CN109871668B - 智能电网中基于时限属性密码的认证、授权和访问控制方法 - Google Patents

智能电网中基于时限属性密码的认证、授权和访问控制方法 Download PDF

Info

Publication number
CN109871668B
CN109871668B CN201910177085.3A CN201910177085A CN109871668B CN 109871668 B CN109871668 B CN 109871668B CN 201910177085 A CN201910177085 A CN 201910177085A CN 109871668 B CN109871668 B CN 109871668B
Authority
CN
China
Prior art keywords
user
authentication
access
time
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910177085.3A
Other languages
English (en)
Other versions
CN109871668A (zh
Inventor
肖敏
刘东琦
庞海鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Bozhi Technology Co.,Ltd.
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN201910177085.3A priority Critical patent/CN109871668B/zh
Publication of CN109871668A publication Critical patent/CN109871668A/zh
Application granted granted Critical
Publication of CN109871668B publication Critical patent/CN109871668B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明提出了一种智能电网中基于属性密码的认证、授权和访问控制方法,涉及数据存储领域。本发明采用时限属性密码机制用于智能电网以实现认证、授权和访问控制,且具有自动权限撤销,控制中心将用户可以访问的设备及访问时长等信息嵌入到访问结构中,利用时限属性密码机制将用户的认证信息进行加密生成具有时限的授权票据,从而完成用户认证和授权过程,设备认证密钥包括时间属性密钥且被分为很多时隙,设备总是用当前时隙的时间属性密钥组件认证用户的授权票据并执行访问控制,当用户的授权票据超过时限,用户的授权被自动撤销,访问请求被拒绝。该方法还支持控制中心离线的访问控制,访问控制由被访问的设备自动执行。

