CN115150119B - 一种面向ncpn中计算服务容器的可撤销访问控制方法 - Google Patents
一种面向ncpn中计算服务容器的可撤销访问控制方法 Download PDFInfo
- Publication number
- CN115150119B CN115150119B CN202210403190.6A CN202210403190A CN115150119B CN 115150119 B CN115150119 B CN 115150119B CN 202210403190 A CN202210403190 A CN 202210403190A CN 115150119 B CN115150119 B CN 115150119B
- Authority
- CN
- China
- Prior art keywords
- user
- service
- computing service
- computing
- private key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 238000013475 authorization Methods 0.000 claims abstract description 47
- 238000012795 verification Methods 0.000 claims abstract description 19
- 238000004364 calculation method Methods 0.000 claims description 16
- 238000012790 confirmation Methods 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 3
- 238000013461 design Methods 0.000 abstract description 12
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/088—Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及命名算力网络,公开了一种面向NCPN中计算服务容器的可撤销访问控制方法。针对命名算力网络中路由器侧承载计算服务容器的分布式独立校验问题,构造出一种无证书签名方案:源服务器基于授权用户的身份信息、订阅的计算服务以及授权期限生成用户私钥‑源服务器部分,该特殊的用户私钥设计,使得在网内路由器处动态部署的计算服务容器仅需持有系统的主公钥、无需携带任何用户信息,便可独立校验出用户与订阅服务之间的授权关系;同时通过授权时限的不可造伪设计,实现动态部署的计算服务容器可以判断出用户权限是否过期,而源服务器通过维护更新用户订阅期限列表中用户订阅信息,可实现用户权限的灵活撤销。
Description
技术领域
本发明涉及命名算力网络(Named Computing Power Network,NCPN),具体涉及一种面向NCPN中计算服务容器的可撤销访问控制方法。
背景技术
随着“计算+网络”进一步融合,业界提出了算力网络(Computing Power Network,CPN)的概念,设计愿景是融合计算、存储、传送资源的智能化网络。现有的算力网络通过设计一个智能感知路由层,根据所收集的全网计算设备资源、网络性能等信息,将计算任务智能转发到最优的计算设备中,但现有CPN中网络设备只承担路由转发功能,随着网络设备计算能力的不断加强以及虚拟化技术的广泛应用,网络设备也可以通过承载虚拟机提供计算服务,而将原本处于网络边缘的计算服务按需迁移到网内,必然可以进一步提高网络和计算资源利用率、改善用户体验,因此“网内计算”已逐步成为下一代CPN架构的必然特征。这里,“网内计算”指的是路由器基于虚拟化技术利用剩余计算资源提供分布式计算服务。
2021年中国联通研究院首先对未来CPN架构进行了初步设计:将资源服务层通过overlay部署于计算能力增强型的网内路由器中,使得每一个网络路由器都可以执行不同类型的实例化计算服务,为用户提供就近计算。面向网内计算服务的有效部署问题,中国联通研究院进一步提出了面向FaaS(Functions as a Service,FaaS)的算网资源调度技术:通过 Serverless模式将服务部署于由事件触发、存在于无状态(Stateless)的计算容器内,将容器作为最小的计算服务调度单元应用部署于路由器中,实现了计算服务的动态部署与调度,促进了算力资源与网络能力的进一步结合。
