CN109871668A - 智能电网中基于时限属性密码的认证、授权和访问控制方法 - Google Patents
智能电网中基于时限属性密码的认证、授权和访问控制方法 Download PDFInfo
- Publication number
- CN109871668A CN109871668A CN201910177085.3A CN201910177085A CN109871668A CN 109871668 A CN109871668 A CN 109871668A CN 201910177085 A CN201910177085 A CN 201910177085A CN 109871668 A CN109871668 A CN 109871668A
- Authority
- CN
- China
- Prior art keywords
- user
- authorization
- equipment
- access
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 102
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000012423 maintenance Methods 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 3
- 230000002123 temporal effect Effects 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 6
- 230000008569 process Effects 0.000 abstract description 2
- 238000013500 data storage Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 7
- 230000005611 electricity Effects 0.000 description 5
- 230000027455 binding Effects 0.000 description 4
- 238000009739 binding Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 241000196324 Embryophyta Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 241000208340 Araliaceae Species 0.000 description 1
- 235000005035 Panax pseudoginseng ssp. pseudoginseng Nutrition 0.000 description 1
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 235000008434 ginseng Nutrition 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提出了一种智能电网中基于属性密码的认证、授权和访问控制方法,涉及数据存储领域。本发明采用时限属性密码机制用于智能电网以实现认证、授权和访问控制,且具有自动权限撤销,控制中心将用户可以访问的设备及访问时长等信息嵌入到访问结构中,利用时限属性密码机制将用户的认证信息进行加密生成具有时限的授权票据,从而完成用户认证和授权过程,设备认证密钥包括时间属性密钥且被分为很多时隙,设备总是用当前时隙的时间属性密钥组件认证用户的授权票据并执行访问控制,当用户的授权票据超过时限,用户的授权被自动撤销,访问请求被拒绝。该方法还支持控制中心离线的访问控制,访问控制由被访问的设备自动执行。
Description
技术领域
本发明属于计算机信息安全学科中的数据安全存储访问领域,特别涉及智能电网环境下的认证、授权和访问控制方法。
背景技术
随着经济社会的发展,电网已经成为国家能源产业链的重要环节。各行各业的正常运营都离不开可靠的电力供应,因此电网的稳定性尤为重要。经过近几年的研究和探索,智能电网的概念应运而生,它具有高效、清洁、安全、可靠、交互等特征。与传统电网相比,智能电网它不仅仅是电力运输的网络,它更是一个信息交互的网络,其优势主要体现在:数据交互性,智能电网可以实现双向的实时数据交互,因此,智能电网可以实现动态调节电价,这样可以有效减少家庭或工厂的电力消费。关键设备监控,智能电网可以通过传感器实时监测发电、输电、配电和电力设备。这样,智能电网可以快速解决电力故障,保证电网的安全稳定。灵活的电力调度,智能电网可以根据实时的用电情况,宏观调控电力输送,这样可以有效避免电力紧缺问题。然而,由于智能电网的开放性、电网和用户双向互动的增强、各种不同智能设备的增加、大量不同角色的用户的介入和访问,因此不可避免的问题是对不同角色用户的权限管理及不同设备的访问控制问题。因为不同角色的用户会有不同的设备访问需求,不同角色的用户访问的权限也有所不同,为了避免未授权攻击者试图读取和篡改数据、合法用户虽然诚实但是又好奇(既遵守规定,但又想知道传输的数据内容)、用户持有过期的认证票据访问设备等各种复杂情况,一个可靠地认证授权和访问控制方法是非常重要的。