Description

智能电网中基于时限属性密码的认证、授权和访问控制方法
技术领域
本发明属于计算机信息安全学科中的数据安全存储访问领域,特别涉及智能电网环境下的认证、授权和访问控制方法。
背景技术
随着经济社会的发展,电网已经成为国家能源产业链的重要环节。各行各业的正常运营都离不开可靠的电力供应,因此电网的稳定性尤为重要。经过近几年的研究和探索,智能电网的概念应运而生,它具有高效、清洁、安全、可靠、交互等特征。与传统电网相比,智能电网它不仅仅是电力运输的网络,它更是一个信息交互的网络,其优势主要体现在:数据交互性,智能电网可以实现双向的实时数据交互,因此,智能电网可以实现动态调节电价,这样可以有效减少家庭或工厂的电力消费。关键设备监控,智能电网可以通过传感器实时监测发电、输电、配电和电力设备。这样,智能电网可以快速解决电力故障,保证电网的安全稳定。灵活的电力调度,智能电网可以根据实时的用电情况,宏观调控电力输送,这样可以有效避免电力紧缺问题。然而,由于智能电网的开放性、电网和用户双向互动的增强、各种不同智能设备的增加、大量不同角色的用户的介入和访问,因此不可避免的问题是对不同角色用户的权限管理及不同设备的访问控制问题。因为不同角色的用户会有不同的设备访问需求,不同角色的用户访问的权限也有所不同,为了避免未授权攻击者试图读取和篡改数据、合法用户虽然诚实但是又好奇(既遵守规定,但又想知道传输的数据内容)、用户持有过期的认证票据访问设备等各种复杂情况,一个可靠地认证授权和访问控制方法是非常重要的。
基于属性加密(Attribute-Based Encryption,ABE)被认为是执行细粒度访问控制的非常有效的技术之一,可以实现一对多的加密访问控制机制。ABE有两种延伸的结构,一种是基于密文策略的ABE(CP-ABE)和基于密钥策略的ABE(KP-ABE),在CP-ABE中,每个用户的密钥与一组属性集相关,密文则与访问结构有关;而在KP-ABE中正好相反,密文与一组属性集相关,用户的密钥与访问结构有关。在现有的智能电网认证授权和访问控制研究中,在中国专利文献CN108650212中提出一种物联网环境下的认证和访问控制方法,该方法可以实现对用户的访问控制,防止攻击者入侵,但是该方法的访问控制需要控制中心的实时在线,且难以很好适合用户智能电网的复杂环境。文献CN201610994261.9中实现了远程双向的访问,但是该方法并没有一个可靠、高效的用户权限管理策略。CN201810426344.7、CN201711233877.5、CN201611034918.3等文献中提出了不同的访问控制方法,但是它们都没有考虑到智能电网不同角色用户和多设备的复杂环境。CN201611135973.1中针对智能电网提出了一种认证授权方法,该方法适用于智能电网中不同角色用户和多设备的环境,但是该方法要求控制中心实时在线,因此当控制中心由于不可抗因素离线时,整个访问控制系统将崩溃。Fadlullah等在文献“Toward secure targeted broadcast in smart grid”一文中使用KP-ABE在智能电网中实现访问控制,但由于KP-ABE访问策略与密钥相关,控制中心需要为每个用户生成密钥,密钥数量庞大,且用户权限撤销困难。Saxena等在文献“Authentication and Authorization Scheme for Various User Roles and Devicesin Smart Grid”中提出了一种基于角色的多因素认证和授权方案。该方案可以抵御多种攻击,但用户访问设备时控制中心必须在线,这对该方案在智能电网中的适用性有很大影响。
发明内容
有鉴于此,本发明要解决的技术问题是提出一种智能电网中基于时限属性密码机制的认证、授权和访问控制方法,本发明设计了一种时限属性密码机制,我们利用时限属性密码结合任意安全的认证协议实现智能电网中的认证、授权与访问控制的结合,并且实现自动的用户权限撤销。本发明主要用于智能电网不同角色用户和多设备环境下的认证、授权和细粒度访问控制问题。
本发明在属性密码的基础上加入了时间属性,通过时间属性的加入,用户的授权票据具有了时效性,可以实现对用户权限的高效管理。另外,本发明提出的时限属性密码用于控制中心对用户授权,因此其加密操作中需要输入系统主密钥,只有可信的控制中心才能执行加密操作,为合法用户生成授权票据。该方法实现了在控制中心离线的情况下设备可以正常进行访问控制,能有效符合智能电网复杂的应用环境。即,本发明既能实现高效的用户权限管理,又能实现控制中心离线的访问控制机制。
为了达到上述目的,本发明提供如下的技术方案:控制中心CC负责设备和用户的认证和注册,给有效设备分发访问认证密钥SK,给合法用户生成授权票据AUT;设备的访问认证属性密钥包括身份密钥组件和时隙密钥组件两大部分,其中,时隙密钥组件使设备的访问认证密钥具有时效性,密钥过期后,设备需重新向CC请求密钥。用户的授权票据是利用用户可访问的设备及访问时间生成的授权访问结构加密的认证信息,用户的授权票据也具有时效性,过期需要重新向CC申请。当一个合法用户申请访问时,设备会选择当前时隙的设备访问认证密钥(此密钥中的时间属性密钥组件取为当前时隙的密钥组件)对用户的票据进行解密操作,如果解密成功则验证用户认证凭据是否正确,否则拒绝访问,如果认证凭据验证通过则允许用户访问,否则拒绝访问。