虽然容器虚拟化技术的引入很好的解决了算力在网络中部署与调度,但是在IP网络架构“面向主机寻址”的模式中,加载在路由器上的计算服务容器如何被灵活发现、以及动态寻址,是一个困扰业界的难题。作为下一代互联网体系架构的典型代表,命名数据网络(Named Data Networking,NDN)成功将“网络”与“存储”能力融合,通过名称路由与分布式网内缓存,实现了静态内容在网内的复用与高效转发。面向网内日益增长的动态计算需求,在NDN基础上进一步将“计算”能力融入路由器,支持“网内计算”的新型命名架构网络设计应运而生。2017年,伦敦大学学院的Król等人提出了NFaaS,将容器技术引入NDN,通过采用轻量级的Unikernels容器设计了网内命名计算服务。NFaaS技术为CPN提供了一个十分具有潜力的方向,以NDN作为CPN的承载网设计的命名算力网络 (Named ComputingPower Network,NCPN),有以下诸多优势:(1)命名寻址模式,可实现灵活的网络层算力资源发现,能够很好的弥补CPN中资源难以发现的不足;(2)计算容器在网内动态部署,为用户提供就近服务;(3)计算结果的缓存复用,可以避免网内重复计算。
NCPN能够为用户提供就近计算服务的同时,面临着若干新的安全风险,其中首要的风险就是算力服务的访问控制问题。在NCPN中,加载于NCPN路由器上的计算服务容器是一个独立的个体,如何赋予加载在路由器上的计算服务容器验出用户与计算服务之间的授权关系、避免非授权用户浪费算力资源是重点需要解决的安全问题。目前主流的解决思路有两种:(1)加载在路由器上的计算服务容器接收到用户的算力请求后,转发给源服务器,由源服务器校验用户身份,将校验成功的信息返回给计算服务容器;(2)网内动态部署的计算服务容器,携带所有授权用户的公钥,用授权用户的公钥对用户身份进行校验。但前者将用户算力调用请求转发至源服务器处校验用户身份,将导致严重增加的传输时延;后者需要计算服务容器携带庞大的用户身份信息,将会导致较大的存储开销。此外,根据dotCloud公司给出的官方数据可知,计算容器通常是兆字节级别大小,若计算服务容器携带大量用户公钥,计算服务容器体积过大会严重影响其启动速度、传输速度等。
针对NCPN中的分布式校验需求,基于身份的签名方案(Identity BasedSignature, IBS)是一个可行的思路,该方案将用户公钥与身份ID进行绑定,网内的计算服务容器仅需持有用户ID便可校验用户身份。然而,IBS方案只能校验用户身份是否真实,无法校验用户与所请求的计算服务之间的订阅关系,同时IBS会引入非常严重的密钥托管问题,一旦密钥生成中心遭到破坏,用户密钥不可避免地会被泄露,签名的安全性很难得到保证,同时难以实现用户权限的动态撤销。
发明内容
面对现有技术中的技术挑战,本发明设计了一种面向NCPN中计算服务容器的可撤销访问控制方法。源服务器承担密钥生成中心的责任,基于授权用户的身份信息、订阅的计算服务以及授权期限生成用户私钥-源服务器部分,该特殊的用户私钥设计,使得在网内路由器处动态部署的计算服务容器无需携带任何用户身份信息,仅需持有系统主公钥这一项密钥,便可独立校验出所有用户与订阅服务之间的授权关系;同时通过授权时限的不可造伪设计,实现动态部署的计算服务容器可以判断出用户权限是否过期,而源服务器通过维护更新用户订阅期限列表中用户订阅信息,便可实现用户权限的灵活撤销,同时计算开销低。
为达到上述目的,本发明提供以下技术方案:一种面向NCPN中计算服务容器的可撤销访问控制方法,包括以下步骤:
1)源服务器初始化系统参数,所述系统参数包括椭圆曲线上的加法群G,阶为q的生成元P,以及大素数p,采用哈希函数
2)源服务器随机选择系统的主私钥其中/>表示整数Zq中0去除后剩下的部分,计算系统的主公钥Ppub=kms*P,秘密保存主私钥kms并向用户及动态部署于网内路由器上的计算服务容器公开安全参数Pparams,所述公开安全参数Pparams={p,q,P,Ppub,H};
3)用户i为拟申请订阅的服务随机选取秘密值作为用户侧的用户私钥-用户部分,并计算用户侧的用户公钥-用户部分,计算公式为:Xi=xi*P;