基于属性加密(Attribute-Based Encryption,ABE)被认为是执行细粒度访问控制的非常有效的技术之一,可以实现一对多的加密访问控制机制。ABE有两种延伸的结构,一种是基于密文策略的ABE(CP-ABE)和基于密钥策略的ABE(KP-ABE),在CP-ABE中,每个用户的密钥与一组属性集相关,密文则与访问结构有关;而在KP-ABE中正好相反,密文与一组属性集相关,用户的密钥与访问结构有关。在现有的智能电网认证授权和访问控制研究中,在中国专利文献CN108650212中提出一种物联网环境下的认证和访问控制方法,该方法可以实现对用户的访问控制,防止攻击者入侵,但是该方法的访问控制需要控制中心的实时在线,且难以很好适合用户智能电网的复杂环境。文献CN201610994261.9中实现了远程双向的访问,但是该方法并没有一个可靠、高效的用户权限管理策略。CN201810426344.7、CN201711233877.5、CN201611034918.3等文献中提出了不同的访问控制方法,但是它们都没有考虑到智能电网不同角色用户和多设备的复杂环境。CN201611135973.1中针对智能电网提出了一种认证授权方法,该方法适用于智能电网中不同角色用户和多设备的环境,但是该方法要求控制中心实时在线,因此当控制中心由于不可抗因素离线时,整个访问控制系统将崩溃。Fadlullah等在文献“Toward secure targeted broadcast in smart grid”一文中使用KP-ABE在智能电网中实现访问控制,但由于KP-ABE访问策略与密钥相关,控制中心需要为每个用户生成密钥,密钥数量庞大,且用户权限撤销困难。Saxena等在文献“Authentication and Authorization Scheme for Various User Roles and Devicesin Smart Grid”中提出了一种基于角色的多因素认证和授权方案。该方案可以抵御多种攻击,但用户访问设备时控制中心必须在线,这对该方案在智能电网中的适用性有很大影响。
发明内容
有鉴于此,本发明要解决的技术问题是提出一种智能电网中基于时限属性密码机制的认证、授权和访问控制方法,本发明设计了一种时限属性密码机制,我们利用时限属性密码结合任意安全的认证协议实现智能电网中的认证、授权与访问控制的结合,并且实现自动的用户权限撤销。本发明主要用于智能电网不同角色用户和多设备环境下的认证、授权和细粒度访问控制问题。
本发明在属性密码的基础上加入了时间属性,通过时间属性的加入,用户的授权票据具有了时效性,可以实现对用户权限的高效管理。另外,本发明提出的时限属性密码用于控制中心对用户授权,因此其加密操作中需要输入系统主密钥,只有可信的控制中心才能执行加密操作,为合法用户生成授权票据。该方法实现了在控制中心离线的情况下设备可以正常进行访问控制,能有效符合智能电网复杂的应用环境。即,本发明既能实现高效的用户权限管理,又能实现控制中心离线的访问控制机制。
为了达到上述目的,本发明提供如下的技术方案:控制中心CC负责设备和用户的认证和注册,给有效设备分发访问认证密钥SK,给合法用户生成授权票据AUT;设备的访问认证属性密钥包括身份密钥组件和时隙密钥组件两大部分,其中,时隙密钥组件使设备的访问认证密钥具有时效性,密钥过期后,设备需重新向CC请求密钥。用户的授权票据是利用用户可访问的设备及访问时间生成的授权访问结构加密的认证信息,用户的授权票据也具有时效性,过期需要重新向CC申请。当一个合法用户申请访问时,设备会选择当前时隙的设备访问认证密钥(此密钥中的时间属性密钥组件取为当前时隙的密钥组件)对用户的票据进行解密操作,如果解密成功则验证用户认证凭据是否正确,否则拒绝访问,如果认证凭据验证通过则允许用户访问,否则拒绝访问。
本发明提供一种基于属性密码的认证、授权和访问控制方法,包括以下步骤,控制中心CC负责智能电网系统初始化、设备和用户的认证和注册,给有效设备分发访问认证密钥SK,给合法用户生成授权票据AUT,设备对用户进行访问控制;控制中心利用属性密钥组件为有效设备生成访问认证密钥,并将访问认证密钥发送给该有效设备;用户向CC提交请求,执行认证和授权,CC授权并设置不同角色的用户对不同设备的访问权限;CC根据用户角色和访问需求,生成一个该用户可以访问的设备及时隙的集合,并以此生成用户的授权访问结构;利用时限属性密码和授权访问结构将执行认证协议之后生成的用于认证用户的认证信息加密生成用户的授权票据AUT并返回给用户;用户将自己的认证凭据及授权票据AUT发送给设备请求访问,设备在用户票据的访问结构中查找本设备的身份信息及允许访问的时间信息,如果访问结构中存在本设备的身份信息并且允许在本时隙访问,选择当前时隙的设备访问认证密钥,对用户的票据进行解密,如果解密成功,利用票据中的认证信息对用户进行认证,认证成功允许该用户访问。
更进一步地,控制中心系统初始化,生成时限属性密码公共参数包括:两个阶为p的双线性群G和GT,G和GT满足双线性映射e:G×G→GT,G中元素ga,G的生成元g,哈希函数H1(·):(0,1)*→G用于将用户身份信息哈希到群G中,对于每个时间间隙从群G中随机选取元素T1,T2,...,Tn作为时间属性公钥用于控制设备密钥和用户授权票据的有效时长,系统主密钥MSK=α由控制中心保存,其中元素a在模p剩余类Zp中随机选取,用于为用户生成授权票据,为设备生成密钥。