本发明提供一种基于属性密码的认证、授权和访问控制方法,包括以下步骤,控制中心CC负责智能电网系统初始化、设备和用户的认证和注册,给有效设备分发访问认证密钥SK,给合法用户生成授权票据AUT,设备对用户进行访问控制;控制中心利用属性密钥组件为有效设备生成访问认证密钥,并将访问认证密钥发送给该有效设备;用户向CC提交请求,执行认证和授权,CC授权并设置不同角色的用户对不同设备的访问权限;CC根据用户角色和访问需求,生成一个该用户可以访问的设备及时隙的集合,并以此生成用户的授权访问结构;利用时限属性密码和授权访问结构将执行认证协议之后生成的用于认证用户的认证信息加密生成用户的授权票据AUT并返回给用户;用户将自己的认证凭据及授权票据AUT发送给设备请求访问,设备在用户票据的访问结构中查找本设备的身份信息及允许访问的时间信息,如果访问结构中存在本设备的身份信息并且允许在本时隙访问,选择当前时隙的设备访问认证密钥,对用户的票据进行解密,如果解密成功,利用票据中的认证信息对用户进行认证,认证成功允许该用户访问。
更进一步地,控制中心系统初始化,生成时限属性密码公共参数包括:两个阶为p的双线性群G和GT,G和GT满足双线性映射e:G×G→GT,G中元素ga,G的生成元g,哈希函数H1(·):(0,1)*→G用于将用户身份信息哈希到群G中,对于每个时间间隙从群G中随机选取元素T1,T2,...,Tn作为时间属性公钥用于控制设备密钥和用户授权票据的有效时长,系统主密钥MSK=α由控制中心保存,其中元素a在模p剩余类Zp中随机选取,用于为用户生成授权票据,为设备生成密钥。
属性密钥组件包括设备的身份密钥组件和时隙密钥组件,时隙密钥组件用于控制用户访问设备的时限,通过时限属性密码限定用户授权票据的有效时间以及设备访问认证密钥的有效时长,设备的身份密钥组件包括设备所在地区、设备类型。不同角色的用户包括智能电网中的普通用户、电力公司员工、设备维护人员以及安全人员,不同角色的用户向CC提供自己的用户角色、所在区域、访问需求、认证凭据。
进一步地,控制中心CC为设备生成授权时隙集
Figure BDA0001989926180000041
限制设备密钥的时效性;从模p剩余类Zp中随机选取元素ω、t0,对于授权时隙集合
Figure BDA0001989926180000042
中的每一个时间间隙TSj从Zp中随机选取元素tj,根据公式:
Figure BDA0001989926180000043
利用设备的身份信息的哈希值和随机元素t0确定身份密钥组件K(ID,0),K(ID,1),利用为每个时隙选取的随机元素tj和时间属性公钥计算每个授权时隙的密钥组件
Figure BDA0001989926180000044
利用系统公共参数和元素ω进行幂运算获得K0,K1。其中,K(ID,0)表示设备ID的第一个身份密钥组件,K(ID,1)表示设备ID的第二个身份密钥组件,
Figure BDA0001989926180000045
表示时隙TSj的第一个时隙密钥组件,
Figure BDA0001989926180000046
表示时隙TSj的第二个时隙密钥组件,K0为第一公共密钥参数,K1为第二公共密钥参数。
更进一步,用户注册与授权具体包括:用户向控制中心发送身份信息UID和选择的认证票据credentials请求注册和授权,控制中心将用户认证票据哈希值与哈希函数串联,根据公式M=H2(credentials)||H2(·)生成认证信息M,其中H2(·)是控制中心随机选取的一个(0,1)*→G哈希函数;控制中心根据用户角色决定用户可以访问的设备及访问时间并生成授权访问结构Γ,利用时限属性密码及其授权访问结构Γ加密认证信息M生成授权票据AUT,控制中心将授权票据AUT返回给用户。
设备选取当前时隙的时间密钥组件
Figure BDA0001989926180000047
在用户的授权访问结构Γ中查找是否存在自己的身份属性信息IDi,在授权时隙集中查找当前空闲时隙,还原认证信息M,比较用户输入的认证票据哈希值与还原出的认证信息M中的认证票据哈希是否一致,如果一致表示用户认证通过。
控制中心根据公式:
Figure BDA0001989926180000048
为用户生成的授权访问结构,其中,IDi表示用户可以访问的第i号设备,
Figure BDA0001989926180000049
表示用户可以访问设备IDi的时间间隙集合。从模p剩余类Zp中随机选取元素s,对于授权访问结构Γ中所有的设备和时序集合从Zp中随机选取元素ri,si,其中0<si<s,st=s-si,将一个授权单元的身份密文组建和时间密文组建绑定在一起,对于时隙集合
Figure BDA0001989926180000051
中的所有时隙TSi,j从Zp中随机选取元素ri,j,根据公共密文组件C0,C1调用公式:
Figure BDA0001989926180000052
生成授权票据AUT,其中,
Figure BDA0001989926180000053
是授权单元
Figure BDA0001989926180000054
的身份密文组件,利用对每个授权单元从Zp中随机选取的元素si和ri确定,
Figure BDA0001989926180000055
是时隙集合中每个授权时间间隙TSi,j的时间密钥组件,利用st和ri,j确定。其中