4)源服务器产生用户公私钥-源服务器部分Ri、di,并加密后发送给用户;
5)用户侧生成完整用户私钥Ski和用户公钥Pki;
6)用户对调用Service_A的兴趣包进行签名,产生签名Si;
7)计算服务容器对收到名称前缀为“/Service_A/request”的兴趣包后,从兴趣包中提取出参数签名Si、时间戳T、用户身份信息IDi、公钥(Xi,Ri)及授权期限ti,并进行关系校验;
8)用户权限撤销,源服务器维护并更新用户订阅列表,当用户授权期限ti到期后,若用户续订则为用户重新颁发用户公私钥-源服务器部分,否则从订阅列表中删除到该用户的三元组信息(IDi,ri,ti)。
进一步地,上述步骤4)包括如下步骤:
4.1)设用户i向源服务器订阅计算服务A,记为Service_A;
4.2)用户将身份信息IDi以及用户公钥-用户部分Xi以兴趣包的形式,发送给源服务器用于请求订阅Service_A,所述请求订阅兴趣包的名称记为“/Service_A/subscribe”;
4.3)收到用户订阅请求兴趣包的源服务器,为用户随机选取随机数并根据用户的服务购买信息,为本次订阅的计算服务Service_A设置授权期限ti,进而将用户的订阅信息以三元组(IDi,ri,ti)存储在源服务器上的订阅列表中;
4.4)源服务器通过主私钥kms为用户生成计算服务Service_A所对应的用户公私钥-源服务器部分Ri、di,所述用户公私钥-源服务器部分计算公式如下:
其中,Service_A为服务A的名称,Ri是用户公钥-源服务器部分、di是用户私钥-源服务器部分。
4.5)源服务器利用用户公钥Xi对用户公钥-源服务器部分Ri、用户私钥-源服务器部分 di以及授权期限ti进行加密,并将密文以数据包形式发送给用户。
进一步地,上述步骤5)用户侧生成完整用户公私钥包括如下步骤:
5.1)用户收到来自源服务器关于服务名称为Service_A的用户公私钥-源服务器部分 Ri、di以及授权期限ti后,通过等式di*P=Ri+Ppub*H(IDi||Ri||Xi||Service_A||ti)是否成立来判断Ri、di以及ti的合法性;
5.2)若等式不成立,转步骤3)重新向源服务器申请该项服务的用户公私钥-源服务器部分,否则转步骤5.3);
5.3)用户进一步将步骤3)与步骤4)输出的用户公私钥直接合并成完整的用户公私钥;用户完整的用户私钥记为Ski=(xi,di),用户完整的用户公钥记为Pki=(Xi,Ri)。
进一步地,上述步骤6)用户对调用Service_A的兴趣包进行签名包括如下步骤:
6.1)用户产生名称前缀为“/Service_A/request”的兴趣包,用于调用计算服务A,为了防止兴趣包遭受重放攻击,该兴趣包中嵌入当前时间T作为时间戳;此外,为了让接受该兴趣包的路由器上计算服务容器可以实施分布式独立校验,在该兴趣包中,需携带完整的用户公钥Pki=(Xi,Ri)以及授权期限ti;
6.2)完成该兴趣包构建后,用户用自身的用户私钥Ski对“用户身份信息IDi、用户公钥-源服务器部分Ri、该兴趣包名称前缀、时间戳T”的拼接字符串进行签名,产生的签名记为Si,签名计算公式如下:
进一步地,上述步骤7)中计算服务容器对收到名称前缀为“/Service_A/request”的兴趣包进行校验包括如下步骤:
7.1)计算服务容器检查该兴趣包的时间戳T是否等于当前接收时间,防止遭受重放攻击。若时间符合,则检查通过并执行下一步校验,转至步骤7.2),否则丢弃该兴趣包;
7.2)计算服务容器将从兴趣包中授权期限ti与当前时间对比,检查用户授权期限ti是否过期。若ti大于当前时间,判断该用户的授权关系过期,则丢弃该兴趣包;若ti小于当前时间,判断该用户的授权关系仍在有效期内,则计算服务容器通过自身持有的主公钥Ppub结合从兴趣包提取的时间戳T、用户身份信息IDi、公钥(Xi,Ri)以及授权期限ti对签名进行校验,校验公式如下:
若等式成立,则证明当前兴趣包的发送用户为计算服务A有效期限内的授权用户,否则丢弃该兴趣包;
7.3)若用户身份校验成功后,计算服务容器则响应用户本次请求并返回身份确认信息,用户再以兴趣包的形式提交本次计算服务所需的输入数据,接收到数据的计算服务容器预估一个计算时间返回给用户,用户收到后在本地设置一个计时器,待计时器超时后,发送兴趣包取回计算结果。
本发明具有以下有益效果:
本发明针对命名算力网络访问控制方法中动态部署于网内路由器上的计算服务容器分布式校验问题,设计了一种面向NCPN中计算服务容器的可撤销访问控制方法。在本方案中,源服务器基于授权用户的身份信息、订阅的计算服务以及授权期限生成用户私钥-源服务器部分,该特殊的用户私钥设计,使得在网内路由器处动态部署的计算服务容器无需携带任何用户身份信息,仅持有主公钥便可独立校验出用户与该项订阅服务之间的授权关系;同时授权时限被用户私钥-源服务器部分所保护,无法被用户造伪,该不可造伪性设计,实现动态部署的计算服务容器可以独立判断出用户权限是否过期,而源服务器通过维护更新用户订阅期限列表中用户订阅信息,可实现用户权限的灵活撤销。
附图说明
图1是NCPN兴趣包格式修改;
图2是源服务器处的“用户订阅列表”;
图3是本发明方法的实施交互图。
具体实施方式
下面结合附图以及具体实施例对本发明做进一步的说明,需要指出的是,下面仅以一种优选的技术方案对本发明的技术方案以及设计原理进行详细阐述,但本发明的保护范围并不限于此。
所述实施例为本发明的优选的实施方式,但本发明并不限于上述实施方式,在不背离本发明的实质内容的情况下,本领域技术人员能够做出的任何显而易见的改进、替换或变型均属于本发明的保护范围。
如图1所示,本发明为一种面向NCPN中计算服务容器的可撤销访问控制方法,包括以下步骤:
1)源服务器初始化系统参数,所述系统参数包括椭圆曲线上的加法群G,阶为q的生成元P,以及大素数p,采用哈希函数
2)源服务器随机选择系统的主私钥其中/>表示整数Zq中0去除后剩下的部分,计算系统的主公钥Ppub=kms*P,秘密保存主私钥kms并向用户及动态部署于网内路由器上的计算服务容器公开安全参数Pparams,所述公开安全参数Pparams={p,q,P,Ppub,H};
3)用户i为拟申请订阅的服务随机选取秘密值作为用户侧的用户私钥-用户部分,并计算用户侧的用户公钥-用户部分,计算公式为:Xi=xi*P;
4)源服务器产生用户公私钥-源服务器部分Ri、di,并加密后发送给用户;
5)用户侧生成完整用户私钥Ski和用户公钥Pki;
6)用户对调用Service_A的兴趣包进行签名,产生签名Si;
7)计算服务容器对收到名称前缀为“/Service_A/request”的兴趣包后,从兴趣包中提取出参数签名Si、时间戳T、用户身份信息IDi、公钥(Xi,Ri)及授权期限ti,并进行关系校验;
8)用户权限撤销,源服务器维护并更新用户订阅列表,当用户授权期限ti到期后,若用户续订则为用户重新颁发用户公私钥-源服务器部分,否则从订阅列表中删除到该用户的三元组信息(IDi,ri,ti)。
下面以一个具体实施例来详细描述本发明过程:
1)源服务器初始化系统参数
本系统是于曲线离散对数问题建立的。源服务器选定一条椭圆曲线E:y2=x3+αx+β并取椭圆曲线上一点作为基点P,假设选定的椭圆为α=4,β=20,p=29构成的曲线,基点 P(13,23),基点P的阶数q=37。在以下步骤中采用SHA-1算法实施哈希计算,所采用的哈希函数为:
2)源服务器承担密钥生成中心的工作,随机选择系统的主私钥kms=25,其中表示整数Zq中0去除后剩下的部分。计算系统的主公钥Ppub=kms*P=25P=(14,6),之后秘密保存主私钥kms并向用户、及动态部署于网内路由器上的计算服务容器公开安全参数Pparams,这里Pparams={p,q,P,Ppub,H}。
3)用户侧产生用户公私钥-用户部分
假设用户i向源服务器订阅服务A,这里服务A的名称用Service_A表示。首先用户i为该项服务随机选取xi=10作为用户侧的用户私钥-用户部分,并利用公共参数计算出用户侧的用户公钥-用户部分信息Xi=xi*P=10P=(6,4)。
4)源服务器产生用户公私钥-源服务器部分
用户i将身份信息IDi:User_i以及用户公钥-用户部分Xi(以兴趣包的形式,发送给源服务器用于请求订阅Service_A,该请求订阅兴趣包的名称定义为“/Service_A/subscribe”。收到用户订阅请求的源服务器,将为用户随机选取随机数ri=6,并根据用户的服务购买信息,为本次订阅的计算服务Service_A设置授权期限ti:2023-10-3,进而将用户的订阅信息以三元组(User_i,6,20231003)存储在本地的订阅列表中,参照图2。
在此基础上,源服务器再通过主私钥kms=25为用户生成Service_A所对应的用户公私钥 -源服务器部分Ri、di,上述用户公私钥-源服务器部分计算公式如下:
通过上述式子计算得到:h1=630283584500595215348124766243901287850706659496, Ri=(5,7),di=121638654233009335228700718086281856796103869003。
这里,Service_A为服务A的名称,Ri是用户公钥-源服务器部分、di是用户私钥-源服务器部分。由于Ri与di由用户身份信息IDi、订阅服务名称Service_A、以及授权期限ti生成,上述Ri与di的特殊设计实现了用户身份信息与其订阅服务名称的绑定、实现了源服务器对授权时限的确认,且用户身份信息与其订阅服务名称的绑定关系、授权时限,均无法被用户修改与伪造。源服务器最后采用用户公钥-用户部分Xi对Ri、di及授权期限ti进行加密,以数据包形式发送给用户。
5)生成完整公、私钥
当用户收到来自源服务器关于服务名称为Service_A的用户公私钥-源服务器部分Ri、 di以及授权期限ti后,通过等式di*P=Ri+Ppub*H(IDi||Ri||Xi||Service_A||ti)是否成立来判断Ri、di以及ti的合法性。若等式成立,用户进一步合并步骤3)与步骤4)输出的用户公私钥,生成完整的用户公私钥。否则转步骤3)重新向源服务器申请该项服务的用户公私钥-源服务器部分。最终,完整的用户私钥为Ski=(xi,di),其中xi=10, di=121638654233009335228700718086281856796103869003;完整的用户公钥为 Pki=(Xi,Ri),其中Xi=xi*P=10P=(6,4),Ri=ri*P=6P=(5,7)。
6)用户对调用Service_A的兴趣包进行签名
用户产生名称前缀为“/Service_A/request”的兴趣包,用于调用计算服务A,为了防止兴趣包遭受重放攻击,该兴趣包中嵌入当前时间T:2022/3/20/10:58作为时间戳;此外,为了让接受该兴趣包的路由器可以实施分布式独立校验,在该兴趣包中,需携带完整的用户公钥Pki=(Xi,Ri)以及授权期限ti,兴趣包结构参照图2。完成该兴趣包构建后,用户用自身的用户私钥Ski对“用户身份信息IDi、用户公钥-源服务器部分Ri、该兴趣包名称前缀、时间戳T”的拼接字符串进行签名,产生的签名用Si表示,签名计算公式如下:
通过上述式子计算得到:
h2=6122000212358065849118712169773763524820988063228,
Si=657287886187986508091601309299741360297544366250。
7)校验
态部署于网内路由器上的计算服务容器仅需持有系统主公钥Ppub这一项密钥,即可完成“用户与其所请求服务”之间的授权关系校验。当动态部署于网内路由器上的计算服务容器,收到名称前缀为“/Service_A/request”的兴趣包后,从其中提取出签名Si、时间戳T: 2022/3/20/10:58、用户IDi:User_i、公钥(Xi,Ri)以及授权期限ti:2023-10-3这五个参数。之后,计算服务容器执行以下校验步骤:
7.1)计算服务容器检查该兴趣包的时间戳T:2022/3/20/10:58是否等于当前接收时间,防止遭受重放攻击。若时间符合,则检查通过并执行下一步校验,转至步骤6.2),否则丢弃该兴趣包。
7.2)计算服务容器将从兴趣包中授权期限ti:2023-10-3与当前时间对比,检查用户授权期限ti是否过期。若ti大于当前时间,判断该用户的授权关系过期,则丢弃该兴趣包;若 ti小于当前时间,判断该用户的授权关系仍在有效期内,则计算服务容器通过自身持有的主公钥Ppub结合从兴趣包提取的时间戳T、用户身份信息IDi、公钥(Xi,Ri)以及授权期限ti对签名进行校验,校验公式如下:
若等式成立,则证明当前兴趣包的发送用户为计算服务A有效期限内的授权用户,否则丢弃该兴趣包。
7.3)若用户身份校验成功后,计算服务容器则响应用户本次请求并返回身份确认信息,用户再以兴趣包的形式提交本次计算服务所需的输入数据,接收到数据的计算服务容器预估一个计算时间返回给用户,用户收到后在本地设置一个计时器,待计时器超时后,发送兴趣包取回计算结果。
8)用户权限撤销
源服务器维护并更新用户订阅列表,参照图3,当用户授权期限ti到期后,若用户续订则为用户重新颁发用户公私钥-源服务器部分,否则从订阅列表中删除到该用户的三元组信息(User_i,6,20231003)。
