• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      基于霧計算的工業(yè)互聯(lián)網(wǎng)安全數(shù)據(jù)訪問方法

      2022-12-30 14:09:46李靜元楊東裕
      計算機與現(xiàn)代化 2022年12期
      關(guān)鍵詞:密文解密密鑰

      李靜元,張 珂,楊東裕

      (1.陜西師范大學(xué)信息化建設(shè)與管理處,陜西 西安 710119; 2.工業(yè)和信息化部電子第五研究所,廣東 廣州 510000)

      0 引 言

      隨著人工智能和云計算的網(wǎng)絡(luò)化迅速發(fā)展以及應(yīng)用,推動了工業(yè)互聯(lián)網(wǎng)的云制造模式,實現(xiàn)工業(yè)生產(chǎn)過程中相關(guān)要素的互聯(lián)互通,生產(chǎn)過程專注于管理制造過程的統(tǒng)計數(shù)據(jù)分析[1]。云計算提供的存儲資源和大數(shù)據(jù)分析主要在云端服務(wù)層完成,云端服務(wù)層距離用戶一般都較遠(yuǎn),這就會導(dǎo)致數(shù)據(jù)分析和傳輸?shù)难舆t比較大。而工業(yè)互聯(lián)網(wǎng)中的工控系統(tǒng)對數(shù)據(jù)響應(yīng)有嚴(yán)格的要求,一般都在毫秒級別,工業(yè)互聯(lián)網(wǎng)中傳統(tǒng)的以云端為中心的數(shù)據(jù)處理無法滿足即時性、低延遲和機密性要求。為了解決這些問題,通過引入霧節(jié)點層完成部分加密和解密任務(wù)來減輕云服務(wù)層和設(shè)備層的計算壓力,減少系統(tǒng)的響應(yīng)時間和傳輸帶寬。霧節(jié)點層是更靠近終端設(shè)備的具有一定存儲和計算能力的代理服務(wù)器或者智能網(wǎng)關(guān),能完成部分?jǐn)?shù)據(jù)預(yù)處理和通信。并提出基于密文策略的屬性加密算法(CP-ABE)實現(xiàn)根據(jù)設(shè)備的多個屬性來安全訪問方法,只有滿足屬性的設(shè)備才能進(jìn)行訪問密文數(shù)據(jù)并最終解密獲得原文。從安全性的方面來看,數(shù)據(jù)的加密過程需要屬性授權(quán)機構(gòu)分配和屬性相關(guān)的變量,密文保存在云服務(wù)層上,即使非法用戶攔截密文或云端惡意發(fā)送密文給不滿足屬性要求的設(shè)備也無法獲得關(guān)于原始消息的任何信息。

      本文的主要貢獻(xiàn)包括3個方面:

      1)在云服務(wù)層和終端設(shè)備之間引入霧節(jié)點層進(jìn)行部分運算任務(wù),有效地降低延遲和計算開銷,滿足工業(yè)互聯(lián)網(wǎng)的即時性要求。

      2)基于CP-ABE的加密算法實現(xiàn)密文傳輸,具有抗共謀性和機密性作用,通過實驗仿真在滿足安全性的前提下相比其他方案效率更高。

      3)基于用戶屬性而不是用戶組的訪問控制策略更靈活,經(jīng)過霧節(jié)點的數(shù)據(jù)預(yù)處理降低了通信成本,讓數(shù)據(jù)訪問方式更加高效精細(xì)化。

