一种基于雾物联网环境下的细粒度访问控制方法技术

本发明专利技术公开了一种基于雾物联网环境下的细粒度访问控制方法，包括在设备执行对称加密后将大部分计算外包给雾计算层，然后通过检索和解密提取数据，雾计算扩大了云计算的网络计算模式，将网络计算从网络中心扩展到了网络边缘，从而更加广泛地应用于各种服务，使得移动业务部署更加方便，满足更广泛的节点接入；本发明专利技术以保持细粒度的访问控制，他们实现了轻量级的可验证性，需要一次配对操作来检查数据的正确性，考虑受限的环境，因此物联网设备可以支持用户端的计算和存储开销，在不泄露用户数据的情况下保护外包，具有可验证性机制和基于属性的密钥管理，拥有分布式安全机制，避免“单点故障”。。。

【技术实现步骤摘要】
一种基于雾物联网环境下的细粒度访问控制方法


[0001]本专利技术涉及网络空间安全
，具体为一种基于雾物联网环境下的细粒度访问控制方法。

技术介绍

[0002]随着物联网(IoT)的发展，雾计算的要求的机密性日益提高。雾计算是在网络边缘、贴近终端用户的数据处理需求下出现的一种新范式。在大多数基于物联网的架构中，产生互补的三层系统(物联网、雾计算和云计算)成为一个重要组成部分。它被用于许多领域，以提高系统的性能，如医疗保健，车联网和智能电网。尽管它看起来很有前途，但安全问题引起了人们最关注的问题。数据篡改、未经授权访问和窃听攻击是常见的威胁。因此，应保证的基本安全要求包括但不限于:身份验证、访问控制、机密性和可验证性。
[0003]一方面，现有的解决方案可以保证一些安全需求，但在资源受限的物联网环境中不实用(例如:非对称加密)；另一方面，有轻量级解决方案(例如:对称加密)不提供细粒度的安全服务，为此我们提出一种基于雾物联网环境下的细粒度访问控制方法用于解决上述问题。

