一种基于属性基密码的分布式服务访问授权及访问控制方法技术

本发明专利技术提出一种基于属性基密码的分布式服务访问授权及访问控制方法，用来解决用户跨域访问多服务提供商服务的认证、授权和访问控制问题。本发明专利技术设计了一种基于多因子认证和分布式层次化属性密码的授权和服务访问控制机制，每个供应商的服务被组织成层次化的服务树，每个用户的权限包括其订购的服务集合及其订购的时间，服务提供商的访问策略由服务属性和时间属性决定，通过融合多因子认证和属性密码机制实现用户认证、授权和访问控制的结合。本发明专利技术支持用户利用一个统一的服务发布和管理平台进行跨域访问多个服务提供商以及系统内服务提供商的服务。

【技术实现步骤摘要】
一种基于属性基密码的分布式服务访问授权及访问控制方法
本专利技术属于网络空间安全学科中的访问控制领域，特别涉及分布式环境下的综合实现认证、授权和访问控制方法。
技术介绍
云计算是一个新的广泛的研究领域，它是一种方便的服务模型。云计算可以允许用户通过互联网按需访问资源池模型(如网络、服务器、存储、应用程序和服务)，从而快速的为用户提供服务，它是并行计算、分布式计算和网格计算等技术的发展。云计算有五个基本的特征：按需自助服务、广泛的网络访问、资源池、快速灵活的使用以及可测量的服务。在这种技术中，用户可以订阅服务提供商提供的服务，用户只需要连接到互联网的终端、智能手机或平板电脑，应用程序在云中运行，而不是用户的机器。一些服务提供商提供应用程序服务(例如，GoogleApps，微软在线)，一些提供基础设施支持(如:亚马逊的EC2，Eucalyptus，Nimbus)。云计算为用户访问海量服务提供了一个有效的解决方案，提供大量不同类别的服务；雾计算作为云计算的扩展，它将云计算扩展到其网络的边缘，从而实现了新的应用程序和服务。在雾计算模型中，数据和应用程序集中在网络边缘的设备中，而不是几乎完全存储在云中。它已经成为分布式应用程序和服务比较有吸引力的解决方案，并且雾计算可以提供低延迟、高移动性和地理分布式的服务。现实生活环境中，雾节点能够提高用户访问服务提供商服务的效率。通过利用雾节点广泛分布的地理位置的特点，用户能够有效的、快速的访问服务提供商的服务。基于属性基加密(Attribute-BasedEncryption,ABE)被认为是目前最适合解决在云计算环境下的隐私数据的安全保护以及实现细粒度的数据访问的技术之一，该方法可以实现一对多的加密访问控制机制，同时，具有可扩展性，分布式的特点。ABE有两种延伸的结构，一种是基于密文策略的ABE(CP-ABE)和基于密钥策略的ABE(KP-ABE)，在CP-ABE中，每个用户的密钥与一组属性集相关，密文则与访问结构有关；而在KP-ABE中正好相反，密文与一组属性集相关，用户的密钥与访问结构有关。CP-ABE更适合云计算环境中实现资源拥有者控制的细粒度访问控制方案。然而在现实生活中，存在这样的需求：用户想要访问一个服务提供商的多种不同服务，并且想要同时订阅多个服务提供商的服务。在现有的属性加密的研究中，目前已有的方法可以分为单属性权威的CP-ABE，如中国专利文献CN102916954A、CN103220291A、CN104022868A、CN104113408A；多属性权威的CP-ABE，如中国专利文献CN103618728A。在单属性权威的CP-ABE方案中，系统中属性的管理和密钥的分发都是由单一的服务供应商权威来执行。文献CN102916954A、CN103220291A、CN104022868A、CN104113408A中，考虑到了用户权限的撤销，但是却没有考虑到高效的解密。作者VikasPardesi等在文献《AFog/CloudBasedDataDeliveryModelforPublish-SubscribeSystems》一文中，引入一个服务代理为多个服务提供商提供服务访问控制接口，但是服务供应商需要维护庞大的用户访问控制表，这种集中式的访问控制方式存在很大的延迟，服务代理成为系统的性能瓶颈；CN105915333A中提出了高效的密钥分配方法，但是只有一个单独的服务属性权威在分配密钥，在实际实施过程中，大大的加重了权威的负担。在中国专利文献CN2015101068880.5中，名称为《一种基于属性加密的分布式访问控制方法》的专利提出了一种不仅能够保护数据的隐私安全，而且能够实现高效的分布式以及可扩展性的细粒度访问控制的加密方法，通过利用多个权威来分担单一权威的工作量，而且可以实现用户撤销，但是没有对用户订阅的服务包中的服务属性进行层次化管理，效率不高。已有的文献中，大部分是针对云环境下数据隐私保护的研究，对云计算服务的研究文献甚少。
技术实现思路
有鉴于此，本专利技术要解决的技术问题是提出一种基于属性基密码的分布式服务访问授权及访问控制方法，该方法主要用来解决用户跨域访问多服务提供商服务的认证、授权和访问控制问题。本专利技术设计了一种集成任意的认证协议和分布式层次化属性基密码技术实现认证、授权和服务访问控制的综合方法，为了整个过程的高效性，每个供应商的服务被组织成层次化的服务树，所有供应商的服务发布到一个公共的服务平台，服务平台的一个服务代理为服务供应商提供服务发布接口并生成系统的分布式层次化属性基密码所需的公共参数。为了有效管理用户权限的动态变化，系统的属性分为服务属性和时间属性两类，每个用户的权限由其订购的服务集合及其订购时间构成的访问策略确定，服务代理应用这个访问策略通过融合多因子认证和分布式层次化属性基密码技术进行加密，生成用户访问服务的授权票据。该方法支持用户利用一个统一的服务发布和管理平台进行跨域访问多个服务提供商以及系统内服务提供商的服务。即，本专利技术既能满足在分布式环境下的高效的多属性权威加密的需求，又能通过层次化的属性基密码技术实现访问控制。为了达到上述目的，本专利技术提供如下的技术方案：本专利技术提供的一种基于属性基密码技术的分布式服务访问授权及访问控制方法，包括以下步骤：S1：服务发布平台初始化：服务发布平台配置有一个服务代理(SB)负责平台的初始化及其与用户和服务提供商的交互，服务提供商(SP)通过服务代理(SB)发布和管理服务，用户通过服务代理(SB)进行注册并购买服务，并由服务代理(SB)代理认证用户身份并对用户进行授权；所述服务代理需要负责生成执行分布式属性基密码所需的系统公共参数、服务层次公共参数；用户购买的服务包括两类属性：服务属性和时间属性，服务属性用于指定合法用户可以访问的服务，时间属性用于限定用户访问服务的时间期限；S2：服务发布：服务提供商SP将自己提供的服务打包销售，并根据各种服务包的包含关系构建服务属性树，下层的服务包是上层服务包的子集，叶子节点表示最细粒度的服务单元；每个SP也给出服务树中每一个服务包节点的标识方法；每个SP生成自己的公/私钥对(对应服务树的根)，将自己的服务树、服务包节点标识及其公钥发布到服务平台；同时，SP利用分布式层次化的属性基密码技术为服务树的第一层服务节点(顶层服务包)生成服务访问认证私钥并分发给雾节点(FNs)；S3：提供用户注册：获取用户(Users)在注册时提交的身份信息、购买的服务以及购买服务的时间期限信息；服务代理SB获取用户发送的订阅服务请求，在验证用户及用户的订阅服务请求后，SB依据用户购买的服务以及时间期限制定访问策略对认证信息利用层次化属性基密码技术进行加密，生成用户访问服务的授权票据发送给用户；S4：提供访问服务：雾节点FN获取用户递交的认证信息和授权票据发起的服务访问请求，如果用户请求的不是顶层服务包，则FN根据用户请求的服务包在服务属性树中的层次，利用分布式层次化属性基密码技术的密钥委托算法和SP发送的顶层服务包的服务访问认证私钥生成用户请求的下层服务包的当前时隙的服务访问认证私钥，该私钥中的时间属性私钥组件取当前时隙的私钥组件，然后应用此私钥解密用户提交的授权票据，如果本文档来自技高网...

