CN109412809A - 基于可认证层次化属性加密的sdn信息访问控制方法 - Google Patents

Abstract

一种基于可认证层次化属性加密的SDN信息访问控制方法，基于属性权威、SDN控制器、加密组件和解密组件构成的控制系统，属性权威中的根属性权威负责全局属性的注册以及公钥的发布，局部属性权威负责发布与某一类属性有关的私钥，SDN控制器负责收集、存储和管理包括SDN流表、路由以及数据量在内的重要信息，并与其他域的SDN控制器交互；加密组件负责将收集到的用户或者其他网络设备数据传递到SDN控制层并对数据进行加密操作；解密组件负责为不同的网络应用获取有用的数据，解密组件用不同的属性集合来描述不同网络应用的身份，并拥有一个与该属性集合相对应的私钥，只有私钥其中嵌入的属性集合满足访问策略，才能获取正确信息。

Description

基于可认证层次化属性加密的SDN信息访问控制方法

技术领域

本发明涉及SDN信息的安全访问控制，尤其涉及一种基于可认证层次化属性加密的SDN信息访问控制方法，属于网络信息安全领域。

背景技术

软件定义网络(software defined network，简称SDN)是一种优秀的网络架构，它在逻辑上将网络的控制层与数据层分离，从而降低了网络建设的硬件成本、管理成本。在此基础上，管理员或者开发者能够方便地对来自不同厂商的设备进行集中化的调试。尽管具备诸多优势，SDN信息安全问题却阻碍其进一步的应用，许多方案难以在安全性、有效性以及可用性之间取得平衡，甚至限制了SDN的可扩展性等固有优势。其中最严重的问题之一就是由于SDN控制层方便了远程控制，这就导致了控制层掌控的网络敏感信息极易受到远程控制从而被攻击者窃取。然而，现有的解决方案不足以实现SDN灵活、高效而又准确的信息安全管理，因此部署安全、灵活、高效的信息安全管理机制尤为重要。

发明内容

为适应SDN环境，提高SDN信息管理的安全性和高效性，本发明提出了一种基于可认证层次化属性加密的SDN信息访问控制方，其核心思想是：采用层次化的属性权威不仅将其权力以及计算负担分散，还提高了属性权威的可扩展性。在此基础上，本方案使得消息密文的尺寸常量化，降低了密文存储的开销。在授权过程中，由于我们嵌入了与生成授权私钥相关的所有局部属性权威以及用户的唯一身份识别，因此在解密过程中实现了私钥的认证机制。因此在保证属性权威可扩展性的同时，保证了其他非认证机构不可以充当属性权威肆意发布私钥，即使发布了私钥也无法完成解密操作。

为实现上述发明目的，本发明采用以下技术方案：一种基于可认证层次化属性加密的SDN信息访问控制方法，其特征在于：基于属性权威、SDN控制器、加密组件和解密组件四部分构成的控制系统；属性权威采用等级式结构，位于控制层，包括根属性权威和局部属性权威，根属性权威是一个可信的权威机构，负责全局属性的注册以及公钥的发布，是所有局部属性权威的起点；局部属性权威负责发布与某一类属性有关的私钥，这些属性构成的集合是全局属性集合的真子集，局部属性权威是一个半可信的机构，尽管可以发布私钥并认证私钥的合法性，但是有可能将自己的私钥泄露给他人；SDN控制器位于控制层，负责收集、存储和管理包括SDN流表、路由以及数据量在内的重要信息，该重要信息包含各类用户或者设备的敏感信息，每个SDN控制器存储和管理各自域内的重要信息，同时负责与其他域的SDN控制器交互；加密组件位于数据层，负责将收集到的用户或者其他网络设备数据传递到SDN控制层，传递之前，为不同的数据制定相应的访问策略并对数据进行加密操作；解密组件位于管理层，负责为不同的网络应用获取有用的数据，解密组件用不同的属性集合来描述不同网络应用的身份，并拥有一个与该属性集合相对应的私钥，只有私钥来自于合法机构，并且其中嵌入的属性集合满足访问策略，就能够成功获取数据；

包括以下步骤：

第一步：启动访问控制系统，利用属性权威注册SDN所有用户以及设备属性，构建全局属性集合Ω＝{att₁,att₂,att₃,…,att_N}，其中任意一个属性att_j为用户所具备的某种特征，j∈{1,2,...,n}是该属性的唯一索引号，构建一个与全局属性集合Ω相对应的全局傀儡属性集合Ω′＝{att_N+1,att_N+2,...,att_2N-1}，该属性集合中所有属性都不是真实的用户属性，而是为了方便后续计算而产生的属性，然后输入安全参数λ，根属性权威调用初始化算法生成公钥PK和根密钥RSK；

第二步：SDN控制层中某机构申请成为局部属性权威，如果是向根属性权威申请成为一级局部属性权威，设其唯一的身份识别为id₁，所管理的真实属性集合为Ω_1,real，该集合满足Ω_1,real∈Ω，那么根属性权威将其属性集合设置为Ω₁＝Ω_1,real∪Ω′，然后调用局部属性权威授权算法生成私钥SK₁，将属性集合Ω₁和唯一身份识别id₁嵌入到私钥当中；

第三步：如果是申请成为等级i(i≥2)的局部属性权威，假设等级i属性权威的唯一身份识别为id_i，其上一级局部属性权威私钥是SK_i-1，假设该局部属性权威管理的真实属性集合为Ω_i,real，那么等级i-1的局部属性权威将其属性集合设置为Ω_i＝Ω_i,real∪Ω′，然后调用局部属性权威授权算法生成私钥SK_i，将属性集合Ω_i和唯一身份识别id_i嵌入到私钥当中；

