本发明涉及物联网信息安全技术领域,具体涉及一种电子产品码的访问控制系统。
背景技术:
电子产品码是一种采用射频电子标签为载体,借助互联网实现信息传递的物品识别代码。在射频电子标签上仅载有电子产品码,而对电子产品码的解析则需通过识别系统完成。相关技术中的电子产品码的识别系统通过标签阅读器扫描贴在物品上的载有电子产品码的标签,提取该标签上存储的电子产品码,并发送给中间件,中间件在对电子产品码进行处理后,通过互联网提交给对象名称解析服务器查找存放此电子产品码的电子产品码信息系统的地址,并通过中间件向标签阅读器返回电子产品码信息系统地址;标签阅读器之后根据此地址访问电子产品码信息系统,并获取存储在电子产品码信息系统中的物品信息。该电子产品码的识别系统通过射频识别技术将物品纳入到网络之中,标签阅读器通过网络可随时任意地访问物品信息,其开放性在带来极大便利的同时,使得电子产品码信息系统中存储的物品信息极易遭受窃取、篡改、删除等攻击。
技术实现要素:
针对上述问题,本发明提供一种电子产品码的访问控制系统
本发明的目的采用以下技术方案来实现:
一种电子产品码的访问控制系统,包括注册机、电子产品码信息系统、标签阅读器、设备验证模块、电子产品码信息解密模块:
(1)注册机,用于生成系统初始的公开参数和主密钥,当接收到注册请求且所述注册请求满足条件时,其为电子产品码信息系统分发系统公开参数,为标签阅读器生成对应的私钥,并在电子产品码信息系统的请求下参与电子产品码信息系统与设备验证模块之间的共享会话密钥的协商;
(2)电子产品码信息系统,用于对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储;
(3)标签阅读器,用于向所述注册机发送所述注册请求,接收所述对应的私钥并存储,之后扫描载有电子产品码的标签,向所述电子产品码信息系统发送标签信息访问请求;
(4)设备验证模块,其存储有表征所述标签阅读器的设备识别码及其对应属性之间对应关系的属性撤销列表,在电子产品码信息系统接收到所述标签信息访问请求时,电子产品码信息系统驱动其查找所述属性撤销列表,验证所述标签阅读器的现有属性是否满足封装好的三重加密密文对应的访问策略,若满足,电子产品码信息解密模块对电子产品码信息系统中对应的三重加密密文执行信息解密,将解密后的电子产品码信息发送给标签阅读器;若不满足,则需要标签阅读器的手持用户输入指纹进行身份验证;若标签阅读器的属性集合和身份验证均无效,则无法完成请求访问。
其中,所述对电子产品码信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为N个访问级别,N的取值范围为[4,8]。
其中,所述电子产品码信息系统对电子产品码信息进行加密,具体为:
1)对预处理后的电子产品码信息m采用由系统的用户属主选取的对称密钥Km进行加密,得到密文Cm:
2)采用由系统的用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,加密时为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用所述共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,电子产品码信息解密模块对电子产品码信息系统中对应的三重加密密文执行信息解密,包括:
1)对用户组属性密钥进行解密,解密时根据封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的电子产品码信息进行解码。
本发明的有益效果为:
1、实现了对电子产品码信息的密文访问控制,弥补了当前电子产品码识别系统在隐私保护方面的不足,可阻止任何非授权标签阅读器对物品信息的非法访问,有效保障了存储在电子产品码信息系统中物品信息的隐私性;
2、对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储,并设置相应的解密算法,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;
3、通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为多个访问级别,减少了电子产品码信息系统的信息存储空间。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1是本发明的结构连接示意图;
图2是本发明电子产品码信息系统的加密运作流程示意图。
附图标记:
注册机1、电子产品码信息系统2、标签阅读器3、设备验证模块4、电子产品码信息解密模块5。
具体实施方式
结合以下实施例对本发明作进一步描述。
实施例1
参见图1、图2,本实施例的电子产品码的访问控制系统,包括注册机1、电子产品码信息系统
2、标签阅读器3、设备验证模块4、电子产品码信息解密模块5:
(1)注册机1,用于生成系统初始的公开参数和主密钥,当接收到注册请求且所述注册请求满足条件时,其为电子产品码信息系统2分发系统公开参数,为标签阅读器3生成对应的私钥,并在电子产品码信息系统2的请求下参与电子产品码信息系统2与设备验证模块4之间的共享会话密钥的协商;