      1 相關(guān)工作

      傳統(tǒng)的工業(yè)互聯(lián)網(wǎng)中數(shù)據(jù)分析主要集中在云服務(wù)端,由設(shè)備采集數(shù)據(jù)后以明文或?qū)ΨQ密鑰加密成密文形式經(jīng)過互聯(lián)網(wǎng)發(fā)送給云服務(wù)器存儲,云服務(wù)層根據(jù)人工智能、大數(shù)據(jù)分析等技術(shù)對數(shù)據(jù)進(jìn)行處理后生成操作指令回應(yīng)設(shè)備端,設(shè)備根據(jù)服務(wù)器的指令再進(jìn)行下一步操作。云服務(wù)器一般都處在設(shè)備的遠(yuǎn)端,會造成響應(yīng)延遲大和對云服務(wù)器的信任依賴程度過高,如果對稱密鑰或者服務(wù)器被惡意用戶攻擊還會造成隱私數(shù)據(jù)泄露的風(fēng)險。Bethencourt等人[2]首次提出了CP-ABE的加密算法,后來被應(yīng)用到云計算中訪問控制策略,因加密和解密都在設(shè)備端完成,所以其計算開銷和響應(yīng)延遲比較大;文獻(xiàn)[3-4]介紹了一種在工業(yè)物聯(lián)網(wǎng)環(huán)境下設(shè)備之間認(rèn)證機制,提高設(shè)備之間的訪問控制權(quán)限;文獻(xiàn)[5-6]引入了代理服務(wù)器進(jìn)行重加密傳輸數(shù)據(jù)實現(xiàn)精細(xì)化的訪問控制,代理服務(wù)器一般為虛擬機或云服務(wù)器,距離采集設(shè)備較遠(yuǎn);而文獻(xiàn)[7]將ABE算法引入到霧計算解密方案中,但是霧節(jié)點僅僅是用于解密,無法加密,具有一定的局限性;文獻(xiàn)[8-9]介紹了霧計算中安全的數(shù)據(jù)交換和隱私保護(hù)方法。以上研究中除了文獻(xiàn)[7]外都是基于云服務(wù)層和代理服務(wù)器來實現(xiàn)細(xì)粒度的訪問控制方法,而代理服務(wù)器距離終端設(shè)備比較遠(yuǎn),存在系統(tǒng)延遲大和代理服務(wù)器的安全性問題。

      本文提出將部分加密解密計算任務(wù)放到距離設(shè)備較近的霧節(jié)點層來完成,原始數(shù)據(jù)加密和屬性集關(guān)聯(lián)保證數(shù)據(jù)傳輸具有機密性,實現(xiàn)設(shè)備之間點到點的高效安全數(shù)據(jù)訪問策略,未授權(quán)的用戶無法從密文數(shù)據(jù)中得到任何相關(guān)信息,在確保數(shù)據(jù)安全共享的前提下,減少傳輸帶寬和延遲,提高數(shù)據(jù)訪問的效率。

      2 預(yù)備知識

      2.1 雙線性映射[10-11]

      設(shè)G和Gt是2個階為q的群,g為生成元,雙線性映射e:G×G→Gt具有如下的特性:

      定義1 雙線性:對任意的P,Q,R∈G,a,b∈Zq,存在如下算式:

      定義2 非退化性:對任意P,Q∈G,e(P,Q)≠1。

      定義3 可計算性:對任意P,Q∈G,可以找到一個算法能在多項式時間內(nèi)計算e(P,Q)。

      定義4 對稱性:對任意P,Q∈G,可以得出e(P,Q)=e(Q,P)。

      2.2 CP-ABE算法

      基于密文策略屬性基加密算法(CP-ABE)用來加密原始數(shù)據(jù)的密鑰對應(yīng)一個屬性的集合,當(dāng)且僅當(dāng)用戶屬性和密文訪問矩陣匹配時才能訪問和解密出原始數(shù)據(jù)[12-13]。CP-ABE算法總共有初始化、加密、私鑰生成和解密過程4個步驟:

      1)初始化:隨機選擇a,b∈Zp,根據(jù)雙線性映射定義生成主密鑰msk和公鑰pk={e(g,g)a,gb}。

      2)加密過程:使用公鑰pk對消息M在訪問矩陣(A,ρ)下加密輸出密文CT,其中ρ函數(shù)將訪問矩陣A的行關(guān)聯(lián)到訪問屬性上。

      3)私鑰生成:通過輸入公鑰pk、主密鑰msk和屬性集set計算輸出私鑰sk。

      4)解密過程:輸入密文CT、私鑰sk和訪問矩陣(A,ρ),只要滿足屬性集的用戶都可以成功解密出原文件M。

      2.3 困難性假設(shè)問題

      雙線性DBDH(Diffie-Hellman)問題描述如下:挑戰(zhàn)者選擇一個G,其階和生成元分別為素數(shù)p和g,選擇隨機數(shù)i,j,k∈Zp,如果挑戰(zhàn)者給對手一組(g,gi,gj,gk)的話,那么對手區(qū)分出來e(g,g)ijk∈GT和隨機元素R∈GT是很困難的[14-15]。

      定義算法Q能以優(yōu)勢ε求解DBDH問題,當(dāng)且僅當(dāng)滿足如下公式:

      |Pr[Q(g,gi,gj,gk,Z=e(g,g)ijk)=0]-

      Pr[Q(g,gi,gj,gk,Z=R)=0]|≥ε

      如果算法在解決DBDH問題上的優(yōu)勢可以忽略不計,那么DBDH假設(shè)成立。

      3 工業(yè)互聯(lián)網(wǎng)霧計算系統(tǒng)架構(gòu)

      傳統(tǒng)的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)存儲大部分租用公有云服務(wù)器或自建數(shù)據(jù)中心機房,前端設(shè)備采集數(shù)據(jù)后以明文或?qū)ΨQ加密算法加密后直接上傳到遠(yuǎn)端的服務(wù)器,數(shù)據(jù)傳輸距離長容易造成延遲大問題,而且安全性方面過度依賴于中心化的云服務(wù)器。為了解決云端數(shù)據(jù)處理響應(yīng)延遲和計算開銷大問題,本文設(shè)計基于霧計算的“設(shè)備-霧-云端”系統(tǒng)架構(gòu),如圖1所示,主要實體包括屬性授權(quán)機構(gòu)(AA)、設(shè)備層(E)、霧節(jié)點(F)和云服務(wù)層(CSL)。

      圖1 工業(yè)互聯(lián)網(wǎng)霧計算系統(tǒng)架構(gòu)

      1)屬性授權(quán)機構(gòu)(Attribute Authority)。AA是完全受信任的機構(gòu),按照標(biāo)準(zhǔn)規(guī)范生成針對每個屬性的ai和bi值。同時還需要響應(yīng)數(shù)據(jù)使用者E2發(fā)來的EID2生成針對E2密鑰Ki,EID2,并發(fā)送給E2數(shù)據(jù)使用者。

      2)設(shè)備層(E)。E包含數(shù)據(jù)擁有者E1和數(shù)據(jù)使用者E2這2個角色,E1是加密原始數(shù)據(jù)M為密文CT后存儲在云服務(wù)器,E2從云服務(wù)器下載CT進(jìn)行完全解密獲取密文M。其中數(shù)據(jù)擁有者E1、加密和解密過程是完全可信任的,而數(shù)據(jù)使用者E2不可信,可能存在多個E2聯(lián)合串謀獲取解密的相關(guān)信息。未授權(quán)的E2也可能嘗試解密密文CT。

      3)霧節(jié)點(F)。F具有部分計算和存儲等功能,主要完成部分加密和部分解密的任務(wù),它在工作時可能會嘗試獲取發(fā)送者的相關(guān)信息,是不可信任的節(jié)點。

      4)云服務(wù)層(CSL)。CSL主要用于存儲服務(wù)是不可信任的節(jié)點,它可能會收集存儲的數(shù)據(jù)相關(guān)信息,但是不修改或刪除密文的數(shù)據(jù)。