Figure BDA0001989926180000056
将si和ri进行盲化,
Figure BDA0001989926180000057
用于配合
Figure BDA0001989926180000058
进行解密,
Figure BDA0001989926180000059
用于加密设备信息ID,
Figure BDA00019899261800000510
是时隙集合中每个授权时间间隙TSi,j的时间密钥组件,利用st和ri,j确定,其中
Figure BDA00019899261800000511
对si和ri进行盲化,
Figure BDA00019899261800000512
用于配合
Figure BDA00019899261800000513
进行解密,
Figure BDA00019899261800000514
用于加密时间属性Tj
所述解密还原认证信息的方法进一步包括:利用身份密文组件和身份密钥组件进行双线性映射运算计算B1,用于验证用户的票据中是否有本设备的身份信息;利用当前时隙的时间密文组件和时间密钥组件进行双线性映射运算计算B2,用来验证用户是否可以在当前时段访问本设备,调用公式:
Figure BDA00019899261800000515
还原认证信息M,从还原的认证信息中分离出H2(credentials')和哈希函数H2(·)。
系统包括两类属性:身份属性和时间属性。身份属性用于标识设备,系统中的每个设备的身份属性都是独一无二的,身份属性由设备所在的地区、设备类型等信息构成。时间属性用于限定用户授权票据的有效时间以及设备访问认证密钥的有效时长。因此控制中心需要负责生成用于认证、授权和访问控制的系统公共参数、时限属性密码的主密钥以及未来一段时间的时隙公钥。
本发明提出一种时限属性密码机制并用于智能电网以实现认证、授权和访问控制相结合的且具有自动权限撤销的方法。用户的权限被嵌入到访问结构中并且具有时效性,用户只可以在规定时间内访问授权的设备,在时间过期后,用户的权限自动撤销,这种方法很大程度上减轻了系统控制中心管理用户权限的负担。并且,在控制中心离线的情况下,设备依然可以正常进行访问控制。在本发明中,设备的访问认证属性密钥由身份密钥组件和时隙密钥组件组成,其中身份密钥组件是由控制中心利用设备的唯一身份标识ID生成,时间密钥组件则包括未来一段时间内各个时隙的时间密钥。设备的身份密钥和时间密钥是绑定在一起的,这样可以防止不法分子利用共谋手段获取设备访问权。另外,本发明中用户所持有的授权票据则是控制中心将用户的认证信息利用用户的访问权限信息生成的访问结构Γ进行加密而成的。在这种访问结构下,当用户权限撤销时设备是无法利用当前的访问认证密钥解密票据的。这样的认证授权方式可以有效减少控制中心管理用户权限撤销的压力。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步的详细描述,其中:
图1为系统模型;
其中:(1)设备注册;(2)给设备生成访问认证密钥;(3)用户注册;(4)为用户生成授权票据;(5)发送访问请求;(6)允许访问;
图2为本发明的流程框图;
图3为系统初始化流程框图;
图4为设备注册流程框图;
图5为用户注册与授权流程框图;
图6为设备访问认证与控制流程框图。
具体实施方式
以将结合附图,对本发明的优选实施例进行详细的描述。
本发明系统模型如图1所示,分别为控制中心(CC)、各种设备以及不同角色的用户。控制中心CC负责设备和用户的认证和注册,并给有效设备分发访问认证密钥SK,给合法用户生成授权票据AUT,设备的访问认证属性密钥包括身份密钥组件和时隙密钥组件,时隙密钥组件使设备的访问认证密钥具有时效性,密钥过期后,设备需重新向CC请求密钥。用户的授权票据是利用用户可访问的设备及访问时间生成的授权访问结构加密的认证信息,用户的授权票据也具有时效性,过期需要重新向CC申请。如图所示具体包括,(1)设备注册;(2)给设备生成访问认证密钥;(3)用户注册;(4)为用户生成授权票据;(5)发送访问请求;(6)允许访问。
如图2所示,本发明提供的基于时限属性密码的认证、授权和访问控制方法,具体包括:
S1:系统初始化:控制中心CC(Control Center)负责智能电网系统初始化、用户认证授权和设备访问认证密钥分发工作。系统包括两类属性:身份属性和时间属性。身份属性用于标识设备,系统中的每个设备的身份属性都是独一无二的,身份属性由设备所在的地区、设备类型等信息构成。时间属性用于限定用户授权票据的有效时间以及设备访问认证密钥的有效时长。因此控制中心需要负责生成用于认证、授权和访问控制的系统公共参数、时限属性密码的主密钥以及未来一段时间的时隙公钥。
如图3所示为系统初始化流程框图,系统初始化具体可包括,
输入安全参数κ,生成系统执行认证协议所需的公共参数、执行时限属性密码所需的公共参数PK及其主密钥MSK。具体包括:两个阶为p的双线性群G和GT,其中,G的生成元为g、G和GT满足双线性映射e:G×G→GT,G中元素为ga和g1、哈希函数H1(·):(0,1)*→G用于将用户身份信息映射到群G中,哈希函数H2(·):(0,1)*→GT用于将用户身份信息哈希到群GT中。将系统访问控制预定时间等分为n,各时间间隙用TS1,TS2,...,TSn表示,对于每个时间间隙从群G中分别随机选取元素T1,T2,...,Tn作为时间属性公钥,用于控制设备密钥和用户授权票据的有效时长,系统主密钥MSK=α由控制中心保存,用于为用户生成授权票据,为设备生成密钥,其中α是从Zp中随机选取的,Zp表示模p剩余类。