属性密钥组件包括设备的身份密钥组件和时隙密钥组件,时隙密钥组件用于控制用户访问设备的时限,通过时限属性密码限定用户授权票据的有效时间以及设备访问认证密钥的有效时长,设备的身份密钥组件包括设备所在地区、设备类型。不同角色的用户包括智能电网中的普通用户、电力公司员工、设备维护人员以及安全人员,不同角色的用户向CC提供自己的用户角色、所在区域、访问需求、认证凭据。
进一步地,控制中心CC为设备生成授权时隙集限制设备密钥的时效性;从模p剩余类Zp中随机选取元素ω、t0,对于授权时隙集合中的每一个时间间隙TSj从Zp中随机选取元素tj,根据公式:利用设备的身份信息的哈希值和随机元素t0确定身份密钥组件K(ID,0),K(ID,1),利用为每个时隙选取的随机元素tj和时间属性公钥计算每个授权时隙的密钥组件利用系统公共参数和元素ω进行幂运算获得K0,K1。其中,K(ID,0)表示设备ID的第一个身份密钥组件,K(ID,1)表示设备ID的第二个身份密钥组件,表示时隙TSj的第一个时隙密钥组件,表示时隙TSj的第二个时隙密钥组件,K0为第一公共密钥参数,K1为第二公共密钥参数。
更进一步,用户注册与授权具体包括:用户向控制中心发送身份信息UID和选择的认证票据credentials请求注册和授权,控制中心将用户认证票据哈希值与哈希函数串联,根据公式M=H2(credentials)||H2(·)生成认证信息M,其中H2(·)是控制中心随机选取的一个(0,1)*→G哈希函数;控制中心根据用户角色决定用户可以访问的设备及访问时间并生成授权访问结构Γ,利用时限属性密码及其授权访问结构Γ加密认证信息M生成授权票据AUT,控制中心将授权票据AUT返回给用户。
设备选取当前时隙的时间密钥组件在用户的授权访问结构Γ中查找是否存在自己的身份属性信息IDi,在授权时隙集中查找当前空闲时隙,还原认证信息M,比较用户输入的认证票据哈希值与还原出的认证信息M中的认证票据哈希是否一致,如果一致表示用户认证通过。
控制中心根据公式:为用户生成的授权访问结构,其中,IDi表示用户可以访问的第i号设备,表示用户可以访问设备IDi的时间间隙集合。从模p剩余类Zp中随机选取元素s,对于授权访问结构Γ中所有的设备和时序集合从Zp中随机选取元素ri,si,其中0<si<s,st=s-si,将一个授权单元的身份密文组建和时间密文组建绑定在一起,对于时隙集合中的所有时隙TSi,j从Zp中随机选取元素ri,j,根据公共密文组件C0,C1调用公式:生成授权票据AUT,其中,是授权单元的身份密文组件,利用对每个授权单元从Zp中随机选取的元素si和ri确定,是时隙集合中每个授权时间间隙TSi,j的时间密钥组件,利用st和ri,j确定。其中将si和ri进行盲化,用于配合进行解密,用于加密设备信息ID,是时隙集合中每个授权时间间隙TSi,j的时间密钥组件,利用st和ri,j确定,其中对si和ri进行盲化,用于配合进行解密,用于加密时间属性Tj。
所述解密还原认证信息的方法进一步包括:利用身份密文组件和身份密钥组件进行双线性映射运算计算B1,用于验证用户的票据中是否有本设备的身份信息;利用当前时隙的时间密文组件和时间密钥组件进行双线性映射运算计算B2,用来验证用户是否可以在当前时段访问本设备,调用公式:还原认证信息M,从还原的认证信息中分离出H2(credentials')和哈希函数H2(·)。
系统包括两类属性:身份属性和时间属性。身份属性用于标识设备,系统中的每个设备的身份属性都是独一无二的,身份属性由设备所在的地区、设备类型等信息构成。时间属性用于限定用户授权票据的有效时间以及设备访问认证密钥的有效时长。因此控制中心需要负责生成用于认证、授权和访问控制的系统公共参数、时限属性密码的主密钥以及未来一段时间的时隙公钥。
本发明提出一种时限属性密码机制并用于智能电网以实现认证、授权和访问控制相结合的且具有自动权限撤销的方法。用户的权限被嵌入到访问结构中并且具有时效性,用户只可以在规定时间内访问授权的设备,在时间过期后,用户的权限自动撤销,这种方法很大程度上减轻了系统控制中心管理用户权限的负担。并且,在控制中心离线的情况下,设备依然可以正常进行访问控制。在本发明中,设备的访问认证属性密钥由身份密钥组件和时隙密钥组件组成,其中身份密钥组件是由控制中心利用设备的唯一身份标识ID生成,时间密钥组件则包括未来一段时间内各个时隙的时间密钥。设备的身份密钥和时间密钥是绑定在一起的,这样可以防止不法分子利用共谋手段获取设备访问权。另外,本发明中用户所持有的授权票据则是控制中心将用户的认证信息利用用户的访问权限信息生成的访问结构Γ进行加密而成的。在这种访问结构下,当用户权限撤销时设备是无法利用当前的访问认证密钥解密票据的。这样的认证授权方式可以有效减少控制中心管理用户权限撤销的压力。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步的详细描述,其中:
图1为系统模型;
其中:(1)设备注册;(2)给设备生成访问认证密钥;(3)用户注册;(4)为用户生成授权票据;(5)发送访问请求;(6)允许访问;
图2为本发明的流程框图;
图3为系统初始化流程框图;
图4为设备注册流程框图;
图5为用户注册与授权流程框图;
图6为设备访问认证与控制流程框图。