第四步：SDN应用层中某个应用的加密组件请求等级i的局部属性权威进行授权，假设该应用的唯一身份识别为id_i+1，该解密组件向局部属性权威提交自己的真实属性集合S_real，该局部属性权威将其属性集合设置为S＝S_real∪Ω′，如果满足那么调用用户授权算法生成该应用的用户私钥SK_u，将属性集合S和唯一身份识别id_i+1嵌入到用户私钥当中；

第五步：SDN数据层当中的某个或者某些设备产生了信息并以消息明文M的形式存在，其加密组件制定了相应的访问策略其中为访问策略当中所包含属性的集合，t为访问策略的阈值，满足1≤t≤|Ω|，紧接着产生一个傀儡属性集合使得并且然后调用加密算法生成定长的消息密文CT＝{r,C₀,C₁,C₂,C₃}，其中r,C₀,C₁,C₂,C₃均为消息密文CT的组件；

第六步：SDN应用层的某个应用向SDN控制层请求访问关于数据层信息的消息明文M，此时控制器将关于该信息的消息密文CT发送给该应用；

第七步：关于该应用的解密组件调用解密算法，输入公钥PK、私钥SK、以及刚刚获取的消息密文CT，验证消息密文CT是否合法。若消息密文CT非法则返回符号⊥终止解密，否则进入下一步；

第八步：解密组件尝试通过用户私钥SK_u以及消息密文CT计算得到参数D₁以及D₂，如果用户私钥当中嵌入的属性集合S_real满足才能得到参数D₁和D₂，并且通过参数D₁和D₂计算得到参数其中e表示双线性映射；

第九步：解密组件与发布其私钥相关的等级i局部属性权威协作，利用双向安全计算计算得到参数其中id_i+1是用户的唯一身份识别，s_i+1是用户产生的秘密随机数，H是一个抗碰撞的哈希函数，它将id_i+1与s_i+1的串联结果id_i+1||s_i+1映射为群中元素。如果该解密组件的唯一身份识别不正确，则不会得到正确的参数T_i，所以不会通过认证，以此类推，用户与所有涉及其私钥生成的属性权威互动，只有所有的局部属性权威的唯一身份识别得到认证，才能通过迭代最终生成参数并计算获取消息明文M。

所述初始化算法是输入一个安全参数λ以及全局的真实属性集合Ω，输出公钥PK以及根密钥RSK，其中公钥PK向全网公开，而根密钥由属性权威保存；算法过程如下：

1)定义全局的真实属性集合Ω＝{att₁,att₂,…,att_N}，其中任意属性att_j是关于系统中用户的某种特征，j∈{1,2,...,N}是该属性的唯一索引号。其次构建全局傀儡属性集合Ω′＝{att_N+1,att_N+2,…,att_2N-1}，其中所有属性都不是真实的用户属性，而是为了方便后续的计算而设置的。对于任意属性att_j∈Ω∪Ω′，定义index(att_j)返回该属性的索引j；

2)定义一个从加法循环群到乘法循环群的双线性映射设g是群的一个生成元。选择位于群上的一系列随机数以及整数循环群上的秘密随机数然后选择一个抗碰撞的哈希函数该函数将任意长度的二进制字符串映射为整数循环群上的某一个元素，随后计算生成元素g₁＝g^x和Z＝e(g₁,g₂)；

3)输出根密钥RSK＝x以及公钥PK＝{g,g₁,g₂,Z,h₀,h₁,…,h_2N-1,δ₁,δ₂,δ₃,H₁}。

所述局部属性权威授权算法是一个迭代算法，如果是初次执行，算法输入一个局部的真实属性集合Ω_1,real以及根密钥RSK，并输出一级局部属性权威私钥SK₁，否则输入一个局部的真实属性权威Ω_i+1,real以及一个属性权威的私钥SK_i，其中i>1，最终输出一个新的局部属性权威私钥SK_i；算法过程如下：如果是一级局部属性权威，设其唯一的身份识别为id₁，那么根属性权威执行以下计算以授权：

1)选择一个次数为N-1的随机多项式q，使得q(0)＝RSK；

2)一级局部属性权威选择一个秘密数s₁∈{0,1}^*作为主密钥，并发送H(id₁||s₁)给根属性权威，其中id₁||s₁表示id₁与s₁的串联结果；

3)如果某一级局部属性权威管理的真实属性集合是那么该一级局部属性权威的属性集合就是Ω₁＝Ω_1,real∪Ω′满足，那么对于每个属性att_j∈Ω₁选择一个整数群Z_p上的随机数r_1,j∈Z_p。然后通过计算产生三种元素：以及最终生成以下私钥组件：

4)输出一级局部属性权威的私钥

如果是等级i(i≥2)的局部属性权威，假设其唯一的身份识别为id_i，其上一级局部属性权威私钥是其中那么执行以下计算以授权：

1)等级i的局部属性权威选择一个秘密数s_i∈Z_p作为主密钥，并发送H(id_i||s_i)给等级i-1的局部属性权威；

2)设该局部属性权威管理的真实属性集合是Ω_i,real，那么其属性集合就是Ω_i＝Ω_i,real∪Ω′，该集合满足对于任意属性att_j∈Ω_i，选择一个随机数r_i,j∈Z_p并通过计算产生三种元素：最后生成以下的私钥组件：

3)输出该局部属性权威的私钥

所述用户授权算法是输入一个真实的属性集合S_real以及一个局部属性权威私钥SK_i，最终输出用户私钥SK_u；算法过程如下：如果某个用户向等级i的局部属性权威申请获取私钥，假设其唯一的身份识别为id_i+1，那么则执行以下操作：

