[发明专利]一种抗密钥暴露属性加密的SDN跨域访问控制方法

说明书

本发明公开了一种抗密钥暴露属性加密的SDN跨域访问控制方法，基于属性权威、SDN控制器、加密者和解密者四部分构成的控制系统，属性权威负责所有属性的认证以及公钥、私钥的发布；SDN控制器负责收集、存储和管理SDN流表、路由以及数据量信息，SDN划分为多个SDN域，每一个域内部署唯一的SDN控制器，每个SDN控制器管理各自域内的重要信息，并与其他域的SDN控制器交互；加密者是数据的初始拥有者，用户或SDN设备能够上传自己的数据并根据自己的意愿或需求自由制定相应的访问策略；解密者是试图获取SDN控制器内信息的用户或者设备，拥有一个与其属性集合相对应的私钥，并通过私钥来解密密文。

技术领域

本发明涉及SDN跨域访问控制方法，尤其涉及一种抗密钥暴露属性加密的SDN跨域访问控制方法，用于SDN跨域信息分享，属于网络信息安全领域。

背景技术

软件定义网络(software defined network，简称SDN)将网络的控制层与数据层分离，不仅有利于降低网络当中的硬件成本，还使得网络管理员能够方便地对来自不同厂商的设备进行集中化的调试和管理。但同时SDN的一系列安全问题却成为了阻碍其进一步广泛应用的难题。其中最严重的问题之一就是如何在远程控制环境下保证由SDN控制器掌控的用户和设备敏感信息不被攻击者窃取。然而现有的SDN访问控制机制不足以实现灵活、高效而又准确的用户信息管理，尤其在部署多控制器的大型SDN环境中难以实现有效的跨域信息访问控制。因此在SDN环境中部署安全、灵活、高效的访问控制管理机制显得尤为重要。

发明内容

为提高SDN跨域信息分享的安全性和高效性，本发明提出了一种抗密钥暴露属性加密的SDN跨域访问控制方法，其核心思想是：利用预计算技术将必要的双线性对计算并存储起来，加密者在进行加密时无需进行任何复杂的双线性对运算，提高了属性加密的计算效率。同时我们基于拓展图技术减少了预计算产生的双线性配对数量，进一步降低了预计算产生的存储开销。除此之外，将用户或者设备的MAC地址嵌入到私钥当中，如果私钥当中的地址信息与设备本身不符则无法完整解密。这保证即使将私钥有意或者无意地暴露给其他非法用户或者设备，他们也无法获取此私钥获取敏感信息。

为实现上述发明目的，本发明采用以下技术方案：一种抗密钥暴露属性加密的SDN跨域访问控制方法，其特征在于：基于属性权威、SDN控制器、加密者和解密者四部分构成的控制系统，属性权威和SDN控制器位于控制层，加密者和解密者位于数据层，属性权威是一个可信的权威机构，负责所有属性的认证以及公钥、私钥的发布；SDN控制器负责收集、存储和管理SDN流表、路由以及数据量信息，SDN采用多控制设置，将SDN划分为多个SDN域，每一个域内部署唯一的SDN控制器，每个SDN控制器管理各自域内的重要信息，同时负责与其他域的SDN控制器交互；加密者是数据的初始拥有者，包括路由器、服务器、PC机和交换机构成的用户或SDN设备，用户或SDN设备能够上传自己的数据并根据自己的意愿或需求自由制定相应的访问策略；解密者是试图获取SDN控制器内信息的用户或者设备，其身份用一个属性集合来表示，解密者拥有一个与其属性集合相对应的私钥，并通过私钥来解密密文，解密者包括路由器、loT传感器、手机和交换机；包括以下步骤：