Claims (5)
1.一种面向NCPN中计算服务容器的可撤销访问控制方法,其特征在于,包括以下步骤:
1)源服务器初始化系统参数,所述系统参数包括椭圆曲线上的加法群G,阶为q的生成元P,以及大素数p,采用哈希函数H:
2)源服务器随机选择系统的主私钥其中/>表示整数Zq中0去除后剩下的部分,计算系统的主公钥Ppub=kms*P,秘密保存主私钥kms并向用户及动态部署于网内路由器上的计算服务容器公开安全参数Pparams,所述公开安全参数Pparams={p,q,P,Ppub,H};
3)用户i为拟申请订阅的服务随机选取秘密值作为用户侧的用户私钥-用户部分,并计算用户侧的用户公钥-用户部分,计算公式为:Xi=xi*P;
4)源服务器产生用户公钥-源服务器部分Ri、用户私钥-源服务器部分di,并加密后发送给用户;
5)用户侧生成完整用户私钥Ski和用户公钥Pki;
6)用户对调用Service_A的兴趣包进行签名,产生签名Si,所述Service_A为用户i向源服务器订阅计算服务A;
7)计算服务容器对收到名称前缀为“/Service_A/request”的兴趣包后,从兴趣包中提取出参数签名Si、时间戳T、用户身份信息IDi、公钥(Xi,Ri)及授权期限ti,并进行关系校验;
8)用户权限撤销,源服务器维护并更新用户订阅列表,当用户授权期限ti到期后,若用户续订则为用户重新颁发用户公私钥-源服务器部分,否则从订阅列表中删除到该用户的三元组信息(IDi,ri,ti),为用户随机选取随机数。
2.如权利要求1所述的面向NCPN中计算服务容器的可撤销访问控制方法,其特征还在于,所述步骤4)包括如下步骤:
4.1)设用户i向源服务器订阅计算服务A,记为Service_A;
4.2)用户将身份信息IDi以及用户公钥-用户部分Xi以兴趣包的形式,发送给源服务器用于请求订阅Service_A,所述请求订阅兴趣包的名称记为“/Service_A/subscribe”;
4.3)收到用户订阅请求兴趣包的源服务器,为用户随机选取随机数并根据用户的服务购买信息,为本次订阅的计算服务Service_A设置授权期限ti,进而将用户的订阅信息以三元组(IDi,ri,ti)存储在源服务器上的订阅列表中;
4.4)源服务器通过主私钥kms为用户生成计算服务Service_A所对应的用户公私钥-源服务器部分Ri、di,所述用户公私钥-源服务器部分计算公式如下:
其中,Service_A为服务A的名称,Ri是用户公钥-源服务器部分、di是用户私钥-源服务器部分。
4.5)源服务器利用用户公钥Xi对用户公钥-源服务器部分Ri、用户私钥-源服务器部分di以及授权期限ti进行加密,并将密文以数据包形式发送给用户。
3.如权利要求1所述的面向NCPN中计算服务容器的可撤销访问控制方法,其特征还在于,所述步骤5)用户侧生成完整用户公私钥包括如下步骤:
5.1)用户收到来自源服务器关于服务名称为Service_A的用户公私钥-源服务器部分Ri、di以及授权期限ti后,通过等式di*P=Ri+Ppub*H(IDi||Ri||Xi||Service_A||ti)是否成立来判断Ri、di以及ti的合法性;
5.2)若等式不成立,转步骤3)重新向源服务器申请该项服务的用户公私钥-源服务器部分,否则转步骤5.3);
5.3)用户进一步将步骤3)与步骤4)输出的用户公私钥直接合并成完整的用户公私钥;用户完整的用户私钥记为Ski=(xi,di),用户完整的用户公钥记为Pki=(Xi,Ri)。
4.如权利要求1所述的面向NCPN中计算服务容器的可撤销访问控制方法,其特征还在于,所述步骤6)用户对调用Service_A的兴趣包进行签名包括如下步骤:
6.1)用户产生名称前缀为“/Service_A/request”的兴趣包,用于调用计算服务A,为了防止兴趣包遭受重放攻击,该兴趣包中嵌入当前时间T作为时间戳;此外,为了让接受该兴趣包的路由器上计算服务容器可以实施分布式独立校验,在该兴趣包中,需携带完整的用户公钥Pki=(Xi,Ri)以及授权期限ti;
6.2)完成该兴趣包构建后,用户用自身的用户私钥Ski对“用户身份信息IDi、用户公钥-源服务器部分Ri、该兴趣包名称前缀、时间戳T”的拼接字符串进行签名,产生的签名记为Si,签名计算公式如下:
5.如权利要求1所述的面向NCPN中计算服务容器的可撤销访问控制方法,其特征还在于,所述步骤7)中计算服务容器对收到名称前缀为“/Service_A/request”的兴趣包进行校验包括如下步骤:
7.1)计算服务容器检查该兴趣包的时间戳T是否等于当前接收时间,防止遭受重放攻击。若时间符合,则检查通过并执行下一步校验,转至步骤7.2),否则丢弃该兴趣包;
7.2)计算服务容器将从兴趣包中授权期限ti与当前时间对比,检查用户授权期限ti是否过期。若ti大于当前时间,判断该用户的授权关系过期,则丢弃该兴趣包;若ti小于当前时间,判断该用户的授权关系仍在有效期内,则计算服务容器通过自身持有的主公钥Ppub结合从兴趣包提取的时间戳T、用户身份信息IDi、公钥(Xi,Ri)以及授权期限ti对签名进行校验,校验公式如下:
若等式成立,则证明当前兴趣包的发送用户为计算服务A有效期限内的授权用户,否则丢弃该兴趣包;
7.3)若用户身份校验成功后,计算服务容器则响应用户本次请求并返回身份确认信息,用户再以兴趣包的形式提交本次计算服务所需的输入数据,接收到数据的计算服务容器预估一个计算时间返回给用户,用户收到后在本地设置一个计时器,待计时器超时后,发送兴趣包取回计算结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210403190.6A CN115150119B (zh) | 2022-04-18 | 2022-04-18 | 一种面向ncpn中计算服务容器的可撤销访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210403190.6A CN115150119B (zh) | 2022-04-18 | 2022-04-18 | 一种面向ncpn中计算服务容器的可撤销访问控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115150119A CN115150119A (zh) | 2022-10-04 |
CN115150119B true CN115150119B (zh) | 2024-06-07 |
Family
ID=83407247
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210403190.6A Active CN115150119B (zh) | 2022-04-18 | 2022-04-18 | 一种面向ncpn中计算服务容器的可撤销访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115150119B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102665205A (zh) * | 2012-04-26 | 2012-09-12 | 暨南大学 | 移动增值服务系统中保护用户访问隐私的访问控制方法 |
CN111556020A (zh) * | 2020-03-27 | 2020-08-18 | 江苏大学 | 一种基于兴趣包签名边缘校验的ndn访问控制方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10498537B2 (en) * | 2016-08-01 | 2019-12-03 | Institute For Development And Research In Banking Technology (Drbt) | System and method for providing secure collaborative software as a service (SaaS) attestation service for authentication in cloud computing |
-
2022
- 2022-04-18 CN CN202210403190.6A patent/CN115150119B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102665205A (zh) * | 2012-04-26 | 2012-09-12 | 暨南大学 | 移动增值服务系统中保护用户访问隐私的访问控制方法 |