1)用户选择一个秘密数s_i+1∈Z_p作为主密钥，并发送H(id_i+1||s_i+1)给等级i的局部属性权威；

2)如果用户的真实属性集合为S_real，那么令该用户的属性集合为S＝S_real∪Ω′，该集合必须满足才可以通过等级i的局部属性权威申请授权。对于任意属性att_j∈S，选择一个随机数r_i+1,j∈Z_p并通过计算产生三种元素： 最终生成以下的私钥组件：

3)输出关于新的局部属性权威或用户的私钥

所述加密算法是输入一个访问策略消息明文M以及公钥PK，最终输出定长的消息密文CT；算法过程如下：

1)定义一个属性集合然后生成一个访问策略其中并且1≤t≤|Ω|；

2)产生一个傀儡属性集合使得并且

3)选择两个随机数s,r∈Z_p并利用公钥PK和消息明文M计算产生三种密文组件：C₀＝M·Z^s，C₁＝g^s，和随后计算得到并利用c产生第四个密文组件最终生成定长的密文CT＝{r,C₀,C₁,C₂,C₃}。

所述解密算法是输入公钥PK、消息密文CT以及用户私钥SK_u，如果私钥SK_u当中嵌入的属性集合S_real满足消息密文CT当中嵌入的访问策略那么最终输出正确的消息明文M；算法过程如下：

1)获取消息密文CT后，利用公钥PK以及消息密文组件C₂和C₃验证以下等式是否成立：

如果上式全部成立则验证通过，用户继续完成解密操作，否则认为该密文是非法密文并返回符号⊥终止解密；

2)执行如下计算得到参数D₁和D₂：

其中S′_real是对应于用户真实属性集合S_real的属性索引号集合，是对应于傀儡属性集合的属性索引号集合，为属性索引号j在索引集合当中的拉格朗日系数；

3)执行以下计算得到参数T_i+1：

4)计算得到参数其中id_i+1是用户的唯一身份识别，s_i+1是用户产生的秘密随机数，H是一个抗碰撞的哈希函数，它将id_i+1与s_i+1的串联结果id_i+1||s_i+1映射为群中元素。该计算由用户与i级局部属性权威协作完成，为了防止计算过程中一级局部属性权威的主秘密泄露，采用双向安全计算技术实现参数T_i的计算；

5)以此类推，用户与所有涉及其私钥生成的属性权威互动生成参数

6)最终执行以下计算获取正确的消息明文M：

只有私钥组件当中嵌入的属性集合S_real满足时，才能成功获取参数T_i+1，相反任何不满足该条件的私钥都无法获取T_i+1，此外，如果私钥并不是从授权机构获得，即使拥有参数T_i+1也无法获取参数T₀，从而无法得到任何有关消息密文CT的信息。

本发明的优点及显著效果：

1、功能优势

为说明本发明的功能优势，将本发明与W方法(Waters B.Ciphertext-policyattribute-based encryption:an expressive,efficient,and provably securerealization[C]//Proceedings of 14th International Conference on Practice andTheory in Public Key Cryptography,Taormina,Italy,March 6-9,2011.Berlin:Springer,2011:53-70.)、HLM方法(He S,Liu J,Mao J,et al.Hierarchical solutionfor access control and authentication in software defined net-works[C]//Proceedings of 8th International Conference on Network and System Security,Xi’an,China,October 15-17,2014.Berlin:Springer,2014:70-81)、TYX方法(Teng W,Yang G,Xiang Y,et al.Attribute-Based Access Control with Constant-SizeCiphertext in Cloud Computing[J].IEEE Transactions on Cloud Computing,2017,5(4):617-627)以及ODR方法(Odelu V,Das A K,Rao Y S,et al.Pairing-based CP-ABEwith constant-size ciphertexts and secret keys for cloud environment[J].Computer Standards&Interfaces,2017,54(Part 1):3-9.)的功能进行了分析比较，比较结果如图2所示。

W方法在公钥、私钥和密文长度上均随其中的所包含的属性个数的增加呈线性增长，在安全性和高效性上取得了不错的平衡。然而该方案既不支持层次化的属性权威也不支持私钥联合认证。HLM方法是一种基于层次化权威的CP-ABE方案，该方案当中的属性权威层次l在初始化阶段已经设定好之后便无法再更改，在一定程度上限制了方案的可扩展性，同时该方法并不支持在解密阶段对私钥的联合认证。TYX方法与本方法相似，实现了密文长度常量化，同时使得方案的安全等级达到了IND-CCA2。但是该方案并不支持私钥的联合认证，这有可能造成即使某些用户得到了并不一定来自合法权威的所谓授权私钥，但其仍可以实现正确的解密操作。ODR方法采用了一种基于与门的访问策略构建了私钥和密文长度均为常量的CP-ABE方案，但是与门访问策略的表达性有所欠缺，同时也不支持层次化权威以及私钥联合认证。

本发明不仅保证密文长度常量化，其层次化的属性权威可以在理论上无限扩展，还支持在解密过程中对私钥进行联合的认证。在解密过程中，所使用的私钥必须经过所有与该私钥发布相关的属性权威的认证，只有通过认证才能最终获取消息明文。比如某机构经过授权获取了私钥，但是并没有授权可以向他人发布私钥，而该机构却肆意向他人发布私钥。在这样的情况下，即使有人获取该机构发布的私钥，那么他仍然不能正确的解密。此外本发明的安全性达到了IND-CCA2等级。因此在在SDN信息安全访问领域中，本发明具有显著的优势。