      在圖1中各環(huán)節(jié)的通信傳輸是不可信任的,惡意用戶存在利用傳輸途徑進(jìn)行竊聽信息試圖破解的風(fēng)險。本文設(shè)定E1為數(shù)據(jù)擁有者生成并上傳密文,E2為數(shù)據(jù)使用者下載訪問。

      4 安全數(shù)據(jù)訪問算法

      為了介紹工業(yè)互聯(lián)網(wǎng)中高效安全的數(shù)據(jù)訪問方法,設(shè)計如下幾個算法:

      算法1 認(rèn)證初始化(PK,SK)←Setup(ai,bi)。

      輸入:對屬性i選擇ai、bi;輸出:PK、SK;1)計算PK1j=e(g,g)ai,PK2j=gbi。

      2)計算公鑰PK=(PK1j,PK2j),SK=(ai,bi)。

      算法2 部分加密(PCT,PS)←Part_encrypt(M,GP)。

      輸入:原始數(shù)據(jù)M;輸出:部分密文PCT、部分狀態(tài)PS;1)設(shè)定屬性總數(shù)為X,對于x∈[1,X],隨機選擇λ,α,y,ω,γ∈Zp,計算如下:

      C1j=e(g,g)λ×e(g,g)αγ

      (1)

      C2j=gγ,C3j=gyγ×gω

      (2)

      (3)

      (4)

      2)計算PCT={C1j,C2j,C3j}j∈[1,X], PS={CT1j,CT2j}j∈[1,X]。

      3)轉(zhuǎn)發(fā)三元組給霧節(jié)點。

      算法3 完全加密CT←Fin_Encrypted(PK,GP,PCT,PS,M)。

      輸入:公鑰PK,全局參數(shù)GP,部分密文PCT,部分狀態(tài)PS,原始消息M,選擇隨機數(shù)s∈Zp,矩陣A,ωj和λj參數(shù)[6];輸出:C0、C4、C5;1)計算C0=M×e(g,g)s,C4j=λj-λ,C5j=ωj-ω。

      2)計算PCT=((A,ρ*),C0,{PCT,C4j,C5j,PS})j∈[1,X]。

      其中(A,ρ)為l行n列的訪問矩陣,ρ是映射它的行到屬性。

      算法4 密鑰生成Ki,EID2←Generate(EID2,MSK,GP)。

      輸入:EID2;輸出:Ki,EID2;1)AA根據(jù)數(shù)據(jù)使用者的唯一EID2生成密鑰。

      2)計算Ki,EID2=gai×H1(EID2)bi,發(fā)送給設(shè)備E2。

      算法5 私鑰生成Ti,EID2←Key_Transform(Ki,EID2,H1)。

      輸入:選擇隨機數(shù)u∈Zp,哈希函數(shù)H1;輸出:Ti,EID2;1)計算轉(zhuǎn)換密鑰:

      (5)

      2)計算私鑰SKi,EID2=(u,Ti,EID2)。

      3)發(fā)送轉(zhuǎn)換密鑰Ti,EID2給霧節(jié)點部分解密。

      算法6 部分解密DCT←Partial_Decrypt(Ti,EID2,CT,GP)。

      輸入:Ti,EID2,密文CT,GP;輸出:DCT;1) 計算C1=C1j×CT1j×e(g,g)C4j,C2=C2j。

      2) 計算C3=C3j×CT2j×gC5j。

      (6)

      (7)

      4)發(fā)送DCT={CT1,CT2}給設(shè)備E2最終解密。

      算法7 最終解密M←Fin_Decrypt(DCT)。

      2) 計算CTz=e(g,g)s。

      5 安全性分析

      本文安全數(shù)據(jù)訪問算法的安全性是基于第2章中的困難性問題假設(shè)來實現(xiàn),安全性證明參考文獻(xiàn)[16]部分,假如存在一個多項式算法能破解文中的算法,那就存在算法能以一定優(yōu)勢解決了DBDH問題[16]。安全數(shù)據(jù)訪問算法的安全性主要體現(xiàn)在基于CP-ABE實現(xiàn)密文傳輸?shù)目构仓\性、隱私保護(hù)性和安全的訪問控制策略3個方面,具體如下:

