智能电网中基于层次属性加密访问控制系统与方法
智能电网中基于层次属性加密访问控制系统与方法
【技术领域】
[0001 ] 本发明涉及智能电网中基于层次属性加密访问控制系统与方法。
【背景技术】
[0002]智能电网就是电网的智能化,也被称为“电网2.0”,它是建立在集成的、高速双向通信网络的基础上,通过先进的传感和测量技术、先进的设备技术、先进的控制方法以及先进的决策支持系统技术的应用,实现电网的可靠、安全、经济、高效、环境友好和使用安全的目标,其主要特征包括自愈、激励和包括用户、抵御攻击、提供满足21世纪用户需求的电能质量、容许各种不同发电形式的接入、启动电力市场以及资产的优化高效运行;云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。其主要特点是计算能力强,存储量大,运行速度快,工作效率高,由其特点可知,云计算特别适合处理来自智能电网的海量传感数据。
[0003]加密技术是一种数据安全专业中采取的最主要安全保密措施,是最常用的安全保密手段,其基本原理是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。这样可以有效地保护原始数据不被第三方窥伺或篡改。
[0004]访问控制技术是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问;主要作用:一、防止非法的主体进入受保护的网络资源。二、允许合法用户访问受保护的网络资源。三、防止合法的用户对受保护的网络资源进行非授权的访问。
【发明内容】
[0005]本发明的目的在于克服现有技术的不足,提供一种基于层次属性加密访问控制的系统与方法来限制电网用户对敏感电网传感数据的访问,由于电网数据中有敏感的数据比如财务数据等,和隐私信息如电网用户的个人信息等,电网企业需要将这些敏感的数据或信息加密后再上传,应用基于层次属性加密访问控制的方法可以让拥有访问敏感数据权限的用户顺利访问到这些数据,同时也能防止非法用户的访问。
[0006]本发明的目的是通过以下技术方案来实现的:智能电网中基于层次属性加密访问控制系统,它包括可信第三方和电网企业,所述的电网企业包括多层的内部可信实体、用户和用户属性;所述的内部可信实体包括第一层内部可信实体和下层内部可信实体;所述的可信第三方负责产生、发布系统参数params和域密钥;所述的第一层内部可信实体用于管理用户,为用户生成私钥;所述的下层内部实体的作用是为用户生成用户身份密钥和用户属性密钥;所述的用户属性中每个属性都拥有唯一的ID标志;所述的用户中每个用户拥有唯一的ID标志和一系列属性标志;所述的ID标志是描述实体特征的任意字符串,例如,身份证号码、邮箱地址等,如果一个用户的ID位于精确ID集合以内,或者拥有基于属性访问结构中的属性都能够解密密文。
[0007]所述的智能电网中基于层次属性加密访问控制系统,还包括一个云服务器,所述的云服务器用于保存可信第三方发布的密钥和域中的用户属性。
[0008]智能电网中基于层次属性加密访问控制方法,包括以下步骤:
[0009]S1.随机输入一个足够大的安全参数K,可信第三方生成系统参数params和根主密钥MKtl;
[0010]S2.可信第三方或者利用系统参数params和自己的主密钥为第一层内部可信实体生成主密钥,第一层内部可信实体利用系统参数params和自己的主密钥为下层内部可信实体生成主密钥;
[0011]S3.电网企业内第一层内部可信实体DM*首先确定电网用户u的公钥是否为PKu;如果是,则利用其主密钥MK*和系统参数params为用户生成私钥SKu;否则输出为“空”;
[0012]S4.下层内部可信实体DMi首先确定属性a是否属于自己管理,且用户u是否满足属性a,如果是,则为用户u生成用户身份密钥SKi,u,和用户属性密钥SKiiiw;否则,输出为
U ,,.