2、高效性

为了直观反映本发明的高效性，我们对本发明进行了仿真实验。仿真平台选择为Windows 10(Intel(R)Core(TM)i7-5600U@2.6GHz，8GB RAM)，选择的代码库JPBC2.0，方案基于512位椭圆曲线，阶为120bit大素数，仿真记录了在不同属性数量下的密钥长度、加密时间以及解密时间。

本方案模型在不同属性数量下的密文长度时间如图3所示，可以看到访问策略里的属性个数从5个增加到50个这一过程中，密文的大小稳定在1.25KB左右，基本没有变化。因此随着属性数量的增长，密文的存储并不会对SDN控制层造成明显的负担。图4记录了本发明在访问策略包含不同的属性数量下的加密时间。在访问策略里包含5个属性数量的情况下加密时间大约是79ms。随着属性数量的增长，可以看出加密时间呈现出了线性增长，终于在属性数量达到了50个的时候加密时间达到了544ms。尽管加密时间呈现出了线性增长，但是在模型中我们认为一般的SDN设备属性数量并不会超过50个，这与实际情况也是比较吻合的。在解密组件的属性集合包含不同属性数量情况下，我们记录了相应的密文解密时间，记录如图4所示。在属性集合包含5个属性的情况下，解密时间大约是2.55s。但是随着属性数量的增加，解密时间呈现了指数型上升，主要是因为解密过程中计算D₁和D₂的时间复杂度几乎达到了O(|S|²)。不过考虑到实际情况下SDN设备属性数量一般不会超过50个，因此这几乎就是解密时间的极限。

因此结合SDN实际情况，本发明保持了一定程度的高效性，其整体的性能相当可观。

附图说明

图1是本发明方法系统结构图；

图2是本发明功能增益效果示例图；

图3是本发明密文长度记录；

图4是本发明加密时间记录；

图5是本发明解密时间记录；

图6是本发明方法流程图。

具体实施方式

下面结合附图及实例来详细描述本发明。

参看图1，本发明方法系统分布在SDN的数据层、控制层以及管理层，包括属性权威、SDN控制器、加密组件和解密组件四种角色构成的控制系统，其中，属性权威包括根属性权威和局部属性权威。本发明方法启动时，由根属性权威率先执行初始化操作并向数据层的加密组件和管理层的解密组件传递参数。其次从根属性权威开始层层迭代实现授权操作，其中包括局部属性权威授权以及用户授权。然后位于数据层的加密组件对获取的数据进行加密操作，通过自由制定的访问策略加密获取不同形式的消息密文，并将产生的消息密文转交给SDN控制器。当收到来自解密组件的解密请求时，SDN控制器将密文传递给解密组件。解密组件在尝试解密的过程中同时完成私钥的认证操作，只有私钥合法且满足加密组件制定的访问策略时才能获取正确的消息明文。

根属性权威：位于SDN的控制层，是一个可信的权威机构，负责全局属性的注册以及公钥的发布，是所有局部属性权威的起点。

局部属性权威：位于SDN的控制层，负责发布与某一类属性有关的私钥，这些属性构成的集合是全局属性集合的真子集。局部属性权威是一个半可信的机构，尽管可以发布私钥并认证私钥的合法性，但是有可能将自己的私钥泄露给他人。

SDN控制器：位于SDN的控制层，负责收集、存储和管理SDN流表、路由以及数据量等重要信息，其中包含各类用户或者设备的敏感信息。每个SDN控制器存储和管理各自域内的重要信息，同时负责与其他域的SDN控制器交互。。

加密组件：是位于SDN数据层的组件，为交换机、网关、IoT感知节点以及路由器等提供信息的加密服务，为不同的数据制定相应的访问策略并对数据进行加密操作，将收集到的用户或者其他网络设备数据从消息明文形式转换为消息密文形式传递到SDN控制层。

解密组件：是位于SDN管理层的组件，负责为不同的SDN应用提供信息的解密服务从而获取有用的数据，解密组件用不同的属性集合来描述不同网络应用的身份，并拥有一个与该属性集合相对应的私钥。只有私钥来自与合法机构，并且其中嵌入的属性集合满足访问策略，就可以成功获取数据。

参看图6，本发明的方法流程如下：

第一步：启动访问控制系统，利用属性权威注册SDN所有用户以及设备属性，构建全局真实属性集合Ω＝{att₁,att₂,…,att_N}，其中任意一个属性att_j是关于系统中用户的某种特征，j∈{1,2,...,N}是该属性的唯一索引号。其次构建一个与全局属性集合Ω相对应的全局傀儡属性集合Ω′＝{att_N+1,att_N+2,…,att_2N-1}，该属性集合中所有属性都不是真实的用户属性，而是为了方便后续的计算而设置的。对于任意属性att_j∈Ω∪Ω′，定义index(att_j)返回该属性的索引j。定义一个从加法循环群到乘法循环群的双线性映射设g是群的一个生成元。选择位于群上的一系列随机数以及整数循环群上的秘密随机数然后选择一个抗碰撞的哈希函数该函数将任意长度的二进制字符串映射为整数循环群上的某一个元素，随后计算生成元素g₁＝g^x和Z＝e(g₁,g₂)。输入安全参数λ，属性权威调用初始化算法生成公钥PK和根密钥RSK：

PK＝{g,g₁＝g^x,g₂,Z＝e(g₁,g₂),

h₀,h₁,…,h_2N-1,δ₁,δ₂,δ₃,H:{0,1}^*→Z_p}

RSK＝x；

第二步：SDN控制层中某机构申请成为局部属性权威，如果是向根属性权威申请成为一级局部属性权威，设其唯一的身份识别为id₁，所管理的真实属性集合为那么根属性权威将其属性集合设置为Ω₁＝Ω_1,real∪Ω′，然后调用局部属性权威授权算法生成私钥将属性集合Ω₁和唯一身份识别id₁嵌入到私钥当中，其中：

