【技术实现步骤摘要】
本专利技术涉及一种动态访问控制方法及系统,属于新型电力系统安全。
技术介绍
1、为实现碳达峰、碳中和的目标,须推动新型电力系统的应用,各国通过智能技术将海上风电、太阳能等可再生能源融入电网,实现了可再生能源大规模集成的跳跃式发展,我国新型电力系统核心特征是新能源占据主导地位,具有清洁低碳、安全可控、灵活高效等基本特征,在未来终端用能结构中,电动汽车、屋顶光伏、清洁供暖及智能家居的应用使用电负荷朝着多元化方向发展,储能、分布式光伏等新型业务不断发展,使终端的种类和结构越来越多样化,但是终端的计算、存储能力受限以及具有非受控特性,因此需要云计算来解决非受控新型业务终端在计算和存储等方面的不足。
2、云计算解决了业务所需要的计算和存储问题,但是也同样存在安全缺陷,例如云服务提供商对数据的安全访问控制力度不足造成数据丢失、由于错误配置造成共享技术漏洞、云服务提供商对内部工作人员评估不足导致内部数据被窃取、简单的身份认证体系或密钥系统导致数据泄露或者黑客攻击,所以不改进访问方式无法满足新型电力系统的安全防护需求。
3、面对分布式、移动计算、云计算等技术的发展,早期的基于角色的访问控制模型(role-based access control,rbac)已经不能适应动态、开发的新型业务环境的要求,因此出现了基于属性的访问控制模型(attribute-based access control,abac),abac模型以属性为最小授权单位,能解决大规模用户的动态扩展问题和复杂系统中的访问控制问题,且相关属性可以根据需要进行
4、当前已有的基于属性和角色的动态访问控制技术,虽然能够根据终端角色或属性进行访问控制授权,但均未实现基于终端实时信任度评估结果的访问控制策略动态调整。新型电力业务终端部署于非受控的用户现场环境下,合法电力终端被攻击者利用,造成硬件、软件、用户属性或角色异常变化均有可能发生。因此,如何确保实现基于终端属性和信任度的终端最小访问权限分配、动态访问控制授权和实时异常处置控制,成为解决合法终端被利用引发的网络攻击防御技术的难点之一。其中基于属性的加密方案是数据拥有者制定一个具有特定属性的数据访问者才能满足的访问策略,形成唯一的密文,然后发送给所有数据访问者,高效的形成了数据拥有者与数据访问者的一对多通信。基于属性的加密方案有两个,分别是密钥策略的属性加密(kp-abe)和密文策略的属性加密(cp-abe)。kp-abe方案是将策略嵌入到密钥中,属性嵌入到密文中,而cp-abe则相反,策略嵌入到密文中,属性嵌入到密钥中,cp-abe方案中的管理机构根据用户的属性分发用户私钥,数据拥有者根据实际访问需求自己定义访问结构并加密明文数据,较kp-abe更加适用于当前新型业务终端的访问控制。
5、但是传统的基于属性加密的访问控制技术有以下不足:
6、(1)由于传统属性加密采用的是双线性对运算,所以计算代价很高,对一些运算能力受限的终端很不友好,大量的数据加解密计算可能会导致终端崩溃。
7、(2)传统的属性加密不能实现基于终端实时信任度的访问控制策略动态调整,对失信终端不能及时有效缩权访问和隔断控制,对高信任度的终端的访问控制没有进行优化,解密方式复杂。
8、(3)传统的属性加密难以实现属性撤销,并且现有属性撤销存在效率低下、难以及时处理、运算量大等问题。
技术实现思路
1、为了克服上述现有技术的不足,本专利技术提供一种动态访问控制方法。
2、为解决上述技术问题,本专利技术所采用的技术方案如下:
3、一种动态访问控制方法,包括如下算法:
4、生成系统公共参数pp和系统主私钥mk;
5、中央机构ca利用系统主私钥给终端生成与属性空间相关联的属性私钥sk,中央机构ca利用系统公共参数为每一个属性生成属性组加密密钥gki;
6、数据拥有者do将需要外包存储在云服务提供商csp的数据进行加密,do上传嵌入访问策略γ并利用系统公共参数生成的数据密文cttrust发送到云服务提供商csp,之后云服务提供商csp将数据密文重加密,生成重加密密文cttrust′;
7、数据使用者du解密数据密文以获取数据明文信息,du向云服务提供商csp请求与其信任度trust相对应的重加密密文cttrust′,如果访问者的密钥版本号和密文版本号相匹配,且属性集满足do定义的访问策略γ,则恢复出数据明文;
8、当撤销数据使用者du的属性i时,中央机构ca为该属性组gi的成员生成新的成员关系,给未撤销属性i的数据使用者du生成新的密钥,以及更新与该属性相关的密文。
9、上述基于新型业务终端信任度的动态访问控制方法,通过引入云计算来解决新型业务所需要的计算和存储需求,通过添加信任度属性实现细粒度的动态访问控制,提高了新型业务环境下数据的安全性。