[0013]S5.对来自电网的数据和信息F进行加密,电网用户u以信息接收者的精确ID集合R、接收者所属的属性访问结构A、位于R中所有用户公钥、以及位于A中的所有属性公钥作为输入,输出为密文CT ;
[0014]S6.解密给定密文CT。
[0015]步骤S6中所述的给定密文CT的解密方法包括:
[0016](I)如果某电网用户u的精确ID属于集合R,则能够利用系统参数params和自己的用户私钥SKu恢复出数据或信息F ;
[0017](2)如果某电网用户u的属性满足数据的属性访问结构,即该用户拥有属性密钥,则能够利用系统参数params,用户身份密钥SKi^以及用户属性密钥{SKuJa e A}恢复明文。
[0018]所述的下层内部可信实体DMi包括一个公钥PK i和一个主密钥MK i;PK i是一个ID元组,形式为(PKh,IDi),其中,PKh是DM^亲节点DM H的公钥,ID^ DM^ ID ;DM*的公钥PM*由其ID组成,形式为(IDJ ;DM*的作用是管理用户,为用户生成用户私钥,下层内部可信实体DMi管理一系列属性集合,并为用户生成用户身份密钥和用户属性密钥。
[0019]所述的电网用户u由一个精确的ID以及一系列描述性属性描述组成,用户u的ID表不为IDU,属性集合表不为{a},用户u拥有一个用户公钥PKU,一个用户私钥SKU,一系列用户身份密钥用{SU表示,一系列用户属性密钥用{SKi,u,a}表示;PKU的形式为{PK*, IDJ,这里PK*为第一层内部可信实体DM*的公钥。
[0020]所述的属性a由一个精确的ID描述,表不为IDa,属性a拥有一个公钥,形式为(PKi, IDa),其中PKi是管理该属性的下层内部可信实体DM^公钥。
[0021]本发明的有益效果是:(1)采用高效的“一到多”加密,即一个密文同时被多个接收者利用其私钥解密;
[0022](2)采用灵活的访问控制策略,即同时支持精确身份和属性的访问结构;
[0023](3)与公司内部结构对应的层次结构的密钥生成方式,使用更加方便;
[0024](4)本发明不仅能够同时支持基于精确身份的加密访问控制和基于属性的加密访问控制,而且具有常数级的解密开销,支持层次结构的密钥生成方式,实现细粒度的访问控制,适用于企业中多用户共享云计算服务环境;
[0025](5)基于电网信息系统的需求,由于来自于传感器网络的传感数据具有海量、分布式、多源异构的特性,智能电网可以将这些数据和信息存放在第三方云服务器上,利用云计算存储量大,计算能力强的特点,能更有效的管理电网数据和信息;
[0026](6)本发明在有效控制和管理电网数据和信息的同时保护了这些信息的隐私性和机密性,还能实现分层次的访问控制,令电网系统中不同层次的用户能得到不同敏感级别的数据。
【附图说明】
[0027]图1为本发明的系统原理结构框图;
[0028]图2为本发明的方法流程图;
[0029]图3为本发明的实施例1示意图。
【具体实施方式】
[0030]下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
[0031]如图1所示,智能电网中基于层次属性加密访问控制系统,它包括可信第三方和电网企业,所述的电网企业包括多层的内部可信实体、用户和用户属性;所述的内部可信实体包括第一层内部可信实体和下层内部可信实体;所述的可信第三方负责产生、发布系统参数params和域密钥;所述的第一层内部可信实体用于管理用户,为用户生成私钥;所述的下层内部实体的作用是为用户生成用户身份密钥和用户属性密钥;所述的用户属性中每个属性都拥有唯一的ID标志;所述的用户中每个用户拥有唯一的ID标志和一系列属性标志;所述的ID标志是描述实体特征的任意字符串,例如,身份证号码、邮箱地址等,如果一个用户的ID位于精确ID集合以内,或者拥有基于属性访问结构中的属性都能够解密密文。
[0032]所述的智能电网中基于层次属性加密访问控制系统,还包括一个云服务器,所述的云服务器用于保存可信第三方发布的密钥和域中的用户属性。
[0033]如图2所示,智能电网中基于层次属性加密访问控制方法,包括以下步骤:
[0034]S1.随机输入一个足够大的安全参数K,可信第三方生成系统参数params和根主密钥MKtl;
[0035]S2.可信第三方或者利用系统参数para ms和自己的主密钥为第一层内部可信实体生成主密钥,第一层内部可信实体利用系统参数params和自己的主密钥为下层内部可信实体生成主密钥;
[0036]S3.电网企业内第一层内部可信实体DM*首先确定电网用户u的公钥是否为PKu;如果是,则利用其主密钥MK*和系统参数params为用户生成私钥SKu;否则输出为“空”;
[0037]S4.下层内部可信实体DMi首先确定属性a是否属于自己管理,且用户u是否满足属性a,如果是,则为用户u生成用户身份密钥SKi,u,和用户属性密钥SKiiiw;否则,输出为
U ,,.