【技术保护点】
1.一种基于属性基密码的分布式服务访问授权及访问控制方法，其特征在于：包括以下步骤：S1：服务发布平台初始化：服务发布平台配置有一个服务代理(SB)负责平台的初始化及其与用户和服务提供商的交互，服务提供商(SP)通过服务代理(SB)发布和管理服务，用户通过服务代理(SB)进行注册并购买服务，并由服务代理(SB)代理认证用户身份并对用户进行授权；所述服务代理需要负责生成执行分布式属性基密码所需的系统公共参数、服务层次公共参数；用户购买的服务包括两类属性：服务属性和时间属性，服务属性用于指定合法用户可以访问的服务，时间属性用于限定用户访问服务的时间期限；S2：服务发布：服务提供商SP将自己提供的服务打包销售，并根据各种服务包的包含关系构建服务属性树，下层的服务包是上层服务包的子集，叶子节点表示最细粒度的服务单元；每个SP也给出服务树中每一个服务包节点的标识方法；每个SP生成自己的公/私钥对(对应服务树的根)，将自己的服务树、服务包节点标识及其公钥发布到服务平台；同时，SP利用分布式层次化的属性基密码技术为服务树的第一层服务节点(顶层服务包)生成服务访问认证私钥并分发给雾节点(FN)；S3：提供用户注册：获取用户(Users)在注册时提交的身份信息、购买的服务以及购买服务的时间期限信息；服务代理SB获取用户发送的订阅服务请求，在验证用户及用户的订阅服务请求后，SB依据用户购买的服务以及时间期限制定访问策略对认证信息利用层次化属性基密码技术进行加密，生成用户访问服务的授权票据发送给用户；S4：提供访问服务：雾节点FN获取用户递交的认证信息和授权票据发起的服务访问请求，如果用户请求的不是顶层服务包，则FN根据用户请求的服务包在服务属性树中的层次，利用分布式层次化属性基密码技术的密钥委托算法和SP发送的顶层服务包的服务访问认证私钥生成用户请求的下层服务包的当前时隙的服务访问认证私钥，该私钥中的时间属性私钥组件取当前时隙的私钥组件，然后应用此私钥解密用户提交的授权票据，如果解密成功，则利用票据中的认证信息对用户身份进行认证，如果认证成功，则为用户提供服务。...

【技术特征摘要】
1.一种基于属性基密码的分布式服务访问授权及访问控制方法，其特征在于：包括以下步骤：S1：服务发布平台初始化：服务发布平台配置有一个服务代理(SB)负责平台的初始化及其与用户和服务提供商的交互，服务提供商(SP)通过服务代理(SB)发布和管理服务，用户通过服务代理(SB)进行注册并购买服务，并由服务代理(SB)代理认证用户身份并对用户进行授权；所述服务代理需要负责生成执行分布式属性基密码所需的系统公共参数、服务层次公共参数；用户购买的服务包括两类属性：服务属性和时间属性，服务属性用于指定合法用户可以访问的服务，时间属性用于限定用户访问服务的时间期限；S2：服务发布：服务提供商SP将自己提供的服务打包销售，并根据各种服务包的包含关系构建服务属性树，下层的服务包是上层服务包的子集，叶子节点表示最细粒度的服务单元；每个SP也给出服务树中每一个服务包节点的标识方法；每个SP生成自己的公/私钥对(对应服务树的根)，将自己的服务树、服务包节点标识及其公钥发布到服务平台；同时，SP利用分布式层次化的属性基密码技术为服务树的第一层服务节点(顶层服务包)生成服务访问认证私钥并分发给雾节点(FN)；S3：提供用户注册：获取用户(Users)在注册时提交的身份信息、购买的服务以及购买服务的时间期限信息；服务代理SB获取用户发送的订阅服务请求，在验证用户及用户的订阅服务请求后，SB依据用户购买的服务以及时间期限制定访问策略对认证信息利用层次化属性基密码技术进行加密，生成用户访问服务的授权票据发送给用户；S4：提供访问服务：雾节点FN获取用户递交的认证信息和授权票据发起的服务访问请求，如果用户请求的不是顶层服务包，则FN根据用户请求的服务包在服务属性树中的层次，利用分布式层次化属性基密码技术的密钥委托算法和SP发送的顶层服务包的服务访问认证私钥生成用户请求的下层服务包的当前时隙的服务访问认证私钥，该私钥中的时间属性私钥组件取当前时隙的私钥组件，然后应用此私钥解密用户提交的授权票据，如果解密成功，则利用票据中的认证信息对用户身份进行认证，如果认证成功，则为用户提供服务。2.根据权利要求1所述的一种基于属性加密的分布式服务访问控制方法，其特征在于：所述步骤S1包括如下步骤：S11：服务代理SB输入安全参数λ和系统中服务树的最大深度l，生成层次化属性基密码所需的系统公共参数PP、服务层次公共参数；S12：SB将当前和未来一段时间划分为n个较短的时隙TS1，TS2,...，TSn，作为n个时间属性，用于控制授权用户访问服务的时间期限，SB为各个时隙生成对应的时间属性公共参数；所述时隙为一天或者一个月。3.根据权利要求1所述的基于属性加密的分布式服务访问控制方法，其特征在于：所述步骤S2包括如下步骤：S21：假设本方法中有s个服务提供商，则SPk(1≤k≤s)表示第k个服务提供商，服务提供商SPk构建服务属性树Ψk并独立管理自己的服务；服务树的根对应服务提供商的标识，其下每一个节点表示一种服务包，对应一个服务属性，较高层次的服务包可以分解为多个子服务包；S22：将服务树中每一层的每一个节点进行...

【专利技术属性】
技术研发人员：肖敏，庞海鹏，刘东琦，
申请(专利权)人：重庆邮电大学，
类型：发明
国别省市：重庆,50