      1)隱私保護(hù)性。

      設(shè)備E采集數(shù)據(jù)根據(jù)屬性集進(jìn)行密文傳輸存儲到云端,因云服務(wù)器和傳輸通道不完全可信,攻擊者可通過竊聽傳輸路徑或篡改云數(shù)據(jù)庫得到密文CT,解密需要知道Ki,EID2才可以,而Ki,EID2=gai×H1(EID2)bi可知EID2是每個設(shè)備唯一的身份,ai和bi是和屬性相關(guān)的隨機數(shù),根據(jù)第2.3節(jié)中困難性假設(shè)問題可知攻擊者選擇2個隨機數(shù)計算出來密鑰Ki,EID2的幾率是不存在的,這種區(qū)別去傳統(tǒng)的中心化密鑰管理方式具有很高的機密性,有效保護(hù)了工業(yè)敏感數(shù)據(jù)的隱私性。

      2)安全的訪問控制策略。

      數(shù)據(jù)使用者只有滿足加密數(shù)據(jù)時的屬性集或者為其子集時候才能進(jìn)行有效的解密,不滿足屬性集要求的用戶無法使用私鑰解密數(shù)據(jù),和傳統(tǒng)的用戶組權(quán)限控制方式不同的是這種基于屬性的數(shù)據(jù)交換方式更加靈活,可以做到細(xì)粒度地訪問加密數(shù)據(jù)。

      3)抗共謀性。

      多個數(shù)據(jù)使用者可能將自己的私鑰Ti,EID2結(jié)合起來嘗試訪問密文數(shù)據(jù),因他們的私鑰生成和隨機數(shù)有關(guān)系,多個密鑰結(jié)合后無法恢復(fù)出有效的訪問密鑰,所以沒有訪問策略權(quán)限的用戶私鑰結(jié)合后是無法解密數(shù)據(jù)的。

      6 性能分析

      對本文的方法分別從理論上和實驗測試進(jìn)行分析對比,證明其高效可行性。實驗分析使用2臺不同配置電腦模擬云服務(wù)層和霧節(jié)點計算設(shè)備,一般來說霧節(jié)點靠近設(shè)備層計算能力弱于云服務(wù)器,所以本文采用I5的CPU、8 GB內(nèi)存和Linux操作系統(tǒng)計算霧節(jié)點,用Intel的E3-1230處理器,頻率為3.3 GHz,16 GB內(nèi)存和Linux操作系統(tǒng)當(dāng)做云服務(wù)器,調(diào)用MIRACL庫來測試基本的密碼運行時間,測試為100次[17-18]。基于雙線性映射函數(shù)的方案,本文選取循環(huán)群的群元素是512位(64 byte),階為160位(20 byte),為了達(dá)到1024位RSA的安全等級,選擇構(gòu)建在橢圓曲線E:у2=χ3-χ上,使用secp160r1的ECC算法來實現(xiàn)[19-20]。

      基于霧計算的工業(yè)互聯(lián)網(wǎng)安全數(shù)據(jù)訪問算法中用到的主要運算有指數(shù)函數(shù)、雙線性映射函數(shù)、乘法運算和哈希運算,分別用e、p、m和h來表示,那么各運算的計算成本順序為p>e>m>h,經(jīng)過多次測試平均值后其分別為2.31 ms、14.9 ms、1.25 ms和0.1 ms左右[21-23]。假設(shè)在算法各個階段數(shù)據(jù)使用者從屬性授權(quán)機構(gòu)獲取的屬性數(shù)量為n,將本文方法和文獻(xiàn)[7]方法進(jìn)行對比計算開銷,結(jié)果如表1所示。