S2:设备注册:智能电网中的设备包括安装在变电站的智能传感器、部署在户外的设备以及用户家中的智能电表等。新设备在接入电网后,首先设备需要将自己的设备信息ID(包括:设备地理位置、设备类型等)发送给控制中心注册,然后控制中心验证该设备的ID是否有效。如果设备是有效的,那么控制中心便会利用时限属性密码为设备生成访问认证密钥,其中的属性密钥组件包括设备的身份ID密钥组件和选定多个时隙的时隙密钥组件。时隙密钥组件用于控制用户访问设备的时限,也控制设备访问认证密钥的时限,超过该时限,访问认证密钥需要重新分发。最后,控制中心会将设备的访问认证密钥以安全的方式发送给该设备。
如图4所示为设备注册流程框图,具体包括,设备请求加入系统,向控制中心CC提交设备信息ID进行注册。控制中心首先认证设备信息ID,确保设备为合法设备。利用属性密码机制为设备生成访问认证密钥,其中的属性密钥组件包括设备的身份ID密钥组件和选定多个时隙的时隙密钥组件,为该设备生成授权时隙集
Figure BDA0001989926180000081
限制设备密钥的时效性,其中,TSj为第j时隙;从模p剩余类Zp中随机选取元素ω,t0。对于授权时隙集合
Figure BDA0001989926180000082
中的任意第j个时间间隙TSj从Zp中随机选取元素tj,每个时间间隙都从Zp中选取元素。
利用系统公共参数和随机选取的元素ω进行幂运算获得参数K0,K1,利用设备的身份信息的哈希值和随机元素t0计算得到身份密钥组件K(ID,0),K(ID,1),t0用于将身份密钥组件绑定在一起,利用为每个时隙选取的随机元素tj和时间属性公钥计算每个授权时隙的密钥组件
Figure BDA0001989926180000083
tj用于将时间密钥组件绑定在一起,生成访问认证密钥,最终的输出密钥为
Figure BDA0001989926180000084
具体为,
Figure BDA0001989926180000085
其中,K0和K1分别为第一、第二公共密钥参数,在解密算法中配合身份密钥组件和时隙密钥组件进行解密操作,K(ID,0)表示标识为ID的设备的第一个身份密钥组件,K(ID,1)表示标识为ID的设备的第二个身份密钥组件,
Figure BDA0001989926180000086
表示时隙TSj的第一个时隙密钥组件,
Figure BDA0001989926180000087
表示时隙TSj的第二个时隙密钥组件。
S3:用户注册与授权:用户向CC提交请求,执行认证和授权。此过程可以基于任意一个安全的认证协议。针对不同用户设置不同访问权限,智能电网中的用户包括普通用户、电力公司员工、设备维护人员以及安全人员等,不同角色的用户对不同的设备有不同的访问权限。
新用户注册时,用户向CC提供自己的身份信息UID(包括:用户角色、所在区域、访问需求等)及认证凭据,CC根据用户角色和访问需求,生成一个该用户可以访问的设备及时隙的集合,并以此生成用户的授权访问结构。CC利用时限属性密码和授权访问结构将执行认证协议之后生成的用于认证用户的认证信息加密生成用户的授权票据AUT并返回给用户。具体可根据公式:
Figure BDA0001989926180000091
为控制中心为用户生成的授权访问结构,其中,IDi表示用户可以访问的第i号设备,
Figure BDA0001989926180000092
表示用户可以访问设备IDi的时间间隙集合。
如图5为用户注册与授权流程图,用户注册与授权具体包括:
用户选择认证票据credentials,并向控制中心发送身份信息UID和认证票据credentials请求注册和授权;控制中心和用户启动安全认证协议进行用户认证,控制中心生成用于用户认证的认证信息M=H2(credentials)||H2(·),其中H2(·)是控制中心随机选取的一个(0,1)*→G哈希函数,M由用户认证票据哈希值H2(credentials)和哈希函数H2(·)串联而来。由控制中心CC随机生成哈希函数H2(·):(0,1)*→GT;控制中心根据用户角色决定用户可以访问的设备及访问时间并生成授权访问结构Γ,授权访问结构Γ根据认证设备信息ID、授权时隙集
Figure BDA0001989926180000099
时间间隙确定,具体为:
Figure BDA0001989926180000093
其中,
Figure BDA0001989926180000094
是用户可以访问编号i的设备的时隙集合,这个授权访问结构表示用户可以在时隙TSi,1,TSi,2,...,TSi,j,...内访问设备ID1
控制中心利用时限属性密码及其授权访问结构Γ加密认证信息M生成授权票据AUT,包括:从模p剩余类Zp中随机选取元素s,对于授权访问结构Γ中所有的设备和时序集合(如
Figure BDA0001989926180000095
表示用户可以在时间间隙集合
Figure BDA0001989926180000096
内访问编号i的设备IDi),从Zp中随机选取元素ri,si,ri用于将IDi的所有身份秘闻组件绑定在一起,其中0<si<s;令st=s-si,对于时隙集合
