨域访问效率低
。
传统的属性加密方法通常没有对用户进行信任划分，这意味着在跨域访问场景中，系统需要进行复杂的协商
、
认证和密钥分发等操作来确保访问的安全性和正确性
。
这些过程需要涉及多个授权中心
、
用户和服务器之间的通信和交互，增加了跨域访问的复杂度和难度，降低了跨域访问的效率
。
[0008]对于跨域访问场景中的多授权中心
、
多用户
、
多属性权限等复杂情况，传统的属性加密方法没有对用户进行信任划分，没有简化对用户的跨域协商，属性认证，密钥分发等操作，难以提供简便高效的解决方案
。
这增加了系统的开销，导致跨域访问效率低和性能下降
。

技术实现思路

[0009]本专利技术的目的是提出一种新的基于跨域通信的属性加密系统及方法，通过设计跨域授权模式协商
、
跨域设置
、
跨域加解密和跨域取证机制，在大规模动态化的数据跨域访问场景中，可以灵活地应对各种不同的安全需求，提高数据跨域访问的效率
、
可拓展性和安全性
。
[0010]为了达到上述目的，本专利技术提供如下的技术方案：
[0011]一种基于跨域通信的属性加密系统，其包括：跨域协商模块
、
跨域设置模块
、
跨域加密模块和跨域取证模块；
[0012]所述跨域协商模块用于实现跨域请求认证和跨域属性授权模式协商；
[0013]所述跨域设置模块用于设置全局设置算法和授权算法；
[0014]所述跨域加密模块包括跨域密钥生成组件和跨域加解密组件，用于实现跨域密钥生成和跨域加解密功能；
[0015]所述跨域取证模块用于实现跨域追踪取证，信任划分和策略更新功能
。
[0016]进一步地，所述跨域请求认证包括数据用户对数据拥有所在域发送跨域请求信息
。
[0017]进一步地，所述跨域属性授权模式协商具体包括：数据拥有所在域对跨域请求进行认证，并返回数据拥有所在域的属性权限中心本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种基于跨域通信的属性加密系统，其特征在于，其包括：跨域协商模块
、
跨域设置模块
、
跨域加密模块和跨域取证模块；所述跨域协商模块用于实现跨域请求认证和跨域属性授权模式协商；所述跨域设置模块用于设置全局设置算法和授权算法；所述跨域加密模块包括跨域密钥生成组件和跨域加解密组件，用于实现跨域密钥生成和跨域加解密功能；所述跨域取证模块用于实现跨域追踪取证，信任划分和策略更新功能
。2.
根据权利要求1所述的基于跨域通信的属性加密系统，其特征在于，所述跨域请求认证包括数据用户对数据拥有所在域发送跨域请求信息
。3.
根据权利要求1所述的基于跨域通信的属性加密系统，其特征在于，所述跨域属性授权模式协商具体包括：数据拥有所在域对跨域请求进行认证，并返回数据拥有所在域的属性权限中心的模式；所述跨域属性授权模式协商包括数据拥有者依据接收到的属性权限管理信息，向数据拥有者所在域的多权限中心发送认证请求，多权限中心将认证跨域用户及用户属性并返回信息
。4.
根据权利要求3所述的基于跨域通信的属性加密系统，其特征在于，所述全局设置算法具体包括：输入一个安全参数，输出一个全局公共参数，并将所述全局公共参数分配给所有的参与实体，即所述所有的参与实体的加解密相关计算与所述公共参数相关；所述授权算法具体包括：可信第三方设置算法和属性权限中心设置算法；所述可信第三方设置算法由第三方运行带有签名的密钥生成算法，并生成与公共参数和相应的主密钥，其中所述公共参数只提供给属性权限中心使用；所述属性权限中心算法由每个属性权限中心管理它的属性集合和全局参数作为输入，获取属性权限中心的公钥和属性权限中心的主密钥
,
每个属性权限中心还拥有一个二叉树，在所述二叉树中，每个节点都与一个不同的加密密钥相关联，每个叶节点都由一个用户标记
。5.
根据权利要求4所述的基于跨域通信的属性加密系统，其特征在于，所述跨域密钥生成组件包括属性密钥生成算法和可信密钥生成算法，通过运行所述可信密钥生成算法，可信第三方会向数据用户发出与身份相关的密钥，然后，每个属性权限中心
AA
运行属性密钥生成算法，给数据用户发出属性相关的密钥；可信第三方主要验证属性权限中心和数据用户，并为每个属性权限中心和数据用户发放相应
id
，通过用户
id
将具有相同权限
id
的属性密钥连接成属性密钥串，实现基于多权限中心的属性加解密；所述可信密钥生成算法输入数据用户的用户
id
，生成解密密钥，与用户的用户
id
相关的私钥和公钥，私钥用于解密，公钥用于属性权限中心生成与属性相关的密钥；所述属性密钥生成算法通过输入与用户相关联的属性
、
公共参数
、
主密钥和属性权限中心生成的公钥和密钥，经过属性权限中心的运算，如果属性权限中心的公钥无效则输出
⊥
，如果有效，则生成对应于属性集的数据用户的私钥，向用户发送属性信息，并将该用户与所述属性权限中心的属性二叉树关联起来
。6.
根据权利要求4所述的基于跨域通信的属性加密系统，其特征在于，所述跨域加解密组件由跨域属性加密和跨域解密两个算法组成；
所述跨域加密算法获取消息
M
，访问策略，公共参数和属性权限中心的公钥集，生成密文
CT
，其中访问策略是由数据拥有者制定的一个
LSSS
矩阵，将每行与属性关联起来；...

【专利技术属性】
技术研发人员：殷丽华，李超，许皓珊，田志宏，程朝辉，方滨兴，
申请(专利权)人：广州大学，
类型：发明
国别省市：