1、信息技术 年第 期多级访问安全下电网综合运维信息加密共享王皓然 付 鋆 刘俊荣(贵州电网有限责任公司信息中心 贵阳)摘 要:常规加密共享方法发送信息密文时选择的传输路径时延较大导致信息的加密与解密时间开销较大因此提出多级访问安全下电网综合运维信息加密共享方法 筛选属性集合满足多级访问控制树的合法用户生成用户属性密钥 以 位字节为一组划分运维信息明文数据 利用加密公钥和属性密钥加密电网综合运维信息生成密文数据 选择最优传输路径传输密文数据块并优化密文块解密流程实现运维信息共享 实验结果表明所提出加密共享方法缩短了信息加密时间和解密时间提高了数据加解密效率关键词:多级访问安全 电网综合运维信息 加
2、密共享 属性密钥 用户属性中图分类号:文献标识码:文章编号:():./.基金项目:南方电网有限责任公司科技项目()作者简介:王皓然()男本科高级工程师研究方向为计算机信息安全 (.):.:引 言电网运行过程中会产生越来越多的综合运维信息运维信息中包含许多敏感数据如财务信息、供电记录信息、用户信息等 由于信息资源价值很高很多未经授权的用户企图获取运维信息中的数据内容导致敏感数据泄露容易发生电网运维安全事故 因此保障运维信息的安全成为多级访问安全下电网综合运维信息加密共享 王皓然 等电网公司面临的重要问题 运维信息安全威胁主要来源于非法用户的访问研究多级访问安全下的信息加密共享合理控制用户访问权限
3、使运维信息在加密保护的状态下完成共享对实现运维信息安全的目标具有重要意义 现阶段信息加密共享方法的研究已取得较大发展普遍采用属性加密和权限撤销两种方案提出多种密钥策略令用户具备可撤销访问权限限制用户对运维信息的访问范围实现信息加密共享 文献提出基于区块链和 技术的信息加密共享方法通过积分方案管理用户权限基于区块链技术分类隐私信息读取和修改信息的属性条件加密后存储于 中完成信息的加密共享 但是该方法中存在用户访问透明度设置不合理的问题导致信息的加解密时间较长 文献提出基于 的自定义读写策略信息加密共享方法采用密文策略的属性加密算法通过短群签名法保存用户权限控制策略和加密信息 但该方法选择的签名长
4、度较长导致共享信息的加解密时间同样较长 为了解决上述加密共享方法存在的加解密时间较长的问题结合现有的研究理论提出多级访问安全下电网综合运维信息加密共享方法 多级访问安全下电网综合运维信息加密共享.生成多级访问安全下用户集合属性密钥分析多级访问结构筛选合法访问用户生成合法用户属性集合的属性密钥 多级访问结构的安全假设内容如下:数据发送者能够按照电网数据传输协议执行完整的运维信息存储操作存储服务不会与其他实体串谋访问用户没有解密运维信息的权限每个用户都尝试与其他实体串谋每个授权机构都存在被攻破的可能性攻击者可以组装出属性密钥集合 获取运维信息数据内容定义电网信息共享需求如下:设定数据机密性需求确保
5、加密信息无法被非法用户实体访问设定防止串谋攻击需求保证任意一组数据属性均无法通过密钥组件解密密文设定细粒度访问控制需求通过属性组合实现用户细粒度多级访问的目标从而灵活制定用户访问控制策略设定用户撤销需求确保访问用户解密权限能够被召回且召回权限的用户不可再解密运维信息设定可扩展和实用性需求确保运维信息能够被大量发送至访问用户且存储器可以管理海量运维信息在以上安全假设共享需求的基础上描述多级访问结构的密钥策略数据共享包括授权机构、信息存储服务器、访问用户、数据发送方:利用服务器进行计算和存储服务将服务器作为访问用户的代理方提供用户列表给数据发送方同时向授权机构获取密钥通过授权机构管理电网综合运维信
6、息属性认证合法访问用户颁发加密公钥和属性密钥令数据发送方获取授权机构的公钥把运维信息存储至服务器令访问用户获取授权机构的属性密钥通过服务器下载数据密文、获取解密密钥设置可撤销的解密权限布置属性密钥策略方案属性密钥策略方案由用户注册、身份验证、初始化算法、密钥生成算法、加密算法、解密算法以及验证追踪组成 布置属性密钥策略方案的生成步骤如下:用户注入自己的身份 与密码电网运行系统返回给用户注册信息用户身份验证采用验证算法对用户的身份信息与密码验证用户的身份是否合法初始化算法根据共享安全性的要求生成查询列表初始化时列表中的信息为空密钥生成算法根据密钥、属性列表以及用户信息输出属性列表的加密私钥并存储
7、在查询列表中数据加密算法输入需要加密的明文信息、访问策略以及公共参数输出密文信息加密算法运维信息接收者输入公钥、访问结构、密文信息以及属性列表的用户私钥正确解密得到明文信息否则输出符号验证追踪输入用户的公钥、私钥以及查询列表验证私钥的定义是否标准如果验证成功则输出对应的身份信息证明方案成功否则输出符号符号表示私钥不可追踪验证失败多级访问安全下电网综合运维信息加密共享 王皓然 等完成布置属性密钥策略方案生成后采用树形结构的用户访问控制策略将树节点划分为内部节点和叶子节点分别表示访问控制树的门限、用户属性集合的属性 设访问控制树为 属性集合为 树节点为 定义用户访问操作()当树节点为叶子节点时访问