第三步：如果是申请成为等级i(i≥2)的局部属性权威，记其唯一身份识别为id_i，其上一级局部属性权威私钥是其中假设该局部属性权威管理的真实属性集合为Ω_i,real，那么等级i-1的局部属性权威将其属性集合设置为Ω_i＝Ω_i,real∪Ω′，然后调用局部属性权威授权算法生成私钥将属性集合Ω_i和唯一身份识别id_i嵌入到私钥当中，其中：

第四步：SDN应用层中某个应用的加密组件请求等级i的局部属性权威进行授权，假设该应用的唯一身份识别为id_i+1，该解密组件向局部属性权威提交自己的真实属性集合S_real，该局部属性权威将其属性集合设置为S＝S_real∪Ω′，如果满足那么调用用户授权算法生成该应用的用户私钥将属性集合S和唯一身份识别id_i+1嵌入到用户私钥当中，其中：

第五步：SDN数据层当中的某个或者某些设备产生信息M，其加密组件制定了相应的访问策略其中并且1≤t≤|Ω|，紧接着产生一个傀儡属性集合使得并且然后调用加密算法产生两个随机数s,r∈Z_p并计算产生三种密文组件：C₀＝M·Z^s，C₁＝g^s，和随后计算得到并利用c产生第四个密文组件最终生成定长的密文CT＝{r,C₀,C₁,C₂,C₃}；

第六步：SDN应用层的某个应用向SDN控制层请求访问关于数据层的信息M，此时控制器将关于该信息的密文CT发送给该应用；

第七步：关于该应用的解密组件调用解密算法，输入公钥PK、私钥SK、以及刚刚获取的密文CT，利用公钥PK以及密文组件C₂和C₃验证以下两等式是否成立：

如果两等式不成立，认为该密文是非法密文并返回符号⊥终止解密，否则进入第八步；

第八步：解密组件尝试计算得到以及其中S′_real是对应于用户真实属性集合S_real的属性索引号集合，是对应于傀儡属性集合的属性索引号集合，为属性索引号j在索引集合当中的拉格朗日系数。如果用户私钥当中嵌入的属性集合S_real满足将能得到参数D₁和D₂，并且通过参数D₁和D₂：计算得到参数T_i+1：

第九步：解密组件与发布其私钥相关的等级i局部属性权威协作，利用双向安全计算计算得到参数其中id_i+1是用户的唯一身份识别，s_i+1是用户产生的秘密随机数，H是一个抗碰撞的哈希函数，它将id_i+1与s_i+1的串联结果id_i+1||s_i+1映射为群中元素。如果该解密组件的唯一身份识别不正确，则不会得到正确的参数T_i，所以不会通过认证，以此类推，用户与所有涉及其私钥生成的属性权威互动，只有所有的局部属性权威的唯一身份识别得到认证，才能最终生成参数并执行以下计算获取明文M：

上述九个步骤中，涉及的初始化算法、局部属性权威授权算法、用户授权算法、加密算法和解密算法共五个算法的具体实施流程如下：

1、初始化算法：该算法输入一个安全参数λ以及全局的真实属性集合Ω，输出公钥PK以及根密钥RSK，其中公钥PK向全网公开，而根密钥由属性权威保存；

(1)定义一个全局的真实属性集合Ω＝{att₁,att₂,…,att_N}，其中任意一个属性att_j为用户所具备的某种特征，j∈{1,2,...,n}是该属性的唯一索引号。其次构建一个与全局属性集合Ω相对应的全局傀儡属性集合Ω′＝{att_N+1,att_N+2,...,att_2N-1}，该属性集合中所有属性都不是真实的用户属性，而是为了方便后续计算而产生的属性。对于任意属性att_j∈Ω∪Ω′，定义index(att_j)返回该属性的索引j；

(2)定义一个从加法循环群到乘法循环群的双线性映射设g是群的一个生成元。选择位于群上的一系列随机数以及整数循环群上的秘密随机数然后选择一个抗碰撞的哈希函数该函数将任意长度的二进制字符串映射为整数循环群上的某一个元素，随后计算生成元素g₁＝g^x和Z＝e(g₁,g₂)；

(3)输出根密钥RSK＝x以及公钥PK＝{g,g₁,g₂,Z,h₀,h₁,…,h_2N-1,δ₁,δ₂,δ₃,H₁}。

2、局部属性权威授权算法：该算法是一个迭代算法，如果是初次执行，算法输入一个局部的真实属性集合Ω_1,real以及根密钥RSK，并输出一级局部属性权威私钥SK₁。否则输入一个局部的真实属性权威Ω_i+1,real以及一个属性权威的私钥SK_i，其中i>1，最终输出一个新的局部属性权威私钥SK_i。算法过程如下：如果是一级局部属性权威，设其唯一的身份识别为id₁，那么根属性权威执行以下计算以授权：

(1)选择一个次数为N-1的随机多项式q，使得q(0)＝RSK；

(2)一级局部属性权威选择一个秘密数s₁∈{0,1}^*作为主密钥，并发送H(id₁||s₁)给根属性权威；

(3)如果某一级局部属性权威管理的真实属性集合是那么该一级局部属性权威的属性集合就是Ω₁＝Ω_1,real∪Ω′满足，那么对于每个属性att_j∈Ω₁选择一个随机数r_1,j∈Z_p然后通过计算产生三种元素：以及最终生成以下私钥组件：