[0038]S5.对来自电网的数据和信息F进行加密,电网用户u以信息接收者的精确ID集合R、接收者所属的属性访问结构A、位于R中所有用户公钥、以及位于A中的所有属性公钥作为输入,输出为密文CT ;
[0039]S6.解密给定密文CT。
[0040]步骤S6中所述的给定密文CT的解密方法包括:
[0041](I)如果某电网用户u的精确ID属于集合R,则能够利用系统参数params和自己的用户私钥SKu恢复出数据或信息F ;
[0042](2)如果某电网用户u的属性满足数据的属性访问结构,即该用户拥有属性密钥,则能够利用系统参数params,用户身份密钥SKi^以及用户属性密钥{SKuJa e A}恢复明文。
[0043]所述的下层内部可信实体DMi包括一个公钥PK i和一个主密钥MK i;PK i是一个ID元组,形式为(PKh,IDi),其中,PKh是DM^亲节点DM H的公钥,ID^ DM^ ID ;DM*的公钥PM*由其ID组成,形式为(IDJ ;DM*的作用是管理用户,为用户生成用户私钥,下层内部可信实体DMi管理一系列属性集合,并为用户生成用户身份密钥和用户属性密钥。
[0044]所述的电网用户U由一个精确的ID以及一系列描述性属性描述组成,用户u的ID表不为IDU,属性集合表不为{a},用户u拥有一个用户公钥PKU,一个用户私钥SKU,一系列用户身份密钥用{SU表示,一系列用户属性密钥用{SKi,u,a}表示;PKU的形式为{PK*, IDJ,这里PK*为第一层内部可信实体DM*的公钥。
[0045]所述的属性a由一个精确的ID描述,表不为IDa,属性a拥有一个公钥,形式为(PKi, IDa),其中PKi是管理该属性的下层内部可信实体DM^公钥。
[0046]如图3所示,为本发明应用于电网企业中的实施例1,它包括可信第三方、电网企业A和云服务器提供商;电网企业A中具有密钥生成器、各个部门、各个部门对应的员工和各个员工对应的数据和资料,可信第三方同时向云服务器提供商和电网企业A的密钥生成器发送密钥,电网企业A的密钥生成器相当于本发明的第一层内部可信实体,根据自身接收到的密钥和系统参数为公司内各个部门生成主密钥,并判断电网用户(即员工)的公钥是否属于本公司,如果属于,则为其生成私钥,若员工的如果某电网用户的精确ID属于集合R(即公司内某些特定的群体),则能够利用系统参数和自己的用户私钥查看企业中的某些对应于集合R的资料和数据。
[0047]公司的各个部门为部门内部员工生成身份密钥和权限具有的属性密钥,某电网用户(员工)的属性满足数据的属性访问结构,即该用户拥有属性密钥时,则能够利用系统参数和身份密钥查看该属性数据。
[0048]高效的“一到多”加密,即一个密文同时被多个接收者利用其私钥解密,例如电网用户需求分析可以同时被电网公司总裁以及某对应项目的参与人员访问;灵活的访问控制策略,即同时支持精确身份和属性的访问结构,例如,财务报表只能被具有总裁属性或员工号为某个集合的接收者访问;与公司内部结构对应的层次结构的密钥生成方式,例如,电网企业A为每个部门生成密钥,而部门为内部所有员工生成密钥,使得身份的认证和密钥的传输可以在公司内部完成。
【主权项】
1.智能电网中基于层次属性加密访问控制系统,其特征在于:它包括可信第三方和电网企业,所述的电网企业包括多层的内部可信实体、用户和用户属性;所述的内部可信实体包括第一层内部可信实体和下层内部可信实体;所述的可信第三方负责产生、发布系统参数params和域密钥;所述的第一层内部可信实体用于管理用户,为用户生成私钥;所述的下层内部实体的作用是管理用户属性和为用户生成用户身份密钥和用户属性密钥;所述的用户属性中每个属性都拥有唯一的ID标志;所述的用户中每个用户拥有唯一的ID标志和一系列属性标志;所述的ID标志是描述实体特征的任意字符串,如果一个用户的ID位于精确ID集合以内,或者拥有基于属性访问结构中的属性都能够解密密文。