8、操作表达式为:()()()()其中()表示叶子节点属性 当树节点为内部节点时设内部节点的子节点为 树节点的门限值为 访问操作表达式为:()()()()其中()表示内部节点的子节点个数 当()值为 时判定访问用户属性集合满足多级访问树当()值为 时判定属性集合不满足访问树 筛选满足访问树的属性集合作为合法访问用户自上向下生成访问树节点的 次多项式 合法用户的属性密钥 表达式为:()()其中()为内部节点的父节点个数 表示内部节点的父节点 为父节点门限值 当 小于树节点的子节点个数 值为 当 大于等于 的子节点个数 值为/录入用户集合的所有属性密钥至授权机构至此完成多级访问安全下用户集合属性密钥的
9、生成.电网综合运维信息加密利用授权机构的加密公钥和属性密钥加密电网综合运维信息生成密文数据 当数据发送者获取公钥后公钥加密运维信息采用分组密码体制以 位字节为一组划分运维信息明文数据得到 位字节的明文块将明文块映射至 的状态矩阵内 根据电网网络实际情况确定公钥加密轮数选择 位密钥长度 将混沌序列和混沌参量分别作为运维信息的初始密钥序列和初始公钥把混沌序列映射至明文块的状态矩阵采用 映射和 映射相结合的映射方式得到复合混沌序列 计算公钥空间大小 公式为:()其中为 映射初始值 为优化相关系数为 映射初始值 映射后的混沌参量表达式为:()()其中 为 指数 为控制参数为第 个混沌变量 为映射值 计
10、算映射均值 公式为:()()其中()为混沌变量的概率分布 在 区间随机选择混沌变量 初始值不断迭代控制参数的数值控制参数增加 指数也随之增加绘制 指数曲线图纵坐标和横坐标分别为 值和 值 当部分 指数大于 时运维信息明文数据出现混沌现象当指数全部大于 信息数据产生混沌行为当 值均匀分布在()时信息数据达到满映射混沌状态明文块呈现出最佳混沌特征 当混沌参量处于满映射状态时分组初始密钥序列利用复合混沌序列逐块加密明文块得到密文块合并后获得公钥加密的运维信息密文 公钥加密完毕后利用属性密钥二次加密运维信息定义属性密钥加密准则构建运维信息的加密通信通道将 位字节的每组数据作为有限域的一个组合 采用多项
11、式表示有限域的各个字节字节的数值表达式 为:()其中为有限域的数值 为常数 针对运维信息的任意两个字节设两个字节多项式为()、()相乘多项式消除同类项余下次数为 的式子 采用欧几里德算法检验()是否为()的逆元素检验公式为:()()()若两个多项式满足公式()将()作为()的逆元素 结合属性密钥计算两个字节的加密矩阵设、表示 两个多项式的乘法矩阵为:多级访问安全下电网综合运维信息加密共享 王皓然 等()式中得到字节()和()的加密矩阵检验运维信息所有字节的逆元素得到信息数据的加密矩阵序列至此完成电网综合运维信息的加密.电网综合运维信息加密共享选择最优传输路径传输密文块优化密文块解密流程实现运维
12、信息加密共享 定位数据发送者源端口和访问用户目的端口的地址生成网络拓扑图源端口和目的端口之间通过交换机进行数据传输 源端口和目的端口之间存在多条路径选择运维信息密文数据传输路径:()其中表示路径选择约束参数 表示全部路径数量根据最优路径的选择结果采集交换机端口统计信息计算端口速率 公式为:()其中、分别为 时刻、时刻流经端口的数据量为 时刻和 时刻之间的持续时间 设端口容量为 计算端口可用带宽 计算公式为:()取带宽最小值作为每条传输路径的可用带宽利用密文发送和接收的时间戳计算每条传输路径的时延将带宽不相交且时延最小的传输路径作为运维信息密文的最优共享链路 访问用户接收运维信息密文对密文进行解
13、密具体流程如图 所示用户通过授权机构验证自身身份当身份验证通过后输入自身属性的私钥授权机构检测用户属性密钥若检测合法执行解密操作根据密钥捆绑规则一一解析密文块得到明文数据块对数据块进行合并得到运维信息原始数据至此完成电网综合运维信息加密数据的共享实现多级访问安全下电网综合运维信息加密共享方法研究图 密文块解密流程 实验论证分析将此次设计方法与基于区块链和 技术的信息加密共享方法(方法)、基于 的自定义读写策略信息加密共享方法(方法)进行对比实验比较三种信息加密共享方法的时间开销.实验环境实验部署在一个面向居民区和工业区的云计算平台上平台服务器集群包含 台服务器将服务器端作为数据发送者客户端作为