(2)电子产品码信息系统2,用于对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储;
(3)标签阅读器3,用于向所述注册机1发送所述注册请求,接收所述对应的私钥并存储,之后扫描载有电子产品码的标签,向所述电子产品码信息系统2发送标签信息访问请求;
(4)设备验证模块4,其存储有表征所述标签阅读器3的设备识别码及其对应属性之间对应关系的属性撤销列表,在电子产品码信息系统2接收到所述标签信息访问请求时,电子产品码信息系统2驱动其查找所述属性撤销列表,验证所述标签阅读器3的现有属性是否满足封装好的三重加密密文对应的访问策略,若满足,电子产品码信息解密模块5对电子产品码信息系统2中对应的三重加密密文执行信息解密,将解密后的电子产品码信息发送给标签阅读器3;若不满足,则需要标签阅读器3的手持用户输入指纹进行身份验证;若标签阅读器的属性集合和身份验证均无效,则无法完成请求访问。
其中,所述对电子产品码信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为N个访问级别,N的取值范围为[4,8]。
其中,所述电子产品码信息系统3对电子产品码信息进行加密,具体为:
1)对预处理后的电子产品码信息m采用由系统的用户属主选取的对称密钥Km进行加密,得到密文Cm:
2)采用由系统的用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,加密时为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用所述共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,电子产品码信息解密模块5对电子产品码信息系统2中对应的三重加密密文执行信息解密,包括:
1)对用户组属性密钥进行解密,解密时根据封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的电子产品码信息进行解码。
本实施例实现了对电子产品码信息的密文访问控制,弥补了当前电子产品码识别系统在隐私保护方面的不足,可阻止任何非授权标签阅读器对物品信息的非法访问,有效保障了存储在电子产品码信息系统2中物品信息的隐私性;对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储,并设置相应的解密算法,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为多个访问级别,减少了电子产品码信息系统2的信息存储空间,其中设定访问级别个数N=4,信息存储空间相对减少了5%。
实施例2
参见图1、图2,本实施例的电子产品码的访问控制系统,包括注册机1、电子产品码信息系统
2、标签阅读器3、设备验证模块4、电子产品码信息解密模块5:
(1)注册机1,用于生成系统初始的公开参数和主密钥,当接收到注册请求且所述注册请求满足条件时,其为电子产品码信息系统2分发系统公开参数,为标签阅读器3生成对应的私钥,并在电子产品码信息系统2的请求下参与电子产品码信息系统2与设备验证模块4之间的共享会话密钥的协商;
(2)电子产品码信息系统2,用于对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储;
(3)标签阅读器3,用于向所述注册机1发送所述注册请求,接收所述对应的私钥并存储,之后扫描载有电子产品码的标签,向所述电子产品码信息系统2发送标签信息访问请求;
(4)设备验证模块4,其存储有表征所述标签阅读器3的设备识别码及其对应属性之间对应关系的属性撤销列表,在电子产品码信息系统2接收到所述标签信息访问请求时,电子产品码信息系统2驱动其查找所述属性撤销列表,验证所述标签阅读器3的现有属性是否满足封装好的三重加密密文对应的访问策略,若满足,电子产品码信息解密模块5对电子产品码信息系统2中对应的三重加密密文执行信息解密,将解密后的电子产品码信息发送给标签阅读器3;若不满足,则需要标签阅读器3的手持用户输入指纹进行身份验证;若标签阅读器的属性集合和身份验证均无效,则无法完成请求访问。
其中,所述对电子产品码信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为N个访问级别,N的取值范围为[4,8]。
其中,所述电子产品码信息系统3对电子产品码信息进行加密,具体为:
1)对预处理后的电子产品码信息m采用由系统的用户属主选取的对称密钥Km进行加密,得到密文Cm:
2)采用由系统的用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,加密时为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用所述共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,电子产品码信息解密模块5对电子产品码信息系统2中对应的三重加密密文执行信息解密,包括:
1)对用户组属性密钥进行解密,解密时根据封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的电子产品码信息进行解码。