2.根据权利要求1所述的智能电网中基于层次属性加密访问控制系统,其特征在于:还包括一个云服务器,所述的云服务器用于保存可信第三方发布的密钥和域中的用户属性。3.智能电网中基于层次属性加密访问控制方法,其特征在于:它包括以下步骤: 51.随机输入一个足够大的安全参数K,可信第三方生成系统参数params和根主密钥MK0; 52.可信第三方或者利用系统参数params和自己的主密钥为第一层内部可信实体生成主密钥,第一层内部可信实体利用系统参数params和自己的主密钥为下层内部可信实体生成主密钥; 53.电网企业内第一层内部可信实体DM*首先确定电网用户u的公钥是否为PKu;如果是,则利用其主密钥MK*和系统参数params为用户生成私钥SKu;否则输出为“空”; 54.下层内部可信实体DMi首先确定属性a是否属于自己管理,且用户u是否满足属性a,如果是,则为用户u生成用户身份密钥SKi^和用户属性密钥SKi,u,a;否则,输出为“空”; 55.对来自电网的数据和信息F进行加密,电网用户u以信息接收者的精确ID集合R、接收者所属的属性访问结构A、位于R中所有用户公钥、以及位于A中的所有属性公钥作为输入,输出为密文CT ; 56.解密给定密文CT。4.根据权利要求3所述的智能电网中基于层次属性加密访问控制方法,其特征在于:步骤S6中所述的给定密文CT的解密方法包括: (1)如果某电网用户u的精确ID属于集合R,则能够利用系统参数params和自己的用户私钥SKu恢复出数据或信息F ; (2)如果某电网用户u的属性满足数据的属性访问结构,即该用户拥有属性密钥,则能够利用系统参数params,用户身份密钥SKi^以及用户属性密钥(SKi^a | a e A}恢复明文。5.根据权利要求3所述的智能电网中基于层次属性加密访问控制方法,其特征在于:所述的下层内部可信实体DMi包括一个公钥PK i和一个主密钥MK i;PK i是一个ID元组,形式为(PKh,IDi),其中,PKh是DM次亲节点DM η的公钥,ID^ DM^ ID ;DM*的公钥PM*由其ID组成,形式为(IDJ ;DM*的作用是管理用户,为用户生成用户私钥,下层内部可信实体DMi管理一系列属性集合,并为用户生成用户身份密钥和用户属性密钥。6.根据权利要求3所述的智能电网中基于层次属性加密访问控制方法,其特征在于:所述的电网用户u由一个精确的ID以及一系列描述性属性描述组成,用户u的ID表示为IDU,属性集合表示为{a},用户u拥有一个用户公钥PKU,一个用户私钥SKU,一系列用户身份密钥用{SKi,u}表示,一系列用户属性密钥用{SKi,u,J表示;PKU的形式为{PK*,IDJ,这里PKhJ^第一层内部可信实体DM*的公钥。7.根据权利要求3所述的智能电网中基于层次属性加密访问控制方法,其特征在于:所述的属性a由一个精确的ID描述,表示为IDa,属性a拥有一个公钥,形式为(PKi, IDa),其中PKi是管理该属性的下层内部可信实体公钥。
【专利摘要】一种智能电网中基于层次属性加密访问控制系统与方法,其系统包括可信第三方和电网企业,所述的电网企业包括多层的内部可信实体、用户和用户属性;所述的内部可信实体包括第一层内部可信实体和下层内部可信实体;所述的可信第三方负责产生、发布系统参数params和域密钥;所述的第一层内部可信实体用于管理用户,为用户生成私钥;所述的下层内部实体的作用是为用户生成用户身份密钥和用户属性密钥。本发明提供了一种基于层次属性加密访问控制的系统与方法来限制电网用户对敏感电网传感数据的访问,同时也能限制非法用户的访问。
【IPC分类】H04L29/06
【公开号】CN104901948
【申请号】CN201510177567
【发明人】谢远鹏, 蒋屹新, 文红, 郭晓斌, 廖力, 许爱东, 王玉秀, 蒙家晓, 关泽武
【申请人】南方电网科学研究院有限责任公司, 电子科技大学
