一种面向雾计算的可扩展访问控制方法技术

本发明专利技术公开了一种面向雾计算的可扩展访问控制方法，该方法采用线性秘密分享矩阵作为访问结构实现基于属性的访问控制，利用雾节点作为边缘服务节点，通过合理分配访问控制中的加解密运算，以降低终端用户在访问控制中的运算开销。并且本发明专利技术可以在保持原有访问策略的基础上添加新的合法成员形成新的访问策略，同时还可以检测访问用户在上传新访问策略时是否对原始数据进行了篡改，实现了对原始数据的完整性保护。

【技术实现步骤摘要】
一种面向雾计算的可扩展访问控制方法
本专利技术属于计算机应用技术，具体涉及一种面向雾计算的可扩展访问控制方法。
技术介绍
云计算技术为用户带来前所未有的计算能力和近乎无限的存储空间，用户可以借助于云平台实现一系列海量数据的分析、处理、存储等工作。然而，由于云平台服务器所在的核心网络往往距离终端用户较远，这就导致了在实际应用尤其是对实时要求较高的应用领域中，云计算无法提供可靠的实时响应，这也已经成为了限制云计算应用的瓶颈问题。其中雾计算作为一种典型的边缘计算模式逐渐成为近年来的研究热点。雾计算具有低时延、可移动、分布式等优点，因此可以很好的将云服务扩展到网络边缘，为终端用户提供更为便捷的服务响应。在针对雾计算的研究中，数据的访问控制安全问题一直备受关注。虽然在云计算中访问控制技术已经得到了广泛的研究，但是考虑到雾计算在网络架构和系统模型等方面的差异性，现有适用于云计算的访问控制策略无法直接应用到雾计算领域。尤其是引入了雾节点后，如何合理的分配雾节点与终端用户在这一过程中的运算和通信开销，在云、雾以及终端用户之间形成简洁、有效、安全的访问控制，是实现雾环境下数据安全共享的关键。
技术实现思路
专利技术目的：针对上述现有技术的不足，本专利技术提供一种面向雾计算的可扩展访问控制方法。技术方案：一种面向雾计算的可扩展访问控制方法，包括以下步骤：(1)初始化系统：生成系统参数及主密钥，所述系统参数任意公开，主密钥由可信机构保存；(2)用户注册：根据用户所拥有的属性分配属于用户个人的私钥；(3)数据加密：运用哈希算法对数据上传用户所上传的明文进行处理得到一个处理后的值，利用系统参数和明文经过处理后的值综合计算得出对称密钥；且所述数据上传用户通过对称密钥对明文进行加密，将加密后的数据上传至云服务器储存，将预先设置的访问策略传至雾节点作进一步处理；(4)形成访问策略及部分密文，雾节点包括根据LSSS将访问策略转化为访问结构和承担对于部分密文的计算；(5)数据上传用户完善密文，数据上传用户根据系统参数以及明文处理后的值将部分密文补充完整，随后将密文与访问结构发向云服务器保存；(6)雾节点再次承担非解密部分数据计算，通过计算的到的值将传给普通用户在后续解密过程中使用；(7)用户对密文进行解密，用户根据自己的私钥构建出密钥，运用密钥对密文进行解密得到明文；(8)对于经过访问策略扩展的用户所上传的数据进行完整性检查，云服务器对新的数据进行检查，如果通过检查则将新的数据添加到云服务中，如果失败，则不能再次拓展新的访问策略。进一步的，所述步骤(1)包括输入安全参数1λ，访问策略中设置的属性个数N，由可信机构生成系统参数m以及主密钥mk，其中系统参数m任意公开，主密钥mk由可信机构保存；所述系统参数m为(PG，g，u，g1，g2，…，gN，h，gα，e(h，h)α，(E，D))，主密钥mk＝hα，其中双线性群PG＝(G，GT，e，p)，同时选择g，u，g1，g2，…，gN，h∈G，从GP中随机选择一个参数α，计算出gα，e(h，h)α，选择一个对称加密算法记为(E，D)。