(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210403190.6 (22)申请日 2022.04.18 (71)申请人 江苏大学 地址 212013 江苏省镇江市京口区学府路 301号 申请人 江苏省未来网络创新研究院 (72)发明人 严家尧　陈欢　朱轶　 (74)专利代理 机构 南京智造力知识产权代理有 限公司 32382 专利代理师 汪芬 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种面向NCPN中计算服务容器的可撤销访 问控制方法 (57)摘要 本发明涉及命名算力网络， 公开了一种面向 NCPN中计算服务容器的可撤销访问控制方法。 针 对命名算力网络中路由器侧承载计算服务容器 的分布式独立校验问题， 构造出一种无证书签名 方案： 源服务器基于授权用户的身份信息、 订阅 的计算服务以及授权期限生 成用户私钥 ‑源服务 器部分， 该特殊的用户私钥设计， 使得在网内路 由器处动态部署的计算服务容器仅需持有系统 的主公钥、 无需携带任何用户信息， 便可独立校 验出用户与订阅服务之间的授权关系； 同时通过 授权时限的不可造伪设计， 实现动态部署的计算 服务容器可以判断出用户权限是否过期， 而源服 务器通过维护更新用户订阅期限列表中用户订 阅信息， 可实现用户权限的灵活撤销。 权利要求书2页 说明书7页 附图2页 CN 115150119 A 2022.10.04 CN 115150119 A 1.一种面向NCPN中计算 服务容器的可撤销访问控制方法， 其特 征在于， 包括以下步骤： 1)源服务器初始化系 统参数， 所述系 统参数包括椭圆曲线上的加法群G， 阶为q的生成 元P， 以及大 素数p， 采用哈希函数 2)源服务器随机选择系统的主私钥 其中 表示整数Zq中0去除后剩下的部分， 计算系统的主公钥Ppub＝kms*P， 秘密保存主私钥kms并向用户及动态部署于网内路由器上的 计算服务容器公开 安全参数Pparams， 所述公开 安全参数Pparams＝{p,q,P,Ppub,H}； 3)用户i为拟申请订阅的服务随机选取秘密值 作为用户侧的用户私钥 ‑用户部 分， 并计算用户侧的用户公钥 ‑用户部分， 计算公式为： Xi＝xi*P； 4)源服务器产生用户公私钥 ‑源服务器部分Ri、 di， 并加密后发送给用户； 5)用户侧生成完整用户私钥Ski和用户公钥Pki； 6)用户对调用Service_A的兴趣 包进行签名， 产生签名Si； 7)计算服务容器对收到名称前缀为 “/Service_A/request ”的兴趣包后， 从兴趣包中提 取出参数签名Si、 时间戳T、 用户身份信息IDi、 公钥(Xi,Ri)及授权期限ti， 并进行关系校验； 8)用户权限撤销， 源服务器维护并更新用户订阅列表， 当用户授权期限ti到期后， 若用 户续订则为用户重新颁发用户公私钥 ‑源服务器部分， 否则从订阅列表中删除到该用户的 三元组信息(IDi,ri,ti)。 2.如权利要求1所述的面向NCPN中计算服务容器的可撤销访问控制方法， 其特征还在 于， 所述步骤4)包括如下步骤： 4.1)设用户i向源服 务器订阅计算 服务A， 记为Service_A； 4.2)用户将身份信息IDi以及用户公钥 ‑用户部分Xi以兴趣包的形式， 发送给源服务器 用于请求 订阅Service_A， 所述请求 订阅兴趣 包的名称记为 “/Service_A/subscribe ”； 4.3)收到用户订阅请求兴趣包的源服务器， 为用户随机选取随机数 并根据用户 的服务购买信息， 为本次订阅的计算服务Service_A设置授权期限ti， 进而将用户的订阅信 息以三元组(IDi,ri,ti)存储在源服 务器上的订阅列表中； 4.4)源服务器通过主私钥kms为用户生成计算服务Service_A所对应的用户公私钥 ‑源 服务器部分Ri、 di， 所述用户公私钥 ‑源服务器部分计算公式如下： 其中， Service_A为服务A的名称， Ri是用户公钥 ‑源服务器部分、 di是用户私钥 ‑源服务 器部分。 