本实施例实现了对电子产品码信息的密文访问控制,弥补了当前电子产品码识别系统在隐私保护方面的不足,可阻止任何非授权标签阅读器对物品信息的非法访问,有效保障了存储在电子产品码信息系统2中物品信息的隐私性;对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储,并设置相应的解密算法,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为多个访问级别,减少了电子产品码信息系统2的信息存储空间,其中设定访问级别个数N=5,信息存储空间相对减少了4.5%。
实施例3
参见图1、图2,本实施例的电子产品码的访问控制系统,包括注册机1、电子产品码信息系统
2、标签阅读器3、设备验证模块4、电子产品码信息解密模块5:
(1)注册机1,用于生成系统初始的公开参数和主密钥,当接收到注册请求且所述注册请求满足条件时,其为电子产品码信息系统2分发系统公开参数,为标签阅读器3生成对应的私钥,并在电子产品码信息系统2的请求下参与电子产品码信息系统2与设备验证模块4之间的共享会话密钥的协商;
(2)电子产品码信息系统2,用于对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储;
(3)标签阅读器3,用于向所述注册机1发送所述注册请求,接收所述对应的私钥并存储,之后扫描载有电子产品码的标签,向所述电子产品码信息系统2发送标签信息访问请求;
(4)设备验证模块4,其存储有表征所述标签阅读器3的设备识别码及其对应属性之间对应关系的属性撤销列表,在电子产品码信息系统2接收到所述标签信息访问请求时,电子产品码信息系统2驱动其查找所述属性撤销列表,验证所述标签阅读器3的现有属性是否满足封装好的三重加密密文对应的访问策略,若满足,电子产品码信息解密模块5对电子产品码信息系统2中对应的三重加密密文执行信息解密,将解密后的电子产品码信息发送给标签阅读器3;若不满足,则需要标签阅读器3的手持用户输入指纹进行身份验证;若标签阅读器的属性集合和身份验证均无效,则无法完成请求访问。
其中,所述对电子产品码信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为N个访问级别,N的取值范围为[4,8]。
其中,所述电子产品码信息系统3对电子产品码信息进行加密,具体为:
1)对预处理后的电子产品码信息m采用由系统的用户属主选取的对称密钥Km进行加密,得到密文Cm:
2)采用由系统的用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,加密时为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用所述共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,电子产品码信息解密模块5对电子产品码信息系统2中对应的三重加密密文执行信息解密,包括:
1)对用户组属性密钥进行解密,解密时根据封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的电子产品码信息进行解码。
本实施例实现了对电子产品码信息的密文访问控制,弥补了当前电子产品码识别系统在隐私保护方面的不足,可阻止任何非授权标签阅读器对物品信息的非法访问,有效保障了存储在电子产品码信息系统2中物品信息的隐私性;对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储,并设置相应的解密算法,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为多个访问级别,减少了电子产品码信息系统2的信息存储空间,其中设定访问级别个数N=6,信息存储空间相对减少了4%。
实施例4
参见图1、图2,本实施例的电子产品码的访问控制系统,包括注册机1、电子产品码信息系统
2、标签阅读器3、设备验证模块4、电子产品码信息解密模块5:
(1)注册机1,用于生成系统初始的公开参数和主密钥,当接收到注册请求且所述注册请求满足条件时,其为电子产品码信息系统2分发系统公开参数,为标签阅读器3生成对应的私钥,并在电子产品码信息系统2的请求下参与电子产品码信息系统2与设备验证模块4之间的共享会话密钥的协商;
(2)电子产品码信息系统2,用于对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储;
(3)标签阅读器3,用于向所述注册机1发送所述注册请求,接收所述对应的私钥并存储,之后扫描载有电子产品码的标签,向所述电子产品码信息系统2发送标签信息访问请求;
(4)设备验证模块4,其存储有表征所述标签阅读器3的设备识别码及其对应属性之间对应关系的属性撤销列表,在电子产品码信息系统2接收到所述标签信息访问请求时,电子产品码信息系统2驱动其查找所述属性撤销列表,验证所述标签阅读器3的现有属性是否满足封装好的三重加密密文对应的访问策略,若满足,电子产品码信息解密模块5对电子产品码信息系统2中对应的三重加密密文执行信息解密,将解密后的电子产品码信息发送给标签阅读器3;若不满足,则需要标签阅读器3的手持用户输入指纹进行身份验证;若标签阅读器的属性集合和身份验证均无效,则无法完成请求访问。