具体实施方式
以将结合附图,对本发明的优选实施例进行详细的描述。
本发明系统模型如图1所示,分别为控制中心(CC)、各种设备以及不同角色的用户。控制中心CC负责设备和用户的认证和注册,并给有效设备分发访问认证密钥SK,给合法用户生成授权票据AUT,设备的访问认证属性密钥包括身份密钥组件和时隙密钥组件,时隙密钥组件使设备的访问认证密钥具有时效性,密钥过期后,设备需重新向CC请求密钥。用户的授权票据是利用用户可访问的设备及访问时间生成的授权访问结构加密的认证信息,用户的授权票据也具有时效性,过期需要重新向CC申请。如图所示具体包括,(1)设备注册;(2)给设备生成访问认证密钥;(3)用户注册;(4)为用户生成授权票据;(5)发送访问请求;(6)允许访问。
如图2所示,本发明提供的基于时限属性密码的认证、授权和访问控制方法,具体包括:
S1:系统初始化:控制中心CC(Control Center)负责智能电网系统初始化、用户认证授权和设备访问认证密钥分发工作。系统包括两类属性:身份属性和时间属性。身份属性用于标识设备,系统中的每个设备的身份属性都是独一无二的,身份属性由设备所在的地区、设备类型等信息构成。时间属性用于限定用户授权票据的有效时间以及设备访问认证密钥的有效时长。因此控制中心需要负责生成用于认证、授权和访问控制的系统公共参数、时限属性密码的主密钥以及未来一段时间的时隙公钥。
如图3所示为系统初始化流程框图,系统初始化具体可包括,
输入安全参数κ,生成系统执行认证协议所需的公共参数、执行时限属性密码所需的公共参数PK及其主密钥MSK。具体包括:两个阶为p的双线性群G和GT,其中,G的生成元为g、G和GT满足双线性映射e:G×G→GT,G中元素为ga和g1、哈希函数H1(·):(0,1)*→G用于将用户身份信息映射到群G中,哈希函数H2(·):(0,1)*→GT用于将用户身份信息哈希到群GT中。将系统访问控制预定时间等分为n,各时间间隙用TS1,TS2,...,TSn表示,对于每个时间间隙从群G中分别随机选取元素T1,T2,...,Tn作为时间属性公钥,用于控制设备密钥和用户授权票据的有效时长,系统主密钥MSK=α由控制中心保存,用于为用户生成授权票据,为设备生成密钥,其中α是从Zp中随机选取的,Zp表示模p剩余类。
S2:设备注册:智能电网中的设备包括安装在变电站的智能传感器、部署在户外的设备以及用户家中的智能电表等。新设备在接入电网后,首先设备需要将自己的设备信息ID(包括:设备地理位置、设备类型等)发送给控制中心注册,然后控制中心验证该设备的ID是否有效。如果设备是有效的,那么控制中心便会利用时限属性密码为设备生成访问认证密钥,其中的属性密钥组件包括设备的身份ID密钥组件和选定多个时隙的时隙密钥组件。时隙密钥组件用于控制用户访问设备的时限,也控制设备访问认证密钥的时限,超过该时限,访问认证密钥需要重新分发。最后,控制中心会将设备的访问认证密钥以安全的方式发送给该设备。
如图4所示为设备注册流程框图,具体包括,设备请求加入系统,向控制中心CC提交设备信息ID进行注册。控制中心首先认证设备信息ID,确保设备为合法设备。利用属性密码机制为设备生成访问认证密钥,其中的属性密钥组件包括设备的身份ID密钥组件和选定多个时隙的时隙密钥组件,为该设备生成授权时隙集限制设备密钥的时效性,其中,TSj为第j时隙;从模p剩余类Zp中随机选取元素ω,t0。对于授权时隙集合中的任意第j个时间间隙TSj从Zp中随机选取元素tj,每个时间间隙都从Zp中选取元素。
利用系统公共参数和随机选取的元素ω进行幂运算获得参数K0,K1,利用设备的身份信息的哈希值和随机元素t0计算得到身份密钥组件K(ID,0),K(ID,1),t0用于将身份密钥组件绑定在一起,利用为每个时隙选取的随机元素tj和时间属性公钥计算每个授权时隙的密钥组件tj用于将时间密钥组件绑定在一起,生成访问认证密钥,最终的输出密钥为具体为,
其中,K0和K1分别为第一、第二公共密钥参数,在解密算法中配合身份密钥组件和时隙密钥组件进行解密操作,K(ID,0)表示标识为ID的设备的第一个身份密钥组件,K(ID,1)表示标识为ID的设备的第二个身份密钥组件,表示时隙TSj的第一个时隙密钥组件,表示时隙TSj的第二个时隙密钥组件。
S3:用户注册与授权:用户向CC提交请求,执行认证和授权。此过程可以基于任意一个安全的认证协议。针对不同用户设置不同访问权限,智能电网中的用户包括普通用户、电力公司员工、设备维护人员以及安全人员等,不同角色的用户对不同的设备有不同的访问权限。
新用户注册时,用户向CC提供自己的身份信息UID(包括:用户角色、所在区域、访问需求等)及认证凭据,CC根据用户角色和访问需求,生成一个该用户可以访问的设备及时隙的集合,并以此生成用户的授权访问结构。CC利用时限属性密码和授权访问结构将执行认证协议之后生成的用于认证用户的认证信息加密生成用户的授权票据AUT并返回给用户。具体可根据公式:为控制中心为用户生成的授权访问结构,其中,IDi表示用户可以访问的第i号设备,表示用户可以访问设备IDi的时间间隙集合。
如图5为用户注册与授权流程图,用户注册与授权具体包括:
用户选择认证票据credentials,并向控制中心发送身份信息UID和认证票据credentials请求注册和授权;控制中心和用户启动安全认证协议进行用户认证,控制中心生成用于用户认证的认证信息M=H2(credentials)||H2(·),其中H2(·)是控制中心随机选取的一个(0,1)*→G哈希函数,M由用户认证票据哈希值H2(credentials)和哈希函数H2(·)串联而来。由控制中心CC随机生成哈希函数H2(·):(0,1)*→GT;控制中心根据用户角色决定用户可以访问的设备及访问时间并生成授权访问结构Γ,授权访问结构Γ根据认证设备信息ID、授权时隙集时间间隙确定,具体为:
其中,是用户可以访问编号i的设备的时隙集合,这个授权访问结构表示用户可以在时隙TSi,1,TSi,2,...,TSi,j,...内访问设备ID1。
控制中心利用时限属性密码及其授权访问结构Γ加密认证信息M生成授权票据AUT,包括:从模p剩余类Zp中随机选取元素s,对于授权访问结构Γ中所有的设备和时序集合(如表示用户可以在时间间隙集合内访问编号i的设备IDi),从Zp中随机选取元素ri,si,ri用于将IDi的所有身份秘闻组件绑定在一起,其中0<si<s;令st=s-si,对于时隙集合中的所有时隙TSi,j从Zp中随机选取元素ri,j,ri,j用于将TSi,j的所有密文组建绑定在一起,利用si和st将密文中的身份密文组件和时间密文组件绑定在一起,以防止用户私自篡改密文谋取非法权限。具体公式为:
调用公式:生成授权票据AUT。其中,
是授权单元的身份密文组件,利用对每个授权单元从Zp中随机选取的元素si和ri根据上述公式计算而来,0<si<s,其中将si和ri进行盲化,用于配合进行解密,用于加密设备信息ID,是时隙集合中每个授权时间间隙TSi,j对应的时间公钥Tj的时间密钥组件,利用st和对每个时间间隙随机选取的ri,j,根据上述公式计算获取,st=s-si,其中对si和ri进行盲化,用于配合进行解密,用于加密时间属性Tj。为对于访问结构Γ中的每一个授权单元都有括号内的密文组件,表示授权时隙集合中的每一个时隙均有前面括号内的密文组件。
si和st用于将一个授权单元的身份密文组件和时间密文组件绑定在一起,控制中心将授权票据AUT返回给用户。
S4:设备访问认证与控制:用户将自己的认证凭据及授权票据AUT发送给设备请求访问,设备在用户票据的访问结构中查找本设备的身份信息及允许访问的时间信息,如果访问结构中存在本设备的身份信息并且允许在本时隙访问,那么设备会选择当前时隙的设备访问认证密钥(此密钥中的时间属性密钥组件取为当前时隙的密钥组件)对用户的票据进行解密操作,如果解密成功,则利用票据中的认证信息对用户启动安全的认证协议进行认证,如果认证成功,则允许该用户访问。
图6所示为设备访问认证与控制流程图。用户输入认证凭据credentials和授权票据AUT,设备利用当前设备访问认证密钥(此密钥中的时间属性密钥组件取为当前时隙的密钥组件)解密AUT,若解密成功,继续下列操作,否则拒绝访问请求。
设备利用当前的设备访问认证密钥解密AUT,若解密成功,继续操作,否则拒绝访问请求,具体可采用如下方法进行解密:
设备选取当前时隙(TSj时隙)的时间密钥组件在用户的授权访问结构Γ中查找是否存在自己的身份属性信息IDi,如果存在则继续查找是否存在当前时隙,如果存在,进一步在中查找是否存在当前时隙,如果存在则继续,否则输出认证失败。解密验证中,利用身份密文组件和身份密钥组件进行双线性映射运算,根据公式计算B1,用于验证用户的票据中是否有本设备的身份信息:
其中e(x,y)表示对x和y进行双线性映射运算;利用当前时隙的时间密文组件和时间密钥组件进行双线性映射运算,根据公式计算B2,用来验证用户是否可以在当前时段访问本设备:
调用公式:
还原认证信息M,分离出H2(credentials')和哈希函数H2(·)。解密算法中的所有参数均来自设备的密钥和用户的授权票据
利用解密出的H2(credentials')、哈希函数H2(·)和用户申请访问时输入的认证票据credentials启动认证协议,对用户身份进行认证,如果认证成功,则允许用户访问,否则拒绝访问请求,包括:利用哈希函数H2(·)对用户输入的认证票据credentials进行哈希计算得到认证票据的哈希H2(credentials);比对计算结果H2(credentials)与M中解密还原出的认证票据哈希H2(credentials')是否相等,如果相等说明用户认证票据正确则允许用户访问,否则拒绝访问。
最后说明的是,以上优选实例仅用以举例说明本发明的技术方案而非限制,对于本领域的技术人员来说,可以根据以上的技术方案内容,在形式和细节上做出各种相应的改变,但所有的这些改变都应该包括在本发明权力要求的保护范围内。
Claims (10)
1.一种基于属性密码的认证、授权和访问控制方法,其特征在于:包括以下步骤,控制中心CC负责智能电网系统初始化、设备和用户的认证和注册,给有效设备分发访问认证密钥SK,给合法用户生成授权票据AUT,设备对用户进行访问控制;控制中心利用属性密钥组件为有效设备生成访问认证密钥,并将访问认证密钥发送给该有效设备;用户向CC提交请求,执行认证和授权,CC授权并设置不同角色的用户对不同设备的访问权限;CC根据用户角色和访问需求,生成一个该用户可以访问的设备及时隙的集合,并以此生成用户的授权访问结构;利用时限属性密码和授权访问结构将执行认证协议之后生成的用于认证用户的认证信息加密生成用户的授权票据AUT并返回给用户;用户将自己的认证凭据及授权票据AUT发送给设备请求访问,设备在用户票据的访问结构中查找本设备的身份信息及允许访问的时间信息,如果访问结构中存在本设备的身份信息并且允许在本时隙访问,选择当前时隙的设备访问认证密钥,对用户的票据进行解密,如果解密成功,利用票据中的认证信息对用户进行认证,认证成功允许该用户访问。
