智能電網(wǎng)中基于層次屬性加密訪問控制系統(tǒng)與方法
【技術領域】
[0001 ] 本發(fā)明涉及智能電網(wǎng)中基于層次屬性加密訪問控制系統(tǒng)與方法�。
【背景技術】
[0002]智能電網(wǎng)就是電網(wǎng)的智能化��,也被稱為“電網(wǎng)2.0”,它是建立在集成的�����、高速雙向通信網(wǎng)絡的基礎上��,通過先進的傳感和測量技術���、先進的設備技術��、先進的控制方法以及先進的決策支持系統(tǒng)技術的應用����,實現(xiàn)電網(wǎng)的可靠�����、安全��、經(jīng)濟、高效�����、環(huán)境友好和使用安全的目標,其主要特征包括自愈��、激勵和包括用戶����、抵御攻擊�、提供滿足21世紀用戶需求的電能質(zhì)量�、容許各種不同發(fā)電形式的接入�、啟動電力市場以及資產(chǎn)的優(yōu)化高效運行��;云計算是一種按使用量付費的模式,這種模式提供可用的�����、便捷的��、按需的網(wǎng)絡訪問���,進入可配置的計算資源共享池(資源包括網(wǎng)絡��,服務器�����,存儲,應用軟件�,服務)�����,這些資源能夠被快速提供,只需投入很少的管理工作,或與服務供應商進行很少的交互��。其主要特點是計算能力強����,存儲量大�,運行速度快�����,工作效率高�����,由其特點可知���,云計算特別適合處理來自智能電網(wǎng)的海量傳感數(shù)據(jù)�。
[0003]加密技術是一種數(shù)據(jù)安全專業(yè)中采取的最主要安全保密措施,是最常用的安全保密手段�,其基本原理是利用技術手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送�,到達目的地后再用相同或不同的手段還原(解密)�����。這樣可以有效地保護原始數(shù)據(jù)不被第三方窺伺或篡改�。
[0004]訪問控制技術是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問��,或限制對某些控制功能的使用的一種技術���,訪問控制通常用于系統(tǒng)管理員控制用戶對服務器��、目錄、文件等網(wǎng)絡資源的訪問���;主要作用:一����、防止非法的主體進入受保護的網(wǎng)絡資源。二���、允許合法用戶訪問受保護的網(wǎng)絡資源����。三�����、防止合法的用戶對受保護的網(wǎng)絡資源進行非授權的訪問��。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于克服現(xiàn)有技術的不足,提供一種基于層次屬性加密訪問控制的系統(tǒng)與方法來限制電網(wǎng)用戶對敏感電網(wǎng)傳感數(shù)據(jù)的訪問,由于電網(wǎng)數(shù)據(jù)中有敏感的數(shù)據(jù)比如財務數(shù)據(jù)等���,和隱私信息如電網(wǎng)用戶的個人信息等�����,電網(wǎng)企業(yè)需要將這些敏感的數(shù)據(jù)或信息加密后再上傳,應用基于層次屬性加密訪問控制的方法可以讓擁有訪問敏感數(shù)據(jù)權限的用戶順利訪問到這些數(shù)據(jù)�,同時也能防止非法用戶的訪問。