【公开日】2015年9月9日
【申请日】2015年4月15日
【技术领域】
[0001 ] 本发明涉及智能电网中基于层次属性加密访问控制系统与方法。
【背景技术】
[0002]智能电网就是电网的智能化,也被称为“电网2.0”,它是建立在集成的、高速双向通信网络的基础上,通过先进的传感和测量技术、先进的设备技术、先进的控制方法以及先进的决策支持系统技术的应用,实现电网的可靠、安全、经济、高效、环境友好和使用安全的目标,其主要特征包括自愈、激励和包括用户、抵御攻击、提供满足21世纪用户需求的电能质量、容许各种不同发电形式的接入、启动电力市场以及资产的优化高效运行;云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。其主要特点是计算能力强,存储量大,运行速度快,工作效率高,由其特点可知,云计算特别适合处理来自智能电网的海量传感数据。
[0003]加密技术是一种数据安全专业中采取的最主要安全保密措施,是最常用的安全保密手段,其基本原理是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)。这样可以有效地保护原始数据不被第三方窥伺或篡改。
[0004]访问控制技术是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问;主要作用:一、防止非法的主体进入受保护的网络资源。二、允许合法用户访问受保护的网络资源。三、防止合法的用户对受保护的网络资源进行非授权的访问。
【发明内容】
[0005]本发明的目的在于克服现有技术的不足,提供一种基于层次属性加密访问控制的系统与方法来限制电网用户对敏感电网传感数据的访问,由于电网数据中有敏感的数据比如财务数据等,和隐私信息如电网用户的个人信息等,电网企业需要将这些敏感的数据或信息加密后再上传,应用基于层次属性加密访问控制的方法可以让拥有访问敏感数据权限的用户顺利访问到这些数据,同时也能防止非法用户的访问。
[0006]本发明的目的是通过以下技术方案来实现的:智能电网中基于层次属性加密访问控制系统,它包括可信第三方和电网企业,所述的电网企业包括多层的内部可信实体、用户和用户属性;所述的内部可信实体包括第一层内部可信实体和下层内部可信实体;所述的可信第三方负责产生、发布系统参数params和域密钥;所述的第一层内部可信实体用于管理用户,为用户生成私钥;所述的下层内部实体的作用是为用户生成用户身份密钥和用户属性密钥;所述的用户属性中每个属性都拥有唯一的ID标志;所述的用户中每个用户拥有唯一的ID标志和一系列属性标志;所述的ID标志是描述实体特征的任意字符串,例如,身份证号码、邮箱地址等,如果一个用户的ID位于精确ID集合以内,或者拥有基于属性访问结构中的属性都能够解密密文。
[0007]所述的智能电网中基于层次属性加密访问控制系统,还包括一个云服务器,所述的云服务器用于保存可信第三方发布的密钥和域中的用户属性。
[0008]智能电网中基于层次属性加密访问控制方法,包括以下步骤:
[0009]S1.随机输入一个足够大的安全参数K,可信第三方生成系统参数params和根主密钥MKtl;
[0010]S2.可信第三方或者利用系统参数params和自己的主密钥为第一层内部可信实体生成主密钥,第一层内部可信实体利用系统参数params和自己的主密钥为下层内部可信实体生成主密钥;
[0011]S3.电网企业内第一层内部可信实体DM*首先确定电网用户u的公钥是否为PKu;如果是,则利用其主密钥MK*和系统参数params为用户生成私钥SKu;否则输出为“空”;
[0012]S4.下层内部可信实体DMi首先确定属性a是否属于自己管理,且用户u是否满足属性a,如果是,则为用户u生成用户身份密钥SKi,u,和用户属性密钥SKiiiw;否则,输出为
U ,,.