Figure BDA0001989926180000097
中的所有时隙TSi,j从Zp中随机选取元素ri,j,ri,j用于将TSi,j的所有密文组建绑定在一起,利用si和st将密文中的身份密文组件和时间密文组件绑定在一起,以防止用户私自篡改密文谋取非法权限。具体公式为:
调用公式:
Figure BDA0001989926180000098
生成授权票据AUT。其中,
Figure BDA0001989926180000101
是授权单元
Figure BDA0001989926180000102
的身份密文组件,利用对每个授权单元从Zp中随机选取的元素si和ri根据上述公式计算而来,0<si<s,其中
Figure BDA0001989926180000103
将si和ri进行盲化,
Figure BDA0001989926180000104
用于配合
Figure BDA0001989926180000105
进行解密,
Figure BDA0001989926180000106
用于加密设备信息ID,
Figure BDA0001989926180000107
是时隙集合中每个授权时间间隙TSi,j对应的时间公钥Tj的时间密钥组件,利用st和对每个时间间隙随机选取的ri,j,根据上述公式计算获取,st=s-si,其中
Figure BDA0001989926180000108
对si和ri进行盲化,
Figure BDA0001989926180000109
用于配合
Figure BDA00019899261800001010
进行解密,
Figure BDA00019899261800001011
用于加密时间属性Tj
Figure BDA00019899261800001012
为对于访问结构Γ中的每一个授权单元都有括号内的密文组件,
Figure BDA00019899261800001013
表示授权时隙集合
Figure BDA00019899261800001014
中的每一个时隙均有前面括号内的密文组件。
si和st用于将一个授权单元
Figure BDA00019899261800001015
的身份密文组件和时间密文组件绑定在一起,控制中心将授权票据AUT返回给用户。
S4:设备访问认证与控制:用户将自己的认证凭据及授权票据AUT发送给设备请求访问,设备在用户票据的访问结构中查找本设备的身份信息及允许访问的时间信息,如果访问结构中存在本设备的身份信息并且允许在本时隙访问,那么设备会选择当前时隙的设备访问认证密钥(此密钥中的时间属性密钥组件取为当前时隙的密钥组件)对用户的票据进行解密操作,如果解密成功,则利用票据中的认证信息对用户启动安全的认证协议进行认证,如果认证成功,则允许该用户访问。
图6所示为设备访问认证与控制流程图。用户输入认证凭据credentials和授权票据AUT,设备利用当前设备访问认证密钥(此密钥中的时间属性密钥组件取为当前时隙的密钥组件)解密AUT,若解密成功,继续下列操作,否则拒绝访问请求。
设备利用当前的设备访问认证密钥
Figure BDA00019899261800001016
解密AUT,若解密成功,继续操作,否则拒绝访问请求,具体可采用如下方法进行解密:
设备选取当前时隙(TSj时隙)的时间密钥组件
Figure BDA00019899261800001017
在用户的授权访问结构Γ中查找是否存在自己的身份属性信息IDi,如果存在则继续查找是否存在当前时隙,如果存在,进一步在
Figure BDA0001989926180000111
中查找是否存在当前时隙,如果存在则继续,否则输出认证失败。解密验证中,利用身份密文组件和身份密钥组件进行双线性映射运算,根据公式计算B1,用于验证用户的票据中是否有本设备的身份信息:
Figure BDA0001989926180000112
其中e(x,y)表示对x和y进行双线性映射运算;利用当前时隙的时间密文组件和时间密钥组件进行双线性映射运算,根据公式计算B2,用来验证用户是否可以在当前时段访问本设备:
Figure BDA0001989926180000113
调用公式:
Figure BDA0001989926180000114
还原认证信息M,分离出H2(credentials')和哈希函数H2(·)。解密算法中的所有参数均来自设备的密钥
Figure BDA0001989926180000115
和用户的授权票据
Figure BDA0001989926180000116
利用解密出的H2(credentials')、哈希函数H2(·)和用户申请访问时输入的认证票据credentials启动认证协议,对用户身份进行认证,如果认证成功,则允许用户访问,否则拒绝访问请求,包括:利用哈希函数H2(·)对用户输入的认证票据credentials进行哈希计算得到认证票据的哈希H2(credentials);比对计算结果H2(credentials)与M中解密还原出的认证票据哈希H2(credentials')是否相等,如果相等说明用户认证票据正确则允许用户访问,否则拒绝访问。
最后说明的是,以上优选实例仅用以举例说明本发明的技术方案而非限制,对于本领域的技术人员来说,可以根据以上的技术方案内容,在形式和细节上做出各种相应的改变,但所有的这些改变都应该包括在本发明权力要求的保护范围内。