[0006]本發(fā)明的目的是通過以下技術方案來實現(xiàn)的:智能電網(wǎng)中基于層次屬性加密訪問控制系統(tǒng)�����,它包括可信第三方和電網(wǎng)企業(yè)���,所述的電網(wǎng)企業(yè)包括多層的內(nèi)部可信實體�、用戶和用戶屬性;所述的內(nèi)部可信實體包括第一層內(nèi)部可信實體和下層內(nèi)部可信實體�;所述的可信第三方負責產(chǎn)生、發(fā)布系統(tǒng)參數(shù)params和域密鑰���;所述的第一層內(nèi)部可信實體用于管理用戶���,為用戶生成私鑰;所述的下層內(nèi)部實體的作用是為用戶生成用戶身份密鑰和用戶屬性密鑰���;所述的用戶屬性中每個屬性都擁有唯一的ID標志;所述的用戶中每個用戶擁有唯一的ID標志和一系列屬性標志�����;所述的ID標志是描述實體特征的任意字符串��,例如�,身份證號碼、郵箱地址等���,如果一個用戶的ID位于精確ID集合以內(nèi)��,或者擁有基于屬性訪問結構中的屬性都能夠解密密文�����。
[0007]所述的智能電網(wǎng)中基于層次屬性加密訪問控制系統(tǒng),還包括一個云服務器���,所述的云服務器用于保存可信第三方發(fā)布的密鑰和域中的用戶屬性�����。
[0008]智能電網(wǎng)中基于層次屬性加密訪問控制方法�����,包括以下步驟:
[0009]S1.隨機輸入一個足夠大的安全參數(shù)K���,可信第三方生成系統(tǒng)參數(shù)params和根主密鑰MKtl;
[0010]S2.可信第三方或者利用系統(tǒng)參數(shù)params和自己的主密鑰為第一層內(nèi)部可信實體生成主密鑰��,第一層內(nèi)部可信實體利用系統(tǒng)參數(shù)params和自己的主密鑰為下層內(nèi)部可信實體生成主密鑰��;
[0011]S3.電網(wǎng)企業(yè)內(nèi)第一層內(nèi)部可信實體DM*首先確定電網(wǎng)用戶u的公鑰是否為PKu;如果是�����,則利用其主密鑰MK*和系統(tǒng)參數(shù)params為用戶生成私鑰SKu;否則輸出為“空”����;
[0012]S4.下層內(nèi)部可信實體DMi首先確定屬性a是否屬于自己管理,且用戶u是否滿足屬性a�����,如果是�����,則為用戶u生成用戶身份密鑰SKi,u,和用戶屬性密鑰SKiiiw;否則�����,輸出為
U ���,,.
[0013]S5.對來自電網(wǎng)的數(shù)據(jù)和信息F進行加密�,電網(wǎng)用戶u以信息接收者的精確ID集合R�、接收者所屬的屬性訪問結構A、位于R中所有用戶公鑰���、以及位于A中的所有屬性公鑰作為輸入��,輸出為密文CT ����;
[0014]S6.解密給定密文CT。
[0015]步驟S6中所述的給定密文CT的解密方法包括:
[0016](I)如果某電網(wǎng)用戶u的精確ID屬于集合R���,則能夠利用系統(tǒng)參數(shù)params和自己的用戶私鑰SKu恢復出數(shù)據(jù)或信息F ;
[0017](2)如果某電網(wǎng)用戶u的屬性滿足數(shù)據(jù)的屬性訪問結構��,即該用戶擁有屬性密鑰�,則能夠利用系統(tǒng)參數(shù)params,用戶身份密鑰SKi^以及用戶屬性密鑰{SKuJa e A}恢復明文�����。
[0018]所述的下層內(nèi)部可信實體DMi包括一個公鑰PK i和一個主密鑰MK i����;PK i是一個ID元組�,形式為(PKh��,IDi),其中�,PKh是DM^親節(jié)點DM H的公鑰,ID^ DM^ ID ;DM*的公鑰PM*由其ID組成�����,形式為(IDJ ;DM*的作用是管理用戶���,為用戶生成用戶私鑰����,下層內(nèi)部可信實體DMi管理一系列屬性集合�,并為用戶生成用戶身份密鑰和用戶屬性密鑰。
[0019]所述的電網(wǎng)用戶u由一個精確的ID以及一系列描述性屬性描述組成,用戶u的ID表不為IDU�,屬性集合表不為{a},用戶u擁有一個用戶公鑰PKU�,一個用戶私鑰SKU,一系列用戶身份密鑰用{SU表示�,一系列用戶屬性密鑰用{SKi,u���,a}表示����;PKU的形式為{PK*, IDJ���,這里PK*為第一層內(nèi)部可信實體DM*的公鑰���。