所述步骤(2)包括输入系统参数m，主密钥mk，注册用户的属性值集合S，可信机构返回属于注册用户的密钥sks和部分密钥sks′，具体包括如下：设每个用户所拥有的属性集为S，属性集里属性的个数不能超过N，当用户发出注册请求后，可信机构接收属性集S，主密钥mk，系统参数m，计算后得到私钥sks和部分密钥sks′；所述可信机构随机选择一个随机参数r∈ZP，计算结果如下：和最后，用户得到私钥完成注册，并将sks′传给雾节点。所述步骤(3)由数据上传者运用哈希算法H对明文F进行计算得到不可逆的结果f＝H(F)，同时计算出密钥k＝e(h，h)fα。所述步骤(4)包括输入访问策略P，系统参数m，雾节点将返回部分密文ct；所述雾节点将访问策略P1转化为基于LSSS形成的访问结构(M，ρ)，过程如下：根据每一行对应一个属性值，定义函数ρ(i)∈{Att1，…，AttN}，表示每一行和每个属性之间一一映射的关系，所述雾节点随机选择一个随机值t，并计算出向量所述雾节点再计算得到其中i表示M矩阵的第i行，雾节点随机选择一组Z1，z2，z3，...，Zm∈Zp，用于计算，再运行Fog算法输入系统参数m以及θj计算出部分密文ct；所述部分密文ct表示如下：计算完毕将ct与访问结构(M，ρ)发送给数据上传用户。所述步骤(5)包括输入访问策略P，系统参数m，部分密文ct，数据上传者将返回密文CT，数据上传者运行Enc算法输入部分密文ct与系统参数m以及哈希值f计算出密文CT，其表达式如下：则Lp1(k)＝((M，ρ)，CT)，数据上传者将Lp1(k)传至云服务器储存。所述步骤(6)包括输入访问策略P，系统参数m，部分密文ct，雾节点将返回计算值W，雾节点运行Foc算法，输入系统参数m，部分密文ct，部分私钥sks′和访问策略(M，ρ)计算出如下：生成集合IA，ρ＝{I1，...，Iq}：用户满足(M，ρ)的属性的最小子集的集合。如果用户属性满足访问结构，则可以在多项式时间内找到常数集{ωi∈ZP}i∈I，其中IJ∈IA，ρ，1≤j≤q，使∑i∈Iωiθi＝t；最后，所述雾节点将W传给用户。所述步骤(7)包括输入私钥sks，系统参数m，雾节点计算结果W，密文CT，用户构建出密钥k返回解密后的数据F。用户运行Dec算法，通过私钥sks，密文CT，系统参数m以及雾节点计算结果W构建出密钥k：最后，用户运用密钥k对应相应的对称机密算法对Ek(F)解密得到明文。步骤(8)包括输入系统参数m，原始访问策略P，原始密文CT，新访问策略P′，新的密文CT′，云服务器将返回成功或者失败两种结果，成功代表新的访问策略P′能够添加到云服务器中，失败则不能；所述云服务器检查拓展用户上传数据的完整性；通过原始访问策略的新用户重复步骤(4)和(5)创建新的访问策略P2，形成Lp2(k′)上传至云端。云服务器重新从GP中随机选择一个新的参数γ构建伪主密钥，计算出该伪主密钥新旧访问策略下对应的私钥SKS和NKS′：再重复步骤(6)和(7)计算比较这两个私钥所对应的密钥是否相同来判断是否遭到破坏，若没有遭到破坏，云服务器就会将Lp2(k′)存储在云上，则此时云上的数据更改为(Lp2(k)，Lp1(k)，Ek(F))。有益效果：与现有技术相比，本专利技术采用线性秘密分享矩阵作为访问结构实现基于属性的访问控制，利用雾节点作为边缘服务节点，合理分配访问控制中的加解密运算，降低终端用户在访问控制中的运算开销。并且，所述方法可以在保持原有访问策略的基础上添加新的合法成员形成新的访问策略，同时还可以检测访问用户在上传新访问策略时是否对原始数据进行了篡改，实现了对原始数据的完整性保护。附图说明图1是面向云计算的多关键字可排序密文检索方法的模型示意图。具体实施方式为了详细的说明本专利技术所公开的技术方案，下面结合说明书附图及实施例做进一步的阐述。本专利技术所公开的是一种面向雾计算的可扩展访问控制方法，面向云计算的多关键字可排序密文检索方法的模型示意图如图1所示，具体包括如下步骤：Step1：输入安全参数1λ，访问策略中设置的属性个数N，由可信机构生成系统参数m以本文档来自技高网...

