[发明专利]一种基于智能配电终端的属性访问控制系统和方法

权利要求书

1.一种基于智能配电终端的属性访问控制系统，其特征在于，所述系统包括智能配电终端DO、安全网关AA、边缘服务器、配电主站CSP以及数据用户DU；

所述智能配电终端DO，用于上传主站的遥测、遥信信息采集类业务以及下发终端的遥控命令，可加密密文，并将加密后数据上传至配电主站CSP进行安全共享；

所述安全网关AA，用于生成系统公钥和系统主私钥，同时管控用户私钥分发；

所述边缘服务器，用于作为中间层汇聚终端信息，根据功能分为加密代理服务器EA、解密代理服务器DA以及密钥生成代理服务器KGA1和KGA2；

所述配电主站CSP，用于为智能配电终端DO提供数据存储服务；

所述数据用户DU，用于根据访问策略访问智能配电终端存储在配电主站CSP中的密文数据资源。

2.基于权利要求1所述的一种基于智能配电终端的属性访问控制系统的一种基于智能配电终端的属性访问控制方法，其特征在于，包括以下步骤：

步骤1：基于安全网关AA进行系统初始化；

步骤2：基于智能配电终端DO进行数据外包加密；

步骤3：基于边缘服务器进行属性策略分配；

步骤4：基于数据用户DU进行密钥外包解密。

3.根据权利要求2所述的一种基于智能配电终端的属性访问控制方法，其特征在于，所述系统初始化步骤为：

步骤1.1：安全网关AA确定系统公共参数PP＝{GF(q)，G，E，R，A，H}，并通过输入的安全参数k，选择q阶有限域GF(q)；

其中，E是q阶有限域GF(q)内的一个椭圆曲线；

G是椭圆曲线E上大素数r阶循环子群的生成元；

H为哈希函数；

A为全局属性集合；

R为非对称加密算法；

选择哈希函数H：将全局唯一标识GID映射到中，Z^r为r阶素数域；

定义全局属性集合A＝{a₁，a₂，...，a_n}；

其中a₁，a₂，...，a_n为系统管理的n种不同的属性，这些属性由安全网关进行统一管理；

步骤1.2：安全网关对其管理的多个属性i生成随机常数y_i，安全参数k_i，k_i∈Z^r；

生成系统公钥PK＝{y_iG，k_iG，i∈AA}，系统主密钥MSK＝{y_i，k_i，i∈AA}；

其中，系统公钥PK是公开的，主密钥MSK是保密的。

4.根据权利要求2所述的一种基于智能配电终端的属性访问控制方法，其特征在于，所述数据外包加密步骤为：

步骤2.1：智能配电终端DO使用对称加密算法E对明文数据M进行加密，随机生成加密密钥ck₁和数据密文发送给配电子站进行加密代理服务器EA；

步骤2.2：加密代理首先解密数据密文CT_DATA分配数据属性i，并调用非对称加密算法R进行非对称加密生成第二密钥对mk₂＝(msk₂，mpk₂)和属性密文然后计算数据验证信息H_CT′＝H(CT′_DATA)，H为哈希函数；

步骤2.3：加密代理服务器EA使用系统公钥PK对哈希值H_CT′进行非对称加密R，生成数字签名，并将带有数字签名的属性密文CT′_DATA发送给配电子站的两个密钥生成代理服务器KGA1、KGA2，将属性密钥发送给配电主站CSP存储。