[0013]S5.对来自电网的数据和信息F进行加密,电网用户u以信息接收者的精确ID集合R、接收者所属的属性访问结构A、位于R中所有用户公钥、以及位于A中的所有属性公钥作为输入,输出为密文CT ;
[0014]S6.解密给定密文CT。
[0015]步骤S6中所述的给定密文CT的解密方法包括:
[0016](I)如果某电网用户u的精确ID属于集合R,则能够利用系统参数params和自己的用户私钥SKu恢复出数据或信息F ;
[0017](2)如果某电网用户u的属性满足数据的属性访问结构,即该用户拥有属性密钥,则能够利用系统参数params,用户身份密钥SKi^以及用户属性密钥{SKuJa e A}恢复明文。
[0018]所述的下层内部可信实体DMi包括一个公钥PK i和一个主密钥MK i;PK i是一个ID元组,形式为(PKh,IDi),其中,PKh是DM^亲节点DM H的公钥,ID^ DM^ ID ;DM*的公钥PM*由其ID组成,形式为(IDJ ;DM*的作用是管理用户,为用户生成用户私钥,下层内部可信实体DMi管理一系列属性集合,并为用户生成用户身份密钥和用户属性密钥。
[0019]所述的电网用户u由一个精确的ID以及一系列描述性属性描述组成,用户u的ID表不为IDU,属性集合表不为{a},用户u拥有一个用户公钥PKU,一个用户私钥SKU,一系列用户身份密钥用{SU表示,一系列用户属性密钥用{SKi,u,a}表示;PKU的形式为{PK*, IDJ,这里PK*为第一层内部可信实体DM*的公钥。
[0020]所述的属性a由一个精确的ID描述,表不为IDa,属性a拥有一个公钥,形式为(PKi, IDa),其中PKi是管理该属性的下层内部可信实体DM^公钥。
[0021]本发明的有益效果是:(1)采用高效的“一到多”加密,即一个密文同时被多个接收者利用其私钥解密;
[0022](2)采用灵活的访问控制策略,即同时支持精确身份和属性的访问结构;
[0023](3)与公司内部结构对应的层次结构的密钥生成方式,使用更加方便;
[0024](4)本发明不仅能够同时支持基于精确身份的加密访问控制和基于属性的加密访问控制,而且具有常数级的解密开销,支持层次结构的密钥生成方式,实现细粒度的访问控制,适用于企业中多用户共享云计算服务环境;
[0025](5)基于电网信息系统的需求,由于来自于传感器网络的传感数据具有海量、分布式、多源异构的特性,智能电网可以将这些数据和信息存放在第三方云服务器上,利用云计算存储量大,计算能力强的特点,能更有效的管理电网数据和信息;
[0026](6)本发明在有效控制和管理电网数据和信息的同时保护了这些信息的隐私性和机密性,还能实现分层次的访问控制,令电网系统中不同层次的用户能得到不同敏感级别的数据。
【附图说明】
[0027]图1为本发明的系统原理结构框图;
[0028]图2为本发明的方法流程图;
[0029]图3为本发明的实施例1示意图。
【具体实施方式】
[0030]下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
[0031]如图1所示,智能电网中基于层次属性加密访问控制系统,它包括可信第三方和电网企业,所述的电网企业包括多层的内部可信实体、用户和用户属性;所述的内部可信实体包括第一层内部可信实体和下层内部可信实体;所述的可信第三方负责产生、发布系统参数params和域密钥;所述的第一层内部可信实体用于管理用户,为用户生成私钥;所述的下层内部实体的作用是为用户生成用户身份密钥和用户属性密钥;所述的用户属性中每个属性都拥有唯一的ID标志;所述的用户中每个用户拥有唯一的ID标志和一系列属性标志;所述的ID标志是描述实体特征的任意字符串,例如,身份证号码、邮箱地址等,如果一个用户的ID位于精确ID集合以内,或者拥有基于属性访问结构中的属性都能够解密密文。
[0032]所述的智能电网中基于层次属性加密访问控制系统,还包括一个云服务器,所述的云服务器用于保存可信第三方发布的密钥和域中的用户属性。
[0033]如图2所示,智能电网中基于层次属性加密访问控制方法,包括以下步骤:
[0034]S1.随机输入一个足够大的安全参数K,可信第三方生成系统参数params和根主密钥MKtl;
[0035]S2.可信第三方或者利用系统参数para ms和自己的主密钥为第一层内部可信实体生成主密钥,第一层内部可信实体利用系统参数params和自己的主密钥为下层内部可信实体生成主密钥;
[0036]S3.电网企业内第一层内部可信实体DM*首先确定电网用户u的公钥是否为PKu;如果是,则利用其主密钥MK*和系统参数params为用户生成私钥SKu;否则输出为“空”;
[0037]S4.下层内部可信实体DMi首先确定属性a是否属于自己管理,且用户u是否满足属性a,如果是,则为用户u生成用户身份密钥SKi,u,和用户属性密钥SKiiiw;否则,输出为
U ,,.