其中,所述对电子产品码信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为N个访问级别,N的取值范围为[4,8]。
其中,所述电子产品码信息系统3对电子产品码信息进行加密,具体为:
1)对预处理后的电子产品码信息m采用由系统的用户属主选取的对称密钥Km进行加密,得到密文Cm:
2)采用由系统的用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,加密时为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用所述共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,电子产品码信息解密模块5对电子产品码信息系统2中对应的三重加密密文执行信息解密,包括:
1)对用户组属性密钥进行解密,解密时根据封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的电子产品码信息进行解码。
本实施例实现了对电子产品码信息的密文访问控制,弥补了当前电子产品码识别系统在隐私保护方面的不足,可阻止任何非授权标签阅读器对物品信息的非法访问,有效保障了存储在电子产品码信息系统2中物品信息的隐私性;对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储,并设置相应的解密算法,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为多个访问级别,减少了电子产品码信息系统2的信息存储空间,其中设定访问级别个数N=7,信息存储空间相对减少了3.5%。
实施例5
参见图1、图2,本实施例的电子产品码的访问控制系统,包括注册机1、电子产品码信息系统
2、标签阅读器3、设备验证模块4、电子产品码信息解密模块5:
(1)注册机1,用于生成系统初始的公开参数和主密钥,当接收到注册请求且所述注册请求满足条件时,其为电子产品码信息系统2分发系统公开参数,为标签阅读器3生成对应的私钥,并在电子产品码信息系统2的请求下参与电子产品码信息系统2与设备验证模块4之间的共享会话密钥的协商;
(2)电子产品码信息系统2,用于对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储;
(3)标签阅读器3,用于向所述注册机1发送所述注册请求,接收所述对应的私钥并存储,之后扫描载有电子产品码的标签,向所述电子产品码信息系统2发送标签信息访问请求;
(4)设备验证模块4,其存储有表征所述标签阅读器3的设备识别码及其对应属性之间对应关系的属性撤销列表,在电子产品码信息系统2接收到所述标签信息访问请求时,电子产品码信息系统2驱动其查找所述属性撤销列表,验证所述标签阅读器3的现有属性是否满足封装好的三重加密密文对应的访问策略,若满足,电子产品码信息解密模块5对电子产品码信息系统2中对应的三重加密密文执行信息解密,将解密后的电子产品码信息发送给标签阅读器3;若不满足,则需要标签阅读器3的手持用户输入指纹进行身份验证;若标签阅读器的属性集合和身份验证均无效,则无法完成请求访问。
其中,所述对电子产品码信息进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为N个访问级别,N的取值范围为[4,8]。
其中,所述电子产品码信息系统3对电子产品码信息进行加密,具体为:
1)对预处理后的电子产品码信息m采用由系统的用户属主选取的对称密钥Km进行加密,得到密文Cm:
2)采用由系统的用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,加密时为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用所述共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
其中,电子产品码信息解密模块5对电子产品码信息系统2中对应的三重加密密文执行信息解密,包括:
1)对用户组属性密钥进行解密,解密时根据封装好的三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的电子产品码信息进行解码。
本实施例实现了对电子产品码信息的密文访问控制,弥补了当前电子产品码识别系统在隐私保护方面的不足,可阻止任何非授权标签阅读器对物品信息的非法访问,有效保障了存储在电子产品码信息系统2中物品信息的隐私性;对电子产品码信息进行预处理、三重加密,得到三重加密密文,并采用数字信封技术对三重加密密文进行封装后存储,并设置相应的解密算法,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;通过码分复用编码电子产品码信息,根据所述访问结构树将编码后的电子产品码信息分为多个访问级别,减少了电子产品码信息系统2的信息存储空间,其中设定访问级别个数N=8,信息存储空间相对减少了2.5%。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。