Claims (7)

1.一种基于属性密码的认证、授权和访问控制方法,其特征在于:包括以下步骤,控制中心CC负责智能电网系统初始化、设备和用户的认证和注册,给有效设备分发访问认证密钥SK,给合法用户生成授权票据AUT,设备对用户进行访问控制;控制中心利用属性密钥组件为有效设备生成访问认证密钥,并将访问认证密钥发送给该有效设备;用户向CC提交请求,执行认证和授权,CC授权并设置不同角色的用户对不同设备的访问权限;CC根据用户角色和访问需求,生成一个该用户可以访问的设备及时隙的集合,并以此生成用户的授权访问结构;利用时限属性密码和授权访问结构将执行认证协议之后生成的用于认证用户的认证信息加密生成用户的授权票据AUT并返回给用户;用户将自己的认证凭据及授权票据AUT发送给设备请求访问,设备在用户票据的访问结构中查找本设备的身份信息及允许访问的时间信息,如果访问结构中存在本设备的身份信息并且允许在本时隙访问,选择当前时隙的设备访问认证密钥,对用户的票据进行解密,如果解密成功,利用票据中的认证信息对用户进行认证,认证成功允许该用户访问;
控制中心系统初始化,生成时限属性密码公共参数包括:两个阶为p的双线性群G和GT,G和GT满足双线性映射e:G×G→GT,G中元素ga,G的生成元g,哈希函数H1(·):(0,1)*→G用于将用户身份信息映射到群G中,对于每个时间间隙从群G中随机选取元素T1,T2,...,Tn作为时间属性公钥用于控制设备密钥和用户授权票据的有效时长,系统主密钥MSK=α由控制中心保存,其中元素a在模p剩余类Zp中随机选取,用于为用户生成授权票据,为设备生成密钥;
不同角色的用户包括智能电网中的普通用户、电力公司员工、设备维护人员以及安全人员,不同角色的用户向CC提供自己的用户角色、所在区域、访问需求、认证凭据;
控制中心CC为设备生成授权时隙集
Figure FDA0003866306510000011
限制设备密钥的时效性;从模p剩余类Zp中随机选取元素ω、t0,对于授权时隙集合
Figure FDA0003866306510000012
中的每一个时间间隙TSj从Zp中随机选取元素tj,利用设备的身份信息的哈希值和随机元素t0确定身份密钥组件K(ID,0),K(ID,1),利用为每个时隙选取的随机元素tj和时间属性公钥计算每个授权时隙的密钥组件
Figure FDA0003866306510000013
利用系统公共参数和元素ω进行幂运算获得公共密钥参数K0,K1,输出密钥
Figure FDA0003866306510000021
其中K(ID,0)表示设备ID的第一个身份密钥组件,K(ID,1)表示设备ID的第二个身份密钥组件,
Figure FDA0003866306510000022
表示时隙TSj的第一个时隙密钥组件,
Figure FDA0003866306510000023
表示时隙TSj的第二个时隙密钥组件,K0为第一公共密钥参数,K1为第二公共密钥参数。
2.根据权利要求1所述的方法,其特征在于,属性密钥组件包括设备的身份密钥组件和时隙密钥组件,时隙密钥组件用于控制用户访问设备的时限,通过时限属性密码限定用户授权票据的有效时间以及设备访问认证密钥的有效时长,设备的身份密钥组件包括设备所在地区、设备类型。
3.根据权利要求1或2所述的方法,其特征在于,用户注册与授权具体包括:用户向控制中心发送身份信息UID和选择的认证票据credentials请求注册和授权,控制中心将用户认证票据哈希值与哈希函数串联,根据公式M=H2(credentials)||H2(·)生成认证信息M,其中H2(·)是控制中心随机选取的一个(0,1)*→G哈希函数,H2(credentials)为认证票据哈希;控制中心根据用户角色决定用户可以访问的设备及访问时间并生成授权访问结构Γ,利用时限属性密码及其授权访问结构Γ加密认证信息M生成授权票据AUT,控制中心将授权票据AUT返回给用户。
4.根据权利要求1或2所述的方法,其特征在于,设备选取当前时隙的时间密钥组件
Figure FDA0003866306510000024
在用户的授权访问结构Γ中查找是否存在自己的身份属性信息IDi,在授权时隙集中查找当前空闲时隙,还原认证信息M,比较用户输入的认证票据哈希值与还原出的认证信息M中的认证票据哈希是否一致,如果一致表示用户认证通过。
5.根据权利要求3所述的方法,其特征在于,控制中心根据公式:
Figure FDA0003866306510000025
为用户生成的授权访问结构,其中,IDi表示用户可以访问的第i号设备,
Figure FDA0003866306510000026
表示用户可以访问设备IDi的时间间隙集合。
6.根据权利要求4所述的方法,其特征在于,从模p剩余类Zp中随机选取元素s,对于授权访问结构Γ中所有的设备和时序集合从Zp中随机选取元素ri,si,其中0<si<s,st=s-si,将一个授权单元的身份密文组建和时间密文组建绑定在一起,对于时隙集合
Figure FDA0003866306510000031
中的所有时隙TSi,j从Zp中随机选取元素ri,j,根据认证信息M和授权访问结构Γ调用公式:
Figure FDA0003866306510000032
生成授权票据AUT,
Figure FDA0003866306510000033
是授权单元
Figure FDA0003866306510000034
的身份密文组件,利用对每个授权单元从Zp中随机选取的元素si和ri确定,
Figure FDA0003866306510000035
是时隙集合中每个授权时间间隙TSi,j的时间密钥组件。
7.根据权利要求4所述的方法,其特征在于,所述解密还原认证信息的方法进一步包括:利用身份密文组件和身份密钥组件进行双线性映射运算计算B1,用于验证用户的票据中是否有本设备的身份信息;利用当前时隙的时间密文组件和时间密钥组件进行双线性映射运算计算B2,用来验证用户是否可以在当前时段访问本设备,调用公式:
Figure FDA0003866306510000036
还原认证信息M,从还原的认证信息中分离出认证票据哈希和哈希函数H2(·)。
CN201910177085.3A 2019-03-08 2019-03-08 智能电网中基于时限属性密码的认证、授权和访问控制方法 Active CN109871668B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910177085.3A CN109871668B (zh) 2019-03-08 2019-03-08 智能电网中基于时限属性密码的认证、授权和访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910177085.3A CN109871668B (zh) 2019-03-08 2019-03-08 智能电网中基于时限属性密码的认证、授权和访问控制方法