2.根据权利要求1所述的方法,其特征在于,控制中心系统初始化,生成时限属性密码公共参数包括:两个阶为p的双线性群G和GT,G和GT满足双线性映射e:G×G→GT,G中元素ga,G的生成元g,哈希函数H1(·):(0,1)*→G用于将用户身份信息映射到群G中,对于每个时间间隙从群G中随机选取元素T1,T2,...,Tn作为时间属性公钥用于控制设备密钥和用户授权票据的有效时长,系统主密钥MSK=α由控制中心保存,其中元素a在模p剩余类Zp中随机选取,用于为用户生成授权票据,为设备生成密钥。
3.根据权利要求1所述的方法,其特征在于,属性密钥组件包括设备的身份密钥组件和时隙密钥组件,时隙密钥组件用于控制用户访问设备的时限,通过时限属性密码限定用户授权票据的有效时间以及设备访问认证密钥的有效时长,设备的身份密钥组件包括设备所在地区、设备类型。
4.根据权利要求1所述的方法,其特征在于,不同角色的用户包括智能电网中的普通用户、电力公司员工、设备维护人员以及安全人员,不同角色的用户向CC提供自己的用户角色、所在区域、访问需求、认证凭据。
5.根据权利要求1-4其中之一所述的方法,其特征在于,控制中心CC为设备生成授权时隙集限制设备密钥的时效性;从模p剩余类Zp中随机选取元素ω、t0,对于授权时隙集合中的每一个时间间隙TSj从Zp中随机选取元素tj,利用设备的身份信息的哈希值和随机元素t0确定身份密钥组件K(ID,0),K(ID,1),利用为每个时隙选取的随机元素tj和时间属性公钥计算每个授权时隙的密钥组件利用系统公共参数和元素ω进行幂运算获得公共密钥参数K0,K1,输出密钥其中K(ID,0)表示设备ID的第一个身份密钥组件,K(ID,1)表示设备ID的第二个身份密钥组件,表示时隙TSj的第一个时隙密钥组件,表示时隙TSj的第二个时隙密钥组件,K0为第一公共密钥参数,K1为第二公共密钥参数。
6.根据权利要求1-4其中之一所述的方法,其特征在于,用户注册与授权具体包括:用户向控制中心发送身份信息UID和选择的认证票据credentials请求注册和授权,控制中心将用户认证票据哈希值与哈希函数串联,根据公式M=H2(credentials)||H2(·)生成认证信息M,其中H2(·)是控制中心随机选取的一个(0,1)*→G哈希函数,H2(credentials)为认证票据哈希;控制中心根据用户角色决定用户可以访问的设备及访问时间并生成授权访问结构Γ,利用时限属性密码及其授权访问结构Γ加密认证信息M生成授权票据AUT,控制中心将授权票据AUT返回给用户。
7.根据权利要求1-4其中之一所述的方法,其特征在于,设备选取当前时隙的时间密钥组件在用户的授权访问结构Γ中查找是否存在自己的身份属性信息IDi,在授权时隙集中查找当前空闲时隙,还原认证信息M,比较用户输入的认证票据哈希值与还原出的认证信息M中的认证票据哈希是否一致,如果一致表示用户认证通过。
8.根据权利要求6其中之一所述的方法,其特征在于,控制中心根据公式:为用户生成的授权访问结构,其中,IDi表示用户可以访问的第i号设备,表示用户可以访问设备IDi的时间间隙集合。
9.根据权利要求7所述的方法,其特征在于,从模p剩余类Zp中随机选取元素s,对于授权访问结构Γ中所有的设备和时序集合从Zp中随机选取元素ri,si,其中0<si<s,st=s-si,将一个授权单元的身份密文组建和时间密文组建绑定在一起,对于时隙集合中的所有时隙TSi,j从Zp中随机选取元素ri,j,根据认证信息M和授权访问结构Γ调用公式:生成授权票据AUT,是授权单元的身份密文组件,利用对每个授权单元从Zp中随机选取的元素si和ri确定,是时隙集合中每个授权时间间隙TSi,j的时间密钥组件。
10.根据权利要求7所述的方法,其特征在于,所述解密还原认证信息的方法进一步包括:利用身份密文组件和身份密钥组件进行双线性映射运算计算B1,用于验证用户的票据中是否有本设备的身份信息;利用当前时隙的时间密文组件和时间密钥组件进行双线性映射运算计算B2,用来验证用户是否可以在当前时段访问本设备,调用公式:还原认证信息M,从还原的认证信息中分离出认证票据哈希和哈希函数H2(·)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910177085.3A CN109871668B (zh) | 2019-03-08 | 2019-03-08 | 智能电网中基于时限属性密码的认证、授权和访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910177085.3A CN109871668B (zh) | 2019-03-08 | 2019-03-08 | 智能电网中基于时限属性密码的认证、授权和访问控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109871668A true CN109871668A (zh) | 2019-06-11 |
CN109871668B CN109871668B (zh) | 2022-11-15 |
Family
ID=66920055
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910177085.3A Active CN109871668B (zh) | 2019-03-08 | 2019-03-08 | 智能电网中基于时限属性密码的认证、授权和访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109871668B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110519238A (zh) * | 2019-08-08 | 2019-11-29 | 北京安御道合科技有限公司 | 一种基于密码技术的物联网安全系统和通信方法 |
CN113114630A (zh) * | 2021-03-22 | 2021-07-13 | 重庆邮电大学 | 一种电动汽车动态无线充电隐私保护的认证方法及系统 |
CN114513364A (zh) * | 2022-02-25 | 2022-05-17 | 杭州涂鸦信息技术有限公司 | 一种服务授权方法及相关组件 |
CN114615043A (zh) * | 2022-03-08 | 2022-06-10 | 安顺职业技术学院 | 一种基于时间带关键字搜索的外包属性基加密的方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101711027A (zh) * | 2009-12-22 | 2010-05-19 | 上海大学 | 一种无线传感器网络中基于身份的分散密钥管理方法 |
CN102549592A (zh) * | 2009-11-06 | 2012-07-04 | 日本电气英富醍株式会社 | 嵌入信息终端中的软件更新时的认证方法、其系统及其程序 |
US20140229736A1 (en) * | 2011-09-28 | 2014-08-14 | Koninklijke Philips N.V. | Hierarchical attribute-based encryption and decryption |
CN107395568A (zh) * | 2017-06-21 | 2017-11-24 | 西安电子科技大学 | 一种多数据拥有者认证的密文检索方法 |
CN108289026A (zh) * | 2017-12-22 | 2018-07-17 | 北京邮电大学 | 一种卫星网络中的身份认证方法及相关设备 |
CN108810004A (zh) * | 2018-06-22 | 2018-11-13 | 西安电子科技大学 | 基于代理的可撤销多授权中心访问控制方法、云存储系统 |
-
2019
- 2019-03-08 CN CN201910177085.3A patent/CN109871668B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102549592A (zh) * | 2009-11-06 | 2012-07-04 | 日本电气英富醍株式会社 | 嵌入信息终端中的软件更新时的认证方法、其系统及其程序 |
CN101711027A (zh) * | 2009-12-22 | 2010-05-19 | 上海大学 | 一种无线传感器网络中基于身份的分散密钥管理方法 |
US20140229736A1 (en) * | 2011-09-28 | 2014-08-14 | Koninklijke Philips N.V. | Hierarchical attribute-based encryption and decryption |
CN107395568A (zh) * | 2017-06-21 | 2017-11-24 | 西安电子科技大学 | 一种多数据拥有者认证的密文检索方法 |
CN108289026A (zh) * | 2017-12-22 | 2018-07-17 | 北京邮电大学 | 一种卫星网络中的身份认证方法及相关设备 |
CN108810004A (zh) * | 2018-06-22 | 2018-11-13 | 西安电子科技大学 | 基于代理的可撤销多授权中心访问控制方法、云存储系统 |
Non-Patent Citations (2)
Title |
---|
MINGWU ZHANG等: ""Attribute-Based Hash Proof System Under Learning-With-Errors Assumption in Obfuscator-Free and Leakage-Resilient Environments"", 《 IEEE SYSTEMS JOURNAL》 * |
王守坤: ""基于属性加密的云存储访问控制机制"", 《中国优秀硕士学位论文全文数据库——信息科技辑》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110519238A (zh) * | 2019-08-08 | 2019-11-29 | 北京安御道合科技有限公司 | 一种基于密码技术的物联网安全系统和通信方法 |