(4)输出一级局部属性权威的私钥

如果是等级i(i≥2)的局部属性权威，假设其唯一的身份识别为id_i，其上一级局部属性权威私钥是其中执行以下计算以授权：

(1)等级i的局部属性权威选择一个秘密数s_i∈Z_p作为主密钥，并发送H(id_i||s_i)给等级i-1的局部属性权威；

(2)设该局部属性权威管理的真实属性集合是Ω_i,real，那么其属性集合就是Ω_i＝Ω_i,real∪Ω′，该集合满足对于任意属性att_j∈Ω_i，选择一个随机数r_i,j∈Z_p并通过计算产生三种元素： 最后生成以下的私钥组件：

(3)输出该局部属性权威的私钥

3、用户授权算法：该算法输入一个真实的属性集合S_real以及一个局部属性权威私钥SK_i，最终输出用户私钥SK_u。算法过程如下：如果某个用户向等级i的局部属性权威申请获取私钥，假设其唯一的身份识别为id_i+1，那么则执行以下操作：

(1)用户选择一个秘密数s_i+1∈Z_p作为主密钥，并发送H(id_i+1||s_i+1)给等级i的局部属性权威；

(2)如果用户的真实属性集合为S_real，那么这个用户的属性集合为S＝S_real∪Ω′，该集合满足对于任意属性att_j∈S，选择一个随机数r_i+1,j∈Z_p并通过计算产生三种元素以及最终生成以下的私钥组件：

(3)输出关于新的局部属性权威或用户的私钥

4、加密算法：该算法输入一个访问策略消息明文M以及公钥PK，最终输出定长的消息密文CT。所述加密算法是输入一个访问策略消息明文M以及公钥PK，最终输出定长的消息密文CT；算法过程如下：

(1)定义一个属性集合然后生成一个访问策略其中并且1≤t≤N；

(2)选择一个傀儡属性集合使得并且

(3)选择两个随机数s,r∈Z_p并计算产生三种密文组件：C₀＝M·Z^s，C₁＝g^s，和随后计算得到并利用c产生第四个密文组件最终生成定长的密文CT＝{r,C₀,C₁,C₂,C₃}。

5、解密算法：该算法是输入公钥PK、消息密文CT以及用户私钥SK_u，如果私钥SK_u当中嵌入的属性集合S_real满足密文CT当中嵌入的访问策略那么最终输出正确的消息明文M；算法过程如下：

(1)获取密文后，利用公钥和密文组件C₂和C₃验证以下等式是否成立：

如果上式全部成立，用户则继续完成解密操作，否则认为该密文是非法密文并返回符号⊥终止解密；

(2)执行如下计算得到参数D₁和D₂：

其中S_r′_eal是对应于用户真实属性集合S_real的属性索引号集合，是对应于傀儡属性集合的属性索引号集合，为属性索引号j在索引集合当中的拉格朗日系数；

(3)执行以下计算得到参数T_i+1：

(4)计算得到参数其中id_i+1是用户的唯一身份识别，s_i+1是用户产生的秘密随机数，H是一个抗碰撞的哈希函数，它将id_i+1与s_i+1的串联结果id_i+1||s_i+1映射为群中元素。该计算由用户与i级局部属性权威协作完成，为了防止计算过程中一级局部属性权威的主秘密泄露，可以采用双向安全计算技术实现参数T_i的计算；

(5)以此类推，用户与所有涉及其私钥生成的属性权威互动生成参数

(6)最终执行以下计算获取正确的消息明文：

可以看出，只有私钥组件当中嵌入的属性集合S_real满足时，才能成功获取参数T_i+1，相反任何不满足该条件的私钥都无法获取T_i+1。此外，如果私钥并不是从授权机构获得，即使拥有参数T_i+1也无法获取参数T₀，从而无法得到任何有关密文的信息。

参看图2，本发明与现有技术W方法、HLM方法和TYX方法相比较，本发明方法不仅保证了密文长度常量化，其层次化的属性权威可以在理论上无限扩展，还支持在解密过程中对私钥进行联合的认证。

参看图3，本发明模型在不同属性数量下的密文长度时间，可以看到访问策略里的属性个数从5个增加到50个这一过程中，密文的大小稳定在1.25KB左右，基本没有变化。因此随着属性数量的增长，密文的存储并不会对SDN控制层造成明显的负担。

参看图4，记录了本发明在访问策略包含不同的属性数量下的加密时间。在访问策略里包含5个属性数量的情况下加密时间大约是79ms。随着属性数量的增长，可以看出加密时间呈现出了线性增长，终于在属性数量达到了50个的时候加密时间达到了544ms。尽管加密时间呈现出了线性增长，但是在模型中我们认为一般的SDN设备属性数量并不会超过50个，这与实际情况也是比较吻合的。

参看图5，记录了本发明在访问策略包含不同属性数量下的解密时间。在访问策略里包含5个属性的情况下解密时间大约是2.5秒。随着属性数量的增长，解密时间呈现平方指数型的增长。当属性数量达到50个的时候，解密时间大约在250秒。在SDN模型中，我们系统所包含的属性个数不会超过50个，因此整体解密效率还是比较可观的。

Claims (6)

1.一种基于可认证层次化属性加密的SDN信息访问控制方法，其特征在于：基于属性权威、SDN控制器、加密组件和解密组件四部分构成的控制系统；属性权威采用等级式结构，位于控制层，包括根属性权威和局部属性权威，根属性权威是一个可信的权威机构，负责全局属性的注册以及公钥的发布，是所有局部属性权威的起点；局部属性权威负责发布与某一类属性有关的私钥，这些属性构成的集合是全局属性集合的真子集，局部属性权威是一个半可信的机构，尽管可以发布私钥并认证私钥的合法性，但是有可能将自己的私钥泄露给他人；SDN控制器位于控制层，负责收集、存储和管理包括SDN流表、路由以及数据量在内的重要信息，该重要信息包含各类用户或者设备的敏感信息，每个SDN控制器存储和管理各自域内的重要信息，同时负责与其他域的SDN控制器交互；加密组件位于数据层，负责将收集到的用户或者其他网络设备数据传递到SDN控制层，传递之前，为不同的数据制定相应的访问策略并对数据进行加密操作；解密组件位于管理层，负责为不同的网络应用获取有用的数据，解密组件用不同的属性集合来描述不同网络应用的身份，并拥有一个与该属性集合相对应的私钥，只有私钥来自于合法机构，并且其中嵌入的属性集合满足访问策略，就能够成功获取数据；

包括以下步骤：

第一步：启动访问控制系统，利用属性权威注册SDN所有用户以及设备属性，构建全局属性集合Ω＝{att₁,att₂,att₃,…,att_N}，其中任意一个属性att_j为用户所具备的某种特征，j∈{1,2,...,n}是该属性的唯一索引号，构建一个与全局属性集合Ω相对应的全局傀儡属性集合Ω′＝{att_N+1,att_N+2,...,att_2N-1}，该属性集合中所有属性都不是真实的用户属性，而是为了方便后续计算而产生的属性，然后输入安全参数λ，根属性权威调用初始化算法生成公钥PK和根密钥RSK；

第二步：SDN控制层中某机构申请成为局部属性权威，如果是向根属性权威申请成为一级局部属性权威，设其唯一的身份识别为id₁，所管理的真实属性集合为Ω_1,real，该集合满足Ω_1,real∈Ω，那么根属性权威将其属性集合设置为Ω₁＝Ω_1,real∪Ω′，然后调用局部属性权威授权算法生成私钥SK₁，将属性集合Ω₁和唯一身份识别id₁嵌入到私钥当中；

第三步：如果是申请成为等级i(i≥2)的局部属性权威，假设等级i属性权威的唯一身份识别为id_i，其上一级局部属性权威私钥是SK_i-1，假设该局部属性权威管理的真实属性集合为Ω_i,real，那么等级i-1的局部属性权威将其属性集合设置为Ω_i＝Ω_i,real∪Ω′，然后调用局部属性权威授权算法生成私钥SK_i，将属性集合Ω_i和唯一身份识别id_i嵌入到私钥当中；

第四步：SDN应用层中某个应用的加密组件请求等级i的局部属性权威进行授权，假设该应用的唯一身份识别为id_i+1，该解密组件向局部属性权威提交自己的真实属性集合S_real，该局部属性权威将其属性集合设置为S＝S_real∪Ω′，如果满足那么调用用户授权算法生成该应用的用户私钥SK_u，将属性集合S和唯一身份识别id_i+1嵌入到用户私钥当中；

第五步：SDN数据层当中的某个或者某些设备产生了信息并以消息明文M的形式存在，其加密组件制定了相应的访问策略其中为访问策略当中所包含属性的集合，t为访问策略的阈值，满足1≤t≤|Ω|，紧接着产生一个傀儡属性集合使得并且然后调用加密算法生成定长的消息密文CT＝{r,C₀,C₁,C₂,C₃}，其中r,C₀,C₁,C₂,C₃均为消息密文CT的组件；

第六步：SDN应用层的某个应用向SDN控制层请求访问关于数据层信息的消息明文M，此时控制器将关于该信息的消息密文CT发送给该应用；

第七步：关于该应用的解密组件调用解密算法，输入公钥PK、私钥SK、以及刚刚获取的消息密文CT，验证消息密文CT是否合法，若消息密文CT非法则返回符号⊥终止解密，否则进入下一步；

第八步：解密组件尝试通过用户私钥SK_u以及消息密文CT计算得到参数D₁以及D₂，如果用户私钥当中嵌入的属性集合S_real满足才能得到参数D₁和D₂，并且通过参数D₁和D₂计算得到参数其中e表示双线性映射；

第九步：解密组件与发布其私钥相关的等级i局部属性权威协作，利用双向安全计算计算得到参数其中id_i+1是用户的唯一身份识别，s_i+1是用户产生的秘密随机数，H是一个抗碰撞的哈希函数，它将id_i+1与s_i+1的串联结果id_i+1||s_i+1映射为群中元素，如果该解密组件的唯一身份识别不正确，则不会得到正确的参数T_i，所以不会通过认证，以此类推，用户与所有涉及其私钥生成的属性权威互动，只有所有的局部属性权威的唯一身份识别得到认证，才能通过迭代最终生成参数并计算获取消息明文M。

2.根据权利要求1所述的基于可认证层次化属性加密的SDN信息访问控制方，其特征在于：所述初始化算法是输入一个安全参数λ以及全局的真实属性集合Ω，输出公钥PK以及根密钥RSK，其中公钥PK向全网公开，而根密钥由属性权威保存；算法过程如下：

1)定义全局的真实属性集合Ω＝{att₁,att₂,…,att_N}，其中任意属性att_j是关于系统中用户的某种特征，j∈{1,2,...,N}是该属性的唯一索引号，其次构建全局傀儡属性集合Ω′＝{att_N+1,att_N+2,…,att_2N-1}，其中所有属性都不是真实的用户属性，而是为了方便后续的计算而设置的，对于任意属性att_j∈Ω∪Ω′，定义index(att_j)返回该属性的索引j；

2)定义一个从加法循环群到乘法循环群的双线性映射设g是群的一个生成元，选择位于群上的一系列随机数g₂,h₁,h₂,…,h_2N,δ₁,δ₂,以及整数循环群上的秘密随机数然后选择一个抗碰撞的哈希函数该函数将任意长度的二进制字符串映射为整数循环群上的某一个元素，随后计算生成元素g₁＝g^x和Z＝e(g₁,g₂)；