14、访问用户客户端从服务器端下载电网综合运维信息设置数据流宽带为、服务器每 收集电网综合运维信息更新数据流表 运维信息数据包服从泊松分布服务器端建立两条数据传输路径分别为 路径和 路径云计算平台引入经典密码学包分发访问用户属性假设多级访问用户有 个用户身份大小为每个用户共享 个运维信息文件.设计方法应用设计方法计算可得 个访问用户均为合法用户公钥加密运维信息映射混沌参量 值迭代 次后绘制的 指数曲线图如图 所示由上图可知控制参数大于 时指数全部大于 此时混沌变量的映射均值位于多级访问安全下电网综合运维信息加密共享 王皓然 等图 指数曲线图()区间运维信息达到满映射混沌状态对 的明文块实行公钥加密再
15、通过矩阵序列实行属性加密完成数据传输.实验结果分析.不同属性个数下的时间开销测试调整访问用户属性的分发数量改变用户访问控制策略中的属性个数比较运维信息加解密时间实验结果如图 所示图 不同属性个数下的时间开销测试由图 可知方法、方法 的计算复杂度较大需要更多时间代价加密时间和解密时间随着访问用户属性个数的增加而增加而设计方法利用访问控制树表示用户属性计算复杂度不受属性个数影响加解密时间保持平衡 设计方法的平均加密时间为 平均解密时间为 而两种文献对比方法的加密耗时与解密耗时不断增加最高加密耗时与解密耗时均达到 以上因此说明所设计方法的加密共享传输耗时不受到属性数量的影响 不同文件大小下的时间开销
16、测试改变运维信息文件大小比较不同文件大小下的加解密时间实验对比结果如图 所示图 不同文件大小下的时间开销测试由上图可知三种方法加解密时间都随文件的变大而增加这是因为运维信息加密前需要对信息数据进行分块文件越大数据分块任务量就越多 设计方法仅依靠字节完成分块加解密时间增长较为缓慢因此在不同文件大小下所设计方法的加密与解密耗时始终低于两种文献对比方法减少了信息加解密的时间开销具有更好的加解密效率多级访问安全下电网综合运维信息加密共享 王皓然 等 结束语此次在多级访问安全的网络环境设计了一种电网综合运维信息加密共享方法缩短了信息数据的加密时间和解密时间提高了信息加密共享的时间效率 但此次设计方法仍存
17、在一定不足在今后的研究中会建立用户信任模型评价第三方信任度抵抗来自访问用户的串谋攻击在保证数据管理效率的前提下降低公钥和属性密钥的安全隐患参 考 文 献:梁艳丽凌捷.基于区块链的云存储加密数据共享方案.计算机工程与应用():.赵志远王建华朱智强等.面向物联网数据安全共享的属性基加密方案.计算机研究与发展():.王辉周明明.基于区块链的医疗信息安全存储模型.计算机科学():.田有亮杨科迪王缵等.基于属性加密的区块链数据溯源算法.通信学报():.邓宇乔杨波唐春明等.基于密文策略的流程加密研究.计算机学报():.范贤丽范春晓吴岳辛.基于区块链和 技术实现粮食供应链隐私信息保护.应用科学学报():.胡
18、奥婷胡爱群.基于 的自定义读写策略的云数据共享方案.北京理工大学学报():.钱涵佳王宜怀彭涛等.轻量级窄带物联网应用系统中高效可验证加密方案.计算机研究与发展():.沈凯旋高胜朱建明.:基于联盟链的数字图书馆信息资源安全共享模型.国家图书馆学刊():.付伟顾晨阳高强.基于属性加密的多用户共享 方案.计算机应用():.徐厦杰刘振钧.基于秘密共享的抗 攻击分组加密算法.信息技术():.王秀利江晓舟李洋.应用区块链的数据访问控制与共享模型 .软 件 学 报():.严新成陈越巴阳等.支持用户权限动态变更的可更新属性加密方案.计算机研究与发展():.李元诚张攀郑世强.基于经验模态分解与同态加密的用电数据
19、隐私保护.电网技术():.刘君强陈芳慧徐从富等.云环境下基于全同态加密的全域匿名化算法.计算机学报():.(责任编辑:丁玥)(上接第 页)马艺梅王立东陈雪波等.基于小波加权 算法的 系统信道估计.小型微型计算机系统():.张高境熊兴中.电力载波通信中的干扰特性及抑制技术分析.电信科学():.周春良王连成迟海明等.高性能电力线通信基带收发器的设计.电子设计工程():.管春王俊杰龙江航等.中联合 的脉冲噪声抑制技术.计算机工程与设计():.郑建宏邓湛.一种抗脉冲噪声的宽带电力线通信系统信道估计算法.重庆邮电大学学报:自然科学版():.谢鹏刘加.采用变步长算法的无双端检测回声消除系统.数据采集与处理():.李敏冯伟贾楠楠等.电力线通信与可见光通信融合的多输入多输出系统性能研究.上海师范大学学报:自然科学版():.王宁贺钰瑶.基于可变步长的多通道主动噪声控制算法.电子产品世界():.王家南周小平李莉等.大规模 系统下的空间消隐方法.上海师范大学学报:自然科学版():.(责任编辑:丁晓清)