Publications (2)

Publication Number Publication Date
CN109871668A CN109871668A (zh) 2019-06-11
CN109871668B true CN109871668B (zh) 2022-11-15

Family

ID=66920055

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910177085.3A Active CN109871668B (zh) 2019-03-08 2019-03-08 智能电网中基于时限属性密码的认证、授权和访问控制方法

Country Status (1)

Country Link
CN (1) CN109871668B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110519238B (zh) * 2019-08-08 2021-11-12 北京安御道合科技有限公司 一种基于密码技术的物联网安全系统和通信方法
CN113114630B (zh) * 2021-03-22 2022-04-15 重庆邮电大学 一种电动汽车动态无线充电隐私保护的认证方法及系统
CN114513364B (zh) * 2022-02-25 2024-03-15 杭州涂鸦信息技术有限公司 一种服务授权方法及相关组件
CN114615043A (zh) * 2022-03-08 2022-06-10 安顺职业技术学院 一种基于时间带关键字搜索的外包属性基加密的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101711027A (zh) * 2009-12-22 2010-05-19 上海大学 一种无线传感器网络中基于身份的分散密钥管理方法
CN102549592A (zh) * 2009-11-06 2012-07-04 日本电气英富醍株式会社 嵌入信息终端中的软件更新时的认证方法、其系统及其程序
CN107395568A (zh) * 2017-06-21 2017-11-24 西安电子科技大学 一种多数据拥有者认证的密文检索方法
CN108289026A (zh) * 2017-12-22 2018-07-17 北京邮电大学 一种卫星网络中的身份认证方法及相关设备
CN108810004A (zh) * 2018-06-22 2018-11-13 西安电子科技大学 基于代理的可撤销多授权中心访问控制方法、云存储系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BR112014007061A2 (pt) * 2011-09-28 2017-03-28 Koninklijke Philips Nv sistema criptográfico, método de geração de uma chave secreta de usuário para utilização em um sistema criptográfico com base em atributo hierárquico, método de descriptografia de um ciphertext para utilização em um sistema criptográfico com base em atributo hierárquico, método de criptografia de uma mensagem para utilização em um sistema criptográfico com base em atributo hierárquico, e, programa de computador

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102549592A (zh) * 2009-11-06 2012-07-04 日本电气英富醍株式会社 嵌入信息终端中的软件更新时的认证方法、其系统及其程序
CN101711027A (zh) * 2009-12-22 2010-05-19 上海大学 一种无线传感器网络中基于身份的分散密钥管理方法
CN107395568A (zh) * 2017-06-21 2017-11-24 西安电子科技大学 一种多数据拥有者认证的密文检索方法
CN108289026A (zh) * 2017-12-22 2018-07-17 北京邮电大学 一种卫星网络中的身份认证方法及相关设备
CN108810004A (zh) * 2018-06-22 2018-11-13 西安电子科技大学 基于代理的可撤销多授权中心访问控制方法、云存储系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Attribute-Based Hash Proof System Under Learning-With-Errors Assumption in Obfuscator-Free and Leakage-Resilient Environments";Mingwu Zhang等;《 IEEE Systems Journal》;20150701;全文 *
"基于属性加密的云存储访问控制机制";王守坤;《中国优秀硕士学位论文全文数据库——信息科技辑》;20180615;全文 *

Also Published As

Publication number Publication date
CN109871668A (zh) 2019-06-11

Similar Documents

Publication Publication Date Title
CN109871668B (zh) 智能电网中基于时限属性密码的认证、授权和访问控制方法
CN102217277B (zh) 基于令牌进行认证的方法和系统
CN103491093B (zh) 一种智能电网用户访问授权方法
CN102377788B (zh) 单点登录系统及其单点登录方法
CN101212293B (zh) 一种身份认证方法及系统
CN109728903B (zh) 一种使用属性密码的区块链弱中心密码授权方法
CN103731756A (zh) 一种基于智能云电视网关的智能家居远程安全访问控制实现方法
US8141142B2 (en) Secure authentication of service users of a remote service interface to a storage media
CN103248479A (zh) 云存储安全系统、数据保护以及共享方法
CN103685323A (zh) 一种基于智能云电视网关的智能家居安全组网实现方法
CA2874132A1 (en) System and method for grid based cyber security
CN101048720A (zh) 利用随机函数的执行证明
CN101005361A (zh) 一种服务器端软件保护方法及系统
CN101772024A (zh) 一种用户身份确定方法及装置和系统
CN101834853A (zh) 匿名资源共享方法和系统
KR101344074B1 (ko) 프라이버시 보호를 위한 스마트 그리드 정보 전송 기법
CN106789996A (zh) 一种智能电网用户访问授权控制方法
CN115766033A (zh) 面向隐私保护的门限单点登录方法
KR101491553B1 (ko) 인증서 기반의 dms를 이용한 안전한 스마트그리드 통신 시스템 및 방법
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
KR100979205B1 (ko) 디바이스 인증방법 및 그 시스템
Ma et al. Research on data security and privacy protection of smart grid based on alliance chain
CN109412809A (zh) 基于可认证层次化属性加密的sdn信息访问控制方法
Chen et al. A Mobile Internet Multi-level Two-way Identity Authentication Scheme Based on Zero Trust
CN113438562A (zh) 一种智能电表数据传输方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20240415

Address after: No. 97 Wanghe Avenue, Jinhuaqiao Street, Wuhou District, Chengdu City, Sichuan Province, 610041

Patentee after: Chengdu Bozhi Technology Co.,Ltd.

Country or region after: China

Address before: 400065 Chongqing Nan'an District huangjuezhen pass Chongwen Road No. 2

Patentee before: CHONGQING University OF POSTS AND TELECOMMUNICATIONS

Country or region before: China