[发明专利]一种抗密钥暴露属性加密的SDN跨域访问控制方法

摘要

本发明公开了一种抗密钥暴露属性加密的SDN跨域访问控制方法，基于属性权威、SDN控制器、加密者和解密者四部分构成的控制系统，属性权威负责所有属性的认证以及公钥、私钥的发布；SDN控制器负责收集、存储和管理SDN流表、路由以及数据量信息，SDN划分为多个SDN域，每一个域内部署唯一的SDN控制器，每个SDN控制器管理各自域内的重要信息，并与其他域的SDN控制器交互；加密者是数据的初始拥有者，用户或SDN设备能够上传自己的数据并根据自己的意愿或需求自由制定相应的访问策略；解密者是试图获取SDN控制器内信息的用户或者设备，拥有一个与其属性集合相对应的私钥，并通过私钥来解密密文。

主权项

1.一种抗密钥暴露属性加密的SDN跨域访问控制方法，其特征在于：基于属性权威、SDN控制器、加密者和解密者四部分构成的控制系统，属性权威和SDN控制器位于控制层，加密者和解密者位于数据层，属性权威是一个可信的权威机构，负责所有属性的认证以及公钥、私钥的发布；SDN控制器负责收集、存储和管理SDN流表、路由以及数据量信息，SDN采用多控制设置，将SDN划分为多个SDN域，每一个域内部署唯一的SDN控制器，每个SDN控制器管理各自域内的重要信息，同时负责与其他域的SDN控制器交互；加密者是数据的初始拥有者，包括路由器、服务器、PC机和交换机构成的用户或SDN设备，用户或SDN设备能够上传自己的数据并根据自己的意愿或需求自由制定相应的访问策略；解密者是试图获取SDN控制器内信息的用户或者设备，其身份用一个属性集合来表示，解密者拥有一个与其属性集合相对应的私钥，并通过私钥来解密密文，解密者包括路由器、loT传感器、手机和交换机；包括以下步骤：第一步：启动访问控制系统，属性权威调用初始化算法，输入一个安全参数k，生成公钥PK和主密钥MSK，公钥PK向全网公开，主密钥MSK由属性权威秘密保存；第二步：解密者向属性权威发起私钥生成请求，输入自己唯一的MAC地址A_MAC、属性集合S、公钥PK以及主密钥MSK，获得属性权威验证，属性权威调用私钥生成算法生成私钥SK，并将解密者的属性集合S和MAC地址A_MAC嵌入到私钥SK当中，最终输出与解密者MAC地址以及属性集合相对应的私钥SK；第三步：属性权调用预计算算法中的预处理子算法，预处理子算法输入公钥PK，根据公钥PK产生n个群和上的元素集合并存储在列表L当中，其中att_j为全局属性集合Ω当中任意的属性，j表示该属性的唯一索引号，e表示从加法循环群映射到乘法循环群的双线性映射，P为的一个生成元，H₁为哈希函数将任意一串二进制数组映射为群中的元素，α为主密钥MSK当中的一个元素，r_i为一个随机的整数，其中i∈{1,2,...,n}，然后基于拓展图技术产生一个常数c(ε)，其中0<ε<1，利用常数c(ε)计算一个新的常数n_e＝c(ε)log₂(p)，其中p为群和的大素数阶，然后生成另外n_e个群和上的元素集合并存储在列表L′当中，其中d_i为随机数，i∈{1,2,...,n_e}；第四步：加密者产生一组消息明文M，同时制定了相应的访问树Γ，调用预计算算法中的元组生成子算法生成与访问树Γ相对应的两个元组Tuple₁和Tuple₂；第五步：加密者调用快速加密算法，输入一个访问树Γ、公钥PK以及消息明文M，然后调用预处理子算法，在不执行任何指数运算的情况下通过元组Tuple₁和Tuple₂快速的生成关于消息明文M以及访问树Γ的密文CT，最后将密文CT上传至域内的SDN控制器；第六步：解密者向当前域的SDN控制器发送关于消息明文M的跨域访问请求，SDN控制器通过SDN域间传输交互获取密文CT，然后转发给解密者；第七步：解密者调用解密算法，输入私钥SK、自己的MAC地址A_MAC以及获取的密文CT，如果解密者的属性集合S满足密文CT当中的访问树Γ，而且其MAC地址A_MAC与私钥SK当中嵌入的MAC地址信息一致，才能获取消息明文M，反之则无法获取任何有用的信息。