CN111556020A (zh) * | 2020-03-27 | 2020-08-18 | 江苏大学 | 一种基于兴趣包签名边缘校验的ndn访问控制方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115150119A (zh) | 2022-10-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111355745B (zh) | 基于边缘计算网络架构的跨域身份认证方法 | |
CN111371730B (zh) | 边缘计算场景下支持异构终端匿名接入的轻量级认证方法 | |
CN112039872A (zh) | 基于区块链的跨域匿名认证方法及系统 | |
EP1481522B1 (en) | Lightweight authentication of information | |
US11706037B2 (en) | Achieving certificate pinning security in reduced trust networks | |
US8707418B2 (en) | System and methods for web-application communication | |
Ullah et al. | Certificateless Proxy Reencryption Scheme (CPRES) Based on Hyperelliptic Curve for Access Control in Content‐Centric Network (CCN) | |
EP1636933A2 (en) | Encryption system with public parameter host servers | |
CN108833339B (zh) | 一种内容中心网络下加密的访问控制方法 | |
CN115189913B (zh) | 数据报文的传输方法和装置 | |
CN114629720A (zh) | 一种基于区块链和Handle标识的工业互联网跨域认证方法 | |
CN111556020A (zh) | 一种基于兴趣包签名边缘校验的ndn访问控制方法 | |
Hosen et al. | SPTM-EC: A security and privacy-preserving task management in edge computing for IIoT | |
Liu et al. | Secure name resolution for identifier-to-locator mappings in the global internet | |
Zhang et al. | Proof of authentication for private distributed ledger | |
CN114679303A (zh) | 一种用于卫星互联网的源地址验证方法及装置 | |
CN115150119B (zh) | 一种面向ncpn中计算服务容器的可撤销访问控制方法 | |
Wang et al. | T-IP: A self-trustworthy and secure Internet protocol | |
CN115883088A (zh) | 基于bgp路由的自治域安全参数更新方法 | |
CN115706729A (zh) | 一种服务提供方法及装置、设备、存储介质 | |
Ma et al. | A new architecture for anonymous use of services in distributed computing networks | |
CN114465732B (zh) | 一种匿名消息认证方法及系统 | |
CN117424708B (zh) | 基于区块链和无证书签名的跨域认证方法 | |
CN116827555B (zh) | 基于密文密钥关系验证的区块链数据加解密方法及系统 | |
Meng et al. | Mutual Authentication and Distributed Key Management with Permissioned Blockchain in MEC-Enabled Vehicular Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |