本发明专利技术公开一种面向边缘计算的属性加密访问控制方法,除了常规的属性加密之外还将时间参数和位置参数一起作为加密因子用于属性加密算法中,使得数据用户必须在数据拥有者所设定的时间和位置范围内才能进行访问,以达到更细粒度的访问控制。数据用户在请求访问数据时,根据最短路径算法访问离自己最近的边缘节点,边缘节点收到数据用户的访问请求后,先检索自己是否存储相应的数据密文和密钥密文,若没有存储,则由该边缘节点向其相邻的其它边缘节点或云服务器检索。此外,本发明专利技术针对边缘计算中终端设备资源受限问题,将大部分的解密工作放在边缘节点,在边缘节点进行预解密。
An access control method of attribute encryption for edge computing
【技术实现步骤摘要】
一种面向边缘计算的属性加密访问控制方法
本专利技术涉及数据安全
,具体涉及一种面向边缘计算的属性加密访问控制方法。
技术介绍
在云计算中,很多数据外包存储在“基本”可信的云服务平台上,由于云上的数据脱离了数据所有者的物理控制,非法用户可以尝试通过非法访问数据来试图获取数据所包含的信息,这将造成数据信息和用户隐私信息的泄露。采用基于属性加密技术可对存储在云端的这些隐私数据进行细粒度的访问控制,该方法可以实现“一对多”的加密访问控制,同时具有可扩展性和分布式的特点。随着物联网、5G网络技术的快速发展,智慧医疗、位置服务、移动支付等新型服务模式和业务不断出现,使得智能设备数量呈爆炸式增长,随之而来的是物联网设备产生的海量数据。而传送海量数据到云中心需要一定的时间,云中心处理数据也需要一定的时间,这就会加大请求响应时间,用户体验极差。而由于终端用户和远程云之间的数据交换会占用大量带宽,以及物联网中很多终端设备的计算资源有限,通信和存储必须依靠云或边缘节点来完成。边缘计算是指数据或任务能够在靠近数据源头的网络边缘侧进行计算和执行计算的一种新型服务模型,与云计算互为补充。传统云环境下的属性加密只考虑常规属性如职业、年龄等。而在一些实际应用场景中,数据的访问控制还需要考虑时间和位置等因素。如医生只能在上班时间并且只能在医院位置范围内才能访问医院数据库,查看病人的相关病历;学生只能在校且在籍才能访问教务系统以及图书馆购买的数据库。由于边缘计算具有移动性、实时性,因此必须考虑时间和位置变化带来的影响,并且由于数据的多元异构性、感知性以及终端的资源受限等特性,传统云环境下的属性加密访问控制方法已不再适用于边缘计算环境。
技术实现思路
本专利技术针对边缘计算应用中数据的隐私保护和访问控制问题,提供一种支持时间和位置变化的属性加密访问控制方法。为解决上述问题,本专利技术是通过以下技术方案实现的:一种面向边缘计算的属性加密访问控制方法,具体包括步骤如下:步骤1、初始化:CA初始化建立整个系统;AA通过CA进行注册,负责管理系统中的所有属性,且每个AA管理的属性集合没有交集;DO通过CA进行注册;DU通过CA进行注册,并由CA认证DU的身份和授权;步骤2、DO先使用对称密钥对明文数据进行加密,生成数据密文;再使用预设的访问策略对对称密钥进行加密,生成密钥密文;后将数据密文和密钥密文一起发送到CSP进行存储;步骤3、当DU发出访问请求时,首先,AA使用CA的验证密钥从凭证中得到该DU的身份,并判断DU是否为注册用户:当DU不是注册用户时,则AA返回失败信息;当DU是注册用户时,则AA根据DU的常规属性生成常规属性私钥,并发回给DU;然后,AA根据访问控制表判断DU的访问时间和位置是否均在有效时间和位置范围内:若访问时间和位置均在有效时间和位置范围内时,则AA分别生成时间属性私钥和位置属性私钥,并返回给DU;否则,AA返回失败信息给DU;步骤4、DU组合收到常规属性私钥、时间属性私钥和位置属性私钥,并进行转换处理后生成边缘密钥和恢复密钥;步骤5、DU对EN发起访问请求,并将边缘密钥发送到EN;步骤6、EN收到DU的访问请求后,检索自己是否存储相应的数据密文和密钥密文:若EN存储有相应的数据密文和密钥密文,则该EN直接利用边缘密钥对密钥密文进行预解密得到中间密钥密文;若EN没有存储有相应的数据密文和密钥密文,则该EN先向其相邻的EN或CSP进行数据密文检索,并将检索到的数据密文和密钥密文缓存在该EN上,该EN利用缓存的密钥密文进行预解密得到中间密钥密文;步骤7、EN将中间密钥密文和数据密文一起发送给DU,DU利用恢复密钥对中间密钥密文进行本地解密得到对称密钥;步骤8、数据用户利用本地解密得到的对称密钥对数据密文进行解密,得到明文数据。上述步骤2中,访问策略为包含常规属性、时间属性和位置属性的访问策略。上述步骤6中,若EN没有存储有相应的数据密文和密钥密文,该EN先向其相邻的EN进行数据密文检索,若相邻的EN存储有该数据密文,则相邻的EN将数据密文返回至该EN并进行缓存,否则,该EN再向CSP进行数据密文检索,若CSP存储有该数据密文,则CSP将数据密文返回至该EN并进行缓存,否则,CSP返回失败信息。与现有技术相比,本专利技术具有如下特点:1、本专利技术考虑到在许多实际应用场景中,数据的访问控制除了考虑常规的如职业、年龄等属性之外,还需要同时考虑时间和位置因素,所以除了常规的属性加密之外还将时间参数和位置参数一起作为加密因子用于属性加密算法中,使得数据用户必须在数据拥有者所设定的时间和位置范围内才能进行访问,以达到更细粒度的访问控制。2、数据用户在请求访问数据时,根据最短路径算法访问离自己最近的边缘节点,边缘节点收到数据用户的访问请求后,先检索自己是否存储相应的数据密文和密钥密文,若没有存储,则由该边缘节点向其相邻的其它边缘节点或云服务器检索。3、本专利技术针对边缘计算中终端设备资源受限问题,将大部分的解密工作放在边缘节点,在边缘节点进行预解密。附图说明图1为本专利技术的系统模型。图2为本专利技术的流程图。图3为系统初始化流程框图。图4为DU注册流程框图。图5为AA注册流程框图。图6为AA初始化流程框图。图7为加密流程框图。图8为属性私钥生成流程框图。图9为解密流程框图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实例,对本专利技术进一步详细说明。本专利技术的系统模型如图1所示,该模型由六个实体组成,分别为中央授权机构(CA)、云服务器(CSP)、属性授权机构(AA)、边缘节点(EN)、数据所有者(DO)和数据用户(DU)。CA负责用户和AA的认证和授权。各AA之间相互独立,负责管理各自域内的属性,并生成和分发DU的属性私钥。CSP提供永久存储的能力。EN提供存储和计算能力。DO负责访问策略(A,ρ)的制定和密文的生成。DU负责中间秘钥密文的解密。基于上述系统模型的一种面向边缘计算的属性加密访问控制方法,如图2所示,其具体包括步骤如下:步骤S1:系统初始化:系统初始化包括CA的初始化和AA的初始化。当DO向CA申请注册时,CA生成系统公共参数GP,并将其公开。AA、DU加入系统时,需向CA发送授权请求,CA接受请求并验证AA、DU的合法性。AA加入系统后进行初始化操作,生成AA的公钥并发送给DO用于对对称秘钥k加密,生成AA的私钥并发送给DU用于生成DU的属性私钥。参见图3,系统初始化的具体过程如下:S11:CA初始化。输入安全参数λ,生成系统公共参数GP、CA的签名和验证密钥对(skCA,vkCA)。S111:输入安全参数λ;S112:输出系统公共参数GP,其中包括两个阶为素数p的双线性群G和GT以及群G的生成元g、抗碰撞本文档来自技高网...
【技术保护点】
1.一种面向边缘计算的属性加密访问控制方法,其特征是,具体包括步骤如下:/n步骤1、初始化,包括:中央授权机构初始化建立整个系统;属性授权机构通过中央授权机构进行注册,负责管理系统中的所有属性,且每个属性授权机构管理的属性集合没有交集;数据所有者通过中央授权机构进行注册;数据用户通过中央授权机构进行注册,并由中央授权机构认证数据用户的身份和授权;/n步骤2、数据所有者先使用对称密钥对明文数据进行加密,生成数据密文;再使用预设的访问策略对对称密钥进行加密,生成密钥密文;后将数据密文和密钥密文一起发送到云服务器进行存储;/n步骤3、当数据用户发出访问请求时,/n首先,属性授权机构使用中央授权机构的验证密钥从凭证中得到该数据用户的身份,并判断数据用户是否为注册用户:当数据用户不是注册用户时,则属性授权机构返回失败信息;当数据用户是注册用户时,则属性授权机构根据数据用户的常规属性生成常规属性私钥,并发回给数据用户;/n然后,属性授权机构根据访问控制表判断数据用户的访问时间和位置是否均在有效时间和位置范围内:若访问时间和位置均在有效时间和位置范围内时,则属性授权机构分别生成时间属性私钥和位置属性私钥,并返回给数据用户;否则,属性授权机构返回失败信息给数据用户;/n步骤4、数据用户组合收到常规属性私钥、时间属性私钥和位置属性私钥,并进行转换处理后生成边缘密钥和恢复密钥;/n步骤5、数据用户对边缘节点发起访问请求,并将边缘密钥发送到边缘节点;/n步骤6、边缘节点收到数据用户的访问请求后,检索自己是否存储相应的数据密文和密钥密文:/n若边缘节点存储有相应的数据密文和密钥密文,则该边缘节点直接利用边缘密钥对密钥密文进行预解密得到中间密钥密文;/n若边缘节点没有存储有相应的数据密文和密钥密文,则该边缘节点先向其相邻的边缘节点或云服务器进行数据密文检索,并将检索到的数据密文和密钥密文缓存在该边缘节点上,该边缘节点利用缓存的密钥密文进行预解密得到中间密钥密文;/n步骤7、边缘节点将中间密钥密文和数据密文一起发送给数据用户,数据用户利用恢复密钥对中间密钥密文进行本地解密得到对称密钥;/n步骤8、数据用户利用本地解密得到的对称密钥对数据密文进行解密,得到明文数据。/n...
【技术特征摘要】
1.一种面向边缘计算的属性加密访问控制方法,其特征是,具体包括步骤如下:
步骤1、初始化,包括:中央授权机构初始化建立整个系统;属性授权机构通过中央授权机构进行注册,负责管理系统中的所有属性,且每个属性授权机构管理的属性集合没有交集;数据所有者通过中央授权机构进行注册;数据用户通过中央授权机构进行注册,并由中央授权机构认证数据用户的身份和授权;
步骤2、数据所有者先使用对称密钥对明文数据进行加密,生成数据密文;再使用预设的访问策略对对称密钥进行加密,生成密钥密文;后将数据密文和密钥密文一起发送到云服务器进行存储;
步骤3、当数据用户发出访问请求时,
首先,属性授权机构使用中央授权机构的验证密钥从凭证中得到该数据用户的身份,并判断数据用户是否为注册用户:当数据用户不是注册用户时,则属性授权机构返回失败信息;当数据用户是注册用户时,则属性授权机构根据数据用户的常规属性生成常规属性私钥,并发回给数据用户;
然后,属性授权机构根据访问控制表判断数据用户的访问时间和位置是否均在有效时间和位置范围内:若访问时间和位置均在有效时间和位置范围内时,则属性授权机构分别生成时间属性私钥和位置属性私钥,并返回给数据用户;否则,属性授权机构返回失败信息给数据用户;
步骤4、数据用户组合收到常规属性私钥、时间属性私钥和位置属性私钥,并进行转换处理后生成边缘密钥和恢复密钥;
步骤5、数据用户对边缘节点发起访问请求,并将边缘密钥...
【专利技术属性】
技术研发人员:彭红艳,凌娇,覃少华,邓剑锋,
申请(专利权)人:广西师范大学,
类型:发明
国别省市:广西;45
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。