[0020]所述的屬性a由一個精確的ID描述,表不為IDa���,屬性a擁有一個公鑰���,形式為(PKi, IDa),其中PKi是管理該屬性的下層內(nèi)部可信實體DM^公鑰。
[0021]本發(fā)明的有益效果是:(1)采用高效的“一到多”加密�����,即一個密文同時被多個接收者利用其私鑰解密���;
[0022](2)采用靈活的訪問控制策略�,即同時支持精確身份和屬性的訪問結構���;
[0023](3)與公司內(nèi)部結構對應的層次結構的密鑰生成方式����,使用更加方便�;
[0024](4)本發(fā)明不僅能夠同時支持基于精確身份的加密訪問控制和基于屬性的加密訪問控制����,而且具有常數(shù)級的解密開銷,支持層次結構的密鑰生成方式�,實現(xiàn)細粒度的訪問控制,適用于企業(yè)中多用戶共享云計算服務環(huán)境�����;
[0025](5)基于電網(wǎng)信息系統(tǒng)的需求,由于來自于傳感器網(wǎng)絡的傳感數(shù)據(jù)具有海量���、分布式��、多源異構的特性��,智能電網(wǎng)可以將這些數(shù)據(jù)和信息存放在第三方云服務器上�,利用云計算存儲量大�,計算能力強的特點,能更有效的管理電網(wǎng)數(shù)據(jù)和信息�����;
[0026](6)本發(fā)明在有效控制和管理電網(wǎng)數(shù)據(jù)和信息的同時保護了這些信息的隱私性和機密性�,還能實現(xiàn)分層次的訪問控制,令電網(wǎng)系統(tǒng)中不同層次的用戶能得到不同敏感級別的數(shù)據(jù)�����。
【附圖說明】
[0027]圖1為本發(fā)明的系統(tǒng)原理結構框圖�����;
[0028]圖2為本發(fā)明的方法流程圖��;
[0029]圖3為本發(fā)明的實施例1示意圖。
【具體實施方式】
[0030]下面結合附圖進一步詳細描述本發(fā)明的技術方案����,但本發(fā)明的保護范圍不局限于以下所述。
[0031]如圖1所示����,智能電網(wǎng)中基于層次屬性加密訪問控制系統(tǒng),它包括可信第三方和電網(wǎng)企業(yè)�����,所述的電網(wǎng)企業(yè)包括多層的內(nèi)部可信實體�、用戶和用戶屬性;所述的內(nèi)部可信實體包括第一層內(nèi)部可信實體和下層內(nèi)部可信實體���;所述的可信第三方負責產(chǎn)生、發(fā)布系統(tǒng)參數(shù)params和域密鑰���;所述的第一層內(nèi)部可信實體用于管理用戶���,為用戶生成私鑰;所述的下層內(nèi)部實體的作用是為用戶生成用戶身份密鑰和用戶屬性密鑰�;所述的用戶屬性中每個屬性都擁有唯一的ID標志����;所述的用戶中每個用戶擁有唯一的ID標志和一系列屬性標志����;所述的ID標志是描述實體特征的任意字符串,例如��,身份證號碼��、郵箱地址等����,如果一個用戶的ID位于精確ID集合以內(nèi),或者擁有基于屬性訪問結構中的屬性都能夠解密密文��。
[0032]所述的智能電網(wǎng)中基于層次屬性加密訪問控制系統(tǒng)�,還包括一個云服務器,所述的云服務器用于保存可信第三方發(fā)布的密鑰和域中的用戶屬性�。
[0033]如圖2所示,智能電網(wǎng)中基于層次屬性加密訪問控制方法��,包括以下步驟:
[0034]S1.隨機輸入一個足夠大的安全參數(shù)K��,可信第三方生成系統(tǒng)參數(shù)params和根主密鑰MKtl;
[0035]S2.可信第三方或者利用系統(tǒng)參數(shù)para