4.5)源服务器利用用户公钥Xi对用户公钥 ‑源服务器部分Ri、 用户私钥 ‑源服务器部分 di以及授权期限ti进行加密， 并将密文以数据包形式发送给用户。 3.如权利要求1所述的面向NCPN中计算服务容器的可撤销访问控制方法， 其特征还在 于， 所述步骤5)用户侧生成完整用户公私钥包括如下步骤： 5.1)用户收到来自源服务器关于服务名称为Service_A的用户公私钥 ‑源服务器部分 Ri、 di以及授权期限ti后， 通过等式di*P＝Ri+Ppub*H(IDi||Ri||Xi||Service_A||ti)是否成立权　利　要　求　书 1/2 页 2 CN 115150119 A 2来判断Ri、 di以及ti的合法性； 5.2)若等式不成立， 转步骤3)重新向源服务器申请该项服务的用户公私钥 ‑源服务器 部分， 否则转 步骤5.3)； 5.3)用户进一步将步骤3)与 步骤4)输出的用户公私钥直接合并成完整的用户公私钥； 用户完整的用户私钥记为Ski＝(xi,di)， 用户完整的用户公钥记为Pki＝(Xi,Ri)。 4.如权利要求1所述的面向NCPN中计算服务容器的可撤销访问控制方法， 其特征还在 于， 所述步骤6)用户对调用Service_A的兴趣 包进行签名包括如下步骤： 6.1)用户产生名称前缀为 “/Service_A/request ”的兴趣包， 用于调用计算服务A， 为了 防止兴趣包遭受重放攻击， 该兴趣包中嵌入当前时间T作为时间戳； 此外， 为了让接受该兴 趣包的路由器上计算服务容器可以实施分布式独立校验， 在该兴趣包中， 需携带完整的用 户公钥Pki＝(Xi,Ri)以及授权期限ti； 6.2)完成该兴趣包构建后， 用户用自身的用户私钥Ski对“用户身份信息IDi、 用户公钥 ‑ 源服务器部分Ri、 该兴趣包名称前缀、 时间戳T ”的拼接字符串进行签名， 产生的签名记为Si， 签名计算公式如下： 5.如权利要求1所述的面向NCPN中计算服务容器的可撤销访问控制方法， 其特征还在 于， 所述步骤7)中计算服务容器对收到名称前缀为 “/Service_A/request ”的兴趣包进行校 验包括如下步骤： 7.1)计算服务容器检查该兴趣包的时间戳T是否等于当前接收时间， 防止遭受重放攻 击。 若时间符合， 则检查 通过并执 行下一步校验， 转至步骤7.2)， 否则丢弃 该兴趣包； 7.2)计算服务容器将从兴趣包中授权期限ti与当前时间对比， 检查用户授权期限ti是 否过期。 若ti大于当前时间， 判断该用户的授权关系过期， 则丢弃该兴趣包； 若ti小于当前时 间， 判断该用户的授权 关系仍在 有效期内， 则计算服务容器通过自身持有的主公钥Ppub结合 从兴趣包提取的时间戳T、 用户身份信息IDi、 公钥(Xi,Ri)以及授权期限ti对签名进行校验， 校验公式如下： 若等式成立， 则证明当前兴趣包的发送用户为计算服务A有 效期限内的授权用户， 否则 丢弃该兴趣包； 7.3)若用户身份校验成功后， 计算服务容器则响应用户本次请求并返回身份确认信 息， 用户再以兴趣包的形式提交本次计算服务所需的输入数据， 接 收到数据的计算服务容 器预估一个计算时间返回给用户， 用户收到后在本地设置一个计时器， 待计时器超时后， 发 送兴趣包取回计算结果。权　利　要　求　书 2/2 页 3 CN 115150119 A 3