[发明专利]基于可认证层次化属性加密的SDN信息访问控制方法

说明书

一种基于可认证层次化属性加密的SDN信息访问控制方法，基于属性权威、SDN控制器、加密组件和解密组件构成的控制系统，属性权威中的根属性权威负责全局属性的注册以及公钥的发布，局部属性权威负责发布与某一类属性有关的私钥，SDN控制器负责收集、存储和管理包括SDN流表、路由以及数据量在内的重要信息，并与其他域的SDN控制器交互；加密组件负责将收集到的用户或者其他网络设备数据传递到SDN控制层并对数据进行加密操作；解密组件负责为不同的网络应用获取有用的数据，解密组件用不同的属性集合来描述不同网络应用的身份，并拥有一个与该属性集合相对应的私钥，只有私钥其中嵌入的属性集合满足访问策略，才能获取正确信息。

技术领域

本发明涉及SDN信息的安全访问控制，尤其涉及一种基于可认证层次化属性加密的SDN信息访问控制方法，属于网络信息安全领域。

背景技术

软件定义网络(software defined network，简称SDN)是一种优秀的网络架构，它在逻辑上将网络的控制层与数据层分离，从而降低了网络建设的硬件成本、管理成本。在此基础上，管理员或者开发者能够方便地对来自不同厂商的设备进行集中化的调试。尽管具备诸多优势，SDN信息安全问题却阻碍其进一步的应用，许多方案难以在安全性、有效性以及可用性之间取得平衡，甚至限制了SDN的可扩展性等固有优势。其中最严重的问题之一就是由于SDN控制层方便了远程控制，这就导致了控制层掌控的网络敏感信息极易受到远程控制从而被攻击者窃取。然而，现有的解决方案不足以实现SDN灵活、高效而又准确的信息安全管理，因此部署安全、灵活、高效的信息安全管理机制尤为重要。

发明内容

为适应SDN环境，提高SDN信息管理的安全性和高效性，本发明提出了一种基于可认证层次化属性加密的SDN信息访问控制方，其核心思想是：采用层次化的属性权威不仅将其权力以及计算负担分散，还提高了属性权威的可扩展性。在此基础上，本方案使得消息密文的尺寸常量化，降低了密文存储的开销。在授权过程中，由于我们嵌入了与生成授权私钥相关的所有局部属性权威以及用户的唯一身份识别，因此在解密过程中实现了私钥的认证机制。因此在保证属性权威可扩展性的同时，保证了其他非认证机构不可以充当属性权威肆意发布私钥，即使发布了私钥也无法完成解密操作。

为实现上述发明目的，本发明采用以下技术方案：一种基于可认证层次化属性加密的SDN信息访问控制方法，其特征在于：基于属性权威、SDN控制器、加密组件和解密组件四部分构成的控制系统；属性权威采用等级式结构，位于控制层，包括根属性权威和局部属性权威，根属性权威是一个可信的权威机构，负责全局属性的注册以及公钥的发布，是所有局部属性权威的起点；局部属性权威负责发布与某一类属性有关的私钥，这些属性构成的集合是全局属性集合的真子集，局部属性权威是一个半可信的机构，尽管可以发布私钥并认证私钥的合法性，但是有可能将自己的私钥泄露给他人；SDN控制器位于控制层，负责收集、存储和管理包括SDN流表、路由以及数据量在内的重要信息，该重要信息包含各类用户或者设备的敏感信息，每个SDN控制器存储和管理各自域内的重要信息，同时负责与其他域的SDN控制器交互；加密组件位于数据层，负责将收集到的用户或者其他网络设备数据传递到SDN控制层，传递之前，为不同的数据制定相应的访问策略并对数据进行加密操作；解密组件位于管理层，负责为不同的网络应用获取有用的数据，解密组件用不同的属性集合来描述不同网络应用的身份，并拥有一个与该属性集合相对应的私钥，只有私钥来自于合法机构，并且其中嵌入的属性集合满足访问策略，就能够成功获取数据；

包括以下步骤：