[0038]S5.对来自电网的数据和信息F进行加密,电网用户u以信息接收者的精确ID集合R、接收者所属的属性访问结构A、位于R中所有用户公钥、以及位于A中的所有属性公钥作为输入,输出为密文CT ;
[0039]S6.解密给定密文CT。
[0040]步骤S6中所述的给定密文CT的解密方法包括:
[0041](I)如果某电网用户u的精确ID属于集合R,则能够利用系统参数params和自己的用户私钥SKu恢复出数据或信息F ;
[0042](2)如果某电网用户u的属性满足数据的属性访问结构,即该用户拥有属性密钥,则能够利用系统参数params,用户身份密钥SKi^以及用户属性密钥{SKuJa e A}恢复明文。
[0043]所述的下层内部可信实体DMi包括一个公钥PK i和一个主密钥MK i;PK i是一个ID元组,形式为(PKh,IDi),其中,PKh是DM^亲节点DM H的公钥,ID^ DM^ ID ;DM*的公钥PM*由其ID组成,形式为(IDJ ;DM*的作用是管理用户,为用户生成用户私钥,下层内部可信实体DMi管理一系列属性集合,并为用户生成用户身份密钥和用户属性密钥。
[0044]所述的电网用户U由一个精确的ID以及一系列描述性属性描述组成,用户u的ID表不为IDU,属性集合表不为{a},用户u拥有一个用户公钥PKU,一个用户私钥SKU,一系列用户身份密钥用{SU表示,一系列用户属性密钥用{SKi,u,a}表示;PKU的形式为{PK*, IDJ,这里PK*为第一层内部可信实体DM*的公钥。
[0045]所述的属性a由一个精确的ID描述,表不为IDa,属性a拥有一个公钥,形式为(PKi, IDa),其中PKi是管理该属性的下层内部可信实体DM^公钥。
[0046]如图3所示,为本发明应用于电网企业中的实施例1,它包括可信第三方、电网企业A和云服务器提供商;电网企业A中具有密钥生成器、各个部门、各个部门对应的员工和各个员工对应的数据和资料,可信第三方同时向云服务器提供商和电网企业A的密钥生成器发送密钥,电网企业A的密钥生成器相当于本发明的第一层内部可信实体,根据自身接收到的密钥和系统参数为公司内各个部门生成主密钥,并判断电网用户(即员工)的公钥是否属于本公司,如果属于,则为其生成私钥,若员工的如果某电网用户的精确ID属于集合R(即公司内某些特定的群体),则能够利用系统参数和自己的用户私钥查看企业中的某些对应于集合R的资料和数据。
[0047]公司的各个部门为部门内部员工生成身份密钥和权限具有的属性密钥,某电网用户(员工)的属性满足数据的属性访问结构,即该用户拥有属性密钥时,则能够利用系统参数和身份密钥查看该属性数据。
[0048]高效的“一到多”加密,即一个密文同时被多个接收者利用其私钥解密,例如电网用户需求分析可以同时被电网公司总裁以及某对应项目的参与人员访问;灵活的访问控制策略,即同时支持精确身份和属性的访问结构,例如,财务报表只能被具有总裁属性或员工号为某个集合的接收者访问;与公司内部结构对应的层次结构的密钥生成方式,例如,电网企业A为每个部门生成密钥,而部门为内部所有员工生成密钥,使得身份的认证和密钥的传输可以在公司内部完成。
【主权项】
1.智能电网中基于层次属性加密访问控制系统,其特征在于:它包括可信第三方和电网企业,所述的电网企业包括多层的内部可信实体、用户和用户属性;所述的内部可信实体包括第一层内部可信实体和下层内部可信实体;所述的可信第三方负责产生、发布系统参数params和域密钥;所述的第一层内部可信实体用于管理用户,为用户生成私钥;所述的下层内部实体的作用是管理用户属性和为用户生成用户身份密钥和用户属性密钥;所述的用户属性中每个属性都拥有唯一的ID标志;所述的用户中每个用户拥有唯一的ID标志和一系列属性标志;所述的ID标志是描述实体特征的任意字符串,如果一个用户的ID位于精确ID集合以内,或者拥有基于属性访问结构中的属性都能够解密密文。2.