10、相较于传统属性加密用双线性对来加密数据,本专利技术采用椭圆曲线的标量乘法,减少了计算量;此外,现有的属性加密中的属性是静态的,并且加解密方案中没有对高信任度终端的解密速度进行优化,本专利技术将访问控制模型与新型业务终端环境进行有机结合,有效感知终端的信任度情况,并利用信任度评价结果对权限策略动态调整,加快高信任度终端的解密速度,而且实现了实时性的属性撤销,从而实现新型业务终端的细粒度访问控制。
11、上述生成系统公共参数和系统主私钥中,包括以内容:
12、中央机构ca选取大素数p,定义e为有限域gf(p)上的一条椭圆曲线,基点为g,生成e上的循环群<g>;
13、对于属性空间u中属性进行编号为{0,1,…,m-1},其中,编号为0的属性为信任度属性trust,编号1到m-1的属性为终端的其他属性,且trust取值为[0,10],信任度数值越高解密速度越快;
14、对随机选择主私钥因子其中为一乘法循环群,对属性空间u中每个属性i计算公共参数因子ki=ki·g;
15、选取抗碰撞的散列函数h:<g>→{0,1}*,输出的公共参数pp和系统主私钥mk,最后确定系统版本号ver,并公布系统公共参数pp、安全存储系统主私钥mk如下:
16、
17、上述生成属性私钥和属性组加密密钥中,包括以下内容:
18、假设用户的属性空间为向中央机构申请属性私钥sk,对于每个属性i∈u,随机选择属性私钥因子对于属性空间s中的每个属性i,利用系统主私钥mk中的主私钥因子ki计算属性部分私钥ski=ki+ri,最后利用系统主私钥mk中的主私钥因子ki输出属性私钥sk如下所示:
19、sk={ver,ski|i∈s};
20、中央机构ca首先为每个属性i创建由拥有属性i的用户组成的属性组gi,中央机构ca采用完全二叉树来对属性组成员进行管理,为每个属性组gi选取本文档来自技高网...
【技术保护点】
1.一种动态访问控制方法,其特征在于:
2.如权利要求1所述的动态访问控制方法,其特征在于:生成系统公共参数和系统主私钥包括以下内容:
3.如权利要求2所述的动态访问控制方法,其特征在于:生成属性私钥sk和属性组加密密钥GKi包括以下内容:
4.如权利要求3所述的动态访问控制方法,其特征在于:生成重加密密文CTtrust′包括以下内容:
5.如权利要求4所述的动态访问控制方法,其特征在于:密文消息明文的恢复包括以下内容:
6.如权利要求5所述的动态访问控制方法,其特征在于:撤销数据使用者的属性i包括以下内容:
7.一种动态访问控制系统,其特征在于:包括中央机构CA、数据拥有者DO、云服务提供商CSP和数据使用者DU;
8.如权利要求7所述的动态访问控制系统,其特征在于:生成系统公共参数和系统主私钥包括以下内容:
9.如权利要求8所述的动态访问控制系统,其特征在于:中央机构CA利用系统主私钥mk给终端生成与属性空间相关联的属性私钥sk,中央机构CA利用系统公共参数pp为每一个属性生成属性
10.如权利要求9所述的动态访问控制系统,其特征在于:数据拥有者DO将需要外包存储在云服务提供商CSP的数据进行加密,数据拥有者DO上传嵌入访问策略Γ、并利用系统公共参数生成的数据密文CTtrust发送到云服务提供商CSP,之后云服务提供商CSP将数据密文重加密,生成重加密密文CTtrust′,包括以下内容:
11.如权利要求10所述的动态访问控制系统,其特征在于:数据使用者DU利用属性私钥sk和属性组加密密钥GKi解密数据密文以获取数据明文信息,数据使用者DU向云服务提供商CSP请求与其信任度trust相对应的重加密密文CTtrust′,如果访问者的密钥版本号和密文版本号相匹配,且属性集满足数据拥有者DO定义的访问策略Γ,则恢复出密文消息明文,包括以下内容:
12.如权利要求11所述的动态访问控制系统,其特征在于:撤销属性时,包括以下内容:
...【技术特征摘要】
1.一种动态访问控制方法,其特征在于:
2.如权利要求1所述的动态访问控制方法,其特征在于:生成系统公共参数和系统主私钥包括以下内容:
3.如权利要求2所述的动态访问控制方法,其特征在于:生成属性私钥sk和属性组加密密钥gki包括以下内容:
4.如权利要求3所述的动态访问控制方法,其特征在于:生成重加密密文cttrust′包括以下内容:
5.如权利要求4所述的动态访问控制方法,其特征在于:密文消息明文的恢复包括以下内容:
6.如权利要求5所述的动态访问控制方法,其特征在于:撤销数据使用者的属性i包括以下内容:
7.一种动态访问控制系统,其特征在于:包括中央机构ca、数据拥有者do、云服务提供商csp和数据使用者du;
8.如权利要求7所述的动态访问控制系统,其特征在于:生成系统公共参数和系统主私钥包括以下内容:
9.如权利要求8所述的动态访问控制系统,其特征在于:中央机构ca利用系统主私钥mk给终端生...
【专利技术属性】
技术研发人员:田峥,田建伟,孙毅臻,朱宏宇,陈中伟,李树,封靖川,李永发,张继宇,韩扬,
申请(专利权)人:国网湖南省电力有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。