      表1 計算開銷對比

      霧節(jié)點和云服務(wù)層本文采用不同配置的電腦模擬測試,下載PBC庫和GMP庫安裝在Python3.1.0編譯環(huán)境下,編寫算法代碼分別在霧節(jié)點和云服務(wù)層上運行,并和文獻(xiàn)[7]方法和文獻(xiàn)[19]方法進(jìn)行對比測試[24-27]。

      測試時屬性的個數(shù)分別取值10、20、30、40、50和60為樣本來計算生成密鑰、加密過程和部分解密算法的程序運行結(jié)果,在屬性的個數(shù)取值為30時,本文方案的生成密鑰時間比文獻(xiàn)[19]方法少了11.6 ms,加密時間比文獻(xiàn)[19]方法少了39.4 ms,部分解密比文獻(xiàn)[19]方法少了394 ms,本文方案在部分解密中雙線性映射計算更少。最終解密的時間消耗文獻(xiàn)[7]方法、文獻(xiàn)[19]方法和本文方案分別為17.8 ms、19.3 ms和16.8 ms,本文方案相比文獻(xiàn)[7]方法略低一點。

      從圖2~圖4可以看得出來本文方案在運算開銷方面具有一定的優(yōu)勢,并且隨著屬性個數(shù)的增加性能更優(yōu)越,在工業(yè)互聯(lián)網(wǎng)的應(yīng)用中能減少時間延遲,確保系統(tǒng)命令執(zhí)行的即時性要求。

      圖2 生成密鑰時間開銷

      圖3 加密過程時間開銷

      圖4 部分解密時間開銷

      7 結(jié)束語

      為解決傳統(tǒng)工業(yè)互聯(lián)網(wǎng)延遲大和傳輸數(shù)據(jù)的隱私保護(hù)問題,本文提出了基于霧節(jié)點層的系統(tǒng)框架圖,將部分加密和解密任務(wù)放到霧節(jié)點完成,減少了傳輸帶寬和響應(yīng)延遲,數(shù)據(jù)的加密過程基于CP-ABE算法進(jìn)行改進(jìn),只有授權(quán)的設(shè)備才能安全訪問密文數(shù)據(jù),未授權(quán)用戶和不可信任的云服務(wù)器無法對數(shù)據(jù)非法解密,云服務(wù)器作為數(shù)據(jù)存儲,減少對云服務(wù)層的信任依賴度,即使云服務(wù)器被攻擊密文泄露,沒有訪問授權(quán)的私鑰無法獲取任何相關(guān)信息,有效地保護(hù)了工業(yè)敏感數(shù)據(jù)的隱私機密性。

      猜你喜歡
      密文解密密鑰
      探索企業(yè)創(chuàng)新密鑰
      解密“熱脹冷縮”
      一種針對格基后量子密碼的能量側(cè)信道分析框架
      一種支持動態(tài)更新的可排名密文搜索方案
      基于模糊數(shù)學(xué)的通信網(wǎng)絡(luò)密文信息差錯恢復(fù)
      解密“一包三改”
      少先隊活動(2020年9期)2020-12-17 06:17:31
      密碼系統(tǒng)中密鑰的狀態(tài)與保護(hù)*
      炫詞解密
      一種對稱密鑰的密鑰管理方法及系統(tǒng)
      基于ECC的智能家居密鑰管理機制的實現(xiàn)
      商河县| 封开县| 泸定县| 揭西县| 贵州省| 三亚市| 乐至县| 广安市| 昌乐县| 河北省| 呈贡县| 梧州市| 岳阳市| 武山县| 新乡县| 万载县| 邵武市| 于都县| 通江县| 开江县| 阜新| 无为县| 岑巩县| 安陆市| 星座| 黎城县| 宝清县| 腾冲县| 铜川市| 铁岭市| 潞西市| 宣威市| 湖南省| 鲁山县| 抚州市| 辽宁省| 信阳市| 中牟县| 广南县| 凉城县| 新巴尔虎左旗|