根据权利要求1所述的智能电网中基于层次属性加密访问控制系统,其特征在于:还包括一个云服务器,所述的云服务器用于保存可信第三方发布的密钥和域中的用户属性。3.智能电网中基于层次属性加密访问控制方法,其特征在于:它包括以下步骤: 51.随机输入一个足够大的安全参数K,可信第三方生成系统参数params和根主密钥MK0; 52.可信第三方或者利用系统参数params和自己的主密钥为第一层内部可信实体生成主密钥,第一层内部可信实体利用系统参数params和自己的主密钥为下层内部可信实体生成主密钥; 53.电网企业内第一层内部可信实体DM*首先确定电网用户u的公钥是否为PKu;如果是,则利用其主密钥MK*和系统参数params为用户生成私钥SKu;否则输出为“空”; 54.下层内部可信实体DMi首先确定属性a是否属于自己管理,且用户u是否满足属性a,如果是,则为用户u生成用户身份密钥SKi^和用户属性密钥SKi,u,a;否则,输出为“空”; 55.对来自电网的数据和信息F进行加密,电网用户u以信息接收者的精确ID集合R、接收者所属的属性访问结构A、位于R中所有用户公钥、以及位于A中的所有属性公钥作为输入,输出为密文CT ; 56.解密给定密文CT。4.根据权利要求3所述的智能电网中基于层次属性加密访问控制方法,其特征在于:步骤S6中所述的给定密文CT的解密方法包括: (1)如果某电网用户u的精确ID属于集合R,则能够利用系统参数params和自己的用户私钥SKu恢复出数据或信息F ; (2)如果某电网用户u的属性满足数据的属性访问结构,即该用户拥有属性密钥,则能够利用系统参数params,用户身份密钥SKi^以及用户属性密钥(SKi^a | a e A}恢复明文。5.根据权利要求3所述的智能电网中基于层次属性加密访问控制方法,其特征在于:所述的下层内部可信实体DMi包括一个公钥PK i和一个主密钥MK i;PK i是一个ID元组,形式为(PKh,IDi),其中,PKh是DM次亲节点DM η的公钥,ID^ DM^ ID ;DM*的公钥PM*由其ID组成,形式为(IDJ ;DM*的作用是管理用户,为用户生成用户私钥,下层内部可信实体DMi管理一系列属性集合,并为用户生成用户身份密钥和用户属性密钥。6.根据权利要求3所述的智能电网中基于层次属性加密访问控制方法,其特征在于:所述的电网用户u由一个精确的ID以及一系列描述性属性描述组成,用户u的ID表示为IDU,属性集合表示为{a},用户u拥有一个用户公钥PKU,一个用户私钥SKU,一系列用户身份密钥用{SKi,u}表示,一系列用户属性密钥用{SKi,u,J表示;PKU的形式为{PK*,IDJ,这里PKhJ^第一层内部可信实体DM*的公钥。7.根据权利要求3所述的智能电网中基于层次属性加密访问控制方法,其特征在于:所述的属性a由一个精确的ID描述,表示为IDa,属性a拥有一个公钥,形式为(PKi, IDa),其中PKi是管理该属性的下层内部可信实体公钥。
【专利摘要】一种智能电网中基于层次属性加密访问控制系统与方法,其系统包括可信第三方和电网企业,所述的电网企业包括多层的内部可信实体、用户和用户属性;所述的内部可信实体包括第一层内部可信实体和下层内部可信实体;所述的可信第三方负责产生、发布系统参数params和域密钥;所述的第一层内部可信实体用于管理用户,为用户生成私钥;所述的下层内部实体的作用是为用户生成用户身份密钥和用户属性密钥。本发明提供了一种基于层次属性加密访问控制的系统与方法来限制电网用户对敏感电网传感数据的访问,同时也能限制非法用户的访问。
【IPC分类】H04L29/06
【公开号】CN104901948
【申请号】CN201510177567
【发明人】谢远鹏, 蒋屹新, 文红, 郭晓斌, 廖力, 许爱东, 王玉秀, 蒙家晓, 关泽武
【申请人】南方电网科学研究院有限责任公司, 电子科技大学
【公开日】2015年9月9日
【申请日】2015年4月15日
最新回复(0)