技术实现思路

[0004]本专利技术的目的在于提供一种基于雾物联网环境下的细粒度访问控制方法，以解决上述
技术介绍
中提出的问题。
[0005]为实现上述目的，本专利技术提供如下技术方案：一种基于雾物联网环境下的细粒度访问控制方法，包括雾节点、全球权威机构和地方当局，全球权威机构负责管理和颁发访问策略、密钥和权限，地方当局负责验证和授权数据请求者的访问权限，所述方法包括如下步骤：
[0006]步骤S1、数据拥有者生成访问策略和若干个随机数；通过访问策略和若干个随机数依次生成一级密文和二级密文；并将一级密文传输给地方当局，将二级密文存储到数据存储器中；
[0007]步骤S2、数据使用者向地方当局请求解密密钥并提供访问凭证和属性信息，地方当局使用访问凭证和属性信息对请求的密文进行解密，得到明文，数据使用者检查明文的完整性，地方当局验证数据使用者是否具有访问权限，若数据使用者具有权限，地方当局将解密密钥传给数据使用者；反之拒绝数据使用者访问；
[0008]步骤S3、数据使用者获得解密密钥对请求的密文进行解密，获得请求密文的原始数据。
[0009]优选的，其特征在于：步骤S1具体步骤如下：
[0010]步骤S11、数据拥有者生成若干随机数，随机数通过对称加密得到对一级密文，并将一级密文传给地方当局；
[0011]步骤S12、数据拥有者建立访问策略树，并将访问策略树和一级密文一同传输给雾
节点；
[0012]步骤S13、雾节点接收到带有访问策略树的一级密文进行CP
‑
ABE加密，得到二级密文；
[0013]步骤S14、将二级密文存储到数据存储器中。
[0014]优选的，通过全球权威机构生成公共参数，访问策略树中任意节点生成一个多项式和一个角，每一节点均有一个对应的多项式和角，步骤S13中CP
‑
ABE加密具体步骤如下：
[0015]步骤S131、雾节点生成随机验证数，将根节点的多项式的零次项的值设置为与随机验证数相等；
[0016]步骤S132、设置访问策略树中除根节点外的其他节点的多项式零次项，将该节点的多项式零次项设置为该节点的父节点的多项式与该节点在父节点的子节点列表中的索引值的乘积；
[0017]步骤S133、将角的值设置为该节点的阈值减1；
[0018]步骤S134、通过公共参数和节点的多项式零次项生成二级密文。
[0019]优选的，步骤S2的具体步骤如下：
[0020]步骤S21、数据使用者向地方当局发起数据请求，并提供访问凭证；
[0021]步骤S22、地方当局使用属性基加密算法对数据使用者请求的密文进行解密；
[0022]步骤S23、数据使用者得到地方当局解密的明文；
[0023]步骤S24、数据使用者使用密码学的完整性保护机制对明文进行计算，生成校验值，将计算得到的校验值传递给地方当局中的LA机构，LA机构验证将接收到的校验值与数据存储器中的值进行比较，若相同则进行步骤S25；反之，则LA机构向地方当局发送数据篡改信号，地方当局拒绝数据使用者访问；
[0024]步骤S25、数据使用者向LA机构提供访问凭证和属性信息，LA机构验证数据使用者是否具有访问权限；
[0025]步骤S26、若数据使用者访问权限验证通过，地方当局则将解密密钥传输给数据使用者；若数据使用者访问权限验证未通过，地方当局则拒绝数据使用者的访问请求。
[0026]优选的，所述步骤S3的解密具体步骤如下：
[0027]步骤S31、将密文和解密密钥输入到雾节点，定义递归算法解密节点，解密节点包括密文、解密密钥和递归节点；
[0028]步骤S32、判断递归节点是否属于访问策略树上的节点，若递归节点是访问策略树上的节点，则执行步骤S33；反之，则执行步骤S34；
[0029]步骤S33、计算递归节点的属性，若递归节点的属性不属于步骤S131生成的随机验证数，则解密节点返回空值；反之，解密节点进行解密计算；
[0030]步骤S34、将该节点的每个子节点均调用解密节点进行计算，并将结果存储起来，判断该节点的子节点集合是否存在一个子集，其属性或访问权限满足要求，若存在则进行解密计算；反之则返回空值。
[0031]一种基于雾物联网环境下的细粒度访问控制系统，包括如下模块：
[0032]加密模块、数据拥有者生成访问策略和若干随机数，若干随机数通过对称加密生成一级密文，将一级密文传输给地方当局，并将带有访问策略的密文传输到雾节点进行二次加密，得到二级密文，将二级密文存储到数据存储器中；
[0033]验证模块、数据使用者向地方当局请求解密密钥并提供访问凭证，全球权威机构使用访问凭证和属性信息对请求的密文进行解密，得到明文，数据使用者检查明文的完整性和提取解密密钥，地方当局验证数据使用者是否具有访问权限，若数据使用者具有权限，地方当局将解密密钥传给数据使用者；反之拒绝数据使用者访问；
[0034]解密模块、数据使用者获得授权的解密密钥对请求的密文进行解密，获得请求密文的原始数据。
[0035]与现有技术相比，本专利技术的有益效果是：
[0036]本专利技术可以实现对物联网设备的细粒度访问控制，传统的访问控制模型可能只能提供粗粒度的权限管理，而基于属性的访问控制模型可以根据不同用户和设备的具体属性，对其进行精细的权限划分，这种细粒度的访问控制可以增强系统的安全性和隐私保护能力。
[0037]本专利技术可以更好地管理用户和设备的角色和权限，通过角色管理，系统管理员可以更方便地对用户和设备的权限进行集中管理和分配，这种角色基础的权限管理方式简化了系统的管理流程，并提高了系统的可维护性。
[0038]本专利技术实现了轻量级的可验证性，需要一次配对操作来检查数据的正确性，它考虑了受限的环境，因此物联网设备可以支持用户端的计算和存储开销，在不本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于雾物联网环境下的细粒度访问控制方法，包括雾节点、全球权威机构和地方当局，全球权威机构负责管理和颁发访问策略、密钥和权限，地方当局负责验证和授权数据请求者的访问权限，其特征在于：所述方法包括如下步骤：步骤S1、数据拥有者生成访问策略和若干个随机数；通过访问策略和若干个随机数依次生成一级密文和二级密文；并将一级密文传输给地方当局，将二级密文存储到数据存储器中；步骤S2、数据使用者向地方当局请求解密密钥并提供访问凭证和属性信息，地方当局使用访问凭证和属性信息对请求的密文进行解密，得到明文，数据使用者检查明文的完整性，地方当局验证数据使用者是否具有访问权限，若数据使用者具有权限，地方当局将解密密钥传给数据使用者；反之拒绝数据使用者访问；步骤S3、数据使用者获得解密密钥对请求的密文进行解密，获得请求密文的原始数据。2.根据权利要求1所述的一种基于雾物联网环境下的细粒度访问控制方法，其特征在于：步骤S1具体步骤如下：步骤S11、数据拥有者生成若干随机数，随机数通过对称加密得到对一级密文，并将一级密文传给地方当局；步骤S12、数据拥有者建立访问策略树，并将访问策略树和一级密文一同传输给雾节点；步骤S13、雾节点接收到带有访问策略树的一级密文进行CP
‑
ABE加密，得到二级密文；步骤S14、将二级密文存储到数据存储器中。3.根据权利要求2所述的一种基于雾物联网环境下的细粒度访问控制方法，其特征在于：通过全球权威机构生成公共参数，访问策略树中任意节点生成一个多项式和一个角，每一节点均有一个对应的多项式和角，步骤S13中CP
‑
ABE加密具体步骤如下：步骤S131、雾节点生成随机验证数，将根节点的多项式的零次项的值设置为与随机验证数相等；步骤S132、设置访问策略树中除根节点外的其他节点的多项式零次项，将该节点的多项式零次项设置为该节点的父节点的多项式与该节点在父节点的子节点列表中的索引值的乘积；步骤S133、将角的值设置为该节点的阈值减1；步骤S134、通过公共参数和节点的多项式零次项生成二级密文。4.根据权利要求1所述的一种基于雾物联网环境下的细粒度访问控制方法，其特征在于：步骤S2的具体步骤如下：步骤S21、数据使用者向地方当局发起数据请求，并提供访问凭证；步骤S2...

【专利技术属性】
技术研发人员：张峰，石建，张佳乐，孙茂圣，刘运杰，韩朝阳，
申请(专利权)人：杭州后量子密码科技有限公司，
类型：发明
国别省市：