3)输出根密钥RSK＝x以及公钥PK＝{g,g₁,g₂,Z,h₀,h₁,…,h_2N-1,δ₁,δ₂,δ₃,H₁}。

3.根据权利要求1所述的基于可认证层次化属性加密的SDN信息访问控制方，其特征在于：所述局部属性权威授权算法是一个迭代算法，如果是初次执行，算法输入一个局部的真实属性集合Ω_1,real以及根密钥RSK，并输出一级局部属性权威私钥SK₁，否则输入一个局部的真实属性权威Ω_i+1,real以及一个属性权威的私钥SK_i，其中i>1，最终输出一个新的局部属性权威私钥SK_i；算法过程如下：如果是一级局部属性权威，设其唯一的身份识别为id₁，那么根属性权威执行以下计算以授权：

1)选择一个次数为N-1的随机多项式q，使得q(0)＝RSK；

2)一级局部属性权威选择一个秘密数s₁∈{0,1}^*作为主密钥，并发送H(id₁||s₁)给根属性权威，其中id₁||s₁表示id₁与s₁的串联结果；

3)如果某一级局部属性权威管理的真实属性集合是那么该一级局部属性权威的属性集合就是Ω₁＝Ω_1,real∪Ω′满足，那么对于每个属性att_j∈Ω₁选择一个整数群Z_p上的随机数r_1,j∈Z_p，然后通过计算产生三种元素：以及最终生成以下私钥组件：

4)输出一级局部属性权威的私钥

如果是等级i(i≥2)的局部属性权威，假设其唯一的身份识别为id_i，其上一级局部属性权威私钥是其中那么执行以下计算以授权：

1)等级i的局部属性权威选择一个秘密数s_i∈Z_p作为主密钥，并发送H(id_i||s_i)给等级i-1的局部属性权威；

2)设该局部属性权威管理的真实属性集合是Ω_i,real，那么其属性集合就是Ω_i＝Ω_i,real∪Ω′，该集合满足对于任意属性att_j∈Ω_i，选择一个随机数r_i,j∈Z_p并通过计算产生三种元素：最后生成以下的私钥组件：

3)输出该局部属性权威的私钥

4.根据权利要求1所述的基于可认证层次化属性加密的SDN信息访问控制方，其特征在于：所述用户授权算法是输入一个真实的属性集合S_real以及一个局部属性权威私钥SK_i，最终输出用户私钥SK_u；算法过程如下：如果某个用户向等级i的局部属性权威申请获取私钥，假设其唯一的身份识别为id_i+1，那么则执行以下操作：

1)用户选择一个秘密数s_i+1∈Z_p作为主密钥，并发送H(id_i+1||s_i+1)给等级i的局部属性权威；

2)如果用户的真实属性集合为S_real，那么令该用户的属性集合为S＝S_real∪Ω′，该集合必须满足才可以通过等级i的局部属性权威申请授权，对于任意属性att_j∈S，选择一个随机数r_i+1,j∈Z_p并通过计算产生三种元素： 最终生成以下的私钥组件：

3)输出关于新的局部属性权威或用户的私钥

5.根据权利要求1所述的基于可认证层次化属性加密的SDN信息访问控制方，其特征在于：所述加密算法是输入一个访问策略消息明文M以及公钥PK，最终输出定长的消息密文CT；算法过程如下：

1)定义一个属性集合然后生成一个访问策略其中并且1≤t≤|Ω|；

2)产生一个傀儡属性集合使得并且

3)选择两个随机数s,r∈Z_p并利用公钥PK和消息明文M计算产生三种密文组件：C₀＝M·Z^s，C₁＝g^s，和随后计算得到并利用c产生第四个密文组件最终生成定长的密文CT＝{r,C₀,C₁,C₂,C₃}。

6.根据权利要求1所述的基于可认证层次化属性加密的SDN信息访问控制方法，其特征在于：所述解密算法是输入公钥PK、消息密文CT以及用户私钥SK_u，如果私钥SK_u当中嵌入的属性集合S_real满足消息密文CT当中嵌入的访问策略那么最终输出正确的消息明文M；算法过程如下：

1)获取消息密文CT后，利用公钥PK以及消息密文组件C₂和C₃验证以下等式是否成立：

如果上式全部成立则验证通过，用户继续完成解密操作，否则认为该密文是非法密文并返回符号⊥终止解密；

2)执行如下计算得到参数D₁和D₂：

其中S_r′_eal是对应于用户真实属性集合S_real的属性索引号集合，是对应于傀儡属性集合的属性索引号集合，为属性索引号j在索引集合当中的拉格朗日系数；

3)执行以下计算得到参数T_i+1：

4)计算得到参数其中id_i+1是用户的唯一身份识别，s_i+1是用户产生的秘密随机数，H是一个抗碰撞的哈希函数，它将id_i+1与s_i+1的串联结果id_i+1||s_i+1映射为群中元素，该计算由用户与i级局部属性权威协作完成，为了防止计算过程中一级局部属性权威的主秘密泄露，采用双向安全计算技术实现参数T_i的计算；

5)以此类推，用户与所有涉及其私钥生成的属性权威互动生成参数

6)最终执行以下计算获取正确的消息明文M：

只有私钥组件当中嵌入的属性集合S_real满足时，才能成功获取参数T_i+1，相反任何不满足该条件的私钥都无法获取T_i+1，此外，如果私钥并不是从授权机构获得，即使拥有参数T_i+1也无法获取参数T₀，从而无法得到任何有关消息密文CT的信息。