CN110519238B (zh) * | 2019-08-08 | 2021-11-12 | 北京安御道合科技有限公司 | 一种基于密码技术的物联网安全系统和通信方法 |
CN113114630A (zh) * | 2021-03-22 | 2021-07-13 | 重庆邮电大学 | 一种电动汽车动态无线充电隐私保护的认证方法及系统 |
CN113114630B (zh) * | 2021-03-22 | 2022-04-15 | 重庆邮电大学 | 一种电动汽车动态无线充电隐私保护的认证方法及系统 |
CN114513364A (zh) * | 2022-02-25 | 2022-05-17 | 杭州涂鸦信息技术有限公司 | 一种服务授权方法及相关组件 |
CN114513364B (zh) * | 2022-02-25 | 2024-03-15 | 杭州涂鸦信息技术有限公司 | 一种服务授权方法及相关组件 |
CN114615043A (zh) * | 2022-03-08 | 2022-06-10 | 安顺职业技术学院 | 一种基于时间带关键字搜索的外包属性基加密的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109871668B (zh) | 2022-11-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109871668A (zh) | 智能电网中基于时限属性密码的认证、授权和访问控制方法 | |
CN103491093B (zh) | 一种智能电网用户访问授权方法 | |
CN105991278B (zh) | 一种基于cp-abe的密文访问控制方法 | |
CN103731756B (zh) | 一种基于智能云电视网关的智能家居远程安全访问控制实现方法 | |
CN109559124A (zh) | 一种基于区块链的云数据安全共享方法 | |
CN106534199B (zh) | 大数据环境下基于xacml和saml的分布式系统认证与权限管理平台 | |
CN106533861A (zh) | 一种智能家居物联网安全控制系统及认证方法 | |
CN102946603B (zh) | 电力云系统中基于社交特性的统一身份认证方法 | |
CN110535851A (zh) | 一种基于oauth2协议的用户认证系统 | |
CN109728903B (zh) | 一种使用属性密码的区块链弱中心密码授权方法 | |
CN107257334A (zh) | 用于Hadoop集群的身份认证方法 | |
CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
CN104094272B (zh) | 用于从智能表机构将能耗特定测量数据项传送至能源提供者和/或仪表运营方的计算机系统的方法 | |
CN108683626A (zh) | 一种数据访问控制方法及装置 | |
CN103220141A (zh) | 一种基于组密钥策略的敏感数据保护方法和系统 | |
CN101834853A (zh) | 匿名资源共享方法和系统 | |
CN101772024A (zh) | 一种用户身份确定方法及装置和系统 | |
CN102025495A (zh) | 基于saml2.0的身份认证和管理 | |
CN105991650A (zh) | 一种密钥获取方法、身份证信息的传输方法及系统 | |
CN103001936A (zh) | 一种第三方应用接口授权方法和系统 | |
CN106027475A (zh) | 一种密钥获取方法、身份证信息的传输方法及系统 | |
CN106789996A (zh) | 一种智能电网用户访问授权控制方法 | |
CN110138548A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统 | |
CN114244527A (zh) | 基于区块链的电力物联网设备身份认证方法及系统 | |
CN110519211A (zh) | 一种基于设备身份认证的视频监控安全认证采集系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20240415 Address after: No. 97 Wanghe Avenue, Jinhuaqiao Street, Wuhou District, Chengdu City, Sichuan Province, 610041 Patentee after: Chengdu Bozhi Technology Co.,Ltd. Country or region after: China Address before: 400065 Chongqing Nan'an District huangjuezhen pass Chongwen Road No. 2 Patentee before: CHONGQING University OF POSTS AND TELECOMMUNICATIONS Country or region before: China |
|
TR01 | Transfer of patent right |