【技术保护点】
1.一种面向雾计算的可扩展访问控制方法，其特征在于：包括以下步骤：(1)初始化系统：生成系统参数及主密钥，所述系统参数任意公开，所述主密钥由可信机构保存；(2)用户注册：根据用户所拥有的属性分配属于用户个人的私钥；(3)数据加密：运用哈希算法对数据上传用户所上传的明文进行处理，得到一个处理后的值，利用系统参数和明文经过处理后的值综合计算得出对称密钥；且所述数据上传用户通过对称密钥对明文进行加密，将加密后的数据上传至云服务器储存，将预先设置的访问策略传至雾节点作进一步处理；(4)形成访问策略及部分密文，雾节点包括根据LSSS将访问策略转化为访问结构和承担对于部分密文的计算；(5)数据上传用户完善密文，数据上传用户根据系统参数以及明文处理后的值将部分密文补充完整，随后将密文与访问结构发向云服务器保存；(6)雾节点再次承担非解密部分数据计算量，通过计算的到的值将传给普通用户在后续解密过程中使用；(7)用户对密文进行解密，用户根据自己的私钥构建出密钥，运用密钥对密文进行解密得到明文；(8)对于经过访问策略扩展的用户所上传的数据进行完整性检查，云服务器对新的数据进行检查，如果通过检查则将新的数据添加到云服务中，如果失败，则不能再次拓展新的访问策略。...

【技术特征摘要】
1.一种面向雾计算的可扩展访问控制方法，其特征在于：包括以下步骤：(1)初始化系统：生成系统参数及主密钥，所述系统参数任意公开，所述主密钥由可信机构保存；(2)用户注册：根据用户所拥有的属性分配属于用户个人的私钥；(3)数据加密：运用哈希算法对数据上传用户所上传的明文进行处理，得到一个处理后的值，利用系统参数和明文经过处理后的值综合计算得出对称密钥；且所述数据上传用户通过对称密钥对明文进行加密，将加密后的数据上传至云服务器储存，将预先设置的访问策略传至雾节点作进一步处理；(4)形成访问策略及部分密文，雾节点包括根据LSSS将访问策略转化为访问结构和承担对于部分密文的计算；(5)数据上传用户完善密文，数据上传用户根据系统参数以及明文处理后的值将部分密文补充完整，随后将密文与访问结构发向云服务器保存；(6)雾节点再次承担非解密部分数据计算量，通过计算的到的值将传给普通用户在后续解密过程中使用；(7)用户对密文进行解密，用户根据自己的私钥构建出密钥，运用密钥对密文进行解密得到明文；(8)对于经过访问策略扩展的用户所上传的数据进行完整性检查，云服务器对新的数据进行检查，如果通过检查则将新的数据添加到云服务中，如果失败，则不能再次拓展新的访问策略。2.根据权利要求1所述的一种面向雾计算的可扩展访问控制方法，其特征在于：所述步骤(1)包括输入安全参数1λ，访问策略中设置的属性个数N，由可信机构生成系统参数m以及主密钥mk，其中系统参数m任意公开，主密钥mk由可信机构保存；所述系统参数m为(PG，g，u，g1，g2，…，gN，h，gα，e(h,h)α，(E,D))，主密钥mk＝hα，其中双线性群PG＝(G，GT，e，p)，同时选择g，u，g1，g2，…，gN，h∈G,从GP中随机选择一个参数α，计算出gα，e(h,h)α，选择一个对称加密算法记为(E,D)。3.根据权利要求1所述的一种面向雾计算的可扩展访问控制方法，其特征在于：所述步骤(2)包括输入系统参数m，主密钥mk，注册用户的属性值集合S，可信机构返回属于注册用户的密钥sks和部分密钥sks′，具体包括如下：设每个用户所拥有的属性集为S，属性集里属性的个数不能超过N，当用户发出注册请求后，可信机构接收属性集S，主密钥mk，系统参数m，计算后得到私钥sks和部分密钥sks′；所述可信机构随机选择一个随机参数r∈ZP,计算结果如下：和最后，用户得到私钥完成注册，并将sks′传给雾节点。4.根据权利要求1所述的一种面向雾计算的可扩展访问控制方法，其特征在于：所述步骤(3)由数据上传用户运用哈希算法H对明文F进行计算得到不可逆的结果f＝H(F)，同时计算出密钥k＝e(h,h)fα。5.根据权利要求1所述的一种面向雾计算的可扩展访问控制方法，其特征在于：步骤(4)包括输入访问策略P，系统参数m，雾节...

【专利技术属性】
技术研发人员：许建，雷喆，杨庚，戴华，陈燕俐，陈蕾，
申请(专利权)人：南京邮电大学，
类型：发明
国别省市：江苏,32